نواصل المحادثة حول طرق زيادة أمان الشبكة. سنتحدث في هذه المقالة عن إجراءات أمنية إضافية وتنظيم شبكات لاسلكية أكثر أمانًا.
مقدمة الجزء الثاني
في مقال سابق دارت مناقشة حول مشاكل أمان شبكة WiFi وطرق الحماية المباشرة ضد الوصول غير المصرح به. تم أخذ التدابير الواضحة لمنع اعتراض حركة المرور في الاعتبار: التشفير وإخفاء الشبكة وتصفية MAC، بالإضافة إلى أساليب خاصة، على سبيل المثال، مكافحة Rogue AP. ومع ذلك، بالإضافة إلى طرق الحماية المباشرة، هناك أيضًا طرق غير مباشرة. لا تساعد هذه التقنيات على تحسين جودة الاتصال فحسب، بل تساعد أيضًا في تحسين الأمان.
هناك ميزتان رئيسيتان للشبكات اللاسلكية: الوصول عن بعد بدون تلامس وهواء الراديو كوسيلة بث لنقل البيانات، حيث يمكن لأي مستقبل إشارة الاستماع إلى الهواء، ويمكن لأي جهاز إرسال أن يسد الشبكة بعمليات إرسال غير مجدية وببساطة تداخل راديوي. وهذا، من بين أمور أخرى، ليس له أفضل تأثير على الأمان العام للشبكة اللاسلكية.
لن تعيش بالسلامة وحدها. لا يزال يتعين علينا العمل بطريقة ما، أي تبادل البيانات. وفي هذا الجانب هناك العديد من الشكاوى الأخرى حول شبكة WiFi:
- الفجوات في التغطية ("البقع البيضاء")؛
- تأثير المصادر الخارجية ونقاط الوصول المجاورة على بعضها البعض.
ونتيجة لذلك، بسبب المشاكل الموضحة أعلاه، تنخفض جودة الإشارة، ويفقد الاتصال الاستقرار، وتنخفض سرعة تبادل البيانات.
بالطبع، سيكون من دواعي سرور محبي الشبكات السلكية أن نلاحظ أنه عند استخدام الكابلات، وخاصة اتصالات الألياف الضوئية، لا يتم ملاحظة مثل هذه المشاكل.
السؤال الذي يطرح نفسه: هل من الممكن حل هذه المشكلات بطريقة أو بأخرى دون اللجوء إلى أي وسيلة جذرية مثل إعادة توصيل جميع الأشخاص غير الراضين بالشبكة السلكية؟
أين تبدأ كل المشاكل؟
في وقت ولادة المكاتب وشبكات WiFi الأخرى، غالبًا ما اتبعوا خوارزمية بسيطة: لقد وضعوا نقطة وصول واحدة في وسط المحيط من أجل تحقيق أقصى قدر من التغطية. إذا لم تكن هناك قوة إشارة كافية للمناطق النائية، تمت إضافة هوائي مضخم إلى نقطة الوصول. نادرًا ما تمت إضافة نقطة وصول ثانية، على سبيل المثال، لمكتب مدير بعيد. ربما هذا هو كل التحسينات.
وكان لهذا النهج أسبابه. أولا، في فجر الشبكات اللاسلكية، كانت المعدات اللازمة لها باهظة الثمن. ثانيًا، كان تركيب المزيد من نقاط الوصول يعني مواجهة أسئلة لم يكن لها إجابات في ذلك الوقت. على سبيل المثال، كيفية تنظيم التبديل السلس بين العملاء بين النقاط؟ كيفية التعامل مع التدخل المتبادل؟ كيفية تبسيط وتبسيط إدارة النقاط، على سبيل المثال، التطبيق المتزامن للمحظورات/الأذونات، والمراقبة، وما إلى ذلك. لذلك، كان من الأسهل بكثير اتباع المبدأ: كلما قل عدد الأجهزة، كلما كان ذلك أفضل.
في الوقت نفسه، تبث نقطة الوصول، الموجودة تحت السقف، في مخطط دائري (بشكل أكثر دقة، جولة).
ومع ذلك، فإن أشكال المباني المعمارية لا تتناسب بشكل جيد مع مخططات انتشار الإشارة الدائرية. لذلك، في بعض الأماكن، لا تصل الإشارة تقريبًا، وتحتاج إلى تضخيمها، وفي بعض الأماكن يتجاوز البث المحيط ويصبح في متناول الغرباء.
الشكل 1. مثال على التغطية باستخدام نقطة واحدة في المكتب.
لاحظ. وهذا تقدير تقريبي لا يأخذ في الاعتبار عوائق الانتشار، فضلاً عن اتجاهية الإشارة. من الناحية العملية، قد تختلف أشكال المخططات لنماذج نقطية مختلفة.
ويمكن تحسين الوضع باستخدام المزيد من نقاط الوصول.
أولاً، سيسمح ذلك بتوزيع أجهزة الإرسال بشكل أكثر كفاءة عبر مساحة الغرفة.
ثانيا، يصبح من الممكن خفض مستوى الإشارة، ومنعها من تجاوز محيط المكتب أو أي كائن آخر. في هذه الحالة، من أجل قراءة حركة مرور الشبكة اللاسلكية، يجب عليك الاقتراب تقريبًا من المحيط أو حتى إدخال حدوده. يتصرف المهاجم بنفس الطريقة تقريبًا لاقتحام شبكة سلكية داخلية.
الشكل 2: زيادة عدد نقاط الوصول تسمح بتوزيع التغطية بشكل أفضل.
دعونا ننظر إلى كلتا الصورتين مرة أخرى. يُظهر الأول بوضوح إحدى نقاط الضعف الرئيسية في الشبكة اللاسلكية - حيث يمكن التقاط الإشارة على مسافة مناسبة.
وفي الصورة الثانية الوضع ليس متقدما جدا. كلما زاد عدد نقاط الوصول، زادت فعالية منطقة التغطية، وفي الوقت نفسه، لا تتجاوز قوة الإشارة تقريبا المحيط، تحدث تقريبا، خارج حدود المكتب والمكتب والمبنى وغيرها من الأشياء المحتملة.
سيتعين على المهاجم أن يتسلل بطريقة ما دون أن يلاحظه أحد من أجل اعتراض إشارة ضعيفة نسبيًا "من الشارع" أو "من الممر" وما إلى ذلك. للقيام بذلك، تحتاج إلى الاقتراب من مبنى المكاتب، على سبيل المثال، للوقوف تحت النوافذ. أو حاول الدخول إلى مبنى المكاتب نفسه. على أية حال، فإن هذا يزيد من خطر الوقوع في كاميرات المراقبة بالفيديو وملاحظة الأمن. وهذا يقلل بشكل كبير من الفاصل الزمني للهجوم. من الصعب أن نطلق على هذا "الظروف المثالية للقرصنة".
بالطبع، لا تزال هناك "خطيئة أصلية" أخرى: تبث الشبكات اللاسلكية في نطاق يمكن الوصول إليه ويمكن اعتراضه من قبل جميع العملاء. في الواقع، يمكن مقارنة شبكة WiFi بشبكة Ethernet HUB، حيث يتم نقل الإشارة إلى جميع المنافذ في وقت واحد. لتجنب ذلك، من الأفضل أن يتواصل كل زوج من الأجهزة على قناة التردد الخاصة به، والتي لا ينبغي لأحد أن يتدخل فيها.
وفيما يلي ملخص للمشاكل الرئيسية. دعونا نفكر في طرق حلها.
سبل الانتصاف: المباشرة وغير المباشرة
كما ذكرنا في المقالة السابقة، لا يمكن تحقيق الحماية المثالية بأي حال من الأحوال. ولكن يمكنك أن تجعل تنفيذ الهجوم صعبًا قدر الإمكان، مما يجعل النتيجة غير مربحة مقارنة بالجهد المبذول.
تقليديا، يمكن تقسيم معدات الحماية إلى مجموعتين رئيسيتين:
- تقنيات حماية حركة المرور المباشرة مثل التشفير أو تصفية MAC؛
- التقنيات التي كانت مخصصة في الأصل لأغراض أخرى، على سبيل المثال، زيادة السرعة، ولكن في نفس الوقت تجعل حياة المهاجم أكثر صعوبة بشكل غير مباشر.
تم وصف المجموعة الأولى في الجزء الأول. ولكن لدينا أيضًا تدابير غير مباشرة إضافية في ترسانتنا. كما ذكرنا أعلاه، فإن زيادة عدد نقاط الوصول تسمح لك بتقليل مستوى الإشارة وجعل منطقة التغطية موحدة، وهذا يجعل الحياة أكثر صعوبة بالنسبة للمهاجم.
تحذير آخر هو أن زيادة سرعات نقل البيانات تجعل من السهل تطبيق تدابير أمنية إضافية. على سبيل المثال، يمكنك تثبيت عميل VPN على كل كمبيوتر محمول ونقل البيانات حتى داخل الشبكة المحلية عبر القنوات المشفرة. سيتطلب ذلك بعض الموارد، بما في ذلك الأجهزة، ولكن مستوى الحماية سيزداد بشكل كبير.
نقدم أدناه وصفًا للتقنيات التي يمكنها تحسين أداء الشبكة وزيادة درجة الحماية بشكل غير مباشر.
الوسائل غير المباشرة لتحسين الحماية - ما الذي يمكن أن يساعد؟
توجيه العميل
تطالب ميزة توجيه العميل الأجهزة العميلة باستخدام النطاق 5 جيجا هرتز أولاً. إذا لم يكن هذا الخيار متاحًا للعميل، فسيظل قادرًا على استخدام 2.4 جيجا هرتز. بالنسبة للشبكات القديمة التي تحتوي على عدد صغير من نقاط الوصول، يتم تنفيذ معظم العمل في نطاق 2.4 جيجا هرتز. بالنسبة لنطاق التردد 5 جيجا هرتز، سيكون نظام نقطة الوصول الواحدة غير مقبول في كثير من الحالات. والحقيقة هي أن الإشارة ذات التردد العالي تمر عبر الجدران وتنحني حول العوائق بشكل أسوأ. التوصية المعتادة: لضمان الاتصال المضمون في النطاق 5 جيجا هرتز، يفضل العمل في خط البصر من نقطة الوصول.
في المعايير الحديثة 802.11ac و802.11ax، نظرًا للعدد الكبير من القنوات، من الممكن تثبيت عدة نقاط وصول على مسافة أقرب، مما يسمح لك بتقليل الطاقة دون فقدان سرعة نقل البيانات أو حتى اكتسابها. ونتيجة لذلك، فإن استخدام النطاق 5 جيجا هرتز يجعل الحياة أكثر صعوبة بالنسبة للمهاجمين، ولكنه يحسن جودة الاتصال للعملاء الموجودين في متناول اليد.
يتم تقديم هذه الوظيفة:
- وفي نقاط الوصول إلى Nebula وNebulaFlex؛
- في جدران الحماية مع وظيفة التحكم.
الشفاء التلقائي
كما ذكر أعلاه، فإن محيط محيط الغرفة لا يتناسب بشكل جيد مع المخططات الدائرية لنقاط الوصول.
لحل هذه المشكلة، أولا، تحتاج إلى استخدام العدد الأمثل من نقاط الوصول، وثانيا، تقليل التأثير المتبادل. ولكن إذا قمت ببساطة بتقليل قوة أجهزة الإرسال يدويًا، فقد يؤدي هذا التداخل المباشر إلى تدهور الاتصال. سيكون هذا ملحوظًا بشكل خاص في حالة فشل نقطة وصول واحدة أو أكثر.
تتيح لك ميزة Auto Healing ضبط الطاقة بسرعة دون فقدان الموثوقية وسرعة نقل البيانات.
عند استخدام هذه الوظيفة، تتحقق وحدة التحكم من حالة نقاط الوصول ووظائفها. إذا لم يعمل أحدهم، فسيتم توجيه الجيران لزيادة قوة الإشارة لملء "البقعة البيضاء". بمجرد تشغيل نقطة الوصول مرة أخرى، يُطلب من النقاط المجاورة تقليل قوة الإشارة لتقليل التداخل المتبادل.
تجوال واي فاي سلس
للوهلة الأولى، من الصعب استدعاء هذه التكنولوجيا زيادة مستوى الأمان، بل على العكس من ذلك، تسهل على العميل (بما في ذلك المهاجم) التبديل بين نقاط الوصول على نفس الشبكة. ولكن في حالة استخدام نقطتي وصول أو أكثر، فأنت بحاجة إلى ضمان التشغيل المريح دون مشاكل غير ضرورية. بالإضافة إلى ذلك، إذا كانت نقطة الوصول مثقلة، فإنها تتأقلم بشكل أسوأ مع وظائف الأمان مثل التشفير، وتحدث تأخيرات في تبادل البيانات وأشياء أخرى غير سارة. في هذا الصدد، يعد التجوال السلس بمثابة مساعدة كبيرة لتوزيع الحمل بمرونة وضمان التشغيل دون انقطاع في الوضع المحمي.
تكوين حدود قوة الإشارة لتوصيل العملاء اللاسلكيين وفصلهم (عتبة الإشارة أو نطاق قوة الإشارة)
عند استخدام نقطة وصول واحدة، لا يهم هذه الوظيفة من حيث المبدأ. ولكن بشرط تشغيل العديد من النقاط التي تسيطر عليها وحدة التحكم، فمن الممكن تنظيم التوزيع المحمول للعملاء عبر نقاط الوصول المختلفة. تجدر الإشارة إلى أن وظائف وحدة التحكم في نقطة الوصول متوفرة في العديد من خطوط أجهزة التوجيه من Zyxel: ATP، USG، USG FLEX، VPN، ZyWALL.
تحتوي الأجهزة المذكورة أعلاه على ميزة فصل العميل المتصل بمعرف SSID بإشارة ضعيفة. "ضعيف" يعني أن الإشارة أقل من العتبة المحددة على وحدة التحكم. بعد أن يتم قطع اتصال العميل، فإنه سيرسل طلب بحث للعثور على نقطة وصول أخرى.
على سبيل المثال، عميل متصل بنقطة وصول بإشارة أقل من -65 ديسيبل ميلي واط، إذا كان حد قطع اتصال المحطة هو -60 ديسيبل ميلي واط، ففي هذه الحالة ستقوم نقطة الوصول بفصل العميل بمستوى الإشارة هذا. يبدأ العميل الآن إجراء إعادة الاتصال وسيتصل بالفعل بنقطة وصول أخرى بإشارة أكبر من أو تساوي -60 ديسيبل ميلي واط (عتبة إشارة المحطة).
وهذا مهم عند استخدام نقاط وصول متعددة. وهذا يمنع الموقف الذي يتراكم فيه معظم العملاء عند نقطة واحدة، بينما تكون نقاط الوصول الأخرى خاملة.
بالإضافة إلى ذلك، يمكنك تقييد اتصال العملاء ذوي الإشارة الضعيفة، والذين على الأرجح يقعون خارج محيط الغرفة، على سبيل المثال، خلف الجدار في مكتب مجاور، مما يسمح لنا أيضًا باعتبار هذه الوظيفة طريقة غير مباشرة من الحماية.
التبديل إلى WiFi 6 كإحدى طرق تحسين الأمان
لقد تحدثنا بالفعل عن مزايا العلاجات المباشرة في وقت سابق من المقالة السابقة. “مميزات حماية الشبكات السلكية واللاسلكية. الجزء الأول - تدابير الحماية المباشرة".
توفر شبكات WiFi 6 سرعات نقل بيانات أسرع. من ناحية، تتيح لك مجموعة المعايير الجديدة زيادة السرعة، من ناحية أخرى، يمكنك وضع المزيد من نقاط الوصول في نفس المنطقة. يسمح المعيار الجديد باستخدام طاقة أقل للإرسال بسرعات أعلى.
زيادة سرعة نقل البيانات.
يتضمن الانتقال إلى WiFi 6 زيادة سرعة التبادل إلى 11 جيجابت/ثانية (نوع التعديل 1024-QAM، قنوات 160 ميجاهرتز). وفي الوقت نفسه، تتمتع الأجهزة الجديدة التي تدعم WiFi 6 بأداء أفضل. إحدى المشاكل الرئيسية عند تنفيذ تدابير أمنية إضافية، مثل قناة VPN لكل مستخدم، هي انخفاض السرعة. مع WiFi 6، سيكون من الأسهل تنفيذ أنظمة أمان إضافية.
تلوين BSS
لقد كتبنا سابقًا أن التغطية الموحدة يمكن أن تقلل من اختراق إشارة WiFi خارج المحيط. ولكن مع زيادة عدد نقاط الوصول، قد لا يكون استخدام المعالجة التلقائية كافيًا، نظرًا لأن حركة المرور "الأجنبية" من نقطة مجاورة ستظل تخترق منطقة الاستقبال.
عند استخدام BSS Coloring، تترك نقطة الوصول علامات خاصة (ألوان) على حزم البيانات الخاصة بها. يتيح لك ذلك تجاهل تأثير أجهزة الإرسال المجاورة (نقاط الوصول).
تحسين MU-MIMO
يتضمن 802.11ax أيضًا تحسينات مهمة على تقنية MU-MIMO (متعدد المستخدمين - الإدخال المتعدد والمخرجات المتعددة). تتيح تقنية MU-MIMO لنقطة الوصول الاتصال بأجهزة متعددة في وقت واحد. لكن في المعيار السابق، كانت هذه التقنية تدعم فقط مجموعات مكونة من أربعة عملاء على نفس التردد. وهذا جعل الإرسال أسهل، ولكن ليس الاستقبال. يستخدم WiFi 6 MIMO 8x8 متعدد المستخدمين للإرسال والاستقبال.
ملاحظة. يعمل 802.11ax على زيادة حجم مجموعات MU-MIMO النهائية، مما يوفر أداء أكثر كفاءة لشبكة WiFi. تعد الوصلة الصاعدة MIMO متعددة المستخدمين إضافة جديدة إلى 802.11ax.
OFDMA (الوصول المتعدد بتقسيم التردد المتعامد)
تم تطوير هذه الطريقة الجديدة للوصول إلى القناة والتحكم فيها استنادًا إلى تقنيات تم إثبات كفاءتها بالفعل في تقنية LTE الخلوية.
يسمح OFDMA بإرسال أكثر من إشارة على نفس الخط أو القناة في نفس الوقت عن طريق تخصيص فاصل زمني لكل إرسال وتطبيق تقسيم التردد. ونتيجة لذلك، لا تزداد السرعة بسبب الاستخدام الأفضل للقناة فحسب، بل يزداد الأمان أيضًا.
ملخص
أصبحت شبكات WiFi أكثر أمانًا كل عام. يتيح لنا استخدام التقنيات الحديثة تنظيم مستوى مقبول من الحماية.
لقد أثبتت طرق الحماية المباشرة في شكل تشفير حركة المرور نفسها بشكل جيد. لا تنس الإجراءات الإضافية: التصفية حسب MAC، وإخفاء معرف الشبكة، واكتشاف Rogue AP (احتواء Rogue AP).
ولكن هناك أيضًا تدابير غير مباشرة تعمل على تحسين التشغيل المشترك للأجهزة اللاسلكية وزيادة سرعة تبادل البيانات.
إن استخدام التقنيات الجديدة يجعل من الممكن تقليل مستوى الإشارة من النقاط، مما يجعل التغطية أكثر اتساقًا، مما له تأثير جيد على صحة الشبكة اللاسلكية بأكملها ككل، بما في ذلك الأمان.
يفرض المنطق السليم أن جميع الوسائل جيدة لتحسين السلامة: المباشرة وغير المباشرة. يتيح لك هذا المزيج جعل الحياة صعبة قدر الإمكان على المهاجم.
روابط مفيدة:
- مميزات حماية الشبكات اللاسلكية والسلكية. الجزء 1 – تدابير الحماية المباشرة
المصدر: www.habr.com