چکیده: حتی با بهترین استراتژی امنیت در دنیا، تغییرات با گذرزمان به وقوع می‌پیوندند. استراتژی‌های امنیت باید دربرگیرنده راه‌اندازی سیستم‌ها برای نظارت بر شبکه، هشدار دادن خودکار برای فعالیت غیرعادی، همینطور داشتن یک فرآیند بروزرسانی عادی برای سیستم، نرم‌افزار و برنامه‌ریزی، باشد. محققین معمولا تهدیدهای جدید را شناسایی می‌کنند. به منظور حفظ امنیت، نظارت منظم حائز اهمیت است.

مقدمه

بزرگترین دغدغه پیرامون راه‌حل‌های وایرلس در دنیای صنعت یا به قابلیت اطمینان مربوط می‌شود یا امنیت. هرچند، در یک شبکه سیمی، به طور کلی نیازی به گذرواژه‌ها در اتصال رایانه شخصی به روتر و ورود به شبکه وجود ندارد. علاوه براین، نیازی به رمزگذاری روی داده‌ها نیست. هاب‌ها را می‌توان با ابزاری همچون وایرشارک پیاده کرد به‌ صورتی که تمامی جریان‌های داده نمایان باشند. این امر در پیاده سازی وایرلس صدق نمی‌کند، حتی اگر ابتدایی‌ترین و مرسوم‌ترین اقدامات ایمنی وجود داشته باشند. وایرلس دارای امنیت داخلی گسترده است، با تکامل استاندارد‌ها، نیازمندی‌های امنیتی اجباری گسترش پیدا کرده‌اند و ذاتا منتهی به بهبود امنیت وایرلس شده‌اند.

وایرلس می‌تواند شدیدا یک رسانه اشتراکی ایمن باشد اگر یک قانون طلایی وایرلس مهم را دنبال کرده – با امنیت کامل پیاده کرده و به طور منظم نظارت کنید – و چند سئوال عادی درباره امنیت و پیاده‌سازی شبکه محلی وایرلس (WLAN) بپرسید.

wireless communication between different parts

حتی با بهترین استراتژی امنیت در دنیا – باسیم یا وایرلس – تغییرات با گذرزمان به وقوع می‌پیوندند. استراتژی‌های امنیت باید دربرگیرنده راه‌اندازی سیستم‌ها برای نظارت بر شبکه، هشدار دادن خودکار برای فعالیت غیرعادی، همینطور داشتن یک فرآیند بروزرسانی عادی برای سیستم، نرم‌افزار و برنامه‌ریزی، باشد. محققین معمولا تهدیدهای جدید را شناسایی می‌کنند. به منظور حفظ امنیت، نظارت منظم حائز اهمیت است.

پیاده‌سازی امن شبکه های بی سیم برای انتقال اطلاعات و داده در محیط های صنعتی

سیستم‌های وایرلس را چگونه می‌توان با ایمنی کامل پیاده کرد؟ برای شروع بهتر است به هفت سئوال ساده درباره پیاده‌سازی پاسخ دهید :

۱. بررسی وضعیت حفاظت از دستگاه‌های متصل به شبکه

دستگاه‌های شبکه می‌توانند حاوی سویچ‌ها، روترها، سایر نقاط دسترسی و کنتر کننده ها باشند. شبکه وایرلس نباید دردسرهای احتمالی برای بخش‌های دیگر شبکه به همراه داشته باشد. ابتدا، روش‌های پیکربندی ناامن قدیمی همچون تلنت، http و سریال را غیرفعال کنید. سپس پسوردهای پیش‌فرض پیکربندی را تغییر دهیدو در مرحله بعدی، بهترین راه برای محافظت از دستگاه‌های شبکه استفاده از سطوح مختلف دسترسی به دستگاه‌ها است. این را می‌توان با درنظر گرفتن کاربرد لیست‌های کنترل دسترسی انجام داد – یا از طریق پایگاه‌های داده محلی منفرد روی یک دستگاه، یک سرور مرکزی یکپارچه یا سرور RADIUS خارجی، یا با استفاده از تصدیق TACACS+.

۲. آیا شبکه دربرابر دستگاه‌هایی که به اشتباه پیکربندی شده‌اند و رفتار بدی دارند ایمن است؟

  دستگاهی که به درستی کانفیگ یا پیکربندی نشده است می‌تواند هر چیزی در یک شبکه باشد – یک PLC، یک درایو، یک نقطه دسترسی، یا یک رایانه. امکان پیکربندی مجدد دستگاه و یافتن خطاها وجود دارد، مانند نسخه قدیمی آپلود شده با آدرس آی پی نادرست یا تغییرات غیرعمد اعمالی به تنظیمات امنیتی یا روتینگ ترافیک. یک دستگاه شاید به یک ویروس آلوده شده باشد و به‌جای این که به دستگاه بعدی متصل شود، درتلاش است تا به اینترنت متصل شود.

در چنین سناریوهایی، نیاز به پیشگیری از دستگاه‌های مهاجم یا کاربرانی که روی شبکه تاثیر می‌گذارند احساس می‌شود. برای آن‌هایی که از EtherNet/IP، Modbus، Profinet UDP یا سایر پروتکل‌های صنعتی استفاده می‌کنند، بهترین راه‌حل پیاده‌سازی لایه ۲ یا لایه ۳ دیوارهای آتشین که در نقاط دسترسی تعبیه شده‌اند است. از این‌ها برای محدود ساختن ترافیک شبکه به نوع‌های مختلف ترافیک مورد انتظار و پذیرش استفاده نمایید. امکان اضافه کردن مرحله دیگری از تایید و تصدیق با استفاده از گواهی‌نامه روی دستگاه‌ها وجود دارد.

