امنيت در شبكه‌هاي محلي بي‌سيم‌

ماهنامه شبکه - دي ۱۳۸۳ شماره 50

مقدمه:
موضوع امنيت در شبكه‌ها آن‌قدر مهم است كه لازم باشد ضمن تأكيد مداوم بر آن، هراز گاهي نگاهي دوباره به آن انداخت و با توجه به تحولاتي كه در اين حوزه روي مي‌دهد، موضوع جديدي درباره آن نوشت يا موضوعات قبلي را با رويكردهاي جديد بازخواني كرد. موضوع امنيت در شبكه‌هاي محلي بي‌سيم نيز از جمله مسايلي است كه در حال تغييرات مستمر است و با ظهور فناوري‌هاي نو، مسأله امنيت در آن نيز وجوه ديگري مي‌يابد. در اين مقاله سعي داريم تا بار ديگر نگاهي به اين مقوله بيندازيم. براي آشنايي بيشتر با موضوع شبكه‌هاي بي‌سيم نيز مي‌توانيد به مقالات قبلي كه فهرست آن‌ها در انتهاي همين شماره آمده است، مراجعه فرماييد.


شبكه‌ محلي بي‌سيم
شبكه‌هاي بي‌سيم كه زماني به‌عنوان پروژه‌هاي راديوي آماتوري به كار گرفته مي‌شدند و زماني ديگر در اختيار نيروهاي نظامي بودند، اكنون به يكي از روش‌هاي متداول شبكه‌سازي و انتقال اطلاعات تبديل شده‌اند و از تلفن‌هاي سلولي تا PDAها، فراخوان‌ها و از همه مهمتر شبكه‌هاي (Wireless LAN WLAN) بر مبناي همين تكنولوژي كار مي‌كنند و متناسب با همين كاربردها نيز استانداردهايي نظير 802.11 يا Bluetooth تعريف شده‌اند. براي بررسي مسأله امنيت در اين قبيل شبكه‌ها، شناخت اجزايي كه ممكن است مورد آسيب قرار بگيرند يا نحوه آسيب‌رساني كلي به اين شبكه‌، بسيار مفيد است.

يكي از اجزاي اصلي در اين زمينه، Access Pointها يا نقاط دسترسي هستند كه آن‌ها را اختصاراً AP مي‌ناميم. APها در نقاط خاصي نصب مي‌شوند و كار سرويس‌دهي به همه ايستگاه‌هاي كاري شبكه را عهده‌دار مي‌شوند. تقريباً مانند همان كاري كه آنتن‌هاي تلفن‌هاي موبايل انجام مي‌دهند.


عوامل اصلي كه امنيت در شبكه بي‌سيم را تعريف مي‌كنند يا امنيت در اين شبكه‌ها از آن‌ها متأثر مي‌شوند، پنج عنصر هستند كه عبارتند از:

1- سارقان (Theft)

2- كنترل دسترسي (Access Control)

3- احراز هويت (Authentication)

4- رمزنگاري (Encryption)

5- حراست (Safegurad)

ارتباط اين عوامل را در شكل 1 مي‌توانيد ببينيد.
سارقان
كاربران غيرمجازي كه سعي مي‌كنند كه وارد شبكه شما شوند و داده‌هاي ارزشمند شما را بربايند. كارمندان قبلي يا اخراجي شركت‌ كه به هر علتي سعي در انتقام گرفتن از شركت را دارند، از جمله كانديدادهاي اصلي چنين افرادي مي‌باشند. ساده‌ترين كار براي جلوگيري از خرابكاري آن‌ها، غيرفعال كردن نام كاربري آن‌ها در زمان پايان قرارداد كاري مي‌باشد. اين كار ساده، يكي از كارآمدترين روش‌ها براي مقابله با اين افراد است.

