Возможности современных беспроводных сетей Cisco

Возможности современныхбеспроводных сетей Cisco

Сергей Монин

Корпоративный авторизованныйучебный центр REDCENTER

23/11/2011

СодержаниеСодержание

� Введение

� Возможности современных WLAN, Продуктовая линейка, новые продукты в ней

� Сети WiMesh: дизайн, поддержка

� Принципы радиопланирования.

� Безопасность: современныевозможности WIPS и противодействиеrogue APs, механизмы защиты.

� Поддержка 802.11n.

� Выводы

ВведениеВведение

Развитие беспроводных сетей в мире

� Беспрецедентные темпы

� WLAN (Мощные, полнофункциональные сети предприятий)

� Домовые сети

� Соединение удаленных проводных сетей на большие расстояния

� Мониторинг безопасности, системы позиционирования на карте

� Mesh сети уличного и внутриофисного исполнения


Развитие Outdoor-mesh беспроводных сетей в мире

� $76M в 2009 возрастет до $143M в 2013 (в России

оценка рынка затруднена)

� Потребители:

Провайдеры

Широкополосный доступ

Муниципальные сети

Транспорт

Нефте-газо добыча/транспортировка

С 21.04.2011 доступны к заказу АР домена -R


ЛокальныеЛокальные сетисети сс контроллеромконтроллером vsvs ::Единая система организации WLAN.

Гибкая система управления безопасностью(встроенные механизмы обнаружения вторжений).

Высокая производительность.

Встроенная система отслеживания перемещений.

Уменьшение затрат на развертывание и поддержку сети.

Простота управления беспроводной сетью большого масштаба.

Облегчен Site Survey.

Сравним со standalone решениями…


ЛокальныеЛокальные сетисети сс контроллеромконтроллером::

� Восстановление покрытия при

выходе из строя какой-либо АР

� В случае перегрузки, переключение

новых пользователей

Автоматическое управлениепроизводительностью сети:

ЛокальныеЛокальные сетисети ((точкиточки

доступадоступа):):

Indoor Access Points

1130AG 1000 Series

Indoor Rugged Access Points

1500

1242AG 1230AG

Outdoor Access Points/Bridges

1410 1310

12512522AGAG

MIM

O

MIM

O

15201520

Возможности WLANВозможности WLAN

521G

Clean

AIR

3500

EoS

EoS

EoS

1260

OLD

ЛокальныеЛокальные сетисети ((точкиточки доступадоступа):):


NEW

AP 1550802.11n MIMOClientLinkCleanAirMай 2011

AP600802.11nДомашняя

Нет поддержки

Домена –R-Контроллеры

Только 5508WISM2, 2500 !Нет Clientlink,Cleanair, Poe

SmallOffice:[L]AP 1040nG или AG

Campus:[L]AP 1140nG или AG

Склад:[L]AP 1260G или AGВнеш.ант

ЛокальныеЛокальные сетисети ((экономэконом класскласс):):


NEW

WET 200 b/gBRIDGE5 * 10/100MIMOPOE119$ в Интернет

WAP 200E b/gAPMIMOOUTDOOR419$ в Интернет WAP 200 b/g

APMIMO119$ в Интернет

WAP 4410nAP4 ssid=4 vlans179$ в Интернет

LINUX

ЛокальныеЛокальные сетисети ((аксессуарыаксессуары):):

Всенаправленные антенны2.0 dBi2.2 dBi 5.2 dBI 12 dBi

Направленные антенны6 dBi6.5 dBi9 dBi13.5 dBi Yagi 14 dBi секторная21 dBi тарелка…..

Небольшие маршрутизаторы

Серия 3200Клиентские устройства


ЛокальныеЛокальные сетисети ((контроллерыконтроллеры управленияуправления):):

WiSM

Wireless Lan controller module (6,8,12,25 AP)

3750G (25-50)


526

2106 (6,12,25) AP

5500

NEW !

ЛокальныеЛокальные сетисети ((контроллерыконтроллеры управленияуправления):):

Inside

8 Gbps

8 Gbps

8 – 1000Base-X SFP

12 - 250

>7000

5508

Cisco Firewall Services

Module

-Интеграция с Firewall

Bus 6500…4 GbpsМакс. Пропускная

способность (шасси)

5 Modules per Chassis

12 Modules per Cluster

24Контроллеров в

кластере

300100Количество АР на

модуль/контр.

Cisco VPN Services Module

8 Gbps

Any Catalyst interfaces

3600

1500 (per chassis)

WiSM

2 ESM

4 Gbps

4 – 1000Base-X SFP

2400

4404-100

Поддержка VPN

(встроенная)

Макс. Пропускная

способность (1 устр.)

Uplink возможности

Количество АР на

кластер


КонтроллерыКонтроллеры::

# of APs10025

WiSM-300

12 50 3006

Per

form

ance

& S

cale

1

5508-12

250 500

5508-12, 25, 50, 100, 250 (LICENSE-BASED)

5508-25 5508-50 5508-100 5508-250

WLCME-6, 8, 12, 25

3750G-25, 50

4404-1004402-12, 25, 50

2106, 12, 25

H-REAP

НовоеНовое

КонтроллерКонтроллер 55085508::

8 Gigabit EthernetUplinks (SFP slots)

Serial Console Port (RJ45)

Serial Console Port(Mini USB Type B)

StatusLEDsService Port (RJ45)


10-core Control CPU

10-core Data CPU

Redundant Power Supply

КонтроллерыКонтроллеры свежиесвежие ::


SO-Medium Office

2500(4GEth) WLCM2AP 5/15/25/50 , 500 User-ов300 Мбит

5500 Series WiSM2

Enterprise, Campus…

AP 12 – 5007000 – 10000 User-ов8 – 10 GEth

Flex 7500 Series

Branch MobileДля HREAP АР

AP 500 – 200020000 User-ов2*10GeСпецконтроллер

Для FlexConnect(бывш. HREAP) точек

Local mode AP is not supportedInter Controller mobility is not supported

LAG is not supported on WLC 7500Data DTLS is not supported

Client and RFID Tag location is not supportedVoice CAC is not supported

Reliable multicast (Media Stream feature) is not supportedWGB is not supported

WLC 7500 platform will not be certified with FIPS

КонтроллерыКонтроллеры, , свежиесвежие решениярешения

FlexConnectFlexConnect::


Branch MobileДля HREAP АР

128K, 300ms(100ms – голос)

ЛокальныеЛокальные сетисети ((ПОПО):):

WCS

Cisco Secure ACS


Location Appliance 2710

Mobility Service Engine 3355 (Loc.App+wIPS+роуминг GSM-WiFi)

NEW !

ЛокальныеЛокальные сетисети ((ПОПО WCS+LocationWCS+Location ApplianceAppliance):):

ПЛАН ОФИСА


ЛокальныеЛокальные сетисети::

Современные маршрутизаторы с беспроводными модулями(ISR)



Layer 2 (Ethernet)Controller Controller

Layer3 (IP/UDP)Controller Controller

Возможность централизованного управления локальными сетями

и филиалов и центрального офиса.


Эффективное обнаружение

местоположения родных и

вражеских устройств с

возможностью калибровки!

WCS



3 способа определения местоположения:

� Ближайшая АР

� Триангуляция

� RF дактилоскопия

Точность сравнимая с GPS

WCS



WCS и WCS Navigator Server:

Для небольших систем (до 500 access points)

Pentium 4 , 2.4 GHz2 GB RAM 30 GB HD

Для больших систем (до 3000 AP)Quad Pentium , 3.15 GHz 8 GB RAM200 GB HD

Операционные системы

Windows 2000/SP4 для WCS 3 версииWindows 2003/SP2Red Hat Enterprise ES Linux release 3

Для больших систем Linux предпочтительнее....

Основные версии контроллера и WCS должны совпадать...



WCS режим предсказания покрытия




РайонныеРайонные ии городскиегородские сетисети::

SiSi SiSi

Mesh Controller

Можно заняться покрытием городов, дорог и интеграцией уличных и внутренних

сетей.


ВведениеВведениеРайонныеРайонные ии городскиегородские сетисети::

Police

City

Public

Traffic

VLANs

8 Hops deep (3-4 recommended)

32 PAPs per RAP

72Cntrls per

cluster

16 MBSSIDs

WCS поддерживает mesh сети

Ad

ap

tive W

irele

ss P

ath

(A

WP)

ВведениеВведениеMESHMESH сетисети + Google Earth + Google Earth ::

WCS + Google maps…

ВведениеВведениеMESHMESH сетисети + Google Earth + Google Earth ::

АР 1524(a/g)


Dual Radio Backhaul

Fiber SFP OptionМожно и к оптике

Power over Ethernet

Сам может питать IP камеры..

Rugged, Industrial Enclosure

-40 до 55 C

Paintable Enclosure Можно красить ☺

Internal Battery Backup Option

Можно небольшой,встроенный UPS

Universal AccessИ клиенты и backhaul наодном 5 ГГц интерфейсе..

Video SurveillanceХорошая пропускная способность

АР 1552 (n)ClientLink, CleanAirВ 6 раз производительнееDOCSIS (c)Hazardous (h)Internal ants (i)Fiber SFP1Gb Ethernet

АР 1524


Ch 165 Ch 153

� Dual backhaul: upstream и downstream на разных каналах

� Выше скорость, меньше задержка

� Автовыбор частот

� Можно и с поддержкой клиентов на одном из 5.8 радио, НО…!

� До 8 хопов (через 4 можно переиспользовать канал)

1524SB 1524SB 1524SB

In Russia, outdoors, you can use 5GHz channels: 56 to 64 (3) at 20dBm132 to 140 (3) at 22dBm149 to 161 (4) at 28dBm

АР 1524НовоеНовое

Цель

• Wireless доступ клиентов

Как

• 9-16 cable nodes (RAP)• 8-14 mesh nodes (MAP)----------------------------------•17-30 1524 на каждые 16 км• 2-3 1242s в поезде

WGB on 5 GHzAP on 2.4 GHz

In Russia, outdoors, you can use 5GHz channels: 56 to 64 (3) at 20dBm132 to 140 (3) at 22dBm149 to 161 (4) at 28dBmconducted power from the AP

АР 1524



Enterprise MeshEnterprise Mesh сетисети ::

300 метров 300 метров 300 метров

Сектор 1 Сектор 2 Сектор 3

60 метров

Сектор 4 Сектор 5 Сектор 6

60 метров

Enterprise MeshEnterprise Mesh сетисети::


Требуется в 5 раз меньше портов на коммутаторах для подключения

точек доступа

Значительная экономия на строительстве СКС, на этапе внедрения за

счёт простоты конфигурации и инсталляции.

Конструкция здания препятствует прокладке СКС (складские помещения, ангары, высотные здания, памятники архитектуры)

Требуется обеспечить беспрерывное покрытие как внутри так и снаружипомещений

Беспроводное подключение удаленных строений и объектов, таких точкипродаж

Прокладка СКС неприемлема по эстетическим соображениям

Временные беспроводные сети в арендованных помещениях –конференции, выставки, спортивные мероприятия, семинары, корпоративные мероприятия

1130AG1242AG15xx

ГлобальныеГлобальные ии районныерайонные сетисети::Как далеко ?

Даже самый медленныйWLAN стандарт 802.11b может

обеспечить скорость линка

точка-точка 2Мб на 40 км !

Какие провода могут такое ?


ГлобальныеГлобальные ии районныерайонные сетисети::

Standard Cable (6.7 dB/30.5 m)

Optional AntennaMaximum Distance

15.2m21-dBi Dish83.251.71 Mbps

15.2m21-dBi Dish66.041.02 Mbps

15.2m21-dBi Dish52.432.65.5 Mbps

6.1m21-dBi Dish52.532.711 Mbps350

15.2m21-dBi Dish33.020.511 Mbps

KmMiles

DataRate

Model

3.44.16.47.88.79.310.110.2

P2MP 9.5-dBi remote hub antennas

28-dBi remote client antennas

3.03.65.77.48.38.99.69.8

P2MP 9-dBi remote hub antennas

28-dBi remote client antennas

2.22.64.16.17.27.88.48.5

P2MP 9.5-dBi remote hub antennas

22.5-dBi captive client antennas

2.02.43.85.77.17.68.28.3

P2MP 9-dBi external hub antennas

22.5-dBi captive client antennas

11.812.615.117.820.021.423.123.4P2P 28-dBi remote antennas

7.88.310.011.813.214.115.315.5P2P 22.5-dBi captive antennas

54 Mb48 Mb36 Mb24 Mb18 Mb12 Mb9 Mb6 MbData rate (1400 WBridge)


ГлобальныеГлобальные ии районныерайонные сетисети::

Проблемы:

� Наличие прямойвидимости

� Кривизна земли, расчет зоныФренеля

� Наличие статичных

«мокрых»предметов…


Имее

тся р

асчет д

ляточек 1500 с

ерии

!

1400

1310 1500

350

OutdoorOutdoor сетисети::


EOS!

1524

Описание далi буде.

Принципы радиопланирования сетейПринципы радиопланирования сетей

40

В процессе создания беспроводных сетей есть два вида исследований:

� подготовка к внедрению и планирование

� проверка качества сети и ее оптимизацияНеобходимы: этажные планыТребование по сервисам

– Данные– Голос– Определение местоположение (требования по расстоянию)

Плотность пользователейПропускная способностьКлючевой вопрос – где находятся пользователи?


Подготовка

� Обработка требований заказчика

� Определение необходимых для внедрения сервисов

� Ознакомление с планом помещений

� Определение требуемой зоны покрытия беспроводной сети

� Выявление проблемных зон радиопокрытия

� Подготовка плана расстановки беспроводного оборудования для проведения радиообследования

� Подготовка необходимого для проведения site survey оборудования и программного обеспечения

Проведение

� Осмотр обследуемой территории

� Расстановка оборудования в соответствии с ранее подготовленным планом

� Проведение радиообследования

� Корректировка расположения беспроводного оборудования

� Проведение радиообследования

Результаты

� Подготовка отчета о проведенном радиообследовании

� Предоставление подробного плана окончательного размещения беспроводного оборудования

� Фотографии

� Предоставление готовой спецификации

Ключевые этапы проведения site survey


Возможность успешно передать радиосигнал на определенноерасстояние зависит от нескольких параметров:

�Мощности передатчика

�Потери в кабеле между передатчиком и передающей антенной

�Усиления передающей антенны

�Потери при распространении сигнала в атмосфере

�Усиления приемной антенны

�Потерь в кабеле между приемной антенной и приемником

�Чувствительностью приемника (минимальной силой сигнала, который может успешно декодировать приемник)

Характеристики антенныХарактеристики антенны

Ширина диаграммы направленности - х°

Диаграмма направленности (два графика)

Коэффициент усиления - dB

Рабочие температуры - C°

Тип разъема – RP-TNC, N-type…

Крепление

Ближнее и дальнее поля антенны


Разъем RP-TNC Применяется на большинстве

точек доступа Cisco

“N” разъемИспользуется на Mesh точках доступа

1500 серии и радиомостах 1400

Какие бывают антенныКакие бывают антенны

Направленность

� Всенаправленная (покрытие на 360 градусов) directional

� Направленная (ограниченная зонапокрытия)

Усиление

� Измеряется в dBi и dBd. (0dBd = 2.14dBi)

� Большее усиление означает большеепокрытие – но только в определенныхнаправлениях!

Поляризация


Лучше качество покрытия в горизонтальнойплоскости на большом удалении

Пониженный уровень сигнала прямо под и надантенной

1. Не существующая в реальном миреизотропная антенна имеет идеальнуюсферическую диаграмму направленностив 360º по вертикали и горизонтали.

2. Изотропная антенна – базисная точка длялюбых антенн

3. Одинаковое усиление во всехнаправлениях

4. Полезные сигналы и помехи одинаковопринимаются со всех направлений

Изотропная антенна и её усиление

При большем усилении антенны, излучаемая ей энергияостается неизменной

Gain

Всенаправленные антенны сбольшим усилением

Всенаправленные антенны сбольшим усилением

Какие бывают антенныНаправленные антенны

Какие бывают антенныНаправленные антенны

У направленной антенны «лепестки» диаграммысконцентрированы в одном направлении, приводя к сфокусированному излучениюэнергии.

Направленная антенна излучает минимальноеколичество энергии в обратном направлении

Существует несколько типов направленных антенн:параболические, yagi, патч-антенны, панельныеи т.д.

Cisco Aironet Antennas and Accessories Reference Guide

http://www.cisco.com/en/US/prod/collateral/wireless/ps7183/ps469/product_data_sheet09186a008008883b.html

Отсутствие покрытия прямо под антенной

(null)

Вид сбоку

(vertical pattern)

Вид сверху

(horizontal coverage area)

Ширина луча

Почему у точки доступа две антенны?Почему у точки доступа две антенны?

Wi-Fi устройства с функцией diversity обычно используют две антенны, выбирая для работы антенну с наименьшими искажениями

сигнала по причине переотражений

Изначально точка доступа использует primary антенну. Еслипроисходит потеря данных, оценивается качество сигнала навтором антенном порту и осуществляется переключение, если

сигнал оказался лучше.Важно: Diversity антенны всегда должны иметь идентичные зоны

покрытия.

Multiple Input Multiple Output (MIMO)Single Input Single Output (SISO)

Две против трех ?Две против трех ?

AP-1240 AP-1250


Диаграмма направленности антенны напримере направленной 6.0 dBi (2.4 GHz)

AIR-ANT2460P-R

Azimuth Radiation PatternВид сверху

E-plane

Elevation Radiation Pattern Вид сбоку

H-Plane

Ширина луча: 73° и 75°


Определение проблемных зон радиопокрытия

Архивы, подсобныепомещения: много

картотек или

металлических

конструкций

Лифтовые шахты

Тестовые лаборатории

Кухни

Лестничные пролеты

Щитовые

Архивы

Лифтовые

шахтыОфис

Тестовая

лаборатория

Кухня: микроволновая

печь

Переговорная

Изолированные

помещенияЛестничные пролеты:

армированные конструкции


Ослабление радиосигнала

Препятствия на пути

радиосигнала

Ослабление радиосигналапосле прохождения через

препятствие

Гипсокартонные стены 3 дБ

Стены с металлической

арматурой6 дБ

Бетонные стены 4 дБ

Стеклопакеты 3 дБ

Металлические двери 6 дБ

Металлические двери в

кирпичной кладке12 дБ

Неправильное расположение

беспроводных устройств3 - 6 дБ

*примерные значения


Определение и корректирование зон покрытия

беспроводной сети

Офис

Офис

Покрытие не требуется

Склад


Базовое покрытие, низкая стоимостьEnterprise решение с большей плотностьюточек доступа

Пример с тремя

частотными каналами


Рекомендуемые параметры построения сети в

диапазоне 2.4 ГГц

Канальная

скорость, Мбит/с

Порог Rx, дБм

Рекомендуемый

минимальныйпорог Rx, дБм

Rx SNR, дБм Рекомендуемыйминимальный

SNR, дБм

54 -71 -61 25 35

48 -72 -62 22 31

36 -73 -63 18 28

24 -77 -67 12 22

12/11 -82 -72 10 20

6/5.5 -89 -79 8 18

2 -91 -81 6 16

1 -94 -84 4 14


Расположение точек доступа для отслеживания перемещения беспроводных клиентов


Покрытие многоэтажных зданий

Принципы радиопланирования сетейПринципы радиопланирования сетейБазовые механизмы проведения site survey


Non-Cisco утилиты site survey


Точки доступа

� Офисные точки до встроенными антеннами

� Точки доступа для складских помещений

� Всепогодные беспроводные мосты

Антенны

� Всенаправленные

� Направленные

� Потолочного или настенного монтирования

� СВЧ - переходники и кабели

Крепеж и средства временного монтажа

Измерительная аппаратура

� Ноутбук

� Рулетка

� Клиентский беспроводной адаптер

� Cisco Spectrum Expert

Цифровой фотоаппарат

Оборудование для проведения site survey


195 метров (примерно)

25 точек на 1.6 кв 2

MAP

MAP

FOR GREENFIELDS

1524: Рекомендовано

переиспользовать

частоту через 4 хопа.

Принципы радиопланирования сетей WiMeshПринципы радиопланирования сетей WiMesh

Радиотень из-за здания, плохой SNR

Далеко от RAP ; Плохой SNR

Analyze it !


Site Survey Tools

Air Magnet Planner & Surveyor

Indoor and Outdoor

GPS assisted

802.11a/b/g

4.9 GHz

Cisco Spectrum Expert

WCS Planning Tool

EDX SurveyPro


RF Рекомендации для голоса в Mesh

Дыры в покрытии не более 2-10%Перекрытие ячеек 15 – 20%RSSI -67dBm для 11/12 Mbps с SNR 25dBRSSI -56dBm для 54 Mbps с SNR 40dB11a RSSI of -62dBm на 24 Mbps (backhaul)Запретить скорости менее 11 МВключить Traffic Stream Metrics (TSM)Включить поддержку WMMВыбрать профиль PlatinumРазрешить CACМаксимум использования bandwidth – 50%


Наступает эра ВИДЕО

Поддержка видео multicast трафика Link SNR>=30dbm, Clear LOS

Cisco Spectrum ExpertCisco Spectrum Expert::


Cisco Spectrum ExpertCisco Spectrum Expert: : устройстваустройства 802.11802.11


20 MHz 20 MHz

802.11 a or gOFDM

802.11 bDSSS

Cisco Spectrum ExpertCisco Spectrum Expert:: МикроволновкаМикроволновка


Сильный

смещающийся

сигнал

Высокий

коэффициент

заполнения в узкой

полосе спектра

Снос частоты

Cisco Spectrum ExpertCisco Spectrum Expert: : BluetoothBluetooth


Cisco Spectrum ExpertCisco Spectrum Expert: : беспроводныебеспроводные телефонытелефоны


Рост скачков сигнала

Пестрая картина = частотные скачки

Низкий

коэффициент

заполнения

размазанный по

всему спектру

Cisco Spectrum ExpertCisco Spectrum Expert:: аналоговыеаналоговые камерыкамеры


Постоянный

сигнал

Коэффициен

т занятости = 100%

Полосы

постоянного

уровня

мощности

Cisco Spectrum ExpertCisco Spectrum Expert + WCS+ WCS



10 AWG or Larger Ground Wire

1- Outdoor Light Control2- Streetlight Adapter3-Copper Grounding wire

Категорически не стоит забывать о правильном заземлении!


Mesh Info

Neighbor AP Info

Ping Test Controller - AP

Link Test AP - AP

WCS


WCS

Родительские отношения

и их параметры


Загрузка канала

Запретить излишние протоколы для беспроводной сети

Контролировать мультикаст трафик

Выключать низкие скорости модуляции

Не использовать максимальные мощности на точках доступа

Использовать DTPC – контроль мощности передатчика клиента

Использовать последние версии драйверов

Использовать diversity антенны и MIMO


Распространенные ошибки

- Измерять на максимальной мощности

- Измерять ноутбуком, а работать должны другие девайсы

- Измерять с настройками точек доступа по умолчанию

- Инжектор питания Cisco позволит вынести точку доступа на 200 метров откоммутатора

- Можно предусмотреть все нюансы при помощи специальных программ

- Большая зона покрытия одной AP – это хорошо.

- Радиообследование необходимо только на этапе проектирования сети.

- Можно обследовать бетонную коробку строящегося здания. Результатыпосле появления интерьера, перегородок и мебели не изменяться.

- Существуют типовые проекты для похожих площадок.

Безопасность 802.11

НепротокольныеНепротокольные угрозыугрозы::

Неадекватный Site Survey

Внешние антенны, Wi Mesh

AES (Advanced Encryption Standard) WPA2:

1. Новый (10.2000)2. Более криптостойкий чем DES-ы и ГОСТ28147-893. Длина ключа 128, 192, 256 bit (Wlan – 128)4. Обеспечивает также поддержку целостности5. Rijndael алгоритм отличен от шифрования «сеть Фейстеля»

что является и преимуществом и недостатком…

Безопасность WLAN

..а самое главное: TKIP слегка взломан !http://www.pcworld.com/businesscenter/article/153396/once_thought_safe_wpa_wifi_encryption_is_cracked.html (но это больше теория)

ВЫВОД: по возможности используйте AES (WPA2)

Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode и ждите…..а это не теория


AP и контроллер

LWAPP Tunnel (Ethertype 0xBBBB, UDP 12222 12223)

Управление - AESДанные - инкапсулированы

LWAPP может быть L2 или L3Взаимная аутентификация —X.509

Протокол LWAPP, разработан специально для работы

Точек доступа с контроллером

CAPWAP Tunnel (UDP 5246, 5247)

Управление - DTLSДанные – DTLS (опционально 6.0)

CAPWAP может быть только L3Взаимная аутентификация —X.509

Новый протокол CAPWAP, разработан для работыТочек доступа не только WiFi (RFC5415)

Безопасность WLANNAC in-band

NAC ApplianceNAC Appliance

ПостоянныйПостоянный анализанализ любоголюбого трафикатрафика

ЛюбыхЛюбых пользователейпользователей, , контрольконтроль полосыполосы

ПропусканияПропускания вв реальномреальном временивремени..

NACNAC FrameworkFramework

RADIUS Server

ACS 4.x

AccessPointClient

NAC Server

Vendor -X

Доступ в сеть

БолееБолее ««дешевыйдешевый»» способспособ::

ПоПо--запросноезапросное управлениеуправление доступомдоступом


РЭБ

2 APContainment

Spoof UnicastDeauthentication

Rogue AP

Access Point

Controller

Spoof UnicastDeauthentication

Безопасность WLANБезопасность WLAN

РЭБ RLDP

Rogue APAccess point

DHCP

IP Address

Connect (port 6352)

Controller


Этапы борьбы с злодеями:


Прослушивание всех устройств и анализ информации изbeacon пакетов.

Отслеживание проводных подключений и трассировка их.

Блокировка портов на switch-ах, определение местоположенияНа карте.

Включение режимов подавления.

«Физическое» устранение проблемы. (по возможности)

Мониторинг врагов:


АР может следить как в обычном (Local), так и в специальном (monitor) режимах. Далее следует классификация:



Далее может следовать трассировка:



Далее определение местоположения на карте:



Далее подавление:



Далее подавление:

Rogue AP

Сценарий Метод подавления

Rogue AP и

клиенты

Broadcast and Unicast Deauth frames

Broadcast Deauth frames

РЭБ …еще и сигнатурная защита


IDS IDS ии wIPSwIPS::



Базовая IDS присутствует в контроллерах по умолчанию.Для реализации IPS понадобится MSE !

Отличия:- MSE собирает информацию от контроллеров и только потом докладывает

на WCS.-База данных атак существенно больше.- Есть возможность «захвата» атаки для анализа

- Отчеты за период

- Меньше вероятность ложных срабатываний



Monitoring, Reporting

Monitoring, Reporting

Over-the-Air DetectionOver-the-Air Detection

wIPS AP ManagementwIPS AP Management

Complex Attack Analysis, Forensics, Events

Complex Attack Analysis, Forensics, Events

AP



1130114012401250

Безопасность проводных сегментовБезопасность проводных сегментов

ЧтобыЧтобы нене думатьдумать оо безопасностибезопасности вв проводахпроводах используйиспользуй этоэто::

WAN

Internet External ServicesExternal DNS serverWEB Server

External DMZExternal Firewall

Internet Routers

Virtual Anchor ControllerSSID: GUESTRate Limit = 500Kbps

Remote Office

SSID: InternalSSID: GUEST

SSID Client Default Gateway

Tunnel to Virtual Anchor

Remote Office

SSID: Internal

WLC

G G

= GUEST= GUESTG

1 2

= Internal 11

= Internal 22

Гостевой доступ

802.11n802.11n, , вово--первыхпервых 300300ММ+300+300ММ


Уже ратифицирован.Возможны изменения в российском

диапазоне и разрешенных мощностях

802.11n

300 М – это привет из прошлого («Turbo») расширение полос: 20МГц+20МГц

Получается 1 канал, это с 1 по 5. Канал 6 это с 6 по 10.А как быть с 11 ? Это с 11 по 7 ☺ Другими словами только 2 канала.

11n + 5.1 – 5.7 и 200мв (5, 2.4)

802.11n802.11n, , вово--первыхпервых 300300ММ+300+300ММ


Уже ратифицирован.Возможны изменения в российском

диапазоне и разрешенных мощностях

Почему 802.11n обеспечивает лучшее покрытие ? - Beam Forming…

802.11a/g

802.11n

Cisco предлагает M-drive. Это: RRM + DFS + ClientLink + CleanAir Technology

11n + 5.1 – 5.7 и 200мв (5, 2.4) …

802.11n802.11n::



802.11a/g

802.11n

802.11n802.11n::



Beam Forming802.11a/g

802.11n

802.11n802.11n::


Beam Forming здорово помогает защититься от подслушивания.Ведь сниферящему ноутбуку нужно быть в луче, ориентированном на

другой ноутбук !А это могут быть всего-навсего кубические дециметры.

802.11n802.11n::

No Connection without

ClientLink

Throughput vs. Distance

Test: 802.11a/g device with 802.11n networkSource: Miercom

Up to 65% Increase in Throughput

13.6%13.6%

87.7%87.7%

70.4%70.4%

89.5%89.5%


802.11n802.11n::

Эта функциональность не

поможет если :- Ваш девайс 802.11b- У Вас и так все хорошо

-У вас более 15 клиентовнуждаются в этом

В контроллерах с 6.0


WCS 7.0 удобное управление, поддержка Clean Air…


WCS 7.0 Новая калибровочная модель


Наконец то добавлен Client Walk !Точность предсказания улучшена существенно.

1. IUAWS – Security. 642-736

2. CUWSS – Site Survey. 642-731

3. IUWMS – Mobility Services. 642-746

4. IUWVN - Voice. 642-741

Курсы:

CCNP Wireless

CCNA Wireless

1. IUWNE – Wireless Network Essential 640-721

CCIE Wireless

…

СПАСИБО ЗА ВНИМАНИЕ!СПАСИБО ЗА ВНИМАНИЕ!

Контакты:

Сергей Монин

CCIE, CCSI, CQS, чего-то еще…

[email protected]

Тел.: +7 (495) 984-2764

Москва, Киевское шоссе, Бизнес-парк Румянцево,

REDLAB/REDCENTER