آدنا شاپ


امروزه، بیشتر سازمان‌ها و کسب‌وکارها برای انجام فعالیت‌های تجاری‌شان، آدنا شاپ بی‌سیم خاص خود را پیاده‌سازی می‌کنند. کمتر هتل یا کافی‌شاپی را پیدا می‌کنید که فاقد یک آدنا شاپ وای‌فای باشد. اگر در نظر دارید، از آدنا شاپ وای‌فای برای انجام کارهای تجاری در شرایطی استفاده کنید که شرکت شما دپارتمانی موسوم به فناوری اطلاعات را ندارد، کار چندان پیچیده‌ای پیش رو ندارید. اما اگر در نظر دارید در محل کار خود یک اکسس پوینت ایجاد کنید تا کارمندان به آن متصل شوند و سعی کنید از پارامترهای پیش‌فرض برای این منظور استفاده کنید، آنگاه کسب‌وکار شما در معرض چالش جدی قرار می‌گیرد. پژوهشی که از سوی سایت nakedsecurity انجام‌شده و شهرهای مختلف جهان مانند لندن، نیویورک، واشنگتن و سان‌فرانسیسکو را مورد بررسی قرار داده نشان می‌دهد، بیشتر کسب‌‌وکارهای واقع در این شهرها از وای‌فای غیر ایمن استفاده می‌کنند. در واقع بیشتر کسب‌وکارها از رویکردهای امنیتی تاریخ‌مصرف گذشته و البته نادرستی استفاده می‌کنند که هیچ‌گونه امنیتی را برای آن‌ها به ارمغان نمی‌آورد. در این پژوهش آمده، در شهر لندن تنها ۱۷ درصد هات‌اسپات‌های وای‌فای از پیکربندی WPA2 برای رمزنگاری ترافیک آدنا شاپ بی‌سیم خود استفاده کرده‌اند و نزدیک به یک‌چهارم هات‌اسپات‌ها در اصل آدنا شاپ‌های وای‌فای باز هستند که بدون هیچ‌گونه الگوریتم رمزنگاری مورداستفاده قرار می‌گیرند. همچنین اغلب این آدنا شاپ‌های وای‌فای از نام آدنا شاپ (SSID) پیش‌فرض در تعامل با نام کاربری و گذرواژه پیش‌فرض استفاده کرده‌اند. اما برای آن‌که بتوانید یک آدنا شاپ‌ وای‌فای ایمن را پیاده‌سازی کنید، ابتدا باید با یکسری باورهای اشتباه در زمینه امنیت آدنا شاپ آشنا شوید. باورهایی که تنها باعث گمراهی‌تان می‌شوند. 

باور اشتباه یک؛

پنهان‌سازی نام آدنا شاپ SSID

هر روتر یا اکسس پوینت بی‌سیمی یک نام آدنا شاپ دارد. نامی که از سوی کاربر تعیین‌شده است. به این نام آدنا شاپ SSID گفته می‌شود. در حالت پیش‌فرض روترها SSID خاص خود را برای همه دستگاه‌ها و کاربرانی که در محدوده تحت پوشش قرار دارند، ارسال می‌کنند تا دستگاه‌ها بتوانند به روترها متصل شوند. بسیاری بر این باورند که اگر SSID مربوط به روتری را از دید دستگاه‌ها و کاربران پنهان ساخت به این شکل می‌توان از آدنا شاپ در برابر

ها محافظت کرد. در ظاهر به نظر می‌رسد، این ایده خوب کار می‌کند. اما واقعیت این است که دستگاه‌های مجهز به سیستم‌عامل‌های مدرن همچون ویندوز ۱۰ به‌خوبی می‌توانند همه آدنا شاپ‌های موجود را کشف کنند، حتی اگر این توانایی را نداشته باشند تا نام هر آدنا شاپ را به شکل متمایز از دیگری نشان دهند. همچنین پیداکردن یک SSID پنهان‌شده کار پیچیده‌ای نیست و به‌سادگی انجام می‌شود. در حقیقت، اگر سعی کنید SSID آدنا شاپ خود را پنهان سازید، شک و تردید هکرها را بیشتر کرده‌اید و آن‌ها احساس می‌کنند که آدنا شاپ وای‌فای شما اطلاعات حساسی دارد که پنهان‌شده است. شاید بتوانید مانع از آن شوید تا روترتان SSID را ارسال کند، اما این توانایی را ندارید تا از ارسال اطلاعات یادشده در قالب بسته‌های داده‌ای، درخواست‌های ارتباط یا برقراری ارتباط مجدد و…. ممانعت به عمل آورید. یک ابزار تحلیلگر آدنا شاپ‌های بی‌سیم شبیه Kismet یا CommView for Wifi به‌راحتی قادر است SSID مربوط به آدنا شاپ‌های پنهان را به‌سرعت شناسایی کند. در بهترین حالت پنهان‌سازی ارسال نام آدنا شاپ از شما در برابر کاربران معمولی محافظت می‌کند، اما در مقابل نفوذگران حرفه‌ای هیچ کمکی به شما نمی‌کند. 

مطلب پیشنهادی

چگونه می‌توانیم دستگاه‌های متصل به آدنا شاپ وای‌فای را پیدا کنیم؟

نظارت بر آدنا شاپ وای‌فای

باور اشتباه دو؛ 

فعال کردن فیلتر مربوط به مک آدرس

همه دستگاه‌های موجود در آدنا شاپ یک آدرس مک منحصربه‌فردی دارند که برای شناسایی دستگاه‌ها استفاده می‌شود. یک آدرس مک، مشتمل بر حروف و اعدادی است که از طریق کاراکتر : از یکدیگر تفکیک‌شده است. ۰۰:۰۲:D1:1A:2D:12 نمونه‌ای از یک آدرس مک است. دستگاه‌هایی که درون یک آدنا شاپ قرار دارند برای ارسال یا دریافت داده‌ها در یک آدنا شاپ و شناسایی یکدیگر از مک آدرس استفاده می‌کنند. اشتباه بزرگی که بسیاری از کاربران انجام می‌دهند این است که تصور می‌کنند اگر روتر خود را به‌گونه‌ای پیکربندی کنند که تنها به دستگاه‌هایی با آدرس مک خاص اجازه دسترسی به روتر و اتصال به آدنا شاپ را بدهند، به این شکل می‌توانند از آدنا شاپ خود محافظت کرده و از اتصال دستگاه‌های غیرمجاز ممانعت به عمل آورند. پیاده‌سازی چنین تنظیماتی کاری ساده اما در مقابل زمان‌بر است. به‌واسطه آن‌که شما در ابتدا باید مک آدرس همه دستگاه‌هایی را که در نظر دارید به آدنا شاپ متصل شوند، شناسایی کرده، در ادامه جدولی که در ارتباط با روتر قرار دارد را به‌درستی پر کنید. در این حالت هیچ دستگاهی که آدرس مک آن درون جدول قرار نداشته باشد، این شانس را نخواهد داشت که به آدنا شاپ متصل شود، حتی اگر گذرواژه آدنا شاپ بی‌سیم شما را در اختیار داشته باشد. اما باید بدانید که چنین موضوعی صحت ندارد. یک هکر از طریق به‌کارگیری ابزارهای تحلیل‌گر آدنا شاپ‌های بی‌سیم به‌راحتی می‌تواند آدرس مک همه دستگاه‌هایی را که اجازه اتصال به آدنا شاپ دارند، به دست آورده و در ادامه آدرس مک دستگاه خود را به یکی از آدرس‌های مکی که شما تعریف کرده‌اید، تغییر دهد. در نتیجه همان‌گونه که مشاهده می‌کنید شما کاری جز از دست دادن زمان انجام نداده‌اید. فعال‌سازی فیلتر آدرس‌های مک ممکن است از شما در برابر اتصال کاربران عادی به آدنا شاپ محافظت کند، اما در مقابل یک هکر این‌گونه عمل نخواهد کرد. همچنین فراموش نکنید اگر این کار را انجام دادید و در ادامه مجبور شدید دسترسی یک کامپیوتر به آدنا شاپ را به شکل موقت غیرفعال کنید، کار سختی پیش‌رو خواهید داشت. 

