Что нужно учитывать, при построении WLAN

⇐ ПредыдущаяСтр 11 из 12Следующая ⇒

Наиболее распространенными стандартами беспроводных сетей сегодня являются IEEE 802.11 b и 802.11 g. Оборудование таких сетей, согласно IEEE, работает в диапазоне 2400-2483, 5 МГц и способно передавать данные с максимальной скоростью 11 и 54 Мбит/с соответственно. Практически все ноутбуки на платформе Centrino поддерживают указанные стандарты.

Распределение волн в рассматриваемом диапазоне имеет ряд оригинальных качеств. Несмотря на функциональное сходство беспроводного и проводного оборудования, разница в их установке, монтаже и настройке немалая. Причина - в свойствах физических сред, используемых для передачи информации. В случае с беспроводным оборудованием нужно учитывать законы распространения радиоволн. Радиоэфир более чувствителен к различного рода помехам. Поэтому наличие перегородок, стен и железобетонных перекрытий может сказаться на скорости передачи данных. Условия приема и передачи радиосигнала ухудшают не только физические препятствия, также помехи создают и различные радиоизлучающие приборы. При разрешении таких проблем одним только правилом прямолинейного распространения радиоволн (с эмпирическим определением коэффициента наносимых преградами помех) не обойтись, ведь выявить тип преграды - тоже задача не из легких.

Проблема качества сигнала не решится простым увеличением мощности точек доступа. Дело в том, что такой подход не гарантирует повышения качества связи, а скорее наоборот - ведет к его ухудшению, так как создает массу помех в том диапазоне частот, который используют другие точки доступа. Напомним, что точки доступа 802.11 предоставляют разделяемую среду, в которой в определенный момент времени лишь одна из них может вести передачу данных. Как следствие, масштабирование таких сетей ограничено.

Стандартно точки доступа комплектуются всенаправленными антеннами, часто приходится выбирать между качественным сигналом и уровнем доступности сети за пределами офиса (то есть безопасностью) ведь доступ к среде, по которой передаются данные, открыт. Именно поэтому вопросы безопасности сети, построенной на основе нескольких точек доступа, весьма актуальны.

Архитектуры

Перейдем к выбору архитектуры создаваемой сети. Распределенная или централизованная? Каждая из них имеет ряд особенностей, достоинств и недостатков. Так, например, для построения сети на основе распределенной архитектуры (distributed access point architecture) достаточно установить точки доступа. Это, несомненно, ее преимущество. Дело в том, что стандарт 802.11 изначально объединяет в одном устройстве функциональность сетевого контроллера и радиотрансиверов, поэтому развернуть сеть можно посредством установки точек доступа в свободный порт коммутатора и беспроводных адаптеров в клиентские ПК. В большинстве случаев даже нет необходимости конфигурировать точки доступа или клиентские компьютеры, поэтому беспроводной сегмент становится естественной частью всей сети.

Существенный недостаток такой сети - отсутствие единого управляющего элемента. Поэтому применение такого способа построения зачастую сильно ограничено. Впрочем, в каждом правиле есть исключения, о них мы поговорим несколько позже.

Проблема распределенного построения сети решается использованием беспроводных коммутаторов, однако их применение уже символизирует организацию беспроводной сети на основе централизованной архитектуры. Основное отличие проводных коммутаторов от беспроводных в том, что последние не предоставляют пользователю выделенную полосу пропускания. (Для этого пришлось бы предоставить отдельный беспроводный канал для каждого пользователя сети, в таком случае беспроводные сети лишаются главного достоинства.) Имеются и общие черты. Так, в сети, где устанавливается беспроводный коммутатор, функции шифрования и аутентификации от точек доступа переходят к коммутатору и администрируются централизовано. В итоге задача точки доступа ограничивается транзитом данных к пользователю и от него.

Вопросы безопасности

Основным фактором, сдерживающим широкое распространение беспроводных сетей в корпоративной среде, является устоявшееся мнение о недостаточном уровне безопасности таких решений. Впрочем, заключение небезосновательное базовые средства защиты 802.11 взламывались неоднократно. Сегодня беспроводную сеть считают защищенной, если в ней функционируют три основных составляющих системы безопасности: аутентификация пользователя, конфиденциальность и целостность передачи данных.

В настоящее время сообщество разработчиков и производителей беспроводного оборудования близко к повсеместному признанию модели, базирующейся на технологии Wi - Fi Protected Access (WPA). Данная технология поддерживает базовые средства аутентификации протоколов 802.1x, конфиденциальность передачи данных посредством шифрования трафика с помощью TKIP и целостность информации - путем сверки контрольной суммы MIC (Message Integrity Check). Отметим, что протокол TKIP (Temporal Key Integrity Protocol) широкого распространения не получил: несмотря на увеличение общего уровеня безопасности, он существенно сужает пропускную способность беспроводного канала.

При использовании распределенной архитектуры составляющие WPA-технологии обеспечиваются точками доступа. Иначе обстоит дело в случае централизованной архитектуры. Некоторые производители возлагают задачу защиты сети на точки доступа, другие - на беспроводные коммутаторы, третьи - распределяют между этими двумя устройствами. Например, на коммутаторы возлагается аутентификация пользователей, а шифрованием и целостностью данных занимаются точки доступа. Однако правильнее, когда аутентификация выполняется на границе сети: если злоумышленник пытается получить доступ к сети, лучше перехватить его как можно раньше.

Рассмотрим, как проходит атака DoS (Denial of Service). В распределенной архитектуре DoS-атака осуществляется только на одну точку доступа; так как последняя блокирует весь неавторизованный трафик, другие компоненты сети будут изолированы от атаки. В сети с централизованной архитектурой, где функции аутентификации выполняет коммутатор, точка доступа не может заблокировать неавторизованный трафик, поэтому он направляется к беспроводному коммутатору, который не пропускает его в корпоративную сеть. Однако этот трафик будет передаваться через все устройства, находящиеся на пути от атакованной точки доступа к коммутатору.

Так как при распределенной архитектуре все функции безопасности сосредоточиваются в точке доступа, наиболее частым аргументом против такой архитектуры является ее физическая уязвимость. Иными словами, к точке доступа очень просто несанкционированно проникнуть или вообще похитить ее. А это грозит серьезными проблемами: именно в ней содержатся ключи шифрования и другие установки по обеспечению безопасности. Злоумышленник, похитивший точку доступа, может затем извлечь из нее весьма важную информацию, включая МАС-адреса других сетевых устройств. Более того, установив украденную точку доступа в своей сети (достаточно близко от атакуемой), он может перехватить полноправного клиента и раскрыть регистрационную информацию. Впрочем, проблему можно предотвратить: помещение, где налаживается беспроводная сеть, должно иметь хорошую охранную систему, а точки доступа следует располагать на известном удалении от земли (производственные корпуса). В иных случаях для достижения достаточного уровня безопасности сети лучше остановиться на централизованной архитектуре.

Не последнее место среди оборудования, повышающего уровень безопасности беспроводной сети, занимают антенны. Если учесть, что беспроводные клиентские адаптеры поставляются со стандартными антеннами, поддерживающими относительно небольшую дальность передачи данных, важность использования направленных антенн для физического ограничения зоны доступа к сети, кабелей с малыми потерями для удаления точки доступа от зоны покрытия, молниеразрядников и других устройств весьма актуальна.

Сегодня на рынке встречаются специализированные антенны двух типов. Одни созданы для организации сетей с топологией < точка-точка>, то есть однонаправленные, другие - < точка - многоточка> - всенаправленные. Естественно, антенны разного назначения имеют разный коэффициент усиления. Наиболее эффективными принято считать интеллектуальные антенны. Они используют фазированную антенную решетку, с помощью которой можно не только обеспечить большое число контактов с клиентскими станциями при высокой плотности последних, но и максимально ограничить зону работы приемопередатчика точки доступа во избежание возможности внешних атак. Нужно отметить, что стоимость таких антенн пока высока, поэтому они используются в основном операторскими компаниями для строительства крупных сетей.

Решение проблемы безопасности во многом должно продвинуть распространение протокола передачи данных, заложенного в спецификацию 802.11i. Последняя предполагает внесение изменений не только в протокол, но и в стандартную аппаратуру приемопередающих устройств. Предлагаемый к использованию протокол аутентификации Extensible Authentication Protocol (EAP), весьма эффективен, так как помимо использования стойких алгоритмов кодирования предлагает еще и применение 128-битных ключей. Кроме того, процедура аутентификации предполагает участие в ней трех сторон - вызывающей (клиента), вызываемой (точки доступа) и сервера аутентификации, что существенно повышает безопасность соединения.[1, 3, 4]

Выводы

Беспроводные локальные сети имеют как преимущества, так и недостатки в сравнении с проводными локальными сетями. Если необходимо быстро и/или ненадолго развернуть локальную сеть, то предпочтение отдается беспроводной технологии. Примером этого может служить различного рода конференции, семинары и т.п. Также удобно использовать беспроводные технологии на предприятиях или аэропортах, где необходимо обслуживать клиентов, которые все время перемещаются. К недостаткам беспроводных сетей можно отнести низкую пропускную способность, относительную небезопасность, Radio Ethernet всегда работают медленнее, чем эквивалентные Ethernet сети (из-за механизма явного подтверждения CSMA/CA).

ПРОЕКТИРОВАНИЕ И РЕАЛИЗАЦИЯ

⇐ Предыдущая 3 4 5 6 7 8 9 101112 Следующая ⇒