Безжични мрежи в корпоративната инфраструктура
| 1. Какви са принципите за интегриране на безжични мрежи в съществуващата комуникационна инфраструктура? |
2. Какво включва методологията за защита на безжичните мрежи от външни и вътрешни заплахи?
| Сергей Рацеев, мрежов експерт, Компютърна механика (http://www.mechanics.ru) |
1. Един от основните фундаментални проблеми, които трябва да бъдат решени преди началото на изграждането на мрежата, е необходимостта от недвусмислен избор на модел и тип оборудване. В случаите, когато се очаква постоянно развитие на корпоративна безжична мрежа, както по отношение на зоните на покритие, така и по отношение на броя на обслужваните абонати, се счита за икономически обоснован подход, при който архитектът съзнателно отказва напълно функционални автономни точки за достъп в полза на така наречените леки, управлявани от централен контролер. Единен контролен център значително опростява задачите по администриране на оборудването. Използването на конфигурационни шаблони за повечето безжични точки за достъп намалява човешката грешка.
Използването на централен безжичен контролер за достъп също така дава възможност за постоянно наблюдение на използваните радиочестоти, прилагане на адаптивен контрол на радио мощността (когато точка за достъп се повреди или когато се добави нова) и автоматично балансиране на натоварването, като се използват данните, които вече са в контролера.
В процеса на създаване на корпоративна мрежа като цяло и нейните безжични сегменти в частност е необходимо да се реши проблемът с непрекъснатата работа в случай на повреди в системата за захранване. Като абонатни устройства в безжичните мрежи обикновено се използва оборудване, което има автономни източници на захранване.(батерии). Това обстоятелство създава благоприятни условия за осигуряване на непрекъсната работа на безжичната мрежа като цяло благодарение на технологията Power over Ethernet (стандарт IEEE 802.3af), което позволява използването на непрекъсваеми източници на захранване, инсталирани в етажния комутационен център за захранване на безжични точки за достъп.
2. През последните няколко години бяха написани много книги и статии за уязвимостите на безжичните мрежи на стандарта IEEE 802.11. Сериозността на проблемите беше призната от почти всички и за кратко време бяха приети стандартите WPA / WPA2 (IEEE 802.11i). Понастоящем вече е трудно да се намерят примери за корпоративни безжични мрежови инсталации, които не използват силни алгоритми за криптиране (AES) или поне механизми за управление на ключове и интегритет на рамката за предаване (TKIP).
На устройства с достатъчна изчислителна мощност и механизми за инсталиране на приложен софтуер можете да използвате стандартни средства за гарантиране на поверителността на предаваната информация чрез организиране на VPN тунели. Това важи особено за организации, които предоставят отдалечен достъп на служителите през Интернет, които вече разполагат с необходимото оборудване и софтуер и искат да организират единен механизъм за отдалечен достъп.
Съвременните корпоративни безжични мрежи използват IEEE 802.1X версии на WPA за контрол на потребителския достъп до мрежата. В този случай можете да разчитате на потребителски акаунти от корпоративен ресурс на Active Directory или цифрови сертификати от внедрена PKI инфраструктура. Това ви позволява да разрешите достъп до мрежата на различни потребители с различни права, да поддържате статистика за броя и продължителността на потребителските връзки, да оценявате обемапредавана и получавана информация.
С централните контролери за управление на леки безжични точки за достъп става възможно използването на интегрирана система за предотвратяване на проникване, която може да открие и потисне работата на незаконно разположени точки за достъп или потребителски peer-to-peer мрежи в ad hoc режим (работа без използване на точка за достъп). Системата за местоположение на безжичното устройство, когато се използва заедно с централния контролер, ви позволява да определите текущото местоположение на нарушителите на политиката за корпоративна сигурност или обикновените мрежови потребители.
Необходимо е да се свърже корпоративна безжична мрежа към съществуваща кабелна инфраструктура чрез LAN (VLAN) сегменти, специално разпределени за тази цел, като е желателно да се използват инструменти за филтриране на пакети и, евентуално, защитни стени и системи за предотвратяване на проникване в мрежата.
| Евгений Поршаков, Ръководител на групата за основни мрежи, Inline Technologies (http://www.in-line.ru) |
1. Изграждането на безжична мрежа за пренос на данни, както всяка друга задача, има определена цел. Това е, което първо трябва да се определи. Например, организаторите на наградите TEFI или Оскар трябва да разработят мобилно решение, което ви позволява бързо да внедрите ИТ инфраструктура, която осигурява гласуване. В същото време членовете на журито на конкурса трябва да използват преносими компютри, оборудвани с Wi-Fi порт, за да гласуват. Друг пример: хипермаркет възнамерява да използва безжични електронни етикети с цени в целия магазин. Както виждаме, и в двата случая е необходима безжична инфраструктура, но задачите, решени с нейна помощ и съответноизискванията му са различни.
Следващата стъпка в изграждането на безжична мрежа е проучване на мястото, където се предполага, че ще бъде разположена. По време на проучването трябва да се направят измервания в помещенията и да се определят параметри като скорост, мощност и качество на сигнала. След обработката на получените данни се извършва разпределение на точките за радиодостъп на територията. При подреждането на тези точки е необходимо да се вземат предвид параметрите, определени в техническите спецификации на клиента, като честотна лента, качество на сигнала, устойчивост на грешки. За да се изпълнят тези изисквания, е необходимо да се раздели територията на предложеното покритие на зони, за организирането на които ще се използват различни инженерни подходи. Разликата в подходите се определя, първо, от броя на използваните точки за радио достъп. Например, увеличаването на броя на точките за радиодостъп в планираната зона на покритие и намаляването на силата на сигнала върху тях ви позволява да увеличите скоростта на трансфер на данни на потребителските устройства. Следващата разлика е в използваните типове антени: например чрез използване на секторна антена могат да се избегнат ненужни смущения между радиочестотите и може да се увеличи ефективният обхват на покритие. И накрая, различните инженерни подходи за организиране на зоната на покритие включват използването на различни технологии. Например, технологията в режим на готовност ви позволява да резервирате точки за достъп, което съответно увеличава устойчивостта на грешки на тази зона.
Изключително важно е изградената безжична мрежа за достъп да не нарушава съществуващите принципи на ИТ инфраструктурата. В противен случай функционирането на цялата мрежова инфраструктура ще бъде застрашено или ще са необходими значителни, неоправдани разходи за разработване на нови правила за „съвместното съществуване“ на кабелни и безжични мрежи.сегменти. Освен това дизайнът на мрежата трябва да съответства на предварително избраната архитектура.
Друг принцип за изграждане на ефективни безжични мрежи в рамките на съществуваща ИТ инфраструктура е внедряването на решението в неговата цялост; като цяло не се допуска частично изпълнение. Ако изграждането на безжична мрежа се извършва например на два етапа: първо се поставят точки за радио достъп и се свързват към мрежовата инфраструктура и след една година се обмисли необходимостта от закупуване на система за наблюдение и контрол, корпоративната инфраструктура може да бъде обект на атаки от нарушители. В този случай мрежовите администратори няма да могат да контролират ситуацията.
Архитектурата на мрежата за безжичен достъп може да бъде централизирана или разпределена. Централизираната мрежова архитектура предполага единна точка на контрол и управление на безжичната мрежова инфраструктура, което намалява разходите за персонал по поддръжката и, като резултат, разходите за работа на решението. Това се постига чрез използване на система за контрол и управление в централния офис, където се събира и анализира информация за работата на безжичната мрежова инфраструктура. С централизирана система за контрол и управление мрежовите администратори могат да определят местоположението на неоторизирани опити за достъп до безжичната мрежа. Тази архитектура е подходяща за голям брой малки или средни офиси, свързани чрез специални канали към централния офис.
Разпределената мрежова архитектура предполага разделяне на задачите за управление и контрол на безжичните мрежи за достъп между предприятията. Тази архитектура е подходяща, когато холдингът включва еквивалентни компании със среден или голям размер. За ефективен контрол и управление на безжични мрежидостъп, по-добре е тази задача да се разпредели между мрежовите администратори на всяка от холдинговите компании, като същевременно се поддържат единни правила за работа за всички.
2. В днешно време за никого не е тайна, че безжичните мрежи за достъп са по-податливи на атаки от нарушители, отколкото кабелните. Но това не означава, че те не могат да бъдат защитени.
Към днешна дата повечето потребители на безжична мрежа, независимо дали фирми или частни лица, не обръщат достатъчно внимание на проблемите със сигурността в безжичните структури. Това се потвърждава от периодично публикувани доклади на различни изследователски организации. Според статистиката повече от 50% от безжичните мрежи изобщо не използват методи за криптиране и удостоверяване; повече от 30% използват стария WEP механизъм за криптиране с дължина на ключа от 64/128 байта. Много компании, след като са защитили своята безжична мрежа с помощта на усъвършенствани механизми като WPA/WPA 2, смятат тази мярка за сигурност за достатъчна. Те обаче също така се сблъскват с проблеми в резултат на DoS атаки от кракери и понасят финансови загуби.
| Алексей Топорков, Технически директор, Представителство на TRENDnet в България и страните от ОНД (http://www.trendnet.com/ru) |
1. Безжичното оборудване на TRENDnet ви позволява да организирате допълнителен безжичен сегмент или да комбинирате няколко офиса.
Можете да комбинирате няколко офиса (единият от които е кабелен, а вторият безжичен), като използвате няколко точки за достъп. Първият от тях трябва да работи в режим на точка за достъп (AP), а вторият - в режим на клиент на точка за достъп, докато той ще може да свързва безжични клиенти към себе си.
2. Основната и може би най-важната заплаха за безжичната мрежа е неоторизирана връзка.Свързвайки се с такава мрежа, нападателят не само получава достъп до потребителски дялове, файлове и папки, принтери, но също така може, без да спира дотук, да се опита да получи достъп до корпоративни бази данни, сървъри, документи, пощенска кореспонденция и др.
За да гарантирате сигурността на вашата безжична мрежа, ви препоръчваме да предприемете следните стъпки.
Установете удостоверяване между клиента и мрежата.Друга важна характеристика, липсваща в оригиналния стандарт 802.11, е механизъм за взаимно удостоверяване между мрежата и клиента. Отново, стандартите WPA и IEEE 802.11i поддържат тази функция. И двата протокола използват стандарта IEEE 802.1X за взаимно удостоверяване на клиент и мрежа.
Други статии от раздела
Други свързани статии
- Нови процесори за преносими компютри AMD
- Фишинг атака на Whatsapp
- Нова версия на Veeam Backup за Microsoft Office 365
- Изследване на мобилния троянски кон Gustuff
- Опасни промишлени таблетки Getac K120
| Публикувайте в блог |
| Коментари на статията |
| Рекламни връзки |
Мултифункционален принтер за печат Panasonic DP-MB545RU A3Искате ли да подобрите производителността на офиса си? Новият #Panasonic DP-MB545RU MFP ще ви помогне. Устройството изпълнява
Adaptec от PMCAdaptec серия 5Z RAID контролери със защита на кеша без батерияОпитните мрежови администратори знаят, че използването на кеш паметта на RAID контролер може да доведе до сериозниползи от производителността...
ХлоридТрифазен UPS хлорид от 200 до 1200kW: TrinergyTrinergy е ново решение на пазара на UPS, първото, което предлага динамична работа, мащабируемост до 9,6 MW и ефективност до 99%. Уникална комбинация…