موارد مهم در تامین امنیت بر روی یک شبکه
امنیت تجهیزات شبکه
برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.
اهمیت امنیت تجهیزات به دو علت اهمیت ویژهای مییابد :
الف) عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه میدهد که با دستیابی به تجهیزات امکان پیکربندی آنها را به گونهای که تمایل دارند آن سختافزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکانپذیر خواهد شد.
ب) برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حملهها نفوذگران میتوانند سرویسهایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم میشود.
در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار میگیرد. عناوین برخی از این موضوعات به شرح زیر هستند :
- امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه
- امنیت تجهیزات شبکه در سطوح منطقی
- بالابردن امنیت تجهیزات توسط افزونگی در سرویسها و سختافزارها
موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار میگیرند :
- امنیت فیزیکی
- امنیت منطقی
● امنیت فیزیکی
امنیت فیزیکی بازه وسیعی از تدابیر را در بر میگیرد که استقرار تجهیزات در مکانهای امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جملهاند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سختافزار و یا سرویسدهنده مشابه جایگزین میشود) بدست میآید.
در بررسی امنیت فیزیکی و اعمال آن، ابتدا باید به خطرهایی که از این طریق تجهزات شبکه را تهدید میکنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حملهها میتوان به راهحلها و ترفندهای دفاعی در برار اینگونه حملات پرداخت.
طراحی توپولوژیکی شبکه، یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی میتواند از خطای کلی شبکه جلوگیری کند.
در این مقوله، سه طراحی که معمول هستند مورد بررسی قرار میگیرند :الف) طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.
ب) طراحی ستارهای : در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویسدهی به دیگر نقاط دچار اختلال نمیگردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی، که میتواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال میشود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته میشود.
ج) طراحی مش : در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد، با وجود آنکه زمانبندی سرویسدهی را دچار اختلال خواهد کرد. پیادهسازی چنین روش با وجود امنیت بالا، به دلیل محدودیتهای اقتصادی، تنها در موارد خاص و بحرانی انجام میگیرد.
▪ محلهای امن برای تجهیزات
در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار میگیرد :
- یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونهای که هرگونه نفوذ در محل آشکار باشد.
- در نظر داشتن محلی که در داخل ساختمان یا مجموعهای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعهی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.
با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکانهای بلااستفاده سود برده است (که باعث ایجاد خطرهای امنیتی میگردد)، میتوان اعتدالی منطقی را در نظر داشت.
در مجموع میتوان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :
- محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفلها و مکانیزمهای دسترسی دیجیتالی به همراه ثبت زمانها، مکانها و کدهای کاربری دسترسیهای انجام شده.
- استفاده از دوربینهای پایش در ورودی محلهای استقرار تجهیزات شبکه و اتاقهای اتصالات و مراکز پایگاههای داده.
- اعمال ترفندهایی برای اطمینان از رعایت اصول امنیتی.
▪ انتخاب لایه کانال ارتباطی امن
با وجود آنکه زمان حملهی فیزیکی به شبکههای کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادمها و سرویسدهندههای مورد اطمینان شبکه معطوف شده است، ولی گونهای از حملهی فیزیکی کماکان دارای خطری بحرانی است.
عمل شنود بر روی سیمهای مسی، چه در انواع Coax و چه در زوجهای تابیده، هماکنون نیز از راههای نفوذ به شمار میآیند. با استفاده از شنود میتوان اطلاعات بدست آمده از تلاشهای دیگر برای نفوذ در سیستمهای کامپیوتری را گسترش داد و به جمعبندی مناسبی برای حمله رسید. هرچند که میتوان سیمها را نیز به گونهای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایهی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنالهای الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روشهای معمول شنود به پایینترین حد خود نسبت به استفاده از سیم در ارتباطات میشود.
▪ منابع تغذیه
از آنجاکه دادههای شناور در شبکه به منزلهی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاهداشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی میکنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :
- طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه. این طراحی باید به گونهای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکهی تامین فشار بیشاندازهای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.
- وجود منبع یا منابع تغذیه پشتیبان به گونهای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.
▪ عوامل محیطی
یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه میشوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانهای باید در نظر گرفت میتوان به دو عامل زیر اشاره کرد :
- احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)
- زلزله، طوفان و دیگر بلایای طبیعی
با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را میتوان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی، با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که میتوان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.
● امنیت منطقی
امنیت منطقی به معنای استفاده از روشهایی برای پایین آوردن خطرات حملات منطقی و نرمافزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریابها و سوئیچهای شبکه بخش مهمی از این گونه حملات را تشکیل میدهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار میگیرند میپردازیم.
▪ امنیت مسیریابها
حملات ضد امنیتی منطقی برای مسیریابها و دیگر تجهیزات فعال شبکه، مانند سوئیچها، را میتوان به سه دستهی اصلی تقسیم نمود :
- حمله برای غیرفعال سازی کامل
- حمله به قصد دستیابی به سطح کنترل
- حمله برای ایجاد نقص در سرویسدهی
طبیعی است که راهها و نکاتی که در این زمینه ذکر میشوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند. لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبهی آنرا تشکیل میدهد.
▪ مدیریت پیکربندی
یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پروندهها مختص پیکربندی است. از این پروندهها که در حافظههای گوناگون این تجهیزات نگاهداری میشوند، میتوان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر مییابند، نسخه پشتیبان تهیه کرد.
با وجود نسخ پشتیبان، منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که میتواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاهترین زمان ممکن میتوان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بینقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سختافزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.
▪ افزونگی در محل استقرار شبکه
یکی از راهکارها در قالب ایجاد افزونگی در شبکههای کامپیوتری، ایجاد سیستمی کامل، مشابه شبکهی اولیهی در حال کار است. در این راستا، شبکهی ثانویهی، کاملاً مشابه شبکهی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد، در محلی که میتواند از نظر جغرافیایی با شبکهی اول فاصلهای نه چندان کوتاه نیز داشته باشد برقرار میشود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل میکند (مانند زلزله) میتوان از شبکهی دیگر به طور کاملاً جایگزین استفاده کرد، در استفادههای روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکهی مشابه پخش میشود تا زمان پاسخ به حداقل ممکن برسد. اما این مورد جزو خدمات شبکه است را می توان جهت پشتیبانی و نگهداری شبکه فناوران عصر شبکه پاسارگاد بسپارید.با وجود آنکه استفاده از این روش در شبکههای معمول که حجم جندانی ندارند، به دلیل هزینههای تحمیلی بالا، امکانپذیر و اقتصادی به نظر نمیرسد، ولی در شبکههای با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب میآیند از الزامات است.
نرمافزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصلههای زمانی متغیر دارا میباشند. با استفاده از این نرمافزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید میآید به کمترین حد ممکن میرسد.
▪ کنترل دسترسی به تجهیزات
دو راه اصلی برای کنترل تجهزات فعال وجود دارد :
- کنترل از راه دور
- کنترل از طریق درگاه کنسول
در روش اول میتوان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرسهایی خاص یا استاندارها و پروتکلهای خاص، احتمال حملات را پایین آورد.
در مورد روش دوم، با وجود آنکه به نظر میرسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیتها در روش اول عملاً امنیت تجهیزات را تآمین نمیکند.
برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راهدور دارند، اطمینان حاصل نمود.
▪ امن سازی دسترسی
علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روشهای معمول امنسازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمولترین روشهای حمله هستند را به حداقل میرساند.
از دیگر روشهای معمول میتوان به استفاده از کانالهای --- مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونهای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریابها، این روش را مرجح میدانند.
▪ مدیریت رمزهای عبور
مناسبترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سختافزار نگاهداری شوند. در این صورت مهمترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سختافزارهای مشابه است.
● ملزومات و مشکلات امنیتی ارائه دهندگان خدمات
زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان میآید، مقصود شبکههای بزرگی است که خود به شبکههای رایانهای کوچکتر خدماتی ارائه میدهند. به عبارت دیگر این شبکههای بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکهی جهانی اینترنت کنونی را شکل میدهند. با وجود آنکه غالب اصول امنیتی در شبکههای کوچکتر رعایت میشود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکهها مطرح هستند.
▪ قابلیتهای امنیتی
ملزومات مذکور را میتوان، تنها با ذکر عناوین، به شرح زیر فهرست نمود :
۱) قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات
۲) وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بستههایی که به قصد حمله بر روی شبکه ارسال میشوند. از آنجاییکه شبکههای بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستمهای IDS بر روی آنها، میتوان به بالاترین بخت برای تشخیص حملات دست یافت.
۳) قابلیت تشخیص منبع حملات. با وجود آنکه راههایی از قبیل سرقت آدرس و استفاده از سیستمهای دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار مینمایند، ولی استفاده از سیستمهای ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازهی مشکوک به وجود منبع اصلی مینماید. بیشترین تآثیر این مکانیزم زمانی است که حملاتی از نوع DoS از سوی نفوذگران انجام میگردد.
▪ مشکلات اعمال ملزومات امنیتی
با وجود لزوم وجود قابلیتهایی که بطور اجمالی مورد اشاره قرار گرفتند، پیادهسازی و اعمال آنها همواره آسان نیست.
یکی از معمولترین مشکلات، پیادهسازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر میشود، برای دستهای دیگر به عنوان جریان عادی داده است. لذا تشخیص این دو جریان از یکدیگر بر پیچیدگی IDS افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بستههای اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها میتوان متوسل به تجهیزات گرانتر و اعمال سیاستهای امنیتی پیچیدهتر شد.
با این وجود، با هرچه بیشتر حساس شدن ترافیک و جریانهای داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکههای کوچکی که خود به شبکههای بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکهها میتوان داشتایمن سازی شبکه های بدون کابلاستفاده از شبکه های بدون کابل در سالیان اخیر متداول و بسیاری از شرکت ها و موسسات به منظور برپاسازی شبکه و اتصال به اینترنت از گزینه فوق استفاده می نمایند . شبکه های بدون کابل علیرغم ارائه تسهیلات لازم به منظور دستیابی و استفاده از منابع موجود بر روی شبکه ، دارای چالش های امنیـتی مختص به خود می باشند که می تواند تهدیدات امنیتی جدیدی را بدنبال داشته باشد . تمامی موسسات و سازمان هائی که از این نوع شبکه های کامپیوتری استفاده می نمایند ، می بایست اقدامات لازم در جهت پیشگیری از حملات و حفاظت از منابع موجود در شبکه را انجام دهند .
●نحوه عملکرد یک شبکه بدون کابل
با استفاده از شبکه های بدون کابل که به آنان WiFi نیز گفته می شود ، می توان بدون استفاده از کابل به یک شبکه خصوصی ( شبکه های اینترانت ) و یا عمومی ( اینترنت ) متصل گردید . کاربران شبکه های بدون کابل در صورت استقرار در محدوده شبکه ، قادر به دستیابی و استفاده از منابع موجود بر روی شبکه خواهند بود.
شبکه های بدون کابل در مقابل استفاده از کابل از امواج رادیوئی به منظور اتصال کامپیوتر ها به شبکه ( نظیر اینترنت ) استفاده می نمایند . یک فرستنده که Access point و یا Gateway نامیده می شود ، با استفاده از کابل به یک اتصال اینترنت متصل می گردد . بدین ترتیب یک نقطه حیاتی به منظور ارسال اطلاعات به کمک امواج رادیوئی ایجاد می گردد . در این رابطه و به منظور شناسائی اطلاعات ارسالی از یک SSID ( اقتباس شده از Service Set IDentifier ) استفاده می گردد که به کمک آن کامپیوترهای موجود در یک شبکه بدون کابل قادر به یافتن یکدیگر می باشند. SSID ، نظیر یک "رمزعبور" است که امکان تقسیم یک شبکه WLAN به چندین شبکه متفاوت دیگر را که هر یک دارای یک شناسه منحصر بفرد می باشند، فراهم می نماید . شناسه های فوق، می بایست برای هر access point تعریف گردند. یک کامپیوتر سرویس گیرنده به منظور دستیابی به هر شبکه ، می بایست بگونه ای پیکربندی گردد که دارای شناسه SSID مربوط به آن شبکه خاص باشد . در صورت مطابقت شناسه کامپیوتر سرویس گیرنده با شناسه شبکه ، امکان دستیابی به شبکه برای سرویس گیرنده فراهم می گردد .
کامپیوترهائی که دارای یک کارت بدون کابل بوده و مجوز لازم برای دستیابی به فرکانس شبکه بدون کابل به آنان اعطاء شده است ، می توانند از منابع موجود بر روی شبکه استفاده نمایند . برخی کامپیوترها ممکن است به صورت اتوماتیک شبکه های بدون کابل موجود در یک ناحیه را شناسائی نمایند . در برخی دیگر از کامپیوترها می بایست اطلاعاتی نظیر SSID به صورت دستی تنظیم و پیکربندی لازم انجام شود .
●تهدیدات امنیتی در ارتباط با شبکه های بدون کابل
همانگونه که اشاره گردید ، شبکه های بدون کابل برای ارتباط یک کامپیوتر با شبکه ( نظیر استفاده از اینترنت ) از کابل استفاده نمی نمایند . همین موضوع می تواند شرایط مساعدی را برای برنامه ریزی و تدارک برخی حملات فراهم نماید . مثلا" مهاجمانی که در محدوده یک شبکه بدون کابل می باشند ، می توانند با بکارگیری تجهیزاتی خاص ( نظیر یک کامپیوتر مجهز به یک کارت بدون کابل و یک دستگاه GPS ) ، جستجو برای یافتن شبکه های بدون کابل و آگاهی از مختصات و موقعیت مکانی آنان را انجام دهند . پس از شناسائی شبکه و مولفه های حیاتی آن، مهاجمان قادر به ره گیری ارتباط بین یک کامپیوتر و یک دستگاه ارتباطی خاص و استفاده غیرمجاز از اطلاعات خواهند بود .
●پیشنهاداتی به منظور کاهش تهدیدات امنیتی
▪تغییر رمزهای عبور پیش فرض : اکثر دستگاه های شبکه ( نظیر دستگاه های Access ponit ) دارای تنظیمات از قبل تعریف شده ای می باشند که برای پیکربندی و تنظیم آسان آنان از رمزهای عبور پیش فرضی استفاده می شود . رمزهای عبور پیش فرض دارای شرایط مناسب حفاظتی نبوده و امکان تشخیص و یا حدس آنان توسط مهاجمان به سادگی وجود خواهد داشت . پیشنهاد می گردد که رمزهای عبور پیش فرض را تغییر داده و از رمزهای عبوری استفاده شود که امکان تشخیص آنان برای مهاجمان مشکل باشد .
▪اعمال محدودیت لازم به منظور دستیابی به شبکه : صرفا"به کاربران تائید شده ، می بایست امکان استفاده از شبکه داده شود .هر یک از عناصر سخت افزاری متصل شده به شبکه ، از یک آدرس MAC استفاده می نمایند . با ف=ی=ل=ت=رینگ آدرس های MAC ، می توان یک سطح حفاظتی مناسب به منظور دستیابی به شبکه را ایجاد نمود . در این روش ، لیستی از آدرس های MAC مربوط به کامپیوترهای سرویس گیرنده، برای یک Access Point تعریف می گردد . بدین ترتیب ، صرفا" به کامپیوترهای فوق امکان دستیابی به شبکه داده خواهد شد . پس از ارسال یک درخواست توسط یکی از کامپیوترهای موجود در شبکه بدون کابل، آدرس MAC آن با آدرس MAC موجود در Access Point مقایسه می گردد و در صورت مطابقت آنان با یکدیگر ، امکان دستیابی به شبکه برای وی فراهم می گردد . روش ف=ی=ل=ت=رینگ مبتنی بر آدرس های MAC ، یک سطح حفاظتی مناسب را در شبکه ایجاد می نماید ، ولی با توجه به این که می بایست هر یک از آدرس های MAC را برای هر Access point تعریف نمود ، زمان زیادی صرف انجام تنظیمات مورد نظر خواهد شد . استفاده از روش فوق، صرفا" در شبکه های کوچک بدون کابل پیشنهاد می گردد . برای اعمال محدودیت لازم به منظور دستیابی به شبکه های بدون کابل و تائید کاربران ، از تکنولوژی های متعددی استفاده می گردد .
▪رمزنگاری اطلاعات : با استفاده از WEP ( اقتباس شده از Wired Equivalent Privacy ) و WPA ( اقتباس شده از Wi-Fi Protected Access ) ، می توان اطلاعات موجود در شبکه های بدون کابل را رمز نمود . WEP دارای مسائل امنیتی مختص به خود است که استفاده از آن را در مقایسه با WPA کمتر نموده است. پیشنهاد می گردد از تجهیزاتی که رمزنگاری مبتنی بر WPA را حمایت می نمایند، استفاده شود . رمزنگاری اطلاعات باعث پیشگیری از مشاهده اطلاعات موجود در یک شبکه توسط افراد غیرمجاز می گردد .
▪حفاظت از SSID : به منظور پیشگیری از دستیابی افراد خارج از محدوده یک شبکه بدون کابل به منابع موجود بر روی شبکه ، می بایست به خوبی از SSID حفاظت گردد . در صورتی که امکان تغییر SSID وجود داشته باشد، از شناسه هائی استفاده نمائید که امکان تشخیص و حدس آنان توسط مهاجمان مشکل باشد .
▪نصب یک فایروال : با این که نصب یک فایروال در شبکه ، اقدامی موثر در جهت حفاظت شبکه و منابع موجود بر روی آن می باشد ، می بایست یک فایروال دیگر را نیز مستقیما" بر روی دستگاه های بدون کابل نصب نمود ( یک فایروال host-based ) . بدین ترتیب یک لایه حفاظتی مناسب در ارتباط با داده های موجود برروی یک کامپیوتر ، ایجاد می گردد .
▪استفاده و بهنگام نگه داشتن یک نرم افزار آنتی ویروس : با نصب و بهنگام نگه داشتن یک نرم افزار آنتی ویروس ، می توان درصد موفقیت مهاجمان به منظور تخریب اطلاعات را کاهش داد . برخی از برنامه های آنتی ویروس دارای امکانات و ویژگی های خاصی به منظور حفاظت در مقابل Spyware و تشخیص تروجان ها نیز می باشند .
امنیت تجهیزات شبکه
برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.
اهمیت امنیت تجهیزات به دو علت اهمیت ویژهای مییابد :
الف) عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه میدهد که با دستیابی به تجهیزات امکان پیکربندی آنها را به گونهای که تمایل دارند آن سختافزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکانپذیر خواهد شد.
ب) برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حملهها نفوذگران میتوانند سرویسهایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم میشود.
در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار میگیرد. عناوین برخی از این موضوعات به شرح زیر هستند :
- امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه
- امنیت تجهیزات شبکه در سطوح منطقی
- بالابردن امنیت تجهیزات توسط افزونگی در سرویسها و سختافزارها
موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار میگیرند :
- امنیت فیزیکی
- امنیت منطقی
● امنیت فیزیکی
امنیت فیزیکی بازه وسیعی از تدابیر را در بر میگیرد که استقرار تجهیزات در مکانهای امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جملهاند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سختافزار و یا سرویسدهنده مشابه جایگزین میشود) بدست میآید.
در بررسی امنیت فیزیکی و اعمال آن، ابتدا باید به خطرهایی که از این طریق تجهزات شبکه را تهدید میکنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حملهها میتوان به راهحلها و ترفندهای دفاعی در برار اینگونه حملات پرداخت.
طراحی توپولوژیکی شبکه، یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی میتواند از خطای کلی شبکه جلوگیری کند.
در این مقوله، سه طراحی که معمول هستند مورد بررسی قرار میگیرند :الف) طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.
ب) طراحی ستارهای : در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویسدهی به دیگر نقاط دچار اختلال نمیگردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی، که میتواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال میشود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته میشود.
ج) طراحی مش : در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد، با وجود آنکه زمانبندی سرویسدهی را دچار اختلال خواهد کرد. پیادهسازی چنین روش با وجود امنیت بالا، به دلیل محدودیتهای اقتصادی، تنها در موارد خاص و بحرانی انجام میگیرد.
▪ محلهای امن برای تجهیزات
در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار میگیرد :
- یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونهای که هرگونه نفوذ در محل آشکار باشد.
- در نظر داشتن محلی که در داخل ساختمان یا مجموعهای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعهی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.
با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکانهای بلااستفاده سود برده است (که باعث ایجاد خطرهای امنیتی میگردد)، میتوان اعتدالی منطقی را در نظر داشت.
در مجموع میتوان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :
- محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفلها و مکانیزمهای دسترسی دیجیتالی به همراه ثبت زمانها، مکانها و کدهای کاربری دسترسیهای انجام شده.
- استفاده از دوربینهای پایش در ورودی محلهای استقرار تجهیزات شبکه و اتاقهای اتصالات و مراکز پایگاههای داده.
- اعمال ترفندهایی برای اطمینان از رعایت اصول امنیتی.
▪ انتخاب لایه کانال ارتباطی امن
با وجود آنکه زمان حملهی فیزیکی به شبکههای کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادمها و سرویسدهندههای مورد اطمینان شبکه معطوف شده است، ولی گونهای از حملهی فیزیکی کماکان دارای خطری بحرانی است.
عمل شنود بر روی سیمهای مسی، چه در انواع Coax و چه در زوجهای تابیده، هماکنون نیز از راههای نفوذ به شمار میآیند. با استفاده از شنود میتوان اطلاعات بدست آمده از تلاشهای دیگر برای نفوذ در سیستمهای کامپیوتری را گسترش داد و به جمعبندی مناسبی برای حمله رسید. هرچند که میتوان سیمها را نیز به گونهای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایهی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنالهای الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روشهای معمول شنود به پایینترین حد خود نسبت به استفاده از سیم در ارتباطات میشود.
▪ منابع تغذیه
از آنجاکه دادههای شناور در شبکه به منزلهی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاهداشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی میکنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :
- طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه. این طراحی باید به گونهای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکهی تامین فشار بیشاندازهای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.
- وجود منبع یا منابع تغذیه پشتیبان به گونهای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.
▪ عوامل محیطی
یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه میشوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانهای باید در نظر گرفت میتوان به دو عامل زیر اشاره کرد :
- احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)
- زلزله، طوفان و دیگر بلایای طبیعی
با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را میتوان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی، با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که میتوان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.
● امنیت منطقی
امنیت منطقی به معنای استفاده از روشهایی برای پایین آوردن خطرات حملات منطقی و نرمافزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریابها و سوئیچهای شبکه بخش مهمی از این گونه حملات را تشکیل میدهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار میگیرند میپردازیم.
