มาตรฐาน IEEE 802.11 WLAN: ความรู้เบื้องต้น ช่องโหว่ และการรักษาความปลอดภัย ( ตอนที่ 4)

  • PDF
  • พิมพ์
  • อีเมล

4. การเสริมสร้างความปลอดภัยให้กับเครือข่าย IEEE 802.11

ดังที่กล่าวไปแล้วว่าเครือข่าย IEEE 802.11 WLAN มีช่องโหว่หลายประการซึ่งทำให้ผู้โจมตีสามารถบุกรุกเครือข่าย WLAN หรือใช้ WLAN เป็น back-door เพื่อโจมตีเครือข่ายในส่วนอื่นของระบบหรือใช้ WLAN เป็นฐานสำหรับโจมตีระบบอื่นแล้วป้ายความผิดให้ WLAN ที่ตกเป็นเหยื่อ ถึงแม้ว่าระบบในความดูแลของท่านจะได้รับการติดตั้งกลไกการรักษาความปลอดภัยที่เหมาะสมแล้วเพื่อป้องกันไม่ให้ผู้โจมตีสามารถบุกรุกผ่าน Firewall เข้ามาโจมตีระบบได้ แต่หากไม่มีการป้องกันผู้โจมตีจากกันบุกรุกเข้ามาทาง WLAN ซึ่งเป็นส่วนอ่อนแอที่สุดส่วนหนึ่งของระบบ การลงทุนติดตั้งระบบรักษาความปลอดภัยอย่างแน่นหนาดังกล่าวจะไม่เกิดประโยชน์เพราะผู้โจมตีสามารถใช้ WLAN เป็น back-door อย่างดีเพื่อบุกรุกระบบ ดังนั้นจึงจำเป็นอย่างยิ่งที่ผู้ดูแลระบบจะต้องใช้มาตรการต่างๆ อย่างเหมาะสมเพื่อป้องกันการโจมตีให้กับเครือข่าย WLAN หรืออย่างน้อยทำให้ผู้โจมตีไม่สามารถบุกรุกเครือข่าย WLAN ได้โดยง่าย บทความในส่วนนี้จะกล่าวถึงเทคนิคในการเสริมสร้างความปลอดภัยให้กับเครือข่าย IEEE 802.11 WLAN

 

4.1 การรักษาความปลอดภัยระดับเบื้องต้น

การเสริมสร้างความปลอดภัยให้กับเครือข่าย IEEE 802.11 WLAN ในขั้นต้นนั้นสามารถทำได้โดยการติดตั้งค่าการทำงานของอุปกรณ์ IEEE 802.11 WLAN อย่างเหมาะสม รวมถึงการใช้ Firewall, VPN (Virtual Private Network), และ IDS (Intruder Detection System) มาตรการรักษาความปลอดภัยในระดับเบื้องต้นดังที่จะกล่าวถึงในส่วนต่อไปนี้จะทำให้เครือข่าย IEEE 802.11 WLAN มีความปลอดภัยในระดับที่อาจยอมรับได้สำหรับการใช้งานตามบ้านเรือนหรือองค์กรที่ไม่ต้องการความปลอดภัยมากนัก

 

  • เปลี่ยน Login ID และรหัสผ่านของอุปกรณ์และหลีกเลี่ยงการใช้ SNMP

    สิ่งที่ผู้ดูแลระบบควรทำเป็นสิ่งแรกเมื่อติดตั้งอุปกรณ์ IEEE 802.11 WLAN คือเปลี่ยน Login ID และรหัสผ่านสำหรับการตั้งค่าการทำงานของอุปกรณ์ดังกล่าว ผู้ดูแลระบบควรเลือกใช้ Login ID และรหัสผ่านที่มีความแข็งแรงสูงเพื่อให้ผู้โจมตีไม่สามารถเดาหรือเจาะรหัสได้โดยง่ายและควรมีการเปลี่ยน Login ID และรหัสผ่านอย่างสม่ำเสมอ นอกจากนี้ผู้ดูแลระบบไม่ควรอนุญาตให้มีการตั้งค่าการทำงานของอุปกรณ์ผ่านอินเทอร์เน็ตด้วย SNMP เพื่อป้องกันไม่ให้ผู้โจมตี (ซึ่งอาจทราบข้อมูลของ Login ID และรหัสผ่านจากการดักฟังหรือเจาะรหัส) สามารถอ่านหรือปรับเปลี่ยนค่าการทำงานของอุปกรณ์ผ่านเครือข่ายได้ มาตรการเหล่านี้เป็นสิ่งที่ผู้ดูแลระบบควรปฏิบัติในการติดตั้งอุปกรณ์ทุกชนิดมิใช่แต่เพียงอุปกรณ์ IEEE 802.11 WLAN เท่านั้น

 

