2. Содержани
е
Введение
Возможности современных WLAN
Безопасность: современные
возможности WIPS и противодействие
rogue APs, механизмы защиты.
Выводы
“Мы подняли feedback с прошлогодней сесии.
Мы опрашивали участников после виртуального дня.
Просьба учесть в докладе Сергея, если возможно:
- Безопасность беспроводных сетей 802.11
- wireless security mistakes
- больше про беспроводные сети
- Беспроводные технологии.
- безопасность беспроводных сетей
- Возможности современных беспроводных сетей Cisco –
только в полном варианте - а не "галопом по Европе" как это было сегодня”
3. Введение
Развитие беспроводных сетей в мире
Беспрецедентные темпы
WLAN (Мощные, полнофункциональные сети предприятий)
Домовые сети
Соединение удаленных проводных сетей на большие расстояния
Мониторинг безопасности, системы позиционирования
Mesh сети уличного и внутриофисного исполнения
4. Введение
Развитие Outdoor-mesh и прото outdoor беспроводных сетей в мире
Потребители:
Провайдеры
Широкополосный доступ
Муниципальные сети
Транспорт
Нефте-газо добыча/транспортировка
5. Введение
Локальные сети с контроллером vs :
Единая система организации WLAN.
Гибкая система управления безопасностью
(встроенные механизмы обнаружения вторжений).
Высокая производительность.
Встроенная система отслеживания перемещений.
Уменьшение затрат на развертывание и поддержку сети.
Простота управления беспроводной сетью большого масштаба.
Облегчен Site Survey.
Сравним со standalone решениями…
6. Введение
Локальные сети с контроллером:
Автоматическое управление
производительностью сети:
Восстановление
покрытия
выходе из строя какой-либо АР
при
В случае перегрузки, переключение
новых пользователей
Настали времена, когда уже не нужно доказывать ценность централизованного управления
7. Введение
Точки доступа:
AP500, 100, 300, 600, 700, 1040, 1130, 1140, 1200, 1240, 1250, 1260, 1600, 2600,
3500, 3600, 3700, 1300, 1400, 1500, 1520, 1530(замена1310), 1550…
Модули: WSSI – Wireless security, 3G Small Cell – до 16 LTE клиентов(для опсосов)
И видимо будут новые модули для поддержки второй волны 802.11АС (3.5Gb, MU-MIMO)
3700
3600 3500
1260
1140
1040
600
1550
Скорость, Mb
1.3/450
450+
300
300
300
300
300
300
CleanAir
Для ас
да
да
ClientLink
3.0
2.0
Да
да
да
Rougue Detection
да
да
Да
да
да
да
WIPS
да
да
да
да
да
Да
Да
да
Office Extend
Да
Да
FlexConnect
да
да
да
да
да
да
Mesh
да
да
да
да
да
да
В 7.2
Да
8. Новое
МЕРАКИ :
Купите точки (500-800$) и лицензию на обслуживание вместо контроллера
(150$ per AP/Year). Обслуживать точки будет виртуальный контроллер,
Расположенный где-то в Cisco )) управлять/анализировать можно через WEB.
Точки будут работать примерно как в FlexConnect…
???
9. Новое
Контроллеры свежие :
Enterprise, Campus…
Branch Mobile
Для HREAP АР
5700
SO-Medium Office
5500 Series
WiSM2
2500(4GEth)
WLCM2
AP 5/15/25/50 , 500 User-ов
300 Мбит
Виртуальный
контроллер
7.3,4,5
На подходе версия 8.0 ?
AP 12 – 500
7000 – 10000 User-ов
8 – 10 GEth
Switch/controller:
3650
3850
1000ар
60gb
12000users
Flex 7500 и 8500
AP 500 – 6000
64000 User-ов
2*10Ge
Спецконтроллер
Для FlexConnect
(бывш. HREAP) точек
Local mode AP is not supported
Inter Controller mobility is not supported
LAG is not supported on WLC 7500
Data DTLS is not supported
Client and RFID Tag location is not supported
Voice CAC is not supported
Reliable multicast (Media Stream feature) is not supported
WGB is not supported
WLC 7500 platform will not be certified with FIPS
11. Новое
Контроллеры, свежие решения
Virtual 7:
vWLC – решение для небольших/средних филиалов . VMWare позволяет
Нам разместить в одной коробке несколько сервисов:
Hardware: Cisco UCS, UCS Express, HP and IBM servers
VMware OS: ESX/ESXi 4.x/5.x
FlexConnect Mode: central and local switching
Maximum APs: 200
Maximum клиентов: 3000
Throughput performance up to 500 Mbps per virtual controller
Management with Cisco Prime Infrastructure 1.2 and above
All 802.11n APs with required software version 7.3 are supported.
APs will be operating in FlexConnect mode only.
AP autoconvert to FlexConnect is supported on controller.
New APs ordered will ship with 7.3 software from manufacturing.
Existing APs must be upgraded to 7.3 software before joining a virtual controller.
ЧЕГО НЕТ: Data DTLS, OEAP (no data DTLS),Rate Limiting,Internal DHCP server, Mobility/Guest
Anchor, Multicast-Unicast mode, PIMIPv6, Outdoor Mesh Access Points( an Outdoor AP with
FlexConnect mode will work)
13. Введение
Локальные сети (ПО):
Cisco Prime Infrastucture: вырос из WCS, NCS(+LMS) и позволяет управлять и
диагностировать и коммутаторы доступа и АР и контроллеры и MSE с
поддержкой wIPS, CleanAir.. То есть налицо универсальная система управления
Всем.
Может работать совместно с Cisco Identity Service Engine, который
в свою очередь вырастает из Cisco Secure ACS и NAC
И который (в свою очередь) может обеспечивать MDM..
Cisco Prime Infrastructure 2.0
09/2013 (4.5Gb)
WCS – 7.0.240 (01/2013)
Край.
14. Безопасность 802.11 – вопрос N 2 !
Непротокольные угрозы:
Неадекватный Site Survey
Внешние антенны, Wi Mesh
PCI DSS, Защита персональных данных : Welcome to the IAUWS Course ))
15. Классическая безопасность WLAN. Шифрация
и аутентификация, тут все просто:
AES vs WEP(TKIP):
AES 128 – лучше, чем WEP(TKIP)
PSK vs 802.1x:
802.1х - лучше чем его отсутствие
PEAP, EAP-TLS, EAP-FAST.
Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode…
17. Безопасность WLAN
AP и контроллер
Новый протокол CAPWAP, разработан для работы
Точек доступа не только WiFi (RFC5415)
CAPWAP Tunnel (UDP 5246, 5247)
Управление - DTLS
Данные – DTLS (опционально 6.0)
CAPWAP может быть только L3
Взаимная аутентификация —X.509
19. Безопасность WLAN
NAC Framework
Доступ в сеть
Client
Access
Point
RADIUS
Server
ACS 4.x
Более «дешевый» способ:
По-запросное управление доступом
NAC
Server
Vendor X
21. Безопасность WLAN
Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT..
Зачем нужны отдельные устройства:
Дискретизация обычных wifi интерфейсов
5MHz, а у этих имеется спец.чип – 125 KHz
Т.е. вместо мутного пятна они видят четкую сигнатуру
22. Безопасность WLAN
Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT..
Что же нужно?
1. CleanAir точка доступа
2. Контроллер 7.х
[3.] WCS/Prime
[4.] MSE
AQI
WCS/Prime дает дэшборд, централизацию, отчеты,карты
MSE – трэкинг, более точные PMAC,большую точность, зоны..
26. Безопасность WLAN
Этапы борьбы с злодеями:
Прослушивание всех устройств и анализ информации из
beacon пакетов.
Отслеживание проводных подключений и трассировка их.
Блокировка портов на switch-ах, определение местоположения
На карте.
Включение режимов подавления.
«Физическое» устранение проблемы. (по возможности)
27. Безопасность WLAN
Мониторинг врагов:
АР может следить как в обычном (Local), так и в специальном (monitor)
режимах. Далее следует классификация:
Rogue Rule:
SSID: tmobile
RSSI: -80dBm
Detected as
Rogue
Marked as
Friendly
Rogue Rule:
SSID: Corporate
RSSI: -70dBm
Marked as
Malicious
Rogues
Matching No
Rule
Marked as
Unclassified
33. Безопасность WLAN
IDS и wIPS:
Базовая IDS присутствует в контроллерах по умолчанию.
Для реализации IPS понадобится MSE !
Отличия:
- MSE собирает информацию от контроллеров и только потом докладывает
на WCS.
-База данных атак существенно больше.
- Есть возможность «захвата» атаки для анализа
- Отчеты за период
- Меньше вероятность ложных срабатываний
36. Безопасность проводных сегментов
Чтобы не думать о безопасности в проводах используй это:
Internet
Virtual Anchor Controller
SSID: GUEST
Rate Limit = 500Kbps
Internet Routers
External Services
External DNS server
WEB Server
WLC
Tunnel to Virtual Anchor
Гостевой доступ
External Firewall
G
G
External DMZ
SSID Client Default Gateway
G
2
WAN
Remote Office
1
SSID: Internal
SSID: GUEST
Remote Office
2
SSID: Internal
= GUEST
1
= Internal 1
= Internal 2
38. Курсы:
Все, к чему вы привыкли в Redcenter, теперь
находится в учебном центре Ментор!
Преподаватели, оборудование, учебные
классы и конечно печенье.
Все на том же месте.
TC-MENTOR.RU
…
39. СПАСИБО ЗА ВНИМАНИЕ!
Контакты:
Сергей Монин
CCIE, CCSI, CQS, ENS, ENA,чего-то еще…
sm@arccn.ru http://tc-mentor.ru
Тел.: +7 (495) 984-2764
Москва, Киевское шоссе, Бизнес-парк Румянцево,
TC MENTOR/ARCCN