اصول امنيت شبکه

اين مقاله مقدمه اي بر مبحث امنيت شبکه و ذکر نکاتي کلي است که کاربر خانگي جهت حفظ تداوم فعاليت خود بعنوان يک کاربر جدي مي بايست مد نظر داشته باشد. نکته اي که برخي از کاربران را از راه اندازي يک شبکه ي خانگي منصرف مي نمايد، وحشت از اين موضوع است که تمام اطلاعات ذخيره شده بر روي ديوارهاي ديسک سخت آنها در دسترس
پنجشنبه، 2 تير 1390
تخمین زمان مطالعه:
موارد بیشتر برای شما
اصول امنيت شبکه

اصول امنيت شبکه
اصول امنيت شبکه


 






 
اين مقاله مقدمه اي بر مبحث امنيت شبکه و ذکر نکاتي کلي است که کاربر خانگي جهت حفظ تداوم فعاليت خود بعنوان يک کاربر جدي مي بايست مد نظر داشته باشد. نکته اي که برخي از کاربران را از راه اندازي يک شبکه ي خانگي منصرف مي نمايد، وحشت از اين موضوع است که تمام اطلاعات ذخيره شده بر روي ديوارهاي ديسک سخت آنها در دسترس افراد ناشناس و يا هکرها قرار گرفته و يا سرعت اتصال اينترنت باند پهن آنها بخاطر نفوذ کاربراني از خارج شبکه دچار افت گردد. در حاليکه هيچ شبکه اي هرگز در برابر حملات کاملاً ايمن نيست، اما به شرط آنکه چند اقدام احتياطي را انجام داده باشيد. هيچ دليلي وجود ندارد که يک شبکه ي بي سيم نتواند به همان اندازه ي شبکه اي که تمام اجزاء آن توسط کابل به يکديگر متصل شده اند، امن باشد. با بهره گيري از اطلاعاتي که در اين مقاله بدست خواهيد آورد، شبکه ي شما کاملاً امن خواهد بود.

