Wireless Lan and Information Security Guideline For SMEs (วิชา ITM 633)



WIRELESS LAN
และ
แนวทางในการวางระบบความมั่นคงปลอดภัยสารสนเทศสำหรับไวเลสแลนในธุรกิจประเภท SMEs


บทนำ
     SMEs (Small and Medium Sized Enterprises) คือ วิสาหกิจขนาดกลางและขนาดเล็ก ซึ่งมีความหมายรวมถึงอุตสาหกรรมการผลิต (Manufacturing) กิจการค้าส่งและค้าปลีก (Whole sale and Retail) และกิจการบริการ(Service) ซึ่งเกณฑ์ในการจัดอุตสาหกรรม เป็นอุตสาหกรรมขนาดใหญ่ กลาง หรือ เล็กนั้น มีหลายวิธี แต่โดยทั่วไปจะใช้ จำนวนคนงาน (ขนาดการจ้างงาน) จำนวนเงินลงทุน มูลค่าทรัพย์สิน จำนวนยอดขาย หรือรายได้เป็นเกณฑ์ ว่ากิจการใดจะเข้าข่ายเป็น SMEs หรือไม่ กระทรวงอุตสาหกรรมได้กำหนดเกณฑ์ การแบ่งประเภทของวิสาหกิจขนาดเล็กมีจำนวนคนงานไม่เกิน 50 คน จำนวนเงินลงทุนไม่เกิน 20 ล้านบาท และวิสาหกิจขนาดกลางจำนวนคนงานระหว่าง 50 ถึง 200 คน จำนวนเงินลงทุนระหว่าง 20 ถึง 200 ล้านบาท
     ไอที และ ไอซีที (Information and Communication Technology) ประกอบด้วยเทคโนโลยีสำคัญหลายอย่างเช่น เทคโนโลยีคอมพิวเตอร์ เทคโนโลยีการสื่อสารโทรคมนาคม เทคโนโลยีเครือข่ายคอมพิวเตอร์เทคโนโลยีอินเทอร์เน็ต เทคโนโลยีการพิมพ์ ฯลฯ ในภาพรวมกล่าวได้ว่าการใช้ไอทีในงานธุรกิจ จะมีการใช้งานเพื่อเพิ่มความสะดวกแก่ผู้ปฏิบัติงานมากขึ้น เช่น การใช้คอมพิวเตอร์ในงานพิมพ์เอกสารที่เรียกว่างานประมวลคำ (Word Processing) หน้าเว็บในระบบอินเทอร์เน็ตยังเป็นส่วนหนึ่งของระบบสำนักงานอัตโนมัติ (Office Automation) เป็นการใช้งานคอมพิวเตอร์ในงานจัดทำและรับส่งเอกสารสำหรับบริษัทและหน่วยงาน เมื่อโลกรู้จักใช้ระบบอินเทอร์เน็ตและเทคโนโลยีเว็บ แนวทางการพัฒนาระบบต่างๆ ก็เปลี่ยนไป งานประยุกต์เริ่มเปลี่ยนเป็นระบบเว็บไซต์ (Web Based System) มากขึ้น
     ณ ปัจจุบันเทคโนโลยีการสื่อสารแบบเครือข่ายเฉพาะบริเวณแบบไร้สาย (Wireless LAN) ที่มีการใช้งานอย่างแพร่หลาย รวมไปถึงวิสาหกิจขนาดกลางและขนาดเล็ก (SMEs) ซึ่งเป็นธุรกิจที่มีความหลากหลายและมีอัตราการเติบโตสูงขึ้นในปัจจุบัน การใช้ระบบไร้สายในองค์กรจะทำให้เพิ่มความสะดวกสบายและลดค่าใช้จ่ายในการติด ตั้งเหมาะสำหรับบุคคลที่เข้ามาเชื่อมต่อข้อมูลหรือใช้งานร่วมกัน ทำให้ต้องคำนึงถึงระบบรักษาความปลอดภัยสารสนเทศสำหรับเครือข่ายเฉพาะบริเวณ แบบไร้สาย เนื่องจากธุรกิจประเภท SMEs มักจะมีข้อมูลที่สำคัญเหมือนบริษัทเช่นกัน เช่น ข้อมูลทางการเงินและบัญชี ข้อมูลของลูกค้า เป็นต้น จึงต้องการการรักษาความปลอดภัยของข้อมูลในประเภทต่างๆ เช่น มีการรักษาความปลอดภัยของข้อมูลจากไวรัส หรือภัยคุกคาม การรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับและผู้มีสิทธิเท่านั้นจึงจะ เข้าถึงข้อมูลได้ การรับรองข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือทำลายไม่ว่าจะเป็นอุบัติเหตุหรือโดย เจตนา การรับรองว่าข้อมูลและบริการการสื่อสารต่างๆ และพร้อมที่ใช้ได้ในเวลาที่ต้องการใช้งานเพราะธุรกิจ SMEs จำเป็นต้องมีการติดต่อสื่อสารโดยตรงกับลูกค้าอยู่ตลอด ดังนั้นการสร้างระบบความมั่นคงปลอดภัยจึงเป็นสิ่งจำเป็นสำหรับธุรกิจประเภท SMEs ด้วยเช่นกัน โดยในการศึกษาและวางระบบความมั่นคงปลอดภัยสำหรับระบบเครือข่ายเฉพาะบริเวณ แบบไร้สายควรออกแบบให้มีความเหมาะสมกับความต้องการของธุรกิจและตามลักษณะการ ใช้งานของผู้ใช้นั้นๆ

มาตรฐาน ISO/IEC 27001
     มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานที่กำลังได้รับความนิยมอย่างแพร่หลายในปัจจุบัน และกล่าวถึงข้อกำหนดในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยหรือ ISMS (Information Security Management System) ให้กับองค์กร ซึ่งวัตถุประสงค์ของมาตรฐานนี้เพื่อให้องค์กรสามารถบริหารจัดการทางด้านความปลอดภัยได้อย่างมีระบบ และเพียงพอเหมาะสมต่อการดำเนินธุรกิจขององค์กร มาตรฐานดังกล่าวมีหัวข้อที่เกี่ยวข้องได้แก่
     1) ขอบเขต (Scope)
     2) ศัพท์เทคนิคและนิยาม (Terms and definitions)
     3) โครงสร้างของมาตรฐาน (Structure of this standard)
     4) การประเมินความเสี่ยงและการจัดการกับความเสี่ยง ลด/ โอนย้าย/ ยอมรับความเสี่ยง (Risk assessment and treatment)
     นอกจากนี้ มาตรฐาน ISO/IEC 27001 ยังประกอบด้วยไปด้วยวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-C-D-A) ดังแสดงในภาพประกอบ และใช้แนวทางการประเมินความเสี่ยงมาประกอบการพิจารณาหาวิธีการหรือมาตรการเพื่อป้องกัน ลดความเสี่ยง และรักษาทรัพย์สินสารสนเทศที่มีค่าขององค์กรให้มีความมั่นคงปลอดภัยในระดับที่เหมาะสม


ภาพประกอบ : แสดงวงจรบริหารจัดการความมั่นคงปลอดภัยตามขั้นตอน Plan-Do-Check-Act (P-D-C-A)

