УЦ Микротест - источник ваших знаний
 
Личный кабинет Вход / Регистрация
 
 
 
  Вход Регистрация
Логин*
E-mail, указанный при регистрации
Пароль* не помню
 
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
 
 
0 позиций

+7 (495) 231-23-51 Москва

+7 (964) 778-99-27 Москва

+7 (343) 286-17-86 Екатеринбург

+7 (3452) 68-88-99 Тюмень

Учебный Центр «Микротест» - обучение и сертификация IT-специалистов
Учебный центр Микротест / Статьи / Каким компания Cisco видит наше беспроводное настоящее и будущее?

Каким компания Cisco видит наше беспроводное настоящее и будущее?

Подписка
 
 


Отзывы наших клиентов

/upload/cimg_cache/f28b42a17d6ab0113a20b7a32ec1c028/d524d6ba1f0172552e7e9a79290b626d.png

Выражаю благодарность коллективу Учебного центра «Микротест» за качественно организованное обучение специалистов нашего предприятия по курсам Microsoft. Преподаватели Учебного центра обладают высокой квалификацией и практическим опытом, доступное и четкое изложение материала, внимательное отношение к слушателям. Отдельно следует отметить условия работы: в учебном классе создана комфортная обстановка, для перерывов организованы отдельные зоны отдыха вне классов. ФГУП «РФЯЦ ВНИИТФ им.академика Е.И.Забабахина» планирует продолжать сотрудничество в дальнейшем.

Сугоняев В.Г.,
Заместитель начальника отдела кадров

 
22.12.2011

Роман Подойницын - руководитель БН «Беспроводные сети» компании «Микротест», 
преподаватель УЦ «Микротест», 
эксперт по направлению «Беспроводные сети»

Подойницын РоманМероприятия наподобие Cisco Expo я обычно не посещаю – будучи партнером Cisco, получаю ту же самую информацию по партнерским каналам из первоисточников и намного раньше. Ну а поскольку привилегия быть партнером Cisco Systems дана не всем – именно на Cisco Expo заказчики компании могут узнать все о последних технологических новинках Cisco. Однако в этом году меня привлекла прекрасная возможность пообщаться напрямую с экспертами российского офиса Cisco, услышать их доклады на родном русском языке, повстречать коллег по отрасли, с которыми уже давно не встречался, и, наконец, посмотреть демонстрации передовых решений «вживую».

Почему еще стоило посетить технологический поток по беспроводным сетям Cisco Expo 2011? Это может нравиться не всем, но Cisco занимает порядка 60% рынка оборудования для корпоративных беспроводных локальных сетей WLAN. Будучи лидером этого рынка, Cisco во многом определяет вектор развития этой отрасли. Финансовый поток, получаемый компанией от продаж оборудования и услуг в области WLAN, позволяет ей: 

  • финансировать инновации в этой области и создавать продукты и решения, являющиеся образцом для отстающих и догоняющих коллег по рынку;
  • использовать уже имеющуюся клиентскую базу как огромный полигон для проверки и отработки своих решений в действующих беспроводных сетях;
  • использовать налаженные каналы коммуникации для продвижения своих разработок;
  • участвовать во всевозможных комитетах в IEEE 802.11, в Wi-Fi Alliance, а также и в других отраслевых ассоциациях и активно влиять на разработку стандартов.
Конечно, не во всем компании Cisco удается бежать впереди паровоза и задавать темп другим участникам этой эстафеты за корпоративную мобильность. Некоторые большие и не очень компании, работающие на этом рынке, время от времени бросают вызов лидерству Cisco своими прорывными идеями и новыми продуктами. Например, компания HP первой выпустила на рынок точку доступа модели E-MSM460 с поддержкой режима MIMO 3x3:3, обеспечивающую скорость доступа до 450 Мбит/сек. И когда мои Заказчики просили подобрать ей аналог на Cisco – мне приходилось разводить руками – ну не было у лидера отрасли достойного аналога (теперь, к счастью, появился, но об этом далее). В списке клиентских устройств Wi-Fi у Cisco тоже не густо, и чем дальше – тем пустее грустнее. В настоящее время в линейке Cisco есть 3 беспроводных устройства для корпоративных сетей (настольный телефон 99 серии, беспроводные 7921\25, Cius). Основной упор компания делает на сторонних разработчиков абонентских устройств, а совместимость с инфраструктурой беспроводных сетей Cisco обеспечивается при помощи программы Cisco Compatible Extensions (http://cisco.com/go/ccx) 
В дополнение к этому, Cisco сдерживает технологическое наследие – централизованная архитектура беспроводных локальных сетей WLAN с применением контроллера от Cisco, приобретенная в свое время с компанией Airewave. Централизация управления беспроводной сетью имеет свои всеми признанные достоинства, но и определенные недостатки тоже. Основные – высокая стоимость контроллера, необходимость передавать весь клиентский трафик через «узкие места» сети (особенно актуально в век увеличения скоростей доступа), низкая надежность при отсутствии резервного контроллера. 
Справедливости ради стоит отметить, что Cisco осознает эти недостатки архитектуры и имеет ответы на каждый из них. Во-первых, оборудование Cisco поддерживает автономный режим работы точек доступа, в котором нет необходимости в контроллере, и его недостатки не проявляются. Во-вторых, применение режима H-REAP помогает «сгладить» проблему передачи клиентского трафика в узких местах сети, этому был посвящен целый доклад организации филиальных беспроводных сетей, в которых эти проблемы встают достаточно остро. В-третьих, аппаратная надежность контроллера достаточно велика, и случаи отказов достаточно редки. Хотя контроллер настоятельно рекомендуется резервировать, около 60% Заказчиков компании не делают этого и устанавливают в свои беспроводные сети только один контроллер без резервирования. 

Итак, если Вас не пугает, и даже наоборот, привлекает информация из докладов технологического потока «Беспроводные сети» Cisco Expo – 2011, пропущенная через фильтры профессионала отрасли беспроводных коммуникаций, преломленная через призму практического опыта, а также густо приправленная личным мнением, то нижеследующее чтиво предназначено для вас.

Предупреждаю, в следующем далее тексте будет много букв и технических терминов. Если Вы не хотите перегружать себя техническими подробностями, но заинтересованы в том, чтобы уловить, куда движется рынок корпоративных беспроводных локальных сетей вслед за своим лидером – добро пожаловать в выводы.


