IRCERT - هفت مشکل امنیتی مهم شبکه های بی سیم 802.11

صفحه اول > مقالات

هفت مشکل امنیتی مهم شبکه های بی سیم 802.11 – بخش چهارم

در شماره پیش با سومین و چهارمین مشکل امنیتی مهم شبکه های بی سیم آشنا شدیم. در این شماره به مساله پنجم و راه حل مربوط به آن می پردازیم.

مسأله شماره ۵: جعل MAC و sessionربایی!

شبکه های 802.11 فریم ها را تأیید هویت نمی کنند. هر فریم یک آدرس مبداء دارد، اما تضمینی وجود ندارد که ایستگاه فرستنده واقعاً فریم را ارسال کرده باشد! در واقع همانند شبکه های اترنت سنتی، مراقبتی در مقابل جعل مبداء آدرس ها وجود ندارد. نفوذگران می توانند از فریم های ساختگی برای هدایت ترافیک و تخریب جداول ARP (Address Resolution Protocol) استفاده کنند. در سطحی بسیار ساده تر، نفوذگران می توانند آدرس های (MAC (Medium Access Control ایستگاه های در حال استفاده را مشاهده کنند و از آن آدرس ها برای ارسال فریم های بدخواهانه استفاده کنند. برای جلوگیری از این دسته از حملات، مکانیسم تصدیق هویت کاربر برای شبکه های 802.11 در حال ایجاد است. با درخواست هویت از کاربران، کاربران غیرمجاز از دسترسی به شبکه محروم می شوند. اساس تصدیق هویت کاربران استاندارد 802.1x است که در ژوئن 2001 تصویب شده است. 802.1x می تواند برای درخواست هویت از کاربران به منظور تأیید آنان قبل از دسترسی به شبکه مورد استفاده قرار گیرد، اما ویژگی های دیگری برای ارائه تمام امکانات مدیریتی توسط شبکه های بی سیم مورد نیاز است.

نفوذگران می توانند از فریم های جعل شده در حملات اکتیو نیز استفاده کنند. نفوذگران علاوه بر ربودن نشست ها (sessions) می توانند از فقدان تصدیق هویت نقاط دسترسی بهره برداری کنند. نقاط دسترسی توسط پخش فریم های Beacon (چراغ دریایی) مشخص می شوند. فریم های Beacon توسط نقاط دسترسی ارسال می شوند تا کلاینت ها قادر به تشخیص وجود شبکه بی سیم و بعضی موارد دیگر شوند. هر ایستگاهی که ادعا می کند که یک نقطه دسترسی است و SSID (Service Set Identifier) که معمولاً network name نیز نامیده می شود، منتشر می کند، به عنوان بخشی از شبکه مجاز به نظر خواهد رسید. به هرحال، نفوذگران می توانند به راحتی تظاهر کنند که نقطه دسترسی هستند، زیرا هیچ چیز در 802.11 از نقطه دسترسی نمی خواهد که ثابت کند واقعاً یک نقطه دسترسی است. در این نقطه، یک نفوذگر می تواند با طرح ریزی یک حمله man-in-the-middle گواهی های لازم را سرقت کند و از آنها برای دسترسی به شبکه استفاده کند. خوشبختانه، امکان استفاده از پروتکل هایی که تأیید هویت دوطرفه را پشتیبانی می کنند در 802.1x وجود دارد. با استفاده از پروتکل TLS (Transport Layer Security)، قبل از اینکه کلاینت ها گواهی های هویت خود را ارائه کنند، نقاط دسترسی باید هویت خود را اثبات کنند. این گواهی ها توسط رمزنگاری قوی برای ارسال بی سیم محافظت می شوند. ربودن نشست حل نخواهد شد تا زمانی که 802.11 MAC تصدیق هویت در هر فریم را به عنوان بخشی از 802.11i بپذیرد.

راه حل شماره۵ : پذیرش پروتکل های قوی و استفاده از آنها

تا زمان تصویب 802.11i جعل MAC یک تهدید خواهد بود. مهندسان شبکه باید روی خسارت های ناشی از جعل MAC تمرکز کنند و شبکه های بی سیم را تا آنجا که ممکن است از شبکه مرکزی آسیب پذیرتر جدا کنند. بعضی راه حل ها جعل AP (نقاط دسترسی( را کشف می کنند و به طور پیش فرض برای مدیران شبکه علائم هشدار دهنده تولید می کنند تا بررسی های بیشتری انجام دهند. در عین حال، می توان فقط با استفاده از پروتکل های رمزنگاری قوی مانند IPSec از نشست ربایی! جلوگیری کرد. آنالایزرها می توانند در بخشی از تحلیل فریم های گرفته شده، سطح امنیتی مورد استفاده را تعیین کنند. این تحلیل می تواند در یک نگاه به مدیران شبکه بگوید آیا پروتکل های امنیتی مطلوبی استفاده می شوند یا خیر.

علاوه بر استفاده از پروتکل های VPN قوی، ممکن است که تمایل به استفاده از تصدیق هویت قوی کاربر با استفاده از 802.1x داشته باشید. بعضی جزئیات آنالیز وضعیت تصدیق 802.1x، نتایج باارزشی روی قسمت بی سیم تبادل تصدیق هویت 802.1x ارائه می کند. هنگام انجام نظارت بر سایت، آنالایزر نوع تصدیق هویت را مشخص می کند و این بررسی به مدیران شبکه اجازه می دهد که محافظت از کلمات عبور توسط رمزنگاری قوی را تضمین کنند.