AGENDA Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku Tomasz Furmańczak UpGreat Systemy Komputerowe Sp. z o.o.
Założenia do projektu WLAN sieć WLAN ma objąć swoim zasięgiem centralę oraz około 1000 lokalizacji po 4-6 punktów dostępowych w każdej lokalizacji w lokalizacjach zdalnych będą pracować skanery kodów paskowych z dostępem do zasobów lokalnych oraz komputery z dostępem do wybranych zasobów centralnych dostęp do zasobów lokalnych ma być utrzymany nawet w przypadku awarii łącza WAN sieć ma gwarantować najwyższy poziom bezpieczeństwa - uwierzytelnianie za pomocą certyfikatów i kluczy jednorazowych infrastruktura ma być niezawodna i odporna na awarię części infrastruktury w Centrum Przetwarzania Danych sieć ma być zarządzana centralnie sieć ma być łatwa i rutynowa we wdrożeniu w dużej skali sieć ma oferować usług dla gości w centrali sieć ma dać możliwość uruchomienia usług dla gości jednostkach terenowych w przyszłości 3
Najważniejsze jest bezpieczeństwo! dostęp z jednostek terenowych do zasobów w Centrali dedykowane SSID, zabezpieczenie WPA2 professional uwierzytelnienie 801.1x (EAP-GTC) z wykorzystaniem kluczy jednorazowych RSA-Security szyfrowany tunel CAPWAP do centrali zakończony na kontrolerach WLAN ruch z kontrolera wprowadzony na FW dostęp do zasobów lokalnych w sklepach dedykowane SSID, zabezpieczenie WPA2 professional uwierzytelnienie 801.1x (EAP-TLS), certyfikaty dla skanerów kodów, zarządzane centralnie przez serwer CA weryfikacja profilu urządzeń mobilnych (typ urządzenia, wersja systemu, itd) filtracja ruchu na styku z siecią lokalną z dokładnością do portów TCP/UDP dostęp w Centrali dedykowane SSID, zabezpieczenie WPA2 professional uwierzytelnienie 801.1x (EAP-PEAP), uwierzytelnienie za pomocą haseł domenowych goście sieć otwarta w wybranych strefach w Centrali bez logicznego styku z siecią lokalną 4
Jak to będzie działało architektura scentralizowana Internet Goście AP Grupa 1 FW WAN/MAN Sklepy Zasoby korporacyjne FW AP Grupa 2 Centrala AP Grupa 3 Centrala SSID1 zasoby korporacyjne VLAN1 SSID2 obsługa magazynu VLAN2 SSID3 dostęp dla gości VLAN3 Sklepy SSID4 zasoby korporacyjne VLAN4 SSID5 do zasobów lokalnych VLAN5 Obsługa magazynu Zasoby lokalne Ograniczone zasoby Korporacyjne 5
Elementy funkcjonalne rozwiązania grupy AP wykorzystywane do rozgłaszania określonych SSDI na grupie AP mapowanie SSID na VLAN tryb local switching wykorzystywany do mapowania SSID na lokalny VLAN w sklepach tryb central switching wykorzystywany do tunelowania ruchu do kontrolerów wykorzystywany do tunelowania ruchu ze sklepów do centrali, ze strefy magazynowej do FW oraz ze strefy gości grupy Flexconnect wykorzystywane do lokalnego uwierzytelniania użytkowników w lokalizacjach zdalnych w przypadku awarii WAN grupy Flexconnect wykorzystywane do przypisania ACL do lokalnych VLANów tunel CAPWAP służący do połączenia AP z kontrolerem tunele służą do bezpiecznego przesyłania danych oraz do zarządzania 6
Architektura sprzętowa WLAN Redundantne serwery Windows AD Redundantne serwery certyfikatów Serwer Prime Infrastructure - zarządzanie Lekkie AP z serii 2700 Serwery uwierzytelniania ISE w trybie HA pracujące jako VM Kontrolery Cisco 7500 w konfiguracji redundantnej WAN/MAN Sklepy Centrala Redundantne serwery kodów jednorazowych RSA MSE Serwer MSE WIPS Lekkie AP z serii 2700 z antenami zewnętrznymi Lekkie AP z serii 1700 7
Podstawowe funkcje realizowane przez elementy infrastruktury lekkie punkty dostępowe rozsyłanie SSID szyfrowanie ruchu do klientów WPA2/AES skanowanie widma radiowego funkcja CleanAir lokalne uwierzytelnianie klientów w przypadki awarii WAN nasłuchiwanie środowiska pod kątem zagrożeń WIPS w trybie monitor AP nie transmituje danych tylko nasłuchuje otoczenie w trybie enhanced local mode AP transmituje dane oraz w przerwach nasłuchuje otoczenie kontrolery Flex 7500 zarządzanie lekkimi punktami dostępowymi do 6000 (licencjonowane) zarządzanie parametrami radiowymi punktów dostępowych pośredniczenie w uwierzytelnianiu klientów zarządzanie skanowaniem środowiska dla potrzeb WIPS zarządzanie SSID zarządzanie roamingiem L2/L3 zarządzanie przełączaniem ruchu (lokalny/ centralny) AVC statystyki wykorzystania aplikacji zarządzanie grupami AP, grupami Flexconnect szyfrowanie ruchu pomiędzy AP 8
Podstawowe funkcje realizowane przez elementy infrastruktury serwery ISE (Indentification Services Engine) pośredniczenie w uwierzytelnianiu klientów lub realizacja funkcji serwera RADIUS wybór na podstawie polityk zewnętrznego serwera uwierzytelniania, weryfikacja profili dla poszczególnych urządzeń pod kątem zgodności z narzuconymi politykami wymuszanie polis bezpieczeństwa serwery certyfikatów PKI wystawianie certyfikatów cyfrowych dla urządzeń weryfikowanie ważności certyfikatów serwery RSA weryfikacja kluczy jednorazowych serwery Windows AD weryfikacja uwierzytelnienia domenowego 9
Podstawowe funkcje realizowane przez elementy infrastruktury serwer MSE (Mobility Services Engine) realizuje funkcje wips (naruszenia reguł WLAN, dzikie punkty dostępowe, ataki DoS i inne) realizuje funkcje lokalizacji za pomocą WLAN oraz podstawową analitykę związaną z aktywnością klientów WLAN serwer Prime Infrastructure zarządzanie kontrolerami WLAN zarządzanie i zbieranie danych z MSE zbieranie logów z urządzeń i serwerów raportowanie wizualizacja stanu użytkowników i urządzeń na podstawie ISE pomoc w diagnozowaniu problemów archiwizacja konfiguracji urządzeń rekonfiguracja wielu urządzeń sieciowych aktualizacja oprogramowania systemowego 10
Dziękuję za uwagę Tomasz Furmańczak tel.: 0-605 586 808 mail: tomasz.furmanczak@upgreat.com.pl UpGreat Systemy Komputerowe Sp. z o.o. 60-122 Poznań, ul. Ostrobramska 22 http://www.upgreat.com.pl