Config Access Point ให้ปลอดภัย
- วาง Access Point (AP) ในตำแหน่งที่เหมาะสม
ไม่ควรวาง AP ไว้ในระบบ LAN ภายใน ควรวาง AP บริเวณหน้า Firewall จะปลอดภัยกว่า แต่ถ้าจำเป็นจริงๆ ต้องวางภายใน LAN ที่เป็น Internal Network ก็ควรจะมีการเพิ่มการ Authentication, Encryption เข้าไปด้วย - กำหนดรายการ MAC Address ที่สามารถเข้าใช้ AP ได้เฉพาะที่เราอนุญาติเท่านั้น
การ Lock ด้วยวิธีกำหนดค่า MAC Address นั้น แม้ว่าจะไม่ใช้วิธีที่กัน Hacker ได้ 100% ก็ตาม เพราะ Hacker สามารถ Spoof ปลอม MAC Address ได้ แต่ก็ยังดีกว่าไม่มีการกำหนดเสียเลย เหมือนกับว่าเราควรมีการป้องกันหลายๆ วิธี การกำหนด MAC Address ให้เฉพาะเครื่องที่เราอนุญาตก็เป็นการกันในชั้นหนึ่ง เพื่อให้ Hacker เกิดความยากลำบากในการ Hack เข้าสู่ระบบ Wireless LAN ของเรา - จัดการกับ SSID (Service Set Identifier) ที่ถูกกำหนดเป็นค่า Default มาจากโรงงานผลิต
ค่า SSID จะถูกกำหนดเป็นค่า Default มาจาก Vendor เช่น Cisco Aironet กำหนดเป็นชื่อ tsunami เป็นต้น เราควรทำการเปลี่ยนค่า SSID ที่เป็นค่า Default ทันทีที่เรานำ AP มาใช้งาน และ ควรปิดคุณสมบัติการ Auto Broadcast SSID ของตัว AP ด้วย - ใช้ WEP (Wired Equivalent Privacy) security protocol ในการเข้ารหัสข้อมูลระหว่าง IEEE 802.11b Wireless LAN Client และ Access Point (AP)
มาตรฐาน WEP เป็นมาตราฐานหลักที่มีใน AP ทุกตัว แต่โดยปกติแล้วจะไม่ได้เปิดใช้ ทำให้แฮกเกอร์สามารถใช้โปรแกรม Packet Sniffer เช่น Ethereal (www.ethereal.com) ดักจับ Packet และสามารถอ่านข้อมูลที่เป็น Plain text ได้เพราะ AP มีลักษณะการทำงานแบบ HUB ไม่ใช่ Switching เหมือนที่เราใช้กันใน LAN ทุกวันนี้ เราจึงควรมีการเข้ารหัส Packet ของเราในระดับ Layer 2 เพื่อให้ยากต่อการจับด้วยโปรแกรมประเภทนี้ ถ้าเราเพิ่มการ generate WEP Key เป็นแบบ Dynamic จะช่วยให้ปลอดภัยมากยิ่งขึ้น รวมถึงการใช้งานแบบ Session-Based และ User-Based WEP Key ก็ช่วยได้เช่นกัน - อย่าหวังพึ่ง WEP อย่างเดียว เพราะ WEP สามารถที่จะถูก Crack ได้
การเพิ่ม WEP เข้ามาในการใช้งาน Wireless LAN เป็นสิ่งที่ควรทำ แต่ WEP ก็ไม่สามารถกันพวกแฮกเกอร์ได้ 100% เพราะมีโปรแกรมที่สามารถถอดรหัส WEP ได้ ถ้าได้ IP Packet จำนวนมากพอ เช่น โปรแกรม AirSnort จากhttp://www.shmoo.com เป็นต้น เพราะฉะนั้นเราควรเพิ่มการป้องกันใน Layer อื่นๆ เข้าไปด้วย - ใช้ VPN ร่วมกับการใช้งาน Wireless LAN
การใช้ VPN ระหว่าง Wireless LAN Client กับ AP ต่อเชื่อมไปยัง VPN Server เป็นวิธีที่ปลอดภัยมากกว่าการใช้ WEP และ การ Lock MAC Address การใช้ VPN ถือได้ว่าเป็นการป้องกันที่ลึกอีกขั้นหนึ่ง และ เป็นการรักษาความปลอดภัยในลักษณะ end to end อีกด้วย - เพิ่มการ Authentication โดยใช้ RADIUS หรือ TACACS Server
ถ้าองค์กรมี RADIUS Server หรือ CISCO Secure ACS (TACACS) Server อยู่แล้ว สามารถนำมาใช้ร่วมกับ AP ที่มีความสามารถในการตรวจสอบ Username และ Password ก่อนที่ผู้ใช้จะเข้าสู่ระบบ (Authentication Process) และ ทำให้ผู้ใช้ไม่ต้องจำหลาย Username หลาย Password ผู้ใช้สามารถใช้ Username และ Password เดียวกับที่ใช้ในระบบ Internal LAN ได้เลย ทำให้สะดวกในการบริหารจัดการ Account ภายใน และ IT Auditor ควรตรวจสอบการเข้าระบบ Wired และ Wireless LAN จาก Log ของระบบด้วย - การใช้ Single Sign On (SSO) ดังที่กล่าวมาแล้วในข้อ 7 ควรกำหนดเป็น Security Policy ให้กับองค์กรสำหรับระบบ Wired และ Wireless LAN
เพื่อที่เราสามารถที่จะกำหนดคุณสมบัติ AAA ได้แก่ Authentication, Authorization และ Accounting ได้ การใช้งานควรกำหนด Security Policy ทั้งระบบ Wired และ Wireless LAN ไปพร้อมๆ กัน และ แจ้งให้ผู้ใช้ได้ทราบปฎิบัติตาม Security Policy และสามารถตรวจสอบได้ - อุปกรณ์ Wireless LAN จากแต่ละผู้ผลิตอาจมีคุณสมบัติแตกต่างจากมาตรฐานและมีปัญหาในการทำงานร่วมกัน
แม้ว่าผู้ผลิตอุปกรณ์จะผลิตตามมาตรฐาน IEEE 802.11b ผู้ผลิตบางรายมักจะเพิ่มคุณสมบัติบางอย่างเฉพาะผู้ผลิตรายนั้นๆ เช่น เพิ่มคุณสมบัติทางด้าน security ของอุปกรณ์เป็นต้น เราควรตรวจสอบให้ดีก่อนที่จะติดสินใจซื้อมาใช้งานจริงว่าอุปกรณ์ไม่มีปัญหาในการทำงานร่วมกัน - ระวัง Rouge AP แม้คุณจะไม่ได้ใช้ระบบ Wireless LAN เลยก็ตาม
สนใจ Wireless Click