Şəbəkə təhlükəsizliyinin artırılması üsulları haqqında söhbətə davam edirik. Bu yazıda əlavə təhlükəsizlik tədbirləri və daha təhlükəsiz simsiz şəbəkələrin təşkili haqqında danışacağıq.
İkinci hissəyə ön söz
Bir əvvəlki məqalədə WiFi şəbəkəsinin təhlükəsizlik problemləri və icazəsiz girişdən birbaşa qorunma üsulları haqqında müzakirələr aparılıb. Trafikin qarşısını almaq üçün aşkar tədbirlər nəzərdən keçirildi: şifrələmə, şəbəkənin gizlədilməsi və MAC filtrasiyası, həmçinin xüsusi üsullar, məsələn, Rogue AP ilə mübarizə. Lakin birbaşa qorunma üsulları ilə yanaşı, dolayısı da var. Bunlar təkcə rabitə keyfiyyətinin yaxşılaşdırılmasına deyil, həm də təhlükəsizliyin daha da yaxşılaşdırılmasına kömək edən texnologiyalardır.
Simsiz şəbəkələrin iki əsas xüsusiyyəti: uzaqdan kontaktsız giriş və məlumatların ötürülməsi üçün yayım mühiti kimi radio havası, burada istənilən siqnal qəbuledicisi havaya qulaq asa bilər və istənilən ötürücü şəbəkəni yararsız ötürmələr və sadəcə radio müdaxiləsi ilə bağlaya bilər. Bu, digər şeylər arasında, simsiz şəbəkənin ümumi təhlükəsizliyinə ən yaxşı təsir göstərmir.
Yalnız təhlükəsizliklə yaşamayacaqsan. Biz hələ də hansısa şəkildə işləməliyik, yəni məlumat mübadiləsi aparmalıyıq. Və bu tərəfdən WiFi ilə bağlı bir çox başqa şikayətlər var:
- örtükdəki boşluqlar ("ağ ləkələr");
- xarici mənbələrin və qonşu giriş nöqtələrinin bir-birinə təsiri.
Nəticədə yuxarıda təsvir edilən problemlərə görə siqnalın keyfiyyəti aşağı düşür, əlaqə sabitliyini itirir və məlumat mübadiləsi sürəti aşağı düşür.
Əlbəttə ki, simli şəbəkələrin pərəstişkarları məmnuniyyətlə qeyd edəcəklər ki, kabeldən və xüsusilə fiber-optik bağlantılardan istifadə edərkən belə problemlər müşahidə edilmir.
Sual yaranır: bütün narazı insanları yenidən simli şəbəkəyə qoşmaq kimi kəskin vasitələrə əl atmadan bu məsələləri hansısa yolla həll etmək mümkündürmü?
Bütün problemlər haradan başlayır?
Ofisin və digər WiFi şəbəkələrinin yaranması zamanı onlar ən çox sadə alqoritmə əməl edirdilər: əhatə dairəsini artırmaq üçün perimetrin ortasına tək giriş nöqtəsi yerləşdirirdilər. Uzaq ərazilər üçün kifayət qədər siqnal gücü olmadıqda, giriş nöqtəsinə gücləndirici antenna əlavə edildi. Çox nadir hallarda, məsələn, uzaq bir direktorun ofisi üçün ikinci bir giriş nöqtəsi əlavə edildi. Yəqin ki, bütün təkmilləşdirmələr budur.
Bu yanaşmanın öz səbəbləri var idi. Birincisi, simsiz şəbəkələrin başlanğıcında onlar üçün avadanlıq baha idi. İkincisi, daha çox giriş nöqtəsinin quraşdırılması o vaxt cavabı olmayan suallarla qarşılaşmaq demək idi. Məsələn, müştərinin nöqtələr arasında keçidini necə təşkil etmək olar? Qarşılıqlı müdaxilə ilə necə məşğul olmaq olar? Nöqtələrin idarə edilməsini necə sadələşdirmək və sadələşdirmək olar, məsələn, qadağaların/icazələrin eyni vaxtda tətbiqi, monitorinq və s. Buna görə də, prinsipə əməl etmək daha asan idi: cihaz nə qədər az olsa, bir o qədər yaxşıdır.
Eyni zamanda, tavanın altında yerləşən giriş nöqtəsi dairəvi (daha doğrusu, dairəvi) diaqramda yayımlanır.
Bununla belə, memarlıq binalarının formaları dəyirmi siqnalın yayılması diaqramlarına çox uyğun gəlmir. Ona görə də bəzi yerlərdə siqnal demək olar ki, çatmır və onu gücləndirmək lazımdır, bəzi yerlərdə isə yayım perimetrdən kənara çıxır və kənar şəxslər üçün əlçatan olur.
Şəkil 1. Ofisdə bir nöqtədən istifadə edərək əhatə dairəsi nümunəsi.
Qeyd. Bu, yayılma üçün maneələri, eləcə də siqnalın istiqamətini nəzərə almayan kobud yaxınlaşmadır. Praktikada müxtəlif nöqtə modelləri üçün diaqramların formaları fərqli ola bilər.
Vəziyyət daha çox giriş nöqtəsindən istifadə etməklə yaxşılaşdırıla bilər.
Birincisi, bu, ötürücü cihazları otaq sahəsi üzrə daha səmərəli şəkildə paylamağa imkan verəcək.
İkincisi, ofisin və ya digər obyektin perimetrindən kənara çıxmasının qarşısını alaraq siqnal səviyyəsini azaltmaq mümkün olur. Bu halda, simsiz şəbəkə trafikini oxumaq üçün demək olar ki, perimetrə yaxınlaşmaq və ya hətta onun hüdudlarını daxil etmək lazımdır. Təcavüzkar daxili simli şəbəkəyə daxil olmaq üçün eyni şəkildə hərəkət edir.
Şəkil 2: Giriş nöqtələrinin sayının artırılması əhatə dairəsinin daha yaxşı paylanmasına imkan verir.
Gəlin hər iki şəkilə yenidən baxaq. Birincisi, simsiz şəbəkənin əsas zəifliklərindən birini aydın şəkildə göstərir - siqnal layiqli məsafədə tutula bilər.
İkinci şəkildə vəziyyət o qədər də inkişaf etmiş deyil. Giriş nöqtələri nə qədər çox olsa, əhatə dairəsi bir o qədər effektivdir və eyni zamanda siqnal gücü demək olar ki, perimetrdən kənara çıxmır, kobud desək, ofis, ofis, bina və digər mümkün obyektlərin hüdudlarından kənara çıxmır.
Təcavüzkar "küçədən" və ya "koridordan" və s. nisbətən zəif siqnalı tutmaq üçün birtəhər gözə dəymədən yaxınlaşmalı olacaq. Bunu etmək üçün, məsələn, pəncərələrin altında dayanmaq üçün ofis binasına yaxınlaşmaq lazımdır. Və ya ofis binasının özünə girməyə çalışın. İstənilən halda bu, videomüşahidəyə düşmək və təhlükəsizlik əməkdaşlarının diqqətinə düşmək riskini artırır. Bu, hücum üçün vaxt intervalını əhəmiyyətli dərəcədə azaldır. Bunu çətin ki, “hacking üçün ideal şərait” adlandırmaq olar.
Əlbəttə ki, daha bir “əsl günah” qalır: bütün müştərilər tərəfindən ələ keçirilə bilən əlçatan diapazonda yayımlanan simsiz şəbəkələr. Həqiqətən, bir WiFi şəbəkəsini siqnalın bir anda bütün portlara ötürüldüyü Ethernet HUB ilə müqayisə etmək olar. Bunun qarşısını almaq üçün ideal olaraq hər bir cihaz cütü başqa heç kimin müdaxilə etmədiyi öz tezlik kanalında əlaqə saxlamalıdır.
Burada əsas problemlərin xülasəsi verilmişdir. Onların həlli yollarını nəzərdən keçirək.
Müalicə vasitələri: birbaşa və dolayı
Əvvəlki məqalədə qeyd edildiyi kimi, heç bir halda mükəmməl qorunma əldə edilə bilməz. Ancaq bir hücum həyata keçirməyi mümkün qədər çətinləşdirə bilərsiniz, nəticəni sərf olunan səylə əlaqədar olaraq zərərsiz edə bilərsiniz.
Şərti olaraq, qoruyucu vasitələri iki əsas qrupa bölmək olar:
- şifrələmə və ya MAC filtrləmə kimi birbaşa trafikin qorunması texnologiyaları;
- əvvəlcə başqa məqsədlər üçün nəzərdə tutulmuş texnologiyalar, məsələn, sürəti artırmaq, eyni zamanda dolayı yolla təcavüzkarın həyatını çətinləşdirir.
Birinci qrup birinci hissədə təsvir edilmişdir. Amma bizim arsenalımızda əlavə dolayı tədbirlər də var. Yuxarıda qeyd edildiyi kimi, giriş nöqtələrinin sayının artırılması siqnal səviyyəsini azaltmağa və əhatə dairəsini vahid hala gətirməyə imkan verir və bu, təcavüzkarın həyatını çətinləşdirir.
Digər xəbərdarlıq ondan ibarətdir ki, məlumat ötürmə sürətinin artırılması əlavə təhlükəsizlik tədbirlərinin tətbiqini asanlaşdırır. Məsələn, hər bir noutbukda VPN müştəri quraşdıra və şifrəli kanallar vasitəsilə hətta yerli şəbəkə daxilində məlumat ötürə bilərsiniz. Bunun üçün bəzi resurslar, o cümlədən aparat tələb olunacaq, lakin qorunma səviyyəsi əhəmiyyətli dərəcədə artacaq.
Aşağıda şəbəkə performansını yaxşılaşdıra və dolayı yolla qorunma dərəcəsini artıra bilən texnologiyaların təsvirini təqdim edirik.
Qorunmanı yaxşılaşdırmaq üçün dolayı vasitələr - nə kömək edə bilər?
Müştəri Sükanı
Müştərilərin idarə edilməsi funksiyası müştəri cihazlarını əvvəlcə 5GHz diapazonundan istifadə etməyə çağırır. Əgər bu seçim müştəri üçün mövcud deyilsə, o, hələ də 2.4 GHz-dən istifadə edə biləcək. Az sayda giriş nöqtəsi olan köhnə şəbəkələr üçün işin çoxu 2.4 GHz diapazonunda aparılır. 5 GHz tezlik diapazonu üçün bir giriş nöqtəsi sxemi bir çox hallarda qəbuledilməz olacaqdır. Fakt budur ki, daha yüksək tezlikli bir siqnal divarlardan keçir və maneələrin ətrafında daha pis əyilir. Adi tövsiyə: 5GHz diapazonunda zəmanətli rabitəni təmin etmək üçün giriş nöqtəsindən baxış xəttində işləməyə üstünlük verilir.
Müasir 802.11ac və 802.11ax standartlarında kanalların sayının daha çox olması səbəbindən daha yaxın məsafədə bir neçə giriş nöqtəsi quraşdırmaq mümkündür ki, bu da məlumat ötürmə sürətini itirmədən, hətta qazanmadan gücü azaltmağa imkan verir. Nəticədə, 5GHz diapazonunun istifadəsi təcavüzkarların həyatını çətinləşdirir, lakin əlçatan olan müştərilər üçün rabitə keyfiyyətini yaxşılaşdırır.
Bu funksiya təqdim olunur:
- Nebula və NebulaFlex giriş nöqtələrində;
- nəzarətçi funksiyası olan firewalllarda.
Avtomatik sağalma
Yuxarıda qeyd edildiyi kimi, otaq perimetrinin konturları giriş nöqtələrinin dəyirmi diaqramlarına yaxşı uyğun gəlmir.
Bu problemi həll etmək üçün, birincisi, giriş nöqtələrinin optimal sayından istifadə etmək, ikincisi, qarşılıqlı təsirləri azaltmaq lazımdır. Ancaq ötürücülərin gücünü sadəcə əl ilə azaldırsınızsa, bu cür birbaşa müdaxilə ünsiyyətin pisləşməsinə səbəb ola bilər. Bir və ya bir neçə giriş nöqtəsi uğursuz olarsa, bu xüsusilə nəzərə çarpacaqdır.
Auto Healing etibarlılığı və məlumat ötürmə sürətini itirmədən gücü tez tənzimləməyə imkan verir.
Bu funksiyadan istifadə edərkən nəzarətçi giriş nöqtələrinin vəziyyətini və funksionallığını yoxlayır. Əgər onlardan biri işləmirsə, o zaman qonşulara “ağ ləkəni” doldurmaq üçün siqnal gücünü artırmaq tapşırılır. Giriş nöqtəsi yenidən işə salındıqdan sonra, qonşu nöqtələrə qarşılıqlı müdaxiləni azaltmaq üçün siqnal gücünü azaltmaq göstərişi verilir.
Sorunsuz WiFi rouminqi
İlk baxışdan bu texnologiyanı təhlükəsizlik səviyyəsinin artırılması adlandırmaq olmaz, əksinə, müştərinin (o cümlədən təcavüzkarın) eyni şəbəkədəki giriş nöqtələri arasında keçidini asanlaşdırır. Ancaq iki və ya daha çox giriş nöqtəsi istifadə edilərsə, lazımsız problemlər olmadan rahat işləməyi təmin etməlisiniz. Bundan əlavə, giriş nöqtəsi həddindən artıq yüklənirsə, şifrələmə, məlumat mübadiləsində gecikmələr və digər xoşagəlməz hallar kimi təhlükəsizlik funksiyaları ilə daha pis öhdəsindən gəlir. Bu baxımdan, yükün çevik şəkildə paylanması və qorunan rejimdə fasiləsiz işləməsini təmin etmək üçün problemsiz rouminq böyük kömək edir.
Simsiz müştəriləri birləşdirmək və ayırmaq üçün siqnal gücü hədlərinin konfiqurasiyası (Siqnal Həddi və ya Siqnal Gücü Aralığı)
Tək bir giriş nöqtəsindən istifadə edərkən, bu funksiya, prinsipcə, əhəmiyyət kəsb etmir. Lakin nəzarətçi tərəfindən idarə olunan bir neçə məntəqənin işləməsi şərti ilə müştərilərin müxtəlif AP-lər üzrə mobil paylanmasını təşkil etmək mümkündür. Xatırlatmaq lazımdır ki, giriş nöqtəsi nəzarətçi funksiyaları Zyxel-dən bir çox marşrutlaşdırıcı xəttində mövcuddur: ATP, USG, USG FLEX, VPN, ZyWALL.
Yuxarıda göstərilən cihazlar zəif siqnal ilə SSID-ə qoşulmuş müştərini ayırmaq xüsusiyyətinə malikdir. “Zəif” siqnalın nəzarətçidə müəyyən edilmiş həddən aşağı olması deməkdir. Müştəri əlaqəni kəsdikdən sonra o, başqa bir giriş nöqtəsi tapmaq üçün sorğu göndərəcək.
Məsələn, siqnalı -65dBm-dən aşağı olan bir giriş nöqtəsinə qoşulmuş müştəri, əgər stansiyanın ayrılma həddi -60dBm-dirsə, bu halda giriş nöqtəsi müştərini bu siqnal səviyyəsi ilə ayıracaq. Müştəri indi yenidən qoşulma proseduruna başlayır və artıq -60dBm-dən (stansiyanın siqnal həddi) böyük və ya ona bərabər olan başqa bir giriş nöqtəsinə qoşulacaq.
Çoxsaylı giriş nöqtələrindən istifadə edərkən bu vacibdir. Bu, əksər müştərilərin bir nöqtədə yığıldığı, digər giriş nöqtələrinin isə boş olduğu vəziyyətin qarşısını alır.
Bundan əlavə, çox güman ki, otağın perimetrindən kənarda, məsələn, qonşu ofisdə divarın arxasında yerləşən zəif siqnal ilə müştərilərin əlaqəsini məhdudlaşdıra bilərsiniz ki, bu da bizə bu funksiyanı dolayı üsul kimi nəzərdən keçirməyə imkan verir. müdafiə.
Təhlükəsizliyi yaxşılaşdırmağın yollarından biri kimi WiFi 6-a keçid
Əvvəlki məqalədə birbaşa vasitələrin üstünlüklərini artıq müzakirə etdik. “Simsiz və simli şəbəkələrin mühafizəsi xüsusiyyətləri. Hissə 1 - Birbaşa qorunma tədbirləri".
WiFi 6 şəbəkələri daha sürətli məlumat ötürmə sürətini təmin edir. Bir tərəfdən, yeni standartlar qrupu sürəti artırmağa imkan verir, digər tərəfdən, eyni ərazidə daha çox giriş nöqtəsi yerləşdirə bilərsiniz. Yeni standart daha yüksək sürətlə ötürmək üçün daha az enerjidən istifadə etməyə imkan verir.
Artan məlumat ötürmə sürəti.
WiFi 6-a keçid mübadilə sürətinin 11Gb/s-ə qədər artırılmasını nəzərdə tutur (modulyasiya növü 1024-QAM, 160 MHz kanallar). Eyni zamanda, WiFi 6-nı dəstəkləyən yeni qurğular daha yaxşı performansa malikdir. Hər bir istifadəçi üçün VPN kanalı kimi əlavə təhlükəsizlik tədbirlərini həyata keçirərkən əsas problemlərdən biri sürətin aşağı düşməsidir. WiFi 6 ilə əlavə təhlükəsizlik sistemlərini tətbiq etmək daha asan olacaq.
BSS Boyama
Daha əvvəl yazmışdıq ki, daha vahid əhatə dairəsi WiFi siqnalının perimetrdən kənara nüfuzunu azalda bilər. Ancaq giriş nöqtələrinin sayının daha da artması ilə hətta Avtomatik Müalicənin istifadəsi kifayət olmaya bilər, çünki qonşu nöqtədən gələn "xarici" trafik hələ də qəbul sahəsinə nüfuz edəcəkdir.
BSS Coloring istifadə edərkən, giriş nöqtəsi məlumat paketlərində xüsusi işarələr (rənglər) qoyur. Bu, qonşu ötürücü cihazların (giriş nöqtələrinin) təsirinə məhəl qoymamağa imkan verir.
Təkmilləşdirilmiş MU-MIMO
802.11ax həmçinin MU-MIMO (Çox istifadəçi - Çoxlu Giriş Çox Çıxış) texnologiyasında mühüm təkmilləşdirmələrə malikdir. MU-MIMO giriş nöqtəsinə eyni vaxtda birdən çox cihazla əlaqə saxlamağa imkan verir. Lakin əvvəlki standartda bu texnologiya eyni tezlikdə yalnız dörd müştəridən ibarət qrupları dəstəkləyə bilərdi. Bu, ötürməni asanlaşdırdı, lakin qəbul etmədi. WiFi 6 ötürmə və qəbul üçün 8x8 çox istifadəçili MIMO-dan istifadə edir.
Qeyd edək. 802.11ax aşağı axın MU-MIMO qruplarının ölçüsünü artırır, daha səmərəli WiFi şəbəkə performansını təmin edir. Çox istifadəçi MIMO uplink 802.11ax-a yeni əlavədir.
OFDMA (Ortoqonal tezlik bölgüsü çoxlu giriş)
Kanala giriş və nəzarətin bu yeni üsulu artıq LTE mobil texnologiyasında sübut edilmiş texnologiyalar əsasında hazırlanmışdır.
OFDMA, hər bir ötürmə üçün vaxt intervalı təyin etməklə və tezlik bölgüsü tətbiq etməklə eyni xətt və ya kanalda eyni vaxtda birdən çox siqnalın göndərilməsinə imkan verir. Nəticədə, kanalın daha yaxşı istifadəsi sayəsində sürət artmaqla yanaşı, təhlükəsizlik də artır.
Xülasə
WiFi şəbəkələri hər il daha təhlükəsiz olur. Müasir texnologiyaların istifadəsi məqbul səviyyədə qorunma təşkil etməyə imkan verir.
Trafik şifrələməsi şəklində birbaşa qorunma üsulları özünü kifayət qədər yaxşı sübut etdi. Əlavə tədbirlər haqqında unutmayın: MAC ilə filtrləmə, şəbəkə ID-ni gizlətmək, Rogue AP Detection (Rogue AP Containment).
Ancaq simsiz cihazların birgə işini yaxşılaşdıran və məlumat mübadiləsi sürətini artıran dolayı tədbirlər də var.
Yeni texnologiyaların istifadəsi nöqtələrdən siqnal səviyyəsini azaltmağa, əhatə dairəsini daha vahid hala gətirməyə imkan verir ki, bu da bütövlükdə bütün simsiz şəbəkənin sağlamlığına, o cümlədən təhlükəsizliyə yaxşı təsir göstərir.
Sağlam düşüncə diktə edir ki, təhlükəsizliyi yaxşılaşdırmaq üçün bütün vasitələr yaxşıdır: həm birbaşa, həm də dolayı. Bu birləşmə bir təcavüzkarın həyatını mümkün qədər çətinləşdirməyə imkan verir.
Faydalı linklər:
- Simsiz və simli şəbəkələrin mühafizəsi xüsusiyyətləri. 1-ci hissə - Birbaşa qorunma tədbirləri
Mənbə: www.habr.com