وای‌فای را نباید فقط یک امکان رفاهی دید. از نگاه امنیتی، شبکه بی‌سیم یعنی بخشی از شبکه که از دیوار اتاق سرور و رک بیرون زده و در محدوده فیزیکی اطراف ساختمان هم قابل دسترس است. اگر درست طراحی نشود، مهاجم لازم نیست وارد شرکت شود؛ کافی است نزدیک محدوده سیگنال بایستد.

مبنای این مطلب: SANS Critical Security Control 15: Wireless Access Control، یعنی «کنترل دسترسی بی‌سیم» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.

کنترل شماره ۱۵ درباره کنترل دسترسی بی‌سیم است: چه دستگاهی وصل می‌شود، با چه هویتی، به کدام شبکه، با چه سطح دسترسی و با چه لاگی.

SSID کمتر، مدیریت بهتر

هر SSID اضافه یعنی سطح حمله و پیچیدگی بیشتر. شبکه‌های قدیمی مثل Guest-Old، Test، Mobile یا SSIDهایی که معلوم نیست مالکشان کیست باید جمع شوند. برای بیشتر سازمان‌ها چند شبکه کافی است: داخلی، مهمان و شاید یک شبکه جدا برای تجهیزات خاص مثل IoT یا دستگاه‌های صنعتی.

رمز مشترک مشکل‌ساز است

رمز وای‌فای مشترک در ظاهر ساده است، ولی در عمل کنترل را سخت می‌کند. وقتی یک نفر از سازمان خارج می‌شود، وقتی پیمانکار دسترسی موقت گرفته، یا وقتی رمز در گوشی‌های زیادی ذخیره شده، دیگر نمی‌دانیم چه کسی واقعا به شبکه وصل است.

برای شبکه داخلی بهتر است از WPA2/WPA3 Enterprise و 802.1X استفاده شود. در این حالت هر کاربر یا دستگاه با هویت خودش وصل می‌شود و حذف دسترسی هم قابل کنترل است.

شبکه مهمان باید واقعا مهمان باشد

Guest Wi-Fi نباید به شبکه داخلی مسیر داشته باشد. نه به پرینترهای داخلی، نه به سرورها، نه به پنل تجهیزات. خروجی اینترنت کافی است، آن هم با محدودیت منطقی و لاگ مناسب. اگر مهمان برای جلسه نیاز به دسترسی خاص دارد، بهتر است موقت، مشخص و قابل حذف باشد.

  • شبکه مهمان از VLAN جدا استفاده کند.
  • Route به شبکه داخلی بسته باشد.
  • DNS و DHCP آن جدا یا کنترل‌شده باشد.
  • رمز یا دسترسی مهمان دوره‌ای عوض شود.

دستگاه ناشناس را جدی بگیریم

اگر کنترل روی MAC، Certificate یا هویت کاربر نداریم، حداقل باید بدانیم چه دستگاه‌هایی وصل می‌شوند. اتصال دستگاه ناشناس، تلاش‌های ناموفق زیاد، تغییر مکان ناگهانی یک دستگاه یا مصرف غیرعادی ترافیک باید قابل بررسی باشد.

در این بخش ارتباط خوبی با کنترل موجودی دستگاه‌ها وجود دارد. وای‌فای بدون inventory یعنی نمی‌دانیم چه چیزی وارد شبکه شده است.

برای تصمیم بهتر درباره کنترل امنیت شماره ۱۵

برای شروع، SSIDهای اضافه را حذف کنید، شبکه مهمان را جدا کنید، رمزهای مشترک را کم کنید، لاگ اتصال‌ها را نگه دارید و برای شبکه داخلی به سمت 802.1X بروید. وای‌فای امن یعنی اتصال راحت، ولی نه بی‌حساب.

اجرای عملی کنترل بی‌سیم در شبکه سازمانی

کنترل دسترسی بی‌سیم فقط انتخاب یک رمز قوی برای Wi-Fi نیست. در محیط سازمانی، بهتر است شبکه مهمان، شبکه کاربران داخلی و دسترسی تجهیزات مدیریتی از هم جدا باشند و ورود کاربران از مسیر قابل ثبت انجام شود. اگر 802.1X و RADIUS در دسترس است، حساب مشترک برای همه کاربران تصمیم کم‌ریسکی نیست؛ چون بعداً در لاگ مشخص نمی‌شود چه کسی و با چه دستگاهی وارد شده است.

برای تیم عملیات، خروجی قابل استفاده این کنترل باید روشن باشد: لیست SSIDهای مجاز، سیاست مهمان، وضعیت رمزنگاری، روش حذف دسترسی کاربران قدیمی، و جایی که لاگ اتصال‌ها نگهداری می‌شود. مرجع رسمی NIST SP 800-153 برای امنیت WLAN هم روی همین نگاه عملی تأکید دارد: پیکربندی امن، مدیریت کلیدها، پایش و جدا کردن ترافیک بی‌سیم از بخش‌های حساس شبکه.

چک روزانه یا هفتگی چه باشد؟

  • SSIDهای ناشناس یا موقت که بعد از پایان پروژه باقی مانده‌اند بررسی شوند.
  • دسترسی مهمان به سرویس‌های داخلی محدود و قابل توضیح باشد.
  • حساب‌های RADIUS یا کاربران VPN/بی‌سیم غیرفعال از چرخه دسترسی خارج شوند.
  • رویدادهای اتصال ناموفق، تغییرات AP و تغییرات policy در لاگ دیده شوند.

این کنترل با هاردنینگ تجهیزات شبکه و مدیریت لاگ و مانیتورینگ کامل‌تر می‌شود؛ چون بدون لاگ و تفکیک دسترسی، کنترل بی‌سیم خیلی زود به یک تنظیم فراموش‌شده تبدیل می‌شود.

منبع رسمی برای مطالعه بیشتر: NIST SP 800-153: Guidelines for Securing Wireless Local Area Networks.

علیرضا عربیان

مشاور و مدرس امنیت شبکه، متخصص FortiGate، FortiWeb و F5 BIG-IP در زیرساخت‌های سازمانی.

مشاهده همه مقالات ←

دیدگاه بگذارید