مع انتشار استخدام الشبكات الأسلكية (Wireless) أصبح من السهل نقل البيانات بين الأجهزة عن طريق موجات كهرومغناطيسية (عن بعد) وأصبح التخلي عن التوصيلات بين أجهزة الحاسوب أمر ممكن,  تنتقل البيانات في الشبكات اللاسلكية بشكل مفتوح في الهواء مما يمكن المهاجمين من التقاط هذه البيانات والتعرف عليها عكس الشبكات السلكية والتي تشترط الوجود الفيزيائي بالقرب من مركز الاتصال, وهذا بحد ذاته يشكل تهديد أمني صريح لجميع مستخدمين الشبكات اللاسلكية . أيضا يتجول بعض المخترقين بسيارتهم ويقومون بعمل مسح عن الشبكات بواسطة حواسيب محمولة بالاستعانة بهوائي/مقوي أشارة للبحث عن شبكات غير محمية لأغراض مختلفة (يطلق على هذا الهجوم War Driving أو القيادة الحربية) .
تختلف أهداف المهاجمين بالعادة فهناك من يبحث عن شبكة غير محمية لغرض استخدام موارد الشبكة مجاناً (الاتصال بالانترنت مثلاً) أو لسرقة ملفات مستخدمين الشبكة والتلصص على بياناتهم أو لنشر ملفات ضارة في الشبكة و أجهزة مستخدميها لغرض التخريب فقط . المشكلة الأكبر هو أن الغالبية الساحقة من المستخدمين يتصلون بالشبكات الغير موثوقة بمجرد وجودها مفتوحة وهذا أيضا يشكل تهديداً لمستخدم الشبكة بحيث أن مدير الشبكة يستطيع التعرف على البيانات المارة بشبكته وهذا يعني التعرف على بياناتك! أيضا بعض الشبكات تقوم بنشر ملفات ضارة داخل أنظمة المستخدمين فور اتصالهم بها بمدة قصيرة فقط .

في هذا التدوينة سنقوم برفع درجة آمن الشبكات اللاسلكية على صعيد الأستخدام المنزلي/الشخصي, بالنسبة للمؤسسات والشركات تحتاج شبكاتها الى تقنيات اكبر وأكثر تعقيداً سنخصها في تدوينة لأحقه بأذن الله أيضا سنقدم نصائح أمنية لمدراء الشبكات ومستخدمينها .

جميع الأعدادات التي سنذكرها في التدوينة متوفرة في أغلب أجهزة الراوترات ولكن التطبيق سيكون على راوتر من شركة 3com .

اختيار الأرقام السرية

هذه النقطة من أهم نقاط حماية الشبكات اللاسلكية, استخدام رقم سري سهل مكون من 5/4 خانات غير كافً لمنع دخول الغير مُصرح لهم بالدخول بالإضافة أنه يسهل على المهاجم اختراق الشبكة. قم باختيار رقم سري 15 خانة على الأقل مكون من حروف, أرقام و رموز ليصعب تخمينه سواء كان التخمين يدوياً أو باستخدام بعض ادوات الـ (Brute force) .
ابتعد عن كلمات السر سهلة التخمين مثل اسمك, رقم هاتفك المحمول, أسم احد أبنائك, تاريخ ميلادك, أجعل كلمة السر لا ترمى لمعنى معين او لكلمة موجودة في قواميس اللغة .

هنا تظهر صفحة اختيار الرقم السري الخاصة بالشبكة اللاسلكية لا تنسى الضغط على Apply لحفظ التغييرات

أيضا لا تنسى القيام بتغير الرقم السري الخاص بدخول صفحة التحكم بالرواتر يأتي في أغلب الرواترات بشكل افتراضي (admin) يمكن دخول الصفحة عن طريق المتصفح في حالة لم يتم تغيير الـ Default Gateway الافتراضي

[bash]http://192.168.1.1[/bash]

هنا تظهر صفحة تغيير الرقم السري الافتراضي لصفحة الراوتر لا تنسى الضغط على Apply لحفظ التغييرات

أيضا مهلة الخروج (log out) تلقائياً في حالة الخمول من لوحة التحكم دعها قصيرة قدر الإمكان حتى لا يتمكن أي شخص من الوصول فيزئياً إلى الجهاز وتغيير بعض الإعدادات أو العبث بها في حالة تركت اللوحة مفتوحة .

