امنیت در شبکه های وایرلس
امنیت در شبکه های وایرلس منیت، امنیت، و امنیت بیشتر! و حالا امنیت از نوع بی سیم! اگر از شبکههای wireless استفاده می کنید، یا قصد استفاده از آنها را دارید، حتماً هفت راه مهم زیر برای امنتر کردن شبکه خود در نظر داشته باشید.
۱ – تغییر SSID پیشفرض
پیدا کردن یک Access Point با SSID پیشفرض کارخانه، کار سختی نیست. کافی است یک لپتاپ، یک آنتن با gain مناسب و یک برنامه Netstumbler در اختیار داشته باشید. با زدن چرخی در اطراف، به راحتی APهایی را که از نام پیشفرض کارخانه استفاده میکنند، کشف خواهید کرد. با داشتن SSID هر کسی می تواند به راحتی با AP ارتباط برقرار کند. با این حال اگر SSID را از حالت پیشفرض کارخانه به یک شناسه دلخواه و غیرقابل حدس تغییر دهید، دیگر کسی نمیتواند با Netstumbler یا فهرستی از SSIDهای معمول بهAPهای شما دسترسی داشته باشد.
APهای جعلی، نقاط دسترسی فریبنده و غیرقابل اعتمادِ شبیهسازی شدهاند. جعل AP مکانیزمی برای فریبدادن قربانیهاست تا بدون اینکه بدانند، به یک AP شبیهسازی شده وصل شوند و از آن استفاده کنند.امنیت در شبکه های وایرلس
راه انداختن یک AP جعلی، کار سادهای است.با هزینه حدود صد دلار میتوان یک AP خرید و با اتصال آن به شبکه سیمی LAN، در شبکه یک backdoor ایجاد نمود. با داشتن یک لپتاپ، لینوکس، (hostap.epitest.fi) و airsnarf.shmoo.com) Air Snarf) به راحتی میتوان یک AP جعلی ساخت. مهاجمان AP SSID جعلی را با APهای شما همسان در نظر گرفته و اگر کانال کاری آنها را مطابق Access Pointهای شما انتخاب کنند، سرویسگیرندگان به آن دستگاهی وصل خواهند شد که سیگنال قویتری داشته باشد. پس از اتصال سرویسگیرندهها، مهاجم میتواند تمام ارتباطات و دادهها را زیر نظر گرفته و username و password کاربران را به سرعت سرقت کند.
برای اجتناب از این خطرات باید به دنبالAP های جعلی بگردید. برای این کار میتوانید از kismet ،wellenreiter یاAiro Peek و Wireless Sniffer استفاده کنید. البته در اصل اولین نقطه مبارزه شما با مهاجمان و هکرها، ایجاد یک محیط مناسب برای شبکه است. علاوه بر بهینهسازی مکان APها و تهیه نقشه از شبکه خود، کاربران را با ریسکهای تهدیدکننده و عواقب خرابکاری در شبکه آشنا کنید.
پروتکل Simple Network Management Protocol) SNMP) در ابزارهای مبتنی بر TCP/IP به وفور مورد استفاده قرار میگیرد. اکثر برنامههای مدیریت شبکه مثل Microsoft Network Monitor ،HP Openview، و IBM Tiroli Netview باSNMP مرتبطند و توانایی کار با آن را دارند. یک مرورگر SNMP که یک ابزار نظارت و مدیریت پرکاربرد در شبکه است، با استفاده از پایگاه اطلاعات سلسله مراتبی مدیریتی MIB، با دستگاهها ارتباط برقرار کرده و دادهها را از آنها دریافت میکند. برای مثال، snmp walk یک مرورگر ساده SNMP بوده و میتواند به اجزای شبکه فرامینی را ارسال کرده یا دادهها را از آنها دریافت کند.امنیت در شبکه های وایرلس
پروتکل SNMP خیلی امن نیست و فقط از یک string برای امنیت سطح پایین خود استفاده میکند. این رشته کهcommunity string نامیده میشود، چیزی شبیه رمزهای عبور گروهی است ک افراد زیادی میتوانند از آن مطلع باشند. سه نوع رشته گروهی در SNMP وجود دارد: فقط خواندنی، خواندنی / نوشتنی، و trap؛ که اولی و دومی برای ارسال و دریافت دادهها بوده و سومی به ندرت مورد استفاده قرار میگیرد.
به هر ترتیب در شبکه جاهای زیادی وجود دارد که مجبورید در آنها از یک دستگاه مبتنی بر SNMP استفاده کنید. رشتههای فوق که اکثراً در دفترچه راهنمای محصول آورده شده است، در اختیار همه بوده و در این صورت هر فردی میتواند با Telnet یا HTTP به دستگاه دسترسی داشته باشد.
