اعداد شبكة لاسلكية منزلية وكيف نغير اعدادات نقطة الاتصال وربط الشبكة اللاسلكية بالشبكة السلكية وطريقة الاستخدام5-5
لمواجهة الوصول غير المرخص , قد تنتشر الشبكة اللاسلكية توثيقا متبادلا بين أجهزة الزبون ونقاط الوصول التوثيق هو عمل لاثبات هوية الشخص أو الجهاز تقوم الشبكة اللاسلكية باستخدام طرق لاثبات هوية أجهزة الزبون الى محطات القاعدة والعكس بالعكس وهو مايؤمن مشروعية المستخدم ويثبت أن المستخدم يتصل مع نقطة وصول شرعية بالاضافة الى ذلك على نقاط الوصول التوثيف مع المبدلات من اجل عدم السماح بتحقيق اتصال ناجح لمنطقة وصول مؤذية .
6-3 التوثيــق:
استخدام التوثيق المتبادل امر مهم في الشبكة اللاسلكية يعمل التوثيق على تامين الحماية ضد مسائل أمن متعددة مثل رجل في وسط هجومات بالتوثيق المتبادل على الزبون اللاسلكي والشبكة اللاسلكية اثبات هويتهم لبعضهم البعض تستخدم هذه العملية مخدم التوثيق مثل RADIUS خدمة المستخدم لطلب التوثيق البعيد لانجاز التوثيق .
6-3-1 قابلية الخطر لتوثيق 802.11
وحدة WEP يقدم طريقة لتوثيق بطاقات الشبكة NIC الراديوية ونقاط الوصول مع العلم انه لا تتواجد طريقة اخرى حولنا نتيجة لذلك يستطيع مخرب البيانات اعادة رسم مسار البيانات بواسطة مسار غير مرخص بديل وذلك لتجنب اى اليات أمن اخرى , عوضا عن طريقة توثيق واحدة تحتاج الشبكات اللاسلكية لا تستخدم التوثيق المتبادل للتتجنب هذه المشكلة .
عندما يصبح الزبون الاسلكي فعال فانه يبحث في الوسط عن اشارات تحذيرية متضمنة لهوية مجموعة الخدمة SSID لنقطة الوصول بالاضافة الى بحثه عن بارامترات اخرى تمكن نقطة الوصول الترابط فقط اذا طابقتSSID للزبون مع SSID لنقطة الوصول تعرض هذه العملية شكل توثيق أساسي ولكنه ضعيف .
تتمثل قابلية الخطر الاساسية في حقيقة أن SSID ترسل بشكل غير مشفر وهو مايجعلها مرئية لرزم التحري الخفية اللاسلكية وبسبب هذا الامر يستطيع مخرب البيانات بسهولة تحديد SSID ضمن الاطار التحذيري والقيام بالتوثيق مع الشبكة اللاسلكية حتى اذا نقطة الوصول في حالة عدم القيام ببث SSID ميزة اختيارية متوفرة فقط في بعض نقاط وصول – فان رزم التجري الخفية اللاسلكية تبقي قادرة على استخلاص SSID من اطر الطلب الموافقة المرسلة من أجهزة الزبون الى نقطة الوصول .
يعرض المعيار 802.11 بشكل قياسي شكل توثيق يدعى النظام المفتوح وفق هذا النموذج تمنح نقطة الوصول اثابت لاى طلب توثيق . بشكل بسيط يرسل الزبون اطار طلب توثيق وتستجيب نقطة الوصول باثبات التوثيق وهو مايسمح لاى شخص لديه SSID صحيحة من الترابط مع نقطة الوصول .
يتضمن المعيار 802.11 ايضا توثيق المفتاح التشاركي بشكل اختياري وهو شكل توثيق متقدم اكثر تمثل الخطوات الاربعة التالية هذه العملية :
1- يرسل الزبون اطار طلب توثيق
2- تستجيب نقطة الوصول باطار يتضمن تسلسل من الرموز يطلق عليها نص التحدي Challenge Text
3- يقوم الزبون بعد ذلك بتشفير نص التحدي باستخدام مفتاح تشفير WEP عام . يرسل الزبون نص التحدي المشفر بشكل عائد الى نقطة الوصول وبالتالي يعمل على فك تشفير النص باستخدام المفتاح العام وعلى مقارنة النتيجة مع النص الاصلي المرسل
4- اذا طابقت النتيجة النص المشفر عند ذلك توثق نقطة الوصول الزبون
يبدو هذا الامر مهما في للتوثيق الا ان المشكلة في أن توثيق المفتاح التشاركي مثبت لزبون لدية مفتاح WEP صحيح فقط .
6-3-2 مرشحات MAC :
تعرض بعض محطات القاعدة اللاسلكية ترشيح Filter لتحكم وصول للوسط MAC عند استخدام ترشيح MAC تفحص نقطة الوصول عنوان MAC المصدر لكل اطار قادم تنكر نقطة الوصول لاطر التي لا تملك عنوان MAC مطابق للقائمة المحددة والمبرمجة من قبل المدير بالنتيجة يقدم ترشيح MAC شكلا بدائيا من التوثيق .
يملك ترشيح MAC مع ذلك بعض الضعف فعلي سبيل المثال لا يعمل تشفير WEP على تشفير حقل عنوان MAC من الاطار وهو مايسمح لمخرب البيانات من القيام بسهولة بالتحري الخفي عن الاطر المرسلة لاستكشاف العناوين الشرعية لطبقة MAC ويستطيع مخرب البيانات استخدام البرمجة المتوفرة بشكل حر من اجل تغير عنوان MAC لبطاقات الشبكة NIC الراديوية بهدف مطابقة عنوان MAC الشرعي وهو مايمكن مخرب البيانات على التنكر كمستخدم حقيقي والد*** الى نقطة الوصول عندما يكون المستخدم الشرعي غير موجود على الشبكة .
6-3-3 التوثيق باستخدام تشفير المفتاح العام :
بالاضافة الى حماية المعلومات من مخربي البيانات تستطيع المحطات استخدم تشفير المفتاح العام لتوثيق نفسها الى محطات اخرى او لنقاط وصول وهو امر ضروري قبل ان يسمح المتحكم او نقطة الوصول لمحطة معينة بالتلاؤم مع الطرف المحمي من الشبكة وبشكل مشابه يستطيع الزبون توثيق نقطة الوصول بطريقة مشابهه .
توثيق المحطة نفسها من خلال تشفير تسلسل النص ضمن الرزمة باستخدام المفتاح الخاص بها تقوم المحطة المستقبلة بفك تشفير النص بالمفتاح العام للمحطة المرسلة اذا كان النص الناتج عن فك التشفير مطابق لبعض المحددات الاولية للنص مثل اسم المحطة , عند ذلك تعرف المحطة المستقبلة ان المحطة المرسلة شرعية يقوم التشفير لتسلسل نص معين في هذه الحالة بدور مشابه للتوقيع الرقمي.
6-4 سياسات الامن :
تتمثل احدى الخطوات الاولى لتامين أمن الشبكة اللاسلكية في تشكيل سياسات فعالةوعمليات تقوية موافقة قم بالتحليل الدقيق لاحتياجات الامن بهدف تأمين مستوى حماية كاف على سبيل المال قد يكون التشفير جزءاُ من كامل استخدامات الشبكة اللاسلكية قد يكون WEP مناسبا لنشر الشبكات في المنزل والمكتب الصغير , ومن أجل تطبيقات متحدة يجب الانتفاع من طرق افضل مثل WPA من الأمور المهمة ايضا استخدام طريقة التوثيق المتبادلة الفعالة مثل LEAP أو EAP-TLS للتطبيقات المتحدة .
6-4-1 خطوات التحديد :
بعد نشر الشبكة اللاسلكية , أنت بحاجة لاستخدام محددات امن تعمل على تأمين توافق شبكات WLANs مع سياسات الامن من الضروري في حالات متعددة استخدام الشبكة لآليات أمن فعالة .
لاتضع ثقة كبيرة جداُ في تصميم النظام من الافضل تشغيل فحوصات للتاكد من أن الشبكة قوية بشكل كاف لتحرس نفسها ضد الاشخاص غير المرخصين الذين يهاجمون مصادر الشركة .
