Vi fortsætter samtalen om metoder til at øge netværkssikkerheden. I denne artikel vil vi tale om yderligere sikkerhedsforanstaltninger og organisering af mere sikre trådløse netværk.
Forord til anden del
I en tidligere artikel Der var en diskussion om WiFi-netværkssikkerhedsproblemer og direkte metoder til beskyttelse mod uautoriseret adgang. Indlysende foranstaltninger til at forhindre trafikaflytning blev overvejet: kryptering, netværksskjul og MAC-filtrering samt særlige metoder, for eksempel bekæmpelse af Rogue AP. Men ud over direkte beskyttelsesmetoder er der også indirekte. Det er teknologier, der ikke kun hjælper med at forbedre kommunikationskvaliteten, men som også forbedrer sikkerheden yderligere.
To hovedtræk ved trådløse netværk: fjernkontaktløs adgang og radioluft som et udsendelsesmedium til datatransmission, hvor enhver signalmodtager kan lytte til luften, og enhver sender kan tilstoppe netværket med ubrugelige transmissioner og blot radiointerferens. Dette har blandt andet ikke den bedste effekt på den samlede sikkerhed i det trådløse netværk.
Du vil ikke leve af sikkerhed alene. Vi skal stadig arbejde på en eller anden måde, altså udveksle data. Og på denne side er der mange andre klager over WiFi:
- huller i dækningen ("hvide pletter");
- indflydelse fra eksterne kilder og tilstødende adgangspunkter på hinanden.
Som et resultat, på grund af de ovenfor beskrevne problemer, falder kvaliteten af signalet, forbindelsen mister stabilitet, og dataudvekslingshastigheden falder.
Selvfølgelig vil fans af kablede netværk være glade for at bemærke, at når du bruger kabel- og især fiberoptiske forbindelser, observeres sådanne problemer ikke.
Spørgsmålet opstår: er det muligt på en eller anden måde at løse disse problemer uden at ty til nogen drastiske midler, såsom at genoprette alle utilfredse mennesker til det kablede netværk?
Hvor starter alle problemerne?
På tidspunktet for fødslen af kontor- og andre WiFi-netværk fulgte de oftest en simpel algoritme: de placerede et enkelt adgangspunkt i midten af omkredsen for at maksimere dækningen. Hvis der ikke var nok signalstyrke til fjerntliggende områder, blev der tilføjet en forstærkerantenne til adgangspunktet. Meget sjældent blev der tilføjet et andet adgangspunkt, for eksempel til et fjerndirektørkontor. Det er nok alle forbedringerne.
Denne tilgang havde sine grunde. For det første, ved begyndelsen af trådløse netværk, var udstyret til dem dyrt. For det andet betød installation af flere adgangspunkter, at man skulle stå over for spørgsmål, der ikke havde nogen svar på det tidspunkt. For eksempel, hvordan organiserer man problemfri klientskifte mellem punkter? Hvordan håndterer man gensidig indblanding? Hvordan man forenkler og effektiviserer håndteringen af punkter, for eksempel samtidig anvendelse af forbud/tilladelser, overvågning mv. Derfor var det meget nemmere at følge princippet: jo færre enheder, jo bedre.
Samtidig udsendes adgangspunktet, der er placeret under loftet, i et cirkulært (mere præcist, rundt) diagram.
Formerne på arkitektoniske bygninger passer dog ikke særlig godt ind i runde signaludbredelsesdiagrammer. Derfor når signalet nogle steder næsten ikke frem, og det skal forstærkes, og nogle steder går udsendelsen ud over perimeteren og bliver tilgængelig for udefrakommende.
Figur 1. Eksempel på dækning ved brug af et enkelt punkt på kontoret.
Bemærk. Dette er en grov tilnærmelse, der ikke tager højde for forhindringer for udbredelse, såvel som signalets retningsbestemmelse. I praksis kan formerne af diagrammerne for forskellige punktmodeller være forskellige.
Situationen kan forbedres ved at bruge flere adgangspunkter.
For det første vil dette gøre det muligt at fordele sendeenheder mere effektivt over hele rummet.
For det andet bliver det muligt at reducere signalniveauet, hvilket forhindrer det i at gå ud over perimeteren af et kontor eller en anden facilitet. I dette tilfælde skal du for at læse trådløs netværkstrafik komme næsten tæt på omkredsen eller endda indtaste dens grænser. En angriber handler stort set på samme måde for at bryde ind i et internt kablet netværk.
Figur 2: Forøgelse af antallet af adgangspunkter giver mulighed for bedre fordeling af dækningen.
Lad os se på begge billeder igen. Den første viser tydeligt en af hovedsårbarhederne ved et trådløst netværk - signalet kan fanges på en anstændig afstand.
På det andet billede er situationen ikke så fremskreden. Jo flere adgangspunkter, jo mere effektivt er dækningsområdet, og samtidig rækker signalstyrken næsten ikke ud over perimeteren, groft sagt ud over grænserne for kontor, kontor, bygning og andre mulige objekter.
En angriber bliver på en eller anden måde nødt til at snige sig tættere på ubemærket for at opsnappe et relativt svagt signal "fra gaden" eller "fra korridoren" og så videre. For at gøre dette skal du komme tæt på kontorbygningen, for eksempel for at stå under vinduerne. Eller prøv at komme ind i selve kontorbygningen. Det øger i hvert fald risikoen for at blive fanget på videoovervågning og blive bemærket af sikkerheden. Dette reducerer tidsintervallet for et angreb betydeligt. Dette kan næppe kaldes "ideelle betingelser for hacking."
Selvfølgelig er der endnu en "oprindelig synd" tilbage: trådløse netværk udsendes i et tilgængeligt område, der kan opsnappes af alle klienter. Et WiFi-netværk kan nemlig sammenlignes med en Ethernet HUB, hvor signalet sendes til alle porte på én gang. For at undgå dette bør hvert par enheder ideelt set kommunikere på sin egen frekvenskanal, som ingen andre bør forstyrre.
Her er en oversigt over hovedproblemerne. Lad os overveje måder at løse dem på.
Midler: direkte og indirekte
Som allerede nævnt i den forrige artikel, kan perfekt beskyttelse under alle omstændigheder ikke opnås. Men du kan gøre det så svært som muligt at udføre et angreb, hvilket gør resultatet urentabelt i forhold til den indsats, der er brugt.
Konventionelt kan beskyttelsesudstyr opdeles i to hovedgrupper:
- direkte trafikbeskyttelsesteknologier såsom kryptering eller MAC-filtrering;
- teknologier, der oprindeligt var beregnet til andre formål, for eksempel at øge hastigheden, men samtidig indirekte gøre livet for en angriber sværere.
Den første gruppe blev beskrevet i første del. Men vi har også yderligere indirekte tiltag i vores arsenal. Som nævnt ovenfor giver en forøgelse af antallet af adgangspunkter dig mulighed for at reducere signalniveauet og gøre dækningsområdet ensartet, og det gør livet sværere for en angriber.
En anden advarsel er, at øgede dataoverførselshastigheder gør det lettere at anvende yderligere sikkerhedsforanstaltninger. For eksempel kan du installere en VPN-klient på hver bærbar computer og overføre data selv inden for et lokalt netværk via krypterede kanaler. Dette vil kræve nogle ressourcer, inklusive hardware, men beskyttelsesniveauet vil stige betydeligt.
Nedenfor giver vi en beskrivelse af teknologier, der kan forbedre netværkets ydeevne og indirekte øge graden af beskyttelse.
Indirekte midler til at forbedre beskyttelsen - hvad kan hjælpe?
Klientstyring
Client Steering-funktionen beder klientenheder om at bruge 5GHz-båndet først. Hvis denne mulighed ikke er tilgængelig for klienten, vil han stadig kunne bruge 2.4 GHz. For ældre netværk med et lille antal adgangspunkter udføres det meste arbejde i 2.4 GHz-båndet. For 5 GHz-frekvensområdet vil et enkelt adgangspunktskema i mange tilfælde være uacceptabelt. Faktum er, at et signal med en højere frekvens passerer gennem vægge og bøjer sig omkring forhindringer værre. Den sædvanlige anbefaling: For at sikre garanteret kommunikation i 5 GHz-båndet er det at foretrække at arbejde i synsvidde fra adgangspunktet.
