![]() ![]() |
|
|
Magunkról Megoldásaink Referenciák Elérhetőség |
Miért van szükség hálózat monitorozásra?
|
| Szabvány | Média | Max. sebesség | Max. távolság |
| 100GBaseLR4 | 10µm/1310nm mono-modusú optika | 100Gbps | 10km |
| 100GBaseER4 | 10µm/1310nm mono-modusú optika | 100Gbps | 40km |
| 100GBaseSR10 | OM3 multi-modusú optika | 100Gbps | 100m |
| OM4 multi-modusú optika | 100Gbps | 125m | |
| 40GBaseLR4 | 10µm/1310nm mono-modusú optika | 40Gbps | 10km |
| 40GBaseSR4 | OM3 multi-modusú optika | 40Gbps | 100m |
| OM4 multi-modusú optika | 40Gbps | 125m | |
| 40GBaseT | Cat7a kábelen | 40Gbps | 50m |
| Szabvány | Média | Max. sebesség | Max. távolság |
| 10GBaseLR | 10µm/1310nm mono-modusú optika | 10Gbps | 10km |
| 10GBaseER | 10µm/1550nm mono-modusú optika | 10Gbps | 40km |
| 10GBaseSR | 62,5µm/850nm multi-modusú optika | 10Gbps | 26-33m |
| 50µm/850nm multi-modusú optika | 10Gbps | 66-82m ** | |
| 10GBaseT | UTP / FTP - Cat6a kábeleken | 10Gbps | 100m |
| FTP - Cat6 kábelen | 10Gbps | 100m | |
| UTP - Cat6 kábelen | 10Gbps | 37-55m * |
* 10GBaseT link távolsága a használt kábel minőségétől függ!
** OM3-as és OM4-es kábelekkel 300 ill. 550 méter is elérhető.
Bővebb információ: 10 Gbps sebességű hálózatok
| Szabvány | Média | Max. sebesség | Max. távolság |
| 1000BaseT | UTP / FTP - Cat5e,6 kábeleken | 1Gbps | 100m |
| 1000BaseSX | 62,5µm/850nm multi-modusú optika | 1Gbps | 220m |
| 50µm/850nm multi-modusú optika | 1Gbps | 550m | |
| 1000BaseLX | 9µm/1300nm mono-modusú optika | 1Gbps | 5km |
| 1000BaseZX | 9µm mono-modusú optika | 1Gbps | 70km |
| Szabvány | Média | Max. sebesség | Max. távolság |
| 100BaseTX | UTP / FTP - Cat5,5e,6 kábeleken | 100Mbps | 100m |
| 100BaseFX | multi-modusú optika (full-duplex) | 100Mbps | 2km |
| multi-modusú optika (half-duplex) | 100Mbps | 412m | |
| mono-modusú optika | 100Mbps | 10km |
| Szabvány | Média | Max. sebesség | Max. távolság |
| 10Base2 | koax | 10Mbps | 185m |
| 10BaseT | UTP / FTP - Cat3,5,5e,6 kébeleken | 10Mbps | 100m |
| 10BaseFL | multi-módusú optika | 10Mbps | 2km |
| mono-módusú optika | 10Mbps | 10km |
Telefonos megbeszélés és helyszíni felmérés után, az Ön cégének legmegfelelőbb megoldást tudjuk ajánlani.
Forduljon hozzánk bizalommal, vagy használja Ajánlatkérő űrlapunkat >>
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
A már meglévő WAN kapcsolatok, pl. bérelt vonalak, felhasználhatók az adatkommunikáción felül beszéd és fax átvitelére is. Az egyes telephelyeken lévő telefon-alközpontok közvetlenül csatlakoztathatók VoIP funkcionalitással bíró routerekre (ezek a routerek biztosítják az adatátvitelt is a telephelyek között) és máris használható a hangátvitel az IP hálózaton.
Ez a megoldás a telefonos költségek jelentős csökkenését jelenti, mivel megszűnik a távközlési díj. A telephelyeken kiépített telefonos hálózat pedig változtatás nélkül felhasználható, mindössze az alközpont és a router összekötéséről kell gondoskodni. Ezt a megoldást abban az esetben érdemes alkalmazni, amikor nagy a hívások száma az egyes telephelyek között.
Cél: a "hagyományos" (hangátvitelre kifejlesztett) telefonközpontok és készülékek kiváltása integrált adat-hang átviteli rendszerrel. A beszéd átvitele, a már kiépített, helyi számítógép-hálózaton keresztül történik, nincs szükség telefonközpontra. Az adat-hang integrációról egy speciális vezérlő egység gondoskodik, amely akárcsak az IP telefonok, a helyi Ethernet hálózatra kapcsolódik. Lehetőség van szoftver-telefon használatára is, amelyen a fizikai telefonokkal azonos funkciók érhetők el.
Ez a rendszer az adatátvitelen felül, alkalmas telefonközpont funkciók ellátására is. A felhasználók saját hangpostával rendelkeznek, hívási jogosultságok állíthatók be, kialakítható titkársági (központos) telefon, stb. Új lokális hálózat kiépítésekor, mindenképpen érdemes figyelembe venni az IP telefon kínálta lehetőségeket és előnyöket. Nem kell külön telefonos és számítógépes-hálózatot kiépíteni. Ugyanazon a kábelen történik az adatátvitel és a telefonálás. Nem szükséges telefonközpont sem.
