بايدها و نبايدهای امنيت Wi-Fi – قسمت دوم

IRCAR201111121
تاريخ: 30/8/90

Wi-Fi بسيار مستعد هك شدن و استراق سمع است، ولي در صورتي كه شما از معيارهاي امنيتي صحيح استفاده كنيد، اين تكنولوژي نيز مي­تواند امن باشد. در اين مقاله، قسمت دوم از برخي بايدها و نبايدهاي امنيت Wi-Fi ارائه خواهند شد.

• NAP يا NAC را به كار بگيريد.
  علاوه بر 802.11i و يك WIPS، شما بايد از يك راه حل محافظ دسترسي به شبكه (NAP) يا كنترل دسترسي به شبكه (NAC) استفاده كنيد. استفاده از اينها مي­تواند كنترل بيشتري بر روي دسترسي شبكه، مبتني بر هويت كلاينت و منطبق با سياست­هاي تعريف شده ايجاد نمايد. اينها همچنين مي­توانند شامل عملكردهايي براي ايزوله كردن كلاينت­هاي مشكل دار و حل مشكل براي بازگرداندن كلاينت­ها باشند.
  برخي راه حل­هاي NAC نيز ممكن است شامل جلوگيري از نفوذ به شبكه و تشخيص نفوذ به شبكه باشند، ولي بايد اطمينان حاصل كنيد كه محافظت­هاي بي­سيم را نيز ارائه مي­دهند يا خير.
  اگر شما ويندوز سرور 2008 يا نسخه هاي پس از آن را اجرا مي­كنيد و ويندوز ويستا يا نسخه هاي پس از آن را براي كلاينت­ها به كار مي­گيريد، مي­توانيد از عملكرد NAP مايكروسافت استفاده كنيد. در غير اينصورت، مي­توانيد از راه حل­هاي متفرقه مانند PacketFence كه متن باز است استفاده نماييد.
• به SSID هاي پنهان اعتماد نكنيد.
  يك اشتباه در مورد شبكه هاي بي­سيم اين است كه تصور مي­شود كه غيرفعال كردن انتشار SSID در access point ها، شبكه شما را پنهان ساخته يا حداقل SSID را پنهان مي­سازد و به اين وسيله، كار هكرها سخت­تر مي­گردد. اما به هر حال، اين كار فقط SSID را از ديد access point حذف خواهد كرد و هنوز هم SSID در درخواست اتصال 802.11 وجود دارد. در موارد خاص، SSID در بسته هاي درخواست probe و بسته هاي پاسخ آن نيز وجود دارد. بنابراين يك استراق سمع كننده مي­تواند يك SSID پنهان را به خصوص بر روي يك شبكه شلوغ به سرعت كشف نمايد.
  ممكن است برخي ادعا كنند كه غيرفعال كردن انتشار SSID همچنان يك لايه ديگر از امنيت ايجاد مي­كند، ولي به خاطر داشته باشيد كه اين كار مي­تواند يك تاثير منفي نيز بر روي پيكربندي و كارآيي شبكه داشته باشد. شما بايد به طور دستي SSID را به كلاينت­ها وارد كنيد كه اين كار، پيكربندي كلاينت را پيچيده تر مي­كند. اين كار همچنين افزايشي در بسته هاي درخواست و پاسخ probe ايجاد خواهد كرد كه پهناي باند در دسترس را كاهش خواهد داد.
• به فيلتر آدرس MAC اعتماد نكنيد.
  يك اشتباه ديگر در مورد امنيت بي­سيم اين است كه تصور مي­شود كه فعال كردن فيلتر آدرس MAC، يك لايه ديگر از امنيت به شبكه اضافه مي­نمايد، و اين مساله كه كدام كلاينت­ها مي­توانند به شبكه متصل شوند، تحت كنترل قرار خواهد گرفت. اين تصور تا حدي صحيح است، اما به خاطر داشته باشيد كه كنترل شبكه در مورد آدرس­هاي MAC مجاز و سپس تغيير آدرس­هاي MAC براي شنود كنندگان، كار بسيار ساده اي است.
  شما نبايد با پياده سازي فيلتر MAC تصور كنيد كه كار زيادي براي امنيت شبكه خود انجام داده ايد، ولي ممكن است اين كار راهي براي اعمال يك كنترل ضعيف بر روي اينكه كاربران كدام كامپيوترها و دستگاه­ها بر روي شبكه آمده اند، ايجاد نمايد. البته اين نكته را نيز به خاطر بسپاريد كه به روز نگه داشتن ليست MAC ممكن است بسيار سخت باشد.
