Hot Spot rendszerek egyetemi környezetben Networkshop 2010 Debrecen Trencsánszky Imre Vezetı hálózati mérnök SCI-Network
Tartalom Az SCI Network zrt. bemutatása HP-ProCurve MSM pozicionálása a WLAN rendszerszállítók világában A HP-ProCurve MSM WLAN rendszer technológiai áttekintése Telephelyek, kampuszok összekötése Kiemelt hozzáadott értékkel bíró projektjeink 2
SCI-Network zrt.-rıl röviden SCI-Network zrt. Magyar alapítású, magyar tulajdonú infokommunikációs hálózatintegrátor cég Alapítva: 1993 Budapesti központ, országos tevékenységi kör Sopron Szombathely Gyõr Veszprém Salgótarján Budapest Kecskemét Miskolc Szolnok Nyíregyháza Debrecen Portfolió: hálózatintegráció, hw/sw szállítás és fejlesztés kapcsolódó szolgáltatásokkal Zalaegerszeg Siófok Pécs Baja Szeged Békéscsaba IP hálózati kommunikáció LAN/WAN hálózatok kiépítése Vezeték nélküli megoldások (WiFi / HotSpot, különféle WLAN rendszerek, PP, PMP rádiós rendszerek frekvenciadíj köteles és szabad sávokban) Hálózatfelügyelet Security megoldások SW fejlesztések és azok igény szerinti testre szabása 3
A vezetéknélküli LAN architektúrák evolúciója Példák: Cisco Aeronet Proxim ORiNOCO Netgear Linksys Önálló Access Point architektúra 1 generációs rendszerek Skálázhatóság Intelligens AP Példák: Cisco Airespace Aruba Networks Meru Networks Trapeze Networks Centralizált WLAN architektura Központi MNG Switch és vékonykliens AP-k WLAN átfedések Példák: Colubris Networks Trapeze Networks (SmartMobile 11/ 06) 2 generációs rendszerek Elosztott WLAN architektúra MultiServices MultiService Controller és intelligens AP-k Nyílt rendszerek, elosztott intelligencia Teljes kapacitású 802.11n rendszerek A Colubris Networks 2005-tıl Példák: HP MultiService Mobility WLAN Rendszere 3 generációs rendszerek Egységesített WLAN architektúra 4 generációs rendszerek Vezetéknélküli/ vezetékes konvergencia Blade alapú controller- hw architektúra Integrált management Egységes vezetékes és vezetéknélküli szolgáltatások 4
A HP ProCurve MSM WLAN rendszereit 1500 meghatározó szervezet használja világszerte Gyártás Egészségügy Air Force One Szolgáltatók nh HOTELES Vendéglátás Közlekedés Oktatás 5
A HP ProCurve MSM WLAN rendszer rövid r technológiai áttekintése
A HP ProCurve Intelligens MultiService Mobility rendszer Multiservice Access Points Indoor / Outdoor Wireless Client Bridge Local MESH Wi-Fi Access Access Control Guest Access AAA End user PC zero configuration Visitor Management Tool Access Control Predictive RF cell planning (PC software) RF Planning RF Planning Mobility Control Voice over IP Seamless Roaming IP subnet roaming Central management for medium/large networks Network Management Intrusion Prevention 24 x 7 Security shell Wi-Fi Location tracking 7
MSM760 MultiServices Controller (Grayhound) 802.11n re optimalizált stand alone tagja a HP ProCurve MultiService Mobility Controller családnak Licenszelhetı 40 200 APig Alapkiépítés 40 AP támogatás 5.4.0 szoftver verzió 1Gbit portok (LAN,Internet) Access & Mobility verzió Virtuális kontroller lehetıség (clustering) Valós idejő N+1 redundancia 8 8
MSM765zl Mobility Controller (Queensnake) 802.11n re optimalizált blade tagja a HP ProCurve MultiService Controller családnak Licenszelhetı 40 200 AP-ig Alapkiépítés 40 AP támogatás 2 x 10 Gbit full duplex backplane csat (28.8 Gbps egyidejő) Csak Mobility verzió Virtuális kontroller lehetıség 800 AP ig (clustering) Valós idejő N+1 redundancia Élettartam garancia!!! ProCurve Switch 8212zl ProCurve Switch 5400zl 9 9
A HP ProCurve Access Pointjai MSM415 MSM310 MSM320 MSM335 MSM410 MSM422 802.11 Radio Single a/b/g/n sensor Single a/b/g Dual a/b/g+a/b/g Triple a/b/g+a/b/g+ sensor Single n/a/b/g Dual n/a/b/g + a/b/g VSC - 16 16 16 16 16 QoS - 4 levels 4 levels 4 levels 4 levels 4 levels Enclosure Plenum-rated indoor Plenum-rated indoor Plenum-rated indoor Plenum-rated indoor Plenum-rated indoor Plenum-rated indoor Power Inputs 802.3af PoE 802.3af PoE or external DC 802.3af PoE or external DC 802.3af PoE 802.3af PoE 802.3af PoE or 802.3at PoE Operating Modes Monitor AP, WLAN Monitor, LMP AP, WLAN Monitor, LMP AP, WLAN Monitor, LMP AP, WLAN Monitor, LMP AP, WLAN Monitor, LMP 10 10
