أمن الشبكات اللاسلكية
- يتصف مفهوم الأمن بأنه واسع وعام إلى حد كبير. - علينا البدء بتعريف "السياق" الصحيح للأمن لدراسة أمن الشبكات اللاسلكية. - سنستعرض أمن الشبكات اللاسلكية ضمن سياق أمن المعلومات.
كان يعرف في السبعينات باسم "أمن الإتصالات" Communication Security – COMSEC حددت توصيات أمن أنظمة المعلومات والإتصالات لوكالة الأمن القومي في الولايات المتحدة أمن الإتصالات COMSEC بأنه:عبارةعن معايير وإجراءات متخذة لمنع وصول المعلومات إلى أيدي أشخاص غير مخولين عبر الإتصالات ولضمان أصالة وصحة هذه الإتصالات.
-السرية Confidentiality: التأكيد بأن المعلومات لم تصل لأشخاص، عمليات أو أجهزة غير مخولة بالحصول على هذه المعلومات. أي بعنى أخر هي الحماية من إفشاء المعلومات غير مرخص لها بالإفشاء لغير الأشخاص المخولين.
== -التحقق من الهوية Authentication ==إجراء أمني للتأكد من صلاحية الإتصال، الرسالة أو المصدر أو وسيلة للتحقق من صلاحية شخص ما لاستقبال معلومات ذات تصنيف محدد. أي بمعنى أخر هي التحقق من مصدر المعلومات.
بدأت في الثمانينات مع النمو المضطرد للحاسبات الشخصية حقبة جديدة من الأمن. تم تعريف أمن الحواسيب Computer Security – COMPUSEC ضمن توصيات NSTISSI بأنها عبارة عن المعايير والإجراءات التي تضمن سرية، كمال وتوفر مكونات أنظمة المعلومات بما فيها التجهيزات، البرمجيات، البرمجيات المدمجة firmware والمعلومات التي تتم معالجتها، تخزينها ونقلها.
تعكس جودة أي نظام للمعلومات مدى صحة ووثوقية نظام التشغيل، التكامل المنطقي للتجهيزات والبرمجيات التي توفر آليات الحماية ومدى تناغم بنى المعلومات مع البيانات المخزنة. (لا يمكن تعديل البيانات دون السماح بذلك).
الوصول الموثوق إلى البيانات وخدمات المعلومات عند الحاجة إليها من قبل الأشخاص المخولين بذلك. (وثوقيةالوصول إلى المعلومات).
في التسعينات من القرن الماضي تم دمج مفهومي الأمن (أمن الإتصالات وأمن الحواسيب) لتشكيل ما أصبح يعرف باسم (أمن أنظمة المعلومات Information Systems Security – INFOSEC).
يتضمن مفهوم أمن أنظمة المعلومات الخصائص الأربعة المعرفة مسبقاً ضمن مفاهيم أمن الإتصالات وأمن الحواسيب وهي كالتالي: 1-السرية. 2-التحقق من الهوية. 3-الكمال. 4-التوفر.
يتضمن مفهوم أمن أنظمة المعلومات أيضاً خاصية جديدة تعرف بمكافحة الإنكار وهي: التأكيد بأن مرسل البيانات قد حصل على إثبات بوصول البيانات إلى المرسل إليه وبأن المستقبل قد حصل على إثبات لشخصية المرسل مما يمنع إحتمال إنكار أي من الطرفين بأنه قد عالج هذه البيانات.
تعرّف توصيات أمن أنظمة المعلومات والإتصالات لوكالة الأمن القومي في الولايات المتحدة أمن أنظمة المعلومات كما يلي: "حماية أنظمة المعلومات ضد أي وصول غير مرخص إلى أو تعديل المعلومات أثناء حفظها، معالجتها أو نقلها، وضد إيقاف عمل الخدمة لصالح المستخدمين المخولين أو تقديم الخدمة لأشخاص غير مخولين، بما في ذلك جميع الإجراءات الضرورية لكشف، توثيق ومواجهة هذه التهديدات".
سنعرّف سرية الشبكات اللاسلكية بضمان أن المعلومات المرسلة بين نقاط الولوج وحواسب المستخدمين لن تصل إلى أشخاص غير مخولين. يجب أن تضمن سرية الشبكات اللاسلكيةالأتي: - الإتصالات الجارية بين مجموعة من نقاط الولوج ضمن نظام توزيع لاسلكية Wireless Distribution System محمية. - الإتصالات الجارية بين نقطة ولوج AP وحاسب متصل بها STA ستبقى محمية.