۳. آیا دستگاه‌ها یا کاربران وایرلس معتبر و موردتایید در برابر سایر تجهیزات ایمن هستند؟

باید امکان محافظت از کاربران یا دستگاه‌هایی که نباید روی شبکه یا حتی بخشی از آن وجود داشته باشند، فراهم گردد، بنابراین رمزگذاری یا اینکریپشن را فعال کنید. سپس، این احتمال حمله “مرد میانی” را درنظر بگیرید – سناریویی که در آن یک دستگاه ارتباطات بین گروه‌های معتبر را قطع کرده و سپس به‌منظور بررسی فریم‌های داده و اعتبارها و داده‌های موردنظر، باید تغییر چهره دهد. مرد میانی معمولا با ارسال فریم‌های پروتکل رزولوشن آدرس جعلی (ARP) و تغییر آدرس مک مهاجمین با آدرس آی‌پی دستگاه شبکه دیگر، صورت می‌پذیرد. بسته ARP یعنی بسته اکتشاف برای تعیین این که چه کسی به چه آدرس آی‌پی تعلق دارد.

به منظور پیشگیری از تصحیح، فعال‌سازی IP Spoofing Protection را مدنظر داشته باشید. نهایتا، استفاده از قابلیت ۸۰۲.۱۱w را درنظر بگیرید، همانند محافظت فریم مدیریت برای محافظت بیش‌از‌پیش کاربران و دستگاه‌های وایرلس.

wireless in different environments

۴. آیا هنگام استفاده از کنترل کننده WLAN، شبکه بین نقطه دسترسی و کنترل کننده محافظت شده است؟

جداسازی ترافیک وایرلس از باقی شبکه با استفاده از یک کنترل کننده WLAN اقدام خوبی است. فعال کردن قابلیت کنترل و نظارت بر نقاط دسترسی وایلرس (CAPWAP) را درنظر داشته باشید – یک روش تونل زنی ساده که برای بسیاری از کنترلرها و نقاط دسترسی وایرلس وجود دارد.در حالت ثانویه، استفاده از یک شبکه خصوصی مجازی (VPN) برای رمزگذاری روی داده‌های بین نقاط دسترسی و یک تمرکزدهنده مرکزی VPN را درنظر بگیرید.

۵. آیا اقدامات امنیتی پتانسیل های انکار سرویس (DOS)، مداخله‌های هوایی، یا سایر اتفاقات بدی که ممکن است برای صنایع روی دهد را تشخیص می‌دهند؟

فارغ از این که کسی یا چیزی عمدا به‌دنبال اختلال در شبکه است یا صرفا چیزی منتهی به مداخله شده است یا خیر – مدیران شبکه باید از آن مطلع باشند. هنگام راه‌اندازی یک زیرساخت یا پل WLAN، از یک سیستم تشخیص نفوذ وایرلس (WIDS) استفاده نمایید. در WIDS، به عنوان نمونه، تله‌های پروتکل مدیریت شبکه ساده (SNMP) را برای ارسال اطلاعیه‌ها هنگامی که نقاط دسترسی دور شده و نقاط دسترسی مهاجم شناسایی می‌شوند، راه‌اندازی کنید. هنگامی که چیزی شناسایی شد – به عنوان نمونه، یک اتصال وایرلس به دوربینی که دیگر متصل نیست – به مدیر اطلاع‌رسانی صورت می‌پذیرد. یک WIDS همینطور به صورت خودکار نقاط حمله DoS را شناسایی کرده و به کارکنان مربوط با هشدارهای SNMP ، پیام‌های لاگ و ایمیل اطلاع‌رسانی می‌کند.

۶. آیا می‌توان دستگاه‌های قدیمی را درنظر گرفت؟ آیا آن‌ها به درستی مدیریت شده‌اند تا مانع از آسیب‌پذیری‌های تصادفی شوند؟

بسیاری از شرکت‌ها نوعی دستگاه قدیمی خواهند داشت. بروزرسانی همه‌چیز در هرزمان واقع‌بینانه نیست. از این دستگاه‌ها یادداشت برداری کرده و بررسی هر گونه شکاف ایمنی را با دیوارهای آتشین لایه ۲ و لایه ۳ به ازای هر دستگاه در یک تشخیص‌دهنده سرویس WLAN مجزا (SSID)، مدنظر داشته باشید.

۷. آیا نیازی به بررسی ملاحظات فیزیکی حول خود دستگاه‌های وایرلس یا مناطق پوشش وایرلس وجود دارد؟ درنهایت، به جنبه‌های فیزیکی بیاندیشید. آیا لن وایرلس می‌تواند به صنایعی که مورد هدف نبوده‌اند سفر کند؟

این را مدنظر داشته و توان مخابره فرکانس رادیو (RF) در این دستگاه ها را به منظور محدود ساختن پوشش به مناطق مورد تایید، قطع کنید. در شبکه های بزرگ، امکان محدود ساختن RF به نواحی ضروری با استفاده از محافظ RF روی پنجره‌ها یا دیوارها وجود دارد. فراتر از این، حواستان جمع باشد اگر RF به نواحی دیگری سرایت پیدا کند و مورد تایید بودن هر کاربر، نقاط دسترسی و دستگاه‌های مورد استفاده را تضمین کنید. سرآخر، ببینید که امکان دسترسی به رک‌ها و کابینت‌ها به منظور محافظت از دسترسی فیزیکی وجود نداشته باشد

نتیجه گیری

نیازی نیست بیش از حد به امنیت وایرلس پرداخته شود. قانون طلایی را به یاد داشته باشید – با امنیت کامل کانفیگ کنید، نظارت منظم داشته باشید – و با مدیریت موارد ابتدایی و پرسیدن سئوالات کلیدی آغاز نمایید.

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید