امنيت مسيرياب‌ خانگی يا ادارات كوچک – قسمت اول

IRCAR201404208
تاريخ: 19/1/93

مقدمه
با توجه به رشد استفاده از اينترنت در همه كسب و كارها، مسيرياب‌هاي خانگي بخشي از زندگي روزمره انسان‌ها شده است. امروزه افراد از مسيرياب‌هاي باسيم و بيسيم در خانه‌هاي خود استفاده مي‌كنند. ISPها اين دستگاه‌ها را با تنظيمات پيش فرض و آماده استفاده، به كاربران خود مي‌فروشند و كاربران عموماً بدون تغيير يا تنظيم بيشتر تنظيمات، از اين دستگاه‌ها استفاده مي‌كنند و به اينترنت وصل مي‌شوند.
متاسفانه، تنظيمات پيش فرض بيشتر مسيرياب‌هاي خانگي امنيت كمي را تامين مي‌كند و شبكه‌هاي خانگي را نسبت به حملات آسيب پذير مي‌كند. كسب و كارها و سازمان‌هاي كوچك كه بودجه‌اي براي زيرساخت‌هاي فناوري اطلاعات و پشتيباني از كارمندان خود تخصيص نداده‌اند اغلب از همين مسيرياب‌هاي خانگي براي اتصال به اينترنت استفاده مي‌كنند. اينگونه سازمان‎‌ها هم اغلب از اين مسيرياب‌ها، بدون پياده سازي اقدامات احتياطي امنيتي استفاده مي‌كنند.

نگراني‌هاي امنيتي
تنظيمات پيش فرض بيشتر مسيرياب‌هاي خانگي امنيت كمي را تامين مي كنند. مسيرياب‌هاي خانگي:

• از طريق اينترنت مستقيماً در دسترس اند
• به راحتي قابل شناسايي اند
• معمولاً در تمام زمان‌ها روشن اند
• و در بسياري از حالت‌ها به خاطر بد تنظيم شدن آسيب پذير اند.

موارد فوق به مهاجم امكان حمله را مي‌دهد. در كنار اين موارد، ويژگي بيسيمي كه روي بسياري از اين دستگاه‌ها هست، آسيب پذيري‌هاي ديگري را اضافه مي‌كند.

مقابله
مراحل مقابله با حملات روي مسيرياب‌هاي خانگي، براي افزايش امنيت مسيرياب‌هاي خانگي و كاهش آسيب پذيري شبكه داخلي در برابر حملات منابع خارجي است. برخي از اين مراحل عبارتند از:

• تغيير نام كاربري و كلمه عبور پيش فرض: سازندگان براي دسترسي كاربر به صفحه تنظيمات دستگاه، نام كاربري و كلمه عبور پيش فرضي را روي اين دستگاه‌ها تنظيم مي‌كنند. اين كلمات عبور و نام كاربري‌هاي پيش فرض به راحتي در دسترس عموم هستند و براي مهاجمان هم شناخته شده‌اند؛ بنابراين بايد سريعاً در هنگام نصب اوليه مسيرياب تغيير كنند. يك كلمه عبور قوي مي‌تواند تركيبي از حروف و اعداد با 14 كاراكتر يا بيشتر باشد. بعلاوه، توصيه مي‌شود كلمه عبور را هر 30 تا 90 روز تغيير دهيد.
• تغيير SSID پيش فرض: شناسه مجموعه خدمات (SSID) نام يكتايي براي شناسايي شبكه محلي بيسيم (WLAN) است. تمام دستگاه‌هاي بيسيم براي برقراري ارتباط با يكديگر بايد از SSID يكساني استفاده كنند. سازندگان عموماً SSID پيش فرضي را براي اين دستگاه‌ها تنظيم مي‌كنند كه بيانگر نام سازنده يا خود دستگاه است. مهاجم مي‌تواند از اين نام پيش فرض براي شناسايي دستگاه و هرگونه آسيب پذيري مرتبط با آن استفاده كند. كاربران گاهي اوقات SSID را نامي قرار مي‌دهند كه بيانگر سازمان، مكان و نام خود آنها است. اين كار منجر به شناسايي راحتتر كسب و كار و يا نام شخص، براي مهاجم مي‌شود. به طور مثال، SSID كه نام شركتي را منتشر مي‌كند جذابتر از مسيريابي است كه نامي مانند "ABC123" دارد. هنگام انتخاب SSID، از بهترين تجارب كاري خط مشي‌هاي پيچيدگي كلمه عبور استفاده كنيد:
  • تعداد كاراكترهاي SSID بايد بيشتر از 8 كاراكتر باشد.
  • از حروف و علامت‌ها (symbol) در SSID استفاده كنيد.
  •  SSID را گاهاً تغيير دهيد و از كلمات عبور قبلي استفاده نكنيد.
• استفاده از WPA2-AES براي محرمانگي داده‌ها: الگوريتم WEP با هدف فراهم كردن محرمانگي داده (احراز هويت و رمزنگاري) توسعه يافت اما نقاط ضعف بسياري دارد. اين الگوريتم توسط استاندارد 802.11 – كه به عنوان دسترسي محافظت شده Wi-Fi (WPA) پياده سازي مي‌شود- جايگزين شد. در حال حاضر WPA2، نسخه جديدتر WPA است. WPA و WPA2 با استفاده از تغيير پوياي كليدها، احراز هويت و رمزنگاري قويتري را فراهم مي‌كنند. WPA و WPA2 در دو نسخه سازماني و شخصي موجود هستند.
  WPA شخصي (WPA-PSK) براي خانه‌ها و ادارات كوچك كه از كليدهاي از قبل به اشتراك گذاشته شده و بدون نياز به سرور احراز هويت استفاده مي‌كنند، توسعه يافتند. اگر از WPA-PSK استفاده مي‌كنيد، از كليد از قبل به اشتراك گذاشته شده بلند، استفاده كنيد و آن را در فواصل معيني تغيير دهيد.
  WPA سازماني نيازمند سرور احراز هويت RADIUS است، از پروتكل احراز هويت قابل توسعه (EAP) استفاده مي‌كند، و امنيت بيشتري را فراهم مي‌كند اما نيازمند بودجه بيشتر و پياده سازي پيچيده‌تر است.
  WPA2 از رمزنگاري 128 بيتي AES استفاده مي‌كند. WPA2 با استفاده از رمزنگاري AES امنيت را بيشتر تامين مي‌كند و تمام دستگاه‌هاي بيسيم بايد با WPA2 سازگار باشند. اگر استفاده از WPA2 امكان پذير نيست، WPA گزينه جايگزين است. WEP كمترين امنيت را فراهم مي‌كند. در صورت استفاده از WEP، بايد از گزينه كليد 128 بيتي آنهم با طولاني‌ترين كليد از قبل به اشتراك گذاشته شده كه مدير مسيرياب مي‌تواند آنرا مديريت كند استفاده شود.
• محدود كردن پوشش WLAN: LANها ذاتاً ايمن‌تر از WLANها هستند چراكه توسط ساختار فيزيكي كه در آن هستند محافظت مي‌شوند. پوشش WLAN اغلب فراتر از محيط خانه يا سازمان شما است. اين امر شنود نفوذگراني را كه خارج از محدوده شبكه شما هستند امكان پذير مي‌كند. بنابراين، مكان قرار دادن آنتن، نوع آنتن و سطح قدرت انتقال جنبه‌هاي مهمي هستند كه بايد در نظر گرفته شود. محدوده پوشش را موقع امن كردن WLAN مي‌توان محدود كرد. يك آنتن تمام جهته كه در مركز قرار گرفته است بيشترين نوعي است كه استفاده مي‌شود. در صورت امكان، از يك آنتن جهت دار براي هدايت پوشش WLAN به مناطق مورد نياز استفاده كنيد. آزمايش سطوح انتقال و قدرت سيگنال هم، پوشش شبكه را به مناطق مورد نياز محدود خواهد كرد.
• خاموش كردن شبكه زماني كه استفاده نمي‌شود: آخرين گزينه در ايمن سازي شبكه‌هاي بيسيم، خاموش كردن شبكه است. اين كار مطمئناً از ورود مهاجمان خارجي جلوگيري مي‌كند. در نظر داشته باشيد كه خاموش و روشن كردن مداوم شبكه ممكن است شدني نباشد؛ اين كار را بيشتر در حين مسافرت يا بازه هاي زماني طولاني كه آفلاين هستيد انجام دهيد.

در قسمت دوم اين مقاله، به ساير مراحل مقابله با حملات روي مسيرياب‌هاي خانگي اشاره خواهد شد.