Ne vazhdojmë bisedën rreth metodave për rritjen e sigurisë së rrjetit. Në këtë artikull do të flasim për masat shtesë të sigurisë dhe organizimin e rrjeteve më të sigurta pa tel.
Parathënie e pjesës së dytë
Në një artikull të mëparshëm U diskutua për problemet e sigurisë së rrjetit WiFi dhe metodat e drejtpërdrejta të mbrojtjes nga aksesi i paautorizuar. U konsideruan masa të dukshme për të parandaluar përgjimin e trafikut: kriptimi, fshehja e rrjetit dhe filtrimi i MAC, si dhe metoda të veçanta, për shembull, luftimi i Rogue AP. Megjithatë, përveç metodave të drejtpërdrejta të mbrojtjes, ekzistojnë edhe ato indirekte. Këto janë teknologji që jo vetëm ndihmojnë në përmirësimin e cilësisë së komunikimit, por edhe përmirësimin e mëtejshëm të sigurisë.
Dy veçori kryesore të rrjeteve pa tel: aksesi pa kontakt në distancë dhe ajri i radios si një mjet transmetimi për transmetimin e të dhënave, ku çdo marrës sinjali mund të dëgjojë ajrin dhe çdo transmetues mund të bllokojë rrjetin me transmetime të padobishme dhe thjesht ndërhyrje radio. Kjo, ndër të tjera, nuk ka efektin më të mirë në sigurinë e përgjithshme të rrjetit pa tel.
Ju nuk do të jetoni vetëm me siguri. Ne ende duhet të punojmë disi, domethënë të shkëmbejmë të dhëna. Dhe nga kjo anë ka shumë ankesa të tjera për WiFi:
- boshllëqe në mbulim ("njolla të bardha");
- ndikimi i burimeve të jashtme dhe pikave fqinje të aksesit mbi njëra-tjetrën.
Si rezultat, për shkak të problemeve të përshkruara më sipër, cilësia e sinjalit zvogëlohet, lidhja humbet stabilitetin dhe shpejtësia e shkëmbimit të të dhënave bie.
Sigurisht, tifozët e rrjeteve me tela do të jenë të kënaqur të vërejnë se kur përdorni kabllo dhe, veçanërisht, lidhjet me fibra optike, probleme të tilla nuk vërehen.
Shtrohet pyetja: a është e mundur që disi të zgjidhen këto çështje pa përdorur ndonjë mjet drastik, siç është rilidhja e të gjithë njerëzve të pakënaqur në rrjetin kabllor?
Ku nisin të gjitha problemet?
Në kohën e lindjes së zyrave dhe rrjeteve të tjera WiFi, ata më së shpeshti ndoqën një algoritëm të thjeshtë: vendosën një pikë të vetme aksesi në qendër të perimetrit për të maksimizuar mbulimin. Nëse nuk kishte fuqi të mjaftueshme të sinjalit për zonat e largëta, një antenë përforcuese u shtua në pikën e hyrjes. Shumë rrallë është shtuar një pikë e dytë aksesi, për shembull, për zyrën e drejtorit në distancë. Këto janë ndoshta të gjitha përmirësimet.
Kjo qasje kishte arsyet e veta. Së pari, në agimin e rrjeteve pa tel, pajisjet për ta ishin të shtrenjta. Së dyti, instalimi i më shumë pikave të aksesit nënkuptonte përballjen me pyetje që nuk kishin përgjigje në atë kohë. Për shembull, si të organizohet kalimi pa probleme e klientit midis pikave? Si të merreni me ndërhyrjet reciproke? Si të thjeshtësohet dhe thjeshtohet menaxhimi i pikave, për shembull, zbatimi i njëkohshëm i ndalimeve/lejeve, monitorimi, etj. Prandaj, ishte shumë më e lehtë të ndiqesh parimin: sa më pak pajisje, aq më mirë.
Në të njëjtën kohë, pika e hyrjes, e vendosur nën tavan, transmetohet në një diagram rrethor (më saktë, të rrumbullakët).
Megjithatë, format e ndërtesave arkitekturore nuk përshtaten shumë mirë në diagramet e përhapjes së sinjalit të rrumbullakët. Prandaj, në disa vende sinjali pothuajse nuk arrin, dhe duhet të përforcohet, dhe në disa vende transmetimi shkon përtej perimetrit dhe bëhet i arritshëm për të huajt.
Figura 1. Shembull i mbulimit duke përdorur një pikë të vetme në zyrë.
Shënim. Ky është një përafrim i përafërt që nuk merr parasysh pengesat për përhapjen, si dhe drejtimin e sinjalit. Në praktikë, format e diagrameve për modele të ndryshme pikash mund të ndryshojnë.
Situata mund të përmirësohet duke përdorur më shumë pika aksesi.
Së pari, kjo do të lejojë që pajisjet transmetuese të shpërndahen në mënyrë më efikase në të gjithë zonën e dhomës.
Së dyti, bëhet e mundur të zvogëlohet niveli i sinjalit, duke e penguar atë të shkojë përtej perimetrit të një zyre ose objekti tjetër. Në këtë rast, për të lexuar trafikun e rrjetit pa tel, duhet t'i afroheni pothuajse perimetrit ose madje të futni kufijtë e tij. Një sulmues vepron në të njëjtën mënyrë për të depërtuar në një rrjet të brendshëm me tel.
Figura 2: Rritja e numrit të pikave të aksesit mundëson shpërndarje më të mirë të mbulimit.
Le t'i shohim sërish të dyja fotot. E para tregon qartë një nga dobësitë kryesore të një rrjeti pa tel - sinjali mund të kapet në një distancë të mirë.
Në foton e dytë situata nuk është aq e avancuar. Sa më shumë pika aksesi, aq më efektive është zona e mbulimit, dhe në të njëjtën kohë fuqia e sinjalit pothuajse nuk shtrihet përtej perimetrit, përafërsisht, përtej kufijve të zyrës, zyrës, ndërtesës dhe objekteve të tjera të mundshme.
Një sulmues do të duhet të zvarritet disi më afër pa u vënë re në mënyrë që të përgjojë një sinjal relativisht të dobët "nga rruga" ose "nga korridori" e kështu me radhë. Për ta bërë këtë, duhet të afroheni pranë ndërtesës së zyrës, për shembull, të qëndroni nën dritare. Ose përpiquni të futeni në vetë ndërtesën e zyrës. Në çdo rast, kjo rrit rrezikun për t'u ekspozuar në vëzhgim me video dhe për t'u vënë re nga siguria. Kjo redukton ndjeshëm intervalin kohor për një sulm. Kjo vështirë se mund të quhet "kushte ideale për hakerim".
Natyrisht, mbetet edhe një “mëkat origjinal”: rrjetet me valë transmetohen në një gamë të aksesueshme që mund të përgjohet nga të gjithë klientët. Në të vërtetë, një rrjet WiFi mund të krahasohet me një Ethernet HUB, ku sinjali transmetohet në të gjitha portet menjëherë. Për të shmangur këtë, në mënyrë ideale, çdo palë pajisje duhet të komunikojë në kanalin e vet të frekuencës, në të cilin askush tjetër nuk duhet të ndërhyjë.
Këtu është një përmbledhje e problemeve kryesore. Le të shqyrtojmë mënyrat për t'i zgjidhur ato.
Mjetet juridike: direkte dhe indirekte
Siç u përmend tashmë në artikullin e mëparshëm, mbrojtja e përsosur nuk mund të arrihet në asnjë rast. Por ju mund ta bëni sa më të vështirë të jetë e mundur kryerjen e një sulmi, duke e bërë rezultatin jofitimprurës në lidhje me përpjekjen e shpenzuar.
Në mënyrë konvencionale, pajisjet mbrojtëse mund të ndahen në dy grupe kryesore:
- teknologjitë e drejtpërdrejta të mbrojtjes së trafikut si enkriptimi ose filtrimi MAC;
- teknologjitë që fillimisht ishin të destinuara për qëllime të tjera, për shembull, për të rritur shpejtësinë, por në të njëjtën kohë indirekt e bëjnë jetën e një sulmuesi më të vështirë.
