10 เทคนิค ติดตั้งระบบ Wireless ให้ปลอดภัย

ระบบ LAN ไร้สาย หรือ Wireless LAN กำลังได้รับความนิยมเพิ่มมากขั้นเรื่อยๆ ขณะที่ความปลอดภัยของระบบ Wireless LAN ยังคงเป็นปัญหาที่ต้องได้รับการแก้ไขอย่างถูกวิธี เราควรติดตั้งระบบ Wireless LAN ให้ปลอดภัยตามหลักการด้าน Information Security เพื่อลดความเสี่ยงที่อาจเกิดขึ้นจากผู้ไม่หวังดี

ลองตรวจสอบระบบ Wireless LAN ของคุณดูว่าได้ทำตาม 10 เทคนิคการติดตั้งระบบ Wireless LAN ให้ปลอดภัยแล้วหรือยัง ถ้ายังก็แปลว่าระบบ Wireless LAN ของคุณยังมีความเสี่ยงอยู่ และ ควรได้รับการแก้ไขให้ปลอดภัยยิ่งขึ้นนะครับ

10 เทคนิคการติดตั้งระบบ LAN ไร้สายให้ปลอดภัยจากแฮกเกอร์

1. วาง Access Point (AP) ในตำแหน่งที่เหมาะสม

ไม่ควรวาง AP ไว้ในระบบ LAN ภายใน ควรวาง AP บริเวณหน้า Firewall จะปลอดภัยกว่า แต่ถ้าจำเป็นจริงๆ ต้องวางภายใน LAN ที่เป็น Internal Network ก็ควรจะมีการเพิ่มการ Authentication, Encryption เข้าไปด้วย

2. กำหนดรายการ MAC Address ที่สามารถเข้าใช้ AP ได้เฉพาะที่เราอนุญาตเท่านั้น

การ Lock ด้วยวิธีกำหนดค่า MAC Address นั้น แม้ว่าจะไม่ใช้วิธีที่กัน Hacker ได้ 100% ก็ตาม เพราะ Hacker สามารถ Spoof ปลอม MAC Address ได้ แต่ก็ยังดีกว่าไม่มีการกำหนดเสียเลย เหมือนกับว่าเราควรมีการป้องกันหลายๆ วิธี การกำหนด MAC Address ให้เฉพาะเครื่องที่เราอนุญาตก็เป็นการกันในชั้นหนึ่ง เพื่อให้ Hacker เกิดความยากลำบากในการ Hack เข้าสู่ระบบ Wireless LAN ของเรา

3. จัดการกับ SSID (Service Set Identifier) ที่ถูกกำหนดเป็นค่า Default มาจากโรงงานผลิต

ค่า SSID จะถูกกำหนดเป็นค่า Default มาจาก Vendor เช่น Cisco Aironet กำหนดเป็นชื่อ tsunami เป็นต้น เราควรทำการเปลี่ยนค่า SSID ที่เป็นค่า Default ทันทีที่เรานำ AP มาใช้งาน และ ควรปิดคุณสมบัติการ Auto Broadcast SSID ของตัว AP ด้วย

4. ใช้ WEP (Wired Equivalent Privacy) security protocol ในการเข้ารหัสข้อมูลระหว่าง IEEE 802.11b Wireless LAN Client และ Access Point (AP)

มาตรฐาน WEP เป็นมาตรฐานหลักที่มีใน AP ทุกตัว แต่โดยปกติแล้วจะไม่ได้เปิดใช้ ทำให้แฮกเกอร์สามารถใช้โปรแกรม Packet Sniffer เช่น Ethereal (www.ethereal.com) ดักจับ Packet และสามารถอ่านข้อมูลที่เป็น Plain text ได้เพราะ AP มีลักษณะการทำงานแบบ HUB ไม่ใช่ Switching เหมือนที่เราใช้กันใน LAN ทุกวันนี้ เราจึงควรมีการเข้ารหัส Packet ของเราในระดับ Layer 2 เพื่อให้ยากต่อการจับด้วยโปรแกรมประเภทนี้ ถ้าเราเพิ่มการ generate WEP Key เป็นแบบ Dynamic จะช่วยให้ปลอดภัยมากยิ่งขึ้น รวมถึงการใช้งานแบบ Session-Based และ User-Based WEP Key ก็ช่วยได้เช่นกัน

5. อย่าหวังพึ่ง WEP อย่างเดียว เพราะ WEP สามารถที่จะถูก Crack ได้

การเพิ่ม WEP เข้ามาในการใช้งาน Wireless LAN เป็นสิ่งที่ควรทำ แต่ WEP ก็ไม่สามารถกันพวกแฮกเกอร์ได้ 100% เพราะมีโปรแกรมที่สามารถถอดรหัส WEP ได้ ถ้าได้ IP Packet จำนวนมากพอ เช่น โปรแกรม AirSnort จาก http://www.shmoo.com เป็นต้น เพราะฉะนั้นเราควรเพิ่มการป้องกันใน Layer อื่นๆ เข้าไปด้วย

6.ใช้ VPN ร่วมกับการใช้งาน Wireless LAN

การใช้ VPN ระหว่าง Wireless LAN Client กับ AP ต่อเชื่อมไปยัง VPN Server เป็นวิธีที่ปลอดภัยมากกว่าการใช้ WEP และ การ Lock MAC Address การใช้ VPN ถือได้ว่าเป็นการป้องกันที่ลึกอีกขั้นหนึ่ง และ เป็นการรักษาความปลอดภัยในลักษณะ end to end อีกด้วย

7. เพิ่มการ Authentication โดยใช้ RADIUS หรือ TACACS Server

ถ้าองค์กรมี RADIUS Server หรือ CISCO Secure ACS (TACACS) Server อยู่แล้ว สามารถนำมาใช้ร่วมกับ AP ที่มีความสามารถในการตรวจสอบ Username และ Password ก่อนที่ผู้ใช้จะเข้าสู่ระบบ (Authentication Process) และ ทำให้ผู้ใช้ไม่ต้องจำหลาย Username หลาย Password ผู้ใช้สามารถใช้ Username และ Password เดียวกับที่ใช้ในระบบ Internal LAN ได้เลย ทำให้สะดวกในการบริหารจัดการ Account ภายใน และ IT Auditor ควรตรวจสอบการเข้าระบบ Wired และ Wireless LAN จาก Log ของระบบด้วย

8. การใช้ Single Sign On (SSO)

ดังที่กล่าวมาแล้วในข้อ 7 ควรกำหนดเป็น Security Policy ให้กับองค์กรสำหรับระบบ Wired และ Wireless LAN เพื่อที่เราสามารถที่จะกำหนดคุณสมบัติ AAA ได้แก่ Authentication, Authorization และ Accounting ได้ การใช้งานควรกำหนด Security Policy ทั้งระบบ Wired และ Wireless LAN ไปพร้อมๆ กัน และ แจ้งให้ผู้ใช้ได้ทราบปฎิบัติตาม Security Policy และสามารถตรวจสอบได้

9. อุปกรณ์ Wireless LAN จากแต่ละผู้ผลิตอาจมีคุณสมบัติแตกต่างจากมาตรฐานและมีปัญหาในการทำงานร่วมกัน

แม้ว่าผู้ผลิตอุปกรณ์จะผลิตตามมาตรฐาน IEEE 802.11b ผู้ผลิตบางรายมักจะเพิ่มคุณสมบัติบางอย่างเฉพาะผู้ผลิตรายนั้นๆ เช่น เพิ่มคุณสมบัติทางด้าน security ของอุปกรณ์เป็นต้น เราควรตรวจสอบให้ดีก่อนที่จะติดสินใจซื้อมาใช้งานจริงว่าอุปกรณ์ไม่มีปัญหา ในการทำงานร่วมกัน

10. ระวัง Rouge AP แม้คุณจะไม่ได้ใช้ระบบ Wireless LAN เลยก็ตาม

การ Hack จากภายในองค์กรในสมัยนี้ทำได้ง่าย แม้องค์กรจะไม่ได้ใช้ระบบ Wireless LAN เลย วิธีการก็คือ มีผุ้ไม่หวังดีทำการแอบติดตั้ง AP ที่ไม่ได้รับอนุญาติเข้ากับระบบ Internal LAN เรียกว่า Rouge AP จากนั้นผุ้ไม่หวังดีก็สามารถ Access Internal LAN ผ่านทาง Rouge AP ที่ทำการแอบติดตั้งไว้ ซึ่งเขาสามารถเข้าถึงระบบภายในได้ จากภายนอกอาคาร หรือ จากที่จอดรถของบริษัทก็ได้ ถ้าระยะห่างไม่เกิน 100 เมตร จาก AP ที่แอบติดตั้งไว้

เราควรมีการตรวจสอบ Rouge AP เป็นระยะๆ โดยใช้โปรแกรม Networkstumbler (http://www.netstumbler.com) เพื่อหาตำแหน่งของ Rouge AP หรือ เราควรติดตั้ง IDS (Intrusion Detection System) เช่น SNORT (http://www.snort.org) เพื่อคอยตรวจสอบพฤติกรรมแปลกๆ ในระบบ Internal LAN ภายในของเราเป็นระยะๆ จะทำให้ระบบของเรามีความปลอดภัยมากขึ้น และ มีการเตือนภัยในลักษณะ Proactive อีกด้วย

ASUS N53series, N43series ใช้ USB ต่อ Printer ไม่ทำงานจะทำอย่างไร?

ห่างเหินการอัปเดทเว็บมานานวันนี้ก็มีบทความทำหรับท่านที่ใช้ ASUS มาแนะนำกันล่ะ สำหรับท่านผู้อ่านที่ใช้ ASUS N53series, N43series ใช้ USB ต่อ Printer ไม่ทำงาน จะต่อ Printer สักกี่ตัวก็ปริ้นไม่ออกสักที ผมก็มีแนวทางในการแก้ไขปัญหาตรงนี้มาให้ความรู้และสามารถแก้ไขได้ด้วยตนเอง การแก้ไขก็ไม่มีอะไรอยากที่คิดเลย เพียงแค่ดาวน์โหลด Driver USB3.0 ของ ASUS ตัวใหม่มาลงก็จะสามารถใช้งานได้ปกติ แต่ต้องดาวน์โหลดจากลิงค์ที่ให้นี้ทำนั้นนครับ คลิกอ่านต่อเลยครับ
สำหรับ Windows7 64bit --> http://dlcdnet.asus.com/pub/ASUS/nb/Drivers/USB3.0/USB3_Fresco_Win7_64_z3010816.zip

สำหรับ Windows7 32bit --> http://dlcdnet.asus.com/pub/ASUS/nb/Drivers/USB3.0/USB3_Fresco_Win7_32_z3010816.zip

Nvidia ชี้โน้ตบุ๊คใหม่ดีไซน์"แมคบุ๊คแอร์"

การเปลี่ยนแปลงครั้งใหญ่จะเกิดกับตลาดโน้ตบุ๊คอีกครั้ง โดยทิศทางล่าสุดมาจากบริษัทผู้ผลิตชิปกราฟิกที่ปัจจุบันหันมาเอาดีทางด้านทำ โพรเซสเซอร์ที่ประหยัดพลังงานเป็นเลิศ ในขณะที่มีประสิทธิภาพการทำงานเยี่ยมยอดทั้งพลังประมวลผล และการแสดงผลทางด้านกราฟิกระดับฟูลไฮเดฟ นั่นก็คือ Nvidia โดยล่าสุด Jan-Hsun Huang ซีอีโอของบริษัทพูดถึงดีไซน์โน้ตบุ๊ครุ่นใหม่ที่จะใช้ MacBook Air เป็นต้นแบบ "อีกไม่นานคุณจะพบว่า การมองหาโน้ตบุ๊คที่ดีไซน์แตกต่างจาก MacBook Air เป็นเรื่องยากทีเดียว" Huang กล่าว "ผมคิดว่า MacBook Air เป็นต้นแบบของการดีไซน์แลปทอปที่ดีที่สุดสำหรับอุปกรณ์ที่ใช้งานแบบฝาพับ (calm shell)" เขาให้เหตุผลอีกด้วยว่า "โน้ตบุ๊คจะต้องบาง(กว่านี้) เนื่องจากผู้ใช้ไม่ต้องการโน้ตบุ๊คที่มีช่องระบายลมร้อน หรือต้องพกแบตเตอรี่สำรอง" สำหรับเหตุผลที่ Huang ออกมาแสดงทรรศนะเช่นนี้ก็เนื่องจากว่า ชิปของ Nvidia ถูกใช้ และมีบทบาทสำคัญต่อความสำเร็จของ MacBook Air โดย Apple เลือกใช้ชิปกราฟิกของ Nvidia มาตั้งแต่รุ่นที่สอง

แต่วิสัยทํศน์ของ Huang สำหรับโน้ตบุ๊คในอนาคตจะไปไกลกว่า MacBook Air วันนี้ โดยโน้ตบุ๊คในอนาคตจะต้องทำงานด้วยชิป ARM (ไม่ใช่ Intel) ซึ่ง Nvidia เป็นผู้ผลิตหลักสำหรับชิปเหล่านี้ โดยป้อนให้กับบรรดาบริษัทผู้ผลิตแท็บเล็ตชั้นนำอย่าง Motorola, Samsung และ LG และในปี 2014 โน้ตบุ๊คสายพันธุ์ ARM จะสามารถทำงานด้วยระบบปฏิบัติการ WIndows หรือ Android ของ Google ที่ปัจจุบันผูกพันกับโพรเซสเซอร์ ARM อย่างเหนียวแน่น ตัวอย่างผลิตภัณฑ์โน้ตบุ๊คที่ดูดีไซน์คล้าย MacBook Air ก็เช่น Toshiba AC110 ซึ่งมีความบาง และเบามาก ทำงานด้วยโพรเซสเซอร์ Tegra 2 (สถาปัตยกรรม ARM) ของ Nivdia ทีสำคัญมันทำงานไม่ช้า เนื่องจาก Nvidia กำลังจะออกโพรเซสเซอร์ Quad-core Tegra (มี 4 แกนหลักในการทำงาน) ซึ่งจะใช้ในแท็บเล็ตปีนี้อีกด้วย งานนี้ดูเหมือน Nvidia จะตั้งใจเปิดศึกกับ Intel อย่างจัง

ช่องโหว่ใหม่"วินโดวส์"โจมตีผ่านเน็ตได้?

รายงานด่วนสำหรับผู้ใช้ Windows ทุกท่าน เนื่องจากมีการเผยแพร่โค้ดที่มีการพิสูจน์ทราบแล้วว่า สามารถใช้โจมตีระบบปฏิบัติการ Windows ได้ทุกเวอร์ชัน โดยตามรายงานข่าวที่ออกมาก่อนหน้านี้อ้างว่า แฮคเกอร์ที่ไม่หวังดีสามารถใช้ช่องโหว่ดังกล่าว เพื่อเจาะเข้าระบบของเหยื่อผ่านทางอินเทอร์เน็ตได้ แต่ทางไมโครซอฟท์ปฏิเสธว่า ไม่สามารถใช้ช่องโหว่กระทำการในลักษณะดังกล่าวได้ เมื่อวันพุธที่ผ่าน ไมโครซอฟท์ได้ออกมายืนยันว่า ช่องโหว่ที่เกิดจากการล้นข้อมูลในหน่วยความจำบัฟเฟอร์ (buffer overflow) ของระบบปฎิบัติการสามารถส่งผลกระทบต่อโมดูลบริการบราวเซอร์ใน Windows ได้ โดยช่องโหว่ดังกล่าวได้มีการเปิดเผยมาตั้งแต่วันจันทร์ (ของขวัญวันวาเลนไทน์สำหรับไมโครซอฟท์) พร้อมทั้งให้รายละเอียด และโค้ดที่สามารถใช้งานช่องโหว่ดังกล่าวได้ด้วย

Matt Oh นักวิจัยระบบรักษาความปลอดภัยของ MS กล่าวว่า มันมีช่องโหว่อยู่ใน Server Message Block (SMB) จริง โดยจะอยู่ในส่วนฟังก์ชันรายงานความผิดพลาดของโมดูลบริการบราวเซอร์ที่ชื่อ ว่า CIFS (Common Internet File System) ซึ่งรายละเอียดจะปรากฎอยู่ใน blog ของไมโครซอฟท์ อย่างไรก็ตาม ทางบริษัทยังไม่พบว่า สามารถใช้โค้ดดังกล่าวเข้าโจมตีเครื่องของเหยื่อผ่านทางเน็ตได้โดยง่าย (เกิดขึ้นได้ยาก แต่ไม่ใช่ว่าไม่สามารถทำได้) แต่สามารถใช้โจมตีในลักษณะ DoS ได้ ประเด็นคือ ช่องโหว่ดังกล่าวสามารถพบได้ใน Windows ทุกเวอร์ชัน

วิธีแก้ไขปัญหาไฟรั่วจากคอมฯ

คุณเคยมีปัญหานี้บ้างไหม? วันดีคืนดีขณะใช้งานคอมพิวเตอร์อยู่คุณก็ถูกไฟซ๊อต ไม่ทราบมาจากสาเหตุใด สำหรับผมเคยเจอแล้วบ่อย ๆสาเหตุอย่างหนึ่งคือ ความชื้นในตัวเราเอง (มาจากเหงื่อ)สำหรับอีกสาเหตุหนึ่งเกิดมาจากไฟรั่วภายในคอมพิวเตอร์ซึ่งก็มี วิธีการแก้ไขง่าย ๆ ดังนี้
วิธีการแก้ไข
- หลีกเลี่ยงการติดตั้งห้องที่มีความชื้นสูง
- ต่อคอมพิวเตอร์เข้าไปเครื่องสำรองไฟ (UPS) - ต่อสายคอมพิวเตอร์ที่มีสาย Ground (ต่อสายดิน)
- ตัวเครื่องคอมพิวเตอร์ ควรรองด้วยฉนวนที่ไม่เป็นสื่อไฟฟ้า เช่น พรม, กระดาษ เป็นต้น