خانه آموزشـــها و مـقالات کامپیوتر 7 نکته مهم در شبکه های بیسیم


7 نکته مهم در شبکه های بیسیم

شنبه 10 مرداد 1388 ساعت 07:09 مديريت سايت
نامه الکترونیک چاپ
امتیاز کاربر: / 1
بدخوب 

امنيت، امنيت، و امنيت بيشتر! و حالا‌ امنيت از نوع بي‌سيم! اگر از شبكه‌هاي wireless استفاده مي‌كنيد، يا قصد استفاده از آن‌ها را داريد، حتماً هفت راه مهم زير براي امن‌تر كردن شبكه خود در نظر داشته باشيد.  
1 - تغيير SSID پيش‌فرض
پيدا كردن يك Access Point با SSID پيش‌فرض كارخانه، كار سختي نيست. كافي است يك لپ‌تاپ، يك آنتن با gain مناسب و يك برنامه Netstumbler در اختيار داشته باشيد. با زدن چرخي در اطراف، به راحتي APهايي را كه از نام پيش‌فرض كارخانه استفاده مي‌كنند، كشف خواهيد كرد. با داشتن SSID هر كسي مي‌تواند به راحتي با AP ارتباط برقرار كند. با اين حال اگر SSID را از حالت پيش‌فرض كارخانه به يك شناسه دلخواه و غيرقابل حدس تغيير دهيد، ديگر كسي نمي‌تواند با Netstumbler يا فهرستي از SSIDهاي معمول (به اينجا سري بزنيد. فهرستي از SSIDهاي پيش‌فرض كه معمولا‌ً مورد استفاده واقع مي‌شوند را مشاهده خواهيد كرد) بهAPهاي شما دسترسي داشته باشد.

2 - جست‌وجوي APهاي جعلي
APهاي جعلي، نقاط دسترسي فريبنده و غيرقابل اعتمادِ شبيه‌سازي شده‌اند. جعل AP مكانيزمي براي فريب‌دادن قرباني‌هاست تا بدون اين‌كه بدانند، به يك AP شبيه‌سازي شده وصل شوند و از آن استفاده كنند.
راه انداختن يك AP جعلي، كار ساده‌اي است.
با هزينه حدود صد دلا‌ر مي‌توان يك AP خريد و با اتصال آن به شبكه سيمي LAN، در شبكه يك backdoor ايجاد نمود. با داشتن يك لپ‌تاپ، لينوكس، (hostap.epitest.fi) و airsnarf.shmoo.com) Air Snarf) به راحتي مي‌توان يك AP جعلي ساخت. مهاجمان AP SSID جعلي را با APهاي شما همسان در نظر گرفته و اگر كانال كاري آن‌ها را مطابق Access Pointهاي شما انتخاب كنند، سرويس‌گيرندگان به آن دستگاهي وصل خواهند شد كه سيگنال قوي‌تري داشته باشد. پس از اتصال سرويس‌گيرنده‌ها، مهاجم مي‌تواند تمام ارتباطات و داده‌ها را زير نظر گرفته و username و password كاربران را به سرعت سرقت كند.
براي اجتناب از اين خطرات بايد به دنبالAP هاي جعلي بگرديد. براي اين كار مي‌توانيد از kismet ،wellenreiter ياAiro Peek و Wireless Sniffer استفاده كنيد. البته در اصل اولين نقطه مبارزه شما با مهاجمان و هكرها، ايجاد يك محيط مناسب براي شبكه است. علا‌وه بر بهينه‌سازي مكان APها و تهيه نقشه از شبكه خود، كاربران را با ريسك‌هاي تهديدكننده و عواقب خرابكاري در شبكه آشنا كنيد.

3 - غيرفعال كردن SNMP
پروتكل Simple Network Management Protocol) SNMP) در ابزارهاي مبتني بر TCP/IP به وفور مورد استفاده قرار مي‌گيرد. اكثر برنامه‌هاي مديريت شبكه مثل Microsoft Network Monitor ،HP Openview، و IBM Tiroli Netview باSNMP مرتبطند و توانايي كار با آن را دارند. يك مرورگر SNMP كه يك ابزار نظارت و مديريت پركاربرد در شبكه است، با استفاده از پايگاه اطلا‌عات سلسله مراتبي مديريتي MIB، با دستگاه‌ها ارتباط برقرار كرده و داده‌ها را از آن‌ها دريافت مي‌كند. براي مثال، snmp walk يك مرورگر ساده SNMP بوده و مي‌تواند به اجزاي شبكه فراميني را ارسال كرده يا داده‌ها را از آن‌ها دريافت كند.
پروتكل SNMP خيلي امن نيست و فقط از يك string براي امنيت سطح پايين خود استفاده مي‌كند. اين رشته كهcommunity string ناميده مي‌شود، چيزي شبيه رمزهاي عبور گروهي است ك افراد زيادي مي‌توانند از آن مطلع باشند. سه نوع رشته گروهي در SNMP وجود دارد: فقط خواندني، خواندني / نوشتني، و trap؛ كه اولي و دومي براي ارسال و دريافت داده‌ها بوده و سومي به ندرت مورد استفاده قرار مي‌گيرد.
به هر ترتيب در شبكه‌ جاهاي زيادي وجود دارد كه مجبوريد در آن‌ها از يك دستگاه مبتني بر SNMP استفاده كنيد. رشته‌هاي فوق كه اكثراً در دفترچه راهنماي محصول آورده شده است، در اختيار همه بوده و در اين صورت هر فردي مي‌تواند با Telnet يا HTTP به دستگاه دسترسي داشته باشد.
به همين علت، توصيه مي‌كنيم SNMP را در تجهيزات شبكه خود غيرفعال كنيد و اگر هم بر استفاده از آن اصرار داريد، رشته‌هاي دستگاه‌ها را به رشته‌هايي بلند و غيرقابل حدس تغيير دهيد. از گذاشتن نام شركت توليدكننده،SSID شبكه و حتي كليدهاي WEP جداً پرهيز كنيد. با گذاشتن وقت مناسب يك رشته قوي بسازيد. اين اولين خط دفاع شماست و اگر مهاجم يكي از اجزاي شبكه شما را در اختيار داشته باشد، كل شبكه در اختيار او خواهد بود.
اگر از يك AP ساخت سيسكو استفاده مي‌كنيد، بايد به اين نكته توجه كنيد كه محصولا‌ت سيسكو از Cisco Discorery Protocol) CDP) پشتيباني مي‌كنند. پس CDP يا هر پروتكل ارتباطي مورد استفاده دستگاه را حتماً غيرفعال كنيد.

4 - قطع منبع تغذيه
فرض كنيد در فاصله صد متري از AP خود، سيگنال قوي و مناسبي دريافت مي‌كنيد. در اين صورت با استفاده از آنتن‌هايي با gain بالا مثلا‌ً 16‌ يا 20dbe عملا‌ً مي‌توانيد برد شبكه را تا چند كيلومتر افزايش دهيد. اين به آن معني است كه هر كس در اين فاصله مي‌تواند با AP شما ارتباط برقرار نمايد و با خيال راحت براي نفوذ به شبكه شما تلا‌ش كند. پس حتماً اگر از شبكه استفاده نمي‌كنيد، APها را خاموش كنيد.
چون سيگنال‌هاي راديويي در همه جا منتشر مي‌شوند، اولين كاري كه بايد انجام دهيد آن است كه يك سري تنظيمات توان مصرفي را براي AP خود در نظر بگيريد تا به اين طريق يك سلول با پوشش راديويي محدود ايجاد كرده باشيد. كاهش توان AP، سيگنال منتشره شده را ضعيف مي‌كند و در اين صورت ناحيه كوچك‌تري توسط AP شما پوشش داده خواهد شد.
دومين كاري كه بايد انجام دهيد آن است كه سيگنال‌هاي ارسالي را در خارج از محيط خود آزمايش كنيد. اگر قدرت سيگنال‌ها زياد بود، مجبوريد كمي آن‌ها را تضعيف كنيد. مي‌توانيد با نصب يك تضعيف كننده كار را به خوبي انجام دهيد. پيدا كردن تضعيف‌كننده مناسب در فروشگاه‌هاي قطعات الكترونيكي كار سختي نيست. راه‌حل‌هاي خوبي براي اين‌كار دارد.
نهايتاً اين‌كه، بايد از تكنيك شكل دادن به سيگنال RF استفاده كنيد. براي اين‌كار به جاي استفاده از آنتن‌هاي يك جهته،‌بايد از آنتن‌هاي دو جهته يا دو تكه براي جهت‌دهي به موج راديويي منتشرشده از APها استفاده كنيد.

5 - امن كردن Access Pointها با اتصال به فايروال
شبكه نشان داده شده در شكل 1 را در نظر بگيريد. در نگاه اول اين شبكه يك شبكه خوب با ملا‌حظات امنيتي مناسب به نظر مي‌رسد. به نظر شما مشكل اين شبكه چيست؟ درست است، AP پشت فايروال قرار گرفته است. اين يعني وجود يك درِ پشتي به شبكه شما.
اين مورد مشكل تازه‌اي نيست. در بسياري از شركت‌ها كارمندان روي كامپيوترهايشان برنامه‌هاي مديريت از راه دوري مثل PcAnywhere نصب مي‌كنند تا زماني كه در شركت نيستند، بتوانند با يك خط تلفن به كامپيوتر خود دسترسي داشته باشند.
بدون توجه به دليل اين‌كار، مي‌توان گفت اين افراد با ايجاد BackDoor، شبكه را در معرض حمله و نابودي قرار مي‌دهند. در اكثر مواقع هم مدير شبكه از اين روزنه‌ها خبر نداشته و با خيال راحت مشغول تنظيم فايروال براي امنيت بيشتر شبكه هستند. غافل از اين‌كه اوضاع خراب‌تر از آن است كه آن‌ها فكر مي‌كنند.
با قرار دادن AP پشت فايروال، يك دسترسي ميانبر به پشت فايروال و درون شبكه ايجاد خواهيد كرد. براي حل مشكل بايد شبكه بي‌سيم و شبكه سيمي خود را با روش DMZ از هم جدا كنيد. توصيه مي‌كنم كه به شبكه خود، بين شبكه داخلي (intranet) و شبكه خارجي (internet) يك DMZ يا يك شبكه بي‌سيم غربال‌شده اضافه كنيد. در اين DMZ مي‌توانيد سرورauthentication، وب سرور، و سرور DNS خود را قرار دهيد. با قرار دادن سرور احراز هويت در اين قسمت، مي‌توانيد ترافيك بين شبكه خارجي و داخلي را تنظيم كنيد.

6- محدود كردن دسترسي به شبكه سيمي
ما در مورد امنيت شبكه‌هاي بي‌سيم صحبت مي‌كرديم يا بي‌سيم؟ قسمت زيادي از شبكه بي‌سيم را اتصال آن به شبكه سيمي زيرساخت تشكيل مي‌دهد. قبلا‌ً در مورد AccessPointهاي جعلي صحبت كرديم.
افرادي كه در يك قسمت عمومي مثل پاركينگ در شركت شما به شبكه سيمي دسترسي دارند، به راحتي مي‌توانند با يك لپ‌تاپ يك Access Point جعلي بسازند و با Ethereal به دنبال username و passwordهاي متني مبادله شده در شبكه بگردند، با nmap شبكه شما را اسكن كنند و در بهترين حالت با رها كردن آن، به ديگران اجازه استفاده آزاد از آن را بدهند.
پس دسترسي به شبكه سيمي خود را حتماً كنترل كنيد و از اين‌كه هر كسي نمي‌تواند به راحتي به آن دسترسي داشته باشد، اطمينان حاصل كنيد.

7 - محكم كردن Access Pointها و كلا‌ينت‌ها!
محكم كاريAP ها يك پروسه قدم به قدم براي پيكربندي امنيتي سيستم و محافظت در مقابل دسترسي‌هاي تأييد نشده است. اكثر توليدكنندگان،APهاي توليدي خود را طوري عرضه مي‌كنند كه به آساني قابل راه‌اندازي و عرضه باشد و براي اين‌كار بسياري از تنظيمات اوليه امنيتي دستگاه را غيرفعال مي‌نمايند. با فعال‌سازي و تنظيم‌كردن بسياري از قابليت‌هاي دروني اين دستگاه‌ها مي‌توان از آن‌ها يك نقطه دسترسي امن و قابل اطمينان ساخت. فهرست زير راه‌هايي براي محكم كاري AP‌ها! ارائه مي‌كند:


●از آخرين فايروال‌هاي عرضه‌شده توسط توليدكننده روي دستگاه استفاده كنيد.
●‌SNMP را غيرفعال نماييد يا از رشته‌هاي قوي و بلند استفاده كنيد.
●از قوي‌ترين سطح كدگذاري استفاده كنيد.
●پروتكل‌ها و قابليت‌هاي غيرضروري را غيرفعال كنيد.
‌●‌ قابليت‌هاي اضافه براي رمزنگاري و احراز هويت مثل EAP را فعال كنيد.
●‌AP را در مكان امن و مناسبي قرار دهيد تا از دستكاري و سرقت در امان باشد.
‌●‌AP را از عوامل محيطي و طبيعي مثل رعد و برق يا باد شديد محافظت كنيد.
‌●‌ به صورت دوره‌اي تلا‌ش براي حملا‌ت هكرها را با برنامه‌هايي كه در اين زمينه وجود دارند كنترل كنيد.

پس از محكم‌كاري APها نوبت به امن‌سازي كلا‌ينت‌هاست. آخرين نرم‌افزارهاي امنيتي، آنتي‌ويروس‌هاي بروز شده و فايروال‌هاي شخصي قوي مثل Zone Alarm يا Black ICE را روي آن‌ها نصب كنيد.

Http://www.eshtehardcity.ir

نظر
افزودن جدید جستجو
+/-
نوشتن نظر
نام:
ایمیل:
 
آدرس سایت:
عنوان:
UBBCode:
[b] [i] [u] [url] [quote] [code] [img] 
 
 
:angry::0:confused::cheer:B):evil::silly::dry::lol::kiss::D:pinch:
:(:shock::X:side::):P:unsure::woohoo::huh::whistle:;):s
:!::?::idea::arrow:
 
لطفا کد آنتی اسپم نمایش داده شده در تصویر را وارد کنید.
کاری از شرکت رهاورد سیستم اشتهارد

سیستم نظرسنجی سایت شهر اشتهارد - http://www.eshtehardcity.ir"

 

منوی اصلی

زيارت از راه دور

اوقات شرعی شهر اشتهارد

اوقات شرعی شهر اشتهارد

مشاهده سایت به دیگر زبانها

English Arabic French German Italian Japanese Russian Persian
Website Monitoring by ServiceUptime.com

نظرسنجی

به نظر شما عملکرد کدام سازمان شهر اشتهارد از سال 1388 تا کنون مطلوب تر بوده است؟
 

نظر سنجی

عملکرد شورای شهر و شهرداری شهر اشتهارد در این دوره نسبت به دوره های قبلی را چگونه ارزیابی می کنید؟
 

تصویر تصادفی

Eshtehardcity.ir (83).jpg

امروز

 
پنجشنبه
1390
بهمن
20
 

آمار بازدید سايت

1088امروزmod_vvisit_counter
1513دیروزmod_vvisit_counter
6612این هفتهmod_vvisit_counter
10971هفته گذشتهmod_vvisit_counter
12505این ماهmod_vvisit_counter
34449ماه گذشتهmod_vvisit_counter
272152کل بازدیدهاmod_vvisit_counter
بازدیدکنندگان: 5 مهمان, 7 ربوت حاضر
شناسه اینترنتی شما: 38.107.179.243
 , 
امروز: 20 بهمن 1390

منتخبی از گالری تصاویر

نکته ها

هر کس هرآنچه برای دیگران آرزو کند،همانا برای خود آرزو کرده است. فلورانس-اسکاول شین