Grupi i parë u përshkrua në pjesën e parë. Por ne kemi edhe masa shtesë indirekte në arsenalin tonë. Siç u përmend më lart, rritja e numrit të pikave të hyrjes ju lejon të zvogëloni nivelin e sinjalit dhe ta bëni zonën e mbulimit uniforme, dhe kjo e bën jetën më të vështirë për një sulmues.
Një paralajmërim tjetër është se rritja e shpejtësisë së transferimit të të dhënave e bën më të lehtë zbatimin e masave shtesë të sigurisë. Për shembull, mund të instaloni një klient VPN në çdo laptop dhe të transferoni të dhëna edhe brenda një rrjeti lokal përmes kanaleve të koduara. Kjo do të kërkojë disa burime, duke përfshirë harduerin, por niveli i mbrojtjes do të rritet ndjeshëm.
Më poshtë ofrojmë një përshkrim të teknologjive që mund të përmirësojnë performancën e rrjetit dhe tërthorazi të rrisin shkallën e mbrojtjes.
Mjetet indirekte të përmirësimit të mbrojtjes - çfarë mund të ndihmojë?
Drejtues Klienti
Karakteristika "Drejtimi i klientit" nxit pajisjet e klientit të përdorin së pari brezin 5 GHz. Nëse ky opsion nuk është i disponueshëm për klientin, ai do të jetë ende në gjendje të përdorë 2.4 GHz. Për rrjetet e vjetra me një numër të vogël pikash aksesi, shumica e punës kryhet në brezin 2.4 GHz. Për diapazonin e frekuencës 5 GHz, një skemë e vetme e pikës së hyrjes do të jetë e papranueshme në shumë raste. Fakti është se një sinjal me një frekuencë më të lartë kalon nëpër mure dhe përkulet më keq rreth pengesave. Rekomandimi i zakonshëm: për të siguruar komunikim të garantuar në brezin 5 GHz, preferohet të punoni në vijën e shikimit nga pika e hyrjes.
Në standardet moderne 802.11ac dhe 802.11ax, për shkak të numrit më të madh të kanaleve, është e mundur të instaloni disa pika aksesi në një distancë më të afërt, gjë që ju lejon të zvogëloni fuqinë pa humbur, apo edhe pa fituar shpejtësinë e transferimit të të dhënave. Si rezultat, përdorimi i brezit 5 GHz e bën jetën më të vështirë për sulmuesit, por përmirëson cilësinë e komunikimit për klientët brenda mundësive.
Ky funksion është paraqitur:
- në pikat e aksesit Nebula dhe NebulaFlex;
- në muret e zjarrit me funksion kontrollues.
Shërimi automatik
Siç u përmend më lart, konturet e perimetrit të dhomës nuk përshtaten mirë në diagramet e rrumbullakëta të pikave të hyrjes.
Për të zgjidhur këtë problem, së pari, duhet të përdorni numrin optimal të pikave të hyrjes, dhe së dyti, të zvogëloni ndikimin e ndërsjellë. Por nëse thjesht ulni manualisht fuqinë e transmetuesve, një ndërhyrje e tillë e drejtpërdrejtë mund të çojë në një përkeqësim të komunikimit. Kjo do të jetë veçanërisht e dukshme nëse një ose më shumë pika aksesi dështojnë.
Auto Healing ju lejon të rregulloni shpejt fuqinë pa humbur besueshmërinë dhe shpejtësinë e transferimit të të dhënave.
Kur përdorni këtë funksion, kontrolluesi kontrollon statusin dhe funksionalitetin e pikave të hyrjes. Nëse njëri prej tyre nuk funksionon, atëherë fqinjët udhëzohen të rrisin fuqinë e sinjalit për të mbushur "njollën e bardhë". Pasi pika e aksesit të jetë në funksionim dhe të funksionojë përsëri, pikat fqinje udhëzohen të zvogëlojnë fuqinë e sinjalit për të zvogëluar ndërhyrjen reciproke.
Roaming pa probleme WiFi
Në pamje të parë, kjo teknologji vështirë se mund të quhet rritje e nivelit të sigurisë; përkundrazi, e bën më të lehtë për një klient (përfshirë një sulmues) kalimin midis pikave të hyrjes në të njëjtin rrjet. Por nëse përdoren dy ose më shumë pika aksesi, duhet të siguroni funksionim të përshtatshëm pa probleme të panevojshme. Përveç kësaj, nëse pika e hyrjes është e mbingarkuar, ajo përballet më keq me funksionet e sigurisë si kriptimi, vonesat në shkëmbimin e të dhënave dhe gjëra të tjera të pakëndshme. Në këtë drejtim, roaming pa probleme është një ndihmë e madhe për të shpërndarë në mënyrë fleksibël ngarkesën dhe për të siguruar funksionimin e pandërprerë në një modalitet të mbrojtur.
Konfigurimi i pragjeve të fuqisë së sinjalit për lidhjen dhe shkëputjen e klientëve me valë (Pragu i sinjalit ose diapazoni i fuqisë së sinjalit)
Kur përdorni një pikë të vetme aksesi, ky funksion, në parim, nuk ka rëndësi. Por me kusht që të funksionojnë disa pika të kontrolluara nga një kontrollues, është e mundur të organizohet shpërndarje celulare e klientëve nëpër AP të ndryshme. Vlen të kujtojmë se funksionet e kontrolluesit të pikës së hyrjes janë të disponueshme në shumë linja ruterash nga Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Pajisjet e mësipërme kanë një veçori për të shkëputur një klient që është i lidhur me një SSID me një sinjal të dobët. "I dobët" do të thotë që sinjali është nën pragun e vendosur në kontrollues. Pasi klienti të jetë shkëputur, ai do të dërgojë një kërkesë hetimi për të gjetur një pikë tjetër aksesi.
Për shembull, një klient i lidhur me një pikë aksesi me një sinjal nën -65 dBm, nëse pragu i shkëputjes së stacionit është -60 dBm, në këtë rast pika e hyrjes do të shkëputë klientin me këtë nivel sinjali. Klienti tani fillon procedurën e rilidhjes dhe tashmë do të lidhet me një pikë tjetër aksesi me një sinjal më të madh ose të barabartë me -60dBm (pragu i sinjalit të stacionit).
Kjo është e rëndësishme kur përdorni pika të shumta aksesi. Kjo parandalon një situatë ku shumica e klientëve grumbullohen në një pikë, ndërsa pikat e tjera të aksesit janë të papunë.
Përveç kësaj, ju mund të kufizoni lidhjen e klientëve me një sinjal të dobët, të cilët me shumë mundësi janë të vendosura jashtë perimetrit të dhomës, për shembull, pas murit në një zyrë fqinje, gjë që na lejon gjithashtu ta konsiderojmë këtë funksion si një metodë indirekte. të mbrojtjes.
Kalimi në WiFi 6 si një nga mënyrat për të përmirësuar sigurinë
Ne kemi folur tashmë për avantazhet e mjeteve juridike direkte më herët në artikullin e mëparshëm. “Veçoritë e mbrojtjes së rrjeteve pa tela dhe me tela. Pjesa 1 - Masat e drejtpërdrejta të mbrojtjes".
Rrjetet WiFi 6 ofrojnë shpejtësi më të shpejtë të transferimit të të dhënave. Nga njëra anë, grupi i ri i standardeve ju lejon të rritni shpejtësinë, nga ana tjetër, mund të vendosni edhe më shumë pika aksesi në të njëjtën zonë. Standardi i ri lejon që të përdoret më pak energji për të transmetuar me shpejtësi më të larta.
Rritja e shpejtësisë së transferimit të të dhënave.
Kalimi në WiFi 6 përfshin rritjen e shpejtësisë së shkëmbimit në 11 Gb/s (lloji i modulimit 1024-QAM, kanale 160 MHz). Në të njëjtën kohë, pajisjet e reja që mbështesin WiFi 6 kanë performancë më të mirë. Një nga problemet kryesore gjatë zbatimit të masave shtesë të sigurisë, siç është një kanal VPN për çdo përdorues, është rënia e shpejtësisë. Me WiFi 6, do të jetë më e lehtë të zbatohen sisteme shtesë sigurie.
Ngjyrosje BSS
Ne kemi shkruar më herët se mbulimi më uniform mund të zvogëlojë depërtimin e sinjalit WiFi përtej perimetrit. Por me rritjen e mëtejshme të numrit të pikave të hyrjes, edhe përdorimi i Auto Healing mund të mos jetë i mjaftueshëm, pasi trafiku "i huaj" nga një pikë fqinje do të depërtojë ende në zonën e pritjes.
Kur përdorni BSS Coloring, pika e hyrjes lë shenja të veçanta (ngjyra) paketat e të dhënave të saj. Kjo ju lejon të injoroni ndikimin e pajisjeve transmetuese fqinje (pikat e hyrjes).
MU-MIMO i përmirësuar
802.11ax ka gjithashtu përmirësime të rëndësishme në teknologjinë MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO lejon që pika e aksesit të komunikojë me pajisje të shumta njëkohësisht. Por në standardin e mëparshëm, kjo teknologji mund të mbështeste vetëm grupe prej katër klientësh në të njëjtën frekuencë. Kjo e bëri më të lehtë transmetimin, por jo marrjen. WiFi 6 përdor MIMO me shumë përdorues 8x8 për transmetim dhe pritje.
Shënim. 802.11ax rrit madhësinë e grupeve MU-MIMO në rrjedhën e poshtme, duke siguruar performancë më efikase të rrjetit WiFi. Lidhja MIMO me shumë përdorues është një shtesë e re për 802.11ax.
OFDMA (Qasje e shumëfishtë me ndarje ortogonale të frekuencës)
Kjo metodë e re e aksesit dhe kontrollit të kanalit është zhvilluar bazuar në teknologjitë që tashmë janë provuar në teknologjinë celulare LTE.
OFDMA lejon që më shumë se një sinjal të dërgohet në të njëjtën linjë ose kanal në të njëjtën kohë duke caktuar një interval kohor për çdo transmetim dhe duke aplikuar ndarjen e frekuencës. Si rezultat, jo vetëm që rritet shpejtësia për shkak të përdorimit më të mirë të kanalit, por rritet edhe siguria.
Përmbledhje
Rrjetet WiFi po bëhen më të sigurta çdo vit. Përdorimi i teknologjive moderne na lejon të organizojmë një nivel të pranueshëm mbrojtjeje.
Metodat e drejtpërdrejta të mbrojtjes në formën e kriptimit të trafikut janë dëshmuar mjaft mirë. Mos harroni për masat shtesë: filtrimi nga MAC, fshehja e ID-së së rrjetit, Zbulimi i AP Rogue (Rogue AP Containment).
Por ka edhe masa indirekte që përmirësojnë funksionimin e përbashkët të pajisjeve me valë dhe rrisin shpejtësinë e shkëmbimit të të dhënave.
Përdorimi i teknologjive të reja bën të mundur uljen e nivelit të sinjalit nga pikat, duke e bërë mbulimin më të njëtrajtshëm, gjë që ka një ndikim të mirë në shëndetin e të gjithë rrjetit wireless në tërësi, duke përfshirë sigurinë.
Mendja e shëndoshë dikton që të gjitha mjetet janë të mira për të përmirësuar sigurinë: të drejtpërdrejta dhe të tërthorta. Ky kombinim ju lejon të bëni jetën sa më të vështirë për një sulmues.
Lidhje të dobishme:
- Karakteristikat e mbrojtjes së rrjeteve pa tel dhe me tela. Pjesa 1 - Masat e drejtpërdrejta të mbrojtjes
Burimi: www.habr.com