ระบบเครือข่ายไร้สาย (Wireless LAN)
     ระบบเครือข่ายไร้สาย (Wireless LANs) เกิดขึ้นครั้งแรก ในปี ค.ศ. 1971 บนเกาะฮาวาย โดยโปรเจกต์ของนักศึกษาของมหาวิทยาลัยฮาวาย ที่ชื่อว่า “ALOHNET” ขณะนั้นลักษณะการส่งข้อมูลเป็นแบบ Bi-directional ส่งไป-กลับง่ายๆ ผ่านคลื่นวิทยุ สื่อสารกันระหว่างคอมพิวเตอร์ 7 เครื่อง ซึ่งตั้งอยู่บนเกาะ 4 เกาะโดยรอบ และมีศูนย์กลางการเชื่อมต่ออยู่ที่เกาะๆหนึ่ง ที่ชื่อว่า Oahu
     ระบบเครือข่ายไร้สาย (WLAN = Wireless Local Area Network) คือ ระบบการสื่อสารข้อมูลที่มีความคล่องตัวมาก ซึ่งอาจจะนำมาใช้ทดแทนหรือเพิ่มต่อกับระบบเครือข่ายแลนใช้สายแบบดั้งเดิม โดยใช้การส่งคลื่นความถี่วิทยุในย่านวิทยุ RF และ คลื่นอินฟราเรด ในการรับและส่งข้อมูลระหว่างคอมพิวเตอร์แต่ละเครื่อง ผ่านอากาศ, ทะลุกำแพง, เพดานหรือสิ่งก่อสร้างอื่นๆ โดยปราศจากความต้องการของการเดินสาย นอกจากนั้นระบบเครือข่ายไร้สายก็ยังมีคุณสมบัติครอบคลุมทุกอย่างเหมือนกับ ระบบ LAN แบบใช้สาย
     ที่สำคัญก็คือ การที่มันไม่ต้องใช้สายทำให้การเคลื่อนย้ายการใช้งานทำได้โดยสะดวก ไม่เหมือนระบบ LAN แบบใช้สาย ที่ต้องใช้เวลาและการลงทุนในการปรับเปลี่ยนตำแหน่งการใช้งานเครื่อง คอมพิวเตอร์
     ปัจจุบันนี้ โลกของเราเป็นยุคแห่งการติดต่อสื่อสาร เทคโนโลยีต่างๆ เช่นโทรศัพท์มือถือ เป็นสิ่งจำเป็นต่อการดำเนินธุรกิจและการใช้ชีวิตประจำวัน ความต้องการข้อมูลและการบริการต่างๆ มีความจำเป็นสำหรับนักธุรกิจ เทคโนโลยีที่สนองต่อความต้องการเหล่านั้น มีมากมาย เช่น โทรศัพท์มือถือ เครื่องคอมพิวเตอร์โน๊ตบุค เครื่องปาร์ม ได้ถูกนำมาใช้เป็นอย่างมากและ ผู้ที่น่าจะได้ประโยชน์จากการใช้ ระบบเครือข่ายไร้สาย มีมากมายไม่ว่าจะเป็น
     - หมอหรือพยาบาลในโรงพยาบาล เพราะสามารถดึงข้อมูลมารักษาผู้ป่วยได้จาก เครื่องคอมพิวเตอร์โน๊ตบุค ที่เชื่อมต่อกับ ระบบเครือข่ายไร้สายได้ทันที
     - นักศึกษาในมหาวิทยาลัยก็สามารถใช้งานโน๊ตบุคเพื่อค้นคว้าข้อมูลในห้องสมุด ของมหาวิทยาลัย หรือใช้อินเตอร์เน็ท จากสนามหญ้าในมหาลัยได้
     - นักธุรกิจที่มีความจำเป็นต้องใช้งานเครื่องคอมพิวเตอร์นอกสถานที่ที่ทำงานปกติ ไม่ว่าจะเป็นการนำเสนองานยังบริษัทลูกค้า หรือการนำเครื่องคอมพิวเตอร์ติดตัวไปงานประชุมสัมมนาต่างๆ
     บุคคลเหล่านี้มีความจำเป็นที่จะต้องเชื่อมต่อเข้ากับเครือข่ายคอมพิวเตอร์ ไม่ว่าจะเป็นเครือข่ายคอมพิวเตอร์ขององค์กรซึ่งอยู่ห่างออกไปหรือเครือข่าย คอมพิวเตอร์สาธารณะ เช่นเครือข่ายอินเทอร์เน็ต เทคโนโลยีเครือข่ายไร้สายจึงน่าจะอำนวยความสะดวกให้กับบุคคลเหล่านี้ได้ ซึ่งในปัจจุบันได้มีการเปิดให้บริการเชื่อมต่อเครือข่ายอินเตอร์เน็ตแบบไร้สาย ตามสนามบินใหญ่ทั่วโลก และนำมาใช้งานแพร่หลายในห้างสรรพสินค้า และโรงแรมต่างๆแล้ว
     ประโยชน์ของระบบเครือข่ายไร้สาย
     1. mobility improves productivity & service มีความคล่องตัวสูง ดังนั้นไม่ว่าเราจะเคลื่อนที่ไปที่ไหน หรือเคลื่อนย้ายคอมพิวเตอร์ไปตำแหน่งใด ก็ยังมีการเชื่อมต่อ กับเครือข่ายตลอดเวลา ตราบใดที่ยังอยู่ในระยะการส่งข้อมูล
     2. installation speed and simplicity สามารถติดตั้งได้ง่ายและรวดเร็ว เพราะไม่ต้องเสียเวลาติดตั้งสายเคเบิล และไม่รกรุงรัง
     3. installation flexibility สามารถขยายระบบเครือข่ายได้ง่าย เพราะเพียงแค่มี พีซีการ์ดมาต่อเข้ากับโน๊ตบุ๊ค หรือพีซี ก็เข้าสู่เครือข่ายได้ทันที
     4. reduced cost- of-ownership ลดค่าใช้จ่ายโดยรวม ที่ผู้ลงทุนต้องลงทุน ซึ่งมีราคาสูง เพราะในระยะยาวแล้ว ระบบเครือข่ายไร้สายไม่จำเป็นต้องเสียค่าบำรุงรักษา และการขยายเครือข่ายก็ลงทุนน้อยกว่าเดิมหลายเท่า เนื่องด้วยความง่ายในการติดตั้ง
     5. scalability เครือข่ายไร้สายทำให้องค์กรสามารถปรับขนาดและความเหมาะสมได้ง่ายไม่ยุ่งยาก เพราะสามารถโยกย้ายตำแหน่งการใช้งาน โดยเฉพาะระบบที่มีการเชื่อมระหว่างจุดต่อจุด เช่น ระหว่างตึก ฯลฯ
     ระบบเครือข่ายไร้สาย เป็นระบบเครือข่ายคอมพิวเตอร์ขนาดเล็ก ที่ประกอบไปด้วยอุปกรณ์ไม่มากนัก และมักจำกัดอยู่ในอาคารหลังเดียวหรืออาคารในละแวกเดียวกัน การใช้งานที่น่าสนใจที่สุดของเครือข่ายไร้สายก็คือ ความสะดวกสบายที่ไม่ต้องติดอยู่กับที่ ผู้ใช้สามารถเคลื่อนที่ไปมาได้โดยที่ยังสื่อสารอยู่ในระบบเครือข่าย

     รูปแบบการเชื่อมต่อของระบบเครือข่ายไร้สาย
     1. Peer-to-peer (ad hoc mode)


     รูปแบบการเชื่อมต่อระบบแลนไร้สายแบบ Peer to Peer เป็นลักษณะ การเชื่อมต่อแบบโครงข่ายโดยตรงระหว่างเครื่องคอมพิวเตอร์ จำนวน 2 เครื่องหรือมากกว่านั้น เป็นการใช้งานร่วมกันของ wireless adapter cards โดยไม่ได้มีการเชื่อมต่อกับเครือข่ายแบบใช้สายเลย โดยที่เครื่องคอมพิวเตอร์แต่ละเครื่องจะมีความเท่าเทียมกัน สามารถทำงานของตนเองได้และขอใช้บริการเครื่องอื่นได้ เหมาะสำหรับการนำมาใช้งานเพื่อจุดประสงค์ในด้านความรวดเร็วหรือติดตั้งได้ โดยง่ายเมื่อไม่มีโครงสร้างพื้นฐานที่จะรองรับ ยกตัวอย่างเช่น ในศูนย์ประชุม, หรือการประชุมที่จัดขึ้นนอกสถานที่
     2. Client/server (Infrastructure mode)


     ระบบเครือข่ายไร้สายแบบ Client / server หรือ Infrastructure mode เป็นลักษณะการรับส่งข้อมูลโดยอาศัย Access Point (AP) หรือเรียกว่า “Hot spot” ทำหน้าที่เป็นสะพานเชื่อมต่อระหว่างระบบเครือข่ายแบบใช้สายกับเครื่อง คอมพิวเตอร์ลูกข่าย (client) โดยจะกระจายสัญญาณคลื่นวิทยุเพื่อ รับ-ส่งข้อมูลเป็นรัศมีโดยรอบ เครื่องคอมพิวเตอร์ที่อยู่ในรัศมีของ AP จะกลายเป็น เครือข่ายกลุ่มเดียวกันทันที โดยเครื่องคอมพิวเตอร์ จะสามารถติดต่อกัน หรือติดต่อกับ Server เพื่อแลกเปลี่ยนและค้นหาข้อมูลได้ โดยต้องติดต่อผ่านAP เท่านั้น ซึ่ง AP 1 จุด สามารถให้บริการเครื่องลูกข่ายได้ถึง 15-50 อุปกรณ์ ของเครื่องลูกข่าย เหมาะสำหรับการนำไปขยายเครือข่ายหรือใช้ร่วมกับระบบเครือข่ายแบบใช้สายเดิม ในออฟฟิต, ห้องสมุด หรือในห้องประชุม เพื่อเพิ่มประสิทธิภาพในการทำงานให้มากขึ้น
     3. Multiple access points and roaming


     โดยทั่วไปแล้ว การเชื่อมต่อสัญญาณระหว่างเครื่องคอมพิวเตอร์ กับ Access Point ของเครือข่ายไร้สายจะอยู่ในรัศมีประมาณ 500 ฟุต ภายในอาคาร และ 1000 ฟุต ภายนอกอาคาร หากสถานที่ที่ติดตั้งมีขนาดกว้าง มากๆ เช่นคลังสินค้า บริเวณภายในมหาวิทยาลัย สนามบิน จะต้องมีการเพิ่มจุดการติดตั้ง AP ให้มากขึ้น เพื่อให้การรับส่งสัญญาณในบริเวณของเครือข่ายขนาดใหญ่ เป็นไปอย่างครอบคลุมทั่วถึง
     4. Use of an Extension Point


