تنظيمات access list ها و امنيت در شبکه

پس از آنکه تنظيمات اينترفيس هاي روتر انجام شد، لحظه اي بايد درنگ کرد تا ببينيم آيا شبکه اي که از طريق اين اينترفيس ها، امکان اتصال به آن فراهم شده است شبکه امني خواهد بود.ممکن است شما يک وب سرور داشته باشيد و تنها مايليد به بسته هايي اجازه ورود به شبکه خود را بدهيد که فقط مربوط به وب سرور مي باشند و مايليد که اجازه هرگونه ارتباط ديگر را با سرورهاي داخل شبکه خود را از اينترنت بگيريد.در چنين مواردي روش معمولي که بکار مي رود استفاده از access list ها مي باشد.شما در روتر خود با تعريف يکسري access list خاص اجازه ورود هر بسته اي به شبکه بجز بسته هاي مربوط به وب سرور را مي گيريد.

سيسکو دو نوع کلاس متفاوت از access list در درون روترهاي خود قرار داده است.در اولين کلاس که به آن access list استاندارد مي گويند تنها مي توان آدرس مبدا(source address) را فيلتر کرد.براي نامگذاري اين access list ها از شماره 1 تا 99 مي توان استفاده کرد.کلاس دوم که access list توسعه يافته ناميده مي شود از شماره 100 شروع شده و تا199 ادامه مي يابد و مي توان فيلتر مورد نظر را روي فيلدهاي آدرس مبدا(source address)، آدرس مقصد (destination address)، پروتکل(protocol) و پورت(protocol port) اعمال نمود.

پس از آنکه يک access list ساخته شد بايد آنرا به يک اينترفيس نسبت داد تا مورد استفاده قرار گيرد.در تنظيمات اينترفيس،از عبارت access-group براي اعمال يا حذف يک access-list از ان اينترفيس استفاده مي شود.به مثال زير توجه کنيد:

Interface serial0
Ip access-group 101 in
Ip access-group 6 out

در مجموعه دستورات فوق فيلترهاي موجود در access list توسعه يافته شماره 101 بر روي بسته هاي ورودي به اينترفيس serial0 اعمال خواهد شد.همچنين فيلترهاي موجود در access list استاندارد شماره 6 بر روي بسته هاي خروجي از اينترفيس serial0 اعمال مي شوند. به عنوان مثال access list شماره 6 را به صورت زير تعريف مي کنيم:

Access-list 6 permit 234.5.6.12
Access-list 6 deny 5.10.10.32 0.0.0.31
access-list 10 permit 5.10.0.0 0.0.255.255

در خط اول به ترافيک ارسالي از آدرس 234.5.6.12 اجازه عبور داده مي شود. خط دوم ترافيک ارسالي از آدرسهاي 5.10.10.32 تا 5.10.10.63 را رد مي کند.

در access list ها، سيسکو به جاي netmask از wildcard mask استفاده مي کند. تفاوت آن با netmask در اين است که netmask  از چپ به راست عمل مي کند ولي wildcard از راست به چپ.در خط انتهايي با استفاده از wildcard mask حوزه آدرسها مشخص شده است.آدرسهايي که با 5،10، شروع مي شوند. يعني اين خط به ترافيک ارسالي از آدرسهاي 5.10.0.0 تا 5.10.255.255 اجازه عبور مي دهد.در رابطه با access list ها بايد به چند مسئله توجه کرد:

1-                              access list ها طراحي شده اند تا به ترافيکهاي مورد نظر اجازه عبور داده شود.يعني فرض بر آن است که تمام ترافيکها deny مي شوند و براي ترافيکي که مي خواهيم عبور داده شود با استفاده از access list اجازه عبور صادر مي کنيم.

2-                              پردازش access list وقت زيادي از پردازنده را مي گيرد.بنابراين وروديهايي که بيشتر مورد استفاده قرار مي گيرند را بايد در ابتداي access list قرار داد تا تعداد پردازش انجام شده کاهش يابد زيرا پردازش access list از ابتدا به انتها انجام مي شود و اولين ورودي که شرايط مورد نظر را داشته باشد نتيجه اعمال شده و بقيه access list پردازش نخواهدشد.

3-                              نکته ديگري که بايد مورد توجه قرار گيرد اين است که تغييرات در روتر بصورت آني اعمال مي شوند.بنابراين به هنگام تغيير محتويات يک access list بهتر است ابتدا آنرا از اينترفيس مربوطه پس بگيريم و سپس پس از پايان تغييرات دوباره آنرا به اينترفيس مورد نظر اعمال کنيم.

ساختن access list توسعه يافته معمولا دشوارتر است.از آنجائيکه access list توسعه يافته هم آدرس مبدا و هم آدرس مقصد را تحت تاثير قرار مي دهد بنابراين در هر ورودي access list دو قسمت مورد نياز است.يک مثال کوتاه در ادامه آمده است:

access-list 101 permit tcp any any established
access-list 101 permit tcp any 204.34.5.25 host eq 80
access-list 101 permit ip 203.45.34.0 0.0.0.255 204.34.5.0 0.0.0.255
access-list 101 permit tcp 203.44.32.0 0.0.0.31 204.34.5.0 0.0.0.255 eq telnet
access-list 101 permit tcp any 204.34.5.10 eq smtp

خط اول به ترافيک مربوط به tcp که داراي فلگ established باشند اجازه عبور مي دهد.اين بدان معني است که access list به ترافيک ورودي مربوط به کليه اتصالاتي که از داخل با بيرون برقرار شده اجازه عبور به داخل را مي دهد.اين خصيصه بسيار مهمي است چون ترافيک مربوط به اتصالات tcp که با خارج برقرار شده است بر روي پورتي که به صورت random انتخاب مي شود ارسال مي شوند با استفاده از فيلد فلگ ترافيک مي توان به آنها اجازه عبور داد و نيازي به دانستن شماره پورت نمي باشد.
نکته ديگري که در مورد اين خط اول وجود دارد اين است که اتصالات tcp از خارج به داخل تنها براي برقراري ارتباط اوليه نياز به پردازش چند خط از access list را دارند و بعدا که ارتباط برقرار شد فيلد فلگ ترافيک ارسالي برابر established شده و در access list تنها همين خط اول پردازش شده و چون تطابق برقرار است به ترافيک اجازه عبور داده شده و پردازش access list پايان مي يابد.بنابراين محل قرار گيري اين خط در ابتداي access list بسيار مهم است.

در خط دوم ديده مي شود که به جاي فيلد wildcard mask عبارت Host قرار گرفته است.هر گاه که يک آدرس IP مشخص را استفاده کنيم در wildcard همين عبارت host قرار مي گيرد.در بقيه خطوط نيز مطلب جديدي وجود ندارد و با توجه به توضيحات قبلي قابل فهم مي باشد

در IOS برای match کردن و Packet filtering روتر از مفهومی به نام ACL استفاده می کنه. تمامی این ها به صورت Ordered قرار دارند و اگر که تعداد این entry ها زیاد باشد عمل search کردن در ارسال packet ها Processing & Forwarding Delay به مبزان قابل توجهی افزایش پیدا میکنه . به علاوه استفاده از ACL های زیاد میزان قابل توجهی CPU Time & Load تحمیل می کنه. برای رفع این مشکل Cisco قابلیتی به نام Turbo ACL رو به IOS اضافه کرده است. در TACL T تمام ACL ها Compiled می شوند و در درون Lookup Table کوچکی قرار می گبرند که تمام Packet Header ها با اونها تطبیق داده می شود و به role های از پیش تعیین شده تبدیل می شوند. و درنتیجه زمان کمتری برای Match کردن Packet ها نیاز است که تقریبا ثابت است و در کاهش CPU Time & Overload بسیار تاثیر گذار است. البته در صورت وجود Time-range ACL این قابیت کاربرد نداره به دلیل اینکه Processing بیشتری بر روی Packet احتیاج داشت.

برای استفاده از TACL ، تنها کافی است که در Config Mode ، عبارت access-list compiled وارد شود. به منظور Verfiry کردن و اطلاع از جزئیات ، entry ها و میزان حافظه مورد اشغال شده می شود که از فرمان show access-list compiled استفاده کرد.

 

 IOS Commands

 Privileged Mode
enable - get to privileged mode
disable - get to user mode
enable password - sets privileged mode password
enable secret - sets encrypted privileged mode password

ادامه مطلب

ايجاد كاربر در سيسكو

تعريف يک کاربر و پسورد آن بسادگی يک خط دستور است:

 

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#username test password test

 

ميتوان چندين کاربر با سطوح مختلف دسترسی تعريف کرد در مثال بالا سطح دسترسی کاربر در حد User-mode است و در صورتيکه Secret را بداند ميتواند به Privilege-mode دست يابد در مثال زير کاربری با سطح دسترسی عالی تعريف ميکنيم:

 

Router(config)#username admin privilege 15 password admin123

 

    سپس, برای اين که به روتر بگوييم در زمان وصل شدن کاربر از طريق Telnet از ليست کاربران بجای Telnet password (که در قبل تنظيم کرديم) استفاده کند، اين گونه عمل ميکنيم:

 

Router(config)#line vty 0 4

Router(config-line)#login local

Router(config-line)#exit

 

 سپس امتحان ميکنيم:

Command Prompt>telnet 192.168.100.1

 

User Access Verification

 

Username: test

Password: test

Router>

 

و اين بار با کاربر admin امتحان ميکنيم:

Command Prompt>telnet 192.168.100.1

 

User Access Verification

 

Username: admin

Password: admin123

Router#

 

تفاوت اين است که کاربر admin در محيط privilege وارد شد و نياز به Secret ندارد چون در زمان تعريف سطح دسترسی Privilege 15 را به او داديم. اگر در زمان تمرين روتر شما بدين صورت عمل نکرد, IOS قديمی داريد و بايد توسط AAA Authorization اين عملکرد تعريف گردد که بعدا به آن ميپردازيم.

 

1- امنيت در شبكه بيسيم:

بدليل سهولت در استفاده و آساني نصب، استفاده از شبكه هاي بيسيم روز به روز بيشتر مي شود. همچنين تمامي تجهيزاتي كه امروزه توليد مي شود مانند Laptop ها، پرينترها، پويش گرها و.... داراي قابليت هاي بيسيم مي باشند ،كه اين خود دليل بر افزايش استفاده از شبكه هاي بيسيم مي باشد.با گسترش شبكه هاي بيسيم امنيت در اين شبكه ها نيز از اهميت بيشتري برخوردار شده است. امنيت در شبكه هاي بيسيم همانند شبكه هاي مبتني بر سيم مي باشد ، با اين تفاوت كه رسانا در اين شبكه هوا مي باشد و باعث گسترش محدوده استفاده از اين شبكه ها مي شود. شبكه هاي بيسيم با پياده سازي روشهاي امن ، هكرها را بر آن داشت تا براي نفوذ در اين روشها و اختلال در ارتباط بيسيم ابزار جديد و ذهن خلاق خود را بكار اندازند. بسياري از شركتها سعي بر آن دارند كه اطلاعات حساسي را روي شبكه بيسيم خود نداشته باشند، بدون توجه به اين موضوع كه شبكه بيسيم در ادامه به شبكه سيمي خود متصل هستند و نفوذ گرها براحتي مي توانند با استفاده از Laptop خود به شبكه بيسيم نفوذ كرده و از اين راه وارد شبكه مبتني بر سيم سازمان شوند.

 ‌

2- خطرات و آسيب پذيري هاي شبكه بيسيم:

در كنار مزايا و تسهيلاتي كه شبكه هاي بيسيم براي كاربران فراهم مي سازند خطرات و آسيب پذيري هايي نيز ‌ به دنبال خواهند داشت. شبكه هاي بيسيم زمينه اي مناسب براي كسب نتيجه اي قابل قبول از حمله مي باشند. بدين معني كه درصد نفوذهاي موفق به آنها بالاتر از شبكه هاي مبتني بر سيم مي باشد.

 ‌

3- ماهيت رسانا در شبكه هاي بيسيم:

 ‌رساناي مورد استفاده در شبكه هاي مبتني بر سيم توسط ‌ ديوار يا ساختمانها مسدود و كنترل مي شوند.

براي دسترسي به شبكه ‌ مبتني بر سيم، نفوذ گر مي بايست امنيت فيز يكي را پشت سر گذاشته (از امنيت فيز يكي عبور نمايد) يا اينكه به فايروال نفوذ كند. ولي شبكه هاي بيسيم از هوا استفاده مي كنند كه رسانايي، غير قابل كنترل مي باشد. سيگنال شبكه هاي بيسيم از ديوار سقف و پنجره ساختمانها تا شعاع چند صد متري هم عبور مي كنند . علاوه بر آن رساناي شبكه بيسيم هوا مي باشد كه يك رساناي اشتراكي مي باشد و نفوذ گرها براحتي مي توانند از اين رسانا استفاده كرده و اطلاعات مورد نظر خود را بدست آورند. ابزارها و لوازم زيادي وجود دارد كه نفوذ گر را قادر به شكستن روش هاي رمز نگاري و تشخيص هويت در شبكه هاي بيسيم مي سازد.

 ‌

۴- تجهيزات نا امن بيسيم:

تجهيزات نا امن شبكه هاي بيسيم شامل Accesspoint ها و ايستگاه كاري كاربران خطر جدي در نفوذ گرها به شبكه بيسيم و در ادامه شبكه مبتني بر سيم خواهند بود.

 ‌

5- AP (AccessPoint ) هاي نا امن:

AP ها مي توانند نا امن باشند در صورتي كه در تنظيمات آنها و يا طراحي، ضعف امنيتي وجود داشته باشد. AP ها با تنظيمات پيش فرض نا امن هستند آنها داراي نام كاربري و كلمه هاي عبور پيش فرض بوده و SSID (Service Set Identifiers ) خود را بصورت Broadcast ارسال مي كنند و معمولا" ارتباط برقرار شده توسط اين AP ها بدون رمز نگاري و تشخيص هويت انجام مي شود. اگر Ap ها با تنظيمات پيش فرض نصب و راه اندازي گردند،راه آسان ‌ براي ورود هكرها به شبكه بيسيم و در ادامه به ‌ شبكه سيمي خواهند بود.

نفوذ گرها مي توانند كامپيوتر شخصي خود را به AP نرم افزاري تبديل كنند اين كار توسط نرم افزار هايي چون Airsnark, HostAP, Hotspotter، و يا يك كارت شبكه بيسيم USB انجام مي شود .در اين روش نفوذ گر مي تواند خود را به عنوان يك AP معرفي كرده و كاربران به كامپيوتر نفوذ گر متصل شوند. و براحتي اطلاعات و دستگاه هاي آنها را تسخير كنند.

 ‌

 ‌

6- ايستگاه كاري نا امن:

ايستگاه كاري نا امن بيسيم مانند Laptop يا دستگاه هاي كارت خوان و... خطر بيشتري از AP ها براي امنيت سازمان مي باشند. تنظيمات پيش فرض دستگاه ها، امنيت كمي را پيشنهاد مي كند و درصد خطا در تنظيمات آنها نيز وجود دارد. نفوذ گرها مي توانند از هر ايستگاه كاري بيسيم براي اجراي ابزارهاي ورود به شبكه استفاده كنند.

AP ها ميتوانند به تنظيمات پيش فرض باز گردند ،در صورتيكه در سيستم آنها مشكلي ايجاد شده و يا دكمه reset فشار داده شود كه در اين حالت بايد دوباره تنظيم شوند.

 ‌

7- جعبه ابزار نفوذگر:

ابزار نفوذ به شبكه هاي بيسيم بسيار زياد و به راحتي در دسترس مي باشند و هر روز ابزار جديدي به اين مجموعه اضافه مي شود. مديران امنيت بايد با اين ابزارها آشنا شده و روشهاي جلوگيري از نفوذ توسط اين ابزارها را پياده سازي كنند.

نمونه اي از اين ابزارها عبارتند از :

Net Stumbler ‌ ‌ ‌ ‌ ‌ ‌ www. Netstumbler.com

Kismet ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ www. Kismet wireless.net

Ethereal ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ www. Ethereal.com

Air jack ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ www. Sourceforge.net ‌

IKEcrack ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ‌ ikecrack.sourceforg.net

ابزار هاي ‌ Sniff وScan ‌ شبكه هاي محلي بي سيم

 ‌

ابزارهاي مبتني بر ويندوز و ساده و رايگان همانند  ‌NetStumbler امواج هوا را scan كرده و ‌ با جستجوي access point هايي كه  ‌ ‌Access ID خود را broadcast مي كنند ٬ راه بسيار ساده اي براي كشف شبكه هاي باز فراهم مي كنند. ابزار هاي پيشرفته تري همانند Kismet ‌ نيز بر بستر لينوكس معرفي شده اند.  ‌Kismet بصورتي نامحسوس ( Passive ) ترافيك شبكه را ذخيره و مانيتور مي كند. هر دوي اين نرم افزار ها  ‌Netstumbler و Kismet از اطلاعات  ‌GPS ( سيستم موقعيت يابي جهاني ) براي نگاشت مكان دقيق ‌ شبكه هاي محلي بي سيم ‌ استفاده مي كنند.

 ‌

 ‌

Driver ها و مهاجمان از اين ابزار استفاده مي كنند تا وجود فيزيكي شبكه بي سيم را تشخيص دهند ٬ فارغ از اينكه اين شبكه ها امن هستند يا خير .

 ‌War Driver ها كساني هستند كه با يك laptop يا وسيله اي مشابه داخل و اطراف شهرها مي گردند تا سيگنالهايي از شبكه اي بي سيم بيابند. سپس اين اطلاعات بر روي وب سايتي مانند www.wigle.net ‌ ( كه در حال حاضر بيش از 700,000  ‌access point ‌ و 1,100,000 شبكه بي سيم را ليست كرده است ) و www.wifinder.com ‌ قرار خواهد گرفت . هكرها از اين اطلاعات و ليست ها استفاده مي كنند تا  ‌access point هايي را با  ‌SSID ٬ Mac آدرس يا شماره فيزيكي مشترك در يك آدرس و موقعيت بيايند.

 ‌

آنتن ها

 ‌

براي اتصال با شبكه هاي محلي بي سيم از راه دور ٬ هكر ها يا از انواع بسيار متنوع آنتن هاي تجاري استفاده مي كنند ٬ يا اينكه به راحتي آنتن هاي خود را با قوطي خالي چيپس  ‌Pringle و يا هر وسيله مشابه فلزي ديگري مي سازند. اين آنتن ها هكرها را قادر مي سازند تا امواج 802.11 را از فاصله چند هزارمتري دريافت كنند . آنها مي توانند به شبكه دسترسي داشته باشند در حالي كه كاملا دور از چشم همه قرار دارند.

 ‌

 ‌

ابزار هايي كه رمزنگاري  ‌WEP را مي شكنند

 ‌

هكرها از ابزاري همانند  ‌WEPwedgie ٬ WEPCrack ٬ ‌ WEPAttack ٬ BSD-Airtools و AirSnort براي شكستن رمزنگاري استاندارد WEP ( Wired Equivalent Privacy ) استفاده مي كنند . اين ابزار از آسيب پذيري هاي(  ‌vulnerability ) ‌ ‌ موجود درالگوريتم رمزنگاري WEP استفاده مي كنند ٬ بدين شكل كه بصورت نامحسوس ( Passive ) ترافيك شبكه محلي بي سيم را زير نظر مي گيرند تا زمانيكه اطلاعات كافي براي تشخيص الگو ( pattern ) بدست آورند. سپس از اين اطلاعات براي شكستن كليد (KEY) رمزنگاري استفاده مي كنند. WEPwedgie و BSD-Airtools زمان طولاني مورد نياز براي شكستن كليد هاي بلند  ‌WEP را به حد اقل مي رسانند و اين زمان را با استفاده از تكنيك تزريق ترافيك ( traffic i‌nsertion ) ٬ از چند روز به چند ساعت تقليل مي دهند . در اين روش حجم وسيعي ترافيك كاذب براي بازيابي كليد ايجاد مي شود . معمولا" براي برپايي يك WEP دستي ٬ اغلب تنها از يك كليد منفرد از چهار كليد براي گسترش شبكه استفاده مي كنند ٬ كه در مدت زمان بسيار كوتاه تري مي توان شبكه را كاملا" تسخير كرد. با وجود آسيب پذيري ها ٬  ‌WEP همچنان مورد استفاده قرار مي گيرد. نسل جديد رمزنگاري ها از پروتكل  ‌TKIP استفاده مي كند كه امتيازاتي همچون Per Packet Key Mixing ٬ Integrity Check و يك مكانيسم Re-Keying را فراهم مي نمايد . كليد ها به اندازه اي زود تغيير مي كنند كه مانع تسخير و سوء استفاده شوند. اما چون اطلاعات روي هوا فرستاده مي شود امكان دسترسي به آن وجود دارد و اگر رمزنگاري نشده باشد ٬ به راحتي قابل استفاده خواهد بود.

 ‌

ابزارشكستن احراز هويت (  ‌Authentication )

 ‌

هكر ها از ابزارهايي مانند  ‌THC-LEAPCracker براي شكستن يا تسخير انواع مختلف و متداول پروتكلهاي احراز هويت مبتني بر پورت براي 802.11X ‌ بي سيم ٬ مانند پروتكل  ‌LEAP ( Lightweight Extensible Authentication Protocol ) و يا  ‌PEAP ‌ ( Protected Extensible Authentication Protocol ) استفاده مي كنند .

اين پروتكل ها براي استفاده شبكه هاي محلي با بستر سيمي ٬ كه از نظر فيزيكي در محيطي امن قرار دارند طراحي شده اند. زماني كه اطلاعات در محيط اشتراكي و غير قابل كنترل بي سيم پراكنده مي گردد ٬ هكر ها به راحتي مي توانند گواهينامه هاي احراز هويت را spoof ٬ jump in the middle ‌ و يا بوكشي كنند.

 ‌

حملات متداول شبكه هاي محلي بي سيم

 ‌

اين قسمت چند حمله متداول بر روي شبكه هاي محلي بي سيم را بيان مي كند كه نمايانگر خطرات و ريسكهاي مشخص آن مي باشد. با گوناگوني و تنوع فعلي ابزار هاي هك كه بصورت گسترده اي در اينترنت موجود مي باشند حتي يك هكر نو آموز و تازه كار مي تواند بسياري از حملات منتشر شده را اجرا نمايد.

 ‌

تماس هاي تصادفي يا مغرضانه

 ‌

يك هكر مي تواند يك کاربر ساده را وادار نمايد تا بصورت کاملا نا خودآگاه به يك شبكه  ‌spoof شده 802.11 متصل شود و يا اينكه تنظيمات اين دستگاه را به گونه اي تغيير دهد که که در يک شبکه ad-hoc قرار گيرد. براي شروع ٬ يک هکر از يک laptop بعنوان يک access point ‌  ‌ ‌ ‌نرم افزاري استفاده مي کند ٬ که براي اين کار از ابزارهاي ‌ رايگاني همچون  ‌HostAP ٬ AirSnarf ٬ Hotspotter و يا ابزارهاي موجود تجاري مي توان استفاده کرد. ( بعنوان مثال شرکت هايي همچون  ‌PCTel نرم افزار هاي تجاري توليد مي کنند که تجهيزات 802.11 را به  ‌access point تبديل مي کنند.)

 ‌

همينطور که کامپيوتر قرباني يک درخواست براي اتصال به يک  ‌access point را broadcast مي کند٬  ‌access point نرم افزاري هکر به اين درخواست پاسخ مي دهد و يک اتصال بين اين دو برقرار مي گردد. سپس اين  ‌access point نرم افزاري ‌ يک آدرس  ‌IP به اين کامپيوتر اختصاص مي دهد . پس از اينکه اين کار انجام شد٬ هکر مي تواند کامپيوتر قرباني را  ‌scan  ‌کرده و در آن به گشت و گذار بپردازد ٬ اطلاعاتي را بربايد ٬ Trojan Horse و يا  ‌Spyware نصب کند ٬ و يا اگر کامپيو تر قرباني به يک شبکه مبتني بر سيم متصل باشد ٬ از اين کامپيوتر مي تواند بعنوان راه ارتباط ‌ براي نفوذ به سرور هاي ديگر اين شبکه استفاده کند.

شبکه هاي محلي بي سيم دستخوش دگرگوني فراوان هستند و اغلب ايستگاه هاي کاري نمي دانند به کدام access point متصل هستند. و از آنجايي که اغلب هيچگونه احراز هويتي براي اتصال به  ‌access point  ‌ها صورت نمي گيرد٬ ايستگاه هاي کاري مي توانند فريب خورده و يا مجبور به اتصال با يک  ‌access point نا امن شوند. اين يک آسيب پذيري در لايه 2 (  ‌Data Link ) از مدل 7 لايه شبکه (  ‌OSI:Open System Interconnection)  ‌مي باشد. نه احراز هويت لايه 3 (شبکه) هيچگونه محافظتي در مقابل آن ارائه نمي دهد و نه استفاده از شبکه هاي مجازي شخصي  ‌(  ‌VPN) . احراز هويت لايه 2 شبکه هاي محلي بي سيم مبتني بر  ‌802.1x براي محافظت در مقابل ارتباطات مشکوک مي تواند مفيد باشد ولي داراي آسيب پذيري هاي زيادي است .

 ‌

 ‌يک ارتباط مغرضانه و مشکوک سعي در شکستن  ‌VPN و يا موازين امنيتي ندارد ٬ولي در عوض از لايه 2 براي تسلط برclient ها ‌ استفاده مي كند. براي جلوگيري از اتصال کاربرها به  ‌access point ها و شبکه هاي غير مجاز شرکت ها بايد مرتبا" امواج حوالي شبکه ي بي سيم خود را بررسي کنند تا از هرگونه خطراحتمالي مطلع شوند .