Tweet
Các Biện Pháp Bảo Mật Bổ Sung cho WLAN
Trong môi trường Wi-Fi doanh nghiệp, ngoài việc triển khai các cơ chế mã hóa (WPA2/WPA3), ta còn có thể sử dụng thêm các biện pháp bảo mật bổ sung như MAC Filtering và SSID Cloaking. Tuy nhiên, cần hiểu rõ ưu điểm, hạn chế để tránh kỳ vọng sai lệch.
1. MAC Filtering
Khái niệm:
MAC Filtering cho phép kiểm soát truy cập Wi-Fi dựa trên địa chỉ MAC của thiết bị. Chỉ những thiết bị có MAC nằm trong danh sách cho phép mới có thể kết nối WLAN.
Đặc điểm chính:
Lưu ý quan trọng:
MAC Filtering có thể sử dụng như một phần của chiến lược bảo mật tổng thể. Tuy nhiên, nếu triển khai riêng lẻ thì không an toàn, do kẻ tấn công có thể giả mạo MAC (MAC spoofing) để vượt qua kiểm soát.
2. SSID Cloaking
Khái niệm:
SSID có thể được broadcast (quảng bá) hoặc hidden (ẩn) bởi Access Point. Khi bật “SSID Cloaking”, AP sẽ không quảng bá SSID trong beacon.
Thực tế kỹ thuật:
Vấn đề bảo mật:
👉 Do đó, SSID cloaking không được khuyến nghị như một cơ chế bảo mật.
Tổng Kết
Câu hỏi ôn tập
WPA2 sử dụng giao thức mã hóa nào?
Trong môi trường Wi-Fi doanh nghiệp, ngoài việc triển khai các cơ chế mã hóa (WPA2/WPA3), ta còn có thể sử dụng thêm các biện pháp bảo mật bổ sung như MAC Filtering và SSID Cloaking. Tuy nhiên, cần hiểu rõ ưu điểm, hạn chế để tránh kỳ vọng sai lệch.
1. MAC Filtering
Khái niệm:
MAC Filtering cho phép kiểm soát truy cập Wi-Fi dựa trên địa chỉ MAC của thiết bị. Chỉ những thiết bị có MAC nằm trong danh sách cho phép mới có thể kết nối WLAN.
Đặc điểm chính:
- Áp dụng theo từng WLAN (per-WLAN basis).
- Thiết bị điều khiển (controller) sẽ kiểm tra MAC client dựa trên:
- Local entry: MAC được cấu hình trực tiếp trên WLC.
- RADIUS entry: MAC được định nghĩa trong server RADIUS, WLC sẽ relay truy vấn tới server này.
Lưu ý quan trọng:
MAC Filtering có thể sử dụng như một phần của chiến lược bảo mật tổng thể. Tuy nhiên, nếu triển khai riêng lẻ thì không an toàn, do kẻ tấn công có thể giả mạo MAC (MAC spoofing) để vượt qua kiểm soát.
2. SSID Cloaking
Khái niệm:
SSID có thể được broadcast (quảng bá) hoặc hidden (ẩn) bởi Access Point. Khi bật “SSID Cloaking”, AP sẽ không quảng bá SSID trong beacon.
Thực tế kỹ thuật:
- SSID không xuất hiện trong beacon, nhưng vẫn có mặt trong:
- Probe request từ client.
- Probe response từ AP.
- Association request / reassociation request.
- Các công cụ sniffing (active hoặc passive) vẫn dễ dàng bắt được SSID.
Vấn đề bảo mật:
- Không thực sự che giấu SSID.
- Thiết bị BYOD thường cần SSID trong beacon để xác định vùng phủ sóng.
- Client khi cố kết nối “hidden SSID” sẽ liên tục phát probe chứa SSID → tạo thêm bề mặt tấn công.
👉 Do đó, SSID cloaking không được khuyến nghị như một cơ chế bảo mật.
Tổng Kết
- MAC Filtering: Chỉ nên dùng để bổ sung, không phải biện pháp chính, vì dễ bị bypass qua MAC spoofing.
- SSID Cloaking: Không mang lại lợi ích bảo mật thực sự, thậm chí có thể làm tăng nguy cơ bị dò quét.
- Biện pháp bảo mật cốt lõi cho WLAN vẫn là: WPA2/WPA3, 802.1X/EAP, RADIUS, và chính sách phân quyền rõ ràng.
Câu hỏi ôn tập
WPA2 sử dụng giao thức mã hóa nào?
- RC4
- TKIP
- DES
- 3DES
- ✅ AES (CCMP)
Attached Files