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
Előfordul, hogy valamilyen okból kábelhálózat kialakítása egyáltalán nem, vagy csak részben lehetséges, esetleg nem praktikus. Ilyenek lehetnek például: műemlék épületek, tantermek, előadó termek, ideiglenes hálózatok. Ezekben az esetekben javasolt a WLAN-ok alkalmazása.
Ezen megoldások előnye a "hagyományos" vezetékes hálózattokkal szemben, hogy csak részben, illetve egyes esetekben egyáltalán nem igénylik a kábelezési rendszer kiépítését. További előny az egyes felhasználók igen nagy mértékben növekedett mobilitása. Egy vezeték nélküli munkaállomás egy irodából egy másikba való áthelyezése a hálózat semmiféle átkonfigurálását nem igényli.
A vezeték nélküli hálózat alapvetően két eszköztípusra épül. Az első az úgynevezett "elérési pont" (Access Point), amely a meglévő vezetékes hálózat és a vezeték nélküli hálózati kártyával rendelkező számítógépek kapcsolatát biztosítja. Természetesen ez gondoskodik a fent említett munkaállomások egymás közti kommunikációjáról is. A másik eszköztípus az előzőeknek megfelelően a hálózati kártya.
Jelenleg az elérhető maximális sebesség 300Mbps, ez azonban a vételi viszonyok függvényében akár 1Mbps-ra is visszaeshet. Az elérési pontok a vett jel erősségének és minőségének megfelelően csökkentik, illetve növelik az adatátviteli sebességet, biztosítva ezzel a folyamatos kommunikációt az egyes hálózati elemek között. Az átállás automatikus, külső beavatkozást nem igényel.
A hálózat sebessége miatt nem javasolt, hogy egy elérési pont 10-15-nél több felhasználót szolgáljon ki. Tipikus kiépítés lehet pl., hogy egy központi aktív eszközre (csavart-érpáras portokkal) csatlakoznak az egyes elérési pontok, a felhasználók pedig WLAN hálózati kártyával ezen elérési pontokon keresztül kommunikálnak. A nagy adatforgalmat bonyolító munkaállomásokat illetve a szervereket jelenleg még közvetlenül erre a központi eszközre (pl. switch) javasolt kapcsolni. Természetesen nincs elvi akadálya annak, hogy ezekbe is WLAN kártyákat tegyünk.
Lehetőség van épületek közti adatátvitelre is vezeték nélküli megoldásokkal. Ebben az esetben a két antenna közt fizikai rálátás kell legyen. Az elérhető sebesség ebben az esetben is 300Mbps maximálisan. Az áthidalható maximális távolság pedig antenna függvénye, néhány száz métertől, akár több km-ig.
Napjainkban egyre elterjedtebb komplex rendszerek (több, mint 6-8 Access Point) esetében az un. kontroller használata, mely a vele együttműködő Access Pointokkal együtt leginkább a vastag szerver - vékony kliens architektúrához hasonlítható. A kontrollereken keresztül központosított menedzsment valósítható meg, nem szükséges az Access Pointokat egyesével lekérdezni, konfigurálni, és olyan funkciók használata érhető el könnyedén, mint a roaming, automatikus teljesítmény növelés/csökkentés, idegen Access Point és betörés detektálás.
Ezt a jelenleg legnagyobb vezeték nélküli sebességet biztosító szabványt 2009 októberében véglegesítette az IEEE. A közel 7 évig tartó kidolgozási folyamat során számos tervezet (un. draft) látott napvilágot, melyek közül a 2.0-ás a legelterjedtebb. Ezen draft alapján jó pár gyártó már évekkel ezelőtt piacra dobta .11n 2.0-ás eszközeit, melyek a végleges szabvány támogatásához az összes hardware-es feltétellel rendelkeznek, csak software csere vagy frissítés szükséges a teljes 802.11n kompatibilitáshoz.
A 802.11n olyan technológiai újítások összessége, melyek bevezetésével nagymértékben növekedett az e szabványt támogató vezeték nélküli hálózatok teljesítménye, megbízhatósága, biztonsága. Ezen előnyöket elsősorban a MIMO antenna technológia bevezetésével, rádiós és MAC rétegen belüli technológiai fejlesztésekkel sikerült elérni.
