همه چيز درمورد امنيت شبكههاي بيسيم(3)
مواجهه با ابزارهاي بيسيم بيگانه
شما ميتوانيد كنترلهاي فيلترگذاري آدرس MAC را بر روي AP خود فعال كنيد، به صورتيكه تنها كلاينتهاي بيسيم داراي يك آدرس MAC مجاز بتوانند با شبكه شما ارتباط برقرار نمايند. مشكل اين اقدام متقابل، در آن است كه هكرها به آساني ميتوانند آدرس هاي MAC را در يونيكس با استفاده از فرمان ifconfig و در ويندوز با استفاده از يوتيليتي SMAC جعل نمايند. با اينحال، همانند WEP، كنترلهاي دسترسي مبتني بر آدرس MAC ميتوانند به عنوان يك لايه ديگر از محافظت بكار گرفته شوند و به هرحال بهتر از «هيچ» هستند. اگر يك هكر، آدرسهاي MAC شما را جعل كند، تنها راه براي تشخيص رفتارهاي بدخواهانه او، يافتن آدرسهاي MAC مشابهي است كه در دو يا چند محل بر روي WLAN مورد استفاده قرار گرفتهاند.
ممكن است بتوانيد چند تغيير در پيكربندي را (برحسب AP مورد استفاده شما) براي دور نگهداشتن هكرها از اجراي اين حملات برعليه خودتان انجام دهيد:
- درصورت امكان، فاصله زماني Broadcastهاي Beacon بيسيم خود را به بالاترين تنظيمات كه درحدود 65535 ميليثانيه (66 ثانيه) است، افزايش دهيد. اينكار ميتواند به پنهان نمودن AP از چشم هكرهايي كه باسرعت درحال War driving و يا قدم زدن در اطراف ساختمان شما هستند، كمك نمايد. با اينحال، ابتدا مطمئن شويد كه اين پيكربندي را آزمايش كردهايد زيرا ميتواند عواقب ناخواسته ديگري نظير عدم توانايي كلاينتهاي بيسيم قانوني براي برقراري ارتباط با شبكه شما را به همراه داشته باشد.
- Probe-Responseها را براي جلوگيري از پاسخگويي AP خود به اينگونه درخواستها، غيرفعال نمائيد.
از يك نرمافزار فايروال شخصي نظير Zone Alarm، Black ICE و يا فايروال رايگان ويندوز بر روي تمام ميزبانهاي بيسيم خود استفاده كنيد تا از دسترسي غيرمجاز از راه دور به شبكه خود جلوگيري نمائيد.
MAC Spoofing
يك شيوه ساده براي تعيين اين موضوع كه يك AP از كنترلهاي آدرس MAC استفاده ميكند يا خير، تلاش براي متصل شدن به آن و كسب يك آدرس IP ازطريق DHCP است. اگر بتوانيد يك آدرس IP را بدست آوريد، كنترلهاي آدرس MAC بر روي AP شما فعال نشدهاند.
مراحل زير، نحوه آزمايش كنترلهاي آدرس MAC را مشخص نموده و نشان ميدهند كه پشت سرگذاشتن اين كنترلها تا چه اندازه ميتواند آسان باشد: 1) يك AP را براي اتصال به آن پيدا كنيد: همانطور كه درشكل(14) مشاهده ميكنيد، اين كار به سادگي با اجراي Nets tumbler امكانپذير خواهد بود.
در اين شبكه آزمايشي، AP كه با برچسب doh! به عنوان SSID آن مشخص شده، ابزاري است كه ميخواهيم آن را آزمايش كنيم. به آدرس MAC اين AP نيز توجه داشته باشيد. اينكار به شما كمك خواهد كرد تا مطمئن شويد كه در مراحل بعدي به بررسي بستههاي صحيح ميپردازيد. باوجود آنكه ما اكثر آدرسهاي MAC را به خاطر حفظ امنيته شبكه خود مخفي كردهايم، اجازه بدهيد فرض كنيم كه آدرس MAC ابزار موردنظر ما FF:FF:FF:00:40:96 است. همچنين در شكل(14) به اين نكته توجه داشته باشيد كه Nets tumbler توانسته است آدرس IP اين AP را تشخيص دهد. بدست آوردن يك آدرس IP به شما كمك خواهد كرد تا مطمئن شويد كه بر روي شبكه بيسيم صحيح قرار داريد.
