Kita nerusake obrolan babagan cara kanggo nambah keamanan jaringan. Ing artikel iki kita bakal ngomong babagan langkah keamanan tambahan lan ngatur jaringan nirkabel sing luwih aman.
Pambuka kanggo bagean kapindho
Ing artikel sadurunge Ana rembugan babagan masalah keamanan jaringan WiFi lan cara perlindungan langsung marang akses sing ora sah. Langkah-langkah sing jelas kanggo nyegah intersepsi lalu lintas dianggep: enkripsi, ndhelikake jaringan lan nyaring MAC, uga cara khusus, contone, nglawan Rogue AP. Nanging, saliyane cara perlindungan langsung, ana uga sing ora langsung. Iki minangka teknologi sing ora mung mbantu ningkatake kualitas komunikasi, nanging uga nambah keamanan.
Rong fitur utama jaringan nirkabel: akses tanpa kontak remot lan udara radio minangka media siaran kanggo transmisi data, ing ngendi panrima sinyal bisa ngrungokake udhara, lan pemancar apa wae bisa ngalangi jaringan kanthi transmisi sing ora ana guna lan mung gangguan radio. Iki, antarane liyane, ora duwe efek paling apik ing keamanan sakabèhé jaringan nirkabel.
Sampeyan ora bakal urip mung kanthi aman. Kita isih kudu kerja piye wae, yaiku, ijol-ijolan data. Lan ing sisih iki ana akeh keluhan liyane babagan WiFi:
- kesenjangan ing jangkoan ("bintik putih");
- pengaruh sumber njaba lan titik akses tetanggan ing saben liyane.
Akibaté, amarga masalah sing diterangake ing ndhuwur, kualitas sinyal mudhun, sambungan ilang stabilitas, lan kacepetan ijol-ijolan data mudhun.
Mesthine, para penggemar jaringan kabel bakal seneng dicathet yen nalika nggunakake kabel lan, utamane, sambungan serat optik, masalah kasebut ora diamati.
Pitakonan muncul: apa bisa ngatasi masalah kasebut tanpa nggunakake cara drastis kayata nyambungake maneh kabeh wong sing ora marem menyang jaringan kabel?
Ngendi kabeh masalah diwiwiti?
Ing wektu lair kantor lan jaringan WiFi liyane, dheweke paling kerep ngetutake algoritma sing prasaja: padha nyelehake titik akses siji ing tengah perimeter supaya bisa nggedhekake jangkoan. Yen kekuatan sinyal ora cukup kanggo wilayah sing adoh, antena nggedhekake ditambahake menyang jalur akses. Arang banget titik akses kapindho ditambahake, contone, kanggo kantor direktur remot. Sing mbokmenawa kabeh dandan.
Pendekatan iki nduweni alasan. Kaping pisanan, nalika wiwitan jaringan nirkabel, peralatan kasebut larang. Kapindho, nginstal luwih akeh titik akses tegese ngadhepi pitakonan sing ora ana jawaban ing wektu kasebut. Contone, carane ngatur klien lancar ngoper antarane titik? Kepiye cara ngatasi campur tangan bebarengan? Carane nyederhanakake lan nyepetake manajemen poin, contone, aplikasi larangan / ijin, pemantauan, lan liya-liyane. Mulane, luwih gampang ngetutake prinsip kasebut: piranti sing luwih sithik, luwih apik.
Ing wektu sing padha, titik akses, sing ana ing sangisore langit-langit, disiarkan ing diagram bunder (luwih tepat, bunder).
Nanging, wangun bangunan arsitektur ora pas banget karo diagram panyebaran sinyal bunder. Mulane, ing sawetara panggonan sinyal meh ora tekan, lan iku perlu kanggo digedhèkaké, lan ing sawetara panggonan siaran ngluwihi keliling lan dadi diakses kanggo wong njaba.
Gambar 1. Conto jangkoan nggunakake titik siji ing kantor.
komentar. Iki minangka perkiraan kasar sing ora nganggep alangan kanggo panyebaran, uga arah sinyal. Ing laku, wangun diagram kanggo model titik beda bisa beda-beda.
Kahanan bisa didandani kanthi nggunakake titik akses liyane.
Kaping pisanan, iki bakal ngidini piranti transmisi disebarake kanthi luwih efisien ing saindenging ruangan.
Kapindho, bisa nyuda tingkat sinyal, nyegah supaya ora ngluwihi perimeter kantor utawa fasilitas liyane. Ing kasus iki, kanggo maca lalu lintas jaringan nirkabel, sampeyan kudu nyedhaki keliling utawa malah ketik watesan. Penyerang tumindak kanthi cara sing padha kanggo mlebu ing jaringan kabel internal.
Gambar 2: Nambah jumlah titik akses ngidini distribusi jangkoan sing luwih apik.
Ayo katon ing loro gambar maneh. Pisanan kanthi jelas nuduhake salah sawijining kerentanan utama jaringan nirkabel - sinyal kasebut bisa dicekel kanthi jarak sing cukup.
Ing gambar kapindho kahanan ora dadi maju. Titik akses liyane, wilayah jangkoan luwih efektif, lan ing wektu sing padha daya sinyal meh ora ngluwihi keliling, kira-kira ngandika, ngluwihi wates kantor, kantor, bangunan lan obyek liyane.
Panyerang kudu piye wae nyelinep nyedhaki tanpa diweruhi supaya bisa nyegat sinyal sing relatif lemah "saka dalan" utawa "saka koridor" lan liya-liyane. Kanggo nindakake iki, sampeyan kudu nyedhaki bangunan kantor, contone, kanggo ngadeg ing ngisor jendhela. Utawa nyoba mlebu ing gedung kantor dhewe. Ing kasus apa wae, iki nambah risiko kejiret ing pengawasan video lan diweruhi dening keamanan. Iki sacara signifikan nyuda interval wektu kanggo serangan. Iki meh ora bisa diarani "kahanan sing cocog kanggo peretasan."
Mesthine, isih ana siji liyane "dosa asli": jaringan nirkabel disiarkan ing jarak sing bisa diakses sing bisa dicegat kabeh klien. Pancen, jaringan WiFi bisa dibandhingake karo Ethernet HUB, ing ngendi sinyal kasebut dikirim menyang kabeh port bebarengan. Kanggo ngindhari iki, saenipun saben pasangan piranti kudu komunikasi ing saluran frekuensi dhewe, sing ora ana wong liya sing kudu ngganggu.
Punika ringkesan masalah utama. Ayo dipikirake cara kanggo ngatasi.
Remedi: langsung lan ora langsung
Kaya sing wis kasebut ing artikel sadurunge, proteksi sampurna ora bisa digayuh ing kasus apa wae. Nanging sampeyan bisa nggawe minangka angel kanggo nindakake serangan, nggawe asil unprofitable ing hubungan kanggo gaweyan expended.
Secara konvensional, peralatan pelindung bisa dipérang dadi rong klompok utama:
- teknologi pangayoman lalu lintas langsung kayata enkripsi utawa nyaring MAC;
- teknologi sing Originally dimaksudaké kanggo tujuan liyane, contone, kanggo nambah kacepetan, nanging ing wektu sing padha ora langsung nggawe urip panyerang luwih angel.
Klompok pisanan diterangake ing bagean pisanan. Nanging kita uga duwe langkah ora langsung tambahan ing arsenal kita. Kaya kasebut ing ndhuwur, nambah jumlah titik akses ngidini sampeyan nyuda tingkat sinyal lan nggawe seragam wilayah jangkoan, lan iki nggawe urip luwih angel kanggo penyerang.
Kaveat liyane yaiku nambah kecepatan transfer data nggampangake ngetrapake langkah-langkah keamanan tambahan. Contone, sampeyan bisa nginstal klien VPN ing saben laptop lan nransfer data sanajan ing jaringan lokal liwat saluran sing dienkripsi. Iki bakal mbutuhake sawetara sumber daya, kalebu hardware, nanging tingkat pangayoman bakal nambah Ngartekno.
Ing ngisor iki kita menehi katrangan babagan teknologi sing bisa ningkatake kinerja jaringan lan kanthi ora langsung nambah tingkat proteksi.
Cara ora langsung kanggo ningkatake proteksi - apa sing bisa mbantu?
Kemudi Klien
Fitur Client Steering njaluk piranti klien nggunakake pita 5GHz dhisik. Yen pilihan iki ora kasedhiya kanggo klien, dheweke isih bisa nggunakake 2.4 GHz. Kanggo jaringan lawas kanthi titik akses sing sithik, umume karya ditindakake ing pita 2.4 GHz. Kanggo rentang frekuensi 5 GHz, skema titik akses siji ora bisa ditampa ing pirang-pirang kasus. Kasunyatane yaiku sinyal kanthi frekuensi sing luwih dhuwur ngliwati tembok lan mbengkongake alangan sing luwih elek. Rekomendasi biasanipun: kanggo njamin komunikasi dijamin ing band 5 GHz, iku luwih apik kanggo bisa ing baris saka ngarsane saka titik akses.
Ing standar modern 802.11ac lan 802.11ax, amarga jumlah saluran sing luwih akeh, sampeyan bisa nginstal sawetara titik akses ing jarak sing luwih cedhak, sing ngidini sampeyan nyuda daya tanpa kelangan, utawa entuk kacepetan transfer data. Akibaté, nggunakake pita 5GHz ndadekake urip luwih angel kanggo panyerang, nanging nambah kualitas komunikasi kanggo klien ing jangkoan.
Fungsi iki ditampilake:
- ing titik akses Nebula lan NebulaFlex;
- ing firewalls karo fungsi controller.
Auto Healing
Kaya kasebut ing ndhuwur, kontur perimeter kamar ora pas karo diagram bunder titik akses.
Kanggo ngatasi masalah iki, sepisanan, sampeyan kudu nggunakake jumlah titik akses sing optimal, lan kaping pindho, nyuda pengaruhe bebarengan. Nanging yen sampeyan mung nyuda daya pemancar kanthi manual, gangguan langsung kasebut bisa nyebabake kerusakan komunikasi. Iki bakal katon utamane yen siji utawa luwih titik akses gagal.
Auto Healing ngidini sampeyan nyetel daya kanthi cepet tanpa kelangan linuwih lan kacepetan transfer data.
Nalika nggunakake fungsi iki, controller mriksa status lan fungsi saka titik akses. Yen salah siji saka wong-wong mau ora bisa, wong-wong tetanggan diutus kanggo nambah kekuatan sinyal kanggo ngisi "titik putih". Sawise titik akses munggah lan mlaku maneh, titik tetanggan diprentahake kanggo nyuda kekuatan sinyal kanggo nyuda interferensi bebarengan.
WiFi roaming mulus
Sepisanan, teknologi iki meh ora bisa diarani nambah tingkat keamanan; nanging, sebaliknya, luwih gampang klien (kalebu penyerang) ngalih ing antarane titik akses ing jaringan sing padha. Nanging yen loro utawa luwih titik akses digunakake, sampeyan kudu njamin operasi sing trep tanpa masalah sing ora perlu. Kajaba iku, yen titik akses kakehan, bisa ngatasi fungsi keamanan kayata enkripsi, telat ing ijol-ijolan data lan kedadeyan sing ora nyenengake. Ing babagan iki, roaming sing mulus minangka bantuan gedhe kanggo nyebarake beban kanthi fleksibel lan njamin operasi tanpa gangguan ing mode sing dilindhungi.
Konfigurasi ambang kekuatan sinyal kanggo nyambungake lan medhot sambungan klien nirkabel (Ambang Sinyal utawa Range Kekuwatan Sinyal)
Nalika nggunakake titik akses siji, fungsi iki, ing asas, ora Matter. Nanging kasedhiya sawetara TCTerms kontrol dening controller operasi, iku bisa kanggo ngatur distribusi seluler saka klien tengen AP beda. Sampeyan kudu eling yen fungsi pengontrol titik akses kasedhiya ing pirang-pirang jalur router saka Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Piranti ing ndhuwur duwe fitur kanggo medhot sambungan klien sing disambungake menyang SSID kanthi sinyal lemah. "Lemah" tegese sinyal ana ing sangisore batesan sing disetel ing controller. Sawise klien wis pedhot sambungan, bakal ngirim panjalukan probe kanggo nemokake titik akses liyane.
Contone, klien sing disambungake menyang titik akses kanthi sinyal ing ngisor -65dBm, yen ambang stasiun pedhot -60dBm, ing kasus iki, titik akses bakal medhot sambungan klien karo level sinyal iki. Klien saiki miwiti prosedur sambungan maneh lan wis nyambung menyang titik akses liyane kanthi sinyal sing luwih gedhe utawa padha karo -60dBm (ambang sinyal stasiun).
Iki penting nalika nggunakake sawetara titik akses. Iki nyegah kahanan sing paling akeh klien nglumpukake ing sawijining titik, dene titik akses liyane ora aktif.
Kajaba iku, sampeyan bisa matesi sambungan saka klien karo sinyal banget, sing paling kamungkinan dumunung ing njaba perimeter saka kamar, contone, konco tembok ing kantor tetanggan, kang uga ngidini kita kanggo nimbang fungsi iki minangka cara ora langsung. saka pangayoman.
Ngalih menyang WiFi 6 minangka salah sawijining cara kanggo nambah keamanan
Kita wis ngomong babagan kaluwihan obat langsung ing artikel sadurunge. "Fitur kanggo nglindhungi jaringan nirkabel lan kabel. Bagean 1 - Langkah-langkah perlindungan langsung".
Jaringan WiFi 6 nyedhiyakake kecepatan transfer data sing luwih cepet. Ing tangan siji, klompok standar anyar ngijini sampeyan kanggo nambah kacepetan, ing tangan liyane, sampeyan bisa manggonake malah liyane titik akses ing wilayah padha. Standar anyar ngidini daya kurang digunakake kanggo ngirim ing kacepetan luwih.
Kacepetan transfer data tambah.
Transisi menyang WiFi 6 kalebu nambah kacepetan ijol-ijolan dadi 11Gb/s (tipe modulasi 1024-QAM, saluran 160 MHz). Ing wektu sing padha, piranti anyar sing ndhukung WiFi 6 nduweni kinerja sing luwih apik. Salah sawijining masalah utama nalika ngetrapake langkah-langkah keamanan tambahan, kayata saluran VPN kanggo saben pangguna, yaiku nyuda kacepetan. Kanthi WiFi 6, bakal luwih gampang ngetrapake sistem keamanan tambahan.
BSS Mewarnai
Kita nulis sadurunge manawa jangkoan sing luwih seragam bisa nyuda penetrasi sinyal WiFi ngluwihi keliling. Nanging kanthi wutah luwih akeh ing jumlah akses, malah panggunaan Auto Healing bisa uga ora cukup, amarga lalu lintas "manca" saka titik tetanggan isih bakal nembus menyang area resepsi.
Nalika nggunakake BSS Coloring, titik akses ninggalake tandha khusus (werna) paket data. Iki ngidini sampeyan nglirwakake pengaruh piranti transmisi tetanggan (titik akses).
Apik MU-MIMO
802.11ax uga nduweni dandan penting kanggo teknologi MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO ngidini titik akses kanggo komunikasi karo macem-macem piranti bebarengan. Nanging ing standar sadurunge, teknologi iki mung bisa ndhukung klompok papat klien ing frekuensi padha. Iki nggawe transmisi luwih gampang, nanging ora ditampa. WiFi 6 nggunakake 8x8 multi-user MIMO kanggo transmisi lan reception.
Wigati. 802.11ax nambah ukuran grup MU-MIMO hilir, nyedhiyakake kinerja jaringan WiFi sing luwih efisien. Multi-user MIMO uplink minangka tambahan anyar kanggo 802.11ax.
OFDMA (Orthogonal frequency-division multiple access)
Cara akses lan kontrol saluran anyar iki dikembangake adhedhasar teknologi sing wis dibuktekake ing teknologi seluler LTE.
OFDMA ngidini luwih saka siji sinyal dikirim ing baris utawa saluran sing padha ing wektu sing padha kanthi nemtokake interval wektu kanggo saben transmisi lan ngetrapake divisi frekuensi. Akibaté, ora mung nambah kacepetan amarga panggunaan saluran sing luwih apik, nanging uga nambah keamanan.
Ringkesan
Jaringan WiFi dadi luwih aman saben taun. Panggunaan teknologi modern ngidini kita ngatur tingkat perlindungan sing bisa ditampa.
Cara langsung pangayoman ing wangun enkripsi lalu lintas wis buktiaken piyambak cukup apik. Aja lali babagan langkah tambahan: nyaring dening MAC, ndhelikake ID jaringan, Deteksi AP Rogue (Kontainer AP Rogue).
Nanging ana uga langkah-langkah ora langsung sing nambah operasi bareng piranti nirkabel lan nambah kacepetan ijol-ijolan data.
Panggunaan teknologi anyar ndadekake iku bisa kanggo ngurangi tingkat sinyal saka titik, nggawe jangkoan luwih seragam, kang wis impact apik ing kesehatan sakabèhé jaringan nirkabel, kalebu keamanan.
Akal sehat mratelakake yen kabeh cara apik kanggo ningkatake safety: langsung lan ora langsung. Kombinasi iki ngidini sampeyan nggawe urip dadi angel kanggo penyerang.
Link migunani:
- Fitur proteksi jaringan nirkabel lan kabel. Bagean 1 - Langkah-langkah perlindungan langsung
Source: www.habr.com