الشبكات المحلية اللاسلكية
تأمين غير الآمن
تأمين غير الآمن
تأمل وترقيع الطبيعة الجدلية لأمن الشبكات اللاسلكية.
إذا كنت تريد الاستفادة من ميزات الحرية والسهولة اللتان توفرهما الشبكة المحلية اللاسلكية، فستعاني على الأرجح من إمكان التجسس على بياناتك. فحين تم تصميم النظام القياسي 802.11b، كان الاعتبار الأول في التصميم تقديم أسلوب تركيب بسيط، وتوفير تبادل تشغيل الأجهزة التي تنتجها شركات مختلفة مع بعضها. لكن بعض المستخدمين المهملين، ومثلهم بعض مدراء الشبكات، غفو على سهولة الاستخدام تلك، وأصبحوا ينشرون الشبكات بدون الاهتمام كثيراً بمسألة الخصوصية. وحتى أولئك الذين اهتموا بتحقيق مقاييس الأمن المدمجة في المواصفة القياسية 802.11b، بقوا عرضة لعدد من نقاط الضعف المعروفة.
كنت تستطيع في شبكات إنترنت المحلية السلكية التقليدية، قبل عصر إنترنت، أن تسيطر على الوصول إلى شبكتك، باستضافتها داخل مكتبك. وكان الدخول إلى الشبكة عن بعد صعباً. لكن استخدام الشبكة المحلية اللاسلكية، يعني أن إرسال شبكتك يبث عبر الموجات الراديوية، خارج جدران مكتبك، إلى المكاتب المجاورة، وموقف السيارات، بل أبعد من ذلك. ومالم تنفذ إجراءات أمن مناسب، يستطيع أي شخص مزود بالمعدات المناسبة، مع معرفة تقنية قليلة، أن يرى حركة مرور شبكتك.
احم شبكتك
سواء نشر الشبكة مستخدم منزلي قليل الصبر، أو مدير شبكة شركة لا مبال، يوجد عدد من الخطوات التي يجب التزام بها على الأقل.
- غيّر الاسم الفطري للشبكة ESSID، المطلوب للدخول إلى الشبكة المحلية، بالإضافة إلى كلمة السر الفطرية لنقطة وصولك. فالإعدادات الفطرية لتجهيزات كل منتج معروفة بين معاشر الهكرة.
- عطّل بث المعرّف ESSID من منارة نقطة الوصول. إذ ترسل نقاط الوصول دورياً عادة، قيم المعرفات ESSID الخاصة بها. ويمكن لبرامج خدمية لاسلكية، مثل البرنامج المجاني Network Stumbler (www.netstumbler.com)، أو حتى لأنظمة ويندوز إكس بي، أن تلتقط هذه القيمة، وتقدم للمتسلل لائحة بالشبكات المتوفرة. ويزد تعطيل هذا البث من الصعوبات التي تواجه الدخيل في التعرف على شبكتك.
- شغل ميزة Wired Equivalent Privacy (WEP). فبدون التشفير ترسل بياناتك بشكل مقروء، ويمكن لأي شخص يقع ضمن مدى الموجات الراديوية، ويشغل محلل بروتوكول لاسلكي، أو بطاقة شبكة خبيثة، أن يلتقط البيانات بدون الانضمام إلى شبكتك. ويستخدم WEP تشفير RC4، وهي الخوارزمية ذاتها المستخدمة في التسوق الآمن على الشبكة. ويوجد تشفير WEP بنكهتين: عيار 64 بت، وعيار 128 بت. وننصحك باستخدام التشفير من عيار 128 بت، إذا كان متوفراً.
- غيّر مفاتيح التشفير دورياً. فكلما قلت البيانات التي ترسلها باستخدام مفتاح التشفير ذاته، تصبح شبكتك أكثر مناعة ضد التنصت.
- شغّل ترشيح التحكم بالوصول إلى الجهاز Media Access Control (MAC)، على كل نقطة وصول. فلكل بطاقة PC Card لاسلكية معرّف فريد يعرف بعنوان MAC. وتسمح العديد من نقاط الوصول، بإنشاء لائحة بعناوين MAC، التي يسمح بدخولها الشبكة، بينما يرفض انضمام الأجهزة التي لا توجد معرفاتها في اللائحة.
نؤكد على أن هذه الخطوات تعتبر الحدود الدنيا. وحتى إذا نفذتها جميعاً، ستبقى بياناتك عرضة للخطر. ففي الصيف الماضي اكتشف البحاثة نقاط ضعف في نظام WEP، وبعد أسابيع من عرضهم لها، ظهرت على إنترنت، مجموعة من أدوات الاختراق التي تعتمد على نقطة الضعف المكتشفة تلك.
الأمن الأبعد من WEP
ربما يكون نظام WEP كافياً لمعظم المستخدمين في المنازل، ويعتمد هذا على مستوى سرية البيانات التي يتعاملون بها. لكن مدراء الشبكات يحتاجون إلى تشفير أقوى للشبكات المحلية اللاسلكية. تبدو الشبكات الخاصة الافتراضية الحل المنطقي لمدير الشبكة، لأنها توفر تشفير IPsec، أو PPTP في القطاع اللاسلكي. يبث زبون الشبكة المحلية اللاسلكية، البيانات المشفرة عبر نقطة الوصول، إلى مجمّع الشبكة الافتراضية، الذي يفك تشفير البيانات، ويمررها إلى الشبكة السلكية. ويمكن أن يعمل هذا الحل جيداً في الشبكات المحلية اللاسلكية الصغيرة، لكنه مكلف جداً ومعقد بالنسبة للشبكات الكبيرة.
انبرت شركات متعددة لسد هذه الثغرة، بتقديم منتجات عتادية من فئة جديدة مصممة خصيصاً لإنشاء شبكة خاصة افتراضية للشبكات المحلية. وتقدم شركات Blue Socket، وSMC Networks، وVernier Networks، حلولاً متشابهة في هذا المجال. وتوفر أجهزة تجميع عتادية، تتدرج جيداً، ويمكنها العمل مع مختلف أنواع التجهيزات اللاسلكية. ويوضع كل من هذه الأجهزة، بين نقاط الوصول لشبكتك اللاسلكية، وبقية شبكتك السلكية، ما يوفر بوابة طبيعية أشد أمناً للوصول إلى مواردك الداخلية.
جاء العديد من مصنعي الأجهزة اللاسلكية الرئيسين، بمنتجات تتضمن نماذج أمن لاسلكي متقدمه، لكنها لا تعمل إلا بين منتجات كل شركة منتجة على حدة. وتوفر كلاً من التقنياتAgere Orinoco Advanced Mobile Security Architecture ، وCisco Aironet LEAP، و3Com Dynamic Security Link، طريقة تحقق من هوية المستخدم، بالإضافة إلى قدرتها على توليد مفتاح WEP ديناميكي فريد لكل زبون. وعلى الرغم من أن هذه الحلول تحتاج إلى برمجيات زبون خاصة، واستخدام نقاط وصول، وبطاقات لاسلكية من المنتِج ذاته، إلا أنها تشير إلى الاتجاه الذي تتحرك فيه المنظمات الواضعة للمقاييس. وتعتبر تلك الحلول خيارات قوية، لكن ليس واضحاً كم ستستمر حياة حلول الأمن المملوكة لشركات معينة، حالما يتم وضع، وتتم المصادقة على مواصفات قياسية حقيقة ومفتوحة لأمن الشبكات اللاسلكية المحلية (مازال ذلك يحتاج إلى عام على الأقل من الآن).
أنشأت منظمة IEEE، مجموعة عمل تدعى TGi، لتحقيق هذا، وهي تعمل خصيصاً على وضع نظام قياسي محكم لأمن الشبكات المحلية اللاسلكية، لا تملكه شركة بعينها. واقترحت مجموعة TGi، في هذا المجال، مواصفة قياسية مؤقتة تدعى TKIP (Temporal Key Integrity Protocol)، مصممة كي تعمل مع أنواع العتاد الحديث والقديم، ويمكن للشركات المنتجة لتجهيزات الشبكة المحلية اللاسلكية أن تضيف هذه الميزة إلى منتجاتها، بمجرد تعديل البرامج العتادية فيها. يستخدم بروتوكول TKIP آلية تدعى إعادة تعيين مفتاح الرزم سريعاً، وهي تغيّر مفاتيح التشفير دروياً. ولا يتطلب حصول جهاز معين على شهادة Wi-Fi، حالياً، دعم TKIP، لكننا نتوقع أن يضيفه اتحاد WECA، إلى اختبار شهادته، أواخر هذا العام.
صدقّت مجموعة TGi، الصيف الماضي، على اقتراح 802.1x، الذي اكتسب تأيداً وقبولاً قوياً من مصنعي منتجات الشبكات المحلية اللاسلكية للمؤسسات الضخمة. وصممت هذه المواصفة القياسية أصلاً كي تستخدم في الشبكات السلكية، لكن لها تطبيقاً ممتازاً في الشبكات اللاسلكية، لأنها توفر إطار عمل قياسي لتخويل التحكم بالوصول للشبكة حسب المنفذ. ينشئ زبون الشبكة اللاسلكية، طلب أذن بالدخول إلى نقطة الوصول، والتي تتحقق من الزبون عبر مزود RADIUS، ملتزم بمواصفات بروتوكول Extensible Authentication Protocol (EAP). يسمح مزود RADUIS، هذا، للمستخدم بالتحقق عبر كلمة المرور، أو يسمح بالتحقق من الجهاز عبر عنوان MAC. ولا يمكن للزبون اللاسلكي الانضمام إلى الشبكة حتى تنتهي عملية التحقق.
لا يحدد النظام القياسي 802.1x، كيف يجب توظيف بروتوكول EAP فيه. ويترك ذلك فسحة واسعة لإنتاج أنواع منه مثل: EAP-MD5، وEAP-TLS، وEAP-TTLS، وPEAP، بالإضافة إلى جميع الطرق التي تسمح لزبون الشبكة المحلية اللاسكلية، ليعرف ذاته لمزود RADIUS. ويتوقع أن يصبح البروتوكولان EAP-TTLS، أو PEAP، الحلان المسيطران في المستقبل القريب، بعد أن يتم التصديق عليهما.
لا يصلح نظام 802.1x، حقيقة نقاط ضعف WEP. ومازالت توجد عيوب في توظيف تشفير RC4 فيه، لكنها أصعب اكتشافاً لأن نظام 802.1x ينقل حركة مرور أقل باستخدام مفاتيح متماثلة. يوجد توجه ضعيف للتخلص من تشفير RC4، لصالح تشفير أقوى يدعى EAS. وطرحت شركة Atheros Communications طقم رقاقات لنظام 802.11a، يدعم تشفير EAS. لكن تطوير طقم رقاقات لنظام 802.11b، تأخر نسبياً. ونتوقع مشاهدة منتجات 802.11a، مع دعم تشفير EAS تدخل إلى السوق رويداً أواخر هذا العام. لكن لا تتوقع أن ترى منتجات لنظام 802.11b، تعتمد على تشفير EAS، حتى منتصف العام 2003.
__________________
كل علم وانتم بخير
|