باورهای اشتباه در زمینه امنیت شبکه

فناوری وای‌فای در سال‌های اخیر پیشرفت‌های فراوانی داشته و به‌موازات این پیشرفت‌ها راهکارهای ایمن‌سازی شبکه‌های وای‌فای نیز پیشرفت کرده‌اند. درحالی‌که رویکردهای ایمن‌سازی متنوعی برای دفاع از شبکه‌های وای‌فای در برابر هکرها وجود دارد، اما واقعیت این است که برخی از راهکارهایی که ممکن است از طریق یک جست‌وجوی ساده اینترنتی آن‌ها را پیدا کنید نه تنها سود چندانی ندارند، بلکه ممکن است در برخی موارد دردسرهای مضاعفی برای شما به همراه آورند.

با توجه به این‌که امروزه بیشتر کاربران از وای‌فای برای دسترسی به اینترنت و فضای مجازی استفاده می‌کنند در این نوشتار تصمیم گرفتیم، به بررسی پنج باور یا به عبارت دقیق‌تر افسانه‌ای بپردازیم که پیرامون ایمن‌سازی شبکه‌های وای‌فای وجود دارند اما در عمل از وای‌فای شما در برابر نفوذ هکری محافظت نمی‌کنند.

امروزه، بیشتر سازمان‌ها و کسب‌وکارها برای انجام فعالیت‌های تجاری‌شان، شبکه بی‌سیم خاص خود را پیاده‌سازی می‌کنند. کمتر هتل یا کافی‌شاپی را پیدا می‌کنید که فاقد یک شبکه وای‌فای باشد. اگر در نظر دارید، از شبکه وای‌فای برای انجام کارهای تجاری در شرایطی استفاده کنید که شرکت شما دپارتمانی موسوم به فناوری اطلاعات را ندارد، کار چندان پیچیده‌ای پیش رو ندارید. اما اگر در نظر دارید در محل کار خود یک اکسس پوینت ایجاد کنید تا کارمندان به آن متصل شوند و سعی کنید از پارامترهای پیش‌فرض برای این منظور استفاده کنید، آنگاه کسب‌وکار شما در معرض چالش جدی قرار می‌گیرد.

پژوهشی که از سوی سایت nakedsecurity انجام‌شده و شهرهای مختلف جهان مانند لندن، نیویورک، واشنگتن و سان‌فرانسیسکو را مورد بررسی قرار داده نشان می‌دهد، بیشتر کسب‌‌وکارهای واقع در این شهرها از وای‌فای غیر ایمن استفاده می‌کنند. در واقع بیشتر کسب‌وکارها از رویکردهای امنیتی تاریخ‌مصرف گذشته و البته نادرستی استفاده می‌کنند که هیچ‌گونه امنیتی را برای آن‌ها به ارمغان نمی‌آورد.

در این پژوهش آمده، در شهر لندن تنها ۱۷ درصد هات‌اسپات‌های وای‌فای از پیکربندی WPA2 برای رمزنگاری ترافیک شبکه بی‌سیم خود استفاده کرده‌اند و نزدیک به یک‌چهارم هات‌اسپات‌ها در اصل شبکه‌های وای‌فای باز هستند که بدون هیچ‌گونه الگوریتم رمزنگاری مورداستفاده قرار می‌گیرند. همچنین اغلب این شبکه‌های وای‌فای از نام شبکه (SSID) پیش‌فرض در تعامل با نام کاربری و گذرواژه پیش‌فرض استفاده کرده‌اند. اما برای آن‌که بتوانید یک شبکه‌ وای‌فای ایمن را پیاده‌سازی کنید، ابتدا باید با یکسری باورهای اشتباه در زمینه امنیت شبکه آشنا شوید. باورهایی که تنها باعث گمراهی‌تان می‌شوند.

باور اشتباه یک؛

پنهان‌ کردن شبکه SSID

هر روتر یا اکسس پوینت بی‌سیمی یک نام شبکه دارد. نامی که از سوی کاربر تعیین‌شده است. به این نام شبکه SSID گفته می‌شود. در حالت پیش‌فرض روترها SSID خاص خود را برای همه دستگاه‌ها و کاربرانی که در محدوده تحت پوشش قرار دارند، ارسال می‌کنند تا دستگاه‌ها بتوانند به روترها متصل شوند.

بسیاری بر این باورند که اگر SSID مربوط به روتری را از دید دستگاه‌ها و کاربران پنهان ساخت به این شکل می‌توان از شبکه در برابر آنها محافظت کرد. در ظاهر به نظر می‌رسد، این ایده خوب کار می‌کند. اما واقعیت این است که دستگاه‌های مجهز به سیستم‌عامل‌های مدرن همچون ویندوز ۱۰ به‌خوبی می‌توانند همه شبکه‌های موجود را کشف کنند، حتی اگر این توانایی را نداشته باشند تا نام هر شبکه را به شکل متمایز از دیگری نشان دهند.

همچنین پیداکردن یک SSID پنهان‌شده کار پیچیده‌ای نیست و به‌سادگی انجام می‌شود. در حقیقت، اگر سعی کنید SSID شبکه خود را پنهان سازید، شک و تردید هکرها را بیشتر کرده‌اید و آن‌ها احساس می‌کنند که شبکه وای‌فای شما اطلاعات حساسی دارد که پنهان‌شده است. شاید بتوانید مانع از آن شوید تا روترتان SSID را ارسال کند، اما این توانایی را ندارید تا از ارسال اطلاعات یادشده در قالب بسته‌های داده‌ای، درخواست‌های ارتباط یا برقراری ارتباط مجدد و…. ممانعت به عمل آورید.

یک ابزار تحلیلگر شبکه‌های بی‌سیم شبیه Kismet یا CommView for Wifi به‌راحتی قادر است SSID مربوط به شبکه‌های پنهان را به‌سرعت شناسایی کند. در بهترین حالت پنهان‌سازی ارسال نام شبکه از شما در برابر کاربران معمولی محافظت می‌کند، اما در مقابل نفوذگران حرفه‌ای هیچ کمکی به شما نمی‌کند.

باور اشتباه دو؛

فیلتر مربوط به مک آدرس را فعال کنیم

همه دستگاه‌های موجود در شبکه یک آدرس مک منحصربه‌فردی دارند که برای شناسایی دستگاه‌ها استفاده می‌شود. یک آدرس مک، مشتمل بر حروف و اعدادی است که از طریق کاراکتر : از یکدیگر تفکیک‌شده است. ۰۰:۰۲:D1:1A:2D:12 نمونه‌ای از یک آدرس مک است.

دستگاه‌هایی که درون یک شبکه قرار دارند برای ارسال یا دریافت داده‌ها در یک شبکه و شناسایی یکدیگر از مک آدرس استفاده می‌کنند. اشتباه بزرگی که بسیاری از کاربران انجام می‌دهند این است که تصور می‌کنند اگر روتر خود را به‌گونه‌ای پیکربندی کنند که تنها به دستگاه‌هایی با آدرس مک خاص اجازه دسترسی به روتر و اتصال به شبکه را بدهند، به این شکل می‌توانند از شبکه خود محافظت کرده و از اتصال دستگاه‌های غیرمجاز ممانعت به عمل آورند.

پیاده‌سازی چنین تنظیماتی کاری ساده اما در مقابل زمان‌بر است. به‌واسطه آن‌که شما در ابتدا باید مک آدرس همه دستگاه‌هایی را که در نظر دارید به شبکه متصل شوند، شناسایی کرده، در ادامه جدولی که در ارتباط با روتر قرار دارد را به‌درستی پر کنید. در این حالت هیچ دستگاهی که آدرس مک آن درون جدول قرار نداشته باشد، این شانس را نخواهد داشت که به شبکه متصل شود، حتی اگر گذرواژه شبکه بی‌سیم شما را در اختیار داشته باشد. اما باید بدانید که چنین موضوعی صحت ندارد. یک هکر از طریق به‌کارگیری ابزارهای تحلیل‌گر شبکه‌های بی‌سیم به‌راحتی می‌تواند آدرس مک همه دستگاه‌هایی را که اجازه اتصال به شبکه دارند، به دست آورده و در ادامه آدرس مک دستگاه خود را به یکی از آدرس‌های مکی که شما تعریف کرده‌اید، تغییر دهد.

در نتیجه همان‌گونه که مشاهده می‌کنید شما کاری جز از دست دادن زمان انجام نداده‌اید. فعال‌سازی فیلتر آدرس‌های مک ممکن است از شما در برابر اتصال کاربران عادی به شبکه محافظت کند، اما در مقابل یک هکراین‌گونه عمل نخواهد کرد. همچنین فراموش نکنید اگر این کار را انجام دادید و در ادامه مجبور شدید دسترسی یک کامپیوتر به شبکه را به شکل موقت غیرفعال کنید، کار سختی پیش‌رو خواهید داشت.

باور اشتباه سه؛

محدود‌ کردن آدرس‌های آی‌پی در روتر

هر دستگاه متصل به شبکه از طریق آدرس آی‌پی منحصربه‌فردی که در اختیار دارد، شناسایی می‌شود. یک آدرس آی‌پی از سوی روتر به یک دستگاه تخصیص داده می‌شود که رشته‌ای مشتمل بر اعداد همچون ۱۹۲٫۱۶۸٫۱٫۱۰ است. اما برخلاف آدرس مک که از سوی دستگاه به روتر اعلام می‌شود، روتر از طریق به‌کارگیری پروتکل پویای کنترل میزبان (DHCP) یک آدرس آی‌پی خاص را برای هر دستگاهی که به شبکه متصل شده است، تخصیص می‌دهد.

فرضیه‌ای اشتباه در دنیای ایمن‌ساز