هیچ روش امنیتی کامل نیست اما انجام این ۱۵ مرحله میتواند امنیت WiFi کسبوکار شما را تا حدود زیادی بهبود بخشد و از حملات زیادی جلوگیری کند. ایدهای که در اینجا وجود دارد این است که کار مهاجم برای پیدا کردن اطلاعات شبکه شما و سرانجام نفوذ را سخت کند. مهاجمان نمیخواهند کار مشکل انجام دهند و اگر شبکه امن باشد شبکه هدف خود را تغییر میدهند.
۱. تغییر شناسه WiFi
شناسه پیشفرض که روی مسیریاب شما تنظیمشده است مدل آن را نمایش میدهد. یک مهاجم میتواند با استفاده از این اطلاعات برای سوءاستفاده خاص مسیریاب شما را مورد هدف قرار دهد. نام شبکه خود را به چیزی تغییر دهید که بهطور خاص هویت مسیریاب شما را مشخص نمیکند.
۲. نام کاربری و رمز عبور صفحه مدیریت را تغییر دهید
از پیشفرضها فاصله بگیرید. مقادیر پیشفرض کار را برای مهاجم خیلی ساده میکنند. مقادیر پیشفرض باعث میشود تا مهاجمان بفهمند شما چه چیزی استفاده میکنید و حملات خود را بر اساس آن برنامهریزی میکنند. نام کاربری «admin» یکی از رایجترین نامهای کاربری است که هکرها کلمههای عبور متداول را برای آن آزمایش میکنند؛ زیرا بسیاری از افراد پیشفرضها را تغییر نمیدهند. همیشه وقتی تغییرات انجام میدهید مطمئن شوید که از کلمات عبور امن استفاده میکنید.
۳. استفاده از WPA2 با رمزنگاری AES
پروتکل WPA2 Enterprise بهترین امنیت را برای WiFi را فراهم میکند و AES قویترین رمزنگاری برای WiFi است. هردوی این گزینهها در اکثر مسیریابها وجود دارند. WPA2 از یک سرور RADIUS برای احراز هویت استفاده میکند. سرور RADIUS مجوز کاربر را ذخیره میکند، به کاربر اجازه ورود میدهد و کار را برای آسیبپذیر کردن شبکه دشوار میکند. این روش از کلیدهای منحصربهفرد که در هر زمان قابلیت لغو شدن دارند، استفاده میکند.
اگر فکر میکنید این پیکربندی سازمانی برای سازمان شما زیاد است، می توانید از WPA2 Personal با رمزنگاری AES استفاده کنید. از TKIP یا ترکیبی از TKIP با رمزنگاری AES استفاده نکنید.
۴. کاربران مسیریاب را ایمن کنید.
اگر شما WPA2 Enterprise را انتخاب کردهاید، میتوانید یک گام بیشتر در امنیت شبکه خود بردارید. “Evil twin” تنها یک نوع از حملاتی است که در برابر WPA2 مؤثر است. هکرها اطلاعات ورود کاربران را از طریق جایگزین کردن شبکه خود بهجای شبکه واقعی به دست میآورند. با نسخه ۸۰۲.۱X روی دستگاههای کاربران، قبل از ارسال هر نوع داده، شما میتوانید تائید کنید شبکهای که آنها متصل میشوند همان شبکه واقعی است.
۵. مدیریت بهتر کلمه عبور
فرقی ندارد از WPA2 Personal استفاده میکنید یا WPA2 Enterprise، بههرحال شما باید به بهترین شیوه کلمات عبور خود را انتخاب کنید. کلمات عبور باید حداقل ۱۵ حرف و شامل چندین کلمه باشد که کمتر باهم مورداستفاده قرار میگیرد. همیشه از اعداد (۹-۰) و کاراکترهای خاص (!، @، #، $ و…) در کلمات عبور خود استفاده کنید. کاربران خود را مجبور کنید از دستورالعمل پیروی کنند و یا خودتان عبارات عبور برای ایشان بسازید. بهتر است که برای کلمات عبور تاریخ انقضا تعیین کنید. تاریخهای انقضا بهطور خودکار از به خطر افتادن کلمات عبور جلوگیری میکنند. (برای این مورد به این پست مراجعه کنید)
۶. استفاده از فایروال
فایروالها مهم هستند. بهتر است حداقل دو مورد از آنها را داشته باشید:
- فایروالی که بهصورت استاندارد در مسیریاب وجود دارد را فعال کنید. بعضی از مسیریابها بهصورت پیشفرض فایروال را فعال میکنند اما شما درهرصورت این مورد را بررسی کنید. این مورد اولین دیوار دفاعی برای شبکه است.
- مسیریاب شما ممکن است دارای فایروال پیشرفتهتر باشد، پس بهتر است شما فایروال دومی در شبکه خود داشته باشید که با قاطعیت دسترسی به پورتهای خاص را محدود کرده و بهجای دیگر هدایت نماید. شما همچنین میتوانید از این فایروال برای محدود کردن و مدیریت دسترسی در شبکه خود استفاده کنید.
۷. استفاده از VPN
VPNها همهچیز را رمزنگاری میکنند. اینیک دلیل بزرگ برای استفاده از VPN است. استفاده از یک VPN، ترافیکی که برای کسبوکار شما استفاده میشود را پنهان میکند و فعالیتهای شما را مخفی نگه میدارد، کار نفوذگر که به دنبال ردپای شما یا کارمندتان است را سخت میکند. تمام ترافیک مربوط به کسبوکار شما، فعالیتهای مخفی و اطلاعات مبادله شده با سایتهایی که از SSL استفاده نمیکنند را رمزگذاری میکند.
استفاده از VPN در شبکه کسبوکار یک ایده خوب است. این کار به کارمندان اجازه میدهد تا بهطور ایمن از راه دور به شبکه دسترسی یابند و امکان ایجاد چند شاخه در مکانهای مختلف را برای اشتراک یک شبکه فراهم میسازد.
۸. غیرفعال کردن WPS
اگر مسیریاب شما از WPS استفاده میکند، اکنون آن را غیرفعال کنید. WPS قرار بود که Wi-Fi را امنتر کرده و راحتتر به آن وصل کند، اما اینیک شکست خیلی بزرگ است. چندین آسیبپذیری وجود دارد که برای آنها انواع مختلفی حمله وحشتناک پیداشده است که میتوانند WPS را سریع بشکنند.
۹. همه سرویسهای غیرضروری را غیرفعال کنید
مسیریابها با بسیاری از خدمات و ویژگیهای موجود در حال اجرا هستند. درحالیکه بعضی از آنها میتوانند بهطور قانونی مفید باشند و بعضی میتوانند یک خطر امنیتی بزرگ باشند. در برخی از آنها بهطور پیشفرض SSH، NFS، Samba یا حتی Telnet فعال هستند.
۱۰. مسیریاب خود را به یک مکان امن انتقال دهید
مردم اغلب فراموش میکنند که دسترسی فیزیکی به هر کامپیوتر یکی از بزرگترین تهدیدات امنیتی است. مسیریابها متفاوت نیستند. وقتی کسی میتواند دست خود را به مسیریاب برساند، انجام هر کاری روی آن بسیار آسان است. این شامل تنظیم مجدد مسیریاب و پاک کردن تمام تنظیمات امنیتی شما میشود.
مسیریاب خود را دور از دسترس نگهدارید. نگهداری مسیریاب در اتاق یا محل قفلشده ایده خوبی به نظر میرسد. شما حتی میتوانید آن را در قفسه قفلشده نگهداری کنید به شرطی که سیگنال مسدود نشود.
۱۱. غیرفعال کردن DHCP
انجام این کار کاملاً ضروری نیست. ایجاد یک شبکه بدون DHCP کار واقعاً دشواری است. اما تنظیم کردن آدرسهای آیپی ثابت کار مدیریت را آسانتر میکند. با آدرسهای ثابت، شما دقیقاً میدانید هر کامپیوتر چه آدرسهایی دارد، و تشخیص رخدادهای عجیب را آسانتر میکند. بدون DHCP، اتصال نفوذگر به شبکه کمی دشوارتر میشود.
۱۲. خاموش کردن نقاط دسترسی
کارهای شما برای ایمنسازی شبکه هیچ معنایی نخواهد داشت اگر یکی از کارمندان شما نقطه دسترسی خود را که بهشدت ناامن است، برپا کنند. هیچ راهی وجود ندارد که اطمینان دهد افراد شبکه شما بهدرستی پیکربندی نقطه دسترسیها را انجام میدهند، بنابراین بهتر است که بر نقاط دسترسی ناامن نظارت کرده و بلافاصله آنها را ببندید.
۱۳. دسترسی ادمین از طریق WiFi را غیرفعال کنید
اینکه بتوان مسیریاب را از طریق وایرلس مدیریت کرد کار را خیلی راحت میکند. اما متأسفانه این قابلیت اجازه دسترسی غیرمجاز را هم به شما میدهد. اگر هرکسی در محدوده WiFi بتواند به صفحه مدیریت مسیریاب شما وارد شود شما شانس افراد را برای دسترسی غیرمجاز بالا میبرید.
دسترسی به صفحه مدیر از طریق WiFi را غیرفعال کنید و تنها افرادی که با یک اتصال سیمی به مسیریاب شما متصل هستند بتوانند به آن دسترسی پیدا کنند و تغییرات ایجاد کنند.
۱۴. برنامه راهانداز را بهروز نگهدارید
اغلب مردم به مسیریابها بهعنوان لوازمخانگی نگاه میکنند. مسیریاب را تنظیم میکنند ولی از آن نگهداری نمیکنند. مسیریابها مانند سرور هستند، اگر بهطور مرتب بهروزرسانی و محافظت نشوند، کار نمیکنند. بهروزرسانی نرمافزارهای مسیریاب شامل رفع مشکلات امنیتی است. اطمینان حاصل کنید که بهروزرسانیها بهطور مرتب بررسی و نصب میشوند زیرا ممکن است باوجود اعمال آخرین وصله امنیتی، مسیریاب شما آسیبپذیر باشد.
۱۵. یک نقطه دسترسی خصوصی برای مهمان با امنیت بیشتر ایجاد کنید
همه کسبوکارها اجازه نمیدهند مهمانان یا مشتریان به شبکههایشان دسترسی داشته باشند، اما بعضی از آنها این اجازه را میدهند. اگر کسبوکارتان در این دسته قرار دارد، یک نقطه دسترسی جداگانه برای این منظور بسازید که بتوانید کاربران را از بقیه شبکه جدا نگهدارید. شما میتوانید در مسیریاب خود نقطه دسترسی دوم را ایجاد کنید و با استفاده از فایروال دسترسی به سرویسها را ببندید و دسترسی به سرویسی که میخواهید برای مشتریان در دسترس باشد را بازکنید.
همیشه به یاد داشته باشید که امنیت همواره در حال تکمیل است و برخی از این نکات ممکن است تغییر کند. منابع معتبر برای مشاهده رویدادهای امنیتی در شبکه را دنبال کنید تا از سوءاستفادههای جدید یا شیوههای امنیتی بهتر مطلع باشید.
منبع: InfoSec Institute
