ویژگی های حفاظت از شبکه های بی سیم و سیمی. بخش 2 - اقدامات غیر مستقیم حفاظتی

ما به گفتگوی خود در مورد روش های افزایش امنیت شبکه ادامه می دهیم. در این مقاله در مورد اقدامات امنیتی اضافی و سازماندهی شبکه های بی سیم امن تر صحبت خواهیم کرد.

پیشگفتار قسمت دوم

در مقاله قبلی ویژگی های حفاظت از شبکه های بی سیم و سیمی. بخش 1 - اقدامات مستقیم حفاظتی در مورد مشکلات امنیتی شبکه WiFi و روش های مستقیم محافظت در برابر دسترسی های غیرمجاز بحث شد. اقدامات آشکار برای جلوگیری از رهگیری ترافیک در نظر گرفته شد: رمزگذاری، پنهان کردن شبکه و فیلتر MAC، و همچنین روش های ویژه، به عنوان مثال، مبارزه با Rogue AP. با این حال، علاوه بر روش های مستقیم حفاظت، روش های غیر مستقیم نیز وجود دارد. اینها فناوری هایی هستند که نه تنها به بهبود کیفیت ارتباطات کمک می کنند، بلکه امنیت را نیز بهبود می بخشند.

دو ویژگی اصلی شبکه های بی سیم: دسترسی بدون تماس از راه دور و هوای رادیویی به عنوان یک رسانه پخش برای انتقال داده، که در آن هر گیرنده سیگنال می تواند به هوا گوش دهد، و هر فرستنده می تواند شبکه را با ارسال های بی فایده و تداخل رادیویی ساده مسدود کند. این، در میان چیزهای دیگر، بهترین تأثیر را بر امنیت کلی شبکه بی سیم ندارد.

شما تنها با امنیت زندگی نخواهید کرد. ما هنوز باید به نحوی کار کنیم، یعنی تبادل داده. و از این طرف شکایات زیادی در مورد WiFi وجود دارد:

• شکاف در پوشش ("لکه های سفید")؛
• تأثیر منابع خارجی و نقاط دسترسی مجاور بر یکدیگر.

در نتیجه، به دلیل مشکلاتی که در بالا توضیح داده شد، کیفیت سیگنال کاهش می یابد، اتصال پایداری خود را از دست می دهد و سرعت تبادل داده کاهش می یابد.

البته طرفداران شبکه های سیمی خوشحال می شوند که در هنگام استفاده از کابل و به خصوص اتصالات فیبر نوری چنین مشکلاتی مشاهده نمی شود.

این سوال پیش می‌آید: آیا می‌توان بدون توسل به ابزارهای شدید مانند اتصال مجدد همه ناراضی‌ها به شبکه سیمی، این مسائل را به نحوی حل کرد؟

همه مشکلات از کجا شروع می شود؟

در زمان تولد آفیس و سایر شبکه های وای فای، آنها اغلب از یک الگوریتم ساده پیروی می کردند: آنها یک نقطه دسترسی واحد را در مرکز محیط قرار می دادند تا پوشش را به حداکثر برسانند. اگر قدرت سیگنال کافی برای مناطق دوردست وجود نداشت، یک آنتن تقویت کننده به نقطه دسترسی اضافه می شد. به ندرت نقطه دسترسی دوم اضافه می شود، به عنوان مثال، برای دفتر مدیر از راه دور. احتمالاً تمام پیشرفت ها همین است.

این رویکرد دلایل خود را داشت. اولاً، در آغاز شبکه های بی سیم، تجهیزات آنها گران بود. دوم، نصب نقاط دسترسی بیشتر به معنای مواجهه با سؤالاتی بود که در آن زمان پاسخی نداشتند. به عنوان مثال، چگونه می توان جابجایی یکپارچه مشتری بین نقاط را سازماندهی کرد؟ چگونه با دخالت متقابل برخورد کنیم؟ نحوه ساده سازی و ساده سازی مدیریت نقاط، به عنوان مثال، اعمال همزمان ممنوعیت ها/مجوزها، نظارت و غیره. بنابراین، پیروی از این اصل بسیار ساده تر بود: دستگاه های کمتر، بهتر.

در همان زمان، نقطه دسترسی، واقع در زیر سقف، در یک نمودار دایره ای (به طور دقیق تر، گرد) پخش می شود.

