books security measures

هناك مجموعة من التدابير الأمنية اللاسلكية، متفاوتة الفعالية والتطبيق العملي:

SSID الاختباء

تتمثل طريقة بسيطة ولكنها غير فعالة لمحاولة تأمين شبكة لاسلكية في إخفاء SSID ( معرف مجموعة الخدمة). يوفر هذا القليل جدًا من الحماية ضد أي شيء سوى جهود التطفل غير الرسمية.

تصفية معرف MAC

واحدة من أبسط التقنيات هي السماح بالوصول فقط من عناوين MAC المعروفة والموافقة عليها مسبقًا. تحتوي معظم نقاط الوصول اللاسلكية على نوع من تصفية معرف MAC . ومع ذلك، يمكن للمهاجم ببساطة استنشاق عنوان MAC الخاص بالعميل المعتمد وتزوير هذا العنوان.

عنوان IP ثابت

توفر نقاط الوصول اللاسلكية النموذجية عناوين IP للعملاء عبر DHCP . إن مطالبة العملاء بتعيين عناوينهم الخاصة يجعل الأمر أكثر صعوبة بالنسبة للمتطفل العادي أو غير المتطور لتسجيل الدخول إلى الشبكة، ولكنه يوفر حماية قليلة ضد أي مهاجم متطور.

802.11 الأمن

IEEE 802.1X هي آليات المصادقة القياسية لـ IEEE للأجهزة التي ترغب في توصيل شبكة LAN لاسلكية.

العادية WEP

كان معيار تشفير Wired Equivalent Privacy (WEP) هو معيار التشفير الأصلي للشبكات اللاسلكية، لكن منذ عام 2004 مع التصديق على WPA2 ، أعلن IEEE أنه "مهمل" ، وفي حين أنه غالبًا ما يكون مدعومًا، إلا أنه نادرًا ما يكون افتراضيًا أو غير افتراضي أبدًا في الرجعية.

أثيرت مخاوف بشأن أمنها في وقت مبكر من عام 2001 ، أثبتت بشكل كبير في عام 2005 من قبل مكتب التحقيقات الفيدرالي ، ولكن في عام 2007 اعترف تي جيه ماكس ماكس بانتهاك أمني هائل يرجع جزئيا إلى الاعتماد على WEP وبطاقة الدفع استغرق الصناعة حتى عام 2008 لحظر استخدامه - وحتى ذلك الحين سمح للاستخدام الحالي بالاستمرار حتى في شهر يونيو من عام 2010.

WPAv1

تم إنشاء بروتوكولي أمان "الوصول المحمي بالدقة اللاسلكية" (WPA و WPA2) لاحقًا لمعالجة مشكلات WEP. إذا تم استخدام كلمة مرور ضعيفة، مثل كلمة في قاموس أو سلسلة أحرف قصيرة، فيمكن كسر WPA و WPA2. باستخدام كلمة مرور عشوائية طويلة بما يكفي (على سبيل المثال 14 حرفًا عشوائيًا) أو عبارة مرور (على سبيل المثال 5 كلمات تم اختيارها عشوائيًا ) يجعل مفتاح WPA المشترك مسبقًا غير قابل للتجزئة فعليًا. يعتمد الجيل الثاني من بروتوكول أمان WPA (WPA2) على التعديل النهائي IEEE 802.11i لمعيار 802.11 وهو مؤهل للتوافق مع FIPS 140-2 . مع كل أنظمة التشفير هذه، يمكن لأي عميل في الشبكة يعرف المفاتيح أن يقرأ كل حركة المرور تلك.

يعد الوصول المحمي بالدقة اللاسلكية (WPA) بمثابة تحسين للبرامج / البرامج الثابتة عبر WEP. جميع معدات WLAN العادية التي عملت مع WEP يمكن ترقيتها ببساطة ولا يلزم شراء أي معدات جديدة. WPA هو إصدار تم خفضه من معيار الأمان 802.11i والذي تم تطويره بواسطة IEEE 802.11 لاستبدال WEP. تم تطوير خوارزمية تشفير TKIP لـ WPA لتوفير تحسينات على WEP والتي يمكن إرسالها كترقية للبرامج الثابتة إلى أجهزة 802.11 الحالية. يوفر ملف تعريف WPA أيضًا دعمًا اختياريًا لخوارزمية AES-CCMP التي تعد الخوارزمية المفضلة في 802.11i و WPA2.