باور اشتباه سه؛ 

محدود‌سازی آدرس‌های آی‌پی روتر

هر دستگاه متصل به آدنا شاپ از طریق آدرس آی‌پی منحصربه‌فردی که در اختیار دارد، شناسایی می‌شود. یک آدرس آی‌پی از سوی روتر به یک دستگاه تخصیص داده می‌شود که رشته‌ای مشتمل بر اعداد همچون ۱۹۲٫۱۶۸٫۱٫۱۰ است. اما برخلاف آدرس مک که از سوی دستگاه به روتر اعلام می‌شود، روتر از طریق به‌کارگیری پروتکل پویای کنترل میزبان (DHCP) یک آدرس آی‌پی خاص را برای هر دستگاهی که به آدنا شاپ متصل شده است، تخصیص می‌دهد. فرضیه‌ای اشتباه در دنیای ایمن‌سازی آدنا شاپ‌ها شکل‌گرفته که اعلام می‌دارد شما با محدود کردن تعداد آی‌پی‌هایی که روتر شما به دستگاه‌ها تخصیص می‌دهد قادر هستید از خود در برابر هکرها محافظت کنید. به‌عنوان مثال، اگر یک محدوده آدرس‌ آی‌پی همچون ۱۹۲٫۱۶۸٫۱٫۱ تا ۱۹۲٫۱۶۸٫۱٫۱۰ را مشخص کنید، تنها دستگاه‌هایی که در این بازه آدرس آی‌پی قرار دارند اجازه خواهند داشت تا به آدنا شاپ متصل شوند و به این شکل آدنا شاپ در برابر هکرها ایمن می‌شود. اما این فرضیه اشتباه بوده و ما در باور بعدی نشان می‌دهیم چرا این فرضیه اشتباه است. 

باور اشتباه چهار؛ 

غیرفعال کردن سرور DHCP در روتر از ما محافظت می‌کند

عده‌ای از کاربران و حتی کارشناسان آدنا شاپ بر این باورند با غیرفعال کردن سرور DHCP و تخصیص آی‌پی به هر دستگاه آن هم به شکل دستی، امنیت آدنا شاپ به‌شدت افزایش پیدا می‌کند. در این راهکار فرض بر این است، دستگاه‌هایی که فرایند تخصیص آدرس آی‌پی در خصوص آن‌ها اعمال نشده این شانس را ندارند تا به آدنا شاپ متصل شوند. در این تکنیک نیز مشابه فیلتر کردن آدرس‌های مک، کاربر جدولی از آدرس‌های آی‌پی را که متناظر به هر دستگاه است، ایجاد می‌کند. در این حالت کاربر باید آدرس آی‌پی را برای هر دستگاه به شکل دستی تنظیم و وارد کند. اما این تکنیک یک ایراد بزرگ دارد. اگر هکری موفق شده باشد به آدنا شاپ شما نفوذ کند، آنگاه از طریق یک اسکن ساده آدنا شاپ به‌راحتی می‌تواند آدرس‌های آی‌پی را که در آدنا شاپ به کار گرفته شده‌اند، مشاهده کند. 
در ادامه هکر یکی از آدرس‌های معتبر آی‌پی را که درون آدنا شاپ قرار دارد و به دستگاهی تخصیص داده‌شده برای دستگاه خود مشخص کرده و در ادامه بدون مشکل خاصی به آدنا شاپ شما متصل می‌شود. درست شبیه به فیلتر کردن آدرس‌های مک پیاده‌سازی این تکنیک چیزی جزء کار مضاعف برای شما به همراه نخواهد داشت. به‌ویژه زمانی که در نظر دارید دستگاه‌های جدیدی را به آدنا شاپ خود
اضافه کنید. 

باور اشتباه پنج؛ 

هکرها به‌سختی می‌توانند به آدنا شاپ‌های کوچک نفوذ کنند

یک باور اشتباه کاربران آدنا شاپ‌های بی‌سیم این است که هرچه قدرت ارسال سیگنال روتر کم شود، به همان نسبت شانس افرادی که در خارج از محل قرار دارند در اتصال به آدنا شاپ کم می‌شود. به‌واسطه آن‌که افراد به‌راحتی نمی‌توانند آدنا شاپ را شناسایی کنند. اما باید بدانید اگر هکری مصمم باشد به آدنا شاپ شما نفوذ کند از آنتن‌های بزرگی استفاده می‌کند که قادر هستند سیگنال‌های روتر شما را به‌خوبی دریافت کنند. باید بدانید زمانی‌که قدرت سیگنال‌های مسیریاب ضعیف می‌شوند تنها برد مؤثر و امکان اتصال برای افرادی که جزء کاربران معتبر هستند، کم می‌شود. 

مطلب پیشنهادی

چگونه می‌توانیم یک دیوارآتش به گوشی اندرویدی خود اضافه کنیم؟

اضافه کردن یک لایه امنیتی مضاعف

چگونه می‌توانیم از آدنا شاپ وای‌فای خود محافظت کنیم؟

بهترین راهکاری که در این زمینه پیش روی شما قرار دارد به‌کارگیری یک الگوی رمزنگاری ایمن است. در دنیای سامانه‌های کامپیوتری رمزنگاری به‌خوبی می‌تواند از فایل‌ها و پوشه‌های شما محافظت به عمل آورد. در دنیای آدنا شاپ‌های وای‌فای نیز رمزنگاری می‌توانند داده‌هایی را که در یک آدنا شاپ انتقال پیدا می‌کنند، کدگذاری کرده و به این شکل مانع از آن شود تا افراد غیرمجاز به داده‌های شما دسترسی پیدا کنند. در این حالت هکرها موفق خواهند شد داده‌هایی را که شما در حال ارسال آن‌ها هستید، ردیابی کرده و ضبط کنند، اما مادامی‌که کلید رمزنگاری را در اختیار نداشته باشند، موفق نخواهند شد به اطلاعات و گذرواژه‌ها دسترسی پیدا کرده و به این شکل به حساب‌های کاربری و بانکی شما نفوذ کنند. در سال‌های گذشته الگوریتم‌های رمزنگاری متعددی برای این منظور ارائه شده‌اند که WEP یکی از بهترین الگوریتم‌هایی بود که در ابتدا قادر بود از آدنا شاپ‌های وای‌فای محافظت کند. اما امروزه، با پیشرفت‌های صورت گرفته این الگوریتم تنها طی چند دقیقه شکسته می‌شود. اگر روتر شما تنها از این الگوریتم پشتیبانی می‌کند یا دستگاه‌های متصل به آدنا شاپ قادر نیستند از الگوریتم‌های جدیدتر پشتیبانی کنند، بهتر است به فکر یک جایگزین مناسب برای آن‌ها باشید. پس از آن‌که مشکلات WEP خود را نشان دادند در ادامه الگوریتم WPA عرضه شد که به‌واسطه مشکلات متعدد ۱۰ سال بعد با WPA2 جایگزین شد. لازم به توضیح است که از اواخر سال جاری میلادی WPA3 جایگزین WPA2 خواهد شد. 
هر دو الگوریتم رمزنگاری WPA و WPA2 دارای دو وضعیت مختلف شخصی (Personal) هستند که با PSK3 تشخیص داده می‌شود و سازمانی (Enterprise) که با RAIDIUS5 تشخیص داده می‌شود، در اختیار کاربران قرار دارد. حالت شخصی برای کاربران خانگی طراحی‌شده و پیاده‌سازی آن ساده است. شما گذرواژه‌ای را برای روتر خود مشخص کرده و در ادامه هر دستگاهی‌ که قرار است به آدنا شاپ بی‌سیم شما متصل شود باید از این گذرواژه استفاده کند. اگر گذرواژه‌ای که برای این منظور استفاده می‌کنید ترکیبی از حروف بزرگ و کوچک و همچنین اعداد بوده و طولی بیشتر از ۱۳ کاراکتر داشته باشد، در این حالت آدنا شاپ شما در وضعیت ایمن قرار دارد. اما اگر از واژگانی استفاده کنید که در دیکشنری نرم‌افزارهای نفوذ قرار دارد، همچون نام اشخاص یا مکان‌ها امنیت آدنا شاپ شما کاهش پیدا می‌کند. یک گذرواژه قدرتمند می‌تواند چیزی شبیه h&5U2v$(q7F4* باشد. امروزه، بیشتر روترها به دکمه‌ای به نام WPS تجهیز شده‌اند. ویژگی WPS به شما اجازه می‌دهد دو دستگاه را که از الگوریتم رمزنگاری WPA2 پشتیبانی می‌کنند، تنها با فشار یک دکمه در روتر و دکمه‌ای که در دستگاه قرار دارد، به آدنا شاپ متصل کنید. رویکردی که امروزه به شکل نرم‌افزار نیز انجام می‌شود. اما ویژگی فوق یک ایراد بزرگ هم دارد. این ویژگی به‌شدت در برابر حملات جست‌وجوی فراگیر آسیب‌پذیر است. 
در نتیجه، اگر مقوله امنیت برای شما حائز اهمیت است بهتر است ویژگی WPS روتر خود را غیرفعال کنید. اما حالت دوم به‌کارگیری الگوی WPA2 در ارتباط با سازمان‌ها است. سازمان‌ها برای بهره‌مندی از این ویژگی به سرور RADIUS یا یک سرویس RADIUS میزبانی‌شده نیاز دارند. نکته دیگری که لازم است به آن توجه داشته باشید این است که از پروتکل WPA2 در تعامل با EAP-TLS استفاده کنید. 
در حال حاضر، مهم‌ترین تهدید پیش روی آدنا شاپ‌های وای‌فای از جانب حمله مرد میانی است. حمله‌ای که کاربران یک آدنا شاپ را به سمت یک سایت مخرب هدایت کرده و در ادامه اطلاعات مهمی همچون گذرواژه‌ها و نام‌های کاربری را به سرقت می‌برند. اگر سایتی از پروتکل انتقال ابرمتن ایمن استفاده کند، محتوای مبادله شده میان کاربر و سایت به‌صورت رمزنگاری‌شده درمی‌آیند، با ‌وجود این، هکرها بازهم قادر هستند سایت‌هایی را که کاربران به آن‌ها مراجعه کرده‌اند، مشاهده کنند. اما اگر از پروتکل WPA2 در تعامل با پروتکل احراز هویت EAP-TLS استفاده کنید، آنگاه می‌توانید اطمینان حاصل کنید که تنها کاربران مجاز اجازه خواهند داشت به آدنا شاپ دسترسی پیدا کنند. زمانی‌که از پروتکل احراز هویت EAP-TLS استفاده کنید، آنگاه کاربران ضمن آن‌که باید گذرواژه موردنظر را وارد کنند باید گواهی‌ مربوط را نیز به کار ببرند. 

