Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

БЛВС удаленных офисов

Ричард Дрегер-младший, Грант Моршель

С появлением неуправляемой точки доступа (ТД) в удаленном офисе предприятия возникают серьезные угрозы его информационной безопасности. Что же делать? Расширять корпоративную беспроводную ЛВС (БЛВС)!

Сотрудники удаленных офисов могут почувствовать себя людьми второго сорта, если будут лишены тех технологических возможностей, которые доступны персоналу штаб-квартиры компании. И никакие объяснения типа технической сложности реализации желанных возможностей, а также связанные с этим рост затрат на управление сетью и снижение ее информационной безопасности не успокоят обиженных. Например, работающие в удаленном офисе, в котором нет БЛВС, наверняка посчитают себя обделенными, поскольку, мол, все остальные служащие вовсю пользуются беспроводным доступом к информации. И тогда они могут сами купить и установить у себя какую-нибудь недорогую (за 50 долл.) ТД, при этом наивно полагая, что, решая данную «проблему» самостоятельно, они помогают ИТ-персоналу предприятия.

Очевидно, что вся корпоративная система защиты от хакеров настолько прочна, насколько прочным является ее слабейшее звено. Нелегальная же установка ТД ценой 50 долл. может свести на нет результаты труда ИТ-специалистов всего предприятия, создавших сложную многоуровневую систему контроля доступа и потративших на это несколько тысяч долларов, ведь подключить незащищенную ТД к корпоративной сети равносильно размещению розетки Ethernet на открытой автостоянке рядом с предприятием. Даже если нелегальная ТД сконфигурирована для использования протокола WEP, корпоративную информацию все равно нельзя считать надежно защищенной, поскольку расположившийся рядом с предприятием хакер с остронаправленной антенной (передавая и/или принимая кадры данных 802.11) способен определить статические WEP-ключи и пароли, применяемые сотрудниками удаленного офиса с целью сделать более безопасным свое нелегальное устройство.

Очень плохо, что, сумев войти в сеть удаленного офиса и получив доверенный IP-адрес, злоумышленник может восприниматься сетевыми средствами как авторизованный корпоративный пользователь. И если на WAN-соединении между удаленным и центральным офисами не окажется системы контроля доступа или межсетевого экрана, хакер (по этому соединению) осуществит доступ и к информационным ресурсам центрального офиса.

С появлением корпоративных систем стандарта 802.11n задача организовать БЛВС в удаленных офисах стала еще сложнее. Технология, описанная в спецификациях 802.11n, значительно повышает пропускную способность каждой ТД и при этом расширяет возможности ИТ-персонала по идентификации нелегальных устройств. Но 802.11n-совместимые устройства стоят значительно дороже традиционного оборудования для БЛВС, и с их помощью беспроводные пользователи могут легко «создать затор» на WAN-соединении между офисами.

Оптимальным решением для географически распределенных компаний является создание единой корпоративной БЛВС, охватывающей все удаленные офисы. Но как это осуществить? Можно, конечно, просто разместить в удаленных офисах упрощенные («тонкие») ТД и связать их с контроллером БЛВС, расположенным в центральном офисе. Но этот вариант плох из-за возможности возникновения проблем со связью между центральным и удаленными офисами и перегрузок соответствующих WAN-соединений. Лучше в удаленных офисах установить контроллеры БЛВС небольшой емкости (такие устройства производят компании Aruba Networks, Cisco Systems и Motorola), поддерживающие до шести ТД и выполняющие многие из тех полезных функций, которые имеются в контроллерах, рассчитанных на 1000 ТД и более.

В определенных ситуациях достойной альтернативой контроллерам БЛВС небольшой емкости являются улучшенные системы компаний Aruba и Cisco, предназначенные для расширения корпоративных БЛВС на удаленные офисы с учетом ограниченной пропускной способности WAN-соединений. Речь идет о продуктах Remote Access Point (RAP) и Hybrid Remote Edge Access Point (H-REAP) компаний Aruba и Cisco соответственно. Эти устройства представляют собой обычные «тонкие» ТД, снабженные специальным микрокодом, который обеспечивает их взаимодействие с центральным контроллером БЛВС, что дает возможность сотрудникам удаленных офисов воспользоваться всей сетевой функциональностью, доступной персоналу штаб-квартир, без развертывания локальных контроллеров БЛВС.

Аспекты проектирования

В преобладающей сегодня архитектуре БЛВС безопасность беспроводного доступа обеспечивается многофункциональным контроллером и «тонкими» ТД. Такой централизованный подход к организации сети упрощает создание профилей БЛВС, предназначенных для гибкого управления правами беспроводного доступа, предоставляемыми разным группам пользователей. Если компания задействует несколько контроллеров, ей имеет смысл внедрить у себя систему управления беспроводной сетью, она сконцентрирует информацию обо всех компонентах инфраструктуры БЛВС в едином управляющем интерфейсе.

Существует несколько важных требований, которые обязательно должен учитывать разработчик БЛВС для удаленных офисов:

• Действующие в удаленных офисах средства обеспечения информационной безопасности должны быть совместимыми с таковыми в штаб-квартире, причем во всех офисах следует реализовать идентичные методы аутентификации пользователей. Например, если в центральном офисе задействован протокол аутентификации EAP-TTLS, то же самое нужно сделать и в удаленных офисах. Совместимыми должны быть и средства шифрования данных.

• Для выявления и устранения нелегальных ТД необходимо использовать беспроводные системы предотвращения вторжений. Хорошо спроектированная система сможет нейтрализовывать нелегальные ТД, отключая коммутаторные порты, к которым они подсоединены, временно перегружая трафиком их радиочастотные каналы и помогая ИТ-персоналу определять местоположение этих устройств.

• Для посетителей предприятия нужно обеспечить гостевой доступ на базе веб-портала с использованием безопасных протоколов аутентификации — например, HTTPS.

• Используйте связанную со средствами контроля доступа функцию ограничения сетевой полосы пропускания для конкретных пользователей и их групп, если она поддерживается вашим оборудованием.

Итак, теперь рассмотрим подробнее, почему же в удаленных офисах не следует устанавливать такие же «тонкие» ТД, какие используются в центральном офисе, и управлять ими посредством центрального контроллера. Все дело в том, как организована передача данных в централизованной архитектуре БЛВС.

При включении «тонкая» ТД получает IP-адрес и информацию о контроллере, с которым должна взаимодействовать. На основе этой информации удаленная ТД по WAN-сети создает туннель (с использованием протокола GRE, LWAPP или др.) с контроллером и получает от последнего обновленные информацию о конфигурации БЛВС и микрокод. В принципе все должно функционировать нормально, но, поскольку это оборудование не оптимизировано для связи по WAN-соединению, данное решение получается ненадежным и неэффективным в работе. Например, если из-за неполадок в WAN-сети потеряется связь с контроллером, «тонкая» ТД не «сумеет» самостоятельно обрабатывать трафик БЛВС и начнет искать резервный контроллер. При этом беспроводные клиенты будут отсоединены от ТД и не смогут обращаться ни к удаленным, ни к локальным информационным ресурсам.

И еще. Большинство простейших ТД туннелируют весь трафик своим целевым контроллерам. В результате отсутствия функций локальной коммутации трафика в такой ТД при передаче данных между беспроводными устройствами, находящимися в одном и том же удаленном офисе, кадры данных дважды проходят по WAN-сети. Простейшая ТД недостаточно «умна», чтобы селективно передавать трафик по WAN-каналу, основываясь на информации об адресах отправителей и получателей кадров.

Очевидно, что использование таких ТД (хотя это и реально) нельзя назвать оптимальным решением проблемы организации БЛВС в удаленных офисах. Как уже говорилось, в удаленных офисах лучше задействовать контроллеры на небольшое число ТД или продукты типа RAP и H-RЕAP компаний Aruba и Cisco соответственно. В любом из этих случаев обеспечивается выполнение стандартов безопасности корпоративной БЛВС на территориях удаленных офисов.

Перспективный способ

Появление устройств типа RAP и H-REAP компаний Aruba и Cisco можно считать возвратом сетевого «интеллекта» обратно, в ранее абсолютно «тупые», упрощенные ТД. Названные устройства предназначены для снижения объема трафика между удаленными ТД и контроллером БЛВС путем локальной коммутации пакетов, адресованных локальным устройствам. При конфигурировании ТД типа RAP и H-REAP нужно лишь настроить ее для поддержки ЛВС (в результате будет осуществляться локальная коммутация).

На рисунке представлена ситуация, в которой сотрудники A и B находятся в одном и том же офисе и сотруднику A нужно передать данные сотруднику B. Если локальная ТД взаимодействует (по WAN-соединению) с размещенным в центральном офисе контроллером обычным способом (не имея возможности самой коммутировать трафик), объем WAN-трафика получается очень большим. Использование же продуктов типа RAP и H-REAP позволяет оптимизировать потоки данных.

При проектировании сети на базе поименованных продуктов нужно учитывать ряд ограничений. Во-первых, устройства типа RAP и H-REAP не предназначены для поддержки беспроводного трафика VoIP и других видов чувствительного к временным задержкам трафика. Во-вторых, несмотря на то что в этих устройствах есть какие-то функции локальной аутентификации, как правило, если связь с контроллером утеряна, новые пользователи не аутентифицируются с помощью обычных механизмов 802.1X и EAP. В зависимости от реализуемого вами подхода к контролю сетевого доступа ТД типа RAP и H-REAP можно сконфигурировать для выполнения ряда функций локальной аутентификации, чтобы избежать сбоев при подключении пользователей, когда WAN-сеть недоступна. Учтите, что производители по-разному реализуют локальную аутентификацию и обеспечивают поддержку различных вариантов EAP-аутентификации, поэтому обязательно удостоверьтесь в совместимости покупаемого оборудования.

Очень важна гибкость сети удаленного офиса, при которой ТД, работая в режиме RAP или H-REAP, способна обеспечить удаленным пользователям безопасный доступ к корпоративным информационным ресурсам. Такая заранее сконфигурированная ТД окажется полезной и отдельным мобильным профессионалам: они (находясь в командировках) будут подключать ее к сетям клиентов. В этом отношении лучше задействовать устройство RAP компании Aruba, поскольку для связи с контроллером оно реализует стандартные протоколы IPsec и VPN. Данное решение компании Aruba имеет и другие достоинства. Так, оно способно передавать информацию через удаленные перехватывающие (captive) порталы, подобные тем, что широко используются в отелях. В отличие от продукта фирмы Aruba устройство

H-REAP использует протокол LWAPP, аутентифицирующий компоненты БЛВС с помощью публичных сертификатов и шифрующий передаваемый трафик по стандарту Advanced Encryption Standard.

В общем и в целом продукты типа RAP и H-REAP идеально подходят для расширения корпоративных БЛВС на удаленные офисы, для обслуживания которых нужно не более трех ТД. При этом обеспечивается централизованное управление БЛВС. Однако существуют ситуации, когда без локального контроллера не обойтись.

Локальное управление

Как уже говорилось выше, использование продуктов типа RAP и H-REAP — это решение для небольших офисов, в которых достаточно задействовать не более трех ТД. В более крупных филиалах и в тех офисах, где требуется расширенная сетевая функциональность, в том числе и возможность передавать голосовой трафик (VoWi-Fi), предпочтительнее разворачивать беспроводные системы на базе контроллеров БЛВС. Для каждого удаленного офиса подберите в зависимости от его размера подходящую по емкости модель контроллера. Принимая решение о том, стоит ли устанавливать контроллер в удаленном офисе, уделите внимание следующим сетевым аспектам:

• Централизованное управление. С увеличением в сети числа контроллеров становится сложнее контролировать их работу и управлять ими. Как правило, производители предлагают специализированные системы сетевого управления, позволяющие создавать профили БЛВС, конфигурировать множество контроллеров и централизованно обрабатывать оповещения о работе сети, поступающие из разных филиалов географически распределенного предприятия. Однако на приобретение и конфигурирование такого ПО потребуются немалые затраты, и их надо учитывать при проектировании сети.

• Масштабируемость. Контроллеры БЛВС поддерживают от пяти-шести до нескольких сот или даже тысяч ТД. Стоимость контроллера в расчете на одну ТД тем ниже, чем выше его емкость. Проектируя сеть, нужно учитывать и такие факторы, как временная задержка передачи кадров по WAN-сети, необходимое пользователям качество обслуживания трафика и возможности его локальной фильтрации.

• Качество обслуживания. Системы типа RAP и H-REAP не предназначены для осуществления быстрого роуминга между ТД, столь нужного для бесперебойной и безопасной голосовой связи. Если удаленному офису требуется расширенная сетевая функциональность, в частности вышеназванный роуминг, установите в офисе локальный контроллер.

• Временная задержка в WAN-соединении. Низкая попускная способность последнего и перегрузка ЛВС удаленного офиса могут вызвать большую временную задержку при информационном обмене с центральным офисом. Если задержка превышает 100 мс, устройства RAP и H-REAP как бы отсоединяются от своего контроллера и переключаются в режим локальной коммутации. Когда связь улучшается, они восстанавливают соединение с контроллером и возвращаются в первоначальный режим работы. При таких пертурбациях возможно возникновение проблем с подключением пользователей к БЛВС.

• Надежность работы. Локальный контроллер делает функционирование БЛВС менее зависящем от состояния WAN-соединения. Устройства RAP и H-REAP разрабатывались как гибкие решения с функциями прямой аутентификации и локальной коммутации, призванными скомпенсировать потерю связи по WAN-сети, однако они не столь гибкие и многофункциональные, как локальный контроллер, подключенный непосредственно к высокоскоростной ЛВС удаленного офиса. Такой контроллер может обеспечить межсетевое экранирование, быстрый и безопасный роуминг (между ТД), EAP-аутентификацию, терминирование VPN-соединений и выполнение множества других сетевых функций в самом удаленном офисе.

Чтобы принять правильное архитектурное решение, в большинстве офисов достаточно определить нужное для их обслуживания число ТД. Если удаленный офис небольшой и в нем вполне достаточно будет одной или двух ТД, то почти всегда оптимальным решением явится использование устройств типа RAP и H-REAP. Если же офис крупнее и для его обслуживания потребуется пять или более ТД, задействуйте в нем контроллер БЛВС.

В промежуточной ситуации, когда офис нуждается в трех или четырех ТД, для принятия правильного решения исходите из требований его сотрудников к функциональности сети. Финансовый фактор тоже может играть большую роль в процессе принятия решения. Общие денежные затраты будут зависеть от числа удаленных офисов, специфики их инфраструктуры и наличия в них технического персонала. При расчете затрат помните, что ТД типа RAP и

H-REAP входят в общее число ТД, поддерживаемых центральным контроллером. Последний должен иметь достаточно большую емкость для управления всеми удаленными ТД. К счастью, как уже упоминалось, чем выше емкость контроллера, тем ниже его стоимость в расчете на одну ТД..

  
10 '2008
СОДЕРЖАНИЕ

инфраструктура

• Отвод тепла в ЦОДе: проекты

• Решения для надежного долговременного хранения данных

• БЛВС удаленных офисов

информационные системы

• Не спешите мигрировать на Vista

• В поисках "приборной панели" для ИТ-директора

• Корпоративные системы пространственного позиционирования

сети связи

• Поддержка разных технологий доступа к IMS-сети

кабельные системы

• Заземление в вопросах и ответах

• СКС: "горячие" применения и системы управления

защита данных

• Контроль физического доступа шагает в ногу с IP-конвергенцией

• Зашифруйте данные - и в путь!

новые продукты

• "Мистраль-телеком" - кондиционеры для базовых станций; Шкафы "Энеогомеры"


• Калейдоскоп


Реклама: Услуги сантехника водный. Услуги вызова сантехника.
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх