Autoři případové studie: Ing. Jan Petera - konzultant, Petr Zástěra - konzultant, SIMAC TECHNIK ČR, a.s., konzultant

Na následujících řádcích se pokusíme stručně popsat naše zkušenosti s implementací wi-fi sítě v nemocničním prostředí, především v souvislosti s vhodným umístěním AP, propojením na wifi IPT a poskytováním hot-spot přístupu a popíšeme i některé ne zcela běžně využívané bezpečnostní funkce jako je např. Rough AP tracking.

Krátce k historii

Oním nemocničním prostředím je Všeobecná fakultní nemocnice na Karlově náměstí. První přístupový bod Cisco Aironet 1121 v pásmu 802.11b zde byl instalován zhruba před šesti lety. V té době se začínalo  samozřejmě se standardním distribuovaným systémem – co přístupový bod to plnohodnotná wifi síť s veškerým nastavením. Pilotního provozu se zúčastnily dvě odvážné kliniky. Zhruba po dvou letech poklidného provozu přišla menší revoluce, Cisco koupilo firmu Airspace a tím pádem i systém centralizované správy přístupových bodů. Na tuto výzvu nešlo nereagovat a také díky získaným dotacím bylo možné zakoupit dva servisní centralizované řídící moduly WiSM do hlavních přepínačů Cisco Catalyst 6500 a zároveň došlo k podstatnému rozšíření pokrytí téměř na všechny kliniky se zaměřením především na lůžkové části a čekárny. Poté, co si instalace v tomto větším rozsahu „sedla“ a byly řádně otestovány především datové přenosy, se postupně začaly přidávat rozšiřující funkce (např. hlasové přenosy).

Umístění přístupových bodů

Automatický návrh v jednoduchých prostorách
Na první pohled triviální záležitost, na druhý obtížně řešitelný problém. Pokud navrhujeme pokrytí wifi pro moderní kanceláře typu „open space“, asi není co řešit. Otevřené prostory jsou oddělené maximálně sádrokartonovými příčkami. Přístupové body lze povětšinou umístit do podhledů, takže se stanou „neviditelnými“. Pozor je třeba si dávat pouze na „kuchyňky“ vybavené mikrovlnkami, kanceláře, které jsou uzavřeny skleněnými stěnami s pokovením, případně jsou vybaveny spouštěcími hliníkovými žaluziemi a masivní kovové klimatizační trubky a jednotky. Implementátor se zde může o to víc zaměřit na návrh správného počtu AP především vzhledem vyšší koncentraci lidí v některých částech kanceláří (zasedačky), případně pro lepší propojení wifi sítě se systémy pro lokalizaci osob a předmětů. S úspěchem lze zde použít automatizované nástroje pro návrh umístění AP, v případě Cisca např. plánovací mód v systému WCS a místa pak pouze lehce doladit.

Ruční návrh v komplikovaných prostorách
Ruční návrh je ve většině lokalit nemocnice nezbytností. V historických budovách je materiál stěn a stropů opravdu různorodý – od 2cm sádrokartonu po metrové kamenné stěny a klenby. V tomto případě přichází na řadu zkušenost a především proměření signálu na místě.

Používáme většinou programy Airmagnet Surveyor a Ekahau Site Survey, přístupové body typu Aironet 1242 nebo 1250 a několik typů antén všesměrových a sektorových antén.

Standardní parametry wifi, se kterými počítáme při návrhu

• Průměrná propustnost na klienta. Závisí na použitém protokolu 802.11, síle signálu a hustotě AP. Typické hodnoty pro pásmo 802.11b jsou do 6Mbps, pro pásmo a/g okolo 24 Mbps a pro pásmo 802.11n okolo 30Mbps. Čím vyšší je síla signálu, tím větší je i propustnost, ale pouze do určité hodnoty. Pro pásmo 802.11b je to hodnota -75dBm, pro pásma 802.11 a/g/n je to -50 až -65dBm. Větší hodnoty síly signálu pouze zhorší nežádoucí interference mezi AP a nepřinesou zvýšení propustnosti.

• Přenosové rychlosti. Standardně zakazujeme rychlosti pod 12Mbps, především kvůli hlasu, kde jsou optimální hodnoty okolo 24Mbps. Klienti v pásmu 802.11b nejsou podporováni.

• Využití pásem. K hlasovému provozu využíváme pouze pásmo 802.11a, což částečně eliminuje aktuální problém se zarušením pásem B a G v městech oblastech a aglomeracích. K datovému provozu používáme všechny dostupné pásma.

• Ruční přiřazení kanálů. Mikrovlnné trouby pracují často v pásmu 2450MHz, které zasahuje do 8-9 kanálu 802.11g. AP v jejich dosahu proto umísťujeme ručně do kanálu číslo 1.

• Ostatní uvažované parametry
  – Vysílací výkon klienta > než 15 dBm
  – Šum pozadí zhruba -90 dBm
  – SNR (Signal to Noise Ratio) cca 25 dB
  – Z toho vyplývající RSSI okolo -65dBm
  – Maximálně 15 klientů na jedno AP
  – Přechod/roaming mezi AP – 40ms pro L2 (stejný kontrolér), 50ms pro L3 (různé kontroléry)

Plánovací mód v systému WCS
Plánovací mód umožňuje automaticky navrhnout ideální počet AP pro danou lokalitu. Aby byl výsledek uspokojivý, je nutné předem na mapových podkladech vyznačit útlumy jednotlivých stěn, oken a dveří, případně provést kalibraci RF modelu pro danou lokalitu.

Jako vstupní parametr pro návrh lze WCS zadat např. typ AP, externí antény, pásmo, max. počet využitelných AP nebo převažující druh provozu (data, hlas, lokalizace, monitorovací mód). Následují ukázky výstupu z plánovacího modulu.

Zabránění odcizení
Ve veřejných prostorách je třeba také počítat s případným odcizením AP. Tomu zabraňujeme několika způsoby:
  •ukrytím AP do podhledů (vhodné řešení, nelze vždy použít)
  •umístěním AP do větší výšky (3m, bohužel to znamená i zhoršený přístup pro obsluhu)
  •připojením AP do 24h monitorovacího centra (příliš dlouhá reakční doba)
  •přítomnost kamer ve veřejných chodbách (může odradit)
  •zamknutím AP ke kovovému držáku (při použití síly lze bohužel vytrhnout i s hmoždinkami ze zdi)
  •uzavření AP ve speciálním pevném boxu (koukají pouze antény, tolik neláká, odolnější než kovový držák)
  
Realizace hotspotu

Kromě standardních datových sítí se zabezpečením a hlasové sítě je zprovozněn i komfortní hotspot pro guest přístup. Návštěvníci nemocnice mají automatický dvouhodinový přístup do Internetu, pacienti mají přístup po celou dobu hospitalizace. Z webového administračního rozhraní lze vygenerovat i speciální VIP účet s portově neomezeným přístupem do Internetu. Uživatelům je blokován přístup na nevhodné stránky, lze je přiřadit do určité QoS skupiny a omezovat jejich propustnost do Internetu. Součástí je i podrobný monitoring vytížení datového pásma.

Vyhledávání neautorizovaných (rough) AP

AP, která jsou v infrastruktuře umístěná „načerno“ jsou noční můrou většiny administrátorů . Způsobují značné bezpečnostní riziko, protože často jsou nezabezpečená a útočník může jednoduše získat přístup do vnitřní datové sítě. Ve VFN se tento problém řeší pomocí těchto metod:  eliminace (containment)  a přímá lokalizace (switch port tracing) těchto nežádoucích AP.

Princip eliminace
Při eliminaci autorizovaná AP, která detekují nežádoucí AP posílají pravidelně deasociační zprávy klientům, kteří se chtějí k neautorizovanému AP připojit. Klientu je v podstatě znemožněno, případně velmi ztíženo připojení k takovémuto AP.  Při použití této metody je ale třeba velmi přesně rozpoznat zda jsou neautorizovaná AP umístěna v areálu nemocnice nebo zda to jsou legální AP v přilehlých budovách okolních soukromých subjektů.

Princip lokalizace
Druhou metodou je lokalizace a odstranění neautorizovaného AP přímo na datovém přepínači. Autorizovaná AP posílají centrálnímu kontroléru pravidelný report o AP, která neznají (vysílají neznámé SSID, nejsou v databázi sousedů). Kontrolér se poté pokusí nalézt MAC adresu neautorizovaného AP nebo klienta, který se k němu připojuje  na konkrétním portu datového  přepínače v nejbližším okolí.

Implementace hlasů do WIFI sítě VFN

Historie
V návaznosti na již implementovanou IP telefonii na platformě Cisco vznikl po konverzi WLAN řešení na centralizovaný požadavek provozního nasazení WIFI telefonních přístrojů do stávající struktury IP telefonie a to pokud možno s využitím duálních koncových zařízení (např GSM telefony se Symbian S60 OS a SIP klienty)

Realizace řešení
Řízení signalizace je zajištěno Callmanager Clusterem složeným ze dvou serverů, ve verzi CUCM 7.X.

Přístup do PSTN a prastaré analogové PBX je zajištěn pomocí dvojice hlasových bran v modu MGCP s E1 trunkem se signalizací QSIG.

Celá tato primární část včetně datových tras je řešena duplicitně, tudíž umožňuje funkčnost systému v režimu vysoké dostupnosti zajišťující maximální funkční spolehlivost.
 
Na kontroléru je pro hlasový provoz dedikována SSID, jejíž provoz je prioritizován na úroveň „platinum“ tj. do prioritní fronty. Po celé přenosové trase je na rozhraních aktivních prvků priorita paketů při přechodu do a z LWAPP tunelu adekvátně přemapována do prioritní fronty.

Koncová zařízení – WIFI telefony
Jako koncová zařízení byly v pilotním projektu použity přístroje Cisco 7920  (802.11b), finálně byly nahrazeny novou generací Cisco 7921, nově jsou postupně uváděny do provozu nové telefony Cisco 7925 (obojí 802.11ag). Výhodou těchto nativních zařízení je použitá signalizace SCCP – Skiny protokolem umožňující maximálně využít sadu funkcí dostupnou na Cisco CallManageru, jako jsou extension mobility, adresáře, xml služby a další.

Sekundárně jsou použity GSM telefony Nokia E-series s integrovaným WI-FI adaptérem a podporou SIP protokolu. Na této platformě sice existuje aplikace Nokia Intellisync for Cisco, která rovněž přináší funkcionalitu na SCCP protokolu, ale vzhledem k licenčním nákladům toto řešení není využito. Telefony využívají signalizaci SIP, tudíž jsou licencovány pouze na straně CallManageru. Nokie jsou většinou konfigurovány s paralelními klapkami ke stacionárním telefonům a s výhodou je využívají mobilní zaměstnanci – především sestry na lůžkových částech, kdy příchozí hovory nemusí být směrovány na jejich GSM.

Cisco v řešení bezdrátových centralizovaných řešení s výhodou uplatňuje své funkční rozšíření WLAN standartu: CCX – Cisco Compatibility Extension. Aktuálně existují verze 1-5, kdy vznik verze 1 se datuje do roku 2001. Původně byl koncept zaměřen na rozšíření a zajištění bezpečnostních algoritmů, v dalších verzích pak přibyly i funkční rozšíření, jako jsou QOS, Roaming a power saving funkce. Koncová zařízení různých výrobců jsou certifikována certifikačními autoritami na kompatibilitu s danou verzí CCX.

Telefony Cisco 7921 splňují CCX v. 4 a Nokia E-series dle typu verzi 3 nebo 4. Pro optimální funkci v centralizovaném řešení je vhodné zvolit zařízení s CCX alespoň ve verzi 3.

802.11x | QoS | Wi-Fi