روشهایی ساده ولی موثر برای ارتقای امنیت مودمهای ADSL
بخش قابل توجهی از کاربران اینترنت پرسرعت در جهان از فناروی ایدیاسال استفاده میکنند. برای اتصال از این طریق به اینترنت به یک مودم-مسیریاب (گاه دو دستگاه مجزا) نیاز است که امنیت آن از اهمیت ویژهای برخوردار است.
به گزارش سیتنا (citna.ir)، بخش فناوری سایت دویچه وله نوشت: ایدیاسال نوعی خط دیجیتال پرسرعت برای انتقال اطلاعات است که از سال ۱۹۹۸ پا به عرصهی فنآوری گذاشت و استفاده از آن همچنان ادامه دارد. امروز این سیستم با سرعت بیش از ۵۲ مگابیت بر ثانیه یکی از محبوبترین سیستمهای اتصال به اینترنت است.
مسیریابهای ایدیاسال و دستگاههای شبیه به آن (مثل WiMAX) اولین نقطهی ورودی اطلاعات به محل حضور کاربر و آخرین نقطهی خروجی اطلاعات هستند که کاربر به تنظیمهای آن دسترسی دارد. اما آیا کاربران این دستگاهها از شیوههای ایمن کردن آنها هم آگاهند؟
کارشناسان عموما بر تنظیم امنیتی نرمافزارها (آنتیویروس، مرورگرها و سیستم عامل) متمرکز شدهاند و کمتر از مشکلات امنیتی ناشی از تنظیمهای سختافزاری سخن میگویند. این گزارش نظری به چگونگی ایمنکردن این تجهیزات میافکند؛ سختافزارهایی که حتی به شرط ایمنبودن رایانه و دیگر دستگاههای متصل به آن، میتوانند خطری جدی برای امنیت کاربران باشند.
پیش از هر چیزی باید به صورت پیشفرض در نظر داشته باشیم که ایمنی عمومی رایانه رعایت میشود. به طور مشخص منظور از ایمنی عمومی، داشتن فایروال، ضد ویروس و نرمافزارهای به روز و همچنین داشتن رمزهای عبور قوی است.
پس از آن بد نیست به تنظیمهای سختافزاری و نرمافزاری اتصال ایمن به تجهیزات ADSL بپردازیم. این نوشته بر اساس تنظیمات یکی از مسیریاب-مودمهای مارک "TP Link" تهیه شده است؛ اما تمام مودم-مسیریابها تنظیماتی کم و بیش شبیه به هم دارند. کمکگرفتن از دفترچهی راهنمای دستگاه، سادهترین و بهترین راه یافتن گزینههای زیر است.
اجازهی کنترل از راه دور به مسیریاب (Router) را غیر فعال کنید
امکان کنترل از راه دور (Remote Access یا Remote Management) برخی از مسیریابها به صورت پیشفرض فعال است. بهتر است این امکان را خاموش کنید چرا که با این کار امکان دسترسی به تنظیمهای مسیریاب خود از طریق اینترنت را از بین میبرید.
نام کاربری و رمز مسیریاب را عوض کنید
نام کاربری بیشتر مسیریابها به صورت پیشفرض "admin" یا "administrator" است؛ رمز ورود بیسیم به شبکه آنها هم عددی ساده. رها کردن دستگاه به همین صورت، راه دسترسی غیر مجاز به تنظیمات مسیریاب، بهویژه برای کسانی که دستگاههای مشابه دارند را افزایش میدهد.
فایروال مسیریاب خود را فعال کنید
بسیاری از مسیریابها فایروال دارند و تنها کافی است آن را فعال کنید. حداقل ویژگی فعالبودن فایروال این است که از شبکه شما تا حد زیادی در برای حملههایی چون "محرومسازی از سرویس" (DoS) محفاظت میکند.
در این نوع حمله، هکر کنترل تعداد زیادی دستگاه را در دست میگیرد و همه را همزمان به سراغ یک وبسایت میفرستد. سرور وبسایت قربانی قادر به پاسخگویی به این حجم از درخواست در مدت زمان کم نیست و از کار میافتد. کامپیوترهای روانهشده به سوی وبسایت قربانی، عموما خود از شرکت در حمله بیخبرند.
به روز کردن سفتافزار (Firmware) مسیریاب
بسته به مارک مسیریاب و مدل آن نسخههای به روزی از نرمافزار کنترل مسیریاب ارائه میشود که پیشنهاد میشود به صورت دورهای به تارنمای شرکت تولید کننده (و نه وبسایتهای متفرقه) مراجعه کنید و نسخهی به روز آن را دریافت و نصب کنید. به خاطر بسپارید که بسیاری از هکرها با تولید نرمافزارهای مشابه و قرار دادن آن در تارنماهای مختلف، قصد نفوذ به دنیای خصوصی شما را دارند.
شبکهی بیسیم مسیریاب خود را ایمن کنید
بیشتر مسیریابها علاوه بر اتصال کابلی، امکان اتصال به صورت بیسیم (Wi-Fiیا WLAN) را نیز برای کاربران فراهم میکنند. نفوذ به شبکه بیسیم مسیریابهای خانگی یکی از سادهترین عملیات هکری است.
اگر به استفاده از شبکه بیسیم مسیریاب خود اصرار دارید، دستکم چند مانع پیش پای هکرها بچینید. بسته به قدرت فرنکانس هر مسیریاب، از مسافتهای مختلف امکان اتصال بیسیم به آن وجود دارد.
برای دشوارتر (نه غیرممکنکردن) نفوذ به شبکه خود میتوانید کارهای زیر را انجام دهید:
• شناسهی دستگاه (SSID) یا نام شبکهی بیسیم را تغییر دهید
بیشتر مسیریابها از ترکیب نام شرکت خود و مدل مسیریاب استفاده میکنند که به سودجویان – با توجه به داشتن مدل دستگاه – امکان یافتن راه نفوذ به آن را میدهد.
توجه کنید: برخی از مسیریابها امکان "مخفیکردن" خود را به کاربر میدهند. بهطوری که دستگاههای بیسیم دیگر نام این مسیریاب را در فهرست روترهای موجود در اطراف نشان نمیدهند.
این روش برای دورماندن از حملات نفوذی چندان کارساز نیست. با "مخفیکردن" روتِر تنها آن را از نگاه کاربران معمولی و دستگاههای اطراف مخفی میکنید. نرمافزارهایی وجود دارند که با آنها به راحتی میتوان هویت مسیریابهای "مخفی" را کشف کرد.
همچنین در بعضی از روترها (مسیریاب) میتوان قدرت فرکانس ارسالی را تغییر داد. با کم کردن قدرت امواج، درست است که برای وصلشدن به اینترنت باید به دستگاه نزدیکتر باشید، اما دستکم نفوذ به شبکه بیسیم از فاصله زیاد را دشوارتر میکنید.
• روی شبکهی بیسیم خود رمز بگذارید
باز هم به صورت پیشفرض بسیاری از شرکتها رمزی را روی شبکهی بیسیم (Access Point) دستگاه نمیگذارند. یعنی هر کسی میتواند به شبکهی این دستگاهها متصل شود.
برای رمزگذاری روی شبکه بیسیم باید یکی از الگوهای رایج را انتخاب کنید. اکثر کامپیوترها و موبایلهای موجود در بازار (نه همه دستگاههای قدیمیتر) از الگوهای رمزگذاری "WPA" یا "WPA2" پشتیبانی میکنند. همچنین میتوانید از الگوی "AES" (قفل ۲۵۶ بیتی) یا "TKIP" (رمزگذاری ۱۲۸ بیتی) نیز استفاده کنید. فقط در نظر داشته باشید که شکستن قفل ۲۵۶ بیتی به مراتب سختتر و زمانبرتر از شکستن رمز ۱۲۸ بیتی است.
فارغ از اینکه چه استاندارد رمزگذاری را برمیگزینید، باید همان را هم در دستگاه بیسیم خود (موبایل، تبلت یا لپتاپ) رعایت کنید. در ادامه هم به یک رمز قوی نیاز دارید؛ رمزی که بلند باشد و از ترکیب حروف کوچک و بزرگ و اعداد و نشانههای خاص تشکیل شده باشد.
مراقب "WPS" باشید
WPS امکانی است که به کاربران اجازه میدهد برای اتصال به شبکهی بیسیم از تولید یک کد ساده اما موقت استفاده کنند یا اینکه با فشردن یک دکمه روی مسیریاب، با لپتاپ، تبلت یا موبایل به شبکه متصل شوند.
بدین ترتیب اگر کسی به صورت فیزیکی به مسیریاب دسترسی داشته باشد، به صورت بالقوه امکان متصلشدن به شبکه را دارد؛ اگر دستگاه کد موقت ساده تولید کند هم، با توجه به سادهبودن کد، امکان شکستن آن با شیوههای سادهی هک وجود دارد.
تغییر آیپی-آدرسهای پیشفرض و عمر آیپیها
آیپی-آدرس (IP) آدرسی است که در شبکه به هر دستگاه اختصاص داده میشود. اگر یک تلفن همراه، لپتاپ، چاپگر یا یک تلویزیون متصل به شبکه داشته باشیم، مسیریاب به هر یک از آنها یک "IP" اختصاص میدهد و از طریق همین آیپی-آدرس اطلاعات درخواستی به مسیریاب فرستاده میشود و مسیریاب نیز از همین طریق پاسخها را به دستگاه میفرستد.
نرمافزار بیشتر مسیریابها بازه آیپی مشخصی را به دستگاهها اختصاص میدهند؛ مثلا بازهای که با x. x. ۱۶۸. ۱۹۲ آغاز میشود. کاربران میتوانند در قسمت تنظیمات آیپی، بازهی دیگری، مثلا . x. x. x. ۱۹۲. به جای هر xعددی بین صفر تا ۲۵۵ مینشیند.
توجه کنید: تنظیم آیپیها و هماهنگی این آدرسها با دستگاههای مختلف به تغییر چند عدد محدود نمیشود و نیاز به آگاهی به ظرافتهای خاصی دارد. اگر تجربهای در این زمینه ندارید، قبل از فلجکردن شبکه، دست از آن بکشید!
افزون بر این در بسیاری از مسیریابها میتوان بازهی زمانی استفاده از یک آیپی را هم مشخص کرد. با تنظیم این بخش میتوانید مشخص کنید که مسیریاب حداکثر چند آیپی (بسته به تعداد دستگاهها) تولید کند و همچنین عمر هر آیپی-آدرس چقدر است.
بسیاری از مسیریابها همچنین امکان اتصال مهمان به شبکه را هم فراهم میکنند. سطح دسترسی آیپیهای مهمان عموما محدودتر از آیپی-آدرسهای معمولی است.
از شیوهی کنترل دسترسی استفاده کنید
با استفاده از این شیوه به مسیریاب خود اعلام میکنید که چه دستگاههای حق اتصال به بخش تنظیمات مسیریاب را دارند. برای این کار آدرس سختافزاری منحصر به فرد هر دستگاه (MAC Address) را به مودم معرفی میکنید.
این آدرس از یک رشته حرف و عدد تشکیل شده و به ازای هر دستگاه یا قطعهی اتصالبه شبکه منحصر به فرد است. به عنوان مثال اگر لپتاپ شما یک کارت شبکهی بیسیم، یک کارت شبکهی سیمی و سیستم بلوتوث داشته باشد، سه آدرس سختافزاری مجزا دارید.
تعیین کنید چه دستگاههایی حق استفاده از اینترنت را دارند
بدین ترتیب اجازهی استفاده از شبکهی بیسیم و حتی سیمی را تنها به دستگاههای مشخصی میدهد. کافی است این امکان را در مسیریاب خود فعال کنید و مَکآدرس دستگاههایی که میخواهید به شبکه و اینترنت متصل شوند را به مسیریاب بگویید.
پیدا کردن مکآدرس دستگاهای مختلف، بسته به نوع دستگاه و سیستم عامل متفاوت است. در ویندوز کافی است دکمهی "ویندوز" و حرف "R" را همزمان فشار دهید؛ پنجرهی "Run" باز میشود. در این پنجره عبارت "cmd" را تایپ کنید و "Enter" را بزنید تا صفحهی جدیدی – موسوم به صفحه Command – باز شود. سپس عبارت "ipconfig /all" را تایپ کنید و "Enter" را بزنید. در فهرستی که در ادامه منتشر میشود، عبارت "Physical Address" قطعات مختلف را میبینید؛ این همان مکآدرس است.
به خاطر داشته باشید که تنها یکی کارتهای شبکه موجود در این فهرست (بیسیم یا سیمی) کامپیوتر شما را به مسیریاب متصل کرده است؛ همان دستگاهی که آیپی-آدرس آن در محدودهی آیپی تعریف شده در مسیریاب قرار دارد.
همانطور که گفته شد، روش یافتن مکآدرس در دستگاههای مختلف متفاوت است. کافی است در موتور جستوجو (گوگا، یاهو ...) عبارت "How to find mac address in …" (windows, iphone …) را جستوجو کنید.
علاوه بر نکات یادشده اقدامات دیگری هم برای بالا بردن امنیت مسیریابها وجود دارد که بسته به نوع فعالیت کاربران و البته دانش فنی آنان نسب به آنچه انجام میدهند، قابل اجرا هستند. مثلا میتوان استفاده از درگاههای (Port) خاص را مسدود یا محدود کرد و جلوی برخی از خدمات و فعالیتها را گرفت.
اما در مجموع امنیت دیجیتال نه صرفا با داشتن نرمافزارهای ویژه متحقق میشود و نه با بالا بردن ایمنی سختافزاری. در دنیای مجازی "امنیت مطلق" اساسا وجود ندارد. این شیوهها تنها مسیر نفوذ به اطلاعات را سختتر میکنند. در نهایت این کاربر است که با رفتار خود از دادههای حساس حفاظت میکند یا آنها را در دسترس دیگران قرار میدهد.
انتهای پیام
افزودن دیدگاه جدید