Статья только в электронной версии журнала
Невозможно украсть данные из сети, которая наглухо закрыта для всех. Принцип совершенно абсурдный, но именно ему стараются следовать многие администраторы при развертывании беспроводных ЛВС.
С одной стороны, им нужно обеспечить предельно простой доступ для своих сотрудников, партнеров и клиентов. Но с другой - требования к безопасности беспроводных технологий столь жестки, что порой оказывается гораздо проще протянуть еще десяток-другой кабелей обычной проводной сети.
С чего чаще всего начинается визит в другую компанию, а то и в штаб-квартиру или филиал своей организации?
- У вас тут есть беспроводная сеть?
- А как же без нее?
- Отлично! Могу я подключиться к ней!
- Конечно. Но сначала установите на свой ноутбук вот это специальное клиентское ПО. После этого скажите мне МАС-адрес вашей беспроводной платы. Тогда я попытаюсь связаться с ребятами из ИТ-отдела и узнаю, смогут ли они предоставить вам доступ.
- Ясно. А нельзя ли просто подключиться к обычной ЛВС с какого-нибудь незанятого стола?
- Ну, это намного проще.
Но ведь так быть не должно! Развернуть хорошо защищенную и вместе с тем легко доступную сеть не так уж и сложно. Это можно сделать двумя способами: либо выделить беспроводную сеть в отдельный сегмент, не связанный с другими сетевыми ресурсами, либо воспользоваться новыми продуктами и технологиями, помогающими разграничить простой гостевой доступ и безопасный доступ сотрудников.
К сожалению, отношение к обоим этим методам сегодня весьма скептическое, и главная причина тому - множество слухов относительно незащищенности беспроводных ЛВС. Мне приходится бывать в разных компаниях, и когда речь заходит о беспроводном доступе, я часто слышу: "Никогда и на за что! Это слишком опасно!". А то и такое: "Мы создали беспроводную сеть, защитили ее на все сто, но что-то никто не хочет ею пользоваться".
С чего же начать? Один из простейших шагов - отсоединить беспроводную ЛВС от своей корпоративной сети. Для этого достаточно организовать для нее отдельный сегмент либо воспользоваться транслятором сетевых адресов NAT, который встроен во множество точек доступа.
В любом случае беспроводная сеть оказывается изолированной от внутренних ресурсов так же надежно, как и Интернет. Ваши же сотрудники смогут обращаться к ним по VPN. Во всех беспроводных устройствах предусматривается такая опция, как WEP. Правда, полностью обезопасить внутреннюю сеть этот протокол не в силах, но тех, кто ищет лазейки в открытые сети, он отпугнет.
Дилемма - безопасность или доступность сетей - уже привлекла внимание некоторых производителей беспроводных устройств и систем защиты, которые взялись ее разрешить. С помощью их новинок нетрудно обеспечить высокий уровень защищенности беспроводных ЛВС без какого-либо ущерба для доступа гостей и клиентов.
Одно из лучших известных мне решений в этой области - программный комплект WirelessWall фирмы Granite Systems, получивший награду eWeek Excellence Award за качество аутентификации пользователей. Для защиты основных ресурсов беспроводной сети здесь применяется шифрование высокого уровня в сочетании со специализированным клиентским приложением.
После развертывания этой системы сотрудники организации и доверенные пользователи сохраняют полный доступ к нужным им сетевым ресурсам, тогда как для гостей он ограничивается. Клиенты, посетители и партнеры, скажем, могут свободно выходить в Интернет независимо от установленной беспроводной платы и без сложной процедуры регистрации.
WirelessWall уже находит применение в вооруженных силах, в частности в академии Уэст-Пойнт. А если она хороша для американских военных, то наверняка защитит и бизнес.
Недавно я познакомился с новыми точками беспроводного доступа фирмы SonicWall, которая специализируется на средствах сетевой защиты. У нее другой подход к решению проблемы. Безопасность сетевых ресурсов обеспечивается посредством стандартной технологии VPN, однако для гостей открыта Web-страница, с которой они могут быстро получить доступ в Интернет по стандартным регистрационным параметрам.
Вот и все. Просто, безопасно и, как сами видите, без проводов. Оказывается, это возможно.
Остается решить самую сложную часть задачи - убедить всех своих коллег и начальников в реальности такого замысла. Для этого может потребоваться даже некоторая предварительная подготовка. Пусть клиенты и партнеры компании расскажут о своих неудавшихся попытках подключиться к вашей сети. А потом стоит продемонстрировать возможности понравившейся вам технологии.
Более открытые и при этом безопасные беспроводные ЛВС должны понравиться не только любителям высоких технологий. Времена сейчас такие, что поневоле приходится быть прижимистым, поэтому ваша задача - сделать все возможное, чтобы развернутые ресурсы ИТ использовались наиболее эффективно. Именно это и называется окупаемостью капиталовложений.