Тайни и съвети за безжична корпоративна мрежа, киберсигурност, дискусии, глобален ИТ директор

съвети

Как да организираме безжична мрежа в офиса? Помолихме експерти на ИТ пазара, служители на компании, разработващи мрежово оборудване, инструменти за информационна сигурност, както и системни интегратори, специализирани в внедряването на мрежови решения, да споделят своите съвети и препоръки.

Как ще се защитим?

На първо място е необходимо да се решат проблемите в областта на защитата и сигурността. Разбира се, мрежите, отворени за всички и всички, са неприемливи навсякъде и никога. Като цяло, ако погледнете алгоритъма на взаимодействие между клиента и точката за достъп, тогава той се състои от два компонента: удостоверяване и криптиране.

Евгений Строев, специалист в отдела за корпоративна мрежова сигурност в Positive Technologies, говорейки за автентификация, говори за два възможни варианта: Shared и EAP. В първия случай клиентът се свързва след въвеждане на правилния ключ. Този подход е подходящ в случаите, когато ключът е сложен и не се поддава на бърз избор. Вариант на EAP удостоверяване, който използва външен сървър, който валидира ключа и всеки потребител може да получи свой собствен ключ. Евгений Строев смята този вариант за най-оптимален по отношение на сигурността. Що се отнася до технологиите за криптиране, WEP (Wired Equivalent Privacy) и TKIP, неговата подобрена версия, не се препоръчват, тъй като поради грешки, допуснати при разработването им, те лесно се хакват. Най-надеждният протокол за криптиране Евгений Строев нарича AES / CCMP, базиран на AES (Advanced Encryption Standard).

Според Денис Макрушин, антивирусен експерт в Kaspersky Lab, най-сигурният и устойчив на хакванепротоколът е Wi-Fi Protected Access 2 (WPA2). Тази технология не само гарантира сигурността на предаването на данни между точката за достъп и свързаните към нея устройства, но и упражнява стриктен контрол върху всички устройства, свързани към тази точка. За разлика от WPA, където може да се използва ненадеждният TKIP протокол, WPA2 използва само AES.

Какви са тези параметри? В WPA2-Enterprise можете да организирате удостоверяване с помощта на различни методи. От тях Евгений Строев смята EAP-MS-CHAPv2 за най-удобния, когато потребителят просто трябва да въведе потребителско име и парола, за да влезе в мрежата. Този метод обаче не винаги е безопасен. Най-надеждно, според експерта, ще бъде използването на EAP-TLS, при което е необходимо да се инсталира сертификат, специално създаден за потребителя на устройството, и с негова помощ се извършва по-нататъшно удостоверяване. Методът WPS / QSS, при който връзката се осъществява с помощта на специален код, отпечатан върху корпуса на рутера, или чрез натискане на специален бутон на мрежовото и клиентското устройство, Евгений Строев също не препоръчва използването му, тъй като според него поради грешка в стандарта можете да познаете 4 цифри от кода, така че нападателят ще получи правилния ПИН и ще може да се свърже. Това ще изисква само 10 хиляди опита за избор.

За дома - отделно, за офиса - отделно

Какво оборудване да изберете за корпоративна безжична мрежа? Някои клиенти, които се стремят да спестят своя ИТ бюджет в нашите трудни времена, мислят за закупуване на оборудване, което е насочено предимно към домашни потребители.

Според Тимур Кайдани, за клиенти, работещи в сегмента SOHO, е напълно приемливо да се използват решения от потребителския сегмент, но само в случаите, когатоНяма допълнителни изисквания за мрежата и няма критични за бизнеса приложения и процеси в безжичната мрежа.

„В офиса трябва да използвате само оборудване от корпоративен клас, предназначено за това“, добавя Виктор Платов, системен инженер-консултант в Cisco Systems, „основната му разлика от домашното оборудване (в допълнение към надеждността, управляемостта, функционалността) е способността да работите с голям брой едновременни връзки: ако домашните точки за достъп са проектирани за 5-10 връзки, тогава техните корпоративни „братя“ могат едновременно да обслужват няколкостотин клиенти.

Алексей Анастасиев, мениджър бизнес развитие на Центъра за мрежови решения на Jet Infosystems, първо отбелязва няколко ключови разлики между корпоративното мрежово оборудване и домашното оборудване. На първо място, това е по-висока производителност и способност да издържат не дузина или две, като домашни устройства, а стотици едновременни връзки. Въпросът е, че мрежовите решения за предприятията са оборудвани с по-производителни чипсети.

Второ, Алексей Анастасиев говори за автоматизиране на механизмите за настройка и управление на мрежа, които са оборудвани с мрежово оборудване от корпоративен клас. „Под тях, например, имаме предвид вградени механизми за автоматично управление на честотния план, което позволява, в условията на динамично променящи се радиосмущения, да се осигури стабилна връзка на потребителите без постоянна намеса на мрежовия администратор. Да не говорим, че промяната на настройките за, да речем, стотици Wi-Fi горещи точки може да отнеме часове, ако се направи ръчно, което е неприемливо в днешните корпоративни среди, където тези функции са автоматизирани“, казва той.

Трето, мрежовото оборудване от корпоративен клас трябва да поддържа повече стандарти и клиентски устройства.

Според Алексей Анастасиев свързването на „бавен“ клиент към точка за достъп води до ситуация, при която всички „бързи“ клиенти до него са принудени да работят със скоростта на „най-бавния“ клиент. Корпоративните системи поддържат механизми за автоматично откриване и прегрупиране на клиенти, работещи на различни стандарти (скорости) между Wi-Fi точки за достъп. И накрая, сред другите характеристики на корпоративното мрежово оборудване, Алексей Анастасиев посочва възможността за позициониране на устройства, което позволява определяне на местоположението на мобилни клиенти на територията на обекта, както и обработка и оптимизиране на мултимедиен трафик на ниво точка за достъп, вградена функционалност за защита от атаки на ниво точка за достъп и много други.

Прегърнете необхватимото

Системните администратори и ИТ специалистите често се сблъскват с такъв проблем като нискокачествено или непълно покритие на големи помещения с точки за достъп (работилници, офиси, изградени на принципа на Open Space, обменни и търговски площадки, гари и летища, складове и др.). При проектирането на безжична мрежа трябва да се вземат предвид много фактори – конфигурацията на помещенията, материалите на стените и таваните, броя и териториалното разпределение на клиентите, наличието на източници на смущения или съществуващи безжични мрежи.

„За да се изчисли правилно безжичната мрежа, обикновено се използва специализиран софтуер. - казва Дмитрий Кузнецов, директор на компанията Parallax - Такъв софтуер позволява не само проектиране на безжична мрежа, но и проверка на съответствието на нейните характеристики с изчислените. В допълнение към изчисленията, важна роляиграе и изборът на оборудване. Решенията, които използват контролер за централно управление на точки за достъп, позволяват най-равномерно покритие.“

Непознати не ходят тук

Посетителите идват в офиса на всяка компания. Това може да са купувачи, клиенти, партньори или изпълнители, извършващи временно някаква работа. Много от тях се нуждаят от достъп до Интернет, който може да бъде осигурен чрез инфраструктурата на корпоративната мрежа чрез отваряне на специален вход за гости за такива цели. Как да организираме такъв достъп без рискове за основните информационни ресурси на компанията?

„Достъпът за гости трябва да бъде създаден в отделна виртуална мрежа, която използва защитна стена, която ограничава правата за достъп на гостите, скоростта на връзката и понякога количеството трафик на гост. Ако всичко е настроено правилно, тогава рисковете ще бъдат сведени до нула “, казва Владимир Княжицки, генерален директор на групата компании Fast Lane в България.

На свой ред Денис Бондаренко, оперативен директор в ADV Consulting, препоръчва да се изолира мрежата за гости от останалата мрежа на компанията. Според него мрежата за гости също може физически да работи върху обща корпоративна мрежова инфраструктура, но трябва да се обърне внимание на настройката на мрежовото оборудване, за да се изключи възможността за достъп от отворена мрежа до вътрешнокорпоративни ресурси. За мрежа за гости не е необходимо да се прилагат сложни технологии за удостоверяване. Ще бъде достатъчно да въведете една парола или да влезете през портала за прихващане.

Заключение

Правилното разгръщане на корпоративна мрежа е сложен и многостранен процес, който изисква отчитане на много индивидуални фактори и особености, свързани с работата на всяка компания. Трудно е да се даде пълен комплект в рамките на малка статия.препоръки, така че се спряхме само на някои експертни съвети.

В заключение си струва само да се отбележи, че безжичната мрежа, колкото и удобна и сигурна да е, не бива да се поставя в основата на комуникациите в компанията. „Златният“ стандарт за сигурност е Wi-Fi мрежата да се третира като вторична мрежа. Блокирането на работата на офиса, където корпоративната мрежа е изградена само върху безжично предаване на данни, е толкова лесно, колкото и да се белят круши: просто включете заглушителя до стаята. И всяко криптиране се оказва ненужно, устройствата просто не могат да комуникират помежду си.