استفاده از رمزگذاري WPA ( ترجيحاً WPA2)
شيوه رمزگذاريWEP (Wired Equivalent Privacy از مدت ها پيش اعتبار خود را از دست داده و امنيت کافي را براي Wi-Fi تأمين نمي کند. کليدهاي رمزگذاري WEP قابل شکسته شدن هستند و در بعضي از موارد، اينکار تنها در چند دقيقه انجام مي شود. شما بايد از شيوه رمزگذاري (WAP)Wi-Fi Protected Access استفاده نمائيد.
اولين نسخه WPA که از الگوريتم TKIP ( Temporal Key Integrity Protocol) استفاده مي کند نيز اخيراً آسيب پذير شده است. با اينحال، نقطه ضعف WPA ( هنوز) به بدي WEPنيست و استفاده از Passpharse قدرتمند مي تواند به آن کمک کند. با اينحال، اگر کامپيوترها و تجهيزات شبکه سازي شما ازWPA2 با الگوريتم AES ( Advanced Encryption Standard) پشتيباني مي کنند، حتماً از آن استفاده نمائيد.
استفاده از نسخه Enterprise مکانيزمهاي WPA/WPA2
براي آنکه کارکنان شما نتوانند کليدهاي رمزگذاري يا Passpharseها مشاهده کرده و يا بر روي کامپيوترهاي خود بارگذاري نمايند، بايد از نسخه Enterprise مکانيزم هاي رمزگذاري WPA/WPA2 استفاده کنيد نه PSK ( Pre Shared Key) يا نسخه شخصي آنها. در غير اينصورت هنگاميکه يکي ازکارکنان شرکت شما را ترک مي کند، هنوز کليد مورد نياز براي باز کردن شبکه را در اختيار خواهد داشت. بعلاوه، امکان سرقت لپ تاپ هاي آنها وجود دارد و به اين ترتيب سارقين مي توانند به کليد دسترسي پيدا کنند. مطمئناً شما مي توانيد تنظيمات رمزگذاري را تغيير دهيد، اما اينکار واقعاً دردسر ساز است.Enterprise-WPA/WPA2 کليد رمزگذاري واقعي را مخفي مي کند و اين کليد هرگز بر روي کامپيوترها بارگذاري نخواهد شد. پس از اينکه همه چيز پيکربندي شد،کاربر با يک نام کاربري و کلمه عبور بر روي شبکه Log-on مي نمايد که قابل تغيير يا ابطال خواهد بود.
Enterprise- WPA/WPA2 به يک سرور RADIUS نياز دارد که مديريت Accountهاي کاربران را فراهم مي کند. مجموعه اي از سرورهاي RADIUSنظير Electron و ClearBox که براي بنگاه هاي تجاري کوچک در نظر گرفته شده اند، قيمتي در حدود 600 تا 700 دلار دارند. براي صرفه جويي در هزينه، ممکن است ترجيح دهيد سرويسي نظيرWiTopia را انتخاب کنيد که سرور را براي شما ميزباني مي کند و قيمتي معادل 99 دلار در سال دارد. گزينه بعدي، خريد يک Access Point نظير NWA-3160 شرکت ZyXEL است که از يک سرور RADIUS توکار ساده برخوردار مي باشد و قيمتي در حدود 140 دلار دارد.
درگاه هاي امن اترنت
با وجود آنکه شما مي توانيد از آخرين و بهترين مکانيزم رمزگذاري Wi-Fi در جهان استفاده کنيد، اما اگر فردي لپ تاپ خود را به يک درگاه شبکه در داخل ساختمان شما متصل نموده و بتواند به شبکه تان دسترسي پيدا کند، اين قابليت هيچ مزيتي براي شما نخواهد داشت. بعلاوه، حتي کارکنان شما نيز مي توانند AP هاي خودشان را به يک درگاه متصل نموده و عمداً يا سهواً دسترسي بي سيم باز را در اختيار افراد بيگانه قرار دهند. براي کاهش احتمال اينگونه حوادث، مطمئن شويد که تمام روترها، APها و ابزارهاي شبکه کاملاً مخفي و امن هستند. شما مي توانيد از کابينتهاي مخصوص، محل هايي که در ارتفاع بالا قرارگرفته اند و فضاي بالاي سقف کاذب براي اين منظور استفاده کنيد.
براي افزايش امنيت شبکه کابلي، شما مي توانيد از تأييد اعتبار 802.1X استفاده کنيد ( البته به شرط آنکه تجهيزات کلاس Buisiness را در اختيار داشته باشيد که از آن پشتيباني مي نمايند). استفاده از فيلترگذاري آدرسMAC بر روي شبکه نيز به جلوگيري از دسترسي کاربران غيرمجاز به شبکه کمک خواهد کرد. با اينحال، هيچيک از اين شيوه ها نمي تواند ترافيک شما را از ديد استراق سمع کنندگان بر روي شبکه هاي کابلي پنهان نمايد.
استفاده از رمزگذاري اضافي ( VPN ها )
براي رمزگذاري طرف کابلي شبکه و همچنين دو برابر نمودن رمزگذاري Wi-Fi مي توانيد از VPNها استفاده کنيد. شما مي توانيد يک سرورVPN مستقل را خريداري کرده، نرم افزار سرور را بر روي يک کامپيوتر نصب نموده و يا يک سرويس ميزباني شده را خريداري کنيد. هر کامپيوتر بر روي شبکه مي تواند براي اتصال به سرورVPN پيکربندي شود سپس، حتي ترافيک کاربران بر روي طرف کابلي شبکه نيز رمزگذاري گرديده و رمزگذاري بر روي امواج راديوئي نيز دو برابر خواهد شد.
به ساير شبکه ها متصل نشويد
از آنجائيکه ممکن است کامپيوترهاي شما فايل هائي را به اشتراک بگذارند و يا داده هاي حساسي بر روي آنها وجود داشته باشد، بايد از اتصال آنها به سايرشبکه ها جلوگيري کنيد. ويندوز را بررسي نمائيد تا مطمئن شويد که براي اتصال خودکار به شبکه هاي قابل دسترسي تنظيم نشده است. در ويندوز ويستا، شما حتي مي توانيد از فرامين WLAN يوتيليتي Netsh براي مسدود کردن تمام شبکه ها غير از شبکه خودتان استفاده کنيد. اينکار مانع از آن خواهد شد که کارکنان شما عمداً يا سهواً با شبکه هاي همسايه ارتباط برقرار نمايند.
جداسازي ترافيک با VLANها
تقسيم کردن شبکه تان به VLANهاي ( Virtual LAN ) مجزا، امنيت داخلي بيشتري را تأمين خواهد کرد. شما به اين ترتيب مي توانيد کنترل بهتري بر منابع و ترافيک شبکه قابل دسترسي و دريافت توسط کارکنان خود داشته باشيد. بنابراين، يک کارمند معمولي نمي تواند فايل هائي را باز کند که بر روي کامپيوترهاي گروه مديريت به اشتراک گذاشته شده است. بعلاوه، اگر يک کارمند به بازبيني ترافيک خام شبکه بپردازد، تنها ترافيک موجود بر روي شبکه مجازي خودش را خواهد ديد. VLANها در عين حال مي توانند امنيت خارجي را نيز تأمين نمايند، زيرا کاربراني که اعتبار آنها تأييد نشده است مي توانند بر روي يک VLAN جداگانه قرار داده شوند. از سوي ديگر، اگر فردي بتواند به شبکه شما دسترسي غيرمجاز پيدا کند، تنها به يک بخش از شبکه دسترسي خواهد داشت.
ابزارهاي NAS و فولدرهاي اشتراکي امن
براي کنترل دقيق فولدرها و منابعي که کارکنان مي توانند به آنها دسترسي داشته باشند، مجوزهاي اشتراک گذاري فولدر و مجوزهاي NTFS فايل ها و فولدرها را بررسي نمائيد. بعلاوه، تنظيمات اشتراک گذاري را براي هر يک از ابزارهاي شبکه يا ابزارهاي NAS ( network attached storage) پيکربندي کنيد. پيکربندي اين تنظيمات در عين حال به جلوگيري از دسترسي افراد غيرمجاز به فايل ها نيز کمک خواهد کرد.
بررسي فايروال
براي محافظت از شبکه در برابر حملات و نفوذهاي محلي يا اينترنتي، هميشه بايد فايروال هائي را بر روي کامپيوترها و روترهاي شبکه اجرا کنيد. درگاه ها بايد تنها هنگام ضرورت باز شوند. براي امنيت بيشتر، مي توانيد محدوده آدرس هاي IP که اجازه استفاده از درگاهها را دارند، تعريف کنيد.
استفاده از فيلترگذاري آدرس MAC
با وجود آنکه هکرهاي Wi-Fi به آساني مي توانند آدرس هاي MAC آداپتورهاي شبکه خود را جعل کنند، اما استفاده از فيلترگذاري آدرس MAC يک لايه اضافي از امنيت را فراهم مي نمايد. اين روش تنها مقداري کار اضافي را براي وارد کردن آدرس هاي MAC تمام کامپيوترها و يا ابزارهاي شما به همراه خواهد داشت.
غيرفعال کردن SSID Broadcasting
گرچه عدم پخش ( Broadcasting ) نام شبکه شما نمي تواند هکرهاي Wi-Fi را براي مدت زيادي از آن دور نگهدارد، اما يک لايه ديگر را به امنيت شما اضافه مي کند. در اين وضعيت، هنوز امکان بازيابي SSID با ابزارهاي ابتدائي و در يک مدت زمان کوتاه وجود خواهد داشت. بعلاوه، مخفي کردن SSID مي تواند دردسر بزرگي را براي شما ايجاد کند زيرا ممکن است مشکلات اتصالي را به همراه داشته باشد.
بروز رساني سخت افزار
امن نگهداشتن شبکه و کامپيوترهايتان مستلزم انجام مقداري نگهباني است. شما بايد به صورت دوره اي به بررسي بروزرساني هاي Firmware براي روتر، APها و ساير قطعات شبکه خود بپردازيد. شما همچنين بايد وضعيت آداپتورهاي شبکه نصب شده در کامپيوترهاي خود را دنبال کرده و آنها را در صورت ارائه درايورهاي جديدتر، بروزرساني نمائيد. بعلاوه، مطمئن شويد که سيستم هاي عامل تمام ماشين هاي موجود بر روي شبکه شما با آخرين وصله ها و اصلاحات بروزرساني مي شوند. نگهداري همه چيز در شرايط بهينه، به شما کمک مي کند تا اطمينان داشته باشيد که هر آسيب پذيري شناخته شده برطرف گرديده و از تمام ويژگي هاي امنيتي جديد پشتيباني مي گردد.
سيگنال هاي Wi-Fi را محدود کنيد
اگر بتوانيد به طورکامل از ورود يا خروج سيگنال هاي راديوئي از ديوارهاي خارجي ساختمان خود جلوگيري نمائيد، ديگر نيازي نخواهد بود که درباره مهاجمين Wi-Fi و يا استراق سمع کنندگاني که در يک پارکينگ نزديک قرار گرفته اند، نگران باشيد. با وجود آنکه انجام اين کار به طور کامل عملي نخواهد بود، اما شما مي توانيد براي کاهش نشت سيگنال راديوئي خود تلاش نمائيد. با استقرار مجدد AP ها و کاهش سطح قدرت آنها، مي توانيد سيگنالهاي خود را تا حدودي در ناحيه تحت کنترل خودتان محصور نمائيد.
منبع: نشريه بزرگراه رايانه شماره 122
