تاریخ ایجاد
IRCAR201111120
تاريخ: 30/8/90
Wi-Fi بسيار مستعد هك شدن و استراق سمع است، ولي در صورتي كه شما از معيارهاي امنيتي صحيح استفاده كنيد، اين تكنولوژي نيز ميتواند امن باشد. در اين مقاله قسمت اول از برخي بايدها و نبايدهاي امنيت Wi-Fi ارائه خواهند شد.
- از WEP استفاده نكنيد.
WEP (Wired Equivalent Privacy) يك الگوريتم امنيتي بسيار ضعيف براي شبكه هاي بيسيم 802.11 است و مدت زيادي است كه از رده خارج شده است. رمزنگاري زيرين اين الگوريتم امنيتي، به سرعت و به سادگي توسط اغلب هكرهاي بي تجربه قابل شكستن است. بنابراين شما به هيچ عنوان نبايد از WEP استفاده كنيد. اما اگر اين كار را انجام ميدهيد، بلافاصله به WPA2 (Wi-Fi Protected Access) با احراز هويت 802.1X ارتقاء دهيد. اگر كلاينتها يا access point هاي قديمي داريد كه WPA2 را پشتيباني نميكنند، از ارتقاهاي سفت افزاري استفاده كرده يا به سادگي، تجهيزات خود را تغيير دهيد. - از WPA/WPA2-PSK استفاده نكنيد.
مود كليد از پيش به اشتراك گذاشته شده (PSK) در امنيت WPA و WPA2 براي محيطهاي تجاري يا شركتي امن نيست. زماني كه از اين مود استفاده ميكنيد، كليد از پيش به اشتراك گذاشته يكساني بايد به هر كلاينت وارد گردد. بنابراين PSK بايد هربار كه كارمندي شركت را ترك ميكند و هر زمان كه يك كلاينت گم شده يا به سرقت ميرود، تغيير نمايد كه اين كار، براي اغلب محيطها انجام پذير نيست. - 802.11i را پياده سازي نماييد.
مود EAP (پروتكل احراز هويت قابل توسعه) در امنيت WPA و WPA2، از احراز هويت 802.1X به جاي PSK ها استفاده ميكند. اين كار اين قابليت را فراهم مي آورد تا هر كاربر يا هر كلاينت، اطلاعات اعتباري ورود مخصوص به خود را دارا باشد. يعني هر كاربر و هر كلاينت داراي نامهاي كاربري و كلمات عبور و/ يا يك امضاي ديجيتالي مخصوص به خود هستند.
كليدهاي رمزنگاري واقعي، به طور منظم تغيير داده ميشوند و بدون سر و صدا در پس زمينه جابجا ميگردند. بنابراين براي تغيير يا ابطال دسترسي كاربر، تمام كاري كه بايد انجام دهيد اين است كه اطلاعات اعتباري ورود را بر روي يك سرور مركزي تغيير دهيد و ديگر لازم نيست PSK را بر روي هر كلاينت دستكاري نماييد. كليدهاي يكتا به ازاي هر نشست نيز كاربران را از شنود و استراق سمع بر روي ترافيك يكديگر باز ميدارد. اكنون ابزارهاي ساده و مختلفي براي اين كار در محيطهاي مختلف وجود دارد كه ديگران ميتوانند با استفاده از آنها، به جاي يك كاربر وارد شوند و يا ترافيك وي را شنود نمايند.
در خاطر داشته باشيد كه براي داشتن بهترين امنيت ممكن، بايد از WPA2 با 802.1X كه با عنوان 802.11i نيز شناخته ميشود، استفاده كنيد.
براي فعال كردن احراز هويت 802.1X، نياز به اين داريد كه يك سرور RADIUS/AAA داشته باشيد. اگر شما ويندوز سرور 2008 يا نسخه هاي پس از آن را اجرا ميكنيد، از سرور سياست شبكه (NPS)، يا سرويس احراز هويت اينترنت (IAS) در نسخه هاي سرور قديميتر استفاده كنيد. اگر يك سرور ويندوز را اجرا نميكنيد، از سرور متن باز FreeRADIUS استفاده نماييد.
شما ميتوانيد در صورت اجراي ويندوز سرور 2008 يا نسخه هاي پس از آن، تنظيمات 802.1X را از طريق سياست گروهي (Group Policy) به كلاينتهاي متصل به دامنه اعمال نماييد. در غير اينصورت، ميتوانيد يك راه حل متفرقه براي پيكربندي كلاينتها به كار گيريد. - تنظيمات كلاينت 802.1X را امن كنيد.
مود EAP در WPA/WPA2 هنوز در برابر حملات man-in-the-middle آسيب پذير است. به هر حال شما ميتوانيد با امن كردن تنظيمات EAP مربوط به هر كلاينت، به جلوگيري از اين حملات كمك نماييد. براي مثال، در تنظيمات EAP براي ويندوز، شما ميتوانيد اعتبارسنجي گواهي سرور را فعال كنيد. اين كار را ميتوانيد با انتخاب گواهي CA، مشخص كردن آدرس سرور، و غيرفعال ساختن هشدارهاي آن در مورد اعتماد كاربر به سرورهاي جديد يا گواهيهاي CA جديد انجام دهيد.
شما همچنين ميتوانيد اين تنظيمات 802.1X را از طريق سياست گروهي (Group Policy) به كلاينتهاي متصل به دامنه نيز اعمال كرده يا اينكه از يك راه حل متفرقه استفاده نماييد. - از يك سيستم جلوگيري از نفوذ بيسيم استفاده كنيد.
در مورد امنيت Wi-Fi هميشه اينطور نيست كه فقط با كساني كه به طور مستقيم سعي ميكنند به شبكه دسترسي پيدا كنند، درگير شويد. براي مثال، هكرها ميتوانند access point هاي جعلي را تنظيم نمايند يا اينكه حملات انكار سرويس انجام دهند. براي كمك به تشخيص و مقابله با اين حملات، شما بايد يك سيستم جلوگيري از نفوذ بيسيم (WIPS) پياده سازي نماييد. طراحي و روشهاي كار WIPS ها در ميان توليد كنندگان مختلف، متفاوت است، ولي معمولا آنها امواج را مورد نظارت قرار ميدهند، به شما هشدار ميدهند و احتمالا access point هاي جعلي يا فعاليتهاي خرابكارانه را متوقف ميسازند.
توليد كنندگان تجاري زيادي هستند كه راه حلهاي WIPS را ارائه ميدهند. همچنين گزينه هاي متن بازي مانند Snort نيز وجود دارند.
در قسمت بعد، ساير بايدها و نبايدهاي امنيت Wi-Fi را مطالعه خواهيد كرد.
- 9