في الواقع على الشركات نقل مراجعات الامن الدورية المنتظمة لتامين أن التغيرات على الشبكة LAN اللاسلكية لا تجعل النظام عرضة للخطر من قبل مخربي البيانات قد تكون المراجعة السنوية كافية لشبكات ذات الخطر المنخفض الا ان المراجعة كل ربع عام او اكثر قد تكون ضرورية اذا كانت الشبكة تدعم نقل معلومات عالية الخطورة مثل بيانات مالية مسار بريد وظائف تحكم تصنيعية .
6-4-1-1مراجعة سياسات الامن الموجودة :
قبل الذهاب بعيد في محددات الامن لقد اصبح مألوفا لسياسات الشركة ان تأخذ بعين الاعتبار امن الشبكة اللاسلكية وهو يقدم علامة منسوب لتحدد فيما اذا كانت الشركة متوافقة مع سياساتها المملوكة لها اضافة لما ذكر ستكون قادراً على وضع توصيات محددة وموافقة لتعديلات السياسة حدد فيما اذا تركت الساسة غرفة اى موظف خنق على الشركة بامكانه استخدامها للوصول الى مصادر الشركة .
على سبيل المثال تصف السياسة التشفير الكافي وآليات التوثيق ابق في عقلك أن WEP 802.11 قد تحطم بالاضافة لذلك على السياسة القيام بانتداب جميع الموظفين ليتم التنسيق مع قسم IT في الشركة قبل شراء أو تركيب محطات قاعدة من المهم أن تتوافق اعدادات تهيئة جميع محطات القاعدة مع السياسات وان تقدم مستوى مناسب من الامن أنت بحاجة ايضا لتامين نشر سياسات الأمن على الموظفين بأسلوب فعال .
6-4-1-2 مراجعة النظام الموجود :
قابل قسم IT واقرأ المستندات المتعلقة بكيفية فهم هيكلية النظام وفهم تهيئات محطات القاعدة انت بحاجة لتحديد وجود اى تصميم يملك نقاط ضعف (ثغرات ) مما يعمل على السماح بد*** مخرب البيانات الى داخل النظام .
تعلم قدر المستطاع عن أدوات الدم الموجودة واجراءات التركيز على مواضيع مناسبة على سبيل المثال تعمل معظم الشركات على تهيئة محطات القاعدة عبر شبكة ايثرنت السلكية الاساسية وفق هذه العملية يتم ارسال كلمات السر لفتح اتصال مع محطات قاعدة معينة يتم الارسال لكلمات السر بشكل غير مشفر عبر الشبكة السلكية نتيجة لذلك باستطاعة مخرب البيانات الذي يملك تجهيزات مراقبة معلقة على شبكة الايثرنت مسك كلمات السر واعادة تهيئة القاعدة بشكل محتمل .
6-4-1-3 التحقق من تهيئات الأجهزة اللاسلكية :
كجزء من عملية التحديد امش عبر منطقة الخدمة بمحطات قاعدة وباستخدام أدوات مسك تهيئات محطة القاعدة اذا كانت الشركة قد وضعت برمجية دعم مركزية ستكون قادرا على مشاهدة اعدادات التهيئة من خزانه وحيدة مرفقة موجودة على الطرف السلكي من الشبكة تهدف هذه العملية لتحديد أية آليه أمن مستخدمة فعليا وفيما اذا كانت تتوافق مع السياسات الفعالة .
على سبيل المثال قد تحدد السياسات حالة محطات القاعدة بانها غير مفعلة لمنفذ الخزانة الفيزيائية بينما اثناء الفحص فانك تستطيع معرفة ان معظم محطات القاعدة تملك منافذ مفعلة يشير هذا الامر الى عدم توافق مع السياسات وقد يمكن مخرب البيانات من تصفير محطة القاعدة الىاعدادات المصنع القياسية دون تمكين عمل سياسة امن بالاضافة لذلك الق نظرة على نسخة البرمجية الدائمة القديمة الاجزاء البرمجية الحديثة بشكل كبير والتي تعمل على تثبيت تعرض التشفير للخطر .
اعمل ايضا على تحري التركيبات الفيزيائية لمحطة القاعدة خلال سيرك عبر منطقة الخدمة يتم تحري تركيب محطات القاعدة من خلال الانتباه على وصولها الفيزيائي ونوع الهوائي وانتشار الموجات الراديوية الى منافذ منطقة الخدمة والتي لا تملك تحكم أمن فيزيائي بالنظر الى انه قد يتم تركيب محطات القاعدة فيمكان ما بحيث يكون من الصعب لشخص ما التعامل الفيزيائي مع محطة القاعدة والسير دون ان يلاحظها .
تتوضع محطة القاعدة ببساطة في أعلى رف كتب على سبيل المثال قد يكون من السهل لمخرب البيانات القيام بتبديل محطة القاعدة بأخرى مؤذية لا تملك اى تنمكين للأمن , أو قد يعمل مخرب البيانات على ارفاق حاسوب محمول بمنفذ الخزانة يهدف تصفير اعداداتمحطة القاعدة اذا ركبت جميع محطات القاعدة فوق الاسقف الاجرية وخارج المنظر السهل عندها سيحتاجشخص مالاستخدام سلم لذا من الممكن أن تتم ملاحظته عند استخدام السلالم من قبل موظف او حارس الأمن .
6-5 سياسات الأمن العامة :
اعتبر في أى شبكة لاسلكية أن هدف السياسات هو حماية مصادر الشبكة من الناس غير المرخص لهم بالد*** سنلقي فيما يلي نظرة على مايجب ان يتضمنه عملك .
الشكل (5-2) سياسات الامن العامة
6-5-1 ضع المستخدمين اللاسلكيين خارج الجدار الناري
اعتبر استخدام منطقة مدنية (غير عسكرية)DMZ (Demilitarized Zone ) لاسلكية أثناء وضع الجدار الناري بين الشبكة اللاسلكية والشبكة المتحدة . ثم زود كل جهاز زبون بشبكة خاصة افتراضية (VAP) تقبل بها الشبكة المحمية بالنتيجة سيحتاج مخرب البيانات الى الانتفاع من شبكة VPN تهيئتها بشكل صحيح وهوأمر من الصعب القيام به بهدف ربح الوصول الى مصادر الشركة .
تظهر المشكلة في حل الشبكة الافتراضية VPN لجميع المستخدمين انه من الصعب تحقيق الادارة وفي بعض الاحيان التعامل مع الاداء المنخفض لذا اعتبر بشكل رئيسي ومحدد شبكات VPNs لحالة قيام المستخدمين بالتجوال في المناطق العامة
6-5-2 تخفيض انتشار الموجات الراديوية :
من الممكن اثناء استخدام الهوائي الموجه تقييد انتشار الموجات الراديوية ضمن منطقة لا يستطيع ضمنها مخربو البيانات من الوصول الفيزيائي , على سبيل المثال يستطيع مصمم الشبكة اللاسلكية تحديد ربح الهوائي والاتجاه بهدف انقاص زمن تصريف الموجات الراديوية خارج محيط منطقة الخدمة لا يعمل هذا على تقديم تغطية امثلية فحسب بل انه يعمل على وضع قدرة تصنت المتطفلين على ارسال اشارة المستخدم في حدها الادني او من تحديد قيام المتطفلين من التلاؤم مع الشبكة المتحدة عبر نقطة وصول .
6-5-3 استخدام الجدران النارية الشخصية :
اذا استطاع مخرب البيانات الترابط مع محطة القاعدة فباستطاعته الوصول الى ملفات اجهزة مستخدم اخر بسهولة بواسطة نظام التشغيل Windows الذي يترابط مع نقطة الوصول المتصلة مع الشبكة LAN اللاسلكية ذاتها بالنتيجة فان الحل الحاسم والقطعي لهذه المشكلة يتمثل بقيام جميع المستخدمين بعدم تمكين مشاركة الملفات ولجميع المجلدات والانتفاع من الجدران النارة إنه حل حاسم عند عمل المستخدمين في مواقع عامة .
مرة اخري للتاكيد والافادة واهمية الموضوع ليس اعتباطا
موضوع رقم… 1428 -*- مساهمة رقم… 3773 |
|