  • การตั้งชื่อและปกปิด SSID ของอุปกรณ์แม่ข่าย

    Service Set Identifier (SSID) ทำหน้าที่เป็นชื่อเรียกของเครือข่าย IEEE 802.11 WLAN แต่ละเครือข่าย ซึ่งผู้ที่ประสงค์จะเข้ามาใช้เครือข่ายจะต้องรู้ชื่อหรือ SSID ของเครือข่ายจึงจะสามารถขอรับการตรวจสอบเพื่อใช้งานเครือข่ายนั้นๆได้ โดยปกติแล้วอุปกรณ์แม่ข่ายจะส่งสัญญาณทุกๆช่วงเวลาที่กำหนดไว้เพื่อให้ทุกอุปกรณ์ทราบถึง SSID ของเครือข่าย ซึ่งเป็นการอำนวยความสะดวกให้ผู้โจมตีรู้ SSID ของเครือข่ายได้โดยง่าย ดังนั้นผู้ดูแลระบบจึงควรที่จะหลีกเลี่ยงการเปิดเผยชื่อของเครือข่ายโดยปรับตั้งค่าอุปกรณ์แม่ข่ายให้ระงับใช้งานฟังก์ชัน "Broadcast SSID" แต่อย่างไรก็ตามผู้โจมตีก็ยังสามารถค้นหา SSID ของเครือข่ายโดยใช้วิธีอื่นหรือซอฟต์แวร์บางอย่างเช่น Windows XP ได้ แต่อย่างไรก็ตามการงดใช้ฟังก์ชัน Broadcast SSID ก็ยังดีกว่าการใช้งานฟังก์ชันดังกล่าว นอกจากนี้แล้วในการตั้งชื่อเครือข่ายผู้ดูแลระบบควรใช้ SSID ที่ไม่มีความเกี่ยวข้องใดๆกับเครือข่ายเพื่อผู้โจมตีจะได้ไม่สามารถคาดเดาหน้าที่หรือโครงสร้างของเครือข่ายจาก SSIDได้โดยง่ายและควรมีการเปลี่ยนชื่อ SSID อย่างสม่ำเสมอ

  • ปิดกั้นการทำงานในโหมด Adhoc หรือ Peer-to-Peer

    การใช้งานในโหมด Adhoc หรือ Peer-to-Peer ทำให้อุปกรณ์ IEEE 802.11 WLAN สามารถติดต่อสื่อสารถึงกันได้โดยไม่ต้องผ่านอุปกรณ์แม่ข่าย ในกรณีที่คอมพิวเตอร์ของผู้ใช้มีการติดตั้งอุปกรณ์ IEEE 802.11 WLAN และอนุญาตให้มีการใช้งานในโหมดดังกล่าว ผู้โจมตีซึ่งอยู่ในบริเวณใกล้เคียงภายในระยะของคลื่นสัญญาณวิทยุอาจจะสามารถเชื่อมต่อเข้ากับคอมพิวเตอร์ของผู้ใช้นั้นได้โดยตรง ซึ่งผู้โจมตีอาจสามารถใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ต่างๆเพื่อบุกรุกระบบได้ต่อไป ซึ่งผู้บุกรุกอาจสามารถเข้าถึง ดัดแปลงหรือทำลายไฟล์และข้อมูลความลับ สร้าง backdoor เรียกใช้งานโค้ดต่างๆ หรือกระทำการอื่นๆได้ตามประสงค์บนระบบ ทางที่ดีควรจะมีการปิดกั้นไม่ให้อุปกรณ์ IEEE 802.11 WLAN บนระบบภายใต้ความดูแลของท่านทำงานในโหมด Peer-to-Peer เพื่อป้องกันการโจมตีโดยตรงดังกล่าวจากผู้ไม่ประสงค์ดี ซึ่งการปิดกั้นการทำงานในโหมด Peer-to-Peer ไม่ส่งผลกระทบต่อการใช้งานของผู้ใช้ทั่วไปเนื่องจาก โดยปกติแล้วอุปกรณ์ IEEE 802.11 WLAN จะถูกติดตั้งให้ใช้งานในโหมด Infrastructure เพื่ออนุญาตให้ผู้ใช้สามารถเชื่อมต่อเข้ากับอินเตอร์เน็ตได้ ดังนั้นผู้ดูแลระบบไม่ควรจะอนุญาตให้อุปกรณ์ IEEE 802.11 WLAN ทำงานในโหมด Peer-to-Peer หากไม่มีความจำเป็นจริงๆ

  • ใช้งาน WEP Encryption

    ผู้ดูแลระบบควรเลือกใช้กลไกการเข้ารหัสของ WEP ในเครือข่าย IEEE 802.11 WLAN หากไม่มีกลไกสำหรับเข้ารหัสข้อมูลอื่นๆที่ปลอดภัยกว่าให้เลือกใช้ ถึงแม้ว่ากลไกการเข้ารหัสของ WEP จะมีช่องโหว่ก็ตามแต่ก็สามารถสร้างความปลอดภัยในกับเครือข่ายได้ในระดับหนึ่ง เนื่องจากซอฟต์แวร์ Airsnort หรือ WEPCrack สำหรับเจาะรหัสลับในเครือข่าย IEEE 802.11 WLAN ซึ่งถูกพัฒนาบนระบบปฏิบัติการ Linux มีการติดตั้งที่ค่อนข้างยุ่งยากโดยเฉพาะอย่างยิ่งสำหรับผู้ไม่มีความชำนาญกับระบบปฏิบัติการ Linux ดังนั้นกลไกการเข้ารหัสของ WEP จึงสามารถกีดกันผู้โจมตี (สมัครเล่น) จำนวนหนึ่งซึ่งไม่สามารถติดตั้งซอฟต์แวร์ดังกล่าวได้ นอกจากนี้ในการเจาะรหัสลับจะต้องมีการรวบรวมข้อมูลจากเครือข่ายจำนวนมากซึ่งต้องใช้เวลานานหลายชั่วโมงซึ่งผู้โจมตีที่ไม่มีความมุ่งมั่นเพียงพออาจจะไม่พยายามที่เจาะรหัสลับของเครือข่ายที่มีการใช้กลไกการเข้ารหัสของ WEP นั่นหมายความว่าการเลือกใช้กลไกเข้ารหัสของ WEP จะช่วยทำให้เครือข่าย IEEE 802.11 WLAN เป็นเป้าหมายการโจมตีที่ยากขึ้น ซึ่งผู้โจมตีทั่วไปอาจเลี่ยงไปบุกรุกเป้าหมายอื่นที่ง่ายกว่าแทน พูดง่ายๆก็คือเลือกใช้กลไกเข้ารหัสของ WEP ก็ยังดีกว่าไม่ใช้การเข้ารหัสอะไรเลย

  • ควบคุม MAC Address ของผู้ใช้

    วิธีหนึ่งที่อาจป้องกันไม่ให้ผู้โจมตีสามารถเข้าใช้เครือข่ายได้คือการควบคุม MAC Address ของอุปกรณ์ IEEE 802.11 ที่มีสิทธิในการใช้เครือข่ายได้ โดยอนุญาตเฉพาะอุปกรณ์ที่มี MAC Address ดังที่กำหนดไว้เท่านั้นให้ใช้เครือข่ายได้อย่างถูกต้อง ซึ่งโดยปกติแล้วอุปกรณ์แม่ข่าย (AP) ของ IEEE 802.11 ซึ่งใช้กันอยู่ทั่วไปจะมีฟังก์ชันดังกล่าวติดตั้งไว้ให้เลือกใช้ได้ด้วย แต่ปัญหาอย่างหนึ่งสำหรับการควบคุมผู้ใช้ด้วยวิธีนี้ก็คือต้องมีการจัดการและบริหารรายชื่อดังกล่าวซึ่งอาจสร้างความไม่สะดวกโดยเฉพาะอย่างยิ่งสำหรับเครือข่ายที่มีผู้ใช้จำนวนมากๆ ยิ่งไปกว่านั้นวิธีการป้องกันผู้โจมตีแบบนี้มีช่องโหว่เนื่องจากผู้โจมตีสามารถปลอมแปลง MAC Address ของตนเพื่อให้อยู่ในรายชื่อได้ (หรือที่เรียกกันว่า MAC Address spoofing) ผู้โจมตีอาจทราบรายชื่อของ MAC Address ที่ได้รับอนุญาตได้โดยการดักฟัง packet ในเครือข่าย ซึ่งผู้โจมตีสามารถทราบข้อมูลดังกล่าวได้ถึงแม้จะมีการเข้ารหัสข้อความก็ตามแต่ MAC Header จะไม่ถูกเข้ารหัส แต่อย่างไรก็ตามถ้าการจัดการและบริหารรายชื่อ MAC Address เป็นไปได้ไม่ยากนักและไม่มีมาตรการป้องกันผู้โจมตีที่ดีกว่านี้ ผู้ดูแลระบบควรเลือกใช้วิธีการควบคุม MAC Address ของผู้ใช้ ถึงแม้ว่าวิธีดังกล่าวจะมีช่องโหว่ก็ตามแต่ก็สามารถสร้างความไม่สะดวกให้กับผู้โจมตีได้บางส่วน (เล็กๆน้อยๆก็ยังดีกว่าไม่มีการป้องกันไว้เลย) ดังนั้นเครือข่ายที่มีจำนวนผู้ใช้น้อยๆ เช่น WLAN ที่ใช้ในบ้าน ควรมีการเลือกใช้มาตรการรักษาความปลอดภัยดังกล่าว

  • หลีกเลี่ยงการใช้ DHCP

    การใช้ DHCP ซึ่งเป็นกลไกเพื่อกำหนด IP Address ของอุปกรณ์คอมพิวเตอร์โดยอัตโนมัติ ก่อให้เกิดความสะดวกต่อผู้ใช้มากในการเชื่อมต่อเข้ากับอินเทอร์เน็ต แต่ในขณะเดียวกันการใช้ DHCP ก็ทำให้ผู้โจมตีที่บุกรุกเครือข่าย IEEE 802.11 ได้แล้วสามารถเชื่อมต่อเข้ากับอินเทอร์เน็ตได้โดยสะดวกเช่นเดียวกัน ดังนั้นผู้ดูแลระบบควรหลีกเลี่ยงการใช้ DHCP ซึ่งจะทำให้ผู้โจมตีต้องใช้ความพยายามสูงขึ้นในการต่อเชื่อมเข้ากับเครือข่ายอินเทอร์เน็ต

  • หลีกเลี่ยงการใช้ Shared-Key Authentication

    ผู้ดูแลระบบควรหลีกเลี่ยงการใช้กลไกการตรวจสอบผู้ใช้แบบ Shared-Key Authentication ของ WEP เนื่องจากกลไกดังกล่าวถูกเจาะได้ไม่ยากและสามารถทำให้ผู้โจมตีล่วงรู้ key stream เพื่อนำไปใช้เข้ารหัสหรือสามารถถอดรหัสลับในเครือข่ายได้ในที่สุด ดังนั้นหากเป็นไปได้ผู้ดูแลระบบควรหลีกเลี่ยงการใช้กลไกดังกล่าวและอาจติดตั้งอุปกรณ์หรือซอฟต์แวร์เพิ่มเติมเช่นระบบ RADIUS เพื่อช่วยทำหน้าที่ตรวจสอบผู้ใช้ได้อย่างปลอดภัยมากขึ้น

  • ควบคุมการแพร่กระจายของสัญญาณ

    ผู้ดูแลระบบควรพยายามควบคุมไม่ให้สัญญาณของอุปกรณ์ IEEE 802.11 WLAN รั่วไหลออกไปนอกบริเวณที่ใช้งาน เพื่อป้องกันไม่ให้ผู้โจมตีสามารถรับส่งสัญญาณจากภายนอกอาคารหรือบริเวณขอบเขตที่ควบคุมได้ การวางตำแหน่งและกำหนดกำลังส่งของอุปกรณ์อย่างเหมาะสมจะสามารถช่วยลดการรั่วไหลของสัญญาณออกไปภายนอกได้ โดยทั่วไปแล้วผู้ดูแลระบบไม่ควรติดตั้งเครื่องแม่ข่ายไว้ติดกับพื้น, เพดาน, หรือผนังตึกแต่ควรติดตั้งไว้กลางบริเวณที่ใช้งานเพื่อลดการรั่วไหลของสัญญาณ อุปกรณ์ IEEE 802.11 WLAN บางยี่ห้ออนุญาตผู้ใช้สามารถปรับตั้งกำลังในการส่งสัญญาณได้ด้วย ซึ่งในกรณีดังกล่าวผู้ดูแลระบบควรเลือกใช้กำลังส่งให้เหมาะสมกับพื้นที่ใช้งานและควรสำรวจว่าสัญญาณรั่วไหลออกไปภายนอกหรือไม่ นอกจากนี้การใช้เสาอากาศพิเศษที่สามารถกำหนดทิศทางการแพร่กระจายของสัญญาณอาจช่วยลดการรั่วไหลของสัญญาณได้ดีขึ้นด้วย

 

  • ระงับความสามารถในการเชื่อมต่อกับเครือข่าย WLAN แบบอัตโนมัติ

    ระบบปฏิบัติการบางระบบเช่น Microsoft Windows XP กำหนดให้สถานีผู้ใช้มีความสามารถที่เชื่อมต่อเข้ากับสถานีแม่ข่ายหรือสถานีผู้ใช้อื่นได้โดยอัตโนมัติ ซึ่งผู้ใช้อาจไม่ตระหนักถึงว่าสถานีของตนได้รับการเชื่อมต่อเข้ากับสถานีแม่ข่ายหรือสถานีผู้ใช้อื่น ทำให้ผู้ใช้สามารถถูกโจมตีแบบ Man-in-Middle ได้โดยง่าย ดังนั้นผู้ดูแลระบบควรระงับความสามารถในการเชื่อมต่อเข้ากับเครือข่าย WLAN แบบอัตโนมัติดังกล่าว และทางที่ดีควรจะมีการ prompt ถามผู้ใช้ทุกครั้งเมื่อจะเริ่มการเชื่อมต่อเข้ากับอุปกรณ์ WLAN

  • ติดตั้ง Firewall ที่เครือข่าย WLAN และใช้ VPN

    เนื่องจากเครือข่าย WLAN มีโอกาสที่จะถูกบุกรุกและครอบครองได้ง่าย หากไม่มีการรักษาความปลอดภัยที่เหมาะสม WLAN อาจถูกใช้ประโยชน์เป็น back door อย่างดีเพื่อทำการโจมตีระบบภายในอื่นๆได้ต่อไป ดังนั้นเครือข่าย WLAN ควรจะถูกแยกออกจากเครือข่ายภายในส่วนอื่นๆ ซึ่งการแยกเครือข่าย WLAN ออกจากเครือข่ายภายในอื่นๆ จะช่วยป้องกันไม่ให้ผู้โจมตีที่บุกรุกและครอบครองเครือข่ายได้แล้วสามารถบุกรุกต่อไปยังระบบเครือข่ายภายในได้โดยง่าย นั่นคือควรจะมีการติดตั้ง Firewall ระหว่างเครือข่าย WLAN กับเครือข่ายภายในหรือใช้วิธีติดตั้งเครือข่าย WLAN ไว้ในเขต De-Militarized Zone (DMZ) ก็ได้ อย่างไรก็ตามมาตรการนี้ไม่ได้เป็นการป้องกันการโจมตีแก่เครือข่าย WLAN เพียงแต่ช่วยป้องกันไม่ให้เครือข่าย WLAN ถูกใช้เป็น back door สำหรับโจมตีระบบภายในองค์กรส่วนอื่นๆได้ในระดับหนึ่ง

 

แต่อย่างไรก็ตามผู้โจมตียังคงสามารถดังฟังข้อมูลที่รับส่งอยู่ใน WLAN ซึ่งอาจทำให้ผู้โจมตีล่วงรู้ username และ password เพื่อเข้าถึงระบบเครือข่ายภายในได้ เพื่อจะแก้ไขปัญหาดังกล่าวควรจะนำ VPN (Virtual Private Network) ซึ่งเป็นเทคนิคที่ได้รับการยอมรับและใช้อย่างแพร่หลายทั่วไปมาใช้กับเครือข่าย WLAN ด้วยเพื่อสร้างความปลอดภัยอีกชั้นหนึ่ง ในกรณีนี้เครือข่าย WLAN จะถูกพิจารณาเสมือนเป็นเครือข่ายอินเทอร์เน็ตซึ่งไม่ได้รับการไว้ใจจึงมีการสร้าง VPN Tunnel ขึ้นมาในบน WLAN เพื่อใช้ในการรับส่งข้อมูลได้อย่างปลอดภัย นอกจากนี้ควรมีมาตรการเพื่อไม่อนุญาตให้ผู้ใช้ในเครือข่าย WLAN ติดต่อสื่อสารโดยไม่ต้องผ่าน VPN เช่นกำหนดให้ผู้ใช้ใน WLAN ติดต่อสื่อสารได้เฉพาะกับ VPN Concentrator เท่านั้น ทั้งนี้ก็เพื่อป้องกันไม่ให้ผู้โจมตีสามารถบุกรุกผู้ใช้ในเครือข่าย WLAN การติดตั้ง VPN สำหรับ WLAN อย่างถูกต้องจะช่วยป้องกันการโจมตีได้มาก แต่ข้อเสียของการใช้ VPN ก็คือสมรรถนะของเครือข่าย WLAN จะลดลงเนื่องจากต้องมี overhead เพิ่มขึ้นมากซึ่งความเร็วของการรับส่งข้อมูลอาจลดลงเกินกว่าครึ่งก็เป็นได้

  • ใช้ IDS และ Auditor สำหรับ WLAN

    เช่นเดียวกับในระบบเครือข่ายแบบใช้สายสัญญาณทั่วไปที่ควรจะมีการติดตั้งซอฟต์แวร์ IDS (Intruder Dectection System) ไว้เพื่อคอยตรวจสอบและบันทึกว่ามีกิจกรรมที่น่าสงสัยเกิดขึ้นในเครือข่ายหรือไม่ ในเครือข่าย WLAN จึงควรจะมีการติดตั้งซอฟต์แวร์หรือฮาร์ดแวร์ IDS สำหรับตรวจสอบและบันทึกกิจกรรมที่น่าสงสัยในเครือข่าย WLAN นอกจากนี้ผู้ดูแลระบบควรตรวจตราความปลอดภัยของ WLAN โดยใช้ซอฟต์แวร์หรือฮาร์ดแวร์สำหรับ audit เครือข่าย WLAN อย่างสม่ำเสมอ ในปัจจุบันมีซอฟต์แวร์และฮาร์ดแวร์ IDS และ audit สำหรับ WLAN จากผู้ผลิตหลายราย เช่น AiroPeek โดย WildPackets, Internet Scanner & RealSecure โดย ISS, AirMagnet, และ NetStumbler เป็นต้น

 

4.2 การรักษาความปลอดภัยระดับสูง

นอกเหนือจากการรักษาความปลอดภัยในระดับเบื้องต้นดังที่กล่าวมาให้ส่วนก่อนหน้านี้แล้ว องค์กรที่มีการติดตั้งเครือข่าย WLAN และต้องการความปลอดภัยสูง ควรจะติดตั้งระบบตรวจสอบควบคุมผู้ใช้อย่างเหมาะสมและควรมีกลไกสำหรับจัดการและบริหารให้ key ในการเข้ารหัสข้อมูลของแต่ละผู้ใช้มีค่าไม่ซ้ำกันและเปลี่ยนแปลงอย่างสม่ำเสมอด้วย ในกรณีนี้องค์กรควรเลือกติดตั้งอุปกรณ์ IEEE 802.11 WLAN ที่มีความสามารถเพิ่มเติมในการรองรับการทำงานของมาตรฐานเสริม IEEE 802.1x และการทำงานร่วมกับ RADIUS (Remote Authentication Dial-In User Service) เซิร์ฟเวอร์ เช่นอุปกรณ์ IEEE 802.11 WLAN ของ Cisco เป็นต้น ส่วนต่อไปนี้จะกล่าวถึงมาตรฐาน IEEE 802.1x และ RADIUS เซิร์ฟเวอร์

 

มาตรฐาน IEEE 802.1x และ RADIUS

มาตรฐาน IEEE 802.1x เป็นมาตรฐานใหม่สำหรับ MAC Layer ที่ช่วยเสริมให้การตรวจสอบผู้ใช้ (Authentication) ในเครือข่าย LAN และ WLAN มีความปลอดภัยสูงขึ้น ในกรณีนี้เมื่อผู้ใช้ต้องการเข้าใช้เครือข่าย WLAN จะต้องมีการแสดงหลักฐานสำหรับประกอบการตรวจสอบ (credential) ต่ออุปกรณ์แม่ข่าย หลังจากนั้นอุปกรณ์แม่ข่ายจะส่งผ่านหลักฐานดังกล่าวต่อไปยัง RADIUS เซิร์ฟเวอร์ ซึ่งเป็นระบบสำหรับตรวจสอบผู้ใช้โดยเฉพาะที่ใช้กันอยู่ทั่วไป โดยการแลกเปลี่ยนข้อมูลกันระหว่าง RADIUS เซิร์ฟเวอร์และอุปกรณ์ WLAN จะเป็นไปตามโพรโตคอลที่เรียกว่า EAP (Extensible Authentication Protocol) ซึ่งมีความยืดหยุ่นสูงทำให้ผู้พัฒนาระบบสามารถนำไปใช้สร้างกลไกการตรวจสอบอย่างที่ต้องการได้ ในปัจจุบันมีการใช้โพรโตคอลดังกล่าวใน 4 รูปแบบหลักๆคือ EAP-MD5, LEAP, EAP-TLS, และ EAP-TTLS

  • EAP-MD5 ในกรณีนี้หลักฐานที่ส่งผ่านไปยัง RADIUS เซิร์ฟเวอร์ คือ username และ password ซึ่งจะถูกเข้ารหัสด้วยเทคนิคที่เรียกว่า MD5 การใช้กลไก EAP-MD5 ช่วยแก้ไขปัญหาเรื่องการตรวจสอบผู้ใช้ในเครือข่าย WLAN ให้มีความปลอดภัยมากขึ้น แต่ไม่ได้ช่วยแก้ไขปัญหาเรื่องความไม่ปลอดภัยของการใช้รหัสลับเครือข่าย (WEP Key) ซึ่งมีความคงที่ (static) ดังนั้นผู้โจมตียังคงสามารถดักฟังและเจาะรหัสลับของเครือข่ายซึ่งมีความคงที่ได้ถึงแม้จะมีการใช้ EAP-MD5 เมื่อผู้โจมตีทราบรหัสลับของเครือข่ายแล้วก็จะสามารถเข้าใจข้อมูลที่รับส่งอยู่ในเครือข่ายและอาจทราบ username และ password โดยอาศัยเทคนิคต่างๆสำหรับการเจาะรหัส MD5 ได้ในที่สุดนอกจากนี้ข้อบกพร่องในกลไก EAP-MD5 อีกอย่างหนึ่งคือผู้ใช้ไม่สามารถตรวจสอบอุปกรณ์แม่ข่าย ซึ่งทำให้ผู้โจมตีอาจจะสามารถหลอกลวงให้ผู้ใช้ต่อเชื่อมเข้ากับอุปกรณ์แม่ข่ายของผู้โจมตีได้

