چگونه یک شبکه وایفای مهمان امن در میکروتیک بسازیم؟

آیا تا به حال پیش آمده که مهمان، مشتری یا مراجعه‌کننده‌ای در شرکت یا حتی منزل از شما رمز عبور وای‌فای شبکه‌تان را بخواهد و شما از بابت امنیت اطلاعات مهم و سیستم‌های حساس متصل به شبکه اصلی‌تان نگران شده باشید؟ دادن مستقیم رمز عبور شبکه اصلی به افراد دیگر، نه‌تنها حریم خصوصی شما را به خطر می‌اندازد، بلکه مسیر را برای ورود بدافزارها و ویروس‌ها از دستگاه‌های ناامن مهمانان به شبکه داخلی شما باز می‌کند. اینجاست که ایجاد یک شبکه وایفای مهمان یا همان گوست نتورک (Guest Network) به عنوان یک راهکار قطعی و استاندارد وارد میدان می‌شود. در ادامه قصد داریم به‌صورت کاملاً عملی، حرفه‌ای و قدم‌به‌قدم به شما آموزش دهیم که چگونه یک وایفای مهمان امن و کاملاً جداگانه در روترهای میکروتیک راه‌اندازی کنید. با این کار هم مهمانان شما با خیالی آسوده به اینترنت متصل می‌شوند و هم شبکه اصلی شما از هرگونه نفوذ و تداخل در امان می‌ماند. در ادامه همراه ما باشید تا صفر تا صد ساخت یک شبک وایفای مهمان ایزوله را در میکروتیک بررسی کنیم.

شبکه وایفای مهمان (Guest Network) چیست ؟

در دنیای تجهیزات شبکه، شبکه وایفای مهمان به یک نقطه دسترسی (Access Point) بی‌سیم گفته می‌شود که منحصراً برای استفاده افراد غیرسازمانی، بازدیدکنندگان یا مهمانان موقت طراحی شده است. زمانی که شما یک وایفای مهمان راه‌اندازی می‌کنید، در واقع یک بستر مجزا روی همان روتر فیزیکی خود ایجاد کرده‌اید که تنها مسیری به سمت اینترنت دارد. دلیل اصلی نیاز به گوست نتورک، تفکیک دقیق ترافیک شبکه است.

فرض کنید در یک سازمان، سرورهای حسابداری، تلفن‌های ویپ (VoIP)، دوربین‌های مداربسته و کامپیوترهای پرسنل همگی به شبکه وای‌فای اصلی متصل هستند. اگر یک مهمان با دستگاهی که حاوی بدافزار یا ویروس است به این شبکه متصل شود، کل زیرساخت شما در معرض خطر اسکن شدن و نفوذ قرار می‌گیرد. با راه‌اندازی شبکه وایفای مهمان، این کاربران در یک محیط کاملاً محدود قرار می‌گیرند و هیچ‌گونه دسترسی به منابع داخلی نخواهند داشت.

مزایای راه اندازی گوست نتورک؛ از امنیت تا کنترل پهنای باند

استفاده از شبک وایفای مهمان ایزوله تنها به دادن یک رمز عبور متفاوت ختم نمی‌شود؛ این کار مزایای مدیریتی و امنیتی بی‌شماری در پی دارد. برخی از مهم‌ترین دلایلی که مدیران شبکه را به سمت ایجاد وایفای مهمان امن سوق می‌دهد عبارتند از:

• حفظ امنیت شبکه اصلی: کاربران متصل به گوست نتورک نمی‌توانند سایر دستگاه‌های موجود در شبکه اصلی را پینگ کنند یا به فایل‌های اشتراک‌گذاری‌شده دسترسی یابند.
• محافظت از رمز عبور اصلی: دیگر نیازی نیست رمز عبور پیچیده و اصلی روتر خود را به افراد متفرقه بدهید. بدین ترتیب نیازی به تغییر مکرر رمز شبکه سازمانی نخواهد بود.
• مدیریت پهنای باند (Bandwidth Control): می‌توانید با تعریف Queue در میکروتیک، سرعت دانلود و آپلود وایفای مهمان را محدود کنید تا دانلودهای مهمانان، باعث کندی اینترنت کارمندان نشود.
• اعمال محدودیت‌های زمانی و محتوایی: امکان محدودسازی دسترسی به وب‌سایت‌های خاص و زمان‌بندی استفاده اینترنت در شبکه وایفای مهمان به سادگی فراهم است.

برای درک بهتر، تفاوت‌های کلیدی را در جدول زیر مشاهده کنید:

پیش‌نیازهای ایجاد شبک وایفای مهمان ایزوله در میکروتیک

قبل از اینکه وارد محیط Winbox شویم و تنظیمات را اعمال کنیم، باید پیش‌نیازها و ساختار آدرس‌دهی را مشخص کنیم. برای داشتن یک وایفای مهمان امن، ما از قابلیت Virtual AP در میکروتیک استفاده می‌کنیم. نرم افزار Winbox را باز کرده و با مجوز Admin وارد روتر میکروتیک خود شوید. بدیهی است روتر شما باید دارای قابلیت وایرلس (Wireless) باشد.

برای نظم بخشیدن به آموزش، ما سناریوی آدرس‌دهی زیر را در نظر می‌گیریم. شما باید این مقادیر را مطابق با شبکه خود شخصی‌سازی کنید:

گام اول؛ ساخت Access Point (AP) مجازی برای وایفای مهمان امن

اولین قدم برای ساخت گوست نتورک، ایجاد یک اینترفیس وایرلس مجازی است تا یک نام شبکه (SSID) جدید در محیط پخش شود.

1. از منوی سمت چپ نرم‌افزار Winbox، روی گزینه Wireless کلیک کنید.
2. ابتدا باید یک رمز عبور اختصاصی برای شبکه وایفای مهمان خود تعیین کنید. به تب Security Profiles بروید و روی علامت + کلیک کنید.
3. نام پروفایل را guest-profile بگذارید. تیک گزینه‌های WPA2 PSK را بزنید و در بخش WPA2 Pre-Shared Key  رمز عبور مورد نظر برای مهمانان را وارد کرده و OK را انتخاب کنید.
4. حالا به تب WiFi Interfaces بازگردید. روی فلش کوچک کنار علامت + کلیک کرده و گزینه Virtual را انتخاب کنید.
5. در تب General، نام اینترفیس را wlan-guest قرار دهید.
6. به تب Wireless بروید. در کادر SSID، نامی که می‌خواهید مهمانان جستجو و پیدا کنند را بنویسید (مانند Company_Guest_WiFi).
7. در قسمت Master Interface، وایرلس فیزیکی و اصلی روتر (عموماً wlan1) را انتخاب کنید.
8. در کادر Security Profile، پروفایلی که در مرحله قبل ساختید (guest-profile) را انتخاب نمایید. با فشردن OK، سیگنال شبکه وایفای مهمان شما با موفقیت پخش خواهد شد.

گام دوم و سوم؛ اختصاص IP و راه‌اندازی DHCP Server برای وایفای مهمان

مهمانان پس از اتصال به نام وای‌فای شما، نیاز به آدرس IP دارند تا بتوانند بسته‌های دیتا را ارسال و دریافت کنند. برای ایزوله ماندن ساختار، ما یک رنج IP کاملاً متفاوت از شبکه اصلی به آن‌ها اختصاص می‌دهیم.

• تخصیص IP به اینترفیس: از منوی Winbox به مسیر IP > Addresses بروید و روی + کلیک کنید. در کادر Address، عبارت 10.10.10.1/24 (مطابق جدول پیش‌نیازها) را وارد کنید و در قسمت Interface، از منوی کشویی گزینه wlan-guest را انتخاب نمایید. این IP به عنوان Gateway برای گوست نتورک عمل می‌کند.
• راه‌اندازی سرویس DHCP: برای اینکه آدرس‌های IP به صورت خودکار به موبایل یا لپ‌تاپ مهمانان تخصیص یابد، به مسیر IP > DHCP Server بروید. روی دکمه DHCP Setup کلیک کنید.
• در پنجره باز شده، اینترفیس را رویwlan-guest  قرار دهید و دکمه Next را بزنید.
• تمام مراحل بعدی (شامل Address Space، Gateway، DNS Servers و Lease Time) را به صورت پیش‌فرض با زدن Next تایید کنید تا در نهایت پیغام نصب موفقیت‌آمیز به شما نمایش داده شود. اکنون وایفای مهمان امن شما مکانیزم آدرس‌دهی خودکار استانداردی دارد.

گام چهارم؛ تنظیمات NAT برای دسترسی به اینترنت در شبکه وایفای مهمان

تا این مرحله از کانفیگ، کاربران می‌توانند به شبکه وایفای مهمان متصل شوند و IP دریافت کنند، اما هنوز به اینترنت دسترسی ندارند. روتر میکروتیک شما باید بسته‌های داده‌ی مهمانان را ترجمه شبکه (NAT) کند تا قابلیت مسیریابی به دنیای وب را پیدا کنند.

1. از منوی اصلی نرم‌افزار، به مسیر IP > Firewall بروید.
2. وارد تب NAT شده و برای افزودن یک رول جدید روی + کلیک کنید.
3. در تب General، بخش Chain را روی srcnat تنظیم کنید.
4. در کادر Address، رنج آی‌پی مربوط به گوست نتورک (یعنی 10.10.10.0/24) را وارد نمایید.
5. در کادر Interface، اینترفیسی که اینترنت از طریق آن وارد روتر شما شده است (مثلاً ether1 یا کانکشن pppoe-out1) را مشخص کنید.
6. در نهایت به تب Action بروید، مقدار Action را روی masquerade قرار داده و OK کنید.

در حال حاضر کاربران متصل به وایفای مهمان دسترسی کامل به اینترنت دارند، اما برای دستیابی به یک شبک وایفای مهمان ایزوله باید گام نهایی و حیاتی فایروال را انجام دهیم.

گام پنجم؛ ایزوله کردن شبکه با فایروال میکروتیک (ایجاد شبک وایفای مهمان ایزوله)

در شرایط فعلی، مهمانان شما به اینترنت وصل هستند، اما متأسفانه امکان پینگ کردن تجهیزات شبکه اصلی شما (مانند رنج 192.168.1.0/24) و دسترسی به فایل‌های شیرینگ سازمان را دارند. برای اینکه این کانکشن به یک وایفای مهمان امن واقعی و غیرقابل نفوذ تبدیل شود، باید قوانین بازدارنده‌ای در فایروال روتر وضع کنیم.

قاعده منطقی ما در اینجا این است: «انتقال هرگونه پکت از سمت شبکه مهمان به شبکه سازمانی مسدود شود، اما ارتباط کاربران مهمان با اینترنت آزاد بماند».

1. مجدداً مسیر IP > Firewall را طی کنید، اما این بار وارد تب Filter Rules شوید.
2. روی دکمه + کلیک کنید.
3. در تب General، مقدار کادر Chain را روی forward قرار دهید (زیرا ترافیک در حال عبور از روتر است).
4. در کادر Interface، مبدأ ترافیک که شبکه مهمان است (wlan-guest) را انتخاب کنید.
5. در بخش Address، رنج آی‌پی شبکه اصلی سازمان (192.168.1.0/24) را تایپ کنید تا مقصد مسدودی مشخص شود.
6. به تب Action بروید و مقدار کشویی Action را روی drop (دور ریختن بسته‌ها) تنظیم کنید. با زدن OK، این قانون ثبت می‌شود.
7. نکته امنیتی تکمیلی: برای جلوگیری از دسترسی مهمانان به صفحه لاگین روتر میکروتیک (Winbox یا WebFig)، یک رول جدید بسازید. در تب General، مقدار Chain را input و Interface را wlan-guest بگذارید. سپس در تب Action، گزینه drop  را انتخاب نمایید. با این اقدام طلایی، یک دیواره آتشین بی‌نقص میان روتر و مهمانان کشیده‌اید.

با پیاده‌سازی این گام، شما یک شبک وایفای مهمان ایزوله با بالاترین ضریب امنیتی ایجاد کرده‌اید.

نتیجه‌گیری

راه‌اندازی شبکه وایفای مهمان در روترهای میکروتیک یکی از کلیدی‌ترین اقداماتی است که هر متخصص شبکه یا کاربر هوشمند برای صیانت از امنیت زیرساخت خود باید انجام دهد. در این راهنمایی به صورت اصولی بررسی کردیم که چگونه می‌توان با بهره‌گیری از ویژگی Virtual AP، یک گوست نتورک کاملاً مستقل خلق کرد. با تخصیص رنج IP اختصاصی، راه‌اندازی سرویس DHCP، اعمال دستورات NAT و در نهایت، نوشتن قوانین محافظتی در فایروال، موفق به ایجاد یک شبک وایفای مهمان ایزوله شدیم. این معماری اصولی به شما تضمین می‌دهد که حتی اگر آلوده‌ترین دستگاه‌ها هم به وایفای مهمان امن شما متصل شوند، هیچ آسیبی متوجه داده‌های حیاتی و شبکه سازمانی شما نخواهد شد. آیا مایل هستید برای قدم بعدی، تنظیمات محدودیت سرعت را روی این شبکه مهمان پیاده‌سازی کنیم؟

سوالات متداول

1. آیا ساخت وایفای مهمان باعث افت سرعت اینترنت در شبکه اصلی می‌شود؟

در حالت پیش‌فرض بله، زیرا هر دو شبکه از یک پهنای باند و بستر مشترک تغذیه می‌کنند. اما در سیستم عامل RouterOS میکروتیک می‌توانید با استفاده از بخش Queues، سقف سرعت دانلود و آپلود مشخصی را برای رنج IP شبکه مهمان لحاظ کنید تا هیچ‌گاه اینترنت اصلی سازمان دچار کندی نشود.

2. آیا در شبک وایفای مهمان ایزوله، خود کاربران مهمان می‌توانند فایل‌های یکدیگر را ببینند؟

به‌طور معمول بله، اما برای ایجاد نهایت امنیت و ایزولاسیون صددرصدی (Client Isolation)، کافیست در تنظیمات اینترفیس مجازی وایرلس خود، تیک گزینه Default Forward را بردارید. این کار مانع از ارتباط مستقیم دستگاه‌های متصل به یک Access Point با یکدیگر می‌شود.

3. چرا با وجود اتصال موفق به وایفای مهمان امن، دستگاه‌ها به اینترنت متصل نمی‌شوند؟

این مسئله عموماً از دو جا نشأت می‌گیرد: یا تنظیمات فایروال NAT (گام چهارم آموزش) با اکشن Masquerade به درستی پیکربندی نشده است، و یا در پروسه DHCP Setup، آدرس سرورهای DNS (مثل 8.8.8.8) به درستی وارد نشده‌اند که منجر به عدم توانایی ترجمه نام دامنه‌ها می‌شود.

4. آیا برای ساخت گوست نتورک در تجهیزات میکروتیک الزاماً به روترهای دو بانده (Dual Band) نیاز است؟

خیر، شما می‌توانید به کمک تکنولوژی Virtual AP، بر روی همان روترهای تک بانده (معمولاً فرکانس 2.4 GHz) نیز چندین نام شبکه (SSID) کاملاً مجزا پخش کنید. روترهای دو بانده صرفاً برای مدیریت بهتر ترافیک روی فرکانس‌های مختلف کارایی دارند.

5. چگونه متوجه شویم در حال حاضر چه کسانی به شبکه وایفای مهمان ما وصل هستند؟

شما می‌توانید با ورود به منوی Wireless و باز کردن تب Registration در Winbox، فهرستی کامل از دستگاه‌های متصل، آدرس MAC، قدرت سیگنال دریافتی و ترافیک لحظه‌ای آن‌ها را به تفکیک اینترفیس (از جمله وایفای مهمان) مشاهده و آنالیز کنید.