Byte/RE ИТ-издание

Беспроводные сети в корпоративной инфраструктуре

1. Каковы принципы интеграции беспроводных сетей в существующую коммуникационную инфраструктуру?

2. Что входит в методологию защиты беспроводных сетей от внешних и внутренних угроз?


Photo Сергей Рацеев,
эксперт по сетевым технологиям,
Computer Mechanics (http://www.mechanics.ru)

1. Одна из главных принципиальных проблем, требующих решения до начала строительства сети, — необходимость однозначного выбора модели и типа оборудования. В тех случаях, когда предполагается постоянное развитие корпоративной беспроводной сети, как по зонам покрытия, так и по количеству обслуживаемых абонентов, экономически обоснованным считается подход, при котором архитектор сознательно отказывается от полнофункциональных автономных точек доступа в пользу так называемых облегченных, управляемых центральным контроллером. Единый центр управления существенно упрощает задачи администрирования оборудования. Применение шаблонов конфигурации для большей части точек беспроводного доступа позволяет снизить количество ошибок, связанных с человеческим фактором.

Использование центрального контроллера беспроводного доступа также дает возможность вести постоянный мониторинг используемых радиочастот, применять адаптивную регулировку мощности радиоизлучения (при выходе из строя точки доступа или при добавлении новой) и автоматически балансировать нагрузку при помощи уже имеющихся в контроллере данных.

В современных корпоративных сетях необходимы различные уровни доступа и качество сервиса для разных категорий пользователей и оборудования. Современные беспроводные корпоративные сети должны поддерживать сегментацию пользователей на группы, имеющие право доступа только к необходимым для данной группы информационным ресурсам.

В новых инсталляциях или при модернизации устаревшей корпоративной телефонии все чаще применяются решения, основанные на IP-телефонии. В частности, беспроводная IP-телефония приходит на смену традиционным решениям на базе стандарта DECT. В новых решениях требуются качественная поддержка технологии VoIP (стандарта IEEE 802.11e), обеспечение балансировки нагрузки и бесшовного роуминга (без разрыва соединения) между соседними точками доступа.

В процессе создания корпоративной сети в целом и ее беспроводных сегментов в частности приходится решать задачу бесперебойного функционирования при сбоях системы энергоснабжения. В качестве абонентских устройств в беспроводных сетях обычно используется оборудование, имеющее автономные источники питания (аккумуляторы). Это обстоятельство создает благоприятные предпосылки для обеспечения непрерывной работы беспроводной сети в целом за счет технологии Power over Ethernet (стандарт IEEE 802.3af), позволяющей задействовать источники бесперебойного питания, установленные в этажном коммутационном центре для электропитания точек беспроводного доступа.

2. За последние несколько лет написано очень много книг и статей, посвященных уязвимостям беспроводных сетей стандарта IEEE 802.11. Серьезность проблем была осознана практически всеми, и в короткие сроки были приняты стандарты WPA/WPA2 (IEEE 802.11i). В настоящее время уже трудно найти примеры инсталляций корпоративных беспроводных сетей, которые не использовали бы стойкие алгоритмы шифрования (AES) или как минимум механизмы управления ключами и контроля целостности передаваемых кадров (TKIP).

Отсутствие шифрования для беспроводной корпоративной сети или использование стандартного алгоритма шифрования WEP оправдано только в тех случаях, когда необходимо обеспечить работоспособность устаревшего оборудования, вычислительная мощность которого не позволяет применять шифрование либо для которого производитель уже не выпускает обновлений ПО. В таких случаях требуются дополнительные меры безопасности для ограничения доступа из беспроводного сегмента к сетевым ресурсам. В частности, можно разрешить доступ только к минимально необходимым информационным ресурсам и ограничить возможности подключения к сегменту для устройств (фильтрация по MAC-адресу).

На устройствах, обладающих достаточной вычислительной мощностью и механизмами установки прикладного ПО, можно применять стандартные средства обеспечения конфиденциальности передаваемой информации за счет организации туннелей VPN. Это особенно актуально для организаций, предоставляющих удаленный доступ для сотрудников через Интернет, уже имеющих необходимое оборудование и ПО и желающих организовать единый механизм удаленного доступа.

