آموزش ایمن ترین تنظیمات رمزگذاری شبکه وای فای و شناسایی کاربران غیرمجاز

امنیت شبکه از مهم‌ترین جوانب آن است. در ادامه راهکار‌های بهبود امنیت شبکه وای فای و شناسایی و قطع دسترسی کاربران غیرمجاز عنوان شده است.

با افزایش محبوبیت استفاده از ارتباطات وای فای در اغلب گجت‌های امروزی، لزوم توجه به رعایت نکات امنیتی نیز بیش‌ازپیش کرد پیدا می‌کند. در همین راستا نیز روش‌ها و ابزار‌های مختلفی نیز برای هک رمز و شبکه‌ی وای‌فای توسعه یافته است که توجه بیشتر به رعایت جوانب امنیتی شبکه را طلب می‌کند. ‌اما اگر با روش‌های متداول برای احراز هویت و رمزگذاری این ارتباطات وای فای و مزایا و معایب آن‌ها آشنایی ندارید با دیجیتال همراه شوید تا به بررسی جامع این استانداردها بپردازیم.

تنظیمات امنیتی رمز وای فای

اگر شما هم تاکنون گذرتان به پنل تنظیمات روتر بی‌سیم منزل یا محل‌کارتان افتاده باشد، گزینه‌های مربوط به استانداردهای امنیتی وای فای نیز به چشمتان خورده است. در روترهای وای فای، به هنگام تنظیم رمز عبور برای شبکه‌ی بی‌سیم، دو بخش دیگر نیز باید با گزینه‌های صحیح تنظیم شوند؛ بخش‌ Authentication Type یا شیوه‌ی احراز هویت که معمولاً شامل گزینه‌هایی از این قراراند:

• Disabled (یا Open)
• WEP 64 Bits
• WEP 128 Bits
• WPA – PSK
• WPA2 – PSK
• WPA2 – PSK / WPA – PSK

و بخش Encryption یا رمزنگاری که متدهای مربوط به کدگذاری داده‌ها را دردسترس شما می‌گذارد:

• AES
• TKIP
• TKIP / AES

البته ممکن است در روترهای مختلف متناسب با نوع محصول، کمپانی سازنده و سال ساخت، این گزینه‌ها کمتر یا بیشتر باشند. ولی مهم‌ترین موارد که بین اغلب آن‌ها مشترک هستند، گزینه‌هایی بود که در بالا به آن‌ها اشاره شد.

اما اینکه این گزینه‌ها و استانداردها به چه معنا هستند و انتخاب هر یک چه مزایا و معایبی دارد، موضوعی است که اغلب کاربران هیچ آشنایی با آن نداشته و از همین رو، گاه با انتخاب تنظیمات ناصحیح، ضمن کاهش امنیت ارتباطات وای فای خود، سرعت آن را نیز با افتی محسوس مواجه می‌سازند.

به‌صورت خلاصه که امن‌ترین تنظیمات عبارت‌اند از:

• WPA2 – PSK
• AES

با قرار دادن تنظیمات مودم خود روی گزینه‌های مذکور، شبمه خانگی خود را در برابر هک در مقاوم‌ترین حالت قرار داده‌اید. اما اگر مایل هستید تا با جزئیات هر یک از فناوری‌های مذکور آشنا شوید، شما را به مطالعه‌ی ادامه‌ی مقاله دعوت می‌کنیم.

AES و TKIP چه هستند و چه تفاوت‌هایی دارند؟

TKIP و AES دو شیوه‌ی متفاوت برای رمزنگاری هستند که می‌توان از آن‌ها برای ایمن‌سازی شبکه‌های وای فای بهره گرفت. TKIP مخفف Temporal Key Integrity Protocol به‌معنی «پروتکل جامع کلید موقت» است. TKIP یک پروتکل رمزنگاری در قالب چاره‌ای موقت برای شیوه‌ی رمزنگاری نه چندان ایمن WEP بود که به‌همراه WPA در آن زمان معرفی شد. درواقع TKIP ساختار بسیار مشابهی با شیوه‌ی رمزنگاری WEP دارد. نکته‌ی مهم اینست که TKIP درحال‌حاضر ایمن نیست و این شیوه‌ی رمزنگاری عملاً منسوخ شده است. به عبارتی شما نباید از آن استفاده کنید.

AES نیز مخفف عبارت Advanced Encryption Standard به‌معنای «استاندارد رمزنگاری پیشرفته» است. AES پروتکل رمزنگاری با ضریب امنیت بسیار بالاتر است که با WPA2 یعنی جایگزین WPA، معرفی شد. AES یک شیوه‌ی رمزنگاری منحصر به استفاده برای ایمن‌سازی ارتباطات وای فای نبوده و تنها بدین منظور توسعه نیافته است؛ بلکه یک استاندارد رمزنگاری جهانی و جدی است که استفاده از آن حتی توسط دولت ایالات متحده آمریکا نیز به تصویب رسیده است. برای مثال، وقتی شما هارددرایو خود را با استفاده از برنامه‌ی رایگان و محبوب TrueCrypt رمزنگاری می‌کنید، این برنامه قابلیت استفاده از استاندارد AES را نیز دارد. به‌طور کلی در استاندارد AES، امنیت بسیار بالایی در نظر گرفته شده است و تنها نقاط ضعفی که می‌توان برای آن قائل شد مربوط به ضعف در حملات Brute-Force یا نقطه ضعف‌های امنیتی پیرامون WPA2 است. البته در مورد حملات Brute-Force (حملاتی که در آن هکر با بکارگیری حجم انبوهی از رمزعبورهای تصادفی، سعی در کشف رمزعبور اصلی دارد)، در صورتی که از کلمه‌ی عبوری قوی استفاده کنید، ضریب موفقیت این حملات بسیار کم می‌شود.

عبارت PSK در WPA-PSK و WPA-PSK2 نیز محفف Pre-Shared Key به‌معنای «رمز عبور اصلی» مورد استفاده برای رمزنگاری است. این عبارت، روش‌های فوق را از روش WPA-Enterprise که از سرور Radius برای مدیریت کلید منحصر‌به‌فرد در شبکه‌های شرکت‌های بزرگ یا دولت‌ها استفاده می‌کند، متمایز می‌کند.

WPA از رمزنگاری TKIP و WPA2 از رمزنگاری AES استفاده می‌کنند، ولی...

به‌طور خلاصه، TKIP یک استاندارد قدیمی به منظور رمزنگاری است که برای استاندارد قدیمی‌تری به‌نام WPA استفاده می‌شده. AES نیز راهکار رمزنگاری جدیدتری است که توسط استاندارد نو و ایمن‌تر WPA2 استفاده می‌شود. در روی کاغذ همه چیز همین است که گفته شد؛ ولی در عمل و متناسب با نوع روتر شما، ممکن است WPA2 به اندازه‌ی کافی خوب نباشد.

درحالی‌که قرار است WPA2 از AES برای امنیت بیشتر بهره بگیرد، ولی کماکان گزینه‌ای برای استفاده از TKIP روی دستگاه‌های قدیمی یا ناسازگار نیز پیش‌بینی شده است. به عبارتی WPA2 همیشه به‌معنای WPA2-AES نخواهد بود؛ ولی در دستگاه‌هایی که گزینه‌ی مستقلی برای انتخاب نوع رمزنگاری از میان AES و TKIP ندارند، به‌طور کلی WPA2 مترادف با WPA2-AES فرض می‌شود.

حالت‌های متداول برای امنیت وای فای

کمی سردرگم شده‌اید؟! جای تعجب ندارد. تنها کاری که لازم دارید این است که گزینه‌ی ترکیبی صحیح را متناسب با نوع روتر و استفاده‌ی خود برگزینید.

Disabled یا Open:این حالت بدترین انتخاب ممکن است؛ چرا که شبکه‌ی وای فای شما بدون هیچ رمزعبور خاصی دردسترس خواهد بود. اکیداً توصیه می‌شود از انتخاب این گزینه پرهیز کنید؛ چرا که مانند این است که در منزل خود را باز بگذارید و به امید تأمین امنیت خانه توسط پلیس باشید!

 WEP 64: استاندارد رمزنگاری WEP یا Wired Equivalent Privacy بسیار قدیمی و آسیب‌پذیر بوده و نباید از آن استفاده شود. WEP در سال ۱۹۹۷ متولد شد و در سال ۲۰۰۳ عملاً جای خود را به WPA داد و منقرض شد. هدف از این پروتکل همان‌گونه که از نام آن نیز مشخص است محرمانه نگه داشتن اطلاعات در سطحی معادل با شبکه‌های مبتنی بر سیم است. این پروتکل مبتنی بر الگوریتم رمزنگاری RC4 با کلید سری ۴۰ بیتی است که با یک IV به طول ۲۴ بیت ترکیب شده و برای رمزنگاری استفاده می‌شود.

WEP 128: این استاندارد حتی با بکارگیری کلید رمزنگاری قوی‌تر ۱۲۸ بیتی (ترکیب کلید سری ۱۰۴ بیتی با یک IV به طول ۲۴ بیت)، باز هم قابل اتکا نبوده و استفاده از آن ریسک زیادی دارد.

(WPA-PSK (TKIP: این، حالت پایه برای استاندارد رمزنگاری WPA یا WPA1 است که عملاً منسوخ شده و از امنیت کافی برخوردار نیست.

(WPA-PSK (AES: انتخاب پروتکل وایرلس قدیمی WPA درکنار شیوه‌ی رمزنگاری مدرن AES. سخت‌افزاری که از رمزنگاری AES پشتیبانی کند، در اغلب موارد از پروتکل وایرلس جدیدتر یعنی WPA2 نیز پشتیبانی می‌کند. همچنین سخت‌افزاری که تنها از پروتکل WPA1 استفاده می‌کند نیز اغلب از رمزنگاری AES پشتیبانی نمی‌کند. بنابر‌این انتخاب این گزینه اساساً غیر منطقی و اشتباه خواهد بود.

(WPA2-PSK (AES: می‌توان گفت این امن‌ترین گزینه‌ برای انتخاب است. استفاده از آخرین استاندارد رمزنگاری وای فای درکنار آخرین متود رمزنگاری مدرن یعنی AES. توصیه ما استفاده از این گزینه است. در روترهایی که رابط گرافیکی آن‌ها کمی گیج‌کننده است، احتمالاً این حالت با عناوینی مثل WPA2 یا WPA2-PSK ذکر شده که به احتمال زیاد از رمزنگاری AES نیز استفاده می‌کنند (چرا که این منطقی‌ترین حالت است).

(WPAWPA2-PSK (TKIP/AES: در برخی از روترها این گزینه نیز دردسترس خواهد بود که سازگاری هر نوع دستگاهی را برای شما به ارمغان خواهد آورد. ترکیبی از نسل اول و دوم استاندارد وایرلس یعنی WPA1 و WPA2 درکنار دو شیوه‌ی رمزنگاری ضعیف و قوی TKIP و AES. هر چند استفاده از متدهای قدیمی و ضعیف‌تر، کور سوی امیدی را برای مهاجمان به منظور نفوذ به شبکه‌ی شما باز خواهد گذاشت.

پشتیبانی اغلب دستگاه‌های تولید شده از سال ۲۰۰۶ به بعد از AES

گواهی WPA2 از سال ۲۰۰۴ دردسترس قرار گرفت؛ یعنی در حدود ۱۶ سال قبل. و از سال ۲۰۰۶، استفاده از گواهی WPA2 اجباری شد. به عبارتی هر دستگاهی که از سال ۲۰۰۶ به بعد تولید شده و آرم Wi-Fi روی آن درج گردیده، باید از رمزنگاری WPA2 پشتیبانی کند؛ از حدود ۱۴ سال قبل!

قاعدتاً اغلب دستگاه‌های اطراف شما که لوگوی Wi-Fi روی آن‌ها نقش بسته است، خیلی جدیدتر از ۱۴ یا ۱۶ سال قبل هستند؛ بنابراین شما باید گزینه‌ی (WPA2-PSK (AES را انتخاب کنید. حتی اگر این گزینه را انتخاب کردید و به هر دلیل دستگاه شما متوقف شد، به‌راحتی می‌توانید این تنظیمات را تغییر دهید. اگر هم دستگاه شما قدیمی است، شاید وقت آن رسیده باشد که دستگاهی با عمر کمتر از ۱۴ یا ۱۶ سال تهیه کنید و ریسک استفاده از یک دستگاه با استانداردهای امنیتی ضعیف را کاهش دهید.

WPA و TKIP عاملی برای کاهش سرعت وای فای

شاید جالب باشد بدانید که گزینه‌های سازگار با WPA و TKIP می‌توانند سرعت شبکه‌ی وای فای شما را به شکل محسوسی کاهش دهند. بسیاری از روترهای جدید که از استانداردهای ارتباطی 802.11n و استاندارهای سریع‌تر و جدیدتر پشتیبانی می‌کنند، سرعتشان با فعال‌سازی WPA یا TKIP در گزینه‌های خود، به ۵۴ مگابیت بر ثانیه کاهش خواهد یافت. این کاهش سرعت به منظور اطمینان از سازگاری با دستگاه‌های قدیمی است.

اگر روتر دارای استاندارد 802.11n از WPA2 درکنار AES استفاده کند، سرعتی تا ۳۰۰ مگابیت بر ثانیه را پشتیبانی خواهد کرد. در مورد استانداردی نظیر 802.11 ac این تفاوت سرعت بسیار فاحش‌تر خواهد بود؛ چرا که این استاندارد از نظر تئوری و در شرایط ایده‌آل، از سرعت حداکثری ۳/۴۶ گیگابیت‌برثانیه پشتیبانی می‌کند.

به بیان دیگر، صرف‌نظر از مبحث امنیتی، ازلحاظ سرعت ارتباطات شبکه‌ی وای فای نیز استفاده از استانداردهای قدیمی WPA و TKIP به هیچ‌وجه منطقی نیست.

اما آنچه مسلم است در اغلب روترهای موجود در بازار ایران و خصوصاً روترهای تی‌پی لینک و دی‌لینک که بیش از دیگر برندها در میان کاربران ایرانی متداولند، دسترسی به گزینه‌ی ایده‌آل یعنی (WPA2-PSK (AES پیش‌بینی شده است.

اگر روتر شما WPA2 را به شما پیشنهاد داده و مانند روتر من به شما حق انتخاب برای استفاده از TKIP یا AES را می‌دهد، حتما AES را انتخاب کنید. مطمئن باشید اغلب دستگاه‌های شما با آن سازگار بوده و خیال‌تان نیز از بابت امنیت و سرعت آسوده خواهد بود. پس همیشه به خاطر داشته باشید که انتخاب استاندارد رمزنگاری AES چه برای کدگذاری ارتباطات وای فای و چه برای کدگذاری هر نوع اطلاعات دیگری مثل هارددرایو شما، امنیت و سرعت بیشتری را به ارمغان خواهد آورد.

شناسایی نفوذ و کاربران غیرمجاز شبکه و قطع دسترسی آن‌ها

برای شناسایی تمامی کاربران حاضر در شبکه کافی است به تنظیمات مودم خود مراجعه کنید تا با فهرستی از آدرس‌های مک دستگاه‌های مختلف متصل به شبکه مواجه شوید. با بررسی این آدرس‌ها و تعداد دستگاه‌های حاضر در شبکه بی‌سیم وای‌فای، قادر به تشخیص حضور شخص غیرمجاز یا نفوذ در شبکه خواهید بود. 

هر دستگاه متصل به شبکه، مک آدرسی منحصر‌به‌فرد دارد و با مشاهده بخش مربوطه در تنظیمات روتر می‌توانید متوجه شوید که چه اشخاصی به شبکه شما متصل شده‌اند. متأسفانه مدل‌های روتر و رابط‌های کاربری آن‌ها بسیار متفاوت هستند بنابراین برای پیدا کردن این بخش، باید جستجوی کوتاهی در اینترنت انجام دهید. به‌عنوان مثال این بخش در مودم‌های TP-Link (رابط کاربری قدیمی - نارنجی رنگ) در تب Status قرار دارد. در ادامه با بخش‌هایی آشنا می‌شوید، که برای شروع به شما کمک می‌کند.

در اولین مرحله به روتر خود لاگین کنید. این کار را می‌توانید ازطریق مرورگر وب دستگاه‌های خود انجام دهید. آی‌پی آدرس دقیق و کلمه عبور، می‌تواند در روتر‌‌های متفاوت، فرق کند اما آی‌پی آدرس آن‌ها معمولاً به‌صورت 192‌.168‌.1‌.1 (برخی موارد به‌جای ۱ اعداد دیگر قرار می‌گیرد) است. اگر برای پیدا کردن آی‌پی به کمک نیاز داشتید، در دستگاه‌های ویندوزی از دستور ipconfig و در دستگاه‌های اندرویدی از برنامه‌های Wifi Config استفاده کنید. کلمه عبور ادمین روتر‌ها را تقریبا همیشه می‌توان در دفترچه راهنما یا روی جعبه روتر، مشاهده کرد.

زمانی‌که وارد شدید، باید به صفحه مک آدرس بروید. این صفحه معمولاً در بخش Advanced Settings قرار دارد. به‌دنبال بخش‌هایی مانند Mac Address یا Mac Address filtering بگردید که ممکن است زیر مجموعه بخش فایروال باشند. عکس زیر نمونه‌ای از این صفحه در یک مدل از روتر‌ها است.

زمانی‌که وارد صفحه مک آدرس شوید، می‌توانید متوجه شوید که چند دستگاه به شبکه شما متصل هستند. یک شمارش ساده می‌تواند مشخص کند که شخصی وارد شبکه شما شده است یا خیر؟ همچنین می‌توانید مک آدرس‌های موجود را با مک آدرس دستگاه‌های خود مقایسه کنید.

در اندروید وارد Settings شده و سپس در بخش About Device وارد Status شوید تا مک آدرس را مشاهده کنید. این اطلاعات در کامپیوتر‌های شخصی ازطریق دستور ipconfig در Command Prompt (کافی است در بخش جستجوی ویندوز عبارت CMD را تایپ کنید) قابل مشاهده است. همچنین می‌توانید با جستجوی عبارت MAC Address در بخش تنظیمات گوشی‌های هوشمند یا کامپیوتر‌ها به عبارت مدنظر خود برسید.

اگر این کار دشوار است، راه‌های دیگری نیز برای بررسی دستگاه‌های متصل شده به شبکه، وجود دارد. در اندروید برنامه‌های مختلفی وجود دارند که به شما این امکان را می‌دهند که دیگر دستگاه‌های موجود در شبکه را شناسایی و مدیریت کنید. البته این برنامه تنها به دستگاه‌های عمومی دسترسی دارند و نمی‌توانند دستگاه‌های مخفی را شناسایی کنند بنابراین ممکن است ازطریق این روش نتوانید تمامی دستگاه‌های متصل به شبکه را شناسایی کنید. در اینجا فهرستی از برنامه‌های اندرویدی را قرار داده‌ایم که ممکن است برای شما کارآمد باشند. برنامه‌های مختلف دیگری نیز در پلی استور، قرار دارند.

• Wi-fi Inspector (رایگان)‌: ازطریق این برنامه می‌توانید، آی‌پی و مک آدرس تمامی دستگاه‌های متصل به شبکه ازطریق سیم و بدون سیم را مشاهده کنید.
• Fing Network Tools (رایگان)‌: این برنامه، اطلاعات تکمیلی در رابطه با دستگاه‌ها و روتر متصل به شبکه را دراختیار شما می‌گذارد.
• Ip tools Network Utilities (رایگان)‌: یک برنامه عیب‌یابی پیشرفته تمام اتصالات شبکه که شامل یک اسکنر شبکه LAN می‌شود و می‌توانید دستگاه‌های متصل به شبکه را مشاهده کنید.

اکثر روتر‌ها از ویژگی فیلتر‌کردن مک آدرس بهره می‌برند که ازطریق آن می‌توان دسترسی دستگاه‌های مختلف را قبول یا رد کرد. بر اساس مدل روتر، شما دو راه دارید. می‌توانید مک آدرس‌هایی را که نباید در شبکه وجود داشته باشند را به‌صورت دستی مسدود کنید یا مک آدرس‌هایی را که می‌خواهید به شبکه دسترسی داشته باشند، تأیید کنید. در روش دوم، باید مک آدرس تمام دستگاه‌های خود را پیدا کرده و در تنظیمات روتر وارد کنید.

این روش به‌نظر سختی‌های زیادی دارد مخصوصاً اگر مجبور باشید مک آدرس تمام دستگاه‌های خود را پیدا کرده و در قسمت مربوطه در روتر، به‌روز‌رسانی کنید. حتی اگر روتر شما راه‌حل‌های خوبی برای مسدود کردن مک آدرس داشته باشد، با کمی اطلاعات می‌شود مک آدرس را تغییر داد یا جعل کرد. اگر شخصی قدرت دسترسی به کلمه عبور ۱۲۸ بیتی WPA را دارد، قطعاً تغییر مک آدرس برای آن شخص دشوار نخواهد بود. یک کلمه عبور ایمن بسیار مهم‌تر از فیلتر‌کردن مک آدرس است.

اگر روتر پیشرفته‌ای داشته باشید، می‌توانید دسترسی به پهنای باند را برای دستگاه‌های مختلف، محدود کنید. این تنظیمات معمولاً در خانواده‌هایی استفاده می‌شود که می‌خواهند دسترسی کودکان به اینترنت را محدود کنند اما می‌توان ازطریق آن‌ها محدودیت‌های کلی برای تمام دستگاه‌ها اعمال کرد. از این طریق، هر دستگاهی که به شبکه شما متصل می‌شود، می‌تواند تنها مقدار خاصی از پهنای باند ماهانه شما را مصرف کند.