Общие принципы построения безопасной корпоративной WLAN
Предоставление доступа к сетевым ресурсам мобильным сотрудникам предприятия (или подключение мобильных устройств), возможность быстрой организации временного сетевого доступа для подрядчиков, поставщиков, консультантов и других нерегулярных посетителей — задачи, которые часто стоят перед ИТ службой предприятия и которые могут быть решены через внедрение беспроводной локальной вычислительной сети на основе технологии Wi-Fi (далее WLAN).
Однако, набор требований, предъявляемых к WLAN предприятия, значительно шире, чем при организации Wi-Fi зон публичного доступа.
Одна из основных задач — обеспечение безопасности беспроводной сети предприятия. Эта задача включает такие аспекты, как аутентификация пользователей (в том числе с использованием уже имеющихся на предприятии систем аутентификации), их авторизация (т.е. определение доступных пользователю сетевых ресурсов на основе его роли, места доступа к сети, времени и других данных), защита передаваемых данных, обнаружение и предотвращение вторжений, и атак на сеть (обнаружение и блокировка сторонних точек доступа, неавторизованных клиентских устройств), обнаружение и блокировка инфицированных клиентских устройств и др.
Вторая задача — организация удобного и безопасного гостевого доступа. Интернет доступ гостям по существующей беспроводной или проводной инфраструктуре должен предоставляться без ежедневного привлечения ИТ персонала и без ущерба безопасности и производительности для сети предприятия. WLAN должна иметь средства удовлетворить эти запросы, предлагая способ определения какие части сети и службы будут доступны для гостей и способ предотвратить снижение скорости WLAN для сотрудников. Гостевой доступ должен обеспечиваться без какой-либо перенастройки ноутбуков посетителей, а гибко настраиваемый гостевой портал предлагать возможность интеграции с интранет предприятия и другими приложениями. У администрации должна быть возможность прослеживать и контролировать поведение гостя.
При использовании поверх WLAN бизнес критических или мультимедийных приложений (VoWLAN, видеонаблюдения) необходима поддержка функций QoS, кроме того VoWLAN требует поддержку бесшовного хэндовера (возможность передачи ассоциации клиентского устройства от одной ТД к другой без перерегистрации и разрыва связи).
Для крупных предприятий, где разворачиваются сети с большим количеством точек доступа отдельной задачей становится обеспечение эффективного радиопокрытия и производительности WLAN. Большая WLAN требует более тщательного планирования радиопокрытия и настроек радиоприемного оборудования точек доступа (ТД). Учитывая вероятность выхода из строя какой-либо из ТД в WLAN, а также возможное изменение условий распространения сигнала (появление/исчезновение перегородок, подключение новых ТД и др. причины), надежность и максимальную доступность такой сети можно обеспечить только в случае динамического и согласованного управления радиопараметрами всех точек доступа в такой WLAN.
Bluesocket vWLAN — система управления и контроля для беспроводной сети предприятия с улучшенными характеристиками производительности, достигнутыми за счет переноса функций по продвижению данных к точкам доступа, за контроллером оставлены только функции управления и контроля.
Архитектура vWLAN — первая в своем роде, созданная для реальной унификации беспроводной и проводной связи и которая предоставляет максимальную эффективность, разделяя плоскости данных и управления. Это достигается за счет применения интеллектуальных 802.11n точек доступа (ТД), которые могут поддерживать аутентификацию пользователей и принимают решения о продвижении трафика на границе сети. Продвижение трафика данных в обход контроллера напрямую в проводную сеть освобождает большие ресурсы в контроллере vWLAN. Больше освободившихся ресурсов контроллера означает, что vWLAN может обеспечивать более высокую производительность беспроводного управления и контроля с меньшими требованиями к оборудованию.
Архитектура vWLAN беспроводной сети показана на Рис. 1.
Техническое решение
ООО «НСТ» предлагает линейку масштабируемых контроллеров беспроводной сети vWLAN (virtual Wireless LAN) и точки доступа BSAP компании Adtran Bluesocket для поддержки беспроводных сетей Wi-Fi — от сетевой границы до ядра, реализующих законченное беспроводное решение с наименьшей стоимостью на абонента.
Разработанные как для небольших филиалов и региональных офисов, так и для крупных предприятий, vWLAN обеспечивают безопасность и управление беспроводных сетей вместе с плавной интеграцией с существующими беспроводными и проводными сетевыми инфраструктурами. Расширение сети возможно путём добавления лицензионной строки, аппаратная часть остаётся той же.
Контроллеры vWLAN обеспечивают:
- Взаимодействие с мобильными устройствами на основе стандартных протоколов без необходимости в дополнительном или фирменном программном обеспечении на стороне клиента.
- Универсальную аутентификацию на основе комбинации имени пользователя и пароля или цифровых сертификатов с локальной или центральной аутентификационной базой данных (RADIUS, LDAP, NT Domain, Windows Active Directory).
- Гибкое назначение и контроль правил для пользователей и приложений. Управление правилами WLAN на основе роли пользователя, времени/расписания, местоположения, используемых служб, адресов назначения и других параметров.
- Криптостойкое шифрование поддерживающее IPSec, PPTP, SSL или L2TP/IPSec для защиты данных пользователя.
- Обнаружение вторжений и вредоносных программ путем мониторинга в режиме реального времени устройств пользователей, блокирование доступа хакерам и инфицированным устройствам.
- Безопасный гостевой доступ.
- Гибко-настраиваемый QoS и управление полосой пропускания, возможность ограничения на определенные виды трафика (например, peer-to-peer или загрузка музыки или видео).
- Поддержку фирменной технологии Secure Mobility® (роуминг), которая позволяет пользователям не прерывать их сессии во время перемещения между подсетями (и даже в случае временного выхода из радио-покрытия).
- Сбор на уровне абонента параметров использования сети (время в сети, количество переданных/принятых данных), взаимодействие с биллинговыми приложениями (pre-paid и post-paid).
- Развертывание точек доступа BlueSecure™Access Points без ручной настройки: автообнаружение, автонастройка, оптимизация и контроль параметров радиопокрытия.
- Возможность подключения точек доступа через маршрутизируемую (Layer 3) сеть, например, Интернет, что позволяет дешево и эффективно развернуть точки беспроводного доступа везде, где есть Интернет доступ.
- Система показывает обновленную информацию о развернутых WLAN в легко интерпретируемом виде, позволяя быстро реагировать на проблемы в сети и появление неавторизованных устройств.
- Функциональность включает способность определять и блокировать нежелательные точки доступа и пользователей и информировать администратора о попытках атак на беспроводную сеть.
- vWLAN позволяет администраторам создавать карты покрытия и местоположения, импортируя поэтажные планы и места расположения точек доступа и радиосенсоров на карте. Это позволяет визуализировать мощность сигналов, загрузку точек доступа, определять места расположения нежелательных точек доступа и злоумышленных пользователей в реальном времени.
Adtran Bluesocket поставляет одно из наиболее сильных, основанное на стандартах, решений по безопасности на рынке для всех ее точек доступа и контроллеров.
Относящиеся к точке доступа функции безопасности включают WEP (Wireless Equivalent Privacy) RC4 40/64-бит,
Несколько других методов «без клиентской» аутентификации и защиты поддерживаются с помощью контроллеров BlueSecure для упрощения использования и прозрачности, но без компромисса к уровню реализуемой безопасности.
Соответствие стандартам PCI DSS
Организации, в которых соблюдаются требования стандартов PCI DSS, должны строить и обслуживать свою WLAN инфраструктуру в соответствии с этими стандартами. В частности для Wi-Fi сетей необходимо выполнение следующих условий: Базовая сетевая безопасность — PCI DSS 1.2 требует установки межсетевого экрана (stateful firewall) между проводной и беспроводной сетями и наличия на нем правил для ограничения доступа между беспроводными сетями и заданными серверами (службами). Пароли по умолчанию должны быть заменены на всех устройствах беспроводной сети. Протоколируемые данные WLAN должны посылаться к PCI-совместимому серверу протоколирования. (Все вышеперечисленные требования реализуются на контроллерах Bluesocket). Защита данных (шифрование) — Устойчивые к взлому алгоритмы шифрования должны использоваться для защиты данных владельца карты при передаче через беспроводную сеть. PCI DSS требует поддержки WPA2 с использованием AES алгоритма со