نقاط أساسية ومهمة جدًا حول أمان WiFi

أمان WiFi

أمان WiFi

نقاط مهمة حول أمان  WiFi ، لأن الاتصال اللاسلكي بطبيعته أقل أمانًا.

 

 يعد أمان  WiFi  أكثر من مجرد تعيين كلمة مرور. من خلال قضاء بعض الوقت في تعلم واستخدام إجراءات الأمان المتقدمة ، يمكنك إيجاد طريقة رائعة لحماية شبكتك بشكل أفضل. فيما يلي خمس نصائح لأمان شبكة  Wi-Fi  وهي مهمة جدًا وفعالة.

استخدم اسم شبكة غير عادي أو مخفي ( SSID )

معرف الخدمة ( SSID ) هو أحد الدعائم الأساسية لإعدادات شبكة  Wi-Fi  . على الرغم من أن اسم الشبكة لا يبدو أنه يعرض الأمان للخطر ، إلا أنه يمكن أن يساعد بلا شك في نقاط الضعف. قد يؤدي استخدام  SSID  الشائع جدًا ، مثل ” لاسلكي ” أو الاسم الافتراضي للبائع ،  إلى اختراق أمان WPA  أو  WPA2 المخصص  . وذلك لأن خوارزمية التشفير يتضمن  SSID  ، و تكسير المعاجم   يتم استخدامها من قبل المتسللين   محملة الافتراضي SSID . استخدام واحد من هؤلاء يجعل مهمة المتسلل أسهل.

(كما سنرى ، تتمثل إحدى مزايا استخدام وضع المؤسسة في أن الشبكات التي تستخدم وضع مؤسسة  WPA  أو أمان  WPA2  تكون أقل عرضة للخطر.)

 

“اتصل بشبكتك الذكية – شيء عام ، ولكن ليس شائعًا جدًا دون الكشف عن الموقع”

ومع ذلك ، قد نختار اسم  SSID  بشكل شائع جدًا ، مثل اسم الشركة أو العنوان أو رقم الترخيص ، والتي قد لا تكون أفضل فكرة. خاصة إذا كانت شبكتك في مبنى واحد أو بالقرب منه. إذا مر المتسللون عن طريق الخطأ  واكتشفوا ، على سبيل المثال ، اثنتي عشرة شبكة Wi-Fi مختلفة  ، فمن المحتمل أن يحددوا واحدة من أسهل الشبكات التي يمكن اختراقها. من السهل أيضًا العثور على نقاط الضعف في منطقة مزدحمة.

 يمكنك   تعطيل بث SSID ، مما يجعل اسم الشبكة الخاص بك غير مرئي ، لكنني لا أوصي بذلك. إجبار المستخدمين على إدخال SSID يدويًا  ، والتأثيرات السلبية لمشكلة أداء التطبيق   في  شبكة Wi-Fi ، عادةً ما لا يتم تأمين الفوائد ، يمكن أن يكون المتسلل الذي يمتلك الأدوات المناسبة هو حركة المرور من شبكة SSID أخرى    .

 

لا تنسى الأمن الجسدي

الأمن اللاسلكي – أو كل أمن الشبكات في التقنيات الجديدة والحديثة لم يتم تلخيصه في البروتوكولات. يمكن أن يكون لديك أفضل تشفير ولا تزال عرضة للخطر. الأمن المادي هو أحد تلك الثغرات الأمنية.

تحتوي نقاط الوصول المتعددة ( APs ) على زر إعادة تعيين يمكن الضغط عليه لإعادة تعيين إعدادات المصنع الافتراضية بالإضافة إلى إزالة أمان  Wi-Fi  والسماح لأي شخص بالاتصال. بهذه الطريقة ،   يجب أن تكون نقاط الوصول الموزعة عبر نظامك آمنة ماديًا ومحمية أيضًا من برامج التجسس. تأكد من أنها دائما بعيدا عن متناول واستخدام آلية مؤمن من قبل AP بائع   لتقييد الوصول الفعلي إلى AP أزرار   والموانئ. 

آخر قلق الأمن المادي عن  خدمة الواي فاي  عندما يقوم شخص ما   يضيف غير المصرح به AP بالشبكة، ويشار إليه باعتباره ”   AP المارقة  “. قد يكون هذا لأسباب قانونية من قبل موظف يريد تغطية المزيد من  شبكات Wi-Fi  ، أو عن طريق شخص خارجي يحاول الوصول إلى المركز.

لمنع هذا النوع من  AP  ، تأكد من   أن غير المستخدمة تعطيل إيثرنت الموانئ (منافذ الجدار أو الإيثرنت فضفاضة).

 يمكنك إزالة المنافذ أو الكابلات فعليًا أو تعطيل اتصال الكبل هذا على جهاز التوجيه أو المحول. أو إذا كنت تريد حقًا زيادة الأمان ، فقم بتمكين مصادقة 802.1 X  على الشبكة ، الأمر الذي يتطلب دعمًا لجهاز التوجيه أو المحول ، لذا يجب تسجيل الدخول إلى أي جهاز يتصل بمنفذ Ethernet للوصول إلى الشبكة. أدخل صفحة تسجيل الدخول.

و  WPA2  المؤسسة المصادقة 802.1 X  استخدام

تعد Wi-Fi من أكثر آليات الأمان فاعلية  ، حيث  تضع المؤسسة في شبكة Wi-Fi آمنة   لأن كل مستخدم يقوم بمصادقة كل مستخدم على حدة بحيث يمكن للجميع استخدام اسم المستخدم وكلمة المرور الخاصة  بشبكة Wi-Fi  . لذلك إذا فُقد كمبيوتر محمول أو جهاز محمول أو سُرق أو غادر موظف الشركة ، فكل ما هو مطلوب هو (تغيير أو إلغاء معلومات مستخدم محددة).

 (في الوضع الشخصي ، يشارك جميع المستخدمين كلمة مرور Wi-Fi ، لذلك عند فقدان الأجهزة أو مغادرة موظفيك ، يجب عليك تغيير كلمة المرور على كل جهاز – دون أي متاعب.)

 ميزة أخرى رائعة لوضع المؤسسة هي أن لكل مستخدم مفتاحه الخاص. هذا يعني أن المستخدمين يمكنهم فقط مراقبة حركة مرور البيانات الخاصة بهم.

لوضع  نقاط الوصول  في وضع المؤسسة ، يجب عليك أولاً  إعداد خادم  RADIUS . يسمح هذا للمستخدم بالمصادقة. يتصل بقاعدة بيانات أو دليل (مثل  Active Directory ) ويسترد أسماء المستخدمين وكلمات المرور الخاصة بكل مستخدم.

إذا كنت ترغب في  تثبيت خادم  RADIUS مستقل ، فمن الأفضل أولاً التحقق مما إذا كانت الخوادم الأخرى (مثل خادم Windows) قد وفرت هذه الوظيفة بالفعل ، إذا لم يكن الأمر كذلك ، فقم بتثبيت خدمة  RADIUS  على أساس السحابة أو  المضيف  .

ضع في اعتبارك أيضًا أن بعض نقاط الوصول أو وحدات التحكم اللاسلكية توفر قاعدة أساسية مدمجة في خادم  RADIUS  ، لكن أدائها وقدراتها المحدودة عادة ما تكون مفيدة للشبكات الأصغر.

“باستخدام أمان Wi-Fi للمؤسسات   ، يحتاج المستخدمون إلى اسم المستخدم وكلمة المرور الفريدين عند الاتصال.”

 

 تأمين إعدادات العميل 802.1 X.

مثل تقنيات الأمان الأخرى ،  لا يزال وضع Wi-Fi الخاص بالمؤسسات  به ثغرات أمنية. أحد هذه الهجمات هو  رجل في الوسط  . يمكن للمتسلل الذي يجلس في مطار أو مقهى أو حتى خارج ساحة انتظار مكتب الشركة ، إنشاء  شبكة Wi-Fi  مزيفة باستخدام نفس  SSID  أو ما شابه مثل الشبكة التي تحاول محاكاتها ؛  يمكن لخادم RADIUS المزيف تسجيل بيانات اعتماد تسجيل الدخول الخاصة بك عندما يحاول الكمبيوتر المحمول أو الجهاز الاتصال  . يمكن للمخترق بعد ذلك استخدام بيانات اعتماد تسجيل الدخول الخاصة بك للاتصال بشبكة Wi-Fi حقيقية   .

تتمثل إحدى طرق منع هجمات  man-in-the-middle   بمصادقة 802.1 في استخدام مصادقة الخادم على خدمة العميل. عند تمكين مصادقة الخادم على العميل اللاسلكي ،  لن يقوم العميل بنقل بيانات اعتماد تسجيل الدخول إلى Wi-Fi إلى   خادم  RADIUS حتى يتصل بخادم شرعي. تختلف القدرة على التحقق بدقة من الخادم والمتطلبات التي يمكنك فرضها على العملاء اعتمادًا على جهاز العميل أو نظام التشغيل.

على سبيل المثال ، في Windows ، يمكنك إدخال اسم المجال لخادم شرعي ، وتحديد ترخيص شهادة مُصدر الخادم ، ثم تنفيذ كل ترخيص خادم جديد أو ترخيص شهادة. لذلك إذا قام شخص ما بإعداد شبكة Wi-Fi مزيفة   وخادم  RADIUS  وحاولت تسجيل الدخول عن طريق الخطأ ، فسيقوم Windows بمنعك من الاتصال.

“عندما تقوم بضبط الإعدادات لتكوين  EAP  connect  Wi-Fi ، فإن خادم التحقق يتميز بـ 802.1 X  لا يمكن لـ Windows العثور عليه.”

 

استخدم اكتشاف  Rogue-AP  أو منع التطفل اللاسلكي

لقد بحثنا بالفعل في ثغرات نقاط AP في ثلاثة سيناريوهات  : حيث يمكن للمهاجم إنشاء شبكة Wi-Fi مزيفة   وخادم  RADIUS  ؛ آخر يمكن  إعادة تعيين ل  AP إلى إعدادات المصنع الافتراضية وثالثة، فإن الشخص   يمكن أن يدخل نفسه له شخصية AP إلى الشبكة.

قد يكتشف فريق تكنولوجيا المعلومات أيًا من نقاط الوصول غير المصرح بها هذه  لفترة طويلة إذا لم تكن محمية بشكل صحيح. لذلك ، من المستحسن تمكين أي اكتشاف  Rogue-AP  يوفره  AP  أو بائع وحدة التحكم اللاسلكية. بالضبط طريقة الكشف والعملية يختلف، ولكن أكثرهم لا يقل عن مسح دوري موجات الأثير و  يحذرك إذا كان  جديد AP تم الكشف ضمن النطاق المسموح به.

مثال بسيط هو تحديد ” Rogue-AP  ، باستخدام  مجاملة  من  Cisco  حيث يمكنك تصفح منطقة  AP  الأخرى في منطقتك.

القدرة على اكتشاف المزيد ، بعض  AP   عبارة عن نظام لاكتشاف التسلل لاسلكي كامل ( WIDS ) أو نظام حماية الدخول ( WIPS ) الذي يمكن أن يتراوح بين الهجمات على الأنشطة اللاسلكية والمشبوهة المرتبطة بـ  Rogue-AP  and Identify ، والتي تتضمن مصادقة خاطئة الطلبات وطلبات الخادم منتهية الصلاحية وإساءة استخدام عنوان Mac.

 بالإضافة إلى ذلك ، إذا كنت تستخدم  WIPS  أصليًا يوفر الحماية ، وليس  WIDS  الذي يكتشف فقط ، فيجب أن يكون قادرًا على تنفيذ إجراءات آلية مثل إزالة أو حظر عميل لاسلكي مشتبه به لحماية الشبكة المهاجمة.

إذا  لم يكن لدى موفر  AP الخاص بك ميزات أمان مضمنة لمكافحة الفيروسات أو   لا يدعم WIPS ، ففكر في حل جهة خارجية. قد تنظر في الحلول المستندة إلى المستشعرات التي يمكنها مراقبة أداء  Wi-Fi  ومشكلات الأمان من شركات مثل 7 SIGNAL و  Cape Networks  و  NetBeez  .

شبكة Wi-Fi هي  نقطة دخول يمكن للقراصنة استخدامها للوصول إلى الشبكة دون الدخول إلى المبنى الخاص بك ، لأن الاتصال اللاسلكي أكثر عرضة للخطر من الشبكات السلكية. لنكن أكثر حذراً بشأن أمان اتصالنا.

شاهد أيضًا ماذا تعرف عن أمن الشبكة؟

follow on facebook
follow on linkedin
follow on Reddit

قم بكتابة اول تعليق

Leave a Reply

لن يتم نشر بريدك الالكتروني في اللعن


*