Kablosuz Ağ- Wireless Network
Bu bölümümüzde sizlere şifreleme ve kimlik doğrulama, coğrafi konum, ağ planlaması, güç kullanımı, istemci yük dengeleme, yerel köprüleme, SSID’ler ve statik IP’lerin kullanımına ilişkin kablosuz ağ (wireless network)yapılandırmalarınız için fortinet best practise en iyi önerilerimizi paylaşacağız.
Kablosuz Ağ- Şifreleme ve Kimlik Doğrulama
Her zaman istemcinizin desteklediği en güçlü kullanıcı kimlik doğrulamasını ve şifreleme yöntemini etkinleştirmeniz en iyi uygulama olacaktır. Fortinet best practise olarak, güvenliğiniz için en güçlüden en zayıfa doğru aşağıdakileri tavsiye eder:
- WPA2 – Enterprise 802.1x/EAP – Kişisel önceden paylaşılan anahtar (8-63 karakter)
- WPA – Enterprise 802.1x/EAP – Kişisel önceden paylaşılan anahtar (8-63 karakter)
- WEP128 – 26 Onaltılık (hexadecimal) basamak anahtarı
- WEP64 – 10 Onaltılık (hexadecimal) basamak anahtarı
- Yok – Açık (open) sistem
Kablosuz Ağ- Coğrafi konum
FortiGate kablosuz kontrol cihazının coğrafi konumunuza göre yapılandırıldığından emin olmalısınız. Böylece, mevcut radyo kanalları ve radyo gücü bölgenizdeki yönetmeliğe uygun olacaktır.
Wi-Fi ağları için izin verilen maksimum verici gücü ve izin verilen radyo kanalları, ağın bulunduğu bölgeye bağlıdır. WiFi controller, varsayılan olarak Amerika Birleşik Devletleri için yapılandırılmıştır. Eğer başka bir bölgedeyseniz, kablosuz ağ yapılandırmanızı yapmaya başlamadan önce konumunuzu kendi bölgenize göre ayarlamalısınız.
Konum ayarı yalnızca CLI’den değiştirilebilir. Örneğin; ülkeyi Türkiye olarak değiştirmek için aşağıdakini girin:
Ülke kodlarının listesini görmek istediğinizde ülke kodu yerine soru işareti (‘?’) girin.
- Coğrafi konumu yanlış kullanmak, istemci tarafında beklenmeyen sorunlara yol açan çok yaygın bir hatadır.
Ağ planlaması
Kablosuz erişim noktasını konumlandırmanızdan önce uygun bir site araştırması yapmanızı öneririz. Kapsama alanı ortamını değerlendirmek için aşağıdaki kriterler dikkate alınmalıdır:
- Kapsama alanı boyutu
- bant genişliği gerekli
- İstemci kablosuz özellikleri
Bir RF saha araştırması yapıldıktan sonra, kullanıcılara yeterli kapsama alanı ve performans sağlamak için gereken erişim noktalarının sayısı ve konumu hakkında fikriniz olacaktır.
Bununla birlikte, erişim noktalarını kurmadan önce kullanmayı planladığınız RF kanalını belirlemeyi unutmayın. Böylece kullanıcılar tesis genelinde azımsanmayacak bir performansla dolaşabilmesi sağlanır.
Ortak kanal parazitini önlemek için bitişik Wi-Fi AP’ler, çakışmayan (non-overlapping) kanalları kullanacak şekilde yapılandırılmalıdır. Diğer türlü erişim noktaları arasındaki parazit yüzünden zayıf performansın daha da düştüğünü göreceksiniz.
Her AP (veya AP grubu) başına bir Özel AP profili kullanarak her erişim noktasında çakışmayan kanalları statik olarak yapılandırmanız önerilir. Statik yapılandırma kullanılamıyorsa, FortiOS Wi-Fi Denetleyici, Otomatik Radyo Kaynak Sağlama (ARRP) özelliğini içermektedir.
FortiAP’de RF parazitini azaltmak için güç seviyesini düşürme
Gücü azaltmanız, istenmeyen kapsama alanını ve diğer WLAN’lara olası paraziti azaltacaktır. Çünkü istenmeyen kapsama alanları potansiyel bir güvenlik riskidir. Bu yüzden, kablosuz ağ erişim noktanızın verici gücünü azaltarak, sinyal ihtiyaç duyulan alanların ötesinde kullanılmasını engellemiş olursunuz. İletim gücünü otomatik olarak ayarlamak için Otomatik Tx Güç Kontrolü etkinleştirin.
FortiAP üzerinden yavaş wireless trafikten şikayet etmeye başlandığında, RF paraziti olasılığını düşünerek gücü azaltmaya çalışmak gerekebilir. Best practice önerilerimiz olarak:
- FortiAP’lerinizi çelik kirişlerin veya diğer engelleyici malzemelerin yakınına yerleştirmekten kaçınmalısınız.
- Kablosuz paketleri toplamak için bir kablosuz sniffer aracı kullanmayı deneyebilirsiniz.
- Bu işlemlerin ardından hava girişiminin boyutunu analiz edebilirsiniz.
FortiAP’leri 5Ghz radyo frekansına göre ayırmak en çok yapılan hatalardan biridir. Aslında 2.4Ghz sinyali daha hızlıdır.
FortiAP üzerinden yavaş wireless trafikle karşılaştığınızda iki çözümünüz vardır:
1. İletim gücünün azaltılması
- Hız testi yapın ve çıkan sonuçları kaydedin.
- FortiAP’deki telsizlerden birini özel izleme modunda olacak şekilde ayarlayın.
- Ardından kaç AP’nin algılandığını gözlemleyin. AP’lerin sayısı çok yüksekse (>20), özel AP’lerin sayısı ciddi ölçüde düşene kadar FortiAP’lerin WTP profilindeki iletim gücünü azaltmayı deneyebilirsiniz.
- Hız testini tekrarlayın.
2. VAP’lerin mevcut kanallara dağıtılmasını sağlama
RF parazitini doğrudan ölçmek için içinde hazır araçlar bulunmamaktadır. Şu var ki, FortiOS 5.0, RF paraziti oluşumunu en aza indirmesi gereken otomatik güç ayarına izin verir.
Wireless istemci yük dengeleme
Wireless yük dengeleme, kablosuz ağınızın wireless trafiğini kablosuz erişim noktaları ve kullanılabilir frekans bantları arasında daha verimli bir şekilde dağıtır. FortiGate wireless controller’ın deteklediği istemci yük dengeleme türleri aşağıdadır:
- Erişim Noktası Aktarımı (Access point Hand-off): Wireless controller, istemciye başka bir erişim noktasına geçmesi için sinyal gönderir.
- Frekans Aktarımı (Frequency Hand-off): Wireless controller, 2,4 GHz ve 5 GHz bantlarının kullanımını izler ve gerektiğinde istemcilere daha az kullanılan frekansa geçmeleri için sinyal verir.
Yerel köprüleme (Local bridging)
CAPWAP tünelini boşaltmak için yerel köprülemeyi kullanın. Ancak böyle bir durumda, unutmayın ki Wi-Fi istemci cihazları, LAN üzerindeki kablolu cihazlarla aynı DHCP sunucusundan IP adreslerini almaktadır. Vlan kimliği yalnızca CLI’den yapılandırılabilir:
Reklam SSID’leri
- SSID’nin reklamını yapmanız müşteriler ve wireless istemcilere daha kolay hale getirir. Ayrıca, SSID’yi ‘gizlerseniz’ (“network cloaking” olarak bilinmektedir), daha sonra istemciler bilinen SSID’yi arayan kapsama alanı dışında olduklarında, her zaman onu ararlar ve aslında SSID’yi yine de sızdırırlar. Ayrıca, son model Broadcom sürücülerinin bir çoğu WPA2 için gizli SSID’yi desteklememektedir.
- Güvenlik nedenlerinden dolayı, kablosuz istemcileriniz arasında doğrudan iletişimi engellemek isteyebilirsiniz. Böyle bir durumda, SSID yapılandırması yaparken, Block Intra-SSID Traffic’yi etkinleştiriniz.
- Çoklu wireless controller’a sahip bir ağda, her bir ağ kökünün benzersiz bir SSID’ye sahip olması için ağ SSID’sini değiştirmelisiniz. Aynı ağ kökü SSID’sini kullanan diğer denetleyiciler, sahte veya sahte AP’ler olarak algılanabilir. SSID’yi değiştirmek için WiFi & Switch Controller > SSID seçin. Ayrıca, Fortinet için varsayılanı kullanmak yerine yeni bir ön paylaşımlı anahtar oluşturmanızı öneririz.
Fortigate en iyi öneriler (fortinet best practise) serimizin on üçüncü bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yarayacaktır.
Fortinet Best Practise serimizin bir önceki bölümü olan Açık Proxy konulu yazımıza ulaşmak için tıklayabilirsiniz.