WLAN Security
امنیت WLAN: بهترین روش ها برای امنیت شبکه های بی سیم
برای بسیاری از مشاغل، اترنت سیمی دیگر برتری ندارد. در عوض، Wi-Fi به فناوری دسترسی به شبکه برای کاربران و نقاط پایانی تبدیل شده است. شبکههای محلی بیسیم یا WLAN، مزایای زیادی نسبت به جایگزینهای سیمی خود دارند. آنها قابل اعتماد، انعطاف پذیر هستند و می توانند هزینه مالکیت را کاهش دهند. WLAN ها نصب آسان، قابلیت جابجایی و عدم گره خوردن به مکان فیزیکی و مقیاس پذیری را ارائه می دهند.
با این حال، با مزایا، یک نقطه ضعف بزرگ نیز وجود دارد: امنیت. طبیعت بدون حاشیه Wi-Fi – در ترکیب با مجموعه ای گیج کننده از قدیمی و تکنیک های احراز هویت مدرن، کنترل دسترسی و رمزگذاری – امنیت WLAN را به یک چالش بزرگ تبدیل می کند.
امنیت WLAN یک موضوع پیچیده است، بنابراین اجازه دهید آن را در مراحل تجزیه و تحلیل کنیم. ابتدا، ما در مورد برخی از تهدیدات رایج WLAN که شرکتها با آن مواجه میشوند، در زمانی که خط مشی امنیتی صحیحی وجود ندارد، بحث میکنیم. سپس، تاریخچه تکامل امنیت WLAN و تکنیک هایی را که مهندسان امنیت امروزی بهترین آنها می دانند را بررسی می کنیم. در نهایت، برخی از دستورالعملهای امنیتی بهترین عملکرد WLAN را شرح میدهیم.
تهدیدات و آسیب پذیری های WLAN
تهدیدات امنیت سایبری WLAN می تواند منجر به از دست دادن داده ها، آلودگی به بدافزار، حملات انکار سرویس توزیع شده (DDoS) و سناریوهای مضر دیگر شود. تهدیدها و آسیب پذیری های زیادی وجود دارد که باید از آنها آگاه بود، از جمله موارد زیر:
جعل IP
اگر بازیگر بدی بتواند با موفقیت به WLAN شرکتی متصل شود، میتوان از ابزارهایی برای جعل هویت – یا جعل – دستگاههای مورد اعتماد با تغییر آدرس IP منبع در هدر بسته استفاده کرد. به نوبه خود، دستگاه های دریافت کننده ممکن است ناآگاهانه بسته های جعلی را بپذیرند. باتنتهای DDoS و حملات Man-in-the-Middle از رایجترین تاکتیکهای مورد استفاده در جعل IP هستند.
جعل/مسمومیت کش DNS
جعل DNS عمل قرار دادن یک دستگاه غیرمجاز در WLAN برای جعل سرور DNS است که سایر کلاینت های متصل استفاده می کنند. به نوبه خود، کاربران و دستگاههایی که تلاش میکنند به یک منبع از راه دور قابل اعتماد دسترسی پیدا کنند، مانند یک وبسایت، توسط سرور DNS جعلی به یک سرور مخرب هدایت میشوند.
نقاط دسترسی دوقلوی سرکش / شیطانی (APs)
اینها زمانی اتفاق میافتند که بازیگران بد یک AP بیسیم را مستقر میکنند که از شناسه مجموعه سرویس (SSID) یکسان یا مشابه ظاهری استفاده میکند. کاربران ناآگاه به دستگاه سرکش متصل می شوند، جایی که ترافیک می تواند ضبط و نظارت شود، یا حتی به مقصدهای مخرب هدایت شوند.
رانندگی جنگ
هنگامی که سیگنالهای WLAN در خارج از دیوارهای شرکت و در فضاهای عمومی منتشر میشوند، رانندگان جنگ به دنبال WLANهای باز یا قابل بهرهبرداری میگردند تا از آن برای دسترسی به اینترنت رایگان استفاده کنند – که piggybacking نامیده میشود – یا به دلایل شومتر، مانند تلاش برای یافتن و سرقت دادههای حساس شرکت.
چگونه امنیت WLAN در طول زمان تکامل یافته است
تکرارهای اولیه Wi-Fi بیشتر بر روی اتصال متمرکز بود، به جای امنیت. در نتیجه، پروتکل های امنیتی WLAN برای ارائه دسترسی ایمن طراحی شدند.
WEP
استاندارد Wired Equivalent Privacy (WEP) که در اواخر دهه 1990 معرفی شد، اولین تلاش برای جلوگیری از دسترسی هکرها به ترافیک بی سیم بود، اما به طرز مرگباری نقص داشت. WEP برای احراز هویت دستگاهها تنها به کلیدهای از پیش مشترک (PSK) متکی بود. با این حال، PSK ها به اندازه کافی مکرر تغییر نمی کردند و هکرها دریافتند که می توانند از ابزارهای ساده ای برای شکستن کلید رمزگذاری شده استاتیکی تنها در چند دقیقه استفاده کنند. WEP در حال حاضر به طور غم انگیزی ناامن در نظر گرفته می شود و باید از استفاده شرکتی حذف شود.
WPA
در سال 2003 استاندارد جدیدی به نام دسترسی حفاظت شده وای فای (WPA) استاندارد شد. مکانیزم رمزگذاری امن تری را ارائه داد. WPA اولیه از یک پایه رمزگذاری کلید قویتر برای هر بسته استفاده میکند که پروتکل یکپارچگی کلید زمانی نامیده میشود.
WPA2 که در سال 2004 منتشر شد، مدیریت پیکربندی را آسانتر کرد و استاندارد رمزگذاری پیشرفته را برای حفاظت امنیتی قویتر اضافه کرد.
WPA3 که در سال 2018 معرفی شد، از مکانیسمهای رمزگذاری قویتری استفاده میکند. با این حال، از آنجایی که این یک استاندارد نسبتاً جدید است، بسیاری از دستگاههای قدیمی نمیتوانند از WPA3 پشتیبانی کنند. در نتیجه، امروزه سازمان ها معمولاً ترکیبی از سه پروتکل WPA را برای محافظت از شبکه های WLAN شرکت خود به کار می گیرند.
WPA معمولاً با استفاده از یکی از دو روش مختلف توزیع کلید احراز هویت پیکربندی می شود:
WPA-Personal که با نام WPA-PSK نیز شناخته میشود، مبتنی بر رمز عبور مشترکی است که کاربران برای دسترسی به شبکه از آن استفاده میکنند. از آنجایی که این تکنیک احراز هویت مشترک است، نسبت به WPA-Enterprise از امنیت کمتری برخوردار است.
WPA-Enterprise، همچنین به عنوان پروتکل تأیید اعتبار WPA-Extensible (WPA-EAP) شناخته میشود، از سرویس کاربر شمارهگیری احراز هویت از راه دور 802.1x برای اتصال به پایگاه داده کاربر حاوی نامهای کاربری و رمزهای عبور استفاده میکند. با WPA-EAP، هر کاربر باید یک نام کاربری معتبر و رمز عبور مرتبط قبل از دسترسی به WLAN وارد کند. این روش امن در نظر گرفته می شود زیرا هیچ رمز عبوری بین کاربران و دستگاه ها به اشتراک گذاشته نمی شود.
شرکت ها باید به دقت یک استراتژی منسجم برای محافظت از WLAN های خود در برابر از دست دادن داده ها و دسترسی های غیرمجاز برنامه ریزی و اجرا کنند. در حالی که گزینه های امنیتی نهایی به سطح حفاظت مورد نیاز و بودجه موجود بستگی دارد، نکات و تکنیک های مهمی برای شروع وجود دارد.
مانند هر چیز امنیتی، مطمئن شوید که سیاستهای امنیتی فناوری اطلاعات شما الزامات دسترسی را تعریف میکنند: چه کسی به چه چیزی و چه زمانی نیاز دارد؟ کارکنان از راه دور و در حال حرکت را نیز شامل کنید.
بهترین شیوه های دیگر شامل موارد زیر است:
تقسیم بندی کاربران و دستگاه های Wi-Fi توسط SSID. دپارتمان ها و دستگاه ها از WLAN به روش های مختلف استفاده می کنند. بنابراین، هر دستگاهی را نمی توان با استفاده از یک استاندارد ایمن کرد. یکی از راههای محافظت از دستگاههایی که میتوانند مثلاً WPA-Enterprise را پشتیبانی کنند، از دستگاههایی که فقط میتوانند از WPA-Personal پشتیبانی کنند، تقسیم منطقی دستگاههای قدیمی به یک SSID جداگانه است. پس از تقسیمبندی، خطمشیهای دسترسی را میتوان در اطراف نقاط پایانی کمتر امن قرار داد.
وای فای مهمان
برای آن دسته از کاربران و دستگاههایی که فقط به اینترنت نیاز دارند، یک SSID Wi-Fi مهمان جداگانه تنظیم کنید. خطمشیهای دسترسی میتوانند این دستگاهها را از برقراری ارتباط با هر کاربر یا دستگاهی در شبکه شرکتی مسدود کنند، در حالی که همچنان ترافیک متصل به اینترنت را به صورت ایمن فراتر از لبه شبکه ارائه میکنند.
قدرت سیگنال در مناطق ناامن خارج می شود
. APهای نصب شده در نزدیکی دیوارهای خارجی باید سطح قدرت آنها را به دقت تنظیم کنند تا هرگونه نشتی به پارکینگ های مجاور یا میدان های عمومی کاهش یابد. انجام این کار به محافظت در برابر تداخل بی سیم خارجی کمک می کند و همچنین احتمال اتصال یک کاربر غیرمجاز را با موفقیت به شبکه کاهش می دهد.
شناسایی AP سرکش
اکثر پلتفرمهای WLAN درجه سازمانی شامل ابزارهایی هستند که میتوانند محدوده فرکانس بیسیم 802.11 را برای شناسایی APهای سرکش – یا آنهایی که بالقوه SSIDهای شرکتی را جعل میکنند، نظارت کنند.
احراز هویت 802.1x در مقابل PSK
در صورت امکان، کاربران و دستگاهها را با استفاده از 802.1x احراز هویت کنند، برخلاف PSK. این امر نیاز به تعویض دستی PSK ها را چندین بار در سال کاهش می دهد. همچنین از اشتراک گذاری PSK ها جلوگیری می کند، که به طور بالقوه می تواند منجر به استفاده هکرها از Wi-Fi برای دسترسی غیرمجاز به شبکه شرکت شود.
تنظیمات پورت سوئیچ شبکه LAN
پورتهای سوئیچ را که APهای بیسیم را به شبکه LAN شرکت متصل میکنند، با در نظر گرفتن امنیت پیکربندی کنید. آدرسهای IP مدیریت AP را روی یک شبکه محلی مجازی تقسیمبندی شده قرار دهید، که اجازه میدهد فقط VLANهای خاص به APها ترانک شوند. از تکنیکهای امنیتی پورت آدرس کنترل دسترسی رسانه ایستا یا چسبنده برای محافظت در برابر افرادی که یک AP را جدا میکنند و یک دستگاه غیرمجاز را به شبکه LAN متصل میکنند، استفاده کنید.
بکارگیری ابزارهای امنیتی خارجی که می تواند امنیت شبکه های WLAN را بیشتر کند. ابزارهای دیگر را برای محافظت از کاربران، دستگاه ها و داده های منتقل شده از طریق WLAN تکمیل کنید. به عنوان مثال می توان به موارد زیر اشاره کرد:
کنترل دسترسی به شبکه یا پلتفرم های مدیریت نقطه پایانی یکپارچه برای ارائه کنترل های دسترسی دانه بندی.
فناوریهای VPN برای محافظت از زمانی که دادههای حساس از طریق اتصالات Wi-Fi ناامن منتقل یا دریافت میشوند. و
پلتفرمهای شناسایی و پاسخ شبکه مبتنی بر هوش مصنوعی که میتوانند جریانهای ترافیکی را نظارت کنند و هنگامی که کاربران، دستگاهها یا جریان ترافیک از رفتار عادی منحرف میشوند، به پرسنل هشدار میدهند، نشانهای از اینکه ممکن است نوعی اختلال WLAN رخ دهد.
سایر بهترین شیوه های امنیتی استاندارد نیز اعمال می شود، از جمله موارد زیر:
استفاده از فایروال و ضد بدافزار
اطمینان از دسترسی ایمن از راه دور از طریق VPN، دسترسی به شبکه بدون اعتماد یا Secure Access Service Edge.
وصله و به روز نگه داشتن نرم افزار
تغییر هر گونه اعتبار پیش فرض
آموزش کاربران در مورد امنیت و
به روز بودن با تهدیدات امنیتی فعلی
