Folytatjuk a beszélgetést a hálózati biztonság növelésének módszereiről. Ebben a cikkben további biztonsági intézkedésekről és biztonságosabb vezeték nélküli hálózatok megszervezéséről lesz szó.
Előszó a második részhez
Egy korábbi cikkben Szó esett a WiFi hálózat biztonsági problémáiról és a jogosulatlan hozzáférés elleni védelem közvetlen módszereiről. A forgalom lehallgatását megakadályozó nyilvánvaló intézkedéseket mérlegelték: titkosítást, hálózati elrejtést és MAC-szűrést, valamint speciális módszereket, például a Rogue AP elleni küzdelmet. A közvetlen védekezési módok mellett azonban vannak közvetettek is. Ezek olyan technológiák, amelyek nemcsak a kommunikáció minőségének javítását szolgálják, hanem a biztonságot is tovább javítják.
A vezeték nélküli hálózatok két fő jellemzője: a távoli érintés nélküli hozzáférés és a rádiós levegő, mint adatátviteli közvetítő médium, ahol bármely jelvevő hallgathatja a levegőt, és bármely adó eltömítheti a hálózatot haszontalan átvitelekkel és egyszerűen rádióinterferenciával. Ez többek között nem a legjobb hatással van a vezeték nélküli hálózat általános biztonságára.
Nem fogsz egyedül biztonságban élni. Valahogy még dolgoznunk kell, vagyis adatot cserélnünk. És ezen az oldalon sok más panasz is van a WiFi-vel kapcsolatban:
- hiányosságok a lefedettségben („fehér foltok”);
- külső források és szomszédos hozzáférési pontok egymásra gyakorolt hatása.
Ennek eredményeként a fent leírt problémák miatt a jel minősége romlik, a kapcsolat elveszti stabilitását, csökken az adatcsere sebessége.
Természetesen a vezetékes hálózatok rajongói örömmel veszik tudomásul, hogy kábeles és különösen száloptikai kapcsolatok használatakor ilyen problémák nem figyelhetők meg.
Felmerül a kérdés: meg lehet-e valahogy oldani ezeket a problémákat anélkül, hogy olyan drasztikus eszközöket kellene igénybe venni, mint az összes elégedetlen ember újracsatlakoztatása a vezetékes hálózathoz?
Hol kezdődik minden probléma?
Az irodai és egyéb WiFi hálózatok megszületésekor leggyakrabban egyszerű algoritmust követtek: egyetlen hozzáférési pontot helyeztek el a kerület közepén a lefedettség maximalizálása érdekében. Ha nem volt elegendő jelerősség a távoli területekhez, egy erősítő antennát adtak hozzá a hozzáférési ponthoz. Nagyon ritkán adtak hozzá második hozzáférési pontot, például egy távoli igazgatói irodához. Valószínűleg ez az összes fejlesztés.
Ennek a megközelítésnek megvoltak az okai. Először is, a vezeték nélküli hálózatok hajnalán a felszerelésük drága volt. Másodszor, több hozzáférési pont telepítése olyan kérdéseket jelentett, amelyekre akkor még nem volt válasz. Például hogyan lehet megszervezni a zökkenőmentes ügyfélváltást a pontok között? Hogyan kezeljük a kölcsönös zavarást? Hogyan lehet egyszerűsíteni és racionalizálni a pontok kezelését, például a tilalmak/engedélyek egyidejű alkalmazása, a monitorozás stb. Ezért sokkal könnyebb volt követni az elvet: minél kevesebb eszköz, annál jobb.
Ugyanakkor a mennyezet alatt található hozzáférési pont kör alakú (pontosabban kerek) diagramban sugároz.
Az építészeti épületek formái azonban nem nagyon illeszkednek a kör alakú jelterjedési diagramokba. Ezért néhány helyen a jel szinte nem éri el, és erősíteni kell, és néhány helyen az adás túllép a kerületen, és elérhetővé válik a kívülállók számára.
1. ábra. Példa lefedettségre az iroda egyetlen pontjával.
Megjegyzés. Ez egy durva közelítés, amely nem veszi figyelembe a terjedési akadályokat, valamint a jel irányultságát. A gyakorlatban a különböző pontmodellek diagramjainak alakja eltérő lehet.
Több hozzáférési pont használatával javítható a helyzet.
Először is, ez lehetővé teszi az adóeszközök hatékonyabb elosztását a helyiségben.
