Architettura di una Wireless LAN - Home page

Architettura
di una Wireless LAN
•
•
•
INTOIT Networks srl
Via Gaslini 2
20052 Monza (MI)
Tel. +39 039.833.749
http://www.intoit.it
•
[email protected]
Soluzioni Wireless LAN tradizionali &
Alcatel OmniAccess Wireless LAN Solution
Soluzioni WLAN Tradizionali
Architettura OmniAccess WLAN
Access points
Site survey
Access points
Air monitors
WiFi IDS / IPS
WLAN switches
VPN concentrator
WLAN switches
Soluzione integrata
Maggior sicurezza
Totalmente scalabile
Più
Più funzionalità
funzionalità
LAN-speed firewall
Facile da gestire
Semplice da implementare
QoS devices
Minor costo globale di implementazione
OmniAccess wireless solutions
512
Uffici remoti
Sedi distaccate
Sedi principali
OAW-6000-512
(Dual Supervisor II)
256
OAW-6000-256
(Supervisor II)
128
OAW-4324
48
OAW-6000-128
(Supervisor I)
Scalabilità
OAW-4308
16
OAW-4304
Performance (Clear text / encrypted)
4
1 Gbps / 200 Mbps
2 Gbps / 400 Mbps
4 Gbps / 1 Gbps
4 Gbps / 3.6 Gbps
8 Gbps / 7.2 Gbps
OmniAccess Wireless Access Points
• “MultiService WiFi Nodes””
– Access (data forwarding AP)
– Rogue & Intrusion Monitoring
– Rogue & Intrusion Prevention
– Location Management
OAW-AP60
OAW-AP61
– RF Fingerprinting
Single radio (b/g or a)
Single radio (b/g or a)
–
…Dedicated or Simultaneous Integrated
RP-SMA connectors
dual-band antenna.
for external antennae.
• “Thin” Model
– Centralized Encryption,
Authentication, Functionality
AP70
Dual Radio (b/g and a)
• IP Connected
Integrated dual-band antenna
and RP-SMA connectors
• Auto Install/Configuration
for external antennae.
Dual Ethernet ports for redundant
– Discovery Protocol
uplinks. (PoE Load Balanced)
– Secure, Non-Disruptive GRE Tunnels
USB port for future-proof expansion.
• Low Cost
OmniAccess WLAN Network Positioning
OAW-AP70
Sede Principale
OAW-4324
OAW-AP70
OAW-4308
or
OAW-4304
OAW-6000
OAW-AP61
WAN
OAW-AP61
Filiali remote
OAW-AP70
Casa
OAW-4324
OAW-AP70
Sedi distaccate
Wireless management
Encryption
Authentication and Client Integrity Check
Authorization Control
Traffic Services
Policy Control
Control
Policy
Management
Management
WiFi Security
Policy Control
Management
WiFi Management
Network Services
•
•
•
•
•
Gestione centralizzata
Soluzione scalabile
Soluzione integrata
Monitoraggio – Troubleshooting
Configurazione
Embedded RF management
Lobby
Conference
Rooms
Offices/Cubicles
Cafeteria
• Disporre di un’infrastruttura
che dia sempre veramente il
massimo!
• Con Alcatel OmniAccess
Wireless è possibile:
– Auto Calibration
(Canale/Potenza)
– Auto Tuning continuo
– Controllo e soppressione
automatica delle
Interferenze
– Ricerca automatica delle
zone non coperte
– AP failure self-healing
– Load-balancing
Real-time location tracking
•
La triangolazione multi-point garantisce
precisione sino a 1-3 metri
•
Il sistema Real-Time Location Service è in
grado di individuare l’esatta posizione dei
diversi devices
•
Ogni nuovo access points riceve istruzioni
dallo switch centralizzato per ottimizzare le
performace ed I servizi agli utenti
•
Eliminates manual walkabout to fingerprint
RF propagation
•
Tecnologia indipendente dal brand degli
Access Point e delle schede di rete
WiFi load balacing
3
2
Move
1,2 and 3
•
1
Lo switch WLAN distribuisce il traffico al fine di prevenire e
compensare l’overload di un AP
Wireless security
Chiunque può “entrare”
nella vostra rete…
Parola di hacker!
Un esempio:
Rogue Access Points
Impossessarsi della VOSTRA password di autenticazione
server RADIUS non è poi così difficile…
RADIUS Server
– Un Hacker trova un rogue
access point prima di voi…
(e se non c’è, lo mette!)
– Usa ARP poisoning per
catturare il traffico tra lAP &
il Gateway
– Invia un pacchetto di deauthentication al client
Impossessarsi della VOSTRA password di autenticazione
server RADIUS non è poi così difficile…
– Il Client si ri-autentica
automaticamente
– L’Access Point manda
la nuova richiesta al
RADIUS server
Access Challenge
RADIUS Server
Come fare per
impedire tutto ciò?
