PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : راهكار امنيتي شبكه‌هاي بي‌سيم شركت استارو با استفاده از نقاط دسترسي ap10 و ap30



AMINKARIMIR
04-06-2013, 14:39
هر گاه سخن از شبكه‌هاي بي‌سيم به ميان مي‌آيد، نخستين چيزي كه در ذهن نقش مي‌بندد، امنيت اطلاعات تبادلي روي اين شبكه‌ها است. وقتي در طول مسير هيچ كنترل و نظارتي بر رسانه انتقال اطلاعات، يعني امواج راديويي و سيگنال‌هاي شناور در هوا وجود نداشته باشد، موضوع امنيت به طور جدي مطرح مي‌شود. به همين دليل، بسياري از مديران و كارشناسان شبكه شركت‌هاي كوچك و بزرگ در مقابل شبكه‌هاي بي‌سيم مقاومت مي‌كنند و هنوز به شبكه‌هاي مبتني بر كابل و سوييچ و پچ‌پنل و داك وفادارند و به‌رغم هزينه‌هاي كمتر و سادگي راه‌اندازي، در كنار عدم محدوديت‌هاي فيزيكي و جغرافيايي، از هر فناوري كه نام «Wireless» را يدك مي‌كشد، دوري مي‌كنند. در بسياري از مواقع نيز بايد حق را به اين گروه از كاربران داد و تا حصول اطمينان از امنيت بالاي شبكه‌هاي بي‌سيم، منتظر ماند. در چند سال اخير شركت‌هاي مختلف راهكارهاي خوبي را براي بهبود امنيت در اين‌گونه شبكه‌ها ارائه كرده‌اند. اين راهكارها امن‌كردن ارتباط را به استفاده از چند پروتكل رمزنگاري و اعتبارسنجي WEP و WPA منوط نمي‌كنند. تجهيزاتي سخت‌افزاري براي بالا بردن امنيت شبكه‌هاي واي‌فاي ارائه شده و قابليت‌ها و امكانات جديدي به سخت‌افزارهاي موجود افزوده‌شده تا علاوه‌بر پشتيباني از شبكه‌هاي بي‌سيم، سرويس‌هاي امنيتي نيز ارائه دهند. در اين شماره مي‌خواهيم راهكارهاي امنيتي و محصولاتي را كه شركت استارو معرفي كرده بررسي‌كنيم.

معرفي طرح پيشنهادي
شركت استارو با تركيبي از دستگاه‌هاي نقطه‌دسترسي (AP) و دستگاه‌هاي گيت‌وي امنيتي ASG (سرنام Astaro Security Gateway) به راهكاري براي امن‌كردن شبكه‌هاي بي‌سيم دست‌يافته‌است. شكل‌1 طرح پيشنهادي اين شركت را براي شبكه‌هاي بي‌سيم و استفاده از اينترنت نشان مي‌دهد. اين شركت دو نمونه نقطه‌‌دسترسي را با نام‌هاي AP 10 و AP 30 ارائه كرده كه در سرعت و برخي از مشخصه‌هاي شبكه‌هاي واي‌فاي با يكديگر تفاوت دارند. كامپيوترها و دستگاه‌هاي بي‌سيم ديگر مي‌توانند به اين دستگاه‌ها متصل شده و از اينترنت و منابع شبكه استفاده كنند. تا اين مرحله، يك مزيت ويژه به كاربران هديه شده و آن عدم نياز به خريد دستگاه‌هاي نقطه‌دسترسي و روتر از شركت‌هاي ديگر و برخورد با معضلي به نام عدم سازگاري با محصولات ديگر استارو است. در قدم دوم طرح پيشنهادي، اين دو نقطه‌دسترسي به يك سوييچ و سپس گيت‌وي‌ يا UTM استارو با رابط كابل متصل مي‌شوند. سوييچ براي افزايش انعطاف‌پذيري سيستم و امكان پوشش تعداد بيشتري شبكه بي‌سيم و كابلي استفاده مي‌شود.


ASG همانند ديگر دستگاه‌هاي امنيتي مي‌تواند به اينترنت، شبكه‌هاي كابلي محلي و حتي شبكه‌هاي بي‌سيم ديگر متصل شود. اگر بخواهيم يك نقطه‌دسترسي را به صورت مستقيم و از راه دور به گيت‌وي متصل كنيم، استارو استفاده از يك محصول را به نام Astaro RED پيشنهاد كرده است. اين محصول به صورت راه دور به گيت‌وي متصل مي‌شود.

بنابراين، در اين طرح امنيت كل شبكه توسط يك دستگاه UTM مركزي تأمين مي‌شود. تمامي دستگاه‌هاي استفاده‌كننده از شبكه‌هاي بي‌سيم بايد براي دسترسي به اينترنت، ترافيك ورودي/ ‌خروجي خود را از اين UTM عبور‌دهند و در نتيجه مي‌توان كنترل و مديريت خوبي روي دسترسي به شبكه اينترنت داشت. از طرف ديگر، با سرويس‌هايي كه دستگاه مركزي به نقاط‌دسترسي ارائه مي‌دهد، يك امنيت يكپارچه و متمركز ايجاد مي‌شود. تمامي گزار‌ش‌ها و ثبت رويدادها و بررسي امنيت سرويس‌هايي مانند پست الكترونيكي، برنامه‌هاي تحت وب، اينترنت و دسترسي‌هاي درون شبكه‌اي در دستگاه مركزي انجام مي‌شود. همچنين بر مبناي قدرت ASG مي‌توان سرويس‌هاي رمزنگاري و رمزگشايي و اعتبارسنجي كاربران را روي شبكه‌هاي بي‌سيم ارائه داد. براي نمونه، استفاده از استاندارد WPA2 Enterprise با الگوريتم AES و كليدهاي 128 بيتي روي شبكه امكان‌پذير خواهد شد و ديگر از اين جهت نگراني وجود ندارد.


مزيت ديگر اين طرح امكان استفاده از اينترنت براي كاربران ميهمان است. اين نوع سرويس كه معمولاً در فضاهاي عمومي ارائه مي‌شود، هيچ‌گونه خطري براي ديگر كاربران شبكه ايجاد نمي‌كند، چون به صورت مستقيم به منابع شبكه و اينترنت دسترسي ندارند و به صورت كامل مديريت و كنترل مي‌شوند. شركت استارو ادعا كرده، راه‌اندازي دستگاه‌هاي نقطه‌دسترسي به آساني صورت گرفته و كافي است كه به شبكه محلي متصل شوند تا با شناختن دستگاه مركزي و گرفتن آدرس IP، فعاليت را شروع كنند. تنظيمات امنيتي دستگاه‌ها و مديريت گزار‌ش‌ها و كنترل‌ها توسط دستگاه گيت‌وي مركزي انجام مي‌شود.

نقاط‌دسترسي استارو
پس از اين‌كه با طرح امن‌سازي شبكه‌هاي بي‌سيم آشنا شديم، بهتر است به دو محصول ارائه شده نقطه‌دسترسي نگاهي بياندازيم. در جدول يك مشخصات كلي اين دو محصول آورده شده است. AP 10 يك نقطه‌دسترسي با مشخصات كاربري خانگي است. پشتيباني از حداكثر ده كاربر، سرعت 150 مگابيت بر ثانيه و يك آنتن قابل جدا شدن از دستگاه اين موضوع را به خوبي اثبات مي‌كند. اين دستگاه قابليت PoE يا استفاده از برق تجهيزات ديگر متصل شده به خود را ندارد و فقط از يك پورت اترنت 100/10 بهره مي‌برد. اما پشتيباني از استاندارد جديد 802.11n شبكه‌هاي واي‌فاي يك مزيت محسوب مي‌شود




در عوض AP 30 براي سي كاربر قابل استفاده است و سرعت حداكثري اسمي آن سيصد مگابيت‌بر ثانيه است. براي پوشش‌دادن محدوده بيشتر و بالا رفتن قدرت سيگنال‌ها و سرعت، در اين دستگاه از سه آنتن داخلي هدايت‌كننده استفاده شده كه قابليت PoE را نيز دارد. هر دو دستگاه در فركانس 2,4 گيگاهرتز كار مي‌كنند و از فركانس پنج گيگاهرتز خبري نيست. اين موضوع مي‌تواند كمي نا‌اميد كننده باشد، زيرا در حال حاضر بسياري از شبكه‌هاي بي‌سيم اداري و تجاري متوسط و بزرگ در حال سوييچ‌كردن به سوي فركانس پنج گيگاهرتز هستند كه سرعت و محدوده پوشش‌دهي بيشتري را فراهم مي‌كند و تعداد كانال‌هاي ارتباطي بيشتري را براي تجهيزات بي‌سيم به وجود مي‌آورد. به نظر مي‌رسد، كمبود ديگر اين تجهيزات عدم استفاده از پورت‌هاي WAN و USB است. اگر فرض كنيم، يك دستگاه ذخيره‌سازي مانند NAS بايد به اين نقاط دسترسي متصل شود يا بايد از پورت USB استفاده كند كه در اين دو محصول تعبيه نشده است يا با پورت RJ45 متصل شود كه در اين صورت ديگر نمي‌توان نقطه‌دسترسي را به يك سوييچ يا دستگاهي مانند Astaro RED و ASG متصل كرد.

همچنين اگر به استفاده از يك مودم 3G يا WiMaX در شبكه نياز باشد، مجبور مي‌شويد طرح پيشنهادي پيش‌فرض را تغيير داده و تجهيزات ديگري را هم وارد شبكه كنيد. البته، اكنون دستگاه‌هايي وارد بازار شده‌اند كه با يك اتصال اترنت، چندين پورت ديگر مانند USB را براي كاربر فراهم مي‌كنند، اما در مجموع بايد منتظر باشيم تا در نسخه‌هاي بعدي نقاط‌دسترسي شركت استارو، قابليت‌ها و امكانات جانبي بيشتري را مشاهده كنيم.

گيت‌وي‌هاي امنيتي استارو
گفتيم كه در طرح پيشنهادي شركت استارو براي بهبود امنيت شبكه‌هاي بي‌سيم درون سازماني و اداري راه دور، در كنار استفاده از نقاط‌دسترسي اين شركت به استفاده از محصولي به نام ASG يا گيت‌وي امنيتي نياز داريد. در حقيقت، اين دستگاه‌ها در بازار با نام UTM (سرنام Unified Threat Management) يا ابزارهاي يكپارچه مديريت تهديد شناخته مي‌شوند. از سوي ديگر، بيان شد كه تمامي تنظيمات و كنترل و مديريت امنيت در شبكه‌هاي بي‌سيم توسط اين دستگاه‌ها انجام‌مي‌شود.بنابر‌اين بهتر است ASGهاي استارو رابه‌صورت مختصر بررسي كرده و ببينيم چه قابليت‌هايي دراين رده از محصولات نهفته است. محصولات ASG بر‌اساس تعداد نقاط‌دسترسي و كاربراني كه پشتيباني مي‌كنند، دسته‌بندي مي‌شوند. ASG 110 مي‌تواند دو نقطه‌دسترسي و حداكثر ده كاربر را پشتيباني‌كند، در حالي كه ASG 625 حداكثر 128 نقطه‌دسترسي و هزار كاربر را تحمل خواهد كرد. اما ويژگي‌هاي امنيتي در تمامي محصولات ASG مشترك است. استفاده از پروتكل‌هاي امنيتي WPA/WPA2 و WEP با الگوريتم‌هاي رمزنگاري AES/TKIP و اعتبارسنجي RADIUS و پشتيباني از حداكثر هشت SSID يا نام شبكه بي‌سيم در هفت محصول گيت‌وي امنيتي استارو ديده مي‌شوند.


در رابط كاربري دستگاه‌هاي ASG نيز در بخش Wireless امكانات خوبي تعبيه شده است. شما مي‌توانيد يك شبكه جديد را معرفي‌كرده و تنظيمات امنيتي آن را تعريف‌كنيد. پس از آن مي‌توان سياست‌ها و قوانين كنترلي و دسترسي را براي شبكه تعريف كرد. همچنين اين قابليت نيز وجود دارد كه شبكه‌هاي بي‌سيم محيط اطراف شناسايي شده و به آن‌ها اجازه دسترسي به اينترنت و منابع شبكه داده شود.