امنيت، امنيت، و امنيت بيشتر! و حالا امنيت از نوع بي سيم! اگر از شبكههاي wireless استفاده مي كنيد، يا قصد استفاده از آنها را داريد، حتماً هفت راه مهم زير براي امنتر كردن شبكه خود در نظر داشته باشيد.
1 – تغيير SSID پيشفرض
پيدا كردن يك Access Point با SSID پيشفرض كارخانه، كار سختي نيست. كافي است يك لپتاپ، يك آنتن با gain مناسب و يك برنامه Netstumbler در اختيار داشته باشيد. با زدن چرخي در اطراف، به راحتي APهايي را كه از نام پيشفرض كارخانه استفاده ميكنند، كشف خواهيد كرد. با داشتن SSID هر كسي مي تواند به راحتي با AP ارتباط برقرار كند. با اين حال اگر SSID را از حالت پيشفرض كارخانه به يك شناسه دلخواه و غيرقابل حدس تغيير دهيد، ديگر كسي نميتواند با Netstumbler يا فهرستي از SSIDهاي معمول (به اينجا سري بزنيد. فهرستي از SSIDهاي پيشفرض كه معمولاً مورد استفاده واقع ميشوند را مشاهده خواهيد كرد) بهAPهاي شما دسترسي داشته باشد.
APهاي جعلي، نقاط دسترسي فريبنده و غيرقابل اعتمادِ شبيهسازي شدهاند. جعل AP مكانيزمي براي فريبدادن قربانيهاست تا بدون اينكه بدانند، به يك AP شبيهسازي شده وصل شوند و از آن استفاده كنند.
راه انداختن يك AP جعلي، كار سادهاي است.
با هزينه حدود صد دلار ميتوان يك AP خريد و با اتصال آن به شبكه سيمي LAN، در شبكه يك backdoor ايجاد نمود. با داشتن يك لپتاپ، لينوكس، (hostap.epitest.fi) و airsnarf.shmoo.com) Air Snarf) به راحتي ميتوان يك AP جعلي ساخت. مهاجمان AP SSID جعلي را با APهاي شما همسان در نظر گرفته و اگر كانال كاري آنها را مطابق Access Pointهاي شما انتخاب كنند، سرويسگيرندگان به آن دستگاهي وصل خواهند شد كه سيگنال قويتري داشته باشد. پس از اتصال سرويسگيرندهها، مهاجم ميتواند تمام ارتباطات و دادهها را زير نظر گرفته و username و password كاربران را به سرعت سرقت كند.
براي اجتناب از اين خطرات بايد به دنبالAP هاي جعلي بگرديد. براي اين كار ميتوانيد از kismet ،wellenreiter ياAiro Peek و Wireless Sniffer استفاده كنيد. البته در اصل اولين نقطه مبارزه شما با مهاجمان و هكرها، ايجاد يك محيط مناسب براي شبكه است. علاوه بر بهينهسازي مكان APها و تهيه نقشه از شبكه خود، كاربران را با ريسكهاي تهديدكننده و عواقب خرابكاري در شبكه آشنا كنيد.
پروتكل Simple Network Management Protocol) SNMP) در ابزارهاي مبتني بر TCP/IP به وفور مورد استفاده قرار ميگيرد. اكثر برنامههاي مديريت شبكه مثل Microsoft Network Monitor ،HP Openview، و IBM Tiroli Netview باSNMP مرتبطند و توانايي كار با آن را دارند. يك مرورگر SNMP كه يك ابزار نظارت و مديريت پركاربرد در شبكه است، با استفاده از پايگاه اطلاعات سلسله مراتبي مديريتي MIB، با دستگاهها ارتباط برقرار كرده و دادهها را از آنها دريافت ميكند. براي مثال، snmp walk يك مرورگر ساده SNMP بوده و ميتواند به اجزاي شبكه فراميني را ارسال كرده يا دادهها را از آنها دريافت كند.
پروتكل SNMP خيلي امن نيست و فقط از يك string براي امنيت سطح پايين خود استفاده ميكند. اين رشته كهcommunity string ناميده ميشود، چيزي شبيه رمزهاي عبور گروهي است ك افراد زيادي ميتوانند از آن مطلع باشند. سه نوع رشته گروهي در SNMP وجود دارد: فقط خواندني، خواندني / نوشتني، و trap؛ كه اولي و دومي براي ارسال و دريافت دادهها بوده و سومي به ندرت مورد استفاده قرار ميگيرد.
به هر ترتيب در شبكه جاهاي زيادي وجود دارد كه مجبوريد در آنها از يك دستگاه مبتني بر SNMP استفاده كنيد. رشتههاي فوق كه اكثراً در دفترچه راهنماي محصول آورده شده است، در اختيار همه بوده و در اين صورت هر فردي ميتواند با Telnet يا HTTP به دستگاه دسترسي داشته باشد.
به همين علت، توصيه ميكنيم SNMP را در تجهيزات شبكه خود غيرفعال كنيد و اگر هم بر استفاده از آن اصرار داريد، رشتههاي دستگاهها را به رشتههايي بلند و غيرقابل حدس تغيير دهيد. از گذاشتن نام شركت توليدكننده،SSID شبكه و حتي كليدهاي WEP جداً پرهيز كنيد. با گذاشتن وقت مناسب يك رشته قوي بسازيد. اين اولين خط دفاع شماست و اگر مهاجم يكي از اجزاي شبكه شما را در اختيار داشته باشد، كل شبكه در اختيار او خواهد بود.
اگر از يك AP ساخت سيسكو استفاده ميكنيد، بايد به اين نكته توجه كنيد كه محصولات سيسكو از Cisco Discorery Protocol) CDP) پشتيباني ميكنند. پس CDP يا هر پروتكل ارتباطي مورد استفاده دستگاه را حتماً غيرفعال كنيد.
4 – قطع منبع تغذيه
فرض كنيد در فاصله صد متري از AP خود، سيگنال قوي و مناسبي دريافت ميكنيد. در اين صورت با استفاده از آنتنهايي با gain بالا مثلاً 16 يا 20dbe عملاً ميتوانيد برد شبكه را تا چند كيلومتر افزايش دهيد. اين به آن معني است كه هر كس در اين فاصله ميتواند با AP شما ارتباط برقرار نمايد و با خيال راحت براي نفوذ به شبكه شما تلاش كند. پس حتماً اگر از شبكه استفاده نميكنيد، APها را خاموش كنيد.
چون سيگنالهاي راديويي در همه جا منتشر ميشوند، اولين كاري كه بايد انجام دهيد آن است كه يك سري تنظيمات توان مصرفي را براي AP خود در نظر بگيريد تا به اين طريق يك سلول با پوشش راديويي محدود ايجاد كرده باشيد. كاهش توان AP، سيگنال منتشره شده را ضعيف ميكند و در اين صورت ناحيه كوچكتري توسط AP شما پوشش داده خواهد شد.
دومين كاري كه بايد انجام دهيد آن است كه سيگنالهاي ارسالي را در خارج از محيط خود آزمايش كنيد. اگر قدرت سيگنالها زياد بود، مجبوريد كمي آنها را تضعيف كنيد. ميتوانيد با نصب يك تضعيف كننده كار را به خوبي انجام دهيد. پيدا كردن تضعيفكننده مناسب در فروشگاههاي قطعات الكترونيكي كار سختي نيست. راهحلهاي خوبي براي اينكار دارد.
نهايتاً اينكه، بايد از تكنيك شكل دادن به سيگنال RF استفاده كنيد. براي اينكار به جاي استفاده از آنتنهاي يك جهته،بايد از آنتنهاي دو جهته يا دو تكه براي جهتدهي به موج راديويي منتشرشده از APها استفاده كنيد.
 |
|
شکل 1
براي مشاهده عکس در ابعاد بزرکتر روي آن کليک کنيد. |
5 – امن كردن Access Pointها با اتصال به فايروال
شبكه نشان داده شده در شكل 1 را در نظر بگيريد. در نگاه اول اين شبكه يك شبكه خوب با ملاحظات امنيتي مناسب به نظر ميرسد. به نظر شما مشكل اين شبكه چيست؟ درست است، AP پشت فايروال قرار گرفته است. اين يعني وجود يك درِ پشتي به شبكه شما.
اين مورد مشكل تازهاي نيست. در بسياري از شركتها كارمندان روي كامپيوترهايشان برنامههاي مديريت از راه دوري مثل PcAnywhere نصب ميكنند تا زماني كه در شركت نيستند، بتوانند با يك خط تلفن به كامپيوتر خود دسترسي داشته باشند.
بدون توجه به دليل اينكار، ميتوان گفت اين افراد با ايجاد BackDoor، شبكه را در معرض حمله و نابودي قرار ميدهند. در اكثر مواقع هم مدير شبكه از اين روزنهها خبر نداشته و با خيال راحت مشغول تنظيم فايروال براي امنيت بيشتر شبكه هستند. غافل از اينكه اوضاع خرابتر از آن است كه آنها فكر ميكنند.