  • LEAP หรือ EAP-Cisco Wireless โพรโตคอล LEAP (Lightweight Extensible Authentication Protocol) ได้รับการพัฒนาขึ้นโดยบริษัท Cisco ซึ่งในโพรโตคอลนี้นอกจากจะมีกลไกในการส่งผ่านข้อมูลเกี่ยวกับ username และ password ของผู้ใช้ไปยัง RADIUS เซิร์ฟเวอร์ เพื่อทำการตรวจสอบแล้ว ยังมีการจัดการและบริหารรหัสลับของเครือข่าย (WEP Key) ให้มีการเปลี่ยนแปลงค่า นั่นคือเมื่อผู้ใช้ผ่านการตรวจสอบเรียบร้อยแล้วจะได้รับ WEP Key เพื่อใช้ในการเข้ารหัสข้อมูลสำหรับผู้ใช้นั้นๆ ซึ่งหมายความว่า WEP Key ของแต่ละผู้ใช้สามารถมีความแตกต่างกันออกไปได้ และเมื่อใช้งานร่วมกับ RADIUS ซึ่งสามารถกำหนดอายุของแต่ละ sessionได้ จะทำให้ WEP Key ของแต่ละผู้ใช้เปลี่ยนค่าไปทุกๆช่วงเวลาสั้นๆด้วย ในกรณีเทคนิคการเจาะรหัสลับเครือข่าย (WEP Key) ที่มีอยู่ในปัจจุบันจะไม่สามารถนำมาใช้ประโยชน์ได้ นอกจากนี้ LEAP ยังกำหนดให้มีการตรวจสอบทั้งเครื่องแม่ข่ายและผู้ใช้ (Mutual Authentication) เพื่อป้องกันไม่ให้ผู้โจมตีสามารถหลอกลวงผู้ใช้ให้เชื่อมต่อกับเครื่องแม่ข่ายของผู้โจมตีได้ จะเห็นได้ว่า LEAP สามารถเพิ่มความปลอดภัยให้กับเครือข่าย WLAN ได้มาก แต่อย่างไรก็ตามข้อเสียอย่างหนึ่งก็คือในปัจจุบัน LEAP ยังถูกจำกัดอยู่แต่ในผลิตภัณฑ์ของ Cisco เท่านั้น

  • EAP-TLS โพรโตคอล EAP-TLS (Transport Layer Security) ได้รับการพัฒนาขึ้นโดยบริษัท Microsoft ซึ่งมีการอ้างอิงไว้ใน RFC 2716 <http://www.ietf.org/rfc/rfc2716.txt> ในโพรโตคอลนี้จะไม่มีการใช้ username และ password ในการตรวจสอบผู้ใช้ แต่จะใช้ X.509 certificates <http://verisign.netscape.com/security/pki/understanding.html> แทน การทำงานของโพรโตคอลนี้จะอาศัยการส่งผ่าน PKI ผ่าน SSL (Secure Sockets Layers) มายัง EAP เพื่อใช้กำหนด WEP Key สำหรับผู้ใช้แต่ละคน EAP-TLS กำหนดให้มีการตรวจสอบทั้งเครื่องแม่ข่ายและผู้ใช้ (Mutual Authentication) ด้วยเช่นเดียวกับ LEAP แต่อย่างไรก็ตามปัญหาหลักของ EAP-TLS ความยุ่งยากและค่าใช้จ่ายในการติดตั้งจัดการและบริหารระบบ PKI Certificate
  • EAP-TTLS โพรโตคอล EAP-TTLS ถูกเริ่มพัฒนาโดยบริษัท Funk Software ซึ่งการทำงานของ EAP-TTLS คล้ายกับ EAP-TLS
    คือจะมีการตรวจสอบเครื่องแม่ข่ายโดยใช้ Certificate แต่ผู้ใช้จะถูกตรวจสอบโดยการใช้ username และ password ซึ่งความปลอดภัยของ EAP-TTLS จะน้อยกว่า EAP-TLS และที่สำคัญ EAP-TTLS อาจไม่ได้รับความนิยมมากนักในเวลาต่อไปเนื่องจาก Microsoft และ Cisco ได้ร่วมมือกันพัฒนาโพรโตคอลขึ้นมาใหม่ชื่อว่า PEAP (Protected EAP) ซึ่งมีการทำงานเช่นเดียวกับ EAP-TLS

 

รูปที่ 1 แสดง IEEE 802.1x และ RADIUS Implementation

ในการที่จะติดตั้งระบบเครือข่าย WLAN ที่มีความปลอดภัยสูงโดยใช้ IEEE 802.1x จะต้องมีองค์ประกอบ 3 อย่างคือ อุปกรณ์แม่ข่ายที่สามารถส่งผ่านข้อมูลไปยัง RADIUS ด้วย IEEE 802.1x ได้ (IEEE 802.1x Enabled AP), เซิร์ฟเวอร์ RADIUS ที่สามารถทำงานร่วมกับ EAP ที่ต้องการได้, ซอฟต์แวร์สำหรับ Client ซึ่งสามารถทำงานร่วมกับ RADIUS และ IEEE 801.1x ได้

