1 آبان 1392 13:35:6
امنيت شبكه هاي بيسيم
امنيت شبكه هاي بيسيم

شبكه هاي wire less

مقدمه

شبكه هاي كامپيوتري همانند بسياري از ابداعات ديگر ، حاصل رقابت هاي دوران جنگ سرد بين بلوك غرب وشرق است . اززماني كه شوروي سابق توانست در حركتي غير منتظره موشكي را به فضا بفرستد و پس از آن در حركتي غير منتظره تر ، نخستين انسان را به فضا اعزام كند، ايالات متحده لحظه اي آرام و قرار نداشت تا بتواند عقب ماندگي هاي خود را جبران كند ودر ميدان مسابقه ، گوي سبقت را از حريف بربايد. همين موضوع سرچشمه فعاليت هاي بسيار ديري شد كه يكي از آنها پروژه آرپا (ARPA) بود. پروژه اي كه وزارت دفاع آمريكا براي بررسي وضعيت جهان در پس از جنگ جهاني اتمي مي توانست باشد روي مي داد، وضعيت زير ساخت ها و ارتباطات چگونه مي شد و چگونه بايد سيستم ها را به نوعي طراحي كرد كه ارتباطات بين آنها برقرار و محفوظ بماند. براي همين آژانس آرپا تصميم گرفت ابتدا روي موضوع اتصال Main Frame برنامه ريزي كند و به همين منظور قرار دادي را براي تحقق اين امر با دانشگاه MIT منعقد نمود. در اواخر سال 1960 ميلادي ، اولين شبكه كامپيوتر متولد شد . شبكه هاي متشكل از چهار كامپيوتر كه در دانشگاه هاي MIT ( دو كامپيوتر ) . كاليفرنيا و استنفورد مستقر بودند. پسوند net به نام آرپا اضافه شد و آرپانت متولد گرديد.
شبكه هاي كامپيوتري از سال 1972به عموم معرفي شدند و آرپانت كه شبكه اي از كامپيوترهاي دانشگاه ها را فراهم آورده بود از طبقه بندي هاي ارتش خارج گرديد. متعاقب همين امر ، شركت زيراكس كه آزمايشگاه افسانه اي
PARC را در اختيار داشت . كار روي شبكه هاي كامپيوتري را شدت بخشيد و درسال 1973 رساله دكتراي باب متكالف را آزمايش كرد . نتيجه اين آزمايش موفقيت آميز چيزي شد كه نام قرار داد يا پروتكل اترنت را برآن نهادند. پروتكلي كه هنوز هم محبوبترين پروتكل شبكه بندي در سراسر جهان است و ميليون ها كامپيوتر از طريق آن با يكديگر ارتباط برقرار مي كنند. ابداع مهم ديگري كه راه توسعه شبكه ها را هموارتر تمود ابداع مهم ديگري كه راه توسعه شبكه ها را هموارتر نمود ابداع روش Packet Switching بود. اين روش جايگزين روش Circuit Switching شد از آن متداول بود. در نتيجه با روش جديد ديگر نيازي نبود كه يك ارتباط نقطه به نقطه ويك به يك بين كامپيوتر سرويس دهنده و سرويس گيرنده وجود داشته باشد . همين مفهوم هنگامي كه درسال 1974 با پروتكل TCP/IP عجين گرديد ويژگي هاي منحصر به فرد خود را بيشتر نشان داد. توسعه همين روندها منجر به پيدايش يك شبكه سراسريي شد كه مي توانست به خوبي در مقابل يك حمله اتمي تاب بياورد وبدون داشتن مركزيت واحد قابل كنترل باشد. اين گونه اينترنت به عنوان گسترده ترين و بزرگترين شبكه جهاني پديد آمد و همان گونه كه ازنام برمي آيد شبكه اي است بين شبكه ها ، تركيب جديد inter به همراه net به همين مفهوم اشاره داد. واين شبكه سراسري اكنون چنان درهمه جا خود را گسترانده است وگاهي اوقات كاركرد آن چنان بديهي مي نمايد كه براي برخي مفهوم شبكه همسان مفهوم اينترنت است وبسياري اين دو واژه را به جاي يكديگر به كار مي برند.
براي پياده سازي امنيـت در شبكه هاي بدون كابل از سه روش متفاوت استفاده مي شود :

WEP : Wired Equivalent Privacy . در روش فوق ، هدف توقف ره گيري سيگنال هاي فركانس راديوئي توسط كاربران غير مجاز بوده و براي شبكه هاي كوچك مناسب است . علت اين امر به عدم وجود پروتكل خاصي به منظور مديريت "كليد " بر مي گردد. هر "كليد " مي بايست به صورت دستي براي سرويس گيرندگان تعريف گردد. بديهي است در صورت بزرگ بودن شبكه ، فرآيند فوق از جمله عمليات وقت گير براي هر مدير شبكه خواهد بود . WEP ، مبتني بر الگوريتم رمزنگاري RC4 است كه توسط RSA Data System ارائه شده است . در اين رابطه تمامي سرويس گيرندگان و Aceess Point ها بگونه اي پيكربندي مي گردند كه از يك كليد مشابه براي رمزنگاري و رمزگشائي استفاده نمايند .
SSID: Service Set Identifier. روش فوق به منزله يك "رمزعبور" بوده كه امكان تقسيم يك شبكه WLAN به چندين شبكه متفاوت ديگر كه هر يك داراي يك شناسه منحصر بفرد مي باشند را فراهم مي نمايد . شناسه هاي فوق، مي بايست براي هر access point تعريف گردند. يك كامپيوتر سرويس گيرنده به منظور دستيابي به هر شبكه ، مي بايست بگونه اي پكربندي گردد كه داراي شناسه SSID مربوط به شبكه مورد نظر باشد . در صورتي كه شناسه كامپيوتر سرويس گيرنده با شناسه شبكه مورد نظر مطابقت نمايد ، امكان دستيابي به شبكه براي سرويس گيرنده فراهم مي گردد .

فيلترينگ آدرس هاي ( MAC ( Media Access Control : در روش فوق ، ليستي از آدرس هاي MAC مربوط به كامپيوترهاي سرويس گيرنده، براي يك Access Point تعريف مي گردد . بدين ترتيب ، صرفا" به كامپيوترهاي فوق امكان دستيابي داده مي شود . زماني كه يك كامپيوتر درخواستي را ايجاد مي نمايد ، آدرس MAC آن با آدرس MAC موجود در Access Point مقايسه شده و در صورت مطابقت آنان با يكديگر ، امكان دستيابي فراهم مي گردد . اين روش از لحاظ امنيتي شرايط مناسبي را ارائه مي نمايد ، ولي با توجه به اين كه مي بايست هر يك از آدرس هاي MAC را براي هر Access point تعريف نمود ، زمان زيادي صرف خواهد شد . استفاده از روش فوق، صرفا" در شبكه هاي كوچك بدون كابل پيشنهاد مي گردد

امنيت در شبكه هاي Wireless

در اين مقاله سعي داريم كه ابتدا يك ديد كلي و سريع نسبت به شبكه هاي بيسيم بدست بياريم و سپس امنيت در شبكه هاي بيسيم رو مورد بحث قرار بديم .

براي برپايي يك شبكه ي بيسيم ، به يك سري اجزاء احتياج هست . دقيقاً مثل شبكه هاي سيم دار ، اين اجزا شامل ابزارهاي فيزيكي ، ابزارهاي انتقال و پروتكلها هستند.

تجهيزات فيزيكي شامل كارتهاي شبكه وايرلس (WNIC) ، نقطه ي دسترسي يا Access Point (AP و آنتن هست . آنتنهاي ديش مانند رو Parabolic ، استوانه اي افقي رو Yagi و ميله اي عمودي رو Omni-directional ميگند .

ابزارها يا تكنولوژي هاي انتقال در شبكه هاي بيسيم هم عبارتند از : Infrared , Microwave , Satellite Microwave , Radio Wave , Spread Spectrum, Bluetooth و نهايتاً تكنولوژي SMS .

