Разработка проекта сетевой инфраструктуры компании

разработка и создание, разработка электронных курсов.

Обзор существующих решений построения корпоративной ЛВС

 Казалось бы, зачем проектировать сеть «с нуля», когда любой производитель оборудования готов предоставить несколько вариантов типовых решений, универсальных и полностью законченных? Проекты, размещенные в качестве примеров в секции “SRND” сайта производителя, как правило обладают несколькими общими чертами:

Ориентированность на оборудование одного производителя, что сразу снижает гибкость и отказоустойчивость решения. Зачастую на всей линейке сетевого оборудования используется одна и та же, либо близкая программная платформа, которая не идеальна (Пример – Juniper Networks и JunOS, Cisco Systems и IOS, IOS-XR). И в случае обнаружения критической уязвимости, либо нестабильного поведения пострадает вся сеть сразу.

Широкое применение проприетарных протоколов, и, как следствие, сложность дальнейшей модернизации сети с использованием оборудование иного производителя.

Максимально общие решения, которые потребовалось бы серьезно пересматривать для соответствия требованиям данного проекта (multicast routing, каналы во внешние офисы, отказоустойчивость, возможное использование уже имеющегося у компании оборудования, покрытие БЛВС в лифтах)

Подобные решения не отвечают требованиям предъявляемым к сетевой инфраструктуре, и не могут быть использованы без внесения изменений, по масштабности сравнимых с разработкой «с нуля», однако заимствование с незначительными изменениями тех или иных составных блоков типовых вендорских проектов может быть вполне оправдано.

Обеспечение сетевой безопасности ЛВС

Для обеспечения безопасности данных передаваемых по корпоративной проводной сети, использующей кабельную систему, потребует соблюдение пункта 7.2.3 ГОСТ 17799 при прокладке, а так же требуется соблюдение мер безопасности указанных в пункте 7.1 «Охраняемые зоны». Этого достаточно, чтобы предотвратить доступ неавторизованных пользователей к среде передачи данных. Для дополнительной защиты, возможно использование механизмов туннелирования и шифрования трафика, проходящего через сеть, например протоколы IPSec,PPTP.

В сетях построенных на базе стандарта IEEE 802.3 возможно так же реализовать авторизацию, защиту и идентификацию трафика пользователей следующими способами:

Авторизация и идентификация по MAC-адресу (Media Access Control, иначе называемый Hardware Address) сетевого адаптера. Возможно в сочетании с протоколом динаимческой конфигурации узла (DHCP) и использование на коммутаторах и иных устройствах уровня доступа таких мер как DHCP-snooping и инспекция ARP-запросов,. Позволяет ограничить доступ к сети и корпоративным ресурсами определенному списку MAC-адресов. Недостатки данного подхода очевидны – возросшая административная нагрузка – необходимость ведения списка MAC-адресов, которым разрешен доступ, сниженное удобство конечных пользователей, простота подмены MAC-адреса для злоумышленника, что позволит обойти данную меры защиты, не оставив следов.

IEEE 802.1x - стандарт определяющий протокол аутентификации и контроля доступа, ограничивая права неавторизованных компьютеров подключенных к коммутатору. В общем случае, до аутентификации подключенного сетевого устройства, разрешено прохождение только EAPOL-трафика на порту коммутатора. EAPOL (extensible authentication protocol over LAN) используется для трансляции кадров между клиентом и сервером аутентификации, обычно это RADIUS-сервер. После аутентификации пользователя - получения коммутатором подтверждения от RADIUS-сервера и дополнительных атрибутов, описывающих доступные клиенту сервисы, правила фильтрации трафика, сетевое устройство получает доступ в сеть. Недостатки данного подхода – в необходимости поддержания развернутой инфраструктуры, включающей RADIUS-сервера, каналы к ним, поддержание актуальной базы пользователей, необходимость поддержки 802.1x со стороны конечных устройств и операционных систем, необходимы коммутаторы с поддержкой 802.1x. Преимущества – гибкость и централизованность данного решения, минимизация ручной конфигурации коммутаторов при подключении пользователей – большую часть необходимых настроек порта коммутатора можно передавать c RADIUS-сервереа в виде атрибутов. Так же, при использовании связки 802.1x, DHCP и сборки Netflow с сетевых устройств, появляется возможность надежной идентификации трафика и привязки его к конкретным пользователям сети.

Туннелирование трафика, с помощью технологий VPN. Необходима соответствующая инфраструктура для терминации такого трафика, аутентификации пользователей при подключении. Недостатки – дополнительная точка отказа, требующая резервирования (VPN-сервер и сервера авторизации пользователей), пропускная способность такой сети ограничивается возможностями VPN-сервера, сниженное удобство пользователей конечных пользователей, возможны проблемы с некоторыми сетевыми приложениями при таком подключении. Преимущества – не требуется какой-либо дополнительно поддержки технологий со стороны оборудования уровня доступа, коммутаторов (в отличии, от 802.1x и фильтрации по mac-адресам), единая точка применения политик безопасности, фильтрации и мониторинга трафика пользователей, при необходимости - дополнительная защита всего передаваемого по сети трафика с помощью шифрования.

Исходя из достоинств и недостатков описанных вариантов, для решения задачи идентификации трафика пользователей и ограничения доступа к корпоративной сети неавторизованным пользователям, больше всего подходит решение на основе 802.1x, которое хоть и требует значительной инфраструктуры и конфигурации на начальном этапе, в дальнейшем, помимо решения основных задач, так же позволит централизованное управление настройкой портов коммутаторов за счет передаваемых с RADIUS-сервера атрибутов.

Обзор существующих решений построения корпоративной БЛВС

 Определившись с протоколами и стандартами, на основе которых будет строится проводная сеть головного офиса – 802.11, ethernet, TCP/IP, требуется рассмотреть и выбрать подходящее решение по структуре беспроводной сети.

 БЛВС на основе стандарта 802.11 может быть организована по одной из трех топологий:

 BSS (Basic Service Sets) – группа работающих по стандарту 802.11 станций, с центральным пунктом связи – точкой доступа. Клиентские станции не связываются друг с другом, отправляя весь трафик точке доступа, которая в свою очередь доставляет кадры адресату.

IBSS (Independent Basic Service Sets) – децентрализованная, ad-hoc топология. Отсутствует центральный узел связи, беспроводные станции передают трафик, связываясь непосредственно друг с другом. Распределение времени в течении которого вещает каждая станция так же происходит децентрализовано.

ESS (Extended Service Sets) – объединение нескольких инфраструктур BSS с целью увеличения зоны покрытия и распределения сетевого трафика. Для соединения между BSS используется независимый канал, который может быть как беспроводным, так и проводным.

Для осуществления целей проекта подходит только последняя из перечисленных топологий, так как в случае с BSS одна общая точка доступа является единственной точкой отказа, физически не может обеспечить покрытие во всем здании, а так же подразумевает под собой деление пропускной способности между всеми подключенными абонентами. IBSS так же не подходит из-за динамически меняющейся топологии сети, отсутствия централизованного управления, низкой скорости передачи данных (не более 11Мбит/с согласно стандарту 802.11), и слабой защищенностью – единственный поддерживаемый способ шифрования WEP.

Определившись с топологией, необходимо рассмотреть возможные варианты объединения множества точек доступа в единую систему. Точки доступа могут быть:

Автономные (децентрализованные, «умные»). Автономные точки доступа полностью самостоятельно отвечают за доставку трафика абонентов, применение политик безопасности, мониторинг эфира и выбор канала.

Работающие под управлением контроллера беспроводной сети (так называемые lightweight AP, «легковесные»). Возможно как решения в котором весь трафик беспроводных пользователей сначала передается точкой доступа контроллеру, так и подход при котором контроллер осуществляет только контроль за единообразием настроек фактически автономных точек доступа.

Так же, стандарт 802.11 не дает указаний по способу организации и управления радиоканалами, поэтому имеет место быть как использование точками доступа для работы статически заданных диапазонов частот, так и динамическая настройка канала.

 Преимущество автономных точек доступа очевидно – отсутствие единой точки отказа (контроллера беспроводной сети), отсутствие в сети избыточного управляющего трафика между контроллером и точками доступа. Данное решение прекрасно подходит для небольших проектов. Однако, когда появляется необходимость в общей конфигурации и политике безопасности для множества точек доступа, согласовании каналов каждой из точек доступа, автоматической реакции на интерференцию, разворачивании дополнительных сервисов – таких как, например, определение местоположения абонентов – гораздо эффективней использовать решение на основе связки «легковесных» точек доступа и контроллера беспроводной сети. Главную проблему этого подхода можно устранить используя несколько контроллеров и механизмы резервирования.

