Wir setzen das Gespräch über Methoden zur Erhöhung der Netzwerksicherheit fort. In diesem Artikel werden wir über zusätzliche Sicherheitsmaßnahmen und die Organisation sicherer drahtloser Netzwerke sprechen.
Vorwort zum zweiten Teil
In einem früheren Artikel Es gab eine Diskussion über Sicherheitsprobleme bei WiFi-Netzwerken und direkte Methoden zum Schutz vor unbefugtem Zugriff. Es wurden offensichtliche Maßnahmen zur Verhinderung des Abfangens des Datenverkehrs berücksichtigt: Verschlüsselung, Netzwerkverbergung und MAC-Filterung sowie spezielle Methoden, beispielsweise zur Bekämpfung von Rogue AP. Neben direkten Schutzmethoden gibt es jedoch auch indirekte. Dabei handelt es sich um Technologien, die nicht nur zur Verbesserung der Kommunikationsqualität, sondern auch zur weiteren Verbesserung der Sicherheit beitragen.
Zwei Hauptmerkmale drahtloser Netzwerke: kontaktloser Fernzugriff und Funkluft als Übertragungsmedium für die Datenübertragung, wobei jeder Signalempfänger die Luft abhören kann und jeder Sender das Netzwerk mit nutzlosen Übertragungen und einfach Funkstörungen verstopfen kann. Dies wirkt sich unter anderem nicht optimal auf die Gesamtsicherheit des drahtlosen Netzwerks aus.
Sie werden nicht allein von der Sicherheit leben. Wir müssen noch irgendwie arbeiten, also Daten austauschen. Und auf dieser Seite gibt es noch viele weitere Beschwerden über WLAN:
- Deckungslücken („weiße Flecken“);
- Einfluss externer Quellen und benachbarter Zugangspunkte aufeinander.
Infolgedessen nimmt aufgrund der oben beschriebenen Probleme die Qualität des Signals ab, die Verbindung verliert an Stabilität und die Geschwindigkeit des Datenaustauschs sinkt.
Fans von kabelgebundenen Netzwerken werden sich natürlich darüber freuen, dass bei der Verwendung von Kabel- und insbesondere Glasfaserverbindungen solche Probleme nicht zu beobachten sind.
Es stellt sich die Frage: Ist es möglich, diese Probleme irgendwie zu lösen, ohne auf drastische Mittel zurückzugreifen, wie zum Beispiel alle unzufriedenen Menschen wieder an das kabelgebundene Netzwerk anzuschließen?
Wo fangen all die Probleme an?
Als Büro- und andere WLAN-Netzwerke aufkamen, folgten sie meist einem einfachen Algorithmus: Sie platzierten einen einzelnen Zugangspunkt in der Mitte des Perimeters, um die Abdeckung zu maximieren. Wenn die Signalstärke für abgelegene Gebiete nicht ausreichte, wurde dem Zugangspunkt eine Verstärkerantenne hinzugefügt. Sehr selten wurde ein zweiter Zugangspunkt hinzugefügt, beispielsweise für das Büro eines entfernten Direktors. Das sind wahrscheinlich alle Verbesserungen.
Dieser Ansatz hatte seine Gründe. Erstens war die Ausrüstung zu Beginn der drahtlosen Netzwerke teuer. Zweitens bedeutete die Installation weiterer Access Points, dass man sich Fragen stellen musste, auf die es zu diesem Zeitpunkt keine Antworten gab. Wie lässt sich beispielsweise ein reibungsloser Client-Wechsel zwischen Punkten organisieren? Wie gehe ich mit gegenseitiger Beeinflussung um? So vereinfachen und rationalisieren Sie die Verwaltung von Punkten, z. B. gleichzeitige Anwendung von Verboten/Genehmigungen, Überwachung usw. Daher war es viel einfacher, dem Prinzip zu folgen: Je weniger Geräte, desto besser.
Gleichzeitig sendet der unter der Decke befindliche Access Point in einem kreisförmigen (genauer gesagt runden) Diagramm.
Allerdings passen die Formen architektonischer Gebäude nicht sehr gut in runde Signalausbreitungsdiagramme. Daher erreicht das Signal an manchen Orten fast nichts und muss verstärkt werden, und an manchen Orten geht die Übertragung über den Umkreis hinaus und wird für Außenstehende zugänglich.
Abbildung 1. Beispiel einer Abdeckung anhand eines einzelnen Punkts im Büro.
Beachten. Dies ist eine grobe Näherung, die Ausbreitungshindernisse sowie die Richtung des Signals nicht berücksichtigt. In der Praxis können die Formen der Diagramme für verschiedene Punktmodelle unterschiedlich sein.
Die Situation kann durch den Einsatz weiterer Zugangspunkte verbessert werden.
Erstens können dadurch die Sendegeräte effizienter im Raum verteilt werden.
Zweitens wird es möglich, den Signalpegel zu reduzieren und so zu verhindern, dass er über die Grenzen eines Büros oder einer anderen Einrichtung hinausgeht. In diesem Fall müssen Sie, um den drahtlosen Netzwerkverkehr zu lesen, fast an den Perimeter herankommen oder sogar dessen Grenzen überschreiten. Ähnlich verhält sich ein Angreifer, wenn er in ein internes kabelgebundenes Netzwerk eindringt.
Abbildung 2: Die Erhöhung der Anzahl der Zugangspunkte ermöglicht eine bessere Verteilung der Abdeckung.
Schauen wir uns beide Bilder noch einmal an. Das erste zeigt deutlich eine der größten Schwachstellen eines drahtlosen Netzwerks: Das Signal kann aus einer angemessenen Entfernung erfasst werden.
Im zweiten Bild ist die Situation noch nicht so weit fortgeschritten. Je mehr Zugangspunkte, desto effektiver ist der Abdeckungsbereich und gleichzeitig reicht die Signalleistung fast nicht über den Perimeter hinaus, grob gesagt, über die Grenzen des Büros, des Büros, des Gebäudes und anderer möglicher Objekte hinaus.
Ein Angreifer muss sich irgendwie unbemerkt nähern, um ein relativ schwaches Signal „von der Straße“ oder „vom Korridor“ usw. abzufangen. Dazu müssen Sie sich dem Bürogebäude nähern, beispielsweise unter den Fenstern stehen. Oder versuchen Sie, in das Bürogebäude selbst zu gelangen. Dadurch steigt in jedem Fall das Risiko, bei der Videoüberwachung erwischt zu werden und vom Sicherheitspersonal bemerkt zu werden. Dadurch verkürzt sich die Zeitspanne für einen Angriff deutlich. Dies kann kaum als „ideale Bedingungen für Hacking“ bezeichnet werden.
Natürlich gibt es noch eine weitere „Erbsünde“: Drahtlose Netzwerke verbreiten sich in einem zugänglichen Bereich, der von allen Clients abgefangen werden kann. Tatsächlich kann ein WiFi-Netzwerk mit einem Ethernet-HUB verglichen werden, bei dem das Signal an alle Ports gleichzeitig übertragen wird. Um dies zu vermeiden, sollte idealerweise jedes Gerätepaar auf einem eigenen Frequenzkanal kommunizieren, den niemand sonst stören sollte.
Hier finden Sie eine Zusammenfassung der Hauptprobleme. Betrachten wir Möglichkeiten, sie zu lösen.
Heilmittel: direkt und indirekt
Wie bereits im vorherigen Artikel erwähnt, kann ein perfekter Schutz nicht in jedem Fall erreicht werden. Sie können die Durchführung eines Angriffs jedoch so schwierig wie möglich machen, sodass das Ergebnis im Verhältnis zum Aufwand unrentabel wird.
Herkömmlicherweise lässt sich Schutzausrüstung in zwei Hauptgruppen einteilen:
- direkte Verkehrsschutztechnologien wie Verschlüsselung oder MAC-Filterung;
- Technologien, die ursprünglich für andere Zwecke gedacht waren, beispielsweise um die Geschwindigkeit zu erhöhen, gleichzeitig aber indirekt das Leben eines Angreifers erschweren.
