Sådan optimerer du din virksomheds trådløse netværk
Forbedringer af sikkerheden er en vigtig brik, hvis man vil gøre virksomhedens trådløse netværk til en del af den kritiske it-infrastruktur i stedet for et ekstra netværk, man lader stå åbent for gæster.
Bedre planlægning af netværket og sikkerheden gør det muligt at bruge det trådløse netværk til at give brugerne adgang til kritiske applikationer og data flere steder fra i huset.
Det viser erfaringer fra en række virksomheder, som analysefirmaet Aberdeen Group har indsamlet.
De virksomheder, som har opnået de største forbedringer, har ifølge undersøgelsen været i stand til at øge trafikken på deres trådløse netværk med 229 procent og samtidig øge dækningen med 201 procent. Og vel at mærke på samme tid reducere nedetiden med 121 procent, fremgår det af rapporten.
For at opnå sådanne forbedringer er det ikke nok at kryptere netværket med WPA2. Man skal også implementere en adgangskontrol på netværket, så man er sikker på, at kun godkendte brugere får adgang.
Sikkerheden skal også omfatte eksempelvis Intrusion Detection og Intrusion Prevention sammen med software, som kan håndhæve de sikkerhedspolitikker, der bliver opstillet for netværket.
Det er også vigtigt at bruge en 'sniffer' til at holde øje med, om der bliver opsat falske opkoblingspunkter inden for rækkevidden af netværket, som skal få en bruger til at koble sig på det forkerte netværk og potentielt blotlægge følsomme data.
Udover sikkerheden er man også nødt til at analysere selve radiodækningen, så der bliver mindst mulig interferens mellem opkoblingspunkterne. Det giver både bedre dækning og bedre ydelse.
For at optimere ydelsen er det også nødvendigt at implementere en form for quality-of-service, som kan sikre, at de mest kritiske applikationer får den båndbredde, der er behov for.
Ifølge de erfaringer, som Aberdeen Group har indsamlet, er sikkerheden især vigtig, hvis man lige nu er i den kategori af virksomheder, som måske har et trådløst netværk, men som ikke finder det tilstrækkelig pålideligt til at være en del af den kritiske infrastruktur.
For disse virksomheder gælder det om først at få overblik over, hvordan det står til med sikkerheden og derefter få implementeret tilstrækkelig sikkerhed. Samtidig bør man fokusere på at få uddannet it-supporterne til at kunne løse problemer med det trådløse netværk, så medarbejderne spilder mindre tid på et netværk, som ikke fungerer.
Kommentarer (18)
.. ved trådløse netværk er at analysere omgivelserne.
Alt, alt for mange trådløse netværk bliver klasket op ud fra en betragtning om at vi bor på en øde ø, uden hensyntagen til at frekvenserne (eller dem tæt på) er optaget, og om der kan være andre potentielle forstyrrelser som f.eks. netværk hvor AP godt nok ligger noget væk, men der er risiko for klienter tæt på.
/Christian
-
0 -
0
MAC-filtering nævnes ikke. Er det for bøvlet? Eller kan det omgås?
/Henrik
-
0
-
0
På langt de fleste netkort kan man selv ændre sin mac adresse - Man kalder det så vidt jeg husker:
MAC Address Spoofing
-
0
-
0
Det er de færreste netkort hvor du praktisk kan ændre din MAC addresse fysisk i EEPROM, men du kan altid bede OS'et om at ignorere den fysiske addresse og ændre den i ren software.
- Altså overlever din spoofede MAC ikke en reboot.
-
0
-
0
Ud over at MAC-filtrering ikke er nogen sikkerhed så er skjult SSID heller ikke nogen sikkerhed.
-
0
-
0
Det er da imponerende! Betyder det mon at oppetiden nu er 29 timer i døgnet? ;-)
-
0
-
0
- Altså overlever din spoofede MAC ikke en reboot.
Det kommer da vist an på hvad der står i dine konfigurationsfiler.....
-
0
-
0
Det kommer da vist an på hvad der står i dine konfigurationsfiler.....
Hvis den overlevede en reboot, hvorfor har du så brug for at sætte den igen via ex. rc.conf?
-
0
-
0
Hvorfor er det relevant om en spoofed MAC adresse er gemt i EEPROM eller på en harddisk? Hvorfor vil man dog gemme den i første omgang? Det kan vist kun give problemer når den rigtige ejermand kommer forbi.
