Вы находитесь на странице: 1из 67

Оглавление

Стандарты................................................................................................................. 5
1. Принципы использования радиочастотного спектра. Физические
основы беспроводных коммуникаций. ............................................................. 5
Физические основы ......................................................................................... 5
2. Характеристика протоколов семейства IEEE 802.11. Единицы
мВт, dBm, dBi и их преобразование. Допустимая мощность излучения по
IEEE.802.11 в РФ. Правило 3-10. ....................................................................... 7
IEEE 802.11 – семейство стандартов беспроводной связи для локальных
сетей. ................................................................................................................. 7
Допустимая мощность в IEEE 802.11 в РФ .................................................. 8
Единицы мВт, dBm, dBi и их преобразование ........................................... 10
Децибел-милливатт (дБм, dBm) ................................................................... 10
Изотропный децибел (дБи, dBi) ................................................................... 11
CleanAir .......................................................................................................... 11
Правила 3-10 .................................................................................................. 11
4. Стандарты 802.11. Скорости, частоты, каналы. Типы и
классификация антенн. Изотропическая, направленная и всенаправленная
антенны. Диаграмма направленности. Рекомендации по использованию (в
21). 12
5. Сравнение 802.11n и 802.11ac. 802.11 ax. Характеристика
каждого из стандартов. Технологии MRC, TBF, SM. Применение MU-
MIMO. Неперекрывающиеся каналы. ............................................................. 13
Планирование и антенны ...................................................................................... 13
3. WLAN Design. Расчет проекта беспроводной сети. Особенности
дизайна для приложений Data / Voice / Video. ............................................... 13
WLAN Design ................................................................................................. 13
Расчет проект беспроводной сети: .............................................................. 14
Особенности дизайна для приложений Data / Voice / Video .................... 15
6. Location based сервисы и их назначение. Особенности дизайна.
Примеры реализации. ....................................................................................... 16
7. Развертывание сети на базе Standalone AP. Рекомендации и
ограничения решения. Особенности организации ИБ в домашних и малых
корпоративных сетях. ....................................................................................... 17
9. Популярные архитектуры беспроводных сетей. Модель Split
MAC и Local MAC (Централизованная модель). Flex Connect и
ососбенности подключения ТД. ...................................................................... 17
Local MAC ...................................................................................................... 17
Split MAC ....................................................................................................... 17
34. Особенности радиоанализа с использованием программного
обеспечения Site Survey .................................................................................... 20
21. Антенны изотропная, дипольная. Классификация и типы
антенн и их основные характеристики. Понятие EIRP ................................. 21
Изотропная антенна ...................................................................................... 21
Дипольная антенна ........................................................................................ 21
Характеристики антенн: ............................................................................... 22
Типы антенн: .................................................................................................. 22
EIRP ................................................................................................................ 23
37. Архитектуры беспроводных сетей IEEE 802.11 и их
особенности. Рекомендации по применению архитектур ............................ 23
802.1x (EAP) ........................................................................................................... 23
11. IEEE 802.1x(в 31). Роль протоколов EAPoL, EAP, RADIUS. Web-
аутентификация. RADIUS Change of Authorization ....................................... 23
EAP.................................................................................................................. 23
EAPoL ............................................................................................................. 23
EAP (в комбинации с TLS, TTLS, PEAP, FAST) ........................................ 24
RADIUS .......................................................................................................... 25
Аутентификация RADIUS ............................................................................ 26
Авторизация RADIUS (в 14 подробно) ....................................................... 26
Учёт (Accounting) RADIUS .......................................................................... 27
RADIUS Change of Authorization ................................................................. 27
30. Классификация протоколов EAP(в 11). RADIUS и пример
работы. Атрибуты. Назначение протокола DIAMETER ............................... 27
Атрибуты, которые передаются в Access-Request: .................................... 27
Атрибуты, которые передаются в сообщении Access-Accept: ................. 28
DIAMETER .................................................................................................... 29
14. Использование Radius для авторизации пользователей на
оборудовании (По Лр - беспроводной клиент на точке доступа,
администратор на устройстве) ......................................................................... 30
Схема авторизации беспроводного клиента по IEEE 802.1x: ................... 30
31. 802.1x обзор. Назначение VLAN/dACL. EAP Chaining ........... 31
Динамическое назначение VLAN ................................................................ 31
802.1x Downloadable ACLs ........................................................................... 32
EAP-Chaining.................................................................................................. 32
WLC ........................................................................................................................ 33
25. Классификация оборудования беспроводных сетей.
Классификация ТД. Типовое решение для малых и крупных беспроводных
сетей. PoE. Базовая настройка оборудования для подключения точек
доступа 33
8. Развертывание сети на базе WLC. Преимущества подхода. .
Схема и элементы типового решения. Основные этапы настройки. Туннель
управления и туннель передачи данных между WLC и Т.Д. Особенности
организации ИБ средних и крупных в корпоративных сетях....................... 34
10. WLC и CAPWAP. Варианты работы точки доступа -
Lightweight Access Point / autonomous ............................................................. 36
26. WLC. Решаемые задачи и назначение. Типовая схема
беспроводной сети с централизованным управлением. Подключение
элементов 40
27. WLC. Интерфейсы и их назначение. Предоставляемые
возможности по мониторингу .......................................................................... 41
Интерфейсы.................................................................................................... 41
Возможности по мониторингу: .................................................................... 41
28. Этапы настройки ТД на WLC. Назначение и настройка Syslog
и SNMP 42
33. Протокол SNMP. Версии и назначение протокола. TFTP, FTP.
SFPT. Syslog(в 28) и его назначение, настройка ............................................ 43
29. Классификация ТД(в 25). H-REAP режим(в 9) ......................... 45
35. Возможности мобильности беспроводной сети (Особенности
intracontroller роуминга). High Avalability. Поддержка решения Cisco UC. 45
39.Администрирование интерфейса конечных пользователей (по WLC) .. 46
Пакеты и Troubleshooting...................................................................................... 47
22. Алгоритмы передачи кадров в сетях семейства IEEE802.11.
SIFS. ACK. Структура кадра IEEE802.11. MAC-адреса. Элементы кадра
для оценки качества сети .................................................................................. 47
23. Алгоритмы передачи кадров в сетях семейства IEEE802.11.
Типы фреймов. Анализ качества сети на основе статистики фреймов.
Траблшутинг WLAN. Оценка качества беспроводной сети ......................... 49
24. Алгоритм поиска SSID. Подключение к сети IEEE802.11 ...... 50
ИБ – протоколы WPA, WPA2, WPA3.................................................................. 52
15. Ключевая иерархия в стандартах IEEE 802.11. Генерация и
назначение ключей. Рекомендуемые и устаревшие механизмы ИБ ............ 52
20. Протоколы Wireless Security. WEP, WPA, WPA2, AES CCMP /
TKIP, WPA-PSK/WPAEnterprise и рекомендации по применению
протоколов. WPA-3. Режимы PSK / Enterprise ............................................... 54
ИБ – атаки и защита .............................................................................................. 57
16. ИБ. определение и цель ЗИ. Классификация нарушителей и их
целей. Классификация угроз ИБ. Классификация источников угроз .......... 57
Информационная безопасность ................................................................... 57
Классификация нарушителей....................................................................... 58
Основные типы угроз ИБ: ............................................................................ 58
17. Классификация атак в беспроводных сетях. Описание атаки на
WPS, атаки MiTM .............................................................................................. 59
Атаки............................................................................................................... 59
Алгоритм атаки на WPS ............................................................................... 60
18. Классификация методов защиты от атак на беспроводные сети.
60
Методы защиты ............................................................................................. 60
Условия для защиты:..................................................................................... 61
19. Технология CleanAir. Скрытие SSID, MAC ACL ..................... 62
Технология CleanAir ..................................................................................... 62
CleanAir .......................................................................................................... 62
Скрыть SSID................................................................................................... 63
MAC ACL ....................................................................................................... 63
Дополнительные механизмы ИБ ......................................................................... 63
12. Технологии профилирования в беспроводных сетях стандарта
IEEE 802.11. Назначение решения ISE ........................................................... 63
Профилирование............................................................................................ 64
13. Технологии динамического изменения авторизации CoA.
Назначение решения ISE .................................................................................. 64
32. Профилирование. Identity store. Сенсоры. Netflow Роль ISE
сервера в обеспечении ИБ ................................................................................ 64
Рекомендации по развертыванию беспроводных сетей .................................... 66
36. Базовые рекомендации по развертыванию беспроводных сетей
различной емкости(на основе CWD) ............................................................... 66
38. Направления развития информационных
(телекоммуникационных) технологий, включая беспроводные технологии
корпоративных сетей. WPA3. IEEE 802.11ax. SDN, Mobility Express,
Конверсированный доступ, HA. ...................................................................... 66
Стандарты

1. Принципы использования радиочастотного спектра. Физические


основы беспроводных коммуникаций.

Принципы использования в РФ радиочастотного спектра описаны в ст.


22 п. 4 Федеральном законе от 07.07.2003 №126-ФЗ “О связи”:

Использование в Российской Федерации радиочастотного спектра


осуществляется в соответствии со следующими принципами:
· разрешительный порядок доступа пользователей к радиочастотному
спектру;
· сближение распределения полос радиочастот и условий их использования
в Российской Федерации с международным распределением полос
радиочастот;
· право доступа всех пользователей к радиочастотному спектру с учетом
государственных приоритетов, в том числе обеспечения радиочастотным
спектром радиослужб Российской Федерации в целях обеспечения
безопасности граждан, обеспечения связи для нужд органов
государственной власти, обороны страны и безопасности государства,
правопорядка, экологической безопасности, предотвращения
чрезвычайных ситуаций техногенного характера;
· платность использования радиочастотного спектра;
· недопустимость бессрочного выделения полос радиочастот, присвоения
радиочастот или радиочастотных каналов;
· конверсия радиочастотного спектра;
· прозрачность и открытость процедур распределения и использования
радиочастотного спектра.

Регулирование использования радиочастотного спектра


радиомикрофонами осуществляется в соответствии с решением
Государственной комиссии по радиочастотам (ГКРЧ) от 7 мая 2007 г. № 07-
20-03-001 «О выделении полос радиочастот устройствам малого радиуса
действия»

Физические основы
В системах беспроводной связи (радиосвязи) электромагнитная энергия
передается в среду распространения антенной, которая служит излучателем.
Физические размеры и структура антенны зависят прежде всего от рабочей
частоты. Чтобы получить эффективное излучение электромагнитной энергии,
размеры антенны должны быть больше чем 1/10 длины волны.
В зависимости от возможных направлений передачи информации
различают:

· симплексные КС - когда передатчик и приемник соединяются одной


линией связи, по которой информация передается только в одном
направлении (это характерно для телевизионных сетей связи);
· полудуплексные КС- когда два узла связи соединены так же одной линией,
по которой информация передается попеременно то в одном направлении
то в противоположном;
· дуплексные КС - когда два узла связи соединены двумя линиями, по
которым информация одновременно передается в противоположных
направлениях.

По пропускной способности каналы КС можно разделить на:

· низкоскоростные – скорость передачи информации в которых от 50 до 200


бит/сек; это телеграфные КС, как коммутируемые так и некоммутируемые;
· среднескоростные - – скорость передачи информации в которых от 300 до
9600 бит/сек; это аналоговые (телефонные) КС;
· высокоскоростные (широкополосные) КС , обеспечивают скорость
передачи информации выше 56000 бит\сек.

Каналы связи могут быть:

· коммутируемые;
· некоммутируемые.

Коммутируемые каналы создаются из отдельных участков только на


время передачи по ним информации; по окончании передачи такой канал
ликвидируется.

Некоммутируемые (выделенные) каналы создаются на длительное


время и имеют постоянные характеристики по длине, пропускной
способности, помехозащищенности.
Пропускная способность канала — Максимально возможная при
определенных условиях скорость, при которой информация может
передаваться по конкретному тракту связи, или каналу.

Скорость передачи информации. Под скоростью передачи понимают


количество информации или количество сведений, которое передается в
данной системе в единицу времени. В общем случае скорость передачи
связывают со скоростью передачи знаков, символов, используемых при
отображении состояний конкретного источника сообщений.
Различают бодовую (модуляционную) и информационную скорости.
Бодовая скорость измеряется в бодах, т. е. числом изменений дискретного
сигнала в единицу времени, а информационная – числом битов информации,
переданных в единицу времени. Именно бодовая скорость определяется
полосой пропускания линии.

Максимально возможная информационная скорость V связана с


полосой пропускания F канала связи формулой Хартли – Шеннона
(предполагается, что одно изменение величины сигнала приходится на log2k
бит, где k – число возможных дискретных значений сигнала), бит/с,

где k = 1 + A;

V = 2F × log 2 k ,

A – отношение мощности сигнала/мощности помехи.

2. Характеристика протоколов семейства IEEE 802.11. Единицы


мВт, dBm, dBi и их преобразование. Допустимая мощность излучения по
IEEE.802.11 в РФ. Правило 3-10.

IEEE 802.11 – семейство стандартов беспроводной связи для


локальных сетей.

· IEEE 802.11 – стандарт IEEE, в котором определяется порядок доступа к


передающей среде и приводятся спецификации физического уровня для
беспроводных локальных сетей со скоростью до 2 Мбит/с. Стандарт
802.11 распространяется на высокочастотные радиоканалы DSSS и FHSS,
а также на инфракрасные каналы.
· IEEE 802.11а – рассматриваются сети со скоростями до 54 Мбит/с по
технологии DSSS. Работает на 5 ГГц, ширина КС 20 MHz
· IEEE 802.11b – рассматриваются сети со скоростями до 11 Мбит/с по
технологии DSSS. Работает на 2,4 ГГц, ширина КС 20 MHz
· IEEE 802.11g – рассматриваются сети, работающие со скоростями до 54
Мбит/с по технологии DSSS, обратно совместимые со стандартом 802.llb.
Работает на 2,4 ГГц, ширина КС 20 MHz. Имеет только три
непересекающихся канала.
· IEEE 802.11n (Wi-Fi 4) – стандарт работающий в диапазонах 2,4 и 5 ГГц
(устройства, поддерживающие диапазон 5 ГГц встречаются гораздо реже),
позволяет достигать скоростей до 150 Мбит/с при ширине канала 40 МГц
на каждую независимую антенну.

o Максимальная теоретическая скорость 600 Мбит/с при


использовании передачи данных сразу по четырем антеннам.
Наиболее распространены скорости 150 и 300 Мбит/с. Совместим с
11b/ 11a/11g.
o Появилось такое понятие, как MIMO (англ. Multiple Input, Multiple
Output - «много входов, много выходов»), с помощью которого
осуществляется пространственное мультиплексирование -
одновременная передача нескольких информационных потоков по
одному каналу, а также использование для доставки сигнала
многолучевого распространения, которое минимизирует влияние
помех и потерь данных, но требует наличия нескольких антенн.

· IEEE 802.11ас (Wi-Fi 5) — стандарт, работающий в диапазоне частот 5


ГГц. Обратно совместим с IEEE 802.11n (в диапазоне 5 ГГц) и IEEE
802.11a. Устройства с 802.11ac обычно также реализуют стандарт 802.11n
в диапазоне 2.4 ГГц. (чаще используют каналы 40 МГц - в корпоративных
сетях, также используются каналы по 80 МГц, 80+80 Мгц (80 из UNI) или
160 МГц).

o Также введен механизм MU-MIMO (Multi User Multiple Input,


Multiple Output). Bce это вместе ведет к значительной экономии
заряда батареи мобильного устройства.
o Стандарт позволяет существенно расширить пропускную
способность сети, начиная от 433 Мбит/с (устройства с 433 Мбит/с
на канал уже были доступны летом 2014 года) и до 6,77 Гбит/с при
8х МU-МIМО-антеннах.

· IEEE 802.11ad — это поправка к стандарту беспроводных сетей IEEE


802.11, разработанная для предоставления стандарта Multiple GigaЬit
Wireless System (MGWS) на частоте 60 ГГц, и является сетевым
стандартом для сети WiGig. 802.11ad позволяет достичь скоростей до 7
Гбит/с. При этом поддерживается MU-MIMO. 802.11ad работает на
частоте 60 ГГц.
· IEEE 802.11ах (Wi-Fi 6) - предназначен для работы в уже существующих
спектрах 2,4 ГГц и 5 ГГц и будет включать дополнительные полосы
частот от 1 до 7 ГГц по мере их появления. В дополнение к
использованию MIMO (множественные входы и выходы) и MU-MIMO,
новая поправка вводит OFDMA (ортогональное частотное
мультиплексирование) для улучшения общей спектральной
эффективности и поддержку модуляции 1024-QAM более высокого
порядка для увеличения пропускной способности.
· 802.11i - стандарт IEEE, относящийся к безопасности беспроводных сетей.
Описывает механизмы безопасности беспроводных сетей
WEP/WPA/WPA2. В рамках стандарта, в частности, описано применение
механизмов безопасности 802.lx совместно с протоколами 802.11
ТКIР/ССМР, что позволяет обеспечить аутентификацию пользователей,
конфиденциальность и целостность данных в беспроводных локальных
сетях.

Допустимая мощность в IEEE 802.11 в РФ


В соответствии с п.2 ст.22 Федерального закона от 07.07.2003 №126-ФЗ
"О связи" оборудование радиодоступа диапазона 2400-2483,5 МГц подлежит
регистрации. Исключение составляют:
· Пользовательское (оконечное) оборудование передающее,
включающее в себя приемное устройство, малого радиуса действия
стандартов IEEE 802.11, IEEE 802.11.b, IEEE 802.11.g, IEEE 802.11.n
(Wi-Fi), работающее в полосе радиочастот 2400 - 2483,5 МГц, с
допустимой мощностью излучения передатчика не более 100 мВт, в
том числе встроенное либо входящее в состав других устройств.
· Пользовательское (оконечное) оборудование передающее,
включающее в себя приемное устройство, малого радиуса действия
стандартов IEEE 802.11а, IEEE 802.11.n (Wi-Fi), работающее в полосах
радиочастот 5150 - 5350 МГц и 5650 - 6425 МГц, с допустимой
мощностью излучения передатчика не более 100 мВт, в том числе
встроенное либо входящее в состав других устройств.
· Пользовательское (оконечное) оборудование передающее,
включающее в себя приемное устройство, работающее в полосах
радиочастот 2300 - 2400 МГц, 2500 - 2690 МГц, 3400 - 3450 МГц и 3500
- 3550 МГц, с допустимой мощностью излучения передатчика не
более 1 Вт, в том числе встроенное либо входящее в состав других
устройств.
Точки беспроводного радиодоступа, используемые владельцами
радиоэлектронных средств для организации беспроводных сетей
передачи данных, не являются оконечными устройствами и подлежат
регистрации в органах Роскомнадзора.
Исключение составляют:
· Устройства малого радиуса действия в сетях беспроводной передачи
данных в полосе радиочастот 2400 - 2483,5 МГц с максимальной
эквивалентной изотропно излучаемой мощностью передатчика не
более 2,5 мВт при использовании псевдослучайной перестройки
рабочей частоты.
· Устройства малого радиуса действия в сетях беспроводной передачи
данных внутри закрытых помещений в полосе радиочастот 2400 -
2483,5 МГц с максимальной эквивалентной изотропно излучаемой
мощностью передатчика не более 100 мВт при использовании
псевдослучайной перестройки рабочей частоты.
· Устройства малого радиуса действия в сетях беспроводной передачи
данных вне закрытых помещений в полосе радиочастот 2400 - 2483,5
МГц только при высоте установки радиоэлектронных средств не
более 10 м от поверхности земли.
· Устройства малого радиуса действия в сетях беспроводной передачи
данных вне закрытых помещений для сбора информации телеметрии
в составе автоматизированных систем контроля и учета ресурсов или
систем охраны в полосе радиочастот 2400 - 2483,5 МГц.
· Устройства малого радиуса действия, используемые в сетях
беспроводной передачи данных в полосе радиочастот 2400 - 2483,5
МГц, с максимальной эквивалентной изотропно излучаемой
мощностью передатчика не более 100 мВт при использовании прямого
расширения спектра и других отличных от псевдослучайной
перестройки рабочей частоты видов модуляции:
1. при максимальной спектральной плотности эквивалентной изотропно
излучаемой мощности 2 мВт/МГц;
2. при максимальной спектральной плотности эквивалентной изотропно
излучаемой мощности 10 мВт/МГц - внутри закрытых помещений;
3. при максимальной спектральной плотности эквивалентной изотропно
излучаемой мощности 20 мВт/МГц вне закрытых помещений только
для сбора информации телеметрии в составе автоматизированных
систем контроля и учета ресурсов или систем охраны.

Единицы мВт, dBm, dBi и их преобразование


Децибелы (дБ, dB) - логарифмическая безразмерная единица,
используемая для выражения отношения двух произвольных значений одной
и той же физической величины. Величина, выраженная в децибелах, равна
десятичному логарифму безразмерного отношения двух физических величин
(P2/P1), принимаемой за исходную, умноженному на десять: logP = 10
lg(P2/P1).
Простым языком: в разрезе Wi-Fi в Децибелах измеряют то насколько
беспроводной сигнал стал сильнее или слабее.

Децибел-милливатт (дБм, dBm)


Децибел-милливатт показывает, во сколько раз измеряемая мощность
больше или меньше 1 мВт (показывает изменение значения мощности
относительно эталона (абсолютного значения = 1 мВт)). В случае измерения
в децибел-милливаттах точкой отсчета является 1 мВт, которая равна уровню
сигнала в О dBm. В разрезе Wi-Fi в децибел-милливаттах измеряют
мощность сигнала, который отдает или принимает беспроводное устройство.
В реальной жизни передатчик может отдавать сигнал мощностью
(передатчик - Тх) 100 мВт, а приемник при этом получать (приемник - Rx)
0,000031623. С помощью приведенной выше формулы мы можем вычислить
следующее: dB = 10 * lg(0,000031623 мВт/100 мВт)= -65 dB. Таким образом,
мы получили, что по мере прохождения сигнала от передатчика к приемнику
он изменился на -65 dB. (“-” - мощность сигнала менее 1 мВт)
Например, чувствительность беспроводного сетевого адаптера
стандарта 802.11b при пропускной способности 2 Мбит/с может равняться -
90 дБм. Обратите внимание, что dBm может быть добавлена по ходу пути:
мощность передатчика dBm + сетевые потери в dB = полученный сигнал в
dBm.

Изотропный децибел (дБи, dBi)


Изотропный децибел (dBi) - Характеризует идеальную антенну, у
которой диаграмма направленности выглядит в виде идеальной сферы
(идеального шара). Как правило, если не оговорено специально,
характеристики усиления реальных антенн даются относительно усиления
изотропной антенны и измеряются в изотропных децибелах. То есть, когда
говорят, что коэффициент усиления какой-либо антенны равен 12 децибел,
подразумевается 12 dBi.

CleanAir
CleanAir – это интеллектуальный контроль спектра, позволяющий
идентифицировать одиночные и множественные источники интерференции в
зоне покрытия WLAN. С этой информацией решение Cisco может выполнять
такие действия как:
· информировать о наличии интерференции,
· идентифицировать источники интерференции с высоким разрешением,
· определять уровень опасности от этих источников,
· при превышении конфигурируемых пороговых значений уровня
опасности, автоматически и быстро перестраиваются частотные каналы
для того, чтобы вывести «инфицированный» канал из «зоны
поражения» и использовать его там, где это возможно.

Правила 3-10
· 1 дБ - в 1,26 раза
· 3 дБ - в 2 раза (Правило 3)
· 10 дБ - в 10 раз (Правило 10)
· 20 дБ - в 100 раз

Примеры расчетов из дБ в разы:

6 дБ = З дБ + З дБ = в 2*2 = в 4 раза,
9 дБ = З дБ+ З дБ + З дБ = в 2*2*2 = в 8 раз,
12 дБ = 4 * (3 дБ) = в 24 = в 16 раз

13 дБ= 10 дБ+ 3 дБ = в 10*2 = в 20 раз,

20 дБ = 10 дБ + 10 дБ = в 10*10 = в 100 раз,

30 дБ = 3 * (10 дБ) = в 103 = в 1000 раз


Напоминание: допустимая мощность излучения 100 мВт

4. Стандарты 802.11. Скорости, частоты, каналы. Типы и


классификация антенн. Изотропическая, направленная и всенаправленная
антенны. Диаграмма направленности. Рекомендации по использованию (в 21).
Скорости, частоты и каналы стандартов часто используемых
стандартов 802.11 приведены в таблице ниже:
Стандарт
Частота, Ширина канала, МГц Максимальная
ГГц скорость

802.11 2.4 20 МГц 2 Мбит/c

802.11a 5 20 МГц 54 Мбит/c

802.11b 2.4 20 МГц 11 Мбит/с

802.11g 2.4 20 МГц 54 Мбит/c

802.11n 2.4 и 5 20/40 МГц 600Мбит/c

802.11ac 5 20/40 МГц 6.77 Гбит/с

802.11aх 2,4 и 5 20/40/80/(80+80)/160 11 Гбит/с


МГц
5. Сравнение 802.11n и 802.11ac. 802.11 ax. Характеристика каждого
из стандартов. Технологии MRC, TBF, SM. Применение MU-MIMO.
Неперекрывающиеся каналы.
· 802.11n (WiFi 4) — увеличение скорости передачи данных (600
Мбит/c). 2,4-2,5 или 5 ГГц. Обратная совместимость с 802.11a/b/g
(сентябрь 2009).
· 802.11ac (WiFi 5) — скорость передачи данных до 6,77 Гбит/с для
устройств, имеющих 8 антенн (Январь 2014)
· 802.11ax (WiFi 6) — новый стандарт (до 10747 Мб/с)
Стандарт 802.11n повышает скорость передачи данных в 4-11 раз по
сравнению с устройствами стандартов 802.11g (максимальная скорость
которых равна 54 Мбит/с), при условии использования в режиме 802.11n с
другими устройствами 802.11n. Теоретически 802.11n способен обеспечить
скорость передачи данных до 600 Мбит/с брутто, применяя передачу данных
сразу по четырем антеннам, однако обычно встречаются решения 802.11n с
одной антенной и скоростью до 150 Мбит/с.
Устройства 802.11n могут поддерживать работу в диапазонах 2,4 или
5,0 ГГц.
В стандарте 802.11ac увеличение скорости происходит за счет 3
улучшений:

· Большая ширина канала, увеличено с максимума 40 МГц с 802.11n до


80 или даже 160 МГц (что дает увеличение скорости на 117 или 333
процента соответственно).
· Более плотная модуляция, используется 256 квадратурно-амплитудная
модуляция (QAM), по сравнению с 64-QAM в 802.11n (для увеличения
скорости на 33 процента в более узких, но все еще пригодных для
использования диапазонах).
· Увеличено число приемников и передатчиков до 8, реализована схема
MIMO 8x8, в то время как 802.11n остановился на четырех
пространственных каналах (это еще одно увеличение скорости на 100
процентов).

Планирование и антенны

3. WLAN Design. Расчет проекта беспроводной сети. Особенности


дизайна для приложений Data / Voice / Video.

WLAN Design
Порядка 50% стоимости проекта уходит на эстетическую
составляющую. При построении беспроводных сетей нужно учитывать
параметры:
Общие принципы для передачи данных (DataOnly)
· 465 м2 на ТД (1 ТД каждые 25 м);
· 10% перекрытия ячеек покрытия для поддержки роуминга;
· ТД при 60% мощности для резервирования покрытия в случае отказа
одного из ТД;
· Средняя мощность -75 dBm на краю каждой ячейки.
· Максимальное рекомендуемое количество устройств на ТД=50
Общие принципы для передачи голоса и данных (Data + Voice)
· 270 м2 на ТД (1 ТД каждые 18 м);
· 15% перекрытия ячеек покрытия для поддержки роуминга;
· ТД при 60% мощности для резервирования покрытия в случае отказа
одного из ТД;
· Средняя мощность -67dBm на краю каждой ячейки.

Расчет проект беспроводной сети:


Дано 4х этажное здание, каждый этаж площадью 45м х 40м. Надо
перекрыть 1800м2 на этаж. Коэффициент устройств на пользователя пусть
будет 1.6, т.е. на каждого сотрудника 1-2 устройства. Допустимая плотность
сотрудников: не менее 10м2 на человека.

Решение:

С учетом плотности сотрудников и площади 4х этажного здания в


7200м2 рассчитаем количество сотрудников: 7200м2 : 10м2 = 720 человек –
работает в здании.

На каждого сотрудника коэффициент 1.6, то есть 720 * 1.6 = 1152 –


устройств в здании.

1. Сколько покроет каждая точка? Если ТД располагаются каждые 25м,


то каждая точка покрывает pi * R2 м2 , причем в данном случае R2 = 25/2,
потому что точки должны перекрывать друг друга, значит pi * R2 = 3.14 *
(25/2) 2 = 490 м2.

Для того, чтобы покрыть 4х этажное здание площадью 7200м2 ,


потребуется 7200м2 : 490м2 = 15 точек доступа.

Не забыть, что мы берем 60% мощности каждой ТД, чтобы в случае


неисправности одной из ТД остальные могли перекрыть область ее работы.

Теперь рассчитаем, сколько устройств будет на одну ТД: 1152 : 15 = 77,


что очень много, т.к.
типовое количество устройств для простых ТД – около 50. Значит, у
нас должно быть 1152 : 50 = 24 точки доступа на здание или 6 ТД на этаж для
обеспечения покрытия.

Это был проект для данных.


2.Если речь идет о голосовых и обычных данных, то ТД должны
располагаться каждые 18м2 и тогда каждая точка покрывает pi * R2 = 3.14 *
(18/2) 2 = 255м2.

Для того, чтобы покрыть 4х этажное здание площадью 7200м2 ,


потребуется 7200м2 : 255м2 = 29 точек доступа.

Теперь рассчитаем, сколько устройств будет на одну ТД: 1152 : 29 = 39,


что меньше 50, то есть количество нас устраивает. Значит, у нас должно быть
39 ТД на здание.

Особенности дизайна для приложений Data / Voice / Video


Наиболее важной причиной такого различия является качество
обслуживания, которое предъявляет очень разные требования к обоим
режимам работы.

