? امنيت شبکه
ممکن است راه اندازي يک شبکه وايرلس راحت و مفيد باشد، اما بايد مراقب امنيت شبکه باشيد و از پهناي باند، سيستم و فايل هاي تان حفاظت کنيد. در اين مقاله شما با ترفند ها و پيشنهاداتي آشنا خواهيد شد در خصوص اين که چگونه شبکه شما در برابر دسترسي خارجي بسته باشد و تغييرات بدون مجوز بوسيله عوامل خارجي را کاهش دهد. هدف از امنيت شبکه خانگي، مشکل ساختن شناسايي، دسترسي و استفاده از منابع شبکه شما است. با به کارگيري چندين لايه حفاظتي، مي توانيد مانع بسياري از حملات معمول شويد. در ادامه به شما کمک خواهد شد که آسيب پذيري سيستم تان را کم کنيد و يک امنيت اوليه در برابر نفوذگران غير حرفه اي براي شبکه خانگي خود مهيا نماييد، البته اين راهنمايي ها نمي تواند مانع سارقان حرفه اي اطلاعات شود.
? حداقل شرايط نگهداري از يک سرويس گيرنده کابلي
توجه کنيد که هر وقت شما گزينه هاي امنيتي را تغيير مي دهيد، ممکن است بطور اتفاقي سيستم بي سيم خود را قفل کنيد. به همين خاطر آشنايي قبلي با چگونگي تنظيمات امنيتي و نگهداري يک سيستم با ارتباط کابلي توصيه مي شود. بيشتر نقاط دسترسي به يک سيستم کابلي براي پيکربندي اوليه نياز دارند. اگر سيستم تان قفل شد، بايد دستگاه را دوباره راه اندازي نماييد تا کليه اطلاعات پاک و مجدداً پيکربندي شود.
? تنظيمات خود را يادداشت کنيد
تمام تغييراتي را که به عنوان پيش فرض در تنظيمات نقطه دسترسي ايجاد مي کنيد شامل: کلمه عبور، SSID (نام شبکه)، کليد رمزگذاري WEP، کليه فيلترها و تنظيمات MAC و ... يادداشت نمائيد.
در صورت بارگذاري مجدد بصورت فيزيکي و يا به روزرساني، شما قادر خواهيد بود دوباره بدون اينکه مجبور باشيد همه چيز را از نو تنظيم کنيد براي هر سرويس گيرنده با تنظيمات جديد، شبکه را ايجاد کنيد. پس اطلاعات کليدي شبکه وايرلس تان را يادداشت کنيد و در جايي مطمئن نگهداري نمائيد. ? فرم وير شبکه تان را به روز نگه داريد
سازندگان نرم افزارها اغلب نسخه هاي ارتقاء آنرا پيوسته ارائه مي دهند. شما مي توانيد پايگاه اينترنتي اين محصولات يا شرکت هاي حامي را براي در دسترس بودن نسخه هاي قبلي بررسي کنيد. از نتايج خوب نگهداري از يک سرويس گيرنده کابلي آنست که معمولاً نسخه هاي جديدتر، حاوي اطلاعات بروز شده ابزارهاي امنيتي و يکسري امکانات اضافي است و شما مي توانيد آن را روي نقطه دسترسي تان براي استفاده مؤثر سرويس گيرنده ها، نصب نمائيد.
? دستيابي به نقطه دسترسي تان را امن کنيد
بيشتر نقاط دسترسي از قبل تنظيم شده و با کلمه عبور پيش فرض يا بدون آن به بازار مي آيند. مسيرياب ها هميشه با يک نام کاربري و کلمه عبور پيش فرض فرستاده مي شوند که در دنياي کامپيوتر شناخته شده هستند. اولين وظيفه شما اين است که به نقطه دسترسي وصل شويد و کلمه عبور مدير را تغيير دهيد. همچنين از غير فعال بودن هرگونه کنترل از راه دور بوسيله نقطه دسترسي تان مطمئن شويد. اينکار از دسترسي به صفحه تنظيمات شبکه شما از طريق افراد خارج از محدوده جلوگيري مي کند.
