Thứ Ba, 27 tháng 8, 2013

SỰ KHÁC BIỆT GIỮA CÁC CHUẨN BẢO MẬT WIFI: WEP, WPA VÀ WPA2

Kể cả khi bạn đã bảo vệ mạng WiFi của mình bằng các loại mã khóa, có lẽ bạn vẫn cảm thấy rất bối rối trước các từ viết tắt của các kiểu bảo mật. Bài viết này sẽ chỉ ra những sự khác biệt giữa các chuẩn bảo mật như WEP, WPA và WPA2 cũng như tầm quan trọng của việc lựa chọn đúng loại mã khóa cho mạng WiFi.
Tại sao lại quan trọng?
Bạn làm theo những gì được hướng dẫn: đăng nhập vào định tuyến (router) sau khi đã mua và cắm vào máy tính, sau đó thiết lập mật khẩu. Tại sao ý nghĩa của những từ viết tắt bên cạnh chuẩn mã hóa bạn chọn lại quan trọng? Thực ra, chúng cực kì quan trọng: những khả năng mới của máy tính và những lỗ hổng bảo mật khiến những chuẩn mã hóa cũ trở nên yếu đuối. Đó là mạng Internet của bạn, dữ liệu của bạn và nếu ai đó chiếm quyền điều khiển chúng để phạm tội, cảnh sát sẽ gõ cửa nhà bạn. Hiểu được sự khác biệt giữa các phương thức mã hóa và áp dụng phương thức tiên tiến nhất có thể (hoặc nâng cấp router) sẽ giúp bạn yên tâm sử dụng mạng WiFi mà không sợ bị ai đó dễ dàng lợi dụng.
WEP, WPA, WPA 2: bảo mật WiFi qua các thời kì
Kể từ cuối những năm 90, các thuật toán bảo vệ mạng WiFi đã trải qua nhiều lần nâng cấp bởi sự yếu kém của các thuật toán cũ và sự ra đời của các thuật toán tân tiến hơn nhiều. Điểm qua lịch sử của các phương thức bảo vệ WiFi sẽ giúp bạn biết đâu là chuẩn mới nhất và tại sao bạn nên tránh sử dụng các chuẩn cũ.
Wired Equivalent Privacy (WEP)
Wired Equivalent Privacy (WEP) là thuật toán bảo mật WiFi được dùng nhiều nhất trên thế giới. Thực tế nó là thứ đầu tiên xuất hiện trong menu các chuẩn mã hóa của nhiều bộ định tuyến.
WEP được phê chuẩn là phương thức bảo mật tiêu chuẩn dành cho WiFi vào tháng 9/1999. Phiên bản đầu tiên của WEP không hề mạnh, kể cả vào thời điểm nó được giới thiệu bởi việc chính phủ Mỹ cấm xuất khẩu nhiều công nghệ mã hóa khiến các nhà sản xuất chỉ bảo vệ thiết bị của họ với mã hóa 64 bit. Sau khi lệnh cấm được dỡ bỏ, chuẩn 128 bit được đưa vào sử dụng rộng rãi hơn. Thậm chí sau này kể cả khi mã hóa WEP 256 bit được giới thiệu, 128 bit vẫn là một trong những chuẩn được áp dụng nhiều nhất.
Mặc dù các thuật toán được cải tiến và kích thước kí tự được tăng lên, qua thời gian nhiều lỗ hổng bảo mật được phát hiện trong chuẩn WEP khiến nó càng ngày càng dễ bị qua mặt khi mà sức mạnh của máy tính ngày càng được củng cố. Năm 2001, nhiều lổ hổng tiềm tàng đã bị phơi bày trên mạng Internet. Đến năm 2005, FBI công khai trình diễn khả năng bẻ khóa WEP chỉ trong một vài phút bằng phần mềm hoàn toàn miễn phí nhằm nâng cao nhận thức về sự nguy hiểm của WEP.
Mặc dù nhiều nỗ lực cải tiến được tiến hành nhằm tăng cường hệ thống của WEP, chuẩn này vẫn đặt người dùng vào vị trí hết sức nguy hiểm và tất cả các hệ thống sử dụng WEP nên được nâng cấp hoặc thay thế. Tổ chức Liên minh WiFi chính thức cho WEP "về hưu" năm 2004.
WiFi Protected Access (WPA)
WiFi Protected Access là phương thức được Liên minh WiFi đưa ra để thay thế WEP trước những nhược điểm không thể khắc phục của chuẩn cũ. WPA được áp dụng chính thức vào năm 2003, một năm trước khi WEP bị loại bỏ. Phiên bản phổ biến nhất của WPA là WPA-PSK (Pre-Shared Key). Các kí tự được sử dụng bởi WPA là loại 256 bit, tân tiến hơn rất nhiều so với kí tự 64 bit và 128 bit có trong hệ thống WEP.
