Kami melanjutkan pembicaraan tentang metode untuk meningkatkan keamanan jaringan. Pada artikel ini kita akan membahas tentang langkah-langkah keamanan tambahan dan mengatur jaringan nirkabel yang lebih aman.
Kata pengantar untuk bagian kedua
Dalam artikel sebelumnya Ada diskusi tentang masalah keamanan jaringan WiFi dan metode perlindungan langsung terhadap akses tidak sah. Langkah-langkah yang jelas untuk mencegah intersepsi lalu lintas telah dipertimbangkan: enkripsi, penyembunyian jaringan dan pemfilteran MAC, serta metode khusus, misalnya, memerangi Rogue AP. Namun, selain cara perlindungan langsung, ada juga cara tidak langsung. Ini adalah teknologi yang tidak hanya membantu meningkatkan kualitas komunikasi, namun juga lebih meningkatkan keamanan.
Dua fitur utama jaringan nirkabel: akses tanpa kontak jarak jauh dan radio udara sebagai media siaran untuk transmisi data, di mana setiap penerima sinyal dapat mendengarkan udara, dan pemancar apa pun dapat menyumbat jaringan dengan transmisi yang tidak berguna dan hanya gangguan radio. Hal ini, antara lain, tidak memberikan pengaruh terbaik pada keamanan jaringan nirkabel secara keseluruhan.
Anda tidak akan hidup hanya dengan keselamatan. Kami masih harus bekerja, yaitu bertukar data. Dan di sisi ini masih banyak keluhan lain tentang WiFi:
- kesenjangan dalam cakupan (“titik putih”);
- pengaruh sumber eksternal dan titik akses tetangga satu sama lain.
Akibatnya, akibat masalah yang dijelaskan di atas, kualitas sinyal menurun, koneksi kehilangan stabilitas, dan kecepatan pertukaran data menurun.
Tentu saja, penggemar jaringan kabel akan senang melihat bahwa saat menggunakan kabel dan, terutama, koneksi serat optik, masalah seperti itu tidak terjadi.
Timbul pertanyaan: apakah mungkin untuk menyelesaikan masalah ini tanpa menggunakan cara drastis seperti menghubungkan kembali semua orang yang tidak puas ke jaringan kabel?
Dari mana semua masalah itu bermula?
Pada saat lahirnya kantor dan jaringan WiFi lainnya, mereka paling sering mengikuti algoritma sederhana: mereka menempatkan satu titik akses di tengah perimeter untuk memaksimalkan jangkauan. Jika kekuatan sinyal tidak cukup untuk daerah terpencil, antena penguat ditambahkan ke titik akses. Sangat jarang titik akses kedua ditambahkan, misalnya, untuk kantor direktur jarak jauh. Mungkin itu saja perbaikannya.
Pendekatan ini mempunyai alasan tersendiri. Pertama, pada awal mula jaringan nirkabel, peralatannya mahal. Kedua, memasang lebih banyak titik akses berarti menghadapi pertanyaan yang tidak memiliki jawaban pada saat itu. Misalnya, bagaimana cara mengatur peralihan klien antar titik dengan lancar? Bagaimana cara mengatasi saling campur tangan? Bagaimana menyederhanakan dan mengefektifkan pengelolaan titik, misalnya penerapan larangan/izin secara simultan, pengawasan, dan sebagainya. Oleh karena itu, lebih mudah untuk mengikuti prinsipnya: semakin sedikit perangkat, semakin baik.
Pada saat yang sama, titik akses, yang terletak di bawah langit-langit, disiarkan dalam diagram lingkaran (lebih tepatnya, bulat).
Namun, bentuk arsitektur bangunan tidak cocok dengan diagram perambatan sinyal bulat. Oleh karena itu, di beberapa tempat sinyalnya hampir tidak terjangkau, sehingga perlu diperkuat, dan di beberapa tempat siarannya melampaui batas dan dapat diakses oleh pihak luar.
Gambar 1. Contoh cakupan menggunakan satu titik di kantor.
Catatan. Ini adalah perkiraan kasar yang tidak memperhitungkan hambatan propagasi, serta arah sinyal. Dalam praktiknya, bentuk diagram untuk model titik yang berbeda mungkin berbeda.
Situasi ini dapat diperbaiki dengan menggunakan lebih banyak titik akses.
Pertama, ini akan memungkinkan perangkat transmisi didistribusikan secara lebih efisien ke seluruh area ruangan.
Kedua, dimungkinkan untuk mengurangi level sinyal, mencegahnya melampaui batas kantor atau fasilitas lainnya. Dalam hal ini, untuk membaca lalu lintas jaringan nirkabel, Anda harus mendekati perimeter atau bahkan memasuki batasnya. Seorang penyerang bertindak dengan cara yang hampir sama untuk membobol jaringan kabel internal.
Gambar 2: Peningkatan jumlah titik akses memungkinkan distribusi cakupan yang lebih baik.
Mari kita lihat kedua gambar itu lagi. Yang pertama dengan jelas menunjukkan salah satu kerentanan utama jaringan nirkabel - sinyal dapat ditangkap pada jarak yang layak.
Pada gambar kedua situasinya tidak terlalu maju. Semakin banyak titik akses, semakin efektif area jangkauannya, dan pada saat yang sama, kekuatan sinyal hampir tidak melampaui batas, secara kasar, melampaui batas kantor, kantor, gedung, dan objek lain yang memungkinkan.
Penyerang harus menyelinap lebih dekat tanpa disadari untuk mencegat sinyal yang relatif lemah “dari jalan” atau “dari koridor” dan seterusnya. Untuk melakukan ini, Anda perlu mendekati gedung perkantoran, misalnya berdiri di bawah jendela. Atau cobalah masuk ke gedung kantor itu sendiri. Bagaimanapun, hal ini meningkatkan risiko tertangkap dalam pengawasan video dan diketahui oleh petugas keamanan. Ini secara signifikan mengurangi interval waktu serangan. Hal ini sulit disebut sebagai “kondisi ideal untuk peretasan”.
Tentu saja, masih ada satu lagi “dosa asal”: jaringan nirkabel disiarkan dalam jangkauan yang dapat diakses dan dapat disadap oleh semua klien. Memang benar, jaringan WiFi dapat dibandingkan dengan HUB Ethernet, di mana sinyal ditransmisikan ke semua port sekaligus. Untuk menghindari hal ini, idealnya setiap pasangan perangkat harus berkomunikasi pada saluran frekuensinya sendiri, yang tidak boleh diintervensi oleh orang lain.
Berikut ringkasan permasalahan utamanya. Mari pertimbangkan cara untuk menyelesaikannya.
Solusi: langsung dan tidak langsung
Seperti disebutkan dalam artikel sebelumnya, perlindungan sempurna tidak dapat dicapai dalam hal apa pun. Namun Anda dapat mempersulit pelaksanaan serangan, sehingga hasilnya tidak menguntungkan dibandingkan dengan usaha yang dikeluarkan.
Secara konvensional, peralatan pelindung dapat dibagi menjadi dua kelompok utama:
- teknologi perlindungan lalu lintas langsung seperti enkripsi atau pemfilteran MAC;
- teknologi yang awalnya ditujukan untuk tujuan lain, misalnya untuk meningkatkan kecepatan, namun pada saat yang sama secara tidak langsung mempersulit kehidupan penyerang.
Kelompok pertama dijelaskan pada bagian pertama. Namun kita juga mempunyai langkah-langkah tidak langsung tambahan dalam gudang senjata kita. Seperti disebutkan di atas, menambah jumlah titik akses memungkinkan Anda mengurangi level sinyal dan membuat area jangkauan menjadi seragam, dan ini membuat hidup penyerang menjadi lebih sulit.
Peringatan lainnya adalah peningkatan kecepatan transfer data mempermudah penerapan langkah-langkah keamanan tambahan. Misalnya, Anda dapat menginstal klien VPN di setiap laptop dan mentransfer data bahkan dalam jaringan lokal melalui saluran terenkripsi. Hal ini memerlukan sejumlah sumber daya, termasuk perangkat keras, namun tingkat perlindungan akan meningkat secara signifikan.
Di bawah ini kami memberikan penjelasan tentang teknologi yang dapat meningkatkan kinerja jaringan dan secara tidak langsung meningkatkan tingkat perlindungan.
Cara tidak langsung untuk meningkatkan perlindungan – apa yang dapat membantu?
Kemudi Klien
Fitur Pengarah Klien meminta perangkat klien untuk menggunakan pita 5GHz terlebih dahulu. Jika opsi ini tidak tersedia untuk klien, ia masih dapat menggunakan 2.4 GHz. Untuk jaringan lama dengan jumlah titik akses yang sedikit, sebagian besar pekerjaan dilakukan pada pita 2.4 GHz. Untuk rentang frekuensi 5 GHz, skema titik akses tunggal tidak dapat diterima dalam banyak kasus. Faktanya adalah bahwa sinyal dengan frekuensi lebih tinggi melewati dinding dan lebih buruk membelok di sekitar rintangan. Rekomendasi umum: untuk memastikan jaminan komunikasi pada pita 5 GHz, lebih baik bekerja saling berhadapan dari titik akses.
Dalam standar modern 802.11ac dan 802.11ax, karena jumlah saluran yang lebih banyak, dimungkinkan untuk memasang beberapa titik akses pada jarak yang lebih dekat, yang memungkinkan Anda mengurangi daya tanpa kehilangan, atau bahkan menambah, kecepatan transfer data. Akibatnya, penggunaan pita 5GHz mempersulit penyerang, namun meningkatkan kualitas komunikasi bagi klien yang berada dalam jangkauan.
Fungsi ini disajikan:
- di titik akses Nebula dan NebulaFlex;
- di firewall dengan fungsi pengontrol.
Penyembuhan Otomatis
Seperti disebutkan di atas, kontur keliling ruangan tidak sesuai dengan diagram lingkaran titik akses.
Untuk mengatasi masalah ini, pertama, Anda perlu menggunakan jumlah titik akses yang optimal, dan kedua, mengurangi pengaruh timbal balik. Namun jika Anda hanya mengurangi daya pemancar secara manual, interferensi langsung tersebut dapat menyebabkan gangguan komunikasi. Hal ini terutama akan terlihat jika satu atau lebih titik akses gagal.
Penyembuhan Otomatis memungkinkan Anda menyesuaikan daya dengan cepat tanpa kehilangan keandalan dan kecepatan transfer data.
Saat menggunakan fungsi ini, pengontrol memeriksa status dan fungsionalitas titik akses. Jika salah satunya tidak berfungsi, maka tetangganya diinstruksikan untuk meningkatkan kekuatan sinyal untuk mengisi “titik putih”. Setelah titik akses aktif dan berjalan kembali, titik-titik tetangga diinstruksikan untuk mengurangi kekuatan sinyal untuk mengurangi interferensi timbal balik.
Jelajah WiFi tanpa batas
Sekilas, teknologi ini hampir tidak bisa disebut meningkatkan tingkat keamanan; malah sebaliknya, teknologi ini memudahkan klien (termasuk penyerang) untuk beralih antar titik akses di jaringan yang sama. Namun jika dua atau lebih titik akses digunakan, Anda perlu memastikan pengoperasian yang mudah tanpa masalah yang tidak perlu. Selain itu, jika titik akses kelebihan beban, fungsi keamanan seperti enkripsi akan menjadi lebih buruk, terjadi penundaan dalam pertukaran data dan hal-hal tidak menyenangkan lainnya. Dalam hal ini, roaming tanpa batas sangat membantu dalam mendistribusikan beban secara fleksibel dan memastikan pengoperasian tanpa gangguan dalam mode terlindungi.
Mengonfigurasi ambang batas kekuatan sinyal untuk menghubungkan dan memutuskan sambungan klien nirkabel (Ambang Batas Sinyal atau Rentang Kekuatan Sinyal)
Saat menggunakan satu titik akses, fungsi ini pada prinsipnya tidak menjadi masalah. Namun asalkan beberapa titik yang dikendalikan oleh pengontrol beroperasi, dimungkinkan untuk mengatur distribusi klien secara seluler di berbagai AP. Perlu diingat bahwa fungsi pengontrol titik akses tersedia di banyak lini router dari Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Perangkat di atas memiliki fitur untuk memutuskan sambungan klien yang terhubung ke SSID dengan sinyal lemah. “Lemah” berarti sinyal berada di bawah ambang batas yang ditetapkan pada pengontrol. Setelah klien terputus, klien akan mengirimkan permintaan penyelidikan untuk menemukan jalur akses lain.
Misalnya klien terhubung ke titik akses dengan sinyal di bawah -65dBm, jika ambang pemutusan stasiun adalah -60dBm, dalam hal ini titik akses akan memutuskan klien dengan level sinyal ini. Klien sekarang memulai prosedur penyambungan ulang dan sudah terhubung ke titik akses lain dengan sinyal lebih besar dari atau sama dengan -60dBm (ambang batas sinyal stasiun).
Ini penting ketika menggunakan beberapa titik akses. Hal ini mencegah situasi di mana sebagian besar klien terakumulasi pada satu titik, sementara titik akses lainnya menganggur.
Selain itu, Anda dapat membatasi koneksi klien dengan sinyal lemah, yang kemungkinan besar berada di luar batas ruangan, misalnya, di balik tembok di kantor tetangga, yang juga memungkinkan kami untuk mempertimbangkan fungsi ini sebagai metode tidak langsung. perlindungan.
Beralih ke WiFi 6 sebagai salah satu cara untuk meningkatkan keamanan
Keuntungan pengobatan langsung telah kita bahas sebelumnya di artikel sebelumnya. “Fitur melindungi jaringan nirkabel dan kabel. Bagian 1 - Tindakan perlindungan langsung".
Jaringan WiFi 6 memberikan kecepatan transfer data yang lebih cepat. Di satu sisi, kelompok standar baru memungkinkan Anda meningkatkan kecepatan, di sisi lain, Anda dapat menempatkan lebih banyak titik akses di area yang sama. Standar baru ini memungkinkan lebih sedikit daya yang digunakan untuk transmisi pada kecepatan lebih tinggi.
Peningkatan kecepatan transfer data.
Transisi ke WiFi 6 melibatkan peningkatan kecepatan pertukaran hingga 11 Gb/s (tipe modulasi 1024-QAM, saluran 160 MHz). Sementara itu, perangkat baru yang mendukung WiFi 6 memiliki kinerja lebih baik. Salah satu masalah utama saat menerapkan langkah-langkah keamanan tambahan, seperti saluran VPN untuk setiap pengguna, adalah penurunan kecepatan. Dengan WiFi 6, penerapan sistem keamanan tambahan akan lebih mudah.
Mewarnai BSS
Kami menulis sebelumnya bahwa cakupan yang lebih seragam dapat mengurangi penetrasi sinyal WiFi di luar batas. Namun dengan semakin bertambahnya jumlah titik akses, bahkan penggunaan Penyembuhan Otomatis mungkin tidak cukup, karena lalu lintas “asing” dari titik tetangga masih akan menembus area penerimaan.
Saat menggunakan BSS Coloring, titik akses meninggalkan tanda khusus (warna) pada paket datanya. Hal ini memungkinkan Anda untuk mengabaikan pengaruh perangkat transmisi tetangga (titik akses).
Peningkatan MU-MIMO
802.11ax juga memiliki peningkatan penting pada teknologi MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO memungkinkan titik akses untuk berkomunikasi dengan beberapa perangkat secara bersamaan. Namun pada standar sebelumnya, teknologi ini hanya dapat mendukung grup yang terdiri dari empat klien pada frekuensi yang sama. Hal ini membuat transmisi lebih mudah, tetapi penerimaan tidak. WiFi 6 menggunakan MIMO multi-pengguna 8x8 untuk transmisi dan penerimaan.
Catatan. 802.11ax meningkatkan ukuran grup MU-MIMO hilir, memberikan kinerja jaringan WiFi yang lebih efisien. Uplink MIMO multi-pengguna adalah tambahan baru pada 802.11ax.
OFDMA (Akses ganda pembagian frekuensi ortogonal)
Metode baru akses dan kontrol saluran ini dikembangkan berdasarkan teknologi yang telah terbukti dalam teknologi seluler LTE.
OFDMA memungkinkan lebih dari satu sinyal dikirim pada saluran atau saluran yang sama pada waktu yang sama dengan menetapkan interval waktu untuk setiap transmisi dan menerapkan pembagian frekuensi. Hasilnya, kecepatan tidak hanya meningkat karena pemanfaatan saluran yang lebih baik, namun keamanan juga meningkat.
Ringkasan
Jaringan WiFi menjadi lebih aman setiap tahunnya. Penggunaan teknologi modern memungkinkan kita mengatur tingkat perlindungan yang dapat diterima.
Metode perlindungan langsung berupa enkripsi lalu lintas telah terbukti cukup baik. Jangan lupa tentang tindakan tambahan: memfilter berdasarkan MAC, menyembunyikan ID jaringan, Deteksi Rogue AP (Penahanan AP Nakal).
Namun ada juga tindakan tidak langsung yang meningkatkan kerja sama perangkat nirkabel dan meningkatkan kecepatan pertukaran data.
Penggunaan teknologi baru memungkinkan pengurangan level sinyal dari titik-titik, menjadikan jangkauan lebih seragam, yang berdampak baik pada kesehatan seluruh jaringan nirkabel secara keseluruhan, termasuk keamanan.
Akal sehat menyatakan bahwa segala cara adalah baik untuk meningkatkan keselamatan: baik langsung maupun tidak langsung. Kombinasi ini memungkinkan Anda membuat hidup penyerang sesulit mungkin.
Tautan yang bermanfaat:
- Fitur perlindungan jaringan nirkabel dan kabel. Bagian 1 - Tindakan perlindungan langsung
Sumber: www.habr.com