2) با استفاده از يك تحليلگر شبكه، به جستجوي يك كلاينت بيسيم كه يك بسته Probe Request را به آدرس Broadcast ميفرستد و يا يك AP كه با يك Probe Response پاسخ ميدهد، بپردازيد.
شما ميتوانيد يك فيلتر را در تحليلگر خود تنظيم كنيد تا به جستجوي چنين فريمهايي پرداخته و يا صرفاً بستهها را ضبط نموده و در آنها به جستجوي آدرس MAC متعلق به AP كه در مرحله اول بدست آوردهايد، بپردازيد. شكل(15) نشان ميدهد كه بستههاي Probe Request و Probe Response چه ظاهري دارند.
توجه داشته باشيد كه كلاينت بيسيم (بازهم براي حفظ امنيت، اجازه بدهيد فرض كنيم كه آدرس MAC كامل آن 00:09:5B:FF:FF:FF است) ابتدا يك Probe Request را در بسته شماره 98 به آدرس Broadcast (FF:FF:FF:FF:FF:FF) ميفرستد. AP داراي آدرس MAC موردنظر ما، با يك Probe Response به 00:09::5B:FF:FF:FF پاسخ داده و تائيد ميكند كه اين يقيناً يك كلاينت بيسيم بر روي شبكهاي است مشغول آزمايش كنترلهاي آدرس MAC آن هستيم.
3) آدرس MAC كامپيوتر آزمايشي خود را به آدرس MAC كلاينت بيسيمي كه در مرحله قبلي يافتهايد، تغيير دهد.
در يونيكس و لينوكس، ميتوانيد آدرس MAC خود را به آساني با استفاده از فرمان ifconfig تغيير دهيد. مراحل انجام اين كار عبارتند از:
- به عنوان root به سيستم Log-in نموده و سپس اينترفيس شبكه را غيرفعال كنيد. شماره اينترفيس شبكهاي كه ميخواهيد آن را غيرفعال نمائيد (معمولاً wlan0 يا ath0) را به صورت زير در فرمان درج كنيد:
root@localhost root [#ifconfig wlan0 down]
- آدرس MAC جديد خود كه ميخواهيد از آن استفاده كنيد را وارد نمائيد.
آدرس MAC جعلي و شماره اينترفيس شبكه را به ترتيب زير وارد نمائيد:
Root@localhost root [#ifconfig wlan0 hw ether] 01:23:45:67:89:ab
فرمان زير نيز در لينوكس، كار خواهد كرد:
root@localhost root [#ip link set wlan0 address] 0:23:45:67:89:ab
اگر آدرس (يا آدرسهاي) MAC خود را به دفعات در لينوكس تغيير ميدهيد، ميتوانيد از يك يوتيليتي با نام MAC Changer استفاده كنيد كه ويژگيهاي غنيتري را در اختيارتان قرار ميدهد.
در ويندوز، ميتوانيد آدرس MAC را در جعبه محاورهاي Properties آداپتور NIC بيسيم خود (ازطريق My Network Places) تغيير دهيد. با اينحال، اگر مايل به ويرايش رجيستري نبوده و يا ترجيح ميدهيد يك ابزار خودكار را در اختيار داشته باشيد، ميتوانيد از يك ابزار آراسته و ارزانقيمت كه با مشاوره KLC ايجاد شده و SMAC نام دارد، بهرهگيري نمائيد. وقتي كار خود را به اتمام رسانديد، SMAC چيزي شبيه به تصوير شكل(16) را نمايش خواهد داد.
براي برگرداندن هريك از تغييرات آدرس MAC بالا به حالت اوليه، صرفاً مراحل انجام شده را به طور معكوس انجام داده و تمام دادههايي كه ايجاد كردهايد را حذف نمائيد.
توجه داشته باشيد كه APها، روترها، سوئيچها و ساير ابزارهاي مشابه ميتوانند تشخيص دهند كه بيش از يك سيستم درحال استفاده از يك آدرس MAC مشابه بر روي شبكه هستند (به عبارت ديگر، سيستم شما و سيستم كلاينتي كه آدرس MAC آن را جعل كردهايد). شما احتمالاً بايد تا زماني كه سيستم اصلي ديگر بر روي شبكه حضور نداشته باشد، منتظر بمانيد. با اينحال، ما به ندرت در اين زمينه با مشكلي در رابطه با جعل آدرسهاي MAC مواجه شدهايم، بنابراين شما احتمالاً نبايد هيچكار خاصي را انجام دهيد.
