วันจันทร์ที่ 31 สิงหาคม พ.ศ. 2552

เครือข่าย Wi-Fi อันตรายหากไม่ป้องกัน [ตอนที่ 2]

การป้องกันภัยสำหรับเครือข่ายไร้สาย Wi-Fi

ตาม หลักแล้วการสร้างความมั่นคงปลอดภัยให้แก่ ระบบสารสนเทศอย่างมีประสิทธิภาพ ควรคำนึงถึงปัจจัยหลายด้านทั้งทางด้านเทคโนโลยีที่เกี่ยวข้องด้านความรู้ ความเข้าใจ และความตระหนักด้านความปลอดภัยของผู้ใช้งานและผู้ติดตั้งดูแลระบบ (Security Awareness) รวมถึงมาตรการอื่นๆ ที่ควรนำมาใช้เช่น การมีระเบียบหรือข้อควรปฏิบัติในการใช้งานเครือข่าย สำหรับผู้ใช้งานและผู้ดูแลระบบ รวมถึงบทลงโทษสำหรับการกระผิด เป็นต้น

เทคโนโลยีที่เกี่ยวข้อง

• WEP (Wired Equivalent Privacy)
เทคโนโลยี WEPเป็นกลไกทางเลือกเดียวที่กำหนดไว้ตามมาตรฐาน IEEE 802.11 ในช่วง ยุคแรกๆ (ก่อนปี 2546) สำหรับการเข้ารหัสสัญญาณและการตรวจสอบพิสูจน์ตัวตน ผู้ใช้งาน ของอุปกรณ์เครือข่ายไร้สาย Wi-Fi เทคโนโลยี WEP อาศัยการเข้ารหัสสัญญาณแบบ shared และ symmetric กล่าวคือ อุปกรณ์ของผู้ใช้งานทั้งหมดบนเครือข่ายไร้สายหนึ่งๆ ต้องทราบ รหัสลับที่ใช้ร่วมกันเพื่อทำเข้ารหัสและถอดรหัสสัญญาณได้ ปัจจุบันเทคโนโลยี WEP ล้าสมัยไปแล้วเนื่องจากมีช่องโหว่และจุดอ่อนอยู่มาก โดยช่องโหว่ที่เป็นปัญหาที่สุดคือ การที่ผู้ไม่ประสงค์ดีสามารถคำนวณหาค่ารหัสลับด้วยหลักทางสถิติได้จากการ ดักฟัง และเก็บ รวบรวมสัญญาณจากเครือข่ายไร้สาย Wi-Fi หนึ่งๆ ได้เป็นปริมาณมากเพียงพอ โดยอาศัย โปรแกรม AirSnort ซึ่งเป็น Freeware ดังนั้นในปัจจุบันผู้ติดตั้ง และผู้ใช้งานควรหลีกเลี่ยง การใช้กลไก WEP และเลือกใช้เทคนิคทางเลือกอื่นที่มีความปลอดภัยสูงกว่า เช่น WPA (Wi-Fi Protected Access) และ IEEE 802.11i


• WPA & IEEE 802.11i
เทคโนโลยี WPA (Wi-Fi Protected Access) และ IEEE 802.11i เป็นเทคโนโลยีล่าสุด ตามมาตรฐาน IEEE 802.11 ที่เพิ่งได้รับการนำเข้าสู่ท้องตลาด เมื่อไม่นานมานี้คือ ประมาณช่วงต้นปี 2547 ซึ่ง มีความปลอดภัยสูงและควรนำมาใช้งานบนระบบเครือข่าย ไร้สาย Wi-Fi ของท่านเทคโนโลยี WPA (ซึ่งเป็นแกนหลักของ IEEE 802.11i) มีการใช้ กลไกการเข้ารหัสสัญญาณที่ซับซ้อน (TKIP: Temporal Key Integrity Protocol) โดยคีย์ที่ใช้ ในการเข้ารหัสสัญญาณ จะเปลี่ยนแปลงอัตโนมัติอยู่เสมอ สำหรับแต่ละผู้ใช้งานและทุกๆ แพ็กเก็ตข้อมูลที่ทำการรับส่งบนเครือข่าย มีกลไกการแลกเปลี่ยนคีย์ระหว่างอุปกรณ์ ผู้ใช้งานกับอุปกรณ์แม่ข่ายอย่างอัตโนมัติอีกทั้ง WPA ยังสามารถรองรับการพิสูจน์ตัวตนได้ หลากหลายรูปแบบ อาทิ

- WPA-PSK (WPA-Pre-Shared Key)
ซึ่ง ผู้ใช้ทุกคนใช้รหัสลับเดียวร่วมกันในการพิสูจน์ ตัวตนโหมด การทำงานนี้ได้รับ การพัฒนาขึ้นมา เพื่อมาทดแทนกลไก WEP นั่นเอง ซึ่งอาจเหมาะสำหรับเครือข่าย ที่มีผู้ใช้งานไม่มาก ได้แก่ เครือข่ายไร้สายตามที่อยู่อาศัยและตามที่ทำงานขนาดเล็ก


- WPA + EAP-TLS หรือ PEAP
สำหรับ โหมดนี้ ระบบเครือข่ายไร้สายจะต้องมี RADIUS server เพื่อทำหน้าที่ควบคุม การตรวจสอบพิสูจน์ ตัวตนผู้ใช้งาน และในทางกลับกันผู้ใช้งานจะตรวจสอบ พิสูจน์ ตัวตนเครือข่ายด้วย(Mutual Authentication) ซึ่งโหมดนี้ สามารถป้องกัน ทั้งปัญหา การลักลอบใช้เครือข่ายและการลักพา ผู้ใช้งานได้ โดยทางเลือก WPA + EAP-TLS จะมีการใช้ digitalcertificate สำหรับการตรวจสอบ พิสูจน์ตัวตนระหว่างระบบแม่ข่าย และผู้ใช้งานทั้งหมดบนระบบ สำหรับทางเลือก WPA + PEAP ซึ่งกำลังได้รับความ นิยมเป็นอย่างมาก ผู้ใช้ตรวจสอบ digital certificate ของระบบ ส่วนระบบจะตรวจสอบ username/password ของผู้ใช้งานโหมดนี้มีความปลอดภัย สูง และเหมาะสำหรับ เครือข่ายไร้สายในองค์กรที่มีขนาดใหญ ่และผู้ใช้งานส่วนมากใช้ระบบปฏิบัติการ MS Windows XP


• Mac Address Fitering
เทคนิค การจำกัด MAC address (MAC address filtering) เป็นกลไกสำหรับการจำกัด ผู้ใช้งานบนเครือข่ายไร้สาย ซึ่งเป็นที่นิยมกันมากในปัจจุบัน แต่มีความปลอดภัยต่ำ กล่าวคือ MAC address เปรียบเสมือน ID ของอุปกรณ์ชิ้นหนึ่งๆ บนเครือข่าย ดังนั้นวิธีง่ายๆ ในการจำกัดผู้ใช้งานบนเครือข่ายสามารถทำได้โดยการสร้างฐาน ข้อมูล MAC Address ของอุปกรณ์ที่มีสิทธิเข้ามาใช้งาน เครือข่ายได้ ซึ่งโดยทั่วไปแล้วอุปกรณ์แม่ข่าย ระบบเครือข่ายไร้สาย Wi-Fi จะสามารถรองรับการทำงานของกลไกนี้ ปัญหาของเทคนิคนี้คือ การปลอมแปลงค่า MAC address ของอุปกรณ์บนเครือข่าย สามารถทำได้โดยวิธีง่ายๆ เช่น ปรับแก้ค่าการทำงานของอุปกรณ์นั้นๆ ใน registry ของระบบปฏิบัติ MS Windows หรือใช้ โปรแกรมสำเร็จรูปสำหรับปรับตั้งค่า MAC address ของอุปกรณ์ เช่น โปรแกรม SMAC เนื่องจากเทคนิคการจำกัด MAC address เป็นกลไกที่มีประสิทธิภาพต่ำและไม่ปลอดภัย ท่านจึงไม่ควรใช้เทคนิคนี้เป็นกลไกหลักเพียงกลไกเดียว สำหรับการจำกัดผู้ใช้งานบน เครือข่ายไร้สาย แต่อาจใช้ เป็นกลไกเสริมกับเทคนิคอื่นเช่น WPA หากต้องการเสริม ความปลอดภัยบนระบบให้สูงมากยิ่งขึ้น

