مبحثی مانند شبکه های بیسیم( Wireless Network ) به دلیل ویژگی های ذاتی خوبی که دارد،(البته ویژگی بد هم کم ندارند) امروزه بسیار مورد توجه قرار گرفته است. افراد زیادی هستند که از شبکه های بیسیم در منازل و ادارات استفاده می کنند. و همین وسعت کاربرد می تواند باعث بروز مشکلات امنیتی فراوانی نیز بشود.

در این پست به بررسی ویژگی های امنیتی شبکه های بیسیم می پردازیم. ویژگی هایی که در تجهیزات شبکه بیسیم موجود است و شما نیاز به دانش و یا تجهیزات اضافی نخواهید داشت. در واقع سعی می کنیم با ابزار موجود، امنیت شبکه ی بیسیم خودمان را تقویت کنیم.

دو نکته:

برای یاداوری عرض کنم منظور ما از شبکه های بیسیم در این پست، صرفا شبکه های بیسیم کامپیوتری در جغرافیای کوچک است. یعنی همین شبکه هایی که ما در خانه با استفاده از یک اکسس پوینت معمولی استفاده می کنیم. بنابراین شبکه های موبایلی بزرگ و مثلا امنیت پروتکل های مسیریابی آنها جایی در این پست ندارد.

2- اکسس پوینت نمونه ی این پست، DWL-2100 شرکت D-Link است که حدس میزنم کاربران خانگی در ایران بیشتر از این مدل استفاده کنند. ضمن اینکه در مدل های دیگر هم فرق زیادی وجود ندارد و تنها مسیر رسیدن به گزینه ها متفاوت است.

چرا امنیت ؟

قبل از بررسی موارد امنیتی بد نیست در چند خط علت نگرانی بیش از اندازه برای امنیت شبکه های بیسیم را خیلی ساده بازبینی کنیم.

تصدیق هویت:
برای شروع اکسس پوینت را می توانیم مانند یک سوییچ تصور کنیم. کار هر دو دستگاه متصل کردن تعدادی کامپیوتر به یک شبکه است. با این تفاوت که در سوییچ باید از هر کامپیوتر یک کابل به دستگاه (Switch) متصل کنیم، اما در اکسس پوینت کلاینت ها به صورت بیسیم به دستگاه (Access Point) متصل می شوند.

اما آیا هیچ گاه دیده اید وقتی که می خواهیم کابل شبکه ای را به سوییچ متصل کنیم، سوییچ از ما User و Pass بخواهد؟
این موضوع از آن جهت است که برای متصل شدند به یک شبکه سیمی، باید به تجهیزاتی مانند سوییچ به صورت فیزیکی دسترسی داشت تا بتوانیم یک کامپیوتر یا یک سوییچ دیگر را به شبکه متصل کنیم. حال این وسط اگر دزدی هم پیدا شود، بیشتر از اینکه امنیت سوییچ مهم باشد، (که در سوییچ های معمولی امنیتی وجود ندارد) امنیت فیزیکی اتاقی که سوییچ در آن قرار دارد مهم است.

اما در اکسس پوینت اوضاع کاملا متفاوت است. از آنجایی که برای متصل شدن به اکسس پوینت (که ما در اینجا آن را نوعی سوییچ فرض کردیم) نیازی به حضور فیزیکی نیست و به راحتی می توان حتی بیرون از ساختمان به شبکه ی داخلی متصل شد، امنیت نمود بارزی پیدا می کند.
دقیقا هم به همین دلیل است که در اولین گام برای تامین امنیت این شبکه ها، برای اتصال به یک شبکه ی بیسیم باید Password وارد کنید.(Authentication) یعنی بر خلاف سوییچ کسی نتواند بدون مزاحمتی یک ارتباط از کامپیوتر خودش با شبکه برقرار کند.

رمز نگاری:
شبکه ی زیر را در نظر بگیرید.

اگر شکل بالا را یک شبکه ی کوچک داخلی در نظر بگیریم که به هیچ شبکه ی دیگری متصل نیست، خواهیم دید که امنیت داده ها در آن، آنچنان حائز اهمیت نیست. یعنی کسی نمی تواند اطلاعاتی که در شبکه جا به جا می شود را غیر قانونی به دست بیاورد، حتی اگر آن اطلاعات کد گذاری نشده باشند. به غیر از اینکه یکی از افرادی که در شبکه است، جاسوس باشد!

اما در شبکه ی بیسیم از آنجایی که رسانه ی انتقال اطلاعات هوا است و هوا هم در همه جا هست! بنابراین اطلاعات شما هم در همه جا هست! حالا اگر کسی اطلاعات درستی از شبکه داشته باشد و بخواهد به این اطلاعات دسترسی پیدا کند، با کمی تلاش ممکن است موفق شود. به صورت پیش فرض اطلاعاتی که در شبکه ها منتقل می شوند کدگذاری نمی شوند. بنابراین هکری که توانسته است به اطلاعات دست پیدا کند، بدون مشکلی می تواند اطلاعات را بخواند.

برای حل این مشکل ما می توانیم اطلاعات شبکه ی بیسیم خود را کدگذاری ( Encryption ) کنیم. به این ترتیب حتی اگر فرد هکر بتواند اطلاعات شبکه را برباید، در حقیقت چیزی جز یک سری دیتا ی بی ارزش نصیبش نشده است. چون تمامی اطلاعات کدگذاری شدند و به صورت عادی قابل بازیافت نیستند.

در واقع الگوریتم هایی مانند WEP یا WPA و سایر الگوریتم هایی که شما در شبکه ی بیسیم با آن مواجه می شوید، برای حل این دو مشکل به وجود آمدند. یعنی برای تصدیق هویت و برای کدگذاری.

اما این دو مورد تنها یک بخش از تامین امنیت شبکه ی بیسیم هستند. همان طور که می دانید مبحث امنیت لایه لایه است و باید در هر لایه از لایه های OSI امنیت را تا حد امکان برقرار کرد. دقیقا همان کاری که ما می خواهیم در این سری از پست ها انجام دهیم. برقراری امنیت همه جانبه.

اوین گام: روش های ایمن کردن محیط مدیریتی Access Point:

در این قسمت، به بیان راه حل هایی می پردازیم که باعث بالا رفتن امنیت دسترسی به قسمت مدیریتی Access Point می شود.

1- تغییر نام کاربری پیش فرض اکسس پوینت:

فرقی نمی کند دستگاه شما اکسس پوینت باشد، یا روتر و یا حتی سوییچ های پیشرفته. تمامی این دستگاه ها اینترفیسی برای اعمال تنظیمات دارند که در بعضی دستگاه ها مانند همین 2100 این اینترفیس به صورت گرافیکی نیز است.

اولین گام برای ایمن کردن شبکه ی بیسیم، تغییر Username و Password پیش فرض اکسس پوینت است. برای این کار وارد تنظیمات اکسس پوینت شوید:

( برای وارد شدن به محیط تنظیماتی یک اکسس پوینت، باید آدرس IP آن را در مرورگر وارد کنید. آدرس IP پیش فرض 2100، 192.168.0.50 است. که البته در ادامه این آدرس را هم تغییر خواهیم داد. )

بعد از این کار، دستگاه از شما Username و Password می خواهد. Username پیش فرض 2100 کلمه ی admin است. پسورد هم خالی بگذارید و اینتر کنید.

برای عوض کردن Username و تنظیم Password، مراحل زیر را طی کنید:

1- از منوی افقی بالای سایت، گرینه ی Tools را انتخاب کنید.

2- سپس در صفحه ی باز شده، قسمت Login را مطابق میل خودتان به روز رسانی کنید. البته دقت کنید رمز عبور نمی تواند بیشتر از 12 کاراکتر باشد!

خب با این کار لااقل از دست تازه کارانی که سرگرمیشان پیدا کردن اکسس پوینت هایی با نام کاربری پیش فرض است راحت شدیم و میدانیم کسی نمی تواند به راحتی تنظیمات ما را دچار تغییر کند.

2- تغییر آدرس پیش فرض Access Point:

به نظرتان بهتر نیست همان آدرس 192.168.0.50 را هم تغییر بدهیم که کسی نتواند با یکی کردن رنج IP خودش با اکسس پوینت ما، به آن متصل شود؟ برای این کار مراحل زیر را طی می کنیم:

1- اگر هنوز در قسمت Tools هستید، به قسمت Home برگردید. از منوی سمت چپ، بر روی گزینه ی Lan کلیک کنید.

2- در این قسمت می توانید IP مورد نظر خودتان را وارد کنید. اگر نیاز به تغییر Subnet Mask و یا ست کردن Default Gateway دارید، آنها را هم اعمال کنید و بر روی Apply کلیک کنید تا تغییرات ذخیره شوند. ( قبلا در این اینجا، اینجا و اینجا در مورد IP ، Subnet Mask و Default Gateway توضیح دادم)

تذکر خیلی مهم:

اگر مانند شکل بالا، آدرس IP اکسس پوینت را در رنجی دیگر قرار بدهید، دیگر نمی توانید به آن متصل شوید! در واقع آدرس IP سیستم شما با آدرس IP اکسس پوینت باید در یک رنج باشد. اگر میبینید در شکل بالا من از رنج 192.168.2.0 آی پی دادم به این دلیل است که شبکه داخلی من در این رنج است.

سوال: اگر آی پی شبکه ی داخلی من از رنج 192.168.2.0 است، پس چه طور همان اول به اکسس پوینت که در رنج آدرس 192.168.0.0 بود، متصل شدم؟
جواب: هر کامپیوتر می تواند چند آدرس آی پی جداگانه و حتی چند کارت شبکه داشته باشد. سیستم من 3 کارت شبکه دارد که یکی از آنها در رنج 192.168.0.0 است. بنابراین توانستم به آدرس پیش فرض اکسس پوینت متصل شوم.

3- محدود کردن آدرس های مدیریتی:

در حال حاضر شما پشت هر سیستمی از شبکه ی داخلی خود بنشینید و آدرس IP اکسس پوینت و نام کاربری و رمز عبور آن را داشته باشید، می توانید به آن متصل شوید. غیر از این است؟

اما به نظرم بهتر است اکسس پوینت را طوری تنظیم کنیم که فقط یک سری آدرس IP خاص بتوانند به آن متصل شوند. یعنی فقط کسی بتواند به اکسس پوینت متصل شود که آدرس IP کامپیوترش 192.168.2.1 باشد. جالب است نه؟ مراحل کار به صورت زیر است:

1- به قسمت Tools باز گردید.

2- قسمت Limit Administrator IP را فعال کرده و آدرس های مورد نظر خودتان را که یکی از آنها می تواند آدرس کامپیوتر خودتان باشد، وارد کنید.

بعد از این، از هر کامپیوتر دیگری بخواهید به اکسس پوینت متصل شوید، حتی صفحه ی Login نیز ظاهر نخواهد شد.

4- تغییر روش دسترسی به کنسول:

اگر جز افرادی هستید که از محیط کنسول و با کد زنی مایل به تنظیم کردن اکسس پوینت نیستید، بهتر است در همان قسمت Tools این گزینه را غیر فعال کنید.

اگر هم می خواهید از این ویژگی استفاده کنید، آن را بر روی ssh قرار دهید تا ارتباط شما با اکسس پوینت کدگذاری شود.

خب در 4 مرحله توانستیم محیط مدیریتی اکسس پوینت خودمان را ایمن کنیم. بعد از این خیالمان می تواند تا حدی راحت باشد که اگر هم کسی به شبکه ما نفوذ کرد، نمی تواند تنظیمات را دچار تغییر کند.

در قسمت های بعد به نکات ایمنی دیگر میپردازیم.