امن سازي شبكه هاي بيسيم:

فناوري بي سيم در سال هاي اخير به نحو شگرفي رشد كرده است تا حدي كه امروزه به عنوان يكي از راه حل هاي مناسب جهت سازمان هاي بزرگ مطرح مي باشد. در واقع در رشد تعداد كاربران متحركي (mobile) كه بايستي با شبكه هاي محلي در ارتباط باشند، استفاده از شبكه هاي بي سيم را اجتناب ناپذير ساخته است. كاربراني كه در عين داشتن آزادي عمل در جابه جايي و تحرك،‌نياز به ارتباط online با شبكه محل كار خود را دارند. اين كاربران عامل پديد آمدن شبكه هاي دسترسي از دور، موبايل و بي سيم  بودند.موسسه مهندسان برق و الكترونيك آمريكا(IEEE) طي چندين استاندارد، مشخصه هاي چنين شبكه هايي را تبيين نمود و تحت عنوان خانواده 802.11 آن ها را معرفي كرد. اين مجموعه استاندارد داراي زير بخش هايي به شرح زير است:

802.11e: جهت اصلاح و بهبود كيفيت سرويس(Quality of service)

802.11f: جهت تنظيم بهتر دسترسي Access Point  ها.

802.11c : جهت بهبود ارتباط دستكگاه ها با يكديگر .

802.11d : جهت بهبود عمل گردش در شبكه (roaming)

...

با وجود امكاناتي كه در شبكه هاي مبتني بر 802.11 ارائه شده است ولي اين واقعيت وجود دارد كه، چون براي انتقال اطلاعات در اين شبكه ها هيچ حد و مرز فيزيكي وجود ندارد و اين ترافيك توسط هوا منتقل مي شود به اين دليل اين نوع شبكه ذاتأ نا امن هستند.

از تمام عناصري كه براي ايجاد امنيت در شبكه سيم كشي شده استفاده شده مي توان در شبكه هاي بيسيم نيز براي برقراري امنيت استفاده نمود. نكته مهمي كه در شبكه هاي بيسيم از لحاظ امنتي داراي اهميت مي باشد طراحي اين گونه از شبكه هاي مي باشد. در ادامه به چگونگي طراحي امن شبكه هاي بيسيم مي پردازيم.

- طراحي شبكه:
يكي از موارد مهم كه در طراحي شبكه مي بايست در نظر گرفته شود، چگونگي طراحي و نحوه ارتباط با شبكه سيم كشي شده است.


راههاي زيادي جهت امن كردن شبكه و همين طور براي به خطر انداختن امنيت آن وجود دارد.
با طراحي و بكار گيري يك استراتژي محكم در شبكه هاي بيسيم ميتوان از دسترسي  نفوذ گرها به شبكه جلوگيري بعمل آورد همچنين با اعمال كنترل هاي بيشتر روي بخش بيسيم شبكه، شبكه سيم كشي شده را نيز محافظت نمود تا  نفوذ گرها از اين طريق نيز نتوانند وارد شبكه شوند. استفاده از فايروال و روتر در شبكه بيسيم همانند شبكه هاي سيم كشي شده نيز توصيه مي شود.

- جداسازي توسط مكانيزم هاي جداسازي:

بهدليل اينكه معمولأ AP ها رابط بين شبكه بيسيم و سيم كشي شده هستند، ايستگاه هاي كاري موجود در دو طرف اين AP ها معمولأ در يك Broadcast Domain مي باشند. با اين توضيحات،  نفوذ گر شبكه بيسيم ميتواند با استفاده از روشهاي موجود روي شبكه هاي سيم كشي شده مانندARP cache Poisoning نسبت به اجراي Exploit روي ترافيك Broadcast اقدام نمايد. همچنين  نفوذ گر مي تواند ايستگاه هاي بيسيم ديگري را كه به AP متصل هستند را مورد حمله قرار دهد. اين اتفاق در مورد ايستگاه هاي كاري موجود روي شبكه سيم كشي شده كه به شبكه بيسيم متصل هستند روي خواهد داد.

عوامل اصلي كه امنيت در شبكه بي  سيم را تعريف مي كنند يا امنيت در اين شبكه  ها از آن  ها متأثر مي  شوند، پنج عنصر هستند كه عبارتند از:

1- نفوذگران يا سارقان (Theft)

2- كنترل دسترسي (Access Control)

3- احراز هويت (Authentication)

4- رمزنگاري (Encryption)

5- حراست (Safegurad)

 
1- نفوذ گران يا سارقان (theft):
كاربران غيرمجازي كه سعي ميكنند كه وارد شبكه شما شوند و دادههاي ارزشمند شما را بربايند. كارمندان قبلي يا اخراجي شركت كه به هر علتي سعي در انتقام گرفتن از شركت را دارند، از جمله كانديدادهاي اصلي چنين افرادي ميباشند. ساده ترين كار براي جلوگيري از خرابكاري آن ها، غيرفعال كردن نام كاربري آن ها در زمان پايان قرارداد كاري مي باشد. اين كار ساده، يكي از كارآمدترين روش ها براي مقابله با اين افراد است. انواع حمله توسط نفوذگران به شرح زير است:


الگوهاي حمله هاي متداول
حملات نفوذگران به شبكه هاي بي سيم به دو گروه فعال (Active) و غيرفعال (Passive) تقسيم مي شود.

الف- الگوهاي حملات فعال
الگوهاي حمله فعال به اين صورت است كه  نفوذ گر تلاش مي كند كانال داده، پيام ها يا فايل ها را دستكاري كند و تغيير دهد. اين حملات معمولاً از نوع DoS يا MA هستند.

- حملات انكارسرويس (DoS)

يك حمله DoS يا DDoS (نوع توزيع شده DoS) با هدف قطع دسترسي كاربران به شبكه صورت مي گيرد. اين حملات مي تواند از داخل يا خارج شبكه سازماندهي شوند و زيان هاي زيادي را در بردارد.

- حملات MA) Message Alteration )
در اين قبيل حملات،  نفوذ گر تلاش مي كند كه يك پيام واقعي را با افزودن، حذف كردن يا تغيير دادن آن، تغيير دهد. اين كار باعث مي شود كه اطمينان به پيام هاي تبادل شده روي شبكه كاهش يابد و ترافيك زايد شبكه افزايش پيدا كند.
ب- الگوهاي حملات غيرفعال
در اين حملات، كاربر غيرمجاز به منابع شبكه دسترسي پيدا مي كند اما نمي خواهد كه متن پيامي را تغيير كند. بلكه مي خواهد از اطلاعات شبكه استفاده نمايد. سه نوع حمله غيرفعال وجود دارد كه عبارتند از:

- پاسخ گويي. در اين روش،  نفوذ گر به كانال داده ها دسترسي دارد و در ابتداي كار زياني به سيستم وارد نمي كند اما مي تواند كه بعضي پيام ها را طوري به كاربران مجاز شبكه بفرستد كه آن ها گمان كنند پيام از جانب سرور آمده است.

- Eavesdropping. در اين روش، نفوذگر به همه داده هاي تبادلي روي شبكه گوش مي كند تا پيام مناسبي كه از سمت يك ايستگاه به سمت سرور رفته است را پيدا كند.

- تحليل ترافيك. روشي ديگري براي حمله كه در آن  نفوذ گر، ترافيك شبكه را تحليل مي كند تا الگوي كلي شبكه را به دست بياورد. وي با اين كار متوجه مي شود كه دقيقاً هر ايستگاه كاري چه كار مي كند و چگونه كار مي كند.

2- كنترل دسترسي (access control):
در بسياري از سازمان ها، مجوزهاي دسترسي به آساني به همه اعطا مي شوند. خيلي ساده است كه در ويندوز روي Network Neighborhood كليك كنيد و همه اجزاي بي سيم يا باسيم موجود در شبكه (يا قسمتي از شبكه مربوط به خودتان) را مشاهده كنيد. اما آيا براي دسترسي به هر قسمت، رمزهاي عبور تعريف شده اند و در اين مورد سياستگذاري شده است؟
آيا مشخص است كه چه چيزهايي براي چه كساني به اشتراك گذاشته شده است؟ بسياري از كارمندان براي اين كه يك سند را براي شخص ديگري به اشتراك بگذارند، كل درايو حاوي آن سند را share مي كنند و اين امكان را با تمام مجوزهاي خواندن و نوشتن فراهم مي كنند. در چنين حالتي اگر يك ويروس به شبكه نفوذ كند، به سادگي ايستگاه كاربري آن كاربر را از كار مي اندازد و متعاقب آن، امنيت كل شبكه را به مخاطره خواهد انداخت.

شبكه هاي بي سيم نه تنها همه آسيب پذيري هاي شبكه هاي كابلي (wired)را دارند، بلكه يك نفوذگر يا خرابكار مي تواند از بيرون از ساختمان شركت، با داشتن يك كارت شبكه بي سيم و مقداري مهارت، به AP شبكه شما متصل شود. پس اين جاست كه اهميت كنترل كردن دسترسي ها خود را بيشتر نشان مي دهد.


3-احراز هويت (authentication):
آيا مي دانيد هويت واقعي كاربري كه اكنون به شبكه وارد شده است چيست؟ ممكن است يك نفر از حساب كاربري شخص ديگري براي ورود به شبكه استفاده نموده باشد. در بسياري از سازمان ها، تنها يك حساب كاربري با نامwireless user ايجاد مي شود و همه افراد از همان اكانت براي ورود به شبكه استفاده مي كنند. در نتيجه ورود  نفوذ گرها نيز به شبكه به همان سهولت صورت مي گيرد.
براي احراز هويت كاربران، مي توانيد روتر شبكه را طوري تنظيم كنيد كه فقط به كارت هاي شبكه مجاز امكان اتصال به شبكه را بدهد. از آن جايي كه هر كارت شبكه بي سيم داراي يك آدرس MAC منحصر به فرد است، لذا انجام اين كار به سادگي صورت مي پذيرد.

4-رمزنگاري (encrypting):
اگر يك نفوذگر نتواند به طور مستقيم و غيرمجاز به شبكه شما وارد شود، ممكن است از طريق packet sniffing بر ترافيك شبكه شما نظارت كند و آن را مورد حمله قرار دهد و با كنترل ترافيك شبكه به اطلاعات ارزشمندي همچون نام هاي عبور، رمزهاي عبور و ساير اطلاعات دسترسي پيدا كند و در مرتبه بعدي با استفاده از آن اطلاعات به سادگي به شبكه وارد شود.
براي اين منظور بايد از روش هاي رمزنگاري كه در روترها يا AP ها تعبيه شده اند استفاده كنيد. متأسفانه اغلب كاربران، ويژگي هاي رمزنگاري را روي ادوات بي سيم خود فعال نمي كنند. پروتكل امنيتي WEP يكي از اين روش هاي رمزنگاري است كه براي استاندارد IEEE 802.11b تعريف شده است. WEP امنيتي را معادل امنيت شبكه هاي كابلي مي دهد وليكن به تنهايي كافي نيست.
زيرا خطرات بيشتري شبكه هاي بي سيم را تهديد مي كنند. پروتكل WEP در لايه هاي پيوند داده (Data Link) و فيزيكي (Physical) استفاده مي شود اما نمي تواند ارتباطات نقطه به نقطه را پوشش دهد. اغلب روترها از رمزنگاري 64 بيتي و 128 بيتي پشتيباني مي كنند. با اين كه WEP امنيت كامل را برآورده نمي كند وليكن بسياري از كاربران با غيرفعال كردن امكان رمزنگاري، از همين مزيت نيز خود را محروم مي كنند.

 
5- حراست از شبكه :
شناخت امكانات و ويژگي هاي روتر يا AP نيز بسيارمهم است. اغلب دستگاه ها داراي چراغ راهنماي نشان دهنده در جريان بودن ترافيك شبكه هستند. در ضمن نرم افزارهايي دارند كه مي توانند ترافيك را اندازه بگيرند و حجم ترافيك هر ارتباط را اندازه گيري كنند و نشان بدهند. با همين نرم افزارها مي توانيد متوجه ترافيك هاي غيرعادي در شبكه بشويد و علت را بررسي كنيد.

- سيستم هاي آشكارسازي نفوذ :
وقتي از حراست از شبكه صحبت مي كنيم، ناچاريم كه توضيحاتي هم درباره سيستم هاي آشكارسازي نفوذ يا Intrusion Detection System داشته باشيم.
روش هاي خودكار يا غيرخودكار زيادي براي نفوذ به شبكه ها وجود دارند كه سيستم هاي آشكارسازي نفوذ يا IDS ها مي توانند آن ها را كشف كنند. اين تلاش ها مي تواند در داخل شبكه يا خارج از شبكه صورت گيرد كه در هر دو صورت IDSها بايد بتوانند آن ها را نشان دهد. اين روش هاي گوناگون عبارتند از:

 

- آشكارسازي الگو (Pattern Detection):

يك IDS داده هاي مربوط به شبكه را جمع آوري مي كند و براي تحليل آن ها، از يك پايگاه داده اي بزرگ كه شامل الگوهاي انواع حمله ها است كمك مي گيرد. اين روش  براي مواقعي بسيار مناسب است كه نفوذگر از روش هاي شناخته شده اي كه الگوي آن ها در بانك اطلاعاتي موجود است، استفاده مي نمايد.

- NIDS و HIDS:

 سيستم هاي مبتني بر شبكه و ميزبان كه پكت هاي شبكه را تحليل مي كنند. NIDS پكت هايي كه ز فايروال عبور كرده اند را بررسي مي كند و HIDS فعاليت همه كامپيوترها يا ميزبان هاي موجود در شبكه را كنترل مي كند.


- سيستم هاي غيرفعال و واكنشي
سيستم هاي IDS غيرفعال (Passive)، اطلاعات شبكه را ثبت مي كنند و در صورت ديدن مشكل، آن  را اعلام مي كنند. سيستم هاي واكنشي (Reactive) با ديدن مشكل، ارتباط آن كاربر را با شبكه قطع مي كنند يا فايروال را طوري برنامه ريزي مي كنند كه مانع از ورود ترافيك از جانب نفوذگر شود.
لازم به توضيح است كه IDS با فايروال تفاوت دارد. يك ديواره آتش به طور معمول از ورود هكرهاي خارج از شبكه جلوگيري مي كند و به هكرهاي درون سازمان توجهي ندارد. اما يك IDS به محض رويت اولين تلاش براي نفوذ به شبكه، هشدار مي دهد. ضمن آن كه به هكرهاي درون سازمان نيز به دقت توجه دارد.

 بهترين حفاظ براي شما، آشنا شدن خودتان با شبكه WLAN و تجهيزات بي سيم تان است. موضوعي كه درباره رمزنگاري گفتيم را بايد به دقت رعايت كنيد و حداقل رمزنگاري 64 بيتي را داشته باشيد، ولي توصيه مي كنيم كه از رمزنگاري 128 بيتي استفاده كنيد. وقتي كه رمزنگاري را فعال كرديد بايد به سراغ محدود كردن دسترسي ها و مجاز شمردن نشاني هاي MAC خاصي برويد كه مي توانند به شبكه متصل شويد

-      اجزاي شبكه WLAN:

در بررسي اجزاي كلي شبكه هاي بي سيم به شبكه هايي با بعد جغرافيايي كوچكتر مثل WLAN مي پردازيم كه از اجزاي آن بصورت زير است:

Wireless  Access  Point-: اين دستگاه عمل روتر را انجام مي دهد و فراهم كننده دسترسي دستگاه هاي بي سيم به شبكه بي سيم است.و معمولا اغلب از استاندارد هاي 802.11 پشتيباني مي كند.بعضي از آنها در دوباند عمل مي كنند(Dual Band)

Mobile Device – :كه همان واحد متحركي است كه بايد ارتباط آ نبا شبكه برقرار شود.

Wireless  Network   Interface  Card - : اين كارت شبكه دستگاه هاي سيار را قادر به برقراري ارتباط با AP مي كند. هر كارت كه همانند كارت شبكه معمولي عمل مي كند و داراي يك آدرس MAC منحصر به فرد است. ضمن آنكه لازم است با AP  هماهنگي كامل داشته باشد.  مشابه AP ها، كارت شبكه بي سيم نيز برخي Dual band  هستند كه مزيت خوبي براي آن ها محسوب مي گردد

Security server - : در اغلب شبكه هاي WLAN سروري وجود دارد كه مسئول مديريت كردن مسايل امنيتي است تا اطلاعات تبادلي روي شبكه آسيب نبينند.

امنيت در WLAN:

مشخصه هاي تعريف شده براي شبكه هاي محلي بي سيم به طور ذاتي نا امن هستند زيرا اساسا بنياد آن ها بر اين فرض استوار است كه همگان بايد بتوانند به شبك هدسترسي داشته باشندو از منابع آن استفاده كنند.اما اعمالي كه نفوذگران ممكن است طي حمله به شبكه هاي WLAN صورت دهند چگونه است؟ برخي از اين حملات متداول نفوذ گران عبارتند از:

Sniffing

اين اصطلاح هنگامي به كار مي رود كه شخص مشغول نظارت بر ترافيك شبكه( به طور قانوني يا غير قانوني)‌باشد. اغلب اطلاعات ارسالي توسط Access Point ها به راحتي قابل sniff كردن است زيرا فقط شامل متون معمولي و رمز نشده است. پس ب هسادگي يك نفوذگر مي تواند با جعل هويت ديجيتالي يكي از كاربران شبكه، به داده هاي ارسالي يا دريافتي AP دسترسي پيدا كند.

Spoofing-

در اين حمله شخصي با جعل هويت يكي از كاربران مجاز، اقدام به سرقت داده هاي شبكه مي نمايد. به عنوان مثال، فرد نفوذگر ابتدا با sniff كردن شبكه، يك از آدرس هاي فيزيكي مجاز شبك هرا بدست مي آورد، سپس با استفاده از آن ، خود را به عنوان يكي از كاربران معتبر به AP معرفي مي نمايد و اقدام به دريافت اطلاعات مي كند.

 

Jamming-

اين اصطلاح به معناي ايجاد تداخل راديويي به جهت جلوگيري از فعاليت سالم و مطمئن AP است. از اين طريق فعاليت AP مختل شده و امكان انجام هيچ گونه عملي روي شبكه ميسر نخواهد شد. به عنوان مثال ، دستگاه هايي منطبق بر 802.11b ( به جهت شلوغ بودن باند فركانسي كاري آن ها) به سادگي مختل مي شوند.

Session Hijacking –

در اين جا فرد نفوذگر خود را دستگاهي معرفي مي كند كه ارتباطش را با AP داده و مجددا ارتباط دارد. اما در همين حين، نفوذگر همچنان با شبكه مرتبط بوده و مشغول جمع آوري  اطلاعات است.

Denial of service –

اين اصطلاح هنگامي به كار مي رود كه نفوذگر وارد شبكه شده است و ترافيك شبكه را با داده هاي بي ارزش بالا مي برد تا حدي كه شبكه به طور كلي از كار بيفتد يا اصطلاحا Down شود. يكي از راه هاي ساده ي اين كار، ارسال در خواست اتصال به شبكه(log on) به تعداد بي نهايت است.

Man in the middle –

در اين حالت، فرد نفوذگر اقدام به تغيير پيكربندي ادوات متحرك به همراه شبيه سازي وضعيت Access point مي نمايد. در نتيجه ترافيك شبكه به محل ديگري كه در آن AP شبيه سازي شده ، انتقال مي يابد. در چنين وضعيتي،‌نفوذگر مي تواند  كليه اطلاعات را بدون نگراني و واسطه بخواند و جمع آوري كند، ضمن آن كه كاربران همگي فكر مي كنند كه مشغول كار در شبكه خودشان هستند. انجام اين كار چندان مشكل نيست زيرا تمامي شبكه هاي WLAN از احراز هويت در سمت سرويس گيرنده (Client-silde authentication) استفاده مي كنند و احراز هويتي در سمت AP صورت نمي گيرد. در نتيجه، كاربران از اتصال به AP مجاز يا غيرمجاز مطلع نمي شوند

با توجه به آنچه تا كنون گفته شد، سازمان ها و نهادهايي همچون IEEE  و Wi-Fi وي‍‍ژگي هاي امنيتي متعددي را براي WLAN پيشنهاد و استاندارد نموده اند.

-         WEP(Wired Equivalent Privacy)

مشخصه ي 802.11b نوعي روش رمزنگاري اوليه به نام WEP دارد كه در حالت پيش فرض، غيرفعال است. WEP از فرمول RC-4 و 40 بيت براي رمز نمودن اطلاعات استفاده مي كند كه ابزارهاي قفل شكن امروزي، طي چند ثانيه رمز آن گشوده مي شود. در نسخه هاي جديدتر WEP از رمزنگاري 128 بيتي استفاده مي گردد كه بسيار بهتر از حالت قبل است اما همچنان كافي نيست.

نقيصه ي امنيتي كه در اين جا ديده مي شود فقط در نحوه رمز نگاري نيست، بلكه در مورد كليدي است كه از آ ن براي رمزگشايي استفاده مي كردد، زيرا اين كليد حالت ثابت و ايستا دارد و شرايط ساده تري براي نفوذگر برقرار است و به دليل اينكه با تغيير كليد بايد تنظيمات AP را بايد به صورت دستي تغيير داد سرپرستان شبكه اغلب، كليد ها را هر چند ماه يكبار تغيير مي كنند. البته تنها مشكل اين حالت تعداد كم بيت نيست در واقع حتي اگر اين تعداد به 256 بيت نيز تغيير كند نفوذگر در تعداد فريم بيشتر و با اندك زمان بيشتري به اين كليد دست پيدا خواهد كرد.

 

WEP همچنين داراي احراز هويت از نوع ساده مي باشد و كاربران جهت دسترسي به شبكه به يك SSID(service set identifier) نيزا دارند كه عبارت است از يك رشته 32 كاراكتري منحصر به فرد كه به ابتداي بسته هاي داده اي WLAN الصاق مي گردد. اين كار بدين منظور صورت گرفته كه شبكه مطمئن شود فقط بسته هايي كه داراي اين مشخصه هستند مجاز به دسترسي مي باشند ، البته به دست آوردن SSID  نيز براي نفوذگران كار آساني نيست. با فعال كردن WEP راه هايي ورود نفوذگر ها را به حداقل مي رسانيم. نكته ديگري كه بايد در اين مورد گفته شود اين است كه اغلب AP ها از DHCP آدرس IP مي گيرندو اين از جمله راه هاي رورد غير مجاز نفوذ گران به داخل شبكه است.

يك ديگر از دسترسي هاي ديگر كه محافظت شده است با عنوان WPA(wireless protected access) شناخته مي شود يكي از شيوه هاي مطلوب محافظت از شبكه است كه در استاندارد 802.11i گنجانده شده و اغلب دستگاهايي كه از استاندارد Wi-Fi پشتيباني مي كنند آن را در خود جاي داده اند. در واقع نحوه ي عملكرد اين نوع احراز هويت اين گونه است كه اگر ماربري 2 packet غير مجاز را طي يك دوره زماني( مثلا يك ثانيه) ارسال كند، سيستم فرض مي كند كه شبكه مورد حمله قرار گرقته است در نتيجه به طر خودكار كليه راههاي دسترسي را مسدود مي كند. فعال سازي اين ويژگي فقط براي سازمان هايي كه درجه امنيت بسيار بالايي برخواردارند، توصيه مي شود.

 

-      Access Point هاي تقلبي

يكي ديگر از راه هاي ورود نفوذگران به داخل شبكه استفاده از AP هاي غير مجاز است كه به وسيله ي آ ن مي توانند مانند ساير كاربران شبكه در نظر گرفته شوند و به راحتي از اطلاعات شبكه استفاده كنند. براي مقابله با اين مشكل از آشكار سازهاي امواج راديويي استفاده مي شود. بدين صورت كه اشخاصي بطور فيزيكي در اطراف ساختمان محل استقرار شبكه بايد حركت كنند و AP هاي نامشخص  را شناسايي كنند.