استاندارد مورد استفاده در شبكه هاي بيسيم كه توسط IEEE ارائه شده ، استاندارد 802.11 هست . اين استاندارد از سال 1997 تا حالا چندين بار به روز رساني شده كه با حروف a تا i مشخص ميشند .

پروتكل برنامه هاي كاربردي شبكه هاي بيسيم كه ارتباط بين تكنولوژي هاي مختلف مورد استفاده رو برقرار ميكنه Wireless application protocol يا WAP هست ، كه از سال 1998 ارائه شده و به مرور شامل بروزرساني شده .

بحث ما در اين مقاله روي Wireless LAN يا WLAN هست . اين نوع شبكه ها خيلي شبيه شبكه هاي اترنت هستند و در سازمانها و شركتها بيشترين كاربرد رو دارند .WLAN از تكنولوژي Radio Wave به عنوان ابزار انتقال استفاده ميكنه. دو نوع توپولوژي براي اين شبكه ها وجود داره كه شامل Ad-hoc و Infrastructure هست. در حالت Ad-hoc ، احتياجي به AP نيست و سيستمها مستقيم با هم ارتباط برقرار ميكنند . اين حالت يك شبكه peer-to-peer ، بدون كنترل كننده هست .

در حالت Infrastructure ، از AP استفاده ميشه .تمركز ما بر روي اين حالت هست. در حالت Infrastructure ، كلاينتهايي كه در يك گروه هستند و از يك AP مشترك استفاده مي كنند ، بايد داراي يك SSID يا Service Set Identifier يكسان و تنظيم شده روي AP باشند . SSID كه يك متغير 32 كاركتري منحصر به فرد براي هر سگمنت هست ، در ابتداي هدر هر packet قرار ميگيره . وقتي AP تنظيم ميشه ، و SSID ميگيره ، شروع ميكنه به ارسال SSID خودش به صورت broadcast . اين فريم اصطلاحاً SSID beacon ناميده ميشه و قابل رمزنگاري هم نيست . بنابرين هر شخصي ميتونه با يك sniff ساده ، AP هاي در دسترس رو شناسايي كنه . پس اولين قدم در امنيت شبكه هاي بيسيم در اين حالت ، در صورت امكان غيرفعال كردن SSID beacon frame broadcast هست .

وقتي WNIC روشن شد ، يك پروسه براي چك كردن SSID انجام ميشه كه به اون Association ميگند . در اين مرحله كلاينت به شبكه join شده ، اما هنوز نميتونه از شبكه استفاده كنه . بنابرين بايد مرحله Authentication رو انجام بده . در شبكه هاي WLAN دو نوع Authentication وجود داره . يكي Open system و ديگري Shared-key

در حالت اول هيچ رمزنگاري انجام نميشه و هر كلاينتي ميتونه به راحتي با داشتن SSID به شبكه متصل شه و از اون استفاده كنه . در حالت دوم يك key مورد نياز هست كه هر دوطرف ارتباط ، يعني كلاينت و AP بايد اون رو بدونند .

ايمن سازي شبكه هاي بيسيم

ايمن سازي در پروتكل

با گسترش شبكه هاي بيسيم و استفاده از WAP ، لزوم استفاده از يك پروتكل ايمن احساس شد . اين پروتكل كاري شبيه TLS انجام ميده و WTLS ناميده ميشه .

Wireless Transport Layer Security توانايي ايجاد integrity در داده و privacy براي دو طرف ارتباط و همچنين Authentication بين دو طرف ارتباط را داره .

WTLS براي تشخيص هويت از certificate استفاده ميكنه ، اگرچه اين امكان وجود داره كه از اين بخش صرف نظر كرد . كه البته باعث كاهش امنيت ميشه .

ايمن سازي در AP

براي ايمن كردن بيشتر AP ، چند كار ميشه انجام داد . اول همونطور كه در بالا اشاره شد ، disable كردن SSID beacon frame broadcast هست . مرحله ي بعد استفاده از WEP هست كه در اين مورد ميتونيد به مقاله ارائه شده مراجعه كنيد .

 

                                   

 

 

Powered by Tetis PORTAL