Lựa chọn giải pháp nào?
Bảo mật là vấn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh nghiệp. Không những thế, bảo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cài đặt mạng cục bộ không dây (wireless LAN). Họ lo ngại về bảo mật trong WEP(Wired Equivalent Privacy), và quan tâm tới những giải pháp bảo mật mới thay thế an toàn hơn.
IEEE và Wi-Fi Alliance đã phát triển một giải pháp bảo mật hơn là: Bảo vệ truy cập Wi-Fi WPA (Wi-Fi Protected Access) và IEEE 802.11i (cũng được gọi là "WPA2 Certified" theo Wi-Fi Alliance) và một giải pháp khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây.
Theo như Webtorial, WPA và 802.11i được sử dụng tương ứng là 29% và 22%. Mặt khác, 42% được sử dụng cho các "giải pháp tình thế" khác như: bảo mật hệ thống mạng riêng ảo VPN (Vitual Private Network) qua mạng cục bộ không dây.
Vậy, chúng ta nên lựa chọn giải pháp bảo mật nào cho mạng không dây?
WEP: Bảo mật quá tồi
WEP (Wired Equivalent Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn. WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng, và cũng được sử dụng để mã hoá truyền dữ liệu.
Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc WEPCrack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit được sử dụng để mã hoá, và cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.
Không dự đoán được những lỗi trong khoá mã hoá, WEP có thể được tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật.
Giải pháp tình thế: VPN (Vitual Private Network) Fix
Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.
Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN). Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các thiết bị WLAN được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet.
Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ không phải là sự kết hợp với WLAN.
Giải pháp bảo mật bằng xác thực
Một sự thật là khi đã khám phá ra những lỗi về bảo mật trong mạng LAN không dây, ngành công nghiệp đã phải tốn rất nhiều công sức để giải quyết bài toán này. Một điều cần ghi nhớ là chúng ta cần phải đối diện với 2 vấn đề: xác thực và bảo mật thông tin. Xác thực nhằm đảm bảo chắc chắn người sử dụng hợp pháp có thể truy cập vào mạng. Bảo mật giữ cho truyền dữ liệu an toàn và không bị lấy trộm trên đường truyền.
Một trong những ưu điểm của xác thực là IEEE 802.1x sử dụng giao thức xác thực mở rộng EAP (Extensible Authentication Protocol). EAP thực sự là một cơ sở tốt cho xác thực, và có thể được sử dụng với một vài các giao thức xác thực khác. Những giao thức đó bao gồm MD5, Transport Layer Security (TLS), Tunneled TLS (TTLS), Protected EAP (PEAP) và Cisco's Lightweight EAP (LEAP).
Thật may mắn, sự lựa chọn giao thức xác thực chỉ cần vài yếu tố cơ bản. Trước hết, một cơ chế chỉ cần cung cấp một hoặc 2 cách xác thực, có thể gọi là sự xác thực qua lại (mutual authentication), có nghĩa là mạng sẽ xác thực người sử dụng và người sử dụng cũng sẽ xác thực lại mạng. Điều này rất quan trọng với mạng WLAN, bởi hacker có thể thêm điểm truy cập trái phép nào đó vào giữa các thiết bị mạng và các điểm truy cập hợp pháp (kiểu tấn công man-in-the-middle), để chặn và thay đổi các gói tin trên đường truyền dữ liệu. Và phương thức mã hoá MD5 không cung cấp xác thực qua lại nên cũng không được khuyến khích sử dụng WLAN.
Chuẩn mã hoá 802.11i hay WPA2
Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit.
Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mĩ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mĩ để bảo vệ các thông tin nhạy cảm. Nếu muốn biết chi tiết về cách làm việc của thuật toán Rijndael, bạn có thể ghé thăm http://en.wikipedia.org/wiki/Rijndael
Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít card mạng WLAN hoặc các điểm truy cập có hỗ trợ mã hoá bằng phần cứng tại thời điểm hiện tại. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.
WPA (Wi-Fi Protected Access)
Nhận thấy được những khó khăn khi nâng cấp lên 802.11i, Wi-Fi Alliance đã đưa ra giải pháp khác gọi là Wi-Fi Protected Access (WPA). Một trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền.
Một trong những điểm hấp dẫn nhất của WPA là không yêu cầu nâng cấp phần cứng. Các nâng cấp miễn phí về phần mềm cho hầu hết các card mạng và điểm truy cập sử dụng WPA rất dễ dàng và có sẵn. Tuy nhiên, WPA cũng không hỗ trợ các thiết bị cầm tay và máy quét mã vạch. Theo Wi-Fi Alliance, có khoảng 200 thiết bị đã được cấp chứng nhận tương thích WPA.
WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
Trong khi Wi-Fi Alliance đã đưa ra WPA, và được coi là loại trừ mọi lỗ hổng dễ bị tấn công của WEP, nhưng người sử dụng vẫn không thực sự tin tưởng vào WPA. Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như "PASSWORD" để làm mật khẩu).
Điều này cũng có nghĩa rằng kĩ thuật TKIP của WPA chỉ là giải pháp tạm thời , chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không không truyền dữ liệu "mật" về những thương mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ.
