امنيت شبكه بي سيم Wifi

امنيت شبكه بي سيم Wifi

امنيت شبكه بي سيم Wifi

امنيت شبكه بي سيم Wifi

مقدمه:امنيت شبكه بي سيم Wifi

در طي چند سال گذشته يك پيام واضح و روشن وجود داشت ايجاد امنيت براي تكنولوژي wifi

در عين سودمندي بسيار آن كار ساده اي نيست در اكثر نقاط دسترسي بي سيم سيتم امنيتي

به طور پيش فرض غير فعال است و حتي سيستم ايمني موجود در آن ها نيز مناسب و كافي

نيست (wired equivalent privacy)wep اولين كوشش براي ايمن كردن wifi مكرا نقاط ضعف

زيادي را به نمايش گذاشته است .ابزار بسيلر زيادي براي حمله به wifi وجود دارد كه اين ابزار

فقط در عرض چند دقيقه مي توانند كليد به كار رفته براي محافظت از شبكه را دور بزنند و از كار

بيندازند.

حتي نسل بعدي تكنيك هاي ايمني هنوز هم مشكلات متعددي دارند جديدترين مشخصات

ايمني بي سيم يعني 802.11 امكان انجام انواع روش هاي تاييد اعتبار شبكه شامل كلمه هاي

عبور ساده و ساير مكانيزم هاي تائيد اعتبار ضعيف را كه پشت سر گذاشتن آنها بسيار ساده است

فراهم مي كند. با رواج بيشتر استفاده از اينترنت بي‌سيم، کاهش قيمت آن و افزايش سهولت

دسترسي به آن طبعاً مشکلات امنيتي آن نيز افزايش مي‌يابد. از جمله مشکلات امنيتي در زمينة

WiFi مي‌توان به موارد زير اشاره کرد:

 امنيت شبكه بي سيم:امنيت شبكه بي سيم Wifi

Rouge Access Point Problem:امنيت شبكه بي سيم Wifi

اين مشکل يکي از مهم‌ترين نگراني‌هاي امنيتي در زمينة استفاده از شبکه‌هاي WiFi به

حساب مي‌آيد. Rouge Access Point به هر نقطة دسترسي(Access Point ) WiFi اطلاق

مي‌شود که بدون اجازة شما به شبکه وصل شده است و از امکانات آن از جمله پهناي باند

اينترنت استفاده مي‌کند.اين معزل علاوه بر اتصال غير مجاز به شبکه و استفاده از پهناي باند

 آن ساير مشکلات امنيتي مانند hacking را نيز سبب شود.

  1. دستگاه‌هاي ناامن WiFi: از جمله Access Pointها و دستگاه‌هاي مورد استفادة کاربران ممکن است موجب مشکلات جدي در اين زمينه گردد. و اين مورد معمولاً بيش از همه مورد توجه هکرهاست.
  2. تنظيمات ناصحيح دستگاه‌هاي بي‌سيم و عدم تغيير در تنظيمات پيش‌فرض آن‌ها امکانات متنوع نفوذگران

امنيت شبكه بي سيم Wifi

استاندارد 802.11 سرویس‌های مجزا و مشخصی را برای تأمین یک محیط امن بی‌سیم در

اختیار قرار می‌دهد.  این سرویس‌ها اغلب توسط پروتکل WEP ) Wired Equivalent Privacy )

تأمین می‌گردند و  وظیفه‌ی آن‌ها امن‌سازی ارتباط میان مخدوم‌ها و نقاط دسترسی بی‌سیم

است. درک لایه‌یی که این پروتکل به امن‌سازی آن می‌پردازد اهمیت ویژه‌یی دارد، به عبارت

دیگر این پروتکل کل ارتباط را امن نکرده و به لایه‌های دیگر، غیر از لایه‌ی ارتباطی بی‌سیم که

مبتنی بر استاندارد 802.11 است، کاری ندارد. این بدان معنی است که استفاده از WEP در

یک شبکه‌ی بی‌سیم به‌معنی استفاده از قابلیت درونی استاندارد شبکه‌های محلی بی‌سیم

است و ضامن امنیت کل ارتباط نیست زیرا امکان قصور از دیگر اصول امنیتی در سطوح بالاتر

ارتباطی وجود دارد.

