Urang neruskeun obrolan ngeunaan métode pikeun ngaronjatkeun kaamanan jaringan. Dina artikel ieu kami bakal ngobrol ngeunaan ukuran kaamanan tambahan sareng ngatur jaringan nirkabel anu langkung aman.
Pendahuluan bagian kadua
Dina tulisan saméméhna Aya diskusi ngeunaan masalah kaamanan jaringan WiFi sareng metode perlindungan langsung tina aksés anu henteu sah. Ukuran atra pikeun nyegah interception lalulintas dianggap: enkripsi, nyumputkeun jaringan jeung nyaring MAC, kitu ogé métode husus, contona, merangan Rogue AP. Nanging, salian metode panyalindungan langsung, aya ogé anu henteu langsung. Ieu mangrupikeun téknologi anu henteu ngan ukur ngabantosan ningkatkeun kualitas komunikasi, tapi ogé ningkatkeun kaamanan.
Dua fitur utama jaringan nirkabel: aksés contactless jauh jeung hawa radio salaku média siaran pikeun pangiriman data, dimana sagala panarima sinyal bisa ngadengekeun hawa, sarta pamancar sagala bisa bakiak jaringan ku transmisi gunana tur saukur gangguan radio. Ieu, antara séjén, teu boga pangaruh pangalusna dina kaamanan sakabéh jaringan nirkabel.
Anjeun moal hirup ku kaamanan nyalira. Urang masih kudu digawé kumaha bae, nyaeta, bursa data. Sareng di sisi ieu aya seueur keluhan ngeunaan WiFi:
- sela dina sinyalna ("bintik bodas");
- pangaruh sumber éksternal sarta titik aksés tatangga dina unggal lianna.
Hasilna, alatan masalah ditétélakeun di luhur, kualitas sinyal nurun, sambungan leungit stabilitas, sarta laju bursa data turun.
Tangtosna, peminat jaringan kabel bakal resep yén nalika nganggo kabel sareng, khususna, sambungan serat optik, masalah sapertos kitu henteu dititénan.
Patarosan timbul: naha mungkin pikeun ngabéréskeun masalah ieu tanpa nganggo cara anu drastis sapertos nyambungkeun deui sadaya jalma anu henteu sugema kana jaringan kabel?
Dimana sagala masalah dimimitian?
Dina waktos kalahiran kantor sareng jaringan WiFi anu sanés, aranjeunna sering nuturkeun algoritma saderhana: aranjeunna nempatkeun titik aksés tunggal di tengah perimeter pikeun maksimalkeun sinyalna. Upami teu aya kakuatan sinyal anu cekap pikeun daérah terpencil, anteneu ngagedékeun ditambah kana titik aksés. Jarang pisan titik aksés kadua ditambahkeun, contona, pikeun kantor diréktur jauh. Éta meureun sakabéh perbaikan.
Pendekatan ieu ngagaduhan alesanana. Anu mimiti, dina awal jaringan nirkabel, alat pikeun aranjeunna mahal. Kadua, masang deui titik aksés hartosna nyanghareupan patarosan anu teu aya jawaban dina waktos éta. Contona, kumaha carana ngatur switch klien seamless antara titik? Kumaha carana nungkulan silih gangguan? Kumaha cara nyederhanakeun sareng nyegerkeun ngokolakeun poin, contona, nerapkeun larangan / idin sakaligus, ngawaskeun, sareng sajabana. Ku alatan éta, éta loba gampang nuturkeun prinsip: alat pangsaeutikna, anu hadé.
Dina waktos anu sami, titik aksés, ayana di handapeun siling, disiarkeun dina diagram sirkular (leuwih tepatna, buleud).
Sanajan kitu, wangun wangunan arsitéktur teu pas pisan kana diagram rambatan sinyal buleud. Ku alatan éta, di sababaraha tempat sinyal ampir teu ngahontal, sarta eta perlu amplified, sarta di sababaraha tempat siaran mana saluareun perimeter sarta jadi diaksés ku luar.
Gambar 1. Conto sinyalna ngagunakeun titik tunggal di kantor.
nyarios. Ieu mangrupikeun perkiraan kasar anu henteu nganggap halangan pikeun rambatan, ogé arah sinyal. Dina prakték, wangun diagram pikeun model titik béda bisa jadi béda.
Kaayaanana tiasa dironjatkeun ku ngagunakeun langkung titik aksés.
Anu mimiti, ieu bakal ngamungkinkeun alat pancar disebarkeun langkung éfisién di daérah kamar.
Kadua, janten mungkin pikeun ngirangan tingkat sinyal, nyegah éta ngalangkungan perimeter kantor atanapi fasilitas sanés. Dina hal ieu, dina raraga maca lalulintas jaringan nirkabel, anjeun kudu meunang ampir deukeut perimeter atawa malah asupkeun watesna. Hiji panyerang meta dina cara nu sarua pikeun megatkeun kana jaringan kabel internal.
Gambar 2: Ngaronjatkeun jumlah titik aksés ngamungkinkeun pikeun nyebarkeun sinyalna anu langkung saé.
Hayu urang tingali dua gambar deui. Anu kahiji jelas nunjukkeun salah sahiji kerentanan utama jaringan nirkabel - sinyalna tiasa ditangkep dina jarak anu lumayan.
Dina gambar kadua kaayaan teu jadi maju. Beuki titik aksés, leuwih éféktif wewengkon sinyalna, sarta dina waktos anu sareng kakuatan sinyal ampir teu manjangkeun saluareun perimeter nu, kasarna diomongkeun, saluareun wates kantor, kantor, wangunan jeung objék séjén mungkin.
Hiji panyerang kudu kumaha bae sneak ngadeukeutan unnoticed guna intercept sinyal relatif lemah "ti jalan" atawa "ti koridor" jeung saterusna. Jang ngalampahkeun ieu, anjeun kudu meunang deukeut ka wangunan kantor, contona, nangtung handapeun jandéla. Atawa coba asup ka gedong kantor sorangan. Dina naon waé, ieu ningkatkeun résiko katéwak dina panjagaan pidéo sareng diperhatoskeun ku kaamanan. Ieu sacara signifikan ngurangan interval waktu pikeun serangan. Ieu boro bisa disebut "kaayaan idéal pikeun Hacking."
Tangtosna, tetep aya hiji deui "dosa asli": jaringan nirkabel disiarkeun dina jangkauan anu tiasa diaksés anu tiasa dicegat ku sadaya klien. Mémang, jaringan WiFi tiasa dibandingkeun sareng Ethernet HUB, dimana sinyalna dikirimkeun ka sadaya palabuhan sakaligus. Pikeun ngahindarkeun ieu, idéal unggal pasangan alat kedah komunikasi dina saluran frekuensi sorangan, anu henteu kedah diganggu ku saha waé.
Ieu kasimpulan masalah utama. Hayu urang nganggap cara pikeun ngajawab aranjeunna.
Pangobatan: langsung sareng henteu langsung
Sakumaha anu geus disebutkeun dina artikel saméméhna, panyalindungan sampurna teu bisa kahontal dina sagala hal. Tapi anjeun tiasa ngajantenkeun sesah-gancang pikeun ngalaksanakeun serangan, ngajantenkeun hasilna henteu nguntungkeun dina hubungan usaha anu dikaluarkeun.
Sacara konvensional, alat pelindung tiasa dibagi kana dua kelompok utama:
- téknologi panyalindungan lalu lintas langsung sapertos énkripsi atanapi panyaring MAC;
- téknologi anu tadina dimaksudkeun pikeun tujuan séjén, contona, pikeun ngaronjatkeun kagancangan, tapi dina waktos anu sareng teu langsung nyieun hirup hiji lawan leuwih hésé.
Grup kahiji dijelaskeun dina bagian kahiji. Tapi urang ogé gaduh ukuran teu langsung tambahan dina arsenal urang. Sakumaha didadarkeun di luhur, ngaronjatna jumlah titik aksés ngidinan Anjeun pikeun ngurangan tingkat sinyal jeung nyieun seragam wewengkon cakupan, sarta ieu ngajadikeun hirup leuwih hésé pikeun lawan.
Kaveat sanésna nyaéta ningkatkeun kagancangan mindahkeun data ngagampangkeun panawaran ukuran kaamanan tambahan. Salaku conto, anjeun tiasa masang klien VPN dina unggal laptop sareng nransfer data bahkan dina jaringan lokal ngalangkungan saluran énkripsi. Ieu ngabutuhkeun sababaraha sumber, kalebet hardware, tapi tingkat panyalindungan bakal ningkat sacara signifikan.
Di handap ieu kami nyayogikeun pedaran ngeunaan téknologi anu tiasa ningkatkeun kinerja jaringan sareng sacara henteu langsung ningkatkeun darajat panyalindungan.
Cara henteu langsung pikeun ningkatkeun panyalindungan - naon anu tiasa ngabantosan?
Setir klien
Fitur Client Steering nyarankeun alat klien nganggo pita 5GHz heula. Upami pilihan ieu henteu sayogi pikeun klien, anjeunna masih tiasa nganggo 2.4 GHz. Pikeun jaringan warisan kalawan sajumlah leutik titik aksés, paling gawé dipigawé dina pita 2.4 GHz. Pikeun rentang frékuénsi 5 GHz, skéma titik aksés tunggal moal bisa ditarima dina loba kasus. Kanyataanna nyaéta sinyal kalayan frékuénsi anu langkung luhur ngalangkungan témbok sareng ngabengkokkeun halangan anu langkung parah. Rekomendasi anu biasa: pikeun mastikeun komunikasi anu dijamin dina pita 5 GHz, langkung saé damel dina garis panon ti titik aksés.
Dina standar modéren 802.11ac sareng 802.11ax, kusabab jumlah saluran anu langkung ageung, anjeun tiasa masang sababaraha titik aksés dina jarak anu langkung caket, anu ngamungkinkeun anjeun ngirangan kakuatan tanpa kaleungitan, atanapi nampi, laju transfer data. Hasilna, pamakéan pita 5GHz ngajadikeun hirup leuwih hésé pikeun lawan, tapi ngaronjatkeun kualitas komunikasi pikeun klien dina jangkauan.
Fungsi ieu dibere:
- di titik aksés Nebula sareng NebulaFlex;
- dina firewalls kalawan fungsi controller.
Nyageurkeun Otomatis
Sakumaha didadarkeun di luhur, kontur perimeter kamar teu cocog ogé kana diagram buleud tina titik aksés.
Pikeun ngajawab masalah ieu, mimitina, Anjeun kudu make jumlah optimal titik aksés, sarta Bréh, ngurangan pangaruh silih. Tapi upami anjeun ngan saukur ngirangan kakuatan pamancar sacara manual, gangguan langsung sapertos kitu tiasa nyababkeun karusakan dina komunikasi. Ieu bakal utamana noticeable lamun salah sahiji atawa leuwih titik aksés gagal.
Penyembuhan Otomatis ngamungkinkeun anjeun gancang nyaluyukeun kakuatan tanpa kaleungitan reliabilitas sareng laju transfer data.
Nalika nganggo pungsi ieu, pangontrol mariksa status sareng fungsionalitas titik aksés. Upami salah sahijina henteu tiasa dianggo, maka tatanggana diparéntahkeun pikeun ningkatkeun kakuatan sinyal pikeun ngeusian "titik bodas". Sakali titik aksés naék sareng jalan deui, titik tatangga diparéntahkeun pikeun ngirangan kakuatan sinyal pikeun ngirangan gangguan silih.
Seamless WiFi roaming
Dina glance kahiji, téhnologi ieu boro bisa disebut ngaronjatkeun tingkat kaamanan; sabalikna, eta ngajadikeun leuwih gampang klien (kaasup panyerang) pikeun pindah antara titik aksés dina jaringan nu sami. Tapi lamun dua atawa leuwih titik aksés dipaké, Anjeun kudu mastikeun operasi merenah tanpa masalah perlu. Sajaba ti éta, lamun titik aksés overloaded, éta copes goréng kalayan fungsi kaamanan kayaning enkripsi, Nepi dina bursa data sarta hal pikaresepeun séjén lumangsung. Dina hal ieu, roaming mulus mangrupakeun pitulung hébat pikeun flexibly ngadistribusikaeun beban sarta mastikeun operasi uninterrupted dina mode nu ditangtayungan.
Ngonpigurasikeun ambang kakuatan sinyal pikeun nyambungkeun sareng pegatkeun sambungan klien nirkabel (Ambang Sinyal atanapi Range Kakuatan Sinyal)
Nalika nganggo titik aksés tunggal, fungsi ieu, prinsipna, henteu masalah. Tapi disadiakeun yén sababaraha titik dikawasa ku controller a operasi, kasebut nyaéta dimungkinkeun pikeun ngatur distribusi mobile klien sakuliah AP béda. Perlu diinget yén fungsi pangendali titik aksés sayogi dina seueur jalur router ti Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Alat di luhur gaduh fitur pikeun megatkeun sambungan klien nu disambungkeun ka SSID kalawan sinyal lemah. "Lemah" hartina sinyal handap bangbarung diatur dina controller nu. Saatos klien geus dipegatkeun, éta bakal ngirim pamundut usik pikeun manggihan titik aksés sejen.
Contona, hiji klien disambungkeun ka titik aksés jeung sinyal handap -65dBm, lamun stasion pegatkeun bangbarung nyaeta -60dBm, dina hal ieu titik aksés bakal megatkeun klien kalawan tingkat sinyal ieu. Klién ayeuna ngamimitian prosedur sambungan deui sareng parantos nyambung ka titik aksés anu sanés kalayan sinyal anu langkung ageung atanapi sami sareng -60dBm (ambang sinyal stasiun).
Ieu penting lamun ngagunakeun sababaraha titik aksés. Ieu nyegah kaayaan dimana paling klien ngumpulkeun dina hiji titik, bari titik aksés séjén dianggurkeun.
Salaku tambahan, anjeun tiasa ngawates sambungan klien kalayan sinyal anu lemah, anu paling dipikaresep ayana di luar perimeter kamar, contona, tukangeun témbok di kantor tatangga, anu ogé ngamungkinkeun urang pikeun nganggap fungsi ieu salaku padika henteu langsung. tina panyalindungan.
Ngalih ka WiFi 6 salaku salah sahiji cara pikeun ningkatkeun kaamanan
Kami parantos nyarioskeun ngeunaan kaunggulan pangobatan langsung sateuacana dina tulisan sateuacana. "Fitur ngajaga jaringan nirkabel sareng kabel. Bagian 1 - Ukuran panyalindungan langsung".
Jaringan WiFi 6 nyayogikeun kecepatan transfer data anu langkung gancang. Di hiji sisi, grup standar anyar ngamungkinkeun anjeun ningkatkeun kagancangan, di sisi anu sanés, anjeun tiasa nempatkeun langkung seueur titik aksés di daérah anu sami. Standar anyar ngamungkinkeun kirang kakuatan anu dianggo pikeun ngirimkeun dina laju anu langkung luhur.
Ningkatkeun laju mindahkeun data.
Transisi ka WiFi 6 ngalibatkeun ningkatkeun laju bursa ka 11Gb/s (tipe modulasi 1024-QAM, saluran 160 MHz). Dina waktos anu sami, alat énggal anu ngadukung WiFi 6 gaduh kinerja anu langkung saé. Salah sahiji masalah utama nalika ngalaksanakeun ukuran kaamanan tambahan, sapertos saluran VPN pikeun unggal pangguna, nyaéta turunna laju. Kalayan WiFi 6, bakal langkung gampang pikeun nerapkeun sistem kaamanan tambahan.
BSS ngawarnaan
Kami nyerat sateuacana yén sinyalna langkung seragam tiasa ngirangan penetrasi sinyal WiFi saluareun perimeter. Tapi kalayan pertumbuhan salajengna dina jumlah titik aksés, malah pamakéan Auto Healing bisa jadi teu cukup, saprak lalulintas "asing" ti titik tatangga masih bakal nembus kana aréa panarimaan.
Lamun maké BSS Coloring, titik aksés ninggalkeun tanda husus (warna) pakét data na. Hal ieu ngamungkinkeun anjeun teu malire pangaruh alat transmisi tatangga (titik aksés).
Ningkat MU-MIMO
802.11ax ogé boga perbaikan penting pikeun téhnologi MU-MIMO (Multi-Pamaké - Multiple Input Multiple Output). MU-MIMO ngamungkinkeun titik aksés pikeun komunikasi sareng sababaraha alat sakaligus. Tapi dina standar saméméhna, téhnologi ieu ngan bisa ngarojong grup opat klien dina frékuénsi anu sarua. Ieu ngajantenkeun transmisi langkung gampang, tapi henteu nampi. WiFi 6 ngagunakeun 8x8 multi-pamaké MIMO pikeun pangiriman jeung panarimaan.
Catetan. 802.11ax ngaronjatkeun ukuran grup MU-MIMO hilir, nyadiakeun kinerja jaringan WiFi leuwih efisien. Multi-pamaké MIMO uplink mangrupakeun tambahan anyar pikeun 802.11ax.
OFDMA (Orthogonal frequency-division multiple access)
Métode anyar aksés sareng kontrol saluran ieu dikembangkeun dumasar kana téknologi anu parantos kabuktian dina téknologi sélulér LTE.
OFDMA ngamungkinkeun leuwih ti hiji sinyal bisa dikirim dina jalur atawa channel sarua dina waktos anu sareng ku assigning interval waktu pikeun tiap pangiriman jeung nerapkeun division frékuénsi. Hasilna, teu ukur speed naek alatan pamakéan hadé tina saluran, tapi ogé ngaronjatkeun kaamanan.
singgetan
Jaringan WiFi janten langkung aman unggal taun. Pamakéan téknologi modéren ngamungkinkeun urang pikeun ngatur tingkat panyalindungan anu tiasa ditampi.
Métode perlindungan langsung dina bentuk enkripsi lalu lintas parantos kabuktosan nyalira. Ulah hilap ngeunaan ukuran tambahan: nyaring ku MAC, nyumputkeun ID jaringan, Rogue AP Deteksi (Rogue AP Containment).
Tapi aya ogé ukuran henteu langsung anu ningkatkeun operasi gabungan alat nirkabel sareng ningkatkeun laju pertukaran data.
Pamakéan téknologi anyar ngamungkinkeun pikeun ngirangan tingkat sinyal tina titik, ngajantenkeun sinyalna langkung seragam, anu gaduh dampak anu hadé pikeun kaséhatan sakabéh jaringan nirkabel sacara gembleng, kalebet kaamanan.
Akal sehat nyatakeun yén sagala cara hadé pikeun ningkatkeun kaamanan: langsung sareng henteu langsung. Kombinasi ieu ngamungkinkeun anjeun ngajantenkeun hirup sesah-gancang pikeun panyerang.
Tumbu mangpaat:
- Fitur panyalindungan jaringan nirkabel sareng kabel. Bagian 1 - Ukuran panyalindungan langsung
sumber: www.habr.com