🥇Bezvadu un vadu tīklu aizsardzības funkcijas. 2. daļa. Netiešie aizsardzības pasākumi

Turpinām sarunu par metodēm tīkla drošības paaugstināšanai. Šajā rakstā mēs runāsim par papildu drošības pasākumiem un drošāku bezvadu tīklu organizēšanu.

Priekšvārds otrajai daļai

Iepriekšējā rakstā “Bezvadu un vadu tīklu aizsardzības funkcijas. 1. daļa — tiešie aizsardzības pasākumi Notika diskusija par WiFi tīkla drošības problēmām un tiešajām aizsardzības metodēm pret nesankcionētu piekļuvi. Tika apsvērti acīmredzami satiksmes pārtveršanas novēršanas pasākumi: šifrēšana, tīkla slēpšana un MAC filtrēšana, kā arī īpašas metodes, piemēram, cīņa pret Rogue AP. Tomēr papildus tiešajām aizsardzības metodēm ir arī netiešas. Tās ir tehnoloģijas, kas ne tikai palīdz uzlabot sakaru kvalitāti, bet arī vēl vairāk uzlabo drošību.

Divas galvenās bezvadu tīklu iezīmes: attālināta bezkontakta piekļuve un radio ēters kā apraides medijs datu pārraidei, kur jebkurš signāla uztvērējs var klausīties gaisu, un jebkurš raidītājs var aizsprostot tīklu ar nelietderīgām pārraidēm un vienkārši radio traucējumiem. Tam, cita starpā, nav vislabākās ietekmes uz bezvadu tīkla vispārējo drošību.

Ar drošību vien jūs nedzīvosit. Mums vēl kaut kā jāstrādā, tas ir, jāapmainās ar datiem. Un šajā pusē ir daudz citu sūdzību par WiFi:

pārklājuma nepilnības (“baltie plankumi”);
ārējo avotu un blakus esošo piekļuves punktu ietekme viens uz otru.

Rezultātā iepriekš aprakstīto problēmu dēļ signāla kvalitāte pasliktinās, savienojums zaudē stabilitāti, samazinās datu apmaiņas ātrums.

Protams, vadu tīklu cienītāji ar prieku atzīmēs, ka, izmantojot kabeļu un jo īpaši optiskās šķiedras savienojumus, šādas problēmas netiek novērotas.

Rodas jautājums: vai ir iespējams kaut kā atrisināt šīs problēmas, neizmantojot nekādus drastiskus līdzekļus, piemēram, visu neapmierināto cilvēku atkārtotu pievienošanu vadu tīklam?

Kur sākas visas problēmas?

Biroja un citu WiFi tīklu rašanās laikā tie visbiežāk sekoja vienkāršam algoritmam: perimetra centrā novietoja vienu piekļuves punktu, lai maksimāli palielinātu pārklājumu. Ja attāliem apgabaliem nebija pietiekami daudz signāla stipruma, piekļuves punktam tika pievienota pastiprinošā antena. Ļoti reti tika pievienots otrs piekļuves punkts, piemēram, attālam direktora birojam. Tas, iespējams, ir visi uzlabojumi.

Šai pieejai bija savi iemesli. Pirmkārt, bezvadu tīklu rītausmā to aprīkojums bija dārgs. Otrkārt, vairāku piekļuves punktu uzstādīšana nozīmēja saskarties ar jautājumiem, uz kuriem tajā laikā nebija atbilžu. Piemēram, kā organizēt netraucētu klientu pārslēgšanos starp punktiem? Kā tikt galā ar savstarpēju iejaukšanos? Kā vienkāršot un racionalizēt punktu pārvaldību, piemēram, vienlaicīga aizliegumu/atļauju piemērošana, uzraudzība utt. Tāpēc bija daudz vieglāk ievērot principu: jo mazāk ierīču, jo labāk.

Tajā pašā laikā piekļuves punkts, kas atrodas zem griestiem, tiek pārraidīts apļveida (precīzāk, apaļā) diagrammā.

Taču arhitektūras ēku formas ne pārāk labi iederas apaļajās signāla izplatīšanās diagrammās. Tāpēc dažviet signāls gandrīz nesasniedz, un tas ir jāpastiprina, un dažviet apraide pārsniedz perimetru un kļūst pieejama nepiederošām personām.

1. attēls. Pārklājuma piemērs, izmantojot vienu biroja punktu.

Piezīme. Tas ir aptuvens tuvinājums, kurā nav ņemti vērā šķēršļi izplatībai, kā arī signāla virziens. Praksē dažādu punktu modeļu diagrammu formas var atšķirties.

Situāciju var uzlabot, izmantojot vairāk piekļuves punktu.

Pirmkārt, tas ļaus raidierīces efektīvāk izplatīt telpas zonā.

Otrkārt, kļūst iespējams samazināt signāla līmeni, neļaujot tam iziet ārpus biroja vai cita objekta perimetra. Šajā gadījumā, lai nolasītu bezvadu tīkla trafiku, jums gandrīz jāpietuvojas perimetram vai pat jāievada tā robežas. Uzbrucējs rīkojas līdzīgi, lai ielauztos iekšējā vadu tīklā.

2. attēls. Piekļuves punktu skaita palielināšana ļauj labāk sadalīt pārklājumu.

Apskatīsim abus attēlus vēlreiz. Pirmais skaidri parāda vienu no galvenajām bezvadu tīkla ievainojamībām - signālu var uztvert pienācīgā attālumā.

Otrajā attēlā situācija nav tik progresīva. Jo vairāk piekļuves punktu, jo efektīvāka ir pārklājuma zona, un tajā pašā laikā signāla jauda gandrīz nesniedzas ārpus perimetra, rupji sakot, ārpus biroja, biroja, ēkas un citu iespējamo objektu robežām.

Uzbrucējam būs kaut kā nepamanītam jāpielavās tuvāk, lai pārtvertu salīdzinoši vāju signālu “no ielas” vai “no koridora” un tā tālāk. Lai to izdarītu, jums jāpiekļūst tuvu biroja ēkai, piemēram, lai stāvētu zem logiem. Vai arī mēģiniet iekļūt pašā biroja ēkā. Jebkurā gadījumā tas palielina risku tikt pieķertam videonovērošanā un apsardzes pamanīšanai. Tas ievērojami samazina uzbrukuma laika intervālu. Diez vai to var saukt par "ideāliem uzlaušanas apstākļiem".

Protams, paliek vēl viens “sākotnējais grēks”: bezvadu tīkli tiek pārraidīti pieejamā diapazonā, ko var pārtvert visi klienti. Patiešām, WiFi tīklu var salīdzināt ar Ethernet HUB, kur signāls tiek pārraidīts uz visiem portiem vienlaikus. Lai no tā izvairītos, ideālā gadījumā katram ierīču pārim vajadzētu sazināties pa savu frekvenču kanālu, ko neviens cits nedrīkst traucēt.

Šeit ir galveno problēmu kopsavilkums. Apsvērsim veidus, kā tos atrisināt.

Līdzekļi: tiešie un netiešie

Kā jau minēts iepriekšējā rakstā, perfektu aizsardzību nevar panākt jebkurā gadījumā. Bet jūs varat maksimāli apgrūtināt uzbrukuma veikšanu, padarot rezultātu nerentablu attiecībā pret iztērētajām pūlēm.

Parasti aizsardzības līdzekļus var iedalīt divās galvenajās grupās:

tiešās satiksmes aizsardzības tehnoloģijas, piemēram, šifrēšana vai MAC filtrēšana;
tehnoloģijas, kas sākotnēji bija paredzētas citiem mērķiem, piemēram, ātruma palielināšanai, bet tajā pašā laikā netieši apgrūtina uzbrucēja dzīvi.

Pirmā grupa tika aprakstīta pirmajā daļā. Taču mūsu arsenālā ir arī papildu netiešie pasākumi. Kā minēts iepriekš, piekļuves punktu skaita palielināšana ļauj samazināt signāla līmeni un padarīt pārklājuma zonu vienādu, un tas apgrūtina uzbrucēja dzīvi.

Vēl viens brīdinājums ir tāds, ka, palielinot datu pārraides ātrumu, ir vieglāk piemērot papildu drošības pasākumus. Piemēram, katrā klēpjdatorā varat instalēt VPN klientu un pārsūtīt datus pat vietējā tīklā, izmantojot šifrētus kanālus. Tam būs nepieciešami daži resursi, tostarp aparatūra, taču aizsardzības līmenis ievērojami palielināsies.

Zemāk mēs sniedzam tehnoloģiju aprakstu, kas var uzlabot tīkla veiktspēju un netieši paaugstināt aizsardzības pakāpi.

Netieši aizsardzības uzlabošanas līdzekļi – kas var palīdzēt?

Klientu vadība

Klienta vadības funkcija liek klienta ierīcēm vispirms izmantot 5 GHz joslu. Ja šī iespēja klientam nav pieejama, viņš joprojām varēs izmantot 2.4 GHz. Mantotajiem tīkliem ar nelielu piekļuves punktu skaitu lielākā daļa darba tiek veikta 2.4 GHz joslā. 5 GHz frekvenču diapazonam viena piekļuves punkta shēma daudzos gadījumos būs nepieņemama. Fakts ir tāds, ka signāls ar augstāku frekvenci iziet cauri sienām un sliktāk izliecas ap šķēršļiem. Parastais ieteikums: lai nodrošinātu garantētu saziņu 5 GHz joslā, vēlams strādāt redzamības zonā no piekļuves punkta.

Mūsdienu standartos 802.11ac un 802.11ax, pateicoties lielākam kanālu skaitam, ir iespējams uzstādīt vairākus piekļuves punktus tuvākā attālumā, kas ļauj samazināt jaudu, nezaudējot vai pat nepalielinot datu pārraides ātrumu. Rezultātā 5GHz joslas izmantošana apgrūtina dzīvi uzbrucējiem, bet uzlabo saziņas kvalitāti sasniedzamajiem klientiem.

Šī funkcija tiek parādīta:

Miglāja un NebulaFlex piekļuves punktos;
ugunsmūros ar kontroliera funkciju.

Automātiskā dziedināšana

Kā minēts iepriekš, telpas perimetra kontūras labi neiederas piekļuves punktu apaļajās diagrammās.

Lai atrisinātu šo problēmu, pirmkārt, ir jāizmanto optimālais piekļuves punktu skaits un, otrkārt, jāsamazina savstarpējā ietekme. Bet, ja jūs vienkārši manuāli samazinat raidītāju jaudu, šādi tiešie traucējumi var izraisīt sakaru pasliktināšanos. Tas būs īpaši pamanāms, ja viens vai vairāki piekļuves punkti neizdosies.

Automātiskā dziedināšana ļauj ātri pielāgot jaudu, nezaudējot uzticamību un datu pārraides ātrumu.

Izmantojot šo funkciju, kontrolieris pārbauda piekļuves punktu statusu un funkcionalitāti. Ja kāds no tiem nedarbojas, tad blakus esošajiem tiek uzdots palielināt signāla stiprumu, lai aizpildītu “balto plankumu”. Kad piekļuves punkts atkal darbojas, blakus esošajiem punktiem tiek uzdots samazināt signāla stiprumu, lai samazinātu savstarpējos traucējumus.

Bezšuvju WiFi viesabonēšana

No pirmā acu uzmetiena šo tehnoloģiju diez vai var saukt par drošības līmeņa paaugstināšanu, drīzāk, gluži pretēji, tā klientam (arī uzbrucējam) atvieglo pārslēgšanos starp piekļuves punktiem tajā pašā tīklā. Bet, ja tiek izmantoti divi vai vairāki piekļuves punkti, jums ir jānodrošina ērta darbība bez liekām problēmām. Turklāt, ja piekļuves punkts ir pārslogots, tas sliktāk tiek galā ar tādām drošības funkcijām kā šifrēšana, notiek datu apmaiņas aizkavēšanās un citas nepatīkamas lietas. Šajā sakarā bezšuvju viesabonēšana ir lielisks palīgs, lai elastīgi sadalītu slodzi un nodrošinātu nepārtrauktu darbību aizsargātā režīmā.

Signāla stipruma sliekšņu konfigurēšana bezvadu klientu pievienošanai un atvienošanai (signāla slieksnis vai signāla stipruma diapazons)

Izmantojot vienu piekļuves punktu, šai funkcijai principā nav nozīmes. Bet ar nosacījumu, ka darbojas vairāki kontrollera kontrolēti punkti, ir iespējams organizēt mobilo klientu sadali pa dažādām AP. Ir vērts atgādināt, ka piekļuves punkta kontrollera funkcijas ir pieejamas daudzās Zyxel maršrutētāju līnijās: ATP, USG, USG FLEX, VPN, ZyWALL.

Iepriekš minētajām ierīcēm ir funkcija, lai atvienotu klientu, kas ir savienots ar SSID ar vāju signālu. “Vājš” nozīmē, ka signāls ir zem kontrollera iestatītā sliekšņa. Kad klients ir atvienots, tas nosūtīs pārbaudes pieprasījumu, lai atrastu citu piekļuves punktu.

Piemēram, klients, kas pieslēdzies piekļuves punktam ar signālu zem -65dBm, ja stacijas atvienošanas slieksnis ir -60dBm, šajā gadījumā piekļuves punkts atslēgs klientu ar šo signāla līmeni. Tagad klients sāk atkārtotas savienošanas procedūru un jau izveidos savienojumu ar citu piekļuves punktu ar signālu, kas ir lielāks vai vienāds ar -60 dBm (stacijas signāla slieksnis).

Tas ir svarīgi, ja izmantojat vairākus piekļuves punktus. Tas novērš situāciju, kad lielākā daļa klientu uzkrājas vienā punktā, bet citi piekļuves punkti ir dīkstāvē.

Turklāt jūs varat ierobežot to klientu savienojumu ar vāju signālu, kuri, visticamāk, atrodas ārpus telpas perimetra, piemēram, aiz sienas blakus birojā, kas arī ļauj uzskatīt šo funkciju par netiešu metodi. aizsardzību.

Pārslēgšanās uz WiFi 6 kā viens no drošības uzlabošanas veidiem

Mēs jau runājām par tiešo līdzekļu priekšrocībām iepriekšējā rakstā. “Bezvadu un vadu tīklu aizsardzības funkcijas. 1. daļa — tiešie aizsardzības pasākumi.

WiFi 6 tīkli nodrošina lielāku datu pārraides ātrumu. No vienas puses, jaunā standartu grupa ļauj palielināt ātrumu, no otras puses, tajā pašā zonā var izvietot vēl vairāk piekļuves punktu. Jaunais standarts ļauj izmantot mazāku jaudu, lai pārraidītu ar lielāku ātrumu.

Palielināts datu pārraides ātrums.

Pāreja uz WiFi 6 ietver apmaiņas ātruma palielināšanu līdz 11Gb/s (modulācijas veids 1024-QAM, 160 MHz kanāli). Tajā pašā laikā jaunajām ierīcēm, kas atbalsta WiFi 6, ir labāka veiktspēja. Viena no galvenajām problēmām, ieviešot papildu drošības pasākumus, piemēram, VPN kanālu katram lietotājam, ir ātruma kritums. Izmantojot WiFi 6, būs vieglāk ieviest papildu drošības sistēmas.

BSS krāsošana

Iepriekš rakstījām, ka vienmērīgāks pārklājums var samazināt WiFi signāla iekļūšanu ārpus perimetra. Bet, turpinot pieaugt piekļuves punktu skaitam, pat ar Auto Healing izmantošanu var nepietikt, jo “ārzemju” satiksme no blakus punkta joprojām iekļūs uzņemšanas zonā.

Izmantojot BSS Coloring, piekļuves punkts atstāj īpašas atzīmes (krāso) savas datu paketes. Tas ļauj ignorēt blakus esošo raidīšanas ierīču (piekļuves punktu) ietekmi.

Uzlabota MU-MIMO

802.11ax ir arī būtiski uzlabojumi MU-MIMO (vairāku lietotāju — vairākas ievades vairākas izejas) tehnoloģijā. MU-MIMO ļauj piekļuves punktam sazināties ar vairākām ierīcēm vienlaikus. Taču iepriekšējā standartā šī tehnoloģija varēja atbalstīt tikai četru klientu grupas vienā frekvencē. Tas atviegloja pārraidi, bet ne uztveršanu. WiFi 6 pārraidei un saņemšanai izmanto 8x8 daudzlietotāju MIMO.

Piezīme. 802.11ax palielina pakārtoto MU-MIMO grupu lielumu, nodrošinot efektīvāku WiFi tīkla veiktspēju. Vairāku lietotāju MIMO augšupsaite ir jauns 802.11ax papildinājums.

OFDMA (ortogonāla frekvenču dalījuma daudzkārtēja piekļuve)

Šī jaunā kanāla piekļuves un kontroles metode ir izstrādāta, pamatojoties uz tehnoloģijām, kas jau ir pārbaudītas LTE mobilajā tehnoloģijā.

OFDMA ļauj vienā līnijā vai kanālā vienlaikus nosūtīt vairāk nekā vienu signālu, katrai pārraidei piešķirot laika intervālu un piemērojot frekvenču dalījumu. Rezultātā, pateicoties labākai kanāla izmantošanai, palielinās ne tikai ātrums, bet arī palielinās drošība.

Kopsavilkums

WiFi tīkli ar katru gadu kļūst drošāki. Mūsdienu tehnoloģiju izmantošana ļauj organizēt pieņemamu aizsardzības līmeni.

Tiešās aizsardzības metodes trafika šifrēšanas veidā ir sevi pierādījušas diezgan labi. Neaizmirstiet par papildu pasākumiem: filtrēšana pēc MAC, tīkla ID slēpšana, negodīga AP noteikšana (negodīgs AP ierobežojums).

Bet ir arī netieši pasākumi, kas uzlabo bezvadu ierīču kopīgo darbību un palielina datu apmaiņas ātrumu.

Jauno tehnoloģiju izmantošana ļauj samazināt signāla līmeni no punktiem, padarot pārklājumu vienmērīgāku, kas labi ietekmē visa bezvadu tīkla veselību kopumā, tostarp drošību.

Veselais saprāts nosaka, ka drošības uzlabošanai ir piemēroti visi līdzekļi: gan tiešie, gan netiešie. Šī kombinācija ļauj uzbrucējam padarīt dzīvi pēc iespējas grūtāku.

Noderīgas saites:

Avots: www.habr.com

Bezvadu un vadu tīklu aizsardzības iezīmes. 2. daļa — Netiešie aizsardzības pasākumi