 با به كار گيري تائيد اعتبار دو طرفه مبتني بر مجوز با رمزگذاري مبتني بر AES شبكه هاي wifi

 مدرن مي توانند حتي براي مهاجمان حرفه اي نيز يك مانع قابل توجه محسوب شوند .با بعضي

از wap  كاربران مي توانند عدم پخش SSIDرا انتخاب كنند.SSID سر واژه عبارت زير است:

service set identifier SSID ورود نفوذ گران به شبكه را دشوارتر مي سازد.

شبکه‌های Wi-Fi دارای امکانات امنیتی بسیار قدرتمند می‌باشند که  از دسترسی غیر مجاز به این

شبکه‌ها جلوگیری می‌کند. از جمله این استانداردها می‌توان به

  1. IEEE 802.1x
  2. WEP – Wired Equivalent Privacy
  3. WPA – Wi-Fi Protected Access
  4. TKIP – Temporal Key Integrity Protocol

امنيت شبكه بي سيم Wifi

 اشاره کرد. علاوه بر استانداردهای یاد شده در Access Point  هایی که دارای نرم افزارهای

کارآمد می‌باشند، امکان فیلتر کردن MAC Address  وجود دارد، در این صورت فقط MAC Address

های تعریف شده در نرم افزار AP امکان بهره برداری از سرویس AP را دارا می‌باشند.

Hotspot   هاي واي فاي مي توانند آشكار و باز باشند يا محفوظ باشند .اگر آنها آشكار باشند

هر كسي با يك كارت واي فاي مي تواند به hotspot  دسترسي داشته باشد اما اگر محفوظ

باشد لازم است كاربر رمز wep  را براي اتصال بداند .  WEP يك سيستم رمزگذاري داده ها است

كه11/802 از طريق هوا ارسال مي كند .WEP  دو نوع دارد : رمز گذلري 64 بيتي و رمز گذاري 128 بيتي .

رمزگذلري 128 بيتي امن تر است و افراد بيشتر ازان استفاده مي كنند غير قابل دسترس است

مگر اينكه كد WEP  را بداند.

اگر شما يك hotspot  در منزل خود نصب كنيد با ايجاد و استفاده از يك كد wep  مي توانيد از استراق

سمع تصادفي شبكه تان توسط همسايگان خود جلوگيري كنيد .چه در خانه و چه در بيرون شما بايد

كد wep  را بدانيد سپس ان را در نرم افزار كارت واي فتي وارد كنيد تا بتوانيد به شبكه دسترسي داشته باشيد.

با به كارگيري نكات زير مي توان يك امنيت شبكه بي سيم را تا حد قابل قبولي بهبود بخشيد.

لازم به ذكر است كه اين نكات لازم است ولي كافي نيست.

كلمه عبور پيش‌فرض مدير سيستم(administrator) را روي نقاط دسترسي و مسيرياب‌هاي

بي‌سيم تغيير دهيد.

اغلب نقاط دسترسي ( Access Point )و مسيرياب‌هاي بي‌سيم امكان مديريت شبكه WiFi

  را از طريق يك حساب كاربري مديريتي فراهم مي‌كنند. اين حساب كاربري امكان دسترسي

ابزار و پيكربندي آن را با نام كاربري و كلمه عبور فراهم مي‌كند. اغلب توليدكنندگان نام كاربري

و كلمه عبور را در كارخانه تنظيم مي‌كنند . نام كاربري معمول     admin يا administrator  و

كلمه عبور يا خالي است يا كلماتي مثل admin ،public ، password و …. مي‌باشد.

اولين گام براي افزايش امنيت شبكه بي‌سيم تغيير كلمه عبور پيش‌فرض نقاط دسترسي و

مسيرياب‌هاي بي‌سيم بلافاصله پس از نصب است. اغلب ابزارها اجازه تغيير نام كاربري را

نمي‌دهند اما اگر ابزارهاي شما اين امكان را مي‌دهند، اكيدا توصيه مي‌شود كه نام كاربري

را هم تغيير دهيد.

براي امن نگه‌داشتن شبكه در آينده، مي‌بايست به‌طور منظم اين كلمه عبور را تغيير دهيد.

اغلب كارشناسان توصيه مي‌كنند كلمه عبور را بعد از 30 تا 90 روز تغيير دهيد.

 

 

فعال‌سازي قابليت WPA/WEP:

WPA (WiFi Protected Access) يك استاندارد امنيتي براي شبكه‌هاي بي‌سيم است

(با Windows XP Product Activation اشتباه نشود). براي استفاده از WPA با Windows XP

بايد Clientهاي داراي Windows XP را به صورت دستي patch كنيد و هم‌چنين مطمئن شويد

كارت شبكه‌ها و نقاط دسترسي به درستي پيكربندي شده‌اند.

