การรักษาความปลอดภัยในระดับเน็ตเวิร์คเลเยอร์
การเข้ารหัสข้อมูลในเลเยอร์ที่เหนือกว่าระดับเน็ตเวิร์ค ซึ่งแอพพลิเคชันกล้องวงจรปิดที่ใช้งานโปรโตคอล
ส่วนใหญ่จะเป็นแอพพลิเคชันที่พัฒนาขึ้นมาพิเศษเพื่อรองรับโปรโตคอลเหล่านั้นด้วย จึงจะสามารถปกป้องข้อมูลที่รับส่งผ่านเครือข่ายได้
ถ้ามีการเข้ารหัสข้อมูลในระดับที่ต่ำลงมาแอพพลิเคชันต่าง ๆ ก็ไม่จำเป็นต้องออกแบบพิเศษเพื่อรองรับโปรโตคอลที่ให้บริการการรักษาความปลอดภัยข้อมูล
โปรโตคอลที่มีการรักษาความปลอดภัยในระดับเครือข่าย เช่น VPN ซึ่งเป็นโปรโตคอลย่อยที่นิยมนั่นเอง
วัตถุประสงค์
- รู้และข้าใจมาตรฐาน Wireless LAN
Wireless LAN Security
วัตถุประสงค์
- รู้และข้าใจมาตรฐาน Wireless LAN
- รู้และเข้าใจการพิสูจน์ทราบตัวตนของ Wireless LAN
- รู้และเข้าใจมาตรฐาน IEEE 802.11i และ IEEE 802.1X
- รู้และเข้าใจการเข้ารหัสข้อมูลแบบ WEP, WPA, WPA2
- รู้และเข้าใจเครื่องมือต่าง ๆ ที่ใช้กับ Wireless LAN
สินค้าแนะนำ : รั้วไฟฟ้ากันขโมย สัญญาณกันขโมยไร้สาย กล้องวงจรปิด
มาตารฐานไวร์เลสแลน
มาตรฐานนี้จะรองรับแบนด์วิธแต่ข้อจำกัดของมาตรฐานนี้คือ ความถี่ เนื่องจากมาตรฐานนี้ใช้ความถี่ที่ 5 GHz ซึ่งบางประเภทนั้นต้องขออนุญาตก่อนถึงจะใช้งานได้ IEEE
จึงได้ตั้งทีมงานขึ้นมาอีกหนึ่งกลุ่มเพื่อพัฒนามาตรฐานอีกมาตรฐานหนึ่งคือ IEEE 802.11g ซึ่งใช้ความถี่ 2.4 GHz และสามารถรองรับแบด์วิธได้ถึง 54 Mbps
มาตรฐานการพิสูจน์ทราบตัวตน IEEE 802.11 คือ การพิสูจน์ทราบตัวตนของเครื่องไคลเอนต์หรืออุปกรณ์เครือข่ายไร้สาย
การพิสูจน์ทราบตัวตนของไวร์เลสแลน
มาตรฐานการพิสูจน์ทราบตัวตน IEEE 802.11 คือ การพิสูจน์ทราบตัวตนของเครื่องไคลเอนต์หรืออุปกรณ์เครือข่ายไร้สาย
ไม่ใช่การพิสูจน์ทราบตัวตนของผู้ใช้ มาตรฐานแล้วมีการพิสูจน์ทราบตัวตนอยู่ 2 วิธีคือ การพิสูจน์ทราบตัวตนแบบเปิด
และการพิสูจน์ทราบตัวตนแบบใช้แชร์คีย์ การพิสูจน์ทราบตัวตนของไคลเอนต์ มีขั้นตอนดังนี้
- ไคลเอนต์ทำการบรอดคาสต์การร้องขอเพื่อขอเชื่อมต่อไปทุกช่องสัญญาณ
- ไคลเอนต์ทำการบรอดคาสต์การร้องขอเพื่อขอเชื่อมต่อไปทุกช่องสัญญาณ
- แอ็กเซสพอยต์ที่อยู่ในพื้นที่ตอบกลับการร้องขอของไคลเอนต์
- ไคลเอนต์พิจารณาว่าแอ็กเซสพอยต์ไหนดีที่สุด และส่งการร้องขอเพื่อพิสูจน์ทราบตัวตน
- ถ้าการพิสูจน์ทราบตัวตนสำเร็จ ไคลเอนต์ก็จะส่งข้อมูลที่เหลือกลับให้แอ็กเซสพอยต์
- แอ็กเซสพอยต์ตอบกลับการได้รับข้อมูลที่เหลือ
- หลังจากนี้ไคลเอนต์ก็พร้อมที่จะรับส่งข้อมูลผ่านเครือข่าย
การพิสูจน์ทราบตัวตนแบบเปิด
ขั้นตอนนั้นค่อนข้างง่ายเพราะแอ็กเซสพอยต์จะอนุญาตให้เชื่อมต่อกับทุก ๆ การร้องขอ อาจดูเหมือนว่าไม่มีประโยชน์เลยแต่ก็ได้กำหนดไว้ในมาตรฐาน 802.11 ซึ่งกำหนดให้เป็นแบบคอนเน็กซันโอเรียนเต็ล
การออกแบบนี้ก็เพื่อให้ใช้งานง่ายและสามารถเชื่อมต่อเข้ากับเครือข่ายได้อย่างรวดเร็ว อุปกรณ์ที่รองรับมาตรฐาน 802.11
ส่วนใหญ่เป็นอุปกรณ์ประเภทมือถือ ซึ่งอุปกรณ์เหล่านี้มีซีพียูที่มีประสิทธิภาพต่ำ และไม่สามารถรองรับอัลกอริทึมสำหรับการพิสูจน์ทราบตัวตนที่ซับซ้อนได้
การพิสูจน์ทราบตัวตนแบบเปิดนั้น จะมีการรับส่งเฟรมข้อมูลอยู่สองประเภทคือ
- เฟรมการร้องขอการเชื่อมต่อ
- เฟรมการร้องขอการเชื่อมต่อ
- เฟรมการตอบกลับการร้องขอ
การพิสูจน์ทราบตัวตนแบบเปิดนั้นอนุญาตให้ทุก ๆ ไคลเอนต์เชื่อมต่อเครือข่ายได้ ถ้าไม่มีการใช้การเข้ารหัสข้อมูล
ทุก ๆ เครื่องไคลเอนต์ที่ทราบหมายเลข SSID ก็สามารถเข้าถึงเครือข่ายได้ ถ้าใช้ WEP ในการเข้ารหัสข้อมูลคีย์ที่ใช้กับ WEP
ก็ใช้สำหรับการพิสูจน์ทราบตัวตน แม้ว่าการพิสูจน์ทราบตัวตนของเครื่องไคลเอนต์ในตอนต้นจะผ่าน
แต่ถ้าเครื่องไคลเอนต์ไม่มี WEP คีย์ก็จะไม่สามารถรับส่งข้อมูลกับแอ็กเซสพอยต์ได้ เนื่องจากไคลเอนต์ไม่สามารถถอดรหัสข้อมูลที่ได้รับจากตัวแอ็กเซสพอยต์ได้
แต่ถ้าเครื่องไคลเอนต์ไม่มี WEP คีย์ก็จะไม่สามารถรับส่งข้อมูลกับแอ็กเซสพอยต์ได้ เนื่องจากไคลเอนต์ไม่สามารถถอดรหัสข้อมูลที่ได้รับจากตัวแอ็กเซสพอยต์ได้
การพิสูจน์ทราบตัวตนแบบเปิดนี้ จะไม่สามารถพิสูจน์ได้ว่าไคลเอนต์เป็นใคร และถ้าไม่มีการใช้ WEP แล้ววิธีนี้เป็นช่องโหว่ที่อันตรายของไวร์เลสแลน
ถ้าเลือกที่จะใช้วิธีนี้ก็ควรใช้ WEP ควบคู่ไปด้วย แต่ถ้าไม่สามารถใช้ WEP ได้ เช่น เครือข่ายสาธารณะ ก็ควรใช้ระบบการรักษาความปลอดภัยในเลเยอร์ที่สูงว่า
วิธีที่กำหนดในมาตรฐาน IEEE 802.11 วิธีนี้ไคลเอนต์จะต้องกำหนดคีย์ WEP แบบตายตัวในทุก ๆ เครื่อง มีขั้นตอนการพิสูจน์ทราบตัวตนดังนี้
- ไคลเอนต์ส่งการร้องขอไปยังแอ็กเซสพอยต์ และระบว่าต้องการใช้การพิสูจน์ทราบตัวตนแบบแชร์คีย์
การพิสูจน์ทราบตัวตนแบบแชร์คีย์
วิธีที่กำหนดในมาตรฐาน IEEE 802.11 วิธีนี้ไคลเอนต์จะต้องกำหนดคีย์ WEP แบบตายตัวในทุก ๆ เครื่อง มีขั้นตอนการพิสูจน์ทราบตัวตนดังนี้
- ไคลเอนต์ส่งการร้องขอไปยังแอ็กเซสพอยต์ และระบว่าต้องการใช้การพิสูจน์ทราบตัวตนแบบแชร์คีย์
- แอ็กเซสพอยต์ตอบกลับการร้องขอพร้อมกับชาลเลนจ์เท็กซ์ซึ่งเป็นข้อความแบบสุ่ม
- ไคลเอนต์ได้ชาลเลนจ์เท็กซ์แล้วเข้ารหัสด้วย WEP คีย์ที่กำหนดไว้ก่อนหน้าแล้วส่งข้อความนี้กลับไปให้กับแอ็กเซสพอยต์
- ถ้าแอ็กเซสพอยต์สามารถถอดรหัสข้อความ และเปรียบเทียบกับชาลเลนจ์เท็กซ์เดิมแล้วตรงกัน แอ็กเซสพอยต์ก็จะส่งการอนุญาตให้เชื่อมต่อเครือข่ายได้กลับไปยังไคลเอนต์
การพิสูจน์ทราบตัวตนแบบแชร์คีย์จะใช้ WEP คีย์ในการเข้ารหัสชาลเลนจ์เท็กซ์ที่ส่งจากแอ็กเซสพอยต์ไปให้ไคลเอนต์
คีย์นี้จะกำหนดให้แต่ละไคลเอนต์ก่อนหน้าที่จะมีการเชื่อมต่อเข้ากับเครือข่ายแอ็กเซสพอยต์จะพิสูจน์ทราบตัวตนของไคลเอนต์
การถอดรหัสชาลเลนจ์เท็กซ์ที่ส่งกับมาจากไคลเอนต์และเปรียบเทียบกับชาลเลนจ์เท็กซ์ที่ส่งให้ไคลเอนต์ในตอนแรก
กระบวนการแลกเปลี่ยนชาลเลนจ์เท็กซ์นั้นมีการส่งงผ่านอากาศเป็นจุดอ่อนที่อาจถูกโจมตีแบบแมนอินเดอะมิดเดิล
กระบวนการแลกเปลี่ยนชาลเลนจ์เท็กซ์นั้นมีการส่งงผ่านอากาศเป็นจุดอ่อนที่อาจถูกโจมตีแบบแมนอินเดอะมิดเดิล
จากผู้แอบดักอ่านสามารถดักจับชาลเลนจ์เท็กซ์ทั้งที่ยังไม่เข้ารหัสและที่เข้ารหัสแล้ว ข้อมูลนี้สามารถนำไปใช้ในการวิเคราะห์หา WEP
คีย์ได้ไม่ยากนัก การเข้ารหัสโดย WEP นั้นทำโดยการทำ XOR ระหว่างเพลนเท็กซ์และคีย์ จะได้เป็นไซเฟอร์เท็กซ์ การคำนวณหา WEP คีย์นั้นทำได้โดยการ XOR ระหว่างเพลนเท็กซ์และไซเฟอร์เท็กซ์
ถ้าผู้บุกรุกต้องการที่จะทราบ WEP คีย์ก็ใช้โปรโตคอลอะนาไลเซอร์ในการแอบดักฟังการสื่อสารในช่วงการพิสูจน์ทราบตัวตนนี้ก็ได้
ถ้าผู้บุกรุกต้องการที่จะทราบ WEP คีย์ก็ใช้โปรโตคอลอะนาไลเซอร์ในการแอบดักฟังการสื่อสารในช่วงการพิสูจน์ทราบตัวตนนี้ก็ได้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น