Continuamos coa conversa sobre métodos para aumentar a seguridade da rede. Neste artigo falaremos de medidas de seguridade adicionais e de organización de redes sen fíos máis seguras.
Prefacio á segunda parte
Nun artigo anterior Houbo un debate sobre problemas de seguridade da rede WiFi e métodos directos de protección contra accesos non autorizados. Consideráronse medidas obvias para evitar a interceptación do tráfico: cifrado, ocultación de rede e filtrado MAC, así como métodos especiais, por exemplo, combater Rogue AP. Non obstante, ademais dos métodos de protección directos, tamén os hai indirectos. Estas son tecnoloxías que non só axudan a mellorar a calidade das comunicacións, senón que tamén mellora a seguridade.
Dúas características principais das redes sen fíos: o acceso remoto sen contacto e o aire de radio como medio de transmisión para a transmisión de datos, onde calquera receptor de sinal pode escoitar o aire, e calquera transmisor pode obstruír a rede con transmisións inútiles e simplemente interferencias de radio. Isto, entre outras cousas, non ten o mellor efecto sobre a seguridade xeral da rede sen fíos.
Non vivirás só pola seguridade. Aínda temos que traballar dalgún xeito, é dicir, intercambiar datos. E por este lado hai moitas outras queixas sobre WiFi:
- lagoas na cobertura ("puntos brancos");
- influencia das fontes externas e dos puntos de acceso veciños entre si.
Como resultado, debido aos problemas descritos anteriormente, a calidade do sinal diminúe, a conexión perde estabilidade e a velocidade de intercambio de datos cae.
Por suposto, os fanáticos das redes con fíos terán o pracer de observar que cando se usan conexións de cable e, especialmente, de fibra óptica, tales problemas non se observan.
Xorde a pregunta: é posible resolver dalgún xeito estes problemas sen recorrer a ningún medio drástico como volver conectar á rede cableada a todas as persoas insatisfeitas?
Onde comezan todos os problemas?
No momento do nacemento da oficina e outras redes WiFi, a maioría das veces seguían un algoritmo sinxelo: colocaban un único punto de acceso no centro do perímetro co fin de maximizar a cobertura. Se non había suficiente intensidade de sinal para áreas remotas, engadiuse unha antena amplificadora ao punto de acceso. Moi raramente engadiuse un segundo punto de acceso, por exemplo, para a oficina dun director remoto. Esas son probablemente todas as melloras.
Este enfoque tiña as súas razóns. En primeiro lugar, nos albores das redes sen fíos, o equipo para elas era caro. En segundo lugar, instalar máis puntos de acceso significaba enfrontarse a preguntas que non tiñan resposta nese momento. Por exemplo, como organizar o cambio de cliente entre os puntos? Como tratar a interferencia mutua? Como simplificar e axilizar a xestión de puntos, por exemplo, aplicación simultánea de prohibicións/permisos, vixilancia, etc. Polo tanto, era moito máis doado seguir o principio: cantos menos dispositivos, mellor.
Ao mesmo tempo, o punto de acceso, situado debaixo do teito, retransmite nun diagrama circular (máis precisamente, redondo).
Non obstante, as formas dos edificios arquitectónicos non encaixan moi ben nos diagramas de propagación de sinal redondo. Polo tanto, nalgúns lugares o sinal case non chega e cómpre amplificalo, e nalgúns lugares a emisión vai máis aló do perímetro e faise accesible a persoas de fóra.
Figura 1. Exemplo de cobertura utilizando un único punto na oficina.
Nota. Esta é unha aproximación aproximada que non ten en conta os obstáculos á propagación, así como a direccionalidade do sinal. Na práctica, as formas dos diagramas para diferentes modelos de puntos poden diferir.
A situación pódese mellorar utilizando máis puntos de acceso.
En primeiro lugar, isto permitirá que os dispositivos de transmisión se distribúan de forma máis eficiente pola zona da sala.
En segundo lugar, faise posible reducir o nivel de sinal, evitando que vaia máis aló do perímetro dunha oficina ou doutra instalación. Neste caso, para ler o tráfico da rede sen fíos, cómpre achegarse case ao perímetro ou incluso introducir os seus límites. Un atacante actúa do mesmo xeito para entrar nunha rede interna con cable.
Figura 2: O aumento do número de puntos de acceso permite unha mellor distribución da cobertura.
Vexamos de novo as dúas imaxes. O primeiro mostra claramente unha das principais vulnerabilidades dunha rede sen fíos: o sinal pódese captar a unha distancia decente.
Na segunda imaxe a situación non está tan avanzada. Cantos máis puntos de acceso, máis eficaz será a área de cobertura e, ao mesmo tempo, a potencia do sinal case non se estende máis aló do perímetro, grosso modo, máis aló dos límites da oficina, oficina, edificio e outros posibles obxectos.
Un atacante terá que achegarse desapercibido dalgún xeito para interceptar un sinal relativamente débil "desde a rúa" ou "desde o corredor", etc. Para iso, cómpre achegarse ao edificio de oficinas, por exemplo, para estar baixo as fiestras. Ou tentar entrar no propio edificio de oficinas. En calquera caso, isto aumenta o risco de estar exposto á videovixilancia e de ser notado pola seguridade. Isto reduce significativamente o intervalo de tempo para un ataque. Isto dificilmente se pode chamar "condicións ideais para a piratería".
Por suposto, queda un "pecado orixinal" máis: as redes sen fíos emiten nun rango accesible que poden ser interceptados por todos os clientes. De feito, unha rede WiFi pódese comparar cun HUB Ethernet, onde o sinal se transmite a todos os portos á vez. Para evitar isto, o ideal é que cada par de dispositivos se comunique na súa propia canle de frecuencia, coa que ninguén máis debería interferir.
Aquí tedes un resumo dos principais problemas. Consideremos formas de resolvelos.
Remedios: directos e indirectos
Como xa se mencionou no artigo anterior, non se pode acadar en ningún caso unha protección perfecta. Pero podes dificultar o máximo posible a realización dun ataque, facendo que o resultado sexa pouco rendible en relación ao esforzo realizado.
Convencionalmente, os equipos de protección pódense dividir en dous grupos principais:
- tecnoloxías de protección directa do tráfico como o cifrado ou o filtrado MAC;
- tecnoloxías que orixinalmente estaban destinadas a outros fins, por exemplo, para aumentar a velocidade, pero que ao mesmo tempo dificultan indirectamente a vida dun atacante.
O primeiro grupo foi descrito na primeira parte. Pero tamén temos medidas indirectas adicionais no noso arsenal. Como se mencionou anteriormente, aumentar o número de puntos de acceso permítelle reducir o nivel de sinal e uniformizar a área de cobertura, o que dificulta a vida dun atacante.
Outra advertencia é que o aumento da velocidade de transferencia de datos facilita a aplicación de medidas de seguridade adicionais. Por exemplo, pode instalar un cliente VPN en cada portátil e transferir datos incluso dentro dunha rede local a través de canles cifradas. Isto requirirá algúns recursos, incluído o hardware, pero o nivel de protección aumentará significativamente.
A continuación ofrecemos unha descrición das tecnoloxías que poden mellorar o rendemento da rede e aumentar indirectamente o grao de protección.
Medios indirectos para mellorar a protección: que pode axudar?
Dirección do cliente
A función Client Steering solicita aos dispositivos cliente que utilicen primeiro a banda de 5 GHz. Se esta opción non está dispoñible para o cliente, aínda poderá usar 2.4 GHz. Para redes legadas cun pequeno número de puntos de acceso, a maior parte do traballo realízase na banda de 2.4 GHz. Para o rango de frecuencia de 5 GHz, un esquema de punto de acceso único será inaceptable en moitos casos. O caso é que un sinal cunha frecuencia máis alta atravesa paredes e dobra os obstáculos peor. A recomendación habitual: para garantir a comunicación na banda de 5 GHz é preferible traballar en liña de visión desde o punto de acceso.
Nos estándares modernos 802.11ac e 802.11ax, debido ao maior número de canles, é posible instalar varios puntos de acceso a unha distancia máis próxima, o que permite reducir a potencia sen perder, ou mesmo gañar, a velocidade de transferencia de datos. Como resultado, o uso da banda de 5 GHz dificulta a vida dos atacantes, pero mellora a calidade da comunicación dos clientes ao alcance.
Esta función preséntase:
- nos puntos de acceso Nebula e NebulaFlex;
- en firewalls con función de controlador.
Autocuración
Como se mencionou anteriormente, os contornos do perímetro da sala non encaixan ben nos diagramas redondos dos puntos de acceso.
Para resolver este problema, en primeiro lugar, cómpre utilizar o número óptimo de puntos de acceso e, en segundo lugar, reducir a influencia mutua. Pero se simplemente reduce manualmente a potencia dos transmisores, tal interferencia directa pode provocar un deterioro da comunicación. Isto será especialmente perceptible se un ou máis puntos de acceso fallan.
A cura automática permítelle axustar rapidamente a potencia sen perder a fiabilidade e a velocidade de transferencia de datos.
Ao usar esta función, o controlador comproba o estado e a funcionalidade dos puntos de acceso. Se un deles non funciona, indícaselles aos veciños que aumenten a intensidade do sinal para cubrir o "punto branco". Unha vez que o punto de acceso está en funcionamento de novo, indícase aos puntos veciños que reduzcan a intensidade do sinal para reducir as interferencias mutuas.
Itinerancia wifi sen fisuras
A primeira vista, esta tecnoloxía dificilmente pode denominarse aumento do nivel de seguridade, senón que, pola contra, facilita que un cliente (incluído un atacante) cambie entre os puntos de acceso da mesma rede. Pero se se usan dous ou máis puntos de acceso, cómpre garantir un funcionamento cómodo sen problemas innecesarios. Ademais, se o punto de acceso está sobrecargado, afronta peor as funcións de seguridade como o cifrado, os atrasos no intercambio de datos e outras cousas desagradables ocorren. Neste sentido, a itinerancia sen interrupcións é unha gran axuda para distribuír a carga de forma flexible e garantir un funcionamento ininterrompido nun modo protexido.
Configurar limiares de intensidade do sinal para conectar e desconectar clientes sen fíos (Limiar do sinal ou Intervalo de intensidade do sinal)
Cando se utiliza un único punto de acceso, esta función, en principio, non importa. Pero sempre que funcionen varios puntos controlados por un controlador, é posible organizar a distribución móbil de clientes en diferentes AP. Paga a pena lembrar que as funcións do controlador de punto de acceso están dispoñibles en moitas liñas de enrutadores de Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Os dispositivos anteriores teñen unha función para desconectar un cliente que está conectado a un SSID cun sinal débil. "Débil" significa que o sinal está por debaixo do limiar establecido no controlador. Despois de desconectar o cliente, enviará unha solicitude de sonda para atopar outro punto de acceso.
Por exemplo, un cliente conectado a un punto de acceso cun sinal inferior a -65 dBm, se o limiar de desconexión da estación é de -60 dBm, neste caso o punto de acceso desconectará o cliente con este nivel de sinal. O cliente inicia agora o procedemento de reconexión e xa se conectará a outro punto de acceso cun sinal superior ou igual a -60 dBm (limiar de sinal da estación).
Isto é importante cando se usan varios puntos de acceso. Isto evita unha situación na que a maioría dos clientes se acumulen nun momento, mentres que outros puntos de acceso están inactivos.
Ademais, pode limitar a conexión de clientes cun sinal débil, que probablemente estean situados fóra do perímetro da sala, por exemplo, detrás da parede nunha oficina veciña, o que tamén nos permite considerar esta función como un método indirecto. de protección.
Cambiar a WiFi 6 como unha das formas de mellorar a seguridade
Xa falamos das vantaxes dos remedios directos no artigo anterior. “Características de protección de redes sen fíos e con fíos. Parte 1 - Medidas directas de protección".
As redes WiFi 6 proporcionan velocidades de transferencia de datos máis rápidas. Por unha banda, o novo grupo de estándares permite aumentar a velocidade, por outra banda, podes colocar aínda máis puntos de acceso na mesma zona. O novo estándar permite utilizar menos enerxía para transmitir a velocidades máis altas.
Aumento da velocidade de transferencia de datos.
A transición a WiFi 6 implica aumentar a velocidade de intercambio a 11 Gb/s (modulación tipo 1024-QAM, canles de 160 MHz). Ao mesmo tempo, os novos dispositivos compatibles con WiFi 6 teñen un mellor rendemento. Un dos principais problemas á hora de implementar medidas de seguridade adicionais, como unha canle VPN para cada usuario, é a baixada da velocidade. Con WiFi 6, será máis fácil implementar sistemas de seguridade adicionais.
Coloración BSS
Escribimos anteriormente que unha cobertura máis uniforme pode reducir a penetración do sinal WiFi máis aló do perímetro. Pero cun maior crecemento do número de puntos de acceso, incluso o uso de Auto Healing pode non ser suficiente, xa que o tráfico "estranxeiro" desde un punto veciño aínda penetrará na zona de recepción.
Cando se utiliza BSS Coloring, o punto de acceso deixa marcas especiais (cores) nos seus paquetes de datos. Isto permítelle ignorar a influencia dos dispositivos transmisores veciños (puntos de acceso).
MU-MIMO mellorado
802.11ax tamén ten importantes melloras na tecnoloxía MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO permite que o punto de acceso se comunique con varios dispositivos simultaneamente. Pero no estándar anterior, esta tecnoloxía só podía soportar grupos de catro clientes na mesma frecuencia. Isto facilitou a transmisión, pero non a recepción. WiFi 6 usa MIMO multiusuario 8x8 para a transmisión e recepción.
Nota. 802.11ax aumenta o tamaño dos grupos MU-MIMO posteriores, proporcionando un rendemento da rede WiFi máis eficiente. A ligazón ascendente MIMO multiusuario é unha nova incorporación a 802.11ax.
OFDMA (Acceso múltiple por división de frecuencia ortogonal)
Este novo método de acceso e control de canles desenvólvese baseándose en tecnoloxías que xa foron comprobadas na tecnoloxía móbil LTE.
OFDMA permite enviar máis dun sinal á mesma liña ou canle ao mesmo tempo asignando un intervalo de tempo a cada transmisión e aplicando división de frecuencia. Como resultado, non só aumenta a velocidade debido a unha mellor utilización da canle, senón que tamén aumenta a seguridade.
Resumo
As redes wifi son cada vez máis seguras cada ano. O uso das tecnoloxías modernas permítenos organizar un nivel aceptable de protección.
Os métodos directos de protección en forma de cifrado de tráfico demostraron bastante ben. Non te esquezas de medidas adicionais: filtrado por MAC, ocultar o ID da rede, Detección de AP Rogue (Contención de AP Rogue).
Pero tamén hai medidas indirectas que melloran o funcionamento conxunto dos dispositivos sen fíos e aumentan a velocidade de intercambio de datos.
O uso das novas tecnoloxías permite reducir o nivel de sinal desde puntos, uniformizando a cobertura, o que repercute ben na saúde de toda a rede sen fíos no seu conxunto, incluída a seguridade.
O sentido común di que todos os medios son bos para mellorar a seguridade: tanto directos como indirectos. Esta combinación permítelle facerlle a vida o máis difícil posible a un atacante.
Ligazóns útiles:
- Características de protección de redes sen fíos e cableadas. Parte 1 - Medidas directas de protección
Fonte: www.habr.com