Sarearen segurtasuna areagotzeko metodoei buruzko elkarrizketa jarraitzen dugu. Artikulu honetan segurtasun neurri osagarriei eta haririk gabeko sare seguruagoei buruz hitz egingo dugu.
Bigarren zatiaren hitzaurrea
Aurreko artikulu batean WiFi sareko segurtasun arazoei eta baimenik gabeko sarbideen aurkako babes metodo zuzenei buruzko eztabaida izan zen. Trafikoa atzematea saihesteko ageriko neurriak hartu ziren kontuan: enkriptatzea, sarearen ezkutatzea eta MAC iragaztea, baita metodo bereziak ere, adibidez, Rogue APri aurre egitea. Hala ere, babes zuzeneko metodoez gain, zeharkakoak ere badaude. Komunikazioaren kalitatea hobetzen ez ezik, segurtasuna are gehiago hobetzen laguntzen duten teknologiak dira.
Haririk gabeko sareen bi ezaugarri nagusi: urrutiko kontakturik gabeko sarbidea eta irrati-airea datu-transmisiorako difusio-euskarri gisa, non edozein seinale-hartzailek airea entzun dezakeen, eta edozein igorgailuk sarea trabatu dezake alferrikako transmisioekin eta besterik gabe irrati-interferentziarekin. Horrek, besteak beste, ez du eraginik onena haririk gabeko sarearen segurtasun orokorrean.
Ez zara segurtasunez bakarrik biziko. Oraindik nolabait lan egin behar dugu, hau da, datuak trukatu. Eta alde honetan WiFi-ren inguruko beste hainbat kexa daude:
- estalduraren hutsuneak ("puntu zuriak");
- kanpoko iturriek eta aldameneko sarbide puntuek elkarrengan duten eragina.
Ondorioz, goian deskribatutako arazoen ondorioz, seinalearen kalitatea gutxitzen da, konexioak egonkortasuna galtzen du eta datu-trukearen abiadura jaisten da.
Jakina, kable bidezko sareen zaleak pozik egongo dira kablea eta, batez ere, zuntz optikoko konexioak erabiltzean, horrelako arazoak ez direla ikusten.
Galdera sortzen da: posible al da arazo hauek nolabait konpontzea inolako bide zorrotzik erabili gabe, esate baterako, asegabe guztiak sare kablearekin konektatzea?
Non hasten dira arazo guztiak?
Bulegoa eta beste WiFi sareak sortu zirenean, gehienetan algoritmo sinple bat jarraitzen zuten: sarbide-puntu bakarra jartzen zuten perimetroaren erdian, estaldura maximizatzeko. Urruneko eremuetarako seinalearen indar nahikoa ez bazegoen, anplifikatzaile-antena bat gehitu zitzaion sarbide-puntuan. Oso gutxitan bigarren sarbide puntu bat gehitzen zen, adibidez, urruneko zuzendari baten bulegorako. Hori da ziurrenik hobekuntza guztiak.
Ikuspegi honek bere arrazoiak zituen. Lehenik eta behin, haririk gabeko sareen hastapenean, haientzako ekipamendua garestia zen. Bigarrenik, sarbide puntu gehiago instalatzeak orduan erantzunik ez zuten galderei aurre egitea suposatzen zuen. Esate baterako, nola antolatu bezeroen puntuen arteko aldaketarik gabe? Nola egin aurre elkarrekiko interferentziari? Puntuen kudeaketa nola erraztu eta erraztu, adibidez, debekuak/baimenak aldi berean aplikatzea, jarraipena eta abar. Horregatik, askoz errazagoa zen printzipioa jarraitzea: zenbat eta gailu gutxiago, orduan eta hobeto.
Aldi berean, sarbide-puntuak, sabaiaren azpian kokatuta, diagrama zirkular batean emititzen du (zehazkiago, biribila).
Hala ere, eraikin arkitektonikoen formak ez dira oso ondo sartzen seinale biribilen hedapen diagrametan. Hori dela eta, leku batzuetan seinalea ia ez da iristen, eta anplifikatu egin behar da, eta leku batzuetan emisioa perimetrotik haratago doa eta kanpotarrentzat eskuragarri bihurtzen da.
1. Irudia. Bulegoko puntu bakarra erabiliz estalduraren adibidea.
Kontuan izan. Hedapenerako oztopoak, baita seinalearen noranzkotasuna ere, kontuan hartzen ez dituen gutxi gorabeherako hurbilketa bat da. Praktikan, puntu-eredu desberdinetarako diagramen formak desberdinak izan daitezke.
Egoera hobetu daiteke sarbide puntu gehiago erabiliz.
Lehenik eta behin, horri esker, transmisio-gailuak modu eraginkorragoan banatuko dira gelaren eremuan.
Bigarrenik, seinale-maila murriztea posible bihurtzen da, bulego edo beste instalazio baten perimetrotik haratago joan ez dadin. Kasu honetan, hari gabeko sareko trafikoa irakurtzeko, ia perimetrora hurbildu behar duzu edo baita bere mugak sartu ere. Erasotzaile batek modu berean jokatzen du barneko sare kable batean sartzeko.
2. Irudia: Sarbide-puntu kopurua handitzeak estaldura hobeto banatzeko aukera ematen du.
Ikus ditzagun berriro bi irudiak. Lehenengoak argi erakusten du haririk gabeko sare baten ahultasun nagusietako bat - seinalea distantzia duin batera har daiteke.
Bigarren irudian egoera ez dago hain aurreratua. Zenbat eta sarbide-puntu gehiago, orduan eta eraginkorragoa izango da estaldura-eremua eta, aldi berean, seinalearen potentzia ez da ia perimetrotik haratago hedatzen, gutxi gorabehera, bulego, bulego, eraikin eta beste objektu posibleen mugetatik haratago.
Erasotzaile batek oharkabean hurbildu beharko du nolabait "kaletik" edo "korridoretik" seinale ahul samarra atzemateko, eta abar. Horretarako, bulegoen eraikinera hurbildu behar duzu, adibidez, leihoen azpian egoteko. Edo saiatu bulego eraikinean bertan sartzen. Nolanahi ere, horrek bideozaintzan harrapatzeko eta segurtasunak ohartzeko arriskua areagotzen du. Horrek nabarmen murrizten du eraso baten denbora tartea. Hori nekez deitu daiteke "pirateatzeko baldintza idealak".
Jakina, "jatorrizko bekatu" bat gehiago geratzen da: haririk gabeko sareak bezero guztiek atzeman ditzaketen barruti irisgarri batean emititzen dute. Izan ere, WiFi sare bat Ethernet HUB batekin aldera daiteke, non seinalea portu guztietara aldi berean igortzen den. Hori ekiditeko, hobe da gailu bikote bakoitzak bere maiztasun kanalean komunikatzea, beste inork oztopatu behar ez duena.
Hona hemen arazo nagusien laburpena. Azter ditzagun horiek konpontzeko moduak.
Erremedioak: zuzenak eta zeharkakoak
Aurreko artikuluan esan bezala, ezin da inola ere babes perfektua lortu. Baina ahalik eta zailen egin dezakezu eraso bat egitea, emaitza errentagarri bihurtuz egindako esfortzuaren aldean.
Ohikoki, babes-ekipoak bi talde nagusitan bana daitezke:
- trafikoa babesteko zuzeneko teknologiak, hala nola enkriptatzea edo MAC iragazketa;
- Hasiera batean beste helburu batzuetarako pentsatutako teknologiak, adibidez, abiadura handitzeko, baina, aldi berean, zeharka erasotzaile baten bizitza zailtzen dutenak.
Lehenengo taldea lehenengo zatian azaldu zen. Baina zeharkako neurri osagarriak ere baditugu gure armategian. Goian esan bezala, sarbide-puntu kopurua handitzeak seinale-maila murrizteko eta estaldura-eremua uniforme bihurtzeko aukera ematen du, eta horrek bizitza zaildu egiten dio erasotzaile bati.
Beste ohar bat da datuak transferitzeko abiadura handitzeak segurtasun-neurri osagarriak aplikatzea errazten duela. Adibidez, ordenagailu eramangarri bakoitzean VPN bezero bat instala dezakezu eta sare lokal batean ere datuak transferi ditzakezu enkriptatutako kanalen bidez. Horretarako baliabide batzuk beharko dira, hardwarea barne, baina babes maila nabarmen handituko da.
Jarraian, sarearen errendimendua hobetu eta zeharka babes-maila handitu dezaketen teknologien deskribapena eskaintzen dugu.
Babesa hobetzeko zeharkako baliabideak - zer lagun dezake?
Bezeroen Zuzendaritza
Bezeroaren gidaritza-funtzioak bezeroaren gailuei eskatzen die lehenik 5 GHz-ko banda erabiltzeko. Aukera hau bezeroarentzat eskuragarri ez badago, oraindik 2.4 GHz erabili ahal izango du. Sarbide-puntu kopuru txikia duten antzinako sareetarako, lan gehiena 2.4 GHz-ko bandan egiten da. 5 GHz-ko maiztasun-tarterako, sarbide-puntu bakarraren eskema onartezina izango da kasu askotan. Kontua da maiztasun handiagoko seinale bat hormetatik igarotzen dela eta oztopoen inguruan okerrago makurtzen dela. Ohiko gomendioa: 5 GHz-ko bandan komunikazio bermatua bermatzeko, hobe da sarbidetik bista-lerroan lan egitea.
802.11ac eta 802.11ax estandar modernoetan, kanal-kopuru handiagoa dela eta, hainbat sarbide-puntu instalatu daitezke distantzia hurbilagoan, eta horrek potentzia murrizteko aukera ematen du datuen transferentzia-abiadura galdu edo irabazi gabe. Ondorioz, 5GHz-ko banda erabiltzeak bizitza zaildu egiten die erasotzaileei, baina eskura dauden bezeroen komunikazio-kalitatea hobetzen du.
Funtzio hau aurkezten da:
- Nebula eta NebulaFlex sarbide puntuetan;
- kontrolagailu funtzioa duten suebakietan.
Auto sendatzea
Goian esan bezala, gelaren perimetroaren sestrak ez dira ondo sartzen sarbide-puntuen diagrama biribiletan.
Arazo hau konpontzeko, lehenik eta behin, sarbide-puntu kopuru optimoa erabili behar duzu eta, bigarrenik, elkarrekiko eragina murriztu. Baina transmisoreen potentzia eskuz murrizten baduzu, interferentzia zuzen horiek komunikazioa hondatzea ekar dezake. Hau bereziki nabarmena izango da sarbide-puntu batek edo gehiagok huts egiten badu.
Auto Healing-ek potentzia azkar doitzeko aukera ematen dizu fidagarritasuna eta datu-transferentzia abiadura galdu gabe.
Funtzio hau erabiltzean, kontrolatzaileak sarbide puntuen egoera eta funtzionaltasuna egiaztatzen ditu. Horietako batek funtzionatzen ez badu, aldamenekoei seinalearen indarra handitzeko agintzen zaie "puntu zuria" betetzeko. Sarbide-puntua berriro martxan dagoenean, ondoko puntuei seinalearen indarra murrizteko agintzen zaie elkarren arteko interferentziak murrizteko.
Wi-Fi ibiltaritza ezin hobea
Lehen begiratuan, teknologia honi nekez esan daiteke segurtasun maila handitzea; aitzitik, bezero bat (erasotzaile bat barne) sare bereko sarbide puntu batetik bestera aldatzea errazten du. Baina bi sarbide-puntu edo gehiago erabiltzen badira, funtzionamendu erosoa ziurtatu behar duzu alferrikako arazorik gabe. Gainera, sarbide-puntua gainkargatuta badago, okerrago aurre egiten die segurtasun-funtzioei, hala nola enkriptatzea, datu-trukearen atzerapenak eta beste gauza desatseginak gertatzen dira. Zentzu honetan, ibiltaritza ezin hobea da zama malgutasunez banatzeko eta babestutako modu batean etenik gabeko funtzionamendua bermatzeko.
Seinalearen indarraren atalaseak konfiguratzea hari gabeko bezeroak konektatzeko eta deskonektatzeko (Seinalearen Atalasea edo Seinalearen Indarraren Barrutia)
Sarbide puntu bakarra erabiltzean, funtzio honek, printzipioz, ez du axola. Baina kontrolagailu batek kontrolatutako hainbat puntu funtzionatzen ari badira, posible da bezeroen banaketa mugikorra antolatzea AP ezberdinetan. Gogoratu beharra dago sarbide-puntuaren kontrolagailuaren funtzioak Zyxel-eko bideratzaile-lerro askotan eskuragarri daudela: ATP, USG, USG FLEX, VPN, ZyWALL.
Goiko gailuek seinale ahula duen SSID batera konektatuta dagoen bezero bat deskonektatzeko funtzio bat dute. "Ahula" seinalea kontrolagailuan ezarritako atalasearen azpitik dagoela esan nahi du. Bezeroa deskonektatu ondoren, zunda eskaera bat bidaliko du beste sarbide-puntu bat aurkitzeko.
Adibidez, -65dBm-tik beherako seinalea duen sarbide-puntu batera konektatutako bezero bat, geltokia deskonektatzeko atalasea -60dBm bada, kasu honetan sarbide-puntuak seinale-maila horrekin deskonektatuko du bezeroa. Bezeroak berriro konektatzeko prozedura hasten du eta dagoeneko beste sarbide-puntu batera konektatuko da -60dBm baino handiagoa edo berdina duen seinalea (estazio-seinalearen atalasea).
Hau garrantzitsua da sarbide-puntu bat baino gehiago erabiltzean. Horrek bezero gehienak une batean pilatzen diren egoera bat saihesten du, beste sarbide-puntuak inaktibo dauden bitartean.
Horrez gain, seinale ahula duten bezeroen konexioa mugatu dezakezu, ziurrenik gelako perimetrotik kanpo kokatuta daudenak, adibidez, aldameneko bulego bateko hormaren atzean, eta horrek funtzio hau zeharkako metodo gisa kontsideratzeko aukera ematen digu. babesa.
WiFi 6ra aldatzea segurtasuna hobetzeko moduetako bat bezala
Aurretik aurreko artikuluan zuzeneko erremedioen abantailak eztabaidatu ditugu. βHaririk gabeko eta kable bidezko sareak babesteko ezaugarriak. 1. zatia - Zuzeneko babes-neurriak".
WiFi 6 sareek datuak transferitzeko abiadura azkarragoak eskaintzen dituzte. Alde batetik, estandar talde berriak abiadura handitzeko aukera ematen du, bestetik, are sarbide puntu gehiago jar ditzakezu eremu berean. Estandar berriak abiadura handiagoetan transmititzeko potentzia gutxiago erabiltzea ahalbidetzen du.
Datuak transferitzeko abiadura handitu.
WiFi 6rako trantsizioak truke-abiadura 11Gb/s-ra handitzea dakar (modulazio mota 1024-QAM, 160 MHz-eko kanalak). Aldi berean, WiFi 6 onartzen duten gailu berriek errendimendu hobea dute. Segurtasun neurri osagarriak ezartzerakoan, erabiltzaile bakoitzarentzat VPN kanal bat adibidez, arazo nagusietako bat abiaduraren jaitsiera da. WiFi 6-rekin, errazagoa izango da segurtasun-sistema osagarriak ezartzea.
BSS koloreztatzea
Lehenago idatzi genuen estaldura uniformeagoak WiFi seinalearen sartzea murrizten duela perimetrotik haratago. Baina sarbide-puntu kopurua gehiago haziz gero, Auto Healing erabiltzea ere nahikoa ez da, aldameneko puntu batetik "atzerriko" trafikoa harrera-eremuan sartuko baita oraindik.
BSS Coloring erabiltzean, sarguneak marka bereziak (koloreak) uzten ditu bere datu-paketeak. Honi esker, aldameneko transmisio-gailuen (sarbide-puntuak) eragina alde batera utzi dezakezu.
MU-MIMO hobetua
802.11ax-ek MU-MIMO (Multi-User - Multiple Input Multiple Output) teknologian ere hobekuntza garrantzitsuak ditu. MU-MIMOk sarbide-puntuak hainbat gailurekin aldi berean komunikatzeko aukera ematen du. Baina aurreko estandarrean, teknologia honek lau bezeroko taldeak soilik onartzen zituen maiztasun berean. Horrek transmisioa erraztu zuen, baina ez harrera. WiFi 6-k 8x8 erabiltzaile anitzeko MIMO erabiltzen du transmisiorako eta harrera egiteko.
Oharra. 802.11ax-ek beherako MU-MIMO taldeen tamaina handitzen du, WiFi sarearen errendimendu eraginkorragoa eskainiz. Erabiltzaile anitzeko MIMO uplink 802.11ax-en gehigarri berria da.
OFDMA (Maiztasun-zatiketa ortogonaleko sarbide anitz)
Kanaletarako sarbidea eta kontrol metodo berri hau LTE teknologia zelularrean dagoeneko frogatuta dauden teknologietan oinarrituta garatzen da.
OFDMAk seinale bat baino gehiago linea edo kanal berean aldi berean bidaltzea ahalbidetzen du, transmisio bakoitzari denbora tarte bat esleituz eta maiztasun zatiketa aplikatuz. Ondorioz, kanala hobeto aprobetxatzearen ondorioz abiadura handitu ez ezik, segurtasuna areagotzen da.
Laburpena
WiFi sareak gero eta seguruagoak dira urtero. Teknologia modernoak erabiltzeak babes maila onargarria antolatzeko aukera ematen digu.
Trafiko enkriptatzeko moduko babes metodo zuzenek nahiko ondo frogatu dute. Ez ahaztu neurri osagarriez: MAC bidez iragaztea, sarearen IDa ezkutatzea, Rogue AP Detection (Rogue AP Containment).
Baina badira zeharkako neurriak ere haririk gabeko gailuen funtzionamendu bateratua hobetzen dutenak eta datu-trukearen abiadura areagotzen dutenak.
Teknologia berrien erabilerak puntuetatik seinale maila murriztea ahalbidetzen du, estaldura uniformeagoa eginez, eta horrek eragin ona du haririk gabeko sare osoaren osasunean, segurtasunean barne.
Zentzu onak dio segurtasuna hobetzeko baliabide guztiak onak direla: zuzenak zein zeharkakoak. Konbinazio honek erasotzaile bati bizitza ahalik eta zailena egiteko aukera ematen dizu.
Esteka erabilgarriak:
- Haririk gabeko eta kable bidezko sareen babeserako ezaugarriak. 1. zatia - Zuzeneko babes-neurriak
Iturria: www.habr.com