Másodszor, lehetővé válik a jelszint csökkentése, megakadályozva, hogy túllépjen egy iroda vagy más létesítmény kerületén. Ebben az esetben a vezeték nélküli hálózati forgalom leolvasásához közel kell jutnia a kerülethez, vagy akár be kell lépnie annak határaiba. A támadó nagyjából ugyanúgy jár el, ha betör egy belső vezetékes hálózatba.
2. ábra: A hozzáférési pontok számának növelése lehetővé teszi a lefedettség jobb elosztását.
Nézzük újra mindkét képet. Az első egyértelműen mutatja a vezeték nélküli hálózat egyik fő sebezhetőségét - a jelet megfelelő távolságból el lehet fogni.
A második képen nem annyira előrehaladott a helyzet. Minél több hozzáférési pont, annál hatékonyabb a lefedettség, ugyanakkor a jelteljesítmény szinte nem nyúlik túl az iroda, iroda, épület és egyéb lehetséges objektumok határain, durván szólva.
A támadónak valahogy észrevétlenül közelebb kell osonnia ahhoz, hogy elfogjon egy viszonylag gyenge jelet „az utcáról” vagy „a folyosóról” stb. Ehhez közel kell menni az irodaházhoz, például be kell állni az ablakok alá. Vagy próbáljon bejutni magába az irodaházba. Ez mindenesetre növeli annak a kockázatát, hogy a videokamerás megfigyelés alá kerüljenek, és a biztonságiak észrevegyék. Ez jelentősen csökkenti a támadás időtartamát. Ezt aligha nevezhetjük „ideális feltételeknek a hackeléshez”.
Természetesen marad még egy „eredeti bűn”: a vezeték nélküli hálózatok olyan elérhető tartományban sugároznak, amelyet minden kliens elfoghat. A WiFi hálózat valóban egy Ethernet HUB-hoz hasonlítható, ahol a jelet egyszerre továbbítják az összes portra. Ennek elkerülése érdekében ideális esetben minden eszközpár a saját frekvenciacsatornáján kommunikáljon, amit senki másnak nem szabad zavarnia.
Íme a főbb problémák összefoglalása. Nézzük meg a megoldási módokat.
Jogorvoslatok: közvetlen és közvetett
Ahogy az előző cikkben már említettük, tökéletes védelmet semmi esetre sem lehet elérni. De a lehető legnehezebbé teheti a támadás végrehajtását, így az eredmény veszteséges a ráfordított erőfeszítéshez képest.
Hagyományosan a védőfelszerelések két fő csoportra oszthatók:
- közvetlen forgalomvédelmi technológiák, mint például a titkosítás vagy a MAC-szűrés;
- olyan technológiák, amelyeket eredetileg más célokra szántak, például a sebesség növelésére, ugyanakkor közvetve megnehezítik a támadó életét.
Az első csoportot az első részben ismertettük. De további közvetett intézkedések is vannak az arzenálunkban. Ahogy fentebb említettük, a hozzáférési pontok számának növelése lehetővé teszi a jelszint csökkentését és a lefedettség egységesítését, ami megnehezíti a támadó életét.
Egy másik figyelmeztetés, hogy az adatátviteli sebesség növelése megkönnyíti a további biztonsági intézkedések alkalmazását. Például minden laptopra telepíthet VPN-klienst, és titkosított csatornákon keresztül akár helyi hálózaton belül is továbbíthat adatokat. Ehhez bizonyos erőforrásokra lesz szükség, beleértve a hardvert is, de a védelem szintje jelentősen megnő.
Az alábbiakban ismertetjük azokat a technológiákat, amelyek javíthatják a hálózati teljesítményt és közvetve növelhetik a védelem mértékét.
A védelem javításának közvetett eszközei – mi segíthet?
Ügyfélirányítás
A Client Steering funkció arra kéri az ügyféleszközöket, hogy először az 5 GHz-es sávot használják. Ha ez a lehetőség nem áll rendelkezésre a kliens számára, továbbra is használhatja a 2.4 GHz-et. A kis számú hozzáférési ponttal rendelkező örökölt hálózatok esetében a legtöbb munka a 2.4 GHz-es sávban történik. Az 5 GHz-es frekvenciatartományban az egyetlen hozzáférési pont rendszere sok esetben elfogadhatatlan. A helyzet az, hogy a nagyobb frekvenciájú jel áthalad a falakon, és rosszabbul kanyarodik az akadályok körül. A szokásos ajánlás: a garantált kommunikáció érdekében az 5 GHz-es sávban célszerű a hozzáférési pontról rálátásban dolgozni.
A modern 802.11ac és 802.11ax szabványokban a nagyobb csatornaszám miatt lehetőség van több hozzáférési pont közelebbi telepítésére, ami lehetővé teszi a teljesítmény csökkentését anélkül, hogy elveszítené, sőt növelné az adatátviteli sebességet. Ennek eredményeként az 5 GHz-es sáv használata megnehezíti a támadók életét, de javítja a kommunikáció minőségét a közelben lévő ügyfelek számára.
Ezt a funkciót mutatjuk be:
- a Nebula és a NebulaFlex hozzáférési pontoknál;
- vezérlő funkcióval rendelkező tűzfalakban.
Auto Healing
Mint fentebb említettük, a helyiség kerületének körvonalai nem illeszkednek jól a hozzáférési pontok kerek diagramjaiba.
A probléma megoldásához először is optimális számú hozzáférési pontot kell használni, másodszor pedig csökkenteni kell a kölcsönös befolyást. De ha egyszerűen manuálisan csökkenti az adók teljesítményét, az ilyen közvetlen interferencia a kommunikáció romlásához vezethet. Ez különösen akkor lesz észrevehető, ha egy vagy több hozzáférési pont meghibásodik.
Az Auto Healing lehetővé teszi a teljesítmény gyors beállítását a megbízhatóság és az adatátviteli sebesség elvesztése nélkül.
A funkció használatakor a vezérlő ellenőrzi a hozzáférési pontok állapotát és működőképességét. Ha az egyik nem működik, akkor a szomszédokat utasítják, hogy növeljék a jelerősséget, hogy kitöltsék a „fehér foltot”. Amint a hozzáférési pont újra működik, a szomszédos pontok arra utasítják, hogy csökkentsék a jelerősséget a kölcsönös interferencia csökkentése érdekében.
Zökkenőmentes WiFi barangolás
Ezt a technológiát első ránézésre aligha nevezhetjük a biztonsági szint növelésének, ellenkezőleg, megkönnyíti a kliens (beleértve a támadót is) az ugyanazon a hálózaton lévő hozzáférési pontok közötti váltást. De ha két vagy több hozzáférési pontot használnak, biztosítania kell a kényelmes működést, szükségtelen problémák nélkül. Ezen túlmenően, ha a hozzáférési pont túlterhelt, rosszabbul birkózik meg olyan biztonsági funkciókkal, mint a titkosítás, késések az adatcserében és egyéb kellemetlen dolgok. Ebben a tekintetben a zökkenőmentes roaming nagy segítséget jelent a terhelés rugalmas elosztásában és a védett üzemmódban a zavartalan működésben.
Jelerősségi küszöbértékek konfigurálása vezeték nélküli kliensek csatlakoztatásához és leválasztásához (jelküszöb vagy jelerősség-tartomány)
Egyetlen hozzáférési pont használata esetén ez a funkció elvileg nem számít. De feltéve, hogy több, egy vezérlő által vezérelt pont működik, lehetséges a kliensek mobil elosztása a különböző AP-k között. Érdemes emlékeztetni arra, hogy a hozzáférési pontvezérlő funkciók a Zyxel útválasztóinak számos vonalában elérhetők: ATP, USG, USG FLEX, VPN, ZyWALL.
A fenti eszközök olyan funkcióval rendelkeznek, amely leválasztja a gyenge jelű SSID-hez csatlakoztatott klienst. A „gyenge” azt jelenti, hogy a jel a vezérlőn beállított küszöb alatt van. A kliens leválasztása után vizsgálati kérelmet küld egy másik hozzáférési pont keresésére.
Például, ha egy kliens egy hozzáférési ponthoz csatlakozik -65 dBm alatti jellel, ha az állomás leválasztási küszöbértéke -60 dBm, ebben az esetben a hozzáférési pont ezzel a jelszinttel leválasztja a klienst. A kliens most elindítja az újracsatlakozási eljárást, és már csatlakozik egy másik hozzáférési ponthoz -60 dBm vagy azzal egyenlő jellel (állomás jelküszöbe).
Ez akkor fontos, ha több hozzáférési pontot használ. Ez megakadályozza, hogy a legtöbb ügyfél egy ponton összegyűljön, míg a többi hozzáférési pont tétlen.
Ezenkívül korlátozhatja a gyenge jelű ügyfelek csatlakozását, akik nagy valószínűséggel a helyiség kerületén kívül helyezkednek el, például egy szomszédos irodában a fal mögött, ami szintén lehetővé teszi, hogy ezt a funkciót közvetett módszernek tekintsük. a védelemről.
A biztonság javításának egyik módja a WiFi 6-ra váltás
Az előző cikkben már beszéltünk a közvetlen gyógymódok előnyeiről. „Vezeték nélküli és vezetékes hálózatok védelmét szolgáló funkciók. 1. rész – Közvetlen védelmi intézkedések".
A WiFi 6 hálózatok nagyobb adatátviteli sebességet biztosítanak. Az új szabványcsoport egyrészt lehetővé teszi a sebesség növelését, másrészt még több hozzáférési pontot is elhelyezhet ugyanazon a területen. Az új szabvány lehetővé teszi kisebb teljesítmény felhasználását a nagyobb sebességű átvitelhez.
Megnövelt adatátviteli sebesség.
A WiFi 6-ra való átállás magában foglalja az adatátviteli sebesség 11 Gb/s-ra történő növelését (modulációs típus 1024-QAM, 160 MHz csatornák). Ugyanakkor a WiFi 6-ot támogató új eszközök jobb teljesítményt nyújtanak. A további biztonsági intézkedések, például minden egyes felhasználó számára VPN-csatorna bevezetésekor az egyik fő probléma a sebesség csökkenése. A WiFi 6-tal egyszerűbb lesz további biztonsági rendszerek bevezetése.
BSS színezés
Korábban írtuk, hogy az egyenletesebb lefedettség csökkentheti a WiFi jel kerületen túli penetrációját. De a hozzáférési pontok számának további növekedésével még az Auto Healing használata sem biztos, hogy elegendő, mivel a szomszédos pontokról érkező „idegen” forgalom továbbra is behatol a vételi területre.
A BSS Coloring használatakor a hozzáférési pont speciális jeleket hagy (színezi) az adatcsomagjait. Ez lehetővé teszi, hogy figyelmen kívül hagyja a szomszédos adóeszközök (hozzáférési pontok) hatását.
Továbbfejlesztett MU-MIMO
A 802.11ax a MU-MIMO (Multi-User - Multiple Input Multiple Output) technológiát is jelentős fejlesztésekkel rendelkezik. A MU-MIMO lehetővé teszi, hogy a hozzáférési pont több eszközzel kommunikáljon egyidejűleg. De az előző szabványban ez a technológia csak négy ügyfélből álló csoportokat tudott támogatni ugyanazon a frekvencián. Ez megkönnyítette az átvitelt, de nem a vételt. A WiFi 6 8x8 többfelhasználós MIMO-t használ az átvitelhez és a vételhez.
Megjegyzés. A 802.11ax növeli a downstream MU-MIMO csoportok méretét, hatékonyabb WiFi hálózati teljesítményt biztosítva. A többfelhasználós MIMO uplink a 802.11ax új kiegészítése.
OFDMA (Ortogonális frekvenciaosztásos többszörös hozzáférés)
A csatornaelérésnek és -vezérlésnek ezt az új módszerét az LTE mobiltechnológiában már bevált technológiák alapján fejlesztették ki.
Az OFDMA lehetővé teszi egynél több jel küldését ugyanazon a vonalon vagy csatornán egy időben azáltal, hogy minden adáshoz időintervallumot rendel, és frekvenciaosztást alkalmaz. Ennek köszönhetően nem csak a sebesség nő a csatorna jobb kihasználása miatt, hanem a biztonság is.
Összegzés
A WiFi hálózatok évről évre biztonságosabbak. A modern technológiák alkalmazása lehetővé teszi számunkra, hogy elfogadható szintű védelmet szervezzünk.
A közvetlen védelmi módszerek a forgalom titkosítása formájában meglehetősen jól beváltak. Ne feledkezzünk meg a további intézkedésekről sem: szűrés MAC alapján, hálózati azonosító elrejtése, Rogue AP Detection (Rogue AP Containment).
De vannak olyan közvetett intézkedések is, amelyek javítják a vezeték nélküli eszközök együttes működését és növelik az adatcsere sebességét.
Az új technológiák alkalmazása lehetővé teszi a pontokról érkező jelszint csökkentését, egységesebbé téve a lefedettséget, ami jó hatással van a vezeték nélküli hálózat egészének egészségére, beleértve a biztonságot is.
A józan ész azt diktálja, hogy minden eszköz alkalmas a biztonság javítására: közvetlen és közvetett is. Ez a kombináció lehetővé teszi, hogy a lehető legnehezebbé tegye a támadó életét.
Hasznos linkek:
- A vezeték nélküli és vezetékes hálózatok védelmének jellemzői. 1. rész – Közvetlen védelmi intézkedések
Forrás: will.com