Працягваем размову аб метадах павышэння бяспекі сетак. У гэтым артыкуле пагаворым аб дадатковых мерах бяспекі і арганізацыі больш абароненых бесправадных сетак.
Прадмова да другой часткі
У папярэднім артыкуле ішла размова аб праблемах бяспекі сеткі WiFi і прамых метадах абароны ад несанкцыянаванага доступу. Былі разгледжаны відавочныя меры для прадухілення перахопу трафіку: шыфраванне, утойванне сеткі і фільтраванне па MAC, а таксама спецыяльныя метады, напрыклад, барацьба з Rogue AP. Аднак апроч прамых спосабаў абароны існуюць яшчэ і ўскосныя. Гэта тэхналогіі, якія не толькі дапамагаюць палепшыць якасць сувязі, але і дадаткова садзейнічаюць паляпшэнню абароны.
Дзве галоўных асаблівасці бесправадных сетак: выдалены бескантактны доступ і радыёэфір як шырокавяшчальнае асяроддзе перадачы дадзеных, дзе любы прымач сігналу можа праслухоўваць эфір, а любы перадатчык можа забіваць сетку бескарыснымі перадачамі і проста радыёперашкодамі. Гэта, апроч усяго іншага, не лепшай выявай адбіваецца на агульнай бяспецы бесправадной сеткі.
Адной бяспекай жывы не будзеш. Надзе яшчэ неяк працаваць, гэта значыць абменьвацца дадзенымі. А з гэтага боку да WiFi шмат іншых прэтэнзій:
- прабелы ў пакрыцці ("белыя плямы");
- уплыў вонкавых крыніц і суседніх кропак доступу сябар на сябра.
Як следства, з-за апісаных вышэй праблем змяншаецца якасць сігналу, сувязь губляе ўстойлівасць, падае хуткасць абмену дадзенымі.
Зразумела, прыхільнікі правадных сетак з задавальненнем адзначаць, што пры выкарыстанні кабельных і, тым больш, оптавалакновых злучэнняў, такіх праблем не назіраецца.
Узнікае пытанне: а можна неяк вырашыць гэтыя пытанні, не звяртаючыся да якія-небудзь кардынальных сродкаў накшталт перападлучэнні ўсіх незадаволеных да правадной сеткі?
Дзе пачатак усіх праблем?
На момант зараджэння офісных і іншых WiFi сетак часцей за ўсё паступалі па няхітрым алгарытме: ставілі адну-адзіную кропку доступу ў цэнтры перыметра з мэтай максімальнага пакрыцця. Калі для выдаленых участкаў магутнасці сігналу бракавала, да кропкі доступу дадавалася якая ўзмацняе антэна. Вельмі рэдка дадавалася другая кропка доступу, напрыклад, для выдаленага дырэктарскага кабінета. Вось, мабыць, і ўсе ўдасканаленні.
Такі падыход меў свае падставы. Па-першае, на світанку станаўлення бесправадных сетак абсталяванне для іх каштавала дорага. Па-другое, усталяваць больш кропак доступу азначала сутыкнуцца з пытаннямі, на якія тады не было адказаў. Напрыклад, як арганізаваць бясшвоўнае пераключэнне кліента паміж кропкамі? Як змагацца з узаемнай інтэрферэнцыяй? Як спрасціць і ўпарадкаваць кіраванне кропкамі, напрыклад, адначасовае прымяненне забарон / дазволаў, маніторынг і гэтак далей. Таму значна прасцей было паступіць па прынцыпе: чым менш прылад, тым лепш.
У той жа час кропка доступу, размешчаная пад столлю, вяшчала па кругавой (дакладней сказаць, круглявай) дыяграме.
Аднак формы архітэктурных будынкаў не вельмі добрае ўпісваюцца ў круглявыя дыяграмы распаўсюджвання сігналу. Таму кудысьці сігнал амаль не даходзіць, і яго трэба ўзмацняць, а недзе вяшчанне выходзіць за рамкі перыметра і становіцца даступным для старонніх.
Малюнак 1. Прыклад пакрыцця пры выкарыстанні адзінай кропкі ў офісе.
Заўвага. Гаворка ідзе аб грубіянскім набліжэнні, у якім не ўлічваюцца перашкоды для распаўсюджвання, а таксама скіраванасць сігналу. На практыку формы дыяграм для розных мадэляў кропак могуць адрознівацца.
Сітуацыю можна палепшыць, калі выкарыстоўваць больш кропак доступу.
Па-першае, гэта дазволіць больш эфектыўна размеркаваць перадавальныя прылады па пляцы памяшкання.
Па-другое, з'яўляецца магчымасць зменшыць узровень сігналу, не дазваляючы яму выходзіць за перыметр офіса ці іншага аб'екта. У гэтым выпадку, каб лічыць трафік бесправадной сеткі, трэба амаль ушчыльную наблізіцца да перыметра ці нават увайсці ў яго межы. Прыкладна гэтак жа дзейнічае зламыснік, каб уклінавацца ва ўнутраную правадную сетку.
Малюнак 2. Павелічэнне колькасці кропак доступу дазваляе лепш размеркаваць пакрыццё.
Давайце яшчэ раз разгледзім абодва малюнкі. На першым выразна прасочваецца адна з галоўных уразлівасцяў бесправадной сеткі - сігнал можна лавіць на прыстойнай адлегласці.
На другім малюнку сітуацыя не так запушчана. Чым больш кропак доступу, тым больш эфектыўна зона пакрыцця і пры гэтым магутнасць сігналу ўжо амаль не выходзіць за межы перыметра, грубіянска кажучы, за межы кабінета, офіса, будынкі і іншых магчымых аб'ектаў.
Зламысніку давядзецца неяк неўзаметку падкрадвацца бліжэй, каб перахапіць адносна слабы сігнал "з вуліцы" ці "з калідора" і гэтак далей. Для гэтага трэба ўшчыльную наблізіцца да офіснага будынка, каб, напрыклад, устаць пад вокнамі. Або спрабаваць пракрасціся ў сам офісны будынак. У любым выпадку гэта падвышае рызыку «засвяціцца» на відэаназіранні, патрапіць на вочы ахове. Пры гэтым значна скарачаецца часавы інтэрвал для нападу. Гэта ўжо цяжка назваць "ідэальнымі ўмовамі для ўзлому".
Зразумела, застаецца яшчэ адзін "першародны грэх": бесправадныя сеткі вяшчаюць у даступным дыяпазоне, які могуць перахапіць усе кліенты. Сапраўды, сетка WiFi можна параўнаць з Ethernet-HUB, дзе сігнал перадаецца адразу на ўсе парты. Каб гэтага пазбегнуць, у ідэале кожная пара прылад павінна мець зносіны на сваім частотным канале, у які не павінен устраваць ніхто іншы.
Вось сцісла асноўныя праблемы. Разгледзім шляхі іх рашэння.
Сродкі абароны: прамыя і ўскосныя
Як ужо было сказана ў папярэднім артыкуле, ідэальнай абароны дамагчыся ў любым выпадку не атрымаецца. Але можна максімальна ўскладніць правядзенне нападу, зрабіўшы вынік нерэнтабельным у адносінах да затрачаных намаганняў.
Умоўна сродкі абароны можна падзяліць на дзве асноўныя групы:
- тэхналогіі прамой абароны трафіку, такія як шыфраванне або фільтраванне па MAC;
- тэхналогіі, першапачаткова прызначаныя для іншых мэт, напрыклад, для падвышэння хуткасці, але пры гэтым ускоснай выявай якія ўскладняюць жыццё зламысніку.
Аб першай групе было расказана ў першай частцы. Але ў нашым арсенале ёсць яшчэ дадатковыя ўскосныя меры. Як ужо было сказанае вышэй, павелічэнне ліку кропак доступу дазваляе зменшыць узровень сігналу і зрабіць раўнамернай зону пакрыцця, а гэта ўскладняе жыццё зламысніку.
Яшчэ адзін нюанс - павышэнне хуткасці перадачы даных спрашчае прымяненне дадатковых мер бяспекі. Напрыклад, можна на кожным наўтбуку ўсталяваць VPN кліент і перадаваць дадзеныя нават усярэдзіне лакальнай сеткі па зашыфраваных каналах. Гэта запатрабуе некаторых рэсурсаў, у тым ліку і апаратных, але ўзровень абароны пры гэтым істотна падвышаецца.
Ніжэй мы прыводзім апісанне тэхналогій, якія дазваляюць палепшыць працу сеткі і ўскоснай выявай падвысіць ступень абароны.
Ускосныя сродкі паляпшэння абароны - што можа дапамагчы?
Client Steering
Функцыя Client Steering прапануе кліенцкім прыладам спачатку выкарыстоўваць дыяпазон 5Ггц. Калі гэтая магчымасць кліенту недаступная, ён усё роўна зможа выкарыстаць 2.4Ггц. Для састарэлых сетак з малым лікам кропак доступу асноўная праца будуецца ў дыяпазоне 2.4Ггц. Для частотнага дыяпазону 5Ггц схема з адной кропкай доступу ў шматлікіх выпадках апынецца непрымальная. Справа ў тым, што сігнал з большай частатой горш праходзіць скрозь сцены і абгінае перашкоды. Звычайная рэкамендацыя: для забеспячэння гарантаванай сувязі ў дыяпазоне 5Ггц - пераважней працаваць у прамой бачнасці ад кропкі доступу.
