Chào các bạn, hôm nay tôi sẽ post loạt bài dịch về bảo mật mạng không dây, mong các bạn đóng góp ý kiến để bài dịch được tốt hơn. xin cảm ơn

Bảo mật mạng WLAN

Mạng WLAN bản thân nó là không bảo mật, tuy nhiên, đối với mạng có dây nếu bạn không có một sự phòng ngừa hay cấu hình bảo vệ nào thì nó cũng chẳng bảo mật gì. Điểm mấu chốt để tạo ra một mạng WLAN bảo mật và giữ nó an toàn là việc đào tạo những người triển khai và quản lý mạng WLAN. Đào tạo những nhà quản trị về mức độ bảo mật cơ bản và nâng cao cho mạng WLAN là một điều cốt yếu để ngăn chặn những lỗ hổng bảo mật trong mạng WLAN.

Trong bài này chúng ta sẽ thảo luận các đặc điểm của WEP (được sử dụng trong chuẩn 802.11) cũng như những yếu điểm của nó. Bài này cũng giải thích tại sao WEP không thể ngăn chặn hacker đột nhập vào mạng WLAN cũng như đưa ra một số cách sử dụng WEP ở một mức độ bảo mật nào đó sao cho có hiệu quả.

Chúng ta cũng sẽ thảo luận một số phương pháp khác nhau được sử dụgn để tấn công mạng WLAN, từ đó các admin có thể biết được và ngăn chặn những cuộc tấn công này. Chúng ta cũng sẽ bàn về các giải pháp bảo mật nỗi bật hiện nay. Cuối cùng chúng ta sẽ đưa ra một số khuyến cáo cho việc duy trì tính bảo mật cho WLAN cũng như các chính sách bảo mật được sử dụng trong WLAN.

I. Wired Equivalent Privacy (WEP)
WEP là một thuật toán mã hóa được sử dụng bởi tiến trình xác thực Shared Key Authentication để xác thực người dùng và mã hóa dữ liệu trên phân đoạn không dây của mạng LAN. Chuẩn 802.11 yêu cầu sử dụng WEP như là một phương thức bảo mật cho mạng không dây.

WEP là một thuật toán đơn giản sử dụng bộ phát sinh số giả ngẫu nhiên (PRNG = Pseudo-Random Number Generator) và mã hóa dòng (stream cipher) RC4. Trong nhiều năm, thuật toán này được xem như là một bí mật thương mại và chi tiết về nó là không được tiết lộ, nhưng vào tháng 9 năm 1994, một người nào đó đã phát tán mã nguồn của nó trên các mailing list. RC4 thuộc sở hữu thương mại của RSADSL. Mã hóa dòng RC4 là khá nhanh để giải mã và mã hóa, vì thế nó tiết kiệm được CPU, RC4 cũng đủ đơn giản để các nhà phát triển phần mềm lập trình nó vào trong sản phẩm của mình.

Chúng ta nói WEP là đơn giản, điều đó có nghĩa là nó khá yếu. Thuật toán RC4 được cài đặt một cách không thích hợp vào WEP tạo nên một giải pháp bảo mật thấp hơn mức vừa đủ cho mạng 802.11. Cả 64 bit và 128 bit WEP đều có mức độ yếu kém như nhau trong việc cài đặt 24 bit IV (Initialization Vector) và cùng sử dụng tiến trình mã hóa có nhiều lỗ hổng. Tiến trình này khởi tạo giá trị ban đầu cho IV là 0, sau đó tăng IV lên 1 khi mỗi gói được truyền. Trong một mạng thường xuyên nghẽn, những phân tích thống kê cho thấy rằng tất cả các giá trị IV có thể (2^24) sẽ được sử dụng hết chỉ trong ½ ngày, điều đó có nghĩa là IV sẽ khởi tạo lại từ 0 ít nhất một lần trong ngày. Điều này tạo ra lỗ hổng cho các hacker. Khi WEP được sử dụng, IV sẽ được truyền đi (mà không mã hóa) cùng với mỗi gói tin (đã mã hóa). Cách làm này tạo nên những lỗ hổng bảo mật sau:

+ Tấn công chủ động để chèn traffic mới: Các trạm di động không đặc quyền (chưa được quyền, unauthorized) có thể chèn các gói tin vào mạng dựa trên chuỗi dữ liệu biết trước.