4) مطمئن شويد كه NIC بيسيم شما براي SSID مقتضي پيكربندي شده است. براي اين مثال، ما از يوتيليتي Netgear Smart Wizard براي تنظيم SSID به صورت doh! استفاده كردهايم(شكل17).
حتي اگر شبكه شما درحال اجراي WEP ميباشد (همانطور كه در شبكه آزمايشي ما اينطور است)، هنوز ميتوانيد كنترلهاي آدرس MAC خود را آزمايش كنيد. شما صرفاً بايد كليد (يا كليدهاي) WEP خود را وارد كنيد تا بتوانيد ارتباط برقرار نمائيد.
5) يك آدرس IP بر روي شبكه را بدستآوريد. شما ميتوانيد اينكار را با بوت مجدد سيستم و يا غيرفعال نمودن NIC بيسيم خود انجام دهيد. با اينحال، شما همچنين ميتوانيد اين كار را با اجراي فرمان ipconfig/renew در اعلان فرمان ويندوز و يا وارد نمودن يك آدرس IP شناخته شده در جعبه محاورهاي Properties شبكه بيسيم خود به صورت دستي انجام دهيد.
6) با Ping نمودن يك ميزبان ديگر يا مرور اينترنت، مطمئن شويد كه بر روي شبكه قرار داريد. در اين مثال، ما ميتوانيم (AP) 10.11.12.154 را Ping نموده و يا صرفاً مرورگر وب مورد علاقه خود را بارگذاري كرده و ببينيم كه آيا ميتوانيم به اينترنت دسترسي پيدا كنيم يا خير. اين، كلّ فرآيند بود. شما كنترلهاي آدرس MAC شبكه بيسيم خود را تنها در 6 مرحله ساده پشت سرگذاشتهايد.
مقابله با MAC Spoofing
حمله Queensland Dos
سيستمهاي بيسيم (كلاينتها، APها و امثالهم)، از CSMA/CA براي تعيين آمادگي رسانه بيسيم و اينكه سيستم ميتواند دادهها را بر روي آن انتقال دهد، استفاده ميكنند. حمله Queensland از تابع CCA (Clear Channel Assessment) داخل CSMA/CA بهرهبرداري كرده و اساساً آن را وادار مينمايد تا وانمود كند كه امواج راديويي مشغول هستند و به اين ترتيب، به طور مؤثري از مخابره دادهها توسط هر سيستم بيسيم ديگري جلوگيري مينمايد. اين كار با قراردادن يك NIC بيسيم درحالت انتقال پيوسته (Continuous Transmit) انجام ميشود.
با ابزار مناسب، اجراي اين حمله نسبتاً آسان و ساده خواهد بود. اين حمله قادر است يك شبكه بيسيم را مورد تاخت و تاز قرار داده و آن را به زانو درآورد. در اينحالت، كار چنداني از قرباني برنخواهد آمد، خصوصاً اگر سيگنال مهاجم، قويتر از سيگنال سيستمهاي بيسيم شما باشد.
تمام چيزي كه براي انجام چنين حملهاي به آن نياز داريد، يافتن يك NIC بيسيم قديمي D-Link DWL-650 به همراه برنامه قديمي آزمايش چيپست Prism با نام Prism Test Utility است. شما ميتوانيد اين حمله را به آساني با ساير تنظيم سفارشي ساير نرمافزارها و سختافزارها نيز انجام دهيد. در اينجا نيازي به ارائه تصاوير وجود ندارد. به طور خلاصه، بايد بگوييم كه پيش از قرار دادن يك NIC بيسيم درحالت مخابره پيوسته، شما سيگنالهاي بيسيم را در اختيار داريد، اما پس از بهرهبرداري از اين نقطه ضعف، شبكه بيسيم به كلّي از كار ميافتد.
اين آزمايش ميتواند براي سلامت شبكه بيسيم شما مضر باشد. اين آزمايش را تنها در يك محيط كنترل شده براي ارزيابي يك IPS بيسيم و به صورتيكه بر ساير شبكههاي بيسيم نزديك شما تأثير نگذارد، اجراء نمائيد.
حملات DOS
مشكلات امنيت فيزيكي
- APهايي كه در خارج از يك ساختمان نصب شدهاند و به صورت عمومي قابل دسترسي هستند.
- آنتنهايي كه به طور ضعيف نصب شدهاند و يا انواع نامناسبي از آنتنها كه سيگنال را با قدرت بيش از حدّ Broadcast نموده و آن را در دسترس عموم قرار ميدهند. شما ميتوانيد قدرت سيگنال را در Nets tumbler، مدير كلاينت بيسيم خود و يا يكي از ابزارهاي تجاري كه قبلاً به آنها اشاره كردهايم، مشاهده نمائيد.
اين مشكلات، غالباً به خاطر عجله در نصب، طرحريزي نامناسب و فقدان دانش فني، ناديده گرفته ميشود، اما ميتوانند بعداً شما را به دردسر بيندازند.
راهكارهايي براي مشكلات امنيت فيزيكي
- تنظيمات قدرت ارسال داده AP خود را كاهش دهيد.
- از يك آنتن كوچكتر يا متفاوت directional) يا semi directional) براي كاهش سيگنال استفاده كنيد.
بعضي از طرحريزيهاي ابتدايي، به جلوگيري از اين آسيبپذيريها كمك خواهند نمود.
Work Station
هاي بيسيم آسيبپذير
علاوه بر مورادي كه قبلاً به آنها اشاره كرديم، شما همچنين بايد با استفاده از ابزارهاي گوناگون آزمايش آسيبپذيري (نظير موارد زير) به جستجوي آسيبپذيريهاي كلاينت بيسيم خود بپردازيد:
- GFI LANguard Network Security Scanner
- Qualys Guard
- CORE IMPACT
اين برنامههاي مختص شبكههاي بيسيم نيستند، اما ميتوانند براي مشخص نمودن آسيبپذيريها در كامپيوترهاي بيسيم شما كه در ساير آزمايشها كشف نشدهاند، مفيد باشند.
تقويت و ترميم نقاط آسيبپذير Workstationها
- ارزيابيهاي آسيبپذيري را به طور منظم بر روي ايستگاههاي كاري بيسيم و همچنين ساير ميزبانهاي شبكه خود انجام دهيد.
- آخرين وصلههاي امنيتي فروشندگان را اعمال نموده و بر استفاده كاربران از كلمات عبور قدرتمند تأكيد ك نيد.
- تا حدّ امكان از فايروالهاي شخصي بر روي تمام سيستمهاي بيسيم استفاده نمائيد (به عبارت ديگر، تمام سيستمها به استثناء PDAها و تلفنهاي هوشمند كه نرمافزار فايروال شخصي براي آنها در دسترس قرار ندارد)، تا نفوذگران بدخواه را از اين سيستمها و همچنين شبكه خود دور نگهداريد.
- هر دونوع نرمافزار آنتيويروس و Antispyware را نصب كنيد.
تنظيمات پيكربندي پيشفرض
اجتناب از پذيرش تنظيمات پيش فرض
- مطمئن شويد ك ه كلمات عبور سرپرستي، نامهاي AP و SSIDها را ازحالت پيشفرض آنها تغيير دادهايد.
- به عنوان يك حداقل، WEP را فعال كنيد. به طور ايدهآل، شما بايد از WPA يا WPA2 با كليدهاي (PSK) pre-share key بسيار قدرتمند استفاده كرده و يا از WPA/WPA2 درحالت Enterprise (با يك سرور RADIUS براي به رسميت شناختن ميزبان) استفاده نمائيد.
- اگر به ويژگي SSID Broadcasting نياز نداريد، آن را غيرفعال كنيد.
- اگر از SNMP استفاده نميكنيد، آن را غيرفعال نمائيد.
- آخرين وصلههاي Firm ware را براي APها و كارتهاي WLAN خود اعمال كنيد.
اين اقدامات متقابل، به پيشگيري از آسيبپذيريهاي گوناگون و بهرهبرداري از حفرههاي شناخته شده مربوط به اينترفيسهاي مديريت بر روي APها و نرمافزار مديريت كلاينت بر روي كلاينتها كمك ميكنند.
منبع:نشريه بزرگراه رايانه- ش133