با این حال، اشکال ساختمان های معماری به خوبی در نمودارهای انتشار سیگنال گرد قرار نمی گیرند. بنابراین در بعضی جاها سیگنال تقریباً نمی رسد و نیاز به تقویت دارد و در بعضی جاها پخش از محیط خارج می شود و برای افراد خارجی قابل دسترسی می شود.

شکل 1. نمونه ای از پوشش با استفاده از یک نقطه در دفتر.

یادداشت. این یک تقریب تقریبی است که موانع انتشار و همچنین جهت سیگنال را در نظر نمی گیرد. در عمل، شکل نمودارها برای مدل‌های نقطه‌ای مختلف ممکن است متفاوت باشد.

با استفاده از نقاط دسترسی بیشتر می توان وضعیت را بهبود بخشید.

در مرحله اول، این اجازه می دهد تا دستگاه های انتقال دهنده به طور موثرتری در سطح اتاق توزیع شوند.

ثانیاً، کاهش سطح سیگنال امکان پذیر می شود و از فراتر رفتن آن از محیط یک دفتر یا سایر امکانات جلوگیری می کند. در این حالت، برای خواندن ترافیک شبکه بی سیم، باید تقریباً به محیط نزدیک شوید یا حتی محدودیت های آن را وارد کنید. یک مهاجم تقریباً به همان شیوه عمل می کند تا به یک شبکه سیمی داخلی نفوذ کند.

شکل 2: افزایش تعداد نقاط دسترسی امکان توزیع بهتر پوشش را فراهم می کند.

بیایید دوباره به هر دو تصویر نگاه کنیم. اولین مورد به وضوح یکی از آسیب پذیری های اصلی یک شبکه بی سیم را نشان می دهد - سیگنال را می توان در فاصله مناسبی گرفت.

در تصویر دوم وضعیت چندان پیشرفته نیست. هرچه نقاط دسترسی بیشتر باشد، منطقه پوشش موثرتر است و در عین حال قدرت سیگنال تقریباً فراتر از محیط، به طور کلی، فراتر از مرزهای دفتر، دفتر، ساختمان و سایر اشیاء ممکن فراتر نمی رود.

یک مهاجم باید به نحوی بدون توجه به آن نزدیکتر شود تا سیگنال نسبتا ضعیف "از خیابان" یا "از راهرو" و غیره را رهگیری کند. برای این کار باید به ساختمان اداری نزدیک شوید، مثلاً زیر پنجره ها بایستید. یا سعی کنید وارد خود ساختمان اداری شوید. در هر صورت، این خطر گرفتار شدن در نظارت تصویری و توجه امنیتی را افزایش می دهد. این به طور قابل توجهی فاصله زمانی یک حمله را کاهش می دهد. این را به سختی می توان "شرایط ایده آل برای هک" نامید.

البته، یک "گناه اصلی" دیگر وجود دارد: شبکه های بی سیم در یک محدوده قابل دسترسی پخش می شوند که می تواند توسط همه مشتریان رهگیری شود. در واقع، یک شبکه WiFi را می توان با یک هاب اترنت مقایسه کرد، جایی که سیگنال به طور همزمان به همه پورت ها منتقل می شود. برای جلوگیری از این امر، در حالت ایده آل، هر جفت دستگاه باید در کانال فرکانس خود ارتباط برقرار کند، که هیچ کس دیگری نباید در آن دخالت کند.

در اینجا خلاصه ای از مشکلات اصلی آورده شده است. بیایید راه هایی را برای حل آنها در نظر بگیریم.

راه حل: مستقیم و غیر مستقیم

همانطور که قبلاً در مقاله قبلی ذکر شد، در هر صورت نمی توان به محافظت کامل دست یافت. اما می توانید انجام یک حمله را تا حد ممکن دشوار کنید و نتیجه را در رابطه با تلاش صرف شده بی سود کنید.

به طور معمول، تجهیزات حفاظتی را می توان به دو گروه اصلی تقسیم کرد:

• فناوری های مستقیم حفاظت از ترافیک مانند رمزگذاری یا فیلتر MAC؛
• فناوری هایی که در ابتدا برای اهداف دیگری در نظر گرفته شده بودند، مثلاً برای افزایش سرعت، اما در عین حال به طور غیرمستقیم زندگی یک مهاجم را دشوارتر می کنند.

گروه اول در قسمت اول شرح داده شد. اما اقدامات غیرمستقیم دیگری نیز در زرادخانه خود داریم. همانطور که در بالا ذکر شد، افزایش تعداد نقاط دسترسی به شما این امکان را می دهد که سطح سیگنال را کاهش دهید و منطقه پوشش را یکنواخت کنید و این زندگی را برای مهاجم دشوارتر می کند.

هشدار دیگر این است که افزایش سرعت انتقال داده، اعمال تدابیر امنیتی اضافی را آسان‌تر می‌کند. به عنوان مثال، می توانید یک سرویس گیرنده VPN را روی هر لپ تاپ نصب کنید و داده ها را حتی در یک شبکه محلی از طریق کانال های رمزگذاری شده انتقال دهید. این به منابعی از جمله سخت افزار نیاز دارد، اما سطح حفاظت به میزان قابل توجهی افزایش خواهد یافت.

در زیر توضیحی از فناوری هایی ارائه می دهیم که می توانند عملکرد شبکه را بهبود بخشند و به طور غیرمستقیم درجه حفاظت را افزایش دهند.

ابزار غیر مستقیم بهبود حفاظت - چه چیزی می تواند کمک کند؟

فرمان مشتری

ویژگی Client Steering از دستگاه های مشتری می خواهد که ابتدا از باند 5 گیگاهرتز استفاده کنند. اگر این گزینه در دسترس مشتری نباشد، او همچنان می تواند از فرکانس 2.4 گیگاهرتز استفاده کند. برای شبکه های قدیمی با تعداد کم اکسس پوینت، بیشتر کارها در باند 2.4 گیگاهرتز انجام می شود. برای محدوده فرکانس 5 گیگاهرتز، یک طرح نقطه دسترسی واحد در بسیاری از موارد غیرقابل قبول خواهد بود. واقعیت این است که سیگنالی با فرکانس بالاتر از دیوارها عبور می کند و در اطراف موانع بدتر خم می شود. توصیه معمول: برای اطمینان از ارتباط تضمین شده در باند 5 گیگاهرتز، ترجیحاً از نقطه دسترسی در خط دید کار کنید.

در استانداردهای مدرن 802.11ac و 802.11ax، به دلیل تعداد کانال های بیشتر، امکان نصب چندین اکسس پوینت در فاصله نزدیکتر وجود دارد که به شما امکان می دهد بدون از دست دادن یا حتی افزایش سرعت انتقال داده، برق را کاهش دهید. در نتیجه، استفاده از باند 5 گیگاهرتز زندگی مهاجمان را دشوارتر می کند، اما کیفیت ارتباط را برای مشتریان در دسترس بهبود می بخشد.

این تابع ارائه شده است:

• در نقاط دسترسی Nebula و NebulaFlex.
• در فایروال ها با عملکرد کنترلر.

شفا خودکار

همانطور که در بالا ذکر شد، خطوط محیطی اتاق به خوبی در نمودارهای گرد نقاط دسترسی نمی گنجد.

برای حل این مشکل، اولاً باید از تعداد بهینه اکسس پوینت ها استفاده کنید و ثانیاً تأثیر متقابل را کاهش دهید. اما اگر به سادگی قدرت فرستنده ها را به صورت دستی کاهش دهید، چنین تداخل مستقیم می تواند منجر به بدتر شدن ارتباطات شود. اگر یک یا چند نقطه دسترسی از کار بیفتند، این امر به ویژه قابل توجه خواهد بود.

Auto Healing به شما این امکان را می دهد که به سرعت قدرت را بدون از دست دادن قابلیت اطمینان و سرعت انتقال داده تنظیم کنید.

هنگام استفاده از این عملکرد، کنترل کننده وضعیت و عملکرد نقاط دسترسی را بررسی می کند. اگر یکی از آنها کار نکند، به همسایه ها دستور داده می شود که قدرت سیگنال را برای پر کردن "نقطه سفید" افزایش دهند. هنگامی که نقطه دسترسی دوباره راه اندازی شد، به نقاط همسایه دستور داده می شود که قدرت سیگنال را کاهش دهند تا تداخل متقابل کاهش یابد.

رومینگ وای فای بدون درز

در نگاه اول، این فناوری را به سختی می توان افزایش سطح امنیت نامید، بلکه برعکس، سوئیچ بین نقاط دسترسی در همان شبکه را برای یک کلاینت (از جمله مهاجم) آسان تر می کند. اما اگر از دو یا چند نقطه دسترسی استفاده می شود، باید از عملکرد راحت و بدون مشکلات غیر ضروری اطمینان حاصل کنید. علاوه بر این، اگر نقطه دسترسی بیش از حد بارگذاری شود، با عملکردهای امنیتی مانند رمزگذاری، تاخیر در تبادل داده ها و سایر موارد ناخوشایند مقابله می کند. در این راستا، رومینگ بدون درز کمک بزرگی به توزیع انعطاف پذیر بار و اطمینان از عملکرد بی وقفه در حالت محافظت شده است.

پیکربندی آستانه‌های قدرت سیگنال برای اتصال و جدا کردن مشتریان بی‌سیم (آستانه سیگنال یا محدوده قدرت سیگنال)

هنگام استفاده از یک نقطه دسترسی واحد، این عملکرد، در اصل، اهمیتی ندارد. اما به شرطی که چندین نقطه کنترل شده توسط یک کنترل کننده در حال کار باشد، می توان توزیع سیار کلاینت ها را در بین AP های مختلف سازماندهی کرد. شایان ذکر است که عملکردهای کنترل کننده نقطه دسترسی در بسیاری از خطوط روتر از Zyxel موجود است: ATP، USG، USG FLEX، VPN، ZyWALL.

دستگاه های فوق دارای ویژگی قطع اتصال کلاینت هایی هستند که با سیگنال ضعیف به SSID متصل هستند. "ضعیف" به این معنی است که سیگنال زیر آستانه تنظیم شده روی کنترلر است. پس از اینکه کلاینت قطع شد، یک درخواست کاوشگر برای یافتن نقطه دسترسی دیگری ارسال می کند.

به عنوان مثال، یک کلاینت به یک نقطه دسترسی با سیگنال زیر -65dBm متصل است، اگر آستانه قطع اتصال ایستگاه -60dBm باشد، در این حالت نقطه دسترسی مشتری را با این سطح سیگنال قطع می کند. مشتری اکنون روند اتصال مجدد را شروع می کند و قبلاً به یک نقطه دسترسی دیگر با سیگنال بزرگتر یا مساوی 60-dBm (آستانه سیگنال ایستگاه) متصل می شود.

این در هنگام استفاده از چندین نقطه دسترسی مهم است. این از موقعیتی جلوگیری می کند که اکثر مشتریان در یک نقطه جمع شوند، در حالی که سایر نقاط دسترسی بیکار هستند.

علاوه بر این، می توانید اتصال مشتریان را با سیگنال ضعیف محدود کنید، که به احتمال زیاد در خارج از محیط اتاق قرار دارند، به عنوان مثال، پشت دیوار در یک دفتر همسایه، که همچنین به ما امکان می دهد این عملکرد را به عنوان یک روش غیر مستقیم در نظر بگیریم. حفاظت

تغییر به WiFi 6 به عنوان یکی از راه های بهبود امنیت

قبلاً در مقاله قبلی در مورد مزایای داروهای مستقیم صحبت کرده ایم. ویژگی های حفاظت از شبکه های بی سیم و سیمی. بخش 1 - اقدامات مستقیم حفاظتی.

شبکه های WiFi 6 سرعت انتقال داده های سریع تری را ارائه می دهند. از یک طرف، گروه جدید استانداردها به شما امکان افزایش سرعت را می دهد، از طرف دیگر، می توانید نقاط دسترسی بیشتری را در همان منطقه قرار دهید. استاندارد جدید اجازه می دهد تا از توان کمتری برای انتقال در سرعت های بالاتر استفاده شود.

افزایش سرعت انتقال اطلاعات.

انتقال به WiFi 6 شامل افزایش سرعت تبادل به 11 گیگابیت بر ثانیه (نوع مدولاسیون 1024-QAM، کانال های 160 مگاهرتز) است. در عین حال دستگاه های جدیدی که از وای فای 6 پشتیبانی می کنند عملکرد بهتری دارند. یکی از مشکلات اصلی هنگام اجرای اقدامات امنیتی اضافی، مانند کانال VPN برای هر کاربر، افت سرعت است. با WiFi 6، پیاده سازی سیستم های امنیتی اضافی آسان تر خواهد بود.

رنگ آمیزی BSS

قبلاً نوشتیم که پوشش یکنواخت تر می تواند نفوذ سیگنال WiFi را در خارج از محیط کاهش دهد. اما با رشد بیشتر در تعداد نقاط دسترسی، حتی استفاده از Auto Healing ممکن است کافی نباشد، زیرا ترافیک "خارجی" از یک نقطه همسایه همچنان به منطقه پذیرش نفوذ می کند.

هنگام استفاده از رنگ‌آمیزی BSS، نقطه دسترسی علامت‌های خاصی را بر روی بسته‌های داده خود می‌گذارد. این به شما امکان می دهد تأثیر دستگاه های انتقال دهنده همسایه (نقاط دسترسی) را نادیده بگیرید.

MU-MIMO بهبود یافته است

802.11ax همچنین پیشرفت های مهمی در فناوری MU-MIMO (چند کاربر - خروجی چندگانه ورودی چندگانه) دارد. MU-MIMO به نقطه دسترسی اجازه می دهد تا با چندین دستگاه به طور همزمان ارتباط برقرار کند. اما در استاندارد قبلی، این فناوری تنها می‌توانست از گروه‌های چهار مشتری در یک فرکانس پشتیبانی کند. این امر انتقال را آسان تر کرد، اما نه دریافت. WiFi 6 از MIMO چند کاربره 8x8 برای انتقال و دریافت استفاده می کند.

توجه داشته باشید. 802.11ax اندازه گروه های پایین دستی MU-MIMO را افزایش می دهد و عملکرد شبکه WiFi کارآمدتری را ارائه می دهد. آپلینک چند کاربره MIMO افزوده جدیدی به 802.11ax است.

OFDMA (دسترسی چندگانه تقسیم فرکانس متعامد)

این روش جدید دسترسی و کنترل کانال بر اساس فناوری هایی توسعه یافته است که قبلاً در فناوری سلولی LTE به اثبات رسیده است.

OFDMA با اختصاص یک بازه زمانی به هر انتقال و اعمال تقسیم فرکانس اجازه می دهد تا بیش از یک سیگنال در یک خط یا کانال به طور همزمان ارسال شود. در نتیجه نه تنها سرعت به دلیل استفاده بهتر از کانال افزایش می یابد، بلکه امنیت نیز افزایش می یابد.

خلاصه

شبکه های وای فای هر سال امن تر می شوند. استفاده از فن آوری های مدرن به ما اجازه می دهد تا سطح قابل قبولی از حفاظت را سازماندهی کنیم.

روش های مستقیم حفاظت در قالب رمزگذاری ترافیک خود را به خوبی ثابت کرده است. اقدامات اضافی را فراموش نکنید: فیلتر کردن توسط MAC، پنهان کردن شناسه شبکه، شناسایی Rogue AP (Rogue AP Containment).

اما اقدامات غیر مستقیمی نیز وجود دارد که عملکرد مشترک دستگاه های بی سیم را بهبود می بخشد و سرعت تبادل داده ها را افزایش می دهد.

استفاده از فناوری های جدید باعث می شود تا سطح سیگنال از نقاط کاهش یابد و پوشش یکنواخت تر شود که تأثیر خوبی بر سلامت کل شبکه بی سیم از جمله امنیت دارد.

عقل سلیم حکم می کند که همه ابزارها برای بهبود ایمنی خوب هستند: چه مستقیم و چه غیر مستقیم. این ترکیب به شما این امکان را می دهد که زندگی را تا حد امکان برای یک مهاجم سخت کنید.

پیوندهای مفید:

1. چت تلگرام زایکسل
2. انجمن تجهیزات Zyxel
3. بسیاری از ویدیوهای مفید در کانال Zyxel (یوتیوب)
4. ویژگی های حفاظت از شبکه های بی سیم و سیمی. بخش 1 - اقدامات مستقیم حفاظتی
5. وای فای یا جفت پیچ خورده - کدام بهتر است؟
6. نقاط اتصال Wi-Fi را برای همکاری همگام کنید
7. Wi-Fi 6: آیا یک کاربر معمولی به استاندارد بی سیم جدید نیاز دارد و اگر چنین است، چرا؟
8. WiFi 6 MU-MIMO و OFDMA: دو ستون موفقیت آینده شما
9. آینده وای فای
10. استفاده از سوئیچ های چند گیگابیتی به عنوان فلسفه سازش
11. دو در یک، یا انتقال یک کنترل کننده نقطه دسترسی به یک دروازه
12. WiFi 6 در حال حاضر اینجاست: آنچه بازار ارائه می دهد و چرا ما به این فناوری نیاز داریم
13. بهبود عملکرد Wi-Fi. اصول کلی و چیزهای مفید
14. بهبود عملکرد Wi-Fi. بخش 2. ویژگی های سخت افزار
15. بهبود عملکرد Wi-Fi. قسمت 3. قرار دادن نقاط دسترسی
16. نقاط اتصال Wi-Fi را برای همکاری همگام کنید
17. 5 سنت شما: Wi-Fi امروز و فردا

منبع: www.habr.com