We zetten het gesprek voort over methoden om de netwerkbeveiliging te vergroten. In dit artikel zullen we het hebben over aanvullende beveiligingsmaatregelen en het organiseren van veiligere draadloze netwerken.
Voorwoord bij het tweede deel
In het vorige artikel Er was een discussie over de beveiligingsproblemen van het WiFi-netwerk en directe beschermingsmethoden tegen ongeoorloofde toegang. Voor de hand liggende maatregelen om het onderscheppen van verkeer te voorkomen werden overwogen: encryptie, netwerkverberging en MAC-filtering, maar ook speciale methoden, bijvoorbeeld het bestrijden van Rogue AP. Naast directe beschermingsmethoden zijn er echter ook indirecte. Dit zijn technologieën die niet alleen de communicatiekwaliteit helpen verbeteren, maar ook de veiligheid verder verbeteren.
Twee hoofdkenmerken van draadloze netwerken: contactloze toegang op afstand en radio-uitzendingen als uitzendmedium voor datatransmissie, waarbij elke signaalontvanger naar de lucht kan luisteren, en elke zender het netwerk kan verstoppen met nutteloze transmissies en simpelweg radio-interferentie. Dit heeft onder andere niet het beste effect op de algehele veiligheid van het draadloze netwerk.
Alleen van veiligheid leef je niet. We moeten nog steeds op de een of andere manier werken, dat wil zeggen gegevens uitwisselen. En aan deze kant zijn er nog veel meer klachten over wifi:
- hiaten in de dekking (“witte vlekken”);
- invloed van externe bronnen en aangrenzende toegangspunten op elkaar.
Als gevolg hiervan neemt, als gevolg van de hierboven beschreven problemen, de kwaliteit van het signaal af, verliest de verbinding stabiliteit en neemt de snelheid van gegevensuitwisseling af.
Natuurlijk zullen fans van bekabelde netwerken blij zijn te merken dat dergelijke problemen niet worden waargenomen bij het gebruik van kabel- en vooral glasvezelverbindingen.
De vraag rijst: is het mogelijk om deze problemen op de een of andere manier op te lossen zonder toevlucht te nemen tot drastische middelen, zoals het opnieuw verbinden van alle ontevreden mensen met het bekabelde netwerk?
Waar beginnen alle problemen?
Ten tijde van de geboorte van kantoor- en andere WiFi-netwerken volgden ze meestal een eenvoudig algoritme: ze plaatsten een enkel toegangspunt in het midden van de perimeter om de dekking te maximaliseren. Als er niet genoeg signaalsterkte was voor afgelegen gebieden, werd een versterkende antenne aan het toegangspunt toegevoegd. Zeer zelden werd een tweede toegangspunt toegevoegd, bijvoorbeeld voor het kantoor van een externe directeur. Dat zijn waarschijnlijk alle verbeteringen.
Deze aanpak had zijn redenen. Ten eerste was de apparatuur daarvoor bij het ontstaan van draadloze netwerken duur. Ten tweede betekende het installeren van meer toegangspunten dat we geconfronteerd moesten worden met vragen waar op dat moment geen antwoord op bestond. Hoe organiseer je bijvoorbeeld een naadloze clientwisseling tussen punten? Hoe om te gaan met wederzijdse inmenging? Hoe u het beheer van punten kunt vereenvoudigen en stroomlijnen, bijvoorbeeld gelijktijdige toepassing van verboden/toestemmingen, monitoring, enzovoort. Daarom was het veel gemakkelijker om het principe te volgen: hoe minder apparaten, hoe beter.
Tegelijkertijd zond het toegangspunt, gelegen onder het plafond, uit in een cirkelvormig (meer precies, rond) diagram.
De vormen van architectonische gebouwen passen echter niet zo goed in ronde signaalvoortplantingsdiagrammen. Daarom bereikt het signaal op sommige plaatsen bijna niet, en moet het worden versterkt, en op sommige plaatsen gaat de uitzending verder dan de perimeter en wordt toegankelijk voor buitenstaanders.
Figuur 1. Voorbeeld van dekking via één punt op kantoor.
Noot. Dit is een ruwe benadering waarbij geen rekening wordt gehouden met obstakels voor de voortplanting, noch met de directionaliteit van het signaal. In de praktijk kunnen de vormen van de diagrammen voor verschillende puntmodellen verschillen.
De situatie kan worden verbeterd door meer toegangspunten te gebruiken.
Ten eerste zal dit het mogelijk maken dat zendapparaten efficiënter over de kamer worden verdeeld.
Ten tweede wordt het mogelijk om het signaalniveau te verminderen, waardoor wordt voorkomen dat het buiten de grenzen van een kantoor of andere faciliteit komt. In dit geval moet u, om het draadloze netwerkverkeer te kunnen lezen, bijna dicht bij de perimeter komen of zelfs de limieten ervan overschrijden. Een aanvaller handelt op vrijwel dezelfde manier als hij inbreekt in een intern bekabeld netwerk.
Figuur 2: Door het aantal toegangspunten te vergroten, is een betere spreiding van de dekking mogelijk.
Laten we beide foto's nog eens bekijken. De eerste laat duidelijk een van de belangrijkste kwetsbaarheden van een draadloos netwerk zien: het signaal kan op behoorlijke afstand worden opgevangen.
Op de tweede foto is de situatie nog niet zo gevorderd. Hoe meer toegangspunten, hoe effectiever het dekkingsgebied, en tegelijkertijd reikt het signaalvermogen bijna niet verder dan de perimeter, grofweg buiten de grenzen van het kantoor, kantoor, gebouw en andere mogelijke objecten.
Een aanvaller zal op de een of andere manier onopgemerkt dichterbij moeten sluipen om een relatief zwak signaal “van de straat” of “van de gang” enzovoort te onderscheppen. Om dit te doen, moet je dicht bij het kantoorgebouw komen, bijvoorbeeld onder de ramen gaan staan. Of probeer het kantoorgebouw zelf binnen te komen. Dit vergroot in ieder geval de kans om betrapt te worden op videobewaking en opgemerkt te worden door de beveiliging. Dit verkort het tijdsinterval voor een aanval aanzienlijk. Dit kan nauwelijks “ideale omstandigheden voor hacking” worden genoemd.
Er blijft natuurlijk nog een ‘erfzonde’ over: draadloze netwerken zenden uit in een toegankelijk bereik dat door alle clients kan worden onderschept. Een WiFi-netwerk is inderdaad te vergelijken met een Ethernet HUB, waarbij het signaal in één keer naar alle poorten wordt verzonden. Om dit te voorkomen zou elk paar apparaten idealiter op zijn eigen frequentiekanaal moeten communiceren, waar niemand anders zich mee zou moeten bemoeien.
Hier volgt een samenvatting van de belangrijkste problemen. Laten we manieren overwegen om ze op te lossen.
Remedies: direct en indirect
Zoals in het vorige artikel al vermeld, kan een perfecte bescherming in ieder geval niet worden bereikt. Maar je kunt het zo moeilijk mogelijk maken om een aanval uit te voeren, waardoor het resultaat onrendabel wordt in verhouding tot de geleverde inspanning.
Conventioneel kan beschermende uitrusting in twee hoofdgroepen worden verdeeld:
- directe verkeersbeschermingstechnologieën zoals encryptie of MAC-filtering;
- technologieën die oorspronkelijk voor andere doeleinden bedoeld waren, bijvoorbeeld om de snelheid te verhogen, maar tegelijkertijd indirect het leven van een aanvaller moeilijker maken.
De eerste groep werd in het eerste deel beschreven. Maar we hebben ook aanvullende indirecte maatregelen in ons arsenaal. Zoals hierboven vermeld, kunt u door het aantal toegangspunten te vergroten het signaalniveau verlagen en het dekkingsgebied uniform maken, en dit maakt het leven voor een aanvaller moeilijker.
Een ander voorbehoud is dat het verhogen van de gegevensoverdrachtsnelheid het gemakkelijker maakt om aanvullende beveiligingsmaatregelen toe te passen. U kunt bijvoorbeeld op elke laptop een VPN-client installeren en gegevens zelfs binnen een lokaal netwerk via gecodeerde kanalen overdragen. Hiervoor zijn enige middelen nodig, waaronder hardware, maar het beschermingsniveau zal aanzienlijk toenemen.
Hieronder geven we een beschrijving van technologieën die de netwerkprestaties kunnen verbeteren en indirect de mate van bescherming kunnen verhogen.
Indirecte manieren om de bescherming te verbeteren: wat kan helpen?
Klantsturing
De Client Steering-functie vraagt clientapparaten eerst de 5GHz-band te gebruiken. Als deze optie niet beschikbaar is voor de klant, kan hij nog steeds 2.4 GHz gebruiken. Voor oudere netwerken met een klein aantal toegangspunten wordt het meeste werk gedaan in de 2.4 GHz-band. Voor het 5 GHz-frequentiebereik zal een systeem met één toegangspunt in veel gevallen onaanvaardbaar zijn. Feit is dat een signaal met een hogere frequentie door muren heen gaat en slechter om obstakels heen buigt. De gebruikelijke aanbeveling: om gegarandeerde communicatie in de 5 GHz-band te garanderen, verdient het de voorkeur om vanaf het access point in de zichtlijn te werken.
In de moderne standaarden 802.11ac en 802.11ax is het, vanwege het grotere aantal kanalen, mogelijk om meerdere toegangspunten op kleinere afstand te installeren, waardoor u het vermogen kunt verminderen zonder de gegevensoverdrachtsnelheid te verliezen of zelfs te winnen. Hierdoor maakt het gebruik van de 5GHz-band het leven van aanvallers moeilijker, maar verbetert het de communicatiekwaliteit voor klanten binnen bereik.
Deze functie wordt gepresenteerd:
- bij Nebula- en NebulaFlex-toegangspunten;
- in firewalls met controllerfunctie.
Automatische genezing
Zoals hierboven vermeld, passen de contouren van de omtrek van de kamer niet goed in de ronde diagrammen van toegangspunten.
Om dit probleem op te lossen, moet u ten eerste het optimale aantal toegangspunten gebruiken en ten tweede de wederzijdse invloed verminderen. Maar als u eenvoudigweg het vermogen van de zenders handmatig verlaagt, kan dergelijke directe interferentie leiden tot een verslechtering van de communicatie. Dit zal vooral merkbaar zijn als een of meer toegangspunten uitvallen.
Met Auto Healing kunt u snel het vermogen aanpassen zonder verlies van betrouwbaarheid en snelheid van gegevensoverdracht.
Bij gebruik van deze functie controleert de controller de status en functionaliteit van de access points. Als een van hen niet werkt, krijgen de buurlanden de opdracht om de signaalsterkte te verhogen om de “witte vlek” te vullen. Zodra het toegangspunt weer actief is, krijgen aangrenzende punten de opdracht de signaalsterkte te verminderen om onderlinge interferentie te verminderen.
Naadloze WiFi-roaming
Op het eerste gezicht kan deze technologie nauwelijks worden genoemd als een verhoging van het beveiligingsniveau; integendeel, het maakt het voor een client (inclusief een aanvaller) gemakkelijker om te schakelen tussen toegangspunten op hetzelfde netwerk. Maar als er twee of meer toegangspunten worden gebruikt, moet u zorgen voor een gemakkelijke bediening zonder onnodige problemen. Als het toegangspunt overbelast is, kan het bovendien slechter omgaan met beveiligingsfuncties zoals encryptie, vertragingen in de gegevensuitwisseling en andere onaangename dingen. In dit opzicht is naadloze roaming een grote hulp om de belasting flexibel te verdelen en een ononderbroken werking in een beschermde modus te garanderen.
Signaalsterktedrempels configureren voor het verbinden en verbreken van draadloze clients (signaaldrempel of signaalsterktebereik)
Bij gebruik van één enkel access point doet deze functie er in principe niet toe. Maar op voorwaarde dat er meerdere punten actief zijn die door een controller worden bestuurd, is het mogelijk om de mobiele distributie van clients over verschillende AP's te organiseren. Het is de moeite waard eraan te herinneren dat de functies van de access point controller beschikbaar zijn in veel routers van Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Bovenstaande apparaten hebben een functie om een client die verbonden is met een SSID met een zwak signaal te ontkoppelen. “Zwak” betekent dat het signaal onder de drempel ligt die op de controller is ingesteld. Nadat de verbinding met de client is verbroken, wordt er een sondeverzoek verzonden om een ander toegangspunt te vinden.
Als een client bijvoorbeeld is verbonden met een toegangspunt met een signaal van minder dan -65 dBm en de ontkoppelingsdrempel van het station -60 dBm is, zal het toegangspunt in dit geval de verbinding met de client met dit signaalniveau verbreken. De client start nu de herverbindingsprocedure en zal al verbinding maken met een ander toegangspunt met een signaal groter dan of gelijk aan -60 dBm (stationsignaaldrempel).
Dit is belangrijk bij gebruik van meerdere toegangspunten. Dit voorkomt een situatie waarin de meeste clients zich op één punt verzamelen, terwijl andere toegangspunten inactief zijn.
Bovendien kunt u de verbinding beperken van klanten met een zwak signaal, die zich hoogstwaarschijnlijk buiten de omtrek van de kamer bevinden, bijvoorbeeld achter de muur in een naburig kantoor, waardoor we deze functie ook als een indirecte methode kunnen beschouwen van bescherming.
Overstappen naar WiFi 6 als een van de manieren om de beveiliging te verbeteren
We hebben eerder in het vorige artikel al gesproken over de voordelen van directe remedies. “Kenmerken van het beschermen van draadloze en bekabelde netwerken. Deel 1 - Directe beschermingsmaatregelen".
WiFi 6-netwerken bieden hogere gegevensoverdrachtsnelheden. Enerzijds kun je met de nieuwe groep standaarden de snelheid verhogen, anderzijds kun je nog meer accesspoints in hetzelfde gebied plaatsen. De nieuwe standaard maakt het mogelijk dat er minder stroom wordt gebruikt om bij hogere snelheden te zenden.
Verhoogde snelheid van gegevensoverdracht.
Bij de overstap naar WiFi 6 wordt de uitwisselingssnelheid verhoogd naar 11Gb/s (modulatietype 1024-QAM, 160 MHz kanalen). Tegelijkertijd presteren nieuwe apparaten die WiFi 6 ondersteunen betere prestaties. Een van de grootste problemen bij het implementeren van aanvullende beveiligingsmaatregelen, zoals een VPN-kanaal voor elke gebruiker, is snelheidsdaling. Met WiFi 6 wordt het eenvoudiger om extra beveiligingssystemen te implementeren.
BSS-kleuren
We schreven eerder dat een meer uniforme dekking de penetratie van het WiFi-signaal buiten de perimeter kan verminderen. Maar bij een verdere groei van het aantal toegangspunten zal zelfs het gebruik van Auto Healing wellicht niet voldoende zijn, aangezien “buitenlands” verkeer van een naburig punt nog steeds in de ontvangstruimte zal binnendringen.
Bij gebruik van BSS Coloring laat het toegangspunt speciale markeringen (kleuren) achter op zijn datapakketten. Hierdoor kunt u de invloed van naburige zendende apparaten (toegangspunten) negeren.
Verbeterde MU-MIMO
802.11ax heeft ook belangrijke verbeteringen in de MU-MIMO-technologie (Multi-User - Multiple Input Multiple Output). Met MU-MIMO kan het access point tegelijkertijd met meerdere apparaten communiceren. Maar in de vorige standaard kon deze technologie alleen groepen van vier klanten op dezelfde frequentie ondersteunen. Dit maakte de verzending gemakkelijker, maar de ontvangst niet. WiFi 6 maakt gebruik van 8x8 MIMO voor meerdere gebruikers voor verzending en ontvangst.
Opmerking. 802.11ax vergroot de omvang van downstream MU-MIMO-groepen, waardoor efficiëntere WiFi-netwerkprestaties worden geboden. MIMO-uplink voor meerdere gebruikers is een nieuwe toevoeging aan 802.11ax.
OFDMA (orthogonale meervoudige toegang met frequentieverdeling)
Deze nieuwe methode voor kanaaltoegang en -controle is ontwikkeld op basis van technologieën die zich al hebben bewezen in de LTE-cellulaire technologie.
OFDMA maakt het mogelijk om meer dan één signaal tegelijkertijd op dezelfde lijn of kanaal te verzenden door aan elke transmissie een tijdsinterval toe te wijzen en frequentieverdeling toe te passen. Hierdoor neemt niet alleen de snelheid toe door een betere benutting van het kanaal, maar neemt ook de veiligheid toe.
Beknopt
WiFi-netwerken worden elk jaar veiliger. Het gebruik van moderne technologieën stelt ons in staat een aanvaardbaar beschermingsniveau te organiseren.
Directe beschermingsmethoden in de vorm van verkeersencryptie hebben zich behoorlijk goed bewezen. Vergeet aanvullende maatregelen niet: filteren op MAC, verbergen van de netwerk-ID, Rogue AP-detectie (Rogue AP Containment).
Maar er zijn ook indirecte maatregelen die de gezamenlijke werking van draadloze apparaten verbeteren en de snelheid van gegevensuitwisseling verhogen.
Het gebruik van nieuwe technologieën maakt het mogelijk om het signaalniveau van punten te verlagen, waardoor de dekking uniformer wordt, wat een goede impact heeft op de gezondheid van het gehele draadloze netwerk als geheel, inclusief de veiligheid.
Het gezond verstand schrijft voor dat alle middelen goed zijn om de veiligheid te verbeteren: zowel direct als indirect. Met deze combinatie kun je het een aanvaller het leven zo moeilijk mogelijk maken.
Nuttige links:
- Kenmerken van bescherming van draadloze en bekabelde netwerken. Deel 1 - Directe beschermingsmaatregelen
Bron: www.habr.com