تبلیغات
تبلیغات متنی
پرچم تشریفات با کیفیت بالا و قیمت ارزان
پرواز از نگاه دکتر ماکان آریا پارسا
دکتر علی پرند فوق تخصص جراحی پلاستیک
تجهیزات و دستگاه های کلینیک زیبایی
محبوبترینها
سررسید تبلیغاتی 1404 چگونه میتواند برندینگ کسبوکارتان را تقویت کند؟
چگونه با ثبت آگهی رایگان در سایت های نیازمندیها، کسب و کارتان را به دیگران معرفی کنید؟
بهترین لوله برای لوله کشی آب ساختمان
دانلود آهنگ های برتر ایرانی و خارجی 2024
ماندگاری بیشتر محصولات باغ شما با این روش ساده!
بارشهای سیلآسا در راه است! آیا خانه شما آماده است؟
بارشهای سیلآسا در راه است! آیا خانه شما آماده است؟
قیمت انواع دستگاه تصفیه آب خانگی در ایران
نمایش جنگ دینامیت شو در تهران [از بیوگرافی میلاد صالح پور تا خرید بلیط]
9 روش جرم گیری ماشین لباسشویی سامسونگ برای از بین بردن بوی بد
ساندویچ پانل: بهترین گزینه برای ساخت و ساز سریع
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1851444833
پنج اشتباه متداول درباره امنيت شبكههاي بيسيم
واضح آرشیو وب فارسی:راسخون:
پنج اشتباه متداول درباره امنيت شبكههاي بيسيم نويسنده:مايکل تي راگو ترجمه : محمد ناصح اشاره : با ظهور شاخههاي جديد فناوري بيسيم، تعداد شركتهايي كه با استفاده از روشهاي نامناسب تأمين امنيت، سيستمهاي خود را در معرض خطر قرار ميدهند، باوركردني نيست. بهنظر ميرسد، اغلب شركتهاي داراي LAN بيسيم، بهواسطه شناسايي نقاط دسترسي غيرمعتبر كه ابزارها را بهطور رايگان مورداستفاده قرار ميدهند، به دنبال احراز شرايط استاندارد PCI هستند. با هدف آگاهي كاربران از آخرين ضعفهايامنيتي (و البته بعضي از شكافهاي امنيتي قديمي) تصميم گرفتيم، فهرستي از پنج اشتباه متداول را در تأمين امنيت شبكههاي بيسيم در اين مقاله ارائه كنيم. شناسايي اين اشتباهها حاصل تجربههاي شخصي در جريان آزمون و ايمنسازي شبكههاي مشتريان است. 1- ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه
.JPG)
اغلب سازمانها، شبكههاي بيسيم را بهعنوان بخش مكملي براي شبكه سيمي خود راهاندازي ميكنند. اتصال بيسيم، يك رسانه فيزيكي است و براي تأمين امنيت آن نميتوان تنها به وجود يك ديوار آتش تكيه كرد. كاملاً واضح است كه نقاط دسترسي غيرمجاز، به واسطه ايجاد راههاي ورود مخفي به شبكه و مشكل بودن تعيين موقعيت فيزيكي آنها، نوعي تهديد عليه شبكه بهشمار ميروند. علاوهبراين نقاط دسترسي، بايد نگران لپتاپهاي بيسيم متصل به شبكه سيمي خود نيز باشيد. يافتن لپتاپهاي متصل به شبكه سيمي كه يك كارت شبكه بيسيم فعال دارند، اقدامي متداول براي ورود به شبكه محسوب ميشود. در اغلب موارد اين لپتاپها توسط SSID شبكههايي را كه قبلاً مورد دسترسي قرار دادهاند، جستوجو ميكنند و در صورت يافتن آنها صرفنظر از اين كه اتصال به شبكه قانوني يا مضر باشد يا شبكه بيسيم در همسايگي شبكه فعلي قرار داشته باشد، بهطور خودكار به آن وصل ميشوند. به محض اينكه لپتاپ به يك شبكه مضر متصل شود، مهاجمان آن را مورد حمله قرار داده و پس از اسكن و يافتن نقاط ضعف ممكن است كنترل آن را به دست گرفته و بهعنوان ميزباني براي اجراي حملهها به كار گيرند. در اين شرايط علاوه بر افشاي اطلاعات مهم لپتاپ، مهاجم ميتواند از آن به عنوان نقطه شروعي براي حمله به شبكه سيمي استفاده كند. مهاجم درصورت انجام چنين اقداماتي، بهطور كامل از ديواره آتش شبكه عبور ميكند. ما امنيت شبكههاي معتبر و غيرمعتبر را ارزيابيكردهايم و به اين نتيجه رسيديم كه اغلب سازمانها ديواره آتش شبكه را بهگونهاي تنظيم ميكنند كه از آنها در برابر حملههاي مبتني بر اينترنت محافظت ميكند، اما امنيت شبكه در مقابل خروج از شبكه (Extrusion) و خروج غيرمجاز اطلاعات (leakage) تأمين نميشود. اصولاً زماني كه درباره خروج غيرمجاز اطلاعات صحبت ميكنيم، منظورمان خروج اطلاعات از شبكه است. بسياري از سازمانها تنظيمات ديواره آتش را براي كنترل ترافيك اطلاعات خروجي بهدرستي انجام نميدهند. در نتيجه اين سهلانگاري معمولاً اطلاعات محرمانه سازمان به خارج منتقل ميشود. بهعنوان مثال، يكي از متداولترين مواردي كه هنگام انجام آزمونهاي امنيتي با آن مواجه شديم، خروج اطلاعات شبكه سيمي از طريق نقاط دسترسي بيسيم بود. در اين آزمونها با استفاده از يك نرمافزار ردياب (Sniffer) بيسيم توانستيم حجم زيادي از ترافيك اطلاعات خروجي ناخواسته را شناسايي كنيم. اين اطلاعات شامل دادههاي مربوط به STP (سرنام IGRP ،(Speaning Tree Protocol ساير سرويسهاي شبكه و حتي در مواردي اطلاعات مربوط به NetBIOS بودند. چنين نقطهضعفي شبكه را به يك اسباب سرگرمي براي مهاجم تبديل ميكند. در حقيقت، نفوذ به چنين شبكهاي حتي نيازمند يك اسكن فعال يا حمله واقعي نيست. بهواسطه رديابي جريان اطلاعاتي يك شبكه بيسيم علاوه بر شناسايي توپولوژي بخش سيمي آن ميتوان اطلاعات مربوط به تجهيزات حياتي شبكه و حتي گاهي اطلاعات مربوط به حسابهاي كاربري را بهدست آورد. 2- ديواره آتش= تأمين امنيت کامل در برابر ورود غيرمجاز به شبکه اين تصور اشتباه، بسيار گيج كننده است. چگونه ميتوان بدون اسكن شبكه از نبود تجهيزات بيسيم در آن مطمئن شد؟! در محلهايي كه شبكههاي LAN بيسيم راهاندازي نشدهاند، علاوه بر نقاط دسترسي غيرمجاز، ميتوان از شبكههاي Ad-Hoc، دسترسي تصادفي لپتاپها و ايجاد پلهاي ارتباطي با شبكه، به عنوان تهديدات بالقوه براي امنيت شبكه نام برد. دسترسي تصادفي لپتاپهاي بيسيم يك خطر امنيتي براي صاحبان اين لپتاپها محسوب ميشود. اگر شركت مجاور شما از يك نقطه دسترسي بيسيم يا يك شبكه Ad-Hoc استفاده ميكند، احتمال اتصال تصادفي لپتاپهاي بيسيم عضو شبكه شما به اين شبكههاي بيسيم زياد است. اين اتصال نوعي خروج از شبكه است. مهاجمان نحوه بهرهبرداري از اين شرايط را به خوبي ميدانند و در نتيجه ميتوانند از يك نقطه دسترسي نرمافزاري يا Soft AP (نرمافزاري كه از روي يك لپتاپ اجرا ميشود) براي ارسال شناسههاي SSID موجود روي لپتاپ به يك كامپيوتر خارج از شبكه و حتي ارسال آدرس IP لپتاپ براي كامپيوتر خارجي استفاده كنند. چنانكه گفته شد، اين نقطه ضعف امكان كنترل لپتاپ و حمله به شبكه سيمي را براي مهاجمان فراهم ميكند. به علاوه، مهاجمان ميتوانند از طريق لپتاپ، حملههاي MITM (سرنام Man In The Middle) يا سرقت هويت را به اجرا درآورند.
.JPG)
3- اسکن دستي= شناسايي تمام نقاط دسترسي غيرمجاز در اين مورد، تلاش مديران شبكه براي اتخاذ يك رويكرد پيشگيرانه بهمنظور شناسايي نقاطدسترسي غيرمجاز در شبكه قابل تقدير است. اما متأسفانه ابزارهايي كه در اختيار اين افراد قرار دارد، كارايي لازم را براي شناسايي نقاط دسترسي غيرمجاز ندارد. بهعنوان مثال، بسياري از مديران شبكه از ابزارهاي مديريتي اسكن نقاطضعف شبكههاي سيمي بهمنظور شناسايي نقاط دسترسي غيرمجاز متصل به شبكه استفاده ميكنند. تجربهكاري نگارنده با ابزارهاي اسكن نقاط ضعف از هر دو نوع اپنسورس و تجاري، بيانگر اين است كه اغلب مديران شبكه با تعداد انگشتشماري نقطه دسترسي مواجه ميشوند كه توسط سيستمعامل شناسايي شده است و هنگامي كه شبكه را اسكن ميكنند، اين تجهيزات در قالب يك سيستم مبتني بر لينوكس همراه يك وبسرور شناسايي ميشوند. هنگام اسكن شبكههاي Class C و بزرگتر، دستگاههاي غيرمجاز بين ساير تجهيزات شبكه پنهان شده و نتايج حاصل از اسكن شبكه براي شناسايي نقاط دسترسي غيرمجاز حقيقي نيست. كاركرد ابزارهاي اسكن بيسيم مانند NetStumbler و Kismet بسيار خوب است، اما زماني كه نوبت به شناسايي نقاط دسترسي غيرمجاز ميرسد، اين ابزارها از كارايي لازم برخوردار نيستند. بهعنوان نمونه اين ابزارها نميتوانند مشخص كنند كه نقاط دسترسي شناساييشده واقعاً به شبكه شما متصل هستند يا خير. علاوهبراين، در تعيين موقعيت تقريبي دستگاه بيسيم مشكوك نيز دچار مشكل ميشوند. اگر شركت شما در يك ساختمان چندطبقه يا يك برج قراردارد، بايد امواج دريافتي آنتنهاي بزرگ و دستگاههاي منتشركننده سيگنال را نيز به اين مشكلات بيافزاييد. در چنين شرايطي يك مدير شبكه با مهارت متوسط در ردگيري و شناسايي تجهيزات بيسيم شبكه با مشكلات بزرگي روبهرو خواهد شد. 4- بهروزرساني تمام نقاط دسترسي بهمنظور حذف پروتکل WEP= تأمين امنيت کامل شبکه پروتكل WEP ساليان دراز مورد حمله مهاجمان قرار گرفته است. علاوهبراين، براساس اعلان PCI پروتكل WEP بايد تا ماه ژوئن سال 2010 بهطور كامل كنار گذاشته شود. بعضي از شركتها نيز به سراغ روشهاي توانمندتر كدگذاري و اعتبارسنجي رفتهاند. براي جايگزيني اين پروتكل، چندگزينه مختلف وجود دارد. متأسفانه بعضي از اين گزينهها نيز داراي نقاط ضعف هستند. بهعنوان مثال، نسخه PSK (سرنامPre-Shared Key) از پروتكل WPA به دليل نياز به انتشار اطلاعات موردنياز براي ساخت و تأييد كليد رمزگشايي اطلاعات، در مقابل نوعي حمله Offline كه روي واژهنامه آن انجام ميشود، آسيبپذير است. براي اجراي اين حملهها چندين ابزار مختلف شامل coWPAtty و aircrack-ng وجود دارد. اغلب حملهها شامل گردآوري تعداد زيادي از بستههاي اطلاعاتي و استفاده از ابزار درمقابل سيستم دريافت بستههاي اطلاعاتي است. بسته نرمافزاري Backtrack 3 تمام ابزارهاي لازم را براي اجراي اين نوع حملهها فراهم ميکند. در نوامبر سال 2008 به منظور اثبات اين ضعف، پروتكل TKIP هکشد. در اين حمله صرفنظر از بهكارگيري سيستم اعتبار سنجي PSK يا 802.1x مهاجمان توانستند به تمام نسخههاي پروتكل TKIP شامل WPA و WPA2 نفوذ كنند. با وجود اين،كليدهاي TKIP شناسايي نشدند و در نتيجه محتواي تمام قابهاي كدشده افشا نشد. يك حمله ميتواند در هر دقيقه يك بايت از دادههاي يك بسته اطلاعاتي رمزنگاريشده را افشا کرده و به ازاي هر بسته كدگشاييشده تا پانزده قابرمزنگاريشده را به سيستم تحميل ميكند. چنين سيستمي، يك گزينه مناسب براي آلودگي ARP محسوب ميشود. درك اين نكته ضروري است كه آن دسته از شبكههاي WPA و WPA2 كه الگوريتمهاي كدگذاري AES-CCMP پيچيدهتر را مورد استفاده قرار ميدهند، در برابر حملهها مقاومتر هستند و استفاده از چنين الگوريتمهايي به عنوان بهترين رويكرد تدافعي پيشنهاد ميشود. اگر هيچ گزينه ديگري به غير از راهاندازي يك سيستم WPA-PSK پيش رو نداريد، از يك كلمه عبور بسيار مطمئن كه حداقل هشت كاراكتر دارد، استفاده كنيد. كلمه عبور پيچيدهاي كه از شش كاراكتر تشكيل شده باشد، بهطور متوسط ظرف سيزده روز كشف ميشود. 5- استفاده از نرمافزار کلاينت VPN = محافظت از کارمندان سيار با وجود اينكه استفاده از برنامه كلاينت VPNهمراه يك ديواره آتش نخستين گام براي حفاظت از كارمندان سيار بهشمار ميرود، تعداد بسياري از نقاط ضعف چنين ارتباطي بدون محافظت باقي ميماند. كاربراني كه در حال مسافرت هستند، به ناچار در هتلها، كافي شاپها و فرودگاهها از شبكههاي وايفاي استفاده ميكنند. ابزارهايي مانند Hotspotter كه در بسته نرمافزاري BackTrack در اختيار همگان قرار ميگيرند، براي مهاجم امكان ايجاد يك ناحيه خطرناك را فراهم ميكنند كه اغلب توسط شبكه بهعنوان يك ناحيه خطرناك مجاز شناخته مي شود. اين فرآيند شامل ايجاد يك نقطه دسترسي جعلي با استفاده از يك شناسه SSID متداول و همچنين صفحات وب شبيه به يك ناحيه خطرناك واقعي است. سپس مهاجم منتظر اتصال كاربران بياطلاع، به نقطه دسترسي جعلي شده و با استفاده از پروتكل DHCP براي آنها يك آدرس IP و يك صفحه وب ايجاد ميكند. به اين ترتيب، كاربر فريبخورده و بهمنظور ورود به ناحيه خطرناك اعتبارنامه خود را در اختيار مهاجم قرار ميدهد. در بعضي موارد مهاجم حتي دسترسي كاربران به اينترنت را امکانپذير كرده و به اين ترتيب براي اجراي حملههاي MITM و سرقت ساير اطلاعات مهم كاربران مانند شناسه و كلمه عبور و شماره حساب بانكي آنها اقدام ميكند. حفاظت از كارمندان سيار بهويژه در برابر اين نوع حملهها، اقدامي چالشبرانگيز بوده و علاوه بر استفاده از نرمافزار كلاينت VPN و ديواره آتش نيازمند تمهيدات امنيتي ديگري است. البته، هيچيك از اين اقدامات بهطور كامل از كاربر محافظتنميكند، اما خطرات امنيتي را كاهش ميدهند. مديران شبكههاي مبتني بر ويندوز با استفاده از گزينه Access point (infrastructure) networks only ميتوانند از اتصال كاربران به شبكههاي Ad-Hoc جلوگيري ميکنند. بسياري از ابزارهاي مهاجمان كه براي شبيهسازي عملكرد نقاط دسترسي بهكار گرفتهميشوند، در حقيقت، شبكههاي Ad-Hock را شبيهسازي ميكنند. غيرفعالكردن گزينه مذكور در سيستمعامل ويندوز ميتواند از كاربران در برابر چنين حملههايي محافظت كند. بهعلاوه، غيرفعال كردن گزينه ( Any Available Network (Access Point Preferred نيز از بروز چنين حملاتي جلوگيري ميكند. سرانجام، با غيرفعالكردن گزينه Automatically Connect to Non-Preferred networks نيز ميتوان از اتصال تصادفي كاربران به شبكههاي Ad-Hock جلوگيري کرد.
.JPG)
جمعبندي در تأمين امنيت شبكههاي بيسيم، بهکارگيري يك رويكرد چندلايه، كليد اجتناب از بروز مشكلات امنيتي است. درك درست خطرات امنيتي قسمت بزرگي از فرآيند كاهش اين خطرات محسوب ميشود. اغلب حملههاي بيسيم نسبت به لايه دوم شبكه اجرا ميشوند. بنابراين، بازبيني تنظيمات ديواره آتش فعلي براي حصول اطمينان از فيلترسازي لايه دوم ضروري است. بسياري از ديوارههاي آتش تنها از لايه سوم و لايههاي بالاتر حفاظت ميكنند و بسياري از آنها نيز به جاي نظارت دائمي بر ترافيك اطلاعات به صورت يك فيلتر بستههاي اطلاعاتي عمل ميكنند. پيكربندي فيلتر بستههاي اطلاعاتي ميتواند به كاري ملالآور تبديل شود. بنابراين، نظارت دائمي بر لايههاي دوم و سوم شبكه رويكرد مناسبتري براي تأمين امنيت شبكههاي بيسيم است. بهروزرساني و تغييرپيكربندي نقاطدسترسي نيز ميتواند مكمل خوبي براي سيستمهاي كدگذاري و اعتبارسنجي ضعيف باشد. همچنين اين اقدامات ميتوانند بسياري از ملزومات فني و تكنيكي فعلي و آتي شبكه را تأمين كنند. بسياري از حملههاي امنيتي نيازمند برقراري شرايط خاص هستند و اجراي آنها مستلزم بهرهمندي از يك سيستم IDS/IPS بيسيم براي شبيهسازي محيط و تدابيرامنيتي موردتأييد براي زيرساختهاي بيسيم است. استفاده از يك سيستم IDS/IPS پيشرفته اقدام مؤثري براي شناسايي بسياري از حملههاي مذكور و همچنين محافظت در برابر آن دسته از ابزارهاي مهاجمان است كه براي انجام حملههاي دنبالهدار شناخته شده مورد استفاده قرار ميگيرند. ديواره هاي آتش بههيچوجه قادر به تأمين اين نوع امنيت نيستند. يك سيستم IDS/IPS بيسيم ابزارهاي بهتري را براي تشخيص نقاط دسترسي غيرمجاز در اختيار ما ميگذارد. اسكنرهاي دستي فقط براي بررسي لحظهاي وضعيت شبكه كاربرد دارند و هيچ ابزاري را براي تأمين خودكار امنيت شبكه در برابر نقاط دسترسي غيرمجاز ارائهنميکنند. استفاده از يك سيستم IDS/IPS بيسيم به منظور نظارت شبانهروزي بر شبكه و نابودي خودكار نقاط دسترسي غيرمجاز رويكرد كارآمدتري براي كاهش خطرات امنيتي شبكه محسوب ميشود. بهعلاوه، اين رويكرد موجب صرفهجويي در زمان طولاني موردنياز براي نظارت و بررسي دستي شبكه ميشود. بر گرفته از : ماهنامه شبکه - آبان 88 شماره 105 منبع: اين سکيور ج/
این صفحه را در گوگل محبوب کنید
[ارسال شده از: راسخون]
[مشاهده در: www.rasekhoon.net]
[تعداد بازديد از اين مطلب: 658]
-
گوناگون
پربازدیدترینها