Ipinagpapatuloy namin ang pag-uusap tungkol sa mga pamamaraan para sa pagtaas ng seguridad ng network. Sa artikulong ito ay pag-uusapan natin ang tungkol sa mga karagdagang hakbang sa seguridad at pag-aayos ng mas ligtas na mga wireless network.
Paunang salita sa ikalawang bahagi
Sa isang nakaraang artikulo Nagkaroon ng talakayan tungkol sa mga problema sa seguridad ng WiFi network at mga direktang paraan ng proteksyon laban sa hindi awtorisadong pag-access. Ang mga halatang hakbang upang maiwasan ang pagharang ng trapiko ay isinasaalang-alang: pag-encrypt, pagtatago ng network at pag-filter ng MAC, pati na rin ang mga espesyal na pamamaraan, halimbawa, paglaban sa Rogue AP. Gayunpaman, bilang karagdagan sa mga direktang paraan ng proteksyon, mayroon ding mga hindi direkta. Ang mga ito ay mga teknolohiya na hindi lamang nakakatulong na mapabuti ang kalidad ng komunikasyon, ngunit higit pang mapabuti ang seguridad.
Dalawang pangunahing tampok ng mga wireless network: remote contactless access at radio air bilang isang broadcast medium para sa paghahatid ng data, kung saan ang anumang signal receiver ay maaaring makinig sa hangin, at anumang transmitter ay maaaring makabara sa network ng walang silbi na mga transmission at simpleng radio interference. Ito, bukod sa iba pang mga bagay, ay walang pinakamahusay na epekto sa pangkalahatang seguridad ng wireless network.
Hindi ka mabubuhay nang mag-isa sa kaligtasan. We still have to work somehow, yun nga, exchange data. At sa panig na ito mayroong maraming iba pang mga reklamo tungkol sa WiFi:
- mga puwang sa saklaw ("white spots");
- impluwensya ng mga panlabas na mapagkukunan at kalapit na mga access point sa bawat isa.
Bilang resulta, dahil sa mga problemang inilarawan sa itaas, bumababa ang kalidad ng signal, nawawala ang katatagan ng koneksyon, at bumababa ang bilis ng palitan ng data.
Siyempre, ang mga tagahanga ng mga wired network ay nalulugod na tandaan na kapag gumagamit ng cable at, lalo na, mga koneksyon sa fiber-optic, ang mga naturang problema ay hindi sinusunod.
Ang tanong ay lumitaw: posible bang malutas ang mga isyung ito nang hindi gumagamit ng anumang marahas na paraan tulad ng muling pagkonekta sa lahat ng hindi nasisiyahang tao sa wired network?
Saan magsisimula ang lahat ng problema?
Sa oras ng kapanganakan ng opisina at iba pang mga WiFi network, madalas silang sumunod sa isang simpleng algorithm: naglagay sila ng isang access point sa gitna ng perimeter upang ma-maximize ang saklaw. Kung walang sapat na lakas ng signal para sa mga malalayong lugar, isang amplifying antenna ang idinagdag sa access point. Napakabihirang nagdagdag ng pangalawang access point, halimbawa, para sa isang malayuang opisina ng direktor. Yun lang siguro lahat ng improvements.
Ang pamamaraang ito ay may mga dahilan. Una, sa madaling araw ng mga wireless network, ang mga kagamitan para sa kanila ay mahal. Pangalawa, ang pag-install ng higit pang mga access point ay nangangahulugan ng pagharap sa mga tanong na walang sagot sa panahong iyon. Halimbawa, paano ayusin ang tuluy-tuloy na paglipat ng kliyente sa pagitan ng mga punto? Paano haharapin ang panghihimasok sa isa't isa? Paano gawing simple at i-streamline ang pamamahala ng mga puntos, halimbawa, sabay-sabay na aplikasyon ng mga pagbabawal/pahintulot, pagsubaybay, at iba pa. Samakatuwid, mas madaling sundin ang prinsipyo: ang mas kaunting mga aparato, mas mabuti.
Kasabay nito, ang access point, na matatagpuan sa ilalim ng kisame, ay nag-broadcast sa isang pabilog (mas tiyak, bilog) na diagram.
Gayunpaman, ang mga hugis ng mga gusaling arkitektura ay hindi masyadong akma sa mga round signal propagation diagram. Samakatuwid, sa ilang mga lugar ang signal ay halos hindi maabot, at kailangan itong palakasin, at sa ilang mga lugar ang broadcast ay lumampas sa perimeter at nagiging accessible sa mga tagalabas.
Figure 1. Halimbawa ng coverage gamit ang isang solong punto sa opisina.
Nota. Ito ay isang magaspang na pagtatantya na hindi isinasaalang-alang ang mga hadlang sa pagpapalaganap, pati na rin ang direksyon ng signal. Sa pagsasagawa, ang mga hugis ng mga diagram para sa iba't ibang mga modelo ng punto ay maaaring magkakaiba.
Ang sitwasyon ay maaaring mapabuti sa pamamagitan ng paggamit ng higit pang mga access point.
Una, magbibigay-daan ito sa pagpapadala ng mga device na maipamahagi nang mas mahusay sa buong lugar ng silid.
Pangalawa, nagiging posible na bawasan ang antas ng signal, na pinipigilan itong lumampas sa perimeter ng isang opisina o iba pang pasilidad. Sa kasong ito, upang mabasa ang trapiko ng wireless network, kailangan mong lumapit sa perimeter o kahit na ipasok ang mga limitasyon nito. Ang isang umaatake ay kumikilos sa halos parehong paraan upang makapasok sa isang panloob na wired network.
Figure 2: Ang pagtaas ng bilang ng mga access point ay nagbibigay-daan para sa mas mahusay na pamamahagi ng coverage.
Tingnan natin muli ang dalawang larawan. Ang una ay malinaw na nagpapakita ng isa sa mga pangunahing kahinaan ng isang wireless network - ang signal ay maaaring mahuli sa isang disenteng distansya.
Sa pangalawang larawan ang sitwasyon ay hindi masyadong advanced. Ang mas maraming mga access point, mas epektibo ang saklaw na lugar, at sa parehong oras ang kapangyarihan ng signal ay halos hindi umaabot sa kabila ng perimeter, halos nagsasalita, lampas sa mga hangganan ng opisina, opisina, gusali at iba pang posibleng mga bagay.
Ang isang umaatake ay kailangang kahit papaano ay pumuslit palapit nang hindi napapansin upang maharang ang isang medyo mahinang signal "mula sa kalye" o "mula sa koridor" at iba pa. Upang gawin ito, kailangan mong lumapit sa gusali ng opisina, halimbawa, upang tumayo sa ilalim ng mga bintana. O subukang makapasok sa mismong gusali ng opisina. Sa anumang kaso, pinapataas nito ang panganib na mahuli sa video surveillance at mapansin ng seguridad. Ito ay makabuluhang binabawasan ang agwat ng oras para sa isang pag-atake. Halos hindi ito matatawag na "mga perpektong kondisyon para sa pag-hack."
Siyempre, may isa pang "orihinal na kasalanan": ang mga wireless network ay nagbo-broadcast sa isang naa-access na hanay na maaaring ma-intercept ng lahat ng mga kliyente. Sa katunayan, ang isang WiFi network ay maihahambing sa isang Ethernet HUB, kung saan ang signal ay ipinapadala sa lahat ng mga port nang sabay-sabay. Upang maiwasan ito, mas mabuti na ang bawat pares ng mga aparato ay dapat makipag-usap sa sarili nitong frequency channel, na hindi dapat makagambala ng iba.
Narito ang isang buod ng mga pangunahing problema. Isaalang-alang natin ang mga paraan upang malutas ang mga ito.
Mga remedyo: direkta at hindi direkta
Tulad ng nabanggit na sa nakaraang artikulo, ang perpektong proteksyon ay hindi makakamit sa anumang kaso. Ngunit maaari mong gawin itong mas mahirap hangga't maaari upang magsagawa ng isang pag-atake, na ginagawang hindi kapaki-pakinabang ang resulta na may kaugnayan sa pagsisikap na ginugol.
Karaniwan, ang mga kagamitan sa proteksiyon ay maaaring nahahati sa dalawang pangunahing grupo:
- direktang mga teknolohiya sa proteksyon ng trapiko tulad ng pag-encrypt o pag-filter ng MAC;
- mga teknolohiya na orihinal na inilaan para sa iba pang mga layunin, halimbawa, upang pataasin ang bilis, ngunit sa parehong oras ay hindi direktang nagpapahirap sa buhay ng isang umaatake.
Ang unang pangkat ay inilarawan sa unang bahagi. Ngunit mayroon din kaming mga karagdagang hindi direktang hakbang sa aming arsenal. Gaya ng nabanggit sa itaas, ang pagtaas ng bilang ng mga access point ay nagbibigay-daan sa iyong bawasan ang antas ng signal at gawing pare-pareho ang saklaw na lugar, at ito ay nagpapahirap sa buhay para sa isang umaatake.
Ang isa pang babala ay ang pagtaas ng bilis ng paglilipat ng data ay nagpapadali sa paglalapat ng mga karagdagang hakbang sa seguridad. Halimbawa, maaari kang mag-install ng VPN client sa bawat laptop at maglipat ng data kahit na sa loob ng lokal na network sa pamamagitan ng mga naka-encrypt na channel. Mangangailangan ito ng ilang mapagkukunan, kabilang ang hardware, ngunit ang antas ng proteksyon ay tataas nang malaki.
Sa ibaba ay nagbibigay kami ng isang paglalarawan ng mga teknolohiya na maaaring mapabuti ang pagganap ng network at hindi direktang mapataas ang antas ng proteksyon.
Hindi direktang paraan ng pagpapabuti ng proteksyon - ano ang makakatulong?
Pagpipiloto ng Kliyente
Ang tampok na Client Steering ay nag-uudyok sa mga device ng kliyente na gamitin muna ang 5GHz band. Kung hindi available ang opsyong ito sa kliyente, magagamit pa rin niya ang 2.4 GHz. Para sa mga legacy na network na may maliit na bilang ng mga access point, karamihan sa trabaho ay ginagawa sa 2.4 GHz band. Para sa 5 GHz frequency range, ang isang solong access point scheme ay hindi katanggap-tanggap sa maraming kaso. Ang katotohanan ay ang isang signal na may mas mataas na dalas ay dumadaan sa mga pader at yumuko sa paligid ng mga hadlang na mas malala. Ang karaniwang rekomendasyon: upang matiyak ang garantisadong komunikasyon sa 5 GHz band, mas mainam na magtrabaho sa linya ng paningin mula sa access point.
Sa modernong mga pamantayan 802.11ac at 802.11ax, dahil sa mas malaking bilang ng mga channel, posibleng mag-install ng ilang mga access point sa mas malapit na distansya, na nagbibigay-daan sa iyo upang mabawasan ang kapangyarihan nang hindi nawawala, o kahit na nakakakuha, ang bilis ng paglipat ng data. Bilang resulta, ang paggamit ng 5GHz band ay nagpapahirap sa buhay para sa mga umaatake, ngunit pinapabuti ang kalidad ng komunikasyon para sa mga kliyenteng abot-kaya.
Ang function na ito ay ipinakita:
- sa Nebula at NebulaFlex access point;
- sa mga firewall na may function ng controller.
Auto Healing
Tulad ng nabanggit sa itaas, ang mga contour ng perimeter ng silid ay hindi magkasya nang maayos sa mga round diagram ng mga access point.
Upang malutas ang problemang ito, una, kailangan mong gamitin ang pinakamainam na bilang ng mga access point, at pangalawa, bawasan ang impluwensya sa isa't isa. Ngunit kung manu-mano mong bawasan ang kapangyarihan ng mga transmitters, ang gayong direktang interference ay maaaring humantong sa pagkasira ng komunikasyon. Lalo itong magiging kapansin-pansin kung ang isa o higit pang mga access point ay nabigo.
Binibigyang-daan ka ng Auto Healing na mabilis na ayusin ang kapangyarihan nang hindi nawawala ang pagiging maaasahan at bilis ng paglipat ng data.
Kapag ginagamit ang function na ito, sinusuri ng controller ang status at functionality ng mga access point. Kung ang isa sa mga ito ay hindi gumagana, pagkatapos ay ang mga kalapit ay inutusan na dagdagan ang lakas ng signal upang punan ang "puting lugar". Kapag ang access point ay nakabukas at tumatakbong muli, ang mga kalapit na punto ay inutusan na bawasan ang lakas ng signal upang mabawasan ang interference sa isa't isa.
Walang putol na WiFi roaming
Sa unang sulyap, ang teknolohiyang ito ay halos hindi matatawag na pagtaas ng antas ng seguridad; sa halip, sa kabaligtaran, ginagawang mas madali para sa isang kliyente (kabilang ang isang umaatake) na lumipat sa pagitan ng mga access point sa parehong network. Ngunit kung dalawa o higit pang mga access point ang ginagamit, kailangan mong tiyakin ang maginhawang operasyon nang walang mga hindi kinakailangang problema. Bilang karagdagan, kung ang access point ay na-overload, mas malala itong nakayanan ang mga function ng seguridad tulad ng pag-encrypt, pagkaantala sa pagpapalitan ng data at iba pang hindi kasiya-siyang mga bagay na nagaganap. Kaugnay nito, ang walang putol na roaming ay isang malaking tulong upang flexible na ipamahagi ang load at matiyak ang tuluy-tuloy na operasyon sa isang protektadong mode.
Pag-configure ng mga threshold ng lakas ng signal para sa pagkonekta at pagdiskonekta sa mga wireless na kliyente (Signal Threshold o Signal Strength Range)
Kapag gumagamit ng isang access point, ang function na ito, sa prinsipyo, ay hindi mahalaga. Ngunit sa kondisyon na ang ilang mga puntong kinokontrol ng isang controller ay gumagana, posible na ayusin ang mobile distribution ng mga kliyente sa iba't ibang AP. Ito ay nagkakahalaga ng pag-alala na ang access point controller function ay magagamit sa maraming linya ng mga router mula sa Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
Ang mga device sa itaas ay may feature para idiskonekta ang isang client na nakakonekta sa isang SSID na may mahinang signal. "Mahina" ay nangangahulugan na ang signal ay nasa ibaba ng threshold na itinakda sa controller. Matapos madiskonekta ang kliyente, magpapadala ito ng kahilingan sa pagsisiyasat upang makahanap ng isa pang access point.
Halimbawa, ang isang client na nakakonekta sa isang access point na may signal sa ibaba -65dBm, kung ang station disconnect threshold ay -60dBm, sa kasong ito, ang access point ay idiskonekta ang client sa antas ng signal na ito. Sisimulan na ngayon ng kliyente ang pamamaraan ng muling pagkonekta at kumonekta na sa isa pang access point na may signal na mas malaki kaysa o katumbas ng -60dBm (threshold ng signal ng istasyon).
Mahalaga ito kapag gumagamit ng maraming access point. Pinipigilan nito ang isang sitwasyon kung saan ang karamihan sa mga kliyente ay nag-iipon sa isang punto, habang ang iba pang mga access point ay idle.
Bilang karagdagan, maaari mong limitahan ang koneksyon ng mga kliyente na may mahinang signal, na malamang na matatagpuan sa labas ng perimeter ng silid, halimbawa, sa likod ng dingding sa isang kalapit na opisina, na nagpapahintulot din sa amin na isaalang-alang ang function na ito bilang isang hindi direktang pamamaraan. ng proteksyon.
Ang paglipat sa WiFi 6 bilang isa sa mga paraan upang mapabuti ang seguridad
Napag-usapan na namin ang tungkol sa mga pakinabang ng direktang mga remedyo nang mas maaga sa nakaraang artikulo. “Mga tampok ng pagprotekta sa mga wireless at wired network. Bahagi 1 - Mga direktang hakbang ng proteksyon".
Nagbibigay ang mga WiFi 6 network ng mas mabilis na bilis ng paglilipat ng data. Sa isang banda, ang bagong pangkat ng mga pamantayan ay nagpapahintulot sa iyo na pataasin ang bilis, sa kabilang banda, maaari kang maglagay ng higit pang mga access point sa parehong lugar. Ang bagong pamantayan ay nagbibigay-daan sa mas kaunting kapangyarihan na magamit upang magpadala sa mas mataas na bilis.
Tumaas na bilis ng paglilipat ng data.
Ang paglipat sa WiFi 6 ay nagsasangkot ng pagtaas ng bilis ng palitan sa 11Gb/s (modulation type 1024-QAM, 160 MHz channels). Kasabay nito, ang mga bagong device na sumusuporta sa WiFi 6 ay may mas mahusay na pagganap. Ang isa sa mga pangunahing problema kapag nagpapatupad ng mga karagdagang hakbang sa seguridad, tulad ng isang channel ng VPN para sa bawat gumagamit, ay isang pagbaba sa bilis. Sa WiFi 6, magiging mas madali ang pagpapatupad ng mga karagdagang sistema ng seguridad.
Pangkulay ng BSS
Isinulat namin nang mas maaga na ang mas pare-parehong saklaw ay maaaring mabawasan ang pagtagos ng signal ng WiFi na lampas sa perimeter. Ngunit sa karagdagang paglaki sa bilang ng mga access point, kahit na ang paggamit ng Auto Healing ay maaaring hindi sapat, dahil ang "banyagang" trapiko mula sa isang kalapit na punto ay tatagos pa rin sa lugar ng pagtanggap.
Kapag gumagamit ng BSS Coloring, ang access point ay nag-iiwan ng mga espesyal na marka (kulay) sa mga data packet nito. Ito ay nagpapahintulot sa iyo na huwag pansinin ang impluwensya ng mga kalapit na aparato sa pagpapadala (mga access point).
Pinahusay na MU-MIMO
Ang 802.11ax ay mayroon ding mahahalagang pagpapahusay sa teknolohiyang MU-MIMO (Multi-User - Multiple Input Multiple Output). Binibigyang-daan ng MU-MIMO ang access point na makipag-usap sa maraming device nang sabay-sabay. Ngunit sa nakaraang pamantayan, maaari lamang suportahan ng teknolohiyang ito ang mga grupo ng apat na kliyente sa parehong dalas. Pinadali nito ang paghahatid, ngunit hindi ang pagtanggap. Gumagamit ang WiFi 6 ng 8x8 multi-user na MIMO para sa paghahatid at pagtanggap.
Tandaan. Pinapataas ng 802.11ax ang laki ng mga downstream na grupo ng MU-MIMO, na nagbibigay ng mas mahusay na pagganap ng WiFi network. Ang multi-user na MIMO uplink ay isang bagong karagdagan sa 802.11ax.
OFDMA (Orthogonal frequency-division multiple access)
Ang bagong paraan ng pag-access at kontrol ng channel ay binuo batay sa mga teknolohiyang napatunayan na sa teknolohiyang cellular ng LTE.
Ang OFDMA ay nagbibigay-daan sa higit sa isang signal na maipadala sa parehong linya o channel sa parehong oras sa pamamagitan ng pagtatalaga ng agwat ng oras sa bawat transmission at paglalapat ng frequency division. Bilang resulta, hindi lamang tumataas ang bilis dahil sa mas mahusay na paggamit ng channel, kundi pati na rin ang pagtaas ng seguridad.
Buod
Ang mga WiFi network ay nagiging mas secure bawat taon. Ang paggamit ng mga modernong teknolohiya ay nagpapahintulot sa amin na ayusin ang isang katanggap-tanggap na antas ng proteksyon.
Ang mga direktang paraan ng proteksyon sa anyo ng pag-encrypt ng trapiko ay napatunayang mabuti ang kanilang sarili. Huwag kalimutan ang tungkol sa mga karagdagang hakbang: pag-filter ng MAC, pagtatago ng network ID, Rogue AP Detection (Rogue AP Containment).
Ngunit mayroon ding mga hindi direktang hakbang na nagpapabuti sa magkasanib na operasyon ng mga wireless na aparato at nagpapataas ng bilis ng pagpapalitan ng data.
Ang paggamit ng mga bagong teknolohiya ay ginagawang posible na bawasan ang antas ng signal mula sa mga punto, na ginagawang mas pare-pareho ang saklaw, na may magandang epekto sa kalusugan ng buong wireless network sa kabuuan, kabilang ang seguridad.
Ang sentido komun ay nagdidikta na ang lahat ng paraan ay mabuti upang mapabuti ang kaligtasan: parehong direkta at hindi direkta. Binibigyang-daan ka ng kumbinasyong ito na gawing mahirap ang buhay hangga't maaari para sa isang umaatake.
Mga kapaki-pakinabang na link:
- Mga tampok ng proteksyon ng mga wireless at wired network. Bahagi 1 - Mga direktang hakbang ng proteksyon
Pinagmulan: www.habr.com