IRCERT - هفت مشكل امنيتي مهم شبكه هاي بي سيم 802.11

صفحه اول > مقالات

هفت مشكل امنيتي مهم شبكه هاي بي سيم 802.11 :‌بخش اول

موفقيت حيرت انگيز 802.11 به علت توسعه «اترنت بي سيم» است. همچنانكه 802.11 به ترقي خود ادامه مي دهد، تفاوت هايش با اترنت بيشتر مشخص مي شود. بيشتر اين تفاوت ها به دليل نا آشنايي نسبي بسياري از مديران شبكه با لايه فيزيكي فركانس راديويي است. در حاليكه همه مديران شبكه بايد درك پايه اي از لينك راديويي داشته باشند، تعدادي از ابزارها براي كمك به آنها به خدمت گرفته مي شوند. آنالايزرهاي (تحليل كننده ) شبكه هاي بي سيم براي مدت ها ابزاري لازم براي مهندسان شبكه در اشكال زدايي و تحليل پروتكل بوده اند. بسياري از آنالايزرها بعضي كاركردهاي امنيتي را نيز اضافه كرده اند كه به آنها اجازه كار با عملكردهاي بازرسي امنيتي را نيز مي دهد.

در اين سلسله مقاله هفت مشكل از مهم ترين آسيب پذيري هاي امنيتي موجود در LANهاي بي سيم، راه حل آنها و در نهايت چگونگي ساخت يك شبكه بي سيم امن مورد بحث قرار مي گيرد. بسياري از پرسش ها در اين زمينه در مورد ابزارهايي است كه مديران شبكه مي توانند استفاده كنند. يك آنالايزر از اولين خريدهايي است كه يك مدير شبكه بايد انجام دهد. آنالايزرها علاوه بر عملكردهاي سنتي تحليل پروتكل و ابزار تشخيص عيب، مي توانند براي تشخيص بسياري از نگراني هاي امنيتي كه استفاده از شبكه بي سيم را كند مي كنند، استفاده شوند. اين سلسله مقاله هريك از اين «هفت مسأله امنيتي» را بررسي مي كند و توضيح مي دهد كه چگونه و چرا آنالايزر بي سيم، يك ابزار حياتي براي تضمين امنيت شبكه هاي بي سيم است.

مسأله شماره ۱: دسترسي آسان

LANهاي بي سيم به آساني پيدا مي شوند. براي فعال كردن كلاينت ها در هنگام يافتن آنها، شبكه ها بايد فريم هاي Beacon با پارامتر هاي شبكه را ارسال كنند. البته، اطلاعات مورد نياز براي پيوستن به يك شبكه، اطلاعاتي است كه براي اقدام به يك حمله روي شبكه نياز است. فريم هاي Beacon توسط هيچ فانكشن اختصاصي پردازش نمي شوند و اين به اين معني است كه شبكه 802.11 شما و پارامترهايش براي هر شخصي با يك كارت 802.11 قابل استفاده است. نفوذگران با آنتن هاي قوي مي توانند شبكه ها را در مسيرها يا ساختمان هاي نزديك بيابند و ممكن است اقدام به انجام حملاتي كنند حتي بدون اينكه به امكانات شما دسترسي فيزيكي داشته باشند.

راه حل شماره ۱: تقويت كنترل دسترسي قوي

دسترسي آسان الزاماً با آسيب پذيري مترادف نيست. شبكه هاي بي سيم براي ايجاد امكان اتصال مناسب طراحي شده اند، اما مي توانند با اتخاذ سياستهاي امنيتي مناسب تا حد زيادي مقاوم شوند. يك شبكه بي سيم مي تواند تا حد زيادي در اين اتاق محافظت شده از نظر الكترومغناطيس محدود شود كه اجازه نشت سطوح بالايي از فركانس راديويي را نمي دهد. به هرحال، براي بيشتر موسسات چنين برد هايي لازم نيستند. تضمين اينكه شبكه هاي بي سيم تحت تأثير كنترل دسترسي قوي هستند، مي تواند از خطر سوءاستفاده از شبكه بي سيم بكاهد.

تضمين امنيت روي يك شبكه بي سيم تا حدي به عنوان بخشي از طراحي مطرح است. شبكه ها بايد نقاط دسترسي را در بيرون ابزار پيراموني امنيت مانند فايروال ها قرار دهند و مديران شبكه بايد به استفاده از VPNها براي ميسر كردن دسترسي به شبكه توجه كنند. يك سيستم قوي تأييد هويت كاربر بايد به كار گرفته شود و ترجيحاً با استفاده از محصولات جديد كه برپايه استاندارد IEEE 802.1x هستند. 802.1x انواع فريم هاي جديد براي تأييد هويت كاربر را تعريف مي كند و از ديتابيس هاي كاربري جامعي مانند RADIUS بهره مي گيرد. آنالايزرهاي باسيم سنتي مي توانند با نگاه كردن به تقاضاهاي RADIUS و پاسخ ها، امكان درك پروسه تأييد هويت را فراهم كنند. يك سيستم آناليز خبره براي تأييد هويت 802.11 شامل يك روتين عيب يابي مشخص براي LANهاست كه ترافيك تأييد هويت را نظاره مي كند و امكان تشخيص عيب را براي مديران شبكه فراهم مي كند كه به آناليز بسيار دقيق و كدگشايي فريم احتياج ندارد. سيستم هاي آناليز خبره كه پيام هاي تأييد هويت 802.1x را دنبال مي كنند، ثابت كرده اند كه براي استفاده در LANهاي استفاده كننده از 802.1x فوق العاده باارزش هستند.

هرگونه طراحي، بدون در نظر گرفتن ميزان قدرت آن، بايد مرتباً بررسي شود تا سازگاري چينش فعلي را با اهداف امنيتي طراحي تضمين كند. بعضي موتورهاي آناليز تحليل عميقي روي فريم ها انجام مي دهند و مي توانند چندين مسأله معمول امنيت 802.1x را تشخيص دهند. تعدادي از حملات روي شبكه هاي باسيم در سال هاي گذشته شناخته شده اند و لذا وصله هاي فعلي به خوبي تمام ضعف هاي شناخته شده را در اين گونه شبكه ها نشان مي دهند. آنالايزرهاي خبره پياده سازي هاي ضعيف را براي مديران شبكه مشخص مي كنند و به اين ترتيب مديران شبكه مي توانند با به كارگيري سخت افزار و نرم افزار ارتقاء يافته، امنيت شبكه را حفظ كنند.

پيكربندي هاي نامناسب ممكن است منبع عمده آسيب پذيري امنيتي باشد، مخصوصاً اگر LANهاي بي سيم بدون نظارت مهندسان امنيتي به كارگرفته شده باشند. موتورهاي آناليز خبره مي توانند زماني را كه پيكربندي هاي پيش فرض كارخانه مورد استفاده قرار مي گيرند، شناسايي كنند و به اين ترتيب مي توانند به ناظران كمك كنند كه نقاطي از دسترسي را كه بمنظور استفاده از ويژگي هاي امنيتي پيكربندي نشده اند، تعيين موقعيت كنند. اين آنالايزرها همچنين مي توانند هنگامي كه وسايلي از ابزار امنيتي قوي مانند VPNها يا 802.1x استفاده نمي كنند، علائم هشدار دهنده را ثبت كنند.

در شماره هاي بعد مشكلات امنيتي ديگر مورد بررسي قرار خواهند گرفت.