Gipadayon namon ang panag-istoryahanay bahin sa mga pamaagi alang sa pagdugang sa seguridad sa network. Niini nga artikulo maghisgot kami bahin sa dugang nga mga lakang sa seguridad ug pag-organisar sa labi ka luwas nga mga wireless network.
Pasiuna sa ikaduhang bahin
Sa miaging artikulo Adunay usa ka diskusyon bahin sa mga problema sa seguridad sa WiFi network ug direkta nga mga pamaagi sa pagpanalipod batok sa dili awtorisado nga pag-access. Ang klaro nga mga lakang aron mapugngan ang interception sa trapiko gikonsiderar: pag-encrypt, pagtago sa network ug pagsala sa MAC, ingon man mga espesyal nga pamaagi, pananglitan, pagbatok sa Rogue AP. Bisan pa, dugang sa direkta nga mga pamaagi sa pagpanalipod, adunay usab mga dili direkta. Kini ang mga teknolohiya nga dili lamang makatabang sa pagpalambo sa kalidad sa komunikasyon, apan usab sa pagpalambo sa seguridad.
Duha ka nag-unang bahin sa mga wireless network: remote contactless access ug radio air isip broadcast medium alang sa data transmission, diin ang bisan unsa nga signal receiver makapaminaw sa hangin, ug ang bisan unsang transmitter mahimong makabara sa network nga walay pulos nga transmission ug yano nga radio interference. Kini, taliwala sa ubang mga butang, wala’y labing kaayo nga epekto sa kinatibuk-ang seguridad sa wireless network.
Dili ka magkinabuhi nga luwas lang. Kinahanglan pa namon nga magtrabaho sa usa ka paagi, kana, pagbinayloay sa datos. Ug sa kini nga bahin adunay daghang uban pang mga reklamo bahin sa WiFi:
- mga kal-ang sa coverage (“white spots”);
- impluwensya sa gawas nga mga tinubdan ug kasikbit nga mga access point sa usag usa.
Ingon nga resulta, tungod sa mga problema nga gihulagway sa ibabaw, ang kalidad sa signal mikunhod, ang koneksyon mawad-an sa kalig-on, ug ang data exchange speed mikunhod.
Siyempre, ang mga fans sa mga wired network malipay nga matikdan nga sa paggamit sa cable ug, ilabi na, fiber-optic nga mga koneksyon, ang maong mga problema wala maobserbahan.
Ang pangutana mitungha: posible ba nga masulbad kini nga mga isyu nga dili mogamit sa bisan unsang kusog nga paagi sama sa pagkonektar pag-usab sa tanan nga wala matagbaw nga mga tawo sa wired network?
Asa magsugod ang tanang problema?
Sa panahon sa pagkahimugso sa opisina ug uban pang mga WiFi network, sila kasagaran nagsunod sa usa ka yano nga algorithm: gibutang nila ang usa ka access point sa sentro sa perimeter aron mapadako ang coverage. Kung walay igo nga kusog sa signal alang sa hilit nga mga lugar, usa ka amplifying antenna ang gidugang sa access point. Talagsa ra nga gidugang ang ikaduhang access point, pananglitan, alang sa opisina sa usa ka hilit nga direktor. Mao na tingali ang tanan nga mga kalamboan.
Kini nga pamaagi adunay mga hinungdan. Una, sa kaadlawon sa mga wireless network, ang kagamitan alang kanila mahal. Ikaduha, ang pag-instalar og dugang nga mga access point nagpasabot sa pag-atubang sa mga pangutana nga walay mga tubag niadtong panahona. Pananglitan, unsaon pag-organisar ang seamless nga pagbalhin sa kliyente tali sa mga punto? Unsaon pag-atubang sa interference sa usag usa? Giunsa ang pagpayano ug pagpahapsay sa pagdumala sa mga punto, pananglitan, dungan nga paggamit sa mga pagdili/pagtugot, pagmonitor, ug uban pa. Busa, mas sayon ang pagsunod sa prinsipyo: ang mas diyutay nga mga himan, mas maayo.
Sa parehas nga oras, ang access point, nga nahimutang sa ilawom sa kisame, gisibya sa usa ka lingin (mas tukma, lingin) nga diagram.
Bisan pa, ang mga porma sa mga tinukod sa arkitektura dili kaayo mohaum sa mga diagram sa pagpalapad sa signal sa bilog. Busa, sa pipila ka mga dapit ang signal halos dili makaabot, ug kini kinahanglan nga amplified, ug sa pipila ka mga dapit ang sibya molapas sa perimeter ug mahimong accessible sa mga tagagawas.
Figure 1. Pananglitan sa coverage gamit ang usa ka punto sa opisina.
Примечание. Kini usa ka kasarangan nga pagbanabana nga wala magtagad sa mga babag sa pagpadaghan, ingon man ang direksyon sa signal. Sa praktis, ang mga porma sa mga diagram alang sa lainlaing mga modelo sa punto mahimong magkalainlain.
Ang kahimtang mahimong mapauswag pinaagi sa paggamit sa daghang mga access point.
Una, tugotan niini ang pagpasa sa mga aparato nga maapod-apod nga labi ka episyente sa tibuuk nga lugar sa kwarto.
Ikaduha, mahimong posible nga makunhuran ang lebel sa signal, mapugngan kini nga molapas sa perimeter sa usa ka opisina o uban pang pasilidad. Sa kini nga kaso, aron mabasa ang trapiko sa wireless network, kinahanglan nimo nga hapit sa perimeter o bisan sa pagsulod sa mga limitasyon niini. Ang usa ka tig-atake molihok sa parehas nga paagi aron makasulod sa usa ka internal nga wired network.
Figure 2: Ang pagdugang sa gidaghanon sa mga access point nagtugot sa mas maayo nga pag-apod-apod sa coverage.
Atong tan-awon pag-usab ang duha ka mga hulagway. Ang una tin-aw nga nagpakita sa usa sa mga nag-unang kahuyangan sa usa ka wireless network - ang signal mahimong makuha sa usa ka desente nga gilay-on.
Sa ikaduhang hulagway ang sitwasyon dili kaayo abante. Ang mas daghang mga access point, mas epektibo ang coverage area, ug sa samang higayon ang signal power halos dili molapas sa perimeter, sa halos pagsulti, lapas sa mga utlanan sa opisina, opisina, building ug uban pang posibleng mga butang.
Ang usa ka tig-atake kinahanglan nga mag-sneak pa duol nga dili mamatikdan aron ma-intercept ang medyo huyang nga signal "gikan sa dalan" o "gikan sa koridor" ug uban pa. Aron mahimo kini, kinahanglan nimo nga magpaduol sa bilding sa opisina, pananglitan, aron makabarug sa ilawom sa mga bintana. O pagsulay sa pagsulod sa opisina mismo. Sa bisan unsa nga kaso, kini nagdugang sa risgo nga madakpan sa video surveillance ug mamatikdan sa seguridad. Makapamenos kini pag-ayo sa agwat sa oras sa pag-atake. Dili kini matawag nga "maayong kondisyon alang sa pag-hack."
Siyempre, adunay nagpabilin nga usa pa nga "orihinal nga sala": ang mga wireless network nagsibya sa usa ka accessible nga range nga mahimong ma-intercept sa tanan nga mga kliyente. Sa tinuud, ang usa ka network sa WiFi mahimong itandi sa usa ka Ethernet HUB, diin ang signal gipasa sa tanan nga mga pantalan sa usa ka higayon. Aron malikayan kini, labing maayo nga ang matag parisan sa mga aparato kinahanglan nga magkomunikar sa kaugalingon nga channel sa frequency, nga wala’y lain nga makabalda.
Ania ang usa ka summary sa mga nag-unang problema. Atong tagdon ang mga paagi sa pagsulbad niini.
Mga remedyo: direkta ug dili direkta
Sama sa nahisgotan na sa miaging artikulo, ang hingpit nga panalipod dili makab-ot sa bisan unsang kaso. Apan mahimo nimong himoon nga lisud kutob sa mahimo ang paghimo sa usa ka pag-atake, nga maghimo sa resulta nga dili mapuslanon kalabot sa paningkamot nga gigasto.
Sa naandan, ang mga kagamitan sa pagpanalipod mahimong bahinon sa duha ka punoan nga grupo:
- direkta nga mga teknolohiya sa pagpanalipod sa trapiko sama sa pag-encrypt o pagsala sa MAC;
- mga teknolohiya nga orihinal nga gituyo alang sa ubang mga katuyoan, pananglitan, aron madugangan ang katulin, apan sa samang higayon dili direkta nga naghimo sa kinabuhi sa usa ka tig-atake nga labi ka lisud.
Ang unang grupo gihulagway sa unang bahin. Apan kami usab adunay dugang nga dili direkta nga mga lakang sa among arsenal. Sama sa gihisgutan sa ibabaw, ang pagdugang sa gidaghanon sa mga access point nagtugot kanimo sa pagpakunhod sa lebel sa signal ug paghimo sa coverage area nga uniporme, ug kini naghimo sa kinabuhi nga mas lisud alang sa usa ka tig-atake.
Ang lain nga caveat mao nga ang pagdugang sa katulin sa pagbalhin sa datos nagpadali sa paggamit sa dugang nga mga lakang sa seguridad. Pananglitan, mahimo nimong i-install ang usa ka kliyente sa VPN sa matag laptop ug ibalhin ang data bisan sa sulod sa usa ka lokal nga network pinaagi sa mga naka-encrypt nga mga channel. Nagkinahanglan kini og pipila ka mga kahinguhaan, lakip ang hardware, apan ang lebel sa proteksyon modako pag-ayo.
Sa ubos naghatag kami usa ka paghulagway sa mga teknolohiya nga makapauswag sa pasundayag sa network ug dili direkta nga madugangan ang lebel sa proteksyon.
Dili direkta nga paagi sa pagpalambo sa proteksyon - unsa ang makatabang?
Pagdumala sa Kliyente
Ang feature sa Client Steering nag-aghat sa mga device sa kliyente nga gamiton una ang 5GHz band. Kung kini nga kapilian dili magamit sa kliyente, magamit gihapon niya ang 2.4 GHz. Alang sa mga kabilin nga network nga adunay gamay nga gidaghanon sa mga access point, kadaghanan sa trabaho gihimo sa 2.4 GHz band. Alang sa 5 GHz frequency range, ang usa ka access point scheme dili madawat sa daghang mga kaso. Ang kamatuoran mao nga ang usa ka signal nga adunay mas taas nga frequency moagi sa mga dingding ug moliko sa mga babag nga mas grabe. Ang naandan nga rekomendasyon: aron masiguro ang garantiya nga komunikasyon sa 5 GHz band, mas maayo nga magtrabaho sa linya sa panan-aw gikan sa access point.
Sa modernong mga sumbanan 802.11ac ug 802.11ax, tungod sa mas dako nga gidaghanon sa mga kanal, kini mao ang posible nga sa pag-instalar sa pipila ka mga access point sa usa ka mas duol nga gilay-on, nga nagtugot kaninyo sa pagpakunhod sa gahum nga walay pagkawala, o bisan pag-angkon, data transfer speed. Ingon nga resulta, ang paggamit sa 5GHz band naghimo sa kinabuhi nga mas lisud alang sa mga tig-atake, apan nagpauswag sa kalidad sa komunikasyon alang sa mga kliyente nga maabot.
Kini nga function gipresentar:
- sa Nebula ug NebulaFlex access point;
- sa mga firewall nga adunay function sa controller.
Auto Pag-ayo
Sama sa gihisgutan sa ibabaw, ang mga contour sa perimeter sa kwarto dili mohaum sa mga round diagram sa mga access point.
Aron masulbad kini nga problema, una, kinahanglan nimo nga gamiton ang kamalaumon nga gidaghanon sa mga access point, ug ikaduha, pagpakunhod sa impluwensya sa usag usa. Apan kung manu-mano nimo ang pagkunhod sa gahum sa mga nagpadala, ang ingon nga direkta nga pagpanghilabot mahimong mosangput sa pagkadaot sa komunikasyon. Kini ilabi na nga mamatikdan kung ang usa o daghang mga access point mapakyas.
Gitugotan ka sa Auto Healing nga dali ka nga mag-adjust sa gahum nga dili mawala ang kasaligan ug katulin sa pagbalhin sa data.
Kung gamiton kini nga function, gisusi sa controller ang status ug functionality sa mga access point. Kung ang usa kanila dili molihok, nan ang mga silingan gisugo sa pagdugang sa kusog sa signal aron mapuno ang "puti nga lugar". Sa higayon nga ang access point moandar na ug usab, ang silingang mga punto gisugo sa pagpakunhod sa kusog sa signal aron makunhuran ang interference sa usag usa.
Seamless nga WiFi roaming
Sa una nga pagtan-aw, kini nga teknolohiya halos dili matawag nga pagtaas sa lebel sa seguridad; hinoon, sa kasukwahi, kini nagpasayon alang sa usa ka kliyente (lakip ang usa ka tig-atake) sa pagbalhin tali sa mga access point sa parehas nga network. Apan kung duha o daghan pa nga mga access point ang gigamit, kinahanglan nimo nga masiguro ang kombenyente nga operasyon nga wala’y kinahanglan nga mga problema. Dugang pa, kung ang access point na-overload, mas grabe ang pagsagubang niini sa mga function sa seguridad sama sa pag-encrypt, mga paglangan sa pagbayloay sa datos ug uban pang dili maayo nga mga butang nga mahitabo. Niining bahina, ang walay hunong nga pag-roaming usa ka dako nga tabang aron dali nga maapod-apod ang load ug masiguro ang walay hunong nga operasyon sa usa ka protektadong mode.
Pag-configure sa mga sukaranan sa kusog sa signal alang sa pagkonektar ug pagdiskonekta sa mga wireless nga kliyente (Signal Threshold o Signal Strength Range)
Kung gigamit ang usa ka access point, kini nga function, sa prinsipyo, dili igsapayan. Apan kung adunay daghang mga punto nga kontrolado sa usa ka controller nga naglihok, posible nga maorganisar ang mobile nga pag-apod-apod sa mga kliyente sa lainlaing mga AP. Angayan nga hinumdoman nga ang access point controller function anaa sa daghang linya sa mga routers gikan sa Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Ang naa sa ibabaw nga mga himan adunay bahin sa pagdiskonekta sa usa ka kliyente nga konektado sa usa ka SSID nga adunay huyang nga signal. Ang "huyang" nagpasabot nga ang signal ubos sa threshold nga gitakda sa controller. Human ma-disconnect ang kliyente, magpadala kini og probe request aron mangita og laing access point.
Pananglitan, ang usa ka kliyente nga konektado sa usa ka access point nga adunay usa ka signal sa ubos -65dBm, kung ang station disconnect threshold kay -60dBm, sa kini nga kaso ang access point magdiskonekta sa kliyente niini nga lebel sa signal. Ang kliyente karon magsugod sa reconnection procedure ug mokonektar na sa laing access point nga adunay signal nga mas dako o katumbas sa -60dBm (station signal threshold).
Importante kini kung mogamit og daghang mga access point. Gipugngan niini ang usa ka sitwasyon diin ang kadaghanan sa mga kliyente nagtigum sa usa ka punto, samtang ang uban nga mga access point walay pulos.
Dugang pa, mahimo nimong limitahan ang koneksyon sa mga kliyente nga adunay huyang nga signal, nga lagmit nga nahimutang sa gawas sa perimeter sa kwarto, pananglitan, luyo sa dingding sa usa ka silingan nga opisina, nga nagtugot usab kanamo nga ikonsiderar kini nga function ingon usa ka dili direkta nga pamaagi. sa pagpanalipod.
Ang pagbalhin sa WiFi 6 isip usa sa mga paagi aron mapaayo ang seguridad
Nahisgotan na namo ang bahin sa mga bentaha sa direktang mga tambal sa sayo pa sa miaging artikulo. "Mga bahin sa pagpanalipod sa mga wireless ug wired network. Bahin 1 - Direktang mga lakang sa pagpanalipod".
Ang WiFi 6 nga mga network naghatag og mas paspas nga data transfer speed. Sa usa ka bahin, ang bag-ong grupo sa mga sumbanan nagtugot kanimo nga madugangan ang katulin, sa laing bahin, mahimo nimong ibutang ang labi pa nga mga punto sa pag-access sa parehas nga lugar. Ang bag-ong sumbanan nagtugot sa gamay nga gahum nga magamit sa pagpadala sa mas taas nga tulin.
Dugang nga data transfer speed.
Ang transisyon sa WiFi 6 naglakip sa pagdugang sa exchange speed ngadto sa 11Gb/s (modulation type 1024-QAM, 160 MHz channels). Sa samang higayon, ang mga bag-ong device nga nagsuporta sa WiFi 6 adunay mas maayo nga performance. Usa sa mga nag-unang problema sa pagpatuman sa dugang nga mga lakang sa seguridad, sama sa usa ka channel sa VPN alang sa matag tiggamit, usa ka pagkunhod sa katulin. Uban sa WiFi 6, mas sayon ang pagpatuman sa dugang nga mga sistema sa seguridad.
Pagkolor sa BSS
Gisulat namo sa sayo pa nga ang mas uniporme nga coverage makapakunhod sa penetration sa WiFi signal lapas sa perimeter. Apan sa dugang nga pag-uswag sa gidaghanon sa mga access point, bisan ang paggamit sa Auto Healing mahimong dili igo, tungod kay ang "langyaw" nga trapiko gikan sa usa ka kasikbit nga punto mosulod gihapon sa reception area.
Kung gigamit ang BSS Coloring, ang access point nagbilin ug espesyal nga marka (kolor) sa mga pakete sa datos niini. Gitugotan ka niini nga ibaliwala ang impluwensya sa silingan nga mga aparato nga nagpadala (mga punto sa pag-access).
Gipauswag nga MU-MIMO
Ang 802.11ax usab adunay importante nga mga kalamboan sa MU-MIMO (Multi-User - Multiple Input Multiple Output) nga teknolohiya. Gitugotan sa MU-MIMO ang access point nga makigkomunikar sa daghang mga aparato nga dungan. Apan sa miaging sumbanan, kini nga teknolohiya makasuporta lamang sa mga grupo sa upat ka mga kliyente sa parehas nga frequency. Gipadali niini ang transmission, apan dili ang pagdawat. Ang WiFi 6 naggamit sa 8x8 multi-user MIMO alang sa transmission ug pagdawat.
Matikdi. Ang 802.11ax nagdugang sa gidak-on sa downstream MU-MIMO nga mga grupo, nga naghatag og mas episyente nga WiFi network performance. Ang multi-user nga MIMO uplink usa ka bag-ong pagdugang sa 802.11ax.
OFDMA (Orthogonal frequency-division multiple access)
Kining bag-ong pamaagi sa pag-access ug pagkontrol sa channel gihimo base sa mga teknolohiya nga napamatud-an na sa LTE cellular technology.
Gitugotan sa OFDMA ang labaw sa usa ka signal nga ipadala sa parehas nga linya o channel sa parehas nga oras pinaagi sa pag-assign sa agwat sa oras sa matag transmission ug paggamit sa frequency division. Ingon usa ka sangputanan, dili lamang ang pagtaas sa tulin tungod sa mas maayo nga paggamit sa channel, apan usab ang pagtaas sa seguridad.
Sumaryo
Ang mga network sa WiFi nahimong mas luwas matag tuig. Ang paggamit sa modernong mga teknolohiya nagtugot kanato sa pag-organisar sa usa ka madawat nga lebel sa proteksyon.
Ang direkta nga mga pamaagi sa pagpanalipod sa porma sa pag-encrypt sa trapiko napamatud-an nga maayo ang ilang kaugalingon. Ayaw kalimti ang bahin sa dugang nga mga lakang: pagsala sa MAC, pagtago sa network ID, Rogue AP Detection (Rogue AP Containment).
Apan adunay usab dili direkta nga mga lakang nga nagpauswag sa hiniusang operasyon sa mga wireless nga aparato ug nagdugang sa katulin sa pagbayloay sa datos.
Ang paggamit sa bag-ong mga teknolohiya nagpaposible sa pagpakunhod sa lebel sa signal gikan sa mga punto, nga naghimo sa coverage nga mas uniporme, nga adunay maayo nga epekto sa panglawas sa tibuok wireless network sa kinatibuk-an, lakip ang seguridad.
Ang sentido komon nagdiktar nga ang tanang paagi maayo aron mapalambo ang kaluwasan: direkta ug dili direkta. Kini nga kombinasyon nagtugot kanimo sa paghimo sa kinabuhi nga lisud kutob sa mahimo alang sa usa ka tig-atake.
Mapuslanon nga sumpay:
- Mga bahin sa pagpanalipod sa wireless ug wired network. Bahin 1 - Direktang mga lakang sa pagpanalipod
Source: www.habr.com