كنترل دسترسي
در بسياري از سازمان‌ها، مجوزهاي دسترسي به آساني به همه اعطا مي‌شوند. خيلي ساده است كه در ويندوز روي Network Neighborhood كليك كنيد و همه اجزاي بي‌سيم يا باسيم موجود در شبكه (يا قسمتي از شبكه مربوط به خودتان) را مشاهده كنيد. اما آيا براي دسترسي به هر قسمت، رمزهاي عبور تعريف شده‌اند و در اين مورد سياستگذاري شده است؟

آيا مشخص است كه چه چيزهايي براي چه كساني به اشتراك گذاشته شده است؟ بسياري از كارمندان براي اين‌كه يك سند را براي شخص ديگري به اشتراك بگذارند، كل درايو حاوي آن سند را share مي‌كنند و اين امكان را با تمام مجوزهاي خواندن و نوشتن فراهم مي‌كنند. در چنين حالتي اگر يك ويروس به شبكه نفوذ كند، به سادگي ايستگاه كاربري آن كاربر را از كار مي‌اندازد و متعاقب آن، امنيت كل شبكه را به مخاطره خواهد انداخت.

شبكه‌هاي بي‌سيم نه تنها همه آسيب‌پذيري‌هاي شبكه‌هاي كابلي (wired)را دارند، بلكه يك نفوذگر يا خرابكار مي‌تواند از بيرون از ساختمان شركت، با داشتن يك كارت شبكه بي‌سيم و مقداري مهارت، به AP شبكه شما متصل شود. پس اين‌جاست كه اهميت كنترل كردن دسترسي‌ها خود را بيشتر نشان مي‌دهد.

احراز هويت
آيا مي‌دانيد هويت واقعي كاربري كه اكنون به شبكه وارد شده است چيست؟ ممكن است يك نفر از حساب كاربري شخص ديگري براي ورود به شبكه استفاده نموده باشد. در بسياري از سازمان‌ها، تنها يك حساب كاربري با نامwireless user ايجاد مي‌شود و همه افراد از همان اكانت براي ورود به شبكه استفاده مي‌كنند. در نتيجه ورود هكرها نيز به شبكه به همان سهولت صورت مي‌گيرد.

براي احراز هويت كاربران، مي‌توانيد روتر شبكه را طوري تنظيم كنيد كه فقط به كارت‌هاي شبكه مجاز امكان اتصال به شبكه را بدهد. از آن‌جايي كه هر كارت شبكه بي‌سيم داراي يك آدرس MAC منحصر به فرد است، لذا انجام اين كار به سادگي صورت مي‌پذيرد.

رمزنگاري
اگر يك نفوذگر نتواند به‌طور مستقيم و غيرمجاز به شبكه شما وارد شود، ممكن است از طريق packet sniffing بر ترافيك شبكه شما نظارت كند و آن را مورد حمله قرار دهد و با كنترل ترافيك شبكه به اطلاعات ارزشمندي همچون نام‌هاي عبور، رمزهاي عبور و ساير اطلاعات دسترسي پيدا كند و در مرتبه بعدي با استفاده از آن اطلاعات به سادگي به شبكه وارد شود.

براي اين منظور بايد از روش‌هاي رمزنگاري كه در روترها يا AP‌ها تعبيه شده‌اند استفاده كنيد. متأسفانه اغلب كاربران، ويژگي‌هاي رمزنگاري را روي ادوات بي‌سيم خود فعال نمي‌كنند. پروتكل امنيتي WEP يكي از اين روش‌هاي رمزنگاري است كه براي استاندارد IEEE 802.11b تعريف شده است. WEP امنيتي را معادل امنيت شبكه‌هاي كابلي مي‌دهد وليكن به تنهايي كافي نيست.

زيرا خطرات بيشتري شبكه‌هاي بي‌سيم را تهديد مي‌كنند. پروتكل WEP در لايه‌هاي پيوند داده (Data Link) و فيزيكي (Physical) استفاده مي‌شود اما نمي‌تواند ارتباطات نقطه به نقطه را پوشش دهد. اغلب روترها از رمزنگاري 64 بيتي و 128 بيتي پشتيباني مي‌كنند. با اين‌كه WEP امنيت كامل را برآورده نمي‌كند وليكن بسياري از كاربران با غيرفعال كردن امكان رمزنگاري، از همين مزيت نيز خود را محروم مي‌كنند.
حراست از شبكه
بهترين حفاظ براي شما، آشنا شدن خودتان با شبكه WLAN و تجهيزات بي‌سيم‌تان است. موضوعي كه درباره رمزنگاري گفتيم را بايد به دقت رعايت كنيد و حداقل رمزنگاري 64 بيتي را داشته باشيد، ولي توصيه مي‌كنيم كه از رمزنگاري 128 بيتي استفاده كنيد. وقتي كه رمزنگاري را فعال كرديد بايد به سراغ محدود كردن دسترسي‌ها و مجاز شمردن نشاني‌هاي MAC خاصي برويد كه مي‌توانند به شبكه متصل شويد.

