ARUBA INSTANT WI-FI: SIMPLĂ, PUTERNICĂ, DISPONIBILĂ
Astăzi ne întoarcem la problema, cu care se confruntă din ce în ce mai mult profesioniștii IT. Organizarea accesului wireless în birou nu este o sarcină destul de banală. Acordând angajaților accesul la rețea din dispozitivele mobile, trebuie să țineți cont de o serie de subtilități, în primul rând pentru a proteja rețeaua împotriva intruziunilor de către intruși.
Dacă accesul la rețea nu este limitat sau nu este protejat corespunzător, oricine se poate conecta la acesta și poate accesa gratuit Internetul. Aceasta amenință compania cu cel puțin o creștere a costurilor de plată pentru traficul pe Internet (serviciile furnizorilor furnizate organizațiilor sunt taxate numai pe planuri limitate). Și dacă scopul penetrării este accesul la resursele interne ale companiei, consecințele pot fi mult mai grave.
Dar să începem din partea tehnică și să definim dispozitivul pe baza căruia se va organiza accesul wireless la birou. Când utilizatorii de dispozitive mobile nu au mai mult de o duzină, puteți ajunge cu un punct de acces obișnuit, cum ar fi cele destinate utilizării la domiciliu. Dar dacă aveți nevoie de conexiune wireless a mai multor laptop-uri sau a sediilor companiei se află la mai multe etaje sau la o distanță lungă, numărul punctelor de acces trebuie mărit. Aceasta nu este cea mai bună soluție, deoarece administratorul va trebui să configureze manual fiecare dintre ele și utilizatorii vor pierde temporar conexiunea la rețeaua wireless în timp ce se deplasează prin clădire. Pentru a evita astfel de dificultăți, puteți preinstala controlerul fără fir și puteți conecta la acesta noi dispozitive de acces fără fir, după cum este necesar. Acest lucru simplifică foarte mult activitatea administratorului de sistem, deoarece în acest caz, punctele de acces sunt gestionate centralizat. Capacitățile controlorilor diferiților producători sunt diferite; de exemplu, compania NETGEAR produce controale care pot conecta până la 16 dispozitive.
Apropo, atunci când creați o rețea în birou de la zero, este logic să instalați imediat un dispozitiv integrat care include un router, un punct de acces și un paravan de protecție. Dar dacă rețeaua locală din birou există deja și este configurată corect, nu există nici un motiv să o modificați. În acest caz, puteți conecta punctul de acces obișnuit (Figura 1)
Deoarece interfața de configurare este similară pentru toate tipurile de dispozitive listate mai sus, nu vom mai distinge între ele. În plus, opțiunile de gestionare a punctului de acces și a setărilor de securitate sunt aproape identice pentru astfel de dispozitive în general, astfel că nu contează exact ce exemplu specific le vom considera.
Configurarea unui punct de acces
Apoi, trebuie să introduceți informațiile pentru contul de administrator. Deseori, producătorii oferă în mod implicit cele mai simple login-uri și parole: admin și parola. Desigur, este mai bine să se schimbe imediat. Puteți face acest lucru în fila Întreținere a interfeței deschise în browser.
Rețeaua fără fir creată este deschisă în mod prestabilit și nu este protejată. Setările inițiale nu oferă nici măcar un nivel minim de securitate și, prin urmare, cele mai multe dintre ele sunt, de asemenea, mai bine să se schimbe. Deschideți opțiunea Basic • Wireless Settings din secțiunea Wireless din fila Configurare (consultați Figura 2).Porniți logic cu identificatorul de rețea, așa-numitul SSID (Service Set Identifier).
Apropo, difuzarea (Broadcast) este un alt punct important de configurare a rețelei. Dacă nu doriți ca o persoană neautorizată să se conecteze la aceasta, atunci este mai bine să o dezactivați (în setările conexiunii din fila Wireless). Dar pentru aceasta, trebuie mai întâi să configurați conexiunea la rețeaua fără fir a tuturor computerelor necesare. Acest lucru poate fi dificil atunci când numărul și componența angajaților mobili se schimbă în mod constant - va trebui să activați și să dezactivați în mod constant difuzarea manuală.
