10نکته ی امنیتی برای شبکه ی بی سیم Wi-Fi

امنیت شبکه بی سیم
کاربران اینترنت وای فای روز به روز به تعدادشان افزوده می شود، از استفاده عمومی (خانه) گرفته تا کارهای تجاری، بانک ها و … از این رو اگر شما یک رمز عبور قوی برای خود انتخاب نکنید خطر بیرون همیشه در کمین خواهد بود.

 شاید برای شما هم این سوال پیش آمده باشد که چگونه بدانیم که آیا کسی از اینترنت وای فای ما استفاده می کند یا نه؟ شما می توانید با رعایت این نکات ایمنی امنیت دستگاه خود را بیشتر کنید و از نفوذ هکرها جلوگیری کنید.

  

بسیاری از کاربران به امید دستیابی به سرعت بالا و راحتی بیشتر از اینترنت بی سیم (Wireless) استفاده می کنند. همان طور که می دانیم ارتباط بی سیم مزایای خاص خود را دارد و در بین مردم بسیار محبوب می باشد به طوری که امروزه در اکثر مکان ها شاهد این تکنولوژی هستیم. راحتی کار, اتصال سریع, هزینه پایین, سطح پوشش بالا تنها قسمتی از مزیت های ارتباط بی سیم می باشد. اما قضیه در همین جا پایان نمی یابد! اینترنت بدون سیم نیز می تواند مشکلات خطرناکی را از لحاظ امنیتی ایجاد کند. در ادامه نکاتی را برای گام نهادن در بالا بردن امنیت شبکه های بی سیم به شما پیشنهاد خواهیم کرد.
یادآوری:تمامی این تغییرات بایستی در بخش تنظیمات مودم صورت گیرد. برای وارد شدن به بخش تنظیمات مودم باید آدرس IP مودم را در نوار آدرس مرورگر وارد کرد(این آی پی معمولاً در پشت برچسب مودم هست و ههچنین یوزر نیم و پسورد نیز در آنجا درج شده است)

۱– نام کاربری و رمز عبور ( Admin ) خود را تغییر دهید

هسته مرکزی بیشتر شبکه های خانگی بی سیم, به مسیر یاب ها دسترسی دارند. برای تنظیم این قسمت، شرکت سازنده در داخل دستگاه, صفحه تنظیم اطلاعات را قرار داده است که به کاربر اجازه ورود و تغییر داده ها را می دهد. این ابزار توسط صفحه ورودی حمایت می شود و فقط به کاربر اصلی اجازه ورود می دهد. به هر حال هکرهای اینترنتی به راحتی می توانند به این امکانات دسترسی پیدا کنند. پس فورا این تنظیمات را تغییر دهید.

۲ – قابلیت پنهان سازی WPA / WEP را فعال کنید

تکنولوژی بی سیم تلاش می کند پیغام را به گونه ای ارسال کند که به وسیله سایر دستگاه ها قابل خواندن نباشد. امروزه چنین تکنولوژی برای کپسوله سازی وجود دارد. طبیعتا شما خواستار انتخاب بهترین شکل از کپسوله سازی هستید که بتواند با ساده ترین تنظیمات کار کند. پس یرای این کار همه ی ابزار های (wireless) شبکه باید از تنظیمات کپسوله سازی شناخته شده ای استفاده کنند. محبوب ترین آن ها WEP / WPA می باشد که استفاده از آن ها را به شما توصیه می کنیم.

۳ – SSID پیش فرض را تغییر دهید

همه نقاط دستیابی/مسیر یاب ها از نام شبکه ای استفاده می کنند که SSID نام دارد و کارخانه ها معمولا محصولاتشان را با SSID یکسان وارد بازار می کنند. برای مثال SSID همه دستگاه های شرکت LINKSYS, به طور عادی <Linksys> قرار داده شده اند. دانستن SSID به تنهایی موجب ورود دیگران به شبکه شما نمی شود ولی برای شروع نقطه ی خوبی است. مهم تر این است که هکر با دیدن SSID پیش فرض, برای ورود مشتاق تر می شود, چون می داند که شبکه به درستی تنظیم نشده است. پس SSID پیش فرض را تغییر دهید.

