Wifi
- 1. มกราคม - กุมภาพันธ์ 2548 79
[ Security ]
ปัจจุบันเทคโนโลยีเครือข่าย LAN ไร้สาย
มาตรฐาน IEEE 802.11 (หรือที่นิยมเรียกกันโดย
ทั่วไปว่าเครือข่าย Wi-Fi) กำลังได้รับความนิยม
เป็นอย่างมาก ในการนำมาติดตั้งตามสถานที่ต่างๆ
ไม่ว่าจะเป็นตามสถาบันการศึกษา มหาวิทยาลัย
สำนักงาน ศูนย์ประชุม สนามบิน ห้องสมุด ห้าง
สรรพสินค้า ร้านกาแฟ และตามบ้านเรือน ที่อยู่
อาศัย เพื่ออำนวยความสะดวกให้ผู้ใช้งาน สามารถ
เข้าถึงเครือข่ายและอินเทอร์เน็ตได้อย่างสะดวกทั่ว
บริเวณที่ให้บริการโดยไม่ต้องใช้สายนำสัญญาณ
ให้ยุ่งยากระเกะระกะ นอกจากนี้ความนิยมใน
การนำเอาเทคโนโลยีเครือข่าย Wi-Fi มาใช้งานจะ
ยิ่งเพิ่มสูงขึ้นอีก เนื่องจากอุปกรณ์ เครือข่าย Wi-
Fi มีราคาถูกลงและคอมพิวเตอร์รุ่นใหม่ๆ มักจะ
มีอุปกรณ์เครือข่าย Wi-Fi ติดตั้งมาจาก โรงงานหรือ
built-in มาด้วย ยิ่งไปกว่านั้นในอนาคต อันใกล้
อุปกรณ์โทรศัพท์มือถือต่างๆ ก็จะมีความสามารถใน
การเชื่อมต่อกับอินเทอร์เน็ตผ่านเครือข่าย Wi-Fi
ได้อีกด้วย แต่อย่างไรก็ตาม ท่านทราบหรือไม่ว่า
ในความสะดวกสบาย ของการใช้งานเครือข่าย
ดร. ศิวรักษ์ ศิวโมกษธรรม
ไร้สาย Wi-Fi นั้นมีภัยอันตรายที่น่ากลัวแฝงอยู่ด้วย
หากระบบไม่ได้รับการติดตั้งให้มีความมั่นคง
ปลอดภัยทางเทคนิค กล่าวคือข้อมูลต่างๆ ไม่ว่าจะเป็น
อีเมล์ บทสนทนา ข้อความจากเว็บ หรือ username/
password ที่สื่อสารผ่านเครือข่ายไร้สาย Wi-Fi ที่
ไม่ปลอดภัยนั้น สามารถถูกโจรกรรมได้โดยง่าย อีกทั้ง
ผู้ไม่ประสงค์ดีสามารถลักลอบบุกรุกเข้ามาใช้เครือข่าย
ไร้สายเหล่านั้นเป็นฐานในการโจมตี หรือแพร่กระจาย
ไวรัสคอมพิวเตอร์สู่ระบบเครือข่ายอื่นๆ ได้ข่าวร้าย
ก็คือเครือข่ายไร้สาย Wi-Fi ที่ได้รับการติดตั้ง และ
ใช้งานตามสถานที่ต่างๆ ทั้งในประเทศและต่าง
ประเทศจำนวนมากไม่มีความมั่นคงปลอดภัย ซึ่งอาจ
เป็นเพราะผู้ใช้งานและผู้ติดตั้งดูแลระบบขาดความรู้
ความเข้าใจและความตระหนักถึงภัยอันตรายต่างๆ
จากเทคโนโลยีเครือข่ายไร้สาย Wi-Fi จึงขาดการ
ป้องกันภัยอย่างเหมาะสม ในบทความนี้เราจะมา
ทำความเข้าใจถึงภัยอันตรายต่างๆ จากการใช้งาน
เครือข่ายไร้สาย Wi-Fi รวมถึงการเสริมสร้าง
ความปลอดภัย ให้กับเครือข่ายไร้สายภายใต้เงื่อน
ไขอุปกรณ์และเทคโนโลยีที่มีใช้ในปัจจุบัน
- 2. 80 ส า ร N E C T E C
ภัยอันตรายจากการใช้งานเครือข่ายไร้สาย Wi-Fi
โดยทั่วไปแล้วระบบเครือข่ายไร้สาย Wi-Fi มีความ
เสี่ยงต่อการถูกโจมตีมากกว่าระบบเครือข่าย LAN แบบทั่วไป
ที่ใช้สายนำสัญญาณ เนื่องจากสัญญาณข้อมูลของระบบ
เครือข่ายไร้สาย Wi-Fi จะแพร่กระจายอยู่ในอากาศและ
ไม่จำกัดขอบเขตอยู่เพียงแต่ในห้องๆ เดียวหรือบริเวณแคบๆ
เท่านั้น แต่สัญญาณอาจจะแพร่ไปถึงบริเวณซึ่งอยู่นอกเขต
ความดูแลของท่านได้ ซึ่งหากระบบเครือข่ายไร้สาย Wi-Fi
ไม่มีกลไกรักษาความปลอดภัยทางเทคนิคที่แข็งแรงเพียงพอ
อาจจะทำให้ผู้โจมตีสามารถโจรกรรมข้อมูลหรือกระทำการ
โจมตีระบบในรูปแบบต่างๆ ได้โดยไม่ต้องปรากฏตัวให้เห็น
(Invisible Attackers) ยิ่งไปกว่านั้นผู้โจมตี อาจใช้อุปกรณ์เสา
อากาศพิเศษที่ทำให้สามารถรับส่งสัญญาณจากบริเวณ
ภายนอกที่ไกลออกไปได้มากทำให้การสืบค้นหรือแกะรอย
ผู้กระทำความผิดเป็นไปได้ยากระบบเครือข่ายไร้สาย Wi-Fi
ที่ไม่ปลอดภัยหรือมีความปลอดภัยต่ำจึงมีความเสี่ยงสูงต่อ
การถูกโจมตีและภัยอันตรายในรูปต่างๆ อาทิ การดักฟัง
สัญญาณ การลักลอบเข้ามาใช้เครือข่ายไร้สายโดยไม่ได้
รับอนุญาต การลักพาผู้ใช้งาน (User Hijacking) และการ
รบกวนเครือข่ายหรือทำให้เครือข่ายตกอยู่ในสภาวะที่ไม่
สามารถให้บริการได้ตามปกติ
• การดักฟังสัญญาณ (Data Sniffing) ภัยที่น่ากลัวที่สุด
ประการหนึ่งจากการใช้งานเครือข่ายไร้สาย Wi-Fi ที่
ไม่ปลอดภัย คือ การถูกดักฟังข้อมูลโดยไม่รู้ตัวและยาก
ที่จะสืบหาตัวผู้ดักฟังได้ (Passive Sniffing) กล่าวคือ
การตรวจสอบหรือตรวจจับการดักฟังในเครือข่ายไร้สาย
นั้นทำได้ยากเนื่องจากทางเทคนิคแล้วท่านไม่สามารถทราบ
ได้ว่ามีอุปกรณ์ใดบ้างที่กำลังรับฟังสัญญาณที่อุปกรณ์
ท่านแพร่กระจายออกไป (ซึ่งจะต่างจากกรณีของเครือข่าย
การสื่อสารแบบมีสายที่จะเกิดสภาวะการลดทอนลง
ของกำลังสัญญาณ ในสายสัญญาณหากมีการลักลอบ
ดักฟังสัญญาณในสายสัญญาณเกิดขึ้น อีกทั้งซอฟต์แวร์
สำหรับตรวจจับการดักฟังในสายสัญญาณ มีให้ใช้งานทั่วไป
เช่น AntiSniff) นอกจากนี้ผู้ดักฟังอาจใช้เสาสัญญาณ
ที่มีประสิทธิภาพสูงซึ่งทำให้ผู้ดักฟังสามารถดักสัญญาณ
ได้จากบริเวณที่ลับตา หรือห่างไกลจากเขตควบคุม ถ้าจะ
เปรียบเทียบเพื่อให้เห็นภาพเข้าใจง่ายขึ้น ปัญหาการถูกดักฟัง
ในเครือข่ายไร้สาย Wi-Fi ก็เปรียบได้กับปัญหาของการ
สนทนาโดยใช้เสียง (ซึ่งนับว่าเป็นการสื่อสารแบบไร้สาย
ชนิดหนึ่ง) ที่เราต้องยอมรับว่าบุคคลรอบข้างสามารถได้ยิน
บทสนทนาของเราได้ แต่เราไม่สามารถทราบได้ว่าจริงๆ
แล้วมีใครบ้างที่กำลังแอบฟังหรือ ใช้อุปกรณ์บันทึกบทสนทนา
ของเราอยู่ และหากบุคคลที่แอบฟังใช้ไมโครโฟนที่มี
- 3. มกราคม - กุมภาพันธ์ 2548 81
ประสิทธิภาพสูงก็จะสามารถแอบดักฟังได้จากบริเวณ
ที่ห่างไกลออกไปจากผู้ที่กำลังดำเนินการสนทนาอยู่
การดักฟังสัญญาณของเครือข่ายไร้สาย Wi-Fi นั้นทำ
ได้ไม่ยาก ไม่เหมือนกับการดักฟังสัญญาณโทรศัพท์
มือถือระบบดิจิทัลที่ต้องอาศัยอุปกรณ์ที่ราคาแพงมากๆ
อุปกรณ์ที่จำเป็นสำหรับการดักฟังสัญญาณเครือข่ายไร้สาย
Wi-Fi ได้แก่ เครื่องคอมพิวเตอร์อุปกรณ์ IEEE 802.11
WLAN Client Adaptor (บางรุ่นบางยี่ห้อ) และซอฟต์แวร์
ที่ใช้สำหรับการดักฟังสัญญาณซึ่งมีทั้งที่เป็น Freeware (เช่น
Kismet และ Ethereal) หรือที่หาซื้อมาใช้งานได้เช่น
(AiroPeek และ AirMagnet) เครื่องมือเหล่านี้สามารถ
ดักจับข้อมูลทุกอย่างที่ไม่ได้รับการเข้ารหัสจากแอปพลิเคชัน
ที่ใช้สื่อสารข้อมูล ก่อนสื่อสารผ่านสัญญาณเครือข่ายไร้สาย
Wi-Fi ที่ไม่ปลอดภัย อาทิ ข้อความในอีเมล์บทสนทนาทาง
อินเทอร์เน็ตเช่น MSN chat และข้อมูลต่างๆ (ซึ่งรวมถึง
username และ password) บนเว็บไซต์หรือเซิร์ฟเวอร์
ทั่วไป ซึ่งมีการสื่อสารผ่านโพรโตคอล HTTP, FTP, Telnet,
SNMP, SMTP เป็นต้น ทั้งนี้ทั้งนั้นหากท่านได้ชมการสาธิต
การดักฟังข้อมูลต่างๆ ที่สื่อสารอยู่บนเครือข่ายไร้สาย Wi-
Fi (ซึ่งโดยปกติผมและทีมงาน ThaiCERT จะต้องนำเสนอ
เวลาได้รับเชิญไปบรรยายเกี่ยวกับความปลอดภัยของ
เทคโนโลยี Wi-Fi) ท่านจะเกิดความตระหนักอย่างชัดเจน
ว่า อีเมล์ บทสนทนาบน MSN รวมทั้ง username/pass-
word ในการเข้าถึงระบบต่างๆ สามารถถูกดักฟังได้
อย่างง่ายดายจริง
• การลักลอบเข้ามาใช้งานเครือข่ายโดยไม่ได้รับอนุญาต
(Unauthorized Access) ภัยที่ร้ายแรงที่สุดอีกประการ
หนึ่งสำหรับเครือข่ายไร้สาย Wi-Fi ที่ไม่ปลอดภัย คือ
การถูกบุคคลภายนอกลักลอบเข้ามาใช้งานเครือข่ายไร้สาย
เนื่องจากระบบเครือข่ายไร้สายที่ไม่ปลอดภัย มักจะไม่มี
การตรวจสอบพิสูจน์ตัวตนและจำกัดผู้ใช้งานจึงทำให้ให้
บุคคลภายนอกหรือผู้ไม่ประสงค์ดีสามารถเข้ามาใช้งาน
เครือข่ายได้อย่างอิสระและเสรี หรือในกรณีที่ระบบเครือข่าย
ไร้สายที่ไม่ปลอดภัย เพราะใช้กลไกการพิสูจน์ตัวตนที่มี
ความปลอดภัยต่ำเช่นการใช้รหัสผ่านที่ง่ายต่อการคาดเดา
หรือการใช้รหัสผ่านร่วมกันบุคคลภายนอกหรือผู้ไม่ประสงค์
ดีสามารถลักลอบเข้ามาใช้งานเครือข่ายได้ หากสืบทราบ
รหัสผ่านมาโดยวิธีใดวิธีหนึ่ง เมื่อบุคคลภายนอกหรือผู้ไม่
ประสงค์ดีลักลอบเข้ามาใช้งานเครือข่ายไร้สาย ผู้บุกรุก
สามารถสร้างความเสียหายให้แก่ระบบภายในองค์กรและ
เครือข่ายอื่นๆ ได้ดังนี้
- โจมตีระบบแพร่กระจายไวรัส หนอนคอมพิวเตอร์
โค้ดอันตรายต่างๆ หรือ spam บนระบบเครือข่ายไร้สาย
นอกจากนี้ผู้บุกรุกอาจใช้เครือข่ายไร้สายเป็น backdoor
ในการเข้าถึงและโจมตีหรือแพร่กระจาย Malware
สู่ระบบเครือข่ายภายในองค์กรในส่วนอื่นๆ
- 4. 82 ส า ร N E C T E C
- ลักลอบใช้เครือข่ายไร้สายเป็นฐานเพื่อโจมตี แพร่
กระจายไวรัส หนอนคอมพิวเตอร์ โค้ดอันตราย หรือ
Spam ไปสู่ระบบเครือข่ายอื่นๆ บนอินเทอร์เน็ต
โดยทำให้ผู้ที่ถูกโจมตีเข้าใจว่าการโจมตีเกิดมาจากเครือข่าย
ที่ถูกลักลอบใช้เป็นฐาน นอกจากนี้เพื่อความแนบเนียน
ผู้โจมตีสามารถปลอม MAC Address (ซึ่งเป็น ID
ของอุปกรณ์ของผู้โจมตี) ให้ตรงกับ MAC Address
ของผู้ใช้งานคนใดคนหนึ่งบนระบบได้
• การลักพาผู้ใช้งาน (User Hijacking) และการโจมตีแบบ
Man-in-the-Middle ภัยอีกประการหนึ่งสำหรับเครือข่าย
ไร้สาย Wi-Fi ที่ไม่ปลอดภัย คือ การที่ผู้ใช้งานเครือข่าย
ไร้สายสามารถถูกลักพาไปเข้าสู่ระบบของบุคคลภายนอก
ที่ไม่ประสงค์ดีทำให้เกิดความไม่ปลอดภัยของข้อมูลของ
ผู้ใช้งานที่รับส่งผ่านระบบเครือข่ายดังกล่าว โดยปกติผู้ใช้งาน
เครือข่ายไร้สาย Wi-Fi ที่ไม่ปลอดภัย มักจะไม่มี
การตรวจสอบพิสูจน์ตัวตน อุปกรณ์แม่ข่ายให้แน่ชัดก่อน
ทำการเชื่อมต่อเข้ากับอุปกรณ์นั้นๆ ผู้ใช้งานเพียงแต่
ตรวจสอบ ความถูกต้องของชื่อเครือข่ายหรือที่เรียกว่า SSID
(Service Set Identifier) ซึ่งผู้บุกรุกสามารถตั้งชื่อ SSID
ของอุปกรณ์แม่ข่ายของผู้บุกรุกให้ตรงกับชื่อเครือข่าย
ที่ต้องการจะบุกรุกได้ เมื่อผู้ใช้งานเชื่อมต่อกับเครือข่ายผ่าน
ระบบของผู้บุกรุกจะทำให้ผู้บุกรุกสามารถทำการโจมตี
แบบคนกลางเปลี่ยนแปลงสาร (Man-in-the-Middle) ได้
อาทิ การดัดแปลงหรือเพิ่มเติมข้อมูลระหว่างการรับส่ง
และการดักฟังข้อมูล ซึ่งการโจมตีแบบ Man-in-the-Middle
นอกจากจะทำให้ผู้บุกรุกสามารถโจรกรรมข้อมูลที่ไม่ได้
รับการเข้ารหัสในระดับแอปพลิเคชัน (เช่นเดียวกับการดัก
ฟังแบบ passive sniffing) ยังสามารถอำนวยการให้ผู้บุกรุก
ทำการโจรกรรมข้อมูลที่ได้รับการเข้ารหัสในระดับแอป-
พลิเคชันต่างๆ เช่น โพรโตคอล https ได้ด้วย นอกจากนี้
การที่ผู้ใช้งานถูกลักพาสามารถทำให้ผู้บุกรุกเข้าถึงข้อมูล
ต่างๆ บนเครื่องคอมพิวเตอร์ของผู้ใช้งานผ่านช่องโหว่ต่างๆ
ของระบบผู้ใช้งานได้
• การรบกวนเครือข่าย (Jamming or Denial of Ser-
vice Attacks) การรบกวนเครือข่าย (Jamming or De-
nial of Service Attacks) เป็นปัญหาที่สำคัญอีกปัญหาหนึ่ง
สำหรับเครือข่ายไร้สาย Wi-Fi ซึ่งยากที่จะป้องกันได้
เนื่องจากเป็นธรรมชาติของการสื่อสารแบบไร้สายด้วย
คลื่นวิทยุที่สามารถเกิดการขัดข้องเมื่อมีสัญญาณรบกวน
อุปมาเหมือนกับการสื่อสารด้วยเสียง เมื่อมีการส่งเสียง
แทรกซ้อนกันจากหลายแหล่งเกิดขึ้นการสื่อสารก็เป็นไปได้
ยาก สำหรับเครือข่ายไร้สาย Wi-Fi ก็เช่นกัน เมื่อมีสัญญาณ
รบกวนจากแหล่งอื่นที่ใช้ความถี่คลื่นวิทยุในย่านเดียวกัน
การทำงานของเครือข่ายไร้สาย อาจขัดข้อง หรือไม่สามารถ
ทำการรับส่งข้อมูลได้เลย นอกจากนี้แล้ว การสืบหา
แหล่งต้นกำเนิดของสัญญาณรบกวนนั้นทำได้ไม่ง่าย ส่วน
มากต้องอาศัยการเดินสำรวจสัญญาณด้วยเครื่องมือสำหรับ
วัดกำลังสัญญาณคลื่นวิทยุ (Spectrum Analyzer) และ/
หรือเครื่องมือสำหรับตรวจสอบสัญญาณเครือข่ายไร้สาย
Wi-Fi เช่น AiroPeek และ AirMagnet สัญญาณรบกวน
อาจเกิดมาจาก อุปกรณ์สื่อสารหรืออุปกรณ์เครือข่ายไร้สาย
Wi-Fi อื่นๆ ที่ถูกใช้งานอยู่ในบริเวณใกล้เคียงซึ่งมีการรับ
ส่งสัญญาณด้วยคลื่นความถี่ย่านเดียวกับอุปกรณ์ Wi-Fi
ในระบบของท่าน ส่วนใหญ่แล้วอุปกรณ์ Wi-Fi ที่นิยมใช้กัน
อยู่ทั่วไปมีการรับส่งสัญญาณด้วยคลื่นวิทยุในย่านความถี่ 2.4
GHz หรือที่มีชื่อเรียกว่าย่านความถี่ ISM (Industrial Sci-
entific Medical) ซึ่งเป็นย่านความถี่สาธารณะสากลที่
ประชาชนทั่วไปมีสิทธินำมาใช้งานในอาคารหรือสำนักงาน
ได้โดยไม่ต้องขออนุญาตจากคณะกรรมการกิจการโทรคมนาคม
แห่งชาติ ตัวอย่างอุปกรณ์ที่ใช้งานคลื่นวิทยุในย่านความถี่
นี้ได้แก่ เครื่องไมโครเวฟ โทรศัพท์แบบไร้สาย อุปกรณ์
Bluetooth และอุปกรณ์ Wi-Fi อุปกรณ์เครื่องมือทางการ
แพทย์บางอย่าง เป็นต้น นอกจากนี้แล้วสัญญาณ รบกวน
อาจเกิดมาจากการกระทำของผู้โจมตีหรือผู้ใดผู้หนึ่งโดย
จงใจ ผู้โจมตีอาจนำอุปกรณ์สื่อสารที่ใช้ความถี่เดียวกับ
เครือข่ายไร้สาย Wi-Fi หรืออุปกรณ์มาตรฐาน IEEE
802.11 ที่ถูกดัดแปลงให้ส่งสัญญาณออกมารบกวนมา
ติดตั้งและกระจายสัญญาณในบริเวณใกล้เคียง เพื่อรบกวน
หรือทำให้เครือข่ายไร้สาย Wi-Fi ตกอยู่ในสภาวะที่ไม่
สามารถให้บริการได้ (Denial-of-Service)
- 5. มกราคม - กุมภาพันธ์ 2548 83
การป้องกันภัยสำหรับเครือข่ายไร้สาย Wi-Fi
ตามหลักแล้วการสร้างความมั่นคงปลอดภัยให้แก่ระบบ
สารสนเทศอย่างมีประสิทธิภาพ ควรคำนึงถึงปัจจัยหลายด้าน
ทั้งทางด้านเทคโนโลยีที่เกี่ยวข้องด้านความรู้ความเข้าใจ และ
ความตระหนักด้านความปลอดภัยของผู้ใช้งานและผู้ติดตั้ง
ดูแลระบบ (Security Awareness) รวมถึงมาตรการอื่นๆ
ที่ควรนำมาใช้เช่น การมีระเบียบหรือข้อควรปฏิบัติในการใช้งาน
เครือข่ายสำหรับผู้ใช้งานและผู้ดูแลระบบ รวมถึงบทลงโทษ
สำหรับการกระผิด เป็นต้น
เทคโนโลยีที่เกี่ยวข้อง
สำหรับด้านเทคโนโลยีแล้ว องค์ประกอบที่สำคัญที่สุด
ของระบบเครือข่าย Wi-Fi ที่ปลอดภัยคือจะต้องมีการใช้เทคนิค
การเข้ารหัสสัญญาณและการตรวจสอบพิสูจน์ตัวตนผู้ใช้งาน
บนระบบ เนื่องจากเนื้อที่จำกัด ในที่นี้เราจะนำเสนอเกร็ดความรู้
เบื้องต้น เกี่ยวกับเทคโนโลยีหลักๆ สำหรับการรักษาความ
ปลอดภัยบนเครือข่าย Wi-Fi ได้แก่ WEP (Wired Equiva-
lent Privacy), WPA (Wi-Fi Protected Access), IEEE
802.11i, และ MAC Address Filtering โดยสังเขป
• WEP (Wired Equivalent Privacy) เทคโนโลยี WEP
เป็นกลไกทางเลือกเดียวที่กำหนดไว้ตามมาตรฐาน IEEE
802.11 ในช่วงยุคแรกๆ (ก่อนปี 2546) สำหรับการเข้า
รหัสสัญญาณและการตรวจสอบพิสูจน์ตัวตน ผู้ใช้งานของ
อุปกรณ์เครือข่ายไร้สาย Wi-Fi เทคโนโลยี WEP อาศัย
การเข้ารหัสสัญญาณแบบ shared และ symmetric
กล่าวคือ อุปกรณ์ของผู้ใช้งานทั้งหมดบนเครือข่ายไร้สาย
หนึ่งๆ ต้องทราบรหัสลับที่ใช้ร่วมกันเพื่อทำเข้ารหัสและ
ถอดรหัสสัญญาณได้ ปัจจุบันเทคโนโลยี WEP ล้าสมัย
ไปแล้วเนื่องจากมีช่องโหว่และจุดอ่อนอยู่มาก โดยช่องโหว่
ที่เป็นปัญหาที่สุดคือ การที่ผู้ไม่ประสงค์ดีสามารถคำนวณ
หาค่ารหัสลับด้วยหลักทางสถิติได้จากการดักฟังและ
เก็บรวบรวมสัญญาณจากเครือข่ายไร้สาย Wi-Fi หนึ่งๆ
ได้เป็นปริมาณมากเพียงพอ โดยอาศัยโปรแกรม AirSnort
ซึ่งเป็น Freeware ดังนั้นในปัจจุบันผู้ติดตั้งและผู้ใช้งาน
ควรหลีกเลี่ยงการใช้กลไก WEP และเลือกใช้เทคนิค
ทางเลือกอื่นที่มีความปลอดภัยสูงกว่า เช่น WPA (Wi-Fi
Protected Access) และ IEEE 802.11i
• WPA & IEEE 802.11i เทคโนโลยี WPA (Wi-Fi Pro-
tected Access) และ IEEE 802.11i เป็นเทคโนโลยีล่าสุด
ตามมาตรฐาน IEEE 802.11 ที่เพิ่งได้รับการนำเข้าสู่ท้อง
ตลาด เมื่อไม่นานมานี้คือ ประมาณช่วงต้นปี 2547 ซึ่ง
มีความปลอดภัยสูงและควรนำมาใช้งานบนระบบเครือข่าย
ไร้สาย Wi-Fi ของท่านเทคโนโลยี WPA (ซึ่งเป็นแกน
หลักของ IEEE 802.11i) มีการใช้กลไกการเข้ารหัส
สัญญาณที่ซับซ้อน (TKIP: Temporal Key Integrity Pro-
tocol) โดยคีย์ที่ใช้ในการเข้ารหัสสัญญาณ จะเปลี่ยนแปลง
อัตโนมัติอยู่เสมอ สำหรับแต่ละผู้ใช้งานและทุกๆ แพ็กเก็ต
ข้อมูลที่ทำการรับส่งบนเครือข่าย มีกลไกการแลกเปลี่ยนคีย์
ระหว่างอุปกรณ์ผู้ใช้งานกับอุปกรณ์แม่ข่ายอย่างอัตโนมัติ
อีกทั้ง WPA ยังสามารถรองรับการพิสูจน์ตัวตนได้ หลาก
หลายรูปแบบ อาทิ
- WPA-PSK (WPA-Pre-Shared Key) ซึ่งผู้ใช้ทุกคนใช้
รหัสลับเดียวร่วมกันในการพิสูจน์ ตัวตนโหมด
การทำงานนี้ได้รับการพัฒนาขึ้นมา เพื่อมาทดแทน
กลไก WEP นั่นเอง ซึ่งอาจเหมาะสำหรับเครือข่ายที่มี
ผู้ใช้งานไม่มาก ได้แก่ เครือข่ายไร้สายตามที่อยู่อาศัย
และตามที่ทำงานขนาดเล็ก
- WPA + EAP-TLS หรือ PEAP สำหรับโหมดนี้ ระบบ
เครือข่ายไร้สายจะต้องมี RADIUS server เพื่อทำหน้าที่
ควบคุมการตรวจสอบพิสูจน์ ตัวตนผู้ใช้งานและในทาง
กลับกันผู้ใช้งานจะตรวจสอบ พิสูจน์ตัวตนเครือข่ายด้วย
(Mutual Authentication) ซึ่งโหมดนี้ สามารถป้องกัน
ทั้งปัญหาการลักลอบใช้เครือข่ายและการลักพา ผู้ใช้งาน
ได้ โดยทางเลือก WPA + EAP-TLS จะมีการใช้ digital
certificate สำหรับการตรวจสอบ พิสูจน์ตัวตนระหว่าง
ระบบแม่ข่ายและผู้ใช้งานทั้งหมดบนระบบ สำหรับ
ทางเลือก WPA + PEAP ซึ่งกำลังได้รับความนิยม
เป็นอย่างมาก ผู้ใช้ตรวจสอบ digital certificate ของ
ระบบ ส่วนระบบจะตรวจสอบ username/password
ของผู้ใช้งานโหมดนี้มีความปลอดภัย สูงและเหมาะ
สำหรับเครือข่ายไร้สายในองค์กรที่มีขนาดใหญ่และ
ผู้ใช้งานส่วนมากใช้ระบบปฏิบัติการ MS Windows XP
• MAC Address Filtering เทคนิคการจำกัด MAC ad-
dress (MAC address filtering) เป็นกลไกสำหรับการจำกัด
ผู้ใช้งานบนเครือข่ายไร้สาย ซึ่งเป็นที่นิยมกันมากในปัจจุบัน
แต่มีความปลอดภัยต่ำ กล่าวคือ MAC address เปรียบ
เสมือน ID ของอุปกรณ์ชิ้นหนึ่งๆ บนเครือข่าย ดังนั้นวิธีง่ายๆ
ในการจำกัดผู้ใช้งานบนเครือข่ายสามารถทำได้โดยการสร้างฐาน
ข้อมูล MAC Address ของอุปกรณ์ที่มีสิทธิเข้ามาใช้งาน
เครือข่ายได้ ซึ่งโดยทั่วไปแล้วอุปกรณ์แม่ข่ายระบบเครือข่าย
ไร้สาย Wi-Fi จะสามารถรองรับการทำงานของกลไกนี้
ปัญหาของเทคนิคนี้คือ การปลอมแปลงค่า MAC address
ของอุปกรณ์บนเครือข่าย สามารถทำได้โดยวิธีง่ายๆ เช่น
- 6. 84 ส า ร N E C T E C
ปรับแก้ค่าการทำงานของอุปกรณ์นั้นๆ ใน registry ของ
ระบบปฏิบัติ MS Windows หรือใช้โปรแกรมสำเร็จรูป
สำหรับปรับตั้งค่า MAC address ของอุปกรณ์ เช่น
โปรแกรม SMAC เนื่องจากเทคนิคการจำกัด MAC ad-
dress เป็นกลไกที่มีประสิทธิภาพต่ำและไม่ปลอดภัย
ท่านจึงไม่ควรใช้เทคนิคนี้เป็นกลไกหลักเพียงกลไกเดียว
สำหรับการจำกัดผู้ใช้งานบนเครือข่ายไร้สาย แต่อาจใช้
เป็นกลไกเสริมกับเทคนิคอื่นเช่น WPA หากต้องการ
เสริมความปลอดภัยบนระบบให้สูงมากยิ่งขึ้น
ข้อควรปฏิบัติ สำหรับผู้ใช้งานเครือข่ายไร้สาย
Wi-Fi
เนื่องจากในสถานการณ์ปัจจุบันผู้ให้บริการเครือข่าย
ไร้สาย Wi-Fi มักจะเน้นเรื่องความสะดวกสบายของการติดตั้ง
และใช้งาน โดยอาจไม่ตระหนักหรือไม่ได้คำนึงถึงความ
ปลอดภัยของการใช้งาน ดังนั้นผู้ใช้งานเครือข่ายไร้สาย Wi-Fi
จึงควรตระหนักถึงภัยอันตรายต่างๆ ที่แฝงมากับความรวดเร็ว
สะดวกสบายตามที่ผู้เขียนได้กล่าวมาแล้ว และควรคำนึงถึง
ข้อควรปฏิบัติเบื้องต้นดังต่อไปนี้
• หลีกเลี่ยงการใช้งานเครือข่ายไร้สาย Wi-Fi ที่ไม่ปลอดภัย
กล่าวคือ ก่อนเข้าไปใช้งานเครือข่ายไร้สาย Wi-Fi ผู้ใช้
ควรตรวจสอบให้แน่ใจก่อนว่าระบบเครือข่ายไร้สายนั้นๆ
มีการเข้ารหัสสัญญาณด้วยเทคโนโลยีที่มีความปลอดภัยสูง
เช่น WPA, IEEE 802.11i หรือ VPN (Virtual Private
Network) เป็นต้น
• หลีกเลี่ยงการรับส่งข้อมูลที่เป็นความลับผ่านแอปพลิเคชัน
หรือโพรโตคอลที่ไม่มีการเข้ารหัสข้อมูล เช่น โพรโตคอล
HTTP, TELNET, FTP, SNMP, POP และ Internet
Chat เป็นต้น โดยผู้ใช้ควรเลือกใช้ซอฟต์แวร์ต่างๆ สำหรับ
เข้ารหัสข้อมูลก่อนทำการส่งผ่านเครือข่ายไร้สายหรือ
เลือกใช้งานเฉพาะโพรโตคอลและแอพพลิเคชั่นที่มีการเข้า
รหัสข้อมูลเช่น HTTPS, SSH, PGP เป็นต้น
• เสริมสร้างความแข็งแกร่งของระบบคอมพิวเตอร์ของ
ท่านเพื่อป้องกันการถูกโจมตี Hacked หรือติดไวรัส อาทิ
- การอัปเดตโปรแกรมซ่อมแซมช่องโหว่ระบบปฏิบัติ-
การอยู่เสมอ (Update OS Patches)
- การติดตั้งและใช้งานโปรแกรมจำพวก Personal
Firewall เช่น Windows XP Firewallหรือ Zones
Alarm
- การติดตั้งใช้งานโปรแกรม Anti-Virus และอัปเดต
ฐานข้อมูล ไวรัสของโปรแกรมให้ทันสมัยอยู่เสมอ
- Disable ฟังก์ชันการแชร์ไฟล์และเครือข่าย และฟังก์ชัน
Remote Desktop/Remote Login ของระบบ
ปฏิบัติการ
• ตรวจสอบและพิจารณาข้อมูลต่างๆ ที่ระบบปฏิบัติการหรือ
Web Browser เตือนขึ้นมาเพื่อแจ้งความเสี่ยงอย่างละเอียด
โดยเฉพาะอย่างยิ่ง คำเตือนเกี่ยวกับ ปัญหา Invalid Digi-
tal Certificate หรือ Untrusted Certificate Authority
ซึ่งอาจแสดงถึงว่ามีกำลังมีการโจมตีระบบของท่านเกิดขึ้น*
เปิดใช้อุปกรณ์เครือข่ายไร้สาย Wi-Fi ของท่านเมื่อต้องการ
เข้าใช้งานเครือข่ายหนึ่งๆ และปิดหรือ disable อุปกรณ์
ดังกล่าวเมื่อท่านเลิกใช้งานแล้ว
แหล่งความรู้เพิ่มเติม
[1] เว็บไซต์ ThaiCERT, URL: http://www.thaicert.
nectec.or.th/paper/wireless/
[2] http://standards.ieee.org/getieee802/802.11.html
[3] http://www.sans.org/rr/whitepapers/wireless
[4] http://www.wi-fi.org
บทสรุป
เครือข่ายไร้สาย Wi-Fi เป็นเทคโนโลยีที่มีประโยชน์
อยู่มากโดยเฉพาะอย่างยิ่งทำให้เกิดความสะดวกต่อผู้ใช้ใน
การต่อเชื่อมเข้ากับเครือข่ายได้อย่างสะดวกและมีอิสระ
แต่ก็ทำให้เกิดความเสี่ยงเพิ่มขึ้นสำหรับข้อมูลซึ่งมีการสื่อสารกัน
บนระบบเพราะอาจจะถูกโจรกรรมได้โดยง่าย การที่บุคคล
ภายนอกลักลอบเข้ามาใช้เครือข่ายโดยไม่ได้รับอนุญาตและ
ลักลอบใช้เป็นฐานโจมตีเครือข่ายอื่นๆ ได้หากไม่มีการป้องกัน
ภัยอย่างเหมาะสม โดยการนำเอาเทคโนโลยีรักษาความ
ปลอดภัยที่มีความปลอดภัยสูงมาใช้งานบนระบบโดยเฉพาะ
อย่างยิ่งเทคโนโลยี การเข้ารหัสสัญญาณและการตรวจสอบ
พิสูจน์ตัวตน ผู้ติดตั้งระบบเครือข่ายไร้สาย Wi-Fi ควรหลีก
เลี่ยงเทคโนโลยี WEP ซึ่งมีจุดอ่อนอยู่มาก และเลือกใช้
เทคโนโลยี WPA หรือ IEEE 802.11i ซึ่งมีความปลอดภัยสูง
สำหรับเครือข่ายขนาดเล็กควรเลือกใช้เทคโนโลยี WPA
ในโหมด WPA-PSK เป็นอย่างน้อย ส่วนเครือข่ายในองค์กร
ขนาดใหญ่ ควรมีการใช้งานเทคโนโลยี WPA ในโหมด WPA
+ EAP/TLS หรือ WPA + PEAP นอกจากนี้ผู้ใช้งานเครือ-
ข่ายไร้สาย Wi-Fi ควรตระหนักถึงความเสี่ยงต่างๆ ที่แฝง
อยู่กับความสะดวกสบายในการใช้งาน หลีกเลี่ยงการรับส่ง
ข้อมูลที่เป็นความลับ และเลือกใช้งานโพรโตคอลและ
แอปพลิเคชันที่มีการ เข้ารหัสข้อมูลเช่น HTTPS, SSH, PGP
เป็นต้น