چگونه از شبکه‌های بی‌سیم سازمانی محافظت کنیم؟

مطلب پیشنهادی

بخش چهل‌ویکم

آموزش رایگان سکیوریتی پلاس؛ شبکه‌های بی‌سیم و امنیت آن‌ها

زیرساخت‌های فناوری اطلاعات به‌طور پیوسته در معرض حمله‌های سایبری قرار دارند. این حمله‌ها به دلایل مختلفی انجام می‎شوند. به‌طور مثال، حمله سایبری به واحدهای تولیدی با هدف از کار انداختن دستگاه‌های صنعتی و خطوط تولیدی انجام می‌شود، در حالی که حمله به شرکت‌های فعال در حوزه مالی و بیمه با هدف سرقت اطلاعات کاربران انجام می‌شود. نکته مهمی که باید درباره آن اطلاع داشته باشیم این است که هکرها تنها از طریق شبکه‌های محلی متصل به اینترنت به زیرساخت‌ها حمله نمی‌کنند و گاهی اوقات از طریق شبکه‌های بی‌سیم سازمانی به زیرساخت‌ها نفوذ کرده و خسارات جبران‌ناپذیری وارد می‌کنند. امروزه، بیشتر سازمان‌های دولتی و شرکت‌های خصوصی از شبکه‌های بی‌سیم برای برقراری ارتباط کلاینت‌ها با شبکه استفاده می‌کنند. بر همین اساس ضروری است با حمله‌ها و مکانیزم‌های مقابله با حمله‌های سایبری به شبکه‌های بی‌‌سیم سازمانی و خانگی آشنا باشیم.

در دنیای امروز، کاربران دست‌کم یک گوشی با قابلیت اتصال به اینترنت دارند. با افزایش تعداد دستگاه‌های هوشمند، پیاده‌سازی یک استراتژی امنیتی برای به‌حداقل رساندن حمله‌های سایبری ضروری است، به‌ویژه آن‌که اینترنت اشیاء در برخی از واحدهای تولیدی و حتا خانه‌های هوشمند مورد استفاده قرار می‌گیرد. دستگاه‌های متصل به اینترنت بی‌سیم مثل گوشی‌های هوشمند ممکن است توسط هکرها برای جمع‌آوری اطلاعات شخصی، سرقت هویت، سرقت داده‌های مالی یا حمله به حساب‌های بانکی، استراق سمع یا تماشای فعالیت‌های کاربران استفاده شوند. بر همین اساس، مهم است درباره خطرات شبکه‌های بی‌سیم اطلاعات کافی داشته باشیم و اقداماتی برای به‌حداقل رساندن دامنه تهدیدات مخرب انجام دهیم. 

شبکه‌های بی‌سیم با چه مخاطراتی روبه‌رو هستند؟ 

یک شبکه خانگی یا تجاری، هر دو به یک اندازه در معرض تهدیدات سایبری قرار دارند. در حالت اول، هکرها ممکن است به شبکه بی‌سیم خانگی نفوذ کنند و بدافزاری روی دستگاه‌های کلاینت نصب کنند تا در آینده از شبکه خانگی کاربران برای حمله به اهداف دیگر استفاده کنند. در حالت دوم، هکرها با هدف سرقت اطلاعات سازمانی یا آسیب وارد کردن به شبکه بی‌سیم سازمانی به آن نفوذ می‌کنند. به‌طور کلی، شبکه‌های بی‌سیم با تهدیدات زیر روبه‌رو هستند.

Piggybacking

اگر شبکه بی‌سیم خود را ایمن نکنید، هر فردی با یک لپ‌تاپ که در محدوده اکسس‌پوینت شما قرار داشته باشد، می‌تواند از شبکه ارتباطی شما استفاده کند. به‌طور معمول، اکسس‌پوینت‌های خوب و حتا روترهای کلاس سازمانی می‌توانند تا فاصله 30 متری را پوشش دهند، اما اگر از اکسس‌پوینت‌های فضای بیرونی (Outdoor) استفاده کنید که ضریب پوششی بالایی دارند، این محدوده تا 304 متر نیز گسترش پیدا می‌کند. بنابراین، اگر در آپارتمان زندگی می‌کنید یا محل کار شما در یک مجتمع تجاری است، عدم ایمن‌سازی شبکه بی‌سیم یا پیاده‌سازی یک شبکه بی‌سیم باز به کاربران اجازه می‌دهد بدون مشکل به شبکه ارتباطی متصل شوند، فعالیت‌های غیرقانونی انجام دهند، ترافیک وب شما را ضبط کنند یا فایل‌های شخصی را سرقت کنند.