نقطه ي آغاز
 

هنگاميکه نوبت به امنيت شبکه ي خانگي مي رسد، نگراني اصلي در اطمينان از اين نکته است که هر اتصال بي سيم در برابر دسترسي غيرمجاز محافظت شده باشد. اگر شما از يک شبکه ي صرفاً کابلي استفاده مي کنيد، لزومي ندارد که بيش از حد نگران باشيد، گرچه هميشه بايد مشکلات امنيتي که از اينترنت سرچشمه مي گيرند نظير هکرها، ويروس ها و Spywareها را در نظر بگيريد. حتي امن ترين شبکه ها نيز اين نوع تهديدهاي وب را بطور کامل مسدود نمي کنند. براي اين منظور، شما بايد چند قاعده ي ابتدائي را درباره ي نحوه ي رفتار با emailها و صفحات وب بدانيد و در عين حال بايد از ابزارهاي مفيد نظير Windows Fireware و Windows Defender (يا نرم افزارهاي طرف ثالث قابل اعتماد) براي دور نگهداشتن نرم افزارهاي بدخواهانه استفاده کنيد. مشکل اصلي در Wi-Fi اين است که بخاطر طبيعت راديوئي اين فناوري، سيگنال هاي آن قابل استراق سمع بوده و امکان ارسال سيگنال هاي غيرمجاز به گيرنده هاي راديوئي داخل شبکه ي شما (روتر بي سيم، ابزارهاي ذخيره سازي، چاپگرها و تمام کامپيوترهاي مجهز به قابليت هاي بي سيم) نيز وجود دارد.
شبکه اي که با استفاده از يک کلمه عبور قوي محافظت نشده باشد، مي تواند توسط هر فردي با يک کامپيوتر مجهز به امکانات Wi-Fi شناسائي گردد. در حين بررسي هاي مربوط به اين ويژگي، ما توانستيم 4 شبکه ي بي سيم محافظت نشده را در اطراف خود تشخيص دهيم و اگر حاضر به قانون شکني بوديم مي توانستيم بر روي هر يک از اين شبکه ها Login کرده و از اتصال اينترنت باند پهن آنها براي مرور سايت هاي وب استفاده نمائيم. از سوي ديگر، اگر صاحبان هر يک از اين شبکه ها فايل هايي را در يک فولدر Shared Documents قرار داده بودند، ما قادر به مشاهده و حتي شايد ويرايش آنها بوديم.
در واقع بزرگترين تهديدي که اکثر کاربران با آن مواجه هستند، يک همسايه ي گستاخ است که از اتصال باند پهن آنها براي بازديد از سايت هاي وب بدون پرداخت هزينه ي دسترسي به اينترنت سوء استفاده مي کند؛ اما اگر از اتصال شما براي انجام هر گونه اقدام غيرقانوني استفاده شود، اين موضوع اهميت خود را از دست خواهد داد زيرا در شرايط مذکور شما اولين فردي هستيد که بايد به مراجع قانوني پاسخگو باشيد.
با وجود آنکه سخت افزار بي سيم از نظر تکنيکي بسيار پيشرفته است، اما راه اندازي آن نسبتاً آسان بوده و پس از آنکه پيکربندي شد احتمالاً آن را فراموش مي کنيد. اين دقيقاً همان نقطه اي است که مشکل در آن کمين کرده است.
توليدکنندگان روتر (يعني ابزاري که در قلب اکثر شبکه هاي خانگي قرار گرفته است)، غالباً فرآيند Setup محصولات خود را بيش از حد آسان نموده اند. اين موضوع براي کاربران مبتدي بسيار عالي است، اما در عين حال به معناي آن خواهد بود که تحکيم و نيرومند سازي تنظيمات امنيت بي سيم پس از نصب تجهيزات، بر عهده ي کاربر مي باشد. اين وظيفه ي مهم غالباً ناديده گرفته شده و فراموش مي گردد.
اتصال باند پهن اينترنت از طريق خط تلفن استاندارد و يا در بعضي از کشورها از طريق همان کابلي که مسئوليت حمل سرويس هاي تلفن و تلويزيون را بر عهده دارد، به کاربران تحويل مي گردد. مشترکين کابلي به يک مودم ويژه نياز دارند که به سوکت کابل ورودي متصل مي شود و سپس روتر به اين مودم متصل خواهد شد. گاهي اوقات اينگونه مودم ها در داخل يک جعبه ي Set-top جاسازي شده اند. روتر (Router) همان کاري را انجام مي دهد که از نام آن مشخص است، يعني سيگنال ها را مابين اينترنت و کامپيوترهايي که به آن متصل شده اند (چه بصورت بي سيم و چه به صورت کابل)، هدايت مي کند. اين ابزار در عين حال سيگنال ها و فايل ها را در بين خود کامپيوترها نيز هدايت مي نمايد. به اين ترتيب در شرايطي که همه از ارتباطات از طريق روتر اداره مي شود، هيچ کامپيوتري نياز نخواهد داشت که مستقيماً به کامپيوتر ديگري متصل شود.
در اتصال باند پهن ADSL نيز از سيستم مشابهي استفاده مي شود، با اين تفاوت که سرويس از طريق خط تلفن عادي تحويل مي گردد. با اينحال، امروزه اکثر کاربران از روترهايي استفاده مي کنند که داراي يک مودم ADSL توکار هستند و به اين ترتيب تعداد ابزارها، منابع تغذيه و کابلهاي مورد نياز خود را کاهش مي دهند. همه ي روترها داراي امکانات بي سيم توکار نمي باشند، بنابراين ممکن است مجبور شويد يک ابزار جداگانه با نام يک Access Point بي سيم را به روتر خود متصل کنيد تا بتوانيد تجهيزات بي سيم خود را به شبکه متصل نمائيد. معمولاً يک روتر خانگي مي تواند تا 4 کامپيوتر يا ابزار مشابه را از طريق کابلي و چندين ابزار ديگر را بصورت بي سيم اداره کند.
در يک شبکه ي خانگي معمولي، تنها يک کامپيوتر توسط کابل به روتر متصل مي شود و تمام ابزارهاي ديگر از اتصال بي سيم استفاده مي نمايند. يک چاپگر Network-Ready مي تواند مستقيماً به روتر متصل شود و به اين ترتيب هر کامپيوتري بر روي شبکه قادر به استفاده از آن خواهد بود. اما از آنجائيکه بسياري از چاپگرهاي خانگي تنها داراي کانکتورهاي USB هستند، روش متداول تر در شبکه هاي خانگي اين است که چاپگربه يکي از PCهايي که از طريق کابل با روتر ارتباط برقرار مي کند، متصل گرديده و سپس به ويندوز اجازه داده شود تا درخواست هاي چاپي که از ساير کامپيوترهاي موجود بر روي شبکه مي آيند را اداره نمايد.

