Самоучитель
системного администратора

3.3. Беспроводные сети

Выполнение полного цикла работ по проектированию и монтажу структурированной кабельной сети (СКС) является весьма затратной операцией. Стоимость проектирования, стоимость самих материалов, оплата монтажных работ — эти расходы могут составить весьма значительную сумму. Даже в небольших организациях для создания сети необходимо приобрести несколько сотен метров кабеля. Для средних и крупных организаций счет уже ведется на тонны "меди". Кроме того, достаточно велики стоимости розеток, каналов и других элементов. При этом в силу большой трудоемкости в проекты обычно закладываются необходимые резервы, рабочие места, которые только могут быть созданы в перспективе, и т. п.

Для небольших офисов существует решение, которое уже сейчас успешно конкурирует с существующими кабельными сетями — беспроводные линии связи.

Для создания такой сети каждый компьютер должен быть оборудован беспроводным адаптером, а в офисе необходимо установить специальные устройства — так называемые точки доступа, выполняющие, кроме того, роль хабов сети.

В настоящее время большая часть ноутбуков комплектуется устройствами доступа к беспроводной сети, а стоимость адаптера, устанавливаемого в "обычный" компьютер, сравнима со стоимостью стандартной сетевой платы. Если учесть, что стоимость точки доступа аналогична стоимости небольшого коммутатора, то переход на беспроводную сеть может быть экономически оправдан для многих организаций, а в некоторых случаях (например, аренда помещения без права выполнения монтажно-строительных работ, наличие мобильных сотрудников, к примеру, официанты могут использовать мобильные компьютеры для приема заказов, врачи иметь с собой ноутбуки при проведении обхода и т. д.) использование беспроводной сети может стать и единственным приемлемым решением.

Стандарты беспроводной сети

В настоящее время устройства для беспроводной сети выпускаются на основе нескольких стандартов, некоторые параметры которых приведены в табл. 3.4.

Таблица 3.4.
Некоторые параметры стандартов беспроводной сети


На практике лучше выбрать один стандарт беспроводного оборудования, а при необходимости использования совместимых режимов — проверять наличие сертификации соответствующего решения.

Проектирование беспроводной сети предприятия

С помощью беспроводных технологий можно соединять компьютеры (по принципу "точка — точка"), отдельные сегменты сетей и т. п. Наиболее часто в локальных сетях устройства беспроводного доступа ставятся в качестве точки доступа (Wireless Access Point, AP). В этом случае персональные компьютеры подключаются к точкам доступа, через которые осуществляют доступ как в локальную сеть организации, так и в Интернет, при этом точка доступа выступает аналогом концентратора локальной сети.

После выбора стандарта беспроводной сети следует определить зоны покрытия. Одно стандартное устройство AР "покрывает" зону радиусом около 75—100 м. Хотя существуют различные оценки для расчетов диаграмм зон покрытия, эти величины существенно зависят от конкретных условий: планировки помещений, материала стен и т. п. Лучшим способом является проведение тестовых измерений на местности с использованием соответствующего оборудования. На рис. 3.8 приведен пример такой программы, которая анализирует замеры параметров радиочастотного сигнала в реальных условиях и формирует карту зоны покрытия (с привязкой к карте с помощью глобальных систем позиционирования).

Рис. 3.8.
Проектирование установки беспроводных точек доступа. Для обеспечения работы в любой точке здания в беспроводной сети необходимо учесть многие факторы. Специализированное программное обеспечение позволяет построить возможные зоны покрытия на основе замеров и анализа параметров радиосигнала. На рисунке представлен пример от AirMagnet, Inc.

Как правило, это весьма дорогостоящая операция, поэтому часто ограничиваются тестированием уровня сигнала встроенными средствами беспроводного адаптера (штатными средствами Windows). При этом следует учесть, что существующее на предприятии оборудование при своей работе может создать помехи беспроводной сети, и предусмотреть необходимые технологические резервы. И даже при отсутствии постоянных помех используемые в беспроводной сети программы должны быть устойчивы к кратковременному исчезновению связи. Например, при работе в 1С могут наблюдаться случаи аварийного завершения программы из-за кратковременной потери связи с сервером.

На количество устанавливаемых точек доступа будут влиять также требования к скорости передачи данных. Указанные в табл. 3.4 значения скорости передачи данных являются максимальными, а полоса пропускания делится между всеми устройствами, которые подключены к данному каналу. Также следует учитывать, что скорость передачи данных снижается на максимальных расстояниях при слабом уровне сигнала. Установка дополнительных точек доступа позволит распределить между ними пользователей и повысить скорость обмена данными. В связи с этим обычно рекомендуется устанавливать одну точку доступа приблизительно на 10 клиентов, хотя технический предел подключений беспроводных устройств, как правило, составляет не одну сотню систем.

Беспроводные решения могут помочь соединить, например, два здания. Для этого созданы специализированные беспроводные мосты и направленные антенны.

    Примечание

    Если режим работы системы предполагает мобильность устройств (постоянное перемещение их во время работы с системой с переключением между различными точками доступа), то для исключения прерывания сессий необходимо использовать специальное программное обеспечение.

Безопасность беспроводной сети

Точку доступа можно сравнить с концентратором локальной сети, который поставлен в общедоступное помещение. Любой может "подключиться" к данному сегменту и прослушивать передаваемую информацию. Поэтому правильной настройке подключения клиентов необходимо уделить особое внимание.

Шифрование трафика беспроводной сети

Для защиты передаваемой по беспроводной сети информации все данные шифруются. Исторически первый стандарт безопасности для Wi-Fi — протокол WEP (Wired Equivalent Privacy или Wireless Encryption Protocol, протокол шифрования в беспроводной связи) — предусматривает шифрование с помощью статичного ключа, известного как пользователю, так и администратору точки доступа. К сожалению, в практической реализации этого документа были найдены ошибки, которые позволяют за короткое время (порядка нескольких часов) вычислить данный ключ. Поэтому протоколы WEP, даже с увеличенной длиной ключа, не могут считаться безопасными при создании корпоративной беспроводной сети.

    Примечание

    Если примененные при создании беспроводной сети устройства не поддерживают новых протоколов безопасности, то администраторы могут защитить передаваемую информацию путем создания виртуальных частных сетей (VPN) поверх беспроводных каналов связи.

Новый стандарт безопасности WPA (Wi-Fi Protected Access) предусматривает как использование динамических (изменяемых) ключей шифрования, так и аутентификацию пользователя при входе в беспроводную сеть. Проектируя беспроводной сегмент сети, следует приобретать только устройства, удовлетворяющие данному стандарту.

Аутентификация пользователей и устройств Wi-Fi

В беспроводных сетях применяются два способа проверки пользователей и устройств при их подключении. Первый — это проверка MAC-адресов устройств, подключаемых к данной точке доступа. В этом случае администратор вручную должен настроить для каждой точки доступа соответствующий список MAC-адресов устройств, которым разрешено беспроводное подключение.

Способ не может считаться безопасным, поскольку МАС-адреса легко определяются при прослушивании беспроводного сегмента, а "подмена" MAC-адреса не представляет никакой сложности даже для не совсем опытного пользователя.

Второй способ основан на протоколе двухточечного соединения с надежной аутентификацией — EAP (Extensible Authentication Protocol). Для предприятий следует рекомендовать аутентификацию на основе стандарта 802.1x с использованием сервера RADIUS.

Наиболее безопасен способ, при котором для аутентификации вместо паролей используются сертификаты. Однако он требует наличия на предприятии настроенной системы PKI (Public Key Infrastructure, инфраструктура открытых ключей) (см. главу 9). Настройка беспроводных устройств для аутентификации с использованием сертификатов по протоколу 802.1x практически идентична примеру, описанному в главе 9 в разд. "Настройка протокола 802.1х”. Единственное отличие заключается в выборе шаблона политики, используемой на сервере RADIUS (рис. 3.9).

Рис. 3.9.
Создание политики RADIUS-сервера для беспроводной сети. При создании политики удаленного доступа для сервера RADIUS должен быть выбран шаблон Беспроводной доступ

    Примечание

    При такой настройке клиенты, ранее не работавшие в составе домена, не могут быть подключены к нему по беспроводной сети, поскольку на них не установлены необходимые сертификаты. Вам следует либо заранее осуществить подсоединение компьютера к домену с помощью проводной сети, либо настроить особую политику для временного подключения гостевых записей (введя в этом случае временные ограничения сессии в политике подключения сервера RADIUS). При краткосрочном подключении к сети клиент получит сертификат и в дальнейшем будет работать в соответствии с постоянной политикой беспроводного доступа.

Безопасность клиента

При подключении компьютера к публичной беспроводной сети следует принимать те же меры безопасности, что и при работе в Интернете. Прежде всего следует обязательно защитить подключение брандмауэром (например, встроенный брандмауэр Windows — опция Защитить подключение к Интернету в свойствах беспроводного подключения). Этим вы блокируете доступ к данным, хранимым на локальном компьютере, из внешней сети.

Обратите внимание, что в целях безопасности необходимо в обязательном порядке запретить допущенные разработчиком по умолчанию разрешения доступа к компьютеру извне (осуществляется через настройку брандмауэра отключением исключений, рис. 3.10).

Рис. 3.10.
Настройка брандмауэра Windows. В межсетевом экране Windows XP имеются так называемые исключения, предназначенные для работы в локальной доверенной сети, которые позволяют подключиться к защищенному компьютеру извне. Не нужно забывать, что в публичных сетях допущенные по умолчанию исключения должны быть запрещены (выделено на рисунке)


Рейтинг@Mail.ru