Функциональность современных беспроводных сетей Cisco
Upcoming SlideShare
Loading in...5
×
 

Функциональность современных беспроводных сетей Cisco

on

  • 754 views

 

Statistics

Views

Total Views
754
Views on SlideShare
754
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Функциональность современных беспроводных сетей Cisco Функциональность современных беспроводных сетей Cisco Presentation Transcript

  • Функциональность современных беспроводных сетей Cisco Сергей Монин 18/11/2013
  • Содержани е  Введение  Возможности современных WLAN  Безопасность: современные возможности WIPS и противодействие rogue APs, механизмы защиты.  Выводы “Мы подняли feedback с прошлогодней сесии. Мы опрашивали участников после виртуального дня. Просьба учесть в докладе Сергея, если возможно: - Безопасность беспроводных сетей 802.11 - wireless security mistakes - больше про беспроводные сети - Беспроводные технологии. - безопасность беспроводных сетей - Возможности современных беспроводных сетей Cisco – только в полном варианте - а не "галопом по Европе" как это было сегодня”
  • Введение Развитие беспроводных сетей в мире  Беспрецедентные темпы  WLAN (Мощные, полнофункциональные сети предприятий)  Домовые сети  Соединение удаленных проводных сетей на большие расстояния  Мониторинг безопасности, системы позиционирования  Mesh сети уличного и внутриофисного исполнения
  • Введение Развитие Outdoor-mesh и прото outdoor беспроводных сетей в мире Потребители: Провайдеры Широкополосный доступ Муниципальные сети Транспорт Нефте-газо добыча/транспортировка
  • Введение Локальные сети с контроллером vs : Единая система организации WLAN. Гибкая система управления безопасностью (встроенные механизмы обнаружения вторжений). Высокая производительность. Встроенная система отслеживания перемещений. Уменьшение затрат на развертывание и поддержку сети. Простота управления беспроводной сетью большого масштаба. Облегчен Site Survey. Сравним со standalone решениями…
  • Введение Локальные сети с контроллером: Автоматическое управление производительностью сети:  Восстановление покрытия выходе из строя какой-либо АР при  В случае перегрузки, переключение новых пользователей Настали времена, когда уже не нужно доказывать ценность централизованного управления
  • Введение Точки доступа: AP500, 100, 300, 600, 700, 1040, 1130, 1140, 1200, 1240, 1250, 1260, 1600, 2600, 3500, 3600, 3700, 1300, 1400, 1500, 1520, 1530(замена1310), 1550… Модули: WSSI – Wireless security, 3G Small Cell – до 16 LTE клиентов(для опсосов) И видимо будут новые модули для поддержки второй волны 802.11АС (3.5Gb, MU-MIMO) 3700 3600 3500 1260 1140 1040 600 1550 Скорость, Mb 1.3/450 450+ 300 300 300 300 300 300 CleanAir Для ас да да ClientLink 3.0 2.0 Да да да Rougue Detection да да Да да да да WIPS да да да да да Да Да да Office Extend Да Да FlexConnect да да да да да да Mesh да да да да да да В 7.2 Да
  • Новое МЕРАКИ : Купите точки (500-800$) и лицензию на обслуживание вместо контроллера (150$ per AP/Year). Обслуживать точки будет виртуальный контроллер, Расположенный где-то в Cisco )) управлять/анализировать можно через WEB. Точки будут работать примерно как в FlexConnect… ???
  • Новое Контроллеры свежие : Enterprise, Campus… Branch Mobile Для HREAP АР 5700 SO-Medium Office 5500 Series WiSM2 2500(4GEth) WLCM2 AP 5/15/25/50 , 500 User-ов 300 Мбит Виртуальный контроллер 7.3,4,5 На подходе версия 8.0 ? AP 12 – 500 7000 – 10000 User-ов 8 – 10 GEth Switch/controller: 3650 3850 1000ар 60gb 12000users Flex 7500 и 8500 AP 500 – 6000 64000 User-ов 2*10Ge Спецконтроллер Для FlexConnect (бывш. HREAP) точек Local mode AP is not supported Inter Controller mobility is not supported LAG is not supported on WLC 7500 Data DTLS is not supported Client and RFID Tag location is not supported Voice CAC is not supported Reliable multicast (Media Stream feature) is not supported WGB is not supported WLC 7500 platform will not be certified with FIPS
  • Новое Контроллеры, свежие решения FlexConnect: Branch Mobile Для HREAP АР 128K, 300ms (100ms – голос)
  • Новое Контроллеры, свежие решения Virtual 7: vWLC – решение для небольших/средних филиалов . VMWare позволяет Нам разместить в одной коробке несколько сервисов: Hardware: Cisco UCS, UCS Express, HP and IBM servers VMware OS: ESX/ESXi 4.x/5.x FlexConnect Mode: central and local switching Maximum APs: 200 Maximum клиентов: 3000 Throughput performance up to 500 Mbps per virtual controller Management with Cisco Prime Infrastructure 1.2 and above All 802.11n APs with required software version 7.3 are supported. APs will be operating in FlexConnect mode only. AP autoconvert to FlexConnect is supported on controller. New APs ordered will ship with 7.3 software from manufacturing. Existing APs must be upgraded to 7.3 software before joining a virtual controller. ЧЕГО НЕТ: Data DTLS, OEAP (no data DTLS),Rate Limiting,Internal DHCP server, Mobility/Guest Anchor, Multicast-Unicast mode, PIMIPv6, Outdoor Mesh Access Points( an Outdoor AP with FlexConnect mode will work)
  • Введение Локальные сети (ПО): WCS Cisco Secure ACS Cisco Prime NCS Mobility Service Engine 3355 (Loc.App+wIPS)
  • Введение Локальные сети (ПО): Cisco Prime Infrastucture: вырос из WCS, NCS(+LMS) и позволяет управлять и диагностировать и коммутаторы доступа и АР и контроллеры и MSE с поддержкой wIPS, CleanAir.. То есть налицо универсальная система управления Всем. Может работать совместно с Cisco Identity Service Engine, который в свою очередь вырастает из Cisco Secure ACS и NAC  И который (в свою очередь) может обеспечивать MDM.. Cisco Prime Infrastructure 2.0 09/2013 (4.5Gb) WCS – 7.0.240 (01/2013) Край.
  • Безопасность 802.11 – вопрос N 2 ! Непротокольные угрозы: Неадекватный Site Survey Внешние антенны, Wi Mesh PCI DSS, Защита персональных данных : Welcome to the IAUWS Course ))
  • Классическая безопасность WLAN. Шифрация и аутентификация, тут все просто: AES vs WEP(TKIP): AES 128 – лучше, чем WEP(TKIP)  PSK vs 802.1x: 802.1х - лучше чем его отсутствие  PEAP, EAP-TLS, EAP-FAST. Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode…
  • Безопасность WLAN – тут сложнее: Как в этом разобраться?
  • Безопасность WLAN AP и контроллер Новый протокол CAPWAP, разработан для работы Точек доступа не только WiFi (RFC5415) CAPWAP Tunnel (UDP 5246, 5247) Управление - DTLS Данные – DTLS (опционально 6.0) CAPWAP может быть только L3 Взаимная аутентификация —X.509
  • Безопасность WLAN NAC in-band Постоянный анализ любого трафика Любых пользователей, контроль полосы Пропускания в реальном времени. NAC Appliance
  • Безопасность WLAN NAC Framework Доступ в сеть Client Access Point RADIUS Server ACS 4.x Более «дешевый» способ: По-запросное управление доступом NAC Server Vendor X
  • Безопасность WLAN Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT.. ПЛАН ОФИСА
  • Безопасность WLAN Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT.. Зачем нужны отдельные устройства: Дискретизация обычных wifi интерфейсов 5MHz, а у этих имеется спец.чип – 125 KHz Т.е. вместо мутного пятна они видят четкую сигнатуру
  • Безопасность WLAN Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT.. Что же нужно? 1. CleanAir точка доступа 2. Контроллер 7.х [3.] WCS/Prime [4.] MSE AQI WCS/Prime дает дэшборд, централизацию, отчеты,карты MSE – трэкинг, более точные PMAC,большую точность, зоны..
  • Безопасность WLAN Локальные сети: Эффективное обнаружение местоположения родных и вражеских устройств с возможностью калибровки!
  • Безопасность WLAN РЭБ Spoof Unicast Deauthentication Spoof Unicast Deauthentication Access Point 2 AP Containment Rogue AP Controller
  • Безопасность WLAN РЭБ RLDP DHCP Access point IP Address Connect (port 6352) Controller Rogue AP
  • Безопасность WLAN Этапы борьбы с злодеями: Прослушивание всех устройств и анализ информации из beacon пакетов. Отслеживание проводных подключений и трассировка их. Блокировка портов на switch-ах, определение местоположения На карте. Включение режимов подавления. «Физическое» устранение проблемы. (по возможности)
  • Безопасность WLAN Мониторинг врагов: АР может следить как в обычном (Local), так и в специальном (monitor) режимах. Далее следует классификация: Rogue Rule: SSID: tmobile RSSI: -80dBm Detected as Rogue Marked as Friendly Rogue Rule: SSID: Corporate RSSI: -70dBm Marked as Malicious Rogues Matching No Rule Marked as Unclassified
  • Безопасность WLAN Мониторинг врагов: Далее может следовать трассировка:
  • Безопасность WLAN Мониторинг врагов: Далее определение местоположения на карте:
  • Безопасность WLAN Мониторинг врагов: Далее подавление:
  • Безопасность WLAN Мониторинг врагов: Далее подавление: Сценарий Rogue AP Метод подавления Broadcast Deauth frames Rogue AP и клиенты Broadcast and Unicast Deauth
  • Безопасность WLAN IDS и wIPS: РЭБ …еще и сигнатурная защита
  • Безопасность WLAN IDS и wIPS: Базовая IDS присутствует в контроллерах по умолчанию. Для реализации IPS понадобится MSE ! Отличия: - MSE собирает информацию от контроллеров и только потом докладывает на WCS. -База данных атак существенно больше. - Есть возможность «захвата» атаки для анализа - Отчеты за период - Меньше вероятность ложных срабатываний
  • Безопасность WLAN IDS и wIPS: AP Attack Detection 24x7 Scanning Over-the-Air Detection WLC Configuration wIPS AP Management MSE Alarm Archival WCS Centralized Monitoring Capture Storage Complex Attack Analysis, Forensics, Events Historic Reporting Monitoring, Reporting
  • Безопасность WLAN IDS и wIPS: 1130 1040 1140 1260 3500 3600 3700
  • Безопасность проводных сегментов Чтобы не думать о безопасности в проводах используй это: Internet Virtual Anchor Controller SSID: GUEST Rate Limit = 500Kbps Internet Routers External Services External DNS server WEB Server WLC Tunnel to Virtual Anchor Гостевой доступ External Firewall G G External DMZ SSID Client Default Gateway G 2 WAN Remote Office 1 SSID: Internal SSID: GUEST Remote Office 2 SSID: Internal = GUEST 1 = Internal 1 = Internal 2
  • Новое удобное управление, поддержка Clean Air…
  • Курсы: Все, к чему вы привыкли в Redcenter, теперь находится в учебном центре Ментор! Преподаватели, оборудование, учебные классы и конечно печенье. Все на том же месте. TC-MENTOR.RU …
  • СПАСИБО ЗА ВНИМАНИЕ! Контакты: Сергей Монин CCIE, CCSI, CQS, ENS, ENA,чего-то еще… sm@arccn.ru http://tc-mentor.ru Тел.: +7 (495) 984-2764 Москва, Киевское шоссе, Бизнес-парк Румянцево, TC MENTOR/ARCCN