ccnd1/ccent 100-101 تأمين الشبكات اللاسلكية


عبد اللطيف ايمش

لم تعد الحماية محلَّ نقاشٍ في الشبكات اللاسلكية، فأصبحت متطلبًا أساسيًا. سنتعلم في هذا الدرس ما هي التهديدات الشائعة للشبكات اللاسلكية ونشرح كيف تطوَّرت أساليب الحماية للتقليل من هذه المخاطر؛ فمن بين الحلول هنالك 802.1x للتحكم بالوصول (access control) و«الوصول المحمي إلى Wi-Fi» ‏(Wi-Fi protected access أو اختصارًا WPA) للسريّة (confidentiality) وسلامة البيانات المنقولة من التعديلات (integrity)، والاستيثاق من المتصل.

wireless-security.thumb.jpg.90e6ee4c2bf4

التهديدات الأمنية للشبكات اللاسلكية

تؤثر عواملٌ عدِّة على أمن الشبكات اللاسلكية؛ فالاستخدام واسع النطاق لتقنياتٍ معيّنة ستجعلها محطّ الأنظار، لأن المهاجمين يطمحون إلى إيجاد الثغرا في التقنيات التي تستعملها أعداد كبيرة؛ فالسعر المنخفض لتقنياتٍ مثل 802.11b و g تجعلها تقنيةً منتشرةً عالميةً؛ وبسبب ما أسلفنا ذكره، ستكون أقل أمانًا من غيرها.

سيحاول المهاجمون استغلال ثغراتٍ في الشبكات اللاسلكية عبر أدواتٍ جاهزةٍ للبحث عن نقاط الضعف؛ إذ تبحث تلك الأدوات عن الشبكات اللاسلكية أولًا ثم تحاول استغلال التقنيات التي فيها نقاط ضعف مثل WEP ‏(Wired Equivalent Privacy) التي هي خوارزمية التشفير التي استخدمت تقليديًا للسرية، وسلامة نقل المعلومات، والاستيثاق في الشبكات اللاسلكية. يسمى البحث عن الشبكات اللاسلكية بالكلمة «wardriving» التي تعني التجول مع حاسوب محمول فيه عميل للعثور على شبكات 802.11b أو g لمحاولة اختراقها؛ يسهل اختراق الشبكات غير المؤمنّة التي لا تستخدم التشفير، وكذلك الأمر بالنسبة للشبكات التي تمنح شعورًا زائفًا بالأمن باستخدامها لبروتوكولات قديمة فيها نقاط ضعف مثل WEP؛ وبعد ذلك ستبدأ نقاط الوصول الدخيلة (rogue access points) باستقبال البيانات الشبكيّة.

هذه الأجهزة -المجهولة للشبكة- قد تتداخل مع مهام الشبكة الاعتيادية، وقد تستعمل لهجمات الحرمان من الخدمة (denial of service attack) أو لجمع المعلومات، وإحصاء الأجهزة الموجودة في الشبكة. ولكن قد تُضاف هذه الأجهزة من موظفي الشركة لتسهيل تنقلهم في الأرجاء.

يجب أن نطبِّق منهجياتٍ وطرق تصميمٍ مشابهة للشبكات الأخرى عند تأمين وحماية الشبكات اللاسلكية، ويجب أن ندرك أن نقاط ضعف الشبكات اللاسلكية هي تنازل للحصول على ميزة الوصول الشامل (universal access) والمحمولية، فالنتيجة هي أن نكون أقل أمانًا وعلينا تحسين سياستنا الأمنية؛ نموذج «CIA» القديم هو نقطة بداية جيدة.

كلمة CIA هي اختصار إلى «السرية» (confidentiality)، سلامة نقل البيانات (integrity)، والتوفر (availability)؛ ونريد -خصوصًا في الشبكات اللاسلكية- أن نحمي البيانات عندما تُرسَل وتُستقبَل ونود أن نوفِّر آليات تشفير كي لا يرى المستخدمون الخبيثون المعلومات التي نرسلها؛ ونود أيضًا أن نتأكد من سلامة نقل البيانات، أي أنهم لا يستطيعون تغييرها، ونتأكد من استيثاق العملاء الشرعيين المرتبطين مع نقاط وصول موثوقة.

تتعلق النقطة الأخيرة بالعملاء ونقاط الوصول معًا؛ فعلينا التأكد أنَّ الأجهزة المتصلة مسموحٌ لها بالاتصال، وتتصل إلى نقاط الوصول الصحيحة وليس إلى نقاط الوصول الدخيلة. تتعلق غالبية المشاكل في التوفر في الشبكات اللاسلكية بهجمات الحرمان من الخدمة والنشاط الخبيث؛ وفي هذه الحالة، ستستفيد من أنظمة منع التطفل (intrusion prevention systems) لتتبع ومنع الوصول غير المُصرَّح به للشبكة، ومنع الهجمات.

تطور حماية الشبكات اللاسلكية

أولى محاولات استخدام الشبكات اللاسلكية لم تضع الحماية نصب عينيها؛ فوفرت خوارزمية تشفير بسيطة اسمها «Wired Equivalent Privacy» اختصارًا WEP؛ التي تتضمن مفاتيح 64-بت وآلية استيثاق غير قوية، وكان يمكن «كسر» مفاتيح 64-بت بسهولة، لأن قوة معالجة حواسيب المهاجمين كانت تستطيع كسر المفاتيح عبر جمع معلوماتٍ كافية من الشبكة اللاسلكية.

P+zMrwh4AAEAX6HTtsGtvlb4D8wJFlFWmE9yGXXe

نقاط الضعف الأخرى تتضمن كون المفاتيح ثابتة (static) مما يجعلها قابلةً للكسر وغير قابلةٍ للتوسع لأن عليك ضبط المفاتيح يدويًا لكل جهاز، وهذا أصبح كابوسًا للمنظمات الكبيرة.

أجريت عدّة تحسينات مما فيها «مُرشِّحات MAC» التي كانت ثابتةً أيضًا ولم تكن قابلةً للتوسع، وإخفاء SSID، الذي ليس أكثر من عدم إذاعة SSID، الذي هو اسم الشبكة اللاسلكية؛ الذي كان يُظَّن أنه شبيه بكلمة المرور لكن تبين ضعفه أمنيًا؛ تضمَّن الجيل الجديد مفاتيح لكل مستخدم ولكل جلسة عبر استعمال آليات الاستيثاق في الطبقة الثانية (layer 2) مثل 802.1x، الذي يتضمن بروتوكولًا موسَّعًا للاستيثاق (extensible authentication protocol)، الذي كان يُستخدَم لطلب مفتاح يسمى «procession key» من خادم AAA مركزي عبر RADIUS.

النسخ (flavors) الأولية من EAP تتضمن بعض الخوازميات المملوكة (proprietary algorithms) مثل LEAP و PEAP‏ (Protected EAP)؛ ثم انتقلنا إلى الجيل الثالث، حيث حاولت هيئة Wi-Fi Alliance أن تضع معيارًا موحدًا للحماية في الشبكات اللاسلكية عبر WPA أو Wi-Fi Protected Access؛ الذي يحاكي أو يقلد البنية التحتية لمفاتيح التشفير الخاصة بكل مستخدم أو بكل جلسة؛ لكنه ما يزال يستخدم WEP كخوارزمية تشفير مثله كمثل الجيل الثاني الذي شرحناه في الأعلى، وبهذا ستبقى نقاط الضعف الأمنية موجودةً.

النسخ الإضافية من EAP أتت بتضمين أشكال معينة من الآليات القوية للاستيثاق مثل EAP Fast؛ النسخة الحالية هيWAP2، التي تتضمن تحسينات أضيفت إلى معيار 802.11i IEEE؛ الذي يتضمن إضافة أنظمة منع التطفل واستخدام خوازميات قوية للتشفير مثل AES.

عملية الارتباط لعميل شبكة لاسلكية

كانت بعض نقاط الضعف في الشبكات اللاسلكية القديمة متعلقةً بعملية الارتباط (association) بين العملاء ونقاط الوصول، فكان يُستخدم SSID كنوعٍ من كلمات المرور، لكنه ليس كذلك لأنه اسم الشبكة الذي يُذاع عادةً من نقاط الوصول، لكي يرى العملاء الشبكة ويتصلون بها. تُرسِل نقاط الوصول أيضًا المعلومات المتوفرة عن معدل نقل البيانات وغيرها من المعلومات؛ وبهذا يتمكن العملاء من إجراء مسح لكل القنوات والارتباط بنقطة الوصول ذات الإشارة الأقوى؛ ستتم إعادة عملية المسح مرةً أخرى إن ضعفت الإشارة واحتاج العميل إلى الارتباط مع نقطة وصولٍ مختلفة.

يتبادل العملاء -أثناء عملية الارتباط- معلوماتٍ مع نقطة الوصول بما فيها عناوين MAC وضبط الحماية؛ وهذا هو السبب وراء حماية النسخ الحديثة من WPA لعملية تبادل المعلومات؛ التي أضافت أيضًا أشكالًا جديدةً من الاستيثاق، لأن التعريف الأولي كان فيه الاستيثاق المفتوح فقط (open authentication)، الذي لم يكن يتضمن تبادل الأوراق الاعتمادية (credentials) والاستيثاق باستخدام المفتاح المشترك (shared key authentication)؛ التي تُعرِّف مفتاح WEP الثابت.

كيف يعمل 802.1X في شبكة لاسلكية

أفضل تحكمٍ في الحماية في الشبكات اللاسلكية يكون عبر استخدام أحد بروتوكول 2.1x للتحكم بالوصول. إن 2.1x هو معيار من معايير IEEE الذي يسمح بالتحكم بالوصول عبر الاستيثاق والتصريح بدخول العملاء إلى الشبكة.

