TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Wi-Fi หรือระบบเครือข่ายไร้สาย เป็นการเชื่อมต่อยอดนิยมในปัจจุบัน ที่ผู้คนส่วนใหญ่นิยมใช้ Laptop, Smartphone และ Tablet ทั้งในชีวิตประจำวันและการทำงาน การโจมตีบนระบบ Wi-Fi จึงเป็นเรื่องที่พบเห็นได้ทั่วไป แต่สามารถตรวจจับและรับมือได้ค่อนข้างยาก เนื่องจากข้อมูลทุกอย่างลอยอยู่บนอากาศ จับต้องไม่ได้ ทีมงาน TechTalkThai จึงรวบรวมการโจมตีที่พบบ่อยบนระบบ Wi-Fi พร้อมวิธีรับมือมาเล่าสู่กันฟังครับ
1. อุปกรณ์ถูกขโมย หรือสูญหาย
สำหรับบริษัทที่ใช้การเข้ารหัสแบบ WPA2-PSK (Pre-shared Key) ซึ่งเหมือนกับใช้รหัสผ่าน Wi-Fi ร่วมกันทั้งหมด ส่วนใหญ่แล้ว รหัสผ่านนี้จะถูกเก็บอยู่บนอุปกรณ์ เมื่อมีพนักงานลาออก หรืออุปกรณ์สูญหาย หรือถูกขโมย จึงเป็นไปได้ที่รหัสผ่านจะหลุดรอดออกไปสู่มือคนอื่นได้ ดังนั้น จึงควรเปลี่ยนรหัสผ่านใหม่ทุกครั้งที่มีกรณีแบบนี้เกิดขึ้น
ถ้าคิดว่าวิธีการดังกล่าวมองดูอาจจะเป็นเรื่องยุ่งยาก เพราะต้องบอกให้ทุกคนเปลี่ยนรหัสผ่านใหม่ทุกครั้ง แนะนำให้ใช้วิธีการเข้ารหัสแบบ WPA2-Enterprise ซึ่งใช้การพิสูจน์ตัวตนแบบ 802.1x กับ RADIUS ซึ่งช่วยให้สามารถบริหารจัดการชื่อผู้ใช้และรหัสผ่านได้เป็นรายคน กรณีที่พนักงานลาออกหรืออุปกรณ์สูญหาย ก็เพียงแค่ยกเลิกหรือตั้งค่ารหัสผ่านสำหรับพนักงานคนนั้นๆใหม่ก็เท่านั้น
2. ดักฟังข้อมูล
จุดอ่อนที่สำคัญที่อย่างหนึ่งของ WPA2-PSK คือ การถูกดักฟังจากคนภายใน ในบางกรณี บริษัทจำเป็นต้องให้รหัสผ่าน Wi-Fi สำหรับ แขก พนักงานชั่วคราว หรือ Contractor เพื่อให้สามารถใช้งานอินเตอร์เน็ตได้ ซึ่งเมื่อพวกเขาเหล่านี้ (รวมถึงพนักงานเอง) อาจใช้รหัสผ่านดังกล่าวในการถอดรหัสข้อมูลที่รับส่งกันภายในบริษัท ส่งผลให้ข้อมูลความลับอาจรั่วไหลสู่ภายนอกได้
คำแนะนำคือ ควรแยกวง Wi-Fi สำหรับผู้มาเยือนเหล่านี้โดยเฉพาะ และกำหนดรหัสผ่านใหม่ที่แตกต่างจาก Wi-Fi สำหรับพนักงาน รวมทั้งจำกัดสิทธิ์การใช้งานเครือข่ายภายในเฉพาะที่จำเป็นเท่านั้น นั่นเป็นเหตุผลว่า ทำไมบริษัทที่มีระบบความปลอดภัยสูงจึงแยกวง Wi-Fi ออกเป็นอย่างน้อย 2 วง คือ Guest และ Employee ซึ่ง Guest จะนิยมพิสูจน์ตัวตนแบบ Captive Portal และ Employee นิยมพิสูจน์ตัวตนแบบ 802.1x (WPA2-Enterprise)
3. Session Hijacking
ปัจจุบันนี้มีเครื่องมือหลายตัวที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถทำ Session hijacking ผ่านทางระบบ Wi-Fi ที่มีความปลอดภัยต่ำได้อย่างง่ายดาย (ดูตัวอย่างได้ที่ DroidSheep และ FaceNiff) ซึ่งเครื่องมือเหล่านี้จะตรวจจับการล็อคอินที่ไม่ปลอดภัยเพียงพอและขโมยข้อมูล session เพื่อปลอมตัวเป็นผู้ใช้งานคนนั้นๆโดยไม่จำเป็นต้องรู้รหัสผ่านใดๆ
การทำ Session Hijacking นี้ ส่วนใหญ่จะเกิดขึ้นบนระบบ Wi-Fi ความลปอดภัยต่ำ เช่น WEP, WPA-PSK หรือ WPA2-PSK เช่นเดียวกับข้อ 1 และ 2 การเข้ารหัสแบบ WPA2-Enterprise เป็นวิธีการที่ดีที่สุดในการป้องกันอันตรายบน Wi-Fi นอกจากนี้ กรณีที่จำเป็นต้องใช้งาน Wi-Fi สาธารณะที่มีความปลอดภัยต่ำ แนะนำให้เชื่อมต่อโดยใช้ VPN เพื่อเข้ารหัสข้อมูลทั้งหมดอีกครั้งหนึ่ง
4. Rogue AP
Rogue AP หรือ AP แปลกปลอม คือ AP ที่ไม่ได้อยู่ในระบบของบริษัท อาจจะเป็น AP ที่พนักงานนำเข้ามาใช้กันเองเพื่อความสะดวกสบาย ส่วนใหญ่ AP เหล่านี้มักตั้งค่าความปลอดภัยต่ำ ง่ายต่อการแฮ็ค หรือเป็น AP ที่บุคคลภายนอกนำเข้ามาเสียบกับระบบ LAN เพื่อแอบเข้าถึงระบบเครือข่ายของบริษัท เป็นต้น ซึ่ง Rogue AP นับว่าเป็นช่องทางที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงระบบเครือข่ายของบริษัทได้อย่างง่ายดาย
วิธีป้องกัน คือ ออกนโยบาย และให้ความรู้แก่พนักงานในบริษัทเกี่ยวกับอันตรายจากการนำ AP ส่วนตัวมาใช้ รวมทั้งควรแปะป้ายบนช่องเสียบสาย LAN, บนสายเคเบิล, Patch Panel และพอร์ทบน Switch เพื่อให้ง่ายต่อการตรวจสอบและระบุที่มา ช่วยให้ยืนยันได้ง่ายว่า พอร์ทที่ยังไม่จำเป็นต้องใช้นั้น ไม่มีใครมาแอบใช้งานโดยไม่ได้รับอนุญาต
สำหรับบริษัทที่มีการใช้ระบบ Wi-Fi แบบ Enterprise-grade เช่น Cisco, Aruba หรือ Ruckus แนะนำให้เปิดใช้งานฟังก์ชัน Rogue Detection ซึ่งจะช่วยตรวจจับ Rogue AP และยิงทิ้งทันทีเมื่อมีการเชื่อมต่อ
5. Denial of Service (DoS)
เนื่องจาก Wi-Fi เป็นการรับส่งข้อมูลทางอากาศ จึงมีโอกาสเกิดสัญญาณรบกวนกันสูง ผู้ไม่ประสงค์ดีอาจใช้เงื่อนไขนี้ในการส่งสัญญาณรบกวนมายังระบบ Wi-Fi ของบริษัท เพื่อให้เกิดปัญหาด้านประสิทธิภาพการใช้งาน หรือทำให้ใช้งาน Wi-Fi ไม่ได้เลย
วิธีป้องกัน DoS สามารถทำได้ 2 แบบ คือ ตกแต่งอาคารโดยใช้วัสดุพิเศษ, สี และหน้าต่างที่สามารถป้องกันคลื่นสัญญาณวิทยุจากภายนอกได้ หรือใช้ระบบ Wireless IPS ในการช่วยตรวจจับและป้องกันภัยอันตรายบนระบบ Wi-Fi ฟังก์ชันนี้สามารถหาได้บนระบบ Wi-Fi ระดับ Enterprise-grade ซึ่งมีราคาค่อนข้างสูง อย่างไรก็ตาม แนะนำให้บริษัทที่เกี่ยวข้องกับการเงิน เช่น ธนาคาร, สถาบันการเงิน และหน่วยงานรัฐบาลที่เก็บข้อมูลสำคัญติดตั้งระบบดังกล่าว เพื่อความปลอดภัยของระบบ Wi-Fi ที่ใช้งานอยู่
