Общие принципы построения безопасной корпоративной WLAN

Предоставление доступа к сетевым ресурсам мобильным сотрудникам предприятия (или подключение мобильных устройств), возможность быстрой организации временного сетевого доступа для подрядчиков, поставщиков, консультантов и других нерегулярных посетителей — задачи, которые часто стоят перед ИТ службой предприятия и которые могут быть решены через внедрение беспроводной локальной вычислительной сети на основе технологии Wi-Fi (далее WLAN).

Однако, набор требований, предъявляемых к WLAN предприятия, значительно шире, чем при организации Wi-Fi зон публичного доступа.

Одна из основных задач — обеспечение безопасности беспроводной сети предприятия. Эта задача включает такие аспекты, как аутентификация пользователей (в том числе с использованием уже имеющихся на предприятии систем аутентификации), их авторизация (т.е. определение доступных пользователю сетевых ресурсов на основе его роли, места доступа к сети, времени и других данных), защита передаваемых данных, обнаружение и предотвращение вторжений, и атак на сеть (обнаружение и блокировка сторонних точек доступа, неавторизованных клиентских устройств), обнаружение и блокировка инфицированных клиентских устройств и др.

Вторая задача — организация удобного и безопасного гостевого доступа. Интернет доступ гостям по существующей беспроводной или проводной инфраструктуре должен предоставляться без ежедневного привлечения ИТ персонала и без ущерба безопасности и производительности для сети предприятия. WLAN должна иметь средства удовлетворить эти запросы, предлагая способ определения какие части сети и службы будут доступны для гостей и способ предотвратить снижение скорости WLAN для сотрудников. Гостевой доступ должен обеспечиваться без какой-либо перенастройки ноутбуков посетителей, а гибко настраиваемый гостевой портал предлагать возможность интеграции с интранет предприятия и другими приложениями. У администрации должна быть возможность прослеживать и контролировать поведение гостя.

При использовании поверх WLAN бизнес критических или мультимедийных приложений (VoWLAN, видеонаблюдения) необходима поддержка функций QoS, кроме того VoWLAN требует поддержку бесшовного хэндовера (возможность передачи ассоциации клиентского устройства от одной ТД к другой без перерегистрации и разрыва связи).

Для крупных предприятий, где разворачиваются сети с большим количеством точек доступа отдельной задачей становится обеспечение эффективного радиопокрытия и производительности WLAN. Большая WLAN требует более тщательного планирования радиопокрытия и настроек радиоприемного оборудования точек доступа (ТД). Учитывая вероятность выхода из строя какой-либо из ТД в WLAN, а также возможное изменение условий распространения сигнала (появление/исчезновение перегородок, подключение новых ТД и др. причины), надежность и максимальную доступность такой сети можно обеспечить только в случае динамического и согласованного управления радиопараметрами всех точек доступа в такой WLAN.

Bluesocket vWLAN — система управления и контроля для беспроводной сети предприятия с улучшенными характеристиками производительности, достигнутыми за счет переноса функций по продвижению данных к точкам доступа, за контроллером оставлены только функции управления и контроля.

Архитектура vWLAN — первая в своем роде, созданная для реальной унификации беспроводной и проводной связи и которая предоставляет максимальную эффективность, разделяя плоскости данных и управления. Это достигается за счет применения интеллектуальных 802.11n точек доступа (ТД), которые могут поддерживать аутентификацию пользователей и принимают решения о продвижении трафика на границе сети. Продвижение трафика данных в обход контроллера напрямую в проводную сеть освобождает большие ресурсы в контроллере vWLAN. Больше освободившихся ресурсов контроллера означает, что vWLAN может обеспечивать более высокую производительность беспроводного управления и контроля с меньшими требованиями к оборудованию.

Архитектура vWLAN беспроводной сети показана на Рис. 1.


Рис. 1 vWLAN архитектура беспроводной сети.

Техническое решение

ООО «НСТ» предлагает линейку масштабируемых контроллеров беспроводной сети vWLAN (virtual Wireless LAN) и точки доступа BSAP компании Adtran Bluesocket для поддержки беспроводных сетей Wi-Fi — от сетевой границы до ядра, реализующих законченное беспроводное решение с наименьшей стоимостью на абонента.

Разработанные как для небольших филиалов и региональных офисов, так и для крупных предприятий, vWLAN обеспечивают безопасность и управление беспроводных сетей вместе с плавной интеграцией с существующими беспроводными и проводными сетевыми инфраструктурами. Расширение сети возможно путём добавления лицензионной строки, аппаратная часть остаётся той же.

