Tweet
Anh em kỹ sư mạng chắc hẳn vẫn nhớ thời WEP còn “làm mưa làm gió” trên Wi-Fi – cho đến khi bị bẻ khóa dễ như ăn kẹo. Từ đó, cả IEEE 802.11 lẫn Wi-Fi Alliance phải chạy đua tìm giải pháp thay thế, và kết quả là chúng ta có WPA, rồi WPA2, và mới nhất là WPA3 – những tiêu chuẩn bảo mật Wi-Fi với khung xác thực và mã hóa chặt chẽ hơn rất nhiều.
1. Các chuẩn bảo mật Wi-Fi hiện nay
Ba thế hệ giải pháp chính:
2. WPA-Personal vs WPA-Enterprise
Cả WPA, WPA2, WPA3 đều chia thành hai chế độ này, nhưng khác nhau về xác thực:
Enterprise (802.1X/EAP)
Personal (PSK)
💡 PMK (Pairwise Master Key) được sinh ra từ password (PSK) hoặc từ quá trình xác thực EAP. Từ PMK, AP và client thực hiện 4-way handshake để sinh:
3. Điểm yếu & KRACK Attack
4-way handshake từng bị tấn công bởi KRACK (Key Reinstallation Attack) – một replay attack lợi dụng lỗi trong chuẩn Wi-Fi, không phải do lỗi code của vendor.
4. WPA2 – Chuẩn phổ biến hiện nay
5. WPA3 – Thế hệ mới
Ra đời sau sự kiện KRACK, WPA3 bổ sung:
6. Lời khuyên thực tế
Câu hỏi ôn tập
1. Các chuẩn bảo mật Wi-Fi hiện nay
Ba thế hệ giải pháp chính:
- WPA
Có 2 chế độ:- WPA-Personal (WPA-PSK): dùng Pre-Shared Key.
- WPA-Enterprise: dùng IEEE 802.1X + RADIUS để xác thực.
- WPA2
Là phiên bản thực thi chuẩn bảo mật 802.11i, chính thức khai tử WEP, WPA và TKIP. Hỗ trợ 802.1X hoặc PSK. Mã hóa bằng AES-CCMP. - WPA3
Thế hệ mới thay WPA2, bảo vệ tốt hơn trước các kiểu tấn công hiện đại như brute force và replay attack.
2. WPA-Personal vs WPA-Enterprise
Cả WPA, WPA2, WPA3 đều chia thành hai chế độ này, nhưng khác nhau về xác thực:
Enterprise (802.1X/EAP)
- Cần Authentication Server (RADIUS).
- Xác thực tập trung, phân phối key động.
- Mỗi client có PMK riêng → nếu bị lộ thì chỉ ảnh hưởng 1 phiên.
- Dùng AES (và trước đây có thể TKIP).
- Phù hợp môi trường doanh nghiệp.
Personal (PSK)
- Không cần server xác thực.
- Tất cả client dùng chung một PSK (PMK giống nhau).
- Nếu bị lộ key → toàn bộ lưu lượng có thể bị giải mã.
- Thích hợp gia đình, SOHO.
💡 PMK (Pairwise Master Key) được sinh ra từ password (PSK) hoặc từ quá trình xác thực EAP. Từ PMK, AP và client thực hiện 4-way handshake để sinh:
- PTK: cho unicast.
- GTK: cho broadcast/multicast.
3. Điểm yếu & KRACK Attack
4-way handshake từng bị tấn công bởi KRACK (Key Reinstallation Attack) – một replay attack lợi dụng lỗi trong chuẩn Wi-Fi, không phải do lỗi code của vendor.
4. WPA2 – Chuẩn phổ biến hiện nay
- WPA2-Personal: AES-CCMP, key mạnh để tránh bị dictionary attack.
- WPA2-Enterprise: AES-CCMP + 802.1X/EAP, bảo mật hơn hẳn Personal.
5. WPA3 – Thế hệ mới
Ra đời sau sự kiện KRACK, WPA3 bổ sung:
- WPA3-Personal:
- Dùng SAE (Simultaneous Authentication of Equals) thay PSK handshake → chống brute force/dictionary attack.
- PMF (Protected Management Frames) bắt buộc → chống deauth/disassoc attack.
- WPA3-Enterprise:
- 802.1X/EAP + PMF bắt buộc.
- Bộ mã hóa 192-bit theo CNSA Suite (chuẩn an ninh quốc phòng, tài chính).
- Open Networks:
- OWE (Opportunistic Wireless Encryption) → mã hóa tự động trên Wi-Fi công cộng mà không cần password.
- IoT Secure Onboarding (DPP):
- Onboard thiết bị IoT qua QR code, NFC, Bluetooth... truyền SSID + thông tin bảo mật an toàn.
6. Lời khuyên thực tế
- Doanh nghiệp → WPA3-Enterprise (hoặc WPA2-Enterprise nếu thiết bị chưa hỗ trợ).
- Gia đình/SOHO → WPA3-Personal với password dài + phức tạp.
- Wi-Fi công cộng → Ưu tiên WPA3 OWE hoặc VPN.
- Luôn bật PMF khi có thể.
Câu hỏi ôn tập
- Thuật toán mã hóa mạnh nhất trong mạng Wi-Fi hiện nay? → AES
- Ba đặc điểm đúng của WPA-Enterprise:
- Cần Authentication Server.
- Xác thực tập trung.
- Mã hóa dùng AES (và key rotation).
Attached Files