Разработка проекта сетевой инфраструктуры компании

Сетевая безопасность и авторизация пользователей

 В качестве основного решения для авторизации пользователей корпоративной сети планируется использовать стандарт 802.1x, как наиболее подходящий для выполнения задач проекта – решение позволяет использовать единую прозрачную схему авторизации пользователей как для проводной, так и беспроводной сети. Немаловажным фактором является кросплатформенность решения – .1x реализован на всех популярных операционных системах – как unix-based, так и Windows, и Linux. Возможна интеграция авторизации с Active Directory, используя штатные средства системы Windows Server 2008 – Network Policy and Access Server (NPAS).

Использование связки 802.1x и AD так же позволяет внедрить дополнительные сервисы для обеспечения сетевой безопасности – такие как проверка клиентских машин на соответствие тем или иным требованиям локальных политик – например, наличие антивируса. Возможно централизованное назачение VLAN’а порту пользователя в момент авторизации, применение различных правил фильтрации трафика при авторизации того или иного пользователя коммутатором, либо беспроводной точкой доступа.

С точки зрения пользователя – единственное отличие сети защищенной с использованием протокола 802.1x является необходимость ввести свой логин и пароль при первом подключении к сети.

  Необходимо реализовать схему подключения к проводной сети, при которой все пользователи разделяются на несколько групп, в зависимости от требуемых доступов к корпоративным ресурсам, каждой группе выделяется отдельный VLAN (свой, на каждом этажном стеке), к каждому групповому VLAN’у применяется необходимые правила фильтрации трафика. При подключении пользовательской станции к проводной, либо беспроводной сети, аутентификатор (свич или контроллер БЛВС соответственно) отправляет запрос на предопставление доступа к сети для данного пользователя к RADIUS-серверу – NPAS – и в случае положительно ответа (Access-Accept) дополнительно получает от RADIUS-сервера информацию о группе пользователя. Далее пользовательский трафик помечается соответствующим группе VLAN-идентификатором, и к трафику применяются необходимые
правила фильтрации.

Рисунок 13. Cхема работы авторизации по протоколу IEEE 802.1x

Для большей прозрачности и удобства пользователей настроенные правила фильтрации трафика должны быть идентичны как для проводных, так и для беспроводных клиентов.

 Для соблюдения корпоративных политик безопасности клиенты с выключенным 802.1x супликантом должны помещаться в карантинный VLAN, без доступа к корпоративным ресурсам.

 Все порты пользовательских коммутаторов должны быть настроены в режиме динамического назначения VLAN’а в который будет тегироваться пользовательский трафик. На коммутаторах Juniper EX это может быть сделано следующим образом:

protocols {

 dot1x {

  authenticator {

 authentication-profile-name sl_dot1x;

interface {

 all {

 supplicant multiple;

 retries 2;

 quiet-period 10;

 transmit-period 3;

 supplicant-timeout 3;

 maximum-requests 2;

 guest-vlan GUEST;

 server-reject-vlan AUTH-FAILED block-interval 120 eapol-block;

 server-fail vlan-name GUEST;

 }

 }

}

 

Где в секции «all» возможно указание различный таймеров протокола, а так же имя карантинных VLAN в которые будет помещен пользователь в качестве реакции на ответы сервера авторизации. В данном примере пользователь будет помещено в VLAN с именем Guest при отключенном суппликанте, и в VLAN Auth-failed при отказе в авторизации со стороны RADIUS-сервера. Такая схема будет использована в офисной инфраструктуре.

IP-адресация

 Приняв решение по всем аспектам логической и физической структуры сети, необходимо определится с используемой внутри сети адресацией. Для нужно головного офиса из пула компании выделен блок публичных IP-адресов – 185.6.244.0/22. Данные адреса могут использоваться как для трансляции в них внутренних адресов пользователей, так и для офисного серверного и сетевого оборудования. В силу использования маршрутизации на уровне доступа и сегментации сети для осуществления выбранной выше схемы выполнения политик сетевой безопасности требуется так же значительной количество приватных IPv4 адресов. Так же, необходимо избежать пересечения адресного пространства головного офиса с другими структурами компании.

 Диапазоны IP-адресов для приватного использования определены в документах IETF - RFC1918 и RFC4193. Согласно RFC для протокола IPv4 это блоки:

10.0.0.0 - 10.255.255.255 (10.0.0.0/8)

172.16.0.0 - 172.31.255.255 (172.16.0.0/12)

192.168.0.0 – 192.168.255.255 (192.168.0.0/16)

Ни один из этих диапазонов не обеспечивает достаточного адресного пространства для создания удобной и прозрачной схему нумерации в новом офисе, без пересечения с используемыми в других проектах компании блоками адресов. От необходимости дробить внутренне офисное адресное пространство на несколько меньших блоков (что заметно затруднит дальнейшее администрирование и диагностику возможных проблем), спасает недавно опубликованный RFC6598, предоставляющий для приватного использования новый блок:

100.64.0.0-100.127.255.255 (100.64.0.0/10)

Данный блок адресов практически не используется, и для нужд офиса вполне хватит половины имеющегося диапазона даже в долговременной перспективе. Таким образом, для внутренних адресов головного офиса будет использоваться блок 100.64.0.0/11. Используемая схема адресации следующая:

 

Подсеть

Блок сети

Назначение

100.64.0.0/16

Ядро, ЦОД

Серверное оборудование, сегментация по 512 адресов (/23)

100.65.0.0/16

Ядро, контроллеры БЛВС

Пользовательские и сервисные беспроводные сети. Сегментация по 256 адресов (/24), по одному блоку на 802.1x группу.

100.65.254.0/23

Ядро, уровень доступа, БЛВС, ЦОД, граничный блок

Сервисные адреса – интерфейсные и Loopback’и.

100.90.0.0/16

-

100.95.0.0/16

Уровень доступа

Адреса для пользовательских проводных сетей. По одному блоку /16 на этажный стек. Сегментация в пределах этажа – по /24 на 802.1x группу.

185.6.244.0/22

Граничный блок, ЦОД

Внешние адреса головного офиса, сегментация по 256 адресов (/24)

100.66.0.0/16

100.67.0.0/16

100.68.0.0/16

100.69.0.0/16

100.69.0.0/16

Зарезервированы

Адреса, зарезервированные для дальнейшего использования

 Таблица 1. Схема адресации.

В ходе работы были определены логические схемы структурных блоков сетевой инфраструктуры и наиболее рациональные способы подключения какждого из блоков к ядру сети. Выбрана конфигурация и расположение точек доступа беспроводной сети. Приведен механизм авторизации пользователей проводной и беспроводной сети. Создан план адрессации с учетом особенностей сетевой инфраструктуры – подребность в большом количестве адресов в силу использования маршрутизации на уровен доступа. Создана необходимая для реализации проекта физическая схема. Разработанная система готова к внедрению  и полностью удовлетворяет поставленным требованиям.
3 Экспериментальная часть

Конфигурация локальных сетей