Kết luận
Trong khi sử dụng VPN Fix qua các kết nối WLAN có thể là một ý tưởng hay và cũng sẽ là một hướng đi đúng. Nhưng sự không thuận tiện cũng như giá cả và tăng lưu lượng mạng cũng là rào cản cần vượt qua. Sự chuyển đổi sang 802.11i và mã hoá AES đem lại khả năng bảo mật cao nhất. Nhưng các tổ chức, cơ quan vẫn đang sử dụng hàng nghìn những card mạng WLAN không hỗ trợ chuẩn này. Hơn nữa AES không hỗ các thiết bị cầm tay và máy quét mã vạch hoặc các thiết bị khác... Đó là những giới hạn khi lựa chọn 802.11i.
Sự chuyển hướng sang WPA vẫn còn là những thử thách. Mặc dù, vẫn còn những lỗ hổng về bảo mật và có thể những lỗ hổng mới sẽ được phát hiện. Nhưng tại thời điểm này, WPA là lựa chọn tốt.
Bảo mật là vấn đề rất quan trọng và đặc biệt rất được sự quan tâm của những doanh nghiệp. Không những thế, bảo mật cũng là nguyên nhân khiến doanh nghiệp e ngại khi cài đặt mạng cục bộ không dây (wireless LAN). Họ lo ngại về bảo mật trong WEP(Wired Equivalent Privacy), và quan tâm tới những giải pháp bảo mật mới thay thế an toàn hơn.
IEEE và Wi-Fi Alliance đã phát triển một giải pháp bảo mật hơn là: Bảo vệ truy cập Wi-Fi WPA (Wi-Fi Protected Access) và IEEE 802.11i (cũng được gọi là "WPA2 Certified" theo Wi-Fi Alliance) và một giải pháp khác mang tên VPN Fix cũng giúp tăng cường bảo mật mạng không dây.
Theo như Webtorial, WPA và 802.11i được sử dụng tương ứng là 29% và 22%. Mặt khác, 42% được sử dụng cho các "giải pháp tình thế" khác như: bảo mật hệ thống mạng riêng ảo VPN (Vitual Private Network) qua mạng cục bộ không dây.
Vậy, chúng ta nên lựa chọn giải pháp bảo mật nào cho mạng không dây?
WEP: Bảo mật quá tồi
WEP (Wired Equivalent Privacy) có nghĩa là bảo mật không dây tương đương với có dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào cùng một phương thức không an toàn. WEP sử dụng một khoá mã hoá không thay đổi có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các thiết bị được phép truy cập vào trong mạng, và cũng được sử dụng để mã hoá truyền dữ liệu.
Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc WEPCrack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến 10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit được sử dụng để mã hoá, và cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.
Không dự đoán được những lỗi trong khoá mã hoá, WEP có thể được tạo ra cách bảo mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ gãy khoá bảo mật.
Giải pháp tình thế: VPN (Vitual Private Network) Fix
Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix. Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những người sử dụng dịch vụ truy cập từ xa.
Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng LAN ảo (Vitual LAN). Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như là "không tin tưởng". Trước khi bất cứ các thiết bị WLAN được kết nối, chúng sẽ phải được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn... Tiếp đó, kết nối sẽ được thiết lập thành một tuyến kết nối bảo mật đã được mã hoá bởi một giao thức bảo mật ví dụ như IPSec, giống như khi sử dụng các dịch vụ truy cập từ xa qua Internet.
Tuy nhiên, giải pháp này cũng không phải là hoàn hảo, VPN Fix cần lưu lượng VPN lớn hơn cho tường lửa, và cần phải tạo các thủ tục khởi tạo cho từng người sử dụng. Hơn nữa, IPSec lại không hỗ những thiết bị có nhiều chức năng riêng như thiết bị cầm tay, máy quét mã vạch... Cuối cùng, về quan điểm kiến trúc mạng, cấu hình theo VPN chỉ là một giải pháp tình thế chứ không phải là sự kết hợp với WLAN.
Giải pháp bảo mật bằng xác thực
Một sự thật là khi đã khám phá ra những lỗi về bảo mật trong mạng LAN không dây, ngành công nghiệp đã phải tốn rất nhiều công sức để giải quyết bài toán này. Một điều cần ghi nhớ là chúng ta cần phải đối diện với 2 vấn đề: xác thực và bảo mật thông tin. Xác thực nhằm đảm bảo chắc chắn người sử dụng hợp pháp có thể truy cập vào mạng. Bảo mật giữ cho truyền dữ liệu an toàn và không bị lấy trộm trên đường truyền.
Một trong những ưu điểm của xác thực là IEEE 802.1x sử dụng giao thức xác thực mở rộng EAP (Extensible Authentication Protocol). EAP thực sự là một cơ sở tốt cho xác thực, và có thể được sử dụng với một vài các giao thức xác thực khác. Những giao thức đó bao gồm MD5, Transport Layer Security (TLS), Tunneled TLS (TTLS), Protected EAP (PEAP) và Cisco's Lightweight EAP (LEAP).
