Разработка инфраструктуры территориально распределенной корпоративной сети CorpPAA (вариант № 11-WLAN-DLink)

Все базовые станции WDS сети должны быть настроены на использование  одной и той же частоты, метода шифрования и ключа шифрования. В  то же время допускается использование  различных SSID.

Multiple SSID

Технология Multiple SSID применяется для разделения беспроводной сети на несколько независимых сегментов. Одну точку доступа можно использовать для поддержки более одного сервиса, например, отдельно для доступа к внутренней сети предприятия, и отдельно для публичного доступа в Интернет, не создавая несколько отдельных беспроводных сети на разных точках доступа.

Точка доступа позволяет  создать несколько SSID (Multi-SSID) и разделить беспроводную сеть на независимые сегменты на основе пары VLAN/SSID. В соответствии с требованиями безопасности в основном SSID (Primary-SSID) можно включить шифрование и аутентификацию для защиты частной сети, а другой SSID оставить открытым для публичного доступа.

7. Multiple SSID

4. Безопасность  беспроводной сети

Технология WPA (Wi-Fi Protected Access) состоит из нескольких компонентов:

• протокол 802.1x - универсальный протокол для аутентификации, авторизации и учета (AAA)
• протокол EAP - расширяемый протокол аутентификации (Extensible Authentication Protocol)
• протокол TKIP - протокол временной целостности ключей, другой вариант перевода - протокол целостности ключей во времени (Temporal Key Integrity Protocol)
• MIC - криптографическая проверка целостности пакетов (Message Integrity Code)
• протокол RADIUS

За  шифрование данных в WPA отвечает протокол TKIP, который, хотя и использует тот  же алгоритм шифрования - RC4 - что и  в WEP, но в отличие от последнего, использует динамические ключи (то есть ключи часто меняются).

RADIUS-протокол  предназначен для работы в связке с сервером аутентификации, в качестве которого обычно выступает RADIUS-сервер. В этом случае беспроводные точки доступа работают в enterprise-режиме. Если в сети отсутствует RADIUS-сервер, то роль сервера аутентификации выполняет сама точка доступа - так называемый режим WPA-PSK (pre-shared key, общий ключ). В этом режиме в настройках всех точек доступа заранее прописывается общий ключ.

Функции аутентификации возлагаются на протокол EAP, который сам по себе является лишь каркасом для методов аутентификации. Вся прелесть протокола в том, что его очень просто реализовать на аутентификаторе (точке доступа), так как ей не требуется знать никаких специфичных особенностей различных методов аутентификации. Аутентификатор служит лишь передаточным звеном между клиентом и сервером аутентификации. Методов же аутентификации, которых существует довольно много:

• EAP-SIM, EAP-AKA - используются в сетях GSM мобильной связи
• LEAP - пропреоретарный метод от Cisco systems
• EAP-MD5 - простейший метод, аналогичный CHAP (не стойкий)
• EAP-MSCHAP V2 - метод аутентификации на основе логина/пароля пользователя в MS-сетях
• EAP-TLS - аутентификация на основе цифровых сертификатов
• EAP-SecureID - метод на основе однократных паролей

8. структура EAP-кадра

Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

Операционные  системы семейства Windows Server 2003 поддерживают протокол MS-CHAP v2, обеспечивающий взаимную проверку подлинности, создание более надежных начальных ключей шифрования данных для MPPE (Microsoft Point-to-Point Encryption) и разные ключи шифрования для отправки и приема данных. Чтобы свести к минимуму риск раскрытия пароля во время обмена паролями, из протокола исключена поддержка старых методов обмена паролями MS-CHAP. Поскольку версия MS-CHAP v2 обеспечивает более надежную защиту, чем MS-CHAP, при подключении сначала предлагается использовать именно ее (если она доступна), а затем уже MS-CHAP. Протокол MS-CHAP v2 поддерживается на компьютерах, работающих под управлением Windows XP, Windows 2000, Windows 98, Windows Millennium Edition и Windows NT 4.0. Компьютеры, работающие под управлением Windows 95, поддерживают MS-CHAP v2 только для подключений VPN, но не для подключений удаленного доступа.

Из-за нецелесообразности использования  центра сертификации выбираем метод  аутентификации EAP-MSCHAP V2, который является самым распространенным, наиболее дешевым и достаточно надежным.

5. Настройка беспроводного оборудования

Настройка и управление точками  доступа осуществляется через GUI, либо через консоль. Мы будем использовать первый способ. Рассмотрим две основные особенности точки доступа DAP-2690, а именно поддержку VLAN и AP Array.

VLAN’s

DAP-2690 поддерживает возможность создания VLAN’ов. Они могут быть созданы путем задания Имени и VID. Все созданные ранее VLAN’ы отображаются во вкладке VLAN List(рис. 7).

9. VLAN List

Добавление/изменение текущих VLAN’ов производится во вкладке Add/Edit VLAN(рис.8).

10. Add/Edit VLAN

В данной вкладке доступны следующие основные настройки:

• VLAN Status
• VLAN Mode
• VLAN ID(VID)
• VLAN Name

Точка доступа поддерживает 2 частоты 2,4GHz и 5GHz. Для каждой из частот есть возможность указать расширенные настройки для тегирования трафика в случае использования MSSID и WDS.

Multi SSID

На точках доступа DAP-2310, DAP-2360, DAP-2553, DAP-2690 настроены по два SSID, первый с паролем для администрации, второй SSID - открытая Wi-Fi сеть без пароля для гостевого доступа в Интернет. Эти SSID привязаны к VLAN20 и VLAN30 соответственно. Управление Точками Доступа вынесено в отдельный VLAN2.

Точки включаются с 1 по 8 порты  коммутатора с PoE DES-3500, с uplink’а все VLAN-ы пробрасываются дальше на маршрутизатор, на котором настраиваются DHCP-сервера для каждой подсети SSID1 и SSID2.

Каждый из VLAN-ов выходит из нетегированных портов 9,10 и 11 (для доступа к серверам, хранилищ медиаконтента, контроля, или других целей).

Enable Multi-SSID, добавить (Add) второй SSID:

11. Включение Multi-SSID

Включить Vlan Status –> Enable; добавить VLAN ID и имя VLANа

12. Добавление VLAN’а

Прописать PVID (Port VLAN ID) для нужных интерфейсов

13. Задание PVID

 

В закладке VLAN List выводится список всех созданных VLAN

14. Список  VLAN’ов

В закладке Port List – список интерфейсов, VLAN ID и PVID

15. Port List после настройки

AP Array

AP Array позволяет объединять точки доступа в единый массив.

Шаг 1

• Задать одну AP как Master
• Установить Array ID и пароль
• Настроить АР

Шаг 2

• Указать Array ID и пароль, указанный в Master AP для Slave AP

Шаг 3

• Конфигурация автоматически скопируется с Master AP на все Slave AP

 

Рисунок 16 иллюстрирует последовательность операций.

 

Master – главная точка доступа(осуществляется конфигурация)

Slave – зависимые точки доступа(конфигурация передается с Master)

Backup Master – запасной Master(конфигурация передается с Master)

 

16. Этапы настройки AP Array

8. Развертывание служб сертификации

Active Directory хранит информацию о сетевых ресурсах. Эти ресурсы (например, данные пользователей, описания принтеров, серверов, баз данных, групп, компьютеров и политик безопасности) называются объектами. Объект - это отдельный именованный набор атрибутов, которыми представлен сетевой ресурс. Атрибуты объекта являются его характеристиками в каталоге. В каталоге хранятся объекты, которые представляют собой самые различные единицы хранения, описываемые с помощью атрибутов. Множество объектов, которые могут храниться в каталоге, задается в логической структуре (schema). Для каждого класса объектов логическая структура определяет, какие атрибуты обязательно должен иметь представитель данного класса, какие дополнительные атрибуты он может иметь и какой класс объектов может являться родительским по отношению к данному классу. Схема Active Directory содержит формальное описание содержания и структуры Active Directory, в том числе все атрибуты, классы и свойства классов.

Функциональная структура AD

Функциональную  структуру Active Directory можно представить в виде многоуровневой архитектуры, в которой уровни являются процессами, предоставляющими клиентским приложениям доступ к службе каталога.

Active Directory состоит из трех уровней служб и нескольких интерфейсов и протоколов, совместно работающих для предоставления доступа к службе каталога. Три уровня служб охватывают различные типы информации, необходимой для поиска записей в базе данных (БД) каталога. Выше уровней служб в этой архитектуре находятся протоколы и API-интерфейсы, осуществляющие связь между клиентами и службой каталога.

На  рис. 9 изображены уровни службы Active Directory и соответствующие им интерфейсы и протоколы. Здесь показано, как различные клиенты получают при помощи интерфейсов доступ к Active Directory.

Рис. 9.  Многоуровневая архитектура Active Directory

Основные  компоненты служб:

• Системный агент каталога (Directory System Agent, DSA). Выстраивает иерархию наследственных ("предок-потомок") отношений, хранящихся в каталоге. Предоставляет API-интерфейсы для вызовов доступа к каталогу. Клиенты получают доступ к Active Directory, используя механизмы, поддерживаемые DSA.
• Уровень БД. Предоставляет уровень абстрагирования между приложениями и БД. Вызовы из приложений никогда не выполняются напрямую к БД, а только через уровень БД.
• Расширяемое ядро хранения. Напрямую взаимодействует с конкретными записями в хранилище каталога на основе атрибута относительного составного имени объекта.
• Хранилище данных (файл БД NTDS.dit). Управляется при помощи расширяемого механизма хранения БД, расположенного на контроллере домена.
• LDAP/ADSI. Клиенты, поддерживающие LDAP, используют его для связи с DSA. Active Directory поддерживает LDAP версии 2. Клиенты Windows с установленными клиентскими компонентами Active Directory для связи с DSA применяют LDAP версии 3. Хотя ADSI является средством абстрагирования API LDAP, Active Directory использует только LDAP.
• API-интерфейс обмена сообщениями (Messaging API, MAPI). Традиционные клиенты MAPI, например Microsoft Outlook, подключаются к DSA, используя интерфейс поставщика адресной книги MAPI RPC.
• Диспетчер учетных записей безопасности (Security Accounts Manager, SAM). Репликация с резервных контроллеров в домене смешанного режима также выполняется через интерфейс SAM.
• Репликация (REPL). При репликации каталога агенты DSA взаимодействуют друг с другом, используя патентованный интерфейс RPC.

Логическая структура AD

В Active Directory ресурсы организованы в логическую структуру, отражающую структуру организации, что позволяет находить ресурс по его имени, а не по физическому расположению. Благодаря логическому объединению ресурсов в Active Directory физическая структура сети не важна для пользователей. Логическая структура Active Directory является моделью службы каталога, которая определяет каждого участника безопасности на предприятии, а также организацию этих участников. Логические компоненты Active Directory:

• Объекты - ресурсы хранятся в виде объектов.
• Классы объектов.
• Схема Active Directory.
• Домены - базовая организационная структура. Домен представляет административную единицу (administrative boundary). Компьютеры, пользователи и другие объекты внутри домена делят общую базу данных защиты (security database). Домены позволяют администраторам разделять сеть на зоны безопасности (security boundaries). Кроме того, администраторы из разных доменов могут устанавливать свои модели защиты; таким образом, модель защиты одного домена может быть изолирована от моделей защиты других доменов. Домены в основном предназначены для логического деления сети в соответствии с внутренней структурой организации
• Деревья - несколько доменов объединяются в иерархическую структуру.
• Леса - группа из нескольких деревьев домена.
• Организационные единицы - позволяют делить домен на зоны и делегировать права на них. Организационные единицы предназначены для того, чтобы облегчить управление службой Active Directory. Они служат для создания иерархической структуры в пределах домена и используются, чтобы сделать более эффективным управление единственным доменом (вместо управления несколькими доменами Active Directory).

 

Логическая  структура Active Directory не базируется на физическом местонахождении серверов или сетевых соединениях в пределах домена. Это позволяет структурировать домены, отталкиваясь не от требований физической сети, а от административных и организационных требований.

При планировании логической структуры  Active Directory необходимо определить иерархию доменов и организационных подразделений, а также разработать соглашения о пространстве имен (DNS/WINS), групповые политики и схемы делегирования полномочий.

Физическая структура AD

Физическая структура сети с  Active Directory довольно проста по сравнению с ее логической структурой. Физическими компонентами являются контроллеры доменов и сайты.