WEP
- شكلت "السرية المكافئة للشبكة السلكية "WEP جزءاً من المعيار الأساسي IEEE 802.11 للشبكات اللاسلكية في العام 1999. - إن الهدف الرئيس من السرية المكافئة للشبكة السلكية WEP هو تأمين الشبكات اللاسلكية بمستوى من السرية مماثل للسرية المتوفرة في الشبكات السلكية. - لم يستغرق الأمر سوى عدة أشهر من إطلاق البروتوكول حتى تم خرقه وهجرانه. - لقد أثبت هذا البروتوكول ضعفه بغض النظر عن طول مفتاح التشفير المستخدم. - لقد ساهم عدم توفر نظام لإدارة مفاتيح التشفير ضمن هذا البروتوكول في إفشاله أيضاً. - سرعان ما طورت بدائل جديدة لهذا البروتوكول مثل WEP+ من شركة Lucent وبروتوكول WEP2 من شركة Cisco. - يعتبر بروتوكول السرية المكافئة للشبكة السلكية WEP وتعديلاته WEP+ و WEP2 حالياً خارج الخدمة. - يعتمد بروتوكول السرية المكافئة للشبكة السلكية على شيفرة سيل RC4. - هناك العديد من البرمجيات المتاحة لاختراق بروتوكول السرية المكافئة للشبكة السلكية منها Airsnort، wepcrack، kismac، aircrack. - إذا ما كنت مهتماً بتاريخ بروتوكول السرية المكافئة للشبكة السلكية ننصحك بمراجعة (موارد إضافية للمعلومات) المرفقة مع هذه الوحدة.
يتم تعريف التحقق من الهوية في سياق الشبكات اللاسلكية بالإجراءات الهادفة لضمان صلاحية الإتصال بين نقاط الولوج و المحطات اللاسلكية. لاستيعاب مفهوم التحقق من الهوية في الشبكات اللاسلكية لا بد من فهم ما يحدث عند بدء جلسة الإتصال بين نقطة الولوج و المحطة اللاسلكية STA.
- لا يوجد أي آلية للأمن مما يمكن أي شخص كان من الإتصال مع نقطة الولوج.
- يتم تشارك سر (كلمة سر) بين محطة المستخدم ونقطة الولوج. - تتيح آلية طلب الإستجابة للتحدي لنقطة الولوج بالتحقق من أن المستخدم يعرف السر المشترك وستسمح له بالتالي الوصول إلى الشبكة اللاسلكية.
- تعتبر آلية التحقق من الهوية باستخدام مفتاح التشفير المشترك والمستخدمة في بروتوكول السرية المكافئة للشبكة اللاسلكية WEP بائدةً. - يمكن بسهولة اختراق آلية التشفير المستخدمة في بروتوكول WEP باستخدام هجمات نصوص تشفير بسيطة. - مفتاح التشفير ومفتاح التحقق من الهوية يستخدمان نفس السر المشترك. - فإن اكتشاف أي من هذين المفتاحين سيؤدي إلى اكتشاف الآخر.
- استخدم النمط المؤسساتي لبروتوكول WPA2. - يتم تنفيذ التحقق من الهوية في الشبكات اللاسلكية عادة (كما في حال مزودي خدمات الإنترنت اللاسلكية) ضمن الطبقات الأعلى لنموذج OSI المرجعي (طبقة بروتوكول الإنترنت IP) عبر بوابات مقيدة (أي تسجيل الدخول إلى موقع للإنترنت). - لا بد من الإنتباه إلى أنه عند نقل وظائف التحقق من الهوية إلى "بوابات مقيدة" فإننا سنفقد القدرة على إيقاف انتقال البيانات التي تعبر نقط الولوج الخاصة بنا.
- يستخدم الكثير من مزودي خدمات الإنترنت اللاسلكية فلترة العنوان الفيزيائي لبطاقة الشبكة اللاسلكية كآلية لتحديد أو توفير الوصول إلى الشبكة اللاسلكية على اعتبار أن العناوين الفيزيائية MAC مسجلة ضمن المكونات الإلكترونية لبطاقة الشبكة وبالتالي يستحيل تغييرها من قبل المستخدمين العاديين. - المشكلة: يمكن ببساطة تغيير العناوين الفيزيائية في معظم بطاقات الشبكة اللاسلكية. - لا يمكن اعتبار أية آلية للتحقق من الهوية تعتمد فقط على العناوين الفيزيائية MAC إجراءً آمناً.
