無線および有線ネットワークの保護機能。 パート 2 - 間接的な保護手段

ネットワークのセキュリティを強化する方法について話し合いを続けます。 この記事では、追加のセキュリティ対策と、より安全なワイヤレス ネットワークの構築について説明します。

第二部の序文

前回の記事で 「無線および有線ネットワークを保護する機能。 パート 1 - 直接的な保護手段」 WiFi ネットワークのセキュリティ問題と、不正アクセスに対する直接的な保護方法について議論がありました。 トラフィック傍受を防止するための明白な対策として、暗号化、ネットワーク隠蔽、MAC フィルタリングのほか、不正 AP との戦いなどの特別な方法が検討されました。 ただし、直接的な保護方法に加えて、間接的な保護方法もあります。 これらは通信品質の向上だけでなく、セキュリティのさらなる向上にも貢献する技術です。

ワイヤレス ネットワークの XNUMX つの主な特徴は、リモートの非接触アクセスと、データ送信用のブロードキャスト メディアとしての無線空気です。どの信号受信機でも無線を聞くことができますが、どの送信機でも無駄な送信や単なる無線干渉でネットワークを詰まらせる可能性があります。 これは、とりわけ、ワイヤレス ネットワーク全体のセキュリティに最良の影響を与えません。

安全だけでは生きていけません。 まだ何らかの方法で作業する必要があります。つまり、データを交換する必要があります。 この側では、WiFi に関して他にも多くの不満があります。

• 適用範囲のギャップ (「白い斑点」)。
• 外部ソースと隣接するアクセス ポイントの相互影響。

その結果、上記の問題により、信号品質が低下し、接続が安定しなくなり、データ交換速度が低下します。

もちろん、有線ネットワークのファンは、ケーブル接続、特に光ファイバー接続を使用する場合には、そのような問題が発生しないことに注目してうれしいでしょう。

疑問が生じます。不満を抱いているすべての人々を有線ネットワークに再接続するなどの抜本的な手段に頼ることなく、何らかの方法でこれらの問題を解決することは可能でしょうか?

すべての問題はどこから始まるのでしょうか?

オフィスやその他の WiFi ネットワークの誕生時には、ほとんどの場合、単純なアルゴリズムに従っていました。カバレッジを最大化するために、単一のアクセス ポイントを境界の中心に配置しました。 遠隔地に十分な信号強度がない場合は、アクセス ポイントに増幅アンテナが追加されました。 非常にまれに、リモートのディレクター室などに XNUMX 番目のアクセス ポイントが追加されました。 おそらくこれがすべての改善点です。

このアプローチには理由がありました。 まず、ワイヤレス ネットワークの黎明期には、その機器が高価でした。 第 XNUMX に、より多くのアクセス ポイントを設置するということは、当時は答えのない質問に直面することを意味しました。 たとえば、ポイント間のシームレスなクライアント切り替えをどのように構成するか? 相互干渉にどう対処するか? 禁止・許可の同時適用や監視など、ポイント管理をいかに簡素化・効率化するか。 したがって、デバイスの数が少ないほど良いという原則に従うのがはるかに簡単でした。

同時に、天井の下にあるアクセス ポイントは、円形 (正確には円形) の図でブロードキャストします。

ただし、建築物の形状は円形の信号伝播図にあまり適合しません。 そのため、場所によっては信号がほとんど届かず増幅する必要があり、また場所によっては放送が境界を越えて外部の人がアクセスできるようになってしまいます。

図 1. オフィス内の単一ポイントを使用したカバレッジの例。

注意。 これは、伝播に対する障害物や信号の方向性を考慮していない大まかな近似値です。 実際には、異なる点モデルのダイアグラムの形状は異なる場合があります。

この状況は、より多くのアクセス ポイントを使用することで改善できます。

まず、これにより、送信デバイスを部屋のエリア全体にさらに効率的に分散できるようになります。

第二に、信号レベルを低減して、オフィスやその他の施設の境界を越えないようにすることが可能になります。 この場合、ワイヤレス ネットワーク トラフィックを読み取るには、境界にほぼ近づくか、境界の限界にさえ入る必要があります。 攻撃者は、内部の有線ネットワークに侵入する場合とほぼ同じように行動します。

