آموزش عمومی

۱۵ روش برای امن کردن WiFi سازمان

هیچ روش امنیتی کامل نیست اما انجام این ۱۵ مرحله می‌تواند امنیت WiFi کسب‌وکار شما را تا حدود زیادی بهبود بخشد و از حملات زیادی جلوگیری کند. ایده‌ای که در اینجا وجود دارد این است که کار مهاجم برای پیدا کردن اطلاعات شبکه شما و سرانجام نفوذ را سخت کند. مهاجمان نمی‌خواهند کار مشکل انجام دهند و اگر شبکه امن باشد شبکه هدف خود را تغییر می‌دهند.

۱. تغییر شناسه WiFi

شناسه پیش‌فرض که روی مسیریاب شما تنظیم‌شده است مدل آن را نمایش می‌دهد. یک مهاجم می‌تواند با استفاده از این اطلاعات برای سوءاستفاده خاص مسیریاب شما را مورد هدف قرار دهد. نام شبکه خود را به چیزی تغییر دهید که به‌طور خاص هویت مسیریاب شما را مشخص نمی‌کند.

 

۲. نام کاربری و رمز عبور صفحه مدیریت را تغییر دهید

از پیش‌فرض‌ها فاصله بگیرید. مقادیر پیش‌فرض کار را برای مهاجم خیلی ساده می‌کنند. مقادیر پیش‌فرض باعث می‌شود تا مهاجمان بفهمند شما چه چیزی استفاده می‌کنید و حملات خود را بر اساس آن برنامه‌ریزی می‌کنند. نام کاربری «admin» یکی از رایج‌ترین نام‌های کاربری است که هکرها کلمه‌های عبور متداول را برای آن آزمایش می‌کنند؛ زیرا بسیاری از افراد پیش‌فرض‌ها را تغییر نمی‌دهند. همیشه وقتی تغییرات انجام می‌دهید مطمئن شوید که از کلمات عبور امن استفاده می‌کنید.

 

۳. استفاده از WPA2 با رمزنگاری AES

پروتکل WPA2 Enterprise بهترین امنیت را برای WiFi را فراهم می‌کند و AES قوی‌ترین رمزنگاری برای WiFi است. هردوی این گزینه‌ها در اکثر مسیریاب‌ها وجود دارند. WPA2 از یک سرور RADIUS برای احراز هویت استفاده می‌کند. سرور RADIUS مجوز کاربر را ذخیره می‌کند، به کاربر اجازه ورود می‌دهد و کار را برای آسیب‌پذیر کردن شبکه دشوار می‌کند. این روش از کلیدهای منحصربه‌فرد که در هر زمان قابلیت لغو شدن دارند، استفاده می‌کند.

اگر فکر می‌کنید این پیکربندی سازمانی برای سازمان شما زیاد است، می توانید از WPA2 Personal با رمزنگاری AES استفاده کنید. از TKIP یا ترکیبی از TKIP با رمزنگاری AES استفاده نکنید.

 

۴. کاربران مسیریاب را ایمن کنید.

اگر شما WPA2 Enterprise را انتخاب کرده‌اید، می‌توانید یک گام بیشتر در امنیت شبکه خود بردارید. “Evil twin” تنها یک نوع از حملاتی است که در برابر WPA2 مؤثر است. هکرها اطلاعات ورود کاربران را از طریق جایگزین کردن شبکه خود به‌جای شبکه واقعی به دست می‌آورند. با نسخه ۸۰۲.۱X روی دستگاه‌های کاربران، قبل از ارسال هر نوع داده، شما می‌توانید تائید کنید شبکه‌ای که آن‌ها متصل می‌شوند همان شبکه واقعی است.

