Continuamos la conversación sobre métodos para aumentar la seguridad de la red. En este artículo hablaremos sobre medidas de seguridad adicionales y cómo organizar redes inalámbricas más seguras.
Prefacio a la segunda parte
En un artículo anterior Se debatió sobre los problemas de seguridad de la red WiFi y los métodos directos de protección contra el acceso no autorizado. Se consideraron medidas obvias para prevenir la interceptación del tráfico: cifrado, ocultación de la red y filtrado MAC, así como métodos especiales, por ejemplo, combatir Rogue AP. Sin embargo, además de los métodos de protección directos, también existen métodos indirectos. Se trata de tecnologías que no sólo ayudan a mejorar la calidad de las comunicaciones, sino que también mejoran aún más la seguridad.
Dos características principales de las redes inalámbricas: acceso remoto sin contacto y radio aire como medio de transmisión de datos, donde cualquier receptor de señal puede escuchar el aire y cualquier transmisor puede obstruir la red con transmisiones inútiles y simplemente interferencias de radio. Esto, entre otras cosas, no tiene el mejor efecto sobre la seguridad general de la red inalámbrica.
No vivirás sólo de seguridad. Todavía tenemos que trabajar de alguna manera, es decir, intercambiar datos. Y por este lado hay muchas otras quejas sobre el WiFi:
- lagunas en la cobertura (“puntos blancos”);
- influencia de fuentes externas y puntos de acceso vecinos entre sí.
Como resultado, debido a los problemas descritos anteriormente, la calidad de la señal disminuye, la conexión pierde estabilidad y la velocidad de intercambio de datos disminuye.
Por supuesto, los fanáticos de las redes cableadas estarán felices de saber que cuando se utilizan conexiones por cable y, especialmente, de fibra óptica, no se observan tales problemas.
Surge la pregunta: ¿es posible resolver de alguna manera estos problemas sin recurrir a medios drásticos como volver a conectar a todas las personas insatisfechas a la red cableada?
¿Dónde empiezan todos los problemas?
En el momento del nacimiento de las redes de oficina y otras redes WiFi, la mayoría de las veces seguían un algoritmo simple: colocaban un único punto de acceso en el centro del perímetro para maximizar la cobertura. Si no había suficiente intensidad de señal para áreas remotas, se agregaba una antena amplificadora al punto de acceso. Muy raramente se añadió un segundo punto de acceso, por ejemplo, para la oficina remota de un director. Probablemente esas sean todas las mejoras.
Este enfoque tenía sus razones. En primer lugar, en los albores de las redes inalámbricas, su equipamiento era caro. En segundo lugar, instalar más puntos de acceso significó enfrentar preguntas que no tenían respuesta en ese momento. Por ejemplo, ¿cómo organizar un cambio fluido de clientes entre puntos? ¿Cómo lidiar con la interferencia mutua? Cómo simplificar y agilizar la gestión de puntos, por ejemplo, aplicación simultánea de prohibiciones/permisos, seguimiento, etc. Por tanto, era mucho más fácil seguir el principio: cuantos menos dispositivos, mejor.
Al mismo tiempo, el punto de acceso, ubicado debajo del techo, se transmite en un diagrama circular (más precisamente, redondo).
Sin embargo, las formas de los edificios arquitectónicos no encajan muy bien en los diagramas circulares de propagación de señales. Por lo tanto, en algunos lugares la señal casi no llega y es necesario amplificarla, y en algunos lugares la transmisión va más allá del perímetro y se vuelve accesible para personas externas.
Figura 1. Ejemplo de cobertura mediante un único punto en la oficina.
Nota. Esta es una aproximación aproximada que no tiene en cuenta los obstáculos a la propagación, ni tampoco la direccionalidad de la señal. En la práctica, las formas de los diagramas para diferentes modelos puntuales pueden diferir.
La situación se puede mejorar utilizando más puntos de acceso.
En primer lugar, esto permitirá que los dispositivos de transmisión se distribuyan de manera más eficiente por el área de la habitación.
En segundo lugar, es posible reducir el nivel de la señal, evitando que traspase el perímetro de una oficina u otra instalación. En este caso, para leer el tráfico de la red inalámbrica, es necesario acercarse casi al perímetro o incluso introducir sus límites. Un atacante actúa de forma muy similar al irrumpir en una red cableada interna.
Figura 2: Aumentar el número de puntos de acceso permite una mejor distribución de la cobertura.
Miremos ambas imágenes nuevamente. El primero muestra claramente una de las principales vulnerabilidades de una red inalámbrica: la señal se puede captar a una distancia decente.
En el segundo cuadro la situación no está tan avanzada. Cuantos más puntos de acceso, más efectiva será el área de cobertura y, al mismo tiempo, la potencia de la señal casi no se extiende más allá del perímetro, es decir, más allá de los límites de una oficina, oficina, edificio y otros posibles objetos.
Un atacante tendrá que acercarse sigilosamente para interceptar una señal relativamente débil "de la calle" o "del pasillo", etc. Para hacer esto, debe acercarse al edificio de oficinas, por ejemplo, pararse debajo de las ventanas. O intente entrar al propio edificio de oficinas. En cualquier caso, esto aumenta el riesgo de ser captado por videovigilancia y ser detectado por la seguridad. Esto reduce significativamente el intervalo de tiempo para un ataque. A esto difícilmente se le puede llamar “condiciones ideales para la piratería”.
Por supuesto, todavía queda un "pecado original": las redes inalámbricas transmiten en un rango accesible que puede ser interceptado por todos los clientes. De hecho, una red WiFi se puede comparar con un HUB Ethernet, donde la señal se transmite a todos los puertos a la vez. Para evitar esto, lo ideal es que cada par de dispositivos se comunique en su propio canal de frecuencia, en el que nadie más debería interferir.
He aquí un resumen de los principales problemas. Consideremos formas de resolverlos.
Remedios: directos e indirectos
Como ya se mencionó en el artículo anterior, en ningún caso se puede conseguir una protección perfecta. Pero puedes dificultar al máximo la realización de un ataque, haciendo que el resultado no sea rentable en relación al esfuerzo realizado.
Convencionalmente, los equipos de protección se pueden dividir en dos grupos principales:
- tecnologías de protección del tráfico directo como cifrado o filtrado MAC;
- tecnologías que originalmente estaban destinadas a otros fines, por ejemplo, aumentar la velocidad, pero al mismo tiempo complican indirectamente la vida de un atacante.
El primer grupo fue descrito en la primera parte. Pero también tenemos medidas indirectas adicionales en nuestro arsenal. Como se mencionó anteriormente, aumentar la cantidad de puntos de acceso le permite reducir el nivel de la señal y uniformar el área de cobertura, lo que dificulta la vida de un atacante.
Otra advertencia es que aumentar la velocidad de transferencia de datos facilita la aplicación de medidas de seguridad adicionales. Por ejemplo, puede instalar un cliente VPN en cada computadora portátil y transferir datos incluso dentro de una red local a través de canales cifrados. Esto requerirá algunos recursos, incluido el hardware, pero el nivel de protección aumentará significativamente.
A continuación proporcionamos una descripción de las tecnologías que pueden mejorar el rendimiento de la red e indirectamente aumentar el grado de protección.
Medios indirectos para mejorar la protección: ¿qué puede ayudar?
Dirección del cliente
La función Client Steering solicita a los dispositivos cliente que utilicen primero la banda de 5 GHz. Si esta opción no está disponible para el cliente, aún podrá utilizar 2.4 GHz. Para redes heredadas con una pequeña cantidad de puntos de acceso, la mayor parte del trabajo se realiza en la banda de 2.4 GHz. Para el rango de frecuencia de 5 GHz, un esquema de punto de acceso único será inaceptable en muchos casos. El hecho es que una señal con una frecuencia más alta atraviesa las paredes y se desvía peor de los obstáculos. La recomendación habitual: para garantizar una comunicación garantizada en la banda de 5 GHz, es preferible trabajar en la línea de visión desde el punto de acceso.
En los estándares modernos 802.11ac y 802.11ax, debido a la mayor cantidad de canales, es posible instalar varios puntos de acceso a una distancia más cercana, lo que permite reducir la potencia sin perder, ni siquiera ganar, velocidad de transferencia de datos. Como resultado, el uso de la banda de 5GHz hace la vida más difícil a los atacantes, pero mejora la calidad de la comunicación para los clientes que están a su alcance.
Esta función se presenta:
- en puntos de acceso Nebula y NebulaFlex;
- en cortafuegos con función de controlador.
Curación automática
Como se mencionó anteriormente, los contornos del perímetro de la habitación no encajan bien en los diagramas circulares de los puntos de acceso.
Para resolver este problema, en primer lugar, es necesario utilizar la cantidad óptima de puntos de acceso y, en segundo lugar, reducir la influencia mutua. Pero si simplemente reduce manualmente la potencia de los transmisores, esta interferencia directa puede provocar un deterioro de la comunicación. Esto será especialmente notable si fallan uno o más puntos de acceso.
Auto Healing le permite ajustar rápidamente la potencia sin perder confiabilidad y velocidad de transferencia de datos.
Al utilizar esta función, el controlador verifica el estado y la funcionalidad de los puntos de acceso. Si uno de ellos no funciona, se indica a los vecinos que aumenten la intensidad de la señal para llenar el "punto blanco". Una vez que el punto de acceso vuelve a estar en funcionamiento, se indica a los puntos vecinos que reduzcan la intensidad de la señal para reducir la interferencia mutua.
Itinerancia WiFi sin interrupciones
A primera vista, difícilmente se puede decir que esta tecnología aumenta el nivel de seguridad; más bien, por el contrario, facilita que un cliente (incluido un atacante) cambie entre puntos de acceso en la misma red. Pero si se utilizan dos o más puntos de acceso, es necesario garantizar un funcionamiento cómodo y sin problemas innecesarios. Además, si el punto de acceso está sobrecargado, se adapta peor a funciones de seguridad como el cifrado, se producen retrasos en el intercambio de datos y otras cosas desagradables. En este sentido, la itinerancia fluida es de gran ayuda para distribuir la carga de forma flexible y garantizar un funcionamiento ininterrumpido en modo protegido.
Configuración de umbrales de intensidad de la señal para conectar y desconectar clientes inalámbricos (umbral de señal o rango de intensidad de la señal)
Cuando se utiliza un único punto de acceso, esta función, en principio, no importa. Pero siempre que estén funcionando varios puntos controlados por un controlador, es posible organizar la distribución móvil de clientes entre diferentes AP. Vale la pena recordar que las funciones del controlador del punto de acceso están disponibles en muchas líneas de enrutadores de Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Los dispositivos anteriores tienen una función para desconectar un cliente que está conectado a un SSID con una señal débil. "Débil" significa que la señal está por debajo del umbral establecido en el controlador. Una vez desconectado el cliente, enviará una solicitud de sondeo para encontrar otro punto de acceso.
Por ejemplo, un cliente conectado a un punto de acceso con una señal inferior a -65dBm, si el umbral de desconexión de la estación es -60dBm, en este caso el punto de acceso desconectará al cliente con este nivel de señal. El cliente ahora inicia el procedimiento de reconexión y ya se conectará a otro punto de acceso con una señal mayor o igual a -60dBm (umbral de señal de la estación).
Esto es importante cuando se utilizan múltiples puntos de acceso. Esto evita una situación en la que la mayoría de los clientes se acumulan en un punto, mientras que otros puntos de acceso están inactivos.
Además, se puede limitar la conexión de clientes con señal débil, que probablemente se encuentren fuera del perímetro de la habitación, por ejemplo, detrás de la pared de una oficina vecina, lo que también nos permite considerar esta función como un método indirecto. de protección.
Cambiar a WiFi 6 como una de las formas de mejorar la seguridad
Ya hemos hablado de las ventajas de los remedios directos anteriormente en el artículo anterior. “Características de la protección de redes inalámbricas y cableadas. Parte 1 - Medidas directas de protección".
Las redes WiFi 6 proporcionan velocidades de transferencia de datos más rápidas. Por un lado, el nuevo grupo de estándares te permite aumentar la velocidad, por otro lado, puedes colocar aún más puntos de acceso en la misma zona. El nuevo estándar permite utilizar menos potencia para transmitir a velocidades más altas.
Mayor velocidad de transferencia de datos.
La transición a WiFi 6 implica aumentar la velocidad de intercambio a 11Gb/s (tipo de modulación 1024-QAM, canales de 160 MHz). Al mismo tiempo, los nuevos dispositivos compatibles con WiFi 6 tienen un mejor rendimiento. Uno de los principales problemas a la hora de implementar medidas de seguridad adicionales, como un canal VPN para cada usuario, es la caída de velocidad. Con WiFi 6 será más fácil implementar sistemas de seguridad adicionales.
Coloración BSS
Anteriormente escribimos que una cobertura más uniforme puede reducir la penetración de la señal WiFi más allá del perímetro. Pero con un mayor crecimiento en el número de puntos de acceso, incluso el uso de Auto Healing puede no ser suficiente, ya que el tráfico "extranjero" desde un punto vecino aún penetrará en el área de recepción.
Cuando se utiliza BSS Coloring, el punto de acceso deja marcas especiales (colores) en sus paquetes de datos. Esto le permite ignorar la influencia de los dispositivos transmisores vecinos (puntos de acceso).
MU-MIMO mejorado
802.11ax también tiene importantes mejoras en la tecnología MU-MIMO (Multiusuario - Múltiples entradas y múltiples salidas). MU-MIMO permite que el punto de acceso se comunique con múltiples dispositivos simultáneamente. Pero en el estándar anterior, esta tecnología sólo podía admitir grupos de cuatro clientes en la misma frecuencia. Esto facilitó la transmisión, pero no la recepción. WiFi 6 utiliza MIMO multiusuario 8×8 para transmisión y recepción.
Nota. 802.11ax aumenta el tamaño de los grupos MU-MIMO descendentes, proporcionando un rendimiento de red WiFi más eficiente. El enlace ascendente MIMO multiusuario es una nueva incorporación a 802.11ax.
OFDMA (acceso múltiple por división de frecuencia ortogonal)
Este nuevo método de acceso y control de canales se desarrolla en base a tecnologías que ya han sido probadas en la tecnología celular LTE.
OFDMA permite enviar más de una señal por la misma línea o canal al mismo tiempo asignando un intervalo de tiempo a cada transmisión y aplicando división de frecuencia. Como resultado, no sólo aumenta la velocidad debido a una mejor utilización del canal, sino que también aumenta la seguridad.
Resumen
Las redes WiFi son cada año más seguras. El uso de tecnologías modernas nos permite organizar un nivel aceptable de protección.
Los métodos directos de protección en forma de cifrado de tráfico han demostrado su eficacia. No se olvide de las medidas adicionales: filtrado por MAC, ocultación del ID de red, Detección de AP Rogue (Contención de AP Rogue).
Pero también existen medidas indirectas que mejoran el funcionamiento conjunto de dispositivos inalámbricos y aumentan la velocidad del intercambio de datos.
El uso de nuevas tecnologías permite reducir el nivel de señal de los puntos, haciendo que la cobertura sea más uniforme, lo que tiene un buen impacto en la salud de toda la red inalámbrica en su conjunto, incluida la seguridad.
El sentido común dicta que todos los medios son buenos para mejorar la seguridad: tanto directos como indirectos. Esta combinación le permite hacerle la vida lo más difícil posible a un atacante.
Enlaces de interés:
- Características de protección de redes inalámbricas y cableadas. Parte 1 - Medidas directas de protección
Fuente: habr.com