Architettura di una Wireless LAN - Home page
Transcript
Architettura di una Wireless LAN - Home page
Architettura di una Wireless LAN • • • INTOIT Networks srl Via Gaslini 2 20052 Monza (MI) Tel. +39 039.833.749 http://www.intoit.it • [email protected] Soluzioni Wireless LAN tradizionali & Alcatel OmniAccess Wireless LAN Solution Soluzioni WLAN Tradizionali Architettura OmniAccess WLAN Access points Site survey Access points Air monitors WiFi IDS / IPS WLAN switches VPN concentrator WLAN switches Soluzione integrata Maggior sicurezza Totalmente scalabile Più Più funzionalità funzionalità LAN-speed firewall Facile da gestire Semplice da implementare QoS devices Minor costo globale di implementazione OmniAccess wireless solutions 512 Uffici remoti Sedi distaccate Sedi principali OAW-6000-512 (Dual Supervisor II) 256 OAW-6000-256 (Supervisor II) 128 OAW-4324 48 OAW-6000-128 (Supervisor I) Scalabilità OAW-4308 16 OAW-4304 Performance (Clear text / encrypted) 4 1 Gbps / 200 Mbps 2 Gbps / 400 Mbps 4 Gbps / 1 Gbps 4 Gbps / 3.6 Gbps 8 Gbps / 7.2 Gbps OmniAccess Wireless Access Points • “MultiService WiFi Nodes”” – Access (data forwarding AP) – Rogue & Intrusion Monitoring – Rogue & Intrusion Prevention – Location Management OAW-AP60 OAW-AP61 – RF Fingerprinting Single radio (b/g or a) Single radio (b/g or a) – …Dedicated or Simultaneous Integrated RP-SMA connectors dual-band antenna. for external antennae. • “Thin” Model – Centralized Encryption, Authentication, Functionality AP70 Dual Radio (b/g and a) • IP Connected Integrated dual-band antenna and RP-SMA connectors • Auto Install/Configuration for external antennae. Dual Ethernet ports for redundant – Discovery Protocol uplinks. (PoE Load Balanced) – Secure, Non-Disruptive GRE Tunnels USB port for future-proof expansion. • Low Cost OmniAccess WLAN Network Positioning OAW-AP70 Sede Principale OAW-4324 OAW-AP70 OAW-4308 or OAW-4304 OAW-6000 OAW-AP61 WAN OAW-AP61 Filiali remote OAW-AP70 Casa OAW-4324 OAW-AP70 Sedi distaccate Wireless management Encryption Authentication and Client Integrity Check Authorization Control Traffic Services Policy Control Control Policy Management Management WiFi Security Policy Control Management WiFi Management Network Services • • • • • Gestione centralizzata Soluzione scalabile Soluzione integrata Monitoraggio – Troubleshooting Configurazione Embedded RF management Lobby Conference Rooms Offices/Cubicles Cafeteria • Disporre di un’infrastruttura che dia sempre veramente il massimo! • Con Alcatel OmniAccess Wireless è possibile: – Auto Calibration (Canale/Potenza) – Auto Tuning continuo – Controllo e soppressione automatica delle Interferenze – Ricerca automatica delle zone non coperte – AP failure self-healing – Load-balancing Real-time location tracking • La triangolazione multi-point garantisce precisione sino a 1-3 metri • Il sistema Real-Time Location Service è in grado di individuare l’esatta posizione dei diversi devices • Ogni nuovo access points riceve istruzioni dallo switch centralizzato per ottimizzare le performace ed I servizi agli utenti • Eliminates manual walkabout to fingerprint RF propagation • Tecnologia indipendente dal brand degli Access Point e delle schede di rete WiFi load balacing 3 2 Move 1,2 and 3 • 1 Lo switch WLAN distribuisce il traffico al fine di prevenire e compensare l’overload di un AP Wireless security Chiunque può “entrare” nella vostra rete… Parola di hacker! Un esempio: Rogue Access Points Impossessarsi della VOSTRA password di autenticazione server RADIUS non è poi così difficile… RADIUS Server – Un Hacker trova un rogue access point prima di voi… (e se non c’è, lo mette!) – Usa ARP poisoning per catturare il traffico tra lAP & il Gateway – Invia un pacchetto di deauthentication al client Impossessarsi della VOSTRA password di autenticazione server RADIUS non è poi così difficile… – Il Client si ri-autentica automaticamente – L’Access Point manda la nuova richiesta al RADIUS server Access Challenge RADIUS Server Come fare per impedire tutto ciò? Access Request – Con solo 2 pacchetti ed in meno di un secondo attraverso un rogue Access Point, un hacker può eseguire un attacco “off line” ai segreti del Vostro RADIUS server! Così ora è possibile accedere a tutti i Vostri dati! – Il Client termina l’autenticazione e l’Access Point invia la richiesta al server RADIUS Access Accept RADIUS Server Come difendersi? – Il server RADIUS accetta l’utente, ed ivia l’encrypted keys all’Access Point – Quando l’hacker scoprirà la vostra password del server RADIUS, sarà anche a conoscenza del vostro meccanismo di dynamic WEP! Access Request – Con la vostra WEP keys, tutto il traffico può essere monitorato direttamente! Davide, aiutami, che cosa devo fare? Individuazione Rogue Access Point / Devices Proteggere l’infrastrutturadagli attacchi interni/esterni • AP detection – Vedre tutti gli AP! • AP classification – Are they neighbors? – Rappresentano una minaccia? • Rogue destruction – Stop users from accessing rogue APs and leave neighbors alone Centralized encryption – Il Client ternina l’autenticazione e l’Access Point ivia il pacchetto di login allo switch WLAN Access Accept – Lo switch WLAN invia la richiesta d’accesso al RADIUS server RADIUS Server Access Request La vostra encription key non esece dal vostro data center! – Il RADIUS server accetta la login ed invia l’encrypted keys allo switch WLAN – TUTTA l’encryption è eseguita in modo centralizzato! – Nessuna encryiption keys viene inviata agli Access Point Access control Dimmi chi sei… Radius LDAP Active Directory WiFi Management WiFi Security Authentication and Client Authentication and Client Integrity Check Integrity Check Authorization Control Authentication Authentication Methods Methods Policy Control Control Policy Management Management Encryption MAC Address Traffic Services Network Services Client Client Integrity Integrity Check Check • • • • Web-based Sygate Secure Enterprise (802.1x based) 802.1x Sygate on Demand (Agent-less) MAC based Authentication Web-Based “Clientless Authentication” 802.1x & client integrity check Authentication server (RADIUS) “routing” based on SSID • Supports multiple, simultaneously authentication/encryption per SSID Authorization control e ti dirò cosa puoi fare! Extended Attributes WiFi Management Stateful Stateful Firewall Firewall WiFi Security Encryption Authentication and Client Integrity Check Authorization Control Authorization Control Policy Control Control Policy Management Management Per Per User User –– Per Per Flow Flow –– LAN LAN Speed Speed System System QoS QoS // Prioritization Prioritization Engine Engine Group Group Re-direction Re-direction // Load Load Balancing Balancing to to Content Content Inspection Inspection Cluster Cluster User User Policies Policies Traffic Services Traffic Services VLANs VLANs Routing Routing NAT NAT DHCP DHCP Network Services Network Services • Policy definite da: – – – – – – User Client Time Location Authentication method Application • Differentiate access – – – – – – Vlan/Segment Access control Time Location Authentication method Application Policy Driven Service Un esempio pratico Alcatel AP Alcatel WLAN Switch Doctor/Nurse Doctors and Nurses Virtual AP 1 SSID: HOSPITAL Rights, QoS, VLAN Staff AAA Services Radius, LDAP/AD Rights, QoS, VLAN VoIP Device Rights, QoS, VLAN Staff L2/L3 Switching Guest user Voice over WiFi Guest Virtual AP 2 SSID: GUEST Rights, Captive PortalBandwidth Restriction, DHCP VLAN Default VLAN Virtual AP 3 SSID: MEDICAL Medical Wired Network Rights, QoS, VLAN 802.1p QoS tagging to existing network infrastructure Highest QoS Priority •Single Infrastructure •Universal authentication (802.1x, Web, MAC, SSID) •Differentiated access by user, device, app, time, location Per user / application security context protect users, the network and services like voice and medical data. Vi ringraziamo per l’attenzione! INTOIT Networks srl Via Gaslini 2 – 20052 Monza (MI) - Tel. 039.833.749 - Fax 039.28.44.286 I nostri siti: www.intoit.it - www.networkinstruments.it - www.freespaceoptics.it www.ekahau.it - www.psiber.it - www.networkvulnerability.it Le nostre email: [email protected] - [email protected] - [email protected]