بررسی تنظیمات مک و افزایش امنیت روی وایرلس (جلسه ۲۳)

تنظیمات مک و افزایش امنیت وایرلس 

دوستان در ادامه ی قسمت قبل که در رابطه با وایرلس میکروتیک صحبت کردیم و کلیت وای فای و تنظیمات را به شما گفتیم در این قسمت، می خواهیم تنظیمات مک را بررسی کنیم؛ یعنی یک مقداری امنیت را روی وایرلسمان بیشتر کنیم.

توضیحات اولیه

روی روتر میکروتیکمان در سربرگ یا بخش Wireless هستیم. کاری که در مرحله ی اول انجام دادیم، این بود که وای فای یا وایرلس را فعال کردیم و اسم پیش فرض آن را نیز تغییر ندادیم و Mode آن را روی ap_bridge گذاشتیم که دلیلش را نیز به شما گفتیم و SSID خاصی را برایش در نظر گرفتیم، همچنین با پروفایل آن در مرحله ی اول کاری نکردیم و همین.

در گام بعد شبکه ی وای فای خودمان را در bridge گذاشتیم که بتواند از DHCP Server هم استفاده کرده و به کلاینت های خود IP بدهد و در مرحله ی سوم در قسمت Security Profile، یک پروفایل جدید با اسم Profile1 ساختیم و dynamic keys را فعال کردیم و WPA و WPA2 را Active(فعال) کردیم و به آن پسورد دادیم. در نهایت روی سربرگ Wifi رفتیم و پروفایلمان را از حالت پیش فرض Default به Profile1 تغییر دادیم که این Wireless با این SSID از پروفایلی که تعیین کردیم که Security هم دارد، استفاده کند و بتواند نکات امنیتی را برای Authenticate کردن لحاظ کند.

حالا موقعی است که شما فقط می خواهید چند موبایل مشخص به یک Wireless یا Access Point وصل شود. قابلیت مک در این مواقع، خیلی کاربردی است و می شود گفت که امنیت را تا سطح خیلی بالایی افزایش می دهد. شما می توانید از این قابلیت در شبکه ها استفاده کنید؛ در صورتی که نمی خواهید که پابلیک باشد و همه استفاده کنند، می توانید مک های چند تلفن خاص را بردارید و در این قسمت اضافه کنید و تعیین کنید که فقط این مک ها به وایرلس یا وای فای من، وصل بشوند. حالا نحوه ی کانفیگ آن به چه شکلی است؟

نحوه ی کانفیگ مک

به بخش Wireless Tables می رویم و در قسمت Security Profiles، پروفایلی که ساختیم را باز می کنیم (یعنی همان Profile1).

در سربرگ دوم یعنی RADIUS، گزینه ای به نام Mac Authentication داریم. اگر Mac Athentication را فعال کنیم، فقط کلاینت هایی با این پروفایل به این وای فای وصل می شوند که مک آن ها در قسمت Access List وجود داشته باشد.

پس ما ابتدا مک را فعال می کنیم. دقت کنید به قسمت Registration می رویم و ملاحظه می کنیم که همه ی آن ها، قطع شده اند حتی خودمان هم قطع شده ایم؛ چرا؟ چون مک را فعال کردیم و وقتی مک را فعال می کنید، همه قطع می شوند و کلاینتی که از قبل وصل بوده دیگر وصل نیست؛ چرا؟ چون فقط کلاینت هایی وصل می شوند که مک آن ها در سربرگ Access List باشد. الان مک تلفن ما در این قسمت وجود ندارد و مک هیچ تلفن یا دیوایس دیگری نیز وجود ندارد؛ پس هیچ دیوایسی نمی تواند به این Wireless وصل شود که این امر، منطقی است.

حالا برای این که کانفیگ ما راحت تر باشد از راهکاری استفاده می کنیم. ابتدا مک را غیر فعال می کنیم که تلفنمان وصل شود؛ یعنی ابتدا باید مک آن را برداریم. حالا یک بار دیگر وصل می شویم؛ چون وقتی مک را قطع کنیم، الان می توانیم وصل شویم. خب حالا وصل شدیم. این (تصویر زیر)، مک  تلفن ما است.

می توانیم با کلیک کردن روی آن، آدرس مک را برداریم یا می توانیم به سراغ DHCP Server خودمان برویم.

حالا در قسمت Access List از سمت چپ صفحه، مثبت (+) را می زنیم و آدرس مک را در قسمت Mac Address وارد می کنیم. کافی است که Paste کنیم. Ok را می زنیم. الان مک تلفن یا گوشی خودمان را برداشتیم و در Access List گذاشتیم.

Registration فعال است و حالا دو کلاینت هم به آن وصل شده اند.

حالا سؤالی که پیش می آید این است که آیا الان مک فعال شده است؟ خیر؛ چون ما مک را غیر فعال کرده بودیم. حالا به قسمت Security Profile می رویم و دوباره مک را فعال می کنیم

دقت کنید که حالا در قسمت Registration همه قطع می شود و فقط موردی مجدداً وصل می شود که مک آن در Access List وجود دارد.

پس ما چه کار کردیم؟ ما لایه ی امنیتی خودمان را مقداری محکم تر کردیم و لایه ی امنیتی ما خیلی بهتر شده و ارتقا پیدا کرده و جدای از پسورد و پروتکل هایی که برای Authentication مورد استفاده قرار می دهیم، گفتیم برای مثال فقط این کلاینت به این Access Point با این مک وصل شود.

حال ما مراحل آن را یک بار دیگر برایتان تکرار می کنیم. اول بهتر است که در قسمت Registration، مک هر تلفنی که مد نظرمان است (نه لزوماً تلفن؛ مثلاً ممکن است یک IP Phone باشد که با قابلیت وای فای کار می کند) یا مک هر دیوایسی را برداریم و در این قسمت وارد کنیم. این کار برای هر دیوایسی امکان پذیر است؛ مثلاً در شبکه پرینتر  یا لپ تاپ داریم. مک آن ها را از این قسمت کپی کرده و در قسمت Address List، اضافه می کنیم.

بعد از این که این کار را کردیم به سراغ پروفایلی که در حال استفاده شدن در این Wireless LAN است می رویم (ممکن است شما چند پروفایل داشته باشید؛ حتماً پروفایلی که مد نظرتان است و در حال استفاده شدن می باشد را انتخاب کنید). به سربرگ RADIUS رفته و Mac Authentication را فعال می کنید. همین کفایت می کند. وقتی که Mac Authentication را فعال کنید در قسمت Registration، فقط کلاینت هایی وجود خواهند داشت که مک آن ها در Access List وجود دارد.

حال می خواهیم یک نکته ی خیلی مهم که عملاً به میکروتیک مربوط نیست را به شما بگوییم که واقعاً کاربردی است و بهتر است حتماً این نکته را مد نظر قرار دهید. معمولاً مک تلفن های همراه به صورت پیش فرض، تغییر می‌کند؛ مخصوصاً اگر اندروید باشند، حتماً این گونه است. وقتی که روی تلفن های اندروید به Access Point یا وای فای وصل می شوید، وارد خود پروفایل شوید.

مثلاً الان ما به Pbxshop وصل شده ایم. روی Pbxshop می زنیم تا تنظیمات آن را ببینیم (این کار را باید در گوشی انجام دهیم). گزینه ای را تحت عنوان Privacy مشاهده می کنیم که نوشته شده Use Randomized MAC. شما باید حالت Use Randomized MAC آن را غیر فعال کنید. این حالت به صورت پیش فرض فعال است؛ یعنی هر بار که شما به این Access Point وصل شوید، مک را تغییر می دهد.

پس حتماً روی تلفن های اندروید، باید مک تلفنتان را ثابت کنید. ما روی این موضوع تأکید می کنیم؛ چون اگر مک را فعال کنید بعداً ملاحظه خواهید کرد که مثلاً تلفنتان الان وصل شده ولی فردا وصل نمی شود؛ چرا؟ چون مک آن عوض شده است و این مک در این لیست نیست؛ چرا؟ چون روی حالت Use Randomized MAC است و مک آن، مدام در حال تغییر یافتن است.

این کار را می توان هم روی تلفن های آیفون و هم اندروید، انجام داد. شما باید هم در تلفن های آیفون و هم اندروید، حتماً آن ها را از حالت Randomized، خارج کنید که به صورت رندوم مک را تغییر ندهند و همیشه با یک مک به این وایرلس وصل شوند.

این یک نکته ی کاربردی بود که گفتیم در این قسمت به شما بگوییم که آن را مد نظر قرار دهید.

خب این هم از بحث فعال سازی مک روی Wireless.