+ Tấn công chủ động để giải mã traffic: Dựa trên việc lừa gạt AP

+ Tấn công bằng cách xây dựng từ điển (Dictionary-building): Sau khi thu thập đầy đủ traffic thì WEP key có thể bị crack dùng các phần mềm miễn phí. Một khi WEP key đã bị crack thì việc giải mã các gói tin theo thời gian thực có thể được thực hiện bằng cách lắng nghe các gói tin được quản bá, sau đó dùng WEP key để giải mã chúng.

+ Tấn công bị động để giải mã traffic: Bằng cách sử dụng những phân tích thống kê, WEP traffic có thể bị giải mã.

(còn tiếp)

1. Tại sao WEP được chọn
Nếu như WEP không bảo mật như vậy thì tại sao nó được chọn để cài đặt trong chuẩn 802.11? Khi chuẩn 802.11 được hoàn tất và thông qua, các nhà sản xuất thiết bị WLAN bắt đầu đưa sản phẩm của họ ra thị trường. Chuẩn 802.11 xác định rằng thiết bị phải bảo đảm các tiêu chuẩn về bảo mật sau:
+ Có thể xuất được (exportable)
+ Khá mạnh (reasonable strong)
+ Tự đồng bộ hóa (self-synchronizing)
+ Tính toán một cách hiệu quả (computationally efficient)
+ Tùy chọn (optional)

Và WEP đã thỏa mãn được tất cả các yêu cầu này. Khi WEP được cài đặt, nó dự định sẽ hỗ trợ các mục tiêu bảo mật như tính tin cậy (confidentiality), điều khiển truy cập, và tính toàn vẹn (integrity) dữ liệu. Điều thật sự xảy ra là có quá nhiều nhà phê chuẩn nghĩ rằng chỉ đơn giản là cài đặt WEP và chúng ta sẽ có một giải pháp bảo mật toàn diện cho WLAN. Nhưng họ cũng nhanh chóng nhận ra rằng WEP không phải là một giải pháp toàn diện cho bảo mật WLAN. Nhưng thật may mắn cho ngành công nghiệp không dây vì các thiết bị WLAN đã rất phổ biến trước khi những vấn đề này được biết đến, điều này đã làm cho nhiều nhà sản xuất và các tổ chức thứ 3 kết hợp với nhau để tạo ra các giải pháp bảo mật cho WLAN.

Chuẩn 802.11 để lại việc cài đặt WEP tùy thuộc vào các nhà sản xuất. Vì thế các nhà sản xuất cài đặt WEP key có thể giống hoặc khác nhau là cho WEP có phần nào đó yếu đi. Thậm chí, chuẩn tương thích wi-fi của WECA chỉ kiểm tra 40 bit WEP key. Một số nhà sản xuất WLAN đã tìm cách mở rộng WEP trong khi một số khác lại sử dụng các chuẩn mới như 802.1X với EAP hay VPN. Có nhiều giải pháp trên thị trường khắc phục được những yếu điểm của WEP.

2. WEP key
Chức năng chính của WEP dựa trên các key, là các yếu tố cơ bản cho thuật toán mã hóa. WEP key được cài đặt vào client và các thiết bị hạ tầng trong mạng WLAN. Một WEP key là một chuỗi ký tự và số được sử dụng theo 2 cách. Thứ nhât, WEP key có thể được sử dụng để kiểm tra định danh xác thực client. Thứ 2, WEP key có thể được dùng để mã hóa dữ liệu.

Khi một client sử dụng WEP cố gắng xác thực và kết nối với AP thì AP sẽ xác định xem client có giá trị WEP key chính xác hay không. Chính xác ở đây có nghĩa là client đã có key là một phần của hệ thống phân phát WEP key được cài đặt trong WLAN. WEP key phải khớp ở cả 2 đầu xác thực (AP và Client).

Một nhà quản trị WLAN có thể phân phát WEP key một cách thủ công hay sử dụng các phương thức cấp cao như hệ thống phân phát WEP key. Hệ thống phân phát WEP key có thể đơn giản chỉ là việc cài đặt các key tĩnh hay cao cấp hơn như sử dụng các server mã hóa key tập trung. Rõ ràng là các giải pháp cao cấp hơn sẽ gây ra khó khăn hơn cho các hacker khi muốn đột nhập vào mạng,

Có 2 loại WEP key là 64 bit và 128 bit (đôi khi bạn thường nghe nhắc đến là 40 bit và 104 bit). Điều này gây ra sự hiểu nhầm. Lý do cho sự hiểu nhầm này là WEP được cài đặt theo cách giống nhau cho cả 2 kích thước mã hóa kể trên. Mỗi WEP key đều sử dụng 24 bit IV kết nối với key bí mật. Chiều dài của key bí mật là 40 hoặc 104 bit, vì thế tạo thành WEP key 64 và 128 bit.

Việc nhập WEP key tĩnh vào client hay các thiết bị hạ tầng như Bridge hay AP là hoàn toàn đơn giản. Đôi khi, sẽ có một checkbox để chọn chiều dài WEP key sử dụng, đôi khi không có checkbox nào, vì thế admin phải biết phải nhập vào bao nhiêu ký tự khi được yêu cầu. Thông thường các phần mềm client sẽ cho phép nhập vào WEP key theo dạng ký tự số (ASCII) hay theo dạng thập lục phân (HEX)

http://i47.photobucket.com/albums/f185/hinhup/19-10-1.gif

Số ký tự nhập vào cho key bí mật tùy thuộc vào phần mềm cấu hình yêu cầu dạng ASCII hay HEX và sử dụng 64 bit hay 128 bit. Nếu card không dây của bạn hỗ trợ 128 bit, thì nó cũng hỗ trợ 64 bit. Nếu bạn nhập WEP key theo định dạng ASCII thì bạn sẽ phải nhập 5 ký tự cho 64 bit và 13 ký tự cho 128 bit. Nếu bạn nhập theo dạng HEX thì phải nhập 10 ký tự cho 64 bit và 26 ký tự cho 128 bit.

(còn tiếp)

WEP Key tĩnh (static)
Nếu bạn chọn cài đặt WEP key tĩnh, bạn sẽ phải gán các WEP key tĩnh này một cách thủ công cho các AP và các client. Các WEP key này sẽ không bao giờ thay đổi làm cho đoạn mạng đó dễ bị hacker tấn công. Vì lý do này mà WEP key tĩnh chỉ thích hợp sử dụng như là một phương thức bảo mật căn bản cho các mạng WLAN nhỏ, đơn giản. Nó không được khuyến khích sử dụng cho các doanh nghiệp lớn.

Khi sử dụng WEP key tĩnh, mạng sẽ có rất nhiều sơ hở. Hãy xem xét trường hợp một nhân viên rời khỏi công ty và làm mất card mạng không dây của họ. Vì WEP key được lưu trữ trong firmware của card mạng nên card đó vẫn có thể truy cập vào mạng không dây chừng nào WEP key trên WLAN chưa thay đổi.

Hầu hết các AP và client có khả năng lưu trữ 4 WEP key đồng thời. Một lý do hữu ích cho việc có nhiều WEP key chính là việc phân đoạn (segment) mạng. Giả sử rằng mạng có 100 client, sử dung 4 WEP key thay vì 1 sẽ phân người dùng vào 4 nhóm khác nhau, mỗi nhóm 25 người dùng. Nếu WEP key bị crack thì điều đó có nghĩa là chỉ cần thay đổi WEP key cho 25 client và AP thay vì phải thay đổi toàn bộ mạng.

Một lý do khác để có nhiều WEP key là trong môi trường hỗn hợp các card hỗ trợ 128 bit và các card chỉ hỗ trợ 64 bit. Trong trường hợp này, chúng ta có thể phân ra 2 nhóm người dùng.

http://i47.photobucket.com/albums/f185/hinhup/18-10-2.gif

(còn tiếp)

Server mã hóa key tập trung
Các doanh nghiệp sử dụng WEP key như là một phương thức bảo mật cơ bản cho WLAN thì nên sử dụng các server mã hóa key tập trung nếu có thể vì các lý do sau:
+ Sinh khóa tập trung (centralized key generation)
+ Phân phát khóa tập trung (Centralized key distribution)
+ Tự động quay vòng khóa lúc sử dụng (ongoing key rotation)
+ Giảm chi phí quản lý khóa

Bất cứ một thiết bị nào cũng có thể hoạt động như là một server key tập trung. Thường thì một server như RADIUS server hay các server ứng dụng chuyên biệt sẽ đảm nhận việc phát sinh WEP key mới trong thời gian sử dụng. Bình thường, khi sử dụng WEP, key (được gán bởi admin) sẽ được nhập một cách thủ công vào client và AP. Khi sử dụng server key tập trung thì một tiến trình tự động giữa client, AP và Server sẽ thực hiện tác vụ phân phát key.

http://i47.photobucket.com/albums/f185/hinhup/17-10-3.gif

Server mã hóa key tập trung cho phép tự động sinh key theo từng gói tin (per-packet), từng phiên làm việc (per-session) … tùy thuộc vào cài đặt của nhà sản xuất. Việc phân phát WEP key theo per-packet sẽ sinh ra một WEP key mới cho cả 2 đầu kết nối đối với từng gói tin được truyền đi, trong khi per-session sử dụng WEP key mới cho mỗi phiên làm việc giữa các node. Chú ý là việc sử dụng per-packet sẽ ngốn nhiều băng thông mạng hơn là per-session.

Sử dụng WEP
Khi WEP được khởi tạo, phần dữ liệu của gói tin truyền sẽ được mã hóa, tuy nhiên, một phần header của gói tin (bao gồm MAC address) là không được mã hóa. Tất cả những thông tin lớp 3 bao gồm địa chỉ nguồn, địa chỉ đích đều được mã hóa bởi WEP. Khi một AP gởi ra một Beacon trong mạng WLAN sử dụng WEP, Beacon này cũng không được mã hóa. Hãy lưu ý là Beacon không chứa thông tin lớp 3 nào.

Khi các gói tin được gởi sử dụng mã hóa WEP, những gói tin đó phải được giải mã mới có thể sử dụng được. Việc giải mã này làm tiêu tốn tài nguyên CPU và giảm hiệu quả băng thông trên WLAN đôi khi là rất đáng kể. Một số nhà sản xuất đã cài đặt thêm CPU vào AP của họ nhằm mục đích thực hiện mã hóa và giải mã WEP. Nhiều nhà sản xuất cài đặt mã hóa và giải mã WEP bằng phần mềm và sử dụng chung CPU cho việc quản lý AP, truyền gói tin … Những AP này sẽ bị ảnh hưởng lớn nếu như có sử dụng WEP. Bằng việc cài đặt WEP trong phần cứng thì có vẽ như là AP sẽ duy trì được băng thông 5 Mbps (hay nhiều hơn) khi WEP được sử dụng. Điểm bất lợi của giải pháp này là nó làm tăng chi phí cho các AP cấp cao.

WEP có thể được triển khai như là một cơ chế bảo mật cơ bản nhưng nhà quản trị mạng cần phải biết những yếu điểm của WEP và cách khắc phục chúng. Admin cũng nên biết rằng mỗi nhà sản xuất khác nhau sẽ cài đặt WEP khác nhau làm cho việc sử dụng sản phẩm của nhiều nhà sản xuất khác nhau gặp khó khăn.

(còn tiếp)

3. Advantage Encryption Standard (AES)
AES đã đạt được một sự chấp nhận như là một sự thay thế xứng đáng cho thuật toán RC4 được sử dụng trong WEP. AES sử dụng thuật toán Rijndale có chiều dài key lần lượt là 128 bit, 192 bit và 256 bit

AES được xem như là không thể crack được bởi hầu hết các chuyên gia mật mã và National Institute of Standard and Technology (NIST) đã chọn sử dụng AES cho chuẩn xữ lý thông tin liên bang (FIPS = Federal Information Processing Standard). Như là một phần của nỗ lực cải tiến chuẩn 802.11, ban làm việc 802.11i đã xem xét sử dụng AES trong phiên bản WEPv2

AES được thông qua bởi nhóm làm việc 802.11i để sử dụng trong WEPv2 sẽ được cài đặt trong firmware và software bởi các nhà sản xuất. AP firmware và Client firmware (PCMCIA card) sẽ phải nâng cấp lên để có thể hỗ trợ AES. Các phần mềm trên client (driver và ứng dụng) sẽ hỗ trợ cấu hình AES với key bí mật.


4. Filtering
Filtering (lọc) là một cơ chế bảo mật cơ bản có thể được sử dụng cùng với WEP và AES. Filtering có nghĩa là giữ lại những cái không mong muốn và cho phép những cái mong muốn. Filtering hoạt động tương tự như Access List trên Router: bằng cách định nghĩa các tham số mà client phải tuân theo để có thể truy cập vào mạng. Có 3 kiểu filtering cơ bản có thể được sử dụng trong WLAN.
+ SSID filtering
+ MAC address filtering
+ Protocol filtering

SSID Filtering
SSID filtering là một phương thức cơ bản của filtering, và chỉ nên được sử dụng cho việc điều khiển truy cập cơ bản. SSID (Service Set Identifier) chỉ là một thuật ngữ khác để gọi tên mạng. SSID của client phải khớp với SSID trên AP (trong mạng infrastructure) hay các client khác (trong mạng Ad-hoc) để có thể xác thực và kết nối với Service Set. Bởi vì SSID được quản bá mà không được mã hóa trong các Beacon nên rất dễ phát hiện giá trị SSID bằng cách sử dụng sniffer. Nhiều AP có khả năng không phát SSID trong các Beacon. Trong trường hợp này, client phải có cùng giá trị SSID để có thể kết nối với AP. Khi một hệ thống được cấu hình theo cách này, nó được gọi là một hệ thống đóng (Closed system). SSID filtering không được xem như là một phương thức tin cậy để ngăn chặn các người dùng không được quyền truy cập vào mạng. Một số sai lầm mà người sử dụng WLAN mắc phải trong việc quản lý SSID gồm:

+ Sử dụng giá trị SSID mặc định: Thiết lập kiểu này là không bảo mật tí nào. Rất đơn giản cho một hacker khi sử dụng sniffer để biết được địa chỉ MAC address của AP, sau đó nhìn vào phần OUI (3 bytes đầu) của MAC address để biết được nhà sản xuất (bằng cách tra bảng OUI được cung cấp hởi IEEE). Bảng OUI liệt kê các giá trị OUI khác nhau được gán cho các nhà sản xuất. Bạn có thể sử dụng NetStumbler để thực hiện các thao tác này một cách tự động. Mỗi nhà sản xuất thiết bị đều sử dụng giá trị SSID mặc định của riêng họ, việc có được giá trị này là hoàn toàn dễ dàng, chúng đều nằm trên website của nhà sản xuất. Vì thế bạn nên thay đổi giá trị mặc định của SSID

+ Sử dụng SSID có liên quan đến công ty: điều này gây ra một nguy cơ bảo mật bởi vì hacker có thể dễ dàng tìm được vị trí vật lý (physical location) của công ty. Khi tìm kiếm mạng WLAN trong bất kỳ vùng địa lý nào thì việc tìm được physical location của WLAN chỉ mới là ½ của vấn đề. Thậm chí sau khi phát hiện được WLAN sử dụng các công cụ như NetStumbler thì việc tìm được nguồn gốc của tín hiệu sẽ tốn nhiều thời gian và công sức. Khi một admin sử dụng SSID là tên của công ty hay tổ chức thì việc tìm được WLAN là rất dễ dàng. Vì thế, luôn luôn sử dụng SSID không liên quan đến công ty.

+ Sử dụng SSID như là một phương thức bảo mật mạng không dây: Điều này có thể gây ra một sự nản lòng bởi vì người sử dụng phải thay đổi giá trị SSID trong cấu hình của họ để có thể gia nhập vào mạng. SSID chỉ nên được sử dụng như là một phương thức để phân đoạn mạng chứ không phải là bảo mật mạng.

+ Quảng bá SSID một cách không cần thiết: Nếu AP của bạn có khả năng loại bỏ SSID khỏi Beacon và Probe Response thì nên sử dụng nó. Cấu hình này sẽ giúp cản trở những cuộc nghe lén một cách tình cờ

(còn tiếp)

MAC Address Filtering
WLAN có thể filter dựa trên MAC address của client. Hầu hết tất cả các AP (thậm chí cả những loại rẻ tiền) đều có chức năng MAC filtering. Người quản trị mạng có thể xây dựng, phân phát và duy trì một danh sách các địa chỉ MAC được cho phép. Nếu client có địa chỉ MAC không nằm trong danh sách MAC filter của AP cố gắng kết nối vào mạng thì chức năng MAC filter sẽ ngăn chặn không cho phép client đó kết nối vào mạng.