Thật may mắn, sự lựa chọn giao thức xác thực chỉ cần vài yếu tố cơ bản. Trước hết, một cơ chế chỉ cần cung cấp một hoặc 2 cách xác thực, có thể gọi là sự xác thực qua lại (mutual authentication), có nghĩa là mạng sẽ xác thực người sử dụng và người sử dụng cũng sẽ xác thực lại mạng. Điều này rất quan trọng với mạng WLAN, bởi hacker có thể thêm điểm truy cập trái phép nào đó vào giữa các thiết bị mạng và các điểm truy cập hợp pháp (kiểu tấn công man-in-the-middle), để chặn và thay đổi các gói tin trên đường truyền dữ liệu. Và phương thức mã hoá MD5 không cung cấp xác thực qua lại nên cũng không được khuyến khích sử dụng WLAN.
Chuẩn mã hoá 802.11i hay WPA2
Một giải pháp về lâu dài là sử dụng 802.11i tương đương với WPA2, được chứng nhận bởi Wi-Fi Alliance. Chuẩn này sử dụng thuật toán mã hoá mạnh mẽ và được gọi là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng thuật toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit hoặc 256 bit.
Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của Mĩ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mĩ để bảo vệ các thông tin nhạy cảm. Nếu muốn biết chi tiết về cách làm việc của thuật toán Rijndael, bạn có thể ghé thăm http://en.wikipedia.org/wiki/Rijndael
Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc 168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy nhiên, rất ít card mạng WLAN hoặc các điểm truy cập có hỗ trợ mã hoá bằng phần cứng tại thời điểm hiện tại. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét mã vạch đều không tương thích với chuẩn 802.11i.
WPA (Wi-Fi Protected Access)
Nhận thấy được những khó khăn khi nâng cấp lên 802.11i, Wi-Fi Alliance đã đưa ra giải pháp khác gọi là Wi-Fi Protected Access (WPA). Một trong những cải tiến quan trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128 bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở trên đường truyền.
Một trong những điểm hấp dẫn nhất của WPA là không yêu cầu nâng cấp phần cứng. Các nâng cấp miễn phí về phần mềm cho hầu hết các card mạng và điểm truy cập sử dụng WPA rất dễ dàng và có sẵn. Tuy nhiên, WPA cũng không hỗ trợ các thiết bị cầm tay và máy quét mã vạch. Theo Wi-Fi Alliance, có khoảng 200 thiết bị đã được cấp chứng nhận tương thích WPA.
WPA có sẵn 2 lựa chọn: WPA Personal và WPA Enterprise. Cả 2 lựa chọn này đều sử dụng giao thức TKIP, và sự khác biệt chỉ là khoá khởi tạo mã hoá lúc đầu. WPA Personal thích hợp cho gia đình và mạng văn phòng nhỏ, khoá khởi tạo sẽ được sử dụng tại các điểm truy cập và thiết bị máy trạm. Trong khi đó, WPA cho doanh nghiệp cần một máy chủ xác thực và 802.1x để cung cấp các khoá khởi tạo cho mỗi phiên làm việc.
Trong khi Wi-Fi Alliance đã đưa ra WPA, và được coi là loại trừ mọi lỗ hổng dễ bị tấn công của WEP, nhưng người sử dụng vẫn không thực sự tin tưởng vào WPA. Có một lỗ hổng trong WPA và lỗi này chỉ xảy ra với WPA Personal. Khi mà sử dụng hàm thay đổi khoá TKIP được sử dụng để tạo ra các khoá mã hoá bị phát hiện, nếu hacker có thể đoán được khoá khởi tạo hoặc một phần của mật khẩu, họ có thể xác định được toàn bộ mật khẩu, do đó có thể giải mã được dữ liệu. Tuy nhiên, lỗ hổng này cũng sẽ bị loại bỏ bằng cách sử dụng những khoá khởi tạo không dễ đoán (đừng sử dụng những từ như "PASSWORD" để làm mật khẩu).
Điều này cũng có nghĩa rằng kĩ thuật TKIP của WPA chỉ là giải pháp tạm thời , chưa cung cấp một phương thức bảo mật cao nhất. WPA chỉ thích hợp với những công ty mà không không truyền dữ liệu "mật" về những thương mại, hay các thông tin nhạy cảm... WPA cũng thích hợp với những hoạt động hàng ngày và mang tính thử nghiệm công nghệ.
Kết luận
Trong khi sử dụng VPN Fix qua các kết nối WLAN có thể là một ý tưởng hay và cũng sẽ là một hướng đi đúng. Nhưng sự không thuận tiện cũng như giá cả và tăng lưu lượng mạng cũng là rào cản cần vượt qua. Sự chuyển đổi sang 802.11i và mã hoá AES đem lại khả năng bảo mật cao nhất. Nhưng các tổ chức, cơ quan vẫn đang sử dụng hàng nghìn những card mạng WLAN không hỗ trợ chuẩn này. Hơn nữa AES không hỗ các thiết bị cầm tay và máy quét mã vạch hoặc các thiết bị khác... Đó là những giới hạn khi lựa chọn 802.11i.