- يسمح لمستخدمي الشبكة بالربط مع أية نقطة ولوج والحصول على عنوان إنترنت IP عبر بروتوكول الإعداد التلقائي للمضيف DHCP. - بعد حصول المستخدم على عنوان إنترنت IP ستقوم الشبكة بالتقاط جميع طلبات الوصول إلى الإنترنت عبر بروتوكول HTTP لإجبار المستخدم على "تسجيل الدخول" إلى صفحة إنترنت. - تضطلع البوابات المقيّدة بمهمة التأكد من صحة كلمة السر التي أدخلها المستخدم وتعديل حالة الجدار الناري (والذي غالباً ما يتوضع ضمن نفس الجهاز). - تعتمد قواعد الجدار الناري على قيم العنوان الفيزيائي MAC وعنوان الإنترنت IP الذي حصل عليه المستخدم عبر بروتوكول DHCP.
- قدرة بروتوكول الإتصال اللاسلكي على كشف أي تحريف في البيانات المنقولة من قبل أشخاص غير مخولين. - كان من المفترض ببروتوكول السرية المكافئة للشبكة السلكية WEP أن يضمن كمال البيانات المنقولة. - إن آلية كمال البيانات المستخدمة في بروتوكول WEP (التحقق الدوري من الأخطاء Cyclic Redundancy Check – CRC) لم تكن آمنة. أمر متوقع! - يمكن تعديل البيانات المنقولة وتحديث قيمة CRC الخاصة بهذه البيانات حتى دون معرفة مفتاح تشفير WEP.
يمكن تحريف البيانات المنقولة دون أن يتم يكشف هذا التحريف.
WPA و WPA2: تضمنت شيفرةً أكثر أمناً للتحقق من الرسالة إضافةً إلى عدادٍ للإطارات والذي يمنع ما يسمى بـ "هجمات الإعادة Replay .Attacks"
WPA مقارنةً مع WPA2 : يعتبر كمال البيانات عبر بروتوكول WEP منقرضاً. يجب استخدام بروتوكول الوصول المحمي للشبكة اللاسلكية WPA أو WPA2 لتحقيق كمال البيانات في الشبكات اللاسلكية عبر التشفير على مستوى الوصلة.
هي قدرة التقنية على ضمان الوصول الموثوق إلى خدمات البيانات والمعلومات للمستخدمين المخولين.
5-مكافحة الإنكار – المسؤولية Non-repudation: - لا تحتوي بروتوكولات الشبكات اللاسلكية على آليةٍ للتأكيد على أن مرسل البيانات قد حصل على إثباتٍ لتسلم المستقبل لرسالته أو على أن المستقبل قد حصل على إثباتٍ لهوية المرسل. - يجب إعداد المسؤولية ضمن بروتوكولات الطبقات العليا.
1- خطر التجسس. 2- خطر إختطاف البيانات المنقولة. 3- خطر الوصول غير المخول إلى الشبكة اللاسلكية. 4- خطر الوصول غير المخول إلى الشبكة الخاصة بك و إلى الانترنيت. 5- خطر تحريف البيانات أثناء نقلها لا سلكياً. 6- خطر التشويش اللاسلكي و الذي يؤدي إلى إيقاف الخدمة (التداخل). 7- خطر إنخفاض سعة النقل نتيجة الإرسال المتكرر للإشارات اللاسلكية. 8- خطر إنخفاض سعة النقل نتيجةالبرمجيات المؤذية. 9- خطر الوصول غير المخول للشبكة الداخلية. 10- خطر الإستخدام غير المخول لموارد الشبكة اللاسلكية.
- يمكن تطبيق الخصائص الأمنية الموصّفة في أمن المعلومات INFOSEC ضمن عدة طبقاتٍ من نموذج OSI المرجعي.
- إذا ما احتجت إلى الأمن على مستوى الوصلة تجنب WEP واستخدم بروتوكول WPA2 في معيار IEEE 802.11i.
- عليك تحديد متطلباتك الأمنية بدقة وتطبيق الحلول الملائمة لخصوصية كل حالة.
http://www.itrainonline.org/itrainonline/mmtk/wireless_ar.shtml#Troubleshooting 30-03-2008 الاربعاء