▪ امنیت مسیریابها
حملات ضد امنیتی منطقی برای مسیریابها و دیگر تجهیزات فعال شبکه، مانند سوئیچها، را میتوان به سه دستهی اصلی تقسیم نمود :
- حمله برای غیرفعال سازی کامل
- حمله به قصد دستیابی به سطح کنترل
- حمله برای ایجاد نقص در سرویسدهی
طبیعی است که راهها و نکاتی که در این زمینه ذکر میشوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند. لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبهی آنرا تشکیل میدهد.
▪ مدیریت پیکربندی
یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پروندهها مختص پیکربندی است. از این پروندهها که در حافظههای گوناگون این تجهیزات نگاهداری میشوند، میتوان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر مییابند، نسخه پشتیبان تهیه کرد.
با وجود نسخ پشتیبان، منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که میتواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاهترین زمان ممکن میتوان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بینقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سختافزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.
▪ افزونگی در محل استقرار شبکه
یکی از راهکارها در قالب ایجاد افزونگی در شبکههای کامپیوتری، ایجاد سیستمی کامل، مشابه شبکهی اولیهی در حال کار است. در این راستا، شبکهی ثانویهی، کاملاً مشابه شبکهی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد، در محلی که میتواند از نظر جغرافیایی با شبکهی اول فاصلهای نه چندان کوتاه نیز داشته باشد برقرار میشود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل میکند (مانند زلزله) میتوان از شبکهی دیگر به طور کاملاً جایگزین استفاده کرد، در استفادههای روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکهی مشابه پخش میشود تا زمان پاسخ به حداقل ممکن برسد. اما این مورد جزو خدمات شبکه است را می توان جهت پشتیبانی و نگهداری شبکه فناوران عصر شبکه پاسارگاد بسپارید.با وجود آنکه استفاده از این روش در شبکههای معمول که حجم جندانی ندارند، به دلیل هزینههای تحمیلی بالا، امکانپذیر و اقتصادی به نظر نمیرسد، ولی در شبکههای با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب میآیند از الزامات است.
نرمافزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصلههای زمانی متغیر دارا میباشند. با استفاده از این نرمافزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید میآید به کمترین حد ممکن میرسد.
▪ کنترل دسترسی به تجهیزات
دو راه اصلی برای کنترل تجهزات فعال وجود دارد :
- کنترل از راه دور
- کنترل از طریق درگاه کنسول
در روش اول میتوان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرسهایی خاص یا استاندارها و پروتکلهای خاص، احتمال حملات را پایین آورد.
در مورد روش دوم، با وجود آنکه به نظر میرسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیتها در روش اول عملاً امنیت تجهیزات را تآمین نمیکند.
برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راهدور دارند، اطمینان حاصل نمود.
▪ امن سازی دسترسی
علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روشهای معمول امنسازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمولترین روشهای حمله هستند را به حداقل میرساند.
از دیگر روشهای معمول میتوان به استفاده از کانالهای --- مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونهای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریابها، این روش را مرجح میدانند.
▪ مدیریت رمزهای عبور
مناسبترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سختافزار نگاهداری شوند. در این صورت مهمترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سختافزارهای مشابه است.
● ملزومات و مشکلات امنیتی ارائه دهندگان خدمات
زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان میآید، مقصود شبکههای بزرگی است که خود به شبکههای رایانهای کوچکتر خدماتی ارائه میدهند. به عبارت دیگر این شبکههای بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکهی جهانی اینترنت کنونی را شکل میدهند. با وجود آنکه غالب اصول امنیتی در شبکههای کوچکتر رعایت میشود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکهها مطرح هستند.
▪ قابلیتهای امنیتی
ملزومات مذکور را میتوان، تنها با ذکر عناوین، به شرح زیر فهرست نمود :
۱) قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات
۲) وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بستههایی که به قصد حمله بر روی شبکه ارسال میشوند. از آنجاییکه شبکههای بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستمهای IDS بر روی آنها، میتوان به بالاترین بخت برای تشخیص حملات دست یافت.
۳) قابلیت تشخیص منبع حملات. با وجود آنکه راههایی از قبیل سرقت آدرس و استفاده از سیستمهای دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار مینمایند، ولی استفاده از سیستمهای ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازهی مشکوک به وجود منبع اصلی مینماید. بیشترین تآثیر این مکانیزم زمانی است که حملاتی از نوع DoS از سوی نفوذگران انجام میگردد.
▪ مشکلات اعمال ملزومات امنیتی
با وجود لزوم وجود قابلیتهایی که بطور اجمالی مورد اشاره قرار گرفتند، پیادهسازی و اعمال آنها همواره آسان نیست.
یکی از معمولترین مشکلات، پیادهسازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر میشود، برای دستهای دیگر به عنوان جریان عادی داده است. لذا تشخیص این دو جریان از یکدیگر بر پیچیدگی IDS افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بستههای اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها میتوان متوسل به تجهیزات گرانتر و اعمال سیاستهای امنیتی پیچیدهتر شد.
با این وجود، با هرچه بیشتر حساس شدن ترافیک و جریانهای داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکههای کوچکی که خود به شبکههای بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکهها میتوان داشتایمن سازی شبکه های بدون کابلاستفاده از شبکه های بدون کابل در سالیان اخیر متداول و بسیاری از شرکت ها و موسسات به منظور برپاسازی شبکه و اتصال به اینترنت از گزینه فوق استفاده می نمایند . شبکه های بدون کابل علیرغم ارائه تسهیلات لازم به منظور دستیابی و استفاده از منابع موجود بر روی شبکه ، دارای چالش های امنیـتی مختص به خود می باشند که می تواند تهدیدات امنیتی جدیدی را بدنبال داشته باشد . تمامی موسسات و سازمان هائی که از این نوع شبکه های کامپیوتری استفاده می نمایند ، می بایست اقدامات لازم در جهت پیشگیری از حملات و حفاظت از منابع موجود در شبکه را انجام دهند .
●نحوه عملکرد یک شبکه بدون کابل
با استفاده از شبکه های بدون کابل که به آنان WiFi نیز گفته می شود ، می توان بدون استفاده از کابل به یک شبکه خصوصی ( شبکه های اینترانت ) و یا عمومی ( اینترنت ) متصل گردید . کاربران شبکه های بدون کابل در صورت استقرار در محدوده شبکه ، قادر به دستیابی و استفاده از منابع موجود بر روی شبکه خواهند بود.
شبکه های بدون کابل در مقابل استفاده از کابل از امواج رادیوئی به منظور اتصال کامپیوتر ها به شبکه ( نظیر اینترنت ) استفاده می نمایند . یک فرستنده که Access point و یا Gateway نامیده می شود ، با استفاده از کابل به یک اتصال اینترنت متصل می گردد . بدین ترتیب یک نقطه حیاتی به منظور ارسال اطلاعات به کمک امواج رادیوئی ایجاد می گردد . در این رابطه و به منظور شناسائی اطلاعات ارسالی از یک SSID ( اقتباس شده از Service Set IDentifier ) استفاده می گردد که به کمک آن کامپیوترهای موجود در یک شبکه بدون کابل قادر به یافتن یکدیگر می باشند. SSID ، نظیر یک "رمزعبور" است که امکان تقسیم یک شبکه WLAN به چندین شبکه متفاوت دیگر را که هر یک دارای یک شناسه منحصر بفرد می باشند، فراهم می نماید . شناسه های فوق، می بایست برای هر access point تعریف گردند. یک کامپیوتر سرویس گیرنده به منظور دستیابی به هر شبکه ، می بایست بگونه ای پیکربندی گردد که دارای شناسه SSID مربوط به آن شبکه خاص باشد . در صورت مطابقت شناسه کامپیوتر سرویس گیرنده با شناسه شبکه ، امکان دستیابی به شبکه برای سرویس گیرنده فراهم می گردد .
کامپیوترهائی که دارای یک کارت بدون کابل بوده و مجوز لازم برای دستیابی به فرکانس شبکه بدون کابل به آنان اعطاء شده است ، می توانند از منابع موجود بر روی شبکه استفاده نمایند . برخی کامپیوترها ممکن است به صورت اتوماتیک شبکه های بدون کابل موجود در یک ناحیه را شناسائی نمایند . در برخی دیگر از کامپیوترها می بایست اطلاعاتی نظیر SSID به صورت دستی تنظیم و پیکربندی لازم انجام شود .
●تهدیدات امنیتی در ارتباط با شبکه های بدون کابل
همانگونه که اشاره گردید ، شبکه های بدون کابل برای ارتباط یک کامپیوتر با شبکه ( نظیر استفاده از اینترنت ) از کابل استفاده نمی نمایند . همین موضوع می تواند شرایط مساعدی را برای برنامه ریزی و تدارک برخی حملات فراهم نماید . مثلا" مهاجمانی که در محدوده یک شبکه بدون کابل می باشند ، می توانند با بکارگیری تجهیزاتی خاص ( نظیر یک کامپیوتر مجهز به یک کارت بدون کابل و یک دستگاه GPS ) ، جستجو برای یافتن شبکه های بدون کابل و آگاهی از مختصات و موقعیت مکانی آنان را انجام دهند . پس از شناسائی شبکه و مولفه های حیاتی آن، مهاجمان قادر به ره گیری ارتباط بین یک کامپیوتر و یک دستگاه ارتباطی خاص و استفاده غیرمجاز از اطلاعات خواهند بود .
●پیشنهاداتی به منظور کاهش تهدیدات امنیتی
▪تغییر رمزهای عبور پیش فرض : اکثر دستگاه های شبکه ( نظیر دستگاه های Access ponit ) دارای تنظیمات از قبل تعریف شده ای می باشند که برای پیکربندی و تنظیم آسان آنان از رمزهای عبور پیش فرضی استفاده می شود . رمزهای عبور پیش فرض دارای شرایط مناسب حفاظتی نبوده و امکان تشخیص و یا حدس آنان توسط مهاجمان به سادگی وجود خواهد داشت . پیشنهاد می گردد که رمزهای عبور پیش فرض را تغییر داده و از رمزهای عبوری استفاده شود که امکان تشخیص آنان برای مهاجمان مشکل باشد .
▪اعمال محدودیت لازم به منظور دستیابی به شبکه : صرفا"به کاربران تائید شده ، می بایست امکان استفاده از شبکه داده شود .هر یک از عناصر سخت افزاری متصل شده به شبکه ، از یک آدرس MAC استفاده می نمایند . با ف=ی=ل=ت=رینگ آدرس های MAC ، می توان یک سطح حفاظتی مناسب به منظور دستیابی به شبکه را ایجاد نمود . در این روش ، لیستی از آدرس های MAC مربوط به کامپیوترهای سرویس گیرنده، برای یک Access Point تعریف می گردد . بدین ترتیب ، صرفا" به کامپیوترهای فوق امکان دستیابی به شبکه داده خواهد شد . پس از ارسال یک درخواست توسط یکی از کامپیوترهای موجود در شبکه بدون کابل، آدرس MAC آن با آدرس MAC موجود در Access Point مقایسه می گردد و در صورت مطابقت آنان با یکدیگر ، امکان دستیابی به شبکه برای وی فراهم می گردد . روش ف=ی=ل=ت=رینگ مبتنی بر آدرس های MAC ، یک سطح حفاظتی مناسب را در شبکه ایجاد می نماید ، ولی با توجه به این که می بایست هر یک از آدرس های MAC را برای هر Access point تعریف نمود ، زمان زیادی صرف انجام تنظیمات مورد نظر خواهد شد . استفاده از روش فوق، صرفا" در شبکه های کوچک بدون کابل پیشنهاد می گردد . برای اعمال محدودیت لازم به منظور دستیابی به شبکه های بدون کابل و تائید کاربران ، از تکنولوژی های متعددی استفاده می گردد .
▪رمزنگاری اطلاعات : با استفاده از WEP ( اقتباس شده از Wired Equivalent Privacy ) و WPA ( اقتباس شده از Wi-Fi Protected Access ) ، می توان اطلاعات موجود در شبکه های بدون کابل را رمز نمود . WEP دارای مسائل امنیتی مختص به خود است که استفاده از آن را در مقایسه با WPA کمتر نموده است. پیشنهاد می گردد از تجهیزاتی که رمزنگاری مبتنی بر WPA را حمایت می نمایند، استفاده شود . رمزنگاری اطلاعات باعث پیشگیری از مشاهده اطلاعات موجود در یک شبکه توسط افراد غیرمجاز می گردد .
▪حفاظت از SSID : به منظور پیشگیری از دستیابی افراد خارج از محدوده یک شبکه بدون کابل به منابع موجود بر روی شبکه ، می بایست به خوبی از SSID حفاظت گردد . در صورتی که امکان تغییر SSID وجود داشته باشد، از شناسه هائی استفاده نمائید که امکان تشخیص و حدس آنان توسط مهاجمان مشکل باشد .
▪نصب یک فایروال : با این که نصب یک فایروال در شبکه ، اقدامی موثر در جهت حفاظت شبکه و منابع موجود بر روی آن می باشد ، می بایست یک فایروال دیگر را نیز مستقیما" بر روی دستگاه های بدون کابل نصب نمود ( یک فایروال host-based ) . بدین ترتیب یک لایه حفاظتی مناسب در ارتباط با داده های موجود برروی یک کامپیوتر ، ایجاد می گردد .
▪استفاده و بهنگام نگه داشتن یک نرم افزار آنتی ویروس : با نصب و بهنگام نگه داشتن یک نرم افزار آنتی ویروس ، می توان درصد موفقیت مهاجمان به منظور تخریب اطلاعات را کاهش داد . برخی از برنامه های آنتی ویروس دارای امکانات و ویژگی های خاصی به منظور حفاظت در مقابل Spyware و تشخیص تروجان ها نیز می باشند .