Курсовая работа / Пример курсоыой Ikb-72
.pdf•Протокол EAP-TTLS (безопасность на основе туннелирования на транспортном уровне) был разработан компанией Функ Software * и Цертиком
*в качестве расширения EAP-TLS. Этот метод обеспечения безопасности обеспечивает взаимную проверку подлинности клиента и сети с помощью шифрованного канала (или туннеля), а также возможность получения динамических WEP-ключей для каждого пользователя в одном сеансе. В отличие от EAP-TLS, EAP-TTLS требует только сертификатов на стороне сервера.
•Протокол EAP-FAST (гибкая аутентификация с помощью безопасного туннелирования) был разработан Cisco. Вместо использования сертификата для взаимной проверки подлинности. Аутентификация EAPFAST с помощью ключа PAC (защищенные учетные данные Фдоступа), которая может динамически управляться сервером аутентификации. Ключ PAC может быть предоставлен (распределен один раз в один момент времени) клиенту вручную или автоматически. Ручная инициализация — это доставка клиенту через диск или защищенный сетевой метод распространения. Автоматическая инициализация — это резервный канал, который будет распределен по воздуху.
•Метод Extensible Authentication Protocol для удостоверения подписчика GSM (EAP-SIM) — это механизм аутентификации и распределения ключей сеансов. Он использует глобальную систему для модуля идентификации (SIM) абонента для мобильных коммуникаций (GSM). EAP-SIM использует динамический WEP-ключ, который извлекается из клиентского адаптера и RADIUS-сервера, чтобы шифровать данные. Аутентификация EAP-SIM требует ввода кода пользовательской верификации (PIN-код) для обмена данными с картой (SIM). SIM-карта — это особая интеллектуальная плата, которая используется в глобальных системах для цифровых сотовых сетей с интерфейсом GSM (GSM).
•Метод EAP-AKA (Extensible Authentication Protocol для проверки подлинности УМТС и ключа) — это механизм EAP для проверки подлинности и распределения ключей сеансов, используя модуль удостоверения подписчика для мобильных мобильных телекоммуникационных систем (УМТС) (УСИМ) . УСИМ плата — это специальная смарт-карта, используемая в сотовых сетях для проверки конкретного пользователя в сети.
•LEAP (Lightweight EAP Protocol) — это тип аутентификации EAP,
используемый преимущественно в беспроводной сети Cisco Аиронет. Он шифрует передачи данных с помощью динамически генерируемых WEPключей и поддерживает взаимную аутентификацию. Херетофоре особое, Cisco лицензировано с помощью программы Cisco Compatible Extensions на различных производителей.
•Протокол PEAP (protected Extensible Authentication Protocol)
предоставляет метод для передачи безопасных данных проверки подлинности, включая устаревшие протоколы на базе паролей, через 802,11 сетей Wi-Fi. PEAP выполняет эти задачи, используя туннелирование между PEAP и
51
сервером аутентификации. Как и в случае с конкурирующими стандартными защитными транспортными уровнями (TTLS), PEAP проверяет сеть Wi-Fi LAN с использованием только серверных сертификатов, упрощая внедрение и администрирование защищенной локальной сети Wi-Fi. Microsoft, Cisco и RSA Security разработали протокол PEAP.
Выводы:
•Как правило, MD5 не используется, так как это лишь односторонний способ аутентификации, и, возможно, еще более важное значение не поддерживает автоматическое распространение и вращение WEPключей, что не приводит ни к чему отменять административные нагрузки при обслуживании WEP Key Key.
•TLS, в то же время для безопасности, требует установки клиентских сертификатов на каждую рабочую станцию Wi-Fi. Для поддержки инфраструктуры PKI требуются дополнительные административные знания и время в дополнение к поддержке беспроводных сетей.
•TTLS решает проблему с сертификатом путем туннелирования TLS и исключает потребность в сертификате на клиентской стороне. Это часто предпочтительный вариант. Функ Software— это основной уровень TTLS, и за него взимается плата за серверное по для проверки подлинности и аутентификации.
•В процессе работы с приложением «LEAP» имеется самая длинная история, и хотя раньше (работает только с адаптерами Cisco Wi-Fi) Cisco лицензировано с помощью программы Cisco Compatible Extensions на различных производителей. При использовании LEAP для аутентификации необходимо обеспечить строгую политику паролей.
•EAP-FAST теперь доступен для предприятий, которые не могут применять надежную политику паролей и не хотят развертывать сертификаты для проверки подлинности.
•Более поздняя версия PEAP похожа на EAP-TTLS в том, что для нее не требуется сертификат на клиентской стороне. Протокол PEAP предоставляется компанией Cisco и Microsoft и предоставляется без дополнительных затрат корпорации Microsoft. Если требуется переход с LEAP на PEAP, сервер аутентификации Cisco ACS будет работать в обоих случаях.
Еще один вариант — VPN
Вместо того чтобы полагаться на локальную сеть Wi-Fi для аутентификации и конфиденциальности (шифрования), многие предприятия реализуют VPN. Для этого необходимо разместить точки доступа за пределами корпоративного межсетевого экрана и подать пользователю туннель через шлюз VPN — так же, как если бы они были удаленными
52
пользователями. Недостатки реализации решения для VPN — это стоимость, сложности начальной установки и непрерывные административные издержки
Таким образом в нашей корпоративной сети используется EAP-FAST так как, был разработан Cisco. Вместо использования сертификата для взаимной проверки подлинности. Аутентификация EAP-FAST с помощью ключа PAC (защищенные учетные данные Фдоступа), которая может динамически управляться сервером аутентификации.
ISE
Cisco Identity Services Engine представляет собой высокопроизводительное и гибкое решение для контроля доступа с учетом контекста, которое объединяет сервисы аутентификации, авторизации и учета (AAA), оценки состояния, профилирования и управления гостевым доступом
врамках единой платформы. Администраторы получают возможность централизованно создавать согласованные политик контроля доступа и управления ими, а также полную осведомленность обо всех пользователях и устройствах, подключающихся к сети. Решение Cisco Identity Services Engine автоматически выявляет и классифицирует оконечные устройства, обеспечивает нужный уровень доступа, проводя аутентификацию как пользователей, так и устройств, а также обеспечивает соответствие оконечных устройств нормативным требованиям путем оценки их состояния защищенности перед предоставлением доступа к корпоративной ИТинфраструктуре.
Платформа Cisco Identity Services Engine характеризуется следующими преимуществами.
●Эта платформа позволяет организациям выполнять согласованное развертывание сложных индивидуализированных бизнес-политик доступа.
●Платформа позволяет снизить операционные расходы за счет обеспечения полного мониторинга, формирования исторических отчетов и расширенных средств поиска и устранения неполадок сетевого доступа.
●Платформа позволяет уменьшить число перебоев в работе сети и сократить время простоя за счет того, что доступ к сети предоставляется только пользователям, соответствующим требованиям политик, а пользователи, которые не соответствуют требованиям политик, изолируются
вотдельные области сети с ограниченным доступом к корпоративным ИТресурсам.
●Платформа позволяет организациям обеспечить соответствие нормативным требованиям, поскольку она обеспечивает реализацию необходимых механизмов обеспечения информационной безопасности и их аудит.
53
IEEE 802.11
54
Вывод:
В ходе выполнения курсового проекта, изучены основы организации беспроводных локальных сетей, их безопасность. Получены навыки построения моделей сети, работа с WLC и точками доступа. Изучены стандарты беспроводной связи.
1.Для дизайна используется трехуровневая модель с серверной фермой, расположенной в СПб, согласно заданию. В нее входят уровни доступа, распределения и ядра.
2.На уровне доступа использую только L2 коммутаторы такие как коммутаторы серии CISCO CATALYST 2960.
3.Обеспечена отказоустойчивость на уровне распределения. Был выбран протокол HSRP. Был выбран не VRRP так как он имеет проблемы с пакетными правами а так же он создан на основе HSRP.
4.На всех коммутаторах доступа используется STP Toolkit. Так как мы используем оборудование Cisco, то будем использовать протокол PVST+.
5.Все порты доступа работают со скоростью 1 Гбит/с согласно заданию.
6.«SUT Networks» предпочитает использовать модель «Local VLAN». Разбили сеть на сегменты сети.
7.В качестве протокола маршрутизации должен использоваться OSPF.
8.В качестве IP-адресации используются адреса блока 172.16.0.0/16. При этом Московский филиал использует адреса вида
10.(G-1)*50+S. X.X, где G - последняя цифра в номере группы студента S - порядковый номер студента по журналу,
X - любое число.
9.Трафик управления и мониторинга отделен от остального трафика. Система мониторинга, как и все остальные системы управления расположены в серверной ферме.
10.На каждом этаже используются сетевые многофункциональные устройства МФУ (принтер+сканер+копир).
11.В качестве корпоративной базы данных компании должна использоваться Active Directory, установленная на Windows Server 2016.
12.Аутентификация пользователей проводится с использованием стандарта 802.1Х. Так как имеется WLC и RADIUS – сервер.
13.Все здания имеют полное покрытие сетью IEEE 802.11ac. Все используемые ТД поддерживают этот стандарт. Все точки доступа находятся под управлением отказоустойчивого контроллера, расположенного в серверной ферме.
14.В офисе в Казани необходимо реализуется авторизация пользователей беспроводной сети с применением протокола RADIUS.
15.Используется централизованная модель проектирования. Описать особенности передачи трафика и выгрузки трафика. Описать сценарии работы при обрыве WAN - линка между офисами.
55
16.Выполнено моделирование беспроводной сети на основе цифровой карты в филиале в Москве в программе Ekahau Site Survey, проверено обеспечение номатического WiFi.
17.Приуличный сектор здания филиала в Москве обеспечен Outdoor WiFi для проведения конференции.
18.Приведены скриншоты настройки функционала с WLC.
56