Rydym yn parhau â'r sgwrs am ddulliau ar gyfer cynyddu diogelwch rhwydwaith. Yn yr erthygl hon byddwn yn siarad am fesurau diogelwch ychwanegol a threfnu rhwydweithiau diwifr mwy diogel.
Rhagymadrodd i'r ail ran
Yn yr erthygl flaenorol Cafwyd trafodaeth am broblemau diogelwch rhwydwaith WiFi a dulliau uniongyrchol o amddiffyn rhag mynediad anawdurdodedig. Ystyriwyd mesurau amlwg i atal rhyng-gipio traffig: amgryptio, cuddio rhwydwaith a hidlo MAC, yn ogystal â dulliau arbennig, er enghraifft, brwydro yn erbyn Rogue AP. Fodd bynnag, yn ogystal â dulliau amddiffyn uniongyrchol, mae yna rai anuniongyrchol hefyd. Mae'r rhain yn dechnolegau sydd nid yn unig yn helpu i wella ansawdd cyfathrebu, ond hefyd yn gwella diogelwch ymhellach.
Dau brif nodwedd rhwydweithiau diwifr: mynediad digyswllt o bell ac aer radio fel cyfrwng darlledu ar gyfer trosglwyddo data, lle gall unrhyw dderbynnydd signal wrando ar yr awyr, a gall unrhyw drosglwyddydd glocsio'r rhwydwaith gyda throsglwyddiadau diwerth ac ymyrraeth radio yn syml. Nid yw hyn, ymhlith pethau eraill, yn cael yr effaith orau ar ddiogelwch cyffredinol y rhwydwaith diwifr.
Ni fyddwch yn byw trwy ddiogelwch yn unig. Mae'n rhaid i ni weithio rhywsut o hyd, hynny yw, cyfnewid data. Ac ar yr ochr hon mae yna lawer o gwynion eraill am WiFi:
- bylchau yn y cwmpas (“smotiau gwyn”);
- dylanwad ffynonellau allanol a phwyntiau mynediad cyfagos ar ei gilydd.
O ganlyniad, oherwydd y problemau a ddisgrifir uchod, mae ansawdd y signal yn gostwng, mae'r cysylltiad yn colli sefydlogrwydd, ac mae'r cyflymder cyfnewid data yn gostwng.
Wrth gwrs, bydd cefnogwyr rhwydweithiau gwifrau yn falch o nodi, wrth ddefnyddio cebl ac, yn enwedig, cysylltiadau ffibr-optig, na welir problemau o'r fath.
Mae'r cwestiwn yn codi: a oes modd datrys y materion hyn rywsut heb ddefnyddio unrhyw ddulliau llym megis ailgysylltu'r holl bobl anfodlon â'r rhwydwaith gwifrau?
Ble mae'r holl broblemau'n dechrau?
Ar adeg geni'r swyddfa a rhwydweithiau WiFi eraill, roeddent yn aml yn dilyn algorithm syml: maent yn gosod un pwynt mynediad yng nghanol y perimedr er mwyn sicrhau'r sylw mwyaf posibl. Os nad oedd digon o gryfder signal ar gyfer ardaloedd anghysbell, ychwanegwyd antena chwyddo at y pwynt mynediad. Yn anaml iawn yr ychwanegwyd ail bwynt mynediad, er enghraifft, ar gyfer swyddfa cyfarwyddwr o bell. Mae'n debyg mai dyna'r holl welliannau.
Roedd gan y dull hwn ei resymau. Yn gyntaf, ar wawr rhwydweithiau diwifr, roedd yr offer ar eu cyfer yn ddrud. Yn ail, roedd gosod mwy o bwyntiau mynediad yn golygu wynebu cwestiynau nad oedd ganddynt atebion ar y pryd. Er enghraifft, sut i drefnu newid di-dor cleient rhwng pwyntiau? Sut i ddelio ag ymyrraeth ar y cyd? Sut i symleiddio'r broses o reoli pwyntiau, er enghraifft, cymhwyso gwaharddiadau/caniatâd ar yr un pryd, monitro, ac ati. Felly, roedd yn llawer haws dilyn yr egwyddor: y lleiaf o ddyfeisiau, y gorau.
Ar yr un pryd, mae'r pwynt mynediad, sydd wedi'i leoli o dan y nenfwd, yn darlledu mewn diagram cylchlythyr (yn fwy manwl gywir, crwn).
