Продовжуємо розмову про методи підвищення безпеки мереж. У цій статті поговоримо про додаткові заходи безпеки та організацію більш захищених бездротових мереж.
Передмова до другої частини
У попередній статті йшлося про проблеми безпеки мережі WiFi та прямі методи захисту від несанкціонованого доступу. Були розглянуті очевидні заходи для запобігання перехопленню трафіку: шифрування, приховування мережі та фільтрація MAC, а також спеціальні методи, наприклад, боротьба з Rogue AP. Однак, крім прямих способів захисту, існують ще й непрямі. Це технології, які не лише допомагають покращити якість зв'язку, а й додатково сприяють покращенню захисту.
Дві головні особливості бездротових мереж: віддалений безконтактний доступ і радіоефір як широкомовне середовище передачі даних, де будь-який приймач сигналу може прослуховувати ефір, а будь-який передавач може забивати мережу марними передачами і просто радіоперешкодами. Це, крім усього іншого, не найкраще впливає на загальну безпеку бездротової мережі.
Однією безпекою живий не будеш. Треба ще якось працювати, тобто обмінюватися даними. А з цього боку до WiFi багато інших претензій:
- прогалини у покритті («білі плями»);
- вплив зовнішніх джерел та сусідніх точок доступу один на одного.
Як наслідок, через описані вище проблеми знижується якість сигналу, зв'язок втрачає стійкість, падає швидкість обміну даними.
Зрозуміло, шанувальники провідних мереж із задоволенням відзначать, що при використанні кабельних і, тим більше оптоволоконних з'єднань, таких проблем не спостерігається.
Виникає питання: а можна якось вирішити ці питання, не вдаючись до будь-яких кардинальних засобів на кшталт перепідключення всіх незадоволених до дротової мережі?
Де початок усіх проблем?
На момент зародження офісних та інших WiFi мереж найчастіше надходили за нехитрим алгоритмом: ставили одну-єдину точку доступу в центрі периметра з метою максимального покриття. Якщо для віддалених ділянок потужності сигналу не вистачало, до точки доступу додавалася антена, що підсилює. Дуже рідко додавалася друга точка доступу, наприклад, для дистанційного директорського кабінету. Ось, мабуть, і всі удосконалення.
Такий підхід мав свої підстави. По-перше, на зорі становлення бездротових мереж обладнання для них коштувало дорого. По-друге, встановити більше точок доступу означало зіткнутися з питаннями, на які тоді не було відповіді. Наприклад, як організувати безшовне перемикання клієнта між точками? Як боротися із взаємною інтерференцією? Як спростити та впорядкувати управління точками, наприклад, одночасне застосування заборон/дозволів, моніторинг тощо. Тому набагато простіше було вчинити за принципом: що менше пристроїв, то краще.
У той же час точка доступу, розміщена під стелею, вела мовлення по круговій (точніше сказати, округлій) діаграмі.
Однак форми архітектурних будов не дуже добре вписуються в округлі діаграми поширення сигналу. Тому кудись сигнал майже не доходить, і його треба посилювати, а десь мовлення виходить за межі периметра і стає доступним для сторонніх.
Рисунок 1. Приклад покриття під час використання єдиної точки в офісі.
Примітка. Йдеться про грубе наближення, в якому не враховуються перешкоди для поширення, а також спрямованість сигналу. На практиці форми діаграм для різних моделей точок можуть відрізнятись.
Ситуацію можна покращити, якщо використовувати більше точок доступу.
По-перше, це дозволить більш ефективно розподілити передавальні пристрої за площею приміщення.
По-друге, з'являється можливість знизити рівень сигналу, не дозволяючи йому виходити за периметр офісу чи іншого об'єкта. У цьому випадку, щоб рахувати трафік бездротової мережі, потрібно майже впритул наблизитися до периметра або навіть увійти до його меж. Приблизно так само діє зловмисник, щоб вклинитися у внутрішню провідну мережу.
Малюнок 2. Збільшення кількості точок доступу дозволяє краще розподілити покриття.
Давайте ще раз розглянемо обидва малюнки. На першому чітко простежується одна з головних уразливостей бездротової мережі – сигнал можна ловити на пристойній відстані.
На другому малюнку ситуація негаразд запущена. Чим більше точок доступу, тим ефективніша зона покриття і при цьому потужність сигналу вже майже не виходить за межі периметра, грубо кажучи, за межі кабінету, офісу, будівлі та інших можливих об'єктів.
Зловмиснику доведеться якось непомітно підкрадатися ближче, щоб перехопити відносно слабкий сигнал "з вулиці" або "з коридору" тощо. Для цього треба наблизитися до офісної будівлі, щоб, наприклад, стати під вікнами. Або намагатися проникнути в саму офісну будівлю. У будь-якому випадку це підвищує ризик "засвітитися" на відеоспостереженні, потрапити на очі охороні. При цьому значно скорочується часовий інтервал для атаки. Це вже важко назвати "ідеальними умовами для злому".
Зрозуміло, залишається ще один "первородний гріх": бездротові мережі ведуть мовлення в доступному діапазоні, який можуть перехопити всі клієнти. Справді, мережу WiFi можна порівняти з Ethernet-HUB, де сигнал передається одразу на всі порти. Щоб цього уникнути, в ідеалі кожна пара пристроїв повинна спілкуватися на своєму частотному каналі, який не повинен встрявати ніхто інший.
Ось коротко основні проблеми. Розглянемо шляхи їх вирішення.
Засоби захисту: прямі та непрямі
Як уже було сказано в попередній статті, ідеального захисту домогтися в жодному разі не вдасться. Але можна максимально утруднити проведення атаки, зробивши результат нерентабельним стосовно витрачених зусиль.
Умовно засоби захисту можна поділити на дві основні групи:
- технології прямого захисту трафіку, такі як шифрування або фільтрація MAC;
- технології, що спочатку призначені для інших цілей, наприклад, для підвищення швидкості, але при цьому непрямим чином ускладнюють життя зловмиснику.
Про першу групу було розказано у першій частині. Але в нашому арсеналі є ще й додаткові опосередковані заходи. Як було зазначено вище, збільшення кількості точок доступу дозволяє знизити рівень сигналу і зробити рівномірною зону покриття, але це ускладнює життя зловмиснику.
Ще один нюанс – підвищення швидкості передачі даних полегшує застосування додаткових заходів безпеки. Наприклад, можна на кожному ноутбуку встановити VPN клієнт і передавати дані навіть усередині локальної мережі зашифрованими каналами. Це вимагатиме деяких ресурсів, у тому числі й апаратних, але рівень захисту при цьому суттєво підвищується.
Нижче ми наводимо опис технологій, які дозволяють покращити роботу мережі та опосередковано підвищити ступінь захисту.
Непрямі засоби покращення захисту – що може допомогти?
Client Steering
Функція Client Steering пропонує клієнтським пристроям спочатку використовувати діапазон 5ГГц. Якщо ця можливість клієнту недоступна, він зможе використовувати 2.4ГГц. Для застарілих мереж із малим числом точок доступу основна робота будується у діапазоні 2.4ГГц. Для частотного діапазону 5ГГц схема з однією точкою доступу у багатьох випадках виявиться неприйнятною. Справа в тому, що сигнал з більшою частотою гірше проходить крізь стіни та огинає перешкоди. Звичайна рекомендація: для забезпечення гарантованого зв'язку в діапазоні 5ГГц, краще працювати в прямій видимості від точки доступу.
У сучасних стандартах 802.11aс і 802.11ax за рахунок більшої кількості каналів можна встановити кілька точок доступу на ближчій відстані, що дозволяє знизити потужність, при цьому не втративши, а навіть вигравши у швидкості передачі даних. Через війну застосування діапазону 5ГГц ускладнює життя зловмисників, але покращує якість зв'язку клієнтам, що у межах доступності.
Ця функція представлена:
- у точках доступу Nebula та NebulaFlex;
- у міжмережевих екранах із функцією контролера.
Автозцілення
Як було зазначено вище, контури периметра приміщення погано вписуються в округлі діаграми точок доступу.
Щоб вирішити цю проблему, по-перше, потрібно використовувати оптимальну кількість точок доступу, по-друге, зменшити взаємний вплив. Але якщо просто взяти і вручну знизити потужність передавачів, таке прямолінійне втручання може призвести до погіршення зв'язку. Особливо це буде відчутно при виході однієї або кількох точок доступу з ладу.
Auto Healing дозволяє оперативно підлаштовувати потужність без втрати надійності та швидкості передачі даних.
При використанні цієї функції контролер перевіряє стан та працездатність точок доступу. Якщо одна з них не працює, то сусідні отримують вказівку збільшити потужність сигналу, щоб заповнити «білу пляму». Після того, як точка доступу знову запрацювала, сусідні точки отримують вказівку зменшити потужність сигналу, щоб знизити рівень взаємних перешкод.
Безшовні WiFi роумінг
На перший погляд, цю технологію важко назвати підвищення безпеки, швидше, навпаки, адже вона полегшує перемикання клієнта (у тому числі зловмисника) між точками доступу в одній мережі. Але якщо використовується дві або більше точок доступу, потрібно забезпечити зручну роботу без зайвих проблем. Крім цього, якщо точка доступу перевантажена, вона гірше справляється з функціями захисту, такими як шифрування, виникають затримки обміну даними та інші неприємні речі. У цьому плані безшовний роумінг — велика підмога, щоб гнучко розподілити навантаження та забезпечити безперебійну роботу у захищеному режимі.
Настроювання порогових значень рівня сигналу для підключення та відключення бездротових клієнтів (Signal Threshold або Signal Strength Range)
При використанні одинокої точки доступу ця функція, в принципі, не має значення. Але за умови, коли працюють кілька точок, керованих контролером, можна організувати мобільний розподіл клієнтів за різними AP. Функції контролера точок доступу є в багатьох лінійках маршрутизаторів від Zyxel: ATP, USG, USG FLEX, VPN, ZyWALL.
У зазначених вище пристроях є функція відключення клієнта, який підключений до SSID зі слабким сигналом. "Слабкий" - означає, що сигнал нижче порогу, встановленого на контролері. Після того, як клієнт був вимкнений, він надішле пробний запит для пошуку іншої точки доступу.
Наприклад, клієнт підключився до точки доступу із сигналом нижче -65dBm, якщо поріг відключення станції -60dBm, у цьому випадку точка доступу відключить клієнта з таким рівнем сигналу. Тепер клієнт запускає процедуру перепідключення і вже підключиться до іншої точки доступу із сигналом, що перевищує або дорівнює -60dBm (порогове значення сигналу станції).
Це має важливу роль при використанні кількох точок доступу. Тим самим запобігається ситуація, коли більшість клієнтів накопичується на одній точці, тоді як інші точки доступу простоюють.
Крім цього, можна обмежити підключення клієнтів зі слабким сигналом, що з великою ймовірністю знаходяться за периметром приміщення, наприклад, за стіною в сусідньому офісі, що також дозволяє розглядати цю функцію як опосередкований спосіб захисту.
Перехід на WiFi 6 як один із шляхів підвищення рівня безпеки
Про переваги прямих засобів захисту ми вже говорили раніше у попередній статті «Особливості захисту бездротових та провідних мереж. Частина 1 - Прямі заходи захисту».
Мережі WiFi 6 забезпечують вищу швидкість передачі. З одного боку, нова група стандартів дозволяє збільшити швидкість, з іншого – розмістити ще більше точок доступу на тій самій площі. Новий стандарт дозволяє використовувати меншу потужність передачі на вищій швидкості.
Підвищення швидкості обміну даними.
Перехід WiFi 6 передбачає підвищення швидкості обміну до 11Gb/s (тип модуляції 1024-QAM, канали 160 МГц). При цьому нові пристрої, що підтримують WiFi 6, мають більшу продуктивність. Однією з головних проблем при впровадженні додаткових заходів безпеки, таких як VPN канал для кожного користувача, є падіння швидкості. З WiFi 6 буде легше використовувати додаткові системи захисту.
Розмальовка BSS
Раніше ми писали, що рівномірніше покриття дозволяє знизити проникнення сигналу WiFi за периметр. Але при подальшому зростанні числа точок доступу навіть використання Auto Healing може бути недостатньо, тому що «чужий» трафік від сусідньої точки все одно проникатиме в зону прийому.
При використанні BSS Coloring точка доступу залишає спеціальні мітки (розмальовує) свої пакети даних. Це дозволяє ігнорувати вплив сусідніх передавальних пристроїв (точок доступу).
Поліпшений MU-MIMO
У 802.11ax також є важливі покращення технології MU-MIMO (Multi-User - Multiple Input Multiple Output). MU-MIMO дозволяє точці доступу обмінюватися даними з кількома пристроями одночасно. Але в попередньому стандарті ця технологія могла підтримувати лише групи із чотирьох клієнтів на одній частоті. Це полегшувало передачу, але з прийом. WiFi 6 використовує розрахований на багато користувачів MIMO 8×8 для передачі і прийому.
Примітка. Стандарт 802.11ax збільшує розмір груп MU-MIMO у вхідному потоці, забезпечуючи ефективнішу продуктивність мережі WiFi. Розрахований на багато користувачів вихідний канал MIMO є новим доповненням до 802.11ax.
OFDMA (Orthogonal frequency-division multiple access)
Це новий метод доступу до каналів та управління розроблений на основі технологій, які вже були випробувані у технології стільникового зв'язку LTE.
OFDMA дозволяє відправляти більше одного сигналу по одній і тій же лінії або каналу одночасно, призначаючи інтервал часу кожної передачі і застосовуючи частотний поділ. В результаті не тільки зростає швидкість за рахунок кращої утилізації каналу, а й підвищується безпека.
Резюме
Мережі WiFi з кожним роком стають все більш безпечними. Використання сучасних технологій дозволяє організувати прийнятний рівень захисту.
Прямі методи захисту як шифрування трафіку дуже непогано себе зарекомендували. Не забуваємо і про додаткові заходи: фільтрація MAC, приховування ідентифікатора мережі, Rogue AP Detection (Rogue AP Containment).
Але є ще й опосередковані заходи, що покращують спільну роботу бездротових пристроїв і підвищують швидкість обміну даних.
Використання нових технологій дозволяє знизити рівень сигналу від точок, зробивши покриття рівномірнішим, що непогано позначаються на самопочутті всієї бездротової мережі в цілому, в тому числі і на безпеці.
Здоровий глузд підказує, що для підвищення безпеки всі засоби хороші: і прямі, і непрямі. Таке поєднання дозволяє максимально ускладнити життя зловмисникові.
Корисні посилання:
- Особливості захисту бездротових та провідних мереж. Частина 1 - Прямі заходи захисту
Джерело: habr.com