2سپاس
LinkBack URL
About LinkBacks
ده نكته در مورد امنيت شبكه هاي بي سيم
بسیاری از کسانی که اینترنت را به صورت وایرلس در خانه های خود به اشتراک می گذارند، این کار را آن قدر از سر اشتیاق سریع انجام می دهند که فراموش می کنند برخی نکات امنیتی را رعایت کنند. این موضوع کاملا قابل درک است اما ریسک بالای امنیتی ایجاد می کند. شبکه های وای فای امروزی قابلیت های زیادی دارند که با کمک آن ها می توانید شبکه وایرلس خود را تا حد امکان امن کنید.
1. كلمه عبور پيش*فرض مدير سيستم(administrator) را روي نقاط دسترسي و مسيرياب*هاي بي*سيم تغيير دهيد.
اغلب نقاط دسترسي ( Access Point )و مسيرياب*هاي بي*سيم امكان مديريت شبكه WiFi را از طريق يك حساب كاربري مديريتي فراهم مي*كنند. اين حساب كاربري امكان دسترسي ابزار و پيكربندي آن را با نام كاربري و كلمه عبور فراهم مي*كند. اغلب توليدكنندگان نام كاربري و كلمه عبور را در كارخانه تنظيم مي*كنند . نام كاربري معمول admin يا administrator و كلمه عبور يا خالي است يا كلماتي مثل admin ،public ، password و .... مي*باشد.
اولين گام براي افزايش امنيت شبكه بي*سيم تغيير كلمه عبور پيش*فرض نقاط دسترسي و مسيرياب*هاي بي*سيم بلافاصله پس از نصب است. اغلب ابزارها اجازه تغيير نام كاربري را نمي*دهند اما اگر ابزارهاي شما اين امكان را مي*دهند، اكيدا توصيه مي*شود كه نام كاربري را هم تغيير دهيد.
براي امن نگه*داشتن شبكه در آينده، مي*بايست به*طور منظم اين كلمه عبور را تغيير دهيد. اغلب كارشناسان توصيه مي*كنند كلمه عبور را بعد از 30 تا 90 روز تغيير دهيد.
2. فعال*سازي قابليت WPA/WEP
WPA (WiFi Protected Access) يك استاندارد امنيتي براي شبكه*هاي بي*سيم است (با Windows XP Product Activation اشتباه نشود). براي استفاده از WPA با Windows XP بايد Clientهاي داراي Windows XP را به صورت دستي patch كنيد و هم*چنين مطمئن شويد كارت شبكه*ها و نقاط دسترسي به درستي پيكربندي شده*اند.
براي پيكربندي WPA در شبكه با clientهاي داراي ويندوز XP مراحل زير را انجام دهيد:3. تغيير SSID پيش فرض
- <LI dir=rtl>نوشتار Overview of the WPA wireless security update in Windows XP را مطالعه كنيد.
<LI dir=rtl>بررسي كنيد كه تمام Client ها حداقل Service Pack1 داشته باشند.
<LI dir=rtl>روي هر Client بررسي كنيد كه كارت شبكه با سرويس WZC(Windows Zero Configuration) سازگار باشد.
<LI dir=rtl>براي هر client وصله Windows XP Support Patch for Wi-Fi Protected Access را بارگزاري و نصب كنيد.
<LI dir=rtl>تغييرات لازم براي نقاط دسترسي بي*سيم از گام 1 را اعمال كنيد.- تغييرات لازم براي كارت شبكه*هاي بي*سيم از گام 1 را اعمال كنيد.
نقاط دسترسي و مسيرياب*هاي بي*سيم داراي يك نام شبكه SSID(Service Set Identifier) هستند كه توسط توليدكنندگان به*طور پيش*فرض انتخاب مي*شود. SSID از ايزارهاي پيكربندي بر مبناي وب يا ويندوز اين سازندگان قابل دسترسي است. اغلب SSIDهاي پيش فرض كلمات ساده*اي مثل wireless، netgear، linksys، default و ... هستند. هرچند نفوذگر صرفا با دانستن SSID قادر به نفوذ به شبكه شما نيست ولي اين مساله به عنوان يك نقطه شروع خوب براي نفوذگر به حساب مي آيد. زماني كه كسي شبكه اي با SSID پيش فرض بيابد، با دانستن اين نكته كه به احتمال فراوان اين شبكه به درستي پيكربندي نشده است، ترغيب به نفوذ به شبكه مي*شود.