Sự chuyển hướng sang WPA vẫn còn là những thử thách. Mặc dù, vẫn còn những lỗ hổng về bảo mật và có thể những lỗ hổng mới sẽ được phát hiện. Nhưng tại thời điểm này, WPA là lựa chọn tốt.
Dò khóa WEP của mạng WiFi và cách bảo vệ ?
1- Lời mở đầu.
Hiện nay công nghệ mạng ko dây wifi đã khá phổ biến, được nhiều nơi sử dụng vì tính tiện dụng của nó, nhưng bên cạnh đó vấn đề bảo mật cho wifi cũng gây nhức đầu cho ko ít người, nhất là người dùng gia đình & ko chuyên. Bài viết này tôi xin đề cập đến khả năng dò khoá mã hoá WEP (wep key) của wifi và các giải pháp phòng chống.
2- Giới thiệu chung về wifi và WEP.
WIFI – WIreless FIdelity ( thuật ngữ này hiện giờ vẫn còn đang gây tranh cãi vì nó chẳng có nghĩa gì cả) là một bộ giao thức cho thiết bị ko dây dựa trên chuẩn 802.11x bao gồm các Access Point và các thiết bị đầu cuối ko dây như pc card, usb card, wifi PDA… kết nối với nhau. Wifi sử dụng nhiều chuẩn mã hoá khác nhau nhằm bảo vệ tránh sự truy cập trái phép, vì tính đặc thù của kết nối ko dây là ko thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập được, nên mã hoá là điều cần thiết đối với người sử dụng cần sự riêng tư, an toàn. Wifi hiện nay có 3 kiểu mã hoá chính gồm: WEP-Wired Equivalent Privacy , WPA-Wireless Protected Access và WPA2. WEP là kiểu mã hoá ra đời sớm nhất và được hỗ trợ phổ biến nhất bởi các nhà sx thiết bị wifi, đa số thiết bị wifi đều hỗ trợ wep sử dụng khoá mã hoá dài từ 40-128 bits. Gần đây nhiều người đã phát hiện ra điểm yếu trong phương thức mã hoá wep và đã đưa ra rất nhiều công cụ *****. Tuy nhiên cũng ko thể từ bỏ WEP ngay được vì nó đã được sử dụng phổ biến từ lâu, ko phải nhà sx thiết bị nào cũng kịp chuyển sang hỗ trợ các kiểu mã hoá khác với các thiết bị mà họ đã sx ra từ trước.
Vậy điểm yếu của WEP là ở đâu ? Do wep sử dụng phương thức mã hoá dòng (stream cipher), nó cần 1 cơ chế đảm bảo hai gói tin-packet giống nhau sau khi được mã hoá sẽ cho ra kết quả ko giống nhau nhằm tránh sự suy đoán của hacker. Nhằm đạt mục tiêu trên, một giá trị có tên IV (Initialization Vector) được sử dụng để cộng thêm với khoá của ta đưa vào, tạo ra khoá khác nhau sau mỗi lần mã hoá dữ liệu. IV là giá trị có độ dài 24 bit được thay đổi ngẫu nhiên theo từng gói dữ liệu, vì vậy thực tế wep key chúng ta được chỉ định chỉ còn 40bits với kiểu mã hoá 64bits và 104bit với kiểu 128bit trong các AP(access point), vì 24bit được dành cho việc tạo các IV này(các bạn thử để ý xem, khi nhập mật mã trong AP nếu chọn mã hoá 64bit ta chỉ có thể nhập được 5 ký tự nếu chọn mật mã kiểu string, hay 10 ký tự nếu chọn kiểu hexa, tương đương với 40bit). Do khi thiết bị gửi tạo ra IV 1 cách ngẫu nhiên nên bắt buộc phải được gửi đến thiết bị nhận ở dạng ko mã hoá trong header của gói tin, thiết bị nhận sẽ sử dụng IV & khoá để giải mã phần còn lại của gói dữ liệu. IV chính là điểm yếu trong mô hình mã hoá WEP, vì độ dài của IV là 24bits nên giá trị của IV khoảng hơn 16 triệu trường hợp, nếu cracker bắt giữ đủ 1 số lượng packet nào đó thì hoàn toàn có thể phân tích các IV này để đoán ra khoá-key mà nạn nhân đang sử dụng. Phần tiếp sau đây tôi sẽ mô tả mô hình mạng wifi thử nghiệm và cách thức để dò ra khoá mã.
3- Mô hình thử nghiệm và cách dò.
Mô hình thử nghiệm tôi giả lập là 1 mạng wifi giống thực tế bao gồm 1 AP hiệu DLink DI524 & 1 máy tính có card wifi, được gọi là AP & client “mục tiêu”, sử dụng kiểu mã hóa WEP 64bits với mật khẩu là 1a2b3c4d5e dạng hex (xem hình 1).
Công cụ ***** tôi dùng bao gồm bộ chương trình phần mềm Aircrack 2.4 chạy trên linux, netstumbler, kismet, đĩa live cd linux, 1 máy laptop có 2 card wifi adapter hoặc 2 máy tính mỗi máy 1 card tương thích với aircrack.
Như người ta thường nói: biết người biết ta trăm trận trăm thắng, để ***** mạng wifi mục tiêu, đầu tiên ta phải biết rõ mọi thông tin về mục tiêu như chính chủ nhân của nó vậy (tất nhiên chỉ có khóa mã là chưa biết thôi. :-p). Thế những thông tin cần biết là gì ?, đó là :
- SSID hoặc ESSID (Service Set IDentifier -hiểu nôm na là tên nhận diện của mạng, giống như tên workgroup của mạng LAN ngang hàng vậy), ở mô hình thử nghiệm này tôi đặt tên là thunghiem.
- Kênh – channel của mạng, ở đây tôi để là kênh 11.
- Kiểu mã hóa, ở đây là WEP 64 bit.
- Địa chỉ MAC address của AP & MAC card của máy mục tiêu.
Vậy dùng cái gì để thu thập những thông tin này ?. Đó là dùng NetStumbler (xem hình 2) chạy trên windows hoặc Kismet trên linux, netstumbler ko xem được MAC của client mục tiêu nên ta dùng kismet or chương trình airodump trong bộ công cụ aircrack để thu thập.
Sau khi thu thập đủ thông tin về mục tiêu, ta tiến hành sử dụng bộ aircrack. Aircrack là bộ công cụ nguồn mở chạy trên linux dùng để dò tìm khóa mã WEP/WPA rất mạnh được phát triển bởi Christophe Devine, có rất nhiều công cụ tương tự nhưng aircrack được ưa thích hơn cả vì mạnh & dễ dùng, tuy nhiên nó cũng hỗ trợ khá ít loại chipset wifi. Bộ aircrack có 3 công cụ chính ta sẽ dùng là:
- aireplay dùng để bơm-injection làm phát sinh thêm dữ liệu lưu thông trong mạng mục tiêu, đối với những mạng có quá ít dữ liệu lưu thông mạng ta phải dùng nó để làm giảm thời gian chờ đợi bắt giữ đủ số packet phục vụ cho việc dò tìm khóa. (hình ví dụ 3)
- airodump dùng để monitor và capture-bắt giữ packet mà AP đã phát ra, lưu lại thành file capture.(hình 4)
- aircrack dùng để đọc file capture và dò tìm khóa.(hình 5)
Tôi sẽ ko ghi cụ thể các dòng lệnh & tham số ra đây vì ta có thể dùng tham số help –h để biết cú pháp cụ thể. Nhưng đầu tiên ta phải đưa 2 card wifi của chúng ta qua chế độ “monitor mode”, xem help của lệnh ifconfig & iwconfig để biết cách làm.
Vì mạng thử nghiệm của tôi có quá ít lưu thông mạng nên tôi sử dụng aireplay bơm các gói tin tới AP. Đại khái cách hoạt động của aireplay là gửi các gói tin deauthentication đến AP làm cho AP mất kết nối, “đá” client ra khỏi mạng (nhiều người thường dùng cách này để quấy phá mấy quán café wifi), client sẽ phải gởi các yêu cầu ARP request để kết nối lại với AP. Sau đó ta chạy aireplay với tham số khác cùng với đ/c MAC của client đã biết để giả dạng gửi các ARP request này liên tục tới AP, làm cho AP trả lời các yêu cầu này. Trong lúc chạy aireplay, ta chạy airodump để bắt giữ các gói tin trả lời từ AP có chứa IV (lưu ý aireplay & airodump phải chạy trên 2 card khác nhau, ko được cùng 1 card). Sau khi chạy airodump, theo dõi màn hình ta sẽ thấy số IV ở cột #Data sẽ tăng nhanh chóng cùng với sự tăng packet ở cột Beacons nếu ta đã chạy aireplay để bơm dữ liệu.
Tài liệu có nói rằng phải cần bắt khoảng dưới 500 ngàn IV để giải mã khóa 64bit & từ 500 ngàn IV trở lên để giải mã khóa 128bit, thực tế ở đây tôi chỉ cần hơn 300k IV là đã thành công. Khi thấy airodump đã capture được kha khá, ta cứ để nó chạy tiếp và mở 1 cửa sổ console khác và chạy aircrack để đọc các IV từ file mà airodump đã lưu để dò tìm khóa, tiến trình này rất nhanh thường ko mất quá 5s với máy P4 Mobile của tôi. Tổng thời gian để bơm dữ liệu & dò tìm khóa ko quá 1 tiếng, khá ấn tượng phải ko ?!.
Ngoài ra công cụ này còn có thể dò được cả khóa mã hóa bằng WPA, 1 phương thức an toàn và mạnh hơn WEP nhiều. Do thời gian có hạn nên tôi ko trình bày trong bài viết này.
4- Các phương pháp bảo mật cho mạng WiFi.
Phần này tôi sẽ trình bày các cách bảo mật cho mạng wifi, phân tích các mặt ưu nhược của từng cách, từ cách đơn giản đến phức tạp, tuy nhiên ai cũng có thể tự làm được hết. Chúng ta có thể áp dụng riêng lẻ từng cách hay kết hợp nhiều cách lại đều được.
- Tắt access point: khi xài xong or ko có nhu cầu sử dụng mạng nữa thì ta có thể tắt điện nó đi. Cách này nghe có vẻ cực đoan & buồn cười nhưng lại là cách hiệu quả 100%.
- Tắt chế độ SSID Broadcast: đa số các AP đều cho phép ta tắt chế độ này, nó làm cho tiện ích wireless zero config trong winxp or các ct scan wifi như netstumble ko nhìn thấy được mạng của chúng ta. Tuy vậy nó cũng ko ngăn được 1 số ct scan mạnh khác như Kismet…
- Lọc địa chỉ MAC: AP đều có tính năng lọc MAC của các client kết nối vào, có 2 cách lọc là chỉ cho phép và chỉ cấm đ/c MAC nào đó. Cách này vẫn ko ngăn được những cao thủ tìm cách biết được đ/c MAC các client trong mạng của ta & dễ dàng giả dạng chúng thông qua thay đổi đ/c MAC của card mạng wifi.
- Mã hóa: WEP, WPA/WPA2 là những kiểu mã hóa thông dụng trong các AP, nếu AP của bạn chỉ hỗ trợ WEP thì hãy xài key dài nhất có thể (thường là 128bit), nếu có hỗ trợ WPA thì xài key tối thiểu 128bit or 256bit. Đa phần các AP có support WPA đều xài kiểu WPA-PSK (pre-shared key hoặc passphare key), WPA2 mã hóa thì an toàn hơn nữa nhưng phải cần thêm 1 server Radius nhằm mục đích xác thực. Chúng ta nên đặt khóa càng phức tạp càng tốt(bao gồm ký tự hoa thường, số & ký tự đặc biệt kết hợp lại), ko nên dùng những từ có nghĩa hay có trong từ điển, vì cracker vẫn dò được mã khóa WPA khi dùng tự điển dò theo kiểu brute force attack. Dùng cách này sẽ làm giảm tốc độ đường truyền giữa AP & client vì các thiết bị sẽ mất nhiều năng lực để giải/mã hóa kiểu phức tạp này.
- Dùng các kiểu xác thực người dùng, tường lửa, mã hóa dữ liệu trên đĩa & tập tin: các cách này sẽ ko ngăn được người khác dò ra khóa mã hóa wep/wpa. Nhưng nó ngăn họ ko xem cũng như can thiệp vô được những dữ liệu đang lưu thông & tài nguyên trên mạng của chúng ta.
1- Lời mở đầu.
Hiện nay công nghệ mạng ko dây wifi đã khá phổ biến, được nhiều nơi sử dụng vì tính tiện dụng của nó, nhưng bên cạnh đó vấn đề bảo mật cho wifi cũng gây nhức đầu cho ko ít người, nhất là người dùng gia đình & ko chuyên. Bài viết này tôi xin đề cập đến khả năng dò khoá mã hoá WEP (wep key) của wifi và các giải pháp phòng chống.
2- Giới thiệu chung về wifi và WEP.
WIFI – WIreless FIdelity ( thuật ngữ này hiện giờ vẫn còn đang gây tranh cãi vì nó chẳng có nghĩa gì cả) là một bộ giao thức cho thiết bị ko dây dựa trên chuẩn 802.11x bao gồm các Access Point và các thiết bị đầu cuối ko dây như pc card, usb card, wifi PDA… kết nối với nhau. Wifi sử dụng nhiều chuẩn mã hoá khác nhau nhằm bảo vệ tránh sự truy cập trái phép, vì tính đặc thù của kết nối ko dây là ko thể giới hạn về mặt vật lý truy cập đến đường truyền, bất cứ ai trong vùng phủ sóng đều có thể truy cập được, nên mã hoá là điều cần thiết đối với người sử dụng cần sự riêng tư, an toàn. Wifi hiện nay có 3 kiểu mã hoá chính gồm: WEP-Wired Equivalent Privacy , WPA-Wireless Protected Access và WPA2. WEP là kiểu mã hoá ra đời sớm nhất và được hỗ trợ phổ biến nhất bởi các nhà sx thiết bị wifi, đa số thiết bị wifi đều hỗ trợ wep sử dụng khoá mã hoá dài từ 40-128 bits. Gần đây nhiều người đã phát hiện ra điểm yếu trong phương thức mã hoá wep và đã đưa ra rất nhiều công cụ *****. Tuy nhiên cũng ko thể từ bỏ WEP ngay được vì nó đã được sử dụng phổ biến từ lâu, ko phải nhà sx thiết bị nào cũng kịp chuyển sang hỗ trợ các kiểu mã hoá khác với các thiết bị mà họ đã sx ra từ trước.
Vậy điểm yếu của WEP là ở đâu ? Do wep sử dụng phương thức mã hoá dòng (stream cipher), nó cần 1 cơ chế đảm bảo hai gói tin-packet giống nhau sau khi được mã hoá sẽ cho ra kết quả ko giống nhau nhằm tránh sự suy đoán của hacker. Nhằm đạt mục tiêu trên, một giá trị có tên IV (Initialization Vector) được sử dụng để cộng thêm với khoá của ta đưa vào, tạo ra khoá khác nhau sau mỗi lần mã hoá dữ liệu. IV là giá trị có độ dài 24 bit được thay đổi ngẫu nhiên theo từng gói dữ liệu, vì vậy thực tế wep key chúng ta được chỉ định chỉ còn 40bits với kiểu mã hoá 64bits và 104bit với kiểu 128bit trong các AP(access point), vì 24bit được dành cho việc tạo các IV này(các bạn thử để ý xem, khi nhập mật mã trong AP nếu chọn mã hoá 64bit ta chỉ có thể nhập được 5 ký tự nếu chọn mật mã kiểu string, hay 10 ký tự nếu chọn kiểu hexa, tương đương với 40bit). Do khi thiết bị gửi tạo ra IV 1 cách ngẫu nhiên nên bắt buộc phải được gửi đến thiết bị nhận ở dạng ko mã hoá trong header của gói tin, thiết bị nhận sẽ sử dụng IV & khoá để giải mã phần còn lại của gói dữ liệu. IV chính là điểm yếu trong mô hình mã hoá WEP, vì độ dài của IV là 24bits nên giá trị của IV khoảng hơn 16 triệu trường hợp, nếu cracker bắt giữ đủ 1 số lượng packet nào đó thì hoàn toàn có thể phân tích các IV này để đoán ra khoá-key mà nạn nhân đang sử dụng. Phần tiếp sau đây tôi sẽ mô tả mô hình mạng wifi thử nghiệm và cách thức để dò ra khoá mã.
3- Mô hình thử nghiệm và cách dò.
Mô hình thử nghiệm tôi giả lập là 1 mạng wifi giống thực tế bao gồm 1 AP hiệu DLink DI524 & 1 máy tính có card wifi, được gọi là AP & client “mục tiêu”, sử dụng kiểu mã hóa WEP 64bits với mật khẩu là 1a2b3c4d5e dạng hex (xem hình 1).
Công cụ ***** tôi dùng bao gồm bộ chương trình phần mềm Aircrack 2.4 chạy trên linux, netstumbler, kismet, đĩa live cd linux, 1 máy laptop có 2 card wifi adapter hoặc 2 máy tính mỗi máy 1 card tương thích với aircrack.
Như người ta thường nói: biết người biết ta trăm trận trăm thắng, để ***** mạng wifi mục tiêu, đầu tiên ta phải biết rõ mọi thông tin về mục tiêu như chính chủ nhân của nó vậy (tất nhiên chỉ có khóa mã là chưa biết thôi. :-p). Thế những thông tin cần biết là gì ?, đó là :
- SSID hoặc ESSID (Service Set IDentifier -hiểu nôm na là tên nhận diện của mạng, giống như tên workgroup của mạng LAN ngang hàng vậy), ở mô hình thử nghiệm này tôi đặt tên là thunghiem.
- Kênh – channel của mạng, ở đây tôi để là kênh 11.
- Kiểu mã hóa, ở đây là WEP 64 bit.
- Địa chỉ MAC address của AP & MAC card của máy mục tiêu.
Vậy dùng cái gì để thu thập những thông tin này ?. Đó là dùng NetStumbler (xem hình 2) chạy trên windows hoặc Kismet trên linux, netstumbler ko xem được MAC của client mục tiêu nên ta dùng kismet or chương trình airodump trong bộ công cụ aircrack để thu thập.
Sau khi thu thập đủ thông tin về mục tiêu, ta tiến hành sử dụng bộ aircrack. Aircrack là bộ công cụ nguồn mở chạy trên linux dùng để dò tìm khóa mã WEP/WPA rất mạnh được phát triển bởi Christophe Devine, có rất nhiều công cụ tương tự nhưng aircrack được ưa thích hơn cả vì mạnh & dễ dùng, tuy nhiên nó cũng hỗ trợ khá ít loại chipset wifi. Bộ aircrack có 3 công cụ chính ta sẽ dùng là:
- aireplay dùng để bơm-injection làm phát sinh thêm dữ liệu lưu thông trong mạng mục tiêu, đối với những mạng có quá ít dữ liệu lưu thông mạng ta phải dùng nó để làm giảm thời gian chờ đợi bắt giữ đủ số packet phục vụ cho việc dò tìm khóa. (hình ví dụ 3)
- airodump dùng để monitor và capture-bắt giữ packet mà AP đã phát ra, lưu lại thành file capture.(hình 4)
- aircrack dùng để đọc file capture và dò tìm khóa.(hình 5)
Tôi sẽ ko ghi cụ thể các dòng lệnh & tham số ra đây vì ta có thể dùng tham số help –h để biết cú pháp cụ thể. Nhưng đầu tiên ta phải đưa 2 card wifi của chúng ta qua chế độ “monitor mode”, xem help của lệnh ifconfig & iwconfig để biết cách làm.
