По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Near-field communications и Bluetooth LE - это маломощные беспроводные технологии, подходящие для различных применений на предприятиях.
Среди множества вариантов маломощной связи с относительно малым радиусом действия выделяются две технологии - Near-Field Communication и Bluetooth Low Energy. Оба имеют относительно низкие затраты на развертывание и просты в использовании.
NFC наиболее известна тем, что является технологией, лежащей в основе многих современных смарт-карт. Чипы NFC должны быть очень близко, в пределах нескольких сантиметров, к считывающему устройству для подключения, но это положительный момент в случае использования, который является безопасностью и контролем доступа.
Bluetooth LE-это маломощная производная от основного стандарта Bluetooth, компенсирующая более низкую потенциальную пропускную способность с существенно сниженным энергопотреблением и, как следствие, способностью вписываться в более широкий спектр потенциальных вариантов использования.
Давайте более подробно рассмотрим каждую технологию и их основные варианты использования.
Особенности NFC
NFC работает на близкоконтактных диапазонах-устройства должны находиться в пределах нескольких сантиметров друг от друга, чтобы установить контакт. Считываемая пассивная NFC – «tag» (метка) вообще не требует независимого источника питания, черпая энергию из сигнала инициатора, который работает на частоте около 13,5 МГц и требует от 100 до 700 мкА мощности при активном считывании метка.
Короткий радиус действия на самом деле является преимуществом. Самое важное в NFC заключается в том, что это не просто радиосигнал, в него встроен мощный протокол безопасности. То есть потенциальный злоумышленник должен быть очень близко - в пределах нескольких метров, используя специальное оборудование, чтобы просто иметь возможность обнаружить имеющееся соединение NFC. Реализации NFC также могут использовать технологию SSL для дополнительной безопасности.
Это неудивительно, учитывая происхождение NFC как бесконтактной платежной технологии. Это создаёт привлекательность для розничных торговцев, которые могут использовать NFC, чтобы позволить клиентам получить дополнительную информацию о товарах перед покупкой, получить купоны или попросить помощи у продавца, просто прикоснувшись своими телефонами к точке доступа NFC.
Несмотря на то, что ограниченный радиус действия ограничивает количество вариантов использования, технологии NFC, речь идет не только об открытии дверей и покупке товара. NFC может использоваться для начальной загрузки соединений для более быстрого и легкого сопряжения между устройствами, поэтому пользователь может просто коснуться своим телефоном на правильно оборудованном проекторе в конференц-зале, чтобы создать соединение NFC и подтвердить, что смартфон является одобренным устройством для подключения, и провести презентацию. Сама презентация или видеоданные не будут передаваться через NFC, но рукопожатие NFC действует как проверка для другого беспроводного протокола, устраняя необходимость входа, например, в сеть Wi-Fi или любую другую сеть с более высокой пропускной способностью сеть, которая может передавать эти данные.
Характеристики Bluetooth LE
Bluetooth LE, напротив, работает на значительно больших расстояниях - где-то до нескольких десятков метров - и имеет примерно вдвое большую максимальную пропускную способность соединения NFC на скорости 1 Мбит/с. Это продукт хорошо известной технологии Bluetooth, оптимизированный для межмашинного взаимодействия, благодаря более низкому энергопотреблению, чем стандарт магистральной линии. Он потребляет менее 15 мА на обоих концах соединения и имеет практическую дальность действия около 10 метров, обеспечивая безопасность соединений с помощью шифрования AES.
Тем не менее, Bluetooth LE не сможет заменить NFC.
С точки зрения передачи информации, NFC намного быстрее, чем BLE. BLE обычно занимает значительную долю секунды или больше, чтобы идентифицировать и защитить соединение, в то время у NFC этот процесс занимает мгновение.
Однако Bluetooth LE значительно более универсален, чем NFC, благодаря большему радиусу действия.
Многие специалисты считают, что Bluetooth LE немного лучше подходит для организаций. Примеры использования, такие как отслеживание активов, внутренняя навигация и целевая реклама, - это только верхушка айсберга.
Если перед предприятием стоит выбор, какую одну из дух рассмотренных технологий выбрать, то результат довольно очевиден. NFC в основном будет использоваться там, где требуется минимальное расстояние взаимодействия передающих устройств (например, по мерам безопасности или конфиденциальности), недорогая технология с мгновенным подключение и невысокой скоростью. Bluetooth LE будет использоваться в организациях, которым важно расстояние и высокие скорости передачи данных.
В проводной сети любые два устройства, которые должны взаимодействовать друг с другом, соединяются проводом. В качестве провода может выступать медный или волоконно-оптический кабель. Функциональные возможности по передаче данных по проводу, ограничены физическими свойствами провода. Строгие требования к проводам Ethernet определены в стандарте IEEE 802.3, в котором описаны способы подключения устройств, способы отправки и получения данных по проводным соединениям.
Проводные сети имеют ограничения для передачи данных по каналам связи, что не способствует, успешной коммуникации. Качество передачи данных, их успешная доставка до получателя, очень сильно зависит от типа и размера провода, количества витков, межвиткового расстояния, и максимальной длины кабеля. Все эти требования должны соответствовать стандарту IEEE 802.3.
Проводная сеть является ограниченной по длине и количеству подключаемых устройств, а именно напрямую по проводу могут подключиться только два устройства.
К основным недостаткам проводных сетей так же относится стационарность сетевого оборудования и компьютеров. Это означает, что соединенные проводами устройства, не могут легко перемещаться по помещению. Все устройства привязаны к сетевым разъемам. В современном мире очень много стало мобильных устройств и поэтому нецелесообразно привязывать их к конкретной розетке или разъёму коммуникационного оборудования.
Понятие беспроводной сети следует из ее названия, то есть данная сеть устраняет необходимость в проводе. Первостепенным становится удобство и мобильность, давая пользователям свободу перемещения в любом направлении, оставаясь подключенными к сети. Пользователь может использовать любое беспроводное устройство, которое имеет возможность подключения к сети.
Передача данных в беспроводных сетях осуществляется "по воздуху" при отсутствии препятствий и помех. При использовании беспроводной среды передачи данных, для их качественной доставки необходимо учитывать две вещи:
Беспроводные устройства должны соответствовать единому стандарту (IEEE 802.11).
Беспроводное покрытие должно охватывать ту область, на которой планируется использование устройствами.
Топологии Wireless LAN
Беспроводная связь осуществляется "по воздуху" посредством радиосигналов. Предположим, что одно устройство, передатчик, посылает радиосигналы другому устройству, приемнику. Как показано на рисунке, связь между передатчиком и приемником осуществляется в любое время, если оба устройства настроены на одну и ту же частоту (или канал) и используют одну и ту же схему для передачи данных между ними. Все это выглядит просто, за исключением того, что на самом деле это не удобно и не практично.
Для эффективного использования беспроводной сети данные должны передаваться в обоих направлениях, как показано на рисунке. Для отправки данных с устройства А на устройство В, устройство В должно дождаться прихода данных к себе и когда канал освободится отправить на устройство А.
В беспроводной связи, при одновременной передаче данных, могут возникнуть помехи, т.е. передаваемые сигналы будут мешать друг другу. Чем больше беспроводных сетей, тем выше вероятность возникновения помех. Например, на рисунке изображены четыре устройства, работающие на одном и том же канале, и то, что может произойти, если часть из них или все одновременно начнут передавать данные.
Вышенаписанное сильно напоминает нам традиционную (некоммутируемую) локальную сеть Ethernet, где несколько хостов могут подключаться к общему ресурсу и совместно использовать канал передачи данных. Чтобы эффективно использовать общий ресурс, все хосты должны работать в полудуплексном режиме, во избежание столкновений с другими уже выполняемыми передачами. Побочным эффектом является то, что ни один хост не может передавать и принимать одновременно в общей среде.
Аналогичное происходит и в беспроводной сети. Так как несколько хостов могут совместно использовать один и тот же канал, они также совместно используют "эфирное время" или доступ к этому каналу в любой момент времени. Что бы избежать конфликтных ситуаций и создание помех, хосты должны передавать данные в определенный момент времени, ожидая освобождения канала. Для работы в беспроводных сетях все устройства должны соответствовать стандарту 802.11.
Важно понимать, что по умолчанию беспроводная среда не учитывает количество устройств и не контролирует устройства, которые могут передавать данные. Любое устройство, имеющее адаптер беспроводной сети, может в любой момент подключиться к беспроводной сети.
Как минимум, беспроводная сеть должна уметь определять, что каждое устройство, подключаемое к каналу передачи данных, поддерживает общий набор параметров. Кроме того, должен быть способ контроля устройств (и пользователей), которым разрешено использовать беспроводную среду и методы, используемые для обеспечения безопасности беспроводной передачи данных.
Базовый набор услуг (BSS)
Идея состоит в том, чтобы сделать каждую беспроводную зону обслуживания замкнутой для группы мобильных устройств, которая формируется вокруг фиксированного устройства. Прежде чем устройство сможет подключиться, оно должно объявить о своих возможностях, а затем получить разрешение на подключение. В стандарте 802.11 это называется базовым набором услуг (BSS, Basic Service Set). В центре каждого BSS находится беспроводная точка доступа (AP). AP работает в инфраструктурном режиме, что означает, что он предлагает услуги, необходимые для формирования инфраструктуры беспроводной сети. AP также устанавливает свой BSS по одному беспроводному каналу. AP и члены BSS должны использовать один и тот же канал для правильной связи.
Поскольку работа BSS зависит от точки доступа, то BSS ограничена областью, равной расстоянию, на которое может распространяться сигнал точки доступа. Это называется базовой зоной обслуживания (BSA) или ячейкой. На рисунке ячейка показана в виде окружности, в центре которой имеется точка доступа. Ячейки могут выглядеть по-разному:
зависит от устройств, подключенных к AP;
зависит от физического окружения, которое может повлиять на сигналы AP;
Точка доступа (АР) служит единственной точкой контакта для каждого устройства, которое хочет использовать BSS. Она объявляет о существовании BSS, чтобы устройства могли найти его и попытаться присоединиться. Для этого AP использует уникальный идентификатор BSS (BSSID), основанный на собственном MAC-адресе.
Кроме того, точка доступа присваивает беспроводной сети идентификатор набора услуг (SSID-текстовую строку, содержащую логическое имя). Представьте себе, что BSSID - это машинный код, который однозначно идентифицирует BSS (AP). А SSID - это символьная строка, задаваемая человеком, который идентифицирует беспроводную службу.
Членство в BSS называется ассоциацией. Беспроводное устройство должно отправить запрос на ассоциацию точке доступа, и точка доступа должна либо предоставить, либо отклонить запрос. При разрешении, устройство становится клиентом, или станцией 802.11 (STA) в BSS. И что же дальше? Пока клиент беспроводной сети остается подключенным к BSS, все данные, приходящие к нему и исходящие от клиента, проходят через точку доступа, как показано на рисунке. Используя BSSID в качестве адреса источника или назначения, фреймы данных можно ретранслировать в точку доступа или из нее.
На рисунке изображено движение трафика внутри BSS. BSS содержит четыре устройства, подключенные к точке доступа по беспроводному соединению. Идентификатор набора служб (SSID) носит название "Моя сеть". Базовый идентификатор набора услуг (BSSID) - это MAC-адрес точки доступа d4:20:6d:90:ad:20. Любой клиент, связанный с BSS, не может напрямую связаться с любым другим клиентом в BSS. Весь трафик проходит через точку доступа.
Почему же два клиента должны общаться именно через точку доступа, а не напрямую? Это связано с тем, что все подключения через точку доступа и BSS стабильны и контролируются.
Система распределения
Нужно учитывать то, что BSS имеет одну точку доступа AP и не имеет явного подключения к обычной сети Ethernet. В этом случае точка доступа и связанные с ней клиенты образуют автономную сеть. Но роль точки доступа не ограничивается только управлением BSS, рано или поздно появится необходимость взаимодействия беспроводных клиентов с другими устройствами, которые не являются членами BSS. К счастью, точка доступа имеет возможность подключаться к сети Ethernet, как по беспроводным каналам, так и по проводам. Стандарт 802.11 позволяет подключаться по проводам Ethernet и использовать их в качестве распределительной системы (DS) для беспроводной BSS (см. рис.6).
Вообще можно сказать, что точка доступа выступает в качестве моста между разнородными средами передачи данных (проводной и беспроводной). Проще говоря, точка доступа отвечает за сопоставление виртуальной локальной сети (VLAN) с SSID. На рисунке точка доступа сопоставляет VLAN 10 с беспроводной локальной сетью, используя SSID "Моя сеть". Клиенты, связанные с SSID "Моя сеть", будут, подключены к VLAN 10.
Рисунок иллюстрирует систему распределения, поддерживающую BSS. Система распределения состоит из коммутатора третьего уровня в сети VLAN 10. Данный коммутатор подключен к интернету с помощью кабеля. AP (точка доступа) подключается к коммутатору так же с помощью кабеля. Точка доступа формирует BSS (базовый набор услуг). Устройства, входящие в область BSS - это все устройства, подключенные по беспроводной связи к точке доступа. Идентификатор SSID "Моя сеть" и BSSID- d4:20:6d:90:ad:20.
Данный принцип подключения позволяет сопоставлять несколько VLAN с несколькими SSID. Для этого точка доступа должна быть соединена с коммутатором магистральным каналом. На рисунке 7 VLAN 10, 20 и 30 соединены с точкой доступа через распределительную систему (DS). Точка доступа использует тег 802.1Q для сопоставления номеров VLAN с соответствующими SSID. Например, VLAN 10 сопоставляется с SSID "Моя сеть", VLAN 20 сопоставляется с SSID "Чужая сеть" и VLAN 30 к SSID "Гости".
На рисунке показан процесс поддержки нескольких SSID одной точкой доступа:
Несмотря на то, что точка доступа поддерживает одновременно несколько логических беспроводных сетей, каждый из SSID работают в одной зоне (области). Причина в том, что точка доступа использует один и тот же передатчик, приемник, антенну и канал для каждого SSID. Однако это утверждение может ввести в некоторое заблуждение: несколько SSID могут создать иллюзию масштабируемости сети. Хоть и беспроводные клиенты могут быть распределены по разным SSDI, но все же они используют совместно одну точку доступа. А это в свою очередь приводит к "борьбе" за эфирное время на канале.
Расширенный набор услуг
Обычно одна точка доступа не может охватить всю зону (область), где могут находиться клиенты. Например, потребуется беспроводное покрытие на всем этаже торгового центра, гостиницы, больницы или другого крупного здания. Что бы покрыть большую площадь, которую может охватить одна ячейка точки доступа, просто необходимо добавить больше точек доступа и распределить их по этажу (этажам).
Когда точки доступа расположены в разных местах, все они могут быть связаны между собой коммутируемой инфраструктурой. В стандарте 802.11 эта возможность называется расширенным набором услуг (extended service set (ESS))
Расширенный набор услуг показан на рисунке.
Идея состоит в том, чтобы заставить несколько точек доступа взаимодействовать так, чтобы беспроводное подключение было не заметным для клиента. В идеале, любые SSID, определенные на одной точке доступа, так же должны быть определены на всех остальных точках доступа в ESS (Extended Service Set). В противном случае клиенту приходилось бы каждый раз переподключаться, как только бы он попадал в ячейку другой точки доступа.
Как видно из рисунка, что каждая ячейка имеет уникальный BSSID, но обе ячейки имеют общий SSID. Независимо от местоположения клиента в пределах ESS, SSID останется тем же самым, но клиент всегда может отличить одну точку доступа от другой.
На рисунке показан принцип работы расширенного набора услуг. Коммутатор (VLAN 10) подключен к интернету по кабелю. Две точки доступа подключены к этому коммутатору так же проводами. Эти точки располагаются рядом так, что области их действия пересекаются. BSS двух точек доступа, объединены, и образуют расширенный набор услуг (ESS). AP-1 имеет BSSID d4:20:6d:90:ad:20, а её базовый набор услуг-BSS-1. Точка доступа подключена к клиенту по беспроводной сети. AP2 имеет BSSID e6:22:47:af:c3:70, а её базовый набор услуг-BSS-2. Точка доступа подключена к клиенту по беспроводной сети. SSID обоих BSS - это "Моя сеть". Переход клиента от одной точки доступа к другой называется роумингом.
В ESS беспроводной клиент может связываться с одной точкой доступа, пока он физически расположен рядом с этой точкой. При перемещении клиента в другое место, он автоматически подключается к ближайшей точке доступа. Переход от одной точки доступа к другой называется роумингом. Имейте в виду, что каждая точка предлагает свой собственный BSS на своем собственном канале, чтобы предотвратить помехи между точками доступа. Так как беспроводное устройство (клиентское) может перемещаться от одной точки доступа к другой, оно должно уметь сканировать доступные каналы, чтобы найти новую точку доступа (и BSS) для переподключения. Фактически клиент перемещается от BSS к BSS и от канала к каналу.
Независимый базовый набор услуг
Обычно беспроводная сеть использует точку доступа для организации, контроля и масштабируемости. Иногда это невозможно или неудобно в различных ситуациях. Например, два человека, которые хотят обменяться электронными документами на встрече, могут не найти доступную BSS или не смогут пройти аутентификацию в сети. Кроме того, многие принтеры могут печатать документы по беспроводной сети, не полагаясь на обычный BSS или точку доступа.
Стандарт 802.11 позволяет двум или более беспроводным клиентам напрямую связываться друг с другом, без каких-либо посредников сетевого подключения. Это называется специальной беспроводной сетью (ad hoc) или независимым базовым набором услуг (IBSS), как показано на рисунке. Чтобы это работало, одно из устройств должно стать главным и разослать в эфир свое сетевое имя, необходимые параметры беспроводного подключения, так же как это сделала бы точка доступа. Любое другое устройство может затем присоединиться по мере необходимости. IBSS предназначены для организации небольшой беспроводной сети для восьми - десяти устройств. Эта сеть не масштабируема.
Привет, друг! Ты, наверное, слышал аббревиатуру DPI. А как это расшифровывается и что это вообще такое? Это сейчас и узнаем.
Что такое DPI?
Deep Packet Inspection (DPI) - это продвинутый метод проверки и управления сетевым трафиком. DPI представляет собой форму фильтрации пакетов, которая обнаруживает, идентифицирует, классифицирует, перенаправляет или блокирует пакеты с конкретными данными или полезной нагрузкой, которые обычная фильтрация пакетов (которая проверяет только заголовки пакетов) не может обнаружить.
Обычно функции глубокой проверки пакетов работают на уровне приложений (Application) модели OSI, в то время как традиционная фильтрация пакетов только сообщает информацию заголовка каждого пакета. Другими словами, традиционная фильтрация пакетов была похожа на чтение названия книги без осознания или оценки содержимого внутри.
Как работает DPI?
DPI проверяет содержимое пакетов, проходящих через заданную точку, и принимает решения в режиме реального времени на основе правил, назначенных компанией, провайдером или сетевым администратором, в зависимости от того, что содержит пакет. До недавнего времени фаерволы не обладали вычислительной мощностью, необходимой для более глубоких проверок больших объемов трафика в режиме реального времени.
Глубокая проверка пакетов может проверить содержимое сообщений и определить конкретное приложение или службу, из которой оно поступает. Кроме того, фильтры могут быть запрограммированы для поиска и перенаправления сетевого трафика из определенного диапазона адресов Интернет-протокола (IP) или определенной онлайн-службы, например, такой как Facebook.
Как используется DPI?
Глубокая проверка пакетов также может использоваться в управлении сетью для оптимизации потока сетевого трафика. Например, сообщение, помеченное как высокоприоритетное, может быть направлено к месту назначения раньше менее важных или низкоприоритетных сообщений, или пакетов, участвующих в случайном просмотре Интернета. DPI также может использоваться для регулирования передачи данных, чтобы предотвратить злоупотребление p2p, что улучшает производительность сети.
Также DPI используется для предотвращения проникновения в вашу корпоративную сеть червей, шпионских программ и вирусов. Кроме того, DPI также можно использовать для расширения возможностей интернет провайдеров по предотвращению использования IoT-устройств при DDOS-атаках путем блокирования вредоносных запросов от устройств. Глубокая проверка пакетов также может предотвратить некоторые типы атак переполнения буфера.
Наконец, глубокая проверка пакетов может помочь вам предотвратить утечку информации, например, при отправке конфиденциального файла по электронной почте. Вместо того, чтобы успешно отправить файл, пользователь вместо этого получит информацию о том, как получить необходимое разрешение и разрешение на его отправку.
Техники DPI
Два основных типа продуктов используют глубокую проверку пакетов: межсетевые экраны, в которых реализованы такие функции IDS (Intrusion Detection System – система обнаружения вторжений), как проверка содержимого, и системы IDS, которые нацелены на защиту сети, а не только на обнаружение атак. Некоторые из основных методов, используемых для глубокой проверки пакетов, включают в себя:
Сопоставление шаблонов или сигнатур (Pattern or signature matching) - Один из подходов к использованию фаерволов, которые используют функции IDS, анализирует каждый пакет на основе базы данных известных сетевых атак. Недостатком этого подхода является то, что он эффективен только для известных атак, а не для атак, которые еще предстоит обнаружить.
Аномалия протокола (Protocol anomaly) - Другой подход к использованию фаерволов с функциями IDS, аномалия протокола использует подход «запрет по умолчанию», который является ключевым принципом безопасности. В этой технике используются определения протокола (protocol definitions), для того чтобы определить, какой контент должен быть разрешен. Основным преимуществом этого подхода является то, что он обеспечивает защиту от неизвестных атак.
Решения IPS - Некоторые решения IPS (Intrusion Prevention System – система предотвращения вторжений) используют технологии DPI. Эти решения имеют функции, аналогичные встроенным IDS, хотя они могут блокировать обнаруженные атаки в режиме реального времени. Одной из самых больших проблем при использовании этого метода является риск ложных срабатываний, который может быть смягчен до некоторой степени, путем создания консервативной политики.
Существуют некоторые ограничения для этих и других методов DPI, хотя поставщики предлагают решения, направленные на устранение практических и архитектурных проблем различными способами. Кроме того, решения DPI теперь предлагают ряд других дополнительных технологий, таких как VPN, анализ вредоносных программ, антиспам-фильтрация, фильтрация URL-адресов и другие технологии, обеспечивающие более комплексную защиту сети.
Недостатки DPI
Ни одна технология не является идеальной, и DPI не является исключением. У нее есть несколько слабых сторон:
Глубокая проверка пакетов очень эффективна для предотвращения таких атак, как атаки типа «отказ в обслуживании», атаки с переполнением буфера и даже некоторых форм вредоносных программ. Но это также может быть использовано для создания подобных атак.
Глубокая проверка пакетов может сделать ваш текущий фаервол и другое программное обеспечение безопасности, которое вы используете, более сложным в управлении. Вы должны быть уверены, что вы постоянно обновляете и пересматриваете политики глубокой проверки пакетов, чтобы обеспечить постоянную эффективность.
Глубокая проверка пакетов может замедлить работу вашей сети, выделив ресурсы для фаервола, чтобы он мог справиться с нагрузкой обработки.
Помимо проблем конфиденциальности и внутренних ограничений глубокой проверки пакетов, некоторые проблемы возникли из-за использования сертификатов HTTPS и даже VPN с туннелированием. Некоторые фаерволы теперь предлагают проверки HTTPS, которые расшифровывают трафик, защищенный HTTPS, и определяют, разрешено ли пропускать контент.
Тем не менее, глубокая проверка пакетов продолжает оставаться ценной практикой для многих целей, начиная от управления производительностью и заканчивая аналитикой сети, экспертизой и безопасностью предприятия.