امنیت شبکه های بیسیم

ارسالی عباس

شبکه های wire less

مقدمه

شبكه هاي كامپيوتري همانند بسياري از ابداعات ديگر ، حاصل رقابت هاي دوران جنگ سرد بين بلوك غرب وشرق است . اززماني كه شوروي سابق توانست در حركتي غير منتظره موشكي را به فضا بفرستد و پس از آن در حركتي غير منتظره تر ، نخستين انسان را به فضا اعزام كند، ايالات متحده لحظه اي آرام و قرار نداشت تا بتواند عقب ماندگي هاي خود را جبران كند ودر ميدان مسابقه ، گوي سبقت را از حريف بربايد. همين موضوع سرچشمه فعاليت هاي بسيار ديري شد كه يكي از آنها پروژه آرپا (ARPA) بود. پروژه اي كه وزارت دفاع آمريكا براي بررسي وضعيت جهان در پس از جنگ جهاني اتمي مي توانست باشد روي مي داد، وضعيت زير ساخت ها و ارتباطات چگونه مي شد و چگونه بايد سيستم ها را به نوعي طراحي كرد كه ارتباطات بين آنها برقرار و محفوظ بماند. براي همين آژانس آرپا تصميم گرفت ابتدا روي موضوع اتصال Main Frame برنامه ريزي كند و به همين منظور قرار دادي را براي تحقق اين امر با دانشگاه MIT منعقد نمود. در اواخر سال 1960 ميلادي ، اولين شبكه كامپيوتر متولد شد . شبكه هاي متشكل از چهار كامپيوتر كه در دانشگاه هاي MIT ( دو كامپيوتر ) . كاليفرنيا و استنفورد مستقر بودند. پسوند net به نام آرپا اضافه شد و آرپانت متولد گرديد .

شبكه هاي كامپيوتري از سال 1972به عموم معرفي شدند و آرپانت كه شبكه اي از كامپيوترهاي دانشگاه ها را فراهم آورده بود از طبقه بندي هاي ارتش خارج گرديد. متعاقب همين امر ، شركت زيراكس كه آزمايشگاه افسانه اي PARC را در اختيار داشت . كار روي شبكه هاي كامپيوتري را شدت بخشيد و درسال 1973 رساله دكتراي باب متكالف را آزمايش كرد . نتيجه اين آزمايش موفقيت آميز چيزي شد كه نام قرار داد يا پروتكل اترنت را برآن نهادند. پروتكلي كه هنوز هم محبوبترين پروتكل شبكه بندي در سراسر جهان است و ميليون ها كامپيوتر از طريق آن با يكديگر ارتباط برقرار مي كنند. ابداع مهم ديگري كه راه توسعه شبكه ها را هموارتر تمود ابداع مهم ديگري كه راه توسعه شبكه ها را هموارتر نمود ابداع روش Packet Switching بود. اين روش جايگزين روش Circuit Switching شد از آن متداول بود. در نتيجه با روش جديد ديگر نيازي نبود كه يك ارتباط نقطه به نقطه ويك به يك بين كامپيوتر سرويس دهنده و سرويس گيرنده وجود داشته باشد . همين مفهوم هنگامي كه درسال 1974 با پروتكل TCP/IP عجين گرديد ويژگي هاي منحصر به فرد خود را بيشتر نشان داد. توسعه همين روندها منجر به پيدايش يك شبكه سراسريي شد كه مي توانست به خوبي در مقابل يك حمله اتمي تاب بياورد وبدون داشتن مركزيت واحد قابل كنترل باشد. اين گونه اينترنت به عنوان گسترده ترين و بزرگترين شبكه جهاني پديد آمد و همان گونه كه ازنام برمي آيد شبكه اي است بين شبكه ها ، تركيب جديد inter به همراه net به همين مفهوم اشاره داد. واين شبكه سراسري اكنون چنان درهمه جا خود را گسترانده است وگاهي اوقات كاركرد آن چنان بديهي مي نمايد كه براي برخي مفهوم شبكه همسان مفهوم اينترنت است وبسياري اين دو واژه را به جاي يكديگر به كار مي برند.

برای پياده سازی امنيـت در شبکه های بدون کابل از سه روش متفاوت استفاده می شود :

• WEP : Wired Equivalent Privacy . در روش فوق ، هدف توقف ره گيری سيگنال های فرکانس راديوئی توسط کاربران غير مجاز بوده و برای شبکه های کوچک مناسب است . علت اين امر به عدم وجود پروتکل خاصی به منظور مديريت “کليد ” بر می گردد. هر “کليد ” می بايست به صورت دستی برای سرويس گيرندگان تعريف گردد. بديهی است در صورت بزرگ بودن شبکه ، فرآيند فوق از جمله عمليات وقت گير برای هر مدير شبکه خواهد بود . WEP، مبتنی بر الگوريتم رمزنگاری RC4است که توسط RSA Data Systemارائه شده است . در اين رابطه تمامی سرويس گيرندگان و Aceess Pointها بگونه ای پيکربندی می گردند که از يک کليد مشابه برای رمزنگاری و رمزگشائی استفاده نمايند .
• SSID: Service Set Identifier. روش فوق به منزله يک “رمزعبور” بوده که امکان تقسيم يک شبکه WLANبه چندين شبکه متفاوت ديگر که هر يک دارای يک شناسه منحصر بفرد می باشند را فراهم می نمايد . شناسه های فوق، می بايست برای هر access pointتعريف گردند. يک کامپيوتر سرويس گيرنده به منظور دستيابی به هر شبکه ، می بايست بگونه ای پکربندی گردد که دارای شناسه SSIDمربوط به شبکه مورد نظر باشد . در صورتی که شناسه کامپيوتر سرويس گيرنده با شناسه شبکه مورد نظر مطابقت نمايد ، امکان دستيابی به شبکه برای سرويس گيرنده فراهم می گردد .
• فيلترينگ آدرس های ( MAC ( Media Access Control : در روش فوق ، ليستی از آدرس های MAC مربوط به کامپيوترهای سرويس گيرنده، برای يک Access Point تعريف می گردد . بدين ترتيب ، صرفا” به کامپيوترهای فوق امکان دستيابی داده می شود . زمانی که يک کامپيوتر درخواستی را ايجاد می نمايد ، آدرس MAC آن با آدرس MAC موجود در Access Point مقايسه شده و در صورت مطابقت آنان با يکديگر ، امکان دستيابی فراهم می گردد . اين روش از لحاظ امنيتی شرايط مناسبی را ارائه می نمايد ، ولی با توجه به اين که می بايست هر يک از آدرس های MAC را برای هر Access point تعريف نمود ، زمان زيادی صرف خواهد شد . استفاده از روش فوق، صرفا” در شبکه های کوچک بدون کابل پيشنهاد می گردد

امنیت در شبكه های Wireless

در اين مقاله سعي داريم كه ابتدا يك ديد كلي و سريع نسبت به شبكه هاي بيسيم بدست بياريم و سپس امنيت در شبكه هاي بيسيم رو مورد بحث قرار بديم .

براي برپايي يك شبكه ي بيسيم ، به يك سري اجزاء احتياج هست . دقيقاً مثل شبكه هاي سيم دار ، اين اجزا شامل ابزارهاي فيزيكي ، ابزارهاي انتقال و پروتكلها هستند.

تجهيزات فيزيكي شامل كارتهاي شبكه وايرلس (WNIC) ، نقطه ي دسترسي يا Access Point (AP و آنتن هست . آنتنهاي ديش مانند رو Parabolic ، استوانه اي افقي رو Yagi و ميله اي عمودي رو Omni-directional ميگند .

ابزارها يا تكنولوژي هاي انتقال در شبكه هاي بيسيم هم عبارتند از : Infrared , Microwave , Satellite Microwave , Radio Wave , Spread Spectrum, Bluetooth و نهايتاً تكنولوژي SMS .

استاندارد مورد استفاده در شبكه هاي بيسيم كه توسط IEEE ارائه شده ، استاندارد 802.11 هست . اين استاندارد از سال 1997 تا حالا چندين بار به روز رساني شده كه با حروف a تا i مشخص ميشند .

پروتكل برنامه هاي كاربردي شبكه هاي بيسيم كه ارتباط بين تكنولوژي هاي مختلف مورد استفاده رو برقرار ميكنه Wireless application protocol يا WAP هست ، كه از سال 1998 ارائه شده و به مرور شامل بروزرساني شده .

بحث ما در اين مقاله روي Wireless LAN يا WLAN هست . اين نوع شبكه ها خيلي شبيه شبكه هاي اترنت هستند و در سازمانها و شركتها بيشترين كاربرد رو دارند .WLAN از تكنولوژي Radio Wave به عنوان ابزار انتقال استفاده ميكنه. دو نوع توپولوژي براي اين شبكه ها وجود داره كه شامل Ad-hoc و Infrastructure هست. در حالت Ad-hoc ، احتياجي به AP نيست و سيستمها مستقيم با هم ارتباط برقرار ميكنند . اين حالت يك شبكه peer-to-peer ، بدون كنترل كننده هست .

در حالت Infrastructure ، از AP استفاده ميشه .تمركز ما بر روي اين حالت هست. در حالت Infrastructure ، كلاينتهايي كه در يك گروه هستند و از يك AP مشترك استفاده مي كنند ، بايد داراي يك SSID يا Service Set Identifier يكسان و تنظيم شده روي APباشند . SSID كه يك متغير 32 كاركتري منحصر به فرد براي هر سگمنت هست ، در ابتداي هدر هر packet قرار ميگيره . وقتي APتنظيم ميشه ، و SSID ميگيره ، شروع ميكنه به ارسال SSID خودش به صورت broadcast . اين فريم اصطلاحاً SSID beacon ناميده ميشه و قابل رمزنگاري هم نيست . بنابرين هر شخصي ميتونه با يك sniff ساده ، AP هاي در دسترس رو شناسايي كنه . پس اولين قدم در امنيت شبكه هاي بيسيم در اين حالت ، در صورت امكان غيرفعال كردن SSID beacon frame broadcast هست .

وقتي WNIC روشن شد ، يك پروسه براي چك كردن SSID انجام ميشه كه به اون Association ميگند . در اين مرحله كلاينت به شبكه join شده ، اما هنوز نميتونه از شبكه استفاده كنه . بنابرين بايد مرحله Authentication رو انجام بده . در شبكه هاي WLANدو نوع Authentication وجود داره . يكي Open system و ديگري Shared-key

در حالت اول هيچ رمزنگاري انجام نميشه و هر كلاينتي ميتونه به راحتي با داشتن SSID به شبكه متصل شه و از اون استفاده كنه . در حالت دوم يك key مورد نياز هست كه هر دوطرف ارتباط ، يعني كلاينت و AP بايد اون رو بدونند .

ايمن سازي شبكه هاي بيسيم

ايمن سازي در پروتكل

با گسترش شبكه هاي بيسيم و استفاده از WAP ، لزوم استفاده از يك پروتكل ايمن احساس شد . اين پروتكل كاري شبيه TLSانجام ميده و WTLS ناميده ميشه .

Wireless Transport Layer Security توانايي ايجاد integrity در داده و privacy براي دو طرف ارتباط و همچنين Authentication بين دو طرف ارتباط را داره .

WTLS براي تشخيص هويت از certificate استفاده ميكنه ، اگرچه اين امكان وجود داره كه از اين بخش صرف نظر كرد . كه البته باعث كاهش امنيت ميشه .

ايمن سازي در AP

براي ايمن كردن بيشتر AP ، چند كار ميشه انجام داد . اول همونطور كه در بالا اشاره شد ، disable كردن SSID beacon frame broadcast هست . مرحله ي بعد استفاده از WEP هست كه در اين مورد ميتونيد به مقاله ارائه شده در همين انجمن مراجعه كنيد .