يوفر WPA Enterprise مصادقة تستند إلى RADIUS باستخدام 802.1X. يستخدم WPA Personal مفتاحًا مشتركًا متناسقاً مسبقًا ( PSK ) لإنشاء الأمان باستخدام عبارة مرور تتكون من 8 إلى 63 حرفًا. يمكن أيضًا إدخال PSK كسلسلة سداسية عشرية مكونة من 64 حرفًا. يمكن كسر عبارات مرور PSK الضعيفة باستخدام هجمات القاموس دون اتصال عن طريق التقاط الرسائل في التبادل الرباعي عندما يعيد العميل الاتصال بعد المصادقة. يمكن للأجنحة اللاسلكية مثل aircrack-ng كسر عبارة مرور ضعيفة في أقل من دقيقة. أخرى WEP / WPA المفرقعات هي AirSnort و Auditor Security Collection . ومع ذلك، يكون WPA Personal آمنًا عند استخدامه مع عبارات مرور "جيدة" أو مفتاح سداسي عشري كامل مكون من 64 حرفًا.

ومع ذلك، كانت هناك معلومات تفيد بأن Erik Tews (الرجل الذي أنشأ هجوم التجزئة على WEP) كان سيكشف عن طريقة لكسر تنفيذ WPA TKIP في مؤتمر الأمن PacSec بطوكيو في شهر نوفمبر بعام 2008 ، مما أدى إلى تمرير التشفير على حزمة ما بين 12 -15 دقيقة. ومع ذلك، فإن الإعلان عن هذه "الكراك" كان مبالغًا فيه إلى حد ما من قبل وسائل الإعلام، لأنه اعتبارًا من شهر أغسطس في عام 2009 ، كان أفضل هجوم على WPA (هجوم Beck-Tews) ناجحًا جزئيًا فقط لأنه يعمل فقط على البيانات القصيرة الحزم، فإنه لا يمكن فك تشفير مفتاح WPA ، ويتطلب تطبيقات WPA محددة للغاية من أجل العمل.

الإضافات إلى WPAv1

بالإضافة إلى WPAv1 ، يمكن إضافة TKIP و WIDS و EAP إلى الجانب. أيضًا، قد يتم إعداد شبكات VPN (اتصالات شبكة آمنة غير مستمرة) وفقًا لمعيار 802.11. تتضمن تطبيقات VPN PPTP و L2TP و IPsec و SSH . ومع ذلك، يمكن أيضًا تكسير طبقة الأمان الإضافية هذه بأدوات مثل Anger وDeceit و Ettercap لـ PPTP ؛ و ike -scan و IKEProbe و ipsectrace و IKEcrack لاتصالات IPsec.

TKIP

يرمز هذا إلى بروتوكول Temporal Key Integrity Protocol ويظهر الاختصار باسم tee-kip. هذا جزء من معيار IEEE 802.11i. تطبق TKIP خلط المفاتيح لكل حزمة مع نظام إعادة القفل وتوفر أيضًا فحصًا لتكامل الرسائل. هذه من شأنها بأن تجنب مشاكل WEP.

EAP

إن تحسين WPA على معيار IEEE 802.1X قد حسن بالفعل المصادقة والترخيص للوصول إلى الشبكات المحلية اللاسلكية والشبكات السلكية. بالإضافة إلى ذلك، بدأت تدابير إضافية مثل بروتوكول المصادقة القابل للامتداد (EAP) بقدر أكبر من الأمان. هذا، لأن EAP يستخدم خادم مصادقة مركزي. لسوء الحظ، خلال عام 2002 اكتشف أستاذ ماريلاند بعض أوجه القصور. على مدار السنوات القليلة المقبلة، تمت معالجة أوجه القصور هذه باستخدام TLS والتحسينات الأخرى. هذه النسخة الجديدة من EAP تسمى الآن Extended EAP وهي متوفرة في عدة إصدارات ؛ وهي تشمل: EAP-MD5 و PEAPv0 و PEAPv1 و EAP-MSCHAPv2 و LEAP و EAP-FAST و EAP-TLS و EAP-TTLS و MSCHAPv2 و EAP-SIM.

EAP-(الإصدارات)

تتضمن إصدارات EAP LEAP و PEAP و EAP الأخرى.

LEAP

هذا يمثل بروتوكول المصادقة القابل للامتداد خفيف الوزن. يعتمد هذا البروتوكول على 802.1X ويساعد في تقليل الثغرات الأمنية الأصلية باستخدام WEP ونظام إدارة مفاتيح متطور. يعد إصدار EAP هذا أكثر أمانًا من EAP-MD5. يستخدم هذا أيضًا مصادقة عنوان MAC. LEAP غير آمن ؛ يمكن استخدام THC-LeapCracker لكسر نسخة Cisco من LEAP واستخدامها ضد أجهزة الكمبيوتر المتصلة بنقطة وصول في شكل هجوم القاموس . Anwrap و asleap في النهاية هي المفرقعات الأخرى القادرة على كسر LEAP.

PEAP

هذا يمثل بروتوكول المصادقة القابل للامتداد المحمي. يسمح هذا البروتوكول بنقل آمن للبيانات وكلمات المرور ومفاتيح التشفير دون الحاجة إلى خادم شهادات. تم تطوير هذا البروتوكول بواسطة Cisco و Microsoft و RSA Security .

EAPs الأخرى: هناك أنواع أخرى من تطبيقات بروتوكول المصادقة القابل للامتداد التي تستند إلى إطار EAP. يدعم الإطار الذي تم إنشاؤه أنواع EAP الحالية وكذلك أساليب المصادقة المستقبلية. يوفر EAP-TLS حماية جيدة للغاية بسبب المصادقة المتبادلة. تتم مصادقة كل من العميل والشبكة باستخدام الشهادات ومفاتيح WEP لكل جلسة. EAP-FAST أيضًا حماية جيدة. EAP-TTLS هو بديل آخر من إنتاج Certicom و Funk Software. إنه أكثر ملاءمة حيث لا يحتاج المرء إلى توزيع الشهادات على المستخدمين، ولكنه يوفر حماية أقل قليلاً من EAP-TLS.

شبكات الوصول المقيدة

تتضمن الحلول نظامًا أحدث للمصادقة ، IEEE 802.1X ، يعد بتعزيز الأمان على كل من الشبكات السلكية واللاسلكية. غالبًا ما تحتوي نقاط الوصول اللاسلكية التي تتضمن تقنيات مثل هذه على أجهزة توجيه مدمجة، وبذلك تصبح بوابات لاسلكية .

التشفير من النهاية إلى النهاية

يمكن للمرء أن يجادل بأن كلاً من أساليب تشفير الطبقة 2 و 3 ليست جيدة بما يكفي لحماية البيانات القيمة مثل كلمات المرور ورسائل البريد الإلكتروني الشخصية. تضيف هذه التقنيات التشفير فقط إلى أجزاء من مسار الاتصال، مع السماح للأشخاص بالتجسس على حركة المرور إذا تمكنوا من الوصول إلى الشبكة السلكية بطريقة أو بأخرى. قد يكون الحل هو التشفير والترخيص في طبقة التطبيق، وذلك باستخدام تقنيات مثل SSL و SSH و GnuPG و PGP وما شابه.

أما العيب في الطريقة من البداية إلى النهاية، فقد يفشل في تغطية كل حركة المرور. باستخدام التشفير على مستوى جهاز التوجيه أو VPN ، يقوم مفتاح واحد بتشفير كل حركة المرور، حتى عمليات البحث عن UDP و DNS. من خلال التشفير من طرف إلى طرف من ناحية أخرى، يجب أن يكون لكل خدمة يتم تأمينها تشفيرها "قيد التشغيل" ، وغالبًا ما يجب أيضًا "تشغيل" كل اتصال على حدة. لإرسال رسائل البريد الإلكتروني، يجب أن يدعم كل مستلم طريقة التشفير، ويجب أن تتم عملية تبادل المفاتيح بشكل صحيح. بالنسبة إلى الويب ، لا تقدم جميع مواقع الويب https ، وحتى إذا حدث ذلك ، يرسل المستعرض عناوين IP بنص واضح غير مشفر.

المورد الأكثر قيمة هو الوصول إلى الإنترنت في كثير من الأحيان. سيواجه مالك شبكة LAN المكتب الذي يسعى إلى تقييد هذا الوصول مهمة فرض غير بديهية تتمثل في قيام كل مستخدم بمصادقة نفسه لجهاز التوجيه.

802.11i الأمن

الأمان الأحدث والأكثر صرامة الذي يتم تنفيذه في شبكات WLAN اليوم هو معيار 802.11i RSN. ومع ذلك ، يتطلب معيار 802.11i الكامل (والذي يستخدم WPAv2) أحدث الأجهزة (على عكس WPAv1) ، وبالتالي قد يتطلب شراء معدات جديدة. قد تكون هذه الأجهزة الجديدة المطلوبة إما AES-WRAP (إصدار سابق من 802.11i) أو أحدث وأجدد وأفضل ، مثل المعدات: AES-CCMP. ينبغي للمرء أن يتأكد من أن الشخص يحتاج إلى WRAP أو CCMP-equipment ، لأن معايير الأجهزة 2 غير متوافقة.

