پنج اشتباه متداول درباره امنيت شبكههاي بيسيم
پنج اشتباه متداول درباره امنيت شبكههاي بيسيم
پنج اشتباه متداول درباره امنيت شبكههاي بيسيم
نويسنده:مايکل تي راگو
ترجمه : محمد ناصح
ترجمه : محمد ناصح
اشاره :
با هدف آگاهي كاربران از آخرين ضعفهايامنيتي (و البته بعضي از شكافهاي امنيتي قديمي) تصميم گرفتيم، فهرستي از پنج اشتباه متداول را در تأمين امنيت شبكههاي بيسيم در اين مقاله ارائه كنيم. شناسايي اين اشتباهها حاصل تجربههاي شخصي در جريان آزمون و ايمنسازي شبكههاي مشتريان است.
1- ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه
اغلب سازمانها، شبكههاي بيسيم را بهعنوان بخش مكملي براي شبكه سيمي خود راهاندازي ميكنند. اتصال بيسيم، يك رسانه فيزيكي است و براي تأمين امنيت آن نميتوان تنها به وجود يك ديوار آتش تكيه كرد. كاملاً واضح است كه نقاط دسترسي غيرمجاز، به واسطه ايجاد راههاي ورود مخفي به شبكه و مشكل بودن تعيين موقعيت فيزيكي آنها، نوعي تهديد عليه شبكه بهشمار ميروند. علاوهبراين نقاط دسترسي، بايد نگران لپتاپهاي بيسيم متصل به شبكه سيمي خود نيز باشيد. يافتن لپتاپهاي متصل به شبكه سيمي كه يك كارت شبكه بيسيم فعال دارند، اقدامي متداول براي ورود به شبكه محسوب ميشود. در اغلب موارد اين لپتاپها توسط SSID شبكههايي را كه قبلاً مورد دسترسي قرار دادهاند، جستوجو ميكنند و در صورت يافتن آنها صرفنظر از اين كه اتصال به شبكه قانوني يا مضر باشد يا شبكه بيسيم در همسايگي شبكه فعلي قرار داشته باشد، بهطور خودكار به آن وصل ميشوند.
به محض اينكه لپتاپ به يك شبكه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسكن و يافتن نقاط ضعف ممكن است كنترل آن را به دست گرفته و بهعنوان ميزباني براي اجراي حملهها به كار گيرند. در اين شرايط علاوه بر افشاي اطلاعات مهم لپتاپ، مهاجم ميتواند از آن به عنوان نقطه شروعي براي حمله به شبكه سيمي استفاده كند. مهاجم درصورت انجام چنين اقداماتي، بهطور كامل از ديواره آتش شبكه عبور ميكند.
ما امنيت شبكههاي معتبر و غيرمعتبر را ارزيابيكردهايم و به اين نتيجه رسيديم كه اغلب سازمانها ديواره آتش شبكه را بهگونهاي تنظيم ميكنند كه از آنها در برابر حملههاي مبتني بر اينترنت محافظت ميكند، اما امنيت شبكه در مقابل خروج از شبكه (Extrusion) و خروج غيرمجاز اطلاعات (leakage) تأمين نميشود. اصولاً زماني كه درباره خروج غيرمجاز اطلاعات صحبت ميكنيم، منظورمان خروج اطلاعات از شبكه است.
بسياري از سازمانها تنظيمات ديواره آتش را براي كنترل ترافيك اطلاعات خروجي بهدرستي انجام نميدهند. در نتيجه اين سهلانگاري معمولاً اطلاعات محرمانه سازمان به خارج منتقل ميشود. بهعنوان مثال، يكي از متداولترين مواردي كه هنگام انجام آزمونهاي امنيتي با آن مواجه شديم، خروج اطلاعات شبكه سيمي از طريق نقاط دسترسي بيسيم بود. در اين آزمونها با استفاده از يك نرمافزار ردياب (Sniffer) بيسيم توانستيم حجم زيادي از ترافيك اطلاعات خروجي ناخواسته را شناسايي كنيم. اين اطلاعات شامل دادههاي مربوط به STP (سرنام IGRP ،(Speaning Tree Protocol ساير سرويسهاي شبكه و حتي در مواردي اطلاعات مربوط به NetBIOS بودند.
چنين نقطهضعفي شبكه را به يك اسباب سرگرمي براي مهاجم تبديل ميكند. در حقيقت، نفوذ به چنين شبكهاي حتي نيازمند يك اسكن فعال يا حمله واقعي نيست. بهواسطه رديابي جريان اطلاعاتي يك شبكه بيسيم علاوه بر شناسايي توپولوژي بخش سيمي آن ميتوان اطلاعات مربوط به تجهيزات حياتي شبكه و حتي گاهي اطلاعات مربوط به حسابهاي كاربري را بهدست آورد.
2- ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه
3- اسکن دستي= شناسايي تمام نقاط دسترسي غيرمجاز
كاركرد ابزارهاي اسكن بيسيم مانند NetStumbler و Kismet بسيار خوب است، اما زماني كه نوبت به شناسايي نقاط دسترسي غيرمجاز ميرسد، اين ابزارها از كارايي لازم برخوردار نيستند. بهعنوان نمونه اين ابزارها نميتوانند مشخص كنند كه نقاط دسترسي شناساييشده واقعاً به شبكه شما متصل هستند يا خير. علاوهبراين، در تعيين موقعيت تقريبي دستگاه بيسيم مشكوك نيز دچار مشكل ميشوند. اگر شركت شما در يك ساختمان چندطبقه يا يك برج قراردارد، بايد امواج دريافتي آنتنهاي بزرگ و دستگاههاي منتشركننده سيگنال را نيز به اين مشكلات بيافزاييد. در چنين شرايطي يك مدير شبكه با مهارت متوسط در ردگيري و شناسايي تجهيزات بيسيم شبكه با مشكلات بزرگي روبهرو خواهد شد.
4- بهروزرساني تمام نقاط دسترسي بهمنظور حذف پروتکل WEP= تأمين امنيت کامل شبکه
براي جايگزيني اين پروتكل، چندگزينه مختلف وجود دارد. متأسفانه بعضي از اين گزينهها نيز داراي نقاط ضعف هستند. بهعنوان مثال، نسخه PSK (سرنامPre-Shared Key) از پروتكل WPA به دليل نياز به انتشار اطلاعات موردنياز براي ساخت و تأييد كليد رمزگشايي اطلاعات، در مقابل نوعي حمله Offline كه روي واژهنامه آن انجام ميشود، آسيبپذير است. براي اجراي اين حملهها چندين ابزار مختلف شامل coWPAtty و aircrack-ng وجود دارد. اغلب حملهها شامل گردآوري تعداد زيادي از بستههاي اطلاعاتي و استفاده از ابزار درمقابل سيستم دريافت بستههاي اطلاعاتي است. بسته نرمافزاري Backtrack 3 تمام ابزارهاي لازم را براي اجراي اين نوع حملهها فراهم ميکند. در نوامبر سال 2008 به منظور اثبات اين ضعف، پروتكل TKIP هکشد.
در اين حمله صرفنظر از بهكارگيري سيستم اعتبار سنجي PSK يا 802.1x مهاجمان توانستند به تمام نسخههاي پروتكل TKIP شامل WPA و WPA2 نفوذ كنند. با وجود اين،كليدهاي TKIP شناسايي نشدند و در نتيجه محتواي تمام قابهاي كدشده افشا نشد. يك حمله ميتواند در هر دقيقه يك بايت از دادههاي يك بسته اطلاعاتي رمزنگاريشده را افشا کرده و به ازاي هر بسته كدگشاييشده تا پانزده قابرمزنگاريشده را به سيستم تحميل ميكند. چنين سيستمي، يك گزينه مناسب براي آلودگي ARP محسوب ميشود. درك اين نكته ضروري است كه آن دسته از شبكههاي WPA و WPA2 كه الگوريتمهاي كدگذاري AES-CCMP پيچيدهتر را مورد استفاده قرار ميدهند، در برابر حملهها مقاومتر هستند و استفاده از چنين الگوريتمهايي به عنوان بهترين رويكرد تدافعي پيشنهاد ميشود.
اگر هيچ گزينه ديگري به غير از راهاندازي يك سيستم WPA-PSK پيش رو نداريد، از يك كلمه عبور بسيار مطمئن كه حداقل هشت كاراكتر دارد، استفاده كنيد. كلمه عبور پيچيدهاي كه از شش كاراكتر تشكيل شده باشد، بهطور متوسط ظرف سيزده روز كشف ميشود.
