Ni daŭrigas la konversacion pri metodoj por pliigi retan sekurecon. En ĉi tiu artikolo ni parolos pri pliaj sekurecaj mezuroj kaj organizado de pli sekuraj sendrataj retoj.
Antaŭparolo al la dua parto
En la antaŭa artikolo Okazis diskuto pri sekurecproblemoj de WiFi-reto kaj rektaj metodoj de protekto kontraŭ neaŭtorizita aliro. Oni konsideris evidentajn mezurojn por malhelpi trafikinterkapton: ĉifrado, retokaŝado kaj MAC-filtrado, same kiel specialaj metodoj, ekzemple, kontraŭbatali Rogue AP. Tamen, krom rektaj metodoj de protekto, ekzistas ankaŭ nerektaj. Ĉi tiuj estas teknologioj, kiuj ne nur helpas plibonigi komunikadokvaliton, sed ankaŭ plu plibonigi sekurecon.
Du ĉefaj trajtoj de sendrataj retoj: fora senkontakta aliro kaj radioaero kiel elsendo medio por transdono de datumoj, kie ĉiu signalricevilo povas aŭskulti la aeron, kaj ĉiu dissendilo povas ŝtopi la reton per senutilaj dissendoj kaj simple radio-interfero. Ĉi tio, interalie, ne havas la plej bonan efikon al la ĝenerala sekureco de la sendrata reto.
Vi ne vivos nur per sekureco. Ni ankoraŭ devas labori iel, tio estas, interŝanĝi datumojn. Kaj ĉi-flanke estas multaj aliaj plendoj pri WiFi:
- breĉoj en kovrado ("blankaj makuloj");
- influo de eksteraj fontoj kaj najbaraj alirpunktoj unu sur la alia.
Kiel rezulto, pro la supre priskribitaj problemoj, la kvalito de la signalo malpliiĝas, la konekto perdas stabilecon kaj la rapido de interŝanĝo de datumoj malpliiĝas.
Kompreneble, ŝatantoj de kablaj retoj ĝojos rimarki, ke kiam oni uzas kablojn kaj, precipe, optikajn konektojn, tiaj problemoj ne estas observataj.
Estiĝas la demando: ĉu eblas iel solvi ĉi tiujn problemojn sen recurri al ia ajn drasta rimedo kiel rekonekti ĉiujn malkontentajn homojn al la karata reto?
Kie komenciĝas ĉiuj problemoj?
En la momento de la naskiĝo de oficejo kaj aliaj WiFi-retoj, ili plej ofte sekvis simplan algoritmon: ili metis ununuran alirpunkton en la centron de la perimetro por maksimumigi kovradon. Se ne estis sufiĉe da signalforto por malproksimaj areoj, plifortiga anteno estis aldonita al la alirpunkto. Tre malofte dua alirpunkto estis aldonita, ekzemple, por fora direktoro-oficejo. Tio verŝajne estas ĉiuj plibonigoj.
Ĉi tiu aliro havis siajn kialojn. Unue, ĉe la krepusko de sendrataj retoj, la ekipaĵo por ili estis multekosta. Due, instali pli da alirpunktoj signifis alfronti demandojn, kiuj tiam ne havis respondojn. Ekzemple, kiel organizi senjuntan klientan ŝanĝadon inter punktoj? Kiel trakti reciprokan interferon? Kiel simpligi kaj simpligi la administradon de punktoj, ekzemple, samtempa aplikado de malpermesoj/permesoj, monitorado, ktp. Tial, estis multe pli facile sekvi la principon: ju malpli da aparatoj, des pli bone.
Samtempe, la alirpunkto, situanta sub la plafono, elsendas en cirkla (pli precize, ronda) diagramo.
Tamen, la formoj de arkitekturaj konstruaĵoj ne tre bone konvenas en rondajn signalajn disvastigdiagramojn. Tial, en kelkaj lokoj la signalo preskaŭ ne atingas, kaj ĝi devas esti plifortigita, kaj en kelkaj lokoj la elsendo iras preter la perimetro kaj iĝas alirebla por eksteruloj.
Figuro 1. Ekzemplo de kovrado uzante ununuran punkton en la oficejo.
Примечание. Ĉi tio estas malglata aproksimado, kiu ne enkalkulas malhelpojn al disvastigo, same kiel la direktecon de la signalo. En praktiko, la formoj de la diagramoj por malsamaj punktomodeloj povas malsami.
La situacio povas esti plibonigita uzante pli da alirpunktoj.
Unue, ĉi tio permesos dissendi aparatojn pli efike tra la ĉambra areo.
