bevielio tinklo diegimo ĮmonĖje metodika - …1766821/1766821.pdf · gre (angl. generic routing...
TRANSCRIPT
VYTAUTO DIDŽIOJO UNIVERSITETAS INFORMATIKOS FAKULTETAS
TAIKOMOSIOS INFORMATIKOS KATEDRA
Gintaras Kardokas
BEVIELIO TINKLO DIEGIMO ĮMONĖJE METODIKA
Magistro baigiamasis darbas
Elektroninis verslo studijų programa, valstybinis kodas 62109P112
Informatikos studijų kryptis
Vadovė doc.dr. Daiva Vitkutė – Adžgauskienė
Apginta doc.dr. Kęstutis Šidlauskas
Kaunas, 2008
2
TURINYS
SANTRUMPŲ IR TERMINŲ ŽODYNAS.......................................................................................... 3 SANTRAUKA..................................................................................................................................... 5 ABSTRACT ........................................................................................................................................ 6 ĮVADAS.............................................................................................................................................. 7 I. PROBLEMOS ANALIZĖ. BEVIELIO TINKLO DIEGIMO PRAKTIKOJE VERTINIMAS........... 9
1.1 Bevielio tinklo diegimo analizė .................................................................................................. 9 1.2 Bevielio tinklo diegimo metodikų aprašymas ............................................................................10
II. BEVIELIO TINKLO DIEGIMO VERTINIMO METODIKA ........................................................19 2.1 Ekonominė bevielio tinklo diegimo įmonėje nauda....................................................................19 2.2 Architektūrinių bevielio tinklo diegimo sprendimų analizė ........................................................26 2.3 Bevielio tinklo saugumo sprendimų galimybės ..........................................................................41
III. BEVIELIO TINKLO DIEGIMO ĮMONĖJE METODIKOS TAIKYMO TYRIMAI .....................44 3.1 Ekonominis bevielio tinklo efektyvumo vertinimas ...................................................................44 3.2 Bevielio tinklo architektūros modelio realizavimas įmonėje ......................................................47
IŠVADOS IR REZULTATAI .............................................................................................................50 LITERATŪROS SĄRAŠAS...............................................................................................................51 PRIEDAI ............................................................................................................................................53
Priedas Nr. 1. Bevielio tinklo diegimo įmonėje metodika: efektyvumo vertinimas ir architektūriniai sprendimai ......................................................................................................................................54 Priedas Nr. 2. Bevielio tinklo saugumo užtikrinimo būdai: lyginamoji analizė ir taikymo sprendimai.......................................................................................................................................................61 Priedas Nr. 3. Įmonės duomenų saugumo būklės vertinimas............................................................68
3
SANTRUMPŲ IR TERMINŲ ŽODYNAS
Access Control Prieigos valdiklis Access Point Prieigos taškas ACL (angl. Access Control List) Prisijungimo kontrolės funkcija AES (angl. Advanced Encryption Standard) Pažangaus šifravimo algoritmas CCK (angl. Complementary Code Keying) Papildomo kodo moduliacijos technologija CMIP (angl. Client Mobile IP) Kliento mobilus interneto protokolas DHCP (angl. Dynamic Host Configuration Protocol)
Internetinis protokolas skirtas dinaminiam IP adresų priskyrimui
DNS (angl. Domain Name Service) Srities vardų struktūra DoS (angl. Denial of Service) Atkirtimo nuo paslaugos ataka DSSS (angl. Direct Sequence Spread Spectrum) Tiesinės sekos spektro sklaidos technologija EAP (angl. Extensible Authentication Protocol) Išplėstinis autentifikavimo protokolas Fat Access Point Išplėstų funkcijų prieigos taškas Fit Access Point Išplėstų funkcijų ir supaprastinto valdymo
prieigos taškas GRE (angl. Generic Routing Encapsulation) Tuneliavimo protokolas IEEE (angl. The Institute of Electrical and Electronics Engineers)
Elektros ir elektronikos inžinierių institutas
IEEE 802.11 a/b/g/n Bevielių tinklų standartų rinkinys IP/TCP (angl. Transmission Control Protocol / Internet Protocol)
Duomenų perdavimo protokolų rinkinys
IPSec (angl. Internet Protocol Security) Internetinio protokolo saugos protokolų rinkinys IPv4 (angl. Internet Protocol version 4) Internetinio protokolo versija 4 IPv6 (angl. Internet Protocol version 6) Internetinio protokolo versija 6 MAC (angl. Media Access Control) Kreipties į ryšio terpę valdymo protokolo adresas MIP (angl. Mobile IP) Mobilus interneto protokolas OTA (angl. Over The Air) Duomenų perdavimo oru technologija PC (angl. Personal Computer) Asmeninių kompiuterių rūšis PDA (angl. Personal Digital Assistant) Asmeninis skaitmeninis padėjėjas PMK/PTK (angl. Pairwise Master Key / Pairwise Temporary Key)
Bevielio tinklo apsaugos mechanizmas
QoS (angl. Quality of Service) Kokybės valdymo funkcijos QPSK (angl. Quadrature Phase Shift Keying) Kvadratūrinės fazės poslinkio moduliacijos
technologija Radius Tinklo autentifikacijos protokolas Reverse Tunnelling Atgalinis tuneliavimas RFID (angl. Radio Frequency IDentification) radijo dažnio identifikatoriai SAP (angl. Service Access Point) Paslaugų tiekėjo prieigos taškas SSID (angl. Service Set Identifier) Bevielio tinklo identifikatorius SSL/TLS (angl. Secure Sockets Layer / Transport Layer Security)
Duomenų perdavimo internetu apsaugos protokolas
Thin Access Point Sumažintų funkcijų prieigos taškas TKIP (angl. Temporal Key Integrity Protocol) Laikino rakto šifravimo algoritmas UDP (angl. User Datagram Protocol) TCP/IP naudojamas perdavimo protokolas VOIP (angl. Voice Over Internet Protocol) IP telefonija
4
VPN (angl. Virtual Private Network) Virtualus privatus tinklas WEP (angl. Wired Equivalent Privacy) Bevielių tinklų apsaugos protokolas WLAN (angl. Wireless Local Area Network) Bevielis vietinis tinklas WPA (angl. Wi-Fi Protected Access) Bevielių tinklų apsaugos protokolas
5
SANTRAUKA Magistro darbo autorius: Gintaras Kardokas
Magistro darbo pavadinimas: Bevielio tinklo diegimo įmonėje metodika
Vadovas: doc. dr. Daiva Vitkutė - Adžgauskienė
Darbas pristatytas: Vytauto Didžiojo Universitetas, Informatikos fakultetas, Kaunas, 2008
birželis. Puslapių skaičius: 52 Lentelių skaičius: 12 Paveikslų skaičius: 11 Priedų skaičius: 3
Pagrindiniu įmonės tikslu laikomas įmonės vertės didinimas gali būti realizuojamas plečiant
rinkos dalį, didinat parduodamų prekių ar paslaugų kiekį, taip pat didinant darbo organizavimo
efektyvumą įmonėje. Vienas iš efektyvumo didinimo įmonėje sprendimų yra bevielio kompiuterių
tinklo įmonėje diegimas. Naudojant bevielį kompiuterių tinklą pasiekiamas didesnis personalo
mobilumas ir darbo efektyvumas, kai reikiamą informaciją darbuotojas gali gauti būdamas bet kurioje
įmonės vietoje. Darbe atlikta bevielio tinklo diegimo metodų teorinė analizė, pasiūloma bevielio tinklo
diegimo vertinimo metodika ir atliekamas metodikos taikymo tyrimas.Darbe pateikiama bevielio tinklo
diegimo įmonėje metodika leidžia apskaičiuoti mobilumo naudą įmonei per papildomos vertės
sukūrimą ir kaštų sumažinimą, bei parinkti tinkamą bevielio tinklo architektūros ir saugumo
sprendimus, atsižvelgiant į įmonės poreikius. Pristatomas modelis, leidžiantis įvertinti bevielio tinklo
teikiamą naudą įmonėje. Bevielio kompiuterių tinklo architektūrinių sprendimų pritaikymo įmonei
metodika formuluojama, remiantis atliktų eksperimentinių tyrimų rezultatais.
6
ABSTRACT
Author of Master Thesis: Gintaras Kardokas
Full title of Master Thesis: Methodology of Wireless Networks Implementation in a Company
Supervisor: Assoc. prof. dr. Daiva Vitkutė - Adžgauskienė
Presented at: Vytautas Magnus University, Faculty of Informatics, Kaunas, June 2008. Number of pages: 52
Number of tables: 12
Number of pictures: 11
Number of appendices: 3
The main goal for a company is to increase its value which can be achieved by expanding the
market share, increasing sales volume of its goods and services, improving labour productivity. One of
the improvements aiming at achieving labour productivity is the implementation of wireless computer
network. The use of wireless computer network gives a higher degree of mobility and efficiency for
staff within the company, in particular when employee needs to access the information from any place
in the territory of a company. This work contains from performed theoretic analysis of implementation
methods of wireless network, the suggested methodology of Wireless Network evaluation and
performed investigation of realised methodology of Wireless Network implementation in the company.
The paper presents the methodology of wireless networks implementation in a company, evaluates the
efficiency of wireless networks and suggests the possible architectural and security solutions for
wireless networks implementation. Further more, the presented methodology enables to evaluate the
benefits of mobility, in particular for added value creation and costs reduction, and allows choosing the
appropriate architectural and security solutions of wireless computer network. The presented
methodology is based on the results of experimental research.
7
ĮVADAS
Pastaraisiais metais labai išpopuliarėjo bevieliai tinklai. Pagrindinė paplitimo priežastis -
žymiai atpigusi bei lengviau nei laidinio tinklo diegiama įranga. Bevielių tinklų plėtrai įtakos turėjo ir jį
palaikančių įrenginių paplitimas. Šiuo metu Lietuvoje nešiojamieji kompiuteriai užima apie 70%
parduodamų kompiuterių rinkos dalies. Pagrindinis nešiojamųjų kompiuterių privalumas – mobilumas,
o kartu ir bevielio tinklo efektyvaus panaudojimo galimybės.
Pagrindinis įmonės tikslas - įmonės vertės didinimas, kuris realizuojamas ne tik plečiant
rinkos dalį, didinat parduodamų prekių ar paslaugų kiekį, bet ir didinat darbo organizavimo efektyvumą
pačioje įmonėje. Prie įmonės veiklos efektyvumo didinimo galimybių gali prisidėti ir bevielio tinklo
diegimas įmonėje. Įmonei įsidiegus bevielį tinklą, jos darbuotojai taps mobilesni ir pasieks reikiamą
informaciją nebūdami savo darbo vietoje. Tai ypač aktualu didesnėms įmonėms, turinčioms didelį
darbuotojų skaičių ir plačiai išdėstytą infrastruktūrą. Tačiau įmonės, prieš diegdamos bevielį tinklą, turi
atsakyti į bevielio tinklo diegimo sprendimo priėmimą nulemiančius klausimus: „ar verta diegti?“,
„jeigu verta, tai kaip diegti?“, „kaip apsaugoti įdiegtą bevielį tinklą?“. Remiantis gauta informacija iš
įmonių, joms pateikus atsakymus į užduotus klausimus, autoriaus sudaryta bevielio tinklo diegimo
įmonėje metodika, kuri leidžia apskaičiuoti naudą įmonei dėl mobilumo suteikto papildomos vertės
sukūrimo ir kaštų sumažinimo bei padeda parinkti tinkamą bevielio tinklo architektūrą, atsižvelgiant į
įmonės poreikius.
Darbo objektas - bevielio tinklo diegimo metodika.
Darbo tikslas – sukurti bevielio tinklo diegimo metodiką įmonėje, leidžiančią įvertinti
bevielio tinklo diegimo naudą ir pasiūlyti diegimo realizavimo sprendimus.
Darbo uždaviniai:
1. identifikuoti ir pasiūlyti priemones, kurios padėtų nustatyti ir įvertinti bevielio tinklo
teikiamą naudą įmonei,
2. išsiaiškinti galimus bevielio tinklo architektūros sprendimus,
3. pritaikyti bevielio tinklo architektūros sprendimus pagal įmonės poreikius.
4. išanalizuoti galimus bevielio tinklo saugumo užtikrinimo sprendimus ir pasiūlyti
priemones įmonės bevielio tinklo saugumo užtikrinimui.
8
Darbe autorius pasiūlomos priemonės padedančios nustatyti ir įvertinti bevielio tinklo
teikiamą naudą įmonėje. Analizuojami pagrindiniai bevielio tinklo architektūros modeliai, išryškinami
jų privalumai bei trūkumai. Atsižvelgiant į įmonės poreikius, parenkami įmonei tinkantys bevielio
tinklo architektūriniai ir saugumą užtikrinantys sprendimai.
Darbe remtasi mokslinės literatūros autorių darbų sistemine ir lyginamąja analize bei
virtualios informacijos paieškos sistemos pateiktos informacijos analize.
9
I. PROBLEMOS ANALIZĖ. BEVIELIO TINKLO DIEGIMO
PRAKTIKOJE VERTINIMAS
Šiuo metu ypatingai populiarėja bevielis internetas, suteikiantis galimybę esant bet kurioje
vietoje, bet kuriuo laiku, naudotis internetu, taip pat plinta priemonės bei įtaisai įgalinantys naudotis
bevielio tinklo galimybėmis, pvz., telefonai, suteikiantys galimybę naršyti internete, nešiojami
kompiuteriai ir kt.
Bevielis tinklas (angl. Wireless Local Area Network arba WLAN) yra naudingas todėl, kad
informacija gali būti pasiekiama tame taške kur jos labiausiai reikia. Nėra jokių fizinių apribojimų.
Bevieliu tinklu gali naudotis visi objektai palaikantys 802.11 bevielio tinklo protokolą. Objektu, t.y.
įrenginiu, palaikančiu 802.11 bevielio tinklo protokolą, gali būti personaliniai kompiuteriai (angl.
Personal Computer), asmeniniai skaitmeniniai padėjėjai (angl. Personal Digital Assistant), telefonai,
davikliai, radijo dažnio identifikatoriai (angl. Radio Frequency IDentification) ir kiti įrenginiai.
Įmonės, norėdamos sumažinti išlaidas bei padidinti sukuriamą vertę, gali pasinaudoti WLAN
teikiamomis paslaugomis. Bevielio tinklo pagalba padidinus darbuotojų darbo laiko išnaudojimo
efektyvumą ir produktyvumą, padidinama sukuriamoji įmonės vertė. Taip pat pasinaudojant bevielio
tinklo teikiamomis internetinės telefonijos paslaugomis, įmonės gali sumažinti įmonės išlaidas
komunikacijai.
1.1 Bevielio tinklo diegimo analizė
Daugiausia abejonių dėl bevielio tinklo pritaikymo įmonėms kyla sprendžiant bevielio tinklo
įsidiegimo galimybes ir vertinant jo teikiamą naudą įmonėje. Autoriaus atlikti tyrimai nustatant
bevielio tinklo diegimo naudą įmonėje leidžia teigti, kad bevielio tinklo teikiamą naudą galima
apskaičiuoti įvertinus mobilumo įtaką darbuotojo darbo efektyvumui. Paskaičiavus darbuotojo darbo
efektyvumo padidėjimo prognozes įdiegus bevielį tinklą, reikia rodiklius paversti į skaitinę išraišką.
Atskirų darbuotojų grupių darbo efektyvumo pokytis yra skirtingas, todėl jį reikia skaičiuoti atskirai.
Atskirų darbuotojų grupių darbo efektyvumo apskaičiavimo metodikos pateiktos antros darbo dalies
2.1 punkte. Taip pat atliekant skaičiavimus reikia įvertinti kaip WLAN įdiegimas gali sumažinti įmonės
išlaidas naudojantis internetinės telefonijos VOIP (angl. Voice Over Internet Protocol) paslaugomis.
Apskaičiavus bevielio tinklo naudą didinant darbuotojų darbo laiko išnaudojimo efektyvumą,
susiduriama su bevielio tinklo architektūros pasirinkimo problema, kad tinklo architektūra atitiktų
10
įmonės lūkesčius bei keliamus reikalavimus. Kiekviena įmonė yra specifinė, todėl nėra racionalu arba
neįmanoma naudoti tą pačią bevielio tinklo architektūrą. Bevielio tinklo architektūrą reikia pasirinkti
atsižvelgiant į įmonės infrastruktūrą, jos išdėstymą. Taip pat, parenkant tinklo architektūrą, reikia
atsižvelgti ir į įmonės poreikius, pvz., įvertinti ar visi vartotojai naudosis bendrais resursais, ar WLAN
reikalingas tik grupei vartotojų, ar įmonė norėtų naudotis WLAN teikiamomis VOIP paslaugomis ir t.t.
Diegiant bevielį tinklą reikia atsižvelgti į būsimo tinklo dydį, taip pat reikėtų įvertinti tinklo valdymo
funkcijas. Nedideliuose tinkluose, turinčiuose nedidelį prisijungimo taškų skaičių, valdymo funkcijos
gali būti decentralizuotos, t.y. kiekvienas prisijungimo taškas konfigūruojamas atskirai. Esant dideliam
tinklui, turinčiam daug prieigos taškų kai jiems esant sunkiai prieinamose vietose, valdymo funkcijos
turi būti centralizuotos, t.y. funkcijos turi būti valdomos centralizuotai iš centrinio įrenginio. Taip
išvengiama kiekvieno įrenginio valdymo atskirai.
Taigi, norėdama įsidiegti bevielį tinklą, įmonė turi pasiskaičiuoti ar bevielio tinklo diegimas
bus jai naudingas ir jeigu bevielis tinklas bus naudingas, kokią bevielio tinklo architektūrą ir saugumo
sprendimus pasirinkti.
Bevielio tinklo įdiegimas atneša daug privalumų įmonėms, tačiau užsakomųjų mokslinių
tyrimų paslaugas teikiančios „AberdeenGroup“ organizacijos atlikti tyrimai parodė, jog daugelis
įmonių nesiryžta diegti bevielio tinklo dėl jo įsivaizduojamo sudėtingo valdymo ir sunkiai
įsivaizduojamos bevielio tinklo sukuriamos įmonei vertės. Daugelis įmonių norėtų, kad naujosios
technologijos supaprastintų bevielio tinklo diegimą ir palaikymą, tačiau nereikalauja didesnio tinklo
pralaidumo ar lankstumo.
Įmonės, norėdamos maksimizuoti bevielio tinklo teikiamą naudą, turi investuoti į
nekvalifikuotus darbuotojus kurie sugebėtų pilnai išnaudoti bevielio tinklo teikiamus privalumus.
Įmonės, esančios savo segmento aukščiausiame lygyje, bevielio tinklo naudą įvertino kaip sukurtą
įmonės papildomą vertę - 37%, padidėjusį darbo lankstumą - 26%, pagerėjusią darbo kokybę -29%.
Įmonės, kurios yra viduriniame ir žemiausiame lygyje, bevielio tinklo naudą įvertino kaip sukurtą
įmonės papildomą vertę – 26%, padidėjusį darbo lankstumą - 16%, pagerėjusią darbo kokybę – 27%.
1.2 Bevielio tinklo diegimo metodikų aprašymas
Ekonominės bevielio tinklo diegimo įmonėje naudos apskaičiavimo teorinė analizė.
Užsienių autorių (Korostoff, 2003, Salo, 2006) publikuotuose darbuose analizuojami pagrindiniai
kintamieji, lemiantys bevielio tinklo pasirinkimą bei pasiūloma kaip įvertinti bevielio tinklo teikiamą
naudą. Korostoff (Korostoff, 2003) pasiūloma WLAN naudos apskaičiavimo metodika, kuomet įmonei
11
pirmiausiai pateikiami klausimai apie jos struktūrą, veiklą, infrastruktūrą, darbuotojus. Remiantis
įmonė turi įsivertinti būsimus bevielio tinklo kaštus: prieigos taškus, bevielio tinklo adapterius, laiką
praleistą bevielio tinklo planavimui, tinklo konfigūracijos bei apsaugos priemonių konfigūraciją. Taip
pat įmonė turi įsivertinti bevielio tinklo sutaupytus kaštus bei sukurtą pridėtinę vertę: sumažėjusius
tinklo diegimo darbų kaštus (tinklo kabelio tiesimo kaštai), bevielio tinklo administravimui
sunaudojamus mažesnius laiko resursus, bei sutaupytą darbuotojų laiką jei būtų naudojamasi bevielio
tinklo paslaugomis. Galiausiai įmonė, apsiskaičiavusi bevielio tinklo diegimo kaštus bei sukurtą
pridėtinę vertę, turi priimti sprendimą dėl bevielio tinklo diegimo. Bevielis tinklas yra diegiamas, jeigu
bevielio tinklo diegimo kaštai yra mažesni už tinklo sukuriamą pridėtinę vertę. Tačiau autorius
nepateikia konkrečių metodų kaip įsivertinti darbuotojų sutaupytą laiką. Įverčių apskaičiavimo
metodikos pasirinkimas paliekamas pačios įmonės sprendimui.
Telekomunikacijų kompanijos 3COM Baltojoje knygoje (3COM Baltoji knyga, 2004)
pateikiama bevielio tinklo diegimo įmonėje metodika, analizuojami ekonominiai, architektūriniai ir
saugumo sprendimai. Ekonominio bevielio tinklo diegimo naudos vertinimas apima architektūrinės
įrangos pasirinkimo aspektą. Pateikiami skirtingos tinklo architektūros techninės įrangos ir diegimo
darbų kaštai, bevielio tinklo dėka sutaupyto darbuotojų laiko įverčiai, tačiau šioje Baltojoje knygoje
nėra pateikiama metodika, kuri padėtų apskaičiuoti bevielio tinklo sukuriamą pridėtinę vertę. Baltojoje
knygoje pateikiamų architektūrinių sprendimų modelis susideda iš skirtingų tinklo architektūros
palyginimų, išryškinamų jų privalumai, tačiau neatsižvelgiama į įmonės dydį ir infrastruktūrą. Siūloma
centralizuota bevielio tinklo struktūra, tačiau ji nėra efektyvi diegiant bevielį tinklą nedidelėje įmonėje.
