Vi fortsetter samtalen om metoder for å øke nettverkssikkerheten. I denne artikkelen vil vi snakke om ytterligere sikkerhetstiltak og organisering av sikrere trådløse nettverk.
Forord til andre del
I forrige artikkel Det var en diskusjon om WiFi-nettverkssikkerhetsproblemer og direkte metoder for beskyttelse mot uautorisert tilgang. Åpenbare tiltak for å forhindre trafikkavlytting ble vurdert: kryptering, nettverksskjuling og MAC-filtrering, samt spesielle metoder, for eksempel bekjempelse av Rogue AP. Men i tillegg til direkte beskyttelsesmetoder, finnes det også indirekte. Dette er teknologier som ikke bare bidrar til å forbedre kommunikasjonskvaliteten, men som også forbedrer sikkerheten ytterligere.
To hovedtrekk ved trådløse nettverk: ekstern kontaktløs tilgang og radioluft som et kringkastingsmedium for dataoverføring, hvor enhver signalmottaker kan lytte til luften, og enhver sender kan tette nettverket med ubrukelige overføringer og ganske enkelt radioforstyrrelser. Dette har blant annet ikke den beste effekten på den generelle sikkerheten til det trådløse nettverket.
Du vil ikke leve av sikkerhet alene. Vi må fortsatt jobbe på en eller annen måte, det vil si utveksle data. Og på denne siden er det mange andre klager på WiFi:
- hull i dekning ("hvite flekker");
- påvirkning fra eksterne kilder og naboaksesspunkter på hverandre.
Som et resultat, på grunn av problemene beskrevet ovenfor, reduseres kvaliteten på signalet, forbindelsen mister stabilitet og datautvekslingshastigheten synker.
Selvfølgelig vil fans av kablede nettverk være glade for å merke seg at når du bruker kabel- og spesielt fiberoptiske tilkoblinger, blir slike problemer ikke observert.
Spørsmålet oppstår: er det mulig å løse disse problemene på en eller annen måte uten å ty til noen drastiske midler som å koble alle misfornøyde mennesker til det kablede nettverket igjen?
Hvor begynner alle problemene?
På tidspunktet for fødselen av kontor og andre WiFi-nettverk fulgte de oftest en enkel algoritme: de plasserte et enkelt tilgangspunkt i midten av omkretsen for å maksimere dekningen. Hvis det ikke var nok signalstyrke for fjerntliggende områder, ble en forsterkerantenne lagt til tilgangspunktet. Svært sjelden ble det lagt til et ekstra tilgangspunkt, for eksempel for et eksternt direktørkontor. Det er nok alle forbedringene.
Denne tilnærmingen hadde sine grunner. For det første, ved begynnelsen av trådløse nettverk, var utstyret for dem dyrt. For det andre betydde installering av flere tilgangspunkter å møte spørsmål som ikke hadde noen svar på det tidspunktet. For eksempel, hvordan organisere sømløs klientbytte mellom punkter? Hvordan håndtere gjensidig forstyrrelse? Hvordan forenkle og effektivisere håndteringen av poeng, for eksempel samtidig anvendelse av forbud/tillatelser, overvåking, og så videre. Derfor var det mye lettere å følge prinsippet: jo færre enheter, jo bedre.
Samtidig sendte tilgangspunktet, som ligger under taket, i et sirkulært (mer presist, rundt) diagram.
Formene til arkitektoniske bygninger passer imidlertid ikke særlig godt inn i runde signalutbredelsesdiagrammer. Derfor når signalet noen steder nesten ikke, og det må forsterkes, og noen steder går sendingen utover omkretsen og blir tilgjengelig for utenforstående.
Figur 1. Eksempel på dekning ved bruk av ett enkelt punkt på kontoret.
Note. Dette er en grov tilnærming som ikke tar hensyn til hindringer for forplantning, så vel som retningen til signalet. I praksis kan formene på diagrammene for ulike punktmodeller variere.
Situasjonen kan forbedres ved å bruke flere tilgangspunkter.
For det første vil dette gjøre det mulig å fordele sendeenheter mer effektivt over hele romområdet.
For det andre blir det mulig å redusere signalnivået, og hindrer det i å gå utover omkretsen til et kontor eller et annet anlegg. I dette tilfellet, for å lese trådløs nettverkstrafikk, må du komme nesten nær omkretsen eller til og med angi grensene. En angriper handler omtrent på samme måte for å bryte seg inn i et internt kablet nettverk.
Figur 2: Økning av antall aksesspunkter gir bedre fordeling av dekning.
La oss se på begge bildene igjen. Den første viser tydelig en av hovedsårbarhetene til et trådløst nettverk - signalet kan fanges opp på anstendig avstand.
På det andre bildet er ikke situasjonen så avansert. Jo flere aksesspunkter, jo mer effektivt er dekningsområdet, og samtidig strekker signalkraften seg nesten ikke utover omkretsen, grovt sett, utover grensene til kontoret, kontoret, bygningen og andre mulige objekter.
En angriper må på en eller annen måte snike seg nærmere ubemerket for å avskjære et relativt svakt signal "fra gaten" eller "fra korridoren" og så videre. For å gjøre dette må du komme nær kontorbygget, for eksempel for å stå under vinduene. Eller prøv å komme inn i selve kontorbygget. Dette øker uansett risikoen for å bli fanget på videoovervåking og bli lagt merke til av sikkerheten. Dette reduserer tidsintervallet for et angrep betydelig. Dette kan neppe kalles "ideelle forhold for hacking."
Selvfølgelig gjenstår det en "opphavsynd" til: trådløse nettverk kringkastes i et tilgjengelig område som kan fanges opp av alle klienter. Faktisk kan et WiFi-nettverk sammenlignes med en Ethernet HUB, hvor signalet overføres til alle porter samtidig. For å unngå dette bør ideelt sett hvert par enheter kommunisere på sin egen frekvenskanal, som ingen andre bør forstyrre.
Her er en oppsummering av hovedproblemene. La oss vurdere måter å løse dem på.
Rettsmidler: direkte og indirekte
Som allerede nevnt i forrige artikkel, kan perfekt beskyttelse i alle fall ikke oppnås. Men du kan gjøre det så vanskelig som mulig å utføre et angrep, noe som gjør resultatet ulønnsomt i forhold til innsatsen som er brukt.
Konvensjonelt kan verneutstyr deles inn i to hovedgrupper:
- direkte trafikkbeskyttelsesteknologier som kryptering eller MAC-filtrering;
- teknologier som opprinnelig var ment for andre formål, for eksempel for å øke hastigheten, men samtidig indirekte gjøre livet til en angriper vanskeligere.
Den første gruppen ble beskrevet i første del. Men vi har også ekstra indirekte tiltak i vårt arsenal. Som nevnt ovenfor kan du ved å øke antall tilgangspunkter redusere signalnivået og gjøre dekningsområdet enhetlig, og dette gjør livet vanskeligere for en angriper.
Et annet forbehold er at økende dataoverføringshastigheter gjør det lettere å bruke ekstra sikkerhetstiltak. For eksempel kan du installere en VPN-klient på hver bærbar PC og overføre data selv innenfor et lokalt nettverk via krypterte kanaler. Dette vil kreve noen ressurser, inkludert maskinvare, men beskyttelsesnivået vil øke betydelig.
Nedenfor gir vi en beskrivelse av teknologier som kan forbedre nettverksytelsen og indirekte øke beskyttelsesgraden.
Indirekte virkemidler for å forbedre beskyttelsen – hva kan hjelpe?
Klientstyring
Klientstyringsfunksjonen ber klientenhetene om å bruke 5GHz-båndet først. Hvis dette alternativet ikke er tilgjengelig for klienten, vil han fortsatt kunne bruke 2.4 GHz. For eldre nettverk med et lite antall tilgangspunkter, gjøres det meste i 2.4 GHz-båndet. For 5 GHz-frekvensområdet vil et enkelt tilgangspunktskjema være uakseptabelt i mange tilfeller. Faktum er at et signal med høyere frekvens passerer gjennom vegger og bøyer seg rundt hindringer verre. Den vanlige anbefalingen: For å sikre garantert kommunikasjon i 5 GHz-båndet, er det å foretrekke å arbeide i sikte fra tilgangspunktet.
I moderne standarder 802.11ac og 802.11ax, på grunn av det større antallet kanaler, er det mulig å installere flere tilgangspunkter på kortere avstand, noe som lar deg redusere strøm uten å miste, eller til og med få, dataoverføringshastighet. Som et resultat gjør bruken av 5GHz-båndet livet vanskeligere for angripere, men forbedrer kvaliteten på kommunikasjonen for klienter innen rekkevidde.
Denne funksjonen presenteres:
- ved Nebula og NebulaFlex tilgangspunkter;
- i brannmurer med kontrollerfunksjon.
Autohealing
Som nevnt ovenfor passer ikke konturene av romomkretsen godt inn i de runde diagrammene til tilgangspunktene.
For å løse dette problemet må du for det første bruke det optimale antallet tilgangspunkter, og for det andre redusere gjensidig påvirkning. Men hvis du bare manuelt reduserer kraften til senderne, kan slike direkte forstyrrelser føre til en forverring av kommunikasjonen. Dette vil være spesielt merkbart hvis ett eller flere tilgangspunkter svikter.
Auto Healing lar deg raskt justere kraften uten å miste pålitelighet og dataoverføringshastighet.
Når du bruker denne funksjonen, kontrollerer kontrolleren statusen og funksjonaliteten til tilgangspunktene. Hvis en av dem ikke fungerer, blir naboene bedt om å øke signalstyrken for å fylle den "hvite flekken". Når tilgangspunktet er oppe og går igjen, blir nabopunktene instruert om å redusere signalstyrken for å redusere gjensidig interferens.
Sømløs WiFi-roaming
Ved første øyekast kan denne teknologien neppe kalles å øke sikkerhetsnivået, snarere tvert imot gjør den det lettere for en klient (inkludert en angriper) å bytte mellom tilgangspunkter på samme nettverk. Men hvis to eller flere tilgangspunkter brukes, må du sikre praktisk drift uten unødvendige problemer. I tillegg, hvis tilgangspunktet er overbelastet, takler det verre sikkerhetsfunksjoner som kryptering, forsinkelser i datautveksling og andre ubehagelige ting oppstår. I denne forbindelse er sømløs roaming en stor hjelp for å fleksibelt fordele lasten og sikre uavbrutt drift i en beskyttet modus.
Konfigurere signalstyrketerskler for å koble til og fra trådløse klienter (Signal Threshold eller Signal Strength Range)
Når du bruker et enkelt tilgangspunkt, spiller denne funksjonen i prinsippet ingen rolle. Men forutsatt at flere punkter kontrollert av en kontroller er i drift, er det mulig å organisere mobil distribusjon av klienter på tvers av forskjellige AP-er. Det er verdt å minne om at tilgangspunktkontrollerfunksjoner er tilgjengelige i mange ruterlinjer fra Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
De ovennevnte enhetene har en funksjon for å koble fra en klient som er koblet til en SSID med et svakt signal. "Svak" betyr at signalet er under terskelen satt på kontrolleren. Etter at klienten er frakoblet, vil den sende en probeforespørsel for å finne et annet tilgangspunkt.
For eksempel, en klient koblet til et tilgangspunkt med et signal under -65dBm, hvis stasjonsfrakoblingsterskelen er -60dBm, vil i dette tilfellet tilgangspunktet koble fra klienten med dette signalnivået. Klienten starter nå gjentilkoblingsprosedyren og vil allerede koble til et annet tilgangspunkt med et signal større enn eller lik -60dBm (stasjonssignalterskel).
Dette er viktig når du bruker flere tilgangspunkter. Dette forhindrer en situasjon der de fleste klienter samler seg på ett punkt, mens andre tilgangspunkter er inaktive.
I tillegg kan du begrense tilkoblingen til klienter med et svakt signal, som mest sannsynlig er plassert utenfor rommets omkrets, for eksempel bak veggen i et nabokontor, noe som også lar oss vurdere denne funksjonen som en indirekte metode av beskyttelse.
Bytte til WiFi 6 som en av måtene å forbedre sikkerheten på
Vi har allerede snakket om fordelene med direkte rettsmidler tidligere i forrige artikkel. "Funksjoner for å beskytte trådløse og kablede nettverk. Del 1 - Direkte beskyttelsestiltak".
WiFi 6-nettverk gir raskere dataoverføringshastigheter. På den ene siden lar den nye standardgruppen deg øke hastigheten, på den andre siden kan du plassere enda flere aksesspunkter i samme område. Den nye standarden gjør at mindre kraft kan brukes til å sende ved høyere hastigheter.
Økt dataoverføringshastighet.
Overgangen til WiFi 6 innebærer å øke utvekslingshastigheten til 11Gb/s (modulasjonstype 1024-QAM, 160 MHz-kanaler). Samtidig har nye enheter som støtter WiFi 6 bedre ytelse. Et av hovedproblemene ved implementering av ytterligere sikkerhetstiltak, for eksempel en VPN-kanal for hver bruker, er et fall i hastighet. Med WiFi 6 blir det enklere å implementere ytterligere sikkerhetssystemer.
BSS-fargelegging
Vi skrev tidligere at mer jevn dekning kan redusere penetrasjonen av WiFi-signalet utenfor omkretsen. Men med ytterligere vekst i antall tilgangspunkter, kan det hende at selv bruken av Auto Healing ikke er nok, siden "utenlandsk" trafikk fra et nabopunkt fortsatt vil trenge inn i resepsjonsområdet.
Når du bruker BSS Coloring, etterlater tilgangspunktet spesielle merker (farger) datapakkene sine. Dette lar deg ignorere påvirkningen fra nærliggende sendeenheter (tilgangspunkter).
Forbedret MU-MIMO
802.11ax har også viktige forbedringer til MU-MIMO (Multi-User - Multiple Input Multiple Output) teknologi. MU-MIMO lar tilgangspunktet kommunisere med flere enheter samtidig. Men i den forrige standarden kunne denne teknologien bare støtte grupper på fire klienter på samme frekvens. Dette gjorde overføring enklere, men ikke mottak. WiFi 6 bruker 8x8 multi-user MIMO for overføring og mottak.
Note. 802.11ax øker størrelsen på nedstrøms MU-MIMO-grupper, og gir mer effektiv WiFi-nettverksytelse. Multi-user MIMO uplink er et nytt tillegg til 802.11ax.
OFDMA (Ortogonal Frequency Division Multiple Access)
Denne nye metoden for kanaltilgang og kontroll er utviklet basert på teknologier som allerede er bevist i LTE-mobilteknologi.
OFDMA lar mer enn ett signal sendes på samme linje eller kanal på samme tid ved å tilordne et tidsintervall til hver overføring og bruke frekvensdeling. Som et resultat øker ikke bare hastigheten på grunn av bedre utnyttelse av kanalen, men også sikkerheten øker.
Oppsummering
WiFi-nettverk blir sikrere for hvert år. Bruken av moderne teknologier lar oss organisere et akseptabelt beskyttelsesnivå.
Direkte metoder for beskyttelse i form av trafikkkryptering har vist seg ganske godt. Ikke glem ytterligere tiltak: filtrering etter MAC, skjule nettverks-ID, Rogue AP Detection (Rogue AP Containment).
Men det finnes også indirekte tiltak som forbedrer fellesdriften av trådløse enheter og øker hastigheten på datautvekslingen.
Bruk av nye teknologier gjør det mulig å redusere signalnivået fra punkter, noe som gjør dekningen mer enhetlig, noe som har god innvirkning på helsen til hele det trådløse nettverket som helhet, inkludert sikkerhet.
Sunn fornuft tilsier at alle midler er gode for å forbedre sikkerheten: både direkte og indirekte. Denne kombinasjonen lar deg gjøre livet så vanskelig som mulig for en angriper.
Nyttige lenker:
- Funksjoner for beskyttelse av trådløse og kablede nettverk. Del 1 - Direkte beskyttelsestiltak
Kilde: www.habr.com