Access Request
– Con solo 2 pacchetti
ed in meno di un
secondo attraverso un
rogue Access Point,
un hacker può
eseguire un attacco
“off line” ai segreti del
Vostro RADIUS server!
Così ora è possibile accedere a tutti i Vostri dati!
– Il Client termina
l’autenticazione e
l’Access Point invia la
richiesta al server
RADIUS
Access Accept
RADIUS Server
Come difendersi?
– Il server RADIUS
accetta l’utente, ed ivia
l’encrypted keys
all’Access Point
– Quando l’hacker
scoprirà la vostra
password del server
RADIUS, sarà anche a
conoscenza del vostro
meccanismo di
dynamic WEP!
Access Request
– Con la vostra WEP
keys, tutto il traffico
può essere monitorato
direttamente!
Davide, aiutami, che cosa devo fare?
Individuazione Rogue Access Point / Devices
Proteggere l’infrastrutturadagli attacchi interni/esterni
•
AP detection
– Vedre tutti gli AP!
•
AP classification
– Are they
neighbors?
– Rappresentano una
minaccia?
•
Rogue destruction
– Stop users from
accessing rogue
APs and leave
neighbors alone
Centralized encryption
– Il Client ternina
l’autenticazione e
l’Access Point ivia il
pacchetto di login allo
switch WLAN
Access Accept
– Lo switch WLAN invia
la richiesta d’accesso al
RADIUS server
RADIUS Server
Access Request
La vostra encription key non
esece dal vostro data
center!
– Il RADIUS server
accetta la login ed invia
l’encrypted keys allo
switch WLAN
– TUTTA l’encryption è
eseguita in modo
centralizzato!
– Nessuna encryiption
keys viene inviata agli
Access Point
Access control
Dimmi chi sei…
Radius
LDAP
Active Directory
WiFi Management
WiFi Security
Authentication and Client
Authentication and Client Integrity Check
Integrity Check
Authorization Control
Authentication
Authentication
Methods
Methods
Policy Control
Control
Policy
Management
Management
Encryption
MAC Address
Traffic Services
Network Services
Client
Client Integrity
Integrity Check
Check
•
•
•
•
Web-based
Sygate Secure Enterprise
(802.1x based)
802.1x
Sygate on Demand (Agent-less)
MAC based Authentication
Web-Based “Clientless Authentication”
802.1x & client integrity check
Authentication server (RADIUS) “routing”
based on SSID
• Supports multiple, simultaneously
authentication/encryption per SSID
Authorization control
e ti dirò cosa puoi fare!
Extended
Attributes
WiFi Management
Stateful
Stateful Firewall
Firewall
WiFi Security
Encryption
Authentication and Client Integrity Check
Authorization
Control
Authorization Control
Policy Control
Control
Policy
Management
Management
Per
Per User
User –– Per
Per Flow
Flow –– LAN
LAN Speed
Speed
System
System
QoS
QoS // Prioritization
Prioritization Engine
Engine
Group
Group
Re-direction
Re-direction // Load
Load Balancing
Balancing to
to Content
Content
Inspection
Inspection Cluster
Cluster
User
User
Policies
Policies
Traffic Services
Traffic Services
VLANs
VLANs
Routing
Routing
NAT
NAT
DHCP
DHCP
Network Services
Network Services
• Policy definite da:
–
–
–
–
–
–
User
Client
Time
Location
Authentication method
Application
• Differentiate access
–
–
–
–
–
–
Vlan/Segment
Access control
Time
Location
Authentication method
Application
Policy Driven Service
Un esempio pratico
Alcatel AP
Alcatel WLAN Switch
Doctor/Nurse
Doctors
and Nurses
Virtual AP 1
SSID: HOSPITAL
Rights,
QoS, VLAN
Staff
AAA Services
Radius, LDAP/AD
Rights,
QoS, VLAN
VoIP Device
Rights,
QoS, VLAN
Staff
L2/L3 Switching
Guest user
Voice over
WiFi
Guest
Virtual AP 2
SSID: GUEST
Rights,
Captive PortalBandwidth Restriction,
DHCP
VLAN
Default VLAN
Virtual AP 3
SSID: MEDICAL
Medical
Wired
Network
Rights,
QoS, VLAN
802.1p QoS
tagging to existing
network
infrastructure
Highest QoS Priority
•Single Infrastructure
•Universal authentication
(802.1x, Web, MAC, SSID)
•Differentiated access by
user, device, app, time,
location
Per user / application security context
protect users, the network and
services like voice and medical data.
Vi ringraziamo per l’attenzione!
INTOIT Networks srl
Via Gaslini 2 – 20052 Monza (MI) - Tel. 039.833.749 - Fax 039.28.44.286
I nostri siti:
www.intoit.it - www.networkinstruments.it - www.freespaceoptics.it www.ekahau.it - www.psiber.it - www.networkvulnerability.it Le nostre email:
[email protected] - [email protected] - [email protected]