سلام

مقالۀ زیر نوشتۀ آقای مایکل راگو هست که اطلاعات جالبی در زمیتۀ امنیت شبکه های بی سیم
داده. توصیه میکنم مطالعه کنید.

با ظهور شاخه*هاي جديد فناوري بي*سيم، تعداد شركت*هايي كه با استفاده از روش*هاي نامناسب تأمين امنيت، سيستم*هاي خود را در معرض خطر قرار مي*دهند، باوركردني نيست. به*نظر مي*رسد، اغلب شركت*هاي داراي LAN بي*سيم، به*واسطه شناسايي نقاط دسترسي غيرمعتبر كه ابزارها را به*طور رايگان مورداستفاده قرار مي*دهند، به دنبال احراز شرايط استاندارد PCI هستند. با هدف آگاهي كاربران از آخرين ضعف*هاي*امنيتي (و البته بعضي از شكاف*هاي امنيتي قديمي) تصميم گرفتيم، فهرستي از پنج اشتباه متداول را در تأمين امنيت شبكه*هاي بي*سيم در اين مقاله ارائه كنيم. شناسايي اين اشتباه*ها حاصل تجربه*هاي شخصي در جريان آزمون و ايمن*سازي شبكه*هاي مشتريان است.



1

ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه
اغلب سازمان*ها، شبكه*هاي بي*سيم را به*عنوان بخش مكملي براي شبكه سيمي خود راه*اندازي مي*كنند. اتصال بي*سيم، يك رسانه فيزيكي است و براي تأمين امنيت آن نمي*توان تنها به وجود يك ديوار آتش تكيه كرد. كاملاً واضح است كه نقاط دسترسي غيرمجاز، به واسطه ايجاد راه*هاي ورود مخفي به شبكه و مشكل بودن تعيين موقعيت فيزيكي آن*ها، نوعي تهديد عليه شبكه به*شمار مي*روند. علاوه**براين نقاط دسترسي، بايد نگران لپ*تاپ*هاي بي*سيم متصل به شبكه سيمي خود نيز باشيد. يافتن لپ*تاپ*هاي متصل به شبكه سيمي كه يك كارت شبكه بي*سيم فعال دارند، اقدامي متداول براي ورود به شبكه محسوب مي*شود. در اغلب موارد اين لپ*تاپ*ها توسط SSID شبكه*هايي را كه قبلاً مورد دسترسي قرار داده*اند، جست*وجو مي*كنند و در صورت يافتن آن*ها صرف*نظر از اين كه اتصال به شبكه قانوني يا مضر باشد يا شبكه بي*سيم در همسايگي شبكه فعلي قرار داشته باشد، به*طور خودكار به آن وصل مي*شوند. به محض اين*كه لپ*تاپ به يك شبكه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسكن و يافتن نقاط ضعف ممكن است كنترل آن را به دست گرفته و به*عنوان ميزباني براي اجراي حمله*ها به كار گيرند. در اين شرايط علاوه بر افشاي اطلاعات مهم لپ*تاپ، مهاجم مي*تواند از آن به عنوان نقطه شروعي براي حمله به شبكه سيمي استفاده كند. مهاجم درصورت انجام چنين اقداماتي، به*طور كامل از ديواره آتش شبكه عبور مي*كند.

ما امنيت شبكه*هاي معتبر و غيرمعتبر را ارزيابي*كرده*ايم و به اين نتيجه رسيديم كه اغلب سازمان*ها ديواره آتش شبكه را به*گونه*اي تنظيم مي*كنند كه از آن*ها در برابر حمله*هاي مبتني بر اينترنت محافظت مي*كند، اما امنيت شبكه در مقابل خروج از شبكه (Extrusion) و خروج غيرمجاز اطلاعات (leakage) تأمين نمي*شود. اصولاً زماني كه درباره خروج غيرمجاز اطلاعات صحبت مي*كنيم، منظورمان خروج اطلاعات از شبكه است.

بسياري از سازمان*ها تنظيمات ديواره آتش را براي كنترل ترافيك اطلاعات خروجي به*درستي انجام نمي*دهند. در نتيجه اين سهل*انگاري معمولاً اطلاعات محرمانه سازمان به خارج منتقل مي*شود. به*عنوان مثال، يكي از متداول*ترين مواردي كه هنگام انجام آزمون*هاي امنيتي با آن مواجه شديم،* خروج اطلاعات شبكه سيمي از طريق نقاط دسترسي بي*سيم بود. در اين آزمون*ها با استفاده از يك نرم*افزار ردياب (Sniffer) بي*سيم توانستيم حجم زيادي از ترافيك اطلاعات خروجي ناخواسته را شناسايي كنيم. اين اطلاعات شامل داده*هاي مربوط به STP (سرنام IGRP ،(Speaning Tree Protocol ساير سرويس*هاي شبكه و حتي در مواردي اطلاعات مربوط به NetBIOS بودند.

چنين نقطه*ضعفي شبكه را به يك اسباب سرگرمي براي مهاجم تبديل مي*كند. در حقيقت، نفوذ به چنين شبكه**اي حتي نيازمند يك اسكن فعال يا حمله واقعي نيست. به*واسطه رديابي جريان اطلاعاتي يك شبكه بي*سيم علاوه بر شناسايي توپولوژي بخش سيمي آن مي*توان اطلاعات مربوط به تجهيزات حياتي شبكه و حتي گاهي اطلاعات مربوط به حساب*هاي كاربري را به*دست آورد.

2
ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه
اين تصور اشتباه، بسيار گيج كننده است. چگونه مي*توان بدون اسكن شبكه از نبود تجهيزات بي*سيم در آن مطمئن شد؟! در محل*هايي كه شبكه*هاي LAN بي*سيم راه*اندازي نشده*اند، علاوه بر نقاط دسترسي غيرمجاز، مي*توان از شبكه*هاي Ad-Hoc، دسترسي* تصادفي لپ*تاپ*ها و ايجاد پل*هاي ارتباطي با شبكه، به عنوان تهديدات بالقوه براي امنيت شبكه نام برد. دسترسي تصادفي لپ*تاپ*هاي بي*سيم يك خطر امنيتي براي صاحبان اين لپ*تاپ*ها محسوب مي*شود. اگر شركت مجاور شما از يك نقطه دسترسي بي*سيم يا يك شبكه Ad-Hoc استفاده مي*كند، احتمال اتصال تصادفي لپ*تاپ*هاي بي*سيم عضو شبكه شما به اين شبكه*هاي بي*سيم زياد است. اين اتصال نوعي خروج از شبكه است. مهاجمان نحوه بهره*برداري از اين شرايط را به خوبي مي*دانند و در نتيجه مي*توانند از يك نقطه دسترسي نرم*افزاري يا Soft AP (نرم*افزاري كه از روي يك لپ*تاپ اجرا مي*شود) براي ارسال شناسه*هاي SSID موجود روي لپ*تاپ به يك كامپيوتر خارج از شبكه و حتي ارسال آدرس IP لپ*تاپ براي كامپيوتر خارجي استفاده كنند. چنان*كه گفته شد، اين نقطه ضعف امكان كنترل لپ*تاپ و حمله به شبكه سيمي را براي مهاجمان فراهم مي*كند. به علاوه، مهاجمان مي*توانند از طريق لپ*تاپ، حمله*هاي MITM (سرنام Man In The Middle) يا سرقت هويت را به اجرا درآورند.



3


اسکن دستي= شناسايي تمام نقاط دسترسي غيرمجاز
در اين مورد، تلاش مديران شبكه براي اتخاذ يك رويكرد پيش*گيرانه به*منظور شناسايي نقاط*دسترسي غيرمجاز در شبكه قابل تقدير است. اما متأسفانه ابزارهايي كه در اختيار اين افراد قرار دارد، كارايي لازم را براي شناسايي نقاط دسترسي غيرمجاز ندارد. به*عنوان مثال، بسياري از مديران شبكه از ابزارهاي مديريتي اسكن نقاط*ضعف شبكه*هاي سيمي به*منظور شناسايي نقاط دسترسي غيرمجاز متصل به شبكه استفاده مي*كنند. تجربه*كاري نگارنده با ابزارهاي اسكن نقاط ضعف از هر دو نوع اپن*سورس و تجاري، بيانگر اين است كه اغلب مديران شبكه با تعداد انگشت*شماري نقطه دسترسي مواجه مي*شوند كه توسط سيستم*عامل شناسايي شده است و هنگامي كه شبكه را اسكن مي*كنند، اين تجهيزات در قالب يك سيستم مبتني بر لينوكس همراه يك وب*سرور شناسايي مي*شوند. هنگام اسكن شبكه*هاي Class C و بزرگ*تر، دستگاه*هاي غيرمجاز بين ساير تجهيزات شبكه پنهان شده و نتايج حاصل از اسكن شبكه براي شناسايي نقاط دسترسي غيرمجاز حقيقي نيست.

كاركرد ابزارهاي اسكن بي*سيم مانند NetStumbler و Kismet بسيار خوب است، اما زماني كه نوبت به شناسايي نقاط دسترسي غيرمجاز مي*رسد، اين ابزارها از كارايي لازم برخوردار نيستند. به*عنوان نمونه اين ابزارها نمي*توانند مشخص كنند كه نقاط دسترسي شناسايي*شده واقعاً به شبكه شما متصل هستند يا خير. *علاوه*براين، در تعيين موقعيت تقريبي دستگاه بي*سيم مشكوك نيز دچار مشكل مي*شوند. اگر شركت شما در يك ساختمان چندطبقه يا يك برج قراردارد، بايد امواج دريافتي آنتن*هاي بزرگ و دستگاه*هاي منتشركننده سيگنال را نيز به اين مشكلات بيافزاييد. در چنين شرايطي يك مدير شبكه با مهارت متوسط در ردگيري و شناسايي تجهيزات بي*سيم شبكه با مشكلات بزرگي روبه*رو خواهد شد.


4

به*روزرساني تمام نقاط دسترسي به*منظور حذف پروتکل WEP= تأمين امنيت کامل شبکه
پروتكل WEP ساليان دراز مورد حمله مهاجمان قرار گرفته است. علاوه*بر*اين، براساس اعلان PCI پروتكل WEP بايد تا ماه ژوئن سال 2010 به*طور كامل كنار گذاشته شود. بعضي از شركت*ها نيز به سراغ روش*هاي توانمندتر كدگذاري و اعتبارسنجي رفته*اند.

براي جايگزيني اين پروتكل، چندگزينه مختلف وجود دارد. متأسفانه بعضي از اين گزينه*ها نيز داراي نقاط ضعف هستند. به*عنوان مثال، نسخه PSK (سرنامPre-Shared Key) از پروتكل WPA به دليل نياز به انتشار اطلاعات موردنياز براي ساخت و تأييد كليد رمزگشايي اطلاعات، در مقابل نوعي حمله Offline كه روي واژه*نامه آن انجام مي*شود، آسيب*پذير است. براي اجراي اين حمله*ها چندين ابزار مختلف شامل coWPAtty و aircrack-ng وجود دارد. اغلب حمله*ها شامل گردآوري تعداد زيادي از بسته*هاي اطلاعاتي و استفاده از ابزار درمقابل سيستم دريافت بسته*هاي اطلاعاتي است. بسته نرم*افزاري Backtrack 3 تمام ابزارهاي لازم را براي اجراي اين نوع حمله*ها فراهم مي*کند. در نوامبر سال 2008 به منظور اثبات اين ضعف، پروتكل TKIP هک*شد.

در اين حمله صرف*نظر از به*كارگيري سيستم اعتبار سنجي PSK يا 802.1x مهاجمان توانستند به تمام نسخه*هاي پروتكل TKIP شامل WPA و WPA2 نفوذ كنند. با وجود اين،كليدهاي TKIP شناسايي نشدند و در نتيجه محتواي تمام قاب*هاي كدشده افشا نشد. يك حمله مي*تواند در هر دقيقه يك بايت از داده*هاي يك بسته اطلاعاتي رمزنگاري*شده را افشا کرده و به ازاي هر بسته كدگشايي*شده تا پانزده قاب*رمزنگاري*شده را به سيستم تحميل مي*كند. چنين سيستمي، يك گزينه مناسب براي آلودگي ARP محسوب مي*شود. درك اين نكته ضروري است كه آن دسته از شبكه*هاي WPA و WPA2 كه الگوريتم*هاي كدگذاري AES-CCMP پيچيده*تر را مورد استفاده قرار مي*دهند، در برابر حمله*ها مقاوم*تر هستند و استفاده از چنين الگوريتم*هايي به عنوان بهترين رويكرد تدافعي پيشنهاد مي*شود.

اگر هيچ گزينه ديگري به غير از راه*اندازي يك سيستم WPA-PSK پيش رو نداريد، از يك كلمه عبور بسيار مطمئن كه حداقل هشت كاراكتر دارد، استفاده كنيد. كلمه عبور پيچيده*اي كه از شش كاراكتر تشكيل شده باشد، به*طور متوسط ظرف سيزده روز كشف مي*شود.



5

استفاده از نرم*افزار کلاينت VPN = محافظت از کارمندان سيار
با وجود اين*كه استفاده از برنامه كلاينت VPN*همراه يك ديواره آتش نخستين گام براي حفاظت از كارمندان سيار به*شمار مي*رود، تعداد بسياري از نقاط ضعف چنين ارتباطي بدون محافظت باقي مي*ماند. كاربراني كه در حال مسافرت هستند،* به ناچار در هتل*ها، كافي شاپ*ها و فرودگاه*ها از شبكه*هاي واي*فاي استفاده مي*كنند.

ابزارهايي مانند Hotspotter كه در بسته نرم*افزاري BackTrack* در اختيار همگان قرار مي*گيرند، براي مهاجم *امكان ايجاد يك ناحيه خطرناك را فراهم مي*كنند كه اغلب توسط شبكه به*عنوان يك ناحيه خطرناك مجاز شناخته مي شود. اين فرآيند شامل ايجاد يك نقطه دسترسي جعلي با استفاده از يك شناسه SSID متداول و همچنين صفحات وب شبيه به يك ناحيه خطرناك واقعي است. سپس مهاجم منتظر اتصال كاربران بي*اطلاع، به نقطه دسترسي جعلي شده و با استفاده از پروتكل DHCP براي آن*ها يك آدرس IP و يك صفحه وب ايجاد مي*كند. به اين ترتيب، كاربر فريب*خورده و به*منظور ورود به ناحيه خطرناك اعتبارنامه خود را در اختيار مهاجم قرار مي*دهد. در بعضي موارد مهاجم حتي دسترسي كاربران به اينترنت را امکان*پذير كرده و به اين ترتيب براي اجراي حمله*هاي MITM و سرقت ساير اطلاعات مهم كاربران مانند شناسه و كلمه عبور و شماره حساب* بانكي آن*ها اقدام مي*كند.

حفاظت از كارمندان سيار به*ويژه در برابر اين نوع حمله*ها، اقدامي چالش*برانگيز بوده و علاوه بر استفاده از نرم*افزار كلاينت VPN و ديواره آتش نيازمند تمهيدات امنيتي ديگري است. البته، هيچ*يك از اين اقدامات به*طور كامل از كاربر محافظت*نمي*كند، اما خطرات امنيتي را كاهش مي*دهند. مديران شبكه*هاي مبتني بر ويندوز با استفاده از گزينه Access point (infrastructure) networks only مي*توانند از اتصال كاربران به شبكه*هاي Ad-Hoc جلوگيري مي**کنند.
بسياري از ابزارهاي مهاجمان كه براي شبيه*سازي عملكرد نقاط دسترسي به*كار گرفته*مي*شوند، در حقيقت، شبكه*هاي Ad-Hock را شبيه*سازي مي*كنند. غيرفعال*كردن گزينه مذكور در سيستم*عامل ويندوز مي*تواند از كاربران در برابر چنين حمله*هايي محافظت كند. به*علاوه، غيرفعال كردن گزينه ( Any Available Network (Access Point Preferred نيز از بروز چنين حملاتي جلوگيري مي*كند. سرانجام، با غيرفعال*كردن گزينه Automatically Connect to Non-Preferred networks نيز مي*توان از اتصال تصادفي كاربران به شبكه*هاي Ad-Hock جلوگيري کرد.




_______________
While !me.died
me.work () ;
l




موضوعات مشابه: