مع انتشار استخدام الشبكات اللاسلكية أصبح من السهل نقل البيانات بين
الأجهزة عن طريق موجات كهرومغناطيسية (عن بعد) وأصبح التخلي عن التوصيلات
بين أجهزة الحاسوب أمر ممكن, فتنتقل البيانات في الشبكات اللاسلكية بشكل
مفتوح في الهواء مما يمكن المهاجمين من التقاط هذه البيانات والتعرف عليها
عكس الشبكات السلكية والتي تشترط الوجود الفيزيائي بالقرب من مركز الاتصال,
وهذا بحد ذاته يشكل تهديد أمني صريح لجميع مستخدمين الشبكات اللاسلكية .
أيضا يتجول بعض المخترقين بسيارتهم ويقومون بعمل مسح عن الشبكات بواسطة
حواسيب محمولة بالاستعانة بهوائي/مقوي أشارة للبحث عن شبكات غير محمية
لأغراض مختلفة .
(يطلق على هذا الهجوم War Driving أو القيادة الحربية)
تختلف أهداف المهاجمين بالعادة فهناك من يبحث عن شبكة غير محمية لغرض استخدام موارد الشبكة مجاناً (الاتصال بالانترنت مثلاً) أو لسرقة ملفات مستخدمين الشبكة والتلصص على بياناتهم أو لنشر ملفات ضارة في الشبكة و أجهزة مستخدميها لغرض التخريب فقط . المشكلة الأكبر هو أن الغالبية الساحقة من المستخدمين يتصلون بالشبكات الغير موثوقة بمجرد وجودها مفتوحة وهذا أيضا يشكل تهديداً لمستخدم الشبكة بحيث أن مدير الشبكة يستطيع التعرف على البيانات المارة بشبكته وهذا يعني التعرف على بياناتك! أيضا بعض الشبكات تقوم بنشر ملفات ضارة داخل أنظمة المستخدمين فور اتصالهم بها بمدة قصيرة فقط .
في هذا الورقة سنقوم برفع درجة آمن الشبكات اللاسلكية على صعيد الاستخدام المنزلي/الشخصي, بالنسبة للمؤسسات والشركات تحتاج شبكاتها إلى تقنيات اكبر وأكثر تعقيداً سنخصها في ورقه لأحقه بأذن الله أيضا سنقدم نصائح أمنية لمدراء الشبكات ومستخدمينها .
جميع الإعدادات التي سنذكرها في هذه الورقة متوفرة في أغلب أجهزة الراوترات ولكن التطبيق سيكون على راوتر من شركة3COM .
اختيار الأرقام السرية
هذه النقطة من أهم نقاط حماية الشبكات اللاسلكية, استخدام رقم سري سهل مكون من 5/4 خانات غير كافً لمنع دخول الغير مُصرح لهم بالدخول بالإضافة أنه يسهل على المهاجم اختراق الشبكة. قم باختيار رقم سري 15 خانة على الأقل مكون من حروف, أرقام و رموز ليصعب تخمينه سواء كان التخمين يدوياً أو باستخدام بعض أدوات الـ (Brute force) .
ابتعد عن كلمات السر سهلة التخمين مثل اسمك, رقم هاتفك المحمول, أسم احد أبنائك, تاريخ ميلادك, أجعل كلمة السر لا ترمى لمعنى معين أو لكلمة موجودة في قواميس اللغة .
أيضا لا تنسى القيام بتغير الرقم السري الخاص بدخول صفحة التحكم بالرواتر يأتي في أغلب الرواترات بشكل افتراض admin يمكن دخول الصفحة عن طريق المتصفح في حالة لم يتم تغيير الـDefault Gateway الافتراضي :
http://192.168.1.1
أيضا مهلة الخروج (log out) تلقائياً في حالة الخمول من لوحة التحكم دعها قصيرة قدر الإمكان حتى لا يتمكن أي شخص من الوصول فيزئياً إلى الجهاز وتغيير بعض الإعدادات أو العبث بها في حالة تركت اللوحة مفتوحة .
تفعيل بروتوكول التشفير WPA
يوفر بروتوكول WPA تشفير البيانات المرسلة بالشبكة بطريقة قوية بالإضافة أن اغلب كروت الاتصال اللاسلكي تدعم هذا البروتوكول, يمكن هذا البروتوكول أمكانية التحقق من هوية المستخدم عن طريق خادم للشبكة (Radius Server) أو عن طريق الرقم السري المشترك (PSK).
بالنسبة لخادم التحقق من الهوية يستخدم غالباً في المؤسسات والشركات الكبرى لتوفير درجة آمن عالية لكن بالنسبة للشبكات المستخدمة على الصعيد المنزلي/الشخصي لا مانع من استخدام الرقم السري المشترك بين مستخدمي الشبكة, تأتي بعض أجهزة الرواتر وبروتوكول WPA غير مفعل بشكل افتراضي لذلك سنقوم بتفعيله .
هذا البرتوكول يمكن أن يٌهاجم من خلال أدوات تقوم بعمل Brute Force للتعرف على الرقم السري المشترك للشبكة ولكن هذه الأدوات ستكون غير فعالة أذا كان الرقم السري طويل ومعقد لذلك تأكد من اختيار رقم سري صعب التخمين قدر الإمكان
(راجع فقرة الأرقام السرية).
يوجد نوع أخر من التشفير يدعى WEP (من أقدم بروتوكولات تشفير الشبكات اللاسلكية) متوفر بمفاتيح مختلفة الطول ولكن بالوقت الحاضر أصبح هذا التشفير ضعيف جداً ولا يستغرق كسره سواء بضع دقائق مهما بغض النظر عن طول المفتاح
بالحقيقة بروتوكول WPA تطوير لبروتوكول التشفير القديم WEP لذلك لا ننصح باستخدام هذا البروتوكول .
تعطيل خدمة الدخول من خارج الشبكة المحلية (Remote Administrator)
تمكن هذه الخاصية مدير الشبكة من الدخول إلى صفحة أعدادات المودم من خارج الشبكة المحلية .
ينصح بتعطيل هذه الخاصية للمخاطر الأمنية التي قد تسببها, تأتي هذه الخاصية معطلة بشكل تلقائياً في اغلب أجهزة الرواتر لكن سنتأكد من ذلك .
قد توفر بعض أجهزة الرواتر خدمات مختلفة في هذا السياق مثل ((Remote Upgrade وهي خدمة تمكن مدير الشبكة من ترقية الرواتر عن بعد دون أن يكون في الشبكة المحلية, عليك التأكد من تعطيل جميع خدمات التحكم عن بعد في الرواتر الخاص بك .
تعطيل بث معرف الشبكة
عندما يكون أي شخص موجود في نطاق بث شبكتك اللاسلكية ويقوم بالبحث عن الشبكات المجاورة له فأن شبكتك سوف تظهر له تلقائياً .
تفعيل بث معرفة الشبكة يضع الشبكة في موضع الهجوم ومحط أنظار المتطفلين سنقوم بإلغاء بث معرف الشبكة بحيث لا تظهر عند البحث عنها .
بهذا الشكل ستكون الشبكة مخفية ويعني ذلك طبعاً مهاجمين أقل .
السماح لعناوين معينة من الاتصال بالشبكة (MAC Address Filtering)
تفيد هذه الخاصية السماح لأجهزة معينة من الاتصال بالشبكة عن طريق العنوان الفيزيائي/المادي
MAC Address .
MAC اختصار لـ (Media Access Control) وهو عنوان مكون من 12 رمز في 6 خانات وهو مميز
أي لكل كرت اتصال لاسلكي عنوان ماك ادرس ثابت وخاص لا يمكن أن يتكرر نفس العنوان لكرت لاسلكي أخر .
يمكن التعرف على عنوان MAC Address في أنظمة Windows من تنفيذ هذا الأمر في سطر الأوامر :
ipconfig /all
يمكن من خلال خاصية (MAC Address Filtering) المتوفرة في أغلب أجهزة الرواتر منع عناوين MAC Address معينة من الاتصال بالشبكة أو السماح لعدة لعناوين MAC Address و منع الباقي .
هذه الخاصية غير مجدية في بعض الأحوال لأن المهاجم يستطيع تغيير عنوان الماك أدرس الخاص بهSpoofing MAC Address أيضا يستطيع المهاجم معرفة عناوين الماك أدرس المسموح له عن طريق بعض الأدوات مثل airodump
و Kismet ثم تقمص أحد هذه العناوين ليستطيع الدخول .
مراقبة الشبكة
يمكن التعرف علي الأجهزة المتصلة بالشبكة لاسلكياً عن طريق خاصية (Client List) الموجودة بشكل افتراضي في أغلب أجهزة الرواتر من خلال هذه الخاصية تستطيع التعرف على الأجهزة الغريبة المتواجدة بشكل غير شرعي في الشبكة ومن ثمّ تستطيع منع عناوينها بالاستعانة بـ MAC Address Filtering .
أشير بالنهاية أن الوصول إلى درجة آمان يستحيل اختراقها صعب جداً ولكن من خلال هذه الخطوات البسيطة قد تكون درجة الآمن عالية خصوصاً للاستخدام الشخصي/المنزلي .
(يطلق على هذا الهجوم War Driving أو القيادة الحربية)
تختلف أهداف المهاجمين بالعادة فهناك من يبحث عن شبكة غير محمية لغرض استخدام موارد الشبكة مجاناً (الاتصال بالانترنت مثلاً) أو لسرقة ملفات مستخدمين الشبكة والتلصص على بياناتهم أو لنشر ملفات ضارة في الشبكة و أجهزة مستخدميها لغرض التخريب فقط . المشكلة الأكبر هو أن الغالبية الساحقة من المستخدمين يتصلون بالشبكات الغير موثوقة بمجرد وجودها مفتوحة وهذا أيضا يشكل تهديداً لمستخدم الشبكة بحيث أن مدير الشبكة يستطيع التعرف على البيانات المارة بشبكته وهذا يعني التعرف على بياناتك! أيضا بعض الشبكات تقوم بنشر ملفات ضارة داخل أنظمة المستخدمين فور اتصالهم بها بمدة قصيرة فقط .
في هذا الورقة سنقوم برفع درجة آمن الشبكات اللاسلكية على صعيد الاستخدام المنزلي/الشخصي, بالنسبة للمؤسسات والشركات تحتاج شبكاتها إلى تقنيات اكبر وأكثر تعقيداً سنخصها في ورقه لأحقه بأذن الله أيضا سنقدم نصائح أمنية لمدراء الشبكات ومستخدمينها .
جميع الإعدادات التي سنذكرها في هذه الورقة متوفرة في أغلب أجهزة الراوترات ولكن التطبيق سيكون على راوتر من شركة3COM .
اختيار الأرقام السرية
هذه النقطة من أهم نقاط حماية الشبكات اللاسلكية, استخدام رقم سري سهل مكون من 5/4 خانات غير كافً لمنع دخول الغير مُصرح لهم بالدخول بالإضافة أنه يسهل على المهاجم اختراق الشبكة. قم باختيار رقم سري 15 خانة على الأقل مكون من حروف, أرقام و رموز ليصعب تخمينه سواء كان التخمين يدوياً أو باستخدام بعض أدوات الـ (Brute force) .
ابتعد عن كلمات السر سهلة التخمين مثل اسمك, رقم هاتفك المحمول, أسم احد أبنائك, تاريخ ميلادك, أجعل كلمة السر لا ترمى لمعنى معين أو لكلمة موجودة في قواميس اللغة .
هنا تظهر صفحة اختيار الرقم السري الخاصة بالشبكة اللاسلكية لا تنسى الضغط على Apply لحفظ التغييرات
أيضا لا تنسى القيام بتغير الرقم السري الخاص بدخول صفحة التحكم بالرواتر يأتي في أغلب الرواترات بشكل افتراض admin يمكن دخول الصفحة عن طريق المتصفح في حالة لم يتم تغيير الـDefault Gateway الافتراضي :
http://192.168.1.1
هنا تظهر صفحة تغيير الرقم السري الافتراضي لصفحة الراوتر لا تنسى الضغط على Apply لحفظ التغييرات
أيضا مهلة الخروج (log out) تلقائياً في حالة الخمول من لوحة التحكم دعها قصيرة قدر الإمكان حتى لا يتمكن أي شخص من الوصول فيزئياً إلى الجهاز وتغيير بعض الإعدادات أو العبث بها في حالة تركت اللوحة مفتوحة .
تفعيل بروتوكول التشفير WPA
يوفر بروتوكول WPA تشفير البيانات المرسلة بالشبكة بطريقة قوية بالإضافة أن اغلب كروت الاتصال اللاسلكي تدعم هذا البروتوكول, يمكن هذا البروتوكول أمكانية التحقق من هوية المستخدم عن طريق خادم للشبكة (Radius Server) أو عن طريق الرقم السري المشترك (PSK).
بالنسبة لخادم التحقق من الهوية يستخدم غالباً في المؤسسات والشركات الكبرى لتوفير درجة آمن عالية لكن بالنسبة للشبكات المستخدمة على الصعيد المنزلي/الشخصي لا مانع من استخدام الرقم السري المشترك بين مستخدمي الشبكة, تأتي بعض أجهزة الرواتر وبروتوكول WPA غير مفعل بشكل افتراضي لذلك سنقوم بتفعيله .
هنا يظهر اختيار تشفير WPA في قائمة Encryption الفرعية في Wireless Settings
هذا البرتوكول يمكن أن يٌهاجم من خلال أدوات تقوم بعمل Brute Force للتعرف على الرقم السري المشترك للشبكة ولكن هذه الأدوات ستكون غير فعالة أذا كان الرقم السري طويل ومعقد لذلك تأكد من اختيار رقم سري صعب التخمين قدر الإمكان
(راجع فقرة الأرقام السرية).
يوجد نوع أخر من التشفير يدعى WEP (من أقدم بروتوكولات تشفير الشبكات اللاسلكية) متوفر بمفاتيح مختلفة الطول ولكن بالوقت الحاضر أصبح هذا التشفير ضعيف جداً ولا يستغرق كسره سواء بضع دقائق مهما بغض النظر عن طول المفتاح
بالحقيقة بروتوكول WPA تطوير لبروتوكول التشفير القديم WEP لذلك لا ننصح باستخدام هذا البروتوكول .
تعطيل خدمة الدخول من خارج الشبكة المحلية (Remote Administrator)
تمكن هذه الخاصية مدير الشبكة من الدخول إلى صفحة أعدادات المودم من خارج الشبكة المحلية .
ينصح بتعطيل هذه الخاصية للمخاطر الأمنية التي قد تسببها, تأتي هذه الخاصية معطلة بشكل تلقائياً في اغلب أجهزة الرواتر لكن سنتأكد من ذلك .
عند اختيار Disable Remote Administration فأن هذه الخاصية تكون معطلة
قد توفر بعض أجهزة الرواتر خدمات مختلفة في هذا السياق مثل ((Remote Upgrade وهي خدمة تمكن مدير الشبكة من ترقية الرواتر عن بعد دون أن يكون في الشبكة المحلية, عليك التأكد من تعطيل جميع خدمات التحكم عن بعد في الرواتر الخاص بك .
تعطيل بث معرف الشبكة
عندما يكون أي شخص موجود في نطاق بث شبكتك اللاسلكية ويقوم بالبحث عن الشبكات المجاورة له فأن شبكتك سوف تظهر له تلقائياً .
صورة لمعالج البحث عن الشبكات اللاسلكية الافتراضي في نظام Windows XP
تفعيل بث معرفة الشبكة يضع الشبكة في موضع الهجوم ومحط أنظار المتطفلين سنقوم بإلغاء بث معرف الشبكة بحيث لا تظهر عند البحث عنها .
