بایدها و نبایدهای امنیت Wi-Fi

ایدها و نبایدهای امنیت Wi-Fi

Wi-Fi  بسیار مستعد هک شدن و استراق سمع است، ولی در صورتی که شما از معیارهای امنیتی صحیح استفاده کنید، این تکنولوژی نیز می تواند امن باشد. در این مقاله قسمت اول از برخی بایدها و نبایدهای امنیت Wi-Fi ارائه خواهند شد.

1.        از WEP  استفاده نکنید.

WEP  (Wired Equivalent Privacy ) یک الگوریتم امنیتی بسیار ضعیف برای شبکه های بی سیم 802.11  است و مدت زیادی است که از رده خارج شده است. رمزنگاری زیرین این الگوریتم امنیتی، به سرعت و به سادگی توسط اغلب هکرهای بی تجربه قابل شکستن است. بنابراین شما به هیچ عنوان نباید از WEP  استفاده کنید. اما اگر این کار را انجام می دهید، بلافاصله به WPA2  (Wi-Fi Protected Access ) با احراز هویت 802.1X  ارتقاء دهید. اگر کلاینت ها یا access point  های قدیمی دارید که WPA2  را پشتیبانی نمی کنند، از ارتقاهای سفت افزاری استفاده کرده یا به سادگی، تجهیزات خود را تغییر دهید.

2.       از WPA/WPA2-PSK  استفاده نکنید.

مود کلید از پیش به اشتراک گذاشته شده (PSK ) در امنیت WPA  و WPA2  برای محیط های تجاری یا شرکتی امن نیست. زمانی که از این مود استفاده می کنید، کلید از پیش به اشتراک گذاشته یکسانی باید به هر کلاینت وارد گردد. بنابراین PSK  باید هربار که کارمندی شرکت را ترک می کند و هر زمان که یک کلاینت گم شده یا به سرقت می رود، تغییر نماید که این کار، برای اغلب محیط ها انجام پذیر نیست.

3.      802.11i  را پیاده سازی نمایید.

مود EAP  (پروتکل احراز هویت قابل توسعه) در امنیت WPA  و WPA2 ، از احراز هویت 802.1X  به جای PSK  ها استفاده می کند. این کار این قابلیت را فراهم می آورد تا هر کاربر یا هر کلاینت، اطلاعات اعتباری ورود مخصوص به خود را دارا باشد. یعنی هر کاربر و هر کلاینت دارای نام های کاربری و کلمات عبور و/ یا یک امضای دیجیتالی مخصوص به خود هستند.

کلیدهای رمزنگاری واقعی، به طور منظم تغییر داده می شوند و بدون سر و صدا در پس زمینه جابجا می گردند. بنابراین برای تغییر یا ابطال دسترسی کاربر، تمام کاری که باید انجام دهید این است که اطلاعات اعتباری ورود را بر روی یک سرور مرکزی تغییر دهید و دیگر لازم نیست PSK  را بر روی هر کلاینت دستکاری نمایید. کلیدهای یکتا به ازای هر نشست نیز کاربران را از شنود و استراق سمع بر روی ترافیک یکدیگر باز می دارد. اکنون ابزارهای ساده و مختلفی برای این کار در محیط های مختلف وجود دارد که دیگران می توانند با استفاده از آنها، به جای یک کاربر وارد شوند و یا ترافیک وی را شنود نمایند.

در خاطر داشته باشید که برای داشتن بهترین امنیت ممکن، باید از WPA2  با 802.1X  که با عنوان 802.11i  نیز شناخته می شود، استفاده کنید.

برای فعال کردن احراز هویت 802.1X ، نیاز به این دارید که یک سرور RADIUS/AAA  داشته باشید. اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می کنید، از سرور سیاست شبکه (NPS )، یا سرویس احراز هویت اینترنت (IAS ) در نسخه های سرور قدیمی تر استفاده کنید. اگر یک سرور ویندوز را اجرا نمی کنید، از سرور متن باز Free RADIUS  استفاده نمایید.

شما می توانید در صورت اجرای ویندوز سرور 2008 یا نسخه های پس از آن، تنظیمات 802.1X  را از طریق سیاست گروهی (Group Policy ) به کلاینت های متصل به دامنه اعمال نمایید. در غیر اینصورت، می توانید یک راه حل متفرقه برای پیکربندی کلاینت ها به کار گیرید.

4.      تنظیمات کلاینت 802.1X  را امن کنید.

مود EAP  در WPA/WPA2  هنوز در برابر حملات man-in-the-middle  آسیب پذیر است. به هر حال شما می توانید با امن کردن تنظیمات EAP  مربوط به هر کلاینت، به جلوگیری از این حملات کمک نمایید. برای مثال، در تنظیمات EAP  برای ویندوز، شما می توانید اعتبارسنجی گواهی سرور را فعال کنید. این کار را می توانید با انتخاب گواهی CA ، مشخص کردن آدرس سرور، و غیرفعال ساختن هشدارهای آن در مورد اعتماد کاربر به سرورهای جدید یا گواهی های CA  جدید انجام دهید.

شما همچنین می توانید این تنظیمات 802.1X  را از طریق سیاست گروهی (Group Policy ) به کلاینت های متصل به دامنه نیز اعمال کرده یا اینکه از یک راه حل متفرقه استفاده نمایید.

5.      از یک سیستم جلوگیری از نفوذ بی سیم استفاده کنید.

در مورد امنیت Wi-Fi  همیشه اینطور نیست که فقط با کسانی که به طور مستقیم سعی می کنند به شبکه دسترسی پیدا کنند، درگیر شوید. برای مثال، هکرها می توانند access point  های جعلی را تنظیم نمایند یا اینکه حملات انکار سرویس انجام دهند. برای کمک به تشخیص و مقابله با این حملات، شما باید یک سیستم جلوگیری از نفوذ بی سیم (WIPS ) پیاده سازی نمایید. طراحی و روش های کار WIPS  ها در میان تولید کنندگان مختلف، متفاوت است، ولی معمولا آنها امواج را مورد نظارت قرار می دهند، به شما هشدار می دهند و احتمالا access point  های جعلی یا فعالیت های خرابکارانه را متوقف می سازند.

تولید کنندگان تجاری زیادی هستند که راه حل های WIPS  را ارائه می دهند. همچنین گزینه های متن بازی مانند Snort نیز وجود دارند.

در قسمت بعد، سایر بایدها و نبایدهای امنیت Wi-Fi را مطالعه خواهید کرد.

قسمت دوم

علاوه بر 802.11i  و یک WIPS ، شما باید از یک راه حل محافظ دسترسی به شبکه (NAP ) یا کنترل دسترسی به شبکه (NAC ) استفاده کنید. استفاده از اینها می تواند کنترل بیشتری بر روی دسترسی شبکه، مبتنی بر هویت کلاینت و منطبق با سیاست های تعریف شده ایجاد نماید. اینها همچنین می توانند شامل عملکردهایی برای ایزوله کردن کلاینت های مشکل دار و حل مشکل برای بازگرداندن کلاینت ها باشند.

برخی راه حل های NAC  نیز ممکن است شامل جلوگیری از نفوذ به شبکه و تشخیص نفوذ به شبکه باشند، ولی باید اطمینان حاصل کنید که محافظت های بی سیم را نیز ارائه می دهند یا خیر.

اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می کنید و ویندوز ویستا یا نسخه های پس از آن را برای کلاینت ها به کار می گیرید، می توانید از عملکرد NAP  مایکروسافت استفاده کنید. در غیر اینصورت، می توانید از راه حل های متفرقه مانند Packet Fence  که متن باز است استفاده نمایید.

7.      به SSID  های پنهان اعتماد نکنید.

یک اشتباه در مورد شبکه های بی سیم این است که تصور می شود که غیرفعال کردن انتشار SSID  در access point  ها، شبکه شما را پنهان ساخته یا حداقل SSID  را پنهان می سازد و به این وسیله، کار هکرها سخت تر می گردد. اما به هر حال، این کار فقط SSID  را از دید access point  حذف خواهد کرد و هنوز هم SSID  در درخواست اتصال 802.11  وجود دارد. در موارد خاص، SSID  در بسته های درخواست probe  و بسته های پاسخ آن نیز وجود دارد. بنابراین یک استراق سمع کننده می تواند یک SSID  پنهان را به خصوص بر روی یک شبکه شلوغ به سرعت کشف نماید.

ممکن است برخی ادعا کنند که غیرفعال کردن انتشار SSID  همچنان یک لایه دیگر از امنیت ایجاد می کند، ولی به خاطر داشته باشید که این کار می تواند یک تاثیر منفی نیز بر روی پیکربندی و کارآیی شبکه داشته باشد. شما باید به طور دستی SSID  را به کلاینت ها وارد کنید که این کار، پیکربندی کلاینت را پیچیده تر می کند. این کار همچنین افزایشی در بسته های درخواست و پاسخ probe  ایجاد خواهد کرد که پهنای باند در دسترس را کاهش خواهد داد.

8.      به فیلتر آدرس MAC  اعتماد نکنید.

یک اشتباه دیگر در مورد امنیت بی سیم این است که تصور می شود که فعال کردن فیلتر آدرس MAC ، یک لایه دیگر از امنیت به شبکه اضافه می نماید، و این مساله که کدام کلاینت ها می توانند به شبکه متصل شوند، تحت کنترل قرار خواهد گرفت. این تصور تا حدی صحیح است، اما به خاطر داشته باشید که کنترل شبکه در مورد آدرس های MAC  مجاز و سپس تغییر آدرس های MAC  برای شنود کنندگان، کار بسیار ساده ای است.

