Continuamos a conversa sobre métodos para aumentar a segurança da rede. Neste artigo falaremos sobre medidas adicionais de segurança e organização de redes sem fio mais seguras.
Prefácio à segunda parte
Em um artigo anterior Houve uma discussão sobre problemas de segurança da rede WiFi e métodos diretos de proteção contra acesso não autorizado. Foram consideradas medidas óbvias para evitar a interceptação de tráfego: criptografia, ocultação de rede e filtragem MAC, bem como métodos especiais, por exemplo, combate a Rogue AP. Porém, além dos métodos diretos de proteção, também existem os indiretos. São tecnologias que não só ajudam a melhorar a qualidade da comunicação, mas também melhoram ainda mais a segurança.
Duas características principais das redes sem fio: acesso remoto sem contato e rádio aéreo como meio de transmissão para transmissão de dados, onde qualquer receptor de sinal pode ouvir o ar, e qualquer transmissor pode obstruir a rede com transmissões inúteis e simplesmente interferência de rádio. Isto, entre outras coisas, não tem o melhor efeito na segurança geral da rede sem fio.
Você não viverá apenas pela segurança. Ainda temos que trabalhar de alguma forma, ou seja, trocar dados. E deste lado há muitas outras reclamações sobre WiFi:
- lacunas na cobertura (“pontos brancos”);
- influência de fontes externas e pontos de acesso vizinhos entre si.
Como resultado, devido aos problemas descritos acima, a qualidade do sinal diminui, a conexão perde estabilidade e a velocidade de troca de dados cai.
É claro que os fãs de redes cabeadas ficarão satisfeitos em notar que ao usar conexões de cabo e, principalmente, de fibra óptica, tais problemas não são observados.
Surge a questão: é possível resolver de alguma forma estas questões sem recorrer a quaisquer meios drásticos, como reconectar todas as pessoas insatisfeitas à rede com fio?
Onde começam todos os problemas?
Na época do nascimento do escritório e de outras redes WiFi, na maioria das vezes eles seguiam um algoritmo simples: colocavam um único ponto de acesso no centro do perímetro para maximizar a cobertura. Se não houvesse intensidade de sinal suficiente para áreas remotas, uma antena amplificadora era adicionada ao ponto de acesso. Muito raramente foi adicionado um segundo ponto de acesso, por exemplo, para o escritório remoto de um diretor. Provavelmente são todas as melhorias.
Esta abordagem teve as suas razões. Em primeiro lugar, no início das redes sem fio, o equipamento para elas era caro. Em segundo lugar, instalar mais pontos de acesso significava enfrentar questões que não tinham resposta na altura. Por exemplo, como organizar a alternância contínua de clientes entre pontos? Como lidar com interferências mútuas? Como simplificar e agilizar a gestão de pontos, por exemplo, aplicação simultânea de proibições/permissões, monitorização, etc. Portanto, foi muito mais fácil seguir o princípio: quanto menos aparelhos, melhor.
Ao mesmo tempo, o ponto de acesso localizado sob o teto é transmitido em um diagrama circular (mais precisamente, redondo).
No entanto, as formas dos edifícios arquitetônicos não se ajustam muito bem aos diagramas redondos de propagação de sinais. Portanto, em alguns locais o sinal quase não chega e precisa ser amplificado, e em alguns locais a transmissão ultrapassa o perímetro e fica acessível a pessoas de fora.
Figura 1. Exemplo de cobertura em ponto único no escritório.
Nota. Esta é uma aproximação grosseira que não leva em consideração os obstáculos à propagação, bem como a direcionalidade do sinal. Na prática, as formas dos diagramas para diferentes modelos de pontos podem ser diferentes.
A situação pode ser melhorada utilizando mais pontos de acesso.
Em primeiro lugar, isto permitirá que os dispositivos de transmissão sejam distribuídos de forma mais eficiente pela área da sala.
Em segundo lugar, torna-se possível reduzir o nível do sinal, evitando que este ultrapasse o perímetro de um escritório ou outra instalação. Nesse caso, para ler o tráfego da rede wireless, é necessário chegar quase perto do perímetro ou até mesmo entrar em seus limites. Um invasor age da mesma maneira para invadir uma rede interna com fio.
Figura 2: Aumentar o número de pontos de acesso permite uma melhor distribuição da cobertura.
Vejamos as duas fotos novamente. A primeira mostra claramente uma das principais vulnerabilidades de uma rede sem fio - o sinal pode ser captado a uma distância razoável.
Na segunda foto a situação não está tão avançada. Quanto mais pontos de acesso, mais eficaz é a área de cobertura e, ao mesmo tempo, a potência do sinal quase não se estende além do perímetro, grosso modo, além dos limites do escritório, escritório, edifício e outros objetos possíveis.
Um invasor terá que se aproximar de alguma forma despercebido para interceptar um sinal relativamente fraco “da rua” ou “do corredor” e assim por diante. Para fazer isso, você precisa chegar perto do prédio de escritórios, por exemplo, ficar embaixo das janelas. Ou tente entrar no próprio prédio de escritórios. Em qualquer caso, isto aumenta o risco de ser apanhado pela videovigilância e ser notado pela segurança. Isso reduz significativamente o intervalo de tempo para um ataque. Isso dificilmente pode ser chamado de “condições ideais para hackear”.
É claro que resta mais um “pecado original”: redes sem fio transmitidas em uma faixa acessível que pode ser interceptada por todos os clientes. Na verdade, uma rede WiFi pode ser comparada a um HUB Ethernet, onde o sinal é transmitido para todas as portas ao mesmo tempo. Para evitar isso, o ideal é que cada par de dispositivos se comunique em seu próprio canal de frequência, no qual ninguém mais deve interferir.
Aqui está um resumo dos principais problemas. Vamos considerar maneiras de resolvê-los.
Remédios: diretos e indiretos
Como já mencionado no artigo anterior, a proteção perfeita não pode ser alcançada em nenhum caso. Mas você pode dificultar ao máximo a realização de um ataque, tornando o resultado pouco lucrativo em relação ao esforço despendido.
Convencionalmente, os equipamentos de proteção podem ser divididos em dois grupos principais:
- tecnologias de proteção direta de tráfego, como criptografia ou filtragem MAC;
- tecnologias que foram originalmente destinadas a outros fins, por exemplo, para aumentar a velocidade, mas ao mesmo tempo dificultam indiretamente a vida de um invasor.
O primeiro grupo foi descrito na primeira parte. Mas também temos medidas indirectas adicionais no nosso arsenal. Conforme mencionado acima, aumentar o número de pontos de acesso permite reduzir o nível do sinal e uniformizar a área de cobertura, o que dificulta a vida de um invasor.
Outra ressalva é que o aumento da velocidade de transferência de dados facilita a aplicação de medidas de segurança adicionais. Por exemplo, você pode instalar um cliente VPN em cada laptop e transferir dados mesmo dentro de uma rede local por meio de canais criptografados. Isto exigirá alguns recursos, incluindo hardware, mas o nível de proteção aumentará significativamente.
Abaixo fornecemos uma descrição de tecnologias que podem melhorar o desempenho da rede e aumentar indiretamente o grau de proteção.
Meios indiretos de melhorar a proteção – o que pode ajudar?
Direção do cliente
O recurso Client Steering solicita que os dispositivos clientes usem primeiro a banda de 5 GHz. Caso esta opção não esteja disponível para o cliente, ele ainda poderá utilizar 2.4 GHz. Para redes legadas com um pequeno número de pontos de acesso, a maior parte do trabalho é realizada na banda de 2.4 GHz. Para a faixa de frequência de 5 GHz, um esquema de ponto de acesso único será inaceitável em muitos casos. O fato é que um sinal com frequência mais alta atravessa paredes e contorna ainda mais os obstáculos. A recomendação habitual: para garantir a comunicação garantida na banda de 5 GHz, é preferível trabalhar na linha de visão do ponto de acesso.
Nos padrões modernos 802.11ac e 802.11ax, devido ao maior número de canais, é possível instalar diversos pontos de acesso a uma distância mais próxima, o que permite reduzir a potência sem perder, ou mesmo ganhar, velocidade de transferência de dados. Como resultado, o uso da banda de 5 GHz dificulta a vida dos invasores, mas melhora a qualidade da comunicação dos clientes ao seu alcance.
Esta função é apresentada:
- nos pontos de acesso Nebula e NebulaFlex;
- em firewalls com função de controlador.
Recuperação Automática
Conforme mencionado acima, os contornos do perímetro da sala não se enquadram bem nos diagramas redondos dos pontos de acesso.
Para resolver este problema, em primeiro lugar, é necessário usar o número ideal de pontos de acesso e, em segundo lugar, reduzir a influência mútua. Mas se você simplesmente reduzir manualmente a potência dos transmissores, essa interferência direta pode levar à deterioração da comunicação. Isto será especialmente perceptível se um ou mais pontos de acesso falharem.
A recuperação automática permite ajustar rapidamente a potência sem perder a confiabilidade e a velocidade de transferência de dados.
Ao utilizar esta função, o controlador verifica o status e a funcionalidade dos pontos de acesso. Caso um deles não funcione, os vizinhos são orientados a aumentar a intensidade do sinal para preencher a “mancha branca”. Assim que o ponto de acesso estiver funcionando novamente, os pontos vizinhos serão instruídos a reduzir a intensidade do sinal para reduzir a interferência mútua.
Roaming WiFi contínuo
À primeira vista, esta tecnologia dificilmente pode ser chamada de aumento do nível de segurança, pelo contrário, torna mais fácil para um cliente (incluindo um invasor) alternar entre pontos de acesso na mesma rede. Mas se dois ou mais pontos de acesso forem usados, você precisará garantir uma operação conveniente e sem problemas desnecessários. Além disso, se o ponto de acesso estiver sobrecarregado, ele lidará pior com funções de segurança como criptografia, atrasos na troca de dados e outras coisas desagradáveis. Nesse sentido, o roaming contínuo é uma grande ajuda para distribuir a carga de maneira flexível e garantir uma operação ininterrupta em modo protegido.
Configurando limites de intensidade de sinal para conectar e desconectar clientes sem fio (Limite de sinal ou Faixa de intensidade de sinal)
Ao usar um único ponto de acesso, esta função, em princípio, não importa. Mas desde que vários pontos controlados por um controlador estejam operando, é possível organizar a distribuição móvel de clientes em diferentes APs. Vale lembrar que as funções de controlador de ponto de acesso estão disponíveis em diversas linhas de roteadores da Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Os dispositivos acima possuem um recurso para desconectar um cliente que esteja conectado a um SSID com sinal fraco. “Fraco” significa que o sinal está abaixo do limite definido no controlador. Depois que o cliente for desconectado, ele enviará uma solicitação de investigação para encontrar outro ponto de acesso.
Por exemplo, um cliente conectado a um ponto de acesso com sinal abaixo de -65dBm, se o limite de desconexão da estação for -60dBm, neste caso o ponto de acesso desconectará o cliente com este nível de sinal. O cliente inicia agora o procedimento de reconexão e já se conectará a outro ponto de acesso com sinal maior ou igual a -60dBm (limiar de sinal da estação).
Isto é importante ao usar vários pontos de acesso. Isto evita uma situação em que a maioria dos clientes se acumula em um ponto, enquanto outros pontos de acesso ficam ociosos.
Além disso, é possível limitar a ligação de clientes com sinal fraco, que muito provavelmente se encontram fora do perímetro da sala, por exemplo, atrás da parede de um escritório vizinho, o que também nos permite considerar esta função como um método indireto. de proteção.
Mudar para WiFi 6 como uma das formas de melhorar a segurança
Já falamos sobre as vantagens dos remédios diretos no artigo anterior. “Recursos de proteção de redes sem fio e com fio. Parte 1 – Medidas diretas de proteção”.
As redes WiFi 6 oferecem velocidades de transferência de dados mais rápidas. Por um lado, o novo conjunto de padrões permite aumentar a velocidade, por outro lado, é possível colocar ainda mais pontos de acesso na mesma área. O novo padrão permite que menos energia seja usada para transmitir em velocidades mais altas.
Maior velocidade de transferência de dados.
A transição para WiFi 6 envolve aumentar a velocidade de troca para 11 Gb/s (tipo de modulação 1024-QAM, canais de 160 MHz). Ao mesmo tempo, novos dispositivos que suportam WiFi 6 apresentam melhor desempenho. Um dos principais problemas na implementação de medidas de segurança adicionais, como um canal VPN para cada usuário, é a queda na velocidade. Com o WiFi 6, será mais fácil implementar sistemas de segurança adicionais.
Coloração BSS
Escrevemos anteriormente que uma cobertura mais uniforme pode reduzir a penetração do sinal WiFi além do perímetro. Mas com o crescimento ainda maior do número de pontos de acesso, mesmo o uso do Auto Healing pode não ser suficiente, uma vez que o tráfego “estrangeiro” de um ponto vizinho ainda penetrará na área de recepção.
Ao usar o BSS Coloring, o ponto de acesso deixa marcas especiais (cores) em seus pacotes de dados. Isto permite ignorar a influência de dispositivos de transmissão vizinhos (pontos de acesso).
MU-MIMO aprimorado
O 802.11ax também traz melhorias importantes na tecnologia MU-MIMO (Multi-User - Multiple Input Multiple Output). O MU-MIMO permite que o ponto de acesso se comunique com vários dispositivos simultaneamente. Mas no padrão anterior, esta tecnologia só podia suportar grupos de quatro clientes na mesma frequência. Isso facilitou a transmissão, mas não a recepção. WiFi 6 usa MIMO multiusuário 8x8 para transmissão e recepção.
Nota. O 802.11ax aumenta o tamanho dos grupos MU-MIMO downstream, proporcionando desempenho de rede WiFi mais eficiente. O uplink MIMO multiusuário é uma nova adição ao 802.11ax.
OFDMA (acesso múltiplo por divisão de frequência ortogonal)
Este novo método de acesso e controle de canais é desenvolvido com base em tecnologias já comprovadas na tecnologia celular LTE.
OFDMA permite que mais de um sinal seja enviado na mesma linha ou canal ao mesmo tempo, atribuindo um intervalo de tempo a cada transmissão e aplicando divisão de frequência. Como resultado, não só a velocidade aumenta devido à melhor utilização do canal, mas também aumenta a segurança.
Resumo
As redes WiFi estão se tornando mais seguras a cada ano. O uso de tecnologias modernas permite organizar um nível de proteção aceitável.
Os métodos diretos de proteção na forma de criptografia de tráfego provaram-se muito bem. Não se esqueça das medidas adicionais: filtragem por MAC, ocultação do ID da rede, Rogue AP Detection (Rogue AP Containment).
Mas também existem medidas indiretas que melhoram a operação conjunta de dispositivos sem fio e aumentam a velocidade da troca de dados.
A utilização de novas tecnologias permite reduzir o nível de sinal dos pontos, tornando a cobertura mais uniforme, o que tem um bom impacto na saúde de toda a rede wireless como um todo, inclusive na segurança.
O bom senso dita que todos os meios são bons para melhorar a segurança: tanto diretos como indiretos. Essa combinação permite tornar a vida de um invasor o mais difícil possível.
Links úteis:
- Recursos de proteção de redes sem fio e com fio. Parte 1 – Medidas diretas de proteção
Fonte: habr.com