Проектирование беспроводной сети для управляющей компании "ЭКС"

Важные нюансы:

- При радиообследовании важно использовать именно те точки доступа и антенны (если с внешними антеннами), которые будут использованы на реальной сети,

- При радиообследовании важно выполнять тесты с использованием самого худшего пользовательского устройства (по радио-характеристикам), которое ожидается увидеть и обслуживать на данной сети. Часто это смартфоны или метки RFID.

После завершения радиообследования выполняется:

- Окончательный дизайн Беспроводной сети

- Окончательный дизайн транспортной инфраструктуры

- Окончательный дизайн (или доработки) центрального сайта всей сети

- Анализ и дизайн интеграции разрабатываемого решения с существующими системами

- Рекомендации к будущему развертыванию решения

- Уточняется количество необходимого оборудования и можно переходить к обоснованному заказу.

1.1.2.5 Выводы по разделу

Организации по всему миру развертывают беспроводные сети, чтобы повысить продуктивность сотрудников, создать более благоприятные условия для совместной работы и улучшить качество процессов. Мгновенная связь, текстовый пейджинг, голосовые услуги и доступ к корпоративной сети во время поездок - все эти возможности трансформируют бизнес-среду.

Преимущества Wi-Fi:

Долой провода. За счет отсутствия проводов экономит время и средства на их прокладку и разводку. Сеть можно расширять практически бесконечно, увеличивая количество потребителей и геометрию сети установкой дополнительных точек доступа. В отличие от прокладки проводных сетей, не нужно уродовать стены, потолки и пол кабелями, Долбить стены и сверлить сквозные отверстия. Иногда проводную сеть нельзя построить чисто физически.

Глобальная совместимость. Wi-Fi - это семейство глобальных стандартов (несмотря на некоторые ограничения, существующие в разных странах), поэтому по идее устройство, произведенное в США, должно прекрасно работать в России. И наоборот.

Недостатки Wi-Fi:

Правовой аспект. В различных странах по-разному подходят к использованию частотного диапазона и параметрам передатчиков/приемников беспроводного сигнала стандартов IEEE 802.11. В одних странах, к примеру, требуется регистрация всех Wi-Fi сетей, работающих вне помещений. В других налагается ограничение на используемые частоты или мощность передатчика. В России использование Wi-Fi без разрешения на использование частот от Государственной комиссии по радиочастотам (ГКРЧ) возможно для организации сети внутри зданий, закрытых складских помещений и производственных территорий. Если вы хотите связать радиоканалом два соседних дома, рекомендуется обратиться в вышеупомянутый надзорный орган. За нарушение правил - статьи 13.3 и 13.4 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ).

Стабильность связи. Стандартные домашние Wi-Fi маршрутизаторы распространенных стандартов 802.11b или 802.11g имеют радиус действия порядка 40-50 метров в помещении и до 90 метров снаружи. Некоторые электронные устройства (микроволновые), погодные явления (дождь) ослабляют уровень сигнала. Также расстояние зависит от рабочей частоты и других факторов.

Факторы производства. К сожалению, производители не всегда четко придерживаются стандартов, поэтому некоторые устройства могут работать нестабильно или на меньших скоростях.

1.2 Анализ технологий поддержки безопасности беспроводных сетей

С ростом масштабов использования беспроводных локальных сетей (WLAN) вопросы сетевой безопасности приобретают для предприятий все большее значение. Сетевым администраторам необходимо обеспечить конечным пользователям свободу и мобильность, при этом, не давая взломщикам доступа ни к самой сети WLAN, ни к информации, передаваемой по беспроводной сети [15].

С помощью WLAN данные передаются по воздуху с помощью радиоволн между клиентскими устройствами (или рабочими станциями) и точками доступа - оконечными устройствами WLAN в сети Ethernet, связывающими станции с самой сетью. Таким образом, любое клиентское устройство WLAN в зоне обслуживания точки доступа обменивается данными с точкой доступа.

Поскольку радиоволны проникают сквозь крыши, полы и стены, передаваемые данные могут быть получены не теми, кому они предназначались - на других этажах и даже снаружи здания, обслуживаемого точкой доступа. С появлением WLAN границы у сетей исчезли. Без введения строгой политики безопасности развертывание сети WLAN можно сравнить с повсеместной установкой Ethernet-портов, даже на стоянке автотранспорта.

Сетевым администраторам требуется максимальная уверенность в существовании решений для защиты их сетей WLAN от подобных уязвимостей и в способности сетей WLAN обеспечить уровень безопасности, управляемости и масштабируемости, идентичный предлагаемому проводными локальными сетями [28].

Как и в случае с проводными сетями, никто не может гарантировать абсолютно безопасного сетевого решения, навсегда и полностью предотвращающего вторжения. Обеспечение безопасности - динамический, постоянно идущий процесс, ни в коем случае не статический. Сетевые администраторы и производители решений WLAN должны на шаг опережать взломщиков.

Сетевые администраторы должны также пользоваться имеющимися средствами безопасности WLAN. В 2001 году в статье The Wall Street Journal рассказывалось, как двое хакеров проехали по Силиконовой долине с ноутбуком и усилительной антенной для «вынюхивания» случайных сигналов сетей WLAN. Хакеры смогли уловить сигналы множества компаний, которые попросту не позаботились о включении соответствующих функций защиты WLAN.

Эксперты в вопросах безопасности рекомендуют предприятиям развертывать несколько уровней защиты всей сети для смягчения угрозы вторжения. В качестве дополнительных компонентов системы безопасности могут использоваться межсетевые экраны, системы обнаружения вторжений (IDS), системы предотвращения вторжений (IPS) и виртуальные локальные сети (VLAN). Сетевые администраторы также могут снизить риск за счет продуманного проектирования и развертывания беспроводных сетей - с внедрением проверенных мер безопасности и с применением продуктов и программного обеспечения, разработанного специалистами в области сетевой безопасности.

