امنیت Wi-Fi – قسمت دوم

6. NAP یا NAC را به کار بگیرید.

علاوه بر 802.11i و یک WIPS، شما باید از یک راه حل محافظ دسترسی به شبکه (NAP) یا کنترل دسترسی به شبکه (NAC) استفاده کنید. استفاده از اینها می­تواند کنترل بیشتری بر روی دسترسی شبکه، مبتنی بر هویت کلاینت و منطبق با سیاست­های تعریف شده ایجاد نماید. اینها همچنین می­توانند شامل عملکردهایی برای ایزوله کردن کلاینت­های مشکل دار و حل مشکل برای بازگرداندن کلاینت­ها باشند.

برخی راه حل­های NAC نیز ممکن است شامل جلوگیری از نفوذ به شبکه و تشخیص نفوذ به شبکه باشند، ولی باید اطمینان حاصل کنید که محافظت­های بی­سیم را نیز ارائه می­دهند یا خیر.

اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می­کنید و ویندوز ویستا یا نسخه های پس از آن را برای کلاینت­ها به کار می­گیرید، می­توانید از عملکرد NAP مایکروسافت استفاده کنید. در غیر اینصورت، می­توانید از راه حل­های متفرقه مانند PacketFence که متن باز است استفاده نمایید.

7. به SSID های پنهان اعتماد نکنید.

یک اشتباه در مورد شبکه های بی­سیم این است که تصور می­شود که غیرفعال کردن انتشار SSID در access point ها، شبکه شما را پنهان ساخته یا حداقل SSID را پنهان می­سازد و به این وسیله، کار هکرها سخت­تر می­گردد. اما به هر حال، این کار فقط SSID را از دید access point حذف خواهد کرد و هنوز هم SSID در درخواست اتصال 802.11 وجود دارد. در موارد خاص، SSID در بسته های درخواست probe و بسته های پاسخ آن نیز وجود دارد. بنابراین یک استراق سمع کننده می­تواند یک SSID پنهان را به خصوص بر روی یک شبکه شلوغ به سرعت کشف نماید.

ممکن است برخی ادعا کنند که غیرفعال کردن انتشار SSID همچنان یک لایه دیگر از امنیت ایجاد می­کند، ولی به خاطر داشته باشید که این کار می­تواند یک تاثیر منفی نیز بر روی پیکربندی و کارآیی شبکه داشته باشد. شما باید به طور دستی SSID را به کلاینت­ها وارد کنید که این کار، پیکربندی کلاینت را پیچیده تر می­کند. این کار همچنین افزایشی در بسته های درخواست و پاسخ probe ایجاد خواهد کرد که پهنای باند در دسترس را کاهش خواهد داد.

امنیت Wi-Fi – قسمت اول

1. از WEP استفاده نکنید.

WEP (Wired Equivalent Privacy) یک الگوریتم امنیتی بسیار ضعیف برای شبکه های بی­سیم 802.11 است و مدت زیادی است که از رده خارج شده است. رمزنگاری زیرین این الگوریتم امنیتی، به سرعت و به سادگی توسط اغلب هکرهای بی تجربه قابل شکستن است. بنابراین شما به هیچ عنوان نباید از WEP استفاده کنید. اما اگر این کار را انجام می­دهید، بلافاصله به WPA2 (Wi-Fi Protected Access) با احراز هویت 802.1X ارتقاء دهید. اگر کلاینت­ها یا access point های قدیمی دارید که WPA2 را پشتیبانی نمی­کنند، از ارتقاهای سفت افزاری استفاده کرده یا به سادگی، تجهیزات خود را تغییر دهید.

2. از WPA/WPA2-PSK استفاده نکنید.

مود کلید از پیش به اشتراک گذاشته شده (PSK) در امنیت WPA و WPA2 برای محیط­های تجاری یا شرکتی امن نیست. زمانی که از این مود استفاده می­کنید، کلید از پیش به اشتراک گذاشته یکسانی باید به هر کلاینت وارد گردد. بنابراین PSK باید هربار که کارمندی شرکت را ترک می­کند و هر زمان که یک کلاینت گم شده یا به سرقت می­رود، تغییر نماید که این کار، برای اغلب محیط­ها انجام پذیر نیست.