Við höldum áfram samtalinu um aðferðir til að auka netöryggi. Í þessari grein munum við tala um frekari öryggisráðstafanir og skipuleggja öruggari þráðlaus net.
Formáli að seinni hluta
Í fyrri greininni Rætt var um öryggisvandamál þráðlaus netkerfis og beinar aðferðir til varnar gegn óviðkomandi aðgangi. Skoðaðar voru augljósar ráðstafanir til að koma í veg fyrir umferðarhlerun: dulkóðun, netfelur og MAC-síun, auk sérstakra aðferða, til dæmis, gegn Rogue AP. Hins vegar, auk beinna verndaraðferða, eru einnig til óbeinar. Þetta er tækni sem ekki aðeins hjálpar til við að bæta gæði samskipta, heldur einnig til að bæta öryggi enn frekar.
Tveir megineiginleikar þráðlausra neta: fjarlægur snertilaus aðgangur og útvarpsloft sem útsendingarmiðill fyrir gagnaflutning, þar sem hvaða merkjamóttakandi sem er getur hlustað á loftið og hvaða sendir sem er getur stíflað netið með gagnslausum sendingum og einfaldlega útvarpstruflunum. Þetta hefur meðal annars ekki bestu áhrif á heildaröryggi þráðlausa netsins.
Þú munt ekki lifa af öryggi einu saman. Við verðum samt að vinna einhvern veginn, það er að skiptast á gögnum. Og hér til hliðar eru margar aðrar kvartanir um WiFi:
- eyður í þekju ("hvítir blettir");
- влияние внешних источников и соседних точек доступа друг на друга.
Þar af leiðandi, vegna vandamálanna sem lýst er hér að ofan, minnka gæði merksins, tengingin missir stöðugleika og gagnaskiptahraði lækkar.
Разумеется, поклонники проводных сетей с удовольствием отметят, что при использовании кабельных и, тем более, оптоволоконных соединений, таких проблем не наблюдается.
Spurningin vaknar: Er hægt að leysa þessi mál á einhvern hátt án þess að grípa til róttækra ráðstafana eins og að tengja allt óánægt fólk aftur við hlerunarnetið?
Hvar byrja öll vandamálin?
Við fæðingu skrifstofu og annarra WiFi netkerfa fylgdu þeir oftast einföldu reikniriti: þeir settu einn aðgangsstað í miðju jaðarsins til að hámarka umfang. Ef ekki var nægur merkistyrkur fyrir afskekkt svæði var magnaraloftneti bætt við aðgangsstaðinn. Mjög sjaldan var öðrum aðgangsstað bætt við, til dæmis fyrir skrifstofu fjarstýrðar. Það eru líklega allar endurbæturnar.
Þessi nálgun átti sínar ástæður. Í fyrsta lagi, í upphafi þráðlausra neta, var búnaðurinn fyrir þau dýr. Í öðru lagi þýddi það að setja upp fleiri aðgangsstaði að standa frammi fyrir spurningum sem engin svör bárust á þeim tíma. Til dæmis, hvernig á að skipuleggja óaðfinnanlega skipta viðskiptavina á milli punkta? Hvernig á að bregðast við gagnkvæmum truflunum? Hvernig á að einfalda og hagræða stjórnun punkta, til dæmis samtímis beitingu banna/heimilda, eftirlit og svo framvegis. Þess vegna var miklu auðveldara að fylgja meginreglunni: því færri tæki, því betra.
Á sama tíma sendir aðgangsstaðurinn, sem staðsettur er undir loftinu, út í hringlaga (nánar tiltekið, kringlótt) skýringarmynd.
Hins vegar passa lögun byggingarlistar ekki mjög vel inn í hringlaga útbreiðslu skýringarmynda. Því nær merki sums staðar nánast ekki og þarf að magna það og sums staðar fer útsendingin út fyrir jaðarinn og verður aðgengileg utanaðkomandi.
Mynd 1. Dæmi um umfjöllun með einum punkti á skrifstofunni.
Athugið. Þetta er gróf nálgun sem tekur ekki tillit til útbreiðsluhindrana, sem og stefnu merkisins. Í reynd geta lögun skýringarmynda fyrir mismunandi punktlíkön verið mismunandi.
Hægt er að bæta ástandið með því að nota fleiri aðgangsstaði.
Í fyrsta lagi mun þetta gera kleift að dreifa senditækjum á skilvirkari hátt yfir herbergissvæðið.
Во-вторых, появляется возможность снизить уровень сигнала, не позволяя ему выходить за периметр офиса или другого объекта. В этом случае, чтобы считать трафик беспроводной сети, нужно почти вплотную приблизиться к периметру или даже войти в его пределы. Примерно так же действует злоумышленник, чтобы вклиниться во внутреннюю проводную сеть.
Рисунок 2. Увеличение числа точек доступа позволяет лучше распределить покрытие.
Skoðum báðar myndirnar aftur. Sú fyrsta sýnir greinilega einn af helstu veikleikum þráðlauss nets - merkið er hægt að ná í ágætis fjarlægð.
Á seinni myndinni er staðan ekki svo langt komin. Því fleiri aðgangsstaðir, því áhrifaríkari er þekjusvæðið og á sama tíma nær merkisaflið nánast ekki út fyrir jaðarinn, í grófum dráttum, út fyrir mörk skrifstofu, skrifstofu, byggingar og annarra hugsanlegra hluta.
Злоумышленнику придется как-то незаметно подкрадываться поближе, чтобы перехватить относительно слабый сигнал "с улицы" или "с коридора" и так далее. Для этого надо вплотную приблизиться к офисному зданию, чтобы, например, встать под окнами. Либо пытаться проникнуть в само офисное здание. В любом случае это повышает риск «засветиться» на видеонаблюдении, попасть на глаза охране. При этом значительно сокращается временной интервал для атаки. Это уже трудно назвать "идеальными условиями для взлома".
Auðvitað er enn ein „frumsyndin“ eftir: þráðlaus net send út á aðgengilegu sviði sem allir viðskiptavinir geta hlerað. Reyndar er hægt að líkja WiFi neti við Ethernet HUB, þar sem merkið er sent til allra tengi í einu. Til að forðast þetta ætti helst hvert tækjapar að hafa samskipti á sinni eigin tíðnirás, sem enginn annar ætti að trufla.
Hér er yfirlit yfir helstu vandamálin. Við skulum íhuga leiðir til að leysa þau.
Úrræði: bein og óbein
Eins og áður hefur komið fram í fyrri grein er ekki hægt að ná fullkominni vernd í öllum tilvikum. En þú getur gert það eins erfitt og mögulegt er að framkvæma árás, sem gerir niðurstöðuna óarðbæra miðað við áreynsluna.
Venjulega er hægt að skipta hlífðarbúnaði í tvo meginhópa:
- bein umferðarverndartækni eins og dulkóðun eða MAC síun;
- tækni sem upphaflega var ætluð í öðrum tilgangi, til dæmis til að auka hraða, en gera á sama tíma óbeint líf árásarmanns erfiðara.
Fyrsta hópnum var lýst í fyrri hlutanum. En við höfum líka óbeinar aðgerðir til viðbótar í vopnabúrinu okkar. Eins og getið er hér að ofan gerir fjölgun aðgangsstaða þér kleift að draga úr merkjastigi og gera útbreiðslusvæðið einsleitt og það gerir lífið erfiðara fyrir árásarmanninn.
Annar fyrirvari er að aukinn gagnaflutningshraði gerir það auðveldara að beita viðbótaröryggisráðstöfunum. Til dæmis geturðu sett upp VPN viðskiptavin á hverja fartölvu og flutt gögn jafnvel innan staðarnets í gegnum dulkóðaðar rásir. Þetta mun krefjast nokkurra úrræða, þar á meðal vélbúnaðar, en verndarstigið mun aukast verulega.
Hér að neðan gefum við lýsingu á tækni sem getur bætt afköst netkerfisins og aukið óbeint verndarstig.
Óbein leið til að bæta vernd - hvað getur hjálpað?
Stýring viðskiptavina
Функция Client Steering предлагает клиентским устройствам вначале использовать диапазон 5ГГц. Если эта возможность клиенту недоступна, он всё равно сможет использовать 2.4ГГц. Для устаревших сетей с малым числом точек доступа основная работа строится в диапазоне 2.4ГГц. Для частотного диапазона 5ГГц схема с одной точкой доступа во многих случаях окажется неприемлема. Дело в том, что сигнал с большей частотой хуже проходит сквозь стены и огибает препятствия. Обычная рекомендация: для обеспечения гарантированной связи в диапазоне 5ГГц — предпочтительнее работать в прямой видимости от точки доступа.