1.2.1 Wired Equivalent Privacy (WEP)

Технология WEP (Wired Equivalent Privacy) была разработана специально для шифрования потока передаваемых данных в рамках локальной сети. Используется для обеспечения конфиденциальности и защиты передаваемых данных авторизированных пользователей беспроводной сети от прослушивания. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа [6].

Однако в ней используется не самый стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное шифрование. Для усиления защиты часть ключа (от 40 бит в 64-битном шифровании) является статической, а другая часть - динамической, так называемый вектор инициализации (Initialization Vector или IV), меняющейся в процессе работы сети. Данный вектор 24-битный.

Инкапсуляция данных проходит следующим образом. Сначала контрольная сумма от поля «данные» вычисляется по алгоритму CRC32 и добавляется в конец кадра. Затем данные с контрольной суммой шифруются алгоритмом RC4, использующим в качестве ключа криптоалгоритма. Проводится операция XOR (сложение по модулю 2) над исходным текстом и шифротекстом. И, наконец, в начало кадра добавляется вектор инициализации и идентификатор ключа.

Декапсуляция данных проходит так. К используемому ключу добавляется вектор инициализации. Далее происходит расшифрование с ключом, равным сиду. Проводится операция XOR над полученным текстом и шифротекстом. Затем проверяется контрольная сумма.

Основной уязвимостью WEP является то, что вектор инициализации повторяется через определенный промежуток времени (24 бита - около 16 миллионов комбинаций). Взломщику потребуется лишь собрать эти повторы и за секунды взломать остальную часть ключа. После чего он входит в сеть, как обычный зарегистрированный пользователь.

1.2.2 Wi-Fi Protected Access

WPA (Wi-Fi Protected Access) - более стойкий алгоритм шифрования, чем WEP. Высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC [4].

Wi-Fi Alliance дает следующую формулу для определения сути WPA: WPA=802.1X+EAP+TKIP+MIC, где:

- TKIP - протокол интеграции временного ключа (Temporal Key Integrity Protocol) - каждому устройству присваивается изменяемый ключ.

- MIC - технология проверки целостности сообщений (Message Integrity Check) - защищает от перехвата пакетов и их перенаправления. Стандарт TKIP использует автоматически подобранные 128-битные ключи, которые создаются непредсказуемым способом, и общее число их вариаций достигает 500 миллиардов. Сложная иерархическая система алгоритма подбора ключей и динамическая их замена через каждые 10 KB (10 тыс. передаваемых пакетов) делают систему максимально защищенной. MIC использует весьма непростой математический алгоритм, который позволяет сверять отправленные в одной и полученные в другой точке данные. Если замечены изменения и результат сравнения не сходится, такие данные считаются ложными и выбрасываются. Существуют два вида WPA.

- WPA-PSK (Pre-shared key) - для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.

- WPA-802.1x - вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

Видно, что WPA, по сути, является суммой нескольких технологий.

В стандарте WPA используется расширяемый протокол аутентификации (EAP) как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства (иначе называют мандатом), подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена. База зарегистрированных пользователей и система проверки в больших сетях как правило расположены на специальном сервере (чаще всего RADIUS).

Следует отметить, что WPA имеет упрощённый режим. Он получил название Pre-Shared Key (WPA-PSK). При применении режима PSK необходимо ввести один пароль для каждого отдельного узла беспроводной сети (беспроводные маршрутизаторы, точки доступа, мосты, клиентские адаптеры). Если пароли совпадают с записями в базе, пользователь получит разрешение на доступ в сеть.

1.2.3 Wi-Fi Protected Access 2

WPA2 во многом построен на основе предыдущей версии, WPA, использующей элементы IEEE 802.11i. Стандарт предусматривает применение шифрования AES, аутентификации 802.1x, а также защитных спецификаций RSN и CCMP. Как предполагается, WPA2 должен существенно повысить защищенность Wi-Fi-сетей по сравнению с прежними технологиями. По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x [19].

IEEE 802.1x - это новый стандарт, за основу которого взято исправление недостатков технологий безопасности, применяемых в 802.11, в частности возможность взлома WEP, зависимость от технологий производителя и так далее. 802.1x предусматривает подключение к сети даже PDA-устройств, что позволяет более выгодно использовать саму идею беспроводной связи. С другой стороны, 802.1x и 802.11 являются совместимыми стандартами. 802.1x базируется на следующих протоколах:

EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS-сервером в крупных сетях.

TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю. Также появилась новая организация работы клиентов сети. После того как пользователь прошел этап аутентификации, ему высылается секретный ключ в зашифрованном виде на определенное незначительное время - срок действующего на данный момент сеанса. По его завершении генерируется новый ключ и опять высылается пользователю. Протокол защиты транспортного уровня TLS обеспечивает взаимную аутентификацию и целостность передачи данных. Все ключи являются 128-разрядными по умолчанию.

1.2.4 Virtual Private Network

VPN представляет собой объединение отдельных машин или локальных сетей в виртуальной сети, которая обеспечивает целостность и безопасность передаваемых данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные между двумя компьютерами через промежуточную сеть (internetwork), например Internet.

VPN отличается рядом экономических преимуществ по сравнению с другими методами удаленного доступа. Во-первых, пользователи могут обращаться к корпоративной сети, не устанавливая c ней коммутируемое соединение, таким образом, отпадает надобность в использовании модемов. Во-вторых, можно обойтись без выделенных линий [32].

Имея доступ в Интернет, любой пользователь может без проблем подключиться к сети офиса своей фирмы. Следует заметить, что общедоступность данных совсем не означает их незащищенность. Система безопасности VPN - это броня, которая защищает всю корпоративную информацию от несанкционированного доступа. Прежде всего, информация передается в зашифрованном виде. Прочитать полученные данные может лишь обладатель ключа к шифру. Наиболее часто используемым алгоритмом кодирования является Triple DES, который обеспечивает тройное шифрование (168 разрядов) с использованием трех разных ключей.

