الشبكات اللاسلكية وأساسيات حمايتها













السلام عليكم ورحمة الله وبركاته


في السنوات الأخيرة بدأت أسعار/تكلفة شراء معدات خاصة بشبكات اللاسلكية تنخفض كثيراً بحيث أصبح اليوم بإمكانك عمل شبكة لاسلكية متكاملة سواءاً في البيت أو العمل بتكلفة بسيطة جداً. كل ما ستحتاج له هو شراء Access Point أو AP، وفي الغالب هذا الـ AP يستعمل بنفس الوقت كـ Router. وأيضاً سنحتاج الى بطاقات خاصة بالشبكات اللاسلكية تركب على الأجهزة التي نستعملها سواءاً كانت حاوسب مكتبي، أو حاسوب محمول.


















كل هذا جعل عملية تكوين شبكة لاسلكية في بيوتنا وعملنا أسهل من السابق، وهذا ما حصل معي بالفعل. حيث من فترة بسيطة من الزمن قمت بشراء جميع المعدات اللازمة لعمل شبكة لاسلكية في المنزل وذلك لكي أتخلص من كثرت الأسلاك الموجودة في المنزل، وأيضاً لغرض التعلم على الشبكات اللاسلكية التي كما قلت بالسابق، لم يكن بإمكاننا العمل عليها بسبب أسعارها المرتفعة ولكن اليوم صارت بمتناول الأيدي والحمد لله. بعد شرائي لكل شيء لم أقم بتشغيل الـ AP وتشغيل الشبكة عندي في المنزل على هذه الشبكة، والسبب هو خلال رحلتي الأخيرة الى العراق رأيت في الكثير من الأماكن شبكات لاسلكية غير محمية وبسهولة تمكنت من إختراقها والإتصال بها وإستعمال الـ BandWidth الخاص بها. ولهذا قلت يجب أن أتعلم كيف يمكنني حماية شبكتي قبل أن أقوم بتشغيل الشبكة وأجعلها مكشوفة للعلن !!! بدأت بالبحث من خلال Google صديق العائلة :) وبدأت بتعلم أساسيات الشبكات اللاسلكية ومن ثم التعمق بها شيئاً فشيئاً. الحمد لله بعد فترة من الزمن تعرفت على الكثير من الامور التي تمكنني كبداية من حماية شبكتي بأبسط صورة ممكنة، وبعد ذلك أبدأ في التطوير أكثر وأكثر. أهم الأسباب التي جعلتني أتعلم حماية الشبكة اللاسلكية هي:

1- هذه الشبكة مكشوفة للجميع وبإستطاعت أي شخص بأدوات معينة وإمكانيات معينة أن يشبك عليها، ليس كما في الشبكات السلكية التي يشبك عليها من يملك سلك متصل بها فقط.

2- شبكتي الداخلية هي ملك لي ولأهل بيتي ولا اريد دخيل عليها.

3- لا أريد أن يتم إستغلال موارد شبكتي للرايح والجاي.

4- لا أريد أن يتم إستهلاك الـ Bandwidth الشهري المسموح لي من قبل شركة مزود خدمة الأنترنت من قبل شخص من الخارج.


هذه أهم الأسباب على الأقل حسب وجهة نظري في ظرورة حماية شبكتي المنزلية أو التي بالعمل، وهذه الأسباب أعتقد لا تهمني أنا فقط، بل هي مهمة للجميع بدون إستثناء. هذا هو السبب الذي جعلني أكتب هذه المقالة البسيطة التي سأحاول من خلالها توضيح أبرز الأمور التي ستحتاج عملها للتخلص من الدخلاء من الخارج.


ربما يقول قائل: شبكتي غير مهمة لكي يتم إختراقها من أحد. هذا الكلام غير سليم وذلك لان الشبكة ممكن إستغلالها لعدة أمور منها وضحته بالأعلى ومنها ربما لإستغلالها في شن هجمات ألكترونية على شبكات أخرى وبالتالي أنت المذنب وبالحقيقة لا دخل لك في شيء. أيضاً كون شبكتك ليس عليها معلومات مهمة وربما مجرد ملفات عادية (صور، كتب، فيديوهات، صوتيات، الى آخره) لا يعني هذا بإنها ليس محل إهتمام أحد. وسأخبركم ماذا حصل قبل كم يوم ليس ببعيد في الشبكة اللاسلكية الموجودة عندي بالعمل. كنت قبل يومين كعادتي أراقب الحركة Activity على الشبكة سواءاً السلكية أو اللاسلكية وفجأة وجدت حركة غير عادية صادر من جهاز أحد الموظفين ويقوم بتصفح مواقع لا أخلاقية وليس هذا وحسب وإنما المواقع التي يقوم بتصفحها عبارة عن فيديوهات أي Streaming كالتي في الـ YouTube !!! بعد الفحص والتأكد من الموظف تبيين إنه التشفير المستعمل في الشبكة اللاسلكية هو من نوع WEP وهذا التشفير بطبيعة الحال سهل جداً إختراقه ولا يأخذ منك سوى بضع دقائق، والكلمة السرية المستعملة وقتها كانت من 5 خانات حروف/رموز/أرقام فقط. هذه الشبكة تم تركيبها من قبل شركة خاصة بأمور الشبكات اللاسلكية وفي وقتها لم يكن لي لا خبرة بالشكات اللاسلكية ولا وقت فراغ كافي لتعلم أهم أمور الشبكات اللاسلكية. ولكن كما قلت لكم من جديد بدأت في القراءة والمتابعة وتعلمت الكثير من الأمور التي تخص هذا النوع من الشبكات ولهذا أستطعت أن أعرف أين نقاط الخلل الموجودة في شبكتنا وبدأت في تصليحها والحمد والفضل لله. الآن المخترق لم يكن قد عرف إسم الـ Service Set ID أو ما يسمى SSID وحسب !!! ولا قام بعمل فك تشفير الكلمة السرية المستعملة فحسب وإنما قام بعمل Spoof على MAC Address لأحد أجهزة الموظفين وإستعماله في الإتصال بالأنترنت مستغلاً شبكتنا المحلية، وبالتالي كانت كل الأدلة تشير الى هذا الموظف المسكين عندنا في الشركة :)


على ضوء ما ذكرته بالأعلى وما حصل معي سأخبركم بطريقة بسيطة لحماية شبكاتكم المحلية وتقليل من إمكانية أختراقها، لأنه كما يعلم الجميع لا يوجد حماية 100% بتاتاً والكمال غير موجود في عالم البشر، والكمال فقط لخالق البشر وحده سبحانه وتعالى. بعد هذه المقدمة الطويلة وربما المملة أبدأ بأهم الخطوات التي أتمنى أن تقوموا بتطبيقها على الـ AP الموجود لديكم وعلى اجهزتكم، لأن بعض الخطوات يخص الـ AP وبعضها يخص أجهزتكم الشخصية نفسها. أيضاً نقطة مهمة وهي بإن هذه الخطوات جميعها مع بعضها البعض ستشكل عوائق وزيادة في الحماية وليس بالضرورة أن تقوم أحدى النقاط بحماية كاملة لمسألة معينة، ولهذا من الظروري تطبيقهم جميعاً. الخطوات هي:


1- قم بتغيير الـ SSID الأساسي الى إسم آخر لانه يمكن معرفة أسماء الـ SSID لأي نوع AP من خلال الأنترنت، وأيضاً نصيحة لا تقم بإستعمال إسم شركتك أو إسمك في هذا الأسم لكي لا تكشف هذه الشبكة لمن وتبقى نوع من أنواع الـ Privacy لك.


2- على الـ AP قم بإيقاف خاصية الـ SSID Broadcast وذلك لكي لا يظهر إسم شبكتك في حالة كان أي جهاز قريب من مدار شبكتك ويملك أجهزة إتصال لاسلكية، أي الهدف جعل الـ SSID مخفي. لكن لأكون صادق معكم أي شخص بأدوات صحيحة يستطيع أن يكتشف الـ SSID الخاص بأي شبكة مخفية ومثال على هذه الأدوات هي kismet.


3- قم بتغيير إسم المستخدم وكلمة السر الخاصة بالوصول الى الـ Access Point. حيث إذا كنت تريد الدخول الى صفحة إعدادات الـ AP من خلال المتصفح سيطلب منك إسم مستخدم وكلمة سر، هذا الأسم قم بتغييره وقم بوضع كلمة سرية قوية له.


4- قم بإستعمال التشفير Encryption في الشبكة ولا أنصح بتاتاً بإستعمال البروتوكول WEP، حيث يعتبر بروتوكول قديم ويسهل كسره بسهولة والأنترنت يعج بطرق كسره وإختراق الشبكات المحمية به. وعليه قم بإستعمال WPA-PSK وأستعمل التشفير من نوع TKIP. بإستعمالك لتشفير TKIP سيتيح لك إستعمال Passphrase أي عبارة للمرور طولها من 0 الى 63 رقم/رمز/حرف وكلما كانت طويلة ومعقدة (خلط بين الأنواع الثلاثة) ستكون صعبة ومعقدة على المخترق من كسرها. هذا النوع من البروتوكول الى الحين إختراقه ليس بنفس سهولة إختراق WEP وأيضاً هذا النوع يعتمد في إختراقه على كلمات الـ passphrase الضعيفة وذلك لأنه يتم إختراقه من خلال طرق الـ bruteforce فقط. الأدوات المستعملة لإختراقه بطريقة BruteForce هي coWPAtty و aircrack.


5- قم يتشغيل خدمة الـ MAC Address Filtering على الـ AP. وقم بإضافة الـ MAC Address الخاص بالأجهزة التي تريد السماح لها بإستعمال شبكتك اللاسلكية. طبعاً هذه الطريقة يمكن تجاوزها من خلال معرفة MAC Address لجهاز متصل على هذه الشبكة وبالتالي تقوم بتغيير الـ MAC Address الخاص بجهاز المخترق الى ذلك الـ MAC Address وهكذا أصبحت ذو صلاحيات على الشبكة هذه. لكن بدون معرفة كلمة العبور هنا؟ سيصبح ليس ذو قيمة كبيرة هذا الـ Spoof الذي تم عمله بصراحة. على كل حال الأجهزة التي بمتناول أيدينا التي ذكرت بإنها اليوم بأسعار رخيصة لا تملك ميزات لإكتشاف مثل هذه الأنواع من الإختراقات وأقصد MAC Address Spoofing ولكن الأجهزة المتطورة تملك أنظمة Intrusion Detection System مبنية عليها (AP) إحدى وظائفها إكتشاف الـ MAC Address Spoofing.


6- قم بإستعمال Static IP على الأجهزة التي تريدها أن تتصل بالشبكة اللاسلكية، وقم بربط هذه العناوين مع الـ MAC Address لكل جهاز على الـ AP وذلك لكي تزيد من تعقيد الإتصال بشبكتك أكثر وأكثر. هذه نقطة ظرورية لا تنساها.


7- بعض الناس يعتقد بإن المكان الذي قمت بوضع الـ AP غير مهم وهذا كلام غير سليم، من أهم النقاط هو مكان وجود الـ AP ليس فقط لكي يوصل الإشارة الى جميع من في المنزل/العمل وإنما لكي تحد من مشاكل إتصال الآخرين بالشبكة هذه. قم بإختيار أفضل مكان ممكن للـ AP من دون أن يؤثر على قوة الإشارة الموصلة لجميع المنزل/العمل.


8- قم بتركيب جدار ناري على كل جهاز مرتبط بالشبكة اللاسلكية وبطبيعة الحال حتى السلكية. هذه نقطة جداً مهمة لزيادة الحماية أكثر واكثر وتعقيد المخترق وجعله يمل من المحاولة ويفر من كثر التعقيد الموجود عندك :)


9- قم بغلق الشبكة اللاسلكية في الأوقات الذي لا يوجد من يقوم بإستعمالها. يعني لو لا يوجد من يريد إستعمال الشبكة والإتصال بالأنترنت لماذا تبقيها تعمل؟ قم بغلقها أحسن. طبعاً هذه النقطة ربما غير ممكنة في الأماكن الذي يوجد فيها ضغط عمل كما في الشركات ولكن ربما في المنزل هي مفيدة خاصة وإنك لن تكون مراقباً لشبكتك في تلك الأوقات.


10- أحببت أن أؤكد لكم بإن هذه النقاط جميعها مع بعضها البعض تزيد من الحماية الموجودة لديك على الشبكة ولكنها لا تحميك بنسبة 100% فالكمال غير موجود والحماية لن تصل يوماً الى 100%.


إن شاء الله تكونوا قد أستفدتم من هذه المقالة البسيطة، وإن شاء الله تفيدكم في حماية شبكاتكم اللاسلكية إن شاء الله. قبل ان أختم أود أن أبارك لكم على قدوم شهر رمضان، وأدعوا الله ان يمكننا على صيامه وإتمامه، وكل عام وأنتم والأمة الإسلامية بألف خير.






دمتم بود ...


بعض المصطلحات المستعملة في الشبكات اللاسلكية:

SSID = Service Set Identifier

WEP = Wired Equivalent Privacy

WPA-PSK = Wi-Fi Protected Access-Pre-Shared Key

TKIP = Temporal Key Integrity Protocol


مراجع مفيدة:

http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access

http://www.wi-fiplanet.com/tutorials/article.php/3552826

http://compnetworking.about.com/od/wirelesssecurity/tp/wifisecurity.htm

http://www.windowsecurity.com/articles/Wireless_Security_Primer_Part_II.html

http://blogs.zdnet.com/Ou/index.php?p=9

http://it.toolbox.com/blogs/unwired/cracking-wpapsk-6730

http://en.wikipedia.org/wiki/Streaming_media