دیوار آتش در تعامل با رمزنگاری توان دفاعی شما را دوچندان می‌کند

زمانی‌که هکری موفق شود به آدنا شاپ وای‌فای شما نفوذ کند، در حقیقت به‌کل آدنا شاپ شما واردشده و این حرف به معنای آن است که این هکر به همه سرورها و داده‌های محرمانه شما دسترسی خواهد داشت. حتی اگر از قدرتمندترین الگوهای رمزنگاری استفاده ‌کنید بازهم باید از طریق دیوارهای آتش، آدنا شاپ وای‌فای را از سرورها و بقیه آدنا شاپ جدا کنید. در سازمان‌های بزرگ، آدنا شاپ‌ها ضمن آن‌که باید به کاربران اجازه دسترسی به سایر بخش‌ها را بدهند باید از مشتریان نیز پشتیبانی به عمل آورند. 
در نتیجه باید سطوح مختلفی از دسترسی به آدنا شاپ مشخص شود. و ضمن آن‌که یک آدنا شاپ اصلی دارید، آدنا شاپ دومی نیز داشته باشید که به شکل متمایز و جداشده از آدنا شاپ اصلی کار کند. 

مطلب پیشنهادی

فناوری رمزگذاری چگونه از اطلاعات ما محافظت می‌کند و آیا نفوذپذیر است؟

رمزگذاری به‌دنبال محدودسازی دسترسی‌های غیرمجاز

بهتر است قدرت سیگنال وای‌فای را تنظیم کنید

تاکنون چند مرتبه از بابت ضعیف بودن قدرت سیگنال وای‌فای گلایه کرده‌اید و حتی بخش‌هایی از محیط کاری یا خانه خود را پیدا کرده‌اید که به لحاظ سیگنال‌دهی جزو مناطق مرده (Dead zones) به شمار  می‌روند؟ اما ضعیف بودن سیگنال‌ها همواره دلیل بر عملکرد ضعیف روتر یا وجود موانع نیست. باید بدانید که سیگنال‌های روتر به‌راحتی از پنجره‌ها عبور کرده و همان‌گونه که در پنج باور اشتباه به آن اشاره کردیم، شخصی از طریق یک آنتن ‌قدرتمند می‌تواند سیگنال‌های روتر شما را دریافت کرده و از طریق آن به آدنا شاپ شما متصل شود. گزارشی که به‌تازگی منتشرشده اعلام می‌دارد، هکرها حتی از فاصله یک مایلی نیز می‌توانند سیگنال‌های وای‌فای دیگران را دریافت کرده و مورد بهره‌برداری قرار دهند. برای حل این مشکل بهتر است قدرت اکسس پوینت خود را تنها در محدوده‌ای که در نظر دارید تحت پوشش قرار دهد، تنظیم کنید   

درباره : شاپی