print

Aruba WLAN Infrastruktúra Termékek

Aruba biztonságos vállalati Wi-Fi infrastruktúra

Az Aruba Networks a biztonságos vállalati wireless megoldások szállítója.

A világ legjelentősebb technológiai vállalatai – mint a Google, Microsoft, SAP vagy a KPMG, Henkel, BAA – évek óta elégedett Aruba ügyfelek. 

Az Aruba Networks Wi-Fi eszközei az olyan magas biztonsági követelményeknek is megfelelnek, mint a DoD vagy a FIPS – így ahol valóban biztonságos wireless megoldásokra van szükség – mint az Egyesült Államok Védelmi Minisztériuma és Légiereje - csak az Aruba Networks eszközei jöhetnek számításba.

Aruba 6000-es kontroller

A vállalati Wi-Fi

Az Aruba Networks az egyetlen Wi-Fi gyártó akinek eszközei FIPS-140-2, CC-EAL-2 és DoD minősítéssel is rendelkeznek, így például az amerikai kormányzati, katonai vagy titkosszolgálati szervek csak és kizárólag Aruba eszközöket használhatnak. A biztonságos wireless hálózat megvalósítását számos integrált biztonsági funkció támogatja, amelyek segítségével akár a kábles hálózatnál is biztonságosabb infrastruktúra építhető ki.

Az Aruba filozófiája, hogy a biztonsági szolgáltatásoknak az infrastruktúrában integráltan kell megjelenniük, mert csak ebben az esetben lehet megfelelni a legkomolyabb biztonsági elvárásoknak. A rendszeren kívüli, kapcsolt, vagy harmadik féltől származó biztonsági megoldások nem csak plusz költséget jelentenek, de nem tudnak megbírkózni számos olyan támadási formával, amelyekre az integrált biztonsági infrastruktúra meg tud felelni.

Aruba infrastruktúra

Az Aruba Wi-Fi infrastruktúrája jelentősen eltér a hagyományos Wi-Fi megoldásoktól és más gyártók vállalati Wi-Fi infrastruktúrájától. Az Aruba olyan technológia megoldásokat és újításokat használ, amelyek minden esetben – még a legterheltebb hálózatokban is – garantálják a vállalati szolgáltatások működését.


Tulajdonságok


Aruba infrastruktúra jellemzői

Az Aruba Wi-Fi infrastruktúrája jelentősen eltér a hagyományos Wi-Fi megoldásoktól és más gyártók vállalati Wi-Fi infrastruktúrájától. Az Aruba olyan technológia megoldásokat és újításokat használ, amelyek minden esetben – még a legterheltebb hálózatokban is – garantálják a vállalati szolgáltatások működését.

Created with GIMP

Vékony AP infrastruktúra

Az Aruba Networks az egyetlen olyan gyártó aki megvalósította a teljesen vékony AP (Thin AP) alapú infrastruktúrát. Az Aruba hálózatában a felhasználók nem az Access Point eszközökhöz csatlakoznak, hanem a köpzonti vezérlést megvalósító wireless kontroller eszközhöz. Az Aruba vékony AP eszközei csak rádiós médiakonverterek, amelyek fogadják a 802.11-es Wi-Fi csomagokat, és megszakítás vagy terminálás nélkül egy titkosított kapcsolaton keresztül továbbítják a csomagokat a központi kontrollerhez. A Wi-Fi csomagok kibontása és dektriptálása a kontrolleren történik – így például az AP eszközök nem kompromitálhatóak hardveresen, mivel semmiféle titkosító kulcs nem található rajtuk.

A teljesen vékony AP üzemmódból számos előny következik. A kontrollernek nincs szüksége az AP eszközök lekérdezésére – hiszen minden kapcsolat benne terminálódik – minden pillanatban ismeri az AP és a kliens eszközök környezetét (rádiós zavarok, átvitel, interferencia, stb.) és képes azonnal beavatkozni, ha olyan esemény történik, amely befolyásolja a rendszer teljesítményét. Miliszekundumok alatt reagál a rádiós környezetben bekövetkező változásokra, szükség esetén csatornaváltásra, adáserősség növelésre vagy csökkentésre utasíthatja az AP eszközöket.

Ugyanígy, a teljesen vékony AP technológiának köszönhetően, az Aruba hálózatok a kliens eszközöket is képesek vezérelni – ha szükséges, a kontroller utasítja a kliens eszközt a csatorna vagy AP-váltásra, vagy akár adóteljesítmény növelésére vagy csökkentésére – stabilizálva a rádiós környezetet és növelve a kliensek átviteli teljesítményét.

Mivel minden kapcsolat a központi kontrollerben terminálódik, biztonsági incidens esetén nincs időkiesés – az esemény bekövetkeztekor a központi kontroller azonnal reagál: miliszekundumok alatt elkezdi az incidens felszámolását és akár rádiós támadással kiszorítja a támadót a védett hálózatból.

User centrikus infrastruktúra

Az Aruba Networks jelmondata (A felhasználók mozognak, a hálózat követi őket) és a user centrikus hálózat elve szintén a vékony AP technológiából következik. Az Aruba Wi-Fi hálózatban nem számít, hogy a felhasználó honnan csatlakozik, jogosultságait az szabja meg, hogy a felhasználó kicsoda. Ha a felhasználó az asztala mögül, egy másik épületből – vagy akár otthonról (Hálózatvirtualizáció, Remote AP) csatlakozik, az identitása szabja meg, hogy mit érhet el a hálózaton.Mivel a felhasználó identitása mindig ugyanaz, ha otthonról, egy másik irodából vagy egy másik épületből csatlakozik is fel, elérései és jogosultságai nem változnak, mindíg ugyanazok maradnak, mintha a saját asztala mögül csatlakozna a hálózathoz.

Nincs szükség bonyolult és korlátozó szabályrendszerek összeállítására, elegendő az Aruba hálózatot a központi autentikációs eszközzel összekapcsolni. Az Aruba képes a hitelesítő adatok olvasására, így a felhasználó csoporttagsága vagy szervezeti tagsága határozhatja meg, mit érhet el a vállalati Wi-Fi hálózaton. A felhasználó bármerre mozoghat, a hálózat és a jogosultságok követik, hiszen a csoport- vagy szervezeti tagsága nem változik.

A biztonságos Wi-Fi

A biztonságos Wi-Fi

Az Aruba Networks az egyetlen Wi-Fi gyártó akinek eszközei FIPS-140-2, CC-EAL-2 és DoD minősítéssel is rendelkeznek, így például az amerikai kormányzati, katonai vagy titkosszolgálati szervek csak és kizárólag Aruba eszközöket használhatnak. A biztonságos wireless hálózat megvalósítását számos integrált biztonsági funkció támogatja, amelyek segítségével akár a kábles hálózatnál is biztonságosabb infrastruktúra építhető ki.

Az Aruba filozófiája, hogy a biztonsági szolgáltatásoknak az infrastruktúrában integráltan kell megjelenniük, mert csak ebben az esetben lehet megfelelni a legkomolyabb biztonsági elvárásoknak. A rendszeren kívüli, kapcsolt, vagy harmadik féltől származó biztonsági megoldások nem csak plusz költséget jelentenek, de nem tudnak megbírkózni számos olyan támadási formával, amelyekre az integrált biztonsági infrastruktúra meg tud felelni.

Integrált wireless IDS és IPS

Az Aruba infrastruktúrája integráltan biztosítja a hálózat megvédéséhez szükséges wireless IPS funkciókat. Legyen szó rogue AP eszközökről, ad-hoc hálózatokról vagy wireless bridgekről, megszemélyesítő támadásokról vagy akár RF manipulációról, az IPS szolgáltatás nem csak riasztja az üzemeltetőket, de a vékony AP technológiának köszönhetően milliszekunumokon belül be is avatkozik, rádiófrekvenciás ellentámadással blokkolja a támadó vagy rosszindulatú eszközöket és kapcsolataikat.

Az Aruba wireless IPS szolgáltatásaihoz nincs szükség külön szenzor-üzemmódú AP eszközökre. Akár a klienseket kiszolgáló Access Pointok is képesek a szenzor funkciókat ellátni és megvédeni a hálózatot a rádiós közegből érkező támadásokkal szemben.

Integrált wireless tűzfal

Az Aruba azt a nézőpontot képviseli, hogy nincs biztonságos vállalati Wi-Fi megoldás integrált wireless tűzfal nélkül. Az Aruba kontrollerekbe épített FIPS-140-2, CC-EAL-2, ICSA minősített tűzfala nem csak wireless-wired, hanem wireless-wireless irányban is szabályozza a forgalmat.

A nemrégiben napvilágot látott Hole-196 sebezhetőség sem érinti az Aruba eszközeit, mert az integrált wireless tűzfal megakadályozza a sebezhetőség kihasználását és blokkolja a wireless-wireless kommunikációt és az IP/MAC spoofing kísérleteket.

Integrált spektrum analízis

Nem csak üzembiztonsági, hanem biztonsági szempontból is kiemelkedően fontos, hogy tudjuk, mi torténik a rádiós közegben. Az integrált wireless sptektrum analizátor átláthatóvá teszi a rádiós közeget és a zavarok felderítése mellett lokalizálni tudja a behatolási kísérleteket is. A spektrum analizátor működéséhez nins szükség külön AP eszközökre, a klienseket kiszolgáló eszközök is végezhetik a rádiós közeg felderítését.

Integrált VPN koncentrátor

Az Aruba kontrollerek képesek VPN koncentrátor-funkciókat is ellátni. Terminálják az IPSEC, PPTP, L2TP, xSec, xAuth VPN kapcsolatokat. A koncentrátor funkció segítségével megvalósítható a „VPN over Wireless” működés: létrehozhatóak olyan katonai-szintű titkosítással rendelkező SSID-k, amelyeket nem csak a Wi-Fi saját (pl. WPA2-AES, 802.1x) titkosítása és hitelesítése, de egy plussz VPN titkosítás és hitelesítés is véd.

Integrált guest access és Captive Portal

A vállalati Wi-Fi hálózathoz csatlakozó vendég felhasználók kezelésére az Aruba integrált guest access szerver szolgáltatást biztosít. A vendég felhasználókat szeparáltan a kontrollerben tárolhatjuk, és akár a recepciós is létre tudja hozni a vendég hozzáféréseket egy speciális vendég adminisztrátori felületen keresztül. A vendégek hitelesítéséért és beléptetéséért egy teljesen testreszabható Captive Portal felület felel és a rendszerben tetszőleges számú és a cég arculatára szabott Captive Portak is létrehozható.

Integrált tanúsítványtár és titkosított kommunikáció

Az Aruba Access Pointok egy titkosított csatornán keresztül kommunikálnak a központi kontrollerrel. Nem csak a vezérlés adatforgalma, de a kliensek adaforgalma is titkosított csatornán keresztül jut el a kontrollerig, így megvalósul a klienstől végpontig tartó titkosítás.

A levegőben a Wi-Fi hálózat titkosítása védi az adatcsomagokat, míg az AP és kontroller közötti kábeles szakaszon TPM chipek és tanúsítványok szavatolják a csomagok sérthetetlenségét. Mivel a kliens kapcsolata nem az AP eszközön, hanem a kontrollerben végződik, a kábeles szakaszon így két titkosítás is van az adatforgalmon: a Wi-Fi hálózat és a csatorna tanúsítványokon alapuló titkosítása.

Az Aruba kontrollerek beépített tanúsítványtárral rendelkeznek, így csak olyan AP eszköz csatlakozását engedélyezik, amelyeken a kontroller által kibocsátott tanúsítvány lett telepítve. A rendszer installálása után a kontroller lecseréli az AP eszközök tanúsítványait, így a telepítés befejeztével csak olyan AP eszköz tud csatlakozni a kontrollerhez, amelynek TPM chipjében a kontroller által kibocsátott tanúsítvány található.

Aruba üzembiztonság

Aruba üzembiztonság

A vállalati wireless hálózat vállalati szolgáltatásokat képes nyújtani, ezért üzembiztonságának legalább olyan szintűnek kell lennie, mint a vállalaton belül használt kábeles hálózaténak.

Az üzembiztonságot Wi-Fi esetében számos tényező befolyásolhatja: a rádiós szavarok, az eskzözök, az eszközök és kliensek vagy a kliensek közötti interferencia ugyanúgy, mint az kliensek nem - vagy alig szabványos kommunikációja. Az üzembiztonság befolyással van a vállalati Wi-Fi hálózat teljesítőképességére – az átviteli kapacitásra is -, így nagysebességű kommunikáció csak megfelelő üzembiztonságú Wi-Fi hálózaton valósulhat meg.

Wireless Roaming

A roaming szolgáltatás segítségével az Aruba hálózat biztosítani tudja, hogy a kliensek valóban mobillá váljanak. Az Aruba kontroller érzékeli, ha egy kliens átviteli sebessége lecsökken – mert távolabb került attól az AP eszköztől, amelyen keresztül eléri a hálózatot -, és utasítani tudja a klienst, hogy jelentkezzen át egy jobb átviteli lehetőségekkel kecsegtető AP eszközre.

A váltás gyorsasága (akár 3-10ms-on belül!) szavatolja, hogy a kliens adatkapcsolatai ne szakadjanak meg. A kiemelkedően gyors roaming a GSM tornyok közötti mozgáshoz hasonlóan képes akár a wireless IP telefonokat is kiszolgálni, a felhasználó szabadon mozoghat az épületen belül AP-ról AP-ra roamingolva, anélkül, hogy a hangminőség leromlana, vagy a hívása megszakadna.

A roaming nem csak akkor fontos, ha a felhasználó mozog, akkor is szükséges, ha az az AP eszköz, amelyen keresztül a felhasználó a kontrollerhez és a hálózathoz csatlakozik, túlterhelté válik. Ebben az esetben a kontroller felhasználókat mozgat át egy másik AP eszközre, hogy mindenki megfelelő adatkapcsolatokkal rendelkezzen.

VoIP és applikáció-detektálás

A vékony AP technológiának köszönhetően a központi kontroller minden adatforgalmat észlel és képes a legkritikusabb adatforgalmakat felismerni és a többitől eltérő prioritással kezelni.

Az Aruba kontrollerek képesek észlelni a VoIP adatforgalmat (akár codec szinten is) és képesek kiemelt támogatást adni a VoIP adatforgalomnak. Ha a kontroller észleli, hogy egy rajta áthaladó VoIP forgalom hívásminősége leromlik - mert más felhasználók adatforgalma zavarja a telefont vagy túlterheli az AP eszközt -, a hívást roamingoltatja egy olyan AP eszközre, amely a megfelelő minőségben kiszolgálja az adatforgalmat. A VoIP forgalomhoz hasonlóan az Aruba kiemelt támogatást biztosít számos más protokollhoz, pl. streaming media vagy más szakadásérzékeny alkalmazásokhoz.

Rádiófrekvencia-menedzsment

Az Aruba ARM (Adaptive Radio Management) szolgáltatásgyűjteménye stabilizálja a rádiós környezet zavarait és folyamatos, minőségi adatkapcsolatokat biztosít a kliensek számára.

Az ARM képes az AP eszközök és a kliens eszközök adáserősségének dinamikus, akár századmásodpercenkénti szabályozására, automatikus és dinamikus csatornaválasztásra. Fellép a kliensek eltérő rádiós képességeiből adódó airtime fairness jelenséggel szemben is, amely .n-es hálózatokban drasztikus átviteli teljesítményromlást eredményezhet. Megvédi a hálózatot a gyengébb kliensek sávszélesség-csökkentő hatásától és a nagysűrűségű telepítések problémáitól. Duálrádiós környezetekben kikényszeríti a nagyobb átviteli sebességet biztosító 5GHz használatot, hogy a nem 5GHz képes eszközöket ne lassítság tovább az 5GHz képes eszközök.

Nagysebességű infrastruktúra

Az Aruba infrastruktúra a Wi-Fi .n szabványának 300Mbit-es elméleti átviteli sebessége mellett akár 130-180Mbit-es valós átvitelt tesz lehetővé. A nagysebességű átvitelt az ARM segítségével valósítja meg, hiszen az ARM egy stabil rádiós környezetet teremt, ahol minden kliens a legnagyobb sebességet tudja kihozni magából.

Az Aruba AP-125-ös, legnagyobb kapacitású 3x3 MIMO-s AP eszkoze akár 40-50 felhasználót is könnyedén kiszolgál, minden kliens számára képes biztosítani a stabil és nagysebességű kapcsolatokat.

LEAD Technologies Inc. V1.01

Spektrum analízis

Az Aruba kontrollerbe integrált spektrum analizátor nagy segítséget nyújt a hibajelenségek elhárításához. Pontosan feltérképezi a rádiós környezetet, megmutatja a csatornák terhelését, az esetleges interfrenciákat és rádiós zavarokat. Segít a zavarok pontos helyének lokalizálásában, és átláthatóvá teszi a rádiós környezetet.

Hálózatvirtualizáció

Hálózatvirtualizáció

A hálózatvirtualizációs szolgáltatás és a Remote AP eszközök valóban mobillá teszik a vállalati kábeles és Wi-Fi hálózatot. A wireless kontroller a teljes layer-2-es hálózatot képes kitükrözni a Remote AP eszközök portjaira, és elérhetővé teszi a Wi-Fi hálózatot a RAP eszközökön.

A hálózatvirtualizáció segítségével a távolban dolgozók úgy tudnak kapcsolódni a vállalati hálózathoz, mintha csak bent ülnének az irodájukban. A RAP eszközökre akár IP telefonok vagy switchek is kapcsolhatóak, és a Remote AP eszközök akár a trunk portokat vagy a VLAN-okat is megjelenítik a távoli helyszíneken.

A központban beállított autentikációs és biztonsági szabályok nem csak a központban, de a távoli RAP eszközökön is érvényesek, így akár egyetlen RAP eszközzel kiválthatóak a branch hálózatok biztonsági megoldásai (helyi router, tűzfal, Wi-Fi, wIPS) is.