امنیت شبکه وایرلس - چگونه یک شبکه Wireless امن بسازیم؟

راهکارهای رایجی  برای افزایش ضریب ایمنی این شبکه در محیط های خونگی و اداری کوچک با یک Access Point

این راهکارها در زمینه های زیر تشریح خواهند شد:

- استفاده از Authentication و Data Encryption
- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده
- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن
- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast
- عدم استفاده از قابلیت MAC Address Filtering
- عدم استفاده از Authentication نوع Shared Key
- فعال سازی Firewall

موارد مذکور را در زیر به تفصیل بررسی خواهم کرد:

- استفاده از Authentication و Data Encryption

محافظت از شبکه های بی سیم IEEE 802.11 شامل رمزگذاری (Encryption) و اعتبارسنجی یا تصدیق هویت (Authentication) است. رمزگذاری، داده ها را در فریم های لایه 2 بی سیم قبل از ارسال مغشوش می کند و به این وسیله از مداخله مهاجمین در محتوای ارسالی جلوگیری می کند. تصدیق هویت هم همونطور که از اسمش پیداست قبل از اجازه دادن به کاربران برای اتصال به شبکه، اعتبار اونها رو کنترل می کنه و با این کار از دسترسی غیر مجاز کاربران و یا مهاجمین جلوگیری به عمل میاره. اگر از تصدیق هویت و رمزگذاری داده ها استفاده نکنید، کاربران مخرب می تونن به کامپیوترهای شما در شبکه حمله و یا از اتصال اینترنت شما برای فعالیت های مخرب و یا غیر مجاز استفاده کنن. 

در یک شبکه کوچک که از Domain استفاده نمی شه می تونید یکی از ترکیب های Authentication و Encryption زیر رو برای افزایش سطح امنیت انتخاب کنید:
(از بالا به پایین سطح امنیت کاهش پیدا می کنه...)

1- Wi-Fi Protected Access 2 (WPA2) - Personal Authentication که نام دیگر اون WPA2 با (Preshared Key (WPA2-PSK هستش بهمراه استاندارد رمزنگاری پیشرفته (AES)

2- Wi-Fi Protected Access (WPA)-Personal که نام دیگرش WPA-PSK authentication هستش بهمراه رمزنگاری (Temporal Key Integrity Protocol (TKIP

3- تصدیق هویت Open system بهمراه رمزنگاری (Wired Equivalent Privacy (WEP

تنظیمات مربوط به روش Authentication ، روش Encryption ، کلید Authentication و همچنین کلید Encryption را باید علاوه بر کلاینت بر روی Access Point مورد نظر نیز اعمال کنید.

چگونه موارد فوق را بر روی کامپیوترهای کلاینت تنظیم کنیم؟

WPA2-Personal Authentication with AES encryption

On the Manually connect to a wireless network page of the Connect to a network wizard, select WPA2-Personal in Security type and AES in Encryption type. Then, type the WPA2 preshared key in Security Key/Passphrase.
Alternately, you can use the Setup a wireless router or access point option of the Connect to a network wizard to automate the configuration of a WPA2 preshared key.
To configure Windows XP-based wireless clients for WPA2-Personal authentication and AES encryption, do the following:
On the Association tab of the properties of the wireless network, select WPA2-PSK in Network Authentication and AES in Data encryption. Then, type the WPA2 preshared key in Network key and Confirm network key


WPA-Personal Authentication with TKIP Encryption



To configure Windows Vista-based wireless clients, do the following:
In the Connect to a network wizard, select WPA-Personal in Security type and TKIP in Encryption type. Then, type the WPA preshared key in Security Key/Passphrase.
Alternately, you can use the Setup a wireless router or access point option of the Connect to a network wizard to automate the configuration of a WPA preshared key.

To configure Windows XP-based wireless clients, do the following:
On the Association tab of the properties of the wireless network, select WPA-PSK in Network Authentication and TKIP in Data encryption. Then, type the WPA preshared key in Network key and Confirm network key.

Alternately, you can use the Wireless Network Setup wizard in Windows XP with Service Pack 2 to automate the configuration of a WPA preshared key. For more information, see The New Wireless Network Setup Wizard in Windows XP Service Pack 2
. 


اگر به صورت دستی کلید WPA preshared ویا WPA2 preshared را ایجاد می کنید، باید یک رشته کاراکتر تصادفی را با استفاده از صفحه کلید (حروف بزرگ و کوچک، علامت ها و اعداد) در حداقل طول 20 کاراکتر یا اعداد هگزادسیمال (ارقام 0-9 و حروف A-F) در حداقل طول 24 رقم تولید کنید. اگر از گزینه Setup a wireless router or access point در ویزارد Connect to a network در ویندوز ویستا استفاده کرده باشید، ویندوز یک WPA2 preshared key با طول 63 کارکتر را به طور اتوماتیک برایتان ایجاد خواهد کرد.


Open System Authentication with WEP Encryption

Open Authentication در اصل یک روش تصدیق هویت نیست. اساسا ذکر این روش در کنار دو روش WPA و WPA2 به این علت است که در صورتی که از هیچ یک از روش های مذکور استفاده نشود، از روش Open System استفاده شده است.
Encryption نوع WEP با استفاده از Shared Key روشی بسیار آسیب پذیر است و ابدا" پیشنهاد نمی شه. به هر حال استفاده از آن بهتر از باز بودن کامل شبکه وایرلس شماست.
WEP معادل عبارت Wired Equivalent Protocol یا پروتکل معادل استفاده از کابل شبکه است.

- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده

Access Point های وایرلس با نام های شبکه پیشفرض در بازار عرضه می شن که به اون (Service Set Identifier (SSID گفته می شه.
لزوم تعویض این نام های پیش فرض دو دلیل عمده داره:

- درصورت وجود شبکه های نزدیک به شما با نام های پیشفرض (که احتمالش کم نیست) ممکنه کاربران اون شبکه امکان اتصال به شبکه شما رو تحت شرایطی داشته باشند و با تداخل پیش بیاد.
- با توجه به تفاوت نام پیشفرض بین تولیدکنندگان مختلف تجهیزات شبکه، امکان تشخیص ندل و برند تجهیزات شما ممکن خواهد بود.
- حتی الامکان از نام های تحریک آمیز نظیر نام شرکت، نام سازمان ها، نام افراد استفاده نکنید.
- بهترین انتخاب می تونه یک نام بی معنا باشه، مثلا" : dFtgg33

- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن

یهترین راه نفوذ درصورت امکان، دسترسی غیر مجاز به کلمه عبور Administrator شبکه وایرلس شماست. بهتره به موازات اون سد دیگری ایجاد کنید و نام کاربری Admin رو مثلا" به Adminjoon یا Admin34 یا هر کلمه غیر قابل پیش بینی دیگه ای تغییر بدید تا درصورت دسترسی به کلمه عبور شما نفوذگر ندنه از چه نام کاربری استفاده کنه.
قابل ذکره نام کاربری ادمین به طور پیش فرض بر روی اغلب این تجهیزات کلمه Admin هستش.

- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast

استفاده از قابلیت Hidden Network به این معنا نیست که شبکه شما غیر قابل مشاهده است. حتی باید گفت این عمل سطح امنیت شما رو کاهش می ده، چون در هر بار اتصال کلاینت ها به این نوع شبکه، کلاینت مذکور نام شبکه شما رو داد می زنه و منتظر دریافت پاسخ از سمت Access Pint می مونه. در این فاصله زمانی یک نفوذگر نه چندان خبره هم به راحتی می تونه خودش رو به جای Access Point واقعی جا بزنه و با اتصال به کلاینت از اون کلید مورد نظر رو به راحتی دریافت کنه.
علاوه بر این مشکلاتی در ارتباط با اتصال خودکار به این نوع شبکه ها در برخی حالات خاص وجود داره.

- عدم استفاده از قابلیت MAC Address Filtering

هدف استفاده از این روش محدود کردن تقاضاهای اتصال به کلاینت های با آدرس MAC مشخص هستش که البته استفاده از این روش رو اصلا" توصیه نمی کنم.
علاوه بر لزوم ویرایش لیست آدرس های مجاز با اضافه و کم شدن کاربران ثابت شبکه، لزوم ویرایش اون برای کاربران مقطعی و احتمال بروز خطا در این زمینه، این روش اصلا روشی اصولی و قوی در محافظت از شبکه نیست.
یک نفوذگر نه چندان حرفه ای می تونه با گوش دادن به ترافیک ارسالی از سورس های مجاز و یا به مقصدهای مجاز، آدرس های MAC مجاز رو شناسایی و با شبیه سازی اونها به شبکه دسترسی پیدا کنه. علاوه بر اون استفاده از این روش الگوریتم ذخیره سازی و تصدیق آدرس های MAC مرتبط با Access Point شما رو در دسترس افراد نفوذگر قرار می ده.

- عدم استفاده از Authentication نوع Shared Key

Shared Key Authentication نوع دیگری از تصدیق هویته که بهمراه رمزنگاری WEP انجام می شه (نوع دیگرش Open System بود که بررسی کردیم). در اغلب Access Point ها کلید بکار رفته برای Authentication با کلید WEP Encryption یکسانه و شخص نفوذگر، در لحظه اتصال یک کلاینت به شبکه (رد و بدل شدن Shared Key) با گوش دادن به پیغام ارسال کلید و پیغام تأیید صحت کلید و آنالیز اون به سادگی می تونه به کلمه WEP دسترسی پیدا کنه و حالا دیگه شخص نفوذگر از خدا هیچی نمی خواد چون انگار هیچ نوع رمزنگاری در شبکه شما فعال نیست!

- فعال سازی Firewall

فایروال رو هم که حتما" همتون می دونید که باید فعال کنید و ترافیک بیرون به درون رو محدود کنید.

موفق باشید

منبع :اهکارهای رایجی ربرای افزایش ضریب ایمنی این شبکه در محیط های خونگی و اداری کوچک با یک Access Point

این راهکارها در زمینه های زیر تشریح خواهند شد:

- استفاده از Authentication و Data Encryption
- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده
- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن
- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast
- عدم استفاده از قابلیت MAC Address Filtering
- عدم استفاده از Authentication نوع Shared Key
- فعال سازی Firewall

موارد مذکور را در زیر به تفصیل بررسی خواهم کرد:

- استفاده از Authentication و Data Encryption

محافظت از شبکه های بی سیم IEEE 802.11 شامل رمزگذاری (Encryption) و اعتبارسنجی یا تصدیق هویت (Authentication) است. رمزگذاری، داده ها را در فریم های لایه 2 بی سیم قبل از ارسال مغشوش می کند و به این وسیله از مداخله مهاجمین در محتوای ارسالی جلوگیری می کند. تصدیق هویت هم همونطور که از اسمش پیداست قبل از اجازه دادن به کاربران برای اتصال به شبکه، اعتبار اونها رو کنترل می کنه و با این کار از دسترسی غیر مجاز کاربران و یا مهاجمین جلوگیری به عمل میاره. اگر از تصدیق هویت و رمزگذاری داده ها استفاده نکنید، کاربران مخرب می تونن به کامپیوترهای شما در شبکه حمله و یا از اتصال اینترنت شما برای فعالیت های مخرب و یا غیر مجاز استفاده کنن. 

در یک شبکه کوچک که از Domain استفاده نمی شه می تونید یکی از ترکیب های Authentication و Encryption زیر رو برای افزایش سطح امنیت انتخاب کنید:
(از بالا به پایین سطح امنیت کاهش پیدا می کنه...)

1- Wi-Fi Protected Access 2 (WPA2) - Personal Authentication که نام دیگر اون WPA2 با (Preshared Key (WPA2-PSK هستش بهمراه استاندارد رمزنگاری پیشرفته (AES)

2- Wi-Fi Protected Access (WPA)-Personal که نام دیگرش WPA-PSK authentication هستش بهمراه رمزنگاری (Temporal Key Integrity Protocol (TKIP

3- تصدیق هویت Open system بهمراه رمزنگاری (Wired Equivalent Privacy (WEP

تنظیمات مربوط به روش Authentication ، روش Encryption ، کلید Authentication و همچنین کلید Encryption را باید علاوه بر کلاینت بر روی Access Point مورد نظر نیز اعمال کنید.

چگونه موارد فوق را بر روی کامپیوترهای کلاینت تنظیم کنیم؟

WPA2-Personal Authentication with AES encryption

On the Manually connect to a wireless network page of the Connect to a network wizard, select WPA2-Personal in Security type and AES in Encryption type. Then, type the WPA2 preshared key in Security Key/Passphrase.
Alternately, you can use the Setup a wireless router or access point option of the Connect to a network wizard to automate the configuration of a WPA2 preshared key.
To configure Windows XP-based wireless clients for WPA2-Personal authentication and AES encryption, do the following:
On the Association tab of the properties of the wireless network, select WPA2-PSK in Network Authentication and AES in Data encryption. Then, type the WPA2 preshared key in Network key and Confirm network key


WPA-Personal Authentication with TKIP Encryption



To configure Windows Vista-based wireless clients, do the following:
In the Connect to a network wizard, select WPA-Personal in Security type and TKIP in Encryption type. Then, type the WPA preshared key in Security Key/Passphrase.
Alternately, you can use the Setup a wireless router or access point option of the Connect to a network wizard to automate the configuration of a WPA preshared key.

To configure Windows XP-based wireless clients, do the following:
On the Association tab of the properties of the wireless network, select WPA-PSK in Network Authentication and TKIP in Data encryption. Then, type the WPA preshared key in Network key and Confirm network key.

Alternately, you can use the Wireless Network Setup wizard in Windows XP with Service Pack 2 to automate the configuration of a WPA preshared key. For more information, see The New Wireless Network Setup Wizard in Windows XP Service Pack 2
. 


اگر به صورت دستی کلید WPA preshared ویا WPA2 preshared را ایجاد می کنید، باید یک رشته کاراکتر تصادفی را با استفاده از صفحه کلید (حروف بزرگ و کوچک، علامت ها و اعداد) در حداقل طول 20 کاراکتر یا اعداد هگزادسیمال (ارقام 0-9 و حروف A-F) در حداقل طول 24 رقم تولید کنید. اگر از گزینه Setup a wireless router or access point در ویزارد Connect to a network در ویندوز ویستا استفاده کرده باشید، ویندوز یک WPA2 preshared key با طول 63 کارکتر را به طور اتوماتیک برایتان ایجاد خواهد کرد.


Open System Authentication with WEP Encryption

Open Authentication در اصل یک روش تصدیق هویت نیست. اساسا ذکر این روش در کنار دو روش WPA و WPA2 به این علت است که در صورتی که از هیچ یک از روش های مذکور استفاده نشود، از روش Open System استفاده شده است.
Encryption نوع WEP با استفاده از Shared Key روشی بسیار آسیب پذیر است و ابدا" پیشنهاد نمی شه. به هر حال استفاده از آن بهتر از باز بودن کامل شبکه وایرلس شماست.
WEP معادل عبارت Wired Equivalent Protocol یا پروتکل معادل استفاده از کابل شبکه است.

- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده

Access Point های وایرلس با نام های شبکه پیشفرض در بازار عرضه می شن که به اون (Service Set Identifier (SSID گفته می شه.
لزوم تعویض این نام های پیش فرض دو دلیل عمده داره:

- درصورت وجود شبکه های نزدیک به شما با نام های پیشفرض (که احتمالش کم نیست) ممکنه کاربران اون شبکه امکان اتصال به شبکه شما رو تحت شرایطی داشته باشند و با تداخل پیش بیاد.
- با توجه به تفاوت نام پیشفرض بین تولیدکنندگان مختلف تجهیزات شبکه، امکان تشخیص ندل و برند تجهیزات شما ممکن خواهد بود.
- حتی الامکان از نام های تحریک آمیز نظیر نام شرکت، نام سازمان ها، نام افراد استفاده نکنید.
- بهترین انتخاب می تونه یک نام بی معنا باشه، مثلا" : dFtgg33

- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن

یهترین راه نفوذ درصورت امکان، دسترسی غیر مجاز به کلمه عبور Administrator شبکه وایرلس شماست. بهتره به موازات اون سد دیگری ایجاد کنید و نام کاربری Admin رو مثلا" به Adminjoon یا Admin34 یا هر کلمه غیر قابل پیش بینی دیگه ای تغییر بدید تا درصورت دسترسی به کلمه عبور شما نفوذگر ندنه از چه نام کاربری استفاده کنه.
قابل ذکره نام کاربری ادمین به طور پیش فرض بر روی اغلب این تجهیزات کلمه Admin هستش.

- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast

استفاده از قابلیت Hidden Network به این معنا نیست که شبکه شما غیر قابل مشاهده است. حتی باید گفت این عمل سطح امنیت شما رو کاهش می ده، چون در هر بار اتصال کلاینت ها به این نوع شبکه، کلاینت مذکور نام شبکه شما رو داد می زنه و منتظر دریافت پاسخ از سمت Access Pint می مونه. در این فاصله زمانی یک نفوذگر نه چندان خبره هم به راحتی می تونه خودش رو به جای Access Point واقعی جا بزنه و با اتصال به کلاینت از اون کلید مورد نظر رو به راحتی دریافت کنه.
علاوه بر این مشکلاتی در ارتباط با اتصال خودکار به این نوع شبکه ها در برخی حالات خاص وجود داره.

- عدم استفاده از قابلیت MAC Address Filtering

هدف استفاده از این روش محدود کردن تقاضاهای اتصال به کلاینت های با آدرس MAC مشخص هستش که البته استفاده از این روش رو اصلا" توصیه نمی کنم.
علاوه بر لزوم ویرایش لیست آدرس های مجاز با اضافه و کم شدن کاربران ثابت شبکه، لزوم ویرایش اون برای کاربران مقطعی و احتمال بروز خطا در این زمینه، این روش اصلا روشی اصولی و قوی در محافظت از شبکه نیست.
یک نفوذگر نه چندان حرفه ای می تونه با گوش دادن به ترافیک ارسالی از سورس های مجاز و یا به مقصدهای مجاز، آدرس های MAC مجاز رو شناسایی و با شبیه سازی اونها به شبکه دسترسی پیدا کنه. علاوه بر اون استفاده از این روش الگوریتم ذخیره سازی و تصدیق آدرس های MAC مرتبط با Access Point شما رو در دسترس افراد نفوذگر قرار می ده.

- عدم استفاده از Authentication نوع Shared Key

Shared Key Authentication نوع دیگری از تصدیق هویته که بهمراه رمزنگاری WEP انجام می شه (نوع دیگرش Open System بود که بررسی کردیم). در اغلب Access Point ها کلید بکار رفته برای Authentication با کلید WEP Encryption یکسانه و شخص نفوذگر، در لحظه اتصال یک کلاینت به شبکه (رد و بدل شدن Shared Key) با گوش دادن به پیغام ارسال کلید و پیغام تأیید صحت کلید و آنالیز اون به سادگی می تونه به کلمه WEP دسترسی پیدا کنه و حالا دیگه شخص نفوذگر از خدا هیچی نمی خواد چون انگار هیچ نوع رمزنگاری در شبکه شما فعال نیست!

- فعال سازی Firewall

فایروال رو هم که حتما" همتون می دونید که باید فعال کنید و ترافیک بیرون به درون رو محدود کنید.

موفق باشید

منبع :http://forum.p30world.com/showthread.php?t=391044