WPAv2

WPA2 هي نسخة تحمل علامة WiFi Alliance لمعيار 802.11i النهائي. التحسين الأساسي على WPA هو تضمين خوارزمية AES-CCMP كميزة إلزامية. يدعم كل من WPA و WPA2 أساليب مصادقة EAP باستخدام خوادم RADIUS والمفتاح الذي تمت مشاركته مسبقًا (PSK).

يتزايد عدد شبكات WPA و WPA2 ، بينما يتناقص عدد شبكات WEP ، بسبب ثغرات أمنية واضحة ومكشوفة وسهلة الإستغلال في WEP.

تم العثور في بروتوكول WPA2 (على الأقل) مشكلة واحدة وهي عدم وجود حصانة أمان واحدة ، والمشكلة ملقبة بـ Hole196. تستخدم مشكلة عدم الحصانة WPA2 Group Temporal Key (GTK) ، وهو مفتاح مشترك بين جميع مستخدمي نفس BSSID ، لشن هجمات على مستخدمين آخرين لنفس BSSID . تم تسميته بعد الصفحة 196 من مواصفات IEEE 802.11i ، حيث تمت مناقشة مشكلة عدم الحصانة. لكي يتم تنفيذ هذا الاستغلال ، يجب أن يعرف المهاجم قيمة GTK.

الإضافات إلى WPAv2

على عكس 802.1X ، يحتوي 802.11i بالفعل على معظم خدمات الأمان الإضافية مثل TKIP. كما هو الحال مع WPAv1 ، قد تعمل WPAv2 بالتعاون مع EAP و WIDS .

WAPI

هذا يمثل مصادقة شبكة WLAN والبنية التحتية للخصوصية. هذا معيار أمان لاسلكي تحدده الحكومة الصينية .

البطاقات الذكية ، الرموز المميزة لـ USB ، الرموز المميزة للبرامج

هذا هو الشكل القوي جدا من الأمن. عند دمجها مع بعض برامج الخادم ، فإن الجهاز أو بطاقة البرنامج أو الرمز المميز سيستخدم رمز الهوية الداخلية الخاص به مع رمز PIN الذي أدخله المستخدم لإنشاء خوارزمية قوية ستؤدي في كثير من الأحيان إلى إنشاء رمز تشفير جديد. سيتم مزامنة الوقت للبطاقة أو الرمز المميز للخادم. هذه طريقة آمنة جدًا لإجراء عمليات الإرسال اللاسلكية. تصنع الشركات في هذا المجال رموز USB ورموز البرامج والبطاقات الذكية . حتى أنها تجعل إصدارات الأجهزة التي تتضاعف بمثابة شارة صورة الموظف. حاليا التدابير الأمنية الأكثر أمانا هي البطاقات الذكية / الرموز المميزة لـ USB. ومع ذلك ، هذه تُعتبر غالية الثمن. الطرق الأكثر أمانًا التالية هي WPA2 أو WPA مع خادم RADIUS. أي واحد من الثلاثة سيوفر قاعدة جيدة للأمن. العنصر الثالث في القائمة هو تثقيف كل من الموظفين والمقاولين بشأن المخاطر الأمنية والتدابير الوقائية الشخصية.

من مهام تكنولوجيا المعلومات أيضًا الحفاظ على قاعدة معارف عمال الشركة محدثة بشأن أي مخاطر جديدة ينبغي توخي الحذر بشأنها. إذا كان الموظفون متعلمين ، ستكون هناك فرصة أقل بكثير من أن يتسبب أي شخص بطريق الخطأ في خرق للأمن من خلال عدم إغلاق الكمبيوتر المحمول أو إحضار نقطة وصول مفتوحة على مصراعيها إلى المنزل لتوسيع نطاق هواتفهم المحمولة. يجب أن يكون الموظفون على دراية بأن أمان الكمبيوتر المحمول للشركة يمتد إلى خارج جدران موقعهم أيضًا. ويشمل ذلك أماكن مثل المقاهي التي يمكن أن يكون العمال فيها أكثر عرضة للخطر.

يتعامل العنصر الأخير في القائمة مع إجراءات دفاع نشطة على مدار الساعة طوال أيام الأسبوع لضمان أن شبكة الشركة آمنة ومتوافقة. يمكن أن يأخذ هذا شكل البحث بانتظام في سجلات نقطة الوصول والخادم وجدار الحماية لمحاولة اكتشاف أي نشاط غير عادي. على سبيل المثال ، إذا مرت أي ملفات كبيرة بنقطة وصول في الساعات الأولى من الصباح ، فسيكون من الضروري إجراء تحقيق جدي في الحادث. هناك عدد من البرامج والأجهزة التي يمكن استخدامها لتكملة السجلات المعتادة وإجراءات السلامة المعتادة الأخرى.

RF التدريع

من السياسات العملية والمجدية حقاً في بعض الحالات بأن يتم تطبيق عمليات مهنية بحتة لاعلاقة لها بالتقنية مثل: طلاء الجدران وأفلام النوافذ على غرفة أو مبنى للتخفيف من قوة ترددات الإشارات اللاسلكية بشكل كبير ، مما يحول دون انتشار الإشارات خارج المنشأة. يمكن أن يؤدي ذلك إلى تحسين الأمان اللاسلكي بشكل كبير لأنه من الصعب على المتسللين تلقي الإشارات خارج المنطقة الخاضعة لسيطرة المؤسسة ، مثل مواقف السيارات.

الدفاع المتعلق بالحرمان من الخدمة

من السهل اكتشاف معظم هجمات حجب الخدمة. ومع ذلك ، يصعب إيقاف الكثير منها حتى بعد الاكتشاف. فيما يلي ثلاثة من أكثر الطرق شيوعًا لإيقاف هجوم DoS:

الاختراق الأسود

يعد الاختراق الأسود أحد الطرق الممكنة لإيقاف هجوم DoS. هذا هو الموقف حيث نقوم بإسقاط جميع حزم IP من المهاجمين. هذه ليست استراتيجية طويلة الأجل ولاتعتبر جيدة للغاية ، لأن المهاجمين يمكنهم تغيير عنوان مصدرهم بسرعة كبيرة.

قد يكون لهذا آثار سلبية إذا تم القيام به تلقائيًا. يمكن للمهاجم أن يتعمد إرسال حزم الهجوم باستخدام عنوان IP الخاص بشريك الشركة. الدفاعات التلقائية يمكن أن تمنع حركة المرور المشروعة من هذا الشريك وتسبب مشاكل إضافية.

التحقق من المصافحة

يتضمن التحقق من المصافحة إنشاء فتحات خاطئة ، وعدم تخصيص الموارد جانبا حتى يقر المرسل. تعالج بعض جدران الحماية فيضان SYN عن طريق التحقق المسبق من مصافحة TCP. يتم ذلك عن طريق إنشاء فتحات خاطئة. عند وصول شريحة SYN ، يرسل جدار الحماية شريحة SYN / ACK ، دون تمرير مقطع SYN إلى الخادم الهدف.

فقط عندما يسترجع جدار الحماية ACK ، والذي سيحدث فقط في اتصال شرعي ، سيرسل جدار الحماية قطعة SYN الأصلية إلى الخادم الذي كان الغرض منه أصلاً. لا يقوم جدار الحماية بتخصيص الموارد للاتصال عند وصول شريحة SYN ، لذا فإن التعامل مع عدد كبير من مقاطع SYN الخاطئة لا يمثل سوى عبء صغير.

الحد من المعدل

يمكن استخدام طريقة الحد من المعدل لتقليل نوع معين من الحركة إلى معدل يمكن التعامل معه بشكل معقول. لا يزال بالإمكان استخدام البث إلى الشبكة الداخلية ، ولكن بمعدل محدود على سبيل المثال. هذا يتعلق بالمزيد من الهجمات (هجمات دوس) الخفية. هذا أمر جيد إذا كان الهجوم يستهدف خادم واحد لأنه يحافظ على خطوط النقل مفتوحة جزئيًا على الأقل للاتصالات الأخرى.

الحد من معدل إحباط كل من المهاجم والمستخدمين الشرعيين. هذا يساعد ولكن لا يحل المشكلة بالكامل. بمجرد أن تسد حركة مرور DoS خط الوصول المتجه إلى الإنترنت ، لا يوجد شيء يمكن لجدار الحماية الحدودي القيام به للمساعدة في الموقف. معظم هجمات حجب الخدمة هي مشاكل في المجتمع لا يمكن إيقافها إلا بمساعدة مزودي خدمة الإنترنت والمؤسسات الذين يتم الاستيلاء على أجهزة الكمبيوتر الخاصة بهم كبوتات وتستخدم لمهاجمة الشركات الأخرى.