В современных стандартах 802.11aс и 802.11ax за счет большего числа каналов можно установить несколько точек доступа на более близком расстоянии, что позволяет снизить мощность, при этом не потеряв, а даже выиграв в скорости передачи данных. В итоге применение диапазона 5ГГц усложняет жизнь злоумышленников, но улучшает качество связи для клиентов, находящихся в пределах доступности.
Данная функция представлена:
- á Nebula og NebulaFlex aðgangsstöðum;
- í eldveggjum með stýringarvirkni.
Sjálfvirk heilun
Как было сказано выше, контуры периметра помещения плохо вписываются в округлые диаграммы точек доступа.
Til að leysa þetta vandamál þarftu í fyrsta lagi að nota besta fjölda aðgangsstaða og í öðru lagi draga úr gagnkvæmum áhrifum. En ef þú dregur einfaldlega úr krafti sendanna handvirkt getur slík bein truflun leitt til versnandi samskipta. Þetta verður sérstaklega áberandi ef einn eða fleiri aðgangsstaðir bila.
Auto Healing gerir þér kleift að stilla kraftinn fljótt án þess að tapa áreiðanleika og gagnaflutningshraða.
При использовании этой функции контроллер проверяет состояние и работоспособность точек доступа. Если одна из них не работает, то соседние получают указание увеличить мощность сигнала, чтобы заполнить «белое пятно». После того как точка доступа снова заработала, соседние точки получают указание уменьшить мощность сигнала, чтобы снизить уровень взаимных помех.
Óaðfinnanlegur þráðlaus reiki
Við fyrstu sýn er varla hægt að kalla þessa tækni að auka öryggi, heldur þvert á móti auðveldar hún viðskiptavinum (þar á meðal árásarmanni) að skipta á milli aðgangsstaða á sama neti. En ef tveir eða fleiri aðgangsstaðir eru notaðir þarftu að tryggja þægilegan rekstur án óþarfa vandamála. Að auki, ef aðgangsstaðurinn er ofhlaðinn, tekst hann verr við öryggisaðgerðir eins og dulkóðun, tafir á gagnaskiptum og annað óþægilegt. Í þessu sambandi er óaðfinnanlegur reiki mikil hjálp til að dreifa álaginu á sveigjanlegan hátt og tryggja samfelldan rekstur í vernduðum ham.
Настройка пороговых значений уровня сигнала для подключения и отключения беспроводных клиентов (Signal Threshold или Signal Strength Range)
Þegar einn aðgangsstaður er notaður skiptir þessi aðgerð í grundvallaratriðum ekki máli. En að því tilskildu að nokkrir punktar sem stjórnað er af stjórnandi starfi, er mögulegt að skipuleggja farsímadreifingu viðskiptavina yfir mismunandi AP. Það er þess virði að minna á að aðgangsstýringaraðgerðir eru fáanlegar í mörgum línum af beinum frá Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Ofangreind tæki eru með eiginleika til að aftengja biðlara sem er tengdur við SSID með veikt merki. „Veik“ þýðir að merkið er undir þröskuldinum sem stillt er á stjórnandann. Eftir að viðskiptavinurinn hefur verið aftengdur mun hann senda rannsóknarbeiðni til að finna annan aðgangsstað.
Til dæmis, viðskiptavinur sem er tengdur við aðgangsstað með merki undir -65dBm, ef aftengingarþröskuldur stöðvar er -60dBm, í þessu tilviki mun aðgangsstaðurinn aftengja viðskiptavininn með þessu merkjastigi. Viðskiptavinurinn byrjar nú endurtengingarferlið og mun nú þegar tengjast öðrum aðgangsstað með merki sem er stærra en eða jafnt og -60dBm (stöðvarmerkjaþröskuldur).
Þetta er mikilvægt þegar þú notar marga aðgangsstaði. Þetta kemur í veg fyrir aðstæður þar sem flestir viðskiptavinir safnast upp á einum stað á meðan aðrir aðgangsstaðir eru aðgerðalausir.
Помимо этого, можно ограничить подключение клиентов со слабым сигналом, с большой вероятностью находящихся за периметром помещения, к примеру, за стеной в соседнем офисе, что также позволяет рассматривать данную функцию как косвенный метод защиты.
Að skipta yfir í WiFi 6 sem ein af leiðunum til að bæta öryggi
Við höfum þegar talað um kosti beinna úrræða fyrr í fyrri greininni. „Eiginleikar til að vernda þráðlaus og þráðlaus netkerfi. Hluti 1 - Beinar verndarráðstafanir".
WiFi 6 net veita hraðari gagnaflutningshraða. Annars vegar gerir nýi staðlahópurinn þér kleift að auka hraða, hins vegar er hægt að setja enn fleiri aðgangsstaði á sama svæði. Nýi staðallinn gerir kleift að nota minna afl til að senda á meiri hraða.
Aukinn gagnaflutningshraði.
Umskiptin yfir í WiFi 6 felur í sér að auka skiptihraðann í 11Gb/s (mótunargerð 1024-QAM, 160 MHz rásir). Á sama tíma hafa ný tæki sem styðja WiFi 6 betri afköst. Eitt helsta vandamálið við innleiðingu viðbótaröryggisráðstafana, svo sem VPN rás fyrir hvern notanda, er hraðafall. Með WiFi 6 verður auðveldara að innleiða viðbótaröryggiskerfi.
BSS litarefni
Ранее мы писали, что более равномерное покрытие позволяет снизить проникновение сигнала WiFi за периметр. Но при дальнейшем росте числа точек доступа даже использование Auto Healing может быть недостаточно, так как «чужой» трафик от соседней точки всё равно будет проникать в зону приема.
Þegar BSS litarefni er notað skilur aðgangsstaðurinn eftir sérmerki (litir) gagnapakkana sína. Þetta gerir þér kleift að hunsa áhrif nálægra senditækja (aðgangsstaða).
Endurbætt MU-MIMO
802.11ax hefur einnig mikilvægar endurbætur á MU-MIMO (Multi-User - Multiple Input Multiple Output) tækni. MU-MIMO gerir aðgangsstaðnum kleift að eiga samskipti við mörg tæki samtímis. En í fyrri staðlinum gat þessi tækni aðeins stutt við hópa með fjórum viðskiptavinum á sömu tíðni. Þetta gerði sendingu auðveldari, en ekki móttöku. WiFi 6 notar 8x8 fjölnotenda MIMO fyrir sendingu og móttöku.
Ath. 802.11ax eykur stærð downstream MU-MIMO hópa, sem veitir skilvirkari WiFi netafköst. Fjölnotenda MIMO uplink er ný viðbót við 802.11ax.
OFDMA (Orthogonal frequency-division multiple access)
Þessi nýja aðferð við rásaaðgang og stjórnun er þróuð byggð á tækni sem þegar hefur verið sannað í LTE farsímatækni.
OFDMA gerir kleift að senda fleiri en eitt merki á sömu línu eða rás á sama tíma með því að úthluta tímabili fyrir hverja sendingu og beita tíðniskiptingu. Fyrir vikið eykst hraðinn ekki bara vegna betri nýtingar sundsins heldur eykst öryggið.
Yfirlit
Þráðlaus netkerfi verða öruggari með hverju ári. Notkun nútímatækni gerir okkur kleift að skipuleggja viðunandi verndarstig.
Прямые методы защиты в виде шифрования трафика весьма неплохо себя зарекомендовали. Не забываем и про дополнительные меры: фильтрация по MAC, скрытие идентификатора сети, Rogue AP Detection (Rogue AP Containment).
En það eru líka óbeinar aðgerðir sem bæta samrekstur þráðlausra tækja og auka hraða gagnaskipta.
Notkun nýrrar tækni gerir það mögulegt að draga úr merkjastigi frá punktum, sem gerir umfangið einsleitara, sem hefur góð áhrif á heilsu alls þráðlausa netsins í heild, þar með talið öryggi.
Skynsemi segir til um að allar leiðir séu góðar til að bæta öryggi: bæði bein og óbein. Þessi samsetning gerir þér kleift að gera árásarmanni lífið eins erfitt og mögulegt er.
Gagnlegar hlekkir:
- Eiginleikar verndar þráðlausra og þráðlausra neta. Hluti 1 - Beinar verndarráðstafanir
Heimild: www.habr.com