Dĩ nhiên việc đưa tất cả các MAC address của client vào bảng MAC filter của tất cả các AP trong một doanh nghiệp lớn là không khả thi. MAC address filter có thể được cài đặt trên một RADIUS server thay vì trên AP. Cấu hình này làm cho MAC filter là một giải pháp bảo mật có tính mở rộng (scalability) cao. Đơn giản chỉ nhập địa chỉ MAC address vào RADIUS cùng với thông tin định danh người dùng. RADIUS server thường chỉ đến một nguồn chứng thực khác, vì thế một nguồn chứng thực là cần thiết để có thể hỗ trợ MAC filter.

http://i47.photobucket.com/albums/f185/hinhup/16-10-4.gif

MAC filter có thể hoạt động theo cách ngược lại. Ví dụ, hãy xem xét trường hợp nhân viên rời khỏi công ty và mang theo card mạng không dây của họ. Card WLAN này chứa đựng WEP key và MAC filter. Admin có thể tạo ra bảng filter trên tất cả các AP để không cho phép MAC address của nhân viên đã rời khỏi công ty. Nếu MAC filter đã được sử dụng trong mạng khi card WLAN bị mất, ta có thể xóa MAC address của card đó ra khỏi danh sách cho phép.

Mặc dù MAC filter dường như là một phương thức tốt để bảo mật mạng WLAN trong một số trường hợp. Tuy nhiên, nó vẫn dễ bị tấn công trong các trường hợp sau:
+ Đánh cắp Card WLAN có trong danh sách cho phép của AP
+ Lắng nghe traffic trong mạng WLAN, sau đó giả mạo địa chỉ MAC address sau giờ làm việc.

MAC filter là rất thích hợp cho gia đình và văn phòng nhỏ nơi có ít client. Sử dụng WEP và MAC filter cung cấp một giải pháp bảo mật vừa đủ trong các môi trường như vậy. Giải pháp này vừa đủ là bởi vì không một hacker thông minh nào lại mất thời gian để đột nhập vào mạng gia đình/văn phòng nhỏ để rồi chẳng thu được thông tin quý giá gì.

(còn tiếp)

Circumventing MAC Filter
MAC address của các WLAN client được quảng bá không mã hóa bởi các AP và Bridge thậm chí khi WEP đã được sử dụng. Vì thế một hacker có thể lắng nghe traffic trên mạng và nhanh chóng tìm ra địa chỉ MAC address của các client được cho phép truy cập vào mạng. Để cho sniffer có thể thấy được địa chỉ MAC address của một station thì station đó phải truyền frame qua đoạn mạng không dây.

Một số card cho phép thay đổi địa chỉ MAC của chúng bằng phần mềm hay thậm chí thay đổi trong cấu hình của hệ điều hành. Khi hacker có đầy đủ danh sách các MAC address được cho phép, hacker có thể đơn giản thay đổi địa chỉ MAC address sang địa chỉ MAC address được cho phép là có thể truy cập được vào mạng.

Bởi vì 2 station có cùng một MAC address không thể chung sống hòa bình trên mạng LAN, nên hacker phải biết được MAC address của client đã di chuyển khỏi mạng trong một khoảng thời gian nào đó. Trong khoảng thời gian này, khi client không có trong mạng WLAN thì hacker có thể giả mạo địa chỉ MAC đó để có thể truy cập vào mạng. MAC filter nên được sử dụng khi có thể, nhưng không nên là cơ chế bảo mật duy nhất trên mạng WLAN.

Protocol Filtering
WLAN có thể filter các gói tin truyền trên mạng dựa trên các giao thức lớp 2 đến lớp 7. Trong nhiều trường hợp, các nhà sản xuất làm cho protocol filter có thể được cấu hình một cách độc lập cho cả đoạn mạng có dây và đoạn mạng không dây trên AP.

Hãy tưởng tượng trường hợp trong đó một Wireless Workgroup Bridge được đặt ở tòa nhà ở xa trong mạng WLAN campus kết nối ngược trở lại AP ở tòa nhà công nghệ thông tin chính. Bởi vì tất cả người dùng trong tòa nhà ở xa chia sẽ băng thông 5 Mbps giữa những tòa nhà này nên một số phương thức điều khiển phải được sử dụng. Nếu đường kết nối này được cài đặt với mục đích nhanh chóng truy cập internet cho người dùng thì chúng ta chỉ nên cho phép các giao thức như SMTP, POP3, HTTP, HTTPS, FTP và các giao thức tin nhắn nhanh khác. Khả năng lọc giao thức như vậy là rất hữu ích trong việc quản lý sử dụng môi trường dùng chung

http://i47.photobucket.com/albums/f185/hinhup/15-10-5.gif

(hết)