زمان : 22 Aban 1391 - 00:12
شناسه : 60187
بازدید : 12031
چگونه شبکه وایرلس خود را امن کنیم؟ چگونه شبکه وایرلس خود را امن کنیم؟

چگونه شبکه وایرلس خود را امن کنیم؟
این سوال رو خیلی از ما از خودمون پرسیدیم و دلیل اصلی اون هم اینه که یک شبکه وایرلس با وجود تمام فوایدی که دارد، یک ضرر عمده دارد. بیش از هر بستر ارتباطی دیگری در معرض خطر نفوذ می باشد.شاید ارتقاء ایمنی یک شبکه وایرلس از اولین کارهایی باشه که یک مدیر شبکه فعال به انجامش دست می زند.من اینجا قصدم تشریح مبانی امنیت نیست. بلکه می خواهم به زبان ساده راهکارهای رایجی را برای افزایش ضریب ایمنی این شبکه در محیط های خانگی و اداری کوچک با یک Access Point بیان کنم.

این روزها لوازم شبکه های بیسیم همه جا قابل دسترس و ارزان می باشند و هر کس بخواهد می تواند با کمتر از 100 هزار تومان در عرض چند دقیقه یک شبکه بیسیم را راه اندازی نماید.این حجم استفاده از شبکه های بیسیم بدان معناست که شبکه های بیسیم این پتانسیل را دارند که در آینده ای نه چندان دور همه ی دنیا را احاطه کنند.

چه باید کرد:

اغلب سخت افزارهای شبکه های بیسیم آنقدر پیشرفت کرده اند که کابران می توانند به راحتی آنها را نصب کنند ولی نکته قابل توجه در شبکه، امنیت آن است که کاربران به آن توجهی نمی کنند. پس لازم است چند روش برای ارتقاء امنیت شبکه توضیح دهیم.
این راهکارها در زمینه های زیر تشریح خواهند شد:

- استفاده از Authentication و Data Encryption
- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده
- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن
- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast
- عدم استفاده از قابلیت MAC Address Filtering
- عدم استفاده از Authentication نوع Shared Key
- فعال سازی  -Firewall
- SSID شبکه را غیر فعال کنید
برد شبکه بیسیم را کم کنید
- کنترل از راه دور را غیر فعال کنید
- استفاده از VPN برای برقراری ارتباط
- استفاده از معماری Client/Server



موارد مذکور را در زیر به تفصیل بررسی خواهم کرد:

- استفاده از Authentication و Data Encryption

محافظت از شبکه های بی سیم IEEE 802.11 شامل رمزگذاری (Encryption) و اعتبارسنجی یا تصدیق هویت (Authentication) است. رمزگذاری، داده ها را در فریم های لایه 2 بی سیم قبل از ارسال مغشوش می کند و به این وسیله از مداخله مهاجمین در محتوای ارسالی جلوگیری می کند. تصدیق هویت هم همونطور که از اسمش پیداست قبل از اجازه دادن به کاربران برای اتصال به شبکه، اعتبار اونها رو کنترل می کنه و با این کار از دسترسی غیر مجاز کاربران و یا مهاجمین جلوگیری به عمل میاره. اگر از تصدیق هویت و رمزگذاری داده ها استفاده نکنید، کاربران مخرب می تونن به کامپیوترهای شما در شبکه حمله و یا از اتصال اینترنت شما برای فعالیت های مخرب و یا غیر مجاز استفاده کنن. 

در یک شبکه کوچک که از Domain استفاده نمی شه می تونید یکی از ترکیب های Authentication و Encryption زیر رو برای افزایش سطح امنیت انتخاب کنید:
(از بالا به پایین سطح امنیت کاهش پیدا می کنه...)

