Kontynuujemy rozmowę o sposobach zwiększania bezpieczeństwa sieci. W tym artykule porozmawiamy o dodatkowych środkach bezpieczeństwa i organizacji bezpieczniejszych sieci bezprzewodowych.
Przedmowa do drugiej części
W poprzednim artykule Dyskutowano na temat problemów bezpieczeństwa sieci WiFi oraz bezpośrednich sposobów ochrony przed nieuprawnionym dostępem. Rozważano oczywiste środki zapobiegające przechwytywaniu ruchu: szyfrowanie, ukrywanie sieci i filtrowanie MAC, a także specjalne metody, na przykład zwalczanie Rogue AP. Jednak oprócz bezpośrednich metod ochrony istnieją również pośrednie. Są to technologie, które nie tylko pomagają poprawić jakość komunikacji, ale także dodatkowo poprawiają bezpieczeństwo.
Dwie główne cechy sieci bezprzewodowych: zdalny dostęp bezdotykowy i powietrze radiowe jako medium rozgłoszeniowe do transmisji danych, gdzie każdy odbiornik sygnału może słuchać powietrza, a każdy nadajnik może zapchać sieć bezużytecznymi transmisjami i po prostu zakłóceniami radiowymi. Nie ma to między innymi najlepszego wpływu na ogólne bezpieczeństwo sieci bezprzewodowej.
Nie samym bezpieczeństwem będziesz żył. Musimy jeszcze jakoś popracować, czyli wymienić dane. Po tej stronie jest wiele innych skarg dotyczących Wi-Fi:
- luki w zasięgu („białe plamy”);
- wzajemne oddziaływanie źródeł zewnętrznych i sąsiednich punktów dostępowych.
W rezultacie, z powodu opisanych powyżej problemów, jakość sygnału spada, połączenie traci stabilność, a prędkość wymiany danych spada.
Oczywiście fani sieci przewodowych z przyjemnością zauważą, że podczas korzystania z połączeń kablowych, a zwłaszcza połączeń światłowodowych, takich problemów nie obserwuje się.
Powstaje pytanie: czy można w jakiś sposób rozwiązać te problemy bez uciekania się do drastycznych środków, takich jak ponowne podłączenie wszystkich niezadowolonych osób do sieci przewodowej?
Gdzie zaczynają się wszystkie problemy?
W momencie narodzin biurowych i innych sieci Wi-Fi najczęściej stosowano prosty algorytm: umieszczano pojedynczy punkt dostępowy na środku obwodu, aby zmaksymalizować zasięg. Jeśli siła sygnału w odległych obszarach była niewystarczająca, do punktu dostępu dodano antenę wzmacniającą. Bardzo rzadko dodawano drugi punkt dostępowy, np. do zdalnego biura dyrektora. To chyba wszystkie ulepszenia.
Takie podejście miało swoje powody. Po pierwsze, u zarania sieci bezprzewodowych sprzęt do nich był drogi. Po drugie, zainstalowanie większej liczby punktów dostępu oznaczało zmierzenie się z pytaniami, na które w tamtym czasie nie było odpowiedzi. Na przykład, jak zorganizować płynne przełączanie klientów między punktami? Jak sobie radzić z wzajemnymi zakłóceniami? Jak uprościć i usprawnić zarządzanie punktami, np. jednoczesne stosowanie zakazów/zezwoleń, monitoring itp. Dlatego dużo łatwiej było kierować się zasadą: im mniej urządzeń, tym lepiej.
Jednocześnie punkt dostępu, umieszczony pod sufitem, nadawany jest na okrągłym (dokładniej okrągłym) schemacie.
Jednak kształty budynków architektonicznych nie pasują zbyt dobrze do okrągłych diagramów propagacji sygnału. Dlatego w niektórych miejscach sygnał prawie nie dociera i należy go wzmocnić, a w niektórych miejscach transmisja wykracza poza obwód i staje się dostępna dla osób z zewnątrz.
Rysunek 1. Przykład zasięgu z wykorzystaniem pojedynczego punktu w biurze.
Operacja. Jest to przybliżone przybliżenie, które nie uwzględnia przeszkód w propagacji, a także kierunkowości sygnału. W praktyce kształty diagramów dla różnych modeli punktowych mogą się różnić.
Sytuację można poprawić poprzez zastosowanie większej liczby punktów dostępu.
Po pierwsze, umożliwi to bardziej efektywne rozmieszczenie urządzeń nadawczych w całym pomieszczeniu.
Po drugie, możliwe staje się zmniejszenie poziomu sygnału, zapobiegając jego wydostawaniu się poza obwód biura lub innego obiektu. W takim przypadku, aby odczytać ruch w sieci bezprzewodowej, trzeba zbliżyć się niemal do obwodu lub nawet wejść w jego granice. Osoba atakująca postępuje w podobny sposób, aby włamać się do wewnętrznej sieci przewodowej.
Rysunek 2: Zwiększenie liczby punktów dostępowych pozwala na lepszą dystrybucję zasięgu.
Przyjrzyjmy się jeszcze raz obu obrazom. Pierwsza wyraźnie pokazuje jedną z głównych słabości sieci bezprzewodowej - sygnał można przechwycić z przyzwoitej odległości.
Na drugim zdjęciu sytuacja nie jest już tak zaawansowana. Im więcej punktów dostępowych, tym efektywniejszy zasięg, a jednocześnie moc sygnału prawie nie wykracza poza obwód, z grubsza mówiąc, poza granice biura, biura, budynku i innych możliwych obiektów.
Atakujący będzie musiał w jakiś sposób niezauważony przekraść się bliżej, aby przechwycić stosunkowo słaby sygnał „z ulicy” lub „z korytarza” i tak dalej. Aby to zrobić, musisz zbliżyć się do biurowca, aby np. stanąć pod oknami. Lub spróbuj wejść do samego biurowca. W każdym razie zwiększa to ryzyko, że zostaniesz przyłapany na monitoringu wideo i zauważony przez ochronę. To znacznie skraca odstęp czasu na atak. Trudno to nazwać „idealnymi warunkami do hakowania”.
Oczywiście pozostaje jeszcze jeden „grzech pierworodny”: sieci bezprzewodowe transmitują w dostępnym zakresie, który może zostać przechwycony przez wszystkich klientów. Rzeczywiście sieć WiFi można porównać do HUB-a Ethernet, w którym sygnał przesyłany jest do wszystkich portów jednocześnie. Aby tego uniknąć, w idealnym przypadku każda para urządzeń powinna komunikować się na własnym kanale częstotliwości, w który nikt inny nie powinien ingerować.
Oto podsumowanie głównych problemów. Rozważmy sposoby ich rozwiązania.
Środki zaradcze: bezpośrednie i pośrednie
Jak już wspomniano w poprzednim artykule, w żadnym przypadku nie da się osiągnąć doskonałej ochrony. Można jednak maksymalnie utrudnić przeprowadzenie ataku, czyniąc wynik nieopłacalnym w stosunku do włożonego wysiłku.
Konwencjonalnie sprzęt ochronny można podzielić na dwie główne grupy:
- technologie bezpośredniej ochrony ruchu, takie jak szyfrowanie lub filtrowanie adresów MAC;
- technologie, które pierwotnie miały służyć innym celom, na przykład zwiększyć prędkość, ale jednocześnie pośrednio utrudniały życie atakującemu.
Pierwsza grupa została opisana w pierwszej części. Ale w naszym arsenale mamy też dodatkowe środki pośrednie. Jak wspomniano powyżej, zwiększenie liczby punktów dostępowych pozwala na zmniejszenie poziomu sygnału i ujednolicenie obszaru zasięgu, a to utrudnia życie atakującemu.
Kolejnym zastrzeżeniem jest to, że zwiększenie prędkości przesyłania danych ułatwia zastosowanie dodatkowych środków bezpieczeństwa. Można na przykład zainstalować klienta VPN na każdym laptopie i przesyłać dane nawet w obrębie sieci lokalnej za pomocą szyfrowanych kanałów. Będzie to wymagało pewnych zasobów, w tym sprzętu, ale poziom ochrony znacznie wzrośnie.
Poniżej przedstawiamy opis technologii, które mogą poprawić wydajność sieci i pośrednio zwiększyć stopień ochrony.
Pośrednie sposoby poprawy ochrony – co może pomóc?
Sterowanie Klientem
Funkcja sterowania klientem monituje urządzenia klienckie o skorzystanie najpierw z pasma 5 GHz. Jeżeli klient nie ma takiej opcji, nadal będzie mógł korzystać z częstotliwości 2.4 GHz. W przypadku starszych sieci z małą liczbą punktów dostępowych większość pracy jest wykonywana w paśmie 2.4 GHz. Dla zakresu częstotliwości 5 GHz schemat pojedynczego punktu dostępowego będzie w wielu przypadkach nie do przyjęcia. Faktem jest, że sygnał o wyższej częstotliwości przechodzi przez ściany i gorzej załamuje się wokół przeszkód. Zwykłe zalecenie: aby zapewnić gwarantowaną komunikację w paśmie 5 GHz, zaleca się pracę w zasięgu wzroku od punktu dostępowego.
We współczesnych standardach 802.11ac i 802.11ax, ze względu na większą liczbę kanałów, istnieje możliwość zainstalowania kilku punktów dostępowych w bliższej odległości, co pozwala na zmniejszenie mocy bez utraty, a nawet zwiększenia szybkości przesyłania danych. W rezultacie wykorzystanie pasma 5 GHz utrudnia życie atakującym, ale poprawia jakość komunikacji dla klientów znajdujących się w zasięgu.
Ta funkcja jest prezentowana:
- w punktach dostępowych Nebula i NebulaFlex;
- w zaporach ogniowych z funkcją kontrolera.
Automatyczne leczenie
Jak wspomniano powyżej, kontury obwodu pomieszczenia nie pasują dobrze do okrągłych schematów punktów dostępu.
Aby rozwiązać ten problem, po pierwsze, należy wykorzystać optymalną liczbę punktów dostępu, a po drugie, ograniczyć wzajemne wpływy. Jeśli jednak po prostu ręcznie zmniejszysz moc nadajników, takie bezpośrednie zakłócenia mogą doprowadzić do pogorszenia komunikacji. Będzie to szczególnie zauważalne w przypadku awarii jednego lub więcej punktów dostępu.
Auto Healing pozwala szybko dostosować moc bez utraty niezawodności i szybkości przesyłania danych.
Podczas korzystania z tej funkcji kontroler sprawdza stan i funkcjonalność punktów dostępowych. Jeśli jeden z nich nie działa, sąsiednie otrzymują polecenie zwiększenia siły sygnału, aby wypełnić „białą plamę”. Gdy punkt dostępu zostanie ponownie uruchomiony, sąsiednie punkty otrzymają polecenie zmniejszenia siły sygnału w celu ograniczenia wzajemnych zakłóceń.
Bezproblemowy roaming Wi-Fi
Na pierwszy rzut oka trudno nazwać tę technologię zwiększaniem poziomu bezpieczeństwa, wręcz przeciwnie, ułatwia klientowi (w tym atakującemu) przełączanie się pomiędzy punktami dostępowymi w tej samej sieci. Ale jeśli używane są dwa lub więcej punktów dostępu, musisz zapewnić wygodną obsługę bez niepotrzebnych problemów. Dodatkowo, jeśli punkt dostępu jest przeciążony, gorzej radzi sobie z funkcjami bezpieczeństwa, takimi jak szyfrowanie, występują opóźnienia w wymianie danych i pojawiają się inne nieprzyjemne rzeczy. Pod tym względem płynny roaming jest bardzo pomocny w elastycznym rozłożeniu obciążenia i zapewnieniu nieprzerwanej pracy w trybie chronionym.
Konfigurowanie progów siły sygnału do podłączania i odłączania klientów bezprzewodowych (próg sygnału lub zakres siły sygnału)
W przypadku korzystania z pojedynczego punktu dostępowego funkcja ta w zasadzie nie ma znaczenia. Jeżeli jednak działa kilka punktów kontrolowanych przez kontroler, możliwa jest organizacja mobilnej dystrybucji klientów pomiędzy różnymi punktami dostępowymi. Warto przypomnieć, że funkcje kontrolera punktu dostępowego dostępne są w wielu liniach routerów firmy Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Powyższe urządzenia posiadają funkcję rozłączania klienta podłączonego do SSID o słabym sygnale. „Słaby” oznacza, że sygnał jest poniżej progu ustawionego na sterowniku. Po rozłączeniu klient wyśle żądanie sondowania w celu znalezienia innego punktu dostępu.
Przykładowo, klient podłączony do punktu dostępowego z sygnałem poniżej -65dBm, jeżeli próg rozłączenia stacji wynosi -60dBm, w takim przypadku punkt dostępowy rozłączy klienta z tym poziomem sygnału. Klient rozpoczyna teraz procedurę ponownego łączenia i będzie już łączyć się z innym punktem dostępowym z sygnałem większym lub równym -60dBm (próg sygnału stacji).
Jest to ważne w przypadku korzystania z wielu punktów dostępowych. Zapobiega to sytuacji, w której większość klientów gromadzi się w jednym punkcie, podczas gdy inne punkty dostępowe są bezczynne.
Dodatkowo można ograniczyć podłączenie klientów o słabym sygnale, którzy najprawdopodobniej znajdują się poza obwodem pomieszczenia, np. za ścianą w sąsiednim biurze, co pozwala nam również traktować tę funkcję jako metodę pośrednią ochrony.
Przejście na WiFi 6 jako jeden ze sposobów na poprawę bezpieczeństwa
O zaletach bezpośrednich środków zaradczych pisaliśmy już wcześniej w poprzednim artykule. „Funkcje ochrony sieci bezprzewodowych i przewodowych. Część 1 – Bezpośrednie środki ochrony”.
Sieci Wi-Fi 6 zapewniają większą prędkość przesyłania danych. Z jednej strony nowa grupa standardów pozwala zwiększyć prędkość, z drugiej strony można umieścić jeszcze więcej punktów dostępowych na tym samym obszarze. Nowy standard pozwala na wykorzystanie mniejszej mocy do transmisji z większymi prędkościami.
Zwiększona prędkość przesyłania danych.
Przejście na WiFi 6 wiąże się ze zwiększeniem prędkości wymiany do 11Gb/s (typ modulacji 1024-QAM, kanały 160 MHz). Jednocześnie nowe urządzenia obsługujące Wi-Fi 6 mają lepszą wydajność. Jednym z głównych problemów przy wdrażaniu dodatkowych zabezpieczeń, takich jak kanał VPN dla każdego użytkownika, jest spadek prędkości. Dzięki WiFi 6 łatwiej będzie wdrożyć dodatkowe systemy bezpieczeństwa.
Kolorowanki BSS
Pisaliśmy wcześniej, że bardziej równomierny zasięg może zmniejszyć przenikanie sygnału WiFi poza obwód. Jednak przy dalszym wzroście liczby punktów dostępowych nawet zastosowanie Auto Healing może nie wystarczyć, ponieważ „obcy” ruch z sąsiedniego punktu nadal będzie przenikał do obszaru odbioru.
Podczas korzystania z funkcji BSS Coloring punkt dostępowy pozostawia specjalne znaki (kolory) na swoich pakietach danych. Pozwala to zignorować wpływ sąsiednich urządzeń nadawczych (punktów dostępowych).
Ulepszone MU-MIMO
W standardzie 802.11ax wprowadzono także ważne ulepszenia technologii MU-MIMO (Multi-User - Multiple Output Multiple Output). MU-MIMO umożliwia punktowi dostępu komunikację z wieloma urządzeniami jednocześnie. Jednak w poprzednim standardzie technologia ta mogła obsługiwać tylko grupy czterech klientów na tej samej częstotliwości. Ułatwiło to transmisję, ale nie odbiór. Wi-Fi 6 wykorzystuje MIMO 8x8 dla wielu użytkowników do transmisji i odbioru.
Uwaga. Standard 802.11ax zwiększa rozmiar grup MU-MIMO typu downstream, zapewniając bardziej wydajną wydajność sieci Wi-Fi. Łącze wysyłające MIMO dla wielu użytkowników to nowy dodatek do standardu 802.11ax.
OFDMA (wielokrotny dostęp z ortogonalnym podziałem częstotliwości)
Ta nowa metoda dostępu i kontroli kanałów została opracowana w oparciu o technologie, które sprawdziły się już w technologii komórkowej LTE.
OFDMA umożliwia jednoczesne wysłanie więcej niż jednego sygnału tą samą linią lub kanałem poprzez przypisanie przedziału czasu do każdej transmisji i zastosowanie podziału częstotliwości. W rezultacie nie tylko wzrasta prędkość ze względu na lepsze wykorzystanie kanału, ale także zwiększa się bezpieczeństwo.
Streszczenie
Sieci Wi-Fi z roku na rok stają się coraz bezpieczniejsze. Zastosowanie nowoczesnych technologii pozwala nam zorganizować akceptowalny poziom ochrony.
Bezpośrednie metody ochrony w postaci szyfrowania ruchu sprawdziły się całkiem nieźle. Nie zapomnij o dodatkowych środkach: filtrowaniu według adresów MAC, ukrywaniu identyfikatora sieci, wykrywaniu fałszywych punktów dostępowych (Rogue AP Containment).
Ale istnieją również środki pośrednie, które usprawniają wspólne działanie urządzeń bezprzewodowych i zwiększają prędkość wymiany danych.
Zastosowanie nowych technologii pozwala na zmniejszenie poziomu sygnału z punktów, dzięki czemu zasięg jest bardziej jednolity, co ma dobry wpływ na kondycję całej sieci bezprzewodowej jako całości, w tym na bezpieczeństwo.
Zdrowy rozsądek podpowiada, że dla poprawy bezpieczeństwa dobre są wszystkie środki: zarówno bezpośrednie, jak i pośrednie. Ta kombinacja pozwala maksymalnie utrudnić życie atakującemu.
Przydatne linki:
- Funkcje ochrony sieci bezprzewodowych i przewodowych. Część 1 – Bezpośrednie środki ochrony
Źródło: www.habr.com