Наша почта:
В Москве:
РФ (звонок бесплатный):
Средний бизнес — это маленький вайфай
{ Менеджер продукта в компании — Линки }
Андрей Парамонов
Видео доклада
Презентация спикера
Wi-Fi: стабильность важнее маркетинговых цифр
Современный Wi-Fi — это история про завышенные ожидания. На коробках с оборудованием пишут про гигабиты и тысячи подключений, но на деле связь часто «лагает» даже при хорошем сигнале. Проблема в том, что беспроводная сеть — это не магия, а физика, работающая в общей и довольно грязной среде.
Главная цель профессионального подхода — создать сеть, которая работает предсказуемо. Это не гонка за децибелами или мегабитами, а трезвый расчет и понимание того, как данные на самом деле перемещаются по воздуху. Только системный подход позволяет построить инфраструктуру, которая не рассыплется под нагрузкой в реальном офисе.
Главная цель профессионального подхода — создать сеть, которая работает предсказуемо. Это не гонка за децибелами или мегабитами, а трезвый расчет и понимание того, как данные на самом деле перемещаются по воздуху. Только системный подход позволяет построить инфраструктуру, которая не рассыплется под нагрузкой в реальном офисе.
Почему Wi-Fi — это «общая комната»
Важно понимать базовый принцип: Wi-Fi — это полудуплексная среда. Простыми словами: в один момент времени на одной частоте может «говорить» только кто-то один. Либо точка доступа передает данные смартфону, либо смартфон отвечает ей. Если устройств в сети много, они выстраиваются в очередь.
Как это работает на практике:
Как это работает на практике:
- Очередность:Когда один клиент передает данные, все остальные (включая точку доступа) должны молчать и ждать.
- Шум:Любая помеха в эфире воспринимается устройствами как «занято», что заставляет их ждать еще дольше.
- Коллективная ответственность:Если в сети появился один медленный клиент со слабым сигналом, он будет занимать эфир дольше всех, замедляя работу современных и быстрых гаджетов.
Дорожная карта проектирования
Создание надежной беспроводной сети — это последовательный процесс. Нельзя просто купить дорогие точки и надеяться на результат. Правильный путь выглядит так:
Сбор «хотелок»:
Определение реальных задач бизнеса. Что важнее: мобильность сотрудников, работа ТСД на складе или гостевой интернет?
Анализ объекта:
Изучение материалов стен, перегородок и источников помех.
Дизайн и расчет емкости:
Определение количества точек доступа исходя из количества устройств и типа трафика.
Развертывание и аудит:
Физический монтаж и проверка покрытия на месте.
Оптимизация:
Тонкая настройка радиоэфира после того, как сеть наполнилась пользователями.
На этапе планирования важно понимать, что проектирование и настройка сети должны идти рука об руку, чтобы Wi-Fi стал органичной частью всей ИТ-инфраструктуры, а не отдельным проблемным узлом.
Правило LCMI: ориентируемся на самых слабых
В сетевом проектировании есть золотое понятие LCMI (Least Capable, Most Important) — это «самое слабое, но самое важное устройство». Это может быть старый складской терминал или специфический датчик, который не поддерживает современные стандарты, но без которого работа бизнеса просто встанет.
Почему это важно:
Почему это важно:
- Сеть всегда должна строиться под возможности этого «слабого звена», а не под новейший флагманский смартфон.
- Если ваш критически важный терминал работает только в диапазоне 2.4 ГГц, бессмысленно проектировать сеть, опираясь только на преимущества диапазона 5 ГГц.
- Характеристики антенн и мощность точек должны выбираться так, чтобы это слабое устройство чувствовало себя комфортно в любой зоне покрытия.
Маркетинг против реальности: сколько мегабит вы получите на самом деле?
Цифры на упаковках (1200, 1800, 3600 Мбит/с) — это так называемая «канальная скорость» (Data Rate). Это теоретический максимум, который возможен в вакууме без помех, стен и служебного трафика.
Полезная формула «0.75»:
Чтобы понять реальную пропускную способность (Throughput), нужно умножить цифру на коробке на 0.75. Это будет верхний «потолок» скорости для одного-единственного клиента. В реальности, с учетом зашумленности эфира и конкуренции между десятками устройств, этот коэффициент может падать до 0.5 или даже ниже.
Пример из жизни:
Если ваша точка доступа обещает 1733 Мбит/с, то в идеальном случае один современный ноутбук сможет «выкачать» около 800–900 Мбит/с. Как только к точке подключится второй активный клиент, эта скорость сразу разделится между ними. А если их будет пятьдесят — забудьте о гигабитах.
Если ваша точка доступа обещает 1733 Мбит/с, то в идеальном случае один современный ноутбук сможет «выкачать» около 800–900 Мбит/с. Как только к точке подключится второй активный клиент, эта скорость сразу разделится между ними. А если их будет пятьдесят — забудьте о гигабитах.
Пространственные потоки и технология MIMO
Скорость в Wi-Fi растет не только за счет «разгона» частоты, но и за счет увеличения количества антенн. Технология MIMO (Multiple Input Multiple Output) позволяет передавать данные несколькими потоками одновременно.
Важный нюанс:
Скорость соединения всегда определяется по самому слабому участнику. Если у вас стоит навороченная точка 4x4, а у клиента в руках смартфон 1x1, связь между ними будет идти только в один поток. Оставшиеся три антенны точки будут либо «отдыхать», либо пытаться помочь другим клиентам через MU-MIMO.
Скорость соединения всегда определяется по самому слабому участнику. Если у вас стоит навороченная точка 4x4, а у клиента в руках смартфон 1x1, связь между ними будет идти только в один поток. Оставшиеся три антенны точки будут либо «отдыхать», либо пытаться помочь другим клиентам через MU-MIMO.
Выбор диапазона: где на самом деле «летит» интернет
Сегодня мы работаем в трех основных диапазонах, и у каждого свои критические особенности, которые нельзя игнорировать.
Ловушка лишних SSID: почему много имен сетей — это плохо
Многие администраторы любят создавать по 10–15 разных имен сетей (SSID): отдельную для бухгалтерии, для гостей, для принтеров, для руководства. Это критическая ошибка, убивающая производительность. Каждая созданная сеть заставляет точку доступа постоянно рассылать служебные пакеты (Beacons), объявляя о своем присутствии.
Чем опасны лишние SSID:
Чем опасны лишние SSID:
- Каждый Beacon передается на минимально возможной базовой скорости, чтобы его услышали даже самые старые устройства.
- 10 сетей на одной точке могут «съедать» до 30–40% всего эфирного времени только на свою «саморекламу», даже если данных в них нет.
- Клиенты тратят гораздо больше времени на сканирование эфира, что сильно замедляет работу и разряжает батарею.
Совет:
Старайтесь использовать не более 3–4 SSID. Для разделения прав доступа (кто может в бухгалтерию, а кто — только в интернет) лучше использовать современные методы авторизации и автоматическое назначение VLAN.
Старайтесь использовать не более 3–4 SSID. Для разделения прав доступа (кто может в бухгалтерию, а кто — только в интернет) лучше использовать современные методы авторизации и автоматическое назначение VLAN.
Сети провайдеров:
Если вы подключены к провайдеру, который не изолирует клиентов друг от друга, ваш роутер «видит» сотни других устройств, и они «видят» вас.
Бизнес-центры:
Общая сетевая инфраструктура часто позволяет злоумышленнику из соседнего офиса атаковать ваш роутер в обход любого фаервола.
Дата-центры:
Виртуальные маршрутизаторы в облаке часто живут в одном огромном L2-сегменте.
Взлом Capsman V2 — Как крадут ваши Wi-Fi пароли
Сегодня мы работаем в трех основных диапазонах, и у каждого свои критические особенности, которые нельзя игнорировать.
- Менеджер Capsman по умолчанию слушает входящие запросы на всех интерфейсах.
- Злоумышленник в том же L2-сегменте настраивает свой MikroTik как управляемую точку (CAP).
- Его устройство посылает запрос на поиск контроллера через порт, смотрящий в общую сеть.
- Ваш Capsman видит «новую точку» и автоматически отправляет ей всю конфигурацию Wi-Fi, включая пароли и настройки безопасности.
Результат:
У злоумышленника в руках полная копия вашей корпоративной беспроводной сети. Если включен capsman-forwarding, он получает доступ ко всей вашей внутренней локалке.
У злоумышленника в руках полная копия вашей корпоративной беспроводной сети. Если включен capsman-forwarding, он получает доступ ко всей вашей внутренней локалке.
Дорожная карта по защите Capsman
Чтобы ваш Wi-Fi не «утек» к соседям, пройдите по этому списку:
Ограничение интерфейсов:
В настройках Capsman Manager никогда не оставляйте выбор интерфейсов по умолчанию. Явно укажите только локальный бридж.
Сертификаты:
Используйте проверку по сертификатам (Require Peer Certificate). Это гарантирует, что к контроллеру подключатся только ваши точки.
Capsman V3 (AX):
Если оборудование позволяет, переходите на новую версию. Там настройки безопасности вынесены на передний план и сделаны более строгими.
Разделение трафика:
Старайтесь не использовать capsman-forwarding для гостевых сетей.
CHR в облаке — Почему «соседи» по хостингу опасны
Cloud Hosted Router (CHR) — это удобно, но облачная среда — это не домашний роутер за NAT. Это устройство, выставленное «лицом» в потенциально враждебную среду.
- Neighbor Discovery в облаке:Запустив CHR, вы часто можете увидеть через него мак-адреса и имена роутеров других клиентов хостинга. Это значит, что и они видят вас.
- MAC-атаки:Злоумышленник может попытаться подключиться к вам через MAC-Telnet или MAC-Winbox. Фаервол L3 (цепочка input) такие попытки не блокирует, так как они работают ниже уровнем.
- Сниффинг трафика:В неизолированных облачных сетях через инструменты типа Torch можно увидеть чужой широковещательный трафик.
Гигиена управления и MAC-сервисы
Черные входы в систему часто остаются открытыми просто по забывчивости.
Что нужно сделать немедленно:
Что нужно сделать немедленно:
- Выключить Neighbor Discovery:В меню IP -> Neighbors уберите Discovery со всех внешних интерфейсов. Оставьте его только для доверенного порта администратора.
- MAC-атаки:Злоумышленник может попытаться подключиться к вам через MAC-Telnet или MAC-Winbox. Фаервол L3 (цепочка input) такие попытки не блокирует, так как они работают ниже уровнем.
- Сниффинг трафика:В неизолированных облачных сетях через инструменты типа Torch можно увидеть чужой широковещательный трафик.
Ловушка Honeypot — Не выстрелите себе в ногу
Популярный совет — заносить в черный список (Blacklist) всех, кто стучится на закрытые порты. Кажется, что это логично, но это идеальный вектор для DoS-атаки на самого себя.
Риск IP Spoofing (подмены адреса):
Риск IP Spoofing (подмены адреса):
Злоумышленник знает, что у вас стоит «ловушка».
Он шлет вам пакет, подделывая адрес отправителя. В качестве отправителя он ставит адрес вашего провайдера, DNS-сервера Google или ваш собственный IP.
Ваш роутер видит «стук» в закрытую дверь и банит доверенный адрес.
Вы теряете связь с провайдером или сами не можете зайти в сеть.
Как правильно работать с ловушками:
- Всегда создавайте белый список (Whitelist) и ставьте его выше правил блокировки.
- Используйте ханипоты только если вы реально публикуете сервисы в интернет.
- Не баньте навсегда. Используйте динамические списки на 15–30 минут. Этого хватит, чтобы сбить сканер, но не положить сеть надолго при ошибке.
GRE-туннели без шифрования — Проходной двор
Туннели GRE часто используют для связи офисов из-за их простоты. Но GRE сам по себе не имеет никакой защиты.
В чем подвох: Злоумышленник может отправить вам GRE-пакет, в заголовке которого укажет IP-адрес вашего удаленного офиса. Роутер «распакует» этот пакет и отправит его содержимое во внутреннюю сеть, думая, что это легитимный трафик из туннеля. Так можно обойти фаервол на внешнем интерфейсе и атаковать, например, внутреннюю IP-ATC.
В чем подвох: Злоумышленник может отправить вам GRE-пакет, в заголовке которого укажет IP-адрес вашего удаленного офиса. Роутер «распакует» этот пакет и отправит его содержимое во внутреннюю сеть, думая, что это легитимный трафик из туннеля. Так можно обойти фаервол на внешнем интерфейсе и атаковать, например, внутреннюю IP-ATC.
Решение:
- Только IPsec: Любой GRE-туннель должен быть защищен через IPsec. Это гарантирует, что пакеты не были подменены в пути.
- Фильтрация внутри туннеля: Настраивайте правила в цепочке forward, которые разрешают из GRE-интерфейса только те подсети, которые там действительно должны быть.
Тактика «полной тишины» (Drop vs Reject)
Как роутер должен реагировать на запрещенные пакеты? Есть два варианта: вежливо ответить (Reject) или промолчать (Drop).
Почему стоит выбирать DROP:
Почему стоит выбирать DROP:
- Скрытность:Злоумышленник не понимает, живой ли хост или там вообще пустота.
- Экономия ресурсов:Роутеру не нужно тратить ресурсы процессора на формирование ответного пакета «доступ запрещен».
- Требования безопасности:Для критических систем скрытие информации о работоспособности хоста — это стандарт.
- Подсказка: Если вы хотите быть «невидимкой», отключайте также ответы на ICMP-запросы (пинг) на внешнем интерфейсе. Это собьет с толку большинство автоматических сканеров.
Чек-лист финальной настройки
Проверьте ваш роутер прямо сейчас по этим пунктам:
- Пароли:
- Уникальные, длинные, без стандартного admin
- IP Services:Оставлены только нужные сервисы, доступ к ним ограничен по address-list.
- Neighbors:Обнаружение выключено на WAN и облачных портах.
- MAC Server:Доступ по MAC-адресу закрыт снаружи.
- DNS:Опция Allow Remote Requests выключена, если роутер не должен работать как DNS-сервер для интернета.
- Туннели:Все внешние соединения (GRE, IPIP, L2TP) завернуты в IPsec или используют современные протоколы типа WireGuard.
- Обновления:Установлена последняя версия RouterOS (Long-term или Stable).
Финал
Безопасность MikroTik — это не про «волшебную кнопку», а про здравый смысл. Самый лучший фаервол не спасет, если у вас открыт MAC-Winbox на порту провайдера или Capsman отдает пароли любому встречному устройству.
Соблюдайте гигиену на уровне L2, не доверяйте слепо гайдам из интернета без понимания логики правил и всегда помните: в сетевой безопасности «лучше молчать, чем отвечать».
Соблюдайте гигиену на уровне L2, не доверяйте слепо гайдам из интернета без понимания логики правил и всегда помните: в сетевой безопасности «лучше молчать, чем отвечать».
В Москве:
РФ (звонок бесплатный):
Наша почта:
GetNet
Остались вопросы?
Группа компаний VoxLink © 2011-2026