Bảo mật Wi-Fi: Bạn nên dùng WPA2-AES, WPA2-TKIP hoặc cả hai?

MrQuậy

Well-Known Member
24/09/2013
178
2.221 bài viết
Bảo mật Wi-Fi: Bạn nên dùng WPA2-AES, WPA2-TKIP hoặc cả hai?
Nhiều thiết bị định tuyến (router) hỗ trợ các tùy chọn bảo mật như WPA2-PSK (TKIP), WPA2-PSK (AES) và WPA2-PSK (TKIP / AES). Nếu bạn chọn sai, hệ thống mạng của bạn sẽ trở nên chậm chạp và kém an toàn.

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) và Wi-Fi Protected Access II (WPA2) là những thuật toán bảo mật phổ biến nhất bạn sẽ gặp rất nhiều khi thiết lập mạng không dây. WEP là thuật toán bảo mật lâu đời nhất nhưng tồn tại nhiều lỗ hổng đã được phát hiện theo thời gian. Đến WPA, nó giúp cải thiện sự an toàn nhưng hiện cũng được coi là khá dễ dàng bị xâm nhập. WPA2 mới tuy không hoàn hảo, nhưng lại là lựa chọn an toàn nhất. Temporal Key Integrity Protocol (TKIP) và Advanced Encryption Standard (AES) là hai kiểu mã hoá khác nhau được sử dụng trên các mạng dùng bảo mật WPA2. Chúng ta hãy cùng xem chúng khác biệt như thế nào và cái nào là tốt nhất cho nhu cầu của bạn.

1721423.jpg


Mạng Wi-Fi đã là một phần không thể tách rời trong cuộc sống của con người

TKIP và AES

TKIP và AES là hai kiểu mã hoá khác nhau được sử dụng trong mạng Wi-Fi. Thật ra, TKIP là một giao thức mã hóa cũ được giới thiệu cùng với WPA để thay thế cho WEP cũ kỹ và kém an toàn ở thời điểm đó. TKIP gần như tương tự với mã hoá WEP. Hiện không còn ai khuyến nghị sử dụng TKIP do nó không còn được coi là phương thức mã hóa an toàn nữa. Nói cách khác, bạn không nên sử dụng nó.

AES là một giao thức mã hóa an toàn hơn được giới thiệu cùng với WPA2. AES cũng không phải là một tiêu chuẩn được phát triển đặc biệt dành riêng cho mạng Wi-Fi. Đây là một chuẩn mã hoá quan trọng được sử dụng trên toàn thế giới và đã được chính phủ Mỹ thông qua. Ví dụ như khi bạn mã hóa một ổ cứng bằng công cụ mã hóa phổ biến như TrueCrypt chẳng hạn, thì cơ chế mã hóa AES có thể được dùng trong trường hợp này. AES hiện được cho là khá an toàn, điểm yếu của nó là có thể bị tấn công bằng phương pháp Brute-Force (là phương pháp tấn công phổ biến bằng cách thử rất nhiều mật khẩu khác nhau cho tới khi tìm được mật khẩu đúng) - nhưng có thể ngăn chặn bằng cách sử dụng mật khẩu mạnh - và các điểm yếu bảo mật trong các mặt khác của WPA2.

Nói một cách ngắn gọn, TKIP là một chuẩn mã hóa cũ đi cùng với tiêu chuẩn WPA. AES là một giải pháp mã hóa Wi-Fi mới hơn, đi kèm với tiêu chuẩn WPA2 mới và an toàn. Về lý thuyết là như vậy, tuy nhiên, tùy thuộc vào router của bạn, chỉ sử dụng WPA2 thôi có thể là không đủ.

Theo khuyến nghị, cơ chế bảo mật WPA2 sử dụng mã hóa AES sẽ cho kết quả bảo mật tối ưu, nhưng nó cũng có thể sử dụng mã hóa TKIP để tương thích ngược với các thiết bị cũ. Ở trạng thái như vậy, các thiết bị hỗ trợ WPA2 sẽ kết nối với cơ chế WPA2 và các thiết bị hỗ trợ WPA sẽ kết nối với cơ chế WPA. Vì vậy "WPA2" không phải lúc nào cũng có nghĩa là "WPA2-AES". Tuy nhiên, trên các thiết bị bạn không thấy có tùy chọn "TKIP" hoặc "AES", thì bảo mật "WPA2" thường đồng nghĩa với "WPA2-AES".

Và trong trường hợp bạn đang tự hỏi "PSK" nghĩa là gì, thì xin trả lời rằng nó là viết tắt của "khoá chia sẻ trước" (Preshare key) - thường là nội dung mã hóa cụm mật khẩu của bạn. Điều này làm cho nó khác biệt với WPA-Enterprise – vốn sử dụng một máy chủ RADIUS để phân phát những mã khóa duy nhất trên mạng Wi-Fi của chính phủ hoặc công ty lớn hơn.

Các chế độ bảo mật Wi-Fi

1721414.jpg


Các chế độ bảo mật có thể có trên một Router

Bạn cảm thấy bối rối rồi phải không? Điều này cũng không có gì đáng ngạc nhiên. Tất cả những gì bạn cần làm là chọn lựa một tùy chọn an toàn nhất trong danh sách các tùy chọn có thể giúp các thiết bị bạn đang có kết nối được vào mạng Wi-Fi. Dưới đây là các tuỳ chọn mà bạn có thể thấy trên router của mình:

Open (có rủi ro): Mạng Wi-Fi của bạn sẽ không yêu cầu mật khẩu khi bạn kết nối. Bạn không nên sử dụng tùy chọn này, những kẻ xấu tính có thể sử dụng mạng Wi-Fi "miễn phí" của bạn và cảnh sát có thể tìm bạn trong trường hợp có chuyện gì đó nghiêm trọng xảy ra.

WEP 64 (có rủi ro): Chuẩn giao thức WEP cũ kỹ rất dễ bị xâm nhập và bạn không nên sử dụng nó.

WEP 128 (có rủi ro): Đây là chuẩn giao thức WEP sử dụng khóa mã hóa lớn hơn, mạnh hơn WEP 64. Nhưng cũng như WEP 64, bạn cũng không nên sử dụng nó.

WPA-PSK (TKIP): Đây là phiên bản gốc của giao thức WPA (nói đúng hơn là WPA1). Hiện nó không an toàn và đã có WPA2 thay thế.

WPA-PSK (AES): Cũng sử dụng giao thức WPA nhưng thay thế TKIP bằng mã hóa AES hiện đại hơn. Thường thì các thiết bị hỗ trợ AES sẽ hầu như luôn luôn hỗ trợ WPA2, trong khi các thiết bị có thể kết nối qua WPA hầu như không hỗ trợ mã hóa AES. Vì vậy, tùy chọn này không có nhiều ý nghĩa.

WPA2-PSK (TKIP): Sử dụng chuẩn WPA2 hiện đại với mã hoá TKIP cũ hơn. Tùy chọn này không an toàn và nó chỉ phù hợp nếu bạn có những thiết bị cũ - không thể kết nối tới mạng (sử dụng) WPA2-PSK (AES).

WPA2-PSK (AES): Đây là lựa chọn an toàn nhất. Nó sử dụng WPA2, chuẩn mã hoá Wi-Fi mới nhất và giao thức mã hóa AES mới nhất. Bạn nên sử dụng tùy chọn này. Trên một số thiết bị, bạn sẽ thấy tùy chọn "WPA2" hoặc "WPA2-PSK". Nếu bạn chọn, có thể nó sẽ chỉ sử dụng mã hóa AES (như đã nói ở trên), đây là lựa chọn thường dùng nhất.

WPAWPA2-PSK (TKIP/AES): Một số thiết bị có tùy chọn này - và thậm chí là khuyên dùng - chế độ hỗn hợp này. Tùy chọn này cho phép hầu như tất cả mọi thiết bị - hỗ trợ giao thức WPA và WPA2, với cả mã hóa TKIP và AES - kết nối vào hệ thống mạng bình thường. Lựa chọn này mang lại sự tương thích tối đa cho bất kỳ thiết bị nào bạn có, nhưng đồng thời cũng mang lại nguy cơ bị tấn công qua lỗ hổng trên giao thức WPA và TKIP.

Chứng nhận WPA2 được cấp vào năm 2004, cách đây hơn 10 năm. Năm 2006, chứng nhận WPA2 trở thành tiêu chuẩn bắt buộc. Bất kỳ thiết bị nào được sản xuất từ năm 2006 trở về đây có biểu tượng "Wi-Fi" thì bắt buộc phải hỗ trợ giao thức WPA2.

Rất có thể những thiết bị có thể kết nối Wi-Fi của bạn không "già" đến 8 hay 10 năm tuổi nên bạn chỉ nên chọn sử dụng WPA2-PSK (AES). Hãy chọn thử nó và kiểm tra xem có thiết bị nào của bạn không thể kết nối hay không. Nếu có một thiết bị nào đó không kết nối được, bạn có thể thay đổi sử dụng lại tùy chọn cũ. Trong trường hợp bảo mật là mối quan tâm thật sự đối với bạn (hoặc đối với công ty của bạn), bạn nên cân nhắc mua những thiết bị được sản xuất từ năm 2006 trở về đây.

1721417.jpg


Hiện tại đang có một đợt tấn công lớn nhắm vào các thiết bị Wi-Fi với tùy chọn cũ, chứa lỗ hổng bảo mật

WPA và TKIP sẽ làm chậm mạng Wi-Fi của bạn

Mặc dù sẽ giúp tương thích với mọi thiết bị, nhưng tùy chọn WPA và TKIP cũng có thể làm chậm mạng Wi-Fi của bạn. Nhiều bộ định tuyến Wi-Fi đời mới hỗ trợ chuẩn 802.11n và cả những chuẩn mới hơn, nhưng tốc độ mạng Wi-Fi mới sẽ bị giảm xuống còn 54 mbps nếu bạn chọn sử dụng WPA hoặc TKIP. Nhà sản xuất làm điều này nhằm đảm bảo chúng (thiết bị Router) tương thích với các thiết bị cũ hơn.

Chuẩn kết nối 802.11n hỗ trợ lên đến 300 mbps nếu bạn sử dụng WPA2 với AES, còn 802.11ac mang đến tốc độ tối đa 3.46 Gbps trong điều kiện tối ưu (trên lý thuyết).

Trên hầu hết các router mà chúng ta thường thấy sẽ có các tùy chọn phổ biến là WEP, WPA (TKIP) và WPA2 (AES) - có thể có thêm tùy chọn WPA (TKIP) + WPA2 (AES) để tương thích với nhiều loại thiết bị khác nhau. Nếu bạn có một router có tùy chọn WPA2 với mã hóa TKIP hoặc AES, hãy chọn AES, chắc chắn là hầu hết mọi thiết bị của bạn sẽ làm việc với nó, và vì nó cũng nhanh hơn và an toàn hơn.

Theo Vnreview​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên