1. วาง Access Point (AP) ในตำแหน่งที่เหมาะสม
ไม่ควรวาง AP ไว้ในระบบ LAN ภายใน ควรวาง AP บริเวณหน้า Firewall จะปลอดภัยกว่า แต่ถ้า
จำเป็นจริงๆ ต้องวางภายใน LAN ที่เป็น Internal Network ก็ควรจะมีการเพิ่มการ Authentication,
Encryption เข้าไปด้วย
2. กำหนดรายการ MAC Address
ที่สามารถเข้าใช้ AP ได้เฉพาะที่เราอนุญาตเท่านั้น
การ Lock ด้วยวิธีกำหนดค่า MAC Address นั้น แม้ว่าจะไม่ใช้วิธีที่กัน Hacker ได้ 100% ก็ตาม
เพราะ Hacker สามารถ Spoof ปลอม MAC Address ได้
แต่ก็ยังดีกว่าไม่มีการกำหนดเสียเลย เหมือนกับว่าเราควรมีการป้องกันหลายๆ วิธี
การกำหนด MAC Address ให้เฉพาะเครื่องที่เราอนุญาตก็เป็นการกันในชั้นหนึ่ง
เพื่อให้ Hacker เกิดความยากลำบากในการ Hack เข้าสู่ระบบ Wireless LAN ของเรา
3. จัดการกับ SSID (Service Set Identifier)
ที่ถูกกำหนดเป็นค่า Default มาจากโรงงานผลิต
ค่า SSID จะถูกกำหนดเป็นค่า Default มาจาก Vendor เช่น
Cisco Aironet กำหนดเป็นชื่อ tsunami เป็นต้น เราควรทำ
การเปลี่ยนค่า SSID ที่เป็นค่า Default ทันทีที่เรานำ AP มาใช้งาน
และ ควรปิดคุณสมบัติการ Auto Broadcast SSID
ของตัว AP ด้วย
5. อย่าหวังพึ่ง WEP อย่างเดียว เพราะ WEP สามารถที่จะถูก Crack ได้
การเพิ่ม WEP เข้ามาในการใช้งาน Wireless LAN เป็นสิ่งที่ควรทำ
แต่ WEP ก็ไม่สามารถกันพวกแฮกเกอร์ได้ 100%
เพราะมีโปรแกรมที่สามารถถอดรหัส WEP ได้ ถ้าได้ IP Packet จำนวนมากพอ
เช่น โปรแกรม AirSnort จาก http://www.shmoo.com เป็นต้น
เพราะฉะนั้นเราควรเพิ่มการป้องกันใน Layer อื่นๆ เข้าไปด้วย
6.ใช้ VPN ร่วมกับการใช้งาน Wireless LAN
การใช้ VPN ระหว่าง Wireless LAN Client กับ AP ต่อเชื่อมไปยัง VPN Server
เป็นวิธีที่ปลอดภัยมากกว่าการใช้
WEP และ การ Lock MAC Address
การใช้ VPN ถือได้ว่าเป็นการป้องกันที่ลึกอีกขั้นหนึ่ง และ
เป็นการรักษาความปลอดภัยในลักษณะ end to end อีกด้วย
**7. เพิ่มการ Authentication โดยใช้ RADIUS หรือ TACACS Server **
ถ้าองค์กรมี RADIUS Server หรือ CISCO Secure ACS (TACACS) Server
อยู่แล้ว สามารถนำมาใช้ร่วมกับ AP
ที่มีความสามารถในการตรวจสอบ Username และ Password
ก่อนที่ผู้ใช้จะเข้าสู่ระบบ(Authentication Process)
และ ทำให้ผู้ใช้ไม่ต้องจำหลาย Username หลาย Password
ผู้ใช้สามารถใช้ Username และ Password เดียวกับที่ใช้ในระบบ Internal LAN ได้เลย
ทำให้สะดวกในการบริหารจัดการ Account ภายใน
และ IT Auditor ควรตรวจสอบการเข้าระบบ Wired
และ Wireless LAN จาก Log ของระบบด้วย
8. การใช้ Single Sign On (SSO) ดังที่กล่าวมาแล้วในข้อ
7 ควรกำหนดเป็น Security Policy ให้กับองค์กรสำหรับระบบ Wired และ Wireless LAN
เพื่อที่เราสามารถที่จะกำหนดคุณสมบัติ AAA
ได้แก่ Authentication, Authorization และ Accounting ได้ การใช้งาน
ควรกำหนด Security Policy ทั้งระบบ Wired และ Wireless LAN ไปพร้อมๆ กัน
และ แจ้งให้ผู้ใช้ได้ทราบปฎิบัติตาม Security Policy และสามารถตรวจสอบได้
9. อุปกรณ์ Wireless LAN
จากแต่ละผู้ผลิตอาจมีคุณสมบัติแตกต่างจากมาตรฐานและมีปัญหาในการทำงานร่วมกัน
แม้ว่าผู้ผลิตอุปกรณ์จะผลิตตามมาตรฐาน IEEE 802.11b
ผู้ผลิตบางรายมักจะเพิ่มคุณสมบัติบางอย่างเฉพาะผู้ผลิตรายนั้นๆ
เช่น เพิ่มคุณสมบัติทางด้าน security ของอุปกรณ์เป็นต้น
เราควรตรวจสอบให้ดีก่อนที่จะติดสินใจซื้อมาใช้งานจริงว่าอุปกรณ์ไม่มีปัญหาในการทำงานร่วมกัน
10. ระวัง Rouge AP แม้คุณจะไม่ได้ใช้ระบบ Wireless LAN เลยก็ตาม
การ Hack จากภายในองค์กรในสมัยนี้ทำได้ง่าย แม้องค์กรจะไม่ได้ใช้ระบบ Wireless LAN เลย
วิธีการก็คือ มีผุ้ไม่หวังดีทำการแอบติดตั้ง AP ที่ไม่ได้รับอนุญาติเข้ากับระบบ Internal LAN
เรียกว่า Rouge AP จากนั้นผุ้ไม่หวังดีก็สามารถ Access Internal LAN ผ่านทาง Rouge AP
ที่ทำการแอบติดตั้งไว้ ซึ่งเขาสามารถเข้าถึงระบบภายในได้ จากภายนอกอาคาร
หรือ จากที่จอดรถของบริษัทก็ได้ ถ้าระยะห่างไม่เกิน 100 เมตร จาก AP ที่แอบติดตั้งไว้
เราควรมีการตรวจสอบ Rouge AP เป็นระยะๆ
โดยใช้โปรแกรม Networkstumbler (http://www.netstumbler.com)
เพื่อหาตำแหน่งของ Rouge AP
หรือ เราควรติดตั้ง IDS (Intrusion Detection System) เช่น SNORT (http://www.snort.org)
เพื่อคอยตรวจสอบพฤติกรรมแปลกๆ ในระบบ Internal LAN ภายในของเราเป็นระยะๆ
จะทำให้ระบบของเรามีความปลอดภัยมากขึ้น และ มีการเตือนภัยในลักษณะ Proactive อีกด้วย
Credit พี่ยุ่ง KMUTNB
ไม่มีความคิดเห็น:
แสดงความคิดเห็น