ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
Федеральное государственное образовательное бюджетное учреждение
Высшего образования
«Санкт-Петербургский государственный университет телекоммуникаций
им. проф. М.А. Бонч-Бруевича»
Факультет ИКСС
Кафедра ЗСС
КУРСОВАЯ РАБОТА
по дисциплине:
«Безопасность Беспроводных Локальных Сетей»
Выполнили студенты:
Кошелева С.А.,ИКБ-71___________
(Ф.И.О., № группы) (Оценка)
Шинкарёва П.С.,ИКБ-71___________
(Ф.И.О., № группы) (Оценка)
Проверил:
Ковцур М.М.___________________
(Ф.И.О.) (подпись)
Санкт-Петербург
2020
Оглавление
Пример настройки Cisco ASA 5506 9
Задание 4
Протокол OSPF 10
Трафик мониторинга и управления 12
Аутентификация пользователей 14
Москва 17
Расчёт количества точек 17
Настройка 19
Настройки WLC для удалённого доступа 20
VLAN 22
Центральный офис - Санкт-Петербург 25
Расчёт 25
Настройка сети 27
VLAN 27
Архангельск 29
Расчёт 29
Настройка сети 31
VLAN 31
Казань 34
Расчёт 35
Настройка сети 36
VLAN 37
Вывод 39
Задание:
Компания «SUT LLC» решила открыть офисы в РФ в СПб, Москве, Архангельске и Казани, определив СПб местом для размещения головного офиса. Первоначальные данные, полученные от департаментов развития и HR, выглядят следующим образом:
Головной офис в СПб занимает отдельно стоящее 4-этажное здание, на первом этаже которого планируется расположение Reception Desk, а также конференц-зала и служебных помещений (в том числе серверных). На втором и третьем этажах планируются кабинеты сотрудников (на каждом этаже 35 кабинетов площадью 50 м 2 каждый), причем в каждом кабинете должны быть рабочие места для 6 сотрудников. На 4-м этаже располагается приемная генерального директора, а также кабинеты генерального директора, главного бухгалтера, директора по развитию, IT-директора, главного инженера и директора по персоналу.
Филиал в Москве занимает 2 этажа в бизнес-центре (параметры здания представлены в приложении 1). Этажи дублируются и имеют одинаковую структуру. Площадь типовой комнаты составляет 250м2, если на схеме не указан масштаб или указанный масштаб не читается. Одно из помещений выделено для приемной и еще одно - кабинет директора филиала. Остальные 2 филиала занимают по 5 помещений в бизнес-центрах (площадью 30 м2 каждое), из них 3 предназначены для сотрудников и одно для приемной и кабинета директора филиала.
Разработать дизайн корпоративной сети центрального офиса и филиалов:
A. Изобразить структурную схему корпоративной сети головного офиса и филиалов;
B. Пояснить назначение всех функциональных узлов сети;
C. Рассчитать количество точек доступа (ТД) для центрального офиса и каждого филиала;
D. Провести все необходимые настройки в соответствии с ограничениями, представленными IT-департаментом;
E. Обосновать выбор того или иного оборудования (с технической точки зрения) для каждого узла.
IT-департамент наложил следующие ограничения с целью сохранения целостного подхода к дизайну сети:
1. Для дизайна должна использоваться трехуровневая модель с серверной фермой, расположенной в СПб.
2. На уровне доступа допускается использование только L2- коммутаторов.
3. Необходимо обеспечить отказоустойчивость на уровне распределения. Выбрать соответсвующий протокол, аргументировать выбор.
4. На всех коммутаторах доступа используется STP Toolkit.
5. Все порты доступа должны работать со скоростью 1 Гбит/с.
6. «SUT Networks» предпочитает использовать модель «Local VLAN».
7. В качестве протокола маршрутизации должен использоваться OSPF.
8. В качестве IP-адресации должны использоваться адреса блока 172.16.0.0/16. При этом Московский филиал должен использовать адреса вида
10.(G-1)*50+S. X.X, где G - последняя цифра в номере группы студента (Например, для МБИ123 - G="3"), S - порядковый номер студента по журналу, X - любое число.
9. Трафик управления и мониторинга должен быть отделен от остального трафика. Система мониторинга, как и все остальные системы управления должны быть расположены в серверной ферме. Привести скриншоты с контроллера VWLC, относящиеся к настройке удаленного управления и мониторинга.
10. На каждом этаже должны использоваться сетевые многофункциональные устройства МФУ (принтер+сканер+копир).
11. В качестве корпоративной базы данных компании должна использоваться Active Directory, установленная на Windows Server 2016. Все остальные базы должны синхронизироваться с AD.
12. Аутентификация пользователей должна проводиться с использованием стандарта 802.1Х.