۴ – پخش عمومی SSID را خاموش کنید

در شبکه های بی سیم, نقطه دستیابی یا مسیریاب به طور معمول نام شبکه (SSID) را تا فاصله ای مشخص پخش می کند. این خاصیت برای مشترکانی که در حال حرکت بین خارج و داخل این محدوده هستند, طراحی شده است. در منزل به این ویژگی نیازی نیست و این ویژگی, تعداد افرادی که دوست دارند به شبکه شما وارد شوند را افزایش می دهد. خوشبختانه بسیاری از wireless ها اجازه غیرفعال کردن ویژگی پخش عمومی SSID را به مدیر شبکه می دهد.

۵ - از فیلتر Mac Address استفاده کنید

هر قطعه از اجزای wireless, دارای یک شناسه منحصر به فرد است که آدرس فیزیکی یا Mac Address نام دارد. نقاط دستیابی و مسیریابی, Mac Address تمام دستگاه هایی که به آن وصل هستند را در خود دارد. توسط این ویژگی می توان MAC Address دستگاه هایی که می خواهیم به شبکه وصل شوند را وارد مودم کنیم و از پس فقط و فقط این دستگاه ها توانایی برقراری ارتباط را دارند. فقط توجه داشته باشید این ویژگی آنقدر که به نظر می رسد قدرتمند نیست و هکر ها به راحتی می توانند Mac Address ها را جعل کنند.

۶ – اتصال خودکار شبکه های Wi-Fi را باز نکنید

اتصال به شبکه بی سیم باز, مانند شبکه بی سیم رایگان یا مسیریاب همسایه شما، کامپیوترتان را در معرض خطر امنیتی قرار می دهد. هر چند به طور معمول فعال نیست ولی بسیاری از کامپیوتر ها تنظیماتی در دسترس دارند که اجازه می دهد این اتصال بدون اطلاع کاربر اتفاق بیافتد.

۷ - به ابزار ها Static IP اختصاص دهید

بیشتر شبکه های خانگی تمایل به داشتن IP Address های پویا دارند. تکنولوژی DHCP براستی، برای تنظیم کردن راحت است اما متاسفانه این مزیت, ابزاری برای دزدان شبکه می باشد. کسانی که می توانند به راحتی IP Address مجاز را از لیست DHCP شبکه شما بدست آورند. برای حفظ امنیت بیشتر از IP های ثابت استفاده کنید.

۸ – از Firewall استفاده کنید

مسیریاب های مدرن دارای Firewall های داخلی هستند اما گزینه هایی برای غیر فعال کردن آنها نیز موجود است. مطمئن شوید که Firewall مسیریاب شما روشن است. دیوار آتش از ورود غیر مجاز جلوگیری می کند و در صورت صحیح بودن کلیه تنظیمات, می تواند بسیاری از درخواست های آلوده را شناسایی کند.

۹ – مسیریاب یا نقطه دستیابی را در مکانی امن قرار دهید

سیگنال های Wireless معمولا به خارج از خانه می رسند. نشت میزان کمی از سیگنال ها به بیرون مشکلی ندارد اما دسترسی بیشتر به این سیگنال ها کار را برای ردیابی و بهره برداری دیگران آسان می کند. موقعیت مسیریاب/نقطه دسترسی تعیین کننده ی این دسترسی می باشد. در ساده ترین حالت, دستگاه مرکز یک دایره می باشد و داده ها را توسط امواج به صورت دایره ای شکل ارسال می کند. پس بهتر است مودم در قسمت های مرکزی خانه قرار دهیم.

