U zrodu společnosti Aruba Networks stála myšlenka tzv. ?mobile edge?, tedy koncepce mobilního bezdrátového rozhraní, které se bude pohybovat spolu s uživatelem. Byla to myšlenka naprosto odlišná od tehdejší situace v oblasti síťových technologií, kdy bezdrátová síť (WiFi) byla pevně svázána s podnikem a představoval pouze lokální rozšíření podnikové sítě. Hlavním cílem tedy bylo vytvořit bezpečný, praktický a ekonomicky výhodný způsob připojení mobilních uživatelů k síťovým prostředkům. Tuto myšlenku shledali v roce 2002 jako velmi zajímavou společnosti Matrix Partners a Sequoia Capital a společně založili společnost Aruba Networks.

Od té doby se společnost Aruba Networks vypracovala na pozici světové dvojky na trhu bezdrátových technologií. Svým zákazníkům nabízí komplexní řešení sítí WLAN s kompletní centrální správou a s extrémním důrazem na bezpečnost.

Od konkurenčních řešení se odlišuje zejména svým přístupem k otázce bezpečnosti bezdrátových sítí:

• Celá bezdrátová síť je spravována centrálně

Jednotlivé přístupové body jsou ve svém principu velmi jednoduché. Zajišťují pouze dvě základní funkce: bezdrátovou komunikaci s koncovými uživateli a vytvoření IPSec tunelu mezi AP a centrálním kontrolerem. Veškerá uživatelská data jsou z jednotlivých AP odesílána v rámci vytvořeného IPSec tunelu na centrální kontroler, který obsahuje veškerou logiku a provádí všechny bezpečnostní funkce.

Tento přístup bývá také označován jako metoda tenkých přístupových bodů (?thin AP?). Centrální správa všech AP efektivně zjednodušuje a automatizuje jinak poměrně problematickou konfiguraci RF parametrů bezdrátové sítě. Jednotlivá AP se ?slyší? mezi sebou a kontroler periodicky vyhodnocuje zjištěné parametry, které použije pro automatickou úpravu vysílacího výkonu, nastavení nejvhodnějšího kanálu a dalších parametrů.

• Síť je vytvořena jako tzv. ?user-centrická?

Všechna data, která přijdou z jednotlivých přístupových bodů, jsou v závislosti na uživateli rozdělena do samostatných kategorií. V celé síti tak může existovat v rámci jediného SSID celá řada různých skupin s různými právy přístupu a omezeními. Přiřazení konkrétní skupiny se neprovádí podle geografické polohy nebo specifického SSID, ale na základě identity uživatele, který k síti přistupuje. Uživatel tak má stejná práva a podléhá stejným omezením ať už se k síti připojí v kterékoliv pobočce, z domova, nebo z hotelu. Uživateli díky pokročilému L2 i L3 roamingu zůstává dokonce stále stejná IP adresa bez ohledu na změnu geografické polohy.

Otázka bezpečnosti je prioritou již od založení společnosti a je proto řešena komplexně na několika úrovních. První kontrola se provádí již na úrovni bezdrátového přístupu (detekce a eliminace falešných AP, wireless IPS, analýza spektra). Mezi bezpečnostní prvky na linkové a síťové vrstvě patří kromě samotného šifrování také autentizace, přidělování VLAN podle AAA a uživatelská karanténa. Na aplikační úrovni jsou pak bezpečnostní prvky doplněny o možnosti stavového firewallu, IPS, VPN, nebo kontroly anomálií provozu.

Díky kombinaci uvedených vlastností máme k dispozici bezdrátovou síť s unikátními vlastnostmi:

• Možnost přesné kontroly identity uživatelů přistupujících k síti

O každém uživateli připojeném do vnitřní sítě jsou k dispozici v každém okamžiku kompletní informace o jeho identitě (kdo přistupuje do sítě, na jakém geografickém místě, jaký k tomu využívá hardware, jaké zdroje má k dispozici). Veškerá uživatelská data jsou navíc zpracována firewallem a systémem IPS.

• Bezproblémový a rychlý roaming

Uživatel se může připojit k libovolnému AP, jeho data vždy zpracovává centrální kontroler. Uživateli tak zůstává stále stejná IP adresa, což v kombinaci s plynulým předáváním mezi jednotlivými AP umožňuje např. bezproblémové využití technologie VOIP v rozsáhlých budovách a komplexech.

• Jednoduchý vzdálený přístup

Kromě standardních metod vzdáleného přístupu do korporátní sítě nabízí Aruba ještě další zajímavou metodu vzdáleného přístupu. Uživatel má k dispozici malé přenosné AP, které po připojení k Internetu na libovolném místě naváže automaticky IPSec tunel se svým mateřským kontrolerem a uživatel tak získá na libovolném místě přístup přímo do své domovské bezdrátové sítě (stejné SSID, stejná šifrovací metoda, stejná IP adresa přidělovaná stejným DHCP serverem?)

• Šifrovaná komunikace

Veškerá komunikace mezi přístupovými body a kontrolerem je chráněna pomocí IPSec nebo GRE tunelu. Případný útočník tak nemá možnost získat přístup k nešifrovaným uživatelským datům.

• Možnost zapojení v režimu vysoké dostupnosti

Jak centrální kontrolery, tak jednotlivé přístupové body lze zapojit v režimu vysoké dostupnosti. Síť navíc neustále kontroluje vlastní pokrytí (využívá k tomu jak samotné AP, tak specielní zařízení tzv. air monitory) a stav jednotlivých AP, což v kombinaci s automatickým řízením RF umožňuje automaticky nahradit nefunkční apod.