Всеохватывающая тенденция стремительного роста количества мобильных устройств сделала Wi-Fi и сопутствующие технологии одними из наиболее развивающихся в сегодняшнем мире телекоммуникаци.
Голосовые и видеоприложения поверх Wi-Fi, использование в корпоративных целях устройств, принадлежащих сотрудникам (BYOD – Bring Your Own Device), предполагают наличие Wi-Fi-сети корпоративного класса в каждом офисе независимо от размера компании. Тем не менее очень часто из уст представителей департаментов информационных технологий и безопасности можно услышать такие аргументы против:
- беспроводная сеть не так надежна, как проводная;
- в беспроводном эфире хуже качество передачи видео;
- нет полной совместимости между подключаемыми клиентскими устройствами;
- радиоэфир плохо управляем, нет полной видимости происходящего;
- Wi-Fi – это небезопасно.
На каждый из этих аргументов беспроводная архитектура от Cisco отвечает технологиями, которые стерли грань между проводной и беспроводной средами. Более того, доступ в сеть для мобильных пользователей стал максимально надежным и безопасным, а работа приложений – качественной, управляемой и видимой.
Итак, давайте по порядку.
Качество и надежность. Что делает беспроводной эфир ненадежным? Сам принцип общего доступа, а также различные помехи – как от Wi-Fi, так и не от Wi-Fi.
С первыми (а это свои и чужеродные точки доступа Wi-Fi) традиционно справляются технологии управления радиоресурсом. Они обеспечивают динамическое назначение точки доступа канала с наименьшим уровнем помех, автоматическую настройку мощности передатчика на точке доступа, балансировку подключений клиентов между соседними точками доступа, а также обнаружение и устранение «дыр» в покрытии.
При этом нужно помнить, что в эфире могут присутствовать и другие источники сигнала, не работающие по протоколу Wi-Fi: Bluetooth, беспроводные видеокамеры безопасности, микроволновые камеры, некоторые модели DECT- и радиотелефонов.
В зависимости от типа устройства и его расстояния от Wi-Fi-сети работоспособность последней может упасть практически до нулевой отметки. Поэтому необходимо обнаруживать, правильно классифицировать и устранять такие воздействия на рабочую беспроводную сеть. Этим и занимается технология Cisco Clean Air. С помощью вмонтированного чипсета высокой дискретности точки доступа Cisco могут точно обнаружить помехи не Wi-Fi-природы, производить их классификацию и корреляцию, а затем переключать беспроводной канал на более «чистый» от помех. Таким образом, гарантируется оптимальное качество связи беспроводных клиентов и приложений.
Еще одна технология – Cisco Client-Link 2.0 – позволяет заметно увеличить скорость передачи в сторону беспроводных клиентов. Дело в том, что нахождение в радиусе действия сети старых клиентов (802.11 a/b/g) делает сеть менее производительной и емкой с точки зрения скорости передачи данных. Ведь таким клиентам требуется больше времени, чтобы передать единицу информации. В итоге страдают новые клиенты (802.11n), для которых общая емкость радиоспектра снижается. Точки доступа Cisco позволяют сформировать «направленный луч» в сторону беспроводного клиента, тем самым как бы приближая его к точке доступа и увеличивая скорость доступа.
Для понимания особенностей данной технологии предлагаем более глубокий теоретический ликбез. Точки доступа 802.11n имеют несколько приемопередающих элементов (в том числе антенн). На каждую из таких антенн со стороны клиента приходят основной сигнал и его копии (отраженные от физических преград). Приходят эти сигналы на каждую антенну с разными временными сдвигами (фазами). Это значит, что, учитывая симметричность радиоканала, в котором сигналы к клиенту и от клиента путешествуют по одинаковому маршруту, мы можем учитывать эти фазовые сдвиги при формировании ответного сигнала в клиентскую сторону. Таким образом, мы как бы находим расположение клиента в пространстве и формируем в его сторону «направленный луч», увеличивая скорость соединения.
Client-Link 2.0 делает то же самое и для новых клиентов 802.11n, для каждого пространственного потока в отдельности. Например, точка доступа Cisco 3600 может формировать направленный луч в сторону клиента, поддерживающего три пространственных потока (Spatial Streams).
Чем уникальна данная технология? Она не требует поддержки со стороны клиентского устройства и работает для всех без исключения Wi-Fi-устройств. В отличие от реализуемой некоторыми производителями технологии ECBF (Explicit Compressed Beam Forming), где такая поддержка со стороны клиента требуется. Что немаловажно, сегодня клиентов, поддерживающих ECBF, практически не существует, поэтому пользы от нее мало.
Что же делать с видео? Видео и Wi-Fi, казалось бы, вещи несовместимые. До тех пор, пока мы не познакомимся с арсеналом Cisco Video Stream.
Что происходит, когда в типичной Wi-Fi-сети начинается передача многоадресного потокового видео? В беспроводной среде понятия multicast’a не существует. Любой такой поток преобразуется в широковещательный broadcast и передается на самой низкой скорости (так как его должны услышать все клиенты в зоне покрытия). В итоге видео передается, в лучшем случае, на скорости 6 Mбит/с, а если включены скорости 802.11b, то и на 1 Мбит/с. Будет ли работать потоковое HD-видео в Wi-Fi-среде при таких условиях? Разумеется, нет.
Именно поэтому Video Stream гарантирует оптимальную передачу потокового видео по беспроводному эфиру и делает это с помощью трех механизмов:
- преобразование многоадресного multicast-потока в отдельные unicast-потоки. Это дает возможность передавать видео на самых высоких скоростях и только тем клиентам, которые на этот поток подписаны;
- возможность выставлять приоритеты разным потокам относительно друг друга. Например, обращение директора будет передаваться в первую очередь и гарантированно, в то время как просмотр спортивного события будет иметь приоритет ниже;
- контроль резервации ресурсов постоянно следит за тем, есть ли возможность подключить новых клиентов к видеопотоку. Если радиоэфир не загружен, такой клиент подключится. В обратном случае его подключение может навредить существующим подписчикам видеорассылки, и такому клиенту будет отказано. Таким образом гарантируется качество видеосоединения подключенных клиентских устройств.
И вот мы приходим к наиболее распространенному опасению, которое часто звучит из уст представителей департаментов безопасности и ИТ. «Wi-Fi – это небезопасно», – говорят они и запрещают его применение корпоративной политикой. Ведь вся информация передается по воздуху, а значит ее можно перехватить и использовать в злоумышленных целях.
Чтобы опровергнуть это опасение, постараемся представить наиболее распространенную ситуацию. В организацию приходит рядовой посетитель. Что он зачастую видит, когда его смартфон сообщает о наличии беспроводной сети в этом офисе? Правильно – необходимость ввести пароль, после чего все данные начинают шифроваться самыми совершенными на сегодняшний день алгоритмами. Это как минимум. В то же время, попадая в кабинет на встречу, мы видим незащищенные Ethernet-розетки, куда можно спокойно подключиться кабелем. По нашим наблюдениям, в подавляющем большинстве случаев такой посетитель сразу же попадает в локальную сеть организации с полным доступом ко всем информационным ресурсам. И проводная сеть оказывается намного более уязвимой к вторжению, нежели беспроводная.
Почему так происходит? Дело в том, что намного сложнее внедрить в компании аутентификацию на портах проводной сети из-за сложности полноценно описать, кому и куда можно «ходить». В то же время беспроводная Wi-Fi-сеть обычно выделяется в отдельный сегмент сети, и контролировать ее намного прозрачнее и проще.
Беспроводная безопасность включает в себя целый спектр задач:
- безопасную аутентификацию пользователей: имеет ли пользователь право подключиться к сети? Кто он?
- надежное шифрование: защищаются ли передаваемые данные в радиоэфире от утечки информации?
- поиск и устранение посторонних Wi-Fi-устройств: что делать с теми устройствами, которые включаются в сеть без нашего ведома и «переманивают» на себя наших пользователей?
- защиту от атак на беспроводную сеть с целью взломать ее или вывести из строя.
С безопасной аутентификацией все достаточно очевидно. Можно распознавать пользователей по логину/паролю из корпоративной директории (AD, LDAP и т. п.) либо применять более устойчивый метод с цифровыми сертификатами (методы EAP). Шифрование обеспечивается наиболее сильным алгоритмом AES с длиной ключа до 256 бит. Эти комплексы образуют привычный для слуха термин WPA2 Enterprise, который гарантирует безопасность подключения пользователей и конфиденциальность передаваемой информации по воздуху.
То, о чем задумываются реже всего, – это так называемые посторонние устройства. Представьте ситуацию: сотрудник приносит в офис домашнюю точку доступа, подключает ее в сеть и начинает раздавать Wi-Fi себе и коллегам. Осознанно или неосознанно, он подвергает угрозе всю информационную сеть организации. Ведь подключиться к такой точке не составит труда профессионалу: зачастую домашние Wi-Fi-роутеры не обладают богатым арсеналом безопасности, а то, что имеется, нередко бывает отключено по умолчанию. Таким образом, принесенная без ведома и подключенная в Ethernet-розетку точка доступа превращается в открытый портал. И, что удивительно, это может происходить даже в тех случаях, когда корпоративная Wi-Fi-сеть на территории предприятия не внедрена.
Беспроводное решение от Cisco наряду с обслуживанием клиентского доступа позволяет обнаруживать наличие таких нелегитимных устройств в сети и отключать их. Если устройство к сети не подключено, но создает приманку для пользователей, беспроводные точки доступа Cisco будут отключать таких клиентов от посторонней точки, тем самым защищая их от хищения информации.
Там, где клиентский доступ не требуется, внедрение беспроводной сети с целью мониторинга радиоэфира делает сеть предприятия более защищенной. Это поможет банкам и другим организациям предотвратить вмешательство со стороны радиоэфира, а также соответствовать требованиям различных стандартов, таких как PCI/DSS.
Если рабочая беспроводная сеть подвергается атакам со стороны злоумышленников с целью вывода ее из строя, разведки или хищения информации, нам помогут средства системы обнаружения вторжений (Wireless IPS) – неотъемлемые компоненты беспроводной архитектуры Cisco.
Таким образом, мы выяснили, что внедрение «беспроводки» во многих случаях усиливает защищенность информационных систем любого предприятия и позволяет безопасно подключать пользовательские устройства как сотрудников компании, так и ее гостей.
Видимость беспроводного эфира
До недавних пор Wi-Fi считалась приятным дополнением к традиционным проводным локальным сетям. Сегодня парадигма меняется: мобильные устройства диктуют новые правила. Прозрачность процессов в беспроводной среде – это уже требование по умолчанию наряду с безопасностью. Какие пользователи вместо того, чтобы работать, сидят в социальных сетях или смотрят YouТube? Как можно ограничить доступ к этим ресурсам по Wi-Fi?
Возможность увидеть и отсечь нежелательные приложения предоставляется уже на уровне беспроводного доступа. Технология Application Visibility & Control, работая на уровне беспроводного контроллера Cisco, позволит понять, что происходит в Wi-Fi-эфире, какие приложения наиболее востребованы, а какие бесполезно занимают канал. Кто из пользователей устраивает раздачу или закачку файлов с помощью torrent? Проанализировав все это, мы с легкостью можем прописать корпоративную политику беспроводного доступа: запретить такие приложения, как torrent, YouТube, социальные сети, а голосовым приложениям предоставить наивысший приоритет.
Совместимость
Сегодня на рынке производителей клиентских устройств с поддержкой Wi-Fi – великое множество. Каждое из них может работать по беспроводному эфиру. Однако не всегда поддерживает наиболее совершенные механизмы безопасности, не всегда участвует в процессе определения своего местоположения на карте. Чего хочет организация, внедряющая Wi-Fi? Прежде всего, чтобы все клиенты работали корректно, быстро и безопасно.
Компания Cisco, как лидер на рынке корпоративных беспроводных технологий, активно сотрудничает с производителями клиентских мобильных устройств. Очень многие из них заблаговременно проходят испытания на совместимость с Cisco, получают новейшие разработки от компании, а также активно взаимодействуют с беспроводной сетью. Как это происходит? Клиентское устройство сообщает беспроводным точкам доступа о том, как оно «слышит» эту сеть. Такая информация используются для более точного вычисления местоположения этого клиента на карте.
Программа Cisco Compatible Extensions – это гарантия того, что многие устройства будут оптимально работать в беспроводной среде от Cisco: с наивысшим уровнем безопасности, с наибольшей точностью определения местонахождения и с высокой скоростью.
Мифы о беспроводных технологиях не будут изжиты быстро. Но бурный спрос на беспроводную связь вынуждает заботиться о ее качестве, безопасности и надежности. С помощью технологий и продуктов от Cisco беспроводные сети незаметно сливаются с проводными, образуя единую среду унифицированного доступа.
Более детальную информацию можно найти на сайте.
Если у вас есть вопросы, звоните прямо сейчас на горячую линию Cisco в Украине: 0 800 503 337. Наши операторы ожидают ваших звонков.
Также вы можете отправить онлайн-вопрос специалисту Cisco.
Приобрести продукцию Cisco или узнать информацию о ценах можно у наших партнеров. Они помогут подобрать и реализовать лучшее решение для вашего бизнеса. Найти партнера можно по ссылке.
Автор: Юрий Довгань