Провести аудит защиты беспроводной сети и убедиться в её недостаточности можно при помощи свободно распространяемых программ AirSnort или Wellenreiter. У них сходный принцип действия. Они позволяют определять рабочий канал беспроводной сети, её идентификатор и аппаратные адреса активных сетевых клиентов, а также взломать WEP-защиту. Из всех этих задач взлом криптозащиты — наиболее длительное занятие, требующее несколько часов; для сбора остальных данных достаточно минуты. Для определения секретных ключей, в среднем, необходимо перехватить и проанализировать порядка 8-10 миллионов зашифрованных сетевых пакетов (это примерно 6 часов работы при средней загрузке узла доступа). После перехвата пакета, зашифрованного уже использованным кодирующим ключом, восстановить секретный ключ — секундное дело.
   В том, что взлом беспроводных сетей превратился в народное развлечение, можно убедиться, заглянув на ресурсы WiFinder и Wingle, где собрана информация о беспроводных сетях с указанием их точного географического положения и технических характеристик. Карты сетей, представленные этими ресурсами, чем-то неуловимо напоминают дорожный список отелей и ресторанов для путешественников. Кстати, из владельцев российских сетей указаны только отели «Мариотт».

   Проанализировав приведённые выше данные о методиках злоумышленников, можно убедиться, что предусмотренных в технологии беспроводных сетей средств недостаточно для адекватной защиты. Скрытая сеть легко находится, аппаратные адреса имитируются, а WEP-защита взламывается. Это не означает, что следует отказываться от использования беспроводных сетей, просто следует учитывать, что на данный момент это потенциально опасная среда передачи данных. Из этого вывода сразу следуют общие рекомендации по защите. Рекомендуемые методики непосредственно не связаны с беспроводными сетями и были давно отработаны в другой потенциально опасной среде — в Интернете:
   • для авторизации пользователей можно использовать технологию RADIUS (Remote Authentication Dial-In User Service);
   • уменьшение риска сетевого взлома на серверах и рабочих станциях достигается использованием программных брандмауэров (firewall);
   • идентифицировать активность злоумышленников лучше на ранней стадии; для этого служат сетевые системы обнаружения вторжения и системы-ловушки;
   • для защиты передаваемой информации от несанкционированного доступа лучше отказаться от потенциально небезопасных прикладных протоколов, передающих данные в открытом виде (FTP, TELNET, SMTP и т.д.), заменив их криптозащищенными аналогами или использовать крип-тозащиту на сетевом уровне — VPN, IPSEC;
   • а с DoS-атакой, как уже было замечено выше, придётся смириться.

   Неудивительно, что разработчиков стандарта 802.11 не удовлетворила низкая практическая надёжность механизмов защиты беспроводных сетей. Следствием этой неудовлетворённости стала призванная заменить WEP криптозащита WPA, базирующаяся на временном протоколе целостности ключей (TKIP), задача которого — не допустить повторного использования кодирующих ключей. WPA обеспечивает обратную совместимость с WEP, что позволяет использовать её на той же аппаратной базе. Но TKIP рассматривается всего лишь как временная мера. Более криптоустойчивые методы защиты (например, AES) требуют уже другого аппаратного обеспечения, что должно привести к полной замене существующего оборудования беспроводной локальной сети.
   Беспроводные сети имеют хорошую потенциальную возможность стать настолько же распространённым сервисом, как и сотовая телефонная связь. Достигнуто многое, но самое главное, что существуют возможности дальнейшей эволюции и совершенствования беспроводных технологий передачи данных. Не стоит только забывать, что до окончательной оптимизации технологий, как с точки зрения максимальной производительности сетей, так и вопросов безопасности, ещё далеко. И, пожалуй, не стоит облегчать задачу взломщикам, пренебрегая пока немногими и ещё несовершенными средствами безопасности.

   Barsum Wi-Fi — это универсальная программная платформа для развёртывания Wi-Fi зоны c использованием любых точек доступа любых производителей. Основные функции Barsum Wi-Fi — контроль доступа в сеть и биллинг, однако платформа включает в себя все необходимые сервисные функции для полноценного функционирования хот-спота, такие как генерация PIN-кодов для карточек доступа, гибкая схема тарификации, припейд/постпейд оплата, интеграция с PMS или другими биллинговыми системами и т.д.
   Barsum Wi-Fi является идеальным stand-alone решением для организации коммерческой услуги доступа в Интернет на отдельно взятом объекте, а также может стать компонентом программного комплекса Интернет-оператора, отвечающим за учёт и управление беспроводными сетями на объектах клиентов.
   Программный комплекс Barsum Wi-Fi является компонентом Автоматизированной Системы Расчётов «Барсум Оператор» (сертификат соответствия ССС № ОС/1-СТ-344) и предназначен для решения задач организации биллинга и авторизации клиентов в широкополосных сетях беспроводного доступа стандарта IEEE 802.11x (Wi-Fi).

Основные возможности Barsum Wi-Fi:

   • авторизация клиента при подключении к беспроводной сети Wi-Fi;
   • контроль доступа клиента к сети на основании установленных для него расчётных схем и тарифных планов;
   • генерация кодов доступа с проверкой уникальности;
   • создание и управление тарифными планами;
   • тарификация клиентов в реальном времени;
   • администрирование и разграничение прав доступа к управлению системой;
   • учёт чистого времени клиента, проведённого в сети INTERNET (учёт времени между операциями login/logout);
   • печать отчётов о проданных и сгенерированных картах;
   • доступ и учёт для проводных Ethernet-сетей.

Преимущества Barsum Wi-Fi:

   • удобные средства управления и администрирования системы;
   • работа по дебетовой и кредитной схемам оплаты;
   • мониторинг и отчётность по работе системы;
   • интегрируемость — возможность взаимодействия с внешними программными системами (PMS в гостиницах, системы биллинга сторонних производителей и т.д.);
   • модульность — может поставляться с дополнительными
   модулями, позволяющими расширять спектр предоставляемых услуг;
   • применён широкий опыт создания и внедрения систем тарификации традиционной телефонии;
   • оперативная техническая поддержка.

Функциональные возможности Barsum Wi-Fi

   Система доступа:
   • для доступа в Интернет посредством Wi-Fi клиенту достаточно открыть окно браузера, после чего ему будет предложено ввести PIN-код доступа
   • c использованием предоплатных карт с PIN-кодом, доступ к сети Wi-Fi возможен в любой момент. Клиент может воспользоваться услугами сети Wi-Fi по своему желанию и без участия оператора
   • для прохождения процесса авторизации клиенту не нужно устанавливать на своём компьютере никаких дополнительных приложений и настроек. Весь процесс авторизации клиента происходит через WEB-интерфейс
   • после прохождения процесса авторизации клиент получает полный доступ в Интернет и может пользоваться всеми необходимыми сервисами, включая VPN-соединения
   • возможность ограничения доступа клиента к сети Интернет в зависимости от объёма трафика, продолжительности сеанса работы, стоимости трафика, срока действия PIN-кода
   • также можно использовать совмещённые схемы ограничения доступа (одновременное ограничение по объёму трафика и по времени и т.д.)
   • каждому клиенту выдаётся уникальный PIN-код, который используется только один раз для активации услуги доступа и не может быть использован повторно
   • встроенный DHCP-сервер
   • встроенный WEB-сервер
   • встроенный сервер авторизации
   • существует две схемы предоставления PIN-кода клиентам:
   • предварительная генерация PIN-кодов с последующей передачей/продажей клиентам карточек, содержащих PIN-код
   • генерация PIN-кода в момент обращения клиента к оператору с распечаткой PIN-конверта. При этом возможно использование «post-paid» тарификации с последующим выставлением счета клиенту (схема, как правило, используемая в гостиницах для предоставления доступа к сети Интернет постояльцам гостиницы)
   Система тарификации:
   • тарификация услуг в режиме реального времени
   • тарификация по времени и/или объёму трафика
   • поддержка нескольких тарифных таблиц
   • зависимость тарифа от времени суток, типа дня, даты, направления трафика
   • учёт налогов
   • мультивалютность
   • администрирование и работа с системой
   • разграничение прав пользователей
   • использование логинов и паролей для авторизации пользователей в системе
   • разграничение доступа к интерфейсам системы (просмотр, редактирование данных, запрет доступа)
   • разграничение доступа к данным системы (возможность скрывать те или иные данные для различных пользователей)
   • управление системой посредством пользовательских GUI-интерфейсов
   • отображение информации о состоянии карт доступа в режиме реального времени
   • логирование системных событий (активация пользователями PIN-кода, прохождение пользователями авторизации и т.д.)
   • логирование действий пользователей системы с привязкой всех действий ко времени и имени пользователя
   • автоматический журнал ошибок
   • учёт дилеров карт доступа (справочник дилеров, привязка карт к дилерам)
   • управление процессами сбора статистики и тарификации (настройка периода времени сбора статистики с коммутационного устройства, настройка периода тарификации, настройка периода обмена данными через PMS во внешние информационные системы автоматизации гостиничного бизнеса)
   • автоматизация процесса резервного копирования базы данных
   Отчётность:
   • встроенный генератор отчётов

Взаимодействие с гостиничными PMS

   Наличие модуля интеграции с PMS позволяет оператору гостиничной системы, пользуясь единым интерфейсом гостиничной системы, предоставлять PIN-коды для доступа в Интернет постояльцам гостиницы и производить расчёт за услуги доступа в общем счёте клиента.

Принцип работы

   Производится регистрация гостя в гостиничной системе. При регистрации клиента указывается «Группа ограничений» карты, присутствующая в Barsum Wi-Fi. Либо указывается номер непроданного PIN-кода, существующего в системе Barsum Wi-Fi. Для клиента распечатывается PIN-конверт.
   Гостиничная система передаёт данные модулю Barsum Wi-Fi PMS о регистрации клиента.
   Модуль Barsum Wi-Fi PMS помечает указанный PIN-код как проданный, либо создаёт новую карту в случае, если при регистрации клиента была указана группа ограничений. В системе Barsum Wi-Fi появляется запись о зарегистрированном госте.
   После активации карты клиентом вся стоимость за трафик передаётся в гостиничную систему.
   При выписке клиента в гостиничной системе выставляется счёт, который включает в себя стоимость использованных услуг Интернет. В системе Barsum Wi-Fi приписанная карта к клиенту помечается как израсходованная.

Приём платежей по банковским-картам и Интернет-платежей

   Данный модуль позволяет, при заключении дополнительного соглашения с ASSIST, продавать услуги доступа владельцам пластиковых банковских карт (VISA, MASTER и т.д.).
   Переход к платёжной системе осуществляется в случае, если при попытке подключения абонента он нажал соответствующую кнопку в появившемся окне, где ему предлагается ввести имеющийся или купить PIN-код для доступа.
   По факту успешной оплаты в платёжной системе, в модуль Barsum Wi-Fi передаются данные об оплате определённого тарифного плана, после чего для пользователя генерируется и выдаётся новый PIN-код с соответствующим тарифным планом.

   Прежде чем говорить о мобильной сети в офисе, давайте представим сотрудников этого офиса и сферу их деятельности. Кому требуется мобильность и оперативность получения информации? Первыми, по известной причине, приходят на ум журналисты.
   Следующими будут работники торговой сферы. Этот термин не сводится к тётушкам в халатах в залах супермаркетов, хотя высокотехнологичные решения существуют и для них. Речь идёт обо всех, чья работа заключается в продаже и покупке товаров. Именно им нужна горячая информация, причём не только в тот момент, когда они сидят за дисплеем в офисе, но и за его пределами.
   Ранее все технологии обработки и передачи информации в этом секторе сводились к использованию телефона, калькулятора да изредка факсимильного аппарата. Во времена становления капитализма на обломках Союза ССР чуть ли не каждый третий наш соотечественник попробовал себя в роли торговца — от челнока до брокера на товарно-сырьевой бирже. Но если работа первых сводилась к немудрящему отовариванию в одном месте и распродаже в другом, то брокерам, а проще говоря, посредникам, приходилось шевелить мозгами на порядок интенсивнее. Это хорошо описано в анекдоте той поры. Первый брокер сообщал второму, что срочно требуется вагон сахара. Второй отвечал ему: «О’кей, найдём, но в обмен на цистерну топлива». Первый убегал искать цистерну топлива, второй же отправлялся на поиски вагона сахара. Скорее всего, и то, и другое успешно находилось и продавалось. Но для этого нужно было совершить не менее сотни телефонных звонков и около десятка встреч. Словом, найти пресловутый вагон или цистерну было довольно непросто, а уж каким образом за неё рассчитывались — вопрос отдельный. В эпоху вынужденного бартера цепочка из трех-четырех обменов считалась нормальной практикой. И добивался успеха тот, кто раньше узнавал о предложениях сахара или топлива, а также вариантов бартера, то есть владел информацией и оказывался в нужном месте быстрее, иначе говоря, обладал мобильностью.
   Сегодня торговать чем бы то ни было значительно проще, чем на заре девяностых. Интернет стал доступен каждому, и на скоростях гораздо больших, чем подключение к BBS тогдашних бирж через модем по протоколу MNP-5. С мобильностью тоже все устаканилось — сейчас имеется выбор из нескольких вариантов доступа к информации «в походных условиях». Это тандем из ноутбука и мобильного телефона, связка мобильник-КПК, смартфон для тех, кто предпочитает интегрированные решения, либо GPRS-модули для лэптопов и наладонников. И уже не редкостью стали совещания в торговых фирмах, где перед сотрудниками лежат не пухлые ежедневники, а гораздо более изящные карманные компьютеры или гордо открытые экраны ноутбуков. И все эти устройства связаны друг с другом, то есть представляют собой мобильный офис, объединённый в незримую сеть.
   Каким же образом осуществляется связь составляющих мобильного офиса? Оставим в стороне кабели и провода, так как мобильным такой офис назвать трудно. Тогда нам останется только два варианта: радиоинтерфейсы Wi-Fi и Bluetooth. Последний, правда, малопригоден для организации компьютерной сети, но может использоваться как шлюз к проводным сетям Ethernet. Что же касается Wi-Fi, это целый класс решений для беспроводных локальных сетей (WLAN), обеспечивающий разные скорость и дальность передачи информации.
   Как выше было сказано что, по классификации IEEE (Institute of Electrical and Electronics Engineers, Inc.), определяющего стандарты в области электротехники, беспроводные сети описываются семейством стандартов 802.11, лидирующим из которых стал 802.11a (хотя возник он уже после 802.11b). Он обеспечивает скорость передачи данных до 54 Мбит/с в диапазонах 5,15-5,35 ГГц и 5,725-5,85 ГГц. К сожалению, в России первый диапазон относится к категории «для правительственного использования», поэтому использование такой аппаратуры может вызвать некоторые неприятности. Вторую полосу частот использует для своих нужд российская армия, поэтому и здесь можно столкнуться с лицензионными ограничениями. Впрочем, эти вопросы решаемы, да и радиус действия адаптеров связи 802.11a не превышает пары десятков метров.
   Второй по популярности протокол беспроводной связи носит имя 802.11b, кстати, именно его и назвали впервые Wi-Fi. Устройства этого стандарта ведут передачу на частотах около 2,4 ГГц. В большинстве стран Европы и Северной Америки вещание в этом диапазоне (называемом ISM — Industrial, Scientific, Medical) не требует лицензирования. Дальность передачи стандарта «b» составляет 100 метров, но скорость ограничена 11 мегабитами в секунду. Зато в придачу к большему радиусу действия пользователь получает повышенную помехозащищённость. А уж для обмена информацией бизнес-характера 11 Мбит/с хватит за глаза. Следует только учитывать, что в этом диапазоне довольно сильно шумят и микроволновые печи, столь популярные в офисах, так что во время подготовки к трапезе можно ожидать снижения пропускной способности WLAN-сети на базе 802.11b.
   Последний, принятый IEEE в июне 2003 г., стандарт беспроводной связи именуется 802.11g и также, как и 802.11a, обеспечивает обмен данными на скорости до 54 Мбит/с в диапазоне 2,4 ГГц. Одно из главных преимуществ нового протокола в том, что соединение, установленное с его помощью, обладает повышенной устойчивостью. К тому же этот стандарт обратно совместим со своим предшественником 802.11b. Таким образом, если в вашем мобильном офисе уже есть устройства, работающие по протоколу 802.11b, можно без опаски приобретать новое оборудование стандарта 802.11g. Адаптеры и точки доступа такой смешанной сети будут прекрасно понимать друг друга. Радиус действия устройств 802.11g на скорости 54 Мбит/с составляет 15 метров, обеспечивается качественная связь даже при отсутствии прямой видимости между устройствами.
   Мобильная сеть с использованием протоколов 802.11х сегодня строится достаточно просто. На рынке имеется масса адаптеров, коммутаторов и точек беспроводного доступа самых разных производителей. Владелец ноутбука может воспользоваться адаптером формата PCMCIA (PC Card), Secure Digital и даже USB. Существуют и варианты подключения Wi-Fi адаптеров к обычным портам Ethernet, такие устройства, например, выпускает компания Buffalo. Правда, габариты и масса этих адаптеров не позволяют назвать их мобильными. Гораздо удобнее в использовании карты расширения для ноутбуков.
   В последнее время производители начинают встраивать оборудование Wi-Fi в мобильные компьютеры, а кое-кто даже делает это ключевым элементом маркетинговой политики. Так, в начале года пионер IT-инноваций, корпорация Intel, вывела на рынок мобильную платформу Centrino.
   Краеугольный «камень» этой архитектуры — процессор, известный ранее под кодовым названием Banias, а также чипсет Intel 855 с интегрированным видеоконтроллером Intel Extreme Graphics 2 (опционально) и адаптер WLAN Intel PRO/Wireless 2100 (протокол 802.11b). Все компоненты Centrino подобраны таким образом, чтобы максимально увеличить продолжительность автономной работы ноутбука. Так, центральный процессор, благодаря технологиям Intel SpeedStep и Mobile Voltage Positioning, может работать на разных частотах и напряжениях. Разумный шаг, особенно в свете того обстоятельства, что беспроводная связь изрядно увеличивает энергоаппетиты ноутбуков. Контроллер WLAN тоже интеллектуализирован в плане энергосбережения — технология Intelligent Scanning Technology снижает энергопотребление путём управления частотой сканирования при поиске точек доступа. Пользователь может выбрать один из пяти режимов энергопотребления беспроводного адаптера, что позволяет ему самостоятельно установить соотношение между энергопотреблением и производительностью при питании ноутбука от батарей.
   Все перечисленные технологии опосредованно влияют, причём положительным образом, на габариты и вес ноутбука, так что решения на платформе Centrino будут неплохим выбором для мобильного офиса. Стоимость ноутбука с логотипом Centrino от известного производителя приближается к двум тысячам долларов. За эти деньги пользователь получает систему на процессоре Pentium-M с частотой 1,3 ГГц с мегабайтом кэша, 14-дюймовый экран, отдельный, либо интегрированный видеоадаптер, 128 Мбайт памяти, оптический накопитель, винчестер на 20 Мбайт — то есть полноценный компьютер, производительности которого хватит на работу со всеми офисными приложениями. Известный российский производитель, компания DVM Group, предлагает Centrino-ноутбуки серии Roverbook Nautilus; компании iRu и Bliss также отметились в этом секторе своими линейками Stilo и 50хх соответственно.
   Счастливым обладателям КПК беспроводная связь доступна посредством адаптеров с интерфейсами CompactFlash, Secure Digital и PCMCIA. Правда, разъёмами последнего типа оборудована небольшая часть наладонников, и стоят адаптеры к ним порядка 80 «зелёных». Покупать их могут и те, чьи КПК имеют «жакет» расширения с PCMCIA-разъёмом. Но лучше приобрести WLAN-карту в формате CompactFlash, так как это самые компактные карты расширения мобильных устройств. Стоимость таких беспроводных адаптеров не превышает ста долларов.
   Кстати, компания SanDisk недавно анонсировала новые продукты — серия флэш-карт Connect предоставляет пользователям как беспроводную связь стандарта 802.11b, так и дополнительную память объёмом 128, либо 256 Мбайт. Первые стоят около $130, вторые, более ёмкие — в районе 150 долларов США. Это решение интересно тем, что позволяет не жертвовать памятью ради связи и наоборот. Впрочем, если ваш наладонник бизнес-класса выпущен недавно, вполне возможно, что он уже оборудован адаптером беспроводной связи. Например, адаптерами WLAN стандарта 802.11b оснащены КПК Toshiba e740 и iPAQ H5450. Другие производители тоже расширяют функциональность своих изделий в плане беспроводной коммуникабельности.
   Итак, все сотрудники мобильного офиса обзавелись портативными или карманными компьютерами с возможностью подключения к беспроводной сети. Уже сейчас можно начинать совместную работу, но надо учесть некоторые ограничения. Так, максимальное число участников сети, при котором возможна устойчивая связь, равняется восьми и превышать это количество не рекомендуется. Компьютеры с беспроводными адаптерами могут связываться друг с другом в режиме «ad hoc». Это соединение типа «точка-точка» (peer-to-peer) и его особенность в том, что отдельные абоненты сети могут устанавливать связь даже на расстояниях, превышающих радиус действия их Wi-Fi адаптеров. Если между компьютерами, находящимися далеко друг от друга, поместить ещё одного абонента беспроводной сети, связь будет возможна при его посредничестве. Но если он выйдет за пределы досягаемости одного из адаптеров, связь между удалёнными компьютерами прервётся. Так что этот вариант применим лишь в случае компактного расположения абонентов и небольшом их количестве. К тому же, в данном случае невозможно организовать доступ пользователей к ресурсам проводной сети Ethernet. А если кому-то из сотрудников понадобится распечатать прайс-лист или деловое предложение, придётся приобретать беспроводной принт-сервер (такие выпускает, например, компания Linksys) — это коробочка с парой антенн, подключаемая к обычному принтеру.
   Мобильный офис с большей площадью и населённостью придётся оборудовать так называемой «точкой доступа» (Wireless Access Point или сокр. WAP или AP). Это устройство исполняет функции коммутатора и/или маршрутизатора, а также способствует увеличению дальности действия беспроводной сети до 200 метров. Как правило, точка доступа располагается высоко на стене или даже на потолке офиса.