Jätkame vestlust võrgu turvalisuse suurendamise meetodite üle. Selles artiklis räägime täiendavatest turvameetmetest ja turvalisemate traadita võrkude korraldamisest.
Eessõna teisele osale
Ühes varasemas artiklis Arutleti WiFi võrgu turvaprobleemide ja otseste kaitsemeetodite üle volitamata juurdepääsu eest. Kaaluti ilmseid meetmeid liikluse pealtkuulamise vältimiseks: krüpteerimine, võrgu peitmine ja MAC-filtreerimine, aga ka erimeetodid, näiteks võitlus Rogue AP-ga. Kuid lisaks otsestele kaitsemeetoditele on ka kaudseid. Need on tehnoloogiad, mis mitte ainult ei aita parandada suhtluskvaliteeti, vaid parandavad veelgi turvalisust.
Kaks peamist traadita võrkude omadust: kontaktivaba kaugjuurdepääs ja raadioeeter andmeedastuse levikandjana, kus iga signaali vastuvõtja saab õhku kuulata ning mis tahes saatja võib võrgu ummistada kasutute ülekannete ja lihtsalt raadiohäiretega. See muuhulgas ei mõjuta kõige paremini traadita võrgu üldist turvalisust.
Sa ei ela ainult turvalisusega. Peame ikka kuidagi tööd tegema ehk andmeid vahetama. Ja sellel küljel on WiFi kohta palju muid kaebusi:
- lüngad katvuses (“valged laigud”);
- välisallikate ja naaberpääsupunktide mõju üksteisele.
Selle tulemusena langeb ülalkirjeldatud probleemide tõttu signaali kvaliteet, ühendus kaotab stabiilsuse ja andmevahetuse kiirus langeb.
Muidugi on juhtmega võrkude fännidel hea meel märkida, et kaabli- ja eriti fiiberoptiliste ühenduste kasutamisel selliseid probleeme ei täheldata.
Tekib küsimus: kas neid probleeme on võimalik kuidagi lahendada ilma mingeid drastilisi vahendeid kasutamata, näiteks ühendades kõik rahulolematud inimesed uuesti traadiga võrku?
Kust kõik probleemid alguse saavad?
Kontori- ja muude WiFi-võrkude sünni ajal järgisid nad enamasti lihtsat algoritmi: leviala maksimeerimiseks paigutasid nad perimeetri keskele ühe pöörduspunkti. Kui kaugemate piirkondade jaoks polnud piisavalt tugevust, lisati pääsupunktile võimendusantenn. Väga harva lisati teine pöörduspunkt, näiteks kaugjuhi kabineti jaoks. See on ilmselt kõik täiustused.
Sellel lähenemisel olid oma põhjused. Esiteks, traadita võrkude koidikul olid nende seadmed kallid. Teiseks tähendas rohkemate pääsupunktide paigaldamine silmitsi küsimustega, millele tol ajal vastuseid polnud. Näiteks kuidas korraldada klientide sujuvat punktide vahel vahetamist? Kuidas tulla toime vastastikuse sekkumisega? Kuidas lihtsustada ja tõhustada punktide haldamist, näiteks keeldude/lubade samaaegne rakendamine, monitooring jne. Seetõttu oli palju lihtsam järgida põhimõtet: mida vähem seadmeid, seda parem.
Samal ajal edastatakse lae all asuv pääsupunkt ringikujulise (täpsemalt ümmarguse) diagrammiga.
Arhitektuursete hoonete kujud aga ei sobitu kuigi hästi ümmargustesse signaalilevi skeemidele. Seetõttu mõnes kohas signaal peaaegu ei jõua ja seda tuleb võimendada ning mõnes kohas läheb saade perimeetrist kaugemale ja muutub kõrvalistele inimestele kättesaadavaks.
Joonis 1. Katvuse näide, kasutades kontoris ühte punkti.
Märkus. See on ligikaudne lähenemine, mis ei võta arvesse levitakistusi ega signaali suunda. Praktikas võivad erinevate punktimudelite diagrammide kujundid erineda.
Olukorda saab parandada, kui kasutada rohkem juurdepääsupunkte.
Esiteks võimaldab see saateseadmeid ruumis tõhusamalt jaotada.
Teiseks on võimalik signaali taset vähendada, vältides selle väljumist kontori või muu rajatise perimeetrist. Sel juhul peate traadita võrgu liikluse lugemiseks jõudma peaaegu perimeetri lähedale või isegi sisestama selle piirid. Ründaja tegutseb sisemisse juhtmega võrku sissemurdmisel samamoodi.
Joonis 2: Pöörduspunktide arvu suurendamine võimaldab leviala paremat jaotust.
Vaatame mõlemat pilti uuesti. Esimene näitab selgelt üht traadita võrgu peamist haavatavust – signaali saab püüda korraliku vahemaa tagant.
Teisel pildil pole olukord nii arenenud. Mida rohkem pääsupunkte, seda tõhusam on leviala ja samal ajal ei ulatu signaali võimsus peaaegu väljapoole perimeetrit, jämedalt öeldes kontori, kontori, hoone ja muude võimalike objektide piire.
Ründaja peab kuidagi märkamatult lähemale hiilima, et suhteliselt nõrka signaali "tänavalt" või "koridorist" ja nii edasi pealt kuulata. Selleks tuleb büroohoonele ligi pääseda, näiteks akende alla seista. Või proovige pääseda büroohoonesse ise. Igal juhul suurendab see ohtu sattuda videovalvesse ja olla turva poolt märgatud. See vähendab oluliselt rünnaku ajavahemikku. Seda saab vaevalt nimetada "ideaalseteks häkkimistingimusteks".
Muidugi jääb veel üks "algpatt": traadita võrgud edastavad levialas, mida kõik kliendid saavad pealt kuulata. Tõepoolest, WiFi võrku võib võrrelda Etherneti HUBiga, kus signaal edastatakse korraga kõikidesse portidesse. Selle vältimiseks peaks ideaaljuhul iga seadmepaar suhtlema oma sageduskanalil, mida keegi teine ei tohiks segada.
Siin on kokkuvõte peamistest probleemidest. Mõelgem nende lahendamise viisidele.
Abinõud: otsene ja kaudne
Nagu eelmises artiklis juba mainitud, ei ole täiuslikku kaitset igal juhul võimalik saavutada. Kuid saate rünnaku sooritamise võimalikult keeruliseks muuta, muutes tulemuse kulutatud jõupingutuste suhtes kahjumlikuks.
Tavapäraselt võib kaitsevahendid jagada kahte põhirühma:
- liikluse otsese kaitse tehnoloogiad, nagu krüptimine või MAC-filtreerimine;
- tehnoloogiad, mis olid algselt mõeldud muuks otstarbeks, näiteks kiiruse suurendamiseks, kuid samas teevad ründaja elu kaudselt raskemaks.
Esimest rühma kirjeldati esimeses osas. Kuid meie arsenalis on ka täiendavaid kaudseid meetmeid. Nagu eespool mainitud, võimaldab pääsupunktide arvu suurendamine vähendada signaali taset ja muuta leviala ühtlaseks ning see muudab ründaja elu keerulisemaks.
Teine hoiatus on see, et andmeedastuskiiruse suurendamine muudab täiendavate turvameetmete rakendamise lihtsamaks. Näiteks saate igasse sülearvutisse installida VPN-kliendi ja edastada andmeid isegi kohaliku võrgu sees krüpteeritud kanalite kaudu. See nõuab teatud ressursse, sealhulgas riistvara, kuid kaitsetase tõuseb oluliselt.
Allpool kirjeldame tehnoloogiaid, mis võivad parandada võrgu jõudlust ja kaudselt tõsta kaitsetaset.
Kaudsed vahendid kaitse parandamiseks – mis võib aidata?
Kliendi juhtimine
Kliendi juhtimise funktsioon palub kliendi seadmetel esmalt kasutada 5 GHz sagedusala. Kui see valik pole kliendile kättesaadav, saab ta siiski kasutada 2.4 GHz. Väikese arvu pääsupunktidega pärandvõrkude puhul tehakse suurem osa tööst 2.4 GHz sagedusalas. Sagedusvahemikus 5 GHz on ühe pöörduspunkti skeem paljudel juhtudel vastuvõetamatu. Fakt on see, et kõrgema sagedusega signaal läbib seinu ja paindub takistuste ümber halvemini. Tavaline soovitus: garanteeritud side tagamiseks 5 GHz sagedusalas on eelistatav töötada pääsupunktist otsenähtavalt.
Kaasaegsetes standardites 802.11ac ja 802.11ax on suurema kanalite arvu tõttu võimalik paigaldada mitu pääsupunkti lähemale, mis võimaldab vähendada võimsust ilma andmeedastuskiirust kaotamata või isegi suurendamata. Selle tulemusena muudab 5 GHz sagedusala kasutamine ründajate elu keerulisemaks, kuid parandab käeulatuses olevate klientide suhtluskvaliteeti.
See funktsioon on esitatud:
- Nebula ja NebulaFlexi pääsupunktides;
- kontrolleri funktsiooniga tulemüürides.
Automaatne paranemine
Nagu eespool mainitud, ei sobi ruumi perimeetri kontuurid juurdepääsupunktide ümmargustesse diagrammidesse hästi.
Selle probleemi lahendamiseks peate esiteks kasutama optimaalset juurdepääsupunktide arvu ja teiseks vähendama vastastikust mõju. Kuid kui vähendate saatjate võimsust lihtsalt käsitsi, võivad sellised otsesed häired põhjustada side halvenemist. See on eriti märgatav, kui üks või mitu pääsupunkti ebaõnnestuvad.
Automaatne paranemine võimaldab teil kiiresti võimsust reguleerida, kaotamata töökindlust ja andmeedastuskiirust.
Selle funktsiooni kasutamisel kontrollib kontroller pääsupunktide olekut ja funktsionaalsust. Kui üks neist ei tööta, kästakse naaberriikidel "valge koha" täitmiseks signaali tugevust suurendada. Kui pääsupunkt on taas tööle hakanud, antakse naaberpunktidele korraldus vastastikuste häirete vähendamiseks signaali tugevust vähendada.
Sujuv WiFi-rändlus
Esmapilgul ei saa seda tehnoloogiat turvalisuse taseme tõstmiseks nimetada, pigem, vastupidi, muudab see kliendi (sh ründaja) jaoks lihtsamaks sama võrgu pääsupunktide vahel vahetamise. Kuid kui kasutatakse kahte või enamat pääsupunkti, peate tagama mugava töö ilma tarbetute probleemideta. Lisaks, kui pääsupunkt on ülekoormatud, tuleb see kehvemini toime turvafunktsioonidega nagu krüpteerimine, tekivad andmevahetuse viivitused ja muud ebameeldivad asjad. Sellega seoses on sujuv rändlus suureks abiks koormuse paindlikuks jaotamiseks ja katkematu töö tagamiseks kaitstud režiimis.
Signaali tugevuse lävede konfigureerimine traadita klientide ühendamiseks ja lahtiühendamiseks (signaali lävi või signaali tugevusvahemik)
Ühe pöörduspunkti kasutamisel pole sellel funktsioonil põhimõtteliselt tähtsust. Kuid eeldusel, et töötab mitu kontrolleri juhitavat punkti, on võimalik korraldada klientide mobiilset levitamist erinevate AP-de vahel. Tasub meenutada, et pääsupunkti kontrolleri funktsioonid on saadaval paljudes Zyxeli ruuterisarjades: ATP, USG, USG FLEX, VPN, ZyWALL.
Ülaltoodud seadmetel on funktsioon nõrga signaaliga SSID-ga ühendatud kliendi lahtiühendamiseks. "Nõrk" tähendab, et signaal on alla kontrolleril seatud läve. Pärast kliendi lahtiühendamist saadab see proovipäringu teise pääsupunkti leidmiseks.
Näiteks klient, mis on ühendatud pääsupunktiga, mille signaal on alla -65 dBm, kui jaama katkestamise lävi on -60 dBm, siis sel juhul katkestab pääsupunkt kliendi selle signaalitasemega ühenduse. Klient alustab nüüd taasühendamisprotseduuri ja loob juba ühenduse teise pääsupunktiga signaaliga, mis on suurem või võrdne -60 dBm (jaama signaali lävi).
See on oluline mitme pöörduspunkti kasutamisel. See hoiab ära olukorra, kus enamik kliente koguneb ühes punktis, samal ajal kui teised pääsupunktid on jõude.
Lisaks saate piirata nõrga signaaliga klientide ühendust, kes asuvad suure tõenäosusega väljaspool ruumi perimeetrit, näiteks naaberkontoris seina taga, mis võimaldab ka seda funktsiooni käsitleda kaudse meetodina. kaitsest.
WiFi 6-le üleminek kui üks turvalisuse parandamise viise
Otseste abinõude eelistest oleme juba rääkinud eelmises artiklis. "Traadita ja juhtmega võrkude kaitsmise funktsioonid. 1. osa – otsesed kaitsemeetmed".
WiFi 6 võrgud pakuvad suuremat andmeedastuskiirust. Ühest küljest võimaldab uus standardite rühm suurendada kiirust, teisalt saab samasse piirkonda paigutada veelgi rohkem pääsupunkte. Uus standard lubab suurematel kiirustel edastamiseks kasutada vähem võimsust.
Suurenenud andmeedastuskiirus.
Üleminek WiFi 6-le hõlmab vahetuskiiruse suurendamist 11Gb/s-ni (modulatsioonitüüp 1024-QAM, 160 MHz kanalid). Samas on uutel WiFi 6 toetavatel seadmetel parem jõudlus. Üks peamisi probleeme täiendavate turvameetmete, näiteks VPN-kanali iga kasutaja jaoks, rakendamisel on kiiruse langus. WiFi 6 abil on lisaturvasüsteemide juurutamine lihtsam.
BSS värvimine
Varem kirjutasime, et ühtlasem katvus võib vähendada WiFi signaali tungimist perimeetrist kaugemale. Kuid pöörduspunktide arvu edasise kasvuga ei pruugi isegi Auto Healingi kasutamisest piisata, kuna naaberpunktist pärit "välismaa" liiklus tungib endiselt vastuvõtualasse.
BSS Coloringi kasutamisel jätab pääsupunkt oma andmepakettidele erimärgid (värvid). See võimaldab teil ignoreerida naabruses asuvate saateseadmete (pääsupunktide) mõju.
Täiustatud MU-MIMO
802.11ax sisaldab ka olulisi täiustusi MU-MIMO (mitmekasutaja – mitu sisendit mitu väljundit) tehnoloogias. MU-MIMO võimaldab pääsupunktil suhelda korraga mitme seadmega. Kuid eelmises standardis suutis see tehnoloogia toetada ainult neljast kliendist koosnevaid rühmi samal sagedusel. See hõlbustas edastamist, kuid mitte vastuvõtmist. WiFi 6 kasutab edastamiseks ja vastuvõtmiseks 8x8 mitme kasutaja MIMO-d.
Märkus. 802.11ax suurendab allavoolu MU-MIMO rühmade suurust, pakkudes tõhusamat WiFi-võrgu jõudlust. Mitme kasutajaga MIMO üleslink on 802.11axi uus täiendus.
OFDMA (ortogonaalne sagedusjaotusega mitmikjuurdepääs)
See uus kanalile juurdepääsu ja juhtimise meetod on välja töötatud LTE mobiilsidetehnoloogias juba tõestatud tehnoloogiate põhjal.
OFDMA võimaldab samal liinil või kanalil korraga saata rohkem kui ühte signaali, määrates igale edastusele ajaintervalli ja rakendades sagedusjaotust. Selle tulemusena ei suurene mitte ainult kiirus kanali parema kasutamise tõttu, vaid suureneb ka turvalisus.
Kokkuvõte
WiFi-võrgud muutuvad iga aastaga turvalisemaks. Kaasaegsete tehnoloogiate kasutamine võimaldab meil korraldada vastuvõetava kaitsetaseme.
Otsesed kaitsemeetodid liikluse krüptimise näol on end üsna hästi tõestanud. Ärge unustage lisameetmeid: MAC-i filtreerimine, võrgu ID peitmine, Rogue AP tuvastamine (Rogue AP Containment).
Kuid on ka kaudseid meetmeid, mis parandavad traadita seadmete ühist toimimist ja suurendavad andmevahetuse kiirust.
Uute tehnoloogiate kasutamine võimaldab vähendada punktide signaali taset, muutes levi ühtlasemaks, mis mõjutab hästi kogu traadita võrgu kui terviku tervist, sealhulgas turvalisust.
Terve mõistus ütleb, et ohutuse parandamiseks on head kõik vahendid: nii otsesed kui kaudsed. See kombinatsioon võimaldab teil ründaja elu võimalikult keeruliseks muuta.
Kasulikud lingid:
- Traadita ja juhtmega võrkude kaitse omadused. 1. osa – otsesed kaitsemeetmed
Allikas: www.habr.com