Бездротова корпоративна мережа секрети та поради, Інформаційна безпека, Дискусії, Global CIO
Як правильно організувати бездротову мережу в офісі? Ми попросили поділитися своїми порадами та рекомендаціями експертів ІТ-ринку, співробітників компаній, які розробляють мережеве обладнання, засоби інформаційної безпеки, а також системних інтеграторів, що спеціалізуються на впровадженні мережевих рішень.
Як захищатимемося?
Насамперед, необхідно вирішити проблеми у сфері захисту та безпеки. Зрозуміло, що відкриті для всіх і кожної мережі неприпустимі ніде і ніколи. В цілому, якщо подивитися на алгоритм взаємодії клієнта та точки доступу, то він складається з двох складових: аутентифікації та шифрування.
Євген Строєв, спеціаліст відділу безпеки корпоративних мереж компанії Positive Technologies, розмірковуючи про аутентифікацію, говорить про два можливі варіанти: Shared та EAP. У першому випадку клієнт підключається після введення правильного ключа. Такий підхід доцільний у тих випадках, коли ключ складний і не піддається швидкому підбору. Варіант EAP-автентифікації, у якому використовується зовнішній сервер, перевіряючий ключ, причому кожному користувачеві може бути виданий свій власний ключ. Цей варіант Євген Строєв вважає найоптимальнішим з погляду безпеки. Що стосується технологій шифрування, то технологію WEP (Wired Equivalent Privacy) і TKIP, її покращений варіант, використовувати не рекомендується, оскільки через допущені при їх розробці помилки вони легко схильні до злому. Найбільш надійним протоколом шифрування Євген Строєв називає AES/CCMP, заснований на стандарті AES (Advanced Encryption Standard).
За словами Дениса Макрушіна, антивірусного експерта «Лабораторії Касперського», найбільш захищеним та стійким до зломуПротоколом є Wi-Fi Protected Access 2 (WPA2). Ця технологія не тільки забезпечує безпеку передачі даних між точкою доступу та підключеними до неї пристроями, але й здійснює суворий контроль усіх пристроїв, що підключаються до цієї точки. На відміну від WPA, де може бути використаний ненадійний протокол TKIP, WPA2 застосовується тільки AES.
Що це за параметри? У WPA2-Enterprise можна організувати аутентифікацію за допомогою різних методів. З них Євген Строєв найзручнішим вважає EAP-MS-CHAPv2, коли користувачеві досить просто ввести логін та пароль, щоб потрапити до мережі. Однак такий метод не завжди є безпечним. Найбільш надійним, за словами експерта, буде використання EAP-TLS, при якому на пристрої необхідно встановити сертифікат, спеціально створений для користувача, і надалі аутентифікація відбувається за його допомогою. Метод WPS/QSS, під час використання якого підключення відбувається за спеціальним кодом, надрукованим на корпусі роутера, або натисканням спеціальної кнопки на мережному та клієнтському пристрої, Євген Строєв також не рекомендує використовувати, оскільки, за його словами, через помилку в стандарті, можна вгадати 4 цифри коду, тому зловмисник отримає правильний PIN і зможе підключитися. Для цього потрібно лише 10 тис. спроб підбору.
Для будинку окремо, для офісу окремо
Яке обладнання вибрати для корпоративної бездротової мережі? Деякі замовники, прагнучи в наш непростий час заощадити ІТ-бюджет, замислюються про придбання обладнання, орієнтованого насамперед на домашніх користувачів.
На думку Тимура Кайданного, для замовників, які працюють у сегменті SOHO, цілком допустимо використання рішень із споживчого сегменту, але тільки в тих випадках, якщо домережі не пред'являються додаткові вимоги, і на бездротову мережу не покладаються критично важливі для бізнесу програми та процеси.
«В офісі потрібно використовувати тільки призначене для цього обладнання entreprise-класу, - доповнює Віктор Платов, системний інженер-консультант компанії Cisco Systems, - Корінною його відмінністю від домашнього обладнання (крім надійності, керованості, функціональності) є можливість роботи з великою кількістю одночасних підключень : якщо домашні точки доступу розраховані на 5-10 підключень, їх корпоративні «побратими» можуть одночасно обслуговувати кілька сотень клієнтів».
Олексій Анастасьєв, менеджер з розвитку бізнесу центру мережевих рішень компанії «Інфосистеми Джет», по-перше, наголошує на кількох ключових відмінностях корпоративного мережевого обладнання від домашнього. Насамперед, це більш висока продуктивність та можливість витримати не десяток-другий, як домашні пристрої, а сотні одночасних підключень. Справа в тому, що мережеві рішення для підприємств оснащуються продуктивнішими чіпсетами.
По-друге, Олексій Анастасьєв говорить про автоматизацію механізмів налаштування та управління мережею, якими оснащується мережеве обладнання корпоративного класу. «Під такими, наприклад, маються на увазі вбудовані механізми автоматичного управління частотним планом, що дозволяє в умовах радіоперешкод, що динамічно змінюються, забезпечити стабільне підключення користувачів без постійного втручання адміністратора мережі. Не кажучи вже про те, що зміна налаштувань, наприклад, сотні Wi-Fi точок доступу може зайняти годинник, якщо виконувати ці операції вручну, що є неприйнятним для сучасних корпоративних рішень, де ці функції автоматизовані», — каже він.
По-третє, мережеве обладнання корпоративного класу має підтримувати більшу кількість стандартів та клієнтських пристроїв.
За словами Олексія Анастасьєва, підключення «повільного» клієнта до точки доступу призводить до ситуації, коли всі «швидкі» клієнти, що знаходяться поруч із ним, змушені працювати на швидкості найповільнішого клієнта. У корпоративних системах підтримуються механізми автоматичного виявлення та перегрупування клієнтів, які працюють на різних стандартах (швидкості) між Wi-Fi точками доступу. Нарешті, серед інших можливостей корпоративного мережевого обладнання Олексій Анастасьєв називає можливість позиціонування пристроїв, що дозволяє визначати розташування мобільних клієнтів на території об'єкта, а також обробку та оптимізацію мультимедійного трафіку на рівні точки доступу, вбудований функціонал захисту від атак на рівні точки доступу та багато іншого.
Огорнути неосяжне
Системні адміністратори та ІТ-фахівці часто стикаються і з такою проблемою, як неякісне або неповне охоплення точками доступу великих приміщень (цехів, офісів, побудованих за принципом Open Space, біржових та торгових залів, вокзалів та аеропортів, складів тощо). При проектуванні бездротової мережі необхідно враховувати безліч факторів - конфігурація приміщень, матеріали стін та перекриттів, кількість та територіальний розподіл клієнтів, наявність джерел перешкод чи бездротових мереж.
«Для того, щоб правильно розрахувати бездротову мережу, зазвичай використовується спеціалізоване ПЗ. — каже Дмитро Кузнєцов, директор компанії «Параллакс». — Таке програмне забезпечення дозволяє не лише виконати проектування бездротової мережі, а й перевірити відповідність її характеристик розрахунковим. Крім розрахунків, важливу рольвідіграє також вибір обладнання. Рішення, що використовують контролер для централізованого керування точками доступу, дозволяють досягти найбільш рівномірного покриття».
Чужі тут не ходять
До офісу будь-якої компанії приходять відвідувачі. Це можуть бути покупці, клієнти, партнери чи підрядники, які виконують будь-які роботи на тимчасовій основі. Багатьом з них необхідний доступ до Інтернету, який можна надати через корпоративну мережеву інфраструктуру, відкривши для цього спеціальний гостьовий вхід. Як організувати такий доступ без ризиків для основних інформаційних ресурсів компанії?
«Гостьовий доступ має бути створений в окремій віртуальній мережі, в якій використовується брандмауер, який обмежує права гостьового доступу, швидкість каналу, іноді обсяг трафіку на кожного гостя. Якщо все налаштовано правильно, то ризики зведуть до нуля», — стверджує Володимир Княжицький, генеральний директор ГК «Фаст Лейн» в Україні.
У свою чергу, Денис Бондаренко, директор з операційної діяльності компанії «АДВ Консалтинг», рекомендує ізолювати гостьову мережу від решти мережі компанії. На його думку, гостьова мережа фізично може працювати і на загальній корпоративній мережній інфраструктурі, але слід приділяти увагу налаштуванню мережного обладнання, щоб унеможливити доступ з відкритої мережі до внутрішньокорпоративних ресурсів. Для гостьової мережі не потрібно впроваджувати складні технології аутентифікації. Достатньо буде введення єдиного пароля чи входу через captive portal.
Висновок
Грамотне розгортання корпоративної мережі — складний та багатогранний процес, що вимагає врахування багатьох індивідуальних факторів та особливостей, пов'язаних із роботою кожної компанії. Важко в рамках невеликої статті дати повний набіррекомендацій тому ми зупинилися лише на деяких порадах експертів.
У висновку варто лише відзначити, що бездротову мережу, якою б зручною та безпечною вона не була, не потрібно робити основою комунікацій у компанії. "Золотий" стандарт безпеки полягає в тому, щоб розглядати мережу Wi-Fi як допоміжну. Блокувати роботу офісу, де корпоративна мережа побудована лише на бездротовій передачі даних, простіше простого: досить увімкнути поряд із приміщенням генератор перешкод. І будь-яке шифрування виявляється непотрібним, пристрої просто не можуть зв'язатися один з одним.