تفعيل بروتوكول التشفير WPA

يوفر بروتوكول WPA تشفير البيانات المرسلة بالشبكة بطريقة قوية بالإضافة أن اغلب كروت الاتصال اللاسلكي تدعم هذا البروتوكول .
يمكن هذا البروتوكول أمكانية التحقق من هوية المستخدم عن طريق خادم للشبكة (Radius Server) أو عن طريق الرقم السري المشترك (PSK). بالنسبة لخادم التحقق من الهوية يستخدم غالباً في المؤسسات والشركات الكبرى لتوفير درجة آمن عالية لكن بالنسبة للشبكات المستخدمة على الصعيد المنزلي/الشخصي لا مانع من استخدام الرقم السري المشترك بين مستخدمي الشبكة, تأتي بعض أجهزة الرواتر وبروتوكول WPA غير مفعل بشكل افتراضي لذلك سنقوم بتفعيله .

هنا يظهر اختيار تشفير WPA في قائمة Encryption الفرعية في Wireless Settings

هذا البرتوكول يمكن أن يٌهاجم من خلال أدوات تقوم بعمل Brute Force للتعرف على الرقم السري المشترك للشبكة ولكن هذه الأدوات ستكون غير فعالة أذا كان الرقم السري طويل ومعقد لذلك تأكد من اختيار رقم سري صعب التخمين قدر الإمكان (راجع فقرة الأرقام السرية). يوجد نوع أخر من التشفير يدعى WEP (من أقدم بروتوكولات تشفير الشبكات اللاسلكية) متوفر بمفاتيح مختلفة الطول ولكن بالوقت الحاضر أصبح هذا التشفير ضعيف جداً ولا يستغرق كسره سواء بضع دقائق مهما بغض النظر عن طول المفتاح, بالحقيقة بروتوكول WPA تطوير لبروتوكول التشفير القديم WEP لذلك لا ننصح باستخدام هذا البروتوكول .

تعطيل بث معرف الشبكة (SSID)

عندما يكون أي شخص موجود في نطاق بث شبكتك اللاسلكية ويقوم بالبحث عن الشبكات المجاورة له فأن شبكتك سوف تظهر له تلقائياً .

صورة لمعالج البحث عن الشبكات اللاسلكية الافتراضي في نظام Windows XP

تفعيل بث معرفة الشبكة يضع الشبكة في موضع الهجوم ومحط أنظار المتطفلين سنقوم بالغاء بث معرف الشبكة بحيث لا تظهر عند البحث عنها .

صورة توضح عملية تعطيل بث معرف الشبكة من خلال اختيار Disable في الـ SSID Broadcast

بهذا الشكل ستكون الشبكة مخفية ويعني ذلك طبعاً مهاجمين أقل .

السماح للأجهزة معينة من الاتصال بالشبكة (MAC Address Filtering)

تفيد هذه الخاصية السماح لأجهزة معينة من الاتصال بالشبكة عن طريق العنوان الفيزيائي/المادي MAC Address لكرت الشبكة .
الماك ادرس : MAC اختصار لـ (Media Access Control) وهو عنوان مكون من 12 رمز في 6 خانات وهو مميز أي لكل
كرت اتصال لاسلكي عنوان ماك ادرس ثابت وخاص لا يمكن أن يتكرر نفس العنوان لكرت لاسلكي أخر .
يمكن التعرف على عنوان MAC Address في أنظمة Windows من تنفيذ هذا الأمر في سطر الأوامر :

[bash]ipconfig /all[/bash]

يمكن من خلال خاصية (MAC Address Filtering) المتوفرة في أغلب أجهزة الرواتر منع عناوين MAC Address معينة
من الاتصال بالشبكة أو السماح لعدة لعناوين MAC Address و منع الباقي .

هنا بالصورة تم تفعيل خاصية MAC Address Filtering وتحديد عنوان MAC Address واحد والسماح له فقط من الاتصال بالشبكة عن طريق اختيار Allow, أما في حالة اختيار Deny سيتم منع العنوان المدخل من الاتصال وسيسمح للباقي

هذه الخاصية غير مجدية في بعض الأحوال لأن المهاجم يستطيع تغيير عنوان الماك أدرس الخاص به (Spoofing MAC address) أيضا يستطيع المهاجم معرفة عناوين الماك أدرس المسموح له عن طريق بعض الأدوات مثل airodump و Kismet ثم تقمص أحد هذه العناوين ليستطيع الدخول .

تعطيل خدمة الدخول من خارج الشبكة المحلية (Remote Administrator)

تمكن هذه الخاصية مدير الشبكة من الدخول إلى صفحة أعدادات المودم من خارج الشبكة المحلية. ينصح بتعطيل هذه الخاصية للمخاطر الأمنية التي قد تسببها, تأتي هذه الخاصية معطلة بشكل تلقائياً في اغلب أجهزة الرواتر لكن سنتأكد من ذلك .

عند اختيار Disable Remote Administration فأن هذه الخاصية تكون معطلة

قد توفر بعض أجهزة الرواتر خدمات مختلفة في هذا السياق مثل Remote Upgrade وهي خدمة تمكن مدير الشبكة من ترقية الرواتر
عن بعد دون أن يكون في الشبكة المحلية, عليك التأكد من تعطيل جميع خدمات التحكم عن بعد في الرواتر الخاص بك .

مراقبة الشبكة

يمكن التعرف علي الأجهزة المتصلة بالشبكة لاسلكياً عن طريق خاصية (Client List) الموجودة بشكل افتراضي في أغلب أجهزة الرواتر من خلال هذه الخاصية تستطيع التعرف على الأجهزة الغريبة المتواجدة بشكل غير شرعي في الشبكة ومن ثمّ تستطيع منع  عناوينها بالأستعانة بـ MAC Address Filtering .

تظهر بالصفحة جميع عناوين MAC Address الأجهزة المتصلة بالشبكة

أيضا توجد في أغلب أجهزة الرواتر خاصية مراقبة سجلات الشبكة (Log) وتعرض هذه الخاصية أنشطة الشبكة وعمليات الدخول والخروج .

صورة لخاصية مراقبة سجلات الشبكة التي يقدمها رواتر من شركة 3com

لكن الخاصية الموجودة افتراضياً في أجهزة الرواتر بدائيه بعض الشئ, لذلك سنستعين ببعض الأدوات الخاصة بمراقبة الشبكات
(Packet Sniffer) التي تظهر تفاصيل أكثر مثل tcpdump, wireshark و ARPwatch التي سنتحدث عنها في هذه التدوينة .

ARPwatch هي أداة تعمل على أنظمة GNU/LINUX من سطر الأوامر تفيد هذه الأداة في معرفة المتلاعبين بالشبكة بالأضافة الى الكشف عن عمليات الهجوم .

لتثبيت الأداة أولاً يجب التأكد من وجود lipcap في نظامك “في الغالب ستكون موجودة في توزيعة BackTrack

[bash]
dpkg –status libpcap0.8
[/bash]

بعد ذلك نقوم بتحميل وتنصيب ArpwatchNG وهو عبارة عن نسخة مطورة من ARPwatch حيث يتمحور عمل هذه الأداة في تخزين
جميع الـIPs واسماء الأجهزة وعناوين الـMAC وفي حالة حدوث اي تغير في الشبكة مثل هجوم الـ ARP او دخول مستخدم جديد فإنه سيقوم بكتابة رسالة في السجلات (logs) بالأضافة الى إمكانية تبليغك برسالة على بريدك الألكتروني و ارسال رسالة للـ Syslog حسب الأعدادات .

[bash]
# wget http://freequaos.host.sk/arpwatch/arpwatch-NG1.7.tar.bz2

# tar -xjvf arpwatch-NG1.7.tar.bz2

# cd arpwatch-NG1.7

# ./configure

# make

# make install
[/bash]

المفترض الان ان يكون قد تم تحميل وتنصيب الأداة على النظام, بعد ذلك نقوم بالإعدادات التالية،

انشاء ملف فارغ سيكون بمثابة قاعدة بيانات للأجهزة الموجودة في الشبكة وستستخدمه ARPwatch

[bash]
# touch /var/lib/arpwatch.dat
[/bash]

الان نقوم بتشغيل الأداة و تزويدها بالآوامر المناسبة

[bash]
# arpwatch -i eth0 -a -n 192.168.1.0/24 -s /usr/sbin/sendmail -m [email protected]
[/bash]

i: اسم جهاز الشبكة في جهازك، قد يكون عندك eth1 او غيره. استخدم الأمر ifconfig للتأكد .
n: لعنوان الشبكة الخاصة بك .
s: لتحديد مسار برنامج sendmail في حالة ان كان في مسار غير الافتراضي، ونستخدمه هنا لإرسال الايميل للتبليغ .
m: البريد الإلكتروني لإستقبال التبليغات .

بعد ذلك نتأكد من أن ARPwatch يعمل في الخلفية عن طريق الأمر

[bash]
# ps -ef | grep -i arpwatch
[/bash]

لمشاهدة رسائل التبليغات وهي تأتي

[bash]
# tail -f /var/mail/root
[/bash]

وايضاً لمشاهدة التبليغات في الـ Syslog

[bash]
# tail -f /var/log/syslog | grep -i arpwatch
[/bash]

بالتأكيد طريقة تحويل التبليغات لـSyslog server مخصص ليست محور الحديث هنا، فهناك كثير من المواضيع توضح ذلك لاحظ ايضاً في عملية مشاهدة التبليغات التي تصل للبريد الإلكتروني أننا نقوم بمشاهدتها في الجهاز نفسه ولم نقم بإرسالها لسيرفر خارجي خاص بالإيميلات مع أن ذلك ممكن وافضل بكل تأكيد لكنه ليس محور حديثنا هنا ايضاً. نقطة اخيرة يجب أن نوضحها، يفضل ان يكون الجهاز الموجود عليه ARPwatch له IP تم ادخاله يدويا وادخال عنوان الـMAC الخاص بالـGateway يدوياً (Static) حتى لا يتأثر هذا الجهاز بالهجوم وتكون النتائج غير دقيقة. هذه احد الطرق للمراقبة والكشف عن التلاعب في الشبكة, وهناك حلول اخرى وأدوات اخرى كثيرة في هذا المجال يمكنك مشاهدة هذا العرض التقديمي لمعلومات اكثر حول هذه النقطة .

أدوات اختراق الشبكات اللاسلكية

هناك العديد من الأدوات التي تساعد المهاجمين في عملية اختراق الشبكات اللاسلكية تختلف وظائف هذه الأدوات فمنها مايخص معرفة تفاصيل الشبكات اللاسلكية المجاورة, تحليل البروتوكولات, تفحص البيانات المارة بالشبكة, كسر بروتوكولات التشفير, وتقمص الهويات سنذكر في هذه الفقرة أشهر الأدوات مع نبذة بسيطة عنها وعن عملها .

NetStumbler

أداة بواجهة رسومية لأنظمة Windows تعمل على البحث عن الشبكات المجاورة بالرغم من توفر هذا البرنامج بشكل أساسي في الحواسيب المزودة بكروت أتصال لاسلكية إلا أن هذه البرامج الأساسية لا توفر معلومات حول الشبكات سواء معرف الشبكة SSID وقوة الإشارة . تقوم الأداة بإظهار تفاصيل الشبكات المفتوحة/المغلقة المجاورة بشكل منظم مثل نوع بروتوكول التشفير المستخدم في الشبكة وعنوان الماك أدرس الخاص بالرواتر أيضا يمكن من خلال هذه الأداة تحديد المواقع الجغرافية للشبكات بعد إجراءات معينة .

Kismet

أداة تعمل ضمن سطر الأوامر لأنظمة GNU/Linux تقوم هذه الأداة بتحليل البروتوكولات بالإضافة إلى اكتشاف الشبكات اللاسلكية المجاورة حتى لو كانت إشارتها ضعيفة جداً, توفر الأداة أمكانية تجميع الحزم المنتقلة عبر الشبكة لتحليلها. أيضا تظهر الأداة عنوان ماك أدرس الخاص بالرواتر للشبكات التي ألغت البث اللاسلكي (SSID Broadcast) وتستطيع من خلال عنوان ماك أدرس الرواتر التعرف على معرفة الشبكة من خلال أداة تدعى AirePlay في مجموعة أدوات AirCrack التي سنتحدث عنها بعد قليل .

AirSnort

أداة تعمل ضمن سطر الأوامر لأنظمة GNU/Linux أيضا هناك نسخة منه لمستخدمين أنظمة Windows تعمل الأداة على كسر تشفير بروتوكول WEP والتعرف على الرقم السري الخاص بالشبكة .

