ایدها و نبایدهای امنیت Wi-Fi
Wi-Fi بسیار مستعد هک شدن و استراق سمع است، ولی در صورتی که شما از معیارهای امنیتی صحیح استفاده کنید، این تکنولوژی نیز می تواند امن باشد. در این مقاله قسمت اول از برخی بایدها و نبایدهای امنیت Wi-Fi ارائه خواهند شد.
1. از WEP استفاده نکنید.
WEP (Wired Equivalent Privacy ) یک الگوریتم امنیتی بسیار ضعیف برای شبکه های بی سیم 802.11 است و مدت زیادی است که از رده خارج شده است. رمزنگاری زیرین این الگوریتم امنیتی، به سرعت و به سادگی توسط اغلب هکرهای بی تجربه قابل شکستن است. بنابراین شما به هیچ عنوان نباید از WEP استفاده کنید. اما اگر این کار را انجام می دهید، بلافاصله به WPA2 (Wi-Fi Protected Access ) با احراز هویت 802.1X ارتقاء دهید. اگر کلاینت ها یا access point های قدیمی دارید که WPA2 را پشتیبانی نمی کنند، از ارتقاهای سفت افزاری استفاده کرده یا به سادگی، تجهیزات خود را تغییر دهید.
2. از WPA/WPA2-PSK استفاده نکنید.
مود کلید از پیش به اشتراک گذاشته شده (PSK ) در امنیت WPA و WPA2 برای محیط های تجاری یا شرکتی امن نیست. زمانی که از این مود استفاده می کنید، کلید از پیش به اشتراک گذاشته یکسانی باید به هر کلاینت وارد گردد. بنابراین PSK باید هربار که کارمندی شرکت را ترک می کند و هر زمان که یک کلاینت گم شده یا به سرقت می رود، تغییر نماید که این کار، برای اغلب محیط ها انجام پذیر نیست.
3. 802.11i را پیاده سازی نمایید.
مود EAP (پروتکل احراز هویت قابل توسعه) در امنیت WPA و WPA2 ، از احراز هویت 802.1X به جای PSK ها استفاده می کند. این کار این قابلیت را فراهم می آورد تا هر کاربر یا هر کلاینت، اطلاعات اعتباری ورود مخصوص به خود را دارا باشد. یعنی هر کاربر و هر کلاینت دارای نام های کاربری و کلمات عبور و/ یا یک امضای دیجیتالی مخصوص به خود هستند.
کلیدهای رمزنگاری واقعی، به طور منظم تغییر داده می شوند و بدون سر و صدا در پس زمینه جابجا می گردند. بنابراین برای تغییر یا ابطال دسترسی کاربر، تمام کاری که باید انجام دهید این است که اطلاعات اعتباری ورود را بر روی یک سرور مرکزی تغییر دهید و دیگر لازم نیست PSK را بر روی هر کلاینت دستکاری نمایید. کلیدهای یکتا به ازای هر نشست نیز کاربران را از شنود و استراق سمع بر روی ترافیک یکدیگر باز می دارد. اکنون ابزارهای ساده و مختلفی برای این کار در محیط های مختلف وجود دارد که دیگران می توانند با استفاده از آنها، به جای یک کاربر وارد شوند و یا ترافیک وی را شنود نمایند.
در خاطر داشته باشید که برای داشتن بهترین امنیت ممکن، باید از WPA2 با 802.1X که با عنوان 802.11i نیز شناخته می شود، استفاده کنید.
برای فعال کردن احراز هویت 802.1X ، نیاز به این دارید که یک سرور RADIUS/AAA داشته باشید. اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می کنید، از سرور سیاست شبکه (NPS )، یا سرویس احراز هویت اینترنت (IAS ) در نسخه های سرور قدیمی تر استفاده کنید. اگر یک سرور ویندوز را اجرا نمی کنید، از سرور متن باز Free RADIUS استفاده نمایید.
شما می توانید در صورت اجرای ویندوز سرور 2008 یا نسخه های پس از آن، تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy ) به کلاینت های متصل به دامنه اعمال نمایید. در غیر اینصورت، می توانید یک راه حل متفرقه برای پیکربندی کلاینت ها به کار گیرید.
4. تنظیمات کلاینت 802.1X را امن کنید.
مود EAP در WPA/WPA2 هنوز در برابر حملات man-in-the-middle آسیب پذیر است. به هر حال شما می توانید با امن کردن تنظیمات EAP مربوط به هر کلاینت، به جلوگیری از این حملات کمک نمایید. برای مثال، در تنظیمات EAP برای ویندوز، شما می توانید اعتبارسنجی گواهی سرور را فعال کنید. این کار را می توانید با انتخاب گواهی CA ، مشخص کردن آدرس سرور، و غیرفعال ساختن هشدارهای آن در مورد اعتماد کاربر به سرورهای جدید یا گواهی های CA جدید انجام دهید.
شما همچنین می توانید این تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy ) به کلاینت های متصل به دامنه نیز اعمال کرده یا اینکه از یک راه حل متفرقه استفاده نمایید.
5. از یک سیستم جلوگیری از نفوذ بی سیم استفاده کنید.
در مورد امنیت Wi-Fi همیشه اینطور نیست که فقط با کسانی که به طور مستقیم سعی می کنند به شبکه دسترسی پیدا کنند، درگیر شوید. برای مثال، هکرها می توانند access point های جعلی را تنظیم نمایند یا اینکه حملات انکار سرویس انجام دهند. برای کمک به تشخیص و مقابله با این حملات، شما باید یک سیستم جلوگیری از نفوذ بی سیم (WIPS ) پیاده سازی نمایید. طراحی و روش های کار WIPS ها در میان تولید کنندگان مختلف، متفاوت است، ولی معمولا آنها امواج را مورد نظارت قرار می دهند، به شما هشدار می دهند و احتمالا access point های جعلی یا فعالیت های خرابکارانه را متوقف می سازند.
تولید کنندگان تجاری زیادی هستند که راه حل های WIPS را ارائه می دهند. همچنین گزینه های متن بازی مانند Snort نیز وجود دارند.
در قسمت بعد، سایر بایدها و نبایدهای امنیت Wi-Fi را مطالعه خواهید کرد.
قسمت دوم
علاوه بر 802.11i و یک WIPS ، شما باید از یک راه حل محافظ دسترسی به شبکه (NAP ) یا کنترل دسترسی به شبکه (NAC ) استفاده کنید. استفاده از اینها می تواند کنترل بیشتری بر روی دسترسی شبکه، مبتنی بر هویت کلاینت و منطبق با سیاست های تعریف شده ایجاد نماید. اینها همچنین می توانند شامل عملکردهایی برای ایزوله کردن کلاینت های مشکل دار و حل مشکل برای بازگرداندن کلاینت ها باشند.
برخی راه حل های NAC نیز ممکن است شامل جلوگیری از نفوذ به شبکه و تشخیص نفوذ به شبکه باشند، ولی باید اطمینان حاصل کنید که محافظت های بی سیم را نیز ارائه می دهند یا خیر.
اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می کنید و ویندوز ویستا یا نسخه های پس از آن را برای کلاینت ها به کار می گیرید، می توانید از عملکرد NAP مایکروسافت استفاده کنید. در غیر اینصورت، می توانید از راه حل های متفرقه مانند Packet Fence که متن باز است استفاده نمایید.
7. به SSID های پنهان اعتماد نکنید.
یک اشتباه در مورد شبکه های بی سیم این است که تصور می شود که غیرفعال کردن انتشار SSID در access point ها، شبکه شما را پنهان ساخته یا حداقل SSID را پنهان می سازد و به این وسیله، کار هکرها سخت تر می گردد. اما به هر حال، این کار فقط SSID را از دید access point حذف خواهد کرد و هنوز هم SSID در درخواست اتصال 802.11 وجود دارد. در موارد خاص، SSID در بسته های درخواست probe و بسته های پاسخ آن نیز وجود دارد. بنابراین یک استراق سمع کننده می تواند یک SSID پنهان را به خصوص بر روی یک شبکه شلوغ به سرعت کشف نماید.
ممکن است برخی ادعا کنند که غیرفعال کردن انتشار SSID همچنان یک لایه دیگر از امنیت ایجاد می کند، ولی به خاطر داشته باشید که این کار می تواند یک تاثیر منفی نیز بر روی پیکربندی و کارآیی شبکه داشته باشد. شما باید به طور دستی SSID را به کلاینت ها وارد کنید که این کار، پیکربندی کلاینت را پیچیده تر می کند. این کار همچنین افزایشی در بسته های درخواست و پاسخ probe ایجاد خواهد کرد که پهنای باند در دسترس را کاهش خواهد داد.
8. به فیلتر آدرس MAC اعتماد نکنید.
یک اشتباه دیگر در مورد امنیت بی سیم این است که تصور می شود که فعال کردن فیلتر آدرس MAC ، یک لایه دیگر از امنیت به شبکه اضافه می نماید، و این مساله که کدام کلاینت ها می توانند به شبکه متصل شوند، تحت کنترل قرار خواهد گرفت. این تصور تا حدی صحیح است، اما به خاطر داشته باشید که کنترل شبکه در مورد آدرس های MAC مجاز و سپس تغییر آدرس های MAC برای شنود کنندگان، کار بسیار ساده ای است.
