آخرین اخبار

This is some blog description about this site

چگونه راهکاری امن و ارزان برای مدیریت شبکه های بیسیم بکار ببریم؟

چگونه راهکاری امن و ارزان برای مدیریت شبکه های بیسیم بکار ببریم؟

شاید برای بسیاری از ما مدیریت شبکه های وای فای و اطمینان از تامین امنیت کافی آنها یک دغدغه جدی باشد. از یک سو، حرکت به سمت شبکه های بیسیم برای تجهیزات امروزی یک مزیت بوده اما از سوی دیگر مخاطرات پیرامون شبکه های وای فای به اندازه ای است که بسیاری از آنها تهدیدات جدی برای زیرساخت شبکه ها فراهم می کند. اماکنی نظیر هتل ها، رستوران ها، بیمارستان ها و بسیاری دیگر. اما برای تامین این امنیت باید چه کرد؟

 

 استفاده از تجهیزات گران قیمت از عهده هر سازمانی خارج است و از سوی دیگر، دانش فنی مدیریت چنین تجهیزاتی نیز در پاره ای موارد موجود نیست. از سوی دیگر عدم سازگاری سخت افزارها با یکدیگر مشکلات دیگری را به دنبال دارد که رهاورد نهایی آن حفظ وضع موجود و اجنتاب از کوشش های آتی به منظور راه حل مناسب خواهد بود.

امنیت اگرچه مفهومی نسبی است اما در این مقاله، برای حل مسئله امنیت این شبکه ها، بک راهکار اجرایی تشریح شده که در عین کارآمدی، ساده، با ثبات و مقرون به صرفه نیز هست. این راهکار همچنین امکان انعطاف برای توسعه های آتی را نیز خواهد داشت. نهایتا راهکار موجود با توجه به نحوه پیاده سازی در لایه های پایین شبکه، تا حد بسیار زیادی امنیت شبکه های بیسیم را نیز تامین خواهد کرد.

روش تحقیق و ابزارها:

برای مدلسازی و تست راهکار اجرایی از نرم افزارهای Packet Tracer 6  ، GNS3 استفاده شد و نهایتا شبیه سازی راهکار موجود با تجهیزات واقعی مورد تصدیق نهایی قرار گرفت. تجهیرات مورد استفاده در این سناریو، میکروتیک روتر بردRB941-2n D، مودم D-Link 2730U و اکسس پوینت TP-WA801ND است.

مدل مفهومی:

مدل مورد استفاده برای بررسی و آزمون مطابق سناریوی زیر است. در این مدل مفهومی، لپ تاپ هایی به صورت Guest (میهمان)، و لپ تاپ های دیکری به عنوان کاربر مجموعه حضور دارند. لکن لازم است کاربران به نحو مناسبی از یکدیگر تفکیک شوند تا امکان مدیریت دسترسی ها برای این دو گروه به نحو اثربخشی امکان پذیر باشد.

 

مدل مفهومی راهکار امن مدیریت شبکه

شرح راهکار:

در این سناریو، با اتصال دستگاه ها مطابق مدل مفهومی، سه SSID برای اتصال کلاینت ها به وای فای ایجاد میشود که هم برای مدیریت دستگاه ها، هم برای میهمانان و هم برای کاربران مجموعه قابل استفاده خواهد بود. از این سه SSID، دو تای آن با تایپ امنیت WPA2 و دارای پسورد بوده و یک مورد (Wifi-Guest)  نیازمند احراز هویت کامل کاربر روی صفحه لاگین (به صورت Captive Portal) است. تمرکز اصلی این راهکار روی مدیریت دسترسی های عمومی است، لکن این موضوع قابل توسعه و پیاده سازی به سایر شبکه ها نیز خواهد بود.

در این راهکار همچنین برای انتخاب تجهیزات روی "کارایی" و "هزینه پایین" تاکید شده است. از این میان دستگاه های اکسس پوینت، دستگاه TP Link WA801ND با ساپورت کردن POE و اتصال وایرلس به پنج حالت در عین قیمت پایین یک گزینه بسیار مقرون به صرفه و حرفه ای است. برند میکروتیک نیز بعنوان روتری ارزان قیمت و در عین کارا برای مدیریت بسیاری از تجهیزات شبکه در نظر گرفته می شود1 . در این سناریو از مدل RB941-2n D که با نام تجاری hAP lite شناخته میشود استفاده شده است. این دستگاه پایین ترین قیمت را در بین محصولات خانواده خود داراست و با این حال دارای اینترفیس وایرلس نیز می باشد. دستگاه مودم D-Link 2730U نیز دارای پورت یو اس بی و همینطور وای فای با قابلیت پورت فورارد، مک فیلترینگ و غیره می باشد که یک راهکار مناسب ارزان قیمت را در مجموع نتیجه خواهد داد. آدرس آی پی پیش فرض دستگاه ها به شرح زیر است:

 TP Link: 192.168.0.254 .

 D-Link: 192.168.0.1.

 Mikrotik: 192.168.88.1.

تنظیمات دستگاه اکسس پوینت:

دستگاه اکسس پوینت دارای سه SSID به مشخصات زیر است:

 

 SSID  های اکسس پوینت

SSID هایCorp برای اتصال کاربران، Guest برای اتصال عمومی (میهمان) و Management (یا به اختصار Mgmt 2)  برای مدیریت شبکه و نگهداری مورد استفاده خواهد بود.

به منظور تنظیم این مشخصات، لازم است پس از اتصال با کابل یا به صورت وایرلیس به دستگاه از طریق مرورگر، و زدن آدرس پیش فرض در توار آدرس (http://192.168.0.254) و ارایه نام کاربری و پسورد ( به صورت پیش فرض، هر دو admin )  از ویزارد Quick Setup مشابه شکل زیر تنظیمات مورد نیاز را برای ایجاد SSID های مذکور انجام دهیم. سپس برای  Wifi-Corp و Wifi-Management یک پسورد انتخابی را وارد نموده و مراحل را با تنظیم آی پی جدید 192.168.100.254/24  برای دستگاه به پایان می رسانیم. پس از تکمیل تنظیمات، دستگاه Restart می شود. دقت نمایید که وضعیت DHCP دستگاه به صورت خاموش تنظیم شده باشد. (در صورت نیاز برای انصال مجدد به دستگاه باید از رنج آی پی جدید 192.168.100.XX/24 برای کارت شبکه استفاده نمایید.)

 

 ارایه راهکاری امن و ارزان برای مدیریت شبکه های بیسیم

در مرحله اول، تنظیمات Location و اکانت را انجام می دهیم:

 چگونه راهکاری امن و ارزان برای مدیریت شبکه های بیسیم بکار ببریم

سپس وضعیت کاری دستگاه را مشخص می کنیم، که در این بررسی، روی روی Multi SSID تنظیم می گردد.

 راهکاری امن و ارزان برای مدیریت شبکه های بیسیم

اطلاعات SSID ها شامل نوع امنیت، VLAN ID و رمز عبور در این مرحله تنظیم و پس از Save، ذخیر می گردد/

 اطلاعات SSID ها

نهایتا IP دستگاه تعیین می گردد تا به منظور تغییر یا تنظیم مجدد، از آن طریق قابل استفاده باشد.

 چگونه یک شبکه بیسیم حرفه ای بسازیم؟

تنظیمات دستگاه روتر میکروتیک:

همانطور که مشاهده می نمایید دستگاه دارای دو اینترفیس LAN به صورت فعال و دو اینترفیس Vlan می باشد.

Ether1)To-Wan) به سمت مودم و  Ether 2) To-Wifi) به سمت دستگاه Access Point است. اینترفیس To-Wan به مودم و اینترفیس To-Wifi به Access Point متصل است. همچننین روی اینترفیس To-Wifi، دو vlan دیگر نیز میزبانی می شود: Wifi-Guest و Wifi-Management.  این VLAN ها را نیز به شرح زیر با کلیک روی علامت "+" در تب VLAN ایجاد می نماییم:

 تنظیمات دستگاه روتر میکروتیک

راهکارهای ایجاد یک شبکه بی سیم حرفه ای

همچنین اطلاعات آدرس این اینترفیس ها به شرح زیر آمده است:

ارایه راهکاری امن و ارزان برای مدیریت شبکه های بیسیم

مطابق شکل، برای رنج آی پی میهمان ها، از 10.0.0.0/24، برای رنج آی پی مدیریت شبکه از رنج 192.168.100.0/24 و برای کلاینت های داخلی از رنج 192.168.200.0/24 استفاده خواهیم کرد. همچنین اینترفیس To-WAN و متصل به مودم اینترنت نیز روی رنج 192.168.0.0/24 در نظر گرفته شده است.

حال برای SSID ها باید سه رنج آی پی متفاوت روی Broadcast دامین های غیر همسان داشته باشیم. بدین منظور برای هر VLAN  جداگانه DHCP Server را ایجاد می نماییم. برای این کار از DHCP Setup در بخش IP > DHCP Server  استفاده می کنیم:

 

 یک شبکه بیسیم حرفه ای بسازید

به همین ترتیب برای VLAN Wifi-Mgmt نیز تنظیمات فوق را روی رنج آی پی های متفاوت تکرار می کنیم. نهایتا وضعیت DHCP Server چیزی تقریبا مشابه شکل زیر بود:

چگونه راهکاری امن و ارزان برای مدیریت شبکه های بیسیم ارایه کنیم؟ 

حال هات اسپات برای شبکه میهمان را راه اندازی می کنیم 3. بدین منظور از منوی IP> Hotspot را انتخاب و روی Hotspot Setup کلیک نموده و شرایط را به شرح زیر تنظیم می کنیم:

 

 یک شبکه بیسیم حرفه ای بسازیم 

سپس از تب User، با زدن علامت "+" و وارد کردن Name و Password، کاربران دلخواه خود را برای اعطای مجوز لاگین می سازیم: (در صورتیکه چندین هات اسپات فعال باشد، لازم است Server مربوطه گزینه مرتبط انتخاب شود تا کاربر محدود به همان مورد گردد)

 چگونه یک شبکه بیسیم حرفه ای ساده و ارزان بسازیم

هات اسپات راه اندازی شد، اما برای تکمیل نهایی این بخش ما نیازمند دو تنظیم دیگر هستیم. در صورت تمایل به فعالسازی لاگین بدون نام کاربری و رمز عبور (استفاده جایگزین از مک آدرس) لازم است تنظیمات زیر در قسمت Server Profile هات اسپات ساخته شده فعال شود:

مدیریت شبکه

تیک Trial و تعیین محدوده زمانی در تب لاگین هات اسپات ساخته شده، بیانگر حداکثر مدت زمان مجاز جهت استفاده کاربر در حالت احراز هویت با مک آدرس خواهد بود. همچنین برای محدود سازی حاکثر پهنای باند مجاز کاربر در دسترسی به اینترنت نیز به شرح زیر از منوی User Profile در هات اسپات به شرح زیر اطلاعات را مشخص می نماییم: 

 لاگین بدون نام کاربری

در شکل فوق اطلاعات Rate Limit روی Rx (آپلود)  و Tx (دانلود) بر اساس K bit / Sec تنظیم شده است.

حال از صحت دسترسی روتر به اینترنت مطمئن می شویم. از منوی IP > Route، یک رول برای دسترسی به مودم اینترنت به عنوان Gateway اضافه می کنیم:

 چگونه راهکاری امن و ارزان برای مدیریت شبکه بیسیم بسازیم؟

حالا وضعیت DNS و NAT را بررسی می کنیم. شرح تنظیمات به شکل زیر است. ابتدا منوی IP > DNS اطلاعات DNS ها را وارد می نماییم. در اینجا از DNS های عمومی گوگل استفاده شده است:

ایجاد شبکه بیسیم

سپس از منوی IP > Firewall تب NAT  را انتخاب و یک Rule به شرح زیر ایجاد و تب Action آن را روی حالت Masquerade  تنظیم می کنیم:

 شبکه بیسیم

 راهکار امن و ارزان مدیریت شبکه 

کار رو به پایان است. تنها برای اطمینان از جلوگیری ورود کاربران از وای فای میهمان به رنج وای فای های دیگر، دو Rule روی با اکشن Drop روی فایروال میکروتیک از منوی IP > Firewall به شرح زیر ایجاد می کنیم:

مدیریت شبکه های بیسیم

راهکار امن و ارزان شبکه 

این Rule از ورود هر گونه دستگاهی با آدرس های رنج Guest به رنج شبکه Corp جلوگیری می کند. مشابه همین Rule را برای رنج IP اینترفیس  Dst. Address: 192.168.100.0/24) Wifi-Mgmt)نیز تکرار می کنیم. وضعیت Rule ها به شکل زیر قابل مشاهده است: 

چگونه راهکاری امن و ارزان برای مدیریت شبکه بیسیم بکار ببریم

کار تمام است. با اتصال بهSSID  وای فای های Mgmt و Corp و ورود پسورد، آی پی رنج مرتبط به دستگاه وارد شونده، تخصیص می یابد.

همچنین با اتصال به Guest، صفحه لاگین باز شده که ادامه دسترسی آن، نیازمند نام کاربری و رمز عبور و یا ارایه دسترسی موقت به اینترنت خواهد بود.  

راهکارامن وارزان مدیریت شبکه

 


پی نوشت:

[1] کارآمدی و هزینه، واژگانی نسبی است. بدیهیست دستگاه مذکور علیرغم فقدان برخی قابلیت های پیشرفته نظیر کنترل پهنای باند بازهم مورد نظرست.

[2] در این اجرای عملی این سناریو از SSID با نام Mgmt به جای Management استفاده شده است. این دو نام در SSID ها معادل یکدیگر است.

[3] استفاده از هات اسپات روی رنج سایر اینترفیس ها نیز به منظور مدیریت مناسب تر پهنای باند و بر اساس نیاز امکان پذیر است.

مجموع رتبه (3)

4 از 5 ستاره
  • دارای رتبه 5 از 5 ستاره

    تشکر فراوان. مقاله خوب و مفیدی بود.

    دوست دارم 0 لینک کوتاه:
  • از لطف و انرژی همگی دوستان بی نهایت سپاسگزارم. :)

    دوست دارم 0 لینک کوتاه:
  • مهمان - بهراد

    دارای رتبه 4 از 5 ستاره

    بسیار جالب،خواندنی و کاربردی بود

    دوست دارم 0 لینک کوتاه:
  • مهمان - هادی

    دارای رتبه 3 از 5 ستاره

    سلام،خوب بود،متشکرم،امادرموردرنج آی پی های اختصاص شده دلیلش رو بیان فرمایید،معمولا ازهمین رنج استفاده میشه،آیا امنیت آن پایبن نمی آید؟هک کردن راحت ترنمیشود؟لطفاتوضیح دهید،ممنون ازلطف شما

    دوست دارم 0 لینک کوتاه:
  • با سلام. انتخاب رنج های آی پی اختیاری و بنا به شرایط شبکه است. الزامی به استفاده از رنج های فوق نیست. با تشکر.

    دوست دارم 0 لینک کوتاه:

نظر خود را اضافه کنید.

ارسال نظر به عنوان مهمان

0
نظر شما به دست مدیر خواهد رسید