Bez kategorii

To, co sprawia, że ​​bezprzewodowa sieć lokalna (WLAN) jest tak użyteczna — czyli brak przewodów — sprawia również, że Twoja sieć WiFi jest podatna na zakłócenia. Medium radiowe, takim jest powietrze jest wspólne dla wszystkich urządzeń nadawczych i może powodować niską siłę sygnału, powolne połączenie z Internetem, powolne przesyłanie plików między urządzeniami Wi-Fi czy też problemy z połączeniem Bluetooth. Access Pointy 802.11 korzystające z tego samego kanału mogą powodować zakłócenia sieci WiFi. 

Od wideokonferencji po systemy telefoniczne VoIP, platformy w chmurze, której używasz do przechowywania i uzyskiwania dostępu do danych lub sklep e-commerce, niezawodne połączenie WiFi stało sie koniecznością.  Badanie z 2014 roku oszacowało koszt brak dostępności sieci WiFi na 5600 USD za minutę dla dużych firm i do 427 USD za minutę dla mniejszych firm. 

Czym są zakłócenia sieci Wi-Fi?

Wi-Fi wykorzystuje te same częstotliwości radiowe — 2,4 GHz dla starszych urządzeń i 5 GHz dla nowszych, dwuzakresowych Access Pointów, tak wiec Wi-Fi jest podatne na zakłócenia z innych urządzeń korzystających z tego samego zakresu częstotliwości.

• Inne sieci bezprzewodowe
• Urządzenia bezprzewodowe, takie jak głośniki, bezprzewodowe telefony Wi-Fi i kamery monitorujące
• Mikrofale, które działają w paśmie 2,4 GHz — takim samym jak wiele sieci Wi-Fi, powodują zakłócenia podczas użytkowania.
• Zewnętrzne monitory w paśmie 2,4 GHz.
• Cyfrowe anteny satelitarne.
• Lampki choinkowe i akwaria mogą wyglądać ładnie, ale mają tę samą częstotliwość co Twoja sieci Wi-Fi i powodować problemy nie tylko z sygnałem, ale także z łącznością.
• Dodatkowe problemy wynikają z podłączonych urządzeń słabo ekranowanymi kablami.

Co powoduje problemy z sygnałem sieci Wi-Fi?

Materiał użyty w Twoim budynku biurowym może blokować fale radiowe lub osłabiać sygnał poprzez zakłócenia elektromagnetyczne:

Metal to główny materiał „blokujący” sygnał. Utrudnia przenikanie sygnałów radiowych, ponieważ metal łatwo przewodzi prąd. Oznacza to, że zamiast przechodzić, fale elektromagnetyczne Wi-Fi są pochłaniane. To działanie nie ogranicza się do materiałów budowlanych, ale obejmuje takze metalowe żaluzje, drzwi, meble i ściany.

Beton jest jednym z najgrubszych materiałów budowlanych, a sygnały Wi-Fi mają trudności z ich przebiciem. Połącz to z faktem, że beton jest często zbrojony metalem, a otrzymasz idealną receptę na zakłócenia sygnału.

Szkło z pewnością nie jest tak grube jak ściany, ale nadal stanowi problem dla Twojej sieci WLAN. Okna mogą powodować zakłócenia sieci Wi-Fi, odbijając go, a okna o niskiej emisyjności z metaliczną powłoką mogą odbijać sygnał w większym stopniu niż przezroczyste okno. To samo dotyczy przyciemnianego szkła. 

Ściany i sufity z gipsu w budownictwie komercyjnym wykorzystuje metalowe listwy konstrukcyjne. Metal w połączeniu z typową ścianą gipsową o grubości 16 cm, zmniejszyć synał WiFi o 3 dB,

Wszystko, co utrudnia swobodny przepływ sygnałów radiowych, może zakłócać połączenie Wi-Fi. Jednak płyta gipsowo-kartonowa, najczęściej używany obecnie materiał do budowy wnętrz, ma najmniejszy wpływ na sygnał sieci bezprzewodowej. 

Rozwiązania WLAN maksymalizujące jakosć sieci WiFi

Wi-Fi nadaje i odbiera w nielicencjonowanych pasmach częstotliwości radiowych, które są bezpłatne do użytku publicznego. Oznacza to również, że jest dużo współdzielenia w pasmach 2,4 GHz i 5 GHz a lekarstwem na zakłócenia sieci Wi-Fi jest usunięcie źródła . Dlatego monitorowanie sieci bezprzewodowej jest tak ważne.

Gdy występują problemy z Wi-Fi, szybkie działanie ma kluczowe znaczenie. Potrzebujesz przejrzystego wglądu w stan i siłę swojej sieci Wi-Fi przez cały czas. Oznacza to wdrożenie platformy, która mierzy łączność z perspektywy urządzenia a nie samego Access Pointa. 

Dzięki monitorowaniu możesz rozwiązać problemy z połączeniem, zanim jakikolwiek użytkownik je zauważy. Dzięki odpowiedniemu rozwiązaniu do monitorowania sieci WLAN uzyskasz pełny obraz z wglądem w zasięg, przeciążenie, zakłócenia i nie tylko. 

Bezprzewodowa platforma monitorowania 7SIGNAL zapewnia ciągłe informacje o stanie Twojej sieci Wi-Fi. Sapphire Eye® można zainstalować na urządzeniach sieciowych, aby móc rozwiązywać problemy, zanim zauważą to użytkownicy.

Ekahau to firma zajmująca się projektowaniem i zarządzaniem sieciami Wi-Fi. Oferuje ona szkolenia z zakresu projektowania, implementacji, diagnostyki i zarządzania sieciami Wi-Fi przy użyciu narzędzi Ekahau.

Na dzień dzisiejszy są to trzy rodzaje szkoleń ECSE (Ekahau Certified Survey Engineer), w tym:

1. ECSE Design – szkolenie skupiające się na projektowaniu sieci Wi-Fi przy użyciu narzędzi Ekahau, zawierające zarówno teoretyczne jak i praktyczne aspekty projektowania.
2. ECSE Advanced – zaawansowane szkolenie projektowe, przeznaczone dla doświadczonych projektantów sieci Wi-Fi, którzy chcą poszerzyć swoje umiejętności projektowe i poznawać nowe technologie.
3. ECSE Troubleshooting – szkolenie dla specjalistów zajmujących się diagnostyką i rozwiązywaniem problemów z siecią Wi-Fi, w którym skupia się na metodach i narzędziach diagnostycznych, a także na rozwiązywaniu problemów związanych z infrastrukturą sieciową.

ECSE Design

ECSE Design to zaawansowane szkolenie projektowe dla profesjonalistów zajmujących się projektowaniem sieci Wi-Fi, którzy chcą poszerzyć swoje umiejętności i nauczyć się projektować sieci Wi-Fi przy użyciu narzędzi Ekahau. Szkolenie ma na celu zapewnić uczestnikom wiedzę i umiejętności, które są niezbędne do zaprojektowania wydajnej, stabilnej i skalowalnej sieci Wi-Fi, a także do optymalizacji istniejącej infrastruktury Wi-Fi.

Szkolenie ECSE Design składa się z teoretycznej części oraz praktycznych ćwiczeń, w których uczestnicy korzystają z narzędzi Ekahau, takich jak Ekahau Site Survey (ESS) i Ekahau Sidekick. Podczas szkolenia uczestnicy poznają między innymi takie tematy jak:

• Zasady projektowania sieci Wi-Fi
• Charakterystyki sygnału Wi-Fi i sposoby pomiaru siły sygnału
• Analiza interferencji i szumów
• Projektowanie sieci Wi-Fi dla różnych typów budynków i środowisk
• Projektowanie sieci Wi-Fi z uwzględnieniem urządzeń mobilnych
• Optymalizacja i diagnostyka istniejącej infrastruktury Wi-Fi

Po ukończeniu szkolenia uczestnicy zdobywają certyfikat potwierdzający ich umiejętności projektowania sieci Wi-Fi przy użyciu narzędzi Ekahau.

ECSE Design to szkolenie skierowane do osób posiadających już pewną wiedzę i doświadczenie w projektowaniu sieci Wi-Fi. Ekahau zaleca, aby uczestnicy mieli już podstawową wiedzę z zakresu sieci Wi-Fi oraz doświadczenie w pracy z narzędziami projektowymi.

ECSE Advanced

ECSE Advanced to zaawansowane szkolenie projektowe dla doświadczonych projektantów sieci Wi-Fi, którzy chcą poszerzyć swoje umiejętności i poznać najnowsze technologie oraz zaawansowane techniki projektowania sieci Wi-Fi. Szkolenie ma na celu przygotowanie uczestników do projektowania i wdrażania zaawansowanych sieci Wi-Fi, które spełnią wymagania różnych środowisk i scenariuszy, takich jak hotele, stadiony, centra handlowe, czy szpitale.

Szkolenie ECSE Advanced składa się z teoretycznej części oraz praktycznych ćwiczeń, w których uczestnicy korzystają z narzędzi Ekahau, takich jak Ekahau Site Survey (ESS) i Ekahau Sidekick. Podczas szkolenia uczestnicy poznają między innymi takie tematy jak:

• Projektowanie zaawansowanych sieci Wi-Fi z wykorzystaniem różnych technologii i standardów, takich jak 802.11ac, 802.11ax, czy MU-MIMO
• Projektowanie sieci Wi-Fi dla dużych i złożonych środowisk, takich jak hotele, lotniska, szpitale i stadiony
• Projektowanie i optymalizacja sieci Wi-Fi dla różnych rodzajów aplikacji, takich jak wideo, głos i dane
• Analiza i diagnostyka problemów związanych z wydajnością sieci Wi-Fi
• Integracja sieci Wi-Fi z innymi systemami, takimi jak systemy bezpieczeństwa i systemy zarządzania budynkiem
• Konfiguracja i wdrażanie zaawansowanych funkcji i rozwiązań sieci Wi-Fi, takich jak QoS, VLAN, RRM i inne

Po ukończeniu szkolenia uczestnicy zdobywają certyfikat potwierdzający ich umiejętności projektowania zaawansowanych sieci Wi-Fi przy użyciu narzędzi Ekahau.

ECSE Advanced to szkolenie skierowane do osób posiadających już zaawansowaną wiedzę i doświadczenie w projektowaniu sieci Wi-Fi oraz znajomość narzędzi Ekahau. Ekahau zaleca, aby uczestnicy mieli już ukończone szkolenie ECSE Design oraz mieli co najmniej roczne doświadczenie w projektowaniu sieci Wi-Fi.

ECSE Troubleshooting

ECSE Troubleshooting to zaawansowane szkolenie, które ma na celu przygotowanie uczestników do diagnozowania i rozwiązywania problemów związanych z sieciami Wi-Fi. Szkolenie skierowane jest do doświadczonych inżynierów i administratorów sieci Wi-Fi, którzy chcą poszerzyć swoją wiedzę i umiejętności w zakresie diagnozowania problemów z sieciami Wi-Fi.

Szkolenie ECSE Troubleshooting składa się z teoretycznej części oraz praktycznych ćwiczeń, w których uczestnicy korzystają z narzędzi Ekahau, takich jak Ekahau Site Survey (ESS) i Ekahau Sidekick. Podczas szkolenia uczestnicy poznają między innymi takie tematy jak:

• Zasady projektowania sieci Wi-Fi i ich wpływ na diagnostykę i rozwiązywanie problemów
• Techniki diagnozowania problemów związanych z sieciami Wi-Fi, takie jak analiza interferencji, analiza pokrycia, analiza wydajności, itp.
• Narzędzia do diagnostyki i rozwiązywania problemów związanych z sieciami Wi-Fi, takie jak analizator widma, narzędzia do monitorowania i diagnozowania, itp.
• Diagnostyka i rozwiązywanie problemów związanych z konkretnymi aplikacjami, takimi jak wideo, głos i dane
• Diagnostyka i rozwiązywanie problemów związanych z konfiguracją sieci Wi-Fi, takich jak konfiguracja AP, konfiguracja klientów, konfiguracja sieci bezprzewodowej, itp.
• Diagnostyka i rozwiązywanie problemów związanych z integracją sieci Wi-Fi z innymi systemami, takimi jak systemy bezpieczeństwa i systemy zarządzania budynkiem

Po ukończeniu szkolenia uczestnicy zdobywają certyfikat potwierdzający ich umiejętności diagnozowania i rozwiązywania problemów związanych z sieciami Wi-Fi.

ECSE Troubleshooting to szkolenie skierowane do osób posiadających już zaawansowaną wiedzę i doświadczenie w pracy z sieciami Wi-Fi oraz znajomość narzędzi Ekahau. Ekahau zaleca, aby uczestnicy mieli już ukończone szkolenia ECSE Design i ECSE Advanced oraz mieli co najmniej dwuletnie doświadczenie w pracy z sieciami Wi-Fi.

Segmentacja sieci

W wielu polskich firmach VLANy (IEEE 802.1Q) są technologią, która zapewnia segmentacje sieci pozwalającą na podział sieci LAN na mniejsze części. Teoretycznie segmentacja na VLANy pozwala na odseparowanie od siebie konkretnych urządzeń lub grup użytkowników, zapewniając większe bezpieczeństwo.

W jaki sposób zapewnione jest bezpieczeństwo?

Urządzenia będące w jednej domenie bradcastowej (VLANie) mogą komunikować się miedzy sobą a transmisja miedzy tymi urządzeniami nie jest ani weryfikowana przez urządzenie nadrzędne w sieci (Router z funkcjonalnością FireWall) ani w żaden sposób monitorowania.

Natomiast urządzenia znajdujące się w tym VLANie aby komunikować się z innymi urządzeniami w sieci (pozostałe VLANy) muszą przejść przez urządzenie brzegowe (Router z funkcjonalnością FireWall, Switch z funkcjonalnością routingu, UTM itp.). Przy dobrze skonfigurowanym routingu miedzy VLANami wraz z odpowiednimi politykami na FireWall (FireWall Policy), tak wykreowania siec zapewnia podstawowy poziom bezpieczeństwa.

Gdzie jest w takim bądź razie haczyk?

Statyczne przypisywanie VLANow do portów, czyli najczęstszy błąd konfiguracyjny sieci. Posłużmy się przykładem systemu IP CCTV, który jest spotykany w większości firm, a proces instalacji i konfiguracji tych urządzeń w sieci wygląda następująco:

1. Administrator sieci tworzy VLAN dla sieci CCTV na każdym przełączniku
2. Administrator przypisuje VLANy jako nietagowane (natywne) na portach do których mają być podłączone kamery CCTV.
3. Taką listę przekazuje instalatorom CCTV
4. Instalatorzy odszukają konkretny przełącznik i konkretny port na przełączniku. Wpinają do przełącznika instalowane urządzenie.
5. Urządzenia działa

Na tym proces instalacji kamer jest skończony oraz (w większości przypadków) monitoring i weryfikacja ruchu takiego urządzenia nie jest nigdy przeprowadzana.

Niestety problemy zaczynają się w przypadku remontów, niesfornych pracowników przekładających kable, zmianach w infrastrukturze lub zmianach samych administratorów. Urządzenia zmieniają swoje miejsce podłączenia na przełączniku, generując nie tylko problem w ich utrzymaniu ale tworząc także luki bezpieczeństwa. Nagle okazuje sie, że urządzenia np. laptopy korporacyjne znajdują się nagle w tym samym VLANie co kamera CCTV.

W jaki sposób kamera CCTV może stanowić zagrożenie?

Na wstępie: Nie tylko kamera CCTV może stanowić zagrożenie dla sieci korporacyjnej, ale każde inne urządzenie IoT, których w każdej firmie a nawet domu jest coraz więcej:

• Urządzenia skanujące/drukujące
• Serwery plików NAS
• BMS (building management system)
• Smart devices – TV, Radia, Lodówki itp.

Takie urządzenia posiadają bardzo zaawansowane systemu operacyjne, które zainfekowane zachowują się w sieci bardzo agresywnie w stosunku do urządzeń korporacyjnych.

Kamera CCTV i przykład podmiany „oficjalnego oprogramowania” tych kamer opisany na stornie https://www.fireeye.com/blog/threat-research/2021/06/darkside-affiliate-supply-chain-software-compromise.html to tylko jeden z niewielu przykładów ataków Ransomware wykonanych na urządzenia IoT w ostatnim czasie. Podmiana software na urządzań IoT, które nagle stają się backdoorem do całej sieci LAN, pokazuje jak ważna jest segmentacja sieci.

Zainfekowane urządzenia IoT – jak się przed tym chronić

Dynamiczna segmentacja sieci

Nowoczesne systemy wielu producentów oraz oprogramowanie dostępne na przełącznikach i Access Pointach pozwala na dynamiczna segmentacje sieci, czyli przypisywanie konkretnych urządzeń do konkretnych profili dostępu (Access Role Profile). Profil przypisuje się nie tylko na podstawie MAC Adresu urządzenia (bardzo łatwo można podmienić) ale także za pomocą DHCP fingerprintingu – czyli parametrów dostarczanych przez każde urządzenie podłączane do sieci w wyniku wysłania żądania DHCP.

W przypadku prawidłowo wykonanej konfiguracji przełącznik wraz z system do zarządzenia urządzeniami IoT, automatycznie weryfikuje podłączenie urządzenie. Profiluje je oraz podłącza do konkretnego logicznego segmentu sieci. UWAGA: w 95% przypadków logicznym segmentem sieci będzie VLAN, ale w zależności od posiadanego przełącznika może być to usługa SPB, VxLAN, tunel GRE itp.

ACL & QoS

Oprócz prawidłowo wykonanej segmentacji potrzebny jest monitoring i analiza ruchu takich urządzeń. Możliwości jakie dają nam nowoczesne systemy (posługując się dalej przykładem kamer CCTV):

• Ustalenie wspólnej polityki dla wszystkich urządzeń CCTV. Pojedyncza kamera  ma możliwość wysyłania ruchu np. tylko UDP do rejestratora (organicznie IP adresu i/lub MAC adresu). Dodatkowo kamera nie może komunikować się z innymi urządzeniami wewnątrz danego VLANu (innymi kamerami)
• Jeśli kamera w jakiś sposób została zainfekowana ransomware i np. zaczyna skanować siec, taki ruch powinien zostać wychwycony a danej kamerze powinien zostać nadany nowy profil dostępu. Profil, który całkowicie odetnie ją od innych urządzeń lub…
• Port Ethernetowy, na którym podłączona jest zainfekowana kamera powinien zostać wyłączony lub wyłączone powinno zostać zasilanie PoE kamery

Warto zauważyć ze segmentacja sieci jest możliwa także w sieci bezprzewodowej, gdzie coraz więcej urządzeń korzystając z coraz większej wydajności i pojemności Access Pointów (zobacz) podłącza się do sieci WLAN.

Kontakt

Chcesz prawidłowo zaprojektować sieci LAN/WLAN na potrzeby mikro segmentacji? Daj nam znać –konsultację przeprowadzimy dla Ciebie bezpłatnie.