امنیت Wi-Fi – قسمت دوم

6. NAP یا NAC را به کار بگیرید.

علاوه بر 802.11i و یک WIPS، شما باید از یک راه حل محافظ دسترسی به شبکه (NAP) یا کنترل دسترسی به شبکه (NAC) استفاده کنید. استفاده از اینها می­تواند کنترل بیشتری بر روی دسترسی شبکه، مبتنی بر هویت کلاینت و منطبق با سیاست­های تعریف شده ایجاد نماید. اینها همچنین می­توانند شامل عملکردهایی برای ایزوله کردن کلاینت­های مشکل دار و حل مشکل برای بازگرداندن کلاینت­ها باشند.

برخی راه حل­های NAC نیز ممکن است شامل جلوگیری از نفوذ به شبکه و تشخیص نفوذ به شبکه باشند، ولی باید اطمینان حاصل کنید که محافظت­های بی­سیم را نیز ارائه می­دهند یا خیر.

اگر شما ویندوز سرور 2008 یا نسخه های پس از آن را اجرا می­کنید و ویندوز ویستا یا نسخه های پس از آن را برای کلاینت­ها به کار می­گیرید، می­توانید از عملکرد NAP مایکروسافت استفاده کنید. در غیر اینصورت، می­توانید از راه حل­های متفرقه مانند PacketFence که متن باز است استفاده نمایید.

7. به SSID های پنهان اعتماد نکنید.

یک اشتباه در مورد شبکه های بی­سیم این است که تصور می­شود که غیرفعال کردن انتشار SSID در access point ها، شبکه شما را پنهان ساخته یا حداقل SSID را پنهان می­سازد و به این وسیله، کار هکرها سخت­تر می­گردد. اما به هر حال، این کار فقط SSID را از دید access point حذف خواهد کرد و هنوز هم SSID در درخواست اتصال 802.11 وجود دارد. در موارد خاص، SSID در بسته های درخواست probe و بسته های پاسخ آن نیز وجود دارد. بنابراین یک استراق سمع کننده می­تواند یک SSID پنهان را به خصوص بر روی یک شبکه شلوغ به سرعت کشف نماید.

ممکن است برخی ادعا کنند که غیرفعال کردن انتشار SSID همچنان یک لایه دیگر از امنیت ایجاد می­کند، ولی به خاطر داشته باشید که این کار می­تواند یک تاثیر منفی نیز بر روی پیکربندی و کارآیی شبکه داشته باشد. شما باید به طور دستی SSID را به کلاینت­ها وارد کنید که این کار، پیکربندی کلاینت را پیچیده تر می­کند. این کار همچنین افزایشی در بسته های درخواست و پاسخ probe ایجاد خواهد کرد که پهنای باند در دسترس را کاهش خواهد داد.

8. به فیلتر آدرس MAC اعتماد نکنید.

یک اشتباه دیگر در مورد امنیت بی­سیم این است که تصور می­شود که فعال کردن فیلتر آدرس MAC، یک لایه دیگر از امنیت به شبکه اضافه می­نماید، و این مساله که کدام کلاینت­ها می­توانند به شبکه متصل شوند، تحت کنترل قرار خواهد گرفت. این تصور تا حدی صحیح است، اما به خاطر داشته باشید که کنترل شبکه در مورد آدرس­های MAC مجاز و سپس تغییر آدرس­های MAC برای شنود کنندگان، کار بسیار ساده ای است.

شما نباید با پیاده سازی فیلتر MAC تصور کنید که کار زیادی برای امنیت شبکه خود انجام داده اید، ولی ممکن است این کار راهی برای اعمال یک کنترل ضعیف بر روی اینکه کاربران کدام کامپیوترها و دستگاه­ها بر روی شبکه آمده اند، ایجاد نماید. البته این نکته را نیز به خاطر بسپارید که به روز نگه داشتن لیست MAC ممکن است بسیار سخت باشد.

9. SSID هایی را که کاربران می­توانند متصل شوند، محدود کنید.

بسیاری از مدیران شبکه یک ریسک امنیتی ساده اما بالقلوه خطرناک را مورد چشم پوشی قرار می­دهند: کاربرانی که به طور شناخته شده یا ناشناس به یک شبکه بی­سیم همسایه یا غیر مجاز متصل می­شوند، کامپیوتر خود را در برابر نفوذ احتمالی باز می­گذارند. به هر حال فیلتر کردن SSID ها یک راه برای جلوگیری از این نفوذ است. برای مثال در ویندوز ویستا و نسخه های پس از آن، شما می­توانید از دستورات netsh wlan برای افزودن فیلتر به SSID هایی که کاربران می­توانند مشاهده کرده و به آن متصل شوند، استفاده کنید. برای دستگاه­های دسکتاپ، شما می­توانید تمامی SSID ها به جز SSID های شبکه بی­سیم خود را رد نمایید. در مورد لپ تاپ­ها، شما می­توانید فقط SSID های شبکه های همسایه را رد کنید، اما به آنها اجازه دهید که برای مثال به شبکه خانه خود متصل گردند.

10. اجزای شبکه را به طور فیزیکی امن نمایید.

به خاطر بسپارید که امنیت کامپیوتر فقط به جدیدترین تکنولوژی­های و رمزنگاری­ها ختم نمی­شود. امن کردن اجزای شبکه به صورت فیزیکی می­تواند به همان اندازه مهم باشد. اطمینان حاصل کنید که access point ها در مکانی خارج از دسترس یا یک موقعیت امن قرار دارند. اگر این اجزا به لحاظ فیزیکی امن نگردند، دیگران می­توانند به سادگی به آن دسترسی پیدا کرده و تنظیمات آن را به تنظیمات پیش فرض کارخانه ای بازگردانند تا دسترسی به آن باز شود.

11. در مورد محافظت از کلاینت­های موبایل فراموش نکنید.

تصور شما در مورد امنیت Wi-Fi نباید به شبکه خودتان محدود گردد. ممکن است کاربران تلفن­های هوشمند، لپ تاپ­ها و کامپیوترهای لوحی در محل کار امن باشند، اما در هنگام اتصال به شبکه بی­سیم منزل خود چطور؟ شما باید سعی کنید اطمینان حاصل کنید که سایر اتصالات Wi-Fi آنها نیز امن است تا بتوانید از نفوذ و شنود جلوگیری نمایید.

متاسفانه این کار ساده نیست و نیازمند ترکیبی از راه حل­ها به همراه آموزش کاربران در مورد ریسک­های امنیت Wi-Fi و معیارهای جلوگیری است.

اولا، تمامی لپ تاپ­ها و نوت بوک­ها باید یک فایروال شخصی (مانند فایروال ویندوز) فعال داشته باشند تا از نفوذ جلوگیری کند. شما در صورت اجرای یک سرور ویندوز می­توانید این کار را از طریق سیاست گروهی انجام دهید، یا اینکه از یک راه حل دیگر برای مدیریت کامپیوترهای غیر دامنه استفاده کنید.

ثانیا، شما نیاز دارید اطمینان حاصل کنید که ترافیک اینترنتی کاربران زمانی که بر روی یک شبکه دیگر هستند، در برابر شنود کنندگان محلی، از طریق ارائه دسترسی VPN به شبکه شما، رمزگذاری می­شود.

شما همچنین باید اطمینان حاصل کنید که هریک از سرویس­هایی که در معرض اینترنت قرار دارند امن سازی شده اند. برای مثال در صورتی که سرویس ایمیل خارج از LAN، WAN یا VPN خود ارائه می­دهید، اطمینان حاصل کنید که از رمزنگاری SSL برای جلوگیری از برداشت اطلاعات ورود یا پیغام­های کاربر توسط هر نفوذگر محلی در شبکه غیر مطمئن استفاده می­کنید.