Embed Size (px)
DESCRIPTION
Citation preview
Функциональность современных
беспроводных сетей Cisco
Сергей Монин 18/11/2013
Содержани
е Введение
Возможности современных WLAN
Безопасность: современные
возможности WIPS и противодействие
rogue APs, механизмы защиты.
Выводы
“Мы подняли feedback с прошлогодней сесии.
Мы опрашивали участников после виртуального дня.
Просьба учесть в докладе Сергея, если возможно:
- Безопасность беспроводных сетей 802.11
- wireless security mistakes
- больше про беспроводные сети
- Беспроводные технологии.
- безопасность беспроводных сетей
- Возможности современных беспроводных сетей Cisco –
только в полном варианте - а не "галопом по Европе" как это было сегодня”
Введение
Развитие беспроводных сетей в мире
Беспрецедентные темпы
WLAN (Мощные, полнофункциональные сети предприятий)
Домовые сети
Соединение удаленных проводных сетей на большие расстояния
Мониторинг безопасности, системы позиционирования
Mesh сети уличного и внутриофисного исполнения
Введение
Развитие Outdoor-mesh и прото outdoor беспроводных сетей в мире
Потребители:
Провайдеры
Широкополосный доступ
Муниципальные сети
Транспорт
Нефте-газо добыча/транспортировка
Введение
Локальные сети с контроллером vs :Единая система организации WLAN.
Гибкая система управления безопасностью
(встроенные механизмы обнаружения вторжений).
Высокая производительность.
Встроенная система отслеживания перемещений.
Уменьшение затрат на развертывание и поддержку сети.
Простота управления беспроводной сетью большого масштаба.
Облегчен Site Survey.
Сравним со standalone решениями…
Введение
Локальные сети с контроллером:
Восстановление покрытия при
выходе из строя какой-либо АР
В случае перегрузки, переключение
новых пользователей
Автоматическое управление
производительностью сети:
Настали времена, когда уже не нужно доказывать ценность централизованного управления
Точки доступа:
Введение
3700 3600 3500 1260 1140 1040 600 1550
Скорость, Mb 1.3/450 450+ 300 300 300 300 300 300
CleanAir Для ас да да Да
ClientLink 3.0 2.0 Да да да да
Rougue Detection да да Да да да да Да
WIPS да да да да да Да
Office Extend Да
FlexConnect да да да да да да В 7.2
Mesh да да да да да да Да
AP500, 100, 300, 600, 700, 1040, 1130, 1140, 1200, 1240, 1250, 1260, 1600, 2600,
3500, 3600, 3700, 1300, 1400, 1500, 1520, 1530(замена1310), 1550…
Модули: WSSI – Wireless security, 3G Small Cell – до 16 LTE клиентов(для опсосов)
И видимо будут новые модули для поддержки второй волны 802.11АС (3.5Gb, MU-MIMO)
МЕРАКИ :
Новое
Купите точки (500-800$) и лицензию на обслуживание вместо контроллера
(150$ per AP/Year). Обслуживать точки будет виртуальный контроллер,
Расположенный где-то в Cisco )) управлять/анализировать можно через WEB.
Точки будут работать примерно как в FlexConnect…
???
Контроллеры свежие :
Новое
SO-Medium Office
2500(4GEth) WLCM2
AP 5/15/25/50 , 500 User-ов
300 Мбит
5500 SeriesWiSM2
Enterprise, Campus…
AP 12 – 500
7000 – 10000 User-ов
8 – 10 GEth
Flex 7500 и 8500
Branch Mobile
Для HREAP АР
AP 500 – 6000
64000 User-ов
2*10Ge
Спецконтроллер
Для FlexConnect
(бывш. HREAP) точек
Local mode AP is not supported
Inter Controller mobility is not supported
LAG is not supported on WLC 7500
Data DTLS is not supported
Client and RFID Tag location is not supported
Voice CAC is not supported
Reliable multicast (Media Stream feature) is not supported
WGB is not supported
WLC 7500 platform will not be certified with FIPS
Виртуальный контроллер
7.3,4,5
5700
1000ар60gb12000users
Switch/controller:
3650
3850
На подходе версия 8.0 ?
Контроллеры, свежие решения
FlexConnect:
Новое
Branch Mobile
Для HREAP АР
128K, 300ms
(100ms – голос)
Контроллеры, свежие решения
Virtual 7:
Новое
vWLC – решение для небольших/средних филиалов . VMWare позволяет
Нам разместить в одной коробке несколько сервисов:
Hardware: Cisco UCS, UCS Express, HP and IBM serversVMware OS: ESX/ESXi 4.x/5.xFlexConnect Mode: central and local switchingMaximum APs: 200Maximum клиентов: 3000Throughput performance up to 500 Mbps per virtual controllerManagement with Cisco Prime Infrastructure 1.2 and above
All 802.11n APs with required software version 7.3 are supported.APs will be operating in FlexConnect mode only.AP autoconvert to FlexConnect is supported on controller.New APs ordered will ship with 7.3 software from manufacturing.Existing APs must be upgraded to 7.3 software before joining a virtual controller.
ЧЕГО НЕТ: Data DTLS, OEAP (no data DTLS),Rate Limiting,Internal DHCP server, Mobility/Guest Anchor, Multicast-Unicast mode, PIMIPv6, Outdoor Mesh Access Points( an Outdoor AP with FlexConnect mode will work)
Локальные сети (ПО):
WCS
Cisco Secure ACS
Cisco Prime NCS
Mobility Service Engine 3355 (Loc.App+wIPS)
Введение
Локальные сети (ПО):
Cisco Prime Infrastucture: вырос из WCS, NCS(+LMS) и позволяет управлять и
диагностировать и коммутаторы доступа и АР и контроллеры и MSE с
поддержкой wIPS, CleanAir.. То есть налицо универсальная система управления
Всем.
Может работать совместно с Cisco Identity Service Engine, которыйв свою очередь вырастает из Cisco Secure ACS и NAC
И который (в свою очередь) может обеспечивать MDM..
Введение
WCS – 7.0.240 (01/2013)
Край.
Cisco Prime Infrastructure 2.0
09/2013 (4.5Gb)
Безопасность 802.11 – вопрос N 2 !
Непротокольные угрозы:
Неадекватный Site Survey
Внешние антенны, Wi Mesh
PCI DSS, Защита персональных данных : Welcome to the IAUWS Course ))
AES vs WEP(TKIP):
AES 128 – лучше, чем WEP(TKIP)
Классическая безопасность WLAN. Шифрация
и аутентификация, тут все просто:
PSK vs 802.1x:
Hole 196 MadWiFi driver – пока используйте Peer-to-Peer Blocking Mode…
802.1х - лучше чем его отсутствие
PEAP, EAP-TLS, EAP-FAST.
Безопасность WLAN – тут сложнее:
Как в этом разобраться?
Безопасность WLAN
AP и контроллер
CAPWAP Tunnel (UDP 5246, 5247)
Управление - DTLSДанные – DTLS (опционально 6.0)
CAPWAP может быть только L3
Взаимная аутентификация —X.509
Новый протокол CAPWAP, разработан для работы
Точек доступа не только WiFi (RFC5415)
Безопасность WLANNAC in-band
NAC Appliance
Постоянный анализ любого трафикаЛюбых пользователей, контроль полосы
Пропускания в реальном времени.
NAC Framework
RADIUS Server
ACS 4.x
AccessPointClient
NAC Server
Vendor -X
Доступ в сеть
Более «дешевый» способ:
По-запросное управление доступом
Безопасность WLAN
ПЛАН ОФИСА
Безопасность WLAN
Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT..
Безопасность WLAN
Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT..
Зачем нужны отдельные устройства:
Дискретизация обычных wifi интерфейсов
5MHz, а у этих имеется спец.чип – 125 KHz
Т.е. вместо мутного пятна они видят четкую сигнатуру
Безопасность WLAN
Радиочастотная безопасность: хорошо бы еще видеть микроволновки/БТ/CCVT..
Что же нужно?
1. CleanAir точка доступа
2. Контроллер 7.х
[3.] WCS/Prime
[4.] MSE
WCS/Prime дает дэшборд, централизацию, отчеты,карты
MSE – трэкинг, более точные PMAC,большую точность, зоны..
AQI
Эффективное обнаружение
местоположения родных и
вражеских устройств с
возможностью калибровки!
Локальные сети:
Безопасность WLAN
РЭБ
2 AP
Containment
Spoof UnicastDeauthentication
Rogue AP
Access Point
Controller
Spoof UnicastDeauthentication
Безопасность WLAN
РЭБ RLDP
Rogue APAccess point
DHCP
IP Address
Connect (port 6352)
Controller
Безопасность WLAN
Этапы борьбы с злодеями:
Безопасность WLAN
Прослушивание всех устройств и анализ информации из
beacon пакетов.
Отслеживание проводных подключений и трассировка их.
Блокировка портов на switch-ах, определение местоположения
На карте.
Включение режимов подавления.
«Физическое» устранение проблемы. (по возможности)
Мониторинг врагов:
Безопасность WLAN
АР может следить как в обычном (Local), так и в специальном (monitor)
режимах. Далее следует классификация:
Detected as Rogue
Rogue Rule:SSID: tmobileRSSI: -80dBm
Marked as Friendly
Rogue Rule:SSID: Corporate
RSSI: -70dBm
Marked as Malicious
Rogues Matching No
Rule
Marked as Unclassified
Мониторинг врагов:
Безопасность WLAN
Далее может следовать трассировка:
Мониторинг врагов:
Безопасность WLAN
Далее определение местоположения на карте:
Мониторинг врагов:
Безопасность WLAN
Далее подавление:
Мониторинг врагов:
Безопасность WLAN
Далее подавление:
Rogue AP
Сценарий Метод подавления
Rogue AP и
клиенты
Broadcast and Unicast Deauth
frames
Broadcast Deauth frames
РЭБ …еще и сигнатурная защита
Безопасность WLAN
IDS и wIPS:
Безопасность WLAN
IDS и wIPS:
Базовая IDS присутствует в контроллерах по умолчанию.
Для реализации IPS понадобится MSE !
Отличия:
- MSE собирает информацию от контроллеров и только потом докладывает
на WCS.
-База данных атак существенно больше.
- Есть возможность «захвата» атаки для анализа
- Отчеты за период
- Меньше вероятность ложных срабатываний
Безопасность WLAN
IDS и wIPS:
Monitoring, Reporting
Over-the-Air Detection
wIPS AP Management
Complex Attack Analysis, Forensics, Events
AP Attack Detection
24x7 Scanning
WLC Configuration
MSE Alarm Archival
Capture Storage
WCS Centralized Monitoring
Historic Reporting
Безопасность WLAN
IDS и wIPS:
1130
1040
1140
1260
3500
3600
3700
Безопасность проводных сегментов
Чтобы не думать о безопасности в проводах используй это:
WAN
Internet External ServicesExternal DNS serverWEB Server
External DMZExternal Firewall
Internet Routers
Virtual Anchor Controller
SSID: GUESTRate Limit = 500Kbps
Remote Office
SSID: InternalSSID: GUEST
SSID Client Default Gateway
Tunnel to Virtual Anchor
Remote Office
SSID: Internal
WLC
G G
= GUEST= GUESTG
1 2
= Internal 11
= Internal 22
Гостевой доступ
удобное управление, поддержка Clean Air…
Новое
Все, к чему вы привыкли в Redcenter, теперь
находится в учебном центре Ментор!
Преподаватели, оборудование, учебные
классы и конечно печенье.
Все на том же месте.
TC-MENTOR.RU
Курсы:
…
СПАСИБО ЗА ВНИМАНИЕ!
Контакты:
Сергей Монин
CCIE, CCSI, CQS, ENS, ENA,чего-то еще…
[email protected] http://tc-mentor.ru
Тел.: +7 (495) 984-2764
Москва, Киевское шоссе, Бизнес-парк Румянцево,
TC MENTOR/ARCCN
