Colan KVM
ENGLISH

KVM-СИСТЕМЫ УПРАВЛЕНИЯ IT-ИНФРАСТРУКТУРОЙ ЦОД
ОБОРУДОВАНИЕ УПРАВЛЕНИЯ И МОНИТОРИНГА ЭЛЕКТРОПИТАНИЯ
СИСТЕМЫ ДЛЯ СОЗДАНИЯ И ТРАНСЛЯЦИИ АУДИО-ВИДЕОКОНТЕНТА
ВИДЕОСТЕНЫ, ОФИСНО-ТЕХНИЧЕСКАЯ МЕБЕЛЬ
Форум
ПРОФЕССИОНАЛАМ -
БЕЗОГОВОРОЧНЫЕ СКИДКИ

(495) 363-0131 | 3:54 MSK
(495) 785-5590 схема проезда
e-mail: inf@colan.ru

Прайс-лист

Основной

Распродажа - Sale!

Акция - Супер цена!

 Популярные товары:

KVM переключатели, IP KVM

KVM переключатели с LCD консолями

Интерфейсные удлинители

Система видеотрансляции "TNTv Digital Signage"

Офисная, техническая мебель

Услуги

Сервисное обслуживание продукции ATEN

Что почитать?

Техническая
поддержка

Моральная
поддержка

Техника и
здоровье

Общение

Форум

О проекте

О компании

Новости

Рассылка

Для клиентов

Как нас найти

Поиск:




Вход:

логин:

пароль:



Корзина:

товаров:

на сумму:

0.00 р.

  



Яндекс цитирования




 Проектирование и построение защищенных беспроводных ЛВС

подписка на анонсы статей и новостей

подписка на анонсы статей и новостей

pdf-версияверсия для печати

версия для печати

www.colan.ru

Техническая поддержка

Компьютерная сеть

Беспроводные сети

Проектирование и построение защищенных беспроводных ЛВС

Дата публикации на сайте: 13-01-2004

Беспроводные ЛВС все шире применяются на предприятиях, поскольку обеспечивают доступ к сетевым ресурсам для мобильных сотрудников с ноутбуками и другими портативными устройствами. Учитывая также стандартизацию и существенное снижение стоимости оборудования для беспроводных ЛВС, можно предположить, что они станут основным средством подключения пользователей к сетям предприятий. От разработчиков и инсталляторов сетей все чаще требуется обеспечить подсоединение точек доступа (оборудование передачи данных, связывающее оснащенные беспроводными адаптерами мобильные устройства с проводной сетью) к структурированной кабельной системе. Для вышеназванных специалистов с созданием беспроводных ЛВС связаны новые возможности ведения бизнеса, выходящие за рамки построения традиционных сетей.

Однако при создании беспроводных ЛВС следует обратить внимание на ряд проблем с их информационной безопасностью. Последние совершенно закономерно вызывают озабоченность у проектировщиков и пользователей сетей, когда речь заходит о дополнении проводных инфраструктур беспроводными компонентами. Ведь сигнал, передаваемый точкой доступа или беспроводным клиентским адаптером, может иметь достаточно высокий (для успешного приема) уровень на расстоянии примерно километр от этого устройства.

В настоящее время самым широко распространенным оборудованием для беспроводных ЛВС являются устройства, соответствующие стандарту IEEE 802.11b. Этот стандарт определяет способ взаимодействия радиомодулей точек доступа и беспроводных клиентских адаптеров друг с другом. Кроме того, он описывает базовый коммуникационный протокол, позволяющий беспроводным устройствам совместно использовать один и тот же общий радиоканал.

Для защиты беспроводной ЛВС от вторжения извне нужно обеспечить ее, так называемую, электронную безопасность. Стандарт 802.11b определяет (а совместимое с ним оборудование поддерживает) метод аутентификации клиентских адаптеров и протокол шифрования передаваемых данных. Аутентификация представляет собой процесс проверки наличия у пользователя или его устройства права подключиться к сети при попытке сделать это. К сожалению, оказалось что процесс аутентификации, предусмотренный стандартом 802.11b, не соответствует требованиям большинства предприятий, поскольку, перехватив трафик точки доступа, злоумышленник может имитировать авторизованное клиентское устройство.

Вышеназванным стандартом предусмотрен протокол шифрования Wired Equivalent Privacy (WEP), который предназначен для обеспечения такого же уровня информационной безопасности, как в проводной сети. Но WEP - ненадежный метод защиты, поскольку его шифр можно раскрыть с помощью специального ПО, загруженного из Интернет. Еще хуже то, что многие пользователи вообще не включают средства WEP, оставляя передаваемую информацию незащищенной.

Следует также обеспечить физическую безопасность точек доступа. Речь идет об установке последних таким образом, чтобы их нельзя было украсть, переместить или повредить. Кроме того, необходимо свести к минимуму ту часть зоны радиопокрытия беспроводной ЛВС, которая находится за пределами обслуживаемых помещений и, возможно, охватывает автостоянку, соседние здания и коридоры общего пользования. Это достигается путем рационального размещения точек доступа, а также и правильным выбором формы диаграммы направленности (ДН) их антенн.

Чем выше степень защищенности сети, тем дороже последняя обходится предприятию (если не по причине высокой стоимости оборудования, то из-за сложности администрирования). Знакомство с предусмотренными стандартом 802.11b процессом аутентификации и протоколом WEP, а также с некоторыми дополнительными средствами защиты поможет вам обеспечить приемлемый уровень информационной безопасности вашей беспроводной ЛВС.


Настройка по умолчанию

Оборудование для беспроводных ЛВС поставляется заводами сконфигурированным как "открытая система". Это означает, что любой клиентский адаптер может ассоциироваться с точкой доступа. Кроме того, в этом оборудовании по умолчанию отключено WEP-шифрование передаваемых данных, а это значит, что любой человек с клиентским адаптером стандарта 802.11b, может перехватить их. Почему так делается? Главным образом, с целью простоты использования оборудования. Кроме того, в ряде случаев ограничивать доступ к сети и не требуется, например, если это беспроводная ЛВС общего пользования, обеспечивающая бесплатный доступ в Интернет, или временная одноранговая (ad-hoc) сеть. Многие пользователи беспроводных ЛВС не отдают себе отчета в том, что, подключив точку доступа к своей сети и не активизировав ее защитные функции, они делают свою сеть доступной для любого, кто находится в пределах зоны радиопокрытия этой точки доступа и имеет компьютер с адаптером, поддерживающим стандарт 802.11b.


Проблемы с аутентификацией

Базовые защитные функции, предусмотренные стандартом 802.11b, - это аутентификация с применением общего ключа (shared key) и WEP-шифрование. Вышеназванный метод аутентификации предполагает, что клиентский адаптер должен иметь ключ, позволяющий ему ассоциироваться с точкой доступа. Без этого ключа, который, предположительно, выделяется сетевым администратором, клиентскому адаптеру не разрешается осуществлять доступ к устройствам сети.

Но, как оказалось, аутентификация с помощью общего ключа не подходит для большинства предприятий. Ведь этот ключ хранится на клиентской машине, и если последнюю украдут или потеряют, он может стать известным злоумышленникам. В таком случае другие клиентские устройства беспроводной ЛВС, (поскольку они работают с этим же самым ключом), нужно переконфигурировать, чтобы они использовали другй ключ, что порождает сложную проблему управления ключами.

Еще одна проблема связана с самой логикой работы процесса аутентификации на основе общего ключа. Суть ее заключается в том, что клиентский адаптер должен правильно ответить на присланное точкой доступа зашифрованное сообщение. Адаптер расшифровывает его с помощью своего ключа и отправляет его обратно точке доступа. Если для расшифровки сообщения использовался правильный ключ, точка доступа аутентифицирует клиентское устройство. Здесь плохо то, что одно и то же сообщение сначала передается в зашифрованном виде, а затем - в виде открытого текста, что дает возможность хакеру относительно легко определить ключ и эмулировать авторизованное устройство.


Как усилить защиту

При включенных средствах WEP полезная нагрузка каждого передаваемого пакета шифруется. Однако шифр, используемый протоколом WEP, взламывается с помощью бесплатных программ, которые можно найти в сети Интернет. WEP-шифрование защищает от случайного хакера, но целеустремленный злоумышленник способен довольно быстро войти в сеть и расшифровать пакеты с данными.

Некоторые производители оборудования для беспроводных ЛВС поддерживают улучшенные алгоритмы аутентификации и шифрования, но их защитные решения, как правило, являются фирменными, а значит, сеть должна состоять только из точек доступа и клиентских адаптеров одного и того же производителя. Однако здесь хорошо то, что для управления доступом в сеть оборудование ряда производителей взаимодействует с сервером RADIUS или контроллером аутентификации. При этом пользователь должен ввести свои системное имя и пароль. Таким образом аутентифицируется именно сам пользователь сети, а не его устройство. Это решает вышеназванную проблему с возможным раскрытием общего ключа в случае кражи или потери клиентского устройства. Использование сложных паролей с сервером RADIUS или контроллером аутентификации обеспечивает достаточно высокий уровень электронной безопасности, но требует от администратора эффективного управления именами пользователей и их паролями.

К счастью, специалисты комитетов IEEE 802.11 осведомлены о недостатках базового метода аутентификации и WEP-шифрования. Комитет 802.1x определил стандарт аутентификации и управления ключами для сетей Ethernet, поддержка которого со временем должна быть реализована в системах стандарта 801.11b. В результате новые защитные механизмы будут стандартными, а не на фирменными, так что поддерживающие их беспроводные клиентские адаптеры и точки разных производителей смогут работать друг с другом.

Для безопасного подключения беспроводного клиентского устройства к сети предприятия можно использовать технологию виртуальных частных сетей (Virtual Private Network - VPN), которая применяется для организации защищенных соединений в Интернет. В сети VPN на беспроводном клиентском устройстве действует клиентское ПО VPN, а сервер VPN осуществляет аутентификацию и шифрует транзакции между этим устройством и сетью. Такое защитное решение считается надежным. Оно будет прозрачно работать на оборудовании стандарта 802.11b любого производителя. Однако для его реализации потребуются дополнительные затраты на клиентское ПО и сервер VPN.

В дополнение к мерам безопасности, касающимся аутентификации и шифрования, следует отделить беспроводную ЛВС от остальной сети с помощью межсетевого экрана. Беспроводный трафик должен быть за пределами защищаемой им сети предприятия. В связи с внедрением беспроводного оборудования руководители предприятий должны пересмотреть политику сетевой безопасности, а сетевым администраторам необходимо периодически проверять свои инфраструктуры на наличие в них хакерских систем стандарта 802.11 и фиксировать попытки вторжения.

Как уже отмечалось, помимо электронной безопасности сети следует обеспечить физическую безопасность точек доступа. Выбор оптимального расположения последних с точки зрения обеспечения радиопокрытия обслуживаемой территории осуществляется путем обследования ее с помощью программных средств типа site survey, измеряющих уровень передаваемого точкой доступа сигнала. Ваши точки доступа должны быть защищены от воров, случайного перемещения, вандализма и повреждения. Требования обеспечить эффективное радиопокрытие и физическую безопасность одновременно кажутся противоречащими друг другу, поскольку в редких случаях точки доступа удается установить в закрытых телекоммуникационных комнатах, и достигнув при этом желаемого покрытия. Часто точки доступа размещают в общественных местах (аудиториях, переговорных комнатах, коридорах, аэропортах и т. д.), где их могут украсть, случайно переместить или повредить. Физически защитить точки доступа можно с помощью запираемых на ключ кожухов, прикрепляемых к стенам или подвесному потолку. Внешние антенны могут быть подсоединены к точкам доступа посредством коаксиальных кабелей или интегрированы с кожухами. Интегрированные антенны лучше защищены от воров и повреждений. Упомянутые кожухи позволяют заменять старые точки доступа новыми, при этом расположение информационных и силовых кабелей остается неизменным.


Оптимизация радиопокрытия

Некоторые типы внешних антенн, например, пластинчатые (patch) антенны, могут передавать сигналы в луче в определенном направлении. Это направленные антенны. На рис. 1 показано, что гораздо лучше использовать точки доступа с направленной, чем с ненаправленной антенной. Последняя (обычно это дипольная антенна, поставляемая вместе с точкой доступа) излучает во все стороны, поэтому зона радиопокрытия сети может охватывать автостоянку, соседние здания и коридор общего пользования (рис. 2). Очевидно, передавать сигнал в названные места не стоит, так как это дает возможность злоумышленнику, находящемуся в машине на автостоянке или в здании на другой стороне улицы, перехватить пересылаемую информацию и атаковать сеть.

Используя установленные в углах комнат и прикрепленные к стенам точки доступа с направленными антеннами, имеющими ширину ДН 90(, можно обеспечить радиопокрытие обслуживаемых помещений и минимизировать охват нежелательных мест. При этом остается необходимость обеспечения электронной безопасности, но значительное снижение уровня излучаемого сигнала за пределами обслуживаемых помещений поможет защититься от злоумышленников. Кроме того, монтирование точки доступа на стене упрощает подключение ее к ЛВС, так как в этом случае кабель Ethernet можно проложить вдоль стены, а не протягивать его из аппаратного шкафа через всю комнату до места расположения точки доступа. И самое главное, следует задействовать функцию аутентификации с использованием общего ключа и WEP-шифрование, которые поддерживаются всеми клиентскими адаптерами и точками доступа стандарта 802.11b, но отключены по умолчанию.

Скотт Томпсон
№1 2003 год


Статья опубликована с разрешения журнала


подписка на анонсы статей и новостей

подписка на анонсы статей и новостей

pdf-версияверсия для печати

версия для печати



Статьи по этой теме:

Переключатель Switch, VGA/SVGA+KBD+MOUSE, 1> 4 блока/порта/port PS/2, со встр. KVM-шнурами PS/2 4x1.2м., (KVM=монитор+клав.+мышь;консоль упр. - PS/2;аудио функция;DDC2B;5 лет гар+электростраховка) [ATEN]
ATEN CS64A-A7
Переключатель
Switch,
VGA/SVGA+KBD+MOUSE,

Далее...

Кабель/шнур, монитор+клав.+мышь PS/2, SPHD15=>HD DB15+2x6MINI-DIN, Male-Male,  опрессованный,   1.2 метр., [ATEN]
ATEN 2L-5201P
Кабель/шнур,
монитор+клав.+мышь
PS/2,...

Далее...

Удлинитель/extender, VGA/SVGA+KBD+MOUSE PS2, 150 метр., 1xUTP Cat5e, HD-DB15+2x6MINIDIN, Female, с KVM-шнуром, Б.П.220> 9V, (макс.разр.1280х1024/150м 60Hz;5 лет гар+электростраховка;KVM-E500;EKP221;EKP212)[ATEN]
ATEN CE250A-A7-G
Удлинитель/extender,
VGA/SVGA+KBD+MOUSE
PS2,...

Далее...



Сделано на «Интернет Фабрике», © Colan, 2001

Москва, пр.Вернадского, д.78, стр.7
Режим работы: понедельник-пятница с 10:00 до 19:00
Режим работы коммерческого отдела и склада: понедельник-пятница с 10:00 до 19:00
Тел: (495) 363-01-31, 785-55-90
Факс: (495) 363-01-32
e-mail: inf@colan.ru