دانلود مقاله امنیت در شبکه های بی سیم

محدوده عملکرد:
محدوده عملکرد (از لحاظ مسافت) در شبکه‌های بی‌سیم تحت استاندارد (802.11) بستگی به عوامل مختلفی از جمله نرخ انتقال داده مورد نیاز، محیط فیزیکی، اتصالات و آنتن مورد استفاده بستگی دارد.
مقدار تئوری ساخت قابل پشتیباین برای محیطهای بسته 29m و برای محیطهای باز 485m است (با نرخ انتقال 11Mbps).

در صورت استفاده از آنتنهای قوی این مسافت یعنی به چند مایل هم می‌رسد.

می‌توان در LANها از خاصیت bridging استفاده کرد که به معنی اتصال دو یا چند WLAN به یکدیگر به منظور تبادل اطلاعات بین آنها است.

در صورت استفاده از این خاصیت می‌توان مسافت تحت پوشش WLAN را افزایش داد.
مزایای WLANها:
1- امکان جابجایی کاربر: کاربری می‌تواند به فایلها و امکانات شبکه دسترسی داشته باشد بدون اینکه نیاز باشد به جایی به صورت فیزیکی متصل شود.

کاربر می‌تواند در محدوده WLAN حرکت کند بدون اینکه وقفه‌ای در ارتباطش پدید آمد.
2- نصب سریع: نصب WLANها به کابل‌کشی و کارهایی از این قبیل نیاز ندارد.

بنابراین در جاهاییکه نمی‌توان از کابل کشی استفاده کرد (مثل اماکن تاریخی) می‌توان از
WLAN استفاده کرد.
3- انعطاف پذیری: از آنجا که نصب WLAN به موقعیت ساختمان بستگی ندارد می‌توان WLAN را از مکانی به مکان دیگر انتقال داد بدون نیاز به کابل کشی و یا تغییر نوپولوژی
4- قابلیت تغییر اندازه و مقیاس: می‌توان نوپولوژی یک WLAN را از «دو به دو» به مقیاس وسیعی تغییر اندازه داد تا ناحیه بزرگتری را شامل شود.
بررسی امنیت در 802.11 WLAN
امنیت در WLAN‌ها از چند جنبه مختلف قابل بررسی است.

تحت استاندارد 802.11 در اینجا به عنوان مقدمه این مبحث نیازها و مسائل امنیتی یک WLAN و همچنین تهدیداتی که برای یک WLAN متصور است مورد بحث قرار می‌گیرند.

سپس جنبه‌های یاد شده بررسی می‌شود.
امنیت در WLAN:
در این بخش به امنیت در شبکه‌های WLAN تحت استاندارد 802.11 اشاره می‌شود.
در اینجا امنیت ذاتی و بالفطره 802.11 مورد بررسی قرار می‌گیرد تا نقاط ضعف آن آشکار شود.

در بخشهای بعدی به راهکارهای مناسبی اشاره خواهد شد که این نقاط
ضعف را می‌پوشانند و امنیت را در WLANهای تحت 802.11 ارتقاء‌ می‌دهد.
802.11 سرویسهای مختلفی را برای ایجاد یک محیط امن ارائه کرده است.

این بررسیها اغلب تحت پروتکلی بنام (Wireless eyiuralent privaly) WEP ارائه شده‌اند و از داده‌ها در لایه دینالینک در حین انتقال حفاظت می‌کنند.
WEP امنیت را به صورت انتها به انتهای (EndioEnd) پیاده سازی می‌کند بلکه سایتها امنیتی خود را تنها در بخش بی‌سیم شبکه اعمال می‌کند.

در بخشهای دیگر یک شبکه بی‌سیم تحت 802.11 یا سایت امنیتی اعمال نمی‌شود یا پروتکل دیگری عهده‌دار این وظیفه است.
جنبه‌هایی از امنیت که در استاندارد 802.11 برای WLAN‌ها لحاظ شده است:
اعتبارسنجی: هدف اولیه WEP ارائه سرویس بود که هویت clientها را شناسایی و تأیید کند.

به این ترتیب با رد کردن client‌هایی که بی اعتبار هستند می‌توان دسترسی به شبکه را کنترل کرد.
محرمانگی: حفظ محرمانگی هدف دوم WEP بود.

در واقع WEP طراحی شده بود تا به حدی از محرمانگی دست یابد که با یک شبکه باسیم برابری کند.

هدف جلوگیری از شنود اطلاعات بود.
جامعیت: هدف دیگر WEP جلوگیری از تغییر (دستکاری حذف ایجاد) پیام در حین انتقال از client به AP و یا بر عکس بود.
اعتبارسنجی:
TE3802.11 دو روش را برای اعتبارسنجی کاربر تعریف کرده است.
1- opewsys Authentication یا اعتبارسنجی سیستم باز
2- share key Authentication یا اعتبارسنجی کلید مشترک
روش اعتبارسنجی کلید مشترک بر خلاف روش «اعتبارسنجی سیستم باز» بر اساس اصول نهانسازی طراحی شده است و برای نهانسازی و رمزگذاری از الگوریتم Rlk استفاده می‌کند.
روش «اعتبارسنجی سیستم باز» در واقع اعتبارسنجی نمی‌باشد AP یک ایستگاه کاری متحرک را بدون شناسایی هویتش (و صرفاً با دریافت آدرس MAC درست از سوی آن می‌پذیرد.

از طرف دیگر این اعتبارسنجی یکسویه می‌باشد.

بدین معنی که AP به هیچ وجه اعتبارسنجی نمی‌شود.

ایستگاه کاری بی‌سیم باید بپذیرد که به یک AP واقعی متصل شده است.

با توجه به مشخصات ذکر شده روش «opensys Auth» دارای نقاط ضعف امنیتی بسیاری می‌باشد و در عمل از دسترسی‌های غیر مجاز استفاده می‌کند.
روش «اعتبارسنجی سیستم باز» در واقع اعتبارسنجی نمی‌باشد AP یک ایستگاه کاری متحرک را بدون شناسایی هویتش (و صرفاً با دریافت آدرس MAC درست از سوی آن می‌پذیرد.

با توجه به مشخصات ذکر شده روش «opensys Auth» دارای نقاط ضعف امنیتی بسیاری می‌باشد و در عمل از دسترسی‌های غیر مجاز استفاده می‌کند.

«در روش کلید مشترک» روشی بر اساس رمزنگاری می‌باشد و بر اساس اینکه client پاسخ سوال مطرح شده از سوی AP (کلید مشترک) را می‌داند باند عمل می‌کند.

client پاسخ سوال را رمزگذاری نموده به AP ارسال می‌کند.

هم AP و هم client از الگوریتم RC4 برای رمزگذاری استفاده می‌کنند.

در اینجا هم AP client را اعتبارسنجی نمی‌کند.

محرمانگی: برای حفظ محرمانگی در 802.11 از رمزگذاری استفاده می‌شود.

همچنین WEP از کلید متقارن RC4 برای این منظور استفاده می‌کند، این کلید تنها با داده X.OR می‌شود.

تکنیک WEP در لایه دیتالیتک عمل می‌کند.

کلید مورد استفاده در WEP حداکثر می‌تواند 40 بیت طول داشته باشد.

بعضی از عرضه کنندگان طول کلید WEP را در نسخه‌های غیر استاندارد خود تا 104 بیت گسترش داده‌اند (104 بیت طول کلید + 24 بیت طول بردار مقداردهی اولیه = کلید 128 بیتی RC4) افزایش طول کلید WEP عمل رمزگشایی را پیچیده و طولانی می‌کند اما آنرا غیر ممکن نمی‌سازد.

برنامه Airsnort که اخیراً انتشار یافته است می‌تواند با گوشدادن به 10 تا 100 ترافیک یک WLAN آنرا هک کند.

شکل زیر بیانگر روش WEP برای حفظ محرمانگی است.

جامعیت در 802.11 به منظور حفظ جامعیت پیام از الگوریتم ساده(cycleredundancy chek) CRX 32 استفاده می‌شود که پیامهای دستکاری شده (طی حملات فعال) را باطل می‌کند.

همانطور که در شکل قبل نشان داده شده است یک CRC-32 هر هر مرحله از ارسال محاسبه می‌شود سپس packet بدست آمده با استفاده از کلید RC4 نهانسازی می‌شود تا متن رمز شده بدست آید.

در سمت دیگر پیام رمزگشایی شده و CRC-32 دوباره محاسبه می‌شود.

CRC بدست آمده با CRC پیام اصلی که در سمت فرستنده بدست آمده مقایسه می‌شود که در صورت عدم برابری نشاندهنده دستکاری شدن پیام است.

در 802.11 روشی برای مدیریت کلید پیش بینی نشده است (برای تعیین مدت زمان مصرف کلید) بنابراین مسائلی مانند تولید، انتشار، ذخیره سازی، بارگذاری، بایگانی و ملغی کردن کلید به صورت لاینحل باقی مانده است که نقاط ضعفی را در WLAN ایجاد می‌کند.

برای مثال: 1- کلیدهای WEP که با هم ناسازگاری دارند.

2- کلیدهای WEP هرگز تغییر نمی‌کنند.

3- کلیدهای WEP به صورت تنظیم پیش فرض کارخانه رها می‌شوند.

4- کلیدهای WEP که از لحاظ امنیتی ضعیف هستند (همه ارقام صفر یا 1) این مشکلات در مورد WLAN ‌های بزرگ بیشتر چهره می‌نمایند.

جمع بندی مشکلات امنیتی IEEE 802.11 در این بخش به جمع‌بندی مشکلاتی در رابطه با امنیت در WLAN‌های تحت استاندارد 802.11 می‌پردازیم که ارائه راهکارهای برای حل آنها هدف این پروژه می‌باشد: نقاط ضعف WEP به طور کلی شامل موارد زیر است: 1- استفاده از کلید است.

اغلب کاربران در یک WLAN از یک کلید مشترک به مدت طولانی استفاده می‌کنند.

2- طول کم بردار اولیه بردار 24 بیتی IV در پیام به صورت واضح ارسال می‌شود (یعنی 24 بیت از کلید برای همه قابل دسترسی است) 3- بردار اولیه بخشی از کلید رمزگذاری RC4 می‌باشد.

از آنجا که 24 بیت از کلید قابل دستیابی است (بخش IV) از طرف دیگر مدیریت کلید RC4 ضعیف است با تجزیه و تحلیل مقدار کمی از ترافیک شبکه می‌توان کلید را کشف کرد.

4- عدم ارائه روش مناسب برای حفظ جامعیت پیام روش حفظ جامعیت پیام در WEP بر اساس رمزنگاری نمی‌باشد.

مشکلات عمده در شبکه‌های WLAN تحت 802.11 انواع حملاتی علیه WLAN حملات در شبکه‌های کامپیوتری به دو دسته passive (غیر انفعالی) و Active (انفعالی) تقسیم می‌شوند.

1) حملات passive (غیر انفعالی): به حمله‌ای که در آن فرد مهاجم به منبع اطلاعاتی و یا داده در حال عبور دسترسی پیدا می‌کند ولی در آن دخل و تصرف و یا تغییر ایجاد نمی‌کند (برای مثال جاسوسی) این نوع حمله خود شامل دو دسته حمله زیر است: - جاسوسی (exresdropping) فرد مهاجم به محتویات پیامهای در حال عبور گوش می‌دهد.

مثلاً به داده‌هایی که بین دو ایستگاه کاری رد و بدل می‌شوند گوش می‌دهد.

- آنالیز ترافیک (Traffic analysis) فرد مهاجم در روشی بسیاری مکارانه‌تر، با در نظر گرفتن عبور الگوهای داده‌ها اطلاعات مهم را کسب می‌کند.

2) حملات فعال (Active attack) حمله‌ای که در آن فرد مهاجم تغییراتی (مثل حذف، جایگزینی، اضافه و یا کسر) در پیام ایجاد می‌کند.

اینگونه حملات قابل تشخیصی هستند اما در بعضی شرایط ممکن است قابل پیشگیری نباشند.

اینگونه حملات شامل 4 دسته می‌باشد.

- Massguerding (نقش بازی کردن) فرد مهاجم خود را به جای یک فرد قانونی جا می‌زند و از امتیازات وی سوء استفاده می‌کند.

- Replay (تکرار) فرد مهاجم روال انتقال پیامها را زیر نظر می‌گیرد.

پس از کسب اطلاعات مورد نیاز مثل آدرس MAC و … خود مانند یک کاربر قانونی اقدام به ارسال اطلاعات می‌کند.

- دستکاری پیام Message Madification فرد مهاجم یک پیام واقعی را با ایجاد تغییراتی مثل حذف اضافه و یا کسر کردن محتویات دستکاری می‌کند.

- انکار سرویس (Denial of service) فرد مهاجم با روشهایی overload کردن کارآیی سیستم را پایین آورده و باعث می‌شود تا سرویس‌های شبکه به کاربران قانونی نرسد یا به طور ناقص وضعیت برسد.

حملات یاد شده در بالا به یکی از نتایج ناگوار زیر منتهی می‌شوند.

1) فقدان محرمانگی: محرمانگی اصلی نوین هدف شرکتها در مبحث امنیت می‌باشد.

علی الخصوص در WLANها این فاکتور بیشتر مورد توجه قرار می‌گیرد (به خاطر محیط فیزیکی رسانه که هوا می‌باشد خاصیت این نوع از LANها که اطلاعات را در واقع انتشار می‌دهند.) با توجه به عرضه برنامه‌هایی چون Aixsnort و WEPcrack ، WEP دیگر قادر به ارائه و حفظ محرمانگی لازم برای یک WLAN نیست.

Airsnort برای کشف کلید رمزنگاری نیاز دارد تا به حداکثر 100MB داده عبوری شبکه گوئی کند.

Airsnort نیاز به سخت افزار و نرم افزار پیچیده‌ای ندارد و به راحتی بر روی کامپیوتر که دارای سیستم عامل لینوکسی و کارت شبکه است اجرای شود.

جمع آوری و گوش دادن به 100MB ترافیک در یک شبکه با ترافیک بالا سه یا 4 ساعت طول می‌کشد در صورت سبک بودن ترافیک شبکه این زمان ممکن است به 10 ساعت افزایش یابد.

بعنوان مثال در یک AP که با سرعت 11Mbps در حال ارسال اطلاعات است.

از بردار اولیه 24 بیتی استفاده می‌کند.

پس از 10 ساعت مقدار بردار اولیه تکرار خواهد شد.

بنابراین فرد مهاجم می‌تواند پس از گذشت 10 ساعت دو را رمزگشایی کند.

در نتیجه هم جامعیت و هم محرمانگی در شبکه به خطر می‌افتد.

فقدان جامعیت: فقدان جامعیت از عدم استفاده درست از الگوریتهای رمزنگاری ناشی می‌شود.

در نبود جامعیت یک فرد مهاجم می‌تواند محتویات یک cnail مهم را تغییر دهد و به شرکت زیان جبران ناپذیری را وارد کند.

از آنجا که استاندارد 802.11 اولیه قادر به فراهم کردن جامعیت لازم نیست.

حملاتی انفعالی از این دست قابل انجام هستند.

و همانطور که قبلاً اشاره شد مکانیسم موجود در WEP برای تأمین جامعیت عبارت است یک کد CRC ساده که ضعیف و نفوذپذیر است.

فقدان سرویس شبکه فقدان سرویس شبکه در اثر حملات DOS روی می‌دهد.

از جمله این جملات می‌توان به ارسال سیگنالهای مزاحم از سوی فرد مهاجم اشاره کرد که در آن فرد مهاجم عمداً سیگنالهای مشابه سیگنالهای شبکه و در طیف گسترده ارسال می‌کند تا ابزارهای شبکه دچار سردرگمی شوند.

این نوع از حملات می‌توانند به طور غیر عمد، مثلاً توسط یک اجاق مایکرویود رخ دهند.

و یا حتی یک کاربر قانونی نیز ممکن است با دریافت فایلهای با حجم بالا باعث شود تا دیگر کاربران از دستیابی به امکانات شبکه محروم شوند.

یک شبکه WLAN باید علاوه بر اینکه قادر به شناسایی حملات DOS و دفع آنها باشد، بتواند سرویسهای شبکه را به طور عادلانه تخصیص دهد.

راهکارهای برای تأمین امنیت در WLANها همانطور که قبلاً اشاره شد یک WLAN از جهات مختلف و به شیوه‌های گوناگونی ممکن است مورد حمله قرار گیرد.

الف- از سمت AP ب- از سمت اینترنت در اینجا راهکارهای برای کشف و دفع تهدیدات علیه یک WLAN ارائه می‌شوند برای مثال به جهت رفع تهدیداتی که از سمت AP شبکه را تهدید می‌کنند روشهایی مثل «تغییر تنظیمات» ، «اعتبارسنجی» و «نهانسازی» ارائه می‌شوند و برای تهدیداتی که از سمت اینترنت مطرح می‌شوند راهکارهای مثل «دیواره آتشین» و «شبکه‌های مجازی» ارائه می‌شوند.

راهکارهایی که در ابتدای این بخش ارائه می‌شوند به طور صددرصد امنیت شبکه را تأمین نمی‌نمایند اما اصولی هستند که لحاظ کردن آنها باعث ارتقای امنیت شبکه می‌شود.

اما راهکارهایی که در ادامه خواهند آمد مانند 802.1x و AES و VPN و fire well آخرین متدها و موفق ترین متدها در نوع خود برای برقراری امنیت می‌باشند.

برای مثال AES روشی است که به تازگی توسط دکتر Brain Glodman طراحی و پیاده سازی شده و تاکنون روشی برای حک کردن آن شناخته نشده است.

در انتهای این بخش نکاتی برای ارتقای امنیت در سیستم عامل لینوکسی ارائه می‌شود.

راهکارهایی برای ارتقای امنیت در WLANهای تحت استاندارد 802.11 الف- راهکارهای مدیریتی راهکار مدیریتی با یک سایت جامع امنیتی آغاز می‌شود.

در واقع سایت امنیتی اتخاذ شده است که نوع پیاده سازی راهکارهای بعدی (راهکارهای عملیاتی و فنی) را مشخص می‌کند.

یک سایت امنیتی جامع باید بیانگر موارد زیر باشد: - مشخص کند چه کسانی قصد دارند از تکنولوژی WLAN بهره برند.

- تعیین کنید که آیا نیاز به دسترسی به اینترنت هست یا نه.

- فردی را که قادر است AP و سایر تجهیزات بی‌سیم را نصب می‌کند مشخص کند.

- محدودیتهایی را برای مکان شبکه و در اطراف AP تعیین کند (محدودیت فیزیکی) - نوع اطلاعاتی را که قرار است در WLAN جریان داشته باشند را تعیین کند.

- تنظیمات استاندارد را برای AP تعریف کند.

- محدوده‌ای را برای استفاده از WLAN تعریف کند.

- تنظیمات سخت افزاری و نرم افزاری را برای ابزارهای بی‌سیم تعریف کند.

- راهکارهایی را برای مواقعی که ابزارهای بی‌سیم ربوده می‌شوند یا از کار می‌افتند ارائه دهد.

- راهکارهایی را برای جلوگیری از ربوده شدن ابزارها از کاربران ارائه کند.

- راهنمایی‌هایی را برای استاده از رمزنگاری و مدیریت کلید ارائه کند.

- فرکانس وم یدان برد را تعریف کند.

مؤسساتی که قصد استفاده از فن آوری بی‌سیم را دارند باید از آزمونی کامل پرسنل پستهای مهم مطمئن شوند، ناظر شبکه بی‌سیم باید از خطراتی که اینگونه شبکه‌ها را تهدید می‌کند آگاه باشد و از کامل بودن سایت امنیتی شبکه اطمینان حاصل کند و روش مقابله با حملات را بداند.

راهکارهای راهبردی (عملیاتی) امنیت فیزیکی اساسی ترین مرحله برای جلوگیری از دسترسی کاربران غیر مجاز به تجهیزات کامپیوتری شبکه است.

امنیت فیزیکی ترکیبی از ابزارهایی مانند کنترل دسترسی، شناسایی فردی و محافظت از حریم شبکه می‌باشد.

از روشهایی مانند شناسایی اثر انگشت، صدا، امضا می‌توان برای محافظت از حریم استفاده کرد.

ابزارهایی جهت اندازه گیری و امن کردن محدوده نخست پوشش AP موجودات این ابزارها قدرت سیگنال AP را در مناطق مختلف اندازه‌گیری می‌کنند و کمک می‌کنند تا برد یک AP روی نقشه مشخص شود و بتوان در حریم مشخص شده محافظت را اعمال کرد.

در برخی از AP عرضه شده قابلیت تغییر سطح قدرت وجود دارد و می‌توان برد AP را به وسیله این قابلیت تغییر داد.

هر چند ارزیابی حریم تحت پوشش AP نتایج سودمندی را در پی دارد (مانند حفاظت فیزیکی از حریم، جلوگیری از نصب آتش در حریم) ولی نباید به آن اکتفا کرد چرا که ممکن است فرد جاسوس از یک آتش قوی در خارج از حریم برای گوش دادن به ترافیک استفاده کند.

راهکارهای فنی راهکارهای فنی خود به دو دسته نرم افزاری و سخت افزاری تقسیم می‌شوند.

راهکارهایی مانند: تنظیمات درست AP، ارتقاء و افزودن نرم افزارها، اعتبارسنجی سیستم تشخیصی نفوذ IDS و نهانسازی (رمزگذاری) در دسته راهکارهای نرم افزاری قرار می‌گیرند.

راهکارهایی مانند: smart cardها، VPN ، ساختار کلید عمومی و بیومتریک.

(a راهکارهای نرم افزاری (a-1 پیکربندی AP ناظران شبکه باید به منظور برقراری امنیت لازم، نکاتی را در پیکربندی AP رعایت کنند.

از جمله این نکات می‌توان به مواردی چون، تنظیم رمز عبور تنظیمات نهانسازی، تابع reset، اتصال شبکه خودکار، لیست کنترل دسترسی MAC، کلید مشترک و پروتکل مدیریت شبکه ساده (SNMP) اشاره کرد.

این نکات می‌توانند برطرف کننده بسیاری از نقاط ضعف نهفته در نرم افزارهای ارائه شده توسط تولیدکنندگان باشند.

استفاده از تنظیمات پیش فرض ارائه شده توسط تولیدکننده یک رخنه مهم در شبکه پدید می‌آورد.

(a-1-1 تغییر رمزهای عبور پیش فرض ابزارهای WLAN دارای رمزهای عبور پیش فرضی هستند از آنجا که یافتن این رمزهای عبور کار سختی نمی‌باشد تغییر ندادن آنها باعث بروز ناامنی می‌شود.

(رمزهای مانند AdmiAdmin، خالی، تمام 1و تمام صفر).

مهمترین رمز عبور در هر شبکه رمز عبوری است که به ناظر اینکه اختصاص داده می‌شود.

در صورت نیاز به سطح بالای امنیت باید مولد خودکار رمز عبور را مدنظر داشت.

یک جایگزین برای اعتبارسنجی بر اساس رمز عبور، اعتبارسنجی «دو – عامل» می‌باشد که به دو فرم است.

یک فرم از الگوریتم کلید متقارن به منظور تولید کد جدید در هر دقیقه استفاده می‌کند.

این کد یکبار مصرف در کنار شماره شناسایی فردی کاربر برای اعتبارسنجی بکار می‌رود.

فرم دیگر از شماره شناسایی فردی کاربر در کنار «کارت هوشمند» (smart card) برای اعتبارسنجی استفاده می‌کند.

این مدل نیازمند سخت افزاری برای خواندن کارت هوشمند و ضروری برای تطابق شماره شناسایی فردی است.

(a-1-2 برقراری سیستم نهانسازی تمامی روشهایی که تاکنون برای برقراری امنیت بیان شده و یا بیان خواهند شد.

بدون استفاده از الگوریتم نهانسازی مناسب کارایی نخواهند داشت.

در بخشی جداگانه به مبحث نهانسازی پرداخت خواهد شد.

(a-1-3 کنترل تابع reset تابع reset را باید بدقت کنترل کرد چرا که این تابع می‌خواند تمامی تنظیماتی را که توسط ناظر برقرار شده‌اند را خنثی کند و به حالت تنظیم اولیه کارخانه باز گرداند.

و یا حتی نهانسازی را غیر فعال کند.

هر چند که اغلب باید به صورت فیزیکی reset را اعمال کرد با این وجود فرد مهاجم هم ممکن است دسترسی فیزیکی به وسایل پیدا کند.

(a-1-4 استفاده از قابلیت MAC ACL آدرس MAC آدرس سخت افزاری‌ای است که به صورت منحصر به فرد به کامپیوترها (ابزارها) متصل به شبکه تخصیص داده می‌شود.

از آدرسهای MAC به منظور منظم کردن ارتباط بین دو کارت اتصال شبکه (NIC) که از دو نوع مختلف می‌باشند ولی در یک زیر شبکه قرار دارند استفاده می‌شود.

MAC ACL با استفاده از لیستی از آدرسهای MAC دسترسی به یک کامپیوتر را آزاد یا محدود می‌سازند.

باید توجه داشت که این روش به تنهایی قادر به برقراری امنیت نیست، چرا که آدرسهای MAC بدون هیچ تغییری بین AP و client رد و بدل می‌شود.

از طرف دیگر ظرفیت لیست دسترسی در برخی محصولات کم است و این روشی برای شبکه‌های بزرگ جوابگو نمی‌باشد.

(a-1-5 تغییر (Service set identifier) SSID مقدار اولیه‌ای که برای SSID در کارخانه تنظیم شده را باید تغییر داد تا از دستیابی به شبکه توسط آن جلوگیری شود.

(a-1-6 افزایش فواصل زمانی انتشار Beacon استاندارد 802.11 به منظور اعلام موجودیت یک شبکه بی‌سیم نحوه انتشار فریم Beacom را تعریف کرده است.

این فریمها در فواصل زمانی مشخصی به منظور آگاه کردن clientها از وجود شبکه و همگام سازی خود با آن ارسال می‌شوند.

افزایش فواصل زمانی انتشار این فریم باعث می‌شود تا فرد مهاجم نتواند از روش غیر انفعالی برای بدست آوردن اطلاعات استفاده کند چرا که SSID متناوباً ارسال می‌شود.

فرد مهاجم مجبور است از روش جستجوی انفعالی استفاده کند.

(a-1-7 غیر فعال کردن انتشار گستره SSID SSID شناسه‌ای است که گاهی اوقات آنرا مترادف «نام شبکه» می‌نامند و از رشته‌ای از کاراکترهای ASCII تشکیل شده است.

این شناسه به هر شبکه (service set) نسبت داده می‌شود.

client‌هایی که قصد دارند به شبکه متصل شوند محیط پیرامون خود را به منظور کشف شبکه‌های موجود جستجو می‌کند و با فراهم شدن SSID مناسب به شبکه متصل می‌شود.

SSID رشته‌ای از کاراکترهای ASCII منتهی به کاراکتر Null است و طول آن می‌تواند از صفر تا 32 بایت باشد.

به حالتی که طول SSID معادل صفر بایت باشد حالت انتشار (Broadcast) گفته می‌شود.

یک client می‌تواند تمام شبکه‌های بی‌سیم موجود در ناحیه را با ارسال پیام درخواست فراگیر (درخواست SSID با طول صفر) شناسایی کند.

درخواست SSID فراگیر باعث می‌شود تا تمام شبکه‌های موجود که در ناحیه وجود دارند به آن پاسخ دهند.

غیر فعال نمودن پاسخ به درخواست SSID فراگیر در AP client را مجبور می‌کند که به صورت انفعالی شبکه‌ها را جستجو کند.

(a-1-8 تغییر کلیدهای اولیه رمزنگاری و نهانسازی برنامه‌های رمزنگاری که در APها قرار داده می‌شوند دارای کلید پیش فرض می‌باشند که آگاهی از آن کار ساده‌ایست.

بنابراین مقادیر کلیدی که در کارخانه برای رمزنگار تنظیم شده است را باید تغییر داد.

(a-1-9 استفاده از SNMP بعضی از AP‌ها از SNMP استفاده می‌کنند که به نرم افزارهای مدیریتی قابلیت نظارت بر وضعیت client‌ها Apها در شبکه بی‌سیم را می‌دهد.

نسخه‌های اولیه SNMP V1) و V2) از اعتبارسنجی مناسبی برخوردار نبودند و نومید می‌شود از SNMP.V3 استفاده شود.

حساسیت استفاده از SNMP به این دلیل است که این نرم افزار امتیازاتی چون خواندن و نوشتن را به کاربر خود می‌دهد و در صورت عدم اعتبارسنجی و تخصیص امتیاز مناسب سیستم را با ناامنی مواجه می‌کند.

(a-1-9 تغییر کانال پیش فرض در صورتیکه AP از دو شبکه مختلف در مجاورت یکدیگر قرار بگیرند، تداخل امواج باعث ناپایداری و از سرویس خارج شدن AP می‌شود.

با توجه به این مطلب ناظران شبکه باید کانالی را که AP‌ها روی آن عمل می‌کنند تغییر دهند.

(a-1-10 DHCP ارتباط خودکار با شبکه مستلزم استفاده از DHCP (Dynamic Host control protocol) می‌باشد.

سرور DHCP به طور خودکار یک آدرس IP را به کامپیوتری که به AP مرتبط شده است نسبت می‌دهد.

برای مثال از DHCP برای مدیریت آدرسهای ICP/IP که به clientها در یک شبکه بی‌سیم استفاده می‌شود.

DHCP آدرس IP دینامیک را به صورت خودکار به ابزار client (luptop یا work station) اختصاص می‌دهد.

تهدیدی که از سوی DHCP مطرح می‌شود این است که فرد مهاجم بتواند با استفاده از یک luptop مجهز به کارت NIC دسترسی غیر مجاز به شبکه پیدا کند.

راه حل این مشکل استفاده از آدرس IP استاتیک می‌باشد.

(a-2 اضافه نمودن و ارتقای نرم افزارها بسیاری از تولیدکنندگان پس از شناخته شدن نقاط ضعف تولیدات خود سعی در رفع نقص می‌کنند.

بدین منظور این تولیدکنندگان کدهایی را به نرم افزار قبلی اضافه (patch) می‌کنند و یا نرم افزار قبلی را به نسخه جدید ارتقاء می‌دهند.

نمونه‌ای از این patch‌ها RSA است که برای ارتقای WEP ارائه شد.

در سال RSA 2001 تکنیکی را پوشش دادن به رخنه‌های موجود در WEP ارائه کرد.

این تکنیک که گاهی با نام «کلیدگذاری سریع بسته» (fast packet keying) از آن یاد می‌شود؛ کلید منحصر به فردی را برای رمزگذاری هر بسته تولید می‌کند.

IEEE این روش را به عنوان گزینه‌ای اصلاحی برای 802.11 پذیرفت و تولیدکنندگان نیز آنرا مدنظر قرار دارد.

نمونه‌های دیگر برای ارتقای WEP ، 80211x و TKIP می‌باشند که در فصل جداگانه‌ای به آنها پرداخته خواهد شد.

(a-3 اعتبارسنجی به طور کلی روشهای اعتبارسنجی مناسب راه حل مناسبی برای مجوزدهی به کاربران مجاز شبکه است.

از جمله اعتبارسنجی‌ها می‌توان، سیستم مبتنی برنامه کاربری و رمز عبور؛ کارت هوشمند (smart card)، biometric، PKI یا ترکیبی از این روشها (برای مثال کارت هوشمند بهمراه PKI) در بخشی جداگانه به مبحث اعتبارسنجی و طرق مختلف آن پرداخته خواهد شد.

(a-4 دیواره آتشین فردی منابع یک شبکه بی‌سیم عمومی (متصل به اینترنت) در صورت محافظت نشدن در معرض حمله قرار خواهند گرفت.

دیواره‌های آتشین فردی روشهای نرم افزاری‌ای هستند که در دستگاه client مقیم می‌شوند و دارای دو صورت «تحت اداره client» و «تحت اداره مرکزی» هستند.

در بخشی جداگانه به مبحث دیواره آتشین پرداخته خواهد شد.

(a-5 سیستم تشخیص مزاحمت سیستم تشخیص مزاحمت سیستمی است که تشخیص می‌دهد آیا کسی برای نفوذ به شبکه تلاش می‌کند؛ آیا کسی نفوذ کرده است و آیا کسی تغییراتی در شبکه داده است یا نه.

IDS در شبکه‌های بی‌سیم دارای فرمهای مبتنی بر میزبان «next – based»؛ مبتنی بر شبکه «Network bosed» و یا مختلط «Hybrid» (ترکیبی از دو نوع قبلی) می‌باشد.

فرم nost based روی یک سیستم منفرد نصب می‌شود (برای مثال سرور بانک اطلاعاتی) و بر روند مجوزها و بایگانی سیستم (system loys) نظارت می‌کنند تا در صورت مشاهده رفتار مشکوک – از قبیل شکستهای مکرر تقاضای ورود (Loyin) یا تغییر در فایل مجوزها – وارد عمل شود.

این فرم می‌تواند فایلهای سیستمی را در فواصل منظم به منظور کشف تغییرات احتمالی چک کند.

یک سیستم IDS می‌تواند در مواردی حملات را خنثی کند.

هر چند که هدف اولیه host base IDS شناسایی حملات و اعلام هشدار است.

فرم Network based IDS ترافیک شبکه LAN را packet به packet و به صورت همزمان کنترل می‌کند تا در صورت برخورد با الگوهای مشابه به حمله (فعالیتهایی که با الگوهای از پیش شناخته شده مطابقت دارند) آنها را شناسایی کند.

برای مثال حمله Tear Drop که در زمره حملات DOS می‌باشد بسته‌هایی را ارسال می‌کنند تا سیستم مورد هدف را مختل کند اما Network – based IDS این بسته‌ها را از روی الگوی آنها شناخته و اعمالی نظیر قطع ارتباط با فرستنده را انجام می‌دهد.

مزیت سیستم Host-based نسبت به سیستم Network-base این است که Host-based می‌تواند اطلاعات رمزگذاری شده را نیز کنترل کند (چرا که این فرم روی اجزا مقیم می‌شود) ولی Network based نمی‌تواند به همین دلیل بسته‌های رمزگذاری شده را از خود عبور می‌دهد.

فن آوری IDS در صورت استفاده در شبکه بی‌سیم دارای معایب زیر است.

Network based IDS‌ها در صورت نصب بر روی قسمت باسیم شبکه در مجاورت AP حملات صورت گرفته از یک client به client دیگر را تشخیص نمی‌دهند (مثلاً در حالت دو به دو).

چرا که AP ترافیک بین دو client را، مستقیماً سوئیچ می‌کند و ترافیک را به بخش باسیم شبکه وارد نمی‌کند.

سنسورهای IDS که در بخش باسیم شبکه قرار می‌گیرند می‌توانند متوجه قطع ارتباط یک client مجاز با AP شوند و همچنین نمی‌توانند تشخیص دهند که یک ارتباط بین فرد غیر مجاز و AP برقرار شده است.

حملات DOS از قبیل Flooding، Jamming که در لایه فیزیکی و دیتالیک با استفاده از تکنیکهای فیزیکی انجام می‌شوند برای IDS قابل رؤیت نیستند.

IDS طراحی شده برای شبکه‌های باسیم حملات را تنها در زمانی تشخیص می‌دهد که بسته ارسالی از سوی client اخلالگر به سمت میزبان هدایت شده است.

در این زمان حمله قریب‌الوقوع است و هدف IDS این است که پیش از مخت شدن شبکه حمله را تشخیص و اعلام خطر کند.

فن‌آوری IDS برای شبکه باسیم؛ نمی‌تواند موقعیت AP بدلی را در ساختمان تشخیص دهد.

این AP‌های بدلی می‌توانند به عنوان نقطه ورودی برای مهاجمات عمل کنند.

فناوری IDS نمی‌تواند ارتباط بین یک ابزار مجاز با ابزار غیر مجاز را تشخیص دهد.

این موضوع اجازه می‌دهد تا فرد مهاجم با شرکت رقیب بتواند پلی به سمت شبکه ایجاد کند و با ابزارهایی که در مد Adhoc کار می‌کنند ارتباط برقرار کند.

گسترش شبکه بی‌سیم با اتصال دو یا چند شبکه بی‌سیم به یکدیگر تهدیدات جدیدی را متوجه شبکه جدید می‌کند که به آنها قبلاً پرداخته شده است و برای IDS ناشناخته خواهند بود.

شرکتهایی که قصد توسعه WLAN را دارند باید IDS موجود را بررسی کرده و نقاط ضعفی را که در اثر این گسترش بوجود می‌آید را پوشش دهند.

شرکتها باید پیاده سازی IDS ای را مد نظر داشته باشد که قابلیتهای زیر را داشته باشد: قادر باشد که موقعیت فیزیکی ابزارهای بی‌سیم را در درون ساختمان تشخیص دهد.

ارتباط متقابل غیر مجاز در درون شبکه بی‌سیم را که برای بخش باسیم غیر قابل مشاهده است را تشخیص دهد.

ارتباطهای بی‌سیم را تجزیه و تحلیل کند.

محیط فرکانسی رادیویی 802.11 را نظارت کند و درصورت تشخیص ابزاری که به طور غیر مجاز پیکربندی امنیتی را تغییر می‌دهد اعلام هشدار کند.

APهای بدلی را تشخیص داده وجود آنها را در شبکه اعلام کند.

قبل از آنکه حملاتی مانند «Flooding» و «قطع انتساب» بتوانند شبکه را مختل کنند آنها را تشخیص دهد.

در صورتیکه به سطح بالایی از امنیت احتیاج باشد حتماً باید IDS را پیاده سازی کرد و در صورتیکه IDS در بخش باسیم باشد باید اصلاحاتی در آن انجام داد تا نکات فوق را نیز شامل شود.

(a-6 رمزگذاری (نهانسازی) 802.11 دارای سه مدل نهانسازی است: 1- عدم نهانسازی 2- رمزگذاری 40 بیتی 3- رمزگذاری 104 بیتی رمز 40 بیتی با روش آزمون و خطا قابل کشف است.

رمزگذاری 104 بیتی امن تر است اما باید توجه داشت که علت اصلی غیر قابل اطمینان بودن رمزگذاری در WEP استفاده از بردارهای اولیه رمزگذاری است.

به علت کوتاه بودن طول این بردارها مقدار کلید تکرار می‌شود.

(a-7 ارزیابی‌های امنیتی ارزیابی‌ها و بازرسی‌های امنیتی روشهای مناسبی برای کنترل وضعیت امنیت یک WLAN و تعیین روشهایی برای اطمینان از پایداری امنیت در آن می‌باشند.

بازرسی‌ها و ارزیابی‌های منظم با استفاده از ابزارهای تحلیلگر شبکه از اهمیت زیادی برخوردار است.

ابزارهایی که «Sniffer» هم نامیده می‌شوند در این زمینه کارایی دارند.

ناظران امنیتی شبکه می‌توانند از این ابزار برای کنترل ابزارهای شبکه و عملکرد درست آنها روی کانال درست استفاده کنند.

ناظران شبکه باید متناوباً محیط شبکه بی‌سیم را به دنبال APهای بدلی و دسترسی‌های غیر مجاز جستجو کنند.

(b راهکارهای سخت افزاری راهکارهای سخت افزاری برای ایمن سازی WLAN شامل مواردی مانند کارتهای هوشمند، VPN، PKI و biometrics (b-1 کارتهای هوشمند کارتهای هوشمند سطح دیگری از امنیت را ارائه می‌دهند.

هر چند که بر پیچیدگی نیز می‌افزایند.

از کارتهای هوشمند می‌توان در کنار نام کاربری و رمز عبور استفاده کرد همینطور در کنار biometric.

در شبکه‌های بی‌سیم، کارتهای هوشمند صورت دیگری از اعتبارسنجی را ارائه می‌کنند.

در محیطهایی که اعتبارسنجی باید چیزی فراتر از نام کاربرد کلمه عبور باشد از کارتهای هوشمند استفاده می‌شود.

اطلاعاتی مانند مجوز کاربر در درون کارت ذخیره می‌شود و کاربر تنها باید «شماره شناسایی فردی» را به خاطر بسپارد.

(b-2 شبکه‌های محرمانه خصوصی VPN فن آوری VPN انتقال امن داده‌ها را از ساختار شبکه‌های عمومی تضمین می‌نماید.

VPN در سالهای اخیر این امکان را فراهم کرده است که شرکتها از توان اینترنت برای دسترسی راه دور (remote) بهره برند.

امروزه از VPNها به سه طریق استفاده می‌شود.

1) برای دسترسی کاربران راه دور (remotewser Access) 2) برای اتصال LAN به LAN (سایت به سایت) 3) برای Extranet VPN از تکنیکهای رمزنگاری برای حفاظت اطلاعات IP در حین انتقال از مکان با شبکه‌ای به مکان یا شبکه دیگر استفاده می‌کند.

داده‌ای که درون نوفل VPN – کپسوله سازی یک پروتکل درون پروتکل دیگر – رمزگذاری شده و از ترافیک شبکه مجزا شده است.

VPN به کار رفته در اتصال سایت به سایت در شکل زیر نشان داده شده است.

VPN بکار رفته برای اتصال سایت به سایت از طریق اینترنت در این روش از ترافیک عبوری بین سایت A و سایت B در اینترنت توسط VPN محافظت می‌شود و بدین ترتیب مزایایی چون محرمانگی و جامعیت فراهم می‌شود.

اغلب VPN‌های مورد استفاده از پروتکل Ispec استفاده می‌کنند.

پروتکل Ispec که توسط TETF ارائه شده یک محیط کاری از استاندارد آزاد برای تضمین محرمانه ماندن ارتباط بر روی شبکه IP می‌باشد.

Ispec مزایای زیر را فراهم می‌سازد.

1- محرمانگی 2- جامعیت 3- اعتبارسنجی مبدأ داده 4- ممانعت از آنالیز ترافیک جامعیت مستقل از ارتباط تضمین می‌نماید که پیام دریافتی نسبت به پیام اصلی تغییر نکرده است.

اعتبارسنجی مبدأ داده تضمین می‌نماید که داده توسط فرستنده اصلی ارسال شده نه توسط فردی نفوذی.

ممانعت از تکرار تضمین می‌نماید که یک پیام بیش از یکبار دریافت نشده و به همان ترتیب اولیه دریافت شده است.

محرمانگی تضمین می‌کند که افراد دیگر نمی‌توانند پیام را بخوانند.

ممانعت از آنالیز ترافیک تضمین می‌کند که جاسوسی نمی‌تواند بفهمد چه کسی و با چه فرکانسی در ارتباط است.