Tweet
Anh em kỹ sư mạng đều biết: Wi-Fi khác hoàn toàn mạng LAN có dây ở chỗ nó… “không có tường rào” rõ ràng. Sóng Wi-Fi xuyên qua tường, bay ra ngoài đường, và cả hàng xóm cũng có thể bắt sóng. Chính vì thế, mạng không dây (WLAN) luôn là miếng mồi ngon cho hacker – chỉ cần một laptop, card Wi-Fi và vài phần mềm miễn phí là đủ để thử khai thác.
Vậy nên, bảo mật WLAN không thể dựa vào may mắn. Giống như mạng LAN, nó cần hai yếu tố cốt lõi: Xác thực (Authentication) và Mã hóa (Encryption). Các chuẩn bảo mật hiện đại yêu cầu phải dùng cả hai để bảo vệ client khỏi việc bị nghe lén hoặc đánh cắp dữ liệu.
1. Xác thực (Authentication)
Xác thực là quá trình chứng minh “bạn đúng là bạn”. Trên mạng không dây, ta cần chứng minh danh tính của người hoặc thiết bị muốn kết nối.
Có 3 nhóm phương pháp xác thực phổ biến:
🔹 Trong môi trường bảo mật cao, ngoài xác thực người dùng, người ta còn xác thực cả thiết bị (device authentication) bằng “chữ ký” phần cứng (hardware fingerprint). Tuy nhiên, xác thực thiết bị không đảm bảo người dùng là hợp lệ – nếu thiết bị rơi vào tay kẻ xấu, họ vẫn vào mạng được.
💡 Kinh nghiệm thực chiến: Đừng lưu mật khẩu Wi-Fi quan trọng trực tiếp trên laptop hay điện thoại. Nếu buộc phải lưu, hãy dùng cơ chế mã hóa hoặc quản lý khóa an toàn (password manager).
2. Mã hóa (Encryption)
Trong Wi-Fi, riêng tư (privacy) nghĩa là: dù hacker bắt được sóng, họ vẫn không đọc được nội dung. Đây chính là nhiệm vụ của mã hóa.
Các cơ chế mã hóa qua thời gian:
3. Quản lý khóa (Key Management)
Dù để xác thực hay mã hóa, khóa chính là bí mật mà WLAN dựa vào. Cách quản lý khóa quyết định mức độ bảo mật. Khóa chung (Common Key)
Một khóa dùng cho nhiều người. Khóa lưu trên Access Point (AP) và chia sẻ cho các user hợp lệ.
⚠ Rủi ro: Chỉ cần một thiết bị bị hack, hacker có thể đọc toàn bộ traffic của mọi user trong cell.
Khóa riêng (Individual Key)
Mỗi user có một khóa riêng, tăng bảo mật. Có hai cách triển khai:
💡 Thực tế triển khai: Doanh nghiệp thường dùng WPA2-Enterprise hoặc WPA3-Enterprise với 802.1X + RADIUS để cấp khóa riêng cho từng user, vừa bảo mật vừa dễ quản lý.
Vậy nên, bảo mật WLAN không thể dựa vào may mắn. Giống như mạng LAN, nó cần hai yếu tố cốt lõi: Xác thực (Authentication) và Mã hóa (Encryption). Các chuẩn bảo mật hiện đại yêu cầu phải dùng cả hai để bảo vệ client khỏi việc bị nghe lén hoặc đánh cắp dữ liệu.
1. Xác thực (Authentication)
Xác thực là quá trình chứng minh “bạn đúng là bạn”. Trên mạng không dây, ta cần chứng minh danh tính của người hoặc thiết bị muốn kết nối.
Có 3 nhóm phương pháp xác thực phổ biến:
- Cái bạn biết (Something you know)
- Ví dụ: mật khẩu.
- Ưu điểm: dễ triển khai.
- Nhược điểm: dễ quên, dễ bị lộ nếu ghi ra giấy hoặc lưu không an toàn.
- Cái bạn có (Something you have)
- Ví dụ: thẻ thông minh, token vật lý.
- Ưu điểm: không lo quên “thông tin”.
- Nhược điểm: mất hoặc bị đánh cắp là mất quyền truy cập.
- Cái bạn là (Something you are)
- Ví dụ: vân tay, khuôn mặt.
- Ưu điểm: duy nhất cho từng cá nhân.
- Nhược điểm: khó triển khai trên Wi-Fi vì cần tiếp xúc vật lý (nhưng có thể áp dụng cho xác thực thiết bị).
🔹 Trong môi trường bảo mật cao, ngoài xác thực người dùng, người ta còn xác thực cả thiết bị (device authentication) bằng “chữ ký” phần cứng (hardware fingerprint). Tuy nhiên, xác thực thiết bị không đảm bảo người dùng là hợp lệ – nếu thiết bị rơi vào tay kẻ xấu, họ vẫn vào mạng được.
💡 Kinh nghiệm thực chiến: Đừng lưu mật khẩu Wi-Fi quan trọng trực tiếp trên laptop hay điện thoại. Nếu buộc phải lưu, hãy dùng cơ chế mã hóa hoặc quản lý khóa an toàn (password manager).
2. Mã hóa (Encryption)
Trong Wi-Fi, riêng tư (privacy) nghĩa là: dù hacker bắt được sóng, họ vẫn không đọc được nội dung. Đây chính là nhiệm vụ của mã hóa.
Các cơ chế mã hóa qua thời gian:
- WEP (Wired Equivalent Privacy)
- Khóa chung, bảo mật yếu, đã lỗi thời.
- Bị crack chỉ trong vài phút bằng các công cụ như Aircrack-ng.
- TKIP (Temporal Key Integrity Protocol)
- Bổ sung thuật toán cho WEP trong chuẩn WPA đời đầu.
- Cũng không còn được khuyến nghị.
- AES (Advanced Encryption Standard)
- Dùng trong WPA2/WPA3.
- Cho phép khóa dài hơn, bảo mật mạnh, hiện là chuẩn chính cho WLAN.
3. Quản lý khóa (Key Management)
Dù để xác thực hay mã hóa, khóa chính là bí mật mà WLAN dựa vào. Cách quản lý khóa quyết định mức độ bảo mật. Khóa chung (Common Key)
Một khóa dùng cho nhiều người. Khóa lưu trên Access Point (AP) và chia sẻ cho các user hợp lệ.
- Dùng cho xác thực: Chỉ ai có khóa mới vào mạng được, nhưng dữ liệu truyền không mã hóa.
- Dùng cho mã hóa: Ai cũng có thể kết nối, nhưng chỉ ai có khóa mới đọc/ghi dữ liệu.
- Dùng cho cả hai: Vào mạng và mã hóa dữ liệu đều dựa vào cùng một khóa.
⚠ Rủi ro: Chỉ cần một thiết bị bị hack, hacker có thể đọc toàn bộ traffic của mọi user trong cell.
Khóa riêng (Individual Key)
Mỗi user có một khóa riêng, tăng bảo mật. Có hai cách triển khai:
- Khóa riêng ngay từ đầu – Cần hạ tầng lưu trữ và quản lý khóa, thường dùng RADIUS server.
- Khóa chung ban đầu → sinh khóa riêng động – AP lưu khóa chung, khi user kết nối sẽ sinh khóa riêng cho session, hết phiên là vô hiệu.
💡 Thực tế triển khai: Doanh nghiệp thường dùng WPA2-Enterprise hoặc WPA3-Enterprise với 802.1X + RADIUS để cấp khóa riêng cho từng user, vừa bảo mật vừa dễ quản lý.
Attached Files