شناخت امكانات و ويژگي‌هاي روتر يا AP نيز بسيارمهم است. اغلب دستگاه‌ها داراي چراغ راهنماي نشان‌دهنده در جريان بودن ترافيك شبكه هستند. در ضمن نرم‌افزارهايي دارند كه مي‌توانند ترافيك را اندازه بگيرند و حجم ترافيك هر ارتباط را اندازه‌گيري كنند و نشان بدهند. با همين نرم‌افزارها مي‌توانيد متوجه ترافيك‌هاي غيرعادي در شبكه بشويد و علت را بررسي كنيد.

اگر متوجه شديد كه ارتباط غيرمجازي برقرار شده است، ممكن است نفوذ به شبكه شما صورت گرفته باشد. موضوع ديگر ثبت كردن يا log كردن فعاليت‌هاي روي شبكه است. هكرها ممكن است در آن سوي ديوار شركت باشند و در هر ساعتي از شبانه‌روز قصد ورود به شبكه را داشته باشند. ثبت وقايع شبكه و مرور مستمر آن‌ها مي‌تواند شما را از فعاليت آن‌ها آگاه كند. اين‌كه بارها براي ورود به شبكه تلاش ناموفق صورت گرفته است مي‌تواند يكي از نشانه‌هاي حمله مهاجمان باشد.

سيستم‌هاي آشكارسازي نفوذ
وقتي از حراست از شبكه صحبت مي‌كنيم، ناچاريم كه توضيحاتي هم درباره سيستم‌هاي آشكارسازي نفوذ يا Intrusion Detection System داشته باشيم.

روش‌هاي خودكار يا غيرخودكار زيادي براي نفوذ به شبكه‌ها وجود دارند كه سيستم‌هاي آشكارسازي نفوذ يا IDS ها مي‌توانند آن‌ها را كشف كنند. اين تلاش‌ها مي‌تواند در داخل شبكه يا خارج از شبكه صورت گيرد كه در هر دو صورت IDSها بايد بتوانند آن‌ها را نشان دهد. انواع اوليه سيستم‌هاي IDS در شكل 2 نشان داده شده است.
در اين شكل روش‌هايي ديده مي‌شوند كه عبارتند از:

آشكارسازي الگو (Pattern Detection): يك IDS داده‌هاي مربوط به شبكه را جمع‌آوري مي‌كند و براي تحليل آن‌ها، از يك پايگاه داده‌اي بزرگ كه شامل الگوهاي انواع حمله‌ها است كمك مي‌گيرد. اين روش‌ براي مواقعي بسيار مناسب است كه نفوذگر از روش‌هاي شناخته شده‌اي كه الگوي آن‌ها در بانك اطلاعاتي موجود است، استفاده مي‌نمايد.

NIDS و HIDS: سيستم‌هاي مبتني بر شبكه و ميزبان كه پكت‌هاي شبكه را تحليل مي‌كنند. NIDS پكت‌هايي كه ز فايروال عبور كرده‌اند را بررسي مي‌كند و HIDS فعاليت همه كامپيوترها يا ميزبان‌هاي موجود در شبكه را كنترل مي‌كند.
سيستم‌هاي غيرفعال و واكنشي
سيستم‌هاي IDS غيرفعال (Passive)، اطلاعات شبكه را ثبت مي‌كنند و در صورت ديدن مشكل، آن‌ را اعلام مي‌كنند. سيستم‌هاي واكنشي (Reactive) با ديدن مشكل، ارتباط آن كاربر را با شبكه قطع مي‌كنند يا فايروال را طوري برنامه‌ريزي مي‌كنند كه مانع از ورود ترافيك از جانب نفوذگر شود.

