۵ باور اشتباه برای بالا بردن امنیت وای فای

فناوری وای‌فای در سال‌های اخیر پیشرفت‌های فراوانی داشته و به‌موازات این پیشرفت‌ها راهکارهای ایمن‌سازی شبکه‌های وای‌فای نیز پیشرفت کرده‌اند. درحالی‌که رویکردهای ایمن‌سازی متنوعی برای دفاع از شبکه‌های وای‌فای در برابر هکرها وجود دارد، اما واقعیت این است که برخی از راهکارهایی که ممکن است از طریق یک جست‌وجوی ساده اینترنتی آن‌ها را پیدا کنید نه تنها سود چندانی ندارند، بلکه ممکن است در برخی موارد دردسرهای مضاعفی برای شما به همراه آورند.

با توجه به این‌که امروزه بیشتر کاربران از وای‌فای برای دسترسی به اینترنت و فضای مجازی استفاده می‌کنند در این نوشتار تصمیم گرفتیم، به بررسی پنج باور یا به عبارت دقیق‌تر افسانه‌ای بپردازیم که پیرامون ایمن‌سازی شبکه‌های وای‌فای وجود دارند اما در عمل از وای‌فای شما در برابر نفوذ هکری محافظت نمی‌کنند.

امروزه، بیشتر سازمان‌ها و کسب‌وکارها برای انجام فعالیت‌های تجاری‌شان، شبکه بی‌سیم خاص خود را پیاده‌سازی می‌کنند. کمتر هتل یا کافی‌شاپی را پیدا می‌کنید که فاقد یک شبکه وای‌فای باشد. اگر در نظر دارید، از شبکه وای‌فای برای انجام کارهای تجاری در شرایطی استفاده کنید که شرکت شما دپارتمانی موسوم به فناوری اطلاعات را ندارد، کار چندان پیچیده‌ای پیش رو ندارید. اما اگر در نظر دارید در محل کار خود یک اکسس پوینت ایجاد کنید تا کارمندان به آن متصل شوند و سعی کنید از پارامترهای پیش‌فرض برای این منظور استفاده کنید، آنگاه کسب‌وکار شما در معرض چالش جدی قرار می‌گیرد.

پژوهشی که از سوی سایت nakedsecurity انجام‌شده و شهرهای مختلف جهان مانند لندن، نیویورک، واشنگتن و سان‌فرانسیسکو را مورد بررسی قرار داده نشان می‌دهد، بیشتر کسب‌‌وکارهای واقع در این شهرها از وای‌فای غیر ایمن استفاده می‌کنند. در واقع بیشتر کسب‌وکارها از رویکردهای امنیتی تاریخ‌مصرف گذشته و البته نادرستی استفاده می‌کنند که هیچ‌گونه امنیتی را برای آن‌ها به ارمغان نمی‌آورد.

در این پژوهش آمده، در شهر لندن تنها ۱۷ درصد هات‌اسپات‌های وای‌فای از پیکربندی WPA2 برای رمزنگاری ترافیک شبکه بی‌سیم خود استفاده کرده‌اند و نزدیک به یک‌چهارم هات‌اسپات‌ها در اصل شبکه‌های وای‌فای باز هستند که بدون هیچ‌گونه الگوریتم رمزنگاری مورداستفاده قرار می‌گیرند. همچنین اغلب این شبکه‌های وای‌فای از نام شبکه (SSID) پیش‌فرض در تعامل با نام کاربری و گذرواژه پیش‌فرض استفاده کرده‌اند. اما برای آن‌که بتوانید یک شبکه‌ وای‌فای ایمن را پیاده‌سازی کنید، ابتدا باید با یکسری باورهای اشتباه در زمینه امنیت شبکه آشنا شوید. باورهایی که تنها باعث گمراهی‌تان می‌شوند.

پنهان‌ کردن شبکه SSID

هر روتر یا اکسس پوینت بی‌سیمی یک نام شبکه دارد. نامی که از سوی کاربر تعیین‌شده است. به این نام شبکه SSID گفته می‌شود. در حالت پیش‌فرض روترها SSID خاص خود را برای همه دستگاه‌ها و کاربرانی که در محدوده تحت پوشش قرار دارند، ارسال می‌کنند تا دستگاه‌ها بتوانند به روترها متصل شوند.

بسیاری بر این باورند که اگر SSID مربوط به روتری را از دید دستگاه‌ها و کاربران پنهان ساخت به این شکل می‌توان از شبکه در برابر آنها محافظت کرد. در ظاهر به نظر می‌رسد، این ایده خوب کار می‌کند. اما واقعیت این است که دستگاه‌های مجهز به سیستم‌عامل‌های مدرن همچون ویندوز ۱۰ به‌خوبی می‌توانند همه شبکه‌های موجود را کشف کنند، حتی اگر این توانایی را نداشته باشند تا نام هر شبکه را به شکل متمایز از دیگری نشان دهند.

همچنین پیداکردن یک SSID پنهان‌شده کار پیچیده‌ای نیست و به‌سادگی انجام می‌شود. در حقیقت، اگر سعی کنید SSID شبکه خود را پنهان سازید، شک و تردید هکرها را بیشتر کرده‌اید و آن‌ها احساس می‌کنند که شبکه وای‌فای شما اطلاعات حساسی دارد که پنهان‌شده است. شاید بتوانید مانع از آن شوید تا روترتان SSID را ارسال کند، اما این توانایی را ندارید تا از ارسال اطلاعات یادشده در قالب بسته‌های داده‌ای، درخواست‌های ارتباط یا برقراری ارتباط مجدد و…. ممانعت به عمل آورید.

یک ابزار تحلیلگر شبکه‌های بی‌سیم شبیه Kismet یا CommView for Wifi به‌راحتی قادر است SSID مربوط به شبکه‌های پنهان را به‌سرعت شناسایی کند. در بهترین حالت پنهان‌سازی ارسال نام شبکه از شما در برابر کاربران معمولی محافظت می‌کند، اما در مقابل نفوذگران حرفه‌ای هیچ کمکی به شما نمی‌کند.

فیلتر مربوط به مک آدرس را فعال کنیم

همه دستگاه‌های موجود در شبکه یک آدرس مک منحصربه‌فردی دارند که برای شناسایی دستگاه‌ها استفاده می‌شود. یک آدرس مک، مشتمل بر حروف و اعدادی است که از طریق کاراکتر : از یکدیگر تفکیک‌شده است. ۰۰:۰۲:D1:1A:2D:12 نمونه‌ای از یک آدرس مک است.

دستگاه‌هایی که درون یک شبکه قرار دارند برای ارسال یا دریافت داده‌ها در یک شبکه و شناسایی یکدیگر از مک آدرس استفاده می‌کنند. اشتباه بزرگی که بسیاری از کاربران انجام می‌دهند این است که تصور می‌کنند اگر روتر خود را به‌گونه‌ای پیکربندی کنند که تنها به دستگاه‌هایی با آدرس مک خاص اجازه دسترسی به روتر و اتصال به شبکه را بدهند، به این شکل می‌توانند از شبکه خود محافظت کرده و از اتصال دستگاه‌های غیرمجاز ممانعت به عمل آورند.

پیاده‌سازی چنین تنظیماتی کاری ساده اما در مقابل زمان‌بر است. به‌واسطه آن‌که شما در ابتدا باید مک آدرس همه دستگاه‌هایی را که در نظر دارید به شبکه متصل شوند، شناسایی کرده، در ادامه جدولی که در ارتباط با روتر قرار دارد را به‌درستی پر کنید. در این حالت هیچ دستگاهی که آدرس مک آن درون جدول قرار نداشته باشد، این شانس را نخواهد داشت که به شبکه متصل شود، حتی اگر گذرواژه شبکه بی‌سیم شما را در اختیار داشته باشد. اما باید بدانید که چنین موضوعی صحت ندارد. یک هکر از طریق به‌کارگیری ابزارهای تحلیل‌گر شبکه‌های بی‌سیم به‌راحتی می‌تواند آدرس مک همه دستگاه‌هایی را که اجازه اتصال به شبکه دارند، به دست آورده و در ادامه آدرس مک دستگاه خود را به یکی از آدرس‌های مکی که شما تعریف کرده‌اید، تغییر دهد.

در نتیجه همان‌گونه که مشاهده می‌کنید شما کاری جز از دست دادن زمان انجام نداده‌اید. فعال‌سازی فیلتر آدرس‌های مک ممکن است از شما در برابر اتصال کاربران عادی به شبکه محافظت کند، اما در مقابل یک هکراین‌گونه عمل نخواهد کرد. همچنین فراموش نکنید اگر این کار را انجام دادید و در ادامه مجبور شدید دسترسی یک کامپیوتر به شبکه را به شکل موقت غیرفعال کنید، کار سختی پیش‌رو خواهید داشت.

محدود‌ کردن آدرس‌های آی‌پی در روتر

هر دستگاه متصل به شبکه از طریق آدرس آی‌پی منحصربه‌فردی که در اختیار دارد، شناسایی می‌شود. یک آدرس آی‌پی از سوی روتر به یک دستگاه تخصیص داده می‌شود که رشته‌ای مشتمل بر اعداد همچون ۱۹۲٫۱۶۸٫۱٫۱۰ است. اما برخلاف آدرس مک که از سوی دستگاه به روتر اعلام می‌شود، روتر از طریق به‌کارگیری پروتکل پویای کنترل میزبان (DHCP) یک آدرس آی‌پی خاص را برای هر دستگاهی که به شبکه متصل شده است، تخصیص می‌دهد.

فرضیه‌ای اشتباه در دنیای ایمن‌سازی شبکه‌ها شکل‌گرفته که اعلام می‌دارد شما با محدود کردن تعداد آی‌پی‌هایی که روتر شما به دستگاه‌ها تخصیص می‌دهد قادر هستید از خود در برابر هکرها محافظت کنید.

به‌عنوان مثال، اگر یک محدوده آدرس‌ آی‌پی همچون ۱۹۲٫۱۶۸٫۱٫۱ تا ۱۹۲٫۱۶۸٫۱٫۱۰ را مشخص کنید، تنها دستگاه‌هایی که در این بازه آدرس آی‌پی قرار دارند اجازه خواهند داشت تا به شبکه متصل شوند و به این شکل شبکه در برابر هکرها ایمن می‌شود. اما این فرضیه اشتباه بوده و ما در باور بعدی نشان می‌دهیم چرا این فرضیه اشتباه است.

غیرفعال سازی سرور DHCP در روتر که باعث حافظت می‌ شود

عده‌ای از کاربران و حتی کارشناسان شبکه بر این باورند با غیرفعال کردن سرور DHCP و تخصیص آی‌پی به هر دستگاه آن هم به شکل دستی، امنیت شبکه به‌شدت افزایش پیدا می‌کند. در این راهکار فرض بر این است، دستگاه‌هایی که فرایند تخصیص آدرس آی‌پی در خصوص آن‌ها اعمال نشده این شانس را ندارند تا به شبکه متصل شوند.

در این تکنیک نیز مشابه فیلتر کردن آدرس‌های مک، کاربر جدولی از آدرس‌های آی‌پی را که متناظر به هر دستگاه است، ایجاد می‌کند. در این حالت کاربر باید آدرس آی‌پی را برای هر دستگاه به شکل دستی تنظیم و وارد کند. اما این تکنیک یک ایراد بزرگ دارد. اگر هکری موفق شده باشد به شبکه شما نفوذ کند، آنگاه از طریق یک اسکن ساده شبکه به‌راحتی می‌تواند آدرس‌های آی‌پی را که در شبکه به کار گرفته شده‌اند، مشاهده کند.

در ادامه هکر یکی از آدرس‌های معتبر آی‌پی را که درون شبکه قرار دارد و به دستگاهی تخصیص داده‌شده برای دستگاه خود مشخص کرده و در ادامه بدون مشکل خاصی به شبکه شما متصل می‌شود. درست شبیه به فیلتر کردن آدرس‌های مک پیاده‌سازی این تکنیک چیزی جزء کار مضاعف برای شما به همراه نخواهد داشت. به‌ویژه زمانی که در نظر دارید دستگاه‌های جدیدی را به شبکه خود اضافه کنید.

سختی نفوذ هکرها به شبکه های کوچک

یک باور اشتباه کاربران شبکه‌های بی‌سیم این است که هرچه قدرت ارسال سیگنال روتر کم شود، به همان نسبت شانس افرادی که در خارج از محل قرار دارند در اتصال به شبکه کم می‌شود. به‌واسطه آن‌که افراد به‌راحتی نمی‌توانند شبکه را شناسایی کنند. اما باید بدانید اگر هکری مصمم باشد به شبکه شما نفوذ کند از آنتن‌های بزرگی استفاده می‌کند که قادر هستند سیگنال‌های روتر شما را به‌خوبی دریافت کنند. باید بدانید زمانی‌که قدرت سیگنال‌های مسیریاب ضعیف می‌شوند تنها برد مؤثر و امکان اتصال برای افرادی که جزء کاربران معتبر هستند، کم می‌شود.