Aruba Networks

Logo Aruba Networks

Pri zrode spoločnosti Aruba Networks stála myšlienka tzv. "mobile edge", teda koncepcie mobilného bezdrôtového rozhrania, ktoré sa bude pohybovať spolu s používateľom. Bola to myšlienka úplne odlišná od vtedajšej situácie v oblasti sieťových technológií, kedy bezdrôtová sieť bola pevne zviazaná s podnikom a predstavovala iba lokálne rozšírenie podnikovej siete. Hlavným cieľom teda bolo vytvoriť bezpečný, praktický a ekonomicky výhodný spôsob pripojenia mobilných užívateľov k sieťovým prostriedkom. Táto myšlienka bola v roku 2002 pre spoločnosti Matrix Partners a Sequoia Capital veľmi zaujímavá, a preto spoločne založili spoločnosť Aruba Networks.

Od tejto doby sa spoločnosť Aruba Networks vypracovala medzi svetových lídrov na trhu bezdrôtových technológií. Svojim zákazníkom ponúka komplexné riešenia sietí WLAN s kompletnou centrálnou správou a s extrémnym dôrazom na bezpečnosť.

Aruba Networks

Od konkurenčných riešení sa odlišuje najmä svojim prístupom k otázke bezpečnosti bezdrôtových sietí:

Celá bezdrôtová sieť je spravovaná centrálne

Jednotlivé prístupové body sú vo svojom princípe veľmi jednoduché. Zaisťujú iba dve základné funkcie: bezdrôtovú komunikáciu s koncovými používateľmi a vytvorenie IPSec tunela medzi AP a centrálnym kontrolerom.

Všetky používateľské dáta sú z jednotlivých AP odosielané v rámci vytvoreného IPSec tunela na centrálny kontroler, ktorý obsahuje všetku logiku a vykonáva všetky bezpečnostné funkcie.

Aruba Networks

Sieť je vytvorená ako tzv. "user-centrická"

Všetky dáta, ktoré prídu z jednotlivých prístupových bodov, sú v závislosti na používateľovi rozdelené do samostatných kategórií. V celej sieti tak môže existovať v rámci jedného SSID celý rad rôznych skupín s rôznymi právami prístupu a obmedzeniami. Priradenie konkrétnej skupiny sa nevykonáva podľa geografickej polohy alebo špecifického SSID, ale na základe identity používateľa, ktorý k sieti pristupuje. Používateľ tak má rovnaké práva a podlieha rovnakým obmedzeniam či už sa k sieti pripojí v ktorejkoľvek pobočke, z domova, alebo z hotela. Používateľovi vďaka pokročilému L2 aj L3 roamingu zostáva stále rovnaká IP adresa bez ohľadu na zmenu geografickej polohy.

Otázka bezpečnosti je prioritou už od založenia spoločnosti, a preto je riešená komplexne na niekoľkých úrovniach. Prvá kontrola sa vykonáva už na úrovni bezdrôtového prístupu (detekcia a eliminácia falošných AP, wireless IPS, analýza spektra). Medzi bezpečnostné prvky na linkovej a sieťovej vrstve patrí okrem samotného šifrovania aj autentizácia, prideľovanie VLAN podľa AAA a používateľská karanténa. Na aplikačnej úrovni sú potom bezpečnostné prvky doplnené o možnosti stavového firewallu, IPS, VPN, alebo kontroly anomálií prevádzky.

Aruba Networks

Vďaka kombinácii uvedených vlastností máme k dispozícii bezdrôtovú sieť s unikátnymi vlastnosťami:

Možnosť presnej kontroly identity používateľov pristupujúcich k sieti

O každom používateľovi pripojenom do vnútornej siete sú k dispozícii v každom okamihu kompletné informácie o jeho identite (kto pristupuje do siete, na akom geografickom mieste, aký k tomu využíva hardvér, aké zdroje má k dispozícii). Všetky používateľské dáta sú navyše spracovávané firewallom a systémom IPS.

Aruba Networks

Bezproblémový a rýchly roaming

Používateľ sa môže pripojiť k ľubovoľnému AP, jeho dáta však vždy spracováva centrálny kontroler. Používateľovi tak zostáva stále rovnaká IP adresa, čo v kombinácii s plynulým odovzdávaním medzi jednotlivými AP umožňuje napr. bezproblémové využitie technológie VOIP v rozsiahlych budovách a komplexoch.

Jednoduchý vzdialený prístup

Okrem štandardných metód vzdialeného prístupu do korporátnej siete ponúka Aruba ešte ďalšiu zaujímavú metódu vzdialeného prístupu. Používateľ má k dispozícii malé prenosné AP, ktoré po pripojení do siete Internet na ľubovoľnom mieste nadviaže automaticky IPSec tunel so svojím materským kontrolerom a používateľ tak získa na ľubovoľnom mieste prístup priamo do svojej domovskej bezdrôtovej siete (rovnaké SSID, rovnaká metóda šifrovania, rovnaká IP adresa pridelená rovnakým DHCP serverom, ...)

Aruba Networks

Šifrovaná komunikácia

Všetka komunikácia medzi prístupovými bodmi a kontrolerom je chránená pomocou IPSec alebo GRE tunela. Prípadný útočník tak nemá možnosť získať prístup k nešifrovaným používateľským dátam.

Možnosť zapojenia v režime vysokej dostupnosti

Tak ako centrálne kontrolery, aj jednotlivé prístupové body možno zapojiť v režime vysokej dostupnosti. Sieť navyše neustále kontroluje vlastné pokrytie (využíva k tomu samotné AP a špeciálne zariadenia, tzv. air monitory) a stav jednotlivých AP, čo v kombinácii s automatickým riadením RF umožňuje automaticky nahradiť nefunkčné zariadenia, a pod.