Проектирование беспроводной сети для управляющей компании "ЭКС"

2.2.5.4.1 Поддержка WPA и WPA2

Cisco Unified Wireless Network включает поддержку сертифицированных Альянсом Wi-Fi механизмов WPA и WPA2. WPA был представлен Wi-Fi Alliance в 2003 году. WPA2 был представлен Wi-Fi Alliance в 2004 году. Все продукты, сертифицированные Wi-Fi на соответствие требованиям WPA2, обязательно могут взаимодействовать с продуктами, сертифицированными Wi-Fi на соответствие требованиям WPA.

WPA и WPA2 предоставляют конечным пользователям и сетевым администраторам высокий уровень уверенности в том, что их данные останутся конфиденциальными, а доступ к их сетям будет предоставляться только санкционированным пользователям. Оба стандарта обладают персональным и корпоративным режимами работы, отвечающими отдельным требованиям этих двух сегментов рынка. Корпоративный режим использует для аутентификации IEEE 802.1X и EAP. Персональный режим каждого использует для аутентификации общие ключи (PSK). Cisco не рекомендует применять персональный режим при развертывании коммерческих или государственных решений по причине использования общих PSK-ключей при аутентификации пользователей. PSK-ключи не считаются достаточно надежной мерой для внедрения на предприятии [3].

WPA позволяет закрыть все известные уязвимости WEP исходного стандарта безопасности IEEE 802.11 и представляет собой быстрое решение для обеспечения безопасности сетей WLAN как для предприятий, так и для небольших компаний или домашних систем. WPA использует алгоритм шифрования TKIP.

WPA2 - это следующее поколение безопасности Wi-Fi. WPA2 представляет собой предложенный Wi-Fi Alliance вариант ратифицированного стандарта IEEE 802.11i. В его состав входит рекомендованный Национальным институтом стандартов и технологий (NIST) алгоритм шифрования AES, использующий протокол CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). WPA2 обеспечивает соответствие требованиям правительственного стандарта FIPS 140-2 (Таблица 3. Сравнение типов режимов WPA и WPA2).

Таблица 3. Сравнение типов режимов WPA и WPA2

2.2.5.4.2 IEEE 802.1X-аутентификация и протокол EAP (Extensible Authentication Protocol)

IEEE приняла 802.1X в качестве стандарта аутентификации для проводных и беспроводных сетей. 802.1X поддерживается как корпоративным режимом WPA, так и корпоративным режимом WPA2. 802.1X предоставляет сетям WLAN средства мощной двусторонней аутентификации между клиентом и сервером аутентификации. В дополнение к этому, 802.1X предоставляет динамические ключи шифрования для каждого пользователя и каждой сессии, избавляя таким образом администраторов от необходимости обслуживания ненадежных статических ключей шифрования.

Средствами 802.1X конфиденциальная информация, используемая для аутентификации, такая как пароли для входа, никогда не передается в открытом виде без шифрования по беспроводным сетям. В то время как типы аутентификации 802.1X обеспечивают мощную аутентификацию для беспроводных локальных сетей, алгоритмы TKIP и AES необходимы для шифрования дополнительно к 802.1X, поскольку стандартное WEP-шифрование стандарта 802.11 обладает рядом уязвимостей перед сетевыми атаками [7, 34].

Существует несколько типов 802.1X-аутентификации, предоставляющих различные подходы к аутентификации, однако, опирающихся на единую структуру и протокол EAP с целью обеспечения передачи данных между клиентом и точкой доступа. Продукты Cisco Aironet поддерживают больше типов 802.1X EAP-аутентификации, чем любые другие продукты для работы с сетями WLAN. Поддерживаемые типы включают следующие: Cisco LEAP, EAP-Flexible Authentication via Secure Tunneling (EAP-FAST), EAP-Transport Layer Security (EAP-TLS), Protected Extensible Authentication Protocol (PEAP), EAP-Tunneled TLS (EAP-TTLS) и EAP-Subscriber Identity Module (EAP-SIM).

Cisco рекомендует провести анализ собственных сетей и систем безопасности для выбора наиболее подходящего типа EAP-аутентификации для развертывания 802.1X.

При выборе типа EAP следует обращать внимание на тип механизма обеспечения безопасности, используемый для передачи данных для аутентификации, базу данных аутентификации пользователей, используемые клиентами операционные системы, доступные клиентам способы обращения, тип необходимого входа пользователей в сеть, а также наличие серверов RADIUS или AAA.

У каждого из типов EAP имеются как свои преимущества, так и свои недостатки.

Разница между уровнями безопасности зависит от типа управляемости EAP, поддерживаемых операционных систем, поддерживаемых клиентских устройств, преимуществ клиентского программного обеспечения и передачи аутентификационных данных, требований сертификации, простоты использования и поддержки устройств инфраструктурой WLAN. Кроме того, возможно применение нескольких типов EAP в рамках сети - для поддержки специфического типа аутентификации, клиентского устройства или потребностей конечных пользователей.

Для аутентификации по 802.1X может быть использован широкий ассортимент серверов RADIUS, таких как Cisco Secure Access Control Server (ACS) и Cisco CNS Access Registrar, а также AAA RADIUS-серверы сторонних производителей, например, Interlink Networks (AAA RADIUS).

Применение одного из типов 802.1X-аутентификации, позволяющего аутентифицировать клиентскую станцию с помощью вводимых пользователем данных, а не физических атрибутов клиентского устройства, дает возможность понизить риск, связанный с потерей устройства или его сетевой карты WLAN. 802.1X предоставляет и другие преимущества, включая снижение опасности появления «посредника» («man-in-the-middle») при аутентификации, централизованное управление шифрованием ключей с ротацией ключей на базе установленной политики, а также защита от атак, осуществляемых методом перебора ключей (brute-force), что показано на Рисунке 5.

Размещено на http://www.allbest.ru/

Другим преимуществом 802.1X-аутентификации является централизованное управление группами пользователей сетей WLAN, включающее ротацию ключей на базе политик, динамическое распределение ключей, динамическое назначение VLAN и запрет SSID. Эти функции осуществляют ротацию ключей шифрования. Они также позволяют назначить пользователям определенные VLAN-сети для гарантии того, что пользователи имеют доступ только к определенным ресурсам [2].

После удачного проведения двусторонней аутентификации и клиент, и RADIUS-сервер генерируют одинаковые ключи шифрования, использующиеся для шифрования всех передаваемых данных. По защищенному каналу проводной локальной сети RADIUS-сервер посылает этот ключ автономной точке доступа или беспроводному контроллеру локальной сети, которые сохраняют его для клиента. В результате мы имеем ключи шифрования для каждого пользователя и каждой сессии, а продолжительность сессии определяется политикой, определенной на RADIUS-сервере. При истечении сессии или переходе клиента с одной точки доступа на другую происходит процесс повторной аутентификации, в результате которой генерируется новый ключ сессии. Повторная аутентификация проходит незаметно для пользователя.

Параметры имени/идентификатора VLAN и параметры SSID передаются на автономную точку доступа или контроллер беспроводной локальной сети вместе с ключами шифрования и таймером повторной аутентификации. После получения автономной точкой доступа или контроллером беспроводной локальной сети имени/идентификатора VLAN, назначаемого для указанного пользователя, он указывает данного пользователя в метке указанного имени/идентификатора VLAN. В случае, если точке доступа или контроллеру также передается список разрешенных SSID, точка доступа или контроллер пытаются обеспечить данного пользователя действительным SSID для доступа к сети WLAN. Если пользователь предоставляет SSID, не указанный в списке разрешенных SSID, точка доступа или контроллер беспроводной локальной сети удаляет ассоциацию с пользователем из сети WLAN.

