۵ افسانه در مورد امنیت Wi-Fi که باید آن‌ها را فراموش کنید

فناوری Wi-Fi در طول سالها پیشرفت زیادی داشته است، و به همراه آن شیوه‌های امن ساختن شبکه‌های بی‌سیم نیز رشد کرده است. جستجو در اینترنت در مورد روش‌های افزایش امنیت شبکه‌های Wi-Fi اطلاعاتی در اختیار شما خواهد گذاشت که دیگر نه امن هستند و نه کاربردی دارند، و یا شاید از ابتدا صحیح نبوده‌اند. در ادامه به پنج مورد از این باورهای اشتباه خواهیم پرداخت و شیوه‌های موثری را برای افزایش امنیت شبکه‌های Wi-Fi معرفی خواهیم کرد.

 

 

هر مسیریاب (یا نقطه دسترسی) بی‌سیم دارای یک نام شبکه است که برای آن تعیین شده. عبارت فنیِ آن، SSID است. به طور پیش‌فرض مسیریاب SSID خود را برای همه ارسال می‌کند تا تمام کاربران در محدوده‌ی دسترسی به آن بتوانند شبکه را در رایانه و سایر دستگاه‌های خود ببینند.

 

جلوگیری از ارسال این اطلاعات توسط مسیریاب، و در نتیجه به‌نوعی مخفی ساختن آن از دید افرادی که نمی‌خواهید به شبکه‌ی شما متصل شوند، به نظر ایده‌ی خوبی می‌آید. اما برخی دستگاه‌ها، از جمله رایانه‌هایی که دارای ویندوز ۷ و نسخه‌های جدیدتر هستند، هنوز قادر به دیدن تمام شبکه‌های موجود خواهند بود؛ حتی اگر نتوانند نام تک‌تک آن‌ها را نمایش دهند. همچنین یافتن یک SSID مخفی، کاری پیش‌پا افتاده است. در واقع، تلاش برای مخفی کردن SSID به این شیوه می‌تواند باعث جلب توجه نفوذگران شود، زیرا به نظر می‌رسد در شبکه‌ی Wi-Fi شما اطلاعات حساسی وجود داشته باشد.

 

شما می‌توانید از ارسال SSID توسط مسیریاب جلوگیری کنید، اما نمی‌توانید از ارسال این اطلاعات در بسته‌های داده‌ی، درخواست‌های ارتباط/ارتباط مجدد1، و … جلوگیری کنید. یک تحلیلگر شبکه‌ی بی‌سیم مانند Kismet یا  CommView for WiFi می‌تواند SSID شما در در زمان بسیار کوتاهی شناسایی کنند.

 

مخفی کردن ارسال SSID می‌تواند شبکه‌ی شما را از کاربران معمولی مخفی کند اما سد راه کسانی که قصد نفوذ به شبکه‌ی شما را دارند، نخواهد شد.

 

 

تمام دستگاه‌های موجود در شبکه، دارای یک آدرس MAC منحصر به فرد برای شناسایی هستند. یک آدرس MAC، رشته‌ای متشکل از حروف و اعداد است که توسط «:» از یکدیگر جدا شده‌اند، مانند 00:02:D1:1A:2D:12. دستگاه‌های تحت شبکه در هنگام ارسال و دریافت داده در شبکه، از این آدرس برای شناسایی استفاده می‌کنند. یکی از باورهای غلط در امنیت Wi-Fi این است که با پیکربندی مسیریاب به گونه‌ای که تنها به دستگاه‌هایی با آدرس MAC خاص اجازه اتصال به شبکه را بدهد، می‌توان از شبکه محافظت کرده و از اتصال دستگاه‌های ناخواسته به آن جلوگیری کرد.

 

تنظیم نمودن چنین پیکربندی‌هایی، فرایندی آسان اما زمان بر است: ابتدا آدرس MAC تمام دستگاه‌هایی را که می‌خواهید به شبکه‌ی شما متصل شوند شناسایی کرده، سپس جدولی را در رابط مسیریاب خود پر می‌کنید. هیچ دستگاهی که آدرس MAC آن در این جدول وارد نشده باشد، قادر به اتصال به شبکه‌ی شما نخواهد بود، حتی اگر گذرواژه‌ی شبکه‌ی بی‌سیم شما را بداند.

 

اما در‌واقع نیاز به چنین کاری نیست. یک نفوذگر با استفاده از ابزارهای تحلیل شبکه‌ی بی‌سیم قادر خواهد بود آدرس MAC تمام دستگاه‌هایی را که اجازه‌ی اتصال به شبکه‌ی شما را دارند، یافته و سپس آدرس MAC رایانه‌ی خود را به یکی از این آدرس‌های MAC تغییر دهد. تنها نتیجه‌ای که از ایجاد این فهرست فیلتر به دست خواهید آورد، اتلاف وقت است؛ مگر اینکه از جمع آوری آدرس MAC تمام دستگاه‌های شبکه‌ی خود، نیت دیگری داشته باشید.

 

فعال کردن فیلتر آدرس‌های MAC شاید بتواند جلوی اتصال یک کاربر عادی به شبکه‌ی شما را بگیرد، اما در مقابل یک نفوذگر مصمم، هیچ فایده‌ای نخواهد داشت. علاوه بر این، در صورتی که بخواهید یک رایانه را به طور موقت به شبکه‌ی خود متصل کنید، سختی کار خود را دوچندان کرده‌اید.

 

 

هر دستگاه در شبکه، باید با یک آدرس آی‌پی منحصر به فرد قابل شناسایی باشد. یک آدرس آی‌پی که توسط مسیریاب تعیین شده است، شامل رشته‌ای از اعداد خواهد بود، مانند: 192.168.1.10. برخلاف آدرس MAC که دستگاه به مسیریاب اعلام می‌کند، مسیریاب شما با استفاده از پروتکل پویای کنترل میزبان (DHCP) یک آدرس آی‌پی منحصر به فرد را برای هر دستگاهی که به شبکه متصل می‌شودتعیین کرده و به آن اعلام می‌کند. بر اساس یک باور غلط دیرپا در امنیت شبکه، با محدود ساختن تعداد آی‌پی‌هایی که مسیریاب شما توان تعیین آن‌ها را دارد، مثلاً تعیین محدوده‌ای از  192.168.1.1 تا 192.168.1.10، می‌توان تعداد دستگاه‌هایی را که توان اتصال به شبکه را دارند، محدود ساخت. دلیل غلط بودن این شیوه را در ادامه‌ی مورد بعدی خواهیم گفت.

 

 

برخی به غلط باور دارند که با غیرفعال ساختن کارگزار DHCP و تعیین آی‌پی برای هر دستگاه، به صورت دستی، امنیت شبکه را بالا خواهد برد. در این شیوه، فرض شده است که هر دستگاهی که یکی از آدرس‌های ای‌پی تعیین شده توسط شما را نداشته باشد، نمی‌تواند به شبکه‌ی شما متصل شود. در در پیروی از این شیوه، مشابه به فیلتر کردن آدرس‌های MAC، جدولی از آدرس‌های آی‌پی و دستگاه‌های متناظر با آن‌ها را ایجاد خواهید کرد. همچنین نیاز خواهید داشت که آدرس آی‌پی هر دستگاه را به صورت دستی تعیین کنید.

 

نقطه ضعف این دو باور غلط، که اثر آن‌ها را از میان می‌برد، این است که اگر یک نفوذگر، به شبکه‌ی شما نفوذ کرده باشد، با یک پویش ساده از شبکه‌ی شما، قادر خواهد بود تا آدرس‌های آی‌پی مورد استفاده در شبکه‌ی شما را ببیند. سپس نفوذگر یکی آدرس‌های آی‌پی معتبر در شبکه‌ی شما را برای دستگاه خود تعیین کرده و به شبکه دسترسی کامل پیدا خواهد کرد. همانند فیلتر کردن آدرس‌های MAC، پیروی از این شیوه تنها اضافه کردن دستگاه‌های جدید به شبکه توسط خود شما را سخت‌تر خواهد کرد.

 

 

بر اساس این باور غلط، کاهش قدرت ارسال مسیریاب بی‌سیم، امکان اتصال افراد دیگرِ خارج از خانه یا محل کار را به شبکه‌ی شما، کاهش می‌دهد زیرا قادر به شناسایی آن نخواهند بود. 

 

هر کسی که قصد نفوذ به شبکه‌ی شما را داشته باشد، از آنتن‌های بزرگی استفاده خواهد کرد که توان دریافت سیگنال‌های مسیریاب شما را دارا هستند. کاهش قدرت مسیریاب، تنها برد آن و امکان اتصال به آن را برای کاربران معتبر، کاهش خواهد داد.

 

راه حل صحیح: رمزنگاری بهترین امنیت برای شبکه است

 

اکنون که باورهای غلط را در مورد امنیت Wi-Fi بررسی کردیم، بیایید در مورد بهترین شیوه برای افزایش امنیت شبکه‌ی بی‌سیم صحبت کنیم: رمزنگاری. رمزنگاریِ داده‌های در حال عبور در شبکه، راهی قدرتمند برای جلوگیری از دسترسی افراد متفرقه به داده‌های شما است. با وجود اینکه آن‌ها قادر خواهند بود نسخه‌ای از داده‌های شما را در حال ارسال رهگیری کرده و ضبط کنند، اما تا زمانی که کلید رمزنگاری را نداشته باشند، توان خواندن آن اطلاعات، ثبت گذرواژه‌ها یا به سرقت بردن حساب‌های شما را نخواهند داشت.

 

در طول سال ها، شیوه‌های رمزنگاری متعددی به وجود آمده است. WEP بهترین امنیت را در روزهای ابتدایی استفاده از Wi-Fi تأمین می‌کرد. اما امروزه می‌توان رمزنگاری WEP را ظرف چند دقیقه شکست. اگر مسیریاب شما تنها دارای رمزنگاری WEP است و یا برخی از دستگاه‌های شبکه‌ی شما به‌قدری قدیمی هستند که تنها از این شیوه‌ی رمزنگاری استفاده می‌کنند، باید خیلی وقت پیش این دستگاه‌ها را کنار گذاشته و دستگاه‌های جدیدتری تهیه می‌کردید.

 

پس از آن WPA معرفی شد، اما آن پروتکل امنیتی دارای مشکلاتی بود و با WPA2 جایگزین شد. WPA2 حدود ده سال است که مورد استفاده قرار می‌گیرد. اگر دستگاه شما به اندازه‌ای قدیمی است که تنها از WPA پشتیبانی می‌کند، به فکر جایگزینی آن با دستگاهی جدیدتر باشید.

 

هر دوی WPA و WPA2 دارای دو حالت مختلف هستند: Personal2( که با نام 3PSK نیز شناسایی می‌شود) و Enterprise4 (که با نام 5RADIUS نیز شناخته می‌شود). WPA Personal برای استفاده‌ی خانگی طراحی شده و راه‌اندازی آن ساده است. به سادگی گذرواژه‌ای در مسیریاب خود تعیین نموده و سپس آن را در هر رایانه و دستگاهی دیگری که قرار است به شبکه‌‌ی Wi-Fi شما متصل شود وارد می‌کنید. در صورتی که از گذرواژه‌های قوی – ۱۳ کاراکتر (و یا بیشتر) ترکیبی از حروف بزرگ و کوچک و اعداد – استفاده کنید، امنیت شما مناسب خواهد بود. از کلماتی که در لغت‌نامه یافته می‌شوند، اسامی خاص، نام اشخاص و هرچیز مشابه آن‌ها استفاده نکنید. یک گذرواژه‌ی قوی، چیزی مشابه با این خواهد بود: h&5U2v$(q7F4*.

 

ممکن است مسیریاب شما دارای یک دکمه‌ی با نام WPS باشد. ویژگی WPS به شما امکان می‌دهد دو دستگاه را که از WPA2 پشتیبانی می‌کنند با فشردن یک دکمه در مسیریاب و یک دکمه در دستگاهی که قرار است به شبکه متصل شود، به صورت بی‌سیم به یکدیگر متصل کنید. اما یک نقص امنیتی در WPS وجود دارد که آن را در برابر حملات Brute-force آسیب‌پذیر ساخته است. اگر امنیت برای شما اهمیت بالایی دارد، بهتر است قابلیت WPS را غیرفعال کنید.

 

WPA2 Enterprise برای شبکه‌هایی که در سازمان‌ها و شرکت‌ها استفاده می‌شوند، طراحی شده است. امنیت این شیوه، بالاتر از WPA است، اما نیازمند یک کارگزار RADIUS یا یک سرویس RADIUS میزبانی شده است.

 

حالا که این موارد را مطالعه کردید، بهتر است چند دقیقه‌ای وقت صرف پیکربندی صحیح امنیت مسیریاب خود نمایید.