Продължаваме разговора за методите за повишаване на мрежовата сигурност. В тази статия ще говорим за допълнителни мерки за сигурност и организиране на по-сигурни безжични мрежи.
Предговор към втората част
В предишна статия Имаше дискусия относно проблемите със сигурността на WiFi мрежата и директните методи за защита срещу неоторизиран достъп. Бяха разгледани очевидни мерки за предотвратяване на прихващане на трафик: криптиране, скриване на мрежата и MAC филтриране, както и специални методи, например борба с Rogue AP. Въпреки това, в допълнение към преките методи за защита, има и косвени. Това са технологии, които не само помагат за подобряване на качеството на комуникацията, но и допълнително подобряват сигурността.
Две основни характеристики на безжичните мрежи: дистанционен безконтактен достъп и радио ефир като излъчваща среда за предаване на данни, където всеки приемник на сигнал може да слуша ефира, а всеки предавател може да задръсти мрежата с безполезни предавания и просто радиосмущения. Това, наред с други неща, няма най-добър ефект върху цялостната сигурност на безжичната мрежа.
Няма да живееш само със сигурност. Все още трябва да работим по някакъв начин, тоест да обменяме данни. И от тази страна има много други оплаквания относно WiFi:
- пропуски в покритието („бели петна“);
- влияние на външни източници и съседни точки за достъп един върху друг.
В резултат на това, поради описаните по-горе проблеми, качеството на сигнала намалява, връзката губи стабилност и скоростта на обмен на данни пада.
Разбира се, феновете на кабелните мрежи ще се радват да отбележат, че при използване на кабелни и особено оптични връзки подобни проблеми не се наблюдават.
Възниква въпросът: възможно ли е по някакъв начин да се разрешат тези проблеми, без да се прибягва до някакви драстични средства като повторно свързване на всички недоволни хора към кабелната мрежа?
Откъде започват всички проблеми?
По време на раждането на офис и други WiFi мрежи те най-често следват прост алгоритъм: поставят една точка за достъп в центъра на периметъра, за да увеличат максимално покритието. Ако няма достатъчно сила на сигнала за отдалечени райони, към точката за достъп се добавя усилваща антена. Много рядко се добавя втора точка за достъп, например за отдалечен директорски офис. Вероятно това са всички подобрения.
Този подход имаше своите причини. Първо, в зората на безжичните мрежи оборудването за тях беше скъпо. Второ, инсталирането на повече точки за достъп означаваше изправяне пред въпроси, които нямаха отговори по това време. Например, как да организирате безпроблемно превключване на клиенти между точки? Как да се справим с взаимната намеса? Как да опростите и рационализирате управлението на точки, например едновременно прилагане на забрани/разрешения, мониторинг и т.н. Затова беше много по-лесно да се следва принципът: колкото по-малко устройства, толкова по-добре.
В същото време точката за достъп, разположена под тавана, излъчва кръгла (по-точно кръгла) диаграма.
Въпреки това, формите на архитектурните сгради не се вписват много добре в кръгли диаграми на разпространение на сигнала. Следователно на някои места сигналът почти не достига и трябва да бъде усилен, а на някои места излъчването излиза извън периметъра и става достъпно за външни лица.
Фигура 1. Пример за покритие с помощта на една точка в офиса.
Внимание. Това е грубо приближение, което не отчита препятствията пред разпространението, както и насочеността на сигнала. На практика формите на диаграмите за различните точкови модели могат да се различават.
Ситуацията може да се подобри чрез използване на повече точки за достъп.
Първо, това ще позволи на предавателните устройства да бъдат разпределени по-ефективно в цялата площ на помещението.
Второ, става възможно да се намали нивото на сигнала, като се предотврати излизането му извън периметъра на офис или друго съоръжение. В този случай, за да прочетете безжичния мрежов трафик, трябва да се доближите почти до периметъра или дори да влезете в неговите граници. Нападателят действа почти по същия начин, за да проникне във вътрешна кабелна мрежа.
Фигура 2: Увеличаването на броя точки за достъп позволява по-добро разпределение на покритието.
Нека да разгледаме двете снимки отново. Първият ясно показва една от основните уязвимости на безжичната мрежа - сигналът може да бъде уловен на прилично разстояние.
На втората снимка ситуацията не е толкова напреднала. Колкото повече точки за достъп, толкова по-ефективна е зоната на покритие и в същото време мощността на сигнала почти не се простира извън периметъра, грубо казано, извън границите на офиса, офиса, сградата и други възможни обекти.
Нападателят ще трябва по някакъв начин да се промъкне незабелязано, за да прихване сравнително слаб сигнал „от улицата“ или „от коридора“ и т.н. За да направите това, трябва да се доближите до офис сградата, например да застанете под прозорците. Или се опитайте да влезете в самата офис сграда. Във всеки случай това увеличава риска да бъдете хванати от видеонаблюдението и да бъдете забелязани от охраната. Това значително намалява времевия интервал за атака. Това едва ли може да се нарече „идеални условия за хакване“.
