BlueSocket WG-2000
BlueSocket
www.bluesocket.com
При изучении беспроводного шлюза WG-2000 компании BlueSocket на ум приходит характеристика «для тяжелых условий работы» и относится она не только к набору функций, но и к документации, которая сопровождает устройство.
Шлюз WG-2000 обеспечивает защиту беспроводных сетей на основе правил, сочетая технологию шифрования с аутентификацией, что эффективно защищает трафик от перехвата. BlueSocket включает также функцию управления качеством обслуживания (QoS), дополнительно повышающую производительность и функциональность беспроводной ЛВС.
Монтируемая в стойку модель WG-2000 заключена в корпус высотой 2U и снабжена тремя портами 10/100/1000 Ethernet, каждый из которых имеет свое назначение. Управляемый порт используется для точек доступа, защищенный порт — для внутренней ЛВС, а третий — для повышения надежности системы за счет резервного подключения к другим устройствам.
Широкий набор функций этой модели может усложнить ее инсталляцию. Компания не предлагает никакого краткого справочника по установке, так что реселлерам придется изучить руководство, чтобы понять основные принципы работы шлюза. Самая большая проблема, с какой столкнутся реселлеры при установке, это задание ролей пользователей, однако те, кто имеет опыт работы с сетями, должны быстро понять принципы наследования и другие основные идеи управления безопасностью.
Первичная установка состоит в том, чтобы подключить устройство соответствующим образом и запустить консоль управления на базе браузера. Опытные сетевые интеграторы вряд ли столкнутся с проблемами при навигации, так как все главные функции можно легко найти, хотя к компоновке управляющих элементов придется привыкнуть. Компания BlueSocket могла бы существенно упростить установку и администрирование, предусмотрев ряд простых мастер-программ, помогающих администратору пройти все этапы базовой настройки.
Прежде всего, требуется задать роли и пользователей. Задание ролей состоит в назначении прав доступа к различным сетевым службам. Администраторы могут также разрешить использование туннелей VPN. Модель WG-2000 позволяет работать с туннелями на базе протоколов IPSec и PPTP.
Конструкция шлюза допускает использование почти любой точки доступа или другого коммуникационного устройства, подключаемого через порт Ethernet, в том числе компьютеры проводной сети, которые могут находиться в зоне общего доступа. В сетях более сложной топологии можно задействовать технологию виртуальных ЛВС (VLAN), что позволяет сегментировать трафик в сети и обеспечивает дополнительные возможности управления. Функции управления качеством обслуживания (QoS) также заслуживают, чтобы на них обратили внимание, так как позволяют администраторам установить каждому пользователю индивидуальную полосу пропускания, что помогает отчасти решить проблемы «узких» мест в перегруженных сетях.
Администраторы найдут, что функции отчетности и графического отображения информации у модели WG-2000 весьма удобны при поиске неисправностей и распределении полосы пропускания. Необходимую информацию можно легко получить с консоли управления. Графики использования полосы пропускания неоценимы при задании правил управления качеством обслуживания в перегруженных сетях. При желании администраторы могут интегрировать средства аутентификации с внешними БД безопасности. Модель WG-2000 совместима с протоколами LDAP, RADIUS и доменами Windows. Это обеспечивает прозрачные защищенные соединения через беспроводную ЛВС и облегчает поддержку конечных пользователей. Там, где не используется прозрачная процедура регистрации, пользователи смогут регистрироваться через Web-страницу, которая автоматически загружается при открытии браузера. Пользователям с правом на VPN-соединение потребуется также клиентское ПО для работы с VPN, сконфигурированное и запущенное перед входом в беспроводную сеть.
Реселлеры найдут модель BlueSocket WG-2000 надежным, но несколько сложным решением.
Fortress AirFortress AF-1100
Fortress Technologies
www.fortresstech.com
Компания Fortress Technologies предлагает устройство AirFortress AF-1100, обеспечивающее шифрование данных в беспроводной сети с использованием программы Secure Client — фирменного клиентского ПО для VPN, которое дополнительно защищает беспроводную передачу с помощью динамически назначаемого ключа, уникального для каждого сеанса.
Выполненная в корпусе размером с книгу модель AF-1100 имеет три порта 10/100 Ethernet: шифруемый порт для соединения с беспроводной ЛВС, нешифруемый порт для подключения к проводной сети и порт расширения для обеспечения отказоустойчивости системы.
Отличие модели AirFortress AF-1100 от других устройств защиты беспроводных ЛВС заключается в том, что в ней сделана ставка на шифрование беспроводного трафика, а не на аутентификацию пользователей. Компания Fortress Technologies вложила немало сил в средства криптографии. Более всего это очевидно в опциях, предложенных для шифрования уровня 2, где можно использовать алгоритмы AES, 3DES и DES. Хотя устройство прежде всего предназначено для надежного шифрования, имеется также возможность реализовать аутентификацию пользователей через сервер Access Control Server (ACS), который обеспечивает регистрацию на основе правил и может быть интегрирован с сервером RADIUS или доменами Windows NT. Сочетание сервера ACS и клиентского ПО Secure Client гарантирует полную безопасность беспроводной ЛВС.
Модель AF-1100 сравнительно проста в инсталляции и управлении; единственная сложность связана лишь с установкой ПО Secure Client на каждое беспроводное устройство и необходимостью выполнить несколько настроек вручную.
Администраторам придется также вручную сконфигурировать сетевые параметры на всех подключенных точках доступа, что усложняет управление и установку по сравнению с другими аналогичными изделиями, но вместе с тем позволяет создавать более защищенную среду.
Устройство управляется через интерфейс на базе браузера, который одновременно является и простым, и мощным. Администраторы быстро научатся использовать главные функции системы. AF-1100 совместимо с протоколом SNMP и, кроме того, позволяет вести журнал событий и статистики.
Ключевым элементом обеспечения безопасности в модели AF-1100 является использование клиентского ПО Secure Client. Оно устанавливается на каждое беспроводное устройство и создает основу для шифрования сеансов. Secure Client необходим для подключения к системе и использует передовые процедуры запроса и подтверждения на основе динамически назначаемых уникальных ключей сеанса. Такая реализация защиты позволяет справиться с целым рядом известных угроз безопасности, включая перехват пакетов, атаки в качестве «посредника» (захват сеанса) и использование ложных MAC-адресов. В модели AF-1100 реализованная передовая технология, благодаря чему устройство получило сертификат FIPs 140 правительства США. Это обстоятельство должно вызвать особый интерес реселлеров, обслуживающих государственные организации.
Учитывая вышесказанное, можно резюмировать, что модель AirFortress AF-1100 обеспечивает самую передовую, «непробиваемую» защиту беспроводных ЛВС для тех, кто готов смириться с некоторыми сложностями управления. Реселлеры найдут, что это устройство включает все основные функции, необходимые для сетей, требующих усиленной защиты.
ReefEdge Connect Server 100 (CS100)
ReefEdge
www.reefedge.com
Реселлерам, обеспечивающим многоуровневую защиту корпоративных беспроводных ЛВС, должен понравиться набор функций устройства Connect Server 100 (CS100) компании ReefEdge, в котором предусмотрено шифрование и аутентификация для клиентов беспроводной сети.
ReefEdge Connect — это фирменное ПО и аппаратные компоненты, заключенные в монтируемый в стойку корпус высотой 1U. Устройство имеет порт 10/100 Ethernet для интеграции с внутренним сегментом защищенной сети и второй порт 10/100 Ethernet для соединения с беспроводной ЛВС. К изделию можно подключить до шести беспроводных точек доступа при использовании вместе с Ethernet-коммутатором или концентратором. Для сетей, требующих более шести точек доступа, можно установить дополнительные контроллеры ReefEdge Edge, чтобы расширить беспроводную инфраструктуру.
На практике ReefEdge Connect работает как защищенный шлюз между беспроводными клиентами и защищенным внутренним сегментом проводной ЛВС. Пользователь беспроводной сети выполняет аутентификацию на устройстве, которое затем открывает ему доступ к сетевым ресурсам в соответствии с установленными политиками. Пользователи могут пройти аутентификацию несколькими способами — от защищенного Web-сеанса до использования внутрикорпоративных средств защиты, таких как домены Windows или сервер RADIUS. Чтобы повысить уровень защиты, компания ReefEdge предлагает использовать клиентское ПО для VPN. Эти два метода образуют непробиваемую защиту, позволяющую предотвратить несанкционированный доступ к беспроводной сети.
Для первичной установки требуется подключить аппарат к существующей инфраструктуре, а затем через последовательный кабель подсоединить ПК к его порту управления — несколько архаичный способ в сегодняшнем мире Web. К счастью, это соединение используется лишь один раз — для ввода IP-адреса и пароля.
Дальнейшая установка и администрирование шлюза осуществляются с помощью утилиты ReefEdge Connect Manager на базе браузера, которая выводит информацию об основных функциях управления и установки в наглядной форме.
Реселлеры найдут Connect Manager удобным инструментом, позволяющим управлять обширным набором функций устройства, не слишком усложняя этот процесс. Во время инсталляции администратору будет предложен хорошо продуманный список заданий установки. Хотя соответствующая мастер-программа могла быть более интуитивно понятной, администраторы с помощью этого списка смогут быстро запустить изделие в работу.
При первичной установке нужно будет принять несколько решений, которые повлияют на всю дальнейшую работу устройства — от методов аутентификации до шифрования. ReefEdge предлагает администраторам либо создать отдельный список пользователей и групп, либо интегрировать функции безопасности с существующими методами аутентификации, такими как домены Windows, LDAP или сервер RADIUS.
Выбор интегрированного метода облегчит пользователям процедуру подключения, позволяя однократно вводить пароль и обеспечивая единые, без лишних стыков соединения. Аутентификация может осуществляться различными способами — от подключения к локальному Web-серверу до использования клиента VPN.
ReefEdge предлагает также утилиту Mobile Domain Utility (MDU), которая служит клиентом VPN для беспроводных систем. MDU может создавать VPN-сеансы, используя туннелирование с помощью либо Microsoft IPSec, либо SafeNet IPSec. Клиентская часть MDU позволяет упростить пользователям процедуру регистрации. Таким образом, ReefEdge предлагает надежную систему управления безопасностью для тех, кто хочет быстро внедрить защиту беспроводных сетей и готов к высоким начальным затратам.
SMC EliteConnect WLAN Secure Server
SMC Networks Inc.
www.smc.com
Представительство в Москве
(095) 789-3573
www.smc.ru
EliteConnect WLAN Secure Server компании SMC Networks позволяет реселлерам просто и быстро внедрить защищенный доступ пользователей к беспроводным сетям с помощью правил.
Небольшое устройство имеет четыре коммутируемых порта 10/100 Ethernet, позволяющих подключать практически любые беспроводные точки доступа. Предусмотрен также отдельный порт 10/100 Ethernet для подсоединения к внутренней проводной сети.
На практике устройство эффективно работает как защищенный маршрутизатор, шифруя трафик между внутренней защищенной сетью и беспроводными клиентами.
Тем, кому требуется более четырех точек доступа, SMC предлагает в качестве дополнения аппарат EliteConnect WLAN Access Manager стоимостью 2300 долл.; каждый из них позволяет подключить еще по четыре точки доступа.
Реселлеры найдут первичную установку изделия Secure Server простой: сначала нужно подключить ПК с помощью кабеля Ethernet к любому из четырех защищенных портов маршрутизатора, а затем ввести в установленный на ПК Web-браузер исходный IP-адрес устройства. В результате будет запущена мастер-программа быстрого конфигурирования, которая поможет выполнить базовую настройку, и уже через несколько минут система будет работать.
Помимо экрана первичного конфигурирования, реселлерам предлагается мощная консоль для управления многими опциями устройства SMC. Предусмотрены экраны почти для каждой опции безопасности, включая поддержку наиболее популярных протоколов VPN, таких как IPSec, PPTP и L2TP. Для тех, кому требуется поддержка RADIUS или 802.1x, компания SMC предусмотрела интерфейсы управления, которые упрощают интеграцию этих методов обеспечения безопасности.
Администраторы могут быстро организовать безопасную работу на основе групп, что позволит управлять правами доступа как отдельных, так и групп пользователей, а также элементами защиты. Для решения более сложных задач могут потребоваться дополнительные усилия. К счастью, продукция SMC совместима с протоколом LDAP, что упрощает решение многих проблем. Возможности администрирования расширяет встроенная поддержка системного журнала и полная отчетность по протоколу SNMP. Если администраторы захотят избавиться от лишних забот, связанных с использованием этих возможностей, они могут положиться на обширные встроенные функции ведения журналов.
SMC приложила немало усилий, чтобы упростить жизнь конечных пользователей. Для большинства из них подключение к защищенной сети будет прозрачным. Реселлерам предлагаются несколько способов представления запроса на регистрацию и управления входом в защищенную сеть, но наиболее удобным является используемый по умолчанию запуск браузера. После того как пользователь подсоединился к точке доступа беспроводной сети, он может просто запустить Web-браузер, на который при первом подключении будет автоматически выведен экран регистрации. После регистрации пользователь получает доступ во внутренний защищенный сегмент сети.
Предусмотрен также «гостевой» режим, который не дает доступа к ресурсам внутренней сети, а только открывает выход в Интернет.
Решение SMC включает множество опций, способных удовлетворить широкие потребности корпоративных заказчиков, а также успешно реализовать базовые схемы защиты в более простых случаях.