Hot Spot rendszerek egyetemi környezetben. Networkshop 2010 Debrecen Trencsánszky Imre Vezetı hálózati mérnök SCI-Network

Hot Spot rendszerek egyetemi környezetben Networkshop 2010 Debrecen Trencsánszky Imre Vezetı hálózati mérnök SCI-Network

Tartalom Az SCI Network zRt. bemutatása HP-ProCurve MSM pozicionálása a WLAN rendszerszállítók világában A HP-ProCurve MSM WLAN rendszer technológiai áttekintése Telephelyek, kampuszok összekötése Kiemelt hozzáadott értékkel bíró projektjeink

2

SCI-Network zRt.-rıl röviden SCI-Network zRt.




Magyar alapítású, magyar tulajdonú infokommunikációs hálózatintegrátor cég Alapítva: 1993 Budapesti központ, országos tevékenységi kör

Salgótarján Nyíregyháza Miskolc

Sopron

Szombathely

Debrecen

Gyõr

Budapest

Szolnok

Veszprém Kecskemét

Zalaegerszeg

Portfolió: hálózatintegráció, hw/sw szállítás és fejlesztés kapcsolódó szolgáltatásokkal

Siófok Békéscsaba Baja

Szeged

Pécs

IP hálózati kommunikáció LAN/WAN hálózatok kiépítése Vezeték nélküli megoldások (WiFi / HotSpot, különféle WLAN rendszerek, PP, PMP rádiós rendszerek frekvenciadíj köteles és szabad sávokban)
Hálózatfelügyelet
Security megoldások
SW fejlesztések és azok igény szerinti testre szabása




3

A vezetéknélküli LAN architektúrák evolúciója

Példák: Colubris Networks Trapeze Networks (SmartMobile 11/’06) Elosztott WLAN architektúra

Példák: Cisco Airespace Aruba Networks Példák: Meru Networks Cisco Aeronet Trapeze Networks Proxim ORiNOCO Centralizált Netgear WLAN Linksys architektura Önálló Access Point architektúra 1 generációs rendszerek Skálázhatóság • Intelligens AP

2 generációs rendszerek Központi MNG • “Switch” és vékonykliens AP-k • WLAN átfedések

Példák: HP MultiService Mobility WLAN Rendszere Egységesített WLAN architektúra

3 generációs rendszerek MultiServices • MultiService Controller és intelligens AP-k • Nyílt rendszerek, elosztott intelligencia • Teljes kapacitású 802.11n rendszerek

A Colubris Networks 2005-tıl

4 generációs rendszerek Vezetéknélküli/ vezetékes konvergencia • Blade alapú controller- hw architektúra • Integrált management • Egységes vezetékes és vezetéknélküli szolgáltatások

4

A HP ProCurve MSM WLAN rendszereit 1500 meghatározó szervezet használja világszerte

Egészségügy Egészségügy

Gyártás Gyártás

Szolgáltatók Szolgáltatók

Air Force One

nH HOTELES

Vendéglátás Vendéglátás

Közlekedés Közlekedés

Oktatás Oktatás 5

A HP ProCurve MSM WLAN rendszer rövid technológiai áttekintése

A HP ProCurve Intelligens MultiService Mobility rendszer

Guest Access AAA End user PC zero configuration Visitor Management Tool

Multiservice Access Points Indoor / Outdoor Wireless Client Bridge Local MESH

Access Control

Wi-Fi Access

Predictive RF cell planning (PC software)

RF Planning

Access Control

RF Planning

Mobility Control

Voice over IP Seamless Roaming IP subnet roaming

Network Intrusion Management Prevention Central management for medium/large networks

24 x 7 Security shell Wi-Fi Location tracking

7

MSM760 MultiServices Controller (Grayhound)

”802.11n”–re optimalizált stand alone tagja a HP ProCurve MultiService Mobility Controller családnak Licenszelhetı 40 – 200 APig
Alapkiépítés 40 AP támogatás 5.4.0 szoftver verzió 1Gbit portok (LAN,Internet) Access & Mobility verzió Virtuális kontroller lehetıség (clustering) Valós idejő N+1 redundancia

8 8

MSM765zl Mobility Controller (Queensnake)

”802.11n”–re optimalizált blade tagja a HP ProCurve MultiService Controller családnak Licenszelhetı 40 – 200 AP-ig
Alapkiépítés 40 AP támogatás 2 x 10 Gbit full duplex backplane csat (28.8 Gbps egyidejő) Csak Mobility verzió Virtuális kontroller lehetıség 800 AP ig (clustering) Valós idejő N+1 redundancia Élettartam garancia!!!

ProCurve Switch

ProCurve Switch

8212zl

5400zl

9 9

A HP ProCurve Access Pointjai

MSM415

MSM310

MSM320

MSM335

MSM410

MSM422

Single a/b/g/n sensor

Single a/b/g

Dual a/b/g+a/b/g

Triple a/b/g+a/b/g+ sensor

Single n/a/b/g

Dual n/a/b/g + a/b/g

VSC

-

16

16

16

16

16

QoS

-

4 levels

4 levels

4 levels

4 levels

4 levels

Enclosure

Plenum-rated indoor

Plenum-rated indoor

Plenum-rated indoor

Plenum-rated indoor

Plenum-rated indoor

Plenum-rated indoor

Power Inputs

802.3af PoE

802.3af PoE 802.3af PoE or or external DC external DC

802.3af PoE

802.3af PoE

802.3af PoE or 802.3at PoE

AP, WLAN Monitor, LMP

AP, WLAN Monitor, LMP

AP, WLAN Monitor, LMP

AP, WLAN Monitor, LMP

802.11 Radio

Operating Modes

Monitor

AP, WLAN Monitor, LMP

10 10

Virtuális AP-k a különféle szolgáltatásokhoz Minden HP ProCurve Access Point 16 VSC-t (Virtual Service Community) képes kezelni

VSC #1 own encryption own prioritization own min/max Data Rate own unique SSID own unique MAC address own client filters own VLAN own IP subnet own DHCP service

VSC #16 own encryption own prioritization own min/max Data Rate own unique SSID own unique MAC address own client filters own VLAN own IP subnet own DHCP service

11

Az inteligens AP-kba beépített QoS - 802.1p - DiffServ - TOS

Priority queuing a Wi-Fi interface-en

Ethernet Protocol-based Forwarding

QoS Forwarding Engine VSC-nként 4 Transmit/Receive queue a különbözı QoS igényő szolgáltatásokhoz A priorizált alkalmazások kapnak hozzáférést elıször a WiFi sávszélességhez Megfelel a WMM (802.11e) QoS szabványnak

SIP

1

2

3

4

ProCurve MSM xxx

Wi-Fi

WMM QoS

SVP QoS

No QoS

12

Üzleti folyamatokhoz való optimalizálás Combined Centralized Optimized Switching Switching SwitchingMode Mode Mode Az AP-k adatforgalma kombinált módon a kontrolleren át (pl. HTTP-redirect esetén), vagy közvetlenül az szerver erıforrások felé mehet A forgalom irányítása VSC-nként (SSID-nként) történik WAN ill. campus hálózat aktív eszközeinek (tipikusan L2/L3 switchek, routerek) kombinált mőködési mód esetén kisebb forgalmat kell átvinniük, mivel a lokális szerverek forgalma helyben marad (ez a 802.11n-es AP-k esetén igen nagy lehet, amely a gerinchálózat átméretezését is eredményezheti) A Sensor-AP forgalom kizárólag az RF Managerhez tart

Data Center Data DataCenter Center

HP MSM Kontroller HP MSC MSC

Szerver Server Server HP RF Manager (IPS/IDS) Adat forgalom

LAN LAN LAN Szenzor-AP forgalom HP MSM AP-k

AP HP HPMAP MAP

SensorHP APMAP HP MAP

13

Virtuális kontroller Virtual Controller Közös management IP cím, egységes kezelıi felület Maximum 800 AP, egyidejő 2000 kontrollált (vezérlın áthaladó) felhasználói forgalom kezelése A virtuális kontrollert alkotó kontrollereknek L2-es szinten kell látniuk egymást (VLAN, L2 Tunnel, stb) Meghibásodás esetén az L2 Network összlicensz számnak megfelelıen, a team többi tagja automatikusan átveszi az AP-k vezérlését Amennyiben a team manager hibásodik meg, úgy a többi team tag közül automatikusan kiválasztódik az új Team Manager, amely a korábbi management IP címen lesz elérhetı

Team Manager

MSM760 160 AP License

40 APs failover to this controller

Member

MSM760 160 AP License

40 APs failover to this controller

Member Failure

MSM760 160 AP License

Member

MSM760 160 AP License

40 APs failover to this controller

Member

MSM760 160 AP License

40 APs failover to this controller

14

Virtuális kontroller WAN ill. campus hálózatokban

15

A vezeték nélküli hálózati biztonsága Denial of Service Attack bo igh Ne

o rk et w N g rin

Mis-association

s pri Mis-configuredeAP t r En

or k et w N e

Honeypot Unauthorized Association

Rogue AP

AP MAC Spoofing

A hálózat védelme a rádiós hálózatok tervezésének és üzemeltetésének kritikus pontja A HP ProCurve megoldása nem csak detektálni, hanem elhárítani is képes az ábrán összefoglalt, rádiós hálózatot érı támadást!

? Ad Hoc

16

3 szintő védelem a HP-MSM WLAN rendszereiben

Level 3 - Wi-Fi Behatolás Detektálás és Megelızés(Intrusion Detection and Prevention)

Level 2 - Network Access Control-Hálózati hozzáférési réteg 802.1x és Radius vagy MS ActiveDirectory segítségével

Level 1 - Fizikai szintő titkosítás, VLAN és L2 izoláció

17

Level 1: Fizikai szintő adatfolyam titkosítás Wi-Fi tikosítás kiválasztása
Nyílt (Open=no encryption - pl. Hot-Spot esetén, ahol csak http redirection van)
WPA (TKIP) ▪ PreShared Key ▪ 802.1x + RADIUS vagy MS ActiveDirectory
WPA2 (IEEE 802.11i, AES) ▪ PreShared Key ▪ 802.1x + RADIUS vagy MS ActiveDirectory

Az AP-k a VLAN-okkal a különbözı rádiós adatfolyamokat szeparáltan kezelik - minden AP-n 16 különbözı VSC (SSID) állítható be a hozzá tartozó VLAN-nal Az egy VSC-hez (SSID) kapcsolódó kliensek a rádiós fizikai rétegben sem látják egymást az AP-n keresztül

18

Level 2: Network Access Control Hozzáférés egyetemi/vállalati felhasználók számára 802.1x RADIUS/IAS vagy MS Active Directory • A végfelhasználói jogosultságok tárolása SQL, LDAP or Active Directory adatbázisokban • Széleskörő szabályrendszer és Policy Struktúra a felhasználó Authentikálására és User Group-ba sorolására (VLAN, QoS, Bandwidth,ACL ...) • Az MSM 700-as sorozatú kontrollerekben beépített RADIUS szerver

Biztonságos Guest User hozzáférés • A bejelentkezı felület lehet belsı, vagy külsı WEB szerveren tárolt • Home Page Redirect (Welcome Web Page) • Log-in name / password vagy 802.1x alapú authentikáció • Kliensenkénti (Wi-Fi vagy vezetékes) sávszélesség menedzsment (RADIUS paraméterben megadható) • SCI Guest Manager saját fejlesztéső guest adminisztrációs rendszer (Virtuális kontrollerek esetén is!) 19

Level 3 : A WiFi hálózatvédelem RF Manager Appliance Teljes IPS/IDS funkcionalitás, több mint 140 féle biztonsági és teljesítmény esemény monitorozása, riasztása és behatárolása (megjelenítése) Az elıre beállított szabályrendszer alapján kategorizálja a szenzorok által érzékelt összes rádiós eszközt A szenzor AP-k által küldött adatok alapján érzékeli és az elıre definiált válaszlépéssel elhárítja a támadást. Sokféle riportszabvány szerinti jelentéskészítés: Sarbenes-Oxley, Gramm-Leach-Bliley, PCI(credit cards) HIPAA (Hospitals), Dep. Of Defense Helymeghatározás

Sensor AP A szenzorok minden csatornát szkennelnek Network detector mód: a vezetékes hálózat VLANjait monitorozza a hálózatra illegálisan csatlakozó, vagy hibásan beállított AP-k felfedezéséhez és kizárásához

802.11 (a/b/g/n sensor)

802.11 (a/b/g sensor)

20

Level 3: WiFi eszköz, kliens és eseménykategorizálás Access Points

Events

Clients

t es u G

Gu es

Extern al Ro gue Authorized: A saját hálózathoz csatlakozik Az elıre definiált policy-nek megfelelı Rogue: A saját hálózathoz csatlakozik Megsérti a hálózati policy-t External: Nem csatlakozik a saját hálózathoz Guest: A guest hálózathoz csatlakozik A Guest security policy-t követi Nem férhet hozzá az authorizált AP-khez

Ad-hoc Prevent

rized o h t u A

t

Authoriz ed rized o h t u Una

Authorized: Authorizált AP-hez csatlakozik Unauthorized: Rogue AP-hoz csatlakozik Külsı AP-hoz csatlakozik Guest: Guest AP-hoz csatlakozik

21

Level 3: Az RF Manager kezelıpultja a riasztásokkal és fenyegetésekkel

22

Level 3: Az RF Manager helymeghatározási képessége a fenyegetések behatárolására

23

Level 3 –Az RF Manager valósidejő RSSI lefedettségi térképe Heat-map jellegő megjelenítésben

24

Level 3 – Az RF Manager valós idejő adatátviteli sebesség térképe

25

Referenciák Hotel Meridien •

31 AP- bıl álló hálózat a szállóvendégek Internet hozzáférésének biztosítására, redundáns vezérlıvel, és az SCI Guest Manager szoftverrel, amely lehetıvé teszi rugalmas szolgáltatás csomagok kialakítását, authentikációs kártyák generálását, valamint a jogosultságok automatikus kontrollálását.

Fıvárosi Szabó Ervin Könyvtár • • • • •

Egy központi hely és 50 fiókkönyvtár központi vezérlıje (helyszínenként különféle AP-kkel) Standard internet hozzáférés a helyi PC-ken A látogatók notebookjainak internet hozzáférés biztosítása WiFi-n Wi-Fi lefedés csak az épületen belül Szigorúan szabályzott és ellenırzött kapcsolatok aSCI Guest Manager-en keresztül

Budapesti Gazdasági Fıiskola •

4 telephelyen 39 db AP központi vezérléssel a fıiskola hálózatához

Hungaroring • •

A verseny újságíróinak minıségi WiFi Internet hozzáférésének biztosítása 33 AP, redundáns kontroller, SCI Guest MAnager

26

Köszönöm a figyelmüket! [email protected]