نشرت تحت تصنيف ALL، Wireless - Security

تأمين شبكات سيسكو اللاسلكية بواسطة MAC Address Filtering



أذكر أن أحد زملائي حكي لي يوما عن محاولة هكر الدخول  الي جهازه   و لما كانت طريقة إتصاله بواسطة خدمة Dial Up  فلم يكن لديه خيار  حينها إلا أن يقوم بغلق إتصال الإنترنت ثم إعاداة الإتصال مرة أخري ليقوم موفر الخدمة بتغيير IP الخاص به و هكذا فهم صديقي ساعتها أن تغيير هذا الأيبي سيمنع من دخول الهكر لديه , فصديقي قام بالتمويه بدون استخدام برمجيات  و ذلك بفهمه لبروتوكول IP  الموجود ضمن طبقة  Network

و  سواء نجحت هذه الطريقة أم لا إلا أن  تفكير صاحبي و تطبيقه لهذا الفعل يدل عن فهم لتأمين الشبكة طبقا لطبقات الشبكة OSI – عن قصد أو غير قصد –

ما أقصده من ذكري لهذا الأمر تثبيت و إقرار أن مدي فهمك لبروتوكولات طبقات الشبكة مساعدا رئيسيا  لإستراتيجيات التأمين

و من المعروف أنه  كلما نزلت في سلم طبقات OSI  كلما كان تأمينك للشبكة أعلي  و لا شك أن أكبر تأمين للشبكة هو  فصل الطاقة نهائيا عن الجهاز المصاب و بهذا فأنت ستنجح بنسبة 100% في تأمين الشبكة و ستفشل بنفس النسبة من الدخول ايضا علي شبكتك “علي و علي أعدائي J

منا أيضا من يؤمن منظومته  برمجيا  في “الطبقة السابعة ” و ذلك بواسطة برمجيات مضادات الفيروسات أو عن طريق استخدام حجب SSID  كما في الشبكات اللاسلكية

و منا من يؤمنه في طبقة session  و ذلك بإغلاق منافذ port  يعلم مسبقا أن أحدهم يستغلها لإختراقه

و هناك أجهزة و برمجيات تؤمن الشبكة بإستخدام أكثر من مستوي مثل برمجيات ISA  و أجهزة الفايروول مثل PIX و Bluecoat

و يعتبر تأمين الشبكة في الطبقة الثانية من أشد الطرق و أسهلها , فالطبقة الثانية Data Link تختص بعناوين الأجهزة MAC address أو Media Access Control address و هي عناوين لا تتكرر إطلاقا و تتكون من 12 حرف تتخيرها من ستة عشر رمزا هي

أرقام   من 0 الي 9 و حروف من A  الي F و تسمي بـ  السداسية عشر Hexadecimal و يكتب هكذا من ست مجموعات يفصل بينها : أو – مثل 01-23-45-67-89-ab, 01:23:45:67:89:ab و هناك نظام ىخر حيث يتكون العنوان من ثلاث  مجموعات مثل 0123.4567.89ab و في كل الأحوال يتكون العنوان من أثني عشر حرفا و رقما

و هذه العناوين توجد في الشبكة لكروت الإيثرنت المستخدمة في الإتصال الشبكي   و كذلك الراوترات و السويتشات و كافة أجهزة الشبكة و لا تتكر اطلاقا علي مستوي العالم و ليس الشبكة فقط

و لكل جهاز عنوان MAC يعرف به نوعه و الجهة التي صنعته  فمثلا الرقم الذي يبدأ بـ  00-06-25  خاص بمعدات شركة لينكسيس من سيسكو حيث يتم تخصيص دوما


و لأن هذه العناوين فريدة فنستطيع في الشبكات اللاسلكية  استخدامها في فلترة الأجهزة التي نسمح  أو لا نسمح بدخولها للشبكة  و هو ما يطلق عليه MAC Address Filtering   و لكن لابد أولا من معرفة هذا العنوان

و لكن كيف تستطيع معرفة هذه العناوين

لدينا عدة طرق أولها في حال استخدام شبكات سيسكو اللاسلكية فإن سيرفر WCS يظهر لك الأجهزة الدخيلة Rogue بعناوينها الفيزيائية سواء كانت أكسس بوينت أخري أو كمبيوتر في شاشة الأحداث هكذا


أو في شاشة الخرائط هكذا


و هناك طريقة أخري لمعرفة هذه الأجهزة و ذلك باستخدام برمجيات البحث عن عناوين IP في الشبكة مثل Advanced IP Scanner و الذي تظهر الصورة التالية الأجهزة التي تشاركني الإتصال اللاسلكي- أو بشكل أدق أشاركها الإتصال J– مع بيان اسمها و عناوين MAC الخاصة بها و شركات تصنيعها


بعد جلبك لرقم الكارت الذي تريد منعه ادخل علي صفحة إدارة الأكسس بوينت الخاص بك ثم قم بإضافة العناوين التي تريد حجبها و هذه طريق عملها علي D-Link Access point


 و كما تري فإن الأكسس بوينت منفردا لا يستطيع الا أن يحجب عشرين جهازا و هنا تأتي شبكات سيسكو اللاسلكية بجهاز الكنترولر الذي يستطيع أن يقوم بمركزية حجب 2500 عنوان سواء كان العنوان لجهاز كمبيوتر أو لأكسس بوينت أو أي جهاز لاسلكي يستطيع ولوج الشبكة و له عنوان فيزيائي

و يعيطك الكنترولر امكانية استخدام سيرفر مركزي لفلترة هذه العناوين باستخدام Raduis فقط ستدخل علي الكنترولر ثم ستتبع الصفحة Security > AAA > MAC Filtering الموجوده في الصورة و ستختار اماكن تواجد هذه العناوين و بالطبع سنجعلها local


ثم تضغط علي New لإدخال العناوين التي تريدها مع امكانية وضع وصف لكل عنوان كما تري


الآن لدينا قاعدة بيانات للعناوين كما تري

بعدها نقوم بتفعيل هذا الأمر بالضغط علي الخيار MAC Filtering و ستضمن منع هذه الأجهزة حتي لو لم يكن لديك أي نوع من التوثيق أو التشفير


 تستطيع ايضا استخدام سيرفر WCS و تستطيع أن تقوم بتحميل ملف تعريف كامل بهذه العناوين


يذكر أن هذه الطريقة ليست ناجحة 100 % فهناك برمجيات   تستطيع محاكاة  عناوين  MAC    في الشبكة و هو ما يسمي بالتمثيل الكاذب

فتستطيع طبعا تخطي هذا الحاجز الأمني بتغيير MAC لجهازك بأي من البرامج المشهورة بذلك مثل MAC Address Changer أو Mac Makeup و هو الأفضل لأنه يستخدم مدي من العناوين يتناسب مع الشركة المصنعة التي تختارها لإسناد MAC الجديد لها


تستطيع أيضا تغيير MAC لبورت الراوتر – لم أستطع مع السويتش – بواسطة الأمر التالي


و هذا الأمر أو هذه العملية تسمي MAC spoofing و هي شهيرة في مجال اختراق الشبكات اللاسلكية , و هنا ستجد العنوان الجديد و بجواره العنوان القديم


نادر المنسي

المعلق:

مهندس عربي يطمح و يساعد في الرقي بالمحتوي العربي للتكنولوجيا عبر ترجمة و اعداد مقالات و كتب علمية في مجال الشبكات و الإتصالات السلكية و اللاسلكية

3 آراء على “تأمين شبكات سيسكو اللاسلكية بواسطة MAC Address Filtering

  1. هل توجد طريقه اعرف من خلالها من يستخدم روتر الوايرلس تبعي .. ما اريده معرفه ماك ادرس معين وبالتالي منعه من استخدام الوايرلس

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار وردبرس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google+ photo

أنت تعلق بإستخدام حساب Google+. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s