AMINKARIMIR
04-06-2013, 14:39
هر گاه سخن از شبكههاي بيسيم به ميان ميآيد، نخستين چيزي كه در ذهن نقش ميبندد، امنيت اطلاعات تبادلي روي اين شبكهها است. وقتي در طول مسير هيچ كنترل و نظارتي بر رسانه انتقال اطلاعات، يعني امواج راديويي و سيگنالهاي شناور در هوا وجود نداشته باشد، موضوع امنيت به طور جدي مطرح ميشود. به همين دليل، بسياري از مديران و كارشناسان شبكه شركتهاي كوچك و بزرگ در مقابل شبكههاي بيسيم مقاومت ميكنند و هنوز به شبكههاي مبتني بر كابل و سوييچ و پچپنل و داك وفادارند و بهرغم هزينههاي كمتر و سادگي راهاندازي، در كنار عدم محدوديتهاي فيزيكي و جغرافيايي، از هر فناوري كه نام «Wireless» را يدك ميكشد، دوري ميكنند. در بسياري از مواقع نيز بايد حق را به اين گروه از كاربران داد و تا حصول اطمينان از امنيت بالاي شبكههاي بيسيم، منتظر ماند. در چند سال اخير شركتهاي مختلف راهكارهاي خوبي را براي بهبود امنيت در اينگونه شبكهها ارائه كردهاند. اين راهكارها امنكردن ارتباط را به استفاده از چند پروتكل رمزنگاري و اعتبارسنجي WEP و WPA منوط نميكنند. تجهيزاتي سختافزاري براي بالا بردن امنيت شبكههاي وايفاي ارائه شده و قابليتها و امكانات جديدي به سختافزارهاي موجود افزودهشده تا علاوهبر پشتيباني از شبكههاي بيسيم، سرويسهاي امنيتي نيز ارائه دهند. در اين شماره ميخواهيم راهكارهاي امنيتي و محصولاتي را كه شركت استارو معرفي كرده بررسيكنيم.
معرفي طرح پيشنهادي
شركت استارو با تركيبي از دستگاههاي نقطهدسترسي (AP) و دستگاههاي گيتوي امنيتي ASG (سرنام Astaro Security Gateway) به راهكاري براي امنكردن شبكههاي بيسيم دستيافتهاست. شكل1 طرح پيشنهادي اين شركت را براي شبكههاي بيسيم و استفاده از اينترنت نشان ميدهد. اين شركت دو نمونه نقطهدسترسي را با نامهاي AP 10 و AP 30 ارائه كرده كه در سرعت و برخي از مشخصههاي شبكههاي وايفاي با يكديگر تفاوت دارند. كامپيوترها و دستگاههاي بيسيم ديگر ميتوانند به اين دستگاهها متصل شده و از اينترنت و منابع شبكه استفاده كنند. تا اين مرحله، يك مزيت ويژه به كاربران هديه شده و آن عدم نياز به خريد دستگاههاي نقطهدسترسي و روتر از شركتهاي ديگر و برخورد با معضلي به نام عدم سازگاري با محصولات ديگر استارو است. در قدم دوم طرح پيشنهادي، اين دو نقطهدسترسي به يك سوييچ و سپس گيتوي يا UTM استارو با رابط كابل متصل ميشوند. سوييچ براي افزايش انعطافپذيري سيستم و امكان پوشش تعداد بيشتري شبكه بيسيم و كابلي استفاده ميشود.
ASG همانند ديگر دستگاههاي امنيتي ميتواند به اينترنت، شبكههاي كابلي محلي و حتي شبكههاي بيسيم ديگر متصل شود. اگر بخواهيم يك نقطهدسترسي را به صورت مستقيم و از راه دور به گيتوي متصل كنيم، استارو استفاده از يك محصول را به نام Astaro RED پيشنهاد كرده است. اين محصول به صورت راه دور به گيتوي متصل ميشود.