به همین علت، توصیه میکنیم SNMP را در تجهیزات شبکه خود غیرفعال کنید و اگر هم بر استفاده از آن اصرار دارید، رشتههای دستگاهها را به رشتههایی بلند و غیرقابل حدس تغییر دهید. از گذاشتن نام شرکت تولیدکننده،SSID شبکه و حتی کلیدهای WEP جداً پرهیز کنید. با گذاشتن وقت مناسب یک رشته قوی بسازید. این اولین خط دفاع شماست و اگر مهاجم یکی از اجزای شبکه شما را در اختیار داشته باشد، کل شبکه در اختیار او خواهد بود.امنیت در شبکه های وایرلس
اگر از یک AP ساخت سیسکو استفاده میکنید، باید به این نکته توجه کنید که محصولات سیسکو از Cisco Discorery Protocol) CDP) پشتیبانی میکنند. پس CDP یا هر پروتکل ارتباطی مورد استفاده دستگاه را حتماً غیرفعال کنید.
۴ – قطع منبع تغذیه
فرض کنید در فاصله صد متری از AP خود، سیگنال قوی و مناسبی دریافت میکنید. در این صورت با استفاده از آنتنهایی با gain بالا مثلاً ۱۶ یا ۲۰dbe عملاً میتوانید برد شبکه را تا چند کیلومتر افزایش دهید. این به آن معنی است که هر کس در این فاصله میتواند با AP شما ارتباط برقرار نماید و با خیال راحت برای نفوذ به شبکه شما تلاش کند. پس حتماً اگر از شبکه استفاده نمیکنید، APها را خاموش کنید.
چون سیگنالهای رادیویی در همه جا منتشر میشوند، اولین کاری که باید انجام دهید آن است که یک سری تنظیمات توان مصرفی را برای AP خود در نظر بگیرید تا به این طریق یک سلول با پوشش رادیویی محدود ایجاد کرده باشید. کاهش توان AP، سیگنال منتشره شده را ضعیف میکند و در این صورت ناحیه کوچکتری توسط AP شما پوشش داده خواهد شد.
دومین کاری که باید انجام دهید آن است که سیگنالهای ارسالی را در خارج از محیط خود آزمایش کنید. اگر قدرت سیگنالها زیاد بود، مجبورید کمی آنها را تضعیف کنید. میتوانید با نصب یک تضعیف کننده کار را به خوبی انجام دهید. پیدا کردن تضعیفکننده مناسب در فروشگاههای قطعات الکترونیکی کار سختی نیست. راهحلهای خوبی برای اینکار دارد.
نهایتاً اینکه، باید از تکنیک شکل دادن به سیگنال RF استفاده کنید. برای اینکار به جای استفاده از آنتنهای یک جهته،باید از آنتنهای دو جهته یا دو تکه برای جهتدهی به موج رادیویی منتشرشده از APها استفاده کنید.
۵ – امن کردن Access Pointها با اتصال به فایروال
شبکه نشان داده شده در شکل ۱ را در نظر بگیرید. در نگاه اول این شبکه یک شبکه خوب با ملاحظات امنیتی مناسب به نظر میرسد. به نظر شما مشکل این شبکه چیست؟ درست است، AP پشت فایروال قرار گرفته است. این یعنی وجود یک درِ پشتی به شبکه شما.
این مورد مشکل تازهای نیست. در بسیاری از شرکتها کارمندان روی کامپیوترهایشان برنامههای مدیریت از راه دوری مثل PcAnywhere نصب میکنند تا زمانی که در شرکت نیستند، بتوانند با یک خط تلفن به کامپیوتر خود دسترسی داشته باشند.
بدون توجه به دلیل اینکار، میتوان گفت این افراد با ایجاد BackDoor، شبکه را در معرض حمله و نابودی قرار میدهند. در اکثر مواقع هم مدیر شبکه از این روزنهها خبر نداشته و با خیال راحت مشغول تنظیم فایروال برای امنیت بیشتر شبکه هستند. غافل از اینکه اوضاع خرابتر از آن است که آنها فکر میکنند.
با قرار دادن AP پشت فایروال، یک دسترسی میانبر به پشت فایروال و درون شبکه ایجاد خواهید کرد. برای حل مشکل باید شبکه بیسیم و شبکه سیمی خود را با روش DMZ از هم جدا کنید. توصیه میکنم که به شبکه خود، بین شبکه داخلی (intranet) و شبکه خارجی (internet) یک DMZ یا یک شبکه بیسیم غربالشده اضافه کنید. در این DMZ میتوانید سرورauthentication، وب سرور، و سرور DNS خود را قرار دهید. با قرار دادن سرور احراز هویت در این قسمت، میتوانید ترافیک بین شبکه خارجی و داخلی را تنظیم کنید.
