نکات اساسی وبسیارمهم درموردامنیت WiFi

نکاتی مهم و لازم مربوط به امنیت Wi-Fi

 امنیت Wi-Fi خیلی بیشتر از تنظیم یک رمز ساده است. با  اختصاص یک زمان مناسب  برای یادگیری و استفاده از اقدامات امنیتی پیشرفته می توانید راه بسیار خوبی برای محافظت بهتر از شبکه خودپیداکنید. در اینجا پنج راهنمایی برای امنیت شبکه Wi-Fi رانوشته ایم که بسیارمهم واثرگذاراست.

استفاده از یک نام شبکه غیرمعمول یا پنهان (SSID)

شناسه خدمات سرویس (SSID) یکی از پایه های اصلی تنظیمات شبکه Wi-Fi است. اگر چه به نظر نمی رسد که نام شبکه بتواند امنیت را به خطر بیندازد، اما بدون شک می تواند کمکی بر آسیب پذیری باشد. با استفاده از یک SSID بیش از حد معمول، مانند “Wireless” یا نام پیشفرض فروشنده، می توانید باعث شوید كه  حالت شخصی امنیت WPA یا WPA2 را از بین ببرد. به این دلیل است که الگوریتم رمزنگاری شامل SSID است، و واژه نامه های cracking که توسط هکرها استفاده می شوند، با SSID معمول و پیش فرض بارگیری می شوند. با استفاده از یکی از این ها، کار هکر آسان تر می شود.

(همانطور که در ادامه خواهیم گفت،  یکی از مزایای استفاده از حالت سازمانی این است که، شبکه هایی که از حالت سازمانی WPA و یا امنیت WPA2 استفاده می کنند کمتر  آسیب پذیری اند.)

 

“شبکه خود را باهوشمندی نامگذاری کنید – چیزی عمومی، اما نه خیلی رایج و بدون آشکار کردن موقعیت مکانی”

اگرچه ممکن است اسم SSID را خیلی رایج و راحت انتخاب کنیم، مانند نام شرکت، آدرس یا شماره مجوز، که ممکن است بهترین ایده ای هم نباشد. مخصوصا اگر شبکه تان در یک ساختمان یا در نزدیکی ساختمان های دیگر باشد. اگر هکرها از نزدیک شما به طور اتفاقی رد شوند و مثلا دوازده شبکه مختلف Wi-Fi را آشکار  بینند، به احتمال زیاد یکی از آسان ترین آن را شناسایی می کنند که هک کردن آن راحت تر باشد. همچنین پیدا کردن آسیب پذیری در یک منطقه پر ازدحام آسان تر است.

 ممکن است SSID broadcast را غیرفعال کنید، که این کار باعث می شود نام شبکه شما نامرئی باشد، اما من این را پیشنهاد نمی کنم. مجبور کردن کاربران به وارد کردن دستی SSID، و اثرات منفی عملکرد درخواست prob در Wi-Fi، معمولا از مزایای امنیت بیشتر نیست، هکر با ابزار مناسب می تواند از ترافیک شبکه دیگر SSID  را نیز پیدا کند.

 

امنیت فیزیکی را فراموش نکنید

امنیت بی سیم – و یا تمام امنیت های شبکه  در فن آوری های جدید و مدرن در پروتکل ها خلاصه نمی شود. شما می توانید بهترین رمزگذاری را داشته باشید و همچنان آسیب پذیر باشید. امنیت فیزیکی یکی از آن آسیب پذیری هاست.

کثر نقاط دسترسی (AP) یک دکمه تنظیم مجدد دارند که می تواند برای بازگرداندن تنظیمات پیش فرض کارخانه همچنین از بین بردن امنیت Wi-Fi و اجازه دادن به هر کسی برای برقراری ارتباط فشار داده شود. بدین ترتیب، AP های توزیع شده در کل سیستم شما باید از لحاظ فیزیکی امن باشند  و همچنین برای جلوگیری از جاسوسی محافظت شوند. اطمینان حاصل کنید که آنها همیشه خارج از دسترس قرار دارند و از مکانیسم قفل شونده توسط فروشنده AP برای محدود کردن دسترسی فیزیکی به دکمه های AP و پورت ها استفاده شود. 

یکی دیگر از نگرانی های امنیتی فیزیکی در مورد Wi-Fi زمانی است که کسی یک AP غیر مجاز را به شبکه اضافه کند که معمولا به نام ”  rogue AP ” نامیده می شود. این کار می تواند به دلایل قانونی توسط یک کارمند که مایل به پوشش بیشتر Wi-Fi است، یا تلاش یک بیگانه برای  دسترسی به این مرکزباشد.

