Cuntinuemu a nostra conversazione nantu à i metudi per aumentà a sicurità di a rete. In questu articulu parleremu di misure di sicurezza supplementari è urganizazione di rete wireless più sicura.
Prefazione à a seconda parte
In l'articulu precedente Ci hè stata una discussione nantu à i prublemi di sicurezza di a rete WiFi è i metudi diretti di prutezzione contra l'accessu micca autorizatu. E misure evidenti per prevene l'intercepzione di u trafficu sò state cunsiderate: criptografia, nasconde di rete è filtrazione MAC, è ancu metudi speciali, per esempiu, cumbattimentu di Rogue AP. Tuttavia, in più di i metudi diretti di prutezzione, ci sò ancu indiretti. Quessi sò tecnulugii chì aiutanu micca solu à migliurà a qualità di a cumunicazione, ma ancu à migliurà a sicurità.
Dui funziunalità principali di e rete wireless: l'accessu senza cuntattu remotu è l'aria radio cum'è un mediu di trasmissione per a trasmissione di dati, induve ogni ricevitore di signale pò sente l'aria, è qualsiasi trasmettitore pò obstruisce a reta cù trasmissioni inutili è solu interferenze radio. Questu, frà altri cose, ùn hà micca u megliu effettu nantu à a sicurità generale di a rete wireless.
Ùn viverete micca solu per a sicurità. Avemu sempre à travaglià in qualchì manera, vale à dì, scambià dati. È da questu latu ci sò parechje altre lagnanze nantu à WiFi:
- lacune in a cobertura ("punti bianchi");
- influenza di fonti esterni è punti d'accessu vicini l'un à l'altru.
In u risultatu, per via di i prublemi descritti sopra, a qualità di u signale diminuisce, a cunnessione perde a stabilità, è a velocità di scambiu di dati cala.
Di sicuru, l'amatori di e rete cablate seranu piacè di nutà chì quandu si usanu cable è, in particulare, cunnessione di fibra ottica, tali prublemi ùn sò micca osservati.
A quistione nasce: hè pussibule di risolve in qualchì modu questi prublemi senza ricorrere à qualsiasi mezzu drasticu cum'è ricunnisce tutte e persone insatisfete à a reta filaria?
Induve cumincianu tutti i prublemi?
À u mumentu di a nascita di l'uffiziu è altre rete WiFi, a più spessu seguitanu un algoritmu simplice: pusonu un puntu d'accessu unicu in u centru di u perimetru per maximizà a cobertura. S'ellu ùn ci era micca abbastanza forza di signale per i zoni remoti, una antenna di amplificazione hè stata aghjunta à u puntu d'accessu. Moltu raramente un secondu puntu d'accessu hè statu aghjuntu, per esempiu, per l'uffiziu di un direttore remoto. Hè probabilmente tutte e migliure.
Stu approcciu avia i so ragiuni. Prima, à l'alba di e rete wireless, l'equipaggiu per elli era caru. Siconda, installà più punti d'accessu significava affruntà e dumande chì ùn avianu micca risposte à u mumentu. Per esempiu, cumu urganizà un cambiamentu di cliente senza saldatura trà i punti? Cumu trattà cù l'interferenza mutuale? Cumu simplificà è simplificà a gestione di punti, per esempiu, applicazione simultanea di pruibizioni / permessi, monitoraghju, etc. Per quessa, era assai più faciule di seguità u principiu: u menu dispositi, u megliu.
À u listessu tempu, u puntu d'accessu, situatu sottu à u tettu, emette in un diagramma circular (più precisamente, tondu).
In ogni casu, e forme di l'edificazioni architettoniche ùn sò micca assai bè in i diagrammi di propagazione di signali tondi. Dunque, in certi lochi, u signale ùn ghjunghje quasi micca, è deve esse amplificatu, è in certi lochi a trasmissione va oltre u perimetru è diventa accessibile per i stranieri.
Figura 1. Esempiu di cobertura cù un puntu unicu in l'uffiziu.
Vita. Questa hè una approssimazione grossa chì ùn piglia micca in contu l'ostaculi à a propagazione, è ancu a direzzione di u signale. In pratica, e forme di i diagrammi per i mudelli di punti diffirenti pò esse diffirenti.
A situazione pò esse migliurata usendu più punti d'accessu.
Prima, questu permetterà i dispositi di trasmissione per esse distribuiti in modu più efficace in l'area di a stanza.
Siconda, diventa pussibule di riduce u livellu di u signale, impediscendu di andà oltre u perimetru di un uffiziu o altre facilità. In questu casu, per leghje u trafficu di a rete wireless, avete bisognu à quasi vicinu à u perimetru o ancu entre in i so limiti. Un aggressore agisce in u stessu modu per penetrà in una rete cablata interna.
Figura 2: Aumentà u numeru di punti d'accessu permette una distribuzione megliu di a cobertura.
Fighjemu à e duie foto di novu. U primu mostra chjaramente una di e vulnerabilità principali di una rete wireless - u signale pò esse pigliatu à una distanza decente.
In a seconda stampa a situazione ùn hè micca cusì avanzata. U più punti d'accessu, u più efficau l'area di copertura, è à u stessu tempu a putenza di u signale ùn si estende quasi micca fora di u perimetru, grosso modo, oltre i cunfini di l'uffiziu, l'uffiziu, l'edificiu è altri ogetti pussibuli.
Un aggressore duverà in qualchì modu sneak più vicinu inosservatu per interceptà un signalu relativamente debbule "da a strada" o "da u corridore" è cusì. Per fà questu, avete bisognu à avvicinassi à l'edificiu di l'uffiziu, per esempiu, per stà sottu à i finestri. O pruvate à entre in l'edificiu di l'uffiziu stessu. In ogni casu, questu aumenta u risicu di esse chjapputu nantu à a videovigilanza è esse nutatu da a sicurità. Questu reduce significativamente l'intervallu di tempu per un attaccu. Questu ùn pò micca esse chjamatu "condizioni ideali per u pirate".
Di sicuru, ci ferma un altru "peccatu originale": e rete wireless broadcast in una gamma accessibile chì pò esse interceptata da tutti i clienti. Infatti, una rete WiFi pò esse paragunata à un HUB Ethernet, induve u signale hè trasmessu à tutti i porti à una volta. Per evitari questu, idealmente ogni paru di dispusitivi deve cumunicà nantu à u so propiu canale di freccia, chì nimu ùn deve interferiscenu.
Eccu un riassuntu di i prublemi principali. Cunsideremu modi per risolve.
Rimedii: diretti è indiretti
Cum'è digià citatu in l'articulu precedente, a prutezzione perfetta ùn pò micca esse ottenuta in ogni casu. Ma pudete fà u più difficiule di fà un attaccu, facendu u risultatu micca prufittuali in relazione à u sforzu spentu.
In cunvenzione, l'equipaggiu protettivu pò esse divisu in dui gruppi principali:
- tecnulugie dirette di prutezzione di u trafficu cum'è criptografia o filtrazione MAC;
- tecnulugii chì eranu urigginariamenti destinati à altri scopi, per esempiu, per aumentà a veloce, ma à u stessu tempu indirettu facenu a vita di un attaccante più difficiule.
U primu gruppu hè statu discrittu in a prima parte. Ma avemu ancu misure indirette supplementari in u nostru arsenale. Cumu l'esitatu sopra, l'aumentu di u numeru di punti d'accessu permette di riduce u livellu di u signale è rende l'area di copertura uniforme, è questu rende a vita più difficiule per un attaccante.
Un altru avvertimentu hè chì l'aumentu di a velocità di trasferimentu di dati facilita l'applicazione di misure di sicurezza supplementari. Per esempiu, pudete installà un cliente VPN in ogni laptop è trasfiriri dati ancu in una reta lucale via canali criptati. Questu averebbe bisognu di qualchi risorse, cumpresu hardware, ma u livellu di prutezzione aumenterà significativamente.
Quì sottu furnimu una descrizzione di e tecnulugia chì ponu migliurà u rendiment di a rete è aumentà indirettamente u gradu di prutezzione.
Mezzi indiretti di migliurà a prutezzione - chì pò aiutà?
Gestione di u Cliente
A funzione di Client Steering invita i dispositi di u cliente à aduprà prima a banda 5GHz. Se sta opzione ùn hè micca dispunibule per u cliente, ellu puderà ancu aduprà 2.4 GHz. Per e rete legacy cù un picculu numeru di punti d'accessu, a maiò parte di u travagliu hè fattu in a banda 2.4 GHz. Per a gamma di freccia di 5 GHz, un schema di puntu d'accessu unicu serà inaccettabile in parechji casi. U fattu hè chì un signalu cù una freccia più alta passa per i muri è si curva intornu à ostaculi peggiu. A ricunniscenza di solitu: per assicurà a cumunicazione garantita in a banda 5 GHz, hè preferibile travaglià in linea di vista da u puntu d'accessu.
In i normi muderni 802.11ac è 802.11ax, per via di u più grande numeru di canali, hè pussibule installà parechji punti d'accessu à una distanza più vicinu, chì permette di riduce u putere senza perde, o ancu guadagnà, a velocità di trasferimentu di dati. In u risultatu, l'usu di a banda 5GHz rende a vita più difficiule per l'attaccanti, ma migliurà a qualità di cumunicazione per i clienti à portata.
Questa funzione hè presentata:
- à i punti d'accessu Nebula è NebulaFlex;
- in firewall cù funzione di cuntrollu.
Auto Guarigione
Cumu l'esitatu sopra, i contorni di u perimetru di a stanza ùn sò micca bè in i diagrammi tondi di punti d'accessu.
Per risolve stu prublema, prima, avete bisognu di utilizà u nùmeru ottimali di punti d'accessu, è in segundu, riduce l'influenza mutuale. Ma s'ellu si riduce manualmente a putenza di i trasmettitori, una tale interferenza diretta pò purtà à un deterioramentu in a cumunicazione. Questu serà soprattuttu notevuli se unu o più punti d'accessu fallenu.
Auto Healing vi permette di aghjustà rapidamente a putenza senza perde a fiducia è a velocità di trasferimentu di dati.
Quandu si usa sta funzione, u controller verifica u statutu è a funziunalità di i punti d'accessu. Se unu di elli ùn funziona micca, allora i vicini sò urdinati per aumentà a forza di u signale per riempie u "puntu biancu". Una volta chì u puntu d'accessu hè in funzione di novu, i punti vicini sò urdinati per riduce a forza di u signale per riduce l'interferenza mutuale.
Roaming WiFi senza soluzione di continuità
À u primu sguardu, sta tecnulugia ùn pò micca esse chjamata aumentà u livellu di sicurità; piuttostu, à u cuntrariu, face più faciule per un cliente (cumpresu un attaccu) per cambià trà punti d'accessu nantu à a stessa rete. Ma se dui o più punti d'accessu sò usati, avete bisognu di assicurà un funziunamentu còmode senza prublemi inutili. Inoltre, se u puntu d'accessu hè sovraccaricatu, copes peor with security functions such as encryption, ritardi in u scambiu di dati è altre cose dispiacenti. In questu sensu, u roaming senza saldatura hè un grande aiutu per distribuisce in modu flessibile a carica è assicura un funziunamentu ininterrottu in modu prutettu.
Configurazione di i soglie di forza di u signale per a cunnessione è a disconnessione di i clienti wireless (Signal Threshold o Signal Strength Range)
Quandu si usa un puntu d'accessu unicu, sta funzione, in principiu, ùn importa micca. Ma basta chì parechji punti cuntrullati da un controller operanu, hè pussibule urganizà a distribuzione mobile di i clienti in diverse AP. Hè vale a pena ricurdà chì e funzioni di cuntrollu di u puntu d'accessu sò dispunibili in parechje linee di router da Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
I dispusitivi sopra anu una funzione per disconnect un cliente chì hè cunnessu à un SSID cun un signalu debule. "Debule" significa chì u signale hè sottu à u limitu stabilitu nantu à u controller. Dopu chì u cliente hè stata disconnected, mandarà una dumanda di sonda per truvà un altru puntu d'accessu.
Per esempiu, un cliente cunnessu à un puntu d'accessu cù un signalu sottu à -65dBm, se u limitu di stazzione disconnect hè -60dBm, in questu casu, u puntu d'accessu disconnect u cliente cù stu livellu di signale. U cliente avà principia a prucedura di ricunnessione è hà digià cunnessu à un altru puntu d'accessu cù un signalu più grande o uguale à -60dBm (soglia di signale di stazione).
Questu hè impurtante quandu utilizate parechji punti d'accessu. Questu impedisce una situazione induve a maiò parte di i clienti s'accumulanu in un puntu, mentre chì altri punti d'accessu sò inattivi.
Inoltre, pudete limità a cunnessione di i clienti cù un signalu debule, chì sò più prubabilmente situati fora di u perimetru di a stanza, per esempiu, daretu à u muru in un uffiziu vicinu, chì ci permette ancu di cunsiderà sta funzione cum'è un metudu indirettu. di prutezzione.
Passà à WiFi 6 cum'è unu di i modi per migliurà a sicurità
Avemu digià parlatu di i vantaghji di i rimedi diretti prima in l'articulu precedente. "Caratteristiche di prutezzione di e rete wireless è cablate. Parte 1 - Misure dirette di prutezzione ".
E rete WiFi 6 furnisce una velocità di trasferimentu di dati più veloce. Da una banda, u novu gruppu di standard permette di aumentà a veloce, da l'altra banda, pudete mette ancu più punti d'accessu in a stessa zona. U novu standard permette menu putenza per esse utilizatu per trasmette à velocità più altu.
Aumentate a velocità di trasferimentu di dati.
A transizione à WiFi 6 implica l'aumentu di a velocità di scambiu à 11Gb/s (modulazione tipu 1024-QAM, canali 160 MHz). À u listessu tempu, i novi dispositi chì supportanu WiFi 6 anu un rendimentu megliu. Unu di i prublemi principali in l'implementazione di misure di sicurezza supplementari, cum'è un canale VPN per ogni utilizatore, hè una calata di velocità. Cù WiFi 6, serà più faciule implementà sistemi di sicurezza supplementari.
BSS Coloring
Avemu scrittu prima chì una cobertura più uniforme pò riduce a penetrazione di u segnu WiFi oltre u perimetru. Ma cù più crescita in u numeru di punti d'accessu, ancu l'usu di l'Auto Healing pò esse micca abbastanza, postu chì u trafficu "stranieru" da un puntu vicinu penetrerà ancu in a zona di ricezione.
Quandu si usa BSS Coloring, u puntu d'accessu lascia marchi spiciali (culori) i so pacchetti di dati. Questu permette di ignurà l'influenza di i dispositi di trasmissione vicini (punti d'accessu).
MU-MIMO migliuratu
802.11ax hà ancu migliurà impurtanti à a tecnulugia MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO permette à u puntu d'accessu di cumunicà cù parechje dispositi simultaneamente. Ma in u standard precedente, sta tecnulugia puderia sustene solu gruppi di quattru clienti nantu à a stessa frequenza. Questu hà facilitatu a trasmissione, ma micca a ricezione. WiFi 6 usa 8x8 multi-user MIMO per a trasmissione è a ricezione.
Nota: 802.11ax aumenta a dimensione di i gruppi MU-MIMO downstream, furnisce un rendimentu di rete WiFi più efficiente. U uplink MIMO multi-utilizatori hè una nova aghjunta à 802.11ax.
OFDMA (Access multiplu à divisione di frequenza ortogonale)
Stu novu metudu d'accessu è di cuntrollu di u canali hè sviluppatu basatu annantu à tecnulugii chì sò digià stati pruvati in a tecnulugia cellulare LTE.
OFDMA permette à più di un signalu per esse mandatu nantu à a stessa linea o canale à u stessu tempu, assignendu un intervallu di tempu à ogni trasmissione è applicà a divisione di frequenza. In u risultatu, micca solu a velocità aumenta per via di una megliu utilizazione di u canali, ma ancu aumenta a sicurezza.
Resumen
E rete WiFi sò diventate più sicure ogni annu. L'usu di tecnulugii muderni ci permette di urganizà un livellu accettabile di prutezzione.
I metudi diretti di prutezzione in a forma di criptografia di trafficu si sò pruvati abbastanza bè. Ùn vi scurdate di misure supplementari: filtrazione per MAC, nasconde l'ID di a rete, Rogue AP Detection (Rogue AP Containment).
Ma ci sò ancu misure indiretti chì migliurà u funziunamentu cumuni di i dispusitivi wireless è aumentanu a vitezza di u scambiu di dati.
L'usu di e novi tecnulugii permette di riduce u nivellu di u signale da i punti, facendu a cobertura più uniforme, chì hà un bonu impattu nantu à a salute di a rete wireless sana in tuttu, cumpresa a sicurità.
U sensu cumunu dice chì tutti i mezi sò boni per migliurà a sicurità: sia diretti sia indiretti. Sta cumminazzioni vi permette di fà a vita cum'è difficiule per un attaccante.
Ligami utili:
- Funzioni di prutezzione di e rete wireless è wired. Parte 1 - Misure dirette di prutezzione
Source: www.habr.com