WLAN case study 20.05.2015

AGENDA
Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej
- studium przypadku
Tomasz Furmańczak
UpGreat Systemy Komputerowe Sp. z o.o.
Założenia do projektu WLAN









sieć WLAN ma objąć swoim zasięgiem centralę oraz około 1000 lokalizacji po 46 punktów dostępowych w każdej lokalizacji
w lokalizacjach zdalnych będą pracować skanery kodów paskowych z dostępem
do zasobów lokalnych oraz komputery z dostępem do wybranych zasobów
centralnych
dostęp do zasobów lokalnych ma być utrzymany nawet w przypadku awarii
łącza WAN
sieć ma gwarantować najwyższy poziom bezpieczeństwa - uwierzytelnianie za
pomocą certyfikatów i kluczy jednorazowych
infrastruktura ma być niezawodna i odporna na awarię części infrastruktury w
Centrum Przetwarzania Danych
sieć ma być zarządzana centralnie
sieć ma być łatwa i rutynowa we wdrożeniu w dużej skali
sieć ma oferować usług dla gości w centrali
sieć ma dać możliwość uruchomienia usług dla gości jednostkach terenowych w
przyszłości
3
Najważniejsze jest bezpieczeństwo!

dostęp z jednostek terenowych do zasobów w Centrali
dedykowane SSID, zabezpieczenie WPA2 professional
uwierzytelnienie 801.1x (EAP-GTC) z wykorzystaniem kluczy jednorazowych RSA-Security
szyfrowany tunel CAPWAP do centrali zakończony na kontrolerach WLAN
ruch z kontrolera wprowadzony na FW

dostęp do zasobów lokalnych w sklepach
dedykowane SSID, zabezpieczenie WPA2 professional
uwierzytelnienie 801.1x (EAP-TLS), certyfikaty dla skanerów kodów, zarządzane centralnie
przez serwer CA
weryfikacja profilu urządzeń mobilnych (typ urządzenia, wersja systemu, itd)
filtracja ruchu na styku z siecią lokalną z dokładnością do portów TCP/UDP

dostęp w Centrali
dedykowane SSID, zabezpieczenie WPA2 professional
uwierzytelnienie 801.1x (EAP-PEAP), uwierzytelnienie za pomocą haseł domenowych

goście
sieć otwarta w wybranych strefach w Centrali
bez logicznego styku z siecią lokalną
4
Jak to będzie działało – architektura scentralizowana
Internet
Goście
AP Grupa 1
FW
WAN/MAN
Sklepy
FW
Zasoby korporacyjne
AP Grupa 2
AP Grupa 3
Centrala
Zasoby lokalne
Ograniczone zasoby
Korporacyjne
Obsługa magazynu


Centrala
SSID1 – zasoby korporacyjne VLAN1
SSID2 – obsługa magazynu VLAN2
SSID3 – dostęp dla gości VLAN3
Sklepy
SSID4 – zasoby korporacyjne VLAN4
SSID5 – do zasobów lokalnych VLAN5
5
Elementy funkcjonalne rozwiązania

grupy AP wykorzystywane do rozgłaszania określonych SSDI na grupie AP

mapowanie SSID na VLAN

tryb local switching wykorzystywany do mapowania SSID na lokalny VLAN w sklepach

tryb central switching wykorzystywany do tunelowania ruchu do kontrolerów wykorzystywany do
tunelowania ruchu ze sklepów do centrali, ze strefy magazynowej do FW oraz ze strefy gości

grupy Flexconnect wykorzystywane do lokalnego uwierzytelniania użytkowników w lokalizacjach
zdalnych w przypadku awarii WAN

grupy Flexconnect wykorzystywane do przypisania ACL do lokalnych VLANów

tunel CAPWAP służący do połączenia AP z kontrolerem – tunele służą do
bezpiecznego przesyłania danych oraz do zarządzania
6
Architektura sprzętowa WLAN
Redundantne
serwery
Windows AD
Redundantne
serwery
certyfikatów
Serwer Prime
Infrastructure zarządzanie
Serwery uwierzytelniania
ISE w trybie HA pracujące
jako VM
Kontrolery Cisco 7500 w
konfiguracji redundantnej
WAN/MAN
Lekkie AP z
serii 2700
Sklepy
Centrala
MSE
Redundantne
serwery kodów
jednorazowych
RSA
Lekkie AP z
serii 1700
Serwer MSE
WIPS
Lekkie AP z serii
2700 z antenami
zewnętrznymi
7
Podstawowe funkcje realizowane przez elementy infrastruktury

„lekkie” punkty dostępowe
rozsyłanie SSID
szyfrowanie ruchu do klientów WPA2/AES
skanowanie widma radiowego – funkcja CleanAir
lokalne uwierzytelnianie klientów w przypadki awarii WAN
nasłuchiwanie środowiska pod kątem zagrożeń WIPS
w trybie monitor AP nie transmituje danych tylko nasłuchuje otoczenie
w trybie enhanced local mode AP transmituje dane oraz w przerwach nasłuchuje otoczenie

kontrolery Flex 7500
zarządzanie „lekkimi” punktami dostępowymi do 6000 (licencjonowane)
zarządzanie parametrami radiowymi punktów dostępowych
pośredniczenie w uwierzytelnianiu klientów
zarządzanie skanowaniem środowiska dla potrzeb WIPS
zarządzanie SSID
zarządzanie roamingiem L2/L3
zarządzanie przełączaniem ruchu (lokalny/ centralny)
AVC – statystyki wykorzystania aplikacji
zarządzanie grupami AP, grupami Flexconnect
szyfrowanie ruchu pomiędzy AP
8
Podstawowe funkcje realizowane przez elementy infrastruktury

serwery ISE (Indentification Services Engine)
pośredniczenie w uwierzytelnianiu klientów lub realizacja funkcji serwera RADIUS
wybór na podstawie polityk zewnętrznego serwera uwierzytelniania,
weryfikacja profili dla poszczególnych urządzeń pod kątem zgodności z narzuconymi politykami
wymuszanie polis bezpieczeństwa

serwery certyfikatów PKI
wystawianie certyfikatów cyfrowych dla urządzeń
weryfikowanie ważności certyfikatów

serwery RSA
weryfikacja kluczy jednorazowych

serwery Windows AD
weryfikacja uwierzytelnienia domenowego
9
Podstawowe funkcje realizowane przez elementy infrastruktury

serwer MSE (Mobility Services Engine)
realizuje funkcje wIPS (naruszenia reguł WLAN, dzikie punkty dostępowe, ataki DoS i inne)
realizuje funkcje lokalizacji za pomocą WLAN oraz podstawową analitykę związaną z aktywnością
klientów WLAN

serwer Prime Infrastructure
zarządzanie kontrolerami WLAN
zarządzanie i zbieranie danych z MSE
zbieranie logów z urządzeń i serwerów
raportowanie
wizualizacja stanu użytkowników i urządzeń na podstawie ISE
pomoc w diagnozowaniu problemów
archiwizacja konfiguracji urządzeń
rekonfiguracja wielu urządzeń sieciowych
aktualizacja oprogramowania systemowego
10
Dziękuję za uwagę
Tomasz Furmańczak
tel.: 0-605 586 808
mail: [email protected]
UpGreat Systemy Komputerowe Sp. z o.o.
60-122 Poznań, ul. Ostrobramska 22
http://www.upgreat.com.pl