ข้อควารปฏิบัติ สำหรับผุ้ใช้งานเครือข่ายไร้สาย Wi-Fi นื่องจากในสถานการณ์ปัจจุบันผู้ให้บริการเครือข่ายไร้สาย Wi-Fi มักจะเน้นเรื่องความสะดวก สบายของการติดตั้งและใช้งาน โดยอาจไม่ตระหนักหรือไม่ได้คำนึงถึงความปลอดภัยของการ ใช้งาน ดังนั้นผู้ใช้งานเครือข่ายไร้สาย Wi-Fi จึงควรตระหนักถึงภัยอันตรายต่างๆ ที่แฝงมากับ ความรวดเร็วสะดวกสบายตามที่ผู้เขียนได้กล่าวมาแล้ว และควรคำนึงถึงข้อควรปฏิบัติเบื้องต้น ดังต่อไปนี้

• หลีกเลี่ยงการใช้งานเครือข่ายไร้สาย Wi-Fi ที่ไม่ปลอดภัย กล่าวคือ ก่อนเข้าไปใช้งาน เครือข่ายไร้สาย Wi-Fi ผู้ใช้ ควรตรวจสอบให้แน่ใจก่อนว่าระบบเครือข่ายไร้สายนั้นๆ มีการเข้ารหัสสัญญาณด้วยเทคโนโลยีที่มีความปลอดภัยสูง เช่น WPA, IEEE 802.11i หรือ VPN (Virtual PrivateNetwork) เป็นต้น

• หลีกเลี่ยงการรับส่งข้อมูลที่เป็นความลับผ่านแอปพลิเคชัน หรือโพรโตคอลที่ไม่มีการเข้า รหัสข้อมูล เช่น โพรโตคอล HTTP, TELNET, FTP, SNMP, POP และ Internet Chat เป็นต้น โดยผู้ใช้ควรเลือกใช้ซอฟต์แวร์ต่างๆ สำหรับ เข้ารหัสข้อมูลก่อนทำการส่งผ่าน เครือข่ายไร้สายหรือ เลือกใช้งานเฉพาะโพรโตคอลและแอพพลิเคชั่นที่มีการเข้ารหัสข้อมูล เช่น HTTPS, SSH, PGP เป็นต้น

• เสริมสร้างความแข็งแกร่งของระบบคอมพิวเตอร์ของท่านเพื่อป้องกันการถูกโจมตี Hacked หรือติดไวรัส อาทิ

- การอัปเดตโปรแกรมซ่อมแซมช่องโหว่ระบบปฏิบัติการอยู่เสมอ (Update OS Patches)
- การติดตั้งและใช้งานโปรแกรมจำพวก Personal Firewall เช่น Windows XP Firewall หรือ Zones Alarm
- การติดตั้งใช้งานโปรแกรม Anti-Virus และอัปเดตฐานข้อมูล ไวรัสของโปรแกรมให้ทันสมัยอยู่เสมอ
- Disable ฟังก์ชันการแชร์ไฟล์และเครือข่าย และฟังก์ชัน Remote Desktop/Remote Login ของระบบ ปฏิบัติการ

• ตรวจสอบและพิจารณาข้อมูลต่างๆ ที่ระบบปฏิบัติการหรือ Web Browser เตือนขึ้นมาเพื่อ แจ้งความเสี่ยงอย่างละเอียด โดยเฉพาะอย่างยิ่ง คำเตือนเกี่ยวกับ ปัญหา Invalid Digital Certificate หรือ Untrusted Certificate Authority ซึ่งอาจแสดงถึงว่ามีกำลังมีการโจมตีระบบ ของท่านเกิดขึ้น* เปิดใช้อุปกรณ์เครือข่ายไร้สาย Wi-Fi ของท่านเมื่อต้องการ เข้าใช้งาน เครือข่ายหนึ่งๆ และปิดหรือ disable อุปกรณ์ ดังกล่าวเมื่อท่านเลิกใช้งานแล้ว

บทสรุป
เครือข่ายไร้สาย Wi-Fi เป็นเทคโนโลยีที่มีประโยชน์อยู่มากโดยเฉพาะอย่างยิ่ง ทำให้เกิดความ สะดวกต่อผู้ใช้ในการต่อเชื่อมเข้ากับเครือข่ายได้อย่างสะดวก และมีอิสระแต่ก็ทำให้เกิดความ เสี่ยงเพิ่มขึ้นสำหรับข้อมูลซึ่งมีการสื่อสารกัน บนระบบเพราะอาจจะถูกโจรกรรมได้โดยง่าย การที่บุคคลภายนอกลักลอบเข้ามาใช้เครือข่ายโดยไม่ได้รับอนุญาต และ ลักลอบใช้เป็นฐานโจมตี เครือข่ายอื่นๆ ได้หากไม่มีการป้องกันภัยอย่างเหมาะสม โดยการนำเอาเทคโนโลยีรักษาความ ปลอดภัยที่มีความปลอดภัยสูงมาใช้งาน บนระบบโดยเฉพาะอย่างยิ่งเทคโนโลยี การเข้ารหัส สัญญาณและการตรวจสอบพิสูจน์ตัวตน ผู้ติดตั้งระบบเครือข่ายไร้สาย Wi-Fi ควรหลีกเลี่ยง เทคโนโลยี WEP ซึ่งมีจุดอ่อนอยู่มาก และเลือกใช้เทคโนโลยี WPA หรือ IEEE 802.11i ซึ่งมีความปลอดภัยสูงสำหรับเครือข่ายขนาดเล็ก ควรเลือกใช้เทคโนโลยี WPA ในโหมด WPA-PSK เป็นอย่างน้อย ส่วนเครือข่ายในองค์กรขนาดใหญ่ ควรมีการใช้งานเทคโนโลยี WPA ใน โหมด WPA + EAP/TLS หรือ WPA + PEAP นอกจากนี้ผู้ใช้งานเครือข่ายไร้สาย Wi-Fi ควร ตระหนักถึงความเสี่ยงต่างๆ ที่แฝงอยู่กับความสะดวกสบายในการใช้งาน หลีกเลี่ยงการรับส่งข้อมูล ที่เป็นความลับ และเลือกใช้งานโพรโตคอลและ แอปพลิเคชันที่มีการ เข้ารหัสข้อมูลเช่น HTTPS, SSH, PGP เป็นต้น

ที่มา http://www.itubon.com

สิทธิลักษณ์(ฟีล์ม)

4 ความคิดเห็น:

  1. ขอบคุณมากๆที่มาให้ความรู้กับเรา
    เราจะได้นำไปใช้นะ ^^

    ตอบลบ
  2. อ้อ...ลืมบอกชื่อ

    วันนิดา (ต๊อบ)

    อิอิ

    ตอบลบ
  3. ถ้าไม่ใช้ก็ปิดสัญญาณดีกว่า....

    ณัฐพล(ท๊อป)

    ตอบลบ
  4. ในโลกนี้สร้างทุกอย่างให้มี 2 ด้านจริงๆเลยนะเนี่ย

    เราว่าทุกอย่างก็น่าจะเป็นแบบนี้อีกนะ

    งัยเพื่อนๆก็ระวังตัวกันด้วยนะจ๊ะ

    วิภารัตน์(แหม่ม)

    ตอบลบ