پنج اشتباه متداول درباره امنيت شبكه‌هاي بي‌سيم


 

نويسنده:مايکل تي راگو
ترجمه ‌: ‌محمد ناصح



 

اشاره :
 

با ظهور شاخه‌هاي جديد فناوري بي‌سيم، تعداد شركت‌هايي كه با استفاده از روش‌هاي نامناسب تأمين امنيت، سيستم‌هاي خود را در معرض خطر قرار مي‌دهند، باوركردني نيست. به‌نظر مي‌رسد، اغلب شركت‌هاي داراي LAN بي‌سيم، به‌واسطه شناسايي نقاط دسترسي غيرمعتبر كه ابزارها را به‌طور رايگان مورداستفاده قرار مي‌دهند، به دنبال احراز شرايط استاندارد PCI هستند.
با هدف آگاهي كاربران از آخرين ضعف‌هاي‌امنيتي (و البته بعضي از شكاف‌هاي امنيتي قديمي) تصميم گرفتيم، فهرستي از پنج اشتباه متداول را در تأمين امنيت شبكه‌هاي بي‌سيم در اين مقاله ارائه كنيم. شناسايي اين اشتباه‌ها حاصل تجربه‌هاي شخصي در جريان آزمون و ايمن‌سازي شبكه‌هاي مشتريان است.

1- ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه
 


اغلب سازمان‌ها، شبكه‌هاي بي‌سيم را به‌عنوان بخش مكملي براي شبكه سيمي خود راه‌اندازي مي‌كنند. اتصال بي‌سيم، يك رسانه فيزيكي است و براي تأمين امنيت آن نمي‌توان تنها به وجود يك ديوار آتش تكيه كرد. كاملاً واضح است كه نقاط دسترسي غيرمجاز، به واسطه ايجاد راه‌هاي ورود مخفي به شبكه و مشكل بودن تعيين موقعيت فيزيكي آن‌ها، نوعي تهديد عليه شبكه به‌شمار مي‌روند. علاوه‌‌براين نقاط دسترسي، بايد نگران لپ‌تاپ‌هاي بي‌سيم متصل به شبكه سيمي خود نيز باشيد. يافتن لپ‌تاپ‌هاي متصل به شبكه سيمي كه يك كارت شبكه بي‌سيم فعال دارند، اقدامي متداول براي ورود به شبكه محسوب مي‌شود. در اغلب موارد اين لپ‌تاپ‌ها توسط SSID شبكه‌هايي را كه قبلاً مورد دسترسي قرار داده‌اند، جست‌وجو مي‌كنند و در صورت يافتن آن‌ها صرف‌نظر از اين كه اتصال به شبكه قانوني يا مضر باشد يا شبكه بي‌سيم در همسايگي شبكه فعلي قرار داشته باشد، به‌طور خودكار به آن وصل مي‌شوند.
به محض اين‌كه لپ‌تاپ به يك شبكه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسكن و يافتن نقاط ضعف ممكن است كنترل آن را به دست گرفته و به‌عنوان ميزباني براي اجراي حمله‌ها به كار گيرند. در اين شرايط علاوه بر افشاي اطلاعات مهم لپ‌تاپ، مهاجم مي‌تواند از آن به عنوان نقطه شروعي براي حمله به شبكه سيمي استفاده كند. مهاجم درصورت انجام چنين اقداماتي، به‌طور كامل از ديواره آتش شبكه عبور مي‌كند.
ما امنيت شبكه‌هاي معتبر و غيرمعتبر را ارزيابي‌كرده‌ايم و به اين نتيجه رسيديم كه اغلب سازمان‌ها ديواره آتش شبكه را به‌گونه‌اي تنظيم مي‌كنند كه از آن‌ها در برابر حمله‌هاي مبتني بر اينترنت محافظت مي‌كند، اما امنيت شبكه در مقابل خروج از شبكه (Extrusion) و خروج غيرمجاز اطلاعات (leakage) تأمين نمي‌شود. اصولاً زماني كه درباره خروج غيرمجاز اطلاعات صحبت مي‌كنيم، منظورمان خروج اطلاعات از شبكه است.
بسياري از سازمان‌ها تنظيمات ديواره آتش را براي كنترل ترافيك اطلاعات خروجي به‌درستي انجام نمي‌دهند. در نتيجه اين سهل‌انگاري معمولاً اطلاعات محرمانه سازمان به خارج منتقل مي‌شود. به‌عنوان مثال، يكي از متداول‌ترين مواردي كه هنگام انجام آزمون‌هاي امنيتي با آن مواجه شديم،‌ خروج اطلاعات شبكه سيمي از طريق نقاط دسترسي بي‌سيم بود. در اين آزمون‌ها با استفاده از يك نرم‌افزار ردياب (Sniffer) بي‌سيم توانستيم حجم زيادي از ترافيك اطلاعات خروجي ناخواسته را شناسايي كنيم. اين اطلاعات شامل داده‌هاي مربوط به STP (سرنام IGRP ،(Speaning Tree Protocol ساير سرويس‌هاي شبكه و حتي در مواردي اطلاعات مربوط به NetBIOS بودند.
چنين نقطه‌ضعفي شبكه را به يك اسباب سرگرمي براي مهاجم تبديل مي‌كند. در حقيقت، نفوذ به چنين شبكه‌‌اي حتي نيازمند يك اسكن فعال يا حمله واقعي نيست. به‌واسطه رديابي جريان اطلاعاتي يك شبكه بي‌سيم علاوه بر شناسايي توپولوژي بخش سيمي آن مي‌توان اطلاعات مربوط به تجهيزات حياتي شبكه و حتي گاهي اطلاعات مربوط به حساب‌هاي كاربري را به‌دست آورد.

2- ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه
 

اين تصور اشتباه، بسيار گيج كننده است. چگونه مي‌توان بدون اسكن شبكه از نبود تجهيزات بي‌سيم در آن مطمئن شد؟! در محل‌هايي كه شبكه‌هاي LAN بي‌سيم راه‌اندازي نشده‌اند، علاوه بر نقاط دسترسي غيرمجاز، مي‌توان از شبكه‌هاي Ad-Hoc، دسترسي‌ تصادفي لپ‌تاپ‌ها و ايجاد پل‌هاي ارتباطي با شبكه، به عنوان تهديدات بالقوه براي امنيت شبكه نام برد. دسترسي تصادفي لپ‌تاپ‌هاي بي‌سيم يك خطر امنيتي براي صاحبان اين لپ‌تاپ‌ها محسوب مي‌شود. اگر شركت مجاور شما از يك نقطه دسترسي بي‌سيم يا يك شبكه Ad-Hoc استفاده مي‌كند، احتمال اتصال تصادفي لپ‌تاپ‌هاي بي‌سيم عضو شبكه شما به اين شبكه‌هاي بي‌سيم زياد است. اين اتصال نوعي خروج از شبكه است. مهاجمان نحوه بهره‌برداري از اين شرايط را به خوبي مي‌دانند و در نتيجه مي‌توانند از يك نقطه دسترسي نرم‌افزاري يا Soft AP (نرم‌افزاري كه از روي يك لپ‌تاپ اجرا مي‌شود) براي ارسال شناسه‌هاي SSID موجود روي لپ‌تاپ به يك كامپيوتر خارج از شبكه و حتي ارسال آدرس IP لپ‌تاپ براي كامپيوتر خارجي استفاده كنند. چنان‌كه گفته شد، اين نقطه ضعف امكان كنترل لپ‌تاپ و حمله به شبكه سيمي را براي مهاجمان فراهم مي‌كند. به علاوه، مهاجمان مي‌توانند از طريق لپ‌تاپ، حمله‌هاي MITM (سرنام Man In The Middle) يا سرقت هويت را به اجرا درآورند.


