کنترل امنیت شماره ۱۵: کنترل دسترسی بی‌سیم؛ وای‌فای را جدی بگیریم

تاریخ انتشار:

وای‌فای را نباید فقط یک امکان رفاهی دید. از نگاه امنیتی، شبکه بی‌سیم یعنی بخشی از شبکه که از دیوار اتاق سرور و رک بیرون زده و در محدوده فیزیکی اطراف ساختمان هم قابل دسترس است. اگر درست طراحی نشود، مهاجم لازم نیست وارد شرکت شود؛ کافی است نزدیک محدوده سیگنال بایستد.

مبنای این مطلب: SANS Critical Security Control 15: Wireless Access Control، یعنی «کنترل دسترسی بی‌سیم» در فهرست ۲۰ کنترل امنیتی SANS/CIS. متن زیر ترجمه خشک کنترل نیست؛ برداشت عملی از همان کنترل برای شبکه و زیرساخت سازمانی است.

کنترل شماره ۱۵ درباره کنترل دسترسی بی‌سیم است: چه دستگاهی وصل می‌شود، با چه هویتی، به کدام شبکه، با چه سطح دسترسی و با چه لاگی.

SSID کمتر، مدیریت بهتر

هر SSID اضافه یعنی سطح حمله و پیچیدگی بیشتر. شبکه‌های قدیمی مثل Guest-Old، Test، Mobile یا SSIDهایی که معلوم نیست مالکشان کیست باید جمع شوند. برای بیشتر سازمان‌ها چند شبکه کافی است: داخلی، مهمان و شاید یک شبکه جدا برای تجهیزات خاص مثل IoT یا دستگاه‌های صنعتی.

رمز مشترک مشکل‌ساز است

رمز وای‌فای مشترک در ظاهر ساده است، ولی در عمل کنترل را سخت می‌کند. وقتی یک نفر از سازمان خارج می‌شود، وقتی پیمانکار دسترسی موقت گرفته، یا وقتی رمز در گوشی‌های زیادی ذخیره شده، دیگر نمی‌دانیم چه کسی واقعا به شبکه وصل است.

برای شبکه داخلی بهتر است از WPA2/WPA3 Enterprise و 802.1X استفاده شود. در این حالت هر کاربر یا دستگاه با هویت خودش وصل می‌شود و حذف دسترسی هم قابل کنترل است.

شبکه مهمان باید واقعا مهمان باشد

Guest Wi-Fi نباید به شبکه داخلی مسیر داشته باشد. نه به پرینترهای داخلی، نه به سرورها، نه به پنل تجهیزات. خروجی اینترنت کافی است، آن هم با محدودیت منطقی و لاگ مناسب. اگر مهمان برای جلسه نیاز به دسترسی خاص دارد، بهتر است موقت، مشخص و قابل حذف باشد.

  • شبکه مهمان از VLAN جدا استفاده کند.
  • Route به شبکه داخلی بسته باشد.
  • DNS و DHCP آن جدا یا کنترل‌شده باشد.
  • رمز یا دسترسی مهمان دوره‌ای عوض شود.

دستگاه ناشناس را جدی بگیریم

اگر کنترل روی MAC، Certificate یا هویت کاربر نداریم، حداقل باید بدانیم چه دستگاه‌هایی وصل می‌شوند. اتصال دستگاه ناشناس، تلاش‌های ناموفق زیاد، تغییر مکان ناگهانی یک دستگاه یا مصرف غیرعادی ترافیک باید قابل بررسی باشد.

در این بخش ارتباط خوبی با کنترل موجودی دستگاه‌ها وجود دارد. وای‌فای بدون inventory یعنی نمی‌دانیم چه چیزی وارد شبکه شده است.

جمع‌بندی عملی

برای شروع، SSIDهای اضافه را حذف کنید، شبکه مهمان را جدا کنید، رمزهای مشترک را کم کنید، لاگ اتصال‌ها را نگه دارید و برای شبکه داخلی به سمت 802.1X بروید. وای‌فای امن یعنی اتصال راحت، ولی نه بی‌حساب.

برچسبها
مطالب مرتبط
تصویر پیدا نشد بک‌دور FIRESTARTER روی Cisco ASA/FTD؛ بعد از Patch هم تمام نمی‌شود
11 views
قابلیت بازیابی اطلاعات؛ Backup امن در برابر حادثه و باج‌افزارقابلیت بازیابی اطلاعات؛ Backup امن در برابر حادثه و باج‌افزار
2,763 views
امن‌سازی پیکربندی سخت‌افزار و نرم‌افزار؛ Baseline قابل دفاع برای شبکهامن‌سازی پیکربندی سخت‌افزار و نرم‌افزار؛ Baseline قابل دفاع برای شبکه
2,870 views
کنترل امنیت شماره ۱۶: پایش و کنترل حساب‌های کاربریکنترل امنیت شماره ۱۶: پایش و کنترل حساب‌های کاربری
6 views
تفاوت Vulnerability Assessment، Penetration Test و Red Team Assessmentتفاوت Vulnerability Assessment، Penetration Test و Red Team Assessment
2,151 views
محافظت در برابر بدافزار؛ از Endpoint تا ایمیل، وب و DNSمحافظت در برابر بدافزار؛ از Endpoint تا ایمیل، وب و DNS
2,825 views

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.