لازم به توضيح است كه IDS با فايروال تفاوت دارد. يك ديواره آتش به‌طور معمول از ورود هكرهاي خارج از شبكه جلوگيري مي‌كند و به هكرهاي درون سازمان توجهي ندارد. اما يك IDS به محض رويت اولين تلاش براي نفوذ به شبكه، هشدار مي‌دهد. ضمن آن‌كه به هكرهاي درون سازمان نيز به دقت توجه دارد.
ابزار Net Stumbler شكل 4- شبكه‌هاي عمومي و خصوصي شكل 5- ايمن‌سازي شبكه بي‌سيم‌شكل 6- مديريت كليدهاچند سايت مفيد شكل 7- حملات فعال و غيرفعال‌
خود‌آموز استاندارد 802.11
1120-planet.com/tutorials 8www.
سازمان مهندسان برق و الكترونيك
www.ieee.org
بخش مربوط به WLAN در سازمانIEEE
/802Grouper.ieee.org/groups/
درباره طيف گسترده راديويي
www.sss-mag.com
گروه فوريت‌هاي امنيت‌ رايانه‌اي
www.cert.org شكل 7- حملات فعال و غيرفعال‌
شكل 3- يك نفوذگر روي سيگنال‌هاي Wi-Fi در پي Stumble است
NetStumber يكي از ابزارهايي است كه تحت سيستم‌عامل ويندوز كار مي‌كند و براي شبكه‌هاي 802.11b ساخته شده است. در استاندارد 802.11 تجهيزات اغلب سازندگان با يكديگر سازگار است. اين ابزار به عنوان وسيله‌اي براي كاهش مشكل inherent در ارتباطات بي‌سيم ساخته شده است.


در اصل اين ابزار براي مشاوراني ساخته شده است كه مي‌خواهند يك شبكه بي‌سيم را از لحاظ دسترسي‌پذيري و قابليت‌هاي نفوذ مورد بررسي قرار دهند. به غيرازاين، مسؤول شبكه نيز مي‌تواند از اين ابزار براي بررسي نقاط تحت پوشش شبكه خود استفاده كند و نحوه پوشش‌دهي جغرافيايي شبكه 802.11 را ترسيم نمايد. البته اين اطلاعات مي‌تواند توسط هكرها نيز مورد استفاده قرار بگيرد تا بدانند كه در كدام نقاط فيزيكي مي‌توانند براي ورود به شبكه مستقر شوند. اين ابزار مزيت ديگري نيز دارد و آن اين است كه مي‌توانيد نوع شبكه‌اي كه بايد ايجاد كنيد را از قبل بدانيد. مثلاً شبكه‌هاي غيرامن اغلب در مكان‌هاي عمومي نظير ساختمان‌هاي عمومي و فروشگاه‌ها يا رستوران‌ها برپا مي‌شوند. (شكل 4)
غيرحرفه‌اي‌ها
اكنون ديگر نفوذگري به افراد پرتلاش و با معلوماتي كه ساعت‌ها وقت صرف مي‌كنند تا به نوعي به شبكه نفوذ كنند و اطلاعات آن را بربايند، محدود نمي‌شود. بسياري از نوجوانان و جوانان غيرحرفه‌اي هم هستند كه فقط لازم است برنامه‌هايي را اجرا كنند تا به منابع شبكه دسترسي بيابند. اين قبيل از نفوذگران را اغلب با عنوان Script kiddies مي‌شناسند. SKها فقط مي‌خواهند بدانند كه به چه تعداد از شبكه‌هاي بي‌سيم مي‌توانند نفوذ كنندو وارد شدن به حريم WLAN‌ها براي آن‌ها حكم سرگرمي را دارد. پس مي‌توان با رعايت حداقل تدابير امنيتي، مانع ورود اين قبيل نفوذگران به شبكه شد.
نفوذ به شبكه
عواملي كه امنيت داده‌هاي موجود روي شبكه‌هاي بي‌سيم را تهديد مي‌كنند، متعدد و گوناگون هستند. در اين‌جا مسأله را از سه جنبه كلي بررسي مي‌كنيم، اين موارد عبارتند از:‌

- آيا داده‌ها در حين انتقال ايمن هستند؟

- آيا دسترسي به جريان داده‌ها و يا دسترسي به هر گونه اطلاعات ديگر در شبكه كنترل مي‌شود؟