MIMO
A MIMO (multiple-input, multiple-output) jelentése: több rádió és antenna használata az adó és a vevő oldalán, növelve ezzel a teljesítményt és az adatsűrűséget. E technológia a 802.11n lelke - ez teszi lehetővé a stream-enkénti 150Mbps-os sebességet, ami 2 stream használata esetén az elterjedt 300Mbps-ot képes biztosítani (elméleti sebességhatár 4 stream esetén 600Mbps!). Egy MIMO eszköz - több rádiója és antennája révén - több jelet küld egyidőben ugyanazon címzettnek, és képes előnyt kovácsolni a "multipath" jelenségből. (rádió jel több úton történő eljutása a címzetthez, egy antennás eszközök esetében interferencia léphet fel)
Rádió technológia
Legfőbb újítás a "csatorna összefűzés", mely a korábbi szabványok által használt 20MHz-es sávszélesség duplázását jelenti 2 szomszédos csatorna összefogásával és egyidőben történő használatával. Fejlettebb modulációval és a jelegységek (symbolok) interferenciáját kiküszöbölő "védelmi időközök" (guard interval) csökkentésével további teljesítmény és sebességnövekedés tapasztalható a régebbi szabványokhoz képest
MAC rétegbeli fejlesztések
A "Keret egyesítés" (frame aggregation) egy technológia, mely növeli az átvitelt kettő vagy több keret egy jeltovábbításban történő együtt küldésével. Bizonyos esetekben a frame aggregation nem lehetséges (pl. az összefogandó kereteknek különbözőek a címzettjei), ilyenkor az RIFS (reduced interframe space) technológia segítségével lecsökkenthető a keretek közti várakozási idő.
A vezeték nélküli eszközök köztudottan energia éhesek, különösen igaz ez a több rádióval és kiterjesztett funkciókkal rendelkező .11n-es eszközökre. A hatékony energia gazdálkodás érdekében fejlesztették ki a Spatial Multiplexing Power Save (SM) metódust, mely 1 kivételével lekapcsolja az összes rádiót a kliensben, és egy bizonyos vezérlő jel érkeztéig ebben az energia takarékos üzemmódban működik tovább az eszköz.
Fontos megemlíteni, hogy a 2,4GHz-en és 5GHz-en működő n-es szabvány kompatibilis a korábbiakkal (802.11a, b/g), azaz un. mixed (vegyes) módban képesek együtt működni a különböző szabványokat támogató eszközök Az ehhez szükséges vezérlő jelek és "védelmi mechanizmusok" azonban jelentős plusz hálózati forgalmat generálnak, ami lényegesen csökkenti a teljes vezeték nélküli rendszer sebességét, átviteli képességét egy tisztán 802.11n-es rendszerhez képest.
A 802.11n szabvány előírja a klienseknek a WMM/11e quality of service (QoS) protokoll támogatását, ami elsősorban multimédiás tartalmak továbbításában játszik kulcsfontosságú szerepet. Követelmény még az AES titkosítás használata az összes linken, ill. a WPA2 védelem használata a teljes vezeték nélküli rendszerben.
Szabvány | Működési frekvencia | Maximális adatátviteli sebesség | Hatótávolság beltéren (függ a falak minőségétől) | Hatótávolság szabad téren |
802.11a | 5 GHz | 54 Mbit/s | ~35 m | ~120 m |
802.11b | 2.4 GHz | 11 Mbit/s | ~38 m | ~140 m |
802.11g | 2.4 GHz | 54 Mbit/s | ~38 m | ~140 m |
802.11n | 2.4 GHz | 300 Mbit/s | ~70 m | ~250 m |
A WLAN természetéből adódóan, a hálózaton átvitt adatok illetéktelen felhasználók számára is könnyen hozzáférhetők, lehallgathatók. Ezért üzleti célú felhasználásnál elengedhetetlen de otthoni használatnál is javasolt megfelelő felhasználó azonosítás és adatforgalom titkosítás.
Példák felhasználó azonosításra:
- MAC cím szűrés
- RADIUS szerveres azonosítás
Példák titkosításra:
- WEP (régebbi technológia, könnyebben feltörhető)
- WPA/PSK
- WPA2/PSK
Vállaljuk az ideális megoldás megtervezését és beüzemelését komplex irodai vagy ipari környezetben (csarnokok, raktárak)!
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
Az Önálló AP-s megoldások problémáinak kiküszöbölésére, illetve új - önálló APk alkalmazása esetén elképzelhetetlen - funkciók megvalósítására született a központi vezérlőegységet (kontrollert) tartalmazó vezeték nélküli hálózati rendszer.
Problémák az első generációs, önálló, egymástól független hozzáférési pontokból (Access Point) álló rendszerek esetén:

A fenti ábra szerinti struktúrában valamennyi Access Point (AP) a kontrollerhez csatlakozik (join). A csatlakozás feltétele, hogy az APk megfelelően hitelesítsék magukat (pl. tanúsítvány alapján). A csatlakozott APk és a kontroller között egy csatorna kerül kialakításra, ezen keresztül történik az adatátvitel. A vezeték nélküli kliensek forgalma áthalad a kontrolleren, ezért a kontroller és a helyi hálózat közti kapcsolatot megfelelően méretezni kell. (pl. 1 Gigabit sebességű kontroller port maximum 20-25 AP-t szolgáljon ki.)
AP mód: Ez az alapértelmezett üzemmód, vezeték nélküli kliensek tudnak csatlakozni a hálózatra.
REAP mód: Távoli telephelyeken (Fiókiroda) üzemelő APk, WAN kapcsolaton keresztül tudnak csatlakozni a kontrollerhez. Valamennyi adat áthalad a központi kontrolleren és emiatt a WAN kapcsolaton keresztül is.
HREAP mód: A WAN kapcsolatok tehermentesítésére szolgál, csak a központi telephelyre irányuló adatok haladnak át a kontrolleren, a helyi (fiókirodai) forgalmak nem. Ez a javasolt üzemmód távoli telephelyek esetén.
Rogue detector mód: Illetéktelen APk azonosítására szolgál.
Monitor mód: A vezeték nélküli hálózat monitorozására szolgál, lehetőség van pl. betörés detektálásra. Ebben az üzemmódban nem csatlakozhatnak az APre kliensek.
Sniffer mód: A hálózati forgalom naplózására szolgáló üzemmód. A gyűjtött adatok segítségével lehetőség van a hálózati forgalom elemzésére.
Bridge mód: APk közti pont-pont kapcsolat kialakítására szolgál.
Az egyes APket nem kell, illetve nem is lehet külön-külön konfigurálni. Valamennyi rendszerparamétert (SSID, titkosítás, jelszavak, stb.) a kontrolleren kell állítani, módosítani. Az egyes APk önállóan nem képesek üzemelni, ezért pl. lopás esetén a jelszavak és egyéb kritikus információk nem nyerhetők ki az APből.
A környezet fizikai paramétereinek megfelelően a kontroller automatikusan beállítja az egyes APk működési csatornáját, illetve adóteljesítményét. Ezzel optimalizálva a lefedett területet pl. jelerősség, zaj, interferencia szempontjából. Önálló APk esetén ezt a műveletet kézzel kell elvégezni, illetve a fizikai környezet változásait követni a konfigurációkkal.
A vezeték nélküli kliensek mozgása esetén előfordul, hogy egyik APról másikra csatlakoznak. Önálló APk esetén ebben az esetben újra lejátszódik a teljes csatlakozási folyamat (kliens azonosítása, IP cím kérése, stb). Ez a folyamat időigényes, illetve a felépített kapcsolatok megszakadásával járhat. Kontrolleres rendszerek esetében nincs ilyen probléma, mert a kontroller tárolja a bejelentkezett kliensek adatait, ezért AP váltáskor nem szükséges az újra csatlakozás. Ennek köszönhetően pl. a vezeték nélküli IP telefonhívások nem szakadnak meg roaming esetén.
Kritikus adatok továbbításához, pl. hang, video, stb. elengedhetetlen megfelelő átviteli minőség biztosítása. Az adatok késleltetése, elvesztése, késleltetés változása (jitter) negatívan befolyásolja az átvitel minőségét. Telefonbeszélgetés esetén pl. akadozik, kimarad, vagy esetleg egyirányú a kapcsolat. Ezeket a problémákat, a hálózat QoS paramétereinek megfelelő beállításával lehet minimalizálni. Kontrolleres rendszer esetén globálisan történik a megfelelő forgalom prioritások, garantált sávszélesség értékek beállítása. Így a teljes WiFi rendszerben azonos szolgáltatás minőség érhető el. Önálló APk esetében minden egyes eszközön egyesével kell beállítani a QoS paramétereket, illetve ezeket a hálózat egészére össze kell hangolni. Ez nehézkes és időigényes feladat.
A vendég felhasználók elkülönítése a belső hálózattól, mind biztonsági, mind sebességbeli problémák kiküszöbölésére javasolt. Pl. szeparált VLAN kialakítása saját, szórt hálózati azonosítóval (SSID broadcast).
Lehetőség van az egyes kliensek fizikai helyzetének meghatározása, nyomon követésére, illetve megjelenítésére.
Mivel a teljes vezeték nélküli rendszer működése a központi kontrolleren múlik, ezért kritikus rendszerek esetén javasolt redundáns kontrollereket alkalmazni. Ebben az esetben valamennyi hálózati paraméter, mindkét kontrollerben rendelkezésre áll. Az elsődleges kiesése esetén a tartalék automatikusan át tudja venni a szerepét. A redundáns kontrollerek un. Mobility Group konfigurálással szinkronizálják a hálózat működési paramétereit. Ennek segítségével a redundancia biztosításán felül, hálózati terhelés megosztás és kontrollerek közti roaming is megoldott.
Ha szeretné tudni, hogy az Ön hálózatában milyen megoldást javaslunk, írjon a szolgaltatas@lan.hu címre, mérnökeink rövid időn belül megkeresik Önt.
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.LAN.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
A vezeték nélküli hálózatok esetében a levegő az adatátviteli közeg, ezért gond nélkül lehallgathatók. Néhány szempont, amit a védelem kialakításánál figyelembe kell venni:
Alábbiakban részleteket találhat a:
Lehallgatás egy PC segítségével:
A hálózat hatósugarában elhelyezett PC-vel észrevétlenül gyűjthető a hálózati forgalom.
Pár perc vagy óra elég egy gyenge (pl. WEP) titkosítás esetén, hogy a támadó észrevétlenül hozzáférjen a cég belső hálózatához.
Rouge AP:
A hálózatba több módon is kerület idegen AP:
- A felhasználók valamelyike csatlakoztatja, hogy pl. az otthonról hozott notebookról egyszerűen kacsolódhasson a hálózatra. Ebben az esetben igen valószínű, hogy nem megfelelő védelmi beállításokkal működik az eszköz - akár open üzemmódban - ezáltal könnyen hozzáférhetők a forgalmazott adatok.
- Rosszindulatú támadó által elhelyezett idegen AP segítségével az arra csatlakozó gépeken tárolt adatok hozzáférhetővé válnak.
Engedélyezett Ad-Hoc hálózatok:
Amennyiben a kliens gépek közti direkt kapcsolat engedélyezve van a hálózatba kapcsolt számítógépek bármelyikén, akkor ezen keresztül hozzáférhetővé válhat a teljes rendszer.
A támadó csatlakozhat az ilyen gépekre és azokon adatokat érhet el, sőt amennyiben az érintett gépnek vezetékes kapcsolata is van, akkor a teljes hálózatot eléri. Az Ad-Hoc üzemmódot mindig érdemes tiltani.
Denial of service:
Több módszer is létezik a hálózat normál működésének megbénítására:
- Egy vezeték nélküli kliens segítségével bombázható a kiválasztott AP kérésekkel, ezáltal leállítva annak normál működését.
- Másik lehetőség, nagy teljesítményű antennával sugározva a használt csatornákon,
a normál hálózati forgalom lehetetlenné válik.
Mindkét módszernél aktív beavatkozás történik a hálózatba, ezért ezek a támadások könnyen detektálhatók. Azonban a rendszer működésében mindenképp kimaradást okoznak.
MAC spoofing:
A hálózatban ténylegesen engedélyezett gépek egyikének MAC címét állítja be saját gépén a támadó és így fér hozzá a rendszerhez.
Network Injection:
Bizonyos nem titkosított hálózati forgalmak hamisításával pl. Spanning Tree, egyes routing protokollok: OSPF, RIP, vagy a redundanciát biztosító HSRP lehetőség van a hálózati aktív eszközök félrevezetésére, ezáltal a forgalmak elterelésére. Ez a módszer akár teljes rendszerleállást is okozhat.
SSID broadcast tiltása:
Ez a módszer gyakorlatilag nem nyújt védelmet, mivel lehallgatásos módszerrel pár perc alatt ismerté válik. Bizonyos szempontból érdemesebb engedélyezni az SSID szórást, mert ebben az esetben a hibakeresés egyszerűbb. Pl. egy vezeték nélküli kliens nem tud csatlakozni a hálózatra, akkor könnyen ellenőrizhető, hogy az adott hálózat elérhető-e.
MAC address szűrés:
Ezzel a módszerrel sem lehetséges megfelelő biztonsági szint kialakítása. Lehallgatással ugyanis a MAC address-ek gyakorlatilag azonnal ismerté válnak. (Természetesen csak azok, amelyek éppen forgalmaznak a hálózaton.) Ezen címek másolása nem okoz problémát, a rosszindulatú támadó saját eszközének (pl.. notebook) kiosztja a használt címek egyikét és máris hozzáfér a hálózathoz.
Statikus IP címzés: (nincs DHCP)
Kisebb hálózatok esetén alkalmazható módszer. Céges/vállalati környezetben gyakorlatilag nem érdemes alkalmazni, mert befektetett munkához (minden vezeték nélküli kliensen kézzel IP cím állítása) képest, minimális plusz védelmet nyújt.
WEP-PSK: (Wired Equivalent Privacy, 40bit illetve 128bit titkosító kulcs)
A vezeték nélküli hálózatok első titkosítási eljárása volt, amely gyakorlatilag azt célozta meg, hogy a vezetékes rendszerekkel egyenrangú védelmet nyújtson. Ezt a célt közel sem sikerült elérni. Töréséhez nagy számban állnak rendelkezésre ingyenes programok, amelyek nem igényelnek különösebb szakértelmet sem. A WEP feltöréséhez csak megfelelő számú csomag lehallgatására van szükség, vagyis minél inkább használatban van egy vezeték nélküli hálózat annál rövidebb idő alatt lehetséges.
WPA-TKIP-PSK: (Wi-Fi Protected Access, Temporal Key Integrity Protocol, Pre Shared Key)
A WEP kiváltására kifejlesztett eljárás, amely gyakorlatilag a TKIP protokollt használja a hálózat védelmére. Ez a módszer megfelelő szintű védelmet nyújt abban az esetben, ha kellő hosszúságú és bonyolultságú a titkosító kulcs. (pl. minimum 12 karakter)
Feltörése több módszerrel is lehetséges:
1, Megfelelő mennyiségű lehallgatott adatmennyiség után próbálgatásos módszerrel (brute force).
2, A TKIP protokoll sebezhetőségét kihasználva.
WPA2-AES-CCMP-PSK (256 bit titkosító kulcs)
A TKIP protokoll helyett az AES titkosítást használja. A megfelelő hosszúságú titkosító kulcs itt is elengedhetetlen. Feltörése ugyanis, akár a WPA1 esetében, próbálgatásos módszerrel történhet.
WPA2-Enterprise: (802.1X, dinamikus titkosító kulcs)
Vállalati környezetben e módszer használata javasolt, mivel jelenleg ez nyújtja a legmagasabb védelmi szintet. A felhasználók azonosítása egy központi adatbázisból (pl. Active Directory) történik RADIUS szerver segítségével. A megfelelő hálózati infrastruktúra kialakítása ugyan bonyolultabb, mint PSK használata esetén, de egyértelműen megéri a befektetett energiát. Ebben az esetben ugyanis a statikus titkosító kulcs (PSK) helyett dinamikusan változó kulccsal történik a forgalom titkosítása, így a korábbi eljárások esetében használható próbálgatásos törési kísérletek nem alkalmazhatók.
Wireless IDS, IPS: (Intrusion Detection System, Intrusion Prevention System)
A betörési kísérletek megfelelő időben történő detektálás, megakadályozása igen fontos szempont vállalati környezetben használt vezeték nélküli hálózatok esetében. A megfelelő rendszerek kialakításához homogén eszközparkból összeállított, kontrolleres rendszerek alkalmazása javasolt.
E rendszerekben a hálózatba kapcsolt AP-k nem mindegyike szolgálja ki a felhasználókat, egy részük figyelő, betörés detektáló üzemmódban működik és egy központi menedzsment rendszerrel együttműködve végzi a rosszindulatú hozzáférési kísérletek kiszűrését.
A betörés detektáló illetve megelőző rendszerek segítségével lehetőség van:
- Rouge AP-k (idegen AP-k) detektálására, fizikai elhelyezkedésük meghatározására.
- Idegen Wi-Fi kliensek (pl. hacker, szomszédos hálózat, otthonról behozott notebook, mobiltelefon) detektálására, fizikai elhelyezkedésük meghatározására.
Általánosságban elmondható, hogy vezeték nélküli hálózat használatakor mindig alkalmazzuk a lehetséges legerősebb biztonsági eljárásokat. Otthoni/kis irodai hálózatban pl. WPA2-PSK, vállalati környezetben WPA2-Enterprise, illetve lehetőség szerint alkalmazzunk valamilyen betörés detektáló rendszert.
Amennyiben lehetőség van rá, a vezeték nélküli hálózati szegmenset tűzfallal válasszuk le a belső hálózatról. Ebben az esetben szabályozható, hogy mit érjenek el a Wi-Fi kliensek, illetve a tűzfal logjainak elemzése segít az esetleges támadási kísérletek azonosításában.
A biztonságos Wi-Fi megoldáshoz szinte elengedhetetlen kontroller alkalmazása, melyről korábbi Kisokos cikkünkben olvashat bővebben.
Ingyenes telefonos megbeszélés és/vagy helyszíni felmérés után, az Ön cégének legmegfelelőbb megoldást tudjuk ajánlani.
Forduljon hozzánk bizalommal a szolgaltatas@lan.hu címen.
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.LAN.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
Hálózata a külső kapcsolatokon keresztül, folymatosan támadásnak van kitéve. Nem kell feltétlenül arra gondolni, hogy valaki direkt Önt akarja támadni - bár azért ez is előfordul, ha kellően ismert -, az Internet óriási méretű, ezerszám vannak akik keresik a védtelen rendszereket, hogy azokat a saját céljaikra használják.
A tűzfal feladata, hogy hálózatát megvédje az illetéktelen külső és belső támadásoktól, úgy hogy közben biztosítja a munkához szükséges folyamatos és biztonságos adatátvitelt.
Minél több külső kapcsolata van cégének (Internet, VPN behívás - otthoni munka, WEB oldal, E-mail) és minél jobb (állandó) kapcsolata (ADSL, Mobil Internet (3G), bérelt vonal) annál nagyobb a támadás veszélye.
A beállított szabályok szerint korlátozza a forgalmat, valamint felismeri és megakadályozza a tipikus támadásokat.
Napjainkban az alap tűzfal funkciók kibővültek betörés detektálás és megelőzés, valamint spam szűrés funkciókkal.
Szoftveres: szerverre telepített tűzfal program (szoftvert vásárol és Ön biztosítja hozzá a hardvert)
Hardveres: külön erre a célra fejlesztett eszköz (hardvert és szoftvert egyben kapja meg)
Magunk részéről a Cisco vagy D-Link hardveres megoldásokat javasoljuk.
A D-Link termékeket kis irodákban és otthoni hálózatokban célszerű használni,
míg Cisco tűzfalakkal akár a több ezer felhasználós hálózat komplex védelmét is biztosítani tudjuk.
Kapcsolódó témakörök:
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
Napjainkban vállalatok közötti kommunikáció jelentős része az Interneten továbbítódik. Sokan nem is gondolnak rá, hogy kódolatlan adatforgalom esetében fennáll a veszély, hogy illetéktelen személy felhasználja az adatokat, hiszen a hozzáférés a publikus hálózaton keresztül ellenőrizhetetlen.
Természetesen eddig is számos megoldás született azok számára akik megbízható, és illetéktelenek számára hozzáférhetetlen kapcsolatot kívántak létesíteni pl. telephelyeik között. A legelterjedtebb megoldás a bérelt vonal, mely jól használható, de mint tudjuk az állandóan foglalt sávszélesség a legdrágább dolog a szolgáltatóknak és így nekünk is. A VPN egy olyan Virtuális Magánhálózat, amely az adatok továbbítására a jól bevált globális és nyilvános kommunikációs hálózatokat, leggyakrabban az Internetet veszi igénybe. Így egyetlen hálózatba köthetünk tetszőleges számú, egymástól tetszőleges távolságban lévő pontokat anélkül, hogy fizikai értelemben saját hálózatot kellene építenünk, vagy költséges módon közvetlen vonalakat kellene bérelnünk.
A VPN 3 szinten védi a kommunikáció titkosságát. Biztosítja, hogy az adatokhoz a hálózat tagjain kívül senki se férhessen hozzá, senki ne tudjon hamis identitással bejelentkezni. Ennek köszönhetően a hálózat pontosan úgy működik, mint egy Internettől teljesen különálló hálózat.
A védelem szintjei:
VPN szerver: számítógép, mely elfogadja a VPN kapcsolódási kérést a klienstől, és biztosít egy távoli hozzáférést, vagy router esetében router-to-router kapcsolatot.
VPN kliens: számítógép, mely kezdeményezi a kapcsolatot. VPN kliens lehet egy egyedi számítógép, mely egy távoli hozzáférési (remote access) VPN kapcsolatot kezdeményez, illete egy router, ez esetben router-to-router VPN kapcsolatról beszélünk.
Csatorna: A bújtatott (újracsomagolt, tömörített és titkosított) csomagokat a rendszer az alagút belsejében továbbítja a hálózaton keresztül.
Tunneling protokoll: kommunikációs protokoll mely biztosítja a csomagok beágyazását, az útvonalválasztást és a beágyazás megszüntetését a célállomáson.
Az új csomag eltérő címzési és útválasztási információt tartalmazhat, amely lehetővé teszi, hogy átjusson egy hálózaton. A bújtatás és a titkosság együttes használatakor az eredeti csomag adatai (például az eredeti forrás- és célcím) nem láthatók a hálózati forgalmat figyelők számára. Amikor a beágyazott csomag elérte a célját, a beágyazás megszűnik, és a csomag az eredeti fejléccel teszi meg a végcélhoz vezető útvonalat.
Átvivő hálózat: osztott vagy nyilvános hálózat mely a titkosított adatcsomagokat továbbítja (leggyakrabban Internet)
Önnek is megvalósítjuk céges VPN megoldását!
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
A VLAN lehetőséget biztosít számunkra, hogy anélkül osszuk független csoportokba a végpontokat, hogy fizikailag külön eszközökkel külön hálózatokat építenénk.
Tegyük fel, hogy szeretnénk létrehozni egy épületen belül két osztályt, melyeket egymástól teljesen el akarunk különíteni. A "VLAN1" csoport ne lássa a "VLAN2" csoport hálózatát és fordítva. Szeretnénk továbbá, ha pár vezető mindkét hálózatot használhatná.
Első lépésben VLAN képes switchekkel kell a hálózatunkat meghajtanunk. Az eszközökön portonként ki kell osztani, hogy ki tartozzon a VLAN1 és ki a VLAN2 csoportba. Ez a legegyszerűbb kiépítés, a VLAN-ok külön hálózatokat képeznek, azaz csak az azonos VLAN-ban lévő gépek képesek kommunikálni egymással.
Egy VLAN-ok kezelésére alkalmas switch több VLAN-t is kiszolgálhat, ahogy ezt az ábra is szemlélteti. Portonként beállítható, hogy az adott gép számára "VLAN1" vagy "VLAN2", esetleg mindkét hálózat legyen elérhető (ebben az esetben a számítógép IP címe dönti el, melyik hálózathoz tud kapcsolódni).
Ha biztosítani szeretnénk a VLAN-ok közötti átjárhatóságot és azt, hogy ezt csak a feljogosított személyek tehessék meg, egy routerre vagy egy Layer3 tulajdonságokkal rendelkező központi switchre van szükség.
Layer3 tulajdonságokkal rendelkező központi switch, egyesíti magában egy switch és egy router képességeit így új hálózatok esetében használata mindenképpen kifizetődőbb.
Layer3-as switcheken a portokon folyó adatforgalmat ip cím és típus alapján szűrhetjük. Routerhez hasonlóan "hozzáférési listákat" (access-list) rendelhetünk a portokhoz - letiltva pl. az internetes adatforgalmat.
A példaként szereplő VLAN-okat kiszolgáló hálózat megvalósításához szükséges, hogy a központi eszközön Layer3 szoftver fusson, és a többi switch képes legyen a VLAN-ok kezelésére.
A switchek - a példa két virtuális hálózatával ellentétben -, több ezer VLAN kezelésére képesek.
A VLAN kialakításának jelentősége napjainkban egyre növekszik. Az integrált hálózatokban (pl. adat-hang Ethernet-en keresztül), külön Virtuális LAN-okat javasolt kialakítani a hang és az adat számára.
Egyéb alkalmazási terület lehet például, különböző biztonsági szintű hálózati szegmensek kialakítása. (DMZ zónák)
A cégen belüli felhasználói csoportokat külön szegmensekre oszthatók, csökkentve ezzel az egyes szegmensek forgalmát és szabályozhatóvá téve a szegmensek közti átláthatóságot.
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
A jogosulatlan hozzáférés rengeteg veszélyt hordoz magában, legyen az akár egy szándékos információlopásra irányuló támadás, akár véletlen, például egy rossz jogosultság kiosztásból származó információnyerés, vagy éppen vesztés. Ez a kockázat a legtöbb laikus számára egyet jelent egy külső hackertámadással, ám a veszély nem csak külső, hanem, kevésbé egyértelmű módon, belső forrásból is származhat. Amennyiben egy hálózat nem rendelkezik hozzáférés szabályozással abban az esetben egy szabad végpontra csatlakoztatott bármilyen PC-vel „csak" megfelelő szoftver kérdése, hogy milyen információhoz jut hozzá az illetéktelen felhasználó. Ez ellen sok esetben még a kiszolgálókon beállított jogosultság szabályozás sem nyújt megfelelő védelmet, hiszen vegyünk például egy ARP hamisítással végrehajtott támadást, mely során a támadó egy engedélyekkel rendelkező számítógépnek álcázza magát, és már hozzá is jutott a bizalmas céges információkhoz.
A fenti probléma megoldását jelenti a hálózati aktív eszközökön port szintű felhasználó azonosítás bevezetése (Port Based Authentication, IEEE 802.1X szabvány). Ezzel a módszerrel egy felhasználó (PC) csak abban az esetben tud bármilyen hálózati forgalmat kezdeményezni, amennyiben előzetesen sikeresen azonosította magát. Az azonosítása történhet a vállalat szerverein már meglévő felhasználó adatbázisok alapján (pl. RADIUS szerver Active Directory-ban történő regisztrálásával). A hitelesítés sikertelensége esetén pedig az illetéktelenül próbálkozók semmilyen módon nem tudnak a hálózaton megjelenni, kizárva ezzel az aktív (pl. DoS típusú támadások) és passzív (lehallgatás) támadásokat is.

1. A 802.1X protokollt támogató aktív eszköz azonosítást kér a csatlakoztatott PC-től.
2. A kapott adatokat továbbítja a példa esetében egy RADIUS autentikációs szerver számára.
3. Az autentikációs szerver a saját adatbázisa alapján (pl. Active Directory) eldönti, jogosult-e a felhasználó a hálózat használatára. Ezek alapján visszajelzést küld az aktív eszköznek.
4. Az aktív eszköz a kapott válasz alapján tiltja vagy engedélyezi a PC számára a forgalmazást.
Amikor a kliens csatlakozik a hálózatra, a hálózati hozzáférési pontnak számító aktív eszköz adott portja kezdetben „unauthorized" állapotban van, és csak az ún. EAPOL (Extensible Authentication Protocol Over LAN) típusú üzenetet fogadja el a csatlakoztatott számítógéptől. A port csak a sikeres hitelesítést követően válik áteresztővé. Amikor pedig a hitelesített kliens lecsatlakozik a portról, annak állapota ismét „unauthorized" jelzésűvé válik, ezzel téve lehetetlenné a belső hálózat felől érkező támadásokat.
Élvezze Ön is az IEEE 802.1X szabvány által nyújtott biztonságot!
Rendszermérnökeink megtervezik az Önök rendszeréhez legjobban illeszkedő megoldást!
Hívja Műszaki csoportunkat a 415-2305 telefonszámon vagy
Töltse ki ajánlatkérő űrlapunkat ! >>
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
Kiemelt jelentősége van azon helyeken (szerver helységek, géptermek), ahol a nagy rendelkezésre állásra van szükség.
Segítségével megelőzhetők a rendszerleállások, rendellenes működések - így maximalizálható az IT rendelkezésre állása.
További előnye, hogy megelőzhetővé válnak a nagy értékű szerverek, routerek meghibásodásai - így a védelem ára sokszorosan megtérül!
Funkcionalitás (akár SMS, e-mail riasztással)
Megelőzhető az alábbi események bekövetkezése:
Telefonos megbeszélés és helyszíni felmérés után, az Ön cégének legmegfelelőbb megoldást tudjuk ajánlani.
Írjon a szolgaltatas@lan.hu címre, kollégánk rövid idő múlva felveszi Önnel a kapcsolatot.
Jelen dokumentum a LAN Kft szellemi tulajdona.
Részeinek vagy egészének felhasználása csak a LAN Kft, www.lan.hu
forrásmegjelölés feltűntetésével engedélyezett! Köszönjük.
Hálózati hibák előrejelzése, kritikus eszközök és funkciók monitorozása -> Hibajelzés SMS-ben vagy e-mailben.
Napjaink rohamosan növekvő hálózati sávszélesség igénye elengedhetetlenné teszi a 10 Gbps sebességű infrastruktúra ismeretét.
Kábelezés, optika, szabványok, aktív eszközök.
10 Gigabit, 1000BaseSX/LX, 100 Mbps
Cat6a, Cat5e, multi és mono optika...
Nézzen utána, milyen sebesség és távolság érhető el az egyes szabványok és kábeltípusok használata esetén.
VoIP, és az IP Phone megoldások rövid bemutatása és összehasonlítása
E rendszerekben az adat és hang azonos hálózaton kerül továbbítására, ami jelentős költségcsökkentő tényező, akár a hálózat kiépítési, akár a fenntartási költségeit vizsgáljuk.
|

