Zagęszczenie w powietrzu

IEEE 802.11b to pierwszy zaakceptowany przez przemysł IT standard sieci bezprzewodowych.

IEEE 802.11b to pierwszy zaakceptowany przez przemysł IT standard sieci bezprzewodowych.

W tym roku technologia bezprzewodowych sieci lokalnych prawdopodobnie zostanie powszechnie zaakceptowana. Należy to zawdzięczać standardowi IEEE 802.11b, który przełamał dotychczasowe znaczące ograniczenia w budowie sieci - w szczególności umożliwił realizację komunikacji z szybkością do 11 Mb/s, a więc porównywalną z przepustowością klasycznej sieci Ethernet. Jednocześnie rozwiązania opracowane w standardzie 802.11b mają przystępne ceny, a użytkownik może wybierać pomiędzy produktami wielu firm. Podobnie jednak jak w przypadku budowy tradycyjnych sieci opartych na technologiach kablowych, również w przypadku technologii bezprzewodowych wybór rozwiązania konkretnego producenta powinien spełniać potrzeby przedsiębiorstwa pod względem bezpieczeństwa, jakości transmisji i możliwości zarządzania infrastrukturą bezprzewodową. Ze względu na łatwość podsłuchania transmisji realizowanej w powietrzu szczególnego znaczenia nabiera pierwszy z tych czynników - bezpieczeństwo.

Po pierwsze, hasło

Standard 802.11b oferuje kilka poziomów zabezpieczeń, które w różnym stopniu są wykorzystywane przez producentów. Podstawowe zabezpieczenie to tzw. System ID, znany również pod nazwą Electronic System ID lub skrótowymi określeniami SSID i ESSID. Jest to identyfikator, który administrator musi ustawić na wszystkich punktach dostępowych i kartach sieciowych, komunikujących się w ramach sieci bezprzewodowej. Standardowo dostarczane urządzenia sieciowe mają ustawiony uniwersalny identyfikator, pozwalający im pracować w dowolnej sieci, której punkty dostępowe nie są zabezpieczone identyfikatorem. Sieć taka nie oferuje jednak podstawowego zabezpieczenia, a więc może z niej korzystać każdy użytkownik komputera z kartą bezprzewodową.

Identyfikator ESSID, nawet ustawiony na wszystkich urządzeniach, nie jest wystarczającym zabezpieczeniem. Wystarczy bowiem, że intruz podejrzy go w konfiguracji karty sieciowej na jednym z komputerów, by móc go ustawić na swoim komputerze przenośnym. Ważną funkcją dla użytkowników komputerów przenośnych, korzystających z różnych sieci bezprzewodowych, np. w firmie, w domu i na lotniskach oferujących już taką łączność, jest możliwość skonfigurowania w parametrach karty sieciowej kilku identyfikatorów ESSID. Dzięki temu nie będzie konieczna każdorazowa zmiana identyfikatora sieci przy przemieszczaniu się pomiędzy różnymi sieciami bezprzewodowymi. Niestety, nie wszystkie dostępne na rynku rozwiązania oferują taką możliwość.

Kolejnym poziomem zabezpieczeń są listy dostępowe, ograniczające moż- liwość korzystania z danego punktu dostępowego tylko tym kartom sieciowym, których numery MAC (unikalne nume-ry seryjne kart) zostały określone jako autoryzowane. To rozwiązanie również nie jest wystarczające, gdyż nowe modele kart sieciowych oferują możliwość programowej zmiany identyfikacyjnego numeru MAC, włamywacz może więc podszyć się pod autoryzowanego użytkownika. Problem stanowi aktualizacja list dozwolonych numerów MAC we wszystkich punktach dostępowych stosowanych w firmie. Nie jest to trudne zadanie w przypadku małych sieci, ale gdy firma korzysta z kilkuna- stu bądź kilkudziesięciu punktów dostępowych, ręczna modyfikacja list staje się problemem. Tylko nieliczni producenci dostarczają rozwiązania do scentrali- zowanego zarządzania punktami dostępowy-mi, pozwalające rów-nież zdalnie aktuali- zować prawa dostępu we wszystkich punktach dostępowych.

Ciekawe rozwiązanie w tej dziedzinie zastosowała firma Proxim w serii produktów Harmony. Rozdzieliła ona punkt dostępowy na dwa niezależne urządzenia: prosty punkt dostępowy, zajmujący się wyłącznie transmisją danych, oraz tzw. Access Point Controller (APC), który zajmuje się kontrolą transmisji, weryfikacją, czy jest ona autoryzowana itp. Pojedynczy APC może obsłużyć ponad 10 punktów dostępowych (Proxim zaleca 10, ale można więcej).

Pokaż ręce

Kolejny sposób zabezpieczania polega na identyfikacji użytkownika oprócz lub zamiast identyfikacji komputera. Autoryzacja taka jest dokonywana z wykorzystaniem standardu RADIUS, co daje administratorom ten komfort, że baza użytkowników nie musi być przechowywana bezpośrednio w punkcie dostępowym (tak jak ma to miejsce w przypadku poprzednich metod zabezpieczeń), ale w scentralizowanej bazie danych. Jeżeli użytkownik komputera nie będzie potrafił poprawnie się zalogować do sieci (korzystając z indywidualnego identyfikatora i hasła), to dostęp do niej nie zostanie umożliwiony.

Identyfikacja użytkownika wg standardu RADIUS jest najlepszym sposobem zabezpieczania sieci bezprzewodowych, ale nie oferują jej wszystkie urządzenia firm dostarczających sprzęt zgodny z IEEE 802.11b (funkcji tej nie mają np. produkty D-Link).

Ostatnim sposobem zabezpieczeń, który może być stosowany w sieciach bezprzewodowych IEEE 802.11b, jest szyfrowanie transmisji. Realizowane jest ono z wykorzystaniem protokołu Wire Equivalent Privacy (WEP), który może stosować 40- lub 128-bitowe klucze szyfrujące. Standardowo, dla ułatwienia konfiguracji sieci bezprzewodowej, obsługa WEP jest wyłączona w nowych urządzeniach większości producentów. Niemniej w celu podwyższenia bezpieczeństwa i uniemożliwienia podsłuchiwania transmisji np. z wykorzystaniem bezprzewodowego sniffera AiroPeek firmy WildPacket, warto jak najszybciej po zestawieniu sieci bezprzewodowej uaktywnić w niej szyfrowanie WEP.

Każdy komputer używający protokołu WEP może mieć ustawionych do czterech kluczy szyfrujących i wykorzystywać np. jeden z nich do szyfrowania wysyłanych danych, a inny - do deszyfrowania danych odbieranych. Niemniej zarządzanie kluczami WEP we wszystkich punktach dostępowych i kartach bezprzewodowych stanowi poważne wyzwanie - podobnie jak scentralizowana aktualizacja list dostępowych bądź haseł.

Zarządzanie

Podstawowym problemem związanym z wykorzystywaniem sieci bezprzewodowych (poza koniecznością zapewnienia bezpieczeństwa danych) jest realizacja scentralizowanego zarządzania konfiguracją punktów dostępowych oraz kart sieciowych. W zasadzie żadne z dostępnych na rynku rozwiązań nie oferuje pełnej funkcjonalności wymaganej do sprawnego zarządzania dużymi sieciami Wireless LAN.

Producenci proponują różne sposoby zarządzania punktami dostępowymi: od portu szeregowego, poprzez SNMP i Telnet, aż do dedykowanych konsol instalowanych na komputerach admi- nistratorów i mechanizmu zarządza- nia z wykorzystaniem przeglądarek. Ta ostatnia metoda jest najwygodniejsza i wbrew pozorom nie zmniejsza funkcjonalności oferowanej przez dedykowane konsole zarządzania.

Elementem o krytycznym znacze- niu dla bezpieczeństwa sieci (oprócz wsparcia dla technologii RADIUS) jest pojemność pamięci, w której w punktach dostępowych przechowuje się listy dostępowe zawierające numery MAC autoryzowanych kart sieciowych. Pojemność tej pamięci decyduje o tym, ilu użytkowników będzie mogło korzystać z danego punktu dostępowego (jest to szczególnie istotne w przypadku tych punktów dostępowych, które obejmują np. sale konferencyjne wizytowane przez wielu pracowników z komputerami przenośnymi). Większość produktów tej klasy dostępnych obecnie na rynku obsługuje 256-512 wpisów na listach dostępowych. Chlubnym wyjątkiem są tu rozwiązania firmy Cisco (produkty z serii Aironet), obsługujące 2048 stacji z teoretyczną możliwością rozbudowy do 64 000 adresów MAC.

Niestety, tylko nieliczne narzędzia zarządzające umożliwiają zautomatyzowaną dystrybucję do punktów dostępowych aktualizowanych list dostępu oraz kluczy WEP. Nawet jeżeli producenci oferują taką możliwość (np. Cisco, Enterasys i Lucent), to dotyczy ona tylko wyrobów tego samego producenta. Podobnie z innymi zaawansowanymi funkcjami, oferowanymi w rozwiązaniach różnych producentów. Przykładowo, karty sieciowe z serii Orinoco Lucent Technologies umożliwiają użytkownikom monitorowanie siły sygnału do najbliższego punktu dostępowego. Funkcja ta jest dostępna jednak wyłącznie w przypadku punktów dostępowych Lucenta. Jeśli pochodzi on od innego producenta, oprogramowanie stwierdza, że nie znajduje się w zasięgu sieci bezprzewodowej, chociaż faktycznie komunikacja jest możliwa.

Inne wymagania

Wybierając konkretne rozwiązanie sieci IEEE 802.11b warto także wziąć pod uwagę kilka istotnych kryteriów.

Atrakcyjną propozycją, szczególnie w miejscach, w których brakuje moż-liwości podłączenia punktu dostępowego do zasilania (np. tarasy, parkingi itp.), jest możliwość doprowadzania zasilania za pośrednictwem kabla sieciowego Ethernet, który standardowo może być oddalony o 100 m od szafy dystrybucyjnej. Możliwość taką oferują Cisco, Enterasys, Proxim i Intel. Należy jednak mieć na uwadze, że jest to rozwiązanie niestandardowe i jego implementacje są różne w zależności od producenta.

Bardzo ważnym kryterium przy wyborze rozwiązania, szczególnie jeśli ma ono pracować w biurowcach składających się z zamkniętych pomieszczeń (wydzielonych pokoi), jest możliwość podłączenia do punktu dostępowego zewnętrznej anteny.

Z jednej strony pozwala to administratorowi wybrać najlepszą antenę dla danej lokalizacji, z drugiej - niekiedy znacząco podnieść jakość transmisji w porównaniu z tymi punktami dostępowymi, które są wyposażone we wbudowane anteny. Należy pamiętać o tym, że im większy obszar znajduje się w zasięgu pojedynczego punktu dostępowego, tym mniej takich punktów trzeba będzie zastosować, by objąć działaniem cały obszar roboczy. Różnice w zasięgu przekładają się więc w tym przypadku na konkretne oszczędności wynikające z zakupu mniejszej liczby punktów dostępowych. Chociaż teoretyczny zasięg sieci 802.11b w zamkniętych pomieszczeniach wynosi do 100 m, to w praktyce komunikacja z maksymalną szybkością 11 Mb/s może być ograniczona do odległości ok. 30 m (w zależności od rodzaju zabudowy powierzchni, którą musi przenikać sygnał: ścianki działowe, ściany).

Przed decyzją o zakupie konkretnego rozwiązania warto również sprawdzić, czy umożliwia ono rozbudowę punktów dostępowych do obsługi nowych technologii bezprzewodowych bez konieczności wymiany urządzenia.

Dla małych firm

O ile dla dużych firm wystarczającym rozwiązaniem są punkty dostępowe oferujące podstawowe funkcje koncentratora transmisji bezprzewodowych, o tyle małe firmy i użytkownicy indywidualni oczekują od punktów dostępowych również realizacji innych funkcji sieciowych. Taki punkt dostępowy może też pełnić funkcję routera z funkcją translacji adresów NAT, co pozwala podłączyć go np. do modemu kablowego.

Interesującym rozwiązaniem jest produkt Lancom Wireless IL-11 firmy Elsa, integrujący funkcje punktu dostępowego i routera ISDN. Wyposażony jest on również w port Ethernet, który można podłączyć do modemu kablowego, co pozwala w elastyczny sposób konfigurować zasady routingu informacji (przez ISDN lub modem kablowy).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200