TurpinÄm sarunu par metodÄm tÄ«kla droŔības paaugstinÄÅ”anai. Å ajÄ rakstÄ mÄs runÄsim par papildu droŔības pasÄkumiem un droÅ”Äku bezvadu tÄ«klu organizÄÅ”anu.
PriekÅ”vÄrds otrajai daļai
IepriekÅ”ÄjÄ rakstÄ āBezvadu un vadu tÄ«klu aizsardzÄ«bas funkcijas. 1. daļa ā tieÅ”ie aizsardzÄ«bas pasÄkumi Notika diskusija par WiFi tÄ«kla droŔības problÄmÄm un tieÅ”ajÄm aizsardzÄ«bas metodÄm pret nesankcionÄtu piekļuvi. Tika apsvÄrti acÄ«mredzami satiksmes pÄrtverÅ”anas novÄrÅ”anas pasÄkumi: Å”ifrÄÅ”ana, tÄ«kla slÄpÅ”ana un MAC filtrÄÅ”ana, kÄ arÄ« Ä«paÅ”as metodes, piemÄram, cÄ«Åa pret Rogue AP. TomÄr papildus tieÅ”ajÄm aizsardzÄ«bas metodÄm ir arÄ« netieÅ”as. TÄs ir tehnoloÄ£ijas, kas ne tikai palÄ«dz uzlabot sakaru kvalitÄti, bet arÄ« vÄl vairÄk uzlabo droŔību.
Divas galvenÄs bezvadu tÄ«klu iezÄ«mes: attÄlinÄta bezkontakta piekļuve un radio Äters kÄ apraides medijs datu pÄrraidei, kur jebkurÅ” signÄla uztvÄrÄjs var klausÄ«ties gaisu, un jebkurÅ” raidÄ«tÄjs var aizsprostot tÄ«klu ar nelietderÄ«gÄm pÄrraidÄm un vienkÄrÅ”i radio traucÄjumiem. Tam, cita starpÄ, nav vislabÄkÄs ietekmes uz bezvadu tÄ«kla vispÄrÄjo droŔību.
Ar droŔību vien jÅ«s nedzÄ«vosit. Mums vÄl kaut kÄ jÄstrÄdÄ, tas ir, jÄapmainÄs ar datiem. Un Å”ajÄ pusÄ ir daudz citu sÅ«dzÄ«bu par WiFi:
pÄrklÄjuma nepilnÄ«bas (ābaltie plankumiā);
ÄrÄjo avotu un blakus esoÅ”o piekļuves punktu ietekme viens uz otru.
Protams, vadu tÄ«klu cienÄ«tÄji ar prieku atzÄ«mÄs, ka, izmantojot kabeļu un jo Ä«paÅ”i optiskÄs Ŕķiedras savienojumus, Å”Ädas problÄmas netiek novÄrotas.
Rodas jautÄjums: vai ir iespÄjams kaut kÄ atrisinÄt Ŕīs problÄmas, neizmantojot nekÄdus drastiskus lÄ«dzekļus, piemÄram, visu neapmierinÄto cilvÄku atkÄrtotu pievienoÅ”anu vadu tÄ«klam?
Kur sÄkas visas problÄmas?
Biroja un citu WiFi tÄ«klu raÅ”anÄs laikÄ tie visbiežÄk sekoja vienkÄrÅ”am algoritmam: perimetra centrÄ novietoja vienu piekļuves punktu, lai maksimÄli palielinÄtu pÄrklÄjumu. Ja attÄliem apgabaliem nebija pietiekami daudz signÄla stipruma, piekļuves punktam tika pievienota pastiprinoÅ”Ä antena. Ä»oti reti tika pievienots otrs piekļuves punkts, piemÄram, attÄlam direktora birojam. Tas, iespÄjams, ir visi uzlabojumi.