5- استفاده از نرمافزار کلاينت VPN = محافظت از کارمندان سيار
ابزارهايي مانند Hotspotter كه در بسته نرمافزاري BackTrack در اختيار همگان قرار ميگيرند، براي مهاجم امكان ايجاد يك ناحيه خطرناك را فراهم ميكنند كه اغلب توسط شبكه بهعنوان يك ناحيه خطرناك مجاز شناخته مي شود. اين فرآيند شامل ايجاد يك نقطه دسترسي جعلي با استفاده از يك شناسه SSID متداول و همچنين صفحات وب شبيه به يك ناحيه خطرناك واقعي است. سپس مهاجم منتظر اتصال كاربران بياطلاع، به نقطه دسترسي جعلي شده و با استفاده از پروتكل DHCP براي آنها يك آدرس IP و يك صفحه وب ايجاد ميكند. به اين ترتيب، كاربر فريبخورده و بهمنظور ورود به ناحيه خطرناك اعتبارنامه خود را در اختيار مهاجم قرار ميدهد. در بعضي موارد مهاجم حتي دسترسي كاربران به اينترنت را امکانپذير كرده و به اين ترتيب براي اجراي حملههاي MITM و سرقت ساير اطلاعات مهم كاربران مانند شناسه و كلمه عبور و شماره حساب بانكي آنها اقدام ميكند.
حفاظت از كارمندان سيار بهويژه در برابر اين نوع حملهها، اقدامي چالشبرانگيز بوده و علاوه بر استفاده از نرمافزار كلاينت VPN و ديواره آتش نيازمند تمهيدات امنيتي ديگري است. البته، هيچيك از اين اقدامات بهطور كامل از كاربر محافظتنميكند، اما خطرات امنيتي را كاهش ميدهند. مديران شبكههاي مبتني بر ويندوز با استفاده از گزينه Access point (infrastructure) networks only ميتوانند از اتصال كاربران به شبكههاي Ad-Hoc جلوگيري ميکنند.
بسياري از ابزارهاي مهاجمان كه براي شبيهسازي عملكرد نقاط دسترسي بهكار گرفتهميشوند، در حقيقت، شبكههاي Ad-Hock را شبيهسازي ميكنند. غيرفعالكردن گزينه مذكور در سيستمعامل ويندوز ميتواند از كاربران در برابر چنين حملههايي محافظت كند. بهعلاوه، غيرفعال كردن گزينه ( Any Available Network (Access Point Preferred نيز از بروز چنين حملاتي جلوگيري ميكند. سرانجام، با غيرفعالكردن گزينه Automatically Connect to Non-Preferred networks نيز ميتوان از اتصال تصادفي كاربران به شبكههاي Ad-Hock جلوگيري کرد.
جمعبندي
بهروزرساني و تغييرپيكربندي نقاطدسترسي نيز ميتواند مكمل خوبي براي سيستمهاي كدگذاري و اعتبارسنجي ضعيف باشد. همچنين اين اقدامات ميتوانند بسياري از ملزومات فني و تكنيكي فعلي و آتي شبكه را تأمين كنند.
بسياري از حملههاي امنيتي نيازمند برقراري شرايط خاص هستند و اجراي آنها مستلزم بهرهمندي از يك سيستم IDS/IPS بيسيم براي شبيهسازي محيط و تدابيرامنيتي موردتأييد براي زيرساختهاي بيسيم است. استفاده از يك سيستم IDS/IPS پيشرفته اقدام مؤثري براي شناسايي بسياري از حملههاي مذكور و همچنين محافظت در برابر آن دسته از ابزارهاي مهاجمان است كه براي انجام حملههاي دنبالهدار شناخته شده مورد استفاده قرار ميگيرند. ديواره هاي آتش بههيچوجه قادر به تأمين اين نوع امنيت نيستند.
يك سيستم IDS/IPS بيسيم ابزارهاي بهتري را براي تشخيص نقاط دسترسي غيرمجاز در اختيار ما ميگذارد. اسكنرهاي دستي فقط براي بررسي لحظهاي وضعيت شبكه كاربرد دارند و هيچ ابزاري را براي تأمين خودكار امنيت شبكه در برابر نقاط دسترسي غيرمجاز ارائهنميکنند. استفاده از يك سيستم IDS/IPS بيسيم به منظور نظارت شبانهروزي بر شبكه و نابودي خودكار نقاط دسترسي غيرمجاز رويكرد كارآمدتري براي كاهش خطرات امنيتي شبكه محسوب ميشود. بهعلاوه، اين رويكرد موجب صرفهجويي در زمان طولاني موردنياز براي نظارت و بررسي دستي شبكه ميشود.
بر گرفته از : ماهنامه شبکه - آبان 88 شماره 105
منبع: اين سکيور
ج/
مقالات مرتبط
تازه های مقالات
ارسال نظر
در ارسال نظر شما خطایی رخ داده است
کاربر گرامی، ضمن تشکر از شما نظر شما با موفقیت ثبت گردید. و پس از تائید در فهرست نظرات نمایش داده می شود
نام :
ایمیل :
نظرات کاربران
{{Fullname}} {{Creationdate}}
{{Body}}