شما نباید با پیاده سازی فیلتر MAC تصور کنید که کار زیادی برای امنیت شبکه خود انجام داده اید، ولی ممکن است این کار راهی برای اعمال یک کنترل ضعیف بر روی اینکه کاربران کدام کامپیوترها و دستگاه ها بر روی شبکه آمده اند، ایجاد نماید. البته این نکته را نیز به خاطر بسپارید که به روز نگه داشتن لیست MAC ممکن است بسیار سخت باشد.
9. SSID هایی را که کاربران می توانند متصل شوند، محدود کنید.
بسیاری از مدیران شبکه یک ریسک امنیتی ساده اما بالقلوه خطرناک را مورد چشم پوشی قرار می دهند: کاربرانی که به طور شناخته شده یا ناشناس به یک شبکه بی سیم همسایه یا غیر مجاز متصل می شوند، کامپیوتر خود را در برابر نفوذ احتمالی باز می گذارند. به هر حال فیلتر کردن SSID ها یک راه برای جلوگیری از این نفوذ است. برای مثال در ویندوز ویستا و نسخه های پس از آن، شما می توانید از دستورات netsh wlan برای افزودن فیلتر به SSID هایی که کاربران می توانند مشاهده کرده و به آن متصل شوند، استفاده کنید. برای دستگاه های دسکتاپ، شما می توانید تمامی SSID ها به جز SSID های شبکه بی سیم خود را رد نمایید. در مورد لپ تاپ ها، شما می توانید فقط SSID های شبکه های همسایه را رد کنید، اما به آنها اجازه دهید که برای مثال به شبکه خانه خود متصل گردند.
10. اجزای شبکه را به طور فیزیکی امن نمایید.
به خاطر بسپارید که امنیت کامپیوتر فقط به جدیدترین تکنولوژی های و رمزنگاری ها ختم نمی شود. امن کردن اجزای شبکه به صورت فیزیکی می تواند به همان اندازه مهم باشد. اطمینان حاصل کنید که access point ها در مکانی خارج از دسترس یا یک موقعیت امن قرار دارند. اگر این اجزا به لحاظ فیزیکی امن نگردند، دیگران می توانند به سادگی به آن دسترسی پیدا کرده و تنظیمات آن را به تنظیمات پیش فرض کارخانه ای بازگردانند تا دسترسی به آن باز شود.
11. در مورد محافظت از کلاینت های موبایل فراموش نکنید.
تصور شما در مورد امنیت Wi-Fi نباید به شبکه خودتان محدود گردد. ممکن است کاربران تلفن های هوشمند، لپ تاپ ها و کامپیوترهای لوحی در محل کار امن باشند، اما در هنگام اتصال به شبکه بی سیم منزل خود چطور؟ شما باید سعی کنید اطمینان حاصل کنید که سایر اتصالات Wi-Fi آنها نیز امن است تا بتوانید از نفوذ و شنود جلوگیری نمایید.
متاسفانه این کار ساده نیست و نیازمند ترکیبی از راه حل ها به همراه آموزش کاربران در مورد ریسک های امنیت Wi-Fi و معیارهای جلوگیری است.
اولا، تمامی لپ تاپ ها و نوت بوک ها باید یک فایروال شخصی (مانند فایروال ویندوز) فعال داشته باشند تا از نفوذ جلوگیری کند. شما در صورت اجرای یک سرور ویندوز می توانید این کار را از طریق سیاست گروهی انجام دهید، یا اینکه از یک راه حل دیگر برای مدیریت کامپیوترهای غیر دامنه استفاده کنید.
ثانیا، شما نیاز دارید اطمینان حاصل کنید که ترافیک اینترنتی کاربران زمانی که بر روی یک شبکه دیگر هستند، در برابر شنود کنندگان محلی، از طریق ارائه دسترسی VPN به شبکه شما، رمزگذاری می شود.
شما همچنین باید اطمینان حاصل کنید که هریک از سرویس هایی که در معرض اینترنت قرار دارند امن سازی شده اند. برای مثال در صورتی که سرویس ایمیل خارج از LAN ، WAN یا VPN خود ارائه می دهید، اطمینان حاصل کنید که از رمزنگاری SSL برای جلوگیری از برداشت اطلاعات ورود یا پیغام های کاربر توسط هر نفوذگر محلی در شبکه غیر مطمئن استفاده می کنید.
گروه تهدیدات تخصصی اداره کل پدافند غیرعامل استانداری قزوین