فروشگاه اینترنتی اوج گستران شماره تماس :66456031-021 , 66452755 -021

امنیت شبکه بیسیم

تاریخ ارسال نوشته: 25 مارس 2018

بررسی و امنیت شبکه بی سیم

 

مقدمه

شبکه‌های کامپیوتری در چند دهه اول وجودشان ، در اصل توسط محققان دانشگاهی برای ارسال ایمیل و توسط کارمندان شرکت‌ها برای به اشتراک‌گذاری چاپگر استفاده می‌شدند. تخت این شرایط چندان به امنیت توجهی نمی‌شود. اما در حال حاضر، به دلیل اینکه میلیون‌ها شهروند عادی نیز  از شبکه‌ها برای بانکداری ، خرید و پر کردن فرم‌های مالیاتی استفاده می‌کنند و روزبه‌روز ضعف‌های بیشتری پدیدار شدند. امنیت شبکه تبدیل به مشکلی با ابعاد گسترده شده است. در این تحقیق ، امنیت شبکه را از چندین زاویه مطالعه خواهیم کرد.

پیش‌تر مسائل امنیتی عمداً توسط افراد بدذاتی به وجود می‌آیند که سعی دارند بهره‌ای از آن ببرند. جلب‌توجه کنند یا به کسی صدمه بزنند . تعدادی از رایج‌ترین مقصدها در جدول شماره 1 فهرست شده‌اند. از این جدول باید مشخص که ایمن ساختن شبکه شامل مواردی پیش از رفع خطاهای برنامه‌نویس است. این کار شامل پیش‌دستی کردن بر دشمنان هوشمند است .

جدول 1 برخی افرادی که ممکن است مشکلات امنیتی به وجود آورند و دلیل آن .

دشمن هدف
دانشجو تجسس و سرگرمی در مورد ایمیل افراد
کراکر امتحان سیستم امنیتی افراد و سرقت داده‌ها
شرکت کشف برنامه بازاریابی استراتژیک رقیب
تروریست سرقت اسرار جنگی
دولت یادگیری اسرار نظامی یا صنعتی دشمن
حسابدار اختلاس پول از شرکت
کارمند سابق کینه‌جویی به خاطر اخراج شدن

 

مسائل امنیتی شبکه می‌توانند به چهار ناحیه تقریباً متداخل تقسیم شوند: محرمانگی ، احراز هویت ، انکارناپذیری و کنترل صحت .

محرمانگی : حفظ اطلاعات از دست کاربران غیرمجاز.

احراز هویت : احراز شدن هویت فردی  که با وی صحبت می‌شود .

انکارناپذیری : در مورد امضاهاست چگونه ادعا می‌کنید که مشتری شما واقعاً سفارشی درخواست داده است.

کنترل صحت: در این مورد است که چگونه می‌توانید مطمئن شوید که پیام دریافتی شما واقعاً پیامی است که ارسال‌شده .

بخش اول

مقدمه‌ای بر امنیت شبکه

 

 

 

1-1 مقدمه‌ای بر امنیت شبکه

با ورود کامپیوتر ، نیاز به استفاده از امکانات خودکار برای محافظت از فایل ها و سایر اطلاعات ذخیره‌شده در کامپیوتر دیده شد.این مورد در دستگاه‌هایی با امکانات مشترک ، مانند سیستم اشتراک زمانی و به‌ویژه در دستگاه‌هایی که به شبکه تلفن عمومی یا شبکه داده‌ها و اینترنت متصل هستند بیشتر خود را نشان می‌دهد . امنیت کامپیوتر نامی است که برای مجموعه ابزارهایی طراحی‌شده در جهت حفاظت داده‌ها و خنثی کردن عملیات هکرها به کار می‌رود.

تعريف امنيت

به معناي کيفيت يا حالت امن بودن، رهايي از خطر، ترس و احساس نگرا ني و تشويش هست. اين تعبير در دنياي الکترونيکي نيز صادق هست اما اگر بخواهيم تعريفي تخصصي در اين زمينه داشته باشيم می‌توانیم بگوييم که، برقراري امنيت در  حفظ و بقاء ٤ اصل هست .

محرمانگي : اطلاعات فقط و فقط بايستي توسط افراد مجاز قابل‌دسترس باشد .

تماميت : يک سيستم از عناصري متشکل است که در کنار هم براي رسيدن به هدفي یکسان همکاري دارند . حفظ تماميت به معناي پيشگيري از بروز مشکل در اين همکاري و پيوسته نگه‌داشتن عناصر يک سيستم هست .

دسترس‌پذیری :اطلاعات بايستي بهنگام نياز توسط افراد مجاز قابل‌دسترس باشد .

عدم انكار : انجام کار يا دريافت اطلاعات یا سرویس توسط شخص گيرنده قابل‌انکار نباشد.

منابع شبكه

در يك شبكه مدرن منابع بسياري جهت محافظت وجود دارند . ليست ذيل مجموعه‌ای از منابع شبكه را معرفي می‌کند که  بايد در مقابل انواع حمله‌ها موردحفاظت  قرار گيرند.

  1. تجهيزات شبكه مانند روتر ها ، سوئیچ‌ها و فایروال‌ها.
  2. اطلاعات عمليات شبكه مانند جداول مسیریابی و پیکربندی ليست دسترسي که بر روي روتر ذخیره‌شده‌اند.
  3. منابع نامحسوس شبكه مانند عرض باند و سرعت .
  4. اطلاعات در حال تبادل بر روي شبكه در هرلحظه از زمان .
  5. ترمینال‌هایی که براي استفاده از منابع مختلف به شبكه متصل می‌شوند

 

1-2 تهدیدها و حملات امنیتی

در امنیت کامپیوتر یک تهدید یک خطر احتمالی است که یک آسیب‌پذیری به هدف نقض امنیتی مورد بهره قرار می‌گیرد.

یک تهدید هم می‌تواند (عمدی) (یعنی ، به‌صورت هوشمند ، به‌عنوان‌مثال ، توسط یک فرد یا یک سازمان) یا (تصادفی)( به‌عنوان‌مثال ، امکان خراب بودن یک کامپیوتر یا امکان فاجعه طبیعی مانند زلزله ، آتش‌سوزی ، یا گردباد ) باشد.

یک نوع دسته مفید حملات امنیتی را به دو گروه تقسیم‌بندی می‌کنیم : حملات منفعل و حملات فعال.

تهدید Threat

یک پتانسیل برای نقض امنیت که در شرایط ، توانایی ، فعالیت یا اتفاق خاصی به وجود آید و می‌تواند امنیت را نقص کرده و آسیب به وجود آورد . درواقع تهدید یک خطر احتمالی است که از یک نقطه‌ضعف استفاده می‌کند.

 

حمله یا Attack

یک تهاجم به سیستم امنیتی که از یک خطر هوشمندانه حاصل‌شده است . درواقع حمله یا Attack   فعالیت هوشمندانه‌ای است که به‌صورت تلاشی عمدی برای گریز از سرویس‌های امنیتی و ایجاد نقص در سیاست امنیتی یک سیستم انجام می‌گیرد.

حملات منفعل

     حملات منفعل به‌طور ذاتی در حال استراق سمع یا مشاهده انتقال‌ها قرار می‌گیرد. هدف طرف مهاجم به دست آوردن اطلاعاتی است که منتقل می‌شوند. آزادسازی محتویات پیام و تحلیل ترافیک درواقع دو نوع حمله منفعل هستند.

             آزادسازی محتویات پیام  (مطابق شکل زیر) به‌راحتی قابل‌فهم هست. یک مکالمه تلفنی یک پیام الکترونیکی و یک فایل منتقل‌شده ممکن است دارای محتویات حساس یا اطلاعات محرمانه باشد .  و می‌خواهیم از دسترسی یک مهاجم یا شخص سوم به محتویات این انتقال‌ها پیشگیری کنیم.

شکل  1-1 آزادسازی محتویات پیام

نوع دوم حملات منفعل ، یعنی  تحلیل ترافیک ، زیرکانه و ماهرانه است ( شکل 2-1) فرض کنید روشی برای پوشاندن محتویات یا سایر اطلاعات داشته باشیم.  در این صورت حتی اگر مهاجم محتویات پیام را دریافت کند ف بازهم نمی‌تواند  اطلاعات را استخراج کند. تکنیک عمومی برای نهان‌سازی پیام‌ها رمزنگاری است . اگر ما از روش حفاظت از طریق رمزگذاری استفاده کنیم.بازهم ممکن است مهاجم یا شخص ثالث بتواند الگوی این پیام را مشاهده کند. شخص ثالث       می‌تواند محل و مشخصه میزبان در حال اتصال  را تعیین کرده و تناوب و طول پیام‌های در حال تبادل را مشاهده کند . این اطلاعات ممکن است برای پیش‌بینی ماهیت اتصال مفید باشد.

شکل 2-1 تحلیل ترافیک

 حملات فعال

یک حمله فعال شامل ایجاد تغییراتی در جریان داده یا تولید یک‌رشته کاذب است این حملات می‌تواند به چهار دسته تقسیم شوند: تغییر ظاهر ، بازپخش ، دست‌کاری پیام‌ها و ایجاد خلل در ارائه خدمات .

یک حمله از نوع تغییر ظاهر ، زمانی اتفاق می‌افتد که یک موجودیت به‌دروغ وانمود کند که موجودیت دیگری است ( شکل زیر) این حمله در بیشتر مواقع یک حمله فعال دیگر را نیز شامل می‌شود.

شکل 3-1 تغییر ظاهر

حمله بازپخش  درواقع ضبط کردن منفعل یک واحد داده و ارسال مجدد زیر دنباله آن برای عملی کردن یک کار بدون مجوز است. (شکل 4-1)

شکل 4-1 بازپخش

 حمله دست‌کاری پیام‌ها  ، به‌طور ساده به معنای تغییر دز بخشی از یک پیام صحیح یا ایجاد تأخیر و سفارش مجدد پیام‌ها برای عملی کردن یک کار تائید صلاحیت نشده است ( شکل زیر)

شکل 5-1 اصلاح پیام

حمله  ایجاد خلل  در ارائه خدمات یا مدیریت امکانات ارتباطی پیشگیری یا جلوگیری می‌کند . (شکل 6-1 ) این حمله ممکن یک مقصد خاص داشته باشد.

شکل 6-1 اخلال در پیام

حملات فعال مشخصات معکوس و وارونه نسبت به حملات منفعل را در برمی‌گیرند. در حقیقت کشف حملات فعال دشوار بوده ولی اقداماتی برای جلوگیری از موفقیت آن‌ها وجود دارد. از طرف دیگر پیشگیری از حملات فعال با توجه به سطح وسیع نقاط ضعف بالقوه فیزیکی ، نرم‌افزاری و شبکه‌ای بسیار مشکل است .

بنابراین به‌جای جلوگیری ، در این موارد ، هدف تشخیص حملات فعال و بازیابی هرگونه قطع یا تأخیر به وجود آمده توسط آن‌هاست.

 

بخش دوم

امنیت شبکه بی سیم

 

 

 

 

 

 

 

 

 

 

 

2-1 بخش دوم امنیت شبکه بی سیم

در این فصل دو الگوی مهم شبکه‌های بی سیمبررسی می‌شود. در ابتدا نگاهی به استاندارد IEEE 802.11i   برای امنیت شبکه‌های بی سیممی‌اندازیم. این استاندارد بخشی از استاندارد IEEE 802.11  است که به‌عنوان Wi-Fi  نیز شناخته می‌شود. در آغاز IEEE 802.11 را به‌طور اجمال بررسی می‌کنیم و سپس سراغ IEEE 802.11i می‌رویم.

باقی فصل به استاندارهای امنیتی اختصاص داده‌شده است که برای دسترسی به وب از دستگاه‌های تلفن همراه بی سیممانند  تلفن‌های همراه بی سیممانند تلفن‌های سلولی استفاده می‌شوند. در این بخش از فصل پروتکل کاربرد بی سیم(WAP)   را که مجموعه‌ای استانداردهای لازم برای ارتباطات بین دستگاه‌های همراه متصل به شبکه سلولی و یک وب سرور است  را بررسی می‌کنیم.

2-2 استاندارد IEEE 802.11 برای شبکه بی سیم

IEEE 802 کمیته‌ای است که استانداردهای لازم را برای طیف گسترده‌ای از شبکه‌های محلی توسعه داده است. در سال 1990  کمیته IEEE 802  کارگروه جدیدی بانام  IEEE 802.11 را با منشور توسعه پروتکل و مشخصات انتقال بی سیمشبکه‌های محلی (WLAN) تشکیل داد. از آن زمان به بعد تقاضا برای WLAN  با فرکانس‌ها و نرخ‌های داده مختلف به‌شدت افزایش یافت . در همراهی با این تقاضاها ، IEEE 802.11 فهرستی از استانداردها را معرفی کرده است که همیشه در حال گسترش است. در جدول 1-2 به‌طور خلاصه تعریف واژه‌های کلیدی مورداستفاده در استاندار IEEE 802.11  تعریف‌شده است.

جدول 2 اصلاحات IEEE 802.11

 

 

2-3 اتحادیه Wi-Fi

اولین استاندارد IEEE 802.11  که مورد تائید گسترده قرار گرفت IEEE 802.11b بود . اگرچه محصولات IEEE 802.11b را بر اساس استانداردی مشابه ساخته‌اند.  اما همیشه یک نگرانی وجود داشت که آیا محصولات فروشندگان مختلف با یکدیگر تعامل‌پذیر خواهند. برای نیل به این هدف اتحادیه سازگاری اترنت بی سیم(WECA)  یک کنسرسیوم صنعتی ، در سال 1999 تشکیل شد این سازمان بعداً به اتحادیه Wi-Fi تغییر نام داد  و مجموعه‌ای آزمایشی برای تائید تعامل‌پذیری برای محصولات IEEE 802.11b ایجاد کرد . اصطلاح Wi-Fi برای محصولاتی به کار می‌رود که این گواهی را دریافت کرده‌اند.

معماری پروتکل IEEE 802.11

نگاه خلاصه‌ای به معماری پروتکل IEEE 802.11 بیندازیم.

شکل1-2 پشته پروتکل IEEE 802.11

لایه فیزیکی:

پایین‌ترین لایه  است  و شامل کارکردهایی از قبیل رمزگذاری / رمزگشایی سیگنال‌ها و انتقال / دریافت بیت است.  این لایه به تعریف باندهای فرکانسی و ویژگی‌های آنتن نیز می‌پردازد.

کنترل دسترسی رسانه

تمام شبکه‌های محلی شامل مجموعه‌هایی از دستگاه‌هایی هستند که ظرفیت انتقال شبکه را به اشتراک می‌گذارند. برخی از ابزارهای کنترل دسترسی به رسانه انتقال برای فراهم ساختن ظرفیت شبکه به‌صورت منظم و کارآمد استفاده می‌شوند . این کار توسط لایه کنترل دسترسی رسانه  انجام می‌شود. این لایه داده‌های خود را از پروتکل لایه بالاتر که معمولاً لایه پیوند منطقی  است . به شکل بلوکی از داده‌ها تحت عنوان واحد داده‌های سرویس  دریافت می‌کند. به‌طورکلی لایه MAC   وظایف زیر را انجام می‌دهند.

  • هنگام انتقال داده ، دادهای دریافتی از لایه بالاتر را درون یک فریم به نام واحد داده پروتکل MAC قرار می‌دهند. در این فریم فیلدهایی مانند فیلد آدرس و تشخیص خطا قرار دارد.
  • هنگام دریافت ، داده‌ها را از درون فریم درآورده و تشخیص آدرس و سپس تشخیص خطا را انجام می‌دهد.
  • بر دسترسی به رسانه انتقال LAN مدیریت دارد.

فرمت دقیق MPDU بین پروتکل‌های MAC   مختلف مورداستفاده تفاوت دارد. به‌طورکلی همه MPDU ها فرمتی شبیه شکل زیر دارند. فیلدهای این فریم بدین شرح هستند :

شکل 2-2 فرمت متداول MPDU ا از استاندارد  IEEE 802

  • کنترل MAC : این فیلد کلیه اطلاعات کنترلی موردنیاز برای کارکرد پروتکل mac داراست.
  • آدرس MAC مقصد : آدرس فیزیکی مقصد در LAN
  • آدرس MAC مبدأ : آدرس فیزیکی مبدأ در LAN
  • واحد داده سرویس MAC : داده‌هایی که از لایه بالاتر دریافت شده‌اند.
  • CRC: فیلد تشخیص خطا.

کنترل پیوند منطقی :

در بیشتر پروتکل‌های کنترل پیوند داده ، این پروتکل‌ها نه‌تنها مسئول تشخیص خطا با استفاده از CRC   هستند. بلکه به کمک انتقال مجدد فریم باید به فکر بازیابی اطلاعات نیز باشد. در معماری پروتکل شبکه‌های محلی ، این دو کارکرد بین لایه‌های MAC  و LLC تقسیم می‌شوند. لایه MAC  مسئول تشخیص خطاها و دور ریختن فریم حاوی اطلاعات خطاست. لایه LLC  نیز می‌تواند فریم‌هایی را که سالم نرسیده‌اند ، برای دریافت درست دوباره ارسال کند.

مدل معماری و مؤلفه‌های شبکه IEEE 802.11

شکل زیر مدل طراحی‌شده در کارگروه IEEE 802.11 را نشان می‌دهد. کوچک‌ترین جز سازنده شبکه‌های بی سیمBSS یا مجموعه سرویس پایه نام دارد و شامل ایستگاه‌های بی سیممی‌شود .که پروتکل MAC مشابهی را اجرا کرده و روی دسترسی به رسانه مشترکی رقابت می‌کنند. یک BSS ممکن است مجزا باشد. یا از طریق یک نقطه دسترسی به یک ستون فقرات بانام سیستم توزیع‌شده متصل باشد.

کارکردهای AP نقش یک پل یا نقطه واسط را بر عهده‌دارند. در یک BSS ایستگاه‌های کلاینت نمی‌توانند. به‌طور مستقیم با ایستگاه دیگری ارتباط برقرار کنند. برای این کار ایستگاه مبدأ باید فریم MAC برای ارسال به یک ایستگاه خارج از  BSS، باید از مبدأ به AP  درون BSS ارسال شود. . سپس از طریق سیستم توزیع‌شده به سمت مقصد حرکت کند. BSS به‌طورکلی متناظر با یک سلول است. سیستم توزیع‌شده می‌تواند یک سوئیچ ، یک شبکه سیمی ، یا یک شبکه بی سیمباشد.

شکل 3-2 مجموعه سرویس توسعه‌یافته IEEE 802.11

هنگامی‌که همه ایستگاه‌های درون   BSS ایستگاه‌های سیاری هستند که مستقیماً و نه با استفاده از یک AP با یکدیگر ارتباط برقرار می‌کنند. در این صورت به این مجموعه IBSS یا BSS مستقل می‌گوییم . یک  IBSS معمولاً یک شبکه ویژه است . در یک IBSS همه ایستگاه‌ها مستقیمان با یکدیگر در ارتباط هستند. و AP  دخالت نمی‌کند.

در شکل بالا  2-3 پیکربندی ساده‌ای دیده می‌شود که در آن هر ایستگاه تنها متعلق به یک BSS است . یعنی هر ایستگاه تنها در محدوده بی سیمایستگاه‌های یک BSS قرارگرفته است. ممکن است . دو BSS ازلحاظ جغرافیایی هم‌پوشانی  داشته باشند . به‌گونه‌ای که ایستگاه خاص در بیش از یک BSS شرکت داشته باشد.به‌علاوه ارتباط بین یک BSS و یک ایستگاه پویاست. ایستگاه‌های می‌توانند خاموش شده ، وارد محدوده یک BSS یا از آن محدوده خارج شوند.

یک مجموعه سرویس بسط یافته یا ESS شامل دو یا چند BSS بوده که به‌وسیله یک سیستم توزیع با یکدیگر در ارتباط هستند. ESS به‌صورت یک LAN  منطقی برای سطح کنترل پیوند منطقی (LLC) ظاهر می‌شوند.

2-4 سرویس‌های IEEE 802.11

استاندارد IEEE 802.11 N تعداد نه سرویس را تعریف می‌کند که باید درون شبکه بی سیموجود داشته باشند تا عملکرد وظیفه‌ای معادل آنچه فراهم شود  که در LAN  های سیمی وجود دارند . جدول 3  زیر این سرویس‌ها را فهرست کرده و دو بخش برای دسته‌بندی آن‌ها ارائه می‌دهد.

 

 

 

 

 

جدول 3 سرویس‌هایی IEEE 802.11

2-5 امنیت شبکه‌های محلی بی سیمIEEE 802.11i

در شبکه‌های کابلی دو ویژگی وجود دارد که در شبکه‌های بی‌سیم موجود نیست:

  • به‌منظور انتقال اطلاعات در یک شبکه کابلی، یک ایستگاه باید به‌صورت فیزیکی به شبکه LAN متصل باشد. .از سوی دیگر در شبکه‌های LAN بی سیم ، هر ایستگاه می‌تواند در محدوده رادیویی ایستگاه‌های دیگر اطلاعات را انتقالی دهد. از این دید، شکلی از احراز هویت در شبکه‌های کابلی وجود دارد که در آن باید برخی از اقدامات مثبت و احتمالاً قابل‌مشاهده برای اتصال ایستگاه به شبکه‌های سیمی انجام پذیرد.
  • به‌طور مشابه، به‌منظور دریافت یک بسته از یک ایستگاه که بخشی از یک شبکه LAN است، ایستگاه دریافت‌کننده نیز باید به شبکه LAN متصل باشد. از سوی دیگر، در یک شبکه بی سیم، هر ایستگاه رادیویی در محدوده رادیویی، قادر به دریافت داده‌ها است. بنابراین شبکه LAN درجه‌ای از حریم خصوصی را با محدود کردن دریافت داده‌ها به ایستگاه‌های متصل به شبکه فراهم می‌کند.

این تفاوت‌ها بین شبکه‌های کابلی و بی سیمنشان می‌دهد که شبکه‌های بی سیمبه سرویسی‌ها و سازوکارهای امنیتی پابرجا برای شبکه‌های بی سیمنیاز دارند. مشخصه اصلی IEEE 802.11 شامل مجموعه‌ای از ویژگی‌های امنیتی برای حفظ حریم خصوصی و احراز هویت است که کاملاً ضعیف عمل می‌کردند. استاندارد IEEE 802.11  برای حفظ حریم خصوصی، الگوریتمی بانام حریم خصوصی معادل شبکه‌های کابلی را تعریف کرد. بخش حریم خصوصی استاندارد802.11 شامل نقاط ضعف زیادی است. پس از توسعه و پیاده‌سازی WEP، گروه کاری IEEE 802.11  مجموعه‌ای از قابلیت‌های لازم را برای بهبود امنیت شبکه‌های بی سیمتهیه کرد. به‌منظور سرعت بخشیدن به توسعه امنیت قوی در شبکه‌های بی سیم، اتحادیه Wi-Fi دسترسی محافظت‌شده Wi-Fiرا به‌عنوان استاندارد Wi-Fi منتشر کرد. این استاندارد مجموعه‌ای از سازوکارهای امنیتی است که به حذف بسیاری از موارد مطرح‌شده امنیتی در استاندارد اولیه. IEEE 802.11 انجامید و مبتنی بر استاندارد IEEE 802.11 نوشته شد. شکلی نهایی استاندارد IEEE 802.11 به‌عنوان شبکه امنیتی پابرجا (RSN) نامیده می‌شود. اتحادیه Wi-Fi تائید فروشندگان منطبق با مشخصات کاملی IEEE 802.11   را تحت نام WPA2 ارائه می‌دهد.

2-6 سرویس‌های IEEE 802.11i

سرویسی‌های امنیتی. RSN 802.11i عبارت‌اند از:

  • احراز هویت: پروتکل مورداستفاده برای تعریف تبادل بین کاربر و AS است که احراز هویت دوطرفه را فراهم می‌کند و کلیدهای موقتی را تولید می‌کند که بین کلاینت و AP روی پیوند بی سیماستفاده می‌شوند.
  • کنترل دسترسی : این وظیفه‌ایستگاه را مجبور به استفاده از تابع احراز هویت کرده، پیام‌ها را به‌درستی مسیریابی کرده و تبادل کلید را تسهیل می‌سازد. این تابع می‌تواند با انواع مختلفی از پروتکل‌های احراز هویت کار کند.
  • حفظ حریم خصوصی با صحت پیام: داده‌های سطح MAC، به‌عنوان‌مثال، یک فریم از نوع LLC، همراه با کد صحت پیام رمزگذاری می‌شود و به این وسیله تضمین می‌کند که داده‌ها تغییر داده نشده‌اند. شکل 4-2 (الف) به پروتکل‌های امنیتی اشاره می‌کند که برای پشتیبانی از این سرویسی‌ها، استفاده می‌شوند، همچنین شکل زیر (ب) الگوریتم‌های رمزنگاری مورداستفاده برای این سرویسی‌ها را فهرست کرده است.

شکل 4-2 عناصر IEEE 802.11i

2-7 فازهای عملیاتی IEEE 802.11i

روال کار  IEEE 802.11 RSNمیتواند به پنج فاز عملیاتی مجزا تقسیم شود. ماهیت دقیق این فازها به پیکربندی و نقاط پایانی ارتباطات بستگی دارد. احتمال روی دادن این موارد وجود دارد :

۱- دو ایستگاه بی سیمدر یک BSS به کمک AP آن BSS با یکدیگر ارتباط برقرار کنند.

۲- دو ایستگاه بی سیمدر یک IBSS ویژه با یکدیگر ارتباط مستقیمی برقرار کنند.

۳- دو ایستگاه بی سیمواقع در BSSهای مجزا از طریق APهای خود و یک سیستم توزیع واسط ارتباط برقرار کنند.

۴- یک ایستگاه بی سیمارتباطی را از طریق AP و سیستم توزیع با یک شبکه سیمی برقرار کند. امنیت مطرح‌شده در IEEE 802.11i تنها در مورد ارتباط امن بین یک ایستگاه بی سیمو AP خود است. در مورد (۱) از لیست بالا، ارتباط امن با AP در صورتی برقرار می‌شود که هر ایستگاه ارتباطات امنی با AP داشته باشد. مورد (۲) مشابه مورد (۱) است، با این تفاوت که عملکرد وظیفه‌ای AP در دل هر ایستگاه قرار دارد. در مورد (۳)، امنیت در سراسر سیستم توزیع در سطح IEEE 802.11 ارائه نشده است، بلکه تنها درون هر BSS تأمین می‌شود. برای ایجاد امنیت کامل (در صورت لزوم) باید در لایه‌های بالاتر کاری انجام شود. به‌طور مشابه، در مورد (۴)، امنیت تنها بین ایستگاه و AP آن ارائه‌شده است. با توجه به این ملاحظات، شکلی زیر پنج فاز عملیاتی RSN و نقشه‌ها را به همراه اجزای شبکه درگیر شونده نشان می‌دهد. یکی از اجزای جدید درون این شکل 2-5، سرور احراز هویت  (AS) است. مستطیلی‌ها نشان‌دهنده تبادل پیام‌های MPDU بین این پنج فاز هستند. این پنج فاز عبارت‌اند از:

  • کشف یا Discovery: در این مرحله، AP، از پیامی‌هایی به نام Beacon و Proble Response استفاده می‌کند تا بتواند سیاست امنیتی IEEE 802.11i خود را اعلام کند. ایستگاه از این پیام‌ها برای شناسایی AP برای برقراری ارتباط استفاده می‌کند. ایستگاه یک وابستگی با AP برقرار می‌کند. دراین‌ارتباط مجموعه رمز و سازوکار احراز هویت از بین گزینه‌هایی که پیام‌های Beacon و Proble ReSponSe را نشان می‌دهند، انتخاب می‌شود.
  • احراز هویت: در طی این فاز، AS و ایستگاه هویت خود را به یکدیگر اثبات می‌کنند. تا پایان این مرحله تمامی پیام‌ها به‌جز پیام‌های احراز هویت بین ایستگاه و AS توسط AP بلوکه می‌شود. در این مرحله AP دخالتی در احراز هویت ندارد و فقط ترافیک رابین ایستگاه و AS جلو می‌برد.
  • تولید و توزیع کلید: ایستگاه و AP طی عملیات متعددی، کلیدهای رمزنگاری را تولید می‌کنند که این کلیدها در AP و ایستگاه قرار می‌گیرند.
  • انتقال داده محافظت‌شده: فریم‌ها توسط AP بین ایستگاه مبدأ و مقصد جابه‌جا می‌شوند. همان‌طور که در شکل نشان داده‌شده است، انتقال داده أمن تنها بین ایستگاه و AP صورت می‌گیرد. و امنیت کامل ارائه نشده است.
  • خاتمه ارتباط : AP و ایستگاه فریم ها را مبادله می‌کنند . در این فاز ، ارتباط امن بین ایستگاه و AP قطع‌شده و اتصال به حالت اولیه خود برمی‌گردد.

شکل 5-2 فازهای عملیاتی IEEE 802.11i

فاز کشف

در این بخش می‌خواهیم فازهای RSN با جزئیات بیشتری بررسی کنیم. این کار را از فاز کشف شروع می‌کنیم. هدف این فاز این است که ایستگاه و AP یکدیگر را تشخیص دهند، روی مجموعه‌ای از قابلیت‌های امنیتی توافق کنند و به کمک این قابلیت‌های امنیتی، برای برقراری ارتباط آینده، یک وابستگی ایجاد کنند.

قابلیت‌های امنیتی: در طی این فاز، ایستگاه  AP روی تکنیک‌های خاص درر زمینه‌های تصمیم می‌گیرند :

  • پروتکل‌های محرمانگی و صحت MPDU برای محافظت از ارتباط Unicast ترافیک بین ایستگاه و AP  .
  • روش احراز هویت
  • رویکرد مدیریت کلید رمزنگاری

ازآنجایی‌که باید تمامی ایستگاه‌های درون یک گروه چندگانه ، از رمزها و پروتکل‌های یکسانی استفاده کنند، پروتکلی‌های محرمانگی و صحت برای محافظت از ترافیک چندگانه چندپخشی استفاده می‌کنند که این پروتکل‌ها و الگوریتم‌ها از طرفAP دیکته می‌شوند. مجموعه رمز ، مشخصه یک پروتکلی به همراه طول کلید انتخاب‌شده (در صورت متغیر بودن) است. گزینه‌هایی که می‌توان برای محرمانگی و صحت مجموعه رمز به کاربرد، عبارت‌اند از:

  • WEP با کلید ۴۰ بیتی یا ۱۰۴ بیتی که باعث ایجاد سازگاری با پیاده‌سازی‌های قدیمی‌تر IEEE 802.11 می‌شود.
  • TKIP
  • CCMP
  • روش‌های مربوط به یک فروشنده خاص

مجموعه دیگری که قابلیت تغییر در آن وجود دارد، مجموعه مدیریت کلید و احراز هویت یا AKM نام دارد. در این مجموعه ا‌ین موارد قرار دارند: ابزاری که به کمک آن ایستگاه و AP هویت یکدیگر را احراز می‌کنند و ابزاری برای ساخت یک کلید اصلی برای تولید سایر کلیدها. مجموعه‌های AKM می‌توانند از گزینه‌های زیر انتخاب شوند:

  • IEEE 802.1X
  • کلیدی که از قبلی به اشتراک گذاشته‌شده است) در این حالت هیچ احراز هویت صریحی صورت نمی‌پذیرد و اگر کلیدهای ایستگاه و AP یکسان باشند، احراز هویت به‌صورت دوطرفه انجام می‌شود( .
  • روش‌های مربوط به یک فروشنده خاص.

 

 

 

 

شکل 6-2 فازهای عملیاتی IEEE 802.11i   کشف قابلیت ، احراز هویت و ارتباط

تبادل MPDU : فاز کشف شامل سه فاز تبادل اطلاعات است:

 فاز شناسایی شبکه‌ها و قابلیت‌های امنیتی:

در این تبادلی، ایستگاه‌ها، شبکه‌ای را که قرار است از آن استفاده کنند، شناسایی می‌کنند. AP به‌طور متناوب قابلیت‌های امنیتی خود را چندپخشی می‌کند (در شکلی نشان داده نشده است) ، یا قابلیت‌های امنیتی خود را که بانام RSN IE شناخته می‌شود، در یک کانالی خاصی به کمک فریم‌های Beacon پخش می‌کند یا به درخواست کاوش ارسال‌شده از سمت یک ایستگاه پاسخ می‌دهند. یک ایستگاه بی سیممی‌تواند نقاط دسترسی و قابلیت‌های امنیتی متناظر را به دو روشی کشف کند: با پایش منفعلانه فریم‌های Beacon یا با کاوش فعالانه هر کانال.

  • احراز هویت سیستم باز: هدف این توالی فریم ایجاد یک محیط بدون امنیت، برای سازگار بودن با ماشین حالت
  • IEEE 802.11i به همان صورتی است که در سخت‌افزار IEEE 802.11 پیاده‌سازی شده است. در اصلی، ایستگاه و AP به‌سادگی شناسه‌های خود را مبادله می‌کنند.
  • وابستگی: هدف این فاز، توافق بر سر مجموعه قابلیت‌های امنیتی مورداستفاده است. ایستگاه در ادامه فریم Association Request را برای AP ارسال می‌کند. در این فریم، ایستگاه مجموعه‌ای از قابلیت‌های ارسال‌شده از طرف AP را (ازجمله یک مجموعه مدیریت کلید و احراز هویت، یک مجموعه رمز زوجی و یک مجموعه رمز کلید گروهی) مشخص می‌کند. اگر هیچ قابلیت مشترکی بین AP و ایستگاه وجود نداشته باشد، در این صورت Association Request AP را رد می‌کند. در مواردی که AP رفتار درستی نشان ندهد یا ماشین دیگری فریم‌های نامرتبط را در کانال ارتباطی پخش کند، ایستگاه نیز وابستگی را بلوکه می‌کند.

فاز احراز هویت

همان‌طور که قبلاً اشاره شد، فاز احراز هویت برای احراز هویت متقابل بین ایستگاه و AS موجود در سیستم توزیع استفاده می‌شود. احراز هویت به‌این‌علت انجام می‌شود تا تنها به ایستگاه‌های مورد تائید، اجازه استفاده از شبکه داده شود و از طرف دیگر به ایستگاه این اطمینان داده شود که با شبکه درستی ارتباط برقرار کرده است.

رویکرد کنترل دسترسی : IEEE 802.1X شبکه IEEE 802.11i از استاندارد دیگری که در شبکه‌های سیمی به کار می‌رود برای کنترل دسترسی خود استفاده می‌کند. این استاندارد به کنترلی دسترسی شبکه مبتنی بر پورت در شبکه IEEE 802.1X معروف است. پروتکلی که در استاندارد IEEE 802.1X   استفاده می‌شود، پروتکل احراز هویت قابل‌گسترش یا EAP  نام دارد. استاندارد

IEEE 802.1X از اصطلاحات درخواست‌کننده. احراز کننده هویت  و سرور احراز هویت یا AS استفاده می‌کند. درزمینهٔ شبکه‌های بی سیمIEEE 802.11 ، دو اصطلاح اولی به ایستگاه و AP بازمی‌گردند. در عوض معمولاً AS، یک دستگاه جدا، در سمت سیمی شبکه و از طریقی سیستم توزیع در دسترسی است. اما می‌توان سرور را مستقیماً درون احراز کننده هویت نیز قرارداد.

قبل از پایان فازهای احراز هویت درخواست دهنده از طرف AS که به کمک – پروتکل انجام می‌شود، احراز کننده هویت تنها پیام‌های کنترلی و احراز هویت رابین این دو عبور می‌دهد؛ به‌عبارت‌دیگر کانال کنترلی IEEE 802.1X باز می‌شود، اما کانال دادهای آن همچنان بسته می‌ماند. پس از احراز هویت و تولید کلیدهای موردنیاز، احراز کننده هویت می‌تواند بر اساس محدودیت‌های کنترلی روی درخواست دهنده، داده‌ها را از این ایستگاه به شبکه منتقل کند. در این شرایط، کانال دادهای باز می‌شود.

همان‌طور که در شکل زیر 7-2 دیده می‌شود، IEEE 802.1X  از مفهوم پورت‌های کنترل‌شده و کنترل نشده استفاده می‌کند. پورت‌ها، موجودیت‌های منطقی‌ای هستند که درون احراز کننده هویت تعریف‌شده و به ارتباطات فیزیکی شبکه اشاره می‌کنند. در شبکه‌های بی سیم، یک AP تنها دو پورت فیزیکی دارد. یک پورت برای ارتباط با سیستم توزیع استفاده می‌شود  و دیگری برای ارتباط بی سیمدرون BSS  به کار می‌رود . هر پورت منطقی به یکی از این دو پورت فیزیکی نگاشت می‌شود. پورت کنترل نشده بدون توجه به وضعیت احراز هویت برای ارتباط بین ایستگاه و AS استفاده می‌شود و پورت کنترل‌شده، به‌شرط احراز هویت برای ارتباط ایستگاه با سیستم‌های دیگر شبکه مورداستفاده قرار می‌گیرد.

چارچوب IEEE 802.1X به همراه پروتکل احراز هویت قرارگرفته در لایه بالاتر، به‌خوبی با معماری BSS  که شامل تعدادی ایستگاه بی سیمو یک AP  است . سازگار است.

 

شکل 7-2 کنترل دسترسی استاندارد IEEE 802.1X

فاز مدیریت کلید

در این فاز، تعدادی کلید تولید و به ایستگاه‌ها توزیع می‌شوند. دو نوع کلید وجود دارد: کلیدهای جفتی که برای ارتباط بین ایستگاه و AP استفاده می‌شوند و کلیدهای گروهی که برای ارتباط چندگانه به کار می‌روند. شکلی زیر  ساختار دو نوع کلید را نشان می‌دهد و جدول 2-2نیز هر کلید را تعریف می‌کند. کلیدهای جفتی: این کلیدها برای ارتباط بین دو دستگاه، معمولاً ایستگاه و AP، استفاده می‌شوند. این کلیدها ساختاری سلسله مراتبی را تشکیل می‌دهند که با کلید اصلی شروع‌شده و سایر کلیدها از آن کلید به‌صورت پویا منشعب و برای مدت‌زمان محدودی استفاده می‌شوند.

در بالای این ساختار دو انتخاب موجود است. کلید از پیش به اشتراک گذاشته‌شده کلیدی است که به طریقی خارج از محدوده

IEEE 802.11i بین ایستگاه و AP به اشتراک گذاشته می‌شود. گزینه دیگر کلید جلسه اصلی است که به AAAK نیز شناخته می‌شود. این کلید، همان‌طور که گفته شد، در فاز احراز هویت با استفاده از پروتکل IEEE 802.1x  تولید می‌شود. روشی واقعی مورداستفاده برای تولید کلید به جزئیات پیاده‌سازی پروتکل بازمی‌گردد. در هر دو مورد PSK یا MSK، برای ارتباط بین AP و هر یک از ایستگاه‌ها یک کلید منحصربه‌فرد ایجاد می‌شود. تمام کلیدهای دیگری که از این کلید اصلی به دست می‌آیند، بین AP و ایستگاه منحصربه‌فرد هستند. بنابراین همان‌طور که در شکل زیر 8-2  (الف) دیده می‌شود، هر ایستگاه در هرلحظه، تنها یک مجموعه کلید دارد، درحالی‌که AP برای هر یک از ایستگاه‌ها مجموعه‌ای از چنین کلیدهایی را نگه می‌دارد.

شکل 8-2 ساختار سلسله مراتبی کلید در IEEE 802.11i

      زوج کلید اصلی ، از کلید اصلی انشعاب می‌گیرد. اگر از PSK استفاده شود، در این صورت همین کلید به‌عنوان PMK نیز به کار می‌رود،اگر از MSK استفاده شود، در این صورت PMK بخشی از MSK خواهد بود.

کلید PMK برای تولید زوج کلید موقت استفاده می‌شود. PTK درواقع از سه کلید تشکیل می‌شود که بعد از احراز   هویت دوطرفه، برای ارتباط بین ایستگاه و AP استفاده می‌شوند. برای به دست آوردن PTK، تابع 1-HMAC-SHA روی PMK و آدرس‌های MAC ایستگاه و AP اعمال می‌شود. در صورت نیاز از نانس هایی که در لحظه تولید می‌شوند نیز استفاده می‌شود. استفاده از آدرس‌های ایستگاه و AP در تولید PTK ارتباط را در مقابل حملات استراق سمع و جعل هویت محافظت می‌کند. استفاده از نانسی باعث ایجاد قدرت بیشتر در تولید کلیدهای تصادفی می‌شود.

جدول 4  کلیدهای پروتکل‌های صحت و محرمانگی داده‌ها در استاندارد IEEE 802.11i

مخفف نام هدف اندازه نوع
کلید AAA کلید احراز هویت برای استخراج PMK استفاده می‌شود =<256 کلید تولید کلید،

کلید رشته

PSK کلید از پیش مشترک PMK در محیط‌هایی با کلید از پیش مشترک می‌آید 256 کلید تولید کلید،

کلید رشته

PMK زوج کلید اصلی به همراه سایر ورودی‌ها برای اشتقاق PTK استفاده می‌شود 256 کلید تولید کلید
GMK کلید اصلی گروهی به همراه سایر ورودی‌ها برای اشتقاق GMK استفاده می‌شود 128 کلید تولید کلید
PTK زوج کلید موقت از PMK مشتق می‌شود. 128 کلید مرکب

2-8 مروری بر WAP

پروتکل کاربردی بی سیمهم  WAPاستاندارد باز جهانی است که توسط انجمن WAP توسعه‌یافته است و به کاربران امکان دسترسی از تلفن همراه و سایر پایانه‌های بی‌سیم مانند پیجر و دستیاران دیجیتالی شخصی (PDA ها) را به سرویس‌های تلفنی و اطلاعاتی، ازجمله اینترنت و وب می‌دهد. WAP برای کار با تمام فناوری‌های شبکه‌های بی سیم(به‌عنوان‌مثال، CDMA ،GSM و (TDMA طراحی‌شده است. WAP تا حد ممکن مبتنی بر استانداردهای موجود اینترنت، ازجمله IP، XML، HTML و HTTP ساخته‌شده است. نسخه فعلی WAP نسخه ۲/۰ است. تأثیر زیاد استفاده تلفن‌های همراه و پایانه‌ها از خدمات داده‌ها، محدودیت‌های بسیار زیاد دستگاه‌ها و شبکه‌هایی را به همراه دارد که آن‌ها را به هم متصل می‌کنند. این دستگاه‌ها دارای پردازنده‌های محدود و حافظه و عمر باتری کم هستند. رابط کاربری نیز محدود و صفحه‌های نمایشی نیز کوچک هستند. شبکه‌های بی سیمبا پهنای باند نسبتاً کم، زمان تأخیر بالا، در دسترس بودن غیرقابل‌پیش‌بینی و ثبات در مقایسه با اتصالات سیمی شناخته می‌شوند. به‌علاوه، تمام این ویژگی‌های به‌طور گسترده‌ای از یک دستگاه پایانه به دستگاه پایانه دیگر و از شبکه‌ای به شبکه‌ای دیگر متفاوت است. درنهایت، کاربران بی سیمهمراه، انتظارات مختلف و نیازهای متفاوتی نسبت به کاربران سیستم‌های اطلاعاتی دارند. به‌عنوان‌مثال، پایانه‌های تلفن همراه باید بسیار آسان قابل‌استفاده باشند. WAP برای مقابله با این چالش‌ها طراحی‌شده است (خیلی آسان‌تر از ایستگاه‌های کاری و کامپیوترهای شخصی). WAP شامل این موارد است:

  • مدلی برنامه‌نویسی مبتنی بر WWW
  • یک‌زبان نشانه‌گذاری، زبان نشانه‌گذاری بی سیم، مشابه XML
  • تعیین یک مرورگر کوچک مناسب برای تلفن همراه و پایانه بی سیم
  • پشته پروتکل ارتباطات سبک‌وزن
  • چارچوبی برای برنامه‌های کاربردی تلفن‌های بی سیم

مرور عملیاتی

مدل برنامه‌نویسی WAP مبتنی بر سه عنصر است: کلاینت، دروازه و سرور اصلی (شکلی زیر 9-2). از پروتکل HTTP برای انتقال محتوا بین دروازه و سرور اصلی استفاده می‌شود. دروازه به‌عنوان یک پروکسی سرور برای حوزه بی سیمعمل می‌کند. پردازنده دروازه، خدماتی برای ایجاد قابلیت‌های محدود دستگاه‌های دستی، تلفن همراه و پایانه‌های بی سیمفراهم می‌کند. به‌عنوان‌مثال، ازجمله خدمات دروازه می‌توان به این موارد اشاره کرد: خدمات DNS، تبدیل بین پشته پروتکل WAP و پشته HTTP) WWW و (TCP/IP، رمزگذاری اطلاعات از وب به شکلی فشرده‌تر که ارتباطات بی سیمرا به حداقل می‌رساند و در جهت دیگر، این اطلاعات را از شکل فشرده به شکل استاندارد قراردادهای ارتباطی وب درمی‌آورد. دروازه نیز به‌صورت دورهای اطلاعات را کش می‌کند.

شکل 9-2  مدل برنامه‌سازی WAP

شکلی 9-2 اجزای کلیدی در یک محیط WAP را نشان می‌دهد. با استفاده از WAP، کاربر تلفن همراه می‌تواند محتوای وب‌سایت روی وب سرور معمولی را مشاهده کند. وب سرور محتوا را در قالب صفحات HTML  و با استفاده از پشته پروتکل استاندارد وب (HTTP/TCP/IP) منتقل می‌کند. محتوای HTML باید از یک فیلتر HTML بگذرد. این فیلتر ممکن است کنار پروکسی WAP گذاشته شود یا در یک ماژول فیزیکی جداگانه باشد. فیلتر محتوای HTML را به محتوای WML تبدیلی می‌کند. اگر فیلتر از پروکسی جدا باشد، از HTTP/TCP/IP برای انتقال WML به پروکسی استفاده می‌شود. پروکسی WML را به یک‌شکل فشرده‌تر به نام WML دودویی تبدیل می‌کند و با استفاده از پشته پروتکل WAP آن را به کاربر تلفن همراه روی یک شبکه بی سیمانتقال می‌دهد.

اگر وب سرور قادر به تولید محتوای WML به‌طور مستقیم باشد، آنگاه WML با استفاده HTTP/TCP/IP به پروکسی می‌رسد. سپس در اینجا WML به شکل WML دودویی تبدیلی و سپس با استفاده از پروتکل WAP به گره‌های تلفن همراه منتقل می‌شود. معماری WAP برای کنار آمدن با دو محدودیت اصلی دسترسی بی سیمبه وب طراحی‌شده است: محدودیت‌های گره تلفن همراه (اندازه کوچک صفحه‌نمایشی و قابلیت ورودی محدود) و نرخ داده پایین شبکه‌های بی سیمدیجیتالی. حتی معرفی شبکه‌های بی سیمMOBILE 3G که ارائه‌دهنده نرخ‌های داده با پهنای باند زیاد است، گره‌های کوچک موبایلی، قابلیت‌های ورودی و نمایش محدود خود رادارند. بنابراین، WAP یا قابلیتی مشابه را برای آینده نامحدود نیاز خواهد داشت.

 

2-9 زبان نشانه‌گذاری بی سیم

WMLبرای توصیف محتوا و قالب برای ارائه داده‌ها در دستگاه‌های با پهنای باند محدود، اندازه صفحه محدود و قابلیت ورودی کاربر محدود طراحی‌شده است. این زبان برای کار با صفحه‌کلید تلفن، قلم و دیگر دستگاه‌های ورودی رایج برای تلفن همراه و ارتباطات بی سیمطراحی‌شده است. WML اجازه استفاده از صفحه‌نمایشی دوخطی را که در برخی از دستگاه‌های کوچک پیدا می‌شوند و همچنین صفحات نمایشی بزرگ‌تر روی تلفن‌های هوشمند را می‌دهد. یک مرورگر وب در یک PC معمولی ، محتوای کد شده با زبان نشانه‌گذاری ابرمتن (HTML) را نشان می‌دهد. برای ترجمه یک صفحه وب HTML  کد شده به WML با محتوا و فرمت  مناسب برای دستگاه‌های بی سیم، بسیاری از اطلاعات، به‌ویژه گرافیک و پویانمایی، باید حذف شوند. WML مبتنی بر اطلاعات متنی است تلاش می‌کند ماهیت صفحات وب نشان دهد و دسترسی آسان کاربران دستگاه‌های تلفن همراه را فراهم می‌کند.

ویژگی‌های مهم WML عبارت‌اند از :

 پشتیبانی از متن و تصویر: فرامین قالب بندی و چیدمان متن و قابلیت تصویر محدود ارائه‌شده است.

استعاره سازمانی کارت و عرشه: اسناد WML به واحدهای کوچک معینی از تعاملات کاربر به نام کارت‌ها تقسیم می‌شوند.      کاربران بین کارت‌ها حرکت می‌کنند. یک کارت یک یا چند واحد از تعاملی (منو، یک صفحه متنی یا یک فیلد متنی ورودی ) را مشخص می‌کند. عرشه WML شبیه به یک صفحه HTML است که توسط یک آدرس وب URL  مشخص می‌شود و واحد انتقال محتوا است.

پشتیبانی برای حرکت بین کارت‌ها و عرشه : WML قابلیت‌هایی برای مدیریت رویدادها فراهم می‌کند . این قابلیت‌ها برای پیمایش  یا اجرای اسکریپت‌ها به کار می‌روند.

در یک مرورگر مبتنی بر HTML یک کاربر با کلیک کردن روی لینک‌ها به صفحات مختلف می‌رود . در یک دستگاه تلفن همراه باقابلیت‌های WML یک کاربر با تعامل با کارت‌ها بین صفحات حرکت می‌کند.

2-10 معماری WAP

شکل 10-2 از سند معماری WAP، معماری پیاده‌سازی شده در یک کلاینت WAP را نشان می‌دهد. درواقع، این‌یک مدل پنج لایه است. هر لایه مجموعه‌ای از کارکردها یا سرویسی‌ها را به سایر سرویسی‌ها و برنامه‌های کاربردی، از طریق مجموعه‌ای از رابط‌های معین، فراهم می‌کند. هر یک از لایه‌های معماری، علاوه بر امکان دسترسی از لایه‌های بالاتر، قابل‌استفاده در سایر سرویسی‌ها و برنامه‌های کاربردی هستند. بسیاری از سرویسی‌های تعریف‌شده در این پشته، با بیش از یک پروتکل ارائه‌شده‌اند. به‌عنوان‌مثال، ممکن است هر یک از پروتکل‌های HTTP یا WSP سرویس انتقالی ابر رسانه را فراهم کند. مجموعه‌هایی از سرویسی‌ها تعریف‌شده‌اند که قابل‌دسترسی در هر پنج لایه‌اند. این سرویسی‌ها در دودسته سرویس‌های امنیتی و کشف سرویس قرار می‌گیرند.

شکل 10-2 معماری WAP

       سرویس‌های امنیتی: WAP شامل سازوکارهایی برای ارائه محرمانگی، صحت، احراز هویت و انکارناپذیری است . خدمات امنیتی این موارد را در برمی‌گیرد:

  • کتابخانه‌های رمزنگاری: این کتابخانه سطح چارچوب برنامه کاربردی ارائه‌دهنده خدماتی برای امضای داده‌ها ، صحت و انکارناپذیری را فراهم می‌کند.
  • احراز هویت: WAP سازوکارهای مختلفی را برای احراز هویت کلاینت و سرور فراهم می‌کند. برای احراز هویت کلاینت‌ها برای پروکسی‌ها و سرورهای برنامه کاربردی، ممکن است در لایه خدمات جلسه ، از احراز هویت کلاینت    HTTPاستفاده شود. در لایه خدمات انتقال ، WTLS و TLS برای احراز هویت کلاینت و سرور به کار می‌روند.
  • هویت: ماژول هویت WIM ) WAP ) کارکردهایی را فراهم می‌کند که برای شناسایی و احراز هویت کاربر موردنیاز هستند.
  • PKI : مجموعه‌ای از سرویس‌های امنیتی است که قادر به استفاده و مدیریت از رمزنگاری و گواهی کلید عمومی است.
  • انتقال امن : پروتکل‌های لایه خدمات انتقال برای انتقال امن روی‌داده نگارها و اتصالات تعریف می‌شوند. WTLS برای انتقالی ایمن روی‌داده نگارها و TLS برای انتقال ایمن روی اتصالات (به‌عنوان‌مثال، TCP (تعریف می‌شوند.
  • حامل امن: برخی از شبکه‌های حاملی، امنیت در سطح حامل را فراهم می‌کنند. به‌عنوان‌مثال، شبکه‌های IP  به‌ویژه درزمینهٔ های IPV6 امنیت در سطح حامل را با IPSec تأمین می‌کنند.

      کشف سرویس: مجموعه‌ای از خدمات کشف سرویسی وجود دارد که کلاینت WAP و وب سرور را قادر به تعیین توانایی‌ها و خدمات موجود می‌کنند. نمونه‌هایی از خدمات کشف سرویسی، بدین شرح است.

  • EFI : رابط عملکرد وظیفه‌ای خارجی (EFI) به برنامه‌های کاربردی اجازه می‌دهد کارکردها یا خدمات خارجی موجود را در دستگاه کشف کنند.
  • تدارک : این سرویس به یک دستگاه اجازه می‌دهد با پارامترهای لازم برای دسترسی به خدمات شبکه مهیا شود.
  • کشف پیمایش: این (به‌عنوان‌مثال، پروکسی کشی امن) در طی دوره‌های پیمایش از قبیلی زمان دانلود منابع از سرور ابر رسانه را می‌دهد
  • جستجوی سرویسی: این سرویس برای کشف پارامترهای یک سرویس از طریق جستجوی یک دایرکتوری بانام ارائه می‌کند . یک نمونه از این مورد ، سیستم نام حوزه (DNS) است.

2-11 شیوه‌های تشخیص هویت وایرلس

در این مطلب می‌خواهیم درباره شیوه‌های تشخیص هویت وایرلس گفتگو کنیم . در استاندارد 802.11 دو متد برای تشخیص هویت کاربران وایرلس به یک نقطه دسترسی یا همان اکسس پوینت وجود دارد .

شیوه‌های تشخیص هویت وایرلس عبارت‌اند از

سیستم باز (Open System)

سیستم باز (Open System) که هیچ نوع مکانیزم امنیتی را برای کاربر ایجاد نمی‌کند و فقط یک اتصال ساده به سیستم را برقرار می‌کند .

تشخیص هویت کلید اشتراکی

تشخیص هویت کلید اشتراکی که یک‌رشته هش شده به همراه کلید WEP را به‌منظور تشخیص هویت کاربر در سیستم در اختیار دارد

جدول زیر استاندارهای امنیتی وایفای و نوع رمزنگاری آن‌ها را باهم مقایسه می‌کند .

جدول 5 استاندارهای امنیتی  Wifi

WEP      اولین گزینه امنیتی برای استاندارد وایرلس 802.11 بود . WEP به‌منظور رمزنگاری داده در WLAN بود و به‌صورت اختیاری می‌تواند از کلید اشتراکی به‌منظور تشخیص هویت کاربران استفاده کند . WEP از رمز RC 64 Bit یا کلید رمز 128 بیتی به‌منظور رمزنگاری داده در انتقال در لایه دوم استفاده می‌کند . این کلید WEP شامل یک کلید تعریف‌شده توسط کاربر هست که یا 40 بیتی است یا 104 بیتی و یکی از این دو مدل کلید با یک حامل اولیه 24 بیتی ترکیب‌شده و کلید نهایی WEP یا 64 بیت یا 128 بیت هست را به وجود می‌آورد . اکنون استاندارد WEP دیگر یکی از موارد مطمئن و امن  شیوه‌های تشخیص هویت وایرلس به شمار نمی‌رود .

پروسه‌ای که در آن RC4 از بیشینه‌ها استفاده می‌کند ضعف واقعی WEP است که به هکر این امکان را می‌دهد تا این کلید را کرک کند . این متد کرکینگ WEP را حمله FMS می‌نامند که از بایت‌های خروجی رمزنگاری‌شده به‌منظور تشخیص محتمل‌ترین بایت‌های کلید استفاده می‌کند . شیوه هک WEP به‌صورت رسمی در محصولاتی بانام AirSnort , WEPCrack و Aircrack به ثبت رسیده است . گرچه یک هکر می‌تواند با استفاده از متدهای بروت فورس WEP را هک کند ولی متد حمله FMS رایج‌ترین تکنیک حمله است .

WPA        پروتکل TKIP را به کار می‌گیرد که پیاده‌سازی ایمن‌تری از RC4 برای رمزنگاری داده‌هاست WPA دو مدل دارد . WPA Personal که از یک کلمه عبور اسکی برای تشخیص هویت استفاده می‌کند درصورتی‌که WPA Enterprise از سرور رادیوی به‌منظور تشخیص هویت کاربران استفاده می‌کند . WPA Enterprise انتخاب ایمن‌تری است ولی نصب و پیاده‌سازی سرور رادیوی هزینه و زمان بیشتری می‌برد . پروتکل TKIP کلید رمزنگاری داده را پیچیده‌تر می‌سازد تا مانع از آسیب‌پذیری‌های احتمالی همانند آنچه در WEP وجود دارد شود .

WPA2      از استاندارد AES به‌منظور رمزنگاری داده انتقالی استفاده می‌کند و الگوریتمی نفوذناپذیر در نظر گرفته می‌شود .

2-12 بررسی کلی‌تر استانداردهای امنیتی شبکه بی سیم

WEP

Wired Equivalent Privacy     اين پروتکل به‌عنوان اولين استاندارد براي 802.11 در سپتامبر سال 1999معرفي شد. اين روش ازنظر امنيتي بسيار ضعيف عمل می‌کند. در اين الگوريتم از کليدهايي  در مبناي 16 براي رمزگذاری استفاده می‌شود که طول کليد بستگي به طول رشته ورودي دارد.
در حالت استاندارد از کليدي به طول 40 بيت براي رمزنگاری استفاده می‌شود که در طول رمزنگاری به 24 بيت به آن اضافه می‌شود.البته در اين زمان دولت امريکا براي طول کليد دچار محدوديت بود و براي رمزنگاری تنها از همين کلیدها استفاده می‌شود اما بعدها که محدودیت‌ها برداشته شد از کلیدهاي با طول بيشتر از 64 نيز استفاده شد . درنهایت باگذشت زمان اين نوع رمزگذاري شکسته شد .

طول بسته رمز شده با توجه به طول رشته‌ها :
اگر طول رشته 10 هگزادسيمال از کارکترهاي (A-F , 0-9) باشد براي رمزنگاری هر کارکتر را با 4 بيت رمز می‌کنیم پس 40=4*10 و با اضافه کردن 24 بيت به طول بسته ، داده شما پس از رمزنگاری به يک بسته 64 بيتي تبديل می‌شود. اما  اگر طول رشته موردنظر 26 هگزادسيمال باشد طول بسته ارسالي به 128 بيت تغيير می‌کند (104=4*26 و  128=24+104) و تنها در حالتي که براي موارد خاصي استفاده می‌شود طول داده شما با 256 بيت افزايش می‌شود که در اين روش  232=4*58 و 256=24+232.

شکل 11-2 بسته رمز شده WEP

در اين روش براي Authentication کردن دو راه وجود دارد :

Open System Authentication :
در اين روش کلاينت نيازي به تهيه يک مجوز براي ارتباط با Access Point ندارد. در حقيقت هيچ Authentication صورت نمی‌گیرد.کلاينت بدون اينکه هويتش تائيد شود می‌تواند به شبکه متصل شود اما اگر کليد درست را نداشته باشد نمی‌تواند بسته‌هایی که رمز شده را باز کند .

Shred Key Authentication:

در اين روش چهار مرحله براي احراز هويت کلاينت وجود دارد.

  1.  در اولين گام کلاينت درخواست احراز هويت خود را براي Access Point‌ارسال می‌کند.
  2.  در گام دوم Access Point با ارسال بسته‌ای حاوي اطلاعاتي ساده به کلاينت سعي می‌کند کلاينت را به چالش بکشد.
  3. در اين مرحله کلاينت محتويات بسته را با کليد WEP رمز کرده و براي Access Point ارسال می‌کند.
  4. و درنهایت Access Point بسته دريافتي را رمزگشایی کرده و درصورتی‌که محتويات بسته همان محتويات ارسالي خودش باشد هويت کلاينت تائید می‌شود.

در نگاه اول تائيد هويت به روش دوم بهتر است اما در حقيقت این‌طور نيست و تائيد هويت کاربر درروش اول بهتر است البته بايد توجه کنيد که هیچ‌کدام از اين دو روش امنيت بالايي را براي شبکه شما فراهم نمی‌کنند .

 

WPA چیست؟

این پروتکل در دسترسی محافظت‌شده وای-فای و سازگار با استاندارد امنیتی 802.11i است. این پروتکل درواقع یک نسخه نرم‌افزاری بروز شده از WEP است اما ازلحاظ سخت‌افزاری ممکن است هنوز هم به آپدیت‌هایی نیاز داشته باشد.درگذشته مکانیزم امنیتی اصلی مورداستفاده بین کلاینت و اکسس پوینت رمزنگاری WEP بوده است. مهم‌ترین اشکال در مورد رمزنگاری WEP این است که هنوز هم از کلید رمزنگاری استاتیک استفاده می‌کند. هکرها با استفاده از ابزارهای رایگانی که در اینترنت موجود است، به‌راحتی از این ضعف بزرگ استفاده لازم را می‌برند.موسسه IEEE درباره WPA این‌گونه توصیف کرده است: ” توسعه‌ای در پروتکل‌های 802.11 که توانایی بالا بردن امنیت را دارد.” امروزه هر شرکت تولیدکننده وای-فای از چنین استانداردی جهت بالا بردن سطح امنیت استفاده می‌کند که اصطلاحاً به آن  Wi-Fi protected access گویند.   امنیت رمزنگاری دیتا در WPA بالا می‌رود به‌نحوی‌که پیام‌ها با استفاده از (Temporal Key Integrity Protocol(TKIP از (Message Integrity Check(MIC عبور کرده و امنیت رمزنگاری به این صورت بالا می‌رود. ترافیک unicast کلید رمزنگاری را پس از هر بار انتقال فریم با استفاده از TKIP تغیر می‌دهد. کلید استفاده‌شده در TKIP به ازای هر فریم تغیر می‌کند و به‌صورت خودکار بین اکسس پوینت و کلاینت‌ها هماهنگ می‌شود.

 

  • ( TKIP (Temporal Key Integrity Protocol این پروتکل از جریان رمزنگاری RC4 به همراه کلیدهای 128 بیتی و 64 بیتی برای احراز هویت استفاده می‌کند. TKIP با عدم استفاده مجدد از کلیدهای تولیدشده، آسیب‌پذیری که در رمزنگاری WEP وجود داشت را به حداقل می‌رساند.
  • کلید موقتی 128 بیتی: تحت عملکرد پروتکل TKIP، کلاینت با یک کلید موقت 128 بیتی کار را شروع کرده که در ادامه با مک آدرس کلاینت و IV برای ایجاد کلیدی که در رمزنگاری دیتا بکار می‌رود، تحت الگوریتم RC4 ترکیب می‌شود. این مکانیزم با یک شمارنده ترتیبی جهت جلوگیری از حملات احتمالی Replay اجرایی می‌شود.
  • WPA توسعه‌یافته WEP است: TKIP عملکرد پروتکل WEP را با مکانیزم تغیر کلیدها برای رمزنگاری‌ای مطمئن بهینه کرده است. کلیدهای موقتی به ازای هر 10 هزار بسته تغیر میابند.

WPA  چگونه کار می‌کند؟

روی رمزنگاری مؤثر payload، رمزنگاری WPA مراحل زیر را انجام می‌دهد:

  1. کلید موقت رمزنگاری، آدرس انتقال و شمارنده TKIP به‌عنوان ورودی‌های الگوریتم RC4، باعث ایجاد یک جریان کلید می‌شوند.
  2. MAC Service Data Unit (MSDU )و MIC توسط الگوریتم Michael با یکدیگر ترکیب می‌شوند.
  3. ترکیب حاصله از MSDU و MIC به‌منظور ایجاد MAC Protocol Data Unit (MPDU)، بخش (فراگمنت) می‌شوند.
  4. یک مقدار 32 بیتی برای بررسی یکپارچگی (ICV) برای MPDU محاسبه می‌شود.
  5. ترکیب MPDU و ICV به همراه یک جریان کلید برای رمزنگاری دیتا بکار می‌رود.
  6.  IV به دیتای رمز شده جهت تولید فریم مک اضافه می‌شود.

WPA2چیست؟

پروتکل امنیتی (WPA2 ( Wi-Fi Protected Access 2 پروتکلی است که کاملاً با استاندارد 802.11i همخوانی و همسویی دارد. این پروتکل بیشتر خصوصیات امنیتی را که WPA پشتیبانی نمی‌کند را تحت پوشش خود قرار می‌دهد و در مقایسه با آن حفاظت از اطلاعات و کنترل دسترسی قوی‌تر دارد. این پروتکل امنیت را با سطح بالایی در شبکه ایجاد می‌کند بنابراین فقط کاربران مجاز می‌توانند به آن دسترسی داشته باشند. WPA2 توسط الگوریتم رمزنگاری AES پیاده‌سازی شده است و درجه امنیتی که ایجاد می‌کند مطابق با سطح دولتی است.

 

WPA2 در دو حالت عمل می‌کند:

WPA-Personal      : این نسخه از پسوردهای در نظر گرفته‌شده Pre-shared key، (PSK) برای محافظت از دسترسی‌های غیرمجاز به شبکه استفاده می‌کند. در حالت PSK، هر دیوایسی در شبکه وایرلس ترافیک را با استفاده از کلید 256 بیتی رمزنگاری می‌کند که می‌تواند در قالب 8 تا 63 کاراکتر ASCII وارد شود.

WPA-Enterprise      : در این روش کاربر شبکه از طریق یک سرور تائید هویت می‌شود. برای این کار از EAP و یا RADIUS برای احراز هویت مرکزی کلاینت و از شیوه‌های مختلف مثل Token card، kerberos، Certificate و … برای این کار استفاده می‌شود.اعتبار ورود به شبکه وایرلس از طرف سرور به کلاینت اختصاص میابد که به‌واسطه آن مجوز لازم برای اتصال به شبکه وایرلس را پیدا می‌کند.

WPA2 چگونه عمل می‌کند؟

در اینجا قبل از وارد شدن به بحث اصلی لازم است شمارا با مفهوم CCMP آشنا کنیم. CCMP یا پروتکل CCM، پروتکل رمزنگاری ست که برای محصولاتی که بر مبنای استاندارد )که اصلاح‌شده استاندارد IEEE 802.11 است) در شبکه وایرلس کار می‌کنند طراحی‌شده است. این پروتکل مکانیزمی سطح بالا در مخفی سازی دیتا در قالب بسته‌های اطلاعاتی دیگر است که برای محرمانگی دیتا طراحی‌شده است و بر اساس استاندارد AES کار می‌کند.حال به چگونگی کارکرد WPA2 برمی‌گردیم. درروش CCMP، احراز هویت‌های اضافه بر سازمان دیتا (( AAD بر روی هدر MAC و با رمز کردن آن انجام می‌شود و شامل فرآیند رمزنگاری CCM است. این فرآیند کل فریم را از دست‌کاری احتمالی که بر روی بخش‌های رمز نشده فریم ممکن است رخ دهد، حفظ می‌کند. به عبارتی WPA2 امنیت سطح بالا و احراز هویت‌های قوی خود را علاوه بر حالات موجود، بر روی هدر MAC از یک فریم و با استفاده از پروتکل CCM هم انجام می‌دهد.

2-13 ایمن‌سازی شبکه‌های وایرلس خانگی

عده زیادی شبکه‌های وایرلس خانگی خود را باعجله نصب و تنظیم می‌کنند تا با سریع‌ترین زمان ممکن به اینترنت متصل شده و قادر به استفاده از آن شوند . محصولات Small office small home ( SOHO) موجود در بازار این امکان را با استفاده از ویزاردهای سریع آسان و راحت کرده است . “ولی ” همیشه سریع‌ترین راهکار ایمن‌ترین راهکار نیست . پیکربندی قابلیت‌ها و ویژگی‌های امنیتی بیشتر ممکن زمان‌بر باشد و برای کاربران ساده خانگی قابل‌لمس نباشد . نتیجه این خواهد بود که آن‌ها هیچ مکانیزم امنیتی اضافی را استفاده نخواهند کرد .

 

امروزه محصولات شبکه وایرلس در همه‌جا موجود است و از قیمت بالایی برخوردار نیست . به‌صورت که هر شخصی به‌سادگی و با کمترین هزینه و زمان ممکن می‌تواند در چند دقیقه آن را پیکربندی کند . این گستردگی نشان می‌دهد که تعداد زیادی نفوذ گرها با پتانسیل بالا در اطراف شبکه وایرلس شما هستند . همچنین اکثر این تجهیزات طوری طراحی‌شده‌اند که شما بتوانید به‌سادگی آن‌ها را متصل کرده و بدون اعمال کمترین لایه امنیتی از آن استفاده کنید . در این شرایط صرف کمی زمان برای اعمال لایه‌های امنیتی بیشتر کاری منطقی و معقول است . پیشنهادت زیر امنیت شبکه خانگی شمارا بهینه‌تر و بهتر می‌کند :

 

 

تغییر نام کاربری و پسورد پیش‌فرض مودم :

هنگامی‌که شما قصد پیکربندی نقطه دسترسی وایرلس (Wifi access point) خود رادارید معمولاً از طریق دسترسی به یک مرورگر این کار را انجام می‌دهید . تقریباً همه اکسس پوینت ها و روترها یک پسورد ادمین دارند که برای ورود به آن نیاز هست تا بتوان آن را پیکربندی کرد . به‌منظور پیکربندی این تجهیزات کارخانه سازنده یک یوزر و پسورد پیش‌فرض را ارائه می‌کنند که معمولاً Admin است . به‌منظور ایمن‌سازی دستگاه وایرلس خود بایستی این اسامی را از حالت پیش‌فرض به یک نام و پسورد اختصاصی مدنظر خود تغییر دهید . به‌محض اینکه این اسامی را تغییر دادید شما اولین گام را درزمینهٔ ایمن‌سازی اکسس پوینت یا روتر خود برداشته‌اید .

استفاده از رمزنگاری WEP/WPA  :

اکثر دیوایس های وایرلس از یکی از انواع رمزنگاری پشتیبانی می‌کنند . تکنولوژی های رمزنگاری اطلاعات انتقال داده‌شده شما از طریق امواج وایرلس را تغییر داده و کد می‌کنند (رمزنگاری) می‌کنند درنتیجه هکرها به‌آسانی قادر به استفاده از آن‌ها نخواهند بود . شما بایستی قوی‌ترین نوع رمزنگاری را به این منظور انتخاب کنید . همان‌طور که در مباحث قبل گفتیم WEP رمزنگاری ضعیفی است و راه نفوذ به آن توسط نرم‌افزارهایی به‌سادگی امکان‌پذیر است . یک راهکار بهتر استفاده از مکانیزم WPA است . WPA حفاظت بهتر و همچنین راحت‌تری را امکان‌پذیر می‌کند.

تغییر SSID پیش‌فرض :

نقاط دسترسی از یک نام پیش‌فرض شبکه (SSID) استفاده می‌کنند تا کاربران شبکه بتوانند به‌راحتی به آن دسترسی پیدا کنند . تولیدکنندگان تجهیزات وایرلس معمولاً از نام تجاری خود برای SSID به‌صورت پیش‌فرض استفاده می‌کنند . برای مثال مودم TPLink و یا Broadcam در مودم DLink و .. عدم‌تغییر این نام به‌خودی‌خود باعث نفوذ همسایگان به شبکه وایرلس شما نمی‌شود ولی می‌تواند آغاز یک حمله را موجب شود . در دروس مربوط به جمع‌آوری اطلاعات آموختید که اولین گام برای شروع یک حمله توسط هکر جمع‌آوری اطلاعات (Gathering Information) است . مثلاً با دانستن این نام مودم TP link هکر بدون هیچ زحمتی تشخیص می‌دهد که مودم شما TPlink است و با استفاده از ضعف‌هایی که در مودم‌های تی پی لینک وجود دارد می‌تواند طرح ریزی یک حمله را انجام دهد . علاوه برای عدم‌تغییر SSID پیش‌فرض نشانه ای از یک شبکه با پیکربندی ضعیف است و پتانسیل حمله به آن را افزایش می‌دهد .

عدم استفاده از قابلیت اتصال خودکار به شبکه‌های وایرلس :

اکثر سیستم عامل ها ازجمله ویندوز که اکثر ما از آن استفاده می‌کنیم , این قابلیت رادارند که به‌صورت خودکار به شبکه‌های وایرلسی که در محدوده هستند متصل شوند . اگر چه این قابلیت به‌منظور بهینه شدن رابط کاربری ویندوز اعمال شده است ولی باعث می‌شود که سیستم عامل شما به شبکه‌های ناشناسی که خود را وایفای رایگان معرفی می‌کنند متصل شوند که درنتیجه آن باعث می‌شود سیستم شما در معرض ریسک بالایی قرار گیرد . چون افرادی هستند که خود را بانام‌های جعلی مثل اینترنت رایگان معرفی می‌کنند و به‌محض اتصال شما به این شبکه‌ها هر داده انتقالی توسط شما از مسیر آن‌ها عبور داده می‌شود .

فعال‌سازی تنظیمات فایروال بر روی لپ‌تاپ و یا نقطه دسترسی وایرلس خود :

اکثر روترهای شبکه (شامل مودم‌های خانگی) دارای قابلیت درون ساخت فایروال هستند . ولی همچنین قابلیت غیرفعال کردن آن نیز قرار داده‌شده است . مطمئن شوید که این قابلیت در مودم ما فعال است . علاوه بر این شما بایستی از فایروال در سیستم عامل خود استفاده کنید (درصورتی‌که از یک آنتی‌ویروس خوب استفاده می‌کنید این قابلیت به‌صورت خودکار در سیستم شما اعمال شده است ) .

کاهش قدرت انتقال وایفای :

این قابلیت در همه روترها و نقاط دسترسی وایرلس وجود ندارد ولی برخی به شما این امکان را می‌دهند که قدرت انتقال وایفای خود را کاهش دهید که درنتیجه آن محدوده پوشش سیگنال وایفای شما کاهش می‌یابد . شاید شما فقط بخواهید که تنها سیگنال وایفای در داخل آپارتمان خودتان وجود داشته باشد و نیازی به دسترسی آن از آپارتمان همسایه (بلا نسبت دزد) وجود نداشته باشد . درنتیجه تعیین محدوده سیگنال به امنیت شما اضافه خواهد کرد .

غیرفعال کردن مدیریت ریموت :

اکثر روترهای وایرلس توانایی مدیریت ریموت از طریق اینترنت را فراهم می‌کنند . در حالت ایده آل شما فقط باید از این ویژگی زمانی استفاده کنید که یک رنج محدود در شبکه خود استفاده کرده باشید . در غیر اینصورت هر کسی می‌تواند به‌عنوان ریسکی برای دسترسی به روتر شما باشد . به‌عنوان یک اصل یک ویژگی , قابلیت و یا سرویس را تنها زمانی استفاده کنید که به آن نیاز دارید . در غیر اینصورت آن را غیر فعال کنید .

مخفی کردن SSID :

یک حمله رایج علیه وایرلس مستلزم استراق سمع یا همان شنود است . این‌یک حمله آسان است و معمولاً بر روی نقاط دسترسی وایرلس اتفاق می‌افتد . چرا ؟ زیرا معمولاً بسته ها به‌صورت رمزنگاری نشده در مسیر شبکه بی سیممنتقل می‌شوند . درنتیجه پسوردهایی که از پروتکل‌هایی مثل FTP , POP3 و SMTP منتقل می‌شوند , به‌صورت متن ساد (نه به‌صورت متن رمزنگاری‌شده) هستند و در صورت کپچر شدن باعث دسترسی به این رمزها می‌شود .

SSID یا Service Set Identifier که به معنی شناساگر مجموعه خدمات است, نام شبکه وایرلس است و می‌تواند در داخل فریم‌های beacon و همچنین فریم‌های بررسی پاسخ باشد / اگر دو شبکه وایرلس ازنظر فیزیکی به هم نزدیک باشند SSID به‌منظور شناسایی و تفاوت بین دو شبکه استفاده می‌شود . به دلیل اینکه SSID به‌صورت متن ساده (و نه رمزنگاری‌شده) در داخل این فریم ها قرارگرفته , بایستی به شیوه ای امنیت را برقرار نمود .اکثر اپلیکیشن ها توانایی این رادارند که SSID را مخفی کنند . هرچند ابزارهایی وجود دارد که به‌سادگی آن را نمایان نمود .

مک فیلترینگ و مک اسپوفینگ :

یکی از سدهای امنیتی اولیه استفاده از تکنولوژی مک فیلترینگ بود . این تکنولوژی به این صورت عمل می‌کند که لیست مک آدرس‌های مجاز استفاده از نقطه دسترسی وایرلس به دیوایس داده می‌شود و سیستم‌های دیگر با مک آدرس‌های متفاوت به هیچ وجه قادر به اتصال به نقطه دسترسی نخواهند بود . در ابتدا به نظر می رسید که این سیستم قابلیت بالایی در ایجاد امنیتی پایدار در شبکه وایرلس ایجاد خواهد کرد ولی این موضوع فقط مدتی به طول انجامید . خیلی زود شیوه ای راحت برای دور زدن این متد توسط هکرها کشف شد . چگونه ؟ هکرها به‌راحتی و با استفاده از نرم‌افزارهایی خاص مک آدرس کاربرانی که مجاز به استفاده از شبکه وایرلس بودند را کشف کرده و بازهم با نرم‌افزارهایی دیگر یکی از این مک آدرس‌های مجاز را انتخاب کرده و مک آدرس کارت شبکه وایرلس سیستم خود را به مک آدرس مجاز تغییر داده و به‌راحتی توانایی دسترسی به شبکه را پیدا می‌کردند

 

X