В голосовых передачах, вы должны иметь пакеты, чтобы прибыть в


порядке, и они должны занять то же самое короткое время для передачи. В
голосовом чате несколько десятков миллисекунд звучат как долгое время:
"ты все еще там?". Сети с коммутацией каналов обычно могут избегать
"хранения и пересылки" и непосредственно передавать пакеты. Скорость
передачи данных, как правило, низкая, несколько Кбит / с, что делает это
достаточно дешево. Соединения, как правило, длятся относительно долго, по
крайней мере несколько минут. Это знает, что определенная пропускная
способность будет перемещена между двумя конечными точками на
некоторое время. Недостаток: соединения нарушаются, когда сеть должна
перестроиться. Другой аспект заключается в том, что обычно телефонные
звонки каким-то образом измеряются и оплачиваются отдельно, особенно
международные звонки. Это было бы трудно сделать с TCP / IP.

Пакеты потока данных, как правило, не должны поступать


последовательно или с аналогичными временными различиями. Большинство
протоколов высокого уровня допускают потерю пакетов, организацию
повторной передачи пакетов, а также перестановку пакетов вне порядка.
Здесь вы стремитесь к максимальной скорости передачи данных,
перенаправляя в зависимости от трафика и т. д., что имеет тенденцию
отбрасывать пакеты или выводить их из строя. Данные, подлежащие
передаче, как правило, не известны заранее, они поступают в виде пакетов и
могут сильно варьироваться с течением времени, а время соединения обычно
неизвестно. Кроме того,
ого, стоимость рассчитывается только в конечной точке
генерации, игнорируя маршрут.

6. Location based сервисы и их назначение. Особенности дизайна.


Примеры реализации.
Location based — сервисы определения местоположения беспроводных
кклиентов.

Общие принципы Data + Voice + Мультикаст + Location


· Самое важное – расположение ТД:
o Эффективно располагать по три ТД для обнаружения сигнала;
o ТД должны располагаться в шахматном порядке;
o Должно быть не меньше трех ТД.
· Для повышения точности необходима калибровка радиосигнала;
· Антены должны быть не меньше 6 метров в высоту.

Условия Location based


based:
1. должно быть развернуто как минимум 4 точки доступа;
2. как минимум 3 точки доступа должны находиться в радиусе 21 м.;
3. должно быть не менее 1 точки доступа в каждом из трех окружающих
квадрантов (рис. 6).

Рисунок 6. Условия Location based.


7. Развертывание сети на базе Standalone AP. Рекомендации и
ограничения решения. Особенности организации ИБ в домашних и малых
корпоративных сетях.

Standalone AP рекомендуется использовать когда разнесенные


кабинеты, проекты, требующие 3-4 ТД. Могут быть разнесенные
сайты(разнесенные комнаты в одном бизнес центе), домашний коттедж,
квартира, где не хватает 1 ТД(Ограниченность в цене). Дешевле
контроллеров

Нюансы: нет Qos, управления радиоресурсами нет

Настройка каждой ТД по отдельности (высокий риск ошибки)

ИБ: PSK, ENTERPRISE,


9. Популярные архитектуры беспроводных сетей. Модель Split
MAC и Local MAC (Централизованная модель). Flex Connect и ососбенности
подключения ТД.

Local MAC
Архитектура Local MAC подразумевает, что все функции
беспроводного MAC выполняются в точке доступа. Полные функции MAC
802.11, включая обработку и управление кадрами управления, находятся на
ТД. Эти функции включают в себя чувствительные ко времени функции
(также известные как функции MAC в реальном времени).

Split MAC
Архитектура Split MAC разделяет реализацию функций MAC между
ТД и контроллером. В режиме реального времени MAC функции включают в
себя функции такие как генерация beacon frame, обработки management frame
(например, запрос на отправку и очистки для отправки - RTS и CTS),
повторную передачу, взаимодействие по CAPWAP и так далее.

Функции не в реальном времени включают аутентификацию и


деаутентификацию; ассоциация и реассоциация; мост между Ethernet и
беспроводной локальной сетью; фрагментация; и так далее.
ТД и контроллер связаны протоколом CAPWAP с использованием как
канала «управления» для управления точкой доступа, конфигурации и
управления, так и канала «данных» для пересылки пользовательского
трафика между двумя объектами в случаях, когда пользовательский трафик
туннелируется вплоть до контроллера (центральное мостовое соединение).
Эти два канала представляют собой не что иное, как инкапсулированные в
CAPWAP UDP-пакеты с использованием портов 5246 (контроль) и 5247
(данные).

Функциональность split-MAC разделена между контроллером и AP


следующим образом:

Обязанности контроллера:

· Управление безопасностью (применение политик, обнаружение


мошенников и т. Д.)
· Управление конфигурацией и прошивкой
· Северный интерфейс управления
· Не в режиме реального времени функции 802.11 MAC
o Ассоциация, Dis-Association, Re-Association
o Резервирование ресурсов 802.11e / WMM (CAC, TSPEC и т. Д.) o
Аутентификация 802.1x / EAP
o Управление ключами шифрования
· Службы распространения 802.11
· Услуги проводной и беспроводной интеграции

Обязанности точки доступа:

· Функции MAC в реальном времени 802.11


o Поколение маяков
o Ответы зонда
o Информирует WLC о клиентских пробных запросах o
Управление питанием и буферизация пакетов
o 802.11e / WMM планирование и организация очередей
o Шифрование и дешифрование данных на уровне MAC
o Управляющие сообщения 802.11 (ACK, RTS / CTS)
· Инкапсуляция и декапсуляция данных через CAPWAP
· Фрагментация и повторная сборка
· РЧ спектральный анализ
· Анализ сигнатур WLAN IDS

В этом режиме ТД выполняет все функции, включая функции,


выполняемые WLC в архитектуре Split MAC.

Поставщики различаются по типу функций, которые разделены между


точкой доступа и контроллером, а в некоторых случаях даже по тому, что
составляет реальное время. Одна общая реализация Fit Fit включает
локальный MAC на AP и функции контроля и управления на AP.

H-REAP
REAP (Hybrid Remote
Remote-Edge
Edge Access Point), он же FlexConnect,
позволяет точке доступа управляться контрол
контроллером,
лером, но при пропадании
связи с ним продолжать работу. Беспроводные сети связаны с локальной
сетью либо по-прежнему
прежнему (через контроллер), либо локально. Аналогично
производится авторизация.

Изменение режима работы ведет к перезагрузке точки доступа, и ее


последующем
оследующем подключении к контроллеру в новом режиме.

Крайне желательно настроить порт коммутатора, к которому


подключена H-REAP
REAP точка доступа, в trunk порт (включив галочку «VLAN
Support»), и создать соответствие между локально коммутируемыми WLAN и
локальными
ьными VLAN коммутатора.
Сеть native VLAN назначена транковому порту 802.1Q. Транковые
порты — это каналы между коммутаторами, которые поддерживают
передачу трафика, связанного с более чем одной сетью VLAN. Транковый
порт 802.1Q поддерживает трафик, поступающий от нескольких VLAN
(тегированный трафик), а также трафик, который поступает не от VLAN
(нетегированный трафик). Тегированным называется трафик, для которого в
исходный заголовок кадра Ethernet вставлен 4-байтовый тег, определяющий
сеть VLAN, к которой относится этот кадр. Транковый порт 802.1Q
размещает нетегированный трафик в сети native VLAN, которой по
умолчанию является VLAN 1.

режим работы H-REAP беспроводных точек Cisco позволяет


устанавливать их в филиалах компании без локального контроллера
(экономия!). Точки пользуются центральным контроллером для получения
настроек, управления и мониторинга. Местные беспроводные подключения
спокойно переживают пропадание связи между центром и филиалом
(падение WAN канала). Можно использовать локальную авторизацию и
локальную коммутацию пакетов, роуминг клиентов между точками в
пределах филиала.
H-REAP (Hybrid Remote-Edge Access Point), он же FlexConnect,
позволяет точке доступа управляться контроллером, но при пропадании
связи с ним продолжать работу. Беспроводные сети связаны с локальной
сетью либо по-прежнему (через контроллер), либо локально.
34. Особенности радиоанализа с использованием программного
обеспечения Site Survey
Проект беспроводной сети Wi-Fi всегда должен включать в себя
радиообследование объекта на стадии проектных работ и до начала
инсталляции оборудования. Это единственная действительно реальная
возможность, при правильном проведении, получить достаточно оснований
для создания работоспособного решения беспроводной сети с
предсказуемыми характеристиками.

Основная цель радиообследования (Site Survey) это получение


достаточного объема информации, чтобы определить количество и позиции
Точек Доступа для предоставления требуемого покрытия внутри всей
целевой зоны. Радиообследование также определяет присутствие
интерференции идущей от других источников, которая может снизить
производительность WLAN.

Требования и сложность радиообследования объекта будут


варьироваться в зависимости от самого объекта и его характеристик.
В данный момент самыми популярными ПО для радиообследования
являются: «TamoGraph Site Survey» и «Ekahau Site Survey». Благодаря этим
ПО упрощается нанесение на карту помещения уровней сигнала, а также
поиск интерференций.

Для проведения радиообследования используя различные ПО Site


Survey рекомендуются следующие шаги
шаги:
1. Получить/составить
ь/составить план помещения (для рациональной и точной
работы)
2. Визуально осмотр
осмотреть весь объект (с целью выявления
препятствий радиосигнала)
3. Определить места нахождения будущих пользователей WLAN
(для размещения предварительных мест установки точек доступа)
4. Проверка мест положения Точек Доступа
Доступа, их реального уровня
сигнала и интерференции (используя инструменты site survey для получения
реального представления об уровне сигнала точек доступа
доступа)
5. Документируйте
ументируйте свои результаты (для будущих проектов)

21. Антенны изотропная, дипольная. Классификация и типы антенн и


их основные характеристики
характеристики. Понятие EIRP
Антенны излучают энергию во всех направлениях, но эффективность
передачи сигнала для различных направлений может быть неодинакова и
характеризуется диаграммой направленности.

Изотропная антенна
Изотропная антенна является теоретической антенной с равномерной
трехмерной диаграммой (изотропная антенна излучает равномерную по
плотности энергию во все направления).

Дипольная антенна
Дипольная антенна – ненаправленная антенна. Диполи –
резонирующие антенны, то есть их элементы служат резонаторами, в
которых стоячие волны переходят от одного конца к другому. Длина
элементов диполя определяется длиной радиоволны.
Диполь имеет преимущество (усиление) над изотропным излучателем
2,15 dB в горизонтальной плоскости.
Усиление по сравнению с дипольными антеннами обозначаются в dBd.
Таким образом, диполь имеет усиление 0 dBd или 2,15 dBi.
dBi

Характеристики ант
антенн:
· Усиление, дБ;
· Рабочий диапазон частот
частот;
· Диаграмма направленности — графическое представление
коэффициента усиления антенны, в зависимости от ориентации
антенны в пространстве
пространстве;
· Поляризация;
В беспроводной связи – одним основным параметром является форма
диаграммы приёма/излучения (это определяет её усиление).

Типы антенн:
· Дипольная
· Монопольная – несимметричная антенна, представляет собой
половину дипольной, и монтируется перпендикулярно проводящей
поверхности, горизонтальному отражающему элементу. Коэффициент
Коэфф
направленного действия монопольной антенны вдвое больше, чем у
дипольной антенны удвоенной длины, поскольку под горизонтальным
отражающим элементом нет никакого излучения. В связи с этим она
способна передавать волны дальше, используя ту же самую мощность
мо
передачи.
· Двухдиапазонная внутренние и внешние антенны с несколькими
каналами MIMO – низкопрофильная многополяризованная антенна
MIMO (с несколькими входами и несколькими выходами),
обеспечивающая превосходную диаграмму направленности и
непрерывные широкополосные характеристики (2 (2-3
3 ГГц / 4,9-5,9
4,9 ГГц)
для передачи данных внутри/снаружи помещений.
· Направленная - внутренние и внешние антенны с несколькими
каналами MIMO – низкопрофильная многополяризованная антенна
MIMO (с несколькими входами и нескольк несколькими
ими выходами),
обеспечивающая превосходную диаграмму направленности и
непрерывные широкополосные характеристики (2-3 ГГц / 4,9-5,9 ГГц)
для передачи данных внутри/снаружи помещений.

EIRP
EIRP — (Equivalent Isotropically Radiated Power) — произведение
мощности радиочастотного сигнала, подводимого к антенне, на абсолютный
коэффициент усиления антенны.
Можно рассчитать по формуле:
EIRP = P - L - Ga;
где P - мощность на выходе передатчика, дБм(dBm); L - потери в
фидере, дБ; Ga - коэффициент усиления антенны относительно изотропного
излучателя, дБи(dBi).

37. Архитектуры беспроводных сетей IEEE 802.11 и их особенности.


Рекомендации по применению архитектур(в 9)
Модели
Централизованная – весь трафик, через контроллер, в тунель на
контроллер и разные SSID в различные vlan’ы. ТД все в режимы access.
Подходит для центральных офисов.
(картинку из лекции)
Децентрализованная – трафик выгружается с ТД в различные . Если не
предназначен для Используются vlan’ы и trunk’и. Больший функционал.
(картинку из лекции)
Виды архитектур:
· Stand alone,
· Централизованная,
· Децентрализованная,
· SD access,
· конвергированный доступ.

802.1x (EAP)

11. IEEE 802.1x(в 31). Роль протоколов EAPoL, EAP, RADIUS. Web-
аутентификация. RADIUS Change of Authorization

EAP
Протокол EAP переносит авторизационную информацию между
пользователем и аутентификатором (NAS). Между NAS и сервером может
переносить информацию RADIUS-сервер с помощью протокола RADIUS.

EAPoL
Протокол EAPoL переносит ЕАР между клиентом и аутентификатором
(NAS). Между аутентификатором и сервером аутентификации протокол ЕАР
передается с помощью протокола RADIUS. В качестве сервера
аутентификации также часто выступает сервер Radius.

EAP (в комбинации с TLS, TTLS, PEAP, FAST)


Поскольку безопасность локальной сети Wi-Fi (WLAN) важна, а типы
проверки подлинности EAP предоставляют потенциально более
эффективные средства защиты подключения WLAN, поставщики быстро
разрабатывают и добавляют типы проверки подлинности EAP в свои точки
доступа WLAN. Некоторые из наиболее распространенных типов проверки
подлинности EAP включают EAP-TLS и EAP-FAST.

