Continuiamo la conversazione sui metodi per aumentare la sicurezza della rete. In questo articolo parleremo di misure di sicurezza aggiuntive e di organizzazione di reti wireless più sicure.
Prefazione alla seconda parte
In un precedente articolo Si è discusso dei problemi di sicurezza della rete WiFi e dei metodi diretti di protezione contro gli accessi non autorizzati. Sono state prese in considerazione misure evidenti per prevenire l'intercettazione del traffico: crittografia, occultamento della rete e filtraggio MAC, nonché metodi speciali, ad esempio la lotta contro i Rogue AP. Tuttavia, oltre ai metodi di protezione diretti, esistono anche quelli indiretti. Si tratta di tecnologie che non solo aiutano a migliorare la qualità della comunicazione, ma migliorano anche ulteriormente la sicurezza.
Due caratteristiche principali delle reti wireless: accesso remoto senza contatto e radio come mezzo di trasmissione per la trasmissione di dati, dove qualsiasi ricevitore di segnale può ascoltare l'aria e qualsiasi trasmettitore può intasare la rete con trasmissioni inutili e semplici interferenze radio. Ciò, tra l'altro, non ha l'effetto migliore sulla sicurezza complessiva della rete wireless.
Non vivrai di sola sicurezza. Dobbiamo ancora lavorare in qualche modo, cioè scambiare dati. E da questo lato ci sono tante altre lamentele sul WiFi:
- lacune nella copertura (“punti bianchi”);
- influenza reciproca di fonti esterne e punti di accesso vicini.
Di conseguenza, a causa dei problemi sopra descritti, la qualità del segnale diminuisce, la connessione perde stabilità e la velocità di scambio dei dati diminuisce.
Naturalmente, gli appassionati di reti cablate saranno lieti di notare che quando si utilizzano connessioni via cavo e, soprattutto, in fibra ottica, tali problemi non si osservano.
Sorge la domanda: è possibile in qualche modo risolvere questi problemi senza ricorrere a mezzi drastici come ricollegare tutte le persone insoddisfatte alla rete cablata?
Dove iniziano tutti i problemi?
Al momento della nascita degli uffici e di altre reti WiFi, molto spesso seguivano un semplice algoritmo: posizionavano un unico punto di accesso al centro del perimetro per massimizzare la copertura. Se la potenza del segnale non era sufficiente per le aree remote, al punto di accesso veniva aggiunta un'antenna amplificatrice. Molto raramente veniva aggiunto un secondo punto di accesso, ad esempio, per l’ufficio di un direttore remoto. Probabilmente sono tutti i miglioramenti.
Questo approccio aveva le sue ragioni. In primo luogo, agli albori delle reti wireless, le loro attrezzature erano costose. In secondo luogo, installare più punti di accesso significava affrontare domande che in quel momento non avevano risposta. Ad esempio, come organizzare il passaggio continuo del client da un punto all'altro? Come gestire le interferenze reciproche? Come semplificare e snellire la gestione dei punti, ad esempio applicazione contemporanea di divieti/autorizzazioni, monitoraggio, ecc. Pertanto, è stato molto più semplice seguire il principio: meno dispositivi, meglio è.
Allo stesso tempo, il punto di accesso, situato sotto il soffitto, trasmette in uno schema circolare (più precisamente rotondo).
Tuttavia, le forme degli edifici architettonici non si adattano molto bene ai diagrammi rotondi di propagazione del segnale. Pertanto, in alcuni punti il segnale quasi non arriva, e necessita di essere amplificato, e in alcuni punti la trasmissione va oltre il perimetro e diventa accessibile agli estranei.
Figura 1. Esempio di copertura utilizzando un unico punto in ufficio.
Nota. Si tratta di un'approssimazione approssimativa che non tiene conto degli ostacoli alla propagazione, né della direzionalità del segnale. In pratica, le forme dei diagrammi per diversi modelli puntuali possono differire.
La situazione può essere migliorata utilizzando più punti di accesso.
In primo luogo, ciò consentirà una distribuzione più efficiente dei dispositivi trasmittenti nell'area della stanza.
In secondo luogo, diventa possibile ridurre il livello del segnale, impedendogli di oltrepassare il perimetro di un ufficio o di un'altra struttura. In questo caso, per leggere il traffico della rete wireless, è necessario avvicinarsi quasi al perimetro o addirittura entrare nei suoi limiti. Un utente malintenzionato agisce più o meno allo stesso modo per penetrare in una rete cablata interna.
Figura 2: L'aumento del numero di punti di accesso consente una migliore distribuzione della copertura.
Guardiamo di nuovo entrambe le immagini. Il primo mostra chiaramente una delle principali vulnerabilità di una rete wireless: il segnale può essere catturato a una distanza decente.
Nella seconda immagine la situazione non è così avanzata. Più punti di accesso, più efficace è l'area di copertura e allo stesso tempo la potenza del segnale quasi non si estende oltre il perimetro, grosso modo, oltre i confini dell'ufficio, dell'ufficio, dell'edificio e di altri possibili oggetti.
L'aggressore dovrà in qualche modo avvicinarsi inosservato per intercettare un segnale relativamente debole “dalla strada” o “dal corridoio” e così via. Per fare ciò, è necessario avvicinarsi all'edificio degli uffici, ad esempio, per stare sotto le finestre. Oppure prova ad entrare nell'edificio degli uffici stesso. In ogni caso, ciò aumenta il rischio di essere scoperti dalla videosorveglianza e di essere notati dalla sicurezza. Ciò riduce significativamente l'intervallo di tempo per un attacco. Queste difficilmente possono essere definite “condizioni ideali per l’hacking”.
Naturalmente rimane ancora un “peccato originale”: le reti wireless trasmettono in un raggio accessibile che può essere intercettato da tutti i client. Infatti, una rete WiFi può essere paragonata ad un HUB Ethernet, dove il segnale viene trasmesso a tutte le porte contemporaneamente. Per evitare ciò, idealmente ogni coppia di dispositivi dovrebbe comunicare sul proprio canale di frequenza, con il quale nessun altro dovrebbe interferire.
Ecco una sintesi dei principali problemi. Consideriamo i modi per risolverli.
Rimedi: diretti e indiretti
Come già accennato nell’articolo precedente, non è possibile in ogni caso raggiungere una protezione perfetta. Ma puoi rendere il più difficile possibile l'esecuzione di un attacco, rendendo il risultato non redditizio in relazione allo sforzo speso.
Convenzionalmente i dispositivi di protezione possono essere suddivisi in due gruppi principali:
- tecnologie di protezione diretta del traffico come crittografia o filtraggio MAC;
- tecnologie originariamente destinate ad altri scopi, ad esempio per aumentare la velocità, ma allo stesso tempo indirettamente rendono più difficile la vita di un aggressore.
Il primo gruppo è stato descritto nella prima parte. Ma nel nostro arsenale abbiamo anche ulteriori misure indirette. Come accennato in precedenza, aumentare il numero di punti di accesso consente di ridurre il livello del segnale e rendere uniforme l’area di copertura, e questo rende la vita più difficile a un malintenzionato.
Un altro avvertimento è che l’aumento della velocità di trasferimento dei dati rende più semplice l’applicazione di misure di sicurezza aggiuntive. Puoi ad esempio installare un client VPN su ogni laptop e trasferire i dati anche all'interno di una rete locale tramite canali crittografati. Ciò richiederà alcune risorse, incluso l'hardware, ma il livello di protezione aumenterà in modo significativo.
Di seguito forniamo una descrizione delle tecnologie che possono migliorare le prestazioni della rete e aumentare indirettamente il grado di protezione.
Mezzi indiretti per migliorare la protezione: cosa può aiutare?
Guida del cliente
La funzione Controllo client richiede ai dispositivi client di utilizzare prima la banda a 5 GHz. Se questa opzione non è disponibile per il cliente, potrà comunque utilizzare 2.4 GHz. Per le reti legacy con un numero limitato di punti di accesso, la maggior parte del lavoro viene svolto nella banda da 2.4 GHz. Per la gamma di frequenze di 5 GHz, in molti casi lo schema di un unico punto di accesso sarà inaccettabile. Il fatto è che un segnale con una frequenza più alta passa attraverso i muri e si piega peggio attorno agli ostacoli. La solita raccomandazione: per garantire la comunicazione nella banda 5 GHz è preferibile lavorare in linea d'aria dal punto di accesso.
Negli standard moderni 802.11ac e 802.11ax, a causa del maggior numero di canali, è possibile installare più punti di accesso a una distanza più ravvicinata, il che consente di ridurre la potenza senza perdere, o addirittura aumentare, la velocità di trasferimento dei dati. Di conseguenza, l’utilizzo della banda a 5 GHz rende la vita più difficile agli aggressori, ma migliora la qualità della comunicazione per i client a portata di mano.
Questa funzione è presentata:
- presso i punti di accesso Nebula e NebulaFlex;
- nei firewall con funzione di controller.
Guarigione automatica
Come accennato in precedenza, i contorni del perimetro della stanza non si adattano bene ai diagrammi rotondi dei punti di accesso.
Per risolvere questo problema, in primo luogo, è necessario utilizzare il numero ottimale di punti di accesso e, in secondo luogo, ridurre l'influenza reciproca. Ma se si riduce semplicemente manualmente la potenza dei trasmettitori, tale interferenza diretta può portare a un deterioramento della comunicazione. Ciò sarà particolarmente evidente se uno o più punti di accesso falliscono.
La riparazione automatica consente di regolare rapidamente la potenza senza perdere affidabilità e velocità di trasferimento dei dati.
Quando si utilizza questa funzione, il controller controlla lo stato e la funzionalità dei punti di accesso. Se uno di essi non funziona, a quelli vicini viene chiesto di aumentare la potenza del segnale per riempire il “punto bianco”. Una volta che il punto di accesso è di nuovo attivo e funzionante, ai punti vicini viene richiesto di ridurre la potenza del segnale per ridurre le interferenze reciproche.
Roaming WiFi senza interruzioni
A prima vista, questa tecnologia difficilmente può essere definita un aumento del livello di sicurezza; al contrario, rende più semplice per un client (compreso un aggressore) passare da un punto di accesso all'altro della stessa rete. Ma se vengono utilizzati due o più punti di accesso, è necessario garantire un funzionamento conveniente senza problemi inutili. Inoltre, se il punto di accesso è sovraccarico, le funzioni di sicurezza come la crittografia peggiorano, si verificano ritardi nello scambio di dati e altri eventi spiacevoli. A questo proposito, il roaming continuo è di grande aiuto per distribuire in modo flessibile il carico e garantire un funzionamento ininterrotto in modalità protetta.
Configurazione delle soglie di potenza del segnale per la connessione e la disconnessione dei client wireless (Soglia del segnale o Intervallo della potenza del segnale)
Quando si utilizza un unico punto di accesso, questa funzione, in linea di principio, non ha importanza. Ma a condizione che siano operativi più punti controllati da un controller, è possibile organizzare la distribuzione mobile dei client su diversi AP. Vale la pena ricordare che le funzioni del controller del punto di accesso sono disponibili in molte linee di router Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
I dispositivi di cui sopra dispongono di una funzionalità per disconnettere un client connesso a un SSID con un segnale debole. “Debole” significa che il segnale è al di sotto della soglia impostata sul controller. Dopo che il client è stato disconnesso, invierà una richiesta di sonda per trovare un altro punto di accesso.
Ad esempio, un client connesso ad un access point con un segnale inferiore a -65dBm, se la soglia di disconnessione della stazione è -60dBm, in questo caso l'access point disconnetterà il client con questo livello di segnale. Il client ora avvia la procedura di riconnessione e si collegherà già ad un altro access point con segnale maggiore o uguale a -60dBm (soglia segnale della stazione).
Questo è importante quando si utilizzano più punti di accesso. Ciò impedisce una situazione in cui la maggior parte dei client si accumula in un punto, mentre gli altri punti di accesso sono inattivi.
Inoltre, è possibile limitare la connessione dei clienti con segnale debole, che molto probabilmente si trovano fuori dal perimetro della stanza, ad esempio dietro il muro di un ufficio vicino, il che ci consente anche di considerare questa funzione come un metodo indiretto di protezione.
Passare a WiFi 6 come uno dei modi per migliorare la sicurezza
Dei vantaggi dei rimedi diretti abbiamo già parlato nel precedente articolo. “Caratteristiche di protezione delle reti wireless e cablate. Parte 1 - Misure dirette di protezione".
Le reti WiFi 6 forniscono velocità di trasferimento dati più elevate. Il nuovo gruppo di standard da un lato consente di aumentare la velocità, dall'altro è possibile posizionare ancora più punti di accesso nella stessa area. Il nuovo standard consente di utilizzare meno potenza per trasmettere a velocità più elevate.
Maggiore velocità di trasferimento dati.
Il passaggio al WiFi 6 prevede l'incremento della velocità di scambio a 11Gb/s (modulazione tipo 1024-QAM, canali 160 MHz). Allo stesso tempo, i nuovi dispositivi che supportano WiFi 6 hanno prestazioni migliori. Uno dei problemi principali quando si implementano misure di sicurezza aggiuntive, come un canale VPN per ciascun utente, è il calo di velocità. Con WiFi 6 sarà più semplice implementare ulteriori sistemi di sicurezza.
Colorazione BSS
Abbiamo scritto in precedenza che una copertura più uniforme può ridurre la penetrazione del segnale WiFi oltre il perimetro. Ma con l’ulteriore aumento del numero dei punti di accesso, anche l’uso dell’Auto Healing potrebbe non essere sufficiente, poiché il traffico “straniero” proveniente da un punto vicino penetrerà comunque nell’area di ricezione.
Quando si utilizza BSS Coloring, il punto di accesso lascia segni speciali (colori) sui suoi pacchetti di dati. Ciò consente di ignorare l'influenza dei dispositivi trasmittenti vicini (punti di accesso).
MU-MIMO migliorato
802.11ax apporta inoltre importanti miglioramenti alla tecnologia MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO consente al punto di accesso di comunicare con più dispositivi contemporaneamente. Ma nello standard precedente questa tecnologia poteva supportare solo gruppi di quattro client sulla stessa frequenza. Ciò ha reso più semplice la trasmissione, ma non la ricezione. WiFi 6 utilizza MIMO multiutente 8x8 per trasmissione e ricezione.
Nota. 802.11ax aumenta la dimensione dei gruppi MU-MIMO downstream, fornendo prestazioni di rete WiFi più efficienti. L'uplink MIMO multiutente è una nuova aggiunta a 802.11ax.
OFDMA (accesso multiplo a divisione di frequenza ortogonale)
Questo nuovo metodo di accesso e controllo del canale è sviluppato sulla base di tecnologie già collaudate nella tecnologia cellulare LTE.
OFDMA consente di inviare più di un segnale sulla stessa linea o canale contemporaneamente assegnando un intervallo di tempo a ciascuna trasmissione e applicando la divisione di frequenza. Di conseguenza, non solo aumenta la velocità grazie a un migliore utilizzo del canale, ma aumenta anche la sicurezza.
Riassunto
Le reti WiFi stanno diventando ogni anno più sicure. L'uso delle moderne tecnologie ci consente di organizzare un livello di protezione accettabile.
I metodi diretti di protezione sotto forma di crittografia del traffico si sono dimostrati abbastanza efficaci. Non dimenticare le misure aggiuntive: filtraggio per MAC, occultamento dell'ID di rete, Rogue AP Detection (Rogue AP Containment).
Ma esistono anche misure indirette che migliorano il funzionamento congiunto dei dispositivi wireless e aumentano la velocità dello scambio di dati.
L'utilizzo di nuove tecnologie consente di ridurre il livello del segnale dai punti, rendendo la copertura più uniforme, il che ha un buon impatto sulla salute dell'intera rete wireless nel suo insieme, compresa la sicurezza.
Il buon senso impone che tutti i mezzi siano buoni per migliorare la sicurezza: sia diretti che indiretti. Questa combinazione ti consente di rendere la vita il più difficile possibile a un aggressore.
Link utili:
- Caratteristiche di protezione delle reti wireless e cablate. Parte 1 – Misure dirette di protezione
Fonte: habr.com