بنابراين، در اين طرح امنيت كل شبكه توسط يك دستگاه UTM مركزي تأمين ميشود. تمامي دستگاههاي استفادهكننده از شبكههاي بيسيم بايد براي دسترسي به اينترنت، ترافيك ورودي/ خروجي خود را از اين UTM عبوردهند و در نتيجه ميتوان كنترل و مديريت خوبي روي دسترسي به شبكه اينترنت داشت. از طرف ديگر، با سرويسهايي كه دستگاه مركزي به نقاطدسترسي ارائه ميدهد، يك امنيت يكپارچه و متمركز ايجاد ميشود. تمامي گزارشها و ثبت رويدادها و بررسي امنيت سرويسهايي مانند پست الكترونيكي، برنامههاي تحت وب، اينترنت و دسترسيهاي درون شبكهاي در دستگاه مركزي انجام ميشود. همچنين بر مبناي قدرت ASG ميتوان سرويسهاي رمزنگاري و رمزگشايي و اعتبارسنجي كاربران را روي شبكههاي بيسيم ارائه داد. براي نمونه، استفاده از استاندارد WPA2 Enterprise با الگوريتم AES و كليدهاي 128 بيتي روي شبكه امكانپذير خواهد شد و ديگر از اين جهت نگراني وجود ندارد.
مزيت ديگر اين طرح امكان استفاده از اينترنت براي كاربران ميهمان است. اين نوع سرويس كه معمولاً در فضاهاي عمومي ارائه ميشود، هيچگونه خطري براي ديگر كاربران شبكه ايجاد نميكند، چون به صورت مستقيم به منابع شبكه و اينترنت دسترسي ندارند و به صورت كامل مديريت و كنترل ميشوند. شركت استارو ادعا كرده، راهاندازي دستگاههاي نقطهدسترسي به آساني صورت گرفته و كافي است كه به شبكه محلي متصل شوند تا با شناختن دستگاه مركزي و گرفتن آدرس IP، فعاليت را شروع كنند. تنظيمات امنيتي دستگاهها و مديريت گزارشها و كنترلها توسط دستگاه گيتوي مركزي انجام ميشود.
نقاطدسترسي استارو
پس از اينكه با طرح امنسازي شبكههاي بيسيم آشنا شديم، بهتر است به دو محصول ارائه شده نقطهدسترسي نگاهي بياندازيم. در جدول يك مشخصات كلي اين دو محصول آورده شده است. AP 10 يك نقطهدسترسي با مشخصات كاربري خانگي است. پشتيباني از حداكثر ده كاربر، سرعت 150 مگابيت بر ثانيه و يك آنتن قابل جدا شدن از دستگاه اين موضوع را به خوبي اثبات ميكند. اين دستگاه قابليت PoE يا استفاده از برق تجهيزات ديگر متصل شده به خود را ندارد و فقط از يك پورت اترنت 100/10 بهره ميبرد. اما پشتيباني از استاندارد جديد 802.11n شبكههاي وايفاي يك مزيت محسوب ميشود
در عوض AP 30 براي سي كاربر قابل استفاده است و سرعت حداكثري اسمي آن سيصد مگابيتبر ثانيه است. براي پوششدادن محدوده بيشتر و بالا رفتن قدرت سيگنالها و سرعت، در اين دستگاه از سه آنتن داخلي هدايتكننده استفاده شده كه قابليت PoE را نيز دارد. هر دو دستگاه در فركانس 2,4 گيگاهرتز كار ميكنند و از فركانس پنج گيگاهرتز خبري نيست. اين موضوع ميتواند كمي نااميد كننده باشد، زيرا در حال حاضر بسياري از شبكههاي بيسيم اداري و تجاري متوسط و بزرگ در حال سوييچكردن به سوي فركانس پنج گيگاهرتز هستند كه سرعت و محدوده پوششدهي بيشتري را فراهم ميكند و تعداد كانالهاي ارتباطي بيشتري را براي تجهيزات بيسيم به وجود ميآورد. به نظر ميرسد، كمبود ديگر اين تجهيزات عدم استفاده از پورتهاي WAN و USB است. اگر فرض كنيم، يك دستگاه ذخيرهسازي مانند NAS بايد به اين نقاط دسترسي متصل شود يا بايد از پورت USB استفاده كند كه در اين دو محصول تعبيه نشده است يا با پورت RJ45 متصل شود كه در اين صورت ديگر نميتوان نقطهدسترسي را به يك سوييچ يا دستگاهي مانند Astaro RED و ASG متصل كرد.
همچنين اگر به استفاده از يك مودم 3G يا WiMaX در شبكه نياز باشد، مجبور ميشويد طرح پيشنهادي پيشفرض را تغيير داده و تجهيزات ديگري را هم وارد شبكه كنيد. البته، اكنون دستگاههايي وارد بازار شدهاند كه با يك اتصال اترنت، چندين پورت ديگر مانند USB را براي كاربر فراهم ميكنند، اما در مجموع بايد منتظر باشيم تا در نسخههاي بعدي نقاطدسترسي شركت استارو، قابليتها و امكانات جانبي بيشتري را مشاهده كنيم.
گيتويهاي امنيتي استارو
گفتيم كه در طرح پيشنهادي شركت استارو براي بهبود امنيت شبكههاي بيسيم درون سازماني و اداري راه دور، در كنار استفاده از نقاطدسترسي اين شركت به استفاده از محصولي به نام ASG يا گيتوي امنيتي نياز داريد. در حقيقت، اين دستگاهها در بازار با نام UTM (سرنام Unified Threat Management) يا ابزارهاي يكپارچه مديريت تهديد شناخته ميشوند. از سوي ديگر، بيان شد كه تمامي تنظيمات و كنترل و مديريت امنيت در شبكههاي بيسيم توسط اين دستگاهها انجامميشود.بنابراين بهتر است ASGهاي استارو رابهصورت مختصر بررسي كرده و ببينيم چه قابليتهايي دراين رده از محصولات نهفته است. محصولات ASG براساس تعداد نقاطدسترسي و كاربراني كه پشتيباني ميكنند، دستهبندي ميشوند. ASG 110 ميتواند دو نقطهدسترسي و حداكثر ده كاربر را پشتيبانيكند، در حالي كه ASG 625 حداكثر 128 نقطهدسترسي و هزار كاربر را تحمل خواهد كرد. اما ويژگيهاي امنيتي در تمامي محصولات ASG مشترك است. استفاده از پروتكلهاي امنيتي WPA/WPA2 و WEP با الگوريتمهاي رمزنگاري AES/TKIP و اعتبارسنجي RADIUS و پشتيباني از حداكثر هشت SSID يا نام شبكه بيسيم در هفت محصول گيتوي امنيتي استارو ديده ميشوند.
در رابط كاربري دستگاههاي ASG نيز در بخش Wireless امكانات خوبي تعبيه شده است. شما ميتوانيد يك شبكه جديد را معرفيكرده و تنظيمات امنيتي آن را تعريفكنيد. پس از آن ميتوان سياستها و قوانين كنترلي و دسترسي را براي شبكه تعريف كرد. همچنين اين قابليت نيز وجود دارد كه شبكههاي بيسيم محيط اطراف شناسايي شده و به آنها اجازه دسترسي به اينترنت و منابع شبكه داده شود.
معرفي طرح پيشنهادي
شركت استارو با تركيبي از دستگاههاي نقطهدسترسي (AP) و دستگاههاي گيتوي امنيتي ASG (سرنام Astaro Security Gateway) به راهكاري براي امنكردن شبكههاي بيسيم دستيافتهاست. شكل1 طرح پيشنهادي اين شركت را براي شبكههاي بيسيم و استفاده از اينترنت نشان ميدهد. اين شركت دو نمونه نقطهدسترسي را با نامهاي AP 10 و AP 30 ارائه كرده كه در سرعت و برخي از مشخصههاي شبكههاي وايفاي با يكديگر تفاوت دارند. كامپيوترها و دستگاههاي بيسيم ديگر ميتوانند به اين دستگاهها متصل شده و از اينترنت و منابع شبكه استفاده كنند. تا اين مرحله، يك مزيت ويژه به كاربران هديه شده و آن عدم نياز به خريد دستگاههاي نقطهدسترسي و روتر از شركتهاي ديگر و برخورد با معضلي به نام عدم سازگاري با محصولات ديگر استارو است. در قدم دوم طرح پيشنهادي، اين دو نقطهدسترسي به يك سوييچ و سپس گيتوي يا UTM استارو با رابط كابل متصل ميشوند. سوييچ براي افزايش انعطافپذيري سيستم و امكان پوشش تعداد بيشتري شبكه بيسيم و كابلي استفاده ميشود.
ASG همانند ديگر دستگاههاي امنيتي ميتواند به اينترنت، شبكههاي كابلي محلي و حتي شبكههاي بيسيم ديگر متصل شود. اگر بخواهيم يك نقطهدسترسي را به صورت مستقيم و از راه دور به گيتوي متصل كنيم، استارو استفاده از يك محصول را به نام Astaro RED پيشنهاد كرده است. اين محصول به صورت راه دور به گيتوي متصل ميشود.
بنابراين، در اين طرح امنيت كل شبكه توسط يك دستگاه UTM مركزي تأمين ميشود. تمامي دستگاههاي استفادهكننده از شبكههاي بيسيم بايد براي دسترسي به اينترنت، ترافيك ورودي/ خروجي خود را از اين UTM عبوردهند و در نتيجه ميتوان كنترل و مديريت خوبي روي دسترسي به شبكه اينترنت داشت. از طرف ديگر، با سرويسهايي كه دستگاه مركزي به نقاطدسترسي ارائه ميدهد، يك امنيت يكپارچه و متمركز ايجاد ميشود. تمامي گزارشها و ثبت رويدادها و بررسي امنيت سرويسهايي مانند پست الكترونيكي، برنامههاي تحت وب، اينترنت و دسترسيهاي درون شبكهاي در دستگاه مركزي انجام ميشود. همچنين بر مبناي قدرت ASG ميتوان سرويسهاي رمزنگاري و رمزگشايي و اعتبارسنجي كاربران را روي شبكههاي بيسيم ارائه داد. براي نمونه، استفاده از استاندارد WPA2 Enterprise با الگوريتم AES و كليدهاي 128 بيتي روي شبكه امكانپذير خواهد شد و ديگر از اين جهت نگراني وجود ندارد.
مزيت ديگر اين طرح امكان استفاده از اينترنت براي كاربران ميهمان است. اين نوع سرويس كه معمولاً در فضاهاي عمومي ارائه ميشود، هيچگونه خطري براي ديگر كاربران شبكه ايجاد نميكند، چون به صورت مستقيم به منابع شبكه و اينترنت دسترسي ندارند و به صورت كامل مديريت و كنترل ميشوند. شركت استارو ادعا كرده، راهاندازي دستگاههاي نقطهدسترسي به آساني صورت گرفته و كافي است كه به شبكه محلي متصل شوند تا با شناختن دستگاه مركزي و گرفتن آدرس IP، فعاليت را شروع كنند. تنظيمات امنيتي دستگاهها و مديريت گزارشها و كنترلها توسط دستگاه گيتوي مركزي انجام ميشود.
نقاطدسترسي استارو
پس از اينكه با طرح امنسازي شبكههاي بيسيم آشنا شديم، بهتر است به دو محصول ارائه شده نقطهدسترسي نگاهي بياندازيم. در جدول يك مشخصات كلي اين دو محصول آورده شده است. AP 10 يك نقطهدسترسي با مشخصات كاربري خانگي است. پشتيباني از حداكثر ده كاربر، سرعت 150 مگابيت بر ثانيه و يك آنتن قابل جدا شدن از دستگاه اين موضوع را به خوبي اثبات ميكند. اين دستگاه قابليت PoE يا استفاده از برق تجهيزات ديگر متصل شده به خود را ندارد و فقط از يك پورت اترنت 100/10 بهره ميبرد. اما پشتيباني از استاندارد جديد 802.11n شبكههاي وايفاي يك مزيت محسوب ميشود
در عوض AP 30 براي سي كاربر قابل استفاده است و سرعت حداكثري اسمي آن سيصد مگابيتبر ثانيه است. براي پوششدادن محدوده بيشتر و بالا رفتن قدرت سيگنالها و سرعت، در اين دستگاه از سه آنتن داخلي هدايتكننده استفاده شده كه قابليت PoE را نيز دارد. هر دو دستگاه در فركانس 2,4 گيگاهرتز كار ميكنند و از فركانس پنج گيگاهرتز خبري نيست. اين موضوع ميتواند كمي نااميد كننده باشد، زيرا در حال حاضر بسياري از شبكههاي بيسيم اداري و تجاري متوسط و بزرگ در حال سوييچكردن به سوي فركانس پنج گيگاهرتز هستند كه سرعت و محدوده پوششدهي بيشتري را فراهم ميكند و تعداد كانالهاي ارتباطي بيشتري را براي تجهيزات بيسيم به وجود ميآورد. به نظر ميرسد، كمبود ديگر اين تجهيزات عدم استفاده از پورتهاي WAN و USB است. اگر فرض كنيم، يك دستگاه ذخيرهسازي مانند NAS بايد به اين نقاط دسترسي متصل شود يا بايد از پورت USB استفاده كند كه در اين دو محصول تعبيه نشده است يا با پورت RJ45 متصل شود كه در اين صورت ديگر نميتوان نقطهدسترسي را به يك سوييچ يا دستگاهي مانند Astaro RED و ASG متصل كرد.
همچنين اگر به استفاده از يك مودم 3G يا WiMaX در شبكه نياز باشد، مجبور ميشويد طرح پيشنهادي پيشفرض را تغيير داده و تجهيزات ديگري را هم وارد شبكه كنيد. البته، اكنون دستگاههايي وارد بازار شدهاند كه با يك اتصال اترنت، چندين پورت ديگر مانند USB را براي كاربر فراهم ميكنند، اما در مجموع بايد منتظر باشيم تا در نسخههاي بعدي نقاطدسترسي شركت استارو، قابليتها و امكانات جانبي بيشتري را مشاهده كنيم.
گيتويهاي امنيتي استارو
گفتيم كه در طرح پيشنهادي شركت استارو براي بهبود امنيت شبكههاي بيسيم درون سازماني و اداري راه دور، در كنار استفاده از نقاطدسترسي اين شركت به استفاده از محصولي به نام ASG يا گيتوي امنيتي نياز داريد. در حقيقت، اين دستگاهها در بازار با نام UTM (سرنام Unified Threat Management) يا ابزارهاي يكپارچه مديريت تهديد شناخته ميشوند. از سوي ديگر، بيان شد كه تمامي تنظيمات و كنترل و مديريت امنيت در شبكههاي بيسيم توسط اين دستگاهها انجامميشود.بنابراين بهتر است ASGهاي استارو رابهصورت مختصر بررسي كرده و ببينيم چه قابليتهايي دراين رده از محصولات نهفته است. محصولات ASG براساس تعداد نقاطدسترسي و كاربراني كه پشتيباني ميكنند، دستهبندي ميشوند. ASG 110 ميتواند دو نقطهدسترسي و حداكثر ده كاربر را پشتيبانيكند، در حالي كه ASG 625 حداكثر 128 نقطهدسترسي و هزار كاربر را تحمل خواهد كرد. اما ويژگيهاي امنيتي در تمامي محصولات ASG مشترك است. استفاده از پروتكلهاي امنيتي WPA/WPA2 و WEP با الگوريتمهاي رمزنگاري AES/TKIP و اعتبارسنجي RADIUS و پشتيباني از حداكثر هشت SSID يا نام شبكه بيسيم در هفت محصول گيتوي امنيتي استارو ديده ميشوند.
در رابط كاربري دستگاههاي ASG نيز در بخش Wireless امكانات خوبي تعبيه شده است. شما ميتوانيد يك شبكه جديد را معرفيكرده و تنظيمات امنيتي آن را تعريفكنيد. پس از آن ميتوان سياستها و قوانين كنترلي و دسترسي را براي شبكه تعريف كرد. همچنين اين قابليت نيز وجود دارد كه شبكههاي بيسيم محيط اطراف شناسايي شده و به آنها اجازه دسترسي به اينترنت و منابع شبكه داده شود.