مراحل اوليه
 

دور کردن يک روتر بي سيم از ديوارهاي خارجي ساختمان (تا حد امکان) و در نتيجه کاهش برد Broadcasting آن، تنها معيار امنيتي فيزيکي است که مي توانيد انجام دهيد و در واقع ارزش امنيتي چنداني ندارد. تمام معيارهاي امنيتي ديگر، با ايجاد تغييراتي در برنامه ي پيکربندي داخلي روتر شما اعمال خواهند شد. شما معمولاً مي توانيد اين کار را از طريق Internet Explorer و يا هر مرورگر وب ديگري با تايپ آدرس IP روترتان در پانل آدرس مرورگر، انجام دهيد. شما مي توانيد آدرس IP روتر خود را در دفترچه ي راهنما و يا مستندات آنلاين آن پيدا کنيد. آدرس معمولاً شامل 4 عدد است که توسط نقاطي از يکديگر جدا شده اند. براي مثال، آدرس مورد نياز براي پيکربندي مودم US Robotics ما 192.168.2.1 است (آدرس IP اکثر روترها با 192.168 شروع مي شود). با وجود آنکه چيدمان و منوهاي پيکربندي در بين روترهاي مختلف مي تواند کاملاً متفاوت باشد، اما امکانات ارائه شده در آنها کم و بيش يکسان هستند.
پس از وارد کردن آدرس مربوطه در مرورگر وب، از شما خواسته مي شود تا با يک نام کاربري و کلمه عبور، Login نمائيد. شما مي توانيد اين اطلاعات را در دفترچه ي راهنماي روتر خود پيدا کنيد. اگر هيچ کلمه ي عبوري در مستندات روتر قيد نشده است، فيلد Password را خالي گذاشته و يا همين عبارت (password) را در آن تايپ نمائيد. همين موضوع مي تواند ايده اي از ميزان اهميت راه اندازي و پيکربندي صحيح امنيت شبکه را در اختيار شما قرار دهد. پس از آنکه به صفحات پيکربندي روتر خود دسترسي پيدا کرديد، اولين کاري که بايد انجام دهيد تغيير کلمه ي عبور است. به هر حال شما اصلاً نمي خواهيد هر فردي که از شبکه ي شما استفاده مي کند قادر به مشاهده ي کلمه ي عبور پيش فرض آن بوده و تنظيمات امنيتي روتر را تغيير دهد.
پس از ورود به برنامه ي پيکربندي، تنظيمات مربوط به کلمه ي عبور را يافته و آنها را به چيزي که حدس زدن آن غير ممکن باشد اما خودتان بتوانيد به سادگي به ياد بسپاريد، تغيير دهيد. ترجيحاً بهتر است کلمه عبور شما ترکيبي از حروف و اعداد باشد که نتوان آن را در يک فرهنگ لغات يافت.
اکثر برنامه هاي پيکربندي، شما را ملزم مي کنند تا صراحتاً هر تغييري را پيش از ادامه ي کار خود ذخيره نمائيد و اگر از انجام اينکار خودداري کنيد، تغييرات اعمال شده را از دست خواهيد داد. شما نبايد کلمه ي عبور خود را فراموش کنيد، پس بهتر است آن را در محل امني يادداشت نمائيد.
در بخشي از برنامه ي پيکربندي که معمولاً تحت عنوان System شناخته مي شود، احتمالاً يک گزينه ي مديريت از راه دور را خواهيد يافت. در صورتيکه اين گزينه فعال باشد، امکان تغيير تنظيمات امنيتي روتر توسط کامپيوتري که در هر جاي ديگري از اينترنت قرار گرفته است (و نه صرفاً شبکه ي شما) وجود خواهد داشت. توصيه مي کنيم که هميشه گزينه ي مديريت از راه دور را غيرفعال نمائيد.
توصيه هايي که تا اينجا به آنها اشاره کرديم حتي در مورد شبکه هاي کابلي نيز صادق هستند، اما حالا زمان آن رسيده است که ببينيم چگونه مي توان نقطه ضعف هاي مختص روترهاي بي سيم را اصلاح کرد. اولين کاري که بايد انجام دهيد، تغيير SSID (Service Set Identifier) پيش فرض روترخودتان است، نامي که يک شبکه ي بي سيم را بطور منحصر به فردي معرفي کرده و آن را از ساير شبکه هاي نزديکش متمايز مي سازد. توليدکنندگان، تمام نمونه هاي يک مدل خاص از روترهاي خود را با SSID مشابهي تنظيم مي کنند. در حاليکه آگاهي از يک SSID معمولاً به تنهائي براي کسب دسترسي غيرمجاز به يک شبکه کافي نيست، اما تغيير آن به نام منحصر به فردي که خودتان ايجاد کرده ايد مي تواند يک دردسر مضاعف را براي هکرها ايجاد نمايد. شما گزينه هاي SSID را در بخش Wireless برنامه ي پيکربندي روتر خود خواهيد يافت و براي تغييرآن کافي است نام SSID پيش فرض را حذف کرده و نام موردنظر خودتان را وارد کنيد. از آدرس منزل خود براي اين منظور استفاده نکنيد زيرا به اين ترتيب پيامي را به دنياي خارج ارسال مي کنيد که مي گويد "يک PC ارزشمند در اين خانه قرار دارد". SSID الزاماً نبايد همان نامي باشد که از آن براي شبکه ي خود در ويندوز استفاده مي کنيد. در عين حال، شما بايد گزينه ي ديگري را نيز براي غيرفعال کردن SSID Broadcasting در اين بخش ببينيد. اين گزينه باعث مي شود که شبکه ي شما بيش از پيش امن گردد. با Broadcast نمودن يک SSID، شما به هر ابزار بي سيم در برد شبکه ي خود اعلام مي کنيد که يک شبکه ي فعال در نزديکي آنها وجود دارد. با غيرفعال کردن اين تابع، وسوسه ي ناخنک زدن به شبکه تان و تلاش براي Login بر روي آن را از ذهن کاربران ناشناس حذف خواهيد نمود.

