เนื่องจากระบบเครือข่ายไร้สาย 802.11 ได้รับความนิยมจากหน่วยงานธุรกิจเพิ่มสูงขึ้นเรื่อยๆ องค์กรไอทีต่างพยายามที่จะทำให้ระบบเครือข่ายไร้สายมีการรักษาความปลอดภัยที่เทียบเท่ากับระบบเครือข่ายที่มีอยู่ทั่วไป โดยต้องอนุญาตให้เฉพาะผู้ใช้ที่มีสิทธิ์จริงเท่านั้นเข้ามาใช้งานระบบเครือข่ายได้ ซึ่งในระบบเครือข่ายทั่วไปนั้น บุคคลภายนอกจำเป็นต้องเข้ามาในตัวอาคาร, อาจต้องแสดงบัตรประจำตัว หรือต้องใช้กุญแจเข้ามาในห้องเน็ตเวิร์กเสียก่อน ถึงจะมีโอกาสเข้ามาใช้ระบบเครือข่ายภายในได้ แต่สำหรับระบบเครือข่ายไร้สายนั้น อุปกรณ์รับสัญญาณ Access Point (AP) จะรับสัญญาณจากบุคคลภายนอกได้โดยง่าย (ยกตัวอย่างเช่น สัญญาณจากที่จอดรถข้างตัวอาคาร) ดังนั้นระบบเครือข่ายไร้สายจึงต้องมีมาตรการป้องกันสัญญาณแปลกปลอมภายในตัว AP และกันสัญญาณไม่ให้เข้าสู่ระบบเครือข่ายภายในได้ก่อนที่จะได้รับการตรวจสอบสิทธิ์การใช้งานบทความนี้จะพูดถึงเทคนิคเกี่ยวกับการรักษาความปลอดภัยในระบบเครือข่ายไร้สาย ซึ่งเหมาะสำหรับระบบเครือข่ายขนาดกลาง และเล็กที่ไม่ต้องการระดับความปลอดภัยสูงมากนัก จากนั้นจะพูดถึงเทคนิครักษาความปลอดภัยโดยใช้ VPN (virtual private network) ที่มีประสิทธิภาพสูงกว่า และรองรับระบบเครือข่ายขนาดใหญ่ได้ดีกว่า บทความนี้ยังกล่าวถึงมาตรฐานการรักษาความปลอดภัยของระบบเครือข่าย 802.1X ที่อาจเกิดขึ้นมาได้ในอนาคต ซึ่งจะยอมให้มีการควบคุมในระดับพอร์ตของการเข้าถึงข้อมูล พื้นฐานของการรักษาความปลอดภัยใน 802.11ในปัจจุบันนี้ เทคนิคเบื้องต้นสำหรับการรักษาความปลอดภัยในตัว AP ของระบบเครือข่ายไร้สายมีอยู่ 3 แบบ ซึ่งผู้บริหารระบบอาจเลือกใช้ทั้งสามแบบ หรืออาจไม่ใช้เลยก็ได้ นั่นได้แก่
SSID (Service Set Identifier)เราสามารถควบคุมการเข้าใช้ระบบเครือข่ายได้ โดยกำหนดหมายเลขประจำตัว SSID ให้กับอุปกรณ์ AP ตัวหนึ่ง หรือ AP กลุ่มหนึ่งก็ได้ โดย SSID จะใช้แบ่งระบบเครือข่ายออกเป็นหลายส่วน โดยแต่ละส่วนจะถูกแยกให้บริการโดย AP ในส่วนนั้น AP แต่ละตัวจะมีหมายเลข SSID สำหรับระบบเครือข่ายไร้สายของตน สำหรับอุปกรณ์ไคลเอ็นต์ต้องถูกตั้งค่าด้วยหมายเลข SSID ที่ถูกต้องจึงจะสามารถเข้ามาใช้งานระบบเครือข่ายนั้นได้ ตัวอาคารหนึ่งอาจแยกส่วนการให้บริการเครือข่ายไร้สายไว้ที่แต่ละชั้น โดยไคลเอ็นต์ที่ต้องการเข้าใช้งานเครือข่ายในตำแหน่งที่ต่างกันก็จะมีหมายเลข SSID ติดตั้งไว้หลายหมายเลขการทำเช่นนี้ก็เปรียบเสมือนว่าเราใช้ SSID เป็นรหัสผ่านนั่นเอง ซึ่งมีข้อควรระวังอยู่ก็คือ อุปกรณ์ AP อาจถูกตั้งค่าไว้ให้บอร์ดคาสต์หมายเลข SSID ของตน ซึ่งถ้าเซตติงนี้ถูกตั้งไว้ คอมพิวเตอร์ตัวใดที่ได้รับ SSID จากการบอร์ดคาสต์ก็สามารถเข้ามาใช้งานระบบเครือข่ายผ่าน AP ตัวนั้นได้ ดังนั้นตรวจเช็กอุปกรณ์ AP ของคุณและยกเลิกค่าติดตั้งนี้ทิ้งเสีย ถ้าคุณต้องการใช้ SSID สำหรับระบบรักษาความปลอดภัย
Media Access Control (MAC) address filteringในขณะที่อุปกรณ์ AP หรือกลุ่มของ AP จะมีหมายเลข SSID ไว้ใช้เสมือนหนึ่งหมายเลขประจำตัว คอมพิวเตอร์ที่เป็นไคลเอ็นต์ก็สามารถใช้หมายเลข MAC address ของการ์ดเน็ตเวิร์ก 802.11 ได้ในลักษณะเดียวกัน อุปกรณ์ AP อาจถูกตั้งค่าให้ยอมรับเฉพาะไคลเอ็นต์ที่มีหมายเลข MAC address ตรงกับที่ตัว AP มีอยู่ในลิสต์ ให้ผ่านเข้ามาทำงานในระบบเครือข่ายไร้สายได้ การทำเช่นนี้จะช่วยเพิ่มความปลอดภัยให้กับระบบเครือข่ายไร้สาย แต่จะยากสำหรับการจัดการเนื่องจากอุปกรณ์ AP ทุกตัวจะต้องมีลิสต์ของหมายเลข MAC address เหมือนกันหมด และยังต้องได้รับการอัพเดตทุกครั้งที่มีการเปลี่ยนแปลง ทำให้ระบบรักษาความปลอดภัยนี้เหมาะที่สุดสำหรับระบบเครือข่ายขนาดเล็ก
Wired Equivalent Privacy (WEP)เนื่องจากการสื่อสารแบบไร้สายจะถูกดักสัญญาณได้ง่ายกว่าการสื่อสารแบบใช้สายมาก มาตรฐาน 802.11 จึงได้สร้างโพรโตคอล WEP ไว้รักษาความปลอดภัยในการสื่อสาร โดยใช้อัลกอริทึมการเข้ารหัสแบบสมมาตรที่ชื่อว่า Ron's Code 4 Pseudo Random Number Generator (RC4 PRNG) ซึ่งผู้รับและผู้ส่งจะใช้รหัสเดียวกันในการสื่อสารข้อมูล โดยรหัสจะถูกเก็บไว้ในตัว AP และคอมพิวเตอร์ไคลเอ็นต์ มาตรฐาน 802.11 ไม่ได้กำหนดโพรโตคอลสำหรับจัดการรหัสเอาไว้ ดังนั้นผู้คุมระบบจึงต้องจัดการรหัสในอุปกรณ์ทั้งหมดด้วยตัวเอง อุปกรณ์ AP และการ์ด 802.11 ทั่วไปจะรองรับการทำงานของ WEP แต่ระบบเครือข่ายไร้สายแบบ peer to peer บางระบบที่ไม่ใช้ AP จะทำงานกับ WEP ไม่ได้WEP กำหนดความยาวของรหัสไว้ที่ 40 บิต และได้กำหนดรหัสแบบ 104 บิตไว้ด้วยเช่นกัน โดยรหัสนี้จะถูกต่อท้ายด้วย "initialization vector" ขนาด 24 บิต ซึ่งจะทำให้ความยาวทั้งหมดของรหัสเป็น 64 และ 128 บิตตามลำดับ จากนั้นรหัสจะถูกส่งผ่านไปยัง pseudo random number generator ซึ่งผลลัพธ์ที่ได้มา จะถูกนำไปใช้เข้ารหัสข้อมูลสื่อสาร
เมื่อไม่นานมานี้เอง มีผู้ค้นพบจุดอ่อนของ WEP ซึ่งในปัจจุบันจะมีสคริปต์ที่โจมตีจุดอ่อนของอัลกอริทึมนี้ และสามารถค้นหารหัสของ WEP เพื่อใช้ในการเข้าถึงระบบเครือข่ายไร้สายได้ องค์กรต่างๆ รวมถึง IEEE ต่างก็พยายามที่จะแก้ปัญหานี้ และโพรโตคอลใหม่ Advanced Encryption Standard (AES) ได้ถูกสร้างขึ้นมาเพื่อไว้แทนที่เทคโนโลยีการเข้ารหัส WEP แบบเก่า
แม้ WEP จะมีจุดอ่อนดังที่ได้กล่าวไป แต่ยังนับว่ามีประโยชน์สำหรับการรักษาความปลอดภัยในระบบเครือข่ายขนาดเล็ก ที่ต้องการระดับความปลอดภัยน้อยไปจนถึงปานกลาง ในกรณีนี้เราขอแนะนำการใช้รหัส WEP ขนาด 128 บิต ร่วมกับการใช้เทคนิค SSID และ MAC address filtering โดยจะต้องเปลี่ยนรหัสของ WEP เป็นประจำเพื่อให้มีความเสี่ยงน้อยที่สุด
สำหรับระบบเครือข่ายที่ต้องการความปลอดภัยสูงมาก เทคนิครักษาความปลอดภัยโดยใช้ VPN ที่จะถูกกล่าวถึงในส่วนต่อไป นับเป็นทางเลือกที่ดีกว่า และในกรณีที่ระบบเครือข่ายมีขนาดใหญ่ การจัดการรหัส WEP ในอุปกรณ์ AP และไคลเอ็นต์ทุกตัวด้วยตนเองจะทำให้การรักษาความปลอดภัยโดยใช้ WEP ยุ่งยากขึ้นอีกมาก ยิ่งไปกว่านั้นถ้ารหัสในไคลเอ็นต์ตัวใดเพียงตัวเดียวถูกขโมยไป ระบบทั้งระบบก็ต้องเปลี่ยนรหัสตามไปด้วย การพิจารณาว่าไคลเอ็นต์จำนวนเท่าใดที่ทำให้จัดการระบบเครือข่ายได้ลำบากนั้นจะแตกต่างกันไป ขึ้นอยู่ว่าองค์กรจะรองรับการทำงานแบบนี้ได้มากน้อยแค่ไหน, ระบบรักษาความปลอดภัยที่ใช้อยู่เป็นอย่างไร และความปลอดภัยที่ต้องการอยู่ในระดับไหน ถ้าระบบเครือข่ายหนึ่งใช้ MAC address filtering ขีดจำกัดของจำนวนไคลเอ็นต์ก็จะอยู่ที่จำนวนสูงสุดของ MAC address ที่ตัว AP จะรองรับได้ ซึ่งโดยมากแล้วจะอยู่ที่ 255 แต่ในการทำงานจริงขององค์กรทั้งหลาย จำนวนไคลเอ็นต์ที่ระบบจัดการได้ง่ายสำหรับเทคนิคนี้จะมีค่าที่ต่ำกว่านี้มาก
รูปที่ 1 ระบบรักษาความปลอดภัยโดยใช้SSID, MAC address filtering,และ WEP ปลอดภัยแบบไร้สายด้วย VPN การใช้ VPN สำหรับระบบเครือข่ายไร้สาย นับเป็นทางเลือกที่เหมาะสมที่สุดในขณะนี้ ในปัจจุบันมีการใช้ VPN ผ่านอินเทอร์เน็ตเพื่อเข้าสู่ระบบเครือข่ายขององค์กรได้อย่างปลอดภัยกันเป็นจำนวนมาก โดย VPN จะสร้างเส้นทางปลอดภัย (หรือ tunnel) ขึ้นในการสื่อสารผ่านระบบเครือข่ายที่เสี่ยงต่อภัยต่างๆ (ในกรณีนี้คือ อินเทอร์เน็ต) โพรโตคอลหลายชนิดที่ใช้สร้าง tunnel รวมไปถึงโพรโตคอล Point-to-point Tunneling Protocol (PTPP) และ Layer 2 Tunneling Protocol (L2TP) ได้ถูกนำมาใช้ร่วมกับแอพพลิเคชันสำหรับตรวจสอบสิทธิการใช้งานแบบรวมศูนย์ เช่น เซิร์ฟเวอร์ที่มี Remote Authentication Dial-in User Service (RADIUS) ซึ่งระบบเครือข่ายไร้สายก็จัดเป็นระบบที่เสี่ยงต่อความปลอดภัยระบบหนึ่ง จึงควรจำกัดการเข้าถึงอุปกรณ์ AP ไว้ โดยตัว AP ไม่ต้องใช้ WEP อีกต่อไป แต่จะต่อเชื่อมผ่าน VLAN ไปยังเซิร์ฟเวอร์ของ VPN (AP ยังควรใช้งาน SSID อยู่ เพื่อใช้แบ่งระบบเครือข่ายออกเป็นหลายส่วน) การตรวจสอบสิทธิของผู้ใช้ และการเข้ารหัสจะถูกทำที่เซิร์ฟเวอร์ VPN ซึ่งจะทำหน้าที่เสมือนเป็นประตูเชื่อมสู่ระบบเครือข่ายภายใน วิธีเช่นนี้จะช่วยให้การขยายการรองรับสำหรับผู้ใช้จำนวนมากเป็นไปได้โดยง่าย
รูปที่ 2 แสดงถึงความสะดวกในการใช้ VPN ผู้ใช้สามารถเลือกใช้โมเด็ม, เคเบิลโมเด็ม หรือ DSL ต่อเข้าไปยังอินเทอร์เน็ต และใช้ VPN เพื่อเชื่อมผ่านไปยังระบบเครือข่ายขององค์กรได้ หรืออาจเชื่อมต่อ VPN ผ่านอุปกรณ์ AP สาธารณะที่อยู่ในสนามบินก็ได้เช่นกัน อีกทั้งผู้ใช้จะได้รับอินเทอร์เฟซสำหรับการล็อกอินในรูปแบบเดียวกันด้วย
ไม่มีความคิดเห็น:
แสดงความคิดเห็น