امنیت در شبکه های بیسیم
بخش اول
شبکه های بیسیم به سرعت در حال رشد و توسعه می باشند و غالب شرکت ها به این گونه از شبکه ها روی آورده اند. فراگیر شدن ارتباط بیسیم، طراحی ساختار امنیتی در محدوده پوشش این نوع شبکه ها را اجتناب ناپذیر می نماید.
در دنیای بیسیم چیزی به عنوان زیر ساخت فیزیکی مانند در، دیوار، قفل و ... وجود ندارد تا بتوان با استفاده از این وسائل از دسترسی های غیر مجاز به لایه 2(Media Access) یا لایه 1 (Physical) جلوگیری بعمل آورد. برای دسترسی به منابع شبکه های بیسیم کافی است که یک حمله کننده فقط در مجاورت این شبکه قرار گیرد بدون آنکه به محل حفظ اطلاعات مهم سازمان دسترسی فیزیکی داشته باشد و سه ویژگی مهم اطلاعات را از بین ببرد:
(Integrity, Confidentiality, Availability)
مفاهیم پایه ای 802.11:
802.11 از استانداردهای پیاده سازی شبکه بیسیم می باشد که توسط IEEE ارائه شده است. این استاندارد شبیه استاندارد 802.3 روی Ethernet می باشد که در آن پروتکل های لایه 1و2 استفاده شده است.
توسط تکنولوژی CSMA/CD روی Ethernet، نودهای شبکه بیسیم نیز توسط آدرس MAC حک شده روی کارت های شبکه، آدرس دهی می شوند. اگر چه، 802.11 از سیم به عنوان رسانه در لایه 1 استفاده نمی کند و نودها در استاندارد فوق به صورت بیسیم و در دامنه ای که توسط دستگاه های بیسیم تعریف می شوند با یکدیگر تبادل اطلاعات می نمایند.
شبکه هایی که عمدتأ بر مبنای استاندارد 802.11 طراحی می شوند به یک یا چند Access Point نیاز دارند.AP دستگاهی است که امکان ارتباط بین نودهای شبکه بیسیم با یکدیگر و با شبکه مبتنی بر سیم را برقرار می سازد. در این نوع تنظیم که به Infrastructure Mode معروف است، نودهای بیسیم برای ارتباط با یکدیگر و یا نودهای موجود در شبکه مبتنی بر سیم، می بایست از این AP ها عبور نماید. همچنین شبکه های بیسیم می توانند به صورت مستقیم و بر پایه شبکه های Peer-To-Peer با یکدیگر و بدون نیاز به AP ها ارتباط داشته باشند.
امروزه سه نوع از استاندارد های بیسیم در شبکه پیاده سازی می شود که این سه نوع عبارتند از:
-802.11b
802.11a-
802.11g-
802.11b : اولین استاندارد در شبکه های بیسیم استاندارد 802.11b بود.
سرعت در این ارتباط 11 مگابیت بر ثانیه و از فرکانس 2.4 گیگا هرتز استفاده شده است و تا فاصله 300 فوت یا 91 متر را پوشش می دهد.
: 802.11aدر تجهیزات مورد استفاده در استاندارد 802.11a پهنای باند مورد استفاده بهبود داده شده است. در این استاندارد، سرعت 56mbps و فرکانس 5GHz می باشد و باعث می شود تا ناسازگاری کمتری با تجهیزات معمول مانند تلفن های بیسیم و یا مایکرو ویو ها داشته باشد.
مشخصه 802.11a اجازه ارتباط همزمان تا 12 کانال در مقایسه با 3 کانال در استاندارد 2.4 GHz می دهد. همچنین تعداد بیشتری از ایستگاه های کاری در هر شبکه را پشتیبانی می کند. اگر چه به دلیل استفاده از فرکانس جداگانه ، استاندارد 802.11a تجهیزات 802.11b را پشتیبانی نمی کند. ضمنأ تجهیزات این استاندارد گران تر و کاهش فاصله را در مقایسه با فرکانس 2.4 گیگا هرتز دارد. (در حدود 50 feet و با سرعت 54mbps full)
:802.11.gبسیاری از شرکت ها علاقمند هستند تا پهنای باند مورد نیاز خود را متناسب با استاندارد 802.11g پیاده سازی نمایند. این استاندارد با سرعت 56 مگابیت بر ثانیه و با فرکانس 2.4 گیگا هرتز می باشد و قابلیت پشتیبانی از استاندارد 802.11b را نیز دارا می باشد.
محدوده تحت پوشش در این استاندارد همانند استاندارد 802.11a (300 feet) می باشد و در سرعت 54 مگابیت بر ثانیه و به صورت full duplex تا محدوده 100 feet را پوشش می دهد.
امن سازی شبکه های بیسیم:
با وجود امکاناتی که در شبکه های مبتنی بر 802.11 ارائه شده است ولی این واقعیت وجود دارد که، چون برای انتقال اطلاعات در این شبکه ها هیچ حد و مرز فیزیکی وجود ندارد و این ترافیک توسط هوا منتقل می شود به این دلیل این نوع شبکه ذاتأ نا امن هستند.
از تمام عناصری که برای ایجاد امنیت در شبکه سیم کشی شده استفاده شده می توان در شبکه های بیسیم نیز برای برقراری امنیت استفاده نمود. نکته مهمی که در شبکه های بیسیم از لحاظ امنتی دارای اهمیت می باشد طراحی این گونه از شبکه های می باشد. در ادامه به چگونگی طراحی امن شبکه های بیسیم می پردازیم.
طراحی شبکه:
یکی از موارد مهم که در طراحی شبکه می بایست در نظر گرفته شود، چگونگی طراحی و نحوه ارتباط با شبکه سیم کشی شده است.
راههای زیادی جهت امن کردن شبکه و همین طور برای به خطر انداختن امنیت آن وجود دارد.
با طراحی و بکار گیری یک استراتژی محکم در شبکه های بیسیم میتوان از دسترسی هکرها به شبکه جلوگیری بعمل آورد همچنین با اعمال کنترل های بیشتر روی بخش بیسیم شبکه، شبکه سیم کشی شده را نیز محافظت نمود تا هکرها از این طریق نیز نتوانند وارد شبکه شوند. استفاده از فایروال و روتر در شبکه بیسیم همانند شبکه های سیم کشی شده نیز توصیه می شود.
جداسازی توسط مکانیزم های جداسازی:
بهدلیل اینکه معمولأ AP ها رابط بین شبکه بیسیم و سیم کشی شده هستند، ایستگاه های کاری موجود در دو طرف این AP ها معمولأ در یک Broadcast Domain می باشند. با این توضیحات، هکر شبکه بیسیم میتواند با استفاده از روشهای موجود روی شبکه های سیم کشی شده مانندARP cache Poisoning نسبت به اجرای Exploit روی ترافیک Broadcast اقدام نماید. همچنین هکر می تواند ایستگاه های بیسیم دیگری را که به AP متصل هستند را مورد حمله قرار دهد. این اتفاق در مورد ایستگاه های کاری موجود روی شبکه سیم کشی شده که به شبکه بیسیم متصل هستند روی خواهد داد.
به دلیل آسیب پذیری های زیادی که در شبکه های بیسیم و با توجه به نحوه پیاده سازی این شبکه ها، این فکر در ذهن ایجاد می شود که شبکه های سیم کشی ایزوله شده از این شبکه ها امن تر می باشند.
همانطوری که در شکل زیر مشاهده میشود، طراحی ساده ولی با یک نکته اصلی و آن اینکه، در این طرح، دسترسی مستقیم لایه 2 و اتصال به منابع شبکه برای تمامی ایستگاه های کاری بیسیم میسر می شود و این امر مشکلات امنیتی را در پی خواهد داشت. حداقل پیشنهادی که برای امنیت در این طرح مورد نظر می باشد، جدا سازی و ایزوله کردن شبکه بیسیم از شبکه داخلی در VLAN جداگانه و با قرار دادن مکانیزم های لایه 3 در شبکه می باشد.
طراحی بهتر شبکه با درک مفهوم Wireless-DMZ که در شکل زیر نشان داده شده است انجام خواهد شد. با قرار دادن APها در ناحیه امنیت خاص، پیاده سازی کنترل های لایه3 و کنترل های دسترسی مانند پیاده سازی فایروال می توان به امنیت بالاتری دست یافت.
به طور مثال اگر تمام AP ها به یک سوئیچ (یا دو سوئیچ برای افزونگی(Redundancy)) متصل و سپس سوئیچ به فایروال متصل شود، ما یک نقطه کنترلی یا Layer 3+ بین شبکه داخلی و شبکه APخواهیم داشت.
با توجه به شبکه فوق، اگر هکری ایستگاه های بیسیم و یا حتی AP ها را تحت کنترل خود در آورد، محدود به شبکه خود (شبکه خارج از فایروال) و به سرویسهایی که در فایروال باز گذاشته شده می باشد. بعلاوه هرگونه ترافیک ورودی و خروجی در فایروال ثبت شده و بدین ترتیب ما رد ممیزی حتی و با بررسی این گزارشات شانس بیشتری برای جلوگیری از حملات خواهیم داشت.
و اگر AP ها دارای رده امنیت مختلفی باشند می توان هرکدام را در ناحیه امنیتی خود قرار داده و به فایروال مربوطه با چند interface مطابق شکل زیر متصل نمود. با این طرح منابع هرکدام از شبکه های بیسیم در مقابل شبکه های دیگر محافظت می شود.
بخش دوم
با رشد سریع شبکه های بزرگ بیسیم، قابلیت های امنیتی تجهیزات در شبکه های مبتنی بر بیسیم بیش از پیش به Access point ها اضافه گردید. APها به قابلیت کنترل کیفیت سرویس دهی (QoS) وپشتیبانی از VLAN مجهز شدند. QoS کنترل ارتباط های ایستگاه های کاری متصل به AP را کنترل کرده و می تواند ترافیک را بر اساس نواحی امنیتی مختلف، با میزان ریسک متفاوت و با استفاده از تکنولوژی VLAN، گروه بندی نماید. این مهمترین ویژگی است که به AP های جدید نسبت به انواع قدیمی آن که به صورت هاب عمل میکردند، اضافه شده است. با در نظر گرفتن چندین VLAN-AP، نکته قابل توجه در طراحی این گونه از شبکه ها، ارتباط با شبکه مبتنی بر سیم است. ارتباط بین شبکه بیسیم با سوئیچ شبکه سیم کشی شده می بایست شبیه به 802.1q Trunk باشد
در طرح فوق قراردادن یک فایروال بین شبکه بیسیم و سوئیچ شبکه که قابلیت پشتیبانی از 802.1q را داشته باشد، برای اعمال کنترل های بیشتر لایه 3 روی این ارتباط لازم است.
در نهایت برای طراحی شبکه هایی که شامل ارتباطات بیسیم و مبتنی بر سیم است، اعمال کنترل های لایه 3 در لبه شبکه الزامی است.
محافظت در برابر ضعف های ساده:
ساختار شبکه های بیسیم، اصولا نسبت به حملات ضعف دارد.بدین صورت که دسترسی به اطلاعات شبکه بیسیم را از طریق AP ها و حتی شبکه های مبتنی بر سیم متصل به آن را، به حمله کننده می دهد. از حملات متداول، دسترسی لایه 2 حمله کننده به شبکه بدون نفوذ فیزیکی به شبکه می باشد. برای جلوگیری از این ضعف امواج 802.11، می بایست قرار گیری AP ها و جهت آنتن های آنها را طوری طراحی کرد تا دامنه امواج آن محدود به شبکه داخلی داشته باشد. همچنین استفاده از پنجره ها و دیوارهای عایق بندی شده به ضعیف کردن امواج خروجی کمک می کند یا میتوان محلی را که امواج درآن نقطه ارسال می شود را جزو محدوده کنترلی شبکه و به صورت فیزیکی کنترل نمود. واضح است که هرچه دسترسی از شبکه عمومی به شبکه محلی کمتر و محدود تر باشد، شبکه از امنیت بالاتری برخوردار می باشد.