۱۰ – شبکه را در دوره ی طولانی بی استفاده, خاموش کنید

اقدام نهایی برای امنیت wireless ها, خاموش کردن دستگاه در مدت زمانی (طولانی) است که از آن استفاده نمی کنید. برای مثال اگر قصد سفر دارید, بهتر است دستگاه را خاموش کنید تا از نفوذ هکرها جلوگیری نمایید.

پنج اشتباه متداول درباره امنیت شبکه های بیسیم

  ظهور شاخه های جدید فناوری بیسیم، تعداد شرکتهایی که با استفاده از روشهای نامناسب تأمین امنیت، سیستمهای خود را در معرض خطر قرار میدهند، باورکردنی نیست. به نظر میرسد، اغلب شرکتهای دارای LAN بیسیم، به واسطه شناسایی نقاط دسترسی غیرمعتبر که ابزارها را به طور رایگان مورداستفاده قرار میدهند، به دنبال احراز شرایط استاندارد PCI هستند. با هدف آگاهی کاربران از آخرین ضعف های امنیتی (و البته بعضی از شکافهای امنیتی قدیمی) تصمیم گرفتیم، فهرستی از پنج اشتباه متداول را در تأمین امنیت شبکه های بیسیم در این مقاله ارائه کنیم. شناسایی این اشتباهها حاصل تجربه های شخصی در جریان آزمون و ایمن سازی شبکه های مشتریان است.
  1.دیواره آتش= تأمین امنیت کامل در برابر ورود غیرمجاز به شبکه

اغلب سازمانها، شبکه های بیسیم را به عنوان بخش مکملی برای شبکه سیمی خود راه اندازی میکنند. اتصال بیسیم، یک رسانه فیزیکی است و برای تأمین امنیت آن نمی توان تنها به وجود یک دیوار آتش تکیه کرد. کاملاً واضح است که نقاط دسترسی غیرمجاز، به واسطه ایجاد راه های ورود مخفی به شبکه و مشکل بودن تعیین موقعیت فیزیکی آنها، نوعی تهدید علیه شبکه به شمار میروند. علاوه براین نقاط دسترسی، باید نگران لپتاپهای بیسیم متصل به شبکه سیمی خود نیز باشید. یافتن لپتاپهای متصل به شبکه سیمی که یک کارت شبکه بیسیم فعال دارند، اقدامی متداول برای ورود به شبکه محسوب میشود. در اغلب موارد این لپتاپها توسط SSID شبکه هایی را که قبلاً مورد دسترسی قرار دادهاند، جست وجو میکنند و در صورت یافتن آنها صرفنظر از این که اتصال به شبکه قانونی یا مضر باشد یا شبکه بیسیم در همسایگی شبکه فعلی قرار داشته باشد، به طور خودکار به آن وصل میشوند. به محض اینکه لپتاپ به یک شبکه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسکن و یافتن نقاط ضعف ممکن است کنترل آن را به دست گرفته و به عنوان میزبانی برای اجرای حمله ها به کار گیرند. در این شرایط علاوه بر افشای اطلاعات مهم لپتاپ، مهاجم میتواند از آن به عنوان نقطه شروعی برای حمله به شبکه سیمی استفاده کند. مهاجم درصورت انجام چنین اقداماتی، به طور کامل از دیواره آتش شبکه عبور میکند.
ما امنیت شبکه های معتبر و غیرمعتبر را ارزیابی کرده ایم و به این نتیجه رسیدیم که اغلب سازمانها دیواره آتش شبکه را به گونهای تنظیم میکنند که از آنها در برابر حمله های مبتنی بر اینترنت محافظت میکند، اما امنیت شبکه در مقابل خروج از شبکه (Extrusion) و خروج غیرمجاز اطلاعات (leakage) تأمین نمیشود. اصولاً زمانی که درباره خروج غیرمجاز اطلاعات صحبت میکنیم، منظورمان خروج اطلاعات از شبکه است.
بسیاری از سازمانها تنظیمات دیواره آتش را برای کنترل ترافیک اطلاعات خروجی به درستی انجام نمیدهند. در نتیجه این سهل انگاری معمولاً اطلاعات محرمانه سازمان به خارج منتقل میشود. به عنوان مثال، یکی از متداولترین مواردی که هنگام انجام آزمونهای امنیتی با آن مواجه شدیم، خروج اطلاعات شبکه سیمی از طریق نقاط دسترسی بیسیم بود. در این آزمونها با استفاده از یک نرم افزار ردیاب (Sniffer) بیسیم توانستیم حجم زیادی از ترافیک اطلاعات خروجی ناخواسته را شناسایی کنیم. این اطلاعات شامل دادههای مربوط به STP (سرنام IGRP ،(Speaning TreeProtocol سایر سرویس های شبکه و حتی در مواردی اطلاعات مربوط به NetBIOS بودند.

چنین نقطه ضعفی شبکه را به یک اسباب سرگرمی برای مهاجم تبدیل میکند. در حقیقت، نفوذ به چنین شبکهای حتی نیازمند یک اسکن فعال یا حمله واقعی نیست. بهواسطه ردیابی جریان اطلاعاتی یک شبکه بیسیم علاوه بر شناسایی توپولوژی بخش سیمی آن میتوان اطلاعات مربوط به تجهیزات حیاتی شبکه و حتی گاهی اطلاعات مربوط به حسابهای کاربری را بهدست آورد.

2.دیواره آتش= تأمین امنیت کامل در برابر ورود غیرمجاز به شبکه

این تصور اشتباه، بسیار گیج کننده است. چگونه میتوان بدون اسکن شبکه از نبود تجهیزات بیسیم در آن مطمئن شد؟! در محلهایی که شبکه های LAN بیسیم راه اندازی نشده اند، علاوه بر نقاط دسترسی غیرمجاز، میتوان از شبکه های Ad-Hoc، دسترسی تصادفی لپتاپها و ایجاد پلهای ارتباطی با شبکه، به عنوان تهدیدات بالقوه برای امنیت شبکه نام برد. دسترسی تصادفی لپتاپهای بیسیم یک خطر امنیتی برای صاحبان این لپتاپها محسوب میشود. اگر شرکت مجاور شما از یک نقطه دسترسی بیسیم یا یک شبکه Ad-Hoc استفاده میکند، احتمال اتصال تصادفی لپتاپهای بیسیم عضو شبکه شما به این شبکه های بیسیم زیاد است. این اتصال نوعی خروج از شبکه است. مهاجمان نحوه بهره برداری از این شرایط را به خوبی میدانند و در نتیجه میتوانند از یک نقطه دسترسی نرم افزاری یا Soft AP (نرم افزاری که از روی یک لپتاپ اجرا میشود) برای ارسال شناسه های SSID موجود روی لپتاپ به یک کامپیوتر خارج از شبکه و حتی ارسال آدرس IP لپتاپ برای کامپیوتر خارجی استفاده کنند. چنان که گفته شد، این نقطه ضعف امکان کنترل لپتاپ و حمله به شبکه سیمی را برای مهاجمان فراهم میکند. به علاوه، مهاجمان میتوانند از طریق لپتاپ، حمله های MITM (سرنام Man In The Middle) یا سرقت هویت را به اجرا درآورند.

