کنترول کلاینتهای تحت دامین در اتصال به شبکه های وایرلس

امروزه موضوع امنیت در مباحث شبکه های کامپیوتری جای خود را باز کرده و همگام با پیشرفت تکنولوژی ، خود را توسعه میدهد. مباحث امنیتی در حوزه های فراوانی وجود دارد . امنیت در ارتباط کلاینت و سرور ، امنیت در دسترسی به منابع شبکه ، امنیت در شبکه های بی سیم و غیره . از آنجایی که روز به روز اعمال خرابکارانه رو به افزون است نیاز مدیران شبکه به این مقوله بیشتر احساس میشود . هرچندکه صحبت کردن در مورد تمام این مقولات خارج از حوصله این مقاله است اما ما در این قسمت قصد داریم در مورد شبکه های بیسیم ( Wireless ) و مدیریت آنها در کلاینتها بحث کنیم . اینکه کاربران تحت دامین نیز از طریق لپ تاپ یا کارت شبکه وایرلس و از طریق اعمال پالیسی بتوانند به چه شبکه های وایرلسی دسترسی داشته باشند . ضمن اینکه بد نیست بدانید که استاندارد 802.1x یک استاندارد امنیتی بوده که برای اتصال به شبکه از طریق لایه 2 وضع شده. این استاندارد روشی را ارائه داده که بر اساس آن client/server با قابلیت Access control و Authentication جهت جلوگیری از دسترسی های غیر مجاز توسط افراد مختلف که قصد اتصال به شبکه را دارند ، استفاده میشود .
پالیسی ای که در این قسمت میخواهیم راجع به آن صحبت کنیم تنها زمانی که از شبکه های تحت دامین استفاده میکنید قابل مشاهده و تنظیم هست برای دسترسی به این پالیسی در کنسول مدیریتی گروپ پالیسی یک GPO ساخته و به مسیر زیر بروید :

Computer Configuration > Policies > Windows Settings > Security Settings

بر روی IEEE Network ( IEEE 802.11 ) Policies راست کلیک کنید ، دو گزینه مشاهده میشود . اولین گزینه Create A New Wireless Network Policy for windows vista and later Release ویژه کلانتهای Vista و بالاتر و گزینه دوم یعنی Create A New Windows XP Policy ویژه کلاینتهای دارای سیستم عامل ویندوز XP می باشد . بدلیل تشابه زیادی که بین پالیسیهای این دو مورد هست ما تنها به توضیح تنظیمات موجود در گزینه Create A New Wireless Network Policy for windows vista and later Releaseکه کاملتر هست بسنده میکنیم .با انتخاب این مورد همانطور که مشاهده میکنید پنجره ای به شکل زیر نمایش داده میشود :

103

در بالای پنجره در قسمت Policy Name یک نام دلخواه برای این پالیسی مینویسیم ( در این سناریو ما نام New Wireless Network Policy را در نظر میگیریم ) و در قسمت Description در صورت تمایل توضیحات دلخواه در مورد این پالیسی را وارد میکنیم .
کمی پایینتر گزینه Use Windows WLAN AutoConfig service for clients قابل مشاهده است . در صورت غیر فعال کردن این گزینه کلاینتها اجازه دسترسی به هیچ شبکه وایرلسی را ندارند و در صورت فعال سازی آن در قسمت Connect to available network in the order of profiles listed below میتوانید با استفاده از دکمه Add پروفایل های وایرلس Ad Hocیا Infrastructure ایجاد کنید با این کار دیگر کلاینتهای شما نیاز به ساخت پروفایل وایرلس نخواهد داشت شما میتوانید یک یا چندین پروفایل ایجاد کرده و آنها را اولویت بندی کنید تاکلاینتها بصورت اتوماتیک به این شبکه های وایرلس متصل خواهند شوند و در صورت عدم وجود یکی از شبکه ها ، بصورت خودکار از یکی دیگر از شبکه های بیسیم طبق اولویتی که تعیین کرده اید استفاده خواهد شد . شما همچنین میتوانید با استفاده از Export یک نسخه از لیست ایجاد شده به همراه ترتیب اولویت آنها ایجاد کرده تا در صورت نیاز بتوانید آن را Import کنید . دقت داشته باشید که در صورتی که در این لیست هیچ شبکه ای معرفی نشود کلاینت در صورت داشتن مجوز در سایر تنظیمات این پالیسی ، که در ادامه خواهیم گفت میتواند به هر شبکه ای با هر اولویتی دسترسی داشته باشد . با توجه به اینکه تنظیمات موجود در زمان ساخت پروفایل Ad Hoc مانند infrastructure و حتی کمی ساده تر بوده ما به آموزش اضافه کردن پروفایل از نوع infrastructure بسنده میکنیم . با انتخاب Add>infrastructure با پنجره ی زیر مواجه خواهیم شد

104

Profile Name : یک نام دلخواه برای پروفایل ایجاد شده انتخاب کرده و بنویسید .
Network Name(s) SSID : همانطور که از نامش پیداست نام SSID شبکه مورد نظر را از شما میخواهد . برای این کار نام SSID را وارد کرده و Add را بزنید تا در لیست پایین قرار گیرد .
و در قسمت Network type :
Connect automatically when this network is in range : باعث میشود که اتصال به این شبکه وایرلس بصورت اتوماتیک انجام شود .
Connect to a more preferred network if available : با علامت دار کردن این مورد در صورتی که این شبکه در دسترس نبود بصورت خودکار از شبکه های دیگر برای اتصال استفاده خواهد شد.
Connect even if the network is not broadcasting : در صورتی که نام SSID شبکه شما Hidden باشد این گزینه را علامت بزنید .
به تب Security رفته و موارد را با هم بررسی میکنیم :

105

در این قسمت تنظیمات امنیتی را دقیقا مطابق با تنظیمات امنیتی شبکه وایرلس خود انجام دهید ، این تنظیمات شامل نحوه احراز هویت و نوع رمز نگاری میباشد . تاکید میکنم که این تنظیمات دقیقا بایستی با تنظیمات وایرلس شما تطابق داشته باشد در غیر این صورت در زمانی که کلاینت شما به شبکه وایرلس مورد نظرتان وصل میشود با پیغام خطای زیر روبرو میشود :

The settings saved on this computer for the network do not match the requirements of the network

نکته : همانطور که گفته شد شما تمام تنظیمات امنیتی را مطابق با شبکه وایرلس خود در این پالیسی تنظیم میکنید ولی رمز را نمیتوانید وارد کنید هر کلاینت باید برای خود حداقل یکبار رمز عبور را وارد کند برای وارد کردن رمز عبور در کلاینتها( ویندوز سون ) مراحل زیر را دنبال کنید :
در استارت منو عبارت Manage wireless networks را تایپ کنید و وارد شوید در اینجا شما پروفایلهای وایرلس را در کامپیوتر خود مشاهده میکنید
بر روی پروفایل وایرلس مورد نظر یعنی پروفایلی که توسط ادمین بوسیله پالیسی اعمال شده راست کلیک کرده و Properties بگیرید در پنجره باز شده تنظیماتی که در سرور اکتیودایرکتوری برایش تنظیم شده مشاهده میشود .

106

به تب Security بروید در اینجا هم تنظیمات امنیتی را مشاهده میکنید . در قسمت Network security key رمز شبکه وایرلس را میتوانید وارد و یا ویرایش کنید .

107

همانطور که مشاهده میکنید به جز رمز عبور مابقی تنظیمات پروفایل ایجاد شده تنها قابل مشاهده هستند ولی شما نمیتوانید آنها را تغییر دهید … تغییر آنها تنها از طریق Group Policy Object انجام پذیر هست .
خب این پنجره را میبندیم دوباره به پنجره ی New Wireless Network Policy برمیگردیم ، در این پنجره در تنظیمات موجود در تب اول یعنی تب General برای اتصال کاربر به شبکه وایرلس استفاده شد اما در تب دوم یعنی تب Network Permissions میزان دسترسی کلاینتها به شبکه وایرلس تعیین میشود تنظیمات موجود در تب دوم به شکل زیر است :

108

در این پنجره در قسمت بالا شما میتوانید SSID های مورد نظر خود را وارد کرده و به آنها اجازه استفاده را بدهید همچنین میتوانید اجازه دسترسی با آنها راسلب کنید بدین منظور روی دکمه Add کلیک کرده تا پنجره ای به شکل زیر باز شود

109

در این پنجره در قسمت Network Name (SSID) نام شبکه مورد نظر را بنویسید و در قسمت Network Type نوع شبکه یعنی Infrastructure یا Ad Hoc را تعیین کنید ، همچنین در قسمت Permission با انتخاب Allow اجازه دسترسی داده شده و با انتخاب Deny دسترسی را از آن سلب میکنید ، بعد از تایید خواهید دید که نام SSID شما در بالا ثبت شده و بنا به تنظیمات دسترسی کاربر به این شبکه ها محدود میشود . در پایین صفحه چند مورد دیگر وجود دارد که به اختصار آنها را توضیح میدهیم :
Prevent connections to ad-hoc networks : برای جلوگیری از دسترسی به شبکه هایی از نوع Ad Hoc ( صرف نظر از SSID هایی که در بالا وارد کردید )
Prevent connections to infrastructure networks : برای جلوگیری از دسترسی به شبکه های Infrastructure( صرف نظراز SSID هایی که در بالا وارد کردید )
Allow user to view denied networks : زمانی که شما با استفاده از گزینه های بالا دسترسی را به همه و یا برخی از شبکه های وایرلس سلب میکنید کاربر در زمان مشاهده ی SSID ها یک علامت ضربدر قرمز رنگ کوچک در مقابل آنها میبیند که این به معنی عدم اجازه دسترسی به این شبکه هاست ، علامت دار کردن گزینه Allow user to view denied networks باعث میشود که کاربر دیگر SSID هایی که اجازه دسترسی به آنها را ندارد نبیند .
Allow everyone to create all user profile : علامت دار کردن این گزینه باعث میشود که د کاربر یک پروفایل جدید ایجاد میکنند . این پروفایل برای تمامی کاربرانی که با سیستم لاگین میکنند قابل دسترس باشد و غیر فعال کردن آن هم باعث میشود که پروفایل وایرلس ساخته شده توسط کاربر تنها برای استفاده خودش باشد و کاربران دیگر به آن دسترسی نداشته باشند .
Only use Group Policy profile for allowed network : علامت دار کردن این گزینه باعث میشود که کلاینتها تنها از پروفایلهای وایرلس ساخته شده بوسیله Group Policy استفاده کنند .
شما با استفاده از تعیین سطح دسترسی شبکه های وایرلس با استفاده از SSID (های) مورد نظر خود و با استفاده از مواردی که در پایین این پنجره قرار داشت و توضیح داده شد میتوانید به هدف خود برسید ، به عنوان مثال ما تصمیم داریم که کاربرانمان بصورت اتوماتیک به شبکه وایرلسی با نام Shamsabadi متصل شوند همچنین اجازه دسترسی به شبکه های دیگر را نداشته باشند . بدین منظور در تب General رفته و Add>infrastructure را زده ودر قسمت Profile Name نام دلخواه برای پروفایل و در قسمت Network Name (SSID) نام شبکه بیسیم خود یعنی Shamsabadi را مینویسیم و Add میکنیم سپسگزینه Connect automatically when this network is in range را جهت اتصال خودکار به این شبکه علامت میزنیم و سایر تنظیمات همچنین تنظیمات موجود در تب Security را با توجه به تنظیمات امنیتی شبکه بیسیم وارد میکنیم . و در نهایت OK میکنیم تا تنظیمات ثبت شده و پنجره بسته شود .تا اینجای کار ، ما اجازه اتصال خودکار و دسترسی لازم را به شبکه Shamsabadi داده ایم حالا برای اینکه دسترسی به شبکه های دیگر را سلب کنیم به تب Network Permission رفته و گزینه های Prevent connections to ad-hoc networks وPrevent connections to infrastructure networks را فعال کنیم . با ترکیبی از این تنظیمات کلاینتها در زمان مشاهده پروفایلهای موجود تنها مجوز دسترسی و اتصال خودکار به شبکه ای با نام Shamsabadi را دارند و نمیتوانند به بقیه ی شبکه ها متصل شوند .
همچنین کلاینتها برای مشاهده ی شبکه های وایرلس با پنجره زیر برخورد میکنند :

110

همانطور که مشاهده میکنید تنها اجازه استفاده از شبکه ی Shamsabadi داده شده و در صورتی که کاربر بر روی شبکه وایرلس دیگری کلیک کند با پیغام خطای زیر برخورد میشوند :

Your network administrator has blocked you from connecting to this network

منبع : انجمن تخصصی فناوری اطلاعات ایران

528
۰
۱۸ فروردین ۹۳

فرزانه تقدیسی

کارشناس ارشد هوش مصنوعی - پس از اتمام دوره Elastix & MCSE & CCNA & CCNP و اخذ مدارک بین المللی در این حوزه مشغول به کار شدم