بخش چهل‌ویکم
آموزش رایگان سکیوریتی پلاس؛ شبکه‌های بی‌سیم و امنیت آن‌ها
شبکه‌های امروزی دیگر محدود به استفاده از دستگاه‌های کابلی یا سیمی نیستند. شبکه‌ها اکنون ترکیبی از سیستم‌های سیمی و سیستم‌های بی‌سیم هستند که از فرکانس‌های رادیویی برای ارسال داده‌ها به نقطه دسترسی بی‌سیم استفاده می‌کنند. نقطه دسترسی بی‌سیم دارای یک اتصال به شبکه سیمی است که به دستگاه‌های بی سیم اجازه می‌دهد با میزبان‌های شبکه سیمی ارتباط برقرار کنند. بسیاری از شبکه‌های اداری کوچک و شبکه‌های اداری خانگی از روتر خانگی استفاده می‌کنند که یک دستگاه چند منظوره است که به عنوان سوئیچ، روتر و نقطه دسترسی بی‌سیم برای کلاینت‌های بی‌سیم عمل می‌کند. توجه داشته باشید که در شبکه‌های بزرگ سازمانی، نقطه دسترسی بی‌سیم دارای یک پورت واحد برای اتصال شبکه سیمی است.

shabake-mag.jpg

برای مطالعه بخش قبل روی این آدرس کلیک کنید. 

آشنایی با شبکه‌های بی‌سیم

همان‌طور که گفته شد، شبکه بی‌سیم از فرکانس‌های رادیویی برای انتقال داده‌ها از طریق هوا استفاده می‌کند. این حرف به این معنا است که اگر کاربران سیاری دارید که می‌خواهند در دفتر کار از ارتباطات بی‌سیم استفاده کنند، می‌توانید به آن‌ها اجازه دهید از کارت شبکه بی‌سیم  لپ‌تاپ خود برای اتصال به یک نقطه دسترسی بی‌سیم در به شبکه استفاده کنند.

شما می‌توانید دو نوع شبکه بی‌سیم ایجاد کنید: یک شبکه بی‌سیم حالت موقت (ad hoc) و یک شبکه بی‌سیم حالت زیرساختی (infrastructure mode). با حالت ad hoc، دستگاه بی‌سیم مانند لپ‌تاپ، مستقیماً به سایر دستگاه‌های بی‌سیم در یک محیط همتا به همتا بدون نیاز به نقطه دسترسی بی‌سیم متصل می‌شود. با حالت زیرساختی، کلاینت‌های بی‌سیم به یک نقطه دسترسی بی‌سیم مرکزی متصل می‌شوند. سرویس‌گیرنده بی‌سیم داده‌ها را به نقطه دسترسی می‌فرستد که سپس داده‌ها را به مقصد در شبکه سیمی ارسال می‌کند، شکل زیر این موضوع را نشان می‌دهد.

هر کدام از این حالت‌های بی سیم مزایای خود را دارند. مزیت حالت موقت این است که نیازی به خرید اکسس پوینت ندارید، زیرا حالت موقت برای اتصال مستقیم سیستم‌ها به یکدیگر با استفاده از ارتباطات بی‌سیم طراحی شده است. با بی‌سیم موقت، هدف شما این است که به سیستم‌ها اجازه دهید به هم متصل شوند تا کاربران داده‌ها را به اشتراک بگذارند. مزیت حالت زیرساختی این است که می توانید از نقطه دسترسی بی‌سیم برای دسترسی همه کاربران بی‌سیم به اینترنت استفاده کنید. با حالت زیرساختی، معمولاً می‌توانید کنترل کنید چه کسی می‌تواند به شبکه بی‌سیم متصل شود و می‌توانید انواع ترافیک شبکه را فیلتر کنید. به‌عنوان مثال، اگر از یک نقطه دسترسی بی‌سیم برای اجازه دادن به کاربران بی سیم برای اتصال به اینترنت استفاده می‌کنید، می‌توانید کنترل کنید کاربران به کدام وب‌سایت‌ها متصل شوند. این نوع کنترل متمرکز حالت زیرساختی را بسیار محبوب می‌کند.

استانداردها

کمیته موسسه مهندسین برق و الکترونیک (IEEE) استانداردهای بی سیم را در مدل‌های پروژه 802 برای شبکه‌های بی سیم توسعه داده است. این استانداردها به شرح زیر هستند:

802.11a

802.11a اولین استاندارد از استانداردهای بی‌سیم است که در فرکانس 5 گیگاهرتز (گیگاهرتز) اجرا می‌شود. دستگاه‌های 802.11a می‌توانند داده‌ها را با سرعت 54 مگابیت در ثانیه انتقال دهند.

802.11b

استاندارد بی‌سیم 802.11b دارای سرعت انتقال 11 مگابیت در ثانیه است و از فرکانس 2.4 گیگاهرتز استفاده می‌کند. دستگاه‌های 802.11b با شبکه‌های 802.11a سازگار نیستند، زیرا در فرکانس‌های مختلف کار می‌کنند. همچنین، لازم به ذکر است که 802.11b استاندارد Wi-Fi را پایه‌گذاری کرد.

802.11g

بعد از 802.11b، استاندارد بی‌سیم 802.11g متولد شد و به گونه‌ای طراحی شد که با 802.11b سازگار باشد، اما سرعت انتقال را نیز افزایش دهد. سرعت انتقال دستگاه‌های 802.11g برابر با 54 مگابیت بر ثانیه در محدوده فرکانس 2.4 گیگاهرتز است. همه دستگاه‌های 802.11g با دستگاه‌های 802.11b سازگار هستند، زیرا همه آن‌ها از استاندارد Wi-Fi پیروی می‌کنند و با فرکانس 2.4 گیگاهرتز کار می‌کنند.

802.11n

استاندارد بی‌سیم 802.11n اواخر سال 2009 نهایی شد. هدف 802.11n افزایش نرخ انتقال فراتر از استانداردهای رایج بود. شایعه شده بود که استاندارد 802.11n به لحاظ تئوری از نرخ انتقال تا 600 مگابیت بر ثانیه پشتیبانی می‌کند، اما امروزه اکثر تجهیزات شبکه 802.11n با سرعت 150 مگابیت در ثانیه کار می‌کنند. برای کمک به رسیدن به نرخ انتقال بالاتر، 802.11n از دو ویژگی جدید استفاده می‌کند: خروجی چندگانه ورودی (MIMO) و اتصال کانال. MIMO استفاده از آنتن‌های متعدد برای دستیابی به توان عملیاتی بیشتر از آن‌چه که تنها با یک آنتن می‌توان انجام داد را امکان‌پذیر می‌کند. اتصال کانال به 802.11n اجازه می دهد تا داده‌ها را از طریق دو کانال برای دستیابی به توان عملیاتی بیشتر منتقل کند. استاندارد 802.11n به گونه‌ای طراحی که با استانداردهای ماقبل خود سازگار باشد و در هر دو باند فرکانسی 2.4 و 5 گیگاهرتز کار کند. توجه به این نکته ضروری است که 802.11a یک پیاده‌سازی اولیه از شبکه‌های بی‌سیم بود و با شبکه‌های Wi-Fi سازگار نیست.

802.11ac

استاندارد بی‌سیم 802.11ac در سال 2014 تایید شد و به عنوان یک استاندارد بی‌سیم با توان بالا در محدوده فرکانس 5 گیگاهرتز در نظر گرفته می‌شود. استاندارد 802.11ac با افزایش عرض کانال و ارائه ویژگی‌های مشابه با استاندارد 802.11n مانند MIMO و MIMO چند کاربره (MU-MIMO)، که شامل اجازه دادن به فرستنده‌های متعدد برای ارسال سیگنال‌های جداگانه و گیرنده‌های متعدد است، توان عملیاتی بالقوه 1 گیگابیت بر ثانیه را ارائه می‌کند، از این‌رو گزینه مناسبی برای دریافت سیگنال‌های جداگانه به‌طور همزمان است. اکثر روترهای بی‌سیم 802.11ac دارای یک پورت USB 3.0 هستند که به شما امکان می‌دهد یک هارد اکسترنال را به روتر بی‌سیم متصل کنید و ویدیوهای HD را مشاهده کنید.