برای جلوگیری از این نوع از AP ها، اطمینان حاصل کنید که از پورت Ethernet استفاده نشده (پورت های دیوار یا اترنت های سست) را غیرفعال کنید.

 شما می توانید پورت ها یا کابل ها را از لحاظ فیزیکی حذف کنید یا اتصال آن کابل را روی روتر یا سوئیچ غیرفعال کنید. یا اگر واقعا میخواهید امنیت را افزایش دهید، تأیید هویت 802.1X را در قسمت شبکه فعال کنید، که این مستلزم پشتیبانی  روتر یا سوئیچ شما از آن است ،بنابراین هر دستگاهی که به پورت اترنت متصل می شود، برای ورود به شبکه باید وارد صفحه ی ورودی شود.

از WPA2 سازمانی با تأیید هویت 802.1X استفاده کنید

یکی از مؤثرترین مکانیسم های امنیتی Wi-Fi شما  قرار دادن حالت سازمانی در امنیت Wi-Fi است زیرا هر کاربر به صورت جداگانه تأیید هویت می شود به طوری که  هر کس می تواند نام کاربری و رمز عبور Wi-Fi خود را داشته باشد. بنابراین اگر یک لپ تاپ یا دستگاه تلفن همراه از بین رفته و یا به سرقت رفته باشد یا یک کارمند شرکت را ترک کند، تنها کاری که نیاز است  (تغییر یا لغو کردن اطلاعات کاربرخاص) می باشد.

 (در حالت شخصی، همه کاربران یک رمز عبور وای فای را به اشتراک می گذارند، بنابراین زمانی که دستگاه ها از دست رفته یا کارکنان شما را ترک کنند، باید رمز عبور را در هر دستگاه تغییر دهید – با زحمتی قراوان.)

 یکی دیگر از مزایای بزرگ حالت سازمانی این است که هر کاربر کلید اختصاصی خود را دارا است. به این معناست که کاربران فقط می توانند ترافیک داده خود را بررسی کنند.

برای قرار دادن AP ها در حالت سازمانی ابتدا باید یک سرور RADIUS را راه اندازی کنید. این امکان تأیید هویت کاربر را فراهم میکندبه پایگاه داده یا دایرکتوری (مانند Active Directory) متصل می شود و نام های کاربری و کلمات عبور هرکاربررامیگیرد.

.اگر شما می خواهید یک سرور RADIUS مستقل نصب کنید، بهتر است ابتدا بررسی کنید که سرورهای دیگر (مانند یک سرور ویندوز) قبلا این عملکرد را ارائه داده است یا خیر، اگر نه، یک سرویس RADIUS مبتنی بر فضای ابری یا Host را در نظر بگیرید.

همچنین به یاد داشته باشید که برخی از نقاط دسترسی بی سیم یا کنترل کننده ها، یک پایگاه اساسی ساخته شده در سرور RADIUS را ارائه می دهند، اما عملکرد آنها و قابلیت های محدودشان معمولا برای شبکه های کوچکتر مفید است

“با استفاده از امنیت سازمانی Wi-Fi ، کاربران هنگام اتصال به نام کاربری و رمز عبور منحصر به فرد خود نیاز دارند.”

 

تنظیمات سرویس گیرنده 802.1X را امن کنید

مانند دیگر فناوری های امنیتی، حالت سازمانی Wi-Fi همچنان دارای آسیب پذیری هایی است. یکی از این حملات man-in-the-middle است. یک هکر در یک فرودگاه یا کافه یا حتی در خارج از پارکینگ یک دفتر شرکتی نشسته است، یک نفر می تواند یک شبکه Wi-Fi جعلی را با همان SSID مشابه یا مشابه به عنوان شبکه ای که سعی در تقلید دارد، ایجاد کند؛ هنگامی که لپ تاپ یا دستگاه شما برای اتصال تلاش می کند، یک سرور RADIUS جعلی می تواند مدارک ورود شما را ضبط کند. پس از آن هکر میتواند از اعتبار ورودی شما برای اتصال به شبکه واقعی Wi-Fi استفاده کند.

یک راه برای جلوگیری از حملات man-in-the-middle  با احراز هویت 802.1X است که از تأییدیه سرور برسرویس گیرنده استفاده شود. هنگامی که تأییدیه سرور روی سرویس گیرنده بی سیم فعال می شود، مشتری اعتبار ورود به سیستم Wi-Fi خود را به سرور RADIUS منتقل نخواهد کرد تا اینکه با یک سرور قانونی ارتباط برقرار کند. قابلیت تایید دقیق سرور و الزاماتی که می توانید بر مشتریان تحمیل کنید بسته به دستگاه یا سیستم عامل مشتری متفاوت است.

به عنوان مثال، در ویندوز، می توانید نام دامنه سروردهنده قانونی را وارد کنید، مجوز گواهی صادر کننده سرور را نیز انتخاب کنید، و سپس مجوز هر سرور جدید یا مجوز گواهینامه را به اجرا در آورید. بنابراین اگر کسی شبکه جعلی Wi-Fi و سرور RADIUS را راه اندازی کرده و شما اشتباهی سعی در ورود به آن داشته باشید، ویندوز شما را از اتصال متوقف خواهد کرد.

“در هنگام تنظیم پیکربندی تنظیمات EAP اتصال Wi-Fi، ویژگی تأیید سرور 802.1X را در ویندوز پیدا می کنید.”

 

استفاده از تشخیص Rogue-AP یا پیشگیری از نفوذ بی سیم

ما قبلا در سه سناریو آسیب پذیری APها را  بررسی کردیم: جایی که مهاجم می تواند یک شبکه جعلی شبکه Wi-Fi و سرور RADIUS را راه اندازی کند؛ دیگری که می تواند یک AP را به پیش فرض های کارخانه بازنشانی کند وسوم، خود شخص بتواند AP شخصی خود را وارد شبکه کند.

هر یک از این AP های غیر مجاز ممکن است توسط کارمندان فناوری اطلاعات، اگر حفاظت مناسب برای ان قرار نگیرد، باعث شود برای مدت زمان طولانی مورد شناسایی قرار گیرند. بنابراین، ایده خوبی برای فعال کردن هر نوع تشخیص Rogue-AP ارائه شده توسط AP شما یا فروشنده کنترلر بی سیم مفید است. روش دقیق تشخیص و عملکرد متفاوت است، اما اکثر آنها حداقل به صورت دوره ای موج های هوا را اسکن می کنند و اگر یک AP جدید در محدوده مجوز های مجاز شناسایی شود، به شما هشدار می دهند.

یک مثال ساده از شناسایی “Rogue-AP ، استفاده از courtesy در Cisco جایی که شما می توانید فهرستی از AP های دیگر را در منطقه محدوده خود مشاهده کنید.

برای قابلیت های تشخیص بیشتر، برخی از فروشندگان AP  یک سیستم تشخیص نفوذ بی سیم کامل (WIDS) یا سیستم محافظت در برابر نفوذ (WIPS) را ارائه میدهند  که می تواند طیف وسیعی از حملات بی سیم و فعالیت مشکوک همراه با Rogue-AP را شناسایی کند، که شامل درخواستهای احراز هویت اشتباه، درخواستهای منقضی شده ی سرور و سوءاستفاده ازآدرس مک است.

 علاوه بر این، اگر از یک WIPS واقعی استفاده کنید که ارائه دهنده حفاظت باشد، نه WIDS که فقط شناسایی می کند، باید قادر به انجام اقدامات خودکار مانند از بین بردن یا مسدود کردن سرویس گیرنده مشکوک بی سیم برای محافظت از شبکه تحت حمله باشد.

اگر ارائه دهنده AP شما از ویژگی های امنیتی ضد ویروس ساخته نشده یا WIPS را پشتیبانی نمی کند، یک راه حل شخص ثالث را در نظر بگیرید. شما ممکن است به راه حل های مبتنی بر سنسور نگاه کنید که می تواند عملکرد Wi-Fi و مسائل امنیتی را از شرکت هایی مانند 7SIGNAL، Cape Networks و NetBeez نظارت کند.

Wi-Fi یک نقطه ورودی است که هکرها می توانند از آن برای دسترسی به شبکه بدون داخل شدن  در داخل ساختمان شما استفاده کنند، زیرا ارتباط بیسیم نسبت به شبکه های کابل کشی شده بسیار آسیب پذیر تر است، این ویژگی باعث میشود که ما  در مورد امنیت اتصالمان بیشتر دقت کنیم.

0 نظرات
بازخورد (Feedback) های اینلاین
View all comments