EnglishVKTelegram
  • О компании
  • Пресс-центр
  • Решения и услуги
  • Отрасли
  • Проекты
  • Карьера
    • Публикации
    «BYTE/Россия», № 10, 2006

    Беспроводные сети в корпоративной инфраструктуре

    На вопросы журнала «BYTE/Россия», заданные ведущим экспертам компаний – системных интеграторов, отвечает руководитель группы опорных сетей компании INLINE Technologies Евгений Поршаков.

    BYTE: Каковы принципы интеграции беспроводных сетей в существующую коммуникационную инфраструктуру?

    Евгений Поршаков: Построение беспроводной сети передачи данных, как и любая другая задача, имеет конкретную цель. Ее-то и необходимо определить в первую очередь. Например, организаторам вручения премий ТЭФИ или «Оскар» требуется разработать мобильное решение, позволяющее быстро разворачивать ИТ-инфраструктуру, обеспечивающую голосование. При этом члены жюри конкурса для голосования должны использовать портативные компьютеры, оснащенные портом Wi-Fi. Другой пример: гипермаркет намеревается на всей территории магазина использовать электронные ценники, работающие через беспроводную сеть. Как мы видим, в обоих случаях требуется беспроводная инфраструктура, однако решаемые с ее помощью задачи и, соответственно, требования к ней различны.

    Следующий этап построения беспроводной сети — проведение обследования площадки, где ее предполагается развернуть. В ходе обследования, должны быть проведены замеры по всей территории помещения и определены такие параметры, как скорость, мощность и качество сигнала. После обработки полученных данных выполняется распределение точек радиодоступа по территории. При расстановке этих точек необходимо учитывать параметры, определенные в техническом задании заказчика, такие, как полоса пропускания, качество сигнала, отказоустойчивость. Для соблюдения этих требований следует разделить территорию предполагаемого покрытия на зоны, для организации которых будут использоваться разные инженерные подходы. При этом разница в подходах определяется, во-первых, количеством используемых точек радиодоступа. Например, увеличение числа точек радиодоступа в зоне предполагаемого покрытия и снижение мощности сигнала на них позволяет увеличить скорость передачи данных на пользовательских устройствах. Следующее различие состоит в типах используемых антенн: например, используя секторную антенну, можно избежать излишних пересечений между радиочастотами и увеличить эффективную дальность покрытия. И наконец, разные инженерные подходы к организации зоны покрытия предполагают использование разных технологий. Например, технология standby позволяет резервировать точки доступа, что соответственно повышает отказоустойчивость данной зоны.

    Крайне важно, чтобы построенная сеть беспроводного доступа не нарушала существующие принципы работы ИТ-инфраструктуры. В противном случае функционирование всей сетевой инфраструктуры окажется под угрозой или потребуются существенные, неоправданные затраты на разработку новых правил «сосуществования» проводного и беспроводного сегментов. Кроме того, дизайн сети должен соответствовать заранее выбранной архитектуре.

    Другой принцип построения эффективных беспроводных сетей в рамках существующей ИТ-инфраструктуры состоит в том, чтобы реализовать решение в полном объеме; частичная реализация, как правило, недопустима. Если построение беспроводной сети осуществляется, например, в два этапа: сначала расставляются точки радиодоступа и подключаются к сетевой инфраструктуре, а через год рассматривается необходимость покупки системы контроля и управления, — корпоративная инфраструктура может быть подвержена атакам злоумышленников. При этом сетевые администраторы не смогут контролировать ситуацию.

    Архитектура сети беспроводного доступа может быть централизованной или распределенной. Централизованная архитектура сети подразумевает наличие единой точки контроля и управления беспроводной сетевой инфраструктурой, что позволяет сократить затраты на обслуживающий персонал и в итоге — стоимость эксплуатации решения. Это достигается за счет использования системы контроля и управления в головном офисе, где происходит сбор и анализ информации о работе беспроводной сетевой инфраструктуры. При системе централизованного контроля и управления администраторы сети способны определить места несанкционированных попыток доступа к беспроводной сети. Данная архитектура целесообразна при большом количестве малых или средних офисов, подключенных по выделенным каналам к головному офису.

    Распределенная архитектура сети подразумевает разделение задач управления и контроля сетями беспроводного доступа между предприятиями. Эта архитектура целесообразна в том случае, когда холдинг включает в себя равнозначные компании средних или больших размеров. Для эффективного контроля и управления сетями беспроводного доступа лучше распределять данную задачу между сетевыми администраторами каждой из компаний холдинга, сохранив при этом единые правила эксплуатации для всех.

    BYTE: Что входит в методологию защиты беспроводных сетей от внешних и внутренних угроз?

    Евгений Поршаков: В наше время ни для кого не секрет, что сети беспроводного доступа более подвержены атакам злоумышленников, чем кабельные. Но это совсем не означает, что их невозможно защитить.

    По сей день большинство пользователей беспроводных сетей, будь то компании или частные лица, уделяют недостаточное внимание вопросам безопасности в беспроводных структурах. Это подтверждают периодически публикуемые отчеты различных исследовательских организаций. По статистике, более 50% беспроводных сетей не используют вообще никаких методов шифрования и аутентификации; более 30% используют устаревший механизм шифрования WEP с длиной ключа 64/128 байт. Многие компании, защитив свою беспроводную сеть с применением таких современных механизмов, как WPA/WPA 2, считают данную меру защиты достаточной. Однако и они сталкиваются с проблемами, возникающими в результате DoS-атак взломщиков, и несут финансовые потери.

    Решение для построения сети беспроводного доступа должно обеспечивать не только шифрование передаваемых данных и аутентификацию пользователей, но и контроль и управление радиоэфиром, что позволяет:

    • отслеживать появление несанкционированных точек ра диодоступа, сетей ad hoc и peer-to-peer;
    • определять физическое местоположение злоумышленника, пытающегося получить доступ к сети беспроводного доступа либо организовать атаку «отказ в обслуживании» (DoS) на сеть;
    • определять местоположение пользователей в здании, исполь зуя Wi-Fi-метки (при входе на территорию компании гость получает метку с радиопередатчиком; в течение всего време ни его пребывания на территории информация о его место нахождении доступна для просмотра сетевому администра тору, и в случае необходимости всегда можно определить траекторию движения и текущее местоположение гостя);
    • собирать статистику работы сети беспроводного доступа. Это предоставляет администратору информацию об ошибках ра боты сети, местах ее чрезмерной загрузки, зонах радиопо крытия, а также о возможных участках конфликтов между зонами, работающими в одном частотном диапазоне.