هفت نكته براي داشتن شبكه بي‌سيم امن‌

ترجمه: عرفان نظري‌فاضل
ماهنامه شبکه – مهر ۱۳۸۵ شماره 69

اشاره :
امنيت، امنيت، و امنيت بيشتر! و حالا‌ امنيت از نوع بي‌سيم! اگر از شبكه‌هاي wireless استفاده مي‌كنيد، يا قصد استفاده از آن‌ها را داريد، حتماً هفت راه مهم زير براي امن‌تر كردن شبكه خود در نظر داشته باشيد.

1 –  تغيير SSID پيش‌فرض
پيدا كردن يك Access Point با SSID پيش‌فرض كارخانه، كار سختي نيست. كافي است يك لپ‌تاپ، يك آنتن با gain  مناسب و يك برنامه Netstumbler در اختيار داشته باشيد. با زدن چرخي در اطراف، به راحتي APهايي را كه از نام پيش‌فرض كارخانه استفاده مي‌كنند، كشف خواهيد كرد. با داشتن SSID هر كسي مي‌تواند به راحتي با AP ارتباط برقرار كند. با اين حال اگر SSID را از حالت پيش‌فرض كارخانه به يك شناسه دلخواه و غيرقابل حدس تغيير دهيد، ديگر كسي نمي‌تواند با Netstumbler يا فهرستي از SSIDهاي معمول (به اينجا سري بزنيد. فهرستي از SSIDهاي پيش‌فرض كه معمولا‌ً مورد استفاده واقع مي‌شوند را مشاهده خواهيد كرد) بهAPهاي شما دسترسي داشته باشد.

2 – جست‌وجوي APهاي جعلي
APهاي جعلي، نقاط دسترسي فريبنده و غيرقابل اعتمادِ شبيه‌سازي شده‌اند. جعل AP مكانيزمي براي فريب‌دادن قرباني‌هاست تا بدون اين‌كه بدانند، به يك AP شبيه‌سازي شده وصل شوند و از آن استفاده كنند.
راه انداختن يك AP جعلي، كار ساده‌اي است.
 
با هزينه حدود صد دلا‌ر مي‌توان يك AP خريد و با اتصال آن به شبكه سيمي LAN، در شبكه يك backdoor ايجاد نمود. با داشتن يك لپ‌تاپ، لينوكس، (hostap.epitest.fi) و  airsnarf.shmoo.com) Air Snarf) به راحتي مي‌توان يك AP جعلي ساخت. مهاجمان AP SSID جعلي را با APهاي شما همسان در نظر گرفته و اگر كانال كاري آن‌ها را مطابق Access Pointهاي شما انتخاب كنند، سرويس‌گيرندگان  به آن دستگاهي وصل خواهند شد كه سيگنال قوي‌تري داشته باشد. پس از اتصال سرويس‌گيرنده‌ها، مهاجم مي‌تواند تمام ارتباطات و داده‌ها را زير نظر گرفته و username و password كاربران را به سرعت سرقت كند.

براي اجتناب از اين خطرات بايد به دنبالAP هاي جعلي بگرديد. براي اين كار مي‌توانيد از kismet ،wellenreiter ياAiro Peek و Wireless Sniffer استفاده كنيد. البته در اصل اولين نقطه مبارزه شما با مهاجمان و هكرها، ايجاد يك محيط مناسب براي شبكه است. علا‌وه بر بهينه‌سازي مكان APها و تهيه نقشه از شبكه خود، كاربران را با ريسك‌هاي تهديدكننده و عواقب خرابكاري در شبكه آشنا كنيد.

3 – غيرفعال كردن SNMP
پروتكل Simple Network Management Protocol) SNMP) در ابزارهاي مبتني بر TCP/IP به وفور مورد استفاده قرار مي‌گيرد. اكثر برنامه‌هاي مديريت شبكه مثل Microsoft Network Monitor ،HP Openview، و IBM Tiroli Netview باSNMP مرتبطند و توانايي كار با آن را دارند. يك مرورگر SNMP كه يك ابزار نظارت و مديريت پركاربرد در شبكه است، با استفاده از پايگاه اطلا‌عات سلسله مراتبي مديريتي MIB، با دستگاه‌ها ارتباط برقرار كرده و داده‌ها را از آن‌ها دريافت مي‌كند. براي مثال، snmp walk يك مرورگر ساده SNMP بوده و مي‌تواند به اجزاي شبكه فراميني را ارسال كرده يا داده‌ها را از آن‌ها دريافت كند.

پروتكل SNMP خيلي امن نيست و فقط از يك string براي امنيت سطح پايين خود استفاده مي‌كند. اين رشته كهcommunity string  ناميده مي‌شود، چيزي شبيه رمزهاي عبور گروهي است ك افراد زيادي مي‌توانند از آن مطلع باشند. سه نوع رشته گروهي در SNMP وجود دارد: فقط خواندني، خواندني / نوشتني، و trap؛ كه اولي و دومي براي ارسال و دريافت داده‌ها بوده و سومي به ندرت مورد استفاده قرار مي‌گيرد.

به هر ترتيب در شبكه‌ جاهاي زيادي وجود دارد كه مجبوريد در آن‌ها از يك دستگاه مبتني بر SNMP استفاده كنيد. رشته‌هاي فوق كه اكثراً در دفترچه راهنماي محصول آورده شده است، در اختيار همه بوده و در اين صورت هر فردي مي‌تواند با Telnet يا HTTP به دستگاه دسترسي داشته باشد.

به همين علت، توصيه مي‌كنيم SNMP را در تجهيزات شبكه خود غيرفعال كنيد و اگر هم بر استفاده از آن اصرار داريد، رشته‌هاي دستگاه‌ها را به رشته‌هايي بلند و غيرقابل حدس تغيير دهيد. از گذاشتن نام شركت توليدكننده،SSID شبكه و حتي كليدهاي WEP جداً پرهيز كنيد. با گذاشتن وقت مناسب يك رشته قوي بسازيد. اين اولين خط دفاع شماست و اگر مهاجم يكي از اجزاي شبكه شما را در اختيار داشته باشد، كل شبكه در اختيار او خواهد بود.
اگر از يك AP ساخت سيسكو استفاده مي‌كنيد، بايد به اين نكته توجه كنيد كه محصولا‌ت سيسكو از Cisco Discorery Protocol) CDP) پشتيباني مي‌كنند. پس CDP يا هر پروتكل ارتباطي مورد استفاده دستگاه را حتماً غيرفعال كنيد.

4 – قطع منبع تغذيه
فرض كنيد در فاصله صد متري از AP خود، سيگنال قوي و مناسبي دريافت مي‌كنيد. در اين صورت با استفاده از آنتن‌هايي با gain بالا مثلا‌ً 16‌ يا 20dbe عملا‌ً مي‌توانيد برد شبكه را تا چند كيلومتر افزايش دهيد. اين به آن معني است كه هر كس در اين فاصله مي‌تواند با AP شما ارتباط برقرار نمايد و با خيال راحت براي نفوذ به شبكه شما تلا‌ش كند. پس حتماً اگر از شبكه استفاده نمي‌كنيد، APها را خاموش كنيد.

چون سيگنال‌هاي راديويي در همه جا منتشر مي‌شوند، اولين كاري كه بايد انجام دهيد آن است كه يك سري تنظيمات توان مصرفي را براي AP خود در نظر بگيريد تا به اين طريق يك سلول با پوشش راديويي محدود ايجاد كرده باشيد. كاهش توان AP، سيگنال منتشره شده را ضعيف مي‌كند و در اين صورت ناحيه كوچك‌تري توسط AP شما پوشش داده خواهد شد.

دومين كاري كه بايد انجام دهيد آن است كه سيگنال‌هاي ارسالي را در خارج از محيط خود آزمايش كنيد. اگر قدرت سيگنال‌ها زياد بود، مجبوريد كمي آن‌ها را تضعيف كنيد. مي‌توانيد با نصب يك تضعيف كننده كار را به خوبي انجام دهيد. پيدا كردن تضعيف‌كننده مناسب در فروشگاه‌هاي قطعات الكترونيكي كار سختي نيست. راه‌حل‌هاي خوبي براي اين‌كار دارد.

