Технологии безопасности беспроводных сетей и унифицированные решения
Унифицированные решения
В данном разделе познакомимся с одним любопытным решением компании D-Link, связанным с созданием унифицированных коммутируемых локальных сетей (проводных и беспроводных), которые обеспечивают высокую производительность при безопасной передаче информации и масштабируемость с возможностью управления и контроля.
Система Унифицированного Доступа (Unified Access System) – комплексное решение от компании D-Link. Позволяет развёртывать безопасные беспроводные сети WLAN (Wireless LAN), обеспечивая внедрение современных беспроводных сетевых возможностей, в том числе бесшовный роуминг уровней L2 и L3 для конечных пользователей.
В приведенном на рис. 3.7 примере организации локальной сети точки доступа отделов 1 и 2 управляются коммутатором Unified Access.
Компоненты D-Link Unified Access System:
- Унифицированные проводные/беспроводные коммутаторы Gigabit Ethernet, серии D-Link DWS-3024/3024L/3026/4026:
- Коммутируемые беспроводные точки доступа типа DWL-8500/8600AP – унифицированные беспроводные точки доступа, управление которыми осуществляется при подключении к беспроводному коммутатору DWS-3024/3024L/3026/4026.
Гигабитные беспроводные коммутаторы DWS-3024/3024L/3026/4026 являются корневыми устройствами, позволяющими управлять безопасностью, полосой пропускания и поддерживать функционирование всей беспроводной сети. Помимо этого, выполняя мониторинг пользователей и управляя их аутентификацией во время роуминга, коммутаторы могут задавать и управлять всеми параметрами беспроводных точек доступа, включая радиочастотные каналы, управление питанием, сегментацией беспроводного трафика, роумингом, балансировкой нагрузки, обнаружением несанкционированных точек доступа и параметрами безопасности.
Разработанные для легкого развертывания сети, коммутаторы поддерживают от 24 до 64 (в зависимости от модели) беспроводных точек доступа, которые могут быть подключены к портам беспроводного коммутатора непосредственно или опосредованно через коммутатор локальной сети. В сетях малого и среднего бизнеса (сектор SMB – Small and Medium Business) для управления несколькими точками доступа или для использования в смешанной проводной/беспроводной локальной сети потребуется только один беспроводной коммутатор. При увеличении количества точек доступа в систему централизованного управления можно объединить до 4 коммутаторов. Благодаря простоте расширения, поддержке гигабитных скоростей для подключения высокоскоростных точек доступа и маршрутизации уровня 3 для организации межсетевого роуминга, DWS-3024/3024L/3026/4026 обеспечивают архитектуру, которая унифицирует и упрощает сложную конфигурацию беспроводной сети, подготавливая простой переход к будущим технологиям.
Коммутируемые беспроводные точки доступа DWL-8500/8600 являются высокопроизводительными устройствами, предоставляя беспроводным клиентам мобильность и возможность работы в двух частотных диапазонах (2,4 Ггц и 5 ГГц). При подключении к этим коммутаторам каждая точка доступа (AP, Access Point) автоматически настраивается на оптимальный радиочастотный канал и выходную мощность передатчика, обеспечивая беспроводных клиентов сигналом наилучшего качества.
Рис. 3.8. Организация беспроводной сети с использованием коммутатора и точек доступа Unified Access System
Каждый клиент, подключаемый к беспроводной сети, проходит через процесс строгой аутентификации, что гарантирует максимальную безопасность. Неважно, является ли клиент постоянным пользователем, гостем или просто имеет доступ к сети отдела, коммутаторы DWS-3024/3024L/3026/4026 защищают сетевую инфраструктуру с помощью большого набора функций безопасности, включая: WEP-шифрование данных, WPA/WPA2, аутентификацию пользователей 802.1x и стандарт безопасности 802.11i, адаптивный портал и аутентификацию MAC-адресов.
Коммутаторы обеспечивают определение и обнаружение несанкционированных точек доступа для предотвращения нелегального вторжения во внутреннюю сеть, а также предоставляют такие сервисы, как членство в виртуальной частной группе (SSID), аутентификацию, определение местонахождения и выдачу статистики о сетях. Во время роуминга пользователь сохраняет авторизацию, т.к. все коммутаторы DWS-3024/3024L/3026/4026 имеют общую базу данных, гарантируя безопасный доступ к соответствующим ресурсам сети. Наряду с проверкой учетных данных подключаемых пользователей в локальной базе данных, также может быть осуществлена аутентификация пользователей на внешнем сервере RADIUS.
Кроме того, DWS-4026 поддерживает новейшую функцию Wireless Intrusion Detection System (WIDS), предназначенную для обнаружения несанкционированных точек доступа и несанкционированных клиентов, а также различных угроз безопасности беспроводной сети. С помощью функции WIDS администраторы могут обнаружить различные угрозы и использовать сканирование радиочастотных каналов для обзора беспроводной сети в целях предотвращения любых потенциальных угроз безопасности. Для проводных клиентов DWS-4026 использует функцию Dynamic ARP Inspection (DAI) и DHCP Snooping для обеспечения максимальной безопасности. Совместное использование функций Dynamic ARP Inspection (DAI) и DHCP Snooping предотвращает угрозы самого высокого уровня, например, "man-in-the-middle" и ARP poisoning.
Благодаря централизованным радиочастотным политикам, автоматическому выбору наименее используемого канала и балансировке нагрузки точек доступа, коммутаторы DWS-3024/3024L/3026/4026 могут эффективно управлять беспроводной полосой пропускания для оптимизации трафика WLAN.
Коммутаторы поддерживают централизованную базу данных с информацией по доступу беспроводных пользователей к ресурсам, например, MAC-адреса и ключи аутентификации. В сети с несколькими коммутаторами эта информация обеспечивается обменом данными между ними. По мере перемещения пользователей по офису с использованием беспроводного оборудования, может меняться используемая для подключения точка доступа.