หน้าแรก Networking & Wireless เทคนิคสำคัญ 5 ประการในการปกป้องเครือข่าย Wi-Fi ที่คุณก็ทำได้

เทคนิคสำคัญ 5 ประการในการปกป้องเครือข่าย Wi-Fi ที่คุณก็ทำได้

แบ่งปัน

เครือข่ายแลนไร้สาย ถือเป็นจุดเข้าถึงเครือข่ายที่เปิดกว้างให้แฮ็กเกอร์เข้าถึงได้สะดวกทุกที่ทุกเวลา โดยไม่ต้องเปิดประตูเข้าบ้านคุณ ดังนั้นจึงเป็นสิ่งจำเป็นอย่างยิ่งที่ต้องให้ความสำคัญกับการปกป้องเครือข่าย Wi-Fi ของตนเอง ให้มากกว่าแค่การตั้งรหัสผ่านง่ายๆ

วันนี้เรามีทริคดีๆ 5 ข้อ ให้คุณใช้งาน Wi-Fi ได้อย่างมั่นใจทั้งในบ้านและสำนักงานดังต่อไปนี้

1. ตั้งชื่อ SSID ให้ฉลาด ไม่เด่นมาก แต่ไม่โหล
ประการแรก พวกทูลเจาะระบบเครือข่ายไร้สายมักมีฐานข้อมูลของชื่อเครือข่ายหรือ SSID พร้อมรหัสผ่านแบบดีฟอลต์ของเราท์เตอร์ทุกยี่ห้อในตลาดอยู่แล้ว นั่นคือ ไม่ฉลาดถ้าจะปล่อยให้ใช้ค่าดีฟอลต์แม้แต่แค่ชื่อ SSID ถึงคุณจะเปลี่ยนรหัสผ่านแล้วก็ตาม เพราะคุณก็ยังตกเป็นเป้าแรกๆ ในการกวาดสแกนหาเครือข่ายเหยื่อเป้าหมายอยู่ดี แต่ การตั้งชื่อ SSID แบบแปลกๆ หรือเจาะจงระบุชื่อเฉพาะไม่ว่าจะเป็นชื่อบริษัท, ที่อยู่, หรือเลขที่บ้าน (มีด้วยเหรอ) ก็ไม่โอเคเช่นกัน อยู่ดีๆ คงไม่อยากเด่นเตะกระแทกตาแฮ็กเกอร์ถูกไหมครับ

ทั้งนี้ เวลาแฮ็กเกอร์ใช้วิธีขับรถผ่านเข้าไปในย่านเป้าหมาย เช่น สำนักงานหรือองค์กรทางธุรกิจที่หนาแน่น ก็มักจะเลือก SSID ที่มองปุ๊บรู้ว่าจะถลุงข้อมูลอะไรออกมาขายได้บ้าง และแม้ว่ามีหลายคนมักแนะนำให้ปิดการประกาศเผยแพร่ หรือบรอดคาสต์ชื่อ SSID กับโลกภายนอก เพื่อไม่ให้คนนอกที่ไม่รู้จักเครือข่ายเข้าเชื่อมต่อได้นั้น ทาง NetworkWorld.com ก็ไม่แนะนำเนื่องจากได้ไม่คุ้มเสียกับประสิทธิภาพในการเชื่อมต่อของผู้ใช้งาน อีกทั้งเดี๋ยวนี้แฮ็กเกอร์ก็ฉลาดขึ้นมาก ด้วยการดูดเอาชื่อ SSID ลับของคุณจากทราฟิกข้อมูลของเน็ตเวิร์กที่อยู่ใกล้เคียงได้อยู่แล้ว

2. รักษาความปลอดภัยทางกายภาพด้วย
อย่าให้ใครเข้าถึงตัว AP ง่ายๆ ไม่ใช่โชว์แอคเซสพอยต์หราให้แฮ็กเกอร์ขี้เกียจเปลี่ยนใจแอบไปกดปุ่มรีเซ็ตที่เครื่องแทน หลายคนพอพูดถึงเรื่องความปลอดภัยด้านไอที ก็มัวแต่คิดเรื่องซอฟต์แวร์หรือเทคโนโลยีต่างๆ นานา จนลืมปล่อยให้คนเดินเข้าห้องเซิร์ฟเวอร์กันง่ายๆ อย่างกรณีของแอคเซสพอยต์นั้น ผู้จำหน่ายมักให้อุปกรณ์ติดตั้งที่มีตัวกล่องล็อกไม่ให้คนภายนอกเปิดเข้าถึงปุ่มหรือพอร์ตต่างๆ ได้ และอีกกรณีคือ อย่าปล่อยให้ใครเข้าถึงรูสายแลนว่างๆ หรือปล่อยให้ใครเอาอะไรมาเสียบใช้ได้ง่ายๆ โดยเฉพาะแอคเซสพอยต์โจรหรือ Rouge AP ไม่ว่าคุณจะใช้วิธีเอาพอร์ตหรือสายแลนเปล่าออกไป หรือปิดกั้นการเชื่อมต่อที่สวิตช์หรือเราท์เตอร์ต้นทาง หรือดูไฮโซกว่านั้นก็ลองใช้เทคโนโลยียืนยันตนอย่าง 802.1X ก็ได้

3. ใช้ระบบความปลอดภัยแบบ Enterprise WPA2 ร่วมกับการยืนยันตนแบบ 802.1X
ถือเป็นฟีเจอร์ระดับองค์กรใหญ่ยอดฮิตในการรักษาความปลอดภัยของเครือข่าย Wi-Fi เนื่องจากเป็นบังคับให้ผู้ใช้ทุกคนต้องยืนยันตนด้วยรหัสเฉพาะของตัวเองแตกต่างกันไป ไม่ใช่รหัสกลาง ดังนั้น ถึงแม้พนักงานคนไหนจะทำโทรศัพท์หรือโน้ตบุ๊กหาย หรือพนักงานตัวดีออกจากบริษัทไปแล้ว คุณก็แค่ลบบัญชีผู้ใช้ออกโดยไม่กระทบกับรหัสของผู้ใช้รายอื่น นอกจากนี้ 802.1X ยังแยกคีย์เข้ารหัสข้อมูลของผู้ใช้แต่ละคนด้วย ทำให้ถึงแฮ็กเกอร์จะถอดรหัสทราฟิกของผู้ใช้คนหนึ่งใด ทราฟิกที่เหลือก็ยังปลอดภัยอยู่ สำหรับการตั้งค่าให้เป็นระบบ Enterprise ที่ใช้ 802.1X ก็ง่ายแสนง่าย แค่หาเซิร์ฟเวอร์ยืนยันตนหรือที่เรียกว่า RADIUS ไม่ว่าจะหาเครื่องมาลงโปรแกรมแยกต่างหาก หรือใช้เซิร์ฟเวอร์แบบบิวท์อินบนวินโดวส์เซิร์ฟเวอร์ หรือแม้แต่ใช้กับตัวของแถมที่มากับ AP หรือเราท์เตอร์บางยี่ห้อ แต่ประการหลังมักให้ประสิทธิภาพไม่เพียงพอกับความต้องการระดับสำนักงานหรือองค์กร โดยเซิร์ฟเวอร์ยืนยันตนนี้จะอาศัยข้อมูลของผู้ใช้จากฐานข้อมูลแยกต่างหาก เช่น Active Directory บนวินโดวส์เซิร์ฟเวอร์

4. แต่ระวังอย่าปล่อยให้มีการส่งข้อมูลรหัสผ่านออกจากเครื่องผู้ใช้
ถึงแม้ 802.1X จะดูดีขนาดไหน แต่ถ้าแฮ็กเกอร์สนิฟดูดข้อมูลรหัสผ่านที่ผู้ใช้ส่งไปหาเซิร์ฟเวอร์ยืนยันตนผ่าน Wi-Fi แบบ man-in-the-middle ได้ก็จบ หรือจะหลอกคุณด้วยการตั้งเครือข่ายไร้สายปลอมที่ชื่อคล้ายๆ กับ SSID ที่พนักงานใช้กันอยู่ แล้วรีไดเร็กต์มาเว็บล็อกอินปลอม เป็นต้น

ดังนั้น NetworkWorld.com แนะนำให้ใช้ระบบการยืนยันตนที่จบที่ฝั่งไคลเอนต์หรือเครื่องผู้ใช้ จะได้ไม่ต้องส่งข้อมูลรหัสผ่านออกมาสู่ภายนอก ด้วยการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ยืนยันตนก่อนเชื่อมต่อ เช่น บนวินโดวส์ ก็แค่ใส่ชื่อโดเมนของเซิร์ฟเวอร์ที่ถูกต้องพร้อมเลือกหน่วยงานที่ตรวจใบประกาศรับรองอิเล็กทรอนิกส์ เพื่อป้องกันเครื่องตัวเองไปเจอเว็บล็อกอินหลอกลวงของแฮ็กเกอร์

5. ใช้ระบบตรวจหา AP โจร หรือระบบป้องกันการบุกรุก
จากที่กล่าวข้างต้น สรุปวิธีที่แฮ็กเกอร์จะเจาะเครือข่ายไร้สายได้สามแบบ ได้แก่ การตั้งเครือข่าย Wi-Fi หรือเซิร์ฟเวอร์ RADIUS ปลอม, การเข้าถึงอุปกรณ์ไปกดปุ่มรีเซ็ต, หรือการเอาแอคเซสพอยต์ตัวเอง หรือ AP ของโจร (Rogue AP) มาเสียบเชื่อมต่อกับเครือข่าย ซึ่งประการหลังสุดอาจหลุดลอดสายตัวเจ้าหน้าที่ไอทีได้โดยเฉพาะพวกองค์กรซกมกไม่ยอมทำ 5ส ให้เป็นระเบียบ ดังนั้น ให้หาใช้ระบบตรวจจับ Rogue AP ที่ผู้จำหน่ายแอคเซสพอยต์หรือคอนโทรลเลอร์มีให้ ซึ่งมักจะใช้วิธีสแกนเครือข่ายหาแอคเซสพอยต์แปลกปลอมให้เป็นระยะ และแจ้งเตือนคุณให้จัดการได้อย่างทันท่วงที

ที่มา : https://www.networkworld.com/article/3224539/mobile-wireless/5-ways-to-secure-wi-fi-networks.html