DESIGNED FOR ALL-WIRELESS WORLD 04/03/2013 Łukasz Naumowicz, Technical Support Manager
1. Jak powinna wyglądać i działać bezpieczna i wydajna sieć w szkole 2. Kilka słów o technologii VLANy Rozpoznawanie urządzeń szkolne/prywatne RADIUS czyli Uwierzytelnianie Autoryzacja Accounting Logowanie ruchu Quality of Service Filtrowanie ruchu i treści 3. Administracja i monitoring sieci Konfiguracja urządzeń Live demo 4. Sprzęt i jego przeznaczenie
1. Jak powinna wyglądać i działać bezpieczna i wydajna sieć w szkole
NAUCZYCIELE ADMINISTRACJA/SERWERY e-dziennik UCZNIOWIE Internet Serwer WWW PRACOWNIA_A - PC PRACOWNIA_A - classmate GOŚCIE
ADMINISTRACJA / SERWERY NAUCZYCIELE UCZNIOWIE INTERNET PRACOWNIA_A GOŚCIE
NAUCZYCIELE PRACOWNIA_A ADMINISTRACJA / SERWERY UCZNIOWIE GOŚCIE
PRACOWNIA_A BRAK! UCZNIOWIE 512/256 kbps GOŚCIE 256/128 kbps PRACOWNIA_A 4/4 Mbps UCZNIOWIE 2/1 Mbps GOŚCIE 2/1 Mbps 2/4 Mbps?
ADMINISTRACJA NAUCZYCIEL PRZEWODOWY BEZPRZEWODOWY (WPA2-ENT) PRZEWODOWY BEZPRZEWODOWY (WPA2-ENT) PRZEWODOWY UCZEŃ BEZPRZEWODOWY (WPA2-ENT) GOŚĆ BEZPRZEWODOWY (OPEN + CP)
TRUNK VLAN 1 VLAN 10 ACCESS VLAN 40 Administracja / Serwery Nauczyciele Pracownia_A
Cyfrowa_Szkola WPA2-ENT Cyfrowa_Szkola_Uczen WPA2-PSK + CP Cyfrowa_Szkola_Pracownia_A WPA2-ENT WPA2-PSK+CP Cyfrowa_Szkola_Goscie OPEN + CP
Cyfrowa_Szkola Rodzaj urządzenia? BRAK DOSTĘPU Kim jesteś? BRAK DOSTĘPU Administracja DOSTĘP ZABEZPIECZONY VLAN 1 DOSTĘP ZABEZPIECZONY VLAN 10 DOSTĘP ZABEZPIECZONY VLAN 20 LOGOWANIE RUCHU
Cyfrowa_Szkola Pracownia_A Rodzaj urządzenia? BRAK DOSTĘPU Kim jesteś? BRAK DOSTĘPU DOSTĘP ZABEZPIECZONY VLAN 40 Nauczyciel/Uczen/Administracja
OPEN+CP Cyfrowa_Szkola_Goscie Kim jesteś? BRAK DOSTĘPU DOSTĘP ZABEZPIECZONY VLAN 30
WPA2-PSK+CP Cyfrowa_Szkola_Uczen Rodzaj urządzenia? BRAK DOSTĘPU Podaj klucz WPA2-PSK BRAK DOSTĘPU PRAWIDŁOWY KLUCZ Kim jesteś? BRAK DOSTĘPU DOSTĘP ZABEZPIECZONY LOGOWANIE RUCHU VLAN 20
WPA2-PSK+CP Cyfrowa_Szkola_ Pracownia_A Rodzaj urządzenia? BRAK DOSTĘPU Podaj klucz WPA2-PSK BRAK DOSTĘPU PRAWIDŁOWY KLUCZ Kim jesteś? BRAK DOSTĘPU DOSTĘP ZABEZPIECZONY VLAN 40
Komputer nauczyciela Komputery uczniów DZIAŁA WIESZA SIĘ ZUPEŁNA KLAPA
1. Jak powinna wyglądać i działać bezpieczna i wydajna sieć w szkole 2. Kilka słów o technologii VLANy Rozpoznawanie urządzeń szkolne/prywatne RADIUS czyli Uwierzytelnianie Autoryzacja Accounting Logowanie ruchu Quality of Service Filtrowanie ruchu i treści
Sieć LAN VLAN 1 VLAN 2 VLAN 3
ŹRÓDŁO CEL ŹRÓDŁO CEL A B A B B A ŹRÓDŁO B A CEL A B 16 bit 3 bit 1 bit 12 bit TPID Tag Protocol ID TCI Tag Control Information PCP DEI VID
TRUNK VLAN 1 VLAN 10 ACCESS VLAN 40 Administracja / Serwery Nauczyciele Pracownia_A
PORT SECURITY FILTROWANIE MAC ZAMEK STATYCZNY ZAMEK DYNAMICZNY LISTA BIAŁA LISTA CZARNA
RADIUS goście/vlan 30 g1 g2 g3 nauczyciele/ vlan 10 u1 u3 u2 n1 uczniowie/vlan20 n3 n2 IAS NPS FR
802.1x WPA WPA2 VLAN SSID Zarządzanie kontrolerem Baza użytkowników RADIUS 802.1x Użytkownik Czas dostępu SSID IP MAC Tx/Rx CUI
RADIUS EAPOL Start Identity request Identify Response Access request EAP request EAP Response EAP success Access challenge Access request Access Accept (with VLAN) EAPOL key M1 EAPOL key M2 EAPOL key M3 EAPOL key M4 Accounting Start Accounting Update Accounting Stop
RADIUS SYSLOG Użytkownik Czas dostępu SSID IP MAC Tx/Rx CUI Src IP Dst IP Src Port Dst Port.
RADIUS Internet Access Point Wireless Controller 1. Gość kieruje przeglądarkę na stronę http://www.google.com 2. Kontroler przechwytuje zapytanie i odsyła dla gościa wiadomość redirect, przekierowując go na portal autoryzacji na kontrolerze 3. W przeglądarce gościa ukazuje się strona do logowania umieszczona na kontrolerze 4. Gość wprowadza dane autoryzacyjne użytkownik/hasło, dane docierają do kontrolera 5. Kontroler autoryzuje gościa wobec RADIUSa za pomocą protokołu PAP 6. RADIUS odpowiada wiadomością Accept 7. Kontroler odsyła gościowi stronę zalogowano poprawnie i pozwala na dostęp do sieci Gość uzyskuje dostęp do Internetu 8. Kontroler WLAN wysyła wiadomość start accounting dla gościa do RADIUSa 10. Firewall wysyła logi aktywności do RADIUSa po Syslogu upływa czas - Session-Timeout 11. Kontroler wysyła wiadomość RADIUS stop accounting dla gościa do RADIUSa 12. Kontroler WLAN przechwytuje zapytanie i przesyła redirect do strony logowania
PRACOWNIA_A BRAK! UCZNIOWIE 512/256 kbps GOŚCIE 256/128 kbps PRACOWNIA_A 4/4 Mbps UCZNIOWIE 2/1 Mbps GOŚCIE 2/1 Mbps 2/4 Mbps?
Pakiety wchodzące Sprawdzenie Klasyfikator Dodaj tag (ustaw priorytet) Pakiety wychodzące Odrzuć Prześlij dalej/przechwyć UCZNIOWIE 512/256 kbps GOŚCIE 256/128 kbps
PRACOWNIA_A 4/4 Mbps UCZNIOWIE 2/1 Mbps GOŚCIE 2/1 Mbps PRACOWNIA_UP 4 Mbps PRACOWNIA_DOWN 4 Mbps UCZNIOWIE_UP 1 Mbps UCZNIOWIE_DOWN 2 Mbps GOŚCIE_UP 1 Mbps GOŚCIE_DOWN 2 Mbps PRACOWNIA_UP 4 Mbps UCZNIOWIE_UP 1 Mbps GOŚCIE_UP 1 Mbps PRACOWNIA_DOWN 4 Mbps UCZNIOWIE_DOWN 2 Mbps GOŚCIE_DOWN 2 Mbps
VLAN 10 192.168.10.x NAUCZYCIEL VLAN 20 192.168.20.x UCZEŃ SERWER WWW TAK SERWER FTP - TAK SERWER WWW NIE SERWER FTP - TAK VLAN 1 192.168.50.7 SERWER SERWER WWW WWW SERWER SERWER FTP FTP
Anty-wirus Firewall / listy kontroli dostępu Kontrola aplikacji NAT/PAT Intrusion Prevention System Ochrona interfejsu WAN Filtrowanie stron na podstawie reputacji Ochrona przed atakami DoS Filtrowanie adresów URL Kategorie i wpisy statyczne
1. Jak powinna wyglądać i działać bezpieczna i wydajna sieć w szkole 2. Kilka słów o technologii VLANy Rozpoznawanie urządzeń szkolne/prywatne RADIUS czyli Uwierzytelnianie Autoryzacja Accounting Logowanie ruchu Quality of Service Filtrowanie ruchu i treści 3. Administracja i monitoring sieci Konfiguracja urządzeń Live demo
NAUCZYCIELE ADMINISTRACJA/SERWERY e-dziennik Internet Serwer WWW PRACOWNIA_A - PC PRACOWNIA_A - classmate GOŚCIE
1. Jak powinna wyglądać i działać bezpieczna i wydajna sieć w szkole 2. Kilka słów o technologii VLANy Rozpoznawanie urządzeń szkolne/prywatne RADIUS czyli Uwierzytelnianie Autoryzacja Accounting Logowanie ruchu Quality of Service Filtrowanie ruchu i treści 3. Administracja i monitoring sieci Konfiguracja urządzeń Live demo 4. Sprzęt i jego przeznaczenie
Urządzenie/Nazwa funkcji Wydajna sieć przewodowa Wydajna sieć bezprzewodowa Separacja sieci (vlan 802.1q) Rozpoznawanie urządzeń Dynamiczna autoryzacja i przydział vlanu Router/UTM Cisco ISA550 Przełącznik zarządzany Cisco SG300-28P Kontroler i AP Meru Networks MC1550 + AP1010i Serwer AAA Freeradius X X - - X X X - X X O - O O O - X X X X Logowanie ruchu X - X X Quality of Service O O O - Filtrowanie ruchu O O O - Filtrowanie treści X - - -
> ISA500 to rozwiązanie klasy UTM, czyli połączenie routera i zaawansowanego firewalla > Wsparcie do 2 portów WAN i 5 portów LAN GE > Obsługa vlanów 802.1q (do 16) > Wbudowany wielostrefowy firewall oraz złożony system filtrowania ruchu: > Anty-wirus > Filtr anty-spamowy > Kontrola aplikacji > Filtrowanie reputacji i zawartości stron WWW > Intrusion Prevention System > Dostęp do 75 TB danych dotyczących zagrożeń w chmurze Cisco SIO > Dołączona roczna subskrypcja na usługi filtrowania ruchu i aktualizacje sygnatur > Wbudowany Captive Portal > Wewnętrzna baza użytkowników (100) > Zarządzanie przez wbudowany interfejs WWW
> Zarządzany przełącznik GE warstwy 2 > 28 portów GE > 24 porty z obsługą technologii PoE 802.3af > Wsparcie VLAN 802.1q > Funkcja Port Security > Listy kontroli dostępu ACL > Obsługa zabezpieczeń korporacyjnych na portach przewodowych, autoryzacja 802.1x > Zarządzanie przez wbudowany interfejs WWW i konsolę
> Kontroler sieci bezprzewodowej Meru Networks > Wbudowane oprogramowanie System Director z obsługą technologii jednego kanału oraz wirtualizacji zasobów radiowych > Obsługa do 30 punktów dostępowych Meru i 500 klientów bezprzewodowych > Wbudowany Firewall o wydajności 800 Mbps > Szeroki wachlarz zabezpieczeń włączając w to mechanizmy korporacyjne 802.1x, WPA-ENT, WPA2-ENT > Wbudowany Captive Portal i wewnętrzna baza użytkowników > Dynamiczny QoS i rozpoznawanie klientów korzystających z protokołów transmisji VoIP > Automatyczne wykrywanie punktów dostępowych Meru > Konfiguracja całej sieci bezprzewodowej za pośrednictwem jednego panelu www lub konsoli
> Jedno lub dwu-radiowe punkty dostępowe 802.11 a/b/g/n > Wyposażone w moduły radiowe MIMO 2x2, 2 strumienie przestrzenne(do 300 Mbps) > Zewnętrzne anteny(4) lub wewnętrzne anteny > Obsługa wirtualizacji Shared BSSID i Virtual Port > Możliwość pracy w trybie Mesh(modele dwu-radiowe) > Przeznaczone do wdrożeń w logistyce, biurach(podstawowa łączność), szkołach podstawowych > Rekomendowana liczba użytkowników per radio do 50(VC) > Rekomendowana liczba użytkowników per ap dwuradiowy 100(VC) > Zasilanie 802.3af/at AP1000i
Sesja Q&A Informacje: www.fen.pl/cyfrowaszkola www.merunetworks.pl Kontakt: meru@fen.pl