۵ راه برای افزایش امنیت در شبکه‌های وای‌فای

وای‌فای یک نقطه ورودی است که نفوذگران از آن استفاده می‌کنند تا بدون پا گذاشتن در ساختمان شما، به شبکه‌ی شما وارد شوند، چون دستگاه‌های بی‌سیم بسیار راحت‌تر از دستگاه‌های سیمی مورد نفوذ قرار می‌گیرند، که این بدان معنی است که شما باید بسیار بیشتر نسبت امنیت این دستگاه‌ها کوشا باشید. اما برای ایمن‌سازی وای‌فای راه‌های بسیار بیشتری نسبت به تنظیم یک گذرواژه وجود دارد. صرف زمان برای یادگیری و اقدامات امنیتی پیشرفته می‌تواند راه بسیار خوبی برای حفاظت بهتر از شبکه شما باشد. در اینجا ۵  راهنمایی برای بهبود امنیت وای‌فای شما آورده شده است.

 

نام شبکه غیرمتداول (SSID)

شناسه تنظیم خدمات (SSID) یکی از پایه‌های اساسی در تنظیمات شبکه وای‌فای است. برخلاف انتظار، نام شبکه نیز می‌تواند امنیت را به خطر بیندازد. استفاده از یک SSID بیش از حد معمول، مانند «بی‌سیم» یا نام پیش‌فرض فروشنده، می‌تواند نفوذ در حالت WPA یا WPA2 را برای نفوذگران آسان‌تر کند. این به این دلیل است که الگوریتم رمزنگاری شامل SSID و واژه‌نامه‌ای که توسط نفوذگران برای کشف گذرواژه‌ی وای‌فای مورد استفاده قرار می‌گیرد. به وسیله SSIDهای پیش‌فرض و متداول دوباره بارگیری می‌شوند. با استفاده از یکی از این‌ها، کار نفوذگران آسان‌تر می‌شود. همان‌طور که در ادامه خواهیم گفت، این آسیب‌پذیری در شبکه‌هایی که از حالت سازمانی امنیت WPA یا WPA2 استفاده می‌کنند، وجود ندارد و این یکی از مزایای استفاده از حالت سازمانی است.

 

ممکن است اسم SSID چیزی مانند نام شرکت و یا آدرس باشد که به راحتی قابل شناسایی است و امکان دارد بهترین ایده هم نباشد. این حرف به خصوص در مورد شبکه‌هایی که در یک ساختمان و یا چند ساختمان مجاور به اشتراک گذاشته شده‌اند، درست است. اگر نفوذگران بخواهند در یک ناحیه اشباع‌شده که هزارن شبکه‌ی وای‌فای دیده می‌شود، حمله خود را راه‌اندازی کنند، احتمالا موردی را انتخاب می‌کنند که شناسه‌ی آن آسان‌ترین باشد، این می‌تواند به آن‌ها کمک کند تا بفهمند با نفوذ در این شبکه‌ها ممکن است چه سودی به دست آوردند. آن‌ها همچنین ممکن است یکی را انتخاب کنند که در یک منطقه اشباع‌شده، پیدا کردن آن آسان باشد. امکان خاموش کردن پخش همگانی SSID وجود دارد و با این کار اساسا نام شبکه‌ی شما دیده نمی‌شود، اما این راه پیشنهاد نمی‌شود. مجبور کردن کاربران به وارد کردن دستی SSID و اثرات منفی عملکرد درخواست کاوش در وای‎‌فای، معمولا از مزایای امنیت بیشتر است. هنوز هم یک نفر با ابزارهای مناسب می‌تواند SSID را از ترافیک شبکه‌های دیگر به دست آورد.

 

امنیت فیزیکی را به یاد داشته باشید

امنیت بی‌سیم و یا تمام موارد امنیت‌ فناوری اطلاعات مرتبط با این موضوع، فقط به فناوری‌ها و پروتکل‌ها وابسته نیستند. این امکان وجود دارد که شما با داشتن بهترین رمزنگاری همچنان آسیب‌پذیر باشید. امنیت فیزیکی یکی از این آسیب‌پذیری‌ها است. اکثر نقاط دسترسی (AP) یک دکمه تنظیم مجدد دارند که هرکسی می‌تواند با فشار دادن آن دستگاه شما را به تنظیمات پیش‌فرض کارخانه برگرداند و امنیت وای‌فای را از بین ببرد. بنابراین، نقاط دسترسی در سراسر تسهیلات توزیع‌شده باید به صورت فیزیکی ایمن شده باشند و از دست‌کاری آن‌ها جلوگیری شود. مطمئن شوید که دستگاه‌ها همیشه خارج از دسترس قرار بگیرند و بررسی کنید که روش‌های ارائه‌شده توسط فروشندگان برای محدود کردن دسترسی فیزیکی به درگاه‌ها و دکمه‌های نقاط دسترسی، مورد استفاده قرار بگیرند. 