     กรณีที่โครงสร้างของสถานที่ติดตั้งเครือข่ายแบบไร้สายมีปัญหาผู้ออกแบบระบบ อาจจะใช้ Extension Points ที่มีคุณสมบัติเหมือนกับ Access Point แต่ไม่ต้องผูกติดไว้กับเครือข่ายไร้สาย เป็นส่วนที่ใช้เพิ่มเติมในการรับส่งสัญญาณ
     5. The Use of Directional Antennas


     ระบบแลนไร้สายแบบนี้เป็นแบบใช้เสาอากาศในการรับส่งสัญญาณระหว่าง อาคารที่อยู่ห่างกัน โดยการติดตั้งเสาอากาศที่แต่ละอาคาร เพื่อส่งและรับสัญญาณระหว่างกัน
     เสาอากาศ  (Antenna)
     หน้าที่หลักของเสาอากาศก็คือ การแปลงสัญญาณวิทยุไปเป็นคลื่นแม่เหล็กไฟฟ้าเพื่อส่งออกอากาศไปยังภาคส่งคลื่นวิทยุ และทำหน้าที่ในการแปลงคลื่นแม่เหล็กไฟฟ้าที่อยู่ในอากาศไปเป็น สัญญาณวิทยุเพื่อส่งให้ภาครับทำการดีโมดูเลทข้อมูลออกจากสัญญาณวิทยุต่อไป
     เสาอากาศจัดเป็นอุปกรณ์ชนิดหนึ่งที่มีความสำคัญมาก ถ้าเสาอากาศไม่มีคุณภาพก็จะส่ง สัญญาณไม่ออก หรือไม่สามารถรับสัญญาณได้เลย ซึ่งมีตัวแปรหลายๆค่าที่ใช้บอกคุณสมบัติของเสาอากาศ เช่น เกน (Gain) หรือ อัตราขยายเป็นตัวบอกว่าเสาอากาศนี้มีคุณสมบัติในการแปลงคลื่นแม่เหล็กไฟฟ้ามาเป็นสัญญาณไฟฟ้าได้ดีเพียงใด ค่าบีมวิธ (Beamwidth) ซึ่งบอกรูปร่างลักษณะการกระจายคลื่นว่า เป็น รูปแบบไหน การเลือกใช้เสาอากาศที่มีทิศทาง จะช่วยกำหนดรูปแบบการแพร่กระจายคลื่นได้ดีกว่า และค่า SWR เป็นตัวเลขที่บอกถึงคลื่นที่สะท้อนกลับมาเมื่อเราส่งสัญญานออกอากาศไป
     ประเภทของเสาอากาศ
     เสาอากาศสามารถแบ่งได้เป็น 2 รูปแบบ จากรูปแบบการกระจายของคลื่นคือ
     1. เสาอากาศแบบรอบตัว (Omni Directional Antenna) เสาอากาศประเภทนี้มีทิศทางการแพร่กระจายคลื่นรอบทิศทาง 360 องศา เหมาะสำหรับใช้ติดต่อกับเครื่องลูกข่ายที่เคลื่อนไหวอยู่ในตำแหน่งและทิศทางที่ไม่แน่นอน
     2. เสาอากาศแบบทิศทาง (Directional Antenna) เป็นเสาอากาศที่มีทิศทางการแพร่กระจายของคลื่นที่มีทิศทางชัดเจน เหมาะสำหรับการติดต่อระหว่างจุดต่อจุด สามารถเพิ่มระยะทางการใช้งานได้ไกลกว่าเสาอากาศแบบรอบตัว แต่มีข้อเสียคือ ถ้าไม่อยู่ในทิศทางการแพร่กระจายของคลื่นจะไม่สามารถรับสัญญาณได้เลย ชื่อของเสาอากาศแบบนี้ที่นิยมใช้กันได้แก่ เสาอากาศแบบเซ็กเตอร์ (Sector Antenna) เสาอากาศแบบยากิ (Yagi Antenna) เสาอากาศแบบกริด (Grid Antenna) เสาอากาศแบบจาน (Solid Dish Antenna) อัตราขยายของเสาอากาศแบบนี้อยู่ใน Gain สูง

     Wireless antenna


     คือ เสาอากาศสำหรับ Wireless ใช้ในกรณีที่ตัว access point มีกำลังส่งเท่าเดิม แต่เรามาขยาย gain เพิ่มที่ antenna เพื่อให้ได้ระยะที่ไกลขึ้น และ bitrate เท่าเดิม เว้นแต่ว่าของเดิมสัญญาณจะต่ำมากจนต้องลด bitrate ลง
     ชนิด Wireless antenna มีดังนี้
     1. เสาอากาศแบบรอบทิศทาง (Omni Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Multi-Point เหมาะสำหรับการกระจายสัญญาณรอบทิศทาง หรือการทำจุดกระจายสัญญาณไร้สายสาธารณะ (Wi-Fi Hot Spot)
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/omni.html
     2. เสาอากาศแบบทิศทาง (Panel Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Multi-Point เหมาะสำหรับการเชื่อมต่อระหว่างอาคารที่ตั้งกระจายตัวอยู่ในบริเวณเดียวกัน แต่ระยะทางไม่ห่างกันมากนัก และต้องการควบคุมทิศทางของสัญญาณไร้สาย
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Panel.html
     3. เสาอากาศแบบทิศทาง (Sector Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Multi-Point และต้องการควบคุมทิศทางสัญญาณในแนวระนาบ เหมาะสำหรับการเชื่อมต่ออาคารที่กระจายตัวอยู่ในบริเวณเดียวกันและอาคารส่วนใหญ่มีความสูงใกล้เคียงกัน
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Sector.html
     4. เสาอากาศแบบทิศทาง (Grid Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Point เหมาะสำหรับการเชื่อมต่อระบบเครือข่ายไร้สายจากอาคารสู่อาคารและต้องการควบ คุมทิศทางของสัญญาณ
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Grid.html
     5. เสาอากาศแบบทิศทาง (Yagi Type) ใช้สำหรับเชื่อมต่อระบบเครือข่ายไร้สายภายนอกอาคาร แบบ Point to Point เหมาะสำหรับการใช้งานกับ Client ที่ต้องการเชื่อมต่อกับ Access Point ในระยะไกลโดยเน้นการกระจายสัญญาณเป็นเส้นตรง
     ดูรายละเอียดเพิ่มเติมตามลิงค์นี้ http://www.siammastershop.com/Datasheet/tactio/Yagi.html


     Wireless Security
     การเข้ารหัสข้อมูล มีดังนี้
     1. Wired Equivalent Privacy (WEP) เป็นวิธีที่เก่ากว่าในการรักษาความปลอดภัยเครือข่าย และยังคงมีอยู่เพื่อรองรับอุปกรณ์ที่เก่ากว่า แต่ก็ไม่ได้เป็นวิธีการที่ถูกแนะนำให้ใช้อีกต่อไป เมื่อเรียกใช้ WEP คุณจะต้องติดตั้งคีย์เพื่อความปลอดภัยของเครือข่าย คีย์นี้จะเข้ารหัสลับข้อมูลที่คอมพิวเตอร์ส่งไปยังเครื่องคอมพิวเตอร์อีก เครื่องหนึ่งบนเครือข่ายของคุณ อย่างไรก็ตาม ระบบความปลอดภัยแบบ WEP ค่อนข้างง่ายต่อการถอดรหัส
     2. Wi-Fi Protected Access (WPA) เป็น มาตรฐานแทนที่ WEP พัฒนาบนพื้นฐาน ieee 802.11i ใช้ Dynamic Key Distribution และ ieee 802.11x ร่วมกันทำงานการเข้ารหัสแบบ Advaced Encryption Stndard ด้วย คีย์ ขนาด 128, 192 หรือ 256 บิต
     โดย WPA จะ เข้ารหัสลับข้อมูล และจะตรวจสอบเพื่อให้แน่ใจว่าไม่มีการปรับเปลี่ยนคีย์เพื่อความปลอดภัยของเครือข่าย นอกจากนั้น WPA ยังรับรองความถูกต้องผู้ใช้ เพื่อช่วยทำให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่จะสามารถเข้าถึงเครือข่ายได้
     WPA มีการรับรองความถูกต้องสองประเภท คือ WPA และ WPA2 WPA ได้รับการออกแบบให้ทำงานกับการ์ดเชื่อมต่อเครือข่ายแบบไร้สาย แต่อาจไม่สามารถทำงานกับจุดเข้าใช้งานหรือเร้าเตอร์รุ่นที่เก่ากว่า WPA2 จะมีความปลอดภัยมากกว่า WPA แต่จะไม่ทำงานกับการ์ดเชื่อมต่อเครือข่ายรุ่นเก่ากว่าบางรุ่น WPA ได้รับการออกแบบให้ใช้กับเซิร์ฟเวอร์การรับรองความถูกต้อง 802.1X ซึ่งจะให้คีย์ที่แตกต่างกันกับผู้ใช้แต่ละราย ซึ่งจะเรียกว่า WPA-Enterprise หรือ WPA2-Enterprise นอกจากนั้นยังสามารถใช้ในโหมดคีย์ก่อนการใช้ร่วมกัน (PSK) ที่ผู้ใช้ทุกคนจะได้รับวลีรหัสผ่านเดียวกัน ซึ่งจะเรียกว่า WPA-Personal หรือ WPA2-Personal
     ขณะที่พัฒนาการของเทคโนโลยีเครือข่ายคอมพิวเตอร์ไปสู่เครือข่ายคอมพิวเตอร์ไร้สายความเร็วสูง ทำให้นักเจาะระบบทั้งหลาย ปรับรูปแบบจากการใช้เครื่องคอมพิวเตอร์ตั้งโต๊ะ มาใช้อุปกรณ์คอมพิวเตอร์พกพาที่สามารถเชื่อมต่อเครือข่ายไร้สาย เป็นเครื่องมือเจาะระบบ โดยรูปแบบการเจาะระบบดังกล่าว ที่เรียกว่า "War Driving" นี้ ทำให้บรรดานักแฮคสามารถขับรถหาเป้าหมาย และหนีการไล่ล่าได้ รวมทั้งยังสามารถสร้างวิธีการเจาะระบบในลักษณะของ "War Chalking" เพื่อ สร้างแผนที่หาจุดเชื่อมต่ออินเทอร์เน็ตไร้สายที่สามารถเข้าไปใช้บริการและเจาะระบบได้ ขณะเดียวกัน มีแนวโน้มการขยายตัวของกลุ่มเด็กที่หัดเป็นนักทดลองเจาะระบบข้อมูล (Script Kiddies) และความรุนแรงเป็นลัทธิการเจาะระบบ (Hacktuism) เนื่องจากความก้าวหน้าของเครื่องมือในการเจาะระบบ ทำให้ไม่ต้องอาศัยความรู้มากนัก สำหรับเหตุผลอันดับต้นๆ ของการเจาะระบบคือ เป็นความท้าทาย และอยากเป็นนักเจาะระบบยอดเยี่ยม

     10 เทคนิคการติดตั้งระบบ Wireless LAN ให้ปลอดภัยจากแฮกเกอร์
     1. วาง Access Point (AP) ในตำแหน่งที่เหมาะสม ไม่ควรวาง AP ไว้ในระบบ LAN ภายใน ควรวาง AP บริเวณหน้า Firewall จะปลอดภัยกว่า แต่ถ้าจำเป็นจริงๆ ต้องวางภายใน LAN ที่เป็น Internal Network ก็ควรจะมีการเพิ่มการ Authentication, Encryption เข้าไปด้วย
     2. กำหนดรายการ MAC Address ที่สามารถเข้าใช้ AP ได้เฉพาะที่เราอนุญาตเท่านั้น การ Lock ด้วยวิธีกำหนดค่า MAC Address นั้น แม้ว่าจะไม่ใช้วิธีที่กัน Hacker ได้ 100% ก็ตาม เพราะ Hacker สามารถ Spoof ปลอม MAC Address ได้ แต่ก็ยังดีกว่าไม่มีการกำหนดเสียเลย เหมือนกับว่าเราควรมีการป้องกันหลายๆ วิธี การกำหนด MAC Address ให้เฉพาะเครื่องที่เราอนุญาตก็เป็นการกันในชั้นหนึ่ง เพื่อให้ Hacker เกิดความยากลำบากในการ Hack เข้าสู่ระบบ Wireless LAN ของเรา
     3. จัดการกับ SSID (Service Set Identifier) ที่ถูกกำหนดเป็นค่า Default มาจากโรงงานผลิต ค่า SSID จะถูกกำหนดเป็นค่า Default มาจาก Vendor เช่น Cisco Aironet กำหนดเป็นชื่อ tsunami เป็นต้น เราควรทำการเปลี่ยนค่า SSID ที่เป็นค่า Default ทันทีที่เรานำ AP มาใช้งาน และ ควรปิดคุณสมบัติการ Auto Broadcast SSID ของตัว AP ด้วย
     4. ใช้ WEP (Wired Equivalent Privacy) security protocol ในการเข้ารหัสข้อมูลระหว่าง IEEE 802.11b Wireless LAN Client และ Access Point (AP) มาตรฐาน WEP เป็นมาตรฐานหลักที่มีใน AP ทุกตัว แต่โดยปกติแล้วจะไม่ได้เปิดใช้ ทำให้แฮกเกอร์สามารถใช้โปรแกรม Packet Sniffer เช่น Ethereal (www.ethereal.com) ดักจับ Packet และสามารถอ่านข้อมูลที่เป็น Plain text ได้เพราะ AP มีลักษณะการทำงานแบบ HUB ไม่ใช่ Switching เหมือนที่เราใช้กันใน LAN ทุกวันนี้ เราจึงควรมีการเข้ารหัส Packet ของเราในระดับ Layer 2 เพื่อให้ยากต่อการจับด้วยโปรแกรมประเภทนี้ ถ้าเราเพิ่มการ generate WEP Key เป็นแบบ Dynamic จะช่วยให้ปลอดภัยมากยิ่งขึ้น รวมถึงการใช้งานแบบ Session-Based และ User-Based WEP Key ก็ช่วยได้เช่นกัน
     - ใช้ PassPhrase ที่ยาวมากกว่า 20 ตัวอักษร แล้วก็ไม่อยู่ใน Dictionary เพราะว่าโปรแกรมพวกนี้จะใช้คำใน Dictionary ในการ Crack
     - ใช้ WPA Enterprise หรือ 802.1X + WPA โดยใช้การ Authentication แบบ Enterprise หรือดูพวก LucidLink Small Business หรือ WSC Guard
     5. อย่าหวังพึ่ง WEP อย่างเดียว เพราะ WEP สามารถที่จะถูก Crack ได้ การเพิ่ม WEP เข้ามาในการใช้งาน Wireless LAN เป็นสิ่งที่ควรทำ แต่ WEP ก็ไม่สามารถกันพวกแฮกเกอร์ได้ 100% เพราะมีโปรแกรมที่สามารถถอดรหัส WEP ได้ ถ้าได้ IP Packet จำนวนมากพอ เช่น โปรแกรม AirSnort เป็นต้น เพราะฉะนั้นเราควรเพิ่มการป้องกันใน Layer อื่นๆ เข้าไปด้วย
     6.ใช้ VPN ร่วมกับการใช้งาน Wireless LAN การใช้ VPN ระหว่าง Wireless LAN Client กับ AP ต่อเชื่อมไปยัง VPN Server เป็นวิธีที่ปลอดภัยมากกว่าการใช้ WEP และ การ Lock MAC Address การใช้ VPN ถือได้ว่าเป็นการป้องกันที่ลึกอีกขั้นหนึ่ง และ เป็นการรักษาความปลอดภัยในลักษณะ end to end อีกด้วย
     7. เพิ่มการ Authentication โดยใช้ RADIUS หรือ TACACS Server ถ้าองค์กรมี RADIUS Server หรือ CISCO Secure ACS (TACACS) Server อยู่แล้ว สามารถนำมาใช้ร่วมกับ AP ที่มีความสามารถในการตรวจสอบ Username และ Password ก่อนที่ผู้ใช้จะเข้าสู่ระบบ (Authentication Process) และ ทำให้ผู้ใช้ไม่ต้องจำหลาย Username หลาย Password ผู้ใช้สามารถใช้ Username และ Password เดียวกับที่ใช้ในระบบ Internal LAN ได้เลย ทำให้สะดวกในการบริหารจัดการ Account ภายใน และ IT Auditor ควรตรวจสอบการเข้าระบบ Wired และ Wireless LAN จาก Log ของระบบด้วย
     8. การใช้ Single Sign On (SSO) ดังที่กล่าวมาแล้วในข้อ 7 ควรกำหนดเป็น Security Policy ให้กับองค์กรสำหรับระบบ Wired และ Wireless LAN เพื่อที่เราสามารถที่จะกำหนดคุณสมบัติ AAA ได้แก่ Authentication, Authorization และ Accounting ได้ การใช้งานควรกำหนด Security Policy ทั้งระบบ Wired และ Wireless LAN ไปพร้อมๆ กัน และ แจ้งให้ผู้ใช้ได้ทราบปฏิบัติตาม Security Policy และสามารถตรวจสอบได้
     9. อุปกรณ์ Wireless LAN จากแต่ละผู้ผลิตอาจมีคุณสมบัติแตกต่างจากมาตรฐานและมีปัญหาในการทำงานร่วมกัน แม้ว่าผู้ผลิตอุปกรณ์จะผลิตตามมาตรฐาน IEEE 802.11b ผู้ผลิตบางรายมักจะเพิ่มคุณสมบัติบางอย่างเฉพาะผู้ผลิตรายนั้นๆ เช่น เพิ่มคุณสมบัติทางด้าน security ของอุปกรณ์เป็นต้น เราควรตรวจสอบให้ดีก่อนที่จะติดสินใจซื้อมาใช้งานจริงว่าอุปกรณ์ไม่มีปัญหาในการทำงานร่วมกัน
     10. ระวัง Rouge AP แม้คุณจะไม่ได้ใช้ระบบ Wireless LAN เลยก็ตาม การ Hack จากภายในองค์กรในสมัยนี้ทำได้ง่าย แม้องค์กรจะไม่ได้ใช้ระบบ Wireless LAN เลย วิธีการก็คือ มีผู้ไม่หวังดีทำการแอบติดตั้ง AP ที่ไม่ได้รับอนุญาตเข้ากับระบบ Internal LAN เรียกว่า Rouge AP จากนั้นผู้ไม่หวังดีก็สามารถ Access Internal LAN ผ่านทาง Rouge AP ที่ทำการแอบติดตั้งไว้ ซึ่งเขาสามารถเข้าถึงระบบภายในได้ จากภายนอกอาคาร หรือ จากที่จอดรถของบริษัทก็ได้ ถ้าระยะห่างไม่เกิน 100 เมตร จาก AP ที่แอบติดตั้งไว้
     เราควรมีการตรวจสอบ Rouge AP เป็นระยะๆ โดยใช้โปรแกรม Networkstumbler เพื่อหาตำแหน่งของ Rouge AP หรือ เราควรติดตั้ง IDS (Intrusion Detection System) เช่น SNORT เพื่อคอยตรวจสอบพฤติกรรมแปลกๆ ในระบบ Internal LAN ภายในของเราเป็นระยะๆ จะทำให้ระบบของเรามีความปลอดภัยมากขึ้นและมีการเตือนภัยในลักษณะ Proactive อีกด้วย

Open Systems Interconnection (OSI) Reference Model
     OSI Model เป็นมาตรฐานที่ใช้อ้างอิงถึงวิธีการในการส่งข้อมูลจาก Computer เครื่องหนึ่งผ่าน Network ไปยัง Computer อีกเครื่องหนึ่ง ซึ่งหากไม่มีการกำหนดมาตรฐานกลางแล้ว การพัฒนาและใช้งานที่เกี่ยวกับ Network ทั้ง Hardware และ Software ของผู้ผลิตที่เป็นคนละยี่ห้อ อาจเกิดปัญหาเนื่องจากการไม่ compatible กัน
     OSI Model พัฒนาโดย International Organization for Standardization (ISO) ในปี 1984 และเป็นสถาปัตยกรรมโมเดลหลักที่ใช้อ้างอิงในการสื่อสาระหว่าง Computer โดยข้อดีของ OSI Model คือแต่ละ Layer จะมีการทำงานที่เป็นอิสระจากกัน ดังนั้นจึงสามารถออกแบบอุปกรณ์ของแต่ละ Layer แยกจากกันได้ และการปรับปรุงใน Layer หนึ่งจะไม่มีผลกระทบกับ Layer อื่นๆ
     OSI เป็น model ในระดับแนวคิด ประกอบด้วย Layer ต่างๆ 7 ชั้น แต่ละ Layer จะอธิบายถึงหน้าที่การทำงานกับข้อมูล โดย 7 Layer ของ OSI Model สามารถแบ่งได้เป็น 2 กลุ่ม คือ upper layers และ lower layers
     - Upper layers โดยทั่วไปจะเป็นส่วนที่พัฒนาใน Software Application โดยประกอบด้วย Application Layer, Presentation Layer และ Session Layer
     - Lower Layer จะเป็นส่วนที่ทำหน้าที่ในการสื่อสารข้อมูลซึ่งอาจจะพัฒนาได้ทั้งแบบเป็น Software และ Hardware

     ข้อมูลข่าวสารที่ส่งจาก Application บน Computer เครื่องหนึ่ง ไปยัง Application บน Computer จะต้องส่งผ่านแต่ละ Layer ของ OSI Model ตามลำดับ ดังรูป โดย Layer แต่ละ Layer จะสามารถสื่อสารได้กับ Layer ข้างเคียงในขั้นสูงกว่าและต่ำกว่า และ Layer เดียวกันในอีกระบบ Computer เท่านั้น

     Data ที่จะส่งจะถูกเพิ่ม header ของแต่ละชั้นเข้าไป เมื่อมีการรับข้อมูลที่ปลายทางแล้ว header จะถูกถอดออกตามลำดับชั้น


     ตัวอย่าง ในการส่ง Mail จะถูกประกบ header เข้าไป 3 ชั้นเรียงจากบนลงมาคือ
     ชั้น Transport จะใส่เบอร์ Port ของ Mail คือ Port 25
     ชั้น Network จะถูกใส่ต้นทางและปลายทางโดย Router
     ชั้น Datalink จะใส่เป็น Mac Address โดย Switch


     โดยแต่ละ Layer ของ OSI Model จะมีหน้าที่ต่างกันดังนี้
     1.Physical Layer ชั้น Physical เป็นการอธิบายคุณสมบัติทางกายภาพ เช่น คุณสมบัติทางไฟฟ้า และกลไกต่างๆ ของวัสดุที่ใช้เป็นสื่อกลาง ตลอดจนสัญญาณที่ใช้ในการส่งข้อมูล คุณสมบัติที่กำหนดไว้ในชั้นนี้ประกอบด้วยคุณลักษณะทางกายภาพของสาย, อุปกรณ์เชื่อมต่อ (Connector), ระดับความตางศักย์ของไฟฟ้า (Voltage) และอื่นๆ เช่น อธิบายถึงคุณสมบัติของสาย Unshield Twisted Pair (UTP)
     2. Datalink Layer ชั้น Datalink เป็นชั้นที่อธิบายถึงการส่งข้อมูลไปบนสื่อกลาง ชั้นนี้ยังได้ถูกแบ่งออกเป็นชั้นย่อย (SubLayer) คือ Logical Link Control (LLC) และ Media Access Control (MAC) การแบ่งแยกเช่นนี้จะทำให้ชั้น LLC ชั้นเดียวสามารถจะใช้ชั้น MAC ที่แตกต่างกันออกไปได้หลายชั้น ชั้น MAC นั้นเป็นการดำเนินการเกี่ยวกับแอดเดรสทางกายภาพอย่างที่ใช้ในมาตรฐานอีเทอร์เน็ตและโทเคนริง แอดเดรสทางกายภาพนี้จะถูกฝังมาในการ์ดเครือข่ายโดยบริษัทผู้ผลิตการ์ดนั้น แอดเดรสทางกายภาพนั้นเป็นคนละอย่างกับแอดเดรสทางตรรกะ เช่น IP Address ที่จะถูกใช้งานในชั้น Network เพื่อความชัดเจนครบถ้วนสมบูรณ์ของการใช้ชั้น Data-Link นี้
     3. Network Layer ในขณะที่ชั้น Data-Link ให้ความสนใจกับแอดเดรสทางกายภาพ แต่การทำงานในชั้น Network จะให้ความสนใจกับแอดเดรสทางตรรกะ การทำงานในชั้นนี้จะเป็นการเชื่อมต่อและการเลือกเส้นทางนำพาข้อมูลระหว่างเครื่องสองเครื่องในเครือข่าย ชั้น Network ยังให้บริการเชื่อมต่อในแบบ "Connection Oriented" อย่างเช่น X.25 หรือบริการแบบ "Connectionless" เช่น Internet Protocol ซึ่งใช้งานโดยชั้น Transport ตัวอย่างของบริการหลักที่ชั้น Network มีให้คือ การเลือกส้นทางนำพาข้อมูลไปยังปลายทางที่เรียกว่า Routing  ตัวอย่างของโปรโตคอลในชั้นนี้ประกอบด้วย Internet Protocol (IP) และ Internet Control Message Protocol (ICMP)
     4. Transport Layer ในชั้นนี้มีบางโปรโตคอลจะให้บริการที่ค่อนข้างคล้ายกับที่มีในชั้น Network โดยมีบริการด้านคุณภาพที่ทำให้เกิดความน่าเชื่อถือ แต่ในบางโปรโตคอลที่ไม่มีการดูแลเรื่องคุณภาพดังกล่าวจะอาศัยการทำงานในชั้น Transport นี้เพื่อเข้ามาช่วยดูแลเรื่องคุณภาพแทน เหตุผลที่สนับสนุนการใช้งานชั้นนี้ก็คือ ในบางสถานการณ์ของชั้นในระดับล่างทั้งสาม (คือชั้น Physical, Data-Link และ Network) ดำเนินการโดยผู้ให้บริการโทรคมนาคม การจะเพิ่มความมั่นใจในคุณภาพให้กับผู้ใช้บริการก็ด้วยการใช้ชั้น Transport นี้ "Transmission Control Protocol (TCP) เป็นโปรโตคอลในชั้น Transport ที่มีการใช้งานกันมากที่สุด"
     5. Session Layer ชั้น Session ทำหน้าที่สร้างการเชื่อมต่อ, การจัดการระหว่างการเชื่อมต่อ และการตัดการเชื่อมต่อคำว่า "เซสชัน" (Session) นั้นหมายถึงการเชื่อมต่อกันในเชิงตรรกะ (Logic) ระหว่างปลายทางทั้งสองด้าน (เครื่อง 2 เครื่อง) ชั้นนี้อาจไม่จำเป็นต้องถูกใช้งานเสมอไป อย่างเช่นถ้าการสื่อสารนั้นเป็นไปในแบบ "Connectionless" ที่ไม่จำเป็นต้องเชื่อมต่อ เป็นต้น ระหว่างการสื่อสารในแบบ "Connection-less" ทุกๆ แพ็กเก็ต (Packet) ของข้อมูลจะมีข้อมูลเกี่ยวกับเครื่องปลายทางที่เป็นผู้รับติดอยู่อย่างสมบูรณ์ในลักษณะของจดหมายที่มีการจ่าหน้าซองอย่างถูกต้องครบถ้วน ส่วนการสื่อสารในแบบ "Connection Oriented" จะต้องมีการดำเนินการบางอย่างเพื่อให้เกิดการเชื่อมต่อ หรือเกิดเป็นวงจรในเชิงตรรกะขึ้นมาก่อนที่การรับ/ส่งข้อมูลจะเริ่มต้นขึ้น แล้วเมื่อการรับ/ส่งข้อมูลดำเนินไปจนเสร็จสิ้นก็ต้องมีการดำเนินการบางอย่างเพื่อที่จะตัดการเชื่อมต่อลง ตัวอย่างของการเชื่อมต่อแบบนี้ได้แก่การใช้โทรศัพท์ที่ต้องมีการกดหมายเลขปลายทาง จากนั้นก็ต้องมีการดำเนินการบางอย่างของระบบจนกระทั่งเครื่องปลายทางมีเสียงดังขึ้น การสื่อสารจะเริ่มขึ้นจริงเมื่อมีการทักทายกันของคู่สนทนา จากนั้นเมื่อคู่สนทนาฝ่ายใดฝ่ายหนึ่งวางหูก็ต้องมีการดำเนินการบางอย่างที่จะตัดการเชื่อมต่อลงชั้น Session นี้มีระบบการติดตามด้วยว่าฝั่งใดที่ส่งข้อมูลซึ่งเรียกว่า "Dialog Management" Simple Mail Transport Protocol (SMTP), File Transfer Protocol (FTP) และ Telnet เป็นตัวอย่างของโปรโตคอลที่นิยมใช้ และมีการทำงานครอบคลุมในชั้น Session, Presentation และ Application
     6. Presentation Layer ชั้น Presentation ให้บริการทำการตกลงกันระหว่างสองโปรโตคอลถึงไวยากรณ์ (Syntax) ที่จะใช้ในการรับ/ส่งข้อมูล เนื่องจากว่าไม่มีการรับรองถึงไวยากรณ์ที่จะใช้ร่วมกัน การทำงานในชั้นนี้จึงมีบริการในการแปลข้อมูลตามที่ได้รับการร้องขอด้วย
     7. Application Layer ชั้น Application เป็นชั้นบนสุดของแบบจำลอง ISO/OSI เป็นชั้นที่ใช้บริการของชั้น Presentation (และชั้นอื่นๆ ในทางอ้อมด้วย) เพื่อประยุกต์ใช้งานต่างๆ เช่น การทำ E-mail Exchange (การรับ/ส่งอีเมล์), การโอนย้ายไฟล์ หรือการประยุกต์ใช้งานทางด้านเครือข่ายอื่นๆ


     ข้อมูลที่ส่งในระบบเครือข่ายมีหลายรูปแบบที่หลากหลาย ขึ้นอยู่กับการออกแบบของแต่ละ Application หรือแต่ละผู้ผลิต แต่รูปแบบทั่วไปที่เรียกข้อมูลได้แก่
     - Frame หน่วยของข้อมูลในระดับ Datalink Layer
     - Packet หน่วยของข้อมูลในระดับ Network Layer
     - Datagram หน่วยของข้อมูลในระดับ Network Layer ที่มีรูปแบบการเชื่อมต่อแบบ Connectional Less 
     - Segment หน่วยของข้อมูลในระดับ Transport Layer
     - Message ระดับข้อมูลในเหนือ Network Layer มักจะหมายถึงระดับ Application Layer
     - Cell หน่วยข้อมูลที่มีขนาดแน่นอนในระดับ Datalink Layer ใช้เป็นหน่วยในลักษณะการส่งข้อมูลแบบสวิตซ์ เช่น Asynchronous Transfer Mode (ATM) หรือ Switched Multimegabit Data Service (SMDS)
     - Data unit หน่วยข้อมูลทั่วไป

การรักษาความมั่นคงปลอดภัยด้านไอซีที
     ประกอบด้วยการรักษาคุณค่าพื้นฐาน 3 ประการ ได้แก่ การรักษาความลับ (Confidentiality) บูรณภาพ (Integrity) และความพร้อมใช้งาน (Availability) ซึ่งมีคำจำกัดความที่สำคัญดังนี้
     1. “เทคโนโลยีสารสนเทศ (IT)” หมายถึง เทคโนโลยีสำหรับการประมวลผลสารสนเทศ ซึ่งจะครอบคลุมถึงการรับส่ง แปลง ประมวลผล และสืบค้นสารสนเทศ โดยมีองค์ประกอบ 3 ส่วนคือ คอมพิวเตอร์ การสื่อสารและสารสนเทศ ซึ่งต้องอาศัยการทำงานร่วมกัน
     2. “ความลับ (Confidentiality)” คือ การรับรองว่าจะมีการเก็บรักษาข้อมูลไว้เป็นความลับและจะมีเพียงผู้มีสิทธิเท่านั้นที่จะสามารถเข้าถึงข้อมูลเหล่านั้นได้
     3. “บูรณภาพ (Integrity)” คือการรับรองว่าข้อมูลจะไม่ถูกกระทำการใดๆ อันมีผลให้เกิดการเปลี่ยนแปลงหรือแก้ไขจากผู้ซึ่งไม่มีสิทธิ ไม่ว่าการกระทำนั้นจะมีเจตนาหรือไม่ก็ตาม
     4. “ความพร้อมใช้งาน (Availability)” คือการรับรองได้ว่าข้อมูลหรือระบบเทคโนโลยีสารสนเทศทั้งหลายพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน
     5. “การพิสูจน์ฝ่าย (Authentication)” คือการตรวจสอบและการพิสูจน์สิทธิของการขอเข้าใช้ระบบของผู้ใช้บริการจากรายชื่อผู้มีสิทธิ สำหรับอุปกรณ์ไอที รวมถึงแอพพลิเคชันทั้งหลาย
     6. “การพิสูจน์สิทธิ์ (Authorization)” หมายถึงการตรวจสอบว่า บุคคล อุปกรณ์ไอที หรือแอพพลิเคชัน นั้นๆ ได้รับอนุญาตให้ดำเนินการอย่างหนึ่งอย่างใดต่อระบบสารสนเทศหรือไม่
     7. “การเก็บสำรองข้อมูล (Data backup)” หมายถึง ในระหว่างการเก็บสำรอง สำเนาของชุดข้อมูล ปัจจุบันจะถูกสร้างขึ้นมา เพื่อป้องกันการสูญหาย
     8. “การปกป้องข้อมูล (Data protection)” หมายถึงการป้องกันข้อมูลส่วนบุคคลต่อการประสงค์ร้ายของบุคคลที่สาม
     9. “การรักษาความมั่นคงปลอดภัยของข้อมูล (Data security)” หมายถึง การป้องกันข้อมูลในบริบทของ การรักษาความลับ บูรณภาพ และความพร้อมใช้งานของข้อมูล ซึ่งสามารถใช้แทน การรักษาความมั่นคงปลอดภัยของสารสนเทศได้
     10. “การประเมินความเสี่ยง หรือการวิเคราะห์ความเสี่ยง (Risk assessment or analysis)” ของระบบสารสนเทศ หมายถึง การตรวจสอบโอกาสของผลลัพธ์ใดๆ ที่ไม่พึงประสงค์ ต่อระบบฯ และผลเสียที่อาจจะเกิดขึ้นตามมาได้
     11. “นโยบายด้านความมั่นคงปลอดภัย (Security policy)” หมายถึงนโยบายที่แสดงเป้าหมายที่จะต้องปกป้อง และขั้นตอนทั่วไปของกระบวนการรักษาความมั่นคงปลอดภัย ในบริบทของความต้องการอย่างเป็นทางการขององค์กร

การจัดการความปลอดภัยของวงจรสารสนเทศ
     มีการแบ่งย่อยออกเป็น 3 หมวด คือ Physical Security, Access Control และ Encryption ดังนี้
     1. Physical Security เป็นการรักษาความปลอดภัยของข้อมูล โดยการเลือกใช้สื่อที่มีความมั่นคง ตั้งแต่การเลือกใช้ Hardware device ต่างๆ ไปจนกระทั่งการดูแลศูนย์กลางของการจัดเก็บข้อมูลให้มีความปลอดภัยมั่นคง
     2. Access Control เป็นการกำหนดกฎเกณฑ์ในการเข้าถึงข้อมูลสารสนเทศ เช่น ใครเป็นผู้ใช้งาน ใช้งานได้แค่ไหน ใช้งานอย่างไร สารสนเทศมีการปรับแก้โดยใคร และปรับแก้อย่างไรบ้าง
     3. Encryption เป็นการป้องกันการใช้งานโดยปรับเปลี่ยนข้อมูลให้เป็นข้อความที่อ่านไม่รู้เรื่อง (cipher-text) และมีการถอดรหัส (description) ให้เป็นข้อมูลที่อ่านได้
     การจัดการความปลอดภัยของวงจรสารสนเทศ เพื่อให้องค์กรได้ใช้ประโยชน์สูงสุดจากสารสนเทศนั้นควรดำเนินการดังต่อไปนี้
     - ปรับยุทธศาสตร์ขององค์กรให้สอดคล้องกับการใช้งานสารสนเทศ
     - จัดกลุ่มของผู้ใช้ให้เหมาะกับการใช้งานสารสนเทศ
     - บริหารจัดการข้อมูลสารสนเทศทั้งหมด
     - บริหารจัดการนโยบายทางด้านความปลอดภัยสำหรับการใช้งานสารสนเทศ
     - บริหารจัดการทรัพยากรทางด้านสารสนเทศและเครือข่าย

แนวทางในการวางระบบความมั่นคงปลอดภัยสารสนเทศ มีดังนี้
     1. การกำหนดนโยบายด้านความมั่นคงปลอดภัยสำหรับเครือข่ายเฉพาะบริเวณแบบไร้สาย สำหรับวิสาหกิจขนาดกลางและขนาดเล็ก
ในการกำหนดกรอบความมั่นคงปลอดภัยสำหรับระบบเครือข่ายไร้สายสามารถแบ่งออกเป็น 3 ส่วนมีรายละเอียดดังนี้
     1.1 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับบุคลากร (Human Resources Security)
     - การสร้างความมั่นคงปลอดภัยก่อนการจ้างงาน (Prior to Employment)
     - การสร้างความมั่นคงปลอดภัยระหว่างการจ้างงาน (During Employment)
     - การสิ้นสุดหรือการเปลี่ยนการจ้างงาน (Termination or Change of Employment)
     1.2 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับกระบวนการทำงาน (Process Resources Security)
     - นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) นโยบายนี้เป็นกรอบในการกำหนดวัตถุประสงค์ มาตรการด้านความมั่นคงปลอดภัย รวมถึงแนวทางการบริหารความเสี่ยง และที่สำคัญนโยบายต้องให้ความสำคัญต่อการปฏิบัติตามกฎหมาย กฎระเบียบ สัญญาและข้อตกลงร่วมกัน
     - โครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศสำหรับองค์กร (Organization of Information Security)
     - นโยบายการกำหนดมาตรการการป้องกันทรัพย์สินขององค์กร
     - นโยบายการกำหนดหน้าที่และความรับผิดชอบและขั้นตอนการปฏิบัติงาน (Operational Procedures and Responsibilities)
     - นโยบายการบริหารจัดการการให้บริการของหน่วยงานภายนอก (Third Party Service Delivery Management)
     - นโยบายการควบคุมการเข้าถึง (Access Control)
     - นโยบายการสร้างความมั่นคงปลอดภัยให้แก่ไฟล์ของระบบที่ให้บริการ (Security of System Files)
     - นโยบายการปฏิบัติตามข้อกำหนดทางกฎหมาย (Compliance with Legal Requirements)
     - นโยบายการตรวจประเมินระบบสารสนเทศ (Information Systems Audit Considerations
     1.3 ความมั่นคงปลอดภัยที่เกี่ยวข้องกับเทคโนโลยี (Technology Resources Security)
     - นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy)
     - นโยบายการสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม (Physical and Environmental Security)
     - นโยบายการบริหารจัดการด้านการสื่อสารและเครือข่ายสารสนเทศขององค์กร (Communicational Procedures and Responsibilities)
     - นโยบายการควบคุมอุปกรณ์สื่อสารประเภทพกพา
     - การปฏิบัติตามนโยบาย
     2. การพัฒนาตัวแบบความมั่นคงความปลอดภัยสำหรับเครือข่ายเฉพาะบริเวณแบบไร้สาย สำหรับวิสาหกิจขนาดกลางและขนาดเล็ก
การพัฒนาตัวแบบความมั่นคงปลอดภัยมีฟีเจอร์และเครื่องมือต่าง ๆ ที่ช่วยในการบริหารจัดการและควบคุมระบบ จะช่วยให้การบริหารจัดการเซิร์ฟเวอร์ที่มีหลายแอพพลิเคชันและหลายยูสเซอร์ใช้งานพร้อมกัน นอกจากนี้ยังช่วยในการป้องกันข้อมูลตามนโยบายที่กำหนด ซึ่งจะติดตั้งพร้อมกับระบบเพื่อกรองข้อมูลการจราจรที่วิ่งเข้าออกบนระบบเครือข่าย


ภาพประกอบ : แสดงกรอบความมั่นคงปลอดภัยสารสนเทศเครือข่ายเฉพาะบริเวณแบบไร้สายสำหรับวิสาหกิจขนาดกลางและขนาดเล็ก

