شبکه های بیسیم خانگی
اهمیت پیکربندی صحیح ابزار شبکه بیسیم و ایجاد محدودیت جهت دسترسی به اینترنت، غیر فعال کردن انتشار، حفاظت از اطلاعات ارسالی به کمک رمزنگاری، محدود کردن پهنای باند، تغییر نام شبکه بیسیم ، تغییر رمز مدیر، ایجاد منطقه غیر نظامی و شبکه چندگانه، استفاده از دسترسی حفاظت شده، نگهداری از نرمافزار دائمی فعلی و بروز رسانی آن و حفظ کلیه اطلاعات در خصوص تنظیمات صورت گرفته بر روی نقطه دسترسی بصورت مستند امکان استفاده امن و قابل اطمینان از شبکه بیسیم را فراهم مینماید. هدف از ارائه این مقاله آشنایی با مفاهیم و راهکارهای مربوط به امنیت شبکه بیسیم میباشد.
● مقدمه
امروزه استفاده از شبکه بیسیم به خاطر نصب و راه اندازی، و دسترسی آسان در محیط های کوچک مانند اماکن تجاری، کتابخانه ها و ... به سرعت رو به افزایش است. خصوصیت رادیویی این ابزار باعث میشود امکان دسترسی به اطلاعاتی که در حالت فعال بودن بیسیم ارسال و دریافت میگردند، نسبت به شبکه کابلی، بیشتر گردد. لذا پیکربندی مناسب و بکارگیری روشهایی که در حفظ امنیت شبکه بیسیم موثر باشند بسیار ضروری است. این مقالهای به امنیت این نوع شبکه و روشهای ایجاد و نگهداری محیط امن برای استفاده از آن میپردازد.
● امنیت شبکه[۱]
ممکن است راه اندازی یک شبکه بیسیم[۲] راحت و مفید باشد، اما باید مراقب امنیت شبکه باشید و از پهنای باند، سیستم و فایلهایتان حفاظت کنید. این متن شامل پیشنهاداتی در خصوص اینکه چگونه شبکه شما در برابر دسترسی خارجی بسته باشد و تغییرات بدون مجوز بوسیله عوامل خارجی را کاهش دهد، میباشد.
هدف از امنیت شبکه خانگی، مشکل ساختن شناسایی، دسترسی و استفاده از منابع شبکه شما میباشد. بوسیله بکارگیری چندین لایه حفاظتی، میتوانید مانع بسیاری از حملات معمول شوید. در ادامه به شما کمک خواهد شد که آسیب پذیری سیستمتان را کم کنید و یک امنیت اولیه در برابر نفوذگران[۳] غیر حرفهای برای شبکه خانگی خود مهیا نمایید، البته این راهنماییها نمیتواند مانع سارقان حرفهای اطلاعات شود.
● حداقل شرایط نگهداری از یک سرویس گیرنده[۴] کابلی
توجه کنید که هر وقت شما گزینههای امنیتی را تغییر میدهید، ممکن است بطور اتفاقی سیستم بیسیم خود را قفل کنید. به همین خاطر آشنایی قبلی با چگونگی تنظیمات امنیتی و نگهداری یک سیستم با ارتباط کابلی توصیه میشود. بیشتر نقاط دسترسی[۵] به یک سیستم کابلی برای پیکربندی اولیه نیاز دارند. اگر سیستمتان قفل شد، باید دستگاه را دوباره راهاندازی نمایید تا کلیه اطلاعات پاک و مجدداً پیکربندی شود.
● تنظیمات خود را یادداشت کنید
تمام تغییراتی را که به عنوان پیش فرض در تنظیمات نقطه دسترسی ایجاد میکنید شامل: کلمه عبور، SSIDا[۶] (نام شبکه)، کلید رمزگذاری WEP[ا۷]، کلیه فیلترها و تنظیمات MAC[۸]i و ... یادداشت نمائید. در صورت بارگذاری مجدد بصورت فیزیکی و یا بهروزرسانی، شما قادر خواهید بود دوباره بدون اینکه مجبور باشید دوباره تنظیم کنید برای هر سرویس گیرنده با تنظیمات جدید، شبکه را ایجاد کنید. کلمات یادداشت نموده را در جایی مطمئن نگهداری نمائید.
● از نرم افزار دائمی فعلی[۹] نگهداری کنید
سازندگان نرم افزارها اغلب نسخههای ارتقاء آنرا پیوسته ارائه میدهند، برنامههای کوچکی که بطور ثابت در داخل دستگاه ذخیره میشوند. شما می توانید پایگاه اینترنتی این محصولات یا شرکتهای حامی را برای در دسترس بودن نسخههای قبلی بررسی کنید. از نتایج خوب نگهداری از یک سرویس گیرنده کابلی آنست که معمولاً نسخههای جدیدتر، حاوی اطلاعات بروز شده ابزارهای امنیتی و یکسری امکانات اضافی می باشد و شما میتوانید آن را روی نقطه دسترسیتان برای استفادۀ مؤثر سرویس گیرندهها، نصب نمائید.
● دستیابی به نقطه دسترسیتان را امن کنید
بیشتر نقاط دسترسی از قبل تنظیم شده و با کلمه عبور پیش فرض یا بدون آن به بازار می آیند. مسیریاب[۱۰]ها همیشه با یک نام کاربری و کلمه عبور پیش فرض فرستاده میشوند که در دنیای کامپیوتر شناخته شده هستند. اولین وظیفه شما این است که به نقطه دسترسی وصل شوید و کلمه عبور مدیر را تغییر دهید.
همچنین از غیر فعال بودن هرگونه کنترل از راه دور بوسیله نقطه دسترسیتان مطمئن شوید. اینکار از دسترسی به صفحه تنظیمات شبکه شما از طریق افراد خارج از محدوده جلوگیری میکند.
انتشار[۱۱] SSIDرا غیر فعال کنید
نقاط دسترسی بصورت پیش فرض, یک موج رادیویی ردیابی[۱۲] را منتشر مینمایند. سرویس گیرنده بیسیم وجود نقاط دسترسی را بوسیله آن موج شناسایی مینماید. با این سیگنال که شناسه امنیتی دستگاه (SSID) نامیده میشود، اسم شبکه مشخص میگردد و اساساً کارتهای شبکه بیسیم در داخل محدوده را برای پیوستن به شبکه فرا میخواند. از آنجایی که محدوده یک نقطه دسترسی اغلب از حدود منزلتان بیشتر است، یک فرد عبوری یا همسایه میتواند در محدوده ارتباط شما قرار گیرد. هر چند، اگر شخصی بداند و یا بتواند نام شبکه شما را حدس بزند و همزمان انتشار SSID غیر فعال باشد، عملاً شبکه بیسیمتان غیر قابل مشاهده خواهد بود.
وقتی شما مشخصه انتشار را غیر فعال میکنید، لازم است هر یک از سرویس های گیرنده بیسیم را با نام شبکه مورد نظر به صورت دستی تنظیم نمایید. نامی برای SSID تان انتخاب کنید که خیلی بدیهی نباشد.
● استفاده از رمزگذاری WEP
با وجود اینکه نفوذگران مصمم، میتوانند در WEPنفوذ نمایند، استفاده از WEP میتواند مانع از جداکردن دادههای بیسیم شناور اطراف شبکهتان توسط بستههای نظارت و ردگیری[۱۳]شود (یکی از قدیمی ترین روشهای سرقت اطلاعات در یک شبکه، استفاده از فرآیندی موسوم به "ردگیری بسته ها در شبکه"[۱۴] است. در این روش مهاجمان از تکنیکهائی به منظور تکثیر بستههای اطلاعاتی که در طول شبکه حرکت میکنند، استفاده نموده و در ادامه با آنالیز آنها از وجود اطلاعات حساس در یک شبکه آگاهی مییابند. امروزه پروتکلهائی نظیر IPSec به منظور پیشگیری از "ردگیری بسته ها در شبکه" طراحی شده است که با استفاده از آن بستههای اطلاعاتی رمزنگاری میگردند. در حال حاضر تعداد بسیار زیادی از شبکهها از تکنولوژی IPSec استفاده نمینمایند و یا صرفاً بخش اندکی از دادههای مربوطه را رمزنگاری مینمایند و همین امر باعث شده است که "ردگیری بسته ها در شبکه"همچنان یکی از روشهای متداول به منظور سرقت اطلاعات باشد. یک "ردگیر بسته ها در شبکه" که در برخی موارد از آن به عنوان دیدهبان شبکه و یا تحلیلگر شبکه نیز یاد میشود، میتواند توسط مدیران شبکه به منظور مشاهده و اشکال زدائی ترافیک موجود بر روی شبکه استفاده گردد تا به کمک آن بسته های اطلاعاتی خطاگونه و گلوگاههای حساس شبکه شناسائی و زمینه لازم به منظور انتقال موثر دادهها فراهم گردد. به عبارت سادهتر، یک "ردگیر بسته ها در شبکه" تمامی بستههای اطلاعاتی که از طریق یک اینترفیس مشخص شده در شبکه ارسال میگردند را تا موقعی که امکان بررسی و آنالیز آنان فراهم گردد جمعآوری مینماید. عموماً از برنامه های "ردگیر بسته ها در شبکه" به منظور جمع آوری بسته های اطلاعاتی به مقصد یک دستگاه خاص استفاده میگردد. برنامه های فوق قادر به جمع آوری تمامی بستههای اطلاعاتی قابل حرکت در شبکه، صرف نظر از مقصد مربوطه نیز میباشند. یک مهاجم با استقرار یک "ردگیر بسته ها در شبکه" در شبکه، قادر به جمعآوری و آنالیز تمامی ترافیک شبکه خواهد بود. اطلاعات مربوط به نام و رمز عبور عموماً به صورت متن معمولی و رمز نشده ارسال میگردد و این بدان معنی است که با آنالیز بستههای اطلاعاتی، امکان مشاهده اینگونه اطلاعات حساس وجود خواهد داشت. یک "ردگیر بسته ها در شبکه" صرفاً قادر به جمع آوری اطلاعات مربوط به بسته های اطلاعاتی درون یک subnet مشخص شده است. بنابراین، یک مهاجم نمیتواند یک "ردگیر بسته ها در شبکه" را در شبکه خود نصب نماید و از آن طریق به شبکه شما دستیابی و اقدام به جمع آوری نام و رمز عبور به منظور سوء استفاده از سایر ماشینهای موجود در شبکه نماید. مهاجمان به منظور نیل به اهداف مخرب خود میبایست یک "ردگیر بسته ها در شبکه" را بر روی یک کامپیوتر موجود در شبکه اجراء نمایند). در بیشتر نقاط دسترسی, پیشنهاد میکنند حداقل اندازه کلید برای رمزگذاری ۶۴ بیت باشد و بعضی دیگر حتی پیشنهاد ۱۲۸ بیتی برای رمزگذاری را داده اند. مدلWEP بستههای داده های مورد استفاده را بصورت الگوریتمهای مبهم و مبتنی بر یک کلید الکترونیکی تبدیل نموده و آنرا بصورت یک سری از الفبای عددی یا کاراکترهای شانزده شانزدهی (هگزا دسیمال) پنهان مینماید. سیستم دریافت باید یک کلید نظیر آن را به منظور کشف رمز بسته داده داشته باشد.
بر روی نقطه دسترسی، گزینهای را که اتصال WEP را فعال نموده و یا نیاز دارد، جستجو کنید. کلیدی را روی نقطه دسترسی تعریف نموده و همان کلید را در پیکربندی بیسیم هر سرویس گیرنده وارد کنید.
تنظیم دسترسی بوسیله نشانی فیزیکی کارت شبکه (MAC)
هر کارت شبکه یک نشانی MAC دارد که به صورت یکتا تعریف شده و روی شبکه مشخص میگردد. بیشتر نقاط دسترسی به شما اجازه میدهند که MAC آدرسهایی که میتوانند به شبکه دسترسی داشته باشند را محدود نمائید. استفاده از فیلتر MAC به اضافه WEP دسترسی به شبکه شما را بسیار مشکل میسازند.
● کنترل دسترسی بوسیله نشانی دامنه (IP)اا[۱۵]
اگر شما سرویسهایDHCP (Dynamic Host Configuration Protocol) را به منظور دریافت خودکار IP ،(Domain Name System) DNS و ورودی اطلاعات (Gateway) برای سرویس گیرندهها فعال کردهاید و میخواهید که این خصیصه به وسیله نقطه دسترسیتان پشتیبانی شود، دسترسی بر مبنای نشانی IP را محدود کنید، برای این منظور باید تعداد سرویس گیرندههای همزمان از DHCP را مشخص نمائید. ضمن آنکه میتوانید دوره اجاره را که برای هر نشانی DHCP منتشر میشود، تمدید کنید. (هر سرویس گیرنده DHCP نشانی را برای یک مدت زمان اجاره میکند سپس آن را آزاد مینماید.) راه دیگر اینکه، به جای تکیه بر DHCP، میتوانید به صورت دستی هر سرویس گیرنده را با نشانی IP دائمی پیکربندی کرده، اجازه دسترسی را تنها برای آن نشانیهای مخصوص, صادر نمایید.
مرتب کلمه عبور و SSID را تغییر دهید.
در ادامه گمراه کردن نفوذگرها، SSID و کلیدهای WEP خود را هر چند ماه یکبار تغییر دهید.
برد نقطه دسترسیتان را حداقل کنید.
سعی کنید نقطه دسترسی را در مرکز مکانی که برد آن به اندازهای باشد که به کاربران خدمات بدهد و یا حداکثر تا محوطه اطراف محل مورد نظر را پوشش دهد، قرار دهید، این عمل باعث کاهش پوشش در خارج از محدوده مالکیت شما میگردد. بهترین نقطهای که میتوان در نظر گرفت نزدیک به مرکز مکان خصوصی شما و نزدیک سطح زمین میباشد (اما نباید مستقیماً بالا یا زیر سرویس گیرنده بیسیمتان باشد).
● یک DMZا [۱۶] یا شبکه چندگانه نصب کنید
در صورتی که شبکه خصوصی شما قسمت بندی شده است، سه بخش ابتدایی از یک نشانی IP، خود شبکه و بوسیله آخرین قسمت, سیستمهایی را که به شبکه متصل هستند مشخص میگردد. اگر شما همزمان شبکه کابلی و بیسیم استفاده می نمایید، میتوانید یک قلمرو غیر جنگی (DMZ) (یکی از اصول امنیت، استفاده از الگوی دفاع لایه به لایه است. مثل استفاده از برج، دیوارهای بلند، دروازه های اصلی و فرعی، خندق و ... در قلعه های قدیمی کل شبکه (Internetwork) را میتوان به دو بخش قابل اعتماد (Trusted) و غیرقابل اعتماد (Untrusted) تقسیم بندی کرد. شبکه داخلی را میتوان شبکه قابل اعتماد و شبکه عمومی اینترنت را شبکه غیرقابل اعتماد دانست. در شبکه های کامپیوتری، محلی را به نام DMZ (Demilitarized Zone) تعریف میکنیم. در واقع DMZ ناحیهای بین شبکه داخلی شما (Trusted) و شبکه عمومی (Untrusted) است. سرورهایی را که باید از اینترنت قابل دسترسی باشند (مانند Web Server، Mail Server،FTP Server وDNS Server ) را در DMZ قرار میدهیم. این سیاست مطابق الگوی دفاع لایه به لایه است. به این ترتیب میتوانیم راه برقراری ارتباط از اینترنت به داخل شبکه را به طور کامل مسدود کنیم. برای ایجاد لایههای بیشتر میتوان بیش از یکDMZ در شبکه ایجاد کرد. تعداد Deviceهای امنیت شبکه به تعداد DMZها و موارد دیگری بستگی دارد و با توجه به ساختار شبکهی هر سازمان، میزان حساسیت و برخی پارامترهای دیگر که در سیستم عامل تعیین میشود. پیکربندی مناسب ناحیه DMZ به دو عامل متفاوت بستگی خواهد داشت: وجود یک مسیریاب خارجی و داشتن چندین نشانی IP ) را ایجاد کنید که مانند یک زیر شبکه روی شبکه اولیه بوجود میآید، یا میتوانید آدرسهای شبکه مختلفی برای هر شبکه طراحی کنید.
● مانند یک نفوذگر عمل کنید
ابزارهای زیادی در دسترس هستند که میتوانند امنیت شبکهتان را بیازمایند. برای مثال، NetStumbler و چندین ابزار مجانی در دسترس که در نشانیAbout.com۰۳۹;s Internet/Network Security page میتوانید بیابید. آنها میتوانند به یافتن نقاط قابل نفوذ در شبکهتان کمک کنند و حتی ممکن است راههایی را برای بستن سوراخهای امنیتی پیشنهاد کنند.
● همیشه مراقب باشید
مفاهیم امنیت شبکه یک فرایند در حال پیشرفت میباشد. هر محصول و ابزار جدیدی که به بازار میآید، بالقوه آسیب پذیر و قابل رخنه میباشند. البته، تکنولوژیهای جدید برای کمک به بهبود امنیت روی شبکههای بیسیم گسترش مییابند. دسترسی حفاظت شده Wi-Fi (WPA[۱۷])، برای مثال، امنیت را بالا خواهد برد و تنظیمات را آسان خواهد نمود. یک پروتکل جدید امنیت شبکه بیسیم، به نام IEEE ۸۰۲.۱۱i[۱۸]، همچنین به تقویت امنیت بیسیم کمک خواهد نمود.
بهترین روش برای برقراری امنیت شبکه بیسیم، دنبال کردن مراحلی است که در بالا لیست شد، همچنین قدم برداشتن با پیشرفت تکنولوژی، نرمافزار دائمی و راه حلهایی که دسترس باشند، پیشنهاد میشود.
● نتیجه گیری
راه اندازی شبکه بیسیم، تنها در مواردی توصیه میشود که امکان کابلکشی نبوده و باعث بهم خوردن زیبایی مکان مورد نظر شود و یا لزوم جابجایی رایانهها، استفاده از شبکه بیسیم را ضروری نماید. غیر از مواردی از قبیل شبکه بیسیم هرگز بر شبکه کابلی برتری نخواهد داشت و در محیطهای بزرگ میتواند به عنوان شبکه کمکی در کنار یک شبکه کابلی استفاده گردد.
مترجم: مریم صادقیان
کارشناس خدمات کامپیوتری دانشکده علوم ریاضی. دانشگاه صنعتی شریف
یادداشتها:
*این مقاله ترجمهای است از:
The University of Texas at Austin (۲۰۰۳).Wireless Home Networking Kit.
http://www.utexas.edu/its/wireless/install/netsecurity.html
[۱] Network Security
[۲] Wireless network
[۳] Hackers
[۴] Client
[۵] Access Point (AP)
[۶] Secure Set ID
[۷] Wired Equivalent Privacy
[۸] Media Access Control
[۹] Firmware
[۱۰] Router
[۱۱] Broadcasting
[۱۲] Beacon
[۱۳] sniffer: A packet sniffer (also known as a network analyzer or protocol analyzer or, for particular types of networks, an Ethernet sniffer or wireless sniffer) is computer software or computer hardware that can intercept and log traffic passing over a digital network or part of a network. As data streams travel back and forth over the network, the sniffer captures each packet and eventually decodes and analyzes its content according to the appropriate RFC or other specifications
[۱۴] packet sniffing
[۱۵] Internet Protocol
[۱۶] De-Militarized Zone: a computer or small subnetwork that sits between a trusted internal network, such as a corporate private LAN, and an untrusted external network, such as the public Internet. Typically, the DMZ contains devices accessible to Internet traffic, such as Web (HTTP ) servers, FTP servers, SMTP (e- mail) servers and DNS servers.
[۱۷] Wi-Fi Protected Access; Wi-Fi is short for wireless fidelity and is meant to be used generically when referring of any type of ۸۰۲.۱۱ network, whether ۸۰۲.۱۱b, ۸۰۲.۱۱a, dual-band, etc.
[۱۸] IEEE ۸۰۲.۱۱i, also known as WPA۲, is an amendment to the ۸۰۲.۱۱ standard specifying security mechanisms for wireless networks
منابع:
http://www.utexas.edu/its/wireless/install/netsecurity.html
http://en.wikipedia.org/wiki/Packet_sniffer
http://www.webopedia.com/TERM/D/DMZ.html
http://en.wikipedia.org/wiki/
http://www.websecurity.ir/ShowArtOth.asp?ID=۱۲۳
http://websecurity.ir/ShowArtOth.asp?ID=۱۲۵
آموزش فناوری اطلاعات
مطالب مشابه :
شبکه بیسیم حسگر
معرفی شبکههای بیسیم حسگر wsn پیشرفتهای اخیر در زمینه الکترونیک و مخابرات بیسیم
آموزش راه اندازی شبکه های بیسیم
| راهاندازی شبکه بیسیم در 15 دقیقه | كارتهای شبکه بیسیم همانگونه که قبلاً اشاره شد
مقاله در مورد شبکه های بی سیم Wi Fi
شبکه های بی سیم (Wireless) یکی از تکنولوژی های جذابی هستند که توانسته اند توجه بسیاری را بسوی
آشنایی با شبکههای کامپیوتری؛ قسمت دوم: شبکههای بیسیم
hamhame89 - آشنایی با شبکههای کامپیوتری؛ قسمت دوم: شبکههای بیسیم - وبسایت دانشجویان ورودی
شبکه های بیسیم خانگی
شبکه های بیسیم خانگی . یکشنبه ۲۹
آموزش افزایش کیفیت و محدوده شبکه بیسیم
استفاده از شبکه بیسیم این روزها دیگر خیلی ساده شده است. تنها کافی است یک روتر بیسیم را
انواع شبکه بی سیم
بواسطه وجود شبکه های بی سیم امکان پذیر شده است.
برچسب :
شبکه های بی سیم