الزامات و استانداردهای امنیت LAN و WLAN
تعیین الزامات و استانداردهای پیاده سازی شبکههای LAN و WAN
در شبکههای LAN بهتر است از استانداردهای IEEE سری 802.1Q، 802.1ar و 802.1ae استفاده شود.
پروتکلهای ارتباطی در LAN استانداردهای ISO و FIPS 146-1 و IS 7498/2 هستند.
در امنیت LAN با ابتدا شبکه را شناخت. لذا پیرامون LAN:
- اجزای LAN. اجزای مهم عبارتند از: PCها، کابل ها، نرم افزار ها، بردهای واسط، مودم، خطوط تلفن و سرورها.
- دسترسی از طریق خط تلفن و مودم (dial-in)
- توپولوژی شبکه. (star، ring، bus)
- پروتکل ها (استاندارد IS 7498/2)
- کاربردها و ایمیل
- اجتماع Lan ها (DHHS-DIMES)
- مدیریت شبکه
- مکانیزم کنترل دسترسی
- آسیب پذیری ها. بزرترین آسیب پذیری در LAN مربوط به کنترل دسترسی است (DHHS AIS AIS-STOP)
- در شبکه LAN نیاز به آموزش امنیت و راهنماییهای لازم و مداوم می باشد.
- جهت حفاظت از دسترسی غیر مجاز و سوء استفاده در LAN، کنترل نرم افزار و سخت افزار بایستی بر اساس استاندارد OMB Bulletin 90-08 انجام شود.
- جهت جلوگیری از تغییر غیرمجاز از MAC ها استفاده می شود (FIPS 113).
- در حفاظتهای عملیاتی (نظیر backup، UPS، حفاظت فیزیکی و …) بایستی الزامات OMB 90-08 رعایت شود.
- حفاظت در برابر ویروس ها در کتاب راهنمای DHHS AISSP-OPDIV الزام گذاری شده است.
- بازدید امنیتی غیر رسمی برای سیستمهای سطح 1 و ارزیابی ریسک رسمی برای سیستمهای سطح 2 و 3 مورد نیاز است (DHHS AISSP- OMB A-13)
- مشخص کردن مسئولیت ها (فصل 1 کتاب AISSP و استانداردهای ITU مروبط به LAN)
- تعیین حفاظتهای مورد نیاز در هر سه سطح 1و 2و 3 (فصل 2و 3 کتاب AISSP DHHS)
- ابزارهای فراهم کردن امنیت (OMB Bulletin 90-08)
- ارزیابی ریسک. در کتاب AISSP و FIPS PUB 65 الزامات بیان شده اند.
- طرح عملیات احتمالی که الزامات در کتاب AISSP، OMB A-130 و FIPS 87 بیان شده اند.
- بازنگری و آموزش سالیانه بایستی انجام شود.
- مدیریت بروزرسانی و هزینه ها: بایستی بطور سالیانه بروزرسانی و بازنگری در قسمتهای مختلف (پروژه ها، توصیف ها، مسئولیت ها، روال ها و هزینه ها) انجام گردد.
- دستور العمل DoD 8420.01 امنیت سطح 2 را برای LAN بیسیم بیان می کند.
- غیرفعال نمودن متن 32 بیتی SSID MAC. در این حالت تنها کلاینتی که SSID شناخته شده و صحیحی دارد می تواند با AP ارتباط برقرار کند.
- اکثر حمله کنندههای پیشرفته، فقدان انتشار SSID را با تحلیل فریمهای امضا تحلیل کرده و متن SSID را بدست می آورد. به منظور جلوگیری از حملات پسیو، بسته اصلی را در پهنای باند بالاتر و کاهش فرکانس تکرار آن پخش نمود.
- استفاده از SSIDهای غیر استاندارد. از هر مشخصه ای مثلا نام مرکز، آدرس یا هرچیزی که منتج به حدس اطلاعات سازماندهی شده شود باید پرهیز کرد.
