تکنولوژی Wi-Fi استعداد بالایی برای هک شدن و استراق سمع دارد ، ولی در صورتی که مدیران شبکه از نکات امنیتی صحیح استفاده کنید، این تکنولوژی نیز می تواند امن باشد.
1- از WEP استفاده نکنید
پروتکل WEP یک الگوریتم امنیتی بسیار ضعیف برای شبکه های بیسیم 802.11 است و مدت زیادی است که از رده خارج شده است. رمزنگاری زیرین این الگوریتم امنیتی، به سرعت و به سادگی توسط اغلب هکرهای بی تجربه قابل شکستن است. بنابراین شما به هیچ عنوان نباید از WEP استفاده کنید. اما اگر این کار را انجام میدهید، بلافاصله به WPA2 (Wi-Fi Protected Access) با احراز هویت 802.1X ارتقاء دهید. اگر کلاینتها یا access point های قدیمی دارید که WPA2 را پشتیبانی نمیکنند، از ارتقاهای سفت افزاری استفاده کرده یا به سادگی، تجهیزات خود را تغییر دهید.
2- از WPA/WPA2-PSK استفاده نکنید
مود کلید از پیش به اشتراک گذاشته شده (PSK) در امنیت WPA و WPA2 برای محیط های تجاری یا شرکتی امن نیست. زمانی که از این مود استفاده میکنید، کلید از پیش به اشتراک گذاشته یکسانی باید به هر کلاینت وارد گردد. بنابراین PSK باید هربار که کارمندی شرکت را ترک میکند و هر زمان که یک کلاینت گم شده یا به سرقت میرود، تغییر نماید که این کار، برای اغلب محیطها انجام پذیر نیست.
3- پروتکل 802.11i را پیاده سازی نمایید
مود EAP (پروتکل احراز هویت قابل توسعه) در امنیت WPA و WPA2، از احراز هویت 802.1X به جای PSK ها استفاده میکند. این کار این قابلیت را فراهم می آورد تا هر کاربر یا هر کلاینت، اطلاعات اعتباری ورود مخصوص به خود را دارا باشد. یعنی هر کاربر و هر کلاینت دارای نامهای کاربری و کلمات عبور و/ یا یک امضای دیجیتالی مخصوص به خود هستند.
کلیدهای رمزنگاری واقعی، به طور منظم تغییر داده میشوند و بدون سر و صدا در پس زمینه جابجا میگردند. بنابراین برای تغییر یا ابطال دسترسی کاربر، تمام کاری که باید انجام دهید این است که اطلاعات اعتباری ورود را بر روی یک سرور مرکزی تغییر دهید و دیگر لازم نیست PSK را بر روی هر کلاینت دستکاری نمایید. کلیدهای یکتا به ازای هر نشست نیز کاربران را از شنود و استراق سمع بر روی ترافیک یکدیگر باز میدارد. اکنون ابزارهای ساده و مختلفی برای این کار در محیطهای مختلف وجود دارد که دیگران میتوانند با استفاده از آنها، به جای یک کاربر وارد شوند و یا ترافیک وی را شنود نمایند.
در خاطر داشته باشید که برای داشتن بهترین امنیت ممکن، باید از WPA2 با 802.1X که با عنوان 802.11i نیز شناخته میشود، استفاده کنید.
برای فعال کردن احراز هویت 802.1X، نیاز به این دارید که یک سرور RADIUS/AAA داشته باشید. اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا میکنید، از سرور سیاست شبکه (NPS)، یا سرویس احراز هویت اینترنت (IAS) در نسخه های سرور قدیمیتر استفاده کنید. اگر یک سرور ویندوز را اجرا نمیکنید، از سرور متن باز FreeRADIUS استفاده نمایید.
شما میتوانید در صورت اجرای ویندوز سرور 2008 یا نسخه های پس از آن، تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینتهای متصل به دامنه اعمال نمایید. در غیر اینصورت، میتوانید یک راه حل متفرقه برای پیکربندی کلاینتها به کار گیرید.
4- تنظیمات کلاینت 802.1X را امن کنید
مود EAP در WPA/WPA2 هنوز در برابر حملات man-in-the-middle آسیب پذیر است. به هر حال شما میتوانید با امن کردن تنظیمات EAP مربوط به هر کلاینت، به جلوگیری از این حملات کمک نمایید. برای مثال، در تنظیمات EAP برای ویندوز، شما میتوانید اعتبارسنجی گواهی سرور را فعال کنید. این کار را میتوانید با انتخاب گواهی CA، مشخص کردن آدرس سرور، و غیرفعال ساختن هشدارهای آن در مورد اعتماد کاربر به سرورهای جدید یا گواهیهای CA جدید انجام دهید.