براي پيكربندي WPA در شبكه با clientهاي داراي ويندوز XP مراحل زير را انجام دهيد:

  1. نوشتار Overview of the WPA wireless security update in Windows XP را مطالعه كنيد.
  2. بررسي كنيد كه تمام Client ها حداقل Service Pack1 داشته باشند.
  3. روي هر Client بررسي كنيد كه كارت شبكه با سرويس WZC)Windows Zero Configuration) سازگار باشد.
  4. براي هر client وصله Windows XP Support Patch for Wi-Fi Protected Access را بارگزاري و نصب كنيد.
  5. تغييرات لازم براي نقاط دسترسي بي‌سيم از گام 1 را اعمال كنيد.
  6. تغييرات لازم براي كارت شبكه‌هاي بي‌سيم از گام 1 را اعمال كنيد.

 

تغيير SSID پيش فرض:

نقاط دسترسي و مسيرياب‌هاي بي‌سيم داراي يك نام شبكه SSID(Service Set Identifier)

هستند كه توسط توليدكنندگان به‌طور پيش‌فرض انتخاب مي‌شود. SSID از ايزارهاي پيكربندي

بر مبناي وب يا ويندوز اين سازندگان قابل دسترسي است. اغلب SSIDهاي پيش فرض كلمات

ساده‌اي مثل wireless، netgear، linksys، default و … هستند. هرچند نفوذگر صرفا با دانستن

SSID قادر به نفوذ به شبكه شما نيست ولي اين مساله به عنوان يك نقطه شروع خوب براي

نفوذگر به حساب مي آيد. زماني كه كسي شبكه اي با SSID پيش فرض بيابد، با دانستن اين

نكته كه به احتمال فراوان اين شبكه به درستي پيكربندي نشده است، ترغيب به نفوذ به شبكه

مي‌شود.

WiFi

SSID مي تواند هر زماني تغيير كند به شرطي كه اين تغيير در تمام clientها نيز اعمال شود.

براي افزايش امنيت شبكه هاي بي سيم، نام پيش فرض SSID را تغيير دهيد. در انتخاب SSID

توصيه هاي زير را در نظر داشته باشيد:

  1. از نام، آدرس، تاريخ تولد، شماره تلفن يا ديگر اطلاعات شخصي تان به عنوان بخشي
  2. از SSID استفاده نكنيد.
  3. از كلمات عبور نام كاربري ويندوزتان يا emailتان يا … استفاد نكنيد.
  4. با استفاده از عباراتي مثل “TOP_SECRET”، “FUNNY_BOX” و … نفوذگران را وسوسه نكنيد.!!!
  5. از تركيب حروف و اعداد استفاده كنيد.
  6. عباراتي با طول حداكثر يا نزديك به حداكثر انتخاب كنيد.
  7. هرچند ماه يك بار SSIDتان را تغيير دهيد.

قابليت پالايش آدرس MAC را روي نقاط دسترسي و مسيرياب‌هاي بي‌سيم فعال كنيد.

اغلب نقاط دسترسي و مسيرياب هاي بي سيم داراي قابليتي به نام پالايش آدرس

MAC (MAC Address Filtering) هستند. اين مشخصه اغلب به‌طور پيش فرض فعال

نيست. براي افزايش امنيت شبكه بي سيم تان اين قابليت را فعال كنيد. در صورتي

كه اين قابليت فعال نباشد، هر clientاي با دانستن SSID شبكه شما (در نظر داشته

باشيد كه فهميدن SSID كار بسيار ساده اي است) شايد چند پارامتر امنيتي ديگر

مثل كليد رمزگذاري (در صورتي كه قابليت WEP فعال باشد) مي تواند به شبكه شما

وصل شود.

WiFi

براي تنظيم قابليت پالايش آدرس MAC شما به عنوان مدير شبكه بي سيم بايد ليست

clientهايي كه مجازند به شبكه وصل شوند را پيكربندي كنيد. ابتدا آدرس MAC هر client

را از طريق سيستم عامل يا ابزارهاي پيكربندي به دست آوريد و سپس آن ها را در صفحه

پيكربندي نقاط دسترسي و مسيرياب هاي بي سيم وارد كنيد و نهايتا قابليت پالايش را فعال

كنيد. از اين پس هر درخواست اتصال به شبكه بي سيم كه برسد آدرس MAC آن با ليست

تنظيم شده بررسي شده و در صورتي كه در ليست نباشد اجازه اتصال به شبكه را نمي يابد.

