امنیت شبکه محلی بیسیم

امنیت شبکه محلی بیسیم – ایران ترجمه – Irantarjomeh

مقالات ترجمه شده آماده گروه کامپیوتر

مقالات ترجمه شده آماده کل گروه های دانشگاهی

مقالات

چگونگی سفارش مقاله

الف – پرداخت وجه بحساب وب سایت ایران ترجمه(شماره حساب)ب- اطلاع جزئیات به ایمیل irantarjomeh@gmail.comشامل: مبلغ پرداختی – شماره فیش / ارجاع و تاریخ پرداخت – مقاله مورد نظر --مقالات آماده سفارش داده شده پس از تایید به ایمیل شما ارسال خواهند شد.

امنیت شبکه محلی بی سیم

مقدمه

با وجود تکنولوژی های متنوع شبکه بی سیم که به بازار تجارت عمومی رسیده‌اند یا به زودی خواهند رسید، شبکه های محلی بی سیم مبنی بر استاندارد ۸۰۲٫۱۱ به احتمال زیاد به طور گسترده در محیط های شرکتی‌ رایج می شوند. محصولات a802.11 فعلی در GHz2.4 عمل می کنند و بیش از Mbps11 از پهنای باند- قابل مقایسه با یک شبکه محلی سیمی اترنت (Ethernet) استاندارد از نظر اجرا- را انتقال می دهد. نسخه آتی به نام a802.11 با فرکانس بالاتر کار نموده و در نتیجه سرعت بسیار بالاتری خواهد داشت. همچنین انتظار می رود که ویژگی های امنیتی آن نیز مشابه با b802.11  باشد.

هزینه پایین به همراه اجرای قدرتمند  و گسترش آسان، بدان معنی است که بسیاری از ادارات و افراد در خانه یا محل کار از a802.11 استفاده می کنند، حتی اگر کارمندان IT و مدیران امنیتی تاکنون شبکه های محلی بی سیم را به عنوان تکنولوژی موفق نشناخته باشند. این مقاله به بررسی ویژگی های امنیتی افزایش یافته توسط هر دو تکنولوژی شبکه ۸۰۲٫۱۱ فعلی و آتی می پردازد.

امنیت شبکه محلی بیسیم

درایورهای تجاری شبکه محلی بی سیم

بی شک، شبکه های بی سیم ویژگی بسیار عجیبی دارند.این شبکه ها اتصال دائم به شبکه را فراهم می کنند بدون اینکه به کابل شبکه نیاز داشته باشند.کارمندان اداری می توانند در حین اتصال دائم به منابع شبکه یکسان از طریق سیم و بوسیله همکاران پشت میز، در یک ساختمان از جلسه ای به جلسه دیگر بروند. کارمندانی که در منزل به سر می برند یا از محل کار دورند می توانند بدون نگرانی از چگونگی سیم کشی در خانه هایی که هرگز در طرح پشتیبانی زیربنای شبکه هم نبودند، ازشبکه استفاده کنند.

شبکه های محلی بی سیم  در حقیقت ممکن است جهت پشتیبانی از شبکه های سنتی برای کارمندانی که نیاز به اتصال به منابع سازمانی در چندین مکان از اداره را دارند، هزینه کمتری را نیاز داشته باشد. زنجیره هتل های بزرگ، شرکت های هواپیمایی، مراکز تفریحی، کافی نت ها و غیره  شبکه های محلی بی سیم را فرصتی برای سود دهی بیشتر از طریق فراهم کردن امکان اتصال به اینترنت برای مشتریان خود می‌دانند. شبکه های محلی بی سیم نسبت به شبکه های سیمی برای این  سازمان ها از نظر مالی و فراهم سازی امکانات، قابل قبول تر می باشند. به طور مثال، یک شرکت هواپیمایی می‌تواند برای مسافران در سالن های پر رفت و آمد – یا هر جای دیگر فرودگاه، دسترسی به شبکه های بی سیم را در قبال پرداخت هزینه آن فراهم کند.

بلوغ بازار و پیشرفت های تکنولوژی هزینه را کاهش داده و گسترش به کارگیری شبکه های محلی بی سیم را سرعت می بخشد. پرداخت مصرف کننده نهایی،اندازه هزینه اولیه،از حدود ۲۵۰$ در سال ۲۰۰۱ به حدود ۱۸۰$ در سال ۲۰۰۴ کاهش یافت (گروه گارتنر). تا سال ۲۰۰۵، ۵۰% از ۱۰۰۰ شرکت موفق به طور وسیع ،تکنولوژی شبکه محلی بی سیم بر مبنای استاندارد های ۸۰۲٫۱۱ موجود،را گسترش خواهند داد(احتمال۰٫۷). تا سال ۲۰۱۰، اکثریت ۲۰۰۰ شرکت موفق، از شبکه های محلی بی سیم استفاده می کنند تا تکنولوژی شبکه های محلی سیمی  و استاندارد را پشتیبانی کنند (احتمال ۰٫۶).

امنیت شبکه محلی بیسیم

بررسی حقیقی

پیش بینی می شود که در آینده تکنولوژی بی سیم، اتصال سیمی را در محیط های سرمایه گذاری کامل کند. حتی ساختمان های جدید هم به یکپارچه‌سازی شبکه های محلی سیمی ادامه می دهند. علت اصلی این مهم آن است که ایجاد شبکه بوسیله سیم همچنان  ارزان تر از روش بی سیم خواهد  بود. علاوه بر آن، شبکه های سیمی پهنای باند بیشتری در اختیار می گذارند تا برنامه های کاربردی آینده بتوانند بیش از توانایی های سیستم های بی سیم امروزی از توانایی این سیستمها استفاده نمایند.

اگرچه بهینه سازی یک ساختمان برای شبکه های سیمی  بیش از ۱۰ برابر هزینه در بر خواهد داشت، با این وجود سیم کشی تنها بخش کوچکی از هزینه سرمایه کلی برای یک شبکه سرمایه گذاری(شبکه اقتصادی) خواهد بود. به همین دلیل، بسیاری از شرکت ها تنها در حال آزمایش تکنولوژی بی سیم هستند. این پذیرش محدود در سطح شرکت بیانگر نقاط دسترسی بسیار کم و تعداد محدودی از کاربران در محیط های واقعی محصولات جهانی، یا در حد آزمایشگاهی، می‌باشد. در نتیجه، واحد ها و افراد تجاری نقاط دسترسی بی سیم را به طور شخصی (با هزینه خود) گسترش می دهند. این شبکه‌های غیر مجاز تقریبا توجه کافی به امنیت اطلاعات را نداشته و موجب نگرانی جدی برای حفظ سرمایه های تجارت آنلاین می شوند.

نهایتا” ،استاندارد b802.11 فرکانس های غیر مجاز را با دیگر دستگاه ها نظیر شبکه های شخصی بی سیم بلوتوث (PANs) ،تلفن های بی سیم و دستگاه های کنترل کودکان به اشتراک می گذارد. این تکنولوژی ها ممکن است با یکدیگر تداخل داشته باشند.b802.11 همچنین نمی تواند سیر کردن(حرکت از یک سلول به سلول دیگر) را ترسیم کند.     طرح های آینده ۸۰۲٫۱۱ این کمبود ها را جبران می کند، اما هیچکدام از این محصولات  در افق نزدیک عملی نمی‌شوند.

امنیت بی سیم در شرکتهای تجاری

هزینه کم ورود b802.11 موجب جذابیت زیاد آن شده است. با این وجود، تجهیزات ارزان همچنین موجب شده تا مهاجمان در فکر حمله باشند. نقاط دسترسی”تقلبی” و غیر مجاز و شبکه های با امنیت پایین، احتمال تجاوز و خدشه دار نمودن امنیت را افزایش می‌دهند.

شکل زیر یک شبکه اینترانت یا داخلی را نشان می دهد که به درستی شکل یافته تا ترافیک بی سیم (عبور و مرور بی سیم) را کنترل کند. این شکل شامل دو دیوار آتش(firewall) در مکان مناسب، به اضافه تشخیص مزاحمت و حس کننده پاسخ برای هدایت ترافیک در قسمت(سگمنت) بی سیم می باشد.یک دیوار آتش دسترسی به / از اینترنت را کنترل می کند. دیگری دسترسی به/ از نقطه دستیابی بی سیم را کنترل می‌نماید. نقطه دسترسی خود واسطه‌ای است که کاربران موبایل را به شبکه داخلی متصل می‌کند. نقطه دستیابی دارای آدرس IP اختصاصی برای مدیریت از راه دور از طریق SNMP پروتکل‌ مدیریت شبکهTCP/IP می باشد. خود کاربران بی سیم- لپ تاپ ها یا دسک تاپ ها و دستگاه های دستی- نیز ممکن است برای مدیریت از راه دور از نماینده های SNMP استفاده کنند. در نتیجه، هر یک از این دستگاه ها حسگرهایی دارند که تضمین می کند که هر واحد به درستی قرار گرفته و این ترکیب بندی به طور نادرست دستکاری و تعویض نشده است. شبکه خود نیز بصورت متوالی کنترل می شود تا نقاط دسترسی عملی را مشخص شده و تعیین گردد که آیا آنها معتبر و مجاز هستند و به درستی قرار گرفته اند یا خیر.

خطرات شناخته شده

باوجود آنکه حملات بر علیه b802.11 و دیگر تکنولوژی های بی سیم، بدون شک در طول زمان هم از نظر تعداد و هم از نظر پختگی و تجربه افزایش خواهد یافت، اکثر خطرات b802.11 را می‌توان به ۷ دسته اصلی تقسیم نمود:

• حملات الحاقی

• تداخل و کنترل غیر مجاز ترافیک بی سیم

• پارازیت یا اختلال

• حملات کاربر به کاربر

• حملات بیرحمانه بر علیه پسورد های یا کلمات رمز نقطه دسترسی

• حملات رمز‌گذاری شده

• پیکر بندی نادرست

توجه داشته باشید که این دسته بندیها تنها مختص b802.11 نیست و به برای تمام تکنولوژی های بی سیم قابل استفاده است. شناخت چگونگی کار آنها و استفاده از این اطلاعات برای جلوگیری از موفقیت آنها سرآغاز خوبی برای کلیه راه حلهای بی سیم است.

امنیت شبکه محلی بیسیم

حملات الحاقی

حملات الحاقی مبنی بر استقرار دستگاه های غیر مجاز یا ایجاد شبکه های بی سیم جدید، بدون امتحان فرآیند امنیتی یا بررسی مجدد موارد مربوطه، می باشد.

• کاربران غیر مجاز– یک مهاجم سعی می کند به مشتری(سرویس گیرنده) بی سیم متصل شده، معمولا یک لپ تاپ یا PDA، و بطور غیر مجاز به نقطه دسترسی برسد. نقاط‌ دسترسی می توانند به گونه ای ایجاد شوند که برای دستیابی مشتری نیاز به یک پسورد داشته باشند. اگر پسوردی وجود نداشته باشد، مهاجم می تواند به راحتی با توانایی اتصال یک مشتری بی سیم به سادگی به شبکه داخلی متصل شود. اما توجه داشته باشید که برخی از نقاط دسترسی برای تمام مشتریان از یک پسورد استفاده می کنند، بنابراین نیاز است تا تمام مشتریان هر زمان که پسورد باید تغییر کند، از آن اطلاع داشته باشند.

• نقاط دسترسی غیر مجاز – ممکن است سازمانی آگاهی نداشته باشد که کارمندانش از امکانات بی سیم در شبکه خود استفاده می کنند. این نا آگاهی می‌تواند منجر به حمله‌ای که در بخش قبل توصیف شد شود و مشتریان غیر مجاز از طریق یک نقطه دستیابی گمراه‌کننده به منابع شرکتی‌ دست یابند. سازمان ها باید امنیتی را برقرار کنند که قرار گیری امن نقاط دسترسی را تضمین کرده و علاوه بر آن، فرآیند مداومی ایجاد کنند که در آن شبکه برای حضور دستگاه های غیر مجاز مورد بررسی قرار گیرد.

تداخل و کنترل ترافیک بی سیم

همانند شبکه های سیمی، مداخله و کنترل ترافیک شبکه از طریق شبکه محلی بی سیم هم امکان پذیر است. یک مهاجم می‌بایست در محدوده یک نقطه دسترسی (تقریبا ۳۰۰ فوت برای b802.11) قرارداشته باشد، در حالیکه در شبکه های سیمی مهاجم می تواند هر جاییکه که اتصال شبکه برقرار است قرار گرفته باشد. امتیاز مثبت در تداخل شبکه بی‌سیم آن است که یک حمله کننده سیمی نیازمند آن است تا عوامل کنترلی خود را بر روی سیستم در معرض خطر قرار دهد. تمام آنچه که یک مهاجم باید انجام دهد در حقیقت همان دسترسی به جریان داده های شبکه است.

پارازیت

انکار حملات یا عدم شناخت بموقع آنها نیز به آسانی برای شبکه های بی سیم میسر می‌باشد و بر این اساس ترافیک قانونی نمی تواند به کاربران یا نقطه دسترسی برسد، چرا که ترافیک غیر مجاز ظرفیت فرکانسی را لبریز می‌نماید. یک مهاجم با تجهیزات و ابزارمناسب به آسانی می تواند فرکانس GHz2.4 را لبریز نموده و سیگنال را خراب کند و نهایتا موجب شود تا شبکه بی سیم از عملکرد عادی خود باز ماند. علاوه بر آن، تلفن های بی سیم، دستگاه های کنترل و نگهداری کوچکتر و دیگر دستگاه هایی که بر روی باند  GHz2.4 عمل می کنند، با استفاده از این فرکانس می توانند یک شبکه بی سیم را مختل نمایند. این حمله ممکن است از ناحیه کاری بیرونی تحت سرویس نقطه دسترسی شروع شود، و یا نا خواسته از دستگاه های b802.11، نصب شده در نواحی کاری دیگر، منبعث شده و  در نتیجه عملکرد سیگنال را کاهش دهد.

امنیت شبکه محلی بیسیم

حمله های کاربر  به  کاربر

دو کاربر بی سیم می توانند با پشت سر گذاشتن نقطه دسترسی، به طور مستقیم با هم صحبت کنند. در نتیجه استفاده کننده گان باید نه تنها در برابر یک تهدید خارجی، بلکه در برابر تهدیدات دیگر کاربران نیز می‌بایست از مشتریان دفاع کنند.

• حمله های مرتبط با به اشتراک گذاری فایل و دیگر سرویس های TCP/IP–کاربران بی سیم که در حال کار با سرویسهای TCP/IP نظیر وب سرور یا به اشتراک گذاری فایلها می‌باشند نظیر هر کاربری دیگری در شبکه سیمی، در معرض سوء استفاده می‌باشند.

• DOS (رد دسترسی به سرویس)- یک دستگاه بی سیم با استفاده از بسته های تقلبی و ایجاد یک حمله مخرب دیگر کاربران بی سیم را مورد حمله قرار می‌دهد. علاوه بر آن، تکثیر IP ر یا آدرس های MAC ،چه قصدی و چه تصادفی، موجب مختل نمودن شبکه می شوند.

 حملات بیرحمانه بر علیه پسورد های نقطه دسترسی

اکثر نقاط دسترسی از یک کلید یا پسوردی منحصربفرد استفاده می کنند که برای تمام مشتریان بی سیم متصل به شبکه به اشتراک گذاشته می شود. حملات شدید و بیرحمانه‌ای در این خصوص صورت می‌پذیرند که سعی دارند با تست متدولوژیکی تمام پسورد های ممکن کلید رمز دسترسی را کشف نمایند. زمانی که پسورد حدس زده شد، مهاجم به نقطه دسترسی دست پیدا می کند.

حملات بر علیه رمز گذاری

استاندارد b802.11 از یک سیستم رمز گذاری به نام WEP (یک سیستم الگوریتم رمزگذاری) استفاده می کند. WEP نقاط ضعیف را مورد شناسایی قرار می‌دهد.  (برای اطلاعات بیشتر http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html   مراجعه کنید). البته این موضوعات تا قبل از ۲۰۰۲ مورد توجه قرار نخواهد گرفت. ابزار زیادی برای بهره برداری از این موضوع در حال حاضر موجود نیستند، اما مهاجمان پیشرفته مطمئنا می توانند برای خودشان روالهایی را طراحی نمایند.

پیکر بندی نادرست

بسیاری از نقاط دسترسی به شکل نا امن ارسال می شوند، تا بر استفاده آسان و گسترش سریع تأکید شود. این نقاط دسترسی در خطر بالای حمله یا سوء استفاده قرار داشته، مگر اینکه مدیران خطرات امنیت بی سیم را بشناسند و هر واحد را پیش از گسترش شکل دهند. بخش بعدی سه نقطه دسترسی عمده را بررسی می‌کند، Cisco، Lucent و ۳Com. گر چه هر یک از فروشندگان موارد اجرایی خاص خود را برای b802.11 دارند، موضوعات پایه یا زیربنایی باید به طور گسترده برای محصولات دیگر فروشندگان نیز قابل اجرا باشند.

• ID تنظیم سرور – SetID– (SSID)– SSID روش شناسایی با قابلیت پیکربندی می‌باشد که به کاربران اجازه می دهد تا با یک نقطه دسترسی مناسب دسترسی داشته باشند. با پیکربندی مناسب، تنها کاربران بوسیله SSID رایج می‌توانند با نقاط دسترسی ارتباط  برقرار کنند. در حقیقت،SSID به عنوان تنها پسورد مشترک بین نقاط دسترسی و کاربران عمل می کند. نقاط دسترسی با SSID های پیش فرض مشخص می‌شوند. در صورتی که این مقادیر پیش‌فرض را تغییر ندهیم به راحتی کشف خواهند شد. در اینجا برخی از پسورد های رایج پیش فرض آورده شده‌اند:

…

نقاط دسترسی ۳Com، کنترل دسترسی به واسطه Web برای کنترل پیکربندی را ندارد. مهاجمی که محل واسطه Web نقطه دسترسی ۳Com را مشخص می کند، به راحتی می تواند SSID را از نمایش منوی “system properties”  بدست آورد. نقاط دسترسی ۳Com برای مزیت های نوشتاری به یک پسورد جهت واسطه Web نیاز دارند. این پسورد از نظر موارد نوشتاری همانند واژه انجمن می باشد، بنابراین نقاط دسترسی ۳Com اگر با استفاده از پسورد پیش فرض “comcomcom” گسترش یابند، در معرض خطر خواهند بود.

خطر امنیت سرویس گیرنده– مشتریان متصل به یک نقطه دسترسی، اطلاعات حساس را برای شناسایی و برقراری ارتباط با نقطه دسترسی ذخیره می کنند. اگر مشتری این اطلاعات را به درستی شکل ندهد، امکان دارد این اطلاعات آشکار شوند. نرم افزار مشتری Cisco، SSID را در رجیستری ویندوز ذخیره می‌کند و کلید WEP آن را در میان افزار که دسترسی به آن دشوارتر است ذخیره می‌سازد. نرم افزار مشتری Lucent/Cabletron ،SSID را در رجیستری ویندوز ذخیره می کند. کلید WEP در رجیستری ویندوز ذخیره می شود، اما با استفاده از یک الگوریتم مستندسازی نشده کد‌بندی می‌گردد. نرم افزار مشتری ۳Com،  SSIDرا در رجیستری ویندوز ذخیره می کند. کلید WEP بدن رمز گذاری در رجیستری ویندوز ذخیره می شود.

• نصب– به طور پیش فرض، هر سه نقطه دسترسی بهینه سازی شد‌ه‌اند تا به ساخت هر چه سریعتر و آسانتر یک شبکه مفید کمک کنند. در نتیجه، پیکربندی پیش فرض امنیتی را به حداقل می رسانند.

امنیت شبکه محلی بیسیم

مدیریت امنیت اطلاعات بی سیم

پردازش و تکنولوژی همواره به آسانی با هم اشتباه گرفته می شوند اما در مورد مدیریت امنیت اطلاعات بی سیم هرگز این اتفاق نمی افتد. در حقیقت، همان پردازشهای تجاری که فعالیت های مدیریت پر خطر را برای تجهیزات فیزیکی و شبکه های سیمی ایجاد می‌کنند، برای محافظت از منابع بی سیم هم استفاده می شوند. راهنماهای کم-هزینه، به سازمان ها کمک می‌کنند تا به عنوان بخشی از استراتژی کلی بی سیم – که با وجود تحول سریع ایجاد شبکه بی‌سیم همچنان کار می کنند-  محافظت های امنیتی مناسبی ایجاد کنند. موارد زیر مقدمه ای بر این ایده هستند.

سیاست امنیت بی سیم و طراحی معماری سیستم- سیاستهای‌ امنیتی، رویه‌ها و فعالیت‌های موثر باید ایجاد شبکه بی سیم را به عنوان بخشی از یک معماری سیستم مدیریت امنیتی سراسری خود مد نظر قرار دهند تا موارد مجاز و غیر مجاز تکنولوژی بیسیم  مورد شماسایی قرار گیرند.

رفتار با نقاط دسترسی به عنوان نقاط غیر قابل اعتماد- نقاط دسترسی باید دائما” شناسایی و ارزیابی شوند تا مشخص شود که آیا قبل ازاینکه مشتریان بی سیم بدانها، برای دسترسی به شبکه های داخلی، دست یابند، نیاز می‌باشد که مانند دستگاه های نا مطمئن قرنطینه شوند یا خیر. این شناسایی به معنی قرارگیری مناسب دیوار آتش، شبکه های خصوصی مجازی(VPN)، سیستم های تشخیص مزاحمت(IDS) و شناسایی بین نقاط دسترسی و اینترانت ها یا اینترنت می باشد.

سیاست پیکربندی نقطه دستیابی- مدیران باید برای هر نقطه دسترسی b802.11 ، قبل از گسترش یافتن تنظیمات امنیتی، استاندارد‌های مربوطه را تعیین کنند. این راهنماها باید SSID، کلید های WEP و رمزگذاری و واژه های انجمن SNMP را پوشش دهند.

کشف نقطه دسترسی- مدیران شبکه باید دائما” به صورت کلی شبکه سیمی را برای تعیین نقاط دسترسی ناشناخته جستجو کنند. چندین روش برای شناسایی دستگاه های b802.11 وجود دارد از جمله، اکتشاف از طریق رشته های بنر(بانر) بر نقاط دسترسی با web یا واسطه های شبکه راه دور.

 …

امنیت شبکه محلی بیسیم

راه حل های شبکه محلی بی سیم سیستم های امنیت اینترنت

محصولات و خدمات سیستم های امنیت اینترنت، یک راه حل مدیریت امنیتی قدرتمند برای شبکه های محلی بی سیم را ارائه می دهند. این پیشنهادات در حال گسترش شامل موارد زیر می باشند:

محصولات نرم افزاری امنیتی– محصولات امنیتی سیستم های امنیت اینترنت محیط های شبکه محلی بی سیم را در برابر خطرات امنیتی شناخته شده محافظت می کنند. محصول ارزیابی آسیب پذیری شبکه اسکنر اینترنت ISS، برای کشف نقاط دسترسی بی سیم غیر مجاز یا دارای پیکربندی ضعیف، مانند آنچه در شکل زیر نشان داده شده، به کاوش در شبکه ها می پردازد.

در مورد سیستم های امنیت اینترنت(ISS)

در سال ۱۹۹۴مشخص شد که سیستم های امنیت اینترنت (ISS)(Nasdaq:ISSX) یک راهنمای جهانی نرم افزار و خدمات می‌باشند که منابع بحرانی آنلاین را از حملات و سوءاستفاده ها حفظ می‌کنند. ISS در آتلانتا، GA به عنوان ستاد مرکزی قرار گرفته است عملیات زیادی را در این خصوص در ایالات متحده آمریکا، آسیا، استرالیا، اروپا، آمریکای لاتین و خاور میانه انجام می‌دهد.