وایفای را نباید فقط یک امکان رفاهی دید. از نگاه امنیتی، شبکه بیسیم یعنی بخشی از شبکه که از دیوار اتاق سرور و رک بیرون زده و در محدوده فیزیکی اطراف ساختمان هم قابل دسترس است. اگر درست طراحی نشود، مهاجم لازم نیست وارد شرکت شود؛ کافی است نزدیک محدوده سیگنال بایستد.
مبنای این مطلب: SANS Critical Security Control 15: Wireless Access Control، یعنی «کنترل دسترسی بیسیم» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.
کنترل شماره ۱۵ درباره کنترل دسترسی بیسیم است: چه دستگاهی وصل میشود، با چه هویتی، به کدام شبکه، با چه سطح دسترسی و با چه لاگی.
SSID کمتر، مدیریت بهتر
هر SSID اضافه یعنی سطح حمله و پیچیدگی بیشتر. شبکههای قدیمی مثل Guest-Old، Test، Mobile یا SSIDهایی که معلوم نیست مالکشان کیست باید جمع شوند. برای بیشتر سازمانها چند شبکه کافی است: داخلی، مهمان و شاید یک شبکه جدا برای تجهیزات خاص مثل IoT یا دستگاههای صنعتی.
رمز مشترک مشکلساز است
رمز وایفای مشترک در ظاهر ساده است، ولی در عمل کنترل را سخت میکند. وقتی یک نفر از سازمان خارج میشود، وقتی پیمانکار دسترسی موقت گرفته، یا وقتی رمز در گوشیهای زیادی ذخیره شده، دیگر نمیدانیم چه کسی واقعا به شبکه وصل است.
برای شبکه داخلی بهتر است از WPA2/WPA3 Enterprise و 802.1X استفاده شود. در این حالت هر کاربر یا دستگاه با هویت خودش وصل میشود و حذف دسترسی هم قابل کنترل است.
شبکه مهمان باید واقعا مهمان باشد
Guest Wi-Fi نباید به شبکه داخلی مسیر داشته باشد. نه به پرینترهای داخلی، نه به سرورها، نه به پنل تجهیزات. خروجی اینترنت کافی است، آن هم با محدودیت منطقی و لاگ مناسب. اگر مهمان برای جلسه نیاز به دسترسی خاص دارد، بهتر است موقت، مشخص و قابل حذف باشد.
- شبکه مهمان از VLAN جدا استفاده کند.
- Route به شبکه داخلی بسته باشد.
- DNS و DHCP آن جدا یا کنترلشده باشد.
- رمز یا دسترسی مهمان دورهای عوض شود.
دستگاه ناشناس را جدی بگیریم
اگر کنترل روی MAC، Certificate یا هویت کاربر نداریم، حداقل باید بدانیم چه دستگاههایی وصل میشوند. اتصال دستگاه ناشناس، تلاشهای ناموفق زیاد، تغییر مکان ناگهانی یک دستگاه یا مصرف غیرعادی ترافیک باید قابل بررسی باشد.
در این بخش ارتباط خوبی با کنترل موجودی دستگاهها وجود دارد. وایفای بدون inventory یعنی نمیدانیم چه چیزی وارد شبکه شده است.
برای تصمیم بهتر درباره کنترل امنیت شماره ۱۵
برای شروع، SSIDهای اضافه را حذف کنید، شبکه مهمان را جدا کنید، رمزهای مشترک را کم کنید، لاگ اتصالها را نگه دارید و برای شبکه داخلی به سمت 802.1X بروید. وایفای امن یعنی اتصال راحت، ولی نه بیحساب.
اجرای عملی کنترل بیسیم در شبکه سازمانی
کنترل دسترسی بیسیم فقط انتخاب یک رمز قوی برای Wi-Fi نیست. در محیط سازمانی، بهتر است شبکه مهمان، شبکه کاربران داخلی و دسترسی تجهیزات مدیریتی از هم جدا باشند و ورود کاربران از مسیر قابل ثبت انجام شود. اگر 802.1X و RADIUS در دسترس است، حساب مشترک برای همه کاربران تصمیم کمریسکی نیست؛ چون بعداً در لاگ مشخص نمیشود چه کسی و با چه دستگاهی وارد شده است.
برای تیم عملیات، خروجی قابل استفاده این کنترل باید روشن باشد: لیست SSIDهای مجاز، سیاست مهمان، وضعیت رمزنگاری، روش حذف دسترسی کاربران قدیمی، و جایی که لاگ اتصالها نگهداری میشود. مرجع رسمی NIST SP 800-153 برای امنیت WLAN هم روی همین نگاه عملی تأکید دارد: پیکربندی امن، مدیریت کلیدها، پایش و جدا کردن ترافیک بیسیم از بخشهای حساس شبکه.
چک روزانه یا هفتگی چه باشد؟
- SSIDهای ناشناس یا موقت که بعد از پایان پروژه باقی ماندهاند بررسی شوند.
- دسترسی مهمان به سرویسهای داخلی محدود و قابل توضیح باشد.
- حسابهای RADIUS یا کاربران VPN/بیسیم غیرفعال از چرخه دسترسی خارج شوند.
- رویدادهای اتصال ناموفق، تغییرات AP و تغییرات policy در لاگ دیده شوند.
این کنترل با هاردنینگ تجهیزات شبکه و مدیریت لاگ و مانیتورینگ کاملتر میشود؛ چون بدون لاگ و تفکیک دسترسی، کنترل بیسیم خیلی زود به یک تنظیم فراموششده تبدیل میشود.
منبع رسمی برای مطالعه بیشتر: NIST SP 800-153: Guidelines for Securing Wireless Local Area Networks.