     จากผลการกำหนดกรอบความมั่นคงปลอดภัยสารสนเทศเครือข่ายเฉพาะบริเวณแบบไร้สายสำหรับวิสาหกิจขนาดกลางและขนาดเล็กแสดงดังภาพประกอบ ซึ่งแสดงถึงกรอบความมั่นคงปลอดภัยสารสนเทศเครือข่ายเฉพาะบริเวณแบบไร้สายสำหรับวิสาหกิจขนาดกลางและขนาดเล็กที่อ้างอิงตามมาตรฐาน ISO/IEC 27001 โดยจะมีรายละเอียดในแต่ละ Layer ดังนี้
     1. Application Layer เป็นจุดเชื่อมต่อระหว่างแอพพลิเคชันของผู้ใช้กับกระบวนการ การสื่อสารผ่านเครือข่าย ชั้นนี้อาจจะถือได้ว่าเป็นชั้นที่เริ่มกระบวนการติดต่อสื่อสาร คือ
     1.1 Web Services Security เป็นการรักษาความปลอดภัยสำหรับการให้บริการเว็บไซต์ โดยมีการจัดการ
คือ
     • Maintaining security while routing between multiple การป้องกันความปลอดภัยต้องป้องกันทุกๆ Layer เพราะผู้โจมตีอาจเลือก Layer ที่สามารถโจมตีได้ง่าย หรือมีจุดอ่อน
     • Unauthorized Access ต้องจำกัดผู้ใช้งาน จำนวนผู้ใช้และการเข้าถึงข้อมูล คือกำหนดสิทธิ์ใช้งาน
     • Parameter Manipulation/Malicious Input มีการส่ง Parameter หรือ Input ที่เป็นอันตรายจากผู้ไม่ประสงค์ดี เช่น SQL Injection เป็นต้น
     • Network Eavesdropping and Message Replay ถ้าข้อมูลไม่ถูก Encryption ไว้ อาจถูกผู้ไม่ประสงค์ดีดักจับข้อมูลได้ง่าย ทำให้ข้อมูลไม่เป็นความลับ
     • Denial of Services (DoS) ผู้โจมตีส่งคำสั่งจำนวนมากๆ (Message Bomb) ให้ Web Services ทำให้เกิดความเสียหาย
     • Bypassing of Firewalls ผู้โจมตีพยายามโจมตีผ่าน port ที่ firewall เปิด คือ พยายามโจมตีผ่าน Port 80 เป็นต้น
     • Immaturity of the platform Web Services มีการใช้ Platform ที่ต่างกัน ทำให้เกิดการโจมตีโดยง่าย
     2. Transport Layer รับผิดชอบในการเคลื่อนย้ายข้อมูลระหว่างโพรเซสของผู้รับ และโพรเซสของผู้ส่ง ในที่นี้มีการรักษาความปลอดภัยดังนี้
     - Access Control เป็นวิธีการเข้ารหัสข้อมูลที่จะนำมาใช้ในการป้องกันความลับของข้อมูลได้เป็นอย่างดี แต่ไม่สามารถที่จะป้องกันการปลอมแปลงเข้ามาในระบบได้ ส่วนวิธีที่ใช้ในการป้องกันการปลอมแปลงการเข้าระบบ การป้องกันการเรียกเข้าในระบบโดยไม่ได้รับอนุญาต เป็นการกำหนดระดับสิทธิในการเข้าถึงระบบในการเขาถึงข้อมูลต่าง ๆ กัน
     3. Network Layer จะรับผิดชอบในการจัดเส้นทางให้กับข้อมูลระหว่างสถานีส่งและสถานีรับ โดยมีระบบการรักษาความปลอดภัยดังนี้
     - IP Security จะมีระบบรักษาความปลอดภัยเหมือนระบบรักษาความปลอดภัยอื่นๆ คือ การใส่รหัส (Encryption) เพื่อป้องกันข้อมูลรั่วไหล ป้องกันการแอบดึงข้อมูลไปใช้
     - Vulnerability การค้นหาเพื่อระบุถึง จุดอ่อนของระบบภายในองค์กรนั้น ในบางทีอาจต้องใช้วิธีทางเทคนิคเข้ามาช่วย เพื่อค้นหา จุดอ่อนในเชิง Logical ของระบบ
     - Intrusion Detection System ระบบตรวจสอบการบุกรุกเข้าสู่ระบบ ตรวจสอบมักวางไว้ทั้งหน้า firewall และหลัง firewall เพื่อตรวจสอบการบุกรุก และตรวจสอบผลการใช้ firewall
     - Intrusion Prevention System : IPS หมายถึง ระบบที่ใช้ป้องกันการบุกรุก เป็นอุปกรณ์ที่อยู่ใน network เพื่อทำหน้าที่ป้องกันการบุกรุก หรือโจมตีทางระบบเครือข่ายต่างๆ เช่น พวกการโจมตีระบบฐานข้อมูล (Database Attack) หรือโจมตีตัวเว็บเซิฟเวอร์ (Web Server Attack)
     อุปกรณ์ IPS ที่อยู่ในระบบเน็ทเวิร์คแบบนี้ เรามักจะเรียกว่า Network IPS เพราะจะมี IPS ประเภทอื่นที่อาจจะเป็น software วิ่งบนเครื่อง Server ซึ่งจะเรียกว่า Host IPS อุปกรณ์ Network IPS ก็จะมีลักษณะเหมือนอุปกรณ์ network ทั่วไปคือมีช่อง port ให้เสียบสาย Ethernet ซึ่งจะมีจำนวน port มากน้อยก็แล้วแต่ model ถ้าต้องการใช้งานจำนวน port เยอะ มีความเร็วสูงๆ ก็ต้องเป็น model ใหญ่
     การใช้งาน IPS จะถูกวางไว้ขวางบน network เพื่อให้ traffic การรับส่งข้อมูลต่างๆวิ่งผ่านตัวมัน ซึ่งจะทำให้ IPS สามารถตรวจสอบจากข้อมูลพวกนี้ได้ว่า ขณะนี้มีการ attack หรือมีไวรัสหรือไม่ ถ้าตรวจพบว่ามีการโจมตี หรือมีไวรัส IPS ก็สามารถจะทำการตัดการเชื่อมต่อนั้นๆ เพื่อหยุดการส่งข้อมูล สิ่งที่สำคัญสำหรับ IPS ก็คือความฉลาดของตัว IPS ที่จะรู้ว่า traffic แบบไหนเป็นการโจมตี ซึ่งเจ้าของผลิตภัณฑ์แต่ละยี่ห้อ ต้องมีการลงทุนทำการค้นคว้า วิจัย ให้ทันกับ threat ใหม่ๆที่เกิดขึ้นในโลก Internet อยู่เสมอ และนำสิ่งที่ค้นพบเหล่านั้น มาใส่ในอุปกรณ์ IPS เพื่อเพิ่มความฉลาดของอุปกรณ์ให้สามารถป้องกันการบุกรุกใหม่ๆได้
     4. Data Link Layer มีหน้าที่เหมือนกับชั้นอื่น ๆ คือรับและส่งข้อมูล ซึ่งจะรับผิดชอบในการรับส่งข้อมูลและมีการตรวจสอบความถูกต้องของข้อมูลด้วย โดยมีการรักษาความปลอดภัยดังนี้
     - Authentication in Distributed System เป็นการตรวจสอบความถูกต้องระบบคอมพิวเตอร์ในเครือข่าย
     - Encryption คือ การเปลี่ยนข้อความที่สามารถอ่านได้ (plain text) ไปเป็นข้อความที่ไม่สามารถอ่านได้ (cipher text) เพื่อเหตุผลด้านความปลอดภัย ปัจจุบันการเข้ารหัสมี 2 รูปแบบคือ การเข้ารหัสแบบสมมาตร เป็นการเข้ารหัสแบบใช้กุญแจตัวเดียวกันสำหรับการเข้าและถอดรหัส และการเข้ารหัสแบบอสมมาตร เป็นการเข้ารหัสที่ใช้กุญแจตัวหนึ่งสำหรับการเข้ารหัส และกุญแจอีกตัวหนึ่งสำหรับการถอดรหัส
      5. Physical Layer จัดการเชื่อมต่อ และ การส่งสัญญาณทางไฟฟ้า จากผู้ส่ง ไปยังผู้รับ โดยผ่านสื่อกลาง เช่น สายทองแดง คลื่นวิทยุ สายคู่ตีเกลียว และใยแก้วนำแสง เป็นต้น
     ดังนั้น พื้นฐานของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศทั่วไปเป็นฐานเนื่องจากในองค์กรส่วนใหญ่จะมีระบบสารสนเทศที่ใช้แบบมีสายและแบบไร้สาย ดังนั้นจะต้องดำเนินการรักษาความมั่นคงปลอดภัยร่วมกัน ซึ่งทุกระบบงานย่อยและระบบงานสารสนเทศต้องมี รวมถึงต้องมีการพิจารณาขั้นตอนต่างๆ การดำเนินการต่างๆ ในระดับบริหารจัดการ และเน้นไปที่การรักษาความมั่นคงปลอดภัยเพื่อให้เกิดประสิทธิภาพสูงสุด

สรุป
     วิวัฒนาการของโลกได้เปลี่ยนไปอย่างรวดเร็ว ปัจจุบันเทคโนโลยีสารสนเทศและการสื่อสารได้เข้ามามีบทบาทที่สำคัญต่อการดำเนินชีวิตของมนุษย์และก่อให้เกิดการเปลี่ยนแปลงกับสังคมมนุษย์อย่างมากมาย ไม่ว่าจะเป็นการเปลี่ยนแปลงในการดำเนินชีวิตประจำวัน การขยายบทบาททางการศึกษา การให้บริการสาธารณสุข การพัฒนาเศรษฐกิจ การสื่อสารระหว่างรัฐกับประชาชน โดยเทคโนโลยีสารสนเทศและการสื่อสาร ได้ถูกนำมาใช้ในการปฏิบัติงาน การผลิตและการให้บริการต่อผู้บริโภค การทำธุรกรรมต่างๆ อีกทั้งยังเป็นพลังขับเคลื่อนที่สำคัญในการนำพาประเทศเข้าสู่ระบบเศรษฐกิจใหม่ หรือระบบเศรษฐกิจและสังคมแห่งปัญญาและการเรียนรู้ เพื่อการรวมทั้งเป็นกลยุทธ์หลักในการพัฒนาของทุกประเทศ ในปัจจุบันมีการขยายตัวของเครือข่ายคอมพิวเตอร์มากขึ้นอย่างรวดเร็ว การทำธุรกรรมอิเล็กทรอนิกส์อย่างกว้างขวางในทุกอุตสาหกรรมทั้งภาครัฐและ เอกชน เห็นได้จากการที่รัฐบาลได้กำหนดกรอบนโยบายเทคโนโลยีสารสนเทศของประเทศไทย พ.ศ. 2544-2553 ที่ครอบคลุมยุทธศาสตร์สำคัญ 5 ด้าน ได้แก่การบริหารงานของรัฐบาล (e-Government) การศึกษา (e-Education) พาณิชยกรรม (e-Commerce) อุตสาหกรรม (e-Industry) และสังคม (e-Society) ซึ่งได้นำเอาเทคโนโลยีมาใช้ในสนับสนุนการใช้ในการดำเนินธุรกิจและให้บริการ และนั่นหมายถึงการต่อเชื่อมประเทศไทยให้เข้าสู่เวทีโลกอย่างเต็มรูปแบบ เมื่อมีความพร้อมเช่นนี้แล้วการรับมือและระวังภัยในการสร้างความมั่นคง ปลอดภัยและความมั่นใจก็เป็นสิ่งที่สำคัญอย่างยิ่งยวด ภัยในไซเบอร์หรืออาชญากรรมทางคอมพิวเตอร์ก็ยังเป็นที่พบเห็นกันบ่อยๆ เราจึงควรให้ความสำคัญและศึกษาเรียนรู้วิธีการป้องกันเพื่อเตรียมรับมือให้ดี ก่อนที่จะสายเกินไป

เอกสารอ้างอิง
  - http://support.mof.go.th/lan/osi.htm
  - http://www.thaicyberpoint.com/ford/blog/id/194/
  - http://www.thaidept.com/antenna.html
  - http://www.oknation.net/blog/weblog/2009/02/27/entry-4
  - http://dllibrary.spu.ac.th:8080/dspace/bitstream/123456789/1537/11/31 ผกากรอง  บ่ายสว่าง..pdf
  - http://www.siammastershop.com/forums/index.php?topic=11.0
  - http://tsumis.tsu.ac.th/tsukm/UploadFolder\การจัดการความปลอดภัยของวงจรสารสนเทศ.pdf
  - http://www.spu.ac.th/announcement/articles/wireless_lan.htm