Caractéristiques de protection des réseaux sans fil et filaires. Partie 2 - Mesures indirectes de protection

Nous poursuivons la conversation sur les méthodes permettant d'augmenter la sécurité du réseau. Dans cet article, nous parlerons des mesures de sécurité supplémentaires et de l'organisation de réseaux sans fil plus sécurisés.

Préface à la deuxième partie

Dans un article précédent « Caractéristiques de protection des réseaux sans fil et filaires. Partie 1 – Mesures directes de protection" Il y a eu une discussion sur les problèmes de sécurité du réseau WiFi et les méthodes directes de protection contre les accès non autorisés. Des mesures évidentes ont été envisagées pour empêcher l'interception du trafic : cryptage, masquage du réseau et filtrage MAC, ainsi que des méthodes spéciales, par exemple la lutte contre les Rogue AP. Cependant, outre les méthodes de protection directes, il existe également des méthodes indirectes. Ce sont des technologies qui contribuent non seulement à améliorer la qualité des communications, mais également à améliorer davantage la sécurité.

Deux caractéristiques principales des réseaux sans fil : l'accès à distance sans contact et l'air radio comme support de diffusion pour la transmission de données, où n'importe quel récepteur de signal peut écouter l'air, et n'importe quel émetteur peut obstruer le réseau avec des transmissions inutiles et simplement des interférences radio. Entre autres choses, cela n’a pas le meilleur effet sur la sécurité globale du réseau sans fil.

Vous ne vivrez pas uniquement par la sécurité. Nous devons encore travailler d'une manière ou d'une autre, c'est-à-dire échanger des données. Et de ce côté-là, il y a bien d’autres reproches concernant le WiFi :

• des lacunes dans la couverture (« points blancs ») ;
• influence des sources externes et des points d'accès voisins les uns sur les autres.

En conséquence, en raison des problèmes décrits ci-dessus, la qualité du signal diminue, la connexion perd en stabilité et la vitesse d'échange de données diminue.

Bien entendu, les fans de réseaux filaires seront heureux de constater que lors de l'utilisation de connexions par câble et, en particulier, par fibre optique, de tels problèmes ne sont pas observés.

La question se pose : est-il possible de résoudre ces problèmes d’une manière ou d’une autre sans recourir à des moyens drastiques comme la reconnexion de toutes les personnes insatisfaites au réseau filaire ?

Où commencent tous les problèmes ?

Au moment de la naissance des réseaux de bureau et autres réseaux WiFi, ils suivaient le plus souvent un algorithme simple : ils plaçaient un seul point d'accès au centre du périmètre afin de maximiser la couverture. Si la puissance du signal n'était pas suffisante pour les zones éloignées, une antenne amplificatrice était ajoutée au point d'accès. Très rarement, un deuxième point d’accès était ajouté, par exemple pour le bureau d’un directeur distant. C'est probablement toutes les améliorations.

Cette approche avait ses raisons. Premièrement, à l’aube des réseaux sans fil, leur équipement était coûteux. Deuxièmement, installer davantage de points d’accès signifiait se poser des questions sans réponse à l’époque. Par exemple, comment organiser un basculement fluide des clients entre les points ? Comment gérer les interférences mutuelles ? Comment simplifier et rationaliser la gestion des points, par exemple, application simultanée d'interdictions/autorisations, surveillance, etc. Il était donc beaucoup plus simple de suivre le principe : moins il y avait d’appareils, mieux c’était.

Dans le même temps, le point d'accès, situé sous le plafond, diffusait selon un schéma circulaire (plus précisément rond).

Cependant, les formes des bâtiments architecturaux ne s’intègrent pas très bien dans les diagrammes de propagation des signaux ronds. Par conséquent, à certains endroits, le signal n'atteint presque pas et doit être amplifié, et à certains endroits, la diffusion dépasse le périmètre et devient accessible aux étrangers.

Figure 1. Exemple de couverture utilisant un seul point au bureau.

Noter. Il s'agit d'une approximation grossière qui ne prend pas en compte les obstacles à la propagation, ni la directionnalité du signal. En pratique, les formes des diagrammes pour différents modèles de points peuvent différer.

La situation peut être améliorée en utilisant davantage de points d’accès.

Premièrement, cela permettra aux appareils de transmission d’être répartis plus efficacement dans toute la pièce.

Deuxièmement, il devient possible de réduire le niveau du signal, l'empêchant de dépasser le périmètre d'un bureau ou d'une autre installation. Dans ce cas, pour lire le trafic du réseau sans fil, vous devez vous rapprocher presque du périmètre ou même entrer dans ses limites. Un attaquant agit à peu près de la même manière pour s’introduire dans un réseau filaire interne.

Figure 2 : L'augmentation du nombre de points d'accès permet une meilleure répartition de la couverture.

Regardons à nouveau les deux images. Le premier montre clairement l'une des principales vulnérabilités d'un réseau sans fil : le signal peut être capté à une distance décente.

Dans la deuxième image, la situation n’est pas si avancée. Plus il y a de points d'accès, plus la zone de couverture est efficace et, en même temps, la puissance du signal ne s'étend presque pas au-delà du périmètre, grosso modo, au-delà des limites du bureau, du bureau, du bâtiment et d'autres objets possibles.

Un attaquant devra se faufiler d'une manière ou d'une autre sans se faire remarquer afin d'intercepter un signal relativement faible « de la rue » ou « du couloir », etc. Pour ce faire, vous devez vous rapprocher de l'immeuble de bureaux, par exemple pour vous tenir sous les fenêtres. Ou essayez d'entrer dans l'immeuble de bureaux lui-même. Dans tous les cas, cela augmente le risque d'être capturé par la vidéosurveillance et d'être remarqué par les services de sécurité. Cela réduit considérablement l’intervalle de temps pour une attaque. On peut difficilement qualifier cela de « conditions idéales pour le piratage ».

Bien sûr, il reste encore un « péché originel » : les réseaux sans fil diffusent dans une portée accessible qui peut être interceptée par tous les clients. En effet, un réseau WiFi peut être comparé à un HUB Ethernet, où le signal est transmis sur tous les ports en même temps. Pour éviter cela, idéalement, chaque paire d'appareils devrait communiquer sur son propre canal de fréquence, avec lequel personne d'autre ne devrait interférer.

Voici un résumé des principaux problèmes. Examinons les moyens de les résoudre.

Remèdes : directs et indirects

Comme déjà mentionné dans l’article précédent, une protection parfaite ne peut en aucun cas être obtenue. Mais vous pouvez rendre la réalisation d'une attaque aussi difficile que possible, rendant le résultat non rentable par rapport à l'effort déployé.

Classiquement, les équipements de protection peuvent être divisés en deux groupes principaux :

• des technologies de protection directe du trafic telles que le cryptage ou le filtrage MAC ;
• des technologies qui étaient à l'origine destinées à d'autres fins, par exemple pour augmenter la vitesse, mais qui en même temps rendent indirectement la vie d'un attaquant plus difficile.

Le premier groupe a été décrit dans la première partie. Mais nous disposons également de mesures indirectes supplémentaires dans notre arsenal. Comme mentionné ci-dessus, l'augmentation du nombre de points d'accès permet de réduire le niveau du signal et d'uniformiser la zone de couverture, ce qui rend la vie plus difficile à un attaquant.

Une autre mise en garde est que l'augmentation des vitesses de transfert de données facilite l'application de mesures de sécurité supplémentaires. Par exemple, vous pouvez installer un client VPN sur chaque ordinateur portable et transférer des données même au sein d'un réseau local via des canaux cryptés. Cela nécessitera certaines ressources, notamment matérielles, mais le niveau de protection augmentera considérablement.

Nous fournissons ci-dessous une description des technologies qui peuvent améliorer les performances du réseau et augmenter indirectement le degré de protection.

Moyens indirects d’amélioration de la protection : qu’est-ce qui peut aider ?

Pilotage Client

La fonctionnalité Client Steering invite les appareils clients à utiliser en premier la bande 5 GHz. Si cette option n'est pas disponible pour le client, il pourra toujours utiliser le 2.4 GHz. Pour les réseaux existants avec un petit nombre de points d'accès, la plupart des travaux sont effectués dans la bande 2.4 GHz. Pour la gamme de fréquences 5 GHz, un système de point d'accès unique sera inacceptable dans de nombreux cas. Le fait est qu'un signal avec une fréquence plus élevée traverse les murs et contourne davantage les obstacles. La recommandation habituelle : pour garantir une communication garantie dans la bande 5 GHz, il est préférable de travailler en visibilité directe depuis le point d'accès.

Dans les normes modernes 802.11ac et 802.11ax, en raison du plus grand nombre de canaux, il est possible d'installer plusieurs points d'accès à une distance plus proche, ce qui permet de réduire la puissance sans perdre, ni même gagner, la vitesse de transfert des données. De ce fait, l’utilisation de la bande 5 GHz rend la vie plus difficile aux attaquants, mais améliore la qualité de communication pour les clients à sa portée.

Cette fonction est présentée :

• aux points d'accès Nebula et NebulaFlex ;
• dans les pare-feu avec fonction de contrôleur.

Auto-guérison

Comme mentionné ci-dessus, les contours du périmètre de la pièce ne s'intègrent pas bien dans les schémas ronds des points d'accès.

Pour résoudre ce problème, vous devez d'abord utiliser le nombre optimal de points d'accès et, deuxièmement, réduire l'influence mutuelle. Mais si vous réduisez simplement manuellement la puissance des émetteurs, de telles interférences directes peuvent entraîner une détérioration de la communication. Cela sera particulièrement visible si un ou plusieurs points d'accès tombent en panne.

La guérison automatique vous permet d'ajuster rapidement la puissance sans perdre en fiabilité et en vitesse de transfert de données.

Lors de l'utilisation de cette fonction, le contrôleur vérifie l'état et la fonctionnalité des points d'accès. Si l'un d'eux ne fonctionne pas, les voisins sont invités à augmenter la force du signal pour combler le « point blanc ». Une fois que le point d'accès est à nouveau opérationnel, les points voisins sont invités à réduire la force du signal afin de réduire les interférences mutuelles.

Itinérance WiFi transparente

À première vue, cette technologie peut difficilement être qualifiée d'augmentation du niveau de sécurité, mais au contraire, elle permet à un client (y compris un attaquant) de basculer plus facilement entre les points d'accès d'un même réseau. Mais si deux points d'accès ou plus sont utilisés, vous devez garantir un fonctionnement pratique sans problèmes inutiles. De plus, si le point d'accès est surchargé, il gère moins bien les fonctions de sécurité telles que le cryptage, des retards dans l'échange de données et d'autres problèmes désagréables se produisent. À cet égard, l'itinérance transparente est d'une grande aide pour répartir la charge de manière flexible et garantir un fonctionnement ininterrompu en mode protégé.

Configuration des seuils d'intensité du signal pour la connexion et la déconnexion des clients sans fil (seuil de signal ou plage d'intensité du signal)

Lorsque vous utilisez un seul point d'accès, cette fonction n'a en principe pas d'importance. Mais à condition que plusieurs points contrôlés par un contrôleur fonctionnent, il est possible d'organiser une répartition mobile des clients sur différents points d'accès. Il convient de rappeler que les fonctions du contrôleur de point d'accès sont disponibles dans de nombreuses gammes de routeurs de Zyxel : ATP, USG, USG FLEX, VPN, ZyWALL.

Les appareils ci-dessus ont une fonction permettant de déconnecter un client connecté à un SSID avec un signal faible. « Faible » signifie que le signal est inférieur au seuil défini sur le contrôleur. Une fois le client déconnecté, il enverra une demande de sonde pour trouver un autre point d'accès.

Par exemple, un client connecté à un point d'accès avec un signal inférieur à -65dBm, si le seuil de déconnexion de la station est de -60dBm, dans ce cas le point d'accès déconnectera le client avec ce niveau de signal. Le client démarre maintenant la procédure de reconnexion et se connectera déjà à un autre point d'accès avec un signal supérieur ou égal à -60dBm (seuil du signal de la station).

Ceci est important lorsque vous utilisez plusieurs points d’accès. Cela évite une situation dans laquelle la plupart des clients s'accumulent à un moment donné, tandis que les autres points d'accès sont inactifs.

De plus, vous pouvez limiter la connexion des clients avec un signal faible, qui sont très probablement situés en dehors du périmètre de la pièce, par exemple derrière le mur d'un bureau voisin, ce qui permet également d'envisager cette fonction comme une méthode indirecte. de protection.

Passer au WiFi 6 comme l'un des moyens d'améliorer la sécurité

Nous avons déjà évoqué les avantages des recours directs plus tôt dans l’article précédent. « Caractéristiques de protection des réseaux sans fil et filaires. Partie 1 – Mesures directes de protection".

Les réseaux WiFi 6 offrent des vitesses de transfert de données plus rapides. D'une part, le nouveau groupe de normes permet d'augmenter la vitesse, d'autre part, vous pouvez placer encore plus de points d'accès dans la même zone. La nouvelle norme permet d'utiliser moins de puissance pour transmettre à des vitesses plus élevées.

Vitesse de transfert de données accrue.