شما نباید با پیاده سازی فیلتر MAC  تصور کنید که کار زیادی برای امنیت شبکه خود انجام داده اید، ولی ممکن است این کار راهی برای اعمال یک کنترل ضعیف بر روی اینکه کاربران کدام کامپیوترها و دستگاه ها بر روی شبکه آمده اند، ایجاد نماید. البته این نکته را نیز به خاطر بسپارید که به روز نگه داشتن لیست MAC  ممکن است بسیار سخت باشد.

9.       SSID  هایی را که کاربران می توانند متصل شوند، محدود کنید.

بسیاری از مدیران شبکه یک ریسک امنیتی ساده اما بالقلوه خطرناک را مورد چشم پوشی قرار می دهند: کاربرانی که به طور شناخته شده یا ناشناس به یک شبکه بی سیم همسایه یا غیر مجاز متصل می شوند، کامپیوتر خود را در برابر نفوذ احتمالی باز می گذارند. به هر حال فیلتر کردن SSID  ها یک راه برای جلوگیری از این نفوذ است. برای مثال در ویندوز ویستا و نسخه های پس از آن، شما می توانید از دستورات netsh wlan  برای افزودن فیلتر به SSID  هایی که کاربران می توانند مشاهده کرده و به آن متصل شوند، استفاده کنید. برای دستگاه های دسکتاپ، شما می توانید تمامی SSID  ها به جز SSID  های شبکه بی سیم خود را رد نمایید. در مورد لپ تاپ ها، شما می توانید فقط SSID  های شبکه های همسایه را رد کنید، اما به آنها اجازه دهید که برای مثال به شبکه خانه خود متصل گردند.

10.     اجزای شبکه را به طور فیزیکی امن نمایید.

به خاطر بسپارید که امنیت کامپیوتر فقط به جدیدترین تکنولوژی های و رمزنگاری ها ختم نمی شود. امن کردن اجزای شبکه به صورت فیزیکی می تواند به همان اندازه مهم باشد. اطمینان حاصل کنید که access point  ها در مکانی خارج از دسترس یا یک موقعیت امن قرار دارند. اگر این اجزا به لحاظ فیزیکی امن نگردند، دیگران می توانند به سادگی به آن دسترسی پیدا کرده و تنظیمات آن را به تنظیمات پیش فرض کارخانه ای بازگردانند تا دسترسی به آن باز شود.

11.     در مورد محافظت از کلاینت های موبایل فراموش نکنید.

تصور شما در مورد امنیت Wi-Fi  نباید به شبکه خودتان محدود گردد. ممکن است کاربران تلفن های هوشمند، لپ تاپ ها و کامپیوترهای لوحی در محل کار امن باشند، اما در هنگام اتصال به شبکه بی سیم منزل خود چطور؟ شما باید سعی کنید اطمینان حاصل کنید که سایر اتصالات Wi-Fi  آنها نیز امن است تا بتوانید از نفوذ و شنود جلوگیری نمایید.

متاسفانه این کار ساده نیست و نیازمند ترکیبی از راه حل ها به همراه آموزش کاربران در مورد ریسک های امنیت Wi-Fi  و معیارهای جلوگیری است.

اولا، تمامی لپ تاپ ها و نوت بوک ها باید یک فایروال شخصی (مانند فایروال ویندوز) فعال داشته باشند تا از نفوذ جلوگیری کند. شما در صورت اجرای یک سرور ویندوز می توانید این کار را از طریق سیاست گروهی انجام دهید، یا اینکه از یک راه حل دیگر برای مدیریت کامپیوترهای غیر دامنه استفاده کنید.

ثانیا، شما نیاز دارید اطمینان حاصل کنید که ترافیک اینترنتی کاربران زمانی که بر روی یک شبکه دیگر هستند، در برابر شنود کنندگان محلی، از طریق ارائه دسترسی VPN  به شبکه شما، رمزگذاری می شود.

شما همچنین باید اطمینان حاصل کنید که هریک از سرویس هایی که در معرض اینترنت قرار دارند امن سازی شده اند. برای مثال در صورتی که سرویس ایمیل خارج از LAN ، WAN  یا VPN  خود ارائه می دهید، اطمینان حاصل کنید که از رمزنگاری SSL  برای جلوگیری از برداشت اطلاعات ورود یا پیغام های کاربر توسط هر نفوذگر محلی در شبکه غیر مطمئن استفاده می کنید.

                                                                                         گروه تهدیدات تخصصی اداره کل پدافند غیرعامل استانداری قزوین