Традиционные схемы WLAN на основе статических ключей шифрования легко поддаются взлому сетевыми атаками, осуществляемыми методом перебора ключей (brute-force). Атака, осуществляемая методом перебора ключей, представляет собой попытку взломщика получить ключ шифрования путем перебора, по одному значению за единицу времени. Для взлома стандартной 128-битной WEP-защиты потребуется перебрать максимум 2104 разных ключей. Использование динамических ключей шифрования стандарта 802.1X, получаемых каждым пользователем для каждой сессии, делает атаку методом перебора ключей хоть и теоретически возможной, но крайне сложной для проведения и практически бесполезной.

2.2.5.4.3 WPA-шифрование - Temporal Key Integrity Protocol, протокол целостности временных ключей

Cisco Unified Wireless Network поддерживает протокол TKIP, одну из составляющих WPA и стандарта IEEE 802.11i. TKIP представляет собой следующее поколение стандарта обеспечения безопасности WEP. Как и WEP, TKIP использует метод шифрования, разработанный инженером Роном Райвестом и известный как алгоритм шифрования Ron's Code 4 (RC4). Однако TKIP улучшает WEP за счет ликвидации известных уязвимостей WEP и добавления таких функций, как хэширование ключа каждого пакета, MIC и ротация широковещательных ключей [9].

TKIP реализует RC4-кодирование потока 128-битными ключами для шифрования и 64-битными ключами для аутентификации. За счет шифрования данных ключом, который может быть использован только предписанным пользователем этих данных, TKIP позволяет гарантировать получение передаваемых данных в открытом виде только теми, для кого они предназначены. Шифрование TKIP приводит к 280 триллионам возможных комбинаций ключей для каждого отдельного пакета данных.

В рамках Cisco Unified Wireless Network реализованы алгоритмы Cisco TKIP и WPA TKIP для автономных точек доступа Cisco Aironet, устройств Cisco Aironet и совместимых с Cisco клиентских устройств для работы с беспроводной локальной сетью. Несмотря на то, что Cisco TKIP и WPA TKIP не могут взаимодействовать друг с другом, автономные точки доступа серии Cisco Aironet могут работать одновременно в этих режимах при использовании нескольких VLAN. Системным администраторам требуется выбрать один набор TKIP-алгоритмов для активации на клиентских устройствах предприятия, поскольку клиенты не могут поддерживать оба набора TKIP-алгоритмов одновременно. Cisco рекомендует по возможности использовать для клиентских устройств и точек доступа алгоритм WPA TKIP. Контроллеры беспроводной локальной сети Cisco и простые точки доступа Cisco Aironet поддерживают только WPA TKIP.

При использовании WEP-ключа для (де-)шифрования передаваемых данных каждый пакет включает вектор инициализации (IV), представляющий собой 24-битное поле, меняющееся с каждым пакетом. Алгоритм обновления ключей TKIP RC4 генерирует вектор на базе основного WEP-ключа. Уязвимость в реализации WEP-алгоритма RC4 позволяет создавать «слабые» векторы, дающие возможность взлома основного ключа. С помощью таких инструментов, как AirSnort, взломщик может воспользоваться данной уязвимостью путем сбора пакетов, зашифрованных одним ключом и подстановки слабых векторов инициализации для нахождения основного ключа.

TKIP содержит средства хэширования ключей, или создание ключей для каждого пакета, в целях снижения риска атак с использованием слабых векторов инициализации. При внедрении поддержки хэширования ключей как на точке доступа, так и на всех ассоциированных клиентских устройствах, отправитель данных хэширует базовый ключ с помощью вектора инициализации для создания нового ключа для каждого пакета. Обеспечивая шифрование каждого пакета своим ключом, хэширование ключа снимает вероятность определения WEP-ключа с помощью уязвимости векторов инициализации

При использовании WEP-ключа для (де-)шифрования передаваемых данных каждый пакет включает вектор инициализации (IV), представляющий собой 24-битное поле, меняющееся с каждым пакетом. Алгоритм обновления ключей TKIP RC4 генерирует вектор на базе основного WEP-ключа. Уязвимость в реализации WEP-алгоритма RC4 позволяет создавать "слабые" векторы, дающие возможность взлома основного ключа. С помощью таких инструментов, как AirSnort, взломщик может воспользоваться данной уязвимостью путем сбора пакетов, зашифрованных одним ключом и подстановки слабых векторов инициализации для нахождения основного ключа.

TKIP содержит средства хэширования ключей, или создание ключей для каждого пакета, в целях снижения риска атак с использованием слабых векторов инициализации. При внедрении поддержки хэширования ключей как на точке доступа, так и на всех ассоциированных клиентских устройствах, отправитель данных хэширует базовый ключ с помощью вектора инициализации для создания нового ключа для каждого пакета. Обеспечивая шифрование каждого пакета своим ключом, хэширование ключа снимает вероятность определения WEP-ключа с помощью уязвимости векторов инициализации (Рисунок 6).

Размещено на http://www.allbest.ru/

Использование MIC позволяет избежать активных сетевых атак, нацеленных на поиск ключа шифрования, применяемого для шифрования перехваченных пакетов. Активные атаки являются комбинацией атаки методом «жонглирования битами» и взлома защиты путем замещения оригинала. При внедрении MIC как на точке доступа, так и на всех ассоциированных клиентских устройствах отправитель пакета данных добавляет несколько байт (для проверки целостности сообщения) к пакету перед его шифрованием и отправкой. При получении пакета получатель дешифрует его и проверяет байты MIC. Если байты MIC пакета соответствуют расчетным данным (рассчитываемым из функции MIC), получатель принимает пакет; в противном случае получатель уничтожает пакет.

С помощью MIC становится возможным отбрасывать пакеты, измененные злоумышленниками. Взломщики не могут воспользоваться ни атакой методом «жонглирования битами», ни активным взломом защиты путем замещения оригинала для обмана сети с целью аутентификации, поскольку продукты Cisco Aironet оснащены MIC-защитой и способны идентифицировать и уничтожать измененные пакеты.

TKIP позволяет сетевым администраторам осуществлять ротацию как присвоенных конкретному устройству, так и широковещательных ключей, используемых для шифрования широковещательных и мультивещательных сообщений. Сетевые администраторы могут конфигурировать политики ротации широковещательных ключей для точек доступа. Поскольку статический широковещательный ключ подвержен тем же атакам, что и присвоенные конкретному устройству или статические WEP-ключи, поддерживается ротация значений ключа для широковещательных ключей, позволяющая закрыть эту уязвимость.

2.2.5.4.4 WPA2-шифрование - Advanced Encryption Standard, улучшенный стандарт шифрования

Cisco Unified Wireless Network поддерживает WPA2, использующий в целях обеспечения конфиденциальности и целостности данных алгоритм шифрования AES. AES - алгоритм шифрования, используемый в качестве альтернативы стандарту RC4 протоколов TKIP и WEP. AES не подвержен известным атакам и предлагает более высокий уровень шифрования, чем TKIP и WEP. AES - крайне защищенный криптографический алгоритм - текущие исследования показывают, что для взлома AES-ключа требуется 2^120 операций, и это выше современных возможностей.

AES представляет собой алгоритм блочного кодирования, который является одним из методов кодирования симметричным ключом, использующим один и тот же ключ как для шифрования, так и для дешифрования. Алгоритм использует группы бит фиксированной длины, называемые блоками. В отличие от WEP, использующего поток ключей для шифрования входного потока текстовых данных, AES шифрует биты в блоках текста, которые рассчитываются независимо друг от друга. Стандарт AES определяет размер блока AES, равный 128 битам, и позволяет выбрать один из трех вариантов длины ключа - 128, 192 и 256 бит. Ключи длиной 128 бит используются для WPA2/802.11i. Один цикл алгоритма WPA2/802.11i AES включает в себя до четырех проходов шифрования. Для алгоритма WPA2/802.11i каждый цикл повторяется десятикратно [4].

Для обеспечения как конфиденциальности данных, так и подлинности с алгоритмом AES используется новый режим сборки данных, называемый Counter-Mode/CBC-Mac (CCM). CCM использует AES в режиме счетчика (Counter mode, CTR) для обеспечения конфиденциальности данных, а AES использует Cipher Block Chaining Message Authentication Code (CBC-MAC) для обеспечения целостности данных. Данный тип конструкции, использующий один ключ для двух режимов (CTR и CBC-MAC) является «новой» конструкцией, одобренной NIST (специальная публикация 800-38C) и сообществом формирования стандартов (IETF RFC-3610) [9].

Для CCM применяется 48-битный вектор инициализации. Как и TKIP, AES использует вектор инициализации способом, отличным от методов шифрования WEP. Для CCM вектор инициализации используется в качестве входных данных для процессов шифрования и дешифрования с целью снижения атак путем замещения оригинала. Также, по причине вектора инициализации, расширенного до 48 бит, время, требующееся для коллизии вектора инициализации, увеличивается экспоненциально, обеспечивая более высокий уровень защиты данных.

Рекомендуется использовать аппаратные возможности (де-) шифрования по алгоритму AES в связи с повышенной вычислительной нагрузкой, вызванной обработкой AES. Беспроводные продукты Cisco используют аппаратное шифрование по алгоритму AES. Шифрование по алгоритму AES программными средствами для нескольких клиентов одновременно приводит к повышенным требованиям к аппаратному обеспечению, например, наличия процессора уровня Pentium 2,5 ГГц для ноутбука. Если точка доступа выполняет (де-)шифрование по алгоритму AES программными средствами и обслуживает множество подключенных клиентов, скорее всего, точка доступа столкнется с падением производительности - особенно, если точка доступа не оборудована мощным процессором и большим объемом оперативной и постоянной памяти.

2.2.5.5 Развертывание WPA и WPA2

Cisco рекомендует заказчикам использовать WPA2 для клиентских устройств, предоставляющих поддержку WPA2. Несмотря на то, что WPA до сих пор считается надежным методом, а TKIP до сих пор не был взломан, Cisco рекомендует заказчикам по возможности переходить на WPA2. Поскольку WPA2 требует внесения конфигурационных изменений как для точки доступа, так и для клиентских устройств, развертывание WPA2 должно планироваться заранее. Рекомендуется переводить на новый алгоритм по возможности большее количество клиентских устройств и точек доступа одновременно для минимизации простоев сети. Удобным временем для развертывания WPA2 являются периоды развертывания, обновления и расширения беспроводной сети [26].

С целью упрощения перехода на WPA и WPA2 автономные точки доступа Cisco Aironet поддерживают как режим WPA-миграции (WPA Migration Mode), так и смешанный режим WPA2 (WPA2 Mixed Mode). Режим WPA-миграции - это автономная настройка точки доступа, определенная Cisco и позволяющая как WPA-, так и не WPA-клиентам ассоциироваться с точкой доступа с использованием одного и того же идентификатора SSID. Режим WPA-миграции должен быть использован в качестве временной переходной меры по причине аутентификации WEP-клиентов и, соответственно, пониженного уровня безопасности. Смешанный режим WPA2 позволяет WPA- и WPA2-клиентам сосуществовать на общем SSID. Смешанный режим WPA2 является сертифицированной Wi-Fi функцией. Смешанный режим WPA2 считается надежным, т.к. использует для шифрования как TKIP, так и AES.

Специализированные клиентские устройства WLAN могут не поддерживать AES и не поддерживать возможность обновления до AES (и WPA2). По этой причине Cisco рекомендует предприятиям продолжать использовать и развертывать WPA для таких устройств, если это уместно. Все сети должны обеспечивать как минимум WPA-защиту.

2.2.5.5.1 Защита от сетевых атак

Для взлома сетей WLAN может быть использовано множество различных атак. Как WPA, так и WPA2 защищают сеть от множества сетевых атак при использовании 802.1X, типов EAP, TKIP или AES (Риунок. 7. Новые обновления безопасности снижают риск сетевых атак).

Риунок. 7. Новые обновления безопасности снижают риск сетевых атак

2.2.5.5.2 Система предотвращения вторжений для сетей WLAN

Возможность обнаружения несанкционированных точек доступа, неассоциированных клиентских устройств и временных сетей без точек доступа (ad-hoc) имеет исключительное значение для обеспечения безопасности сети WLAN. Такие события создают потенциальные уязвимости в безопасности и незащищенные подключения по WLAN, подвергающие риску всю сеть. Несанкционированные (или неавторизованные) точки доступа устанавливаются сотрудниками или злоумышленниками. Неассоциированные клиентские устройства устанавливаются или сотрудниками при поиске точки доступа к WLAN, или несанкционированными взломщиками, проверяющими сеть на уязвимости. Временные сети без точек доступа (ad-hoc) - это компьютеры или устройства, подключающиеся по 802.11a/b/g непосредственно между собой, а не через разрешенную сеть WLAN [32].

С помощью Cisco Unified Wireless Network ИТ-менеджеры могут легко и автоматически обнаруживать, определять местоположение и снижать риск от несанкционированных точек доступа. Тщательное определение несанкционированных устройств обеспечивает повышенную защиту сети WLAN, т.к. определяет круг разрешенных клиентских станций и связывает их только с доверенными точками доступа. В дополнение к этому, ИТ-менеджеры могут использовать устройство Cisco для беспроводного определения местоположения (Cisco Wireless Location Appliance), позволяющее сформировать инфраструктуру безопасности с учетом местоположения - что еще больше повышает уровень безопасности WLAN.

Посредством Cisco Wireless Location Appliance, ИТ-сотрудники могут легко просматривать тревожные сообщения об угрозах безопасности или перемещениях объектов благодаря подробной информации и статистике расположения устройств. С их помощью можно изолировать беспроводных взломщиков, получить данные для решения проблемы, а также упростить управление устройствами. Например, можно извлечь из клиентских устройств данные для дальнейших действий - последние события и информацию о физическом расположении, где пользователи были и когда, анализ клиентского трафика, а также IP-адрес, имя пользователя, MAC-адрес, SSID и подробности об ассоциированной точке доступа. Данная функция также предоставляет богатый источник аудиторской информации, которую ИТ-сотрудники могут архивировать и просматривать в течение 30 дней или дольше с легко экспортируемыми файлами журналов.

2.2.5.5.3 NAC для сетей WLAN

Протокол NAC представляет собой совокупность технологий и решений, в основе которых лежит отраслевая инициатива, предложенная компанией Cisco Systems®. NAC использует возможности сетевой инфраструктуры для проверки соответствия политике безопасности всех устройств, пытающихся получить доступ к вычислительным ресурсам сети. Это позволяет ограничить ущерб от разнообразных угроз безопасности, таких как вирусы, черви и шпионское программное обеспечение. Заказчики, использующие систему NAC, могут предоставить возможность доступа к сети только удовлетворяющим условиям политики безопасности и доверенным оконечным устройствам и заблокировать доступ для всех остальных устройств. NAC, являющаяся частью решения Cisco Self-Defending Network, - это стратегия, позволяющая значительно повысить возможности сети в плане автоматического выявления и предотвращения угроз безопасности, а также адаптации к ним.

Cisco предлагает два варианта подхода к реализации NAC: NAC Appliance и NAC Framework. Наличие альтернативного выбора позволяет удовлетворить функциональные и эксплуатационные требования любой организации, независимо от того, проповедует ли она простую политику безопасности или нуждается в поддержке сложной системы безопасности, включающей в себя решения различных производителей и корпоративные средства контроля за настольными пользовательскими системами [2].

И решение NAC Appliance, и концепция NAC Framework обеспечивают защиту от угроз безопасности WLAN посредством проверки на предмет соответствия политикам безопасности устройств, используемых клиентами WLAN для подключения к сети. Эти решения переводят в режим карантина клиентов WLAN, не отвечающих требованиям политик безопасности, и применяют к ним сервисы "излечения" для того, чтобы в итоге обеспечить соответствие требованиям. Оба решения полностью совместимы с решением Cisco Unified Wireless Network. Дополнительную информацию о NAC для сетей WLAN можно получить в обзоре Cisco Network Admission Control for Wireless LANs Solution Overview.

2.2.5.5.4 Возможность автономной работы удаленных объектов при выходе из строя WAN-соединения

Автономные точки доступа Cisco Aironet поддерживают возможность автономной работы удаленных объектов. Эта возможность реализуется службой локальной аутентификации автономных точек доступа IEEE 802.1X. С помощью службы локальной аутентификации IEEE 802.1X автономные точки доступа Cisco Aironet конфигурируются для работы в качестве сервера локальной аутентификации для аутентификации беспроводных клиентов в то время, пока сервер AAA не доступен. Эта функция предоставляет защищенные услуги аутентификации для сетей WLAN удаленных офисов или филиалов, не оборудованных сервером RADIUS и службами резервной аутентификации, для доступа к локальным ресурсам, например, файл-серверам или принтерам при выходе из строя соединения распределенной сети (WAN) или сервера.

2.2.6 Выводы по разделу

С помощью правильно настроенных и активированных функций безопасности Cisco Unified Wireless Network сетевые администраторы могут быть уверены в конфиденциальности и безопасности корпоративных данных. Это решение предоставляет сетевым администраторам тот же уровень защищенности, масштабируемости, надежности, удобства эксплуатации и управления, который они привыкли ожидать от действующих проводных локальных сетей. Cisco Unified Wireless Network полностью интегрируется в Cisco Self-Defending Network, NAC и позволяет сетевым администраторам обеспечить своим пользователям свободу и мобильность без ущерба для сетевой безопасности.

Продукты семейства Cisco Aironet, включающие в себя как автономные, так и компактные точки доступа, легко интегрируется в существующую сеть. Мобильность, простота установки и гибкость этой серии делают ее лучшим решением для организации защищенных беспроводных сетей. Помощь в развертывании предоставляется в рамках решений Cisco Total Implementation Solutions (TIS) и службой технической поддержки по программе Cisco SMARTnet.

2.3 Выбор аппаратных средств для реализации предложенного технического решения

2.3.1 Cisco 2500 Series Wireless Controller

Cisco 2500 Series Wireless Controller позволяет обеспечить общесистемные функции беспроводной связи в малых, средних предприятий и филиалах. Предназначен для предоставления связи по протоколу 802.11n. Cisco 2500 Series - беспроводные контроллеры начального уровня, контроллеры, которые обеспечивают связь в режиме реального времени между точками доступа Cisco Aironet для упрощения развертывания и эксплуатации беспроводной сети.

В качестве компонента унифицированной беспроводной сети Cisco, этот контроллер обеспечивает централизованные политики безопасности беспроводных систем, предотвращая нежелательные вторженияв сеть. Отмечен наградами Российской Федерации управления и качества обслуживания (QoS) для передачи голоса и видео. Предоставлет возможность настройки и масшабирования 802.11n, серия Cisco 2500 обеспечивает низкую совокупную стоимость оборудования и гибкость при расширении сети в условиях повышения требований к сети.

Cisco 2500 Series Wireless Controller обеспечивает лицензированную поддержку 5, 15, 25 или 50 точек доступа. Поддержка дополнительных точек доступа осуществляется с шагом в 5 или 25 точек.

2.3.2 Cisco Aironet 600 Series OfficeExtend Access Points Data Sheet

Точки доступа Cisco Aironet 600 Series OfficeExtend Access Points работают по спецификациям 802.11n в двух диапазонах: 2,4 и 5 ГГц, выбирая из них тот, который меньше загружен. Точки доступа различают корпоративные и частные идентификаторы SSID, что позволяет отделять корпоративный трафик от личного (личный трафик надомного работника направляется прямо в Интернет, не загружая корпоративные контроллеры). Новые модели имеют четыре интегрированных порта Ethernet для подключения IP-телефонов, принтеров и других сетевых устройств.

2.4 Расчет характеристик проектируемой беспроводной сети