Tarmoq xavfsizligini oshirish usullari haqida suhbatni davom ettiramiz. Ushbu maqolada biz qo'shimcha xavfsizlik choralari va xavfsizroq simsiz tarmoqlarni tashkil qilish haqida gapiramiz.
Ikkinchi qismga so'zboshi
Oldingi maqolada Wi-Fi tarmog'i xavfsizligi muammolari va ruxsatsiz kirishdan himoyalanishning bevosita usullari haqida suhbat bo'ldi. Trafikni ushlab turishning oldini olish bo'yicha aniq choralar ko'rib chiqildi: shifrlash, tarmoqni yashirish va MAC filtrlash, shuningdek, maxsus usullar, masalan, Rogue AP bilan kurashish. Biroq, to'g'ridan-to'g'ri himoya qilish usullaridan tashqari, bilvosita ham mavjud. Bu nafaqat aloqa sifatini yaxshilashga, balki xavfsizlikni yanada yaxshilashga yordam beradigan texnologiyalardir.
Simsiz tarmoqlarning ikkita asosiy xususiyati: masofaviy kontaktsiz kirish va ma'lumotlarni uzatish uchun radioeshittirish vositasi sifatida radio havosi, bu erda har qanday signal qabul qiluvchi havoni tinglashi mumkin va har qanday uzatuvchi tarmoqni foydasiz uzatishlar va oddiygina radio shovqinlari bilan yopishi mumkin. Bu, boshqa narsalar qatorida, simsiz tarmoqning umumiy xavfsizligiga eng yaxshi ta'sir ko'rsatmaydi.
Siz yolg'iz xavfsizlik bilan yashay olmaysiz. Biz hali ham qandaydir tarzda ishlashimiz kerak, ya'ni ma'lumotlar almashinuvi. Va bu tomonda WiFi haqida ko'plab boshqa shikoyatlar mavjud:
- qoplamadagi bo'shliqlar ("oq dog'lar");
- tashqi manbalar va qo'shni kirish nuqtalarining bir-biriga ta'siri.
Natijada, yuqorida tavsiflangan muammolar tufayli signalning sifati pasayadi, ulanish barqarorligini yo'qotadi va ma'lumotlar almashinuvi tezligi pasayadi.
Albatta, simli tarmoqlar muxlislari kabeldan va ayniqsa, optik tolali ulanishlardan foydalanishda bunday muammolar kuzatilmasligini mamnuniyat bilan ta'kidlashadi.
Savol tug'iladi: barcha norozi odamlarni simli tarmoqqa qayta ulash kabi keskin vositalarga murojaat qilmasdan, qandaydir tarzda bu muammolarni hal qilish mumkinmi?
Barcha muammolar qaerdan boshlanadi?
Ofis va boshqa WiFi tarmoqlari paydo bo'lganda, ular ko'pincha oddiy algoritmga amal qilishdi: ular qamrab olishni maksimal darajada oshirish uchun perimetrning markaziga bitta kirish nuqtasini joylashtirdilar. Uzoq hududlar uchun signal kuchi etarli bo'lmasa, kirish nuqtasiga kuchaytiruvchi antenna qo'shildi. Juda kamdan-kam hollarda, masalan, masofaviy direktorning ofisiga ikkinchi kirish nuqtasi qo'shildi. Bu, ehtimol, barcha yaxshilanishlar.
Bu yondashuvning o'z sabablari bor edi. Birinchidan, simsiz tarmoqlar paydo bo'lishining boshida ular uchun uskunalar qimmat edi. Ikkinchidan, ko'proq kirish nuqtalarini o'rnatish o'sha paytda javobsiz savollarga duch kelishni anglatadi. Masalan, mijozning nuqtalar o'rtasida uzluksiz almashinuvini qanday tashkil qilish kerak? O'zaro aralashuvga qanday munosabatda bo'lish kerak? Ballarni boshqarishni qanday soddalashtirish va tartibga solish, masalan, taqiqlarni/ruxsatlarni bir vaqtda qo'llash, monitoring va boshqalar. Shuning uchun, printsipga amal qilish ancha oson edi: qurilmalar qancha kam bo'lsa, shuncha yaxshi bo'ladi.
Shu bilan birga, shift ostida joylashgan kirish nuqtasi dumaloq (aniqrog'i, dumaloq) diagrammada efirga uzatiladi.
Biroq, me'moriy binolarning shakllari dumaloq signal tarqalish diagrammalariga juda mos kelmaydi. Shuning uchun, ba'zi joylarda signal deyarli etib bormaydi va uni kuchaytirish kerak, va ba'zi joylarda translyatsiya perimetrdan tashqariga chiqadi va begonalar uchun ochiq bo'ladi.
Shakl 1. Ofisdagi bitta nuqtadan foydalangan holda qamrov namunasi.
nota. Bu tarqalishdagi to'siqlarni, shuningdek signalning yo'nalishini hisobga olmaydigan taxminiy taxmindir. Amalda, turli nuqta modellari uchun diagrammalarning shakllari farq qilishi mumkin.
Vaziyatni ko'proq kirish nuqtalaridan foydalanish orqali yaxshilash mumkin.
Birinchidan, bu uzatish moslamalarini xona maydoni bo'ylab yanada samarali taqsimlash imkonini beradi.
Ikkinchidan, signal darajasini ofis yoki boshqa ob'ektning perimetridan tashqariga chiqishiga yo'l qo'ymaslik uchun kamaytirish mumkin bo'ladi. Bunday holda, simsiz tarmoq trafigini o'qish uchun siz perimetrga deyarli yaqinlashishingiz yoki hatto uning chegaralarini kiritishingiz kerak. Tajovuzkor ichki simli tarmoqqa kirish uchun xuddi shunday harakat qiladi.
2-rasm: Kirish nuqtalari sonini ko'paytirish qamrovni yaxshiroq taqsimlash imkonini beradi.
Keling, ikkala rasmga yana qaraylik. Birinchisi, simsiz tarmoqning asosiy zaifliklaridan birini aniq ko'rsatadi - signalni munosib masofada ushlab turish mumkin.
Ikkinchi rasmda vaziyat unchalik rivojlangan emas. Kirish nuqtalari qanchalik ko'p bo'lsa, qamrov zonasi shunchalik samarali bo'ladi va shu bilan birga signal kuchi deyarli perimetrdan tashqariga chiqmaydi, qo'pol qilib aytganda, ofis, ofis, bino va boshqa mumkin bo'lgan ob'ektlar chegaralaridan tashqariga chiqadi.
Hujumchi "ko'chadan" yoki "koridordan" va hokazo nisbatan zaif signalni ushlab qolish uchun qandaydir tarzda sezilmasdan yaqinroq kirishi kerak. Buning uchun siz ofis binosiga yaqinlashishingiz kerak, masalan, derazalar ostida turishingiz kerak. Yoki ofis binosining o'ziga kirishga harakat qiling. Har holda, bu videokuzatuvga tushib qolish va xavfsizlik xodimlari tomonidan e'tiborga olinishi xavfini oshiradi. Bu hujum uchun vaqt oralig'ini sezilarli darajada qisqartiradi. Buni "xakerlik uchun ideal sharoitlar" deb atash qiyin.
Albatta, yana bitta "asl gunoh" qoladi: simsiz tarmoqlar barcha mijozlar tomonidan tutilishi mumkin bo'lgan qulay diapazonda uzatiladi. Haqiqatan ham, WiFi tarmog'ini Ethernet HUB bilan solishtirish mumkin, bu erda signal bir vaqtning o'zida barcha portlarga uzatiladi. Bunga yo'l qo'ymaslik uchun, ideal holda, har bir juft qurilma o'z chastota kanalida muloqot qilishi kerak, unga hech kim aralashmasligi kerak.
Bu erda asosiy muammolarning qisqacha mazmuni. Keling, ularni hal qilish yo'llarini ko'rib chiqaylik.
Davolash usullari: to'g'ridan-to'g'ri va bilvosita
Avvalgi maqolada aytib o'tilganidek, hech qanday holatda mukammal himoyaga erishib bo'lmaydi. Ammo siz hujumni amalga oshirishni iloji boricha qiyinlashtirishingiz mumkin, natijada sarflangan harakatlarga nisbatan foydasiz bo'ladi.
An'anaviy ravishda himoya vositalarini ikkita asosiy guruhga bo'lish mumkin:
- shifrlash yoki MAC filtrlash kabi to'g'ridan-to'g'ri trafikni himoya qilish texnologiyalari;
- dastlab boshqa maqsadlar uchun mo'ljallangan texnologiyalar, masalan, tezlikni oshirish, lekin shu bilan birga bilvosita tajovuzkorning hayotini qiyinlashtiradi.
Birinchi guruh birinchi qismda tasvirlangan. Ammo bizning arsenalimizda qo'shimcha bilvosita choralar ham mavjud. Yuqorida aytib o'tilganidek, kirish nuqtalari sonini ko'paytirish signal darajasini pasaytirish va qamrov zonasini bir xil qilish imkonini beradi va bu tajovuzkorning hayotini qiyinlashtiradi.
Yana bir ogohlantirish shundaki, ma'lumotlarni uzatish tezligini oshirish qo'shimcha xavfsizlik choralarini qo'llashni osonlashtiradi. Masalan, siz har bir noutbukda VPN mijozini o'rnatishingiz va ma'lumotlarni mahalliy tarmoq ichida ham shifrlangan kanallar orqali uzatishingiz mumkin. Buning uchun ba'zi resurslar, jumladan, apparat kerak bo'ladi, ammo himoya darajasi sezilarli darajada oshadi.
Quyida biz tarmoq ish faoliyatini yaxshilaydigan va himoya darajasini bilvosita oshirishi mumkin bo'lgan texnologiyalar tavsifini keltiramiz.
Himoyani yaxshilashning bilvosita vositalari - nima yordam berishi mumkin?
Mijozlarni boshqarish
Mijozlarni boshqarish xususiyati mijoz qurilmalarini birinchi navbatda 5 gigagertsli diapazondan foydalanishga undaydi. Agar ushbu imkoniyat mijoz uchun mavjud bo'lmasa, u hali ham 2.4 gigagertsli chastotadan foydalanishi mumkin. Kichkina kirish nuqtalari bo'lgan eski tarmoqlar uchun ko'pchilik ish 2.4 gigagertsli diapazonda amalga oshiriladi. 5 gigagertsli chastota diapazoni uchun bitta kirish nuqtasi sxemasi ko'p hollarda qabul qilinishi mumkin emas. Gap shundaki, yuqori chastotali signal devorlardan o'tadi va to'siqlar atrofida yomonroq egiladi. Odatiy tavsiya: 5 gigagertsli diapazonda kafolatlangan aloqani ta'minlash uchun kirish nuqtasidan ko'rish chizig'ida ishlash afzalroqdir.
802.11ac va 802.11ax zamonaviy standartlarida kanallar sonining ko'pligi tufayli yaqinroq masofada bir nechta kirish nuqtalarini o'rnatish mumkin, bu sizga ma'lumotlarni uzatish tezligini yo'qotmasdan yoki hatto orttirmasdan quvvatni kamaytirish imkonini beradi. Natijada, 5 gigagertsli diapazondan foydalanish tajovuzkorlar uchun hayotni qiyinlashtiradi, lekin mijozlar uchun aloqa sifatini yaxshilaydi.
Ushbu funktsiya taqdim etiladi:
- Nebula va NebulaFlex kirish nuqtalarida;
- kontroller funksiyasiga ega xavfsizlik devorlarida.
Avtomatik shifo
Yuqorida aytib o'tilganidek, xona perimetrining konturlari kirish nuqtalarining yumaloq diagrammalariga yaxshi mos kelmaydi.
Ushbu muammoni hal qilish uchun, birinchi navbatda, kirish nuqtalarining maqbul sonini ishlatishingiz kerak, ikkinchidan, o'zaro ta'sirni kamaytirishingiz kerak. Ammo agar siz transmitterlarning kuchini qo'lda kamaytirsangiz, bunday to'g'ridan-to'g'ri shovqin aloqaning yomonlashishiga olib kelishi mumkin. Bu, ayniqsa, bir yoki bir nechta kirish nuqtasi ishlamay qolsa, sezilarli bo'ladi.
Avtomatik shifo ishonchliligi va ma'lumotlarni uzatish tezligini yo'qotmasdan quvvatni tezda sozlash imkonini beradi.
Ushbu funksiyadan foydalanganda kontroller kirish nuqtalarining holati va funksionalligini tekshiradi. Agar ulardan biri ishlamasa, u holda qo'shnilarga "oq nuqta" ni to'ldirish uchun signal kuchini oshirish buyuriladi. Kirish nuqtasi qayta ishga tushirilgach, qo'shni nuqtalarga o'zaro shovqinlarni kamaytirish uchun signal kuchini kamaytirish buyuriladi.
Uzluksiz WiFi rouming
Bir qarashda, ushbu texnologiyani xavfsizlik darajasini oshirish deb atash qiyin, aksincha, mijozga (shu jumladan tajovuzkorga) bir xil tarmoqdagi kirish nuqtalari o'rtasida almashishni osonlashtiradi. Ammo ikki yoki undan ortiq kirish nuqtasi ishlatilsa, keraksiz muammolarsiz qulay ishlashni ta'minlashingiz kerak. Bundan tashqari, agar kirish nuqtasi haddan tashqari yuklangan bo'lsa, u shifrlash, ma'lumotlar almashinuvidagi kechikishlar va boshqa noxush narsalar kabi xavfsizlik funktsiyalari bilan yomonroq kurashadi. Shu munosabat bilan, uzluksiz rouming yukni moslashuvchan tarzda taqsimlash va himoyalangan rejimda uzluksiz ishlashni ta'minlash uchun katta yordam beradi.
Simsiz mijozlarni ulash va uzish uchun signal kuchi chegaralarini sozlash (Signal chegarasi yoki Signal quvvati diapazoni)
Bitta kirish nuqtasidan foydalanganda, bu funktsiya, printsipial jihatdan, muhim emas. Ammo nazoratchi tomonidan boshqariladigan bir nechta punktlar ishlayotgan bo'lsa, mijozlarni turli APlar bo'ylab mobil tarqatishni tashkil qilish mumkin. Shuni esda tutish kerakki, kirish nuqtasi boshqaruvchisi funktsiyalari Zyxel routerlarining ko'plab qatorlarida mavjud: ATP, USG, USG FLEX, VPN, ZyWALL.
Yuqoridagi qurilmalar zaif signal bilan SSIDga ulangan mijozni uzish xususiyatiga ega. "Zaif" signalning kontrollerda o'rnatilgan chegaradan past ekanligini anglatadi. Mijoz o'chirilgandan so'ng, u boshqa kirish nuqtasini topish uchun tekshirish so'rovini yuboradi.
Masalan, signali -65dBm dan past bo'lgan kirish nuqtasiga ulangan mijoz, agar stantsiyani ajratish chegarasi -60dBm bo'lsa, bu holda kirish nuqtasi mijozni ushbu signal darajasi bilan uzib qo'yadi. Mijoz endi qayta ulanish jarayonini boshlaydi va -60dBm dan katta yoki unga teng signalga ega bo'lgan boshqa kirish nuqtasiga ulanadi (stansiya signali chegarasi).
Bu bir nechta kirish nuqtalaridan foydalanganda muhim ahamiyatga ega. Bu ko'pchilik mijozlarning bir nuqtada to'planishi, boshqa kirish nuqtalari esa bo'sh turgan vaziyatni oldini oladi.
Bundan tashqari, siz zaif signal bilan mijozlarning ulanishini cheklashingiz mumkin, ular xonaning perimetri tashqarisida, masalan, qo'shni ofisdagi devor orqasida joylashgan bo'lib, bu bizga ushbu funktsiyani bilvosita usul sifatida ko'rib chiqishga imkon beradi. himoya qilish.
Xavfsizlikni yaxshilash usullaridan biri sifatida WiFi 6 ga o'tish
Biz oldingi maqolada to'g'ridan-to'g'ri vositalarning afzalliklari haqida gapirgan edik. “Simsiz va simli tarmoqlarni himoya qilish xususiyatlari. 1-qism - To'g'ridan-to'g'ri himoya choralari".
WiFi 6 tarmoqlari tezroq ma'lumotlarni uzatish tezligini ta'minlaydi. Bir tomondan, standartlarning yangi guruhi tezlikni oshirishga imkon beradi, boshqa tomondan, bir xil hududda yanada ko'proq kirish nuqtalarini joylashtirishingiz mumkin. Yangi standart yuqori tezlikda uzatish uchun kamroq quvvat sarflash imkonini beradi.
Ma'lumot uzatish tezligini oshirish.
WiFi 6 ga o'tish almashinuv tezligini 11 Gb / s ga oshirishni o'z ichiga oladi (modulyatsiya turi 1024-QAM, 160 MGts kanallari). Shu bilan birga, WiFi 6-ni qo'llab-quvvatlaydigan yangi qurilmalar yaxshi ishlashga ega. Har bir foydalanuvchi uchun VPN kanali kabi qo'shimcha xavfsizlik choralarini qo'llashda asosiy muammolardan biri bu tezlikning pasayishi. WiFi 6 bilan qo'shimcha xavfsizlik tizimlarini amalga oshirish osonroq bo'ladi.
BSS rang berish
Yuqorida biz bir xil qamrov WiFi signalining perimetrdan tashqariga kirishini kamaytirishi mumkinligini yozgan edik. Ammo kirish nuqtalari sonining yanada o'sishi bilan, hatto Avtomatik shifodan foydalanish ham etarli bo'lmasligi mumkin, chunki qo'shni nuqtadan "begona" trafik hali ham qabul qilish zonasiga kirib boradi.
BSS Coloring-dan foydalanilganda, kirish nuqtasi ma'lumotlar paketlarini maxsus belgilar (ranglar) qoldiradi. Bu sizga qo'shni uzatuvchi qurilmalar (kirish nuqtalari) ta'sirini e'tiborsiz qoldirish imkonini beradi.
MU-MIMO yaxshilandi
802.11ax shuningdek, MU-MIMO (Multi-User - Multiple Input Multiple Output) texnologiyasida muhim yaxshilanishlarga ega. MU-MIMO kirish nuqtasiga bir vaqtning o'zida bir nechta qurilmalar bilan bog'lanish imkonini beradi. Ammo avvalgi standartda bu texnologiya faqat bir xil chastotada to'rtta mijozdan iborat guruhlarni qo'llab-quvvatlay olardi. Bu uzatishni osonlashtirdi, lekin qabul qilish emas. WiFi 6 uzatish va qabul qilish uchun 8x8 ko'p foydalanuvchili MIMO-dan foydalanadi.
Eslatma. 802.11ax quyi oqimdagi MU-MIMO guruhlari hajmini oshirib, Wi-Fi tarmog'ining yanada samarali ishlashini ta'minlaydi. Ko'p foydalanuvchili MIMO uplink - bu 802.11ax uchun yangi qo'shimcha.
OFDMA (ortogonal chastota bo'linishi ko'p kirish)
Kanalga kirish va boshqarishning ushbu yangi usuli LTE uyali aloqa texnologiyasida isbotlangan texnologiyalar asosida ishlab chiqilgan.
OFDMA har bir uzatish uchun vaqt oralig'ini belgilash va chastota bo'linishini qo'llash orqali bir vaqtning o'zida bir nechta signalni bir xil chiziq yoki kanalda yuborish imkonini beradi. Natijada, kanaldan yaxshiroq foydalanish hisobiga nafaqat tezlik oshadi, balki xavfsizlik ham oshadi.
Xulosa
Wi-Fi tarmoqlari har yili xavfsizroq bo'lib bormoqda. Zamonaviy texnologiyalardan foydalanish qabul qilinadigan himoya darajasini tashkil qilish imkonini beradi.
Trafikni shifrlash ko'rinishidagi to'g'ridan-to'g'ri himoya qilish usullari o'zini juda yaxshi isbotladi. Qo'shimcha choralar haqida unutmang: MAC orqali filtrlash, tarmoq identifikatorini yashirish, Rogue AP Detection (Rogue AP Containment).
Ammo simsiz qurilmalarning birgalikdagi ishlashini yaxshilaydigan va ma'lumotlar almashinuvi tezligini oshiradigan bilvosita choralar ham mavjud.
Yangi texnologiyalardan foydalanish nuqtalardan signal darajasini pasaytirish, qamrovni bir xil qilish imkonini beradi, bu butun simsiz tarmoqning sog'lig'iga, shu jumladan xavfsizlikka yaxshi ta'sir qiladi.
Sog'lom fikr xavfsizlikni yaxshilash uchun barcha vositalar yaxshi ekanligini ta'kidlaydi: to'g'ridan-to'g'ri va bilvosita. Bu kombinatsiya tajovuzkor uchun hayotni iloji boricha qiyinlashtirishga imkon beradi.
Foydali havolalar:
- Simsiz va simli tarmoqlarni himoya qilish xususiyatlari. 1-qism - To'g'ridan-to'g'ri himoya choralari
Manba: www.habr.com