Transcript Belaidžio interneto prieigos taškų valdymas
Slide 1
Belaidžio interneto prieigos
taškų valdymas
Giedrius Liubavičius
2006-08-29, Dubingiai
Slide 2
Programinė įranga
➢ Vidinio tinklo apsauga, virusų audrų
➢
prevencija
➢
Prieigos taškų atnaujinimų sistema
➢
Ribojimai
➢
Problemos
Slide 3
Programinė įranga
Pagrindas valdymui:
OpenWrt http://openwrt.org/
DD-WRT http://dd-wrt.com/
HyperWRT http://hyperwrt.org/
➢Monit http://www.tildeslash.com/monit/
➢OpenVPN http://www.openvpn.org/
➢Dropbear (mini SSHv2 serveris + klientas)
http://matt.ucc.asn.au/dropbear/dropbear.html
➢IMQ http://linuximq.net/
➢fProbe http://fprobe.sourceforge.net/
➢
Slide 4
OpenWrt
Rašoma failų sistema
➢Paketų valdymas
➢Programinės įrangos keitimas / pildymas
neperprogramuojant įrenginio
➢Daug palaikomų įrenginių
➢Linux 2.4 (2.6 kamikazee atšakoje) branduolys
➢Minimalūs reikalavimai: 2M flash, 8M RAM
➢
Slide 5
DD-WRT
Yra galimybė nustatyti TX galingumą: 0-251mW.
Standartiškai naudojama – 28mW
➢Iškart įdėtas uPNP palaikymas
➢WDS connection watchdog
➢WMM (Wireless Multimedia QoS)
➢SNMP serveris
➢Maršrutizavimo protokolai
➢Artimesnis originaliam firmware
➢Paketas mokamas biznio sprendimams
➢Palaiko daugiausia Linksys įrenginius
➢
Slide 6
HyperWRT
Artimiausias variantas originaliam firmware
➢Sukurtas, kaip galimybių išplėtimas
➢Skirtas Linksys WRT54G(S) įrenginiams
➢
Slide 7
Saugumas
WPA + RSN enterprise (radius) kodavimas
➢WDS susijungimui statiškai įrašomi artimų taškų
MAC adresai į NVRAM
➢Rakto regeneracija kas 30 sekundžių
➢802.1x autentifikacija su PEAP
➢Tiesioginiai “klientas – klientas” belaidžiai srautai
draudžiami pasinaudojant “AP ISOLATE”
➢Visas srautas tuneliuojamas iki centrinio firewall
serverio arba pažymimas atitinkamu VLAN, jei
pasiekiama be tarpinių NAT'inančių serverių
➢
Slide 8
Saugumas
VLAN
VPN
NAT
NAT
Slide 9
Saugumas
Dinamiškai blokuojami srautai pasitelkiant
prieigos taško iptables IPSET filtrą
➢Belaidžio tinklo luste MAC priėjimo kontrolė
➢OSI 7 lygio filtras 80 (HTTP) portu plintančių
virusų epidemijos prevencijai. (Pagal RegEXP
tikrinami pirmi 3 paketai pačiame branduolyje)
➢TCP SYN flood sąlygoja užblokavimą
➢Blokuojami MAC periodiškai siunčiami į
registracijos puslapį. Naudojama XML + HTTP.
SQL interfeiso naudojimas sąlygotų flash
praplėtimo / išorinio disko būtinybę
➢
Slide 10
Saugumas
Nesankcionuotų taškų ar apsimetėlių aptikimui,
tinkle egzistuojantys prieigos taškai periodiškai
praskanuojami bei registruojami duomenų bazėje
➢Visas HTTP trafikas peradresuojamas į proxy,
patikrinama nuo virusų
➢Pasitelkiant L7 filtrą atpažystami nestandartiniu
portu veikiantys HTTP serveriai
➢Į vidinį tinklą leidžiamas tik SSH prisijungimas
➢Srauto žurnalavimui naudojamas fProbe-ulog.
Į renkantį serverį siunčiama NetFlows formatu
➢
Slide 11
Saugumas
PROXY
Slide 12
Atnaujinimai
Duomenų bazėje periodiškai registruojama
prieigos taškų MAC, fazė, įrangos versija ir IP
➢Po patikrinimo kiekvienas taškas atskirai gauna
reikalingų įvykdyti komandų sąrašą
➢Pasinaudojant RSYNC, gaunamos pagalbinės
programos prieigos taško valdymui
➢Prieigos taškams naudojame modifikuotą
“OpenWrt whiterussian RC5”. Pirmo starto metu
parsiunčiami būtiniausi nustatymai prieigos taško
atnaujinimo sistemos bei paties taško darbui
➢Atnaujinimai organizuojami kas 10 minučių:
tikrinama ar nėra naujos versijos ar pataisos
➢
Slide 13
Atnaujinimai
RSYNC
Nauja atnaujinimo sistemos versija
Esamai fazei priskirti failai
Vykdomi fazės pakeitimai
Tikrinami pakeitimai, imama nauja fazė
Slide 14
Ribojimai
Pasinaudojant Vytauto Gurevičiaus surinktais
Lietuvos ISP tinklų adresais, gaminamos IPSET
lentelės su LitNET, vietiniais bei Lietuvos tinklais
➢Pasinaudojant iptables IPP2P, identifikuojamas P2P
srautas, kuris vėliau išskirtomas į grupes:
LitNET, Lietuvos, GEANT
➢P2P srautui į GEANT, TCP MSS pakeičiamas į nulį
(iptables TARPIT)
➢P2P srautas į Lietuvą ribojamas iki 2Mb per tašką
➢P2P į LitNET ribojamas iki 10Mb per tašką
➢P2P ribojimai vykdomi pačiame prieigos taške
➢
Slide 15
Ribojimai
Visi klientai ribojami pagal CBQ
➢Niekas negali pasiekti maksimalaus srauto
➢Ribojimui supaprastinti naudojamas IMQ
Galimybė pritaikyti tiek ingress, tiek egress ribojimą
➢Kiekvienas paketas pereina SFQ
➢Klietas negali viršyti 200 sesijų vienu metu
➢SMTP trafikas leidžiamas tik į ŠU serverį arba
išorinius serverius, išsiuntus vartotojo vardą
➢SIP/H323, SSH kanalai išskiriami kaip prioritetiniai,
srautas negali būti paskolintas kitiems klientams.
Aptarnaujami pirmumo teise
➢
Slide 16
Planai, idėjos
Leisti pilnai naudotis ŠU tinklu tik tuneliavus
prisijungimą per koduotą VPN kanalą (būtinas
kliento TLS sertifikatas). Taip išvengiamas pavojus,
kai klientas prisijungia per netikrą prieigos tašką ar
nutekėjus prisijungimo informacijai
➢Visiškai ar dalinai dingus laidinio tinklo gateway,
maršrutizuoti srautą per WDS ir atgal. Visą gaunamą
srautą iš laidinio tinklo tuneliuoti į atskirą VLAN per
WDS, taip išsprendžiant ir laikinas vidinio tinklo
problemas
➢
Slide 17
Planai, idėjos
Nesankcionuotų taškų buvimo vietai nustatyti,
apjungti kelių prieigos taškų skanavimo rezultatus
➢Klietų, bandančių apeiti saugumo sistemas, srauto
peradresavimas į HoneyPot
➢Ryšio kokybės patikrinimui, periodiškai prisijungti
prie artimų prieigos taškų per WDS
➢MultiSSID. Galimybė vieną fizinį prieigos tašką
naudoti kelių pavadinimų tinklams (keli virtualūs
prieigos taškai)
➢
Slide 18
Problemos
MultiSSID negalimas dėl įrangos. Broadcom
nepateikia specifikacijų - pateikiamas branduolio
modulis, bet ne šaltinis
➢Naujesni Linksys modeliai taupymo sumetimais
gaminami su VxWorks įranga, nepagrįsta Linux.
DB90H pagamino pataisą, pakeičiančią VxWorks į
Broadcom CFE, pirmo starto metu iš TFTP
užkraunančiu Linux programinę įrangą
➢Integruotas VLAN žymėjimas. Paruošus VLAN,
būtina suprogramuoti vidinį switch. MAX 15 VLAN
➢
Slide 19
Dėkoju už dėmesį!
Klausimai?
Slide 20
Kontaktai
Giedrius Liubavičius
Šiaulių universitetas
Informacinių sistemų tarnyba
Tinklų administratorius
El. paštas: [email protected]
Tel: (8-41) 595-703
Daugau informacijos: http://ist.su.lt/
Belaidžio interneto prieigos
taškų valdymas
Giedrius Liubavičius
2006-08-29, Dubingiai
Slide 2
Programinė įranga
➢ Vidinio tinklo apsauga, virusų audrų
➢
prevencija
➢
Prieigos taškų atnaujinimų sistema
➢
Ribojimai
➢
Problemos
Slide 3
Programinė įranga
Pagrindas valdymui:
OpenWrt http://openwrt.org/
DD-WRT http://dd-wrt.com/
HyperWRT http://hyperwrt.org/
➢Monit http://www.tildeslash.com/monit/
➢OpenVPN http://www.openvpn.org/
➢Dropbear (mini SSHv2 serveris + klientas)
http://matt.ucc.asn.au/dropbear/dropbear.html
➢IMQ http://linuximq.net/
➢fProbe http://fprobe.sourceforge.net/
➢
Slide 4
OpenWrt
Rašoma failų sistema
➢Paketų valdymas
➢Programinės įrangos keitimas / pildymas
neperprogramuojant įrenginio
➢Daug palaikomų įrenginių
➢Linux 2.4 (2.6 kamikazee atšakoje) branduolys
➢Minimalūs reikalavimai: 2M flash, 8M RAM
➢
Slide 5
DD-WRT
Yra galimybė nustatyti TX galingumą: 0-251mW.
Standartiškai naudojama – 28mW
➢Iškart įdėtas uPNP palaikymas
➢WDS connection watchdog
➢WMM (Wireless Multimedia QoS)
➢SNMP serveris
➢Maršrutizavimo protokolai
➢Artimesnis originaliam firmware
➢Paketas mokamas biznio sprendimams
➢Palaiko daugiausia Linksys įrenginius
➢
Slide 6
HyperWRT
Artimiausias variantas originaliam firmware
➢Sukurtas, kaip galimybių išplėtimas
➢Skirtas Linksys WRT54G(S) įrenginiams
➢
Slide 7
Saugumas
WPA + RSN enterprise (radius) kodavimas
➢WDS susijungimui statiškai įrašomi artimų taškų
MAC adresai į NVRAM
➢Rakto regeneracija kas 30 sekundžių
➢802.1x autentifikacija su PEAP
➢Tiesioginiai “klientas – klientas” belaidžiai srautai
draudžiami pasinaudojant “AP ISOLATE”
➢Visas srautas tuneliuojamas iki centrinio firewall
serverio arba pažymimas atitinkamu VLAN, jei
pasiekiama be tarpinių NAT'inančių serverių
➢
Slide 8
Saugumas
VLAN
VPN
NAT
NAT
Slide 9
Saugumas
Dinamiškai blokuojami srautai pasitelkiant
prieigos taško iptables IPSET filtrą
➢Belaidžio tinklo luste MAC priėjimo kontrolė
➢OSI 7 lygio filtras 80 (HTTP) portu plintančių
virusų epidemijos prevencijai. (Pagal RegEXP
tikrinami pirmi 3 paketai pačiame branduolyje)
➢TCP SYN flood sąlygoja užblokavimą
➢Blokuojami MAC periodiškai siunčiami į
registracijos puslapį. Naudojama XML + HTTP.
SQL interfeiso naudojimas sąlygotų flash
praplėtimo / išorinio disko būtinybę
➢
Slide 10
Saugumas
Nesankcionuotų taškų ar apsimetėlių aptikimui,
tinkle egzistuojantys prieigos taškai periodiškai
praskanuojami bei registruojami duomenų bazėje
➢Visas HTTP trafikas peradresuojamas į proxy,
patikrinama nuo virusų
➢Pasitelkiant L7 filtrą atpažystami nestandartiniu
portu veikiantys HTTP serveriai
➢Į vidinį tinklą leidžiamas tik SSH prisijungimas
➢Srauto žurnalavimui naudojamas fProbe-ulog.
Į renkantį serverį siunčiama NetFlows formatu
➢
Slide 11
Saugumas
PROXY
Slide 12
Atnaujinimai
Duomenų bazėje periodiškai registruojama
prieigos taškų MAC, fazė, įrangos versija ir IP
➢Po patikrinimo kiekvienas taškas atskirai gauna
reikalingų įvykdyti komandų sąrašą
➢Pasinaudojant RSYNC, gaunamos pagalbinės
programos prieigos taško valdymui
➢Prieigos taškams naudojame modifikuotą
“OpenWrt whiterussian RC5”. Pirmo starto metu
parsiunčiami būtiniausi nustatymai prieigos taško
atnaujinimo sistemos bei paties taško darbui
➢Atnaujinimai organizuojami kas 10 minučių:
tikrinama ar nėra naujos versijos ar pataisos
➢
Slide 13
Atnaujinimai
RSYNC
Nauja atnaujinimo sistemos versija
Esamai fazei priskirti failai
Vykdomi fazės pakeitimai
Tikrinami pakeitimai, imama nauja fazė
Slide 14
Ribojimai
Pasinaudojant Vytauto Gurevičiaus surinktais
Lietuvos ISP tinklų adresais, gaminamos IPSET
lentelės su LitNET, vietiniais bei Lietuvos tinklais
➢Pasinaudojant iptables IPP2P, identifikuojamas P2P
srautas, kuris vėliau išskirtomas į grupes:
LitNET, Lietuvos, GEANT
➢P2P srautui į GEANT, TCP MSS pakeičiamas į nulį
(iptables TARPIT)
➢P2P srautas į Lietuvą ribojamas iki 2Mb per tašką
➢P2P į LitNET ribojamas iki 10Mb per tašką
➢P2P ribojimai vykdomi pačiame prieigos taške
➢
Slide 15
Ribojimai
Visi klientai ribojami pagal CBQ
➢Niekas negali pasiekti maksimalaus srauto
➢Ribojimui supaprastinti naudojamas IMQ
Galimybė pritaikyti tiek ingress, tiek egress ribojimą
➢Kiekvienas paketas pereina SFQ
➢Klietas negali viršyti 200 sesijų vienu metu
➢SMTP trafikas leidžiamas tik į ŠU serverį arba
išorinius serverius, išsiuntus vartotojo vardą
➢SIP/H323, SSH kanalai išskiriami kaip prioritetiniai,
srautas negali būti paskolintas kitiems klientams.
Aptarnaujami pirmumo teise
➢
Slide 16
Planai, idėjos
Leisti pilnai naudotis ŠU tinklu tik tuneliavus
prisijungimą per koduotą VPN kanalą (būtinas
kliento TLS sertifikatas). Taip išvengiamas pavojus,
kai klientas prisijungia per netikrą prieigos tašką ar
nutekėjus prisijungimo informacijai
➢Visiškai ar dalinai dingus laidinio tinklo gateway,
maršrutizuoti srautą per WDS ir atgal. Visą gaunamą
srautą iš laidinio tinklo tuneliuoti į atskirą VLAN per
WDS, taip išsprendžiant ir laikinas vidinio tinklo
problemas
➢
Slide 17
Planai, idėjos
Nesankcionuotų taškų buvimo vietai nustatyti,
apjungti kelių prieigos taškų skanavimo rezultatus
➢Klietų, bandančių apeiti saugumo sistemas, srauto
peradresavimas į HoneyPot
➢Ryšio kokybės patikrinimui, periodiškai prisijungti
prie artimų prieigos taškų per WDS
➢MultiSSID. Galimybė vieną fizinį prieigos tašką
naudoti kelių pavadinimų tinklams (keli virtualūs
prieigos taškai)
➢
Slide 18
Problemos
MultiSSID negalimas dėl įrangos. Broadcom
nepateikia specifikacijų - pateikiamas branduolio
modulis, bet ne šaltinis
➢Naujesni Linksys modeliai taupymo sumetimais
gaminami su VxWorks įranga, nepagrįsta Linux.
DB90H pagamino pataisą, pakeičiančią VxWorks į
Broadcom CFE, pirmo starto metu iš TFTP
užkraunančiu Linux programinę įrangą
➢Integruotas VLAN žymėjimas. Paruošus VLAN,
būtina suprogramuoti vidinį switch. MAX 15 VLAN
➢
Slide 19
Dėkoju už dėmesį!
Klausimai?
Slide 20
Kontaktai
Giedrius Liubavičius
Šiaulių universitetas
Informacinių sistemų tarnyba
Tinklų administratorius
El. paštas: [email protected]
Tel: (8-41) 595-703
Daugau informacijos: http://ist.su.lt/