Một trong những thay đổi lớn lao được tích hợp vào WPA bao gồm khả năng kiểm tra tính toàn vẹn của gói tin (message integrity check) để xem liệu hacker có thu thập hay thay đổi gói tin chuyền qua lại giữa điểm truy cập và thiết bị dùng WiFi hay không. Ngoài ra còn có giao thức khóa toàn vẹn thời gian (Temporal Key Integrity Protocol – TKIP). TKIP sử dụng hệ thống kí tự cho từng gói, an toàn hơn rất nhiều so với kí tự tĩnh của WEP. Sau này, TKIP bị thay thế bởi Advanced Encryption Standard (AES).
Tuy vậy điều này không có nghĩa là WPA đã hoàn hảo. TKIP, một bộ phận quan trọng của WPA, được thiết kế để có thể tung ra thông qua các bản cập nhật phần mềm lên thiết bị được trang bị WEP. Chính vì vậy nó vẫn phải sử dụng một số yếu tố có trong hệ thống WEP, vốn cũng có thể bị kẻ xấu khai thác.
WPA, giống như WEP, cũng trải qua các cuộc trình diễn công khai để cho thấy những yếu điểm của mình trước một cuộc tấn công. Phương pháp qua mặt WPA không phải bằng cách tấn công trực tiếp vào thuật toán của nó mà là vào một hệ thống bổ trợ có tên WiFi Protected Setup (WPS), được thiết kế để có thể dễ dàng kết nối thiết bị tới các điểm truy cập.
WiFi Protected Access II (WPA2)
Đến năm 2006, WPA chính thức bị thay thế bởi WPA2. Một trong những cải tiến đáng chú ý nhất của WPA2 so với WPA là sự có mặt bắt buộc của AES và CCMP (Counter Cipher Mode with Block Chaining Message Authentication Code Protocol) nhằm thay thế cho TKIP. Tuy vậy, TKIP vẫn có mặt trong WPA2 để làm phương án dự phòng và duy trì khả năng tương tác với WPA.
Hiện tại, lỗ hổng bảo mật chính của hệ thống WPA2 không thực sự lộ rõ. Kẻ tấn công phải có quyền truy cập vào mạng WiFi đã được bảo vệ trước khi có thể có trong tay bộ kí tự, sau đó mới có thể tiến hành tấn công các thiết bị khác trong cùng mạng. Như vậy, các lỗ hổng của WPA2 khá hạn chế và gần như chỉ gây ảnh hưởng đến các mạng quy mô lớn như của tập đoàn. Trong khi đó người dùng mạng tại nhà có thể yên tâm với chuẩn mới nhất này.
Tuy nhiên không may là lỗ hổng lớn nhất trong bộ giáp của WPA vẫn còn tồn tại trong WPA2, đó là WPS. Mặc dù để thâm nhập được vào mạng lưới được bảo vệ bởi WPA/WPA2 bằng lỗ hổng trên cần tới 2-14 giờ hoạt động liên tục của một máy tính hiện đại, đây vẫn là một mối lo tiềm tàng. Vì thế tốt nhất WPS nên được tắt đi hoặc xóa bỏ hoàn toàn khỏi hệ thống thông qua các lần cập nhật firmware của điểm truy cập.
Dưới đây là danh sách các chuẩn bảo mật dành cho WiFi, xếp theo khả năng bảo mật từ cao xuống thấp:
- WPA2 + AES
- WPA + AES
- WPA + TKIP/AES (TKIP đóng vai trò là phương án dự phòng)
- WPA + TKIP
- WEP
- Mạng mở, không mã khóa
Như vậy phương án tốt nhất để bảo vệ mạng WiFi nhà bạn là tắt WPS và kích hoạt WPA2 + AES. Tất cả các phương pháp còn lại đều không thể sánh bằng và nếu bạn dùng WEP, điều này chẳng khác gì việc dựng một hàng rào gỗ xung quanh nhà: bạn dùng nó chỉ để đánh dấu đây là nhà của bạn, nhưng bất cứ ai cũng có thể trèo vào.
Được trang bị một chút kiến thức cơ bản về phương thức bảo mật WiFi và làm thế nào để nâng cấp hệ thống mạng trong nhà sẽ nhanh chóng giúp bạn xóa tan nỗi lo về những kẻ muốn xâm nhập trái phép.
Việt Dũng (nguồn Howtogeek)

http://vnreview.vn/tu-van-bao-mat/-/view_content/content/617472/su-khac-biet-giua-cac-chuan-bao-mat-wifi-wep-wpa-va-wpa2

Không có nhận xét nào:

Đăng nhận xét