أيضا مهلة الخروج (log out) تلقائياً في حالة الخمول من لوحة التحكم دعها قصيرة قدر الإمكان حتى لا يتمكن أي شخص من الوصول فيزئياً إلى الجهاز وتغيير بعض الإعدادات أو العبث بها في حالة تركت اللوحة مفتوحة .
تفعيل بروتوكول التشفير WPA
يوفر بروتوكول WPA تشفير البيانات المرسلة بالشبكة بطريقة قوية بالإضافة أن اغلب كروت الاتصال اللاسلكي تدعم هذا البروتوكول .
يمكن هذا البروتوكول أمكانية التحقق من هوية المستخدم عن طريق خادم للشبكة (Radius Server) أو عن طريق الرقم السري المشترك (PSK).
بالنسبة لخادم التحقق من الهوية يستخدم غالباً في المؤسسات والشركات الكبرى لتوفير درجة آمن عالية لكن بالنسبة للشبكات المستخدمة على الصعيد المنزلي/الشخصي لا مانع من استخدام الرقم السري المشترك بين مستخدمي الشبكة, تأتي بعض أجهزة الرواتر وبروتوكول WPA غير مفعل بشكل افتراضي
لذلك سنقوم بتفعيله .
هنا يظهر اختيار تشفير WPA في قائمة Encryption الفرعية في Wireless Settings
أذا كان الرقم السري طويل ومعقد لذلك تأكد من اختيار رقم سري صعب التخمين قدر الإمكان (راجع فقرة الأرقام السرية). يوجد نوع أخر من التشفير يدعى WEP
(من أقدم بروتوكولات تشفير الشبكات اللاسلكية) متوفر بمفاتيح مختلفة الطول ولكن بالوقت الحاضر أصبح هذا التشفير ضعيف جداً ولا يستغرق كسره سواء بضع دقائق مهما بغض النظر عن طول المفتاح, بالحقيقة بروتوكول WPA تطوير لبروتوكول التشفير القديم WEP لذلك لا ننصح باستخدام هذا البروتوكول .
تعطيل بث معرف الشبكة (SSID)
عندما يكون أي شخص موجود في نطاق بث شبكتك اللاسلكية ويقوم بالبحث عن الشبكات المجاورة له فأن شبكتك سوف تظهر له تلقائياً .
صورة لمعالج البحث عن الشبكات اللاسلكية الافتراضي في نظام Windows XP
صورة توضح عملية تعطيل بث معرف الشبكة من خلال اختيار Disable في الـ SSID Broadcast
بهذا الشكل ستكون الشبكة مخفية ويعني ذلك طبعاً مهاجمين أقل .
السماح للأجهزة معينة من الاتصال بالشبكة (MAC Address Filtering)
تفيد هذه الخاصية السماح لأجهزة معينة من الاتصال بالشبكة عن طريق العنوان الفيزيائي/المادي MAC Address لكرت الشبكة .
الماك ادرس : MAC اختصار لـ (Media Access Control) وهو عنوان مكون من 12 رمز في 6 خانات وهو مميز أي لكل
كرت اتصال لاسلكي عنوان ماك ادرس ثابت وخاص لا يمكن أن يتكرر نفس العنوان لكرت لاسلكي أخر .
يمكن التعرف على عنوان MAC Address في أنظمة Windows من تنفيذ هذا الأمر في سطر الأوامر :
يمكن من خلال خاصية (MAC Address Filtering) المتوفرة في أغلب أجهزة الرواتر منع عناوين MAC Address معينة
من الاتصال بالشبكة أو السماح لعدة لعناوين MAC Address و منع الباقي .
هنا بالصورة تم تفعيل خاصية MAC Address Filtering وتحديد عنوان MAC Address واحد والسماح له فقط من الاتصال بالشبكة عن طريق اختيار Allow,
أما في حالة اختيار Deny سيتم منع العنوان المدخل من الاتصال وسيسمح للباقي
تعطيل خدمة الدخول من خارج الشبكة المحلية (Remote Administrator)
تمكن هذه الخاصية مدير الشبكة من الدخول إلى صفحة أعدادات المودم من خارج الشبكة المحلية. ينصح بتعطيل هذه الخاصية للمخاطر الأمنية التي قد تسببها, تأتي هذه الخاصية معطلة بشكل تلقائياً في اغلب أجهزة الرواتر لكن سنتأكد من ذلك .
