|
Красочные буклеты, демонстрирующие безграничные преимущества Wi - Fi, беспроводных сетевых средств, рассказывают либо о крупных, профессионально спроектированных системах, либо о домашних, весьма ограниченных по метражу и пользовательскому наполнению средах.
Задача создания корпоративной беспроводной сети не так проста, и прежде чем перейти к ее решению, необходимо разобраться в некоторых особенностях и инструментах «беспроводного строительства».
Впрочем, мы отнюдь не ратуем за включение в поставку каждого Centrino -ноутбука пособия по курсу «Распространение радиоволн». Как говорится, вольному – воля, а массовому пользователю – удобное, качественное и, главное, простое с точки зрения использования решение. Поэтому настоящий материал ориентирован прежде всего на тех, кому придется создавать такие решения.
Первые неожиданностиНаиболее распространенными стандартами беспроводных сетей сегодня являются IEEE 802.11 b и 802.11 g. Оборудование таких сетей, согласно IEEE, работает в диапазоне 2400-2483,5 МГц и способно передавать данные с максимальной скоростью 11 и 54 Мбит/с соответственно. Практически все ноутбуки на платформе Centrino поддерживают указанные стандарты, что мы и будем учитывать при обзоре типов беспроводных устройств и их свойств.
Распределение волн в рассматриваемом диапазоне имеет ряд оригинальных качеств. Несмотря на функциональное сходство беспроводного и проводного оборудования, разница в их установке, монтаже и настройке немалая. Причина — в свойствах физических сред, используемых для передачи информации. В случае с беспроводным оборудованием нужно учитывать законы распространения радиоволн. Радиоэфир более чувствителен к различного рода помехам. Поэтому наличие перегородок, стен и железобетонных перекрытий может сказаться на скорости передачи данных. Условия приема и передачи радиосигнала ухудшают не только физические препятствия, также помехи создают и различные радиоизлучающие приборы. При разрешении таких проблем одним только правилом прямолинейного распространения радиоволн (с эмпирическим определением коэффициента наносимых преградами помех) не обойтись, ведь выявить тип преграды — тоже задача не из легких.
Проблема качества сигнала не решится простым увеличением мощности точек доступа. Дело в том, что такой подход не гарантирует повышения качества связи, а скорее наоборот – ведет к его ухудшению, так как создает массу помех в том диапазоне частот, который используют другие точки доступа. Напомню, что точки доступа 802.11 предоставляют разделяемую среду, в которой в определенный момент времени лишь одна из них может вести передачу данных. Как следствие, масштабирование таких сетей ограничено.
Стандартно точки доступа комплектуются всенаправленными антеннами, часто приходится выбирать между качественным сигналом и уровнем доступности сети за пределами офиса (то есть безопасностью) ведь доступ к среде, по которой передаются данные, открыт. Именно поэтому вопросы безопасности сети, построенной на основе нескольких точек доступа, весьма актуальны.
АрхитектурыПерейдем к выбору архитектуры создаваемой сети. Распределенная или централизованная?. Каждая из них имеет ряд особенностей, достоинств и недостатков. Так, например, для построения сети на основе распределенной архитектуры (distributed access point architecture) достаточно установить точки доступа. Это, несомненно, ее преимущество. Дело в том, что стандарт 802.11 изначально объединяет в одном устройстве функциональность сетевого контроллера и радиотрансиверов, поэтому развернуть сеть можно посредством установки точек доступа в свободный порт коммутатора и беспроводных адаптеров в клиентские ПК. В большинстве случаев даже нет необходимости конфигурировать ТД или клиентские компьютеры, поэтому беспроводной сегмент становится естественной частью всей сети.
Существенный недостаток такой сети — отсутствие единого управляющего элемента. Поэтому применение такого способа построения зачастую сильно ограничено. Впрочем, в каждом правиле есть исключения, о них мы поговорим несколько позже.
Проблема распределенного построения сети решается использованием беспроводных коммутаторов, однако их применение уже символизирует организацию беспроводной сети на основе централизованной архитектуры. Основное отличие проводных коммутаторов от беспроводных в том, что последние не предоставляют пользователю выделенную полосу пропускания. (Для этого пришлось бы предоставить отдельный беспроводный канал для каждого пользователя сети, в таком случае беспроводные сети лишаются главного достоинства.) Имеются и общие черты. Так, в сети, где устанавливается беспроводный коммутатор, функции шифрования и аутентификации от точек доступа переходят к коммутатору и администрируются централизовано. В итоге задача точки доступа ограничивается транзитом данных к пользователю и от него.
Другое преимущество сети на базе беспроводного коммутатора заключается в том, что при переходе от одной точки доступа к другой пользователь не теряет соединения с сетью, и ему не приходится проходить аутентификацию заново. Беспроводный коммутатор, своеобразный центр беспроводной сети, автоматически и без ущерба для сеанса связи отслеживает перемещения клиента. Кроме того, так как большая часть точек доступа поддерживает режим питания PoE (Power over Ethernet), беспроводный коммутатор способен не только стать для них источником питания, но и выполнять функцию отслеживания отказавших участков сети. Таким образом он может компенсировать неисправность участка сети расширением числа пользователей точек доступа, соседствующих с вышедшей из строя, путем увеличения их мощности. Исходя из информации о количестве пользователей, беспроводный коммутатор может эффективно распределять загрузку каналов, предлагая более широкую пропускную способность сегментам сети, имеющих в определенный момент большее количество пользователей. Уже сегодня производители беспроводных коммутаторов предлагают в составе своих продуктов специализированное ПО, поддерживающие описанные выше функции.
На рынке беспроводных коммутаторов работают компании Symbol Technologies, HP, Proxim, Aruba Wireless Network. В России доступна продукция лидера этого рынка (по данным Infonetics Research) – Symbol Technologies и новичка в этой сфере – HP.
Наиболее интересный беспроводный коммутатор в линейке Symbol Technologies – Symbol WS 2000 Wireless Switch (WS 2000) — представляет собой единую систему, включающую функции обеспечения безопасности, управления и мобильности для создания Ethernet-сетей корпоративного класса и беспроводных сетей. Оборудование WS 2000 предусматривает централизованное администрирование из центров управления сетью, с целью согласованной работы сетевой архитектуры поддерживает тиражирование в нескольких филиалах предприятия. Средства безопасности включают межсетевой экран с проверкой состояния связи; полнофункциональный сервер Network Access Translation с несколькими шлюзами прикладного уровня, способными обслуживать 40 приложений; поддержку стандартов Kerberos, 802.1X/EAP, WPA и IEEE 802.11i, а также встроенную защищенную базу данных веб-аутентификации. Расширенные возможности управления через SNMP и веб с поддержкой SSL позволяют централизованно управлять оборудованием, инсталлированным в нескольких офисах.
Коммутатор поддерживает несколько стандартов — IEEE 802.11b, 802.11a и 802.11g. Помимо встроенной памяти объемом 64 Мбайт есть слот CompactFlash для установки дополнительной памяти и загрузки новых средств безопасности, управления и обеспечения мобильной работы. Также от WS 2000 можно запитывать точки доступа.
HP стала первой компанией из числа А-бренд, представившей беспроводные коммутаторы (в терминах компании — контроллеры доступа). Семейство ProCurve Secure Access 700wl включает три устройства: 720wl, 740wl и 760wl. Согласно данным HP, эти коммутаторы должны обеспечить защищенное и прозрачное соединение с сетью при их перемещениях пользователя в пределах предприятия. Среди возможностей этих продуктов — контроль доступа по ряду параметров (в зависимости от пользователя, его месторасположения и времени суток). Также они совместимы с любым ПО для виртуальных частных сетей (VPN) и не требуют инсталляции на беспроводном устройстве специализированного клиента VPN.
Коммутатор Access Controller 720wl может работать с любыми точками доступа стандарта 802.11b, включая собственный продукт компании, ProCurve 520wl. Он поставляется с четырьмя портами Ethernet 10/100 для подключения точек доступа, имеет два слота расширения, позволяющие увеличить число портов до двенадцати. Возможны и другие варианты использования этих слотов — порты Fibre Channel и платы акселераторов, ускоряющие работу с функциями защиты, например шифрованием. Второй продукт — Access Control Server 740wl — предназначен для централизованной настройки и управления политиками, которые затем будут реализовывать коммутаторы 720wl.
Для малых предприятий и подразделений компаний разработано устройство Integrated Access Manager 760wl, объединяющее коммутатор и сервер управления. Сначала компании могут использовать только это устройство, а затем, по мере расширения сети, добавлять к нему коммутаторы 720wl, сохраняя возможность централизованного управления ими через сервер 760wl.
Вопросы безопасностиОсновным фактором, сдерживающим широкое распространение беспроводных сетей в корпоративной среде, является устоявшееся мнение о недостаточном уровне безопасности таких решений. Впрочем, заключение небезосновательное базовые средства защиты 802.11 взламывались неоднократно. Сегодня беспроводную сеть считают защищенной, если в ней функционируют три основных составляющих системы безопасности: аутентификация пользователя, конфиденциальность и целостность передачи данных.
В настоящее время сообщество разработчиков и производителей беспроводного оборудования близко к повсеместному признанию модели, базирующейся на технологии Wi - Fi Protected Access (WPA). Данная технология поддерживает базовые средства аутентификации протоколов 802.1x, конфиденциальность передачи данных посредством шифрования трафика с помощью TKIP и целостность информации — путем сверки контрольной суммы MIC (Message Integrity Check). Отметим, что протокол TKIP (Temporal Key Integrity Protocol) широкого распространения не получил: несмотря на увеличение общего уровеня безопасности, он существенно сужает пропускную способность беспроводного канала.
Стандартные средства защиты беспроводной сети предусматривают комплекс мер по безопасности передачи данных под общим названием Wired Equivalent Privacy (WEP). Протокол обеспечивает противодействие несанкционированному доступу к сети (механизмы и процедуры аутентификации), а также предотвращение перехвата информации (шифрование с помощью 24-битного ключа типа RC4). WEP неоднократно подвергался критике со стороны специалистов, занимающихся вопросами безопасности беспроводных сетей. Исследования предлагаемого решения продемонстрировали, что определить ключ на основе анализа передаваемых данных можно достаточно быстро – перебором порядка 8000 комбинаций. Так же легко изменить нешифруемый заголовок пакета: получатель информации примет ложный ключ и впоследствии будет взаимодействовать с декодером злоумышленника.
При использовании распределенной архитектуры составляющие WPA-технологии обеспечиваются точками доступа. Иначе обстоит дело в случае централизованной архитектуры. Некоторые производители возлагают задачу защиты сети на точки доступа, другие – на беспроводные коммутаторы, третьи – распределяют между этими двумя устройствами. Например, на коммутаторы возлагается аутентификация пользователей, а шифрованием и целостностью данных занимаются точки доступа. Однако правильнее, когда аутентификация выполняется на границе сети: если злоумышленник пытается получить доступ к сети, лучше перехватить его как можно раньше.
Рассмотрим, как проходит атака DoS (Denial of Service). В распределенной архитектуре DoS-атака осуществляется только на одну точку доступа; так как последняя блокирует весь неавторизованный трафик, другие компоненты сети будут изолированы от атаки. В сети с централизованной архитектурой, где функции аутентификации выполняет коммутатор, точка доступа не может заблокировать неавторизованный трафик, поэтому он направляется к беспроводному коммутатору, который не пропускает его в корпоративную сеть. Однако этот трафик будет передаваться через все устройства, находящиеся на пути от атакованной точки доступа к коммутатору.
Так как при распределенной архитектуре все функции безопасности сосредоточиваются в точке доступа, наиболее частым аргументом против такой архитектуры является ее физическая уязвимость. Иными словами, к точке доступа очень просто несанкционированно проникнуть или вообще похитить ее. А это грозит серьезными проблемами: именно в ней содержатся ключи шифрования и другие установки по обеспечению безопасности. Злоумышленник, похитивший точку доступа, может затем извлечь из нее весьма важную информацию, включая МАС-адреса других сетевых устройств. Более того, установив украденную точку доступа в своей сети (достаточно близко от атакуемой), он может перехватить полноправного клиента и раскрыть регистрационную информацию. Впрочем, проблему можно предотвратить: помещение, где налаживается беспроводная сеть, должно иметь хорошую охранную систему, а точки доступа следует располагать на известном удалении от земли (производственные корпуса). В иных случаях для достижения достаточного уровня безопасности сети лучше остановиться на централизованной архитектуре.
Не последнее место среди оборудования, повышающего уровень безопасности беспроводной сети, занимают антенны. Если учесть, что беспроводные клиентские адаптеры поставляются со стандартными антеннами, поддерживающими относительно небольшую дальность передачи данных, важность использования направленных антенн для физического ограничения зоны доступа к сети, кабелей с малыми потерями для удаления точки доступа от зоны покрытия, молниеразрядников и других устройств весьма актуальна.
Сегодня на рынке встречаются специализированные антенны двух типов. Одни созданы для организации сетей с топологией «точка-точка», то есть однонаправленные, другие – «точка – многоточка» — всенаправленные. Естественно, антенны разного назначения имеют разный коэффициент усиления. Наиболее эффективными принято считать интеллектуальные антенны. Они используют фазированную антенную решетку, с помощью которой можно не только обеспечить большое число контактов с клиентскими станциями при высокой плотности последних, но и максимально ограничить зону работы приемопередатчика точки доступа во избежание возможности внешних атак. Нужно отметить, что стоимость таких антенн пока высока, поэтому они используются в основном операторскими компаниями для строительства крупных сетей.
Примером направленной антенны, доступной на российском рынке, может служить продукт компании U.S. Robotics – USR5482, который дает мощный, сфокусированный сигнал (с углом поляризации 60 градусов) и предназначен для точек беспроводного доступа и маршрутизаторов 802.11b и 802.11g. Кроме того, эта антенна сертифицирована и для внешних, уличных приложений (например, для коммуникаций между зданиями).
Наконец, еще один элемент беспроводных сетей, без которого в ряде случаев невозможно организовать полноценного удаленного доступа, — это устройства для соединения антенны и точки доступа при их взаимном удалении. Представить случаи, в которых антенная колонка и точка доступа могут быть разнесены, несложно – это и способ избегнуть влияния климатических условий на электрическую часть приемопередающего устройства, и возможность обеспечить физическую безопасность точки доступа. Антенные усилители диапазона 2,4 ГГц предназначены для компенсации потерь в кабеле между антенной и приемопередатчиком, увеличения выходной мощности передатчика и повышения стабильности работы приемника. Сейчас наибольшее применение получили усилители с выходной мощностью 500 мВт в совокупности с параболическими антеннами (усиление 24 dBi), что позволяет практически любой точке доступа увеличить дальность действия до 50 км.
Решение проблемы безопасности во многом должно продвинуть распространение протокола передачи данных, заложенного в спецификацию 802.11i. Последняя предполагает внесение изменений не только в протокол, но и в стандартную аппаратуру приемопередающих устройств. Предлагаемый к использованию протокол аутентификации Extensible Authentication Protocol (EAP), базирующийся на PPP, весьма эффективен, так как помимо использования стойких алгоритмов кодирования предлагает еще и применение 128-битных ключей. Кроме того, процедура аутентификации предполагает участие в ней трех сторон — вызывающей (клиента), вызываемой (точки доступа) и сервера аутентификации, что существенно повышает безопасность соединения.
Карты покрытияПоследний момент, на котором мы остановим свое внимание, касается своеобразного «высшего пилотажа» в проектировании беспроводных сетей. Речь пойдет о точном расчете при планировании внешней радиолинии, требующего учета характера местности, типа использованных антенн и множества прочих факторов, что является достаточно сложной задачей и предполагает применение качественной контрольно-измерительной аппаратуры и соответствующих обрабатывающих программ. Надо сказать, что большинство отечественных, и тем более, западных интеграторов использует в этой области собственные ноу-хау, и все они являются тайной за семью печатями. Впрочем, с ростом интереса к сфере беспроводного оборудования появления общедоступных средств «беспроводного проектирования» не могло не произойти. И об одном из таких средств мы расскажем несколько позднее. Но перед тем сформулируем задачи, которые должен выполнять такой программно-аппаратный комплекс. Среди них, в первую очередь, — выбор оптимального расположения точек доступа с учетом экономически оправданного выбора дополнительного оборудования для них (типов антенн, усилителей, фидеров и т. д.). Затем, такая программа должна настроить схему оптимального радиорежима в границах сети, то есть произвести выбор частотных каналов, уровней мощности, плоскости поляризации используемых точек доступа, дабы обеспечить минимальный уровень помех между сегментами сети.
Примером подобного программного обеспечения может служить продукт компании Ekahau — Site Survey (ESS) 2.1 для сетей 802.11a/b/g. Особенность данного ПО в том, что из аппаратного обеспечения потребуется лишь ноутбук с адаптером Wi-Fi и желательно, внешняя антенна, позволяющая повысить точность проводимых измерений. Соответственно, для наружных работ при покупке опционального программного модуля понадобится GPS-приемник с интерфейсным кабелем.
Пакет состоит из базовой программы Site Survey и клиента для аудита сети вместе с набором драйверов для карт от различных производителей. В итоге Ekahau Client превращает обычный ноутбук с Wi-Fi-адаптером в инструмент для контроля беспроводной сети и в большинстве случаев позволяет избежать затрат на приобретение и размещение дополнительной измерительной аппаратуры.
Схема работы этого ПО весьма проста. В начале с помощью Site Survey производится планирование сети, для чего в редакторообразном окне составляется план покрываемого сетью помещения. Далее производится выбор расположения точек доступа, а при помощи Ekahau Client и ноутбука – проверка и доводка выбранного положения точек доступа. Далее идет этап выбора оптимального радиорежима и повторный контроль радиоэфира. Вообще, работа с программой напоминает подгонку результата под необходимые условия в числовых методах. Корреляция искомого положения радиоэфира беспроводной сети ведется до тех пор, пока не будет найден достаточный для заданных условий режим.
|