Fodd bynnag, nid yw siapiau adeiladau pensaernïol yn cyd-fynd yn dda iawn â diagramau lluosogi signal crwn. Felly, mewn rhai mannau nid yw'r signal bron yn cyrraedd, ac mae angen ei chwyddo, ac mewn rhai mannau mae'r darllediad yn mynd y tu hwnt i'r perimedr ac yn dod yn hygyrch i bobl o'r tu allan.
Ffigur 1. Enghraifft o sylw gan ddefnyddio un pwynt yn y swyddfa.
Nodyn. Mae hwn yn frasamcan bras nad yw'n ystyried rhwystrau i ymlediad, yn ogystal â chyfeiriadedd y signal. Yn ymarferol, gall siapiau'r diagramau ar gyfer gwahanol fodelau pwynt fod yn wahanol.
Gellir gwella'r sefyllfa trwy ddefnyddio mwy o bwyntiau mynediad.
Yn gyntaf, bydd hyn yn caniatáu i ddyfeisiau trawsyrru gael eu dosbarthu'n fwy effeithlon ar draws ardal yr ystafell.
Yn ail, mae'n dod yn bosibl lleihau lefel y signal, gan ei atal rhag mynd y tu hwnt i berimedr swyddfa neu gyfleuster arall. Yn yr achos hwn, er mwyn darllen traffig rhwydwaith diwifr, mae angen i chi fynd bron yn agos at y perimedr neu hyd yn oed fynd i mewn i'w derfynau. Mae ymosodwr yn gweithredu yn yr un ffordd fwy neu lai i dorri i mewn i rwydwaith gwifrau mewnol.
Ffigur 2: Mae cynyddu nifer y pwyntiau mynediad yn caniatáu ar gyfer dosbarthu cwmpas yn well.
Gadewch i ni edrych ar y ddau lun eto. Mae'r cyntaf yn dangos yn glir un o brif wendidau rhwydwaith diwifr - gellir dal y signal o bellter gweddus.
Yn yr ail lun nid yw'r sefyllfa mor ddatblygedig. Po fwyaf o bwyntiau mynediad, y mwyaf effeithiol yw'r ardal ddarlledu, ac ar yr un pryd nid yw'r pŵer signal bron yn ymestyn y tu hwnt i'r perimedr, yn fras, y tu hwnt i ffiniau'r swyddfa, swyddfa, adeilad a gwrthrychau posibl eraill.
Bydd yn rhaid i ymosodwr rywsut sleifio’n agosach heb i neb sylwi er mwyn rhyng-gipio signal cymharol wan “o’r stryd” neu “o’r coridor” ac ati. I wneud hyn, mae angen i chi fynd yn agos at adeilad y swyddfa, er enghraifft, i sefyll o dan y ffenestri. Neu ceisiwch fynd i mewn i'r adeilad swyddfa ei hun. Beth bynnag, mae hyn yn cynyddu'r risg o gael eich dal ar wyliadwriaeth fideo a chael eich sylwi gan ddiogelwch. Mae hyn yn lleihau'r cyfnod amser ar gyfer ymosodiad yn sylweddol. Go brin y gellir galw hyn yn “amodau delfrydol ar gyfer hacio.”
Wrth gwrs, erys un “pechod gwreiddiol” arall: rhwydweithiau diwifr yn cael eu darlledu mewn ystod hygyrch y gall pob cleient ei rhyng-gipio. Yn wir, gellir cymharu rhwydwaith WiFi â HUB Ethernet, lle mae'r signal yn cael ei drosglwyddo i bob porthladd ar unwaith. Er mwyn osgoi hyn, yn ddelfrydol dylai pob pâr o ddyfeisiau gyfathrebu ar ei sianel amledd ei hun, na ddylai unrhyw un arall ymyrryd â hi.
Dyma grynodeb o'r prif broblemau. Gadewch i ni ystyried ffyrdd i'w datrys.
Moddion: uniongyrchol ac anuniongyrchol
Fel y soniwyd eisoes yn yr erthygl flaenorol, ni ellir sicrhau amddiffyniad perffaith mewn unrhyw achos. Ond gallwch ei gwneud mor anodd â phosibl i gyflawni ymosodiad, gan wneud y canlyniad yn amhroffidiol mewn perthynas â'r ymdrech a wariwyd.
Yn gonfensiynol, gellir rhannu offer amddiffynnol yn ddau brif grŵp:
- technolegau diogelu traffig uniongyrchol fel amgryptio neu hidlo MAC;
- technolegau a fwriadwyd yn wreiddiol at ddibenion eraill, er enghraifft, i gynyddu cyflymder, ond ar yr un pryd yn anuniongyrchol yn gwneud bywyd ymosodwr yn fwy anodd.
Disgrifiwyd y grŵp cyntaf yn y rhan gyntaf. Ond mae gennym hefyd fesurau anuniongyrchol ychwanegol yn ein arsenal. Fel y soniwyd uchod, mae cynyddu nifer y pwyntiau mynediad yn caniatáu ichi leihau lefel y signal a gwneud yr ardal ddarlledu yn unffurf, ac mae hyn yn gwneud bywyd yn anoddach i ymosodwr.
Cafeat arall yw bod cynyddu cyflymder trosglwyddo data yn ei gwneud hi'n haws cymhwyso mesurau diogelwch ychwanegol. Er enghraifft, gallwch chi osod cleient VPN ar bob gliniadur a throsglwyddo data hyd yn oed o fewn rhwydwaith lleol trwy sianeli wedi'u hamgryptio. Bydd hyn yn gofyn am rai adnoddau, gan gynnwys caledwedd, ond bydd lefel yr amddiffyniad yn cynyddu'n sylweddol.
Isod rydym yn darparu disgrifiad o dechnolegau a all wella perfformiad rhwydwaith a chynyddu'n anuniongyrchol lefel yr amddiffyniad.
Dulliau anuniongyrchol o wella amddiffyniad - beth all helpu?
Llywio Cleient
Mae'r nodwedd Llywio Cleient yn annog dyfeisiau cleient i ddefnyddio'r band 5GHz yn gyntaf. Os nad yw'r opsiwn hwn ar gael i'r cleient, bydd yn dal i allu defnyddio 2.4 GHz. Ar gyfer rhwydweithiau etifeddol sydd â nifer fach o bwyntiau mynediad, gwneir y rhan fwyaf o'r gwaith yn y band 2.4 GHz. Ar gyfer yr ystod amledd 5 GHz, bydd cynllun un pwynt mynediad yn annerbyniol mewn llawer o achosion. Y ffaith yw bod signal ag amledd uwch yn mynd trwy waliau ac yn plygu o gwmpas rhwystrau yn waeth. Yr argymhelliad arferol: er mwyn sicrhau cyfathrebu gwarantedig yn y band 5 GHz, mae'n well gweithio yn unol â'r golwg o'r pwynt mynediad.
Yn safonau modern 802.11ac a 802.11ax, oherwydd y nifer fwy o sianeli, mae'n bosibl gosod sawl pwynt mynediad yn agosach, sy'n eich galluogi i leihau pŵer heb golli, neu hyd yn oed ennill, cyflymder trosglwyddo data. O ganlyniad, mae defnyddio'r band 5GHz yn gwneud bywyd yn anoddach i ymosodwyr, ond yn gwella ansawdd cyfathrebu ar gyfer cleientiaid o fewn cyrraedd.
Cyflwynir y swyddogaeth hon:
- ym mhwyntiau mynediad Nebula a NebulaFlex;
- mewn waliau tân gyda swyddogaeth rheolydd.
Iachau Auto
Fel y soniwyd uchod, nid yw cyfuchliniau perimedr yr ystafell yn cyd-fynd yn dda â'r diagramau crwn o bwyntiau mynediad.
I ddatrys y broblem hon, yn gyntaf, mae angen i chi ddefnyddio'r nifer gorau posibl o bwyntiau mynediad, ac yn ail, lleihau dylanwad y ddwy ochr. Ond os ydych chi'n lleihau pŵer y trosglwyddyddion â llaw, gall ymyrraeth uniongyrchol o'r fath arwain at ddirywiad mewn cyfathrebu. Bydd hyn yn arbennig o amlwg os bydd un neu fwy o bwyntiau mynediad yn methu.
Mae Auto Healing yn caniatáu ichi addasu pŵer yn gyflym heb golli dibynadwyedd a chyflymder trosglwyddo data.
Wrth ddefnyddio'r swyddogaeth hon, mae'r rheolydd yn gwirio statws ac ymarferoldeb y pwyntiau mynediad. Os nad yw un ohonynt yn gweithio, yna mae'r rhai cyfagos yn cael eu cyfarwyddo i gynyddu cryfder y signal i lenwi'r “man gwyn”. Unwaith y bydd y pwynt mynediad ar ei draed eto, mae pwyntiau cyfagos yn cael eu cyfarwyddo i leihau cryfder y signal i leihau ymyrraeth ar y cyd.
Crwydro WiFi di-dor
Ar yr olwg gyntaf, prin y gellir galw'r dechnoleg hon yn cynyddu lefel diogelwch; yn hytrach, i'r gwrthwyneb, mae'n ei gwneud hi'n haws i gleient (gan gynnwys ymosodwr) newid rhwng pwyntiau mynediad ar yr un rhwydwaith. Ond os defnyddir dau neu fwy o bwyntiau mynediad, mae angen i chi sicrhau gweithrediad cyfleus heb broblemau diangen. Yn ogystal, os yw'r pwynt mynediad yn cael ei orlwytho, mae'n ymdopi'n waeth â swyddogaethau diogelwch megis amgryptio, oedi wrth gyfnewid data a phethau annymunol eraill yn digwydd. Yn hyn o beth, mae crwydro di-dor yn help mawr i ddosbarthu'r llwyth yn hyblyg a sicrhau gweithrediad di-dor mewn modd gwarchodedig.
Ffurfweddu trothwyon cryfder signal ar gyfer cysylltu a datgysylltu cleientiaid diwifr (Trothwy Signal neu Ystod Cryfder Signal)
Wrth ddefnyddio un pwynt mynediad, nid yw'r swyddogaeth hon, mewn egwyddor, o bwys. Ond ar yr amod bod sawl pwynt a reolir gan reolwr yn gweithredu, mae'n bosibl trefnu dosbarthiad symudol cleientiaid ar draws gwahanol APs. Mae'n werth cofio bod swyddogaethau rheolydd pwynt mynediad ar gael mewn sawl llinell o lwybryddion o Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Mae gan y dyfeisiau uchod nodwedd i ddatgysylltu cleient sydd wedi'i gysylltu â SSID â signal gwan. Mae “gwan” yn golygu bod y signal yn is na'r trothwy a osodwyd ar y rheolydd. Ar ôl i'r cleient gael ei ddatgysylltu, bydd yn anfon cais stiliwr i ddod o hyd i bwynt mynediad arall.
Er enghraifft, cleient sy'n gysylltiedig â phwynt mynediad gyda signal islaw -65dBm, os yw'r trothwy datgysylltu gorsaf yn -60dBm, yn yr achos hwn bydd y pwynt mynediad yn datgysylltu'r cleient â'r lefel signal hon. Mae'r cleient nawr yn dechrau'r weithdrefn ailgysylltu a bydd eisoes yn cysylltu â phwynt mynediad arall gyda signal sy'n fwy na neu'n hafal i -60dBm (trothwy signal gorsaf).
Mae hyn yn bwysig wrth ddefnyddio pwyntiau mynediad lluosog. Mae hyn yn atal sefyllfa lle mae'r rhan fwyaf o gleientiaid yn cronni ar un adeg, tra bod pwyntiau mynediad eraill yn segur.
Yn ogystal, gallwch gyfyngu ar gysylltiad cleientiaid â signal gwan, sydd fwyaf tebygol o gael eu lleoli y tu allan i berimedr yr ystafell, er enghraifft, y tu ôl i'r wal mewn swyddfa gyfagos, sydd hefyd yn caniatáu inni ystyried y swyddogaeth hon fel dull anuniongyrchol. o amddiffyniad.
Newid i WiFi 6 fel un o'r ffyrdd o wella diogelwch
Rydym eisoes wedi siarad am fanteision meddyginiaethau uniongyrchol yn gynharach yn yr erthygl flaenorol. “Nodweddion amddiffyn rhwydweithiau diwifr a gwifrau. Rhan 1 - Mesurau amddiffyn uniongyrchol".
Mae rhwydweithiau WiFi 6 yn darparu cyflymder trosglwyddo data cyflymach. Ar y naill law, mae'r grŵp newydd o safonau yn caniatáu ichi gynyddu cyflymder, ar y llaw arall, gallwch chi osod hyd yn oed mwy o bwyntiau mynediad yn yr un ardal. Mae'r safon newydd yn caniatáu i lai o bŵer gael ei ddefnyddio i drosglwyddo ar gyflymder uwch.
Cyflymder trosglwyddo data cynyddol.
Mae'r newid i WiFi 6 yn golygu cynyddu'r cyflymder cyfnewid i 11Gb/s (math modiwleiddio 1024-QAM, sianeli 160 MHz). Ar yr un pryd, mae gan ddyfeisiau newydd sy'n cefnogi WiFi 6 berfformiad gwell. Un o'r prif broblemau wrth weithredu mesurau diogelwch ychwanegol, megis sianel VPN ar gyfer pob defnyddiwr, yw gostyngiad mewn cyflymder. Gyda WiFi 6, bydd yn haws gweithredu systemau diogelwch ychwanegol.
Lliwio BSS
Ysgrifennom yn gynharach y gall sylw mwy unffurf leihau treiddiad y signal WiFi y tu hwnt i'r perimedr. Ond gyda thwf pellach yn nifer y pwyntiau mynediad, efallai na fydd hyd yn oed y defnydd o Auto Healing yn ddigon, gan y bydd traffig “tramor” o bwynt cyfagos yn dal i dreiddio i'r dderbynfa.
Wrth ddefnyddio Lliwio BSS, mae'r pwynt mynediad yn gadael marciau arbennig (lliwiau) ei becynnau data. Mae hyn yn caniatáu ichi anwybyddu dylanwad dyfeisiau trawsyrru cyfagos (pwyntiau mynediad).
Gwell MU-MIMO
Mae gan 802.11ax hefyd welliannau pwysig i dechnoleg MU-MIMO (Aml-Ddefnyddiwr - Mewnbwn Lluosog Allbwn Lluosog). Mae MU-MIMO yn caniatáu i'r pwynt mynediad gyfathrebu â dyfeisiau lluosog ar yr un pryd. Ond yn y safon flaenorol, dim ond ar yr un amlder y gallai'r dechnoleg hon gefnogi grwpiau o bedwar cleient. Roedd hyn yn gwneud trosglwyddo yn haws, ond nid derbyniad. Mae WiFi 6 yn defnyddio MIMO aml-ddefnyddiwr 8x8 ar gyfer trosglwyddo a derbyn.
Nodyn. Mae 802.11ax yn cynyddu maint grwpiau MU-MIMO i lawr yr afon, gan ddarparu perfformiad rhwydwaith WiFi mwy effeithlon. Mae uplink MIMO aml-ddefnyddiwr yn ychwanegiad newydd i 802.11ax.
OFDMA (mynediad lluosog amledd-adran orthogonol)
Mae'r dull newydd hwn o fynediad a rheolaeth sianel yn cael ei ddatblygu yn seiliedig ar dechnolegau sydd eisoes wedi'u profi mewn technoleg cellog LTE.
Mae OFDMA yn caniatáu anfon mwy nag un signal ar yr un llinell neu sianel ar yr un pryd trwy neilltuo cyfwng amser i bob trosglwyddiad a chymhwyso rhaniad amlder. O ganlyniad, nid yn unig y mae'r cyflymder yn cynyddu oherwydd gwell defnydd o'r sianel, ond hefyd mae diogelwch yn cynyddu.
Crynodeb
Mae rhwydweithiau WiFi yn dod yn fwy diogel bob blwyddyn. Mae'r defnydd o dechnolegau modern yn ein galluogi i drefnu lefel dderbyniol o amddiffyniad.
Mae dulliau amddiffyn uniongyrchol ar ffurf amgryptio traffig wedi profi eu hunain yn eithaf da. Peidiwch ag anghofio am fesurau ychwanegol: hidlo gan MAC, cuddio ID y rhwydwaith, Canfod AP Twyllodrus (Cynhwysiant Twyllodrus AP).
Ond mae yna hefyd fesurau anuniongyrchol sy'n gwella gweithrediad dyfeisiau diwifr ar y cyd a chynyddu cyflymder cyfnewid data.
Mae'r defnydd o dechnolegau newydd yn ei gwneud hi'n bosibl lleihau lefel y signal o bwyntiau, gan wneud y sylw'n fwy unffurf, sy'n cael effaith dda ar iechyd y rhwydwaith diwifr cyfan yn ei gyfanrwydd, gan gynnwys diogelwch.
Mae synnwyr cyffredin yn dweud bod pob dull yn dda i wella diogelwch: uniongyrchol ac anuniongyrchol. Mae'r cyfuniad hwn yn eich galluogi i wneud bywyd mor anodd â phosibl i ymosodwr.
Dolenni defnyddiol:
- Nodweddion amddiffyn rhwydweithiau diwifr a gwifrau. Rhan 1 - Mesurau amddiffyn uniongyrchol
Ffynhonnell: hab.com