Trong môi trường Wi-Fi doanh nghiệp, ngoài việc triển khai các cơ chế mã hóa (WPA2/WPA3), ta còn có thể sử dụng thêm các biện pháp bảo mật bổ sung như MAC Filtering và SSID Cloaking. Tuy nhiên, cần hiểu rõ ưu điểm, hạn chế để tránh kỳ vọng sai lệch.
1. MAC Filtering
Khái niệm:
MAC Filtering cho phép kiểm soát truy cập Wi-Fi dựa trên địa chỉ MAC của thiết bị. Chỉ những thiết bị có MAC nằm trong danh sách cho phép mới có thể kết nối WLAN.
Đặc điểm chính:
Áp dụng theo từng WLAN (per-WLAN basis).
Thiết bị điều khiển (controller) sẽ kiểm tra MAC client dựa trên:
Local entry: MAC được cấu hình trực tiếp trên WLC.
RADIUS entry: MAC được định nghĩa trong server RADIUS, WLC sẽ relay truy vấn tới server này.
Lưu ý quan trọng:
MAC Filtering có thể sử dụng như một phần của chiến lược bảo mật tổng thể. Tuy nhiên, nếu triển khai riêng lẻ thì không an toàn, do kẻ tấn công có thể giả mạo MAC (MAC spoofing) để vượt qua kiểm soát.
2. SSID Cloaking
Khái niệm:
SSID có thể được broadcast (quảng bá) hoặc hidden (ẩn) bởi Access Point. Khi bật “SSID Cloaking”, AP sẽ không quảng bá SSID trong beacon.
Thực tế kỹ thuật:
SSID không xuất hiện trong beacon, nhưng vẫn có mặt trong:
Các công cụ sniffing (active hoặc passive) vẫn dễ dàng bắt được SSID.
Probe request từ client.
Probe response từ AP.
Association request / reassociation request.
Vấn đề bảo mật:
Không thực sự che giấu SSID.
Thiết bị BYOD thường cần SSID trong beacon để xác định vùng phủ sóng.
Client khi cố kết nối “hidden SSID” sẽ liên tục phát probe chứa SSID → tạo thêm bề mặt tấn công.