فروش یو پی اس
شکل ۲ |
در این حالت با داشتن امکانات بیسیم، میتوانید APها را از شبکه سیمی جدا کنید و یک راه قابل اعتماد به داخل شبکه خود داشته باشید.
به این روش، تقسیمبندی شبکه میگویند و با آن نقاط بیسیم شبکه خود را به تکههای جدا از هم تقسیم مینمایید و اتصال آنها به دیگر اجزا را با سرور authentication محدود خواهید کرد.
سادهترین تقسیمبندی شبکه با WDMZ در شکل ۲ نشان داده شده است. توجه کنید که شبکه بیسیم پشت سرور احراز هویت قرار گرفته است که به صورت یک پراکسی عمل میکند و ساختار داخلی شبکه همچنان مخفی خواهد ماند.
شبکه نشان داده شده در شکل ۲ از شبکه شکل ۱ بهتر است، اما ایدهآل نیست. در این حالت هم قوانین تعیینشده در فایروال نادیده گرفته میشوند. به شکل ۳ توجه کنید. WDMZ مستقیماً به فایروال متصل شده است.
یو پی اس
شکل ۳ |
توجه کنید که در این حالت هم سرویسگیرندهها مجبورند در لایه دوم TCP تأیید هویت شوند، اما با فایروال هم میتوان ترافیک غیرمجاز را بلوکه کرد. فراموش نکنید که در شبکه بیسیم از WEP یا EAP استفاده کنید.
فقط یک نکته دیگر را به خاطر داشته باشید. APها را همیشه به سوییچ وصل کنید نه هاب. هابها مثلAPها اطلاعات را به کل شبکه منتشر میکنند. لذا هر کسی میتواند دادههای رد و بدل شده را زیر نظر بگیرد. اما سوییچ اطلاعات را فقط به مقصد ارسال کرده و دیگر زیر نظر گرفتن کل ترافیک برای دیگران آسان نخواهد بود.
ما در مورد امنیت شبکههای بیسیم صحبت میکردیم یا بیسیم؟ قسمت زیادی از شبکه بیسیم را اتصال آن به شبکه سیمی زیرساخت تشکیل میدهد. قبلاً در مورد AccessPointهای جعلی صحبت کردیم.افرادی که در یک قسمت عمومی مثل پارکینگ در شرکت شما به شبکه سیمی دسترسی دارند، به راحتی میتوانند با یک لپتاپ یک Access Point جعلی بسازند و با Ethereal به دنبال username و passwordهای متنی مبادله شده در شبکه بگردند، با nmap شبکه شما را اسکن کنند و در بهترین حالت با رها کردن آن، به دیگران اجازه استفاده آزاد از آن را بدهند.
یو پی اس
پس دسترسی به شبکه سیمی خود را حتماً کنترل کنید و از اینکه هر کسی نمیتواند به راحتی به آن دسترسی داشته باشد، اطمینان حاصل کنید.
محکم کاریAP ها یک پروسه قدم به قدم برای پیکربندی امنیتی سیستم و محافظت در مقابل دسترسیهای تأیید نشده است. اکثر تولیدکنندگان،APهای تولیدی خود را طوری عرضه میکنند که به آسانی قابل راهاندازی و عرضه باشد و برای اینکار بسیاری از تنظیمات اولیه امنیتی دستگاه را غیرفعال مینمایند. با فعالسازی و تنظیمکردن بسیاری از قابلیتهای درونی این دستگاهها میتوان از آنها یک نقطه دسترسی امن و قابل اطمینان ساخت. فهرست زیر راههایی برای محکم کاری APها! ارائه میکند:
● قابلیتهای اضافه برای رمزنگاری و احراز هویت مثل EAP را فعال کنید.
●AP را در مکان امن و مناسبی قرار دهید تا از دستکاری و سرقت در امان باشد.
●AP را از عوامل محیطی و طبیعی مثل رعد و برق یا باد شدید محافظت کنید.
● به صورت دورهای تلاش برای حملات هکرها را با برنامههایی که در این زمینه وجود دارند کنترل کنید.
یو پی اس
پس از محکمکاری APها نوبت به امنسازی کلاینتهاست. آخرین نرمافزارهای امنیتی، آنتیویروسهای بروز شده و فایروالهای شخصی قوی مثل Zone Alarm یا Black ICE را روی آنها نصب کنید.