Virtuális AP-k a különféle szolgáltatásokhoz Minden HP ProCurve Access Point 16 VSC-t (Virtual Service Community) képes kezelni VSC #1 own encryption own prioritization own min/max Data Rate own unique SSID own unique MAC address own client filters own VLAN own IP subnet own DHCP service VSC #16 own encryption own prioritization own min/max Data Rate own unique SSID own unique MAC address own client filters own VLAN own IP subnet own DHCP service 11
Az inteligens AP-kba beépített QoS Priority queuing a Wi-Fi interface-en Ethernet - 802.1p - DiffServ - TOS QoS Forwarding Engine VSC-nként 4 Transmit/Receive queue a különbözı QoS igényő szolgáltatásokhoz A priorizált alkalmazások kapnak hozzáférést elıször a WiFi sávszélességhez Megfelel a WMM (802.11e) QoS szabványnak Protocol-based Forwarding 1 2 3 4 Wi-Fi ProCurve MSM xxx SIP WMM QoS SVP QoS No QoS 12
Üzleti folyamatokhoz való optimalizálás Az AP-k adatforgalma kombinált módon a kontrolleren át (pl. HTTP-redirect esetén), vagy közvetlenül az szerver erıforrások felé mehet A forgalom irányítása VSC-nként (SSID-nként) történik WAN ill. campus hálózat aktív eszközeinek (tipikusan L2/L3 switchek, routerek) kombinált mőködési mód esetén kisebb forgalmat kell átvinniük, mivel a lokális szerverek forgalma helyben marad (ez a 802.11n-es AP-k esetén igen nagy lehet, amely a gerinchálózat átméretezését is eredményezheti) A Sensor-AP forgalom kizárólag az RF Managerhez tart Centralized Combined Optimized Switching Mode HP MSM Kontroller HP MSC MSC Adat forgalom HP MAP AP HP MSM AP-k LAN LAN Data Data Center Center Sensor HP AP MAP Szerver Server Server HP RF Manager (IPS/IDS) Szenzor-AP forgalom 13
Virtuális kontroller Virtual Controller Közös management IP cím, egységes kezelıi felület Maximum 800 AP, egyidejő 2000 kontrollált (vezérlın áthaladó) felhasználói forgalom kezelése A virtuális kontrollert alkotó kontrollereknek L2-es szinten kell látniuk egymást (VLAN, L2 Tunnel, stb) Meghibásodás esetén az L2 Network összlicensz számnak megfelelıen, a team többi tagja automatikusan átveszi az AP-k vezérlését Amennyiben a team manager hibásodik meg, úgy a többi team tag közül automatikusan kiválasztódik az új Team Manager, amely a korábbi management IP címen lesz elérhetı Team Manager Member Member Failure Member Member MSM760 160 AP License MSM760 160 AP License MSM760 160 AP License MSM760 160 AP License MSM760 160 AP License 40 APs failover to this controller 40 APs failover to this controller 40 APs failover to this controller 40 APs failover to this controller 14
Virtuális kontroller WAN ill. campus hálózatokban 15
A vezeték nélküli hálózati biztonsága Mis-configured AP Rogue AP Denial of Service Attack Mis-association Enterprise NetworkNeighboring Network Honeypot Unauthorized Association A hálózat védelme a rádiós hálózatok tervezésének és üzemeltetésének kritikus pontja A HP ProCurve megoldása nem csak detektálni, hanem elhárítani is képes az ábrán összefoglalt, rádiós hálózatot érı támadást! AP MAC Spoofing? Ad Hoc 16
3 szintő védelem a HP-MSM WLAN rendszereiben Level 3 - Wi-Fi Behatolás Detektálás és Megelızés(Intrusion Detection and Prevention) Level 2 - Network Access Control-Hálózati hozzáférési réteg 802.1x és Radius vagy MS ActiveDirectory segítségével Level 1 - Fizikai szintő titkosítás, VLAN és L2 izoláció 17
Level 1: Fizikai szintő adatfolyam titkosítás Wi-Fi tikosítás kiválasztása Nyílt (Open=no encryption - pl. Hot-Spot esetén, ahol csak http redirection van) WPA (TKIP) PreShared Key 802.1x + RADIUS vagy MS ActiveDirectory WPA2 (IEEE 802.11i, AES) PreShared Key 802.1x + RADIUS vagy MS ActiveDirectory Az AP-k a VLAN-okkal a különbözı rádiós adatfolyamokat szeparáltan kezelik - minden AP-n 16 különbözı VSC (SSID) állítható be a hozzá tartozó VLAN-nal Az egy VSC-hez (SSID) kapcsolódó kliensek a rádiós fizikai rétegben sem látják egymást az AP-n keresztül 18
Level 2: Network Access Control Hozzáférés egyetemi/vállalati felhasználók számára 802.1x RADIUS/IAS vagy MS Active Directory A végfelhasználói jogosultságok tárolása SQL, LDAP or Active Directory adatbázisokban Széleskörő szabályrendszer és Policy Struktúra a felhasználó Authentikálására és User Group-ba sorolására (VLAN, QoS, Bandwidth,ACL...) Az MSM 700-as sorozatú kontrollerekben beépített RADIUS szerver Biztonságos Guest User hozzáférés A bejelentkezı felület lehet belsı, vagy külsı WEB szerveren tárolt Home Page Redirect (Welcome Web Page) Log-in name / password vagy 802.1x alapú authentikáció Kliensenkénti (Wi-Fi vagy vezetékes) sávszélesség menedzsment (RADIUS paraméterben megadható) SCI Guest Manager saját fejlesztéső guest adminisztrációs rendszer (Virtuális kontrollerek esetén is!) 19
Level 3 : A WiFi hálózatvédelem RF Manager Appliance Teljes IPS/IDS funkcionalitás, több mint 140 féle biztonsági és teljesítmény esemény monitorozása, riasztása és behatárolása (megjelenítése) Az elıre beállított szabályrendszer alapján kategorizálja a szenzorok által érzékelt összes rádiós eszközt A szenzor AP-k által küldött adatok alapján érzékeli és az elıre definiált válaszlépéssel elhárítja a támadást. Sokféle riportszabvány szerinti jelentéskészítés: Sarbenes-Oxley, Gramm-Leach-Bliley, PCI(credit cards) HIPAA (Hospitals), Dep. Of Defense Helymeghatározás Sensor AP A szenzorok minden csatornát szkennelnek Network detector mód: a vezetékes hálózat VLANjait monitorozza a hálózatra illegálisan csatlakozó, vagy hibásan beállított AP-k felfedezéséhez és kizárásához 802.11 (a/b/g/n sensor) 802.11 (a/b/g sensor) 20
Level 3: WiFi eszköz, kliens és eseménykategorizálás Access Points Events Clients Guest Authorized External Rogue Ad-hoc Prevent Guest Authorized Unauthorized Authorized: A saját hálózathoz csatlakozik Az elıre definiált policy-nek megfelelı Rogue: A saját hálózathoz csatlakozik Megsérti a hálózati policy-t External: Nem csatlakozik a saját hálózathoz Guest: A guest hálózathoz csatlakozik A Guest security policy-t követi Nem férhet hozzá az authorizált AP-khez Authorized: Authorizált AP-hez csatlakozik Unauthorized: Rogue AP-hoz csatlakozik Külsı AP-hoz csatlakozik Guest: Guest AP-hoz csatlakozik 21
Level 3: Az RF Manager kezelıpultja a riasztásokkal és fenyegetésekkel 22
Level 3: Az RF Manager helymeghatározási képessége a fenyegetések behatárolására 23
Level 3 Az RF Manager valósidejő RSSI lefedettségi térképe Heat-map jellegő megjelenítésben 24
Level 3 Az RF Manager valós idejő adatátviteli sebesség térképe 25
Referenciák Hotel Meridien 31 AP- bıl álló hálózat a szállóvendégek Internet hozzáférésének biztosítására, redundáns vezérlıvel, és az SCI Guest Manager szoftverrel, amely lehetıvé teszi rugalmas szolgáltatás csomagok kialakítását, authentikációs kártyák generálását, valamint a jogosultságok automatikus kontrollálását. Fıvárosi Szabó Ervin Könyvtár Egy központi hely és 50 fiókkönyvtár központi vezérlıje (helyszínenként különféle AP-kkel) Standard internet hozzáférés a helyi PC-ken A látogatók notebookjainak internet hozzáférés biztosítása WiFi-n Wi-Fi lefedés csak az épületen belül Szigorúan szabályzott és ellenırzött kapcsolatok asci Guest Manager-en keresztül Budapesti Gazdasági Fıiskola 4 telephelyen 39 db AP központi vezérléssel a fıiskola hálózatához Hungaroring A verseny újságíróinak minıségi WiFi Internet hozzáférésének biztosítása 33 AP, redundáns kontroller, SCI Guest MAnager 26
Köszönöm m a figyelmüket! timre@scinetwork.hu