Защита корпоративной беспроводной сети

Недавно я подробно описал, как защитить вашу домашнюю беспроводную сеть, в серии пошаговых статей. Правильная настройка беспроводной сети является ключом к ее безопасности. В этой статье мы рассмотрим, как защитить корпоративную беспроводную сеть.

Wi-Fi и корпоративная сеть

Я хотел бы начать эту статью с упоминания ключевого момента, о котором многие люди не знают. Беспроводные сети на самом деле представляют собой IEEE 802.11, который отличается от того, что мы все знаем как Ethernet, также известного как IEEE 802.3. Основные различия между ними заключаются в физическом уровне и уровне MAC. Кроме того, они сопоставимы с точки зрения стандартов. Тем не менее, беспроводная технология считается зрелой технологией, хотя и быстро развивающейся. В частности, IEEE 802.11a, 802.11b, 802.11g и так далее. Эти различные подмножества 802.11 привели к изменениям как в скорости, так и в пропускной способности внутренней беспроводной сети. Быстрое развитие беспроводных технологий привлекло внимание корпоративных сетей по всему миру, и в настоящее время многие считают их инструментом для ведения бизнеса. Многие компании теперь считают беспроводные технологии обязательными. С таким широким внедрением беспроводных технологий крупными предприятиями возникла необходимость их защиты.

Та же технология, разные проблемы

Беспроводные сети, будь то домашние или корпоративные, используют одну и ту же технологию, то есть спецификацию 802.11. Где они различаются, так это в реализации. Наличие небольшого домашнего беспроводного маршрутизатора на корпоративном предприятии просто нереально. Во-первых, дальность действия маршрутизатора далеко не достаточно мощна, чтобы добраться до иногда разрозненных уголков крупной среды корпоративного класса. Компания может занимать целое здание, а иногда и больше. Имея это в виду, у нас уже есть дополнительный уровень сложности, поскольку у домашнего пользователя есть только один беспроводной маршрутизатор для настройки и обслуживания. В вышеупомянутой корпоративной среде у вас может быть довольно много устройств, позволяющих обеспечить корпоративный беспроводной доступ во всем их офисном пространстве.

Как управлять проводным и беспроводным подключением?

Я слышал некоторые разговоры о компаниях, полностью переходящих на беспроводную связь, но пока не слышал ни об одной компании, которая сделала бы это. Реальность такова, что в большинстве сетей корпоративного класса есть как беспроводные, так и проводные сети, с которыми приходится бороться. Необходимость управлять ими обоими — вот где первые трещины могут появиться в сетевой защите. Развертывание беспроводной сети в существующей проводной сети может оказаться непростой задачей. Ранее уже говорилось, что сложность и безопасность несовместимы, и сегодня это звучит правдоподобно. Вот почему очень важно иметь какое-то централизованное управление, с помощью которого вы можете отслеживать и настраивать смешанную сеть. Хотя я предпочитаю рекомендовать различных поставщиков для комплексного решения смешанной сети, факт остается фактом: Cisco очень хорошо с этим справляется. Это плюс вероятность того, что большинство людей уже используют свое оборудование для нужд своей инфраструктуры.

Основы

Основы безопасности беспроводной сети для пользователей SoHo — это то, о чем я рассказал ранее в двух своих статьях. В нем подробно описано, как правильно настроить беспроводной маршрутизатор, однако это также применимо и к корпоративной среде. Как системный администратор сети корпоративного класса вы должны обеспечить выполнение этих основных шагов. Однако есть и другие методы защиты вашей беспроводной сети. Почти все слышали о WEP и о том, что он может сделать для вас. Проблема в том, что WEP больше не является жизнеспособным средством шифрования трафика. Один из наиболее известных методов, который с тех пор заменил WEP в корпоративной среде, известен как 802.1x. Это гораздо более безопасный и надежный способ аутентификации доступа к корпоративной беспроводной сети. Чаще всего RADIUS используется вместе с 802.1x.

А ТКИП?

Немногие слышали о TKIP и о том, что он может сделать, чтобы еще больше укрепить вашу беспроводную сеть. Протокол Temporal Key Integrity Protocol (TKIP) часто рассматривается как эволюция, возникшая из-за слабости WEP. Относительная слабость WEP была освещена мной в нескольких предыдущих статьях. Что TKIP привносит в таблицу с точки зрения повышенной безопасности, так это новые алгоритмы шифрования, а также дополнительный плюс постоянной смены самого ключа шифрования. Это делает экспоненциально трудным для злонамеренного хакера получить правильный. В дополнение к этим мерам зашифрован сам ключ шифрования. По сути, даже если злонамеренный хакер может захватить ключ, сам ключ также зашифрован. Кроме того, если сам ключ сломан, вероятность того, что ключ уже был изменен снова, довольно высока. В общем, очень надежное решение для любой корпоративной беспроводной сети. Если вы думаете: «Это решение для меня!», имейте в виду, что у его реализации есть некоторые недостатки. Не все беспроводные маршрутизаторы и беспроводные карты поддерживают TKIP. Перед тем, как задуматься о переходе на TKIP, убедитесь, что ваше нынешнее оборудование поддерживает его.

Как насчет смешать и сочетать?

Вдобавок ко всем изменениям конфигурации вашего беспроводного маршрутизатора, основанным на здравом смысле, можете ли вы также использовать различные средства защиты? Ну, короче, да, можно. Вы, безусловно, можете использовать WEP, TKIP и использование виртуальных частных сетей (VPN) в беспроводной сети вашего предприятия. Если бы вы включили все эти меры, у вас была бы одна очень безопасная беспроводная сеть. Однако у этого есть недостаток, заключающийся в том, что использование VPN может вызвать проблемы с сетью. Широкое использование VPN может вызвать проблемы с производительностью в вашей сети. Эти узкие места в производительности можно преодолеть с помощью концентраторов VPN. Это лишь одно из решений проблемы, которую может принести мера безопасности, введенная в сети.

Все сводится к планированию

В приведенных выше параграфах мы видели, что существует широкий спектр проблем безопасности и решений для корпоративной беспроводной сети. Лишь немногие были затронуты, так как есть буквально книги, написанные об укреплении беспроводных сетей. Многие проблемы безопасности, с которыми сталкиваются проводные сети (Ethernet, если вы помните, официально называется IEEE 802.3), также встречаются и в беспроводных сетях (Wireless также официально обозначается как IEEE 802.11). Сами беспроводные сети не застрахованы от последствий DDoS-атак или DoS-атак, кроме одной опасности, обычно связанной с проводными сетями.

Если вы думаете об интеграции беспроводного компонента в существующую проводную корпоративную сеть, вам рекомендуется сначала сесть и все спланировать. Взгляните на свою существующую инфраструктуру и на то, что у этого оборудования есть с точки зрения беспроводной совместимости. Я всегда советую попробовать остаться с одним и тем же поставщиком оборудования только для того, чтобы облегчить интеграцию. Вам также обязательно следует поискать какое-либо программное обеспечение для централизованного мониторинга. Это позволит вам быстро и легко контролировать все аспекты вашей смешанной сети в одной программе.

Цель этой статьи состояла в том, чтобы помочь системному администратору корпоративного класса принять некоторые обоснованные решения, поскольку это влияет на их беспроводную сеть. Время, потраченное на изучение существующей гибридной сети на предмет возможных проблем с производительностью или безопасностью, потрачено не зря. Также помните, что сегодня существует множество продуктов, которые помогут вам в обеспечении безопасности сети в смешанной среде. Как всегда жду ваших отзывов и комментариев. На этой ноте, до следующего раза.