Wireless Society by JOSS7

Wi-Fi в офисах Mail.Ru Group за последние десять лет пережил несколько смен оборудования, подходов к построению сети, схем авторизации, администраторов и ответственных за его работу. Начиналась беспроводная сеть, наверное, как и во всех компаниях — с нескольких домашних роутеров, которые вещали какой-то SSID со статичным паролем. Долгое время этого было достаточно, но количество пользователей, площади и количество точек доступа стало расти, домашние D-Linkʼи постепенно заменили на Zyxel NWA-3160. Это уже было относительно продвинутым решением: одна из точек могла выступать в качестве контроллера для остальных и давала единый интерфейс для менеджмента всей сети. Какой-то более глубокой логики и автоматизации софт NWA-3160 не давал, только возможность настройки подключенных к контроллеру точек, пользовательский трафик обрабатывался каждым устройством независимо. Следующей сменой оборудования стал переход на контроллер Cisco AIR-WLC2006-K9 + несколько точек доступа Aironet 1030. Уже совсем взрослое решение, с безмозглыми точками доступа и обработкой всего трафика контроллером беспроводной сети. После еще была миграция на пару AIR-WLC4402-K9, сеть уже выросла до сотни точек Cisco Aironet 1242AG, 1130AG, 1140AG.

Как часто бывает, сначала ты ищешь решение на рынке и, не найдя его, делаешь самостоятельно и под себя. А потом получается настолько хорошо, что ты отдаешь это другим. Так было и с OpenSOC, open source решением для управления большими объемами данных в области кибербезопасности, которое было разработано в Cisco для своих собственных нужд, а потом было выложено на GitHub для всеобщего доступа.

Базовые задачи ИТ практически не менялись на протяжении последних десятилетий. Изменения, как правило, касались используемых технологий, а не процессов или требований, используемых или предъявляемых к ИТ. Такое положение вещей продолжалось до тех пор, пока ИТ оставалось исключительно сервисной службой, а участие ИТ в основном бизнесе предприятия было крайне ограниченным.

Сегодня мы наблюдаем стремительные изменения, источником которых стала повсеместная цифровизация современного бизнеса – компании активно используют современные технологии для получения конкурентных преимуществ.

В марте 2016 года компания Cisco представила новую архитектуру для корпоративных сетей – Cisco Digital Network Architecture или Архитектура цифровых сетей Cisco. Что представляет собой новая архитектура? Какие ее основные особенности и отличия? Какие задачи решает и какими преимуществами обладает? На эти и многие другие вопросы будут даны ответы в этой статье.

Рис 1. – Архитектура Cisco Digital Network Architecture — Cisco DNA

Знаете ли вы что из себя представляет сеть компании Cisco? Вот несколько цифр, показывающих масштаб стоящих перед нашими ИТ- и ИБ-службами задач:

• 3 миллиона IP-адресов
• 40 тысяч маршрутизаторов
• 215 тысяч инфраструктурых устройств
• 120 тысяч пользователей
• 275 тысяч узлов, из которых 135 тысяч лэптопы и десктопы и 68 тысяч — мобильные устройства на платформах iOS, Android, BlackBerry, Windows и других
• Офисы в 170 странах мира
• 26 тысяч домашних офисов
• 1350 лабораторий
• 300 бизнес-партнеров, имеющих доступ к нашей инфраструктуре (логистика, производство, разработка, тестирование и т.п.)
• свыше 700 облачных провайдеров услуг, которыми мы пользуемся в своей повседневной деятельности.

В этом году мы опубликовали две статьи, связанные со сравнением функциональности маршрутизаторов и межсетевых экранов компании Cisco, а также с обзором разделения control и data plane в сетевом оборудовании. В комментариях к этим статьям был затронут вопрос производительности сетевого оборудования. А именно как зависит производительность маршрутизаторов Cisco разных поколений от включения на них тех или иных сервисов. Так же обсуждалась тема производительности межсетевых экранов Cisco ASA. В связи с этим возникло желание посмотреть на эти вопросы с практической стороны, подкрепив известные моменты цифрами. О том, что получилось и, что получилось не очень, расскажу под катом.

Недавний анонс о выделении дополнительных частот 5650–5850 МГц для внутриофисного использования сетями Wi-Fi обрадовал нас новыми возможностями, открывшимися перед пользователями беспроводных сетей.
Почти год назад Приказ Минкомсвязи № 129 от 22.04.2015 снял ограничение для оборудования стандарта 802.11ас на использование каналов 80 и 160МГц, однако выделенный под эти решения спектр не позволял получать максимальные скорости.

В ожидании публикации Решения ГКРЧ разберемся в данном вопросе.


Картинка выше отражает ситуацию в диапазоне 5ГГц в США. Что же в России?

В соответствии со стандартом Wi-Fi 802.11ас использует диапазон 5ГГц. В России с ноября 2014 года (Решение ГКРЧ 14-29-01 от 20.11.2014) для внутриофисного использования технологией Wi-Fi определен диапазон 5150-5350 МГц или 8 каналов по 20МГц (каналы 36-64). Диапазон же 5650-5825 МГц (каналы 132-161) открыт для воздушных судов, находящихся в полете на высоте не ниже 3000 м.
Новое Решение ГКРЧ вдвое увеличивает диапазон, доступный для Wi-Fi внутри помещений.

В последнее время мы наблюдаем определенную маркетинговую шумиху вокруг атак и уязвимостей в сетевом оборудовании. Зачастую это происходит вследствие вполне реальных событий, но чаще всего речь идет о низкопробной PR-активности отдельных исследователей или целых компаний, которые таким образом самоутверждаются, паразитируя на не очень активном освещении данной темы в среде специалистов, которые не всегда способны отделить зерна от плевел. Как ведущий производитель сетевого оборудования мы решили поднять завесу тайны и расставить все точки над i в вопросе возможности или невозможности атак на сетевое оборудование, взяв в качестве примера продукцию компанию Cisco.

Если верить последнему отчету компании Verizon за 2015 год, то сегодня 70-90% всего вредоносного кода уникально для каждой организации и поэтому нередко происходят ситуации, когда в организацию по какому-либо каналу (почта, Web, флешка, мобильное устройство и т.п.) приходит файл, который вызывает подозрение, но при этом антивирус «молчит» и ничего в отношении данного файла не сигнализирует. Как быть в такой ситуации? Дать файлу попасть в сеть и начать по ней распространяться? Или удалить его? Или поместить в карантин? А может быть есть способ все-таки проанализировать файл и выдать по нему вердикт? Пусть и без названия вируса или трояна. Да, такой вариант есть — называется он Threat Intelligence Platform.

Одна из самых популярных категорий мобильных приложений сегодня та, что предоставляет сервисы с определением местоположения устройства. Многие люди используют системы позиционирования на своих навигационных устройствах, смартфонах и планшетах. Слабая сторона этих решений в том, что использование системы Global Positioning System (GPS) недоступно внутри помещений из-за сильного погашения сигналов стенами и перекрытиями зданий. Таким образом открывается ниша для надежных решений с позиционированием в помещениях.

Сегодня существует ряд подходов и технологий для решения этой задачи. Компания Cisco уже несколько лет работает над позиционированием с помощью технологии Wi-Fi, учитывая распространенность сетей (практически в каждом помещении) и устройств (практически у каждого человека).

Первые разработки начались в 2007 года, когда была приобретена компания Cognio, чей механизм спектрального анализа был встроен в точки доступа Wi-Fi Cisco Aironet. Возможность анализировать эфир на наличие помех и определять их влияние на производительность сети Wi-Fi открыла новые возможности по обеспечению надежности и производительности беспроводных сетей. Появились и новые задачи – понять где находятся источники помех, т.к. найти их не всегда просто, особенно если помехи намеренно создаются злоумышленниками.

С тех пор алгоритм и портфель решений многократно усовершенствовались и сейчас, в 2015 году, Cisco предлагает новейшее решение позиционирование с высокой точностью, позволяющее определить координату Wi-Fi устройства с точностью до 1м. В ближайшие дни Cisco откроет это решение к заказу в России.

В ближайшие дни в России станет доступна к заказу новая точка доступа Cisco Aironet серии 1850. Это первая точка доступа с поддержкой стандарта 802.11ac 2-й волны, выпущенная компанией. Помимо высоких скоростей передачи данных, точки доступа Cisco Aironet серии 1850 поддерживают функционал Mobility Express, который делает их применение особенно удобным в сегменте малого и среднего бизнеса.

Mobility Express — это функционал беспроводного контроллера, доступный на точке доступа и позволяющий взять под свое управление до 25 точек доступа Cisco. Данный функционал принципиально меняет возможности, производительность и надежность небольших сетей Wi-Fi без управления выделенным контроллером (точки доступа в режиме standalone). Mobility Express – это последний шаг Cisco во внедрении функционала беспроводного контроллера во все элементы сети.

Как, наверное, многие знают, я веду блог “Бизнес без опасности”, в котором публикуются различные заметки по информационной безопасности. Как активный блогер я отслеживаю все комментарии, которые оставляют пользователи у меня на страницах и, по мере возможности, стараюсь отвечать на них. Никакого премодерирования комментариев у меня нет; только требуется иметь учетную запись в Гугле, чтобы комментарии были неанонимными (в свое время анонимные пользователи заспамили блог и пришлось включать некоторые меры защиты).

И вот вчера я получил уведомление о публикации комментария в блоге от пользователя “ruslan ivanov”, чье имя так похоже на имя моего коллеги по российскому офису Cisco. Однако сам комментарий был достаточно странным и содержал ссылки на сайты с вредоносным контентом, хакерскими программами и инструкциями по взлому. Если бы я работал в обычной компании с обычным подходом к защите почты только от спама или вирусов, то кликнув по ссылке я бы подхватил немало всего «интересного» к себе на компьютер. Но Cisco есть Cisco, и у нас в сети установлено наше же решение по защите электронной почты Cisco E-mail Security Appliance (ESA), которое сработало, в полном объеме продемонстрировав новый функционал, появившийся в последних версиях ESA, а конкретно — контроль Web-ссылок в электронной почте.

Тренд мобильности становится очевидным во всем мире. В соответствии с прогнозом Cisco VNI к 2017 году трафик, сгенерированный при подключении по Wi-Fi превысит трафик из проводных и мобильных сетей суммарно.

Зачем организациям поддерживать тренд мобильности?
Первое – это подключение сотрудников. Сотрудники с рабочим местом в кармане – это еще один уровень эффективности и продуктивности. С помощью корпоративных приложений сотрудник выполняет рабочие функции на бегу, между встречами, во время обеда, ожидая такси.
Второе – новый уровень взаимодействия с клиентами, новые бизнес модели, использующие преимущества, дающие современные технологии.

Cisco видит пять ключевых задач, встающих перед организациями, при реализации стратегии мобильности.

За последние несколько лет сети Wi-Fi покрыли огромные площади помещений, а также уличные зоны, заполонив квартиры, офисы, торговые центры, аэропорты и даже сами самолеты, образовательные учреждения и государственные службы, перейдя из категории NICE-TO-HAVE в категорию MUST-BE.

Этому тренду сильно способствовало проникновение разнообразных гаджетов – смартфонов, планшетов, а также в целом информатизация общества. С помощью интернета можно записаться в госучреждения на прием, зарегистрироваться на авиарейс, поставить ребенка на очередь в детский сад, оплатить штрафы ГИБДД, вести переписку с налоговой службой, проверять оценки детей в школе и многое другое.

Наличие Wi-Fi в отдельных сегментах становится генератором прибыли. Возьмем отельный бизнес. Отели с Wi-Fi чаще выбираются туристами при бронировании, т.о. наличие Wi-Fi непосредственно влияет на наполняемость отеля.
В сегменте образования наличие Wi-Fi становится обязательным для обеспечения образовательного процесса.
Некоторые пытаются делать отсутствие Wi-Fi своей «фишкой» («У нас нет Wi-Fi. Общайтесь друг с другом!» Я не всегда хочу общаться, иногда предпочитаю Wi-Fi.). Равнодушных нет!

Во многом успех оптимизации конверсии зависит только от тех решений, что мы принимаем. Если вы делаете все правильно, то будете постоянно обнаруживать, что идеи, которые казались вам блестящими, на самом деле абсолютно не работают.

31-го июля Правительство Российской Федерации утвердило 758-е Постановление “О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей”, которое эксперты и журналисты очень быстро окрестили “законом о wi-fi по паспорту”. Мы сейчас не будем трактовать данный нормативный акт с точки зрения, пытаясь выяснить, распространяется он только на пункты коллективного доступа на “Почте России” или имеет более широкое применение. Этим пусть занимаются юристы. Мне бы хотелось посмотреть на его техническую реализуемость.

Помните недавнюю историю с иском к россиянину, заказавшему в зарубежном Интернет-магазине новый смартфон Motorola? Тогда было немало заметок на эту тему и почти все они могли бы быть сформулированы коротко: “Российские власти закручивают гайки и обычному россиянину уже даже через Интернет нельзя заказать ничего нужного — везде фискалы и правоохранительные органы вставляют палки в колеса”. Надо заметить, что такие высказывания типичны для почти любого человека, который столкнувшись с нестандартной для себя ситуацией, в которой происходит якобы ущемление прав, начинает, не разобравшись, винить во всем всех кроме себя. С ввозом смартфона ситуация была как раз из этой области. Однако случай этот был далеко не первый. Еще несколько лет назад один из россиян, купив на eBay маршрутизатор Cisco, столкнулся с аналогичной ситуацией на российской таможне. А до и после было и еще несколько аналогичных случаев. Попробуем разобраться.