WLAN Security

امنیت WLAN: بهترین روش ها برای امنیت شبکه های بی سیم

برای بسیاری از مشاغل، اترنت سیمی دیگر برتری ندارد. در عوض، Wi-Fi به فناوری دسترسی به شبکه برای کاربران و نقاط پایانی تبدیل شده است. شبکه‌های محلی بی‌سیم یا WLAN، مزایای زیادی نسبت به جایگزین‌های سیمی خود دارند. آنها قابل اعتماد، انعطاف پذیر هستند و می توانند هزینه مالکیت را کاهش دهند. WLAN ها نصب آسان، قابلیت جابجایی و عدم گره خوردن به مکان فیزیکی و مقیاس پذیری را ارائه می دهند.

با این حال، با مزایا، یک نقطه ضعف بزرگ نیز وجود دارد: امنیت. طبیعت بدون حاشیه Wi-Fi – در ترکیب با مجموعه ای گیج کننده از قدیمی و تکنیک های احراز هویت مدرن، کنترل دسترسی و رمزگذاری – امنیت WLAN را به یک چالش بزرگ تبدیل می کند.

امنیت WLAN یک موضوع پیچیده است، بنابراین اجازه دهید آن را در مراحل تجزیه و تحلیل کنیم. ابتدا، ما در مورد برخی از تهدیدات رایج WLAN که شرکت‌ها با آن مواجه می‌شوند، در زمانی که خط مشی امنیتی صحیحی وجود ندارد، بحث می‌کنیم. سپس، تاریخچه تکامل امنیت WLAN و تکنیک هایی را که مهندسان امنیت امروزی بهترین آنها می دانند را بررسی می کنیم. در نهایت، برخی از دستورالعمل‌های امنیتی بهترین عملکرد WLAN را شرح می‌دهیم.

تهدیدات و آسیب پذیری های WLAN

تهدیدات امنیت سایبری WLAN می تواند منجر به از دست دادن داده ها، آلودگی به بدافزار، حملات انکار سرویس توزیع شده (DDoS) و سناریوهای مضر دیگر شود. تهدیدها و آسیب پذیری های زیادی وجود دارد که باید از آنها آگاه بود، از جمله موارد زیر:

جعل IP

اگر بازیگر بدی بتواند با موفقیت به WLAN شرکتی متصل شود، می‌توان از ابزارهایی برای جعل هویت – یا جعل – دستگاه‌های مورد اعتماد با تغییر آدرس IP منبع در هدر بسته استفاده کرد. به نوبه خود، دستگاه های دریافت کننده ممکن است ناآگاهانه بسته های جعلی را بپذیرند. بات‌نت‌های DDoS و حملات Man-in-the-Middle از رایج‌ترین تاکتیک‌های مورد استفاده در جعل IP هستند.

جعل/مسمومیت کش DNS

جعل DNS عمل قرار دادن یک دستگاه غیرمجاز در WLAN برای جعل سرور DNS است که سایر کلاینت های متصل استفاده می کنند. به نوبه خود، کاربران و دستگاه‌هایی که تلاش می‌کنند به یک منبع از راه دور قابل اعتماد دسترسی پیدا کنند، مانند یک وب‌سایت، توسط سرور DNS جعلی به یک سرور مخرب هدایت می‌شوند.

نقاط دسترسی دوقلوی سرکش / شیطانی (APs)

اینها زمانی اتفاق می‌افتند که بازیگران بد یک AP بی‌سیم را مستقر می‌کنند که از شناسه مجموعه سرویس (SSID) یکسان یا مشابه ظاهری استفاده می‌کند. کاربران ناآگاه به دستگاه سرکش متصل می شوند، جایی که ترافیک می تواند ضبط و نظارت شود، یا حتی به مقصدهای مخرب هدایت شوند.

رانندگی جنگ

هنگامی که سیگنال‌های WLAN در خارج از دیوارهای شرکت و در فضاهای عمومی منتشر می‌شوند، رانندگان جنگ به دنبال WLAN‌های باز یا قابل بهره‌برداری می‌گردند تا از آن برای دسترسی به اینترنت رایگان استفاده کنند – که piggybacking نامیده می‌شود – یا به دلایل شوم‌تر، مانند تلاش برای یافتن و سرقت داده‌های حساس شرکت.

چگونه امنیت WLAN در طول زمان تکامل یافته است

تکرارهای اولیه Wi-Fi بیشتر بر روی اتصال متمرکز بود، به جای امنیت. در نتیجه، پروتکل های امنیتی WLAN برای ارائه دسترسی ایمن طراحی شدند.

WEP

استاندارد Wired Equivalent Privacy (WEP) که در اواخر دهه 1990 معرفی شد، اولین تلاش برای جلوگیری از دسترسی هکرها به ترافیک بی سیم بود، اما به طرز مرگباری نقص داشت. WEP برای احراز هویت دستگاه‌ها تنها به کلیدهای از پیش مشترک (PSK) متکی بود. با این حال، PSK ها به اندازه کافی مکرر تغییر نمی کردند و هکرها دریافتند که می توانند از ابزارهای ساده ای برای شکستن کلید رمزگذاری شده استاتیکی تنها در چند دقیقه استفاده کنند. WEP در حال حاضر به طور غم انگیزی ناامن در نظر گرفته می شود و باید از استفاده شرکتی حذف شود.

WPA

در سال 2003 استاندارد جدیدی به نام دسترسی حفاظت شده وای فای (WPA) استاندارد شد. مکانیزم رمزگذاری امن تری را ارائه داد. WPA اولیه از یک پایه رمزگذاری کلید قوی‌تر برای هر بسته استفاده می‌کند که پروتکل یکپارچگی کلید زمانی نامیده می‌شود.

WPA2 که در سال 2004 منتشر شد، مدیریت پیکربندی را آسان‌تر کرد و استاندارد رمزگذاری پیشرفته را برای حفاظت امنیتی قوی‌تر اضافه کرد.

WPA3 که در سال 2018 معرفی شد، از مکانیسم‌های رمزگذاری قوی‌تری استفاده می‌کند. با این حال، از آنجایی که این یک استاندارد نسبتاً جدید است، بسیاری از دستگاه‌های قدیمی نمی‌توانند از WPA3 پشتیبانی کنند. در نتیجه، امروزه سازمان ها معمولاً ترکیبی از سه پروتکل WPA را برای محافظت از شبکه های WLAN شرکت خود به کار می گیرند.

WPA معمولاً با استفاده از یکی از دو روش مختلف توزیع کلید احراز هویت پیکربندی می شود:

WPA-Personal که با نام WPA-PSK نیز شناخته می‌شود، مبتنی بر رمز عبور مشترکی است که کاربران برای دسترسی به شبکه از آن استفاده می‌کنند. از آنجایی که این تکنیک احراز هویت مشترک است، نسبت به WPA-Enterprise از امنیت کمتری برخوردار است.

WPA-Enterprise، همچنین به عنوان پروتکل تأیید اعتبار WPA-Extensible (WPA-EAP) شناخته می‌شود، از سرویس کاربر شماره‌گیری احراز هویت از راه دور 802.1x برای اتصال به پایگاه داده کاربر حاوی نام‌های کاربری و رمزهای عبور استفاده می‌کند. با WPA-EAP، هر کاربر باید یک نام کاربری معتبر و رمز عبور مرتبط قبل از دسترسی به WLAN وارد کند. این روش امن در نظر گرفته می شود زیرا هیچ رمز عبوری بین کاربران و دستگاه ها به اشتراک گذاشته نمی شود.

شرکت ها باید به دقت یک استراتژی منسجم برای محافظت از WLAN های خود در برابر از دست دادن داده ها و دسترسی های غیرمجاز برنامه ریزی و اجرا کنند. در حالی که گزینه های امنیتی نهایی به سطح حفاظت مورد نیاز و بودجه موجود بستگی دارد، نکات و تکنیک های مهمی برای شروع وجود دارد.

مانند هر چیز امنیتی، مطمئن شوید که سیاست‌های امنیتی فناوری اطلاعات شما الزامات دسترسی را تعریف می‌کنند: چه کسی به چه چیزی و چه زمانی نیاز دارد؟ کارکنان از راه دور و در حال حرکت را نیز شامل کنید.

بهترین شیوه های دیگر شامل موارد زیر است:

تقسیم بندی کاربران و دستگاه های Wi-Fi توسط SSID. دپارتمان ها و دستگاه ها از WLAN به روش های مختلف استفاده می کنند. بنابراین، هر دستگاهی را نمی توان با استفاده از یک استاندارد ایمن کرد. یکی از راه‌های محافظت از دستگاه‌هایی که می‌توانند مثلاً WPA-Enterprise را پشتیبانی کنند، از دستگاه‌هایی که فقط می‌توانند از WPA-Personal پشتیبانی کنند، تقسیم منطقی دستگاه‌های قدیمی به یک SSID جداگانه است. پس از تقسیم‌بندی، خط‌مشی‌های دسترسی را می‌توان در اطراف نقاط پایانی کمتر امن قرار داد.

    وای فای مهمان

برای آن دسته از کاربران و دستگاه‌هایی که فقط به اینترنت نیاز دارند، یک SSID Wi-Fi مهمان جداگانه تنظیم کنید. خط‌مشی‌های دسترسی می‌توانند این دستگاه‌ها را از برقراری ارتباط با هر کاربر یا دستگاهی در شبکه شرکتی مسدود کنند، در حالی که همچنان ترافیک متصل به اینترنت را به صورت ایمن فراتر از لبه شبکه ارائه می‌کنند.

    قدرت سیگنال در مناطق ناامن خارج می شود

. APهای نصب شده در نزدیکی دیوارهای خارجی باید سطح قدرت آنها را به دقت تنظیم کنند تا هرگونه نشتی به پارکینگ های مجاور یا میدان های عمومی کاهش یابد. انجام این کار به محافظت در برابر تداخل بی سیم خارجی کمک می کند و همچنین احتمال اتصال یک کاربر غیرمجاز را با موفقیت به شبکه کاهش می دهد.

    شناسایی AP سرکش

اکثر پلتفرم‌های WLAN درجه سازمانی شامل ابزارهایی هستند که می‌توانند محدوده فرکانس بی‌سیم 802.11 را برای شناسایی APهای سرکش – یا آنهایی که بالقوه SSIDهای شرکتی را جعل می‌کنند، نظارت کنند.

    احراز هویت 802.1x در مقابل PSK

در صورت امکان، کاربران و دستگاه‌ها را با استفاده از 802.1x احراز هویت کنند، برخلاف PSK. این امر نیاز به تعویض دستی PSK ها را چندین بار در سال کاهش می دهد. همچنین از اشتراک گذاری PSK ها جلوگیری می کند، که به طور بالقوه می تواند منجر به استفاده هکرها از Wi-Fi برای دسترسی غیرمجاز به شبکه شرکت شود.

    تنظیمات پورت سوئیچ شبکه LAN

پورت‌های سوئیچ را که APهای بی‌سیم را به شبکه LAN شرکت متصل می‌کنند، با در نظر گرفتن امنیت پیکربندی کنید. آدرس‌های IP مدیریت AP را روی یک شبکه محلی مجازی تقسیم‌بندی شده قرار دهید، که اجازه می‌دهد فقط VLAN‌های خاص به APها ترانک شوند. از تکنیک‌های امنیتی پورت آدرس کنترل دسترسی رسانه ایستا یا چسبنده برای محافظت در برابر افرادی که یک AP را جدا می‌کنند و یک دستگاه غیرمجاز را به شبکه LAN متصل می‌کنند، استفاده کنید.

بکارگیری ابزارهای امنیتی خارجی که می تواند امنیت شبکه های WLAN را بیشتر کند. ابزارهای دیگر را برای محافظت از کاربران، دستگاه ها و داده های منتقل شده از طریق WLAN تکمیل کنید. به عنوان مثال می توان به موارد زیر اشاره کرد:

کنترل دسترسی به شبکه یا پلتفرم های مدیریت نقطه پایانی یکپارچه برای ارائه کنترل های دسترسی دانه بندی.

فناوری‌های VPN برای محافظت از زمانی که داده‌های حساس از طریق اتصالات Wi-Fi ناامن منتقل یا دریافت می‌شوند. و

پلت‌فرم‌های شناسایی و پاسخ شبکه مبتنی بر هوش مصنوعی که می‌توانند جریان‌های ترافیکی را نظارت کنند و هنگامی که کاربران، دستگاه‌ها یا جریان ترافیک از رفتار عادی منحرف می‌شوند، به پرسنل هشدار می‌دهند، نشانه‌ای از اینکه ممکن است نوعی اختلال WLAN رخ دهد.

سایر بهترین شیوه های امنیتی استاندارد نیز اعمال می شود، از جمله موارد زیر:

استفاده از فایروال و ضد بدافزار

اطمینان از دسترسی ایمن از راه دور از طریق VPN، دسترسی به شبکه بدون اعتماد یا Secure Access Service Edge.

وصله و به روز نگه داشتن نرم افزار

تغییر هر گونه اعتبار پیش فرض

آموزش کاربران در مورد امنیت و

به روز بودن با تهدیدات امنیتی فعلی