Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
Федеральное государственное бюджетное образовательное учреждение высшего образования «Дальневосточный государственный университет путей сообщения»
Кафедра "АТиС"
Расчётно-графическая работа
По дисциплине: «Основы построения беспроводных сетей»
На тему: Безопасность беспроводной сети предприятия
Выполнил: Сидорович М.А. 248гр.
Проверил: Каритан К.А.
Хабаровск 2016
Задание на расчётно-графическую работу
1) Настроить firewall на нем разрешить http, https, snmp, а также электронную почту: smtp, pop3 и imap
2) Установить максимальный уровень защиты на точках доступа
3) Организовать централизованную идентификацию логирование
4) Различные правила доступа для 5 групп пользователей
5) Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения
1. Настроить firewall на нем разрешить http, https, snmp, а также электронную почту: smtp, pop3 и imap
В качестве платформы для размещения firewall используем маршрутизатор Cisco ASR 1002, который поддерживает Cisco IOS firewall. Произведём настройку согласно инструкции по настройке IOS.
ip access-list extended FIREWALL
permit http
permit https
permit snmp
permit smtp
permit pop3
permit imap
включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT snmp
ip inspect name INSPECT_OUT pop3
ip inspect name INSPECT_OUT imap
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic
настраиваем порт в Интернет
interface FastEthernet0/0
description === Internet ===
ip address ???.???.???.??? 255.255.255.???
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in
2. Установить максимальный уровень защиты на точках доступа
Безопасность беспроводной сети на контроллере строится из трех компонентов:
· Авторизация
· Шифрования
· Веб-политика
Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль. Доступные параметры безопасности 2го уровня:
· None -- авторизация и шифрование трафика не применяются («небезопасная сеть»). Используется для гостевого доступа, в хотспотах. Зачастую комбинируется с веб-политикой, при которой вы без вопросов подключаетесь к беспроводной сети, но при попытке выйти веб-браузером куда-то сессия перехватывается контроллером, и вас вынуждают ввести логин-пароль, согласиться с условиями и т.п. (см. далее).
· WPA+WPA2 -- позволяет выбрать политику WPA либо WPA2 (либо обе), тип шифрования TKIP или AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах. Не все клиентские адаптеры (особенно старые) способны понять современные стандарт. Если все клиенты -- новые, наиболее оптимальным будет использование WPA2/AES. Дополнительно предлагается указать, как будет образовываться ключ для шифрования:
o 802.1X -- индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Наиболее безопасный вариант, также именуемый WPA(2) Enterprise
o CCKM -- используется собственный механизм Cisco генерации ключей, подходит только для Cisco Wi-Fi телефонов
o PSK -- общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal
o 802.1x+CCKM -- гибрид CCKM и RADIUS-ключа (для Cisco-телефонов)
· 802.1X -- индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Однако это WEP-ключ, и протокол шифрования радиоканала -- WEP, чем в наше время пользоваться уже нельзя.
· Static WEP -- статический WEP-ключ
· Static WEP+802.1X -- гибрид двух предыдущих
· CKIP -- проприетарный аналог WEP для Cisco телефонов
Рис. 1
Для моей сети наиболее подходящим решением является связка WPA2 (AES) + 802.1X «WPA2 Enterprise» для доступа в сеть через авторизацию на RADIUS-сервере (EAP: по доменному аккаунту, сертификату и т.п.)
3. Организовать централизованную идентификацию логирование
Для проведения логирования необходимо запустить RADIUS-сервер на контроллере беспроводных точек доступа, для этого имеется следующий набор команд:
При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security -- RADIUS -- AAA -- Authentication:
Рис. 2
почта доступ логирование шифрование
Необходимо указать следующие параметры:
IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft.
Shared secret (ключ радиус-сервера)
Network user -- сервер поддерживает авторизацию пользователей Wi-Fi
Management -- сервер поддерживает авторизацию администраторов самого контроллера
Также необходимо задать тот же сервер для целей учета (Accounting). В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов:
Рис. 3
4. Различные правила доступа для 5 групп пользователей
Таблица 1
|
SSID |
VLAN |
|
|
Main |
1 |
|
|
Advert |
2 |
|
|
Videomakers |
3 |
|
|
Copyrighters |
4 |
|
|
IT |
5 |
5. Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения
Настройка авторизации и доступа по SSH
1) включаем шифрование паролей
service password-encryption
2) используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
3) заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD
4) даем имя роутеру
hostname <...>
ip domain-name router.domain
5) генерируем ключик для SSH
crypto key generate rsa modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
6) и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15