Indirect, securitatea rețelei poate fi afectată de un alt parametru - puterea antenei. Valorile acestui parametru sunt configurate în fila Wireless, în secțiunea Basic • Wireless Settings. În mod prestabilit, valoarea Puterii de ieșire este setată la Full, adică este egală cu 100 mW. La această putere, rețeaua va funcționa pe o rază de aproximativ 100 m. Cu toate acestea, relația dintre numărul de milliwați și distanța nu este directă: o reducere a puterii cu un factor de 2 nu va reduce gama la 50 m.
Prin scăderea puterii, reduceți aria de acoperire a rețelei, ceea ce înseamnă că va trebui să vă aflați în imediata apropiere a sursei de semnal pentru al accesa. Dar nu uitați că veți pierde și productivitatea. În general, trebuie să reduceți puterea numai dacă sunteți sigur că acțiunea rețelei nu trebuie să se răspândească, de exemplu, în afara unei încăperi.
Să trecem la siguranță
În final, am ajuns la fila principală - Securitate.
În primul rând, aș dori să menționez posibilitatea foarte importantă, disponibilă în multe dispozitive Wi-Fi, de a sprijini mai multe rețele (de regulă, numărul lor poate ajunge la opt). Acesta vă permite să desfășurați mai multe conexiuni wireless în cadrul biroului, de exemplu diferite pentru departamente diferite sau unul pentru angajați, cu acces complet la resursele locale, iar al doilea pentru oaspeți, numai cu acces la Internet (Figura 3).
Puteți crea profiluri pentru conexiunile corespunzătoare din secțiunea Setări profil (Figura 4) și modificați setările acestora acolo. Este de remarcat faptul că fiecare conexiune va avea propriul nume SSID. De fapt, nu contează cât de multe profiluri definiți - acțiunile viitoare vor fi aceleași pentru oricare dintre ele.
Primul lucru care trebuie determinat este parametrii de autentificare (șir de autentificare în rețea). Administratorul trebuie să aleagă mecanismul de securitate adecvat (Figura 5). Vom spune imediat: standardul de enciphering WEP (Wired Equivalent Privacy) pe care lista se deschide este absolut nesigur. Acesta este primul și, prin urmare, deja depășit standardul de criptare, și este destul de ușor să se spargă. Mulți producători recomandă utilizarea unui mod mai modern și mai sigur - WPA + PSK. Principalul avantaj al acestui mod este combinația de configurare ușoară și un nivel bun de securitate, ceea ce îl face o alegere ideală pentru rețelele de domiciliu și de birouri mici. De fapt, este suficient să introduceți expresia-cheie pe care utilizatorii o vor introduce când se conectează la rețea. Desigur, este relativ ușor să găsiți o astfel de frază și, prin urmare, să crăpați apărarea. Prin urmare, este logic să vină cu o cheie complexă, cu un număr mare de caractere. Este, de asemenea, de dorit ca fraza să fie nerezonabilă, ceea ce va spori semnificativ rezistența rețelei la efracție sau chiar va face aproape imposibilă.Noul mod WPA2 + PSK de ultimă oră (AES) utilizează un algoritm de criptare AES mai sofisticat și, prin urmare, este mai fiabil. Cu toate acestea, pentru a funcționa, este necesar ca acest mod să fie acceptat de toate dispozitivele din rețea. Pe de altă parte, majoritatea punctelor de acces suportă funcționarea simultană în modurile WPA + PSK și WPA2 + PSK, oferind compatibilitate înapoi. Un exemplu de astfel de punct de acces este NETGEAR WNDAP330.
Opțiunea Separare securitate wireless a clientului vă permite să împiedicați utilizatorii wireless să vă vadă reciproc în rețea. Deci, de exemplu, hotspoturi de lucru într-o cafenea, în cazul în care fiecare client are acces la Internet, dar nu poate face schimb de date
cu un vecin.
Parametrul VLAN ID vă permite să setați numărul VLAN pentru utilizatorii care fac parte din rețea prin acest profil. Prin specificarea valorii acestui parametru, tot traficul de la clienții fără fir ai acestui profil va fi marcat ca aparținând numărului VLAN specificat.