802.11ax

802.11ax نسخه بعدی وای‌فای است و دستگاه‌هایی که از استاندارد فوق پشتیبانی می‌کنند با استانداردهای قبلی نیز سازگار هستند. استاندارد فوق به‌طور همزمان روی بهبود ظرفیت، سرعت و عمر باتری متمرکز شده است. بنابراین، اگر با اتصال اینترنت 100 مگابيت بر ثانیه خود تنها 10 مگابيت بر ثانیه دریافت می‌کنید، وقت آن رسیده تا به‌سراغ استاندارد جدیدتر بروید.

کانالها

همان‌طور که اشاره شد، تمامی استانداردهای بی‌سیم همگی قابلیت کار در فرکانس 2.4 گیگاهرتز را دارند، اما مهم است که بدانیم 2.4 گیگاهرتز یک محدوده فرکانسی است. هر فرکانس در محدوده به‌عنوان یک کانال شناخته می‌شود.

اکثر دستگاه‌های بی‌سیم به شما اجازه می‌دهند تا مشخص کنید از کدام کانال می‌خواهید استفاده کنید. این موضوع مهم است، زیرا اگر متوجه شدید که با شبکه بی‌سیم خود مشکل دارید، ممکن است دستگاه‌های بی‌سیم با یکدیگر تداخل داشته باشند یا با سایر دستگاه‌های بی‌سیم در منطقه تداخل داشته باشند. یک مثال خوب در این ارتباط تلفن‌های بی‌سیم هستند. آن‌ها در محدوده 2.4 گیگاهرتز کار می‌کنند و می‌توانند مشکلاتی در شبکه بی‌سیم شما ایجاد کنند. به‌عنوان راه‌حل، می‌توانید کانال را در نقطه دسترسی بی‌سیم خود تغییر دهید تا مشکل برطرف شود یا از فرکانس 2.4 گیگاهرتز به 5 گیگاهرتز سوییچ کنید. در جدول زیر کانال‌های باند 2.4 گیگاهرتز را مشاهده می‌کنید.

هنگام عیب‌یابی شبکه‌های بی‌سیم به یاد داشته باشید که ممکن است از سایر دستگاه‌های بی‌سیمی که در همان کانال کار می‌کنند، مانند تلفن بی‌سیم یا مایکروویو، تداخل دریافت کنید. یک راه‌حل این است که کانال مورد استفاده توسط شبکه بی‌سیم را تغییر دهید تا میزان تداخل دریافتی کم شود. همان‌طور که در جدول بالا نشان داده شده است، کانال های مجاور دارای فرکانس‌های همپوشانی هستند و با یکدیگر تداخل دارند، بنابراین تغییر از کانال 2 به کانال 1 مشکلات تداخل را حل نمی‌کند، اما تغییر از کانال 2 به کانال 6 ممکن است.

انواع آنتن

فناوری‌های شبکه بی‌سیم از دو نوع آنتن اصلی استفاده می‌کنند: همه جهته و جهت‌دار. آنتن‌های همه جهته می‌توانند سیگنال‌ها را در هر جهتی ارسال و دریافت کنند و شعاع 360 درجه دارند. مزیت آنتن همه جهته این است که می‌تواند با دستگاه‌ها در هر جهتی ارتباط برقرار کند، اما عیبی که دارد این است که از تمام توان برای پوشش چندین جهت استفاده می‌کند، بنابراین فاصله‌ای که می‌تواند کمتر از آنتن جهت‌دار است. آنتن‌های جهت‌دار فقط می‌توانند سیگنال‌ها را در یک جهت ارسال و دریافت کنند. اگرچه آنتن جهت‌دار فقط در یک جهت ارتباط برقرار می‌کند، اما برد بیشتری دارد.

احراز هویت و رمزگذاری

تعدادی از پروتکل‌های احراز هویت بی‌سیم و رمزنگاری در طول سال‌ها توسعه یافته‌اند. هدف از این پروتکل‌ها کمک به ایمن‌سازی شبکه بی‌سیم است و باید در هنگام پیاده‌سازی شبکه بی‌سیم از آن‌ها استفاده کنید.

WEP

حریم خصوصی معادل سیمی (WEP) سرنام Wired Equivalent Privacy  به گونه‌ای طراحی شده است که به دنیای بی‌سیم سطحی از امنیت معادل با دنیای شبکه‌های سیمی ارائه دهد. در دنیای سیمی، شخصی باید در دفتر شما باشد تا کابل را به شبکه شما متصل کند، اما با شبکه بی‌سیم، شخصی می‌تواند بیرون از ساختمان شما در یک ماشین پارک شده بنشیند و به شبکه بی‌سیم متصل شود. WEP (و در نهایت WPA و WPA2) برای افزودن امنیت به شبکه‌های بی‌سیم با ملزم کردن هر کسی که می‌خواهد به شبکه بی‌سیم متصل شود برای وارد کردن یک کلید بی‌سیم (مقداری که روی نقطه دسترسی بی‌سیم پیکربندی شده و باید توسط هر کسی که مایل به ورود به شبکه است وارد شود.) طراحی شده‌اند.

WEP اکنون یک پروتکل منسوخ شده است و نباید استفاده شود، اما در گذشته، اگر می‌خواستید شبکه بی‌سیم خود را با WEP پیکربندی کنید، به سادگی یک کلید مشترک یا عبارت عبور را در نقطه دسترسی بی‌سیم مشخص می‌کردید. تئوری این است که اگر کسی بخواهد به شبکه بیرسیم متصل شود، باید کلید مشترک را بشناسد و ایستگاه کاری خود را با آن کلید پیکربندی کند.

هنگامی که کلید مشترک را روی نقطه دسترسی و کلاینت پیکربندی می‌کنید، هر داده‌ای که بین کاربر و نقطه دسترسی ارسال میرشود با WEP رمزگذاری می‌شود. رویکرد فوق مانع از آن می‌شود تا افراد غیرمجاز داده‌ها را شنود کنند.

WEP یک پروتکل رمزگذاری بی‌سیم است که از RC4 به‌عنوان الگوریتم رمزگذاری متقارن با استفاده از رمزگذاری 64 بیتی یا 128 بیتی استفاده می‌کند. کلید رمزگذاری 64 بیتی یا 128 بیتی بر اساس یک بردار اولیه 24 بیتی (IV) است، مقداری که به‌طور تصادفی تولید و در سربرگ بسته ارسال می‌شود. IV با یک کلید 40 بیتی (برای رمزگذاری 64 بیتی) یا یک کلید 104 بیتی (برای رمزگذاری 128 بیتی) استفاده می‌شود که روی نقطه دسترسی بی‌سیم و کلاینت بی‌سیم پیکربندی شده است.

WPA

دسترسی محافظت شده بی‌سیم (WPA) سرنام Wi-Fi Protected Access  برای بهبود امنیت و رفع برخی از نقص‌های موجود در WEP طراحی شده است. WPA از یک کلید 128 بیتی و پروتکل یکپارچگی کلید زمانی (TKIP) استفاده می‌کند که پروتکلی است که برای تغییر کلیدهای رمزگذاری برای هر بسته ارسالی استفاده می‌شود. این کار شکستن کلید را برای هکرها بسیار سخت‌تر می‌کند.

درک این نکته مهم است که WEP در اجرای رمزگذاری و استفاده از کلید دارای نقص‌های بزرگی است و در نتیجه هر دو حالت 64 بیتی و 128 بیتی WEP کرک شده‌اند. اگر یک هکر بتواند ترافیک کافی را جذب کند، قادر است کلید 64 بیتی/128 بیتی را در عرض چند دقیقه کرک کرد. بنابراین، برای حل مشکلات امنیتی WPA استاندارد بعدی که WEP نام دارد و ویژگی‌های قدرتمندی را اضافه کرد پدید آمد. برای مثال، بررسی یکپارچگی بهبود پیدا کرد و از احراز هویت با استفاده از پروتکل تأیید اعتبار توسعه‌یافته (EAP) پشتیبانی شد، یک پروتکل احراز هویت بسیار امن که از تعدادی از روش‌های احراز هویت مانند Kerberos، کارت‌های رمز، گواهی‌ها و کارت‌های هوشمند پشتیبانی می‌کند.

پیام‌های EAP در بسته‌های IEEE 802.1X برای احراز هویت دسترسی به شبکه با شبکه‌های سیمی یا بی‌سیم کپسوله می‌شوند. وقتی از IEEE 802.1X برای کنترل دسترسی به شبکه بی‌سیم استفاده می‌شود، کلاینت بی‌سیم تلاش می‌کند به یک نقطه دسترسی بی‌سیم متصل شود. نقطه دسترسی از کلاینت برای اثبات هویت سوال می‌کند و سپس اطلاعات را برای احراز هویت به سرور RADIUS ارسال می‌کند.

هنگام پیکربندی WPA در شبکه بی‌سیم، توجه داشته باشید که WPA در حالت‌های زیر عمل می کند:

■   WPA Personal WPA Personal با نام WPA-PSK نیز شناخته می‌شود که به معنای کلید از پیش اشتراک‌گذاری شده WPA است. با WPA Personal، نقطه دسترسی را با یک مقدار کلید شروع پیکربندی می‌کنید که به عنوان کلید پیش‌اشتراک‌شده شناخته می‌شود، که سپس برای رمزگذاری ترافیک استفاده می‌شود. این حالت بیشتر توسط کاربران خانگی و مشاغل کوچک استفاده می شود.

■   WPA Enterprise WPA Enterprise که با نام WPA-802.1X نیز شناخته می‌شود، یک پیاده‌سازی WPA است که از یک سرور احراز هویت مرکزی مانند سرور RADIUS برای احراز هویت و ویژگی‌های ممیزی استفاده می‌کند. WPA Enterprise توسط سازمان‌های بزرگ‌تر استفاده می‌شود تا بتوانند از سرور احراز هویت موجود خود برای کنترل افرادی که به شبکه بی‌سیم دسترسی دارند و برای ثبت دسترسی به شبکه استفاده کنند.

■   پروتکل احراز هویت سبک توسعه‌پذیر LEAP راه‌حل اختصاصی EAP سیسکو است که سیسکو قبل از ایجاد 802.1X توسط IEEE ایجاد کرد.

■   پروتکل تأیید اعتبار توسعه‌یافته حفاظت‌شده (PEAP) برای کپسوله‌سازی پیام‌های EAP روی یک تونل امن استفاده می‌شود که از پروتکل امنیت لایه انتقال (TLS) استفاده می‌کند. هدف این پروتکل این است که EAP فرض کند بسته‌ها از طریق یک شبکه امن ارسال می‌شوند. با PEAP، پروتکل TLS می‌تواند یک تونل امن بین دو نقطه ایجاد کند.

■   EAP-FAST  یک پروتکل احراز هویت است که توسط Cisco برای جایگزینی LEAP طراحی شده است. EAP-FAST معمولا برای ارائه خدمات احراز هویت به شبکه‌های بی‌سیم استفاده می‌شود.

■    EAP-TLS از پروتکل TLS برای احراز هویت ایمن در شبکه‌های بی‌سیم استفاده می‌کند. راه‌حل EAP-TLS معمولاً شامل استفاده از گواهی‌های کلاینت برای انجام احراز هویت است.

■   EAP-TTLS  با داشتن قابلیت‌هایی برای احراز هویت کلاینت و سرور، عملکردی شبیه به EAP-TLS دارد، اگرچه کلاینت نیازی به استفاده از گواهی‌ها برای احراز هویت ندارد. سرور می‌تواند پس از راه‌اندازی یک کانال امن با استفاده از گواهی سرور، کلاینت را احراز هویت کند.

■   باز کردن یک شبکه بی‌سیم باز برای اتصال نیازی به رمز عبور ندارد و از هیچ‌گونه رمزگذاری برای مخفی نگه‌داشتن داده‌های بی‌سیم از چشمان کنجکاو استفاده نمی‌کند. به طور طبیعی، توصیه نمی‌شود که شبکه بی‌سیم خود را باز بگذارید (شما باید WPA2 را پیاده‌سازی کنید) یا سیستم کلاینت خود را به یک شبکه باز که با آن آشنایی ندارید وصل کنید.

