- از WEP استفاده نکنید.
WEP (Wired Equivalent Privacy) یک الگوریتم امنیتی بسیار ضعیف برای شبکه های بیسیم 802.11
است و مدت زیادی است که از رده خارج شده است. رمزنگاری زیرین این الگوریتم
امنیتی، به سرعت و به سادگی توسط اغلب هکرهای بی تجربه قابل شکستن است.
بنابراین شما به هیچ عنوان نباید از WEP استفاده کنید. اما اگر این کار را انجام میدهید، بلافاصله به WPA2 (Wi-Fi Protected Access) با احراز هویت 802.1X ارتقاء دهید. اگر کلاینتها یا access point های قدیمی دارید که WPA2 را پشتیبانی نمیکنند، از ارتقاهای سفت افزاری استفاده کرده یا به سادگی، تجهیزات خود را تغییر دهید.
- از WPA/WPA2-PSK استفاده نکنید.
مود کلید از پیش به اشتراک گذاشته شده (PSK) در امنیت WPA و WPA2
برای محیطهای تجاری یا شرکتی امن نیست. زمانی که از این مود استفاده
میکنید، کلید از پیش به اشتراک گذاشته یکسانی باید به هر کلاینت وارد
گردد. بنابراین PSK
باید هربار که کارمندی شرکت را ترک میکند و هر زمان که یک کلاینت گم شده
یا به سرقت میرود، تغییر نماید که این کار، برای اغلب محیطها انجام پذیر
نیست.
- 802.11i را پیاده سازی نمایید.
مود EAP (پروتکل احراز هویت قابل توسعه) در امنیت WPA و WPA2، از احراز هویت 802.1X به جای PSK
ها استفاده میکند. این کار این قابلیت را فراهم می آورد تا هر کاربر یا
هر کلاینت، اطلاعات اعتباری ورود مخصوص به خود را دارا باشد. یعنی هر کاربر
و هر کلاینت دارای نامهای کاربری و کلمات عبور و/ یا یک امضای دیجیتالی
مخصوص به خود هستند.
کلیدهای
رمزنگاری واقعی، به طور منظم تغییر داده میشوند و بدون سر و صدا در پس
زمینه جابجا میگردند. بنابراین برای تغییر یا ابطال دسترسی کاربر، تمام
کاری که باید انجام دهید این است که اطلاعات اعتباری ورود را بر روی یک
سرور مرکزی تغییر دهید و دیگر لازم نیست PSK
را بر روی هر کلاینت دستکاری نمایید. کلیدهای یکتا به ازای هر نشست نیز
کاربران را از شنود و استراق سمع بر روی ترافیک یکدیگر باز میدارد. اکنون
ابزارهای ساده و مختلفی برای این کار در محیطهای مختلف وجود دارد که
دیگران میتوانند با استفاده از آنها، به جای یک کاربر وارد شوند و یا
ترافیک وی را شنود نمایند.
در خاطر داشته باشید که برای داشتن بهترین امنیت ممکن، باید از WPA2 با 802.1X که با عنوان 802.11i نیز شناخته میشود، استفاده کنید.
برای فعال کردن احراز هویت 802.1X، نیاز به این دارید که یک سرور RADIUS/AAA داشته باشید. اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا میکنید، از سرور سیاست شبکه (NPS)، یا سرویس احراز هویت اینترنت (IAS) در نسخه های سرور قدیمیتر استفاده کنید. اگر یک سرور ویندوز را اجرا نمیکنید، از سرور متن باز FreeRADIUS استفاده نمایید.
شما میتوانید در صورت اجرای ویندوز سرور 2008 یا نسخه های پس از آن، تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینتهای متصل به دامنه اعمال نمایید. در غیر اینصورت، میتوانید یک راه حل متفرقه برای پیکربندی کلاینتها به کار گیرید.
- تنظیمات کلاینت 802.1X را امن کنید.
مود EAP در WPA/WPA2 هنوز در برابر حملات man-in-the-middle آسیب پذیر است. به هر حال شما میتوانید با امن کردن تنظیمات EAP مربوط به هر کلاینت، به جلوگیری از این حملات کمک نمایید. برای مثال، در تنظیمات EAP برای ویندوز، شما میتوانید اعتبارسنجی گواهی سرور را فعال کنید. این کار را میتوانید با انتخاب گواهی CA، مشخص کردن آدرس سرور، و غیرفعال ساختن هشدارهای آن در مورد اعتماد کاربر به سرورهای جدید یا گواهیهای CA جدید انجام دهید.
شما همچنین میتوانید این تنظیمات 802.1X را از طریق سیاست گروهی (Group Policy) به کلاینتهای متصل به دامنه نیز اعمال کرده یا اینکه از یک راه حل متفرقه استفاده نمایید.
- از یک سیستم جلوگیری از نفوذ بیسیم استفاده کنید.
در مورد امنیت Wi-Fi
همیشه اینطور نیست که فقط با کسانی که به طور مستقیم سعی میکنند به شبکه
دسترسی پیدا کنند، درگیر شوید. برای مثال، هکرها میتوانند access point
های جعلی را تنظیم نمایند یا اینکه حملات انکار سرویس انجام دهند. برای
کمک به تشخیص و مقابله با این حملات، شما باید یک سیستم جلوگیری از نفوذ
بیسیم (WIPS) پیاده سازی نمایید. طراحی و روشهای کار WIPS ها در میان تولید کنندگان مختلف، متفاوت است، ولی معمولا آنها امواج را مورد نظارت قرار میدهند، به شما هشدار میدهند و احتمالا access point های جعلی یا فعالیتهای خرابکارانه را متوقف میسازند.
تولید کنندگان تجاری زیادی هستند که راه حلهای WIPS را ارائه میدهند. همچنین گزینه های متن بازی مانند Snort نیز وجود دارند.