I moderne standarder 802.11ac og 802.11ax er det på grund af det større antal kanaler muligt at installere flere adgangspunkter på tættere afstand, hvilket giver dig mulighed for at reducere strøm uden at miste eller endda få dataoverførselshastigheden. Som et resultat heraf gør brugen af 5GHz-båndet livet sværere for angribere, men forbedrer kvaliteten af kommunikationen for kunder inden for rækkevidde.
Denne funktion præsenteres:
- ved Nebula og NebulaFlex adgangspunkter;
- i firewalls med controller-funktion.
Auto Healing
Som nævnt ovenfor passer konturerne af rummets omkreds ikke godt ind i de runde diagrammer af adgangspunkter.
For at løse dette problem skal du for det første bruge det optimale antal adgangspunkter og for det andet reducere gensidig indflydelse. Men hvis du blot manuelt reducerer sendernes effekt, kan en sådan direkte interferens føre til en forringelse af kommunikationen. Dette vil især være mærkbart, hvis et eller flere adgangspunkter fejler.
Auto Healing giver dig mulighed for hurtigt at justere kraften uden at miste pålidelighed og dataoverførselshastighed.
Ved brug af denne funktion kontrollerer controlleren status og funktionalitet af adgangspunkterne. Hvis en af dem ikke virker, bliver naboerne bedt om at øge signalstyrken for at udfylde den "hvide plet". Når adgangspunktet er oppe at køre igen, bliver nabopunkter instrueret i at reducere signalstyrken for at reducere gensidig interferens.
Problemfri WiFi-roaming
Ved første øjekast kan denne teknologi næppe kaldes at øge sikkerhedsniveauet, men tværtimod gør den det nemmere for en klient (inklusive en angriber) at skifte mellem adgangspunkter på det samme netværk. Men hvis der bruges to eller flere adgangspunkter, skal du sikre bekvem betjening uden unødvendige problemer. Hvis adgangspunktet er overbelastet, klarer det desuden sikkerhedsfunktioner som kryptering, forsinkelser i dataudveksling og andre ubehagelige ting. I denne forbindelse er sømløs roaming en stor hjælp til fleksibelt at fordele belastningen og sikre uafbrudt drift i en beskyttet tilstand.
Konfiguration af signalstyrketærskler for tilslutning og afbrydelse af trådløse klienter (Signal Threshold eller Signal Strength Range)
Når du bruger et enkelt adgangspunkt, er denne funktion i princippet ligegyldig. Men forudsat at flere punkter styret af en controller fungerer, er det muligt at organisere mobil distribution af klienter på tværs af forskellige AP'er. Det er værd at huske på, at adgangspunkt-controllerfunktioner er tilgængelige i mange linjer af routere fra Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Ovenstående enheder har en funktion til at afbryde en klient, der er forbundet til et SSID med et svagt signal. "Svag" betyder, at signalet er under den tærskel, der er indstillet på controlleren. Efter at klienten er blevet afbrudt, sender den en probeanmodning for at finde et andet adgangspunkt.
For eksempel, en klient forbundet til et adgangspunkt med et signal under -65dBm, hvis stationsafbrydelsestærsklen er -60dBm, vil adgangspunktet i dette tilfælde afbryde klienten med dette signalniveau. Klienten starter nu genforbindelsesproceduren og vil allerede oprette forbindelse til et andet adgangspunkt med et signal større end eller lig med -60dBm (stationssignaltærskel).
Dette er vigtigt, når du bruger flere adgangspunkter. Dette forhindrer en situation, hvor de fleste klienter akkumulerer på et tidspunkt, mens andre adgangspunkter er inaktive.
Derudover kan du begrænse forbindelsen af klienter med et svagt signal, som højst sandsynligt er placeret uden for rummets omkreds, for eksempel bag væggen i et nabokontor, hvilket også giver os mulighed for at betragte denne funktion som en indirekte metode af beskyttelse.
Skift til WiFi 6 som en af måderne til at forbedre sikkerheden
Vi har allerede talt om fordelene ved direkte midler tidligere i den forrige artikel. "Funktioner til beskyttelse af trådløse og kablede netværk. Del 1 - Direkte beskyttelsesforanstaltninger".
WiFi 6-netværk giver hurtigere dataoverførselshastigheder. På den ene side giver den nye gruppe af standarder dig mulighed for at øge hastigheden, på den anden side kan du placere endnu flere adgangspunkter i samme område. Den nye standard tillader, at der bruges mindre strøm til at sende ved højere hastigheder.
Øget dataoverførselshastighed.
Overgangen til WiFi 6 involverer at øge udvekslingshastigheden til 11Gb/s (modulationstype 1024-QAM, 160 MHz kanaler). Samtidig har nye enheder, der understøtter WiFi 6, bedre ydeevne. Et af hovedproblemerne ved implementering af yderligere sikkerhedsforanstaltninger, såsom en VPN-kanal for hver bruger, er et fald i hastigheden. Med WiFi 6 bliver det nemmere at implementere yderligere sikkerhedssystemer.
BSS farvelægning
Vi skrev tidligere, at mere ensartet dækning kan reducere indtrængning af WiFi-signalet ud over perimeteren. Men med yderligere vækst i antallet af adgangspunkter er selv brugen af Auto Healing måske ikke nok, da "fremmed" trafik fra et nabopunkt stadig vil trænge ind i receptionsområdet.
Når du bruger BSS Coloring, efterlader adgangspunktet specielle mærker (farver) sine datapakker. Dette giver dig mulighed for at ignorere påvirkningen fra tilstødende sendeenheder (adgangspunkter).
Forbedret MU-MIMO
802.11ax har også vigtige forbedringer til MU-MIMO (Multi-User - Multiple Input Multiple Output) teknologi. MU-MIMO giver adgangspunktet mulighed for at kommunikere med flere enheder samtidigt. Men i den tidligere standard kunne denne teknologi kun understøtte grupper på fire klienter på samme frekvens. Dette gjorde transmission lettere, men ikke modtagelse. WiFi 6 bruger 8x8 multi-user MIMO til transmission og modtagelse.
Bemærk. 802.11ax øger størrelsen af downstream MU-MIMO-grupper, hvilket giver mere effektiv WiFi-netværksydelse. Multi-user MIMO uplink er en ny tilføjelse til 802.11ax.
OFDMA (Ortogonal Frequency Division Multiple Access)
Denne nye metode til kanaladgang og -kontrol er udviklet baseret på teknologier, der allerede er blevet bevist i LTE-cellulær teknologi.
OFDMA tillader, at mere end ét signal sendes på samme linje eller kanal på samme tid ved at tildele et tidsinterval til hver transmission og anvende frekvensdeling. Som følge heraf øges ikke kun hastigheden på grund af bedre udnyttelse af kanalen, men også sikkerheden øges.
Resumé
WiFi-netværk bliver mere sikre hvert år. Brugen af moderne teknologier giver os mulighed for at organisere et acceptabelt beskyttelsesniveau.
Direkte metoder til beskyttelse i form af trafikkryptering har vist sig ret godt. Glem ikke yderligere foranstaltninger: filtrering efter MAC, skjul netværks-id'et, Rogue AP Detection (Rogue AP Containment).
Men der er også indirekte tiltag, der forbedrer den fælles drift af trådløse enheder og øger hastigheden på dataudvekslingen.
Brugen af nye teknologier gør det muligt at reducere signalniveauet fra punkter, hvilket gør dækningen mere ensartet, hvilket har en god indvirkning på sundheden for hele det trådløse netværk som helhed, herunder sikkerheden.
Sund fornuft tilsiger, at alle midler er gode til at forbedre sikkerheden: både direkte og indirekte. Denne kombination giver dig mulighed for at gøre livet så svært som muligt for en angriber.
Nyttige links:
- Funktioner til beskyttelse af trådløse og kablede netværk. Del 1 - Direkte beskyttelsesforanstaltninger
Kilde: www.habr.com