3.اسکن دستی= شناسایی تمام نقاط دسترسی غیرمجاز

در این مورد، تلاش مدیران شبکه برای اتخاذ یک رویکرد پیشگیرانه به منظور شناسایی نقاط دسترسی غیرمجاز در شبکه قابل تقدیر است. اما متأسفانه ابزارهایی که در اختیار این افراد قرار دارد، کارایی لازم را برای شناسایی نقاط دسترسی غیرمجاز ندارد. به عنوان مثال، بسیاری از مدیران شبکه از ابزارهای مدیریتی اسکن نقاط ضعف شبکه های سیمی به منظور شناسایی نقاط دسترسی غیرمجاز متصل به شبکه استفاده میکنند. تجربهکاری نگارنده با ابزارهای اسکن نقاط ضعف از هر دو نوع اپن سورس و تجاری، بیانگر این است که اغلب مدیران شبکه با تعداد انگشت شماری نقطه دسترسی مواجه میشوند که توسط سیستم عامل شناسایی شده است و هنگامی که شبکه را اسکن میکنند، این تجهیزات در قالب یک سیستم مبتنی بر لینوکس همراه یک وب سرور شناسایی میشوند. هنگام اسکن شبکه های Class C و بزرگتر، دستگاههای غیرمجاز بین سایر تجهیزات شبکه پنهان شده و نتایج حاصل از اسکن شبکه برای شناسایی نقاط دسترسی غیرمجاز حقیقی نیست.
کارکرد ابزارهای اسکن بیسیم مانند NetStumbler و Kismet بسیار خوب است، اما زمانی که نوبت به شناسایی نقاط دسترسی غیرمجاز میرسد، این ابزارها از کارایی لازم برخوردار نیستند. به عنوان نمونه این ابزارها نمیتوانند مشخص کنند که نقاط دسترسی شناسایی شده واقعاً به شبکه شما متصل هستند یا خیر. علاوه براین، در تعیین موقعیت تقریبی دستگاه بیسیم مشکوک نیز دچار مشکل میشوند. اگر شرکت شما در یک ساختمان چندطبقه یا یک برج قراردارد، باید امواج دریافتی آنتن های بزرگ و دستگاههای منتشرکننده سیگنال را نیز به این مشکلات بیافزایید. در چنین شرایطی یک مدیر شبکه با مهارت متوسط در ردگیری و شناسایی تجهیزات بیسیم شبکه با مشکلات بزرگی روبه رو خواهد شد.

4.به روزرسانی تمام نقاط دسترسی به منظور حذف پروتکل WEP= تأمین امنیت کامل شبکه

پروتکل WEP سالیان دراز مورد حمله مهاجمان قرار گرفته است. علاوه براین، براساس اعلان PCI پروتکل WEP باید تا ماه ژوئن سال 2010 به طور کامل کنار گذاشته شود. بعضی از شرکتها نیز به سراغ روشهای توانمندتر کدگذاری و اعتبارسنجی رفته اند.
برای جایگزینی این پروتکل، چندگزینه مختلف وجود دارد. متأسفانه بعضی از این گزینه ها نیز دارای نقاط ضعف هستند. بهعنوان مثال، نسخه PSK (سرنامPre-Shared Key) از پروتکل WPA به دلیل نیاز به انتشار اطلاعات موردنیاز برای ساخت و تأیید کلید رمزگشایی اطلاعات، در مقابل نوعی حمله Offline که روی واژه نامه آن انجام میشود، آسیب پذیر است. برای اجرای این حمله ها چندین ابزار مختلف شامل coWPAtty و aircrack-ng وجود دارد. اغلب حمله ها شامل گردآوری تعداد زیادی از بسته های اطلاعاتی و استفاده از ابزار درمقابل سیستم دریافت بسته های اطلاعاتی است. بسته نرم افزاری Backtrack 3 تمام ابزارهای لازم را برای اجرای این نوع حمله ها فراهم میکند. در نوامبر سال 2008 به منظور اثبات این ضعف، پروتکل TKIP هک شد.

در این حمله صرفنظر از به کارگیری سیستم اعتبار سنجی PSK یا 802.1x مهاجمان توانستند به تمام نسخه های پروتکل TKIP شامل WPA و WPA2 نفوذ کنند. با وجود این،کلیدهای TKIP شناسایی نشدند و در نتیجه محتوای تمام قابهای کدشده افشا نشد. یک حمله میتواند در هر دقیقه یک بایت از داده های یک بسته اطلاعاتی رمزنگاری شده را افشا کرده و به ازای هر بسته کدگشایی شده تا پانزده قاب رمزنگاری شده را به سیستم تحمیل میکند. چنین سیستمی، یک گزینه مناسب برای آلودگی ARP محسوب میشود. درک این نکته ضروری است که آن دسته از شبکه های WPA و WPA2 که الگوریتمهای کدگذاری AES-CCMP پیچیده تر را مورد استفاده قرار میدهند، در برابر حمله ها مقاومتر هستند و استفاده از چنین الگوریتمهایی به عنوان بهترین رویکرد تدافعی پیشنهاد میشود.

اگر هیچ گزینه دیگری به غیر از راه اندازی یک سیستم WPA-PSK پیش رو ندارید، از یک کلمه عبور بسیار مطمئن که حداقل هشت کاراکتر دارد، استفاده کنید. کلمه عبور پیچیدهای که از شش کاراکتر تشکیل شده باشد، به طور متوسط ظرف سیزده روز کشف میشود.

  5.استفاده از نرم افزار کلاینت VPN = محافظت از کارمندان سیار

با وجود این که استفاده از برنامه کلاینت VPN همراه یک دیواره آتش نخستین گام برای حفاظت از کارمندان سیار به شمار می رود، تعداد بسیاری از نقاط ضعف چنین ارتباطی بدون محافظت باقی می ماند. کاربرانی که در حال مسافرت هستند، به ناچار در هتل ها، کافی شاپ ها و فرودگاه ها از شبکه های وای فای استفاده می کنند.

ابزارهایی مانند Hotspotter که در بسته نرم افزاری BackTrack در اختیار همگان قرار می گیرند، برای مهاجم امکان ایجاد یک ناحیه خطرناک را فراهم می کنند که اغلب توسط شبکه به عنوان یک ناحیه خطرناک مجاز شناخته می شود. این فرآیند شامل ایجاد یک نقطه دسترسی جعلی با استفاده از یک شناسه SSID متداول و همچنین صفحات وب شبیه به یک ناحیه خطرناک واقعی است. سپس مهاجم منتظر اتصال کاربران بی اطلاع، به نقطه دسترسی جعلی شده و با استفاده از پروتکل DHCP برای آن ها یک آدرس IP و یک صفحه وب ایجاد می کند. به این ترتیب، کاربر فریب خورده و به منظور ورود به ناحیه خطرناک اعتبارنامه خود را در اختیار مهاجم قرار می دهد. در بعضی موارد مهاجم حتی دسترسی کاربران به اینترنت را امکان پذیر کرده و به این ترتیب برای اجرای حمله های MITM و سرقت سایر اطلاعات مهم کاربران مانند شناسه و کلمه عبور و شماره حساب بانکی آن ها اقدام می کند.

حفاظت از کارمندان سیار به ویژه در برابر این نوع حمله ها، اقدامی چالش برانگیز بوده و علاوه بر استفاده از نرم افزار کلاینت VPN و دیواره آتش نیازمند تمهیدات امنیتی دیگری است. البته، هیچ یک از این اقدامات به طور کامل از کاربر محافظت نمی کند، اما خطرات امنیتی را کاهش می دهند. مدیران شبکه های مبتنی بر ویندوز با استفاده از گزینه Access point (infrastructure) networks only می توانند از اتصال کاربران به شبکه های Ad-Hoc جلوگیری می کنند.
بسیاری از ابزارهای مهاجمان که برای شبیه سازی عملکرد نقاط دسترسی به کارگرفته می شوند، در حقیقت، شبکه های Ad-Hock را شبیه سازی می کنند. غیرفعال کردن گزینه مذکور در سیستم عامل ویندوز می تواند از کاربران در برابر چنین حمله هایی محافظت کند. به علاوه، غیرفعال کردن گزینه ( Any Available Network (Access Point Preferred نیز از بروز چنین حملاتی جلوگیری می کند. سرانجام، با غیرفعال کردن گزینه AutomaticallyConnect to Non-Preferred networks نیز می توان از اتصال تصادفی کاربران به شبکه های Ad-Hock جلوگیری کرد.
برگرفته از شرکت پاکمن