Bezdrátové brány řady HP ProCurve 700wl

Debata o tenkých a plných přístupových bodech se evidentně neblíží ke konci (někdo tvrdí, že levné přístupové ...


Debata o tenkých a plných přístupových bodech se evidentně neblíží ke konci
(někdo tvrdí, že levné přístupové body jsou tou správou cestou). HP a její řada
podnikových přístupových bodů ProCurve 500wl stojí na straně plně vybavených
zařízení. Ty lze využít jako samostatné uzly a navíc díky implementované
"centrální inteligenci" řídit prostřednictvím dedikovaného hardwaru
bezdrátových bran řady ProCurve 700wl.
Přístupové body HP jsou semi-inteligentní, plně konfigurovatelné, přičemž
bezdrátová brána ProCurve 700wl se stará o ověřování, přístup k síti a
zajištění bezpečnostních politik, diferenciaci provozu v závislosti na typu
uživatele a také o šifrování.
V nabídce společnosti Hewlett-Packard jsou k dispozici celkem tři modely 720wl
Access Controller, 740wl Access Control Server a konečně model 760wl, který
kombinuje funkce dvou prvně zmíněných zařízení.

Kde jsme to jen viděli?
Je nejdříve nutné zmínit se o tom, že řada HP 700wl si je více než podobná s
řadou 6500 bezdrátových bran firmy Vernier. Je tak zjevné, že HP distribuuje
zařízení Vernier. Jelikož smlouva mezi zmíněnými firmami jim zakazuje se o této
skutečnosti zmiňovat, upozorňujeme právníky, že jsme na to přišli sami.

Co všechno umí?
ProCurve 720wl stojí mezi bezdrátovými přístupovými body a sítí a pracuje ve
spojení s modelem 740wl nebo 760wl. K šifrování bezdrátového provozu využívá
IPsec, PPTP, L2TP/IPsec nebo SSH tunelů a pomocí DES, 3DES, Blowfish, CAST nebo
AES zajišťuje ověřování uživatelů a příslušný přístup k síťovým zdrojům.
Všechny tyto funkce jsou řízeny na okraji sítě, jelikož veškeré bezpečné kanály
jsou ukončeny na zařízení 720wl nebo 760wl.
Zmíněné produkty mají řadu společných funkcí. V srdci systému se nachází řízení
přístupu a správa sítě na základě práv. Správce sítě může tedy blokovat veškerý
provoz až do chvíle, než dojde k ověření uživatele, a povolit pouze takový
provoz, který odpovídá jeho přístupovým právům (nastavit přístupová práva podle
jednotlivých uživatelů, skupin, místa a času). Produkty podporují standardní
ověřování pomocí LDAP, Active Directory, 802.1x, RADIUS, Kerberos a Windows
2000/NT domén. Zahrnuta je rovněž podpora 802.1q VLAN, dovolující
standardizované označování (tagging) podle uživatele nebo přístupového bodu do
sítě. Bezdrátový provoz lze umístit na oddělené VLAN a také využít filtrů na
bázi VLAN ID.
Naše testovací prostředí sestávalo z ProCurve 720wl Access Controlleru,
ProCurve 760wl Integrated Access Manageru, dvojice přístupových bodů HP 520wl a
PC karet standardu 802.11a. Ethernetový přepínač HP ProCurve 2626 jsme pak
využili k propojení zařízení 720wl a 760wl, přičemž každé z nich bylo umístěno
na oddělené podsíti. Při testu bylo využito připojení o rychlosti 54 Mb/s již
zmíněného standardu 802.11a.

Neagresivní bezpečnost
Hodně se mluví o bezpečnostních problémech bezdrátových sítí a situacích, kdy
neoprávněný uživatel získá přístup k síti. I když je možné efektivně přístup
zcela zablokovat, flexibilnější metodou se jeví nastavení základního přístupu
do režimu host (guest). Příležitostní uživatelé tak mohou přistupovat přes
bezdrátovou síť k internetu, ale jejich přístup k interní síti či intranetu je
úplně zablokován. Jde o neagresivní lék na potenciální hackery.
U zařízení řady 700wl lze vytvářet více různých skupin uživatelů a do nich
zařazovat pouze jednotlivce podle potřeby. Vezměme si například dodavatele,
kterému je potřeba dočasně umožnit přístup k WLAN. Ve výchozím nastavení má
obecná skupina uživatelů přístup k libovolné adrese na síti. Nicméně v daném
případě jsme omezili přístup smluvního partnera pouze na ty oblasti sítě, které
potřebují vidět, čili jsme vytvořili "interní" a "externí" síť. Užitečná je
dále volba, kdy dané skupině uživatelů nejsou přidělena implicitní uživatelská
práva (bylo by tak možné okamžitě omezit přístup celé této skupině). Lze ale
stanovit nová pravidla a vytvořit přístupovou politiku pro danou skupinu, nebo
dokonce pro uživatele v rámci této skupiny. V našem případě jsme smluvnímu
partnerovi zpřístupnili pouze jednu ze dvou nastavených testovacích podsítí.
Při testech VPN jsme nastavili Windows XP klienta tak, aby VPN spojení mezi
klientem a zařízením řady 700 bylo zabezpečeno pomocí PPTP a L2TP/IPsec. Poté
jsme ověřili VPN spojení na obou stranách sítě. Produkty řady 700 obsahují
nástroj pro sledování klientů, který zobrazuje všechny aktivní klienty a
aktivní spojení v daném čase včetně počtu spojení u jednotlivých klientů a typu
zabezpečení a šifrování.

Solidní konektivita
Ze všech aspektů bezdrátových sítí je prioritou číslo jedna konektivita. A tu
jsme skutečně důkladně testovali při roamingu napříč hranicemi WLAN, zvláště
mezi podsítěmi.
HP 720wl Access Controller jsme umístili na jednu podsíť a zařízení 760wl jako
Control Server na druhou oddělenou podsíť, přičemž obě byly spravovány posledně
zmíněným produktem. Dva přístupové body 520wl byly nastaveny se stejným SSID
(Service Set Identifier), jeden byl připojen k 760wl a druhý k 720wl. Poté jsme
se jako klient připojili přes jeden přístupový bod a sledovali náš pohyb mezi
podsítěmi. Následně jsme pomocí jednoduchého pingu a ověření zjišťovali, zda si
klient zachová svou původně přidělenou IP adresu a sledovali zachování
konektivity při přepnutí mezi oběma podsítěmi. Vynutili jsme si také opětovné
připojení ke druhému přístupovému bodu jednoduchým vypnutím klienta. Při
roamingu jsme nikdy nezaznamenali více než tři po sobě jdoucí time-outy mezi
obnovením připojení.

Závěr
Kombinace běžné WLAN vystavěné na přístupových bodech se zařízeními, která mají
na starost řízení přístupu, znamená, že kdokoliv, kdo má nějaké zkušenosti s
metodologií bezdrátových sítí orientovaných na plnohodnotné přístupové body, se
nemusí znovu učit, co již zná, ale může jednoduše zvolit přístup, který
využívají produkty řady 700wl, a rozšířit si tak své znalosti. Flexibilita je
dobrá vlastnost a řešení firmy HP vás neomezuje na jednu jedinou cestu. Ve
všech oblastech kontroly přístupu např. ověřování a VPN máte mnoho možností
volby díky široké podpoře různých standardů a protokolů.

HP ProCurve 700wl Series
+co se týče možností přístupu a zabezpečení, tyto produkty přenášejí tradiční
WLAN s plně vybavenými AP do 21. století; široká podpora šifrování a dalších
druhů zabezpečení
-pokud nepodporujete velký počet přístupových bodů, nejedná se o levné řešení
Výrobce: Hewlett-Packard, www.hp.cz
Cena (bez DPH): 720wl 114 461 Kč; 760wl 230 360 Kč (Xanadu, shop.cadstudio.cz)

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.