الأمن اللاسلكي
تستخدم الشبكات اللاسلكية على نطاق واسع في الشركات من أي حجم. نظرًا لتكلفتها المنخفضة وسهولة نشرها ، يمكن للشبكات اللاسلكية أن توفر ميزة على الشبكات السلكية في المؤسسات الصغيرة والمتوسطة. في المؤسسات الكبيرة ، توفر الشبكات اللاسلكية اتصالات الشبكة اللازمة لاتصالات الأعمال بين الموظفين في مناطق العمل أو غرف الاستراحة.
للاستفادة من الشبكات اللاسلكية ، يجب تأمينها. توفر الشبكات اللاسلكية غير الآمنة وصولاً غير محدود تقريبًا إلى شبكة الشركة للمتسللين والمتطفلين الآخرين ، الذين يسعون غالبًا للوصول المجاني إلى الإنترنت. في المؤسسات الكبيرة ، توجد أحيانًا شبكات لاسلكية غير مصرح بها - يتجاهل أعضاء مجموعات العمل أو المستخدمون النهائيون أحيانًا سياسة الشركة ويقومون بتثبيت نقاط الوصول (نقاط الوصول ، AP) ، وهذا محفوف بخطر كبير على المؤسسة. يستخدم مرسلو البريد العشوائي والمخادعون ذوو الخبرة شبكات لاسلكية غير آمنة لإرسال رسائل بريد إلكتروني مجمعة. إنهم يتجولون في المدن والمناطق الصناعية بحثًا عن شبكات لاسلكية ضعيفة ، وعندما يعثرون عليها ، يقومون بتكوين أجهزة الكمبيوتر المحمولة الخاصة بهم للاتصال بالشبكة ، والحصول على عنوان IP صالح ، و DNS ، ومعلومات البوابة القياسية عبر DHCP ، ثم بث رسائلهم. ربما اضطر مستخدمو منتجات مثل NetStumbler ، أو أداة إدارة الشبكة اللاسلكية المدمجة الموجودة في معظم أجهزة الكمبيوتر المحمولة وأجهزة المساعد الرقمي الشخصي ، إلى اكتشاف الشبكات اللاسلكية غير الآمنة في منازلهم أو أحيائهم أو داخل أعمالهم.
يجب أن يكون مالكو الشبكات غير الآمنة مستعدين لتقليل عرض النطاق الترددي للاتصال بالإنترنت ، ولاختراق الفيروسات والديدان ، بل ويتحملون مسؤولية جنائية أو مدنية لاستخدام شبكات غير آمنة لتنفيذ هجمات ضد أطراف ثالثة. تناقش هذه المقالة الخطوات العملية التي يمكنك اتخاذها لتأمين الشبكات اللاسلكية ، وطرق النشر الآلي للإعدادات ، والأدوات لتحليل الشبكات اللاسلكية غير الآمنة والمخادعة.
أساسيات اللاسلكي
قبل أن تبدأ في تأمين شبكة لاسلكية ، يجب أن تفهم المبادئ الأساسية لمنظمتها. كقاعدة عامة ، تتكون الشبكات اللاسلكية من نقاط وصول وعملاء لديهم محولات لاسلكية. تم تجهيز عقد الوصول والمحولات اللاسلكية بأجهزة إرسال واستقبال للتواصل مع بعضها البعض. يتم تعيين عنوان MAC 48 بت لكل نقطة وصول ومحول لاسلكي ، وهو ما يعادل وظيفيًا عنوان Ethernet. تربط نقاط الوصول بين الشبكات السلكية واللاسلكية ، مما يسمح للعملاء اللاسلكيين بالوصول إلى الشبكات السلكية. الاتصال بين العملاء اللاسلكيين في شبكات نظير إلى نظير ممكن بدون نقاط الوصول ، ولكن نادرًا ما يتم استخدام هذه الطريقة في المؤسسات. يتم تحديد كل شبكة لاسلكية بواسطة SSID المعين من قبل المسؤول (معرف مجموعة الخدمات). يمكن للعملاء اللاسلكيين التواصل مع نقطة الوصول إذا تعرفوا على SSID الخاص بنقطة الوصول. إذا كانت الشبكة اللاسلكية تحتوي على عدة نقاط وصول لها نفس SSID (ونفس إعدادات المصادقة والتشفير) ، فيمكن للعملاء اللاسلكية المتنقلة التبديل بينهم.
المعايير اللاسلكية الأكثر شيوعًا هي 802.11 وتحسيناته. تحدد مواصفات 802.11 خصائص الشبكة التي تعمل بسرعات تصل إلى 2 ميجابت في الثانية. توفر الإصدارات المحسنة سرعات أعلى. الأول ، 802.11b ، هو الأكثر استخدامًا ، ولكن يتم استبداله بسرعة بـ 802.11g. تعمل شبكات 802.11b اللاسلكية في نطاق 2.4 جيجا هرتز وتوفر معدلات بيانات تصل إلى 11 ميجا بت في الثانية. تم التصديق على التحسين ، 802.11a ، قبل 802.11b ولكنه ظهر في السوق لاحقًا. تعمل الأجهزة من هذا المعيار في نطاق 5.8 جيجاهرتز بسرعة نموذجية تبلغ 54 ميجابت في الثانية ، لكن بعض البائعين يقدمون سرعات أعلى ، تصل إلى 108 ميجابت في الثانية ، في وضع التوربو. الإصدار الثالث ، وهو الإصدار المحسن ، 802.11g ، يعمل في نطاق 2.4 جيجاهرتز ، مثل 802.11b ، بسرعة قياسية تبلغ 54 ميجابت في الثانية وأعلى (حتى 108 ميجابت في الثانية) في وضع التوربو. معظم شبكات 802.11g اللاسلكية قادرة على العمل مع عملاء 802.11b بسبب التوافق العكسي المدمج في معيار 802.11g ، لكن التوافق العملي يعتمد على التنفيذ المحدد للمورد. تدعم معظم الأجهزة اللاسلكية الحديثة متغيرين أو أكثر من 802.11. تم تصميم معيار لاسلكي جديد ، 802.16 ، يسمى WiMAX ، بهدف محدد يتمثل في توفير الوصول اللاسلكي إلى الشركات والمنازل من خلال محطات تشبه الخلوية. لم يتم تغطية هذه التكنولوجيا في هذه المقالة.
يعتمد النطاق الفعلي لـ AP على العديد من العوامل ، بما في ذلك متغير 802.11 وتردد تشغيل المعدات والشركة المصنعة والطاقة والهوائي والجدران الخارجية والداخلية وميزات طوبولوجيا الشبكة. ومع ذلك ، يمكن لمحول لاسلكي بهوائي ضيق الحزمة وعالي الكسب الاتصال بنقطة الوصول والشبكة اللاسلكية عبر مسافة كبيرة تصل إلى حوالي كيلومتر ونصف ، حسب الظروف.
نظرًا للطبيعة العامة للطيف الراديوي ، هناك مشكلات أمنية فريدة غير موجودة في الشبكات السلكية. على سبيل المثال ، للتنصت على الرسائل الموجودة على شبكة سلكية ، فأنت بحاجة إلى الوصول المادي إلى أحد مكونات الشبكة مثل نقطة ربط الشبكة المحلية للجهاز أو المحول أو جهاز التوجيه أو جدار الحماية أو الكمبيوتر المضيف. تحتاج الشبكة اللاسلكية فقط إلى جهاز استقبال ، مثل ماسح التردد التقليدي. نظرًا لانفتاح الشبكات اللاسلكية ، أعد مطورو المعيار مواصفات Wired Equivalent Privacy (WEP) ، لكنهم جعلوا استخدامها اختياريًا. يستخدم WEP مفتاحًا مشتركًا معروفًا للعملاء اللاسلكيين ونقاط الوصول التي يتواصلون معها. يمكن استخدام المفتاح لكل من المصادقة والتشفير. يستخدم WEP خوارزمية تشفير RC4. يتكون مفتاح 64 بت من 40 بت معرف من قبل المستخدم وناقل تهيئة 24 بت. في محاولة لتحسين أمان الشبكات اللاسلكية ، طورت بعض الشركات المصنعة للمعدات خوارزميات متقدمة بمفاتيح WEP 128 بت أو أطول ، تتكون من جزء مستخدم بحجم 104 بت أو أطول وناقل تهيئة. يتم استخدام WEP مع الأجهزة المتوافقة مع معايير 802.11a و 802.11b و 802.11g. ومع ذلك ، على الرغم من زيادة طول المفتاح ، فإن عيوب WEP (على وجه الخصوص ، آليات المصادقة الضعيفة ومفاتيح التشفير التي يمكن الكشف عنها من خلال طرق تحليل التشفير) موثقة جيدًا ، واليوم لا يعتبر WEP خوارزمية موثوقة.
