Проектирование и монтаж беспроводных сетей

Решения по обеспечению беспроводного доступа (wi-fi) позволяют обеспечить полную мобильность пользователей и значительно упростить организацию сетей в труднодоступных местах, где отсутствует кабельная проводка или невозможна ее прокладка. Однако, ни для кого не секрет, что существующие в настоящее время беспроводные сети, редко где полностью защищены. Точнее, реализация защиты в самом стандарте явно нуждается в доработке, что и предлагается расширением стандартов (таких как IEEE802.11i и т.д.). Приводимые другими компаниями (в том числе решения крупных провайдеров) решения по обеспечению безопасности беспроводной сети не соответствуют высокой степени надежности. В данный момент только ограниченное количество производителей сетевого оборудования предлагает законченное решение по безопасности беспроводных сетей.

Современное оборудование для обеспечения беспроводного доступа обладает такими преимуществами, как гибкость, скорость развертывания и широкий набор функций по обеспечению безопасности. Это позволяет строить высоконадежные, основанные на современных стандартах и протоколах, высокоскоростные беспроводные сети (WLAN) как внутри зданий, так и между зданиями.

Рассмотрим два варианта установки оборудования, обеспечивающего беспроводной доступ, в компаниях.

1. Оборудование размещено в отдельной сети (подсети) предприятия и в случае его взлома (подключение, DOS-атака) злоумышленник может получить только доступ к сети Интернет. В этом случае рекомендации, выданные многими компаниями могут оказаться достаточными, потому как беспроводная сеть никак не связана с локальной сетью предприятия и злоумышленник не сможет получить доступ к ресурсам локальной сети. Но в этом случае, доступ к локальной сети, не смогут получить также сотрудники компании, подключающиеся при помощи беспроводного соединнения.

2. Оборудование размещено в одной локальной сети, пользователи подключившиеся к нему имеют доступ ко всем ресурсам сети (рабочие станции, сервера). В этом случае необходимо обеспечить высокий уровень безопасности беспроводной сети.
Обратимся к мерам, которые предлагают сегодня многие компании, и опишем недостатки:Поменять пароль администратора точки доступа. Необходимый шаг, который следует сделать в первую очередь.Но в случае если точка доступа не сохраняет информации о попытках неудачного входа администратора, то мы не увидим попытки перебора пароля в будущем.
Отключить трансляцию ID по сети. Сегодня почти все беспроводные устройства и операционные системы способны показать список беспроводных сетей с выключенным SSID. Многие «специалисты» прибегают к этому шагу и создают иллюзию безопасности. Даже если точка доступа не ведет широковещательную передачу идентификаторов SSID, это делают клиенты. Поскольку клиентов гораздо больше, чем точек доступа, и они мобильны, а точки доступа статичны, то злоумышленник с большей вероятностью обнаружит скрытый SSID, анализируя клиентский широковещательный трафик, нежели получит его из точки доступа.
Установить фильтрацию по MAC адресу. В сети сусществует огромное количество программ, позволяющих сменить MAC адрес на сетевой карте.
Использовать шифрование данных. Рекомендуется использовать WPA-2 Personal или Enterprise, но некоторые устройства не поддерживают данный тип шифрования, а в случае с Enterprise (аутентификация на Радиус-сервере), иногда возникают проблемы несовместимости точки доступа с сервером. Поэтому в некоторых случаях настраивают WEP-шифрование, которое легко поддается взлому. Также возможно произвести попытку взлома WPA-ключей, и если точка доступа не ведет подробной статистики о возможном переборе, то пользователь не узнает об этих попытках.
Как видим описанные выше шаги имеют определенные уязвимости и при правильной подготовке злоумышленнику предоставиться возможность получить доступ к беспроводной сети.

При построении беспроводных сетей мы используем сетевую структуру безопасности компании Cisco Systems, именуемую SWAN (Structured Wireless-Aware Network) – это безопасное интегрированное решение, включающее «радио-осведомленную» (wireless-aware) инфраструктуру, минимизирующую общую стоимость владения беспроводной сетью за счет оптимизированного внедрения и управления высокопроизводительными, многофункциональными точками доступа.для поддержки беспроводных сетей. Это позволяет обеспечить для беспроводных локальных сетей тот же уровень безопасности, что и для кабельных инфраструктур.

Использование SWAN необходимо, если:

необходимо внедрить беспроводную сеть имеющую такой же уровень безопасности, масштабируемости, надежности, простоты внедрения и управления, как проводная ЛВС;
административный состав или другие работники компании хотят иметь возможность перемещаться по зданию, не теряя доступа к сети (возможно использование в дополнение к уже существующей традиционной проводке);
из-за конструктивных особенностей здания или бюджетных ограничений (временная аренда и т. п.) нет возможности или необходимости прокладывать локальную сеть в здании;
необходимо подключить распределенные по зданию офисы.
Решение Cisco SWAN включает 4 основных компонента. Функциональность может быть расширена с помощью клиентских устройств и, в будущем, с помощью «радио-осведомленных» проводных продуктов для интеграции проводных и беспроводных локальных сетей.

Основные компоненты решения:

Точки доступа;
CiscoWorks Wireless LAN Solution Engine (WLSE);
Сервер аутентификации по протоколу 802.1X (Cisco Secure Access Control Server (ACS));
Wi-Fi сертифицированные беспроводные клиентские адаптеры.
Опциональные компоненты решения (для поддержки полного набора опций безопасности корпоративного класса):

беспроводные клиентские адаптеры Cisco Aironet;
Cisco-совместимые беспроводные клиентские адаптеры.
Внедрение решения также минимизирует общую стоимость владения и максимизирует работоспособность сети за счет оптимизации следующих функций внедрения, управления и безопасности:

сканирование и мониторинг радиосреды;
обнаружение источников помех;
передовые средства диагностики и устранения неисправностей;
автоматическое конфигурирование новых точек доступа;
обнаружение несанкционированно установленных точек доступа;
мониторинг соблюдения политики безопасности и генерация сигналов при нарушении;
быстрый безопасный роуминг;
продолжение 802.1X аутентификации клиентов даже в тех случаях, когда связь с удаленным сервером аутентификации нарушается (функция WAN link remote site survivability);
массовое конфигурирование и обновление ПО;
Cisco Wireless Security Suite с защищенным доступом Wi-Fi Protected Access;
высокая доступность с помощью автоматического восстановления (self-healing) беспроводной сети.
Cisco SWAN соответствует следующим требованиям:
Пропускная способность и масштабируемость. Точки доступа и беспроводные мосты работают на скоростях от 11 Мбит/с (IEEE 802.11b) до 54 Мбит/с (IEEE 802.11а, IEEE 802.11g).
Все точки доступа Cisco Aironet поддерживают функцию балансировки нагрузки (load-balancing), фильтрации трафика, а также поддерживает функцию горячего резервирования точек доступа (hot-standby redundancy).
Точки доступа и беспроводные мосты способны выбирать наименее зашумленный канал передачи, что обеспечивает отсутствие интерференции с другими устройствами, работающими в этом частотном диапазоне.
Безопасность. Cisco Wireless Security Suite основан на стандарте IEEE 802.1X и протоколе Extensible Authentication Protocol (EAP) и обеспечивает высокий уровень корпоративной безопасности. Устройства Cisco Aironet поддерживают все типы аутентификации и в сочетании с Remote Access Dial-In User Server (RADIUS) беспроводные устройства образуют масштабируемое решение с централизованным управлением политикой безопасности, включающее: взаимную аутентификацию, необходимую для того, чтобы клиентские адаптеры ассоциировались с легальной и авторизованной точкой доступа; динамическую генерацию ключа на каждого пользователя, на каждую сессию для обеспечения защиты передаваемого трафика; защита ключа с помощью предстандартного протокола Temporal Key Integrity Protocol (TKIP); сбор информации на RADIUS сервере обо всех попытках аутентификации.
Защита инвестиций. Устройства серии Cisco Aironet обладают набором функций, обеспечивающих защиту капиталовложений при потребности в дальнейшем развитии сети или расширении существующей функциональности:
Устройства серии Cisco Aironet 1200 и Cisco Aironet 1100 имеют модульную конфигурацию, позволяющую при необходимости увеличить пропускную способность сети путем установки дополнительного модуля или замены существующего модуля на новый, работающий в новом стандарте.
Все устройства серии Cisco Aironet обладают объемом памяти (Flash/DRAM), в четыре раза большим, чем требуется для существующего программного обеспечения, что гарантирует возможность обновления программного обеспечения с появлением новой функциональности.
Вы можете заказать услугу, предварительно обсудив все интересующие Вас вопросы по телефону 221-09-08, или заполнив заявку. Специалисты нашей компании всегда будут рады помочь Вам в выборе оптимального решения Вашей проблемы.

Добавить комментарий