wireless security

การรักษาความปลอดภัยแบบไร้สาย
รายละเอียดของแท็กยินดีต้อนรับสู่หน้าแท็ก'การรักษาความปลอดภัยแบบไร้สาย'ที่ Technorati หน้านี้มีเนื้อหาจากที่ไกลถึงของ blogosphere ที่ผู้เขียนมี"แท็ก"กับ"การรักษาความปลอดภัยแบบไร้สาย'

คุณเป็นผู้เชี่ยวชาญเกี่ยวกับการ'ไร้สายรักษาความปลอดภัยหรือไม่ คุณต้องการที่จะเป็นผู้มีอำนาจในการ'การรักษาความปลอดภัยแบบไร้สาย'? คุณสามารถเขียนคำอธิบายที่จะปรากฏเป็นสิทธิที่นี่



ระบบ LAN ไร้สาย หรือ Wireless LAN กำลังได้รับความนิยมเพิ่มมากขั้นเรื่อยๆ ขณะที่ความปลอดภัยของระบบ Wireless LAN ยังคงเป็นปัญหาที่ต้องได้รับการแก้ไขอย่างถูกวิธี เราควรติดตั้งระบบ Wireless LAN ให้ปลอดภัยตามหลักการด้าน Information Security เพื่อลดความเสี่ยงที่อาจเกิดขึ้นจากผู้ไม่หวังดี



ลองตรวจสอบระบบ Wireless LAN ของคุณดูว่าได้ทำตาม 10 เทคนิคการติดตั้งระบบ Wireless LAN ให้ปลอดภัยแล้วหรือยัง ถ้ายังก็แปลว่าระบบWireless LAN ของคุณยังมีความเสี่ยงอยู่ และควรได้รับการแก้ไขให้ปลอดภัยยิ่งขึ้นนะครับ



10 เทคนิคการติดตั้งระบบ LAN ไร้สายให้ปลอดภัยจากแฮกเกอร์



1. วาง Access Point (AP) ในตำแหน่งที่เหมาะสม

ไม่ควรวาง AP ไว้ในระบบ LAN ภายในควรวาง AP บริเวณหน้า Firewall จะปลอดภัยกว่า แต่ถ้าจำเป็นจริงๆ ต้องวางภายใน LAN ที่เป็น Internal Network ก็ควรจะมีการเพิ่มการ Authentication, Encryption เข้าไปด้วย



2.กำหนดรายการ MAC Address ที่สามารถเข้าใช้AP ได้เฉพาะที่เราอนุญาตเท่านั้น

การ Lock ด้วยวิธีกำหนดค่า MAC Address นั้น แม้ว่าจะไม่ใช้วิธีที่กัน Hacker ได้ 100% ก็ตามเพราะ Hacker สามารถ Spoof ปลอม MAC Address ได้แต่ก็ยังดีกว่าไม่มีการกำหนดเสียเลย เหมือนกับว่าเราควรมีการป้องกันหลายๆ วิธีการกำหนด MAC Address ให้เฉพาะเครื่องที่เราอนุญาตก็เป็นการกันในชั้นหนึ่ง เพื่อให้Hacker เกิดความยากลำบากในการ Hack เข้าสู่ระบบ Wireless LAN ของเรา



3. จัดการกับ SSID (Service Set Identifier) ที่ถูกกำหนดเป็นค่า Default มาจากโรงงานผลิต

ค่า SSID จะถูกกำหนดเป็นค่า Default มาจาก Vendor เช่นCisco Aironet กำหนดเป็นชื่อ tsunami เป็นต้น เราควรทำการเปลี่ยนค่า SSID ที่เป็นค่า Default ทันทีที่เรานำ AP มาใช้งาน และ ควรปิดคุณสมบัติการ Auto Broadcast SSID ของตัว AP ด้วย



4. ใช้ WEP (Wired Equivalent Privacy) security protocol ในการเข้ารหัสข้อมูลระหว่าง IEEE 802.11b Wireless LAN Client และ Access Point (AP)

มาตรฐาน WEP เป็นมาตรฐานหลักที่มีใน AP ทุกตัว แต่โดยปกติแล้วจะไม่ได้เปิดใช้ ทำให้แฮกเกอร์สามารถใช้โปรแกรม Packet Sniffer เช่น Ethereal (www.ethereal.com) ดักจับ Packet และสามารถอ่านข้อมูลที่เป็น Plain text ได้เพราะ AP มีลักษณะการทำงานแบบ HUB ไม่ใช่Switching เหมือนที่เราใช้กันใน LAN ทุกวันนี้ เราจึงควรมีการเข้ารหัส Packet ของเราในระดับ Layer 2 เพื่อให้ยากต่อการจับด้วยโปรแกรมประเภทนี้ ถ้าเราเพิ่มการgenerate WEP Key เป็นแบบ Dynamic จะช่วยให้ปลอดภัยมากยิ่งขึ้น รวมถึงการใช้งานแบบSession-Based และ User-Based WEP Key ก็ช่วยได้เช่นกัน







5. อย่าหวังพึ่ง WEP อย่างเดียว เพราะ WEP สามารถที่จะถูก Crack ได้

การเพิ่ม WEP เข้ามาในการใช้งาน Wireless LAN เป็นสิ่งที่ควรทำ แต่ WEP ก็ไม่สามารถกันพวกแฮกเกอร์ได้ 100% เพราะมีโปรแกรมที่สามารถถอดรหัส WEP ได้ ถ้าได้IP Packet จำนวนมากพอ เช่น โปรแกรม AirSnortจาก http://www.shmoo.com เป็นต้นเพราะฉะนั้นเราควรเพิ่มการป้องกันใน Layer อื่นๆเข้าไปด้วย



6.ใช้ VPN ร่วมกับการใช้งาน Wireless LAN

การใช้ VPN ระหว่าง Wireless LAN Client กับ AP ต่อเชื่อมไปยัง VPN Server เป็นวิธีที่ปลอดภัยมากกว่าการใช้ WEP และ การ Lock MAC Address การใช้ VPN ถือได้ว่าเป็นการป้องกันที่ลึกอีกขั้นหนึ่ง และเป็นการรักษาความปลอดภัยในลักษณะ end to end อีกด้วย



7. เพิ่มการ Authentication โดยใช้ RADIUS หรือ TACACS Server

ถ้าองค์กรมี RADIUS Server หรือ CISCO Secure ACS (TACACS) Server อยู่แล้ว สามารถนำมาใช้ร่วมกับ AP ที่มีความสามารถในการตรวจสอบUsername และ Password ก่อนที่ผู้ใช้จะเข้าสู่ระบบ (Authentication Process) และทำให้ผู้ใช้ไม่ต้องจำหลาย Username หลาย Password ผู้ใช้สามารถใช้ Username และPassword เดียวกับที่ใช้ในระบบ Internal LAN ได้เลย ทำให้สะดวกในการบริหารจัดการAccount ภายใน และ IT Auditor ควรตรวจสอบการเข้าระบบ Wired และ Wireless LAN จากLog ของระบบด้วย



8. การใช้ Single Sign On (SSO) ดังที่กล่าวมาแล้วในข้อ 7 ควรกำหนดเป็น Security Policy ให้กับองค์กรสำหรับระบบWired และ Wireless LAN

เพื่อที่เราสามารถที่จะกำหนดคุณสมบัติ AAA ได้แก่Authentication, Authorization และ Accounting ได้ การใช้งานควรกำหนด Security Policy ทั้งระบบ Wired และ Wireless LAN ไปพร้อมๆ กัน และแจ้งให้ผู้ใช้ได้ทราบปฎิบัติตาม Security Policy และสามารถตรวจสอบได้



9. อุปกรณ์ Wireless LAN จากแต่ละผู้ผลิตอาจมีคุณสมบัติแตกต่างจากมาตรฐานและมีปัญหาในการทำงานร่วมกัน

แม้ว่าผู้ผลิตอุปกรณ์จะผลิตตามมาตรฐาน IEEE 802.11b ผู้ผลิตบางรายมักจะเพิ่มคุณสมบัติบางอย่างเฉพาะผู้ผลิตรายนั้นๆ เช่นเพิ่มคุณสมบัติทางด้าน security ของอุปกรณ์เป็นต้นเราควรตรวจสอบให้ดีก่อนที่จะติดสินใจซื้อมาใช้งานจริงว่าอุปกรณ์ไม่มีปัญหาในการทำงานร่วมกัน



10.ระวัง Rouge AP แม้คุณจะไม่ได้ใช้ระบบ Wireless LAN เลยก็ตาม

การ Hack จากภายในองค์กรในสมัยนี้ทำได้ง่ายแม้องค์กรจะไม่ได้ใช้ระบบ Wireless LAN เลย วิธีการก็คือมีผุ้ไม่หวังดีทำการแอบติดตั้ง AP ที่ไม่ได้รับอนุญาติเข้ากับระบบ Internal LAN เรียกว่า Rouge AP จากนั้นผุ้ไม่หวังดีก็สามารถ Access Internal LAN ผ่านทาง Rouge AP ที่ทำการแอบติดตั้งไว้ ซึ่งเขาสามารถเข้าถึงระบบภายในได้ จากภายนอกอาคาร หรือจากที่จอดรถของบริษัทก็ได้ ถ้าระยะห่างไม่เกิน 100 เมตร จาก AP ที่แอบติดตั้งไว้



เราควรมีการตรวจสอบ Rouge AP เป็นระยะๆ โดยใช้โปรแกรมNetworkstumbler (http://www.netstumbler.com) เพื่อหาตำแหน่งของ Rouge AP หรือเราควรติดตั้ง IDS (Intrusion Detection System) เช่น SNORT (http://www.snort.org) เพื่อคอยตรวจสอบพฤติกรรมแปลกๆ ในระบบ Internal LAN ภายในของเราเป็นระยะๆจะทำให้ระบบของเรามีความปลอดภัยมากขึ้น และ มีการเตือนภัยในลักษณะ Proactive อีกด้วย