Jatkamme keskustelua menetelmistä verkon turvallisuuden lisäämiseksi. Tässä artikkelissa puhumme lisäturvatoimenpiteistä ja turvallisempien langattomien verkkojen järjestämisestä.
Esipuhe toiseen osaan
Aiemmassa artikkelissa Keskusteltiin WiFi-verkon tietoturvaongelmista ja suorista suojautumiskeinoista luvattomalta käytöltä. Selkeitä toimenpiteitä liikenteen sieppauksen estämiseksi harkittiin: salaus, verkon piilottaminen ja MAC-suodatus sekä erikoismenetelmät, esimerkiksi Rogue AP:n torjunta. Suorien suojausmenetelmien lisäksi on kuitenkin myös epäsuoria. Nämä ovat tekniikoita, jotka eivät ainoastaan auta parantamaan viestinnän laatua, vaan myös parantavat edelleen turvallisuutta.
Langattomien verkkojen kaksi pääominaisuutta: kontaktiton etäyhteys ja radioair tiedonsiirron yleislähetysvälineenä, jossa mikä tahansa signaalivastaanotin voi kuunnella ilmaa ja mikä tahansa lähetin voi tukkia verkon hyödyttömillä lähetyksillä ja yksinkertaisesti radiohäiriöillä. Tämä ei muun muassa vaikuta parhaiten langattoman verkon yleiseen tietoturvaan.
Et elä yksin turvalla. Meidän on vielä työskenneltävä jotenkin, eli vaihdettava tietoja. Ja tällä puolella on monia muita valituksia WiFistä:
- kattavuuden aukot ("valkoiset täplät");
- ulkoisten lähteiden ja viereisten yhteyspisteiden vaikutus toisiinsa.
Tämän seurauksena edellä kuvatuista ongelmista johtuen signaalin laatu heikkenee, yhteys menettää vakauden ja tiedonsiirtonopeus laskee.
Tietenkin langallisten verkkojen fanit ovat iloisia huomatessaan, että käytettäessä kaapeli- ja erityisesti kuituoptisia yhteyksiä tällaisia ongelmia ei havaita.
Herää kysymys: onko mahdollista ratkaista nämä ongelmat jotenkin turvautumatta mihinkään radikaaleihin keinoihin, kuten yhdistämällä kaikki tyytymättömät uudelleen kiinteään verkkoon?
Mistä kaikki ongelmat alkavat?
Toimiston ja muiden WiFi-verkkojen syntyhetkellä ne noudattivat useimmiten yksinkertaista algoritmia: he sijoittivat yhden tukiaseman kehän keskelle peiton maksimoimiseksi. Jos signaalin voimakkuus ei riittänyt etäalueille, tukiasemaan lisättiin vahvistusantenni. Hyvin harvoin lisättiin toinen tukiasema esimerkiksi etäohjaajan toimistoon. Siinä varmaan kaikki parannukset.
Tällä lähestymistavalla oli syynsä. Ensinnäkin langattomien verkkojen kynnyksellä niiden laitteet olivat kalliita. Toiseksi uusien tukiasemien asentaminen merkitsi kysymyksiä, joihin ei tuolloin ollut vastauksia. Miten esimerkiksi järjestää saumaton asiakasvaihto pisteiden välillä? Kuinka käsitellä keskinäistä häirintää? Kuinka yksinkertaistaa ja virtaviivaistaa pisteiden hallintaa, esimerkiksi kieltojen/lupien samanaikainen soveltaminen, valvonta ja niin edelleen. Siksi oli paljon helpompi noudattaa periaatetta: mitä vähemmän laitteita, sitä parempi.
Samanaikaisesti katon alla sijaitseva tukiasema lähetetään pyöreässä (tarkemmin pyöreässä) kaaviossa.
Arkkitehtonisten rakennusten muodot eivät kuitenkaan sovi kovin hyvin pyöreisiin signaalin etenemiskaavioihin. Siksi joissakin paikoissa signaali ei melkein saavuta, ja sitä on vahvistettava, ja joissakin paikoissa lähetys ylittää kehän ja tulee ulkopuolisten saataville.
Kuva 1. Esimerkki kattavuudesta käyttämällä yhtä pistettä toimistossa.
Huomata. Tämä on karkea likiarvo, joka ei ota huomioon etenemisen esteitä eikä signaalin suuntaa. Käytännössä eri pistemallien kaavioiden muodot voivat vaihdella.
Tilannetta voidaan parantaa käyttämällä lisää tukiasemia.
Ensinnäkin tämä mahdollistaa lähetyslaitteiden tehokkaamman jakamisen huonealueelle.
Toiseksi on mahdollista vähentää signaalin tasoa, mikä estää sitä menemästä toimiston tai muun tilan kehän ulkopuolelle. Tässä tapauksessa langattoman verkon liikenteen lukemiseksi sinun on päästävä melkein lähelle kehää tai jopa syötettävä sen rajat. Hyökkääjä toimii samalla tavalla murtautuessaan sisäiseen kiinteään verkkoon.
Kuva 2: Liityntäpisteiden määrän lisääminen mahdollistaa kattavuuden paremman jakautumisen.
Katsotaanpa molemmat kuvat uudestaan. Ensimmäinen osoittaa selvästi yhden langattoman verkon tärkeimmistä haavoittuvuuksista - signaali voidaan siepata kohtuullisen etäisyyden päästä.
Toisessa kuvassa tilanne ei ole niin edistynyt. Mitä enemmän tukiasemia, sitä tehokkaampi peittoalue, ja samalla signaaliteho ei läheskään ulotu kehän ulkopuolelle, karkeasti sanottuna toimiston, toimiston, rakennuksen ja muiden mahdollisten kohteiden rajojen ulkopuolelle.
Hyökkääjän on livahtauduttava jotenkin lähemmäksi huomaamattomasti siepatakseen suhteellisen heikon signaalin "kadulta" tai "käytävältä" ja niin edelleen. Tätä varten sinun on mentävä lähelle toimistorakennusta, esimerkiksi seisomaan ikkunoiden alla. Tai yritä päästä itse toimistorakennukseen. Joka tapauksessa tämä lisää riskiä joutua videovalvontaan ja joutua turvallisuuden huomioimaan. Tämä lyhentää merkittävästi hyökkäyksen aikaväliä. Tätä tuskin voi kutsua "ideaalisiksi olosuhteiksi hakkerointiin".
Tietenkin on jäljellä vielä yksi "alkuperäinen synti": langattomat verkot lähettävät esteettömällä alueella, jonka kaikki asiakkaat voivat siepata. WiFi-verkkoa voidaankin verrata Ethernet HUBiin, jossa signaali välitetään kaikkiin portteihin kerralla. Tämän välttämiseksi ihannetapauksessa jokaisen laiteparin tulisi kommunikoida omalla taajuuskanavallaan, jota kukaan muu ei saa häiritä.
Tässä on yhteenveto tärkeimmistä ongelmista. Mietitään tapoja ratkaista ne.
Korjauskeinot: suora ja epäsuora
Kuten edellisessä artikkelissa jo mainittiin, täydellistä suojaa ei voida saavuttaa missään tapauksessa. Mutta voit tehdä hyökkäyksen suorittamisesta mahdollisimman vaikeaa, jolloin tuloksesta tulee kannattamaton suhteessa käytettyyn vaivaan.
Perinteisesti suojavarusteet voidaan jakaa kahteen pääryhmään:
- suorat liikenteen suojaustekniikat, kuten salaus tai MAC-suodatus;
- teknologiat, jotka oli alun perin tarkoitettu muihin tarkoituksiin, esimerkiksi nopeuden lisäämiseen, mutta samalla epäsuorasti vaikeuttavat hyökkääjän elämää.
Ensimmäinen ryhmä kuvattiin ensimmäisessä osassa. Mutta meillä on myös muita epäsuoria toimenpiteitä arsenaalissamme. Kuten edellä mainittiin, tukiasemien määrän lisääminen mahdollistaa signaalitason alenemisen ja peittoalueen yhtenäisyyden, mikä vaikeuttaa hyökkääjän elämää.
Toinen varoitus on, että tiedonsiirtonopeuksien lisääminen helpottaa lisäturvatoimenpiteiden soveltamista. Voit esimerkiksi asentaa VPN-asiakkaan jokaiseen kannettavaan tietokoneeseen ja siirtää tietoja jopa paikallisverkon sisällä salattujen kanavien kautta. Tämä vaatii jonkin verran resursseja, mukaan lukien laitteistot, mutta suojaustaso nousee huomattavasti.
Alla on kuvaus teknologioista, jotka voivat parantaa verkon suorituskykyä ja epäsuorasti lisätä suojausastetta.
Epäsuorat keinot suojan parantamiseksi – mikä voi auttaa?
Asiakasohjaus
Client Steering -ominaisuus kehottaa asiakaslaitteita käyttämään ensin 5 GHz:n taajuutta. Jos tämä vaihtoehto ei ole asiakkaan käytettävissä, hän voi silti käyttää 2.4 GHz:n taajuutta. Vanhoissa verkoissa, joissa on pieni määrä tukiasemia, suurin osa työstä tehdään 2.4 GHz:n kaistalla. 5 GHz:n taajuusalueella yhden tukiaseman mallia ei voida hyväksyä monissa tapauksissa. Tosiasia on, että korkeamman taajuuden omaava signaali kulkee seinien läpi ja taipuu esteiden ympärille huonommin. Tavallinen suositus: taatun tiedonsiirron varmistamiseksi 5 GHz:n kaistalla on parempi työskennellä tukiaseman näköyhteydessä.
Nykyaikaisissa standardeissa 802.11ac ja 802.11ax kanavien suuremman määrän vuoksi on mahdollista asentaa useita tukipisteitä lähemmäs, mikä mahdollistaa tehon vähentämisen menettämättä tai jopa lisäämättä tiedonsiirtonopeutta. Tämän seurauksena 5 GHz:n kaistan käyttö vaikeuttaa hyökkääjien elämää, mutta parantaa käden ulottuvilla olevien asiakkaiden viestinnän laatua.
Tämä toiminto esitetään:
- Nebula- ja NebulaFlex-tukipisteissä;
- palomuurissa, joissa on ohjaintoiminto.
Automaattinen parantaminen
Kuten edellä mainittiin, huoneen kehän ääriviivat eivät sovi hyvin sisäänkäyntipisteiden pyöreisiin kaavioihin.
Tämän ongelman ratkaisemiseksi sinun on ensinnäkin käytettävä optimaalista pääsypisteiden määrää ja toiseksi vähennettävä keskinäistä vaikutusta. Mutta jos yksinkertaisesti vähennät lähettimien tehoa manuaalisesti, tällaiset suorat häiriöt voivat johtaa tiedonsiirron heikkenemiseen. Tämä on erityisen havaittavissa, jos yksi tai useampi tukiasema epäonnistuu.
Auto Healing -toiminnon avulla voit nopeasti säätää tehoa menettämättä luotettavuutta ja tiedonsiirtonopeutta.
Tätä toimintoa käytettäessä ohjain tarkistaa tukiasemien tilan ja toiminnan. Jos jokin niistä ei toimi, naapurit käsketään lisäämään signaalin voimakkuutta "valkoisen pisteen" täyttämiseksi. Kun tukiasema on taas toiminnassa, naapuripisteitä kehotetaan vähentämään signaalin voimakkuutta keskinäisten häiriöiden vähentämiseksi.
Saumaton WiFi-verkkovierailu
Ensi silmäyksellä tätä tekniikkaa tuskin voi kutsua tietoturvatason nostamiseksi, vaan pikemminkin päinvastoin, se helpottaa asiakkaan (myös hyökkääjän) siirtymistä saman verkon tukiasemien välillä. Mutta jos käytetään kahta tai useampaa tukiasemaa, sinun on varmistettava kätevä käyttö ilman tarpeettomia ongelmia. Lisäksi, jos tukiasema on ylikuormitettu, se selviää huonommin suojaustoiminnoista, kuten salauksesta, tiedonvaihdon viiveistä ja muista epämiellyttävistä asioista. Tässä suhteessa saumaton roaming on suuri apu kuorman joustavaan jakamiseen ja keskeytymättömän toiminnan varmistamiseksi suojatussa tilassa.
Signaalin voimakkuuden kynnysarvojen määrittäminen langattomien asiakkaiden yhdistämistä ja irrottamista varten (Signal Threshold tai Signal Strength Range)
Käytettäessä yhtä tukiasemaa tällä toiminnolla ei periaatteessa ole merkitystä. Mutta edellyttäen, että useita ohjaimen ohjaamia pisteitä toimii, on mahdollista järjestää asiakkaiden mobiilijakelu eri tukiasemien välillä. On syytä muistaa, että tukiasemaohjaintoiminnot ovat saatavilla monissa Zyxelin reitittimien sarjoissa: ATP, USG, USG FLEX, VPN, ZyWALL.
Yllämainituissa laitteissa on ominaisuus, jonka avulla voidaan katkaista asiakas, joka on yhdistetty SSID:hen, jonka signaali on heikko. "Heikko" tarkoittaa, että signaali on ohjaimessa asetetun kynnyksen alapuolella. Kun asiakas on katkaistu, se lähettää etsintäpyynnön toisen tukiaseman löytämiseksi.
Esimerkiksi asiakas, joka on yhdistetty tukiasemaan, jonka signaali on alle -65 dBm, jos aseman katkaisukynnys on -60 dBm, tukiasema katkaisee asiakkaan yhteyden tällä signaalitasolla. Asiakas aloittaa nyt uudelleenkytkentäprosessin ja muodostaa jo yhteyden toiseen tukiasemaan signaalilla, joka on suurempi tai yhtä suuri kuin -60 dBm (aseman signaalin kynnys).
Tämä on tärkeää käytettäessä useita tukiasemia. Tämä estää tilanteen, jossa useimmat asiakkaat kerääntyvät yhteen pisteeseen, kun taas muut tukiasemat ovat käyttämättöminä.
Lisäksi voit rajoittaa heikon signaalin omaavien asiakkaiden yhteyttä, jotka todennäköisimmin sijaitsevat huoneen kehän ulkopuolella, esimerkiksi naapuritoimiston seinän takana, mikä mahdollistaa myös tämän toiminnon katsomisen epäsuoraksi menetelmäksi. suojelusta.
Vaihtaminen WiFi 6:een yhtenä keinona parantaa turvallisuutta
Olemme jo puhuneet suorien korjaustoimenpiteiden eduista aiemmin edellisessä artikkelissa. "Langattomia ja langallisia verkkoja suojaavat ominaisuudet. Osa 1 - Suorat suojatoimenpiteet".
WiFi 6 -verkot tarjoavat nopeammat tiedonsiirtonopeudet. Toisaalta uusi standardiryhmä mahdollistaa nopeuden lisäämisen, toisaalta voit sijoittaa entistä enemmän tukiasemia samalle alueelle. Uusi standardi sallii pienemmän tehon käytön suuremmilla nopeuksilla.
Lisääntynyt tiedonsiirtonopeus.
Siirtyminen WiFi 6:een merkitsee siirtonopeuden nostamista 11 Gb/s:iin (modulaatiotyyppi 1024-QAM, 160 MHz kanavat). Samaan aikaan uusilla WiFi 6:ta tukevilla laitteilla on parempi suorituskyky. Yksi suurimmista ongelmista lisäturvatoimenpiteiden, kuten VPN-kanavan jokaiselle käyttäjälle, käyttöönotossa on nopeuden lasku. WiFi 6:n avulla on helpompi ottaa käyttöön lisäturvajärjestelmiä.
BSS-väritys
Kirjoitimme aiemmin, että tasaisempi peitto voi vähentää WiFi-signaalin tunkeutumista kehän ulkopuolelle. Mutta kun tukiasemien määrä kasvaa edelleen, edes Auto Healingin käyttö ei välttämättä riitä, koska "ulkomainen" liikenne naapuripisteestä tunkeutuu edelleen vastaanottoalueelle.
Käytettäessä BSS Coloringia tukiasema jättää erityisiä merkkejä (värejä) datapaketteihinsa. Näin voit jättää huomiotta viereisten lähetyslaitteiden (tukiasemien) vaikutuksen.
Paranneltu MU-MIMO
802.11ax sisältää myös tärkeitä parannuksia MU-MIMO (Multi-User - Multiple Input Multiple Output) -tekniikkaan. MU-MIMO mahdollistaa tukiaseman viestinnän useiden laitteiden kanssa samanaikaisesti. Mutta aiemmassa standardissa tämä tekniikka pystyi tukemaan vain neljän asiakkaan ryhmiä samalla taajuudella. Tämä helpotti lähetystä, mutta ei vastaanottoa. WiFi 6 käyttää 8x8 monen käyttäjän MIMOa lähetykseen ja vastaanottoon.
Huom. 802.11ax kasvattaa alavirran MU-MIMO-ryhmien kokoa ja tarjoaa tehokkaamman WiFi-verkon suorituskyvyn. Monen käyttäjän MIMO uplink on uusi lisäys 802.11ax:iin.
OFDMA (ortogonaalinen taajuusjakoinen monikäyttö)
Tämä uusi kanavan käyttö- ja ohjausmenetelmä on kehitetty perustuen tekniikoihin, jotka on jo todistettu LTE-matkapuhelintekniikassa.
OFDMA mahdollistaa useamman kuin yhden signaalin lähettämisen samalla linjalla tai kanavalla samaan aikaan määrittämällä aikaväli kullekin lähetykselle ja käyttämällä taajuusjakoa. Seurauksena on, että kanavan paremman hyödyntämisen ansiosta nopeus ei kasva, vaan myös tietoturva paranee.
Yhteenveto
WiFi-verkot ovat vuosi vuodelta entistä turvallisempia. Nykyaikaisten tekniikoiden käyttö antaa meille mahdollisuuden järjestää hyväksyttävän suojan tason.
Suorat suojausmenetelmät liikenteen salauksen muodossa ovat osoittautuneet varsin hyvin. Älä unohda lisätoimenpiteitä: MAC-suodatus, verkkotunnuksen piilottaminen, Rogue AP Detection (Rogue AP Containment).
Mutta on myös epäsuoria toimenpiteitä, jotka parantavat langattomien laitteiden yhteistoimintaa ja nopeuttavat tiedonvaihtoa.
Uusien teknologioiden käyttö mahdollistaa pisteistä tulevan signaalitason pienentämisen, jolloin kattavuus yhtenäistyy, millä on hyvä vaikutus koko langattoman verkon terveyteen, myös turvallisuuteen.
Terve järki sanelee, että kaikki keinot ovat hyviä turvallisuuden parantamiseksi: sekä suorat että epäsuorat. Tämän yhdistelmän avulla voit tehdä hyökkääjän elämästä mahdollisimman vaikeaa.
Hyödyllisiä linkkejä:
- Langattomien ja langallisten verkkojen suojausominaisuudet. Osa 1 - Suorat suojatoimenpiteet
Lähde: will.com