WPA2

WPA2 امنیت WPA را بهبود بخشید و توصیه می‌شود به‌جای WPA استفاده شود. WPA2 برای حفظ حریم خصوصی، یکپارچگی و احراز هویت داده‌ها در یک شبکه بی‌سیم WPA2 از حالت شمارنده با پروتکل کد احراز هویت پیام زنجیره‌ای رمزنگاری شده (CCMP یا CCM Mode Protocol) استفاده می‌کند. WPA2 از CCMP با پروتکل استاندارد رمزگذاری پیشرفته (AES) برای رمزگذاری ترافیک بی‌سیم به جای TKIP استفاده می‌کند و همچنین از ویژگی‌های اضافی مانند حفاظت اضافی برای شبکه‌های ad hoc و ذخیره کلید پشتیبانی می‌کند.

از آن‌جایی که WPA2 از AES به عنوان پروتکل رمزگذاری خود استفاده می‌کند، از رمزگذاری 128 بیتی، 192 بیتی و 256 بیتی پشتیبانی می‌کند.

WPA3

در سال 2018، یک پروتکل امنیتی بی‌سیم جدید به‌نام WPA3 ایجاد شد که امنیت WPA2 را بهبود بخشید. مانند پروتکل‌های امنیتی WPA قبلی، WPA3 از حالت شخصی و سازمانی پشتیبانی می‌کند. در حالت شخصی از CCMP-128 استفاده می‌کند که از AES-128 (رمزگذاری 128 بیتی با AES در حالت CCM) استفاده می‌کند، اما در حالت سازمانی از رمزگذاری 192 بیتی استفاده می‌کند.

WPA3 با استفاده از تعدادی ویژگی امنیتی مانند تأیید هویت همزمان برابر (SAE) بهبود یافته است، که با اجازه دادن به نقطه دسترسی برای تأیید اعتبار کلاینت و همچنین کلاینت برای تأیید اعتبار نقطه دسترسی، امنیت را افزایش می‌دهد. این بهبود در امنیت احراز هویت به جلوگیری از شکسته شدن ترافیک که باعث شد WPA2 منسوخ شود کمک می‌کند.

یکی دیگر از پیشرفت‌های مهم این است که WPA3 از کلیدهای جلسه در فرآیند رمزگذاری استفاده می‌کند که به جلوگیری از رمزگشایی ترافیک کاربر توسط یک کاربر دیگر کمک می‌کند، حتی اگر رمز/کلید بی‌سیم مورد استفاده هر دو کاربر یکسان باشد.

RADIUS Federation

یکی دیگر از فناوری‌های امنیتی رایج برای احراز هویت با شبکه‌های بی‌سیم، RADIUS Federation است. با استفاده از فناوری فوق، دو یا چند سازمان که به یکدیگر اعتماد دارند، می‌توانند سرورهای RADIUS خود را برای احراز هویت متقابل پیکربندی کنند. به عنوان مثال، اگر یکی از کارمندان CompanyX از دفتر CompanyY بازدید می‌کند و تلاش می‌کند به سیستم وارد شود، سرورهای CompanyY درخواست احراز هویت را به CompanyX ارسال می‌کنند. پس از این‌که سرور RADIUS در CompanyX کاربر را احراز هویت کرد و یک توکن تولید کرد، به دلیل اعتماد به‌وجود آمده بین CompanyX و CompanyY، می‌توان از آن توکن برای دسترسی به منابع در شبکه CompanyY استفاده کرد.

 

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.


معرفی آموزشگاه شبکه و امنیت

  • تهران: آموزشگاه عصر رایان شبکه
  • مهندس اطلاعات 
  • تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام کارشناس تست نفوذ

ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را می‌توانید از کتابخانه‌های عمومی سراسر کشور و نیز از دکه‌های روزنامه‌فروشی تهیه نمائید.

ثبت اشتراک نسخه کاغذی ماهنامه شبکه     
ثبت اشتراک نسخه آنلاین

 

کتاب الکترونیک +Network راهنمای شبکه‌ها

  • برای دانلود تنها کتاب کامل ترجمه فارسی +Network  اینجا  کلیک کنید.

کتاب الکترونیک دوره مقدماتی آموزش پایتون

  • اگر قصد یادگیری برنامه‌نویسی را دارید ولی هیچ پیش‌زمینه‌ای ندارید اینجا کلیک کنید.

ایسوس

نظر شما چیست؟

دیدگاه‌ها

تصویر مهدی محمدی
مهدی محمدی

سلام. لطفا تمام آموزش های Security+ را به صورت کتاب PDF درآورید و برای فروش داخل سایت بذارید. ممنون