- آيا شبكه در مقابل حملات DoS (انكار سرويس: Denial of Service) ايمن است؟

همان‌گونه كه گفتيم، شبكه‌هايي كه برمبناي استاندارد 802.11 پياده شده‌اند (Wi-Fi) به‌طور توكار از مكانيسم WEP براي رمزنگاري و برقراري امنيت استفاده مي‌كنند. WEP روشي براي برقراري امنيت ارتباط نقطه به نقطه نيست اما تلاش مي‌كند كه كانال داده‌ها را از طريق رمزنگاري، ايمن كند. اما همان‌طور كه اشاره شد، همين امكان اوليه نيز در اغلب شبكه‌ها، غيرفعال است.

پس براي اضافه كردن امنيت به محيط شبكه بايد دو منظور اوليه را تأمين كنيم:
1- احراز هويت به معناي آن كه با استفاده از روشي مانند WEP معين كنيم كه وضعيت هر ايستگاه كاري چگونه است و در صورت لزوم با افزودن كنترل‌ها، دسترسي ايستگاه‌هاي كاري به برخي اطلاعات را منوط به احراز هويت درخواست‌كننده بنماييم.

- محرمانگي كه از طريق رمزنگاري كانال داده‌ها با WEP حاصل مي‌گردد. يعني مطمئن باشيم كه در هنگام ارتباط سرور با ايستگاه كاري، هيچگونه اطلاعات رمز نشده بين آن‌ها تبادل نمي‌شود. البته اين محرمانگي به معناي سالم بودن محتواي اطلاعات نيست. (شكل 5)

احراز هويت
وقتي كه يك كاربر شبكه بي‌سيم مي‌خواهد به شبكه شما متصل شود، مي‌توان به دو طريق اين دسترسي را ميسر نمود:

1- سيستم باز: هر كاربري كه در محدوده AP يا نقطه دسترسي باشد مي‌تواند به سيستم‌ وارد شود. با اين فرض كه ورود به شبكه به آدرس‌هاي MAC خاصي محدود نشده است.

2- سيستم رمزنگاري شده: همه داده‌ها و دسترسي‌ها طوري انجام مي‌شود كه براي نفوذگران قابل فهم نباشد. در سيستم‌هاي باز، هر ايستگاه كاري كه از روش‌هاي كاري شبكه مطلع باشد مي‌تواند به آن وارد شود. درخواست ايستگاه توسط سرور از طريق (Service Set Identifier SSID) انجام مي‌پذيرد.

در اين‌صورت در واقع ايستگاه كاري احراز هويت نمي‌شود و فقط به سادگي به شبكه داخل مي‌گردد. از آن‌جايي كه SSID براي هر شبكه به طور خاص تنظيم مي‌گردد، بسياري فكر مي‌كنند كه چنين نفوذگران از SSID منحصر به فرد شبكه مطلع نيستند در نتيجه نمي‌توانند به آن متصل شود. اما واقعيت آن است كه SSID را مي‌توان تهي (Null) يا خالي (Blank) گذاشت تا ايستگاه كاري آن را به‌طور خودكار جستجو كند تا بتواند به شبكه متصل شود.

يعني اين‌كه اين روش از احراز هويت اصلاً كارايي ندارد. از همين جاست كه مشخص مي‌شود دو موضوع رمزنگاري و احراز هويت از چه اهميت بالايي برخوردار هستند. اما سيستم‌هاي بسته نيز براي رفع اين مشكل تعريف شده‌اند. در اين سيستم‌ها براي ورود به شبكه به SSID نياز است و بدون آن، امكان اتصال به شبكه وجود ندارد.
كليدهاي اشتراكي
روش رمزنگاري احراز هويت با كليد اشتراكي نيز روش مناسب ديگري براي احراز هويت است. در اين روش از مكانيسم "-challenge-response " استفاده مي‌شود. ايده اصلي اين روش آن است كه ايستگاه‌هاي كاري از يكshared secret يا <راز مشترك> مطلع هستند. AP يك challenge تصادفي را توليد مي‌كند و به همه ايستگاه‌ها مي‌فرستد. ايستگاه‌هاي كاري با استفاده از WEP، كليدي را با AP به اشتراك مي‌گذارند يعني خود challenge را رمزنگاري مي‌كنند و به AP ارسال مي‌كنند. اين كار باعث مي‌شود كه فقط ايستگاه‌هايي كه واقعاً عضو شبكه هستند موفق به انجام اين كار شوند.
مديريت كليدها
يكي از مشكلات استاندارد 802.11 آن است كه براي مديريت كليدهاي مورداستفاده در رمزنگاري، روش مناسبي را پيشنهاد نمي‌كند. در نتيجه مدير شبكه بي‌سيم در مقابل ايجاد كليدها، توزيع آن‌ها بين كاربران، بايگاني و ذخيره كردن كليدها و محافظت از آن‌ها در مقابل نفوذگران، بررسي اين‌كه از كدام كليدها براي رمزنگاري استفاده مي‌شود و از بين بردن كليدهايي كه به هر علت قابل استفاده نيستند، بايستي پاسخگو باشد. يعني اين كليدها اگر به درستي مراقبت نشوند، به سادگي راه را براي نفوذ هكرها هموار مي‌كنند و اين خطرات بروز خواهد كرد:

- كليدهايWEP منحصر به فرد نيستند و مي‌توانند تكراري باشند.

- رمزهاي عبور پيش‌فرض كارخانه را معمولاً هكرها مي‌دانند.

- كليدها به خوبي تعريف نمي‌شوند. كليدهايي شامل فقط صفر يا فقط شامل يك كاراكتر خاص از اين جمله‌اند.

- بقيه پيش‌فرض‌هاي كارخانه‌اي تجهيزات نيز در صورتي‌كه تغيير نكنند، راه ورود خوبي براي هكرها هستند.

البته با رشد تعداد كاربران شبكه، مديريت ونگهداري كليدها نيز مشكل‌تر مي‌شود و اين نيز از جمله چالش‌هاي پيش‌رو است. ( عكس 6)

الگوهاي حمله‌هاي متداول
حملات هكرها به شبكه‌هاي بي‌سيم به دو گروه فعال (Active) و غيرفعال (Passive) تقسيم مي‌شود كه در شكل 7 آمده است.


الگوهاي حملات فعال
الگوهاي حمله فعال به اين صورت است كه هكر تلاش مي‌كند كانال داده، پيام‌ها يا فايل‌ها را دستكاري كند و تغيير دهد. اين حملات معمولاً از نوع DoS يا MA هستند.

1- حملات انكارسرويس (DoS)

يك حمله DoS يا DDoS (نوع توزيع شده DoS) با هدف قطع دسترسي كاربران به شبكه صورت مي‌گيرد. اين حملات مي‌تواند از داخل يا خارج شبكه سازماندهي شوند و زيان‌هاي زيادي را در بردارد.

2- حملات MA) Message Alteration )
در اين قبيل حملات، هكر تلاش مي‌كند كه يك پيام واقعي را با افزودن، حذف كردن يا تغيير دادن آن، تغيير دهد. اين كار باعث مي‌شود كه اطمينان به پيام‌هاي تبادل شده روي شبكه كاهش يابد و ترافيك زايد شبكه افزايش پيدا كند.

الگوهاي حملات غيرفعال
در اين حملات، كاربر غيرمجاز به منابع شبكه دسترسي پيدا مي‌كند اما نمي‌خواهد كه متن پيامي را تغيير كند. بلكه مي‌خواهد از اطلاعات شبكه استفاده نمايد. سه نوع حمله غيرفعال وجود دارد كه عبارتند از:‌


1- پاسخ‌گويي. در اين روش، هكر به كانال داده‌ها دسترسي دارد و در ابتداي كار زياني به سيستم وارد نمي‌كند اما مي‌تواند كه بعضي پيام‌ها را طوري به كاربران مجاز شبكه بفرستد كه آن‌ها گمان كنند پيام از جانب سرور آمده است.

2- Eavesdropping. در اين روش، نفوذگر به همه داده‌هاي تبادلي روي شبكه گوش مي‌كند تا پيام مناسبي كه از سمت يك ايستگاه به سمت سرور رفته است را پيدا كند.