عند اختيار Disable Remote Administration فأن هذه الخاصية تكون معطلة
عن بعد دون أن يكون في الشبكة المحلية, عليك التأكد من تعطيل جميع خدمات التحكم عن بعد في الرواتر الخاص بك .
مراقبة الشبكة
يمكن التعرف علي الأجهزة المتصلة بالشبكة لاسلكياً عن طريق خاصية (Client List) الموجودة بشكل افتراضي في أغلب أجهزة الرواتر من خلال هذه الخاصية تستطيع التعرف على الأجهزة الغريبة المتواجدة بشكل غير شرعي في الشبكة ومن ثمّ تستطيع منع عناوينها بالأستعانة بـ MAC Address Filtering .
تظهر بالصفحة جميع عناوين MAC Address الأجهزة المتصلة بالشبكة
صورة لخاصية مراقبة سجلات الشبكة التي يقدمها رواتر من شركة 3com
(Packet Sniffer) التي تظهر تفاصيل أكثر مثل tcpdump, wireshark و ARPwatch التي سنتحدث عنها في هذه التدوينة .
ARPwatch هي أداة تعمل على أنظمة GNU/LINUX من سطر الأوامر تفيد هذه الأداة في معرفة المتلاعبين بالشبكة بالأضافة الى الكشف عن عمليات الهجوم .
لتثبيت الأداة أولاً يجب التأكد من وجود lipcap في نظامك “في الغالب ستكون موجودة في توزيعة BackTrack”
كود PHP:
dpkg --status libpcap0.8
بعد ذلك نقوم بتحميل وتنصيب ArpwatchNG وهو عبارة عن نسخة مطورة من ARPwatch حيث يتمحور عمل هذه الأداة في تخزين
جميع الـIPs واسماء الأجهزة وعناوين الـMAC وفي حالة حدوث اي تغير في الشبكة مثل هجوم الـ ARP او دخول مستخدم جديد فإنه سيقوم بكتابة رسالة في السجلات (logs) بالأضافة الى إمكانية تبليغك برسالة على بريدك الألكتروني و ارسال رسالة للـ Syslog حسب الأعدادات .
كود PHP:
# wget https://freequaos.host.sk/arpwatch/arpwatch-NG1.7.tar.bz2
# tar -xjvf arpwatch-NG1.7.tar.bz2
# cd arpwatch-NG1.7
# ./configure
# make
# make install
المفترض الان ان يكون قد تم تحميل وتنصيب الأداة على النظام, بعد ذلك نقوم بالإعدادات التالية،
انشاء ملف فارغ سيكون بمثابة قاعدة بيانات للأجهزة الموجودة في الشبكة وستستخدمه ARPwatch
كود PHP:
# touch /var/lib/arpwatch.dat
الان نقوم بتشغيل الأداة و تزويدها بالآوامر المناسبة
كود PHP:
# arpwatch -i eth0 -a -n 192.168.1.0/24 -s /usr/sbin/sendmail -m root@sophtobt.lan
i: اسم جهاز الشبكة في جهازك، قد يكون عندك eth1 او غيره. استخدم الأمر ifconfig للتأكد .
n: لعنوان الشبكة الخاصة بك .
s: لتحديد مسار برنامج sendmail في حالة ان كان في مسار غير الافتراضي، ونستخدمه هنا لإرسال الايميل للتبليغ .
m: البريد الإلكتروني لإستقبال التبليغات .
