主持人 > 博客 > 管理 > 无线和有线网络保护的特点。 第 2 部分 - 间接保护措施

无线和有线网络保护的特点。 第 2 部分 - 间接保护措施

无线和有线网络保护的特点。 第 2 部分 - 间接保护措施

我们继续讨论增强网络安全的方法。 在本文中,我们将讨论额外的安全措施和组织更安全的无线网络。

第二部分序言

在前面的文章 “保护无线和有线网络的功能。 第 1 部分 - 直接保护措施” 会议讨论了 WiFi 网络安全问题以及防止未经授权访问的直接方法。 考虑了防止流量拦截的明显措施:加密、网络隐藏和 MAC 过滤,以及特殊方法,例如打击 Rogue AP。 然而,除了直接的保护方法外,还有间接的保护方法。 这些技术不仅有助于提高通信质量,还可以进一步提高安全性。

无线网络的两个主要特征:远程非接触式访问和无线电空气作为数据传输的广​​播介质,任何信号接收器都可以监听空气,任何发射器都可以通过无用的传输和简单的无线电干扰来堵塞网络。 除此之外,这对无线网络的整体安全性并没有产生最佳效果。

你不能仅靠安全而生存。 我们仍然必须以某种方式工作,那就是交换数据。 而这一边还有很多关于WiFi的其他抱怨:

  • 覆盖范围的差距(“白点”);
  • 外部源和相邻接入点之间的影响。

结果,由于上述问题,信号质量下降,连接失去稳定性,数据交换速度下降。

当然,有线网络的粉丝会很高兴地注意到,当使用电缆,特别是光纤连接时,不会出现此类问题。

问题出现了:是否有可能以某种方式解决这些问题,而不诉诸任何激烈的手段,例如将所有不满意的人重新连接到有线网络?

所有的问题都是从哪里开始的?

在办公室和其他 WiFi 网络诞生时,他们通常遵循一个简单的算法:他们在周边中心放置一个接入点,以最大限度地扩大覆盖范围。 如果偏远地区的信号强度不够,则会在接入点添加放大天线。 很少会添加第二个接入点,例如,用于远程主管办公室。 这可能就是所有的改进。

这种做法有它的理由。 首先,在无线网络出现之初,其设备非常昂贵。 其次,安装更多接入点意味着面临当时无法回答的问题。 例如,如何组织点之间的无缝客户端切换? 如何应对相互干扰? 如何对点的管理进行简化和流程化,例如禁止/权限同时申请、监控等。 因此,更容易遵循以下原则:设备越少越好。

与此同时,位于天花板下方的接入点以圆形(更准确地说是圆形)图表进行广播。

然而,建筑物的形状不太适合圆形信号传播图。 因此,有的地方信号几乎达不到,需要放大,有的地方广播超出了周界,外人也能看到。

无线和有线网络保护的特点。 第 2 部分 - 间接保护措施

图 1. 使用办公室中的单点进行覆盖的示例。

注意。 这是一个粗略的近似值,没有考虑传播障碍以及信号的方向性。 实际上,不同点模型的图表形状可能不同。

使用更多接入点可以改善这种情况。

首先,这将使传输设备能够更有效地分布在整个房间区域。

其次,可以降低信号电平,防止其超出办公室或其他设施的范围。 在这种情况下,为了读取无线网络流量,您需要几乎接近边界,甚至进入其限制。 攻击者以大致相同的方式闯入内部有线网络。

无线和有线网络保护的特点。 第 2 部分 - 间接保护措施

图 2:增加接入点数量可以实现更好的覆盖范围分布。

让我们再看一下这两张照片。 第一个清楚地显示了无线网络的主要漏洞之一——信号可以在适当的距离处被捕获。

在第二张图中,情况并没有那么先进。 接入点越多,覆盖区域越有效,同时信号功率几乎不会延伸到周界之外,粗略地说,超出办公室、办公室、大楼和其他可能物体的边界。

攻击者必须以某种方式在不被注意的情况下偷偷靠近,才能拦截“来自街道”或“来自走廊”等的相对较弱的信号。 为此,您需要靠近办公楼,例如站在窗户下。 或者尝试进入办公楼本身。 无论如何,这都会增加被视频监控捕获并被保安发现的风险。 这显着缩短了攻击的时间间隔。 这很难被称为“黑客攻击的理想条件”。

当然,还存在一个“原罪”:无线网络在可访问范围内广播,所有客户端都可以拦截。 事实上,WiFi 网络可以比作以太网集线器,信号同时传输到所有端口。 为了避免这种情况,理想情况下,每对设备都应该在自己的频道上进行通信,其他人不应干扰该频道。

以下是主要问题的总结。 让我们考虑一下解决这些问题的方法。

补救措施:直接和间接

正如上一篇文章中已经提到的,任何情况下都无法实现完美的保护。 但是您可以使攻击变得尽可能困难,从而使结果相对于所付出的努力来说无利可图。

通常,防护装备可分为两大类:

  • 直接流量保护技术,例如加密或MAC过滤;
  • 最初用于其他目的的技术,例如提高速度,但同时间接使攻击者的生活变得更加困难。

第一组已在第一部分中描述。 但我们的武器库中还有其他间接措施。 如上所述,增加接入点的数量可以降低信号强度并使覆盖区域均匀,这使攻击者的处境更加困难。

另一个需要注意的是,提高数据传输速度可以更轻松地应用额外的安全措施。 例如,您可以在每台笔记本电脑上安装 VPN 客户端,甚至可以通过加密通道在本地网络内传输数据。 这将需要一些资源,包括硬件,但保护级别将显着提高。

下面我们提供了可以提高网络性能并间接提高保护程度的技术的描述。

改善保护的间接方法 - 有什么帮助?

客户指导

客户端引导功能会提示客户端设备首先使用 5GHz 频段。 如果客户无法使用此选项,他仍然可以使用 2.4 GHz。 对于接入点数量较少的传统网络,大部分工作是在 2.4 GHz 频段完成的。 对于 5 GHz 频率范围,单个接入点方案在许多情况下是不可接受的。 事实是,频率较高的信号穿过墙壁时,在障碍物周围的弯曲情况会更差。 通常的建议:为了确保 5GHz 频段的通信有保障,最好在接入点的视线范围内工作。

在现代标准 802.11ac 和 802.11ax 中,由于通道数量较多,可以在较近的距离安装多个接入点,这使您可以降低功耗,而不会损失甚至获得数据传输速度。 因此,5GHz 频段的使用使攻击者的日子变得更加困难,但提高了可达范围内的客户端的通信质量。

该函数的介绍如下:

  • 在 Nebula 和 NebulaFlex 接入点;
  • 在具有控制器功能的防火墙中。

自动修复

如上所述,房间周边的轮廓与接入点的圆形图不太吻合。

要解决这个问题,首先需要使用最优数量的接入点,其次要减少相互影响。 但如果您只是手动降低发射器的功率,这种直接干扰可能会导致通信质量恶化。 如果一个或多个接入点发生故障,这一点将尤其明显。

自动修复功能可让您快速调整功率,而不会损失可靠性和数据传输速度。

使用此功能时,控制器会检查接入点的状态和功能。 如果其中一个不起作用,则指示邻近的信号增加信号强度以填补“白点”。 一旦接入点再次启动并运行,就会指示相邻点降低信号强度以减少相互干扰。

无缝 WiFi 漫游

乍一看,这项技术很难说是提高了安全级别;相反,它使客户端(包括攻击者)更容易在同一网络上的接入点之间进行切换。 但如果使用两个或多个接入点,则需要确保操作方便,不会出现不必要的问题。 此外,如果接入点过载,它对加密等安全功能的处理能力就会变差,数据交换会出现延迟,并且会发生其他令人不快的事情。 对此,无缝漫游对于灵活分配负载、保证保护模式下的不间断运行有很大帮助。

配置连接和断开无线客户端的信号强度阈值(信号阈值或信号强度范围)

当使用单个接入点时,该功能原则上并不重要。 但只要控制器控制的多个点正在运行,就可以组织客户端在不同 AP 之间的移动分布。 值得一提的是,Zyxel 的许多路由器系列都提供接入点控制器功能:ATP、USG、USG FLEX、VPN、ZyWALL。

上述设备具有断开连接到信号较弱的 SSID 的客户端的功能。 “弱”意味着信号低于控制器上设置的阈值。 客户端断开连接后,将发送探测请求以寻找另一个接入点。

例如,客户端连接到信号低于-65dBm的接入点,如果站点断开阈值是-60dBm,在这种情况下,接入点将断开具有该信号电平的客户端。 客户端现在开始重新连接过程,并且已经连接到信号大于或等于-60dBm(站点信号阈值)的另一个接入点。

当使用多个接入点时,这一点很重要。 这可以防止出现大多数客户端聚集在一个点而其他接入点空闲的情况。

此外,您可以限制信号较弱的客户端的连接,这些客户端很可能位于房间周边之外,例如邻近办公室的墙后面,这也使我们可以将此功能视为一种间接方法的保护。

改用 WiFi 6 作为提高安全性的方法之一

我们已经在上一篇文章中讨论过直接补救措施的优点。 “保护无线和有线网络的功能。 第 1 部分 - 直接保护措施”.

WiFi 6 网络提供更快的数据传输速度。 一方面,新的标准组允许您提高速度,另一方面,您可以在同一区域放置更多的接入点。 新标准允许使用更少的功率以更高的速度进行传输。

提高数据传输速度.

向 WiFi 6 的过渡涉及将交换速度提高到 11Gb/s(调制类型 1024-QAM,160 MHz 通道)。 同时,支持WiFi 6的新设备拥有更好的性能。 实施额外安全措施(例如为每个用户提供 VPN 通道)时的主要问题之一是速度下降。 借助 WiFi 6,可以更轻松地实施额外的安全系统。

BSS着色

我们之前写过,更均匀的覆盖范围可以减少 WiFi 信号对周边的渗透。 但随着接入点数量的进一步增长,即使使用自动修复也可能还不够,因为来自相邻点的“外部”流量仍会渗透到接收区域。

使用 BSS 着色时,接入点会在其数据包上留下特殊标记(颜色)。 这使您可以忽略邻近传输设备(接入点)的影响。

改进的 MU-MIMO

802.11ax 还对 MU-MIMO(多用户 - 多输入多输出)技术进行了重要改进。 MU-MIMO 允许接入点同时与多个设备通信。 但在之前的标准中,该技术只能支持同一频率上的四个客户端组。 这使得传输变得更容易,但接收却变得更容易。 WiFi 6使用8x8多用户MIMO进行传输和接收。

注。 802.11ax 增加了下游 MU-MIMO 组的规模,提供更高效的 WiFi 网络性能。 多用户 MIMO 上行链路是 802.11ax 的新增功能。

OFDMA(正交频分多址)

这种新的信道接入和控制方法是基于已经在 LTE 蜂窝技术中得到验证的技术而开发的。

OFDMA 通过为每次传输分配时间间隔并应用频分,允许在同一线路或信道上同时发送多个信号。 因此,不仅由于更好地利用了通道而提高了速度,而且还提高了安全性。

总结

WiFi 网络每年都变得更加安全。 现代技术的使用使我们能够组织可接受的保护级别。

流量加密形式的直接保护方法已被证明非常有效。 不要忘记其他措施:按 MAC 过滤、隐藏网络 ID、恶意 AP 检测(恶意 AP 遏制)。

但也有一些间接措施可以改善无线设备的联合操作并提高数据交换的速度。

新技术的使用使得可以从点处​​降低信号水平,使覆盖范围更加均匀,这对整个无线网络的健康状况,包括安全性,都有很好的影响。

常识告诉我们,所有的方法都有利于提高安全性:直接的和间接的。 这种组合可以让攻击者的日子变得尽可能艰难。

相关链接:

  1. Telegram 聊天合勤
  2. 合勤科技设备论坛
  3. Zyxel 频道 (Youtube) 上有很多有用的视频
  4. 无线和有线网络保护的特点。 第 1 部分 - 直接保护措施
  5. Wi-Fi 或双绞线 - 哪个更好?
  6. 同步 Wi-Fi 热点以进行协作
  7. Wi-Fi 6:普通用户是否需要新的无线标准?如果需要,为什么?
  8. WiFi 6 MU-MIMO 和 OFDMA:您未来成功的两大支柱
  9. WiFi 的未来
  10. 使用多千兆位交换机作为妥协的哲学
  11. 二合一,或将接入点控制器迁移到网关
  12. WiFi 6 已经到来:市场提供什么以及我们为什么需要这项技术
  13. 提高 Wi-Fi 性能。 一般原则和有用的东西
  14. 提高 Wi-Fi 性能。 第二部分 设备特点
  15. 提高 Wi-Fi 性能。 第 3 部分:接入点的放置
  16. 同步 Wi-Fi 热点以进行协作
  17. 您的 5 美分:今天和明天的 Wi-Fi

来源: habr.com

添加评论