تاریخ ایجاد
IRCAR201111121
تاريخ: 30/8/90
Wi-Fi بسيار مستعد هك شدن و استراق سمع است، ولي در صورتي كه شما از معيارهاي امنيتي صحيح استفاده كنيد، اين تكنولوژي نيز ميتواند امن باشد. در اين مقاله، قسمت دوم از برخي بايدها و نبايدهاي امنيت Wi-Fi ارائه خواهند شد.
- NAP يا NAC را به كار بگيريد.
علاوه بر 802.11i و يك WIPS، شما بايد از يك راه حل محافظ دسترسي به شبكه (NAP) يا كنترل دسترسي به شبكه (NAC) استفاده كنيد. استفاده از اينها ميتواند كنترل بيشتري بر روي دسترسي شبكه، مبتني بر هويت كلاينت و منطبق با سياستهاي تعريف شده ايجاد نمايد. اينها همچنين ميتوانند شامل عملكردهايي براي ايزوله كردن كلاينتهاي مشكل دار و حل مشكل براي بازگرداندن كلاينتها باشند.
برخي راه حلهاي NAC نيز ممكن است شامل جلوگيري از نفوذ به شبكه و تشخيص نفوذ به شبكه باشند، ولي بايد اطمينان حاصل كنيد كه محافظتهاي بيسيم را نيز ارائه ميدهند يا خير.
اگر شما ويندوز سرور 2008 يا نسخه هاي پس از آن را اجرا ميكنيد و ويندوز ويستا يا نسخه هاي پس از آن را براي كلاينتها به كار ميگيريد، ميتوانيد از عملكرد NAP مايكروسافت استفاده كنيد. در غير اينصورت، ميتوانيد از راه حلهاي متفرقه مانند PacketFence كه متن باز است استفاده نماييد. - به SSID هاي پنهان اعتماد نكنيد.
يك اشتباه در مورد شبكه هاي بيسيم اين است كه تصور ميشود كه غيرفعال كردن انتشار SSID در access point ها، شبكه شما را پنهان ساخته يا حداقل SSID را پنهان ميسازد و به اين وسيله، كار هكرها سختتر ميگردد. اما به هر حال، اين كار فقط SSID را از ديد access point حذف خواهد كرد و هنوز هم SSID در درخواست اتصال 802.11 وجود دارد. در موارد خاص، SSID در بسته هاي درخواست probe و بسته هاي پاسخ آن نيز وجود دارد. بنابراين يك استراق سمع كننده ميتواند يك SSID پنهان را به خصوص بر روي يك شبكه شلوغ به سرعت كشف نمايد.
ممكن است برخي ادعا كنند كه غيرفعال كردن انتشار SSID همچنان يك لايه ديگر از امنيت ايجاد ميكند، ولي به خاطر داشته باشيد كه اين كار ميتواند يك تاثير منفي نيز بر روي پيكربندي و كارآيي شبكه داشته باشد. شما بايد به طور دستي SSID را به كلاينتها وارد كنيد كه اين كار، پيكربندي كلاينت را پيچيده تر ميكند. اين كار همچنين افزايشي در بسته هاي درخواست و پاسخ probe ايجاد خواهد كرد كه پهناي باند در دسترس را كاهش خواهد داد. - به فيلتر آدرس MAC اعتماد نكنيد.
يك اشتباه ديگر در مورد امنيت بيسيم اين است كه تصور ميشود كه فعال كردن فيلتر آدرس MAC، يك لايه ديگر از امنيت به شبكه اضافه مينمايد، و اين مساله كه كدام كلاينتها ميتوانند به شبكه متصل شوند، تحت كنترل قرار خواهد گرفت. اين تصور تا حدي صحيح است، اما به خاطر داشته باشيد كه كنترل شبكه در مورد آدرسهاي MAC مجاز و سپس تغيير آدرسهاي MAC براي شنود كنندگان، كار بسيار ساده اي است.
شما نبايد با پياده سازي فيلتر MAC تصور كنيد كه كار زيادي براي امنيت شبكه خود انجام داده ايد، ولي ممكن است اين كار راهي براي اعمال يك كنترل ضعيف بر روي اينكه كاربران كدام كامپيوترها و دستگاهها بر روي شبكه آمده اند، ايجاد نمايد. البته اين نكته را نيز به خاطر بسپاريد كه به روز نگه داشتن ليست MAC ممكن است بسيار سخت باشد. - SSID هايي را كه كاربران ميتوانند متصل شوند، محدود كنيد.
