کمیته رکن چهارم – وایفای یک نقطه ورودی است که نفوذگران از آن استفاده میکنند تا بدون پا گذاشتن در ساختمان شما، به شبکهی شما وارد شوند، چون دستگاههای بیسیم بسیار راحتتر از دستگاههای سیمی مورد نفوذ قرار میگیرند، که این بدان معنی است که شما باید بسیار بیشتر نسبت امنیت این دستگاهها کوشا باشید. اما برای ایمنسازی وایفای راههای بسیار بیشتری نسبت به تنظیم یک گذرواژه وجود دارد. صرف زمان برای یادگیری و اقدامات امنیتی پیشرفته میتواند راه بسیار خوبی برای حفاظت بهتر از شبکه شما باشد. در اینجا ۵ راهنمایی برای بهبود امنیت وایفای شما آورده شده است.
نام شبکه غیرمتداول (SSID)
شناسه تنظیم خدمات (SSID) یکی از پایههای اساسی در تنظیمات شبکه وایفای است. برخلاف انتظار، نام شبکه نیز میتواند امنیت را به خطر بیندازد. استفاده از یک SSID بیش از حد معمول، مانند «بیسیم» یا نام پیشفرض فروشنده، میتواند نفوذ در حالت WPA یا WPA۲ را برای نفوذگران آسانتر کند. این به این دلیل است که الگوریتم رمزنگاری شامل SSID و واژهنامهای که توسط نفوذگران برای کشف گذرواژهی وایفای مورد استفاده قرار میگیرد. به وسیله SSIDهای پیشفرض و متداول دوباره بارگیری میشوند. با استفاده از یکی از اینها، کار نفوذگران آسانتر میشود. همانطور که در ادامه خواهیم گفت، این آسیبپذیری در شبکههایی که از حالت سازمانی امنیت WPA یا WPA۲ استفاده میکنند، وجود ندارد و این یکی از مزایای استفاده از حالت سازمانی است.
ممکن است اسم SSID چیزی مانند نام شرکت و یا آدرس باشد که به راحتی قابل شناسایی است و امکان دارد بهترین ایده هم نباشد. این حرف به خصوص در مورد شبکههایی که در یک ساختمان و یا چند ساختمان مجاور به اشتراک گذاشته شدهاند، درست است. اگر نفوذگران بخواهند در یک ناحیه اشباعشده که هزارن شبکهی وایفای دیده میشود، حمله خود را راهاندازی کنند، احتمالا موردی را انتخاب میکنند که شناسهی آن آسانترین باشد، این میتواند به آنها کمک کند تا بفهمند با نفوذ در این شبکهها ممکن است چه سودی به دست آوردند. آنها همچنین ممکن است یکی را انتخاب کنند که در یک منطقه اشباعشده، پیدا کردن آن آسان باشد. امکان خاموش کردن پخش همگانی SSID وجود دارد و با این کار اساسا نام شبکهی شما دیده نمیشود، اما این راه پیشنهاد نمیشود. مجبور کردن کاربران به وارد کردن دستی SSID و اثرات منفی عملکرد درخواست کاوش در وایفای، معمولا از مزایای امنیت بیشتر است. هنوز هم یک نفر با ابزارهای مناسب میتواند SSID را از ترافیک شبکههای دیگر به دست آورد.
امنیت فیزیکی را به یاد داشته باشید
امنیت بیسیم و یا تمام موارد امنیت فناوری اطلاعات مرتبط با این موضوع، فقط به فناوریها و پروتکلها وابسته نیستند. این امکان وجود دارد که شما با داشتن بهترین رمزنگاری همچنان آسیبپذیر باشید. امنیت فیزیکی یکی از این آسیبپذیریها است. اکثر نقاط دسترسی (AP) یک دکمه تنظیم مجدد دارند که هرکسی میتواند با فشار دادن آن دستگاه شما را به تنظیمات پیشفرض کارخانه برگرداند و امنیت وایفای را از بین ببرد. بنابراین، نقاط دسترسی در سراسر تسهیلات توزیعشده باید به صورت فیزیکی ایمن شده باشند و از دستکاری آنها جلوگیری شود. مطمئن شوید که دستگاهها همیشه خارج از دسترس قرار بگیرند و بررسی کنید که روشهای ارائهشده توسط فروشندگان برای محدود کردن دسترسی فیزیکی به درگاهها و دکمههای نقاط دسترسی، مورد استفاده قرار بگیرند.
یکی دیگر از نگرانیهای امنیتی فیزیکی در رابطه با وایفای زمانی است که کسی یک نقطه دسترسی غیرمجاز را به شبکه اضافه میکند، که معمولا «نقطه دسترسی سرکش» نامیده میشود. این کار را میتواند به دلایل قانونی توسط یک کارمند با هدف افزایش پوشش وایفای و یا انجام کارهای غیرقانونی و یا حتی توسط یک بیگانه که به این مرکز دسترسی دارد، انجام شود. برای کمک به جلوگیری از این نوع نقاط دسترسی سرکش، اطمینان حاصل کنید که هر درگاه اترنت استفادهنشده (مانند درگاههای دیوار یا اترنتهای شل) غیرفعال باشند. شما میتوانید این درگاهها یا کابلها را از لحاظ فیزیکی حذف کرده و یا اتصال آن خروجی یا کابل را روی مسیریاب یا سوئیچ غیرفعال کنید. یا اگر واقعا میخواهید امنیت را تقویت کنید، اگر مسیریاب یا سوئیچ شما از احراز هویت X۸۰۲.۱ پشتیبانی میکند، آن را در قسمت سیمی فعال کنید. بنابراین هر دستگاهی که به درگاه اترنت وصل میشود، برای ورود به شبکه باید احراز هویت شود.
از WPA۲ سازمانی با احراز هویت X۸۰۲.۱ استفاده کنید
یکی از مؤثرترین راهکارهای امنیتی وایفای که شما میتوانید به کار ببرید، استفاده از حالت سازمانی امنیت وایفای است، زیرا هر کاربر را به صورت جداگانه تأیید میکند: هر کسی میتواند نام کاربری و گذرواژهی خود را داشته باشد. بنابراین اگر یک دستگاه رایانهی همراه یا تلفن همراه گم شده یا دزدیده شود یا یک کارمند شرکت را ترک کند، همهی کاری که شما باید انجام دهید این است که اطلاعات ورود این کاربر خاص را تغییر داده یا پاک کنید. برخلاف حالت سازمانی، در حالت شخصی همه کاربران از یک گذرواژه مشترک استفاده میکنند و در صورتی که یکی از دستگاهها دزدیده یا گم شوند، باید گذرواژهی تمام دستگاهها تغییر پیدا کند که زحمت زیادی دارد. یکی دیگر از مزایای بزرگ حالت سازمانی این است که برای هر کاربر، کلید اختصاصی تعیین شده است. این به این معناست که هر کاربر فقط میتواند دادههای ترافیک مربوط به ارتباطات خود را رمزگشایی کند، بدون اینکه به دادههای ترافیک بیسیم کاربر دیگری دسترسی داشته باشد.
برای قرار دادن نقاط دسترسی خود در حالت سازمانی، ابتدا باید یک کارگزار RADIUS راهاندازی کنید. این امکان احراز هویت کاربر را فراهم میکند و به پایگاه دادهای متصل میشود که نامهای کاربری و گذرواژههای تمام کاربران را در برمیگیرد. با اینکه شما میتوانید یک کارگزار RADIUS مستقل را به کار ببرید، اما ابتدا باید بررسی کنید که آیا کارگزارهای دیگر (مانند یک کارگزار ویندوز) در حال حاضر این عملکرد را ارائه میدهند یا خیر. اگر نه، یک سرویس RADIUS مبتنی بر ابر یا میزبان را در نظر بگیرید. همچنین در نظر داشته باشید که در برخی از نقاط دسترسی بیسیم یا کنترلکنندهها، یک کارگزار RADIUS تعبیه شده است، اما کارایی و قابلیتهای محدود آنها معمولا برای شبکههای کوچکتر مفید است.
تنظیمات کارخواه X۸۰۲.۱ را امن کنید
همانند سایر فناوریهای امنیتی، حالت سازمانی امنیت وایفای نیز هنوز آسیبپذیریهایی دارد. یکی از این آسیبپذیریها، حملهی مرد میانی است که توسط یک نفوذگر که در یک فرودگاه یا کافه یا حتی در خارج از محل پارکینگ دفتر مرکزی نشسته است، رخ میدهد. یک نفر میتواند یک شبکه وایفای جعلی را با همان SSID مشابه یا مشابه SSID شبکهای که آنها سعی در نفوذ به آن دارند، ایجاد کنند. هنگامی که رایانه همراه یا دستگاه شما برای اتصال تلاش میکند، یک کارگزار RADIUS جعلی میتواند اطلاعات معتبر ورود شما را ضبط کند. پس از آن مهاجم میتواند از اطلاعات معتبر ورودی شما، برای اتصال به شبکهی وایفای واقعی استفاده کند.
یک راه برای جلوگیری از حملهی مرد میانی با استفاده از احراز هویت ۸۰۲.۱X این است که از تأیید کارگزار در سمت کارخواه استفاده شود. هنگامی که تأیید کارگزار در سمت کارخواه بیسیم فعال میشود، تا زمانیکه ارتباط یک کارخواه با کارگزار قانونی بررسی نشود، کارخواه از قسمت تایید اعتبار ورود به سامانه وایفای نمیگذرد و نمیتواند به کارگزار RADIUS برود. قابلیت تایید اعتبار دقیق کارگزار و الزاماتی که میتوانید بر مشتریان تحمیل کنید بسته به دستگاه یا سامانهی عامل مشتری متفاوت است. به عنوان مثال، در ویندوز، میتوانید نام دامنه یا دامنههای کارگزار قانونی را وارد کنید، صادرکننده معتبر مجوز که برآمده از گواهینامهی کارگزار است را انتخاب کرده و سپس گزینه «به هیچ کارگزار جدید یا صادرکنندهی مجوز دیگری اجازه نده» را انتخاب کنید. بنابراین اگر کسی یک شبکه وایفای جعلی و کارگزار RADIUS را راهاندازی کند و شما سعی در ورود به آن را داشته باشید، ویندوز شما را متوقف خواهد کرد.
استفاده از تشخیص نقط دسترسی سرکش یا جلوگیری از نفوذ بیسیم
ما در حال حاضر با سه سناریوی برای نقطه دسترسی آسیبپذیر روبهرو هستیم: یکی از این موارد این است که مهاجم میتواند یک شبکه وایفای جعلی و کارگزار RADIUS را راهاندازی کند. دیگری این است که میتواند یک نقطه دسترسی را به پیشفرضهای کارخانه بازنشانی کند و سناریو سوم این است که هر کسی میتواند نقطه دسترسی خود را وصل کند. اگر حفاظت مناسب برقرار نباشد، هر یک از این نقاط دسترسی غیرمجاز ممکن است توسط کارمندان فناوری اطلاعات برای مدت طولانی کشف نشود. بنابراین، ایده خوبی است که هر نوع تشخیص سرکشی ارائهشده توسط فروشنده نقطه دسترسی یا کنترلر بیسیم را فعال کنید. روش تشخیص دقیق و عملکرد متفاوت است، اما اکثر آنها حداقل به صورت دورهای در امواج رادیویی پویش میکنند و اگر یک نقطه دسترسی جدید در محدوده نقاط دسترسی معتبر شناسایی شود، به شما هشدار میدهند.
به منظور قابلیت تشخیص بیشتر، برخی از فروشندگان نقطه دسترسی، یک سامانهی تشخیص نفوذ بیسیم کامل (WIDS) و یا سامانه محافظت در برابر نفوذ (WIPS) ارائه میدهند که میتوانند طیف وسیعی از حملات بیسیم و فعالیت مشکوک همراه با نقاط دسترسی سرکش را پویش کنند. اینها شامل درخواستهای احراز هویت نادرست، درخواستهای مشارکت نادرست و سوءاستفاده از آدرس مک است. علاوه بر این، اگر به جای WIDS که فقط تشخیص ارائه میدهد، یک WIPS واقعی وجود داشته باشد که حفاظت ارائه میدهد، باید قادر به انجام اقدامات خودکار مانند از بین بردن یا مسدود کردن سرویسگیرنده مشکوک بیسیم برای محافظت از شبکه تحت حمله باشد. اگر فروشنده نقطه دسترسی شما، قابلیت WIPS یا کشف نقطه دسترسی سرکش تعبیه شده در خود دستگاه را ارئه نمیدهد، یک راهحل شخص ثالث در نظر بگیرید. شما ممکن است به راهحلهای مبتنی بر حسگری را مشاهده کنید که بر عملکرد وایفای و مسائل امنیتی در شرکتهایی مانند ۷SIGNAL ،Cape Networks و NetBeez نظارت میکنند.
منبع : news.asis.io