Baltojoje knygoje apžvelgiamos pagrindinės bevielio tinklo apsaugos priemonės, tačiau nėra
analizuojamos papildomos apsaugos priemonės, norint maksimizuoti bevielio tinklo saugumą.
Komunikacijų korporacija CISCO atliko tyrimus ir nustatė, kad globalinis tyrime
dalyvaujančių įmonių sprendimas įdiegti WLAN tinklą padeda sutaupyti daugiau kaip 50 milijonų litų
per metus. Pradžioje buvo skaičiuojama, kad kiekvienas darbuotojas WLAN dėka sutaupo daugiau kaip
30 minučių darbo laiko per dieną. Korporacija taip pat atliko paskaičiavimus, kuomet laikoma, jog tik
50% vartotojų naudojosi WLAN galimybėmis ir taip sutaupė po 10 minučių per dieną.
Tyrimui atlikti buvo pasamdyta nepriklausomų ekspertų grupė, kuri tyrė WLAN sprendimų
naudą įmonėms. Tyrimas buvo atliktas daugiau kaip 300 JAV organizacijų ar įmonių, kurių
kiekvienoje dirba daugiau kaip 100 darbuotojų. Buvo skaičiuojama, kad WLAN dėka kiekvienas
darbuotojas sutaupo 90 minučių per dieną. Šis laikas įvertintas 28.000 Lt kiekvienam darbuotojui, per
metus.
12
Tačiau gavusi pirminius rezultatus, korporacija CISCO atliko konservatyvesnį ir finansiškai
apdairesnį tyrimą - apskaičiavo tarnautojo laiko kainą, kuomet laikoma, kad yra:
230 darbo dienų per metus
96 600 darbo minučių per metus (7 valandos per dieną)
240.000 Lt kiekvieno darbuotojo vidutinė darbo vietos kaina per metus (atlyginimas,
darbovietės išteklių kainos, ir t.t.)
2,4844 Lt = 240.000/96.600, t.y. vidutinė darbo kaina per minutę
Tyrimo metu paskaičiuota, kad naudojantis WLAN suteikto mobilumo dėka, kiekvienas
tarnautojas turėtų sutaupyti 10 minučių per dieną. Nauda įvertinta daugiau kaip 200 milijonų Lt :
10 sutaupytų minučių * 2,48 Lt * 230 darbo dienų = 5704 Lt sutaupo kiekvienas darbuotojas
38 000 darbuotojų, produktyvumo pagerinimas sutaupo 216.752.000 Lt
Visgi buvo nuspręsta, kad šis gautas skaičius neparodo tikrosios įmonės sukurtos papildomos
vertės, todėl buvo sumažintas sutaupytų minučių skaičius. Be to, tyrimo metu buvo skaičiuojama, kad
tik 50% vartotojų naudojosi WLAN teikiamomis paslaugomis ir taip sutaupė po 10 minučių
produktyvaus laiko per dieną:
10 taupytų minučių * 2,48 Lt * 230 darbo dienų = 5704 Lt sutaupo kiekvienas darbuotojas
19 000 darbuotojų * 5704 = 108.376.000 Lt
Tyrimas parodė, kad nustatyti WLAN naudą yra labai sudėtinga. Dažniausiai tyrimo rezultatai
neatspindi tikrosios WLAN naudos, todėl CISCO korporacijos buvo pasirinktas konservatyvesnis
metodas, kai 50% vartotojų naudojasi WLAN galimybėmis ir sutaupo tik 10 minučių per dieną.
Padidėjus vartotojų pasitikėjimu ir naudojimuisi WLAN teikiamomis galimybėmis, sutaupyto laiko
kiekis turėtų dar padidėti, o tai padėtų atitinkamai dar daugiau sutaupyti įmonėms pinigų.
Įmonių sprendimą įsidiegti bevielį tinklą nulemia ne tik ekonominės naudos paskaičiavimas, bet
ir architektūrinių bei saugumo sprendimų pritaikymo įmonei galimybės.
Architektūrinių bevielio tinklo diegimo įmonėje teorinių sprendimų analizė. Diegiant
įmonėje ar organizacijoje WLAN tinklą būtina atsižvelgti į įmonės organizacinę struktūrą bei
infrastruktūros išdėstymą. Priklausomai nuo įmonės dydžio, reikia pasirinkti techninę įrangą. Bevielį
tinklą diegianti įmonė turi Reikia pasirinkti kokie bus naudojami prisijungimo taškai: „Fat“, „Slim“ ar
„Thin“ tipo prieigos taškai. Mažose įmonėse dažniausiai naudojami „Fat“ tipo prieigos taškai.
13
„Fat“ tipo prieigos taškų konfigūravimas yra sudėtingas, tačiau jie nereikalauja nuolatinės priežiūros
bei jiems nereikalinga papildoma valdymo įranga. Didelėse įmonėse naudojami „Thin“ tipo prieigos
taškai. „Thin“ tipo prieigos taškų konfigūracija nėra sudėtinga, visą valdymą galima atlikti
centralizuotai.
Norint išsiaiškinti įmonės poreikius bei jos struktūrą, analogiškai efektyvumo nustatymo
modeliui galima suformuluoti klausimus. Atsakymų pagalba galima sumodeliuoti įmonės WLAN
architektūrą.
Nedidelės centralizuotos įmonės atveju diegiamas autonominės architektūros tinklas, nes
naudojamas nedidelis kiekis „Fat“ tipo prieigos taškų, kurie valdomi kaip atskiras tinklo vienetas.
Didelės decentralizuotos įmonės atveju naudojamas didelis „Thin“ kiekis prieigos taškų, todėl
diegiamas centralizuotos bevielių tinklų architektūros tinklas. Centralizuoto bevielio tinklo atveju visi
prieigos taškai valdomai centralizuotai tinklo valdiklio, taip supaprastinamas bevielio tinklo valdymas.
Paskirstytos architektūros bevieliai tinklai diegiami įmonėse, kuriose norima atskirti vieną tinklo dalį
nuo kitos, sudarant atskirus potinklius. Paskirstytos architektūros tinkluose prieigos taškai suformuoja
atskirus tinklus, kurie sujungiami bevieliu arba laidiniu ryšiu. Norint prijungti nutolusius įmonės taškus
prie vidinio įmonės tinklo reikia naudoti VPN paslaugas užtikrinančias saugų prisijungimą prie įmonės
vidinių resursų.
802.11 standartu pagrįsta bevielio lokalaus tinklo (angl. Wireless Local Area Network
(WLAN)) technologija atnešė daug privalumų įmonių, namų ir viešųjų vietų tinklo vartotojams
lyginant su laidinio ryšio technologija. Bevielė technologija suteikia didelių mobilumo ir
produktyvumo galimybių tuo pačiu reikalaudama atitinkamų saugumo priemonių, kurių ne visada
reikia laidiniuose tinkluose.
Bevielio tinklo diegimo įmonėje saugumo sprendimų teorinė analizė. Nepaisant
informacijos saugumo svarbos, informacijos saugumui užtikrinti yra taikomos neišbaigtos ar
netinkamos apsaugos priemonės, kurios negali pilnai apsaugoti duomenų saugumo bei privatumo.
Autoriaus tyrimo tikslas - išanalizuoti bevielio tinklo saugumo užtikrinimo galimybes ir priemones bei
palyginti bevielių tinklų saugumo standartus, išryškinant jų privalumus ir trūkumus, bei pasiūlyti
duomenų saugumo priemonių taikymo sprendimus.
Duomenų saugumo įmonėse lygiui nustatyti, buvo autoriaus atliktas empirinis tyrimas, kurio
metu vykdytas įmonių duomenų saugumo būklės įvertinimas. Gauti rezultatai parodė, kad, nepaisant
tobulėjančių taikomų saugumo technologijų, išlieka didelė konfidencialių įmonės duomenų
14
paviešinimo grėsmė. Tyrimas apėmė administracinių, techninių, fizinių, teisinių priemonių naudojimą
įmonėse duomenų saugumui užtikrinti.
Įmonės buvo apklausiamos, gauti atsakymai analizuojami, sisteminami, ieškota koreliacijų
tarp atsakymų. Tyrime dalyvavo įvairioms verslo šakoms priklausančios smulkios ir vidutinės įmonės
(nuo 5 iki 250 darbuotojų).
Tyrimas parodė, kad 65% respondentų terminas „saugumas“ asocijuojasi su darbo saugumu ir
tik 5% įmonių, apibūdindamos terminą „saugumas“ įvardijo įmonės technologinę apsaugą. Tyčinis ir
netyčinis informacijos atskleidimas, kompiuterinės sistemos apsaugos trūkumas, išorinių asmenų
įsikišimas įvardijami kaip pagrindiniai respondentų paminėti įmonės duomenų saugumui grėsmę
keliantys faktoriai.
Kompiuterinės sistemos duomenų apsaugai realizuoti yra naudojamos antivirusinės
programos, slaptažodžiai, ugniasienės, atitinkamai 37%, 27%, 18% įmonių, reguliariai atnaujinama
operacinė sistema - 18%. Aukštesnio duomenų saugumo užtikrinimo priemones - duomenų šifravimą,
svarbių duomenų izoliavimą nuo išorinio tinklo, naudoja atitinkamai 2% ir 3% apklaustų įmonių.
Atjungimas nuo išorinio tinklo naudojamas ypač aukštam duomenų saugumo lygiui užtikrinti.
Tyrimas taip pat parodė, kad įmonėms labai svarbūs duomenų bei priėjimo prie jų saugumas.
Šį faktorių labai svarbiu įmonės veiklai bei konkurencingumui įvardijo beveik 90% respondentų.
Tyrimo rezultatai rodo, kad šiuolaikiniame versle informacija tampa pagrindine verslo varomąja jėga, o
duomenų atskleidimas įmonėms sukeltų neigiamų padarinių (1.1 pav.).
57%35%
8%
Didelė Vidutinė Maža
1.1 pav. Informacijos praradimo reikšmė įmonės veiklai
Šaltinis: sudaryta autoriaus.
Dauguma įmonių nurodė, kad paviešinus duomenis būtų jaučiamos pasekmės, 35%
respondentų nurodė, kad būtų jaučiamos stiprios pasekmės. Duomenų apsauga ypač aktuali įmonėms,
kuriančioms intelektualų produktą, kuomet su informacijos paviešinimu, paviešinama jų produkto
15
gamybos paslaptis. Tik 8% apklaustų įmonių nesureikšmino duomenų praradimo, dažniausiai tai buvo
nekuriančios intelektualaus produkto, neturinčios tiesioginių konkurentų įmonės.
Autoriaus atlikto tyrimo apie duomenų saugumo būklę įmonėse duomenimis, beveik 25%
apklaustų įmonių turėjo incidentų susijusių su duomenų paviešinimu per praėjusius metus (1.2 pav.), iš
jų daugiau negu pusė duomenų paviešinimo problemą susiejo su darbuotojų tyčiniu ir netyčiniu
konfidencialios informacijos išsiuntimu klaidingam adresatui, kita dalis respondentų įvardijo duomenų
saugumo pažeidimus susijusius su informacijos atskleidimu konkurentams ir kitus incidentus. Beveik
75% respondentų atstovaujamų įmonių, neturėjo incidentų susijusių su duomenų atskleidimu ar
paviešinimu.
Tyrimo rezultatai parodė, kad dauguma apklaustųjų, atsiradus galimybei, patys pasinaudotų
juodosiomis technologijomis gaunant arba paviešinat įmonės slaptą informaciją, todėl įmonės turi
daugiau dėmesio skirti darbuotojų motyvacijai, darbuotojų identifikavimuisi su įmone ir jos
pasiekimais. Didesnis dėmesys turi būti skiriamas techninei duomenų apsaugos bazei, nes žmogiškas
faktorius išlieka.
75%
8% 6% 11%
0
20
40
60
80
%
Neįvyko
Įvyko, tyčinis duomenųperdavimas
Įvyko, neįvardintospriežastys
Įvyko, netyčinisduomenų perdavimas
1.2 pav. Duomenų paviešinimo incidentai
Šaltinis: sudaryta autoriaus.
Tyrimo rezultatai atskleidė, kad informaciją atskleidžia ne tiesiogiai už informacijos saugumo
užtikrinimą atsakingi darbuotojai, o kiti darbuotojai, galintys prieiti prie informacijos ir nejaučiantys
tiesioginės atsakomybės už įmonės duomenų paviešinimą. Dėl šių priežasčių vartotojams turi būti
prieinami duomenys, tiesiogiai susiję su jų atliekamomis funkcijomis, o priėjimas prie kitų duomenų
apribotas. Pavyzdžiui, paprastiems tinko vartotojams turėtų būti leidžiama naudotis ribotais tinklo
resursais, uždraudžiant priėjimą prie konfidencialios tinklo informacijos, t.y. kitų to paties tinklo
(įmonės) vartotojų duomenų.
16
Apibendrinus autoriaus atlikto duomenų saugumo užtikrinimo įmonėje tyrimo rezultatus
galima teigti, kad įmonių teisinė, technologinė, administracinė bazės nėra pakankamos duomenų
saugumui užtikrinti. Įmonių darbuotojai nėra patenkinti esama saugumo situacija, todėl didesnis
dėmesys turi būti skiriamas tinklų ir juose esančių duomenų apsaugai. Toliau pateikiami sprendimai
duomenų saugumui užtikrinti.
Saugumo sprendimai. Dėl mažesnių investicijų poreikio, didesnių mobilumo galimybių vartotojams
įmonėse ir organizacijose paplito vidinių duomenų perdavimo tinklų organizavimas pasinaudojant
bevieliu tinklu. Nepaisant išvardintų privalumų, bevieliai tinklai negali užtikrinti tinklų ir informacijos
saugumo. Duomenų perdavimas bevieliu tinklu realizuojamas radijo bangų pagalba, tai padidėja
duomenų, keliaujančių bevieliu tinklu, perėmimo ir valdymo tikimybė, lyginant su duomenų perėmimo
ir valdymo tikimybe laidiniuose tinkluose.
Nepaisant informacijos saugumo svarbos, informacijos saugumui užtikrinti yra taikomos
neišbaigtos ar netinkamos apsaugos priemonės, kurios negali pilnai apsaugoti duomenų saugumo bei
privatumo. Autoriaus tyrimo tikslas - išanalizuoti bevielio tinklo saugumo užtikrinimo galimybes ir
priemones bei palyginti bevielių tinklų saugumo standartus, išryškinant jų privalumus ir trūkumus, bei
pasiūlyti duomenų saugumo priemonių taikymo sprendimus.
802.11 standartu pagrįsta bevielio lokalaus tinklo (angl. Wireless Local Area Network
(WLAN)) technologija atnešė daug privalumų įmonių, namų ir viešųjų vietų tinklo vartotojams
lyginant su laidinio ryšio technologija. Bevielė technologija suteikia didelių mobilumo ir
produktyvumo galimybių tuo pačiu reikalaudama atitinkamų saugumo priemonių, kurių ne visada
reikia laidiniuose tinkluose (Nelson, 2004).
Pagrindinis bevielių tinklų technologijos trūkumas yra jos saugumas. Šie tinklai pasiekiami
per kreipties taškus (angl. Access Points) ar per koncentratorius. Prisijungti prie tinklo galima ne tik
tam tikrame nustatytame taške laidiniuose tinkluose, bet ir visoje tinklo aprėpties zonoje. Dėl šios
priežasties bevieliais tinklais keliaujanti informacija yra lengvai pasiekiama, tad pagrindinis saugumo
ekspertų uždavinys – užtikrinti, kad duomenys saugiai nukeliautų nuo vieno taško iki kito.
Taikant neišbaigtas ar netinkamas apsaugos priemones negalima užtikrinti tinklo saugumo bei
apsaugoti nuo galimo įsilaužimo (Williams, 2001). Turint atitinkamų įrankių ir patirties, galima
pasinaudoti 802.11 standarto įvestomis WEP autentifikavimo standarto spragomis ir atlikti neleistinus
veiksmus. WEP (angl. Wired Equivalent Privacy) autentifikavimo standarto nebuvimas yra pirminė
apsaugos silpnybė (toliau bus parodyta, kad dabartiniuose WLAN tinkluose galima naudoti ir kitus
apsaugos nuo įsilaužėlių būdus), bet pats WEP standartas yra tik priemonė atbaidanti atsitiktinius
17
įsilaužėlius, todėl tinklo vartotojai, tam kad apsaugotų savo WLAN tinklus, turi naudotis didesnį
saugumą suteikiančiomis technologijomis, pvz., virtualiais privačiais tinklais (angl. Virtual Private
Networks - VPN) (Kindervag, 2007).
Priemonės taikomos bevielių tinklų standartų apsaugai. Bevielio tinklo technologija grindžiama
radijo dažnio technologija, t.y. per bevielį tinklą perduodama informacija yra nesuvaržyta daugelio
fizinių barjerų. Jeigu tinkle nesiimama atitinkamų saugumo priemonių, tinkle esanti informacija yra
pažeidžiama. Vieną kartą prisijungęs prie tinklo neautorizuotas vartotojas gali atlikti daug dalykų:
neleistinai naudotis plačiajuosčiu ryšiu su internetu, slaptai ir nelegaliai pasiklausyti tinklo duomenų
srautą, įvykdyti paslaugos atmetimo ataką (angl. Denial of Service – DoS).
Bevielių tinklų saugumo padidinimui sukurtas RSN (angl. Robust Security Nerwork)
saugumo standartas. Bevielių tinklų apsaugai nuo neautorizuoto prisijungimo, RSN standartas turi
sudėtingą autentifikavimo mechanizmą (kodavimo algoritmą). Autintifikavimas remiasi išankstiniu
prietaiso tapatybės nustatymu, prieš nustatant pilną ryšį su tinklu. Prietaiso (kliento arba stoties),
prijungto prie tinklo, tapatybė patvirtinama iš tinklo pusės, o tinklo tapatybė patvirtinama iš kliento
pusės (Nobel, 2005, Chandran, 2005).
Užmezgus abipusį ryšį, vyksta duomenų kodavimas arba šifravimas, kuris apsaugo srautą nuo
neautorizuotų įsilaužėlių slapto pasiklausymo. Saugumo mechanizmas apsaugo ir nuo neleistino
duomenų persiuntimo netinkamam adresatui, užtvirtindamas duomenų siuntėjo ir gavėjo adresus.
Vartotojų autentifikavimui 802.11 tinkluose naudojami keturi pagrindiniai mechanizmai,
kurie sąlygiškai padidina bevielių tinklų apsaugą: atviras autentifikavimas (angl. Open Authentication),
neturintis jokio saugumo užtikrinimo mechanizmo, bendro rakto (angl. Shared key) mechanizmas
suteikiantis bendrą prisijungimo raktą klientui ir prisijungimo taškui, kliento/serverio architektūros
bevielio tinklo vardo (angl. Service Set Identifier – SSID) mechanizmas, atskiriantis skirtingus
bevielius tinklus, naudojamas paslėpti tinklams, kreipties į ryšio terpę valdymo (angl. Media Access
Control – MAC) mechanizmas, naudojantis 12 bitų klientų tinklo įrenginių adresų filtravimo
mechanizmą, leidžiantį nustatyti, kurie iš vartotojų gali jungtis prie tinklo. Tačiau, remiantis nagrinėtais
šaltiniais (Nobel, 2005, Myers, 2003), galima teigti, jog nei vieni iš šių mechanizmų negali užtikrinti
pilno tinklų bei juose esančių duomenų saugumo.
Išvardintų saugumo mechanizmų efektyvumui padidinti gali būti naudojamos papildomos
tinklų apsaugos užtikrinimo priemonės: autentifikavimo protokolai WEP (angl. Wired Equivalent
Privacy), WPA (angl. Wi-Fi Protected Access), WPA2 (angl. Wi-Fi Protected Access 2), TKIP (angl.
18
Temporal Key Integrity Protocol), AES (angl. Advanced Encryption Standart) IPSec (angl. Internet
Protocol Security) ir kt.
19
II. BEVIELIO TINKLO DIEGIMO VERTINIMO METODIKA
Pagrindinis organizacijos ar įmonės tikslas – įmonės vertės didėjimas. Vertės sukūrimo
procesas apima skirtingas sritis, pvz., gamybą prekių ir medžiagų apdirbimą pramonėje, rūpinimąsi
pacientais sveikatos priežiūros srityje, turto saugojimą ir kaupimą finansinių paslaugų pramonėje, žinių
pasidalijimą akademiniame pasaulyje. Vertė gali būti apčiuopiama, pvz., automobilių gamyboje, ar
neapčiuopiama, pvz., žinių srityje.
2.1 Ekonominė bevielio tinklo diegimo įmonėje nauda
Norint padidinti įmonės vertę reikia investuoti į IT infrastruktūrą, kuri tiesiogiai susijusi su
vertės kūrimo procesu. IT infrastruktūra dažniausiai naudojama kaip įrankis įmonės vertei kurti.
Pasiekus tam tikrą lygį, IT infrastruktūra leidžia padidinti įmonės produktyvumą bei lankstumą. Įmonės
produktyvumo padidinimą galima laikyti įmonės turto, pastatų, įrengimų, darbuotojų, intelektualinės
bazės, prekės ženklų vertės padidėjimu. Didesnį įmonėi lankstumą suteikia geresnis gebėjimas pajusti
išorinius ir vidinius pasikeitimus, tiesiogiai veikiančius įmonę.
Kaip WLAN padės padidinti įmonės vertę labiausiai rūpi įmonėms prieš WLAN tinklo
diegimą.