استجابة لأوجه القصور في WEP ، قرر Wi-Fi Alliance ، وهو اتحاد صناعي يضم أكثر من 200 عضو بما في ذلك Apple Computer و Cisco Systems و Dell و IBM و Microsoft ، تطوير معيار الوصول المحمي بتقنية Wi-Fi (WPA). يتفوق WPA على WEP عن طريق إضافة TKIP (بروتوكول سلامة المفتاح المؤقت) وآلية مصادقة قوية تعتمد على 802.1x و EAP (بروتوكول المصادقة القابل للتوسيع). كان من المفترض أن يكون WPA معيارًا عمليًا يمكن تقديمه إلى لجنة IEEE للموافقة عليه كامتداد لمعايير 802.11. تم التصديق على امتداد ، 802.11i ، في عام 2004 وتم ترقية WPA إلى WPA2 ليكون متوافقًا مع معيار التشفير المتقدم (AES) بدلاً من WEP و TKIP. WPA2 متوافق مع الإصدارات السابقة ويمكن استخدامه مع WPA. كان WPA مخصصًا لشبكات المؤسسات التي تحتوي على بنية مصادقة RADIUS (خدمة مستخدم الطلب الهاتفي عن بُعد) ، ولكن إصدار WPA المسمى WPA Pre-Shared Key (WPAPSK) حصل على دعم من بعض الشركات المصنعة وهو في الطريق. . مثل WEP ، يعمل WPAPSK مع مفتاح مشترك ، لكن WPAPSK أكثر أمانًا من WEP.
كثير من الناس لديهم فكرة خاطئة عن 802.1x. يستخدم المعيار للتحكم في الوصول إلى المنافذ في محولات الشبكة السلكية وعقد الوصول في نقاط الوصول للشبكة اللاسلكية. لا يحدد 802.1x طريقة مصادقة (على سبيل المثال ، يمكن استخدام الإصدار 3 من X.509 أو مواصفات Kerberos) ، ولا توجد آلية تشفير أو متطلبات لتشفير البيانات.
ثلاث خطوات للأمن
توجد ثلاث آليات لأمان الشبكة اللاسلكية: تكوين العميل ونقطة الوصول لاستخدام نفس SSID (غير الافتراضي) ، والسماح لـ AP بالتواصل فقط مع العملاء الذين تعرف AP وعناوين MAC الخاصة بهم ، وتكوين العملاء للمصادقة على AP و تشفير حركة المرور. يتم تكوين معظم نقاط الوصول للعمل مع SSID افتراضي ، ولا توجد قائمة بعناوين MAC للعميل المسموح بها ، ومفتاح مشترك مسبقًا معروف للمصادقة والتشفير (أو لا يوجد مصادقة وتشفير على الإطلاق). عادةً ما يتم توثيق هذه الإعدادات في نظام التعليمات عبر الإنترنت على موقع الويب الخاص بالشركة المصنعة. تسهل هذه الخيارات على المستخدم عديم الخبرة إنشاء شبكة لاسلكية وبدء تشغيلها ، ولكنها أيضًا تسهل على المتسللين اقتحام الشبكة. لجعل الأمور أسوأ ، تم تكوين معظم نقاط الوصول لبث SSID. لذلك ، يمكن للمهاجم العثور على شبكات ضعيفة باستخدام معرفات SSID القياسية.
تتمثل الخطوة الأولى لشبكة لاسلكية آمنة في تغيير SSID الافتراضي لنقطة الوصول. بالإضافة إلى ذلك ، يجب عليك تغيير هذا الإعداد على العميل لتمكين الاتصال بنقطة الوصول. من الملائم تعيين SSID يكون منطقيًا لمسؤول المؤسسة ومستخدميها ، ولكنه لا يحدد بوضوح هذه الشبكة اللاسلكية من SSIDs الأخرى التي تم اعتراضها من قبل أشخاص غير مصرح لهم.
الخطوة التالية هي منع AP من بث SSID إن أمكن. نتيجة لذلك ، يصبح من الصعب (على الرغم من إمكانية ذلك) على المهاجم اكتشاف وجود شبكة لاسلكية و SSID. لا تستطيع بعض نقاط الوصول إلغاء بث SSID. في مثل هذه الحالات ، يجب عليك زيادة الفاصل الزمني للبث قدر الإمكان. بالإضافة إلى ذلك ، قد يتواصل بعض العملاء فقط إذا كانت نقطة الوصول تبث SSID. وبالتالي ، قد تحتاج إلى تجربة هذا الإعداد للعثور على الوضع الذي يناسب حالتك.
بعد ذلك ، يمكنك السماح بالوصول إلى العقد فقط من العملاء اللاسلكيين بعناوين MAC المعروفة. مثل هذا الإجراء لا يكاد يكون مناسبًا في مؤسسة كبيرة ، ولكن في مؤسسة صغيرة بها عدد صغير من العملاء اللاسلكيين ، يعد هذا خط دفاع إضافي موثوق به. سيحتاج المهاجمون إلى معرفة عناوين MAC المسموح لها بالاتصال بـ AP الخاص بالمؤسسة وتغيير عنوان MAC الخاص بالمحول اللاسلكي الخاص بهم إلى العنوان المسموح به (في بعض طرز المحولات ، يمكن تغيير عنوان MAC).
قد يكون تحديد خيارات المصادقة والتشفير هو أصعب جزء في تأمين شبكة لاسلكية. قبل تعيين المعلمات ، من الضروري جرد نقاط الوصول والمحولات اللاسلكية من أجل إنشاء بروتوكولات الأمان التي تدعمها ، خاصةً إذا كانت الشبكة اللاسلكية منظمة بالفعل باستخدام مجموعة متنوعة من المعدات من بائعين مختلفين. قد لا تتوافق بعض الأجهزة ، خاصةً APs القديمة والمحولات اللاسلكية ، مع WPA أو WPA2 أو مفاتيح WEP الموسعة.
هناك موقف آخر يجب أن تكون على دراية به وهو أن بعض الأجهزة القديمة تتطلب من المستخدمين إدخال رقم سداسي عشري يمثل مفتاحًا ، بينما تتطلب نقاط الوصول والمحولات اللاسلكية القديمة الأخرى عبارة مرور ليتم تحويلها إلى مفتاح. نتيجة لذلك ، من الصعب تحقيق استخدام مفتاح واحد لجميع المعدات. يمكن لمالكي هذه المعدات استخدام موارد مثل WEP Key Generator () لإنشاء مفاتيح WEP عشوائية وتحويل عبارات المرور إلى أرقام سداسية عشرية.
بشكل عام ، يجب استخدام WEP فقط عند الضرورة القصوى. إذا كان استخدام WEP إلزاميًا ، فمن الجدير اختيار الحد الأقصى لطول المفاتيح وتعيين الشبكة على الوضع المفتوح بدلاً من الوضع المشترك. في الوضع المفتوح ، لا يتم إجراء مصادقة العميل على الشبكة ، ويمكن لأي شخص إنشاء اتصال مع عقد الوصول. تقوم هذه الاتصالات التمهيدية بتحميل الارتباط اللاسلكي جزئيًا ، لكن المهاجمين الذين ينشئون اتصالاً في نقطة الوصول لن يتمكنوا من متابعة الاتصال لأنهم لا يعرفون مفتاح تشفير WEP. يمكنك حتى حظر الاتصالات المؤقتة عن طريق تكوين نقطة الوصول لقبول الاتصالات من عناوين MAC المعروفة فقط. على عكس الفتح ، في الوضع المشترك ، تستخدم نقطة الوصول مفتاح WEP لمصادقة العملاء اللاسلكيين في إجراء التحدي والاستجابة ، ويمكن للمهاجم فك تشفير التسلسل وتحديد مفتاح تشفير WEP.
إذا كان بإمكانك استخدام WPA ، فيجب عليك الاختيار بين WPA و WPA2 و WPA-PSK. العامل الرئيسي في اختيار WPA أو WPA2 من ناحية ، و WPA-PSK من ناحية أخرى ، هو القدرة على نشر البنية التحتية المطلوبة من قبل WPA و WPA2 لمصادقة المستخدم. يتطلب WPA و WPA2 نشر RADIUS وخوادم البنية التحتية للمفتاح العام (PKI). يعمل WPA-PSK ، مثل WEP ، مع مفتاح مشترك معروف للعميل اللاسلكي ونقطة الوصول. يمكن لـ WPA-PSK استخدام مفتاح WPA-PSK المشترك مسبقًا بأمان للمصادقة والتشفير ، نظرًا لأنه لا يحتوي على عيب WEP (القدرة على اكتشاف مفتاح التشفير عن طريق تحليل التشفير لإجراء المصادقة).
بطبيعة الحال ، تحتوي نقاط الوصول من بائعين مختلفين على واجهات مستخدم وطرق تكوين مختلفة ، لذلك لا يمكن تقديم قائمة واحدة من الإرشادات التفصيلية لجميع الأجهزة. لكن المعلومات الواردة أعلاه ستكون مفيدة عند إعداد عقد الوصول.
إعداد عميل Windows
يعمل كل من Windows Server 2003 و Windows XP على تسهيل تكوين عميل للشبكات اللاسلكية ، وخاصة الشبكات التي تعمل بتقنية WEP. قدمت Microsoft خدمة Wireless Zero Configuration في XP وأطلق عليها اسم Wireless Configuration Service في Windows 2003. تراقب الخدمة قيد التشغيل المحولات اللاسلكية لتلقي بث SSID من نقاط الوصول. إذا تم تلقي بث SSID معروف وكان هناك معلومات تكوين كافية ، فسيقوم Windows تلقائيًا بالاتصال بالشبكة (إذا تم تكوينه للاتصال). تعرض خدمة التكوين اللاسلكي مربع حوار قياسي لتكوين إعدادات الشبكة اللاسلكية ، بغض النظر عن المحول اللاسلكي المثبت. لسوء الحظ ، لا تعمل الخدمة مع جميع المحولات اللاسلكية ؛ إذا لم تعمل مع بطاقة معينة ، فيجب عليك تعطيلها واستخدام برنامج التشغيل ومجموعة أدوات التكوين التي تأتي مع محول الشبكة.
لاستخدام خدمة التكوين ، افتح الأداة المساعدة Network Connections في لوحة التحكم ، وانقر بزر الماوس الأيمن على رمز المحول اللاسلكي ، وحدد خصائص ، وانتقل إلى علامة التبويب الشبكات اللاسلكية. تأكد من تمكين استخدام Windows لتكوين إعدادات الشبكة اللاسلكية الخاصة بي وانقر فوق الزر "إضافة" لتكوين شبكتك اللاسلكية. يوضح الشكل 1 مربع حوار لإدخال إعدادات الشبكة اللاسلكية. ثم أدخل SSID للشبكة اللاسلكية التي تريد الاتصال بها ، وحدد طريقة مصادقة الشبكة. إذا حددت Open أو Shared ، فيمكنك تحديد إحدى القيم في حقل تشفير البيانات - WEP أو Disabled. إذا تم تحديد WPA أو WPA-PSK ، فيمكن استخدام خوارزميات تشفير TKIP أو AES.
| الشكل 1: تكوين الإعدادات اللاسلكية في XP |
عند استخدام WPA أو WPA-PSK للمصادقة أو التشفير ، يمكنك إدخال مفتاح مصادقة أو تشفير (لتمكين حقل مفتاح الشبكة وحقل تأكيد مفتاح الشبكة ، يجب عليك إلغاء تحديد يتم توفير المفتاح لي تلقائيًا). في حالة وجود أكثر من مفتاح ، يجب تحديد رقم المفتاح أو الفهرس. يمكن لبعض نقاط الوصول والمحولات اللاسلكية تخزين واستخدام ما يصل إلى أربعة مفاتيح لزيادة المرونة. على سبيل المثال ، يمكن تغيير المفاتيح أسبوعيًا عن طريق تحديد مفتاح يدويًا من قائمة كل صباح يوم اثنين.
كشف نقطة الوصول الخادعة
كما هو مذكور أعلاه ، يمكن أن تشكل عقد الوصول المارقة تهديدًا كبيرًا للمؤسسة. ولكن نظرًا للمزايا وسهولة إعداد نقطة وصول (خاصة إذا كنت تستخدم الإعدادات الافتراضية) ، فمن المحتمل جدًا أن يقوم شخص ما يومًا ما بتثبيت نقطة وصول على شبكة مؤسسة.
قد يكون العثور على نقاط وصول غير مصرح بها أمرًا صعبًا ، ولكنه ضروري لحماية موثوقة. قدم Windows 2003 أداة إضافية جديدة لـ Microsoft Management Console (MMC) تسمى Wireless Network Monitor والتي يمكن استخدامها لتسجيل نشاط عميل الشبكة وتحديد موقع عقد الوصول. ومع ذلك ، فإن تثبيت Windows 2003 على أجهزة الكمبيوتر المحمولة فقط من أجل الأداة الإضافية MMC أمر غير مريح ومكلف وغير ضروري بشكل عام. تحتوي معظم أجهزة الكمبيوتر المحمولة وأجهزة المساعد الرقمي الشخصي التي تحتوي على محولات لاسلكية مدمجة على أدوات مناسبة للعثور على نقاط الوصول المارقة.
إذا لم يكن الكمبيوتر المحمول أو المساعد الرقمي الشخصي الخاص بك مزودًا بهذه الأداة ، أو كنت بحاجة إلى ميزات متقدمة مثل نظام تحديد المواقع العالمي (GPS) (نظام تحديد المواقع العالمي مع هوائي ثنائي الاتجاه وبوصلة لتثليث موقع نقطة الوصول المارقة) ، فحينئذٍ يمكن لأداة مجانية مثل NetStumbler كن الأفضل. يتوفر إصداران على العنوان ، أحدهما لنظام التشغيل Windows 2000 والإصدارات الأحدث والآخر لأجهزة Windows CE يسمى MiniStumbler. يوضح الشكل 2 تشغيل NetStumbler على كمبيوتر محمول من Dell مزود بحزمة الخدمة XP Service Pack 2 (SP2) و Dell TrueMobile 1400 ، وهو أحد المحولات اللاسلكية المتوافقة مع NetStumbler.
باستخدام NetStumbler ، يمكنك اكتشاف نقاط الوصول المارقة ببساطة عن طريق تشغيل البرنامج على كمبيوتر محمول والتجول في المؤسسة باستخدام جهاز كمبيوتر محمول. يتم عرض عقد الوصول المكتشفة على الشاشة. وبالتالي ، يمكنك الحصول على معلومات حول عنوان MAC الخاص بنقطة الوصول والقناة التي يتم الاستماع إليها والتشفير والمزود. بالإضافة إلى ذلك ، يعرض NetStumbler نسبة الإشارة إلى الضوضاء للإشارة اللاسلكية. كلما زاد الرقم ، كانت المسافة أقصر من نقطة الوصول.
قبل أن يتم اكتشاف نقاط الوصول المارقة ، يجب تحديد عنوان MAC و SSID لكل نقطة وصول شرعية في المؤسسة. عند نشر عقد الوصول ، قم بتسجيل عنوان MAC الخاص بها و SSID والموقع. عند تجاوز NetStumbler ، يجب أن تبحث عن عقد وصول ذات معرفات SSID غير معروفة وعناوين MAC غير معروفة. عندما تعثر على أجهزة غير قانونية ، يجب عليك تسجيل موقعها ، ثم الذهاب في اتجاهات مختلفة ولاحظ الاتجاه الذي تزيد فيه نسبة الإشارة إلى الضوضاء (SNR). إذا واصلنا السير في هذا الاتجاه ، فسيتم اكتشاف AP عاجلاً أم آجلاً ، أو على الأقل سيتم تحديد منطقة تقريبية من الموقع لإجراء بحث أكثر اكتمالاً في المستقبل. لاحظ أن نقطة الوصول قد تكون على الأرض أو في السقف.
من المهم بشكل خاص ملاحظة أن المخترق الماهر يمكنه إعداد AP بنفس SSID المتاح على الشبكة ، على أمل أن يفاجئ المستخدمين المطمئنين. من خلال الاتصال بنقطة وصول غير مصرح بها ، سيحاول المستخدمون الوصول إلى موارد الشبكة مثل خادم البريد والتطبيقات المستضافة على الويب. لن يتمكنوا من الوصول إلى الموارد من خلال AP الخاص بالمهاجم ، ولكن حتى يكتشفوا ذلك ، يمكنهم الكشف عن كلمات المرور والأسماء الخاصة بهم. يجب تدريب موظفي مكتب المساعدة على تعقب المكالمات المتعلقة بمشاكل الشبكة اللاسلكية التي يمكن أن تشير إلى نقاط الوصول المارقة ، ومطالبة المستخدمين بالإبلاغ عن موقعهم. يجب فحص الإشارات الواردة باستخدام NetStumbler أو أدوات أخرى والتحقق من عناوين MAC لجميع نقاط الوصول في المنطقة للتأكد من أنها مثبتة بشكل قانوني.
لمزيد من المعلومات حول تأمين شبكة لاسلكية للشركات من جميع الأحجام وحتى المستخدمين المنزليين ، راجع كتاب جوزيف ديفيس الممتاز Deploying Secure 802.11 Wireless Networks with Microsoft Windows (Microsoft Press، 2003). في العنوان يمكنك الحصول على معلومات حول الكتاب وكيفية شرائه ، وكذلك العثور على رابط لمواد إضافية. مورد تشغيلي ممتاز -. توجد هذه الصفحة في قسم Windows 2003 من موقع Microsoft على الويب ، ولكنها تحتوي أيضًا على ارتباطات إلى معلومات حول XP.
تعتبر الشبكات اللاسلكية أكثر ملاءمة من الشبكات السلكية، لكنها يمكن أن تكون أيضًا عرضة للمتسللين والبرامج الضارة (مثل الفيروسات المتنقلة). نظرًا لأن الشبكات اللاسلكية تستخدم موجات الراديو التي يمكن أن تنتقل عبر الجدران ، يمكن أن تنتقل إشارة الشبكة خارج المنزل.
إذا لم تحاول تأمين الشبكة ، فسيتمكن مستخدمو الكمبيوتر القريبون من الوصول إلى البيانات المخزنة على أجهزة كمبيوتر الشبكة واستخدام اتصال الإنترنت الخاص بك. من خلال تعيين مفتاح أمان على شبكة لاسلكية ، يمكنك الحماية من الوصول غير المصرح به.
طرق لتأمين شبكتك اللاسلكية
يجب تكوين الشبكة اللاسلكية بحيث يتمكن المستخدمون المحددون فقط من الوصول إليها.
تم وصف العديد من إعدادات الأمان اللاسلكية أدناه:
تقنية الوصول المحمي بتقنية Wi-Fi (WPA و WPA2)
تقنية الوصول المحمي بتقنية Wi-Fiيقوم بتشفير المعلومات والتحقق من عدم تغيير مفتاح أمان الشبكة. بالإضافة إلى ذلك ، تقوم تقنية الوصول المحمي بتقنية Wi-Fi بمصادقة المستخدم لضمان وصول المستخدمين المصرح لهم فقط إلى الشبكة.
هناك نوعان من مصادقة WPA: WPA و WPA2.
نوع WPAمصمم للعمل مع جميع محولات الشبكة اللاسلكية ، ولكنه غير متوافق مع أجهزة التوجيه أو نقاط الوصول الأقدم. اكتب WPA2أكثر أمانًا من WPA ، ولكنه غير متوافق مع بعض محولات الشبكة القديمة.
تم تصميم WPA ليتم استخدامه مع خادم مصادقة 802.1x يقوم بإنشاء مفتاح مختلف لكل مستخدم. ثم يطلق عليه WPA-Enterprise أو WPA2-Enterprise. يمكن استخدامه أيضًا في وضع المفتاح المشترك مسبقًا (PSK) ، حيث يتلقى كل مستخدم نفس عبارة المرور. ثم يطلق عليه WPA - شخصي أو WPA2 - شخصي.
بروتوكول الخصوصية المكافئ السلكي (WEP)
لا يزال WEP كطريقة قديمة لأمان الشبكة متاحًا لدعم الأجهزة القديمة ، والمزيد لا ينصح باستخدامه. عند تمكين WEP ، يتم تعيين مفتاح أمان الشبكة. يتم إرسال مفتاح التشفير هذا عبر الشبكة من كمبيوتر إلى آخر. ومع ذلك ، من السهل نسبيًا اختراق أمان WEP.
انتباه!يوصى باستخدام WPA2 كلما أمكن ذلك. لا يوصى باستخدام WEP. WPA أو WPA2 أكثر أمانًا. إذا لم يعمل WPA أو WPA2 عند محاولة البدء ، نوصيك بتحديث محول الشبكة الخاص بك للعمل مع إحدى تقنيات WPA أو WPA2 العاملة.
مصادقة 802.1x
مصادقة 802.1xيمكن أن يعزز أمان الشبكات اللاسلكية 802.11 وشبكات Ethernet. تستخدم مصادقة 802.1x خادم مصادقة للتحقق من المستخدمين ومنح الإذن بالوصول إلى الشبكة. على الشبكات اللاسلكية ، يمكن استخدام مصادقة 802.1x مع مفاتيح بروتوكول WPA أو WPA2 أو WEP. يستخدم هذا النوع من المصادقة عادةً للاتصال بالشبكة في مكان العمل.
لذلك ، اشتريت محولًا لاسلكيًا ، وقمت بتوصيله بالشبكة ، وقمت بإعداد اتصال بالإنترنت - ولديك الحرية اللاسلكية الكاملة. الآن ، للوصول إلى الشبكة ، لا تحتاج إلى توصيل كابل ، ما عليك سوى أن تكون في منطقة تغطية الشبكة اللاسلكية - وهذا أسهل بكثير وأكثر ملاءمة. ومع ذلك ، فهو بسيط ومريح ليس فقط بالنسبة لك. بعد كل شيء ، على عكس الشبكات السلكية ، من أجل اختراق الشبكات اللاسلكية ، يكفي أن تكون في منطقة تغطيتها ، والتي يمكن أن تمتد إلى ما وراء المباني.
لا تعتقد أنه ليس لديك ما تخشاه إذا قمت بتثبيت شبكة لاسلكية في المنزل. بالطبع ، من غير المحتمل أن يتم تخزين أي معلومات سرية على جهاز الكمبيوتر المنزلي الخاص بك (على الرغم من أنه قد يكون كذلك) ، وأكثر ما يمكن للمهاجم الاعتماد عليه هو أرشيف الصور الشخصية الخاص بك ومجموعة مختارة من الموسيقى المفضلة لديك. ومع ذلك ، فإن الخطر الرئيسي لاختراق الشبكات اللاسلكية المنزلية ليس هذا. يهتم المتسللون عادةً بوصولك إلى الإنترنت.
إذا كنت تدفع مقابل الإنترنت بناءً على حركة المرور التي تستهلكها ، فقد يؤدي هذا الاتصال غير المصرح به إلى فرض رسوم إضافية. لا يمكن لأصحاب التعريفات غير المحدودة السعداء الشعور بالهدوء ، بالطبع ، إذا بدأ شخص آخر في استخدام الوصول إلى الإنترنت ، فلن يعاني ماليًا. ولكن في الوقت نفسه ، هناك خطر يتمثل في انخفاض سرعة اتصالك - وهذا صحيح بشكل خاص إذا لم يكن عاشق الهدية الترويجية متواضعًا وبدأ في استخدام النظرة عبر قناتك على أكمل وجه.
حسنًا ، ليست هناك حاجة للحديث عن الحاجة إلى حماية الشبكات اللاسلكية في مؤسسة ما - غالبًا ما يعتمد عمل مؤسسة حديثة على البنية التحتية لتكنولوجيا المعلومات بحيث يمكن لإخفاقات وانتهاكات حماية الشبكات المحلية أن تدمر النشاط الفعال تمامًا.
التشفير
يعد التشفير أحد أكثر الطرق وضوحًا لتأمين شبكة لاسلكية. من الناحية النظرية ، كل شيء بسيط - لكي يتمكن جهاز المستخدم من الاتصال بالشبكة اللاسلكية ، يجب أن يثبت حقه بطريقة أو بأخرى باستخدام المصادقة. وبالتالي ، لحماية المعلومات في شبكات الكمبيوتر ، يكفي تقييد الوصول إلى الشبكة باستخدام كلمات المرور أو غيرها من وسائل المصادقة.
تاريخياً ، كانت الطريقة الأولى من نوعها لتأمين الشبكات اللاسلكية هي تشفير WEP. منذ بعض الوقت ، قدمت الخوارزمية حماية موثوقة إلى حد ما للشبكات اللاسلكية ، ولكن في عام 2001 ، أجرى محللو التشفير العديد من الدراسات التي لفتت الانتباه إلى بعض نقاط الضعف في هذه الخوارزمية ، بسبب اختراق اتصال محمي بواسطة هذه الخوارزمية في غضون بضع دقائق. على الرغم من أن هذا التشفير أفضل من إرسال البيانات عبر اتصال مباشر وغير مشفر ، إلا أنه غير مناسب لحماية الشبكات اللاسلكية من متسللي الشبكات اللاسلكية. على الرغم من ذلك ، لا يزال هناك عدد كبير من الشبكات اللاسلكية المحمية بواسطة هذه الخوارزمية المعينة. ويرجع ذلك إلى حقيقة أن المعدات القديمة لا تدعم الأساليب الحديثة لحماية المعلومات في شبكات الكمبيوتر. ومع ذلك ، على الرغم من الأخطاء في تنفيذ طريقة تشفير واحدة ، فإن هذا النهج لحماية المعلومات في الشبكات فعال للغاية. لذلك ، بعد WEP ، ظهرت خوارزمية أخرى خالية من أوجه القصور في سابقتها - WPA.
بالإضافة إلى القضاء على الأخطاء في خوارزمية التشفير ، استخدمت طريقة الأمان هذه بروتوكول المصادقة الموسع الجديد EAP ، وبروتوكول سلامة المفتاح المؤقت TKIP ، وآلية سلامة رسائل MIC. يبدو أن هذه المجموعة الرائعة من التقنيات يجب أن توفر مستوى عاليًا من الحماية لشبكات الكمبيوتر. ومع ذلك ، منذ وقت ليس ببعيد ، في عام 2009 ، تم تقديم دليل على إمكانية اختراق أي اتصال محمي بواسطة هذا البروتوكول (علاوة على ذلك ، مع مجموعات ناجحة من الإعدادات ، يستغرق الأمر حوالي دقيقة واحدة للتغلب على حماية شبكات الكمبيوتر). ومع ذلك ، فإن التشفير كوسيلة لحماية الشبكات اللاسلكية لن يتخلى عن مواقعه. في عام 2004 ، قبل اختراق WPA بوقت طويل ، تم تطوير بروتوكول WPA 2. الاختلاف الرئيسي عن WPA هو التغيير من طريقة تشفير RC4 الضعيفة بشكل أساسي إلى خوارزمية AES الأكثر أمانًا. في الوقت الحالي ، لا توجد تقارير تفيد بأن مثل هذه الحماية لشبكات الكمبيوتر يمكن اختراقها.
ومع ذلك ، هناك عائق خطير أمام التنفيذ الكامل لمثل هذا الحديث والمقاوم للطرق لتجاوز حماية الشبكات اللاسلكية من قراصنة الشبكات اللاسلكية حيث أن WPA2 هو دعمه من أجهزة العملاء. لا توجد مشكلة إذا كنت تنشر شبكة من البداية - تدعم جميع الأجهزة الحديثة التي تم إصدارها بعد عام 2006 هذه الطريقة لحماية المعلومات في الشبكات. ومع ذلك ، إذا كانت لديك أجهزة لاسلكية ترغب في استخدامها في الشبكات اللاسلكية ، ولا تدعم WPA2 ، فلا تنس أن التشفير ليس الطريقة الوحيدة الفعالة لحماية شبكات الكمبيوتر.
تصفية عنوان MAC
تعتبر طريقة حماية الشبكات المحلية مثل تصفية الوصول بواسطة عناوين MAC فعالة للغاية. عنوان MAC هو الرقم الفريد لواجهة الشبكة (بطاقة الشبكة). وبالتالي ، بمعرفة عناوين MAC للأجهزة الموثوقة مسبقًا ، يمكنك تكوين أمان شبكتك اللاسلكية. ومع ذلك ، نظرًا لإمكانية تغيير عنوان MAC الخاص بالمصنع على معدات الشبكة الحديثة ، فقد لا تكون طريقة حماية المعلومات على الشبكة فعالة. بعد كل شيء ، إذا تمكن المهاجم بطريقة ما من الوصول إلى جهاز موثوق به ، فيمكنه نسخ عنوان MAC الخاص به ، وفي المستقبل ، استخدامه لاختراق الشبكة من أي جهاز آخر (إذا كان ، بالطبع ، يدعم تغيير عنوان MAC) . ومع ذلك ، يمكن استخدام هذه الطريقة بالإضافة إلى الطرق الأخرى ، وبالتالي زيادة أمان الشبكة اللاسلكية.
إخفاء SSID
لكي يتم اختراق شيء ما ، يجب رؤيته ، أو على الأقل معرفة وجوده. وإذا كانت هذه الطريقة غير مناسبة لحماية شبكة محلية (حاول إخفاء الأسلاك) ، فهذه طريقة جيدة جدًا للخروج من أجل حماية الشبكات اللاسلكية. الحقيقة هي أن نقطة الوصول تبث بشكل افتراضي SSID الخاص بها - معرف الشبكة اللاسلكية. هذا هو المعرف الذي تلاحظه بطاقة الشبكة الخاصة بجهاز الكمبيوتر المحمول أو جهاز الاتصال عند ظهور رسالة عليها تفيد باكتشاف شبكة لاسلكية جديدة. في حين أنه لا يجعل من المستحيل على الشبكات اكتشاف ما إذا كان SSID لا يتم بثه ، فإنه سيجعل من الصعب على المهاجم اكتشافه بل ويصعب الاتصال بمثل هذه الشبكة. ومع ذلك ، فإن طريقة حماية المعلومات هذه في الشبكات لها عيوب معينة: عند توصيل أجهزة جديدة بشبكة لاسلكية موجودة ، ستحتاج إلى إدخال اسم الشبكة يدويًا.
بشكل عام ، تم اختراع طريقة لحماية المعلومات مثل VPN ليس لحماية الشبكات اللاسلكية ، ولكن لتنظيم اتصال آمن بشبكة محلية بعيدة عبر الإنترنت. ومع ذلك ، تعمل هذه التقنية بشكل رائع على الشبكات اللاسلكية وهي رائعة لتأمين الشبكات المحلية. في هذه الحالة ، يمكن أن تكون الشبكة اللاسلكية نفسها خالية تمامًا من الحماية الأخرى ، ولكن لن يكون هناك موارد مفتوحة فيها - جميع الموارد الضعيفة موجودة في شبكة افتراضية ، والواجهة الوحيدة المتاحة لها فقط من خلال الشبكة اللاسلكية. توفر خوارزميات التشفير الحديثة مقاومة عالية لمثل هذا الاتصال وحماية موثوقة للمعلومات في شبكات الكمبيوتر.
موضوع حماية الشبكات اللاسلكية واسع للغاية ، لكن القواعد العامة لحماية المعلومات في الشبكات هي نفسها بشكل عام. إذا كنت ترغب في الحصول على حماية مقاومة للقرصنة لشبكات الكمبيوتر ، فمن الأفضل الجمع بين عدة طرق للحماية.
سيوفر الجمع بين نظام حماية الشبكة المحلية متعدد الطبقات (خيار التشفير الأكثر تقدمًا وإخفاء SSID وتصفية عنوان MAC ونقل البيانات عبر VPN) حماية فعالة للمعلومات في شبكات الكمبيوتر. ومع ذلك ، سعياً وراء الكفاءة ، حاول تحقيق توازن بين موثوقية الحماية وسهولة الاستخدام - فكلما زاد عدد الفحوصات والعقبات التي تواجهها شبكتك اللاسلكية ، زادت صعوبة استخدامها. لذلك ، عند التفكير في حماية شبكتك المحلية ، فكر في احتمالية هجوم متسلل على شبكتك - لا تفرط في تحميل الشبكة بإجراءات أمنية غير مبررة ، فقد يؤثر ذلك سلبًا على الأداء ويؤدي إلى فقدان النطاق الترددي.
الوصول غير المصرح به - قراءة المعلومات أو تحديثها أو إتلافها في غياب السلطة المناسبة.
يتم إجراء الوصول غير المصرح به ، كقاعدة عامة ، باستخدام اسم شخص آخر ، وتغيير العناوين المادية للأجهزة ، واستخدام المعلومات المتبقية بعد حل المشكلات ، وتعديل البرامج ودعم المعلومات ، وسرقة وسائط المعلومات ، وتركيب معدات التسجيل.
لحماية معلوماتهم بنجاح ، يجب أن يكون لدى المستخدم فكرة واضحة تمامًا عن الطرق الممكنة للوصول غير المصرح به. الطرق النموذجية الرئيسية للحصول على المعلومات غير المصرح به:
· سرقة وسائط التخزين والنفايات الصناعية.
نسخ ناقلات المعلومات مع التغلب على تدابير الحماية ؛
تمويه كمستخدم مسجل ؛
خدعة (اخفاء بموجب طلبات النظام) ؛
استخدام أوجه القصور في أنظمة التشغيل ولغات البرمجة ؛
· استخدام الإشارات المرجعية للبرامج وكتل البرامج مثل "حصان طروادة" ؛
اعتراض الإشعاع الإلكتروني
اعتراض الإشعاع الصوتي
التصوير عن بعد
استخدام أجهزة الاستماع ؛
التعطيل الخبيث لآليات الحماية ، إلخ.
لحماية المعلومات من الوصول غير المصرح به ، قم بتطبيق:
1) التدابير التنظيمية ؛
2) الوسائل التقنية.
3) البرمجيات ؛
4) التشفير.
تشمل الأنشطة التنظيمية:
· وضع وصول؛
تخزين الوسائط والأجهزة في خزنة (الأقراص المرنة ، الشاشة ، لوحة المفاتيح ، إلخ) ؛
تقييد وصول الأشخاص إلى غرف الكمبيوتر ، وما إلى ذلك.
تشمل الوسائل التقنية:
مرشحات وشاشات للمعدات ؛
مفتاح لقفل لوحة المفاتيح ؛
أجهزة المصادقة - لقراءة بصمات الأصابع وشكل اليد وقزحية العين وسرعة الطباعة والتقنيات وما إلى ذلك ؛
· المفاتيح الإلكترونية على الدوائر الدقيقة ، إلخ.
تشمل أدوات البرمجيات:
الوصول بكلمة المرور - تحديد سلطة المستخدم ؛
قفل الشاشة ولوحة المفاتيح باستخدام مجموعة مفاتيح في الأداة المساعدة Diskreet من حزمة Norton Utilites ؛
استخدام أدوات الحماية بكلمة مرور BIOS - على BIOS نفسه وعلى جهاز الكمبيوتر ككل ، إلخ.
التشفير هو تحويل (ترميز) المعلومات المفتوحة إلى مشفرة ، لا يمكن الوصول إليها من قبل الغرباء. يتم دراسة طرق تشفير وفك تشفير الرسائل بواسطة علم التشفير ، والذي يعود تاريخه إلى حوالي أربعة آلاف عام.
2.5 أمن المعلومات في الشبكات اللاسلكية
الوتيرة السريعة بشكل لا يصدق لاعتماد الحلول اللاسلكية في شبكات اليوم تجعلنا نفكر في موثوقية حماية البيانات.
يتضمن مبدأ نقل البيانات لاسلكيًا إمكانية الاتصال غير المصرح به بنقاط الوصول.
تهديد خطير بنفس القدر هو احتمال سرقة المعدات. إذا كانت سياسة أمان الشبكة اللاسلكية تستند إلى عناوين MAC ، فيمكن لبطاقة الشبكة أو نقطة الوصول المسروقة من قبل المهاجم فتح الوصول إلى الشبكة.
في كثير من الأحيان ، يتم إجراء الاتصال غير المصرح به لنقاط الوصول بالشبكة المحلية بواسطة موظفي المؤسسة أنفسهم ، الذين لا يفكرون في الحماية.
مشاكل مثل هذه تحتاج إلى معالجة بطريقة شاملة. يتم تحديد التدابير التنظيمية بناءً على ظروف التشغيل لكل شبكة محددة. فيما يتعلق بالإجراءات التقنية ، يتم تحقيق نتيجة جيدة للغاية باستخدام المصادقة المتبادلة الإلزامية للأجهزة وإدخال عناصر تحكم نشطة.
في عام 2001 ، بدا أن التطبيقات الأولى للسائقين والبرامج تتعامل مع تشفير WEP. أنجح واحد هو PreShared Key. ولكن حتى هذا جيد فقط مع التشفير الموثوق به والاستبدال المنتظم لكلمات المرور عالية الجودة (الشكل 1).
الشكل 1 - خوارزمية لتحليل البيانات المشفرة
المتطلبات الحديثة للحماية
المصادقة
حاليًا ، في العديد من معدات الشبكات ، بما في ذلك الأجهزة اللاسلكية ، يتم استخدام طريقة مصادقة أكثر حداثة على نطاق واسع ، والتي تم تحديدها في معيار 802.1x - حتى يتم إجراء التحقق المتبادل ، لا يمكن للمستخدم استلام أو نقل أي بيانات.
يستخدم عدد من المطورين بروتوكولات EAP-TLS و PEAP للمصادقة في أجهزتهم ، تقدم Cisco Systems البروتوكولات التالية لشبكاتهم اللاسلكية ، بالإضافة إلى تلك المذكورة: EAP-TLS و PEAP و LEAP و EAP-FAST.
تشير جميع طرق المصادقة الحديثة إلى دعم المفاتيح الديناميكية.
يتمثل العيب الرئيسي في LEAP و EAP-FAST في أن هذه البروتوكولات مدعومة بشكل أساسي في معدات Cisco Systems (الشكل 2).
الشكل 2 - بنية حزمة 802.11x باستخدام تشفير TKIP-PPK و MIC و WEP.
التشفير والنزاهة
استنادًا إلى توصيات 802.11i ، نفذت Cisco Systems بروتوكول TKIP (بروتوكول السلامة المؤقتة) ، والذي يوفر تغيير مفتاح تشفير PRK (مفتاح كل حزمة) في كل حزمة والتحكم في سلامة الرسائل MIC (التحقق من سلامة الرسائل).
بروتوكول التشفير والتكامل الواعد الآخر هو AES (معيار التشفير المتقدم). لديها قوة تشفير أفضل مقارنة بـ DES و GOST 28147-89. يوفر كلاً من التشفير والسلامة.
لاحظ أن الخوارزمية المستخدمة فيها (Rijndael) لا تتطلب موارد كبيرة سواء أثناء التنفيذ أو أثناء التشغيل ، وهو أمر مهم للغاية لتقليل زمن انتقال البيانات وتحميل المعالج.
معيار الأمان للشبكات المحلية اللاسلكية هو 802.11i.
معيار الوصول المحمي بتقنية Wi-Fi (WPA) عبارة عن مجموعة من القواعد التي تفرض حماية البيانات عبر شبكات 802.11x. منذ أغسطس 2003 ، أصبح الامتثال WPA شرطًا لمعدات Wi-Fi المعتمدة.
تتضمن مواصفات WPA بروتوكول TKOP-PPK معدل. يتم إجراء التشفير على مجموعة من عدة مفاتيح - الحالية واللاحقة. في نفس الوقت ، يتم زيادة الطول الرابع إلى 48 بت. وهذا يجعل من الممكن تنفيذ تدابير إضافية لحماية المعلومات ، على سبيل المثال ، لتشديد متطلبات إعادة الاقتران وإعادة المصادقة.
تتضمن المواصفات دعم 802.1x / EAP ، ومصادقة المفتاح المشترك ، وبالطبع إدارة المفاتيح.
الجدول 3 - طرق تنفيذ سياسة الأمن
|
فِهرِس | ||||
|
دعم لنظام التشغيل الحديث | ||||
|
تعقيد البرامج وكثافة موارد المصادقة | ||||
|
تعقيد الإدارة | ||||
|
تسجيل الدخول الأحادي (تسجيل الدخول الفردي في Windows) | ||||
|
مفاتيح ديناميكية | ||||
|
كلمات مرور لمرة واحدة | ||||
تابع الجدول 3
نظرًا لاستخدام الأجهزة والبرامج الحديثة ، من الممكن حاليًا إنشاء شبكة لاسلكية آمنة ومقاومة للهجوم استنادًا إلى معايير سلسلة 802.11x.
دائمًا ما تكون الشبكة اللاسلكية متصلة بشبكة سلكية ، وهذا بالإضافة إلى الحاجة إلى حماية القنوات اللاسلكية ، يجب حمايته في الشبكات السلكية. خلاف ذلك ، ستتمتع الشبكة بحماية مجزأة ، والتي في الواقع تشكل خطرًا أمنيًا. يُنصح باستخدام معدات حاصلة على شهادة Wi-Fi Certified ، أي تؤكد امتثال WPA.
تنفيذ 802.11x / EAP / TKIP / MIC وإدارة المفاتيح الديناميكية. في حالة وجود شبكة مختلطة ، يجب استخدام شبكات VLAN ؛ مع الهوائيات الخارجية ، يتم استخدام تقنية VPN.
من الضروري الجمع بين طرق الحماية البروتوكولية والبرمجيات ، بالإضافة إلى الأساليب الإدارية.
يجب أن تحميك تصفية كلمة المرور وعنوان MAC من التعرض للاختراق. في الواقع ، تعتمد السلامة بشكل أكبر على تقديرك. توفر أساليب الأمان غير الملائمة وكلمة المرور البسيطة والموقف المتهور تجاه الغرباء المتصلين بالشبكة المنزلية فرصًا إضافية للهجوم. في هذه المقالة ، ستتعلم كيف يمكنك كسر كلمة مرور WEP ، ولماذا يجب عليك التخلي عن المرشحات ، وكيفية تأمين شبكتك اللاسلكية من جميع الجوانب.
الحماية من الضيوف غير المدعوين
شبكتك ليست آمنة ، لذلك ، عاجلاً أم آجلاً ، سيتصل شخص خارجي بشبكتك اللاسلكية - ربما ليس عن قصد ، لأن الهواتف الذكية والأجهزة اللوحية قادرة على الاتصال تلقائيًا بشبكات غير آمنة. إذا فتح عدة مواقع ، فعلى الأرجح ، لن يحدث أي شيء سيئ باستثناء استهلاك حركة المرور. سيصبح الموقف أكثر تعقيدًا إذا بدأ الضيف في تنزيل محتوى غير قانوني من خلال اتصالك بالإنترنت.
إذا لم تكن قد اتخذت أي إجراءات أمنية بعد ، فانتقل إلى واجهة جهاز التوجيه من خلال متصفح وقم بتغيير بيانات الوصول إلى الشبكة. عادة ما يبدو عنوان جهاز التوجيه كما يلي: http://192.168.1.1. إذا لم يكن الأمر كذلك ، فيمكنك معرفة عنوان IP لجهاز الشبكة الخاص بك من خلال سطر الأوامر. في نظام التشغيل Windows 7 ، انقر فوق الزر "ابدأ" واكتب "cmd" في شريط البحث. اتصل بإعدادات الشبكة باستخدام الأمر "ipconfig" وابحث عن السطر "البوابة الافتراضية". عنوان IP المحدد هو عنوان جهاز التوجيه الخاص بك ، والذي تحتاج إلى إدخاله في شريط العنوان في متصفحك. يختلف موقع إعدادات أمان جهاز التوجيه حسب الشركة المصنعة. كقاعدة عامة ، يوجدون في قسم باسم مثل "WLAN | أمان".
إذا كانت شبكتك اللاسلكية تستخدم اتصالاً غير آمن ، فيجب أن تكون حريصًا بشكل خاص مع المحتوى الموجود في المجلدات المشتركة ، لأنه في حالة عدم وجود حماية ، يكون في حوزة المستخدمين الآخرين بالكامل. في الوقت نفسه ، في نظام التشغيل Windows XP Home ، يكون الموقف مع الوصول العام كارثيًا: افتراضيًا ، لا يمكن تعيين كلمات المرور هنا على الإطلاق - هذه الوظيفة موجودة فقط في الإصدار الاحترافي. بدلاً من ذلك ، يتم إجراء جميع طلبات الشبكة من خلال حساب ضيف غير آمن. يمكنك تأمين الشبكة في نظام التشغيل Windows XP بمساعدة القليل من المعالجة: قم بتشغيل موجه الأوامر ، وأدخل "net user guest YourNewPassword" وقم بتأكيد العملية بالضغط على مفتاح "Enter". بعد إعادة تشغيل Windows ، لن يكون من الممكن الوصول إلى موارد الشبكة إلا إذا كان لديك كلمة مرور ، ومع ذلك ، فإن الضبط الدقيق في هذا الإصدار من نظام التشغيل ، للأسف ، غير ممكن. يتم تنفيذ إدارة أكثر ملاءمة لإعدادات المشاركة في Windows 7. هنا ، من أجل الحد من دائرة المستخدمين ، يكفي الانتقال إلى "مركز الشبكة والمشاركة" في لوحة التحكم وإنشاء مجموعة منزلية محمية بكلمة مرور.
يعد الافتقار إلى الحماية المناسبة في الشبكة اللاسلكية مصدرًا لمخاطر أخرى ، حيث يمكن للقراصنة استخدام برامج خاصة (المتشممون) للتعرف على جميع الاتصالات غير الآمنة. وبالتالي ، سيكون من السهل على المتسللين اعتراض بيانات التعريف الخاصة بك من الخدمات المختلفة.
قراصنة
كما كان من قبل ، فإن أكثر طريقتين للأمان شيوعًا اليوم هما تصفية عنوان MAC وإخفاء SSID (اسم الشبكة): لن تحميك إجراءات الأمان هذه. من أجل الكشف عن اسم الشبكة ، يحتاج المهاجم فقط إلى محول WLAN ، والذي ينتقل إلى وضع المراقبة بمساعدة برنامج تشغيل معدل ، ومتشمم - على سبيل المثال ، Kismet. تراقب أداة التكسير الشبكة حتى يتصل بها المستخدم (العميل). ثم يقوم بمعالجة حزم البيانات وبالتالي طرد العميل من الشبكة. عندما يعيد المستخدم الاتصال ، يرى المهاجم اسم الشبكة. يبدو الأمر معقدًا ، لكن في الواقع ، تستغرق العملية برمتها بضع دقائق فقط. يعد تجاوز عامل تصفية MAC أمرًا سهلاً أيضًا: حيث يقوم المهاجم بتحديد عنوان MAC وتخصيصه لجهازه. وبالتالي ، يبقى اتصال شخص خارجي دون أن يلاحظه أحد من قبل مالك الشبكة.
إذا كان جهازك يدعم تشفير WEP فقط ، فاتخذ إجراءً فوريًا - حتى غير المتخصصين يمكنهم كسر كلمة المرور هذه في بضع دقائق.
حزمة برامج Aircrack-ng ، والتي ، بالإضافة إلى المتشمم ، تتضمن تطبيقًا لتنزيل وتعديل برامج تشغيل محول WLAN ، وتسمح لك أيضًا باستعادة مفتاح WEP ، تحظى بشعبية خاصة بين المحتالين عبر الإنترنت. طرق القرصنة المعروفة هي هجمات PTW و FMS / KoreK ، حيث يتم اعتراض حركة المرور ويتم حساب مفتاح WEP بناءً على تحليله. في هذه الحالة ، لديك خياران فقط: أولاً ، يجب أن تبحث عن أحدث البرامج الثابتة لجهازك والتي ستدعم أحدث طرق التشفير. إذا لم تقدم الشركة المصنعة تحديثات ، فمن الأفضل رفض استخدام مثل هذا الجهاز ، لأن القيام بذلك يعرض أمن شبكتك المنزلية للخطر.
تعطي النصيحة الشائعة لقطع نطاق Wi-Fi مظهر الحماية فقط. سيظل الجيران قادرين على الاتصال بشبكتك ، وغالبًا ما يستخدم المهاجمون محولات Wi-Fi ذات مدى طويل.
النقاط الساخنة العامة
تجذب الأماكن التي تحتوي على شبكة Wi-Fi مجانية المحتالين عبر الإنترنت ، حيث تمر كميات هائلة من المعلومات من خلالها ، ويمكن لأي شخص استخدام أدوات القرصنة. يمكن العثور على النقاط الساخنة العامة في المقاهي والفنادق والأماكن العامة الأخرى. لكن يمكن للمستخدمين الآخرين لنفس الشبكات اعتراض بياناتك ، وعلى سبيل المثال ، التحكم في حساباتك على خدمات الويب المختلفة.
حماية ملفات تعريف الارتباط.بعض أساليب الهجوم بسيطة للغاية بحيث يمكن لأي شخص استخدامها. يقوم امتداد Firesheep Firefox تلقائيًا بقراءة قوائم حسابات المستخدمين الآخرين ، بما في ذلك Amazon و Google و Facebook و Twitter. إذا نقر أحد المتطفلين على أحد الإدخالات في القائمة ، فسيحصل على الفور على حق الوصول الكامل إلى الحساب وسيكون قادرًا على تغيير بيانات المستخدم حسب الرغبة. لا يقوم برنامج Firesheep بكسر كلمات المرور ، ولكنه ينسخ ملفات تعريف الارتباط النشطة غير المشفرة فقط. لحماية نفسك من مثل هذه الاعتراضات ، يجب عليك استخدام الوظيفة الإضافية HTTPS Everywhere الخاصة لمتصفح Firefox. يفرض هذا الامتداد على الخدمات عبر الإنترنت استخدام اتصال مشفر عبر HTTPS دائمًا إذا كان مدعومًا من خادم مزود الخدمة.
حماية Android.في الماضي القريب ، جذب خلل في نظام التشغيل Android انتباه الجميع ، بسبب إمكانية وصول المحتالين إلى حساباتك في خدمات مثل بيكاسا وتقويم Google ، بالإضافة إلى قراءة جهات الاتصال. أصلحت Google هذه الثغرة الأمنية في Android 2.3.4 ، لكن معظم الأجهزة التي اشتراها المستخدمون سابقًا بها إصدارات أقدم من النظام مثبتة. يمكنك استخدام تطبيق SyncGuard لحمايتهم.
WPA2
يتم توفير أفضل حماية من خلال تقنية WPA2 ، التي يستخدمها مصنعو أجهزة الكمبيوتر منذ عام 2004. تدعم معظم الأجهزة هذا النوع من التشفير. ولكن ، مثل التقنيات الأخرى ، يتمتع WPA2 أيضًا بنقطة ضعف: باستخدام هجوم القاموس أو طريقة القوة الغاشمة ("القوة الغاشمة") ، يمكن للمتسللين كسر كلمات المرور - ومع ذلك ، فقط إذا كانت غير موثوقة. تقوم القواميس ببساطة بالتكرار فوق المفاتيح المخزنة في قواعد البيانات الخاصة بها - كقاعدة عامة ، كل المجموعات الممكنة من الأرقام والأسماء. يتم تخمين كلمات المرور مثل "1234" أو "إيفانوف" بسرعة كبيرة بحيث لا يتوفر لجهاز الكمبيوتر المتصدع الوقت الكافي للإحماء.
لا تتضمن طريقة bruteforce استخدام قاعدة بيانات جاهزة ، بل على العكس من ذلك ، تخمين كلمة مرور من خلال سرد جميع مجموعات الأحرف الممكنة. بهذه الطريقة ، يمكن للمفرقعات حساب أي مفتاح - والسؤال الوحيد هو كم من الوقت سيستغرقه. توصي وكالة ناسا في إرشاداتها الأمنية بكلمة مرور لا تقل عن ثمانية أحرف ، ويفضل ستة عشر حرفًا. بادئ ذي بدء ، من المهم أن تتكون من أحرف صغيرة وكبيرة وأرقام وأحرف خاصة. سوف يستغرق المتسلل عقودًا لاختراق كلمة المرور هذه.
شبكتك ليست آمنة تمامًا بعد ، نظرًا لأن جميع المستخدمين بداخلها يمكنهم الوصول إلى جهاز التوجيه الخاص بك ويمكنهم إجراء تغييرات على إعداداته. توفر بعض الأجهزة ميزات أمان إضافية يجب أن تستفيد منها أيضًا.
بادئ ذي بدء ، قم بتعطيل القدرة على التعامل مع جهاز التوجيه عبر شبكة Wi-Fi. لسوء الحظ ، لا تتوفر هذه الميزة إلا في بعض الأجهزة ، مثل أجهزة توجيه Linksys. تتمتع جميع طرز أجهزة التوجيه الحديثة أيضًا بالقدرة على تعيين كلمة مرور لواجهة الإدارة ، مما يسمح لك بتقييد الوصول إلى الإعدادات.
مثل أي برنامج ، فإن البرامج الثابتة لجهاز التوجيه غير كاملة - لا يتم استبعاد العيوب الصغيرة أو الثغرات الخطيرة في نظام الأمان. عادة ، يتم توزيع المعلومات حول هذا على الفور عبر الويب. تحقق بانتظام من البرامج الثابتة الجديدة لجهاز التوجيه الخاص بك (تحتوي بعض الطرز على ميزة التحديث التلقائي). ميزة أخرى للوميض هي أنه يمكنهم إضافة ميزات جديدة إلى الجهاز.
يساعد التحليل الدوري لحركة مرور الشبكة على التعرف على وجود الدخلاء. في واجهة إدارة جهاز التوجيه ، يمكنك العثور على معلومات حول الأجهزة المتصلة بشبكتك ومتى. من الصعب معرفة مقدار البيانات التي قام مستخدم معين بتنزيلها.
وصول الضيف - وسيلة لحماية شبكتك المنزلية
إذا قمت بحماية جهاز التوجيه الخاص بك بكلمة مرور قوية عند استخدام تشفير WPA2 ، فلن تكون في خطر بعد الآن. ولكن فقط حتى تشارك كلمة المرور الخاصة بك مع مستخدمين آخرين. يعد الأصدقاء والمعارف الذين يرغبون في الوصول إلى الإنترنت من خلال اتصالك بهواتفهم الذكية أو أجهزتهم اللوحية أو أجهزة الكمبيوتر المحمولة من عوامل الخطر. على سبيل المثال ، لا يمكن استبعاد احتمال إصابة أجهزتهم ببرامج ضارة. ومع ذلك ، لهذا السبب ، لن تضطر إلى رفض أصدقائك ، نظرًا لأن أفضل طرازات أجهزة التوجيه ، مثل Belkin N أو Netgear WNDR3700 ، لديها وصول الضيف على وجه التحديد لمثل هذه الحالات. تتمثل ميزة هذا الوضع في أن جهاز التوجيه ينشئ شبكة منفصلة بكلمة مرور خاصة به ، ولا يتم استخدام الشبكة المنزلية.
موثوقية مفاتيح الأمان
WEP (الخصوصية المكافئة السلكية).يستخدم مولد الأرقام العشوائية الزائفة (خوارزمية RC4) للحصول على المفتاح ، بالإضافة إلى متجهات التهيئة. نظرًا لأن المكون الأخير غير مشفر ، فمن الممكن للأطراف الثالثة التدخل وإعادة إنشاء مفتاح WEP.
WPA (الوصول المحمي بشبكة WI-FI)استنادًا إلى آلية WEP ، ولكنه يوفر مفتاحًا ديناميكيًا للأمان المتقدم. يمكن اختراق المفاتيح التي تم إنشاؤها باستخدام خوارزمية TKIP من خلال هجوم Beck-Tews أو Ohigashi-Moriya. للقيام بذلك ، يتم فك تشفير الحزم الفردية ومعالجتها وإرسالها مرة أخرى إلى الشبكة.
WPA2 (الوصول المحمي بشبكة WI-FI 2)يستخدم خوارزمية AES (معيار التشفير المتقدم) الآمنة للتشفير. إلى جانب TKIP ، تمت إضافة CCMP (وضع العداد / بروتوكول CBC-MAC) ، والذي يعتمد أيضًا على خوارزمية AES. حتى الآن ، لم يتم اختراق الشبكة المحمية بهذه التقنية. الاحتمال الوحيد للمتسللين هو هجوم القاموس أو "طريقة القوة الغاشمة" عندما يتم تخمين المفتاح عن طريق التخمين ، ولكن باستخدام كلمة مرور معقدة من المستحيل تخمينها.
جار التحميل...