Сети с использованием технологии WiFi

Красочные буклеты, демонстрирующие безграничные преимущества Wi - Fi, беспроводных сетевых средств, предоставляют лишь базовую информацию по построению беспроводной сети. И если для построения малой домашней сети информации из инструкции к устройству бывает достаточно, то задача создания офисной беспроводной сети даже малого или среднего масштаба не так проста, и прежде чем перейти к ее решению, необходимо разобраться в некоторых особенностях и инструментах «беспроводного строительства».

Введение

Упрощенно структуру WiFi сети можно представить следующим образом. Если точка доступа (фактически обычный хаб/коммутатор? но использующий радиоканал) является ядром системы, в том числе отвечающей за организацию доступа в интернет, например, по ADSL-каналу:

Если точка доступа является продолжением локальной сети:

На первый взгляд все просто?

Первые неожиданности

Наиболее распространенными стандартами беспроводных сетей сегодня являются IEEE 802.11 b и 802.11 g. Оборудование таких сетей, согласно IEEE, работает в диапазоне 2400-2483,5 МГц и способно передавать данные с максимальной скоростью 11 и 54 Мбит/с соответственно. Практически все современные ноутбуки (как впрочем и не особо современные, дооснащенные сетевой картой WiFi + так же дооснащенные настольные компьютеры) на платформе Centrino поддерживают указанные стандарты.

Распределение волн в рассматриваемом диапазоне имеет ряд оригинальных качеств. Несмотря на функциональное сходство беспроводного и проводного оборудования, разница в их установке, монтаже и настройке немалая. Причина — в свойствах физических сред, используемых для передачи информации. В случае с беспроводным оборудованием нужно учитывать законы распространения радиоволн. Радиоэфир более чувствителен к различного рода помехам. Поэтому наличие перегородок, стен и железобетонных перекрытий может сказаться на скорости передачи данных. Условия приема и передачи радиосигнала ухудшают не только физические препятствия, также помехи создают и различные радиоизлучающие приборы. При разрешении таких проблем одним только правилом прямолинейного распространения радиоволн (с эмпирическим определением коэффициента наносимых преградами помех) не обойтись, ведь выявить тип преграды — тоже задача не из легких. Проблема качества сигнала так же не решится простым увеличением мощности точек доступа. Дело в том, что такой подход не гарантирует повышения качества связи, а скорее наоборот – ведет к его ухудшению, так как создает массу помех в том диапазоне частот, который используют другие точки доступа. Напомню, что точки доступа 802.11 предоставляют разделяемую среду, в которой в определенный момент времени лишь одна из них может вести передачу данных. Как следствие, масштабирование таких сетей ограничено.

Стандартно точки доступа комплектуются всенаправленными антеннами, часто приходится выбирать между качественным сигналом и уровнем доступности сети за пределами офиса (то есть безопасностью) ведь доступ к среде, по которой передаются данные, открыт. Именно поэтому вопросы безопасности сети, построенной на основе нескольких точек доступа, весьма актуальны.

Архитектура

Перейдем к выбору архитектуры создаваемой сети. Распределенная или централизованная?. Каждая из них имеет ряд особенностей, достоинств и недостатков. Так, например, для построения сети на основе распределенной архитектуры (distributed access point architecture) достаточно установить точки доступа. Это, несомненно, ее преимущество. Дело в том, что стандарт 802.11 изначально объединяет в одном устройстве функциональность сетевого контроллера и радиотрансиверов, поэтому развернуть сеть можно посредством установки точек доступа в свободный порт коммутатора и беспроводных адаптеров в клиентские ПК. В большинстве случаев даже нет необходимости конфигурировать ТД или клиентские компьютеры, поэтому беспроводной сегмент становится естественной частью всей сети.

Существенный недостаток такой сети — отсутствие единого управляющего элемента. Поэтому применение такого способа построения зачастую сильно ограничено. Впрочем, в каждом правиле есть исключения, о них мы поговорим несколько позже.

Проблема распределенного построения сети решается использованием беспроводных коммутаторов, однако их применение уже символизирует организацию беспроводной сети на основе централизованной архитектуры. Основное отличие проводных коммутаторов от беспроводных в том, что последние не предоставляют пользователю выделенную полосу пропускания. (Для этого пришлось бы предоставить отдельный беспроводный канал для каждого пользователя сети, в таком случае беспроводные сети лишаются главного достоинства.) Имеются и общие черты. Так, в сети, где устанавливается беспроводный коммутатор, функции шифрования и аутентификации от точек доступа переходят к коммутатору и администрируются централизовано. В итоге задача точки доступа ограничивается транзитом данных к пользователю и от него.

