Главная › Интернет › Стандарты беспроводных сетей стандарт ieee. Wi-Fi, Стандарты. Технологии и методы защиты данных в сетях Wi-Fi

Стандарты беспроводных сетей стандарт ieee. Wi-Fi, Стандарты. Технологии и методы защиты данных в сетях Wi-Fi

17.04.1999 Фил Кеппелер

Как ожидается, кэш-серверы IP в 1999 г. будут пользоваться повышенным спросом на корпоративном рынке. Ниже мы рассмотрим последние предложения производителей. В отличие от пропускной способности глобальных сетей, память стала намного дешевле.

Как ожидается, кэш-серверы IP в 1999 г. будут пользоваться повышенным спросом на корпоративном рынке. Ниже мы рассмотрим последние предложения производителей.

В отличие от пропускной способности глобальных сетей, память стала намного дешевле. По данным исследования IDC, общий уровень цен на глобальные сети останется прежним или, в лучшем случае, несколько снизится. Тем временем стоимость памяти снижается в год на 31,4-39,8%.

С учетом этих фактов IP-кэширование становится привлекательным для оптимизации использования пропускной способности и повышения эффективности сети. Хранение часто запрашиваемых файлов ближе к конечным пользователям сокращает потребности в пропускной способности корпоративной глобальной сети или соединения Internet и, как следствие, исключает или откладывает необходимость в дорогостоящей модернизации. Оно позволяет также повысить производительность работы конечных пользователей, потому что объекты доставляются со скоростью локальной сети.

Сообщество Internet знало о преимуществах кэширования задолго до того, как Internet стал представлять собой коммерческий феномен, каковым он является сегодня. Обычно архивы файлов для таких служб Internet, как ftp, gopher и конференции, зеркальным образом копировались по всему миру, чтобы популярные файлы находились как можно ближе к пользователям. С появлением HTTP зеркальное копирование стало неэффективным ввиду огромного объема, чувствительности ко времени и случайной природы запрашиваемого информационного наполнения.

Кэш-серверы IP являются для HTTP тем же, чем было зеркальное копирование для архивных протоколов. Все кэш-серверы базируются, по сути, на одних и тех же принципах: они перехватывают запросы на объекты от браузера к серверу Web и сохраняют полученные от сервера объекты на жестком диске перед передачей их браузеру. Таким образом, при последующих запросах на тот же самый объект от других браузеров кэш-сервер возвращает копию объекта из своей памяти вместо того, чтобы передавать запрос на сервер Web для получения оригинала объекта. В идеале выполнение кэш-сервером запросов на объекты должно экономить и время, и пропускную способность. (Более детальное описание технологии кэширования можно найти в статье "Мал кэш - да дорог" в LAN №3 за этот год.)

Испытывая давление со стороны как потребителей, так и провайдеров информационного наполнения, провайдеры Internet стали основными пользователями IP-кэширования. Более быстрые средства соединения, такие, как цифровая абонентская линия (Digital Subscriber Line, DSL), IDSN и кабельные модемы, дают надежду на то, что когда-то слабейшее звено в цепи передачи данных - стандартный телефонный модем с максимальной скоростью передачи данных 56 Кбит/с - будет устранено. С ускорением соединений c Internet объем копируемых объектов увеличится пропорциональным образом, а это приведет к увеличению трафика по магистрали Internet. Одновременно провайдеры информационного наполнения переходят на более сложные и объемные форматы данных, такие, как потоковое аудио/видео и апплеты Java.

В результате этой атаки с двух сторон провайдеры Internet вынуждены искать более эффективные способы использования своей инфраструктуры, чтобы удовлетворить требования пользователей. IP-кэширование было и остается важной частью их решения.

Несмотря на то что многие провайдеры Internet признают преимущество IP-кэширования, предприятиям еще предстоит внедрить технологию в широком масштабе. По данным отчета Collaborative Research за февраль 1998 года, около 80% провайдеров Internet в США объявили о планах реализации кэширования в ближайшие полгода. С другой стороны, только 56% компаний собирались начать использовать кэширование в течение того же срока. Однако, как предсказывают эксперты, в 1999 году кэширование будет пользоваться повышенным спросом на корпоративном рынке. Согласно Collaborative Research, объем вложений в технологии кэширования в компаниях должен быстро обогнать соответствующий показатель для провайдеров Internet и вырасти с 85 млн долларов в 1998 году до свыше 1 млрд долларов в 2000 году (см. Таблицу).

Мировой рынок продуктов для кэширования в 1998-2002 гг.
Сегмент рынка	1998	1999	2000	2001	2002
Корпоративные пользователи	85 млн долларов	421 млн долларов	1 113 млн долларов	2 108 млн долларов	3 157 млн долларов
Провайдеры Internet	103 млн долларов	214 млн долларов	376 млн долларов	481 млн долларов	576 млн долларов
Другие	19 млн долларов	63 млн долларов	149 млн долларов	259 млн долларов	373 млн долларов
Всего	207 млн долларов	698 млн долларов	1 638 млн долларов	2 848 млн долларов	4 106 млн долларов
Источник: Collaborative Research, 1998

Эта тенденция не осталась незамеченной производителями, и они активно переориентируют свои продукты на корпоративных клиентов. Первоначально выпускавшие продукты старшего класса для провайдеров Internet производители стали включать в свои линии продуктов предложения по относительно невысокой цене и с достаточным для компаний уровнем производительности. Кроме того, десяток новых производителей объявили или выпустили кэш-серверы на базе стандартного для отрасли аппаратного и программного обеспечения - например серверы на платформе Intel с бесплатным программным обеспечением кэширования Squid - с целью предложения как можно более дешевых продуктов.

ПОСРЕДНИК КАК КЭШ?

Первые кэш-серверы реализовывались обычно на базе proxy-серверов. Как таковые они выступали в роли брокеров объектов для группы пользователей, принимая все запросы и передавая их дальше адресату в Internet. Как общая точка доступа для всех пользователей, proxy-серверы оказались чрезвычайно привлекательны для реализации разнообразных дополнительных сервисов: фильтрации информационного наполнения, идентификации пользователей, протоколирования событий и кэширования объектов. Вкупе с брандмауэром proxy-сервер позволял создать защищенное соединение с Internet.

Одним из первых посредников с поддержкой кэширования был программный сервер Harvest Cache, появившийся в результате совместного проекта, финансируемого в 1994-1996 годах Агентством по исследовательским проектам в области передовых технологий (Advanced Research Projects Agency, ARPA), Национальным научным фондом (National Science Foundation, NSF) и NASA. С тех пор по крайней мере десяток продуктов был выпущен на рынок под маркой "кэширующих посредников". Примечательно, что и Netscape Communications, и Microsoft, и Novell имеют proxy-серверы с поддержкой кэширования, тесно интегрированные с их другими корпоративными инструментами. Помимо кэширования их продукты предлагают широкий выбор посреднических функций, таких, как идентификация пользователей, фильтрация информационного наполнения, сканирование на наличие вирусов, обеспечение защиты и протоколирование событий. Proxy от Microsoft выполняется на базе Windows NT 4.0; Proxy Server от Netscape - на базе большинства разновидностей UNIX, а также Windows NT; BorderManager FastCache от Novell - на IntranetWare, NetWare 4.11 и NetWare 5.

