Come migliorare la velocità del WiFi senza acquistare nuovi Access Point

Come migliorare la velocità del WiFi senza acquistare nuovi Access Point Un briefing tecnico di Purple — Circa 10 minuti --- INTRODUZIONE E CONTESTO (circa 1 minuto) --- Benvenuti alla serie di briefing tecnici di Purple. Sono il vostro ospite e oggi affronteremo una delle conversazioni più comuni che ho con i direttori IT e i CTO delle grandi strutture aziendali: il problema della capacità del WiFi. Gestite un hotel, una rete di negozi, un centro congressi o uno stadio. I vostri ospiti e il personale si lamentano di un WiFi lento. Il vostro primo istinto — e, francamente, l'istinto su cui conta il vostro fornitore di infrastrutture — è acquistare altri access point. Nuovo hardware, implementazione più grande, fattura più salata. Ma ecco il punto. Nella maggior parte dei casi che ho esaminato, il problema non sono affatto gli access point. Il problema è ciò che vi transita all'interno. E questo è un problema software, il che significa che richiede una soluzione software. Oggi vi spiegherò esattamente come il filtraggio DNS e l'ottimizzazione a livello software possano recuperare il trenta percento o più della vostra larghezza di banda esistente, senza toccare un singolo componente hardware. Esamineremo l'architettura tecnica, gli scenari di implementazione reali e il business case da presentare al vostro CFO. Iniziamo. --- APPROFONDIMENTO TECNICO (circa 5 minuti) --- Per prima cosa, definiamo il problema principale. Quando si analizza ciò che consuma effettivamente larghezza di banda su una tipica rete WiFi aziendale per gli ospiti, la scomposizione è davvero sorprendente per la maggior parte delle persone. Le reti pubblicitarie e i tracker di terze parti — la telemetria in background che ogni app su ogni dispositivo invia costantemente — rappresentano tra il venticinque e il quaranta percento del volume delle query DNS su una tipica rete ospiti. Queste non sono richieste che i vostri ospiti fanno consapevolmente. Sono automatiche. Ogni volta che qualcuno apre un'app di notizie, una piattaforma di social media o un'app di shopping sul proprio telefono, quell'app avvia decine di ricerche DNS verso server pubblicitari, piattaforme di analisi e pixel di tracciamento. Nessuno di questi dati offre valore ai vostri ospiti. Tutti consumano la vostra capacità di uplink. Inoltre, c'è il traffico di malware e botnet. I dispositivi compromessi — e su una grande rete ospiti ci saranno sempre dispositivi compromessi — cercano costantemente di connettersi ai server di comando e controllo. Quel traffico non solo spreca larghezza di banda, ma rappresenta anche un rischio per la conformità e la sicurezza. Quindi, prima ancora che un singolo byte di traffico legittimo — una videochiamata, una pagina web, una transazione di pagamento — raggiunga il vostro uplink, avete già bruciato da un terzo a metà della vostra capacità disponibile in rumore di fondo. Ora, il filtraggio DNS opera a livello di risoluzione. Ogni richiesta internet inizia con una query DNS, una ricerca che traduce un nome di dominio in un indirizzo IP. Il filtraggio DNS intercetta quella query prima ancora che raggiunga il vostro uplink. Se il dominio si risolve in una rete pubblicitaria, un host malware noto o una categoria limitata dalle policy, la query viene bloccata a livello DNS. Il dispositivo riceve una risposta nulla. Nessun dato viene trasferito. Nessuna larghezza di banda viene consumata. Questo è fondamentalmente diverso da un firewall o da un proxy. Un firewall ispeziona i pacchetti dopo che sono già arrivati. Un proxy intercetta il traffico a metà percorso. Il filtraggio DNS blocca la richiesta prima che inizi, ed è per questo che il recupero della larghezza di banda è così significativo. Non state ripulendo il traffico già arrivato; state impedendo che venga richiesto all'origine. Dal punto di vista dell'architettura, l'implementazione è semplice. Configurate il vostro server DHCP per indirizzare i dispositivi client al vostro risolutore di filtraggio DNS anziché al DNS predefinito del vostro ISP. In genere si tratta di una modifica di due righe nella configurazione DHCP. Le regole di filtraggio sono gestite centralmente — nel cloud o on-premise a seconda dei requisiti di conformità — e applicate in modo uniforme su tutti i dispositivi connessi, indipendentemente dall'access point a cui sono associati. Questo è un punto cruciale per gli operatori multi-sito. Una catena di negozi con duecento punti vendita, o un gruppo alberghiero con cinquanta proprietà, può implementare una policy di filtraggio DNS coerente su tutto il patrimonio da un'unica console di gestione. Nessuna visita tecnica in loco. Nessuna configurazione per singolo sito. Le modifiche alle policy si propagano in pochi minuti. Ora, c'è un'importante considerazione tecnica che voglio segnalare ai progettisti presenti. L'emergere del DNS over HTTPS — DoH — rappresenta una sfida per il filtraggio DNS tradizionale. Quando un dispositivo utilizza il DoH, crittografa le sue query DNS e le invia direttamente a un risolutore specifico — in genere gestito da un fornitore di browser — aggirando completamente il DNS a livello di rete. Ciò significa che le vostre regole di filtraggio vengono eluse. La soluzione consiste nell'imporre l'intercettazione del DoH a livello di rete. Ciò comporta l'identificazione del traffico DoH — che viaggia sulla porta 443 verso intervalli di IP di risolutori noti — e il suo blocco o reindirizzamento al vostro risolutore di filtraggio compatibile con il DoH. Si tratta di una configurazione più avanzata, ma è essenziale per mantenere l'efficacia del filtraggio sulle reti moderne in cui Chrome, Firefox e iOS utilizzano sempre più spesso il DNS crittografato per impostazione predefinita. Purple ha pubblicato una guida dettagliata sulle implicazioni del DNS over HTTPS per il filtraggio del WiFi pubblico, che vi consiglio di leggere insieme a questo briefing. Oltre al filtraggio DNS, vi sono diverse ottimizzazioni complementari a livello software che vale la pena implementare in parallelo. Il band steering è una delle più efficaci. La maggior parte dei moderni access point supporta sia la banda a 2.4 gigahertz che quella a 5 gigahertz. La banda a 5 gigahertz offre un throughput significativamente più elevato ma una portata inferiore. Senza un band steering attivo, i dispositivi si associano spesso alla banda a 2.4 gigahertz per impostazione predefinita — in particolare i dispositivi più vecchi e l'hardware IoT — creando congestione su una banda già affollata da traffico legacy. L'abilitazione del band steering nel controller wireless spinge i dispositivi compatibili verso i 5 gigahertz, liberando i 2.4 gigahertz per i dispositivi che ne hanno realmente bisogno. Il consolidamento degli SSID è un altro intervento rapido. Ogni SSID trasmesso consuma tempo di trasmissione tramite i beacon frame, ovvero il traffico di gestione che ogni dispositivo nel raggio d'azione deve elaborare. Una struttura che gestisce otto o dieci SSID per diversi reparti, fornitori e livelli di ospiti brucia una percentuale misurabile di tempo di trasmissione in sovraccarico di gestione. Consolidare in tre o quattro SSID — ospiti, personale, IoT e gestione — e utilizzare il tagging VLAN per la segmentazione anziché SSID separati può recuperare immediatamente quel tempo di trasmissione. L'applicazione delle policy QoS — Quality of Service — è la terza leva. Senza QoS, un singolo ospite che riproduce video in 4K può saturare una cella radio, peggiorando l'esperienza di ogni altro dispositivo su quell'access point. L'implementazione della limitazione della velocità per client e la prioritizzazione del traffico — elevando il traffico VoIP e delle transazioni POS rispetto allo streaming di massa — garantisce la protezione del traffico critico per l'azienda anche in condizioni di carico massimo. Infine, la pianificazione dei canali e l'ottimizzazione della potenza di trasmissione. Spesso queste impostazioni vengono configurate una sola volta durante l'installazione iniziale e mai più riviste. Con il variare dell'ambiente RF — nuovi edifici, nuove fonti di interferenza, cambiamenti nella densità dei dispositivi — le assegnazioni dei canali potrebbero creare interferenze co-canale che riducono significativamente il throughput. L'esecuzione di un'indagine RF passiva e la riottimizzazione delle assegnazioni dei canali è un intervento a costo zero che può produrre miglioramenti sostanziali del throughput. --- RACCOMANDAZIONI DI IMPLEMENTAZIONE E TRAPPOLE DA EVITARE (circa 2 minuti) --- Lasciate che vi fornisca una sequenza pratica di implementazione per una struttura di medie dimensioni, ad esempio un hotel da duecento camere o un centro di distribuzione logistica regionale. Iniziate con una misurazione di riferimento. Prima di modificare qualsiasi cosa, configurate la rete per acquisire il volume delle query DNS per categoria, il consumo di larghezza di banda per client e l'utilizzo dell'uplink per ora del giorno. Questo vi fornirà lo stato iniziale per il calcolo del ROI. La maggior parte delle piattaforme di analisi WiFi aziendali mostra questi dati in modo nativo; la piattaforma di analisi di Purple, ad esempio, offre una visibilità a livello di dispositivo che rende questo esercizio di baseline molto semplice. Fase due: distribuire il filtraggio DNS in modalità di monitoraggio. La maggior parte delle soluzioni di filtraggio DNS aziendali supporta una modalità passiva in cui le query vengono registrate e categorizzate ma non bloccate. Eseguitela per quarantotto-settantadue ore per comprendere la composizione del traffico prima di applicare qualsiasi policy. Ciò evita che i falsi positivi interrompano il traffico legittimo fin dal primo giorno. Fase tre: abilitare il blocco in modo graduale. Iniziate con le categorie a più alta affidabilità: domini malware noti, comando e controllo di botnet e reti pubblicitarie. Si tratta di blocchi a basso rischio con un elevato impatto sulla larghezza di banda. Esaminate i log quotidianamente durante la prima settimana per individuare eventuali blocchi imprevisti. Fase quattro: integrare QoS e band steering. Una volta che il filtraggio DNS è stabile, implementate la limitazione della velocità per client e il band steering. Testate queste modifiche durante le ore non di punta e verificate che i terminali POS, i telefoni VoIP e altri dispositivi critici per l'azienda funzionino correttamente. Fase cinque: documentare e misurare. Dopo trenta giorni, estraete le metriche di utilizzo della larghezza di banda e confrontatele con il vostro valore di riferimento. Nella maggior parte delle implementazioni, noterete una riduzione dal venti al quaranta percento nell'utilizzo dell'uplink. Questo è il vostro dato sul ROI. Ora, le trappole da evitare. La più comune è il blocco eccessivo. Se abilitate categorie di filtraggio dei contenuti aggressive senza prima esaminare i log, bloccherete servizi legittimi. Lo storage cloud, le applicazioni SaaS aziendali e persino alcuni domini di elaborazione dei pagamenti possono apparire in blocchi di categorie generiche. Iniziate sempre in modo conservativo ed espandete in seguito. La seconda trappola è ignorare l'elusione tramite DoH. Se implementate il filtraggio DNS senza gestire il DoH, vedrete l'efficacia del filtraggio diminuire nel tempo, poiché sempre più dispositivi utilizzeranno il DNS crittografato per impostazione predefinita. Affrontate questo problema a livello di policy di rete fin dal primo giorno. La terza trappola è la mancata segmentazione del traffico IoT. I dispositivi IoT — smart TV, sistemi di gestione degli edifici, segnaletica digitale — generano spesso un traffico DNS significativo verso i server di telemetria dei produttori. Se non segmentate l'IoT su una VLAN separata con una propria policy di filtraggio, potreste inavvertitamente bloccare la funzionalità dei dispositivi quando stringete le regole di filtraggio. --- DOMANDE E RISPOSTE RAPIDE (circa 1 minuto) --- Rispondo rapidamente alle domande che ricevo più spesso. "Il filtraggio DNS influirà sull'esperienza degli ospiti?" All'atto pratico, gli ospiti non se ne accorgono mai. I domini bloccati sono telemetria in background, non contenuti che stanno richiedendo attivamente. Semmai, la loro esperienza migliora perché c'è più larghezza di banda disponibile per le attività che stanno effettivamente cercando di svolgere. "Questo richiede modifiche ai nostri access point?" No. Il filtraggio DNS è configurato a livello di DHCP e di risolutore DNS. I vostri access point non vengono toccati. "È conforme al GDPR?" Il filtraggio DNS registra le query dei domini, non il contenuto. Non state effettuando una deep packet inspection. A condizione di disporre di adeguate policy di conservazione dei dati e che la vostra informativa sulla privacy copra il monitoraggio della rete — cosa che dovrebbe comunque avvenire — il filtraggio DNS è pienamente compatibile con il GDPR. Per le installazioni nel settore pubblico e sanitario, si tratta spesso di un requisito di conformità piuttosto che di una scelta. "E per quanto riguarda il PCI DSS?" Il filtraggio DNS rafforza effettivamente la vostra postura PCI DSS impedendo agli ambienti con dati dei titolari di carta di comunicare con domini dannosi noti. Si tratta di un controllo positivo, non di un rischio. --- SINTESI E PROSSIMI PASSI (circa 1 minuto) --- Per riassumere: la maggior parte dei problemi di prestazioni del WiFi aziendale non sono problemi hardware. Sono problemi software, nello specifico l'assenza di una gestione intelligente del traffico a livello DNS. Implementando il filtraggio DNS, potete recuperare il trenta percento o più della vostra larghezza di banda esistente, estendere la vita operativa della vostra attuale infrastruttura di access point da due a quattro anni e, contemporaneamente, migliorare la vostra sicurezza e conformità. I tempi di implementazione si misurano in ore, non in mesi. La spesa in conto capitale è una frazione rispetto a un rinnovo hardware. I prossimi passi pratici sono semplici. Eseguite un audit del traffico DNS sulla vostra rete questa settimana — la maggior parte delle piattaforme aziendali vi fornirà questi dati senza strumenti aggiuntivi. Identificate le categorie di domini che consumano più larghezza di banda. Quindi, valutate una soluzione di filtraggio DNS rispetto a quelle categorie. Se gestite una rete WiFi ospiti su larga scala — hospitality, retail, eventi, settore pubblico — la piattaforma di Purple integra il filtraggio DNS con la gestione e l'analisi del WiFi ospiti in un'unica soluzione. Ciò significa che otterrete il recupero della larghezza di banda, i controlli di conformità e i dati analitici sugli ospiti da un'unica piattaforma anziché da tre. Grazie per aver ascoltato il briefing tecnico di Purple. La guida all'implementazione completa, gli schemi architetturali e gli esempi pratici sono disponibili nella guida scritta allegata. Alla prossima.