[Event] Get Together with Trend Micro (ตอนที่ 2)

ต่อจากคราวที่แล้วครับ หลังจากพักเบรคอย่างสบายใจกับ True Coffee และ โรลเค้ก อร่อยๆ ที่ทาง Trueonline จัดมาให้เราก็จะเริ่มครึ่งหลังหล่ะครับ

ซึ่งครึ่งหลังไม่เกี่ยวข้องกับ Trend Micro แล้วนะครับ ดังนั้นจะไม่ได้พูดเรื่องของ Trend Micro เลย แต่ผมจะทำหัวข้อ Internet Security Software Trend แยก Session ออกมาจากเรื่องนี้แทนครับ (แต่จะมีทำ Review หัวข้อ Trend Micro Internet Security อีกอันด้วยครับ)

การสร้างความปลอดภัยในการใช้งาน Wi-Fi

Wifi Security นี้เป็นการแชร์ความรู้ในลักษณะ Best Practices และ ให้เลือกนำไปใช้นะครับ เราไม่จำเป็นจะต้องปฏิบัติตามพวก Best Practices ทั้งหมด แต่ขอให้อ่านไว้ ในลักษณะการแชร์ประสบการณ์จากผู้ชำนาญละกันนะครับ

ตั้งแต่ตลาด Hi-Speed Internet เริ่มต้นจากความเร็ว 512 KB จนตอนนี้เริ่มต้นที่ 10 MB แล้ว สิ่งนึงที่เป็นอุปกรณ์ที่ตามมากับพวก Hi-Speed Internet นั้นก็คือ Wireless นั้นเอง ซึ่งเมื่อก่อน ถ้าใครเคยใช้ ADSL ยุคแรก ๆ ตอนนั้นยังเป็นแค่ ADSL Modem อยู่เลย แต่เดี๋ยวนี้ ถ้า ISP รายไหนไม่ให้ ADSL Wifi Router มาด้วย นี่อาจจะถึงขั้นโดนประนามกันเลยทีเดียว (ฮา)

ซึ่งจากประสบการณ์ ISP หลายเจ้าเริ่มมีการปรับตัวเรื่องการ Security มากขึ้นแล้ว เช่น เมื่อก่อน ผมจำได้ว่าเวลาเจอ SSID ที่ชื่อ True_homewifi  นี่ต้องของลองแอบ Join เล่น ส่วนใหญ่เข้าได้ด้วย ก็ยังสงสัยว่า True เค้าใจดีเนอะ แบ่ง ๆ กันใช้ได้ด้วย แต่เดี๋ยวนี้หายากแล้วครับ ซึ่งก็ถือว่าพัฒนาขึ้นเยอะ สำหรับทีมติดตั้งของ Trueonline

แต่ที่ทาง ISP เค้าตั้งค่าให้เราเนี่ย คุณคิดว่ามันดีพอรึยัง มันจะทำได้ดีกว่าดีอีกรึเปล่า มีวิธีดูอย่างไร Blog ผมวันนี้จะมีชี้ให้ดูเป็นจุด ๆ ไปเลยครับ

ของที่ผมจะเอามาใช้เป็น Reference Model เป็น ADSL Wifi Router ที่บ้านผมเองครับ คือ เจ้านี่
2012-11-08T01-25-55_0 
Zyxel P-660HN-F1Z (802.11n Wireless ADSL2+ 4-port Gateway

ก็นิดนึงว่าผมไม่ใช่ Celeb IT ก็เลยอาจจะไม่ได้มี Brand อื่น เช่น TP-L<ตรู๊ด> มาเล่นให้ลองเทียบ Features นะครับ แต่ผมมั่นใจว่า Security Function พิ้นฐานก็ครบเครื่องเหมือนกันนะ

สำหรับการทำ Security ผมจะเริ่มจากง่ายไปยาก และ เริ่มกันตั้งแต่คุณได้รับ Wifi มาเลย เรามาดูกันว่า คุณควรจะต้องทำอะไรกันบ้างครับ

1. เปลี่ยน Password Admin/User Login ของ Wifi ซะ
ผมไม่แน่ใจนะว่า ปกติเจ้าหน้าที่ติดตั้งจะให้รึเปล่าในกรณีที่แถมมากับ Hi-Speed Internet แต่ไม่ว่าจะวิธีไหนก็ขอให้เค้าบอก User/Password ไว้ด้วยเผื่อกรณีจำเป็น ซึ่งแน่นอนได้่มาก็ขอให้เปลี่ยน Password เลยครับ อย่าใช้ Default ที่เค้าตั้งมา เพราะ อาจจะเป็น Pattern ของ ISP ซึ่งมันหาไม่ยากหรอกใน Google

image
เปลี่ยนซะจะได้ไม่เป็นภาระของลูกหลาน (ต้องมา Factory Reset ให้ ถ้าโดน Hack)

ส่วนเสริม: ถ้าสามารถทำได้ควรจะเปลี่ยนบ่อยๆ เช่น ทุก 3 เดือน แต่ถ้าเป็นการใช้งานตามบ้านก็จะครึ่งปี หรือ ปีละหนก็ได้นะครับ

2. เปลี่ยนชื่อ SSID (Service Set Identifier) ซะ
เปลี่ยนชื่อ Wifi ช่วยให้เราแยก Wifi ของเราออกจาก Wifi คนอื่น รับรองว่าไม่มีเข้าผิด ถ้าไม่ตั้งใจ

3. ซ่อน SSID มันซะ
พอเปลี่ยนเสร็จแล้วก็ซ่อนมันซะ ทีนี่ถ้าไม่ตั้งใจจะ Hack จริง ๆ ก็หาไม่เจอกันหล่ะ
(อาจจะเจอว่ามี Wifi แต่ก็จะไม่ทราบ SSID อยู่ดี)

image
ถึงจะหาเจอก็จะเป็น “Hidden network”

ส่วนเสริม: ถ้ารวมกับข้อที่ 2 และ ใช้ชื่อยาวๆ ก็จะทำให้การคาดเดาชื่อ SSID ยากขึ้น

4. มีการใช้ Security Mode เป็น WPA2 (Wi-Fi Protected Access version 2)
แม้จะมีข่าวว่าสามารถ Hack ได้แล้วแต่ก็ยังคงเป็น Security Mode ที่ดีที่สุดในตอนนี้ครับ
(ถ้าไม่สามารถใช้ได้ของใช้เลือกใช้ WPA และ WEP ตามลำดับครับ)

ตัว WPA นั้นมี 2 Mode คือ Pre-Shared Key (PSK) และ Enterprise สำหรับ Home Wireless ให้ใช้ PSK ครับผม (Enterprise จะต้องมี Server ที่เก็บ User/Password ด้วย ซึ่งไม่เหมาะ)

image

ส่วนเสริม: ขอให้ Pre-Shared Key (Password) ยาวหน่อยครับ
(อย่างน้อย 8 ตัวขึ้นไป และ 25 ตัวเป็นสิ่งที่แนะนำครับ…เยอะเนอะ 555+)

และแน่นอน เพื่อความปลอดภัยเช่นเดียวกับเรื่อง Admin Password ในข้อแรก ก็แนะนำให้มีการเปลี่ยน Password เป็นระยะๆ เช่นกันครับ

* จริง ๆ จะมีเรื่องการใช้ WPS ด้วย แต่เหมือนจะกลายเป็นปัญหาไปซะแล้ว เพราะ ถูก Brute-force Attack ได้ง่ายมาก จึงขอตัดออกครับ = =”

5. ทำการตรวจสอบ Client ที่ใช้งาน Wifi บ้าง (เผื่อจะจะแขกมาเยี่ยมเยือน)

image

6. จะต่อ Wifi ที่ไหน ก็อย่าลืมเปิด Firewall

7. จะ Shared File ขอให้ทำเฉพาะเวลาที่ต้องการเท่านั้น (ใช้เสร็จแล้วปิดด้วย)

8. ปิด Wireless ซะถ้าไม่ใช้งาน

อย่างที่บอกไปแล้วครับว่า WPA2 ที่ดีที่สุดในตอนนี้ก็ยังยับยั้ง Hacker ไม่อยู่ แต่ไม่ใช่ว่ามันจะ Hack แล้วได้เลย มันต้องใช้เวลาครับ ดังนั้นแล้วการเปิด Wireless ทิ้งไว้ ก็เป็นเหมือนทำตัวเป็นเป้านิ่ง ดังนั้นถ้าไม่จำเป็นก็เอาเป้าไปเก็บไว้บ้างก็ได้ครับ ซึ่ง Wireless AP บางตัวสามารถทำ Wireless Scheduling ได้ ก็อาจจะใช้วิธีนี้ก็ได้นะครับ

image

หลังจากนี้เป็น Recommendation จากหลาย ๆ ที่นะครับ จะทำหรือไม่ต้องทำก็ได้ครับ และ เหมาะกับบ้านที่มีคนที่เป็นเรื่อง IT อยู่บ้างเท่านั้นครับ

9. MAC Address Filtering

Wifi Module ที่เครื่อง Computer/Tablet/Mobile ทุกเครื่องจะต้องมี Mac Address ครับ สิ่งที่ต้องทำคือการเอา Mac Address เหล่านั้นมาทำ Allot List ไว้ที่ Wireless AP ครับ

สำหรับเครื่อง Windows ให้ใช้คำสั่งเช่น ipconfig/all แล้วหา Wireless LAN adapter Wi-Fi ดูครับ ส่วนอุปกรณ์อื่นอาจจะต้องเช็คตาม Document นะครับ

image
wireless Mac Address จะทีลักษณะดังนี้ xx-xx-xx-xx-xx-xx

image
MAC Filtering

ข้อควรระวัง คือ ก่อนที่จะ Apply ค่าของ MAC Filter ต้องไม่ลืมเอา MAC Address ของตัวคุณเองไปใส่ก่อนเลยนะครับ ไม่งั้นถ้าหลุดไป จะเข้าไม่ได้อีก จะหาว่าไม่เตือนไม่ได้นะครับผม

ข้อเสียของการทำ Mac Filtering คือ ถ้าอุปกรณ์ใหม่ ๆ มาเราจะต้องมาทำการลงทะเบียนอุปกรณ์ก่อนเสมอ ก็จะมีงานเพิ่มครับ

10. ปิด DHCP และใช้ Static IP ซะ

DHCP คือ ระบบแจก IP ซึ่งปกติมันจะเปิดไว้ ใครต่อ Wifi สำเร็จก็ได้ Wifi ไป…แต่ถ้า Wifi โดน Hack หล่ะครับ….ใครที่อยู่ใน Network นั้นก็ตกอยู่ในความเสี่ยงได้ครับ

ดังนั้นการปิด DHCP และ ไปใช้ Static IP ซะเป็นวิธีหนึ่งที่จะแก้ปัญหานี้ได้ เพราะ Hacker จะต้องมาหา Network ในนั้นอีกซึ่งปกติคงหาไม่ได้ง่าย ๆ ครับ แต่สิ่งที่ต้องไม่ลืมมี 2 อย่างครับ

a. ไม่ใช้ Default Network: ไม่ใช้ 192.168.1.x แต่เปลี่ยนไปใช้ Network อื่นแทน แต่ปกติผมแนะนำให้เปลี่ยนแค่หลักที่ 3 ก็พอแล้วครับ เช่น 192.168.132.x เป็นต้น แค่นี่ก็ยากแล้ว

b. เปลี่ยน Gateway: 1 และ 254 เป็น Gateway ที่ Hacker สามารถคาดเดาได้ง่าย ลองใช้เลขอื่นดูซิครับ

ข้อเสียการปิด DHCP คล้ายๆ กับการทำ MAC Address Filtering ครับ คือ งานจะงอกครับ แต่เปลี่ยนมุมจาก Wifi Router ไปเป็นเครื่อง Client เท่านั้นเอง เพราะ เครื่องทั้งหมดจะต้องมีการตั้งค่า IP แบบ Statics

11. ปิด uPNP (Universal Plug and Play)

เป็น Network Protocols ที่รองรับการทำ Auto Discovery ช่วยทำให้ทุกอย่างง่ายขึ้น ซึ่ง Hacker ก็หาเจอง่ายขึ้นด้วยครับ ถ้าไม่จำเป็นก็อย่าเปิด…แต่การปิด uPNP ไม่เหมาะกับสาวก Apple นะครับ เพราะ Apple Device ใช้ uPNP ทั้งย้วงเลยครับ

 

เป็นไงครับเยอะมั๊ยครับ ความปลอดภัยในการใช้งาน Wi-Fi ยิ่งปลอดภัยมากเท่าไหร่ ยิ่งยุุ่งยากขึ้นเท่านั้นครับ สำหรับคนใช้งานทั่วไป แนะนำให้ลองอ่านดูก่อน แล้วค่อยปรับให้เหมาะสมกับตัวเองนะครับ อย่าทำหมดเลย มันเหนื่อยครับ Smile

Advertisements

About yuttanah

Just the Line who Live in Live way
This entry was posted in Knowledge, Security and tagged . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s