پرینت

9 : شبکه های بیسیم و امنیت آنها

. Posted in مبانی شبکه +Network

نگاهی کلی به شبکه وایرلس
نقطه دسترسی بیسیم  /  محل قرارگیری نقطه دسترسی
استانداردهای شبکه بیسیم  /  امنیت وایرلس

اگر به شبکه از بعد رسانه یا مدیا نگاه کنید چندین متد برای انتقال بسته های اطلاعاتی داریم . می توانیم بسته ها را از طریق کابل های مسی (Twisted Pair Cables) یا کابل های فیبر نوری (Fiber Optic Cables) انتقال دهیم. همچنین می توانیم کابل را در شبکه حذف کنیم و از طریق امواج بسته ها را به مقصد مورد نظر انتقال دهیم . هر کدام از این متد ها در جایگاه خود کاربرد خاص خود را دارند ولی در اینجا قصد داریم درباره نحوه انتقال بسته ها از طریق امواج یا به عبارتی دیگر شبکه بی سیم (Wireless Networking) صحبت کنیم .

قبل از هر چیز خوب است بدانید دلیل استفاده از این متد چیست و چه فوایدی را برای ما به ارمغان می آورد :

واضح ترین دلیل استفاده از شبکه های بیسیم عدم استفاده از کابل در شبکه می باشد . آیا فرآیندی سودمند برای ما خواهد بود ؟ به صورت کلی بله . دیگر نیاز به کابل کشی نخواهید داشت و دردسر های ناشی از آن وجود ندارد .شبکه به راحتی نصب و پیاده سازی می شود و هزینه کمتری دارد . می توانید شبکه را از بین دیوار ها و موانع فیزیکی عبور دهید (نه همه موانع) . دسترسی های کوتاه و موقت را سریعا و با کمترین هزینه فراهم می کند . مثلا برای افرادی که شبکه شما را ملاقات می کنند نیاز به کابل کشی جداگانه نخواهید داشت و اتصال وی را سریعا برقرار می کند .

ولی! . اما! . شاید! نسبتا امنیت دارد !!!!؟؟؟؟

شاید بتوان مهمترین مسئله و معضل را در شبکه های بیسیم همان امنیت نسبی آنها دانست که در این باره به تفصیل صحبت خواهیم کرد .

نقطه دسترسی بیسیم

اما قبل از اینکه درباره امنیت داده در شبکه های بیسیم صحبت کنیم , بایستی درباره مفهومی با نام Wireless Access point و اجزا آن صحبت کنیم . Wireless Access Point یا نقطه دسترسی بی سیم مهم ترین بخش شبکه های بی سیم است زیرا بدون WAP شما دسترسی به شبکه بی سیم نخواهید داشت و عملا شبکه بی سیم وجود نخواهد داشت .این بخش مهم دارای اجزایی است که با آنها آشنا می شویم :

(BSS (Basic Service Set :
این عبارت به این معناست که شما یک شبکه بیسیم دارید و شبکه بی سیم شما تنها دارای یک نقطه دسترسی WAP می باشد . مثلا در محیط های کوچک مثل شبکه های خانگی یا ادارات کوچک شما BSS را بکار خواهید برد چونکه تنها نیاز به یک نقطه دسترسی WAPخواهید داشت .

(ESS (Extended Service Set :
برخلاف مورد قبلی ESS به این معناست که شما یک شبکه بیسیم دارید و شبکه بیسیم شما بیش از یک نقطه دسترسی خواهد داشت و مطمئنا ESS در شبکه های بزرگتر با نیازهای بیشتر کاربرد خواهد داشت .

(SSID (Service Set Identifier :
شناسه , علامت یا نشانه شبکه وایرلس شما می باشد در شرایطی که شما تنها یک نقطه دسترسی WAPداشته باشید . در صورتی که بیش از یک نقطه دسترسی داشتید ESSID را خواهید داشت .

(BSSID (Basic Service Set Identifier :
این مفهومی است که بسیاری از افراد آن را با موارد بالا اشتباه می گیرند . شاید با خود بگویید خوب , BSS که شد شبکه بیسیم با یک نقطه دسترسی و SSID هم شد شناسه شبکه پس BSSID هم می شود شناسه شبکه با یک نقطه دسترسی ! کاملا در اشتباهید . BSSID هیچ ربطی به موارد بالا ندارد و مفهومی کاملا جداگانه را بیان می کند . BSSID بیان کننده مک آدرس شبکه بیسیم شما می باشد.