امنيت روتر
 

قويترين سلاح در زرادخانه ي امنيتي يک روتر، Wi-Fi Protected است که معمولاً بطور خلاصه بصورت WPA شناخته مي شود. اين فناوري، کاربران يک شبکه ي بي سيم را ملزم مي نمايد تا خودشان را با استفاده از يک کلمه ي عبور معرفي کنند و در عين حال تمام داده هايي که مابين آنها جابه جا مي شود را رمزگذاري مي نمايد. بنابراين حتي در صورتيکه سيگنال هاي شما توسط شخص ثالثي استراق سمع شوند، هيچ مفهومي براي او نخواهد داشت. لزوم کدگذاري هر قطعه از داده هاي بي سيم و سپس کدگشايي آنها در هنگام دريافت، تا حدودي سرعت يک شبکه ي بي سيم را کاهش خواهد داد اما نه آنقدر که کاربران متوجه اين تغيير شوند.
ممکن است روترها و APهاي بي سيم قديمي تر به WPA مجهز نباشند و بجاي آن از سيستم محافظتي WEP ( Wired Equivalent Protection) استفاده کنند. از سوي ديگر، روترهاي جديدتر يک ارتقاء فوق العاده امن براي WPA يعني WPA2 را در اختيار شما قرار مي دهند. هر نوع محافظتي بهتر از هيچ خواهد بود، بنابراين اگر WEP تنها چيزي است که در اختيار داريد، از آن استفاده نمائيد اما در مواقعي که امکان انتخاب وجود دارد، هميشه از WPA (و در صورت امکان WPA2) استفاده کنيد.
تمام کامپيوترهايي که به شبکه متصل هستند، بايد به امکانات بي سيم سازگار با WPA2 مجهز باشند و اين بدان معني است که شما به يک کارت بي سيم مناسب و نسخه ي بروزرساني شده ي ويندوز XP يا 7 بر روي هر يک از کامپيوترها نياز خواهيد داشت. حتي اگر کامپيوتر شما در حال اجراي ويندوز XP مي باشد و به سرويس يک 2 يا 3 ارتقاء يافته، ممکن است باز هم نياز داشته باشيد که بروز رساني WPA2 را از سايت مايکروسافت بارگذاري کنيد.
حالت محافظت را در بخش Wireless برنامه ي پيکربندي روتر خود و تحت عنوان Security يا عبارتي شبيه به آن تنظيم نمائيد. WPA را بعنوان حالت امنيتي انتخاب کرده و سپس هر گزينه ي ديگري که به انتخاب شما مربوط مي شود را تنظيم نمائيد. با وجود آنکه بعضي از اين گزينه ها تا حدودي وحشتناک به نظر مي رسند، اما تنظيمات آنها کاملاً متمايز بوده و بعيد است که آنها را اشتباه بگيريد. در صورت امکان، WPA2 را بجاي WPA معمولي انتخاب کنيد و براي نوع رمزگذاري نيز بهتر است AES (Advanced Encryption Standard) را انتخاب نمائيد که يک شيوه ي کدگذاري داده ها بر روي شبکه به حساب مي آيد. اگر به WPA2 دسترسي نداريد، از WPA استاندارد به همراه TKIP (Temporal Key Integrity Program) بعنوان گزينه ي رمزگذاري استفاده کنيد که بهترين گزينه براي شبکه هائي است که از WPA بهره گيري مي نمايند.