· EAP-TLS (безопасность транспортного уровня) обеспечивает проверку


на основе сертификатов и взаимную аутентификацию клиента и сети.
Он опирается на клиентские и серверные сертификаты для выполнения
проверки подлинности и может использоваться для динамического
создания пользовательских и основанных на сеансах WEP-ключей для
обеспечения последующей связи между клиентом WLAN и точкой
доступа. Одним из недостатков EAP-TLS является то, что сертификаты
должны управляться на стороне клиента и сервера. Для большой
установки WLAN это может быть очень громоздкой задачей.
· EAP-TTLS (туннельный транспортный уровень безопасности) был
разработан как расширение EAP-TLS. Этот метод безопасности
обеспечивает основанную на сертификатах взаимную проверку
подлинности клиента и сети через зашифрованный канал (или туннель),
а также средство для получения динамических, для каждого
пользователя, сеансов WEP-ключей. В отличие от EAP-TLS, EAP-TTLS
требует только сертификатов на стороне сервера.
· EAP-FAST (гибкая аутентификация через безопасное туннелирование)
была разработана Cisco. Вместо использования сертификата взаимная
проверка подлинности достигается посредством PAC (защищенных
учетных данных доступа), которые могут динамически управляться
сервером аутентификации. PAC может быть подготовлен (распределен
один раз) клиенту либо вручную, либо автоматически. Ручная
подготовка — это доставка клиенту через диск или защищенный
сетевой метод распределения. Автоматическая подготовка — это канал,
распространяемый по воздуху.
· EAP-PEAP (защищенный расширяемый протокол аутентификации)
предоставляет метод для безопасной передачи данных аутентификации,
включая устаревшие протоколы на основе паролей, через сети Wi-Fi
802.11. PEAP выполняет это, используя туннелирование между
клиентами PEAP и сервером аутентификации. Как и конкурирующий
стандартный протокол безопасности туннельного транспортного
уровня (TTLS), PEAP аутентифицирует клиентов локальной сети Wi-Fi,
используя только сертификаты на стороне сервера, что упрощает
внедрение и администрирование безопасной локальной сети Wi-
Fi. Microsoft, Cisco и RSA Security разработали PEAP.

TTLS EAP-FAST
TLS PEAP
--- ---
802.1 x типы EAP --- ---
Безопасность Гибкая
Безопасность Защищенный
на аутентификация
Характеристика/польза на уровень
транспортном
транспортном безопасности через безопасное
уровне в
уровне транспорта туннелирование
туннелях
Требуется сертификат на
Да Нет Нет Нет
стороне клиента
Требуется сертификат на
Да Нет Да Нет
стороне сервера
Управление ключами
Да Да Да Да
WEP
Обнаружение Rogue AP Нет Нет Нет Да
Атрибуты проверки
Взаимная Взаимная Взаимная Взаимная
подлинности
Сложно (из-за
Сложность развертывания
Умеренно Умеренно Умеренно
развертывания клиентского
сертификата)
Безопасность Wi-Fi Очень высокая Высокая Высокая Высокая

RADIUS
RADIUS (Remote Authentication Dial In User Service, служба удалённой
аутентификации дозванивающихся пользователей) — сетевой протокол,
предназначенный для обеспечения централизованной аутентификации,
авторизации и учёта (Authentication, Authorization, and Accounting, AAA)
пользователей, подключающихся к различным сетевым службам.
Используется, например, при аутентификации пользователей WiFi, VPN, в
прошлом, dialup-подключений, и других подобных случаях.
RADIUS используется как протокол AAA:

· англ. Authentication — процесс, позволяющий аутентифицировать


(проверить подлинность) субъекта по его идентификационным данным,
например, по логину (имя пользователя, номер телефона и т. д.) и паролю.
· англ. Authorization — процесс, определяющий полномочия
идентифицированного субъекта на доступ к определённым объектам или
сервисам.
· англ. Accounting — процесс, позволяющий вести сбор сведений
сведени (учётных
данных) об использованных ресурсах. Первичными данными (то есть,
традиционно передаваемых по протоколу RADIUS) являются величины
входящего и исходящего трафиков: в байтах/октетах (с недавних пор в
гигабайтах). Однако протокол предусматривает пер
передачу
едачу данных любого
типа, что реализуется посредством VSA (Vendor Specific Attributes).
ttributes).

Аутентификация RADIUS

· Access-Reject показывает, что данный пользовательский запрос


неверный. При желании сервер может включить текстовое сообщение в
Access-Reject, которое может быть передано клиентом пользователю.
Никакие другие атрибуты (кроме Proxy
Proxy-State)
State) не разрешены в Access-
Access
Reject.
· Access-Challenge.. Запрос дополнительной информации от
пользователя, например, второй пароль, пин
пин-код,
код, номер карты и т.п.
Этот откликк также используется для более полного
аутентификационного диалога, где защитный туннель выполняется
между устройством пользователя и RADIUS сервером, так что
сертификаты доступа скрываются от NAS.
· Access Accept.. Пользователю разрешен доступ. Поскольку
пользователь
ьзователь аутентифицирован, то RADIUS сервер проверяет
авторизацию на использование запрошенных пользователем ресурсов.
Например, пользователю может быть разрешён доступ через
беспроводную сеть, но запрещен доступ к VPN сети.Таким образом,
работа RADIUS протокола
отокола может в общем случае быть представлена,
как показано на таблице ниже.

Авторизация RADIUS ((в 14 подробно)


· Выдача
ыдача состояния блокировки учётной записи пользователя
· Выдача разрешения к той или иной услуге
· Сортировка данных на основе анализа статистической информации
(например динамическая маршрутизация) и выдача результата
сортировки по запросу

Учёт (Accounting) RADIUS

· Онлайн-учёт средств абонента: уведомления о начале и конце сессии со


стороны обслуживаемой системы
· Промежуточные сообщения о продолжении сессии (Interim-пакеты)
· Автоматическое принудительное завершение действия сессии на
обслуживаемой системе в рамках услуги (packet of disconnection)
· BOOT message — специальный пакет, который отправляется
телекоммуникационной системой на RADIUS-сервер при запуске
(перезапуске) системы, с целью принудительного завершения всех
сессий
В настоящее время протокол RADIUS используется для доступа к
виртуальным частным сетям (VPN), точкам беспроводного (Wi-Fi) доступа,
Ethernet-коммутаторам, DSL и другим типам сетевого доступа. Благодаря
открытости, простоте внедрения, постоянному усовершенствованию,
протокол RADIUS сейчас является фактически стандартом для удаленной
аутентификации.

RADIUS Change of Authorization


Функция RADIUS Change of Authorization (CoA) предоставляет
механизм для изменения атрибутов сеанса аутентификации, авторизации и
учета (AAA) после его аутентификации. Когда политика для пользователя
или группы пользователей в AAA изменяется, администраторы могут
отправлять пакеты RADIUS CoA с сервера AAA, такого как Cisco Secure
Access Control Server (ACS), для повторной инициализации аутентификации
и применения новой политики.

30. Классификация протоколов EAP(в 11). RADIUS и пример работы.


Атрибуты. Назначение протокола DIAMETER

Атрибуты, которые передаются в Access-Request:


Пояснения:
· Service-Type - описывает тип сетевой службы, предлагаемый
клиентским оборудованием;
· User-Name - Строковое значение, содержащее имя пользователя;
· NAS-IP-Address
Address - IP-адрес сервера NAS;
· NAS-Port-Typee – тип физического порта, используемого сервером
NAS;
· Called-Station-Id
Id – идентификатор запрашиваемой точки доступа;
· Calling-Station--Id – идентификатор клиента, посылающего запрос;
· Connect-Info - Содержит информацию о различных параметрах
соединения;
· Acct-Session-Id
Id – идентификатор сессии учета (accounting);
· Vendor-Specific
Specific – атрибут производителя (вендора). Необходим
для предоставления пользователям нескольких типов прав доступа;
· Framed-MTU – максимальный размер (в байтах) передаваемых
кадров;
· EAP-Message – сообщение EAP;
· Message-Authenticator
Authenticator – аутентификатор сообщения, используется
при проверке подлинности по протоколу EAP.

Атрибуты, которые передаются в сообщении Access


Access-Accept
Accept:
Пояснения:
· Filter-Id - ID предопределенного ACL,, используемого для
фильтрации трафика;
· State - Строковое значение, которое посылается сервером клиенту
и должно оставаться неизменным в течение всего сеанса подключения;
· Class – Значение оотправляется
тправляется в неизмененном виде серверу
учета в сообщении «Accounting Start».

DIAMETER
DIAMETER — сеансовый протокол, созданный, отчасти, для
преодоления некоторых ограничений протокола RADIUS. Обеспечивает
взаимодействие между клиентами в целях аутентификации, авторизации и
учёта различных сервисов (AAA, англ. authentication, authorization,
authorization
accounting).
В основе протокола DIAMETER лежит концепция в создании базового
протокола с возможностью его расширения для предоставления сервисов
AAA при появлении новых технологий доступа.

Название DIAMETER — игра слов, отражающая превосходство нового


протокола над предшественником RADIUS (диаметр — удвоенный радиус).
Diameter не имеет обратной совместимости по отношению к RADIUS, но
предоставляет механизмы миграции. Среди отличий между протоколами
особенно выделяют:

· Поддержка транспортных протоколов с гарантированной доставкой


(TCP или SCTP вместо UDP)
· TCP транспорт для RADIUS еще в процессе стандартизации IETF
· Защита данных на сетевом и транспортном уровнях (IPsec или TLS)
· Transport Layer Security for RADIUS еще в процессе стандартизации
IETF
· Поддержка перехода с RADIUS, несмотря на то, что Diameter не
полностью совместим с RADIUS
· Увеличенное адресное пространство для пар атрибут
атрибут-значение
значение (AVP) и
идентификаторов (32 bit вместо 8 bit)
· Модель клиент-сервер.
сервер. В качестве исключения, тем не менее,
поддерживаются
тся некоторые инициируемые сервером сообщения
· Поддержка stateful и stateless моделей использования
· Динамическое обнаружение узлов (используя DNS SRV и NAPTR)
· Возможность согласования функциональных возможностей узлов
· Поддержка механизмов надежной доставки на уровне приложений,
описаны механизмы отказоустойчивости
· Сообщения об ошибках
· Улучшенная поддержка мобильности
· Улучшенная расширяемость; возможность использования
пользовательских команд и атрибутов

14. Использование Radius для авторизации пользователей на


оборудовании (По Лр - беспроводной клиент на точке доступа,
администратор на устройстве)

Схема авторизации беспроводного клиента по IEEE 802.1x:

MAC: MAC:
IP: 10.10.0.102
E0:55:3D:F2:D1:54 IP: 10.10.1.37
E0:55:3D:8С:88:93

Пояснения:
· Access-Requset
Requset – запрос серверу на предоставление доступа.
Включает сертификаты доступа, представленные в виде имени пользователя
и пароля или сертификата безопасности, которые получены от пользователя;
· Access-Challenge
Challenge – запрос дополнительной информации от
пользователя, например, второй пароль, пин
пин-код,
код, номер карты и т.п.
· Access-Accept – доступ разрешен.
Пример авторизации пользователей
Пример перехвата процесса авторизации в Wireshark при верных
настройках клиента и Shared
hared secret (использовали FreeRadius в лабораторных):

Значения атрибутов в пакете Access


Access-Request:

31. 802.1x обзор.. Назначение VLAN/dACL. EAP Chaining

Обзор

802.1х — стандарт IEEE аутентификации и контроля доступа на


канальном уровне. В основе 802.1X лежит протокол аутентификации
Extensible Authentication Protocol (EAP), базирующийся на PPP. Сама
процедура аутентификации предполагает участие в ней трех сторон -
вызывающей
вающей (клиента), вызываемой (аутентификатора, точки доступа) и
сервера аутентификации (как правило, сервера RADIUS). Динамическое
назначение VLAN.
Supplicant (Претендент) — в протоколе 802.1х клиент, клиентское
устройство, нуждающееся в аутентификации.
В рамках стандарта 802.1x - протокол EAP переносит авторизационную
информацию между клиентом и сервером авторизации.
Протокол EAPoL переносит EAP между клиентом и аутентификатором
(NAS). Между аутентификатором и сервером аутентификации протокол
EAP передается с помощью протокола RADIUS. В качестве сервера
аутентификации также часто выступает сервер Radius
Протоколы:
· EAPoL (over LAN), переносит данные пользователя по сети.
Перенос данных выполняется поверх Ethernet, т.е. пользователю не
нужно выдавать IP -адрес до прохождения процедуры авторизации.
· 802.1х – определяет протоколы авторизации и аутентификации, м.б.
протокол RADIUS, переносящий сообщения EAPoL

Аутентификатор может запросить у RADIUS-сервера информацию,


называемую "атрибутами". Атрибуты содержат дополнительную
информацию для выполнения авторизации, например, о предоставлении
доступа запрашивающему устройству к конкретной сети VLAN. Данные
атрибуты могут различаться в зависимости от поставщика. Чтобы передать
аутентификатору (Cisco Catalyst 3560) информацию о разрешении
запрашивающему устройству (IP-телефону) доступа к голосовой VLAN,
компания Cisco использует атрибут RADIUS сервера cisco-av-pair.
Динамическое назначение сети VLAN с помощью RADIUS-сервера
можно использовать только для устройств передачи данных

802.1x Downloadable ACLs


Вы можете загрузить списки ACL и перенаправить URL-адреса с
сервера RADIUS на коммутатор во время аутентификации 802.1X или обхода
аутентификации MAC хоста. Вы также можете загрузить ACL во время веб-
аутентификации. Это позволяет коммутатор изменяет адрес источника ACL
на IP-адрес хоста.
Вы можете применить списки ACL и URL-адреса перенаправления ко
всем устройствам, подключенным к порту с поддержкой 802.1X.

EAP-Chaining
Технология EAP-Chaining подразумевает последовательную
аутентификацию рабочего ПК и учетной записи пользователя. Этот кейс
получил широкое распространение, т.к. во многих компаниях до сих пор не
приветствуется подключение личных гаджетов работников к корпоративной
ЛВС. Используя такой подход к аутентификации, можно проверить, является
ли конкретная рабочая станция членом домена, и при отрицательном
результате пользователь либо не попадет в сеть, либо зайдет, но с
определенными ограничения.
Данная технология входит в протокол EAP-FAST (Extensible
Authentication Protocol Flexible Authentication via Secure Tunneling) —
защищённый протокол с возможностями расширения для аутентификации
при помощи безопасного туннелирования.
Основным преимуществом использования этого протокола является
гарантия того, что только корпоративные пользователи могут проходить
аутентификацию в сети с помощью корпоративного компьютера. EAP-FAST
поддерживается только при использовании Cisco AnyConnect в качестве
соискателя dot1x.

WLC

25. Классификация оборудования беспроводных сетей.


Классификация ТД. Типовое решение для малых и крупных беспроводных
сетей. PoE. Базовая настройка оборудования для подключения точек доступа
Чтобы обеспечить бесперебойную и корректную передачу сигнала для
всех устройств, используемых на определенной территории, нужно создать
специальную беспроводную сеть. Для ее монтажа потребуется оборудование
Wi-Fi сетей.
Различают основные компоненты беспроводных сетей:
· Точка доступа;
· Роутер, или маршрутизатор;
· Наружные и внутренние антенны;
· Коммутаторы (адаптеры);
· Дополнительное оборудование.

Точки доступа подразделяются на автономные (Autonomous) и


упрощенные (Lightweight).
Отличие упрощенных точек доступа заключается в необходимости
использования контроллера беспроводной сети. В этом случае весь интеллект
сосредотачивается в контроллере, а точка доступа выступает только в роли
радиоприемника/передатчика.
Применять упрощенные точки доступа целесообразно в сетях с
большим количеством точек доступа и зоной охвата сложной геометрической
формы.
Автономные точки доступа обычно применяются в случаях, когда их
число невелико, например для организации радиоканала между зданиями или
для беспроводных сетей с небольшой зоной покрытия, для обеспечения
которой достаточно 1–2 точек.
Также точки доступа могут быть внутренние(а,б) и внешние(в,г):
8. Развертывание сети на базе WLC. Преимущества подхода. .
Схема и элементы типового решения. Основные этапы настройки. Туннель
управления и туннель передачи данных между WLC и Т.Д. Особенности
организации ИБ средних и крупных в корпоративных сетях.
WLC может быть:
· Виртуальным контроллером
· Mobility express, представляющим собой ТД с функцией встроенного
контроллера
· Аппаратная реализация контроллера

Функции контроллера:

· Управление ТД – единая точка безопасности, управление политиками


безопасности
· Распределение частотных ресурсов (динамическое управление ч.р.)
· Обеспечение QoS
· Управление мобильностью (роуминг)

Задачи, которые решает использование контроллера:


· Централизованное управление
· Гибкость настройки
· Отказоустойчивость
· Балансировка нагрузки
· Интеллектуальные функции: бесшовный роуминг, управление
частотным ресурсом, авторизация пользователей и т.д.

WiFi контроллер беспроводной сети:

1. Производит автоматический поиск, централизованную настройку WiFi


точек доступа, обновление программного обеспечения подключенных точек
доступа.
2. Может выступать в роли DHCP сервера, для автоматического
распределения IP-адресов.

3. Производит анализ радиочастотного диапазона, регулируя мощность


каждой точки доступа, канал, на котором она работает, периодически
обновляя данные о состоянии радиоэфира.

4. Централизованно авторизует пользователей при подключении к


беспроводной сети.

Операционная система контроллера управляет всеми беспроводными


соединениями, обеспечивает управление ресурсами радиоинтерфейсов сети
(точками доступа).

Любой WiFi контроллер, в том числе и контроллер беспроводной сети,


управляется следующими средствами:

· при помощи WEB интерфейса по протоколам HTTP/HTTPS;


· через интерфейс командной строки (CLI) по протоколам TELNET/SSH
или прямым консольным подключением;
· при помощи централизованного программного обеспечения Cisco WCS
(только для контроллеров WiFi Cisco);
· по протоколу SNMP. Все вышеперечисленное делает использование
целесообразным и удобным. Если сеть проектируется с возможностями
масштабирования, то без таких устройств, как WiFi контроллер, не
обойтись

Настройка контроллера (первоначальная):

1. Запустим собственный WLC-контроллер на виртуальной машине и


зададим его основные параметры, такие как учетная запись администратора,
IP-адрес, сетевая маска, шлюз по умолчанию, IP-адрес DHCP-сервера, имя
группы, SSID.

2. После ввода всех настроек WLC-контроллер должен перезагруться.

3. После перезагрузки контроллера подключимся к нему, используя


браузер.

4. После успешной авторизации откроется начальная страница

5. Создадать SSID с названием с любым именем

6. Настроить профиль безопасности WPA/PSK.


7. Создадать пользователя(ей) для управления контроллером с
ограниченными правами.

8. Настроить Syslog.

9. Создать SNMP и настроить мониторинг статистики трафика с


помощью SolarWinds-Realtime-Bandwidth-Monitor.

Также можно настроить автоматическое получение IP-адреса точки


доступа и адреса контроллера по DHCP, при этом в настройках DHCP
необходимо задать дополнительную опцию, номер 43, которая сообщает
точке о доступных ей адресах контроллеров. Трюк состоит в том, чтобы
передать в параметрах опции 43 адреса ваших контроллеров.


CAPWAP – протокол, используемый между ТД и контроллером (WLC).
ТД обнаруживают и присоединяются к контроллеру CAPWAP.

На контроллере должен быть настроен протокол CAPWAP, тогда на ТД


можно провести настройки:
1. Настроить адрес ТД
capwap ap ip address <ip_address> <subnet mask>

2. Настроить шлюз по умолчанию


capwap ap ip default-gateway <gw_address>

3. Настроить на ТД адрес контроллера, причем указывается адрес именно


management-интерфейса контроллера (куда подключаетесь в веб-интерфейс)
capwap ap controller ip address <wlc_mgmt_ip>

Этот вариант неудобен тем, что подобные манипуляции придется


проводить на каждой ТД.

Точка доступа может получить адреса контроллеров также через


запрос по DNS и DHCP, если нельзя воспользоваться опцией 43.

10. WLC и CAPWAP. Варианты работы точки доступа - Lightweight


Access Point / autonomous
Функции CAPWAP
Используется два туннеля: для управления и для данных. Контрольные
пакеты шифруются с помощью протокола DTLS, пакеты данных шифруются
опционально.
Пакеты управления CAPWAP - это пакеты управления, которыми
обмениваются контроллер и точка доступа, в то время как пакеты данных
CAPWAP инкапсулируют переданные беспроводные кадры. Управляющие
пакеты CAPWAP и пакеты данных отправляются через отдельные порты
UDP: 5246 (контроль) и 5247 (данные). Если точка доступа не поддерживает
шифрование данных DTLS, DTLS включается только для плоскости
управления, а сеанс DTLS для плоскости данных не устанавливается.
!!! Протокол DTLS описывает формирование медиасессий "точка-
точка" с жесткой фиксацией портов UDP корреспондента/респондента.
Сообщения протокола передаются совместно с RTP-пакетами. Для
организации сессии (DTLS- ассоциации) корреспонденты обмениваются
сообщениями. Так как в основе протокола DTLS лежит TLS (Transport Layer
Security), использующий инфраструктуру открытых ключей (PKI), то
применение DTLS возможно тоже только при наличии PKI.
DTLS – один из протоколов обмена ключевым материалом между
корреспондентами в IP-телефонии. DTLS является адаптацией другого
протокола обеспечения безопасности – TLS. В отличии от предшественника,
DTLS адаптирован для работы по сети с негарантированной доставкой
сообщений, с использованием протокола UDP. Главной задачей DTLS
протокола является согласование между корреспондентами главного
секретного ключа.
Для работы по UDP протоколу в DTLS по сравнению с TLS было
произведено несколько изменений. Для работы протокола по каналу с
негарантированной доставкой, вводиться дополнительный механизм
повторной передачи недоставленных сообщений по истечению таймера
повторной передачи.
Управляющие сообщения CAPWAP включают в себя следующие типы
сообщений:
· открытие
· Конфигурация WTP - используется для передачи определенной
конфигурации в WTP, а также для получения статистики из
WTP; статистика включает в себя такую информацию, как:
o Количество фрагментированных кадров, многоадресных кадров,
переданных и полученных
o Количество повторных попыток передачи, чрезмерные
повторные попытки (ошибочный счет)
o Количество успешно переданных и неудавшихся запросов на
отправку (RTS)
o Количество ошибочных кадров: дублированные кадры,
неудачные подтверждения, ошибки дешифрования, количество
ошибок проверки последовательности кадров (FCS) и т. Д.
Конфигурация включает в себя информацию, такую как период маяка,
максимальный уровень мощности передачи, управление
мультиплексированием с ортогональным частотным разделением
каналов (OFDM), управление антенной, поддерживаемые скорости, QoS,
шифрование и так далее.
Одним из ключевых принципов, лежащих в основе архитектуры
протоколов LWAPP и CAPWAP, является понятие раздельного управления
доступом к среде 802.11. Поскольку реальная вычислительная мощность и
интеллектуальный набор функций архитектуры реализованы в контроллерах,
некоторые функции должны выполняться в контроллере вместо точки
доступа. Эта концепция называется «Split-MAC» Cisco и большинством
других поставщиков на основе контроллеров.

AP и контроллер связаны протоколом CAPWAP с использованием как канала


«управления» для управления точкой доступа, конфигурации и управления,
так и канала «данных» для пересылки пользовательского трафика между
двумя объектами в случаях, когда пользовательский трафик туннелируется
вплоть до контроллера (центральное мостовое соединение). Эти два канала
представляют собой не что иное, как инкапсулированные в CAPWAP UDP-
пакеты с использованием портов 5246 (контроль) и 5247 (данные), начиная с
версии кода Cisco 5.2. Более ранние версии кода использовали протокол
LWAPP, который был предшественником CAPWAP, и использовали UDP-
порты 12223 (контроль) и 12222 (данные).

Для инженеров беспроводной связи важно разрабатывать, развертывать,


администрировать и устранять неполадки решений, использующих этот тип
архитектуры, чтобы понимать функции, выполняемые контроллером по
сравнению с точкой доступа.
В настоящее время отрасль находится в процессе перехода к
децентрализованной модели, где спрос на локальные мосты данных
становится все более востребованным, поскольку скорости передачи данных
802.11n ограничивают пропускную способность контроллера, а филиалы изо
всех сил пытаются оправдать дополнительные расходы на контроллеры. Это
становится очевидным с появлением Cisco H-REAP, Aruba RAP, точек
доступа Motorola Adaptive, и Aerohive доводит до крайности свою
архитектуру без контроллеров. Эта тенденция будет только продолжаться, но
инженеры по-прежнему должны будут полностью понимать концепцию
сплит-MAC даже в этих условиях, поскольку крупные поставщики, вероятно,
потребуют централизованные контроллеры для некоторых функций
плоскости управления.

Функциональность split-MAC разделена между контроллером и AP


следующим образом:

Обязанности контроллера:

· Управление безопасностью (применение политик, обнаружение


мошенников и т. Д.)
· Управление конфигурацией и прошивкой
· Северный интерфейс управления
· Не в режиме реального времени функции 802.11 MAC
· Ассоциация, Dis-Association, Re-Association
· Резервирование ресурсов 802.11e / WMM (CAC, TSPEC и т. Д.)
· Аутентификация 802.1x / EAP
· Управление ключами шифрования
· Службы распространения 802.11
· Услуги проводной и беспроводной интеграции

Обязанности точки доступа:

· Функции MAC в реальном времени 802.11


· Поколение маяков
· Ответы зонда
· Информирует WLC о клиентских пробных запросах
· Управление питанием и буферизация пакетов
· 802.11e / WMM планирование и организация очередей
· Шифрование и дешифрование данных на уровне MAC
· Управляющие сообщения 802.11 (ACK, RTS / CTS)
· Инкапсуляция и декапсуляция данных через CAPWAP
· Фрагментация и повторная сборка
· РЧ спектральный анализ
· Анализ сигнатур WLAN IDS
Точки доступа подразделяются на автономные (Autonomous) и
упрощенные (Lightweight).
Отличие упрощенных точек доступа заключается в необходимости
использования контроллера беспроводной сети. В этом случае весь интеллект
сосредотачивается в контроллере, а точка доступа выступает только в роли
радиоприемника/передатчика.
Применять упрощенные точки доступа целесообразно в сетях с
большим количеством точек доступа и зоной охвата сложной геометрической
формы.
Автономные точки доступа обычно применяются в случаях, когда их
число невелико, например для организации радиоканала между зданиями или
для беспроводных сетей с небольшой зоной покрытия, для обеспечения
которой достаточно 1–2 точек.

26. WLC. Решаемые задачи и назначение. Типовая схема


беспроводной сети с централизованным управлением. Подключение
элементов
Контроллер дает преимущества в следующем (функции контроллера):
· Управление ТД – единая точка безопасности, управление политиками
безопасности
· Распределение частотных ресурсов (динамическое управление ч.р.)
· Обеспечение QoS
· Управление мобильностью (роуминг)

Задачи, которые решает использование контроллера:


· Централизованное управление
· Гибкость настройки
· Отказоустойчивость
· Балансировка нагрузки
· Интеллектуальные функции: бесшовный роуминг, управление
частотным ресурсом, авторизация пользователей и т.д.

WiFi контроллер беспроводной сети:


1. Производит автоматический поиск, централизованную настройку WiFi
точек доступа, обновление программного обеспечения подключенных
точек доступа.
2. Может выступать в роли DHCP сервера, для автоматического
распределения IP-адресов.
3. Производит анализ радиочастотного диапазона, регулируя мощность
каждой точки доступа, канал, на котором она работает, периодически
обновляя данные о состоянии радиоэфира.
4. Централизованно авторизует пользователей при подключении к
беспроводной сети.
Операционная система контроллера управляет всеми беспроводными
соединениями, обеспечивает управление ресурсами радиоинтерфейсов сети
(точками доступа).
ВАЖНО! WiFi контроллер – не маршрутизатор. Это оконечное
устройство управления сетью, в частности, WiFi точками доступа. Для
обеспечения защиты контроллера, обеспечения пользователям выхода в
публичную сеть Вам необходимо установить граничное устройство –
маршрутизатор или межсетевой экран.
Любой WiFi контроллер, в том числе и контроллер беспроводной сети,
управляется следующими средствами:
· при помощи WEB интерфейса по протоколам HTTP/HTTPS;
· через интерфейс командной строки (CLI) по протоколам TELNET/SSH
или прямым консольным подключением;
· при помощи централизованного программного обеспечения Cisco WCS
(только для контроллеров WiFi Cisco);
· по протоколу SNMP. Все вышеперечисленное делает использование
целесообразным и удобным. Если сеть проектируется с возможностями
масштабирования, то без таких устройств, как WiFi контроллер, не
обойтись

27. WLC. Интерфейсы и их назначение. Предоставляемые


возможности по мониторингу

Интерфейсы

· IP-интерфейс управления – интерфейс управления. Это


логический интерфейс, через который контроллер «общается» с
внешним миром (кроме точек доступа)
· логический интерфейс ap-manager для общения с точками
доступа
· виртуальный логический интерфейс – используется для передачи
DHCP-запросов клиентам, веб-авторизации, роуминга. На него
прописывают адрес, не использующийся нигде в сети и не
маршрутизируемый, обычно это 1.1.1.1. Внимание: он должен
быть одинаков для нескольких контроллеров, между которыми
предполагается роуминг клиентов
· веб-интерфейс управления, доступный по адресу, прописанному
во время создания IP-интерфейса, графическое упрощенное
управление

Возможности по мониторингу:
· SNMP
· Syslog

28. Этапы настройки ТД на WLC. Назначение и настройка Syslog и


SNMP
Если ваши точки доступа пришли из «автономного мира» (AIR-AP-
xxx), их необходимо конвертировать в мир контроллеров (AIR-LAP-xx). Все
точки доступа поддерживают данную операцию. Для ее проведения
потребуется сама точка доступа, доступная по сети (с прописанным IP-
адресом и известными правами доступа), и либо специальная бесплатная
утилита, либо ПО управления WCS или NCS, в котором присутствует
требуемый инструмент. Вся препрошивка, по большому счету, сводится к
следующим операциям:

· переписыванию (TFTP) специального recovery-образа на точку доступа


· удалению старого конфиг-файла
· удалению имеющегося автономного софта
· синхронизации часов
· генерации сертификата точки доступа, если его еще нет

Сертификат нужен потому, что протокол общения точки доступа с


контроллером, CAPWAP, в основе имеет протокол Datagram TLS,
фактически защищенный через сертификаты UDP-транспорт.

