آموزش ایمن ترین تنظیمات رمزگذاری شبکه وای فای و شناسایی کاربران غیرمجاز
امنیت شبکه از مهمترین جوانب آن است. در ادامه راهکارهای بهبود امنیت شبکه وای فای و شناسایی و قطع دسترسی کاربران غیرمجاز عنوان شده است.
با افزایش محبوبیت استفاده از ارتباطات وای فای در اغلب گجتهای امروزی، لزوم توجه به رعایت نکات امنیتی نیز بیشازپیش کرد پیدا میکند. در همین راستا نیز روشها و ابزارهای مختلفی نیز برای هک رمز و شبکهی وایفای توسعه یافته است که توجه بیشتر به رعایت جوانب امنیتی شبکه را طلب میکند. اما اگر با روشهای متداول برای احراز هویت و رمزگذاری این ارتباطات وای فای و مزایا و معایب آنها آشنایی ندارید با زومیت همراه شوید تا به بررسی جامع این استانداردها بپردازیم.
تنظیمات امنیتی رمز وای فای
اگر شما هم تاکنون گذرتان به پنل تنظیمات روتر بیسیم منزل یا محلکارتان افتاده باشد، گزینههای مربوط به استانداردهای امنیتی وای فای نیز به چشمتان خورده است. در روترهای وای فای، به هنگام تنظیم رمز عبور برای شبکهی بیسیم، دو بخش دیگر نیز باید با گزینههای صحیح تنظیم شوند؛ بخش Authentication Type یا شیوهی احراز هویت که معمولاً شامل گزینههایی از این قراراند:
- Disabled (یا Open)
- WEP 64 Bits
- WEP 128 Bits
- WPA – PSK
- WPA2 – PSK
- WPA2 – PSK / WPA – PSK
و بخش Encryption یا رمزنگاری که متدهای مربوط به کدگذاری دادهها را دردسترس شما میگذارد:
البته ممکن است در روترهای مختلف متناسب با نوع محصول، کمپانی سازنده و سال ساخت، این گزینهها کمتر یا بیشتر باشند. ولی مهمترین موارد که بین اغلب آنها مشترک هستند، گزینههایی بود که در بالا به آنها اشاره شد.
اما اینکه این گزینهها و استانداردها به چه معنا هستند و انتخاب هر یک چه مزایا و معایبی دارد، موضوعی است که اغلب کاربران هیچ آشنایی با آن نداشته و از همین رو، گاه با انتخاب تنظیمات ناصحیح، ضمن کاهش امنیت ارتباطات وای فای خود، سرعت آن را نیز با افتی محسوس مواجه میسازند.
بهصورت خلاصه که امنترین تنظیمات عبارتاند از:
با قرار دادن تنظیمات مودم خود روی گزینههای مذکور، شبمه خانگی خود را در برابر هک در مقاومترین حالت قرار دادهاید. اما اگر مایل هستید تا با جزئیات هر یک از فناوریهای مذکور آشنا شوید، شما را به مطالعهی ادامهی مقاله دعوت میکنیم.
AES و TKIP چه هستند و چه تفاوتهایی دارند؟
TKIP و AES دو شیوهی متفاوت برای رمزنگاری هستند که میتوان از آنها برای ایمنسازی شبکههای وای فای بهره گرفت. TKIP مخفف Temporal Key Integrity Protocol بهمعنی «پروتکل جامع کلید موقت» است. TKIP یک پروتکل رمزنگاری در قالب چارهای موقت برای شیوهی رمزنگاری نه چندان ایمن WEP بود که بههمراه WPA در آن زمان معرفی شد. درواقع TKIP ساختار بسیار مشابهی با شیوهی رمزنگاری WEP دارد. نکتهی مهم اینست که TKIP درحالحاضر ایمن نیست و این شیوهی رمزنگاری عملاً منسوخ شده است. به عبارتی شما نباید از آن استفاده کنید.
AES نیز مخفف عبارت Advanced Encryption Standard بهمعنای «استاندارد رمزنگاری پیشرفته» است. AES پروتکل رمزنگاری با ضریب امنیت بسیار بالاتر است که با WPA2 یعنی جایگزین WPA، معرفی شد. AES یک شیوهی رمزنگاری منحصر به استفاده برای ایمنسازی ارتباطات وای فای نبوده و تنها بدین منظور توسعه نیافته است؛ بلکه یک استاندارد رمزنگاری جهانی و جدی است که استفاده از آن حتی توسط دولت ایالات متحده آمریکا نیز به تصویب رسیده است. برای مثال، وقتی شما هارددرایو خود را با استفاده از برنامهی رایگان و محبوب TrueCrypt رمزنگاری میکنید، این برنامه قابلیت استفاده از استاندارد AES را نیز دارد. بهطور کلی در استاندارد AES، امنیت بسیار بالایی در نظر گرفته شده است و تنها نقاط ضعفی که میتوان برای آن قائل شد مربوط به ضعف در حملات Brute-Force یا نقطه ضعفهای امنیتی پیرامون WPA2 است. البته در مورد حملات Brute-Force (حملاتی که در آن هکر با بکارگیری حجم انبوهی از رمزعبورهای تصادفی، سعی در کشف رمزعبور اصلی دارد)، در صورتی که از کلمهی عبوری قوی استفاده کنید، ضریب موفقیت این حملات بسیار کم میشود.
عبارت PSK در WPA-PSK و WPA-PSK2 نیز محفف Pre-Shared Key بهمعنای «رمز عبور اصلی» مورد استفاده برای رمزنگاری است. این عبارت، روشهای فوق را از روش WPA-Enterprise که از سرور Radius برای مدیریت کلید منحصربهفرد در شبکههای شرکتهای بزرگ یا دولتها استفاده میکند، متمایز میکند.
WPA از رمزنگاری TKIP و WPA2 از رمزنگاری AES استفاده میکنند، ولی...
بهطور خلاصه، TKIP یک استاندارد قدیمی به منظور رمزنگاری است که برای استاندارد قدیمیتری بهنام WPA استفاده میشده. AES نیز راهکار رمزنگاری جدیدتری است که توسط استاندارد نو و ایمنتر WPA2 استفاده میشود. در روی کاغذ همه چیز همین است که گفته شد؛ ولی در عمل و متناسب با نوع روتر شما، ممکن است WPA2 به اندازهی کافی خوب نباشد.
درحالیکه قرار است WPA2 از AES برای امنیت بیشتر بهره بگیرد، ولی کماکان گزینهای برای استفاده از TKIP روی دستگاههای قدیمی یا ناسازگار نیز پیشبینی شده است. به عبارتی WPA2 همیشه بهمعنای WPA2-AES نخواهد بود؛ ولی در دستگاههایی که گزینهی مستقلی برای انتخاب نوع رمزنگاری از میان AES و TKIP ندارند، بهطور کلی WPA2 مترادف با WPA2-AES فرض میشود.
حالتهای متداول برای امنیت وای فای
کمی سردرگم شدهاید؟! جای تعجب ندارد. تنها کاری که لازم دارید این است که گزینهی ترکیبی صحیح را متناسب با نوع روتر و استفادهی خود برگزینید.
Disabled یا Open: این حالت بدترین انتخاب ممکن است؛ چرا که شبکهی وای فای شما بدون هیچ رمزعبور خاصی دردسترس خواهد بود. اکیداً توصیه میشود از انتخاب این گزینه پرهیز کنید؛ چرا که مانند این است که در منزل خود را باز بگذارید و به امید تأمین امنیت خانه توسط پلیس باشید!
WEP 64: استاندارد رمزنگاری WEP یا Wired Equivalent Privacy بسیار قدیمی و آسیبپذیر بوده و نباید از آن استفاده شود. WEP در سال ۱۹۹۷ متولد شد و در سال ۲۰۰۳ عملاً جای خود را به WPA داد و منقرض شد. هدف از این پروتکل همانگونه که از نام آن نیز مشخص است محرمانه نگه داشتن اطلاعات در سطحی معادل با شبکههای مبتنی بر سیم است. این پروتکل مبتنی بر الگوریتم رمزنگاری RC4 با کلید سری ۴۰ بیتی است که با یک IV به طول ۲۴ بیت ترکیب شده و برای رمزنگاری استفاده میشود.
WEP 128: این استاندارد حتی با بکارگیری کلید رمزنگاری قویتر ۱۲۸ بیتی (ترکیب کلید سری ۱۰۴ بیتی با یک IV به طول ۲۴ بیت)، باز هم قابل اتکا نبوده و استفاده از آن ریسک زیادی دارد.
(WPA-PSK (TKIP: این، حالت پایه برای استاندارد رمزنگاری WPA یا WPA1 است که عملاً منسوخ شده و از امنیت کافی برخوردار نیست.
(WPA-PSK (AES: انتخاب پروتکل وایرلس قدیمی WPA درکنار شیوهی رمزنگاری مدرن AES. سختافزاری که از رمزنگاری AES پشتیبانی کند، در اغلب موارد از پروتکل وایرلس جدیدتر یعنی WPA2 نیز پشتیبانی میکند. همچنین سختافزاری که تنها از پروتکل WPA1 استفاده میکند نیز اغلب از رمزنگاری AES پشتیبانی نمیکند. بنابراین انتخاب این گزینه اساساً غیر منطقی و اشتباه خواهد بود.
(WPA2-PSK (AES: میتوان گفت این امنترین گزینه برای انتخاب است. استفاده از آخرین استاندارد رمزنگاری وای فای درکنار آخرین متود رمزنگاری مدرن یعنی AES. توصیه ما استفاده از این گزینه است. در روترهایی که رابط گرافیکی آنها کمی گیجکننده است، احتمالاً این حالت با عناوینی مثل WPA2 یا WPA2-PSK ذکر شده که به احتمال زیاد از رمزنگاری AES نیز استفاده میکنند (چرا که این منطقیترین حالت است).
(WPAWPA2-PSK (TKIP/AES: در برخی از روترها این گزینه نیز دردسترس خواهد بود که سازگاری هر نوع دستگاهی را برای شما به ارمغان خواهد آورد. ترکیبی از نسل اول و دوم استاندارد وایرلس یعنی WPA1 و WPA2 درکنار دو شیوهی رمزنگاری ضعیف و قوی TKIP و AES. هر چند استفاده از متدهای قدیمی و ضعیفتر، کور سوی امیدی را برای مهاجمان به منظور نفوذ به شبکهی شما باز خواهد گذاشت.
پشتیبانی اغلب دستگاههای تولید شده از سال ۲۰۰۶ به بعد از AES
گواهی WPA2 از سال ۲۰۰۴ دردسترس قرار گرفت؛ یعنی در حدود ۱۶ سال قبل. و از سال ۲۰۰۶، استفاده از گواهی WPA2 اجباری شد. به عبارتی هر دستگاهی که از سال ۲۰۰۶ به بعد تولید شده و آرم Wi-Fi روی آن درج گردیده، باید از رمزنگاری WPA2 پشتیبانی کند؛ از حدود ۱۴ سال قبل!
قاعدتاً اغلب دستگاههای اطراف شما که لوگوی Wi-Fi روی آنها نقش بسته است، خیلی جدیدتر از ۱۴ یا ۱۶ سال قبل هستند؛ بنابراین شما باید گزینهی (WPA2-PSK (AES را انتخاب کنید. حتی اگر این گزینه را انتخاب کردید و به هر دلیل دستگاه شما متوقف شد، بهراحتی میتوانید این تنظیمات را تغییر دهید. اگر هم دستگاه شما قدیمی است، شاید وقت آن رسیده باشد که دستگاهی با عمر کمتر از ۱۴ یا ۱۶ سال تهیه کنید و ریسک استفاده از یک دستگاه با استانداردهای امنیتی ضعیف را کاهش دهید.
WPA و TKIP عاملی برای کاهش سرعت وای فای
شاید جالب باشد بدانید که گزینههای سازگار با WPA و TKIP میتوانند سرعت شبکهی وای فای شما را به شکل محسوسی کاهش دهند. بسیاری از روترهای جدید که از استانداردهای ارتباطی 802.11n و استاندارهای سریعتر و جدیدتر پشتیبانی میکنند، سرعتشان با فعالسازی WPA یا TKIP در گزینههای خود، به ۵۴ مگابیت بر ثانیه کاهش خواهد یافت. این کاهش سرعت به منظور اطمینان از سازگاری با دستگاههای قدیمی است.
اگر روتر دارای استاندارد 802.11n از WPA2 درکنار AES استفاده کند، سرعتی تا ۳۰۰ مگابیت بر ثانیه را پشتیبانی خواهد کرد. در مورد استانداردی نظیر 802.11 ac این تفاوت سرعت بسیار فاحشتر خواهد بود؛ چرا که این استاندارد از نظر تئوری و در شرایط ایدهآل، از سرعت حداکثری ۳/۴۶ گیگابیتبرثانیه پشتیبانی میکند.
به بیان دیگر، صرفنظر از مبحث امنیتی، ازلحاظ سرعت ارتباطات شبکهی وای فای نیز استفاده از استانداردهای قدیمی WPA و TKIP به هیچوجه منطقی نیست.
اما آنچه مسلم است در اغلب روترهای موجود در بازار ایران و خصوصاً روترهای تیپی لینک و دیلینک که بیش از دیگر برندها در میان کاربران ایرانی متداولند، دسترسی به گزینهی ایدهآل یعنی (WPA2-PSK (AES پیشبینی شده است.
اگر روتر شما WPA2 را به شما پیشنهاد داده و مانند روتر من به شما حق انتخاب برای استفاده از TKIP یا AES را میدهد، حتما AES را انتخاب کنید. مطمئن باشید اغلب دستگاههای شما با آن سازگار بوده و خیالتان نیز از بابت امنیت و سرعت آسوده خواهد بود. پس همیشه به خاطر داشته باشید که انتخاب استاندارد رمزنگاری AES چه برای کدگذاری ارتباطات وای فای و چه برای کدگذاری هر نوع اطلاعات دیگری مثل هارددرایو شما، امنیت و سرعت بیشتری را به ارمغان خواهد آورد.
شناسایی نفوذ و کاربران غیرمجاز شبکه و قطع دسترسی آنها
برای شناسایی تمامی کاربران حاضر در شبکه کافی است به تنظیمات مودم خود مراجعه کنید تا با فهرستی از آدرسهای مک دستگاههای مختلف متصل به شبکه مواجه شوید. با بررسی این آدرسها و تعداد دستگاههای حاضر در شبکه بیسیم وایفای، قادر به تشخیص حضور شخص غیرمجاز یا نفوذ در شبکه خواهید بود.
هر دستگاه متصل به شبکه، مک آدرسی منحصربهفرد دارد و با مشاهده بخش مربوطه در تنظیمات روتر میتوانید متوجه شوید که چه اشخاصی به شبکه شما متصل شدهاند. متأسفانه مدلهای روتر و رابطهای کاربری آنها بسیار متفاوت هستند بنابراین برای پیدا کردن این بخش، باید جستجوی کوتاهی در اینترنت انجام دهید. بهعنوان مثال این بخش در مودمهای TP-Link (رابط کاربری قدیمی - نارنجی رنگ) در تب Status قرار دارد. در ادامه با بخشهایی آشنا میشوید، که برای شروع به شما کمک میکند.
در اولین مرحله به روتر خود لاگین کنید. این کار را میتوانید ازطریق مرورگر وب دستگاههای خود انجام دهید. آیپی آدرس دقیق و کلمه عبور، میتواند در روترهای متفاوت، فرق کند اما آیپی آدرس آنها معمولاً بهصورت 192.168.1.1 (برخی موارد بهجای ۱ اعداد دیگر قرار میگیرد) است. اگر برای پیدا کردن آیپی به کمک نیاز داشتید، در دستگاههای ویندوزی از دستور ipconfig و در دستگاههای اندرویدی از برنامههای Wifi Config استفاده کنید. کلمه عبور ادمین روترها را تقریبا همیشه میتوان در دفترچه راهنما یا روی جعبه روتر، مشاهده کرد.
زمانیکه وارد شدید، باید به صفحه مک آدرس بروید. این صفحه معمولاً در بخش Advanced Settings قرار دارد. بهدنبال بخشهایی مانند Mac Address یا Mac Address filtering بگردید که ممکن است زیر مجموعه بخش فایروال باشند. عکس زیر نمونهای از این صفحه در یک مدل از روترها است.
زمانیکه وارد صفحه مک آدرس شوید، میتوانید متوجه شوید که چند دستگاه به شبکه شما متصل هستند. یک شمارش ساده میتواند مشخص کند که شخصی وارد شبکه شما شده است یا خیر؟ همچنین میتوانید مک آدرسهای موجود را با مک آدرس دستگاههای خود مقایسه کنید.
در اندروید وارد Settings شده و سپس در بخش About Device وارد Status شوید تا مک آدرس را مشاهده کنید. این اطلاعات در کامپیوترهای شخصی ازطریق دستور ipconfig در Command Prompt (کافی است در بخش جستجوی ویندوز عبارت CMD را تایپ کنید) قابل مشاهده است. همچنین میتوانید با جستجوی عبارت MAC Address در بخش تنظیمات گوشیهای هوشمند یا کامپیوترها به عبارت مدنظر خود برسید.
اگر این کار دشوار است، راههای دیگری نیز برای بررسی دستگاههای متصل شده به شبکه، وجود دارد. در اندروید برنامههای مختلفی وجود دارند که به شما این امکان را میدهند که دیگر دستگاههای موجود در شبکه را شناسایی و مدیریت کنید. البته این برنامه تنها به دستگاههای عمومی دسترسی دارند و نمیتوانند دستگاههای مخفی را شناسایی کنند بنابراین ممکن است ازطریق این روش نتوانید تمامی دستگاههای متصل به شبکه را شناسایی کنید. در اینجا فهرستی از برنامههای اندرویدی را قرار دادهایم که ممکن است برای شما کارآمد باشند. برنامههای مختلف دیگری نیز در پلی استور، قرار دارند.
- Wi-fi Inspector (رایگان): ازطریق این برنامه میتوانید، آیپی و مک آدرس تمامی دستگاههای متصل به شبکه ازطریق سیم و بدون سیم را مشاهده کنید.
- Fing Network Tools (رایگان): این برنامه، اطلاعات تکمیلی در رابطه با دستگاهها و روتر متصل به شبکه را دراختیار شما میگذارد.
- Ip tools Network Utilities (رایگان): یک برنامه عیبیابی پیشرفته تمام اتصالات شبکه که شامل یک اسکنر شبکه LAN میشود و میتوانید دستگاههای متصل به شبکه را مشاهده کنید.
اکثر روترها از ویژگی فیلترکردن مک آدرس بهره میبرند که ازطریق آن میتوان دسترسی دستگاههای مختلف را قبول یا رد کرد. بر اساس مدل روتر، شما دو راه دارید. میتوانید مک آدرسهایی را که نباید در شبکه وجود داشته باشند را بهصورت دستی مسدود کنید یا مک آدرسهایی را که میخواهید به شبکه دسترسی داشته باشند، تأیید کنید. در روش دوم، باید مک آدرس تمام دستگاههای خود را پیدا کرده و در تنظیمات روتر وارد کنید.
این روش بهنظر سختیهای زیادی دارد مخصوصاً اگر مجبور باشید مک آدرس تمام دستگاههای خود را پیدا کرده و در قسمت مربوطه در روتر، بهروزرسانی کنید. حتی اگر روتر شما راهحلهای خوبی برای مسدود کردن مک آدرس داشته باشد، با کمی اطلاعات میشود مک آدرس را تغییر داد یا جعل کرد. اگر شخصی قدرت دسترسی به کلمه عبور ۱۲۸ بیتی WPA را دارد، قطعاً تغییر مک آدرس برای آن شخص دشوار نخواهد بود. یک کلمه عبور ایمن بسیار مهمتر از فیلترکردن مک آدرس است.
اگر روتر پیشرفتهای داشته باشید، میتوانید دسترسی به پهنای باند را برای دستگاههای مختلف، محدود کنید. این تنظیمات معمولاً در خانوادههایی استفاده میشود که میخواهند دسترسی کودکان به اینترنت را محدود کنند اما میتوان ازطریق آنها محدودیتهای کلی برای تمام دستگاهها اعمال کرد. از این طریق، هر دستگاهی که به شبکه شما متصل میشود، میتواند تنها مقدار خاصی از پهنای باند ماهانه شما را مصرف کند.