Wifinity Wi-fi korlátok nélkül Király Gábor Simon János
„A vezeték nélküli mobil számítógép olyan, mint a lefolyó nélküli, mozgó fürdőszoba és WC. Megtalálhatók lesznek a közlekedési eszközökön, az építkezéseken és a rockkoncerteken. Én mégis azt tanácsolom, hogy húzasson ki egy kábelt a lakásához, és maradjon otthon.„
Bob Metcalfe, az Ethernet megalkotója, 1995
3 500 596 4069 8587 3
Tematika Wi-fi nagyvállalati környezetben
Indittatások Kihívások Tervezési komplexitás Haszonérvek
Indittatás
5
Menedzsment irányból jövő igények
Kényelmi szempontok BYOD számos értelmezése a gyakorlatban 1. 2. 3.
magán tulajdonú mobil eszközről INTERNET elérése a vállalati infrastruktúrán Egy-két specifikus belső alkalmazás elérése mobil eszközről vállalati erőforrások elérése magán tulajdonú notebookről
n+1: üzleti folyamatokat támogató mobil alkalmazások használata mobil eszközről
„Az IPAD-ről szeretném elérni ugyan azt, mint amit elérek a notebookomról is”
Technológiai igények Logisztikai felhasználás • • • •
Dinamikusan változó gyártósorok kábelezési problémája • PLC eszközök
Vonalkód alapú raktári rendszerek Handheld eszközök, vonalkód nyomtatók Targonca terminálok használat Voice Picking
Technológiai igények Bolti/Bevásárló központi felhasználás Kiosk-ok, Video/média terminálok Ár ellenőrzők
IP kamerák Vékony kliensek Ethernet port-tal nem rendelkező mobil eszközök hálózatba kapcsolása
IT oldali igények zöldmezős iroda olcsóbb hálózati kiszolgálása épületen belüli költözéssel járó költségek csökkentése ideiglenes vendég, auditor hozzáférés biztosítása organikusan fejlődött, 3rd party rendszerek nehézkes összehangolása ad-hoc hozzáférési igények gyors kiszolgálása (rendezvények, projekt jellegű munkák kezelése) DRS site költséghatékony kialakítása és fenntartása, esetleges költözéskor gyors lereagálás patch panel portok adminisztrációja 9
Költség csökkentési szempontok Elavult kábelezési rendszerek kiváltása
10
Költség csökkentési szempontok Elavult kábelezési rendszerek kiváltása
11
Kihívások Wi-fi oldalról
A felmérés fontossága Wi-fi bevezetéséhez elkerülhetetlen: 1. Kliensek és alkalmazások összegyűjtése 2. Meglévő Wi-fi infrastruktúra felmérése 3. Site-Survey végrehajtása telepítés előtti és utáni állapotban
4. Ipari környezetben spektrum analizátoros mérés
13
Kliens sávszélesség igények meghatározása
Általában nem csak egy alkalmazást használunk Tervezzünk a legnagyobb sávszélességet igénylő alkalmazás működéséhez elegendő legkisebb sávszélességgel A legtöbb felhasználó egy időben egyszerre csak egy nagy sávszélességű alkalmazást futtat Az egy AP-ra jutó összsávszélesség alapján kell AP típust választani
Alkalmazás – Felhasználás módja szerint
Átbocsátóképesség
Web - Alkalmi
500 Kbps
Web - Üzleti
1 Mbps
Audio - Alkalmi
100 Kbps
Audio - Üzleti
1 Mbps
Video - Casual
1 Mbps
Video - Üzleti
2-4 Mbps
Printing
1 Mbps
File Sharing - Alkalmi
1 Mbps
File Sharing - Üzleti
2-8 Mbps
Online tesztelés
2-4 Mbps
Eszköz Biztonsági mentés
10-50 Mbps
Hívás típusa
Hang
Videó, képernyő megosztással
HD videó
5 résztvevős videó konferencia
Sávszélesség igény
30Kbps/30kbps
130kbps/130kbps
1.2 Mbps/ 1.2 Mbps
130 kbps/2 Mbps
14
Cellaméretezés 2,4 GHz-en
15
Band Select Használjunk 5 Ghz-et !
16
Client Link technológia Cél minél nagyobb adatátviteli sebesség elérése az egyes kliensek esetén
17
Client Link A cél kliens oldalon:
nemcsak a minél nagyobb adatátviteli sebesség
hanem a késleltetés csökkentés is Client Link kikapcsolva
Alacsonyabb sávszélesség
Client Link bekapcsolva
Magasabb sávszélesség 18
Sávszélesség és üzemidő kapcsolata 38% Better Than Aruba
• A teljes átvitt
adatmennyiség mielőtt teljesen lemerült az eszköz Cisco = 73.33GB Aruba = 45.83GB
Kezdő Akku töltöttség
Vég Akku töltöttség
Teljes veszteség
Letöltés ideje
Cisco 3600e
75%
60%
15%
56 min
Aruba AP 134
75%
51%
24%
70 min
19
Kihívások Alkalmazás és authentikáció oldalról
Hiedelmek, tévhitek
„A Wi-fi az nem biztonságos?!”
• WPA-PSK megoldás kétségtelenül törhető • de nem is ezt illik használni enterprise környezetben • kontrollált környezetben kliensenként egyedi, dinamikusan változó kulcs • visszafejtéshez szükséges, befektett energia már kérdéses • Viszont hány ügyfélnél van hálózati szintű azonosítás és titkosítás LAN környezetben?! • Megfelelő EAP módszerrel kellő biztonság garantálható • kérdés az egységes megvalósítás • Vezetékes hálózat is lehallgatható
21
Hiedelmek, tévhitek „Kérdéses a rendelkezésre állás?!”
• AP/switch csere elvégzéséhez szükséges idő aránya jóval kedvezőbb (1 felhasználóra vetítve) • hány végpont használ 2 LAN kapcsolatot egyszerre? • Wi-fi oldalon ez biztosítható (ms -os átváltással)
22
Kliens eszközök
különböző képességű eszközök számára közös technológia
authentikációs
titkosítási
média támogatás (2,4 vs 5 GHz)
ISE esetén
eszköztípus, helyszín, média alapján szabályozható ki mit használhat
kompenzációs lehetőségek régi kliensek esetén Profiling hálózati szegmentáció
23
Tanúsítvány alapú azonosítás a gyakorlatban Tanúsítvány alapú azonosítás egy kézenfekvő megoldás, ám drasztikusan kliens szám növekedés lehet CA oldalon
kliens oldali limitációk lekezelése (nem minden eszköz képes EAP-TLS-re) tanúsítvány terítés automatizálása
lejárat előtti automatikus megújítás
on-boarding/off-boarding kezelése (minimális IT bevonással)
Windows környezetben könnyen megoldható mobil környezetben MDM/ISE használatával egyéb eszközökön kihívást jelenhet (akár manuálisan)
tanúsítványok életciklus kezelése
licensz vonzata van
CRL fontossága
biztonságos tanúsítvány tár tanúsítvány telepítés secure módon keyusage megfelelő korlátozása 24
Biztonság és kényelem Kényelmi és biztonsági szempontok egyensúlya az alkalmazott azonosítási módszert kiválasztásának szempontjai
adott hálózatról elérhető adatok biztonsági szintje esetleges adatvesztés kockázata kliensek EAP és titkosítási képessége és kapacitása kliens identitás információk szétosztási limitációk (pl. egyedi kliens tanúsítvány) fejlesztési költségek
felhasználó vagy gép azonosítás történjen (távoli menedzselhetőség) lehet akár különbőző is az egyes zónákra 25
Biztonság és kényelem Két faktoros azonosítás megvalósítása mobil környezetben
IT security oldalról nagyon gyakran megfogalmazott igény ám megvalósítása annál nehezebb (kliens adottságok miatt) nincs smart card lehetőség gépelés érintőképernyős környezetben OTP/rövid lejáratú jelszó használata nehézkes
korábbi szabályzatok újragondolása
26
Wi-fi infrastruktúrán túl... A Wi-fi bevezetést érdemes tágabb értelemben kezelni:
kliens azonosítási folyamatok újragondolása
belső szegmentáció
identitás információ felhasználásával
vendég hozzáférés
PKI szerepe
lehetősége szabályozása naplózása
hálózat menedzsment, QoS üzleti folyamatok mobil környezethez igazítása MDM integráció (tartalom megjelenítés, policy kikényszerítés) párhuzamos / fél-legitim kapcsolatok tiltása
Haszonérvek
Wi-fi alapú elérés bevezetésének előnyei
gyorsabb infrastruktúra kiépítés
hálózati azonosítási bevezetése drasztikusan rövidebb idő alatt
költséghatékony tanúsítvány terítés mobil eszközökre
később más alkalmazáshoz is használható
29
Belső hálózati szegmentáció elősegítése Kontroller működéséhez mindenképp szükséges a tunnelezési technika integrált tunnelezési technika belső hálózati VRF implementáció alternatívája lehet
identitás alapú, privilegizált hozzáférés biztosítása cég összevonásból adódó hálózati konszolidáció meggyorsítása Cégcsoporton belüli mobilitás biztosítása
IP cím ütközés
megfelelő jogosultság (pl. vlan) kiadás dinamikus módon
30
Üzletkritikus alkalmazások felügyelete
Átfogó kép arról, hogy mi történik a hálózaton
aktuális felhasználók listája
felhasználók nyomon követése
felhasználó szintű forgalmi statisztikák
Application visibility
Alkalmazás válaszidők monitorozása
31
Útravalóul Pontos igényfelmérés elengedhetetlen főként alkalmazás és üzleti folyamatok szempontból priorizált módon Koncepciótervben való rögzítés
Infrastruktúra elemeket (Wi-fi hálózat, AAA, PKI, szegmentáció) igazítsuk az üzleti igényekhez és ne fordítva! Wi-fi technológia és környezet illetve kliens adottságok figyelmbe vételével Kulcsfontosságú a Wi-fi bejárás és felmérés (Site survey) telepítés előtt és után 32
Cisco ISE szakmai nap az S&T-vel Félnapos program keretében mutatjuk be Önnek a Cisco ISE lehetőségeit és a bevezetés buktatóit. Jelentkezés az S&T Consulting Hungary standnál! Ezúton is meghívjuk Önöket!
33
Köszönjük a figyelmet!