Vì mạng thử nghiệm của tôi có quá ít lưu thông mạng nên tôi sử dụng aireplay bơm các gói tin tới AP. Đại khái cách hoạt động của aireplay là gửi các gói tin deauthentication đến AP làm cho AP mất kết nối, “đá” client ra khỏi mạng (nhiều người thường dùng cách này để quấy phá mấy quán café wifi), client sẽ phải gởi các yêu cầu ARP request để kết nối lại với AP. Sau đó ta chạy aireplay với tham số khác cùng với đ/c MAC của client đã biết để giả dạng gửi các ARP request này liên tục tới AP, làm cho AP trả lời các yêu cầu này. Trong lúc chạy aireplay, ta chạy airodump để bắt giữ các gói tin trả lời từ AP có chứa IV (lưu ý aireplay & airodump phải chạy trên 2 card khác nhau, ko được cùng 1 card). Sau khi chạy airodump, theo dõi màn hình ta sẽ thấy số IV ở cột #Data sẽ tăng nhanh chóng cùng với sự tăng packet ở cột Beacons nếu ta đã chạy aireplay để bơm dữ liệu.
Tài liệu có nói rằng phải cần bắt khoảng dưới 500 ngàn IV để giải mã khóa 64bit & từ 500 ngàn IV trở lên để giải mã khóa 128bit, thực tế ở đây tôi chỉ cần hơn 300k IV là đã thành công. Khi thấy airodump đã capture được kha khá, ta cứ để nó chạy tiếp và mở 1 cửa sổ console khác và chạy aircrack để đọc các IV từ file mà airodump đã lưu để dò tìm khóa, tiến trình này rất nhanh thường ko mất quá 5s với máy P4 Mobile của tôi. Tổng thời gian để bơm dữ liệu & dò tìm khóa ko quá 1 tiếng, khá ấn tượng phải ko ?!.
Ngoài ra công cụ này còn có thể dò được cả khóa mã hóa bằng WPA, 1 phương thức an toàn và mạnh hơn WEP nhiều. Do thời gian có hạn nên tôi ko trình bày trong bài viết này.
4- Các phương pháp bảo mật cho mạng WiFi.
Phần này tôi sẽ trình bày các cách bảo mật cho mạng wifi, phân tích các mặt ưu nhược của từng cách, từ cách đơn giản đến phức tạp, tuy nhiên ai cũng có thể tự làm được hết. Chúng ta có thể áp dụng riêng lẻ từng cách hay kết hợp nhiều cách lại đều được.
- Tắt access point: khi xài xong or ko có nhu cầu sử dụng mạng nữa thì ta có thể tắt điện nó đi. Cách này nghe có vẻ cực đoan & buồn cười nhưng lại là cách hiệu quả 100%.
- Tắt chế độ SSID Broadcast: đa số các AP đều cho phép ta tắt chế độ này, nó làm cho tiện ích wireless zero config trong winxp or các ct scan wifi như netstumble ko nhìn thấy được mạng của chúng ta. Tuy vậy nó cũng ko ngăn được 1 số ct scan mạnh khác như Kismet…
- Lọc địa chỉ MAC: AP đều có tính năng lọc MAC của các client kết nối vào, có 2 cách lọc là chỉ cho phép và chỉ cấm đ/c MAC nào đó. Cách này vẫn ko ngăn được những cao thủ tìm cách biết được đ/c MAC các client trong mạng của ta & dễ dàng giả dạng chúng thông qua thay đổi đ/c MAC của card mạng wifi.
- Mã hóa: WEP, WPA/WPA2 là những kiểu mã hóa thông dụng trong các AP, nếu AP của bạn chỉ hỗ trợ WEP thì hãy xài key dài nhất có thể (thường là 128bit), nếu có hỗ trợ WPA thì xài key tối thiểu 128bit or 256bit. Đa phần các AP có support WPA đều xài kiểu WPA-PSK (pre-shared key hoặc passphare key), WPA2 mã hóa thì an toàn hơn nữa nhưng phải cần thêm 1 server Radius nhằm mục đích xác thực. Chúng ta nên đặt khóa càng phức tạp càng tốt(bao gồm ký tự hoa thường, số & ký tự đặc biệt kết hợp lại), ko nên dùng những từ có nghĩa hay có trong từ điển, vì cracker vẫn dò được mã khóa WPA khi dùng tự điển dò theo kiểu brute force attack. Dùng cách này sẽ làm giảm tốc độ đường truyền giữa AP & client vì các thiết bị sẽ mất nhiều năng lực để giải/mã hóa kiểu phức tạp này.
- Dùng các kiểu xác thực người dùng, tường lửa, mã hóa dữ liệu trên đĩa & tập tin: các cách này sẽ ko ngăn được người khác dò ra khóa mã hóa wep/wpa. Nhưng nó ngăn họ ko xem cũng như can thiệp vô được những dữ liệu đang lưu thông & tài nguyên trên mạng của chúng ta.
Đăng nhận xét