13. Все здания должны иметь полное покрытие сетью IEEE 802.11ac. Все точки доступа должны находиться под управлением отказоустойчивого контроллера, расположенного в серверной ферме. Должна обеспечиваться возможность эффективной работы с трафиком HD-видео, при использовании беспроводных устройств. Для филиалов необходимо предоставить расчет по рекомендации ILO для трех вариантов трафика, с учетом Location Based сервисов. Расчет для Multicast провести для точек 3600, а также для любых, выбранных вами точек. Провести экономическую оценку всех предложенных вариантов, учетом стоимости СКС и контроллера. Параметр устройств на человека выбрать 2.8. Необходимо предоставить расчет для трех вариантов трафика, дополнительный расчет с учетом Location Based сервисов. Провести экономическую оценку всех предложенных вариантов, с учетом стоимости СКС и контроллера. Расчет выполнить на точках 3600 и на любых выбранных вами точках Cisco. Сделать выводы. Параметр устройств на человека выбрать согласно таблице 1.6
Выполнить расчет точек доступа. Нарисовать схему здания согласноm варианту в масштабе 1м=0.5см или указать другой масштаб.
Рассчитать 4 варианта проекта:
Только данные
Данные + телефония
Данные + телефония + мультикаст
Данные + телефония + мультикаст+Location Based
Привести расчеты и расположение точек доступа включающие
L1/L2/L3-диаграммы, расчеты и расположение точек доступа , а также план здания с указанием масштаба и расстановкой точек доступа по зданию.
Изобразить расстановку точек для проекта данные+телефония+мультикаст+ Location Based. Учесть необходимость реализации сервисов определения местоположения клиента с точностью до трех метров.
Рассчитать ориентировочную стоимость проекта, указать стоимость точек доступа и контроллера, оценить стоимость проводной сети. Здание выбирать из Приложения 1 по варианту согласно формуле
З=S mod 12 Где S порядковый номер по списку одного студента из бригады.
14. В офисе в Казани необходимо реализовать авторизацию пользователей беспроводной сети с применением протокола RADIUS. Все скриншоты, отражающие настройку, включить в курсовой.
15. Для всех офисов аргументировать выбор архитектуры Split-MAC
или Flex Connect или другой. Описать особенности передачи трафика и выгрузки трафика. Описать сценарии работы при обрыве WAN - линка между офисами
16. Выполнить моделирование беспроводной сети на основе цифровой карты в филиале в Москве в программе Ekahau Site Survey или аналогичной на основе расчета пункта 13, проверить обеспечение номатического WiFi. Обеспечить номатический WiFi в здании
17.Уличный сектор здания филиала в Москве обеспечить Outdoor
WiFi для проведения конференции. Обеспечить работу сервиса при высокой концентрации посетителей. Модель из трех секторов для конференции, вместимость каждого составляет 500 зрителей.
Описать применяемые точки доступа и антенны. Выполнить моделирование беспроводной сети с учетом выбранных точек и антенн.
18. Описать критерии организации защищенной беспроводной сети семейства стандартов IEEE 802.11 . Описать реализацию критериев в рамках проектируемой сети. Привести скриншоты настройки указанного функционала с WLC, а также алгоритм работы в рамках конкретного проекта. Привести скриншоты базовых настроек для проектируемой беспроводной сети, а также аргументировать выбор этих настроек.
19. Филиалы должны быть присоединены к корпоративной сети с использованием отказоустойчивой топологии «точка-многоточка» (Hub-and spoke) с центром в СПб, однако следует учесть, что трафик между филиалами должен идти напрямую. Весь трафик между центральным офисом и филиалами должен шифроваться. Результатом работы должна стать пояснительная записка, подробно объясняющая все аспекты дизайна корпоративной сети, включающие L1/L2/L3-диаграммы. Присутствие примеров конфигурационных файлов не является обязательным, но будет преимуществом при защите проекта.
Глобальная настройка сети:
Ограничить физический доступ к сетевому оборудованию
Ограничить удаленный доступ к сетевому оборудованию с помощью OOB (логически: управляющий трафик выделяем в отдельный VLAN. Удаленный доступ получит лишь тот компьютер, который находится в управляющем VLAN)
Настроить VPN на ASA
Настроить Trusted Port
Настроить ACL
Настроить DHCP
Настроить AAA-сервер
Настроить Buffered Logging (логи хранятся на самом устройстве, в буфере- RAM памяти) или лог-сервер( например, Splunk, OSSIM и т.д.), где сбор логов осуществляется с помощью протоколов Syslog или SNMP
Настроить авторизацию пользователей по протоколу Radius
Настроить протокол NTP
Настроить STP
Между всеми офисами настроить VPN. Чтобы создать на базе устройства Cisco ASA виртуальную частную сеть (VPN) воспользуйтесь инструментом Cisco Adaptive Security Device Manager (ASDM).
