ระบบความปลอดภัยบนเครือข่ายไร้สาย
ในปัจจุบันมีการใช้งาน ระบบเครือข่ายไร้สาย หรือ Wireless กันอย่างกว้างขวางและแพร่หลายกันมากขึ้น เนื่องจากอุปกรณ์ระบบเครือข่ายไร้สายมีราคาลดลงเป็นอย่างมาก ตลอดจนระบบมีการเชื่อมต่อระบบเครือข่ายบรอดแบรนด์กันมาขึ้น ซึ่งอุปกรณ์เหล่านั้นก็จะผนวกเอาระบบ Wireless เข้ามาด้วย เพื่อง่ายต่อการเชื่อมต่อกับอุปกรณ์โน้ตบุ๊ก หรือพีดีเอ
ตามรายงานผลการวิจัยของเดลโอโร่กรุ๊ป (Dell’Oro Group) กล่าวว่า “ปัจจุบันตลาดของ Wireless LAN มีการเติบโตขึ้นมากกว่า 36% ในระหว่างปี 2005-2006” ซึ่งมูลค่าตลาดรวม เมื่อปี 2005 นั้นอยู่ราว 2.5 พันล้านเหรียญสหรัฐ
โดยทางเดลโอโร่ คาดการณ์ว่ามูลค่ารวมของตลาดปี 2006 นี้น่าจะอยู่ราว 3.4 พันล้านเหรียญ ซึ่งตัวจักรสำคัญที่ทำให้เครือข่ายไร้สายมีการเติบโตขึ้นเรื่อยๆ เนื่องจากมีการเติบโตขึ้นเรื่อยๆ เนื่องจากมีการเติบโตทางด้านบรอดแบนด์มากขึ้นทั่วโลก
และมาตรฐานใหม่ของระบบ Wireless LAN 802.11n ที่ทำให้การรับส่งข้อมูลทางไร้สาย สามารถที่ส่งข้อมูลถึง 108Mbps ซึ่งในขณะที่ระมาตรฐาน 802.11g ในปัจจุบันสามารถรับส่งข้อมูลได้เพียง 54Mbps เท่านั้น ซึ่งมาตรฐาน 802.11n นั้นผลิตภัณฑ์ส่วนใหญ่จะผลิตตามมาตรฐาน 802.11n (draft) หรือที่เป็นเพิ่งที่เป็นตามฉบับร่างซึ่งมีการ อนุมัติเมื่อต้นปีนี้เอง ซึ่งผลิตภัณฑ์ที่เป็นมาตรฐานจริงๆ คาดการณ์ว่าจะมีการใช้อย่างจริงจังในปี 2008 หรือ 2009 นั่นเอง
ระบบ Wireless ทำให้ระบบรักษาความปลอดภัยของข้อมูลนั้นเปลี่ยนไป และยุ่งยากขึ้น
ตามปกติการเชื่อมต่อระบบภายในสำนักงานยังใช้แต่ระบบ LAN อยู่ และใช้ Firewall เป็นกำแพงป้องกันการคุกคามจากภายนอก แต่ปัจจุบันนี้เรามีการใช้ระบบ Wireless กันมากขึ้น ซึ่งเป็นการเปลี่ยนแปลงวิถีเชื่อมต่อระบบ เนื่องจากเราไม่สามารถมองเห็นสัญญาณได้ ระบบ Wireless จึงเห็นเสี่ยงต่อการถูกโจมตีและบุกรุกระบบมากกว่า ถ้าเราใช้อุปกรณ์ Wireless ในการเชื่อมต่อเครือข่าย การโจมตีทางอากาศ หรือ การลักลอบการใช้เครือข่ายไร้สาย ก็สามารถเป็นไปได้โดยง่าย เพราะเราไม่สามารถทราบได้ว่าผู้โจมตีอยู่ที่ใด แต่ถ้าเป็นระบบแลนจะทำการตรวจหาหรือป้องกันได้ง่ายกว่าทางเครือข่าย Wireless เพราะเราสามารถค้นหาได้จากจุดเชื่อมต่อสายตามที่จุดหรือ Outlet ในองค์กรได้
