پنج اشتباه متداول درباره امنیت شبکه های بی سیم

با ظهور شاخه های جدید فناوری بی سیم, تعداد شرکت هایی که با استفاده از روش های نامناسب تأمین امنیت, سیستم های خود را در معرض خطر قرار می دهند, باورکردنی نیست

با ظهور شاخه‌های جدید فناوری بی‌سیم، تعداد شرکت‌هایی که با استفاده از روش‌های نامناسب تأمین امنیت، سیستم‌های خود را در معرض خطر قرار می‌دهند، باورکردنی نیست. به‌نظر می‌رسد، اغلب شرکت‌های دارای LAN بی‌سیم، به‌واسطه شناسایی نقاط دسترسی غیرمعتبر که ابزارها را به‌طور رایگان مورداستفاده قرار می‌دهند، به دنبال احراز شرایط استاندارد PCI هستند. با هدف آگاهی کاربران از آخرین ضعف‌های‌امنیتی (و البته بعضی از شکاف‌های امنیتی قدیمی) تصمیم گرفتیم، فهرستی از پنج اشتباه متداول را در تأمین امنیت شبکه‌های بی‌سیم در این مقاله ارائه کنیم. شناسایی این اشتباه‌ها حاصل تجربه‌های شخصی در جریان آزمون و ایمن‌سازی شبکه‌های مشتریان است.

۱) دیواره آتش= تأمین امنیت کامل در برابر ورود غیرمجاز به شبکه

اغلب سازمان‌ها، شبکه‌های بی‌سیم را به‌عنوان بخش مکملی برای شبکه سیمی خود راه‌اندازی می‌کنند. اتصال بی‌سیم، یک رسانه فیزیکی است و برای تأمین امنیت آن نمی‌توان تنها به وجود یک دیوار آتش تکیه کرد. کاملاً واضح است که نقاط دسترسی غیرمجاز، به واسطه ایجاد راه‌های ورود مخفی به شبکه و مشکل بودن تعیین موقعیت فیزیکی آن‌ها، نوعی تهدید علیه شبکه به‌شمار می‌روند. علاوه‌‌براین نقاط دسترسی، باید نگران لپ‌تاپ‌های بی‌سیم متصل به شبکه سیمی خود نیز باشید. یافتن لپ‌تاپ‌های متصل به شبکه سیمی که یک کارت شبکه بی‌سیم فعال دارند، اقدامی متداول برای ورود به شبکه محسوب می‌شود. در اغلب موارد این لپ‌تاپ‌ها توسط SSID شبکه‌هایی را که قبلاً مورد دسترسی قرار داده‌اند، جست‌وجو می‌کنند و در صورت یافتن آن‌ها صرف‌نظر از این که اتصال به شبکه قانونی یا مضر باشد یا شبکه بی‌سیم در همسایگی شبکه فعلی قرار داشته باشد، به‌طور خودکار به آن وصل می‌شوند. به محض این‌که لپ‌تاپ به یک شبکه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسکن و یافتن نقاط ضعف ممکن است کنترل آن را به دست گرفته و به‌عنوان میزبانی برای اجرای حمله‌ها به کار گیرند. در این شرایط علاوه بر افشای اطلاعات مهم لپ‌تاپ، مهاجم می‌تواند از آن به عنوان نقطه شروعی برای حمله به شبکه سیمی استفاده کند. مهاجم درصورت انجام چنین اقداماتی، به‌طور کامل از دیواره آتش شبکه عبور می‌کند.

ما امنیت شبکه‌های معتبر و غیرمعتبر را ارزیابی‌کرده‌ایم و به این نتیجه رسیدیم که اغلب سازمان‌ها دیواره آتش شبکه را به‌گونه‌ای تنظیم می‌کنند که از آن‌ها در برابر حمله‌های مبتنی بر اینترنت محافظت می‌کند، اما امنیت شبکه در مقابل خروج از شبکه (Extrusion) و خروج غیرمجاز اطلاعات (leakage) تأمین نمی‌شود. اصولاً زمانی که درباره خروج غیرمجاز اطلاعات صحبت می‌کنیم، منظورمان خروج اطلاعات از شبکه است.

بسیاری از سازمان‌ها تنظیمات دیواره آتش را برای کنترل ترافیک اطلاعات خروجی به‌درستی انجام نمی‌دهند. در نتیجه این سهل‌انگاری معمولاً اطلاعات محرمانه سازمان به خارج منتقل می‌شود. به‌عنوان مثال، یکی از متداول‌ترین مواردی که هنگام انجام آزمون‌های امنیتی با آن مواجه شدیم،‌ خروج اطلاعات شبکه سیمی از طریق نقاط دسترسی بی‌سیم بود. در این آزمون‌ها با استفاده از یک نرم‌افزار ردیاب (Sniffer) بی‌سیم توانستیم حجم زیادی از ترافیک اطلاعات خروجی ناخواسته را شناسایی کنیم. این اطلاعات شامل داده‌های مربوط به STP (سرنام IGRP ،(Speaning Tree Protocol سایر سرویس‌های شبکه و حتی در مواردی اطلاعات مربوط به NetBIOS بودند.

چنین نقطه‌ضعفی شبکه را به یک اسباب سرگرمی برای مهاجم تبدیل می‌کند. در حقیقت، نفوذ به چنین شبکه‌‌ای حتی نیازمند یک اسکن فعال یا حمله واقعی نیست. به‌واسطه ردیابی جریان اطلاعاتی یک شبکه بی‌سیم علاوه بر شناسایی توپولوژی بخش سیمی آن می‌توان اطلاعات مربوط به تجهیزات حیاتی شبکه و حتی گاهی اطلاعات مربوط به حساب‌های کاربری را به‌دست آورد.

۲) دیواره آتش= تأمین امنیت کامل در برابر ورود غیرمجاز به شبکه

این تصور اشتباه، بسیار گیج کننده است. چگونه می‌توان بدون اسکن شبکه از نبود تجهیزات بی‌سیم در آن مطمئن شد؟! در محل‌هایی که شبکه‌های LAN بی‌سیم راه‌اندازی نشده‌اند، علاوه بر نقاط دسترسی غیرمجاز، می‌توان از شبکه‌های Ad-Hoc، دسترسی‌ تصادفی لپ‌تاپ‌ها و ایجاد پل‌های ارتباطی با شبکه، به عنوان تهدیدات بالقوه برای امنیت شبکه نام برد. دسترسی تصادفی لپ‌تاپ‌های بی‌سیم یک خطر امنیتی برای صاحبان این لپ‌تاپ‌ها محسوب می‌شود. اگر شرکت مجاور شما از یک نقطه دسترسی بی‌سیم یا یک شبکه Ad-Hoc استفاده می‌کند، احتمال اتصال تصادفی لپ‌تاپ‌های بی‌سیم عضو شبکه شما به این شبکه‌های بی‌سیم زیاد است. این اتصال نوعی خروج از شبکه است. مهاجمان نحوه بهره‌برداری از این شرایط را به خوبی می‌دانند و در نتیجه می‌توانند از یک نقطه دسترسی نرم‌افزاری یا Soft AP (نرم‌افزاری که از روی یک لپ‌تاپ اجرا می‌شود) برای ارسال شناسه‌های SSID موجود روی لپ‌تاپ به یک کامپیوتر خارج از شبکه و حتی ارسال آدرس IP لپ‌تاپ برای کامپیوتر خارجی استفاده کنند. چنان‌که گفته شد، این نقطه ضعف امکان کنترل لپ‌تاپ و حمله به شبکه سیمی را برای مهاجمان فراهم می‌کند. به علاوه، مهاجمان می‌توانند از طریق لپ‌تاپ، حمله‌های MITM (سرنام Man In The Middle) یا سرقت هویت را به اجرا درآورند.

در این مورد، تلاش مدیران شبکه برای اتخاذ یک رویکرد پیش‌گیرانه به‌منظور شناسایی نقاط‌دسترسی غیرمجاز در شبکه قابل تقدیر است. اما متأسفانه ابزارهایی که در اختیار این افراد قرار دارد، کارایی لازم را برای شناسایی نقاط دسترسی غیرمجاز ندارد. به‌عنوان مثال، بسیاری از مدیران شبکه از ابزارهای مدیریتی اسکن نقاط‌ضعف شبکه‌های سیمی به‌منظور شناسایی نقاط دسترسی غیرمجاز متصل به شبکه استفاده می‌کنند. تجربه‌کاری نگارنده با ابزارهای اسکن نقاط ضعف از هر دو نوع اپن‌سورس و تجاری، بیانگر این است که اغلب مدیران شبکه با تعداد انگشت‌شماری نقطه دسترسی مواجه می‌شوند که توسط سیستم‌عامل شناسایی شده است و هنگامی که شبکه را اسکن می‌کنند، این تجهیزات در قالب یک سیستم مبتنی بر لینوکس همراه یک وب‌سرور شناسایی می‌شوند. هنگام اسکن شبکه‌های Class C و بزرگ‌تر، دستگاه‌های غیرمجاز بین سایر تجهیزات شبکه پنهان شده و نتایج حاصل از اسکن شبکه برای شناسایی نقاط دسترسی غیرمجاز حقیقی نیست.

کارکرد ابزارهای اسکن بی‌سیم مانند NetStumbler و Kismet بسیار خوب است، اما زمانی که نوبت به شناسایی نقاط دسترسی غیرمجاز می‌رسد، این ابزارها از کارایی لازم برخوردار نیستند. به‌عنوان نمونه این ابزارها نمی‌توانند مشخص کنند که نقاط دسترسی شناسایی‌شده واقعاً به شبکه شما متصل هستند یا خیر. ‌علاوه‌براین، در تعیین موقعیت تقریبی دستگاه بی‌سیم مشکوک نیز دچار مشکل می‌شوند. اگر شرکت شما در یک ساختمان چندطبقه یا یک برج قراردارد، باید امواج دریافتی آنتن‌های بزرگ و دستگاه‌های منتشرکننده سیگنال را نیز به این مشکلات بیافزایید. در چنین شرایطی یک مدیر شبکه با مهارت متوسط در ردگیری و شناسایی تجهیزات بی‌سیم شبکه با مشکلات بزرگی روبه‌رو خواهد شد.

۴) به‌روزرسانی تمام نقاط دسترسی به‌منظور حذف پروتکل WEP= تأمین امنیت کامل شبکه

پروتکل WEP سالیان دراز مورد حمله مهاجمان قرار گرفته است. علاوه‌بر‌این، براساس اعلان PCI پروتکل WEP باید تا ماه ژوئن سال ۲۰۱۰ به‌طور کامل کنار گذاشته شود. بعضی از شرکت‌ها نیز به سراغ روش‌های توانمندتر کدگذاری و اعتبارسنجی رفته‌اند.

برای جایگزینی این پروتکل، چندگزینه مختلف وجود دارد. متأسفانه بعضی از این گزینه‌ها نیز دارای نقاط ضعف هستند. به‌عنوان مثال، نسخه PSK (سرنامPre-Shared Key) از پروتکل WPA به دلیل نیاز به انتشار اطلاعات موردنیاز برای ساخت و تأیید کلید رمزگشایی اطلاعات، در مقابل نوعی حمله Offline که روی واژه‌نامه آن انجام می‌شود، آسیب‌پذیر است. برای اجرای این حمله‌ها چندین ابزار مختلف شامل coWPAtty و aircrack-ng وجود دارد. اغلب حمله‌ها شامل گردآوری تعداد زیادی از بسته‌های اطلاعاتی و استفاده از ابزار درمقابل سیستم دریافت بسته‌های اطلاعاتی است. بسته نرم‌افزاری Backtrack ۳ تمام ابزارهای لازم را برای اجرای این نوع حمله‌ها فراهم می‌کند. در نوامبر سال ۲۰۰۸ به منظور اثبات این ضعف، پروتکل TKIP هک‌شد.

در این حمله صرف‌نظر از به‌کارگیری سیستم اعتبار سنجی PSK یا ۸۰۲.۱x مهاجمان توانستند به تمام نسخه‌های پروتکل TKIP شامل WPA و WPA۲ نفوذ کنند. با وجود این،کلیدهای TKIP شناسایی نشدند و در نتیجه محتوای تمام قاب‌های کدشده افشا نشد. یک حمله می‌تواند در هر دقیقه یک بایت از داده‌های یک بسته اطلاعاتی رمزنگاری‌شده را افشا کرده و به ازای هر بسته کدگشایی‌شده تا پانزده قاب‌رمزنگاری‌شده را به سیستم تحمیل می‌کند. چنین سیستمی، یک گزینه مناسب برای آلودگی ARP محسوب می‌شود. درک این نکته ضروری است که آن دسته از شبکه‌های WPA و WPA۲ که الگوریتم‌های کدگذاری AES-CCMP پیچیده‌تر را مورد استفاده قرار می‌دهند، در برابر حمله‌ها مقاوم‌تر هستند و استفاده از چنین الگوریتم‌هایی به عنوان بهترین رویکرد تدافعی پیشنهاد می‌شود.

اگر هیچ گزینه دیگری به غیر از راه‌اندازی یک سیستم WPA-PSK پیش رو ندارید، از یک کلمه عبور بسیار مطمئن که حداقل هشت کاراکتر دارد، استفاده کنید. کلمه عبور پیچیده‌ای که از شش کاراکتر تشکیل شده باشد، به‌طور متوسط ظرف سیزده روز کشف می‌شود.

۵) استفاده از نرم‌افزار کلاینت VPN = محافظت از کارمندان سیار

با وجود این‌که استفاده از برنامه کلاینت VPN‌همراه یک دیواره آتش نخستین گام برای حفاظت از کارمندان سیار به‌شمار می‌رود، تعداد بسیاری از نقاط ضعف چنین ارتباطی بدون محافظت باقی می‌ماند. کاربرانی که در حال مسافرت هستند،‌ به ناچار در هتل‌ها، کافی شاپ‌ها و فرودگاه‌ها از شبکه‌های وای‌فای استفاده می‌کنند.

ابزارهایی مانند Hotspotter که در بسته نرم‌افزاری BackTrack‌ در اختیار همگان قرار می‌گیرند، برای مهاجم ‌امکان ایجاد یک ناحیه خطرناک را فراهم می‌کنند که اغلب توسط شبکه به‌عنوان یک ناحیه خطرناک مجاز شناخته می شود. این فرآیند شامل ایجاد یک نقطه دسترسی جعلی با استفاده از یک شناسه SSID متداول و همچنین صفحات وب شبیه به یک ناحیه خطرناک واقعی است. سپس مهاجم منتظر اتصال کاربران بی‌اطلاع، به نقطه دسترسی جعلی شده و با استفاده از پروتکل DHCP برای آن‌ها یک آدرس IP و یک صفحه وب ایجاد می‌کند. به این ترتیب، کاربر فریب‌خورده و به‌منظور ورود به ناحیه خطرناک اعتبارنامه خود را در اختیار مهاجم قرار می‌دهد. در بعضی موارد مهاجم حتی دسترسی کاربران به اینترنت را امکان‌پذیر کرده و به این ترتیب برای اجرای حمله‌های MITM و سرقت سایر اطلاعات مهم کاربران مانند شناسه و کلمه عبور و شماره حساب‌ بانکی آن‌ها اقدام می‌کند.

حفاظت از کارمندان سیار به‌ویژه در برابر این نوع حمله‌ها، اقدامی چالش‌برانگیز بوده و علاوه بر استفاده از نرم‌افزار کلاینت VPN و دیواره آتش نیازمند تمهیدات امنیتی دیگری است. البته، هیچ‌یک از این اقدامات به‌طور کامل از کاربر محافظت‌نمی‌کند، اما خطرات امنیتی را کاهش می‌دهند. مدیران شبکه‌های مبتنی بر ویندوز با استفاده از گزینه Access point (infrastructure) networks only می‌توانند از اتصال کاربران به شبکه‌های Ad-Hoc جلوگیری می‌‌کنند.

بسیاری از ابزارهای مهاجمان که برای شبیه‌سازی عملکرد نقاط دسترسی به‌کار گرفته‌می‌شوند، در حقیقت، شبکه‌های Ad-Hock را شبیه‌سازی می‌کنند. غیرفعال‌کردن گزینه مذکور در سیستم‌عامل ویندوز می‌تواند از کاربران در برابر چنین حمله‌هایی محافظت کند. به‌علاوه، غیرفعال کردن گزینه ( Any Available Network (Access Point Preferred نیز از بروز چنین حملاتی جلوگیری می‌کند. سرانجام، با غیرفعال‌کردن گزینه Automatically Connect to Non-Preferred networks نیز می‌توان از اتصال تصادفی کاربران به شبکه‌های Ad-Hock جلوگیری کرد.

در تأمین امنیت شبکه‌های بی‌سیم، به‌کارگیری یک رویکرد چندلایه، کلید اجتناب از بروز مشکلات امنیتی است. درک درست خطرات امنیتی قسمت بزرگی از فرآیند کاهش این خطرات محسوب می‌شود. اغلب حمله‌های بی‌سیم نسبت به لایه دوم شبکه اجرا می‌شوند. بنابراین، بازبینی تنظیمات دیواره آتش فعلی برای حصول اطمینان از فیلترسازی لایه دوم ضروری است. بسیاری از دیواره‌های آتش تنها از لایه سوم و لایه‌های بالاتر حفاظت می‌کنند و بسیاری از آن‌ها نیز به جای نظارت دائمی بر ترافیک اطلاعات به صورت یک فیلتر بسته‌های اطلاعاتی عمل می‌کنند. پیکربندی فیلتر بسته‌های اطلاعاتی می‌تواند به کاری ملال‌آور تبدیل شود. بنابراین، نظارت دائمی بر لایه‌های دوم و سوم شبکه رویکرد مناسب‌تری برای تأمین امنیت شبکه‌های بی‌سیم است.

به‌روزرسانی و تغییرپیکربندی نقاط‌دسترسی نیز می‌تواند مکمل خوبی برای سیستم‌های کدگذاری و اعتبارسنجی ضعیف باشد. همچنین این اقدامات می‌توانند بسیاری از ملزومات فنی و تکنیکی فعلی و آتی شبکه را تأمین کنند.

بسیاری از حمله‌های امنیتی نیازمند برقراری شرایط خاص هستند و اجرای آن‌ها مستلزم بهره‌مندی از یک سیستم IDS/IPS بی‌سیم برای شبیه‌سازی محیط و تدابیرامنیتی موردتأیید برای زیرساخت‌های بی‌سیم است. استفاده از یک سیستم IDS/IPS پیشرفته اقدام مؤثری برای شناسایی بسیاری از حمله‌های مذکور و همچنین محافظت در برابر آن دسته از ابزارهای مهاجمان است که برای انجام حمله‌های دنباله‌دار شناخته شده مورد استفاده قرار می‌گیرند. دیواره های آتش به‌هیچ‌وجه قادر به تأمین این نوع امنیت نیستند.

یک سیستم IDS/IPS بی‌سیم ابزارهای بهتری را برای تشخیص نقاط دسترسی غیرمجاز در اختیار ما می‌گذارد. اسکنرهای دستی فقط برای بررسی لحظه‌ای وضعیت شبکه کاربرد دارند و هیچ ابزاری را برای تأمین خودکار امنیت شبکه در برابر نقاط دسترسی غیرمجاز ارائه‌نمی‌کنند. استفاده از یک سیستم IDS/IPS بی‌سیم به منظور نظارت شبانه‌روزی بر شبکه و نابودی خودکار نقاط دسترسی غیرمجاز رویکرد کارآمدتری برای کاهش خطرات امنیتی شبکه محسوب می‌شود. به‌علاوه، این رویکرد موجب صرفه‌جویی در زمان طولانی موردنیاز برای نظارت و بررسی دستی شبکه می‌شود.

● درباره نویسنده

مایکــــل تــــی راگــــو دارای گــواهینــــامـــه‌هــای تخصصــی CISSP, NSA-IAM, CCSI, SCSA, CSI بوده و در زمینه فناوری‌های امنیتی تجربه‌ای بیست ساله دارد. او یکی از ترویج‌کنندگان تحقیقات و راه‌حل‌های تأمین امنیت شبکه‌های بی‌سیم است. تجربه‌های وی آزمون‌های امنیتی، ارزیابی شبکه‌های بی‌سیم، ممیزی شبکه‌ها، راه‌اندازی دیواره‌های آتش و سیستم‌های IDS/IPS، پاسخ‌گویی به وقایع، مدیریت خطر و تحقیقات امنیتی را شامل می‌شود و پیش از این نیز در زمینه آموزش نحوه تأمین امنیت شبکه‌ها فعالیت کرده‌است.

منبع: این سکیور، نویسنده: مایکل تی راگو، ترجمه‌:‌محمد ناصح