Wifinity Wi-fi korlátok nélkül Király Gábor Simon János
A vezeték nélküli mobil számítógép olyan, mint a lefolyó nélküli, mozgó fürdőszoba és WC. Megtalálhatók lesznek a közlekedési eszközökön, az építkezéseken és a rockkoncerteken. Én mégis azt tanácsolom, hogy húzasson ki egy kábelt a lakásához, és maradjon otthon. Bob Metcalfe, az Ethernet megalkotója, 1995
3 500 596 4069 8587 3
Tematika Wi-fi nagyvállalati környezetben Indittatások Kihívások Tervezési komplexitás Haszonérvek
Indittatás 5
Menedzsment irányból jövő igények Kényelmi szempontok BYOD számos értelmezése a gyakorlatban 1. magán tulajdonú mobil eszközről INTERNET elérése a vállalati infrastruktúrán 2. Egy-két specifikus belső alkalmazás elérése mobil eszközről 3. vállalati erőforrások elérése magán tulajdonú notebookről Az IPAD-ről szeretném elérni ugyan azt, mint amit elérek a notebookomról is n+1: üzleti folyamatokat támogató mobil alkalmazások használata mobil eszközről
Technológiai igények Logisztikai felhasználás Vonalkód alapú raktári rendszerek Handheld eszközök, vonalkód nyomtatók Targonca terminálok használat Voice Picking Dinamikusan változó gyártósorok kábelezési problémája PLC eszközök
Technológiai igények Bolti/Bevásárló központi felhasználás Kiosk-ok, Video/média terminálok Ár ellenőrzők IP kamerák Vékony kliensek Ethernet port-tal nem rendelkező mobil eszközök hálózatba kapcsolása
IT oldali igények zöldmezős iroda olcsóbb hálózati kiszolgálása épületen belüli költözéssel járó költségek csökkentése ideiglenes vendég, auditor hozzáférés biztosítása organikusan fejlődött, 3rd party rendszerek nehézkes összehangolása ad-hoc hozzáférési igények gyors kiszolgálása (rendezvények, projekt jellegű munkák kezelése) DRS site költséghatékony kialakítása és fenntartása, esetleges költözéskor gyors lereagálás patch panel portok adminisztrációja 9
Költség csökkentési szempontok Elavult kábelezési rendszerek kiváltása 10
Költség csökkentési szempontok Elavult kábelezési rendszerek kiváltása 11
Kihívások Wi-fi oldalról
A felmérés fontossága Wi-fi bevezetéséhez elkerülhetetlen: 1. Kliensek és alkalmazások összegyűjtése 2. Meglévő Wi-fi infrastruktúra felmérése 3. Site-Survey végrehajtása telepítés előtti és utáni állapotban 4. Ipari környezetben spektrum analizátoros mérés 13
Kliens sávszélesség igények meghatározása Általában nem csak egy alkalmazást használunk Tervezzünk a legnagyobb sávszélességet igénylő alkalmazás működéséhez elegendő legkisebb sávszélességgel A legtöbb felhasználó egy időben egyszerre csak egy nagy sávszélességű alkalmazást futtat Az egy AP-ra jutó összsávszélesség alapján kell AP típust választani Alkalmazás Felhasználás módja szerint Web - Alkalmi Web - Üzleti Audio - Alkalmi Audio - Üzleti Video - Casual Video - Üzleti Printing File Sharing - Alkalmi File Sharing - Üzleti Online tesztelés Eszköz Biztonsági mentés Átbocsátóképesség 500 Kbps 1 Mbps 100 Kbps 1 Mbps 1 Mbps 2-4 Mbps 1 Mbps 1 Mbps 2-8 Mbps 2-4 Mbps 10-50 Mbps Hívás típusa Hang Videó, képernyő megosztással HD videó Sávszélesség igény 30Kbps/30kbps 130kbps/130kbps 1.2 Mbps/ 1.2 Mbps 5 résztvevős videó konferencia 130 kbps/2 Mbps 14
Cellaméretezés 2,4 GHz-en 15
Band Select Használjunk 5 Ghz-et! 16
Client Link technológia Cél minél nagyobb adatátviteli sebesség elérése az egyes kliensek esetén 17
Client Link A cél kliens oldalon: nemcsak a minél nagyobb adatátviteli sebesség hanem a késleltetés csökkentés is Client Link kikapcsolva Client Link bekapcsolva Alacsonyabb sávszélesség Magasabb sávszélesség 18
Sávszélesség és üzemidő kapcsolata 38% Better Than Aruba A teljes átvitt adatmennyiség mielőtt teljesen lemerült az eszköz Cisco = 73.33GB Aruba = 45.83GB Kezdő Akku töltöttség Vég Akku töltöttség Teljes veszteség Letöltés ideje Cisco 3600e 75% 60% 15% 56 min Aruba AP 134 75% 51% 24% 70 min 19
Kihívások Alkalmazás és authentikáció oldalról
Hiedelmek, tévhitek A Wi-fi az nem biztonságos?! WPA-PSK megoldás kétségtelenül törhető de nem is ezt illik használni enterprise környezetben kontrollált környezetben kliensenként egyedi, dinamikusan változó kulcs visszafejtéshez szükséges, befektett energia már kérdéses Viszont hány ügyfélnél van hálózati szintű azonosítás és titkosítás LAN környezetben?! Megfelelő EAP módszerrel kellő biztonság garantálható kérdés az egységes megvalósítás Vezetékes hálózat is lehallgatható 21
Hiedelmek, tévhitek Kérdéses a rendelkezésre állás?! AP/switch csere elvégzéséhez szükséges idő aránya jóval kedvezőbb (1 felhasználóra vetítve) hány végpont használ 2 LAN kapcsolatot egyszerre? Wi-fi oldalon ez biztosítható (ms -os átváltással) 22
Kliens eszközök különböző képességű eszközök számára közös technológia authentikációs titkosítási média támogatás (2,4 vs 5 GHz) ISE esetén eszköztípus, helyszín, média alapján szabályozható ki mit használhat kompenzációs lehetőségek régi kliensek esetén Profiling hálózati szegmentáció 23
Tanúsítvány alapú azonosítás a gyakorlatban Tanúsítvány alapú azonosítás egy kézenfekvő megoldás, ám drasztikusan kliens szám növekedés lehet CA oldalon licensz vonzata van kliens oldali limitációk lekezelése (nem minden eszköz képes EAP-TLS-re) tanúsítvány terítés automatizálása Windows környezetben könnyen megoldható mobil környezetben MDM/ISE használatával egyéb eszközökön kihívást jelenhet (akár manuálisan) tanúsítványok életciklus kezelése lejárat előtti automatikus megújítás on-boarding/off-boarding kezelése (minimális IT bevonással) CRL fontossága biztonságos tanúsítvány tár tanúsítvány telepítés secure módon keyusage megfelelő korlátozása 24
Biztonság és kényelem Kényelmi és biztonsági szempontok egyensúlya az alkalmazott azonosítási módszert kiválasztásának szempontjai adott hálózatról elérhető adatok biztonsági szintje esetleges adatvesztés kockázata kliensek EAP és titkosítási képessége és kapacitása kliens identitás információk szétosztási limitációk (pl. egyedi kliens tanúsítvány) fejlesztési költségek felhasználó vagy gép azonosítás történjen (távoli menedzselhetőség) lehet akár különbőző is az egyes zónákra 25
Biztonság és kényelem Két faktoros azonosítás megvalósítása mobil környezetben IT security oldalról nagyon gyakran megfogalmazott igény ám megvalósítása annál nehezebb (kliens adottságok miatt) nincs smart card lehetőség gépelés érintőképernyős környezetben OTP/rövid lejáratú jelszó használata nehézkes korábbi szabályzatok újragondolása 26
Wi-fi infrastruktúrán túl... A Wi-fi bevezetést érdemes tágabb értelemben kezelni: kliens azonosítási folyamatok újragondolása PKI szerepe belső szegmentáció identitás információ felhasználásával vendég hozzáférés lehetősége szabályozása naplózása hálózat menedzsment, QoS üzleti folyamatok mobil környezethez igazítása MDM integráció (tartalom megjelenítés, policy kikényszerítés) párhuzamos / fél-legitim kapcsolatok tiltása
Haszonérvek
Wi-fi alapú elérés bevezetésének előnyei gyorsabb infrastruktúra kiépítés hálózati azonosítási bevezetése drasztikusan rövidebb idő alatt költséghatékony tanúsítvány terítés mobil eszközökre később más alkalmazáshoz is használható 29
Belső hálózati szegmentáció elősegítése Kontroller működéséhez mindenképp szükséges a tunnelezési technika integrált tunnelezési technika belső hálózati VRF implementáció alternatívája lehet identitás alapú, privilegizált hozzáférés biztosítása cég összevonásból adódó hálózati konszolidáció meggyorsítása Cégcsoporton belüli mobilitás biztosítása IP cím ütközés megfelelő jogosultság (pl. vlan) kiadás dinamikus módon 30
Üzletkritikus alkalmazások felügyelete Átfogó kép arról, hogy mi történik a hálózaton aktuális felhasználók listája felhasználók nyomon követése felhasználó szintű forgalmi statisztikák Application visibility Alkalmazás válaszidők monitorozása 31
Útravalóul Pontos igényfelmérés elengedhetetlen főként alkalmazás és üzleti folyamatok szempontból priorizált módon Koncepciótervben való rögzítés Infrastruktúra elemeket (Wi-fi hálózat, AAA, PKI, szegmentáció) igazítsuk az üzleti igényekhez és ne fordítva! Wi-fi technológia és környezet illetve kliens adottságok figyelmbe vételével Kulcsfontosságú a Wi-fi bejárás és felmérés (Site survey) telepítés előtt és után 32
Cisco ISE szakmai nap az S&T-vel Félnapos program keretében mutatjuk be Önnek a Cisco ISE lehetőségeit és a bevezetés buktatóit. Jelentkezés az S&T Consulting Hungary standnál! Ezúton is meghívjuk Önöket! 33
Köszönjük a figyelmet!