Характеристика устройств:
Cisco Catalyst 2960 Plus
48 портов, с пропускной способностью от 8,8 до 32 Гбит/с, объемом ОЗУ 64/32 Мб
Cisco Catalyst 3750 V2
802.1Q/Private VLAN(Edge)/Voice VLAN/VTP/URT/VMPS, 12000 MAC адресов, 48 x FE RJ-45, ОЗУ – 128 мб
ASA5506-K8
8 портов GE RJ-45, 10 туннелей IPSec VPN, 750 Mbps AVC, 20 000 сессий, DES/AES VPN 100 Mbps, 5 VLAN, 50 GB mSata SSD диск
Cisco AIR-CAP702I-R-K - 802.11ac CAP, 3x3:2SS, Int Ant, R Reg Domain(Стандарты беспроводной связи IEEE 802.11a, IEEE 802.11ac, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n)
CISCO SG-300-52MP
портов Ethernet 1 Гбит/с, 2 uplink/стек/SFP (до 1 Гбит/с), поддержка PoE/PoE+, IEEE 802.1q (VLAN), IEEE 802.1p (Priority tags), IEEE 802.1d (Spanning Tree), Jumbo Frame, автоопределение MDI/MDIX, IEEE 802.1s (Multiple Spanning Tree)
Пример настройки Cisco asa 5506
Шаг 0
Перед тем как начать настройку, стоит обратить внимание на используемую версию ОС IOS. Если она старше 8.3, то следует убрать настройку nat-control.
FW-DELTACONFIG-1(config)#
no nat-control
Шаг 1. Проверка корректности настройки интерфейсов
Первый шаг – проверка корректности конфигурации внешнего и внутреннего интерфейса. Inside-интерфейс для локальной сети должен выглядеть следующим образом:
FW-DELTACONFIG (config)#
interface Ethernet 1
nameif inside
security-level 100
ip address x.x.x.x x.x.x.x
no shut
Outside-интерфейс:
FW-DELTACONFIG (config)#
interface Ethernet 0
nameif outside
security-level 0
ip address x.x.x.x x.x.x.x
no shut
Шаг 2. Настройка конфигурации шифрования
Следующим шагом будет настройка конфигурации для шифрования трафика между офисами. Для этого следует включить Outside-интерфейс. Для версий IOS до 9.0 используются такие настройки:
FW-DELTACONFIG-1(config)#
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp enable outside
Для версий операционной системы IOS после 9.0 применяются такие настройки:
FW -DELTACONFIG-1(config)#
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto ikev1 enable outside
Шаг 3. Определение трафика для шифрования
Для указания трафика, предназначенного для шифрования, следует создать список доступа ACL_CRYPTO_DO. Пакеты, не подлежащие шифрованию, будут отправлены в VPN туннель.
FW-DELTACONFIG-1(config)#
access-list ACL_CRYPTO_DO extended permit ip x.x.x.x x.x.x.x x.x.x.x x.x.x.x
Шаг 4. Создание политики шифрования
На следующем этапе осуществляется создание политики шифрования. Здесь следует указать ссылки на все имеющиеся параметры и правила шифрования.
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer x.x.x.x
crypto map SECMAP 1 set transform-set ESP-3DES-SHA
Привязываем ее к внешнему интерфейсу outside.
FW-DELTACONFIG-1(config)#
crypto map SECMAP interface outside
Задаем ключ шифрования
FW-DELTACONFIG-1(config)#
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key XXXXX
В последней строчке вместо XXXXX следует указать ключ для VPN клиента с удаленной площадкой. Этот ключ будет одинаковым как для главной офиса, так и для дополнительного. Данный ключ должен состоять как минимум из 50 символов. При этом в него должны входить не только буквы, но также цифры и специальные символы. За счет этого обеспечивается требуемый уровень безопасности.
Для версии IOS после 9.0 следует использовать такие же настройки:
FW-DELTACONFIG-1(config)#
crypto map SECMAP 1 match address ACL_CRYPTO_DO
crypto map SECMAP 1 set peer x.x.x.x
crypto map SECMAP 1 set ikev1 transform-set ESP-3DES-SHA
crypto map SECMAP interface outside
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
ikev1 pre-shared-key XXXXX
Шаг 5. Маршрутизация
На этом этапе задается маршрут до сети дополнительного офиса:
FW-DELTACONFIG-1(config)#
route outside x.x.x.x x.x.x.x
Шаг 6. Предотвращение ненужной трансляции
Зачастую межсетевой экран используется не только для подключения VPN, но и в целях обеспечения доступа пользователь в глобальную сеть. Для того чтобы предотвратить трансляцию ненужного трафика, следует осуществить следующие настройки.
Для версии IOS выше 8.3
object-group network NET_PRIVATE_IP
network-object x.x.x.x x.x.x.x
network-object x.x.x.x x.x.x.x
network-object x.x.x.x x.x.x.x
nat (any,any) source static any any destination static NET_PRIVATE_IP NET_PRIVATE_IP no-proxy-arp description NO-NAT
Для версии IOS ниже 8.3
access-list NO-NAT extended permit ip any x.x.x.x x.x.x.x
access-list NO-NAT extended permit ip any x.x.x.x x.x.x.x
access-list NO-NAT extended permit ip any x.x.x.x x.x.x.x
nat (inside) 0 access-list NO-NAT
Данные настройки предотвратят передачу пакетов, но при этом туннель установится.