Bortset fra det, så kan det i praksis være særdeles svært at lave et stabilt trådløst netværk. Jeg mener man gør klogt i at betragte det som et ekstra netværk til mødelokalet og gæster. Stationære computere og laptops i dockingstationer skal køre trådet.
-
0
-
0
Hvis man skal have noget der virker, skal man vælge Aruba Networks. Det kan håndtere alt det der står omtalt i artiklen. Det man bruger idag er 802.1x validering med sikkerheds-rolle fordeling på de forskellige typer af brugere. Omkring hele den radiomæssige del, bruger man Adaptive Radio Management (ARM)til at styre kanaler, powerlevel, IDS og IPS.
kig ind på Scanditek's hjemmeside for at mere om Aruba Networks
http://www.scanditek.dk/Aruba-trådløs-netværk-10.aspx
-
0
-
0
Sikkerheden på et trådløst netværk kan optimeres på flere forskellige måder. Man kan benytte WPA2 Radius på selve Access punktet samt benytte klient isolution (VLAN serparating)i mellem klienter. Hvis man vil have endnu bedre sikkerhed kan man placere en Mikrotik eller Cisco switch der kan hånetere Access controll via en Radius server, så er der ingen hacker eller sniffer der kan få adgang til krypteringsnøglen via luften. Vil man lave et stabilt og robust trådløst netværk er det en god ide at kigge på Mikrotik (Besøg http://www.wifi-shop.dk) Vil man have et trådløst netværk der er lige så stabilt som Ethenet kabelnetværk skal man benytte Meru Networks produkter. (Besøg http://www.jyskdata.com)
-
0
-
0
Jeg har hørt lidt om et virtuelt faraday bur. Jeg har ikke selv haft mulighed for at teste det endnu.
Det er i princippet ret simpelt. Man sætter 2 identiske ap'ere med bagsiden mod hinanden. Det er så kun det der 'peger' indad der skal kobles op på netværket. Ifølge det jeg har hørt vil en pc gå efter det stærkeste signal såfremt det finder 2 ap'ere og vil ikke vise det andet der er identisk med det den der har det stærkeste signal. Man er jo så godt nok ude i at svine lidt som Christian er inde på men, såfremt det virker, vil det øge sikkerheden på netværket.
-
0
-
0
Hej Marc, det du skriver virker ikke optimalt, da det er stadig klienten der tager beslutning om hvilken af de AP den vil koble til, øvrigt kan der går flere sekunder under roaming pga. selv om man benytter samme BSSID på alle AP'er skal hver AP benytte forskellige kanal samt re-association procces skal gentages hvergang når klienten vil skifte til et andet AP. Meru gør det på en unik måde, Alle AP'er danner et stort AP og køre på samme kanal og de styres en en kontroller. De bruger over 30 patenteret teknologier for at udføre opgaven, så er det ikke det samme som at bare tage 10 Linksys og sætter i mod hinanden. :) Læs mere om Meru på www.jyskdata.com
-
0
-
0
Security by obscurity vil jeg ikke kalde det. Ikke mere end passwords ihvertfald. Det skal jo ikke stå alene som den eneste form for sikkerhed på det trådløse netværk.
-
0
-
0
Jeg har ikke testet det så jeg skal ikke kunne sige hvorvidt det virker optimalt. Jeg hørte om det her i 2008 og skal ikke kunne sige om Meru var et alternativ den gang?
Kan man ikke lave noget tilsvarende med siemens udstyr som det du nævner med Meru? Jeg mener at have hørt om noget tilsvarende på et siemens seminar. Det var primært minded på trådløse ip telefoner men princippet må alt andet lige være det samme.
-
0
-
0
Hej igen,
Jeg ved faktisk ikke om Siemens gør det samme, men det tror jeg ikke, fordi enkel kanal teknik benyttes af kun Meru og Aruba, men Meru adskiller sig alligevel fra andre.
Nogle af punkter er:
Virtuel Cell (Enkel kanal på alle AP’er) giver faktisk 30 % mere rækkevidde end normal AP
Zero-latency (delay) roaming
Airtime fairness (TDMA arkitektur som GSM)
Air Traffic Control
Over the Air QoS & firewall
Proactive Network-Wide Diagnostics
Mvh.Sam
-
0
-
0
Tilføj kommentar
