ทำไม Public Wi-Fi ต้องเปิด Client Isolation
ปัญหานึงที่ผมเจอบ่อยโดยเฉพาะตาม Public WiFi อย่าง hotspot ตามร้านกาแฟ ร้านอาหาร รวมถึงโรงแรมคือไม่ทำ client isolation
สำหรับใครที่ไม่คุ้นกับฟีเจอร์นี้ มันทำหน้าที่บล็อกไม่ให้ client ที่เกาะบน AP ตัวเดียวกันมองเห็นกัน
ปกติถ้าเป็นที่บ้านก็แล้วไป แต่ถ้าอยู่ข้างนอกเราคงไม่อยากให้ใครเข้าถึงเครื่องของเราใช่ไหมครับ ยิ่งถ้าเรามีพวก service ต่างๆ run บนคอมเรา
หลายปีก่อนผมเข้าพักที่โรงแรมเชนระดับ 5 ดาวแห่งหนึ่งที่ฟิลิปปินส์ พอผมเกาะ WiFi ที่ lobby โรงแรมได้ ผมใช้ nmap สแกน subnet เจอ client ผุดขึ้นมาหลายสิบตัว รวมถึง hostname "GM_Desktop" มี Netbios share folder ด้วย ซึ่ง IT โรงแรมก็ตกใจมากตอนผมแจ้งไป
คงไม่ต้องอธิบายเรื่อง security สำคัญแค่ไหน ยิ่งถ้าเราใช้ WiFi สาธารณะที่ต้องขอ PSK เราต้องยิ่งระวังเพราะปกติฟีเจอร์ client isolation มักจะไม่มีใน consumer AP และร้านกาแฟ ร้านอาหาร หรือโรงแรมเล็กๆบ้านเราส่วนใหญ่จะไม่ลงทุนกับ enterprise AP
อีกอย่างที่เราอาจจะต้องทำควบคู่กับ client isolation คือการทำ port isolation บน switch ถ้า WiFi เราใช้ VLAN เดียวกันหมด อันนี้ป้องกันไม่ให้ client ภายใน VLAN เดียวกัน หรือ intra-VLAN มองเห็นกัน