 

یکی دیگر از نگرانی‌های امنیتی فیزیکی در رابطه با وای‌فای زمانی است که کسی یک نقطه دسترسی غیرمجاز را به شبکه اضافه می‌کند، که معمولا «نقطه دسترسی سرکش» نامیده می‌شود. این کار را می‌تواند به دلایل قانونی توسط یک کارمند با هدف افزایش پوشش وای‌فای و یا انجام کارهای غیرقانونی و یا حتی توسط یک بیگانه که به این مرکز دسترسی دارد، انجام شود. برای کمک به جلوگیری از این نوع نقاط دسترسی سرکش، اطمینان حاصل کنید که هر درگاه اترنت استفاده‌نشده (مانند درگاه‌های دیوار یا اترنت‌های شل) غیرفعال باشند. شما می‌توانید این درگاه‌ها یا کابل‌ها را از لحاظ فیزیکی حذف کرده و یا اتصال آن خروجی یا کابل را روی مسیریاب یا سوئیچ غیرفعال کنید. یا اگر واقعا می‌خواهید امنیت را تقویت کنید، اگر مسیریاب یا سوئیچ شما از احراز هویت  X802.1 پشتیبانی می‌کند، آن را در قسمت سیمی فعال کنید. بنابراین هر دستگاهی که به درگاه اترنت وصل می‌شود، برای ورود به شبکه باید احراز هویت شود.

 

از WPA2 سازمانی با احراز هویت X802.1 استفاده کنید

یکی از مؤثرترین راه‌کارهای امنیتی وای‌فای که شما می‌توانید به کار ببرید، استفاده از حالت سازمانی امنیت وای‌فای است، زیرا هر کاربر را به صورت جداگانه تأیید می‌کند: هر کسی می‌تواند نام کاربری و گذرواژه‌ی خود را داشته باشد. بنابراین اگر یک دستگاه رایانه‌ی همراه یا تلفن همراه گم شده یا دزدیده شود یا یک کارمند شرکت را ترک کند، همه‌ی کاری که شما باید انجام دهید این است که اطلاعات ورود این کاربر خاص را تغییر داده یا پاک کنید. برخلاف حالت سازمانی، در حالت شخصی همه کاربران از یک گذرواژه مشترک استفاده می‌کنند و در صورتی که یکی از دستگاه‎ها دزدیده یا گم شوند، باید گذرواژه‌ی تمام دستگاه‌ها تغییر پیدا کند که زحمت زیادی دارد. یکی دیگر از مزایای بزرگ حالت سازمانی این است که برای هر کاربر، کلید اختصاصی تعیین شده است. این به این معناست که هر کاربر فقط می‌تواند داده‌های ترافیک مربوط به ارتباطات خود را رمزگشایی کند، بدون این‌که به داده‌های ترافیک بی‌سیم کاربر دیگری دسترسی داشته باشد.

 

برای قرار دادن نقاط دسترسی خود در حالت سازمانی، ابتدا باید یک کارگزار RADIUS راه‌اندازی کنید. این امکان احراز هویت کاربر را فراهم می‌کند و به پایگاه داده‌ای متصل می‌شود که نام‌های کاربری و گذرواژه‌های تمام کاربران را در برمی‌گیرد. با این‌که شما می‌توانید یک کارگزار RADIUS مستقل را به‌ کار ببرید، اما ابتدا باید بررسی کنید که آیا کارگزارهای دیگر (مانند یک کارگزار ویندوز) در حال حاضر این عملکرد را ارائه می‌دهند یا خیر. اگر نه، یک سرویس RADIUS مبتنی بر ابر یا میزبان را در نظر بگیرید. همچنین در نظر داشته باشید که در برخی از نقاط دسترسی بی‌سیم یا کنترل‌کننده‌ها، یک کارگزار RADIUS تعبیه شده است، اما کارایی و قابلیت‌های محدود آن‌ها معمولا برای شبکه‌های کوچکتر مفید است.

 

تنظیمات کارخواه X802.1 را امن کنید

همانند سایر فناوری‌های امنیتی، حالت سازمانی امنیت وای‌فای نیز هنوز آسیب‌پذیری‌هایی دارد. یکی از این آسیب‌پذیری‌ها، حمله‌ی مرد میانی است که توسط یک نفوذگر که در یک فرودگاه یا کافه یا حتی در خارج از محل پارکینگ دفتر مرکزی نشسته است، رخ می‌دهد. یک نفر می‌تواند یک شبکه وای‌فای جعلی را با همان SSID مشابه یا مشابه SSID شبکه‌ای که آن‌ها سعی در نفوذ به آن دارند، ایجاد کنند. هنگامی که رایانه‌ همراه یا دستگاه شما برای اتصال تلاش می‌کند، یک کارگزار RADIUS جعلی می‌تواند اطلاعات معتبر ورود شما را ضبط کند. پس از آن مهاجم می‌تواند از اطلاعات معتبر ورودی شما، برای اتصال به شبکه‌ی وای‌فای واقعی استفاده کند.

 

یک راه برای جلوگیری از حمله‌ی مرد میانی با استفاده از احراز هویت 802.1X این است که از تأیید کارگزار در سمت کارخواه استفاده شود. هنگامی که تأیید کارگزار در سمت کارخواه بی‌سیم فعال می‌شود، تا زمانی‌که ارتباط یک کارخواه با کارگزار قانونی بررسی نشود، کارخواه از قسمت تایید اعتبار ورود به سامانه وای‌فای نمی‌گذرد و نمی‌تواند به کارگزار RADIUS برود. قابلیت تایید اعتبار دقیق کارگزار و الزاماتی که می‌توانید بر مشتریان تحمیل کنید بسته به دستگاه یا سامانه‌ی عامل مشتری متفاوت است. به عنوان مثال، در ویندوز، می‌توانید نام دامنه یا دامنه‌های کارگزار قانونی را وارد کنید، صادرکننده معتبر مجوز که برآمده از گواهی‌نامه‌ی کارگزار است را انتخاب کرده و سپس گزینه «به هیچ کارگزار جدید یا صادرکننده‌ی مجوز دیگری اجازه نده» را انتخاب کنید. بنابراین اگر کسی یک شبکه وای‌فای جعلی و کارگزار RADIUS را راه‌اندازی کند و شما سعی در ورود به آن را داشته باشید، ویندوز شما را متوقف خواهد کرد.

 

استفاده از تشخیص نقط دسترسی سرکش یا جلوگیری از نفوذ بی‌سیم

ما در حال حاضر با سه سناریوی برای نقطه دسترسی آسیب‌پذیر روبه‌رو هستیم: یکی از این موارد این است که مهاجم می‌تواند یک شبکه وای‌فای جعلی و کارگزار RADIUS را راه‌اندازی کند. دیگری این است که می‌تواند یک نقطه دسترسی را به پیش‌فرض‌های کارخانه بازنشانی کند و سناریو سوم این است که هر کسی می‌تواند نقطه دسترسی خود را وصل کند. اگر حفاظت مناسب برقرار نباشد، هر یک از این نقاط دسترسی غیرمجاز ممکن است توسط کارمندان فناوری اطلاعات برای مدت طولانی کشف نشود. بنابراین، ایده خوبی است که هر نوع تشخیص سرکشی ارائه‌شده توسط فروشنده نقطه دسترسی یا کنترلر بی‌سیم را فعال کنید. روش تشخیص دقیق و عملکرد متفاوت است، اما اکثر آن‌ها حداقل به صورت دوره‌ای در امواج رادیویی پویش می‌کنند و اگر یک نقطه دسترسی جدید در محدوده نقاط دسترسی معتبر شناسایی شود، به شما هشدار می‌دهند.

 

به منظور قابلیت تشخیص بیشتر، برخی از فروشندگان نقطه دسترسی، یک سامانه‌ی تشخیص نفوذ بی‌سیم کامل (WIDS) و یا سامانه محافظت در برابر نفوذ (WIPS) ارائه می‌دهند که می‌توانند طیف وسیعی از حملات بی‌سیم و فعالیت مشکوک همراه با نقاط دسترسی سرکش را پویش کنند. این‌ها شامل درخواست‌های احراز هویت نادرست، درخواست‌های مشارکت نادرست و سوءاستفاده از آدرس مک است. علاوه بر این، اگر به جای WIDS که فقط تشخیص ارائه می‌دهد، یک WIPS واقعی وجود داشته باشد که حفاظت ارائه می‌دهد، باید قادر به انجام اقدامات خودکار مانند از بین بردن یا مسدود کردن سرویس‌گیرنده مشکوک بی‌سیم برای محافظت از شبکه تحت حمله باشد. اگر فروشنده نقطه دسترسی شما، قابلیت WIPS یا کشف نقطه دسترسی سرکش تعبیه شده در خود دستگاه را ارئه نمی‌دهد، یک راه‌حل شخص ثالث در نظر بگیرید. شما ممکن است به راه‌حل‌های مبتنی بر حسگری را مشاهده کنید که بر عملکرد وای‌فای و مسائل امنیتی در شرکت‌هایی مانند 7SIGNAL ،Cape Networks و NetBeez نظارت می‌کنند.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید