Потребность бизнеса оставаться на связи в режиме 24/7 только растёт год от года. Непрерывно увеличиваются требования и к пропускной способности информационного канала, и к простоте подключения к нему самых разнообразных устройств, от смартфонов клиентов и планшетов топ-менеджеров до разнообразных элементов коммерческого Интернета вещей.
На данном этапе, по крайней мере до той поры, пока сотовые сети 5G с их широко разрекламированными преимуществами не сделались доминирующим стандартом мобильных коммуникаций, единственным адекватным ответом на подобные запросы со стороны большинства бизнес-заказчиков остаются должным образом организованные сети Wi-Fi. Имеющиеся альтернативы вроде LTE-u (сотовые базовые станции, функционирующие в нелицензируемых диапазонах радиоспектра) требуют для своей эксплуатации особых навыков и дополнительных расходов, тогда как с оборудованием Wi-Fi в состоянии справиться ИТ-отдел практически любой компании.
Вдобавок в соответствии с ощутимым трендом на консьюмеризацию ИТ-процессов на BYOD и CYOD именно через Wi-Fi логичнее всего организовывать управление специализированными бизнес-приложениями на персональных терминалах сотрудников, интеграцию множественных устройств Интернета вещей с корпоративной инфраструктурой, прямое коммерческое взаимодействие on-site с потребителями и т. п.
Специализированные решения Wi-Fi для бизнеса всё более востребованы рынком (в том числе и в России), и опыт их успешного внедрения в отдельных компаниях нередко стимулирует коллег-конкурентов из той же сферы к аналогичным действиям. Хотя, безусловно, не всё порой проходит так быстро и гладко, как того хотелось бы и заказчикам, и поставщикам этих решений.
Бизнес-кейс № 6
При всех достоинствах беспроводного протокола Wi-Fi 6 (802.11ax) он вряд ли будет доминировать в коммерческих инсталляциях Wi-Fi в перспективе ближайших двух-трёх лет, а то и более. Стоимость работ по радиообследованию помещения, планированию радиосети, установке оборудования часто превышает цену самих точек доступа, поэтому без веской причины радиооборудование не меняют. На это справедливо указывает Юлия Андрианова, менеджер по развитию беспроводных технологий Cisco: «Без пользовательских устройств новый стандарт преимуществ не предоставит, поэтому замену действующей радиосети будет стимулировать обновление пользовательских устройств».
Как только доля новых устройств с поддержкой стандарта 802.11ax станет значительной, замена инфраструктуры уже может быть оправдана. Но в каждой конкретной ситуации доля новых устройств будет своя. В областях, нацеленных на подключение посетителей — розница, отели, стадионы — эта доля вырастет, как только на рынке появятся устройства популярных брендов. «Мы ожидаем, что это случится к концу этого года. Однако массовое появление устройств с поддержкой 802.11ах ожидается уже в
«По нашим оценкам, более половины организаций в России и СНГ всё ещё используют сети Wi-Fi 4 (802.11n), — напоминает Дмитрий Танюхин, руководитель канала продаж компании Zyxel по Россия и СНГ. — Для них переход на Wi-Fi 6 будет более обоснованным и логичным. Для этого потребуются инвестиции в сетевую инфраструктуру в целом, так как новые точки доступа могут требовать питания PoE по стандарту 802.3bt (UPoE) и подключения на мультигигабитных скоростях».
Новый стандарт позволит предлагать новые услуги индустрии развлечений, более высокие скорости онлайновых игр и лучшее качество общения, новые возможности для работы, например для видеоконференцсвязи. Качество и успех перехода на сети Wi-Fi 6 будут полностью зависеть от клиентских устройств с поддержкой данной технологии. «Мы ожидаем более-менее масштабный переход на сети Wi-Fi 6 в 2020 г.», — делится своим прогнозом Дмитрий Танюхин.
Если говорить о перспективах корпоративных беспроводных сетей, то основным сдерживающим фактором их перевода на новый стандарт станет наличие значительного количества устройств, не поддерживающих 802.11ax, убеждён Дмитрий Плешаков, заместитель технического директора компании «ИЦ Телеком-Сервис»: «Безусловно, при развёртывании новых сетей есть смысл рассматривать оборудование с поддержкой нового стандарта, но в целом инвестиции в оборудование 802.11ax wave 1 в короткий срок вернуть скорее всего не удастся. Также следует отметить, что использование узкополосных каналов будет требовать качественного проектирования покрытия с учётом существующей загруженности эфира, для чего нужны специализированные инструментальные средства и специалисты соответствующей квалификации».
В то же время применение оборудования Wi-Fi 6 для развёртывания публичных сервисов, несмотря на скорое внедрение операторского стандарта 5G, он всё же считает оправданным с расчётом на будущий рост бизнеса. Оно позволит заложить потенциально больший объём обслуживаемых абонентов, который будет востребован по мере развития парка клиентского оборудования.
«На мой взгляд, торопиться с этим не стоит», — полагает Вячеслав Логушев, директор направления ИТ-сервиса и аутсорсинга компании
И всё же рассматривать апгрейд корпоративной инфраструктуры на Wi-Fi 6 как совсем уж отдалённую перспективу тоже не следует. Как считает Сергей Портной, директор по развитию бизнеса компании «Комптек», принятие нового стандарта IEEE 802.11ax сулит целый ряд выгод: многократное увеличение агрегированной скорости передачи с одного базового устройства, улучшение планирования сети, продление срока службы абонентских устройств между подзарядками. Окончательная ратификация стандарта Wi-Fi 6 ожидается не позже IV кв. 2019 г., и за выходом на рынок первых абонентских устройств ожидается старт массового апгрейда сетей. «Надеюсь, что российские производители всерьез думают о выпуске аналогичного оборудования или его локализации», — отмечает Сергей Портной.
Вигель Антонов, технический директор компании Tegrus, указывает также, что при обновлении беспроводной инфраструктуры со стороны СКС и коммутационного оборудования потребуется поддержка дополнительных каналов до точек доступа и технологий multigigabit или Smart Rate: «Со временем, скорее всего, все новые модели точек доступа и конечных устройств будут выходить с поддержкой стандартов Wi-Fi 5 и 6 по умолчанию. Для вендоров открывается перспектива модернизации отдельных сегментов беспроводной сети, а для интеграторов — перспектива оказания новых услуг по радиопланированию и радиообследованию, развертыванию и настройке новых устройств».
«Я лично не верю в то, что беспроводные технологии, какими бы идеальными они не были, вытеснят провода из офисов, — делится своим мнением Дмитрий Востриков, ведущий менеджер по продукции Tenda/IPcom. — Есть различные подходы к построению рабочих мест, есть много систем, оборудования и технологий, доставшихся „в наследство“, к тому же законы физики изменять весьма затратно. Скорость нового протокола вкупе с повышением плотности подключений обеспечит незаметный переход для абонентов между проводной и беспроводной архитектурами и сделает их совместное существование органичным, что, впрочем, не мешает это делать и с использованием технологий Wi-Fi 5. Технология, которая получит наибольшее развитие с массовым внедрением Wi-Fi 6, это, несомненно, MESH-сети».
IP-COM Mesh: Очевидное решение рутинных задач
Ежедневные проблемы эксплуатации беспроводных сетей:
- Недостаточное радиопокрытие и нестабильная скорость доступа к беспроводной сети
Беспроводная система IP-COM MESH обеспечивают подключение пользователей в диапазонах 2.4 и 5 ГГц. Помимо использования возможностей стандарта Wave 5 — MU-MIMO, Beamforming+, Airtime Fairness, Band Steering направленных на увеличение производительности отдельного устройства, простое расширение единой бесшовной сети за счет добавления дополнительных MESH устройств позволяет добиться равномерного уровня приема передачи сигнала и распределить пользователей избегая перегрузки узлов сети.- Различные схемы авторизации и контроль доступа
Беспроводные технологии, в понимании IP-COM, должны обеспечивать гибкость и безопасность подключения при различных сценариях использования. Помимо промышленных стандартов аутентификации IP-COM MESH позволяет применять такие методы как — портал идентификации, SMS авторизация, авторизация через обратный звонок, авторизация через социальные сети.- Дорогостоящие монтажные работы
Традиционное построение беспроводной сети требует объединения точек доступа кабелем в локальную сеть. Прокладка кабельных каналов требует дополнительных расходов и навыков. В сети MESH для связи точек используется отдельная выделенная опорная сеть без необходимости кабельного подключения, что позволяет обеспечить связью помещения сложной конфигурации.- Необходимость радио обследования
Использование MESH технологии позволяет избежать дорогостоящих шагов по радиообследованию и планированию Wi-Fi сети. При недостаточном радио покрытии достаточно просто добавить новое устройство и подключить его к сети электропитания.- Квалифицированное обслуживание
Первоначальная настройка ведущего устройства доступно пользователям любой квалификации. Использование мобильного приложения для управления и мониторинга дополнительно облегчает данную задачу. При подключение дополнительных устройств к сети, настройка и согласование параметров происходит автоматически.- Обеспечение отказоустойчивости сети
MESH технология обеспечивает динамическую маршрутизацию пакетов внутри беспроводной сети. При отключении точки доступа маршруты будут перестроены без ущерба для работоспособности сети. Multi-WAN подключение ведущего роутера обеспечивает присоединение к двум независимым операторам связи и гарантирует бесперебойную работу сети в целом.- Выбор места установки оборудования
Дизайн устройства вкупе со всенаправленными круговыми антеннами с высоким коэффициентом усиления позволяют не задумываться о том, куда установить оборудование — на стену, на потолок или поставить на стол.
ПАРТНЕРСКИЙ МАТЕРИАЛ
Шифровать по-новому
На фоне довольно широкого освещения нового стандарта Wi-Fi 6 в профильной ИТ-прессе сравнительно недавний анонс обновления протокола безопасности WPA3 прозвучал не слишком заметно. Хотя с коммерческой точки зрения усовершенствование наиболее широко распространённого способа шифрования переправляемых по беспроводным сетям данных заслуживает куда большего внимания.
Вигель Антонов напоминает, что стандарт WPA3 несет ряд улучшений безопасности для открытых сетей: «Данные технологии со временем станут мейнстримом и неотъемлемой частью жизни людей, использующих беспроводные подключения. Добавление функционала WPA3 также может потребовать обновления аппаратной составляющей, что, в свою очередь, принесет свои преимущества для заказчиков, интеграторов и производителей».
По мнению Дмитрия Плешакова, стандарт WPA3х, анонсированный 25 июня 2018 г., явился наиболее крупным изменением в области безопасности беспроводных сетей за последнее десятилетие. С появлением в 2016 г. атаки с переустановкой ключа (Key Reinstallation Attacks, KRACK), ранее использовавшийся метод аутентификации пользовательского устройства на основе предварительно розданных ключей (Pre-Shared Key, PSK) более не мог считаться надёжным. Ключевыми новшествами WPA3 стали новый метод аутентификации устройств SAE и
Кроме того, для работы с Интернетом вещей в WPA3 предложено расширение Easy Connect, позволяющее быстро подключить устройства без собственного экрана и клавиатуры. Таким образом, миграция на оборудование, поддерживающее новый протокол безопасности, становится актуальной как для крупных предприятий, так и для небольших дочерних офисов и сотрудников, работающих удалённо. И по мере реализации указанного протокола в устройствах доступа и операционных системах, она должна рассматриваться как одно из приоритетных направлений усиления безопасности в беспроводных сетях.
А вот на взгляд Юлии Андриановой переход от бывшего актуальным много лет WPA2 к WPA3 носит, скорее, эволюционный, а не революционный характер: «Существующие сети с WPA2 — достаточно безопасны, пока никто не доказал обратного. Уязвимость KRACK, о которой много писали год назад, носила нишевый характер, возникала только в некоторых специфичных сценариях. Вендоры оборудования выпустили патчи, владельцы сетей сделали апгрейд, и сети продолжают работать».
Именно в ответ на уязвимость KRACK и был разработан WPA3. Он будет постепенно имплементироваться в новых устройствах как сетевой инфраструктуры, так и потребительских. Но поскольку это решение требует обновления аппаратной платформы, оно не предполагает обратной совместимости с уже имеющимся аппаратным обеспечением. Возможно, лишь через несколько лет коммерческая сеть Wi-Fi без поддержки WPA3 будет вызывать не меньшее недоверие, чем сегодня инсталляция без возможности шифровать данные по WPA2. «Я думаю, что апгрейд до WPA3 произойдёт почти автоматически при переходе к новому стандарту Wi-Fi 6», — уверен Сергей Портной.
Дмитрий Востриков в то же время обращает внимание на то, что более 80% успешных атак на информационные системы происходит с использованием методов социальной инженерии, а не технических особенностей алгоритмов защиты: «Аналогичная ситуация разворачивается вокруг WPA2. Действительно, алгоритм не обеспечивает стопроцентную защиту, но каковы шансы даже специалисту среднего уровня скомпрометировать систему? Конечно, проще перейти на WPA3 и также забыть о многофакторной авторизации, правильной организации механизмов аутентификации и защите от внутренних угроз. Взять и повесить новый большой замок на хлипкую дверь, держащуюся на одной петле. Тем не менее для критически важных систем данная опция действительно является единственной брешью в защите, переход актуален. Как производители будут осуществлять переход и обновление систем — вопрос открытый. Однозначно часть используемого оборудования обновления не получит, но большая часть скорее всего будет обновлена в рамках существующих сервисных контрактов».
Вячеслав Логушев видит в данном случае ту же проблему, что и с 802.11ax — дефицит на рынке устройств, поддерживающих работу с новым стандартом: «WPA3 добавил четыре функции, отсутствующие в WPA2, и производители устройств должны их реализовать для сертификации по новому стандарту. Теоретически, вендоры могут добавить этот функционал обновлением встроенного ПО, однако в этом случае им придется решать проблему подачи заявки и получения сертификации WPA3 для их оборудования до развертывания обновления. Полагаю, что большинство производителей предпочтут потратить имеющиеся ресурсы на обновление модельного ряда устройств, а не на внеплановый выпуск новых прошивок».
Подтверждение этому тезису — крайне скудный ныне ассортимент сертифицированных по новому стандарту устройств. Более того, даже после широкого распространения WPA3 используемый сегодня стандарт WPA2 не потеряет своей актуальности еще длительное время. Благо, новые маршрутизаторы поддерживают оба стандарта шифрования, которые на время переходного периода можно использовать одновременно, а затем ограничить использование морально устаревшего стандарта.
«Что же касается модернизации сети, наиболее актуальна она будет для государственных учреждений и ведомств, организаций финансово-банковского сектора и предприятий ОПК — всем, кто ставит вопрос безопасности корпоративных данных во главу угла», — добавляет Вячеслав Логушев. Согласен с этим и Дмитрий Танюхин: «Риск вторжения в сеть, риск потери конфиденциальных данных особенно велик у крупных корпораций, финансовых учреждений и госучреждений. Поэтому мы ожидаем, что именно они будут заинтересованы в использовании нового стандарта в первую очередь».
Разделяй и защищай
Проблемы безопасности корпоративного Wi-Fi не ограничиваются уязвимостью актуального на сегодня протокола шифрования WPА2, особенно в ситуации, когда беспроводной сетью интенсивно пользуются и сотрудники (все вместе либо по раздельным группам доступа), и посетители. Использование мобильных устройств неизбежно размывает периметр безопасности организации, поскольку смартфонами, планшетами и ноутбуками сотрудники пользуются не только внутри офиса, но также дома и из незащищённых публичных сетей Wi-Fi.
«Неосторожный клик на сомнительной ссылке, наверное, самая популярная причина проникновения злонамеренного ПО на устройство и, как следствие, в корпоративную сеть», — предостерегает Юлия Андрианова. Поэтому при эксплуатации коммерческой сети Wi-Fi необходимо использовать такие аппаратно-программные или хотя бы чисто программные средства, которые на уровне DNS-адресов блокировали бы обращения к заведомо скомпрометированным страницам.
Ещё один важный элемент безопасности корпоративной сети — её грамотная сегментация. Жёстко разделив пользователей по группам и установив для них ограничения на использование ресурсов сети с учетом контекста (имеются в виду тип устройства, способ подключения к корпоративной сети, тип пользователя и т. д.), можно максимально сегментировать сеть по принципу изолированных отсеков на военном корабле. И ограничить тем самым зону распространения зловредного ПО, объём скомпрометированных данных и иные потенциальные потери, если неавторизованное проникновение всё же произошло.
По мнению Вигеля Антонова, если сеть построена должным образом — с использованием экспертных компетенций, лучших практик производителей и современных решений, — беспроводные сети будут в первую очередь обеспечивать для бизнеса преимущества мобильности, а не угрозы. К тому же, сегодня имеется немало коммерческих решений, позволяющих превратить проводную, беспроводную и географически-распределенную сеть фактически в единый сенсор, чутко откликающийся на любое несанкционированное действие. Кто, когда, используя какое устройство, используя какой способ для подключения, в каком конкретно месте подсоединяется к корпоративной сети, — все это строго фиксируется и протоколируется.
Дмитрий Плешаков призывает не выделять проблему безопасности беспроводных сетей из общего контекста корпоративной ИБ. Основная специфика Wi-Fi заключается в доступности и публичности среды передачи и отсутствии возможности физического контроля за подключением, но основные механизмы атак, актуальные для проводных сетей, используются и в радиоканале. Поэтому для защиты корпоративных информационных систем и данных в первую очередь необходимо построение комплексной системы безопасности, включающей как технологические, так и административные мероприятия.
И если грамотным проектированием и выбором частотного диапазона можно минимизировать распространение сигнала за пределами территории предприятия, внедрением сенсоров обеспечить своевременное обнаружение посторонних передающих устройств, то без интеграции в единую централизованную систему, обеспечивающую мониторинг и анализ данных, поступающих из всех сегментов сети, защита будет напоминать лоскутное одеяло.
«Паранойя — профессиональное заболевание специалистов по безопасности, — иронизирует Дмитрий Востриков, — но пользователи с низкой квалификацией подвержены ей в большей степени, и, как правило, беспочвенно». Компрометация и доступ к среде не равны получению доступа к информационным ресурсам. Использование общей среды передачи данных в случае беспроводных технологий требует более внимательного и аккуратного отношения к вопросам безопасности информационных систем. Необходимо заботиться о разделении пользователей на низких сетевых уровнях, обеспечить многофакторную идентификацию при доступе к информационным ресурсам компании, а критически важную информацию шифровать дополнительно.
Индустрия ИБ показывает рост в силу появления новых угроз, в силу увеличения числа потребителей и естественного снижения уровня компетенции среднего пользователя в ИБ, отмечает Дмитрий Танюхин: «Каждое предприятие, предоставляя доступ к своей сети Wi-Fi, должно быть компетентно защищено системным администратором. Текущие возможности сетевого оборудования позволяют свести к минимуму всевозможные риски вторжения, но тут важна квалифицированная настройка всех сегментов сети». Конвергенция, по его мнению, достигается за счет тщательного тестирования различных компонентов (файерволлов, коммутаторов и Wi-Fi-устройств), и это проще делать в рамках модельного ряда одного производителя.
Приключения больших данных
Регистрация абонентов в корпоративной беспроводной сети и мониторинг их активности естественным образом порождают внушительный поток данных, не использовать которые для бизнеса было бы неразумно. Машинный интеллект сейчас находит применение повсеместно; большие данные дают поистине гигантские возможности в области таргетирования целевой аудитории. «Однако есть целый ряд нюансов, которые делают такие проекты штучными, — замечает Юлия Андрианова. — Грамотно монетизировать такие данные — это задача, требующая креатива, говорить о массовом применении таких технологий пока сложно».
С этой позицией солидарен Дмитрий Танюхин: «Массив данных теоретически может быть использован, хотя не все организации пока точно представляют, как извлечь из него пользу. Ситуация похожа на конец
Мобильность пользователя сети Wi-Fi, доступность технологии и информация о местонахождении позволяют связать терминал с портретом личности пользователя, отслеживать перемещение терминала и портрета между различными информационными системами, обращает внимание Дмитрий Востриков. Но говорить при этом о стопроцентно достоверной идентификации пользователя пока даже не имеет смысла: такая идентификация автоматически будет означать подпадание всего массива накопленных больших данных под действие законов о защите персональных данных, что грозит ввергнуть бизнес в дополнительные расходы.
