با به كارگيري نكات زير مي توان يك امنيت شبكه بي سيم را تا حد قابل قبولي بهبود بخشيد.
لازم به ذكر است كه اين نكات لازم است ولي كافي نيست.
1. كلمه عبور پيشفرض مدير سيستم(administrator) را روي نقاط دسترسي و مسيريابهاي بيسيم تغيير دهيد.
اغلب نقاط دسترسي ( Access Point )و مسيريابهاي بيسيم امكان مديريت شبكه WiFi را از طريق يك حساب كاربري مديريتي فراهم ميكنند. اين حساب كاربري امكان دسترسي ابزار و پيكربندي آن را با نام كاربري و كلمه عبور فراهم ميكند. اغلب توليدكنندگان نام كاربري و كلمه عبور را در كارخانه تنظيم ميكنند . نام كاربري معمول admin يا administrator و كلمه عبور يا خالي است يا كلماتي مثل admin ،public ، password و .... ميباشد.
اولين گام براي افزايش امنيت شبكه بيسيم تغيير كلمه عبور پيشفرض نقاط دسترسي و مسيريابهاي بيسيم بلافاصله پس از نصب است. اغلب ابزارها اجازه تغيير نام كاربري را نميدهند اما اگر ابزارهاي شما اين امكان را ميدهند، اكيدا توصيه ميشود كه نام كاربري را هم تغيير دهيد.
براي امن نگهداشتن شبكه در آينده، ميبايست بهطور منظم اين كلمه عبور را تغيير دهيد. اغلب كارشناسان توصيه ميكنند كلمه عبور را بعد از 30 تا 90 روز تغيير دهيد.
2. فعالسازي قابليت WPA/WEP
WPA (WiFi Protected Access) يك استاندارد امنيتي براي شبكههاي بيسيم است (با Windows XP Product Activation اشتباه نشود). براي استفاده از WPA با Windows XP بايد Clientهاي داراي Windows XP را به صورت دستي patch كنيد و همچنين مطمئن شويد كارت شبكهها و نقاط دسترسي به درستي پيكربندي شدهاند.
براي پيكربندي WPA در شبكه با clientهاي داراي ويندوز XP مراحل زير را انجام دهيد:
نوشتار Overview of the WPA wireless security update in Windows XP را مطالعه كنيد.http://support.microsoft.com/kb/815485
بررسي كنيد كه تمام Client ها حداقل Service Pack1 داشته باشند.
روي هر Client بررسي كنيد كه كارت شبكه با سرويس WZC(Windows Zero Configuration) سازگار باشد.
براي هر client وصله Windows XP Support Patch for Wi-Fi Protected Access را بارگزاري و نصب كنيد.http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=009D8425-CE2B-47A4-ABEC-274845DC9E91
تغييرات لازم براي نقاط دسترسي بيسيم از گام 1 را اعمال كنيد.
تغييرات لازم براي كارت شبكههاي بيسيم از گام 1 را اعمال كنيد.
3. تغيير SSID پيش فرض
نقاط دسترسي و مسيريابهاي بيسيم داراي يك نام شبكه SSID(Service Set Identifier) هستند كه توسط توليدكنندگان بهطور پيشفرض انتخاب ميشود. SSID از ايزارهاي پيكربندي بر مبناي وب يا ويندوز اين سازندگان قابل دسترسي است. اغلب SSIDهاي پيش فرض كلمات سادهاي مثل wireless، netgear، linksys، default و ... هستند. هرچند نفوذگر صرفا با دانستن SSID قادر به نفوذ به شبكه شما نيست ولي اين مساله به عنوان يك نقطه شروع خوب براي نفوذگر به حساب مي آيد. زماني كه كسي شبكه اي با SSID پيش فرض بيابد، با دانستن اين نكته كه به احتمال فراوان اين شبكه به درستي پيكربندي نشده است، ترغيب به نفوذ به شبكه ميشود.
SSID مي تواند هر زماني تغيير كند به شرطي كه اين تغيير در تمام clientها نيز اعمال شود. براي افزايش امنيت شبكه هاي بي سيم، نام پيش فرض SSID را تغيير دهيد. در انتخاب SSID توصيه هاي زير را در نظر داشته باشيد:
از نام، آدرس، تاريخ تولد، شماره تلفن يا ديگر اطلاعات شخصي تان به عنوان بخشي از SSID استفاده نكنيد.
از كلمات عبور نام كاربري ويندوزتان يا emailتان يا ... استفاد نكنيد.
با استفاده از عباراتي مثل "TOP_SECRET"، "FUNNY_BOX" و ... نفوذگران را وسوسه نكنيد.!!!
از تركيب حروف و اعداد استفاده كنيد.
عباراتي با طول حداكثر يا نزديك به حداكثر انتخاب كنيد.
هرچند ماه يك بار SSIDتان را تغيير دهيد.
4. قابليت پالايش آدرس MAC را روي نقاط دسترسي و مسيريابهاي بيسيم فعال كنيد.
اغلب نقاط دسترسي و مسيرياب هاي بي سيم داراي قابليتي به نام پالايش آدرس MAC (MAC Address Filtering) هستند. اين مشخصه اغلب بهطور پيش فرض فعال نيست. براي افزايش امنيت شبكه بي سيم تان اين قابليت را فعال كنيد. در صورتي كه اين قابليت فعال نباشد، هر clientاي با دانستن SSID شبكه شما (در نظر داشته باشيد كه فهميدن SSID كار بسيار ساده اي است) شايد چند پارامتر امنيتي ديگر مثل كليد رمزگذاري (در صورتي كه قابليت WEP فعال باشد) مي تواند به شبكه شما وصل شود.
براي تنظيم قابليت پالايش آدرس MAC شما به عنوان مدير شبكه بي سيم بايد ليست clientهايي كه مجازند به شبكه وصل شوند را پيكربندي كنيد. ابتدا آدرس MAC هر client را از طريق سيستم عامل يا ابزارهاي پيكربندي به دست آوريد و سپس آن ها را در صفحه پيكربندي نقاط دسترسي و مسيرياب هاي بي سيم وارد كنيد و نهايتا قابليت پالايش را فعال كنيد. از اين پس هر درخواست اتصال به شبكه بي سيم كه برسد آدرس MAC آن با ليست تنظيم شده بررسي شده و در صورتي كه در ليست نباشد اجازه اتصال به شبكه را نمي يابد. البته بايد نوجه داشت كه نفوذگران با جعل آدرس MAC (MAC Spoofing) قادرند به شبكه بي سيم شما وصل شوند ولي اين مساله نبايد باعث شود كه شما از خير اين قابليت بگذريد.
5. قابليت همهپخشي SSID را روي نقاط دسترسي و مسيريابهاي بيسيم غيرفعال كنيد.
اغلب نقاط دسترسي و مسيرياب هاي بي سيم بهطور خودكار SSID خوشان را در فواصل زماني مشخص پخش مي كنند. اين مشخصه براي اين است كه clientها بتواندد بهطور پويا شبكه هاي بي سيم را تشخيص دهند و بين آن ها جابهجا شوند (از شبكه اي به شبكه ديگر نقل مكان كنند). لازم به ذكر است كه اين مشخصه براي hotspotهاي تجاري و سيار طراحي شده است كه clientهاي زيادي مي آيند و مي روند ولي براي شبكه هاي خانگي لازم نيست. از آن جايي كه SSID به صورت واضح پخش مي شود و هيچ رمزگذاري روي آن صورت نمي گيرد، به دست آوردن آن توسط نفوذگران كار راحتي است. همانطور كه در گام 3 اشاره شد نفوذگر با دانستن SSID يك مرحله به هدف نزديك تر مي شود.
در يك شبكه بي سيم بحث roaming (جابهجايي بين دو شبكه بي سيم) مطرح نيست و پخش كردن SSID هيچ ضرورتي ندارد. براي افزايش امنيت شبكه بي سيم بايد اين قابليت را غيرفعال كنيد. يك بار كه client شما با SSID درست پيكربندي شد ديگر نيازي به پيغام هاي همهپخشي نيست.
دقت داشته باشيد كه غيرفعال كردن قابليت همهپخشي SSID فقط يكي از تكنيكهاي محكمسازي و افزايش امنيت شبكههاي بي سيم است. اين روش 100 درصد موثر نيست و نفوذگرها هنوز مي توانند با sniff كردن پيغام هاي مختلف پخش شده در پروتكل WiFi، SSID را تشخيص دهند. در واقع تكنيك هايي مثل غيرفعال كردن همهپخشي SSID باعث مي شئد كه شبكه بي سيم شما هدف راحتي براي نفوذگران نباشد