ที่เราเรียกว่า Wireless ทำให้ระบบการรักษาความปลอดภัยนั้นยุ่งยากและเปลี่ยนไป เนื่องจากลักษณะการโจมตีของผู้ไม่หวังดีเปลี่ยนไปอย่างมากในช่วง 2 ปีที่ผ่านมา ซึ่งตามปกติแล้วจะมีการ Attack หรือโจมตีจากภายนอกระบบเครือข่าย (External) เข้ามาสู่ระบบเครือข่ายภายในองค์กร (Internal) แต่เนื่องด้วยปัจจุบัน องค์กรส่วนใหญ่ได้มีระบบหรืออุปกรณ์ปกป้องเครือข่ายที่ Perimeter หรือที่ด่านหน้าขององค์กรไว้แล้วเช่น Firewall, IPS/IDS เป็นต้น ทำให้การ Attack เข้ามานั้นต้องผ่านด่านอุปกรณ์ดังกล่าว ค่อนข้างทำการได้ยากกว่าเดิม
ดังนั้น Attacker ได้เปลี่ยนรูปแบบการโจมตีมาเป็นแบบ Inside-Out Attack หรือการโจมตีและบุกรุก แบบภายในสู่ภายนอกมากขึ้น แทนการโจมตีที่จะอาศัยช่องโหว่และเจาะระบบจากภายนอกเข้ามาภายในองค์กร โดยการอาศัย Attack จากภายในโดยไม่มีการยุ่งเกี่ยวกับอุปกรณ์ที่ Perimeter เลยซึ่งก็ง่ายและสะดวกกว่ามาก ดังนั้น เราจะเห็นได้ว่า Attack เหมือนกับฝ่าด่าน Firewall และ IPS เข้ามาอยู่ในระบบเราแล้วนั่นเอง
ระบบขององค์กรเราไม่มีระบบไร้สาย (Wireless) และไม่อนุญาตให้ใช้เครือข่ายไร้สาย จึงไม่จำเป็นต้องมีระบบ Wireless Security นั้น จริงหรือ ?
จริงๆแล้วดูเหมือนว่า เครือข่ายของเราปลอดภัยจากการโจมตีและบุกรุก เนื่องจากองค์กรไม่อนุญาตให้ทำการติดตั้งอุปกรณ์ไร้สายใดๆทั้งสิ้น ซึ่งก็ดูว่าน่าจะปลอดภัยจากเรื่องระบบไร้สายแล้ว แต่อย่าลืมว่าอุปกรณ์ Wireless นั้นไม่ได้หมายถึงอุปกรณ์ที่เป็นพวก Access Point อย่างเดียวเท่านั้น
เช่น ปัจจุบันเครื่องคอมพิวเตอร์โน้ตบุ๊กนั้น จะมีการใส่อุปกรณ์ Wireless ที่ Built-in มากับเครื่องอยู่แล้ว ซึ่งสามารถทำการเชื่อมต่อแบบตัวต่อตัวกับอุปกรณ์ Wireless อื่น หรือที่เรียกว่า Ad-Hoc Connection ซึ่งก็สามารถให้อุปกรณ์อื่นๆ เข้ามาเชื่อมต่อแบบไร้สายกับคอมพิวเตอร์โน้ตบุ๊ก นั้นๆ ได้ และยังสามารถที่จะเข้าสู่ระบบเครือข่ายภายในได้ทันที ถ้าเครื่องนั้นต่อกับสาย LAN อยู่
ตลอดจนอุปกรณ์ Access Point ที่ไม่ได้รับอนุญาต หรือโร้ก (Rogue) Access Point, ที่แอบติดตั้งอยู่ในระบบเครือข่าย โดยที่ผู้บริหารไม่รู้เลย ว่าระบบกำลังอยู่ในสภาวะเสี่ยงอันตราย หรือกำลังโดน คอมโพรไมส (Compromised) อยู่ จะเห็นว่าถึงแม้เราจะไม่อนุญาตให้ใช้เครือข่าย Wireless ในองค์กร แต่มิได้หมายความว่าเราจะปลอดภัยจากการบุกรุกจากเครือข่ายไร้สายอีกต่อไป
เรามาดูวิธีการต่างๆ ที่เหล่า Attack ที่นำมาใช้เพื่อที่จะโจมตีและบุกรุกระบบเครือข่ายไร้สายต่างๆ นั้นว่ามีอะไรบ้าง ซึ่งผู้เขียนขอยกตัวอย่างเหตุการณ์จริงที่เกิดขึ้นในประเทศสหรัฐอเมริกา
“ห้างไฮเปอร์มาร์ทแห่งหนึ่งเป็นห้างที่ใหญ่มาก คล้ายๆ กับห้างบิ๊กซี หรือคาร์ฟูร์ในบ้านเรา ระบบเครือข่าย Wireless ถูก คอมโพรไมส โดยการที่มี Attacker ติดตั้ง Rouge Access Point และตัว Access Point ที่ในองค์กรถูกทำการดักจับข้อมูล พวก Attacker ก็ขับรถไปจอดที่หน้าห้างและทำการเจาะเข้าระบบ Wireless แล้วขโมยข้อมูลบัตรเครดิตของลูกค้าที่เข้าไปใช้บริการที่ห้างนั้นออกมา ซึ่งเป็นผลเสียกับลูกค้าที่ห้างนั้นเป็นอย่างมาก”
เมื่อทำการตรวจพบ ห้างดังกล่าวจึงจำเป็นต้องมีระบบการป้องกันและรักษาความปลอดภัยแบบไร้สาย (Wireless Security) เพื่อที่จะหยุดพฤติกรรมเสี่ยงเหล่านั้นทันที เมื่อมีการตรวจจับ Traffic หรือข้อมูลตลอดจนสารพัดวิธีที่เหล่า Attacker จะนำภัยต่างๆมาสู่ระบบเครือข่าย ซึ่งพอที่จะสรุปพฤติกรรมเสี่ยงและวิธีการต่างๆ ที่เหล่าบรรดา Attacker นิยมใช้ได้ดังต่อไปนี้
1. โร้ก แอ็คเซสพอยต์ (Rogue Access Point)
เป็น Access Point เถื่อนหรือ Access Point ที่ทางองค์กรไม่อนุญาตให้ทำการติดตั้ง ซึ่งอาจจะเป็นคนภายในองค์กรเอง ทำการติดตั้งขึ้นมาเองหรือผู้ที่ไม่ประสงค์ดีสร้างขึ้นมา เพื่อให้คนนอกหรือ Attacker เข้ามาใช้ Wireless ในระบบของภายในองค์กรได้
2. มิสคอนฟิก แอ็คเซสพอยต์ (Mis-Configured Access Point)
เป็น Access Point ที่ทางองค์กรติดตั้ง ที่มีระบบในด้านการรักษาความปลอดภัยพื้นฐาน WEP, WPA ทำให้ทุกคนสามารถเข้ามาใช้ระบบได้หมด โดยไม่ต้องมีการ Authentication ใดๆ ซึ่งก็รวมถึงเหล่า Attacker ต่างๆ ก็เข้ามาใช้ด้วยอีกนั่นเอง
3. แอ็ดฮ็อก คอนเน็คชั่น (Ad hoc connection)
เป็นวิธีที่เชื่อมต่อแบบตัวต่อตัว โดยที่ไม่ผ่านระบบหรืออุปกรณ์แอ็คเซสพอยต์ ทำให้คนที่อยู่ข้างนอกสามารถใช้โน้ตบุ๊กหรืออุปกรณ์ Wireless อื่น ทำการเชื่อมต่อแบบตัวต่อตัว (Ad-hoc) เช่น โน้ตบุ๊กภายในองค์กร ถ้าคนในองค์กรอนุญาตให้ผู้ไม่ประสงค์ดีเข้าใช้ Wireless แบบ AdHoc เข้ามาผ่านเครื่องของตนเองก็จะทำให้ระบบมีช่องโหว่ และมีการลักลอบนำข้อมูลออกทางเครือข่ายไร้สายแบบ ad-Hoc ได้
4. ไคลเอนต์ มิส แอสโซซิเอชั่น (Client mis-association)
คือการเข้า Access Point ผิดในกรณีนี้ ใครที่สัญญาณแรงกว่าหรืออยู่ใกล้กว่า client ก็จะไป connect กับที่นั่นได้ง่ายกว่า อย่างเช่นว่าเราต้องการ connect กับ แอ็คเซสพอยต์ ขององค์กรเรา แต่ข้างบ้านมีสัญญาณที่แรงกว่า เลยเป็นว่าเราไป connect กับ แอ็คเซสพอยต์ของคนอื่นแทน
5. อันออเธอะไรซ์ แอสโซซิเอชั่น (Unauthorized association)
เครื่องโน้ตบุ๊กหรือพีซี ตลอดจนอุปกรณ์ Wireless อื่นๆ หรือองค์กรอื่นเข้าใช้ระบบหรือเชื่อมต่อกับอุปกรณ์ Wireless ขององค์กรเรา
6. ฮันนี่พอท แอ็คเซสพอยต์ (Honey pot Access Point)
การหลอกว่าเป็น แอ็คเซสพอยต์ ขององค์กรเรา เพื่อหลอกที่จะให้ยูสเซอร์เข้าไป Connect ผิดที่แล้วมาขโมย พาสเวิร์ดหรือข้อมูลไป เช่นการตั้งค่า SSID ให้เหมือนกับองค์กรเราเอง
7. แม็ค สพูฟฟิ่ง (MAC Spoofing)
เป็นการทำ MAC address ปลอมขึ้นมาให้ตรงกับ MAC address ของเราเพื่อปลอมแปลงและเข้ามาอยู่ในระบบขององค์กรเรา
8. ดีโนอัล ออฟ เซอร์วิส (Denial of Service)
คือวิธีการทำให้เครื่องคอมพิวเตอร์ทุกเครื่องที่ต่อกับแอสเซสพอยต์ตัวนี้หลุดออกจากแอ็คเซสพอยต์ โดยอาจจะใช้ แพ็กเกต สตอร์ม Packet storm หรือการใช้ ดี ออเธ็นทีเคชั่น ฟลัด (De-Authentication Flood) สั่งให้หยุดการรับ-ส่งระหว่างแอ็คเซสพอยต์ กับ ไคลแอนต์ที่เชื่อมต่อ
คำศัพท์เกี่ยวกับ Wireless Security ที่ควรรู้
1. วอร์ วอล์กกิ้ง (War Chalking)
เป็นกรณีที่ผู้ใช้ Wireless มักจะเสาะหาว่าที่ไหนมี Wireless ใช้บ้าง เมื่อทราบก็จะใช้ชอล์กขีดหรือทำเป็นสัญลักษณ์ให้ผู้ที่ใช้ Wireless คนอื่นๆ รู้ว่าที่นี่สามารถใช้ Wireless ได้ฟรีหรือ Open Node ซึ่งก็สามารถเข้าไปเปิดโน้ตบุ๊กใช้ได้เลย แต่ถ้าตรงไหนมีระบบป้องกันก็จะทำเครื่องหมายบอกว่ามีระบบป้องกันอยู่ด้วยให้ระวัง เช่น Closed Node หรือมีระบบซีเคียวริตี้อยู่
2. วอร์ ไดรฟ์วิ่ง (War Driving)
ก็จะเป็นลักษณะที่คล้ายกับ War chalking แต่จะนำโน้ตบุ๊กหรืออุปกรณ์ Wireless ติดตัวไป แล้วขับรถตระเวนหาตรงไหนมีช่องโหว่ของ Wireless บ้าง โดยใช้อุปกรณ์ดังกล่าวเป็นตัวสแกนหา เมื่อเจอก็จะทำการบุกรุกเข้าไปในระบบของผู้อื่นไปใช้ประโยชน์ ซึ่งเหตุการณ์นี้เคยเกิดขึ้นที่ประเทศสหรัฐอเมริกามาแล้ว ดังตัวอย่างที่กล่าวมา
3. ไวร์เลส ฟิชชิ่ง (Wireless Pgishing)
คือการที่แฮกเกอร์ทำการหลอกให้ผู้ใช้เข้าใจผิดว่า แอ็คเซสพอยต์ที่ตัวเองเชื่อมต่ออยู่นั้นของบริษัท หรือของ ISP เพื่อให้ผู้ใช้บอกข้อมูลส่วนตัว เช่น หมายเลขบัตรประจำตัวประชาชน หรือ พาสเวิร์ด โดยไม่รู้ตัวว่าถูกหลอกและนำข้อมูลต่างๆ ไปใช้งาน
ระบบการรักษาความปลอดภัยบนเครือข่ายไร้สาย Wireless Security and Wireless IPS/Firewall
ระบบ Wireless IPS/Firewall มีความจำเป็นอย่างมากในองค์กรปัจจุบันที่มีความหลากหลายของการเชื่อมต่อของระบบ เราอาจจะเปรียบเทียบบนระบบ LAN ทั่วไป เมื่อเรามี IDS บน LAN แล้ว ก็สามารถทราบได้ว่าใครเข้าใครออกจากระบบบ้าง แต่ทางอากาศเราก็จำเป็นต้องมีเครื่องมือป้องกันภัยคุกคาม เรียกว่า Wireless IPS ซึ่งจะทำหน้าที่เปรียบเสมือนยามที่คอยเฝ้าว่าใครมีพฤติกรรมอะไรประหลาดๆที่เราไม่ต้องการบ้าง
รวมถึงแอ็คเซสพอยต์ ที่เป็น โร้กแอ็คเซสพอยต์ เข้ามาเชื่อมต่อกับขององค์กรเรา หรือจากพนักงานของเราเองที่รู้เท่าไม่ถึงการทำการเชื่อมต่อเอง ล้วนแต่เป็นภัยร้ายแรงต่อบริษัททั้งสิ้น Wireless IPS ก็สามารถตรวจจับและป้องกันการโจมตีของผู้ที่ไม่ประสงค์ดีเหล่านั้นได้
ตลอดจนมีการแจ้งเตือนผู้บริหารระบบ ว่าได้มีการตรวจจับการบุกรุกทาง Wireless ซึ่งผู้บริหารสามารถทำการตรวจสอบ Audit และทำการค้นหาจุดที่คาดว่าเป็นภัยในองค์กรได้ทันที ก่อนที่ระบบเครือข่ายจะเป็นปัญหาต่อไป ซึ่งระบบการตรวจค้นหานั้นก็สามารถที่จะผนวกเอาแผนที่ หรือฟลอร์ แปลน (Floor Plan) เข้ามาร่วมค้นหากับระบบอุปกรณ์ Wireless IPS/Firewall นั้นได้ทันที จะทำการหาแบบโลเคชั่นแทรกกิ้ง (Location Tracking) จะทำให้รู้พิกัดแน่ชัดว่าระบบกำลังมีปัญหา หรือช่องโหว่แท้จริงอยู่ที่ตำแหน่งไหนในองค์กรเรา
ไม่มีความคิดเห็น:
แสดงความคิดเห็น