امنیت در شبکه‌های بی‌سیم کوچک

  • امنیت شبکه

ممکن است راه اندازی یک شبکه وایرلس راحت و مفید باشد، اما باید مراقب امنیت شبکه باشید و از پهنای باند، سیستم و فایل های تان حفاظت کنید. در این مقاله شما با ترفند ها و پیشنهاداتی آشنا خواهید شد در خصوص این که چگونه شبکه شما در برابر دسترسی خارجی بسته باشد و تغییرات بدون مجوز بوسیله عوامل خارجی را کاهش دهد. هدف از امنیت شبکه خانگی، مشکل ساختن شناسایی، دسترسی و استفاده از منابع شبکه شما است. با به کارگیری چندین لایه حفاظتی، می توانید مانع بسیاری از حملات معمول شوید. در ادامه به شما کمک خواهد شد که آسیب پذیری سیستم تان را کم کنید و یک امنیت اولیه در برابر نفوذگران غیر حرفه ای برای شبکه خانگی خود مهیا نمایید، البته این راهنمایی ها نمی تواند مانع سارقان حرفه ای اطلاعات شود.

  • حداقل شرایط نگهداری از یک سرویس گیرنده کابلی

توجه کنید که هر وقت شما گزینه های امنیتی را تغییر می دهید، ممکن است بطور اتفاقی سیستم بی سیم خود را قفل کنید. به همین خاطر آشنایی قبلی با چگونگی تنظیمات امنیتی و نگهداری یک سیستم با ارتباط کابلی توصیه می شود. بیشتر نقاط دسترسی به یک سیستم کابلی برای پیکربندی اولیه نیاز دارند. اگر سیستم تان قفل شد، باید دستگاه را دوباره راه اندازی نمایید تا کلیه اطلاعات پاک و مجدداً پیکربندی شود.

  • تنظیمات خود را یادداشت کنید

تمام تغییراتی را که به عنوان پیش فرض در تنظیمات نقطه دسترسی ایجاد می کنید شامل: کلمه عبور، SSID (نام شبکه)، کلید رمزگذاری WEP، کلیه فیلترها و تنظیمات MAC و ... یادداشت نمائید.
در صورت بارگذاری مجدد بصورت فیزیکی و یا به روزرسانی، شما قادر خواهید بود دوباره بدون اینکه مجبور باشید همه چیز را از نو تنظیم کنید برای هر سرویس گیرنده با تنظیمات جدید، شبکه را ایجاد کنید. پس اطلاعات کلیدی شبکه وایرلس تان را یادداشت کنید و در جایی مطمئن نگهداری نمائید. ? فرم ویر شبکه تان را به روز نگه دارید
سازندگان نرم افزارها اغلب نسخه های ارتقاء آنرا پیوسته ارائه می دهند. شما می توانید پایگاه اینترنتی این محصولات یا شرکت های حامی را برای در دسترس بودن نسخه های قبلی بررسی کنید. از نتایج خوب نگهداری از یک سرویس گیرنده کابلی آنست که معمولاً نسخه های جدیدتر، حاوی اطلاعات بروز شده ابزارهای امنیتی و یکسری امکانات اضافی است و شما می توانید آن را روی نقطه دسترسی تان برای استفاده مؤثر سرویس گیرنده ها، نصب نمائید.

  • دستیابی به نقطه دسترسی تان را امن کنید

بیشتر نقاط دسترسی از قبل تنظیم شده و با کلمه عبور پیش فرض یا بدون آن به بازار می آیند. مسیریاب ها همیشه با یک نام کاربری و کلمه عبور پیش فرض فرستاده می شوند که در دنیای کامپیوتر شناخته شده هستند. اولین وظیفه شما این است که به نقطه دسترسی وصل شوید و کلمه عبور مدیر را تغییر دهید. همچنین از غیر فعال بودن هرگونه کنترل از راه دور بوسیله نقطه دسترسی تان مطمئن شوید. اینکار از دسترسی به صفحه تنظیمات شبکه شما از طریق افراد خارج از محدوده جلوگیری می کند.


? انتشار (برودکست) SSIDرا غیر فعال کنید

نقاط دسترسی به صورت پیش فرض، یک موج رادیویی ردیابی منتشر می شود که با استفاده از آن سرویس گیرنده بی سیم، نقاط دسترسی را شناسایی می نماید. با این سیگنال که شناسه امنیتی دستگاه (SSID) نامیده می شود، اسم شبکه مشخص می شود و در واقعً کارت های شبکه بی سیم در داخل محدوده را برای پیوستن به شبکه فرا می خواند. از آنجایی که محدوده یک نقطه دسترسی اغلب از حدود منزل تان بیشتر است، یک فرد عبوری یا همسایه می تواند در محدوده ارتباط شما قرار گیرد.
اما اگر انتشار SSID در شبکه شما غیرفعال باشد، حتی اگر شخصی آن را بداند و یا بتواند نام شبکه شما را حدس بزند عملاً شبکه بی سیم تان غیر قابل مشاهده خواهد بود. وقتی شما مشخصه انتشار را غیر فعال می کنید، لازم است هر یک از سرویس گیرنده های بی سیم خود را با نام شبکه مورد نظر به صورت دستی تنظیم نمایید. نامی برای SSID تان انتخاب کنید که خیلی بدیهی نباشد.

  • استفاده از رمزگذاری WEP

با وجود اینکه نفوذگران مصمم، می توانند در WEP نفوذ نمایند، استفاده از WEP می تواند مانع از جداکردن داده های بی سیم شناور اطراف شبکه تان توسط بسته های نظارت و ردگیری (اسنیفر پاکت ها) شود (یکی از قدیمی ترین روش های سرقت اطلاعات در یک شبکه، استفاده از فرآیندی موسوم به "ردگیری بسته ها در شبکه" است. در این روش مهاجمان از تکنیک هایی به منظور تکثیر بسته های اطلاعاتی که در طول شبکه حرکت می کنند، استفاده نموده و در ادامه با آنالیز آنها از وجود اطلاعات حساس در یک شبکه آگاهی می یابند.
امروزه پروتکل هائی نظیر IPSec به منظور پیشگیری از "ردگیری بسته ها در شبکه" طراحی شده است که با استفاده از آن بسته های اطلاعاتی رمزنگاری می گردند. در حال حاضر تعداد بسیار زیادی از شبکه ها از تکنولوژی IPSec استفاده نمی نمایند و یا صرفاً بخش اندکی از داده های مربوطه را رمزنگاری می نمایند و همین امر باعث شده است که "ردگیری بسته ها در شبکه"همچنان یکی از روش های متداول به منظور سرقت اطلاعات باشد. یک "ردگیر بسته ها در شبکه" که در برخی موارد از آن به عنوان دیده بان شبکه و یا تحلیلگر شبکه نیز یاد می شود، می تواند توسط مدیران شبکه به منظور مشاهده و اشکال زدائی ترافیک موجود بر روی شبکه استفاده گردد تا به کمک آن بسته های اطلاعاتی خطاگونه و گلوگاه های حساس شبکه شناسائی و زمینه لازم به منظور انتقال موثر داده ها فراهم گردد. به عبارت ساده تر، یک "ردگیر بسته ها در شبکه" تمامی بسته های اطلاعاتی که از طریق یک اینترفیس مشخص شده در شبکه ارسال می گردند را تا موقعی که امکان بررسی و آنالیز آنان فراهم گردد جمع آوری می نماید. عموماً از برنامه های "ردگیر بسته ها در شبکه" به منظور جمع آوری بسته های اطلاعاتی به مقصد یک دستگاه خاص استفاده می شود. برنامه های فوق قادر به جمع آوری تمامی بسته های اطلاعاتی قابل حرکت در شبکه، صرف نظر از مقصد مربوطه نیز هستند. یک مهاجم با استقرار یک "ردگیر بسته ها در شبکه" در شبکه، قادر به جمع آوری و آنالیز تمامی ترافیک شبکه خواهد بود. اطلاعات مربوط به نام و رمز عبور عموماً به صورت متن معمولی و رمز نشده ارسال می شود و این بدان معنی است که با آنالیز بسته های اطلاعاتی، امکان مشاهده اینگونه اطلاعات حساس وجود خواهد داشت. یک "ردگیر بسته ها در شبکه" صرفاًقادر به جمع آوری اطلاعات مربوط به بسته های اطلاعاتی درون یک subnet مشخص شده است. بنابراین، یک مهاجم نمی تواند یک "ردگیر بسته ها در شبکه" را در شبکه خود نصب نماید و از آن طریق به شبکه شما دستیابی و اقدام به جمع آوری نام و رمز عبور به منظور سوء استفاده از سایر ماشین های موجود در شبکه نماید. مهاجمان به منظور نیل به اهداف مخرب خود می بایست یک "ردگیر بسته ها در شبکه" را بر روی یک کامپیوتر موجود در شبکه اجراء نمایند). در بیشتر نقاط دسترسی، پیشنهاد می کنند حداقل اندازه کلید برای رمزگذاری 64 بیت باشد و بعضی دیگر حتی پیشنهاد 128 بیتی برای رمزگذاری را داده اند. مدلWEP بسته های داده های مورد استفاده را بصورت الگوریتم های مبهم و مبتنی بر یک کلید الکترونیکی تبدیل نموده و آنرا بصورت یک سری از الفبای عددی یا کاراکترهای شانزده شانزدهی (هگزا دسیمال) پنهان می نماید. سیستم دریافت باید یک کلید نظیر آن را به منظور کشف رمز بسته داده داشته باشد. بر روی نقطه دسترسی، گزینه ای را که اتصال WEP را فعال نموده و یا نیاز دارد، جستجو کنید. کلیدی را روی نقطه دسترسی تعریف نموده و همان کلید را در پیکربندی بی سیم هر سرویس گیرنده وارد کنید.

  • تنظیم دسترسی بوسیله نشانی فیزیکی کارت شبکه (MAC)

هر کارت شبکه یک نشانی MAC دارد که به صورت یکتا تعریف شده و روی شبکه مشخص می شود. بیشتر نقاط دسترسی به شما اجازه می دهند که MAC آدرس هایی که می توانند به شبکه دسترسی داشته باشند را محدود نمائید. استفاده از فیلتر MAC به اضافه WEP دسترسی به شبکه شما را بسیار مشکل می سازند.

  • کنترل دسترسی بوسیله نشانی دامنه (IP)

اگر شما سرویس هایDHCP ((Dynamic Host Configuration Protocol) را به منظور دریافت خودکار IP ،(Domain Name System) DNS و ورودی اطلاعات (Gateway) برای سرویس گیرنده ها فعال کرده اید و می خواهید که این خصیصه به وسیله نقطه دسترسی تان پشتیبانی شود، دسترسی بر مبنای نشانی IP را محدود کنید، برای این منظور باید تعداد سرویس گیرنده های همزمان از DHCP را مشخص نمائید. ضمن آنکه می توانید دوره اجاره را که برای هر نشانی DHCP منتشر می شود، تمدید کنید. (هر سرویس گیرنده DHCP نشانی را برای یک مدت زمان اجاره می کند سپس آن را آزاد می نماید.) راه دیگر اینکه، به جای تکیه بر DHCP، می توانید به صورت دستی هر سرویس گیرنده را با نشانی IP دائمی پیکربندی کرده، اجازه دسترسی را تنها برای آن نشانیهای مخصوص، صادر نمایید.

  • مرتب کلمه عبور و SSID را تغییر دهید

در ادامه گمراه کردن نفوذگرها، SSID و کلیدهای WEP خود را هر چند ماه یکبار تغییر دهید.

  • برد نقطه دسترسی تان را حداقل کنید

سعی کنید نقطه دسترسی را در مرکز مکانی که برد آن به اندازه ای باشد که به کاربران خدمات بدهد و یا حداکثر تا محوطه اطراف محل مورد نظر را پوشش دهد، قرار دهید، این عمل باعث کاهش پوشش در خارج از محدوده مالکیت شما می شود. بهترین نقطه ای که می توان در نظر گرفت نزدیک به مرکز مکان خصوصی شما و نزدیک سطح زمین می باشد (اما نباید مستقیماً بالا یا زیر سرویس گیرنده بی سیم تان باشد).

  • یک DMZ یا شبکه چندگانه نصب کنید

در صورتی که شبکه خصوصی شما قسمت بندی شده است، سه بخش ابتدایی از یک نشانی IP، خود شبکه و بوسیله آخرین قسمت، سیستم هایی را که به شبکه متصل هستند مشخص می شود. اگر شما همزمان شبکه کابلی و بی سیم استفاده می نمایید، می توانید یک قلمرو غیر جنگی (DMZ) (یکی از اصول امنیت، استفاده از الگوی دفاع لایه به لایه است. مثل استفاده از برج، دیوار های بلند، دروازه های اصلی و فرعی، خندق و ... در قلعه های قدیمی کل شبکه (Internetwork) را می توان به دو بخش قابل اعتماد (Trusted) و غیرقابل اعتماد (Untrusted) تقسیم بندی کرد.
شبکه داخلی را می توان شبکه قابل اعتماد و شبکه عمومی اینترنت را شبکه غیرقابل اعتماد دانست. در شبکه های کامپیوتری، محلی را به نام DMZ (Demilitarized Zone) تعریف می کنیم. در واقع DMZ ناحیه ای بین شبکه داخلی شما (Trusted) و شبکه عمومی (Untrusted) است. سرور هایی را که باید از اینترنت قابل دسترسی باشند (مانند Web Server، Mail Server،FTP Server وDNS Server ) را در DMZ قرار می دهیم. این سیاست مطابق الگوی دفاع لایه به لایه است. به این ترتیب می توانیم راه برقراری ارتباط از اینترنت به داخل شبکه را به طور کامل مسدود کنیم. برای ایجاد لایه های بیشتر می توان بیش از یکDMZ در شبکه ایجاد کرد. تعداد Deviceهای امنیت شبکه به تعداد DMZها و موارد دیگری بستگی دارد و با توجه به ساختار شبکه ی هر سازمان، میزان حساسیت و برخی پارامتر های دیگر که در سیستم عامل تعیین می شود. پیکربندی مناسب ناحیه DMZ به دو عامل متفاوت بستگی خواهد داشت: وجود یک مسیریاب خارجی و داشتن چندین نشانی(IP) را ایجاد کنید که مانند یک زیر شبکه روی شبکه اولیه بوجود می آید، یا می توانید آدرس های شبکه مختلفی برای هر شبکه طراحی کنید.

  • مانند یک نفوذگر عمل کنید

ابزارهای زیادی در دسترس هستند که می توانند امنیت شبکه تان را بیازمایند. برای مثال، NetStumbler و چندین ابزار مجانی در دسترس که در نشانیAbout.com Internet/Network Security page می توانید بیابید. آنها می توانند به یافتن نقاط قابل نفوذ در شبکه تان کمک کنند و حتی ممکن است راههایی را برای بستن سوراخ های امنیتی پیشنهاد کنند.

  • همیشه مراقب باشید

مفاهیم امنیت شبکه یک فرایند همواره در حال پیشرفت است. هر محصول و ابزار جدیدی که به بازار می آید، بالقوه آسیب پذیر و قابل رخنه است. البته، تکنولوژی های جدید برای کمک به بهبود امنیت روی شبکه های بی سیم گسترش می یابند.به عنوان مثال دسترسی حفاظت شده( WPAدر شبکه های وای فای)، امنیت را بالا خواهد برد و تنظیمات را آسان خواهد نمود. بهترین روش برای برقراری امنیت شبکه بی سیم، دنبال کردن مراحلی است که در بالا لیست شد، همچنین قدم برداشتن با پیشرفت تکنولوژی، نرم افزار دائمی و راه حل هایی که دسترس باشند، پیشنهاد می شود.

  • حرف آخر

راه اندازی شبکه بی سیم، تنها در مواردی توصیه می شود که امکان کابل کشی نبوده و باعث بهم خوردن زیبایی مکان مورد نظر شود و یا لزوم جابجایی رایانه ها، استفاده از شبکه بی سیم را ضروری نماید. غیر از مواردی از قبیل شبکه بی سیم هرگز بر شبکه کابلی برتری نخواهد داشت و در محیط های بزرگ می تواند به عنوان شبکه کمکی در کنار یک شبکه کابلی استفاده شود.فوت و فن امنیت در شبکه‌های بی‌سیم کوچک دژ خانگی

نویسنده مقاله : منبع مقاله :
  • 02 آبان 1391
  • shop@1000network.com
  • 5456
طراحی سایت : رسانه گستر © 2002 - 2025