WEP (Wired Equivalent Privacy) - ถูกพัฒนาขึ้นในช่วงปลายยุค 1990,WEP เป็นโปรโตคอลพื้นฐานที่มักถูกมองข้ามของผู้ดูแลระบบ เนื่องมาจากความไม่ปลอดอภัยด้านช่องโหว่หลายอย่าง ซึ่งการทำระบบดั้งเดิมของโปรโตคอลตัวนี้จะใช้การเข้ารหัสแบบ 64 บิต (40 บิต+ 24 บิต Initial Vector) และมันสามารถถูกเจาะระบบได้เพียงในเวลาไม่กี่นาที หลังจากนั้นจึงพัฒนาการเข้ารหัสที่แข็งแกร่งมากขึ้น มาเป็น 128 บิต ซึ่งพวกแฮกเกอร์ ต้องใช้เวลาที่มากขึ้นนั่นเองในการเจาะระบบ ซึ่งการป้องกันด้วยวิธีนี้ ถึงแม้ว่าจะไม่ใช่วิธีที่ดีที่สุด แต่ก็ยังดีกว่าไม่ได้ป้องกันเลยสำหรับการใช้งานตามบ้าน ปัญหาอย่างนึงของ WEP คือจะใช้การป้องกันรหัสผ่านแบบ Shared key, ยกตัวอย่างเช่น ในกรณีที่ว่าพนักงานที่เคยใช้งานอยู่และลาออกจากบริษัท ที่ Access Point และเครื่องลูกข่ายทั้งหมด ควรที่จะรีบเปลี่ยนรหัสผ่านในการใช้งานใหม่ด้วย
WEP2 (Wired Equivalent Privacy version 2) -ในปี 2004,องค์กร IEEE ได้นำเสนอ WEP เวอร์ชันใหม่ นั่นก็คือ WEP2 ซึ่งทำการแก้ปัญหาจากเวอร์ชันก่อน แต่การทำงานยังคงเหมือน WEP โดยการทำงานเป้นไปตาม RC4 อัลกอริทึม แต่การเข้ารหัสจะใช้แบบ 128 บิตซึ่งการป้องกันจะแข็งแกร่งกว่าแบบ WEP ดั้งเดิม แต่ก็ยังคงถูกการโจมตีแบบเดิมๆอยู่
WPA (Wi-Fi Protected Access) - WPA ได้มีการจัดการการเข้ารหัสโดยวิธี Temporary Key Integrity Protocol (TKIP) โดยใช้ RC4 อัลกอริทึม และอยู่บนพื้นฐานของ 802.1X โปรโตคอล และแก้ไขเรื่องจุดด้อยของ WEP โดยเพิ่มความสามารถใหม่ Per-Packet key construct and distribution, a message integrity code feature และ Stronger IV (Initial Vector), จุดด้อยของ WPA ก็คือฮาร์ดแวร์ของคุณต้องมีการสนับสนุนการป้องกันแบบ WPA หรือคุณต้องทำการอัพเกรดเฟิร์มแวร์ หรือไม่ก็อาจต้องซื้อฮาร์ดแวร์ใหม่เพื่อตอบสนองวิธีการป้องกันที่ดีมากขึ้นนั่นเอง ความยาวของ WPA คีย์จะมีความยาวอยู่ที่ 8-63 ตัว ซึ่งคีย์ที่มีความยาวมากจะยิ่งมีความปลอดภัยมากยิ่งขึ้นด้วยเช่นกัน (แต่จำยากด้วย...หุุหุห)
WPA2 (Wi-Fi Protected Acces version2) - ถูกพัฒนาขึ้นบนพื้นฐาน มาตรฐาน 802.11i,WPA2 ถูกปล่อยออกมาใช้งานในช่วงปี 2004 และใช้วิธีการเข้ารหัสที่แข็งแกร่งขึ้น - AES (Advance Encryption Standard) ซึ่งการเข้ารหัสด้วยวิธีนี้จะสนับสนุนขนาดของคีย์ตั้งแต่ 128 บิต,192 บิต และ 256 บิต ซึ่งมันเป็นส่วนกลับที่เข้ากันได้กับแบบ WPA และใช้ชุดคีย์ใหม่ทุกครั้งระหว่างทำการเชื่อมต่อ นั่นหมายถึงทุกแพ็คเกตที่ส่งไปบนอากาศจะเข้ารหัสคีย์แบบเฉพาะตัว และเนื่องจาก WPA,WPA2 มีอยู่ 2 เวอร์ชัน นั่นคือแบบ Personal และ Enterprise ซึ่ง Personal Mode ต้องการเพียง Access Point และการตรวจสอบตัวตนแบบ Pre-shared key ส่วน Enterprise Mode ต้องการการตรวจสอบตัวตนกับ RADIUS Server และใช้ EAP
MAC Address Filtering - คือการควบคุมการเข้าถึง Access Point ผ่านทางการ์ดเน็ตเวิร์ค (Network Card) นั่นก็คือที่ Access Point เราจะมีลิสต์ของ MAC Address ของการ์ดเน็ตเวิร์คเครื่องลูกข่าย หากว่าเครื่องลูกข่ายใดไม่มี MAC Address อยู่ใน Access Point ก็จะไม่สามารถทำการเชื่อมต่อเข้า Access Point ได้ นี่ก็เป็นอีกวิธีหนึ่งที่ดีในการป้องกันเมื่อใช้งานควบคู่กับวิธีการเข้ารหัสแพ็คเกต การป้องกันวิธีนี้โดยปกติแล้วก็คือการตรวจสอบตัวตนวิธีนึง คล้ายๆวิธีการเข้ารหัสของ WEP ส่วนภาพด้านล่างคือวิธีการทำงานของ MAC Address Filtering
แล็ปท๊อปที่มี MAC แอดเดรส 00-0F-CA-AE-C6-A5 ต้องการเข้าใช้งานเครือข่ายไร้สายผ่านทาง access point ซึ่ง access point จะคอยเปรียบเทียบแอดเดรสที่ได้รับมากะ แอดเดรสที่มีอยู่ว่าตรงกันไหม เพื่อคอยยินยอม หรือไม่ยินยอมให้มีการใช้งานเครือข่าย
SSID (Service Set Identifier) - SSID ก็คือ ชื่อของเครือข่ายแบบไร้สาย (เหมือนชื่อเครือข่ายแบบ Workgroup และ Domain บนวินโดว์นั่นเอง) โดยปกติแล้ว SSID คือส่วนนึงของทุกๆแพ๊คเกตที่สื่อสารอยู่บน WLAN ซึ่งถ้าคุณไม่รู้ชื่อ SSID แล้ว ก็ยากส์ที่จะเข้าไปใช้งานได้ ซึ่งทุกๆโหนดของเครือข่ายจะถูกตั้งค่าให้มีชื่อ SSID บน access point ที่เหมือนกันเพื่อง่ายต่อการเชื่อมต่อ และมันมักเป็นปัญหาปวดหัวเล็กๆ ของผู้ดูแลระบบ (เกี่ยวกับการตั้งชื่อมันนั่นเอง)
VPN (Virtual Private Network) Link - บางทีความน่าเชื่อถือของระบบความปลอดภัยน่าจะเกิดจากการที่ติดตั้งระบบ VPN บนเครือข่ายไร้สาย เนื่องจาก VPNs มีวิธีการเชื่อมต่อที่น่าเชื่อถือมายังเครือข่ายองค์กรผ่านทางอินเทอร์เนทโดยผ่านช่องทางที่ปลอดภัยจากเครื่องลูกข่ายมายังเซิร์ฟเวอร์ ซึ่งการติดตั้ง VPN นี้จะมีผลกับข้อมูลที่เข้ารหัสไว้ซึ่งพึงระลึกไว้เสมอว่าข้อมูลของคุณถูกปกป้องไว้ VPN จึงเป็นทางเลือกนึงของผู้ดูแลระบบขนาดใหญ่ เพราะว่ามันป้องกันข้อมูลทางธุรกิจของคุณด้วยการเข้ารหัสไว้ ซึ่ง VPN ที่เป็นซอร์ฟแวร์นั้นจะใช้กลไกระดับสูงในการเข้ารหัส (เช่นวิธีแบบ AES เป็นต้น) และยากส์ต่อการถอดรหัส เพื่อการเข้าใจที่มากขึ้น ให้ดูภาพการทำงานของ VPN อธิบายด้านล่างประกอบ
เนื่องจากระบบ VPN มีเทคโนโลยีหลายระดับ เราจะยกตัวอย่างระบบพื้นฐานสำหรับองค์กรขนาดเล็กถึงระดับกลางๆ ให้เห็น ซึง Windows 2000 และ Windows 2003 ก็มีความสามารถเพียงพอที่จะรองรับระบบ Wireless VPN ตามความต้องการ
802.1X - การป้องกันด้วยวิธีนี้ต้องอาศัย RADIUS เซิร์ฟเวอร์ด้วย (IAS บน Windows 2003) ซึ่ง RADIUS เซิร์ฟเวอร์ เป็นสิ่งที่ใช้พิสูจน์ตัวตนของผู้ใช้งานในการเชื่อมต่อเครือข่ายไร้สาย โดยเมื่อเข้าสู่ขั้นตอนพิสูจน์ตัวตน ระบบจะถาม Username และ Password ของผู้ใช้งาน เพื่อตรวจสอบและยินยอมให้ผู้ใช้งานต่อไป ซึ่งผู้ใช้งานแต่ละคนจะมีคีย์เฉพาะของตัวเอง ซึ่ง Hacker สามารถเจอาะรหัสได้แต่ต้องอาศัยเวลา และแม้ว่าจะเจาะรหัสได้รหัสนั้นก็หมดอายุไปเสียแล้ว 802.1X จำเป็นต้องใช้ EAP เพื่อผ่านบนระบบเครือข่ายไร้สาย ภาพด้านล่างจะเป็นการอธิบายการทำงานของ 802.1X
เคล็ดลับทั่วไป - General Tips and Tricks
- ในการเลือกซื้อการ์ดเน็ตเวิร์คแบบไร้สาย พยายามเลือกที่มีเสาอากาศที่ติดตั้งแบบภายนอกด้วย เผื่อในการปรับทิศทางการรับสัญญาณที่ยืดหยุ่นมากขึ้น
- เมื่อเปิดใช้งาน Wireless ผ่านเครื่องแล็ปท๊อปในที่สาธารณะ พยายามปิดการทำงาน Microsoft File and Print Sharing (เป็นบริการอย่างหนึ่งที่คอยให้เครื่องอื่นๆบนเครือข่ายเข้ามาใช้บริการ) เพื่อหลีกเลี่ยงการโจมตีของ Hackers ผ่านช่องโหว่นี้
- ในการใช้งานเครือข่ายไร้สายในที่สาธารณะผ่านทาง access point และอุปกรณ์ไร้สายอื่นๆในพื้นที่ พยายามตั้งค่า access point และเครื่องลูกข่ายของคุณให้ใช้งานในช่องสัญญาณที่สูงขึ้น เช่นช่องสัญญาณที่ 1,6 และ 11 เป็นต้น
- พยายามตั้งค่าพาสเวิร์ดใหม่ให้กับ access point ก่อนที่จะเริ่มใช้งานมันทุกครั้ง เพราะนี่คือ common sense แต่คนส่วนใหญ่มักมองข้ามไปในการตั้งค่าเครือข่ายไร้สาย
- พยายามเลือกซื้อ access point ที่สามารถอัพเกรด เฟิร์มแวร์ได้ หรือมีเฟิร์มแวร์ให้อัพเดท เพราะมันเป็นตัวช่วยเสริมประสิทธิภาพด้านความปลอดภัยให้กับเครือข่ายไร้สายคุณ
- เสริมหัวข้อก่อนหน้านี้โดย พยายามอัพเดทเฟิร์มแวร์ให้ใหม่เสมอๆ เมื่อมันออกมาใหม่ เพราะมันช่วยแก้ไขและปรับปรุงคุณสมบัติบางตัวให้กับ access point คุณ
- เมื่อคุณเลิกใช้งาน access point หรือตัว Wireless บนเครื่องแล็ปท๊อปคุณแล้ว ให้ปิดมันเสีย เพราะมันช่วยประหยัดการบริโภคไฟให้กับเครื่องคุณ และการโจมตีของ Hackers
- ในช่วงเวลาใดเวลาหนึ่ง พยายามแสกนเครือข่ายไร้สายดูว่ามีเครือข่ายแปลกปลอมเข้ามาไหม เพราะว่าเราเคยเจอในกรณีที่นักศึกษาไปซื้ออุปกรณ์ไร้สาย มาเชื่อมต่อในเครือข่ายหลังไฟล์วอลทำให้ล่อแหลมต่อการถูกโจมตีเครือข่าย ควรหลีกเลี่ยงโดย เชื่อมต่อเครือข่ายแยกต่างหากจะดีกว่า
ที่มา: Windows Networking
0 ความคิดเห็น:
Post a Comment