Hotspot 2.0 или как сделать вход в Wi-Fi сеть простым

Всем известно, что количество мобильных устройств у пользователей быстро растет, объем трафика мобильных данных постоянно растет и операторы все больше пытаются его выводить из мобильных сетей в сети альтернативных технологий и, прежде всего, в Wi-Fi (Оффлоад). Поэтому рынок решений Wi-Fi операторского класса интенсивно развивается. Инфонетикс прогнозирует рост этого сегмента до 2.1 млрд долл в 2016 году.

Но так ли просто пользователям воспользоваться услугой «бесшовного» перехода в сеть Wi-Fi? Многим ли понятны такие термины, как SSID, EAP-SIM-клиент и т.п..? На самом деле это не слишком сложно для продвинутой части пользователей, но что делать остальным ?
Для облегчения жизни пользователей и создания условий использования хотспотов Wi-Fi так же просто, как услуг любой мобильной сети и была разработана технология Hotspot2.0.

Хотспоты Wi-Fi следующего поколения.

В 2010 году была сформирована специальная группа в Wireless Broadband Alliance (WBA), которая называется Next Generation Hotspot Task Group. Отцами основателями выступила компания Cisco и ряд других лидеров индустрии. Цель создания группы была в работе над стандартами, называемыми Hotspot 2.0, которые должны будут сформировать возможности для аутентификации и роуминга пользователей Wi-Fi, схожие по простоте с нынешними сетями 3G. Результатом работы данной группы стали:
— программа сертификации Wi-Fi Certified Passpoint, работа которой уже запущена на базе сертификационных лабораторий Wi-Fi Альянса,
— рекомендации операторам связи для формирования соглашений по межсетевому роумингу Wi-Fi.

В технологии хотспотов Wi-Fi следующего поколения можно выделить три основные составляющие:
1. IEEE 802.11u,
2. WPA2 (Wi-Fi Protected Access 2),
3. Аутентификация на базе EAP (часто это EAP-SIM / аутентифкация с использованием SIM-карты).

Возможные сценарии доступа различных пользователей в сеть нового поколения.

Операторы часто используют два взаимно дополняющих подхода для обеспечения доступа в сеть:
1. Аутентицикация 802.1х (EAP),
2. Аутентификация через веб-портал.

Аутентификация через портал используется для привлечения пользователей, которые не имеют контракта или иных отношений с оператором, предоставляющим данную услугу. В данном случае это становится, фактически, публичным сервисом Wi-Fi и здесь возможны такие способы оплаты и использования, как использование кредитных карт, оплата через мобильный телефон с получением разовых паролей через смс и т.п.. Все это дает возможности формирования дополнительных источников генерации средств из Wi-Fi сетей.

Аутентификация с помощью EAP обычно имеет целью обеспечения прозрачного доступа для абонентов мобильного оператора, использующих его SIM-карты. Фактически, при нормально работающем EAP-SIM клиенте на мобильном устройстве с SIM-картой и Wi-Fi пользоателю остается только выбрать верный SSID сети Wi-Fi и войти в сеть. В дальнейшем и этот шаг будет не нужен, т.к. терминал, обычно, запоминает профили тех сетей Wi-Fi, где ему уже приходилось бывать.

Введение Hotspot2.0 и появление на рынке устройств, отвечающих стандарту IEEE 802.11u и прошедших сертификацию Wi-Fi Certified Paaspoint, позволит еще более упростить жизнь пользователя. Клиент 802.11u позволит избежать ручных манипуляций со стороны пользователя и это будет касаться посещения даже «не домашних» сетей. После того, как участие Wi-Fi операторов в роуминговом консорциуме, создающемся с учетом рекомендаций Next Generation Hotspot, станет нормой (кстати это реальный большой проект: WLAN Roaming Inter-Exchange [WRIX]), то это даст пользователям с клиентами 802.11u возможность подключения к правильным SSID полностью автоматически в любой точке мира.

Реклама

Cisco CleanAir — всевидящий WLAN

Очень хочется вспомнить уже не новую, но крайне эффективную технологию Cisco CleanAir, которую вот уже около двух лет никто не может превзойти, хотя попытки предпринимают многие. CleanAir — это интеллектуальный контроль спектра, позволяющий идентифицировать одиночные и множественные источники интерференции в зоне покрытия WLAN. С этой информацией решение Cisco может выполнять такие действия как:

  • информировать о наличии интерференции,
  • идентифицировать источники интерференции с высоким разрешением,
  • определять уровень опасности от этих источников,
  • при превышении конфигурируемых пороговых значений уровня опасности решение Cisco WLAN может автоматически и быстро перестраивать частотные каналы для того, чтобы вывести «инфицированный» канал из «зоны поражения» и использовать его там, где это возможно.

Эффективная и высокоуровневая реализация технологии интеллектуального контроля спектра стала возможна благодаря использованию выделенного специализированного чипа. Этот чип позволяет собирать данные о спектре, не влияя при этом на обслуживание пользовательского трафика центральным процессором Точки Доступа. Данная технология изначально нацелена на анализ не только источников Wi-Fi интерференции, но и Не-Wi-Fi, так как система работает на физическом уровне. Это позволяет очень эффективно использовать CleanAir не только для контроля спектра и реагирования на проблемы такого типа, но и, как существенное дополнение, применять технологию для дополнения системы безопасности Wi-Fi. CleanAir дает возможность, например, легко вычислять такие «невидимые» для обычных систем безопасности источники проблем как: точки доступа или домашние роутеры со смещенным частотным каналом или нахождение этого канала в группе, запрещенной к использованию в данном регионе и т.п..

Для более наглядного представления о том, что такое CleanAir, и как работает технология я сделал синхронный перевод короткого видео, снятого моими американскими коллегами. Рекомендую посмотреть!

Видео Cisco CleanAir:

BYOD — от концепции к практике

Сегодня мы обсуждаем набирающую популярность тему: BYOD (Bring Your Own Device).

На данный момент концепция BYOD относительно мало известна в России и ближайших государствах, но это очень популярная и быстрорастущая тенденция в США, Европейских странах и т.д.

Так что же такое BYOD?

Можно сказать, что это набор правил и технологий, который позволяет:

  • обеспечить доступ в интернет и к сетям передачи данных с любых мобильных устройств, включая те, которые не имеют проводных сетевых интерфейсов (смартфоны, планшеты и т.п.),
  • обеспечить контроль и применение необходимых правил к пользователю, который хочет получить доступ, с какого устройства, из какого места и к каким ресурсам сети,
  • обеспечить применение более сложных правил для, например, предотвращения использования устройств в нерабочих целях в рабочее время (например через контроль веб-трафика).

А так ли нам нужны все эти сложности? Не проще все запретить?

Давайте посмотрим результаты некоторых исследований на эту тему: недавний глобальный опрос Cisco показал, что 40% студентов колледжей и около 45% работников готовы работать на условиях с меньшей оплатой, если им будет предоставлена свобода выбора персональных устройств, чем на условиях с более высокой оплатой, но с меньшей гибкостью. В то же время ИТ департаменты гораздо менее убеждены, что такая гибкость является хорошей идеей, и по другим исследованиям — около 70% ИТ-менеджеров считают, что слишком рискованно разрешать использование персональных устройств для доступа к корпоративной сети. Больше информации здесь.

По исследованию крупной компании WiFi-агрегатора iPass, которая опросила около 1100 мобильных работников по всему миру, респонденты, использовавшие мобильные устройства для работы и для персональных целей, работали на 240 часов в год больше, чем те кто не использовал. Это, фактически, вариант увеличения продуктивности. А также это создает условия, при которых у пользователя (сотрудника компании) остается все меньше возможностей сказать “нет”. Основываясь на данных причинах Gartner предсказывает, что к 2014 году 90% компаний будут поддерживать корпоративные приложения на устройствах, которые находятся в собственности работников. Больше информации здесь

По результатам исследования Dell Kace — практически в 90% компаний-респондентов сотрудники используют их собственные мобильные устройства в корпоративных сетях. При этом около 62% ИТ-менеджеров ощущают нехватку необходимых инструментов для управления такими устройствами и обеспечения безопасности сетей. Немного более подробно о результатах данного исследования:

  • 88% респондентов хотели бы иметь иметь реализованную политику в части использования мобильных устройств,
  • 82% опасаются использования персональных устройств для рабочих целей,
  • 64% не уверены, что знают все персональные устройства, которые используются на сети для рабочих целей,
  • 60% говорят о растущих требованиях по поддержке Max OS X с момента старта продаж Apple iPhone и iPad,
  • 59% сообщили о том, что персональные устройства создали необходимость поддержки множества операционных систем в компаниях,
  • 32% допускают, что сотрудники используют неавторизованные персональные устройства и приложения для доступа к их сетям.

Итак, можно констатировать следующие простые факты:

  1. Использование персональных мобильных устройств это хорошо для бизнеса, т.к. увеличивает лояльность сотрудников и повышает продуктивность их работы.
  2. Использование подобных неконтролируемых устройств — это большая проблема с точки зрения безопасности корпоративной сети, так как эти устройства могут легко стать платформой для атаки на сеть.
  3. Для использования персональных устройств необходимо создавать среду, в которой можно будет использовать данные устройства безопасно.

Подход Cisco для реализации BYOD

Необходимо иметь качественную Wi-Fi инфраструктуру, которая способна эффективно обслуживать маломощные мобильные устройства. Централизованная архитектура WLAN решения Cisco – CUWN/Cisco Unified Wireless Network – это лучшая платформа для разработки подходящего решения беспроводной сети доступа корпоративного класса.

Необходимо иметь системы, которые могут выполнять такие важные функции, как:
— аутентификация пользователей с поддержкой 802.1х и Web-аутентификации,
— профайлинг устройств для дифференциации по типам используемых устройств,
— применение специальных правил по управлению поведением мобильных устройств, таких как:

  • применение политик перевода устройств в подходящие виртуальных сети VLAN-ы,
  • применение подходящих списков доступа ACL,
  • понимание точки входа пользователя в сеть (в офисе или удаленно), для ограничения возможностей доступа владельцев устройств в зависимости от ситуации.

— применение правил, позволяющих проверять статус безопасности мобильных устройств с разными операционными системами для выявления соответствия принятой политике, например:

  • наличие необходимых обновлений безопасности и, например, сервис-паков,
  • наличие антивируса и свежесть обновления анивирусной базы данных,
  • наличие межсетевого экрана и обновление его базы, если применимо.

Здесь также важно, чтобы система была способна не просто отказывать в обслуживании устройству, не прошедшему контроль на входе, но переводить устройство, например, в карантинный VLAN, откуда можно скачать необходимые апдейты, патчи и т.п. для выхода на приемлемый уровень безопасности и для получения более широкого доступа к сетевым ресурсам.
Все эти функции выполняет Cisco ISE/Identity Services Engine самостоятельно как централизованный элемент. В определенных случаях ISE применяется совместно с платформой MDM/Mobile Device Management.

Очень желательно иметь систему анализа веб-трафика и применения подходящих правил к веб-трафику пользователей. В Cisco есть демо-решение удаленной демонстрации того, как работает BYOD — там показано применение таких интересных правил как, например, сотрудник компании, имеющий полный доступ в интернет, также имеет и следующие ограничения:

  • нельзя заходить на сайты игровой категории (gambling),
  • нельзя заходить на сайты, которые были опознаны системой, как сайты-источники вредоносного ПО,
  • можно пользоваться Facebook, но нельзя выкладывать фотографии в аккаунт в этой социальной сети,
  • в Google постоянно стоит строгое ограничение на фильтры поиска (Strict), и пользователь, при любой попытке это изменить, снова получает систему со строгим ограничением. Уровень Strict ведет к тому, что пользователь не сможет найти, например, веб-ресурсы порнографического содержания.

При этом «гость» в той же корпоративной сети, получая доступ в Интернет по отдельному VLAN-у, уже может заходить на игровые ресурсы и т.п., так нас, по данной политике, не очень заботит то, чем занимается «гость» в изолированном сегменте сети.
Все это и многое другое реализуется на базе Cisco IronPort и полностью применимо для построения гибкого и многофункционального решения BYOD.

И крайне важно, чтобы элементы были интегрированы друг с другом при развертывании подобного решения. Все элементы решения Cisco полностью интегрированы и, например, Cisco ISE является полноценным элементом решения Cisco WLAN с полной интеграцией в систему управления Cisco Prime Infrastructure.