بعد ذلك نتأكد من أن ARPwatch يعمل في الخلفية عن طريق الأمر
كود PHP:
# ps -ef | grep -i arpwatch
لمشاهدة رسائل التبليغات وهي تأتي
كود PHP:
# tail -f /var/mail/root
وايضاً لمشاهدة التبليغات في الـ Syslog
كود PHP:
# tail -f /var/log/syslog | grep -i arpwatch
بالتأكيد طريقة تحويل التبليغات لـSyslog server مخصص ليست محور الحديث هنا، فهناك كثير من المواضيع توضح ذلك لاحظ ايضاً في عملية مشاهدة التبليغات التي تصل للبريد الإلكتروني أننا نقوم بمشاهدتها في الجهاز نفسه ولم نقم بإرسالها لسيرفر خارجي خاص بالإيميلات مع أن ذلك ممكن وافضل بكل تأكيد لكنه ليس محور حديثنا هنا ايضاً. نقطة اخيرة يجب أن نوضحها، يفضل ان يكون الجهاز الموجود عليه ARPwatch له IP تم ادخاله يدويا وادخال عنوان الـMAC الخاص بالـGateway يدوياً (Static) حتى لا يتأثر هذا الجهاز بالهجوم وتكون النتائج غير دقيقة. هذه احد الطرق للمراقبة والكشف عن التلاعب في الشبكة, وهناك حلول اخرى وأدوات اخرى كثيرة في هذا المجال يمكنك مشاهدة هذا العرض التقديمي لمعلومات اكثر حول هذه النقطة .
أدوات اختراق الشبكات اللاسلكية
هناك العديد من الأدوات التي تساعد المهاجمين في عملية اختراق الشبكات اللاسلكية تختلف وظائف هذه الأدوات فمنها مايخص معرفة تفاصيل الشبكات اللاسلكية المجاورة, تحليل البروتوكولات, تفحص البيانات المارة بالشبكة, كسر بروتوكولات التشفير, وتقمص الهويات سنذكر في هذه الفقرة أشهر الأدوات مع نبذة بسيطة عنها وعن عملها .
NetStumbler
أداة بواجهة رسومية لأنظمة Windows تعمل على البحث عن الشبكات المجاورة بالرغم من توفر هذا البرنامج بشكل أساسي في الحواسيب المزودة بكروت أتصال لاسلكية إلا أن هذه البرامج الأساسية لا توفر معلومات حول الشبكات سواء معرف الشبكة SSID وقوة الإشارة . تقوم الأداة بإظهار تفاصيل الشبكات المفتوحة/المغلقة المجاورة بشكل منظم مثل نوع بروتوكول التشفير المستخدم في الشبكة وعنوان الماك أدرس الخاص بالرواتر أيضا يمكن من خلال هذه الأداة تحديد المواقع الجغرافية للشبكات بعد إجراءات معينة .
Kismet
أداة تعمل ضمن سطر الأوامر لأنظمة GNU/Linux تقوم هذه الأداة بتحليل البروتوكولات بالإضافة إلى اكتشاف الشبكات اللاسلكية المجاورة حتى لو كانت إشارتها ضعيفة جداً, توفر الأداة أمكانية تجميع الحزم المنتقلة عبر الشبكة لتحليلها. أيضا تظهر الأداة عنوان ماك أدرس الخاص بالرواتر للشبكات التي ألغت البث اللاسلكي (SSID Broadcast) وتستطيع من خلال عنوان ماك أدرس الرواتر التعرف على معرفة الشبكة من خلال أداة تدعى AirePlay في مجموعة أدوات AirCrack التي سنتحدث عنها بعد قليل .
AirSnort
أداة تعمل ضمن سطر الأوامر لأنظمة GNU/Linux أيضا هناك نسخة منه لمستخدمين أنظمة Windows تعمل الأداة على كسر تشفير بروتوكول WEP والتعرف على الرقم السري الخاص بالشبكة .
AirCrack
أداة أو مجموعة أدوات تعمل ضمن سطر الأوامر لأنظمة GNU/Linux أيضا هناك نسخة منه بواجهة رسومية لأنظمة Windows لهذه
الأداة وظائف مختلفة مثل جمع الحزم المارة بالشبكة, تحليل وفك تشفير الحزم الملتقطة, كسر تشفير برتوكول WEP بمفاتيحه المختلفة, كسر تشفير بروتوكول WPA/WPA2 في حالة كان البروتوكول يعتمد على المفتاح المشترك (PSK) عن طريق هجوم Brute force أيضا تقوم الأداة بالتعرف على معرف الشبكة التي ألغت البث اللاسلكي (SSID Broadcast) عن طريق عنوان الماك أدرس الخاص بالرواتر الذي يمكن استخراجه عن طريق أداة Kismet التي تحدثنا عنها سابقاً .
TMAC
أداة بواجهة رسومية لأنظمة Windows تقدم أمكانية تغير الماك أدرس الخاص بكرت الشبكة اللاسلكي الخاص بك بسهولة مع العلم أنك تستطيع عمل ذلك بشكل يدوي في أنظمة Windows وعن طريق أمر في أنظمة GNU/Linux الإ أن الأداة ستسهل عليك هذا الأمر يفيد تغيير الماك أدرس لتخطى الـ MAC Address Filtering وانتحال شخصية احد المخولين وإخفاء الهوية .
نصائح وملاحظات لمدراء الشبكات :
قم بتغير أسم الشبكة (SSID) إلى أسم لا يدل على الشركة المصنعة للرواتر قد يستغل المهاجم هذه النقطة .
قم بتعطيل الاتصال اللاسلكي (Wireless) من صفحة الرواتر في حال كنت غير محتاج له .
حاول قدر المستطاع أن تحد من البث اللاسلكي لأنه كلما زاد مدى البث دون الحاجة إلى ذلك كلما شمل البث مساحة أكبر وبالتالي عدد مهاجمين أكثر أجعل البث قدر الإمكان يغطي المنطقة التي تريدها فقط ولا يخرج للشارع مثلاً عن طريق وضع نقطة الاتصال (الرواتر) في مكان مناسب وإبعاده عن الأبواب الخارجية والنوافذ .
نصائح وملاحظات لمستخدمين الشبكات اللاسلكية :
أحرص على تحميل التحديثات الخاصة بالأنظمة والرقع الأمنية وتنصيب مكافح فيروسات وجدار ناري على الأجهزة الموصولة بالشبكة مع تحديثهماً باستمرار .
قم بإلغاء خاصية مشاركة الملفات في نظامك .
قم بإطفاء الـ Wireless من خلال الضغط على الزر أذا كان حاسوبك المحمول مزود بهذه الخاصية بشكل أساسي, أما إذا كنت تستخدم كرت خارجي قم بإخراجه من الجهاز .
لا تتصل بالشبكات المفتوحة التي لا تعرفها لأنها تشكل تهديد عليك .
بقوم بعض المهاجمين بوضع نقاط أتصال مضللة بالقرب من الشبكة المستهدفة وينتظر أن يقوم أحد المستخدمين قليلين الخبرة من الاتصال بالشبكة المضللة لأختراقه, بعض الأجهزة تقوم بالاتصال بالشبكات المفتوحة بشكل تلقائي دون تدخل منك فأحرص على إغلاق هذه الخاصية
في حال قمت بالاتصال بشبكة انتبه من إدخال بيانات هامة لك مثل استخدام بطاقتك الائتمانية أو القيام بالشراء من الانترنت إلا إذا كان الموقع يستخدم بروتوكول التشفير SSL تستطيع التعرف على المواقع التي تدعم هذا البرتوكول من خلال بداية بروتوكول عنوان الموقع في متصفحك سيكون https بدلاً من http .
أشير بالنهاية أن الوصول إلى درجة آمان يستحيل اختراقها صعب جداً ولكن من خلال هذه الخطوات البسيطة قد تكون درجة الآمن عالية خصوصاً للشبكات ذات الأستخدام الشخصي/المنزلي .
المصدر مجتمع القبعات البيضاء
https://whitehats.psdgroups.com/?p=286
نقاط هامة لتأمين الشبكات اللاسلكية Wireless
ضوابط المشاركة
المفضلات