Біз желі қауіпсіздігін арттыру әдістері туралы әңгімені жалғастырамыз. Бұл мақалада біз қосымша қауіпсіздік шаралары және қауіпсіз сымсыз желілерді ұйымдастыру туралы айтатын боламыз.
Екінші бөлімге алғы сөз
Алдыңғы мақалада WiFi желісінің қауіпсіздік мәселелері және рұқсатсыз кіруден қорғаудың тікелей әдістері туралы пікірталас болды. Трафикті ұстаудың алдын алудың айқын шаралары қарастырылды: шифрлау, желіні жасыру және MAC сүзгілеу, сондай-ақ арнайы әдістер, мысалы, Rogue AP-мен күресу. Дегенмен, қорғаудың тікелей әдістерінен басқа жанамалары да бар. Бұл тек байланыс сапасын жақсартуға ғана емес, қауіпсіздікті одан әрі жақсартуға көмектесетін технологиялар.
Сымсыз желілердің екі негізгі ерекшелігі: қашықтан контактісіз қол жеткізу және деректерді беру үшін хабар тарату ортасы ретінде радиоауа, мұнда кез келген сигнал қабылдағыш ауаны тыңдай алады, ал кез келген таратқыш желіні пайдасыз таратулармен және жай радио кедергілермен бітеп тастауы мүмкін. Бұл, басқалармен қатар, сымсыз желінің жалпы қауіпсіздігіне жақсы әсер етпейді.
Сіз жалғыз қауіпсіздікпен өмір сүрмейсіз. Біз әлі де қандай да бір жолмен жұмыс істеуіміз керек, яғни деректермен алмасу. Бұл жағынан WiFi-ға қатысты көптеген басқа шағымдар бар:
- жабудағы бос орындар («ақ дақтар»);
- сыртқы көздердің және көрші кіру нүктелерінің бір-біріне әсері.
Нәтижесінде жоғарыда сипатталған мәселелерге байланысты сигналдың сапасы төмендейді, байланыс тұрақтылығын жоғалтады және деректер алмасу жылдамдығы төмендейді.
Әрине, сымды желілердің жанкүйерлері кабельді және, әсіресе, талшықты-оптикалық қосылымдарды пайдалану кезінде мұндай проблемалар байқалмайтынын қуана атап өтеді.
Сұрақ туындайды: барлық қанағаттанбаған адамдарды сымды желіге қайта қосу сияқты күрделі құралдарды қолданбай, бұл мәселелерді шешуге бола ма?
Барлық мәселелер қайдан басталады?
Кеңсе және басқа WiFi желілері пайда болған кезде олар көбінесе қарапайым алгоритмді ұстанды: олар қамтуды барынша арттыру үшін периметрдің ортасына бір кіру нүктесін орналастырды. Егер шалғай аймақтар үшін сигнал күші жеткіліксіз болса, кіру нүктесіне күшейтетін антенна қосылды. Екінші кіру нүктесі өте сирек қосылды, мысалы, қашықтағы директордың кеңсесі үшін. Бұл барлық жақсартулар болса керек.
Бұл тәсілдің өз себептері болды. Біріншіден, сымсыз желілер пайда болған кезде олар үшін жабдық қымбат болды. Екіншіден, көбірек кіру нүктелерін орнату сол уақытта жауаптары жоқ сұрақтарға тап болды. Мысалы, клиенттің нүктелер арасында үздіксіз ауысуын қалай ұйымдастыруға болады? Өзара араласумен қалай күресуге болады? Нүктелерді басқаруды қалай оңайлатуға және ретке келтіруге болады, мысалы, тыйым салуларды/рұқсаттарды бір уақытта қолдану, бақылау және т.б. Сондықтан принципті ұстану әлдеқайда оңай болды: құрылғылар неғұрлым аз болса, соғұрлым жақсы.
Сонымен қатар, төбенің астында орналасқан кіру нүктесі дөңгелек (дәлірек айтқанда, дөңгелек) диаграммада таратылады.