صورة توضح عملية تعطيل بث معرف الشبكة من خلال اختيار Disable في الـ SSID Broadcast
بهذا الشكل ستكون الشبكة مخفية ويعني ذلك طبعاً مهاجمين أقل .
السماح لعناوين معينة من الاتصال بالشبكة (MAC Address Filtering)
تفيد هذه الخاصية السماح لأجهزة معينة من الاتصال بالشبكة عن طريق العنوان الفيزيائي/المادي
MAC Address .
MAC اختصار لـ (Media Access Control) وهو عنوان مكون من 12 رمز في 6 خانات وهو مميز
أي لكل كرت اتصال لاسلكي عنوان ماك ادرس ثابت وخاص لا يمكن أن يتكرر نفس العنوان لكرت لاسلكي أخر .
يمكن التعرف على عنوان MAC Address في أنظمة Windows من تنفيذ هذا الأمر في سطر الأوامر :
ipconfig /all
يمكن من خلال خاصية (MAC Address Filtering) المتوفرة في أغلب أجهزة الرواتر منع عناوين MAC Address معينة من الاتصال بالشبكة أو السماح لعدة لعناوين MAC Address و منع الباقي .
هنا بالصورة تم تفعيل خاصية MAC Address Filtering وتحديد عنوان MAC Address واحد والسماح له فقط من الاتصال بالشبكة
عن طريق اختيار Allow, أما في حالة اختيار Deny سيتم منع العنوان المدخل من الاتصال وسيسمح للباقي
هذه الخاصية غير مجدية في بعض الأحوال لأن المهاجم يستطيع تغيير عنوان الماك أدرس الخاص بهSpoofing MAC Address أيضا يستطيع المهاجم معرفة عناوين الماك أدرس المسموح له عن طريق بعض الأدوات مثل airodump
و Kismet ثم تقمص أحد هذه العناوين ليستطيع الدخول .
مراقبة الشبكة
يمكن التعرف علي الأجهزة المتصلة بالشبكة لاسلكياً عن طريق خاصية (Client List) الموجودة بشكل افتراضي في أغلب أجهزة الرواتر من خلال هذه الخاصية تستطيع التعرف على الأجهزة الغريبة المتواجدة بشكل غير شرعي في الشبكة ومن ثمّ تستطيع منع عناوينها بالاستعانة بـ MAC Address Filtering .
تظهر بالصفحة جميع عناوين MAC Address الأجهزة المتصلة بالشبكة
أيضا توجد في أغلب أجهزة الرواتر خاصية مراقبة سجلات الشبكة (Log) وتعرض هذه الخاصية أنشطة الشبكة وعمليات الدخول والخروج .
صورة لخاصية مراقبة سجلات الشبكة التي يقدمها رواتر من شركة 3COM
أشير بالنهاية أن الوصول إلى درجة آمان يستحيل اختراقها صعب جداً ولكن من خلال هذه الخطوات البسيطة قد تكون درجة الآمن عالية خصوصاً للاستخدام الشخصي/المنزلي .
4 التعليقات
الموضوع رائع ..
لكن ينقصه الصور أو يمكن الأستعاضة عنها بتحديد الوصول مثلا SSID Broadcast عن طريق الخطوات ..
ان شاء الله ستكون المواضيع القادمة مع الصور
والشرح خطوة بخطوة
شاكرين كريم تعاونكم ، وتقبلوا أطيب التحيات
جزاكم الله خيرا اخى
هل استطيع عمل
mac filtering
على الاجهزة السلكية و ليست اللاسلكية
على نفس الراوتر
نعم أخي تستطيع عمل mac filtering
على نفس الروتر لكل الأجهزة السلكية واللاسلكية
حيث ان لكل جهاز سلكي أو لاسلكي (Mac Address) لا يتكرر على مستوى العالم
الإبتساماتإخفاء