- از SSIDهایی که می تواند توسط حمله کننده ها، مورد حمله قرار گیرد استفاده نشود. از پسوردهای قوی جهت تولید SSID ها که قابل حدس زدن نباشد بایستی استفاده شود.
- همیشه از گزینه 128 بیت رمزنگاری توسط بروز ترین الگوریتم استاندارد استفاده شود. به عنوان مثال از AES-WEP.
- از کلید رمزنگاری قدرتمند در تمام ابزارهای بیسیم استفاده شود و بطور دورهای با توجه به تاریخ انقضا آن، تعویض گردد.
- تمام پسوردهای پیشفرض فروشنده تعویض گردند.
- از پروتکلهای SSH یا HTTPS به جای telent و HTTP استفاده شود.
- از مکانیزمهای قوی مانند RADIUS، LDAP و غیره استفاده شود. استفاده از VPN نیز توصیه می شود.
- در صورت اتصال شبکه مرکز به شبکه دیگر، فایروال بکار گرفته شود.
- سیستم آشکار سازی نفوذ IDS و جلوگیری IPS یا بطور کلی IDPS نیز بایستی افزوده شود.
- استفاده از DHCP به منظور کنترل و سازماندهی IPهای استفاده کنندگان.
- شناخت ابزارهای مخرب مانند Airsnort، Netstumbler، MacStumbler، Kismet، Ethereal، AirDefense IDS.
- تمام دستگاه ها و سیستمهایی که به شبکه وصل می شوند بایستی تحت نظارت و مدیریت باشند. بدین منظور باید از SSH ورژن 2 یا بالاتر استفاده شود.
- الگوریتم رمزنگاری بکارگرفته در این ارتباطات بایستی AES با 256 بیت یا بیشتر استفاده گردد.
- بین سرور و کاربر بایستی امضا و تصدیق متقابل باشد.
ارتباطات بیسیم Wi-Fi بایستی با دسترسی حفاظت شده WPA2، که حفاظت از دادههای اصلی و کنترل دسترسی به شبکه را فراهم می کند، رمزنگاری شوند. WPA2 با استانداردهای منابع کامپیوتری FIPS 140-2 که از الگوریتم AES جهت رمزنگاری استفاده می کند، سازگار است. 802.11g و بیشتر، اجازه می دهد تا برای تولید خودکار کلیدی برای هر کاربر ، از طریق X802.1 در هر جلسه تولید نماید. علاوه بر این ، کلید را می توان برای افزایش امنیت احیا شده (دوباره کلید زنی) به صورت دوره ای تولید شود (P800 – S820).
امنیت WLAN در 82.11 در سه مورد لازم به تامین است: کنترل دسترسی، تصدیق و حسابرسی.
- در شبکههای WLAN جهت افزایش امنیت از 802.11i استفاده گردد. همچنین جهت برقراری ارتباط A.P ها با کاربران علاوه بر مراحل اجباری (جستجوی کانال، احراز هویت و تخصیص شبکه) مراحل اختیاری آن بخصوص رمزنگاری نیز انجام گردد.
- در شبکههای بزرگ با چند صد کاربر بجای استفاده از WEP از استاندارد 802.1X استفاده شود.
- در شبکههای WLAN حتی المقدور از شبکههای مبتنی بر Infrastructure استفاده شده و از شبکههای Add hoc فقط جهت پشتیبانی استفاده شود.
- در شبکههای WLAN در صورتی که 802.11b پاسخگوی نیاز بود از 802.11n بهتر است استفاده نشود.
- در تامین امنیت شبکههای بیسیم مبتنیIEEE 802.11 بایستی استاندارد SP 800-48 را اجرا نمود.
در ارتباط پیاده سازی و رعایت جوانب امنیتی WLAN، دو استاندارد مهم DODI8420.01 و SP 800-153 وجود دارد که در ادامه مهمترین الزامات مندرج در این دو استاندارد بیان می شود.
2-4-1- الزامات WLAN مندرج در استاندارد DODI 8420.01
- فقط تجهیزات، سیستم ها و تکنولوژیهای WLAN که با IEEE802.11 سازگار هستند انتخاب شوند.
- تمام کاربران بایستی از آموزشهای لازم برخوردار باشند( DODD 8570.01).
- در شبکههای WLAN جهت حفظ امنیت بیشتر AP ها از جستجوی کانال به روش پسیو استفاده نگردد.
- در شبکههای WLAN به منظور دسترسی به ایمیل بایستی الزامات DODI 8520.2 رعایت شوند.
- ارزیابی معماری سیستمهای WLAN طبق الزامات DODD 5000.01 و DODI 5000.02 صورت گیرد [34-35].
- تجهیزات WLAN جدید بایستی از CCMP پیروی کنند که رمزنگاری AES را شامل می شود.
استاندارد DOD-8420.01 بستههای WLAN را در دو مقوله غیر طبقه بندی و طبقه بندی، دسته بندی کرده و الزامات آن ها را بطور مجزا بیان می کند. لذا در پیاده سازی و طراحی این استاندارد نیز بایستی مدنظر قرار گیرد.
- برای WLAN غیر طبقه بندی:
- در سیستمهای WLAN غیر طبقه بندی شده بایستی بر اساس استاندارد IEEE 802.11 باشند.
- در سیستمهای WLAN غیر طبقه بندی شده با PEDهای فعال شده بایستی از نرم افزارهای آنتی ویروس، فایروال، رمزگذاری و بکارگیری I&A قوی به منظور دسترسی به تجهیزات وشبکه استفاده کنند. (DODI 8420.01)
- کار گروه مهندسی اینترنت (IETF) استانداردهای 4017 و RFC.2716 را استفاده کنند.
- در ارتباطات Wi-Fi که شامل استانداردها 802.11a و 802.11b و 802.11g و 802.11n در لایه فیزیکی هستند بایستی از WPAZ استفاده نمایند.
- تجهیزات WLANها باید گواهی و اعتبار داشته باشند(DoDI 8510.01).
- در رمزنگاری WLANها با PEDهای فعال شده بایستی استاندارد FIPS-140 اجرا شود.
- کنترل کننده WLAN/AP در WLAN طبقه بندی نشده بایستی از استاندارد FIPA-140 تبعیت کند. تمام تجهیزات زیرساخت بایستی رمزنگاری AES-CCMP را بکار گیرند.
- رمزنگاری Data-at-rest بایستی طبق استاندارد FIPS-140 برده و DoD CIO/ASD NII را اجرا نماید.
- WLAN طبقه بندی نشده جهت تصدیق صحت باید از روال NIST CMVP FIPS.140 تبعیت کند (هم در بخش کاربر و هم سرور).
- APهای استفاده شده در WLANهای غیرطبقه بندی شده بایستی در مکان امنی باشند. در این خصوص استاندارد FIPS140-2 سطح 2 جهت تامین حداقل امنیت بایستی اجرا شود.
- جهت اعتبار سنجی بایستی NIAP CC رعایت شود.
- به منظور گواهی تصدیق (Aathenticetion) الزامات DoDD 8100.02 در نظر گرفته شود [36].
- برای WLANهای طبقه بندی شده:
- در سیستمهای WLAN طبقه بندی شده، باید از رمزگذاری تایید شده آژانس NSA بصورت سرتاسری و نیز امنیت امنیت فیزیکی قوی استفاده نمود.
- در سیستمهای WLAN طبقه بندی شده، بایستی ذخیره سازی، پردازش، وصول و انتقال اطلاعات در بستر رمزگذاری NSA و با کلید قوی مناسب این اطلاعات انجام شوند.
- در سیستمهای WLAN طبقه بندی شده، بکارگیری پیشگیری ها و اقدامات آژانس CNSS (N0 17) مدنظر قرار گیرد.
- تمام LANهای طبقه بندی شده و غیر طبقه بندی شده سیمی و بیسیم بایستی دارای قابلیت آشکارسازی نفوذ بوده تا به منظور مانیتورینگ فعالیت ها و هویت در WLAN استفاده گردند.
- الزامات DoDI 8510.01 مربوط به تجهیزات و نیازمندیهای امنیتی بایستی رعایت شود [37].
- تجهیزات WLAN، سیستمها و تکنولوژی استفاده شده جهت انتقال، ذخیره و پردازش اطلاعات طبقه بندی شده بایستی توسط NSA تایید شده باشند.
- APها بایستی از لحاظ فیزیکی امنیت داشته باشند(DOD 520008-R).
- APها بایستی برای حداقل توان انتقال تنظیم شوند.
- تجهیزات، سیستم ها و تکنولوژیهای بکار رفته در WLAN طبقه بندی شده بایستی الزامات بخش 4.c استاندارد DODI 8420.01 را رعایت نمایند.
- در حفاظت از اطلاعات Data-at-Rest سیستمهای WLAN با PEDهای فعال شده بایستی الزامات بخش 4.d استاندارد DODI840.01 رعایت شوند.
- آشکارسازی نفوذ در WLAN(WIDS)، STIG [38].
- الزامات مربوط به طیف و تشعشع در WLAN (DODD4650.01 و DODD3222.3 و MIL-STD461F و MIL-STD464A)
- سایر الزامات جانبی WLANها در بخشهای 8 و 9 استاندارد DODI8420.1 آمده است.
2-4-2- الزامات WLAN مندرج در SP 800-153
امنیت WLAN به شدت وابسته به سطح عملکرد و کنترلی اجزای آن است بدین صورت که تجهیزات کاربر(لپ تاپها و smartphoneها)، APها و سوئیچهای بیسیم دارای چه سطح امنیتی از لحاظ طول عمر،طراحی اولیه WLAN و نیز تعمیر و نگهداری و مانیتورینگ دارند.
1-در نظر گرفتن استاندارد مناسب و انجام پیکربندی امنیتی تجهیزات اعم از تجهیزات کاربر، APها و سایر
2-هنگام طراحی و نقشه کشی امنیتی WLAN، تنها امنیت خود WLAN مدنظر قرار نگیرد بلکه اثرات امنیتی آن روی سایر شبکه ها ارزیابی و مد نظر قرار گیرد.
یک WLAN معمولاً به یک شبکه سیمی تشکیلات متصل است،WLAN ها نیز ممکن است با یکدیگر ارتباط داشته باشند. به WLANهایی که به دسترسی شبکه سیمی نیاز دارند،تجهیزات کاربر بایستی تنها به هاست مورد نیاز خود (تحت پروتکل مورد نیاز) دسترسی داشته باشد.بعنوان مثال یک مرکز می تواند WLANها را بصورت منطقی به دو دسته استفاده خارجی (مثلا مهمان ها) و استفاده داخلی تقسیم کند.
3-سیاست و خط مشی واضحی پیروی شود تا ارتباطات دوگانه برای تجهیزات کاربران WLAN به وضوح بیان شده و کنترل صحیح امنیتی انجام شود.
ارتباطات دو گانه منظور تجهیزات کاربری (client device) هستند که بطور همزمان هم به شبکه سیمی نیز حمله کند.
4-اطمینان حاصل شود که تشکیلات پیکره بندی تجهیزات کاربر و APها از پیکربندی مورد تایید مرکز سیاست گذاری WLAN تبعیت کامل دارد.
مراکز بایستی استاندارد کردن،خودکار کردن و مرکزیت دادن پیکربندی امنیتی WLANها را کاملاً منطبق بر پیاده سازی عملی مدون و تنظیم کنند. در این صورت دستکاری تنظیمات سریعاً آشکار خواهد شد.
5- مانیتورینگ حمله و نیز مانیتورینگ آسیب زدن بطور همزمان بکار گرفته شود.
6- اجرای منظم و دوره ای ارزیابی امنیتی. دوره ارزیابی امنیتی بایستی بصورت حداقل سالی یکبار انجام شود و در صورتی که مانیتورینگ امنیت WLAN اطلاعات کافی در مورد حملات و تخریب بدست نمی دهد بایستی این دوره بعد از 3 ماه یک بار باشد.
- قبل از طراحی معماری امنیتی یک WLAN یا پیکربندی امنیتی تجهیزات بایستی اطلاعات مورد نیاز راجمع آوری نمود (sp800-94 ). بعلاوه در این گام بایستی تهدیدات نیز شناسایی شده و برآورد امنیتی داشت (sp800-34 و sp800-153-201 ).
- پس از تدریس بند فوق، پیکربندی بایستی بر اساس ارتباطات لازم صورت گیرد بدین ترتیب که علاوه بر تامین امنیت WLAN، امنیت ارتباطات با سایر قسمت ها بصورت داخلی و خارجی طراحی و برآورده شود.( GAO-11-4|3 ) ( sp800-153-2.1 )
- بکارگیری پیکره بندی، ارزیابی و تعمیر و نگهداری بایستی طبق sp800-153 بخش 2.2 انجام گیرد.
- مانیتورینگ امنیتی WLAN بایستی در دو دسته ارزیابی و مانیتورینگ پیوسته انجام شود.ارزیابی امنیتی بصورت دوره ای انجام می شود (sp800-115 ، sp800-53A ). مانیتورینگ پیوسته موارد اطلاع از پیشرفت امنیت اطلاعات، آسیب پذیری و تهدیدات به منظور اتخاذ تصمیمات مدیریت ریسک را شامل می شود (sp800-137 )
- به منظور تامین امنیت 802.11 WLAN استاندارد SP800-48 بایستی اجرا گردد.
- مراکز بایستی بصورت مداوم و بطور خاص WLANها را و به طور عام شبکههای سیمی را تحت مانیتورینگ حملات قرار دهند (sp800-53) و (sp800-94). این حملات در دو دسته پسیو و اکتیو قرار میگیرند. ابزارهای مانیتورینگ WIDPS را اجرا می کنند که توسط سنسورگذاری در موقعیتهای مناسب انجام می شوند. این سنسورها می توانند دارای مکان ثابت یا متحرک باشند. سنسورهای ثابت معمولا به زیرساختهای مرکز نظیر تغذیه و دسترسی به شبکه سیمی بستگی دارند. سنسورهای متحرک(قابل حمل) به عنوان مثال می توانند یک سنسور موبایل باشند که مجری می تواند با راه رفتن بین سازه ها، APهای نفوذی را شناسایی کند (sp800-94).
- مراکزی که از WLAN استفاده می کنند باید قابلیت شناسایی موقعیت فیزیکی نفوذ را داشته باشند. چیدمان سنسورها و تقسیم منطقه جهت مشخص نمودن محل دقیق حادثه بایستی توجه شود.
- مانیتورینگ مداوم بایستی قابلیت آشکارسازی موارد زیر را داشته باشد:
- تجهیزات WLAN غیر مجاز ، شامل APهای نفوذی و تجهیزات کاربری غیر مجاز
- تجهیزات WLAN که دارای ضعف پیکربندی هستند و یا از پروتکل ضعیفی استفاده می کنند.
- استفاده پترن غیر معمولی در WLAN
- استفاده از اسکنرهای اکتیو در WLAN که موجب ترافیک می شوند( مانند war driving tools). سنسورهای پسیو قابل آشکارسازی از طریق کنترلهای مانیتورینگ نیستند.
- حملات DOS و وضعیت ها (نظیر تداخل شبکه)
- جعل هویت و حملات ملاقات در وسط. برای مثال برخی سنسورهای WIDPS می توانند تجهیزاتی که سعی در جعل شناسایی دارند را شناسایی می کنند.
- در تعین دوره ارزیابی مکان فیزیکی از لحاظ تردد و تهدیدات مدنظر قرار گیرد.
- در تعین دوره ارزیابی سطح امنیت اطلاعاتی که در WLAN انتقال می یابند نیز بایستی در نظر گرفته شود.
- در تعین دوره ارزیابی اینکه هرچند وقت یکبار تجهیزات کاربری به یک محیط وصل یا قطع می شوند و اینکه سطح ترافیک فیزیکی این تجهیزات (فعالیت اتفاقی یا فعالیت مداوم) چگونه است در نظر گرفته شود. زیرا تنها تجهیزات کاربری WLAN اکتیو با استفاده از اسکن WLAN قابل کشف هستند لذا محل فیزیکی نیز بایستی پایش شود.
الزامات امنیت APها (SP 800-48):
1- مدیریت AP (بخش 6.3.3.1 از SP 800-48)
1- پیکره بندی دسترسی Administrator: تنظیمات پیش فرض تغییر داده شود پسورد قوی انتخاب شود و رمزنگاری قوی بکار رود.
2- کلید ریست APها به تنظیمات پیش فرض کنترل شود.عدم کنترل و نظارت ممکن است باعث DOS شود بعلاوه بایستی حفاظت فیزیکی نیز به منظور عدم امکان ریست انجام گردد.
3- استفاده از SNMPV3 : برخی از APها پروتکل مدیریت شبکه SNMP اشاره می کند که ورژن 3 آن امنیت قوی ای را ایجاد می مند.
4- استفاده از HTTP : استفاده از HTTP هنگامی که نیاز است بایستی فعال گردد و بایستی SSL حفاظت شود (HTTPS)
5- لاگ برداری فعال شود: جهت بازنگری حوادث گذشته این مورد مفید است.
2- پیکره بندی WLAN:
1- تغییر کانال و توان خروجی پیش فرض
2- تغییر SSID
3- اجتناب از PSK
4- استفاده از عاملیت MAC ACL
5- استفاده از DHCP
6- ماکسیمم کردن فاصله زمانی beacon
الزامات امنیت تجهیزات بیسیم کاربر (SP 800-48):
- اتصال اتوماتیک. تجهیزات کاربر بایستی طوری پیکربندی شوند که امکان اتصال بصورت اتوماتیک را نداشته باشند.
- فایروال شخصی. تهیزات کاربر بایستی به فایروال مجهز باشند و سیاست ها WLAN را پیروی نمایند.
- IDPS مبتنی بر هاست. این نرم افزار متمم فایروالهای شخصی است.
- آنتی ویروس. تجهیزات کاربر بایستی به آنتی ویروس مجهز باشد تا علاوه بر پیشگیری، مانع از گسترش آنتی ویروس ها و سایر مخرب ها شوند.
- مود Ad hoc. در صورتی که به استفاده از این مود نیاز نیست بایستی غیر فعال شود تا اتصال تجهیزات کاربر به کاربر مسدود شود.
- مدیریت رادیو در IEEE 802.11 باید غیر فعال شود.
- اجرای سیاست. تجهیزات کاربر بایستی از سیاستهای WLAN بکارگرفته شده پیروی کنند [40].
الزام بروزرسانی، ارتقا و Patchها: مدیر شبکه بایستی به طور منظم با فروشنده به منظور اطلاع از Patchهای جدید، ارتقا جدید و بروزرسانی همراه باشد که در سورت لزوم آنها را بکار گیرد [41].
الزام تعیین اعتبار و صحت: استاندارد FIPS PUB 196 بایستی اجرا شود [42].
علاوه بر تامین امنیت بیسیم، میتوان از VPN نیز جهت افزایش امنیت استفاده نمود (NIST SP 800-77).
2-5- تعیین الزامات و استانداردهای پارامترهای FCAPS
مديريت براي سرويسهاي اطلاعات شبكهبندي شده، هم مديريت منابع سيستم و هم مديريت شبكه را شامل ميشود. FCAPS یک چارچوب مدیریت شبکه است که توسط سازمان بین المللی استاندارد (OSI) تهیه شده است. FCAPS موضوعات مربوط به مدیریت شبکه را در پنج سطح دسته بندی میکند (ITU-T 3400 and X.700):
- مديريت کارایی
- مديريت خطا
- مديريت پيكربندي
- مديريت حساب ها
- مديريت امنيت
ترجمه و تدوین : همیار امنیت