یکشنبه، 16 تیر 92 - 07:57
نکات امنیتی در پیکربندی شبکه های بی سیم

 

نکات امنیتی در پیکربندی شبکه های بی سیم

نکات امنیتی در پیکربندی شبکه های بی سیم

 سرعت گسترش شبکه های بی سیم آنچنان زیاد شده که آنها را امروزه از سازمان ها و شرکت های بزرگ گرفته تا اتاق کار خانگی و یخچال و اجاق گاز می بینیم. با ورود دستگاه های همراه مانند کامپیوترهای همراه، تلفن های همراه و Tabletها حضور شبکه های بی سیم برای کاربران عادی هم ملموس و پررنگ شده. این مسئله باعث شده تا امنیت دسترسی ها در این شبکه ها اهمیت بیشتری پیدا کند. حتی در کشورهایی که سختگیرانه ترین قوانین امنیتی را برای شبکه های بی سیم دارند باز هم آمار نشان می دهد که ۴ درصد شبکه ها کاملاً بدون حفاظت و بیش از ۱۵ درصد هم تنها با روش های امنیتی ساده و قدیمی WEP پیکربندی شده اند و انتظار ما آن است که این آمار در کشور خودمان نگران کننده تر باشد. با جدی شدن بحث امنیت شبکه های بی سیم لازم است دستگاه نظارتی قوانین مربوط به استفاده درست از شیوه های امنیتی را وضع و سازماندهی کند. تنظیمات امنیتی شبکه ها و به ویژه شبکه های بی سیم معمولاً در زمان نصب انجام گرفته و بدون به هنگام رسانی های بعدی در همان وضعیت به حال خود رها می شوند. در حالیکه با ورود دستگاه ها و استانداردهای جدیدتر باید با یک روند مطمئن این تنظیمات پیوسته تصحیح شوند. WEP هم دیگر مانند گذشته روش مطمئنی برای حفاظت از شبکه های بی سیم نیست.روشن است که هیچ راه حلی قطعی برای فراهم کردن امنیت شبکه ها وجود ندارد چون تجربه ثابت کرده که با صرف وقت و پشتکار زیاد می توان این موانع امنیتی را پشت سرگذاشت. اما مهم است که همیشه از تازه ترین روش ها برای برقرار کردن امنیت استفاده کنیم.

 SSID ها را نفرستید

 SSID ها را نفرستید

SSID ها را نفرستید

نخستین گام در امنیت یک شبکه بی سیم پنهان کردن آن است. اگر کسی نداند که اصلاً شبکه ای وجود دارد تلاشی هم برای رخنه به آن نمی کند. تقریباً همه Access Point ها می توانند از فرستادن SSID یا Service Set Identifier جلوگیری کنند. ورود به این شبکه ها تنها در صورتی ممکن است که SSID را در کامپیوتر کاربر وارد کنید. با استفاده از ترکیبی از کاراکترهای غیر حرفی و ارقام احتمال نفوذ اتفاقی با حدس زدن هم کمتر می شود. همچنین باید نام های پیش گزیده محصولات مانند “Linsys” ، “Netgear” یا “Zyxel” را هم عوض کنید. SSID برای ورد به WLAN به کار می رود و دستگاه هنگام حرکت از آن برای پیدا کردن Access Point بعدی استفاده می کند. حداکثر طول SSID ، ۳۲ بایت است و انتقال آن در لایه ۲ و در قالب بسته هایی که پیوسته در فاصله های زمانی مشخص فرستاده می شوند و Beacom Frame نام دارند انجام می گیرد. این روش که SSID Broadcast نام دارد را می توان در Access Pointها از کار انداخت. اما این کارها فقط برای حفاظت در برابر ناظرین گذرا موثر است و اگر کسی با شبکه های بیسیم آشنایی داشته باشد و بتوانند یک تحلیل گر پروتکل به کار ببرد می تواند از طریق داده هایی که به چنگ می آورد به SSID پی ببرد. البته توجه داشته باشید که با اینکار ممکن است برخی ناهماهنگی ها هم روی بدهد. برای نمونه ویندوز XP SP2 نمی تواند به شبکه های بی سیم که SSID در آن ها خاموش است، متصل شود.

 از SSIDهای هدفمند و جدا استفاده کند

در Access Pointهای ساده تنها می توان از یک SSID استفاده کرد در حالیکه در سیستم های حرفه ای تر می توان چند SSID داشت. به این ترتیب می توان Zoneهای بی سیم مجازی ساخت که بسیار سودمند است. اگر بخواهید به کاربری دسترسی استفاده از اینترنت بدهید و او را با Firewall، پادویروس و Content-Filter محافظت و کنترل نمائید می توانید او را به SSID عمومی هدایت کنید و در یک SSID دیگر به کاربران با دسترسی های کنترل شده تر اجازه ورود به شبکه و استفاده از منابع آن را بدهید.

در شبکه های پیچیده تر این SSIDها را در ترکیب با شبکه های مجازی (VLAN) به کار می برند. با این کار داده هایی که از شبکه های بی سیم به شبکه های سیمی می رسند، رمزگذاری می شوند.

 کنترل اعضای شبکه بی سیم با ایزوله کردن IP

ip

ip

IP-Isolation امکانی است که Access Pointها و DSL-Routerهای حرفه ای تر دارند. اصولاً اعضای یک شبکه معمولی با یکدیگر ارتباط دارند و برای نمونه می توانند همدیگر را ping کنند اما این کار دیگر با IP-Isolation ممکن نیست. دلیل این کار آن است که کاربران شبکه های بی سیم نباید هیچ منبعی از کامپیوترها و منابع موجود در شبکه را اشغال کنند. اما اگر می خواهید که کاربران شبکه به منابع شبکه دسترسی داشته باشند می توانید از این کا چشم پوشی کنید.

 WEP، امنیت نامطمئن

wep

wep

رمزگذاری روی داده ها یکی از مهم ترین ویژگی های امنیتی در شبکه های بی سیم است. اگر چه روش های لازم برای این کار از همان نخستین نسل ها در محصولات شبکه های بی سیم وجود داشت اما از همان آغاز کاربران استفاده از روش های ویژه شبکه های بر پایه سیم با نام Wired Equivalent Privacy یا همان WEP را ترجیح می دادند.WEP بر پایه روش رمزگذاری RC4 کار می کند و بسته های داده را بر پایه یک کلید و یک بردار ارزشدهی Initializing Vector یا VI به رمز در می آورد. در اینجا کلید رشته ای به طول ۴۰ یا ۱۰۴ بیت است و باید روی همه دستگاه های شبکه و Access Point تنظیم و معرفی شود. همچنین برای همه شبکه ها و Access Pointها باید یک کلید مشترک هم تعریف شود. به این ترتیب مدیریت کلیدها کمی دشوار می گردد.در رمزگذاری WEP می توان یکی از دوحالت Open یا Shared Key را برای تعیین اعتبار به کار برد. در اصل در حالت Open هیچ تعیین اعتباری انجام نمی گیرد و در Shared Key روش Challenge Response به کار می رود. در این روش Access Point، ۱۲۸ بایت را به صورت اتفاقی ایجاد کرده و آن را به عنوان Challenge و در حالت رمزگذاری نشده به سرویس گیرنده می فرستد. سرویس گیرنده هم آن را رمزگذاری نموده و در قالب Response به Access Point باز پس می فرستد. اگر Acces Point بتواند Response را بدرستی رمزگشایی کند صلاحیت سرویس گیرنده تائید می گردد. نخستین مشکل در این کار آن است که این روند تنها یک طرفه است و سرویس گیرنده نمی تواند اعتبار و صلاحیت Access Point را بسنجد.از این گذشته پیاده سازی بردار ارزشدهی اشکالاتی دارد که نفوذ به جریان رمزگذاری را ممکن می سازد. کارشناسان امنیتی اعلام کرده اند که به دلیل ضعیف بودن پایه علمی IV رخنه به رمزگذاری کاملاً امکان پذیر است. برنامه هایی مانند AirCrack و AirSnort هم نشان داده اند که طول و پیچیدگی کلید هر چه باشد باز هم WEP قابل اطمینان نیست.

 WPA TKIP ادامه روند تکامل

WiFi Protected Access استانداردی است که از سال ۲۰۰۳ عرضه شده و بر پایه IEEE 802.11i کار می کند. پس از آنکه عرضه IEEE 902.11i بیش از موعد مقرر به طول انجامید مجمع WiFi بخشی از آن استاندارد را با نام WPA معرفی کرد. از نگاه کاربران WPA با WEP تفاوت زیادی ندارد چون یک کلید که اکنون طول آن به ۶۳ بایت رسیده و کاربران و Access Point باید آن را بدانند امنیت شبکه بی سیم را فراهم می کند. این شیوه در ترکیب با Pre Shared Key یا PSJ مانند WEP به دلیل دردسرهای مدیریت کلیدها تنها در شبکه های کوچک قابل استفاده است و در شبکه های بزرگتر باید Extensible Authentication Protocol را همراه با RADIUS به کار برد. رمزگذاری روی داده ها معمولاً با TKIP یا Temporal Key Integrity Protocol انجام می گیرد. برای WPA استفاده از TKIP ضروری است و به طور اختیاری می توان AES را هم به کار برد.در TKIP برای هر بسته داده یک کلید تازه ساخته می شود تا دیگر نیازی به کلیدهای ثابت WEP نباشد. این کلیدهای متغیر با استفاده از یک تابع درهم ریزی (Hash) که آن هم بر پایه یک کلید سیمتریک پنهان، بردار ارزشدهی و یک شماره ترتیب بسته کار می کند، ساخته می شوند. کلید سیمتریک هم از روی یک کلید مشترک با نام Pre-Shared Key ساخته می شود که روی همه دستگاه های شبکه تنظیم شده یا اینکه در مرحله تعیین اعتبار IEEE 802.1x به آن ها اعلام می گردد.سیستم عامل ها و راه اندازهای قدیمی تر معمولا بدون ارتقاء یا انجام تنظیمات لازم نمی توانند با WPA کار کنند. برای نمونه ویندوز XP برای اینکه بتواند در حالت سرویس گیرنده WPA کار کند به یک Patch نیاز دارد.از آنجا که WPA به توان پردازش بیشتری نیاز دارد حتی برخی از کارت های شبکه و Access Pointها پس از ارتقاء نرم افزاری باز هم توان سخت افزاری لازم را ندارند و نمی توانند با WPA کار کنند. البته اینگونه مشکلات در محصولات امروزی وجود ندارد. حتی دیده شده که با وجود استفاده از WPA-TKIP بازهم به شبکه ها رخنه کرده اند.خرابکاران برای این کار بیش از هر چیز از روش های بر پایه لغتنامه استفاده می کنند که کیفیت PSK در این میان نقش زیادی دارد. PSK باید تا جای ممکن بلند بوده و ترکیبی از حروف بی معنی بزرگ و کوچک، رقم و کاراکترهای غیر حرفی باشد. از سال ۲۰۰۴ که برنامه های حمله های خودکار به شبکه های بی سیم در دسترس کاربران قرار گرفتند نگرانی درباره نقاط ضعف امنیتی WPA هم آغاز شد. البته اینگونه حمله ها به دلیل پیچیدگی های WPA چندان شایع نیستند.با این وجود باز هم رفتن به سراغ روش جدیدتر یعنی WPA2 توصیه می شود. امروزه محصولات شبکه های بی سیم همگی از دو روش پشتیبانی می کنند. برای استفاده از WPA2 در ویندوز XP نصب Patch مربوطه لازم است در حالیکه ویندوز ۷ کاملاً با آن سازگار است.

 امنیت بیشتر با WPA2 و AES

در سال ۲۰۰۴ روش WPA2 به عنوان نگارش بعدی WPA به بازار آمد. از پائیز سال ۲۰۰۶ هم تعیین اعتبار با شیوه WPA2 به عنوان بخشی از روند تعیین اعتبار Wi-Fi درآمد. WPA2 همه نیازهای ضروری IEEE 802.11i را پوشش داده و حالت AES CCMP را نیز شامل می شود. در WPA2 هم امکان استفاده از یک Pre Shared Key برای شبکه های کوچکتر و استفاده از Radius برای مرکزیت دادن به تعیین اعتبارها وجود دارد. WPA2 برای رمزگذاری شیوه AES یا Advanced Encryption Standard را به کار می برد که امروزه روش کاملاً قابل اطمینانی است و فعلاً شکستن آن در آینده نزدیک هم پیش بینی نمی شود.اگر چه مطابق اصول نظری ریاضی روش هایی برای محاسبه کلید در AES وجود دارد اما انجام این کار سنگین تر از توان پردازش کامپیوترهای کنونی است. Access Pointها و کارت شبکه های قدیمی تر را تقریباً نمی توان برای کار با WPA2 ارتقاء داد و پردازنده آن ها توان کافی برای انجام پردازش های آن را ندارد.استفاده از WPA2 برای کاربران هم بسیار ساده است و تنها کافی است در تنظیمات امنیتی شبکه WPA2 را همراه با “TKIP+AES” را انتخاب کنید و یک کلید مناسب را برای Pre Shared Key انتخاب کنید.

 از دامنه شبکه آگاه باشید

برخی چیزهای کوچک پیامدهای بزرگی به دنبال دارند. اگر پیش از استفاده از یک مسیریاب DSL یا Access Point کمی بیشتر به جنبه های امنیتی آن ها بپردازید می توانید از بسیاری از نفوذها به شبکه جلوگیری کنید. Access Point بسته به قدرت ارسال خود داده ها را به جاهایی می فرستد که شما بی خبرید. دیوارهای بتنی معمولاً مانعی در برابر سیگنال های آن ها نیستند و گاهی حتی اثاثیه اتاق آن ها را تقویت نیز می نامند. اگر با شبکه های بی سیم کار کرده باشید حتما می دانید که معمولاً Access Pointها در جاهایی که نباید هم دیده می شوند و این در حالیست که نباید دامنه شبکه شما به خیابان یا پارک مجاور برود.معمولاً قرار دادن Access Point در مرکز فیزیکی بهترین کار است. البته می توانید بسته به قدرت مورد نیاز برای سیگنال ها جای آن را تغییر بدهید. برای پی بردن به دامنه انتشار سیگنال ها و برد آن ها استفاده از برنامه هایی مانند Netstumbler کمک خوبی است. البته فراموش نکنید اگر کسی قصد خرابکاری داشته باشد با استفاده از آنتن های قوی تر می تواند سیگنال ها را از فاصله دورتری دریافت نماید. به هنگام رسانی را فراموش نکنید و گذرواژه ها را به طور مرتب تغییر دهیدیکی از اولین کارهایی که باید روی یک Access Point تازه انجام بدهید عوض کردن گذرواژه پیش گزیده آن برای تنظیمات است. تقریبا همه سازندگان این محصولات گذرواژه های حرفی یا عددی ساده ای مانند ۱۲۳۴ یا Admin را به کار می برند که در دفترچه های راهنما قید شده. گاهی از نام خود سازنده استفاده می شود. اگر کسی که قصد رخنه در شبکه را دارد به Access Point یا مسیریاب دسترسی داشته باشد در نخستین گام تلاش می کند تا با عوض کردن گذرواژه مدیریتی آن جلوی دسترسی دیگران به دستگاه را بگیرد.روشن است که می توان با reset کردن دستگاه همه تنظیمات آن را از بین برد اما این کار هم طول می کشد و هم زمان لازم است تا متوجه شویم که کس دیگری کنترل دستگاه را به دست گرفته. بنابراین بهتر است پس از نصب و راه اندازی Access Point بی درنگ گذرواژه مدیریتی آن را تغییر بدهید. بیشتر Access Pointها و مسیریاب هایی که از شبکه های بی سیم پشتیبانی می کنند فایل های به هنگام رسانی Firmware برای رفع اشکالات احتمالی و اضافه کردن کارکردهای تازه دارند. بنابراین اتصال به اینترنت و به هنگام رسانی دستگاه را نیز در نظر داشته باشید.

 یک بار شبکه را از کار بیندازید

به دلیل همسویی با جریان Green Ethernet بسیاری از Access Pointها و مسیریاب ها به کلیدهای زمانی و دستی مجهز شده اند تا به کمک آن ها WLAN خاموش شود. به کمک کلید زمانی می توان برای نمونه در آغاز تعطیلات آخر هفته اگر قرار نیست که کسی با شبکه کار کند شبکه بی سیم را از کار می اندازید. این کار هم باعث کاهش مصرف برق می شود و هم فرصت کمتری در اختیار خرابکاران براق نفوذ به شبکه قرار می دهد.

ورود با دعوت

حتی قدیمی ترین سخت افزار شبکه بی سیم هم برای فراهم کردن امنیت از Access Control List پشتیبانی می کنند. در این لیست ها آدرس MAC دستگاه ها وارد شده و پس از این کار تنها همان دستگاه می تواند به Access Point متصل بشود.این روش از آنجا که به صورت دستی کنترل می شود زحمت زیادی دارد و سرپرستان شبکه معمولاً تمایلی به استفاده از آن ندارند. با این همه اگر شمار کامپیوترهای موجود در شبکه بی سیم کم است و کاربران مهمان به این شبکه رفت و آمد نمی کنند استفاده از ACL راه مطمئنی برای جلوگیری از نفوذهای خرابکارانه است. می توانید برای امنیت بیشتر، تخصیص خودکار آدرس های IP با DHCP را هم از کار بیاندازید. البته غیر فعال کردن DHCP تنها در محیط های بسیار صلب که تغییرات شبکه بسیار محدود است شدنی می باشد.

 مسیرهای امن با VPN

VPN

VPN

استفاده از VPN برای اتصال به شبکه بی سیم اقدام بسیار مهمی است. تونل رمزگذاری شده در این مسیر از دستیابی اشخاص خرابکار به شبکه حتی پس از نفوذ به Access Point بخوبی جلوگیری می کند. البته برای ایجاد VPN وجود یک سرویس دهنده VPN ضروری است تا به عنوان Gateway رابط میان LAN و شبکه بی سیم باشد.OpenVPN یکی از نگارش های Open Source و رایگان است. اما معمولاً پیکربندی یک سرویس دهنده VPN کار ساده ای نیست و باید آن را به افراد حرفه ای سپرد.همچنین استفاده از VPN هنگامی سودمند است که از Hotspotهای همگانی زیادی استفاده کنیم و بخواهیم جریان داده ها امن باشد. برای این منظور باید سرویس گیرنده را روی کامپیوتر نصب کرد و پس از برقراری ارتباط با شبکه بی سیم به سرویس دهنده VPN متصل شد. پس از آنکه سرویس گیرنده و سرویس دهنده به یکدیگر متصل شده وعملیات تعیین اعتبار انجام شد ادامه ارتباط در حالت رمزگذاری شده خواهد بود. محصولات زیادی برای راه اندازی VPN ویژه Hotspotها مانند Boingo، AnchorFree یا Shield Hotspot وجود دارد.

 دسترسی پس از تعیین اعتبار با RADIUS

RADIUS یا Remote Authentication Dial-In که با نام ۸۰۲٫۱x نیز شناخته می شود یک سرویس دهنده مرکزی برای تعیین اعتبار است که کاربران در یک شبکه فیزیکی یا مجازی برای تعیین اعتبار به آن مراجعه می کنند. سرویس دهنده RADIUS اعتبار کاربر را از روی نام کاربری و گذرواژه ارزیابی می کند. اطلاعات لازم برای این کار یا در بانک اطلاعاتی خود RADIUS است یا از سرویس های فهرست مانند Active Directory یا eDirectory به دست می آید.RADIUS به طور کل دسترسی به شبکه را چه از روی پورت فیزیکی سوئیچ و چه از روی پورت منطقی Access Point کنترل می نماید. این سیستم مدیریت کاربران را در شبکه های بزرگ بسیار ساده می کند. سرویس گیرنده در ۸۰۲٫۱x، Supplicant نام دارد و دستگاهی که ارتباط با شبکه را ایجاد می کند Authenticator نامیده می شود.عملیات تعیین اعتبار بر پایه Extensible Authentication Protocol EAP انجام می گیرد. برای این کار ارتباط میان Supplicant و Authenticator روی بستر شبکه و با استفاده از پروتکل EAP Over LAN یا EAPOL انجام می گیرد. EAPOL پیغام های EAP را روی لایه ۲ منتقل می کند. به این ترتیب پیش از اینکه در طرح IP و لایه های بالاتر ارتباط برقرار شود عملیات تعیین اعتبار انجام می گردد. RADIUS هم ارتباط میان Authenticator و Authentication Server را برقرار می کند.

logo-samandehi