Wardriving

Wardriving نوع دیگری از حمله piggybacking است. همان‌گونه که اشاره کردیم، یک اکسس‌پوینت بی‌سیم می‌تواند محدوده وسیعی را گسترش دهد. اگر آن‌را در ارتفاع قرار دهید و مانع فیزیکی بر سر راه آن قرار نداشته باشد، سیگنال‌ها از فاصله بسیار دورتری از محل زندگی یا کار قابل دریافت هستند. هکرهای حرفه‌ای به‌خوبی از این نکته اطلاع دارند و با گشت‌وگذار در اطراف مجتمع‌های تجاری یا مسکونی با استفاده از لپ‌تاپ‌ خود که گاهي‌اوقات به آنتن‌های قدرتمندی متصل است، سعی می‌کنند به جست‌وجوی شبكه‌هاي بي‌سيم غیر‌ایمن پرداخته و آن‌ها را پیدا کنند. این عمل تحت عنوان wardriving شناخته می‌شود. 

حمله‌های دوقلو شیطانی (Evil Twin)

در یک حمله دوقلو شیطانی، هکرها اطلاعاتی در مورد شبکه سازمانی یا عمومی جمع‌آوری می‌کنند و با جعل هویت، شبکه خود را پیاده‌سازی می‌کنند. در این حالت هکرها از سیگنال پخشی قوی‌تری نسبت به سیگنال اکسس‌پوینت اصلی استفاده می‌کنند تا دستگاه‌های کاربران این سیگنال را دریافت کنند. در ادامه، کاربران بدون اطلاع به شبکه‌ای که سیگنال قوی‌تری ارسال می‌کند، متصل می‌شوند. از آن‌جایی که قربانی از طریق سیستم مهاجم به اینترنت متصل می‌شود، برای مهاجم ساده است از ابزارهای ویژه برای خواندن اطلاعاتی که قربانی از طریق اینترنت ارسال می‌کند، استفاده کند. این داده‌ها ممکن است شماره کارت اعتباری، ترکیب نام کاربری و رمز عبور و اطلاعات شخصی باشد. به همین دلیل، توصیه می‌شود همواره قبل از اتصال به یک هات‌اسپات عمومی، ابتدا اصالت آن‌را بررسی کنید. در این حالت، مطمئن خواهید بود به یک اکسس‌پوینت قابل اعتماد متصل می‌شوید. 

شنود بی‌سیم (Wireless Sniffing)

آمارها نشان می‌دهند بیشتر نقاط دسترسی عمومی که کاربران به آن‌ها متصل می‌شوند، ایمن نیستند و ترافیکی که این شبکه‌ها انتقال می‌دهند، رمزگذاری نمی‌شود. به‌طوری که ارتباطات یا تراکنش‌های حساس را در معرض خطر قرار می‌دهند. از آن‌جایی که اتصال به یک سایت به‌معنای انتقال اطلاعات است، هکرها می‌توانند از ابزارهای شنود برای به‌دست آوردن اطلاعات حساس مانند رمز عبور یا شماره کارت اعتباری استفاده کنند. به همین دلیل، باید اطمینان حاصل کنید، تمام نقاط دسترسی که به آن‌ها متصل می‌شوید حداقل از رمزگذاری WPA2 استفاده می‌کنند.

دسترسی غیرمجاز به کامپیوتر(Unauthorized Computer Access) 

یک شبکه بی‌سیم عمومی غیرامن همراه با مکانیزم اشتراک‌گذاری فایل غیر‌امن می‌تواند به هکرها اجازه دهد به هر فهرست و فایلی که خواسته یا ناخواسته به‌اشتراک‌ گذاشته شده دسترسی داشته باشند. اطمینان حاصل کنید که وقتی دستگاه‌های خود را به شبکه‌های عمومی متصل می‌کنید، مکانیزم اشتراک‌گذاری فایل‌ها و پوشه‌ها را غیرفعال کرده‌اید. مکانیزم اشتراک‌گذاری را تنها در شبکه‌های خانگی یا شبکه سازمانی مطمئن فعال کنید و تنها زمانی که اشتراک‌گذاری ضروری است، قابلیت فوق را فعال کنید. در صورت عدم نیاز، اطمینان حاصل کنید که اشتراک‌گذاری فایل غیرفعال است. رویکرد فوق مانع از آن می‌شود تا هکرها بتوانند به فایل‌های ذخیره‌شده روی کامپیوترها و دستگاه‌های همراه دسترسی داشته باشند. 

مطلب پیشنهادی

شبکه‌هایی پایدار و قابل اعتماد

شبکه‌های منطقه محلی از چه مولفه‌های زیربنایی تشکیل شده‌اند؟

Shoulder Surfing

در مکان‌های عمومی، هکرها می‌توانند هنگام تایپ نام کاربری و گذرواژه‌ها به‌سادگی دکمه‌هایی را که لمس می‌کنید یا فشار می‌دهید، مشاهده کنند و اطلاعات حساس را سرقت کنند. برای حل این مشکل، برخی شرکت‌ها و سازمان‌ها از محافظ‌های صفحه‌نمایش که زاویه دید افراد را محدود می‌کنند، استفاده می‌کنند. این محافظ‌ها با قیمت کمی قابل خریداری هستند. در مورد دستگاه‌های کوچک‌تر، مثل تلفن‌های همراه، بهتر است، هنگام وارد کردن اطلاعات حساس مطمئن شوید فردی در حال نگاه کردن به صفحه‌نمایش گوشی نیست. 

سرقت دستگاه‌های همراه (Theft of Mobile Devices)

هکرها برای دسترسی به داده‌های کاربران مجبور نیستند وقت خود را تنها صرف هک شبکه‌های بی‌سیم کنند، گاهی‌اوقات آن‌ها از طریق سرقت فیزیکی دستگاه سعی می‌‌کنند به‌شکل نامحدود به تمام داده‌های ذخیره‌‌شده روی دستگاه دسترسی پیدا کنند یا از آن برای دسترسی به اطلاعات حساب‌های کاربری (نام کاربری و گذرواژه‌) استفاده کنند. اتخاذ تدابیری برای محافظت از دستگاه‌ها در شرایطی که دستگاه گم یا سرقت می‌شود، ضروری است. بیشتر دستگاه‌های همراه مثل لپ‌تاپ‌ها می‌توانند به‌طور کامل اطلاعات کاربران را رمزگذاری کنند. در این حالت، هکرها نمی‌توانند بدون داشتن گذرواژه‌ یا شماره شناسایی شخصی (PIN) به لپ‌تاپ وارد شده و اطلاعات آن را سرقت کنند. علاوه بر این، پیشنهاد می‌شود قبل از ارسال اطلاعات به فضای ابری ابتدا روی دستگاه آن‌ها را رمزگذاری کنید و گذرواژه‌ برای برنامه‌هایی که قرار است به اطلاعات حساس دسترسی پیدا کنند، تعیین کنید. در نهایت، فایل‌هایی را که شامل اطلاعات شخصی یا حساس هستند به‌شکل جداگانه رمزگذاری کنید یا با گذرواژه‌ها از آن‌ها محافظت کنید. در این حالت، اگر هکری بتواند به دستگاه دسترسی پیدا کند با یک لایه محافظتی قدرتمند روبه‌رو می‌شود. 

برای به‌حداقل رساندن مخاطرات پیرامون شبکه‌های بی‌سیم چه کاری باید انجام دهیم؟ 

برای آن‌که از شبکه‌های بی‌سیم در برابر هکرها محافظت کنید باید برخی اصول امنیتی را رعایت کنید تا کار هکرها برای نفوذ به شبکه‌های بی‌سیم خانگی یا سازمانی را سخت‌تر کنید. از اصول مهمی که باید به آن‌ها دقت کنید به موارد زیر باید اشاره کرد:

گذرواژه‌های پیش‌فرض را تغییر دهید

بیشتر دستگاه‌های تحت شبکه، مثل اکسس‌‌پوینت‌های بی‌سیم با گذرواژه‌های پیش‌فرض در دسترس کاربران قرار دارند. این گذرواژه‌های پیش‌فرض به‌صورت آنلاین در دسترس همگان قرار دارند و در نتیجه مکانیزم امنیتی قدرتمندی به‌شمار نمی‌روند. تغییر گذرواژه‌های پیش‌فرض، دسترسی مهاجمان به دستگاه‌ها را سخت‌تر می‌کند. تغییر دوره‌ای و انتخاب گذرواژه‌ه‌های پیچیده مهم‌ترین راهکاری است که برای دفاع از دستگاه‌های تحت شبکه در اختیارتان قرار دارد. 

دسترسی را محدود کنید

فقط به کاربران مجاز اجازه دسترسی به شبکه را بدهید. هر دستگاه سخت‌افزاری متصل به شبکه یک آدرس کنترل دسترسی رسانه (MAC) دارد. شما می‌توانید با فیلتر کردن مک آدرس‌هایی که توانایی دسترسی به شبکه را دارند، تنها به تعداد محدودی از دستگاه‌ها اجازه اتصال به شبکه را بدهید. به‌طور معمول، هکرها برای نفوذ به شبکه و شکستن گذرواژه ابتدا باید به آن متصل شوند، اما اگر توانایی انجام این‌کار را نداشته باشند، قادر به انجام عملیات خرابکارانه بعدی نخواهند بود. علاوه بر این، می‌توانید از حساب «مهمان» استفاده کنید که یکی از پرکاربردترین ویژگی‌های روترهای بی‌سیم است. ویژگی فوق اجازه می‌دهد حریم خصوصی خود را حفظ کنید و یک اعتبار اولیه در اختیار کاربرانی قرار دهید که قصد اتصال به شبکه سازمانی را دارند، اما کارمند شرکت نیستند. در این حالت کاربران به یک کانال بی‌سیم جداگانه با گذرواژه‌ جداگانه دسترسی خواهند داشت. 

داده‌های موجود در شبکه خود را رمزگذاری کنید

رمزگذاری داده‌های بی‌سیم مانع از آن می‌شود تا هکرهایی که موفق به نفوذ به شبکه بی‌سیم شده‌اند از طریق تکنیک‌هایی مثل مرد میانی به شنود اطلاعات بپردازند. پروتکل‌های رمزگذاری مختلفی برای محافظت از داده‌ها وجود دارند که WPA2 و WPA3 از قدرتمندترین الگوریتم‌ها برای رمزگذاری داده‌ها هستند. در حال حاضر، WPA3 قوی‌ترین الگوریتم رمزگذاری است. در شرایطی که WPA2 و WPA از گزینه‌های موجود برای رمزگذاری اطلاعات هستند، اما اگر روتر از WPA3 پشتیبانی می‌کند، بهتر است از الگوریتم فوق استفاده کنید، زیرا کارشناسان امنیتی موفق به شناسایی آسیب‌پذیری‌هایی در پروتکل‌های WPA و WPA2 شده‌اند. 

از ویژگی SSID استفاده کنید

یکی از راهکارهایی که کارشناسان امنیتی سازمان‌ها برای مقابله با هکرها از آن استفاده می‌کنند، عدم انتشار عمومی SSID سرنام Service Set Identifier است. روترهای وای‌فای و اکسس‌‌پوینت‌ها به کاربران اجازه می‌دهند SSID دستگاه خود را پنهان کنند. همین مسئله باعث می‌شود تا یافتن شبکه برای مهاجمان دشوارتر شود. علاوه بر این، پیشنهاد می‌شود SSID را به یک نام منحصربه‌فرد تغییر دهید. اگر از نام‌های پیش‌فرض انتخاب‌شده توسط سازنده استفاده کنید به هکرها اجازه می‌دهید تا نوع روتر را شناسایی کنند و از آسیب‌پذیری‌های شناسایی‌شده در سفت‌افزار (Firmware) برای نفوذ به شبکه استفاده کنند. 

یک دیوارآتش نصب کنید

به‌طور معمول، بیشتر روترها همراه با یک دیوارآتش از‌ پیش ‌پیکربندی و نصب ‌شده در اختیار کاربران قرار می‌گیرند که قادر به مسدود کردن ترافیک مخرب هستند. با این‌حال، نصب دیوارهای آتشی مثل نمونه‌های مبتنی بر میزبان، امنیت شبکه سازمانی را بیشتر می‌کند. هکرهایی که بتوانند از مکانیزم‌های امنیتی عبور کنند، ممکن است توانایی گذر از دیوارهای آتش عادی را داشته باشند، اما یک دیوارآتش مبتنی بر میزبان یک لایه امنیتی اضافی برای محافظت از داده‌ها ارائه می‌کند. 

نرم‌افزار ضدویروس را به‌روز نگه دارید

نرم‌افزارهای ضدویروس تنها زمانی بهترین عملکرد را دارند که امضا جدیدترین ویروس‌ها و بدافزارها را داشته باشند. علاوه بر این، بیشتر برنامه‌های ضدویروس ویژگی‌های اضافی برای مقابله با جاسوس‌افزارها و ابزارهای تبلیغاتی را دارند. 

اشتراک‌گذاری فایل‌ها باید بر مبنای تمهیدات خاصی انجام شود

اولین نکته‌ای که باید به آن دقت کنید این است که اشتراک‌گذاری فایل‌ها بین دستگاه‌ها در صورت عدم نیاز باید غیرفعال شود. هنگام فعال‌سازی ویژگی اشتراک‌گذاری در سیستم‌عامل‌هایی مثل ویندوز باید مشخص کنید که قصد اشتراک‌گذاری فایل در شبکه عمومی یا خصوصی را دارید. همچنین، پیشنهاد می‌شود یک پوشه اختصاصی برای اشتراک‌گذاری فایل‌ها ایجاد کنید و دسترسی به پوشه‌های موجود روی یک درایو را غیرفعال کنید. هر فایل یا سندی که قرار است به‌اشتراک گذاشته شود باید با گذرواژه‌ محافظت شود. در نهایت، مهم‌ترین اصلی که باید به آن دقت کنید این است که هیچ‌گاه کل هارددیسک را برای اشتراک‌گذاری فایل انتخاب نکنید. 

سفت‌افزار اکسس‌پوینت را به‌روز نگه دارید

تولیدکنندگان اکسس‌‌پوینت‌های بی‌سیم، به‌طور دوره‌ای به‌روزرسانی‌ها و وصله‌هایی برای سفت‌افزار محصول خود منتشر می‌کنند. به همین دلیل، باید به‌طور پیوسته وب‌سایت سازنده را بررسی کنید تا هرگونه به‌روزرسانی یا وصله منتشر‌شده را دریافت کرده و روی دستگاه خود نصب کنید. 

با استفاده از یک شبکه خصوصی مجازی به شبکه اصلی سازمان متصل شوید

بیشتر شرکت‌ها و سازمان‌ها از شبکه خصوصی مجازی (VPN) استفاده می‌کنند. شبکه‌های خصوصی مجازی به کارمندان اجازه می‌دهند در زمان دورکاری به‌شکل ایمن به شبکه سازمانی متصل شوند. کاری که شبکه خصوصی انجام می‌دهد این است که از همان نقطه شروع ارتباط اقدام به رمزگذاری ارتباطات می‌کند؛ به‌طوری که هرگونه اطلاعاتی که از کامپیوتر کاربر برای شبکه سازمانی ارسال یا از آن دریافت می‌شود از همان ابتدا رمزگذاری می‌شود.