SSID مي تواند هر زماني تغيير كند به شرطي كه اين تغيير در تمام clientها نيز اعمال شود. براي افزايش امنيت شبكه هاي بي سيم، نام پيش فرض SSID را تغيير دهيد. در انتخاب SSID توصيه هاي زير را در نظر داشته باشيد:
- <LI dir=rtl>از نام، آدرس، تاريخ تولد، شماره تلفن يا ديگر اطلاعات شخصي تان به عنوان بخشي از SSID استفاده نكنيد.
<LI dir=rtl>از كلمات عبور نام كاربري ويندوزتان يا emailتان يا ... استفاد نكنيد.
<LI dir=rtl>با استفاده از عباراتي مثل "TOP_SECRET"، "FUNNY_BOX" و ... نفوذگران را وسوسه نكنيد.!!!
<LI dir=rtl>از تركيب حروف و اعداد استفاده كنيد.
<LI dir=rtl>عباراتي با طول حداكثر يا نزديك به حداكثر انتخاب كنيد.- هرچند ماه يك بار SSIDتان را تغيير دهيد.
4. قابليت پالايش آدرس MAC را روي نقاط دسترسي و مسيرياب*هاي بي*سيم فعال كنيد.
اغلب نقاط دسترسي و مسيرياب هاي بي سيم داراي قابليتي به نام پالايش آدرس MAC (MAC Address Filtering) هستند. اين مشخصه اغلب به*طور پيش فرض فعال نيست. براي افزايش امنيت شبكه بي سيم تان اين قابليت را فعال كنيد. در صورتي كه اين قابليت فعال نباشد، هر clientاي با دانستن SSIDشبكه شما (در نظر داشته باشيد كه فهميدن SSID كار بسيار ساده اي است) شايد چند پارامتر امنيتي ديگر مثل كليد رمزگذاري (در صورتي كه قابليت WEP فعال باشد) مي تواند به شبكه شما وصل شود.
براي تنظيم قابليت پالايش آدرس MAC شما به عنوان مدير شبكه بي سيم بايد ليست clientهايي كه مجازند به شبكه وصل شوند را پيكربندي كنيد. ابتدا آدرس MAC هر client را از طريق سيستم عامل يا ابزارهاي پيكربندي به دست آوريد و سپس آن ها را در صفحه پيكربندي نقاط دسترسي و مسيرياب هاي بي سيم وارد كنيد و نهايتا قابليت پالايش را فعال كنيد. از اين پس هر درخواست اتصال به شبكه بي سيم كه برسد آدرس MAC آن با ليست تنظيم شده بررسي شده و در صورتي كه در ليست نباشد اجازه اتصال به شبكه را نمي يابد. البته بايد نوجه داشت كه نفوذگران با جعل آدرس MAC (MAC Spoofing) قادرند به شبكه بي سيم شما وصل شوند ولي اين مساله نبايد باعث شود كه شما از خير اين قابليت بگذريد.
5. قابليت همه*پخشي SSID را روي نقاط دسترسي و مسيرياب*هاي بي*سيم غيرفعال كنيد.
اغلب نقاط دسترسي و مسيرياب هاي بي سيم به*طور خودكار SSID خوشان را در فواصل زماني مشخص پخش مي كنند. اين مشخصه براي اين است كه clientها بتواندد به*طور پويا شبكه هاي بي سيم را تشخيص دهند و بين آن ها جابه*جا شوند (از شبكه اي به شبكه ديگر نقل مكان كنند). لازم به ذكر است كه اين مشخصه براي hotspotهاي تجاري و سيار طراحي شده است كه clientهاي زيادي مي آيند و مي روند ولي براي شبكه هاي خانگي لازم نيست. از آن جايي كه SSID به صورت واضح پخش مي شود و هيچ رمزگذاري روي آن صورت نمي گيرد، به دست آوردن آن توسط نفوذگران كار راحتي است. همان*طور كه در گام 3 اشاره شد نفوذگر با دانستن SSID يك مرحله به هدف نزديك تر مي شود.
در يك شبكه بي سيم بحث roaming (جابه*جايي بين دو شبكه بي سيم) مطرح نيست و پخش كردن SSID هيچ ضرورتي ندارد. براي افزايش امنيت شبكه بي سيم بايد اين قابليت را غيرفعال كنيد. يك بار كه client شما با SSID درست پيكربندي شد ديگر نيازي به پيغام هاي همه*پخشي نيست.
دقت داشته باشيد كه غيرفعال كردن قابليت همه*پخشي SSID فقط يكي از تكنيك*هاي محكم*سازي و افزايش امنيت شبكه*هاي بي سيم است. اين روش 100 درصد موثر نيست و نفوذگرها هنوز مي توانند با sniff كردن پيغام هاي مختلف پخش شده در پروتكل WiFi، SSID را تشخيص دهند. در واقع تكنيك هايي مثل غيرفعال كردن همه*پخشي SSID باعث مي شئد كه شبكه بي سيم شما هدف راحتي براي نفوذگران نباشد.
6. به شبكه هاي WiFi باز وصل نشويد.
مطمئن شويد كه تنظيمات سيستم به گونه*اي است كه مانع اتصال خودكار به نقاط دسترسي ناامن شود.
اتصال به يك شبكه WiFi باز مثل يك hotspot يا مسيرياب بي*سيم آزاد، كامپيوتر شما را در معرض خطرات فراواني قرار مي دهد. هرچند به طور معمول اين امكان فعال نيست ولي اغلب كامپيوترها داراي تنظيماتي هستند كه امكان اتصال خودكار بدون اطلاع كاربر را فراهم مي*كنند. اين تنظيمات به*جز در موارد ضروري و به*طور موقت نبايد فعال باشد.
براي بررسي اين*كه آيا اتصال خودكار به شبكه*هاي WiFi باز، مجاز است يا نه، تنظيمات بي*سيم كامپيوتر را بررسي كنيد. براي مثال در كامپيوترهايي كه داراي Windows XP هستند، تنظيمات بي*سيم Automatically connect to non-preferred networks ناميده مي*شود. براي بررسي مراحل زير را انجام دهيد:
· از منوي start به گزينه Windows Control Panel برويد.
· به گزينه Network Connections برويد
· بر روي Wireless Network Connection كليك راست كنيد و گزينه Properties را انتخاب كنيد.
· روي گزينه Wireless Networks كليك كنيد.
· بر روي دكمه Advanced كليك كنيد.
· گزينه Automatically connect to non-preferred networks را پيدا كنيد، اگر انتخاب شده بود اين تنظيمات فعال است در غير اين صورت غيرفعال است.
اگرچه در Windows XP به*طور پيش فرض Automatically connect to non-preferred networks فعال نيست، برخي كاربران براي سهولت اتصال به شبكه خودشان آن را فعال مي*كنند. كاربران بايد شبكه خودشان را به عنوان Windows XP Preferred networks تنظيم كنند كه اجازه اتصال خودكار را مي*دهد و اتصال خودكار به بقيه شبكه*ها را غيرفعال كنند.
7. به تجهيزات آدرس (IP) ايستا اختصاص دهيد.
اختصاص آدرس ايستا جايگزيني براي پروتكل DHCP است. اختصاص آدرس پويا با استفاده از DHCP راحت تر است و هم چنين به كامپيوترهاي سيار اجازه مي دهد كه بين شبكه هاي مختلف جابه جا شوند.
آدرس دهي ايستا نيز مزايايي دارد، از جمله:
· آدرس ثابت ترجمه آدرس را بهتر پشتيباني مي كند، بنابراين يك كامپيوتر روي شبكه با نام دامنه اش به طور مطمئن قابل دستيابي است. مخصوصا سرورهايي مثل سرور وب و سرور FTP بهتر است آدرس ايستا داشته باشند.
· استفاده از آدرس دهي ايستا در مقابل DHCP محافظت بيشتري در برابر حملات امنيتي فراهم مي كند.
· برخي تجهيزات شبكه پروتكل DHCP را پشتيباني نمي كنند.
· استفاده از آدرس دهي ايستا براي تمام اجزاي شبكه تضمين مي كند كه ناسازگاري آدرس ها رخ نمي دهد.
آدرس هاي ايستا بايد از محدوده آدرس هاي خصوصي استاندارد انتخاب شود از جمله:
· "10.0.0.0" تا "10.255.255.255"
· "172.16.0.0" تا "172.31.255.255"
· "192.168.0.0" تا "192.168.255.255"
اين محدوده ها تعداد زيادي آدرس را پشتيباني مي كنند. برخلاف تصور اكثر افراد، تمام آدرس هاي اين محدوده ها نمي توانند انتخاب شوند. براي انتخاب آدرس درست نكات زير را مدنظر داشته باشد:
1. آدرس هايي كه با "0" يا "255" تمام مي شوند را انتخاب نكنيد. اين آدرس ها برا ي استفاده پروتكل هاي شبكه رزرو شده اند.
2. آدرس هاي ابتداي يك محدود آدرس خصوصي را انتخاب نكنيد. آدرس هايي مثل "10.0.0.1" يا "192.168.0.1" معمولا به مسيرياب ها ي شبكه اختصاص مي يابند. اين آدرس ها اولين آدرس هايي هستند كه معمولا يك نفوذگر تلاش مي كند به آن ها نفوذ كند، بنابراين بهتر است از آن ها استفاده نكنيد.
3. از آدرس هايي كه خارج از محدوده mask شبكه شما مي باشد استفاده نكنيد. براي مثال، براي پشتيباني تمام آدرس هاي محدوده "10.x.x.x"، mask شبكه براي تمام سيستم ها بايد به "255.0.0.0" تنظيم شود، در غيراين صورت برخي آدرس هاي ايستاي اين محدوده كار نمي كنند.
8. قابليت فايروال را روي تمام كامپيوترها و مسيرياب*ها فعال كنيد
يكي از آسان ترين و ارزان ترين راه ها براي محافظت از شبكه در برابر حملات استفاده از فايروال شخصي است.
9. مسيرياب*ها و نقاط دسترسي را در مكان*هاي امن قرار دهيد
كارآيي شبكه Wi-Fi به ميزان زيادي بستگي به قدرت سيگنال مسيرياب يا نقطه دسترسي بي سيم دارد. اگر يك client بي سيم خارج از محدوده قدرت سيگنال قرار بگيرد ارتباط آن با شبكه قطع مي شود يا ارتباط بسيار ضعيف مي*باشد. Clientهاي بي سيم واقع شده در لبه شبكه ممكن است به دفعات زياد ارتباطشان قطع شود، ولي حتي زماني كه يك Client بي سيم در محدوده قدرت سيگنال هم باشد، كارآيي شبكه از مواردي همچون فاصله، انسداد، يا تداخل تاثير مي گيرد.
براي تعيين محل قرار گرفتن تجهيزات بي سيم نكات زير را مدنظر داشته باشد:
· اولين و مهم ترين نكته اين است كه، از قبل جايي را براي مسيرياب يا نقطه دسترسي بي سيم در نظر نگيريد. سعي كنيد تجهيزات را در چندين نقطه متفاوت امتحان كنيد. با وجود اين كه روش آزمون و خطا راهكار علمي براي يافتن محل قرارگيري تجهيزات بي سيم نيست اما از ديدگاه عملي بهترين روش براي به دست آوردن حداكثر كارآيي است.
· سعي كنيد مسيرياب يا نقطه دسترسي بي سيم را نزديك به مركز قرار دهيد. Clientهايي كه از ايستگاه مركزي فاصله بيشتري دارند، در مقايسه با Clientهايي كه نزديك ايستگاه مركزي هستند ، فقط از 10 تا 50 درصد پهناي باند بهره مند مي شوند.
· تا حدامكان سعي كنيد از موانع فيزيكي دوري كنيد. هرگونه مانعي در فاصله خط ديد بين Client و ايستگاه مركزي باعث كاهش قدرت سيگنال مي شود. ديوارهاي آجري، خشتي، يا ساروج اندود بيش ترين تاثير منفي را دارند ولي موانع ديگر نيز باعث كاهش قدرت سيگنال مي شوند.
· تا حد امكان از سطوح بازتابي اجتناب كنيد. برخي سطوح بازتابي مثل پنجره ها، آينه ها و ... باعث كاهش محدوده قدرت سيگنال هاي WiFi و در نتيجه كارآيي شبكه مي شود.
· مسيرياب يا نقطه دسترسي بي سيم را حداقل به فاصله يك متر از ديگر تجهيزاتي كه در محدوده فركانس مشابه سيگنال بي سيم مي فرستند قرار دهيد. اين ابزارها مي تواند شامل تلفن بي سيم، اجاق هاي مايكروويو و ... باشد.
· همچنين مسيرياب يا نقطه دسترسي بي سيم را دور از تجهيزات الكتريكي كه باعث ايجاد تداخل مي شوند قرار دهيد.
· اگر مكان مناسبي كه پيدا كرديد فقط به طور مرزي قابل قبول شود، آنتن هاي ايستگاه مركزي را براي بهبود كارآيي تنظيم كنيد. مي توانيد آنتن هاي مسيرياب و نقاط دسترسي بي سيم را بچرخانيد و محل آن را تغيير دهيد، دستورالعمل هاي كارخانه سازنده را اعمال كنيد تا بهترين كارآيي را به دست آوريد.
