امنیت Wi-Fi – قسمت اول

1. از WEP استفاده نکنید.

WEP (Wired Equivalent Privacy) یک الگوریتم امنیتی بسیار ضعیف برای شبکه های بی­سیم 802.11 است و مدت زیادی است که از رده خارج شده است. رمزنگاری زیرین این الگوریتم امنیتی، به سرعت و به سادگی توسط اغلب هکرهای بی تجربه قابل شکستن است. بنابراین شما به هیچ عنوان نباید از WEP استفاده کنید. اما اگر این کار را انجام می­دهید، بلافاصله به WPA2 (Wi-Fi Protected Access) با احراز هویت 802.1X ارتقاء دهید. اگر کلاینت­ها یا access point های قدیمی دارید که WPA2 را پشتیبانی نمی­کنند، از ارتقاهای سفت افزاری استفاده کرده یا به سادگی، تجهیزات خود را تغییر دهید.

2. از WPA/WPA2-PSK استفاده نکنید.

مود کلید از پیش به اشتراک گذاشته شده (PSK) در امنیت WPA و WPA2 برای محیط­های تجاری یا شرکتی امن نیست. زمانی که از این مود استفاده می­کنید، کلید از پیش به اشتراک گذاشته یکسانی باید به هر کلاینت وارد گردد. بنابراین PSK باید هربار که کارمندی شرکت را ترک می­کند و هر زمان که یک کلاینت گم شده یا به سرقت می­رود، تغییر نماید که این کار، برای اغلب محیط­ها انجام پذیر نیست.

3. 802.11i را پیاده سازی نمایید.

مود EAP (پروتکل احراز هویت قابل توسعه) در امنیت WPA و WPA2، از احراز هویت 802.1X به جای PSK ها استفاده می­کند. این کار این قابلیت را فراهم می آورد تا هر کاربر یا هر کلاینت، اطلاعات اعتباری ورود مخصوص به خود را دارا باشد. یعنی هر کاربر و هر کلاینت دارای نام­های کاربری و کلمات عبور و/ یا یک امضای دیجیتالی مخصوص به خود هستند.

کلیدهای رمزنگاری واقعی، به طور منظم تغییر داده می­شوند و بدون سر و صدا در پس زمینه جابجا می­گردند. بنابراین برای تغییر یا ابطال دسترسی کاربر، تمام کاری که باید انجام دهید این است که اطلاعات اعتباری ورود را بر روی یک سرور مرکزی تغییر دهید و دیگر لازم نیست PSK را بر روی هر کلاینت دستکاری نمایید. کلیدهای یکتا به ازای هر نشست نیز کاربران را از شنود و استراق سمع بر روی ترافیک یکدیگر باز می­دارد. اکنون ابزارهای ساده و مختلفی برای این کار در محیط­های مختلف وجود دارد که دیگران می­توانند با استفاده از آنها، به جای یک کاربر وارد شوند و یا ترافیک وی را شنود نمایند.

در خاطر داشته باشید که برای داشتن بهترین امنیت ممکن، باید از WPA2 با 802.1X که با عنوان 802.11i نیز شناخته می­شود، استفاده کنید.

برای فعال کردن احراز هویت 802.1X، نیاز به این دارید که یک سرور RADIUS/AAA داشته باشید. اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می­کنید، از سرور سیاست شبکه (NPS)، یا سرویس احراز هویت اینترنت (IAS) در نسخه های سرور قدیمی­تر استفاده کنید. اگر یک سرور ویندوز را اجرا نمی­کنید، از سرور متن باز FreeRADIUS استفاده نمایید.

شما می­توانید در صورت اجرای ویندوز سرور 2008 یا نسخه های پس از آن، تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینت­های متصل به دامنه اعمال نمایید. در غیر اینصورت، می­توانید یک راه حل متفرقه برای پیکربندی کلاینت­ها به کار گیرید.

4. تنظیمات کلاینت 802.1X را امن کنید.

مود EAP در WPA/WPA2 هنوز در برابر حملات man-in-the-middle آسیب پذیر است. به هر حال شما می­توانید با امن کردن تنظیمات EAP مربوط به هر کلاینت، به جلوگیری از این حملات کمک نمایید. برای مثال، در تنظیمات EAP برای ویندوز، شما می­توانید اعتبارسنجی گواهی سرور را فعال کنید. این کار را می­توانید با انتخاب گواهی CA، مشخص کردن آدرس سرور، و غیرفعال ساختن هشدارهای آن در مورد اعتماد کاربر به سرورهای جدید یا گواهی­های CA جدید انجام دهید.

شما همچنین می­توانید این تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینت­های متصل به دامنه نیز اعمال کرده یا اینکه از یک راه حل متفرقه استفاده نمایید.

5. از یک سیستم جلوگیری از نفوذ بی­سیم استفاده کنید.

در مورد امنیت Wi-Fi همیشه اینطور نیست که فقط با کسانی که به طور مستقیم سعی می­کنند به شبکه دسترسی پیدا کنند، درگیر شوید. برای مثال، هکرها می­توانند access point های جعلی را تنظیم نمایند یا اینکه حملات انکار سرویس انجام دهند. برای کمک به تشخیص و مقابله با این حملات، شما باید یک سیستم جلوگیری از نفوذ بی­سیم (WIPS) پیاده سازی نمایید. طراحی و روش­های کار WIPS ها در میان تولید کنندگان مختلف، متفاوت است، ولی معمولا آنها امواج را مورد نظارت قرار می­دهند، به شما هشدار می­دهند و احتمالا access point های جعلی یا فعالیت­های خرابکارانه را متوقف می­سازند.

تولید کنندگان تجاری زیادی هستند که راه حل­های WIPS را ارائه می­دهند. همچنین گزینه های متن بازی مانند Snort نیز وجود دارند.