Другое преимущество сети на базе беспроводного коммутатора заключается в том, что при переходе от одной точки доступа к другой пользователь не теряет соединения с сетью, и ему не приходится проходить аутентификацию заново. Беспроводный коммутатор, своеобразный центр беспроводной сети, автоматически и без ущерба для сеанса связи отслеживает перемещения клиента. Кроме того, так как большая часть точек доступа поддерживает режим питания PoE (Power over Ethernet), беспроводный коммутатор способен не только стать для них источником питания, но и выполнять функцию отслеживания отказавших участков сети. Таким образом он может компенсировать неисправность участка сети расширением числа пользователей точек доступа, соседствующих с вышедшей из строя, путем увеличения их мощности. Исходя из информации о количестве пользователей, беспроводный коммутатор может эффективно распределять загрузку каналов, предлагая более широкую пропускную способность сегментам сети, имеющих в определенный момент большее количество пользователей. Уже сегодня производители беспроводных коммутаторов предлагают в составе своих продуктов специализированное ПО, поддерживающие описанные выше функции. Как пример подобных устройств можно привести ProCurve Secure Access 700wl от компании Hewlett Packard и Symbol WS 2000 Wireless Switch (WS 2000) от Symbol Technologies, представляющие собой единую систему, включающую функции обеспечения безопасности, управления и мобильности для создания Ethernet-сетей корпоративного класса и беспроводных сетей.

Вопросы безопасности

Основным фактором, сдерживающим широкое распространение беспроводных сетей в корпоративной среде, является устоявшееся мнение о недостаточном уровне безопасности таких решений. Впрочем, заключение небезосновательное базовые средства защиты 802.11 взламывались неоднократно. Сегодня беспроводную сеть считают защищенной, если в ней функционируют три основных составляющих системы безопасности: аутентификация пользователя, конфиденциальность и целостность передачи данных.

В настоящее время сообщество разработчиков и производителей беспроводного оборудования близко к повсеместному признанию модели, базирующейся на технологии Wi - Fi Protected Access (WPA). Данная технология поддерживает базовые средства аутентификации протоколов 802.1x, конфиденциальность передачи данных посредством шифрования трафика с помощью TKIP и целостность информации — путем сверки контрольной суммы MIC (Message Integrity Check). Отметим, что протокол TKIP (Temporal Key Integrity Protocol) широкого распространения не получил: несмотря на увеличение общего уровеня безопасности, он существенно сужает пропускную способность беспроводного канала.

Стандартные средства защиты беспроводной сети предусматривают комплекс мер по безопасности передачи данных под общим названием Wired Equivalent Privacy (WEP). Протокол обеспечивает противодействие несанкционированному доступу к сети (механизмы и процедуры аутентификации), а также предотвращение перехвата информации (шифрование с помощью 24-битного ключа типа RC4). WEP неоднократно подвергался критике со стороны специалистов, занимающихся вопросами безопасности беспроводных сетей. Исследования предлагаемого решения продемонстрировали, что определить ключ на основе анализа передаваемых данных можно достаточно быстро – перебором порядка 8000 комбинаций. Так же легко изменить нешифруемый заголовок пакета: получатель информации примет ложный ключ и впоследствии будет взаимодействовать с декодером злоумышленника.

При использовании распределенной архитектуры составляющие WPA-технологии обеспечиваются точками доступа. Иначе обстоит дело в случае централизованной архитектуры. Некоторые производители возлагают задачу защиты сети на точки доступа, другие – на беспроводные коммутаторы, третьи – распределяют между этими двумя устройствами. Например, на коммутаторы возлагается аутентификация пользователей, а шифрованием и целостностью данных занимаются точки доступа. Однако правильнее, когда аутентификация выполняется на границе сети: если злоумышленник пытается получить доступ к сети, лучше перехватить его как можно раньше.

Так как при распределенной архитектуре все функции безопасности сосредоточиваются в точке доступа, наиболее частым аргументом против такой архитектуры является ее физическая уязвимость. Иными словами, к точке доступа очень просто несанкционированно проникнуть или вообще похитить ее. А это грозит серьезными проблемами: именно в ней содержатся ключи шифрования и другие установки по обеспечению безопасности. Злоумышленник, похитивший точку доступа, может затем извлечь из нее весьма важную информацию, включая МАС-адреса других сетевых устройств. Более того, установив украденную точку доступа в своей сети (достаточно близко от атакуемой), он может перехватить полноправного клиента и раскрыть регистрационную информацию. Впрочем, проблему можно предотвратить: помещение, где налаживается беспроводная сеть, должно иметь хорошую охранную систему, а точки доступа следует располагать на известном удалении от земли (производственные корпуса). В иных случаях для достижения достаточного уровня безопасности сети лучше остановиться на централизованной архитектуре.

Не последнее место среди оборудования, повышающего уровень безопасности беспроводной сети, занимают антенны. Если учесть, что беспроводные клиентские адаптеры поставляются со стандартными антеннами, поддерживающими относительно небольшую дальность передачи данных, важность использования направленных антенн для физического ограничения зоны доступа к сети, кабелей с малыми потерями для удаления точки доступа от зоны покрытия, молниеразрядников и других устройств весьма актуальна.

Сегодня на рынке встречаются специализированные антенны двух типов. Одни созданы для организации сетей с топологией «точка-точка», то есть однонаправленные, другие – «точка – многоточка» — всенаправленные. Естественно, антенны разного назначения имеют разный коэффициент усиления. Наиболее эффективными принято считать интеллектуальные антенны. Они используют фазированную антенную решетку, с помощью которой можно не только обеспечить большое число контактов с клиентскими станциями при высокой плотности последних, но и максимально ограничить зону работы приемопередатчика точки доступа во избежание возможности внешних атак. Нужно отметить, что стоимость таких антенн пока высока, поэтому они используются в основном операторскими компаниями для строительства крупных сетей.

Наконец, еще один элемент беспроводных сетей, без которого в ряде случаев невозможно организовать полноценного удаленного доступа, — это устройства для соединения антенны и точки доступа при их взаимном удалении. Представить случаи, в которых антенная колонка и точка доступа могут быть разнесены, несложно – это и способ избегнуть влияния климатических условий на электрическую часть приемопередающего устройства, и возможность обеспечить физическую безопасность точки доступа. Антенные усилители диапазона 2,4 ГГц предназначены для компенсации потерь в кабеле между антенной и приемопередатчиком, увеличения выходной мощности передатчика и повышения стабильности работы приемника. Сейчас наибольшее применение получили усилители с выходной мощностью 500 мВт в совокупности с параболическими антеннами (усиление 24 dBi), что позволяет практически любой точке доступа увеличить дальность действия до 50 км.

Решение проблемы безопасности во многом должно продвинуть распространение протокола передачи данных, заложенного в спецификацию 802.11i. Последняя предполагает внесение изменений не только в протокол, но и в стандартную аппаратуру приемопередающих устройств. Предлагаемый к использованию протокол аутентификации Extensible Authentication Protocol (EAP), базирующийся на PPP, весьма эффективен, так как помимо использования стойких алгоритмов кодирования предлагает еще и применение 128-битных ключей. Кроме того, процедура аутентификации предполагает участие в ней трех сторон — вызывающей (клиента), вызываемой (точки доступа) и сервера аутентификации, что существенно повышает безопасность соединения.

Прочие сложности

Сложности при построении беспроводных сетей действительно возникают, но практически всегда их можно преодолеть. Если, например, говорить о государственных согласованиях, то с внутриофисными беспроводными сетями диапазона 2,4 ГГц особых проблем нет, поскольку для них действует фактически уведомительный порядок получения разрешения на использование частот. Вместе с тем степень распространенности беспроводного оборудования сегодня такова, что особого смысла в этом нет, ибо 99% внутриофисных беспроводных сетей, главным образом, домашних, работают без разрешения и бороться с этим бессмысленно. Гораздо сложнее согласовать создание внешней сети. Необходимо получить разрешения на эксплуатацию сети, использование частот, решить некоторые другие проблемы. Этот процесс нередко затягивает осуществление проекта. Более того, были прецеденты, когда Госкомитет по радиочастотам отказывал в выдаче соответствующего разрешения, следовательно, построение сети становилось невозможным.

Диапазон 5,2 ГГц так же недоступен для оффициальной регистрации, хотя большинство выпускаемых в настоящее время точек доступа и беспроводных адаптеров поддерживают работу по стандарту IEEE 802.11a именно в этом диапазоне. Как после поступать в таком случае, можно ли контролировать ситуацию административно? К сожалению, законодательство за последние 2 года не изменилось, но реалии таковы, что в области внутриофисных сетей разрабатывать нормативы уже поздно, следует признать факт их существования и разрешить безлицензионную работу. Ограничения возможны только на технические характеристики оборудования, но это должно контролироваться на этапе ввоза. Иначе любой контроль теряет смысл.