Wi-Fi Protection ปิดทางหัวขโมยอินเทอร์เน็ตไร้สาย

เครือข่ายไร้สายช่วยให้เราเชื่อมต่อกับโลกอินเทอร์เน็ตได้จากทุกที่ ไม่มีข้อจำกัดเรื่องสายสัญญาณมาปิดกั้นเราสู่โลกไซเบอร์ได้ แต่ใครจะรู้บ้างว่าด้วยความง่ายดายเช่นนี้ จะมีช่องโหว่มากมายให้ภัยต่างๆ เข้าเล็ดลอดเข้ามาได้ ซึ่งหากผู้ใช้ขาดความเข้าใจในระบบเครือข่ายไร้สายดีพอ ก็อาจตกเป็นเหยื่อง่ายๆ ได้เช่นกัน

ระบบความปลอดภัยเป็นเรื่องสำคัญสำหรับเครือข่ายไร้สาย เปรียบเสมือนบ้านที่ต้องใส่กุญแจบล็อก เอาไว้เพื่อป้องกันการถูกบุกรุก ซึ่งการป้องกันนั้นก็มีได้หลายแบบและหลายวิธี ประตูบางชนิดอาจป้องกันได้เฉพาะผู้ที่มาเยี่ยม ไม่ให้เข้าบ้านได้ก่อนที่จะได้รับอนุญาต แต่ก็ไม่สามารถป้องกันขโมยที่มุ่งประสงค์จะงัดแงะ เข้ามาขโมยของในบ้านเรา การป้องกันขโมยมืออาชีพจึงอาจมีความจำเป็นต้องเพิ่มระบบที่แน่นหนา มากกว่าแค่กลอนประตู ซึ่งการสร้างความปลอดภัยในระบบเครือข่ายไร้สายก็มีอยู่หลายแบบเช่นกัน ขึ้นอยู่กับความจำเป็นในการใช้งาน ความสำคัญของข้อมูล ความเสี่ยงในการที่บุคคลภายนอกจะสามารถแอบเข้ามาร่วมใช้งานของระบบเรา

โดยทั่วไประบบเครือข่ายในองค์กรขนาดกลางจนถึงขนาดใหญ่มักจะมีความจำเป็นอย่างยิ่งที่

จะต้องใช้วิธีให้การจัดการด้านความปลอดภัยที่แน่นหนา รัดกุม แต่สำหรับระบบเครือข่ายไร้สายภายในบ้าน หรือออฟฟิศขนาดเล็ก ยังมีวิธีการง่ายๆ เป็นการสร้างความปลอดภัยเบื้องต้นที่สามารถป้องกันไม่ให้ผู้อื่นเข้ามาแอบดึงข้อมูลไป

จากระบบเครือข่ายของเราได้ หรือแม้แต่การเข้ามาแอบใช้งานในเครือข่ายของเรา จึงเป็นการนำเสนอการรักษาความปลอดภัยแบบง่ายๆ ให้กับท่าน พึงระลึกว่าบางวิธีการอาจสามารถป้องกันได้แน่นหนาก็จริง แต่ แฮกเกอร์มืออาชีพยังสามารถเจาะเข้าไปในระบบได้โดยไม่ยาก แต่นั่นก็หมายความว่าต้องเป็นผู้ที่มีความรู้ทางด้านเทคนิคพอสมควร มิใช่คนข้างบ้านทั่วๆ ไปเท่านั้น จากนี้เรามาพูดถึงวิธีป้องกันที่ผมจะแนะนำเลยดีกว่าครับ

11 วิธีในการสร้างระบบรักษาความปลอดภัย

1. No Default Setting

2. Cell Sizing

3. SSID Naming

4. Hide ESSID

5. Cloacking

6. MAC Filters

7. Encryption

8. Static IP

9. Common Security Practices

10. Document Your Settings

11. Turn it off

เห็นแต่ละหัวข้อแล้วคงไม่ยากเกินไปนะครับ เพื่อไม่ให้เสียเวลาเราไปดูกันทีละหัวข้อเลยดีกว่าครับ

1. No Default Settings เป็นสิ่งที่คนส่วนใหญ่พลาด นั่นคือ ไม่ได้เข้าไปเปลี่ยนชื่อให้กับตัวอุปกรณ์ส่งสัญญาณ เช่น พวกโมเด็ม เราเตอร์ และแอกเซสพอยต์ โดยเป็นเรื่องปกติอยู่แล้วที่อุปกรณ์เหล่านี้มีการตั้งชื่อมาจากโรงงานหรือที่เราเรียกกันว่าค่าเริ่มต้นนั่นเอง แต่ละรุ่นแต่ละยี่ห้ออจะตั้งชื่อและเซตรหัสผ่านเหล่านั้นมาให้ ซึ่งแสดงอยู่ในคู่มือการติดตั้งอุปกรณ์ ดังนั้น หากคนที่ต้องการเข้ามาใช้อินเทอร์เน็ตหรือใช้งานในระบบของเราทราบว่าเป็นอุปกรณ์รุ่นใดก็สามารถดาวน์โหลดคู่มือ และเพิ่มตัวเองเข้าไปในระบบได้โดยง่าย สำหรับค่าหรือชื่อที่ท่านควรเข้าตั้งใหม่คือ

– SSID (Service Set Identifier)- The administrator login Name (Username/ Password)

2. Cell Sizingความเชื่อที่ว่ายิ่งแรงยิ่งดี มักมาคู่กับการที่ท่านแบ่งสัญญาณเครือข่ายไร้สายให้ข้างบ้านใช้งานด้วย ดังนั้นในการติดตั้งระบบเครือข่ายควรดูรัศมีที่ต้องการใช้งาน และเลือกใช้รวมถึงติดตั้งอุปกรณ์ที่ส่งสัญญาณให้เหมาะสมกับรัศมีนั้นปัจจุบัน อุปกรณ์บางรุ่นมีคุณสมบัติที่เรียกว่า Adjust antenna transmit power ให้เราสามารถใช้ในการปรับกำลังส่งเพิ่มขึ้นหรือลดลงได้ หรือถ้าหากอุปกรณ์ที่เราใช้อยู่นั้นไม่สามารถปรับค่ากำลังส่งได้ เราก็สามารถติดตั้งอุปกรณ์ให้อยู่กลางบ้าน หรือหลีกเลี่ยงการวางใกล้หน้าต่าง

3. SSID Namingจากที่กล่าวข้างต้นว่าควรเปลี่ยนชื่อ SSID ให้ต่างจากชื่อที่มาจากโรงงาน ชื่อใหม่ที่ตั้งก็ควรหลีกเลี่ยงชื่อที่ใกล้ตัว ควรตั้งชื่อที่เป็นชื่อที่ไม่มีความหมาย หรือยากแก่การคาดเดา เพราะบุคคลที่ต้องการเข้ามาในระบบของท่านอาจจะลองเสี่ยงเพื่อเข้าใช้งานระบบของท่าน

4. Hide ESSIDเป็นคุณสมบัติที่บางรุ่นอาจจะมีมาให้เพื่อนใช้ในการซ่อนชื่อแอ็กเซส พอยนต์ของเราไม่ให้คนอื่นทราบชื่อเพื่อที่จะเข้ามาในการแอบใช้งานระบบเครือข่ายของเรา

5. Cloakingอุปกรณ์ในการกระจายสัญญาณ อาทิ แอ็กเซส พอยนต์จะมีการตั้งค่าหนึ่งเรียกว่า Closed Network หรือ Broadcast SSID การที่ท่านปิดเน็ตเวิร์ก (Enabling Closed Network) หรือตั้งค่าไม่ให้เผยแพร่ SSID (Disabling Broadcast SSID) จึงเป็นเสมือนการซ่อนไม่ให้อุปกรณ์ลูกข่ายสามารถหาแอ็กเซส พอยนต์เจอ และไม่สามารถเข้ามาในระบบได้ ในการทำงานแอ็กเซส พอยนต์จะส่งแพ็กเก็ตเล็กๆ ออกมากระจายไปในอากาศด้วยอัตราการส่งจำนวนหนึ่ง เช่น 100 Packet/s เรียกว่า “Beacon” ในบีคอนจะมีข้อมูลต่างๆ รวมทั้ง SSID (Network Name) อยู่ด้วย ในตลาดจะมีอุปกรณ์ตัวหนึ่งที่เรียกว่า Network Stumbler ใช้สำหรับสแกนหาแอ็กเซส พอยนต์โดยการส่ง “Blank Probe Request” ออกไปในอากาศ หากตั้งค่า disabling Broadcast SSID ที่แอ็กเซส พอยนต์ของท่าน บีคอนที่แอ็กเซส พอยนต์ ส่งออกมาจะไม่ปรากฎชื่อ SSID และไม่สามารถตอบกลับ blank probe Request ได้ ทำให้ Network Stumbler ไม่สามารถหาแอ็กเซส พอยนต์เจอ จึงทำให้เป็นการสร้างความปลอดภัยให้กับเครือข่ายของท่านได้

6. Mac Fultersที่ด้านหลังของไวร์เลสอะแดปเตอร์จะมีข้อมูลหนึ่งเป็นการผสมระหว่างตัวเลขกับตัวอักษรจำนวน 12 หลัก เรียกว่า MAC Address (บางตัวจะเรียกว่า Node ID) ในขณะที่ Router Access Point จะมีการตั้งค่าหนึ่งที่สามารถกรอกรายชื่อ MAC Address ที่ท่านยอมเข้ามาใช้งานในระบบได้ ซึ่งหมายความว่าหากท่านกรอกรายการเฉพาะ MAC Addresses ของการ์ดที่มีคนใช้งาน ก็จะป้องกันไม่ให้การ์ดของเพื่อนบ้านหรือคนที่ไม่อนุญาตให้เล่น เข้ามาใช้งานในระบบได้

7. Encryption

จงระลึกเสมอว่าการทำงานของเครือข่ายไร้สาย เป็นการรับส่งข้อมูลในอากาศ นั่นก็หมายถึงว่าถ้ามีใครสามารถจับข้อมูลที่เราส่งออกไปในอากาศได้นั้น ก็สามารถอ่านข้อมูลของเราได้เช่นกัน เช่น แอบอ่านอีเมล์ หรือขโมย User name/ password เข้าถึงรหัสข้อมูลโดยไม่ได้รับอนุญาต และตามมาตรฐานจากโรงงาน อุปกรณ์ไร้สายรองรับเทคโนโลยีการเข้ารหัสซึ่งมีหลายเทคโนโลยี ไม่ว่าจะเป็น

– WEP (Wired Equivalent Privacy)

– TKIP (Temporal Key Intergrity Protocol) พัฒนามาจาก WEP

– AES (Advanced Encryption Standard)

หากอุปกรณ์ที่ใช้อยู่รองรับ WEP ให้เข้าไป Enable WEP ของทั้งที่ Access Point และอะแดปเตอร์ด้วย ซึ่งจะเป็นการทำให้ทุกข้อมูลที่รับส่งในอากาศมีการเข้ารหัส และทำให้อุปกรณ์ที่ไม่ได้มีการเข้ารหัสร่วมกับเราไม่สามารถรับและแปลงรหัสได้นั้นได้

ดังนั้นการตั้งรหัสจะต้องตั้งรหัสทุกอุปกรณ์ให้ตรงกัน ไม่อย่างนั้นจะเป็นการล็อกตัวเองไม่ให้สามารถเข้าไปอ่านข้อมูลนั้นได้ด้วย อย่างไรก็ตาม WEP เป็นการรักษาความปลอดภัยอย่างง่ายๆ ซึ่งปัจจุบันการปลดรหัส WEP ทำได้ง่ายมาก

การตั้งค่ารหัสจะมีหลักการที่แตกต่างกันไป ตามแต่ Key Type และ Key Size ที่เลือกดังนี้

Key Type

Key Size

FirstKey

HEX

152 bits

ผสมตัวเลข ตัวอักษรให้ได้ 32 หลัก จากเลข 0-9 และอักษร A-F

HEX128 bits

ผสมตัวเลข ตัวอักษรให้ได้ 26 หลัก จากเลข 0-9 และอักษร A-F

HEX64 bits

ผสมตัวเลข ตัวอักษรให้ได้ 10 หลัก จากเลข 0-9 และอักษร A-F

ASCII152 bits

ผสมตัวเลข ตัวอักษรให้ได้ 16 หลัก จากเลข 0-9 และอักษร A-Z

ASCII128 bits

ผสมตัวเลข ตัวอักษรให้ได้ 13 หลัก จากเลข 0-9 และอักษร A-Z

ASCII64 bits

ผสมตัวเลข ตัวอักษรให้ได้ 15 หลัก จากเลข 0-9 และอักษร A-Z

*** ตัวอักษรเล็กใหญ่ไม่มีผลต่อการตั้งรหัส

หากผลิตภัณฑ์ที่ท่านใช้ได้รับการรับรอง WPA (Wifi Protected Access Certified) อุปกรณ์นั้นจะรองรับการเข้ารหัส TKIP ซึ่งจะใช้หลักการเดียวกับการเข้ารหัส WEP คือทั้งแอ็กเซส พอยนต์และ อะแดปเตอร์ที่ท่านใช้ต้องมี WPA Certifiedการเข้ารหัส TKIP ให้ไปที่ Security setting แล้วเลือก WPA-Pre-Shared Key (บางครั้งอาจใช้ชื่อ WPA Passphrase) ทั้งนี้อุปกรณ์เก่าที่สนับสุนนแต่เพียง WEP อาจจะมีเฟิร์มแวร์ที่สามารถอัพเกรด WPA ได้ จึงขอแนะนำให้ท่านเข้าไปตรวจสอบที่เว็บไซต์ผู้ผลิตว่าสามารถอัพเกรด WPA / TKIP ได้หรือไหม หากอุปกรณ์ที่ท่านใช้ได้การรับรอง WPA2 (WiFi Protected Access – Version2) หมายความว่าอุปกรณ์ไร้สายที่ท่านใช้สนับสนุน AES การเข้ารหัส AES จะต้องเข้าตั้งค่าที่แอ็กเซส พอยนต์ และอะแดปเตอร์เช่นเดี่ยวกับการเข้ารหัสอื่น ๆ ที่กล่าวมาแล้ว

8. Static IPเราเตอร์ที่มีฟังก์ชัน DHCP ซึ่งจะทำหน้าที่แจกไอพี แอดเดรสให้กับการ์ดเน็ตเวิร์กอะแดปเตอร์ โดยครั้งแรกการแจกจะไม่ใช่เลขไอพีที่คงที่ แต่จะเปลี่ยนไปเรื่อยๆ เหมือนไอพีในระบบอินเทอร์เน็ต ซึ่งก็แล้วแต่ตามการใช้งานแต่ละครั้ง ซึ่งอาจจะเป็นไปได้ว่าแจกให้กับเครื่องของคนอื่นที่ต้องการเข้ามาใช้งานในระบบได้เหมือนกัน ลองพิจารณาการใช่วิธีแจกไอพี แอดเดรสแบบคงที่โดยการ Disabling DHCP Setting ที่เราเตอร์ดูนะครับ แล้วให้ท่านเลือกเลขไอพีให้กับอะแดปเตอร์ทุกตัวของท่านด้วยตัวท่านเอง ซึ่งอาจจะดูไม่สะดวกแต่เป็นการสร้างความปลอดภัยให้กับระบบไร้สายของท่านได้มากกว่า

9. Common Security Practicesเลือกการใช้งานข้อปฏิบัติบางอย่างที่เหมาะสม เช่น- ติดตั้งโปรแกรมป้องกันไวรัส- หากพิจารณาแล้วไม่มีความจำเป็นที่ต้องใช้ไฟล์งานร่วมกันระหว่างเครื่องไม่ควรเปิด Sharing ไว้- พิจารณาการติดตั้ง Personal Firewalls ให้กันทุกเครื่องคอมพิวเตอร์

10. Document Your Settingจากคำแนะนำต่างๆ มีหลายข้อมูลที่เราต้องมาตั้งชื่อใหม่หรือตั้งค่าใหม่ ในครั้งนี้จึงขอแนะนำให้คุณจดค่าต่างๆ เหล่านั้นเอาไว้ในที่ที่ปลอดภัย เผื่อในกรณีมีความจำเป็นต้องเคลียข้อมูล หรือจำเป็นต้อง Reset อุปกรณ์ต่างๆ ซึ่งจำเป็นต้องไปใช้ค่า Default Setting จากโรงงานและต้องเริ่มต้นใหม่อีกครั้ง

11. Turn if offคำแนะนำสุดท้ายคือการปิดเครื่องขณะที่ไม่ได้ใช้งาน เพราะนั้นคือคนอื่นจะไม่สามารถมาใช้งานในระบบของท่านได้ หากปิดเครื่องนั้นเสียตอนนี้หลาย ๆ ท่านก็คงคิดว่า Wimax ที่ใกล้จะเข้ามาในไทยจะมีระบบรักษาความปลอดภัยที่ดีกว่า ไวร์เลสทั่วไปไหม ผมขอตอบได้เลยนะครับว่า Wimax ยังคงใช้ระบบความปลอดภัยเหมือนกับไวร์เลสธรรมดาเลยครับ ตอนนี้ก็รอลุ้นให้ทาง กทช. จะอนุมัติให้ใช้งานได้เมื่อไร สำหรับวิธีการป้องกันทั้ง 11ข้อ ที่ผมได้นำเสนอไปทั้งหมดนี้ จริงๆ แล้วก็สามารถป้องกันได้ในระดับหนึ่งเท่านั้นนะครับ เหนือฟ้ายังมีฟ้าครับผม และสุดท้ายนี้ผมขอขอบคุณ http://www.globalknowledge.com ที่มีข้อมูลให้ศึกษาเพิ่มเติมในครั้งนี้

Advertisements

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out /  เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out /  เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out /  เปลี่ยนแปลง )

w

Connecting to %s


%d bloggers like this: