Выбор видов обследований также как и при инвентаризации, зависит от целей и предмета аудита. Но среди общих факторов, влияющих на качество аудита, можно назвать использование профессионального оборудования для обследования и комплексность проверок, учитывающих совокупность факторов, влияющих на качество работы беспроводной сети.
В своей работе мы используем профессиональный анализатор Ekahau Sidekick в комплекте с программным обеспечением Ekahau Pro. Это устройство используется нами для обследования, проверки, оптимизации и поиска неисправностей сетей Wi-Fi. двумя встроенными Wi-Fi радиомодулями и профессиональным двухдиапазонным анализатором спектра 2.4 и 5 ГГц. Устройство поддерживает все существующие стандарты Wi-Fi, в том числе 802.11ax, Wi-Fi 6. Анализатор в совокупности с программным обеспечением помогает построить виртуальную 3D модель помещений, учитывать материал стен и комбинировать несколько вариантов тестирования: пассивные и активные обследования, оценка пропускной способности и анализ спектра.
Рис 2. Ekahau Sidekick - Тестер для комплектного анализа Wi-Fi и спектра
Сканирование фактических устройств в сети. На этом этапе идентифицируются точки доступа (свои и чужие), используемые каналы и диапазоны частот, клиентские устройства в сети заказчика. Подобный анализ целесообразно проводить несколько раз в рабочее время. Фактические данные сверяются с данными, полученными от компании на этапе инвентаризации.
Замеры мощности сигнала в помещениях заказчика: Во время аудита проводятся замеры силы сигнала в основных точках исследуемого помещения. Для изменения силы сигнала используется “показатель уровня принимаемого сигнала”(RSSI - received signal strength indicator). Показатель измеряется анализатором по логарифмической шкале в дБм (dBm, децибел относительно 1 милливатта). При этом меньшее абсолютное значение сигнала соответствует его большей силе.
При анализе можно ориентироваться на следующие значения:
Ø Отличные показатели: от -35 до -50 дБм
Ø Нормальные показатели: от -50 до -67 дБм*
Ø Допустимые показатели: от -67 до -75 дБм
Ø Некачественные показатели: от -75 до -85 дБм
Ø Недопустимые значения: от -85 до -100 дБм
* Компания Cisco рекомендует минимальный уровень силы сигнала “голосовых” в сети W-Fi – 67 дБм. (см. Cisco Enterprise Mobility 8.5 Design Guide)
При полевом анализе Wi-Fi сети проводятся измерения уровня сигнала. Замеры производятся в двух частотных диапазонах(2.4 и 5 ГГц), а иногда и в большем количестве, в том случае если заказчик использует диапазоны для IoT и IIoT. Замеры производятся как минимум три раза в течение рабочего дня компании. После обследования информация размещается на “тепловой’ карте помещений заказчика в ручном или автоматическом режиме. Подобная карта предоставляет хороший материал для анализа текущего состояния сети.
Рис.3 Анализ мощности сигнала в диапазоне 2,4 ГГц (Ekahau Network Report)
Но, к сожалению, уровень сигнала не может учесть все факторы, влияющие на качество работы Wi-Fi сети. Например, в бизнес-центе, в котором компания арендует помещение, размещается множество других компаний со своими беспроводными сетями и клиентскими устройствами или в собственном помещении установлено слишком много точек беспроводного доступа. В итоге, очень высока вероятность ухудшение качества работы сети по причине высокой межканальной интерференции и множественных событий роуминга клиентского оборудования.
Аудит качества сигнала. На этом этапе необходимо провести анализ влияния “своих” и “чужих” источников радиоизлучений на качество связи. При этом надо обращать внимание не только на “дублирование” каналов, но и на другие факторы. Например, коллеги приезжающие из-за рубежа не могут использовать некоторые каналы, разрешенные в нашей стране. Это необходимо учитывать при настройке “гостевых” точек доступа. В рабочей зоне сети Wi-Fi присутствует большое количество радиоизлучающих устройств. Это мобильные устройства сотрудников, подключенные к корпоративной сети Wi-Fi, это и мобильные устройства сотрудников, не подключенных к сети, точки доступа и мобильные устройства других компаний, находящихся в зоне радиовидимости. Все эти устройства “шумят” и могут значительно влиять на качество работы сети.
Для определения уровня качества работы сети используется оценка уровня показателя “ сигнал-шум ” (Signal-Noise-Raito, SNR). Этот показатель показывает уровень превышения сигнала точки доступа “родной сети” над шумами и помехами(интерференция), создаваемыми другими своими точками доступа, чужими точками доступа, “своими” и “чужими” клиентскими устройствами. Нормальным показателем считается уровень от -20-25 dB и выше. С помощью анализатора собираются данных со всех точек помещений по двум диапазонам. На основании этих данных строится “тепловая” карта «загрязненности» эфира. С ее помощью определяются проблемные точки.
В первую очередь исследуется “загрязненность” диапазона 2,4 ГГц. В следствии исторических факторов этот диапазон используется больше всего.
Далее анализируются возможности по использованию 5ГГц. Сегодня этот диапазон менее нагружен, он обеспечивает более высокую скорость передачи данных, имеет больше доступных каналов (17 рабочих каналов против 13 в диапазоне 2,4 ГГц). При этом, надо помнить, что диапазон 5ГГц обеспечивает меньшую площадь покрытия и он очень чувствителен к планировке помещений и материалам стен и дверей. Так дверь из цельной древесины в диапазоне 5 ГГц снижает уровень сигнала примерно в полтора раза сильнее, чем в диапазоне 2,4 ГГц. Другим не маловажным фактором является то, что не все устройства могут поддерживать этот диапазон частот.
Таким образом, решение об использовании диапазона 5ГГц должно быть подкреплено качественным аудитом и инвентаризацией используемого оборудования.
Рис.4 Анализ качества сигнала на основе показателя “сигнал-шум” (Signal-Noise-Raito, SNR) в диапазоне 5 ГГц (Ekahau Network Report).
Анализ скорости передачи данных: Для этой проверки производятся замеры скорости передачи данных “от” и “к” мобильного устройства. Проверка производится на диапазонах 2.4 ГГц и 5 ГГц. На основании полученных данных строится тепловая карта. Этот анализ позволяет выявить фактическую “картину” проблемных зон.
Рис 5. Анализ скорости передачи данных (Ekahau Network Report)
На рис. 5 приведен анализ скорости передачи данных (data rate) - это максимально возможная скорость (измеряемая в мегабитах в секунду), с которой беспроводные устройства будут передавать данные. Обычно реальная пропускная способность составляет примерно половину скорости передачи данных или меньше.
Аудит роуминга мобильного клиента в сети Wi-Fi: В современных условиях ведения бизнеса сотрудники постоянно перемещаются по рабочему пространству. И будь это офисное помещение, склад или цех завода Wi-Fi соединения не должны прерываться, качество связи не менять свои характеристики. Подключенное к сети Wi-Fi клиентское устройство будет поддерживать соединение, если параметры сигнала от точки доступа будут оставаться на необходимом уровне. При перемещении пользователя по офису вместе с мобильным устройством сигнал от точки подключения будет ослабевать. При потере сигнала устройство произведет поиск новой точки доступа и автоматически подключится к ней. При этом, если не используются специальные технологии роуминга, все установленные подключения будут сброшены. Этот процесс в специальной литературе называется “handover” («передавать, отдавать, уступать»). Если используются только браузеры и мессенджеры, то ничего страшного не произойдет, программы сами восстановят соединения. Но если сотрудники будут использовать голосовую или видео связь разрыв связи может составить 50-150 мс. А это ощутимо. Кроме этого на мобильных устройствах может использоваться программное обеспечение чувствительное к разрыву связи и изменению IP адреса. Для минимизации последствий подобных подключений может потребоваться внесение изменений в опорную проводную инфраструктуру. Главным образом это необходимо сделать для сохранения IP адреса клиент при переключении.
На этапе аудита определяется текущая ситуация с задержками при переключении, анализируются технологии, используемые для его организации. При выявлении значительных задержек в процессе handover мобильного клиента формируются рекомендации по их минимизации на основе стандартов 802.11k, 802.11r и 802.11v.
Аудит использования мультидиапазонных режимов доступа: Большинство современных точек доступа позволяют использовать несколько частотных диапазонов для подключения клиентов. Использование переключения между диапазонами обеспечивает повышение эффективности работы беспроводной сети. Технология позволяющая переключать клиента с одного диапазона на другой в автоматическом режиме называется “band steering”. Она используется для повышения эффективности связи и балансировки нагрузки.
На этапе аудита определяются текущие настройки и при необходимости формализуются рекомендации по настройке параметров “band steering”.
Оценка уровня информационной безопасности сети Wi-Fi: Аудит информационной безопасности сети Wi-Fi нецелесообразно проводить отдельно от аудита безопасности всей информационной системы заказчика. Качество оценки очень сильно зависит уровня комплексности анализа информационной безопасности всей ИТ инфраструктуры аудируемой компании в целом.
На этапе аудита сети Wi-Fi, по просьбе заказчика, мы проводим оценку рисков ИБ связанных с эксплуатацией сети и готовим рекомендации по устранению недостатков, связанных с локальными вопросами функционирования сети Wi-Fi. Обычно мы проводим оценку рисков на основании собственной экспертной методологии, но по запросу заказчика будем рады провести эти работы на основании формальных методологий и стандартов (ISACA’s Risk IT Framework, NIST’s Risk Management Framework (RMF), ISO 27005, РС БР ИББС-2.2, методика определения угроз безопасности информации ФСТЭК).
В отличии от традиционной проводной сети, в которой используются кабели для передачи информации, беспроводные сети используют “неконтролируемую” среду для передачи данных. Кабель контролируется самой средой, в которой он расположен. Для получения доступа к кабельной инфраструктуре злоумышленнику необходимо обойти физическую защиту здания либо межсетевой экран. Беспроводные сети используют радиоволны для передачи данных. Радиоэфир очень трудно контролировать на физическом уровне, поэтому для обеспечения информационной безопасности сетей Wi-Fi используются специальные подходы в технических реализациях, отличные от используемых в кабельной инфраструктуре.
Список конкретные операций по анализу уровня защищенности сети Wi-Fi в первую очередь зависит от поставленной заказчиком задачи и оценки рисков. Чаще всего мы обращаем внимание на следующие факторы:
1. Аутентификацию пользователей корпоративного сегмента сети Wi-Fi. Мы рекомендуем использовать аутентификацию с динамическим ключом (используется сервер RADIUS) для средних предприятий;
2. Тип шифрования, используемый клиентскими системами;
3. Топология и характеристики сети Wi-Fi;
4. Внешнее радиоэфирное окружение;
5. Средства конфигурирования и управления сетью Wi-Fi;
6. Наличие и настройки политик доступа клиентских систем;
7. Наличие в сети IoT устройств;
8. Использование межсетевого экрана в сети Wi-Fi;
Заключение:
С первого взгляда может показаться, что сети Wi-Fi это совсем не сложная технология. И это будет правдой, если Вам необходимо установить 1-2 точки доступа в небольшом офисе на 5-6 сотрудников. Но если количество точек доступа значительно увеличивается и появляются специфические требования к сети, в этот момент возникают различные вопросы к архитектуре сети, выбору устройств, управлению и пр.
Ø Как правильно спроектировать питание точек доступа на базе технологий PoE, PoE+ или Cisco UPoE?
Ø Когда имеет смысл использовать выделенный виртуальный контроллер (например Cisco Catalyst 9800-CL), физический выделенный контроллер (например Cisco Catalyst 9800-L), когда возможно использовать (и в каких сочетаниях) встроенный в саму точку доступа контроллер беспроводной сети (например Embedded Wireless Controller в точка доступа серии Cisco Catalyst 9100)?
Ø В каком случае возможно обойтись недорогими решениями (Cisco Business - CBW240AC или CBW145AC, Ubiquiti UniFi 6, RUCKUS R310), а когда необходимы более серьезные системы (например серии Cisco Catalyst 9100)?
Ø Какие точки доступа выбрать для поддержки промышленного интернета вещей (IIoT)?
Ø И многие другие вопросы.
Для подготовки ответов на эти вопросы необходимо познакомиться не только с текущим состоянием ИТ инфраструктуры заказчика и понять требования, предъявляемые к сети, но и познакомиться с бизнес-процессами на предприятии. Поэтому, для решения этих и других вопросов необходимо выбрать компетентных специалистов в области аудита и проектирования беспроводных сетей. Цена ошибки может быть очень высокой.
Мы будем рады сотрудничеству с Вами.