Die erste Gruppe wurde im ersten Teil beschrieben. Aber wir haben auch weitere indirekte Maßnahmen in unserem Arsenal. Wie oben erwähnt, können Sie durch die Erhöhung der Anzahl der Zugangspunkte den Signalpegel reduzieren und den Abdeckungsbereich vereinheitlichen, was einem Angreifer das Leben erschwert.
Ein weiterer Vorbehalt besteht darin, dass höhere Datenübertragungsgeschwindigkeiten die Anwendung zusätzlicher Sicherheitsmaßnahmen einfacher machen. Sie können beispielsweise auf jedem Laptop einen VPN-Client installieren und Daten auch innerhalb eines lokalen Netzwerks über verschlüsselte Kanäle übertragen. Dies erfordert einige Ressourcen, einschließlich Hardware, aber das Schutzniveau wird deutlich erhöht.
Im Folgenden beschreiben wir Technologien, die die Netzwerkleistung verbessern und indirekt den Schutzgrad erhöhen können.
Indirekte Mittel zur Verbesserung des Schutzes – was kann helfen?
Kundensteuerung
Die Client-Steering-Funktion fordert Client-Geräte dazu auf, zuerst das 5-GHz-Band zu verwenden. Steht dem Kunden diese Möglichkeit nicht zur Verfügung, kann er dennoch 2.4 GHz nutzen. Bei älteren Netzwerken mit wenigen Zugangspunkten wird die meiste Arbeit im 2.4-GHz-Band erledigt. Für den 5-GHz-Frequenzbereich ist ein Single-Access-Point-Schema in vielen Fällen nicht akzeptabel. Tatsache ist, dass ein Signal mit einer höheren Frequenz Wände durchdringt und Hindernisse schlechter umgeht. Die übliche Empfehlung: Um eine garantierte Kommunikation im 5-GHz-Band zu gewährleisten, sollte vorzugsweise in Sichtlinie vom Access Point aus gearbeitet werden.
In den modernen Standards 802.11ac und 802.11ax ist es aufgrund der größeren Anzahl von Kanälen möglich, mehrere Access Points in geringerem Abstand zu installieren, wodurch Sie den Stromverbrauch reduzieren können, ohne die Datenübertragungsgeschwindigkeit zu verlieren oder sogar zu steigern. Dadurch erschwert die Nutzung des 5-GHz-Bandes Angreifern das Leben, verbessert jedoch die Kommunikationsqualität für erreichbare Clients.
Diese Funktion wird vorgestellt:
- an Nebula- und NebulaFlex-Zugangspunkten;
- in Firewalls mit Controller-Funktion.
Automatische Heilung
Wie oben erwähnt, passen die Konturen des Raumumfangs nicht gut in die runden Diagramme der Zugangspunkte.
Um dieses Problem zu lösen, müssen Sie erstens die optimale Anzahl von Zugangspunkten nutzen und zweitens die gegenseitige Beeinflussung reduzieren. Reduziert man jedoch einfach manuell die Leistung der Sender, können solche direkten Störungen zu einer Verschlechterung der Kommunikation führen. Dies macht sich insbesondere dann bemerkbar, wenn ein oder mehrere Access Points ausfallen.
Mit Auto Healing können Sie die Leistung schnell anpassen, ohne an Zuverlässigkeit und Datenübertragungsgeschwindigkeit einzubüßen.
Bei Nutzung dieser Funktion prüft der Controller den Status und die Funktionalität der Access Points. Wenn einer von ihnen nicht funktioniert, werden die Nachbarn angewiesen, die Signalstärke zu erhöhen, um den „weißen Fleck“ zu füllen. Sobald der Access Point wieder betriebsbereit ist, werden benachbarte Punkte angewiesen, die Signalstärke zu reduzieren, um gegenseitige Störungen zu reduzieren.
Nahtloses WLAN-Roaming
Auf den ersten Blick kann diese Technologie kaum als Erhöhung des Sicherheitsniveaus bezeichnet werden, im Gegenteil: Sie erleichtert einem Client (einschließlich eines Angreifers) den Wechsel zwischen Zugangspunkten im selben Netzwerk. Wenn jedoch zwei oder mehr Access Points verwendet werden, müssen Sie eine komfortable Bedienung ohne unnötige Probleme gewährleisten. Darüber hinaus kommt der Access Point bei Überlastung schlechter mit Sicherheitsfunktionen wie Verschlüsselung zurecht, es kommt zu Verzögerungen beim Datenaustausch und anderen unangenehmen Dingen. In diesem Zusammenhang ist nahtloses Roaming eine große Hilfe, um die Last flexibel zu verteilen und einen unterbrechungsfreien Betrieb im geschützten Modus sicherzustellen.
Konfigurieren von Signalstärkeschwellenwerten zum Verbinden und Trennen drahtloser Clients (Signalschwellenwert oder Signalstärkebereich)
Bei Verwendung eines einzelnen Access Points spielt diese Funktion grundsätzlich keine Rolle. Sofern jedoch mehrere von einem Controller gesteuerte Punkte in Betrieb sind, ist es möglich, die mobile Verteilung von Clients auf verschiedene APs zu organisieren. Es sei daran erinnert, dass Access Point Controller-Funktionen in vielen Routerreihen von Zyxel verfügbar sind: ATP, USG, USG FLEX, VPN, ZyWALL.
Die oben genannten Geräte verfügen über eine Funktion zum Trennen eines Clients, der mit einer SSID mit schwachem Signal verbunden ist. „Schwach“ bedeutet, dass das Signal unter dem am Controller eingestellten Schwellenwert liegt. Nachdem die Verbindung zum Client getrennt wurde, sendet er eine Sondierungsanfrage, um einen anderen Zugangspunkt zu finden.
Wenn beispielsweise ein Client mit einem Access Point mit einem Signal unter -65 dBm verbunden ist und der Schwellenwert für die Stationstrennung bei -60 dBm liegt, trennt der Access Point in diesem Fall die Verbindung zum Client mit diesem Signalpegel. Der Client startet nun den Wiederverbindungsvorgang und stellt bereits eine Verbindung zu einem anderen Access Point mit einem Signal größer oder gleich -60 dBm (Stationssignalschwelle) her.
Dies ist wichtig, wenn Sie mehrere Access Points verwenden. Dies verhindert, dass sich die meisten Clients an einem Punkt ansammeln, während andere Zugriffspunkte im Leerlauf sind.
Darüber hinaus können Sie die Verbindung von Clients mit schwachem Signal einschränken, die sich höchstwahrscheinlich außerhalb des Raumumfangs befinden, beispielsweise hinter der Wand in einem benachbarten Büro, sodass wir diese Funktion auch als indirekte Methode betrachten können des Schutzes.
Der Wechsel zu WiFi 6 ist eine Möglichkeit zur Verbesserung der Sicherheit
Über die Vorteile direkter Heilmittel haben wir bereits weiter oben im vorherigen Artikel gesprochen. „Funktionen zum Schutz drahtloser und kabelgebundener Netzwerke. Teil 1 – Direkte Schutzmaßnahmen“.
WiFi 6-Netzwerke bieten schnellere Datenübertragungsgeschwindigkeiten. Einerseits ermöglicht Ihnen die neue Gruppe von Standards eine Erhöhung der Geschwindigkeit, andererseits können Sie noch mehr Access Points im gleichen Bereich platzieren. Der neue Standard ermöglicht den Einsatz von weniger Leistung für die Übertragung bei höheren Geschwindigkeiten.
Erhöhte Datenübertragungsgeschwindigkeit.
Der Übergang zu WiFi 6 beinhaltet eine Erhöhung der Austauschgeschwindigkeit auf 11 Gbit/s (Modulationsart 1024-QAM, 160-MHz-Kanäle). Gleichzeitig weisen neue Geräte, die WiFi 6 unterstützen, eine bessere Leistung auf. Eines der Hauptprobleme bei der Implementierung zusätzlicher Sicherheitsmaßnahmen, wie beispielsweise eines VPN-Kanals für jeden Benutzer, ist der Geschwindigkeitsabfall. Mit WiFi 6 wird es einfacher, zusätzliche Sicherheitssysteme zu implementieren.
BSS Färbung
Wir haben zuvor geschrieben, dass eine gleichmäßigere Abdeckung die Durchdringung des WLAN-Signals über den Perimeter hinaus verringern kann. Doch bei einem weiteren Wachstum der Zahl der Access Points reicht möglicherweise selbst der Einsatz von Auto Healing nicht mehr aus, da „fremder“ Verkehr von einem Nachbarpunkt immer noch in den Empfangsbereich eindringt.
Bei der Verwendung von BSS Coloring hinterlässt der Access Point spezielle Markierungen (Farben) in seinen Datenpaketen. Dadurch können Sie den Einfluss benachbarter Sendegeräte (Access Points) ignorieren.
Verbessertes MU-MIMO
802.11ax bietet außerdem wichtige Verbesserungen der MU-MIMO-Technologie (Multi-User – Multiple Input Multiple Output). MU-MIMO ermöglicht dem Access Point die gleichzeitige Kommunikation mit mehreren Geräten. Im vorherigen Standard konnte diese Technologie jedoch nur Gruppen von vier Clients auf derselben Frequenz unterstützen. Dadurch wurde die Übertragung erleichtert, nicht jedoch der Empfang. WiFi 6 verwendet 8x8 Multi-User-MIMO für Übertragung und Empfang.
Hinweis. 802.11ax erhöht die Größe nachgeschalteter MU-MIMO-Gruppen und sorgt so für eine effizientere WLAN-Netzwerkleistung. Der Mehrbenutzer-MIMO-Uplink ist eine neue Ergänzung zu 802.11ax.
OFDMA (Orthogonaler Frequenzmultiplexzugriff)
Diese neue Methode des Kanalzugriffs und der Kanalsteuerung basiert auf Technologien, die sich bereits in der LTE-Mobilfunktechnologie bewährt haben.
OFDMA ermöglicht das gleichzeitige Senden von mehr als einem Signal auf derselben Leitung oder demselben Kanal, indem jeder Übertragung ein Zeitintervall zugewiesen und eine Frequenzteilung angewendet wird. Dadurch steigt nicht nur die Geschwindigkeit durch eine bessere Auslastung des Kanals, sondern auch die Sicherheit.
Zusammenfassung
WiFi-Netzwerke werden von Jahr zu Jahr sicherer. Der Einsatz moderner Technologien ermöglicht es uns, ein akzeptables Schutzniveau zu organisieren.
Direkte Schutzmaßnahmen in Form der Verkehrsverschlüsselung haben sich durchaus bewährt. Vergessen Sie nicht die zusätzlichen Maßnahmen: Filterung nach MAC, Ausblenden der Netzwerk-ID, Rogue AP Detection (Rogue AP Containment).
Es gibt aber auch indirekte Maßnahmen, die den gemeinsamen Betrieb drahtloser Geräte verbessern und die Geschwindigkeit des Datenaustauschs erhöhen.
Der Einsatz neuer Technologien ermöglicht es, den Signalpegel von Punkten zu reduzieren und so die Abdeckung gleichmäßiger zu gestalten, was sich positiv auf den Zustand des gesamten drahtlosen Netzwerks, einschließlich der Sicherheit, auswirkt.
Der gesunde Menschenverstand sagt, dass alle Mittel zur Verbesserung der Sicherheit gut sind: sowohl direkte als auch indirekte. Mit dieser Kombination können Sie einem Angreifer das Leben so schwer wie möglich machen.
Nützliche Links:
- Merkmale des Schutzes von drahtlosen und kabelgebundenen Netzwerken. Teil 1 – Direkte Schutzmaßnahmen
Source: habr.com