IRCERT - هفت مشكل امنيتي مهم شبكه هاي بي سيم 802.11

صفحه اول > مقالات

هفت مشكل امنيتي مهم شبكه هاي بي سيم 802.11 – بخش چهارم

در شماره پيش با سومين و چهارمين مشكل امنيتي مهم شبكه هاي بي سيم آشنا شديم. در اين شماره به مساله پنجم و راه حل مربوط به آن مي پردازيم.

مسأله شماره ۵: جعل MAC و sessionربايي!

شبكه هاي 802.11 فريم ها را تأييد هويت نمي كنند. هر فريم يك آدرس مبداء دارد، اما تضميني وجود ندارد كه ايستگاه فرستنده واقعاً فريم را ارسال كرده باشد! در واقع همانند شبكه هاي اترنت سنتي، مراقبتي در مقابل جعل مبداء آدرس ها وجود ندارد. نفوذگران مي توانند از فريم هاي ساختگي براي هدايت ترافيك و تخريب جداول ARP (Address Resolution Protocol) استفاده كنند. در سطحي بسيار ساده تر، نفوذگران مي توانند آدرس هاي (MAC (Medium Access Control ايستگاه هاي در حال استفاده را مشاهده كنند و از آن آدرس ها براي ارسال فريم هاي بدخواهانه استفاده كنند. براي جلوگيري از اين دسته از حملات، مكانيسم تصديق هويت كاربر براي شبكه هاي 802.11 در حال ايجاد است. با درخواست هويت از كاربران، كاربران غيرمجاز از دسترسي به شبكه محروم مي شوند. اساس تصديق هويت كاربران استاندارد 802.1x است كه در ژوئن 2001 تصويب شده است. 802.1x مي تواند براي درخواست هويت از كاربران به منظور تأييد آنان قبل از دسترسي به شبكه مورد استفاده قرار گيرد، اما ويژگي هاي ديگري براي ارائه تمام امكانات مديريتي توسط شبكه هاي بي سيم مورد نياز است.

نفوذگران مي توانند از فريم هاي جعل شده در حملات اكتيو نيز استفاده كنند. نفوذگران علاوه بر ربودن نشست ها (sessions) مي توانند از فقدان تصديق هويت نقاط دسترسي بهره برداري كنند. نقاط دسترسي توسط پخش فريم هاي Beacon (چراغ دريايي) مشخص مي شوند. فريم هاي Beacon توسط نقاط دسترسي ارسال مي شوند تا كلاينت ها قادر به تشخيص وجود شبكه بي سيم و بعضي موارد ديگر شوند. هر ايستگاهي كه ادعا مي كند كه يك نقطه دسترسي است و SSID (Service Set Identifier) كه معمولاً network name نيز ناميده مي شود، منتشر مي كند، به عنوان بخشي از شبكه مجاز به نظر خواهد رسيد. به هرحال، نفوذگران مي توانند به راحتي تظاهر كنند كه نقطه دسترسي هستند، زيرا هيچ چيز در 802.11 از نقطه دسترسي نمي خواهد كه ثابت كند واقعاً يك نقطه دسترسي است. در اين نقطه، يك نفوذگر مي تواند با طرح ريزي يك حمله man-in-the-middle گواهي هاي لازم را سرقت كند و از آنها براي دسترسي به شبكه استفاده كند. خوشبختانه، امكان استفاده از پروتكل هايي كه تأييد هويت دوطرفه را پشتيباني مي كنند در 802.1x وجود دارد. با استفاده از پروتكل TLS (Transport Layer Security)، قبل از اينكه كلاينت ها گواهي هاي هويت خود را ارائه كنند، نقاط دسترسي بايد هويت خود را اثبات كنند. اين گواهي ها توسط رمزنگاري قوي براي ارسال بي سيم محافظت مي شوند. ربودن نشست حل نخواهد شد تا زماني كه 802.11 MAC تصديق هويت در هر فريم را به عنوان بخشي از 802.11i بپذيرد.

راه حل شماره۵ : پذيرش پروتكل هاي قوي و استفاده از آنها

تا زمان تصويب 802.11i جعل MAC يك تهديد خواهد بود. مهندسان شبكه بايد روي خسارت هاي ناشي از جعل MAC تمركز كنند و شبكه هاي بي سيم را تا آنجا كه ممكن است از شبكه مركزي آسيب پذيرتر جدا كنند. بعضي راه حل ها جعل AP (نقاط دسترسي( را كشف مي كنند و به طور پيش فرض براي مديران شبكه علائم هشدار دهنده توليد مي كنند تا بررسي هاي بيشتري انجام دهند. در عين حال، مي توان فقط با استفاده از پروتكل هاي رمزنگاري قوي مانند IPSec از نشست ربايي! جلوگيري كرد. آنالايزرها مي توانند در بخشي از تحليل فريم هاي گرفته شده، سطح امنيتي مورد استفاده را تعيين كنند. اين تحليل مي تواند در يك نگاه به مديران شبكه بگويد آيا پروتكل هاي امنيتي مطلوبي استفاده مي شوند يا خير.

علاوه بر استفاده از پروتكل هاي VPN قوي، ممكن است كه تمايل به استفاده از تصديق هويت قوي كاربر با استفاده از 802.1x داشته باشيد. بعضي جزئيات آناليز وضعيت تصديق 802.1x، نتايج باارزشي روي قسمت بي سيم تبادل تصديق هويت 802.1x ارائه مي كند. هنگام انجام نظارت بر سايت، آنالايزر نوع تصديق هويت را مشخص مي كند و اين بررسي به مديران شبكه اجازه مي دهد كه محافظت از كلمات عبور توسط رمزنگاري قوي را تضمين كنند.