بسياري از مديران شبكه يك ريسك امنيتي ساده اما بالقلوه خطرناك را مورد چشم پوشي قرار ميدهند: كاربراني كه به طور شناخته شده يا ناشناس به يك شبكه بيسيم همسايه يا غير مجاز متصل ميشوند، كامپيوتر خود را در برابر نفوذ احتمالي باز ميگذارند. به هر حال فيلتر كردن SSID ها يك راه براي جلوگيري از اين نفوذ است. براي مثال در ويندوز ويستا و نسخه هاي پس از آن، شما ميتوانيد از دستورات netsh wlan براي افزودن فيلتر به SSID هايي كه كاربران ميتوانند مشاهده كرده و به آن متصل شوند، استفاده كنيد. براي دستگاههاي دسكتاپ، شما ميتوانيد تمامي SSID ها به جز SSID هاي شبكه بیسیم خود را رد نماييد. در مورد لپ تاپها، شما ميتوانيد فقط SSID هاي شبكه هاي همسايه را رد كنيد، اما به آنها اجازه دهيد كه براي مثال به شبكه خانه خود متصل گردند. - اجزاي شبكه را به طور فيزيكي امن نماييد.
به خاطر بسپاريد كه امنيت كامپيوتر فقط به جديدترين تكنولوژيهاي و رمزنگاريها ختم نميشود. امن كردن اجزاي شبكه به صورت فيزيكي ميتواند به همان اندازه مهم باشد. اطمينان حاصل كنيد كه access point ها در مكاني خارج از دسترس يا يك موقعيت امن قرار دارند. اگر اين اجزا به لحاظ فيزيكي امن نگردند، ديگران ميتوانند به سادگي به آن دسترسي پيدا كرده و تنظيمات آن را به تنظيمات پيش فرض كارخانه اي بازگردانند تا دسترسي به آن باز شود. - در مورد محافظت از كلاينتهاي موبايل فراموش نكنيد.
تصور شما در مورد امنيت Wi-Fi نبايد به شبكه خودتان محدود گردد. ممكن است كاربران تلفنهاي هوشمند، لپ تاپها و كامپيوترهاي لوحي در محل كار امن باشند، اما در هنگام اتصال به شبكه بيسيم منزل خود چطور؟ شما بايد سعي كنيد اطمينان حاصل كنيد كه ساير اتصالات Wi-Fi آنها نيز امن است تا بتوانيد از نفوذ و شنود جلوگيري نماييد.
متاسفانه اين كار ساده نيست و نيازمند تركيبي از راه حلها به همراه آموزش كاربران در مورد ريسكهاي امنيت Wi-Fi و معيارهاي جلوگيري است.
اولا، تمامي لپ تاپها و نوت بوكها بايد يك فايروال شخصي (مانند فايروال ويندوز) فعال داشته باشند تا از نفوذ جلوگيري كند. شما در صورت اجراي يك سرور ويندوز ميتوانيد اين كار را از طريق سياست گروهي انجام دهيد، يا اينكه از يك راه حل ديگر براي مديريت كامپيوترهاي غير دامنه استفاده كنيد.
ثانيا، شما نياز داريد اطمينان حاصل كنيد كه ترافيك اينترنتي كاربران زماني كه بر روي يك شبكه ديگر هستند، در برابر شنود كنندگان محلي، از طريق ارائه دسترسي VPN به شبكه شما، رمزگذاري ميشود.
شما همچنين بايد اطمينان حاصل كنيد كه هريك از سرويسهايي كه در معرض اينترنت قرار دارند امن سازي شده اند. براي مثال در صورتي كه سرويس ايميل خارج از LAN، WAN يا VPN خود ارائه ميدهيد، اطمينان حاصل كنيد كه از رمزنگاري SSL براي جلوگيري از برداشت اطلاعات ورود يا پيغامهاي كاربر توسط هر نفوذگر محلي در شبكه غير مطمئن استفاده ميكنيد.
- 9