در دنیای امروز که اطلاعات از ارزشمند ترین سرمایه های بشر محسوب می شوند حفظ این اطلاعات از دسترسی های غیر مجاز از جمله الزامات سازمان ها محسوب می‌شود.

نویسنده : علی علیخانی

موضوع : امنیت شبکه

ویرایش : ۱

تاریخ نگارش : ۹۳/۷/۳

یکی از راه های دسترسی به اطلاعات شبکه های کامپیوتری سازمانها هستند که اغلب سازمانها سعی در ایمن نمودن این شبکه ها دارند.
در این مطلب به بررسی نقاط ضعف و راهکارهای ایمن‌تر نمودن شبکه های بیسیم می پردازیم.

ابتدا برخی از نقاط ضعف شبکه های بیسیم را بررسی می کنیم:

۱- دسترسی فیزیکی به شبکه بیسیم بسیار آسان است: ( هنگامی که موضوع دسترسی فیزیکی مطرح میشود اغلب به دسترسی فیزیکی به تجهیزات شبکه فکر میکنند ، و این کاملا صحیح است ، ولی باید این موضوع را در نظر داشته باشید که دسترسی به رسانه انتقال در شبکه نیز شامل دسترسی فیزیکی می باشد ، و چون رسانه انتقال در شبکه های بیسیم امواج رادیویی هستند ، پس دسترسی فیزیکی در این نوع شبکه ها یکی از نقاط ضعف آنها محسوب می شود). جهت جلوگیری از افشای اطلاعات از این طریق از پروتکل های رمزنگاری و دیگر موارد امنیتی مانند IPS که مخفف Intrusion Prevention System یا سیستم پیشگیری از نفوذ است استفاده می شود .

۲- فضای گسترده تر رسانه انتقال و عدم امکان تشخیص سادهء موقعیت فرد نفوذ کننده به شبکه.( البته IDS ها “Intrusion Detection System ” تا حد زیادی در این زمینه پیشرفت کرده اند)

۳- شبکه های بیسیم غیر ایمن در نزدیکی شبکه بیسیم شما: ( در اطراف شما ممکن است تعداد زیادی از شبکه های نا امن بیسیم وجود داشته باشند که ممکن است کلاینت های شما ناخواسته و گاهاً از روی کنجکاوی اقدام به اتصال به آنها نمایند، فرد متجاوز می تواند پس از اتصال کلاینت شبکه بیسیم شما به این شبکه های نا امن به اطلاعات ورود شبکه بیسیم شما که بر روی کلاینت قربانی ذخیره شده است دسترسی پیدا نماید.

۴- نقاط ترکیب شبکه های بیسیم ، کابلی ، LAN ، WAN و … که می توانند بعنوان پلی جهت نفوذ به شبکه ها مورد استفاده قرار گیرند : جدا از نوع شبکه همیشه نقاط ترکیب شبکه ها با یکدیگر می توانند بعنوان راه نفوذ توسط مهاجمین مورد استفاده قرار گیرند ، برای مثال سیستمی که همزمان به شبکه محلی و اینترنت متصل است می تواند به عنوان راه نفوذ به شبکه محلی مورد استفاده قرار گیرد ، همچنین یک لپ تاپ یا ایستگاه کاری که مجهز به تجهیزات شبکه بیسیم و کابلی می باشد ، در اتصالی اشتباه به شبکه Ad Hoc که توسط فرد مهاجم راه اندازی شده است می تواند بعنوان یک نقطه دسترسی به شبکه برای وی برنامه ریزی گردد.

۵- ارتباط افرادی که در حال مأموریت به شبکه سازمان متصل می شوند و سیستم های آنها که پس از بازگشت از مأموریت ممکن است مستقیماً بعنوان کلاینت در شبکه بکار گرفته شوند.

علاوه بر تمامی مواردی که ذکر شد نقاط ضعف مربوط به طراحی پروتکل های ارتباط شبکه و نقاط ضعف سخت افزار های شبکه را نیز باید اضافه نمود.

در این بخش از مطلب به چند نکنه جهت افزایش امنیت شبکه ها و بخصوص شبکه های بیسیم خواهیم پرداخت :

۱- مهمترین نکته برای حفظ اطلاعات و جلوگیری از دسترسی های غیر مجاز در شبکه های کامپیوتری دادن آگاهی ها و آموزش های مورد نیاز به کاربران آن شبکه است ، چرا که ساده ترین راه نفوذ به هر شبکه ای استفاده از اشتباه های کاربران آن شبکه است.

۲- از تجهیزات به روز جهت شبکه ها استفاده نمایید و میان افزار آنها را بروز نگاه دارید ، چرا که بسیاری از حفره های امنیتی تجهیزات و میان افزار های قدیمی در تجهیزات جدید و بروز رسانی نرم افزار ها برطرف شده اند و همچنین از شیوه های نوین امنیتی برخوردارند.

۳- هرگز از تنظیمات پیشفرض تجهیزات شبکه استفاده نکنید و جهت شخصی سازی این تنظیمات قبل از بکار گیری آنها در شبکه اقدام نمایید. چرا که اولین اقدام یک متجاوز به شبکه شما تست نمودن پیشفرض های عمومی در تجهیزات شبکه خواهد بود.

۴- رمز های عبور تجهیزات شبکه را متفاوت از هم و بصورت ترکیبی از کاراکترهای کوچک ، بزرگ حرفی ، کاراکتر های ویژه ، ارقام و بصورتی که قابل حدث زدن نباشد انتخاب نموده ، در دسترس افراد غیر مجاز قرار نداده و بصورت دوره ای اقدام به عوض نمودن آنها فرمایید.

