امنیت در شبکه های وایرلس

امنیت در شبکه های وایرلس
5 (100%) 1 vote

منیت، امنیت، و امنیت بیشتر! و حالا‌ امنیت از نوع بی سیم! اگر از شبکه‌های wireless استفاده می کنید، یا قصد استفاده از آن‌ها را دارید، حتماً هفت راه مهم زیر برای امن‌تر کردن شبکه خود در نظر داشته باشید. 

۱ –  تغییر SSID پیش‌فرض
پیدا کردن یک Access Point با SSID پیش‌فرض کارخانه، کار سختی نیست. کافی است یک لپ‌تاپ، یک آنتن با gain  مناسب و یک برنامه Netstumbler در اختیار داشته باشید. با زدن چرخی در اطراف، به راحتی APهایی را که از نام پیش‌فرض کارخانه استفاده می‌کنند، کشف خواهید کرد. با داشتن SSID هر کسی می تواند به راحتی با AP ارتباط برقرار کند. با این حال اگر SSID را از حالت پیش‌فرض کارخانه به یک شناسه دلخواه و غیرقابل حدس تغییر دهید، دیگر کسی نمی‌تواند با Netstumbler یا فهرستی از SSIDهای معمول بهAPهای شما دسترسی داشته باشد.

یو پی اس

۲ – جست‌وجوی APهای جعلی
APهای جعلی، نقاط دسترسی فریبنده و غیرقابل اعتمادِ شبیه‌سازی شده‌اند. جعل AP مکانیزمی برای فریب‌دادن قربانی‌هاست تا بدون این‌که بدانند، به یک AP شبیه‌سازی شده وصل شوند و از آن استفاده کنند.
راه انداختن یک AP جعلی، کار ساده‌ای است.

با هزینه حدود صد دلا‌ر می‌توان یک AP خرید و با اتصال آن به شبکه سیمی LAN، در شبکه یک backdoor ایجاد نمود. با داشتن یک لپ‌تاپ، لینوکس، (hostap.epitest.fi) و  airsnarf.shmoo.com) Air Snarf) به راحتی می‌توان یک AP جعلی ساخت. مهاجمان AP SSID جعلی را با APهای شما همسان در نظر گرفته و اگر کانال کاری آن‌ها را مطابق Access Pointهای شما انتخاب کنند، سرویس‌گیرندگان  به آن دستگاهی وصل خواهند شد که سیگنال قوی‌تری داشته باشد. پس از اتصال سرویس‌گیرنده‌ها، مهاجم می‌تواند تمام ارتباطات و داده‌ها را زیر نظر گرفته و username و password کاربران را به سرعت سرقت کند.

یوپی اس

برای اجتناب از این خطرات باید به دنبالAP های جعلی بگردید. برای این کار می‌توانید از kismet ،wellenreiter یاAiro Peek و Wireless Sniffer استفاده کنید. البته در اصل اولین نقطه مبارزه شما با مهاجمان و هکرها، ایجاد یک محیط مناسب برای شبکه است. علا‌وه بر بهینه‌سازی مکان APها و تهیه نقشه از شبکه خود، کاربران را با ریسک‌های تهدیدکننده و عواقب خرابکاری در شبکه آشنا کنید.

۳ – غیرفعال کردن SNMP
پروتکل Simple Network Management Protocol) SNMP) در ابزارهای مبتنی بر TCP/IP به وفور مورد استفاده قرار می‌گیرد. اکثر برنامه‌های مدیریت شبکه مثل Microsoft Network Monitor ،HP Openview، و IBM Tiroli Netview باSNMP مرتبطند و توانایی کار با آن را دارند. یک مرورگر SNMP که یک ابزار نظارت و مدیریت پرکاربرد در شبکه است، با استفاده از پایگاه اطلا‌عات سلسله مراتبی مدیریتی MIB، با دستگاه‌ها ارتباط برقرار کرده و داده‌ها را از آن‌ها دریافت می‌کند. برای مثال، snmp walk یک مرورگر ساده SNMP بوده و می‌تواند به اجزای شبکه فرامینی را ارسال کرده یا داده‌ها را از آن‌ها دریافت کند.
تعمیر یو پی اس

پروتکل SNMP خیلی امن نیست و فقط از یک string برای امنیت سطح پایین خود استفاده می‌کند. این رشته کهcommunity string  نامیده می‌شود، چیزی شبیه رمزهای عبور گروهی است ک افراد زیادی می‌توانند از آن مطلع باشند. سه نوع رشته گروهی در SNMP وجود دارد: فقط خواندنی، خواندنی / نوشتنی، و trap؛ که اولی و دومی برای ارسال و دریافت داده‌ها بوده و سومی به ندرت مورد استفاده قرار می‌گیرد.

به هر ترتیب در شبکه‌ جاهای زیادی وجود دارد که مجبورید در آن‌ها از یک دستگاه مبتنی بر SNMP استفاده کنید. رشته‌های فوق که اکثراً در دفترچه راهنمای محصول آورده شده است، در اختیار همه بوده و در این صورت هر فردی می‌تواند با Telnet یا HTTP به دستگاه دسترسی داشته باشد.

به همین علت، توصیه می‌کنیم SNMP را در تجهیزات شبکه خود غیرفعال کنید و اگر هم بر استفاده از آن اصرار دارید، رشته‌های دستگاه‌ها را به رشته‌هایی بلند و غیرقابل حدس تغییر دهید. از گذاشتن نام شرکت تولیدکننده،SSID شبکه و حتی کلیدهای WEP جداً پرهیز کنید. با گذاشتن وقت مناسب یک رشته قوی بسازید. این اولین خط دفاع شماست و اگر مهاجم یکی از اجزای شبکه شما را در اختیار داشته باشد، کل شبکه در اختیار او خواهد بود.
اگر از یک AP ساخت سیسکو استفاده می‌کنید، باید به این نکته توجه کنید که محصولا‌ت سیسکو از Cisco Discorery Protocol) CDP) پشتیبانی می‌کنند. پس CDP یا هر پروتکل ارتباطی مورد استفاده دستگاه را حتماً غیرفعال کنید.

۴ – قطع منبع تغذیه
فرض کنید در فاصله صد متری از AP خود، سیگنال قوی و مناسبی دریافت می‌کنید. در این صورت با استفاده از آنتن‌هایی با gain بالا مثلا‌ً ۱۶‌ یا ۲۰dbe عملا‌ً می‌توانید برد شبکه را تا چند کیلومتر افزایش دهید. این به آن معنی است که هر کس در این فاصله می‌تواند با AP شما ارتباط برقرار نماید و با خیال راحت برای نفوذ به شبکه شما تلا‌ش کند. پس حتماً اگر از شبکه استفاده نمی‌کنید، APها را خاموش کنید.

چون سیگنال‌های رادیویی در همه جا منتشر می‌شوند، اولین کاری که باید انجام دهید آن است که یک سری تنظیمات توان مصرفی را برای AP خود در نظر بگیرید تا به این طریق یک سلول با پوشش رادیویی محدود ایجاد کرده باشید. کاهش توان AP، سیگنال منتشره شده را ضعیف می‌کند و در این صورت ناحیه کوچک‌تری توسط AP شما پوشش داده خواهد شد.

دومین کاری که باید انجام دهید آن است که سیگنال‌های ارسالی را در خارج از محیط خود آزمایش کنید. اگر قدرت سیگنال‌ها زیاد بود، مجبورید کمی آن‌ها را تضعیف کنید. می‌توانید با نصب یک تضعیف کننده کار را به خوبی انجام دهید. پیدا کردن تضعیف‌کننده مناسب در فروشگاه‌های قطعات الکترونیکی کار سختی نیست. راه‌حل‌های خوبی برای این‌کار دارد.

یو پی اس apc

نهایتاً این‌که، باید از تکنیک شکل دادن به سیگنال RF استفاده کنید. برای این‌کار به جای استفاده از آنتن‌های یک جهته،‌باید از آنتن‌های دو جهته یا دو تکه برای جهت‌دهی به موج رادیویی منتشرشده از APها استفاده کنید.

۵ – امن کردن Access Pointها با اتصال به فایروال
شبکه نشان داده شده در شکل ۱ را در نظر بگیرید. در نگاه اول این شبکه یک شبکه خوب با ملا‌حظات امنیتی مناسب به نظر می‌رسد. به نظر شما مشکل این شبکه چیست؟ درست است، AP پشت فایروال قرار گرفته است. این یعنی وجود یک درِ پشتی به شبکه شما.

این مورد مشکل تازه‌ای نیست. در بسیاری از شرکت‌ها کارمندان روی کامپیوترهایشان برنامه‌های مدیریت از راه دوری مثل PcAnywhere نصب می‌کنند تا زمانی که در شرکت نیستند، بتوانند با یک خط تلفن به کامپیوتر خود دسترسی داشته باشند.

بدون توجه به دلیل این‌کار، می‌توان گفت این افراد با ایجاد BackDoor، شبکه را در معرض حمله و نابودی قرار می‌دهند. در اکثر مواقع هم مدیر شبکه از این روزنه‌ها خبر نداشته و با خیال راحت مشغول تنظیم فایروال برای امنیت بیشتر شبکه هستند. غافل از این‌که اوضاع خراب‌تر از آن است که آن‌ها فکر می‌کنند.

با قرار دادن AP پشت فایروال، یک دسترسی میانبر به پشت فایروال و درون شبکه ایجاد خواهید کرد. برای حل مشکل باید شبکه بی‌سیم و شبکه سیمی خود را با روش DMZ از هم جدا کنید. توصیه می‌کنم که به شبکه خود، بین شبکه داخلی (intranet) و شبکه خارجی (internet) یک DMZ یا یک شبکه بی‌سیم غربال‌شده اضافه کنید. در این DMZ می‌توانید سرورauthentication، وب سرور، و سرور DNS خود را قرار دهید. با قرار دادن سرور احراز هویت در این قسمت، می‌توانید ترافیک بین شبکه خارجی و داخلی را تنظیم کنید.
فروش یو پی اس

شکل ۲

در این حالت با داشتن امکانات بی‌سیم، می‌توانید APها را از شبکه سیمی جدا کنید و یک راه‌ قابل اعتماد به داخل شبکه خود داشته باشید.

به این روش، تقسیم‌بندی شبکه می‌گویند و با آن نقاط بی‌سیم شبکه خود را به تکه‌های جدا از هم تقسیم می‌نمایید و اتصال آن‌ها به دیگر اجزا را با سرور authentication محدود خواهید کرد.

ساده‌ترین تقسیم‌بندی شبکه با WDMZ در شکل ۲ نشان داده شده است. توجه کنید که شبکه بی‌سیم پشت سرور احراز هویت قرار گرفته است که به صورت یک پراکسی عمل می‌کند و ساختار داخلی شبکه همچنان مخفی خواهد ماند.

شبکه نشان داده شده در شکل ۲ از شبکه شکل ۱ بهتر است، اما ایده‌آل نیست. در این حالت هم قوانین تعیین‌شده در فایروال نادیده گرفته می‌شوند. به شکل ۳ توجه کنید. WDMZ مستقیماً به فایروال متصل شده است.
یو پی اس

شکل ۳

توجه کنید که در این حالت هم سرویس‌گیرنده‌ها مجبورند در لا‌یه دوم TCP تأیید هویت شوند، اما با فایروال هم می‌توان ترافیک غیرمجاز را بلوکه کرد. فراموش نکنید که در شبکه بی‌سیم از WEP یا EAP استفاده کنید.

فقط یک نکته دیگر را به خاطر داشته باشید. APها را همیشه به سوییچ وصل کنید نه هاب. هاب‌ها مثلAPها اطلا‌عات را به کل شبکه منتشر می‌کنند. لذا هر کسی می‌تواند داده‌های رد و بدل شده را زیر نظر بگیرد. اما سوییچ اطلا‌عات را فقط به مقصد ارسال کرده و دیگر زیر نظر گرفتن کل ترافیک برای دیگران آسان نخواهد بود.

۶ – محدود کردن دسترسی به شبکه سیمی
ما در مورد امنیت شبکه‌های بی‌سیم صحبت می‌کردیم یا بی‌سیم؟ قسمت زیادی از شبکه بی‌سیم را اتصال آن به شبکه سیمی زیرساخت تشکیل می‌دهد. قبلا‌ً در مورد AccessPointهای جعلی صحبت کردیم.

افرادی که در یک قسمت عمومی مثل پارکینگ در شرکت شما به شبکه سیمی دسترسی دارند، به راحتی می‌توانند با یک لپ‌تاپ یک Access Point جعلی بسازند و با Ethereal به دنبال username و passwordهای متنی مبادله شده در شبکه بگردند، با nmap شبکه شما را اسکن کنند و در بهترین حالت با رها کردن آن، به دیگران اجازه استفاده آزاد از آن را بدهند.
یو پی اس
پس دسترسی به شبکه سیمی خود را حتماً کنترل کنید و از این‌که هر کسی نمی‌تواند به راحتی به آن دسترسی داشته باشد، اطمینان حاصل کنید.

۷ – محکم کردن Access Pointها و کلا‌ینت‌ها!
محکم کاریAP ها یک پروسه قدم به قدم برای پیکربندی امنیتی سیستم و محافظت در مقابل دسترسی‌های تأیید نشده است. اکثر تولیدکنندگان،APهای تولیدی خود را طوری عرضه می‌کنند که به آسانی قابل راه‌اندازی و عرضه باشد و برای این‌کار بسیاری از تنظیمات اولیه امنیتی دستگاه را غیرفعال می‌نمایند. با فعال‌سازی و تنظیم‌کردن بسیاری از قابلیت‌های درونی این دستگاه‌ها می‌توان از آن‌ها یک نقطه دسترسی امن و قابل اطمینان ساخت. فهرست زیر راه‌هایی برای محکم کاری AP‌ها! ارائه می‌کند:
●از آخرین فایروال‌های عرضه‌شده توسط تولیدکننده روی دستگاه استفاده کنید.
●‌SNMP را غیرفعال نمایید یا از رشته‌های قوی و بلند استفاده کنید.
●از قوی‌ترین سطح کدگذاری استفاده کنید.
●پروتکل‌ها و قابلیت‌های غیرضروری را غیرفعال کنید.
‌●‌ قابلیت‌های اضافه برای رمزنگاری و احراز هویت مثل EAP را فعال کنید.
●‌AP را در مکان امن و مناسبی قرار دهید تا از دستکاری و سرقت در امان باشد.
‌●‌AP را از عوامل محیطی و طبیعی مثل رعد و برق یا باد شدید محافظت کنید.
‌●‌ به صورت دوره‌ای تلا‌ش برای حملا‌ت هکرها را با برنامه‌هایی که در این زمینه وجود دارند کنترل کنید.
یو پی اس
پس از محکم‌کاری APها نوبت به امن‌سازی کلا‌ینت‌هاست. آخرین نرم‌افزارهای امنیتی، آنتی‌ویروس‌های بروز شده و فایروال‌های شخصی قوی مثل Zone Alarm یا Black ICE را روی آن‌ها نصب کنید.

 

مدیر سایت ۰۶ مرداد ۱۳۹۵ بلاگ بدون دیدگاه

دیدگاه‌ها بسته شده‌اند.

تماس با تکا یو پی اس