Разбира се, остава още един „първороден грях“: безжичните мрежи излъчват в достъпен диапазон, който може да бъде прихванат от всички клиенти. Всъщност една WiFi мрежа може да се сравни с Ethernet HUB, където сигналът се предава към всички портове наведнъж. За да се избегне това, в идеалния случай всяка двойка устройства трябва да комуникира по свой собствен честотен канал, в който никой друг не трябва да се намесва.
Ето обобщение на основните проблеми. Нека разгледаме начините за тяхното решаване.
Средства за защита: преки и непреки
Както вече споменахме в предишната статия, перфектна защита не може да бъде постигната във всеки случай. Но можете да затрудните възможно най-много извършването на атака, правейки резултата нерентабилен по отношение на изразходваните усилия.
Условно предпазните средства могат да бъдат разделени на две основни групи:
- технологии за директна защита на трафика като криптиране или MAC филтриране;
- технологии, които първоначално са били предназначени за други цели, например за увеличаване на скоростта, но в същото време индиректно правят живота на нападателя по-труден.
Първата група беше описана в първата част. Но в нашия арсенал имаме и допълнителни косвени мерки. Както бе споменато по-горе, увеличаването на броя на точките за достъп ви позволява да намалите нивото на сигнала и да направите зоната на покритие еднаква, което прави живота по-труден за нападателя.
Друго предупреждение е, че увеличаването на скоростта на трансфер на данни улеснява прилагането на допълнителни мерки за сигурност. Например, можете да инсталирате VPN клиент на всеки лаптоп и да прехвърляте данни дори в локална мрежа чрез криптирани канали. Това ще изисква някои ресурси, включително хардуер, но нивото на защита ще се увеличи значително.
По-долу предоставяме описание на технологии, които могат да подобрят производителността на мрежата и косвено да увеличат степента на защита.
Непреки средства за подобряване на защитата - какво може да помогне?
Управление на клиента
Функцията Client Steering подканва клиентските устройства първо да използват честотната лента от 5GHz. Ако тази опция не е достъпна за клиента, той все още ще може да използва 2.4 GHz. За наследени мрежи с малък брой точки за достъп повечето работа се извършва в честотната лента от 2.4 GHz. За честотния диапазон от 5 GHz схемата с една точка за достъп ще бъде неприемлива в много случаи. Факт е, че сигнал с по-висока честота преминава през стени и се огъва по-лошо около препятствията. Обичайната препоръка: за да се осигури гарантирана комуникация в честотната лента от 5 GHz, за предпочитане е да работите в пряка видимост от точката за достъп.
В съвременните стандарти 802.11ac и 802.11ax, поради по-големия брой канали, е възможно да се инсталират няколко точки за достъп на по-близко разстояние, което ви позволява да намалите мощността, без да губите или дори да получавате скорост на пренос на данни. В резултат на това използването на честотната лента от 5 GHz прави живота по-труден за нападателите, но подобрява качеството на комуникация за клиентите в обсега.
Тази функция е представена:
- в точки за достъп Nebula и NebulaFlex;
- в защитни стени с функция контролер.
Автоматично лечение
Както бе споменато по-горе, контурите на периметъра на помещението не се вписват добре в кръглите диаграми на точките за достъп.
За да разрешите този проблем, първо, трябва да използвате оптималния брой точки за достъп и второ, да намалите взаимното влияние. Но ако просто ръчно намалите мощността на предавателите, такава директна намеса може да доведе до влошаване на комуникацията. Това ще бъде особено забележимо, ако една или повече точки за достъп се повредят.
Auto Healing ви позволява бързо да регулирате мощността, без да губите надеждност и скорост на пренос на данни.
Когато използвате тази функция, контролерът проверява състоянието и функционалността на точките за достъп. Ако един от тях не работи, тогава съседните се инструктират да увеличат силата на сигнала, за да запълнят „бялото петно“. След като точката за достъп започне да работи отново, съседните точки се инструктират да намалят силата на сигнала, за да се намалят взаимните смущения.
Безпроблемен WiFi роуминг
На пръв поглед тази технология трудно може да се нарече повишаване на нивото на сигурност; по-скоро, напротив, тя улеснява клиента (включително нападателя) да превключва между точки за достъп в една и съща мрежа. Но ако се използват две или повече точки за достъп, трябва да осигурите удобна работа без ненужни проблеми. Освен това, ако точката за достъп е претоварена, тя се справя по-зле с функциите за сигурност като криптиране, забавяне на обмена на данни и други неприятни неща. В това отношение безпроблемният роуминг е голяма помощ за гъвкаво разпределяне на натоварването и осигуряване на непрекъсната работа в защитен режим.
Конфигуриране на прагове за сила на сигнала за свързване и изключване на безжични клиенти (праг на сигнала или обхват на силата на сигнала)
Когато използвате една точка за достъп, тази функция по принцип няма значение. Но при условие, че работят няколко точки, контролирани от контролер, е възможно да се организира мобилно разпределение на клиенти в различни AP. Струва си да припомним, че функциите на контролера на точката за достъп са налични в много линии рутери от Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Горните устройства имат функция за прекъсване на връзката на клиент, който е свързан към SSID със слаб сигнал. „Слаб“ означава, че сигналът е под прага, зададен на контролера. След като клиентът бъде прекъснат, той ще изпрати заявка за сонда за намиране на друга точка за достъп.
Например, клиент, свързан към точка за достъп със сигнал под -65dBm, ако прагът за изключване на станцията е -60dBm, в този случай точката за достъп ще прекъсне връзката на клиента с това ниво на сигнала. Сега клиентът започва процедурата за повторно свързване и вече ще се свърже към друга точка за достъп със сигнал, по-голям или равен на -60dBm (праг на сигнала на станцията).
Това е важно, когато използвате множество точки за достъп. Това предотвратява ситуация, при която повечето клиенти се натрупват в една точка, докато други точки за достъп са неактивни.
Освен това можете да ограничите връзката на клиенти със слаб сигнал, които най-вероятно се намират извън периметъра на стаята, например зад стената в съседен офис, което също ни позволява да разглеждаме тази функция като индиректен метод на защита.
Преминаване към WiFi 6 като един от начините за подобряване на сигурността
Вече говорихме за предимствата на директните средства за защита по-рано в предишната статия. „Характеристики за защита на безжични и кабелни мрежи. Част 1 - Преки мерки за защита".
WiFi 6 мрежите осигуряват по-високи скорости на трансфер на данни. От една страна, новата група стандарти ви позволява да увеличите скоростта, от друга страна, можете да поставите още повече точки за достъп в една и съща зона. Новият стандарт позволява да се използва по-малко енергия за предаване при по-високи скорости.
Повишена скорост на трансфер на данни.
Преходът към WiFi 6 включва увеличаване на скоростта на обмен до 11Gb/s (тип модулация 1024-QAM, 160 MHz канали). В същото време новите устройства, които поддържат WiFi 6, имат по-добра производителност. Един от основните проблеми при прилагането на допълнителни мерки за сигурност, като например VPN канал за всеки потребител, е спадът в скоростта. С WiFi 6 ще бъде по-лесно да внедрите допълнителни системи за сигурност.
BSS оцветяване
По-рано писахме, че по-равномерното покритие може да намали проникването на WiFi сигнала извън периметъра. Но с по-нататъшно нарастване на броя на точките за достъп дори използването на Auto Healing може да не е достатъчно, тъй като „чуждият“ трафик от съседна точка все още ще проникне в зоната за приемане.
Когато използвате BSS оцветяване, точката за достъп оставя специални маркировки (оцветява) своите пакети с данни. Това ви позволява да игнорирате влиянието на съседни предавателни устройства (точки за достъп).
Подобрен MU-MIMO
802.11ax също има важни подобрения на технологията MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO позволява на точката за достъп да комуникира с множество устройства едновременно. Но в предишния стандарт тази технология можеше да поддържа само групи от четири клиента на една и съща честота. Това направи предаването по-лесно, но не и приемането. WiFi 6 използва 8x8 многопотребителски MIMO за предаване и приемане.
Забележка. 802.11ax увеличава размера на MU-MIMO групите надолу по веригата, осигурявайки по-ефективна производителност на WiFi мрежата. Многопотребителска MIMO връзка нагоре е ново допълнение към 802.11ax.
OFDMA (Множествен достъп с ортогонално честотно разделяне)
Този нов метод за достъп и контрол на канала е разработен въз основа на технологии, които вече са доказани в LTE клетъчната технология.
OFDMA позволява изпращането на повече от един сигнал по една и съща линия или канал по едно и също време чрез определяне на времеви интервал за всяко предаване и прилагане на разделяне на честотата. В резултат не само се увеличава скоростта поради по-добро използване на канала, но и сигурността се увеличава.
Обобщение
WiFi мрежите стават все по-сигурни всяка година. Използването на съвременни технологии ни позволява да организираме приемливо ниво на защита.
Директните методи за защита под формата на криптиране на трафика са се доказали доста добре. Не забравяйте за допълнителните мерки: филтриране по MAC, скриване на идентификатора на мрежата, откриване на измамни AP (Rogue AP Containment).
Но има и косвени мерки, които подобряват съвместната работа на безжичните устройства и увеличават скоростта на обмен на данни.
Използването на нови технологии позволява да се намали нивото на сигнала от точките, което прави покритието по-равномерно, което има добър ефект върху здравето на цялата безжична мрежа като цяло, включително сигурността.
Здравият разум диктува, че всички средства са добри за подобряване на безопасността: както преки, така и непреки. Тази комбинация ви позволява да направите живота възможно най-труден за нападателя.
Полезни връзки:
- Характеристики на защита на безжични и кабелни мрежи. Част 1 - Преки мерки за защита
Източник: www.habr.com