Подтверждение подлинности включает в себя проверку целостности данных и идентификацию пользователей, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных - MD5 и SHA1. Далее система проверяет, не были ли изменены данные во время движения по сетям, по ошибке или злонамеренно. Таким образом, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями или удаленными пользователями.

Для построения VPN необходимо иметь на обоих концах линии связи программы шифрования исходящего и дешифрования входящего трафиков. Они могут работать как на специализированных аппаратных устройствах, так и на ПК с такими операционными системами как Windows, Linux или NetWare.

Управление доступом, аутентификация и шифрование - важнейшие элементы защищенного соединения.

Туннелирование (tunneling), или инкапсуляция (encapsulation), - это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в сгенерированном узлом-отправителем виде, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Internet). На конце туннеля кадры деинкапсулируются и передаются получателю.

Этот процесс (включающий инкапсуляцию и передачу пакетов) и есть туннелирование. Логический путь передвижения инкапсулированных пакетов в транзитной сети называется туннелем.

VPN работает на основе протокола PPP(Point-to-Point Protocol). Протокол PPP разработан для передачи данных по телефонным линиям и выделенным соединениям `точка-точка`. PPP инкапсулирует пакеты IP, IPX и NetBIOS в кадры PPP и передает их по каналу `точка-точка`. Протокол PPP может использоваться маршрутизаторами, соединенными выделенным каналом, или клиентом и сервером RAS, соединенными удаленным подключением.

Основные компоненты PPP:

- Инкапсуляция - обеспечивает мультиплексирование нескольких транспортных протоколов по одному каналу;

- Протокол LCP - PPP задает гибкий LCP для установки, настройки и проверки канала связи. LCP обеспечивает согласование формата инкапсуляции, размера пакета, параметры установки и разрыва соединения, а также параметры аутентификации. В качестве протоколов аутентификации могут использоваться PAP, CHAP и др.;

- Протоколы управления сетью - предоставляют специфические конфигурационные параметры для соответствующих транспортных протоколов. Например, IPCP протокол управления IP.

Для формирования туннелей VPN используются протоколы PPTP, L2TP, IPsec, IP-IP.

- Протокол PPTP - позволяет инкапсулировать IP-, IPX- и NetBEUI-трафик в заголовки IP для передачи по IP-сети, например Internet.

- Протокол L2TP - позволяет шифровать и передавать IP-трафик с использованием любых протоколов, поддерживающих режим `точка-точка` доставки дейтаграмм. Например, к ним относятся протокол IP, ретрансляция кадров и асинхронный режим передачи (АТМ).

- Протокол IPsec - позволяет шифровать и инкапсулировать полезную информацию протокола IP в заголовки IP для передачи по IP-сетям.

- Протокол IP-IP - IP-дейтаграмма инкапсулируется с помощью дополнительного заголовка IP. Главное назначение IP-IP - туннелирование многоадресного трафика в частях сети, не поддерживающих многоадресную маршрутизацию.

Для технической реализации VPN, кроме стандартного сетевого оборудования, понадобится шлюз VPN, выполняющий все функции по формированию туннелей, защите информации, контролю трафика, а нередко и функции централизованного управления.

1.2.5 IEEE 802.1X-аутентификация и Extensible Authentication Protocol

802.1x - это утвержденный IEEE [3] (Institute of Electrical and Electronics Engineers - Институт инженеров по электротехнике и электронике) стандарт контроля доступа к среде передачи, позволяющий разрешить или запретить доступ к сети, контролировать доступ к виртуальным локальным сетям, применять политики управления трафиком на основе идентификаторов пользователя или машины. Стандарт IEEE 802.1х определяет процесс инкапсуляции данных EAP (Extensible Authentication Protocol - Расширяемый Протокол Аутентификации), передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (точками беспроводного доступа), и серверами проверки подлинности (протокол RADIUS - Remote Authentication in Dial-In User Service).

Стандарт IEEE 802.1x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, который предоставляет ему коммутатор. До того, как компьютер аутентифицировался, он может использовать только протокол EAPOL (Extendible Authentication Protocol over LAN) и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер.

Когда компьютер подключается к порту, коммутатор определяет, разрешен ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты 802.1x. Состояние порта в этом случае «unauthorized». Если клиент успешно проходит проверку, то порт переходит в состояние «authorized». Если коммутатор запрашивает у клиента его ID, а тот не поддерживает 802.1x, порт остается в состоянии «unauthorized». Если же клиент поддерживает 802.1x и инициирует процесс аутентификации методом отправки фрейма EAPOL-start, а коммутатор не поддерживает 802.1x (и, естественно, не отвечает) - клиент просто начинает нормально обмениваться трафиком.

Если же оба поддерживают 802.1x, процесс происходит следующим образом. Аутентификация начинается тогда, когда порт поднимается либо когда получен фрейм EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транслировать фреймы аутентификации между клиентом и сервером аутентификации. Если клиент успешно аутентифицировался (был принят Accept frame с сервера), порт коммутатора переходит в состояние «authorized». Если нет - порт остается в состоянии «unauthorized», но попытка аутентификации может быть повторена. Если сервер не доступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответа от сервера через определенный отрезок времени - аутентификация не проходит.

Когда клиент отключается, он посылает EAPOL-logoff, что переводит порт в состояние «unauthorized».

Рассматривая спецификации 802.1х можно отметить, что, в настоящее время, используя 802.1X возможно развертывание наиболее надежной сетевой среды, используемой в современных сетях. Кроме того особенностями реализуемого протокола является возможность его применения в беспроводных локальных сетях, в отличие от обычных проводных кабельных сетей беспроводные локальные сети нельзя «защитить» стенами и закрытыми дверями, поэтому они более уязвимы к нападениям. Однако полученные хорошие результаты позволяют все чаще применять стандарт 802.1X в кабельных сетях в качестве дополнительной меры защиты.

В рамках исследования были рассмотрены аспекты внедрения протокола IEEE 802.1Х в ЛВС [32]. Целью работы являлся анализ проблем применения технологии IEEE 802.1Х в современных ЛВС и определения путей их решения. Актуальность решения поставленной задачи обусловлена необходимостью контроля подключения персональных устройств к локальным вычислительным сетям. При этом сетевой администратор должен быть уверенным в том, что клиент, запрашивающий доступ к сети, является авторизованным пользователем, а не злоумышленником. Пользователь, в свою очередь, должен иметь гарантию того, что подключается к нужной, а не ложной сети, запущенной хакером для перехвата пользовательской (конфиденциальной) информации.

1.2.6 Вводы по разделу

Существует несколько типов обеспечения безопасности, которые инженеру следует выбирать в зависимости от целей и задач, возлагаемых на сеть.

Открытый доступ

Все продукты для беспроводных локальных сетей, сертифицированные на соответствие спецификациям Wi-Fi, например продукты серии Cisco Aironet, поставляются для работы в режиме открытого доступа с выключенными функциями безопасности. Открытый доступ или отсутствие безопасности могут устраивать и удовлетворять требования общественных хот-спотов, таких как кофейни, университетские городки, аэропорты или другие общественные места, однако для предприятий этот вариант не подходит. Функции безопасности должны быть включены на беспроводных устройствах в процессе их установки. Как упоминалось ранее, некоторые компании не включают функции безопасности сетей WLAN, таким образом, серьезно повышая уровень риска для своих сетей.

Базовая безопасность

Базовая безопасность заключается в использовании идентификаторов сети SSID (Service Set Identifier), открытой аутентификации или аутентификации с использованием общего ключа, статических WEP-ключей и, как вариант, аутентификации по MAC-адресу. С помощью этой комбинации можно настроить элементарные средства управления доступом и конфиденциальностью, однако каждый отдельный элемент такой защиты может быть взломан.

Другая форма доступной на сегодняшний день базовой безопасности - это WPA или WPA2 с использованием общих ключей (Pre-Shared Key, PSK). Общий ключ проверяет пользователей с помощью пароля или кода идентификации (также называемого «фраза-пароль») как на клиентской станции, так и на точке доступа. Клиент может получить доступ к сети только в том случае, если пароль клиента соответствует паролю точки доступа. Общий ключ также предоставляет данные для генерации ключа шифрования, который используется алгоритмами TKIP или AES для каждого пакета передаваемых данных. Являясь более защищенным, чем статический WEP-ключ, общий ключ аналогичен статическому WEP-ключу в том, что хранится на клиентской станции и может быть взломан, если клиентская станция потеряна или украдена. Рекомендуется использовать сильную общую фразу-пароль, включающую разнообразные буквы, цифры и не алфавитно-цифровые символы.

Базовая безопасность сетей WLAN, основанная на комбинации SSID, открытой аутентификации, статических WEP-ключей, MAC-аутентификации и общих ключей WPA/WPA2, является достаточной только для очень небольших компаний или тех, которые не доверяют жизненно важные данные своим сетям WLAN. Всем прочим организациям рекомендуется вкладывать средства в надежные решения безопасности сетей WLAN класса предприятия.

Повышенная безопасность

Повышенный уровень безопасности рекомендуется для тех заказчиков, которым требуется безопасность и защищенность класса предприятия. Она должна состоять из следующих элементов:

- 802.1X для мощной двусторонней аутентификации и динамических ключей шифрования для каждого пользователя и каждой сессии;

- TKIP для расширения шифрования на базе RC4, например, хэширования ключей (для каждого пакета), проверки целостности сообщения (MIC), изменений вектора инициализации (IV) и ротации широковещательных ключей;

- AES для шифрования данных государственного уровня, максимальной защищенности;

- Возможности системы предотвращения сетевых вторжений (Intrusion Prevention System, IPS) и слежения за перемещением абонента - прозрачное представление сети в реальном времени.

Безопасность беспроводных локальных сетей и удаленный доступ

В некоторых случаях предприятиям может потребоваться всеобъемлющая безопасность для защиты бизнес-приложений. Воспользовавшись защищенным удаленным доступом, администраторы могут настроить виртуальную частную сеть (VPN) и позволить мобильным пользователям обмениваться данными с корпоративной сетью из общественных хот-спотов, например, аэропортов, отелей и конференц-залов. При развертывании на предприятии решение повышенной безопасности, такое как, например, Cisco Unified Wireless Network, покрывает все требования к безопасности беспроводных локальных сетей WLAN, в связи с чем использовать виртуальные частные сети в корпоративной сети WLAN становится необязательно. Использование VPN во внутренней сети WLAN может повлиять на производительность сети WLAN, ограничить возможности роуминга и сделать процедуру входа в сеть более сложной для пользователей. Таким образом, дополнительные накладные расходы и ограничения, связанные с наложением VPN-сети на внутреннюю сеть WLAN, не представляются необходимыми.

1.3 Обеспечение услуг мобильным пользователям

Сегодня бизнес переживает революцию глобального масштаба. Ноутбуки с поддержкой технологии Wi-Fi получают все большее распространение, и это обстоятельство способствует популяризации беспроводных корпоративных сетей (WLAN).В отличие от предыдущих технологических скачков, движущей силой которых были эксперты и профессионалы, своим бурным развитием корпоративные сети WLAN обязаны мобильным пользователям, руководителям компаний, которым по долгу службы часто приходится бывать в командировках, беспроводным приложениям и современным сервисам, таким как VoIP поверх Wi-Fi [14].

Бурное распространение корпоративных технологий WLAN радикальным образом меняет стиль бизнес-операций, схемы организации доступа к сети и центров обработки данных, а также методы централизованного управления инфраструктурой ИТ. Возможность подключиться к сети в любое время и в любом месте становится одним из ключевых требований современного бизнеса. Мобильность изменяет способы ведения бизнеса организациями. Взаимодействие в реальном времени, мгновенный обмен сообщениями, текстовый пейджинг, голосовые сервисы, доступ к сети во время поездок и в реальном времени в условиях офиса трансформируют бизнес-среду. В условиях постоянно возрастающей конкуренции компании стремятся найти быстрые ответы на вызовы времени и добиться мгновенных результатов. Сегодня сети WLAN приобретают исключительно важное значение для бизнеса. Конечные пользователи ощущают свободу и гибкость, которые дает им беспроводная связь, а руководители высшего звена постепенно осознают конкурентные преимущества критически важных для бизнеса мобильных приложений. Организации внедряют сети WLAN, чтобы повысить продуктивность сотрудников, создать более благоприятные условия для совместной работы и обеспечить более оперативное реагирование на обращения клиентов [26].

Возросшие потребности в повсеместном подключении к сети ставят новые задачи перед специалистами в области сетевых технологий, которые должны найти способы удовлетворить растущий спрос на сети WLAN в эпоху скромных бюджетов и скудных ресурсов. Специалистам становится ясно, что в отсутствие санкционированной корпоративной беспроводной сети сотрудники пользуются собственными неавторизованными точками доступа, что ставит под угрозу безопасность всей сети в целом.

1.3.1 Типы мобильных устройств

1.3.1.1 Мобильные телефоны

Мобильный телефон - переносное средство связи, предназначенное преимущественно для голосового общения. В настоящее время сотовая связь самая распространенная из всех видов мобильной радиосвязи, поэтому чаще всего мобильным телефоном называют сотовый телефон. В то же время, наряду с сотовыми телефонами, мобильными являются также спутниковые телефоны, радиотелефоны и аппараты магистральной связи [27, 36, 37].

Спумтниковый телефомн - мобильный телефон, передающий информацию напрямую через специальный коммуникационный спутник. В зависимости от оператора связи, областью охвата может быть или вся Земля, или только отдельные регионы. Связано это с тем, что используются либо низколетящие спутники, которые при достаточном количестве покрывают зоной охвата всю Землю, либо спутники на геостационарной орбите, где они не двигаются относительно Земли и не «видят» её полностью.

По размеру спутниковый телефон сравним с обычным мобильным телефоном, выпущенным в 1980х-1990х годах, но обычно имеет дополнительную антенну. Существуют также спутниковые телефоны в стационарном исполнении. Такие телефоны используются для связи в зонах, где отсутствует сотовая связь.

Номера спутниковых телефонов обычно имеют специальный код страны. Так, в системе Inmarsat используются коды с +870 по +874, в Iridium +8816 и +8817.

Радиотелефон - общее название технических средств передачи речевого сигнала по радио.. Рабочая частота аппарата во многом определяет дальность и качество связи. Низкочастотные диапазоны более других насыщены помехами, и дальность связи на них невелика. Высокие частоты характеризуются почти полным отсутствием помех и хорошо излучаются короткими антеннами. Подавляющее число современных радиотелефонов, представленных на рынке, работает в одном из пяти диапазонов: 31-40, 46-49, 240-390, 814-960 и 1880-1900 МГц. Последний диапазон используется в телефонах цифрового стандарта DECT

Сомтовый телефомн - мобильный телефон, предназначенный для работы в сетях сотовой связи; использует радиоприёмопередатчик и традиционную телефонную коммутацию для осуществления телефонной связи на территории зоны покрытия сотовой сети.

В настоящее время сотовая связь - самая распространённая из всех видов мобильной связи, поэтому обычно мобильным телефоном называют именно сотовый телефон, хотя мобильными телефонами помимо сотовых являются также спутниковые телефоны, радиотелефоны и аппараты магистральной связи.

Сотовый телефон - сложное высокотехнологичное электронное устройство, включающее в себя: приёмопередатчик на 2-4 СВЧ-диапазона, специализированный контроллер управления, цветной/монохромный дисплей, интерфейсные устройства, аккумулятор. Большинство трубок имеет свой уникальный номер, т. н. IMEI - международный идентификатор мобильного устройства). IMEI присваивается при производстве сотового телефона и состоит из 15 цифр, записывается в немодифицируемую часть прошивки телефона. Сам этот номер отпечатан на этикетке телефона под аккумулятором, также на коробке (упаковке) от телефона (под штрих-кодом). В большинстве телефонов его также можно узнать, набрав на клавиатуре код *#06#.

Большинство стандартов мобильной связи используют для идентификации абонента SIM-карту. Она представляет собой смарт-карту (пластиковую карточку с запрессованной в неё микросхемой микроконтроллера и памяти) с программным управлением, и также имеет свой уникальный идентификационный номер IMSI (en:International Mobile Subscriber Identity - международный идентификационный номер подвижного абонента) и индивидуальный цифровой пароль. Напряжение питания SIM-карты 3,3 В.

1.3.1.2 Телефоны VoIP

VoIP - Voice over Internet Protocol (протокол передачи голоса поверх протокола Интернет), также называемый IP телефонией, Интернет телефонией и цифровым телефоном - это обмен голосовыми сообщениями по сетям Интернет и любым сетям, основанным на протоколе IP [27].

VoIP-телефон, также известный как SIP-телефон или программный телефон (софтфон), дает возможность пользователю звонить на любой другой софтфон, мобильный или обычный телефон, используя передачу голоса по IP (VoIP). При этом голос передается через Интернет, а не по традиционным телефонным сетям общего пользования ТФОП.

