SSID cloaking - an toàn hay không an toàn?

  •  
  • 201

Nhiều tổ chức sử dụng SSID cloaking (tạo mặt nạ SSID) như một cơ chế thêm vào tầng bảo mật cho WLAN. Kỹ thuật này đòi hỏi tất cả người dùng phải có kiến thức về SSID để kết nối tới mạng không dây. Thông thường SSID được xem là cơ chế nâng cao tính bảo mật của WLAN, và là thực tiễn tốt nhất được PCI Data Security Standard (Tổ chức tiêu chuẩn bảo mật dữ liệu PCI) khuyên dùng. Song, nó cũng làm giảm đáng kể hiệu quả bảo mật của các mạng LAN không dây (WLAN).

Đưa ra cảm giác bảo mật sai

Các mạng không dây trước đây triển khai SSID cloaking với vai trò ngăn chặn người dùng không rõ nguồn gốc truy cập vào mạng. Mặc dù vậy, kỹ thuật này chưa bao giờ được dùng như một cơ chế thẩm định. Một số tổ chức chấp nhận phân phối các SSID khó hiểu theo kiểu bí mật được chia sẻ. Một số công cụ như ESSID-Jack hay Kismel có nhiệm vụ theo dõi và báo cáo tình hình của SSID trên những trạm hợp pháp, do đó để lại dấu vết cho phép kẻ tấn công xem được nguồn gốc lai lịch của SSID và dễ dàng lượn vòng qua được cơ chế bảo mật để thâm nhập vào mạng.

Gây nhầm lẫn cho người dùng

Khi SSID mạng được tạo mặt nạ, người dùng không thể tham khảo danh sách các mạng không dây thích hợp cho WLAN. Từ đó khiến họ chọn và đăng nhập vào mạng khác và để lại lỗ hổng ở phía client. Một số bang của Mỹ coi đây như là một hiện tượng xâm nhập máy tính bất hợp pháp.

Các cuộc tấn công mạo danh AP

Một số công cụ tấn công như KARMA lợi dụng kỹ thuật thăm dò tiên tiến WLAN do các client không dây sử dụng. Khi một trạm thăm dò WLAN trong danh sách ưu tiên (PNL), chính trạm sẽ để lại dấu vết SSID cho kẻ tấn công đang nghe ngóng. Tấn công kiểu KARMA sử dụng SSID bị phát hiện để mạo danh WLAN làm mồi nhử lôi kéo trạm hoạt động tới cho kẻ tấn công. Với người dùng Windows XP SP2 đã update các bản sửa chữa nóng (hotfix) trên trang KB917021 của Microsoft, các trạm làm việc Windows thay đổi phương thức hoạt động khi thăm dò mạng không dây. Người dùng và người quản trị có thể đánh dấu danh mục trên PNL là “nonbroadcast” (không quảng bá). Khi tuỳ chọn “Connect even if this network not broadcasting” (Kết nối dù mạng không quảng bá) không được chọn, trạm làm việc sẽ không để lộ thông tin SSID dù đang thăm dò mạng, hạn chế được kiểu tấn công KARMAL. Tuy nhiên, để trạm làm việc nhận dạng được mạng phù hợp, AP phải ngắt bỏ chức năng mặt nạ SSID . Nếu không, chúng sẽ trở lại cơ chế thăm dò mạng tích cực, khiến SSID cloaking trở thành tuỳ chọn kém an toàn.

Mặc dù nhìn bề ngoài SSID cloaking có vẻ như là một cơ chế rất hấp dẫn hỗ trợ bảo mật cho mạng WLAN, nhưng thực sự nó làm giảm đáng kể độ an toàn của các mạng không dây nội bộ doanh nghiệp.

T.Thu (Theo Techworld, QuanTriMang)
  • 201