تبیان، دستیار زندگی

رمزنگاری مهم‌ترین و اصلی‌ترین ابزار امنیتی به‌حساب می‌آید، با ‌وجود این، در بسیاری از نقاط دسترسی بی‌سیم (WAP) ویژگی رمزنگاری به‌صورت پیش‌فرض فعال نیست. اگر چه اغلب WAPها از پروتکل WEP (سرنام Wired Equivalent Privacy) پشتیبانی می‌کنند، اما این پروتکل نیز به‌صورت پیش‌فرض فعال نیست.

WEP دارای چند نقیصه امنیتی بوده و یک هکر مسلط می‌تواند به آن نفوذ کند، اما در حالت کلی وجود آن بهتر از عدم وجود هرگونه پروتکل رمزنگاری خواهد بود. اطمینان حاصل کنید که روش تأیید WEP به‌جای Open System روی Shared Key تنظیم شده باشد. 

روش دوم، دیتاها را رمزنگاری نمی‌کند، بلکه تنها اقدام به بررسی اعتبار کلاینت می‌کند. تغییر دادن کلید WEP در بازه‌های زمانی مشخص و حداقل استفاده از الگوی 128 بیتی روش‌هایی هستند که به بهبود امنیت شبکه بی‌سیم شما کمک شایانی خواهند کرد.

به‌دلیل وجود برخی نقاط ضعف در WEP می‌توانید به‌جای آن از پروتکل WPA (سرنام Wi-Fi Protected Access) استفاده کنید. برای استفاده از WPA، پروتکل WAP شما باید از آن پشتیبانی کند (با ارتقای فریم ویر می‌توانید پشتیبانی از این پروتکل را به نسخه‌های قدیمی‌تر WAP بیافزایید) همچنین کارت شبکه بی‌سیم (NIC) شما نیز باید مناسب کار با این پروتکل بوده و نرم‌افزار بی‌سیم کلاینت نیز از آن پشتیبانی کند.

Windows XP SP2 به‌عنوان پیش‌فرض کلاینت WPA را نصب می‌کند. ماشین‌هایی را که روی آنان SP1 نصب شده است نیز می‌توانید با استفاده از بسته Wireless Update Rollup Package را به کلاینت Windows WPA مجهز کنید 

(آدرس http://support.microsoft.com/kb/826942/ را مشاهده کنید). 

یکی دیگر از گزینه‌های رمزنگاری استفاده از IPSec است. البته، شرط استفاده از آن، پشتیبانی روتر بی‌سیم شما از این پروتکل خواهد بود.

اغلب تولیدکنندگان از کلمه عبور مشخصی برای رمز عبور Administration کلیه نقاط دسترسی بی‌سیم خود استفاده می‌کنند. این کلمات عبور مشخص و ثابت در نزد هکرها شناخته شده بوده و می‌توانند به‌سادگی از آن برای تغییر تنظیمات WAP شما استفاده کنند. اولین کاری که باید هنگام تنظیم یک WAP انجام دهید، تغییر رمز عبور، به رمزی قوی‌تر، با حداقل هشت کاراکتر طول و استفاده ترکیبی از حروف و اعداد و استفاده نکردن از کلمات موجود در فرهنگ لغت است.

SSID (سرنام Service Set Identifier) نام شبکه بی‌سیم شما را مشخص می‌کند. به‌عنوان پیش‌فرض اغلب WAPها SSID را نمایش می‌دهند. این‌کار موجب می‌شود تا کاربران به‌راحتی بتوانند شبکه را پیدا کنند، زیرا در این‌صورت نام شبکه بی‌سیم در فهرست شبکه‌های قابل دسترس و روی کلاینت بی‌سیم قابل مشاهده خواهد بود.

اگر نمایش نام SSID را خاموش کنید کاربران ناچار خواهند بود تا برای اتصال به شبکه بی‌سیم از نام آن اطلاع داشته باشند. برخی معتقدند، این‌کار بی‌فایده است، زیرا هکرها می‌توانند با استفاده از نرم‌افزار Packet Sniffing نام SSID را (حتی اگر ویژگی نمایش آن خاموش باشد) پیدا کنند.

این مطلب صحیح است، اما چرا باید کار را برای آنان آسان کنیم؟ این مطلب مانند این است که بگوییم از آنجا که سارقان می‌توانند شاه‌کلید تهیه کنند، پس به‌کارگیری قفل روی درب منازل کار بیهوده‌ای است. خاموش کردن گزینه Broadcasting SSID نمی‌تواند مانع از کار یک هکر ماهر شود، اما مطمئناً جلوی کاربران کنجکاو و ماجراجو را (به‌عنوان مثال، همسایه‌ای که متوجه وجود شبکه بی‌سیم شده و می‌خواهد فقط به‌خاطر سرگرمی به آن نفوذ کند) خواهد گرفت.

این مورد ممکن است خیلی ساده‌انگارانه به‌نظر آید، اما شرکت‌ها و اشخاص انگشت‌شماری یافت می‌شوند که این‌کار را انجام دهند. اگر کاربران بی‌سیم شما در ساعات مشخصی به شبکه متصل می‌شوند، دلیلی وجود ندارد تا شبکه بی‌سیم شما در تمام طول شبانه‌روز روشن باشد تا فرصتی را برای مهاجمان فراهم آورد. شما می‌توانید در مواقعی که به نقطه‌دسترسی نیازی ندارید آن را خاموش کنید. مانند شب‌ها که همه به منازل خود می‌روند و هیچ‌کس به ارتباط بی‌سیم احتیاجی ندارد.

تولیدکنندگان WAPها اسامی ثابت و مشخصی را برای SSID به کار می‌برند. به‌عنوان مثال، دستگاه‌های Linksys از همین نام برای SSID استفاده می‌کنند. پیشنهاد خاموش کردن نمایش SSID برای جلوگیری از اطلاع دیگران از نام شبکه شما است، اما اگر از نام پیش‌فرض استفاده کنید، حدس زدن آن کار سختی نخواهد بود. همان‌طور که اشاره شد هکرها می‌توانند از ابزارهای مختلفی برای پی بردن به SSID استفاده کنند، به همین دلیل، از به کار بردن نام‌هایی که اطلاعاتی را درباره شرکت شما به آنان می‌دهد (مانند نام شرکت یا آدرس محل) خودداری کنید. 

اغلب WAPها (به‌جز انواع ارزان‌قیمت) به شما اجازه خواهند داد از سیستم فیلترینگ آدرس‌های MAC (سرنامMedia Access Control )استفاده کنید. این به‌این معنی است که شما می‌توانید «فهرست سفیدی» از کامپیوترهایی را که مجاز به اتصال به شبکه بی‌سیم شما هستند بر مبنای MAC یا آدرس فیزیکی کارت‌های شبکه تعریف کنید. درخواست‌های ارتباط از سوی کارت‌هایی که آدرس MAC آن‌ها در این فهرست موجود نیست، از جانب AP رد خواهد شد. 

این روش محفوظ از خطا نیست، زیرا هکرها می‌توانند بسته‌های اطلاعاتی رد و بدل شده در یک شبکه بی‌سیم را برای تعیین مجاز بودن آدرس MAC امتحان کنند و سپس از همان آدرس برای نفوذ به شبکه استفاده کنند. با این‌حال، این کار باز هم قدری موضوع را برای «مهاجمان احتمالی» مشکل‌تر خواهد کرد. چیزی که موضوع اصلی در امنیت است.