Дегенмен, сәулеттік ғимараттардың пішіндері дөңгелек сигналдың таралу диаграммаларына өте жақсы сәйкес келмейді. Сондықтан кейбір жерлерде сигнал дерлік жетпейді және оны күшейту қажет, ал кейбір жерлерде хабар тарату периметрден шығып, бөгде адамдарға қолжетімді болады.
Сурет 1. Кеңседегі бір нүктені пайдаланатын қамту мысалы.
ескерту. Бұл таралудағы кедергілерді, сондай-ақ сигналдың бағыттылығын ескермейтін өрескел жуықтау. Іс жүзінде әртүрлі нүктелік модельдер үшін диаграммалардың пішіндері әртүрлі болуы мүмкін.
Жағдайды көбірек кіру нүктелерін пайдалану арқылы жақсартуға болады.
Біріншіден, бұл таратқыш құрылғыларды бөлме аумағы бойынша тиімдірек таратуға мүмкіндік береді.
Екіншіден, сигнал деңгейін кеңсенің немесе басқа нысанның периметрінен тыс шығуына жол бермей төмендетуге болады. Бұл жағдайда сымсыз желі трафигін оқу үшін периметрге дерлік жақындау немесе тіпті оның шегіне кіру керек. Шабуыл жасаушы ішкі сымды желіге кіру үшін дәл осылай әрекет етеді.
2-сурет: Қол жеткізу нүктелерінің санын көбейту қамтуды жақсырақ бөлуге мүмкіндік береді.
Екі суретке де қайта қарайық. Біріншісі сымсыз желінің негізгі осалдықтарының бірін анық көрсетеді - сигналды лайықты қашықтықта ұстауға болады.
Екінші суретте жағдай онша ілгері емес. Кіру нүктелері неғұрлым көп болса, қамту аймағы соғұрлым тиімді болады және сонымен бірге сигналдың қуаты кеңсенің, кеңсенің, ғимараттың және басқа да ықтимал объектілердің шекарасынан периметрден асып кетпейді.
Шабуылдаушы «көшеден» немесе «дәлізден» және т.б. салыстырмалы түрде әлсіз сигналды ұстап алу үшін байқамай жақындауға мәжбүр болады. Мұны істеу үшін кеңсе ғимаратына жақындау керек, мысалы, терезелердің астында тұру керек. Немесе кеңсе ғимаратының өзіне кіріп көріңіз. Қалай болғанда да, бұл бейнебақылау камерасына түсіп қалу қаупін арттырады және қауіпсіздік қызметкерлеріне назар аударады. Бұл шабуылдың уақыт аралығын айтарлықтай қысқартады. Мұны «бұзу үшін тамаша жағдайлар» деп атауға болмайды.
Әрине, тағы бір «бастапқы күнә» қалады: сымсыз желілер барлық клиенттер ұстай алатын қолжетімді диапазонда таратылады. Шынында да, WiFi желісін Ethernet HUB-мен салыстыруға болады, мұнда сигнал бірден барлық порттарға беріледі. Бұған жол бермеу үшін, ең дұрысы, әрбір құрылғы жұбы басқа ешкім кедергі жасамайтын жеке жиілік арнасында байланысуы керек.
Мұнда негізгі мәселелердің қысқаша мазмұны берілген. Оларды шешу жолдарын қарастырайық.
Емдеу жолдары: тікелей және жанама
Алдыңғы мақалада айтылғандай, кез келген жағдайда тамаша қорғанысқа қол жеткізу мүмкін емес. Бірақ сіз шабуыл жасауды мүмкіндігінше қиындата аласыз, бұл жұмсалған күшке қатысты нәтижені тиімсіз етеді.
Шартты түрде қорғаныс құралдарын екі негізгі топқа бөлуге болады:
- шифрлау немесе MAC сүзгілеу сияқты трафикті тікелей қорғау технологиялары;
- бастапқыда басқа мақсаттарға арналған технологиялар, мысалы, жылдамдықты арттыру, бірақ сонымен бірге жанама түрде шабуылдаушының өмірін қиындатады.
Бірінші бөлімде бірінші топ сипатталды. Бірақ біздің арсеналымызда қосымша жанама шаралар да бар. Жоғарыда айтылғандай, кіру нүктелерінің санын көбейту сигнал деңгейін төмендетуге және қамту аймағын біркелкі етуге мүмкіндік береді және бұл шабуылдаушының өмірін қиындатады.
Тағы бір ескерту, деректерді тасымалдау жылдамдығын арттыру қосымша қауіпсіздік шараларын қолдануды жеңілдетеді. Мысалы, әрбір ноутбукке VPN клиентін орнатуға және деректерді шифрланған арналар арқылы жергілікті желі ішінде де тасымалдауға болады. Бұл кейбір ресурстарды, соның ішінде аппараттық құралдарды қажет етеді, бірақ қорғаныс деңгейі айтарлықтай артады.
Төменде желінің өнімділігін жақсартатын және қорғау дәрежесін жанама түрде арттыратын технологиялардың сипаттамасын береміз.
Қорғанысты жақсартудың жанама құралдары - не көмектесе алады?
Клиентті басқару
Клиентті басқару мүмкіндігі клиенттік құрылғыларды алдымен 5 ГГц диапазонын пайдалануды ұсынады. Егер бұл опция клиент үшін қол жетімді болмаса, ол әлі де 2.4 ГГц пайдалана алады. Кіру нүктелерінің саны аз ескі желілер үшін жұмыстың көпшілігі 2.4 ГГц диапазонында орындалады. 5 ГГц жиілік диапазоны үшін көптеген жағдайларда жалғыз кіру нүктесінің схемасы қабылданбайды. Мәселе мынада, жиілігі жоғары сигнал қабырғалардан өтіп, кедергілерді нашаррақ айналдырады. Әдеттегі ұсыныс: 5 ГГц диапазонында кепілдік берілген байланысты қамтамасыз ету үшін кіру нүктесінен көрінетін жерде жұмыс істеген жөн.
Қазіргі заманғы 802.11ac және 802.11ax стандарттарында арналар санының көп болуына байланысты жақынырақ қашықтықта бірнеше кіру нүктелерін орнатуға болады, бұл деректерді беру жылдамдығын жоғалтпай немесе тіпті жоғарылатпай қуатты азайтуға мүмкіндік береді. Нәтижесінде 5 ГГц жолағын пайдалану шабуылдаушылар үшін өмірді қиындатады, бірақ қол жетімді клиенттер үшін байланыс сапасын жақсартады.
Бұл функция ұсынылған:
- Nebula және NebulaFlex кіру нүктелерінде;
- контроллер функциясы бар брандмауэрлерде.
Автоматты емдеу
Жоғарыда айтылғандай, бөлме периметрінің контурлары кіру нүктелерінің дөңгелек диаграммаларына жақсы сәйкес келмейді.
Бұл мәселені шешу үшін, біріншіден, кіру нүктелерінің оңтайлы санын пайдалану керек, екіншіден, өзара әсерді азайту керек. Бірақ егер сіз таратқыштардың қуатын жай ғана қолмен азайтсаңыз, мұндай тікелей кедергі байланыстың нашарлауына әкелуі мүмкін. Бұл әсіресе бір немесе бірнеше кіру нүктелері сәтсіз болған жағдайда байқалады.
Auto Healing сенімділік пен деректерді беру жылдамдығын жоғалтпай қуатты жылдам реттеуге мүмкіндік береді.
Бұл функцияны пайдаланған кезде контроллер кіру нүктелерінің күйі мен функционалдығын тексереді. Егер олардың біреуі жұмыс істемесе, көршілерге «ақ нүктені» толтыру үшін сигнал күшін арттыру тапсырылады. Кіру нүктесі қайта іске қосылғаннан кейін, көрші нүктелерге өзара кедергілерді азайту үшін сигнал күшін азайту туралы нұсқау беріледі.
Үздіксіз WiFi роуминг
Бір қарағанда, бұл технологияны қауіпсіздік деңгейін арттыру деп атауға болмайды, керісінше, клиентке (соның ішінде шабуылдаушыға) бір желідегі кіру нүктелері арасында ауысуды жеңілдетеді. Бірақ екі немесе одан да көп кіру нүктелері пайдаланылса, қажетсіз проблемаларсыз ыңғайлы жұмысты қамтамасыз ету керек. Бұған қоса, егер кіру нүктесі шамадан тыс жүктелсе, ол шифрлау, деректер алмасудағы кешігулер және басқа да жағымсыз нәрселер сияқты қауіпсіздік функцияларымен нашар күреседі. Осыған байланысты жүкті икемді бөлуге және қорғалған режимде үзіліссіз жұмысын қамтамасыз етуге біркелкі роуминг үлкен көмек береді.
Сымсыз клиенттерді қосу және ажырату үшін сигнал күші шектерін конфигурациялау (Сигнал шегі немесе сигнал күшінің ауқымы)
Жалғыз кіру нүктесін пайдаланған кезде бұл функция, негізінен, маңызды емес. Бірақ контроллермен басқарылатын бірнеше нүктелер жұмыс істеп тұрған жағдайда, клиенттерді әртүрлі кіру нүктелері бойынша мобильді таратуды ұйымдастыруға болады. Еске сала кетейік, кіру нүктесі контроллерінің функциялары Zyxel маршрутизаторларының көптеген желілерінде қол жетімді: ATP, USG, USG FLEX, VPN, ZyWALL.
Жоғарыда аталған құрылғыларда әлсіз сигналы бар SSID-ге қосылған клиентті ажырату мүмкіндігі бар. «Әлсіз» сигнал контроллерде орнатылған шекті мәннен төмен екенін білдіреді. Клиент ажыратылғаннан кейін ол басқа кіру нүктесін табу үшін тексеру сұрауын жібереді.
Мысалы, сигналы -65дБм төмен кіру нүктесіне қосылған клиент, егер станцияны ажырату шегі -60дБм болса, бұл жағдайда кіру нүктесі осы сигнал деңгейімен клиентті ажыратады. Клиент енді қайта қосылу процедурасын бастайды және сигналы -60дБм (станция сигналының шегі) жоғары немесе оған тең басқа кіру нүктесіне қосылады.
Бұл бірнеше кіру нүктелерін пайдаланған кезде маңызды. Бұл клиенттердің көпшілігі бір нүктеде жиналатын, ал басқа кіру нүктелері жұмыссыз болатын жағдайды болдырмайды.
Сонымен қатар, сіз әлсіз сигналмен клиенттердің қосылуын шектей аласыз, олар бөлменің периметрінен тыс жерде, мысалы, көрші кеңседегі қабырғаның артында орналасқан, бұл бізге бұл функцияны жанама әдіс ретінде қарастыруға мүмкіндік береді. қорғау.
Қауіпсіздікті жақсарту жолдарының бірі ретінде WiFi 6 жүйесіне ауысу
Біз алдыңғы мақалада тікелей емдеудің артықшылықтары туралы айтқан болатынбыз. «Сымсыз және сымды желілерді қорғаудың ерекшеліктері. 1-бөлім – Тікелей қорғаныс шаралары».
WiFi 6 желілері жылдамырақ деректерді беру жылдамдығын қамтамасыз етеді. Бір жағынан, жаңа стандарттар тобы жылдамдықты арттыруға мүмкіндік береді, екінші жағынан, бір аймақта одан да көп кіру нүктелерін орналастыруға болады. Жаңа стандарт жоғары жылдамдықта жіберу үшін аз қуатты пайдалануға мүмкіндік береді.
Деректерді тасымалдау жылдамдығын арттыру.
WiFi 6-ға көшу алмасу жылдамдығын 11 Гб/с дейін арттыруды қамтиды (модуляция түрі 1024-QAM, 160 МГц арналар). Сонымен қатар, WiFi 6 қолдайтын жаңа құрылғылардың өнімділігі жақсырақ. Әрбір пайдаланушы үшін VPN арнасы сияқты қосымша қауіпсіздік шараларын енгізу кезіндегі негізгі мәселелердің бірі жылдамдықтың төмендеуі болып табылады. WiFi 6 көмегімен қосымша қауіпсіздік жүйелерін енгізу оңайырақ болады.
BSS бояуы
Біркелкі қамту WiFi сигналының периметрден тыс енуін азайтуы мүмкін екенін бұрын жазғанбыз. Бірақ кіру нүктелерінің санының одан әрі өсуімен тіпті Auto Healing қолданбасын пайдалану жеткіліксіз болуы мүмкін, өйткені көрші нүктеден «бөтен» трафик әлі де қабылдау аймағына енеді.
BSS Coloring пайдалану кезінде кіру нүктесі деректер пакеттеріне арнайы белгілер (түстер) қалдырады. Бұл көршілес таратқыш құрылғылардың (кіру нүктелерінің) әсерін елемеуге мүмкіндік береді.
Жақсартылған MU-MIMO
802.11ax MU-MIMO (Multi-User - Multiple Input Multiple Output) технологиясына да маңызды жақсартуларға ие. MU-MIMO кіру нүктесіне бір уақытта бірнеше құрылғылармен байланысуға мүмкіндік береді. Бірақ алдыңғы стандартта бұл технология бір жиіліктегі төрт клиенттен тұратын топтарға ғана қолдау көрсете алады. Бұл жіберуді жеңілдетті, бірақ қабылдау емес. WiFi 6 жіберу және қабылдау үшін 8x8 көп пайдаланушы MIMO пайдаланады.
Ескерту: 802.11ax төмен ағындық MU-MIMO топтарының өлшемін үлкейтіп, WiFi желісінің тиімдірек өнімділігін қамтамасыз етеді. Көп пайдаланушыға арналған MIMO байланысы 802.11ax нұсқасына жаңа қосымша болып табылады.
OFDMA (Ортогональды жиілікті бөлу көп қолжетімділік)
Арнаға қол жеткізу мен басқарудың бұл жаңа әдісі LTE ұялы технологиясында дәлелденген технологиялар негізінде әзірленген.
OFDMA әр жіберуге уақыт аралығын тағайындау және жиілікті бөлуді қолдану арқылы бір желіде немесе арнада бір уақытта бірнеше сигнал жіберуге мүмкіндік береді. Нәтижесінде арнаны жақсырақ пайдалану есебінен жылдамдық артып қана қоймайды, сонымен қатар қауіпсіздік те артады.
Резюме
WiFi желілері жыл сайын қауіпсіз болып келеді. Заманауи технологияларды пайдалану рұқсат етілген қорғаныс деңгейін ұйымдастыруға мүмкіндік береді.
Трафикті шифрлау түріндегі тікелей қорғау әдістері өзін жақсы дәлелдеді. Қосымша шаралар туралы ұмытпаңыз: MAC арқылы сүзгілеу, желі идентификаторын жасыру, Rogue AP Detection (Rogue AP Containment).
Бірақ сымсыз құрылғылардың бірлескен жұмысын жақсартатын және деректер алмасу жылдамдығын арттыратын жанама шаралар да бар.
Жаңа технологияларды пайдалану нүктелерден сигнал деңгейін төмендетуге мүмкіндік береді, қамтуды біркелкі етеді, бұл тұтастай алғанда бүкіл сымсыз желінің денсаулығына, соның ішінде қауіпсіздікке жақсы әсер етеді.
Қауіпсіздікті жақсарту үшін барлық құралдардың тиімді екенін қарапайым сана айтады: тікелей де, жанама да. Бұл комбинация шабуылдаушының өмірін мүмкіндігінше қиындатуға мүмкіндік береді.
Пайдалы сілтемелер:
- Сымсыз және сымды желілерді қорғау ерекшеліктері. 1-бөлім - Тікелей қорғаныс шаралары
Ақпарат көзі: www.habr.com