اگر با استفاده از اين نكات و دستورالعمل ها باز هم مشكل داريد، مي توانيد به عنوان مثال آنتن هاي خود را تغيير دهيد، يك تكراركننده نصب كنيد، يا در مواردي ايستگاه مركزي ديگري پيكربندي و استفاده كنيد.
10. در فواصل زماني طولاني كه از شبكه استفاده نمي*كنيد تجهيزات را خاموش كنيد.
اغلب ارتباطات اينترنت باندپهن هميشه برخط هستند. به همين خاطر دارندگان شبكه ترجيح مي دهند اكثر تجهيزات شبكه مثل مسيرياب يا مودم روشن بماند حتي اگر براي مدت هاي طولاني بدون استفاده باشند.
ولي آيا شبكه هاي محلي هم لازم است هميشه روشن بمانند؟ خاموش كردن تجهيزات شبكه چه مزايا و معايبي دارد؟
در ادامه برخي از مزايا و معايب خاموش كردن تجهيزات شبكه را هنگامي كه استفاده اي از آن ها نمي شود، بررسي مي كنيم:
امنيت: خاموش كردن تجهيزات شبكه زماني كه در حال استفاده نيستند، باعث افزايش امنيت شبكه مي شود. زماني كه تجهيزات شبكه خاموش باشند نفوذگران قادر به انجام كاري نيستند.
صرفه جويي در مصرف برق: خاموش كردن تجهيزات شبكه باعث صرفه جويي در هزينه ها مي شود. در برخي كشورها اين صرفه جويي چندان قابل توجه نيست اما در برخي كشورها نيز به علت بالا بودن هزينه انرژي ميزان قابل توجهي است.
محافظت در برابر اعوجاج سيگنال: جدا كردن تجهيزات شبكه باعث جلوگيري از خرابي هاي احتمالي منتج از اعوجاج سيگنال مي شود. ممكن است گفته شود كه محافظ ها هم قادرند از ابزارها در برابر اعوجاج مراقبت كنند ولي اين محافظ ها به خصوص انواع ارزان قيمت آن قادر به مراقبت در برابر نوسانات شديد نيستند.
قابليت اطمينان سخت افزار: قطع و وصل مدام منبع انرژي تجهيزات شبكه باعث كاهش طول عمر آن ها مي شود. ديسك درايوها اغلب آسيب پذير هستند.به عبارت ديگر، دماي زياد هم باعث كاهش طول همه ابزارهاي شبكه مي شود. هميشه روشن گذاشتن تجهيزات شبكه در مقايسه با زماني كه تجهيزات گهگاه خاموش مي شوند، احتمالا باعث آسيب هاي بيش تري مي شود.
قابليت اطمينان ارتباطات: بعد از خاموش و روشن كردن تجهيزات ممكن است فرآيند برقراري ارتباط مجدد با خطا مواجه شود. بايد فرآيند راه اندازي مجدد را با احتياط دنبال كنيد. به عنوان مثال بايد ابتدا مودم هاي باندپهن روشن شوند و ابزارهاي ديگر پس از اين كه مودم آماده شد، روشن شوند. همچنين اگر هنگام راه اندازي يا نصب با خطايي مواجه مي شويد حتما راه حلي براي آن پيدا كنيد در غيراين صورت ممكن است در آينده منجر به مشكلات بزرگ تري شود.
سهولت: تجهيزات شبكه مثل مسيرياب بي سيم يا مودم ممكن است در مكان هايي مثل سقف يا مكان هايي كه دسترسي به آن ها سخت است قرار داشته باشد. هنگام خاموش كردن اين تجهيزات احتياط نموده و به جاي استفاده از دكمه خاموش و روشن كردن تجهيزات، رويه هاي توصيه شده توسط كارخانه سازنده را حتما رعايت كنيد.
به طور خلاصه با درنظر گرفتن ملاحظات فوق الذكر پيشنهاد مي شود كه در زمان هايي كه از شبكه استفاده نمي كنيد تجهيزات را خاموش كنيد. مزاياي امنيتي آن به تنهايي كافي است تا اين كار را انجام دهيم.
منبع: ارتباط گستران شبكه ، وایرلس ، بی سیم ، تجهیزات شبکه ، میکروتیک ، آنتن ، دکل مهاری ، چاه ارت نويسنده : حسن تكابي
موضوعات مشابه:
- آپديت سيمانتك
- پنج اشتباه متداول درباره امنيت شبكه*هاي بي*سيم
- خريد سرور (نكته ها و پيشنهادات)
- آموزش تخصصي شبكه هاي بي سيم ( دوره مهندسي شبكه بي سيم )
- امنيت در شبکه هاي بي سيم