 

۵. مدیریت بهتر کلمه عبور

فرقی ندارد از WPA2 Personal استفاده می‌کنید یا WPA2 Enterprise، به‌هرحال شما باید به بهترین شیوه کلمات عبور خود را انتخاب کنید. کلمات عبور باید حداقل ۱۵ حرف و شامل چندین کلمه باشد که کمتر باهم مورداستفاده قرار می‌گیرد. همیشه از اعداد (۹-۰) و کاراکترهای خاص (!، @، #، $ و…) در کلمات عبور خود استفاده کنید. کاربران خود را مجبور کنید از دستورالعمل پیروی کنند و یا خودتان عبارات عبور برای ایشان بسازید. بهتر است که برای کلمات عبور تاریخ انقضا تعیین کنید. تاریخ‌های انقضا به‌طور خودکار از به خطر افتادن کلمات عبور جلوگیری می‌کنند. (برای این مورد به این پست مراجعه کنید)

 

۶. استفاده از فایروال

فایروال‌ها مهم هستند. بهتر است حداقل دو مورد از آن‌ها را داشته باشید:

  1. فایروالی که به‌صورت استاندارد در مسیریاب وجود دارد را فعال کنید. بعضی از مسیریاب‌ها به‌صورت پیش‌فرض فایروال را فعال می‌کنند اما شما درهرصورت این مورد را بررسی کنید. این مورد اولین دیوار دفاعی برای شبکه است.
  2. مسیریاب شما ممکن است دارای فایروال پیشرفته‌تر باشد، پس بهتر است شما فایروال دومی در شبکه خود داشته باشید که با قاطعیت دسترسی به پورت‌های خاص را محدود کرده و به‌جای دیگر هدایت نماید. شما همچنین می‌توانید از این فایروال برای محدود کردن و مدیریت دسترسی در شبکه خود استفاده کنید.

 

۷. استفاده از VPN

VPNها همه‌چیز را رمزنگاری می‌کنند. این‌یک دلیل بزرگ برای استفاده از VPN است. استفاده از یک VPN، ترافیکی که برای کسب‌وکار شما استفاده می‌شود را پنهان می‌کند و فعالیت‌های شما را مخفی نگه می‌دارد، کار نفوذگر که به دنبال ردپای شما یا کارمندتان است را سخت می‌کند. تمام ترافیک مربوط به کسب‌وکار شما، فعالیت‌های مخفی و اطلاعات مبادله شده با سایت‌هایی که از SSL استفاده نمی‌کنند را رمزگذاری می‌کند.

استفاده از VPN در شبکه کسب‌وکار یک ایده خوب است. این کار به کارمندان اجازه می‌دهد تا به‌طور ایمن از راه دور به شبکه دسترسی یابند و امکان ایجاد چند شاخه در مکان‌های مختلف را برای اشتراک یک شبکه فراهم می‌سازد.

 

۸. غیرفعال کردن WPS

اگر مسیریاب شما از WPS استفاده می‌کند، اکنون آن را غیرفعال کنید. WPS قرار بود که Wi-Fi را امن‌تر کرده و راحت‌تر به آن وصل کند، اما این‌یک شکست خیلی بزرگ است. چندین آسیب‌پذیری وجود دارد که برای آن‌ها انواع مختلفی حمله وحشتناک پیداشده است که می‌توانند WPS را سریع بشکنند.

 

۹. همه سرویس‌های غیرضروری را غیرفعال کنید

مسیریاب‌ها با بسیاری از خدمات و ویژگی‌های موجود در حال اجرا هستند. درحالی‌که بعضی از آن‌ها می‌توانند به‌طور قانونی مفید باشند و بعضی می‌توانند یک خطر امنیتی بزرگ باشند. در برخی از آن‌ها به‌طور پیش‌فرض SSH، NFS، Samba یا حتی Telnet فعال هستند.

 

۱۰. مسیریاب خود را به یک مکان امن انتقال دهید

مردم اغلب فراموش می‌کنند که دسترسی فیزیکی به هر کامپیوتر یکی از بزرگ‌ترین تهدیدات امنیتی است. مسیریاب‌ها متفاوت نیستند. وقتی کسی می‌تواند دست خود را به مسیریاب برساند، انجام هر کاری روی آن بسیار آسان است. این شامل تنظیم مجدد مسیریاب و پاک کردن تمام تنظیمات امنیتی شما می‌شود.

مسیریاب خود را دور از دسترس نگه‌دارید. نگهداری مسیریاب در اتاق یا محل قفل‌شده ایده خوبی به نظر می‌رسد. شما حتی می‌توانید آن را در قفسه قفل‌شده نگهداری کنید به شرطی که سیگنال مسدود نشود.

