wireless

چگونه راهکاری امن و ارزان برای مدیریت شبکه های بیسیم بکار ببریم؟

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره غیر فعالستاره غیر فعال
 

شاید برای بسیاری از ما مدیریت شبکه های وای فای و اطمینان از تامین امنیت کافی آنها یک دغدغه جدی باشد. از یک سو، حرکت به سمت شبکه های بیسیم برای تجهیزات امروزی یک مزیت بوده اما از سوی دیگر مخاطرات پیرامون شبکه های وای فای به اندازه ای است که بسیاری از آنها تهدیدات جدی برای زیرساخت شبکه ها فراهم می کند.

اماکنی نظیر هتل ها، رستوران ها، بیمارستان ها و بسیاری دیگر. اما برای تامین این امنیت باید چه کرد؟

 

استفاده از تجهیزات گران قیمت از عهده هر سازمانی خارج است و از سوی دیگر، دانش فنی مدیریت چنین تجهیزاتی نیز در پاره ای موارد موجود نیست. از سوی دیگر عدم سازگاری سخت افزارها با یکدیگر مشکلات دیگری را به دنبال دارد که رهاورد نهایی آن حفظ وضع موجود و اجنتاب از کوشش های آتی به منظور راه حل مناسب خواهد بود.

امنتیت اگرچه مفهومی نسبی است اما در این مقاله، برای حل مسئله امنیت این شبکه ها، بک راهکار اجرایی تشریح شده که در عین کارآمدی، ساده، با ثبات و مقرون به صرفه نیز هست. این راهکار همچنین امکان انعطاف برای توسعه های آتی را نیز خواهد داشت. نهایتا راهکار موجود با توجه به نحوه پیاده سازی در لایه های پایین شبکه، تا حد بسیار زیادی امنیت شبکه های بیسیم را نیز تامین خواهد کرد.

 

روش تحقیق و ابزارها:

برای مدلسازی و تست راهکار اجرایی از نرم افزارهای Packet Tracer 6  ، GNS3 استفاده شد و نهایتا شبیه سازی راهکار موجود با تجهیزات واقعی مورد تصدیق نهایی قرار گرفت. تجهیرات مورد استفاده در این سناریو، میکروتیک روتر برد

RB941-2n D، مودم D-Link 2730U و اکسس پوینت TP-WA801ND است.

مدل مفهومی:

مدل مورد استفاده برای بررسی و آزمون مطابق سناریوی زیر است. در این مدل مفهومی، لپ تاپ هایی به صورت Guest (میهمان)، و لپ تاپ های دیکری به عنوان کاربر مجموعه حضور دارند. لکن لازم است کاربران به نحو مناسبی از یکدیگر تفکیک شوند تا امکان مدیریت دسترسی ها برای این دو گروه به نحو اثربخشی امکان پذیر باشد.

 

شرح راهکار:

در این سناریو، با اتصال دستگاه ها مطابق مدل مفهومی، سه SSID برای اتصال کلاینت ها به وای فای ایجاد میشود که هم برای مدیریت دستگاه ها، هم برای میهمانان و هم برای کاربران مجموعه قابل استفاده خواهد بود. از این سه SSID، دو تای آن با تایپ امنیت WPA2 و دارای پسورد بوده و یک مورد (Wifi-Guest)  نیازمند احراز هویت کامل کاربر روی صفحه لاگین (به صورت Captive Portal) است. تمرکز اصلی این راهکار روی مدیریت دسترسی های عمومی است، لکن این موضوع قابل توسعه و پیاده سازی به سایر شبکه ها نیز خواهد بود.