Контроллеры vWLAN обеспечивают:

  • Взаимодействие с мобильными устройствами на основе стандартных протоколов без необходимости в дополнительном или фирменном программном обеспечении на стороне клиента.
  • Универсальную аутентификацию на основе комбинации имени пользователя и пароля или цифровых сертификатов с локальной или центральной аутентификационной базой данных (RADIUS, LDAP, NT Domain, Windows Active Directory).
  • Гибкое назначение и контроль правил для пользователей и приложений. Управление правилами WLAN на основе роли пользователя, времени/расписания, местоположения, используемых служб, адресов назначения и других параметров.
  • Криптостойкое шифрование поддерживающее IPSec, PPTP, SSL или L2TP/IPSec для защиты данных пользователя.
  • Обнаружение вторжений и вредоносных программ путем мониторинга в режиме реального времени устройств пользователей, блокирование доступа хакерам и инфицированным устройствам.
  • Безопасный гостевой доступ.
  • Гибко-настраиваемый QoS и управление полосой пропускания, возможность ограничения на определенные виды трафика (например, peer-to-peer или загрузка музыки или видео).
  • Поддержку фирменной технологии Secure Mobility® (роуминг), которая позволяет пользователям не прерывать их сессии во время перемещения между подсетями (и даже в случае временного выхода из радио-покрытия).
  • Сбор на уровне абонента параметров использования сети (время в сети, количество переданных/принятых данных), взаимодействие с биллинговыми приложениями (pre-paid и post-paid).
  • Развертывание точек доступа BlueSecure™Access Points без ручной настройки: автообнаружение, автонастройка, оптимизация и контроль параметров радиопокрытия.
  • Возможность подключения точек доступа через маршрутизируемую (Layer 3) сеть, например, Интернет, что позволяет дешево и эффективно развернуть точки беспроводного доступа везде, где есть Интернет доступ.
  • Система показывает обновленную информацию о развернутых WLAN в легко интерпретируемом виде, позволяя быстро реагировать на проблемы в сети и появление неавторизованных устройств.
  • Функциональность включает способность определять и блокировать нежелательные точки доступа и пользователей и информировать администратора о попытках атак на беспроводную сеть.
  • vWLAN позволяет администраторам создавать карты покрытия и местоположения, импортируя поэтажные планы и места расположения точек доступа и радиосенсоров на карте. Это позволяет визуализировать мощность сигналов, загрузку точек доступа, определять места расположения нежелательных точек доступа и злоумышленных пользователей в реальном времени.

Adtran Bluesocket поставляет одно из наиболее сильных, основанное на стандартах, решений по безопасности на рынке для всех ее точек доступа и контроллеров.

Относящиеся к точке доступа функции безопасности включают WEP (Wireless Equivalent Privacy) RC4 40/64-бит, 128-бит и 152-бит шифрование основанное на разделяемом ключе. Bluesocket усилил этот базовый механизм безопасности дополнительными возможностями, включая местную аутентификацию по MAC адресу, аутентификацию 802.1x , TKIP (Temporal Key Integrity Protocol), WPA (Wireless Protected Access) и 802.11i (WPA v2) с множеством методов EAP (Extensible Authentication Protocol) для аутентификации пользователей, таких как PEAP, FAST, TTLS и TLS. Ваше беспроводное соединение получит наивысшую защиту с AES (Advanced Encryption Service) шифрованием, встроенным в оборудование Adtran Bluesocket.

Несколько других методов «без клиентской» аутентификации и защиты поддерживаются с помощью контроллеров BlueSecure для упрощения использования и прозрачности, но без компромисса к уровню реализуемой безопасности.

Соответствие стандартам PCI DSS

Организации, в которых соблюдаются требования стандартов PCI DSS, должны строить и обслуживать свою WLAN инфраструктуру в соответствии с этими стандартами. В частности для Wi-Fi сетей необходимо выполнение следующих условий: Базовая сетевая безопасность — PCI DSS 1.2 требует установки межсетевого экрана (stateful firewall) между проводной и беспроводной сетями и наличия на нем правил для ограничения доступа между беспроводными сетями и заданными серверами (службами). Пароли по умолчанию должны быть заменены на всех устройствах беспроводной сети. Протоколируемые данные WLAN должны посылаться к PCI-совместимому серверу протоколирования. (Все вышеперечисленные требования реализуются на контроллерах Bluesocket). Защита данных (шифрование) — Устойчивые к взлому алгоритмы шифрования должны использоваться для защиты данных владельца карты при передаче через беспроводную сеть. PCI DSS требует поддержки WPA2 с использованием AES алгоритма со 128-битным ключом. (Поддерживается на точках доступа Adtran Bluesocket). Регулярное сканирование — WLAN должны сканироваться на регулярной основе с целью идентификации беспроводных устройств, поиска неавторизованных или нежелательных точек доступа. Развертывание общекорпоративной беспроводной системы предотвращения вторжений позволяет автоматизировать выполнение этих требований. (Встроенные в BSAP радиосканнеры и средства управления беспроводной сетью от Bluesocket полностью решают и автоматизируют эту задачу). Обеспечение безопасного гостевого доступа. Каждое предприятие должно создавать правила, которые определяют как сотрудникам, гостям и подрядчикам разрешено пользоваться WLAN. Большинство предприятий используют перехватывающий (captive) гостевой портал для применения правил гостевого доступа. (Решение от Bluesocket поддерживает работу с перехватывающим порталом, в том числе SSL защищенным и позволяет определить правила использования WLAN для всех пользователей).


Бесплатная консультация со специалистом

*гарантируем конфиденциальность предоставленных данных
© 2006—2024 ООО «НСТ» Главная | Карта сайта | Контакты