Современные корпоративные беспроводные сети применяют версии WPA, ориентированные на стандарт IEEE 802.1X для контроля доступа пользователей к сети. При этом можно опираться на пользовательские учетные записи из корпоративного ресурса Active Directory или цифровые сертификаты из развернутой инфраструктуры PKI. Это позволяет разрешать доступ к сети разным пользователям с различными правами, вести статистику количества и продолжительности соединений пользователей, оценивать объем переданной и полученной информации.

При наличии центральных контроллеров управления «облегченными» точками беспроводного доступа появляется возможность использовать интегрированную систему предотвращения вторжений, способную обнаруживать и подавлять работу нелегально развернутых точек доступа или пользовательских одноранговых сетей в режиме ad hoc (работа без использования точки доступа). Система определения местоположения беспроводных устройств, при использовании ее совместно с центральным контроллером, позволяет установить текущее местонахождение нарушителей корпоративной политики безопасности или обычных пользователей сети.

Подключать корпоративную беспроводную сеть к существующей проводной инфраструктуре необходимо через специально выделенные для этих целей сегменты ЛВС (VLAN), при этом желательно использовать средства фильтрации пакетов и, возможно, межсетевые экраны и сетевые системы предотвращения вторжений.


Photo Евгений Поршаков,
руководитель группы опорных сетей,
Inline Technologies (http://www.in-line.ru)

1. Построение беспроводной сети передачи данных, как и любая другая задача, имеет конкретную цель. Ее-то и необходимо определить в первую очередь. Например, организаторам вручения премий ТЭФИ или «Оскар» требуется разработать мобильное решение, позволяющее быстро разворачивать ИТ-инфраструктуру, обеспечивающую голосование. При этом члены жюри конкурса для голосования должны использовать портативные компьютеры, оснащенные портом Wi-Fi. Другой пример: гипермаркет намеревается на всей территории магазина использовать электронные ценники, работающие через беспроводную сеть. Как мы видим, в обоих случаях требуется беспроводная инфраструктура, однако решаемые с ее помощью задачи и, соответственно, требования к ней различны.

Следующий этап построения беспроводной сети — проведение обследования площадки, где ее предполагается развернуть. В ходе обследования должны быть проведены замеры по всей территории помещения и определены такие параметры, как скорость, мощность и качество сигнала. После обработки полученных данных выполняется распределение точек радиодоступа по территории. При расстановке этих точек необходимо учитывать параметры, определенные в техническом задании заказчика, такие, как полоса пропускания, качество сигнала, отказоустойчивость. Для соблюдения этих требований следует разделить территорию предполагаемого покрытия на зоны, для организации которых будут использоваться разные инженерные подходы. При этом разница в подходах определяется, во-первых, количеством используемых точек радиодоступа. Например, увеличение числа точек радиодоступа в зоне предполагаемого покрытия и снижение мощности сигнала на них позволяет увеличить скорость передачи данных на пользовательских устройствах. Следующее различие состоит в типах используемых антенн: например, используя секторную антенну, можно избежать излишних пересечений между радиочастотами и увеличить эффективную дальность покрытия. И наконец, разные инженерные подходы к организации зоны покрытия предполагают использование разных технологий. Например, технология standby позволяет резервировать точки доступа, что соответственно повышает отказоустойчивость данной зоны.

Крайне важно, чтобы построенная сеть беспроводного доступа не нарушала существующие принципы работы ИТ-инфраструктуры. В противном случае функционирование всей сетевой инфраструктуры окажется под угрозой или потребуются существенные, неоправданные затраты на разработку новых правил «сосуществования» проводного и беспроводного сегментов. Кроме того, дизайн сети должен соответствовать заранее выбранной архитектуре.

Другой принцип построения эффективных беспроводных сетей в рамках существующей ИТ-инфраструктуры состоит в том, чтобы реализовать решение в полном объеме; частичная реализация, как правило, недопустима. Если построение беспроводной сети осуществляется, например, в два этапа: сначала расставляются точки радиодоступа и подключаются к сетевой инфраструктуре, а через год рассматривается необходимость покупки системы контроля и управления, — корпоративная инфраструктура может быть подвержена атакам злоумышленников. При этом сетевые администраторы не смогут контролировать ситуацию.

Архитектура сети беспроводного доступа может быть централизованной или распределенной. Централизованная архитектура сети подразумевает наличие единой точки контроля и управления беспроводной сетевой инфраструктурой, что позволяет сократить затраты на обслуживающий персонал и в итоге — стоимость эксплуатации решения. Это достигается за счет использования системы контроля и управления в головном офисе, где происходит сбор и анализ информации о работе беспроводной сетевой инфраструктуры. При системе централизованного контроля и управления администраторы сети способны определить места несанкционированных попыток доступа к беспроводной сети. Данная архитектура целесообразна при большом количестве малых или средних офисов, подключенных по выделенным каналам к головному офису.

Распределенная архитектура сети подразумевает разделение задач управления и контроля сетями беспроводного доступа между предприятиями. Эта архитектура целесообразна в том случае, когда холдинг включает в себя равнозначные компании средних или больших размеров. Для эффективного контроля и управления сетями беспроводного доступа лучше распределять данную задачу между сетевыми администраторами каждой из компаний холдинга, сохранив при этом единые правила эксплуатации для всех.

2. В наше время ни для кого не секрет, что сети беспроводного доступа более подвержены атакам злоумышленников, чем кабельные. Но это совсем не означает, что их невозможно защитить.

По сей день большинство пользователей беспроводных сетей, будь то компании или частные лица, уделяют недостаточное внимание вопросам безопасности в беспроводных структурах. Это подтверждают периодически публикуемые отчеты различных исследовательских организаций. По статистике, более 50% беспроводных сетей не используют вообще никаких методов шифрования и аутентификации; более 30% используют устаревший механизм шифрования WEP с длиной ключа 64/128 байт. Многие компании, защитив свою беспроводную сеть с применением таких современных механизмов, как WPA/WPA 2, считают данную меру защиты достаточной. Однако и они сталкиваются с проблемами, возникающими в результате DoS-атак взломщиков, и несут финансовые потери.

Решение для построения сети беспроводного доступа должно обеспечивать не только шифрование передаваемых данных и аутентификацию пользователей, но и контроль и управление радиоэфиром, что позволяет:

  • отслеживать появление несанкционированных точек радиодоступа, сетей ad hoc и peer-to-peer;
  • определять физическое местоположение злоумышленника, пытающегося получить доступ к сети беспроводного доступа либо организовать атаку «отказ в обслуживании» (DoS) на сеть;
  • определять местоположение пользователей в здании, используя Wi-Fi-метки (при входе на территорию компании гость получает метку с радиопередатчиком; в течение всего времени его пребывания на территории информация о его местонахождении доступна для просмотра сетевому администратору, и в случае необходимости всегда можно определить траекторию движения и текущее местоположение гостя);
  • собирать статистику работы сети беспроводного доступа. Это предоставляет администратору информацию об ошибках работы сети, местах ее чрезмерной загрузки, зонах радиопокрытия, а также о возможных участках конфликтов между зонами, работающими в одном частотном диапазоне.

Photo Алексей Топорков,
технический директор,
представительство TRENDnet в России и странах СНГ (http://www.trendnet.com/ru)

1. Беспроводное оборудование компании TRENDnet позволяет организовать дополнительный беспроводной сегмент либо объединить несколько офисов.

Дополнительный беспроводной сегмент сети позволит работникам организации свободно перемещаться по офису, складу, прилегающей к работе территории. Для этого используется либо точка доступа, которая будет иметь свой статичный IP-адрес и при желании сможет раздавать IP-адреса своим клиентам (при этом обеспечивается довольно высокая безопасность), либо маршрутизатор, который за счет подмены адресов (NAT) получит на себя один IP-адрес на внешний порт (WAN), организует передачу пакетов на локальные порты (LAN и WLAN).

Объединить несколько офисов (один из которых проводной, а второй беспроводной) можно при помощи нескольких точек доступа. Первая из них должна работать в режиме точки доступа (AP), a вторая — в режиме клиента точки доступа, при этом она сможет подключать к себе беспроводных клиентов.

2. Основная и, наверное, самая главная угроза беспроводной сети — несанкционированное подключение. Подключившись к такой сети, злоумышленник не только получает доступ к общим ресурсам пользователей, файлам и папкам, принтерам, но и может, не останавливаясь на достигнутом, попытаться получить доступ к корпоративным базам данных, серверам, документам, почтовой переписке и т. д.

Для обеспечения безопасности беспроводной сети рекомендуется принять следующие меры.

Измените сетевое имя устройства SSID. Все точки доступа имеют стандартные сетевые имена (например, default), которые и следует изменить на что то оригинальное. Кроме того, поскольку по умолчанию информация о этих именах распространяется по сети в широковещательном режиме, чтобы прорекламировать доступность точки доступа, нужно отключить возможность Broadcast SSID. Эту настройку необходимо поменять сразу же после завершения установки точек доступа (по умолчанию точки доступа передают данные об SSID в широковещательном режиме всем беспроводным клиентам, работающим в заданном диапазоне частот).

Присвойте точке доступа нестандартный IP-адрес. Так как точка доступа — это независимое сетевое устройство, она имеет свой статичный IP-адрес, например, 192.168.0.1.

Отключите функцию автоматического распределения IP-адресов (DHCP). Для удобства настройки точек доступа производитель чаще всего включает распределение IP-адресов автоматически (функция DHCP).

Обязательно используйте алгоритм шифрования. Одним из главных препятствий на пути внедрения WLAN был криптографический алгоритм шифрования Wireless Equivalent Privacy (WEP), использующий слабый, автономный метод шифрования. Чтобы облегчить процедуру подключения клиентов к сети, производители обычно не включают в конфигурацию точек доступа по умолчанию средства эфирного шифрования. После установки точек доступа об этом важном этапе легко забыть — и именно это упущение становится самой распространенной причиной того, что хакеры или несанкционированные пользователи могут подключиться к сетям WLAN. Таким образом, следует настроить метод шифрования эфирной передачи сразу же после установки точек доступа. Мы рекомендуем использовать наиболее безопасные методы шифрования — IEEE 802.11i или VPN.

Стандарт IEEE 802.11i, известный также как Wi-Fi Protected Access 2 (WPA2) и предусматривающий сертификацию точки доступа организацией Wi-Fi Alliance, использует для шифрования данных алгоритм Advanced Encryption Standard (AES). В настоящее время AES, пришедший на смену WEP, — это самый мощный алгоритм шифрования данных. Везде, где это возможно, следует использовать шифрование WPA2 с алгоритмом AES. Предшественник данного стандарта, WPA, представляет собой промежуточную форму, сертифицированную Wi-Fi Alliance в то время, когда стандарт 802.11i еще проходил процедуру ратификации. WPA использует для шифрования протокол Temporal Key Integrity Protocol (TKIP) — форму шифрования, которая обеспечивает значительно более высокий уровень безопасности эфирной передачи и в то же время допускает возможность обновления традиционных клиентов 802.11b, защищая инвестиции заказчиков. Несмотря на то, что AES считается более мощным методом шифрования, следует заметить, что взломать TKIP до сей поры никому не удалось. Мы рекомендуем использовать WPA в качестве второго возможного стандарта шифрования. Применять его следует в том случае, если к вашей сети подключаются относительно старые клиенты, нуждающиеся в обновлении.

Активируйте функцию фильтрации MAC-адресов. Дополнительный пункт безопасности беспроводной сети — фильтрация клиентов по MAC-адресам.

Организуйте аутентификацию между клиентом и сетью. В исходном варианте стандарта 802.11 отсутствует еще одна важная функциональная возможность — механизм взаимной аутентификации между сетью и клиентом. Опять-таки, стандарты WPA и IEEE 802.11i поддерживают эту возможность. Оба эти протокола используют стандарт IEEE 802.1X для взаимной аутентификации клиента и сети.

Вам также могут понравиться