Другим широко используемым коммерческим посредником с кэшированием является Squid, продолжение Harvest Cache, развитием которого занимается Национальная лаборатория передовых сетевых исследований (National Laboratory for Advanced Network Research, NLANR). Возможно, благодаря тому, что он появился как продукт коллективных усилий в среде, где приветствуется и широко применяется стандартизованное и общепризнанное программное обеспечение, Squid занял твердое место на рынке провайдеров Internet и продолжает иметь относительно прочную инсталлированную базу.

Конфигурации с кэширующими посредниками имеют два основных недостатка. Во-первых, из-за того, что каждый пользовательский браузер должен быть сконфигурирован на обращение через посредника, выход сервера из строя приводит к тому, что все пользователи теряют свое соединение с Internet. Во-вторых, внесение в конфигурацию каждого пользовательского браузера информации о посреднике может оказаться трудоемкой в крупных предприятиях и, по существу, невыполнимой для оператора Internet задачей.

Чтобы избежать упомянутых затруднений в конфигурациях с посредником, вы можете реализовать в своей сети прозрачное кэширование посредством установки маршрутизатора с поддержкой заданных правил или коммутатора четвертого уровня для перенаправления трафика на кэш-сервер или группу серверов. Эти устройства перехватывают весь трафик HTTP через порт 80 и перенаправляют его в кэш. Кэш выполняет запросы HTTP и возвращает объекты назад браузеру. Действительно прозрачное решение в области кэширования должно поддерживать масштабирование посредством распределения нагрузки между несколькими кэш-серверами, а также переключение на резервные серверы в случае недоступности одного или всех кэш-серверов. Примерами коммутирующих устройств четвертого уровня могут служить ACEdirector от Alteon Networks и ServerIron от Foundry Networks.

Кэш-сервер Infolibria от DynaCache опирается на иной подход, обеспечивая прозрачность без использования отдельного коммутатора или маршрутизатора. Это достигается с помощью DynaLink Redirector (DLR), выделенного коммутатора четвертого уровня, взаимодействующего с DynaCache. DLR, интегральная составляющая стратегии компании в области кэширования, располагается в сети и переадресует в Internet только "промахи" кэша. По утверждению компании, подобная стратегия позволяет сократить нагрузку на маршрутизатор на две трети.

ПРОГРАММНЫЙ ПРОТИВ АППАРАТНОГО

В 1997 году в отчете под названием "Почему кэширование так важно" Forrester Research опубликовала прогноз, что провайдеры Internet и компании будут переходить с программных кэш-серверов на выделенные устройства кэширования. Аналогично, Dataquest заявила в июльском отчете 1998 года, что выделенные устройства будут доминировать на рынке продуктов для кэширования.

Нет, следовательно, ничего удивительного в том, что свыше полудюжины производителей в 1998 году выпустили устройства кэширования. Они заявляют, что их продукты предлагают лучшую производительность, чем программные аналоги, потому что операционная система и сервер кэширования тесно интегрированы друг с другом и оптимизированы для кэширования. Кроме того, они утверждают, что их продукты проще в настройке и конфигурации и представляют собой более надежные платформы ввиду меньшей вероятности образования брешей в защите из-за ошибок при администрировании или конфигурации. Обычно программные кэши, например рассматривавшиеся выше кэширующие посредники, разрабатываются с уклоном в сторону посреднических функций, в то время как аппаратные кэши создаются исключительно для поддержки кэширования при напряженных режимах эксплуатации. Несмотря на это, многие кэширующие устройства могут использоваться в конфигурациях с посредниками.

Network Appliance одной из первых предложила выделенное устройство кэширования. Для этого она адаптировала программное обеспечение NetCache для аппаратного продукта. Network Appliance приобрела программное обеспечение NetCache (и заполучила в придачу Питера Данцига, одного из главных архитекторов Harvest Project) вместе с небольшой молодой компанией Internet Middleware.

Среди других появившихся в 1998 году устройств кэширования - Cache Engine от Cisco Systems, CacheFlow от CacheFlow и DynaCache от InfoLibria. Не будучи выделенным устройством в строгом смысле слова, Netra Proxy от Sun Microsystems поставляется преконфигурированным на компьютере UltraSPARC II. Он содержит программное обеспечение кэширования от Sun и оптимизирован для осуществления этих функций.

Совсем недавно на рынке появились относительно недорогие устройства кэширования. Они базируются на стандартизованном аппаратном и программном обеспечении и представляют собой преконфигурированные серверные устройства, разработанные для того, чтобы сделать кэширование более простым и приемлемым по цене. Данный подход может оказаться привлекательным для небольших компаний или даже для крупных корпораций, если последние хотят воспользоваться преимуществами кэширования на уровне рабочих групп, но сомневаются в его целесообразности из-за высокой стоимости и сложности имеющихся решений. Цена на эти продукты колеблется в районе 2000 долларов, тогда как вышеупомянутые решения стоят не меньше 7000 долларов.

Тремя примерами недорогих устройств кэширования могут служить WebSpeed от Packetstorm Technologies, CacheQube и CacheRaQ от Cobalt Networks. WebSpeed продается по цене от 2100 до 7100 долларов в зависимости от размера кэша. WebSpeed использует процессоры Intel и бесплатную операционную систему Linux, а также программное обеспечение кэширования Squid. Компания делает ставку на то, что заказчики оценят недорогое преконфигурированное устройство, которое они могут установить в свои сети с минимальными усилиями. CacheQube и монтируемый в стойку CacheRaQ от Cobalt Network могут наращиваться как за счет увеличения емкости DRAM и дискового пространства, так и посредством создания кластера из нескольких устройств. CacheQube стоит 1899 долларов, а CacheRaQ - 2299 или 2799 долларов в зависимости от конфигурации.

Пытаясь опровергнуть прогнозы экспертов о том, что выделенные устройства кэширования будут доминировать на рынке, Inktomi выпустила Traffic Server, который компания позиционирует как высокопроизводительное решение в области кэширования, предназначенное главным образом для провайдеров Internet и крупных предприятий. В отличие от нее, другие программные кэши ориентированы на функции посредника и защиты в той же мере, что и на функции кэширования. При цене 30 000 долларов в расчете на ЦПУ Traffic Server имеет к тому же цену продукта уровня оператора связи.

СОВМЕСТИМОСТЬ И СТАНДАРТЫ

Ведущий свое начало от первых исследований в области кэширования в рамках проекта Harvest Project, протокол кэширования Internet (Internet Caching Protocol, ICP) определяет, как несколько кэш-серверов IP могут совместно использовать информацию о новизне объектов Web и как они получают объекты из других кэшей (в противовес извлечению объектов с исходного сервера Web). С помощью ICP администраторы серверов могут сконфигурировать кэш на подачу запроса к другим кэш-серверам, также поддерживающим ICP, на предмет наличия у них последней информации об объектах Web. Например, локальный кэш может попросить вышестоящий кэш посмотреть, нет ли у того более новой копии файла, и если такой копии нет, то не проверял ли тот возраст файла на исходном сервере. Даже если вышестоящий сервер не имеет более новой версии файла, то он мог недавно проверять факт изменения файла на исходном сервере. В зависимости от алгоритма обновления, локальный кэш может использовать эту информацию для получения более новой версии объекта с исходного сервера или задействовать вместо этого локальную копию (см. Рисунок).

Опрос вышестоящего кэша создает дополнительную задержку ввиду увеличения расстояния и времени передачи; однако экономия времени будет во многих случаях весьма значительна, так как запросу не надо преодолевать весь путь до сервера с оригиналом объекта. Кроме того, предоставление объектов с взаимодействующих по ICP серверов, расположенных вблизи от получателя, позволит сократить нагрузку на магистраль Internet, высвобождая пропускную способность для всего сообщества Internet в целом. Практически все решения в области кэширования сегодня поддерживают ICP.

Аналогично ICP, протокол маршрутизации для массива кэш-серверов (Caching Array Routing Protocol, CARP) представляет собой протокол для организации разделения нагрузки по кэшированию в рамках локального парка серверов. Он был разработан Microsoft и представлен в Консорциум World Wide Web (W3C) в качестве предложения по стандарту Internet. Помимо Microsoft около десятка других производителей, включая Packetstorm Technologies и Sun, объявили о своей поддержке CARP.

Чтобы устройство Cache Engine могло взаимодействовать с ее маршрутизаторами, Cisco разработала коммуникационный протокол для кэш-серверов в Web (Web Cache Communication Protocol, WCCP). С помощью WCCP маршрутизатор Cisco с поддержкой IOS перехватывает запросы HTTP, поступающие от браузеров, и перенаправляет их на кэш-сервер или выделенное устройство. WCCP поддерживает масштабируемость за счет распределения запросов между несколькими кэш-серверами в зависимости от их доступности.

В ноябре 1998 года Cisco начала выдавать лицензии на WCCP другим производителям продуктов для кэширования. Inktomi и Network Appliance заявили о намерениях включить поддержку WCCP в следующие редакции своих продуктов.

РЫНОЧНЫЕ ПОКАЗАТЕЛИ

Несмотря на некоторые разногласия относительно цифр, как ожидается, рынок продуктов кэширования Internet значительно вырастет в ближайшие четыре года. Collaborative Research прогнозирует рост рынка с 206 млн долларов США в 1998 году до свыше 4 млрд в 2002 году.

С учетом этих цифр, нет ничего удивительного в том, что крупнейшие производители и разработчики программного и аппаратного обеспечения пытаются использовать свое положение для проникновения на рынок решений в области кэширования. Например, обладая большой инсталлированной базой серверных операционных систем, Novell делает ставку на тесную интеграцию BorderManager с другими своими продуктами для привлечения к нему внимания со стороны корпоративных заказчиков.

Как и Novell, Microsoft и Sun борются за доминирующие позиции на рынке программного обеспечения и серверов Internet. Они обе имеют широкую инсталлированную базу серверов Web и позиционируют свои продукты - с сопутствующим арсеналом посреднических функций - как необходимые компоненты для интегрированной среды поддержки приложений Web. При наличии обширной инсталлированной базы сетевых устройств тесная интеграция Cache Engine с другими сетевыми компонентами Cisco может способствовать его широкому распространению.

ЦЕНА ЧТО НАДО

Решив внедрить кэширование у себя в сети, вы будете иметь выбор продуктов от бесплатных до стоящих 100 000 долларов и более. В общем случае чем дороже продукт, тем он мощнее.

В нижней части ценовой шкалы, где недавно доминировали программные кэш-серверы, вы можете теперь найти около десятка устройств кэширования. При использовании бесплатного продукта, такого, как Squid, доступного как в виде исходных кодов, так и в предварительно откомпилированном виде, вам потребуется компьютер, куда его можно было бы установить. Чтобы не входить в лишние расходы, вы можете перепрофилировать имеющееся оборудование под выполнение задач кэширования.

Netscape, Microsoft и Novell предлагают мощные программные кэш-серверы с широким набором посреднических функций. Их продукты стоят около 1000 долларов на один ЦПУ. Как и в случае Squid, общую стоимость решения можно уменьшить за счет применения имеющегося оборудования. В противном случае, стоимость покупки оборудования придется включить в расходную часть.

Фил Кеппелер - разработчик Web в дизайнерской и программистской фирме. С ним можно связаться по адресу: [email protected] .

Рассматриваемые продукты

Microsoft

Netscape Communications

National Laboratory for Advanced Network Research

Alteon Networks

ACEdirector
http://ircache.nlanr.net/Cache/FAQ/ircache-faq-9.html .

Брайан Д. Дэвидсон, кандидат наук из Рутгерского университета, ведет информационную страничку по ресурсам кэширования на своем сервере http://www.cs.rutgers.edu/~davison/Web-caching/ . Она содержит новости о кэшировании, перечень и таблицу кэширующих посредников, библиографию и т. п.

Если вы хотите больше узнать о Harvest Project, то соответствующие ссылки на результаты исследований, стенограммы заседаний и ответы на часто задаваемые вопросы имеются по адресу: http://www.harvest.transarc.com .

CacheNow - это текущая кампания по продвижению широкомасштабного кэширования в целях решения проблемы нехватки пропускной способности и преодоления ограничений инфраструктуры Internet. Сведения о ней имеются на http://vancouver-Webpages.com/CacheNow/ .

Если после обновления конфигурации у Вас «поплыли» формы, перестал работать отчет, выскакивают окна с ошибками, то вероятнее всего проблема решается очисткой кэша. Мы расскажем как.

Что такое кэш?

Программа 1С:Предприятие создана таким образом, что в процессе работы постоянно стремится оптимизировать скорость выполнения операций. С этой целью на компьютере пользователя создается «кэш», в котором хранится часто используемая информация, например: расположение и формы окон, служебные данные пользователя, настройки отборов, шрифтов и т.д.

Кэширование позволяет сократить количество обращений к серверу и, тем самым, . Этот механизм экономит время, но и содержит ряд проблем.

Если после обновления конфигурации у Вас «поплыли» формы, перестал работать отчет, выскакивают окна с ошибками, то вероятнее всего проблема решается очисткой кэша.

Как очистить кэш?

Существуют два основных способа очистки кэша.

1. Запуск базы 1С с использованием параметра «/ClearCache»

Данный метод очень прост. В окне выбора информационной базы выберите ту, чей кэш нужно очистить. Нажмите кнопку «Изменить».

В последнем окне Редактирования информационной базы задайте параметр запуска «/ClearCache». Нажмите «Готово» и запустите информационную базу.

В результате вышеописанных действий очистится кэш запросов «клиент-сервер». Поэтому, если проблема заключалась в локальном кэше метаданных, то данный метод очистки кэша не принесет результата. При использовании данного метода важно понимать, что папка временных файлов будет «отвязана» от информационной базы, но не будет удалена с вашего компьютера.

2. Очистка кэша 1С вручную

Для удаления файлов кэша вручную необходимо найти папки, где кэш хранится. Для операционных систем Win7 и выше временные файлы хранятся по адресу:

C:\Users\Username\AppData\Roaming\1C и C:\Users\Username\AppData\Local\1C в папках, начинающихся с «1cv8».
В Windows XP, в папке пользователя по адресу Local Settings\Application Data\1C\.
Если папка AppData не видна, то нужно настроить видимость скрытых папок.

Ниже на рисунке показано, как выглядят файлы кэша – папки с длинными непонятными именами. В нашем случае файл всего один.

Для очистки кэша нужно удалить эти папки.

Важно! Удалять папки можно только тогда, когда завершены процессы работы с 1С:Предприятие.

3. Очистка кэша в 1С на сервере или пользовательском ПК с помощью готовых скриптов

В Интернете можно найти готовые скрипты по очистке временных файлов 1С. Использование таких скриптов может привести к непредсказуемым последствиям, поэтому рекомендуется только для системных администраторов и сотрудников технической поддержки.

Этот способ поможет очистить кэш 1С как на клиенте, так и на сервере. Для этого Вам понадобится доступ к соответствующим папкам сервера

4. Дополнительно

Если после использования вышеописанных способов очистки кэша ошибка, например “Не верный формат хранилища данных “, все равно сохраняется, то рекомендуют остановить и вручную чистить папку reg_1541/SNCCNTX. Она расположена на компьютере центрального сервера 1С:Предприятия в каталоге <рабочий каталог кластера> / <идентификатор информационной базы>.

Например:

Будьте внимательны, в этой папке можно чистить не все. Перечислю что чистить можно:

1CV8Reg.lst – реестр кластера (в нем хранятся список зарегистрированных информационных баз, рабочие сервера и процессы, соответствие кластера и доп. менеджера, список админов.)
srvribrg.lst – список кластеров (зарегистрированные кластеры и админы центрального сервера)
1cv8ftxt – данные полнотекстового поиска. Они лежат на центральном сервере 1с: рабочий каталог кластера-идентификатор информационной базы
1Cv8Log – журнал регистрации базы *.lgp и *.lgf.

Важно иметь ввиду, что после очистки кэша запуск 1С немного замедлится.

Перевод

Довольно подробное и интересное изложение материала, касающегося кэша и его использования. Часть 2 .

От переводчика: об опечатках и неточностях просьба сообщать в личку. Спасибо.

Веб-кэш располагается между одним или несколькими веб-серверами и клиентом, или множеством клиентов, и следит за входящими запросами, сохраняя при этом копии ответов - HTML-страниц, изображений и файлов (совокупно известных, как представления (representations); прим. переводчика - позвольте я буду употреблять слово “контент” - оно, на мой взгляд, не так режет слух), для собственных нужд. Затем, если поступает другой запрос с аналогичным url-адресом, кэш может использовать сохраненный прежде ответ, вместо повторного запроса к серверу.

Существует две основные причины, по которым используется веб-кэш:

1. Уменьшение времени ожидания - так как данные по запросу берутся из кэша (который располагается “ближе” к клиенту), требуется меньше времени для получения и отображения контента на стороне клиента. Это делает Веб более отзывчивым (прим. переводчика - “отзывчивым” в контексте быстроты реакции на запрос, а не эмоционально).

2. Снижение сетевого трафика - повторное использование контента снижает объем данных, передаваемых клиенту. Это, в свою очередь, экономит деньги, если клиент платит за трафик, и сохраняет низкими и более гибкими требования к пропускной способности канала.

Виды веб-кэшей

Кэш браузера (Browser cache)

Если вы изучите окно настроек любого современного веб-браузера (например, Internet Explorer, Safari или Mozilla), вы, вероятно, заметите параметр настройки «Кэш». Эта опция позволяет выделить область жесткого диска на вашем компьютере для хранения просмотренного ранее контента. Кэш браузера работает согласно довольно простым правилам. Он просто проверяет являются ли данные “свежими”, обычно один раз за сессию (то есть, один раз в текущем сеансе браузера).

Этот кэш особенно полезен, когда пользователь нажимает кнопку “Назад” или кликает на ссылку, чтобы увидеть страницу, которую только что просматривал. Также, если вы используете одни и те же изображения навигации на вашем сайте, они будут выбираться из браузерного кэша почти мгновенно.

Прокси-кэш (Proxy cache)

Прокси-кэш работает по аналогичному принципу, но в гораздо большем масштабе. Прокси обслуживают сотни или тысячи пользователей; большие корпорации и интернет-провайдеры часто настраивают их на своих файрволах или используют как отдельные устройства (intermediaries).

Поскольку прокси не являются частью клиента или исходного сервера, но при этом обращены в сеть, запросы должны быть к ним как-то переадресованы. Одним из способов является использование настроек браузера для того, чтобы вручную указать ему к какому прокси обращаться; другой способ - использование перехвата (interception proxy). В этом случае прокси обрабатывают веб-запросы, перенаправленные к ним сетью, так, что клиенту нет нужды настраивать их или даже знать об их существовании.

Прокси-кэши являются своего рода общей кэш-памятью (shared cache): вместо обслуживания одного человека, они работают с большим числом пользователей и поэтому очень хороши в сокращении времени ожидания и сетевого трафика. В основном, из-за того, что популярный контент запрашивается много раз.

Кэш-шлюз (Gateway Cache)

Также известные как “реверсивные прокси-кэши” (reverse proxy cache) или “суррогаты” (surrogate cache) шлюзы тоже являются посредниками, но вместо того, чтобы использоваться системными администраторами для сохранения пропускной способности канала, они (шлюзы) обычно используются веб-мастерами для того, чтобы сделать их сайты более масштабируемыми, надежными и эффективными.

Запросы могут быть перенаправлены на шлюзы рядом методов, но обычно используется балансировщик нагрузки в той или иной форме.

Сети доставки контента (content delivery networks, CDN) распространяют шлюзы по всему интернету (или некоторой его части) и отдают кэшированный контент заинтересованным веб-сайтам. Speedera и Akamai являются примерами CDN.

Это учебное пособие преимущественно сфокусировано на браузерных кэшах и прокси, но некоторая информация подходит также и тем, кому интересны шлюзы.

Почему я должен им пользоваться

Кэширование является одной из наиболее неправильно понятых технологий в интернете. Веб-мастера, в частности, боятся потерять контроль над их сайтом, потому что прокси могут “скрыть” их пользователей, сделав сложным наблюдение посещаемости.

К несчастью для них (веб-мастеров), даже если бы веб-кэша не существовало, есть слишком много переменных в интернете, чтобы гарантировать, что владельцы сайтов будут в состоянии получить точную картину того, как пользователи обращаются с сайтом. Если это является для вас большой проблемой, данное руководство научит вас как получить необходимую статистику, не делая ваш сайт “кэшененавистником”.

Другой проблемой является то, что кэш может хранить содержимое, которое устарело или просрочено.

С другой стороны, если вы ответственно подходите к проектированию вашего веб-сайта, кэш может помочь с более быстрой загрузкой и сохранением нагрузки на сервер и интернет-соединение в рамках допустимого. Разница может быть впечатляющей: загрузка сайта, не работающего с кэшем, может потребовать нескольких секунд; в то время как преимущества использования кэширования могут сделать её кажущейся мгновенной. Пользователи по достоинству оценят малое время загрузки сайта и, возможно, будут посещать его чаще.

Подумайте об этом в таком ключе: многие крупные интернет-компании тратят миллионы долларов на настройку ферм серверов по всему миру для репликации контента для того, чтобы ускорить, как только можно, доступ к данным для своих пользователей. Кэш делает то же самое для вас и он гораздо ближе к конечному пользователю.

CDN, с этой точки зрения, являются интересной разработкой, потому что, в отличие от многих прокси-кэшей, их шлюзы приведены в соответствие с интересами кэшируемого веб-сайта. Тем не менее, даже тогда, когда вы используете CDN, вы все равно должны учитывать, что там будет прокси и последующее кэширование в браузере.

Резюмируя, прокси и кэш браузера будут использоваться, нравится вам это или нет. Помните, если вы не настроите ваш сайт для корректного кэширования, он будет использовать настройки кэша по-умолчанию.

Как работает веб-кэш

Все виды кэшей обладают определенным набором правил, которые они используют, чтобы определить, когда брать контент из кэша, если он доступен. Некоторые из эти правил установлены протоколами (HTTP 1.0/HTTP 1.1), некоторые - администраторами кэша (пользователями браузера или администраторами прокси).

Вообще говоря, это самые общие правила (не волнуйтесь, если вы не понимаете детали, они будут объяснены ниже):

Если заголовки ответа сообщают кэшу не сохранять их, он не сохранит.
Если запрос авторизованный (authorized) или безопасный (то есть, HTTPS), он не будет закэширован.
Кэшированный контент считается “свежим” (то есть, может быть отправлен клиенту без проверки с исходного сервера), если:
- У него установлено время истечения или другой заголовок, контролирующий время жизни, и он еще не истек.
- Если кэш недавно проверял контент и тот был модифицирован достаточно давно.
Свежий контент берется непосредственно из кэша, без проверки с сервера.
Если контент является устаревшим, исходному серверу будет предложено провалидировать его или сообщить кэшу, является ли имеющаяся копия по-прежнему актуальной.
При определенных обстоятельствах - например, когда он отключен от сети - кэш может сохранять устаревшие ответы без проверки с исходного сервера.

Если в ответе не присутствует валидатора (ETag или Last-Modified заголовок), и он не содержит никакой явной информации о свежести, контент, обычно (но не всегда) будет считаться некэшируемым.

Свежесть (freshness) и валидация (validation) являются наиболее важными способами, с помощью которых кэш работает с контентом. Свежий контент будет доступен мгновенно из кэша; валидное же содержимое избежит повторной отправки всех пакетов, если оно не было изменено.

овременные технологии беспроводной передачи данных активно внедряются и широко используются как в производственной деятельности большинства компаний, так и для построения компьютерных сетей для домашнего использования. Новые аппаратные решения в области беспроводной передачи данных позволяют создавать и беспроводные компьютерные сети в пределах одного здания, и распределенные сети в масштабах целого города. Пользователь беспроводной сети, у которого есть ноутбук или КПК, оснащенный встроенным модулем беспроводной связи, сегодня уже не привязан к проводной локальной вычислительной сети, а может свободно ходить по комнатам либо перемещаться в соседнее здание, оставаясь при этом постоянно подключенным к сети. Поддержка роуминга позволяет пользователям поддерживать постоянное подключение к сети, находясь в пределах зоны покрытия беспроводной сети. Корпоративные сотрудники, которые по служебной необходимости совершают регулярные деловые поездки, рассматривают беспроводные технологии как необходимую составляющую бизнеса. Беспроводные компьютерные сети активно развертываются в таких общественных местах, как гостиницы, транспортные терминалы, рестораны, кафе, предоставляя посетителям доступ к Интернету. По оценкам специалистов, интенсивное развитие и широкая популярность технологий беспроводной передачи данных за последние несколько лет были обусловлены именно этой возможностью.

Беспроводные компьютерные сети могут быть установлены для временного использования в помещениях, в которых проводная ЛВС отсутствует или затруднена прокладка сетевых кабелей. Установка и конфигурация беспроводных сетей осуществляются очень просто. Беспроводная сеть строится на основе базовых станций (Access Point точек доступа). Точка доступа это своеобразный мост, который предоставляет беспроводной доступ станциям, оборудованным беспроводными сетевыми картами, между собой и к компьютерам, объединенным в сеть посредством проводов. Радиус зоны покрытия одной точки доступа составляет около 100 м. При этом одна точка одновременно может поддерживать несколько десятков активных пользователей и обеспечивает скорость передачи информации для конечного абонента до 11 Мбит/с. С помощью точек доступа беспроводные рабочие станции, ноутбуки, карманные устройства, оснащенные модулями беспроводной связи, объединяются в беспроводную компьютерную сеть, производительность которой зависит от количества одновременно работающих пользователей. В целях повышения производительности беспроводной сети устанавливаются дополнительные точки доступа. Путем настройки точек доступа беспроводной сети на различные радиоканалы можно добиться оптимального распределения сетевого трафика сети.

Совместимость беспроводной компьютерной сети с проводной инфраструктурой вообще не является проблемой, поскольку большинство систем беспроводного доступа соответствует отраслевым стандартам соединения с сетями Ethernet. Узлы беспроводной сети поддерживаются сетевыми операционными системами (как и любые другие сетевые узлы) с помощью драйверов сетевых устройств. Совместимость же разных систем беспроводных сетей действительно представляет собой сложную проблему, поскольку существует множество разных технологий и производителей. Кроме того, следует учитывать и вопросы совместимости устройств, использующих одну и ту же частоту.

Низкая стоимость, быстрое развертывание, широкие функциональные возможности по передаче трафика данных, IP-телефонии, видео все это делает беспроводную технологию одним из самых перспективных телекоммуникационных направлений.

Основные стандарты беспроводных сетей

Cтандарт IEEE 802.11

«Патриархом» семейства стандартов беспроводных сетей является стандарт IEEE 802.11, разработка которого была начата в 1990-м, а закончена в 1997 году. Этот стандарт обеспечивает передачу данных на частоте 2,4 ГГц со скоростью до 2 Мбит/с. Передача данных осуществляется либо методом прямой последовательности (Direct Sequence Spread Spectrum, DSSS), либо методом изменения спектра скачкообразной перестройкой частоты (Frequency Hopping Spread Spectrum, FHSS). Технология DSSS основана на создании избыточного набора битов (чипа) на каждый переданный бит. Чип однозначно идентифицирует данные, поступившие от конкретного передатчика, который генерирует набор битов, а данные может расшифровать только приемник, которому известен этот набор битов. Технология FHSS использует узкополосную несущую частоту, скачкообразно меняющуюся в такой последовательности, которая известна только передатчику и приемнику. При правильной синхронизации передатчик и приемник поддерживают единый логический канал связи, любому же другому приемнику передача по протоколу FHSS представляется кратковременными импульсными шумами. С использованием технологии DSSS в диапазоне 2,4 ГГц могут одновременно работать (без перекрытия) три станции, а технология FHSS увеличивает число таких станций до 26. Дальность приема/передачи с использованием DSSS выше, чем у FHSS, за счет более широкого спектра несущей. Если уровень шума превышает некоторый определенный уровень, DSSS-станции перестают работать вообще, в то время как FHSS-станции имеют проблемы только на отдельных частотных скачках, но эти проблемы легко разрешаемы, вследствие чего станции FHSS считаются более помехозащищенными. Системы, в которых для защиты данных применяется FHSS, неэффективно используют полосу пропускания, поэтому скорость передачи данных здесь, как правило, ниже, чем в системах с технологией DSSS. Устройства беспроводных сетей с относительно низкой производительностью (1 Мбит/с) используют технологию FHSS.

Стандарт IEEE 802.11 получил свое дальнейшее развитие в виде спецификаций, в наименованиях которых присутствуют буквенные обозначения рабочей группы, разработавшей данную спецификацию.

Cтандарт IEEE 802.11a

Спецификация 802.11а использует диапазон частот 5,5 ГГц, что позволяет достичь пропускной способности канала 54 Мбит/с. Увеличение пропускной способности стало возможным благодаря применению технологии ортогонального частотного мультиплексирования OFDM (Orthogonal Frequency Division Multiplexing), которая была специально разработана для борьбы с помехами при многолучевом приеме. Технология OFDM предусматривает преобразование последовательного цифрового потока в большое число параллельных подпотоков, каждый из которых передается на отдельной несущей частоте.

Cтандарт IEEE 802.11b

Спецификация 802.11b является описанием технологии беспроводной передачи данных, получившей название Wi-Fi (Wireless Fidelity). Стандарт обеспечивает передачу данных со скоростью 11 Мбит/с на частоте 2,4 ГГц. Для передачи сигнала используется технология DSSS, при которой весь диапазон делится на пять перекрывающих друг друга поддиапазонов, по каждому из которых передается информация. Значения каждого бита кодируются последовательностью дополнительных кодов (Complementary Code Keying).

Cтандарт IEEE 802.11g

Спецификацию 802.11g можно представить как объединение стандартов 802.11a и 802.11b. Этот стандарт обеспечивает скорость передачи данных до 54 Мбит/с при использовании диапазона 2,4 ГГц. Аналогично стандарту 802.11a эта спецификация использует технологию OFDM, а также кодирование с помощью Complementary Code Keying, что обеспечивает взаимную совместимость работы с устройствами стандарта 802.11b.

Технологии и методы защиты данных в сетях Wi-Fi

дной из важных задач администрирования компьютерной сети является обеспечение безопасности. В отличие от проводных сетей, в беспроводной сети данные между узлами передаются «по воздуху», поэтому возможность проникновения в такую сеть не требует физического подключения нарушителя. По этой причине обеспечение безопасности информации в беспроводной сети является основным условием дальнейшего развития и применения технологии беспроводной передачи данных в коммерческих предприятиях. Согласно результатам опроса главных менеджеров по безопасности IT-компаний, проведенного фирмой Defcom, примерно 90% опрошенных уверены в перспективах беспроводных сетей, но отодвигают их внедрение на неопределенный срок ввиду слабой защищенности таких сетей на современном этапе; более 60% считают, что недостаточная безопасность серьезно тормозит развитие этого направления. А раз нет доверия, соответственно многие компании не рискуют отказываться от испытанных временем проводных решений.

Протокол безопасности WEP

Первой технологией защиты беспроводных сетей принято считать протокол безопасности WEP (Wired Equivalent Privacy эквивалент проводной безопасности), изначально заложенный в спецификациях стандарта 802.11. Указанная технология позволяла шифровать поток передаваемых данных между точкой доступа и персональным компьютером в рамках локальной сети. Шифрование данных осуществлялось с использованием алгоритма RC4 на ключе со статической составляющей от 40 до 104 бит и с дополнительной случайной динамической составляющей (вектором инициализации) размером 24 бит; в результате шифрование данных производилось на ключе размером от 64 до 128 бит. В 2001 году были найдены способы, позволяющие путем анализа данных, передаваемых по сети, определить ключ. Перехватывая и анализируя сетевой трафик активно работающей сети, такие программы, как AirSnort, WEPcrack либо WEPAttack, позволяли вскрывать 40-битный ключ в течение часа, а 128-битный ключ примерно за четыре часа. Полученный ключ позволял нарушителю входить в сеть под видом легального пользователя.

В ходе тестирования различного сетевого оборудования, работающего по стандарту 802.11, была обнаружена ошибка в процедуре предотвращения коллизий, возникающих при одновременной работе большого числа устройств беспроводной сети. В случае атаки устройства сети вели себя так, будто канал был все время занят. Передача любого трафика сети полностью блокировалась, и за пять секунд сеть полностью выходила из строя. Эту проблему невозможно было решить ни с помощью специализированного программного обеспечения, ни с использованием механизмов шифрования, так как данная ошибка была заложена в самой спецификации стандарта 802.11.

Подобной уязвимости подвержены все устройства беспроводной передачи данных, работающие на скоростях до 2 Мбит/с и использующие технологию DSSS (Direct Sequence Spread Spectrum). Сетевые устройства стандартов 802.11a и 802.11g, работающие на скоростях более 20 Мбит/с, данной уязвимости не подвержены.

Таким образом, технология WEP не обеспечивает надлежащего уровня безопасности корпоративной сети предприятия, но ее вполне достаточно для домашней беспроводной сети, когда объем перехваченного сетевого трафика слишком мал для анализа и вскрытия ключа.

Cтандарт IEEE 802.11X

Очередным шагом в развитии методов защиты беспроводных сетей было появление стандарта IEEE 802.11X, совместимого с IEEE 802.11. В новом стандарте были использованы протокол расширенной аутентификации Extensible Authentication Protocol (EAP), протокол защиты транспортного уровня Transport Layer Security (TLS) и сервер доступа RADIUS (Remote Access Dial-in User Server). В отличие от протокола WEP, стандарт IEEE 802.11X использует динамические 128-битные ключи, периодически меняющиеся во времени. Секретный ключ пересылается пользователю в зашифрованном виде после прохождения этапа аутентификации. Время действия ключа ограничено временем действующего на данный момент сеанса. После окончания текущего сеанса создается новый секретный ключ и снова высылается пользователю. Взаимная аутентификация и целостность передачи данных реализуется протоколом защиты транспортного уровня TLS. Для шифрования данных, как и в протоколе WEP, используется алгоритм RC4 с некоторыми изменениями.

В указанном стандарте были исправлены недостатки технологий безопасности, применяемых в 802.11, это возможность взлома WEP и зависимость от технологий производителя. IEEE 802.11X поддерживается операционными системами Windows XP и Windows Server 2003. По умолчанию в Windows XP время сеанса работы на секретном ключе равно 30 минутам.

Стандарт безопасности WPA

В 2003 году был представлен следующий стандарт безопасности WPA (Wi-Fi Protected Access), главной особенностью которого стали динамическая генерация ключей шифрования данных, построенная на базе протокола TKIP (Temporal Key Integrity Protocol) и позволяющая обеспечить конфиденциальность и целостность передаваемых данных. По протоколу TKIP сетевые устройства работают с 48-битовым вектором инициализации (в отличие от 24-битового вектора WEP) и реализуют правила изменения последовательности его битов, что исключает повторное использование ключей. В протоколе TKIP предусмотрена генерация нового 128-битного ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей нарушителю изменять содержимое передаваемых пакетов. В итоге получается, что каждый передаваемый по сети пакет данных имеет собственный уникальный ключ, а каждое устройство беспроводной сети наделяется динамически изменяемым ключом. Хотя протокол TKIP работает с тем же блочным шифром RC4, который предусмотрен спецификацией протокола WEP, однако технология WPA защищает данные надежнее последнего. Ключи динамически меняются каждые 10 Кбайт. По заверениям разработчиков данного стандарта, вероятность получения одинаковых ключей очень мала.

В общем виде структуру защищенной технологии WPA можно представить как объединение стандарта безопасности IEEE 802.11X, протокола расширенной аутентификации EAP, протокола интеграции временного ключа TKIP, технологии проверки целостности сообщений MIC и централизованного сервера аутентификации RADIUS, предназначенного для работы с точками доступа беспроводной сети. Наличие аутентификации пользователей беспроводной сети также является характерной особенностью стандарта безопасности WPA. Точки доступа беспроводной сети для работы в системе сетевой безопасности стандарта WPA должны поддерживать аутентификацию пользователей по протоколу RADIUS. Сервер RADIUS сначала проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об идентификаторах и паролях пользователей) или его цифровой сертификат, а затем активизирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи. Для работы технологии WPA требуется механизм EAP-TLS (Transport Layer Security).

Централизованный сервер аутентификации наиболее целесообразно использовать в масштабах крупного предприятия. Для шифрования пакетов и расчета криптографической контрольной суммы MIC используется значение пароля.

Необходимым условием использования стандарта безопасности WPA в рамках конкретной беспроводной сети является поддержка данного стандарта всеми устройствами сети. Если функция поддержки стандарта WPA выключена либо отсутствует хотя бы у одного из устройств, то безопасность сети будет реализована по умолчанию на базе протокола WEP. Проверить устройства беспроводной сети на совместимость можно по спискам сертифицированных продуктов, представленных на Web-сайте организации Wi-Fi Alliance (http://www.wi-fi.org).

WPA изначально разрабатывался как временный стандарт, поэтому широкое распространение получила как его аппаратная, так и программная реализация. Например, установка обновления Service Pack SP1 операционной системы Windows XP на ноутбуках Intel Centrino дает возможность использовать стандарт WPA. В силу того что большинство программных реализаций стандарта WPA генерируют секретный ключ, используя пароль пользователя и сетевое имя компьютера, то знание этого пароля позволяет нарушителям беспрепятственно проникнуть в беспроводную сеть. Пароль является основой для получения ключа шифрования, и поэтому разумный подход к его выбору имеет решающее значение для безопасности всей сети. Нарушитель, несколько раз понаблюдав процедуру обмена ключами с точкой доступа, может осуществить анализ трафика на предмет получения пароля. Считается, что пароли длиной менее 20 знаков значительно снижают безопасность беспроводной сети.

Беспроводные виртуальные частные сети

Технология виртуальных частных сетей VPN (Virtual Private Network) получила широкое распространение для обеспечения конфиденциальности передаваемых данных по беспроводным сетям. Прежде технология VPN в основном использовалась для безопасной передачи данных между распределенными подразделениями компаний по проводным сетям общего пользования. Создаваемая между узлами сети виртуальная частная сеть, используя протокол IPSec (Internet Protocol Security), который состоит из набора правил, разработанных для определения методов идентификации при инициализации виртуального соединения, позволяет обеспечить безопасный обмен пакетами данных по Интернету. Пакеты данных шифруются посредством алгоритмов DES, AES и др. Технология VPN обладает высокой степенью надежности. Создание беспроводной виртуальной частной сети предполагает установку шлюза непосредственно перед точкой доступа и установку VPN-клиентов на рабочих станциях пользователей сети. Путем администрирования виртуальной частной сети осуществляется настройка виртуального закрытого соединения (виртуального туннеля) между шлюзом и каждым VPN-клиентом сети. Главным недостатком использования беспроводной виртуальной частной сети является значительное сокращение пропускной способности.

Стандарт IEEE 802.11i

В середине прошлого года спецификация защиты сетей Wi-Fi получила окончательное одобрение комитета по стандартам IEEE и была представлена в виде стандарта IEEE 802.11i, получившего название WPA2. В основе этого стандарта лежит концепция надежно защищенной сети Robust Security Network (RSN), в соответствии с которой точки доступа и сетевые устройства должны обладать отличными техническими характеристиками, высокой производительностью и поддержкой сложных алгоритмов шифрования данных. Технология IEEE 802.11i является дальнейшим развитием стандарта WPA, поэтому в этих стандартах реализовано много аналогичных решений, например архитектура системы безопасности по аутентификации и обновлению ключевой информации сети. Однако указанные стандарты существенно отличаются друг от друга. В WPA процедура шифрования данных построена на базе протокола TKIP, а технология IEEE 802.11i основана на алгоритме AES (Advanced Encryption Standard), обеспечивающем более надежную защиту и поддерживающем ключи длиной 128, 192 и 256 бит. В технологии IEEE 802.11i алгоритм AES выполняет ту же функцию, что и алгоритм RC4 в протоколе TKIP стандарта WPA. Защитный протокол, использующий AES, получил название CCMP (Counter Mode with CBC-MAC Protocol). Для подсчета криптографической контрольной суммы MIC протокол CCMP применяет метод CBC-MAC (Cipher Block Chaining Message Authentication Code).

Следует отметить, что новая технология IEEE 802.11i тоже не является окончательным решением проблемы безопасности сетей Wi-Fi, поскольку пользователям беспроводных сетей потребуется более гибкая система управления безопасностью сети.

Возможные виды атак на беспроводные сети

Разрабатываемые в настоящее время системы безопасности требуют правильного администрирования. Мэтт Хайнс, представитель компании CNET, приводит следующую статистику по США: к 2007 году 80% беспроводных локальных сетей, расположенных на территории стран США, можно будет отнести к незащищенным; в 2006 году 70% удачных атак на беспроводные сети будет проведено исключительно благодаря настройкам, оставленным по умолчанию.

Первые действия, предпринимаемые нарушителем для проникновения в беспроводную сеть, это поиск точки доступа с отключенными режимами безопасности. Можно также получить доступ к ресурсам беспроводной сети, если узнать идентификатор сети SSID (Service Set IDentifier), который используется в беспроводных сетях стандарта 802.11 (Wi-Fi). Данный идентификатор является секретным ключом, устанавливаемым администратором сети, но его значение можно получить посредством сканирования трафика сети соответствующим программным обеспечением (например, с помощью программы NetStumbler). По умолчанию идентификатор SSID является составной частью заголовка каждого пакета, пересылаемого по сети. Поэтому некоторые производители сетевого оборудования ввели дополнительную опцию настройки, позволяющую отключать широковещательную рассылку SSID. Кроме идентификатора SSID, специализированное программное обеспечение позволяет нарушителю узнать множество других параметров системы безопасности сети.

В качестве одной из мер противодействия несанкционированному доступу к сети можно посоветовать назначение списка МАС-адресов пользователей сети. В то же время значение МАС-адреса не шифруется, поэтому сканирование трафика сети позволяет решить такую задачу.

Для несанкционированного определения идентификационных данных пользователей (имени и пароля) беспроводной сети злоумышленники иногда практикуют создание фальшивого узла доступа, получившего название evil twin (дьявольский близнец). В непосредственной близости от атакуемой беспроводной сети нарушитель устанавливает базовую станцию с более мощным сигналом, замаскированную под легальную базовую станцию беспроводной сети. А когда пользователи атакуемой сети начнут регистрироваться на таких серверах, то раскроют свою идентификационную информацию.

Предотвращение угроз безопасности беспроводных сетей

По результатам анализа возможных угроз безопасности беспроводных сетей специалисты предлагают некоторые правила по организации и настройке беспроводных сетей:

при создании беспроводных сетей необходимо проверить совместимость используемого сетевого оборудования (данную информацию можно получить на Web-сайте организации Wi-Fi Alliance: http://www.wi-fi.org);
правильное размещение антенн и уменьшение зоны действия беспроводной сети путем ограничения мощности передачи антенны позволяет снизить вероятность несанкционированного подключения к беспроводной сети;
в настройках сетевого оборудования следует отключить широковещательную рассылку идентификатора SSID. Необходимо запретить доступ пользователей, имеющих значение идентификатора SSID «Аny»;
для настройки точки доступа желательно использовать проводное соединение, отключив по возможности беспроводной доступ к настройкам параметров. Пароль для доступа к настройкам точки доступа должен быть сложным;
следует периодически проводить аудит безопасности беспроводной сети, устанавливать обновления драйверов и операционных систем;
использовать список МАС-адресов легальных пользователей беспроводной сети;
одной из основных задач администратора сети является периодическая смена статических паролей;
ключи, используемые в сети, должны быть максимально длинными. Постоянная смена ключевой информации повысит защищенность сети от несанкционированного доступа;
технология шифрования данных беспроводной сети должна обеспечивать наивысшую степень защиты с учетом ее поддержки всеми сетевыми устройствами беспроводной сети;
на всех компьютерах сети желательно установить файерволы и отключить максимально возможное число неиспользуемых сетевых протоколов, чтобы ограничить возможность проникновения нарушителя внутрь сети;
администратор сети обязан регулярно проводить административно-организационные мероприятия по недопущению разглашения паролей пользователей и другой ключевой информации.

Заключение

ировые производители сетевого оборудования активно занимаются продвижением новых аппаратных и программных решений для беспроводной передачи данных. В октябре 2004 года компания 3Com анонсировала решение в области беспроводных коммутаторов Wireless Mobility System, которое позволяет производить предварительное планирование сети, централизованное управление ею, автоматическую диагностику точек доступа, обнаружение и изоляцию посторонних сетевых сегментов, контроль доступа и разделение групп пользователей. Wireless Mobility System обладает высокой мобильностью, быстрым роумингом, а также высокой степенью готовности к передаче критичного к задержкам трафика (VoIP, видео) с использованием механизмов CoS и QoS.

По оценкам специалистов, к концу текущего года в сегменте оборудования для ЛВС около 20% будет принадлежать Wi-Fi-оборудованию. Основные области применения этого стандарта не изменятся; значительный рост произойдет в сфере офисных и домашних сетей. Структура применения технологии Wi-Fi будет выглядеть примерно следующим образом: дом 10-15%, офис 60-65%, хот-споты 30-35%. При разработке новых беспроводных продуктов приоритеты будут отдаваться безопасности, повышению удобства для пользователя в плане настроек и т.д., увеличению пропускной способности.

Решение проблемы безопасности в сетях Wi-Fi сможет реально расширить круг пользователей и поднять их доверие к беспроводным сетям на принципиально новый уровень. Но проблема эта не может быть решена только посредством принятия стандартов и за счет унификации оборудования. Значительные усилия в этом направлении должны приложить поставщики услуг, требуется гибкая система безопасности, необходима настройка политик доступа, большую роль играет и грамотная работа администратора беспроводной сети. Короче говоря, следует принимать все необходимые меры и использовать все возможные способы для обеспечения безопасности.