3- اسکن دستي= شناسايي تمام نقاط دسترسي غيرمجاز
 

در اين مورد، تلاش مديران شبكه براي اتخاذ يك رويكرد پيش‌گيرانه به‌منظور شناسايي نقاط‌دسترسي غيرمجاز در شبكه قابل تقدير است. اما متأسفانه ابزارهايي كه در اختيار اين افراد قرار دارد، كارايي لازم را براي شناسايي نقاط دسترسي غيرمجاز ندارد. به‌عنوان مثال، بسياري از مديران شبكه از ابزارهاي مديريتي اسكن نقاط‌ضعف شبكه‌هاي سيمي به‌منظور شناسايي نقاط دسترسي غيرمجاز متصل به شبكه استفاده مي‌كنند. تجربه‌كاري نگارنده با ابزارهاي اسكن نقاط ضعف از هر دو نوع اپن‌سورس و تجاري، بيانگر اين است كه اغلب مديران شبكه با تعداد انگشت‌شماري نقطه دسترسي مواجه مي‌شوند كه توسط سيستم‌عامل شناسايي شده است و هنگامي كه شبكه را اسكن مي‌كنند، اين تجهيزات در قالب يك سيستم مبتني بر لينوكس همراه يك وب‌سرور شناسايي مي‌شوند. هنگام اسكن شبكه‌هاي Class C و بزرگ‌تر، دستگاه‌هاي غيرمجاز بين ساير تجهيزات شبكه پنهان شده و نتايج حاصل از اسكن شبكه براي شناسايي نقاط دسترسي غيرمجاز حقيقي نيست.
كاركرد ابزارهاي اسكن بي‌سيم مانند NetStumbler و Kismet بسيار خوب است، اما زماني كه نوبت به شناسايي نقاط دسترسي غيرمجاز مي‌رسد، اين ابزارها از كارايي لازم برخوردار نيستند. به‌عنوان نمونه اين ابزارها نمي‌توانند مشخص كنند كه نقاط دسترسي شناسايي‌شده واقعاً به شبكه شما متصل هستند يا خير. ‌علاوه‌براين، در تعيين موقعيت تقريبي دستگاه بي‌سيم مشكوك نيز دچار مشكل مي‌شوند. اگر شركت شما در يك ساختمان چندطبقه يا يك برج قراردارد، بايد امواج دريافتي آنتن‌هاي بزرگ و دستگاه‌هاي منتشركننده سيگنال را نيز به اين مشكلات بيافزاييد. در چنين شرايطي يك مدير شبكه با مهارت متوسط در ردگيري و شناسايي تجهيزات بي‌سيم شبكه با مشكلات بزرگي روبه‌رو خواهد شد.

4- به‌روزرساني تمام نقاط دسترسي به‌منظور حذف پروتکل WEP= تأمين امنيت کامل شبکه
 

پروتكل WEP ساليان دراز مورد حمله مهاجمان قرار گرفته است. علاوه‌بر‌اين، براساس اعلان PCI پروتكل WEP بايد تا ماه ژوئن سال 2010 به‌طور كامل كنار گذاشته شود. بعضي از شركت‌ها نيز به سراغ روش‌هاي توانمندتر كدگذاري و اعتبارسنجي رفته‌اند.
براي جايگزيني اين پروتكل، چندگزينه مختلف وجود دارد. متأسفانه بعضي از اين گزينه‌ها نيز داراي نقاط ضعف هستند. به‌عنوان مثال، نسخه PSK (سرنامPre-Shared Key) از پروتكل WPA به دليل نياز به انتشار اطلاعات موردنياز براي ساخت و تأييد كليد رمزگشايي اطلاعات، در مقابل نوعي حمله Offline كه روي واژه‌نامه آن انجام مي‌شود، آسيب‌پذير است. براي اجراي اين حمله‌ها چندين ابزار مختلف شامل coWPAtty و aircrack-ng وجود دارد. اغلب حمله‌ها شامل گردآوري تعداد زيادي از بسته‌هاي اطلاعاتي و استفاده از ابزار درمقابل سيستم دريافت بسته‌هاي اطلاعاتي است. بسته نرم‌افزاري Backtrack 3 تمام ابزارهاي لازم را براي اجراي اين نوع حمله‌ها فراهم مي‌کند. در نوامبر سال 2008 به منظور اثبات اين ضعف، پروتكل TKIP هک‌شد.
در اين حمله صرف‌نظر از به‌كارگيري سيستم اعتبار سنجي PSK يا 802.1x مهاجمان توانستند به تمام نسخه‌هاي پروتكل TKIP شامل WPA و WPA2 نفوذ كنند. با وجود اين،كليدهاي TKIP شناسايي نشدند و در نتيجه محتواي تمام قاب‌هاي كدشده افشا نشد. يك حمله مي‌تواند در هر دقيقه يك بايت از داده‌هاي يك بسته اطلاعاتي رمزنگاري‌شده را افشا کرده و به ازاي هر بسته كدگشايي‌شده تا پانزده قاب‌رمزنگاري‌شده را به سيستم تحميل مي‌كند. چنين سيستمي، يك گزينه مناسب براي آلودگي ARP محسوب مي‌شود. درك اين نكته ضروري است كه آن دسته از شبكه‌هاي WPA و WPA2 كه الگوريتم‌هاي كدگذاري AES-CCMP پيچيده‌تر را مورد استفاده قرار مي‌دهند، در برابر حمله‌ها مقاوم‌تر هستند و استفاده از چنين الگوريتم‌هايي به عنوان بهترين رويكرد تدافعي پيشنهاد مي‌شود.
اگر هيچ گزينه ديگري به غير از راه‌اندازي يك سيستم WPA-PSK پيش رو نداريد، از يك كلمه عبور بسيار مطمئن كه حداقل هشت كاراكتر دارد، استفاده كنيد. كلمه عبور پيچيده‌اي كه از شش كاراكتر تشكيل شده باشد، به‌طور متوسط ظرف سيزده روز كشف مي‌شود.