• SSID هايي را كه كاربران مي­توانند متصل شوند، محدود كنيد.
  بسياري از مديران شبكه يك ريسك امنيتي ساده اما بالقلوه خطرناك را مورد چشم پوشي قرار مي­دهند: كاربراني كه به طور شناخته شده يا ناشناس به يك شبكه بي­سيم همسايه يا غير مجاز متصل مي­شوند، كامپيوتر خود را در برابر نفوذ احتمالي باز مي­گذارند. به هر حال فيلتر كردن SSID ها يك راه براي جلوگيري از اين نفوذ است. براي مثال در ويندوز ويستا و نسخه هاي پس از آن، شما مي­توانيد از دستورات netsh wlan براي افزودن فيلتر به SSID هايي كه كاربران مي­توانند مشاهده كرده و به آن متصل شوند، استفاده كنيد. براي دستگاه­هاي دسكتاپ، شما مي­توانيد تمامي SSID ها به جز SSID هاي شبكه بیسیم خود را رد نماييد. در مورد لپ تاپ­ها، شما مي­توانيد فقط SSID هاي شبكه هاي همسايه را رد كنيد، اما به آنها اجازه دهيد كه براي مثال به شبكه خانه خود متصل گردند.
• اجزاي شبكه را به طور فيزيكي امن نماييد.
  به خاطر بسپاريد كه امنيت كامپيوتر فقط به جديدترين تكنولوژي­هاي و رمزنگاري­ها ختم نمي­شود. امن كردن اجزاي شبكه به صورت فيزيكي مي­تواند به همان اندازه مهم باشد. اطمينان حاصل كنيد كه access point ها در مكاني خارج از دسترس يا يك موقعيت امن قرار دارند. اگر اين اجزا به لحاظ فيزيكي امن نگردند، ديگران مي­توانند به سادگي به آن دسترسي پيدا كرده و تنظيمات آن را به تنظيمات پيش فرض كارخانه اي بازگردانند تا دسترسي به آن باز شود.
• در مورد محافظت از كلاينت­هاي موبايل فراموش نكنيد.
  تصور شما در مورد امنيت Wi-Fi نبايد به شبكه خودتان محدود گردد. ممكن است كاربران تلفن­هاي هوشمند، لپ تاپ­ها و كامپيوترهاي لوحي در محل كار امن باشند، اما در هنگام اتصال به شبكه بي­سيم منزل خود چطور؟ شما بايد سعي كنيد اطمينان حاصل كنيد كه ساير اتصالات Wi-Fi آنها نيز امن است تا بتوانيد از نفوذ و شنود جلوگيري نماييد.
  متاسفانه اين كار ساده نيست و نيازمند تركيبي از راه حل­ها به همراه آموزش كاربران در مورد ريسك­هاي امنيت Wi-Fi و معيارهاي جلوگيري است.
  اولا، تمامي لپ تاپ­ها و نوت بوك­ها بايد يك فايروال شخصي (مانند فايروال ويندوز) فعال داشته باشند تا از نفوذ جلوگيري كند. شما در صورت اجراي يك سرور ويندوز مي­توانيد اين كار را از طريق سياست گروهي انجام دهيد، يا اينكه از يك راه حل ديگر براي مديريت كامپيوترهاي غير دامنه استفاده كنيد.
  ثانيا، شما نياز داريد اطمينان حاصل كنيد كه ترافيك اينترنتي كاربران زماني كه بر روي يك شبكه ديگر هستند، در برابر شنود كنندگان محلي، از طريق ارائه دسترسي VPN به شبكه شما، رمزگذاري مي­شود.
  شما همچنين بايد اطمينان حاصل كنيد كه هريك از سرويس­هايي كه در معرض اينترنت قرار دارند امن سازي شده اند. براي مثال در صورتي كه سرويس ايميل خارج از LAN، WAN يا VPN خود ارائه مي­دهيد، اطمينان حاصل كنيد كه از رمزنگاري SSL براي جلوگيري از برداشت اطلاعات ورود يا پيغام­هاي كاربر توسط هر نفوذگر محلي در شبكه غير مطمئن استفاده مي­كنيد.