Pokračujeme v rozhovoru o metodách zvýšení bezpečnosti sítě. V tomto článku budeme hovořit o dalších bezpečnostních opatřeních a organizaci bezpečnějších bezdrátových sítí.
Předmluva k druhé části
V předchozím článku Diskutovalo se o problémech se zabezpečením WiFi sítě a přímých způsobech ochrany před neoprávněným přístupem. Zvažovala se zřejmá opatření k zabránění zachycování provozu: šifrování, skrývání sítě a filtrování MAC a také speciální metody, například boj proti Rogue AP. Kromě přímých způsobů ochrany však existují i nepřímé. Jedná se o technologie, které nejen pomáhají zlepšit kvalitu komunikace, ale také dále zlepšují bezpečnost.
Dvě hlavní vlastnosti bezdrátových sítí: vzdálený bezkontaktní přístup a rádiový vzduch jako vysílací médium pro přenos dat, kde jakýkoli přijímač signálu může poslouchat vzduch a jakýkoli vysílač může ucpat síť zbytečnými přenosy a jednoduše rádiovým rušením. To mimo jiné nemá nejlepší vliv na celkovou bezpečnost bezdrátové sítě.
Nebudete žít jen v bezpečí. Pořád musíme nějak fungovat, tedy vyměňovat si data. A na této straně existuje mnoho dalších stížností na WiFi:
- mezery v pokrytí („bílé skvrny“);
- vliv vnějších zdrojů a sousedních přístupových bodů na sebe.
V důsledku výše popsaných problémů se snižuje kvalita signálu, spojení ztrácí stabilitu a rychlost výměny dat klesá.
Fanoušci kabelových sítí samozřejmě rádi poznamenají, že při použití kabelových a zejména optických připojení tyto problémy nejsou pozorovány.
Nabízí se otázka: je možné tyto problémy nějak vyřešit, aniž bychom se uchýlili k nějakým drastickým prostředkům, jako je opětovné připojení všech nespokojených lidí ke kabelové síti?
Kde všechny problémy začínají?
V době zrodu kancelářských a dalších WiFi sítí se nejčastěji řídily jednoduchým algoritmem: do středu perimetru umístily jeden přístupový bod, aby maximalizovaly pokrytí. Pokud nebyla dostatečná síla signálu pro vzdálené oblasti, byla k přístupovému bodu přidána zesilovací anténa. Velmi zřídka byl přidán druhý přístupový bod, například pro vzdálenou kancelář ředitele. To jsou asi všechna vylepšení.
Tento přístup měl své důvody. Za prvé, na úsvitu bezdrátových sítí bylo vybavení pro ně drahé. Za druhé, instalace více přístupových bodů znamenala čelit otázkám, které v té době neměly žádné odpovědi. Jak například zorganizovat bezproblémové přepínání klientů mezi body? Jak se vypořádat se vzájemným rušením? Jak zjednodušit a zefektivnit správu bodů, například současné uplatňování zákazů/povolení, sledování a podobně. Proto bylo mnohem jednodušší dodržovat zásadu: čím méně zařízení, tím lépe.
Přístupový bod umístěný pod stropem přitom vysílal v kruhovém (přesněji kulatém) schématu.
Tvary architektonických budov však do kulatých schémat šíření signálu příliš nezapadají. Proto na některých místech signál téměř nedosahuje a je třeba jej zesílit a na některých místech vysílání překračuje perimetr a stává se přístupným pro lidi zvenčí.
Obrázek 1. Příklad pokrytí pomocí jediného bodu v kanceláři.
Poznámka. Jedná se o hrubou aproximaci, která nebere v úvahu překážky šíření, ani směrovost signálu. V praxi se tvary diagramů pro různé bodové modely mohou lišit.
Situaci lze zlepšit použitím více přístupových bodů.
Za prvé to umožní efektivnější distribuci vysílacích zařízení po celé místnosti.
Za druhé, je možné snížit úroveň signálu a zabránit tomu, aby překročil hranice kanceláře nebo jiného zařízení. V tomto případě, abyste mohli číst provoz bezdrátové sítě, musíte se dostat téměř blízko k perimetru nebo dokonce zadat jeho limity. Útočník se chová v podstatě stejným způsobem, aby pronikl do vnitřní kabelové sítě.
Obrázek 2: Zvýšení počtu přístupových bodů umožňuje lepší rozložení pokrytí.
Podívejme se znovu na oba obrázky. První jasně ukazuje jednu z hlavních zranitelností bezdrátové sítě – signál lze zachytit na slušnou vzdálenost.
Na druhém obrázku není situace tak pokročilá. Čím více přístupových bodů, tím efektivnější je oblast pokrytí a zároveň výkon signálu téměř nepřesahuje perimetr, zhruba řečeno, za hranice kanceláře, kanceláře, budovy a dalších možných objektů.
Útočník se bude muset nějak nepozorovaně připlížit blíž, aby zachytil relativně slabý signál „z ulice“ nebo „z chodby“ a podobně. K tomu je třeba se dostat do blízkosti administrativní budovy, například stát pod okny. Nebo se pokuste dostat do samotné administrativní budovy. V každém případě se tím zvyšuje riziko, že vás zachytí videosledování a všimne si vás bezpečnost. To výrazně zkracuje časový interval pro útok. To lze jen stěží nazvat „ideálními podmínkami pro hacking“.
Samozřejmě zbývá ještě jeden „prvotní hřích“: bezdrátové sítě vysílají v dostupném dosahu, který mohou zachytit všichni klienti. WiFi síť lze skutečně přirovnat k ethernetovému HUBu, kde je signál přenášen do všech portů najednou. Aby se tomu zabránilo, v ideálním případě by měl každý pár zařízení komunikovat na svém vlastním frekvenčním kanálu, do kterého by nikdo jiný neměl rušit.
Zde je shrnutí hlavních problémů. Zvažme způsoby, jak je vyřešit.
Opravné prostředky: přímé a nepřímé
Jak již bylo zmíněno v předchozím článku, dokonalé ochrany nelze v žádném případě dosáhnout. Provedení útoku ale můžete co nejvíce ztížit, čímž se výsledek stane nerentabilním v poměru k vynaloženému úsilí.
Obvykle lze ochranné prostředky rozdělit do dvou hlavních skupin:
- technologie přímé ochrany provozu, jako je šifrování nebo filtrování MAC;
- technologie, které byly původně určeny k jiným účelům, například ke zvýšení rychlosti, ale zároveň nepřímo ztěžují život útočníka.
První skupina byla popsána v první části. Ale v našem arzenálu máme také další nepřímá opatření. Jak bylo uvedeno výše, zvýšení počtu přístupových bodů umožňuje snížit úroveň signálu a sjednotit oblast pokrytí, což útočníkovi ztěžuje život.
Další výhradou je, že zvýšení rychlosti přenosu dat usnadňuje použití dalších bezpečnostních opatření. Můžete například nainstalovat klienta VPN na každý notebook a přenášet data i v rámci místní sítě prostřednictvím šifrovaných kanálů. To bude vyžadovat určité zdroje, včetně hardwaru, ale úroveň ochrany se výrazně zvýší.
Níže uvádíme popis technologií, které mohou zlepšit výkon sítě a nepřímo zvýšit stupeň ochrany.
Nepřímé prostředky ke zlepšení ochrany – co může pomoci?
Klientské řízení
Funkce Client Steering vyzve klientská zařízení, aby nejprve použila pásmo 5 GHz. Pokud tato možnost nebude klientovi dostupná, bude moci stále využívat 2.4 GHz. U starších sítí s malým počtem přístupových bodů se většina práce provádí v pásmu 2.4 GHz. Pro frekvenční rozsah 5 GHz bude schéma jednoho přístupového bodu v mnoha případech nepřijatelné. Signál s vyšší frekvencí totiž prochází stěnami a hůře se ohýbá kolem překážek. Obvyklé doporučení: pro zajištění zaručené komunikace v pásmu 5 GHz je vhodnější pracovat v přímé viditelnosti z přístupového bodu.
V moderních standardech 802.11ac a 802.11ax je díky většímu počtu kanálů možné instalovat několik přístupových bodů v bližší vzdálenosti, což umožňuje snížit výkon bez ztráty nebo dokonce zvýšení rychlosti přenosu dat. Díky tomu využití pásma 5GHz ztěžuje život útočníkům, ale zlepšuje kvalitu komunikace pro klienty v dosahu.
Tato funkce je prezentována:
- v přístupových bodech Nebula a NebulaFlex;
- ve firewallech s funkcí řadiče.
Auto Healing
Jak již bylo zmíněno výše, obrysy obvodu místnosti dobře nezapadají do kulatých schémat přístupových bodů.
Chcete-li tento problém vyřešit, za prvé musíte použít optimální počet přístupových bodů a za druhé snížit vzájemné ovlivňování. Pokud ale jednoduše ručně snížíte výkon vysílačů, může takové přímé rušení vést ke zhoršení komunikace. To bude zvláště patrné, pokud jeden nebo více přístupových bodů selže.
Auto Healing umožňuje rychle upravit výkon bez ztráty spolehlivosti a rychlosti přenosu dat.
Při použití této funkce kontrolér kontroluje stav a funkčnost přístupových bodů. Pokud jeden z nich nefunguje, sousedním je nařízeno, aby zvýšili sílu signálu, aby zaplnili „bílé místo“. Jakmile je přístupový bod znovu uveden do provozu, sousední body dostanou pokyn ke snížení síly signálu, aby se snížilo vzájemné rušení.
Bezproblémový WiFi roaming
Tuto technologii lze na první pohled jen stěží nazvat zvýšením úrovně zabezpečení, spíše naopak usnadňuje klientovi (včetně útočníka) přepínání mezi přístupovými body ve stejné síti. Ale pokud jsou použity dva nebo více přístupových bodů, musíte zajistit pohodlný provoz bez zbytečných problémů. Pokud je navíc přístupový bod přetížen, hůře se vyrovnává s bezpečnostními funkcemi, jako je šifrování, dochází ke zpoždění výměny dat a dalším nepříjemným věcem. V tomto ohledu je bezproblémový roaming velkým pomocníkem pro flexibilní rozložení zátěže a zajištění nepřetržitého provozu v chráněném režimu.
Konfigurace prahů síly signálu pro připojování a odpojování bezdrátových klientů (Práh signálu nebo Rozsah síly signálu)
Při použití jednoho přístupového bodu na této funkci v zásadě nezáleží. Ale za předpokladu, že funguje několik bodů řízených ovladačem, je možné organizovat mobilní distribuci klientů napříč různými AP. Stojí za připomenutí, že funkce řadiče přístupových bodů jsou dostupné v mnoha řadách routerů od Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Výše uvedená zařízení mají funkci pro odpojení klienta, který je připojen k SSID se slabým signálem. „Slabý“ znamená, že signál je pod prahovou hodnotou nastavenou na ovladači. Poté, co byl klient odpojen, odešle testovací požadavek na nalezení jiného přístupového bodu.
Například klient připojený k přístupovému bodu se signálem pod -65dBm, pokud je práh odpojení stanice -60dBm, v tomto případě přístupový bod odpojí klienta s touto úrovní signálu. Klient nyní zahájí proceduru opětovného připojení a již se připojí k jinému přístupovému bodu se signálem větším nebo rovným -60dBm (práh signálu stanice).
To je důležité při použití více přístupových bodů. Tím se zabrání situaci, kdy se většina klientů nahromadí v jednom bodě, zatímco ostatní přístupové body jsou nečinné.
Navíc můžete omezit připojení klientů se slabým signálem, kteří se s největší pravděpodobností nacházejí mimo obvod místnosti, například za zdí v sousední kanceláři, což nám také umožňuje považovat tuto funkci za nepřímou metodu ochrany.
Přechod na WiFi 6 jako jeden ze způsobů, jak zlepšit zabezpečení
O výhodách přímých opravných prostředků jsme již hovořili dříve v předchozím článku. „Funkce ochrany bezdrátových a kabelových sítí. Část 1 - Přímá ochranná opatření".
Sítě WiFi 6 poskytují vyšší rychlosti přenosu dat. Nová skupina standardů vám na jednu stranu umožňuje zvýšit rychlost, na druhou stranu můžete do stejné oblasti umístit ještě více přístupových bodů. Nový standard umožňuje použití menšího výkonu pro přenos při vyšších rychlostech.
Zvýšená rychlost přenosu dat.
Přechod na WiFi 6 zahrnuje zvýšení přenosové rychlosti na 11 Gb/s (typ modulace 1024-QAM, 160 MHz kanály). Nová zařízení, která podporují WiFi 6, mají zároveň lepší výkon. Jedním z hlavních problémů při implementaci dalších bezpečnostních opatření, jako je kanál VPN pro každého uživatele, je pokles rychlosti. S WiFi 6 bude snazší implementovat další bezpečnostní systémy.
BSS zbarvení
Již dříve jsme psali, že rovnoměrnější pokrytí může snížit pronikání WiFi signálu za perimetr. Ale s dalším růstem počtu přístupových bodů nemusí ani použití automatického léčení stačit, protože do oblasti příjmu bude stále pronikat „cizí“ provoz ze sousedního bodu.
Při použití BSS Coloring zanechává přístupový bod své datové pakety speciální značky (barvy). To umožňuje ignorovat vliv sousedních vysílacích zařízení (přístupových bodů).
Vylepšené MU-MIMO
802.11ax má také důležitá vylepšení technologie MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO umožňuje přístupovému bodu komunikovat s více zařízeními současně. Ale v předchozím standardu mohla tato technologie podporovat pouze skupiny čtyř klientů na stejné frekvenci. To usnadnilo přenos, ale ne příjem. WiFi 6 využívá pro vysílání a příjem 8x8 víceuživatelské MIMO.
Poznámka. 802.11ax zvyšuje velikost downstreamových skupin MU-MIMO a poskytuje efektivnější výkon WiFi sítě. Multi-user MIMO uplink je novým přírůstkem k 802.11ax.
OFDMA (ortogonální vícenásobný přístup s frekvenčním dělením)
Tato nová metoda přístupu ke kanálu a řízení je vyvinuta na základě technologií, které již byly ověřeny v celulární technologii LTE.
OFDMA umožňuje posílat více než jeden signál na stejné lince nebo kanálu ve stejnou dobu tím, že každému přenosu přiřadí časový interval a použije frekvenční dělení. V důsledku toho se nejen zvyšuje rychlost díky lepšímu využití kanálu, ale také se zvyšuje bezpečnost.
Shrnutí
WiFi sítě jsou rok od roku bezpečnější. Použití moderních technologií nám umožňuje zorganizovat přijatelnou úroveň ochrany.
Přímé způsoby ochrany v podobě šifrování provozu se celkem osvědčily. Nezapomeňte na další opatření: filtrování podle MAC, skrytí ID sítě, Rogue AP Detection (Rogue AP Containment).
Existují ale i nepřímá opatření, která zlepšují společný provoz bezdrátových zařízení a zvyšují rychlost výměny dat.
Využití nových technologií umožňuje snížit úroveň signálu z bodů, čímž je pokrytí rovnoměrnější, což má dobrý dopad na zdraví celé bezdrátové sítě jako celku, včetně zabezpečení.
Zdravý rozum velí, že ke zlepšení bezpečnosti jsou dobré všechny prostředky: přímé i nepřímé. Tato kombinace umožňuje útočníkovi maximálně ztížit život.
Užitečné odkazy:
- Vlastnosti ochrany bezdrátových a drátových sítí. Část 1 - Přímá ochranná opatření
Zdroj: www.habr.com