  • IEEE 802.1x Enabled AP

ส่วนใหญ่แล้วอุปกรณ์แม่ข่าย IEEE 802.11 WLAN ที่ผลิตมาสำหรับขายในตลาดสำนักงานจะมีความสามารถในการส่งผ่านข้อมูลไปยัง RADIUS ด้วย IEEE 802.1x ได้อยู่แล้วหรือไม่ก็สามารถที่จะได้รับการปรับเปลี่ยน firmware เพื่อให้ใช้กับ IEEE 802.1x ได้ ส่วนอุปกรณ์ IEEE 802.11 WLAN ที่ผลิตมาสำหรับข่ายในตลาดผู้ใช้ทั่วไปซึ่งจะมีราคาต่ำกว่าจะไม่สามารถนำไปใช้งานร่วมกับ IEEE 802.1x ได้ แต่อย่างไรก็ตามผู้ติดตั้งระบบอาจสามารถดัดแปลงอุปกรณ์เหล่านั้นเพื่อให้ทำงานร่วมกับ IEEE 802.1x ได้โดยเทคนิคที่นำเสนอไว้ใน "Hacking an Orinoco RG-1100 to accept 802.1x"

  • เซิร์ฟเวอร์ RADIUS ที่สามารถทำงานร่วมกับ EAP ที่ต้องการได้ ตัวอย่างเช่น
    • Microsoft Internet Athentication Service (IAS) ซึ่งเป็นองค์ประกอบ (component) หนึ่งของระบบ Windows 2000 ซอฟต์แวร์นี้สามารถทำงานร่วมกับ EAP-TLS และ EAP-MD5 ได้ ซอฟต์แวร์นี้สามารถได้รับการติดตั้งโดยอาศัยฟังก์ชัน Add/Remove Program ใน Control Panel ของระบบ Windows 2000
    • Access Control Software ของ Cisco ซึ่งสามารถทำงานร่วมกับ LEAP และ EAP-TLS บนระบบปฏิบัติการ Windows หรือ UNIX/Linux ได้
    • ซอฟต์แวร์ Steel Belted RADIUS หรือ Odyssey โดยบริษัท Funk Software ซึ่งสามารถใช้งานกับ EAP-MD5, EAP-TLS, LEAP, และ EAP-TTLS ได้
    • ซอฟต์แวร์ AEGIS โดยบริษัท Meetinghouse Data ซึ่งสามารถใช้งานกับ EAP-TLS และ EAP-TTLS บนระบบปฏิบัติการ Linux ได้
    • ซอฟต์แวร์ FreeRadius ซึ่งเป็นโปรแกรมโอเพ่นซอร์สสำหรับระบบ Linux ซอฟต์แวร์นี้สามารถทำงานร่วมกับ EAP-MD5 และ EAP-TLS

  • ซอฟต์แวร์สำหรับ Client ซึ่งสามารถทำงานร่วมกับ RADIUS และ IEEE 801.1x เช่น
    • ซอฟต์แวร์ ACU สำหรับอุปกรณ์ IEEE 802.11 WLAN ของ Cisco ซึ่งสามารถใช้งานกับ LEAP ได้บนระบบปฏิบัติการ Windows, Apple, และ Linux
    • Windows XP มีซอฟต์แวร์ที่มากับระบบเพื่อทำให้อุปกรณ์ IEEE 802.11 WLAN สามารถใช้งานกับ EAP-TLS และ EAP-MD5 ได้ แต่ต้องมีการใช้ Certificate ที่ออกโดย Microsoft อย่างถูกต้อง
    • ซอฟต์แวร์ Odyssey Client โดย Funk Software ซึ่งทำให้อุปกรณ์ IEEE 802.11 WLAN Client ทุกยี่ห้อที่ support โพรโตคอล IEEE 802.1x สามารถใช้งานกับ EAP-MD5, EAP-TLS, EAP-TTLS, และ LEAP ได้บนระบบปฏิบัติการ Windows และ Linux
    • ซอฟต์แวร์ AEGIS Client ซึ่งสามารถใช้งานกับ EAP-MD5, EAP-TLS, และ EAP-TTLS บนระบบปฏิบัติการ Windows และ Linux
    • ซอฟต์แวร์สำหรับ WLAN Client แบบโอเพ่นซอร์สบนระบบ Linux ซึ่งกำลังถูกพัฒนาอยู่ในขณะนี้ เช่น Xsupplicant และ open1X เป็นต้น

ขอบคุณข้อมูลจาก Thaicert

เรียบเรียงโดย : อีเมลนี้จะถูกป้องกันจากสแปมบอท แต่คุณต้องเปิดการใช้งานจาวาสคริปก่อน

แก้ไขล่าสุด ใน วันจันทร์ที่ 21 มิถุนายน 2010 เวลา 08:12 น.

 
Free Joomla Templates by JoomlaShine.com