در این راهکار همچنین برای انتخاب تجهیزات روی "کارایی" و "هزینه پایین" تاکید شده است. از این میان دستگاه های اکسس پوینت، دستگاه TP Link WA801ND با ساپورت کردن POE و اتصال وایرلس به پنج حالت در عین قیمت پایین یک گزینه بسیار مقرون به صرفه و حرفه ای است. برند میکروتیک نیز بعنوان روتری ارزان قیمت و در عین کارا برای مدیریت بسیاری از تجهیزات شبکه در نظر گرفته می شود1 . در این سناریو از مدل RB941-2n D که با نام تجاری hAP lite شناخته میشود استفاده شده است. این دستگاه پایین ترین قیمت را در بین محصولات خانواده خود داراست و با این حال دارای اینترفیس وایرلس نیز می باشد. دستگاه مودم D-Link 2730U نیز دارای پورت یو اس بی و همینطور وای فای با قابلیت پورت فورارد، مک فیلترینگ و غیره می باشد که یک راهکار مناسب ارزان قیمت را در مجموع نتیجه خواهد داد. آدرس آی پی پیش فرض دستگاه ها به شرح زیر است:

 TP Link: 192.168.0.254 .

 D-Link: 192.168.0.1.

 Mikrotik: 192.168.88.1.

تنظیمات دستگاه اکسس پوینت:

دستگاه اکسس پوینت دارای سه SSID به مشخصات زیر است:

SSID هایCorp برای اتصال کاربران، Guest برای اتصال عمومی (میهمان) و Management (یا به اختصار Mgmt 2)  برای مدیریت شبکه و نگهداری مورد استفاده خواهد بود.

به منظور تنظیم این مشخصات، لازم است پس از اتصال با کابل یا به صورت وایرلیس به دستگاه از طریق مرورگر، و زدن آدرس پیش فرض در توار آدرس (http://192.168.0.254) و ارایه نام کاربری و پسورد ( به صورت پیش فرض، هر دو admin )  از ویزارد Quick Setup مشابه شکل زیر تنظیمات مورد نیاز را برای ایجاد SSID های مذکور انجام دهیم. سپس برای  Wifi-Corp و Wifi-Management یک پسورد انتخابی را وارد نموده و مراحل را با تنظیم آی پی جدید 192.168.100.254/24  برای دستگاه به پایان می رسانیم. پس از تکمیل تنظیمات، دستگاه Restart می شود. دقت نمایید که وضعیت DHCP دستگاه به صورت خاموش تنظیم شده باشد. (در صورت نیاز برای انصال مجدد به دستگاه باید از رنج آی پی جدید 192.168.100.XX/24 برای کارت شبکه استفاده نمایید.)

در مرحله اول، تنظیمات Location و اکانت را انجام می دهیم:

 

سپس وضعیت کاری دستگاه را مشخص می کنیم، که در این بررسی، روی روی Multi SSID تنظیم می گردد.

 

اطلاعات SSID ها شامل نوع امنیت، VLAN ID و رمز عبور در این مرحله تنظیم و پس از Save، ذخیر می گردد/

 

نهایتا IP دستگاه تعیین می گردد تا به منظور تغییر یا تنظیم مجدد، از آن طریق قابل استفاده باشد.

 

تنظیمات دستگاه روتر میکروتیک:

همانطور که مشاهده می نمایید دستگاه دارای دو اینترفیس LAN به صورت فعال و دو اینترفیس Vlan می باشد

Ether1)To-Wan) به سمت مودم و  Ether 2) To-Wifi)به سمت دستگاه Access Point است. اینترفیس To-Wan به مودم و اینترفیس To-Wifi به Access Point متصل است. همچننین روی اینترفیس To-Wifi، دو vlan دیگر نیز میزبانی میشود: Wifi-Guest و Wifi-Management.  این VLAN ها را نیز به شرح زیر با کلیک روی علامت "+" در تب VLAN ایجاد می نماییم:

 

همچنین اطلاعات آدرس این اینترفیس ها به شرح زیر آمده است:

 

مطابق شکل، برای رنج آی پی میهمان ها، از 10.0.0.0/24، برای رنج آی پی مدیریت شبکه از رنج 192.168.100.0/24 و برای کلاینت های داخلی از رنج 192.168.200.0/24 استفاده خواهیم کرد. همچنین اینترفیس To-WAN و متصل به مودم اینترنت نیز روی رنج 192.168.0.0/24 در نظر گرفته شده است.

حال برای SSID ها باید سه رنج آی پی متفاوت روی Broadcast دامین های غیر همسان داشته باشیم. بدین منظور برای هر VLAN  جداگانه DHCP Server را ایجاد می نماییم. برای این کار از DHCP Setup در بخش IP > DHCP Server  استفاده می کنیم:

 

به همین ترتیب برای VLAN Wifi-Mgmt نیز تنظیمات فوق را روی رنج آی پی های متفاوت تکرار می کنیم. نهایتا وضعیت DHCP Server چیزی تقریبا مشابه شکل زیر بود:

 

حال هات اسپات برای شبکه میهمان را راه اندازی می کنیم 3. بدین منظور از منوی IP> Hotspot را انتخاب و روی Hotspot Setup کلیک نموده و شرایط را به شرح زیر تنظیم می کنیم:

 

سپس از تب User، با زدن علامت "+" و وارد کردن Name و Password، کاربران دلخواه خود را برای اعطای مجوز لاگین می سازیم: (در صورتیکه چندین هات اسپات فعال باشد، لازم است Server مربوطه گزینه مرتبط انتخاب شود تا کاربر محدود به همان مورد گردد)

هات اسپات راه اندازی شد، اما برای تکمیل نهایی این بخش ما نیازمند دو تنظیم دیگر هستیم. در صورت تمایل به فعالسازی لاگین بدون نام کاربری و رمز عبور (استفاده جایگزین از مک آدرس) لازم است تنظیمات زیر در قسمت Server Profile هات اسپات ساخته شده فعال شود:

تیک Trial و تعیین محدوده زمانی در تب لاگین هات اسپات ساخته شده، بیانگر حداکثر مدت زمان مجاز جهت استفاده کاربر در حالت احراز هویت با مک آدرس خواهد بود. همچنین برای محدود سازی حاکثر پهنای باند مجاز کاربر در دسترسی به اینترنت نیز به شرح زیر از منوی User Profile در هات اسپات به شرح زیر اطلاعات را مشخص می نماییم: 

 

در شکل فوق اطلاعات Rate Limit روی Rx (آپلود)  و Tx (دانلود) بر اساس K bit / Sec تنظیم شده است.

حال از صحت دسترسی روتر به اینترنت مطمئن می شویم. از منوی IP > Route، یک رول برای دسترسی به مودم اینترنت به عنوان Gateway اضافه می کنیم:

حالا وضعیت DNS و NAT را بررسی می کنیم. شرح تنظیمات به شکل زیر است. ابتدا منوی IP > DNS اطلاعات DNS ها را وارد می نماییم. در اینجا از DNS های عمومی گوگل استفاده شده است:

سپس از منوی IP > Firewall تب NAT  را انتخاب و یک Rule به شرح زیر ایجاد و تب Action آن را روی حالت Masquerade  تنظیم می کنیم:

کار رو به پایان است. تنها برای اطسمنان از جلوگیری ورود کاربران از وای فای میهمان به رنج وای فای های دیگر، دو Rule روی با اکشن Drop روی فایروال میکروتیک از منوی IP > Firewall به شرح زیر ایجاد می کنیم:

این Rule از ورود هر گونه دستگاهی با آدرس های رنج Guest به رنج شبکه Corp جلوگیری می کند. مشابه همین Rule را برای رنج IP اینترفیس  Dst. Address: 192.168.100.0/24) Wifi-Mgmt)نیز تکرار می کنیم. وضعیت Rule ها به شکل زیر قابل مشاهده است: 

 

 

کار تمام است. با اتصال بهSSID  وای فای های Mgmt و Corp و ورود پسورد، آی پی رنج مرتبط به دستگاه وارد شونده، تخصیص می یابد.

همچنین با اتصال به Guest، صفحه لاگین باز شده که ادامه دسترسی آن، نیازمند نام کاربری و رمز عبور و یا ارایه دسترسی موقت به اینترنت خواهد بود.

تمام حقوق سایت برای سلام دیجی و نويسندگان آن محفوظ می باشد