Телефон VoIP может представлять собой простой программный софт фон, или устройство, очень похожее на обычный телефон.

Технология VoIP реализует задачи и решения, которые с помощью технологии PSTN реализовать будет труднее, либо дороже. Например:

- Возможность передавать более одного телефонного звонка в рамках высокоскоростного телефонного подключения. Поэтому технология VoIP используется в качестве простого способа для добавления дополнительной телефонной линии дома или в офисе.

- Свойства, такие как:

· конференция,

· переадресация звонка,

· автоматический перенабор,

· определение номера звонящего,

Предоставляются бесплатно или почти бесплатно, тогда как в традиционных телекоммуникационных компаниях обычно выставляются в счёт.

- Безопасные звонки, со стандартизованным протоколом (такие как SRTP). Большинство трудностей для включения безопасных телефонных соединений по традиционным телефонным линиям, такие как оцифровка сигнала, передача цифрового сигнала, уже решены в рамках технологии VoIP. Необходимо лишь произвести шифрование сигнала и его идентификацию для существующего потока данных.

- Независимость от месторасположения. Нужно только интернет-соединение для подключения к провайдеру VoIP. Например, операторы центра звонков с помощью VoIP-телефонов могут работать из любого офиса, где есть в наличии эффективное быстрое и стабильное интернет-подключение.

- Доступна интеграция с другими сервисами через интернет, включая видеозвонок, обмен сообщениями и данными во время разговора, аудиоконференции, управление адресной книгой и получение информации о том, доступны ли для звонка другие абоненты.

- Дополнительные телефонные свойства - такие как маршрутизация звонка, всплывающие окна, альтернативный GSM-роуминг и внедрение IVR - легче и дешевле внедрить и интегрировать. Тот факт, что телефонный звонок находится в той же самой сети передачи данных, что и персональный компьютер пользователя, открывает путь ко многим новым возможностям.

- Дополнительно: возможность подключения прямых номеров в любой стране мира (DID).

1.3.1.3 Ноутбуки/нетбуки

Ноутбук - портативный персональный компьютер, в корпусе которого объединены типичные компоненты ПК, включая дисплей, клавиатуру и устройство указания (обычно сенсорная панель, или тачпад), карманный компьютер, а также аккумуляторные батареи. Ноутбуки отличаются небольшими размерами и весом, время автономной работы ноутбуков изменяется в пределах от 1 до 15 часов [16].

Портативные компьютеры способны выполнять все те же задачи, что и настольные компьютеры, хотя при равной цене, производительность ноутбука будет существенно ниже. Ноутбуки содержат компоненты, подобные тем, которые установлены в настольных компьютерах и выполняют те же самые функции, но миниатюризированы и оптимизированы для мобильного использования и эффективного расхода энергии.

Также, подключив ноутбук (с ТВ-выходом или разъёмом HDMI) к телевизору и/или аудиосистеме, можно использовать его в качестве мультимедийного домашнего развлекательного центра (мультимедиа-станция). Для этого некоторые из них комплектуются пультами ДУ (напр. HP серии Pavillion).

Преимущества ноутбуков перед настольными ПК:

1. Малый вес и габариты. Даже ноутбуки категории замена настольного ПК можно легко переместить в другое место. Ноутбук можно взять в командировку, на дачу, в отпуск. Перемещение настольного компьютера в другую комнату/кабинет зачастую представляет собой проблему, не говоря уже о перемещении в другой город.

2. Для работы не обязательно подключать внешние устройства. Ноутбук включает в себя встроенные дисплей, клавиатуру и устройство указания (обычно тачпад), а к настольному компьютеру все эти устройства необходимо подключать отдельно.

3. Возможность автономной работы. Наличие аккумулятора позволяет ноутбуку работать в условиях, когда электрическая сеть недоступна (в поезде, самолёте, автомобиле, кафе и просто на улице). Настольный компьютер может работать автономно очень недолгое время и только при наличии источника бесперебойного питания.

4. Возможность подключения к беспроводным сетям. Практически все современные ноутбуки (за исключением некоторых сверхбюджетных моделей) оснащены встроенным Wi-Fi адаптером, что позволяет подключиться к интернету без проводов. Точки доступа Wi-Fi есть во многих кафе, развлекательных центрах, аэропортах, гостиницах. Существуют также городские Wi-Fi сети, позволяющие подключиться к беспроводной сети во многих районах города. Настольные компьютеры обычно не содержат встроенного Wi-Fi адаптера (за исключением некоторых дорогих моделей и большинства неттопов), впрочем, для стационарных компьютеров данный недостаток несущественен.

В сумме все преимущества ноутбуков перед стационарными компьютерами составляют основное качество ноутбуков: мобильность [36].

Недостатки ноутбуков перед настольными ПК:

1. Высокая цена. Пожалуй, самый главный недостаток ноутбуков. Полностью укомплектованный настольный компьютер (в комплекте с монитором, устройствами ввода - клавиатурой и мышкой - и акустической системой) равной с ноутбуком стоимости будет более производительным. Следует заметить, что с постоянным развитием технологий различие в ценах постепенно сокращается и на сегодняшний момент уже не является столь принципиальным.

Низкая максимальная производительность. Компактные размеры ноутбуков предъявляют особые требования к охлаждению, поэтому компоненты используемые в ноутбуках имеют жёсткие ограничения по тепловыделению, а, следовательно, и мощности. Даже мощные игровые ноутбуки и мобильные рабочие станции не могут сравниться с производительными настольными ПК, предназначенными для таких требовательных задач, как компьютерные игры, трёхмерное моделирование и проектирование, рендеринг, инженерные расчёты и т. п. Немногочисленные дескноуты исправить положение не могут, поскольку для них существуют те же ограничения по габаритам и тепловыделению, что и для других ноутбуков. Поэтому в дескноутах устанавливаются не самые производительные настольные процессоры и используются мобильные версии видеокарт.

2. Ограниченность модернизации. В отличие от настольных компьютеров возможность модернизации ноутбуков сильно ограничена. В портативных компьютерах как правило предусмотрена возможность самостоятельной замены ОЗУ и жёсткого диска. Модернизация видеокарты в большинстве ноутбуков не предусмотрена, хотя встречаются модели, позволяющие осуществить и замену графического адаптера. В случае необходимости замены других компонентов, в том числе процессора и дисковода оптических дисков, рекомендуется обращаться к квалифицированным специалистам. В розничной продаже мобильные версии процессоров и видеокарт практически не встречаются.

3. Проблемы совместимости с различными операционными системами. Производители ноутбуков редко осуществляют поддержку семейства операционных систем, отличных от предустановленной на данную модель ноутбука. Кроме того, в ноутбуках часто используются специфические компоненты, поэтому проблемы совместимости с другими ОС возникают значительно чаще, чем для настольных компьютеров.

Недостатки ноутбуков, являющиеся следствием мобильности портативных компьютеров:

1. Качество встроенных компонентов. В отличие от настольных компьютеров, в ноутбук встроены дисплей и устройства ввода (клавиатура и тачпад). Это является несомненным достоинством ноутбуков, но вместе с тем качество и удобство использования встроенных компонентов зачастую невысоки. Клавиатура ноутбуков обычно имеет меньше клавиш, чем настольная (за счёт совмещённого цифрового блока клавиш), а размеры клавиш, особенно у субноутбуков и нетбуков, могут быть очень маленькими и неудобными для некоторых пользователей. Тачпад менее удобен, чем компьютерная мышь. Угол обзора и цветовой охват мониторов ноутбуков невысоки, что делает их практически непригодными для обработки фотографий, размер экрана в большинстве моделей довольно небольшой. Следует отметить, что перечисленные недостатки встроенных элементов вполне закономерны для мобильных устройств, и их можно легко компенсировать подключением внешних компонентов (монитора, клавиатуры, компьютерной мыши), однако это увеличивает конечную стоимость ноутбука и несколько снижает мобильность портативного компьютера.

2. Система охлаждения электронных компонентов ноутбука зачастую не обеспечивает адекватного теплоотвода, а обороты вентиляторов в силу их малых размеров очень высоки, что порождает сильный высокочастотный шум, от которого невозможно избавиться. Микросхемы ноутбуков чаще перегреваются до температур деградации и выходят из строя в особенности если пользователи, пренебрегая этим фактором, располагают включённый ноутбук на подушке. В настольных компьютерах организация адекватного охлаждения обычно не представляет труда, особенно в случае современных корпусов с расположением блока питания снизу.

3. Повышенная вероятность поломки. Мобильность ноутбуков порождает ещё одну проблему, которую тоже иногда заносят в недостатки портативных компьютеров - большая вероятность поломки по сравнению с настольным ПК. Ноутбуки чаще роняют. Существует вероятность сломать дисплей ноутбука при закрытии крышки (если между клавиатурой и дисплеем попадёт посторонний предмет). Если залить клавиатуру ноутбука какой-либо жидкостью, то велика вероятность выхода портативного компьютера из строя (в то время, как в настольном компьютере из строя выйдет только клавиатура). Вместе с тем, вероятность поломки Защищённых ноутбуков обычно гораздо ниже чем у настольных компьютеров и сопоставима с промышленными компьютерами.

4. Сложность ремонта. Компактность компоновки, хрупкость деталей, наличие очень маленьких компонентов сильно затрудняют разборку и ремонт, особенно в неподходящих условиях. Некоторое время назад ремонт ноутбуков был весьма рентабелен; однако сейчас, когда стоимости компонентов и изделий неизбежно падают, а стоимость ручного труда квалифицированного мастера, наоборот, возросла, всё чаще встречаются случаи, когда проще приобрести новое изделие. В противоположность этому, ремонт обычных настольных ЭВМ, как правило, не проблема.

Архитектура ноутбука

Ноутбук по сути своей является полноценным компьютером. Но для обеспечения мобильности, портативности и энергонезависимости все комплектующие имеют своеобразные особенности.

Корпус ноутбука обычно выполнен из высокопрочного пластика. Внутри он покрыт специальной тонкой металлической фольгой для изоляции электронной начинки от воздействия внешних электромагнитных полей. По периметру корпуса иногда вставляется металлический корд, который придаёт дополнительную прочность корпусу. Внутри верхней крышки ноутбука помещено всё, что необходимо для её полноценной работы - непосредственно матрица дисплея, его шлейфы, передающие данные, инвертор для обеспечения работы лампы подсветки и некоторые дополнительные устройства (например: веб-камера, динамики, микрофон, антенны беспроводных модулей Wi-Fi и Bluetooth).

Система охлаждения ноутбука состоит из кулера, который забирает воздух из вентиляционных отверстий на днище ноутбука (именно поэтому ноутбук можно использовать только на твёрдой ровной поверхности, иначе нарушается охлаждение) и продувает его через радиатор, который медным тепловодом на тепловых трубках соединён с процессором (и иногда чипсетом) материнской платы, выдувая его через отверстие в задней или боковой стенке.

В добавление к встроенной клавиатуре ноутбук имеет тачпад и/или pointstick. Также могут подключаться внешние компьютерные манипуляторы типа мышь, дополнительная клавиатура или монитор/телевизор.

Ноутбуки работают как от аккумулятора, так и от сетевого адаптера, который при этом заряжает батарею ноутбука. В современных ноутбуках используются литий-ионные аккумуляторы.

Матрица ноутбука представляет собой полноценный жидкокристаллический дисплей (LCD) с подсветкой ЭЛ-лампами или же светодиодами (LED). В современных ноутбуках применяется два типа покрытия дисплея - матовое и глянцевое. Изображение на экране с глянцевым покрытием получается более контрастное и яркое, однако часто возникают неудобства в работе из-за зеркального эффекта: свет не рассеивается по поверхности экрана и покрытие даёт слишком яркие блики в случае, если за спиной пользователя расположен какой-либо источник света. Матовое покрытие, напротив, делает изображение менее контрастным, но не создаёт бликов.

Процессор ноутбука по внешнему виду и размерам очень похож на процессор настольного компьютера, однако, внутри него реализовано большое количество технологий, снижающих энергопотребление и тепловыделение, например, технология Centrino.

Оперативная память ноутбука благодаря более высокой плотности расположения чипов при меньшем размере (форм-фактор SO-DIMM) имеет характеристики, сравнимые с памятью настольного компьютера, но и стоит несколько дороже.

Жёсткий диск ноутбука, несмотря на маленький размер (благодаря использованию магнитных носителей диаметром 2,5 дюйма), имеет объём, сравнимый с объёмом жёсткого диска для стационарного компьютера. Наиболее распространён интерфейс подключения SATA, однако встречается и устаревший интерфейс IDE, особенно в старых ноутбуках. В субноутбуках довольно широко используются т. н. твёрдотельные жёсткие диски (SSD), разработанные на основе flash-памяти.

Оптический привод (CD/DVD) ноутбука лишён механики, выдвигающей лоток, поэтому его удалось сделать настолько тонким при сохранении всех функций полноценного привода. Большинство современных приводов имеют стандарт DVD-RW, однако в дорогих мультимедийных ноутбуках часто можно встретить привод стандарта Blu-ray.

Клавиатура ноутбука выполнена по специальной технологии и представляет собой несколько слоёв тонкого пластика с контактными площадками, что позволяет уменьшить толщину до нескольких миллиметров.

В качестве указывающего устройства в ноутбуках широко распространён так называемый тачпад - сенсорная панель, реагирующая на прикосновение пальца.

Нетбук - компактный ноутбук с относительно невысокой производительностью, предназначенный в основном для выхода в Интернет и работы с офисными приложениями. Обладает небольшой диагональю экрана 7 -12 дюймов, низким энергопотреблением, относительно невысокой стоимостью и небольшим весом [38].

По габаритам и функциональности нетбуки занимают промежуточное положение между мобильными интернет-устройствами (MID) и Handheld PC «снизу» и субноутбуками «сверху». От UMPC нетбуки отличаются компоновкой и, как правило, использованием обычных экранов, нечувствительных к касанию. Этот момент является спорным, некоторые производители и эксперты относят нетбуки и субноутбуки к классу UMPC.

Для большинства пользователей наиболее очевидными отличиями от ноутбуков будут: меньшие габариты, отсутствие оптического привода (практически всегда) и наличие веб-камеры с микрофоном.

В нетбуках используются экономичные процессоры (ULV) и наборы системной логики. Почти все нетбуки снабжены модулями беспроводных сетей Wi-Fi, некоторые - WiMAX, часто есть интерфейс Bluetooth. Обычно имеется мультиформатный (MS Pro, SD/MMC, XD-Picture Card) кардридер. За редким исключением (например Kohjinsha EX6, ASUS Eee PC 1004DN и в какой-то мере HP Pavilion dv2) оптические приводы отсутствуют.

Для данной категории устройств корпорацией Intel были разработаны специальные процессоры Intel Atom, которые применяются в большинстве нетбуков. Также компания AMD разработала платформу AMD Brazos из серии Fusion специально для применения в мобильных компьютерах, включая нетбуки. Кроме Intel Atom и AMD Fusion в нетбуках находят применение процессоры Intel Celeron M ULV (Asus EeePC 701 4G, Asus EeePc 900, Asus EeePc 1000 HD), VIA C7-M (HP 2133 Mini-Note), VIA Nano, AMD Geode (Roverbook NEO U800), а также Athlon Neo (Packard Bell DOT M/A).

Существуют модели нетбуков с сенсорными экранами, например, Lenovo S10-3T, ASUS EEE PC T91MT, ASUS EEE PC T101MT, Medion Akoya Mini 1315.

1.3.1.4 Планшетные ПК

Планшетный персональный компьютер (планшетный ПК, tablet PC) - полноразмерный ноутбук, относящийся к классу ПК, оборудованный сенсорным экраном и позволяющий работать при помощи стилуса или пальцев, как с использованием, так и без использования клавиатуры и мыши.

Данная разновидность персональных компьютеров - планшетный ПК (или tablet PC) появилась в широкой продаже после презентации аппаратно-программной платформы Microsoft Tablet PC, разработанной компанией Microsoft и представленной 7 ноября 2002 года. До этого времени устройства такого типа использовались на более узких рынках - на производстве, в медицине и госучреждениях. Планшетные ПК и сегодня широко используются в госучреждениях и корпоративной среде.

Главная отличительная особенность данного семейства ПК - это аппаратная совместимость с IBM PC-компьютерами и установленные на них полноценные операционные системы используемые на настольных компьютерах и ноутбуках, такие как:

1. семейство Microsoft Windows NT (Windows XP Tablet PC Edition, Windows 7, Windows 8);

2. Apple Mac OS X;

3. Linux (полная настольная сборка одного из вариантов этой ОС).

Установленная настольная ОС предоставляет пользователю возможность использовать без ограничений всю широту программного обеспечения доступного на настольном компьютере.

Подавляющее большинство планшетных ПК работают под управлением операционных систем семейства Microsoft Windows NT (Windows XP Tablet PC Edition, Windows 7). Но при этом существуют планшетные ПК под управлением ОС Apple Mac OS X[1] (например Axiotron Modbook) и различных вариантов Linux.

Пользователь может вводить текст, используя встроенную программу распознавания рукописного ввода, экранную (виртуальную) клавиатуру, распознавание речи, либо физическую клавиатуру.