امنيت در شبکه هاي LAN بي سيم

اغلب شبکه هاي خانگي، با استفاده از يک روتر به اينترنت متصل مي شوند. اين ابزار (روتر)، همانند يک هاب مرکزي عمل کرده، تمام کامپيوترها را به يکديگر متصل نموده و در عين حال آن ها را از طريق يک مودم باند پهن به اينترنت متصل مي کند. روتر مابين شبکه ي شما و اينترنت قرار مي گيرد، بنابراين يک محل ايده آل براي مسدود کردن حملات به شبکه ي شما خواهد بود. بسياري از روترهاي امروزي، داراي ابزارهاي امنيتي مفيدي هستند. اکثر مراحل مورد نياز براي ايمن سازي يک کامپيوتر، شامل مواردي نظير نصب آنتي ويروس، Anti-Spyware و نرم افزار فايروال هستند. با اين حال اگر يک شبکه ي خانگي داشته باشيد، احتمالاً مي توانيد معيارهاي امنيتي بيشتري را اعمال نماييد. تأمين امنيت شبکه ي بي سيم، کاملاً به لايه ها مربوط مي شود. بهره گيري از مکانيزم هاي رمزنگاري، از اتصال افراد بيگانه به شبکه ي Wi-Fi جلوگيري نموده و در عين حال، ترافيکي که از طريق امواج راديويي در حال انتقال مي باشد را غيرقابل مشاهده مي کند. با اين حال، اگر شخصي بتواند وارد ساختمان شده و ماشين خود را به شبکه ي کابلي شما متصل نمايد، اين مکانيزم ها ديگر کمکي نخواهند کرد. از سوي ديگر، اگر کليد رمزگذاري، مهم ترين لايه ي امنيتي براي شبکه هاي بي سيم به حساب مي آيد، اما شما بايد از مکانيزم ها و لايه هاي بيشتري براي محافظت از خود استفاده نماييد. هر چه از تکنيک هاي بيشتري استفاده کنيد، شبکه ي شما و داده هاي آن نيز امن تر خواهند بود.
ما در اين مقاله به بررسي تکنيک ها و شيوه هايي خواهيم پرداخت که مي توانند امنيت شبکه ي LAN بي سيم شما را بهبود ببخشند.

بررسي تنظيمات پيکربندي روتر
 

پيش از آنکه بتوانيد هريک از تنظيمات مورد نظر خود را بررسي نموده يا تغيير دهيد، ابتدا بايد به تنظيمات پيکربندي روتر دسترسي پيدا کنيد. تقريباً تمام روترهاي مدرن به شما امکان مي دهند که اين کار را با استفاده از يک مرورگر وب انجام دهيد، اما شما براي اين منظور به دو مؤلفه نياز خواهيد داشت: آدرس شبکه يا آدرس IP روتر و کدهاي امنيتي آن (بصورت يک کلمه ي عبور يا يک کلمه ي عبور و يک نام کاربري).
اگر خودتان روتر را خريداري کرده ايد و تاکنون هيچ يک از تنظيمات آن را تغيير نداده ايد، اين اطلاعات در دفترچه ي راهنماي آن قيد شده است. اگر روتر را از تأمين کننده ي سرويس اينترنت خود دريافت کرده ايد، مي توانيد به مستندات ارايه شده به همراه آن مراجعه کرده و يا با بخش پشتيباني ISP خود تماس بگيريد. در بعضي از موارد، اين اطلاعات بر روي قسمتي از بدنه ي خود روتر چاپ شده است. پس از مشخص نمودن آدرس روتر، آن را در فيلد آدرس مرورگر وب خود وارد کنيد تا صفحه اي شبيه به شکل [1] را مشاهده نماييد. حالا براي دسترسي به تنظيمات، نام کاربري و کلمه ي عبور را وارد کنيد.

انتخاب قويترين گزينه ي رمزگذاري
 

پيش از هر کار ديگري، بايد مطمئن شويد که شبکه ي بي سيم شما بطور صحيح ايمن سازي شده است. لينک مربوط به تنظيمات امنيت بي سيم روتر خود را پيدا کنيد. اگر روتر شما از قبل با مکانيزم هاي امنيتي WPA يا WPA2 تنظيم شده است، آن را در همان وضعيت باقي بگذاريد. اگر تنظيمات روتر شما در حال حاضر از هيچ مکانيزم امنيتي استفاده نمي کند، بايستي امنيت WPA يا WPA2 را فعال نموده، يک کلمه ي عبور را انتخاب کرده و اين تنظيمات را اعمال نماييد. به اين ترتيب روتر شما Restart خواهد شد و شما بايد مجدداً با استفاده از کلمه ي عبوري که تازه مشخص کرده ايد به شبکه متصل شويد. اگر روتر با مکانيزم امنيتي WEP تنظيم شده است، قوياً توصيه مي کنيم که در صورت امکان آن را به WPA يا WPA2 تغيير دهيد. WEP سطح معيني از امنيت را فراهم مي کند، اما رد شدن از آن براي مهاجمين باتجريه بسيار آسان خواهد بود.
شيوه ي رمزگذاري (Wired Equivalent Privacy) WEP از مدت ها پيش، اعتبار خود را از دست داده و امنيت کافي را براي Wi-Fi تأمين نمي کند. کليدهاي رمزگذاري WEP قابل شکسته شدن هستند و در بعضي از موارد، اين کار تنها در چند دقيقه انجام مي شود. شما بايد از شيوه ي رمزگذاري WPE (Wi-Fi Protected Access) يا WPA2 استفاده نماييد.
اولين نسخه ي WPA که از الگوريتم TKIP (Temporal Key Integrity Protocol) استفاده مي کند نيز اخيراً آسيب پذير شده است. با اين حال، نقطه ضعف WPA، هنوز به بدي WEP نيست و استفاده از Passpharse هاي قدرتمند مي تواند به آن کمک کند. با اين حال، اگر کامپيوترها و تجهيزات شبکه سازي شما از WPA2 با الگوريتم (Advanced Encryption) AES Standard پشتيباني مي کنند، حتماً از آن استفاده نماييد.

انتخاب قوي ترين مود مکانيسم رمزگذاري
 

براي آنکه کارکنان شما نتوانند کليدهاي رمزگذاري يا Passpharseها را مشاهده کرده و يا بر روي کامپيوترهاي خود بارگذاري نمايند، بايد از نسخه ي Enterprise مکانيزم هاي رمزگذاري WPA/WPA2 (و نه PSK يا نسخه ي شخصي آن ها) استفاده کنيد. در غير اين صورت، هنگامي که يکي از کارکنان، شرکت شما را ترک مي کند، هنوز کليد مورد نياز براي باز کردن شبکه را در اختيار خواهد داشت. بعلاوه، امکان سرقت لپ تاپ هاي آنها وجود دارد و به اين ترتيب، سارقين مي توانند به کليد رمز، دسترسي پيدا کنند. مطمئناً شما مي توانيد تنظيمات رمزگذاري را تغيير دهيد، اما اين کار واقعاً دردسر ساز است. WPA/WPA2-Enterprise، کليد رمزگذاري واقعي را مخفي مي کند و اين کليد هرگز بر روي کامپيوترها بارگذاري نخواهد شد. پس از اينکه همه چيز پيکربندي شد، کاربر با يک نام کاربري و کلمه ي عبور، بر روي شبکه Log-on مي نمايد که قابل تغيير يا ابطال خواهد بود. WPA/WPA2-Enterprise به يک سرور RADIUS نياز دارد که مديريت Accountهاي کاربران را فراهم مي کند. مجموعه اي از سرورهاي RADIUS نظير Elektron و ClearBox که براي شرکت تجاري کوچک در نظر گرفته شده اند در بازار موجود هستند. براي صرفه جويي در هزينه، ممکن است ترجيح دهيد سرويسي نظير WiTopia را انتخاب کنيد که سرور را براي شما ميزباني مي کند. گزينه ي بعدي، خريد يک Access Point نظير NWA-3160 شرکت ZYXEL است که از يک سرور RADIUS توکار ساده برخوردار مي باشد.

درگاه هاي امن اترنت
 

با وجود آنکه شما مي توانيد از آخرين و بهترين مکانيزم رمزگذاري Wi-Fi در جهان استفاده کنيد، اما اگر فردي لپ تاپ خود را به يک درگاه شبکه در داخل ساختمان شما متصل نموده و بتواند به شبکه تان دسترسي پيدا کند، اين قابليت هيچ مزيتي براي شما نخواهد داشت. بعلاوه، حتي کارکنان شما نيز مي توانند APهاي خودشان را به يک درگاه متصل نموده و عمداً يا سهواً دسترسي بي سيم باز را در اختيار افراد بيگانه قرار دهند. براي کاهش احتمال اين گونه حوادث، مطمئن شويد که تمام روترها، APها و ابزارهاي شبکه کاملاً مخفي و امن هستند. شما مي توانيد از کابينت هاي مخصوص، محل هايي که در ارتفاع بالا قرار گرفته اند و فضاي بالاي سقف کاذب براي اين منظور استفاده کنيد. براي افزايش امنيت شبکه ي کابلي، شما مي توانيد از تاييد اعتبار X802.1 استفاده کنيد (البته به شرط آنکه تجهيزات کلاس Business را در اختيار داشته باشيد که از آن پشتيباني مي نمايند). استفاده از فيلترگذاري آدرس MAC بر روي شبکه نيز به جلوگيري از دسترسي کاربران غيرمجاز به شبکه کمک خواهد کرد. با اين حال، هيچ يک از اين شيوه ها نمي تواند ترافيک شما را از ديد استراق سمع کنندگان بر روي شبکه هاي کابلي پنهان نمايد.

استفاده از VPNها
 

براي رمزگذاري طرف کابلي شبکه و همچنين دو برابر نمودن قدرت رمزگذاري Wi-Fi، مي توانيد از VPNها استفاده کنيد. شما مي توانيد يک سرور VPN مستقل را خريداري کرده، نرم افزار سرور را بر روي يک کامپيوتر نصب نموده و يا يک سرويس ميزباني شده را خريداري کنيد. هر کامپيوتر بر روي شبکه مي تواند براي اتصال به سرور VPN پيکربندي شود. سپس، حتي ترافيک کاربران بر روي طرف کابلي شبکه نيز رمزگذاري گرديده و رمزگذاري بر روي امواج راديويي نيز دو برابر خواهد شد.

اجتناب از شبکه هاي بيگانه
 

از آنجائيکه ممکن است کامپيوترهاي شما فايل هايي را به اشتراک بگذارند و يا داده هاي حساس بر روي آنها وجود داشته باشد، بايد از اتصال آنها به ساير شبکه ها جلوگيري کنيد. ويندوز را بررسي نماييد تا مطمئن شويد که براي اتصال خودکار به شبکه هاي قابل دسترسي تنظيم نشده است. در ويندوز ويستا و 7، شما حتي مي توانيد از فرامين WLAN يوتيليتي Netsh براي مسدود کردن تمام شبکه ها غير از شبکه ي خودتان استفاده کنيد. اين کار مانع از آن خواهد شد که کارکنان شما عمداً يا سهواً با شبکه هاي همسايه ارتباط برقرار نمايند.

جداسازي ترافيک با VLANها
 

تقسيم کردن شبکه تان به VLANهاي (Virtual LAN) مجزا، امنيت داخلي بيشتري را تأمين خواهد کرد. شما به اين ترتيب مي توانيد کنترل بهتري بر منابع و ترافيک شبکه ي قابل دسترسي و دريافت، توسط کارکنان خود داشته باشيد. بنابراين، يک کارمند معمولي نمي تواند فايل هايي را باز کند که بر روي کامپيوترهاي گروه مديريت به اشتراک گذاشته شده است. به علاوه، اگر يک کارمند، به بازبيني ترافيک خام شبکه بپردازد، تنها ترافيک موجود بر روي شبکه ي مجازي خودش را خواهد ديد. VLANها در عين حال مي توانند امنيت خارجي را نيز تأمين نمايند، زيرا کاربراني که اعتبار آنها تاييد نشده است مي توانند بر روي يک VLAN جداگانه قرار داده شوند. از سوي ديگر، اگر فردي بتواند به شبکه ي شما دسترسي غيرمجاز پيدا کند، تنها به يک بخش از شبکه دسترسي خواهد داشت.

ابزارهاي NAS و فولدرهاي اشتراکي امن
 

براي کنترل دقيق فولدرها و منابعي که کارکنان مي توانند به آنها دسترسي داشته باشند، مجوزهاي اشتراک گذاري فولدر و مجوزهاي NTFS فايل ها و فولدرها را بررسي نماييد. بعلاوه، تنظيمات اشتراک گذاري را براي هريک از ابزارهاي شبکه يا ابزارهاي (network attached storage) NAS، پيکربندي کنيد. پيکربندي اين تنظيمات در عين حال به جلوگيري از دسترسي افراد غيرمجاز به فايل ها نيز کمک خواهد کرد.

بررسي فايروال
 

براي محافظت از شبکه در برابر حملات و نفوذهاي محلي يا اينترنتي، هميشه بايد فايروال هايي را بر روي کامپيوترها و روترهاي شبکه اجرا کنيد. درگاه ها بايد تنها هنگام ضرورت باز شوند. براي امنيت بيشتر، مي توانيد محدوده ي آدرس هاي IP که اجازه ي استفاده از درگاه ها را دارند، تعريف کنيد.

استفاده از فيلترگذاري آدرس MAC
 

با وجود آنکه هکرهاي Wi-Fi به آساني مي توانند آدرس هاي MAC آداپتورهاي شبکه ي خود را جعل کنند، اما استفاده از فيلترگذاري آدرس MAC يک لايه ي اضافي از امنيت را فراهم مي نمايد. اين روش، تنها مقداري کار اضافي را براي وارد کردن آدرس هاي MAC تمام کامپيوترها و يا ابزارهاي شما به همراه خواهد داشت.

غيرفعال کردن SSID Broadcasting
 

براي ارتقاء امنيت بي سيم، مي توانيد SSID يا نام شبکه ي بي سيم خود را مخفي نماييد تا هر فردي که مشغول اسکن شبکه هاي بي سيم احتمالي است، قادر به مشاهده ي آن نباشد. اين کار مي تواند يک لايه ي محافظتي ديگر را به شبکه ي شما اضافه کند، خصوصاً اگر به مکانيزم ضعيف تر WEP مجهز هستيد. براي مخفي کردن SSID، بايد گزينه يا منويي را در صفحه ي تنظيمات بي سيم روتر خود بيابيد. بر روي روتر ما، اين گزينه با نام Broadcasting مجهز شده است و ما مي توانيم آن را غيرفعال نماييم. معمولاً بايد روتر خود را پس از تغيير اين گزينه مجدداً راه اندازي کنيد. پيش از انجام اين کار مطمئن شويد که SSID و کلمه ي عبور را يادداشت کرده ايد، زيرا براي برقراري ارتباط در آينده به آنها نياز خواهند داشت.
گرچه عدم پخش (Broadcasting) نام شبکه ي شما نمي تواند هکرهاي Wi-Fi را براي مدت زيادي از آن دور نگهدارد، اما يک لايه ي ديگر را به امنيت شما اضافه مي کند. در اين وضعيت، هنوز امکان بازيابي SSID با ابزارهاي ابتدايي و در يک مدت زمان کوتاه وجود خواهد داشت. بعلاوه، مخفي کردن SSID مي تواند دردسر بزرگي را براي شما ايجاد کند؛ زيرا ممکن است مشکلات اتصالي را به همراه داشته باشد.

بررسي فايروال روتر
 

پس از ايمن سازي شبکه ي بي سيم، مي توانيد به سراغ فايروال داخلي روتر خود برويد. تقريباً تمام روترها، داراي يک فايروال توکار هستند که از ورود اطلاعات ناخواسته به شبکه جلوگيري مي کند و معمولاً بطور پيش فرض فعال شده است. برخلاف يک فايروال نرم افزاري، فايروال روتر شما نيازي به "يادگيري" ندارد، کافي است آن را فعال نموده و همه چيز را به خودش بسپاريد. براي آنکه بدانيد فايروال روتر شما دقيقاً مشغول چه کاري است، مي توانيد صفحه ي گزارش امنيتي (Security log) آن را پيدا کنيد. همانطور که در شکل [4] مي بينيد، روتر آزمايشي ما تعداد زيادي از تماس هاي ناخواسته را در طول چند دقيقه مسدود کرده است. اين موارد همگي الزاماً بدخواهانه نيستند، اما بهتر است ايمن باشيد تا متأسف.

تنظيم پورت ها
 

اکثر کارهايي که بر روي اينترنت انجام مي دهيد، بدون هيچ مشکلي از فايروال عبور خواهند کرد. با اين حال، تعداد محدودي از نرم افزارهاي کاربردي، نيازمند دسترسي به درگاه هاي اينترنتي مختلفي هستند که گاهي اوقات توسط فايروال مسدود شده اند. بازي هاي آنلاين و يا ابزارهاي بارگذاري Bittorrent، مثال هايي از اين موارد هستند. اگر اين نرم افزارهاي کاربردي قادر به انجام وظيفه ي خود نيستند، بخشي تحت عنوان Virtual Server و يا Port Forward را در تنظيمات روتر خود پيدا کنيد. اين بخش به شما امکان مي دهد تا درگاه هاي معيني را مشخص نماييد که کامپيوترهاي موجود بر روي شبکه تان بتوانند اطلاعات را از آنها دريافت کنند. شما مي توانيد اطلاعات کمکي گسترده و تنظيمات مورد نياز بسياري از برنامه ها و روترها را در آدرس www.portforward.com پيدا کنيد.

تغيير کلمه ي عبور پيش فرض روتر
 

در حاليکه هنوز در يوتيليتي پيکربندي روتر خود هستيد، يک تنظيم نهايي نيز ارزش بررسي را خواهد داشت. اکثر روترها با يک کلمه ي عبور ساده تنظيم شده اند (غالباً admin و يا صرفاً Password) که از تنظيمات شما محافظت مي نمايد، اما بسيار بهتر خواهد بود که اين کلمه ي عبور را به چيزي که خودتان انتخاب کرده ايد، تغيير دهيد. گزينه ي مربوط به اين کار معمولاً در عمق تنظيمات روتر شما قرار دارد. در روتر ما، اين گزينه در صفحه ي System Settings قرار گرفته است. کلمه ي عبور را به عبارتي که تنها خودتان مي دانيد و اطمينان داريد که آن را فراموش نخواهيد کرد، تغيير دهيد. شايد ترجيح دهيد که اين کلمه ي عبور را در محل امني يادداشت نماييد. اگر به هر شکلي يک نفر بتواند به شبکه ي شما نفوذ کند، اين کلمه ي عبور از تغيير تنظيمات امنيتي روتر توسط او جلوگيري خواهد کرد.

بروزرساني سخت افزار
 

امن نگه داشتن شبکه و کامپيوترهاي تان مستلزم انجام مقداري نگهداري است. شما بايد بصورت دوره اي به بررسي بروزرساني هاي Firmware براي روتر، APها و ساير قطعات شبکه ي خود بپردازيد. شما همچنين بايد وضعيت آداپتورهاي شبکه ي نصب شده در کامپيوترهاي خود را دنبال کرده و آنها را در صورت ارايه ي درايورهاي جديدتر، بروزرساني نماييد. بعلاوه، مطمئن شويد که سيستم هاي عامل تمام ماشين هاي موجود بر روي شبکه ي شما با آخرين وصله ها و اصلاحات بروزرساني مي شوند. نگهداري همه چيز در شرايط بهينه، به شما کمک مي کند تا اطمينان داشته باشيد که هر آسيب پذيري شناخته شده برطرف گرديده و از تمام ويژگي هاي امنيتي جديد پشتيباني مي گردد.

سيگنال هاي Wi-Fi را محصور کنيد
 

اگر بتوانيد بطور کامل از ورود يا خروج سيگنال هاي راديويي از ديوارهاي خارجي ساختمان خود جلوگيري نماييد، ديگر نيازي نخواهد بود که درباره ي مهاجمين Wi-Fi و يا استراق سمع کنندگاني که در يک پارکينگ نزديک قرار گرفته اند، نگران باشيد. با وجود آنکه انجام اينکار بطور کامل عملي نخواهد بود، اما شما مي توانيد براي کاهش نشت سيگنال راديويي خود تلاش نماييد. با استقرار مجدد APها و کاهش سطح قدرت آنها، مي توانيد سيگنال هاي خود را تا حدودي در ناحيه ي تحت کنترل خودتان محصور نماييد.

منبع: ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 136.