 

۱۱. غیرفعال کردن DHCP

انجام این کار کاملاً ضروری نیست. ایجاد یک شبکه بدون DHCP کار واقعاً دشواری است. اما تنظیم کردن آدرس‌های آی‌پی ثابت کار مدیریت را آسان‌تر می‌کند. با آدرس‌های ثابت، شما دقیقاً می‌دانید هر کامپیوتر چه آدرس‌هایی دارد، و تشخیص رخدادهای عجیب را آسان‌تر می‌کند. بدون DHCP، اتصال نفوذگر به شبکه کمی دشوارتر می‌شود.

 

۱۲. خاموش کردن نقاط دسترسی

کارهای شما برای ایمن‌سازی شبکه هیچ معنایی نخواهد داشت اگر یکی از کارمندان شما نقطه دسترسی خود را که به‌شدت ناامن است، برپا کنند. هیچ راهی وجود ندارد که اطمینان دهد افراد شبکه شما به‌درستی پیکربندی نقطه دسترسی‌ها را انجام می‌دهند، بنابراین بهتر است که بر نقاط دسترسی ناامن نظارت کرده و بلافاصله آن‌ها را ببندید.

 

۱۳. دسترسی ادمین از طریق WiFi را غیرفعال کنید

اینکه بتوان مسیریاب را از طریق وایرلس مدیریت کرد کار را خیلی راحت می‌کند. اما متأسفانه این قابلیت اجازه دسترسی غیرمجاز را هم به شما می‌دهد. اگر هرکسی در محدوده WiFi بتواند به صفحه مدیریت مسیریاب شما وارد شود شما شانس افراد را برای دسترسی غیرمجاز بالا می‌برید.

دسترسی به صفحه مدیر از طریق WiFi را غیرفعال کنید و تنها افرادی که با یک اتصال سیمی به مسیریاب شما متصل هستند بتوانند به آن دسترسی پیدا کنند و تغییرات ایجاد کنند.

 

۱۴. برنامه راه‌انداز را بهروز نگه‌دارید

اغلب مردم به مسیریاب‌ها به‌عنوان لوازم‌خانگی نگاه می‌کنند. مسیریاب را تنظیم می‌کنند ولی از آن نگه‌داری نمی‌کنند. مسیریاب‌ها مانند سرور هستند، اگر به‌طور مرتب به‌روزرسانی و محافظت نشوند، کار نمی‌کنند. به‌روزرسانی نرم‌افزارهای مسیریاب شامل رفع مشکلات امنیتی است. اطمینان حاصل کنید که به‌روزرسانی‌ها به‌طور مرتب بررسی و نصب می‌شوند زیرا ممکن است باوجود اعمال آخرین وصله امنیتی، مسیریاب شما آسیب‌پذیر باشد.

 

۱۵. یک نقطه دسترسی خصوصی برای مهمان با امنیت بیشتر ایجاد کنید

همه کسب‌وکارها اجازه نمی‌دهند مهمانان یا مشتریان به شبکه‌هایشان دسترسی داشته باشند، اما بعضی از آن‌ها این اجازه را می‌دهند. اگر کسب‌وکارتان در این دسته قرار دارد، یک نقطه دسترسی جداگانه برای این منظور بسازید که بتوانید کاربران را از بقیه شبکه جدا نگه‌دارید. شما می‌توانید در مسیریاب خود نقطه دسترسی دوم را ایجاد کنید و با استفاده از فایروال دسترسی به سرویس‌ها را ببندید و دسترسی به سرویسی که می‌خواهید برای مشتریان در دسترس باشد را بازکنید.

 

همیشه به یاد داشته باشید که امنیت همواره در حال تکمیل است و برخی از این نکات ممکن است تغییر کند. منابع معتبر برای مشاهده رویدادهای امنیتی در شبکه را دنبال کنید تا از سوءاستفاده‌های جدید یا شیوه‌های امنیتی بهتر مطلع باشید.

 

منبع: InfoSec Institute

۱۵ روش برای امن کردن WiFi سازمان

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top