Читатель спрашивает: Какие моменты в области безопасности необходимо учитывать при подключении удаленного сегмента сети по Wi-Fi, если подключение по проводным сетям невозможно? Какие технологии можно применить в качестве альтернативы Wi-Fi? Расстояние передачи — 400 метров по открытому пространству, необходимая скорость — не менее 10 Мбит/с.
 |
При построении радиоканалов на базе технологии Wi-Fi (IEEE 802.11a/b/g/n) особое внимание следует уделять информационной безопасности таких каналов. Уже давно прошли те времена, когда сеть считалась безопасной, если устанавливался статический ключ шифрования длиной 128 бит и запрещалось распространения идентификатора сети. Такой упрощенный подход к безопасности сети породил некую «Wi-Fi-фобию», поскольку сети воспринимались как небезопасные.
Как известно, информационная безопасность имеет как минимум две компоненты: обеспечение авторизованного подключения к сети или ресурсу и недопущение перехвата и модификации данных. Именно данных, а не радиосигнала, т.к. последнее обычно не составляет проблем в силу использования эфира как разделяемой среды передачи, но, при правильном построении беспроводной сети, такой перехват радиосигнала «пользы» не приносит.
В настоящий момент сеть Wi-Fi считается безопасной, если выполняется комплекс мероприятий, описанных в рекомендации IEEE 802.11i (стандартизированная версия рекомендаций Wi-Fi Alliance — WPA/WPA2). Эти рекомендации описывают использование IEEE 802.1x для безопасного распространения временных безопасных ключей длиной 128 бит, применение технологии TKIP для усиления вектора инициализации (IV), использование EAP (Extensible Authentication Protocol) для взаимной аутентификации пользователя и сети при подключении к сети.
Эти средства позволяют решить основные задачи обеспечения безопасности: безопасная взаимная аутентификация пользователя и сети при подключении к сети (обеспечивается на базе семейства протоколов EAP: EAP-TLS, PEAP, LEAP и пр.) и безопасный обмен информацией, устойчивый к расшифровке и модификации данных (решается благодаря применению рекомендаций IEEE 802.11x).
Реализация политики безопасности базируется на клиентском программном обеспечении, настройках IEEE 802.11i в точках доступа и ААА-сервере с поддержкой EAP поверх RADIUS. В более простом, но менее безопасном режиме — с использованием WPA-PSK (Pre-Shared Key) можно обойтись без ААА-сервера. Существует большое количество вариантов обеспечения различной степени безопасности сетей Wi-Fi, от наиболее безопасного, описанного выше, до абсолютного отсутствия безопасности (яркий пример — хот-споты). В любом случае, система безопасности считается достаточной, если ее преодоление обходится дороже, чем возможная выгода, и наоборот, затраты на развертывание системы безопасности не должны превышать возможные потери от «взлома».
Все вышеописанные методы обеспечения безопасности строились на базе второго уровня модели OSI, кроме того, дополнительные механизмы безопасности могут быть включены на третьем уровне модели OSI путем построения шифрованных каналов связи на базе технологии VPN. Объективно, шифрование на втором (Wi-Fi) и третьем (IP) уровне модели OSI могут использоваться как независимо, так и дополнять друг друга, повышая безопасность передаваемых данных.
Еще одним аспектом безопасности является снижение мощности излучения Wi-Fi-устройств до оптимального минимума и сужение диаграммы направленности антенны, что снижает вероятность перехвата радиосигнала.
В качестве альтернативы Wi-Fi могут использоваться различные нестандартизированные решения в диапазоне 2,4 ГГц от различных производителей. Этих решений так много, что перечислять их, как и приводить какие-то общие параметры, не имеет смысла. Достаточно сказать, что они менее подвержены воздействию Wi-Fi-помех, чем сами сети Wi-Fi. Это объясняется детерминированной технологией доступа к среде в нестандартизированных системах, в отличие от технологии CSMA/CA в Wi-Fi. Выбор системы может быть осуществлен после уточнения конкретной задачи.
В качестве альтернативы в варианте топологии «точка—точка» можно рассматривать радиорелейные системы связи. Такие системы обычно характеризуются использованием более высокочастотных диапазонов (от 7 ГГц и выше), более высокой достоверностью передаваемых данных, более высокими скоростями передачи (до 400 Мбит/с) и более высокими стоимостями решений.
Еще одним вариантом является использование систем FSO (Free Space Optic), которые работают в оптическом диапазоне и позволяют получить устойчивую связь на расстоянии до 2 км со скоростями до 1 Гбит/с. Правда, такой канал связи довольно сильно подвержен воздействию гидрометеоров, мешающих распространению электромагнитных волн оптического диапазона.
С Сергеем Бобровым можно связаться по адресу Sergey.Bobrov@snt.ua
Вопросы экспертам компании S&T присылайте по адресу press@skukraine.com