Dacă numărul utilizatorilor fără fir din companie este mai mare de douăzeci, este logic să le împărțiți în grupuri, de exemplu, "Contabilitate", "Suport tehnic", "Departament vânzări". Apoi, pentru fiecare grup, creați propriul profil, atribuiți propriul ID VLAN și apoi configurați pentru fiecare VLAN drepturile de acces la resurse interne sau externe de pe switch, router și firewall.
În pagina Setări avansate de securitate, puteți specifica o serie de alte opțiuni care vor spori securitatea punctului dvs. de acces.
Primul parametru este Rogué AP - pornește sau dezactivează scanarea rețelei pentru punctele de acces din apropiere (Figura 6). Aici puteți lista acele puncte cărora li se refuză accesul la resursele acestei conexiuni.
Desigur, modul cel mai fiabil de a implementa o rețea fără fir este de a utiliza autentificarea utilizatorului pe un server RADIUS local, ale cărui setări sunt introduse în câmpurile de intrare corespunzătoare. Apropo, puteți utiliza fila Monitorizare pentru a monitoriza rețeaua, conexiunile existente și alte evenimente.După instalarea setărilor de securitate necesare, puteți conecta utilizatorii mobili la rețeaua fără fir (Figura 8). Desigur, toate resursele rețelei locale vor fi accesibile acestora (cu condiția ca profilul în care acești utilizatori să fie conectați să permită accesul): foldere de rețea, imprimante și așa mai departe.
Aplicând în practică majoritatea recomandărilor din articol, puteți obține un nivel foarte ridicat de securitate pentru rețeaua fără fir. Dar, după cum știți, soluțiile ideale sunt rare, așa că nu uitați să verificați mai des statisticile și jurnalul de evenimente ale punctului de acces. Desigur, hacking-ul unei conexiuni fără fir înseamnă doar penetrarea unui intrus în rețeaua dvs., dar nu accesând resurse interne și informații valoroase. În acest caz, merită să aveți grijă de setările firewall-ului, router-ului și alte mijloace care să asigure securitatea imediată a rețelei dvs. locale și informațiile confidențiale stocate în ea. Vom spune despre acest lucru într-una din următoarele aspecte.
Ce altceva trebuie să știu?
Punctele de acces moderne pot funcționa în diferite benzi de frecvență. Acest lucru se datorează mai multor variații ale standardului wireless 802.11: a, b, g sau n.
Standardele a și b sunt suficient de vechi, dintre care primul determină funcționarea dispozitivelor pe frecvență
5 GHz, interzis oficial în Rusia. Standardele marcate b sau g funcționează la 2,4 GHz, iar cel mai modern n suporta ambele benzi de frecvență.
Dispozitivele existente acceptă în prezent standarde fie b / g, fie b / g / n. Totuși, există și puncte de acces cu bandă dublă care funcționează în modurile b / g / n sau a / n. Dar datorită interzicerii utilizării unui număr de frecvențe, astfel de dispozitive în Rusia sunt nepopulare.
Uneori, mai multe puncte de acces într-o clădire de birouri funcționează pe aceeași frecvență. Acest lucru duce la interferențe reciproce, reducând performanța rețelelor Wi-Fi. Confruntat cu această situație, încercați să schimbați setarea Chanel / Frequency în secțiunea Basic • Wireless Settings din fila Wireless. De obicei, în astfel de cazuri, se recomandă selectarea valorilor 1, 6 sau 11, deoarece aceste frecvențe sunt cele mai rezistente la interferențe reciproce.
Pot vedea totul de sus
Plasați punctul de acces mai bine de suprafețele metalice, în centrul camerei și, de preferință, de înaltă. Vizibilitatea directă a dispozitivului de la computerele client va oferi un nivel bun de semnal.
O cheie bună poate fi inventată folosind textul rusesc, tastat în layout-ul de tastatură engleză. Pur și simplu, treceți la limba engleză, dar formați fraza, uita la scrisorile rusești. De exemplu, expresia "Cadrul de săpun Mama" se va transforma în "Vfvf vskf hfve". Poate că astfel de cuvinte nu pot fi găsite în niciun dicționar.