? انتشار (برودکست) SSIDرا غير فعال کنيد
نقاط دسترسي به صورت پيش فرض، يک موج راديويي رديابي منتشر مي شود که با استفاده از آن سرويس گيرنده بي سيم، نقاط دسترسي را شناسايي مي نمايد. با اين سيگنال که شناسه امنيتي دستگاه (SSID) ناميده مي شود، اسم شبکه مشخص مي شود و در واقعً کارت هاي شبکه بي سيم در داخل محدوده را براي پيوستن به شبکه فرا مي خواند. از آنجايي که محدوده يک نقطه دسترسي اغلب از حدود منزل تان بيشتر است، يک فرد عبوري يا همسايه مي تواند در محدوده ارتباط شما قرار گيرد.
اما اگر انتشار SSID در شبکه شما غيرفعال باشد، حتي اگر شخصي آن را بداند و يا بتواند نام شبکه شما را حدس بزند عملاً شبکه بي سيم تان غير قابل مشاهده خواهد بود. وقتي شما مشخصه انتشار را غير فعال مي کنيد، لازم است هر يک از سرويس گيرنده هاي بي سيم خود را با نام شبکه مورد نظر به صورت دستي تنظيم نماييد. نامي براي SSID تان انتخاب کنيد که خيلي بديهي نباشد.
? استفاده از رمزگذاري WEP
با وجود اينکه نفوذگران مصمم، مي توانند در WEP نفوذ نمايند، استفاده از WEP مي تواند مانع از جداکردن داده هاي بي سيم شناور اطراف شبکه تان توسط بسته هاي نظارت و ردگيري (اسنيفر پاکت ها) شود (يکي از قديمي ترين روش هاي سرقت اطلاعات در يک شبکه، استفاده از فرآيندي موسوم به "ردگيري بسته ها در شبکه" است. در اين روش مهاجمان از تکنيک هايي به منظور تکثير بسته هاي اطلاعاتي که در طول شبکه حرکت مي کنند، استفاده نموده و در ادامه با آناليز آنها از وجود اطلاعات حساس در يک شبکه آگاهي مي يابند.
امروزه پروتکل هائي نظير IPSec به منظور پيشگيري از "ردگيري بسته ها در شبکه" طراحي شده است که با استفاده از آن بسته هاي اطلاعاتي رمزنگاري مي گردند. در حال حاضر تعداد بسيار زيادي از شبکه ها از تکنولوژي IPSec استفاده نمي نمايند و يا صرفاً بخش اندکي از داده هاي مربوطه را رمزنگاري مي نمايند و همين امر باعث شده است که "ردگيري بسته ها در شبکه"همچنان يکي از روش هاي متداول به منظور سرقت اطلاعات باشد. يک "ردگير بسته ها در شبکه" که در برخي موارد از آن به عنوان ديده بان شبکه و يا تحليلگر شبکه نيز ياد مي شود، مي تواند توسط مديران شبکه به منظور مشاهده و اشکال زدائي ترافيک موجود بر روي شبکه استفاده گردد تا به کمک آن بسته هاي اطلاعاتي خطاگونه و گلوگاه هاي حساس شبکه شناسائي و زمينه لازم به منظور انتقال موثر داده ها فراهم گردد. به عبارت ساده تر، يک "ردگير بسته ها در شبکه" تمامي بسته هاي اطلاعاتي که از طريق يک اينترفيس مشخص شده در شبکه ارسال مي گردند را تا موقعي که امکان بررسي و آناليز آنان فراهم گردد جمع آوري مي نمايد. عموماً از برنامه هاي "ردگير بسته ها در شبکه" به منظور جمع آوري بسته هاي اطلاعاتي به مقصد يک دستگاه خاص استفاده مي شود. برنامه هاي فوق قادر به جمع آوري تمامي بسته هاي اطلاعاتي قابل حرکت در شبکه، صرف نظر از مقصد مربوطه نيز هستند. يک مهاجم با استقرار يک "ردگير بسته ها در شبکه" در شبکه، قادر به جمع آوري و آناليز تمامي ترافيک شبکه خواهد بود. اطلاعات مربوط به نام و رمز عبور عموماً به صورت متن معمولي و رمز نشده ارسال مي شود و اين بدان معني است که با آناليز بسته هاي اطلاعاتي، امکان مشاهده اينگونه اطلاعات حساس وجود خواهد داشت. يک "ردگير بسته ها در شبکه" صرفاًقادر به جمع آوري اطلاعات مربوط به بسته هاي اطلاعاتي درون يک subnet مشخص شده است. بنابراين، يک مهاجم نمي تواند يک "ردگير بسته ها در شبکه" را در شبکه خود نصب نمايد و از آن طريق به شبکه شما دستيابي و اقدام به جمع آوري نام و رمز عبور به منظور سوء استفاده از ساير ماشين هاي موجود در شبکه نمايد. مهاجمان به منظور نيل به اهداف مخرب خود مي بايست يک "ردگير بسته ها در شبکه" را بر روي يک کامپيوتر موجود در شبکه اجراء نمايند). در بيشتر نقاط دسترسي، پيشنهاد مي کنند حداقل اندازه کليد براي رمزگذاري 64 بيت باشد و بعضي ديگر حتي پيشنهاد 128 بيتي براي رمزگذاري را داده اند. مدلWEP بسته هاي داده هاي مورد استفاده را بصورت الگوريتم هاي مبهم و مبتني بر يک کليد الکترونيکي تبديل نموده و آنرا بصورت يک سري از الفباي عددي يا کاراکترهاي شانزده شانزدهي (هگزا دسيمال) پنهان مي نمايد. سيستم دريافت بايد يک کليد نظير آن را به منظور کشف رمز بسته داده داشته باشد. بر روي نقطه دسترسي، گزينه اي را که اتصال WEP را فعال نموده و يا نياز دارد، جستجو کنيد. کليدي را روي نقطه دسترسي تعريف نموده و همان کليد را در پيکربندي بي سيم هر سرويس گيرنده وارد کنيد.
? تنظيم دسترسي بوسيله نشاني فيزيکي کارت شبکه (MAC)
هر کارت شبکه يک نشاني MAC دارد که به صورت يکتا تعريف شده و روي شبکه مشخص مي شود. بيشتر نقاط دسترسي به شما اجازه مي دهند که MAC آدرس هايي که مي توانند به شبکه دسترسي داشته باشند را محدود نمائيد. استفاده از فيلتر MAC به اضافه WEP دسترسي به شبکه شما را بسيار مشکل مي سازند.
? کنترل دسترسي بوسيله نشاني دامنه (IP)
اگر شما سرويس هايDHCP ((Dynamic Host Configuration Protocol) را به منظور دريافت خودکار IP ،(Domain Name System) DNS و ورودي اطلاعات (Gateway) براي سرويس گيرنده ها فعال کرده ايد و مي خواهيد که اين خصيصه به وسيله نقطه دسترسي تان پشتيباني شود، دسترسي بر مبناي نشاني IP را محدود کنيد، براي اين منظور بايد تعداد سرويس گيرنده هاي همزمان از DHCP را مشخص نمائيد. ضمن آنکه مي توانيد دوره اجاره را که براي هر نشاني DHCP منتشر مي شود، تمديد کنيد. (هر سرويس گيرنده DHCP نشاني را براي يک مدت زمان اجاره مي کند سپس آن را آزاد مي نمايد.) راه ديگر اينکه، به جاي تکيه بر DHCP، مي توانيد به صورت دستي هر سرويس گيرنده را با نشاني IP دائمي پيکربندي کرده، اجازه دسترسي را تنها براي آن نشانيهاي مخصوص، صادر نماييد.
? مرتب کلمه عبور و SSID را تغيير دهيد
در ادامه گمراه کردن نفوذگرها، SSID و کليدهاي WEP خود را هر چند ماه يکبار تغيير دهيد.
? برد نقطه دسترسي تان را حداقل کنيد
سعي کنيد نقطه دسترسي را در مرکز مکاني که برد آن به اندازه اي باشد که به کاربران خدمات بدهد و يا حداکثر تا محوطه اطراف محل مورد نظر را پوشش دهد، قرار دهيد، اين عمل باعث کاهش پوشش در خارج از محدوده مالکيت شما مي شود. بهترين نقطه اي که مي توان در نظر گرفت نزديک به مرکز مکان خصوصي شما و نزديک سطح زمين مي باشد (اما نبايد مستقيماً بالا يا زير سرويس گيرنده بي سيم تان باشد).
? يک DMZ يا شبکه چندگانه نصب کنيد
در صورتي که شبکه خصوصي شما قسمت بندي شده است، سه بخش ابتدايي از يک نشاني IP، خود شبکه و بوسيله آخرين قسمت، سيستم هايي را که به شبکه متصل هستند مشخص مي شود. اگر شما همزمان شبکه کابلي و بي سيم استفاده مي نماييد، مي توانيد يک قلمرو غير جنگي (DMZ) (يکي از اصول امنيت، استفاده از الگوي دفاع لايه به لايه است. مثل استفاده از برج، ديوار هاي بلند، دروازه هاي اصلي و فرعي، خندق و ... در قلعه هاي قديمي کل شبکه (Internetwork) را مي توان به دو بخش قابل اعتماد (Trusted) و غيرقابل اعتماد (Untrusted) تقسيم بندي کرد.
شبکه داخلي را مي توان شبکه قابل اعتماد و شبکه عمومي اينترنت را شبکه غيرقابل اعتماد دانست. در شبکه هاي کامپيوتري، محلي را به نام DMZ (Demilitarized Zone) تعريف مي کنيم. در واقع DMZ ناحيه اي بين شبکه داخلي شما (Trusted) و شبکه عمومي (Untrusted) است. سرور هايي را که بايد از اينترنت قابل دسترسي باشند (مانند Web Server، Mail Server،FTP Server وDNS Server ) را در DMZ قرار مي دهيم. اين سياست مطابق الگوي دفاع لايه به لايه است. به اين ترتيب مي توانيم راه برقراري ارتباط از اينترنت به داخل شبکه را به طور کامل مسدود کنيم. براي ايجاد لايه هاي بيشتر مي توان بيش از يکDMZ در شبکه ايجاد کرد. تعداد Deviceهاي امنيت شبکه به تعداد DMZها و موارد ديگري بستگي دارد و با توجه به ساختار شبکه ي هر سازمان، ميزان حساسيت و برخي پارامتر هاي ديگر که در سيستم عامل تعيين مي شود. پيکربندي مناسب ناحيه DMZ به دو عامل متفاوت بستگي خواهد داشت: وجود يک مسيرياب خارجي و داشتن چندين نشاني(IP) را ايجاد کنيد که مانند يک زير شبکه روي شبکه اوليه بوجود مي آيد، يا مي توانيد آدرس هاي شبکه مختلفي براي هر شبکه طراحي کنيد.
? مانند يک نفوذگر عمل کنيد
ابزارهاي زيادي در دسترس هستند که مي توانند امنيت شبکه تان را بيازمايند. براي مثال، NetStumbler و چندين ابزار مجاني در دسترس که در نشانيAbout.com Internet/Network Security page مي توانيد بيابيد. آنها مي توانند به يافتن نقاط قابل نفوذ در شبکه تان کمک کنند و حتي ممکن است راههايي را براي بستن سوراخ هاي امنيتي پيشنهاد کنند.
? هميشه مراقب باشيد
مفاهيم امنيت شبکه يک فرايند همواره در حال پيشرفت است. هر محصول و ابزار جديدي که به بازار مي آيد، بالقوه آسيب پذير و قابل رخنه است. البته، تکنولوژي هاي جديد براي کمک به بهبود امنيت روي شبکه هاي بي سيم گسترش مي يابند.به عنوان مثال دسترسي حفاظت شده( WPAدر شبکه هاي واي فاي)، امنيت را بالا خواهد برد و تنظيمات را آسان خواهد نمود. بهترين روش براي برقراري امنيت شبکه بي سيم، دنبال کردن مراحلي است که در بالا ليست شد، همچنين قدم برداشتن با پيشرفت تکنولوژي، نرم افزار دائمي و راه حل هايي که دسترس باشند، پيشنهاد مي شود.
? حرف آخر
راه اندازي شبکه بي سيم، تنها در مواردي توصيه مي شود که امکان کابل کشي نبوده و باعث بهم خوردن زيبايي مکان مورد نظر شود و يا لزوم جابجايي رايانه ها، استفاده از شبکه بي سيم را ضروري نمايد. غير از مواردي از قبيل شبکه بي سيم هرگز بر شبکه کابلي برتري نخواهد داشت و در محيط هاي بزرگ مي تواند به عنوان شبکه کمکي در کنار يک شبکه کابلي استفاده شود.فوت و فن امنيت در شبکههاي بيسيم کوچک دژ خانگي