5- استفاده از نرم‌افزار کلاينت VPN = محافظت از کارمندان سيار
 

با وجود اين‌كه استفاده از برنامه كلاينت VPNهمراه يك ديواره آتش نخستين گام براي حفاظت از كارمندان سيار به‌شمار مي‌رود، تعداد بسياري از نقاط ضعف چنين ارتباطي بدون محافظت باقي مي‌ماند. كاربراني كه در حال مسافرت هستند،‌ به ناچار در هتل‌ها، كافي شاپ‌ها و فرودگاه‌ها از شبكه‌هاي واي‌فاي استفاده مي‌كنند.
ابزارهايي مانند Hotspotter كه در بسته نرم‌افزاري BackTrack در اختيار همگان قرار مي‌گيرند، براي مهاجم ‌امكان ايجاد يك ناحيه خطرناك را فراهم مي‌كنند كه اغلب توسط شبكه به‌عنوان يك ناحيه خطرناك مجاز شناخته مي شود. اين فرآيند شامل ايجاد يك نقطه دسترسي جعلي با استفاده از يك شناسه SSID متداول و همچنين صفحات وب شبيه به يك ناحيه خطرناك واقعي است. سپس مهاجم منتظر اتصال كاربران بي‌اطلاع، به نقطه دسترسي جعلي شده و با استفاده از پروتكل DHCP براي آن‌ها يك آدرس IP و يك صفحه وب ايجاد مي‌كند. به اين ترتيب، كاربر فريب‌خورده و به‌منظور ورود به ناحيه خطرناك اعتبارنامه خود را در اختيار مهاجم قرار مي‌دهد. در بعضي موارد مهاجم حتي دسترسي كاربران به اينترنت را امکان‌پذير كرده و به اين ترتيب براي اجراي حمله‌هاي MITM و سرقت ساير اطلاعات مهم كاربران مانند شناسه و كلمه عبور و شماره حساب‌ بانكي آن‌ها اقدام مي‌كند.
حفاظت از كارمندان سيار به‌ويژه در برابر اين نوع حمله‌ها، اقدامي چالش‌برانگيز بوده و علاوه بر استفاده از نرم‌افزار كلاينت VPN و ديواره آتش نيازمند تمهيدات امنيتي ديگري است. البته، هيچ‌يك از اين اقدامات به‌طور كامل از كاربر محافظت‌نمي‌كند، اما خطرات امنيتي را كاهش مي‌دهند. مديران شبكه‌هاي مبتني بر ويندوز با استفاده از گزينه Access point (infrastructure) networks only مي‌توانند از اتصال كاربران به شبكه‌هاي Ad-Hoc جلوگيري مي‌‌کنند.
بسياري از ابزارهاي مهاجمان كه براي شبيه‌سازي عملكرد نقاط دسترسي به‌كار گرفته‌مي‌شوند، در حقيقت، شبكه‌هاي Ad-Hock را شبيه‌سازي مي‌كنند. غيرفعال‌كردن گزينه مذكور در سيستم‌عامل ويندوز مي‌تواند از كاربران در برابر چنين حمله‌هايي محافظت كند. به‌علاوه، غيرفعال كردن گزينه ( Any Available Network (Access Point Preferred نيز از بروز چنين حملاتي جلوگيري مي‌كند. سرانجام، با غيرفعال‌كردن گزينه Automatically Connect to Non-Preferred networks نيز مي‌توان از اتصال تصادفي كاربران به شبكه‌هاي Ad-Hock جلوگيري کرد.


جمع‌بندي
 

در تأمين امنيت شبكه‌هاي بي‌سيم، به‌کارگيري يك رويكرد چندلايه، كليد اجتناب از بروز مشكلات امنيتي است. درك درست خطرات امنيتي قسمت بزرگي از فرآيند كاهش اين خطرات محسوب مي‌شود. اغلب حمله‌هاي بي‌سيم نسبت به لايه دوم شبكه اجرا مي‌شوند. بنابراين، بازبيني تنظيمات ديواره آتش فعلي براي حصول اطمينان از فيلترسازي لايه دوم ضروري است. بسياري از ديواره‌هاي آتش تنها از لايه سوم و لايه‌هاي بالاتر حفاظت مي‌كنند و بسياري از آن‌ها نيز به جاي نظارت دائمي بر ترافيك اطلاعات به صورت يك فيلتر بسته‌هاي اطلاعاتي عمل مي‌كنند. پيكربندي فيلتر بسته‌هاي اطلاعاتي مي‌تواند به كاري ملال‌آور تبديل شود. بنابراين، نظارت دائمي بر لايه‌هاي دوم و سوم شبكه رويكرد مناسب‌تري براي تأمين امنيت شبكه‌هاي بي‌سيم است.
به‌روزرساني و تغييرپيكربندي نقاط‌دسترسي نيز مي‌تواند مكمل خوبي براي سيستم‌هاي كدگذاري و اعتبارسنجي ضعيف باشد. همچنين اين اقدامات مي‌توانند بسياري از ملزومات فني و تكنيكي فعلي و آتي شبكه را تأمين كنند.
بسياري از حمله‌هاي امنيتي نيازمند برقراري شرايط خاص هستند و اجراي آن‌ها مستلزم بهره‌مندي از يك سيستم IDS/IPS بي‌سيم براي شبيه‌سازي محيط و تدابيرامنيتي موردتأييد براي زيرساخت‌هاي بي‌سيم است. استفاده از يك سيستم IDS/IPS پيشرفته اقدام مؤثري براي شناسايي بسياري از حمله‌هاي مذكور و همچنين محافظت در برابر آن دسته از ابزارهاي مهاجمان است كه براي انجام حمله‌هاي دنباله‌دار شناخته شده مورد استفاده قرار مي‌گيرند. ديواره هاي آتش به‌هيچ‌وجه قادر به تأمين اين نوع امنيت نيستند.
يك سيستم IDS/IPS بي‌سيم ابزارهاي بهتري را براي تشخيص نقاط دسترسي غيرمجاز در اختيار ما مي‌گذارد. اسكنرهاي دستي فقط براي بررسي لحظه‌اي وضعيت شبكه كاربرد دارند و هيچ ابزاري را براي تأمين خودكار امنيت شبكه در برابر نقاط دسترسي غيرمجاز ارائه‌نمي‌کنند. استفاده از يك سيستم IDS/IPS بي‌سيم به منظور نظارت شبانه‌روزي بر شبكه و نابودي خودكار نقاط دسترسي غيرمجاز رويكرد كارآمدتري براي كاهش خطرات امنيتي شبكه محسوب مي‌شود. به‌علاوه، اين رويكرد موجب صرفه‌جويي در زمان طولاني موردنياز براي نظارت و بررسي دستي شبكه مي‌شود.
بر گرفته از : ماهنامه شبکه - آبان 88 شماره 105
منبع: اين سکيور
ج/