図 2: アクセス ポイントの数を増やすと、カバレッジをより適切に分散できます。

もう一度両方の写真を見てみましょう。 XNUMX つ目は、ワイヤレス ネットワークの主要な脆弱性の XNUMX つを明確に示しています。つまり、信号はかなりの距離で受信される可能性があります。

XNUMX 番目の写真では、状況はそれほど進んでいません。 アクセス ポイントの数が多いほど、カバレッジ エリアはより効果的になりますが、同時に信号電力は境界を越えることがほとんどなくなります。つまり、大まかに言えば、オフィス、オフィス、建物、その他の考えられる物の境界を越えることはありません。

攻撃者は、「通りから」または「廊下から」などの比較的弱い信号を傍受するには、何らかの方法で気づかれないようにこっそり近づく必要があります。 これを行うには、たとえば窓の下に立つなど、オフィスビルに近づく必要があります。 または、オフィスビル自体に入ってみてください。 いずれにせよ、これによりビデオ監視に捕まり、警備員に気づかれるリスクが高まります。 これにより、攻撃の間隔が大幅に短縮されます。 これは「ハッキングにとって理想的な条件」とは言えません。

もちろん、もう XNUMX つの「原罪」が残っています。それは、ワイヤレス ネットワークがアクセス可能な範囲でブロードキャストし、すべてのクライアントが傍受できるということです。 実際、WiFi ネットワークは、信号がすべてのポートに一度に送信されるイーサネット ハブにたとえることができます。 これを回避するには、理想的には、デバイスの各ペアが、他の誰も干渉しない独自の周波数チャネルで通信する必要があります。

主な問題点を以下にまとめます。 それらを解決する方法を考えてみましょう。

救済策: 直接的および間接的

前回の記事でも述べたように、どのような場合でも完全な保護を達成することはできません。 ただし、攻撃の実行を可能な限り困難にして、費やした労力に比べて結果が不利益になるようにすることはできます。

従来、保護具は XNUMX つの主要なグループに分類できます。

• 暗号化や MAC フィルタリングなどの直接トラフィック保護テクノロジー。
• 元々は速度を上げるなど他の目的を目的としていたテクノロジーですが、同時に間接的に攻撃者の命を脅かします。

最初のグループについては、最初の部分で説明しました。 しかし、私たちの武器には追加の間接的な対策もあります。 前述したように、アクセス ポイントの数を増やすと、信号レベルを下げてカバー エリアを均一にすることができるため、攻撃者にとって攻撃が困難になります。

もう XNUMX つの注意点は、データ転送速度が向上すると、追加のセキュリティ対策の適用が容易になることです。 たとえば、各ラップトップに VPN クライアントをインストールし、ローカル ネットワーク内でも暗号化チャネル経由でデータを転送できます。 これにはハードウェアなどのリソースが必要になりますが、保護レベルは大幅に向上します。

以下では、ネットワークのパフォーマンスを向上させ、間接的に保護の程度を高めることができるテクノロジーについて説明します。

保護を強化する間接的な手段 - 何が役立つでしょうか?

クライアントステアリング

クライアント ステアリング機能は、クライアント デバイスに最初に 5GHz 帯域を使用するように要求します。 クライアントがこのオプションを利用できない場合でも、2.4 GHz を使用できます。 アクセス ポイントの数が少ないレガシー ネットワークの場合、ほとんどの作業は 2.4 GHz 帯域で行われます。 5 GHz の周波数範囲では、多くの場合、単一のアクセス ポイント方式は受け入れられません。 実際には、より高い周波数の信号は壁を通過し、障害物の周りでさらに曲がります。 通常の推奨事項: 5 GHz 帯域での通信を保証するには、アクセス ポイントから見える範囲内で作業することが望ましいです。

最新の標準である 802.11ac および 802.11ax では、チャネル数が多いため、複数のアクセス ポイントをより近い距離に設置することができ、データ転送速度を損なうことなく、あるいは向上させることなく電力を削減できます。 その結果、5GHz 帯域の使用により、攻撃者にとっては攻撃が困難になりますが、到達可能な範囲内のクライアントの通信品質は向上します。

この関数は次のように表示されます。

• Nebula および NebulaFlex アクセス ポイント。
• コントローラー機能を備えたファイアウォール内。

自動回復

前述したように、部屋の周囲の輪郭はアクセス ポイントの円形図にうまく適合しません。

この問題を解決するには、まず最適な数のアクセス ポイントを使用し、次に相互の影響を軽減する必要があります。 しかし、単純に送信機の出力を手動で下げると、そのような直接的な干渉が通信の劣化につながる可能性があります。 これは、XNUMX つ以上のアクセス ポイントに障害が発生した場合に特に顕著になります。

自動修復により、信頼性とデータ転送速度を損なうことなく、電力をすばやく調整できます。

この機能を使用すると、コントローラーはアクセス ポイントのステータスと機能をチェックします。 そのうちの XNUMX つが機能しない場合、隣接するものは「ホワイト スポット」を埋めるために信号強度を高めるように指示されます。 アクセス ポイントが再び稼働すると、隣接するポイントは相互干渉を減らすために信号強度を下げるように指示されます。

シームレスな WiFi ローミング

一見すると、この技術はセキュリティのレベルを高めているとは言えず、むしろ逆に、クライアント (攻撃者を含む) が同一ネットワーク上のアクセス ポイントを切り替えることを容易にします。 ただし、XNUMX つ以上のアクセス ポイントを使用する場合は、不要な問題を発生させずに快適に操作できるようにする必要があります。 また、アクセスポイントに負荷がかかると、暗号化などのセキュリティ機能が低下したり、データのやり取りが遅れたりするなど、不快な現象が発生します。 この点において、シームレス ローミングは負荷を柔軟に分散し、保護モードでの中断のない動作を保証するのに非常に役立ちます。

ワイヤレスクライアントの接続および切断のための信号強度しきい値の構成 (信号しきい値または信号強度範囲)

単一のアクセスポイントを使用する場合、この機能は原則として問題ありません。 ただし、コントローラによって制御されるいくつかのポイントが動作している場合、異なる AP 間でクライアントのモバイル分散を組織化することができます。 アクセス ポイント コントローラー機能は、ATP、USG、USG FLEX、VPN、ZyWALL など、Zyxel のルーターの多くの製品ラインで利用できることを思い出してください。

上記機器には、電波の弱いSSIDに接続されているクライアントを切断する機能があります。 「弱い」とは、信号がコントローラーに設定されたしきい値を下回っていることを意味します。 クライアントが切断されると、別のアクセス ポイントを見つけるためにプローブ リクエストを送信します。

たとえば、クライアントが -65dBm 未満の信号でアクセス ポイントに接続している場合、ステーションの切断しきい値が -60dBm の場合、アクセス ポイントはこの信号レベルでクライアントを切断します。 クライアントは再接続手順を開始し、-60dBm (ステーション信号しきい値) 以上の信号で別のアクセス ポイントにすでに接続しています。

これは、複数のアクセス ポイントを使用する場合に重要です。 これにより、他のアクセス ポイントがアイドル状態であるにもかかわらず、ほとんどのクライアントが XNUMX つのポイントに蓄積されるという状況が回避されます。

さらに、隣のオフィスの壁の後ろなど、部屋の周囲の外側にいる可能性が高い、信号が弱いクライアントの接続を制限することもできます。これにより、この機能を間接的な方法として考慮することもできます。保護の。

セキュリティを向上させる方法の 6 つとして WiFi XNUMX に切り替える

直接救済の利点については、前の記事ですでに説明しました。 「無線および有線ネットワークを保護する機能。 パート 1 - 直接的な保護手段」.

WiFi 6 ネットワークは、より高速なデータ転送速度を提供します。 新しい標準グループにより速度が向上する一方で、同じエリアにさらに多くのアクセス ポイントを配置できます。 新しい規格により、より少ない電力で高速伝送が可能になります。

データ転送速度の向上.

WiFi 6 への移行には、交換速度が 11Gb/s (変調タイプ 1024-QAM、160 MHz チャネル) に増加することが含まれます。 同時に、WiFi 6 をサポートする新しいデバイスはパフォーマンスが向上しています。 各ユーザーの VPN チャネルなど、追加のセキュリティ対策を実装する場合の主な問題の 6 つは、速度の低下です。 WiFi XNUMX を使用すると、追加のセキュリティ システムの実装が簡単になります。

BSSカラーリング

より均一なカバレッジにより、境界を越える WiFi 信号の侵入を減らすことができると以前に書きました。 しかし、アクセス ポイントの数がさらに増加すると、隣接するポイントからの「外部」トラフィックが依然として受信エリアに侵入するため、自動修復を使用しても十分ではない可能性があります。

BSS Coloring を使用すると、アクセス ポイントはデータ パケットに特別なマーク (色) を残します。 これにより、隣接する送信デバイス (アクセス ポイント) の影響を無視できます。

改良されたMU-MIMO

802.11ax では、MU-MIMO (マルチユーザー - 複数入力複数出力) テクノロジーにも重要な改良が加えられています。 MU-MIMO を使用すると、アクセス ポイントが複数のデバイスと同時に通信できるようになります。 しかし、以前の標準では、このテクノロジーは同じ周波数で 6 つのクライアントのグループしかサポートできませんでした。 これにより送信は容易になりましたが、受信は容易ではありませんでした。 WiFi 8 は、送受信に 8xXNUMX マルチユーザー MIMO を使用します。

注意してください。 802.11ax は、ダウンストリーム MU-MIMO グループのサイズを増やし、より効率的な WiFi ネットワーク パフォーマンスを提供します。 マルチユーザー MIMO アップリンクは 802.11ax に新たに追加されました。

OFDMA (直交周波数分割多元接続)

この新しいチャネル アクセスおよび制御方法は、LTE セルラー技術ですでに実証されている技術に基づいて開発されています。

OFDMA では、各送信に時間間隔を割り当て、周波数分割を適用することで、複数の信号を同じ回線またはチャネルで同時に送信できます。 その結果、チャネルの利用効率が向上して速度が向上するだけでなく、セキュリティも向上します。

サマリー

WiFi ネットワークは年々安全性が高まっています。 最新のテクノロジーを使用することで、許容可能なレベルの保護を組織することができます。

トラフィック暗号化という形での直接的な保護方法は、十分に実証されています。 MAC によるフィルタリング、ネットワーク ID の隠蔽、不正 AP 検出 (不正 AP 封じ込め) などの追加対策も忘れないでください。

ただし、無線デバイスの共同運用を改善し、データ交換の速度を向上させる間接的な対策もあります。

新しいテクノロジーの使用により、ポイントからの信号レベルを下げることが可能になり、カバレッジがより均一になり、セキュリティを含むワイヤレス ネットワーク全体の健全性に良い影響を与えます。

常識では、安全性を向上させるためには、直接的および間接的なあらゆる手段が有効であると考えられます。 この組み合わせにより、攻撃者の攻撃を可能な限り困難にすることができます。

便利なリンク：

1. 電報チャット Zyxel
2. ザイクセル機器フォーラム
3. Zyxelチャンネル（Youtube）には役立つ動画がたくさんあります
4. 無線および有線ネットワークの保護機能。 パート 1 - 直接的な保護手段
5. Wi-Fi とツイストペア - どちらが優れていますか?
6. コラボレーションのために Wi-Fi ホットスポットを同期する
7. Wi-Fi 6: 平均的なユーザーは新しいワイヤレス標準を必要としますか?必要な場合、その理由は何ですか?
8. WiFi 6 MU-MIMO と OFDMA: 将来の成功の XNUMX つの柱
9. WiFi の未来
10. 侵害の哲学としてのマルチギガビット スイッチの使用
11. XNUMX つを XNUMX つに、またはアクセス ポイント コントローラをゲートウェイに移行
12. WiFi 6 はすでに登場しています: 市場が提供しているものと、このテクノロジーが必要な理由
13. Wi-Fi パフォーマンスの向上。 一般原則と便利なもの
14. Wi-Fi パフォーマンスの向上。 パート 2. 装置の特徴
15. Wi-Fi パフォーマンスの向上。 パート 3. アクセス ポイントの配置
16. コラボレーションのために Wi-Fi ホットスポットを同期する
17. あなたの 5 セント: 今日と明日の Wi-Fi

出所： habr.com