Деперсонифицированная же аутентификация портрета личности с привязкой к ней профиля условного покупателя наверняка окажется востребована бизнесом — хотя бы в части таргетирования товаров и услуг. «Однозначно идентифицировать личность любого потребителя пока невозможно, но, связав данные об идентификации от Wi-Fi и сотовых сетей, платежных систем и информационных ресурсов, можно составить портрет и карту предпочтений пользователя», — подчёркивает Дмитрий Востриков.
А как же 5G?
Национальный проект «Цифровая экономика» предусматривает к 2021 г. развёртывание не менее десятка сетей сотовой связи 5G в российских городах-миллионниках. Можно предполагать, что 5G хотя бы в какой-то мере начнёт вслед за этим соперничать с Wi-Fi в плане привлекательности для клиентов. Ведь тем незачем окажется переключаться на Wi-Fi — даже бесплатный и высокоскоростной — с ни чем не уступающего ему по пропускной способности и задержкам операторского канала 5G.
Впрочем, Юлия Андрианова указывает на то, что Wi-Fi — уже зрелая технология, в то время как 5G находится на ранней фазе: «Посмотрим, как покажет себя технология в реальности, сейчас о соперничестве говорить рано».
Сергей Портной же напоминает, что все развитие беспроводной коммерческой связи сопровождается волнообразной борьбой между сотовыми технологиями (3G/4G/5G) и технологиями широкополосных сетей. Благоприятным сценарием на будущее он считает взаимодополнение этих технологий и обеспечение большей свободы абонентам.
«Привлекательность для клиента того или иного способа связи определяется не только скоростью, — подчёркивает Дмитрий Плешаков. — В первую очередь степень привлекательности 5G сетей будет определяться стоимостью оборудования и тарифами операторов. Также хочется напомнить, что факт создания сети не означает наличия качественной связи на всей площади её заявленного покрытия, особенно в местах, где нагрузки не постоянны, а зависят от внешних факторов (спортивные мероприятия, концерты, дни распродаж в мегамоллах)».
Кроме того, говоря о бесплатных услугах беспроводной сети Wi-Fi на территории крупных торговых центров, надо понимать, что в обмен на доступ к сети владельцы торговых точек могут получать информацию о перемещении покупателей, распространять рекламный и промоконтент, а также в ответ на появление операторской сети смогут предлагать пользователям их сетей и дополнительные услуги. Проникновение 5G-технологий в абонентские устройства наверняка начнётся с наиболее совершенных аппаратов высшей ценовой категории, поэтому миграция даже
«Сети 5G неприлично дороги и экономически неоправданны на данном временном отрезке», — решительно отмечает Дмитрий Востриков. Но тут же добавляет: «Что совершенно не мешает их развитию: маркетинг правит миром. В самом вопросе кроется подвох и происходит смешение доступа к глобальным и корпоративным информационным сетям. Разные задачи — разные механизмы решения». Что выгоднее: содержать собственную беспроводную инфраструктуру или использовать мощности оператора связи? Передать всю систему на аутсорсинг? Разместить в облаке? Каждая компания решает и будет решать подобные вопросы для себя самостоятельно, исходя из структуры затрат, экономической модели, доступности сервисов и рисков.
Как считает Вячеслав Логушев, конкуренция между сотовыми сетями и Wi-Fi идёт уже сейчас — поскольку пропускной способности действующих 4G-сетей вполне достаточно для того, чтобы конкурировать с Wi-Fi в большинстве задач. Операторы «большой четвёрки» вводят тарифные планы с «честным» безлимитным трафиком, снижая тем самым значимость Wi-Fi для своих клиентов. Абоненты же, в свою очередь, при выборе оператора все чаще обращают внимание на качество работы 4G-сети даже в московском метро, казалось бы, надёжно и плотно охваченном бесплатной сетью Wi-Fi.
В поддержку этой точки зрения высказывается и Дмитрий Танюхин: «Мы отмечаем тенденцию некоторого замещения спроса на Wi-Fi со стороны всё более быстрой сотовой связи, и это соперничество будет усиливаться». 5G продолжит «отъедать» долю у Wi-Fi на фоне непрерывного роста требовательности мобильных приложений к скорости интернет-соединений, и делающему ставку на Wi-Fi бизнесу придётся принимать это в расчёт.