Le passage au WiFi 6 implique d'augmenter la vitesse d'échange à 11Gb/s (modulation type 1024-QAM, canaux 160 MHz). Dans le même temps, les nouveaux appareils prenant en charge le WiFi 6 offrent de meilleures performances. L'un des principaux problèmes lors de la mise en œuvre de mesures de sécurité supplémentaires, telles qu'un canal VPN pour chaque utilisateur, est la baisse de vitesse. Avec le WiFi 6, il sera plus facile de mettre en œuvre des systèmes de sécurité supplémentaires.

Coloration BSS

Nous avons écrit plus tôt qu'une couverture plus uniforme peut réduire la pénétration du signal WiFi au-delà du périmètre. Mais avec une nouvelle croissance du nombre de points d'accès, même l'utilisation de l'Auto Healing pourrait ne pas suffire, car le trafic « étranger » en provenance d'un point voisin pénétrera toujours dans la zone de réception.

Lors de l'utilisation de BSS Coloring, le point d'accès laisse des marques spéciales (couleurs) sur ses paquets de données. Cela vous permet d'ignorer l'influence des appareils de transmission voisins (points d'accès).

MU-MIMO amélioré

Le 802.11ax apporte également des améliorations importantes à la technologie MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO permet au point d'accès de communiquer avec plusieurs appareils simultanément. Mais dans la norme précédente, cette technologie ne pouvait prendre en charge que des groupes de quatre clients sur la même fréquence. Cela rendait la transmission plus facile, mais pas la réception. Le WiFi 6 utilise le MIMO multi-utilisateurs 8x8 pour la transmission et la réception.

Note. Le 802.11ax augmente la taille des groupes MU-MIMO en aval, offrant ainsi des performances réseau WiFi plus efficaces. La liaison montante MIMO multi-utilisateurs est un nouvel ajout au 802.11ax.

OFDMA (accès multiple par répartition orthogonale de la fréquence)

Cette nouvelle méthode d'accès et de contrôle des canaux est développée sur la base de technologies déjà éprouvées dans la technologie cellulaire LTE.

OFDMA permet d'envoyer plusieurs signaux sur la même ligne ou canal en même temps en attribuant un intervalle de temps à chaque transmission et en appliquant une division de fréquence. En conséquence, non seulement la vitesse augmente grâce à une meilleure utilisation du canal, mais la sécurité augmente également.

Résumé

Les réseaux WiFi sont de plus en plus sécurisés chaque année. L'utilisation des technologies modernes nous permet d'organiser un niveau de protection acceptable.

Les méthodes directes de protection sous forme de cryptage du trafic ont fait leurs preuves. N'oubliez pas les mesures supplémentaires : filtrage par MAC, masquage de l'ID réseau, Rogue AP Detection (Rogue AP Containment).

Mais il existe également des mesures indirectes qui améliorent le fonctionnement commun des appareils sans fil et augmentent la vitesse d'échange de données.

L'utilisation de nouvelles technologies permet de réduire le niveau du signal des points, rendant la couverture plus uniforme, ce qui a un bon impact sur la santé de l'ensemble du réseau sans fil dans son ensemble, y compris la sécurité.

Le bon sens veut que tous les moyens soient bons pour améliorer la sécurité : directs et indirects. Cette combinaison permet de rendre la vie aussi difficile que possible à un attaquant.

Liens utiles:

1. Chat télégramme Zyxel
2. Forum sur les équipements Zyxel
3. Beaucoup de vidéos utiles sur la chaîne Zyxel (Youtube)
4. Caractéristiques de protection des réseaux sans fil et filaires. Partie 1 – Mesures directes de protection
5. Wi-Fi ou paire torsadée : quel est le meilleur ?
6. Synchronisez les points d'accès Wi-Fi pour la collaboration
7. Wi-Fi 6 : l’utilisateur moyen a-t-il besoin d’une nouvelle norme sans fil et si oui, pourquoi ?
8. WiFi 6 MU-MIMO et OFDMA : Deux piliers de votre réussite future
9. L'avenir du Wi-Fi
10. Utiliser les commutateurs multi-Gigabit comme philosophie de compromis
11. Deux en un ou migration d'un contrôleur de point d'accès vers une passerelle
12. Le WiFi 6 est déjà là : ce que propose le marché et pourquoi nous avons besoin de cette technologie
13. Amélioration des performances Wi-Fi. Principes généraux et choses utiles
14. Améliorer les performances Wi-Fi. Partie 2. Caractéristiques de l'équipement
15. Améliorer les performances Wi-Fi. Partie 3. Placement des points d'accès
16. Synchronisez les points d'accès Wi-Fi pour la collaboration
17. Vos 5 centimes : le Wi-Fi aujourd'hui et demain

Source: habr.com