ایمن سازی شبكه های بيسيم

فناوری بی سیم در سال های اخیر به نحو شگرفی رشد كرده است تا حدی كه امروزه به عنوان یكی از راه حل های مناسب جهت سازمان های بزرگ مطرح می باشد. در واقع در رشد تعداد كاربران متحركی (mobile) كه بایستی با شبكه های محلی در ارتباط باشند، استفاده از شبكه های بی سیم را اجتناب ناپذیر ساخته است. كاربرانی كه در عین داشتن آزادی عمل در جابه جایی و تحرك،‌نیاز به ارتباط online با شبكه محل كار خود را دارند. این كاربران عامل پدید آمدن شبكه های دسترسی از دور، موبایل و بی سیم  بودند.موسسه مهندسان برق و الكترونیك آمریكا(IEEE) طی چندین استاندارد، مشخصه های چنین شبكه هایی را تبیین نمود و تحت عنوان خانواده 802.11 آن ها را معرفی كرد. این مجموعه استاندارد دارای زیر بخش هایی به شرح زیر است:

802.11e: جهت اصلاح و بهبود كیفیت سرویس(Quality of service)
802.11f: جهت تنظیم بهتر دسترسی Access Point  ها.
802.11c : جهت بهبود ارتباط دستكگاه ها با یكدیگر .
802.11d : جهت بهبود عمل گردش در شبكه (roaming)

با وجود امكاناتی كه در شبكه های مبتنی بر 802.11 ارائه شده است ولی این واقعیت وجود دارد كه، چون برای انتقال اطلاعات در این شبكه ها هیچ حد و مرز فیزیكی وجود ندارد و این ترافیك توسط هوا منتقل می شود به این دلیل این نوع شبكه ذاتأ نا امن هستند.
از تمام عناصری كه برای ایجاد امنیت در شبكه سیم كشی شده استفاده شده می توان در شبكه های بیسیم نیز برای برقراری امنیت استفاده نمود. نكته مهمی كه در شبكه های بیسیم از لحاظ امنتی دارای اهمیت می باشد طراحی این گونه از شبكه های می باشد. در ادامه به چگونگی طراحی امن شبكه های بیسیم می پردازیم.

– طراحی شبكه:
یكی از موارد مهم كه در طراحی شبكه می بایست در نظر گرفته شود، چگونگی طراحی و نحوه ارتباط با شبكه سیم كشی شده است.

راههای زیادی جهت امن كردن شبكه و همین طور برای به خطر انداختن امنیت آن وجود دارد.
با طراحی و بكار گیری یك استراتژی محكم در شبكه های بیسیم میتوان از دسترسی  نفوذ گرها به شبكه جلوگیری بعمل آورد همچنین با اعمال كنترل های بیشتر روی بخش بیسیم شبكه، شبكه سیم كشی شده را نیز محافظت نمود تا  نفوذ گرها از این طریق نیز نتوانند وارد شبكه شوند. استفاده از فایروال و روتر در شبكه بیسیم همانند شبكه های سیم كشی شده نیز توصیه می شود.

– جداسازی توسط مكانیزم های جداسازی:

بهدلیل اینكه معمولأ AP ها رابط بین شبكه بیسیم و سیم كشی شده هستند، ایستگاه های كاری موجود در دو طرف این AP ها معمولأ در یك Broadcast Domain می باشند. با این توضیحات،  نفوذ گر شبكه بیسیم میتواند با استفاده از روشهای موجود روی شبكه های سیم كشی شده مانندARP cache Poisoning نسبت به اجرای Exploit روی ترافیك Broadcast اقدام نماید. همچنین  نفوذ گر می تواند ایستگاه های بیسیم دیگری را كه به AP متصل هستند را مورد حمله قرار دهد. این اتفاق در مورد ایستگاه های كاری موجود روی شبكه سیم كشی شده كه به شبكه بیسیم متصل هستند روی خواهد داد.
عوامل اصلی كه امنیت در شبكه بی  سیم را تعریف می كنند یا امنیت در این شبكه  ها از آن  ها متأثر می  شوند، پنج عنصر هستند كه عبارتند از:

1- نفوذگران یا سارقان (Theft)

2- كنترل دسترسی (Access Control)

3- احراز هویت (Authentication)

4- رمزنگاری (Encryption)

5- حراست (Safegurad)

1- نفوذ گران یا سارقان (theft):
كاربران غیرمجازی كه سعی میكنند كه وارد شبكه شما شوند و دادههای ارزشمند شما را بربایند. كارمندان قبلی یا اخراجی شركت كه به هر علتی سعی در انتقام گرفتن از شركت را دارند، از جمله كاندیدادهای اصلی چنین افرادی میباشند. ساده ترین كار برای جلوگیری از خرابكاری آن ها، غیرفعال كردن نام كاربری آن ها در زمان پایان قرارداد كاری می باشد. این كار ساده، یكی از كارآمدترین روش ها برای مقابله با این افراد است. انواع حمله توسط نفوذگران به شرح زیر است:

الگوهای حمله های متداول
حملات نفوذگران به شبكه های بی سیم به دو گروه فعال (Active) و غیرفعال (Passive) تقسیم می شود.

الف- الگوهای حملات فعال
الگوهای حمله فعال به این صورت است كه  نفوذ گر تلاش می كند كانال داده، پیام ها یا فایل ها را دستكاری كند و تغییر دهد. این حملات معمولاً از نوع DoS یا MA هستند.

– حملات انكارسرویس (DoS)

یك حمله DoS یا DDoS (نوع توزیع شده DoS) با هدف قطع دسترسی كاربران به شبكه صورت می گیرد. این حملات می تواند از داخل یا خارج شبكه سازماندهی شوند و زیان های زیادی را در بردارد.

– حملات MA) Message Alteration )
در این قبیل حملات،  نفوذ گر تلاش می كند كه یك پیام واقعی را با افزودن، حذف كردن یا تغییر دادن آن، تغییر دهد. این كار باعث می شود كه اطمینان به پیام های تبادل شده روی شبكه كاهش یابد و ترافیك زاید شبكه افزایش پیدا كند.
ب- الگوهای حملات غیرفعال
در این حملات، كاربر غیرمجاز به منابع شبكه دسترسی پیدا می كند اما نمی خواهد كه متن پیامی را تغییر كند. بلكه می خواهد از اطلاعات شبكه استفاده نماید. سه نوع حمله غیرفعال وجود دارد كه عبارتند از:

– پاسخ گویی. در این روش،  نفوذ گر به كانال داده ها دسترسی دارد و در ابتدای كار زیانی به سیستم وارد نمی كند اما می تواند كه بعضی پیام ها را طوری به كاربران مجاز شبكه بفرستد كه آن ها گمان كنند پیام از جانب سرور آمده است.

– Eavesdropping. در این روش، نفوذگر به همه داده های تبادلی روی شبكه گوش می كند تا پیام مناسبی كه از سمت یك ایستگاه به سمت سرور رفته است را پیدا كند.

– تحلیل ترافیك. روشی دیگری برای حمله كه در آن  نفوذ گر، ترافیك شبكه را تحلیل می كند تا الگوی كلی شبكه را به دست بیاورد. وی با این كار متوجه می شود كه دقیقاً هر ایستگاه كاری چه كار می كند و چگونه كار می كند.

2- كنترل دسترسی (access control):
در بسیاری از سازمان ها، مجوزهای دسترسی به آسانی به همه اعطا می شوند. خیلی ساده است كه در ویندوز روی Network Neighborhood كلیك كنید و همه اجزای بی سیم یا باسیم موجود در شبكه (یا قسمتی از شبكه مربوط به خودتان) را مشاهده كنید. اما آیا برای دسترسی به هر قسمت، رمزهای عبور تعریف شده اند و در این مورد سیاستگذاری شده است؟
آیا مشخص است كه چه چیزهایی برای چه كسانی به اشتراك گذاشته شده است؟ بسیاری از كارمندان برای این كه یك سند را برای شخص دیگری به اشتراك بگذارند، كل درایو حاوی آن سند را share می كنند و این امكان را با تمام مجوزهای خواندن و نوشتن فراهم می كنند. در چنین حالتی اگر یك ویروس به شبكه نفوذ كند، به سادگی ایستگاه كاربری آن كاربر را از كار می اندازد و متعاقب آن، امنیت كل شبكه را به مخاطره خواهد انداخت.

شبكه های بی سیم نه تنها همه آسیب پذیری های شبكه های كابلی (wired)را دارند، بلكه یك نفوذگر یا خرابكار می تواند از بیرون از ساختمان شركت، با داشتن یك كارت شبكه بی سیم و مقداری مهارت، به AP شبكه شما متصل شود. پس این جاست كه اهمیت كنترل كردن دسترسی ها خود را بیشتر نشان می دهد.

3-احراز هویت (authentication):
آیا می دانید هویت واقعی كاربری كه اكنون به شبكه وارد شده است چیست؟ ممكن است یك نفر از حساب كاربری شخص دیگری برای ورود به شبكه استفاده نموده باشد. در بسیاری از سازمان ها، تنها یك حساب كاربری با نامwireless user ایجاد می شود و همه افراد از همان اكانت برای ورود به شبكه استفاده می كنند. در نتیجه ورود  نفوذ گرها نیز به شبكه به همان سهولت صورت می گیرد.
برای احراز هویت كاربران، می توانید روتر شبكه را طوری تنظیم كنید كه فقط به كارت های شبكه مجاز امكان اتصال به شبكه را بدهد. از آن جایی كه هر كارت شبكه بی سیم دارای یك آدرس MAC منحصر به فرد است، لذا انجام این كار به سادگی صورت می پذیرد.
4-رمزنگاری (encrypting):
اگر یك نفوذگر نتواند به طور مستقیم و غیرمجاز به شبكه شما وارد شود، ممكن است از طریق packet sniffing بر ترافیك شبكه شما نظارت كند و آن را مورد حمله قرار دهد و با كنترل ترافیك شبكه به اطلاعات ارزشمندی همچون نام های عبور، رمزهای عبور و سایر اطلاعات دسترسی پیدا كند و در مرتبه بعدی با استفاده از آن اطلاعات به سادگی به شبكه وارد شود.
برای این منظور باید از روش های رمزنگاری كه در روترها یا AP ها تعبیه شده اند استفاده كنید. متأسفانه اغلب كاربران، ویژگی های رمزنگاری را روی ادوات بی سیم خود فعال نمی كنند. پروتكل امنیتی WEP یكی از این روش های رمزنگاری است كه برای استاندارد IEEE 802.11b تعریف شده است. WEP امنیتی را معادل امنیت شبكه های كابلی می دهد ولیكن به تنهایی كافی نیست.
زیرا خطرات بیشتری شبكه های بی سیم را تهدید می كنند. پروتكل WEP در لایه های پیوند داده (Data Link) و فیزیكی (Physical) استفاده می شود اما نمی تواند ارتباطات نقطه به نقطه را پوشش دهد. اغلب روترها از رمزنگاری 64 بیتی و 128 بیتی پشتیبانی می كنند. با این كه WEP امنیت كامل را برآورده نمی كند ولیكن بسیاری از كاربران با غیرفعال كردن امكان رمزنگاری، از همین مزیت نیز خود را محروم می كنند.

5- حراست از شبكه :
شناخت امكانات و ویژگی های روتر یا AP نیز بسیارمهم است. اغلب دستگاه ها دارای چراغ راهنمای نشان دهنده در جریان بودن ترافیك شبكه هستند. در ضمن نرم افزارهایی دارند كه می توانند ترافیك را اندازه بگیرند و حجم ترافیك هر ارتباط را اندازه گیری كنند و نشان بدهند. با همین نرم افزارها می توانید متوجه ترافیك های غیرعادی در شبكه بشوید و علت را بررسی كنید.
– سیستم های آشكارسازی نفوذ :
وقتی از حراست از شبكه صحبت می كنیم، ناچاریم كه توضیحاتی هم درباره سیستم های آشكارسازی نفوذ یا Intrusion Detection System داشته باشیم.
روش های خودكار یا غیرخودكار زیادی برای نفوذ به شبكه ها وجود دارند كه سیستم های آشكارسازی نفوذ یا IDS ها می توانند آن ها را كشف كنند. این تلاش ها می تواند در داخل شبكه یا خارج از شبكه صورت گیرد كه در هر دو صورت IDSها باید بتوانند آن ها را نشان دهد. این روش های گوناگون عبارتند از:

– آشكارسازی الگو (Pattern Detection):
یك IDS داده های مربوط به شبكه را جمع آوری می كند و برای تحلیل آن ها، از یك پایگاه داده ای بزرگ كه شامل الگوهای انواع حمله ها است كمك می گیرد. این روش  برای مواقعی بسیار مناسب است كه نفوذگر از روش های شناخته شده ای كه الگوی آن ها در بانك اطلاعاتی موجود است، استفاده می نماید.

– NIDS و HIDS:
سیستم های مبتنی بر شبكه و میزبان كه پكت های شبكه را تحلیل می كنند. NIDS پكت هایی كه ز فایروال عبور كرده اند را بررسی می كند و HIDS فعالیت همه كامپیوترها یا میزبان های موجود در شبكه را كنترل می كند.

– سیستم های غیرفعال و واكنشی
سیستم های IDS غیرفعال (Passive)، اطلاعات شبكه را ثبت می كنند و در صورت دیدن مشكل، آن  را اعلام می كنند. سیستم های واكنشی (Reactive) با دیدن مشكل، ارتباط آن كاربر را با شبكه قطع می كنند یا فایروال را طوری برنامه ریزی می كنند كه مانع از ورود ترافیك از جانب نفوذگر شود.
لازم به توضیح است كه IDS با فایروال تفاوت دارد. یك دیواره آتش به طور معمول از ورود هكرهای خارج از شبكه جلوگیری می كند و به هكرهای درون سازمان توجهی ندارد. اما یك IDS به محض رویت اولین تلاش برای نفوذ به شبكه، هشدار می دهد. ضمن آن كه به هكرهای درون سازمان نیز به دقت توجه دارد.
بهترین حفاظ برای شما، آشنا شدن خودتان با شبكه WLAN و تجهیزات بی سیم تان است. موضوعی كه درباره رمزنگاری گفتیم را باید به دقت رعایت كنید و حداقل رمزنگاری 64 بیتی را داشته باشید، ولی توصیه می كنیم كه از رمزنگاری 128 بیتی استفاده كنید. وقتی كه رمزنگاری را فعال كردید باید به سراغ محدود كردن دسترسی ها و مجاز شمردن نشانی های MAC خاصی بروید كه می توانند به شبكه متصل شوید
–      اجزای شبكه WLAN:
در بررسی اجزای كلی شبكه های بی سیم به شبكه هایی با بعد جغرافیایی كوچكتر مثل WLAN می پردازیم كه از اجزای آن بصورت زیر است:
Wireless  Access  Point-: این دستگاه عمل روتر را انجام می دهد و فراهم كننده دسترسی دستگاه های بی سیم به شبكه بی سیم است.و معمولا اغلب از استاندارد های 802.11 پشتیبانی می كند.بعضی از آنها در دوباند عمل می كنند(Dual Band)
Mobile Device – :كه همان واحد متحركی است كه باید ارتباط آ نبا شبكه برقرار شود.
Wireless  Network   Interface  Card – : این كارت شبكه دستگاه های سیار را قادر به برقراری ارتباط با AP می كند. هر كارت كه همانند كارت شبكه معمولی عمل می كند و دارای یك آدرس MAC منحصر به فرد است. ضمن آنكه لازم است با AP  هماهنگی كامل داشته باشد.  مشابه AP ها، كارت شبكه بی سیم نیز برخی Dual band  هستند كه مزیت خوبی برای آن ها محسوب می گردد
Security server – : در اغلب شبكه های WLAN سروری وجود دارد كه مسئول مدیریت كردن مسایل امنیتی است تا اطلاعات تبادلی روی شبكه آسیب نبینند.
امنیت در WLAN:
مشخصه های تعریف شده برای شبكه های محلی بی سیم به طور ذاتی نا امن هستند زیرا اساسا بنیاد آن ها بر این فرض استوار است كه همگان باید بتوانند به شبك هدسترسی داشته باشندو از منابع آن استفاده كنند.اما اعمالی كه نفوذگران ممكن است طی حمله به شبكه های WLAN صورت دهند چگونه است؟ برخی از این حملات متداول نفوذ گران عبارتند از:
Sniffing –
این اصطلاح هنگامی به كار می رود كه شخص مشغول نظارت بر ترافیك شبكه( به طور قانونی یا غیر قانونی)‌باشد. اغلب اطلاعات ارسالی توسط Access Point ها به راحتی قابل sniff كردن است زیرا فقط شامل متون معمولی و رمز نشده است. پس ب هسادگی یك نفوذگر می تواند با جعل هویت دیجیتالی یكی از كاربران شبكه، به داده های ارسالی یا دریافتی AP دسترسی پیدا كند.
Spoofing-
در این حمله شخصی با جعل هویت یكی از كاربران مجاز، اقدام به سرقت داده های شبكه می نماید. به عنوان مثال، فرد نفوذگر ابتدا با sniff كردن شبكه، یك از آدرس های فیزیكی مجاز شبك هرا بدست می آورد، سپس با استفاده از آن ، خود را به عنوان یكی از كاربران معتبر به AP معرفی می نماید و اقدام به دریافت اطلاعات می كند.

Jamming-
این اصطلاح به معنای ایجاد تداخل رادیویی به جهت جلوگیری از فعالیت سالم و مطمئن AP است. از این طریق فعالیت AP مختل شده و امكان انجام هیچ گونه عملی روی شبكه میسر نخواهد شد. به عنوان مثال ، دستگاه هایی منطبق بر 802.11b ( به جهت شلوغ بودن باند فركانسی كاری آن ها) به سادگی مختل می شوند.
Session Hijacking –
در این جا فرد نفوذگر خود را دستگاهی معرفی می كند كه ارتباطش را با AP داده و مجددا ارتباط دارد. اما در همین حین، نفوذگر همچنان با شبكه مرتبط بوده و مشغول جمع آوری  اطلاعات است.
Denial of service –
این اصطلاح هنگامی به كار می رود كه نفوذگر وارد شبكه شده است و ترافیك شبكه را با داده های بی ارزش بالا می برد تا حدی كه شبكه به طور كلی از كار بیفتد یا اصطلاحا Down شود. یكی از راه های ساده ی این كار، ارسال در خواست اتصال به شبكه(log on) به تعداد بی نهایت است.
Man in the middle –
در این حالت، فرد نفوذگر اقدام به تغییر پیكربندی ادوات متحرك به همراه شبیه سازی وضعیت Access point می نماید. در نتیجه ترافیك شبكه به محل دیگری كه در آن AP شبیه سازی شده ، انتقال می یابد. در چنین وضعیتی،‌نفوذگر می تواند  كلیه اطلاعات را بدون نگرانی و واسطه بخواند و جمع آوری كند، ضمن آن كه كاربران همگی فكر می كنند كه مشغول كار در شبكه خودشان هستند. انجام این كار چندان مشكل نیست زیرا تمامی شبكه های WLAN از احراز هویت در سمت سرویس گیرنده (Client-silde authentication) استفاده می كنند و احراز هویتی در سمت AP صورت نمی گیرد. در نتیجه، كاربران از اتصال به AP مجاز یا غیرمجاز مطلع نمی شوند
با توجه به آنچه تا كنون گفته شد، سازمان ها و نهادهایی همچون IEEE  و Wi-Fi وی‍‍ژگی های امنیتی متعددی را برای WLAN پیشنهاد و استاندارد نموده اند.
–         WEP(Wired Equivalent Privacy)
مشخصه ی 802.11b نوعی روش رمزنگاری اولیه به نام WEP دارد كه در حالت پیش فرض، غیرفعال است. WEP از فرمول RC-4 و 40 بیت برای رمز نمودن اطلاعات استفاده می كند كه ابزارهای قفل شكن امروزی، طی چند ثانیه رمز آن گشوده می شود. در نسخه های جدیدتر WEP از رمزنگاری 128 بیتی استفاده می گردد كه بسیار بهتر از حالت قبل است اما همچنان كافی نیست.
نقیصه ی امنیتی كه در این جا دیده می شود فقط در نحوه رمز نگاری نیست، بلكه در مورد كلیدی است كه از آ ن برای رمزگشایی استفاده می كردد، زیرا این كلید حالت ثابت و ایستا دارد و شرایط ساده تری برای نفوذگر برقرار است و به دلیل اینكه با تغییر كلید باید تنظیمات AP را باید به صورت دستی تغییر داد سرپرستان شبكه اغلب، كلید ها را هر چند ماه یكبار تغییر می كنند. البته تنها مشكل این حالت تعداد كم بیت نیست در واقع حتی اگر این تعداد به 256 بیت نیز تغییر كند نفوذگر در تعداد فریم بیشتر و با اندك زمان بیشتری به این كلید دست پیدا خواهد كرد.

WEP همچنین دارای احراز هویت از نوع ساده می باشد و كاربران جهت دسترسی به شبكه به یك SSID(service set identifier) نیزا دارند كه عبارت است از یك رشته 32 كاراكتری منحصر به فرد كه به ابتدای بسته های داده ای WLAN الصاق می گردد. این كار بدین منظور صورت گرفته كه شبكه مطمئن شود فقط بسته هایی كه دارای این مشخصه هستند مجاز به دسترسی می باشند ، البته به دست آوردن SSID  نیز برای نفوذگران كار آسانی نیست. با فعال كردن WEP راه هایی ورود نفوذگر ها را به حداقل می رسانیم. نكته دیگری كه باید در این مورد گفته شود این است كه اغلب AP ها از DHCP آدرس IP می گیرندو این از جمله راه های رورد غیر مجاز نفوذ گران به داخل شبكه است.
یك دیگر از دسترسی های دیگر كه محافظت شده است با عنوان WPA(wireless protected access) شناخته می شود یكی از شیوه های مطلوب محافظت از شبكه است كه در استاندارد 802.11i گنجانده شده و اغلب دستگاهایی كه از استاندارد Wi-Fi پشتیبانی می كنند آن را در خود جای داده اند. در واقع نحوه ی عملكرد این نوع احراز هویت این گونه است كه اگر ماربری 2 packet غیر مجاز را طی یك دوره زمانی( مثلا یك ثانیه) ارسال كند، سیستم فرض می كند كه شبكه مورد حمله قرار گرقته است در نتیجه به طر خودكار كلیه راههای دسترسی را مسدود می كند. فعال سازی این ویژگی فقط برای سازمان هایی كه درجه امنیت بسیار بالایی برخواردارند، توصیه می شود.

–      Access Point های تقلبی
یكی دیگر از راه های ورود نفوذگران به داخل شبكه استفاده از AP های غیر مجاز است كه به وسیله ی آ ن می توانند مانند سایر كاربران شبكه در نظر گرفته شوند و به راحتی از اطلاعات شبكه استفاده كنند. برای مقابله با این مشكل از آشكار سازهای امواج رادیویی استفاده می شود. بدین صورت كه اشخاصی بطور فیزیكی در اطراف ساختمان محل استقرار شبكه باید حركت كنند و AP های نامشخص  را شناسایی كنند.

پاسخ دهید