بقيه ي تنظيمات براي دو حالت WPA و WPA2 يکسان هستند. شما بايد يک سيستم تعيين اعتبار (Authentication) را انتخاب کنيد که با يکي از سه نام PSK, Pre-Share و يا Private شناخته مي شود. در واقع اين نام ها صرفاً سه اصطلاح متفاوت براي يک مکانيزم واحد هستند و انتخاب هر يک از آنها به روتر مي فهماند که شما مي خواهيد براي مقاصد شناسائي از يک کلمه ي عبور تحت عنوان يک "Authentication Key" شناخته مي شود. شما مي توانيد اين کليد تعيين اعتبار را همانند هر کلمه ي عبور ديگري با ترکيبي از اعداد و حروف انتخاب نمائيد.
بهتر است Authentication Key را يادداشت کنيد زيرا هر کامپيوتري که به شبکه ملحق مي شود بايستي اين کليد را در اولين اتصال خود ارائه نمايد. از آن به بعد، مي توانيد ويندوز را براي استفاده ي خودکار از همان کليد تنظيم کنيد.
مراحل فوق، يک شبکه ي خانگي را در برابر هر چيزي غير از حملات عمدي هکرهاي با تجربه، محافظت خواهند کرد. بنابراين تا زمانيکه دشمنان جدي و قدرتمند نداشته باشيد، مي توانيد با خيال آسوده بخوابيد اما اگر مي خواهيد امنيت شبکه ي خود را باز هم ارتقاء دهيد، هنوز روش هاي ديگري براي انجام اينکار وجود دارند.
اگر روتر شما اجازه بدهد، مي توانيد قدرت سيگنال بي سيم را کاهش داده و برد شبکه ي خود را در داخل ديوارهاي منزلتان نگهداريد. شما همچنين مي توانيد فيلترهائي را در داخل برنامه ي پيکربندي روتر خود تنظيم کنيد تا تنها کامپيوترهاي مشخص شده اي اجازه ي پيوستن به شبکه را داشته باشند. هر آداپتور شبکه ي کابلي يا بي سيم با يک کد 12 کاراکتري منحصر به فرد شناخته مي شود که يک آدرس MAC نام دارد. به اين ترتيب اگر به روتر خود اعلام کنيد که تنها اتصالات برقرار شده از يک ليست ترجيحي آدرسهاي MAC را بپذيريد، مي توانيد از اتصال افراد بيگانه به شبکه ي خود جلوگيري نمائيد.
همانند تمام شيوه هاي دفاع امنيتي، فيلترگذاري MAC نيز توسط افرادي که با نحوه ي جعل آدرسهاي MAC آشنائي داشته باشند، قابل شکست خواهد بود. اما اين روش هنوز يک خط ارزشمند اضافي از دفاع را براي شما فراهم خواهد کرد، خصوصاً اگر در ناحيه ي حومه ي شهري قرار داشته باشيد، نه بخش IT يک بانک.
براي يافتن آدرس MAC يک آداپتور شبکه، يک پنجره ي اعلان فرمان را در ويندوز باز کنيد (با وارد کردن فرمان CMD در فيلد Run ويندوز XP يا فيلد جستجوي ويندوز ويستا). حال فرمان IPCONFIG/ALL را در اعلان فرمان وارد کرده و کليد Enter را فشار دهيد. در صفحه ي پايين برويد تا نام آداپتور شبکه ي خود را پيدا کنيد. توجه داشته باشيد که آدرس فيزيکي بصورت 6 جفت از کاراکترها مشخص شده است. اين همان آدرس MAC آداپتور شبکه ي کامپيوتر شما است.

سخن آخر
 

در حاليکه با گزينه هاي پيکربندي روتر خود سر و کله مي زنيد، نبايد بررسي فعال بودن فايروال خود را فراموش کنيد. پس از اين همه دردسري که براي محافظت از خود در برابر مزاحمين محلي تحميل کرده ايد، بسيار تأسف آور خواهد بود اگر بجاي شبکه ي بي سيم خود از طريق اينترنت مورد حمله قرار بگيريد. اگر روتر شما داراي يک فايروال توکار کارآمد مي باشد، ضرورتي ندارد که يک فايروال نرم افزاري را بر روي ويندوز اجرا کنيد، اما واقعيت اين است که بهره گيري از هر دو آنها هيچ ضرري نخواهد داشت.
کنترل دسترسي به شبکه ي بي سيم خصوصي تان اقدام بسيار مفيدي خواهد بود. اينکار باعث مي شود که داده هاي موجود بر روي درايوهاي ديسک سخت شما در امنيت قرار داشته باشند و افراد بيگانه نتوانند از اتصال اينترنت شما سوء استفاده کنند. آشنائي و انجام مراحل مربوط به اين کار حداکثر 30 دقيقه از وقت شما را خواهد گرفت اما نتايج بسيار ارزشمندي را به همراه خواهد داشت، پس چرا همين امروز آن را انجام نمي دهيد؟
منبع:ماهنامه ي کامپيوتري بزرگراه رايانه، شماره ي 134



 



ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.