امروزه در شبکه های بی سیم سازمانی اعمال سیاست های امنیتی جهت اطمینان بیشتر در دو لایه مجزا مورد توجه قرار می گیرد:
– سیاست های مربوط به لایه فیزیکی (Physical) که روی رسانه انتقال تعریف می شوند تا سیگنال های مزاحم ناخواسته یا هدفمند نتوانند در شبکه مشکل ایجاد کنند.
– سیاست های مربوط به لایه منطقی (Logical) که شامل الگوریتم های مطرح و استانداردی هستند که در صورت پیاده سازی و بهره گیری صحیح امنیت بستر شبکه را به خوبی تضمین می نمایند.
با اعمال سیاست های امنیتی مربوط به دو لایه فوق می توان مطمئن بود که اطلاعات موجود در شبکه از سطح امنیتی بسیار مناسبی برخوردار بوده و شبکه در برابر نقوذ کاملاً مقاوم خواهد بود.
استاندارد ۱۱و ۸۰۲ سرویس های جدا و مشخصی را برای تا مین یک محیط امن بی سیم در اختیار قرار می دهد . این سر ویس ها اغلب توسط پروتکل (WEP (wired Equivalent privacy تامین می گردند و وظیفه آنها امن سازی ارتباط میان مخدوم ها و نقاط دسترسی بی سیم است . درک لایه یی که این پروتکل به امن سازی آن می پردازد اهمیت ویژ ه ای دارد ،به عبارت دیگر این پروتکل کل ارتباط را امن نکرده و به لایه های دیگر ، غیر از لایه ارتباطی بی سیم که مبتنی بر استاندارد۸۰۲٫۱۱ است ، کاری ندارد .این بدان معنی است که استفاده از WEP در یک شبکه ی بی سیم به معنی استفاده از قابلیت درو نی استاندارد شبکه های محلی بی سیم است و ضامن امنیت کل ارتباط نیست .زیرا امکان قصور از دیگر اصول امنیتی در سطوح بالا تر ارتباطی وجود دارد .در حال حاضر عملا تنها پروتکلی که امنیت اطلا عات و ار تبا طات را در شبکه های بی سیم بر اسا س استاندارد ۸۰۲٫۱۱ فرا هم می کند WEP است
این پروتکل با وجود قابلیت هایی که دارد ،نوع استفاده از آن همواره امکان نفوذ به شبکه های بی سیم را به نحوی ، ولو سخت و پیچیده فرا هم می کند . نکته یی که باید به خاطر داشت این است که حملات موفق صورت گرفته در مورد شبکه های محلی بی سیم ، ریشه در پیکر بندی نا صحیح WEP در شبکه دارد . به عبارت دیگر این پروتکل در صورت پیکر بندی صحیح در صد بالا یی از حملات را نا کام می گذارد ،هر چند که فی نفسه دچار نواقص و ایراد هایی نیز هست .بسیاری از حملاتی که بر روی شبکه های بی سیم انجام می گیرد از سویی است که نقاط دسترسی به شبکه ی سیمی دارای اشتراک هستند . به عبارت دیگر نفوذ گران بعضا با استفاده از راه های ارتبا طی دیگری که بر روی مخدوم ها و سخت افزار های بی سیم ،خصوصا مخدوم های بی سیم ، وجود دارد به شبکه ی بی سیم نفوذ می کنند که این مقوله نشان دهنده ی اشتراکی هر چند جزئی میان امنیت در شبکه های سیمی و بی سیمی است که از نظر ساختاری و فیزیکی با یک دی گر اشتراک دارند .
سه قابلیت و سرویس پایه توسط IEEE برای شبکه های محلی بی سیم تعریف می گردد:
Authentication – 1
هدف اصلی WEP ایجاد مکانی برای احراز هویت مخدوم بی سیم است .این عمل که در واقع کنترل دسترسی به شبکه ی بی سیم است .این مکانیزم سعی دارد که امکان اتصال مخدوم هایی را که مجاز نیستند به شبکه متصل شوند از بین ببرد .
Confidentiality -2
محرمانه گی هدف دیگر WEP است . این بعد از سرویس ها و خدمات WEP با هدف ایجاد امنیتی در حدود سطوح شبکه های سیمی طراحی شده است . سیاست این بخش از WEP از سرقت اطلا عات در حال انتقال بر روی شبکه ی محلی بی سیم است
Integrity -3
هدف سوم از سر ویس ها و قابلیت های WEP طراحی سیاستی است که تضمین می کند پیامها و اطلاعات در حال تبا دل در ، شبکه خصو صا میان مخدوم های بی سیم و نقاط دسترسی ، در حین انتقال دچار تغییر نمی گردند . این قابلیت در تمامی
استاندارد ها ، بستر ها و شبکه های ار تباطی دیگر نیز کم و بیش وجود دارد . نکته ی مهمی در مورد سه سرویس WEP وجود دارد نبود سر ویس های وصول Auditing و Authorization در میان سرویس های ارایه شده توسط این پروتکل است .
امنیت شبکه های بی سیم با استفاده از تجهیزات شرکت Ruckus:
امروزه بیشتر شرکتها و سازمانها نیاز به استفاده از شبکه های بی سیم دارند. اما راه حل های موجود، یا از نظر امکانات امنیتی ضعیف هستند و یا هزینه تهیه و نگهداری آنها زیاد است. شرکت Ruckus ، امکانات جدید “امنیت بی سیم” (Wireless Security) را عرضه کرده که راه حل آسانی برای مدیریت یک شبکه بی سیم امن و مطمئن است. این امکانات امنیتی به همراه سخت افزار Controller با کمترین هزینه و بدون نیاز به تنظیمات پیچیده، استفاده از شبکه های بی سیم امن در شرکتها و سازمانهای کوچک و متوسط را به راحتی امکان پذیر می سازد.
امکانات امنیتی که در ادامه این بخش به آنها اشاره می شود در دو قسمت تشریح می گردند:
۱- امکانات امنیتی استانداردی که هر شبکه بی سیم سازمانی که در سطح Enterprise پیاده سازی می شود الزاماً باید از آنها بهره مند باشد تا امنیت مورد انتظار یک شیکه سازمانی را تامین کند
۲- امکانات امنیتی اختصاصی که علاوه بر موارد فوق توسط Ruckus توسعه یافته و جهت ارتقای سطح امنیتی فراتر از سطح استانداردهای رایج شبکه های بی سیم سازمانی به آنها توجه شده است.
امکانات امنیتی عمومی در شبکه های بی سیم سازمانی:
شبکه های بی سیم سازمانی برای رعایت اصول امنیتی استاندارد از امکانات زیر بهره مند هستند:
۱- احراز هویت (Authentication):
یک شبکه بی سیم سازمانی از شیوه های متفاوت احراز هویت کاربران شامل موارد زیر پشتیبانی می کند:
کلید مشترک (PSK)
نام کاربری و کلمه عبور اختصاصی تحت پروتکل x802.11
سایر روش های احراز هویت
تجهیزات Ruckus با سیاست های امنیتی از قبل تعریف شده در شبکه سازمان تحت سرویس RADIUS به صورت کامل سازگار بوده و این سیاست ها به سادگی در شبکه بی سیم سازمانی پیاده سازی شده با این تجهیزات تسری خواهند یافت.
۲- کدگذاری اطلاعات (Encoding):
در شبکه های بی سیم سازمانی کلیه داده ها قبل از قرار گرفتن در بستر ارتباطی به شکلی رمزگذاری خواهند شد که حتی اگر بر فرض در اختیار یک منبع خارج از شبکه قرار گیرند همچنان نتوان از محتوای آنها اطلاع حاصل نمود. تجهیزات Ruckus از آخرین استانداردهای کدگذاری نظیر AES-256 به خوبی پشتیبانی می کنند.
۳- V-LANing:
در شبکه های بی سیم سازمانی همانند شبکه های Wired امکان جداسازی ترافیک بخش های مختلف با ایجاد VLAN های متعدد امکان پذیر است. همچنین VLAN های ایجاد شده در شبکه سازمان قبل از اضافه شدن شبکه بی سیم سازمانی به سادگی قابل تسری به شبکه بی سیم هم خواهد بود. تجهیزاتRuckus از حیث سازگاری با VLAN های شبکه پیاده سازی شده سازمان تحت پروتکل DOT1Q به خوبی سازگار می باشد.
۴- دسترسی مهمانان شبکه (Guest Access):
امروزه در سازمان ها مهمانان و مشاوران خارجی و داخلی زیادی در رفت و آمد هستند که در زمان حضورشان در سازمان باید امکان فراهم آوردن دسترسی آنها به اینترنت و یا منابع از پیش تعریف شده در شبکه سازمان در حداقل زمان ممکن فراهم باشد. بعلاوه این دسترسی باید به نحوی تعریف شود که به شکل خواسته یا ناخواسته مهمانان سازمان نتوانند به منابع غیر مجاز در شبکه دسترسی داشته باشند. شبکه های بی سیم سازمانی قادر هستند با استفاده از امکان Captive Portal این دسترسی را با رعایت سیاست های امنیتی در اختیار مهمانان قرار دهند. در شبکه های بی سیم سازمانی پیاده سازی شده با تجهیزات Ruckus این دسترسی های موقت هم به صورت مستقل از شبکه Wired سازمان و هم به صورت سازگار با سرور RADIUS سازمان قابل تعریف می باشد. بعلاوه امکان طراحی و سفارشی سازی یک صفحه وب ورودی/خوش آمدگویی برای مهمان هم فراهم است.
۵-راه اندازی فوری (Plug and play)
با استفاده از امکانات “امنیت شبکه بی سیم” می توانید در چند دقیقه شبکه های بی سیم پایدار و امن راه اندازی کنید. تجهیزات Ruckus Controller نیاز به هیچگونه تنظیمی ندارند و راه اندازی آنها به آسانی و سرعت انجام می شود.
۶- امنیت یکپارچه (Integrated Security)
تجهیزات Ruckus Controller بطور یکپارچه با دستگاهای Access Point هماهنگ عمل کرده و تمام امکانات امنیتی دستگاه Ruckus مرکزی برای تأمین امنیت کاربران شبکه بی سیم بکار گرفته می شود. این امکانات در بخش “امنیت شبکه” و “امنیت اینترنت”، ارائه می گردد.
۷- مدیریت متمرکز (Central Management)
دستگاه Ruckus مرکزی وظیفه مدیریت تجهیزات Access Point را بر عهده دارد. تمام تنظیمات، ثبت رویدادها (Log) و گزارش گیری از طریق دستگاه Ruckus Controller مرکزی صورت می گیرد.
۸- رمز گذاری قوی (Strong Encryption)
امکانات “امنیت شبکه بی سیم” از برترین فناوری های رمز نگاری (Encryption) و تأیید هویت (Authentication) برای تأمین امنیت در برابر دسترسی های غیر مجاز به شبکه بی سیم استفاده می کند. از جمله، فناوری WPA-2 Enterprise که از رمز نگاری AES 128bit استفاده می کند، بکار گرفته شده و همچنین استاندارد ۸۰۲٫۱۱n بطور کامل پشتیبانی می شود.
۹ – اینترنت میهمانان (Guest Internet Access)
با استفاده از امکانات “امنیت شبکه بی سیم” به آسانی می توان دسترسی میهمانان به اینترنت بی سیم را فراهم کرد، بدون آنکه شبکه محلی خود را به مخاطره بیندازید.
تجهیزات Ruckus Controller می توانند از چندین ناحیه (Zone) بی سیم (SSID) با تنظیمات متفاوت پشتیبانی کنند. بدین ترتیب می توان میزان دسترسی میهمانان اینترنت بی سیم را تعیین و محدود کرده و دسترسی لازم را برای آنان، بدون ایجاد هرگونه تهدید امنیتی به شبکه سازمانی، فراهم نمود.
۱۰- جابجایی بدون وقفه (Placement Choice)
تجهیزات Ruckus Controller را می توان در هر نقطه ای از سازمان خود قرار دهید و همچنان آنتن قوی در هر نقطه دفتر دریافت کنید. در زمان جابجایی کاربر بین دو Access Point نیز ارتباط بدون وقفه برقرار خواهد بود.