1- Wi-Fi Protected Access 2 (WPA2) - Personal Authentication که نام دیگر اون WPA2 با (Preshared Key (WPA2-PSK هستش بهمراه استاندارد رمزنگاری پیشرفته (AES)


2- Wi-Fi Protected Access (WPA)-Personal که نام دیگرش WPA-PSK authentication هستش بهمراه رمزنگاری (Temporal Key Integrity Protocol (TKIP

3- تصدیق هویت Open system بهمراه رمزنگاری (Wired Equivalent Privacy (WEP

تنظیمات مربوط به روش Authentication ، روش Encryption ، کلید Authentication و همچنین کلید Encryption را باید علاوه بر کلاینت بر روی Access Point مورد نظر نیز اعمال کنید.

چگونه موارد فوق را بر روی کامپیوترهای کلاینت تنظیم کنیم؟


اگر به صورت دستی کلید WPA preshared ویا WPA2 preshared را ایجاد می کنید، باید یک رشته کاراکتر تصادفی را با استفاده از صفحه کلید (حروف بزرگ و کوچک، علامت ها و اعداد) در حداقل طول 20 کاراکتر یا اعداد هگزادسیمال (ارقام 0-9 و حروف A-F) در حداقل طول 24 رقم تولید کنید. اگر از گزینه Setup a wireless router or access point در ویزارد Connect to a network در ویندوز ویستا استفاده کرده باشید، ویندوز یک WPA2 preshared key با طول 63 کارکتر را به طور اتوماتیک برایتان ایجاد خواهد کرد.


Open System Authentication with WEP Encryption


Open Authentication در اصل یک روش تصدیق هویت نیست. اساسا ذکر این روش در کنار دو روش WPA و WPA2 به این علت است که در صورتی که از هیچ یک از روش های مذکور استفاده نشود، از روش Open System استفاده شده است.
Encryption نوع WEP با استفاده از Shared Key روشی بسیار آسیب پذیر است و ابدا" پیشنهاد نمی شه. به هر حال استفاده از آن بهتر از باز بودن کامل شبکه وایرلس شماست.
WEP معادل عبارت Wired Equivalent Protocol یا پروتکل معادل استفاده از کابل شبکه است.

- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده

Access Point های وایرلس با نام های شبکه پیشفرض در بازار عرضه می شن که به اون (Service Set Identifier (SSID گفته می شه.
لزوم تعویض این نام های پیش فرض دو دلیل عمده داره:

- درصورت وجود شبکه های نزدیک به شما با نام های پیشفرض (که احتمالش کم نیست) ممکنه کاربران اون شبکه امکان اتصال به شبکه شما رو تحت شرایطی داشته باشند و با تداخل پیش بیاد.
- با توجه به تفاوت نام پیشفرض بین تولیدکنندگان مختلف تجهیزات شبکه، امکان تشخیص ندل و برند تجهیزات شما ممکن خواهد بود.
- حتی الامکان از نام های تحریک آمیز نظیر نام شرکت، نام سازمان ها، نام افراد استفاده نکنید.
- بهترین انتخاب می تونه یک نام بی معنا باشه، مثلا" : dFtgg33

- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن

یهترین راه نفوذ درصورت امکان، دسترسی غیر مجاز به کلمه عبور Administrator شبکه وایرلس شماست. بهتره به موازات اون سد دیگری ایجاد کنید و نام کاربری Admin رو مثلا" به Adminjoon یا Admin34 یا هر کلمه غیر قابل پیش بینی دیگه ای تغییر بدید تا درصورت دسترسی به کلمه عبور شما نفوذگر ندنه از چه نام کاربری استفاده کنه.
قابل ذکره نام کاربری ادمین به طور پیش فرض بر روی اغلب این تجهیزات کلمه Admin هستش.

- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast

استفاده از قابلیت Hidden Network به این معنا نیست که شبکه شما غیر قابل مشاهده است. حتی باید گفت این عمل سطح امنیت شما رو کاهش می ده، چون در هر بار اتصال کلاینت ها به این نوع شبکه، کلاینت مذکور نام شبکه شما رو داد می زنه و منتظر دریافت پاسخ از سمت Access Pint می مونه. در این فاصله زمانی یک نفوذگر نه چندان خبره هم به راحتی می تونه خودش رو به جای Access Point واقعی جا بزنه و با اتصال به کلاینت از اون کلید مورد نظر رو به راحتی دریافت کنه.
علاوه بر این مشکلاتی در ارتباط با اتصال خودکار به این نوع شبکه ها در برخی حالات خاص وجود داره.

- عدم استفاده از قابلیت MAC Address Filtering

هدف استفاده از این روش محدود کردن تقاضاهای اتصال به کلاینت های با آدرس MAC مشخص هستش که البته استفاده از این روش رو اصلا" توصیه نمی کنم.
علاوه بر لزوم ویرایش لیست آدرس های مجاز با اضافه و کم شدن کاربران ثابت شبکه، لزوم ویرایش اون برای کاربران مقطعی و احتمال بروز خطا در این زمینه، این روش اصلا روشی اصولی و قوی در محافظت از شبکه نیست.
یک نفوذگر نه چندان حرفه ای می تونه با گوش دادن به ترافیک ارسالی از سورس های مجاز و یا به مقصدهای مجاز، آدرس های MAC مجاز رو شناسایی و با شبیه سازی اونها به شبکه دسترسی پیدا کنه. علاوه بر اون استفاده از این روش الگوریتم ذخیره سازی و تصدیق آدرس های MAC مرتبط با Access Point شما رو در دسترس افراد نفوذگر قرار می ده.

- عدم استفاده از Authentication نوع Shared Key

Shared Key Authentication نوع دیگری از تصدیق هویته که بهمراه رمزنگاری WEP انجام می شه (نوع دیگرش Open System بود که بررسی کردیم). در اغلب Access Point ها کلید بکار رفته برای Authentication با کلید WEP Encryption یکسانه و شخص نفوذگر، در لحظه اتصال یک کلاینت به شبکه (رد و بدل شدن Shared Key) با گوش دادن به پیغام ارسال کلید و پیغام تأیید صحت کلید و آنالیز اون به سادگی می تونه به کلمه WEP دسترسی پیدا کنه و حالا دیگه شخص نفوذگر از خدا هیچی نمی خواد چون انگار هیچ نوع رمزنگاری در شبکه شما فعال نیست!

- فعال سازی Firewall

فایروال رو هم که حتما" همتون می دونید که باید فعال کنید و ترافیک بیرون به درون رو محدود کنید.

 

- SSID شبکه را غیر فعال کنید

روترهای بیسیم به صورت اتوماتیک و منظم اسم شبکه یا شناسه سرویس دستگاه(SSID ) را در محیط انتشار می دهند . غیر فعال کردن انتشار SSID ، شبکه را از همسایه ها و عابران مخفی نگه می دارد. (البته هنوز هم احتمال دسترسی به شبکه توسط هکرها وجود دارد)

 

- برد شبکه بیسیم را کم کنید

این ویژگی را در همه روترها نخواهید یافت ولی بعضی از روترها به شما این اجازه را می دهند تا نیروی فرستنده روتر را کم کنید.بدین معنی که برد سیگنال ارسالی کم می شود.این تقریبا غیر ممکن است که بتوان یک سیگنال را طوری تنظیم کرد که به بیرون از خانه یا محل کار انتشار پیدا نکند، ولی بوسیله روش آزمون و خطا می توانید مسافتی که سیگنال قابل دسترسی می باشد را تنظیم کنید و فرصت دستیابی به سیگنالها را توسط افراد خارج از محدوده کم کنید.

-  کنترل از راه دور را غیر فعال کنید

اغلب روترها این ویژگی را دارند که از طریق اینترنت و از راه دور کنترل شوند. در واقع شما باید کنترل از راه دور را زمانی فعال کنید که بتوان برای روتر یک IP خاص تعریف کرد.به عنوان یک راهنمایی تا زمانی که کنترل از راه دور را احتیاج ندارید بهتر است آنرا خاموش کنید و از آن استفاده نکنید.