«Анонс новых точек доступа в портфеле беспроводных продуктов компании Cisco Systems», докладчик – Андрей Харитонов.

Линейка точек доступа Cisco достаточно регулярно обновляется. Я для интереса нашел в своем архиве старое описание линейки продуктов WLAN и по состоянию на сегодня 4 модели точек доступа из него уже устарели и недоступны для заказа. В то же время, по состоянию на сегодня в портфеле Cisco появились 6 новых моделей точек доступа, которых не было в старом списке. Что заставляет Cisco обновлять продуктовый портфель? Ответ простой – требования рынка. А точнее – появляются новые стандарты, увеличивается количество и разнообразие пользовательских мобильных устройств, изменяются требования пользователей, количество и качество потребляемых ими через беспроводный доступ услуг. А точки доступа являются тем самым устройством, к которому подключаются пользователи беспроводной сети. Количественные и качественные характеристики радиоканала, предоставляемого точками доступа, определяют восприятие пользователем качества предоставляемой ему услуги. Не развивать точки доступа практически равнозначно тому, чтобы поставить крест на лидерстве в беспроводных сетях.

Новая анонсированная на Cisco Expo 2011 модель точки доступа серии 3600 является ответом Cisco на требования рынка и новым аргументом в пользу ее лидерства. Основное отличие новой модели – поддержка новых режимов работы радиоканала, улучшающие его характеристики для конечных пользователей. В составе точки доступа есть 4 (!!!) приемопередатчика, которые (по крайней мере, в теории) позволяют сделать качественный скачок в характеристиках предоставляемого ей радиоканала. Каким образом?

Придется упомянуть парой добрых слов MIMO. Дословный перевод этой аббревиатуры на родной русский неказист - «много входов, много выходов». Физический смысл очень прост – один радиоканал используется одновременно несколькими передатчиками («много входов») и несколькими приемниками («много выходов»). Теоретически – чем больше приемопередатчиков у вас есть – тем больше вы можете «выжать» из ограниченного ресурса радиоканала. Есть две крайности использования MIMO:

  • все передатчики одновременно передают одни и те же данные, что позволяет значительно увеличить надежность и дальность передачи данных по радиоканалу;
или 
  • каждый передатчик одновременно передает различные данные, а много приемников извлекают из получившейся смеси каждый из переданных потоков, что позволяет значительно увеличить скорость передачи данных по радиоканалу.
В реальности чаще применяются гибридные методы, позволяющие часть получившегося избытка потратить на увеличение дальности, а часть - на увеличение пропускной способности. Именно поэтому в новой точке Cisco есть четыре приемопередатчика, хотя одновременно передавать различную информацию в настоящее время могут только три из них (техническая аббревиатура этого режима - MIMO 4x4:3). Четвертый может только помочь увеличить дальность и надежность высокоскоростной передачи данных. Этот способ приобрел в Cisco маркетинговое название ClientLink 2.0 и имеет ряд отличий от ClientLink 1.0, который впервые появился в точках доступа Cisco с поддержкой 802.11n (серии 1140, 1250, 3500). 



Суть технологии ClientLink, выраженная одной иллюстрацией – направить энергию передаваемого радиосигнала в сторону принимающего ее клиента.

Основные отличия ClientLink 2.0 от предыдущего поколения ClientLink:

  • Обслуживает одновременно до 128 клиентских устройств на точку доступа, ранее было только 15;
  • Поддерживает более высокие уровни модуляции: стало MCS 0 – 15, ранее было MCS 0 – 7;
  • Обеспечивает улучшение характеристик для клиентов 11n, ранее только для клиентов 802.11a/b/g;
  • Может оптимизировать характеристики беспроводного канала для модных устройств Cius, iPad, iPhone (вытекает из предыдущего пункта).
Надо отметить, что режим Cisco ClientLink работает только в одном направлении - в канале от точки доступа до клиента (downstream). Для обратного канала в точке доступа применяется режим синфазного сложения принимаемых сигналов (MRC).

Как и точки 3500, точки новой серии 3600 доступны в двух основных модификациях – со встроенными или с внешними антеннами. На корпусе точки с внешними антеннами маловато места для размещения 8-ми разъемов для внешних антенн (по четыре на каждый диапазон), поместилось только четыре, поэтому (внимание!) точка доступа должна работать с двухдиапазонными антеннами. Анонсировано 6 типов новых двухдиапазонных антенн, как ненаправленных, так и направленных. Точка доступа пока не прошла все российские сертификации, поэтому пройдет некоторое время, прежде чем она будет доступна для заказа в России.

Нюансы, о которых обычно умалчивают в маркетинговых материалах:

  • Чтобы воспользоваться преимуществами максимальной скорости доступа, необходимо чтобы как минимум три приемопередатчика были с обеих сторон радиоканала. То есть клиентское устройство тоже должно «соответствовать» возможностям точки доступа. Количество клиентских устройств, которые поддерживают режим трех пространственных потоков, и способны обеспечить скорость доступа до 450 Мбит/сек, пока еще невелико. У одного из ведущих производителей чипсетов для беспроводных адаптеров Intel (http://www.intel.com/content/www/us/en/wireless-network/wireless-products.html ) этот режим поддерживается только в модели Intel Centrino Ultimate-N 6300. У другого – Quallcomm Atheros мне удалось найти также только одну модель с поддержкой этого режима - AR 9390 (http://www.qca.qualcomm.com/technology/technology.php?nav1=47&product=90). Как это часто бывает в сетевых технологиях, общая пропускная способность системы определяется самым слабым звеном. И даже если такой режим работы поддерживается точками доступа, без апгрейда Wi-Fi адаптера Вы не сможете получить заявленную скорость. Примеры ноутбуков с поддержкой этого режима: Dell 6400/6410, Macbook Pro, HP EliteBooks 8760w, 8460w, 8460p,8560p & 8560w.
  • В мобильное устройство сложно встроить даже один приемопередатчик с антеннами. Еще сложнее встроить несколько приемопередатчиков. Еще сложнее обеспечить их электропитанием и не посадить Ваш аккумулятор за первый час использования. Вот почему в любимых Вами смартфонах и планшетах скорости до 450 Мбит/сек в ближайшем обозримом времени останутся недостижимыми.
  • Даже если у Вас есть достойная пара передовой точке доступа Cisco – клиентский адаптер Wi-Fi с поддержкой такой фантастической скорости, дальность работы в таком режиме существенно ограничена. Вот здесь вступает в игру запасной четвертый приемопередатчик, позволяющий увеличить дальность и надежность работы трех пространственных потоков. Это и является основным «коньком» новой точки: увеличить дальность работы в таком режиме до 7,5 метров (конкуренты, как вышеупомянутый HP – только до 3-х метров).
  • При такой, прямо скажем, небольшой дальности, существенным фактором становится высота подвеса точки доступа. Традиционно радисты дальность считают по линии прямой видимости, и разница в расстояниях по линии прямой видимости и на плоскости незаметна при дальностях в сотни метров. При расстоянии до 7,5 метров по линии прямой видимости и высоте подвеса точки в 5 метров, дальность на плоскости составит до 5,5 метров (на 30% меньше заявленной).
  • Заявлено, что в будущем точка доступа Cisco серии 3600 будет поддерживать до 4-х пространственных потоков за счет программного апгрейда. Теоретически это возможно, но практическая ценность такого апгрейда представляется небольшой. Сложность вычислений вырастет пропорциональна квадрату числа потоков, однако реальная производительность MIMO системы подчиняется закону убывающей отдачи. Простое добавление приемников и передатчиков не даст линейного прироста скорости беспроводного канала. Такая система теоретически будет способна достичь скорости 600 Мбит/сек, но практически достижимая скорость будет ниже.
Презентацию можно скачать здесь: http://www.ciscoexpo.ru/expo2011/downloads/materials/mobility/AKh_3600.pdf

Следующий доклад не мог обойти стороной актуальную и волнующую многих пользователей тему – информационная безопасность беспроводных локальных сетей.


«Как взломали Вашу беспроводную сеть и как Вы могли этого избежать», докладчик – Дмитрий Рыжавский

Тема доклада была объявлена всеобъемлющей, и даже выделенных двух часов для ее полного раскрытия явно мало. Несмотря на то, что Дмитрий начал с дисклаймеров о том, что этот доклад не является справочником по криптографии и не может использоваться в качестве пособия по защите беспроводной сети, ему удалось удержать внимание аудитории, раскрыть многие особенности беспроводных сетей и существующие в них угрозы, предложить возможные способы обеспечения их безопасности. Конечно, не обошлось без продакт плейсмента от Cisco, но вы ведь смотрите интересные фильмы со скрытой и не очень рекламой? Так и на Cisco Expo – Вы пришли не только получить актуальные знания о безопасности беспроводных сетей, но и о том, какие ответы на существующие угрозы предлагает Cisco.

Стартовал доклад с ряда теоретических моментов, которые важны новичкам в области беспроводных технологий. Дмитрий вспомнил семиуровневую модель, напомнил о том, что Wi-Fi работает только на первых двух уровнях и может обеспечивать аутентификацию и шифрование только на L2, что, однако, не отменяет использования дополнительных методов защиты на более высоких уровнях. Затем была рассмотрена общая схема EAP, и как она может быть использована для аутентификации и генерации ключей шифрования пользователей беспроводной сети. В этом контексте добрым словом был упомянут Cisco ACS, который позволяет не только аутентифицировать пользователей сети, но и задавать для них класс обслуживания и доступные им услуги (QoS, ACL, VLAN).

Тут же в сравнении с Cisco ACS был анонсирован и достаточно новый продукт Cisco Identity Services Engine. Этот продукт призван решить следующую сложную задачу. Сегодня один и тот же пользователь может подключаться к сети с применением разных устройств (стационарный компьютер, ноутбук, iPad, смартфон), из разных сетей (офис, дом, гостиница), в разное время (рабочее, нерабочее, совсем нерабочее). Задача этой системы – «узнать» пользователя по ряду признаков и в зависимости от контекста применить к его профилю соответствующие политики доступа. Поэтому Cisco ISE позволяет создавать динамические пользовательские профили и менять его авторизацию в зависимости от тех или иных условий. Очень актуальный продукт в наступающую эру BYOD! Однако, будьте осторожны, в настоящее время ограниченно применим, потому что поддерживает ограниченный круг англоязычных клиентских операционных систем. Подробности о совместимости с клиентскими ОС можно найти здесь:
http://www.cisco.com/en/US/docs/security/ise/1.0.4/compatibility/ise104_sdt.html#wp69094

Затем Дмитрий рассмотрел 5 основных целей злоумышленника. Ведь надо знать врага в лицо, прежде чем выбрать способы борьбы с ним! Эти цели следующие:

  • заблокировать возможность нормальной работы системы – известная всем DOS-атака;
  • украсть информацию с клиентских компьютеров;
  • получить доступ к сети как клиент (украсть запись легитимного пользователя);
  • «Кто-то посредине (Man-In-the-Middle)» – встать на пути между пользователями и информационными ресурсами;
  • пассивно захватывать и расшифровывать передаваемые данные.
Первые 4 типа атак можно обнаружить, а вот в пятый вариант особенно страшен тем, что злостный хакер просто сидит и подслушивает нас, пока не поймает интересующие его данные.

Далее был дан ряд определений из области информационной безопасности. Уязвимость – недостаток, позволяющий снизить защищенность системы. Атака – способ использовать уязвимость системы. Приведена классификация атак на пассивные и активные. Атаки пассивные – прослушивание и анализ передаваемых данных, теоретически необнаруживаемые. Атаки активные – DOS, выдать себя за другого (имперсонализация), эскалация прав доступа.

Была упомянута бесполезность скрытого SSID, который до сих пор активно используется системными администраторами, однако создает только видимость безопасности и может быть обнаружен даже неквалифицированным злоумышленником.

Далее Дмитрий рассмотрел инструментарий современных хакеров. Высокомощные абонентские устройства (например, Ubiquity SWX-SRC – мощность передатчика 300мВт, Extreme range2 XR2 - 600 мВт, alfa USB AWUS036H – до 1 Ватта!!!) в сочетании с направленными антеннами позволяют злоумышленнику спокойно расположиться в сотнях метрах от Вашего офиса и делать свои темные дела. Радиоволны невозможно спрятать в стенах вашего офиса, поэтому защищать их необходимо. Уже страшно?! Дальше будет страшнее!

Переходим к DOS-атакам. Вы знали, что DOS-атаку на физическом уровне Wi-Fi, а попросту говоря, постановку помехи Wi-Fi устройствам легко реализовать, легко обнаружить, но невозможно предотвратить?! Wi-Fi – очень вежливая технология, и Wi-Fi устройство, обнаружив сильный сигнал на своем канале, покорно ждет, пока канал не освободится (уровень приема сигнала не станет меньше порогового). А если это беспроводная аналоговая камера или, хуже того, устройство для постановки помех с непрерывным излучением, то канал в зоне ее действия можно просто исключить из списка доступных. Что и делают с успехом точки с поддержкой Cisco CleanAir, обнаруживая такой источник помех и быстро переключаясь на другой канал для обслуживания пользователей! Точки доступа конкурентов просто видят увеличившийся уровень шума в канале и не делают ничего для того, чтобы обеспечить непрерывный доступ пользователей к беспроводной сети…

Еще пример атаки, основанный на использовании TKIP countermeasures. Эти самые контрмеры были специально приняты в спецификации WPA, когда стала ясна уязвимость WEP, рынок ждал более защищенных сетей в соответствии с IEEE 802.11i, но утверждение стандарта затянулось. Результатом стал компромиссный TKIP с его контрмерами. Суть контрмер проста – известно, что протокол уязвим и его будут атаковать. Для защиты от атак в каждый передаваемый кадр добавляется несколько байтов MIC (Message Integrity Code). Если нелегитимный пользователь посылает измененный кадр, то он не проходит проверку MIC. Два таких несовпадения – и точка доступа перестает обслуживать клиентов на 60 секунд. Генерируем два несовпадения и получаем очень эффективную DOS-атаку! И, конечно же, она очень эффективно отслеживается при помощи Cisco aWIPS!

Еще одна широко известная слабость Wi-Fi - незащищенные контрольные кадры. Все служебные сообщения, передаваемые для контроля беспроводного соединения, передаются в эфире в открытом виде, без шифрования и проверки подлинности. И злоумышленники этим умышленно пользуются! Они могут легко много раз повторить любой контрольный кадр (association request, re-association request, de-authentication request и проч.), а принявшее его Wi-Fi устройство послушно выполнит команду! Но у Cisco есть ответ и на это! – используйте Management Frame Protection. Есть, правда, один нюанс… Любой подключающийся клиентский адаптер должен соответствовать спецификации CCXv5 (http://www.cisco.com/web/partners/pr46/pr147/program_additional_information_new_release_features.html), а таковых пока очень и очень мало.

Также была упомянута единственная известная пока в IEEE 802.11i (WPA2) уязвимость – Hole 196 (ссылка). Но пользоваться ей достаточно сложно. Самый серьезный барьер - надо быть легитимным клиентом сети, то есть уже знать параметры подключения! Средства борьбы с hole 196 от Cisco – использование функции Cisco aWIPS и изоляция трафика между клиентами (PSPF).
После рассмотрения нескольких наиболее распространенных атак на инфраструктуру, докладчик перешел к самому слабому звену в системе – пользователю и его пользовательскому устройству.
Все они основаны на ряде в общем случае верных предположений:

  • В мире стало очень много разных мобильных устройств, полезность которых очень мала без сетевого беспроводного подключения. 
  • Пользователь пытается подключить к сети свои любимые мобильные устройства, даже если это запрещено корпоративными политиками. А если корпоративные политики запрещают использование Wi-Fi, то приносят свои точки доступа и все равно подключаются!
  • Пользователь не знает всей «кухни» беспроводных технологий, по умолчанию верит всему и слепо выполняет все, что ему предложит его умное мобильное устройство. И это, в большинстве случаев, правда (как сказала одна моя знакомая – «Мой новый смартфон явно умнее меня»)
  • Мобильные устройства можно легко украсть или потерять вместе со всеми важными данными, которые в них хранятся


«Пугалок» в это области более чем достаточно. Приведу лишь несколько впечатляющих примеров из презентации (некоторые из них убраны из финальной версии презентации, выложенной на официальном сайте Cisco Expo): 
  • При активном обнаружении точек доступа клиент рассылает широковещательные probe request, содержащие все настроенные в нем SSID – так можно узнать идентификаторы всех беспроводных сетей, настроенных в пользовательском устройстве
  • Пользователи не проверяют информацию о неверном сертификате от сервера (кому нужно вникать в эти IT-шные сложности?!). Их мобильные устройства только помогают им в этом. Например, iУстройства вежливо извещают пользователя о неверном сертификате, но предлагают только принять его, кнопка «отклонить сертификат» отсутствует как класс в iOS и MAC OS. В Android все сертификаты по Wi-Fi подключению принимаются по умолчанию. Это позволяет имитировать легитимную Wi-Fi сеть и получать параметры доступа от ничего не подозревающих пользователей, думающих, что они авторизуются в своей сети. Примеры инструментов – Karmetasploit, Wi-Fi Pineapple.
  • Также большую опасность представляют нелегитимные Wi-Fi устройства, принесенные пользователями и включенные в корпоративную проводную сеть. Как правило, недалекие пользователи оставляют такую доморощенную беспроводную сеть незащищенной, оставляя дверь открытой для всех желающих туда попасть


Как же бороться с неразумными пользователями и их умными мобильными устройствами (рецепт от Cisco)? 
  • Не разрешать часто путешествующим корпоративным пользователям пользоваться хотспотами, а снабжать их точкой доступа Office Extend – «корпоративная точка доступа для путешественников». Это небольшое устройство со встроенной точкой доступа, которое подключается к Интернет в том месте, где нужно обеспечить защищенный беспроводный доступ, находит корпоративный контроллер беспроводной сети, устанавливает с ним защищенный DTLS туннель, загружает настройки корпоративной точки доступа и обеспечивает беспроводный доступ с применением всех корпоративных политик. Один нюанс – российским регуляторам не нравится DTLS и пользователи в России обязаны получать специальное разрешение на его использование. Cisco соблюдает требования российских регуляторов и по умолчанию эта функция в контроллере не работает. Покажите разрешение от властей – и лицензия на ее активацию будет предоставлена Вам бесплатно (точнее будет сказать, вы за нее уже заплатили, просто не можете пользоваться без спецразрешения).
  • Если все-таки использование неофисных беспроводных сетей (хотспотов) необходимо, то необходимо требовать от пользователей устанавливать VPN соединение с офисной сетью. Для этого у Cisco есть специальный продукт Anyconnect 3.0, который также не сертифицирован для применения в России, и шансы на его узаконенное применение достаточно ничтожны.
  • Для борьбы с нелегитимными точками доступа, установленными неразумными пользователями, рекомендуется применять их обнаружение (rogues detection) и подавление (rogues containment). В этой области у Cisco есть ряд решений (Rogue detector, Rogue location discovery protocol, Switchport tracing) со своими достоинствами и недостатками. Их наличие принесет любой беспроводной сети намного больше преимуществ, чем их отсутствие.
Затем Дмитрий перешел к рекламе Cisco aWIPS. Это система обнаружения и предотвращения вторжений в беспроводную сеть от Cisco. Реализуется как сетевой сервис, работающий на специально выделенном сервере, собирающий и агрегирующий информацию о событиях в беспроводной сети от точек доступа или контроллера. Агрегированная информация отображается для администратора беспроводной сети в системе управления Cisco WCS. Система Cisco aWIPS лицензируется по количеству точек доступа, собирающих информацию в режиме мониторинга. Да, встроенный IPS уже есть в контроллере беспроводной сети и предоставляется без дополнительных лицензий. Но Cisco aWIPS выгодно отличается от встроенного IPS за счет следующих преимуществ: 
  • Агрегация событий. Несколько точек доступа, обнаружив одну и ту же атаку, не рапортуют ее несколько раз как уникальную, поскольку aWIPS не только соберет, но и агрегирует информацию, и будет извещать администратора только об уникальных событиях. 
  • Больше сигнатур типовых атак. Может быть обнаружено большее количество известных атак.
  • Захват пакетов для проведения обследования. При возникновении критического события, все пакеты будут сохранены на сервере Cisco aWIPS, что позволит проанализировать причины его возникновения и последовательность действий злоумышленника. 
  • История событий. Вы точно будете знать, в каком порядке пытались взломать вашу беспроводную сеть.
  • Обнаружение атак нулевого дня с неизвестными сигнатурами по аномальному поведению клиентов.
Далее были представлены предложения Дмитрия о том, как создать невзламываемую беспроводную сеть и меры безопасности беспроводного подключения, которые применяются в самой Cisco, но они, к сожалению, были исключены из финальной версии презентации. Посещайте Cisco Expo, чтобы получать полную информацию из первых рук, а не довольствоваться урезанными версиями докладов.

Эта презентация продемонстрировала классический подход к вопросу продажи продуктов в области информационной безопасности –FUD (fear, uncertainty, doubts). Сначала нужно тщательно напугать, вызвать неуверенность, заставить усомниться – а затем предложить надежное проверенное средство от вызванных неприятных симптомов. Дмитрий с этим мастерски справился и не забыл упомянуть соответствующее «лекарство» от Cisco для каждого из упомянутых случаев. Их применение крайне рекомендуется в любом внедрении, но внимательно читайте инструкции по применению – соблюдайте дозы и не забывайте о противопоказаниях! Цензурированная версия презентации здесь: http://www.ciscoexpo.ru/expo2011/downloads/materials/mobility/Expo_2011_Sec_dryzhavs.pdf

Хочу отдельно отметить посещаемость этого доклада: люди заполнили весь зал и даже стояли в проходах. Это показывает актуальность вопроса безопасности и взволнованность посетителей Cisco Expo новыми угрозами, которые уже сейчас возникают в их сетях.

Дальше был перерыв на кофе. Он напомнил мне ДОС - атаку, с которой не справились организаторы конференции. Слишком много голодных айтишников, которые атаковали тарелки с едой и кувшины с кофе, вызвали быстрое заполнение буферов фойе и истощение скудных питательных ресурсов. Жаль, что организаторы не посещают докладов по безопасности и не умеют эффективно бороться с DOS-атаками!


Внедрение беспроводных сетей в проектах с высокой плотностью клиентов, докладчик – Андрей Харитонов

Когда много желающих воспользоваться беспроводным доступом собираются в одном месте и одновременно пытаются воспользоваться услугой – неподготовленная к такой нагрузке беспроводная сеть терпит фиаско. Такие события стали все чаще случаться в выставочных комплексах, спортивных сооружениях и прочих местах массового скопления людей. Как Cisco отвечает на этот вызов – узнаем из этого доклада.
Недавно Cisco завершила проект для большого стадиона, поэтому презентация имела слегка спортивный уклон. 

Андрей начал с опроса аудитории зала. У кого с собой одно мобильное устройство? У кого два? У кого три? Сколько из них сейчас подключены к Интернет без проводов? Быстрый опрос показал, что 2-3 подключенных устройства на одного человека – уже не исключение, а скорее норма 21 века.

Все посмотрели видео красивого гола Роналдо. Затем последовал вопрос: Вы готовы заплатить доллар, чтобы посмотреть повтор этого гола с разных камер на экране своего мобильного друга, находясь прямо на стадионе? Готовность не стопроцентная, но желающие есть. 

Затем последовал пример реализованного Cisco проекта на стадионе Cowboys в Далласе. Параметры нагрузки действительно впечатляющие - 100 тысяч зрителей, из которых 15тысяч одновременно подключались к беспроводной сети в час наибольшей нагрузки и могли пользоваться ее услугами.

Как удалось этого добиться? Здесь не обойтись без небольшого экскурса в теорию.

Два фундаментальных закона беспроводных коммуникаций приведены на иллюстрации

Несмотря на то, что для непосвященных эти формулы выглядят полнейшей абракадаброй - каждая из них имеет достаточно ясный смыл и далеко идущие последствия. Первая является простым энергетическим расчетом радиолинии и смысл ее можно выразить простонародным выражением «громче крикнешь – дальше услышат». Вторая формула выражает известное уравнение Шеннона. Чем более принятый сигнала будет превышать шум, и чем больше будет доступная полоса частот – тем выше пропускная способность радиоканала.

Какое отношение эти законы имеют к рассматриваемому предмету? Самое прямое. Часто в проектах беспроводных сетей их создатели борются за наибольшую дальность связи, чтобы сэкономить на числе точек доступа и снизить стоимость проекта. Для этого они повышают мощность передатчиков, те «громко кричат», и приемники их «далеко слышат». При этом, борясь за дальность, создатели таких сетей значительно проигрывают в пропускной способности, потому что пользователи часто находятся на краях зоны обслуживания, получают низкое отношение «сигнал-шум» и, как следствие, работают на низких скоростях.

В проектах с высокой плотностью клиентов ситуация обратная. Не нужно бороться за дальность, потому что все абоненты близко и достаточно плотно друг к другу. Однако, нужно бороться за пропускную способность, потому что все вместе они создают высокую нагрузку на беспроводную сеть. К счастью, законы радиосвязи позволяют нам эффективно обменивать дальность на пропускную способность.

Далее последовало практическое применение этой простоизложенной теории. Практически во всех современных системах беспроводного доступа радиоканалы являются общим ресурсом, который вынуждены делить клиенты. Чем больше клиентов собралось в одном месте – тем меньшую долю доступного радиоканала получает каждый. Поэтому при проектировании беспроводных сетей с высокой плотностью абонентов важно рассчитывать не совокупную пропускную способность, а удельную – на одного пользователя.

Потом Андрей привел примеры расчета удельной пропускной способности в разных режимах работы беспроводной сети Wi-Fi и при разном числе пользователей в зоне обслуживания одной точки доступа (от 240 кбит/сек до 3,5 Мбит/сек). Какой из режимов выбрать при проектировании? Логично, что нужно исходить из требований пользователей, а точнее – требований приложений и услуг к характеристикам беспроводных каналов. Типовые требования разных приложений также были приведены в презентации. Просто перемножив число пользователей и требования по удельной пропускной способности можно оценить требуемую совокупную пропускную способность беспроводной сети. А в дальнейшем учитывать этот параметр в дизайне решения.

Какие возможны варианты увеличения пропускной способности точки доступа? Основные методы – это ограничение низкоскоростных модуляций, ограничение мощности передатчиков, применение узконаправленных антенн, использование двухдиапазонных точек доступа.

Ограничение низкоскоростных модуляций

Чем выше требуемая скорость передачи данных – тем жестче требования к качеству принимаемого сигнала (вспоминаем уравнение Шеннона). Сравните чувствительность точки доступа на самой низкой и самой высокой доступной скорости – разница достигает до 20 дБ (в 100 раз!). Поэтому можно легко ограничить зону обслуживания точки доступа, запретив ей использовать низкоскоростные модуляции для подключения клиентов.

Очень показателен пример со смешанной аудиторией клиентов. Были проведены расчеты удельной пропускной способности при различных соотношениях низкоскоростных и высокоскоростных клиентов в зоне обслуживания одной точки доступа (приведены на слайде 12). Результат вполне логичен – даже один низкоскоростной клиент способен значительно снизить общую пропускную способность точки доступа. Ведь его кадры, отправляемые на низкой скорости, занимают много времени, в течение которого могли бы быть отправлены множество кадров высокоскоростных клиентов. Это как раз тот случай, когда одна паршивая овца все стадо портит. Поэтому чем больше доля низкоскоростных клиентов в зоне одной точки доступа, тем меньшая доля пропускной способности достается каждому. Логичный вывод: в проектах с высокой плотностью клиентов необходим запрет на использование низкоскоростных модуляций.

Управление физической скоростью подключения клиентов в Wi-Fi осуществляется очень просто. Каждая точка доступа извещает клиентов о перечне поддерживаемых скоростей (datarates) в служебном кадре (beacon). Этим перечнем можно управлять через настройки точек доступа. Рекомендации Cisco – запретить (disabled) все скорости ниже 12 Мбит/сек, сделать обязательным (mandatory) 24 Мбит/сек, назначить поддерживаемыми все оставшиеся (12, 18, 36, 48, 54 Мбит/сек).

Ограничение мощности передатчиков

В этом пункте все достаточно просто и прямолинейно – мощностью передатчиков точек доступа можно управлять. А чем тише они кричат – тем на меньшем расстоянии они слышны (вспоминаем первый закон радиосвязи), меньше мешают соседним точкам доступа и подключают меньшее количество клиентов, увеличивая удельную пропускную способность, доступную каждому.

Использование двухдиапазонных точек доступа

Двухдиапазонные точки доступа в одном корпусе размещают два радиомодуля: один работает в диапазоне 2,4 ГГц, второй – в диапазоне 5 ГГц. При небольшой разнице в цене такие точки по сравнению с однодиапазонными точками доступа обладают вполне весомым набором преимуществ, который применим не только в проектах с высокой плотностью клиентов.

Преимущества использования двухдиапазонных точек доступа в подобных проектах:

  • Одна точка доступа с двумя радиоинтерфейсами = две точки доступа в одном корпусе. Пропускная способность каждой точки доступа практически удваивается.
  • Уровень шума в диапазоне 5 ГГц пока что намного меньше по сравнению с диапазоном 2,4 ГГц , что улучшает пропускную способность создаваемых беспроводных каналов
  • Количество Wi-Fi адаптеров с поддержкой диапазона 5 ГГц увеличивается – а значит, больше клиентов сети может воспользоваться преимуществами этого диапазона, немного разгрузив диапазон 2,4 ГГц
  • В диапазоне 5 ГГц радиосигналы испытывают большее затухание и обеспечивают меньшую дальность связи, что упрощает задачу создания беспроводной сети с высокой плотностью абонентов
  • В диапазоне 5 ГГц больше непересекающихся частотных каналов, что упрощает задачу создания частотно-территориального плана.

Cisco также рекомендует включать функцию band select, чтобы клиентские адаптеры с поддержкой 5 ГГц подключались к сети именно в этом диапазоне.

К сожалению, бочка меда не обходится также без ложки дегтя. В диапазоне 5 ГГц в России разрешено для использования Wi-Fi только 4 непересекающихся канала. Сравните с 23 каналами, доступными в США! Но даже с учетом этих ограничений использование двухдиапазонных точек является предпочтительным.

Применение узконаправленных антенн

Использование направленных антенн улучшает характеристики радиоканалов для клиентов, упрощает развязку точек доступа по соканальной интерференции, позволяет «сконцентрировать» зону обслуживания точки доступа в одном месте. В презентации приведены основные типы направленных антенн, рекомендуемых Cisco для применения в таких проектах. Также анонсирована новая антенна для точки доступа 3500, разработанная специально для стадионов. В презентации есть наглядные иллюстрации «зонирования» доступа по областям на трибунах за счет узконаправленных антенн.

Основной вывод данного доклада звучал примерно так: создание подобных сетей достаточно сложная задача, поэтому, несмотря на то, что Вы прослушали данную презентацию – используйте услуги технического консалтинга от Cisco.

Потенциальная проблема, которую стоило бы упомянуть в докладе – управление мощностью клиентских устройств. Можно тщательно настроить инфраструктуру, но несколько устаревших клиентских адаптеров, работающих на большой мощности, могут сильно «подпортить» характеристики тщательно настроенной системы. Желательно использовать клиентские устройства с динамическим управлением мощностью (CCX v2 и выше).

С презентацией можно ознакомиться здесь:

http://www.ciscoexpo.ru/expo2011/downloads/materials/mobility/AKh_high%20density_draft_v2.pdf

Официальное пособие от Cisco по дизайну таких сетей можно прочесть здесь:

http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10981/design_guide_c07-693245.html

Кстати, намного более фундаментальный труд от конкурента Cisco - Aruba по тому же вопросу можно найти здесь: http://www.arubanetworks.com/pdf/technology/DG_HighDensity_VRD.pdf


Внедрение беспроводной сети в территориально-распределенных и филиальных сетях, Докладчик – Платов Виктор

Всем хороша централизованно управляемая инфраструктура беспроводной сети под управлением контроллера, но и она не лишена недостатков.

Точки доступа в «полнофункциональном» режиме должны подключаться к контроллеру и передавать через него весь трафик. В структуре территориально-распределенной сети непременно возникают медленные и не всегда надежные WAN-каналы, сводящие на нет идею «полнофункционального» режима работы точек доступа. Почему? Во-первых, весь трафик надо передать в «центр» и обратно по каналу с ограниченной пропускной способностью. Во-вторых, при отказе WAN-канала точка доступа переключается в режим поиска контроллера и перестает обслуживать пользователей беспроводной сети.

Какие выходы из этого неприятного положения возможны?

Первый - установить контроллер в каждом филиале. Сохранится и централизованное управление, и все функции даже при отказе WAN канала. Есть один огромный недостаток – большая стоимость. Установка контроллера даже младшей серии значительно увеличивает стоимость проекта.

Второй – использовать специально разработанный режим работы точек доступа – H-REAP. Аббревиатура этого режима расшифровывается как «гибридное подключение удаленной точки доступа». Название совершенно справедливо показалось маркетологам Cisco неудобоваримым, и оно будет заменено на FlexConnect – «гибкое соединение». При работе точки в этом режиме сохраняется и централизованное управление, и возможность обслуживания клиентов в случае отказа канала с центром, и возможность не нагружать WAN каналы передачей клиентского трафика в центр и обратно. И отсутствует необходимость устанавливать контроллер в каждом офисе.

Но дъявол кроется в деталях. Снижение стоимости проекта ведет к ряду ограничений в функциональности. Полный список функций, поддерживаемых в режиме HREAP, можно найти в этом документе: http://www.cisco.com/en/US/products/ps6366/products_tech_note09186a0080b3690b.shtml

Подробности настройки H-REAP и детализированное описание того, какой функционал останется доступным, а какой пропадет в результате отказа WAN канала приведен в презентации и вышеупомянутом документе Cisco.

В дополнение к этому необходимо выполнить требования к WAN каналу:

  • Задержка передачи данных в WAN канале не должна превышать 300 миллисекунд для передачи данных и 100 миллисекунд для обеспечения функций передачи голоса
  • Минимальный поддерживаемый размер MTU - 500 байт

Также в докладе Виктора была представлена новая модель контроллера FLEX 7500. Эта модель рекомендуется для внедрения в компаниях с большим числом филиалов. Использование модели FLEX 7500 оказывается экономически эффективным при большом количестве точек доступа, применяемых в проекте. На этот факт уже косвенно указывает то, что минимальная порция, которыми продаются лицензии к этому контроллеру, составляет 300 точек доступа. Удельная стоимость на точку доступа у этого контроллера составляет от 112 до 160 долларов. Почти в 3 раза меньше, чем в контроллере серии 2500 (500$)! Трюк в том, что контроллер 7500 не работает в режиме centralized switching и через него передается только трафик управления точками доступа (data-plane only). Поэтому FLEX 7500 представляет собой обычный высокопроизводительный сервер со специализированным софтом для управления точками доступа. Это позволило повысить число подключаемых точек доступа и значительно уменьшить стоимость аппаратного обеспечения.

Презентацию доклада можно скачать по ссылке: http://www.ciscoexpo.ru/expo2011/downloads/materials/mobility/Branch_viplatov_v1.0.pdf


Внедрение беспроводной сети для передачи мультимедийных сервисов или IPTV без проводов, докладчик - Платов Виктор

Виктор начал свою презентацию с демонстрации передачи видео через сеть Wi-Fi.

Один ноутбук на его импровизированном стенде служил источником видеопотока (использовалась функция стриминга программы VLC). Он был подключен проводным соединением в локальную сеть. Второй ноутбук был подключен в сеть по Wi-Fi, принимал видеопоток и отображал его на экране. Как и полагается в хорошо подготовленных демонстрациях, до принятия спецмер, видео передавалось из рук вон плохо. Движущая картинка превращается в статическую, разваливается на крупные пиксели, потом снова невнятно стартует… Смотреть невозможно. Почему так происходит?

Видеотрафик является трафиком реального времени и предъявляет ряд жестких требований к каналам, по которым передается:

  • Очень чувствителен к задержке, джиттеру и потере пакетов. В каналах общего пользования крайне необходимо внедрение механизмов обеспечения качества обслуживания QoS, а клиентские устройства должны буферизировать пакеты видеоданных.
  • Требует большой полосы пропускания канала. Например, видео в стандартном качестве требует полосы от 1 до 8 Мбит/сек, видео в HD качестве требует уже от 7 до 20 Мбит/сек, одна камера видеонаблюдения генерирует поток со скоростью от 1 до 4 Мбит/сек.

В свою очередь, беспроводные каналы Wi-Fi:

· Делят полосу пропускания между несколькими пользователями. Клиенты сети используют протокол CSMA/CA, поэтому время передачи пакета данных не является детерминированным.

· Обладают более низкой пропускной способностью по сравнению с проводными каналами. Даже современные сети стандарта 802.11n как минимум в 10 раз проигрывают проводным сетям.

· Среда передачи радиосигналов является менее предсказуемой. Пакеты данных могут искажаться и теряться при передаче. Да, есть механизм подтверждения и повторной передачи, но он увеличивает время задержки и снижает полезную пропускную способность.

Кроме того, для потоковой передачи видеоданных по проводным сетям используют многоадресную передачу (multicasting). При переходе в беспроводную среду передачи этот способ неприемлем, поскольку стандарт 802.11 не специфицирует передачу многоадресных пакетов multicast. Все пакеты многоадресной рассылки передаются по радиоканалу только как широковещательные (broadcast). А это приводит к следующим последствиям:

· Чтобы любой клиент в зоне покрытия точки доступа мог принять широковещательный пакет с видеоданными, видео будет передаваться только на самых низких скоростях, занимая большое время для передачи. Большой объем видеоданных будет передаваться крайне неэффективно, и не сможет использовать преимущества высоких скоростей 802.11n.

· Прием широковещательных пакетов согласно стандарту 802.11 не подтверждается клиентами. Значит, мы не можем быть уверены, что видеоданные были доставлены на все клиентские устройства.

· Передача широковещательных пакетов не может быть приоритезирована. Поэтому широковещательные пакеты видеоданных будут отправляться на общих основаниях, и параметры канала могут «поплыть» при большой нагрузке на точку доступа.

Что же делать? Неужели надежная передача видео по Wi-Fi невозможна? В рамках стандартных решений – нет. Но Cisco предложила свои внутрифирменные решения передачи видеотрафика, которые позволяют обеспечить качественную передачу потокового видео в беспроводных Wi-Fi сетях.

Суть этих решений в двух словах такова:

  • Для экономии пропускной полосы в проводной части сети видеопоток передается при помощи multicast. А для передачи по радиоканалу multicast пакет преобразуется в адресный кадр (unicast) в точке доступа и индивидуально передается каждому подписавшемуся на поток клиенту. Несмотря на кажущуюся неэффективность этого метода, он улучшает ситуацию по сравнению с broadcast-передачей. Аргументы следующие. Передача индивидуальных кадров нескольким клиентам на скоростях 802.11n займет в эфире меньше времени, чем передача одного широковещательного кадра на самой низкой скорости. Передача индивидуальных кадров может приоретизироваться. Плюс получение индивидуальных кадров подтверждается каждым абонентом, что добавляет уверенности в том, что он получил свою порцию потока.
  • Cisco была бы не Cisco, если бы не добавила в это решение QoS – надстройки. Алгоритм отслеживания качества передачи видео также был разработан и назван RRC (Resource Reservation Control). Действует аналогично Call Admission Control для голосовых соединений. Если ресурсов точки доступа достаточно для подключения клиента и передачи ему видеопотока – ему открыт зеленый свет для подключения. Если точка доступа уже перегружена трафиком – у администратора есть два варианта: запретить подключение или подключить его по Best-Effort. Делается это с целью «защитить» качество передачи видеоизображения уже подключившимся клиентам.

Эти решения в комплексе были названы VideoStream. Включение режима помогло исправить ситуацию с демостендом и передать даже HD-видеопоток (720p) по Wi-Fi без «артефактов».

Презентацию можно найти здесь: http://www.ciscoexpo.ru/expo2011/downloads/materials/mobility/VideoStream_viplatov_v1.0.pdf


ОБЩИЕ ВЫВОДЫ

Лидерские позиции в сегменте корпоративных беспроводных сетей ко многому обязывают Cisco. Быстрый рост данного рынка привлекают множество производителей, количество конкурентов растет, цены падают, и оборудованию Cisco приходится соответствовать своей топовой цене.

Базовую услугу «просто беспроводный доступ» сегодня можно получить за более скромные деньги от менее известных производителей. Вопросы надежности и удобства эксплуатации – оставим в стороне.

Но «просто доступ» уже не устраивает современных пользователей. Неуклонно растет количество мобильных устройств, разнообразие их типов, возможные способы и частота использования. Много современных устройств теряют возможность проводного подключения и оставляют «на борту» только беспроводный доступ.

Поскольку беспроводное подключение остается единственным вариантом включения популярных мобильных устройств в корпоративную сеть, требования к его функциональности, надежности, защищенности, скорости и прочим «пользовательским» характеристикам неуклонно растут.

Компания Cisco имеет ответ практически на все вызовы сложившегося положения. Ряд из них весьма актуальны, некоторые могут на первый взгляд показаться надуманными. Те, что кажутся надуманными сегодня, с большой вероятностью могут стать весьма актуальными завтра. Тематика докладов на Cisco Expo совпадает с ними и излагает ответы:

  • Увеличение скорости, дальности и надежности беспроводного подключения (ответ – обновление точек доступа, MIMO4x4, ClientLink 2.0)
  • Обеспечение информационной безопасности при пользовании беспроводной сетью (ответ в двух словах невозможен – необходимо комплексное решение с применением ряда продуктов)
  • Увеличение плотности и числа обслуживаемых пользователей (ответ: точки доступа, направленные антенны, тщательное планирование в рамках услуги технического консалтинга)
  • Построение надежных и управляемых территориально-распределенных беспроводных сетей (ответ: FlexConnect (H-REAP), контроллер Flex 7500)
  • Надежная передача «капризного» видеотрафика в беспроводной сети (ответ: Cisco VideoStream)
  • Улучшение характеристик беспроводного подключения на фоне растущей интерференции (ответ: Cisco CleanAir)

Одно из основных конкурентных преимуществ положения Cisco на рынке корпоративных беспроводных сетей в том, что все эти функции обеспечены комплексно от одного производителя. Некоторые вендоры время от времени осуществляют «прорывы» по тем или иным фронтам, но их сочетание рамках одного производителя и одного решения – достаточно уникальное явление. Конечно, не все маркетинговые сообщения правдивы на 100%, и применение технологических новинок связано с рядом нюансов и сложностей, с которыми Вы сможете ознакомиться в учебном центре «Микротест» на специализированных учебных курсах по беспроводным сетям. Вооруженные новыми знаниями и навыками, Вы сможете справиться с любыми задачами проектирования и поддержки эксплуатации высокоскоростных надежных и защищенных беспроводных сетей. 

 

Комментарии Facebook

Комментарии ВКонтакте