با قرار دادن AP پشت فايروال، يك دسترسي ميانبر به پشت فايروال و درون شبكه ايجاد خواهيد كرد. براي حل مشكل بايد شبكه بيسيم و شبكه سيمي خود را با روش DMZ از هم جدا كنيد. توصيه ميكنم كه به شبكه خود، بين شبكه داخلي (intranet) و شبكه خارجي (internet) يك DMZ يا يك شبكه بيسيم غربالشده اضافه كنيد. در اين DMZ ميتوانيد سرورauthentication، وب سرور، و سرور DNS خود را قرار دهيد. با قرار دادن سرور احراز هويت در اين قسمت، ميتوانيد ترافيك بين شبكه خارجي و داخلي را تنظيم كنيد.
 |
|
شکل 2
|
در اين حالت با داشتن امكانات بيسيم، ميتوانيد APها را از شبكه سيمي جدا كنيد و يك راه قابل اعتماد به داخل شبكه خود داشته باشيد.
به اين روش، تقسيمبندي شبكه ميگويند و با آن نقاط بيسيم شبكه خود را به تكههاي جدا از هم تقسيم مينماييد و اتصال آنها به ديگر اجزا را با سرور authentication محدود خواهيد كرد.
سادهترين تقسيمبندي شبكه با WDMZ در شكل 2 نشان داده شده است. توجه كنيد كه شبكه بيسيم پشت سرور احراز هويت قرار گرفته است كه به صورت يك پراكسي عمل ميكند و ساختار داخلي شبكه همچنان مخفي خواهد ماند.
شبكه نشان داده شده در شكل 2 از شبكه شكل 1 بهتر است، اما ايدهآل نيست. در اين حالت هم قوانين تعيينشده در فايروال ناديده گرفته ميشوند. به شكل 3 توجه كنيد. WDMZ مستقيماً به فايروال متصل شده است.
 |
|
شکل 3
|
توجه كنيد كه در اين حالت هم سرويسگيرندهها مجبورند در لايه دوم TCP تأييد هويت شوند، اما با فايروال هم ميتوان ترافيك غيرمجاز را بلوكه كرد. فراموش نكنيد كه در شبكه بيسيم از WEP يا EAP استفاده كنيد.
فقط يك نكته ديگر را به خاطر داشته باشيد. APها را هميشه به سوييچ وصل كنيد نه هاب. هابها مثلAPها اطلاعات را به كل شبكه منتشر ميكنند. لذا هر كسي ميتواند دادههاي رد و بدل شده را زير نظر بگيرد. اما سوييچ اطلاعات را فقط به مقصد ارسال كرده و ديگر زير نظر گرفتن كل ترافيك براي ديگران آسان نخواهد بود.
ما در مورد امنيت شبكههاي بيسيم صحبت ميكرديم يا بيسيم؟ قسمت زيادي از شبكه بيسيم را اتصال آن به شبكه سيمي زيرساخت تشكيل ميدهد. قبلاً در مورد AccessPointهاي جعلي صحبت كرديم.
افرادي كه در يك قسمت عمومي مثل پاركينگ در شركت شما به شبكه سيمي دسترسي دارند، به راحتي ميتوانند با يك لپتاپ يك Access Point جعلي بسازند و با Ethereal به دنبال username و passwordهاي متني مبادله شده در شبكه بگردند، با nmap شبكه شما را اسكن كنند و در بهترين حالت با رها كردن آن، به ديگران اجازه استفاده آزاد از آن را بدهند.
پس دسترسي به شبكه سيمي خود را حتماً كنترل كنيد و از اينكه هر كسي نميتواند به راحتي به آن دسترسي داشته باشد، اطمينان حاصل كنيد.
محكم كاريAP ها يك پروسه قدم به قدم براي پيكربندي امنيتي سيستم و محافظت در مقابل دسترسيهاي تأييد نشده است. اكثر توليدكنندگان،APهاي توليدي خود را طوري عرضه ميكنند كه به آساني قابل راهاندازي و عرضه باشد و براي اينكار بسياري از تنظيمات اوليه امنيتي دستگاه را غيرفعال مينمايند. با فعالسازي و تنظيمكردن بسياري از قابليتهاي دروني اين دستگاهها ميتوان از آنها يك نقطه دسترسي امن و قابل اطمينان ساخت. فهرست زير راههايي براي محكم كاري APها! ارائه ميكند:
● قابليتهاي اضافه براي رمزنگاري و احراز هويت مثل EAP را فعال كنيد.
●AP را در مكان امن و مناسبي قرار دهيد تا از دستكاري و سرقت در امان باشد.
●AP را از عوامل محيطي و طبيعي مثل رعد و برق يا باد شديد محافظت كنيد.
● به صورت دورهاي تلاش براي حملات هكرها را با برنامههايي كه در اين زمينه وجود دارند كنترل كنيد.
پس از محكمكاري APها نوبت به امنسازي كلاينتهاست. آخرين نرمافزارهاي امنيتي، آنتيويروسهاي بروز شده و فايروالهاي شخصي قوي مثل Zone Alarm يا Black ICE را روي آنها نصب كنيد.