Kami meneruskan perbualan tentang kaedah untuk meningkatkan keselamatan rangkaian. Dalam artikel ini kita akan bercakap tentang langkah keselamatan tambahan dan mengatur rangkaian wayarles yang lebih selamat.
Mukadimah bahagian kedua
Dalam artikel sebelum ini Terdapat perbincangan tentang masalah keselamatan rangkaian WiFi dan kaedah perlindungan langsung terhadap capaian yang tidak dibenarkan. Langkah-langkah yang jelas untuk menghalang pemintasan lalu lintas telah dipertimbangkan: penyulitan, penyembunyian rangkaian dan penapisan MAC, serta kaedah khas, contohnya, memerangi Rogue AP. Walau bagaimanapun, sebagai tambahan kepada kaedah perlindungan langsung, terdapat juga kaedah tidak langsung. Ini adalah teknologi yang bukan sahaja membantu meningkatkan kualiti komunikasi, tetapi juga meningkatkan lagi keselamatan.
Dua ciri utama rangkaian wayarles: akses tanpa sentuh jauh dan udara radio sebagai medium penyiaran untuk penghantaran data, di mana mana-mana penerima isyarat boleh mendengar udara, dan mana-mana pemancar boleh menyumbat rangkaian dengan penghantaran yang tidak berguna dan hanya gangguan radio. Ini, antara lain, tidak mempunyai kesan terbaik ke atas keselamatan keseluruhan rangkaian wayarles.
Anda tidak akan hidup dengan keselamatan sahaja. Kami masih perlu bekerja entah bagaimana, iaitu pertukaran data. Dan di sisi ini terdapat banyak aduan lain mengenai WiFi:
- jurang dalam liputan ("bintik putih");
- pengaruh sumber luar dan titik capaian yang berdekatan antara satu sama lain.
Akibatnya, disebabkan masalah yang diterangkan di atas, kualiti isyarat berkurangan, sambungan kehilangan kestabilan, dan kelajuan pertukaran data menurun.
Sudah tentu, peminat rangkaian berwayar akan gembira untuk ambil perhatian bahawa apabila menggunakan kabel dan, terutamanya, sambungan gentian optik, masalah sedemikian tidak diperhatikan.
Persoalannya timbul: adakah mungkin untuk menyelesaikan masalah ini tanpa menggunakan sebarang cara drastik seperti menyambung semula semua orang yang tidak berpuas hati ke rangkaian berwayar?
Di manakah semua masalah bermula?
Pada masa kelahiran pejabat dan rangkaian WiFi lain, mereka paling kerap mengikuti algoritma mudah: mereka meletakkan satu titik akses di tengah-tengah perimeter untuk memaksimumkan liputan. Jika kekuatan isyarat tidak mencukupi untuk kawasan terpencil, antena penguat telah ditambahkan pada pusat akses. Sangat jarang titik akses kedua ditambahkan, sebagai contoh, untuk pejabat pengarah jauh. Itu mungkin semua penambahbaikan.
Pendekatan ini mempunyai sebabnya. Pertama, pada permulaan rangkaian wayarles, peralatan untuk mereka adalah mahal. Kedua, memasang lebih banyak titik akses bermakna menghadapi soalan yang tidak mempunyai jawapan pada masa itu. Sebagai contoh, bagaimana untuk mengatur pertukaran pelanggan yang lancar antara mata? Bagaimana untuk menangani campur tangan bersama? Bagaimana untuk memudahkan dan memperkemas pengurusan mata, contohnya, penggunaan serentak larangan/keizinan, pemantauan, dan sebagainya. Oleh itu, lebih mudah untuk mengikuti prinsip: semakin sedikit peranti, semakin baik.
Pada masa yang sama, titik akses, terletak di bawah siling, disiarkan dalam rajah bulat (lebih tepat, bulat).
Walau bagaimanapun, bentuk bangunan seni bina tidak sesuai dengan gambar rajah perambatan isyarat bulat. Oleh itu, di beberapa tempat isyarat hampir tidak sampai, dan ia perlu dikuatkan, dan di beberapa tempat siaran melangkaui perimeter dan menjadi boleh diakses oleh orang luar.
Rajah 1. Contoh liputan menggunakan satu titik di pejabat.
Nota. Ini adalah anggaran kasar yang tidak mengambil kira halangan kepada perambatan, serta arah isyarat. Dalam amalan, bentuk rajah untuk model titik yang berbeza mungkin berbeza.
Keadaan boleh diperbaiki dengan menggunakan lebih banyak titik akses.
Pertama, ini akan membolehkan peranti pemancar diedarkan dengan lebih cekap di seluruh kawasan bilik.