Due, iĝas eble redukti la signalnivelon, malhelpante ĝin iri preter la perimetro de oficejo aŭ alia instalaĵo. En ĉi tiu kazo, por legi sendratan retan trafikon, vi devas preskaŭ alproksimiĝi al la perimetro aŭ eĉ eniri ĝiajn limojn. Atakanto agas en la sama maniero por enrompi internan kablian reton.
Figuro 2: Pliigi la nombron da alirpunktoj permesas pli bonan distribuadon de kovrado.
Ni rigardu ambaŭ bildojn denove. La unua klare montras unu el la ĉefaj vundeblecoj de sendrata reto - la signalo povas esti kaptita je deca distanco.
En la dua bildo la situacio ne estas tiom progresinta. Ju pli da alirpunktoj, des pli efika estas la kovra areo, kaj samtempe la signala potenco preskaŭ ne etendiĝas preter la perimetro, proksimume, preter la limoj de la oficejo, oficejo, konstruaĵo kaj aliaj eblaj objektoj.
Atakanto devos iel proksimiĝi nerimarkite por kapti relative malfortan signalon "de la strato" aŭ "de la koridoro" ktp. Por fari tion, vi devas proksimiĝi al la oficeja konstruaĵo, ekzemple, por stari sub la fenestroj. Aŭ provu eniri la oficejon mem. Ĉiukaze, ĉi tio pliigas la riskon esti kaptita sur videogvatado kaj esti rimarkita de sekureco. Ĉi tio signife reduktas la tempintervalon por atako. Ĉi tio apenaŭ povas esti nomata "idealaj kondiĉoj por hakado".
Kompreneble, restas unu plia "origina peko": sendrataj retoj dissendas en alirebla gamo, kiu povas esti kaptita de ĉiuj klientoj. Efektive, WiFi-reto povas esti komparita kun Ethernet HUB, kie la signalo estas transdonita al ĉiuj havenoj samtempe. Por eviti tion, ideale ĉiu paro da aparatoj devus komuniki sur sia propra frekvenca kanalo, kiun neniu alia devus malhelpi.
Jen resumo de la ĉefaj problemoj. Ni konsideru manierojn solvi ilin.
Rimedoj: rektaj kaj nerektaj
Kiel jam menciite en la antaŭa artikolo, perfekta protekto ne povas esti atingita ĉiukaze. Sed vi povas fari kiel eble plej malfacilan atakon, farante la rezulton neprofita rilate al la elspezita fortostreĉo.
Konvencie, protekta ekipaĵo povas esti dividita en du ĉefajn grupojn:
- rektaj trafikprotektaj teknologioj kiel ĉifrado aŭ MAC-filtrado;
- teknologioj kiuj origine estis destinitaj al aliaj celoj, ekzemple, por pliigi rapidecon, sed samtempe nerekte malfaciligas la vivon de atakanto.
La unua grupo estis priskribita en la unua parto. Sed ni ankaŭ havas pliajn nerektajn mezurojn en nia arsenalo. Kiel menciite supre, pliigi la nombron da alirpunktoj permesas vin redukti la signalnivelon kaj uniformigi la kovran areon, kaj ĉi tio malfaciligas la vivon por atakanto.
Alia averto estas, ke pliigado de datumtransiga rapido faciligas apliki aldonajn sekurecajn mezurojn. Ekzemple, vi povas instali VPN-klienton sur ĉiu tekkomputilo kaj transdoni datumojn eĉ en loka reto per ĉifritaj kanaloj. Ĉi tio postulos iujn rimedojn, inkluzive de aparataro, sed la nivelo de protekto signife pliiĝos.
Malsupre ni provizas priskribon de teknologioj, kiuj povas plibonigi retan rendimenton kaj nerekte pliigi la gradon de protekto.
Nerektaj rimedoj por plibonigi protekton - kio povas helpi?
Kliento Stirado
La funkcio de Klienta Direktado instigas klientajn aparatojn unue uzi la 5GHz-bendon. Se ĉi tiu opcio ne estas disponebla por la kliento, li ankoraŭ povos uzi 2.4 GHz. Por heredaj retoj kun malgranda nombro da alirpunktoj, plej multe da laboro estas farita en la 2.4 GHz-bendo. Por la frekvenca gamo de 5 GHz, ununura alirpunktoskemo estos neakceptebla en multaj kazoj. La fakto estas, ke signalo kun pli alta frekvenco pasas tra muroj kaj kliniĝas ĉirkaŭ obstakloj pli malbone. La kutima rekomendo: por certigi garantiitan komunikadon en la 5 GHz-bando, estas preferinde labori en vidpunkto de la alirpunkto.
En modernaj normoj 802.11ac kaj 802.11ax, pro la pli granda nombro da kanaloj, eblas instali plurajn alirpunktojn je pli proksima distanco, kio ebligas al vi redukti potencon sen perdi aŭ eĉ gajni rapidecon de transdono de datumoj. Kiel rezulto, la uzo de la 5GHz-grupo malfaciligas la vivon por atakantoj, sed plibonigas la kvaliton de komunikado por klientoj atingebla.
Ĉi tiu funkcio estas prezentita:
- ĉe Nebula kaj NebulaFlex alirpunktoj;
- en fajroŝirmiloj kun regila funkcio.
Aŭtomata Resanigo
Kiel menciite supre, la konturoj de la ĉambra perimetro ne bone kongruas en la rondajn diagramojn de alirpunktoj.
Por solvi ĉi tiun problemon, unue, vi devas uzi la optimuman nombron da alirpunktoj, kaj due, redukti reciprokan influon. Sed se vi simple permane reduktas la potencon de la dissendiloj, tia rekta interfero povas konduki al difekto de komunikado. Ĉi tio estos precipe rimarkebla se unu aŭ pluraj alirpunktoj malsukcesos.
Aŭtomata Resanigo ebligas al vi rapide ĝustigi potencon sen perdi fidindecon kaj transdono de datumoj.
Kiam oni uzas ĉi tiun funkcion, la regilo kontrolas la staton kaj funkciecon de la alirpunktoj. Se unu el ili ne funkcias, tiam la najbaroj estas instrukciitaj pliigi la signalforton por plenigi la "blankan punkton". Post kiam la alirpunkto denove funkcias, najbaraj punktoj estas instrukciitaj redukti signalforton por redukti reciprokan interferon.
Senjunta WiFi-vagado
Unuavide, ĉi tiu teknologio apenaŭ povas esti nomita pliigo de la nivelo de sekureco; prefere, male, ĝi faciligas al kliento (inkluzive de atakanto) ŝanĝi inter alirpunktoj en la sama reto. Sed se du aŭ pli da alirpunktoj estas uzataj, vi devas certigi oportunan funkciadon sen nenecesaj problemoj. Krome, se la alirpunkto estas troŝarĝita, ĝi eltenas pli malbone kun sekurecaj funkcioj kiel ĉifrado, malfruoj en interŝanĝo de datumoj kaj aliaj malagrablaj aferoj okazas. Ĉi-rilate, senjunta vagado estas granda helpo por flekseble distribui la ŝarĝon kaj certigi seninterrompan funkciadon en protektita reĝimo.
Agordo de signalfortaj sojloj por konekti kaj malkonekti sendratajn klientojn (Signal Threshold aŭ Signal Strength Range)
Kiam oni uzas ununuran alirpunkton, ĉi tiu funkcio, principe, ne gravas. Sed kondiĉe ke pluraj punktoj kontrolitaj de regilo funkcias, eblas organizi moveblan distribuadon de klientoj tra malsamaj AP-oj. Indas rememori, ke alirpunktaj kontrolo-funkcioj disponeblas en multaj linioj de enkursigiloj de Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
La supraj aparatoj havas funkcion por malkonekti klienton, kiu estas konektita al SSID kun malforta signalo. "Malforta" signifas, ke la signalo estas sub la sojlo fiksita sur la regilo. Post kiam la kliento estas malkonektita, ĝi sendos enketpeton por trovi alian alirpunkton.
Ekzemple, kliento konektita al alirpunkto kun signalo sub -65dBm, se la stacia malkonektsojlo estas -60dBm, en ĉi tiu kazo la alirpunkto malkonektos la klienton kun ĉi tiu signalnivelo. La kliento nun komencas la rekonektan proceduron kaj jam konektos al alia alirpunkto kun signalo pli granda ol aŭ egala al -60dBm (sojlo de signalo de la stacidomo).
Ĉi tio gravas kiam vi uzas plurajn alirpunktojn. Ĉi tio malhelpas situacion kie la plej multaj klientoj akumuliĝas ĉe unu poento, dum aliaj alirpunktoj estas neaktivaj.
Krome, vi povas limigi la konekton de klientoj kun malforta signalo, kiuj plej verŝajne situas ekster la perimetro de la ĉambro, ekzemple, malantaŭ la muro en najbara oficejo, kio ankaŭ permesas al ni konsideri ĉi tiun funkcion kiel nerekta metodo. de protekto.
Ŝanĝi al WiFi 6 kiel unu el la manieroj plibonigi sekurecon
Ni jam parolis pri la avantaĝoj de rektaj kuraciloj pli frue en la antaŭa artikolo. "Ecoj de protektado de sendrataj kaj kablaj retoj. Parto 1 - Rektaj mezuroj de protekto".
WiFi 6-retoj provizas pli rapidajn transigajn rapidojn. Unuflanke, la nova grupo de normoj permesas pliigi rapidecon, aliflanke, vi povas meti eĉ pli da alirpunktoj en la sama areo. La nova normo permesas malpli da potenco esti uzita por elsendi ĉe pli altaj rapidecoj.
Pliigita datumtransiga rapido.
La transiro al WiFi 6 implikas pliigi la interŝanĝan rapidon al 11Gb/s (modulado tipo 1024-QAM, 160 MHz-kanaloj). Samtempe, novaj aparatoj kiuj subtenas WiFi 6 havas pli bonan rendimenton. Unu el la ĉefaj problemoj dum efektivigo de pliaj sekurecaj mezuroj, kiel VPN-kanalo por ĉiu uzanto, estas falo de rapideco. Kun WiFi 6, estos pli facile efektivigi pliajn sekurecajn sistemojn.
BSS Kolorigo
Ni skribis pli frue, ke pli unuforma kovrado povas redukti la penetron de la WiFi-signalo preter la perimetro. Sed kun plia kresko de la nombro da alirpunktoj, eĉ la uzo de Aŭtomata Resanigo eble ne sufiĉas, ĉar "fremda" trafiko de najbara punkto ankoraŭ penetros en la akceptejon.
Kiam oni uzas BSS-Kolorigon, la alirpunkto lasas specialajn markojn (koloroj) siajn datumpakaĵojn. Ĉi tio ebligas al vi ignori la influon de najbaraj dissendaj aparatoj (alirpunktoj).
Plibonigita MU-MIMO
802.11ax ankaŭ havas gravajn plibonigojn al teknologio MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO permesas al la alirpunkto komuniki kun pluraj aparatoj samtempe. Sed en la antaŭa normo, ĉi tiu teknologio povis nur subteni grupojn de kvar klientoj sur la sama ofteco. Ĉi tio faciligis transdonon, sed ne ricevon. WiFi 6 uzas 8x8 mult-uzantan MIMO por dissendo kaj ricevo.
Notu. 802.11ax pliigas la grandecon de kontraŭfluaj MU-MIMO-grupoj, provizante pli efikan WiFi-reton. Plur-uzanta MIMO-suprenligo estas nova aldono al 802.11ax.
OFDMA (Orta frekvenc-divida multobla aliro)
Ĉi tiu nova metodo de kanalaliro kaj kontrolo estas evoluigita surbaze de teknologioj kiuj jam estis pruvitaj en LTE ĉela teknologio.
OFDMA permesas al pli ol unu signalo esti sendita sur la sama linio aŭ kanalo samtempe asignante tempintervalon al ĉiu dissendo kaj aplikante frekvencdividon. Kiel rezulto, ne nur la rapideco pliiĝas pro pli bona utiligo de la kanalo, sed ankaŭ sekureco pliiĝas.
Resumo
WiFi-retoj fariĝas pli sekuraj ĉiujare. La uzo de modernaj teknologioj permesas al ni organizi akcepteblan nivelon de protekto.
Rektaj metodoj de protekto en formo de trafika ĉifrado pruvis sin sufiĉe bone. Ne forgesu pri pliaj mezuroj: filtri per MAC, kaŝi la retan ID, Rogue AP-Detekto (Rogue AP Containment).
Sed ekzistas ankaŭ nerektaj mezuroj, kiuj plibonigas la komunan funkciadon de sendrataj aparatoj kaj pliigas la rapidecon de interŝanĝo de datumoj.
La uzo de novaj teknologioj ebligas redukti la signalnivelon de punktoj, farante la kovradon pli unuforma, kio havas bonan efikon sur la sano de la tuta sendrata reto entute, inkluzive de sekureco.
La komuna racio diktas, ke ĉiuj rimedoj estas bonaj por plibonigi sekurecon: kaj rektaj kaj nerektaj. Ĉi tiu kombinaĵo ebligas al vi fari la vivon kiel eble plej malfacila por atakanto.
Utilaj ligoj:
- Trajtoj de protekto de sendrataj kaj kablaj retoj. Parto 1 - Rektaj mezuroj de protekto
fonto: www.habr.com