۵ باور اشتباه برای بالا بردن امنیت وای فای
باورهای اشتباه در زمینه امنیت شبکه
فناوری وایفای در سالهای اخیر پیشرفتهای فراوانی داشته و بهموازات این پیشرفتها راهکارهای ایمنسازی شبکههای وایفای نیز پیشرفت کردهاند. درحالیکه رویکردهای ایمنسازی متنوعی برای دفاع از شبکههای وایفای در برابر هکرها وجود دارد، اما واقعیت این است که برخی از راهکارهایی که ممکن است از طریق یک جستوجوی ساده اینترنتی آنها را پیدا کنید نه تنها سود چندانی ندارند، بلکه ممکن است در برخی موارد دردسرهای مضاعفی برای شما به همراه آورند.
با توجه به اینکه امروزه بیشتر کاربران از وایفای برای دسترسی به اینترنت و فضای مجازی استفاده میکنند در این نوشتار تصمیم گرفتیم، به بررسی پنج باور یا به عبارت دقیقتر افسانهای بپردازیم که پیرامون ایمنسازی شبکههای وایفای وجود دارند اما در عمل از وایفای شما در برابر نفوذ هکری محافظت نمیکنند.
امروزه، بیشتر سازمانها و کسبوکارها برای انجام فعالیتهای تجاریشان، شبکه بیسیم خاص خود را پیادهسازی میکنند. کمتر هتل یا کافیشاپی را پیدا میکنید که فاقد یک شبکه وایفای باشد. اگر در نظر دارید، از شبکه وایفای برای انجام کارهای تجاری در شرایطی استفاده کنید که شرکت شما دپارتمانی موسوم به فناوری اطلاعات را ندارد، کار چندان پیچیدهای پیش رو ندارید. اما اگر در نظر دارید در محل کار خود یک اکسس پوینت ایجاد کنید تا کارمندان به آن متصل شوند و سعی کنید از پارامترهای پیشفرض برای این منظور استفاده کنید، آنگاه کسبوکار شما در معرض چالش جدی قرار میگیرد.
پژوهشی که از سوی سایت nakedsecurity انجامشده و شهرهای مختلف جهان مانند لندن، نیویورک، واشنگتن و سانفرانسیسکو را مورد بررسی قرار داده نشان میدهد، بیشتر کسبوکارهای واقع در این شهرها از وایفای غیر ایمن استفاده میکنند. در واقع بیشتر کسبوکارها از رویکردهای امنیتی تاریخمصرف گذشته و البته نادرستی استفاده میکنند که هیچگونه امنیتی را برای آنها به ارمغان نمیآورد.
در این پژوهش آمده، در شهر لندن تنها ۱۷ درصد هاتاسپاتهای وایفای از پیکربندی WPA2 برای رمزنگاری ترافیک شبکه بیسیم خود استفاده کردهاند و نزدیک به یکچهارم هاتاسپاتها در اصل شبکههای وایفای باز هستند که بدون هیچگونه الگوریتم رمزنگاری مورداستفاده قرار میگیرند. همچنین اغلب این شبکههای وایفای از نام شبکه (SSID) پیشفرض در تعامل با نام کاربری و گذرواژه پیشفرض استفاده کردهاند. اما برای آنکه بتوانید یک شبکه وایفای ایمن را پیادهسازی کنید، ابتدا باید با یکسری باورهای اشتباه در زمینه امنیت شبکه آشنا شوید. باورهایی که تنها باعث گمراهیتان میشوند.
باور اشتباه یک؛
پنهان کردن شبکه SSID
هر روتر یا اکسس پوینت بیسیمی یک نام شبکه دارد. نامی که از سوی کاربر تعیینشده است. به این نام شبکه SSID گفته میشود. در حالت پیشفرض روترها SSID خاص خود را برای همه دستگاهها و کاربرانی که در محدوده تحت پوشش قرار دارند، ارسال میکنند تا دستگاهها بتوانند به روترها متصل شوند.
بسیاری بر این باورند که اگر SSID مربوط به روتری را از دید دستگاهها و کاربران پنهان ساخت به این شکل میتوان از شبکه در برابر آنها محافظت کرد. در ظاهر به نظر میرسد، این ایده خوب کار میکند. اما واقعیت این است که دستگاههای مجهز به سیستمعاملهای مدرن همچون ویندوز ۱۰ بهخوبی میتوانند همه شبکههای موجود را کشف کنند، حتی اگر این توانایی را نداشته باشند تا نام هر شبکه را به شکل متمایز از دیگری نشان دهند.
همچنین پیداکردن یک SSID پنهانشده کار پیچیدهای نیست و بهسادگی انجام میشود. در حقیقت، اگر سعی کنید SSID شبکه خود را پنهان سازید، شک و تردید هکرها را بیشتر کردهاید و آنها احساس میکنند که شبکه وایفای شما اطلاعات حساسی دارد که پنهانشده است. شاید بتوانید مانع از آن شوید تا روترتان SSID را ارسال کند، اما این توانایی را ندارید تا از ارسال اطلاعات یادشده در قالب بستههای دادهای، درخواستهای ارتباط یا برقراری ارتباط مجدد و…. ممانعت به عمل آورید.
یک ابزار تحلیلگر شبکههای بیسیم شبیه Kismet یا CommView for Wifi بهراحتی قادر است SSID مربوط به شبکههای پنهان را بهسرعت شناسایی کند. در بهترین حالت پنهانسازی ارسال نام شبکه از شما در برابر کاربران معمولی محافظت میکند، اما در مقابل نفوذگران حرفهای هیچ کمکی به شما نمیکند.
باور اشتباه دو؛
فیلتر مربوط به مک آدرس را فعال کنیم
همه دستگاههای موجود در شبکه یک آدرس مک منحصربهفردی دارند که برای شناسایی دستگاهها استفاده میشود. یک آدرس مک، مشتمل بر حروف و اعدادی است که از طریق کاراکتر : از یکدیگر تفکیکشده است. ۰۰:۰۲:D1:1A:2D:12 نمونهای از یک آدرس مک است.
دستگاههایی که درون یک شبکه قرار دارند برای ارسال یا دریافت دادهها در یک شبکه و شناسایی یکدیگر از مک آدرس استفاده میکنند. اشتباه بزرگی که بسیاری از کاربران انجام میدهند این است که تصور میکنند اگر روتر خود را بهگونهای پیکربندی کنند که تنها به دستگاههایی با آدرس مک خاص اجازه دسترسی به روتر و اتصال به شبکه را بدهند، به این شکل میتوانند از شبکه خود محافظت کرده و از اتصال دستگاههای غیرمجاز ممانعت به عمل آورند.
پیادهسازی چنین تنظیماتی کاری ساده اما در مقابل زمانبر است. بهواسطه آنکه شما در ابتدا باید مک آدرس همه دستگاههایی را که در نظر دارید به شبکه متصل شوند، شناسایی کرده، در ادامه جدولی که در ارتباط با روتر قرار دارد را بهدرستی پر کنید. در این حالت هیچ دستگاهی که آدرس مک آن درون جدول قرار نداشته باشد، این شانس را نخواهد داشت که به شبکه متصل شود، حتی اگر گذرواژه شبکه بیسیم شما را در اختیار داشته باشد. اما باید بدانید که چنین موضوعی صحت ندارد. یک هکر از طریق بهکارگیری ابزارهای تحلیلگر شبکههای بیسیم بهراحتی میتواند آدرس مک همه دستگاههایی را که اجازه اتصال به شبکه دارند، به دست آورده و در ادامه آدرس مک دستگاه خود را به یکی از آدرسهای مکی که شما تعریف کردهاید، تغییر دهد.
در نتیجه همانگونه که مشاهده میکنید شما کاری جز از دست دادن زمان انجام ندادهاید. فعالسازی فیلتر آدرسهای مک ممکن است از شما در برابر اتصال کاربران عادی به شبکه محافظت کند، اما در مقابل یک هکراینگونه عمل نخواهد کرد. همچنین فراموش نکنید اگر این کار را انجام دادید و در ادامه مجبور شدید دسترسی یک کامپیوتر به شبکه را به شکل موقت غیرفعال کنید، کار سختی پیشرو خواهید داشت.
باور اشتباه سه؛
محدود کردن آدرسهای آیپی در روتر
هر دستگاه متصل به شبکه از طریق آدرس آیپی منحصربهفردی که در اختیار دارد، شناسایی میشود. یک آدرس آیپی از سوی روتر به یک دستگاه تخصیص داده میشود که رشتهای مشتمل بر اعداد همچون ۱۹۲٫۱۶۸٫۱٫۱۰ است. اما برخلاف آدرس مک که از سوی دستگاه به روتر اعلام میشود، روتر از طریق بهکارگیری پروتکل پویای کنترل میزبان (DHCP) یک آدرس آیپی خاص را برای هر دستگاهی که به شبکه متصل شده است، تخصیص میدهد.
فرضیهای اشتباه در دنیای ایمنساز