Конвертированная точка доступа перезагружается, и затем «ищет» свой


контроллер. Так же поступает и купленная сразу «легковесной» точка
доступа из коробки. Процесс поиска включает в себя получение IP-адреса
устройством, а так же получение списка контроллеров, проверка наличия,
доступности и нагруженности каждого из них, и собственно регистрация у
выбранного. Остановимся на этом вопросе подробно, так как он — ключевой
в данной статье, и обычно вызывает больше всего проблем.
Точка доступа может ЛИБО получить IP-адрес у DHCP-сервера
(любого производителя: Cisco IOS, Miscosoft, Unix ISC-
DHCP), ЛИБО воспользоваться статически настроенным IP-адресом. В
зависимости от обстоятельств вы можете воспользоваться любым методом. В
вашем случае может оказаться, что DHCP-сервера рядом нет (или нет прав на
него), либо точка доступа уже установлена в труднодоступном месте (за
фальшпотолком). Либо банально нигде уже нет COM-порта (но надеемся, что
про USB-COM переходники вы в курсе).
Немного полезной инфы для понимания происходящего:
Рассмотрим типичную сеть предприятия, расположенную в здании или
соседних зданиях, построенную на оборудовании производства Cisco Systems.
«Легковесная» точка доступа может быть установлена в любом участке сети,
подключена к обычному порту доступа ЛВС и при этом предоставлять
сервис для нескольких беспроводных сетей (WLAN) одновременно, с
разными политиками безопасности: для гостей, для персонала, для
технологических устройств. Точка доступа создает туннель (LWAPP,
CAPWAP) до контроллера, в котором передает информацию от каждого
клиента с меткой идентификатора сети). Контроллер обычно установлен в
серверной комнате, подключен к локальной сети через trunk-порт. Каждая
WLAN-сеть терминируется в отдельную виртуальную сеть (VLAN), которая
также может иметь собственные политики безопасности. В такой концепции
точки доступа разбросаны по сети здания, и все беспроводные клиенты
имеют одну точку терминации в проводную сеть. В этой точке и установлены
межсетевые экраны, сервера приложений и шлюз в Интернет. Без
контроллера пришлось бы «тянуть» все VLAN до серверной, а в худшем
случае «разбрасывать» межсетевые экраны по всей сети.

33. Протокол SNMP. Версии и назначение протокола. TFTP, FTP.


SFPT. Syslog(в 28) и его назначение, настройка
SNMP (Simple Network Management Protocol) — стандартный
интернет-протокол для управления устройствами в IP-сетях на основе
архитектур TCP/UDP. К поддерживающим SNMP устройствам относятся
маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры,
модемные стойки и другие. Протокол обычно используется в системах
сетевого управления для контроля подключённых к сети устройств на
предмет условий, которые требуют внимания администратора. SNMP
определён Инженерным советом интернета (IETF) как компонент TCP/IP. Он
состоит из набора стандартов для сетевого управления, включая протокол
прикладного уровня, схему баз данных и набор объектов данных.
SNMP версии 1 (SNMPv1) является первоначальной версией протокола
и определён RFC 1157. Безопасность SNMPv1 основывается на т.н. общности
(Community). Есть три вида общности: слежение (разрешены лишь операции
чтения), управление (разрешены операции чтения и записи) и прерывание
(Trap) (лишь право на передачу прерываний). Пароль передаётся в
незашифрованном виде. Этот стандарт используется очень многими
производителями оборудования.
SNMP версии 2 (SNMPv2) называют базирующимся на строках
общности (community string based) SNMPv2. Технически, SNMPv2 является
уже версией SNMPv2c. Протокол определён RFC 3416, RFC 3417 ja RFC 3418.
SNMP версии 3 (SNMPv3) является самой новой версией SNMP.
Основное отличие от предыдущих версии заключаются в обеспечении
безопасности. В протокол добавлена возможность сильной аутентификации и
шифрования соединения между управляющими единицами. Стандарт
определён следующими документами: от RFC 3410 до RFC 3418 и RFC 2576.
Использование данного протокола позволяет осуществлять настройку
устройств, подключенных к сети, используя главный сервер и не
задействовав специальные программы и драйвера. Работа с протоколом
SNMP позволяет не только управлять процессами, но и отслеживать
производительность системы, а также выявлять возможные проблемы и
своевременно их устранять. К этому сводится назначение протокола SNMP.
TFTP (Trivial File Transfer Protocol) — простой протокол передачи
файлов. TFTP используется главным образом для первоначальной загрузки
бездисковых рабочих станций. TFTP, в отличие от FTP, не содержит
возможностей аутентификации (хотя возможна фильтрация по IP-адресу) и
основан на транспортном протоколе UDP
FTP (File Transfer Protocol) — протокол передачи файлов по сети. В
отличие от TFTP, гарантирует передачу (либо выдачу ошибки) за счёт
применения квитируемого протокола TCP. Стандартный порт управления
FTP-соединением — 21. Типичное применение FTP-протокола — загрузка
сайтов и других документов с частного устройства разработки на
общедоступные сервера хостинга.
SFTP (SSH File Transfer Protocol) — протокол прикладного уровня,
предназначенный для копирования и выполнения других операций с
файлами поверх надёжного и безопасного соединения. Протокол разработан
группой IETF как расширение к SSH-2, однако SFTP допускает реализацию и
с использованием иных протоколов сеансового уровня. Протокол
предполагает, что он работает поверх установленного безопасного канала,
что сервер уже аутентифицировал клиента и что идентификатор клиента
доступен протоколу
Syslog — стандарт отправки и регистрации сообщений о происходящих
в системе событиях (то есть создания логов), использующийся в
компьютерных сетях, работающих по протоколу IP. Термином «syslog»
называют как ныне стандартизированный сетевой протокол syslog, так и
программное обеспечение (приложение, библиотека), которое занимается
отправкой/получением системных сообщений.

29. Классификация ТД(в 25). H-REAP режим(в 9)

35. Возможности мобильности беспроводной сети (Особенности


intracontroller роуминга). High Avalability. Поддержка решения Cisco UC.
Хендовер – передача клиентского соединения сети между точками
доступа одного контроллера в процессе его перемещения без разрыва
ассоциации с сетью, иначе – intra controller roaming.

Если клиент перемещается между AP на одном контроллере, это


называется событием мобильности внутри контроллера.
Внутриконтроллерный роуминг является наиболее упрощенным, поскольку
все, что нужно сделать контроллеру, - это обновить базу данных с помощью
ассоциации AP и при необходимости установить новые контексты
безопасности. В основном мобильность, связанная с уровнем 3,
обрабатывается контроллером, а мобильность канального уровня - точкой
доступа. Когда клиент перемещается, контроллер обновляет состояние
клиента. Затем клиентский трафик проходит через новый туннель AP
LWAPP / CAPWAP к контроллеру и выходит в сеть
39.Администрирование интерфейса конечных пользователей (по WLC)
Динамические интерфейсы, также известные как интерфейсы VLAN,
создаются пользователями и разработаны таким образом, чтобы быть
аналогичными с VLAN для клиентов беспроводной локальной сети.
Контроллер может поддерживать до 512 динамических интерфейсов
(VLAN). Каждый динамический интерфейс индивидуально настроен и
позволяет отдельным потокам связи существовать на любом или всех портах
распределительной системы контроллера. Каждый динамический интерфейс
управляет сетями VLAN и другими связями между контроллерами и всеми
другими сетевыми устройствами, и каждый выполняет роль ретрансляции
DHCP для беспроводных клиентов, связанных с беспроводными локальными
сетями (WLAN) сопоставлены с интерфейсом.
Если порт неприсоединённый, все динамические интерфейсы должны
быть расположены в другой IP-подсети с любого другого интерфейса,
настроенного на порту.

Cisco рекомендует использовать тегированные VLAN для


динамических интерфейсов.
VLAN с контроллерами WLAN используют эту модель:

При настройке на динамическом интерфейсе контроллера необходимо


использовать тегированных VLAN для динамических интерфейсов. Для
настройки динамических интерфейсов на контроллере применяются
следующие ограничения: ведущие клиенты не могут получить доступ к
интерфейсу управления Cisco 2504 WLC с помощью IP-адреса интерфейса
AP Manager. Дублированные или перекрывающие адреса через интерфейсы
контроллера не поддерживаются; вы не должны использовать имя менеджера
при настройке динамических интерфейсов asap-manageris
зарезервированного имени.
Пакеты и Troubleshooting

22. Алгоритмы передачи кадров в сетях семейства IEEE802.11. SIFS.


ACK. Структура кадра IEEE802.11. MAC-адреса. Элементы кадра для оценки
качества сети
Различные стандарты семейства Wi-Fi определяют физический уровень
(PHY) и подуровень управления доступом к среде (каналу) MAC (Medium
Access Control). Верхние уровни cовпадают по своей структуре как для
беспроводных, так и для проводных локальных сетей. Физический уровень
определяет способ работы со средой передачи, скорость и методы модуляции.
Подуровень MAC отвечает за распределение канала, т.е. за то, какая станция
будет передавать следующей. На MAC-уровне определён принцип, по
которому устройства используют (делят) общий канал, механизм
аутентификации пользователя, механизм шифрования данных. Поскольку
стандарт 802.11 разрабатывался как «беспроводный Ethernet», он
предусматривает пакетную передачу с 48-битовыми адресами пакетов, как и
любая сеть Ethernet. Комитет IEEE 802 обеспечил совместимость всех своих
стандартов. Беспроводные сети 802.11 легко сопрягаются с проводными
сетями Ethernet.

Приведем основные поля кадра 802.11:

· поле управления кадром. Указывает тип кадра (информационный,


контрольный, управления). Примером информационного кадра
являются данные или сообщение о переходе станции в режим работы с
пониженным энергопотреблением. Примером контрольного кадра
являются приведенные выше кадры RTS, CTS, ACK. Кадры управления
используются для управления связью станций и точек доступа
(например, кадры аутентификации пользователя или отмены
аутентификации)
· поле идентификатор длительности. (например, приведенное выше поле
NAV);
· поле адресов. Возможны следующие типы адресов: отправителя,
получателя, исходящей ячейки точки доступа, входящей ячейки точки
доступа;
· поле данные. Длина данных кадра может достигать 2312 байт.
Коэффициент ошибок в канале беспроводных локальных
вычислительных сетях БЛВС значительно хуже, чем в проводных ЛВС.
Для повышения производительности БЛВС применяется разбиение
кадров на фрагменты, которые содержат собственную контрольно-
проверочную сумму. Фрагментация повышает производительность
путем принудительной повторной пересылки коротких фрагментов, в
которых произошла ошибка, а не кадров целиком;
· поле номер позволяет нумеровать фрагменты. Из 16 бит поля 12
идентифицируют кадр, а 4 – фрагмент;
· поле контрольно проверочная комбинация циклического кода.

Бит Retry показывает качество сети.


SIFS – время ожидания, очевидно, что после отправки кадра требуется
время ожидания.
Зачем? Почему бы не сразу отправить ACK? Станция знает, что данные
пришли, и CRC правильный, поэтому зачем ждать?
Теоретически возможно знать, что CRC корректен в точном конце
полученных данных из провода, но на практике вам нужно аккумулировать
все образцы в последнем блоке, чтобы понять, что CRC правильный. Если
каждый шаг в цепочке обработки был мгновенным, и если схема передачи
определенно не мешала приемной схеме, и если не было времени,
необходимого для построения формы сигнала для ACK, можно было бы
отправить ACK сразу после получения последнего бита волновой формы. Но,
хотя каждый элемент в этой цепочке занимает некоторое детерминированное
время, это не мгновенно. SIFS дает время приемника для получения данных
из PHY, проверки и отправки ответа. Во время SIFS станция может
отправлять RTS, CTS или ACK и иметь достаточно времени для
переключения обратно в режим приема до того, как отправитель начнет
передавать. Если это правильно, он отправит ACK во время SIFS. Затем он
изменится на режим приема и дождитесь окончания SIFS. По истечении SIFS
передатчик начнет отправку.

23. Алгоритмы передачи кадров в сетях семейства IEEE802.11. Типы


фреймов. Анализ качества сети на основе статистики фреймов. Траблшутинг
WLAN. Оценка качества беспроводной сети
Различные стандарты семейства Wi-Fi определяют физический
уровень (PHY) и подуровень управления доступом к среде (каналу) MAC
(Medium Access Control). Верхние уровни cовпадают по своей структуре как
для беспроводных, так и для проводных локальных сетей. Физический
уровень определяет способ работы со средой передачи, скорость и методы
модуляции. Подуровень MAC отвечает за распределение канала, т.е. за то,
какая станция будет передавать следующей. На MAC-уровне определён
принцип, по которому устройства используют (делят) общий канал,
механизм аутентификации пользователя, механизм шифрования данных.
Поскольку стандарт 802.11 разрабатывался как «беспроводный Ethernet»,

он предусматривает пакетную передачу с 48-битовыми адресами


пакетов, как и любая сеть Ethernet. Комитет IEEE 802 обеспечил
совместимость всех своих стандартов. Беспроводные сети 802.11 легко
сопрягаются с проводными сетями Ethernet.

Типы фреймов:
Control
· Фреймы, без которых не работает протокол доступа к среде на MAC-
уровне
· Самая низкая скорость, есть RTS (Request to send), CTS (Clear to send),
ACK (Acknowledgement)
Management
· Процедуры в сети, но более высокоуровневые кадры,
подключение/отключение от сети
· Передается на basic rate, в режиме совместимости – на самой низкой
· Есть beacon, probe request, probe response фреймы и т.д., занимают 10-
20% от общего числа
Data
· Простые данные
· Пустой фрейм (нулевая функция)

Ситуации Data Management Control Вердикт


фреймов фреймов фреймов

1 N << N N Все хорошо

2 N ??? 3N Скрытый узел или


RTS+ACK+CTS

3 N ??? N/3 Пакеты теряются, плохая сеть

4 ~0 M >> N ~0 Тест проводился в не


подходящее
время, т.к. нет нагрузки на сеть

Использует скорость передачи данных Анализ качества сети на основе


статистики фреймов:
Для каждого пакета с data фреймом должен быть пакет с control
фреймом.

24. Алгоритм поиска SSID. Подключение к сети IEEE802.11


SSID (Service Set Identifier) — уникальный идентификатор
беспроводной сети, который состоит из 32 символов. Когда несколько
беспроводных сетей перекрываются в определенном месте, благодаря SSID,
данные доставляются в нужный пункт назначения. SSID отличается от
названия, которое присваивается сети в беспроводном маршрутизаторе. Имя,
которое присваивается беспроводной сети в настройках беспроводного
маршрутизатора, отображается при поиске доступных беспроводных сетей, а
SSID является другой строкой из 32 символов, основанной на имени
беспроводной сети, таким образом обеспечивается различие беспроводных
сетей находящихся поблизости. Каждый пакет данных переданный по
беспроводной сети включает SSID, гарантируя доставку данных адресату.
Когда беспроводной клиент пытается подключиться к сети, он ищет
точку доступа с таким же SSID, как в его собственных конфигурационных
настройках. Если он обнаруживает сигнал с другим SSID, ассоциация
отклоняется, и сканирование в поисках правильного SSID продолжается.
Поэтому SSID служит двум целям: он выступает как первая линия
защиты против неавторизованного доступа к беспроводной сети, а при
наличии более одной беспроводной сети указывает каждому клиенту нужную.
Сам по себе SSID не является особенно эффективным инструментом защиты,
так как некоторые сетевые адаптеры принимают SSID ЛЮБОГО типа,
позволяющий клиенту связаться с первой же обнаруженной точкой доступа,
независимо от ее SSID.
Есть атака "ложная точка доступа", когда вы ищете по введенному
SSID точку доступа, а подставная точка доступа "услышав" ваши позывы
соглашается, что это она имеет этот SSID и пускает вас через себя в Интернет
- вы отдаете ей пароли на почту и аську и др и чувствуете, что надо было
защититься и от этого вида атаки. То есть надо проводить проверку, что
точка доступа именно та, за кого она себя выдает.
Ещё пара моментов:
1. Даже если клиент подключен к AP, которая свой SSID не вещает -
можно этого клиента переподключить на фиктивную точку доступа:
задать ей такой же SSID и вещать его в эфир. Клиент всё равно
периодически ищет более качественный сигнал и может
переподключиться.
2. Если есть возможность возможность клиенту задать жестко канал, на
котором работает точка доступа - не поленитесь использовать эту
возможность. Конечно, проблему фиктивной точки доступа это не
искоренит, но сильно свяжет руки злоумышленнику

Скрыть SSID (Hide SSID) — используется для повышения


безопасности беспроводного соединения, включает режим скрытия
идентификатора беспроводной сети (SSID). При этом точка доступа не будет
отображаться в списке доступных беспроводных сетей (не будет виден
идентификатор SSID). При этом пользователи, знающие идентификатор SSID,
смогут подключиться к ней.
Однако на большинстве точек доступа выключение широковещания
SSID совсем не означает, что её в эфире не видно. Даже в том случае, если
она работает "вхолостую", т.е. клиенты к ней не подключены. На самом деле,
"маяки" (beacon - "беконы") она шлёт. Просто там поле SSID пустое или
завалено нулевыми символоми. А вот BSSID (т.е. MAC точки доступа) в
маяках есть.
ИБ – протоколы WPA, WPA2, WPA3

15. Ключевая иерархия в стандартах IEEE 802.11. Генерация и


назначение ключей. Рекомендуемые и устаревшие механизмы ИБ
Для симметричного шифрования в криптографии подразумевается
трехуровневая иерархия в криптографии подраз
подразумевает
умевает деление ключей на:
· главный ключ (основной ключ, зная который, можно вычислить
остальные);
· ключ шифрования ключей (для защиты ключей при передаче или
хранении используются);
· ключ шифрования данных (сеансовый ключ - для шифрования данных
и аутентификации
фикации сообщений).

Алгоритм симметричного шифрования выполняет стандарт IEEE


802.11i, который описывает механизмы безопасности беспроводных сетей
WEP/WPA/WPA-2:
Рассмотрим иерархию ключей на алгоритме WPA
WPA-PSK2:

Фактические сообщения, которыми обмениваются во время


рукопожатия, изображены на рисунке и объяснены ниже (все сообщения
отправляются в виде кадров EAPOL
EAPOL-Key):
1. AP отправляет временное значение nonce
nonce-value
value (ANonce) в STA вместе
со счетчиком воспроизведения ключей, который является числом,
используемым для сопоставления каждой паре отправленных
сообщений и отбрасывания повторных сообщений. STA теперь имеет
все атрибуты для создания PTK.
2. STA отправляет свое собственное временное значение (SNonce) на AP
вместе с кодом целостности сообщения (M (MIC),
IC), включая
аутентификацию, которая на самом деле является кодом
аутентификаци и целостности сообщения (MAIC), и счетчиком
воспроизведения ключа, который будет таким же, как Сообщение 1,
чтобы позволить AP соответствовать правильному Сообщению 1.
3. AP проверяет Сообщение 2, проверяя MIC, RSN, ANonce и поле
счетчика воспроизведения ключей, и, если оно является
действительным, создает и отправляет GTK с другим MIC.
4. STA проверяет Сообщение 3, проверяя MIC и поле счетчика
воспроизведения ключей, и, если оно действительно, отправляет
подтверждение AP.

20. Протоколы Wireless Security: WEP, WPA, WPA2, AES CCMP /


TKIP, WPA-PSK/WPAEnterprise и рекомендации по применению протоколов.
WPA-3. Режимы PSK / Enterprise

WEP
WEP (Wired Equivalent Privacy)— алгоритм для обеспечения
безопасности сетей Wi-Fi. Используется для обеспечения
конфиденциальности и защиты передаваемых данных авторизированных
пользователей беспроводной сети от прослушивания. Существует две
разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной
ключа. В настоящее время - не рекомендуется к использованию, так как
легко взламывается.

WPA
WPA (Wi-Fi Protected Access) — представляет собой обновлённую
программу сертификации устройств беспроводной связи по сравнению с
WEP. Технология WPA пришла на замену технологии защиты беспроводной
Wi-Fi сети WEP. Плюсами WPA являются усиленная безопасность данных и
ужесточённый контроль доступа к беспроводным сетям. Немаловажной
характеристикой является совместимость между множеством беспроводных
устройств как на аппаратном, так и на программном уровнях. WPA2 —
WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и
призван заменить WPA. В нём реализовано ССМР и шифрование AES, за
счёт чего WPA2 стал более защищённым, чем свой предшественник. С 13
марта 2006 года поддержка WPA2 является обязательным условием для всех
сертифицированных Wi-FiycTpoficTB.

PSK
PSK (Pre Shared Key) (Режим с предварительным распределением
ключей) — описанный в спецификации WPA режим обеспечения
безопасности, основанный на предварительном размещении ключей на всех
хостах, имеющих доступ к беспроводной локальной сети. Применяется в тех
случаях, когда распределение ключей по протоколу 802.1х невозможно. В
данном режиме - беспроводная точка доступа и все подключенные клиенты
используют один и тот же пароль.

WPA-PSK
WPA-PSK — Данный режим подходит для большинства домашних
сетей. Когда на беспроводной маршрутизатор или на точку доступа
устанавливается пароль, он должен вводиться пользователями при
подключении к сети Wi-Fi. В режиме PSK беспроводной доступ не может
управляться индивидуально или централизованно. Один пароль
распространяется на всех пользователей, и он должен быть вручную изменен
на каждом беспроводном устройстве после того, как он вручную изменяется
на беспроводном маршрутизаторе или на точке доступа. В данном режиме -
беспроводная точка доступа и все подключенные клиенты используют один
и тот же пароль. Данный пароль хранится на беспроводных устройствах.
Таким образом, каждый пользователь компьютера может подключиться к
сети, а также увидеть пароль.

WPA-Enterprise
WPA-Enterprise — Данный режим предоставляет необходимую в
рабочей среде защиту беспроводной сети. Данный режим сложнее в
настройке и предлагает индивидуальное и централизованное управление
доступом к сети Wi-Fi. Когда пользователи попытаются подключиться к сети,
им понадобится предоставить свои учетные данные для аутентификации.
Данный режим поддерживает аутентификацию по протоколу 802.1х через
RADIUS-сервер. Режим WPA-Enterprise должен использоваться
исключительно в том случае, если для аутентификации устройств подключен
сервер RADIUS. Пользователи фактически не имеют дела с ключами
шифрования. Они создаются защищенно и назначаются во время каждой
пользовательской рабочей сессии в фоновом режиме после того, как
пользователь предоставляет свои аутентификационные данные. Это не
допускает извлечения пользователями сетевого ключа из компьютера.
Фактически - в данном режиме каждый подключенный беспроводной клиент
использует индивидуальный пароль или индивидуальный логин - пароль. В
данном режиме используются протоколы EAPoL и RADIUS, а также
требуется RADIUS сервер для авторизации пользователей. Режим применяют
в корпоративной среде.

WPA2-PSK
WPA2-PSK— В режиме WPA2-Personal из введенной открытым
текстом парольной фразы генерируется 256-разрядный ключ PSK (PreShared
Key). Ключ PSK совместно с идентификатором SSID (Service Set Identifier)
используются для генерации временных сеансовых ключей РТК (Pairwise
Transient Key), для взаимодействия беспроводных устройств. Как и
статическому протоколу WEP, протоколу WPA2- Personal присуще
определенные проблемы, связанные с необходимостью распределения и
поддержки ключей на беспроводных устройствах сети, что делает его более
подходящим для применения в небольших сетях из десятка устройств, в то
время как для к орпоративных сетей оптимален WPA2- Enterprise .

WPA2-Enterprise
WPA2-Enterprise — В режиме WPA2-Enterprise решаются проблемы,
касающиеся распределения статических ключей и управления ими, а его
интеграция с большинством корпоративных сервисов аутентификации
обеспечивает контроль доступа на основе учетных записей. Для работы в
этом режиме требуются такие регистрационные данные, как имя и пароль
пользователя, сертификат безопасности или одноразовый пароль,
аутентификация же осуществляется между рабочей станцией и центральным
сервером аутентификации. Точка доступа или беспроводной контроллер
проводят мониторинг подключений и направляют аутентификационные
запросы на соответствующий сервер аутентификации (как правило, это
сервер RADIUS, например Cisco ACS). Базой для режима WPA2-Enterprise
служит стандарт 802.IX, поддерживающий аутентификацию пользователей и
устройств, пригодную как для проводных коммутаторов, так и для
беспроводных точек доступа. Фактически - в данном режиме каждый
подключенный беспроводной клиент использует индивидуальный пароль
или индивидуальный логин - пароль. В данном режиме используются
протоколы EAPoL и RADIUS, а также требуется RADIUS сервер для
авторизации пользователей. Режим применяют в корпоративной среде.

WPA3
WPA3 — В WPA3 заменили алгоритмом SAE технологию WPA-PSK,
которая позволяла «рукопожатием» перехватывать ключ для подбора пароля
из пакетов. Новый механизм аутентификации: требует взаимодействия с
точкой доступа, что исключает офлайн-атаки. Кроме того, отныне простые
пользовательские пароли будут менее уязвимы, поскольку SAE препятствует
атакам по методу полного перебора. Ранее взломщики выхватывали данные
из потока Wi-Fi, эмулировали его на частном компьютере и пытались
подобрать пароли. Версия WPA3 для корпоративных пользователей
поддерживает режим с 192-битным шифрованием и еще более сильным
шифрованием во время аутентификации. WPS — стандарт (и одноимённый
протокол) полуавтоматического создания беспроводной сети WiFi,
созданный Wi-Fi Alliance. Официально запущен 8 января 2007 года. Стандарт
имеет ряд уязвимостей, связанных с передором пароля для подключения к
сети.
ССМР
ССМР (Counter Mode with CBC MAC) — протокол шифрования 802.11i,
созданный для замены TKIP, обязательного протокола шифрования в WPA и
WEP, как более надёжный вариант. Считается обязательным в спецификации
WPA версии 2. ССМР, являясь частью стандарта 802.11i, использует
алгоритм Advanced Encryption Standard (AES). В настоящее время -
рекомендуется к использованию.

TKIP
TKIP (Temporal Key Integrity Protocol) (Протокол целостности
временных ключей) — основанный на алгоритме RC4 протокол шифрования,
который избавлен от многих слабостей оригинального статического
протокола WEP. Протокол TKIP - это необязательная часть стандарта 802.1 li.
Он обратно совместим с WEP и не требует замены оборудования. В
настоящее время - не рекомендуется к использованию.

AES ССМР / TKIP


Сравнение AES ССМР / TKIP — Главное различие между ССМР и
TKIP проявляется на нижних уровнях модели OSI, где происходят
шифрование и дешифровка передаваемых данных: TKIP использует четыре
временных ключа шифрования (РМК и GMK), тогда как AES — только три.
Оба протокола работают с одним и тем же механизмом управления ключами.
Как и TKIP, ССМР использует 48-битные IV (вектор инициализации), и
несколько измененный алгоритм MIC. Благодаря использованию стойкого
шифра AES отпала необходимость в генерации пакетных ключей (новый
ключ для каждого пакета), и теперь один ключ, создаваемый при каждой
ассоциации клиента с сервером используется для шифрования трафика и для
генерации контрольной суммы.

ИБ – атаки и защита

16. ИБ. определение и цель ЗИ. Классификация нарушителей и их


целей. Классификация угроз ИБ. Классификация источников угроз

Информационная безопасность
Информационная безопасность – обеспечение конфиденциальности,
целостности и доступности информации.
Основная проблема беспроводных сетей – общедоступность среды
передачи как из периметра контролируемой зоны, так и извне периметра.
Угроза безопасности информации - совокупность условий и факторов,
создающих потенциальную или реально существующую опасность,
связанную с утечкой информации, как несанкционированными, так и
непреднамеренными воздействиями на нее.
Цель защиты информации – минимизация потерь, вызванных
нарушением целостности или конфиденциальности данных, а также их
недоступности для потребителей.

Классификация нарушителей
Нарушитель – некто, кто пытается что-то сделать
несанкционированно. Нарушители могут быть:
· активные (более общее, выполняет в т.ч. и функции пассивного)
· пассивные (например человек посередине), внешние и внутренние.

Основные типы угроз ИБ:


1. Угроза конфиденциальности – несанкционированный доступ к данным
(например, получение посторонними лицами сведений о состоянии
счетов клиентов банка)
2. Угроза целостности – несанкционированная модификация, дополнение
или уничтожение данных (например, внесение изменений в
бухгалтерские проводки с целью хищения денежных средств)
3. Угроза доступности – ограничение или блокирование доступа к
данным (например, невозможность подключиться к серверу с БД
вследствие DDoS-атаки)

Источники угроз:
1. Внутренние:
· Ошибки пользователей и администраторов;
· Ошибки в работе ПО;
· Сбои в работе компьютерного оборудования;
· Нарушение сотрудниками компании регламентов по работе с
информацией.
2. Внешние
· Несанкционированный доступ к информации со стороны
заинтересованных организаций и отдельных лиц (например,
промышленный шпионаж);
· Компьютерные вирусы и иные вредоносные программы;
· Стихийные бедствия и техногенные катастрофы (например, ураган
может нарушить работу телекоммуникационной сети)
17. Классификация атак в беспроводных сетях. Описание атаки на
WPS, атаки MiTM

Атаки

· Перехват данных (как сетевая разведка, так и дешифрование любых


передаваемых данных)
· Эксплуатация глушилки на определенный диапазон частот
· Атака отказа в обслуживании (DDoS) любым доступным способом
· Атаки на конкретных клиентов (деаутентификация пользователей)
· Непреднамеренное нарушение доступности (ошибки, вирусы на
оборудовании пользователя, активность другой ТД на применяемой
частоте с интенсивной передачей трафика на этой ТД)
· Атака MITM («человек посередине») любым доступным способом:
применение нелегитимной ТД для прослушивания/модификации
трафика пользователей (с атакой на легитимную ТД или нет) или
применение нелегитимной ТД для получения данных авторизации к
беспроводной сети от пользователей (с атакой на легитимную ТД или
нет)
· Атаки на протоколы беспроводных сетей (WEP/WPA(TKIP) и др.)
· Атака перебор пароля для подключения к беспроводной сети
· Сетевые атаки на легитимных пользователей с использованием
дополнительного оборудования
· Захват ресурсов канала связи легитимными пользователями («торрент»
и т.д.)
· Атаки на инфраструктуру беспроводной сети – роутеры, ТД,
контроллер, RADIUS- сервер, в т.ч. получение доступа к сетевому
оборудованию и др.
· Прочие сетевые атаки, характерные для проводных локальных сетей, в
т.ч. со стороны легитимных пользователей
· Эксплуатация встроенных уязвимостей в программном обеспечении
беспроводной ТД/маршрутизатора, доступных эксплойтов в
популярном ПО, программы для проведения атак вроде Aircrack-ng
· Эксплуатация ошибок в конфигурации оборудования, настроек по
умолчанию, паролей по умолчанию (как паролей к беспроводной сети,
так и паролей на управление оборудованием)
· Эусплуатация закладок в оборудовании
· Избыточность покрытия сети (использование поддельной ТД) +
перехват аутентификационных данных (в том случае, если на
устройстве включена опция автоматического подключения к сети – при
наличии времени и ресурсов можно взломать хэш паролей)
· Атака без атаки, возможна в том случае, если гостевая сеть плохо
настроена: нет механизмов шифрования, нет изоляции гостевой ТД,
отсутствие сегментации сети – по ошибке настройки гость может
получить права законного пользователя, не приложив усилий
· Перехват пользовательских данных в том случае, если сотрудники
пользуются гостевой сетью, на которой не настроены протоколы
шифрования данных

· Возможность словарного подбора ключа сети в том случае, если


несанкционированная ТД, развернута сотрудником в корпоративной
сети
· Словарные ключи безопасности
· Атака на WPS

Алгоритм атаки на WPS

18. Классификация методов защиты от атак на беспроводные сети.

Методы защиты
· Выполнение базовых принципов ИБ: длина пароля для клиентов (в
режиме PSK) и для управления оборудованием, индивидуальные
сертификаты/пароли для клиентов (в режиме Enterprise) и т.д.;
· Применение режима Enterprise с сертификатами и запрет доверия ко
всем сертификатам;
· Применение протоколов (в т.ч. протоколов обеспечения ИБ), для
которых неизвестны упрощенные методы взлома и отключения тех
протоколов, в которых обнаружены уязвимости
· Мониторинг среды передачи и своевременная реакция на проблему или
атаку (Cisco Clean Air и т.д.);
· Информирование персонала о возможном источнике проблемы и по
возможности подавление источника проблемы средствами сетевого
оборудования;
· Применение системы обнаружения вторжений для беспроводных и
проводных сетей;
· Изоляция трафика между всеми клиентами беспроводной
сети/разделение сетей;
· Использование процедур взаимной аутентификации клиент-сеть и сеть-
клиент, использование сертификатов;
· Наличие логирования событий безопасности на беспроводном
оборудовании, в т.ч. отражение сообщений об ошибках авторизации и
их обработка системой мониторинга и персоналом компании;
· Применение контроллеров беспроводных сетей для системизации
настроек всех ТД, обеспечения роуминга клиентов и распределения
нагрузки, выбора оптимальных параметров беспроводной сети,
централизованного управления беспроводной сетью;
· Реализация механизма автоматического (адаптивного) выбора
основного и дополнительного канала в зависимости от радио
обстановки и помех, а также механизма защиты от постоянного
перестроения (при децентрализованном построении беспроводной
сети);
· Наличие механизмов QoS на беспроводном оборудовании, в т.ч. для
услуг VoIP и других сервисов;
· Применение дополнительных элементов защиты, таких как VPN-
туннели с взаимной аутентификацией корреспондента и сервера,
применение HTTPS и других дополнительных механизмов защиты;
· Ограничение радиовидимости беспроводной сети вне территории, на
которой эксплуатируется беспроводная сети (хотя нарушитель может
использовать усилители и направленные антенны для доступа к сети);
· Скрытие имени сети SSID (малоэффективно, используется совместно с
другими методами защиты).
· Списки доступа MAC (малоэффективно, используется совместно с
другими методами защиты);
· Применение внутрифирменных закрытых протоколов на беспроводной
сети, для которых неизвестны общедоступные методы атаки и
уязвимости, отсутствует в открытом доступе ПО для реализации атаки.
Это позволит скрыть само существование беспроводной сети от
некоторых нарушителей, а также позволит несколько усложнить
действия нарушителя, но уровень ИБ будет зависеть от корректности
реализации протокола и приведет компанию к зависимости от
определенного производителя.

Условия для защиты:


1. Использовать WPA2-Enterpeise
2. Использовать PKI
3. Ограничить работу ТД протоколами EAP-TLS, PEAP-GTC
4. Удалить из доверенных подозрительные сертификаты УЦ
5. Добавить клиентам корневой сертификат
19. Технология CleanAir. Скрытие SSID, MAC ACL

Технология CleanAir

CleanAir
Технология Cisco CleanAir использует алгоритм с аппаратной
реализацией на уровне микросхем для создания учитывающей текущее
состояние радиосреды самовосстанавливающейся и самооптимизирующейся
беспроводной сети с повышенной устойчивостью к воздействию
радиочастотных помех и высокопроизводительными средствами защиты
беспроводных сетей 802.11n.
CleanAir – это интеллектуальный контроль спектра, позволяющий
идентифицировать одиночные и множественные источники интерференции в
зоне покрытия WLAN. С этой информацией решение Cisco может выполнять
такие действия как:
· информировать о наличии интерференции,
· идентифицировать источники интерференции с высоким разрешением,
· определять уровень опасности от этих источников,
· при превышении конфигурируемых пороговых значений уровня
опасности решение Cisco WLAN может автоматически и быстро
перестраивать частотные каналы для того, чтобы вывести
«инфицированный» канал из «зоны поражения» и использовать его там,
где это возможно.
Технология Cisco CleanAir обеспечивает производительность в
соответствии со стандартом WiFi 802.11n и ту степень надежности, которая
требуется для поддержки важнейших приложений, путем сбора и анализа
данных о состоянии радиосреды и последующего устранения влияния помех.
CleanAir — это специальный интегрированный механизм унифицированной
беспроводной сети Cisco, который улучшает эксплуатацию и повышает
производительность беспроводной сети за счет полного контроля состояния
радиосреды.
CleanAir обладает уникальной способностью выявлять радиопомехи,
которые не распознаются другими системами, обнаруживать источник,
определять его местоположение на карте и автоматически настраивать
сетевое оборудование для оптимизации зоны покрытия беспроводной сети
WiFi (подстройка частотных каналов WiFi и мощностей излучения). Cisco
CleanAir предоставляет доступ к хронологической информации и
информации реального времени об устройствах и оборудовании,
расположенных в любой точке беспроводной сети.
Скрыть SSID
Функция Скрывать SSID (Hide SSID) используется для повышения
безопасности беспроводного соединения. Данная функция включает режим
скрытого идентификатора беспроводной сети (SSID). При использовании
этой функции точка доступа не будет отображаться в списке доступных
беспроводных сетей на устройствах пользователей (не будет виден ее
идентификатор SSID). Но при этом пользователи, осведомленные о
существовании этой сети и знающие ее идентификатор SSID, смогут
подключиться к ней.
Скрыть точку доступа (включить функцию Hide SSID) можно в веб-
конфигураторе устройства и через интерфейс командной строки (CLI)
интернет-центра.

MAC ACL
Ограничивать несанкционированный доступ к портам коммутатора
можно с помощью технологии Port Security (описана с статье Configuring
Port-Based Traffic Control) и с помощью технологии MAC Extended ACL
(описана с статье Configuring Network Security with ACLs.
Port Security основана на привязке разрешенных MAC-адресов к
каждому интерфейсу коммутатора (либо задание лимита на количество
MAC-адресов, распознанных автоматически на интерфейсе) и задании
алгоритма, по которому при нарушении правил доступ ограничивается (либо
трафик блокируется, либо отключается интерфейс).
Технология предусматривает уникальную привязку MAC к интерфейсу
(например, один и тот же MAC не может соответствовать нескольким
интерфейсам).
Технология MAC Extended ACL возможно, более удобна для
ограничения доступа по MAC. Принцип работы другой - создается список
правил, связанных с MAC-адресами, и этот список привязывается к нужным
интерфейсам. Правила обычно создаются на основе ключевого слова permit,
и созданный ACL привязывается к нужным access-портам (не к trunk).
Особенности MAC Extended ACL:
- работает только на enhanced software image IOS.
- на Catalyst 2950 можно создавать только IP standard и IP extended
access lists, номера 1..199 и 1300..2699.

Дополнительные механизмы ИБ

12. Технологии профилирования в беспроводных сетях стандарта


IEEE 802.11. Назначение решения ISE
Cisco Identity Services Engine (ISE) представляет собой решение для
контроля доступа к корпоративной сети с учетом контекста доступа. Решение
объединяет сервисы аутентификации, авторизации и учета событий (AAA),
оценки состояния, профилирования и управления гостевым доступом в
рамках единой платформы. Cisco ISE автоматически выявляет и
классифицирует оконечные устройства, обеспечивает нужный уровень
доступа, проводя аутентификацию как пользователей, так и устройств, а
также обеспечивает соответствие оконечных устройств корпоративной
политике ИБ путем оценки их состояния защищенности перед
предоставлением доступа к корпоративной ИТ-инфраструктуре.

Профилирование
Профилирование (профайлинг) - это опция, позволяющая определять
модели оконечных устройств, их операционную систему, производителя,
месторасположение, тем самым применяя определенный профиль на
устройство.
Профилирование позволяет:
· приобрести мониторинг оконечных устройств;
· приобрести видимость BYOD устройств;
· облегчить формирование политики сетевого доступа, основываясь на
профилях устройств.
В Cisco ISE есть большое количество профилей, созданных по
умолчанию. Используя политики профилирования (Profiling Policies), вы
можете группировать устройства по физическим признакам (производитель,
МАС адрес) или по логическим (например, принтеры, IP-телефоны) и
использовать эти профили в политике аутентификации.

13. Технологии динамического изменения авторизации CoA.


Назначение решения ISE
Cisco ISE — это инструмент для создания системы управления
доступом к корпоративной сети. Cisco ISE — механизм, который позволяет
четко контролировать, кто находится в сети и какими ресурсами он
пользуется.
Функция RADIUS Change of Authorization (CoA) обеспечивает
механизм изменения атрибутов сеанса проверки подлинности, авторизации
и учета событий (AAA) после его проверки подлинности. При изменении
политики для пользователя или группы пользователей в AAA
администраторы могут отправлять пакеты RADIUS CoA с сервера AAA,
такого как Cisco Secure Access Control Server (ACS), для повторной
инициализации аутентификации и применения новой политики.

32. Профилирование. Identity store. Сенсоры. Netflow Роль ISE


сервера в обеспечении ИБ

Профилирование
Технология которая позволяет опредилить доп пар-ры условия ()
Дополнения по ИБ позволяет применять различные политики к различным
устройствам в отличие от их типов (ПК на Windows – полный доступ,
персональный планшет или смартфон – ограниченный доступ только в
интернет и к огр. корп. системам).
Профилирование пределяет с некой долей вероятности какое
устройство подключено к сети и используется как дополнительная мера ИБ.

Identity store
Identity store – Хранилище идентификационных данных пользователей.
В качестве IS (может выступать LDAP, AD (Active Directory) и др.
встроенные базы данных, которые позволяют хранить учетные данные
пользователя)

Сенсоры
Сенсоры – устройства, позволяющие снимать данные с сети, которые
используются для профилирования устройств. В качестве сенсора может
выступать контроллер. Для проводных клиентов – коммутатор.
Разные сенсоры поддерживают разные типы проб, которые передают
дополнительную информацию (в пробах).
Контроллеры могут поддерживать разные HTTP & DHCP пробы.
Информация передается на ISE для определения подключенного клиента.

Комментарий (о пробах): при входе в соцсети, почту и т.д.


распознается, что вы зашли с другого устройства. Для этого распознавания
используются 2 технологии:
1. Запросы http (в полях запроса http(user_agent (phoner, ОС и т.д.)) и
опции в dhcp).
2. Куки (хранятся в браузере и по ним возможно распознавать одного
пользователя от нового),

ISE
ISE – комплексное решение CISCO для ИБ. ISE Server включает в себя:
1)AAA;
2)Модуль профилирования;
3)Post сервисы и многие другие сервисы.

Может работать с многими устройствами на которых выполняется


идентификация пользователей и администраторов, а также может работать
одновременно со многими Identity Stores.
Рекомендации по развертыванию беспроводных сетей

36. Базовые рекомендации по развертыванию беспроводных сетей


различной емкости(на основе CWD)
См. материал на основе cisco walidat. Design …
38. Направления развития информационных
(телекоммуникационных) технологий, включая беспроводные технологии
корпоративных сетей. WPA3. IEEE 802.11ax. SDN, Mobility Express,
Конвергированный доступ, HA.
WPA3 – повышение стойкости алгоритмов, в частности:
· внедрение AES128;
· повышение стойкости открытых WIFI cетей;
· внедрение элементов ИБ для обслуживания IoT (сканер QR кода
для подключения устройство сети с помощью программного
обеспечения конфигуратор).

IEEE 802.11ах
IEEE 802.11ах (Wi-Fi 6) — является стандартом беспроводной
локальной сети (Wireless Local Area Network) в наборе стандартов связи IEEE
802.11. IEEE 802.11ах предназначен для работы в уже существующих
спектрах 2,4 ГГц и 5 ГГц и будет включать дополнительные полосы частот от
1 до 7 ГГц по мере их появления.
В дополнение к использованию MIMO (множественные входы и
выходы) и MU- MIMO, новая поправка вводит OFDMA (ортогональное
частотное мультиплексирование) для улучшения общей спектральной
эффективности и поддержку модуляции 1024-QAM более высокого порядка
для увеличения пропускной способности

Внедрение SDN
Внедрение SDN в WIFI и конвергенция WIFI решений (например: SD
access cisco).

Mobility Express
Mobility Express –это, когда людям нужен ограниченный функционал
беспроводных контроллеров, но не нужен полный функционал, то есть ТД,
которые поддерживают функционал встроенного контроллера
Контроллер встроен в ТД, поддерживается примерно 15 ТД. Одна ТД- мастер,
а другие slave (слэйвы).
Поддерживает: 802.1x авторизацию, управление радиоресурсами,
роуминг, ограниченный QoS.

Конвергированный доступ
Функции контроллера разбиваются, чтобы более плотно WiFi сеть
интегрировать в нашу беспроводную сеть.
Часть функционала контроллера остается на контроллере, часть
функционала падает на коммутатор.
Разбивает функционал на:
· Mobility agent (терминируют в CAPWAP туннеле , фактически
трафик от ТД терминируются на коммутаторах, т.е образуются
виртуальные порты;
· Mobility Controller – занимается управлением радиоресурсами.

HA (High Availability).
Отказоустойчивость решений. Достигается за счет использования
нескольких контроллеров одновременно. Существует несколько вариантов
HA:
· Защита 1+1 = если один контроллер вылетает, то другой заменяет
первый. Не сохраняются/рвутся сессии.
· SSO (поддерживают не все контроллеры) = стоит 2 контроллера в сети.
Один вылетает, все сессии переключаются (в т.ч. сессии VoIP) на
второй контроллер. Эти контроллеры должны быть
идентичными(прошивка, чипсет и т.д)

Best Practices на примере сети из 2-х контроллеров: для HA необходимо


2 устройства с лицензией, либо «HA license» (1 полная лицензия на одном,
другой – неполная на 30 дней, которую можно продлить или отказаться от
нее).