All
на главную   
карта сайта   
полезные ссылки   
Фотокаталог   
сделать стартовой   
контактная информация   

 
новости   
16 мар 2015
  Технология виртуализации сетевых функций (NFV), по...
24 дек 2014
  Fujitsu представила новую специализированную систе...
1 дек 2014
  p>Санта-Клара, Калифорния, 1 декабря 2014 г. / PRN...
1 дек 2014
  Компании Aruba Networks, Avaya, Broadcom, Brocade,...
23 ноя 2011
  Оптический комм...
21 ноя 2011
  Беспроводные ма...
18 ноя 2011
  Устройство Ai...
16 ноя 2011
  Компания  ...
14 ноя 2011
  Компания Q...
11 ноя 2011
  С 22 по 24 ноября в Московском центре международно...
Все новости
 
   Яндекс цитирования

Как защитить WLAN?

  

Какие же меры следует предпринять, чтобы достичь приемлемого уровня защищенности беспроводной сети? Ответ на поставленный вопрос зависит от конкретной ситуации.

Если сеть строится «с нуля» и унаследованные сетевые устройства отсутствуют, воспользуйтесь средствами WPA и методами аутентификации 802.1X, запланировав переход на оборудование 802.11i после его появления на рынке. Применение методов 802.1X не введет вас в лишние расходы. Соответствующие программные средства распространяются бесплатно и встроены, в частности, в операционные системы Windows XP и Mac OS X. Чтобы определить, соответствует ли оборудование спецификации WPA, достаточно найти на нем маркировку WPA Enterprise, которая свидетельствует о прохождении процедуры сертификации в Wi-Fi Alliance. Естественно, вам потребуется сервер RADIUS, поддерживающий стандарт 802.1X.

В качестве альтернативной схемы шифрования трафика WLAN можно прибегнуть к IPSec, особенно если предстоит организовать удаленный доступ к сети по этому протоколу. С точки зрения безопасности IPSec предлагает более совершенную модель шифрования, нежели WPA, но этим различием, скорее всего, смогут воспользоваться только оборонные ведомства. Применение IPSec порождает и негативные следствия — обусловленное туннелированием возрастание объемов служебного трафика может вызвать падение общей пропускной способности, и этот эффект особенно заметен в высокоскоростной сети.

Конечно, существует вариант применения простого протокола виртуальных частных сетей, например Point-to-Point Tunneling Protocol (PPTP), в беспроводных соединениях, в которых поддерживается только WEP. Преимущества использования PPTP поверх WEP, как и любого иного VPN-протокола, — наличие механизма аутентификации и второго уровня шифрования трафика. Хотя реализованная в PPTP модель безопасности гораздо слабее, чем в IPSec, этот протокол уже более пяти лет поддерживается всеми операционными системами, устанавливаемыми на портативных компьютерах. Вероятность купить устройство, на котором не сможет функционировать тандем WEP+PPTP, крайне низка. Другие решения, например «чистый» протокол IPSec или его использование поверх Layer 2 Tunneling Protocol (L2TP), более привлекательны с точки зрения безопасности, но никак не в отношении простоты в работе и совместимости продуктов разных фирм.

 
SMC 2555W-AG — одна из двух точек доступа, успешно прошедшая все тесты на безопасность WLAN

Еще одна проблема, непосредственно связанная с шифрованием беспроводного трафика как на уровне локальной сети, так и при передаче по VPN-туннелям, относится к поддержке устаревшего оборудования. В мире установлены миллионы беспроводных адаптеров, которые «воспринимают» протокол WEP, но практически не способны работать с более изощренной схемой аутентификации, предусмотренной стандартом 802.1X. Ситуацию еще больше усугубляют технические различия между WEP и WPA.

Когда речь идет о небольшой сети, состоящей из пяти-шести точек доступа, в качестве последних стоит использовать устройства, которые поддерживают несколько профилей безопасности на уровне одного радиоинтерфейса, либо изделия с двумя разными радиоинтерфейсами (такие, как протестированная нами модель ProCurve 520wl фирмы Hewlett-Packard). Самый худший сценарий предполагает, что каждый раз вместо одной вам придется устанавливать две точки доступа. Некоторые продукты верхнего ценового класса, включая WLAN-коммутаторы производства Airespace, Aruba и Trapeze, способны обрабатывать пакеты WEP, 802.11i и даже незашифрованный трафик, поэтому дублировать точки доступа не придется.

 
КОММУТАТОР Aruba 800 поставляется с интегрированным полнофункциональным брандмауэром

Если же к WLAN необходимо подключить одно-два унаследованных устройства, воспринимающих только протокол WEP (старую модель принтера или устройство хранения данных), стоит подумать о формировании для него отдельной беспроводной сети. В ней аутентификация будет осуществляться на MAC-уровне.

Наконец, еще одна проблема связана с работой в сети гостевых пользователей. В офисе всегда присутствуют лица, которым требуется услуга беспроводного доступа, но из-за которых вы не намерены жертвовать безопасностью WLAN. В ряде беспроводных устройств специально предусмотрена поддержка гостевого доступа путем переадресации незашифрованного трафика от пользователей, не прошедших процедуру аутентификации, в отдельную виртуальную WLAN. Такую сеть имеет смысл сформировать вне основной корпоративной сети. Помимо изделий уже упомянутых компаний Airespace, Aruba и Trapeze, подобный сценарий поддерживают точки доступа производства 3Com, Cisco, Compex, HP

 
БЕСПРОВОДНОЙ коммутатор Mobility Exchange 20 фирмы Trapeze

Не исключено, что вы решите пропустить гостевых пользователей через простейшую процедуру аутентификации средствами Web-интерфейса, прежде чем они покинут беспроводную сеть и, возможно, начнут работать в проводной. Эта мера поможет отличить «легитимных» гостевых пользователей от злоумышленников, околачивающихся на парковке возле вашего офиса. В зависимости от сложности выбранной модели защиты вам может потребоваться простейший брандмауэр, который будет поддерживать Web-аутентификацию либо одну или несколько более совершенных систем сетевой регистрации, предлагаемых, скажем, фирмами ReefEdge Networks и Vernier Software.

  Серверное оборудование
  Бланк доверенности
  Кроссовое оборудование тип KRONE
  климатическое оборудование
   Как защитить WLAN?
  Кондиционеры
  Коммутация на одной плате
  Неэкранированная витая пара
  Витая пара