Å ai pieejai bija savi iemesli. PirmkÄrt, bezvadu tÄ«klu rÄ«tausmÄ to aprÄ«kojums bija dÄrgs. OtrkÄrt, vairÄku piekļuves punktu uzstÄdÄ«Å”ana nozÄ«mÄja saskarties ar jautÄjumiem, uz kuriem tajÄ laikÄ nebija atbilžu. PiemÄram, kÄ organizÄt netraucÄtu klientu pÄrslÄgÅ”anos starp punktiem? KÄ tikt galÄ ar savstarpÄju iejaukÅ”anos? KÄ vienkÄrÅ”ot un racionalizÄt punktu pÄrvaldÄ«bu, piemÄram, vienlaicÄ«ga aizliegumu/atļauju piemÄroÅ”ana, uzraudzÄ«ba utt. TÄpÄc bija daudz vieglÄk ievÄrot principu: jo mazÄk ierÄ«Äu, jo labÄk.
TajÄ paÅ”Ä laikÄ piekļuves punkts, kas atrodas zem griestiem, tiek pÄrraidÄ«ts apļveida (precÄ«zÄk, apaļÄ) diagrammÄ.
TaÄu arhitektÅ«ras Äku formas ne pÄrÄk labi iederas apaļajÄs signÄla izplatÄ«Å”anÄs diagrammÄs. TÄpÄc dažviet signÄls gandrÄ«z nesasniedz, un tas ir jÄpastiprina, un dažviet apraide pÄrsniedz perimetru un kļūst pieejama nepiederoÅ”Äm personÄm.
1. attÄls. PÄrklÄjuma piemÄrs, izmantojot vienu biroja punktu.
PiezÄ«me. Tas ir aptuvens tuvinÄjums, kurÄ nav Åemti vÄrÄ Å”Ä·ÄrŔļi izplatÄ«bai, kÄ arÄ« signÄla virziens. PraksÄ dažÄdu punktu modeļu diagrammu formas var atŔķirties.
SituÄciju var uzlabot, izmantojot vairÄk piekļuves punktu.
PirmkÄrt, tas ļaus raidierÄ«ces efektÄ«vÄk izplatÄ«t telpas zonÄ.
OtrkÄrt, kļūst iespÄjams samazinÄt signÄla lÄ«meni, neļaujot tam iziet Ärpus biroja vai cita objekta perimetra. Å ajÄ gadÄ«jumÄ, lai nolasÄ«tu bezvadu tÄ«kla trafiku, jums gandrÄ«z jÄpietuvojas perimetram vai pat jÄievada tÄ robežas. UzbrucÄjs rÄ«kojas lÄ«dzÄ«gi, lai ielauztos iekÅ”ÄjÄ vadu tÄ«klÄ.
2. attÄls. Piekļuves punktu skaita palielinÄÅ”ana ļauj labÄk sadalÄ«t pÄrklÄjumu.
ApskatÄ«sim abus attÄlus vÄlreiz. Pirmais skaidri parÄda vienu no galvenajÄm bezvadu tÄ«kla ievainojamÄ«bÄm - signÄlu var uztvert pienÄcÄ«gÄ attÄlumÄ.
OtrajÄ attÄlÄ situÄcija nav tik progresÄ«va. Jo vairÄk piekļuves punktu, jo efektÄ«vÄka ir pÄrklÄjuma zona, un tajÄ paÅ”Ä laikÄ signÄla jauda gandrÄ«z nesniedzas Ärpus perimetra, rupji sakot, Ärpus biroja, biroja, Äkas un citu iespÄjamo objektu robežÄm.
UzbrucÄjam bÅ«s kaut kÄ nepamanÄ«tam jÄpielavÄs tuvÄk, lai pÄrtvertu salÄ«dzinoÅ”i vÄju signÄlu āno ielasā vai āno koridoraā un tÄ tÄlÄk. Lai to izdarÄ«tu, jums jÄpiekļūst tuvu biroja Äkai, piemÄram, lai stÄvÄtu zem logiem. Vai arÄ« mÄÄ£iniet iekļūt paÅ”Ä biroja ÄkÄ. JebkurÄ gadÄ«jumÄ tas palielina risku tikt pieÄ·ertam videonovÄroÅ”anÄ un apsardzes pamanÄ«Å”anai. Tas ievÄrojami samazina uzbrukuma laika intervÄlu. Diez vai to var saukt par "ideÄliem uzlauÅ”anas apstÄkļiem".
Protams, paliek vÄl viens āsÄkotnÄjais grÄksā: bezvadu tÄ«kli tiek pÄrraidÄ«ti pieejamÄ diapazonÄ, ko var pÄrtvert visi klienti. PatieÅ”Äm, WiFi tÄ«klu var salÄ«dzinÄt ar Ethernet HUB, kur signÄls tiek pÄrraidÄ«ts uz visiem portiem vienlaikus. Lai no tÄ izvairÄ«tos, ideÄlÄ gadÄ«jumÄ katram ierÄ«Äu pÄrim vajadzÄtu sazinÄties pa savu frekvenÄu kanÄlu, ko neviens cits nedrÄ«kst traucÄt.
Å eit ir galveno problÄmu kopsavilkums. ApsvÄrsim veidus, kÄ tos atrisinÄt.
Līdzekļi: tieŔie un netieŔie
KÄ jau minÄts iepriekÅ”ÄjÄ rakstÄ, perfektu aizsardzÄ«bu nevar panÄkt jebkurÄ gadÄ«jumÄ. Bet jÅ«s varat maksimÄli apgrÅ«tinÄt uzbrukuma veikÅ”anu, padarot rezultÄtu nerentablu attiecÄ«bÄ pret iztÄrÄtajÄm pÅ«lÄm.
Parasti aizsardzÄ«bas lÄ«dzekļus var iedalÄ«t divÄs galvenajÄs grupÄs:
tieÅ”Äs satiksmes aizsardzÄ«bas tehnoloÄ£ijas, piemÄram, Å”ifrÄÅ”ana vai MAC filtrÄÅ”ana;
tehnoloÄ£ijas, kas sÄkotnÄji bija paredzÄtas citiem mÄrÄ·iem, piemÄram, Ätruma palielinÄÅ”anai, bet tajÄ paÅ”Ä laikÄ netieÅ”i apgrÅ«tina uzbrucÄja dzÄ«vi.
PirmÄ grupa tika aprakstÄ«ta pirmajÄ daļÄ. TaÄu mÅ«su arsenÄlÄ ir arÄ« papildu netieÅ”ie pasÄkumi. KÄ minÄts iepriekÅ”, piekļuves punktu skaita palielinÄÅ”ana ļauj samazinÄt signÄla lÄ«meni un padarÄ«t pÄrklÄjuma zonu vienÄdu, un tas apgrÅ«tina uzbrucÄja dzÄ«vi.
VÄl viens brÄ«dinÄjums ir tÄds, ka, palielinot datu pÄrraides Ätrumu, ir vieglÄk piemÄrot papildu droŔības pasÄkumus. PiemÄram, katrÄ klÄpjdatorÄ varat instalÄt VPN klientu un pÄrsÅ«tÄ«t datus pat vietÄjÄ tÄ«klÄ, izmantojot Å”ifrÄtus kanÄlus. Tam bÅ«s nepiecieÅ”ami daži resursi, tostarp aparatÅ«ra, taÄu aizsardzÄ«bas lÄ«menis ievÄrojami palielinÄsies.
ZemÄk mÄs sniedzam tehnoloÄ£iju aprakstu, kas var uzlabot tÄ«kla veiktspÄju un netieÅ”i paaugstinÄt aizsardzÄ«bas pakÄpi.
NetieÅ”i aizsardzÄ«bas uzlaboÅ”anas lÄ«dzekļi ā kas var palÄ«dzÄt?
Klientu vadība
Klienta vadÄ«bas funkcija liek klienta ierÄ«cÄm vispirms izmantot 5 GHz joslu. Ja Ŕī iespÄja klientam nav pieejama, viÅÅ” joprojÄm varÄs izmantot 2.4 GHz. Mantotajiem tÄ«kliem ar nelielu piekļuves punktu skaitu lielÄkÄ daļa darba tiek veikta 2.4 GHz joslÄ. 5 GHz frekvenÄu diapazonam viena piekļuves punkta shÄma daudzos gadÄ«jumos bÅ«s nepieÅemama. Fakts ir tÄds, ka signÄls ar augstÄku frekvenci iziet cauri sienÄm un sliktÄk izliecas ap ŔķÄrŔļiem. Parastais ieteikums: lai nodroÅ”inÄtu garantÄtu saziÅu 5 GHz joslÄ, vÄlams strÄdÄt redzamÄ«bas zonÄ no piekļuves punkta.
MÅ«sdienu standartos 802.11ac un 802.11ax, pateicoties lielÄkam kanÄlu skaitam, ir iespÄjams uzstÄdÄ«t vairÄkus piekļuves punktus tuvÄkÄ attÄlumÄ, kas ļauj samazinÄt jaudu, nezaudÄjot vai pat nepalielinot datu pÄrraides Ätrumu. RezultÄtÄ 5GHz joslas izmantoÅ”ana apgrÅ«tina dzÄ«vi uzbrucÄjiem, bet uzlabo saziÅas kvalitÄti sasniedzamajiem klientiem.
Å Ä« funkcija tiek parÄdÄ«ta:
MiglÄja un NebulaFlex piekļuves punktos;
ugunsmūros ar kontroliera funkciju.
AutomÄtiskÄ dziedinÄÅ”ana
KÄ minÄts iepriekÅ”, telpas perimetra kontÅ«ras labi neiederas piekļuves punktu apaļajÄs diagrammÄs.
Lai atrisinÄtu Å”o problÄmu, pirmkÄrt, ir jÄizmanto optimÄlais piekļuves punktu skaits un, otrkÄrt, jÄsamazina savstarpÄjÄ ietekme. Bet, ja jÅ«s vienkÄrÅ”i manuÄli samazinat raidÄ«tÄju jaudu, Å”Ädi tieÅ”ie traucÄjumi var izraisÄ«t sakaru pasliktinÄÅ”anos. Tas bÅ«s Ä«paÅ”i pamanÄms, ja viens vai vairÄki piekļuves punkti neizdosies.
AutomÄtiskÄ dziedinÄÅ”ana ļauj Ätri pielÄgot jaudu, nezaudÄjot uzticamÄ«bu un datu pÄrraides Ätrumu.
Izmantojot Å”o funkciju, kontrolieris pÄrbauda piekļuves punktu statusu un funkcionalitÄti. Ja kÄds no tiem nedarbojas, tad blakus esoÅ”ajiem tiek uzdots palielinÄt signÄla stiprumu, lai aizpildÄ«tu ābalto plankumuā. Kad piekļuves punkts atkal darbojas, blakus esoÅ”ajiem punktiem tiek uzdots samazinÄt signÄla stiprumu, lai samazinÄtu savstarpÄjos traucÄjumus.
BezÅ”uvju WiFi viesabonÄÅ”ana
No pirmÄ acu uzmetiena Å”o tehnoloÄ£iju diez vai var saukt par droŔības lÄ«meÅa paaugstinÄÅ”anu, drÄ«zÄk, gluži pretÄji, tÄ klientam (arÄ« uzbrucÄjam) atvieglo pÄrslÄgÅ”anos starp piekļuves punktiem tajÄ paÅ”Ä tÄ«klÄ. Bet, ja tiek izmantoti divi vai vairÄki piekļuves punkti, jums ir jÄnodroÅ”ina Ärta darbÄ«ba bez liekÄm problÄmÄm. TurklÄt, ja piekļuves punkts ir pÄrslogots, tas sliktÄk tiek galÄ ar tÄdÄm droŔības funkcijÄm kÄ Å”ifrÄÅ”ana, notiek datu apmaiÅas aizkavÄÅ”anÄs un citas nepatÄ«kamas lietas. Å ajÄ sakarÄ bezÅ”uvju viesabonÄÅ”ana ir lielisks palÄ«gs, lai elastÄ«gi sadalÄ«tu slodzi un nodroÅ”inÄtu nepÄrtrauktu darbÄ«bu aizsargÄtÄ režīmÄ.
SignÄla stipruma sliekÅ”Åu konfigurÄÅ”ana bezvadu klientu pievienoÅ”anai un atvienoÅ”anai (signÄla slieksnis vai signÄla stipruma diapazons)
Izmantojot vienu piekļuves punktu, Å”ai funkcijai principÄ nav nozÄ«mes. Bet ar nosacÄ«jumu, ka darbojas vairÄki kontrollera kontrolÄti punkti, ir iespÄjams organizÄt mobilo klientu sadali pa dažÄdÄm AP. Ir vÄrts atgÄdinÄt, ka piekļuves punkta kontrollera funkcijas ir pieejamas daudzÄs Zyxel marÅ”rutÄtÄju lÄ«nijÄs: ATP, USG, USG FLEX, VPN, ZyWALL.
IepriekÅ” minÄtajÄm ierÄ«cÄm ir funkcija, lai atvienotu klientu, kas ir savienots ar SSID ar vÄju signÄlu. āVÄjÅ”ā nozÄ«mÄ, ka signÄls ir zem kontrollera iestatÄ«tÄ sliekÅ”Åa. Kad klients ir atvienots, tas nosÅ«tÄ«s pÄrbaudes pieprasÄ«jumu, lai atrastu citu piekļuves punktu.
PiemÄram, klients, kas pieslÄdzies piekļuves punktam ar signÄlu zem -65dBm, ja stacijas atvienoÅ”anas slieksnis ir -60dBm, Å”ajÄ gadÄ«jumÄ piekļuves punkts atslÄgs klientu ar Å”o signÄla lÄ«meni. Tagad klients sÄk atkÄrtotas savienoÅ”anas procedÅ«ru un jau izveidos savienojumu ar citu piekļuves punktu ar signÄlu, kas ir lielÄks vai vienÄds ar -60 dBm (stacijas signÄla slieksnis).
Tas ir svarÄ«gi, ja izmantojat vairÄkus piekļuves punktus. Tas novÄrÅ” situÄciju, kad lielÄkÄ daļa klientu uzkrÄjas vienÄ punktÄ, bet citi piekļuves punkti ir dÄ«kstÄvÄ.
TurklÄt jÅ«s varat ierobežot to klientu savienojumu ar vÄju signÄlu, kuri, visticamÄk, atrodas Ärpus telpas perimetra, piemÄram, aiz sienas blakus birojÄ, kas arÄ« ļauj uzskatÄ«t Å”o funkciju par netieÅ”u metodi. aizsardzÄ«bu.
PÄrslÄgÅ”anÄs uz WiFi 6 kÄ viens no droŔības uzlaboÅ”anas veidiem
MÄs jau runÄjÄm par tieÅ”o lÄ«dzekļu priekÅ”rocÄ«bÄm iepriekÅ”ÄjÄ rakstÄ. āBezvadu un vadu tÄ«klu aizsardzÄ«bas funkcijas. 1. daļa ā tieÅ”ie aizsardzÄ«bas pasÄkumi.
WiFi 6 tÄ«kli nodroÅ”ina lielÄku datu pÄrraides Ätrumu. No vienas puses, jaunÄ standartu grupa ļauj palielinÄt Ätrumu, no otras puses, tajÄ paÅ”Ä zonÄ var izvietot vÄl vairÄk piekļuves punktu. Jaunais standarts ļauj izmantot mazÄku jaudu, lai pÄrraidÄ«tu ar lielÄku Ätrumu.
PalielinÄts datu pÄrraides Ätrums.
PÄreja uz WiFi 6 ietver apmaiÅas Ätruma palielinÄÅ”anu lÄ«dz 11Gb/s (modulÄcijas veids 1024-QAM, 160 MHz kanÄli). TajÄ paÅ”Ä laikÄ jaunajÄm ierÄ«cÄm, kas atbalsta WiFi 6, ir labÄka veiktspÄja. Viena no galvenajÄm problÄmÄm, ievieÅ”ot papildu droŔības pasÄkumus, piemÄram, VPN kanÄlu katram lietotÄjam, ir Ätruma kritums. Izmantojot WiFi 6, bÅ«s vieglÄk ieviest papildu droŔības sistÄmas.
BSS krÄsoÅ”ana
IepriekÅ” rakstÄ«jÄm, ka vienmÄrÄ«gÄks pÄrklÄjums var samazinÄt WiFi signÄla iekļūŔanu Ärpus perimetra. Bet, turpinot pieaugt piekļuves punktu skaitam, pat ar Auto Healing izmantoÅ”anu var nepietikt, jo āÄrzemjuā satiksme no blakus punkta joprojÄm iekļūs uzÅemÅ”anas zonÄ.
Izmantojot BSS Coloring, piekļuves punkts atstÄj Ä«paÅ”as atzÄ«mes (krÄso) savas datu paketes. Tas ļauj ignorÄt blakus esoÅ”o raidÄ«Å”anas ierÄ«Äu (piekļuves punktu) ietekmi.
Uzlabota MU-MIMO
802.11ax ir arÄ« bÅ«tiski uzlabojumi MU-MIMO (vairÄku lietotÄju ā vairÄkas ievades vairÄkas izejas) tehnoloÄ£ijÄ. MU-MIMO ļauj piekļuves punktam sazinÄties ar vairÄkÄm ierÄ«cÄm vienlaikus. TaÄu iepriekÅ”ÄjÄ standartÄ Å”Ä« tehnoloÄ£ija varÄja atbalstÄ«t tikai Äetru klientu grupas vienÄ frekvencÄ. Tas atviegloja pÄrraidi, bet ne uztverÅ”anu. WiFi 6 pÄrraidei un saÅemÅ”anai izmanto 8x8 daudzlietotÄju MIMO.
PiezÄ«me. 802.11ax palielina pakÄrtoto MU-MIMO grupu lielumu, nodroÅ”inot efektÄ«vÄku WiFi tÄ«kla veiktspÄju. VairÄku lietotÄju MIMO augÅ”upsaite ir jauns 802.11ax papildinÄjums.
Å Ä« jaunÄ kanÄla piekļuves un kontroles metode ir izstrÄdÄta, pamatojoties uz tehnoloÄ£ijÄm, kas jau ir pÄrbaudÄ«tas LTE mobilajÄ tehnoloÄ£ijÄ.
OFDMA ļauj vienÄ lÄ«nijÄ vai kanÄlÄ vienlaikus nosÅ«tÄ«t vairÄk nekÄ vienu signÄlu, katrai pÄrraidei pieŔķirot laika intervÄlu un piemÄrojot frekvenÄu dalÄ«jumu. RezultÄtÄ, pateicoties labÄkai kanÄla izmantoÅ”anai, palielinÄs ne tikai Ätrums, bet arÄ« palielinÄs droŔība.
Kopsavilkums
WiFi tÄ«kli ar katru gadu kļūst droÅ”Äki. MÅ«sdienu tehnoloÄ£iju izmantoÅ”ana ļauj organizÄt pieÅemamu aizsardzÄ«bas lÄ«meni.
TieÅ”Äs aizsardzÄ«bas metodes trafika Å”ifrÄÅ”anas veidÄ ir sevi pierÄdÄ«juÅ”as diezgan labi. Neaizmirstiet par papildu pasÄkumiem: filtrÄÅ”ana pÄc MAC, tÄ«kla ID slÄpÅ”ana, negodÄ«ga AP noteikÅ”ana (negodÄ«gs AP ierobežojums).
Bet ir arÄ« netieÅ”i pasÄkumi, kas uzlabo bezvadu ierÄ«Äu kopÄ«go darbÄ«bu un palielina datu apmaiÅas Ätrumu.
Jauno tehnoloÄ£iju izmantoÅ”ana ļauj samazinÄt signÄla lÄ«meni no punktiem, padarot pÄrklÄjumu vienmÄrÄ«gÄku, kas labi ietekmÄ visa bezvadu tÄ«kla veselÄ«bu kopumÄ, tostarp droŔību.
Veselais saprÄts nosaka, ka droŔības uzlaboÅ”anai ir piemÄroti visi lÄ«dzekļi: gan tieÅ”ie, gan netieÅ”ie. Å Ä« kombinÄcija ļauj uzbrucÄjam padarÄ«t dzÄ«vi pÄc iespÄjas grÅ«tÄku.