  Может отличаться в зависимости от задачи и способ соединения точек между собой – это может быть беспроводной канал связи (так же реализованный по стандарту 802.11, но в другом частотном диапазоне) – такое построение БЛВС так же часто называют mesh, либо локальная сеть. Точки доступа поддерживающие mesh-сети, значительно дороже, сложнее в конфигурации – особенно если стоит требование отказоустойчивости. Обычно беспроводной канал связи используется при организации БЛВС за пределами зданий, в местах где использование проводной сети невозможно либо нецелесообразно. Для офисной сети вполне подойдет подключение точек через общую локальную сеть на основе Ethernet.

Обеспечение сетевой безопасности БЛВС

 В отличии от ЛВС и кабельной системы, проконтролировать физический доступ к среде распространения сигнала невозможно - Wi-Fi использует радиоэфир. Поэтому, по стандарту 802.11  возможно использование следующих инструментов обеспечения конфиденциальности и защиты передаваемых данных авторизованных пользователей от прослушивания, в первую очередь основанных на различных способах шифрования:

WEP (Wired Equivalen Privacy) – один из ранних способов защиты передаваемых в сетях 802.11 данных, алгоритм RC4 и статический ключ. Существует две разновидности WEP – WEP-40 и WEP-104, с различной длиной ключа. Больше бит – большее количество возможных комбинаций, и, в теории, большая стойкость ко взлому. В случае с WEP-40 используется 64-битное шифрование, причем 40 бит являются статическими, а оставшаяся часть ключа является динамической (вектор инициализации), и меняется в процессе работы сети. Шифр RC4 имеет две основных проблемы – возможность коллизии (повторения) векторов инициализации в течении определенного промежутка времени и возможность изменения передаваемых кадров. Для взлома требуется перехват кадров и анализ беспроводной сети, однако используя специальные утилиты на современном оборудовании WEP “ломается” за считанные минуты. Для повышения безопасности передаваемых данных в таких сетях можно применять туннелирование с использованием более крипкостойких алгоритмов для шифрования трафика.

WPA (Wi-Fi Protected Access) – технология пришедшая на смену WEP в качестве меры защиты беспроводных сетей от перехвата передаваемых данных. В отличии от WEP, обладает механизмом аутентификации пользователей. WPA является суммой нескольких технологий – IEEE 802.1x, EAP, TKIP, MIC. Основой механизма аутентификации пользователей является протокол EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации). Каждый подключающийся к беспроводной сети пользователь должен пройти проверку по базе зарегистрированных пользователей, обычно расположенных на внешнем сервере (RADIUS). Существует упрощенный режим, WPA-PSK, для аутентификации пользователя в котором достаточно ввести один общий пароль для узла беспроводной сети. За счет использования MIC и TKIP достигается более высокий уровень шифрования. TKIP (Temporal Key Integrity Protocol) – протокол динамических ключей сети, так же основанный на RC4, но в отличии от WEP длина ключа увеличена до 128 бит, ключи генерируются автоматически, вместо использования статического 40-битного в WEP-64. MIC (Message Integrity Check) – протокол проверки целостности пакетов, защищает данные от перехвата и перенаправления. Не смотря на то что недостатки WEP в данной технологии были устранены, в 2008-2009 году были продемонстрированы возможности достаточно быстрого «взлома» и перехвата трафика в таких сетях, основанные на уязвимостях TKIP.

WPA2 – усовершенствованная версия WPA, где на замену TKIP пришел AES (Advanced Encryption Standard) и CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Единственная продемонстрированная в данный момент уязвимость сетей использующих WPA2 позволяет авторизовавшемуся в сети пользователю в определенных случаях перехватить и расшифровать трафик других пользователей этой же сети.

Исходя из вышесказанного, беспроводные сети использующие WPA2 с точки зрения защиты передаваемых данных являются достойной альтернативой проводным сетям. В случае применения WEP, WPA, или же открытой сети необходимо обеспечить дополнительную защиту трафика с помощью механизмов туннелирования трафика с шифрованием (например, IPSec).

 Так же, широко используются следующие способы дополнительно увеличить защищенность беспроводных сетей, это:

Фильтрация подключений по MAC адресу. MAC - уникальный идентификатор сетевого адаптера, назначаемый производителем. Составив список разрешенных адресов, можно создать дополнительную преграду злоумышленнику. Однако, необходимость поддержания списка разрешенных mac-адресов создает дополнительную административную нагрузку и неудобство для пользователей, а злоумышленник при обнаружении такой защиты может подменить адрес своего устройства на один из разрешенных.

Скрытие SSID (Service Set Identifier), не позволяет обнаружить сеть при сканировани стандартными утилитами. Однако, сеть по прежнему можно обнаружить с помощью анализа трафика подключенных пользователей. Фактически, данное решение не увеличивает защищенность.

Конфигурация локальных сетей