Tunaendeleza mazungumzo kuhusu mbinu za kuongeza usalama wa mtandao. Katika makala hii tutazungumzia kuhusu hatua za ziada za usalama na kuandaa mitandao salama zaidi ya wireless.
Dibaji ya sehemu ya pili
Katika makala iliyopita Kulikuwa na mjadala kuhusu matatizo ya usalama wa mtandao wa WiFi na mbinu za moja kwa moja za ulinzi dhidi ya ufikiaji usioidhinishwa. Hatua za wazi za kuzuia uingiliaji wa trafiki zilizingatiwa: usimbaji fiche, ufichaji wa mtandao na uchujaji wa MAC, pamoja na mbinu maalum, kwa mfano, kupambana na Rogue AP. Walakini, pamoja na njia za moja kwa moja za ulinzi, pia kuna zile zisizo za moja kwa moja. Hizi ni teknolojia ambazo sio tu kusaidia kuboresha ubora wa mawasiliano, lakini pia kuboresha zaidi usalama.
Sifa kuu mbili za mitandao isiyotumia waya: ufikiaji wa mbali na hewa ya redio kama njia ya utangazaji ya upitishaji wa data, ambapo kipokea mawimbi chochote kinaweza kusikiliza hewani, na kisambazaji chochote kinaweza kuziba mtandao na upitishaji usio na maana na kuingiliwa kwa redio tu. Hii, kati ya mambo mengine, haina athari bora kwa usalama wa jumla wa mtandao wa wireless.
Hutaishi kwa usalama peke yako. Bado tunapaswa kufanya kazi kwa namna fulani, yaani, kubadilishana data. Na kwa upande huu kuna malalamiko mengine mengi kuhusu WiFi:
- mapungufu katika chanjo ("matangazo nyeupe");
- ushawishi wa vyanzo vya nje na vituo vya ufikiaji vya jirani kwa kila mmoja.
Matokeo yake, kutokana na matatizo yaliyoelezwa hapo juu, ubora wa ishara hupungua, uunganisho hupoteza utulivu, na kasi ya kubadilishana data hupungua.
Bila shaka, mashabiki wa mitandao ya waya watafurahi kutambua kwamba wakati wa kutumia cable na, hasa, uhusiano wa fiber-optic, matatizo hayo hayazingatiwi.
Swali linatokea: inawezekana kusuluhisha maswala haya kwa njia fulani bila kutumia njia yoyote kali kama vile kuwaunganisha tena watu wote ambao hawajaridhika na mtandao wa waya?
Shida zote zinaanzia wapi?
Wakati wa kuzaliwa kwa ofisi na mitandao mingine ya WiFi, mara nyingi walifuata algorithm rahisi: waliweka kituo kimoja cha kufikia katikati ya mzunguko ili kuongeza chanjo. Ikiwa hapakuwa na nguvu za kutosha za ishara kwa maeneo ya mbali, antenna ya kukuza iliongezwa kwenye hatua ya kufikia. Mara chache sana hatua ya pili ya kufikia iliongezwa, kwa mfano, kwa ofisi ya mkurugenzi wa kijijini. Huenda hayo ndiyo maboresho yote.
Mbinu hii ilikuwa na sababu zake. Kwanza, mwanzoni mwa mitandao isiyo na waya, vifaa vyao vilikuwa ghali. Pili, kusakinisha sehemu nyingi za ufikiaji kulimaanisha kukabili maswali ambayo hayakuwa na majibu wakati huo. Kwa mfano, jinsi ya kupanga ubadilishaji wa mteja usio na mshono kati ya vidokezo? Jinsi ya kukabiliana na kuingiliwa kwa pande zote? Jinsi ya kurahisisha na kurahisisha usimamizi wa pointi, kwa mfano, matumizi ya wakati mmoja ya makatazo/ruhusa, ufuatiliaji, na kadhalika. Kwa hiyo, ilikuwa rahisi zaidi kufuata kanuni: vifaa vichache, vyema zaidi.
Wakati huo huo, hatua ya kufikia, iko chini ya dari, inatangaza kwenye mchoro wa mviringo (zaidi kwa usahihi, pande zote).
Hata hivyo, maumbo ya majengo ya usanifu haifai vizuri sana katika michoro za uenezi wa ishara za pande zote. Kwa hiyo, katika baadhi ya maeneo ishara karibu haifikii, na inahitaji kuimarishwa, na katika maeneo mengine utangazaji huenda zaidi ya mzunguko na hupatikana kwa watu wa nje.
Kielelezo 1. Mfano wa chanjo kwa kutumia pointi moja katika ofisi.
Kumbuka. Huu ni ukadiriaji mbaya ambao hauzingatii vizuizi vya uenezi, pamoja na mwelekeo wa ishara. Kwa mazoezi, maumbo ya michoro ya mifano tofauti ya pointi yanaweza kutofautiana.
Hali inaweza kuboreshwa kwa kutumia pointi zaidi za kufikia.
Kwanza, hii itaruhusu vifaa vya kusambaza kusambazwa kwa ufanisi zaidi katika eneo lote la chumba.
Pili, inawezekana kupunguza kiwango cha ishara, kuizuia kupita zaidi ya eneo la ofisi au kituo kingine. Katika kesi hii, ili kusoma trafiki ya mtandao wa wireless, unahitaji kupata karibu karibu na mzunguko au hata kuingia mipaka yake. Mshambulizi hufanya kwa njia sawa na kuingia kwenye mtandao wa ndani wa waya.
Kielelezo cha 2: Kuongeza idadi ya vituo vya ufikiaji huruhusu usambazaji bora wa chanjo.
Wacha tuangalie picha zote mbili tena. Ya kwanza inaonyesha wazi moja ya udhaifu mkuu wa mtandao wa wireless - ishara inaweza kukamatwa kwa umbali wa heshima.
Katika picha ya pili hali si ya juu sana. Ufikiaji zaidi wa pointi, ufanisi zaidi wa eneo la chanjo, na wakati huo huo nguvu ya ishara karibu haina kupanua zaidi ya mzunguko, takribani kusema, zaidi ya mipaka ya ofisi, ofisi, jengo na vitu vingine vinavyowezekana.
Mshambulizi atalazimika kwa njia fulani kujificha karibu bila kutambuliwa ili kukatiza ishara dhaifu "kutoka barabarani" au "kutoka kwenye ukanda" na kadhalika. Kwa kufanya hivyo, unahitaji kupata karibu na jengo la ofisi, kwa mfano, kusimama chini ya madirisha. Au jaribu kuingia kwenye jengo la ofisi yenyewe. Kwa hali yoyote, hii huongeza hatari ya kunaswa kwenye ufuatiliaji wa video na kutambuliwa na usalama. Hii inapunguza kwa kiasi kikubwa muda wa muda wa mashambulizi. Hii haiwezi kuitwa "hali bora za udukuzi."
Bila shaka, kunasalia "dhambi ya asili" moja zaidi: mitandao isiyo na waya inayotangazwa katika safu inayoweza kufikiwa ambayo inaweza kuzuiwa na wateja wote. Hakika, mtandao wa WiFi unaweza kulinganishwa na HUB Ethernet, ambapo ishara hupitishwa kwa bandari zote mara moja. Ili kuepusha hili, kila jozi ya vifaa inapaswa kuwasiliana kwenye chaneli yake ya masafa, ambayo hakuna mtu mwingine anayepaswa kuingilia kati.
Hapa kuna muhtasari wa shida kuu. Hebu tuzingatie njia za kuyatatua.
Marekebisho: moja kwa moja na isiyo ya moja kwa moja
Kama ilivyoelezwa tayari katika makala iliyotangulia, ulinzi kamili hauwezi kupatikana kwa hali yoyote. Lakini unaweza kuifanya iwe ngumu iwezekanavyo kufanya shambulio, na kufanya matokeo kuwa yasiyo na faida kuhusiana na juhudi zilizotumiwa.
Kimsingi, vifaa vya kinga vinaweza kugawanywa katika vikundi viwili kuu:
- teknolojia za ulinzi wa trafiki moja kwa moja kama vile usimbaji fiche au uchujaji wa MAC;
- teknolojia ambazo awali zilikusudiwa kwa madhumuni mengine, kwa mfano, kuongeza kasi, lakini wakati huo huo kwa njia isiyo ya moja kwa moja hufanya maisha ya mshambuliaji kuwa magumu zaidi.
Kundi la kwanza lilielezewa katika sehemu ya kwanza. Lakini pia tunayo hatua za ziada zisizo za moja kwa moja katika safu yetu ya ushambuliaji. Kama ilivyoelezwa hapo juu, kuongeza idadi ya sehemu za ufikiaji hukuruhusu kupunguza kiwango cha mawimbi na kufanya eneo la chanjo kuwa sawa, na hii inafanya maisha kuwa magumu zaidi kwa mshambuliaji.
Tahadhari nyingine ni kwamba kuongeza kasi ya uhamishaji data hurahisisha kutumia hatua za ziada za usalama. Kwa mfano, unaweza kusakinisha mteja wa VPN kwenye kila kompyuta ndogo na kuhamisha data hata ndani ya mtandao wa ndani kupitia chaneli zilizosimbwa. Hii itahitaji rasilimali fulani, ikiwa ni pamoja na vifaa, lakini kiwango cha ulinzi kitaongezeka kwa kiasi kikubwa.
Hapa chini tunatoa maelezo ya teknolojia zinazoweza kuboresha utendakazi wa mtandao na kuongeza kiwango cha ulinzi kwa njia isiyo ya moja kwa moja.
Njia zisizo za moja kwa moja za kuboresha ulinzi - ni nini kinachoweza kusaidia?
Uendeshaji wa Mteja
Kipengele cha Uendeshaji wa Mteja huelekeza vifaa vya mteja kutumia bendi ya 5GHz kwanza. Ikiwa chaguo hili halipatikani kwa mteja, bado ataweza kutumia 2.4 GHz. Kwa mitandao ya urithi yenye idadi ndogo ya pointi za kufikia, kazi nyingi hufanyika katika bendi ya 2.4 GHz. Kwa masafa ya masafa ya GHz 5, mpango mmoja wa sehemu ya ufikiaji hautakubalika katika hali nyingi. Ukweli ni kwamba ishara yenye mzunguko wa juu hupita kupitia kuta na kuinama karibu na vikwazo vibaya zaidi. Mapendekezo ya kawaida: ili kuhakikisha mawasiliano ya uhakika katika bendi ya 5 GHz, ni vyema kufanya kazi kwa mstari wa kuona kutoka kwa kituo cha kufikia.
Katika viwango vya kisasa 802.11ac na 802.11ax, kutokana na idadi kubwa ya njia, inawezekana kufunga pointi kadhaa za kufikia kwa umbali wa karibu, ambayo inakuwezesha kupunguza nguvu bila kupoteza, au hata kupata, kasi ya uhamisho wa data. Kwa hivyo, matumizi ya bendi ya 5GHz hufanya maisha kuwa magumu zaidi kwa washambuliaji, lakini inaboresha ubora wa mawasiliano kwa wateja wanaoweza kufikia.
Utendaji huu umewasilishwa:
- katika vituo vya ufikiaji vya Nebula na NebulaFlex;
- katika firewalls na kazi ya mtawala.
Uponyaji wa Kiotomatiki
Kama ilivyoelezwa hapo juu, mtaro wa eneo la chumba hauingii vizuri kwenye michoro za pande zote za sehemu za ufikiaji.
Ili kutatua tatizo hili, kwanza, unahitaji kutumia idadi bora ya pointi za kufikia, na pili, kupunguza ushawishi wa pande zote. Lakini ikiwa unapunguza tu nguvu za wasambazaji kwa mikono, uingiliaji kama huo wa moja kwa moja unaweza kusababisha kuzorota kwa mawasiliano. Hii itaonekana haswa ikiwa sehemu moja au zaidi ya ufikiaji itashindwa.
Uponyaji Kiotomatiki hukuruhusu kurekebisha nguvu haraka bila kupoteza uaminifu na kasi ya uhamishaji data.
Wakati wa kutumia kazi hii, mtawala huangalia hali na utendaji wa pointi za kufikia. Ikiwa mmoja wao haifanyi kazi, basi wale wa jirani wanaagizwa kuongeza nguvu ya ishara ili kujaza "doa nyeupe". Mara tu eneo la ufikiaji linapoanza na kufanya kazi tena, sehemu za jirani zinaagizwa kupunguza nguvu ya mawimbi ili kupunguza mwingiliano wa pande zote.
Uvinjari wa WiFi usio na mshono
Kwa mtazamo wa kwanza, teknolojia hii haiwezi kuitwa kuongeza kiwango cha usalama; badala yake, kinyume chake, inafanya iwe rahisi kwa mteja (pamoja na mshambuliaji) kubadili kati ya pointi za kufikia kwenye mtandao huo. Lakini ikiwa pointi mbili au zaidi za kufikia hutumiwa, unahitaji kuhakikisha uendeshaji rahisi bila matatizo yasiyo ya lazima. Kwa kuongezea, ikiwa eneo la ufikiaji limejaa kupita kiasi, hukabiliana vibaya zaidi na kazi za usalama kama vile usimbaji fiche, ucheleweshaji wa kubadilishana data na mambo mengine yasiyofurahisha kutokea. Katika suala hili, kuzurura kwa mshono ni msaada mkubwa wa kusambaza mzigo kwa urahisi na kuhakikisha operesheni isiyoingiliwa katika hali iliyolindwa.
Kusanidi vizingiti vya nguvu vya mawimbi ya kuunganisha na kukata muunganisho wa wateja wasio na waya (Kizingiti cha Mawimbi au Safu ya Nguvu ya Mawimbi)
Wakati wa kutumia hatua moja ya kufikia, kazi hii, kwa kanuni, haijalishi. Lakini mradi pointi kadhaa zinazodhibitiwa na kidhibiti zinafanya kazi, inawezekana kupanga usambazaji wa simu za wateja kwenye AP tofauti. Inafaa kukumbuka kuwa kazi za kidhibiti cha ufikiaji zinapatikana katika mistari mingi ya ruta kutoka Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Vifaa vilivyo hapo juu vina kipengele cha kutenganisha mteja ambaye ameunganishwa kwa SSID yenye mawimbi dhaifu. "Dhaifu" inamaanisha kuwa ishara iko chini ya kizingiti kilichowekwa kwenye mtawala. Baada ya mteja kukatwa muunganisho, itatuma ombi la uchunguzi ili kupata sehemu nyingine ya kufikia.
Kwa mfano, mteja aliyeunganishwa kwenye kituo cha ufikiaji na ishara iliyo chini ya -65dBm, ikiwa kizingiti cha kituo ni -60dBm, katika kesi hii hatua ya kufikia itaondoa mteja na kiwango hiki cha mawimbi. Mteja sasa anaanza utaratibu wa kuunganisha tena na tayari ataunganisha kwenye sehemu nyingine ya kufikia yenye mawimbi makubwa kuliko au sawa na -60dBm (kiwango cha juu cha mawimbi ya kituo).
Hii ni muhimu wakati wa kutumia pointi nyingi za kufikia. Hii inazuia hali ambapo wateja wengi hujilimbikiza kwa wakati mmoja, wakati sehemu zingine za ufikiaji hazifanyi kazi.
Kwa kuongezea, unaweza kupunguza uunganisho wa wateja na ishara dhaifu, ambao wana uwezekano mkubwa wa kuwa nje ya eneo la chumba, kwa mfano, nyuma ya ukuta katika ofisi ya jirani, ambayo pia inaruhusu sisi kuzingatia kazi hii kama njia isiyo ya moja kwa moja. ya ulinzi.
Kubadili hadi WiFi 6 kama mojawapo ya njia za kuboresha usalama
Tayari tumezungumza juu ya faida za tiba ya moja kwa moja mapema katika makala iliyotangulia. "Sifa za kulinda mitandao isiyo na waya na waya. Sehemu ya 1 - Hatua za moja kwa moja za ulinzi".
Mitandao ya WiFi 6 hutoa kasi ya uhamishaji data haraka. Kwa upande mmoja, kikundi kipya cha viwango kinakuwezesha kuongeza kasi, kwa upande mwingine, unaweza kuweka pointi zaidi za kufikia katika eneo moja. Kiwango kipya kinaruhusu nguvu kidogo kutumika kusambaza kwa kasi ya juu.
Kuongeza kasi ya uhamishaji data.
Mpito wa WiFi 6 unahusisha kuongeza kasi ya kubadilishana hadi 11Gb/s (aina ya urekebishaji 1024-QAM, chaneli 160 MHz). Wakati huo huo, vifaa vipya vinavyounga mkono WiFi 6 vina utendaji bora. Mojawapo ya shida kuu wakati wa kutekeleza hatua za ziada za usalama, kama vile chaneli ya VPN kwa kila mtumiaji, ni kushuka kwa kasi. Kwa WiFi 6, itakuwa rahisi kutekeleza mifumo ya ziada ya usalama.
Uchoraji wa BSS
Tuliandika mapema kwamba chanjo zaidi ya sare inaweza kupunguza kupenya kwa ishara ya WiFi zaidi ya mzunguko. Lakini kwa ukuaji zaidi wa idadi ya pointi za kufikia, hata matumizi ya Uponyaji wa Auto inaweza kuwa haitoshi, kwa kuwa trafiki "ya kigeni" kutoka kwa eneo la jirani bado itapenya kwenye eneo la mapokezi.
Unapotumia BSS Coloring, mahali pa kufikia huacha alama maalum (rangi) pakiti zake za data. Hii inakuwezesha kupuuza ushawishi wa vifaa vya jirani vya kusambaza (pointi za kufikia).
Imeboreshwa MU-MIMO
802.11ax pia ina maboresho muhimu kwa teknolojia ya MU-MIMO (Watumiaji Wengi - Pato Nyingi za Kuingiza Data). MU-MIMO huruhusu eneo la ufikiaji kuwasiliana na vifaa vingi kwa wakati mmoja. Lakini katika kiwango cha awali, teknolojia hii inaweza tu kusaidia makundi ya wateja wanne kwa mzunguko sawa. Hii ilifanya uwasilishaji kuwa rahisi, lakini sio mapokezi. WiFi 6 hutumia 8x8 MIMO ya watumiaji wengi kwa usambazaji na mapokezi.
Kumbuka. 802.11ax huongeza ukubwa wa vikundi vya MU-MIMO vya chini, hivyo kutoa utendakazi bora zaidi wa mtandao wa WiFi. Uplink ya MIMO ya watumiaji wengi ni nyongeza mpya kwa 802.11ax.
OFDMA (Ufikiaji mwingi wa mgawanyiko wa mzunguko wa Orthogonal)
Njia hii mpya ya ufikiaji na udhibiti wa chaneli inatengenezwa kulingana na teknolojia ambazo tayari zimethibitishwa katika teknolojia ya simu ya rununu ya LTE.
OFDMA huruhusu zaidi ya mawimbi moja kutumwa kwenye laini au chaneli moja kwa wakati mmoja kwa kuweka muda wa muda kwa kila utumaji na kutumia mgawanyo wa masafa. Matokeo yake, sio tu kasi inayoongezeka kutokana na matumizi bora ya kituo, lakini pia usalama huongezeka.
Muhtasari
Mitandao ya WiFi inakuwa salama zaidi kila mwaka. Matumizi ya teknolojia za kisasa hutuwezesha kuandaa kiwango cha kukubalika cha ulinzi.
Njia za moja kwa moja za ulinzi kwa njia ya usimbuaji wa trafiki zimejidhihirisha vizuri. Usisahau kuhusu hatua za ziada: kuchuja na MAC, kuficha kitambulisho cha mtandao, Utambuzi wa Rogue AP (Udhibiti wa Rogue AP).
Lakini pia kuna hatua zisizo za moja kwa moja zinazoboresha uendeshaji wa pamoja wa vifaa vya wireless na kuongeza kasi ya kubadilishana data.
Matumizi ya teknolojia mpya hufanya iwezekanavyo kupunguza kiwango cha ishara kutoka kwa pointi, na kufanya chanjo zaidi sare, ambayo ina athari nzuri kwa afya ya mtandao mzima wa wireless kwa ujumla, ikiwa ni pamoja na usalama.
Akili ya kawaida inaamuru kwamba njia zote ni nzuri ili kuboresha usalama: moja kwa moja na isiyo ya moja kwa moja. Mchanganyiko huu unakuwezesha kufanya maisha kuwa magumu iwezekanavyo kwa mshambuliaji.
Viungo muhimu:
- Vipengele vya ulinzi wa mitandao isiyo na waya na waya. Sehemu ya 1 - Hatua za moja kwa moja za ulinzi
Chanzo: mapenzi.com