При защите беспроводных сетей нужно учитывать два аспекта. Прежде всего, данные необходимо шифровать, чтобы они оставались конфиденциальными вне зависимости от адресата. Другой базовый принцип был сформулирован одним из специалистов по безопасности ИТ: «Сложность — враг хороших механизмов обеспечения безопасности. Защита должна включаться в систему, а не накладываться поверх нее». На чем же необходимо сконцентрироваться предприятию при построении защищенной беспроводной сети?
Безопасность данных. Шифрование данных следует осуществлять с помощью стандарта Wireless Protected Access 2 — Advanced Ecryption Standard (WPA2 AES). Этот механизм легко реализуется на всех ноутбуках под управлением Windows XP и Vista, а кроме того, доступен для большинства мобильных платформ, будь то двухрежимные телефоны или портативные устройства (Handheld) наподобие планшетных компьютеров. Пользователь может выбрать и другие способы шифрования, но WPA2 AES объединяет в себе простоту стандартного решения с гарантированной конфиденциальностью данных (у некоторых производителей до уровня FIPS 140-2 — Federal Information Processing Standard) и предоставляет к тому же платформу для сертификации на соответствие «Общим критериям» (Common Criteria EAL 2, стандарт ISO 15408).
Аутентификация пользователей. При наличии механизма аутентификации, соответствующего стандарту 802.1X, предприятия могут быть уверены в том, что их сеть открыта только для уполномоченных лиц, а пользователям не придется сомневаться в соединении с законным сервером. Extensible Authentification Protocol — Generic Token Card (EAP-GTC) обеспечивает двухуровневую аутентификацию. Этот механизм наиболее распространен в Германии. Однако многие предприятия довольствуются относительной простотой и надежностью решений Protected EAP (EAP-PEAP), где используется лишь комбинация из имени пользователя, пароля и серверного сертификата. Расширенный механизм аутентификации призван гарантировать соответствие используемого конечного устройства общекорпоративным стандартам безопасности, особенно когда речь идет о портативных системах (двухрежимные телефоны, ноутбуки консультантов или гостей). Применение контроля доступа к сети (Network Access Control, NAC) или защита сетевого доступа (Network Access Protection, NAP) от Microsoft хорошо зарекомендовали себя на практике (Best Practice). Такая среда требует тестирования перед широкомасштабным внедрением.
Защита пользователей. Раньше многие предприятия просто закрывали брандмауэрами уже существующую сеть и таким образом полностью отделяли не вызывающую доверия беспроводную сеть от доверенной проводной. Такой механизм приводил к значительным проблемам: во-первых, сильно осложнялся роуминг между ячейками сети, а во-вторых, изолирование пользователей оказывалось неэффективным. Первый фактор отрицательно влияет прежде всего на голосовую связь. В случае внешнего брандмауэра может потеряться информация о статусе, когда при роуминге пользователь переходит от одного порта брандмауэра к другому, из-за чего происходит разрыв соединения.
Размещение брандмауэра за пределами WLAN позволяет осуществлять атаки VLAN Hopping или ARP Spoofing в беспроводной сети, в результате чего создается угроза целостности контактов и безопасности пользователей. Раньше разделение групп пользователей с помощью виртуальных локальных сетей (Virtual Local Area Network, VLAN) не представляло угрозы безопасности. Теперь беспроводные сети используются не только сотрудниками, но и деловыми партнерами. Поэтому теперь недопустимо разделение пользователей с помощью простых VLAN, каждый должен быть отделен от других брандмауэром.
Обязательное шифрование данных и аутентификация пользователей, желающих получить доступ к сети, — это большой шаг на пути к устранению угрозы хищения данных или атак со стороны хакеров и сотрудников. В сочетании с системой обнаружения и предотвращения вторжений (Intrusion Detection and Prevention, IDS), постоянно занимающейся поиском угроз внутри организации или вовне, отделы ИТ и безопасности теперь могут гарантировать защиту своих сетей.
КАЧЕСТВО СОЕДИНЕНИЯ
Требуемое качество сети можно обеспечить столь же эффективно. Как правило, оно понимается как качество сервиса (Quality of Service, QoS) для приложений. Однако необходимо учитывать и точку зрения пользователей: к примеру, стандарт 802.11n позволяет предприятиям предоставить в распоряжение своих сотрудников надежные высококачественные соединения. В результате впервые появляется возможность реализовать полностью беспроводное рабочее место. Проект стандарта 802.11n версии 2.0 еще достаточно нов, но уже известен как надежный способ предоставления беспроводных соединений. Стандарт комбинирует пространственное мультиплексирование (Spatial Division Multiplexing) с множественным вводом/выводом (Multiple Input Multiple Output, MIMO) и обеспечивает несколько потоков данных по трем антеннам одновременно. Теперь отражение сигнала приводит к улучшению его качества и повышению пропускной способности, а не наоборот. Так, пропускная способность по TCP/IP достигает свыше 150 Мбит/с.
Из-за множества критичных ко времени приложений, выполняемых через WLAN, качество соединения начинает играть все более важную роль. Примеры таких приложений — наблюдение за пациентами в реанимации или IP-телефония в офисной среде. Соответствующие механизмы обеспечения качества, в частности WiFi Multimedia (WMM) и 802.11e, гарантируют надлежащий уровень соединения от конечного устройства до инфраструктуры и обратно. Однако, когда речь идет о передаче трафика реального времени в беспроводной среде, внедрение QoS не должно ограничиваться традиционными методами. Это касается, прежде всего, администрирования соединений, обеспечивающего стабильность беспроводной среды. Соответственно, системы, применяемые в такой сети, должны обладать следующимисти ключевыми функциями.
Распределение пропускной способности по идентификаторам набора услуг (Service Set Identifier, SSID). Как правило, каждая точка доступа (Access Point, AP) предоставляет несколько SSID для различных приложений. К примеру, крупный аэропорт использует шесть различных сетей в одной инфраструктуре WLAN, поскольку нельзя допустить отрицательного влияния на внутренние процессы аэропорта со стороны пассажиров. Ограничение пропускной способности для каждого SSID гарантирует, что все пользователи получат справедливый доступ к сети.
Быстрый клиентский роуминг. Централизованное управление роумингом с гибким кэшированием ключей (Opportunistic Key Cashing, OKC) и/или 802.11r обеспечивает требуемую производительность роуминга в беспроводной сети, достаточную для того, чтобы обладатели голосовых устройств могли перемещаться без разрыва соединения. Специализированные конечные устройства для VoIP обладают исключительно эффективной поддержкой эстафетной передачи соединений (Handover). У современных сотовых и WLAN-телефонов этот параметр оказывается намного ниже критической отметки в 100 мс. Все очевиднее, что стандартизированных методов взаимодействия достаточно для обеспечения очень быстрой передачи соединений. По этой причине нет необходимости во внедрении индивидуальных решений, которые усложняют структуру сети и могут стать причиной проблем.
Контроль доступа для вызовов (Call Admission Control, CAC). 802.11g или 802.11a поддерживают более тридцати одновременных голосовых соединений на одну точку доступа. Хотя беспроводные сети в офисных средах из-за размера письменных столов, как правило, редко обслуживают более десяти пользователей на одну точку доступа, в некоторых местах, к примеру, на административных стойках или в ресторанах, все же может потребоваться поддержка значительно большего количества пользователей. Тогда, во избежание возникновения узких мест, и появляется необходимость в функции CAC. Предприятиям следует внедрять инфраструктуру, пригодную для TSpec. TSpec входит в стандарт качества сервиса 802.11е, содержит элемент для резервирования пропускной способности, сходный с протоколом резервирования ресурсов (Resource Reservation Protocol, RSVP), и признан организацией WiFi Alliance в качестве элемента сертификации категорий доступа WMM (WMM Access Categories).
Администрирование качества беспроводной среды. Для эффективного управления радиоэфиром большинство точек доступа переходит в автономный режим и сканирует имеющиеся частоты или использует гибридную функцию для регистрации и отклонения попыток проникновения в сеть (Intrusion Detection and Prevention). В это время никакой трафик данных, независимо от его приоритета, точкой доступа не обрабатывается. Хотя такое сканирование осуществляется очень быстро и соединение за это время не разрывается, качество передачи таких критичных ко времени типов данных, как речь, видео и им подобные, может ухудшиться. Соответственно, точка доступа не должна переходить в режим сканирования в момент обработки подобного трафика.
Роджер Хокедэй — директор по маркетингу в регионе ЕМЕА в Aruba Networks.
© AWi Verlag
Рисунок 1. Четыре важных этапа, которые необходимо учитывать, чтобы развертывание беспроводной локальной сети было успешным.
Рисунок 2. Беспроводным сетям все чаще приходится регулировать трафик данных комбинированных конечных устройств. При этом сети необходимо распознать различные типы трафика данных, чтобы обеспечить необходимое качество для голосовых или видеосоединений.