Atsakyti į šį klausimą galima panaudojant tokią keturių žingsnių metodiką (Castaneda, 2006):
1 žingsnis. Suprasti įmonės organizacinę ekosistemą.
2 žingsnis. Apibrėžkite problemą, kurią reikia išspręsti.
3 žingsnis. Išskaidyti problemą.
4 žingsnis. Apibrėžti WLAN sprendimą.
1 žingsnis: Suprasti įmonės organizacinę ekosistemą. Kiekviena organizacija ar įmonė yra priklausoma
nuo besikeičiančių jėgų. Šios jėgos gali būti tiek išorinės, tiek vidinės. Įmonės ekosistemą sudaro:
įmonė, išoriniai ir vidiniai veiksniai, kurie yra tiesiogiai įtakoja įmonę.
2 žingsnis: Apibrėžti problemą, kurią reikia išspręsti. Atsižvelgiant į įmonės dinamiką, apibrėžti kokią
vertę WLAN tinklo įdiegimas turėtų sukurti įmonei. WLAN įdiegimas didžiausią vertę turėtų sukurti
tokiose įmonėse kur informacijos svarba yra labai didelė bei ją pasiekti reikia bet kur ir bet kada.
20
Reikėtų išsiaiškinti kaip mobilumas įtakoja darbuotojų darbo efektyvumą bei su kokiomis problemomis
susiduria darbuotojai, ir kaip WLAN įdiegimas tai galėtų išspręsti.
3 žingsnis: Išskaidyti problemą. Produktyvumas ir pajamos yra tiesiogiai susieti, todėl yra vienodai
svarbūs. Dauguma įmonių siekia padidinti pelningumą, didinant pajamas bei mažinant išlaidas. Taigi,
nagrinėjant atskirą problemą reikia atsižvelgti į tai kokią naudą WLAN tinklo įdiegimas duos įmonei.
Problemos išskaidymas padeda lengviau suprasti problemą bei rasti jos sprendimo metodus.
WLAN tinklo įdiegimas gali pasitarnauti kaip strateginis įrankis, kuris:
Suteikia greitą mobilią prieigą prie informacijos.
Padidina darbuotojų produktyvumą.
Palengvina bendradarbiavimą.
Pagreitina operacijos įvykdymo laiką su klientais, bendradarbiais, ir tiekėjais.
Suteikia įvairesnį bendradarbiavimo galimybes.
Padidina kliento pasitenkinimą.
Padidina kliento ištikimybę.
4 žingsnis: Apibrėžti WLAN sprendimą. Supratus problemą ir radus jos sprendimo būdą reikia priimti
sprendimą dėl bevielio tinklo diegimo. Taip pat reikia atsakyti į klausimą, ar bevielio tinklo diegimas
yra naudingas įmonei ir kaip tai pakeis įmonės darbuotojų produktyvumą bei ar padės sumažinti kaštus.
Finansinė bevielio tinklo diegimo nauda. Šio darbo metu buvo kuriamas modelis, kuris
padėtų nustatyti kokią pridėtinę vertę sukuria WLAN tinklo įdiegimas įmonėje ir naudojimasis jo
suteiktomis galimybėmis. Kaip priemonė įmonės poreikiams nustatyti, naudojamas klausimynas, kurio
pagalba galima surinkti reikiamą informaciją tyrimui atlikti.
Kiekviena įmonė ar organizacija yra specifinė, todėl sunku nustatyti kokie turi būti
užduodami klausimai. Šiame autoriaus pateiktame pavyzdiniame finansinės bevielio tinklo naudos
apskaičiavimo modelyje, pavyzdžiu imama gamybinė įmonė, kuri realizuoja savo produkciją tiek savo
rinkoje (turi filialų tinklą), tiek eksportuoja į užsienį.
Kadangi įmonių poreikiai bevieliam tinklui ir galimybės jį diegti skirtingi, klausimynas turi
būti modeliuojamas priklausomai nuo įmonės specifikacijos. Įmonių atsakymai į klausimus turi padėti
nustatyti mobilumo svarbą įmonėje ir kiek tai sukuria įmonei papildomos vertės bei sutaupo kaštų.
Skaičiuojame kad per metus yra 230 darbo dienų. Lietuvoje yra vidutiniškai 8 darbo valandos per dieną
21
(nuo 8:00 - 12:00 ir nuo 13:00 iki 17:00), tačiau buvo skaičiuojama 7 valandos, nes vidutiniškai viena
darbo dienos valanda nebūna darbuotojų efektyviai išnaudojama. Darbuotojai buvo suskirstyti į tris
grupes: vadovaujantis personalas, vadybos personalas ir administracinis personalas.
Klausimai įmonei buvo formuluojami taip:
1. Koks yra grupės darbuotojų skaičius?
2. Koks yra grupės vidutinis darbo užmokestis?
3. Kokia laiko dalį darbuotojai praleidžia savo darbo vietoje (išreikšta procentais)?
4. Kokia laiko dalį darbuotojai praleidžia ne savo darbo vietoje (išreikšta procentais)?
5. Koks yra poreikis pasiekti reikiamą informaciją nesant darbo vietoje (išreikšta
procentais)?
6. Kiek minučių per dieną darbuotojas prakalba telefonu?
7. Kokia skambučių dalis tenka pokalbiams į užsienį (išreikšta procentais)?
8. Kokia skambučių dalis tenka pokalbiams į Lietuvos tinklus (išreikšta procentais)?
9. Kokia skambučių dalis tenka pokalbiams tarp įmonės darbuotojų/filialų (išreikšta
procentais)?
Pagal gautus atsakymus į šiuos klausimus galima apskaičiuoti kokią pridėtinę vertę sukuria
WLAN diegimas įmonėje. Išanalizavus pagrindinius kriterijus, kurie įtakoja sukuriamą įmonės vertę,
buvo pasirinkti šie kintamieji: darbuotojo darbo užmokestis per mėnesį (Atlm), efektyvaus darbo laiko
valandų skaičius per dieną ( C ), darbo dienų skaičius per savaitę ( H ), laikas praleistas nedarbo vietoje
(Dtm), informacijos poreikis nedarbo vietoje (InfP) ir darbuotojų skaičius ( X ).
Atlikus įmonės vertės sukūrimo analizę, išvesta formulė (1), padedanti apskaičiuoti įmonės
darbuotojų darbo efektyvumo padidėjimo sukurtą pridėtinę vertę ( Y ).
Y=(C*H*12*60)*Dtm*(Atlm/C*H*60)*Dtm*InfP ( 1)
Šaltinis: sudaryta autoriaus.
Remiantis aukščiau pateikta formule (1), pirmiausiai paskaičiuojamas darbuotojo darbo
užmokestis per metus (mėnesinį darbo užmokestį dauginti iš mėnesių skaičiaus), ir kiek kainuoja viena
darbo minutė (darbo dienu skaičius padauginamas iš 7 darbo valandų per dieną ir padalinama iš
metinio darbuotojo darbo užmokesčio). Laikas nedarbo vietoje apskaičiuojamas darbo laiko praleisto
ne darbo vietoje procentinę išraiška padauginus iš darbo minučių skaičiaus. Informacijos poreikio ne
22
darbo vietoje išraiška apskaičiuojama darbo laiko praleisto ne darbo vietoje procentinę išraišką
padauginus iš darbo minučių skaičiaus ir gautą reikšmę padauginus iš darbuotojo poreikio pasiekti
informaciją nesant darbo vietoje procentinės išraiškos.
Anketa:Klausimas1Klausimas2
……...
Y=(C*H*12*60)*Dtm*(Atlm/C*H*60)*Dtm*InfP
MPV=Y*X
C – efektyvaus darbo laiko valand ų skaičius per dien ąH – darbo dienų skaičius per savaitęDtm – laikas nedarbo vietoje (20%=0.2)InfP – informacijos poreikis nedarbo vietoje (30%=0.3)Atlm - mėnesis atlyginimasMPV – bevielio tinklo sukurta prid ėtinė vertė per metusX - darbuotojų skaičius
2.1 pav. Bevielio tinklo efektyvumo įvertinimo modelis
Šaltinis: sudaryta autoriaus.
Aukščiau pateiktame paveiksle (2.1 pav.) pateiktas bevielio tinklo efektyvumo modelis, kuris
susideda iš trijų dalių. Pirmoje dalyje įmonei pateikiami klausimai kurių pagalba surenkami duomenys
reikalingi atlikti skaičiavimams. Surinktus duomenis įstačius į formulę (1) apskaičiuojama įmonės
darbuotojų sukuriama vertė naudojantis bevielio tinklo teikiamu mobilumu. Kiekvienos vartotojų
grupės pridėtinė vertė skaičiuojama atskirai ir po to sudedama. Remdamasi šiuo modeliu, kiekviena
įmonė, nepaisant jos struktūros ir veiklos pobūdžio, gali apskaičiuoti kokią naudą suteiks bevielio
tinklo diegimas įmonėje.
Literatūros šaltiniuose bevielio tinklo pagalba sutaupytas darbuotojų laikas nurodomas
skirtingai, nuo 60 iki 96 minučių per dieną (3COM Baltoji knyga, 2005, AllNet Baltoji knyga, 2004)
(2.1 lentelė). 2.1 Lentelė
Bevielio tinklo pagalba sutaupytas darbuotojų laikas
Šaltinis, Bevielio tinklo pagalba sutaupytas darbuotojo darbo laikas NOP, 2001 Ruduo 70 min NOP, 2003 Lapkritis 90 min MetaGroup, 2004 Balandis 72 min AllNet, 2003 Rugpjūtis, Baltoji knyga 96 min AllNet, 2003 Rugpjūtis, Baltoji knyga 60 min
Šaltinis: sudaryta autoriaus, remiantis 3COM Baltoji knyga, 2005, AllNet Baltoji knyga, 2004
23
Bevielio ir laidinio tinklo diegimo kaštų palyginimas. Norint įsidiegti bevielį ar laidinį tinklą reikia
apskaičiuoti kaštus reikiamai techninei įrangai įsigyti ar busimiems diegimo darbams atlikti. Bevielio ir
laidinio tinklo diegimo kaštų palyginimas padės tiksliau įvertinti bevielio tinklo ekonominę naudą
įmonei.
Nesudėtingo bevielio tinklo diegimui reikiama įranga: prisijungimo taškas (maršrutizatorius),
tinklo kabelis reikalingas prijungti prisijungimo tašką prie tinklo. Nesudėtingo laidinio tinklo diegimui
reikiama įranga: maršrutizatorius/komutatorius, tinklo kabelis visų tinklo įrenginių sujungimui. Žemiau
pateiktoje lentelėje (2.2 lentelė) pateikti bevielio ir laidinio tinklų techninės įrangos diegimo bei
konfigūravimo įkainiai. Skaičiavimams atlikti buvo pasirinktos vidutinės techninės įrangos bei darbų
kainos.
2.2 Lentelė
Bevielio ir laidinio tinklų techninės įrangos ir darbų kainų palyginimas
Įranga Bevielis tinklas Laidinis tinklas Maršrutizatorius, 1vnt 200 Lt 100 Lt
Komutatorius, 1vnt 70 Lt Tinklo adapteris, 1vnt 50 Lt 20 Lt
Kabelis, 1m 2 Lt 2 Lt Diegimo darbai, 1h 100 100
Konfigūravimo darbai 100 70
Šaltinis: sudaryta autoriaus, remiantis www.bms.lt, www.kip.lt, www.kompsis.lt
Bevielio ir laidinio tinklų techninės įrangos ir darbų kainų palyginimui atlikti, apskaičiuojama
įrangos ir darbų kaina įmonei, turinčiai apie 20 darbo vietų aprūpinti bevieliu ir laidiniu tinklu. Laidinio
tinklo diegimo atveju reikės dviejų komutatorių, komutatorių sujungimui reikės vieno maršrutizatoriaus,
tinklo kabelio, kurio ilgis priklausys nuo darbo vietų išdėstymo bei įmonės infrastruktūros (šiame
pavyzdyje sakome, kad reikės 200 metrų tinklo kabelio). Tinklo adapterių neskaičiuojame, nes visuose
šiuolaikiniuose kompiuteriuose yra įdiegtas laidinio tinklo adapteris. Tinklo diegimo darbams skiriama
apie 6 valandas. Taip pat reikėtų pridėti ir tinklo konfigūravimo kaštus. Susumavus visos reikiamos
įrangos bei diegimo ir konfigūravimo kaštus gauname, jog laidinio tinklo diegimo kaštai – 1310 Lt (2.3
lentelė).
2.3 Lentelė
24
Laidinio tinklo diegimo kaštai
Įranga Laidinis tinklas Suma Maršrutizatorius, 1vnt 100 Lt 100 Lt
Komutatorius, 2vnt 70 Lt 140 Lt Tinklo adapteris, 10 vnt 20 Lt 0 Lt
Tinklo kabelis, 200m 2 Lt 400 Lt Diegimo darbai, 6h 100 600
Konfigūravimas 70 70 SUMA 1.310 Lt
Šaltinis: sudaryta autoriaus, remiantis www.bms.lt, www.kip.lt, www.kompsis.lt
Diegiant bevielį tinklą minėtoje įmonėje panaudoti du maršrutizatoriai, jų sujungimui
naudojamas vienas komutatorius. Bevielio tinklo adapterius dažniausiai turi tik nešiojamieji
kompiuteriai, todėl šiuo atveju traktuojama, kad pusė kompiuterių yra stacionarūs kuriuose reikia
įdiegti bevielio tinklo adapterius. Skaičiavimai parodė, jog bevielis tinklo diegimo kaštai – 1130 Lt (2.4
lentelė).
2.4 Lentelė
Bevielio tinklo diegimo kaštai
Įranga Bevielis tinklas Suma Maršrutizatorius, 2 vnt 200 Lt 200 Lt
Komutatorius, 1 vnt 70 Lt 70 Lt Tinklo adapteris, 10vnt 50 Lt 500 Lt
Tinklo kabelis, 30 m 2 Lt 60 Lt Diegimo darbai, 2h 100 200
Konfiguravimas 100 100 SUMA 1.130 Lt
Šaltinis: sudaryta autoriaus, remiantis www.bms.lt, www.kip.lt, www.kompsis.lt
Bevieliam tinklui įdiegti įmonėje sunaudojama mažiau tinklo kabelio, bei sutaupoma diegimo
laiko, kuris laidinio tinklo atveju sunaudojamas tinklo kabelio tiesimui. Ir atvirkščiai, laidinio tinklo
techninė įranga šiuo metu yra pigesnė, tačiau diegimui laiko sunaudojama daugiau, todėl apibendrinus
galima teigti, jog laidinio ir bevielio tinklo diegimo kaštai yra panašūs.
Ankstesnių metų užsienio autorių moksliniuose darbuose teigiama, kad bevielio tinklo
diegimo kaštai yra didesni, tačiau, pastaraisiais metais, atpigus bevielių tinklų techninei įrangai bei
padidėjus diegimo darbų įkainiams, laidinio ir bevielio tinklo diegimo kaštai susilygino. Plintant
25
bevielio tinklo įrangai, bevielio tinklo diegimas taps dar paprastesnis ir priimtinesnis lyginant su
laidiniu tinklu.
Pasaulinės verslo komunikacijų lyderės 3COM baltojoje knygoje (3COM Baltoji knyga 2004)
analizuojami bevielių tinklų diegimo kaštai. Šioje Baltojoje knygoje remtasi Teksaso universiteto
bevielio tinklo diegimo aprašymu, aprašant tinklo diegimą pačiame Teksaso universitete 2003 metais.
Remiantis minėtu šaltiniu galima teigti, jog statomojoje infrastruktūroje pigiausia diegti laidinį tinklą
todėl, kad tinklo kabelių išvedžiojimas tampa paprastesnis, lyginant su kabelių išvedžiojimu pastatuose
su atlikta apdaila. Laidinio tinklo diegimas naujos konstrukcijos pastatuose yra paprastesnis, lyginant
su senos konstrukcijos pastatais ir dėl sienų storių skirtumų bei konstrukcijų ypatumų. Senos statybos
infrastruktūra laikomi senos statybos pastatai, su storomis mūrinėmis sienomis. Bevielio tinklo diegimo
atveju diegimo kaštai nesikeičia nepriklausomai nuo infrastruktūros tipo (2.5 lentelė).
2.5 Lentelė
Laidinio ir bevielio tinklo diegimo kaštai, atsižvelgiant į pastato tipą
Pastato tipas Laidinis tinklas, instaliacijos
kaštai vienai darbo vietai Bevielis tinklas, instaliacijos kaštai vienai darbo vietai
Naujos statybos (statomas) 60 Lt 270 Lt
Naujos konstrukcijos 180 Lt 270 Lt
Senos konstrukcijos 360 Lt 270 Lt
Šaltinis: Komunikacijų bendrovės 3COM Baltoji knyga, 2004
Optimalu, kai bevielio tinklo teikiamomis galimybėmis galima pasinaudoti sujungiant įmonės
pastatus. Sprendimas diegti bevielį tinklą šiuo atveju yra ekonomiškesnis lyginant su laidinio tinklo
diegimu, nes nereikia fiziškai tiesti kabelio nuo vieno pastato iki kito. Komunikacijų kompanijos
3COM Baltojoje knygoje (3COM Baltoji knyga, 2004) palyginami pastatų sujungimo kaštai naudojant
laidinį ir bevielį tinklus (2.2 pav.).
26
2.2 pav. Pastatų sujungimo kaštų palyginimas naudojant laidinį ir bevielį tinklus
Šaltinis: Komunikacijų bendrovės 3COM baltoji knyga
Komunikacijų bendrovės 3COM Baltojoje knygoje (3COM Baltoji knyga, 2004) teigiama kad,
laidinio tinklo diegimo kaštai yra tiesiogiai proporcingi atstumui tarp pastatų kuriuos norima sujungti.
Bevielio tinklo atveju, tinklo diegimo kaštai lieka pastovūs nepriklausomai nuo atstumo tarp pastatų,
tačiau nėra atsižvelgiama į faktą, jog didėjant atstumui tarp pastatų reikia naudoti atitinkamai brangesnę
bevielio tinklo įrangą. Taip pat nėra nurodomas maksimalus atstumas tarp pastatų jungiant juos
bevieliu tinklu.
2.2 Architektūrinių bevielio tinklo diegimo sprendimų analizė
Diegiant įmonėje ar organizacijoje WLAN tinklą būtina atsižvelgti į įmonės organizacinę
struktūrą bei infrastruktūros išdėstymą. Priklausomai nuo įmonės dydžio, reikia pasirinkti techninę
įrangą. Bevielį tinklą diegianti įmonė turi pasirinkti kokie bus naudojami prisijungimo taškai: „Fat“,
„Slim“ ar „Thin“ tipo prieigos taškai. Mažose įmonėse dažniausiai naudojami „Fat“ tipo prieigos taškai.
„Fat“ tipo prieigos taškų konfigūravimas yra sudėtingas, tačiau jie nereikalauja nuolatinės priežiūros
bei jiems nereikalinga papildoma valdymo įranga. Didelėse įmonėse naudojami „Thin“ tipo prieigos
27
taškai. „Thin“ tipo prieigos taškų konfigūracija nėra sudėtinga, visą valdymą galima atlikti
centralizuotai.
Norint išsiaiškinti įmonės poreikius bei jos struktūrą, analogiškai efektyvumo nustatymo
modeliui galima suformuluoti klausimus. Atsakymų pagalba galima sumodeliuoti įmonės WLAN
architektūrą. Klausimai turėtų apimti tokias sritis kaip darbuotojai, infrastruktūra, poreikiai ir
pageidaujamas paslaugos. Pagal infrastruktūrą galima nustatyti ar tinklas bus lokalus, ar išsklaidytas į
pagrindinį tinklą ir į filialus. Pagal įmonės poreikius tinklui galima nustatyti ar įmonė pageidauja, kad
visi darbuotojai naudotųsi vienu tinklu ar svečiai, prisijungę prie tinklo galėtų naudotis tik internetu ir
nematyti tinklo vidinių resursų. Pagal įmonių papildomų paslaugų išreikštą poreikį galima nustatyti
kokių paslaugų pageidauja įmonė, pvz. VOIP.
Bevielio tinklo architektūriniai sprendimai tiesiogiai priklauso nuo įmonės infrastruktūros ir
jos poreikių. Jeigu įmonė yra decentralizuota ir yra būtinybė suteikti prieigą nutolusiems įmonės
padaliniams prie vidinių įmonės resursų, rekomenduojama taikyti virtualaus privataus tinklo - VPN
(angl. Virtual Private Network) sprendimą, leidžiantį nutolusiems įmonės padaliniams saugiai
prisijungti prie vidinio įmonės tinklo. Naudojant šifravimo technologijas, nutolusio padalinio
darbuotojo kompiuteris saugiai virtualiais kanalais sujungiamas su įmonės vidiniu tinklu. Šifruojama
yra visa informacija, keliaujanti tarp nutolusio darbuotojo ir įmonės vidinio tinklo, tokiu būdu įmonės
nutolusio padalinio darbuotojo kompiuteris tampa saugaus įmonės tinklo dalimi.
Įmonė įvertinusi bevielio tinklo teikiamą naudą ir nusprendusi diegti bevielį tinklą turi
pasirinkti bevielio standartą. Šiuo metu rinkoje yra trys bevielio tinklo standartai: 802.11b, 802.11a,
802.11g, bei 802.11n (nepatvirtintas standartas) (Castaneda, 2006).
802.11b standartas. 1999 metų rugsėjo mėnesį Tarptautinis elektronikos ir elektrotechnikos
institutas (IEEE - angl. The Institute of Electrical and Electronics Engineers) pristatė bevielių tinklų
standartą 802.11b, kuris kitaip vadinamas Wi-Fi (angl. Wireless Fidelity). Standartas 802.11b priklauso
802 standartų grupei, kurioje apibrėžiami lokalieji kompiuterių tinklai, o grupės vienuoliktas pogrupis
yra skirtas bevieliams tinklams apibrėžti. IEEE 802.11b standarto sparta siekė 11 Mb/s. Kaip ir jo
pirmtakas, šis standartas naudojo 2.4 Ghz dažnių juostą. 802.11b Standartas leidžia naudoti keturias
duomenų keitimosi spartas: 1, 2, 5,5 ir 11 Mbitų/s. Dažniausiai yra naudojami 30 mW siųstuvai, todėl
ryšio tarp dviejų įrenginių atstumas gali siekti 100 m.
Didelė duomenų keitimosi sparta pasiekiama naudojant CCK (angl. Complementary Code
Keying) kodavimo ir QPSK (angl. Quadrature Phase Shift Keying) moduliacijos derinį. Tai leidžia
28
viena moduliuoto signalo fazės reikšme užkoduoti aštuonis duomenų bitus. Įrenginių naudojamų
dažnių juostų nepersidengimas pasiekiamas naudojant DSSS (angl. Direct Sequence Spread Spectrum)
technologiją.
Pagrindiniai 802.11b standarto privalumai: žema kaina, didesnė tinklo aprėptis bei
atsparumas trukdžiams.
Pagrindiniai 802.11b standarto minusai: bangų persidengimas su kitais įrenginiais
(mikrobangų krosnelėmis, mobiliųjų telefonų), nedidelis aptarnaujamas vartotojų skaičius.
802.11a standartas. Įsibėgėjus 802.11b standartui, Tarptautinis elektronikos ir
elektrotechnikos institutas pristatė dar vieną 802.11 standarto atmainą - 802.11a standartą. Dėl didesnės
įrangos kainos šis produktas buvo naudojamas daugiau verslo aplinkoje. 802.11a standartas aprėpė 5
Ghz dažnių juostą, jo sparta siekė 54 Mb/s. Padidėjus spartai, sumažėjo tinklo signalo aprėptis ir
skverbtis pro sienas bei kitas kliūtis. Kadangi 802.11b ir 802.11a standartai naudoja skirtingas dažnių
juostas, jų suderinamumas yra neįmanomas.
Pagrindiniai 802.11a standarto privalumai: padidėjęs greitis, didelis kiekis aptarnaujamų
vartotojų.
Pagrindiniai 802.11a standarto trūkumai: didesnė įrangos kaina bei mažesnė signalo aprėptis.
802.11g standartas. 2003 metais Tarptautinis elektronikos ir elektrotechnikos institutas
pristatė 802.11g standartą. Šis standartas buvo sukurtas apjungiant 802.11b ir 802.11a standartų
geriausias savybes. 802.11g standartas naudoja 2.4 Ghz dažnių juostą, kurios maksimalus pralaidumas
siekia 54 Mb/s. Šis standartas yra pilnai suderinamas su 802.11b standartu, todėl 802.11g standartą
palaikanti įranga veiks ir su 802.11b standartu.
Pagrindiniai 802.11g standarto privalumai: didelis greitis, didelis kiekis aptarnaujamų
vartotojų, atsparumas trukdžiams.
Pagrindinis 802.11g standarto trūkumas: galimas dažnių juostos persidengimas.
802.11n standartas. 2009 metų viduryje Tarptautinis elektronikos ir elektrotechnikos
institutas planuoja pristatyti 802.11n standartą. Standartas veiks 2.4 ir 5 Ghz dažnių juostose, todėl bus
pilnai suderinamas su 802.11a, 802.11b ir 802.11g standartais. Jo sparta sieks iki 540 Mb/s. 802.11n
standartas turėtų pakeisti visus lig šiol buvusius bevielių tinklų standartus.
29
2.6 Lentelė
Bevielio tinklo standartų palyginimas
802.11 šeimos standartai
Teorinė sparta (Over-the-Air (OTA) )
Reali sparta (Media Access Control Layer, Service Access Point (MAC SAP) )
802.11b 11 Mbps 5 Mbps
802.11g 54 Mbps 25 Mbps
802.11a 54 Mbps 25 Mbps
802.11n 540 Mbps 100 Mbps
Šaltinis: Castaneda, 2006.
Lentelėje (2.6 lentelė) pateikiami bevielių tinklų standartų duomenų perdavimo spartos
palyginimai. 802.11n standarto perdavimo sparta dar nėra tiksliai nustatyta. Atskiruose šaltiniuose
pateikiama skirtinga perdavimo sparta, pvz., internetinėje enciklopedijoje Wikipedia nurodyta 802.11n
standarto 540Mb/s maksimali sparta, tačiau kituose pateikiama 600Mb/s maksimali duomenų
perdavimo sparta bevieliais tinklais (G. Fleishman, 2008).
Apžvelgus pagrindinius 802.11 grupės bevielių tinklų standartus, paaiškėja, kad 802.11g
standartas geriausiai atitinka įmonių keliamus reikalavimus. Visus lig šiol buvusius bevielių tinklų
standartus turėtų pakeisti 802.11n standartas, kuris lenkia savo pirmtakus tiek sparta, tiek atsparumu
trukdžiams.
Diegiant įmonėje bevielį tinklą būtina atsižvelgti į įmonės infrastruktūrą bei jos išsidėstymą.
Pagal įmonės dydį ir išdėstymą yra parenkami bevielio tinklo architektūros sprendimai, kurie leistų
efektyviausiai naudoti ir valdyti bevielį įmonės tinklą. Bevielis tinklas susideda iš šių pagrindinių
komponentų: prisijungimų valdiklių (angl. Access Control), kurio vaidmenį dažniausiai atlieka WLAN
skirstytuvai, ir prieigos taškų (angl. Access Point) (Castaneda, 2006). Pagrindiniai bevielio ryšio
komponentai sujungiami laidiniu tinklu pagal pasirinktą bevielių tinklų architektūrą.
Yra trys WLAN tinklų architektūros tipai:
Autonominės architektūros tinklai,
Centralizuotos architektūros tinklai,
Paskirstytos architektūros tinklai.
Autonominės architektūros tinklai. Autonominės architektūros tinkluose, bevielių tinklų prieigos taškai
realizuoja ir apibrėžia 802.11 protokolo funkcijas taip pat kaip ir laidiniuose tinkluose yra apibrėžiamas
30
ir realizuojamas 802.3 protokolas. Kiekvienas prieigos taškas gali būti valdomas kaip atskiras tinklo
vienetas (2.3 pav.). Tokio tipo tinkluose prieigos taškai yra dažnai vadinami „Fat“ tipo (angl. Fat
Access Point).
2.3 pav. Autonominės architektūros bevielio tinklo sandara
Šaltinis: sudaryta autoriaus, remiantis Castaneda, 2006.
Pirminėje WLAN tinklų vystimosi stadijoje, buvo naudojami autonominiai prieigos taškai,
kurie buvo valdomi kaip atskiri tinklo vienetai. Per paskutiniuosius keletą metų centralizuotos
architektūros tinklai tapo vis populiaresni, aplenkdami autonominės architektūros tinklus. Pagrindinis
centralizuotų WLAN tinklų privalumas, lyginant su autonominės architektūros tinklais, yra galimybė
tinklo administratoriui valdyti prieigos taškus panaudojant hierarchinį tinklų architektūros modelį.
Centralizuota bevielių tinklų architektūra. Centralizuota WLAN tinklų architektūra yra hierarchinė
architektūra, kuri naudoja WLAN valdiklį, leidžiantį valdyti WLAN tinklą apimant keletą prisijungimo
taškų vienu metu (2.4 pav.). Bevielio tinklo valdiklis dar vadinamas prisijungimo valdikliu (angl.
Access Controller). Lyginant su autonominės architektūros bevieliais tinklais, šioje tinklo
architektūroje naudojami sumažintų funkcijų prieigos taškai, dar kitaip vadinami „Thin“ tipo prieigos
taškai (angl. Thin Access Point).
31
2.4 pav. Centralizuotos architektūros bevielio tinklo sandara
Šaltinis: sudaryta autoriaus, remiantis T. Sridhar, 2006.
Paskirstytos architektūros bevieliai tinklai. Paskirstytos architektūros WLAN tinkluose, prisijungimo
taškai gali suformuoti atskirus tinklus, kurie butų sujungiami apjungiant prieigos taškus panaudojus
bevielį ar laidinį ryšį. „Mesh“ tipo prisijungimo taškų tinklas yra paskirstytos architektūros tinklo
pavyzdys.
Bevielio tinklo įrenginiai. „Fat“ prieigos taškai (angl. Fat Access Point). Autonominės architektūros
WLAN tinklo su „Fat“ tipo prisijungimo taškais pavyzdys yra iliustruojamas 2.3 pav. Prisijungimo
tašku vadinamas taškas, kuriam priskiriamas IP adresas. Prisijungimo taškas gali persiųsti duomenų
srautą tarp laidinio ir bevielis tinklo sąsajos. Tokio tipo prieigos taškas turi daugiau nei dvi laidines
tinklo sąsajas ir gali persiųsti duomenis tarp laidinių tinklo elementų – panašiai kaip antro bei trečio
lygio skirstyvuose. Prisijungimas prie organizacijos laidinio tinklo galimas per antro arba trečio lygio
tinklus.
Lyginant su kitų tipų prieigos taškais, „Fat“ tipo prieigos taškai neturi duomenų srauto
grįžtamojo ryšio.
Reikia pažymėti, kad šio tipo prieigos taškai gali teikti ir maršrutizatoriaus funkcijas, tokias
kaip dinaminis adresų paskirstymo protokolas (DHCP - angl. Dyamic Host Confirguration Protocol).
32
„Fat“ tipo prieigos taškų valdymas realizuotas Web aplinkoje panaudojant SNMP (angl.
Simple Network Management Protocol) ar HTTP (angl. Hypertext Transfer Protocol) protokolą, arba
komandinės eilutės aplinkoje (angl. Command-Line Interface). Norint valdyti keletą prisijungimo taškų
vienu metu, reikia prisijugti prie kiekvieno prisijugimo taško panaudojant vieną iš dviejų ankščiau
paminėtų būdų. Kiekvienas prisijungimo taškas yra atvaizduojamas tinklo žemėlapyje kaip atskiras
tinklo elementas. Prisijungimo taškų valdymui naudojama tinklo valdymo sistema NMS (angl.
Network Management System) pagalba.
„Fat“ tipo prieigos taškai turi praplėstas funkcijas, tokias kaip prisijungimų kontrolės sąrašas
ACLs (angl. Access Control List), leidžiantis filtruoti kiekvieno WLAN kliento duomenų srautą. Taip
pat šio tipo prieigos taškai gali konfigūruoti bei naudoti paslaugos kokybės valdymo QoS (angl.
Quality of Service) funkcijas. Pavyzdžiui, duomenų srautas einantis iš mobilaus įrenginio turi aukštesnį
prioritetą lyginant duomenų srautu, einančiu iš kitų įrenginių. Apibendrinat galima teigti, kad šie
prisijungimo taškai veikia kaip maršrutizatoriai ar skirstytuvai teikdami dalį jų vykdomų funkcijų.
Pagrindinis „Fat“ tipo prieigos taškų trūkumas yra jų sudėtingumas. Šie įrenginiai reikalauja
galingos techninės įrangos, bei sudėtingos programinės įrangos. Dėl jų sudėtingumo šie įrenginių
diegimas ir palaikymas yra brangus, todėl „Fat“ tipo prieigos taškai naudojami diegiant mažus tinklus.
„Thin“ tipo prieigos taškai (angl. Thin Access Point). Lyginant su „Fat“ tipo taškais, „Thin“ tipo
prieigos taškų valdymas tapo paprastesnis. Pagrindinė prieigos taškų valdymo supaprastinimo
priežastis yra tų taškų padėtis. Šio tipo prieigos taškai dažniausiai naudojami užpildyti tinklo aprėpties
zonai, pavyzdžiui, sunkiai prieinamose vietose, nes nereikalauja nuolatinio palaikymo. „Thin“ tipo
prieigos taškai dažnai vadinami „protingomis antenomis“, nes pagrindinė šių prieigos taškų funkcija
yra gauti ir persiųsti bevielį duomenų srautą.
Duomenų srauto valdymo protokolas tarp prieigos taško ir tinklo valdiklio yra privatus. Nėra
galimybės valdyti atskirų prieigos taškų antro ar trečio lygio tinkluose. Valdymas galimas tik
panaudojant tinklo valdiklius, prie kurių jungiamasi per Web aplinkoje naudojamą SNMP, HTTP
protokolą, arba per komandinę eilutę. Tinklo valdiklis gali valdyti keletą prieigos taškų, todėl tinklo
valdiklio pagrindą sudaro galinga fizinė (hardware) įranga, kuri atlieka skirstymo bei maršrutizavimo
funkcijas.
Tinkluose, kuriuose naudojama „Thin“ prieigos taškai, paslaugos kokybės valdymo
„QoS“ funkcija bei prisijungimų kontrolės sąrašo „ACL“ funkcija realizuojamos tinklo valdiklyje,
todėl visas duomenų srautas, einantis iš prisijungimo taško, turi praeiti pro tinklo valdiklį. Tinklo
valdiklis tampa vartais, pro kuriuos duomenys keliauja tarp laidinio ir bevielio tinklo. Vėliau valdiklio
33
funkcijos buvo integruotos į tinklo skirstytuvus, kurie buvo jungiami į laidinius ir bevielius tinklus.
Taip atsirado WLAN skirstytuvai.
„Fit“ tipo prieigos taškai. „Fit“ tipo prieigos taškai, perimdami iš „Fat“ ir „Thin“ tipo prieigos taškų
privalumus, tampa vis populiaresni. „Fit“ tipo prieigos taškai gali koduoti bevielį duomenų srautą
pasinaudodami WPA2 kodavimo algoritmu. Valdymo funkcijos priskirtos tinklo valdikliams, kurie,
naudodami sukuriamus saugius tunelius duomenims perduoti, apjungia kelis prieigos taškus. „Fit“ tipo
prieigos taškai palaiko DHCP protokolą, kurio pagalba prisijungę vartotojai automatiškai gauna IP
adresą, bei palaiko WLAN žymėjimo funkciją SSID (angl. Service Set Indetifier), kurios pagalba
vartotojai gali automatiškai jungtis prie konkretaus prieigos taško.
Fit“ prieigos taškuose galimi du MAC adreso realizavimo būdai:
Lokalusis MAC adresas (angl. Local MAC)
Suskaldytas MAC adresas (angl. Split MAC).
Lokalusis MAC adresas naudojamas tokiuose prieigos taškuose, kuriuose visos bevielio MAC
adreso funkcijos (valdymo, kontrolės bei kitos laikui jautrios funkcijos) atliekamos pačiame prieigos
taške. Suskaldyto MAC adreso architektūra paskirsto MAC funkcijas tarp prieigos taško ir tinklo
valdiklio. Realaus laiko MAC funkcijomis laikomos funkcijos, tokios kaip signalizavimo funkcijos
generavimas.
Prisijungimo valdiklis (angl. Access Controller) ir kontrolės funkcijos. Kuriant centralizuotą bevielio
tinklo architektūrą vienas iš svarbiausių architektūros komponentų yra prisijungimo valdiklis, kuris
integruojamas WLAN skirstytuvuose.
Žemiau esančiame paveiksle pavaizduotas organizacijos tinklas, kuriame naudojami
prisijungimo valdikliai bei prisijungimo taškai (2.5 pav.). Prisijungimo taškas jungiamas prie
prisijungimo valdiklio pasinaudojant antro lygio (komutuojamas) ar trečio lygio (maršrutizuojamas)
tinklu.
Sąsajos tarp prisijungimo taško ir prisijungimo valdiklio pagrindinės funkcijos (Sridhar,
2006):
Prisijungimo taškų priskyrimas ir suradimas;
Programinės įrangos atnaujinimas (iš prisijungimo valdiklio į prisijungimo tašką);
Pajėgumų nustatymas;
Abipusė autentifikacija ;
34
Konfigūracijos, būsenos ir statistikos apsikeitimas;
Paslaugos kokybės stebėjimas laidiniame ir nelaidiniame tinkle.
2.5 pav. Centralizuotos architektūros WLAN tinklas panaudojant kelis WLAN skirstytuvus
Šaltinis: sudaryta autoriaus, remiantis Sridhar, 2006.
Prisijungimo valdiklis atlieka bevielių resursų valdymą (angl. Radio Resource Management)
ir grubią prisijungimo taškų paiešką, paremtą prisijungimo taškų konfigūracija ir monitoringu
kontroliuojame domene. Kita svarbi prisijungimo valdiklio funkcija – mobilumo valdymas.
Prisijungimo valdiklio suradimas ir pasirinkimas. Prisijungimo taškas siunčia užklausą ieškodamas
prisijungimo valdiklio, į kurią, priklausomai nuo tinklo struktūros, gali atsakyti vienas ar keli
prisijungimo valdikliai. Bendravimas tarp prisijungimo valdiklio ir prisijungimo taško vyksta naudojant
UDP (angl. User Datagram Protocol) protokolą. Prisijungimo taškas nustato prie kurio prisijungimo
valdiklio prisijungti užmezgant saugią sesiją.
Konfigūracijai tarp prisijungimo valdiklio ir prieigos taško naudojami šie parametrai (Sridhar,
2006):
Prisijungimo taško identifikatorius SSID;
Saugumo parametrai: WEP, WPA ar WPA2 protokolai;
Duomenų srauto greitaveika: 11 ar 54 Mbps;
Dažnio kanalas.
35
Prisijungimo valdiklio ir prisijungimo taško sąveika. Prieigos taško teikiama informacija (Sridhar,
2006):
Mechaninė įranga;
Programinė įranga;
Bevielio ryšio panaudojimas;
Kodavimo galimybės;
Bevielio ryšio tipas (802.11 a/b/g/n);
MAC adreso tipas (lokalus, padalintas, ar abu);
Tuneliavimo rėžimas.
Prisijungimo valdiklio teikiama informacija (Sridhar, 2006):
Mechaninė įranga;
Programinė įranga;
Prisijungusių mobilių įrenginių skaičius;
Galimų mobilių įrenginių skaičius;
Saugumo parametrai;
IPv4 ir IPv6 adresu kontrolės informacija.
Bevielio tinklo įrenginių valdymas. Bevielių įrenginių valdymas naudojamas sumažinti ar padidinti
prieigos taško signalo stiprumui. Jeigu tinkle keli prieigos taškai persidengia, prisijungimo valdiklis
automatiškai sumažina vieno prieigos taško signalo stiprumą ir apsaugo nuo galimos duomenų kolizijos.
Signalo stiprumą taip pat galima sumažinti ir rankiniu būdu.
Prieigos taškas gali būti naudojamas kaip stebėjimo įrenginiai, jeigu nėra perdavinėjamo
duomenų srauto. Prieigos taškai gali skenuoti ir stebėti ryšio kanalus nesumažindami ryšio kokybės,
taigi, paprasti vartotojai nepastebės ryšio sutrikimų.
Stebėjimo režimu veikiantys prieigos taškai gali siųsti informaciją prisijungimo valdikliui
apie kitus prieigos taškus. Pasinaudojęs perduota informacija, prisijungimo valdiklis gali nustatyti
kokia prieigos taško būklė. Jeigu prisijungimo taškas yra apkrautas, prisijungimo valdiklis gali
uždrausti naujų vartotojų prisijungimą ir juos nukreipti į kitą prisijungimo tašką, arba padidinti kanalo
perdavimo pralaidumą.
36
Mobilumo valdymas. Mobilumo valdymą galima išskaidyti į dvi dalis: antro lygio ir trečio lygio tinklo
mobilumą. Situacija, kai mobilumo valdymą reikia išskaidyti į dvi dalis, gali pasitaikyti kai tame
pačiame pastate vartotojas su mobiliuoju kompiuteriu eina iš vienos konferencijų salės į kitą. Mobiliam
vartotojui susijungus su nauju prieigos tašku vykdoma autentifikacija. Prieš prisijungiant prie naujo
prieigos taško, susijungimas su prieš tai buvusiu prieigos tašku nutraukiamas. Nors naudojant tokį
prisijungimo būdą vartotojas gali patirti laikinų ryšio trikdžių, toks būdas naudojamas kaštams
sumažinti ir padaryti prisijungimą kuo paprastesnį.
Antro lygio tinklo mobilumas traktuojamas kai vartotojas juda tarp prieigos taškų, kurie
kontroliuojami vieno prisijungimo valdiklio. Trečio lygio tinklo mobilumas traktuojamas kai vartotojas
juda tarp prieigos taškų, kurie kontroliuojami skirtingų prisijungimo valdiklių.
Antro tinklo lygio mobilumas. Esant antro tinklo lygio mobilumui vartotojas juda tarp prieigos taškų,
nenaudojant IP adresacijos, tai reiškia, kad visi prieigos taškai yra tame pačiame tinklo lygyje ir yra
prijungti prie vieno prisijungimo valdiklio. Norint išvengti duomenų praradimo, bevielio tinklo
skirstytuvas turi persiųsti duomenų srautą naujam prieigos taškui. Vartotojui prisijungus prie naujo
prieigos taško, prieigos taškas prisijungimo valdikliui siunčia Ethernet langą, kuriame yra vartotojo
MAC adresas ir šaltinio adresas. Bevielio tinklo skirstytuvas, panaudodamas prieigos portą, prie kurio
prijungtas prieigos taškas, gali susijungti su vartotojo MAC adresu.
Normaliomis sąlygomis skirstytuvas ar prisijungimo valdiklis nežino apie einantį duomenų
srautą, kol negauna tai patvirtinančios informacijos iš naujo prieigos taško. Prieigos taško renkamos
statistikos dėka, prisijungimo valdikliai ar skirstytuvai gali aptikti kada mobilus vartotojas palieka
buvusio prieigos taško aprėpties zoną ir, vartotojui palikus buvusio prieigos taško aprėpties zoną,
nustoja siųsti duomenų srautą buvusiam prieigos taškui. Prieigos taškų renkamoje statistikoje yra
renkama tokia informacija kaip maksimalus skaičius bandymų prisijunti MAC protokolo lygyje.
Prisijungimų valdikliui ar skirstytuvui nereikia kaupti duomenų, nes nėra aišku kada duomenų srautas
bus nukreiptas į naują prieigos tašką. Šis sprendimas padeda išvengti bereikalingo duomenų siuntimo į
seną prieigos tašką.
Kai kurie gamintojai šią problemą išsprendė skirtingai naudodami „Fat“ tipo prieigos taškus.
Prieigos taškas turi kaupti duomenų srautą kol iš skirstytuvo negauna informacijos kad vartotojas yra
prisijungęs prie kito prieigos taško. Vartotojui prisijungus prie naujo prieigos taško, buvęs prieigos
taškas sukauptą duomenų srautą persiunčia tinklo skirstytuvui, kuris duomenų srautą nukreipia į naują
prieigos tašką. Dėl prieigos taškų sudėtingo valdymo šis sprendimas nėra naudojamas centralizuotoje
WLAN tinklo architektūroje. Kita svarbi antro bevielio tinklo lygio savybė yra automatinė
37
autentifikacija, kuri naudojama jungiantis prie naujo prieigos taško. Nors 802.11i protokolo vartotojai
gali automatiškai autentifikuotis su šalia esančiais prieigos taškais, tačiau dėl autentifikacijos raktų
(PMK ir PTK) sinchronizacijos su nauju prieigos tašku, automatinės autentifikacijos procesas tampa
per daug ištęstas.
Kai prieigos valdiklis bendraudamas su RADIUS serveriu naudoja PMK raktą konkrečiam
vartotojo duomenų srautui šifruoti, autentifikacija vykdoma automatiškai persiunčiant PMK raktą
naujam prieigos taškui. Naudojant PTK raktą, duomenų srauto kodavimas atliekamas senojo ir naujojo
prieigos taškų pagalba.
Trečio tinklo lygio mobilumas. Esant trečiam tinklo lygio mobilumui, vartotojas išlaiko tą patį IP adresą
judėdamas tarp prieigos taškų. Mobile IP protokolo veikimo principas nebus nagrinėjamas, tačiau
galima paminėti Mobile IP protokolo sudėtines dalis (komponentus). HA (angl. Home Agent)
komponentas vartotojo tinkle atsakingas už kliento adresą. Visi duomenų paketai adresuoti vartotojui
siunčiami HA komponentui. Jeigu vartotojas yra tame tinkle, HA komponentas persiunčia duomenų
paketus tiesiai vartotojui. Jeigu vartotojas yra kitame tinkle, HA komponentas persiunčia duomenų
paketus FA (angl. Foreign Agent) komponentui, kuris yra tame tinkle kur yra prisijungęs vartotojas.
Norint persiųsti duomenis kitame tinkle esančiam vartotojui, turi būti panaudotas tunelis į FA
komponentą. Tuneliavimas atliekamas panaudojus kapsuliavimo (GRE - angl. Generic Routing
Encapsulation) protokolą ar panaudojus adresas adrese IP-in-IP tuneliavimo metodą. Išpakavus
duomenų paketą, FA persiunčia jį vartotojui.
Atsiradus MIP protokolui, atsirado būtinybė kurti vartotojo Mobile IP programinę įrangą.
Vartojo Mobile IP programinės įrangos (CMIP - angl. Client Mobile IP) funkcijos:
Mobile IP protokolo antraštės išskyrimas duomenų pakete.
Naujos antraštės, kuri suklaidina aukštesnio lygio programinę įrangą, kad paketai buvo
adresuoti vartotojo IP adresui kitame tinkle, įkėlimas.
Nepaisant naujojo MIP protokolo privalumų, randami ir jo trūkumai. Kad MIP protokolas
pilnai funkcionuotų, reikia tinklo įrenginiuose įdiegti CMIP programinę įrangą. Esant dideliam skaičiui
įrenginių, CMIP programinės įrangos diegimas gali tapti sunkiai įgyvendinamas.
Kai kurie gamintojai siūlo bevielio tinklo skirstytuvus ir prisijungimo valdiklius su įdiegta
CMIP programine įranga.
Sudarydami tunelį su HA komponentu, kai kurie prisijungimo valdikliai gali veikti kaip FA
komponentai ir gali perduoti kitame tinkle esančiam vartotojui adresuotus duomenų paketus. Kai
38
vartotojas trečiame tinklo lygyje siunčia paketus per prisijungimo valdiklį, prisijungimo valdiklis
pakeičia paketo antraštę įkeldamas šaltinio IP adresą ir sudaro tunelį, kuriuo paketai persiunčiami HA
komponentui. Šis procesas vadinamas atgaliniu tuneliavimu (angl. Reverse Tunneling) (2.6 pav.).
2.6 pav. Antro ir trečio tinklo lygio mobilumas centralizuotoje WLAN tinklo architektūroje
Šaltinis: sudaryta autoriaus.
Nagrinėjant įmonės ar organizacijos tinklo struktūrą su keliais prisijungimo valdikliais ir
dideliu kiekiu prisijungimo taškų reikia įvertinti ir MobileIP tunelius, nustatomus tarp prisijungimo
valdiklių (vieniems vartotojams prisijungimo valdikliai veikia kaip FA komponentai, kitiems
vartotojams kaip HA komponentai).
Įmonės bevielio tinklo architektūra pasirenkama atsižvelgiant į įmonės charakteristikas:
įmonės dydis, įmonės infrastruktūros išdėstymas, pageidaujamos papildomos bevielio tinklo paslaugos.
Nedidelės centralizuotos įmonės atveju diegiamas autonominės architektūros tinklas, nes naudojamas
nedidelis kiekis „Fat“ tipo prieigos taškų, kurie valdomi kaip atskiras tinklo vienetas. Didelės
decentralizuotos įmonės atveju naudojamas didelis „Thin“ kiekis prieigos taškų, todėl diegiamas
centralizuotos bevielių tinklų architektūros tinklas. Centralizuoto bevielio tinklo atveju visi prieigos
taškai valdomi centralizuotai tinklo valdiklio, taip supaprastinant bevielio tinklo valdymą. Paskirstytos
architektūros bevieliai tinklai diegiami įmonėse, kuriose norima atskirti vieną tinklo dalį nuo kitos,
sudarant atskirus potinklius. Paskirstytos architektūros tinkluose prieigos taškai suformuoja atskirus
39
tinklus, kurie sujungiami bevieliu arba laidiniu ryšiu. Norint prijungti nutolusius įmonės taškus prie
vidinio įmonės tinklo, reikia naudoti VPN paslaugas užtikrinančias saugų prisijungimą prie įmonės
vidinių resursų.
Nedidelės įmonės WLAN tinklo architektūros modelis. Šiam modeliui realizuoti buvo imama nedidelė
gamybinė įmonė, kurios veikla yra centralizuota. Tinklo ir serverio administravimas galimas tik
prisijungus fiziškai prie lokalaus tinklo. Administravimas per bevielį tinklą yra uždraustas dėl galimų
saugumo pažeidimų. Bevielio tinklo vartotojai gali naudotis tik serverio teikiamais resursais. Dėl
įmonės centralizuotos veiklos prisijungimai iš išorės yra neleidžiami. Taip pat įmonė pageidauja VOIP
paslaugos (pvz. SkypeOut).
2.7 pav. Nedidelės įmonės WLAN tinklo architektūra
Šaltinis: sudaryta autoriaus.
Lokaliame tinkle sujungiamas duomenų serveris ir prieigos taškai. Tinklo administratorius
jungiasi fiziškai prie lokalaus tinklo. Išėjimas į internetą yra vykdomas pro mašrutizatorių, kuriame yra
įdiegta internetinė ugniasienė, sauganti nuo nepageidaujamų prisijungimų į vidinį įmonės tinklą (2.7
pav.). Įmonės darbuotojai jungiasi prie bevielio tinklo prieigos taško, kurio pagalba gali išeiti į
internetą ar prisijungti prie įmonės resursų.
Didelės įmonės WLAN tinklo architektūros modelis. Šiam modeliui buvo pasirinkta stambi gamybos
įmonė, kurios infrastruktūra yra decentralizuota. Tinklo ir serverių administravimas galimas tik
40
prisijungus fiziškai prie lokalaus tinklo. Įmonės darbuotojais prieina prie vidinių tinklo resursų
naudodamiesi VPN pagalba. Taip atskiriami įmonės darbuotojai ir svečiai kurie gali naudotis tik
internetu. Filialų darbuotojai prie įmonės vidinių resursų taip pat jungiasi VPN pagalba. Įmonėje yra
realizuota VIOP paslauga („SkypeOut“), kurios pagalba įmonės darbuotojai gali skambinti
naudodamiesi internetine telefonija.
2.8 pav. Didelės įmonės WLAN tinklo architektūra
Šaltinis: sudaryta autoriaus.
Lokaliame tinkle sujungiami duomenų serveris, Proxy/DHCP/DNS serveris ir prieigos taškai
(2.8 pav.). Tinklo administratorius jungiasi fiziškai prie lokalaus tinklo. Išėjimas į internetą yra
vykdomas pro mašrutizatorių, kuriame yra įdiegta internetinė ugniasienė, sauganti nuo nepageidaujamų
prisijungimų į vidinį įmonės tinklą. Įmonės darbuotojai jungiasi prie bevielio tinklo prieigos taško,
kurio pagalba gali išeiti į internetą. Prisijungti prie įmonės vidinių resursų darbuotojai gali
pasinaudodami VPN pagalba, kurios metu sukuriamas saugus tunelis prie įmonės vidinių resursų. Visi
skambučiai vykdomi naudojantis „SkypeOut“ paslauga. Skambučiai tarp įmonės darbuotojų ir
„Skype“ vartotojų yra nemokami, skambučiai į užsienį ir kitus tinklus yra apmokestinami pagal
galiojančius tarifus.
41
2.3 Bevielio tinklo saugumo sprendimų galimybės
Nepaisant informacijos saugumo svarbos, informacijos saugumui užtikrinti yra taikomos
neišbaigtos ar netinkamos apsaugos priemonės, kurios negali pilnai apsaugoti duomenų saugumo bei
privatumo. Autoriaus tyrimo tikslas - išanalizuoti bevielio tinklo saugumo užtikrinimo galimybes ir
priemones bei palyginti bevielių tinklų saugumo standartus, išryškinant jų privalumus ir trūkumus, bei
pasiūlyti duomenų saugumo priemonių taikymo sprendimus.
Bevielių tinklų saugumo standartų lyginamoji analizė ir taikymas. Pagal reikalavimus duomenų
saugumo lygiui parenkamas saugumo standartas bevieliui tinklui saugoti. Dažniausiai tinklo ir jame
esančių duomenų saugumui užtikrinti naudojami WEP (angl. Wired Equivalent Privacy), WPA (angl.
Wi-Fi Protected Access) ir IPSec (angl. Internet Protocol Security) saugumo standartai. Lentelėje (2.7
lentelė) pateikiama šių saugumo standartų palyginamoji analizė, palygintos jų naudojamos kodavimo
bei autentifikavimo technologijos. 2.7 Lentelė
WEP, WPA ir IPSec saugumo standartų palyginimas
WEP WPA IPSec
Saugumo lygis Pažeidžiamas, nesunkiai nulaužiamas
Ištaisytos WEP standarto klaidos. Sunkiau pažeidžiamas.
Sunkiai pažeidžiamas, visiškai atskirta technologija nuo 802.11 standarto.
Kodavimas Statinis raktas – pastovus, nekintantis
Dinaminis raktas – kintantis, kiekvienos sesijos metu
Viešo ir privataus rakto kodavimo mechanizmas.
Raktas įvedamas rankiniu būdu
Automatinis rakto paskirstymas
Automatinis rakto paskirstymas
Autentifikavimas Pažeidžiama, panaudotas tas pats WEP raktas.
Stiprus vartotojo autentifikavimas, panaudojant 802.11x ir EAP standartus
Stiprus autentifikavimas, panaudojant SSL/TLS standartus.
Vieta bevielio tinklo architektūroje
Tarp duomenų siuntėjo ir WLAN tinklo architektūros.
Tarp duomenų siuntėjo ir WLAN tinklo architektūros.
Tarp duomenų siuntėjo ir galutinio gavėjo.
Šaltinis: sudaryta autoriaus.
42
WEP standartas naudoja RC4 duomenų srauto kodavimą, kuris keičiamas kaskart atėjus
naujam duomenų srautui. Kai naudojamas WPA standartas duomenų saugumui užtikrinti, naudojamas
tas pats RC4 duomenų srauto kodavimas, tačiau vietoj paprasto kodavimo rakto naudojamas TKIP
(angl. Temporal Key Integrity Protocol) kodavimas .
Kodavimo standartas TKIP generuoja WEP rakto sekos numerį ir jį keičia kas 10.000
duomenų paketų. Nesaugus WEP standarto statinio rakto autentifikavimas, WPA atveju, pakeičiamas
dinamiškai sugeneruotu ir autentifikacijos serverio paskirstytu raktu. TKIP naudodama raktų
hierarchija ir raktų valdymo metodologija nesunkiai pakeičia įsilaužėlių atspėjamus WEP raktus.
Duomenų srauto autentifikacijai panaudojus TKIP standarto raktų hierarchiją, nekintantis WEP
standarto raktas pakeičiamas vienu iš 500 trilijonų galimų raktų, kurie gali būti panaudoti bet kurio kito
duomenų paketo kodavimui (Fluhrer, 2001).
Vartotojų autentifikacijai WEP standartas naudoja vieną ir tą patį autentifikavimo raktą,
kuriuo jungiasi visi tinklo vartotojai. WPA saugumo standartas vietoj nekintančio autentifikavimo rakto
naudoja pažangias 802.11x ir EAP autentifikavimo technologijas, užtikrinančias saugumą naudojant
dinaminį rakto kodavimą bei abipusę autentifikaciją.
Diegiant bevielius tinklus rekomenduojama pasirinkti priemonę pagal saugomo tinklo
charakteristikas ir jo rizikos laipsnį. Administruojant sistemas reiktų vengti techninės įrangos
gamyklinių nustatymų, nes įrangos gamintojai parenka nepatikimą arba netaiko jokios bevielių tinklų
saugumo sistemos, nors jų techninė įranga pilnai palaiko pažangesnius saugumo standartus.
Potencialaus įsilaužimo į sistemą pavojaus grėsmei minimizuoti, naudojamas WPA saugumo standartas
kartu su AES šifravimo technologija arba naujesne WPA versija WPA2, turinčia AES šifravimo
technologiją.
Bevielių tinklo saugumo standartų taikymas įmonėje. Bevielių tinklų saugumo standartas
WEP (angl. Wired Equivalent Privacy) neužtikrina bevielio tinklo bei jame esančių duomenų apsaugos,
todėl naudojamas kaip prevencijos priemonė paprastiems vartotojams. Internetiniai įsilaužėliai,
pasinaudoję WEP standarto trūkumais ir specialia programine įranga, gali prisijungti prie WEP
saugumo standartu apsaugoto bevielio tinklo.
Nors WPA (angl. Wi-Fi Protected Access) standartas yra pranašesnis už WEP saugumo
standartą, tačiau jis negali pilnai apsaugoti nuo DoS (angl. Denial of Service) atakų. Norint užtikrinti
bevielio tinklo saugumą, reikia taikyti vis pažangesnius apsaugos standartus, pvz., WPA+AES (angl.
Advanced Encryption Standard) kombinaciją ar WPA2 saugumo standartą. Norint atnaujinti saugumo
technologiją dažnai pakanka atnaujinti tik tinklo įrenginių programinę įrangą, nekeičiant techninės.
43
Visišką duomenų saugumą pasiekti sunkiai įmanoma, todėl duomenų saugumui užtikrinti,
būtina taikyti priemones galinčias maksimaliai apsaugoti bevielį tinklą ir jame esančia informaciją.
Nors duomenų šifravimo technologijos WPA + AES gali užtikrinti aukštą duomenų saugumo lygį,
tačiau šios technologijos apsaugo duomenis esančius kelyje tik tarp kliento ir duotojo prisijungimo
taško. Norint apsaugoti duomenų srautus, keliaujančius už bevielio tinklo infrastruktūros ribų, būtina
naudoti papildomas priemones, pvz., virtualų privatų tinklą.
Virtualus privatus tinklas (VPN - angl. Virtual Private Network) gali užtikrinti duomenų
saugumą ir už bevielio tinklo infrastruktūros ribų. Galimi įvairūs VPN sprendimai, tačiau
populiariausias jų - IPSec saugumo standartas, užtikrinantis duomenų saugumą nuo pradinio taško iki
galutinio, t.y. nuo siuntėjo iki duomenų gavėjo. Mobiliam vartotojui, IPSec duomenų saugumo
protokolo pagalba, sukuriamas saugus tunelis, kuriuo duomenys keliauja per visus bevielio tinklo
elementus tarp siuntėjo ir gavėjo.
Duomenų saugumui užtikrinti IPSec saugumo standartas naudoja savo šifravimo raktus bei
technologijas, kurios yra visiškai nepriklausomos nuo bevielių tinklų standarto 802.11, tačiau IPSec
saugumo technologijos yra pilnai suderinamos su 802.11 bevielių tinklų standartu. Naudojant IPSec
saugumo technologijas kartu su bevielio tinklo saugumo technologijomis WPA+AES pasiekiamas
didelis duomenų saugumo lygis, kuris turėtų prisidėti prie bevielio tinklo tolimesnio paplitimo versle,
kur duomenų saugumas yra ypač aktualus.
Norint maksimizuoti duomenų saugumo lygį, visos bevielio tinklo saugumo užtikrinimo
technologijos turi būti taikomos kartu su duomenų saugumo politika, kuri apibrėžtų vartotojų
autorizaciją prie jiems priskiriamų duomenų resursų.
Atlikus lyginamąją bevielio tinklo duomenų saugumo užtikrinimo lyginamąją analizę, galima
teigti, kad, norint apsaugoti bevielį tinklą ir jame esančius duomenis, reikia taikyti ne konkretų
saugumo užtikrinimo įrankį, o sprendimų visumą, pvz., kombinuojant bevielio tinklo saugumo
standartą WPA su AES šifravimo technologija, IPSec internetinio protokolo saugumo standartu ir
saugumo politika. Toks saugumo standartų kombinavimo taikymas padidins duomenų saugumą
bevieliame tinkle, padidindamas pasitikėjimą vartotojų tarpe bevielio tinklo technologijomis ir
paspartins bevielių technologijų taikymą praktikoje.
44
III. BEVIELIO TINKLO DIEGIMO ĮMONĖJE METODIKOS TAIKYMO TYRIMAI
Šiame skyriuje pristatomas bevielio tinklo diegimo įmonėje metodikos taikymo tyrimas.
Pristatomos tiriamos bevielio tinklo diegimo įmonėje metodikos galimybės, pateikiant rezultatus, kurie
gauti taikant sukurtąjį metodą pasirinktai pavyzdinei įmonei.
3.1 Ekonominis bevielio tinklo efektyvumo vertinimas
Įmonės bevielio tinklo teikiamai naudai apskaičiuoti pasirinkta paslaugų įmonė, kurioje yra
26 darbuotojai: trijų asmenų vadovaujantis personalas, penkiolikos asmenų vadybos personalas ir
aštuonių asmenų administracinis personalas. Siekiant tiksliau apskaičiuoti bevielio tinklo sukuriamą
pridėtinę vertę, kiekvienos darbuotojų grupės sukuriamos pridėtinės vertės skaičiavimai atliekami
atskirai. Kiekvienai darbuotojų grupei priskiriama procentinė laiko praleisto nedarbo vietoje išraiška
bei poreikio pasiekti informaciją nesant darbo vietoje procentinė laiko išraiška. Bevielio tinklo
efektyvumo įvertinimo modelio pagalba, apskaičiuojama darbuotojų sukuriama pridėtinė vertė (3.1, 3.2,
3.3 lentelės). 3.1 Lentelė
Vadovaujančio personalo grupės sukurta papildoma vertė
Vadovaujantis personalas
Darbuotojų skaičius 3 Darbo užmokestis per metus 7000 Darbo valandų skaičius per dieną 7 Kiek darbo laiko praleidžia savo darbo vietoje 50% Kiek laiko praleidžia ne savo darbo vietoje 50% Kaip dažnai yra poreikis pasiekti informaciją nesant savo darbo vietoje 20% Metinis darbo užmokestis 84.000,00 Lt Vienos darbo minutės kaina 0,87 Lt Vieno darbuotojo našumo padidėjimo sukurta pridėtinė vertė per metus 8.400,00 Lt Visų darbuotojų našumo padidėjimo sukurta pridėtinė vertė per metus 25.200,00 Lt
Šaltinis: sudaryta autoriaus.
45
3.2 Lentelė
Vadybos personalo grupės sukurta papildoma vertė
Vadybos personalas
Darbuotojų skaičius 15 Darbo užmokestis per metus 3500 Darbo valandų skaičius per dieną 7 Kiek darbo laiko praleidžia savo darbo vietoje 60% Kiek laiko praleidžia ne savo darbo vietoje 40% Kaip dažnai yra poreikis pasiekti informaciją nesant savo darbo vietoje 10% Metinis darbo užmokestis 42.000,00 Lt Vienos darbo minutės kaina 0,43 Lt Vieno darbuotojo našumo padidėjimo sukurta pridėtinė vertė per metus 1.680,00 Lt Visų darbuotojų našumo padidėjimo sukurta pridėtinė vertė per metus 25.200,00 Lt
Šaltinis: sudaryta autoriaus. 3.3 Lentelė
Administracinio personalo grupės sukurta papildoma vertė
Administracinis personalas
Darbuotojų skaičius 8 Darbo užmokestis per metus 2500 Darbo valandų skaičius per dieną 7 Kiek darbo laiko praleidžia savo darbo vietoje 90% Kiek laiko praleidžia ne savo darbo vietoje 10% Kaip dažnai yra poreikis pasiekti informaciją nesant savo darbo vietoje 5% Metinis darbo užmokestis 30.000,00 Lt Vienos darbo minutės kaina 0,31 Lt Vieno darbuotojo našumo padidėjimo sukurta pridėtinė vertė per metus 150,00 Lt Visų darbuotojų našumo padidėjimo sukurta pridėtinė vertė per metus 1.200,00 Lt
Šaltinis: sudaryta autoriaus.
Sprendžiant iš aukščiau pateiktų rezultatų (3.1, 3.2, 3.3 lentelės), galima teigti, jog padidėjęs
darbuotojų darbo našumas padidino įmonės vertę daugiau kaip 50.000 litų per metus. Daug darbuotojų
ar plačią infrastruktūrą turinčioje įmonėje laidinio tinklo diegimo kaštai mažai skiriasi nuo bevielio
tinklo diegimo kaštų, todėl bevielio tinklo naudą akivaizdi.
Įmonės sutaupyti kaštai naudojant WLAN teikiamas paslaugas (VOIP). Naudojant WLAN reikiamomis
galimybėmis galima sutaupyti telefonų pokalbių kaštus. Norint apskaičiuoti naudą naudojant
internetinę telefoniją reikia palyginti kaštus, kuriuos tektų išleisti naudojantis įprastinėmis ryšio
priemonėmis ir juos lyginti su kaštais, išleidžiamais komunikacijai, naudojantis internetine telefonija.
46
Buvo imami vidutiniai rinkos tarifai. Naudojantis paprastomis ryšio priemonėmis minutės kaina: į
užsienį 1,5Lt, į Lietuvos tinklus 0,2Lt, tarp įmonės darbuotojų 0Lt. Naudojant internetinę telefoniją
minutės kaina: į užsienį 0,2Lt, į Lietuvos tinklus 0,2Lt, tarp įmonės darbuotojų 0Lt. 3.4 Lentelė
Įmonės darbuotojų pokalbių statistika
Vadovai Vadybos
personalas Administracinis
personalas Darbuotojų skaičius 3 15 8
Vieno darbuotojo prakalbamas minučių skaičius per dieną 100 min 70 min 30 min Skambučių skaičius į užsienį 10% 20% 2%
Skambučių skaičius į Lietuvos tinklus 60% 40% 28% Skambučių skaičius tarp įmonės darbuotojų 30% 40% 70%
Minutės kaina į užsienį 1,50 Lt 1,50 Lt 1,50 Lt Minutės kaina I Lietuvos tinklus 0,20 Lt 0,20 Lt 0,20 Lt
Įprastos ryšio priemonės
Minutės kaina tarp darbuotojų 0,01 Lt 0,00 Lt 0,00 Lt Minutės kaina į užsienį 0,20 Lt 0,20 Lt 0,20 Lt
Minutės kaina I Lietuvos tinklus 0,20 Lt 0,20 Lt 0,20 Lt Internetinė telefonija
„SkypeOut“ Minutės kaina tarp darbuotojų 0,00 Lt 0,00 Lt
0,00 Lt
Šaltinis: sudaryta autoriaus.
Norint įvertinti WLAN teikiamų paslaugų naudą, reikia apskaičiuoti pokalbių per dieną
išlaidas skambinant į užsienį, Lietuvos tinklus ir tarp įmonės darbuotojų. Pokalbių išlaidos
apskaičiuojamos skaičiuojant atskirai skambučių išlaidas į užsienį, Lietuvos tinklus, bei tarp įmonės
darbuotojų. Skambučių į užsienį išlaidos apskaičiuojamos padauginus bendrą minučių kiekį iš jam
tenkančios procentinės dalies ir gautą skaičių padauginant iš pokalbio tarifo. Analogiškai
apskaičiuojamos išlaidos į Lietuvos tinklus bei tarp įmonės darbuotojų. 3.5 Lentelė
Įmonės darbuotojų sutaupyti pokalbių kaštai
Ryšio išlaidos naudojant
įprastines ryšio priemones
Ryšio išlaidos naudojant Internetinę
telefoniją
Vadovai 92736,00 Lt 28980,00 Lt
Vadybos personalas 18837,00 Lt 9660,00 Lt
Administracinis personalas 4250,40 Lt 2428,80 Lt
Bendros ryšio išlaidos per metus 115823,40 Lt 41068,80 Lt
Šaltinis: sudaryta autoriaus.
47
Aukščiau pateiktoje lentelėje (3.5 lentelė) pateiktas ryšio išlaidų per metus tarp įprastinių
ryšio priemonių ir internetinės telefonijos palyginimas. Pagrindiniai internetinės telefonijos privalumai
išryškėja skambinant į užsienį, nes lyginant su įprastinių ryšio priemonėmis, pokalbių tarifai ženkliai
skiriasi. Pagal autoriaus atliktus skaičiavimus VOIP pranašumas akivaizdus - įmonė sutaupė daugiau
kaip 70.000 litų per metus. Dar galima įvertinti papildomos VOIP įrangos įsigijimo kaštus, pvz.
„Skype“ telefonai, kurių vertė 400-500 litų. Įvertinus VOIP įrangos įsigijimo kaštus, paskaičiuojama,
kad įmonė įsigydama papildomą brangią bevielio tinklo galimybes naudojančią įranga, vis tiek sutaupė
daugiau kaip 50.000 litų išleidžiamų įprastoms ryšio paslaugoms.
3.2 Bevielio tinklo architektūros modelio realizavimas įmonėje
Atliekant bevielio tinklo diegimo įmonėje metodikos taikymo tyrimą buvo projektuojama
įmonės bevielio tinklo architektūra. Tyrimui atlikti buvo pasirinkta techninė įranga:
Prisijungimo taškai – D-Link DWL-2100AP, D-Link WBR-2310;
Nešiojamasis kompiuteris su integruotu bevielio tinklo adapteriu Intel Wireless WiFi
Link 4965AGN;
Išorinis bevielio tinklo adapteris - D-Link DWL-G630;
Tinklo apkrovai panaudota bevielio tinklo talpyklos prieiga – D-Link G600;
Programinė įranga – WirelessMon 3.0.
Įmonės infrastruktūros imitacijai buvo pasirinktas Vytauto Didžiojo Universiteto Informatikos
fakultetas, t.y. informatikos fakulteto ketvirtasis aukštas. Tyrimo tikslas buvo nustatyti bevielio tinklo
padengimą ir reikiamų prisijungimo taškų skaičių, norint padengti Informatikos fakulteto ketvirtąjį
aukštą. Signalo padengimui atvaizduoti buvo pasirinkta WirelessMon 3.0 programinis paketas.
Trisdešimt dienų šį programinį paketą galima testuoti, to užtenka atvaizduoti bevielio tinklo padengimą.
Norint užtikrinti imituojamos įmonės darbuotojų darbo efektyvumą buvo pasirinktas 40% signalo
stiprumo riba, kuri turi užtikrinti stabilų darbuotojų darbą.
Tyrimo rezultatai parodė, jog vidutinė standartinio bevielio prisijungimo taško aprėpties zona
yra apie 250 kv. metrų, tačiau prisijungimo taško aprėptiems zona yra įtakojama išorinių faktorių.
Norint užtikrinti stabilų darbą, prie kiekvieno prisijungimo taško turi jungtis nedaugiau kaip 20
vartotojų. Šie apribojimai galioja ir diegiant bevielį tinklą įmonėse.
48
3.1 pav. Bevielio tinklo prisijungimo taško signalo aprėpties zona
Šaltinis: sudaryta autoriaus.
Prisijungimo taškų skaičiui nustatyti imamas įmonės infrastruktūros planas ir pagal planą
preliminariai paskaičiuojamas prisijungimo taškų skaičius, kuris apskaičiuojamas pagal formulę (2).
N=S/ΠR2 (2)
Formulės kintamieji: N- prisijungimo taškų skaičius, S – norimas padengti plotas, R- prieigos
taško spindulys.
Šaltinis: sudaryta autoriaus.
Atlikus eksperimentą paaiškėjo, jog testuojamo prieigos taško tinkamo signalo spindulys
lygus devyniems metrams. Nustačius prieigos taškų skaičių, testuojamas signalo aprėpties padengimas
(3.1 pav.). Testavimas atliekamas naudojant įprastinius darbo įrankius (t.y. nešiojamasis kompiuteris)
naudojamus jungiantis prie bevielio tinklo. Esant signalo nepakankamumui, didinamas prisijungimo
taškų skaičius arba artimiausio prisijungimo taško galingumas. Priklausomai nuo prisijungimo taškų
skaičiaus pasirenkamas bevielio tinklo prisijungimo taškų valdymo modelis.
Autoriaus tyrimo rezultatai atskleidė, jog daugelis įmonių, nepaisant bevielio tinklo
suteikiamų naujų galimybių, taupant įmonių darbuotojų darbo laiko panaudojimo efektyvumą,
komunikacinių galimybių pranašumo, padidėjusio mobilumo, infrastruktūrinių apribojimų nebuvimo,
nesiryžta diegti bevielio tinklo dėl jo įsivaizduojamo sudėtingo valdymo ir sunkiai įsivaizduojamos
bevielio tinklo sukuriamos įmonei vertės. Daugelis įmonių norėtų, kad naujosios technologijos
supaprastintų bevielio tinklo diegimą ir palaikymą, tačiau nereikalauja didesnio tinklo pralaidumo ar
lankstumo.
49
Atliktas bevielio tinklo diegimo įmonėje metodikos taikymo tyrimas parodė, kad sukurta
bevielio tinklo diegimo įmonėje metodika leidžia nustatyti ir įvertinti bevielio tinklo teikiamą naudą
įmonėje, todėl lengvai apskaičiuojant bevielio tinklo teikiamą naudą ir ją įvertinus skaitine išraiška,
palengvinamas įmonių sprendimų diegti bevielį tinklą įmonėje sprendimų priėmimas. Šios metodikos
taikymas leidžia rasti bevielio tinklo architektūros sprendimus, atitinkančius įmonės poreikius,
pritaikyti galimus bevielio tinklo saugumo užtikrinimo priemones ir sprendimus įmonės bevielio tinklo
saugumui užtikrinti. Autoriaus siūloma bevielio tinklo diegimo įmonėje metodika pritaikoma visoms
įmonėms, nepriklausomai nuo jos dydžio, veiklos pobūdžio, darbuotojų skaičiaus, infrastruktūros
išdėstymo.
50
IŠVADOS IR REZULTATAI
1. Pagrindiniu įmonės tikslu laikomas įmonės vertės didinimas gali būti realizuojamas plečiant rinkos
dalį, didinat parduodamų prekių ar paslaugų kiekį, taip pat didinant darbo organizavimo
efektyvumą įmonėje. Vienas iš efektyvumo didinimo įmonėje sprendimų yra bevielio kompiuterių
tinklo įmonėje diegimas, kurio svarbiausia teikiama nauda įmonei yra informacijos pasiekiamumas
tame taške kur jos labiausiai reikia.
2. Autoriaus tyrimo rezultatai atskleidė, jog daugelis įmonių, nepaisant bevielio tinklo suteikiamų
naujų galimybių: įmonių darbuotojų darbo laiko panaudojimo efektyvumo padidinimo,
komunikacinių galimybių pranašumo, padidėjusio mobilumo, nesiryžta diegti bevielio tinklo dėl jo
įsivaizduojamo sudėtingo valdymo ir sunkiai įsivaizduojamos bevielio tinklo sukuriamos įmonei
vertės.
3. Atlikus įmonės vertės sukūrimo efektyvumo didinimo galimybių analizę bevielio tinklo įdiegimo
pagalba, rastos priemonės, leidžiančios nustatyti ir įvertinti bevielio tinklo naudą įmonėje, todėl
lengvai apskaičiuojant bevielio tinklo teikiamą naudą ir ją įvertinus skaitine išraiška,
palengvinamas įmonių sprendimų diegti bevielį tinklą įmonėje sprendimų priėmimas.
4. Autoriaus siūloma bevielio tinklo diegimo įmonėje metodika susideda iš 3 etapų: ekonominės
bevielio tinklo diegimo įmonėje naudos apskaičiavimo, architektūrinių bevielio tinklo diegimo
įmonėje sprendimų priėmimo, bevielio tinklo diegimo įmonėje saugumo sprendimų galimybių
analizės ir sprendimų priėmimo.
5. Ši metodika yra pritaikoma visoms įmonėms, nepriklausomai nuo jos dydžio, veiklos pobūdžio,
darbuotojų skaičiaus, infrastruktūros išdėstymo. Metodikos taikymas leidžia rasti bevielio tinklo
architektūros sprendimus, atitinkančius įmonės poreikius, pritaikyti galimus bevielio tinklo
saugumo užtikrinimo priemones ir sprendimus įmonės bevielio tinklo saugumui užtikrinti.
6. Bevielio tinklo diegimo įmonėje metodika leidžia apskaičiuoti naudą įmonei dėl mobilumo suteikto
papildomos vertės sukūrimo ir kaštų sumažinimo, padeda parinkti tinkamą bevielio tinklo
architektūrą ir saugumo sprendimus, atsižvelgiant į įmonės poreikius.
7. Baigiamojo darbo tematika autoriaus paruošti ir studentų mokslinėse konferencijose pristatyti trys
pranešimai („Bevielio tinklo diegimo įmonėje metodika: efektyvumo vertinimas ir architektūriniai
sprendimai“, „Bevielio tinklo saugumo užtikrinimo būdai: lyginamoji analizė ir taikymo
sprendimai“, „Įmonės duomenų saugumo būklės vertinimas“), kurie pateikiami prieduose (priedas
Nr. 1, priedas Nr. 2, priedas Nr. 3).
51
LITERATŪROS SĄRAŠAS 1. A. Nash , B. Duane. Implementing & Managing E-Security. 2001.
2. A. Shubar, U. Lechner. Business Systems for Public WLAN Network Operators. University of Bremen, 2002.
3. A. Tham. Security Web Digest: Security Burden Moving To Private Industry.
URL: http://findarticles.com/p/articles/mi_zd4167/is_200308/ai_n9519406
4. A. Williams, A. Arbaugh, Y.C. J. Wan. Your 802.11 Wireless Network has No Clothes, 2001.
5. B. Nelson. Wireless Security Choices. Gale Group, 2004.
6. C. C. Wong, C. M. Tan, P. L. Hiew. Business Scenarios Assessment in Healthcare and Education for 21st Mentury
Networks in Asia Pacific. Proceedings of World Academy of Science. Engineereing and Technology, 2005.
7. C. Nobel. Wi-Fi Alliance to Raise Security Bar. eWeek, 2005, Vol. 22.
8. D. Brink, J. Celia. Authentication Systems for Secure Networks. 2004.
9. D. Castaneda, O. M. Alasdair, C. Vinckier. The Business Case for Enterprise-Class Wireless LANs. Cisco Press, 2006.
10. E. Danielyan. The Internet Protocol Journal, Volume 5, No. 1, March 2005.
11. F. H. Fitzek, P. Popovski, M. Zorzi. A symbolic perspective on low-cost cellular and multihop WLAN interworking
solutions. Aalborg Univ., Denmark, 2005
12. G. Fleishman. Marvell Offers 450 Mbps 802.11n. 2008.
URL: http://www.wifinetnews.com
13. G. Kardokas. Bevielio tinklo diegimo įmonėje metodika: efektyvumo vertinimas ir architektūriniai sprendimai.
Informacinės technologijos/konferencijos pranešimų medžiaga. Technologija, Kaunas, 2008. p. 11-15.
14. G. Kardokas. Bevielio tinklo saugumo užtikrinimo būdai: lyginamoji analizė ir taikymo sprendimai. Informacinės
technologijos/konferencijos pranešimų medžiaga. Technologija, Kaunas, 2008. p. 7-11.
15. G. Kardokas. Įmonės duomenų saugumo būklės vertinimas. Ekonomika ir vadyba 2008/konferencijos pranešimų
medžiaga. Technologija, Kaunas, 2008.
16. J. B. Mathews. Why are Wireless Servines Important to State and Education Leaders. Southern Regional Education
Board, 2005.
17. J. Kindervag. (Miss) Understanding Wireless LAN Security. Business Communications Review, 2007.
18. J. Salo. Coping with Business Relationships: Use of Mobile Solution to Improve Inter-Organizational
BusinessProcesses . Emerging Trends and Challenges in Informatikon Technology Management, 2006.
19. L. Yang. Architecture Taxonomy for Control and Provisioning of Wireless Access Points (CAPWAP), June 2005.
20. M. Carnegie. University‘s Software Engineering Institute.
URL: www.cert.org
21. N. Chandran, K. R. Havana. Enhancing RC4 algorithm for WEP protocol using fake character insertions and
compression technique (FCICT). Second IFIP International Conference paper, 2005.
22. R. Myers. Combine VPN and Encryption - Wireless Security. Communications News, 2003.
52
23. R. Oppliger. Security Technologies for the World Wide Web, 2nd. Edition, 2005.
24. S. Fluhrer, I. Mantin, and A. Shamir. Weaknesses in the Key Scheduling Algorithm of RC4, 2001.
25. T. Sridhar. Wireless LAN Switches – Functions and Deployment. The Internet Protocol Journal, 2006, Vol. 9, Nr. 3.
53
PRIEDAI
54
PRIEDAS NR. 1
BEVIELIO TINKLO DIEGIMO ĮMONĖJE METODIKA: EFEKTYVUMO
VERTINIMAS IR ARCHITEKTŪRINIAI SPRENDIMAI
Tarpuniversitetinė magistrantų ir doktorantų konferencija „Informacinės technologijos'08"
Gintaras Kardokas Vytauto Didžiojo universitetas, Vileikos g. 8, Kaunas
Pagrindiniu įmonės tikslu laikomas įmonės vertės didinimas gali būti realizuojamas plečiant
rinkos dalį, didinat parduodamų prekių ar paslaugų kiekį, taip pat didinant darbo organizavimo
efektyvumą įmonėje. Vienas iš efektyvumo didinimo įmonėje sprendimų yra bevielio kompiuterių
tinklo įmonėje diegimas. Naudojant bevielį kompiuterių tinklą pasiekiamas didesnis personalo
mobilumas ir darbo efektyvumas, kai reikiamą informaciją darbuotojas gali gauti būdamas bet kurioje
įmonės vietoje. Darbe pateikiama bevielio tinklo diegimo įmonėje metodika leidžia apskaičiuoti
mobilumo naudą įmonei per papildomos vertės sukūrimą ir kaštų sumažinimą, bei parinkti tinkamą
bevielio tinklo architektūrą, atsižvelgiant į įmonės poreikius. Pristatomas modelis, leidžiantis įvertinti
bevielio tinklo teikiamą naudą įmonėje. Bevielio kompiuterių tinklo architektūrinių sprendimų
pritaikymo įmonei metodika formuluojama, remiantis atliktų eksperimentinių tyrimų rezultatais.
Situacijos analizė Šiuo metu ypatingai populiarėja bevielis internetas, suteikiantis galimybę neribojamai naudotis
internetu, taip pat plinta priemonės bei įtaisai leidžiantys naudotis bevielio tinklo galimybėmis.
Bevielio tinklo (WLAN) dėka informacija pasiekiama be fizinių apribojimų (Danielyan, 2005).
Bevieliu tinklu gali naudotis visi objektai palaikantys 802.11 protokolą: personaliniai kompiuteriai
(PC), asmeniniai skaitmeniniai padėjėjai (PDA), telefonai, davikliai, radijo dažnio identifikatoriai
(RFID) ir kt.
Įmonės, norėdamos sumažinti išlaidas, bei padidinti sukuriamą vertę, gali pasinaudoti WLAN
teikiamomis paslaugomis. Panaudojant bevieliu tinklu teikiamas internetinės telefonijos paslaugas,
įmonės sumažintų išlaidos komunikacijai.
Bevielio tinklo teikiamą naudą galima apskaičiuoti įvertinus kokią įtaką darbuotojo darbo
efektyvumui daro mobilumas. Apskaičiavus bevielio tinklo naudą, pasirenkama bevielio tinklo
55
architektūra atitinkanti įmonės lūkesčius ir reikalavimus. Įmonės yra specifinės, todėl nėra racionalu
naudoti tą pačią bevielio tinklo architektūrą. Parenkant tinklo architektūrą reikia atsižvelgti į įmonės
infrastruktūrą, jos išdėstymą, poreikius (Salo, 2006). Taigi norint įsidiegti bevielį tinklą, įmonė turi
pasiskaičiuoti ar bevielio tinklo diegimas bus naudingas ir jeigu naudingas kokią bevielio tinklo
architektūrą pasirinkti.
Bevielio tinklo efektyvumo vertinimas IT infrastruktūra dažniausiai naudojama kaip įrankis kurti įmonės vertę. Pasiekus tam tikrą lygį,
IT infrastruktūra leidžia padidinti įmonės produktyvumą bei lankstumą. Įmonės produktyvumo
padidinimą galima sieti su įmonės turto, pastatų, įrengimų, darbuotojų, intelektualinės bazės, prekės
ženklų padidėjimu. Didesnį įmonės lankstumą suteikia geresnis gebėjimas pajusti išorinius ir vidinius
pasikeitimus, kurie tiesiogiai veikia įmonę (Fitzek, 2005, Mathews, 2005).
Atsakyti į klausimą, kaip WLAN padeda didinti įmonės vertę, padeda metodika, leidžianti
suprasti įmonės organizacinę ekosistemą, apibrėžti problemą, kuria reikia išspręsti, išskaidyti problemą,
bei apibrėžti WLAN sprendimus (Wong, 2005).
Nustatyti WLAN naudą yra labai sudėtinga. Dažniausiai tyrimo rezultatai neatspindi tikrosios
WLAN naudos, todėl buvo pasirinktas konservatyvesnis metodas, kai 50% vartotojų naudojasi WLAN
galimybėmis ir sutaupo tik 10 minučių per dieną. Pagal gautus rezultatus galima teigti, kad WLAN
tinklo diegimas turi atsipirkti per pirmus 6 mėnesius, bet per penkis metus, priklausomai nuo įmonės
specifikos bei dydžio, turėtų sutaupyti daugiau kaip 500.000 litų. Padidėjus vartotojų pasitikėjimui ir
WLAN galimybių išnaudojimo laipsniui, sutaupyto laiko kiekis turėtų dar padidėti, o tai padėtų
atitinkamai dar daugiau sutaupyti pinigų.
Tyrimo metu buvo kuriamas modelis, padedantis nustatyti WLAN tinklo diegimo ir
naudojimosi sukuriamą pridėtinę vertę. Įmonei užduodami atitinkami klausimai ir pagal gautus
atsakymus paskaičiuojama WLAN tinklo pridėtinė vertė. Išanalizavus pagrindinius kriterijus kurie
įtakoja sukuriamą įmonės vertę, buvo pasirinkti šie kintamieji: darbuotojo darbo užmokestis per mėnesį
(Atlm), efektyvaus darbo laiko valandų skaičius per dieną ( C ), darbo dienų skaičius per savaitę ( H ),
laikas praleistas nedarbo vietoje (Dtm), informacijos poreikis nedarbo vietoje (InfP) ir darbuotojų
skaičius ( X ). Remdamasi šiuo modeliu, kiekviena įmonė, nepaisant jos struktūros ir veiklos pobūdžio,
gali apskaičiuoti kokią naudą suteiks bevielio tinklo diegimas įmonėje.
56
Anketa:Klausimas1Klausimas2
……...
Y=(C*H*12*60)*Dtm*(Atlm/C*H*60)*Dtm*InfP
MPV=Y*X
C – efektyvaus darbo laiko valand ų skaičius per dien ąH – darbo dienų skaičius per savaitęDtm – laikas nedarbo vietoje (20%=0.2)InfP – informacijos poreikis nedarbo vietoje (30%=0.3)Atlm - mėnesis atlyginimasMPV – bevielio tinklo sukurta prid ėtinė vertė per metusX - darbuotojų skaičius
1 pav. WLAN efektyvumo įvertinimo modelis
Aukščiau pateiktame paveiksle (1 pav.) pateiktas trijų dalių bevielio tinklo efektyvumo modelis:
klausimai, skaičiavimai, gaunama WLAN pridėtinė vertė. Sukurtas modelis padeda apskaičiuoja
bevielio tinklo sukuriamą pridėtinę vertę. Tyrimo buvo skaičiuojama pavyzdinės gamybinės įmonės
WLAN sukuriama pridėtinė vertė: skaičiuojamas vidutinis darbo užmokestis 3500 Lt per mėnesį,
vidutinė vienos darbo minutės kaina 0,43 Lt, laiko nedarbo vietoje dalis 40%, informacijos nedarbo
vietoje poreikio išraiška 10%. Atlikus skaičiavimus nustatyta, kad WLAN pagalba vieno darbuotojo
sukuriama vertė per metus lygi 1680 Lt.
Įmonės sutaupyti kaštai naudojant papildomas WLAN tinklu teikiamas paslaugas (VOIP). Naudojant
VOIP teikiamomis galimybėmis, sutaupomi telefonų pokalbių kaštai. Norint įvertinti VOIP teikiamų
paslaugų naudą, reikia apskaičiuoti išlaidas skambučiams į užsienį, Lietuvos tinklus ir tarp įmonės
darbuotojų.
Pagal atliktus skaičiavimus VOIP pranašumas akivaizdus, įmonė sutaupė daugiau kaip 70.000
litų per metus. Dar galima įvertinti papildomos VOIP įrangos įsigijimo kaštus, pvz. „Skype“ telefonai,
kurių vertė 400-500 litų. Nors ir atėmus VOIP įrangos įsigijimo kaštus, įmonė sutaupė daugiau kaip
50.000 litų išleidžiamų ryšio paslaugomis.
Bevielio tinklo architektūriniai sprendimai Šiam pavyzdiniam modeliui buvo pasirinkta stambi gamybos įmonė, kurios infrastruktūra yra
decentralizuota (2 pav.). Tinklo ir serverių administravimas galimas tik prisijungus fiziškai prie
lokalaus tinklo. Įmonės darbuotojais prieina prie vidinių tinklo resursų naudodamiesi VPN pagalba.
Taip atskiriami įmonės darbuotojai ir svečiai kurie gali naudotis tik internetu. Filialų darbuotojai prie
įmonės vidinių resursų taip pat jungiasi VPN pagalba. Įmonėje yra realizuota VIOP paslauga
(„SkypeOut“), kurios pagalba įmonės darbuotojai gali skambinti naudodamiesi internetine telefonija.
57
2 pav. Didelės įmonės WLAN tinklo architektūra
Lokaliame tinkle sujungiami duomenų serveris, Proxy/DHCP/DNS serveris ir prieigos taškai.
Tinklo administratorius jungiasi fiziškai prie lokalaus tinklo. Išėjimas į internetą yra vykdomas pro
mašrutizatorių, kuriame yra įdiegta internetinė ugniasienė ir sauganti nuo nepageidaujamu prisijungimų
į vidinį įmonės tinklą. Įmonės darbuotojai jungiasi prie bevielio tinklo prieigos taško, kurio pagalba
gali išeiti į internetą. Prisijungti prie įmonės vidinių resursų darbuotojai gali pasinaudodami VPN
pagalba, kurios metu sukuriamas saugus tunelis prie įmonės vidinių resursų. Visi skambučiai vykdomi
naudojantis „SkypeOut“ paslauga. Visi skambučiai tarp įmonės darbuotojų ir „Skype“ vartotojų yra
nemokami, skambučiai į užsienį ir kitus tinklus yra apmokestinami pagal galiojančius tarifus.
Bevielio tinklo architektūros parinkimas Diegiant įmonėje ar organizacijoje WLAN tinklą būtina atsižvelgti į įmonės organizacinę
struktūra bei infrastruktūros išdėstymą. Priklausomai nuo įmonės dydžio reikia pasirinkti techninę
įrangą.
Yra trijų tipų prieigos taškai (Yang, 2005):
„Fat“ tipo prieigos taškai – tai taškai, turintys išplėstas valdymo funkcijas:
mašrutizavimą ir duomenų filtravimą. Pagrindinis „Fat“ tipo prieigos taškų trūkumas yra
jų sudėtingumas. Šie įrenginiai reikalauja galingos techninės įrangos bei sudėtingos
programinės įrangos.
„Thin“ tipo prieigos taškai – tai taškai, kuriu valdymas yra paprastesnis nei „Fat“ tipo
prieigos taškų, tačiau vykdomų funkcijų skaičius yra mažesnis. Šio tipo prieigos taškai
dažniausiai naudojami užpildyti tinklo aprėpties zonai, pavyzdžiui dideliuose
sandėliuose ar sunkiai prieinamose vietose.
58
„Fit“ tipo prieigos taškai – tai taškai, apjungiantys „Fat“ ir „Thin“ prieigos taškų
privalumus. Pagrindinis „Fit“ tipo taškų trūkumas – aukšta kaina lyginant su kitai
prieigos taškų tipais.
Mažose įmonėse dažniausiai naudojama „Fat“ tipo prieigos taškai, jų konfigūravimas yra
sudėtingas tačiau jie nereikalauja nuolatinės priežiūros, bei jiems nereikalinga papildoma valdymo
įranga. Didelėse įmonėse naudojama „Thin“ tipo prieigos taškai, jų konfigūracija nėra sudėtinga, visą
valdymą galima atlikti centralizuotai (Shubar, 2002).
Norint išsiaiškinti įmonės poreikius bei jos struktūrą, rekomenduojama suformuluoti
klausimyną. Gauti atsakymai leis sumodeliuoti įmonės WLAN architektūrą.
Atliekant tyrimą buvo projektuojama įmonės bevielio tinklo architektūra. Tyrimo rezultatai
parodė, jog vidutinė standartinio bevielio prisijungimo taško aprėpties zona yra apie 250 kv. metrų,
tačiau prisijungimo taško aprėptiems zona yra įtakojama išorinių faktorių. Norint užtikrinti stabilų
darbą, prie kiekvieno prisijungimo taško turi jungtis nedaugiau kaip 20 vartotojų.
3 pav. bevielio tinklo prisijungimo taško signalo aprėpties zona
Imamas įmonės infrastruktūros planas ir pagal jį preliminariai paskaičiuojamas prisijungimo
taškų skaičius. Skaičiavimus atlikus, testuojamas signalo aprėpties padengimas (3 pav.). Testavimas
atliekamas naudojant įprastinius darbo įrankius naudojamus jungiantis prie bevielio tinklo. Esant
signalo nepakankamumui didinamas prisijungimo taškų skaičius arba artimiausio prisijungimo taško
galingumas. Priklausomai nuo prisijungimo taškų skaičiaus pasirenkamas bevielio tinklo prisijungimo
taškų valdymo modelis.
Išvados 8. Svarbiausia bevielio tinklo (WLAN) nauda yra informacijos pasiekiamumas tame taške kur jos
labiausiai reikia.
59
9. Norint padidinti įmonės vertę, reikia investuoti į IT infrastruktūrą, kuri tiesiogiai susijusi su vertės
kūrimo procesu. WLAN pagalba įmonė suteikia savo darbuotojams daugiau mobilumo ir taip
padidina darbuotojų efektyvumą ir produktyvumą.
10. Bevielio tinklo teikiamų internetinės telefonijos paslaugų pagalba įmonė gali sumažinti išlaidas,
skirtas komunikacijai.
11. Bevielio tinklo diegimo įmonėje galimybių modelis susideda iš trijų dalių: duomenų surinkimo,
darbo efektyvumo bei įmonės kaštų pasikeitimo apskaičiavimo, sprendimo priėmimo.
12. Bevielio tinklo diegimo įmonėje metodika leidžia apskaičiuoti naudą įmonei dėl mobilumo suteikto
papildomos vertės sukūrimo ir kaštų sumažinimo, bei padeda parinkti tinkamą bevielio tinklo
architektūrą, atsižvelgiant į įmonės poreikius.
Literatūros sąrašas [1] A. Shubar, U. Lechner. Business Systems for Public WLAN Network Operators. University of Bremen, 2002.
[2] A. W. Arbaugh, N. Shankar, Y.C. J. Wan. Your 802.11 Wireless Network has No Clothes, 2001.
[3] C. C. Wong, C. M. Tan, P. L. Hiew. Business Scenarios Assessment in Healthcare and Education for 21st Mentury Networks in
Asia Pacific. Proceedings of World Academy of Science. Engineereing and Technology, 2005.
[4] E. Danielyan. The Internet Protocol Journal, Volume 5, No. 1, March 2005.
[5] F. H. Fitzek, P. Popovski, M. Zorzi. A symbolic perspective on low-cost cellular and multihop WLAN interworking solutions .
Aalborg Univ., Denmark, 2005
[6] J. B. Mathews. Why are Wireless Servines Important to State and Education Leaders. Southern Regional Education Board, 2005.
[7] J. Salo. Coping with Business Relationships: Use of Mobile Solution to Improve Inter-Organizational BusinessProcesses .
Emerging Trends and Challenges in Informatikon Technology Management, 2006.
[8] L. Yang. Architecture Taxonomy for Control and Provisioning of Wireless Access Points (CAPWAP), June 2005.
Methodology of Wireless Networks Implementation in a Company: Evaluation of Networks
Efficiency and Architectural Solutions
The main goal for a company is to increase its value which can be achieved by expanding the
market share, increasing sales volume of its goods and services, improving labour productivity. One of
the improvements aiming at achieving labour productivity is the implementation of wireless computer
network. The use of wireless computer network gives a higher degree of mobility and efficiency for
staff within the company, in particular when employee needs to access the information from any place
in the territory of a company. The paper presents the mmethodology of wireless networks
60
implementation in a company, evaluates the efficiency of wireless networks and suggests the possible
architectural solutions for wireless networks implementation. Further more, the presented
mmethodology enables to evaluate the benefits of mobility, in particular for added value creation and
costs reduction, and allows choosing the appropriate architectural solution of wireless computer
network. The presented methodology is based on the results of experimental research.
61
PRIEDAS NR. 2
BEVIELIO TINKLO SAUGUMO UŽTIKRINIMO BŪDAI: LYGINAMOJI
ANALIZĖ IR TAIKYMO SPRENDIMAI
Tarpuniversitetinė magistrantų ir doktorantų konferencija „Informacinės technologijos'08"
Gintaras Kardokas Vytauto Didžiojo universitetas, Vileikos g. 8, Kaunas
Dėl mažesnių investicijų poreikio, didesnių mobilumo galimybių vartotojams įmonėse ir
organizacijose paplito vidinių duomenų perdavimo tinklų organizavimas pasinaudojant bevieliu tinklu.
Nepaisant išvardintų privalumų, bevieliai tinklai negali užtikrinti tinklų ir informacijos saugumo.
Duomenų perdavimas bevieliu tinklu realizuojamas radijo bangų pagalba, tai padidina duomenų
keliaujančių bevieliu tinklo perėmimo ir valdymo tikimybę, lyginant su duomenų perėmimo ir valdymo
tikimybe laidiniuose tinkluose.
Nepaisant informacijos saugumo svarbos, informacijos saugumui užtikrinti yra taikomos
neišbaigtos ar netinkamos apsaugos priemonės, kurios negali pilnai apsaugoti duomenų saugumo bei
privatumo. Autoriaus tyrimo tikslas - išanalizuoti bevielio tinklo saugumo užtikrinimo galimybes ir
priemones bei palyginti bevielių tinklų saugumo standartus, išryškinant jų privalumus ir trūkumus, bei
pasiūlyti duomenų saugumo priemonių taikymo sprendimus.
Situacijos analizė 802.11 standartu pagrįsta bevielio lokalaus tinklo (angl. Wireless Local Area Network
(WLAN)) technologija atnešė daug privalumų įmonių, namų ir viešųjų vietų tinklo vartotojams
lyginant su laidinio ryšio technologija. Bevielė technologija suteikia didelių mobilumo ir
produktyvumo galimybių reikalaudama atitinkamų saugumo priemonių, kurių ne visada reikia
laidiniuose tinkluose.
Pagrindinis bevielių tinklų technologijos trūkumas yra jos saugumas. Šie tinklai pasiekiami per
kreipties taškus (access points) ar per koncentratorius. Prisijungti prie tinklo galima ne tik tam tikrame
nustatytame taške, bet ir visoje tinklo aprėpties zonoje. Dėl šios priežasties bevieliais tinklais
keliaujanti informacija yra lengvai pasiekiama, tad pagrindinis saugumo ekspertų uždavinys – užtikrinti,
kad duomenys saugiai nukeliautų nuo vieno taško iki kito.
62
Taikant neišbaigtas ar netinkamas apsaugos priemones negalima užtikrinti tinklo saugumo bei
apsaugoti nuo galimo įsilaužimo (Williams, 2001). Turint atitinkamų įrankių ir patirties, galima
pasinaudoti 802.11 standarto įvestomis WEP autentifikavimo standarto spragomis ir atlikti neleistinus
veiksmus. WEP (angl. Wired Equivalent Privacy) autentifikavimo standarto nebuvimas yra pirminė
apsaugos silpnybė (toliau bus parodyta, kad dabartiniuose WLAN tinkluose galima naudoti ir kitus
apsaugos nuo įsilaužėlių būdus), bet pats WEP standartas yra tik priemonė atbaidanti atsitiktiniams
įsilaužėliams, todėl tinklo vartotojai, tam kad apsaugotų savo WLAN tinklus, turi naudotis didesnį
saugumą suteikiančiomis technologijomis (pavyzdžiui virtualiais privačiais tinklais – virtual private
networks, VPN) (Kindervag, 2007).
Priemonės taikomos bevielių tinklų standartų apsaugai Bevielio tinklo technologija grindžiama radijo dažnio technologija, t.y. per bevielį tinklą
perduodama informacija yra nesuvaržyta daugelio fizinių barjerų. Jeigu tinkle nesiimama atitinkamų
saugumo priemonių, tinkle esanti informacija yra pažeidžiama. Vieną kartą prisijungęs prie tinklo
neautorizuotas vartotojas gali atlikti daug dalykų: neleistinai naudotis plačiajuosčiu ryšiu su internetu,
slaptai ir nelegaliai pasiklausyti tinklo duomenų srautą, įvykdyti paslaugos atmetimo ataką (denial of
service – DoS).
Bevielių tinklų saugumo padidinimui sukurtas RSN (angl. Robust Security Nerwork) saugumo
standartas. Bevielių tinklų apsaugai nuo neautorizuoto prisijungimo, RSN standartas turi sudėtingą
autentifikavimo mechanizmą (kodavimo algoritmą). Autintifikavimas remiasi išankstiniu prietaiso
tapatybės nustatymu, prieš nustatant pilną ryšį su tinklu. Prietaiso (kliento arba stoties), prijungto prie
tinklo, tapatybė patvirtinama iš tinklo pusės, o tinklo tapatybė patvirtinama iš kliento pusės.
Užmezgus abipusį ryšį, vyksta duomenų kodavimas arba šifravimas, kuris apsaugo srautą nuo
neautorizuotų įsilaužėlių slapto pasiklausymo. Saugumo mechanizmas apsaugo ir nuo neleistino
duomenų persiuntimo netinkamam adresatui, užtvirtindamas duomenų siuntėjo ir gavėjo adresus.
Vartotojų autentifikavimui 802.11 tinkluose naudojami keturi pagrindiniai mechanizmai, kurie
sąlygiškai padidina bevielių tinklų apsaugą: atviras autentifikavimas, neturintis jokio saugumo
užtikrinimo mechanizmo, bendro rakto (angl. Shared key) mechanizmas suteikiantis bendrą
prisijungimo raktą klientui ir prisijungimo taškui, kliento/serverio architektūros bevielio tinklo vardo
(angl. Service Set Identifier – SSID) mechanizmas atskiriantis skirtingus bevielius tinklus, naudojamas
paslėpti tinklams, kreipties į ryšio terpę valdymo (angl. Media Access Control – MAC) mechanizmas,
naudojantis 12 bitų klientų tinklo įrenginių adresų filtravimo mechanizmą, leidžiančio nustatyti, kurie
63
iš vartotojų gali jungtis prie tinklo. Tačiau remiantis nagrinėtais šaltiniais (Nobel, 2005, Myers, 2003)
nei vieni iš šių mechanizmų negali užtikrinti pilno tinklų bei juose esančių duomenų saugumo.
Padidinti išvardintų saugumo mechanizmų efektyvumui naudojamos papildomos tinklų
apsaugos užtikrinimo priemonės: autentifikavimo protokolai WEP (angl. Wired Equivalent Privacy),
WPA (angl. Wi-Fi Protected Access), WPA2 (angl. Wi-Fi Protected Access 2), TKIP (angl. Temporal
Key Integrity Protocol), AES (angl. Advanced Encryption Standart) IPSec (angl. Internet Protocol
Security)ir k.t.
Bevielių tinklų saugumo standartų lyginamoji analizė ir taikymas Pagal reikalavimus duomenų saugumo lygiui parenkamas saugumo standartas bevieliui tinklui
saugoti. Dažniausiai tinklo ir jame esančių duomenų saugumui užtikrinti naudojami WEP (angl. Wired
Equivalent Privacy), WPA (angl. Wi-Fi Protected Access) ir IPSec (angl. Internet Protocol Security)
saugumo standartai. Lentelėje (Lentelė 1) pateikiama šių saugumo standartų palyginamoji analizė,
palygintos jų naudojamos kodavimo bei autentifikavimo technologijos.
Lentelė 1. WEP, WPA ir IPSec saugumo standartų palyginimas.
WEP WPA IPSec
Saugumo lygis Pažeidžiamas, nesunkiai nulaužiamas
Ištaisytos WEP standarto klaidos. Sunkiau pažeidžiamas.
Sunkiai pažeidžiamas, visiškai atskirta technologija nuo 802.11 standarto.
Kodavimas Statinis raktas – pastovus, nekintantis
Dinaminis raktas – kintantis, kiekvienos sesijos metu
Viešo ir privataus rakto kodavimo mechanizmas.
Raktas įvedamas rankiniu būdu
Automatinis rakto paskirstymas
Automatinis rakto paskirstymas
Autentifikavimas Pažeidžiama, panaudotas tas pats WEP raktas.
Stiprus vartotojo autentifikavimas, panaudojant 802.11x ir EAP standartus
Stiprus autentifikavimas, panaudojant SSL/TSL standartus.
Vieta bevielio tinklo architektūroje
Tarp duomenų siuntėjo ir WLAN tinklo architektūros.
Tarp duomenų siuntėjo ir WLAN tinklo architektūros.
Tarp duomenų siuntėjo ir galutinio gavėjo.
WEP standartas naudoja RC4 duomenų srauto kodavimą, kuris keičiamas kaskart atėjus naujam
duomenų srautui. Kai naudojamas WPA standartas duomenų saugumui užtikrinti, naudojamas tas pats
64
RC4 duomenų srauto kodavimas, tačiau vietoj paprasto kodavimo rakto naudojamas TKIP (angl.
Temporal Key Integrity Protocol) kodavimas (Chandran, 2005).
Kodavimo standartas TKIP generuoja WEP rakto sekos numerį ir jį keičia kas 10.000 duomenų
paketų. Nesaugus WEP standarto statinio rakto autentifikavimas, WPA atveju, pakeičiamas dinamiškai
sugeneruotu ir autentifikacijos serverio paskirstytu raktu. TKIP naudodama raktų hierarchija ir raktų
valdymo metodologija nesunkiai pakeičia įsilaužėlių atspėjamus WEP raktus. Duomenų srauto
autentifikacijai panaudojus TKIP standarto raktų hierarchiją, nekintantis WEP standarto raktas
pakeičiamas vienu iš 500 trilijonų galimų raktų, kurie gali būti panaudoti bet kurio kito duomenų
paketo kodavimui (Fluhrer, 2001).
Vartotojų autentifikacijai WEP standartas naudoja vieną ir tą patį autentifikavimo raktą, kuriuo
jungiasi visi tinklo vartotojai. WPA saugumo standartas vietoj nekintančio autentifikavimo rakto
naudoja pažangias 802.11x ir EAP autentifikavimo technologijas, užtikrinančias saugumą naudojant
dinaminį rakto kodavimą bei abipusę autentifikaciją (Nobel, 2005).
Diegiant bevielius tinklus rekomenduojama (Nelson, 2004, Myers, 2003) pasirinkti priemonę
pagal saugomo tinklo charakteristikas ir jo rizikos laipsnį. Administruojant sistemas reiktų vengti
techninės įrangos gamyklinių nustatymų, nes įrangos gamintojai parenka nepatikimą arba netaiko
jokios bevielių tinklų saugumo sistemos, nors jų techninė įranga pilnai palaiko pažangesnius saugumo
standartus. Potencialaus įsilaužimo į sistemą pavojaus grėsmei minimizuoti, naudojamas WPA
saugumo standartas kartu su AES šifravimo technologija arba naujesne WPA versija WPA2, turinčia
AES šifravimo technologiją, .
Bevielių tinklų saugumo standartas WEP neužtikrina bevielio tinklo bei jame esančių duomenų
apsaugos, todėl naudojamas kaip prevencijos priemonė paprastiems vartotojams. Internetiniai
įsilaužėliai, pasinaudoję WEP standarto trūkumais ir specialia programine įranga, gali prisijungti prie
WEP saugumo standartu apsaugoto bevielio tinklo.
Nors WPA standartas yra pranašesnis už WEP saugumo standartą, tačiau jis negali pilnai
apsaugoti nuo DoS (angl. Denial of Service) atakų. Norint užtikrinti bevielio tinklo saugumą, reikia
taikyti vis pažangesnius apsaugos standartus, pvz., WPA+AES kombinaciją ar WPA2 saugumo
standartą. Norint atnaujinti saugumo technologiją dažnai pakanka atnaujinti tik tinklo įrenginių
programinę įrangą, nekeičiant techninės.
Visišką duomenų saugumą pasiekti sunkiai įmanoma, todėl duomenų saugumui užtikrinti,
būtina taikyti priemones galinčias maksimaliai apsaugoti bevielį tinklą ir jame esančia informaciją.
Nors duomenų šifravimo technologijos WPA + AES gali užtikrinti aukštą duomenų saugumo lygį,
tačiau šios technologijos apsaugo duomenis esančius kelyje tik tarp kliento ir duotojo prisijungimo
65
taško. Norint apsaugoti duomenų srautus, keliaujančius už bevielio tinklo infrastruktūros ribų, būtina
naudoti papildomas priemones, pvz., virtualų privatų tinklą.
Virtualus privatus tinklas (VPN) gali užtikrinti duomenų saugumą ir už bevielio tinklo
infrastruktūros ribų. Galimi įvairūs VPN sprendimai, tačiau populiariausias jų - IPSec saugumo
standartas, užtikrinantis duomenų saugumą nuo pradinio taško iki galutinio, t.y. nuo siuntėjo iki
duomenų gavėjo. Mobiliam vartotojui, IPSec duomenų saugumo protokolo pagalba, sukuriamas saugus
tunelis, kuriuo duomenys keliauja per visus bevielio tinklo elementus tarp siuntėjo ir gavėjo (Myer,
2003).
Duomenų saugumui užtikrinti IPSec saugumo standartas naudoja savo šifravimo raktus bei
technologijas, kurios yra visiškai nepriklausomos nuo bevielių tinklų standarto 802.11, tačiau IPSec
saugumo technologijos yra pilnai suderinamos su 802.11 bevielių tinklų standartu (Myer, 2003).
Naudojant IPSec saugumo technologijas kartu su bevielio tinklo saugumo technologijomis WPA+AES
pasiekiamas didelis duomenų saugumo lygis, kuris turėtų prisidėti prie bevielio tinklo tolimesnio
paplitimo versle, kur duomenų saugumas yra ypač aktualus.
Norint maksimizuoti duomenų saugumo lygį, visos bevielio tinklo saugumo užtikrinimo
technologijos turi būti taikomos kartu su duomenų saugumo politika, kuri apibrėžtų vartotojų
autorizaciją prie jiems priskiriamų duomenų resursų. Autoriaus atlikto tyrimo apie duomenų saugumo
būklę įmonėse duomenimis, beveik 25% apklaustų įmonių turėjo incidentų susijusių su duomenų
paviešinimu per praėjusius metus (1 pav.), iš jų daugiau negu pusė duomenų paviešinimo problemą
susiejo su darbuotojų tyčiniu ir netyčiniu konfidencialios informacijos išsiuntimu klaidingam adresatui,
kita dalis įvardijo duomenų saugumo pažeidimus susijusius su informacijos atskleidimu konkurentams
ir kitus incidentus. Beveik 75% respondentų atstovaujamų įmonių, neturėjo incidentų susijusių su
duomenų atskleidimu ar paviešinimu.
Tyrimo rezultatai parodė, kad dauguma apklaustųjų, atsiradus galimybei, patys pasinaudotų
juodosiomis technologijomis gaunant arba paviešinat įmonės slaptą informaciją, todėl įmonės turi
daugiau dėmesio skirti darbuotojų motyvacijai, darbuotojų identifikavimuisi su įmone ir jos
pasiekimais. Didesnis dėmesys turi būti skiriamas techninei duomenų apsaugos bazei, nes žmogiškas
faktorius išlieka.
66
75%
8% 6% 11%
0
20
40
60
80
%
Neįvyko
Įvyko, tyčinis duomenųperdavimas
Įvyko, neįvardintospriežastys
Įvyko, netyčinisduomenų perdavimas
1. pav. Duomenų paviešinimo incidentai
Tyrimo duomenimis, informaciją atskleidžia ne tiesiogiai už informacijos saugumo užtikrinimą
atsakingi darbuotojai, o kiti darbuotojai, galintys prieiti prie informacijos ir nejaučiantys tiesioginės
atsakomybės už įmonės duomenų paviešinimą. Dėl šių priežasčių vartotojams turi būti prieinami
duomenys, tiesiogiai susiję su jų atliekamomis funkcijomis, o priėjimas prie kitų duomenų apribotas.
Pavyzdžiui, paprastiems tinko vartotojams turėtų būti leidžiama naudotis ribotais tinklo resursais,
uždraudžiant priėjimą prie konfidencialios tinklo informacijos, t.y. kitų to paties tinklo (įmonės)
vartotojų duomenų.
Atlikus lyginamąją bevielio tinklo duomenų saugumo užtikrinimo lyginamąją analizę, galima
teigti, kad, norint apsaugoti bevielį tinklą ir jame esančius duomenis, reikia taikyti ne konkretų
saugumo užtikrinimo įrankį, o sprendimų visumą, pvz., kombinuojant bevielio tinklo saugumo
standartą WPA su AES šifravimo technologija, IPSec internetinio protokolo saugumo standartu ir
saugumo politika. Toks saugumo standartų kombinavimo taikymas padidins duomenų saugumą
bevieliame tinkle, padidindamas pasitikėjimą vartotojų tarpe bevielio tinklo technologijomis ir
paspartins bevielių technologijų taikymą praktikoje.
Išvados
1. 802.11 standartu pagrįstos bevielio lokalaus tinklo technologijos naudojimas atnešė daug privalumų
įmonių, namų ir viešų vietų tinklo vartotojams lyginant su laidiniu ryšiu, nes duomenų perdavimas
realizuojamas radijo bangų pagalba išvengiant nuo infrastruktūros priklausomų apribojimų.
2. Nepaisant informacijos saugumo svarbos, informacijos saugumui užtikrinti yra taikomos
neišbaigtos ar netinkamos apsaugos priemonės neužtikrinančios duomenų saugumo bei privatumo.
67
3. Dėl išryškėjusių trūkumų bei pažeidžiamumo, bevielių tinklų saugumo standartas WEP negali būti
naudojamas kaip pagrindinė tinklo ir jame esančių duomenų saugumo užtikrinimo priemonė. 4. Norint išvengti potencialaus įsilaužimo į sistemą, rekomenduojama kombinuoti bevielio tinklo saugumo standartą WPA
su AES šifravimo technologija, IPSec internetinio protokolo saugumo standartu ir saugumo politika.
5. Saugumo standartų kombinavimo taikymas padidins duomenų saugumą bevieliame tinkle, taip pakels pasitikėjimą
vartotojų tarpe bevielio tinklo technologijomis ir paspartins bevielių technologijų taikymą praktikoje.
Literatūros sąrašas [1] B. Nelson. Wireless Security Choices. Gale Group, 2004.
[2] R. Myers. Combine VPN and Encryption - Wireless Security. Communications News, 2003.
[3] A. Williams, A. Arbaugh, Y.C. J. Wan. Your 802.11 Wireless Network has No Clothes, 2001.
[4] S. Fluhrer, I. Mantin, and A. Shamir. Weaknesses in the Key Scheduling Algorithm of RC4, 2001.
[5] N. Chandran, K. R. Havana. Enhancing RC4 algorithm for WEP protocol using fake character insertions and compression
technique (FCICT). Second IFIP International Conference paper, 2005.
[6] J. Kindervag. (Miss) Understanding Wireless LAN Security. Business Communications Review, 2007.
[7] C. Nobel. Wi-Fi Alliance to Raise Security Bar. eWeek, 2005, Vol. 22.
Methods Ensuring Security of Wireless Network: Comparative Analysis and Application
Solutions
Wide use of internal data transmission network based on wireless network technology was
mainly influenced by the opportunity to save on investments and expand user mobility. Despite of all
advantages, wireless networks are not able to ensure the security of internal network data because data
transfer by wireless network is based on radio signal transmission. The possibility to take over and
control the data transmitted by wireless network is higher compared to the data transmission by wired
network.
Notwithstanding the importance of data security, the insurance of data security is implemented
mostly using inadequate and inappropriate measures, which are not able to ensure proper data security
and privacy. The aim of the paper is to examine the possibilities and measures ensuring wireless
network security, analyse the advantages and disadvantages of wireless network security standards and
propose solutions for applications of data security measures.
68
PRIEDAS NR. 3
ĮMONĖS DUOMENŲ SAUGUMO BŪKLĖS VERTINIMAS
Studentų mokslinė konferencija „Ekonomika ir vadyba 2008“
Gintaras Kardokas Vytauto Didžiojo universitetas, Vileikos g. 8, Kaunas
Situacijos analizė Informacija ir duomenys yra labai svarbūs verslo ištekliai. Naujos informacinės technologijos
suteikia vis daugiau patogių priėjimo prie informacijos būdų, tuo pačiu sukuria ir naujus jos
nutekėjimo šaltinius. Dažnai toks informacijos nutekėjimas neturi piktų ketinimų ir gali būti
nepastebimas ne tik paprastam vartotojui, bet ir informacinių technologijų specialistui. Taigi, svarbi
problema, susijusi su kompiuteriniu informacijos apdorojimu, yra didelis informacijos
pažeidžiamumas bei didesnės galimybės pažeisti informacijos saugumą, pavogti, sunaikinti arba
pakeisti duomenis.
Kadangi duomenų saugumo klausimas visada aktualus tiek verslui, tiek privatiems vartotojams,
reikalinga aptarti pagrindines duomenų saugumo problemas, duomenų apsaugos priemones, įvertinti
įmonių duomenų saugumo lygį bei pateikti rekomendacijas duomenų saugumui pagerinti.
Duomenų saugumo įmonėje užtikrinimo priemonės Įvairiuose informacijos ar duomenų apsaugos žinynuose, bei vadovuose duomenų apsauga
įvardinama įvairiai, tačiau visuose jų pabrėžiami trys pagrindiniai duomenų apsaugą (angl. Safety)
reglamentuojantys lygiai: administracinis – techninis saugumas, fizinis saugumas, teisinis duomenų
saugumo reglamentavimas.
Teminė mokslinė literatūra (Nash, 2001; Brink, 2004) siūlo keletą priemonių duomenims
apsaugoti. Šios priemonės - administracinio naudojimo, fizinio naudojimo, techninio naudojimo ir
programinio naudojimo priemonės (1 lentelė).
69
1 lentelė. Duomenų saugos priemonės.
Administracija Fizinės Techninės Programinės
Įgaliojimai ir teisės
duomenų tvarkymui;
Informavimo apie
pažeidimus sistemos
sukūrimas;
Duomenų atkūrimo
tvarkos nustatymas.
Signalizacija;
Tinklo magistralės
apsauga;
Įėjimo į patalpas
registravimas;
Kompiuterių įrangos
judėjimo kontrolė.
Tarnybinės ar tinklo stoties
standžiojo disko apsauga;
Patikimas elektros srovės
tiekimas;
Tinklo apsaugos priemonės:
ugniasienė, šifravimo
funkcijos;
Speciali kompiuterių apsauga.
Slaptažodžiai;
Atsarginės kopijos;
Antivirusinės
programos;
Įvykių
registravimas;
Šifravimas;
(šaltinis: www.security .lt)
Duomenų administracinis - techninis saugumas. Administracinis-techninis saugumas
traktuojamas kaip techninių priemonių organizavimas, siekiant užtikrinti kompiuterinėse (ir ne tik)
laikmenose saugomą informaciją. Šiam lygiui galime priskirti saugumo politikos nuostatas, kurios
aiškiai apibrėžia, kokia informacija yra saugoma, o kokia ne ir nustatomi informacijos apsaugos lygiai.
Duomenų fizinis saugumas. Jam priskiriami metodai, skirti apsaugoti aparatines ir
kompiuterinės technikos ryšių priemones nuo nelaukiamo fizinio pašalinių jėgų poveikio. Tokioms
jėgoms galime priskirti stichines nelaimes, techninius gedimus, dėl kurių galimas svarbių duomenų
sugadinimas ar sunaikinimas.
Teisinis duomenų saugumo reglamentavimas. Šiam apsaugos lygiui priskiriamas norminių
dokumentų paketo įmonėje įvedimas, kuris reglamentuotų tos įmonės darbuotojų elgesį su svarbiais
duomenimis bei duomenimis sudarančiais įmonės komercinę paslaptį.
Įmonės duomenų saugumo būklės analizė Duomenų saugumo įmonėse lygiui nustatyti buvo atliktas empirinis tyrimas, kurio metu
vykdytas įmonių duomenų saugumo būklės įvertinimas. Gauti rezultatai parodė, kad, nepaisant
tobulėjančių taikomų saugumo technologijų, išlieka didelė konfidencialių įmonės duomenų
paviešinimo grėsmė. Tyrimas apėmė administracinių, techninių, fizinių, teisinių priemonių naudojimą
įmonėse duomenų saugumui užtikrinti.
Įmonės buvo apklausiamos, gauti atsakymai analizuojami, sisteminami, ieškota koreliacijų tarp
atsakymų. Tyrime dalyvavo įvairioms verslo šakoms priklausančios smulkios ir vidutinės įmonės (nuo
5 iki 250 darbuotojų).
70
Tyrimas parodė, kad 65% respondentų terminas „saugumas“ asocijuojasi su darbo saugumu ir
tik 5% įvardijo įmonės technologinę apsaugą. Tyčinis ir netyčinis informacijos atskleidimas,
kompiuterinės sistemos apsaugos trūkumas, išorinių asmenų įsikišimas įvardijami kaip pagrindiniai
įmonės duomenų saugumui grėsmę keliantys faktoriai.
Kompiuterinės sistemos duomenų apsaugai realizuoti naudojamos antivirusinės programos,
slaptažodžiai, ugniasienės, atitinkamai 37%, 27%, 18%, reguliariai atnaujinama operacinė sistema -
18%. Aukštesnio duomenų saugumo užtikrinimo priemones - duomenų šifravimą, svarbių duomenų
izoliavimą nuo išorinio tinklo, naudoja atitinkamai 2% ir 3% apklaustų įmonių. Atjungimas nuo
išorinio tinklo naudojamas ypač aukštam duomenų saugumo lygiui užtikrinti.
Tyrimas taip pat parodė, kad įmonės labai svarbūs duomenų bei priėjimo prie jų saugumas. Šį
faktorių labai svarbiu įmonės veiklai bei konkurencingumui įvardijo beveik 90% respondentų.
Rezultatai rodo, kad šiuolaikiniame versle informacija tampa pagrindine verslo varomąja jėga.
Duomenų atskleidimas įmonėms sukeltų neigiamų padarinių (1 pav.).
57%35%
8%
Didelė Vidutinė Maža
1. pav. Informacijos praradimo reikšmė įmonės veiklai
Dauguma įmonių nurodė, kad paviešinus duomenis būtų jaučiamos pasekmės, 35% respondentų
nurodė, kad būtų jaučiamos stiprios pasekmės. Duomenų apsauga ypač aktuali įmonės, kuriančioms
intelektualų produktą, kuomet su informacijos paviešinimu, paviešinama jų produkto gamybos
paslaptis. Tik 8% apklaustų įmonių nesureikšmino duomenų praradimo, dažniausiai – nekuriančios
intelektualaus produkto, neturinčios tiesioginių konkurentų įmonės.
Beveik 20% apklaustų įmonių turėjo incidentų susijusių su duomenų paviešinimu per praėjusius
metus (2 pav.), iš jų daugiau negu pusė duomenų paviešinimo problemą susiejo su konfidencialios
informacijos išsiuntimu klaidingam adresatui, kita dalis įvardijo duomenų saugumo pažeidimus
susijusius su informacijos atskleidimu konkurentams ir kitus incidentus. Likusioji dalis, beveik 80%
respondentų atstovaujamų įmonių, neturėjo incidentų susijusių su duomenų atskleidimu ar paviešinimu.
Nelauktai, dauguma apklaustųjų, atsiradus galimybei, patys pasinaudotų juodosiomis
technologijomis gaunant arba paviešinat įmonės slaptą informaciją.
71
Tyrimo rezultatai parodė, kad įmonės turi daugiau dėmesio skirti darbuotojų motyvacijai,
darbuotojų identifikavimuisi su įmone ir jos pasiekimais. Didesnis dėmesys turi būti skiriamas
techninei duomenų apsaugos bazei, nes žmogiškas faktorius išlieka.
75%
6%
8%11%
Neįvyko Įvyko, neįvardintos priežastysĮvyko, tyčinis duomenų perdavimas Įvyko, netyčinis duomenų perdavimas
2. pav. Duomenų paviešinimo incidentai
Tyrimo duomenimis, informaciją atskleidžia ne tiesiogiai už informacijos saugumo užtikrinimą
atsakingi darbuotojai, o kiti darbuotojai, galintys prieiti prie informacijos ir nejaučiantys tiesioginės
atsakomybės už įmonės duomenų paviešinimą. Tyrimas leidžia nustatyti įmonės duomenų saugumo
padėtį, parodo darbuotojų nepasitenkinimą esama saugumo situacija, tačiau parodo darbuotojų
neatsakingumą naudojantis konfidencialia informacija.
Išvados 1. Įmonių teisinė, technologinė, administracinė bazės nėra pakankamos duomenų saugumui
užtikrinti. Įmonių darbuotojai nėra patenkinti esama saugumo situacija ir nejaučia atsakomybės
dėl duomenų saugumo užtikrinimo ir paviešinimo.
2. Aplaidus įmonių požiūris į duomenų apsaugą sudaro sąlygas nutekinti informaciją nebijant
galimų pasekmių nei įmonei, nei pačiam darbuotojui.
3. Sugiežtinus administracines, fizines, teisines duomenų apsaugos užtikrinimo priemones galima
tikėtis teigiamų rezultatų duomenų apsaugos sustiprinime. Darbuotojas turi gauti informaciją
apie kad savo veiksmais gali nutekinti informaciją ir jam reikės prisiimti visą atsakomybę
reglamentuotą įmonės reglamentuose.
Literatūra 1. M. Carnegie. University‘s Software Engineering Institute. Prieiga per internetą: www.cert.org
2. Informacijos sauga valstybės institucijų ir įstaigų darbuotojams. Prieiga per internetą:
http://web.esaugumas.lt/storage/VRM/pdf/13_skyrius.pdf
3. A. Tham. Security Web Digest: Security Burden Moving To Private Industry.
72
Prieiga per internetą: http://findarticles.com/p/articles/mi_zd4167/is_200308/ai_n9519406
4. R. Oppliger. Security Technologies for the World Wide Web, 2nd. Edition, 2005.
5. D. Brink, J. Celia. Authentication Systems for Secure Networks. 2004.
6. A. Nash , B. Duane. Implementing & Managing E-Security. 2001.
Evaluation of Information Security in the Company
Information and data are critical factors for every company. New information technologies offer the
increasing number of more convenient ways to access the information; on the other hand it gives easier
and unauthorised access to confidential data. The leak of information is mostly done without pursuing
bad intentions and usually unnoticed not only by the user itself, but even by the information technology
professional.
The issue of data security is important as never before equally for business and personal use, therefore
the paper analyses topical problems of data security, reveals data security measures, evaluates the level
of data security in the companies, and finally presents a number of recommendations how to improve
the level of data security.