V případě využívání mobilních zařízení v podniku se většina lidí spoléhá na WiFi nebo metalickou síť. Zde však nastává velký rozpor, 99,9 procenta chytrých telefonů a tabletů nemá možnost konektivity přes LAN port. A bezdrátově připojení je pro většinu uživatelů s notebookem prostě pohodlnější. WiFi síť však zní stále ještě pro některé administrátory jako sprosté slovo. Mezi velkou částí IT veřejnosti totiž stále panuje mylná představa, že bezdrátové sítě představují mnohem větší bezpečnostní riziko pro firmu, nežli je tomu u metalické sítě, a navíc její správa se podobá noční můře. To může být pravdivé tvrzení, záleží však na tom, jak se taková síť staví. Při projekci je nutné dbát na eliminaci všech bezpečnostních rizik a navrhnout síť a pravidla tak, aby o ní správce pokud možno vůbec nevěděl.

Bezdrátově ano, ale jak?

Bezdrátové technologie jsou již velmi dostupné, není však řešení jako řešení. Podnikovou wireless síť lze postavit o dvaceti přístupových bodech do třiceti tisíc korun, ale i za cenu okolo sto tisíc až čtvrt milionu. Levnější zmíněný přístup počítá s nasazením běžných přístupových bodů (AP) připojených do stávajících switchů LAN infrastruktury. Pokud máte ve stávající LAN volné porty, tak cenu řešení tvoří pouze tyto AP. Na co je však třeba dát si v tomto případě pozor? Obvykle je nutné každé AP nastavit samostatně, a to včetně způsobu autentizace, konfigurace kanálu, na kterém AP vysílá a vyzařovacího výkonu. Vzhledem k tomu, že AP spolu nijak nekomunikují a veškeré nastavení spoléhá na zručnost administrátora, vzniká zvýšené riziko, že čím více AP nasadíte, tím více budou vzájemně interferovat. To je bez užití profesionálních měřicích metod pomalu nevyhnutelné. Další problém může být nerovnoměrné pokrytí. Pro uživatele to vše znamená snížení komfortu, místo práce zkrátka řeší, jestli má dostatečně kvalitní signál či nikoliv. Decentralizovaná konfigurace pro administrátora naopak znamená spoustu repetitivní práce, při které lze udělat mnoho chyb.

Někdo naslouchá uvnitř

A to už vůbec nemluvím o tom, že podobné sítě se velmi často stávají terčem útoků, typu „man in the middle“. Útočník zkrátka podstrčí do firemní sítě své vlastní „pirátské“ AP a nastaví jej tak, aby bylo nenápadné, tedy minimálně zachová název sítě, na kterou jsou uživatelé zvyklí. Když se pak na toto AP někdo připojí, je už pro hackera celkem snadné získat od napadeného veškeré informace, které jsou posílány z počítače klienta ven, včetně e-mailů, přístupových údajů a hesel, což firmu dostává do velmi rizikové situace. Pirátské AP lze odhalit v síti bez centrální správy a monitoringu jen velmi obtížně až náhodně. V momentě, kdy vám na síť útočí někdo ad hoc připojením přímo přes již autentizovaného klienta, se odhalují problémy ještě hůře.

Levně neznamená dobře

Dalším problémem bývá, že podobně levné řešení používá málo výkonných AP z řad pro domácí užití. Na jedno takové AP se vám komfortně připojí nejvíce deset až patnáct uživatelů. V momentě, kdy je AP přetížené, dochází opět k poklesu kvality a stability služeb. S podobným návrhem sítě také vyvstává otázka, jak řešit například změny v okolním prostředí, kdy vám sousední firma začne zasahovat svojí bezdrátovou sítí do té vaší. Nasazení bezdrátových VOIP telefonů je pak z žánru sci-fi, protože při pohybu s telefonem mezi jednotlivými přístupovými body dojde vždy ke krátkému výpadku, který přeruší hovor telefonujícího.
Na výše zmíněné problémy existují v zásadě dvě řešení. Buď ušetříte vstupní náklady a pořídíte levnou bezdrátovou síť bez hromadného managementu i s tím rizikem, že data nejsou zcela v bezpečí, z administrátora se stane silný kuřák pracující čtrnáct hodin denně, který pravděpodobně brzy podlehne záchvatu silné deprese, a přes VOIP telefony si zaměstnanci moc nezavolají, takže hlavní business stojí. Nebo je tu druhá možnost, že si do podnikové sítě pořídíte řešení na bázi wireless switchingu.

Další krok – wireless switching

Jak to celé funguje? Wireless switch v sobě kombinuje dvě zařízení, jedním je L2+ switch s PoE porty, eventuálně 10GbE konektivitou pro uplink, druhá funkce je pak wireless kontrolér. Při zapojení speciálních řiditelných AP do wirelss switche, nebo minimálně do stejné topologie, jsou AP kontrolérem automaticky rozpoznána nebo i napájena, takže stačí pouze ethernetový kabel. Všechna AP se pak konfigurují dávkovým nahráním profilu s nastavením, což je neskutečně rychlé, navíc to minimalizuje možnost chybného nastavení.
Profily mohou být různé. Například v oblastech, kde jsou zasedačky, může fungovat souběžně na jednom AP více bezdrátových sítí, jedna pro hosty, druhá pro zaměstnance, třetí třeba pouze pro bezdrátové VoIP telefony. Hosté tak nemohou na interní zdroje a zaměstnanci mají plný přístup k datům. Telefony lze samozřejmě priorizovat pro bezchybné spojení. Toto je dosažené funkcí multiple SSID. Podobné nastavení při dvaceti AP by bylo v první variantě obtížně dosažitelné. Navíc se kontrolér nestará pouze o distribuci profilů s nastavením.

Automatická adaptace v prostředí

Wireless kontrolér po zapojení celou síť proskenuje a automaticky u všech AP nastaví vyzařovací výkon a kanál, na kterém AP vysílají. Při rozumném rozložení AP v prostoru zajistí konzistentní pokrytí signálem bez interferencí. To si lze koneckonců i ověřit, protože součástí těch lepších zařízení bývá i možnost zanést si AP virtuálně do architektonického výkresu a software kontroléru se postará o vykreslení mapy pokrytí signálem. Nemusíte pak hádat, kde signál je a kde ne, jako v prvním případě, máte úplný přehled a spokojené klienty.
Skenovat síť lze i periodicky, aby switch reagoval úpravou nastavení na případné změny v prostředí, takže síť funguje vždy spolehlivě. Například pokud dojde k výpadku AP z důvodu krádeže, intenzita signálu ostatních AP se zvýší. Bezdrátová síť je tak vybavena tzv. samoléčící schopností.

Kdo se připojuje a za kolik

Dále switche obsahují metody umožňující odhalit a lokalizovat, případně blacklistovat pirátské AP nebo AP ze sousedních sítí, což bývá jednou ze součástí WIDS (wireless intrusion detection system). Další funkcí je identifikace a zamítnutí útoku přes bezdrátovou síť na klienty samotné. Navíc autentizace do sítě může být snadno řešena, buď přes databázi uživatelů uloženou přímo v kontroléru, nebo přes externí RADIUS server, na který může být třeba navázáno i zpoplatnění služeb atd. Toho lze využít na kampusech nebo například v hotelech. Díky WAC, může autentizace proběhnout i přes webový formulář. Samozřejmostí je pak účinné šifrování provozu pro bezpečnost dat.

Nonstop připojen

Funkci, kterou pak jistě ocení větší kanceláře nebo logistická centra, je hladký bezdrátový roaming. Můžete se tedy volně pohybovat v prostoru a váš terminál nebo VoIP telefon se nikdy neodpojí od sítě, a to dokonce, ani pokud vstoupíte během telefonátu do jiné oddělené podsítě. O to se stará L3 roaming. Switche lze také zapojit do logických clusterů, což zajišťuje jednak redundnaci při výpadku jednoho zařízení, a navíc škálovatelnost, což ocení zejména průmyslové a obchodní firmy. Jedním takovýmto systémem lze třeba pokrýt až 256 AP, což může být ekvivalent pro osm tisíc připojených uživatelů, ti jsou navíc kontrolérem rovnoměrně rozdělováni na jednotlivá AP, aby nedocházelo k přetížení sítě.

Bezdrátově bezstarostně

Tento příklad řešení jednoduše ukazuje, že wireless síť umí být velmi sofistikovaná, bezpečná a může odpovídat všem korporátním standardům. Navíc wireless N síť funguje až třikrát rychleji než nyní už zastaralý 100Mbps fast ethernet. Takže je na zvážení jestli nakoupit spoustu switchů, kde bude časem devadesát procent portů neobsazených, nebo rovnou investovat do bezdrátové budoucnosti. Pokud totiž porovnáte cenu metalické a wireless sítě, ta bezdrátová včetně kontroléru bude téměř vždy levnější.

David Rusín
Autor článku působí jako channel sales manager společnosti D-Link.