1. کلمه عبور پیشفرض مدیر سیستم(administrator) را روی نقاط دسترسی و مسیریابهای بیسیم تغییر دهید.
اغلب نقاط دسترسی ( Access Point )و مسیریابهای بیسیم امکان مدیریت شبکه WiFi را از طریق یک حساب کاربری مدیریتی فراهم میکنند. این حساب کاربری امکان دسترسی ابزار و پیکربندی آن را با نام کاربری و کلمه عبور فراهم میکند. اغلب تولیدکنندگان نام کاربری و کلمه عبور را در کارخانه تنظیم میکنند . نام کاربری معمول admin یا administrator و کلمه عبور یا خالی است یا کلماتی مثل admin ،public ، password و .... میباشد.
اولین گام برای افزایش امنیت شبکه بیسیم تغییر کلمه عبور پیشفرض نقاط دسترسی و مسیریابهای بیسیم بلافاصله پس از نصب است. اغلب ابزارها اجازه تغییر نام کاربری را نمیدهند اما اگر ابزارهای شما این امکان را میدهند، اکیدا توصیه میشود که نام کاربری را هم تغییر دهید.
برای امن نگهداشتن شبکه در آینده، میبایست بهطور منظم این کلمه عبور را تغییر دهید. اغلب کارشناسان توصیه میکنند کلمه عبور را بعد از 30 تا 90 روز تغییر دهید.
2. فعالسازی قابلیت WPA/WEP
WPA (WiFi Protected Access) یک استاندارد امنیتی برای شبکههای بیسیم است (با Windows XP Product Activation اشتباه نشود). برای استفاده از WPA با Windows XP باید Clientهای دارای Windows XP را به صورت دستی patch کنید و همچنین مطمئن شوید کارت شبکهها و نقاط دسترسی به درستی پیکربندی شدهاند.
برای پیکربندی WPA در شبکه با clientهای دارای ویندوز XP مراحل زیر را انجام دهید:
1. نوشتار Overview of the WPA wireless security update in Windows XP را مطالعه کنید.
2. بررسی کنید که تمام Client ها حداقل Service Pack1 داشته باشند.
3. روی هر Client بررسی کنید که کارت شبکه با سرویس WZC(Windows Zero Configuration) سازگار باشد.
4. برای هر client وصله Windows XP Support Patch for Wi-Fi Protected Access را بارگزاری و نصب کنید.
5. تغییرات لازم برای نقاط دسترسی بیسیم از گام 1 را اعمال کنید.
6. تغییرات لازم برای کارت شبکههای بیسیم از گام 1 را اعمال کنید.
3. تغییر SSID پیش فرض
نقاط دسترسی و مسیریابهای بیسیم دارای یک نام شبکه SSID(Service Set Identifier) هستند که توسط تولیدکنندگان بهطور پیشفرض انتخاب میشود. SSID از ایزارهای پیکربندی بر مبنای وب یا ویندوز این سازندگان قابل دسترسی است. اغلب SSIDهای پیش فرض کلمات سادهای مثل wireless، netgear، linksys، default و ... هستند. هرچند نفوذگر صرفا با دانستن SSID قادر به نفوذ به شبکه شما نیست ولی این مساله به عنوان یک نقطه شروع خوب برای نفوذگر به حساب می آید. زمانی که کسی شبکه ای با SSID پیش فرض بیابد، با دانستن این نکته که به احتمال فراوان این شبکه به درستی پیکربندی نشده است، ترغیب به نفوذ به شبکه میشود.
SSID می تواند هر زمانی تغییر کند به شرطی که این تغییر در تمام clientها نیز اعمال شود. برای افزایش امنیت شبکه های بی سیم، نام پیش فرض SSID را تغییر دهید. در انتخاب SSID توصیه های زیر را در نظر داشته باشید:
از نام، آدرس، تاریخ تولد، شماره تلفن یا دیگر اطلاعات شخصی تان به عنوان بخشی از SSID استفاده نکنید.
از کلمات عبور نام کاربری ویندوزتان یا emailتان یا ... استفاد نکنید.
با استفاده از عباراتی مثل "TOP_SECRET"، "FUNNY_BOX" و ... نفوذگران را وسوسه نکنید.!!!
از ترکیب حروف و اعداد استفاده کنید.
عباراتی با طول حداکثر یا نزدیک به حداکثر انتخاب کنید.
هرچند ماه یک بار SSIDتان را تغییر دهید.
4. قابلیت پالایش آدرس MAC را روی نقاط دسترسی و مسیریابهای بیسیم فعال کنید.
اغلب نقاط دسترسی و مسیریاب های بی سیم دارای قابلیتی به نام پالایش آدرس MAC (MAC Address Filtering) هستند. این مشخصه اغلب بهطور پیش فرض فعال نیست. برای افزایش امنیت شبکه بی سیم تان این قابلیت را فعال کنید. در صورتی که این قابلیت فعال نباشد، هر clientای با دانستن SSID شبکه شما (در نظر داشته باشید که فهمیدن SSID کار بسیار ساده ای است) شاید چند پارامتر امنیتی دیگر مثل کلید رمزگذاری (در صورتی که قابلیت WEP فعال باشد) می تواند به شبکه شما وصل شود.
برای تنظیم قابلیت پالایش آدرس MAC شما به عنوان مدیر شبکه بی سیم باید لیست clientهایی که مجازند به شبکه وصل شوند را پیکربندی کنید. ابتدا آدرس MAC هر client را از طریق سیستم عامل یا ابزارهای پیکربندی به دست آورید و سپس آن ها را در صفحه پیکربندی نقاط دسترسی و مسیریاب های بی سیم وارد کنید و نهایتا قابلیت پالایش را فعال کنید. از این پس هر درخواست اتصال به شبکه بی سیم که برسد آدرس MAC آن با لیست تنظیم شده بررسی شده و در صورتی که در لیست نباشد اجازه اتصال به شبکه را نمی یابد. البته باید نوجه داشت که نفوذگران با جعل آدرس MAC (MAC Spoofing) قادرند به شبکه بی سیم شما وصل شوند ولی این مساله نباید باعث شود که شما از خیر این قابلیت بگذرید.
5. قابلیت همهپخشی SSID را روی نقاط دسترسی و مسیریابهای بیسیم غیرفعال کنید.
اغلب نقاط دسترسی و مسیریاب های بی سیم بهطور خودکار SSID خوشان را در فواصل زمانی مشخص پخش می کنند. این مشخصه برای این است که clientها بتواندد بهطور پویا شبکه های بی سیم را تشخیص دهند و بین آن ها جابهجا شوند (از شبکه ای به شبکه دیگر نقل مکان کنند). لازم به ذکر است که این مشخصه برای hotspotهای تجاری و سیار طراحی شده است که clientهای زیادی می آیند و می روند ولی برای شبکه های خانگی لازم نیست. از آن جایی که SSID به صورت واضح پخش می شود و هیچ رمزگذاری روی آن صورت نمی گیرد، به دست آوردن آن توسط نفوذگران کار راحتی است. همانطور که در گام 3 اشاره شد نفوذگر با دانستن SSID یک مرحله به هدف نزدیک تر می شود.
در یک شبکه بی سیم بحث roaming (جابهجایی بین دو شبکه بی سیم) مطرح نیست و پخش کردن SSID هیچ ضرورتی ندارد. برای افزایش امنیت شبکه بی سیم باید این قابلیت را غیرفعال کنید. یک بار که client شما با SSID درست پیکربندی شد دیگر نیازی به پیغام های همهپخشی نیست.
دقت داشته باشید که غیرفعال کردن قابلیت همهپخشی SSID فقط یکی از تکنیکهای محکمسازی و افزایش امنیت شبکههای بی سیم است. این روش 100 درصد موثر نیست و نفوذگرها هنوز می توانند با sniff کردن پیغام های مختلف پخش شده در پروتکل WiFi، SSID را تشخیص دهند. در واقع تکنیک هایی مثل غیرفعال کردن همهپخشی SSID باعث می شئد که شبکه بی سیم شما هدف راحتی برای نفوذگران نباشد
ادامه مطلب...
|
9570.jpg)
