۱– استفاده از رمزنگاری
رمزنگاری مهمترین و اصلیترین ابزار امنیتی بهحساب میآید، با وجود این،
در بسیاری از نقاط دسترسی بیسیم (WAP) ویژگی رمزنگاری بهصورت پیشفرض
فعال نیست. اگر چه اغلب WAPها از پروتکل WEP (سرنام
Wired Equivalent Privacy) پشتیبانی میکنند، اما این پروتکل نیز بهصورت
پیشفرض فعال نیست.
WEP دارای چند نقیصه امنیتی بوده و یک هکر مسلط میتواند به آن نفوذ کند،
اما در حالت کلی وجود آن بهتر از عدم وجود هرگونه پروتکل رمزنگاری خواهد
بود. اطمینان حاصل کنید که روش تأیید WEP بهجای Open System روی Shared
Key تنظیم شده باشد.
روش دوم، دیتاها را رمزنگاری نمیکند، بلکه تنها اقدام به بررسی اعتبار
کلاینت میکند. تغییر دادن کلید WEP در بازههای زمانی مشخص و حداقل
استفاده از الگوی 128 بیتی روشهایی هستند که به بهبود امنیت شبکه بیسیم
شما کمک شایانی خواهند کرد.
۲ – از رمزنگاری قویتری استفاده کنید
بهدلیل وجود برخی نقاط ضعف در WEP میتوانید بهجای آن از پروتکل WPA
(سرنام Wi-Fi Protected Access) استفاده کنید. برای استفاده از WPA،
پروتکل WAP شما باید از آن پشتیبانی کند (با ارتقای فریم ویر میتوانید
پشتیبانی از این پروتکل را به نسخههای قدیمیتر WAP بیافزایید) همچنین
کارت شبکه بیسیم (NIC) شما نیز باید مناسب کار با این پروتکل بوده و
نرمافزار بیسیم کلاینت نیز از آن پشتیبانی کند.
Windows XP SP2 بهعنوان پیشفرض کلاینت WPA را نصب میکند. ماشینهایی را
که روی آنان SP1 نصب شده است نیز میتوانید با استفاده از بسته Wireless
Update Rollup Package را به کلاینت Windows WPA مجهز کنید
(آدرس http://support.microsoft.com/kb/826942/ را مشاهده کنید).
یکی دیگر از گزینههای رمزنگاری استفاده از IPSec است. البته، شرط استفاده از آن، پشتیبانی روتر بیسیم شما از این پروتکل خواهد بود.
۳ – کلمه عبور پیشفرض Administration را تغییر دهید
اغلب تولیدکنندگان از کلمه عبور مشخصی برای رمز عبور Administration کلیه
نقاط دسترسی بیسیم خود استفاده میکنند. این کلمات عبور مشخص و ثابت در
نزد هکرها شناخته شده بوده و میتوانند بهسادگی از آن برای تغییر تنظیمات
WAP شما استفاده کنند. اولین کاری که باید هنگام تنظیم یک WAP انجام دهید،
تغییر رمز عبور، به رمزی قویتر، با حداقل هشت کاراکتر طول و استفاده
ترکیبی از حروف و اعداد و استفاده نکردن از کلمات موجود در فرهنگ لغت است.
۴ – ویژگی انتشار SSID را خاموش کنید
SSID (سرنام Service Set Identifier) نام شبکه بیسیم شما را مشخص میکند.
بهعنوان پیشفرض اغلب WAPها SSID را نمایش میدهند. اینکار موجب میشود
تا کاربران بهراحتی بتوانند شبکه را پیدا کنند، زیرا در اینصورت نام شبکه
بیسیم در فهرست شبکههای قابل دسترس و روی کلاینت بیسیم قابل مشاهده
خواهد بود.
اگر نمایش نام SSID را خاموش کنید کاربران ناچار خواهند بود تا برای اتصال
به شبکه بیسیم از نام آن اطلاع داشته باشند. برخی معتقدند، اینکار
بیفایده است، زیرا هکرها میتوانند با استفاده از نرمافزار Packet
Sniffing نام SSID را (حتی اگر ویژگی نمایش آن خاموش باشد) پیدا کنند.
این مطلب صحیح است، اما چرا باید کار را برای آنان آسان
کنیم؟ این مطلب مانند این است که بگوییم از آنجا که سارقان میتوانند
شاهکلید تهیه کنند، پس بهکارگیری قفل روی درب منازل کار بیهودهای است.
خاموش کردن گزینه Broadcasting SSID نمیتواند مانع از کار یک هکر ماهر
شود، اما مطمئناً جلوی کاربران کنجکاو و ماجراجو را (بهعنوان مثال،
همسایهای که متوجه وجود شبکه بیسیم شده و میخواهد فقط بهخاطر سرگرمی به
آن نفوذ کند) خواهد گرفت.
۵ – WAP را در مواقع غیرلازم خاموش کنید
این مورد ممکن است خیلی سادهانگارانه بهنظر آید، اما شرکتها و اشخاص
انگشتشماری یافت میشوند که اینکار را انجام دهند. اگر کاربران بیسیم
شما در ساعات مشخصی به شبکه متصل میشوند، دلیلی وجود ندارد تا شبکه بیسیم
شما در تمام طول شبانهروز روشن باشد تا فرصتی را برای مهاجمان فراهم
آورد. شما میتوانید در مواقعی که به نقطهدسترسی نیازی ندارید آن را خاموش
کنید. مانند شبها که همه به منازل خود میروند و هیچکس به ارتباط بیسیم
احتیاجی ندارد.
۶ – SSID پیشفرض را تغییر دهید
تولیدکنندگان WAPها اسامی ثابت و مشخصی را برای SSID به کار میبرند.
بهعنوان مثال، دستگاههای Linksys از همین نام برای SSID استفاده میکنند.
پیشنهاد خاموش کردن نمایش SSID برای جلوگیری از اطلاع دیگران از نام شبکه
شما است، اما اگر از نام پیشفرض استفاده کنید، حدس زدن آن کار سختی نخواهد
بود. همانطور که اشاره شد هکرها میتوانند از ابزارهای مختلفی برای پی
بردن به SSID استفاده کنند، به همین دلیل، از به کار بردن نامهایی که
اطلاعاتی را درباره شرکت شما به آنان میدهد (مانند نام شرکت یا آدرس محل)
خودداری کنید.
۷ – از فیلتر MAC استفاده کنید
اغلب WAPها (بهجز انواع ارزانقیمت) به شما اجازه خواهند داد از سیستم
فیلترینگ آدرسهای MAC (سرنامMedia Access Control )استفاده کنید. این
بهاین معنی است که شما میتوانید «فهرست سفیدی» از کامپیوترهایی را که
مجاز به اتصال به شبکه بیسیم شما هستند بر مبنای MAC یا آدرس فیزیکی
کارتهای شبکه تعریف کنید. درخواستهای ارتباط از سوی کارتهایی که آدرس
MAC آنها در این فهرست موجود نیست، از جانب AP رد خواهد شد.
این روش محفوظ از خطا نیست، زیرا هکرها میتوانند بستههای اطلاعاتی رد و
بدل شده در یک شبکه بیسیم را برای تعیین مجاز بودن آدرس MAC امتحان کنند و
سپس از همان آدرس برای نفوذ به شبکه استفاده کنند. با اینحال، این کار
باز هم قدری موضوع را برای «مهاجمان احتمالی» مشکلتر خواهد کرد. چیزی که
موضوع اصلی در امنیت است.
۸ – شبکه بیسیم را از دیگر شبکهها جدا سازید
برای محافظت از شبکه باسیم داخلی خود در برابر تهدیدهایی که از طریق شبکه
بیسیم وارد میشوند میتوانید نسبت به ایجاد یک DMZ بیسیم یا شبکهای
محیطی که در برابر LAN ایزوله شده اقدام کنید. برای اینکار میتوانید با
قرار دادن یک فایروال میان شبکه بیسیم و LAN هر دو شبکه را از یکدیگر جدا
کنید.
پس از آن باید برای دسترسی کلاینتهای بیسیم به منابع شبکهای در شبکه
داخلی، هویت کاربر را از طریق شناسایی توسط یک سرور راهدور یا بهکارگیری
از VPN تأیید کنید. اینکار موجب ایجاد یک لایه محافظتی اضافی خواهد شد.
برای اطلاعات بیشتر درباره چگونگی دسترسی به شبکه از طریق VPN و ایجاد DMZ
بیسیم با استفاده از فایروال ISA Server مایکروسافت، به آدرس زیر مراجعه
کنید (برای دستیابی به این آدرس به یک حق عضویت Tech ProGuil نیاز خواهید
داشت):
۹ – سیگنالهای بیسیم را کنترل کنید
یک WAP نمونه با استاندارد 802.11b امواج را تا مسافت نود متر ارسال
میکند. این میزان با استفاده از آنتنهای حساستر قابل افزایش است. با
اتصال یک آنتن external پرقدرت به WAP خود، خواهید توانست برد شبکه خود را
گسترش دهید، اما اینکار میتواند دسترسی افراد خارج از ساختمان را نیز به
داخل شبکه امکانپذیر سازد.
یک آنتن جهتدار بهجای انتشار امواج در میدانی دایرهای شکل آنان را تنها
در یک راستا منتشر میسازد. بهاین ترتیب، شما میتوانید با انتخاب یک آنتن
مناسب، هم برد و هم جهت ارسال امواج را کنترل کرده و در نهایت از شبکه خود
در برابر بیگانگان محافظت کنید. علاوه بر این، برخی از WAPها به شما اجازه
میدهند تا قدرت سیگنال و جهت ارسال آن را از طریق تنظیمهای دستگاه تغییر
دهید.
۱۰ – ارسال امواج روی فرکانسهای دیگر
یک راه برای پنهان ماندن از دید هکری که بیشتر از فناوری رایج 802.11b/g
استفاده میکند، این است که تجهیزات 802.11a را بهکار بگیرید. از آنجا که
این استاندارد از فرکانس متفاوتی (5 گیگاهرتز بهجای 2/4گیگاهرتز
استاندارد b/g) استفاده میکند، کارتهای شبکهای که بیشتر برای فناوریهای
شبکهای معمول ساخته شدهاند نمیتوانند این امواج را دریافت کنند.
به این تکنیک Security Through Obscurity یا «امنیت در تاریکی» گفته
میشود، اما این کار زمانی مؤثر است که در کنار دیگر روشهای امنیتی بهکار
گرفته شود. در نهایت اینکه Security Through Obscurity دقیقاً همان چیزی
است که وقتی به دیگران توصیه میکنیم نگذارند بیگانگان از اطلاعات خصوصی
آنها مانند شماره تأمین اجتماعی یا دیگر اطلاعات فردی مطلع شوند، به آن
اشاره میکنیم.
یکی از دلایلی که استاندارد 802.11b/g را محبوبتر از 802.11a میسازد این
است که برد فرکانس آن بیشتر از a و تقریباً دو برابر آن است. 802.11a
همچنین در عبور از موانع و دیوارها با قدری مشکل روبهرو است.