نهايتاً اين‌كه، بايد از تكنيك شكل دادن به سيگنال RF استفاده كنيد. براي اين‌كار به جاي استفاده از آنتن‌هاي يك جهته،‌بايد از آنتن‌هاي دو جهته يا دو تكه براي جهت‌دهي به موج راديويي منتشرشده از APها استفاده كنيد.

 

شکل 1
براي مشاهده عکس در ابعاد بزرکتر روي آن کليک کنيد.

5 – امن كردن Access Pointها با اتصال به فايروال
شبكه نشان داده شده در شكل 1 را در نظر بگيريد. در نگاه اول اين شبكه يك شبكه خوب با ملا‌حظات امنيتي مناسب به نظر مي‌رسد. به نظر شما مشكل اين شبكه چيست؟ درست است، AP پشت فايروال قرار گرفته است. اين يعني وجود يك درِ پشتي به شبكه شما.

اين مورد مشكل تازه‌اي نيست. در بسياري از شركت‌ها كارمندان روي كامپيوترهايشان برنامه‌هاي مديريت از راه دوري مثل PcAnywhere نصب مي‌كنند تا زماني كه در شركت نيستند، بتوانند با يك خط تلفن به كامپيوتر خود دسترسي داشته باشند.

بدون توجه به دليل اين‌كار، مي‌توان گفت اين افراد با ايجاد BackDoor، شبكه را در معرض حمله و نابودي قرار مي‌دهند. در اكثر مواقع هم مدير شبكه از اين روزنه‌ها خبر نداشته و با خيال راحت مشغول تنظيم فايروال براي امنيت بيشتر شبكه هستند. غافل از اين‌كه اوضاع خراب‌تر از آن است كه آن‌ها فكر مي‌كنند.

با قرار دادن AP پشت فايروال، يك دسترسي ميانبر به پشت فايروال و درون شبكه ايجاد خواهيد كرد. براي حل مشكل بايد شبكه بي‌سيم و شبكه سيمي خود را با روش DMZ از هم جدا كنيد. توصيه مي‌كنم كه به شبكه خود، بين شبكه داخلي (intranet) و شبكه خارجي (internet) يك DMZ يا يك شبكه بي‌سيم غربال‌شده اضافه كنيد. در اين DMZ مي‌توانيد سرورauthentication، وب سرور، و سرور DNS خود را قرار دهيد. با قرار دادن سرور احراز هويت در اين قسمت، مي‌توانيد ترافيك بين شبكه خارجي و داخلي را تنظيم كنيد.
 

 
 

در اين حالت با داشتن امكانات بي‌سيم، مي‌توانيد APها را از شبكه سيمي جدا كنيد و يك راه‌ قابل اعتماد به داخل شبكه خود داشته باشيد.
 
به اين روش، تقسيم‌بندي شبكه مي‌گويند و با آن نقاط بي‌سيم شبكه خود را به تكه‌هاي جدا از هم تقسيم مي‌نماييد و اتصال آن‌ها به ديگر اجزا را با سرور authentication محدود خواهيد كرد.
 
ساده‌ترين تقسيم‌بندي شبكه با WDMZ در شكل 2 نشان داده شده است. توجه كنيد كه شبكه بي‌سيم پشت سرور احراز هويت قرار گرفته است كه به صورت يك پراكسي عمل مي‌كند و ساختار داخلي شبكه همچنان مخفي خواهد ماند.

شبكه نشان داده شده در شكل 2 از شبكه شكل 1 بهتر است، اما ايده‌آل نيست. در اين حالت هم قوانين تعيين‌شده در فايروال ناديده گرفته مي‌شوند. به شكل 3 توجه كنيد. WDMZ مستقيماً به فايروال متصل شده است.

 
 

توجه كنيد كه در اين حالت هم سرويس‌گيرنده‌ها مجبورند در لا‌يه دوم TCP تأييد هويت شوند، اما با فايروال هم مي‌توان ترافيك غيرمجاز را بلوكه كرد. فراموش نكنيد كه در شبكه بي‌سيم از WEP يا EAP استفاده كنيد.
 
فقط يك نكته ديگر را به خاطر داشته باشيد. APها را هميشه به سوييچ وصل كنيد نه هاب. هاب‌ها مثلAPها اطلا‌عات را به كل شبكه منتشر مي‌كنند. لذا هر كسي مي‌تواند داده‌هاي رد و بدل شده را زير نظر بگيرد. اما سوييچ اطلا‌عات را فقط به مقصد ارسال كرده و ديگر زير نظر گرفتن كل ترافيك براي ديگران آسان نخواهد بود.

6 – محدود كردن دسترسي به شبكه سيمي
ما در مورد امنيت شبكه‌هاي بي‌سيم صحبت مي‌كرديم يا بي‌سيم؟ قسمت زيادي از شبكه بي‌سيم را اتصال آن به شبكه سيمي زيرساخت تشكيل مي‌دهد. قبلا‌ً در مورد AccessPointهاي جعلي صحبت كرديم.
 
افرادي كه در يك قسمت عمومي مثل پاركينگ در شركت شما به شبكه سيمي دسترسي دارند، به راحتي مي‌توانند با يك لپ‌تاپ يك Access Point جعلي بسازند و با Ethereal به دنبال username و passwordهاي متني مبادله شده در شبكه بگردند، با nmap شبكه شما را اسكن كنند و در بهترين حالت با رها كردن آن، به ديگران اجازه استفاده آزاد از آن را بدهند.

پس دسترسي به شبكه سيمي خود را حتماً كنترل كنيد و از اين‌كه هر كسي نمي‌تواند به راحتي به آن دسترسي داشته باشد، اطمينان حاصل كنيد.

7 – محكم كردن Access Pointها و كلا‌ينت‌ها!
محكم كاريAP ها يك پروسه قدم به قدم براي پيكربندي امنيتي سيستم و محافظت در مقابل دسترسي‌هاي تأييد نشده است. اكثر توليدكنندگان،APهاي توليدي خود را طوري عرضه مي‌كنند كه به آساني قابل راه‌اندازي و عرضه باشد و براي اين‌كار بسياري از تنظيمات اوليه امنيتي دستگاه را غيرفعال مي‌نمايند. با فعال‌سازي و تنظيم‌كردن بسياري از قابليت‌هاي دروني اين دستگاه‌ها مي‌توان از آن‌ها يك نقطه دسترسي امن و قابل اطمينان ساخت. فهرست زير راه‌هايي براي محكم كاري AP‌ها! ارائه مي‌كند:

●از آخرين فايروال‌هاي عرضه‌شده توسط توليدكننده روي دستگاه استفاده كنيد.

●‌SNMP را غيرفعال نماييد يا از رشته‌هاي قوي و بلند استفاده كنيد.

●از قوي‌ترين سطح كدگذاري استفاده كنيد.

●پروتكل‌ها و قابليت‌هاي غيرضروري را غيرفعال كنيد.
‌●‌ قابليت‌هاي اضافه براي رمزنگاري و احراز هويت مثل EAP را فعال كنيد.
●‌AP را در مكان امن و مناسبي قرار دهيد تا از دستكاري و سرقت در امان باشد.
‌●‌AP را از عوامل محيطي و طبيعي مثل رعد و برق يا باد شديد محافظت كنيد.
‌●‌ به صورت دوره‌اي تلا‌ش براي حملا‌ت هكرها را با برنامه‌هايي كه در اين زمينه وجود دارند كنترل كنيد.

پس از محكم‌كاري APها نوبت به امن‌سازي كلا‌ينت‌هاست. آخرين نرم‌افزارهاي امنيتي، آنتي‌ويروس‌هاي بروز شده و فايروال‌هاي شخصي قوي مثل Zone Alarm يا Black ICE را روي آن‌ها نصب كنيد.


ترجمه: عرفان نظري‌فاضل

  1. هنوز دیدگاهی داده نشده است.
  1. No trackbacks yet.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: