Беспроводные сети Выполнение полного цикла работ по проектированию и монтажу СКС является весьма затратной операцией. Стоимость проектирования, стоимость самих материалов, оплата монтажных работ— эти расходы могут составить весьма значительную сумму. Даже в небольших организациях для создания сети необходимо приобрести несколько сотен метров кабеля. Для средних и крупных организаций счет уже ведется на тонны "меди". Кроме того, достаточно велики стоимости розеток, каналов и других элементов. При этом в силу большой трудоемкости в проекты обычно закладываются необходимые резервы, рабочие места, которые только могут быть созданы в перспективе, и т. п. Для небольших офисов существует решение, которое уже сейчас успешно конкурирует с существующими кабельными сетями— беспроводные линии связи. Для создания такой сети каждый компьютер должен быть оборудован беспроводным адаптером, а в офисе необходимо установить специальные устройства— так называемые точки доступа, выполняющие, кроме того, роль хабов сети. В настоящее время большая часть ноутбуков комплектуется устройствами доступа к беспроводной сети, а стоимость адаптера, устанавливаемого в "обычный" компьютер, сравнима со стоимостью стандартной сетевой платы. Если учесть, что стоимость точки доступа аналогична стоимости небольшого коммутатора, то переход на беспроводную сеть может быть экономически оправдан для многих организаций, а в некоторых случаях (например, аренда помещения без права выполнения монтажно-строительных работ, наличие мобильных сотрудников) использование беспроводной сети может стать и единственным приемлемым решением.
Стандарты беспроводной сети
В настоящее время устройства для беспроводной сети выпускаются на основе нескольких стандартов, некоторые параметры которых приведены в таблице.
На практике лучше выбрать один стандарт беспроводного оборудования, а при необходимости использования совместимых режимов— проверять наличие сертификации соответствующего решения.
Проектирование беспроводной сети предприятия
С помощью беспроводных технологий можно соединять компьютеры (по принципу "точка — точка"), отдельные сегменты сетей и т. п. Наиболее часто в локальных сетях устройства беспроводного доступа ставятся в качестве точки доступа (Wireless Access Point, АР). В этом случае персональные компьютеры подключаются к точкам доступа, через которые осуществляют доступ как в локальную сеть организации, так и в Интернет, при этом точка доступа выступает аналогом концентратора локальной сети. После выбора стандарта беспроводной сети следует определить зоны покрытия. Одно стандартное устройство АР "покрывает" в помещении зону радиусом около 75—100 м. Хотя существуют различные оценки для расчетов диаграмм зон покрытия, эти величины существенно зависят от конкретных условий: планировки помещений, материала стен и т. п. Лучшим способом является проведение тестовых измерений на местности с использованием соответствующего оборудования. Как правило, это весьма дорогостоящая операция, поэтому часто ограничиваются тестированием уровня сигнала встроенными средствами беспроводного адаптера (штатными средствами Windows ХР). При этом следует учесть, что существующее на предприятии оборудование при своей работе может создать помехи беспроводной сети, и предусмотреть необходимые технологические резервы. И даже при отсутствии постоянных помех используемые в беспроводной сети программы должны быть устойчивы к кратковременному исчезновению связи1. На количество устанавливаемых точек доступа будут влиять также требования к скорости передачи данных. Указанные в табл. 3.4 значения скорости передачи данных являются максимальными, а полоса пропускания делится между всеми устройствами, которые подключены к данному каналу. Также следует учитывать, что скорость передачи данных снижается на максимальных расстояниях при слабом уровне сигнала. Установка дополнительных точек доступа позволит распределить между ними пользователей и повысить скорость обмена данными. Поскольку правильное расположение точек доступа требует учета многих факторов, на практике беспроводные сети часто проектируются на основе анализа замеров параметров радиочастотного сигнала в реальных условиях. Если нужно спроектировать связь между двумя зданиями, то следует использовать специализированные беспроводные мосты и, возможно, направленные антенны.
Примечание Если режим работы системы предполагает мобильность устройств (перемещение их во время работы с системой с переключением между различными точками доступа), то такое решение требует использования специального программного обеспечения.
Безопасность беспроводной сети
Точку доступа можно сравнить с концентратором локальной сети, который поставлен в общедоступное помещение. Любой может "подключиться" к данному сегменту и прослушивать передаваемую информацию. Поэтому правильной настройке подключения клиентов необходимо уделить особое внимание.
Шифрование трафика беспроводной сети
Для защиты передаваемой по беспроводной сети информации все данные шифруются. Исторически первый стандарт безопасности для Wi-Fi— WEP (Wired Equivalent Privacy)— предусматривает шифрование с помощью статичного ключа, известного как пользователю, так и администратору точки доступа. К сожалению, в практической реализации этого документа были найдены ошибки, которые позволяют за короткое время (порядка нескольких часов) вычислить данный ключ. Поэтому протоколы WEP, даже с увеличенной длиной ключа, не могут считаться безопасными при создании корпоративной беспроводной сети.
Примечание Если примененные при создании беспроводной сети устройства не поддерживают новых протоколов безопасности, то администраторы могут защитить передаваемую информацию путем создания виртуальных частных сетей (VPN).
Новый стандарт безопасности WPA (Wi-Fi Protected Access) предусматривает как использование динамических (изменяемых) ключей шифрования, так и аутентификацию пользователя при входе в беспроводную сеть. Проектируя беспроводной сегмент сети, следует приобретать только устройства, удовлетворяющие данному стандарту.
Аутентификация пользователей и устройств Wi-Fi
В беспроводных сетях применяются два способа проверки пользователей и устройств при их подключении. Первый— это проверка МАС-адресов устройств, подключаемых к данной точке доступа. В этом случае администратор вручную должен настроить для каждой точки доступа соответствующий список МАС-адресов устройств, которым разрешено беспроводное подключение. Способ не может считаться безопасным, поскольку МАС-адреса легко определяются при прослушивании беспроводного сегмента, а "подмена" МАС-адреса не представляет никакой сложности даже для не совсем опытного пользователя. Второй способ основан на протоколе двухточечного соединения с надежной аутентификацией— ЕАР (Extensible Authentication Protocol). Для предприятий следует рекомендовать аутентификацию на основе стандарта 802.1х с использованием сервера RADIUS. Наиболее безопасен способ, при котором для аутентификации вместо паролей используются сертификаты. Однако он требует наличия на предприятии настроенной системы PKI .
Примечание При такой настройке клиенты, ранее не работавшие в составе домена, не могут быть подключены к нему по беспроводной сети, поскольку на них не установлены необходимые сертификаты. Вам следует либо заранее осуществить подсоединение компьютера к домену с помощью проводной сети, либо настроить особую политику для временного подключения гостевых записей (введя в этом случае временные ограничения сессии в политике подключения сервера RADIUS). При краткосрочном подключении к сети клиент получит сертификат и в дальнейшем будет работать в соответствии с постоянной политикой беспроводного доступа.
Безопасность клиента
При подключении компьютера к публичной беспроводной сети следует принимать те же меры безопасности, что и при работе в Интернете. Прежде всего следует обязательно защитить подключение брандмауэром (например, встроенный брандмауэр Windows XP — опция Защитить подключение к Интернету в свойствах беспроводного подключения). Этим вы блокируете доступ к данным, хранимым на локальном компьютере, из внешней сети. Включение этой опции обеспечивает защиту системы Windows XP с первым сервис-паком. На компьютерах с Windows XP при установленном втором сервис-паке необходимо в обязательном порядке запретить допущенные разработчиком по умолчанию разрешения доступа к компьютеру извне (осуществляется через настройку брандмауэра отключением исключений).
