Wireless Security
SSID Service Set Identifier หรือชื่อของเครือข่ายไร้สายนั่นเอง ตัวอย่างการใช้งานที่เห็นได้ เช่น หากต้องการใช้งาน Internet ผ่าน Wi-Fi จากร้านกาแฟ หรือที่บ้าน ก็จะต้องทำการเชื่อมต่อไปที่ SSID ที่ต้องการ แล้วการเชื่อมต่อระหว่าง Wireless Client กับ Access Point จะเป็นอย่างไร มีขั้นตอนใดบ้าง ซึ่งรายละเอียดได้แสดงตามรูปด้านล่าง
- Probe Request: เครื่อง Client ทำการส่ง Probe Request เพื่อค้นหาเครือข่าย Wireless Network หรือ Wi-Fi ที่อยู่ในขอบเขตที่ Client สามารถเชื่อมต่อได้ ในส่วนของ Probe Request นั้น Client ได้ทำการประกาศแจ้งไปยัง Access Point ให้ทราบข้อมูลต่างๆ เช่น ความเร็วที่จะใช้รับ-ส่งข้อมูลได้ [Data rate] และมารตฐานการเชื่อมต่อที่รอบรับได้เช่น 802.11ac
- Probe Response: ในระหว่างที่ Access Point กำลังรับ Probe Request จากเครื่อง Client นั้น ก็จะทำการตรวจสอบว่าสามารถรองรับการรองรับหรือทำงานร่วมกันกับเครื่อง Client นี้ได้หรือไม่ เช่นสามารถรองรับ Data rate ที่จะใช้งานร่วมกันได้, Data Rate, ประเภทของการเข้ารหัส หรือ Encryption และส่วนอื่นๆ ที่สามารถทำงานร่วมกันได้ภายใต้มาตรฐาน 802.11 ระหว่างเครื่อง Client และ Access Point
- Authentication Request: เมื่อ Client เชื่อมต่อกับ SSID แล้ว ก็จะตรวจสอบรูปแบบของ Authentication ที่โดยที่ Client ก็จะส่ง Authentication Frame ไปยัง Access Point
- Authentication Response: หลังจาก Access Point ได้รับ Authentication Frame แล้วก็จะส่งค่ากลับไปยัง Client ถ้าหากในระหว่างนี้มีการส่ง Frame อื่นๆ ที่นอกเหนือจาก Authentication Request หรือ Probe Request จาก Client แล้ว จะทำให้ไม่สามารถ Authentication และไม่สามารถเข้าร่วมกับเครือข่ายไร้สายนี้ได้ [Unassociated]
- Association Request: เมื่อ Client ตกลงได้ว่าสามารถเชื่อมต่อกับ Access Point ได้ ก็จะทำการส่ง Association Request ไปยัง Access Point ซึ่งภายใน Association Request ประกอบไปด้วยประเภทของการเข้ารหัส
- Association Response: หลังจาก Access Point ได้รับ Association Request แล้ว Access Point ตรวจสอบความสามารถในการให้บริการและทำงานร่วมกับ Client ได้หรือไม่ ถ้าหากสามารถทำงานร่วมกันได้ก็จะทำการสร้าง Association ID ไว้ สำหรับ Client เครื่องนี้
- Data: การเชื่อมต่อระหว่าง Client และ Access Point สำเร็จ ก็จะสามารถใช้งานเครือข่ายผ่าน Wireless Network ได้ หรือสามารถใช้งาน Internet ได้
Wireless Authentication Method
1. Open Authentication: การ Authentication ในรูปแบบนี้จะไม่มีการถามรหัสเพื่อที่จะเชื่อมต่อกับ SSID ถ้าหากมี Wireless Client ที่สามารถรับสัญญาณได้หรืออยู่ในพื้นที่ที่มีสัญญาณครอบคลุม ก็สามารถเชื่อมต่อได้ทันที
2. WEP [Wired Equivalent Privacy]: รูปแบบการ Authentication แบบ WEP ได้ใช้ RC4 Cipher Algorithm เพื่อทำการเข้ารหัส Frame ทั้งนี้ฝั่งส่งและฝั่งรับจะต้องมี WEP Key แบบเดียวกันจึงจะสามารถอดรหัส เพื่ออ่าน Frame นั้นได้ ในรูปแบบ WEP ได้แบ่งออก 2 ส่วนด้วยกัน
2.1 Open authentication: จะไม่มี Credential หรืออาจจะมองว่าเป็น Password ที่ใช้สำหรับการเชื่อมต่อ
2.2 Shared key authentication: จะใช้ WEP Key เพื่อการทำการ Authentication เข้าใช้เครือข่ายและรวมไปถึงการเข้ารหัสของข้อมูล [Encryption] โดยจะมีหลายรูปแบบ เช่น WEP-40 และ WEP-104 ซึ่งแต่ละประเภทก็จะต้องใช้ค่า Initialization Vector (IV) จำนวน 24 Bits จึงอาจจะทำให้เกิดเหตุการณ์ที่ใช้ Key ซ้ำกันได้ ทำให้ไม่ปลอดภัยต่อการใช้งาน ซึ่งในปัจจุบันการไม่เป็นที่แพร่หลายในการใช้งานแล้ว
3. 802.1X/EAP: ในช่วงแรกของมาตรฐาน 802.11 นั้น รองรับเฉพาะการ Authentication แบบ Open Authentication และ WEP และได้เลือก EAP Framework [Extensible Authentication Protocol] เป็นการ Authentication อีก 1 รูปแบบ ซึ่งการทำงานของ EAP สามารถนำมาทำงานร่วมกันกับ 802.1X ได้ ตามรูปที่แสดงด้านล่าง
จากรูปด้านบนจะเห็นได้ว่าอุปกรณ์ในแต่ละจุดจะมีหน้าที่หรือชื่อเรียกดังนี้
- Supplicant หรืออาจจะมองเป็น Client ที่สามารถรองรับการ Authentication แบบ 802.1X ได้
- Authenticator อุปกรณ์ที่เป็น Authenticator เช่น Switch/Access Point จะทำการส่งข้อมูลเกี่ยวกับ Identity หรือการระบุตัวตน ระหว่าง Supplicant กับ Authentication Server
- Authentication Server หรือ Server ที่ใช้สำหรับพิสูจน์ตัวตน ที่นิยมใช้ เช่น Radius Server [Remote Authentication Dial-In User Service]
Wireless Encryption and Integrity
1. TKIP [Temporal Key Integrity Protocol] ได้ถูกนำมาใช้งานแทน WEP ชั่วคราว เนื่องจากต้องรองรับการเชื่อมต่ออุปกรณ์กับรุ่นเก่าๆ ที่เป็นแบบ WEP ซึ่ง TKIP ก็ได้เพิ่มเติม Feature ความปลอดภัย ดังต่อไปนี้
- MIC: Message Integrity Check เป็นการตรวจสอบความถูกต้องโดยการเพิ่มค่า Hashing บนแต่ละ Frame เพื่อตรวจสอบว่า Frame ได้ถูกเปลี่ยนแปลงไประหว่างทางหรือไม่
- TKIP Sequence Counter
- Key Mixing Algorithm: มีการคำนวณเพื่อให้ได้ WEP Keyจำนวน 128 Bits เพื่อใช้สำหรับแต่ละ Frame
- Initialization Vector [IV]: โดยได้ใช้จำนวน 48 Bits (WEP เดิมใช้ 24 Bits)
- Timestamp: เพิ่มการลงเวลาเพื่อป้องกันการโจมตีย้อนกลับ [Reply attack] จากการใช้ Frame ที่ส่งไปยังปลายทาง โดยทำการเพิ่ม Timestamp ลงบน MIC
- Sender MAC Address: ทำการเพิ่ม MAC Address ของผู้ส่งลงบน MIC
อย่างไรก็ตาม TKIP ถูกใช้ชั่วคราวแทน WEP เนื่องจากบางอุปกรณ์ยังไม่สามารถรองรับการ Authentication และ Encrypt ในรูปแบบใหม่
2.CCMP [Counter Mode with Cipher Block Chaining Message Authentication Code Protocol] สำหรับในรูปแบบนี้ได้ถูกพัฒนามาจากการเข้ารหัสแบบ AES [Advance Encryption Standard] โดยจะแบ่งข้อมูลออกเป็น Block มีขนาด 128 Bits พร้อม Key อย่างน้อย 128 Bits ของแต่ละ Block จึงทำให้ข้อมูลมีความปลอดภัยมากยิ่งขึ้น
ทั้งนี้การใช้งาน CCMP จะต้องทำการตรวจสอบอุปกรณ์ Wireless สามารถรองรับการเข้ารหัสแบบ AES ได้
3.GCMP [Galois/Counter Mode Protocol] ได้ถูกนำมาใช้เพื่อรองรับการรับส่งข้อมูลภายใต้ Data Rate ที่สูงขึ้น เช่นมาตรฐาน 802.11ac ทั้งนี้สามารถเลือกใช้งาน AES ที่มีขนาด 128 หรือ 256 Bits ได้
WPA [Wi-Fi Protected Access]
WPA ได้ถูกนำมาแทนที่ WEP เนื่องจากการการเข้ารหัสของข้อมูลที่แข็งแรงกว่า และสามารถทำงานร่วมได้กับการ Authentication รูปแบบอื่นๆ เช่น 802.1X ทั้งนี้ WPA ได้รองรับการ Authentication 2 แบบ คือ
- Personal: ได้ใช้รหัสหรือที่เรียก Pre-Shared Key ตัวอย่างที่เห็นได้โดยทั่วไปเช่น การใช้งาน ผ่าน Router Wi-Fi ทั่วไปอาจจะเป็นที่ร้านกาแฟ หรือจากที่บ้าน โดยรหัสหรือ Pre-Shared Key จะถูกตั้งค่าบนตัว Router Wi-Fi
- Enterprise: ใช้การพิสูจน์ตัวตนโดยใช้ 802.1X และ Authentication Server หรือ RADUIS Server cและในปัจจุบัน WPA มีด้วยกันทั้งหมด 3 Version ซึ่งแต่ละ Version ก็จะใช้ Protocol และ Algorithm ที่แตกต่างกัน ตามตารางที่ได้แสดงด้านล่าง
Comentarios