شبکه بی‌سیم را از دیگر شبکه‌ها جدا سازید

برای محافظت از شبکه باسیم داخلی خود در برابر تهدیدهایی که از طریق شبکه بی‌سیم وارد می‌شوند می‌توانید نسبت به ایجاد یک DMZ بی‌سیم یا شبکه‌ای محیطی که در برابر LAN ایزوله شده اقدام کنید. برای این‌کار می‌توانید با قرار دادن یک فایروال میان شبکه بی‌سیم و LAN هر دو شبکه را از یکدیگر جدا کنید. 

پس از آن باید برای دسترسی کلاینت‌های بی‌سیم به منابع شبکه‌ای در شبکه داخلی، هویت کاربر را از طریق شناسایی توسط یک سرور راه‌دور یا به‌کارگیری از *** تأیید کنید. این‌کار موجب ایجاد یک لایه محافظتی اضافی خواهد شد. 

برای اطلاعات بیشتر درباره چگونگی دسترسی به شبکه از طریق *** و ایجاد DMZ بی‌سیم با استفاده از فایروال ISA Server مایکروسافت، به آدرس زیر مراجعه کنید (برای دستیابی به این آدرس به یک حق عضویت Tech ProGuil نیاز خواهید داشت):

یک WAP نمونه با استاندارد 802.11b امواج را تا مسافت نود متر ارسال می‌کند. این میزان با استفاده از آنتن‌های حساس‌تر قابل افزایش است. با اتصال یک آنتن external پرقدرت به WAP خود، خواهید توانست برد شبکه خود را گسترش دهید، اما این‌کار می‌تواند دسترسی افراد خارج از ساختمان را نیز به داخل شبکه امکان‌پذیر سازد. 

یک آنتن جهت‌دار به‌جای انتشار امواج در میدانی دایره‌ای شکل آنان را تنها در یک راستا منتشر می‌سازد. به‌این ترتیب، شما می‌توانید با انتخاب یک آنتن مناسب، هم برد و هم جهت ارسال امواج را کنترل کرده و در نهایت از شبکه خود در برابر بیگانگان محافظت کنید. علاوه بر این، برخی از WAPها به شما اجازه می‌دهند تا قدرت سیگنال و جهت ارسال آن را از طریق تنظیم‌های دستگاه تغییر دهید.

یک راه برای پنهان ماندن از دید هکری که بیشتر از فناوری رایج 802.11b/g استفاده می‌کند، این است که تجهیزات 802.11a را به‌کار بگیرید. از آنجا که این استاندارد از فرکانس متفاوتی (5 گیگاهرتز به‌جای 2/4گیگاهرتز استاندارد b/g) استفاده می‌کند، کارت‌های شبکه‌ای که بیشتر برای فناوری‌های شبکه‌ای معمول ساخته شده‌اند نمی‌توانند این امواج را دریافت کنند. 

به این تکنیک Security Through Obscurity یا «امنیت در تاریکی» گفته می‌شود، اما این کار زمانی مؤثر است که در کنار دیگر روش‌های امنیتی به‌کار گرفته شود. در نهایت این‌که Security Through Obscurity دقیقاً همان چیزی است که وقتی به دیگران توصیه می‌کنیم نگذارند بیگانگان از اطلاعات خصوصی آن‌ها مانند شماره تأمین اجتماعی یا دیگر اطلاعات فردی مطلع شوند، به آن اشاره می‌کنیم. 

یکی از دلایلی که استاندارد 802.11b/g را محبوب‌تر از 802.11a می‌سازد این است که برد فرکانس آن بیشتر از a و تقریباً دو برابر آن است. 802.11a همچنین در عبور از موانع و دیوارها با قدری مشکل رو‌به‌رو است. از نقطه نظر امنیتی، این «نقص» به‌نوعی «مزیت» به‌حساب می‌آید، زیرا به‌کارگیری این استاندارد باعث می‌شود تا نفوذ سیگنال به بیرون کاهش یابد و کار نفوذگران را حتی در صورت استفاده از تجهیزات سازگار با مشکل مواجه کند.