3- تحليل ترافيك. روشي ديگري براي حمله كه در آن هكر، ترافيك شبكه را تحليل مي‌كند تا الگوي كلي شبكه را به دست بياورد. وي با اين كار متوجه مي‌شود كه دقيقاً هر ايستگاه كاري چه كار مي‌كند و چگونه كار مي‌كند.
نتيجه‌گيري
آنچه كه تاكنون گفتيم ممكن است در تغيير ديدگاه شما نسبت به امنيت شبكه مؤثر بوده باشد يا آن‌كه بعضي مسايل را كه مي‌دانستيد ولي فراموش كرده بوديد را به شما يادآوري كرده باشد. ضمن تأكيد براين نكته كه آنچه كه گفته شد فقط نمايي كلي از مسأله امنيت و مسايل مرتبط با آن را ترسيم كرده است، نكاتي را به عنوان توصيه براي كساني كه قصد راه‌اندازي شبكه WLAN را دارند يا در حال حاضر از آن استفاده مي‌كنند، بيان مي‌كنيم:


1- همواره هنگام تصميم‌گيري براي ايجاد و نصب شبكه يا هنگام استفاده از آن، موضوع امنيت و مديريت شبكه را توامان در نظر داشته باشيد و آن‌ها را موضوعاتي فرض نكنيد كه در آينده نيز مي‌توان به آن‌ها پرداخت.

2- هدف از ايجاد شبكه WLAN را به روشني مشخص كنيد. اين فناوري هم، همانند ساير فناوري‌هاي شبكه داراي نقاط ضعف و قوت خاص خود است. نقاط ضعف آن به‌خصوص در حوزه امنيت نبايد شما را از استفاده از آن منصرف كند و نقاط قوت آن هم نبايد باعث شود كه از ايرادات آن چشم‌پوشي كنيد. اما آنچه كه فعلاً مشخص است، آن است كه نبايد براي كارهاي حساس و حياتي خود از WLAN استفاده كنيد.


3- در تعريف كاربران شبكه و افراد مجاز ورود به شبكه دقت كافي داشته باشيد. همان‌گونه كه اشاره كرديم اگر در اين مورد سهل‌انگاري كنيد، هيچكدام از شيوه‌هاي امنيتي نمي‌توانند به سادگي جلوي خرابكاري كاربران مجاز ولي غيرمسؤول را بگيرند.


4- از همه ويژگي‌هاي امنيتي شبكه‌هاي بي‌سيم استفاده كنيد. فعال‌سازي رمزنگاري WEP كه اكنون به WPA ارتقاء يافته است را فراموش نكنيد. اكنون تقريباً تمامي سازندگان تجهيزات از WPA پشتيباني مي‌كنند كه اين امنيت بيشتري را نسبت به WEP به همراه دارد. پس حداقل هنگام خريد تجهيزات دقت كنيد كه همه دستگاه‌ها از روش‌هاي جديد رمزنگاري همچون WPA پشتيباني كنند.


5- از انتشار عمومي SSID جلوگيري كنيد و آن را فقط براي كاربران مجاز و احراز هويت شده ارسال نماييد.

6- مقادير پيش‌فرض كارخانه (در موارد مختلف) را كه براي كليه محصولات شركت سازنده، يكسان هستند را تغيير دهيد. اين مورد شامل SSIDها يا رمزهاي عبور نيز مي‌گردد.

7- تحولات فناوري‌هاي اين حوزه را دنبال كنيد و تازه‌هاي آن را در نظر داشته باشيد. شايد با مطالعه بيشتر دريافتيد كه مثلاً به‌جاي استفاده از استاندارد Wi-Fi بهتر است به سراغ استاندارد جديدتري همچون wiMax برويد.
منابع:
كتاب Wi-Fi Security نوشته -Stewort s.miller انتشارات مك گروهيل - 2003
كتاب 208.11 Security نوشته Fleck و -Potter انتشارات2002 -O'Reilly
كتاب 208.11 Wireless Networks نوشته- Mathew Gast انتشارات2002 -O'Reilly
كتاب Real 208.11 Security نوشته Edney و-Arbaugh انتشارات300 - Addison Wesley -2


موضوعات مشابه: