Беспроводная корпоративная сеть: секреты и советы

Просмотров: 1428
Автор:
Рудницкий Григорий Викторович

Рудницкий Григорий Викторович

редактор журнала IT Manager — Finestreet Media Group

Как правильно организовать беспроводную сеть в офисе? Мы попросили поделиться своими советами и рекомендациями экспертов ИТ-рынка, сотрудников компаний, разрабатывающих сетевое оборудование, средства информационной безопасности, а также системных интеграторов, специализирующихся на внедрении сетевых решений. 

Как будем защищаться?

В первую очередь, необходимо решить проблемы в области защиты и безопасности. Разумеется, открытые для всех и каждого сети недопустимы нигде и никогда. В целом, если посмотреть на алгоритм взаимодействия клиента и точки доступа, то он складывается из двух составляющих: аутентификации и шифрования.

Евгений Строев, специалист отдела безопасности корпоративных сетей компании Positive Technologies, рассуждая об аутентификации, говорит о двух возможных вариантах: Shared и EAP. В первом случае клиент подключается после ввода верного ключа. Такой подход целесообразен в тех случаях, когда ключ сложный и не поддается быстрому подбору. Вариант EAP-аутентификации, при котором используется внешний сервер, проверяющий ключ, причем каждому пользователю может быть выдан свой собственный ключ. Этот вариант Евгений Строев считает наиболее оптимальным с точки зрения безопасности. Что касается технологий шифрования, то технологию WEP (Wired Equivalent Privacy) и TKIP, ее улучшенный вариант, использовать не рекомендуется, поскольку из-за допущенных при их разработке ошибок они легко подвержены взлому. Наиболее надежным протоколом шифрования Евгений Строев называет AES/CCMP, основанный на стандарте AES (Advanced Encryption Standard). 

По словам Дениса Макрушина, антивирусного эксперта «Лаборатории Касперского», наиболее защищенным и устойчивым к взлому протоколом является Wi-Fi Protected Access 2 (WPA2). Эта технология не только обеспечивает безопасность передачи данных между точкой доступа и подключенными к ней устройствами, но и осуществляет строгий контроль всех подключаемых к данной точке устройств. В отличие от WPA, где может быть использован ненадежный протокол TKIP, в WPA2 применяется только AES.

«На настоящий момент наиболее безопасной является защита беспроводной сети с помощью WPA2-PSK, в случае SOHO, и WPA2-Enterprise в корпоративной сети. Разница между названными вариантами заключается в используемом шифровании. В случае WPA2-PSK — это предопределенный пользователем статический ключ, в случае WPA2-Enterprise мы говорим о динамически составляемом ключе и ряде дополнительных параметров, улучшающих безопасность соединения», — комментирует Тимур Кайданный, старший руководитель группы консалтинга по инфраструктуре ЦОД компании ICL Services.  

Что это за параметры? В WPA2-Enterprise можно организовать аутентификацию при помощи разных методов. Из них  Евгений Строев самым удобным считает EAP-MS-CHAPv2, когда пользователю достаточно просто ввести логин и пароль, чтобы попасть в сеть. Однако такой метод не всегда безопасен. Наиболее надежным, по словам эксперта, будет использование EAP-TLS, при котором на устройстве необходимо установить сертификат, специально созданный для пользователя, и в дальнейшем аутентификация происходит с его помощью. Метод WPS/QSS, при использовании которого подключение происходит по специальному коду, напечатанному на корпусе роутера, либо нажатием специальной кнопки на сетевом и клиентском устройстве, Евгений Строев также не рекомендует использовать, поскольку, по его словам,  из-за ошибки в стандарте, можно угадать 4 цифры из кода, поэтому злоумышленник получит правильный PIN и сможет подключиться. Для этого потребуется всего 10 тыс. попыток подбора. 

Для дома — отдельно, для офиса — отдельно

Какое оборудование выбрать для корпоративной беспроводной сети? Некоторые заказчики, стремясь в наше непростое время сэкономить ИТ-бюджет, задумываются о приобретении оборудования, ориентированного, прежде всего, на домашних пользователей.

По мнению Тимура Кайданного, для заказчиков, работающих в сегменте SOHO, вполне допустимо использование решений из потребительского сегмента, но только в тех случаях, если к сети не предъявляются какие-либо дополнительные требования, и на беспроводную сеть не возлагаются критически важные для бизнеса приложения и процессы.

«В офисе нужно использовать только предназначенное для этого оборудование entreprise-класса, — дополняет Виктор Платов, системный инженер-консультант компании Cisco Systems, — Коренным его отличием от домашнего оборудования (помимо надежности, управляемости, функциональности) является возможность работы с большим количеством одновременных подключений: если домашние точки доступа рассчитаны на 5-10 подключений, то их корпоративные «собратья» могут одновременно обслуживать несколько сотен клиентов».

Алексей Анастасьев, менеджер по развитию бизнеса центра сетевых решений компании «Инфосистемы Джет», во-первых, отмечает нескольких ключевых отличий корпоративного сетевого оборудования от домашнего. Прежде всего, это более высокая производительность и возможность выдержать не десяток-другой, как домашние устройства, а сотни одновременных подключений. Дело в том, что сетевые решения для предприятий оснащаются более производительными чипсетами.

Во-вторых, Алексей Анастасьев говорит об автоматизации механизмов настройки и управления сетью, которыми оснащается сетевое оборудование корпоративного класса. «Под таковыми, например, подразумеваются встроенные механизмы автоматического управления частотным планом, что позволяет в условиях динамично меняющихся радиопомех обеспечить стабильное подключение пользователей без постоянного вмешательства администратора сети. Не говоря уже о том, что изменение настроек, например, сотни Wi-Fi точек доступа может занять часы, если выполнять эти операции вручную, что неприемлемо для современных корпоративных решений, где эти функции автоматизированы», — говорит он.

В-третьих, сетевое оборудование корпоративного класса должно поддерживать большее количество стандартов и клиентских устройств.

По словам Алексея Анастасьева, подключение «медленного» клиента к точке доступа приводит к ситуации, когда все «быстрые» клиенты, находящиеся рядом с ним, вынуждены работать на скорости самого «медленного» клиента. В корпоративных системах поддерживаются механизмы автоматического обнаружения и перегруппировки клиентов, работающих на разных стандартах (скоростях) между Wi-Fi точками доступа. Наконец, в числе прочих возможностей корпоративного сетевого оборудования Алексей Анастасьев называет возможность позиционирования устройств, позволяющую определять местоположение мобильных клиентов на территории объекта, а также обработку и оптимизацию мультимедийного трафика на уровне точки доступа, встроенный функционал защиты от атак на уровне точки доступа и многое другое. 

Объять необъятное

Системные администраторы и ИТ-специалисты зачастую сталкиваются и с такой проблемой, как некачественный или неполный охват точками доступа больших помещений (цехов, офисов, построенных по принципу Open Space, биржевых и торговых залов, вокзалов и аэропортов, складов и т.д.). При проектировании беспроводной сети необходимо учитывать множество факторов — конфигурация помещений, материалы стен и перекрытий, количество и территориальное распределение клиентов, наличие источников помех или существующих беспроводных сетей.

«Для того чтобы правильно рассчитать беспроводную сеть, обычно используется специализированное ПО. — говорит Дмитрий Кузнецов, директор компании «Параллакс» — Такое ПО позволяет не только выполнить проектирование беспроводной сети, но и проверить соответствие её характеристик расчетным. Кроме расчетов, важную роль играет также выбор оборудования. Решения, использующие контроллер для централизованного управления точками доступа, позволяют добиться наиболее равномерного покрытия».

«Стабильность передачи данных в беспроводной сети зависит не столько от оборудования, которое транслирует сигнал, сколько от характеристик устройства, которое его принимает. Для уверенного приема точка должна находиться в радиусе 30 метров прямой видимости от устройства. Как правило, телефоны или ноутбуки ловят Wi-Fi через 2 -3 стены. Перегородки из гипсокартона – легкая преграда, железобетонная стена – суровая помеха»,— объясняет Алексей Парфентьев, эксперт компании Searchinform. По его словам, чтобы обеспечить стабильное покрытие Wi-Fi на большой территории, каждое устройство надо подключать проводом через свитч. Можно также  построить сеть Wi-Fi по технологии ретрансляции, но даже одна неработающая точка способна «положить» всю сеть. Что касается производственных цехов, то это, по словам эксперта, особый случай. «Оборудование постоянно генерирует помехи, поэтому в цехах лучше не мучиться, а протянуть старую добрую «медь» или оптику», — подчеркивает Алексей Парфентьев.

Чужие здесь не ходят

В офис любой компании приходят посетители. Это могут быть покупатели, клиенты, партнеры или подрядчики, выполняющие какие-либо работы на временной основе. Многим из них необходим доступ в Интернет, который можно предоставить через корпоративную сетевую инфраструктуру, открыв для таких целей специальный гостевой вход. Как организовать такой доступ без рисков для основных информационных ресурсов компании?

«Гостевой доступ должен быть создан в отдельной виртуальной сети, в которой используется брандмауэр, ограничивающий права гостевого доступа, скорость канала, иногда — объем трафика на каждого гостя. Если все настроено правильно, то риски сведутся к нулю», — утверждает Владимир Княжицкий, генеральный директор ГК «Фаст Лейн» в России.

В свою очередь Денис Бондаренко, директор по операционной деятельности компании «АДВ Консалтинг», рекомендует изолировать гостевую сеть от остальной сети компании. По его мнению, гостевая сеть физически может работать и на общей корпоративной сетевой инфраструктуре, но следует уделять внимание настройке сетевого оборудования, чтобы исключить возможность доступа из открытой сети к внутрикорпоративным ресурсам. Для гостевой сети нет необходимости внедрять сложные технологии аутентификации. Достаточно будет ввода единого пароля или входа через captive portal.

Юрий Сергеев, заместитель начальника отдела проектирования защищенных систем компании «Инфосистемы Джет», предлагает для организации гостевого доступа выделить отдельный SSID с упрощенным подключением к сети и аутентификацией через Guest Portal, который позволяет автоматизировать процесс управления временными учетными записями пользователей и паролями для того, чтобы беспроводная сеть не стала «проходным двором». При подключении к этому SSID пользовательские компьютеры попадают в выделенный VLAN, контролируемый на выходе межсетевым экраном и обеспечивающий только подключение к сети Интернет. При этом доступ к внутренним ресурсам, например, DNS-серверам, которые часто одновременно являются контроллерами домена, предоставлять не рекомендуется. «Веб-трафик из гостевой сети может быть проинспектирован с помощью специализированных веб-шлюзов или межсетевых экранов с URL-фильтрацией и антивирусной проверкой, чтобы исключить потенциальное включение внешнего IP-адреса организации в черные списки», — напоминает он.

Заключение

Грамотное развертывание корпоративной сети — сложный и многогранный процесс, требующий учета множества индивидуальных факторов и особенностей, связанных с работой каждой компании. Сложно в рамках небольшой статьи дать полный набор рекомендаций, поэтому мы остановились лишь на некоторых советах экспертов.

В заключении стоит лишь отметить, что беспроводную сеть, какой бы удобной и безопасной она ни была, не нужно делать основой коммуникаций в компании. «Золотой» стандарт безопасности заключается в том, чтобы рассматривать сеть Wi-Fi как вспомогательную. Блокировать работу офиса, где корпоративная сеть построена только на беспроводной передаче данных, проще простого: достаточно включить рядом с помещением генератор помех. И любое шифрование оказывается ненужным, устройства просто не могут связаться друг с другом. 

Комментарии (0)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.