امنیت در شبكه های Wireless

[jamshid]

در اين مقاله سعي داريم كه ابتدا يك ديد كلي و سريع نسبت به شبكه هاي بيسيم بدست بياريم و سپس امنيت در شبكه هاي بيسيم رو مورد بحث قرار بديم .


براي برپايي يك شبكه ي بيسيم ، به يك سري اجزاء احتياج هست . دقيقاً مثل شبكه هاي سيم دار ، اين اجزا شامل ابزارهاي فيزيكي ، ابزارهاي انتقال و پروتكلها هستند.
تجهيزات فيزيكي شامل كارتهاي شبكه وايرلس (WNIC) ، نقطه ي دسترسي يا Access Point (AP و آنتن هست . آنتنهاي ديش مانند رو Parabolic ، استوانه اي افقي رو Yagi و ميله اي عمودي رو Omni-directional ميگند .

ابزارها يا تكنولوژي هاي انتقال در شبكه هاي بيسيم هم عبارتند از : Infrared , Microwave , Satellite Microwave , Radio Wave , Spread Spectrum, Bluetooth و نهايتاً تكنولوژي SMS .

استاندارد مورد استفاده در شبكه هاي بيسيم كه توسط IEEE ارائه شده ، استاندارد 802.11 هست . اين استاندارد از سال 1997 تا حالا چندين بار به روز رساني شده كه با حروف a تا i مشخص ميشند .

پروتكل برنامه هاي كاربردي شبكه هاي بيسيم كه ارتباط بين تكنولوژي هاي مختلف مورد استفاده رو برقرار ميكنه Wireless application protocol يا WAP هست ، كه از سال 1998 ارائه شده و به مرور شامل بروزرساني شده .

بحث ما در اين مقاله روي Wireless LAN يا WLAN هست . اين نوع شبكه ها خيلي شبيه شبكه هاي اترنت هستند و در سازمانها و شركتها بيشترين كاربرد رو دارند .WLAN از تكنولوژي Radio Wave به عنوان ابزار انتقال استفاده ميكنه. دو نوع توپولوژي براي اين شبكه ها وجود داره كه شامل Ad-hoc و Infrastructure هست. در حالت Ad-hoc ، احتياجي به AP نيست و سيستمها مستقيم با هم ارتباط برقرار ميكنند . اين حالت يك شبكه peer-to-peer ، بدون كنترل كننده هست .
در حالت Infrastructure ، از AP استفاده ميشه .تمركز ما بر روي اين حالت هست. در حالت Infrastructure ، كلاينتهايي كه در يك گروه هستند و از يك AP مشترك استفاده مي كنند ، بايد داراي يك SSID يا Service Set Identifier يكسان و تنظيم شده روي AP باشند . SSID كه يك متغير 32 كاركتري منحصر به فرد براي هر سگمنت هست ، در ابتداي هدر هر packet قرار ميگيره . وقتي AP تنظيم ميشه ، و SSID ميگيره ، شروع ميكنه به ارسال SSID خودش به صورت broadcast . اين فريم اصطلاحاً SSID beacon ناميده ميشه و قابل رمزنگاري هم نيست . بنابرين هر شخصي ميتونه با يك sniff ساده ، AP هاي در دسترس رو شناسايي كنه . پس اولين قدم در امنيت شبكه هاي بيسيم در اين حالت ، در صورت امكان غيرفعال كردن SSID beacon frame broadcast هست .
وقتي WNIC روشن شد ، يك پروسه براي چك كردن SSID انجام ميشه كه به اون Association ميگند . در اين مرحله كلاينت به شبكه join شده ، اما هنوز نميتونه از شبكه استفاده كنه . بنابرين بايد مرحله Authentication رو انجام بده . در شبكه هاي WLAN دو نوع Authentication وجود داره . يكي Open system و ديگري Shared-key

در حالت اول هيچ رمزنگاري انجام نميشه و هر كلاينتي ميتونه به راحتي با داشتن SSID به شبكه متصل شه و از اون استفاده كنه . در حالت دوم يك key مورد نياز هست كه هر دوطرف ارتباط ، يعني كلاينت و AP بايد اون رو بدونند .

ايمن سازي شبكه هاي بيسيم

ايمن سازي در پروتكل

با گسترش شبكه هاي بيسيم و استفاده از WAP ، لزوم استفاده از يك پروتكل ايمن احساس شد . اين پروتكل كاري شبيه TLS انجام ميده و WTLS ناميده ميشه .
Wireless Transport Layer Security* توانايي ايجاد integrity در داده و privacy براي دو طرف ارتباط و همچنين Authentication بين دو طرف ارتباط را داره .

WTLS براي تشخيص هويت از certificate استفاده ميكنه ، اگرچه اين امكان وجود داره كه از اين بخش صرف نظر كرد . كه البته باعث كاهش امنيت ميشه .

ايمن سازي در AP

براي ايمن كردن بيشتر AP ، چند كار ميشه انجام داد . اول همونطور كه در بالا اشاره شد ، disable كردن SSID beacon frame broadcast هست . مرحله ي بعد استفاده از WEP هست كه در اين مورد ميتونيد به مقاله ارائه شده در همين انجمن مراجعه كنيد .
قدم بعد كه شايد كمي خسته كننده باشه ، ايجاد MAC Address filtering روي AP هست . اين كار كنترل و امنيت بيشتري رو فراهم ميكنه .

اگر دنبال امنيت بيشتر هستيد ، ميتونيد بجاي WEP* از TKIP* استفاده كنيد . TKIP* يا Temporal Key Integrity Protocol دقيقاً به خاطر ضعف هاي WEP* بوجود اومده . TKIP هم از الگوريتم RC4 استفاده ميكنه ، ولي اومده و IV* رو ايمن كرده . كاري كه انجام شده اينه كه IV رو رمز كرده و هر 10 هزار packet ، يك كليد جديد ايجاد ميكنه.

و اما اگر دنبال گزينه ي بهتري براي امنيت بهتر در ارتباطات وايرلس هستيد ، WPA يا Wi-Fi Protected Access بهترين انتخاب هست . در اينجا قصد دارم كه اين راهكار رو كمي بيشتر توضيح بدم .

WPA دو هدف رو دنبال ميكنه . اول حفاظت قوي با استفاده از رمزنگاري و دوم كنترل قوي دسترسي با استفاده از تشخيص هويت .

حفاظت قوي يا Strong Protection با استفاده از رمزنگاري با استفاده از 3 آيتم انجام ميشه . TKIP بعلاوه ي MIC بعلاوه ي توزيع اتوماتيك كليدها ي ديناميك بر اساس 802.1x .

در فرمول بالا ، MIC يا Message Integrity Check يك پروسه هست كه به TKIP اضافه شده و طبق معمول, اينجور پروسه ها ، كنترل ميكنه كه محتويات packet* در حين انتقال تغيير پيدا نكرده باشه .

اما منظور از توزيع اتوماتيك كليدها ي ديناميك بر اساس 802.1x چيه ؟ اصولاً ما دو نوع ايجاد و توزيع كليد در امنيت شبكه داريم .
ايجاد كليد ميتونه ديناميك باشه يا استاتيك و توزيع اون هم ميتونه دستي باشه يا اتوماتيك . تفاوت اونها كاملاً روشن هست . در حالت manual/static مدير شبكه ايجاد و توزيع كليد يا كليدها رو مديريت ميكنه ، كه در شبكه هاي كوچك كاربرد داره . اما در حالت دوم ، يعني Dynamic/Automtic يك server اين كار رو انجام ميده كه در شبكه هاي بزرگ اين كار انجام ميشه .

" بر اساس 802.1x " هم يعني تكنولوژي مورد استفاده بايد داراي استانداردي باشه كه تكنولوژي هاي مختلف رو پشتيباني كنه .
پس كل حرف ما اين ميشه كه به پروتكلي احتياج هست كه بر اساس يك استاندارد قابل استفاده در شبكه هاي بيسيم و با سيم ، و منطبق با تكنولوژي هايي مثل Smart Card ، Digital Certificate ، Token ، Challenge/Response و ... كار كنه و بتونه كليد هاي لازم رو توليد و مديريت كنه .

پروتكلي كه براي اينكار استفاده ميشه EAP هست . Extensible Authentication Protocol قابليت استفاده در انواع مختلف سيستمها و تكنولوژي ها رو داره و يك پروتكل تشخيص هويت هست . بنابرين با استفاده از اين پروتكل ، هدف دوم WPA هم تامين و يك راهكار تشخيص هويت مستحكم هم ايجاد ميشه . پس فرمول كلي WPA به اين شكل تعريف ميشه :

WPA = 802.1x + EAP + TKIP + MIC

خب ، با توضيحات بالا تقريباً مشخص هست كه براي راه اندازي WPA ، احتياج به AP و WINC داريم كه WPA رو پشتيباني كنه . كه خوشبختانه اكثر مدلهاي جديد اون رو پشتيباني مي كنند . در كنار اينها ،اگر امنيت بيشتري رو بخوايم ، به يك Strong Authentication Server هم احتياج داريم . استفاده از چنين سروري ، مثل RADIUS* ، شبكه رو به سمت Trust پيش ميبره كه نحوه طراحي و پيكربندي اون رو در انجمن "شبكه هاي مطمئن " ، بعد از ارائه مباحث پايه و لازم در مديريت كليدها و گواهينامه هاي ديجيتال ، به زودي ارائه خواهم كرد .

بنابرين در اين مقاله ، نحوه پيكربندي شبكه وايرلس براي استفاده از EAP رو بدون RADIUS شرح ميدم .

ابتدا AP* رو تنظيم ميكنيم . بعد از كانكت شدن به پنل مديريتي AP ، در بخش تنظيمات امنيتي ، Security Mode رو بر روي WPA Pre-Shared Key* قرار ميديم . WPA Algoritm رو هم TKIP انتخاب ميكنيم . در بخش WPA Shared Key ، عبارت مورد نظر خودمون رو وارد ميكنيم . Group Key Renewal* رو هم بر روي 300 ثانيه ميذاريم .
تنظيمات رو ذخيره مي كنيم و از پنل خارج ميشيم .

براي تنظيم كلاينتها ، احتياج به يك نرم افزار جانبي داريم تا ارتباط وايرلس ما روي كلاينت رو بر اساس WPA تنظيم كنه . براي اينكار از نرم افزار Odyssey كه trial اون قابل دريافت از اين آدرس هست استفاده ميكنيم .

بعد از نصب نرم افزار ، وارد بخش Client Manager ميشيم و در بخش Network ، گزینه add رو كليك ميكنيم و Scan رو براي پيدا كردن شبكه هاي در دسترس انجام ميديم.

بعد از انتخاب شبكه ي مورد نظر و اضافه شدن اون در ليست Networks ، شبكه ي add شده رو highlight ميكنيم و Properties رو كليك مي كنيم . پارامترهاي مورد نظر رو همونطور كه در AP مشخص كرده بوديم ، تنظيم ميكنيم . OK رو كليك ميكنيم و در كنسول Client Manager ، وارد بخش Connection ميشيم و شبكه اي كه تنظيمات رو براش انجام داديم رو انتخاب مي كنيم و Connect رو كليك مي كنيم . اگر تنظيمات رو درست انجام داده باشيد ، بايد ارتباط شما با AP و شبكه برقرار بشه .

Wireless Auditing

معمولاً بعد از راه اندازي يك شبكه وايرلس ، مثل همه ي پروسه ها ي ايمن سازي ، بازرسي و چك كردن الزامي هست . پروسه ي بازرسي شبكه هاي بيسيم رو اصطلاحاً Site Survey ميگن . براي اينكار از ابزارهاي مختلفي استفاده ميشه كه مشهورترين اونها NetStumbler هست . با استفاده از اين نرم افزار ، اطلاعات مفيدي در مورد AP هاي قابل دسترس و برآورد امكان join شدن به شبكه ارزيابي ميشه .
يكي ديگه از نرم افزارهاي پر كاربرد در اينگونه موارد ، AiroPeek NX هست .نرم افزارهای دیگه ای وجود داره كه با یك جستجوی ساده در اینترنت قابل دسترسی هستند .