۵- امنیت فیزیکی سخت افزار های شبکه (شامل سرور ها ، سوئیچ ها و ایستگاه های کاری) را برقرار نموده و افراد مجاز جهت دسترسی را محدود نمایید.

۶- جهت اتصال به یک شبکه بیسیم در حالت عادی داشتن نام شبکه (SSID) و رمز آن لازم است و فرد مهاجم با داشتن نام شبکه کافیست تنها سعی به یافتن کلمه عبور نماید ، شما می توانید با عدم نمایش عمومی نام شبکه مانع کنجکاوی بیهوده افراد شوید اما یک فرد مصمم برای نفوذ به شبکه بیسیم شما می تواند با نرم افزار هایی همچون Kismet شبکه شما را کشف کرده و اقدام به کپچر نمودن اطلاعات شبکه نماید که با صرف کمی زمان در هنگام اتصال کلاینت ها می تواند اطلاعات مورد نیاز را استخراج نماید.

۷- فیلتر نمودن آدرس فیزیکی (MAC) : سخت افزار های شبکه جهت شناسایی یکدیگر از آدرس فیزیکی استفاده می نمایند که بصورت منحصر به فرد و توسط کارخانه سازنده تعریف می گردد ، شما می توانید دسترسی به شبکه خود را برای مک آدرس های موجود در شبکه خود محدود نمایید و مهاجم نخواهد توانست با آدرس فیزیکی دیگری به شبکه شما نفوذ نماید . :-) اما متأسفانه مهاجم می تواند با اسکن نمودن شبکه آدرس فیزیکی کلاینت های موجود در شبکه را نیز بیابد و با ست نمودن یک آدرس فیزیکی مجاز بر روی سیستم خود از این مرحله امنیتی نیز عبور نماید .

۸ – دادن آموزشهای لازم به افرادی که به مأموریت های خارج از سازمان خواهند رفت جهت برقراری اتصال های امن به اینترنت و ایجاد ارتباط های امن به داخل سازمان

۹- فعال بودن دیواره آتش در روتر و تمامی کلاینت ها.

۱۰- خاموش نمودن کلاینت ها و نقاط دسترسی بیسیم در زمانی که به آنها نیازی نیست .

۱۱- استفاده نکردن از شیوه های رمز نگاری قدیمی و نا امن :

۱۱-۱ : WEP یا Wired Equivalent Privacy بعنوان یک استاندارد امنیتی Wi-Fi در سپتامبر سال ۱۹۹۹ منتشر شد ، ولی حتی در آن زمان نیز بعنوان یک استاندارد امنیتی قوی شناخته نشد. و امروزه استفاده از آن یک نقطه ضعف جهت نفوذ به شبکه تلقی می شود.

۱۱-۲ : WPA یا Wi-Fi Protected Access در سال ۲۰۰۳ بعنوان یک استاندارد در پاسخ به ضعف های WEP انتشار یافت ( یک سال قبل از اینکه WEP رسماً بازنشسته شود). تنظیمات WPA-PSK که مخفف Pre-Shared Key می‌باشد عمومیت زیادی داشت و طول کلید را از ۶۴ و ۱۲۸بیت که در WEP مورد استفاده بود به ۲۵۶ بیت افزایش داده بود. یکی دیگر از تنظیماتی که در این استاندارد تعبیه شده بود TKIP یا Temporal Key Integrity Protocol بود که یکپارچگی پیام را چک می نمود تا دستکاری های احتمالی پیام توسط مهاجم قابل تشخیص باشند. بعد ها رمز گذاری پیشرفته (Advanced Encryption Standard) یا به اختصار AES جایگزین TKIP شد. اگرچه حمله های موفقی به این استاندارد امنیتی صورت گرفته ولی با این وجود از این استاندارد می‌توان بعنوان یک استاندارد نسبتاً قوی یاد نمود.

۱۱-۳ : WPA2 یا Wi-Fi Protected Access II در این استاندارد که در سال ۲۰۰۶ بطور رسمی بعنوان استاندارد جایگزین انتشار یافت از AES بعنوان تنظیمات پیشفرض استفاده شد و TKIP برای پشتیبانی از نسخه قبلی در آن تعبیه شد. بطور کلی AES ایمن تر و سریعتر از TKIP است. WAP2 در دو نسخه Personal و Enterprise ارائه شده است . نسخه Personal جهت مصارف خانگی و ادارات کوچه استفاده می گردد و نسخه Enterprise آن که برای سازمانهای بزرگتر کاربرد دارد ، کلاینت ها با اتصال به یک سرور مجوز دسترسی به شبکه را دریافت خواهند نمود.

با وجود تلاش های انجام گرفته استاندارد های ارائه شده هنوز امنیت کامل را برقرار ننموده اند ، اما شما می توانید از یک معماری امنیتی چند لایه جهت رسیدن به سطوح امنیتی متناسب با نیاز سازمان خود استفاده نمایید و فرد مهاجم پس از ورود به شبکه بیسیم شما خواهد دید که تازه در ابتدای کار است :-) ( استفاده ترکیبی سخت افزاری و نرم افزاری احراز هویت مانند دیواره های آتش ، توکن ها ، کارت های هوشمند و …)

آشنایی با نرم افزار ها و ابزار های زیر می‌تواند مفید باشد و از آنها جهت انجام تست نفوذ استفاده گردد:

WiresHark

AirSnare

Kismet

aircrack

WirelessKeyView

Wifi Monster

NetStumbler

Easy Wifi Radar

SmartSniff

Ettercap

WinPcap

CommView

Backtrack

منبع : وب سایت دانشجوی ایرانی


<-- این مطلب را با دوستان خود به اشتراک بگذارید
Facebook stumbleupon Digg Delicious Email Twitter