فهم أمان شبكات Wi-Fi: مقارنة شاملة بين WEP, WPA, WPA2, و WPA3
Aldawsari 
عند إعداد شبكة Wi-Fi جديدة، قد يبدو اختيار نوع كلمة المرور المناسب قرارًا عشوائيًا. ففي النهاية، تبدو بروتوكولات WEP و WPA و WPA2 و WPA3 متشابهة إلى حد كبير في أسمائها. كلمة المرور هي كلمة مرور، فما هو الفرق الحقيقي؟ يتضح أن الفارق قد يتراوح بين 60 ثانية وبلايين السنين! فليست جميع أنواع تشفير Wi-Fi متساوية في قوتها أو مستوى الأمان الذي توفره.
في هذا المقال، سنستكشف الفروقات الجوهرية بين هذه البروتوكولات الأربعة، وكيف يمكنك حماية شبكتك المنزلية أو المؤسسية بأفضل شكل ممكن.
Wired Equivalent Privacy (WEP): البدايات الهشة لأمان Wi-Fi
في بدايات عصر Wi-Fi، كان بروتوكول WEP (اختصار لـ Wired Equivalent Privacy) هو المعيار السائد. تم تقديم هذا البروتوكول في عام 1997 بهدف توفير مستوى أمان مكافئ للاتصالات السلكية. ولكن، سرعان ما أصبح مصطلح “مهمل” (deprecated) هو الوصف الأدق له، مما يعني “يجب التوقف عن استخدامه”.
حتى عند إطلاقه، كان بروتوكول WEP معروفًا بنقاط ضعفه، وذلك لسببين رئيسيين: آلية التشفير الأساسية التي يعتمد عليها، والقيود الحكومية التي فرضت في فترة الحرب العالمية الثانية. كان تأثير فك الشفرات (أو تحليل التشفير) هائلاً خلال الحرب العالمية الثانية، مما دفع الحكومات إلى فرض قيود صارمة على تصدير التقنيات التشفيرية. في فترة ظهور WEP، تسببت قيود الحكومة الأمريكية على تصدير تكنولوجيا التشفير في جعل الشركات المصنعة لنقاط الوصول (Access Points) تحد من أجهزتها لتشفير 64 بت.
على الرغم من رفع هذا القيد لاحقًا إلى 128 بت، إلا أن هذا الشكل من التشفير كان يقدم حجم مفتاح محتمل محدودًا للغاية. وقد أثبت هذا الأمر أنه مشكلة كبيرة لـ WEP، حيث أدى صغر حجم المفتاح إلى سهولة كسر التشفير باستخدام هجمات القوة الغاشمة (brute-force attacks)، خاصة عندما لا يتم تغيير المفتاح بشكل متكرر.
آلية التشفير الضعيفة في WEP
تعتمد آلية التشفير الأساسية في WEP على خوارزمية RC4 stream cipher. اكتسبت هذه الخوارزمية شعبية بسبب سرعتها وبساطتها، لكن هذا جاء على حساب متانتها؛ فهي ليست الخوارزمية الأكثر قوة. يستخدم WEP مفتاحًا مشتركًا واحدًا بين جميع المستخدمين يجب إدخاله يدويًا على جهاز نقطة الوصول. وهذا يطرح سؤالاً: متى كانت آخر مرة غيرت فيها كلمة مرور Wi-Fi الخاصة بك؟
لم يزد WEP الطين بلة إلا بدمج المفتاح ببساطة مع متجه التهيئة (initialization vector - IV)، مما يعني أنه كان يخلط أجزاءه السرية معًا على أمل أن يكون كل شيء على ما يرام. متجه التهيئة (IV) هو مدخل ثابت الحجم لخوارزمية تشفير منخفضة المستوى، ويكون عادةً عشوائيًا. ولكن عند دمج هذا مع استخدام RC4، أصبح WEP عرضة بشكل خاص لهجمات المفاتيح ذات الصلة (related-key attack).
في حالة WEP بنظام 128 بت، يمكن كسر كلمة مرور Wi-Fi الخاصة بك باستخدام أدوات متاحة للجمهور في غضون 60 ثانية إلى ثلاث دقائق فقط. وعلى الرغم من أن بعض الأجهزة قدمت إصدارات WEP بنظام 152 بت أو 256 بت، إلا أن هذا لم يحل المشكلات الأساسية لآلية التشفير الخاصة بـ WEP. لذا، من الواضح أن هذا البروتوكول لم يعد آمنًا ويجب تجنب استخدامه تمامًا.
Wi-Fi Protected Access (WPA): حل مؤقت لمشكلة الأمان
سعيًا لحل مشكلة ضعف الأمان في WEP، تم تقديم معيار مؤقت جديد يُعرف بـ Wi-Fi Protected Access (WPA). بدا الاسم بالتأكيد أكثر أمانًا، وكانت هذه بداية جيدة. ومع ذلك، بدأ WPA في الأصل باسم آخر أكثر وصفًا: بروتوكول تكامل المفتاح المؤقت (Temporal Key Integrity Protocol - TKIP).
تم التصديق على TKIP في معيار IEEE عام 2004، ويستخدم مفتاحًا يتم إنشاؤه ديناميكيًا لكل حزمة. كل حزمة يتم إرسالها تحتوي على مفتاح مؤقت فريد بحجم 128 بت، مما يحل مشكلة التعرض لهجمات المفاتيح ذات الصلة التي كانت سائدة في WEP بسبب استخدام المفتاح المشترك. كما يطبق TKIP تدابير أخرى مثل رمز مصادقة الرسالة (message authentication code - MAC).
تحسينات WPA ودوره في تعزيز الأمان
يُعرف MAC أحيانًا باسم المجموع الاختباري (checksum)، ويوفر طريقة تشفير للتحقق من أن الرسائل لم يتم تغييرها. في TKIP، يمكن أن يؤدي MAC غير الصالح أيضًا إلى إعادة توليد مفتاح الجلسة. إذا استقبلت نقطة الوصول MAC غير صالح مرتين في غضون دقيقة واحدة، يمكن مواجهة محاولة الاختراق عن طريق تغيير المفتاح الذي يحاول المهاجم كسره.
للأسف، وللحفاظ على التوافق مع الأجهزة الموجودة التي كان WPA يهدف إلى “ترقيعها”، احتفظ TKIP باستخدام نفس آلية التشفير الأساسية لـ WEP، وهي خوارزمية RC4 stream cipher. وعلى الرغم من أنه حسن نقاط الضعف في WEP، إلا أن TKIP أثبت في النهاية أنه عرضة لهجمات جديدة امتدت من الهجمات السابقة على WEP.
تستغرق هذه الهجمات وقتًا أطول قليلاً للتنفيذ مقارنة بـ WEP؛ على سبيل المثال، اثني عشر دقيقة في إحدى الحالات، و 52 ساعة في حالة أخرى. ومع ذلك، فإن هذا الوقت كافٍ لاعتبار TKIP لم يعد آمنًا. وبناءً عليه، تم إهمال WPA، أو TKIP، أيضًا. لذا، يجب تجنب استخدامه هو الآخر.
Wi-Fi Protected Access II (WPA2): معيار الأمان الذهبي
بدلاً من بذل الجهد في ابتكار اسم جديد تمامًا، ركز معيار Wi-Fi Protected Access II (WPA2) المحسن على استخدام خوارزمية تشفير أساسية جديدة. فبدلاً من RC4 stream cipher، يستخدم WPA2 خوارزمية تشفير كتل تُعرف بمعيار التشفير المتقدم (Advanced Encryption Standard - AES) لتشكيل أساس بروتوكول التشفير الخاص به.
بروتوكول CCMP وخوارزمية AES
يستمد البروتوكول نفسه، الذي يُختصر بـ CCMP، معظم أمانه من اسمه الطويل جدًا (ممازحًا): Counter Mode Cipher Block Chaining Message Authentication Code Protocol، والذي يُختصر إلى Counter Mode CBC-MAC Protocol، أو CCM mode Protocol، أو ببساطة CCMP. وضع CCM هو في الأساس مزيج من عدة أفكار جيدة؛ فهو يوفر سرية البيانات من خلال وضع العداد (CTR mode، أو counter mode). لتبسيط الأمر بشكل كبير، يضيف هذا الوضع تعقيدًا إلى البيانات النصية العادية عن طريق تشفير القيم المتتالية لتسلسل عد لا يتكرر. كما يدمج CCM أيضًا CBC-MAC، وهي طريقة تشفير كتل لإنشاء MAC.
تعتبر خوارزمية AES نفسها قوية جدًا. تم وضع مواصفات AES في عام 2001 من قبل المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST). وقد اتخذوا قرارهم بعد عملية اختيار تنافسية استمرت خمس سنوات، تم خلالها تقييم خمسة عشر مقترحًا لتصاميم الخوارزميات. ونتيجة لهذه العملية، تم اختيار عائلة من التشفيرات تُسمى Rijndael (هولندية)، وأصبحت مجموعة فرعية منها هي AES.
على مدار عقدين من الزمن، تم استخدام AES لحماية حركة مرور الإنترنت اليومية، بالإضافة إلى مستويات معينة من المعلومات السرية في الحكومة الأمريكية. وعلى الرغم من وصف هجمات محتملة على AES، إلا أنه لم يتم إثبات أي منها عمليًا في الاستخدام الواقعي حتى الآن. أسرع هجوم معروف على AES هو هجوم استعادة المفتاح الذي حسن من هجمات القوة الغاشمة على AES بمعامل حوالي أربعة أضعاف. كم سيستغرق هذا الهجوم؟ بعض مليارات السنين.
Wi-Fi Protected Access III (WPA3): مستقبل أمان Wi-Fi
يُعد WPA3 أحدث إصدار في سلسلة بروتوكولات WPA، وقد أصبح إلزاميًا للأجهزة الجديدة منذ الأول من يوليو 2020. ومن المتوقع أن يعزز هذا المعيار أمان WPA2 بشكل أكبر، حيث يسعى WPA3 إلى تحسين أمان كلمات المرور من خلال جعله أكثر مقاومة لهجمات القوائم الكلمية أو هجمات القاموس (word list or dictionary attacks).
ميزات WPA3 المتقدمة: مقاومة الهجمات وسرية التقديم
على عكس سابقيه، يقدم WPA3 أيضًا ميزة “السرية الأمامية” (forward secrecy). تضيف هذه الميزة فائدة كبيرة تتمثل في حماية المعلومات التي تم تبادلها سابقًا حتى لو تم اختراق مفتاح سري طويل الأمد. يتم توفير السرية الأمامية بالفعل بواسطة بروتوكولات مثل TLS باستخدام مفاتيح غير متماثلة لإنشاء مفاتيح مشتركة.
نظرًا لأن WPA2 لم يتم إهماله، يظل كل من WPA2 و WPA3 هما الخيارين الأفضل لأمان Wi-Fi.
لماذا لا تزال البروتوكولات القديمة متاحة رغم ضعفها؟
قد تتساءل لماذا لا تزال نقطة الوصول الخاصة بك تسمح لك باختيار خيار آخر غير WPA2 أو WPA3. السبب المحتمل هو أنك تستخدم أجهزة قديمة (legacy hardware)، وهو ما يطلق عليه التقنيون “جهاز توجيه والدتك”. نظرًا لأن إهمال WEP و WPA حدث مؤخرًا نسبيًا، فمن الممكن في المؤسسات الكبيرة وكذلك في المنازل العثور على أجهزة قديمة لا تزال تستخدم هذه البروتوكولات.
حتى الأجهزة الأحدث قد تكون لديها حاجة تجارية لدعم هذه البروتوكولات القديمة. بينما قد أتمكن من إقناعك بالاستثمار في جهاز Wi-Fi جديد متطور، فإن معظم المؤسسات لديها اعتبارات مختلفة. للأسف، الكثيرون لا يدركون بعد الدور المهم الذي يلعبه الأمن السيبراني في تلبية احتياجات العملاء وتعزيز الأرباح.
بالإضافة إلى ذلك، قد يتطلب التحول إلى بروتوكولات أحدث أجهزة داخلية جديدة أو ترقيات للبرامج الثابتة (firmware upgrades). خاصة في الأنظمة المعقدة في المؤسسات الكبيرة، قد يكون تحديث الأجهزة صعبًا من الناحية المالية أو الاستراتيجية.
عزز أمان شبكة Wi-Fi الخاصة بك: نصائح وإرشادات
إذا كان الخيار متاحًا، اختر دائمًا WPA2 أو WPA3. الأمن السيبراني مجال يتطور يوميًا، والتمسك بالماضي يمكن أن تكون له عواقب وخيمة. إذا لم تتمكن من استخدام WPA2 أو WPA3، فابذل قصارى جهدك لاتخاذ تدابير أمنية إضافية.
استخدام الشبكات الافتراضية الخاصة (VPN)
أفضل استثمار لأمانك هو استخدام شبكة افتراضية خاصة (Virtual Private Network - VPN). استخدام VPN فكرة جيدة بغض النظر عن نوع تشفير Wi-Fi الذي تستخدمه. على شبكات Wi-Fi المفتوحة (مثل تلك الموجودة في المقاهي) وعند استخدام WEP، من غير المسؤول تمامًا الاستغناء عن VPN. الأمر أشبه بالصراخ بتفاصيل حسابك المصرفي وأنت تطلب فنجان القهوة الثاني!
اختر مزود VPN يقدم ميزة مثل “مفتاح الإيقاف التلقائي” (kill switch) الذي يحظر حركة مرور شبكتك إذا انقطع اتصال VPN الخاص بك. هذا يمنعك من إرسال المعلومات عن طريق الخطأ عبر اتصال غير آمن مثل Wi-Fi المفتوحة أو WEP.
تجنب نقاط الوصول المشبوهة
عند الإمكان، تأكد من الاتصال فقط بالشبكات المعروفة التي تتحكم فيها أنت أو مؤسستك. تحدث العديد من الهجمات السيبرانية عندما يتصل الضحايا بنقطة وصول Wi-Fi عامة مقلدة، والتي تُعرف أيضًا باسم هجوم “التوأم الشرير” (evil twin attack) أو “تصيد Wi-Fi” (Wi-Fi phishing). يمكن إنشاء هذه النقاط الساخنة المزيفة بسهولة باستخدام برامج وأدوات متاحة للجمهور. يمكن أن يساعد VPN في التخفيف من الأضرار الناجمة عن هذه الهجمات أيضًا، ولكن من الأفضل دائمًا عدم المخاطرة من الأساس.
إذا كنت تسافر كثيرًا، ففكر في شراء نقطة اتصال محمولة (portable hotspot) تستخدم خطة بيانات خلوية، أو استخدام بطاقات SIM للبيانات لجميع أجهزتك.
الخلاصة التقنية
في الختام، يتضح أن بروتوكولات WEP و WPA و WPA2 و WPA3 هي أكثر بكثير من مجرد اختصارات متشابهة. إنها تمثل تطورًا حاسمًا في أمن شبكات Wi-Fi، حيث تتراوح الفروقات بينها من بضع ثوانٍ إلى مليارات السنين من حيث مقاومة الاختراق. بينما تُعتبر WEP و WPA بروتوكولات قديمة وغير آمنة ويجب تجنبها تمامًا، فإن WPA2 و WPA3 هما المعياران الذهبيان الحاليان لأمان الشبكات اللاسلكية.
يُعد اختيار WPA3 الخيار الأمثل نظرًا لميزاته المتقدمة مثل مقاومة هجمات القاموس والسرية الأمامية. في حال عدم توفره، يبقى WPA2 خيارًا قويًا وموثوقًا. الأمان السيبراني مسؤولية مشتركة، وفهم هذه البروتوكولات هو الخطوة الأولى نحو حماية بياناتك وخصوصيتك في عالم متصل بشكل متزايد. دائمًا ما يُنصح باتخاذ تدابير أمنية إضافية مثل استخدام VPN وتجنب الشبكات غير الموثوقة لضمان أقصى درجات الحماية.