سیستم ممانعت از نفوذ در شبکه بیسیم

از ویکی‌پدیا، دانشنامهٔ آزاد
پرش به ناوبری پرش به جستجو

سیستم ممانعت از نفوذ در شبکه بیسیم(Wireless intrusion prevention system)

در رشته کامپیوتر، یک سیستم ممانعت نفوذ بیسیم (WIPS) یک ابزار شبکه است که طیف رادیوی access point‌های غیر مجاز مجاور را مانیتور(نظارت ) می‌کند(تشخیص نفوذ ) و می‌تواند بطور اتوماتیک اقدامات متقابل را انجام دهد(ممانعت از نفوذ).

هدف[ویرایش]

اولین هدف یک WIPS این است که از دسترسی شبکه غیر مجاز به شبکه‌های محلی و دیگر دارایی‌های اطلاعات با ابزار بیسیم ممانعت کند.این سیستم ها به عنوان یک هم پوشانی برای زیر ساختار یک شبکه محلی بیسیم موجود قرار داده می‌شود، هرچند که ممکن است در داخل یک سازمان بطور مستقل بکاربرده شود.برخی از زیرساختارهای پیشرفته بیسیم توانایی‌های WIPS را به صورت مجتمع دارند. سازمانهای با تعداد زیادی کارمند منحصراً برای نقض امنیت آسیب پذیر اند که ناشی از rogue Access point‌ها است .اگر یک کارمند (موجودیت مورد اعتماد ) در یک مکان که روتر بیسیم در دسترس است، کل شبکه می‌تواند برای هر کسی در آن محدوده افشاء شوند.در ژوئیه ۲۰۰۹ ،PCI Security standards Council دستورالعمل‌های بیسیم برای معرفی PCI DDS که از WIPS برای اسکن کردن خودکار بیسیم در سازمان‌های بزرگ استفاده می‌کند را منتشر کرد.

تشخیص نفوذ[ویرایش]

یک سیستم تشخیص نفوذ بیسیم (WIDS)، طیف رادیویی غیر مجاز ،rogue access point و ابزارهای حمله بیسیم مورد استفاده شده را مانیتور(نظارت ) می‌کند. این سیستم طیف رادیویی مورد استفاده شده بوسیله شبکه محلی بیسیم را مانیتور می‌کند و سریعاً هشداری را به مدیریت سیستم‌ها می دهد که یک rogue access point تشخیص داده شده‌است. مطابق قرارداد این سیستم بوسیله مقایسه کردن آدرس MAC با سایر device‌های بیسیم شرکت‌کننده به آن نتایج دست یافت. Rouge device‌ها می‌توانند آدرس MAC یک وسیله (device) ازشبکه مجاز را جعل کنند و به جای مالک آن‌ها قرار گیرند. تحقیقات جدید از روش fingerprinting (اثر انگشت)برای شناسایی وسیله‌های با آدرس MAC جعلی استفاده می‌کند.ایده آن است که امضاهای واحد(منحصربه‌فرد) ارائه شده با سیگنال ساطع شده بوسیله هر وسیله بیسیم را با امضاهای شناخته شده‌ای که مجاز است مقایسه می‌کند.

ممانعت از نفوذ[ویرایش]

WIPS علاوه بر تشخیص نفوذ دارای ویژگی‌هایی است که از تهدیدهای اتوماتیک جلوگیری کند. برای ممانعت خودکار، نیاز است که WIPS قادر به تشخیص دقیق و طبقه‌بندی اتوماتیک یک تهدید باشد. در زیر انواع تهدیدهایی که می‌توان بوسیله WIPS از آن‌ها ممانعت کرد را ذکر شده است:

  • Rogue AP: WIPS می‌تواند تفاوت بین rogue APو External AP را بداند .
  • Mis-configured AP
  • Unauthorized association
  • Man in the Middle Attack
  • شبکه‌های Ad-hoc
  • Mac-Spoofing
  • Honeypot/Evil Twin Attack
  • Denial of service attack

پیاده‌سازی[ویرایش]

پیکربندی WIPS شامل سه جزء است:

  • Sensors - این وسایل شامل رادیوها وآنتن‌هایی است که برای اسکن کردن طیف بیسیم برای بسته‌ها و در ناحیه‌های نصب می‌شوند که از آن‌ها محافظت شود.
  • Server - سرور WIPS مرکزی بسته‌های گرفته شده توسط Sensor‌ها را تجزیه و تحلیل می‌کند.
  • Console : console، رابط کاربر اصلی در سسیستم برای مدیریت و گزارشگیری تهیه می‌کند.

یک سیستم تشخیص نفوذ ساده می‌تواند یک کامپیوتر واحد باشد، که متصل شده به یک دستگاه پردازش سیگنال بیسیم، و آنتن‌ها در مکان مناسب قرار می‌گیرند. برای سازمان‌های بزرگ یک کنترل‌کننده چند شبکه ای، کنترل مرکزی سرورهای چند گانه WIPS را تأمین می‌کند، در حالیکه برای مشتری‌های SMB و SOHO (Small Office /Home Office)، همه فعالیت‌های WIPS در یک بسته مجزا در دسترس است. در یک پیاده‌سازی WIPS، کاربران ابتدا سیاست‌های بیسیم در WIPS را تعریف می‌کنند. سنسورهای WIPS سپس ترافیک را تجزیه و تحلیل می‌کنند و این اطلاعات را به سرور WIPS می فرستند.سرور WIPS اطلاعات جمع‌آوری می‌کند و اعتبار سنجی می‌کند با سیاست‌های تعریف شده و اگر تهدید باشد طبقه‌بندی می‌شود. مدیر WIPS سپس تهدید را اعلان می‌کند، یا اگر یک سیاست به‌طور منظم تنظیم می‌کند ،WIPS حفاطت خودکار را ارزیابی می‌کند. WIPS یا به صورت یک شبکه پیاده‌سازی می‌شود یا بر روی هر میزبان پیاده‌سازی می‌شود.

پیاده‌سازی شبکه‌ای[ویرایش]

در یک پیاده‌سازی شبکه‌ای WIPS، سرور، سنسورها و کنسول همگی در داخل یک شبکه خصوصی هستند و از اینترنت در دسترس نیستند. سنسورها با سرور بر روی یک شبکه خصوصی با استفاده از یک پورت خصوصی ارتباط برقرار می‌کنند.از اینرو سرور بر روی یک شبکه خصوصی مستقرمی شود، کاربران می‌توانند به کنسول فقط از طریق شبکه خصوصی دسترسی دارند. یک پیاده‌سازی شبکه برای سازمان‌هایی که همه مکانهای آن در داخل شبکه خصوصی هستند مناسب می‌باشد.

پیاده‌سازی بر روی میزبان[ویرایش]

در یک پیاده‌سازی wips به صورت میزبان، سنسورها در داخل شبکه خصوصی نصب می‌شوند.اگر چه، سرور هست hosted در مرکز داده امن و از طریق اینترنت نیز در دسترس است. کاربران می‌توانند به کنسول WIPS از هر طریقی در اینترنت دسترسی داشته باشند. یک پیاده‌سازی WIPS به صورت میزبان ازیک پیاده‌سازی به صورت شبکه امن تر است زیرا جریان داده بین سرور و سنسورها رمزگذاری می‌شود و همچنین بین سرو و کنسول نیز رمزگذاری می‌شود. یک پیاده‌سازی WIPS به صورت میزبان به پیکربندی‌های خیلی کوچکی نیازمند است زیرا سنسورها برنامه‌ریزی شده اند تا بطور اتوماتیک سرور را در اینترنت بر روی یک اتصال SSL جستجو می‌کند . برای سازمان‌های بزرگ با مکانهایی که قسمتی از شبکه خصوصی نیست، یک پیاده‌سازی WIPS به صورت میزبان آسان است زیرا سنسورها به سرور از طریق اینترنت متصل می‌شوند بدون نیاز به هیچ تنظیمات مخصوصی .در مجموع، کنسول می‌تواند به صورت امنی از هر طریقی در اینترنت دسترسی داشت. پیاده‌سازی WIPS به صورت میزبان اغلب به صورت بنا به تقاضا(عندالمطالبه)، نرم‌افزار مبتنی بر پذیره نویسی پیشنهاد می‌شوند. پیاده‌سازی به صورت میزبان بطور عمده‌ای از لحاظ هزینه برای سازمان‌هایی که جستجو برای تکمیل کردن فقط کمترین اسکن برای PCI DDS مورد نیاز است.

لینک‌های مرتبط[ویرایش]

منابع[ویرایش]

۱.^ "Fitting the WLAN Security pieces together". pcworld.com. http://www.pcworld.com/businesscenter/article/144647/guide_to_wireless_lan_security.html. Retrieved ۲۰۰۸-۱۰-۳۰. ۲.^ "PCI DSS Wireless Guidelines". https://www.pcisecuritystandards.org/pdfs/PCI_DSS_Wireless_Guidelines.pdf. Retrieved ۲۰۰۹-۰۷-۱۶. ۳.^ "University research aims at more secure Wi-Fi". eetimes.com. http://www.eetimes.com/news/latest/showArticle.jhtml;jsessionid=GPLEDVT0ZRBKUQSNDLPSKH0CJUNN2JVN?articleID=192501255. Retrieved ۲۰۰۸-۰۳-۱۶. ۴.^ "Security SaaS hits WLAN community". networkworld.com. http://www.networkworld.com/newsletters/wireless/2008/040708wireless1.html. Retrieved ۲۰۰۸-۰۴-۰۷. ۵.^ "New Low-Cost Wireless PCI Scanning Services; New Offerings Satisfy PCI DSS Requirements". http://newsblaze.com/story/2009072205011500038.mwir/topstory.html. Retrieved ۲۰۰۹-۰۷-۲۲.