Wi-Fi بسیار مستعد هک شدن و استراق سمع است، ولی در صورتی که شما از معیارهای امنیتی صحیح استفاده کنید، این تکنولوژی نیز می تواند امن باشد. در این مقاله قسمت اول از برخی بایدها و نبایدهای امنیت Wi-Fi ارائه خواهند شد.
-
از WEP استفاده نکنید.
WEP یا Wired Equivalent Privacy یک الگوریتم امنیتی بسیار ضعیف برای شبکه های بی سیم 802.11 است و مدت زیادی است که از رده خارج شده است.
رمزنگاری زیرین این الگوریتم امنیتی، به سرعت و به سادگی توسط اغلب هکرهای بی تجربه قابل شکستن است.
بنابراین شما به هیچ عنوان نباید از WEP استفاده کنید.
اما اگر این کار را انجام می دهید، بلافاصله به WPA2 یا (Wi-Fi Protected Access) با احراز هویت 802.1X ارتقاء دهید.
اگر کلاینت ها یا access point های قدیمی دارید که WPA2 را پشتیبانی نمی کنند، از ارتقاهای سفت افزاری استفاده کرده یا به سادگی، تجهیزات خود را تغییر دهید.
-
از WPA/WPA2-PSK استفاده نکنید.
مود کلید از پیش به اشتراک گذاشته شده (PSK) در امنیت WPA و WPA2 برای محیط های تجاری یا شرکتی امن نیست.
زمانیکه از این مود استفاده می کنید، کلید از پیش به اشتراک گذاشته یکسانی باید به هر کلاینت وارد گردد.
بنابراین PSK باید هربار که کارمندی شرکت را ترک می کند و هر زمان که یک کلاینت گم شده یا به سرقت می رود، تغییر نماید که این کار، برای اغلب محیط ها انجام پذیر نیست.
-
802.11i را پیاده سازی نمایید.
مود EAP (پروتکل احراز هویت قابل توسعه) در امنیت WPA و WPA2، از احراز هویت 802.1X به جای PSK ها استفاده می کند.
این کار این قابلیت را فراهم می آورد تا هر کاربر یا هر کلاینت، اطلاعات اعتباری ورود مخصوص به خود را دارا باشد. یعنی هر کاربر و هر کلاینت دارای نام های کاربری و کلمات عبور و/ یا یک امضای دیجیتالی مخصوص به خود هستند.
کلیدهای رمزنگاری واقعی، به طور منظم تغییر داده می شوند و بدون سر و صدا در پس زمینه جابجا می گردند.
بنابراین برای تغییر یا ابطال دسترسی کاربر، تمام کاری که باید انجام دهید این است که اطلاعات اعتباری ورود را بر روی یک سرور مرکزی تغییر دهید و دیگر لازم نیست PSK را بر روی هر کلاینت دستکاری نمایید.
کلیدهای یکتا به ازای هر نشست نیز کاربران را از شنود و استراق سمع بر روی ترافیک یکدیگر باز می دارد.
اکنون ابزارهای ساده و مختلفی برای این کار در محیط های مختلف وجود دارد که دیگران می توانند با استفاده از آنها، به جای یک کاربر وارد شوند و یا ترافیک وی را شنود نمایند.
در خاطر داشته باشید که برای داشتن بهترین امنیت ممکن، باید از WPA2 با 802.1X که با عنوان 802.11i نیز شناخته می شود، استفاده کنید.
برای فعال کردن احراز هویت 802.1X، نیاز به این دارید که یک سرور RADIUS/AAA داشته باشید.
اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می کنید، از سرور سیاست شبکه (NPS)، یا سرویس احراز هویت اینترنت (IAS) در نسخه های سرور قدیمی تر استفاده کنید.
اگر یک سرور ویندوز را اجرا نمی کنید، از سرور متن باز FreeRADIUS استفاده نمایید.
شما می توانید در صورت اجرای ویندوز سرور 2008 یا نسخه های پس از آن، تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینت های متصل به دامنه اعمال نمایید.
در غیر اینصورت، می توانید یک راه حل متفرقه برای پیکربندی کلاینت ها به کار گیرید.
-
تنظیمات کلاینت 802.1X را امن کنید.
مود EAP در WPA/WPA2 هنوز در برابر حملات man-in-the-middle آسیب پذیر است.
به هر حال شما می توانید با امن کردن تنظیمات EAP مربوط به هر کلاینت، به جلوگیری از این حملات کمک نمایید.
برای مثال، در تنظیمات EAP برای ویندوز، شما می توانید اعتبارسنجی گواهی سرور را فعال کنید.
این کار را می توانید با انتخاب گواهی CA، مشخص کردن آدرس سرور، و غیرفعال ساختن هشدارهای آن در مورد اعتماد کاربر به سرورهای جدید یا گواهی های CA جدید انجام دهید.
شما همچنین می توانید این تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینت های متصل به دامنه نیز اعمال کرده یا اینکه از یک راه حل متفرقه استفاده نمایید.
-
از یک سیستم جلوگیری از نفوذ بی سیم استفاده کنید.
در مورد امنیت Wi-Fi همیشه اینطور نیست که فقط با کسانی که به طور مستقیم سعی می کنند به شبکه دسترسی پیدا کنند، درگیر شوید.
برای مثال، هکرها می توانند access point های جعلی را تنظیم نمایند یا اینکه حملات انکار سرویس انجام دهند.
برای کمک به تشخیص و مقابله با این حملات، شما باید یک سیستم جلوگیری از نفوذ بی سیم (WIPS) پیاده سازی نمایید.
طراحی و روش های کار WIPS ها در میان تولید کنندگان مختلف، متفاوت است، ولی معمولا آنها امواج را مورد نظارت قرار می دهند، به شما هشدار می دهند و احتمالا access point های جعلی یا فعالیت های خرابکارانه را متوقف می سازند.
تولید کنندگان تجاری زیادی هستند که راه حل های WIPS را ارائه می دهند. همچنین گزینه های متن بازی مانند Snort نیز وجود دارند.
در قسمت بعد، سایر مطالب امنیت Wi-Fi را مطالعه خواهید کرد.
فسا-پسا