يتألف من ثلاثة مكونات: صاحب الطلب (supplicant) الذي هو جهاز العميل الذي يحاول الاتصال بالشبكة؛ والموثق (authenticator) الذي يكون هو نقطة الوصول في الشبكات اللاسلكية؛ والذي سيمنع طلبيات العملاء ويتجاهل البيانات التي يرسلوها إلا إذا تمت عملية الاستيثاق والمصادقة بنجاح. وهذا شبيه بطلب جواز السفر في المطار، إذ يجب أن نُظهِر جواز السفر قبل الصعود إلى الطائرة. آلية العمل هي أن الموثق (authenticator) سيختبر العملاء، فعندما يشعر أن هنالك عميلًا يحاول الاتصال، فعلى العميل أن يوفِّر هويةً (identity) التي ستمرر من الموثق إلى مكوِّن ثالث هو خادم الاستيثاق (authentication server).

الذي هو عادةً خادم AAA يُشغِّل بروتوكولات AAA مثل RADIUS، ويحتوي على قاعدة بيانات بالعملاء، وقاعدة بيانات بالمستخدمين، ومضبوطٌ للعمل على بروتوكول تابعٍ لبروتوكولات ‎.1x يُسمى EAP؛ الذي هو بروتوكول استيثاق شامل يسمح للعملاء بتوفير الأوراق الاعتمادية بأشكالٍ عدِّة، بدءًا من اسم المستخدم وكلمة المرور، إلى شهادةٍ رقميةٍ بتشفير وتعمية. وعندما يرد خادم الاستيثاق ردًا إيجابيًا، فإن المنفذ سيخرج من حالة الاستيثاق (authentication status) وسيذهب إلى حالة التفعيل (effective status)، مما يمكِّن العملاء من الدخول إلى الشبكة؛ ويجب أن تُضبَط أجهزة العميل وأن تدعم طلبيات ‎.1x؛ وهذا يكون عادةً جزءًا من نظام تشغيل تلك الأجهزة؛ وسيحتاج الموثق إلى دعم ‎.1x؛ الذي تدعمه نقاط وصول سيسكو، ويجب أن يكون خادم الاستيثاق مزودًا بدعم لبروتوكول الاستيثاق الشامل ويعمل كخادم AAA باستخدام RADIUS.

نمطَي WPA و WPA2

WPA أو «الوصول المحمي إلى Wi-Fi» يرفع من إمكانيات طريقة 802.1x و EAP؛ إذ تدعم المفاتيح المُشارَكة مسبقًا (pre-shared keys) أو PSKs؛ وهذا يُعرِّف طبقتين من الاستيثاق، واحدة مناسبة للمنظمات التعليمية والحكومات وفي الشركات التي تستخدم مفاتيح لكل مستخدم ولكل جلسة يتم الحصول عليها عبر تبادل 802.1x EAP؛ والأخرى تُصنَّف للاستخدام الشخصي والمنزلي، التي تَستخدم مفاتيح مشاركة مسبقًا؛ ولا تتطلب حدوث تبادل ‎.1x EAP ويمكن أن تُعَدّ عبر ضبط مفتاح مشارك مسبقًا يدويًا.

 

WPA

WPA2

الشركات، والحكومات، والمنظمات التعليمية

الاستيثاق:

IEEE 802.1X/EAP

التشفير:

TKIP/MIC

الاستيثاق:

IEEE 802.1X/EAP

التشفير:

AES-CCMP

الاستخدام الشخصي والمنزلي

الاستيثاق:

PSK

التشفير:

TKIP/MIC

الاستيثاق:

PSK

التشفير:

AES-CCMP


في WPA، يستخدم كلا النمطين WEP كخوارزمية تشفير، ونحن نعلم أنَّ هذا البروتوكول فيه نقاط ضعف، لذا تمت إضافة المزيد من الإجراءات الوقائية في WEP على شكل بروتوكولَين: Temporal Key Integrity Protocol و Message Integrity Check الذي أضاف مفاتيح أطول وبعض الإجراءات للتحقق من سلامة النقل؛ توجد أنماط مشابهة في WPA2، الذي هو تطبيقٌ لنسخة Wi-Fi Alliance لمعيار IEEE 802.11i. الاختلاف الرئيسي هو أنه لم يعد WEP هو خوارزمية التشفير، وما زال إطار العمل يستخدم 802.1x EAP أو المفاتيح المشاركة مسبقًا، لكن خوارزمية التشفير هي AES (اختصار إلى Advanced Encryption Standard).

ترجمة وبتصرف للمقال: Understanding WLAN Security.





تفاعل الأعضاء


لا توجد أيّة تعليقات بعد



يجب أن تكون عضوًا لدينا لتتمكّن من التعليق

انشاء حساب جديد

يستغرق التسجيل بضع ثوان فقط


سجّل حسابًا جديدًا

تسجيل الدخول

تملك حسابا مسجّلا بالفعل؟


سجّل دخولك الآن