Kedua, adalah mungkin untuk mengurangkan tahap isyarat, menghalangnya daripada melampaui perimeter pejabat atau kemudahan lain. Dalam kes ini, untuk membaca trafik rangkaian wayarles, anda perlu mendekati perimeter atau bahkan memasukkan hadnya. Penyerang bertindak dengan cara yang sama untuk memecah masuk ke rangkaian berwayar dalaman.
Rajah 2: Meningkatkan bilangan titik akses membolehkan pengedaran liputan yang lebih baik.
Jom tengok kedua-dua gambar sekali lagi. Yang pertama jelas menunjukkan salah satu kelemahan utama rangkaian wayarles - isyarat boleh ditangkap pada jarak yang baik.
Dalam gambar kedua keadaan tidak begitu maju. Lebih banyak titik akses, lebih berkesan kawasan liputan, dan pada masa yang sama kuasa isyarat hampir tidak melampaui perimeter, secara kasar bercakap, di luar sempadan pejabat, pejabat, bangunan dan objek lain yang mungkin.
Seorang penyerang entah bagaimana perlu menyelinap lebih dekat tanpa disedari untuk memintas isyarat yang agak lemah "dari jalan" atau "dari koridor" dan sebagainya. Untuk melakukan ini, anda perlu mendekati bangunan pejabat, sebagai contoh, untuk berdiri di bawah tingkap. Atau cuba masuk ke dalam bangunan pejabat itu sendiri. Walau apa pun, ini meningkatkan risiko ditangkap pada pengawasan video dan diperhatikan oleh keselamatan. Ini dengan ketara mengurangkan selang masa untuk serangan. Ini hampir tidak boleh dipanggil "keadaan ideal untuk penggodaman."
Sudah tentu, masih ada satu lagi "dosa asal": rangkaian wayarles disiarkan dalam julat yang boleh diakses yang boleh dipintas oleh semua pelanggan. Malah, rangkaian WiFi boleh dibandingkan dengan HUB Ethernet, di mana isyarat dihantar ke semua port sekaligus. Untuk mengelakkan ini, sebaik-baiknya setiap pasangan peranti harus berkomunikasi pada saluran frekuensinya sendiri, yang tidak boleh diganggu oleh orang lain.
Berikut adalah ringkasan masalah utama. Mari kita pertimbangkan cara untuk menyelesaikannya.
Remedi: langsung dan tidak langsung
Seperti yang telah disebutkan dalam artikel sebelumnya, perlindungan yang sempurna tidak boleh dicapai dalam apa jua keadaan. Tetapi anda boleh menjadikannya sesukar mungkin untuk melakukan serangan, menjadikan hasilnya tidak menguntungkan berhubung dengan usaha yang dibelanjakan.
Secara konvensional, peralatan perlindungan boleh dibahagikan kepada dua kumpulan utama:
- teknologi perlindungan trafik langsung seperti penyulitan atau penapisan MAC;
- teknologi yang pada asalnya bertujuan untuk tujuan lain, contohnya, untuk meningkatkan kelajuan, tetapi pada masa yang sama secara tidak langsung menyukarkan kehidupan penyerang.
Kumpulan pertama telah diterangkan dalam bahagian pertama. Tetapi kami juga mempunyai langkah tidak langsung tambahan dalam senjata kami. Seperti yang dinyatakan di atas, menambah bilangan titik akses membolehkan anda mengurangkan tahap isyarat dan menjadikan kawasan liputan seragam, dan ini menjadikan kehidupan lebih sukar bagi penyerang.
Kaveat lain ialah peningkatan kelajuan pemindahan data menjadikannya lebih mudah untuk menggunakan langkah keselamatan tambahan. Sebagai contoh, anda boleh memasang klien VPN pada setiap komputer riba dan memindahkan data walaupun dalam rangkaian tempatan melalui saluran yang disulitkan. Ini memerlukan beberapa sumber, termasuk perkakasan, tetapi tahap perlindungan akan meningkat dengan ketara.
Di bawah kami menyediakan penerangan tentang teknologi yang boleh meningkatkan prestasi rangkaian dan secara tidak langsung meningkatkan tahap perlindungan.
Cara tidak langsung untuk meningkatkan perlindungan - apakah yang boleh membantu?
Pemandu Pelanggan
Ciri Pemandu Pelanggan menggesa peranti pelanggan untuk menggunakan jalur 5GHz terlebih dahulu. Jika pilihan ini tidak tersedia kepada pelanggan, dia masih boleh menggunakan 2.4 GHz. Untuk rangkaian lama dengan bilangan titik akses yang kecil, kebanyakan kerja dilakukan dalam jalur 2.4 GHz. Untuk julat frekuensi 5 GHz, satu skim pusat akses tunggal tidak boleh diterima dalam banyak kes. Hakikatnya ialah isyarat dengan frekuensi yang lebih tinggi melalui dinding dan membengkok di sekeliling halangan lebih teruk. Cadangan biasa: untuk memastikan komunikasi yang terjamin dalam jalur 5 GHz, adalah lebih baik untuk bekerja dalam barisan penglihatan dari titik akses.
Dalam piawaian moden 802.11ac dan 802.11ax, disebabkan bilangan saluran yang lebih besar, adalah mungkin untuk memasang beberapa titik capaian pada jarak yang lebih dekat, yang membolehkan anda mengurangkan kuasa tanpa kehilangan, atau mendapat, kelajuan pemindahan data. Akibatnya, penggunaan jalur 5GHz menjadikan kehidupan lebih sukar bagi penyerang, tetapi meningkatkan kualiti komunikasi untuk pelanggan dalam jangkauan.
Fungsi ini dibentangkan:
- di pusat akses Nebula dan NebulaFlex;
- dalam tembok api dengan fungsi pengawal.
Penyembuhan Auto
Seperti yang dinyatakan di atas, kontur perimeter bilik tidak sesuai dengan gambar rajah bulat titik akses.
Untuk menyelesaikan masalah ini, pertama, anda perlu menggunakan bilangan titik akses yang optimum, dan kedua, mengurangkan pengaruh bersama. Tetapi jika anda hanya mengurangkan kuasa pemancar secara manual, gangguan langsung tersebut boleh membawa kepada kemerosotan dalam komunikasi. Ini akan menjadi ketara terutamanya jika satu atau lebih titik akses gagal.
Auto Healing membolehkan anda melaraskan kuasa dengan cepat tanpa kehilangan kebolehpercayaan dan kelajuan pemindahan data.
Apabila menggunakan fungsi ini, pengawal menyemak status dan kefungsian titik akses. Sekiranya salah seorang daripada mereka tidak berfungsi, maka jiran diarahkan untuk meningkatkan kekuatan isyarat untuk mengisi "bintik putih". Setelah titik akses dihidupkan dan berjalan semula, titik jiran diarahkan untuk mengurangkan kekuatan isyarat untuk mengurangkan gangguan bersama.
Perayauan WiFi yang lancar
Pada pandangan pertama, teknologi ini hampir tidak boleh dipanggil meningkatkan tahap keselamatan; sebaliknya, ia memudahkan pelanggan (termasuk penyerang) untuk bertukar antara titik akses pada rangkaian yang sama. Tetapi jika dua atau lebih titik akses digunakan, anda perlu memastikan operasi yang mudah tanpa masalah yang tidak perlu. Di samping itu, jika titik akses terlebih beban, ia menghadapi lebih teruk dengan fungsi keselamatan seperti penyulitan, kelewatan dalam pertukaran data dan perkara lain yang tidak menyenangkan berlaku. Dalam hal ini, perayauan yang lancar adalah bantuan yang baik untuk mengagihkan beban secara fleksibel dan memastikan operasi tanpa gangguan dalam mod yang dilindungi.
Mengkonfigurasi ambang kekuatan isyarat untuk menyambung dan memutuskan sambungan pelanggan wayarles (Ambang Isyarat atau Julat Kekuatan Isyarat)
Apabila menggunakan satu titik akses, fungsi ini, pada dasarnya, tidak penting. Tetapi dengan syarat beberapa titik yang dikawal oleh pengawal sedang beroperasi, adalah mungkin untuk mengatur pengedaran mudah alih pelanggan merentasi AP yang berbeza. Perlu diingat bahawa fungsi pengawal titik akses tersedia dalam banyak baris penghala daripada Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Peranti di atas mempunyai ciri untuk memutuskan sambungan pelanggan yang disambungkan ke SSID dengan isyarat lemah. "Lemah" bermakna isyarat berada di bawah ambang yang ditetapkan pada pengawal. Selepas pelanggan telah diputuskan sambungan, ia akan menghantar permintaan siasatan untuk mencari titik akses lain.
Sebagai contoh, pelanggan disambungkan ke pusat akses dengan isyarat di bawah -65dBm, jika ambang putus sambungan stesen ialah -60dBm, dalam kes ini titik akses akan memutuskan sambungan klien dengan tahap isyarat ini. Pelanggan kini memulakan prosedur penyambungan semula dan sudah akan menyambung ke pusat akses lain dengan isyarat yang lebih besar daripada atau sama dengan -60dBm (ambang isyarat stesen).
Ini penting apabila menggunakan berbilang titik akses. Ini menghalang situasi di mana kebanyakan pelanggan terkumpul pada satu titik, manakala titik akses lain melahu.
Di samping itu, anda boleh mengehadkan sambungan pelanggan dengan isyarat lemah, yang kemungkinan besar terletak di luar perimeter bilik, contohnya, di belakang dinding di pejabat jiran, yang juga membolehkan kami menganggap fungsi ini sebagai kaedah tidak langsung perlindungan.
Beralih kepada WiFi 6 sebagai salah satu cara untuk meningkatkan keselamatan
Kami telah bercakap tentang kelebihan remedi langsung sebelum ini dalam artikel sebelumnya. “Ciri-ciri melindungi rangkaian wayarles dan berwayar. Bahagian 1 - Langkah perlindungan langsung".
Rangkaian WiFi 6 menyediakan kelajuan pemindahan data yang lebih pantas. Di satu pihak, kumpulan standard baharu membolehkan anda meningkatkan kelajuan, sebaliknya, anda boleh meletakkan lebih banyak titik akses di kawasan yang sama. Piawaian baharu ini membolehkan kurang kuasa digunakan untuk menghantar pada kelajuan yang lebih tinggi.
Peningkatan kelajuan pemindahan data.
Peralihan kepada WiFi 6 melibatkan peningkatan kelajuan pertukaran kepada 11Gb/s (saluran jenis modulasi 1024-QAM, 160 MHz). Pada masa yang sama, peranti baharu yang menyokong WiFi 6 mempunyai prestasi yang lebih baik. Salah satu masalah utama apabila melaksanakan langkah keselamatan tambahan, seperti saluran VPN untuk setiap pengguna, adalah penurunan kelajuan. Dengan WiFi 6, lebih mudah untuk melaksanakan sistem keselamatan tambahan.
Mewarna BSS
Kami telah menulis sebelum ini bahawa liputan yang lebih seragam boleh mengurangkan penembusan isyarat WiFi di luar perimeter. Tetapi dengan pertumbuhan selanjutnya dalam bilangan titik akses, penggunaan Auto Healing mungkin tidak mencukupi, kerana trafik "asing" dari titik jiran masih akan menembusi kawasan penerimaan.
Apabila menggunakan BSS Coloring, titik akses meninggalkan tanda khas (warna) pada paket datanya. Ini membolehkan anda mengabaikan pengaruh peranti pemancar jiran (titik akses).
MU-MIMO yang dipertingkatkan
802.11ax juga mempunyai peningkatan penting pada teknologi MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO membenarkan titik akses untuk berkomunikasi dengan berbilang peranti secara serentak. Tetapi dalam standard sebelumnya, teknologi ini hanya boleh menyokong kumpulan empat pelanggan pada frekuensi yang sama. Ini menjadikan penghantaran lebih mudah, tetapi bukan penerimaan. WiFi 6 menggunakan MIMO berbilang pengguna 8x8 untuk penghantaran dan penerimaan.
Perhatian. 802.11ax meningkatkan saiz kumpulan MU-MIMO hiliran, memberikan prestasi rangkaian WiFi yang lebih cekap. Pautan atas MIMO berbilang pengguna ialah tambahan baharu kepada 802.11ax.
OFDMA (Akses berbilang bahagian frekuensi ortogonal)
Kaedah akses dan kawalan saluran baharu ini dibangunkan berdasarkan teknologi yang telah pun terbukti dalam teknologi selular LTE.
OFDMA membenarkan lebih daripada satu isyarat dihantar pada talian atau saluran yang sama pada masa yang sama dengan menetapkan selang masa untuk setiap penghantaran dan menggunakan pembahagian frekuensi. Akibatnya, bukan sahaja kelajuan meningkat disebabkan penggunaan saluran yang lebih baik, tetapi juga peningkatan keselamatan.
Ringkasan
Rangkaian WiFi menjadi lebih selamat setiap tahun. Penggunaan teknologi moden membolehkan kami mengatur tahap perlindungan yang boleh diterima.
Kaedah perlindungan langsung dalam bentuk penyulitan trafik telah membuktikan diri mereka dengan baik. Jangan lupa tentang langkah tambahan: menapis mengikut MAC, menyembunyikan ID rangkaian, Pengesanan AP Penyangak (Pembendung AP Penyangak).
Tetapi terdapat juga langkah tidak langsung yang meningkatkan operasi bersama peranti wayarles dan meningkatkan kelajuan pertukaran data.
Penggunaan teknologi baharu memungkinkan untuk mengurangkan tahap isyarat dari titik, menjadikan liputan lebih seragam, yang memberi kesan yang baik terhadap kesihatan keseluruhan rangkaian wayarles secara keseluruhan, termasuk keselamatan.
Akal sehat menentukan bahawa semua cara adalah baik untuk meningkatkan keselamatan: secara langsung dan tidak langsung. Gabungan ini membolehkan anda menjadikan kehidupan sesukar mungkin untuk penyerang.
Pautan yang berguna:
- Ciri-ciri perlindungan rangkaian wayarles dan berwayar. Bahagian 1 - Langkah perlindungan langsung
Sumber: www.habr.com