Строим Wi-Fi Сеть
Красочные
буклеты, демонстрирующие безграничные преимущества Wi - Fi,
беспроводных сетевых средств, рассказывают либо о крупных,
профессионально спроектированных системах, либо о домашних, весьма
ограниченных по метражу и пользовательскому наполнению средах. Задача
создания корпоративной беспроводной сети не так проста, и прежде чем
перейти к ее решению, необходимо разобраться в некоторых особенностях и
инструментах «беспроводного строительства».
Впрочем, мы отнюдь
не ратуем за включение в поставку каждого Centrino -ноутбука пособия по
курсу «Распространение радиоволн». Как говорится, вольному – воля, а
массовому пользователю – удобное, качественное и, главное, простое с
точки зрения использования решение. Поэтому настоящий материал
ориентирован прежде всего на тех, кому придется создавать такие решения.
Первые неожиданности Наиболее
распространенными стандартами беспроводных сетей сегодня являются IEEE
802.11 b и 802.11 g. Оборудование таких сетей, согласно IEEE, работает
в диапазоне 2400-2483,5 МГц и способно передавать данные с максимальной
скоростью 11 и 54 Мбит/с соответственно. Практически все ноутбуки на
платформе Centrino поддерживают указанные стандарты, что мы и будем
учитывать при обзоре типов беспроводных устройств и их свойств.
Распределение
волн в рассматриваемом диапазоне имеет ряд оригинальных качеств.
Несмотря на функциональное сходство беспроводного и проводного
оборудования, разница в их установке, монтаже и настройке немалая.
Причина — в свойствах физических сред, используемых для передачи
информации. В случае с беспроводным оборудованием нужно учитывать
законы распространения радиоволн. Радиоэфир более чувствителен к
различного рода помехам. Поэтому наличие перегородок, стен и
железобетонных перекрытий может сказаться на скорости передачи данных.
Условия приема и передачи радиосигнала ухудшают не только физические
препятствия, также помехи создают и различные радиоизлучающие приборы.
При разрешении таких проблем одним только правилом прямолинейного
распространения радиоволн (с эмпирическим определением коэффициента
наносимых преградами помех) не обойтись, ведь выявить тип преграды —
тоже задача не из легких.
Проблема качества сигнала не решится
простым увеличением мощности точек доступа. Дело в том, что такой
подход не гарантирует повышения качества связи, а скорее наоборот –
ведет к его ухудшению, так как создает массу помех в том диапазоне
частот, который используют другие точки доступа. Напомню, что точки
доступа 802.11 предоставляют разделяемую среду, в которой в
определенный момент времени лишь одна из них может вести передачу
данных. Как следствие, масштабирование таких сетей ограничено.
Стандартно
точки доступа комплектуются всенаправленными антеннами, часто
приходится выбирать между качественным сигналом и уровнем доступности
сети за пределами офиса (то есть безопасностью) ведь доступ к среде, по
которой передаются данные, открыт. Именно поэтому вопросы безопасности
сети, построенной на основе нескольких точек доступа, весьма актуальны.
Архитектуры Перейдем
к выбору архитектуры создаваемой сети. Распределенная или
централизованная?. Каждая из них имеет ряд особенностей, достоинств и
недостатков. Так, например, для построения сети на основе
распределенной архитектуры (distributed access point architecture)
достаточно установить точки доступа. Это, несомненно, ее преимущество.
Дело в том, что стандарт 802.11 изначально объединяет в одном
устройстве функциональность сетевого контроллера и радиотрансиверов,
поэтому развернуть сеть можно посредством установки точек доступа в
свободный порт коммутатора и беспроводных адаптеров в клиентские ПК. В
большинстве случаев даже нет необходимости конфигурировать ТД или
клиентские компьютеры, поэтому беспроводной сегмент становится
естественной частью всей сети.
Существенный недостаток такой
сети — отсутствие единого управляющего элемента. Поэтому применение
такого способа построения зачастую сильно ограничено. Впрочем, в каждом
правиле есть исключения, о них мы поговорим несколько позже.
Проблема
распределенного построения сети решается использованием беспроводных
коммутаторов, однако их применение уже символизирует организацию
беспроводной сети на основе централизованной архитектуры. Основное
отличие проводных коммутаторов от беспроводных в том, что последние не
предоставляют пользователю выделенную полосу пропускания. (Для этого
пришлось бы предоставить отдельный беспроводный канал для каждого
пользователя сети, в таком случае беспроводные сети лишаются главного
достоинства.) Имеются и общие черты. Так, в сети, где устанавливается
беспроводный коммутатор, функции шифрования и аутентификации от точек
доступа переходят к коммутатору и администрируются централизовано. В
итоге задача точки доступа ограничивается транзитом данных к
пользователю и от него.
Другое преимущество сети на базе
беспроводного коммутатора заключается в том, что при переходе от одной
точки доступа к другой пользователь не теряет соединения с сетью, и ему
не приходится проходить аутентификацию заново. Беспроводный коммутатор,
своеобразный центр беспроводной сети, автоматически и без ущерба для
сеанса связи отслеживает перемещения клиента. Кроме того, так как
большая часть точек доступа поддерживает режим питания PoE (Power over
Ethernet), беспроводный коммутатор способен не только стать для них
источником питания, но и выполнять функцию отслеживания отказавших
участков сети. Таким образом он может компенсировать неисправность
участка сети расширением числа пользователей точек доступа,
соседствующих с вышедшей из строя, путем увеличения их мощности. Исходя
из информации о количестве пользователей, беспроводный коммутатор может
эффективно распределять загрузку каналов, предлагая более широкую
пропускную способность сегментам сети, имеющих в определенный момент
большее количество пользователей. Уже сегодня производители
беспроводных коммутаторов предлагают в составе своих продуктов
специализированное ПО, поддерживающие описанные выше функции.
На
рынке беспроводных коммутаторов работают компании Symbol Technologies,
HP, Proxim, Aruba Wireless Network. В России доступна продукция лидера
этого рынка (по данным Infonetics Research) – Symbol Technologies и
новичка в этой сфере – HP.
Наиболее интересный беспроводный
коммутатор в линейке Symbol Technologies – Symbol WS 2000 Wireless
Switch (WS 2000) — представляет собой единую систему, включающую
функции обеспечения безопасности, управления и мобильности для создания
Ethernet-сетей корпоративного класса и беспроводных сетей. Оборудование
WS 2000 предусматривает централизованное администрирование из центров
управления сетью, с целью согласованной работы сетевой архитектуры
поддерживает тиражирование в нескольких филиалах предприятия. Средства
безопасности включают межсетевой экран с проверкой состояния связи;
полнофункциональный сервер Network Access Translation с несколькими
шлюзами прикладного уровня, способными обслуживать 40 приложений;
поддержку стандартов Kerberos, 802.1X/EAP, WPA и IEEE 802.11i, а также
встроенную защищенную базу данных веб-аутентификации. Расширенные
возможности управления через SNMP и веб с поддержкой SSL позволяют
централизованно управлять оборудованием, инсталлированным в нескольких
офисах.
Коммутатор поддерживает несколько стандартов — IEEE
802.11b, 802.11a и 802.11g. Помимо встроенной памяти объемом 64 Мбайт
есть слот CompactFlash для установки дополнительной памяти и загрузки
новых средств безопасности, управления и обеспечения мобильной работы.
Также от WS 2000 можно запитывать точки доступа.
HP стала
первой компанией из числа А-бренд, представившей беспроводные
коммутаторы (в терминах компании — контроллеры доступа). Семейство
ProCurve Secure Access 700wl включает три устройства: 720wl, 740wl и
760wl. Согласно данным HP, эти коммутаторы должны обеспечить защищенное
и прозрачное соединение с сетью при их перемещениях пользователя в
пределах предприятия. Среди возможностей этих продуктов — контроль
доступа по ряду параметров (в зависимости от пользователя, его
месторасположения и времени суток). Также они совместимы с любым ПО для
виртуальных частных сетей (VPN) и не требуют инсталляции на
беспроводном устройстве специализированного клиента VPN.
Коммутатор
Access Controller 720wl может работать с любыми точками доступа
стандарта 802.11b, включая собственный продукт компании, ProCurve
520wl. Он поставляется с четырьмя портами Ethernet 10/100 для
подключения точек доступа, имеет два слота расширения, позволяющие
увеличить число портов до двенадцати. Возможны и другие варианты
использования этих слотов — порты Fibre Channel и платы акселераторов,
ускоряющие работу с функциями защиты, например шифрованием. Второй
продукт — Access Control Server 740wl — предназначен для
централизованной настройки и управления политиками, которые затем будут
реализовывать коммутаторы 720wl.
Для малых предприятий и
подразделений компаний разработано устройство Integrated Access Manager
760wl, объединяющее коммутатор и сервер управления. Сначала компании
могут использовать только это устройство, а затем, по мере расширения
сети, добавлять к нему коммутаторы 720wl, сохраняя возможность
централизованного управления ими через сервер 760wl.
Вопросы безопасности Основным
фактором, сдерживающим широкое распространение беспроводных сетей в
корпоративной среде, является устоявшееся мнение о недостаточном уровне
безопасности таких решений. Впрочем, заключение небезосновательное
базовые средства защиты 802.11 взламывались неоднократно. Сегодня
беспроводную сеть считают защищенной, если в ней функционируют три
основных составляющих системы безопасности: аутентификация
пользователя, конфиденциальность и целостность передачи данных.
В
настоящее время сообщество разработчиков и производителей беспроводного
оборудования близко к повсеместному признанию модели, базирующейся на
технологии Wi - Fi Protected Access (WPA). Данная технология
поддерживает базовые средства аутентификации протоколов 802.1x,
конфиденциальность передачи данных посредством шифрования трафика с
помощью TKIP и целостность информации — путем сверки контрольной суммы
MIC (Message Integrity Check). Отметим, что протокол TKIP (Temporal Key
Integrity Protocol) широкого распространения не получил: несмотря на
увеличение общего уровеня безопасности, он существенно сужает
пропускную способность беспроводного канала.
Стандартные
средства защиты беспроводной сети предусматривают комплекс мер по
безопасности передачи данных под общим названием Wired Equivalent
Privacy (WEP). Протокол обеспечивает противодействие
несанкционированному доступу к сети (механизмы и процедуры
аутентификации), а также предотвращение перехвата информации
(шифрование с помощью 24-битного ключа типа RC4). WEP неоднократно
подвергался критике со стороны специалистов, занимающихся вопросами
безопасности беспроводных сетей. Исследования предлагаемого решения
продемонстрировали, что определить ключ на основе анализа передаваемых
данных можно достаточно быстро – перебором порядка 8000 комбинаций. Так
же легко изменить нешифруемый заголовок пакета: получатель информации
примет ложный ключ и впоследствии будет взаимодействовать с декодером
злоумышленника.
При использовании распределенной архитектуры
составляющие WPA-технологии обеспечиваются точками доступа. Иначе
обстоит дело в случае централизованной архитектуры. Некоторые
производители возлагают задачу защиты сети на точки доступа, другие –
на беспроводные коммутаторы, третьи – распределяют между этими двумя
устройствами. Например, на коммутаторы возлагается аутентификация
пользователей, а шифрованием и целостностью данных занимаются точки
доступа. Однако правильнее, когда аутентификация выполняется на границе
сети: если злоумышленник пытается получить доступ к сети, лучше
перехватить его как можно раньше.
Рассмотрим, как проходит
атака DoS (Denial of Service). В распределенной архитектуре DoS-атака
осуществляется только на одну точку доступа; так как последняя
блокирует весь неавторизованный трафик, другие компоненты сети будут
изолированы от атаки. В сети с централизованной архитектурой, где
функции аутентификации выполняет коммутатор, точка доступа не может
заблокировать неавторизованный трафик, поэтому он направляется к
беспроводному коммутатору, который не пропускает его в корпоративную
сеть. Однако этот трафик будет передаваться через все устройства,
находящиеся на пути от атакованной точки доступа к коммутатору.
Так
как при распределенной архитектуре все функции безопасности
сосредоточиваются в точке доступа, наиболее частым аргументом против
такой архитектуры является ее физическая уязвимость. Иными словами, к
точке доступа очень просто несанкционированно проникнуть или вообще
похитить ее. А это грозит серьезными проблемами: именно в ней
содержатся ключи шифрования и другие установки по обеспечению
безопасности. Злоумышленник, похитивший точку доступа, может затем
извлечь из нее весьма важную информацию, включая МАС-адреса других
сетевых устройств. Более того, установив украденную точку доступа в
своей сети (достаточно близко от атакуемой), он может перехватить
полноправного клиента и раскрыть регистрационную информацию. Впрочем,
проблему можно предотвратить: помещение, где налаживается беспроводная
сеть, должно иметь хорошую охранную систему, а точки доступа следует
располагать на известном удалении от земли (производственные корпуса).
В иных случаях для достижения достаточного уровня безопасности сети
лучше остановиться на централизованной архитектуре.
Не
последнее место среди оборудования, повышающего уровень безопасности
беспроводной сети, занимают антенны. Если учесть, что беспроводные
клиентские адаптеры поставляются со стандартными антеннами,
поддерживающими относительно небольшую дальность передачи данных,
важность использования направленных антенн для физического ограничения
зоны доступа к сети, кабелей с малыми потерями для удаления точки
доступа от зоны покрытия, молниеразрядников и других устройств весьма
актуальна.
Сегодня на рынке встречаются специализированные
антенны двух типов. Одни созданы для организации сетей с топологией
«точка-точка», то есть однонаправленные, другие – «точка – многоточка»
— всенаправленные. Естественно, антенны разного назначения имеют разный
коэффициент усиления. Наиболее эффективными принято считать
интеллектуальные антенны. Они используют фазированную антенную решетку,
с помощью которой можно не только обеспечить большое число контактов с
клиентскими станциями при высокой плотности последних, но и максимально
ограничить зону работы приемопередатчика точки доступа во избежание
возможности внешних атак. Нужно отметить, что стоимость таких антенн
пока высока, поэтому они используются в основном операторскими
компаниями для строительства крупных сетей.
Примером
направленной антенны, доступной на российском рынке, может служить
продукт компании U.S. Robotics – USR5482, который дает мощный,
сфокусированный сигнал (с углом поляризации 60 градусов) и предназначен
для точек беспроводного доступа и маршрутизаторов 802.11b и 802.11g.
Кроме того, эта антенна сертифицирована и для внешних, уличных
приложений (например, для коммуникаций между зданиями).
Наконец,
еще один элемент беспроводных сетей, без которого в ряде случаев
невозможно организовать полноценного удаленного доступа, — это
устройства для соединения антенны и точки доступа при их взаимном
удалении. Представить случаи, в которых антенная колонка и точка
доступа могут быть разнесены, несложно – это и способ избегнуть влияния
климатических условий на электрическую часть приемопередающего
устройства, и возможность обеспечить физическую безопасность точки
доступа. Антенные усилители диапазона 2,4 ГГц предназначены для
компенсации потерь в кабеле между антенной и приемопередатчиком,
увеличения выходной мощности передатчика и повышения стабильности
работы приемника. Сейчас наибольшее применение получили усилители с
выходной мощностью 500 мВт в совокупности с параболическими антеннами
(усиление 24 dBi), что позволяет практически любой точке доступа
увеличить дальность действия до 50 км.
Решение проблемы
безопасности во многом должно продвинуть распространение протокола
передачи данных, заложенного в спецификацию 802.11i. Последняя
предполагает внесение изменений не только в протокол, но и в
стандартную аппаратуру приемопередающих устройств. Предлагаемый к
использованию протокол аутентификации Extensible Authentication
Protocol (EAP), базирующийся на PPP, весьма эффективен, так как помимо
использования стойких алгоритмов кодирования предлагает еще и
применение 128-битных ключей. Кроме того, процедура аутентификации
предполагает участие в ней трех сторон — вызывающей (клиента),
вызываемой (точки доступа) и сервера аутентификации, что существенно
повышает безопасность соединения.
Карты покрытия Последний
момент, на котором мы остановим свое внимание, касается своеобразного
«высшего пилотажа» в проектировании беспроводных сетей. Речь пойдет о
точном расчете при планировании внешней радиолинии, требующего учета
характера местности, типа использованных антенн и множества прочих
факторов, что является достаточно сложной задачей и предполагает
применение качественной контрольно-измерительной аппаратуры и
соответствующих обрабатывающих программ. Надо сказать, что большинство
отечественных, и тем более, западных интеграторов использует в этой
области собственные ноу-хау, и все они являются тайной за семью
печатями. Впрочем, с ростом интереса к сфере беспроводного оборудования
появления общедоступных средств «беспроводного проектирования» не могло
не произойти. И об одном из таких средств мы расскажем несколько
позднее. Но перед тем сформулируем задачи, которые должен выполнять
такой программно-аппаратный комплекс. Среди них, в первую очередь, —
выбор оптимального расположения точек доступа с учетом экономически
оправданного выбора дополнительного оборудования для них (типов антенн,
усилителей, фидеров и т. д.). Затем, такая программа должна настроить
схему оптимального радиорежима в границах сети, то есть произвести
выбор частотных каналов, уровней мощности, плоскости поляризации
используемых точек доступа, дабы обеспечить минимальный уровень помех
между сегментами сети.
Примером подобного программного
обеспечения может служить продукт компании Ekahau — Site Survey (ESS)
2.1 для сетей 802.11a/b/g. Особенность данного ПО в том, что из
аппаратного обеспечения потребуется лишь ноутбук с адаптером Wi-Fi и
желательно, внешняя антенна, позволяющая повысить точность проводимых
измерений. Соответственно, для наружных работ при покупке опционального
программного модуля понадобится GPS-приемник с интерфейсным кабелем.
Пакет
состоит из базовой программы Site Survey и клиента для аудита сети
вместе с набором драйверов для карт от различных производителей. В
итоге Ekahau Client превращает обычный ноутбук с Wi-Fi-адаптером в
инструмент для контроля беспроводной сети и в большинстве случаев
позволяет избежать затрат на приобретение и размещение дополнительной
измерительной аппаратуры.
Схема работы этого ПО весьма проста.
В начале с помощью Site Survey производится планирование сети, для чего
в редакторообразном окне составляется план покрываемого сетью
помещения. Далее производится выбор расположения точек доступа, а при
помощи Ekahau Client и ноутбука – проверка и доводка выбранного
положения точек доступа. Далее идет этап выбора оптимального
радиорежима и повторный контроль радиоэфира. Вообще, работа с
программой напоминает подгонку результата под необходимые условия в
числовых методах. Корреляция искомого положения радиоэфира беспроводной
сети ведется до тех пор, пока не будет найден достаточный для заданных
условий режим.
Врезка 1. Виктор Максимов, коммерческий директор компании Art Communications Главным
фактором, влияющим на рост БСПД, в нашей стране, безусловно,, были и
остаются вопросы регулирования спектра. Упрощение процедуры регистрации
в диапазоне 2,4 ГГц привело к росту количества сетей этого диапазона.
Но свободный ресурс в диапазонах 2,4 ГГц и 3,5 ГГц практически
исчерпан, и эти участки спектра крайне захламлены. Диапазон 5 ГГц имеют
лучшую экологию, поэтому неудивительно, что многие операторы переходят
именно сюда.
С другой стороны технологических сложностей тоже
хватает, и только собственный опыт, а также наработанные ноу-хау,
помогают их решать. Ведь в любой сфере приходится копить знания и
умения решать определенные вопросы — именно так и происходит
становление оператора.
При организации доступа к беспроводным
сетям наша компания отдает предпочтение оборудованию Cisco, как
наиболее надежному. Потребителями этих решений становятся, в основном,
корпоративные клиенты. В других случаях применяется техника LinkSys,
надежные, но более дешевые решения для рынка SOHO, небольших проектов и
частного сектора.
Здесь важно отметить использование
исключительно сертифицированного ПО, отвечающего всем требованиям
безопасности. И несмотря на то, что сегодня много говорят об уязвимости
беспроводных сетей, мы склонны считать, что это не совсем верно. Если
сеть защищена профессионально – осуществить несанкционированный доступ
в нее практически невозможно. Но если при проектировании сети были
допущены ошибки, результат будет очевидным. К счастью, решений по
обеспечению безопасности сегодня очень много, и выбор зависит от
конкретных требований проекта.
Но, даже учитывая это, нельзя
сказать, что беспроводные сети – это панацея. Проводные решения никуда
не исчезнут, нельзя противопоставлять эти технологии. Они дополняют
друг друга, и каждая решает свои задачи.
Врезка 2. Дмитрий Бутмалай, ведущий эксперт департамента системных решений компании IBS Сложности
при построении беспроводных сетей действительно возникают, но
практически всегда их можно преодолеть. Если говорить о государственных
согласованиях, то с внутриофисными беспроводными сетями диапазона 2,4
ГГц особых проблем нет, поскольку для них действует фактически
уведомительный порядок получения разрешения на использование частот.
Вместе с тем степень распространенности беспроводного оборудования
сегодня такова, что особого смысла в этом нет, ибо 99% внутриофисных
беспроводных сетей, главным образом, домашних, работают без разрешения
и бороться с этим бессмысленно.
В то же время для диапазона
5,2 ГГц ситуация несколько сложнее, так как зарегистрировать в этом
диапазоне сеть невозможно, хотя большинство выпускаемых в настоящее
время точек доступа и беспроводных адаптеров поддерживают работу по
стандарту IEEE 802.11a именно в этом диапазоне. Как после поступать в
таком случае, можно ли контролировать ситуацию административно? К
сожалению, законодательство за последние 2 года не изменилось, но
реалии таковы, что в области внутриофисных сетей разрабатывать
нормативы уже поздно, следует признать факт их существования и
разрешить безлицензионную работу. Ограничения возможны только на
технические характеристики оборудования, но это должно контролироваться
на этапе ввоза. Иначе любой контроль теряет смысл.
Несмотря на
периодически возникающие сложности, за годы работы в этой области нами
накоплен большой опыт, разумеется, разработаны свои ноу-хау, главным
образом, в области обеспечения безопасности беспроводных сетей. Таким
образом, мы можем сказать, что любые технические вопросы по
развертыванию беспроводных сетей нам сегодня «по зубам», равно как и
поддержка сервисов и обеспечение безопасности. Кстати, вопросы
безопасности решаются не только собственными средствами, но и с помощью
продуктов Cisco Aironet. Мы отдаем предпочтение именно этим решениям,
так как Cisco является бесспорным лидером в области Wi-Fi для
корпоративных заказчиков.
Тем не менее сегодня даже с таким
оборудованием беспроводные сети обходятся, по крайней мере, не дороже
проводных, стоимость обслуживания - тоже. Поэтому развертывание
беспроводных сетей часто оказывается для заказчика более
привлекательным вариантом.
Врезка 3. Александр Ярошко, ведущий инженер Департамента сетевых технологий компании АйТи Основные
сложности при развертывании беспроводных сетей связаны, во-первых, с
ограничением возможностей радиосети пропускной способностью среды, и,
во-вторых, с необходимостью получать целый ряд разрешительных
документов.
Технологические сложности, впрочем, сводятся в
основном к тому, что при построении радиосети внутри здания мы всегда
имеем дело с пересеченной местностью – стенами, перегородками и другими
препятствиями. Соответственно, чтобы точки доступа обеспечивали
покрытие всей необходимой территории, необходимо точно просчитать их
расположение. Если для проектирования традиционной сети зачастую
достаточно планов здания и телефонных консультаций с заказчиком, то при
построении беспроводных сетей такой вариант «не проходит». Всегда
требуются необходимые измерения на месте.
Правовые моменты
связаны с более серьезными проблемами. При построении сети внутри
здания, когда речь идет лишь об уведомлении соответствующих инстанций,
как правило, проблем не возникает. Гораздо сложнее согласовать создание
внешней сети. Необходимо получить разрешения на эксплуатацию сети,
использование частот, решить некоторые другие проблемы. Этот процесс
нередко затягивает осуществление проекта. Более того, были прецеденты,
когда Госкомитет по радиочастотам отказывал в выдаче соответствующего
разрешения, следовательно, построение сети становилось невозможным.
Для
построения сети (если она уже одобрена) мы используем оборудование
ведущих мировых производителей — Cisco Systems, Nortel Networks, 3Com.
При выполнении конкретного проекта выбор в пользу оборудования того или
иного вендора обуславливается многими факторами: исходные параметры
сети, требования к особенностям беспроводного доступа и другие.
Предпочтение отдается наиболее оптимальному для конкретного предприятия
решению.
Большую роль играет уровень безопасности. Признаться
честно, получить несанкционированный доступ к беспроводной сети гораздо
проще, чем к традиционной. Однако сделать это все равно довольно
сложно. Современные системы безопасности –прежде всего, системы
аутентификации и авторизации пользователей, а также системы шифрования
данных – обеспечивают достаточно надежную защиту сетей от нежелательных
вторжений. Конечно, они не исключают возможности перехвата пакетов,
иными словами прослушивания сети, и даже подключения к сети с помощью
«пиратских» точек доступа. Но в этом случае речь идет о получении
обрывочных данных. Целенаправленно проникнуть в сеть с выходом на
определенную информацию очень сложно, сведения придется собирать по
крупицам. Ключи шифрования часто меняются, да и сами системы шифрования
(созданные специально для Wi-Fi) постоянно совершенствуются. Таким
образом, если речь не идет о государственных организациях, работающих с
гостайной, то, как правило, заказчиков вполне устраивает существующий
уровень защиты беспроводных сетей.
Также в пользу новых
технологий говорит стоимость построения беспроводной сети: в среднем
она приблизительно равняется затратам на создание традиционной. Более
того, сегодня развертывание беспроводных сетей нередко обходится
дешевле. С чем это связано? Одна из причин в том, что построение
проводной сети на базе СКС – более трудоемкий и длительный процесс. С
точки зрения эксплуатации обслуживание беспроводных сетей облегчается
автоматической диагностикой практически всех проблем, возникающих на
точках доступа, тогда как в проводной сети для обнаружения причин сбоя
часто приходится искать физические повреждения кабеля, что само по себе
непросто. При этом надо понимать, что беспроводные сети не могут
поддерживать те скорости, которые обеспечивают проводные сети, а
соответственно, возможности их ограничены, по крайней мере с точки
зрения числа пользователей и пропускной способности. Хотя, насколько
мне известно, уже ведутся разработки высокоскоростных беспроводных
решений, сопоставимых по своим скоростным возможностям с проводными.
Врезка 4. Денис Куликов, директор по развитию компании Quantum Communications Когда
что-то строишь, непременно сталкиваешься с трудностями, и беспроводные
сети не исключение. Однако здесь есть некоторые особенности. Во всем
мире диапазон 2.4 ГГц и 5.2 ГГц не является лицензируемым, поэтому
оборудование для него находится в свободной продаже и стоит очень
дешево. Наше государство, сделав эти диапазоны лицензируемыми,
заключило соглашения с теми компаниями, кто получил разрешение на эти
частоты. Хотя в них оговаривается, что государство будет регулировать
ситуацию, на практике эти соглашения не выполняются и оборудование, в
частности для наружного монтажа, продается без всяких преград, что
существенно осложняет ситуацию. Не скажу, чтобы за последнее время
что-то изменилось в лучшую сторону, по крайней мере с точки зрения
законодательства. Однозначно можно сказать только то, что сегодня
операторы с нетерпением ждут ясной позиции государства относительно
WiMAX.
Ну, а тем временем мы копим опыт и ведем проекты по
развертыванию сетей W i -Fi. Наши ноу-хау — конкурентное преимущество,
которое позволяет нам активно работать. Quantum Communications
достаточно долго присутствует на рынке, поэтому мы можем быстро оценить
трудоемкость либо неразрешимость возникающей проблемы, а это означает,
что компания потратит оптимальное количество времени, и сразу даст
оценку стоимости решения. При этом мы отдаем предпочтение оборудованию,
которое обладает всеми необходимыми сертификатами и которое указано в
наших разрешительных документах; на сегодняшний день это продукты
компании Infinet. Они позволяют достаточно эффективно решать все
возникающие вопросы и удовлетворять потребности клиентов, в том числе и
касающиеся безопасности.
Вообще говоря, по поводу безопасности
беспроводных сетей стоит высказаться подробнее. Существуют стандартные
клише, которыми любят пугать клиентов: "радио небезопасно", "весна
придет - медные провода зальет", "а вот улицу бульдозер будет
перекапывать, оптику порвет, и месяц опять на Dial Up сидеть". Да, в
беспроводном мире ситуация с безопасностью доступа к каналу сложнее,
чем в проводном. Следовательно, наша компания уделяет этому особое
внимание, хотя надо заметить, что при доступе в Интернет клиенты редко
задумываются о своей безопасности, и стоит ли говорить о безопасности
«последней мили», когда на клиентских терминалах расплодилось
всевозможное spyware? В любом случае для корпоративных каналов мы
применяем шифрование как в самой радиосреде, так и на более высоких
уровнях. Использование частных протоколов производителя
радиооборудования также весьма серьезно повышает безопасность канала.
Таким образом, безопасность грамотно организованных беспроводных сетей
оказывается выше, чем в самодельных проводных.
Однако при
сравнении двух подходов — проводного и беспроводного, неизбежно
возникает вопрос стоимости, и вопрос достаточно трудный. Что будет
дороже в регионах — быстро поставить базовую станцию и сделать
беспроводную «последнюю милю» или около года согласовывать прокладку
оптики. Что выгоднее? С другой стороны, если формировать канал в центре
Москвы или Санкт-Петербурга, то придумать что-то дешевле прокладки
проводной «последней мили» трудно, а ставить базовые станции, при
технологии, требующей к тому же еще и прямой видимости, кажется просто
абсурдным. Впрочем, логика здесь очевидна: чем ниже плотность клиентов,
тем перспективнее использование радио, но с повышением плотности
клиентов проводные каналы начинают выигрывать. Однако стоимость
обслуживания беспроводных каналов, несомненно, дороже.
Врезка 5. Владимир Морозюк, директор по развитию эфирных технологий компании «Комстар — Объединенные Телесистемы» К
сожалению, существующие сегодня на российском рынке БСПД сложности,
характерны для всего мира – дефицит рабочих радиочастот, помехи от
коллег-операторов и других источников излучения, неготовность
владельцев объектов к размещению таких сетей (как с точки зрения
потребности в этих сетях, так и со стороны готовности развивать этот
бизнес самостоятельно). По сути, владельцы беспроводных сетей не
представляют всех сложностей, сопутствующих при получении лицензий,
разрешений на использование частот, при подключении к другим сетям.
Отечественная
специфика мало чем отличается от мировой, а в некоторых аспектах на
нашем рынке даже сложнее работать. Нормативная база закона «О связи»
пока не позволяет ввести упрощенный порядок выдачи лицензий — на каждую
беспроводную точку доступа приходится получать отдельные разрешения,
что серьезно затрудняет оперативное развертывание сетей с сотнями и
тысячами хот-спотов.
Даже если этот этап позади, мало
развернуть сеть на объекте – ее еще нужно подключить к Интернету,
обеспечив при этом высокую скорость доступа. Учитывая растущие
потребности владельцев хот-спотов, важно предоставить возможность
масштабирования этой сети с точки зрения расстановки новых точек
доступа, увеличения скоростей передачи информации, организации биллинга
и так далее. Для качественного предоставления услуг необходимо
обеспечить надежное покрытие, что связано с большим количеством базовых
станций (точек доступа), внешними помехами и другими затруднениями. Для
соединения самих точек доступа нужно построить высокоскоростную
локальную сеть. Понятно, что не всем провайдерам услуг беспроводного
доступа, а в некоторых случаях и операторам, удается решить эти
проблемы. Любая беспроводная сеть имеет какую-либо технологическую
проводную инфраструктуру, и чем масштабнее проект подключения
беспроводной сети, тем эффективнее следует решать задачу организации
«последней мили». В обоих случаях общий показатель затрат зависит от
технических требований, предъявляемых клиентом к решению связи. Затраты
на развертывание беспроводной сети варьируются от $200 до $3 тыс., и
верхний предел этой суммы можно сопоставить со стоимостью организации
проводного решения. Но что касается администрирования беспроводных
сетей, этот процесс является стандартным для сетей различной природы.
На
сегодняшний день мы серьезно продвинулись во всех требуемых
направлениях. По мере накопления критической массы хот-спотов в Москве
«Комстар» планирует заняться организацией роуминга между сетями других
провайдеров беспроводного доступа.
Что касается защиты
построенных сетей, откровенно говоря, вопросы безопасности схожи для
всех сетей связи. Ведь для нападения на какой-либо объект в Интернете
совсем необязательно подключаться в непосредственной близости от него.
Для ограничения несанкционированного доступа к беспроводной сети мы
применяем широкий арсенал средств аутентификации и авторизации, а также
различные способы выявления нарушителя.
Врезка 6. Сергей Кузнецов, менеджер по продажам компании Computer Associates Годовой
рост рынка Wi-Fi составляет 26%, как по оценкам Gartner, так и с точки
зрения IDC. Инвестиции как в технику, так и в ПО, постоянно растут, и
это, безусловно, является положительным моментом для пользователей, в
том числе и для домашних сетей.
Однако у Wi-Fi сегодня есть
две ярко выраженные проблемы. Во-первых, воровство. Поэтому в России
пока нет корпораций, которые активно используют в своей внутренней
инфраструктуре сети Wi-Fi. Да, публичные сети начинают появляться, но
для них воровство не столь критично, ведь человек, выходящий в
Интернет, как в публичной сети, так и через телефонную линию, должен
понимать что идет на риск. Вторая проблема –производительность сети.
Когда к точке доступа подключается очередной пользователь,
производительность падает нелинейно, так что иногда бывает
целесообразнее отказать новому клиенту, чем «просадить» скорость всех
работающих устройств «до нуля».
Отсюда вытекает третья
проблема – обеспечение качественного предоставления услуги. Ведь если
не заботиться о фильтрации случайных пользователей и о безопасности
сети, как объяснить потом людям, которые заплатили за ваши услуги,
почему у них такая низкая скорость или почему на компьютер совершаются
атаки, если пользователь не выходит в Интернет?
Кроме этого,
если говорить о корпоративных пользователях, сети Wi-Fi добавляют
серьезную дыру в системе безопасности предприятия. В сети постоянно
появляются ноутбуки, наладонники, даже если они не новые, кто знает,
что успел подхватить пользователь, работая в других сетях?
На
решение именно этих проблем нацелено программное обеспечение Computer
Associates. С его помощью можно добраться до конечного устройства,
узнать, что на нем установлено, когда оно было подключено и какова
удельная загрузка сети. При этом можно контролировать контент на
устройстве, проверять версии антивирусных баз, настройки безопасности.
В крайнем случае, устройству может быть просто отказано в доступе.
Ведь
корпоративный Wi-Fi является не более чем инструментом для работы
топ-менеджеров либо мобильных сотрудников. И если для мобильного
доступа последних возможны какие-либо ограничения, топ-менеджер не
может быть ограничен ни в чем. Именно поэтому на определенном уровне
структура управления сетями Wi-Fi должна быть предельно прозрачной.
Собственно говоря, никого не интересует, как крепко пришита пуговица на
рубашке, вам просто нужно знать, можно ли надеть ее на встречу. Так же
и в IT: отдельный аспект не интересует никого кроме IT-службы. Поэтому
в системе Computer Associates управление делится на несколько уровней,
в случае возникновения проблемы, возможно, и придется принимать решения
относительно беспроводной сети, однако изначально она является не более
чем элементом комплексной системы управления и поэтому не несет
отдельных угроз. Модули управления беспроводными сетями встраиваются в
общую концепцию управляющего ПО Unicenter и обеспечивают управляемость
и безопасность на всех уровнях. Только так может работать корпоративная
сеть.
Подобные решения пока не востребованы в России, что
объясняется незрелостью российского рынка беспроводных
телекоммуникаций. В действительности сегодня беспроводными сетями
пользуются только топ-менеджеры, для остальных это не более чем
игрушка. Но когда количество мобильных пользователей будет расти,
вопрос эффективности управления сетью встанет ребром, Это, увы,
неизбежно, и уже через год-два речь будет идти именно о том.
Другие статьи
По всем вопросам и предложениям по сайту пишите на info@comp-info.ru  
|