Коммутаторы на защите беспроводных сетей

     Symbol WS 2000 и Trapeze MXR-2 отлично подходят для малых офисов

Проведенное в eWeek Labs тестирование двух беспроводных коммутаторов для малого офиса показало, что оба они со своей задачей справляются хорошо, но предназначены для сетей разного типа.

Мы проверили модели WS 2000 Wireless Switch фирмы Symbol Technologies и MXR-2 Mobility Exchange фирмы Trapeze Networks. И та и другая, как оказалось, обеспечивают высочайший уровень безопасности беспроводных сетей, поддерживают криптоалгоритм AES и способны производить сквозную проверку подлинности с применением серверов аутентификации 802.1х.

В то же время между этими моделями отмечен ряд различий. Их создатели по-разному решили задачу защиты малых сетей без привлечения уже развернутых сетевых сервисов. В дополнение к этому каждая из них предлагает собственный набор функций обнаружения взломов, текущего управления и развертывания систем.

ИТ-менеджерам небольших компаний и филиалов, которые захотят повысить безопасность своих беспроводных сетей, подойдут обе новинки. Вот только при выборе конкретного коммутатора нужно будет четко определить свои требования к управляемости, мобильности и электропитанию.

WS 2000 Wireless Switch

Беспроводной коммутатор WS 2000 фирмы Symbol Technologies представляет собой легко настраиваемое и весьма функциональное решение для малого офиса. Однако того уровня интеллектуального управления радиочастотами и тех корпоративных особенностей, которые крупные предприятия хотели бы видеть в своих филиалах, он предложить не в состоянии.

Symbol постоянно опережает своих соперников на рынке, выпуская все новые модели беспроводных коммутаторов. После появления WS 2000, скажем, ее соперники в течение полугода не могли предложить малому бизнесу ничего похожего. После этого, правда, Trapeze Networks, Aruba Wireless Networks, Airespace и другие производители сумели быстро превзойти возможности WS 2000, реализовав целый ряд самых современных функций. В своих новинках они предусмотрели динамическую конфигурацию радиочастотных ячеек, интегрированные сервисы ААА (Authentication, Authorization and Accounting - аутентификация, авторизация и учет), выявление "чужаков" и предотвращение взломов беспроводных каналов.

В eWeek Labs прошел проверку беспроводной коммутатор WS 2000 версии 1.5 ценой 999 долл., выпуск которого начался в ноябре прошлого года. Он обладает расширенными возможностями встроенного сетевого экрана, допускает подключение к концентраторам независимых производителей по туннелям IP Security, а кроме того, в нем заложена поддержка AES, необходимая для совместимости с WPA2 (Wi-Fi Protected Access 2 - защищенный доступ к Wi-Fi) и IEEE 802.11i. В дополнение к этому новая версия способна работать с радиотерминалами стандарта IEEE 802.11a. С новинкой, например, полностью совместимы устройства АР-300 этой же фирмы (349 долл.), поддерживающие спецификации 802.11a/b/g.

Текущее управление коммутаторами WS 2000 осуществляется из командной строки либо из браузерного графического Java-интерфейса пользователя. Как это ни странно, но с масштабируемой платформой беспроводного управления SEMM (Symbol Enterprise Mobility Manager- диспетчер корпоративной мобильности Symbol) той же самой фирмы версия 1.5 не интегрирована, в результате чего каждый WS 2000 приходится настраивать по отдельности. Представители фирмы-производителя обещают добавить поддержку SEMM в очередную версию WS 2000, ожидаемую к выходу в апреле.

Коммутатор WS 2000 способен управлять шестью портами доступа Access Port, которые можно подключить непосредственно к любому из четырех коммутируемых портов WS 2000, совместимых со стандартом электропитания через Ethernet IEEE 802.3af. Кроме того, WS 2000 легко соединяется с портами доступа коммутатора нижнего уровня с поддержкой этого же стандарта. Для такого подключения имеется два стандартных порта ЛВС.

В отличие от Trapeze MXR-2 коммутатор фирмы Symbol должен быть установлен в канале передачи данных на стыке проводной и беспроводной сетей. Порты доступа Symbol поддерживают связь с WS 2000 на уровне 2 - на участке между Access Port и беспроводным коммутатором, IP-трафик клиентов инкапсулируется в кадры этого уровня.

В коммутатор встроен сетевой экран с регистрацией состояния связи, что позволяет использовать WS 2000 в качестве пограничного устройства. Впрочем, по признанию представителей Symbol, большинство пользователей предпочитают применять такие коммутаторы во внутренних сетях, защищенных другими брандмауэрами. В результате новые функции IP Sec могут оказаться не столь уж востребованными.

Беспроводной коммутатор WS 2000 фирмы Symbol (внизу) предлагает

больше портов с питанием через Ethernet, чем конкурирующий с ним MXR-2 фирмы Trapeze

WS 2000 способен одновременно обслуживать до четырех беспроводных ЛВС, причем для каждой из них можно задать собственные правила шифрования беспроводного трафика. Нам не составило труда закрепить беспроводные сети, равно как и физические коммутационные порты устройства, за индивидуальными подсетями NAT (Network Address Translation - преобразование сетевых адресов). Всего таких сетей, как отмечалось выше, может быть до четырех. Брандмауэры в каждой из них также настраиваются индивидуально.

Графический Java-интерфейс пользователя позволяет легко и просто конфигурировать одну общедоступную беспроводную ЛВС без шифрования и две отдельные корпоративные сети, одна из которых защищается аутентификацией 802.1x и TKIP (Temporal Key Integrity Protocol - протокол целостности временных ключей), а вторая - посредством WPA-PSK (WPA-Pre-shared Key - предварительно установленный ключ защищенного доступа к Wi-Fi). Из общедоступной беспроводной сети можно подключиться только к сайтам, электронной почте и сервисам доменной службы имен DNS, тогда как пользователи корпоративной сети получают возможность не только обращаться ко всем ресурсам Интернета, но и общаться между собой.

Для проведения аутентификации по протоколу 802.1х мы связали WS 2000 со своим сервером Steel-Belted RADIUS Server фирмы Funk Software, причем интеграция между ними оказалась совершенно прозрачной, а сам процесс потребовал намного меньше времени и усилий, чем в случае с коммутатором Trapeze. Вот только, как показало тестирование, нынешняя версия WS 2000 лучше всего подходит для автономного использования в небольших офисах, и ей явно не хватает поддержки сервисов ААА. А ведь их включение в платформу позволило бы компаниям обеспечить надежное шифрование беспроводного трафика, не развертывая специально для этого сервер RADIUS.

Набор радиочастотных функций WS 2000 богатым не назовешь. Хотя коммутатор и предлагает стандартные правила распределения каналов и управления уровнем сигнала, но для устранения взаимных помех и повышения зоны охвата администраторам придется настраивать каждый порт доступа отдельно. К сожалению, WS 2000 не позволяет производить мониторинг радиочастот, поэтому говорить об обнаружении беспроводных атак и тем более о выявлении несанкционированных подключений пока не приходится.

Впрочем, в ближайшее время ситуация может измениться: как нас заверили представители Symbol, многие из таких функций появятся уже в следующей версии ПО, ее выпуск намечен на лето.

Trapeze MXR-2

Коммутатор MXR-2 Mobility Exchange фирмы Trapeze Networks предлагает богатый набор функций для малого бизнеса и филиалов крупных предприятий, но корпоративным клиентам больше всего должна понравиться разработанная для него дополнительная консоль управления RingMaster.    

В eWeek Labs прошла тестирование модель ценой 995 долл., оснащенная ПО версии 3.1.5, выпуск которой начался в марте. Ее проверка производилась вместе с парой точек доступа MP-353 Mobility Point ценой по 549 долл. каждая, поддерживающих стандарты 802.11a/b/g.

В отличие от коммутатора Symbol WS 2000, который оснащен четырьмя портами с поддержкой электропитания через Ethernet, разработка Trapeze предлагает только один такой порт. В ходе тестирования никаких проблем при работе MXR-2 с точкой доступа MP-352 (она была подключена к коммутатору HP ProCurve Switch 2626-PWR компании Hewlett-Packard и запитывалась через сеть) не возникало. Тем не менее следует иметь в виду, что при развертывании в малом офисе нескольких таких точек необходимо предусмотреть источники питания для них. MXR-2 рассчитан на управление всего тремя точками доступа, и при таком небольшом количестве портов, на наш взгляд, все их вполне можно было бы оснастить средствами электроснабжения IEEE 802.3af.

Первоначальная настройка MXR-2 производится из командной строки, а текущее управление администраторы могут осуществлять из браузерного интерфейса. Правда, по своей функциональности второй способ несколько уступает первому. Из этого интерфейса, скажем, невозможно ни сконфигурировать ACL (Access Control List - список контроля доступа), ни просмотреть данные мониторинга радиочастот.

Компаниям, которые собираются использовать несколько коммутаторов Mobility Exchange, мы рекомендуем обратить особое внимание на фантастически удобную программную консоль управления RingMaster 3.1. При начальной цене 1995 долл. она позволяет управлять пятью такими коммутаторами, предлагая при этом лучшие в своей категории возможности корпоративного развертывания беспроводных систем и управления ими. Администратору достаточно загрузить в RingMaster чертеж здания в формате CAD, после чего утилита автоматически рассчитывает коэффициенты ослабления и указывает оптимальное расположение точек доступа Mobility Point.

Предлагает MXR-2 и отличные возможности аутентификации. Этот коммутатор способен обеспечить наивысшую степень безопасности беспроводной связи даже при отсутствии сервисов ААА.

Подключить коммутатор Trapeze к серверу Steel-Belted RADIUS оказалось труднее, чем описанный выше Symbol WS 2000 (для этого потребовалось даже изменить некоторые параметры настройки самого сервера), но затраченные усилия себя вполне окупили. MXR-2 использует сервер RADIUS для того, чтобы в процессе аутентификации пересылать данные о принадлежности каждого пользователя к конкретной ВЛВС (виртуальной ЛВС). В результате у того сохраняются одни и те же права в любой сети, к какой бы он ни подключился. Большинство же остальных систем такого назначения, проходивших проверку в eWeek Labs, ограничивалось привязкой ВЛВС к имени сети.

Компаниям, не имеющим развернутой инфраструктуры RADIUS, новый коммутатор предлагает встроенный сервер ААА. С его помощью мы смогли не только в полном масштабе реализовать защищенный доступ к Wi-Fi по стандарту WPA или WPA2 на базе протокола PEAP (Protected Extensible Authentication Protocol - защищенный протокол расширенной аутентификации), но и предоставить пользователям право просто регистрироваться на Web-странице аутентификации.

Доступ к ресурсам регулируется в MXR-2 не так, как в WS 2000. Вместо сетевого экрана с регистрацией состояния связи здесь применяются списки контроля доступа ACL, которые разрешают или запрещают использование ресурсов в зависимости от принадлежности пользователя к той или иной ВЛВС.

В своей новинке Trapeze предусмотрела и базовые функции обнаружения несанкционированного подключения. Коммутатор каждые 5 минут опрашивает все подключенные к нему устройства и в случае обнаружения неизвестных начинает предпринимать заданные администратором меры противодействия. Подход, конечно, не слишком надежный, но это все же лучше, чем то, что может предложить WS 2000.