(BSA (Basic Service Area :
مفهومی است که بیانگر ناحیه و محدوده پوشش داده شده شبکه وایرلس شماست.

محل قرارگیری نقطه دسترسی

اکنون که با اجزای WAP آشنا شدید حال بایستی بدانید که این نقطه دسترسی را بایستی در کجا قرار دهیم ؟ محل قرارگیری نقطه دسترسی شما بسیار مهم است . چرا مهم است ؟ به این دلیل که یکسری کامپیوتر ها یا لپ تاپ ها یا موبایل ها یا تبلت ها یا سرورها بایستی در فاصله معینی از WAP قرار گیرند و بتوانند به آن دسترسی داشته باشند و همچنین بایستی این محدوده انتقال تا محل معینی باشد و امواج از حد خاصی فراتر نرود .

چگونه تشخیص دهیم چه مکانی برای WAP ما مناسب تر است ؟ چه فاکتور هایی در این مسئله تاثیرگذار است ؟

اولین فاکتور تاثیر گذار محلی است که کلاینت ها یا همان کامپیوتر های ما قرار گرفته اند . محل قرار گیری کامپیوتر ها معمولا ثابت است پس بایستی WAP در محلی قرار گیرد که تمامی کامپیوتر ها قادر به دسترسی به آن باشند .

دومین فاکتور را می توان به این صورت بیان کرد که WAP شما تا چه فاصله ای قادر به ارسال و دریافت سیگنال است . اگر قرار باشد که کامپیوتر ها به WAP متصل شوند بایستی در فاصله منطقی از WAP باشند تا قادر به دریافت و ارسال سیگنال باشند . در ادامه آن می توان گفت که WAP از یک آنتن هدایت کننده برخوردار است ؟ زیرا این موضوع می تواند در مسافت ارسال و دریافت تاثیر گذار باشد .می توانید مسیر هدایت سیگنال را به صورت مستقیم , موج کوتاه یا بلند , به صورت دایره وارد تعیین کنید و به آن شکل دهید .

آخرین فاکتور این است که آیا شما به نیاز داریداین است که محدوده خاصی را از سیگنال خود محروم کنید . به صورت ساده تر بیان می کنم . می خواهید سیگنال شما تا کجا قابل دسترسی باشد . این خود یکی از موارد امنیتی است . به عنوان مثال در شرکت شما که یک ساختمان 4 طبقه است , میخواهید یک WAP قرار دهید ولی به دلیل رعایت موارد امنیتی نمخواهید که این سیگنال به خارج از ساختمان شرکت منتقل شود . شاید فردی در داخل ماشین خود در خیابان روبروی شرکت نشسته باشد و با استفاده از لپ تاپ خود قصد نفوذ به شبکه شما را داشته باشد .

این مواردی بود که بایستی برای قرار دادن محل WAP در نظر بگیرید .

استانداردهای شبکه بیسیم

یکسری استاندارها برای شبکه های بی سیم تعریف شده است که در زیر نام آنها را می بینید :


802.11a - 802.11b - 802.11g - 802.11n


اینها معروفترین استانداردهای شبکه بی سیم هستند گر چه امروزه بیشتر استانداردهای 802.11g و 802.11n رایج هستند . در موارد بسیار کمیاب نیز ممکن است هنوز از استاندارد 802.11b استفاده شود ولی 802.11a در هیچ کجا کاربرد ندارد .


استاندارد 802.11a
از فرکانس 5 گیگا هرتز استفاده می کند و تا 54 مگابیت بر ثانیه نرخ انتقال داده سرعت دارد . توجه داشته باشید که این نرخ انتقال داده در بهترین حالت ممکن به دست می آید . چنین سوالی مطرح می شود که اگر این استاندارد داده را با سرعت 54 مگابیت بر ثانیه منتقل می کند , چرا دیگر کاربردی ندارد ؟
دلیل این است که تا مسافت 100 فیت بورد دارد و به راحتی سیگنال آن مسدود می شود . همچنین مسافت اگر کمی افزایش یابد مثلا فاصله به 20 یا 30 فیت برسد سرعت انتقال به طرز باورنکردنی کاهش می یابد .پس استفاده از آن با مشکلات زیادی روبرو است .