شما همچنین میتوانید این تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینتهای متصل به دامنه نیز اعمال کرده یا اینکه از یک راه حل متفرقه استفاده نمایید.
5- از یک سیستم جلوگیری از نفوذ بیسیم استفاده کنید
در مورد امنیت Wi-Fi همیشه اینطور نیست که فقط با کسانی که به طور مستقیم سعی میکنند به شبکه دسترسی پیدا کنند، درگیر شوید. برای مثال، هکرها میتوانند access point های جعلی را تنظیم نمایند یا اینکه حملات انکار سرویس انجام دهند. برای کمک به تشخیص و مقابله با این حملات، شما باید یک سیستم جلوگیری از نفوذ بیسیم (WIPS) پیاده سازی نمایید. طراحی و روشهای کار WIPS ها در میان تولید کنندگان مختلف، متفاوت است، ولی معمولا آنها امواج را مورد نظارت قرار میدهند، به شما هشدار میدهند و احتمالا access point های جعلی یا فعالیتهای خرابکارانه را متوقف میسازند.
6- پروتکل NAP یا NAC را به کار بگیرید
علاوه بر 802.11i و یک WIPS، شما باید از یک راه حل محافظ دسترسی به شبکه (NAP) یا کنترل دسترسی به شبکه (NAC) استفاده کنید. استفاده از اینها میتواند کنترل بیشتری بر روی دسترسی شبکه، مبتنی بر هویت کلاینت و منطبق با سیاستهای تعریف شده ایجاد نماید. اینها همچنین میتوانند شامل عملکردهایی برای ایزوله کردن کلاینتهای مشکل دار و حل مشکل برای بازگرداندن کلاینتها باشند.
برخی راه حلهای NAC نیز ممکن است شامل جلوگیری از نفوذ به شبکه و تشخیص نفوذ به شبکه باشند، ولی باید اطمینان حاصل کنید که محافظتهای بیسیم را نیز ارائه میدهند یا خیر.
اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا میکنید و ویندوز ویستا یا نسخه های پس از آن را برای کلاینتها به کار میگیرید، میتوانید از عملکرد NAP مایکروسافت استفاده کنید. در غیر اینصورت، میتوانید از راه حلهای متفرقه مانند PacketFence که متن باز است استفاده نمایید.
7- به SSID های پنهان اعتماد نکنید
یک اشتباه در مورد شبکه های بیسیم این است که تصور میشود که غیرفعال کردن انتشار SSID در access point ها، شبکه شما را پنهان ساخته یا حداقل SSID را پنهان میسازد و به این وسیله، کار هکرها سختتر میگردد. اما به هر حال، این کار فقط SSID را از دید access point حذف خواهد کرد و هنوز هم SSID در درخواست اتصال 802.11 وجود دارد. در موارد خاص، SSID در بسته های درخواست probe و بسته های پاسخ آن نیز وجود دارد. بنابراین یک استراق سمع کننده میتواند یک SSID پنهان را به خصوص بر روی یک شبکه شلوغ به سرعت کشف نماید.
ممکن است برخی ادعا کنند که غیرفعال کردن انتشار SSID همچنان یک لایه دیگر از امنیت ایجاد میکند، ولی به خاطر داشته باشید که این کار میتواند یک تاثیر منفی نیز بر روی پیکربندی و کارآیی شبکه داشته باشد. شما باید به طور دستی SSID را به کلاینتها وارد کنید که این کار، پیکربندی کلاینت را پیچیده تر میکند. این کار همچنین افزایشی در بسته های درخواست و پاسخ probe ایجاد خواهد کرد که پهنای باند در دسترس را کاهش خواهد داد.
8- به فیلتر آدرس MAC اعتماد نکنید
یک اشتباه دیگر در مورد امنیت بیسیم این است که تصور میشود که فعال کردن فیلتر آدرس MAC، یک لایه دیگر از امنیت به شبکه اضافه مینماید، و این مساله که کدام کلاینتها میتوانند به شبکه متصل شوند، تحت کنترل قرار خواهد گرفت. این تصور تا حدی صحیح است، اما به خاطر داشته باشید که کنترل شبکه در مورد آدرسهای MAC مجاز و سپس تغییر آدرسهای MAC برای شنود کنندگان، کار بسیار ساده ای است.
شما نباید با پیاده سازی فیلتر MAC تصور کنید که کار زیادی برای امنیت شبکه خود انجام داده اید، ولی ممکن است این کار راهی برای اعمال یک کنترل ضعیف بر روی اینکه کاربران کدام کامپیوترها و دستگاهها بر روی شبکه آمده اند، ایجاد نماید. البته این نکته را نیز به خاطر بسپارید که به روز نگه داشتن لیست MAC ممکن است بسیار سخت باشد.
9- SSID هایی را که کاربران می توانند متصل شوند، محدود کنید
بسیاری از مدیران شبکه یک ریسک امنیتی ساده اما بالقلوه خطرناک را مورد چشم پوشی قرار میدهند: کاربرانی که به طور شناخته شده یا ناشناس به یک شبکه بیسیم همسایه یا غیر مجاز متصل میشوند، کامپیوتر خود را در برابر نفوذ احتمالی باز میگذارند. به هر حال فیلتر کردن SSID ها یک راه برای جلوگیری از این نفوذ است. برای مثال در ویندوز ویستا و نسخه های پس از آن، شما میتوانید از دستورات netsh wlan برای افزودن فیلتر به SSID هایی که کاربران میتوانند مشاهده کرده و به آن متصل شوند، استفاده کنید. برای دستگاههای دسکتاپ، شما میتوانید تمامی SSID ها به جز SSID های شبکه بیسیم خود را رد نمایید. در مورد لپ تاپها، شما میتوانید فقط SSID های شبکه های همسایه را رد کنید، اما به آنها اجازه دهید که برای مثال به شبکه خانه خود متصل گردند.
10- در مورد محافظت از کلاینتهای موبایل فراموش نکنید
تصور شما در مورد امنیت Wi-Fi نباید به شبکه خودتان محدود گردد. ممکن است کاربران تلفن های هوشمند، لپ تاپ ها و تبلت ها در محل کار امن باشند، اما در هنگام اتصال به شبکه بیسیم منزل خود چطور؟ شما باید سعی کنید اطمینان حاصل کنید که سایر اتصالات Wi-Fi آنها نیز امن است تا بتوانید از نفوذ و شنود جلوگیری نمایید.
متاسفانه این کار ساده نیست و نیازمند ترکیبی از راه حلها به همراه آموزش کاربران در مورد ریسکهای امنیت Wi-Fi و معیارهای جلوگیری است.
و در آخر اجزای شبکه را به طور فیزیکی امن نمایید
به خاطر بسپارید که امنیت کامپیوتر فقط به جدیدترین تکنولوژی های و رمزنگاری ها ختم نمیشود. امن کردن اجزای شبکه به صورت فیزیکی میتواند به همان اندازه مهم باشد. اطمینان حاصل کنید که access point ها در مکانی خارج از دسترس یا یک موقعیت امن قرار دارند. اگر این اجزا به لحاظ فیزیکی امن نگردند، دیگران میتوانند به سادگی به آن دسترسی پیدا کرده و تنظیمات آن را به تنظیمات پیش فرض کارخانه ای بازگردانند تا دسترسی به آن باز شود.
دو نکته مهم :
اولا، تمامی لپ تاپها و نوت بوکها باید یک فایروال شخصی (مانند فایروال ویندوز) فعال داشته باشند تا از نفوذ جلوگیری کند. شما در صورت اجرای یک سرور ویندوز می توانید این کار را از طریق سیاست گروهی انجام دهید، یا اینکه از یک راه حل دیگر برای مدیریت کامپیوترهای غیر دامنه استفاده کنید.
ثانیا، شما نیاز دارید اطمینان حاصل کنید که ترافیک اینترنتی کاربران زمانی که بر روی یک شبکه دیگر هستند، در برابر شنود کنندگان محلی، از طریق ارائه دسترسی VPN به شبکه شما، رمزگذاری میشود.شما همچنین باید اطمینان حاصل کنید که هریک از سرویس هایی که در معرض اینترنت قرار دارند امن سازی شده اند. برای مثال در صورتی که سرویس ایمیل خارج از LAN، WAN یا VPN خود ارائه می دهید، اطمینان حاصل کنید که از رمزنگاری SSL برای جلوگیری از برداشت اطلاعات ورود یا پیغام های کاربر توسط هر نفوذگر محلی در شبکه غیر مطمئن استفاده میکنید.