У сучасных стандартах 802.11aс і 802.11ax за кошт большай колькасці каналаў можна ўсталяваць некалькі кропак доступу на бліжэйшай адлегласці, што дазваляе зменшыць магутнасць, пры гэтым не страціўшы, а нават выйграўшы ў хуткасці перадачы дадзеных. У выніку прымяненне дыяпазону 5Ггц ўскладняе жыццё зламыснікаў, але паляпшае якасць сувязі для кліентаў, якія знаходзяцца ў межах даступнасці.
Дадзеная функцыя прадстаўлена:
- у кропках доступу Nebula і NebulaFlex;
- у міжсеткавых экранах з функцыяй кантролера.
Аўтаматычнае лячэнне
Як было сказана вышэй, контуры перыметра памяшкання дрэнна ўпісваюцца ў круглявыя дыяграмы кропак доступу.
Каб вырашыць гэтую праблему, па-першае, трэба выкарыстоўваць аптымальную колькасць кропак доступу, па-другое, паменшыць узаемны ўплыў. Але калі проста ўзяць і ўручную знізіць магутнасць перадатчыкаў такое прамалінейнае ўмяшанне можа прывесці да пагаршэння сувязі. Асабліва гэта будзе адчувальна пры выхадзе адной ці некалькіх кропак доступу са строю.
Auto Healing дазваляе аператыўна падладжваць магутнасць без страты надзейнасці і хуткасці перадачы даных.
Пры выкарыстанні гэтай функцыі кантролер правярае стан і працаздольнасць кропак доступу. Калі адна з іх не працуе, то суседнія атрымліваюць указанне павялічыць магутнасць сігналу, каб запоўніць «белую пляму». Пасля таго як кропка доступу зноў зарабіла, суседнія кропкі атрымліваюць указанне паменшыць магутнасць сігналу, каб знізіць узровень узаемных перашкод.
Бясшвовы WiFi роўмінг
На першы погляд, гэтую тэхналогію цяжка назваць якая падвышае ўзровень бяспекі, хутчэй, наадварот, бо яна палягчае пераключэнне кліента (у тым ліку зламысніка) паміж кропкамі доступу ў адной сетцы. Але калі выкарыстоўваецца дзве ці больш кропкі доступу, трэба забяспечыць зручную працу без лішніх праблем. Апроч гэтага, калі кропка доступу перагружаная, яна горш спраўляецца з функцыямі абароны, такімі як шыфраванне, узнікаюць затрымкі пры абмене дадзенымі і іншыя непрыемныя рэчы. У гэтым плане бясшвоўны роўмінг - вялікая дапамога, каб гнутка размеркаваць нагрузку і забяспечыць бесперабойную працу ў абароненым рэжыме.
Настройка парогавых значэнняў ўзроўню сігналу для падключэння і адключэння бесправадных кліентаў (Signal Threshold або Signal Strength Range)
Пры выкарыстанні самотнай кропкі доступу гэтая функцыя, у прынцыпе, значэння не мае. Але пры ўмове, калі працуюць некалькі кропак, якія кіруюцца кантролерам, можна арганізаваць мабільнае размеркаванне кліентаў па розных AP. Варта нагадаць, што функцыі кантролера кропак доступу ёсць у шматлікіх лінейках маршрутызатараў ад Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
У паказаных вышэй прыладах ёсць функцыя для адключэння кліента, які падлучаны да SSID са слабым сігналам. «Слабы» - азначае, што сігнал ніжэй парога, усталяванага на кантролеры. Пасля таго, як кліент быў адключаны, ён адправіць пробны запыт для пошуку іншай кропкі доступу.
Напрыклад, кліент падлучыўся да кропкі доступу з сігналам ніжэй -65dBm, калі парог адключэння станцыі -60dBm, у гэтым выпадку кропка доступу адключыць кліента з такім узроўнем сігналу. Зараз кліент запускае працэдуру перападлучэння і ўжо падлучыцца да іншай кропкі доступу з сігналам, які перавышае або роўным -60dBm (парогавае значэнне сігналу станцыі).
Гэта мае важную ролю пры выкарыстанні некалькіх кропак доступу. Тым самым прадухіляецца сітуацыя, калі большая частка кліентаў запасіцца на адной кропцы, у той час як іншыя кропкі доступу прастойваюць.
Апроч гэтага, можна абмежаваць падлучэнне кліентаў са слабым сігналам, з вялікай верагоднасцю змешчаных за перыметрам памяшкання, да прыкладу, за сцяной у суседнім офісе, што таксама дазваляе разглядаць дадзеную функцыю як ускосны метад абароны.
Пераход на WiFi 6 як адзін са шляхоў павышэння ўзроўню бяспекі
Аб перавагах прамых сродкаў абароны мы ўжо казалі раней у папярэднім артыкуле «Асаблівасці абароны бесправадных і правадных сетак. Частка 1 - Прамыя меры абароны».
Сеткі WiFi 6 забяспечваюць больш высокую хуткасць перадачы даных. З аднаго боку, новая група стандартаў дазваляе павялічыць хуткасць, з іншай - размясціць яшчэ больш кропак доступу на тым жа пляцы. Новы стандарт дазваляе выкарыстоўваць меншую магутнасць для перадачы на больш высокай хуткасці.
Павышэнне хуткасці абмену дадзенымі.
Пераход на WiFi 6 мяркуе падвышэнне хуткасці абмену да 11Gb/s (тып мадуляцыі 1024-QAM, каналы 160 Мгц). Пры гэтым новыя прылады, якія падтрымліваюць WiFi 6 валодаюць большай прадукцыйнасцю. Адной з галоўных праблем пры ўкараненні дадатковых мер бяспекі, такіх як VPN канал для кожнага карыстальніка - гэта падзенне хуткасці. З WiFi 6 стане лягчэй ужываць дадатковыя сістэмы абароны.
Размалёўка BSS
Раней мы пісалі, што больш раўнамернае пакрыццё дазваляе зменшыць пранікненне сігналу WiFi за перыметр. Але пры далейшым росце колькасці кропак доступу нават выкарыстанне Auto Healing можа быць недастаткова, бо чужы трафік ад суседняй кропкі ўсё роўна будзе пранікаць у зону прыёму.
Пры выкарыстанні BSS Coloring кропка доступу пакідае спецыяльныя пазнакі (размалёўвае) свае пакеты дадзеных. Гэта дазваляе ігнараваць уплыў суседніх перадавальных прылад (кропак доступу).
Палепшаны MU-MIMO
У 802.11ax таксама ёсць важныя паляпшэнні тэхналогіі MU-MIMO (Multi-User – Multiple Input Multiple Output). MU-MIMO дазваляе кропцы доступу абменьвацца дадзенымі з некалькімі прыладамі адначасова. Але ў папярэднім стандарце гэтая тэхналогія магла падтрымліваць толькі групы з чатырох кліентаў на адной частаце. Гэта аблягчала перадачу, але не прыём. WiFi 6 выкарыстоўвае шматкарыстальніцкі MIMO 8×8 для перадачы і прыёму.
Заўвага. Стандарт 802.11ax павялічвае памер груп MU-MIMO ва ўваходным струмені, забяспечваючы больш эфектыўную прадукцыйнасць сеткі WiFi. Шматкарыстальніцкі выходны канал MIMO з'яўляецца новым дадаткам да 802.11ax.
OFDMA (Orthogonal frequency-division multiple access)
Гэта новы метад доступу да каналаў і кіравання распрацаваны на аснове тэхналогій, якія ўжо былі апрабаваны ў тэхналогіі сотавай сувязі LTE.
OFDMA дазваляе адпраўляць больш аднаго сігналу па адной і той жа лініі або каналу адначасова, прызначаючы інтэрвал часу для кожнай перадачы і ужываючы частотны падзел. У выніку не толькі расце хуткасць за рахунак лепшай утылізацыі канала, але і падвышаецца бяспека.
Рэзюмэ
Сеткі WiFi з кожным годам становяцца ўсё больш бяспечнымі. Выкарыстанне сучасных тэхналогій дае магчымасць арганізаваць прымальны ўзровень абароны.
Прамыя метады абароны ў выглядзе шыфравання трафіку вельмі нядрэнна сябе зарэкамендавалі. Не забываем і пра дадатковыя меры: фільтраванне па MAC, утойванне ідэнтыфікатара сеткі, Rogue AP Detection (Rogue AP Containment).
Але ёсць яшчэ і ўскосныя меры, якія паляпшаюць сумесную працу бесправадных прылад і якія падвышаюць хуткасць абмену дадзеных.
Выкарыстанне новых тэхналогій дазваляе зменшыць узровень сігналу ад кропак, зрабіўшы пакрыццё больш раўнамерным, што нядрэнна адбіваюцца на самаадчуванні ўсёй бесправадной сеткі ў цэлым, у тым ліку і на бяспецы.
Разумны сэнс падказвае, што для падвышэння бяспекі ўсе сродкі добрыя: і прамыя, і ўскосныя. Такое спалучэнне дазваляе максімальна ўскладніць жыццё зламысніку.
Карысныя спасылкі:
- Асаблівасці аховы бесправадных і правадных сетак. Частка 1 - Прамыя меры абароны
Крыніца: habr.com