AirCrack

أداة أو مجموعة أدوات تعمل ضمن سطر الأوامر لأنظمة GNU/Linux أيضا هناك نسخة منه بواجهة رسومية لأنظمة Windows لهذه
الأداة وظائف مختلفة مثل جمع الحزم المارة بالشبكة, تحليل وفك تشفير الحزم الملتقطة, كسر تشفير برتوكول WEP بمفاتيحه المختلفة, كسر تشفير بروتوكول WPA/WPA2 في حالة كان البروتوكول يعتمد على المفتاح المشترك (PSK) عن طريق هجوم Brute force أيضا تقوم الأداة بالتعرف على معرف الشبكة التي ألغت البث اللاسلكي (SSID Broadcast) عن طريق عنوان الماك أدرس الخاص بالرواتر الذي يمكن استخراجه عن طريق أداة Kismet التي تحدثنا عنها سابقاً .

TMAC

أداة بواجهة رسومية لأنظمة Windows تقدم أمكانية تغير الماك أدرس الخاص بكرت الشبكة اللاسلكي الخاص بك بسهولة مع العلم أنك تستطيع عمل ذلك بشكل يدوي في أنظمة Windows وعن طريق أمر في أنظمة GNU/Linux الإ أن الأداة ستسهل عليك هذا الأمر يفيد تغيير الماك أدرس لتخطى الـ MAC Address Filtering وانتحال شخصية احد المخولين وإخفاء الهوية .

نصائح وملاحظات لمدراء الشبكات :

  • قم بتغير أسم الشبكة (SSID) إلى أسم لا يدل على الشركة المصنعة للرواتر قد يستغل المهاجم هذه النقطة .
  • قم بتعطيل الاتصال اللاسلكي (Wireless) من صفحة الرواتر في حال كنت غير محتاج له .
  • حاول قدر المستطاع أن تحد من البث اللاسلكي لأنه كلما زاد مدى البث دون الحاجة إلى ذلك كلما شمل البث مساحة أكبر وبالتالي عدد مهاجمين أكثر أجعل البث قدر الإمكان يغطي المنطقة التي تريدها فقط ولا يخرج للشارع مثلاً عن طريق وضع نقطة الاتصال (الرواتر) في مكان مناسب وإبعاده عن الأبواب الخارجية والنوافذ .

نصائح وملاحظات لمستخدمين الشبكات اللاسلكية :

  • أحرص على تحميل التحديثات الخاصة بالأنظمة والرقع الأمنية وتنصيب مكافح فيروسات وجدار ناري على الأجهزة الموصولة بالشبكة مع تحديثهماً باستمرار .
  • قم بإلغاء خاصية مشاركة الملفات في نظامك .
  • قم بإطفاء الـ Wireless من خلال الضغط على الزر أذا كان حاسوبك المحمول مزود بهذه الخاصية بشكل أساسي, أما إذا كنت تستخدم كرت خارجي قم بإخراجه من الجهاز .
  • لا تتصل بالشبكات المفتوحة التي لا تعرفها لأنها تشكل تهديد عليك .
  • بقوم بعض المهاجمين بوضع نقاط أتصال مضللة بالقرب من الشبكة المستهدفة وينتظر أن يقوم أحد المستخدمين قليلين الخبرة من الاتصال بالشبكة المضللة لأختراقه, بعض الأجهزة تقوم بالاتصال بالشبكات المفتوحة بشكل تلقائي دون تدخل منك فأحرص على إغلاق هذه الخاصية
  • في حال قمت بالاتصال بشبكة انتبه من إدخال بيانات هامة لك مثل استخدام بطاقتك الائتمانية أو القيام بالشراء من الانترنت إلا إذا كان الموقع يستخدم بروتوكول التشفير SSL تستطيع التعرف على المواقع التي تدعم هذا البرتوكول من خلال بداية بروتوكول عنوان الموقع في متصفحك سيكون https بدلاً من http .

أشير بالنهاية أن الوصول إلى درجة آمان يستحيل اختراقها صعب جداً ولكن من خلال هذه الخطوات البسيطة قد تكون درجة الآمن عالية خصوصاً للشبكات ذات الأستخدام الشخصي/المنزلي .

أتمنى للجميع حياة آمنة وشكر لجميع لأعضاء المجموعة الذين ساعدوني بكتابة التدوينة .