استاندارد 802.11b
یکی از اولین استاندارهایی بود که به سرعت عمومی شد . از فرکانس 2.4 گیگاهرتز استفاده می کند . یکی از مشکلات بزرگی که استفاده از این استاندارد در شبکه بوجود می آورد این است که دیوایس های بی سیم زیادی همچون دوربین ها و تلفن های بی سیم و... از این استاندارد استفاده می کنند و این امر موجب پدید آمدن تداخل سیگنال بین دو دیوایس شده . همچنین این استاندارد نرخ انتقال داده با سرعت 11 مگابیت بر ثانیه را دارد گرچه سرعت بالایی نیست ولی به دلیل این که اکثر افراد برای استفاده از اینترنت در خانه از آن استفاده می کنند , نیاز آنها را برطرف می کند . همچنین این استاندارد مسافت 300 فیت در فضای باز و 100 فیت در فضای داخل را انتقال می دهد و دلیل این تفاوت این است که در فضای بسته داخل دیوار ها و سقف ها مانعی برای عبور سیگنال محسوب می شوند .


استاندار 802.11g
جایگزین مناسبی برای 802.11b بود و جالب است بدانید که 802.11g قابلیت سازگاری و بازگشت به 802.11b را دارد به همین دلیل است که بر روی بسیاری از دیوایس های نوشته شده است 802.11b&g به این معنی که توانایی استفاده از هر دو سیگنال را دارد . این ویژگی باعث شد که در صورتی شما یک مودم وایرلس 802.11g خریداری کردید , نیازی به تعویض کلیه دیوایس های دیگر خود همچون کارت شبکه لپ تاپ نشوید . این استاندارد از فرکانس 2.4 گیگا هرتز استفاده می کند و سرعت انتقال آن 54 مگابیت برثانیه است همچنین مسافت 100 فیت داخل و 300 فیت فضای باز را انتقال می دهد .


استاندارد 802.11n
آخرین استانداردی که وجود دارد 802.11n می باشد . این استاندارد یک تکنولوژی جالب توجه است زیرا از هر دو فرکانس 2.4 و 5 گیگا هرتز استفاده می کند . همچنین نرخ انتقال داده 100 مگابیت برثانیه را دارد ولی واقعیت این است که در یک سناریوی کامل (در صورتی که همه چیز به خوبی تنظیم شده باشد و تداخل سیگنال را کاهش دهید و مسافت را کاهش دهید , همه کانال ها را در اختیار داشته باشید ) به صورت تئوری سرعت تا 600 مگابیت بر ثانیه نیز عبور می کند . همچنین این استاندارد تا مسافت 1000 فیت را انتقال می دهد .

این استاندارد از تکنولوژی به نام MIMO استفاده می کند . مخفف Multiple In Multiple Out و به این معنی است که در آن واحد و در یک لحظه بیش از یک سیگنال ارسال و دریافت شود و از این طریق سرعت بالاتری را خواهیم داشت .

اینها چهار استاندارد رایجی بود که بایستی با آنها آشنا می شدید . خوب است که با کانال هایی که این استاندارد ها استفاده می کنند نیز آشنا شوید .

استانداردهای b و g از کانال های 1 تا 11 استفاده می کنند و همانگونه که در تصویر زیر نیز می بینید فرکانس مرکزی هر کانال مشخص شده است . دلیل آن این است که هر کانال رنج فرکانسی 30 مگاهرتز را دارد مثلا کانال 1 که فرکانس مرکزی 2412 مگاهرتز را دارد , در حقیقت فرکانسی بین 2397 تا 2427 را دارد . به همین دلیل اگر شما بیش از یک WAP را در کنار هم داشته باشید نمی توانید از کانال های 1 و 2 و 3 و 4 به صورت همزمان استفاده کنید و با تداخل سیگنال مواجه خواهید شد و معمولا از کانال های 1 و 6 و 11 به صورت همزمان استفاده می کنند.

استاندارد a نیز از یکسری کانال ها بهره می جوید که در تصویر زیر لیست آنها را مشاهده می کنید .

امنیت وایرلس

خوب اکنون که کمی با شبکه های بی سیم آشنا شدیم ,برای اینکه به راحتی از این تکنولوژی استفاده کنیم بایستی بدانیم که چگونه می توانیم در این شبکه ها امنیت پدید آوریم ؟

یکسری کارهای بسیار ساده و ابتدایی برای ایجاد امنیت در این شبکه وجود دارد :

Disable SSID Broadcast
به معنی غیرفعال کردن برودکست SSID . نقاط دسترسی وایرلس همگی دارای SSID هستند و این شناسه گر به صورت پیش فرض برودکست می کند . به این معنی که دائما فریاد می زند و موقعیت وجود خود را نشان می دهد تا کامپیوتر های اطراف در صورت نیاز به آن متصل شده و به آن دسترسی پیدا کنند . با غیرفعال کردن این برودکست , شبکه شما ظاهرا وجود نخواهد داشت و از دید همگان مخفی خواهد بود .
ولی بایستی بدانید که این حداقل موردی است که شما می توانید برای امنیت شبکه وایرلس خود بوجود آورید . اگر شخصی واقعا قصد شناسایی و نفوذ به شبکه شما را داشته باشد , قادر خواهید بود تا موقعیت شبکه شما را پیدا کند حتی در صورتی که برودکست را غیر فعال کرده باشید . ابزارهای رایگان بسیاری در داخل اینترنت وجود دارند که قادر به موقعیت یابی شبکه های مخفی هستند ولی برای افراد عادی این امر می تواند تا حدی امنیت بوجود آورد .

MAC Filtering
یکی دیگر از کارهای ابتدایی MAC Filtering می باشد . به این گونه که در تنظیمات شبکه وایرلس خود تعیین کنید که چه کامپیوتر هایی به شبکه وایرلس دسترسی داشته باشند . بر چه اساسی ؟ بر اساس آدرس فیزیکی مک . هر کامپیوتری برای اتصال به شبکه وایرلس دارای کارت شبکه است و هر کارت شبکه نیز دارای یک آدرس فیزیکی مک می باشد . شما می توانید مک آدرس یکسری کارت شبکه های بخصوص را در تنظیمات وایرلس خود وارد کنید و تنها به آنها اجازه ورود و دسترسی به شبکه را صادر کنید . این یکی از کارهای ابتدایی است که فقط برای شبکه های کوچک راهبردی است و برای شبکه های بزرگ که تعداد زیادی کامپیوتر وجود دارد , وارد کردن دستی تک تک مک آدرس ها کاری منطقی به نظر نمی رسد . بعلاوه اینکه اگر شخصی قصد نفوذ به شبکه وایرلس شما را داشته باشد , می تواند یکی از آدرس های فیزیکی کاربران مجاز را شناسایی کند و سپس آن آدرس را بر روی کارت شبکه خود شبیه سازی کند (Mac Spoofing) و سپس به شبکه دسترسی پیدا کند .

اگر کمی در امنیت شبکه وایرلس عمیق شویم , به موضوعی با نام (WEP (Wired Equivalency Privacy می رسیم . این واژه به معنی "حریمی خصوصی همچون شبکه کابلی" است . امروزه اگر به این واژه نگاه کنیم امری خنده دار است . زیرا امروزه WEP نیز یک تکنولوژی قدیمی است و به راحتی قابل نفوذ است . نگاهی که پشت این تکنولوژی بود , ایجاد امنیتی در شبکه وایرلس برابر با امنیت شبکه کابلی بود . البته در ابتدای بوجود آمدن این تکنولوژی امن بود و بعدا راههای نفوذ به آن کشف شد .یکی از ویژگی های این تکنولوژی پیکربندی ساده آن بود. کاری که این تکنولوژی انجام می داد این بود که داده های انتقالی را رمزنگاری می کرد . در ابتدا از کلید رمزنگاری 40 بیتی استفاده می کرد ولی بعدا به 128 بیتی ارتقا یافت . ولی با اینکه از رمزنگاری 128 بیتی استفاده می کرد به سادگی هک می شد . به داخل گوگل بروید و جستجو کنید How to crack WEP و انواع ابزارهای رایگان را در این زمینه خواهید دید .


به دلیل امنیت پایین WEP نیاز بود از تکنولوژی بهتری استفاده شود . و اینگونه بود که (WPA (Wi-Fi Protected Access بوجود آمد . این تکنولوژی در حقیقت نسخه بهبود یافته WEP بود . یکی از این بهینه سازی ها استفاده از TKIP بود . TKIP در حقیقت از یک الگوریتم هش برای تکمیل کردن رمزنگاری استفاده می کند .کمی گیج کننده است به همین دلیل با یک مثال توضیح می دهم .
کاری که TKIP انجام می دهد بسیار شبیه عملکردی است که دربازکن های خودکار کنترل از راه دور انجام می دهند . یا همچنین عملکرد دزدگیر ماشین شما . اگر شخصی قصد دزدیدن ماشین شما را داشته باشد , کاری که می کند این است که با به همراه داشتن یک دریافت کننده سیگنال در جایی اطراف ماشین شما مخفی می شود و وقتی شما با سیگنال درب خودرو را باز می کنید , وی نیز سیگنال را دریافت و بوسیله آن سیگنال یک درب باز کن را شبیه سازی می کند و وقتی که شما ماشین را رها می کنید به راحتی ماشین شما را می دزدد . اتفاقی که امروزه رخ می دهد این است که زمانی که شما دکمه درب باز کن را فشار می دهید تا درب ماشین باز شود , ارسال کننده سیگنال که در دست شماست و دریافت کننده سیگنال هر دو یک الگوریتم جدید را شبیه سازی می کنند تا در دفعات بعدی از یک سیگنال جدید و ناشناس استفاده کنند . در نتیجه اگر کسی کد سیگنال شما را دریافت کند قادر به بازکردن درب نخواهد بود زیرا هر دفعه کد سیگنال تغییر خواهد کرد . تکنولوژی WPA با استفاده از TKIP نیز یک چنین عملکردی را دارد و کلید رمزنگاری را هربار تغییر می دهد .


نکته دیگر درباره این تکنولوژی استفاده از (EAP (Extensible Authentication Protocol است که به معنی پروتکل تشخیص هویت قابل گسترش است و بر مبنای تکنولوژی PKE
(Public Key Encryption) است که خود بحث بسیار گسترده ای دارد و الان قصد ورود به آن را نداریم . فقط در این حد بدانید که راهی بسیار امن و مطمئن برای تشخیص هویت کاربران را فراهم می کند .

پس تکنولوژی WPA بسیار امن است ولی هنگام استفاده از آن شما یک عبارت رمزی را وارد می کنید و این عبارت قابل هک شدن است . پس مثل همه پسورد های دیگر بایستی مطمئن شوید که رمز به کاربرده شده طولانی مطمئن است و اگر شخصی شروع به Brute force Attack یا همان امتحان کردن رمز شما با استفاده از نرم افزاری کرد قادر به تشخیص آن نباشد . همچنین هر چند وقت یکبار تغییر رمز عبور می تواند یک راه حل مناسب باشد .

اگر هنوز فکر می کنید که WPA برای شما به اندازه کافی امن نیست و نیاز دارید که حقیقتا شبکه بی سیم خود را به معنای غیر قابل نفوذ امن کنید , بایستی از تکنولوژی 802.1x استفاده کنید . این تکنولوژی به صورت اختصاصی برای شبکه بی سیم طراحی نشده است و می توان آن را برای راههای دیگر دسترسی به شبکه نیز استفاده کرد . خوب است بدانید که 802.1x به دلیل استفاده از Certificates و RADIUS دسترسی تا حد زیادی غیر ممکن ساخته است . می دانید که هیچ امری کاملا غیر ممکن نیست ولی این امنیتی است فوق العاده . Certificate فقط به افراد و یا کامپیوتر های خاصی اجازه دسترسی می دهد .برای مثال استفاده از یک کارت هوشمند برای دسترسی به شبکه به جای وارد کردن عبارت رمزی .همچنین با استفاده از RADIUS می توانید تعیین کنید که چه کسی متصل شود چگونه متصل شود و چه موقع متصل شود و همچنین از افراد متصل شده لوگ بگیرد و مونیتورینگ کند .پیکربندی این تکنولوژی بسیار دشوار است و هزینه زیادی نیاز دارد ولی برای مکان های با نیاز امنیتی بالا چاره ساز خواهد بود .

ارسال نظر


کد امنیتی
بارگزاری مجدد

Access Rules

In addition to the personal information within profile, this site consists of educational materials, world news about technology, science articles, download books & software and etc. all these issues can be divided into three categories: visible to the public, visible for Registered Users, visible to specific people. so we recommend that register an account with your real name.

تماس با ما

Email admin : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
Email the manager : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید
Go to "Criticism & Offer" inbox
Go to "Your Profile" page