البته بايد نوجه داشت كه نفوذگران با جعل آدرس MAC (MAC Spoofing) قادرند به شبكه

بي سيم شما وصل شوند ولي اين مساله نبايد باعث شود كه شما از خير اين قابليت بگذريد.

 قابليت همه‌پخشي SSID را روي نقاط دسترسي و مسيرياب‌هاي بي‌سيم غيرفعال كنيد.

اغلب نقاط دسترسي و مسيرياب هاي بي سيم به‌طور خودكار SSID خوشان را در فواصل

زماني مشخص پخش مي كنند. اين مشخصه براي اين است كه clientها بتواندد به‌طور پويا

شبكه هاي بي سيم را تشخيص دهند و بين آن ها جابه‌جا شوند (از شبكه اي به شبكه

ديگر نقل مكان كنند). لازم به ذكر است كه اين مشخصه براي hotspotهاي تجاري و سيار

طراحي شده است كه clientهاي زيادي مي آيند و مي روند ولي براي شبكه هاي خانگي

لازم نيست. از آن جايي كه SSID به صورت واضح پخش مي شود و هيچ رمزگذاري روي آن

صورت نمي گيرد، به دست آوردن آن توسط نفوذگران كار راحتي است. همان‌طور كه در گام

3 اشاره شد نفوذگر با دانستن SSID يك مرحله به هدف نزديك تر مي شود.

WiFi

در يك شبكه بي سيم بحث roaming (جابه‌جايي بين دو شبكه بي سيم) مطرح نيست

و پخش كردن SSID هيچ ضرورتي ندارد. براي افزايش امنيت شبكه بي سيم بايد اين قابليت

را غيرفعال كنيد. يك بار كه client شما با SSID درست پيكربندي شد ديگر نيازي به پيغام هاي

همه‌پخشي نيست.

دقت داشته باشيد كه غيرفعال كردن قابليت همه‌پخشي SSID فقط يكي از تكنيك‌هاي

محكم‌سازي و افزايش امنيت شبكه‌هاي بي سيم است. اين روش 100 درصد موثر نيست

و نفوذگرها هنوز مي توانند با sniff كردن پيغام هاي مختلف پخش شده در پروتكل WiFi، SSID

را تشخيص دهند. در واقع تكنيك هايي مثل غيرفعال كردن همه‌پخشي SSID باعث مي شد

كه شبكه بي سيم شما هدف راحتي براي نفوذگران نباشد.

اگر هم اکنون دارای یک شبکه بی سیم میباشید ممکن است این مسئله را در نظر

بگیرید که آیا شبکه تان ایمن است یا خیر؟ چهار مورد وجود دارند که شما می توانید

انجام دهید که اطمینان حاصل نمایید که شبکه تان امن می باشد.

Secure Home WiFi header 300x177 - امنيت شبكه بي سيم Wifi

WiFi

1-  اطمینان حاصل نمایید که نقطه یا نقاط دسترسی SSID تان (شناسایی تنظیم کننده خدمات)

را پخش نمی نماید (که بطور اساسی یک شناسایی کننده برای شبکه شما می باشد.

2- اطمینان حاصل نمایید که نقطه یا نقاط دسترسی تان ترافیک بی سیم را با بکارگیری WEP رمز

سازی می نماید.

3-  یک سیستم “شناسایی بدون اجازه وارد شدن افراد غیر مجاز به شبکه بی سیم تان” را خریداری

نمایید. تعداد زیادی از این محصولات که آماده و قابل دسترس میباشند، طراحی شده اند که بشما کمک

نمایند که امنیت شبکهء WiFi تان و همینطور اینکه چه افرادی از آن استفاده می نمایند را دیده بانی نمایید.

4- اگر نیاز به امنیت خیلی بالا دارید، می توانید یا اطمینان حاصل نمایید که افرادیکه با شبکه شما کار

می نمایند بطور مناسب و کارآیی آموزش دیده و یا از یک مشاور بی سیم استفاده نمایید. شما نیاز

خواهید داشت که نقاط دسترسی غیر استاندارد و اختصاصی از شرکت هایی مثل سیسکو (Cisco)

خریداری نمایید (اگرچه حتی بعضی استانداردهای اختصاصی از شرکت هایی مثل (Cisco) مشکل

خودشان را دارند). متاسفانه این بطور قابل ملاحظه ای هزینه شبکه بی سیم شما را افزایش خواهد داد.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

8 × 1 =