کنترل در برابر حملات DoS:
این حمله باعث کند شدن، از کار افتادن سرویس بیسیم(بسته به نوع طراحی شبکه) و یا تاثیر روی شبکه اصلی خواهد شد. بیشتر شرکت ها، دستگاه های ردیاب این نوع از حملات را ندارند اگر چه امروزه نرم افزارهایی برای این کار در دسترس می باشد مانند Airmagnet.
جدا سازی DoS از شبکه داخلی با استفاده از فایروال یا دستگاه های دیگری که دارای این قابلیت هستند نیز می تواند در مقابله با حمله DoS موثر باشد.
کنترل های QoS می تواند در لبه wireless DMZ پیاده سازی شود حس گرهای IDS می بایست در نقطه ارتباط بین شبکه بیسیم و شبکه مبتنی بر سیم قرارگیرد و در نهایت روشی کامل برای جلوگیری ازDoS وجود ندارد و طراحی درست با در نظر گرفتن موارد امنیتی میتواند خطر این نوع حمله را کاهش دهد.
رمزنگاری شبکه بیسیم:
اگرچه در شبکه های سیم کشی شده از رمزنگاری در لایه 1و2 استفاده نمی شود ولی طراحان 802.11 نوعی مکانیزم رمزنگاری را جهت امکان تشخیص هویت و رمزنگاری را بین دو ایستگاه کاری روی لایه 1و2 فراهم ساخته اند.
رمزنگاری بیسیم به معنی محافظت و محدود کردن دسترسی به منابع و ساختار شبکه بیسیم می باشد این کار برای محافظت در برابر خاصیت بیسیم است که از دیوار و سایر موانع فیزیکی عبور می کند. حمله کننده براحتی می تواند به شبکه بیسیم که سیستم های کد گذاری و محدودیت های دسترسی پیاده سازی نشده راه پیدا کند. در شناسایی های به عمل آمده در سال 2001 در Boston از هر 100 شبکه بیسیم 44 شبکه با سیستم های رمزنگاری پیاده سازی شده اند.
به خاطر داشته باشید که پیاده سازی هرنوع رمزنگاری از نداشتن آن بهتر است.
واضح است که اگرحمله کننده ای با دو شبکه که یکی دارای رمزنگاری ضعیف و دیگری بدون رمزنگاری باشد مواجه باشد، به شبکه ای که بدون رمزنگاری است حمله خواهد کرد.
: Wired equivalent privacy (WEP)
از بخشهای مهم امن کردن شبکه بیسیم، استفاده از الگوریتم مناسب رمزنگاری برای محافظت از اطلاعاتی است که در هوا منتشر میشود.
WEP برای امن کردن ارتباط بین کارت شبکه های بیسیم و AP ها، بوجود آمد. ویرایش اصلی آن قابلیت پشتیبانی از کلیدهای 40 بیتی یا 64 بیتی را داشت که در ویرایش های بعدی(WEP2) پشتیبانی 128 بیتی نیز به آن اضافه گردید. WEP ازالگوریتم RC4 برای رمزنگاری استفاده میکند که خود دارای ضعف هایی نیز می باشد و حمله کننده میتواند با بکارگیری روش ها و نرم افزارهای خاص، نظیرWEP crack و Air Snort برای رمزگشایی آنها استفاده نماید.اگر چه WEP دارای ضعف هایی میباشد، همچنان استفاده میشود. اگرWEP تنها انتخاب شما برای رمزنگاری میباشد بهتر است که از آن استفاده نمایید و شبکه بدون رمزنگاری را پیاده سازی نکنید. بعضی از سازندگان تجهیزات بیسیم، با اضافه کردن LEAP، که یک پروتکل تشخیص هویت میباشد، به WEP و استفاده در تجهیزات خود، ضعف WEP را پوشش داده اند.
محکم سازی AP ها:
مانند شبکه های سیم کشی شده که روتر نقش ورودی شبکه از اینترنت را بازی میکند، در شبکه های بیسیم نیز APها نقش ارتباط بین دو شبکه سیم کشی شده و بیسیم را برقرارمی کند.
چندین راه برای محکم سازی AP ها وجود دارد مانند:
Shutting down SSID Broadcast
Locking down MAC addresses
Disabling unused services
Strong Password
