Projektowanie i bezpieczeństwo na przykładach
W dzisiejszym wpisie poruszymy temat związany z planowaniem, projektowaniem i budową profesjonalnych sieci bezprzewodowych klasy Enterprise, czyli tzw. zaawansowanych sieci bezprzewodowych.
Zwrócimy uwagę na dobór sprzętu i komponenty stosowane w tych profesjonalnych sieciach. Zajmiemy się również zabezpieczeniami sieci dostępowej Wi-Fi w połączeniu z komponentem o nazwie Cisco ISE pełniącym rolę centralnego miejsca zarządzania uprawnieniami dostępu do sieci korporacyjnej.
Na początek krótkie wprowadzenie.
Podstawowa różnica dotyczy wymagań stawianym sieciom. Inne wymagania stawiamy sieciom domowym i inne oczekiwania mamy wobec sieci korporacyjnych, biznesowych.
Sieci bezprzewodowe domowe traktujemy jako sieci niekrytyczne, co nie znaczy, że tak nie są dla nas ważne. Mamy dużo usług, z których korzystamy w domu i chcemy, aby Internet działał bez zakłóceń.
Natomiast od sieci firmowych klasy Enterprise wymagamy tego samego, czego od innych systemów tej klasy, czyli niezawodności, stabilności i ciągłości działania. Aby to osiągnąć, musimy odpowiednio zaplanować i zaprojektować sieć Wi-Fi, a następnie dobrać odpowiednie urządzenia.
Jeżeli pomyślimy o sieci bezprzewodowej, chociażby tej domowej, to przy rodzinie czteroosobowej mamy 8-10 urządzeń. Natomiast w sieciach firmowych jest to czasem nawet kilka tysięcy urządzeń skupionych na poszczególnych piętrach czy w open space’ach.
Zapamiętaj: Podstawową różnicą pomiędzy siecią komercyjną a tą biznesową są wymagania, jakie jej stawiamy.
Planowanie zależy od specyfiki sieci, od typu środowiska, w jakim sieć będzie pracować. Mogą to być sieci bezprzewodowe o dużej gęstości np. biurowce o dużym zagęszczeniu endpointów, a może to być sieć na hali produkcyjnej czy w magazynach wysokiego składowania. Każdy przypadek będzie wymagał innego podejścia do projektowania. Od tego trzeba wyjść i na tej podstawie zaplanować odpowiedni sprzęt, liczbę Access Pointów, czy ustawienia.
Przykład, który chciałbym zaprezentować to sieć w budynku hotelowym o dużej gęstości endpointów. Na jedno skrzydło przypadają dwa Access Pointy, około dziesięciu pokoi, w każdym po dwie osoby. Każdy posiada po dwa, trzy urządzenia, czyli mamy około stu użytkowników na dwa Access Pointy. No niestety, nie będzie to działać.
Ciekawe jest to, że na etapie przygotowania projektu budowlanego bardzo często powielany jest schemat, że Access Pointy umieszczane są na korytarzu. Wiąże się to często z koniecznością późniejszego przeprojektowania sieci bezprzewodowej. My w takiej sytuacji proponujemy Access Pointy umieszczać wewnątrz pomieszczeń. Oczywiście odpowiednio parametryzując kanały i moc, ale to już dzieje się na etapie szczegółowego projektowania.
W pracy często wspomagamy się profesjonalnymi narzędziami do projektowania sieci, do wykonywania pomiarów czy audytów. Jednak musimy pamiętać, że to, czy narzędzia będą poprawnie działały, w dużej mierze zależy od tego, jak je sparametryzujemy.
Na etapie planowania musimy wprowadzić np. przegrody. Istotna jest charakterystyka tych przegród, czy jest to ściana betonowa, czy ceglana, czy dodatkowo są jakieś wygłuszenia. Jeżeli budynek już stoi, warto zmierzyć tłumienność danej przegrody. Dopiero na tej podstawie możemy zaplanować sieć bezprzewodową, rozłożenie Access Pointów, kanałów mocy itp.
Zapamiętaj: Narzędzia i dobre praktyki nie zastąpią wiedzy eksperckiej i doświadczenia przy projektowaniu.
Przy planowaniu i projektowaniu komponentów infrastruktury sieci firmowej, powinniśmy używać sprzętu odpowiedniego dla danego typu sieci. To znaczy, że sieci bezprzewodowe klasy Enterprise budujemy w oparciu o sprzęt klasy Enterprise, a sieci campusowe w oparciu o sprzęt dla sieci campusowych. Wydaje się to oczywiste, ale praktyka bywa zaskakująca. Bardzo często są pokusy, żeby zaoszczędzić. Potem najczęściej się to mści.
Sieci bezprzewodowe klasy Enterprise charakteryzują się zróżnicowaniem mocy Access Pointów, dopasowanie do środowiska pracy (np. wewnątrz lub na zewnątrz pomieszczenia) czy możliwość podłączenia anten zewnętrznych, czego nie ma w rozwiązaniach stosowanych w systemach sieci domowych. W rozwiązaniach komercyjnych najczęściej możemy podpiąć tylko jakieś specyficzne antenki, co skutkuje tym, że np. radio jest niewydajne. Dodatkowo podpięcie dużej anteny, z dużym wzmocnieniem do routera, czy Access Pointa, nie wpływa na poprawę parametrów. Natomiast w rozwiązaniach klasy Enterprise mamy dedykowane anteny kierunkowe, czyli takie o specyficznej charakterystyce.
Anteny kierunkowe mają znaczenie w otwartych przestrzeniach, w których przesyłamy sygnał na duże odległości, ale nie chcemy go rozsiewać. Dzieje się tak choćby w magazynach wysokiego składowania.
Gdy spojrzymy na charakterystykę anten dookólnych, zauważymy, że mają całkiem dobre pokrycie w swojej płaszczyźnie poziomej, czyli kolokwialnie mówiąc, ładnie sieją sygnałem dookoła. Natomiast zawodzą w kierunkach góra-dół. Dlatego w wielu przypadkach Access Point, który jest podwieszany horyzontalnie, a tak powinien być montowany ten ze zintegrowanymi antenami, sygnał rozchodzi się dookoła i w dół. Natomiast do góry już bardzo słabo.
W magazynie, na antresolach, stosuje się często rozwiązania wielopoziomowe. Wybierane są wtedy anteny, które są dookólne, ale propagują sygnał góra-dół. W magazynach wysokiego składowania sygnał w płaszczyźnie pionowej rozchodzi się na odległość do ośmiu metrów. Tak realnie, a potem jest problem z odbiciami. W takim przypadku również z pomocą przychodzi rozwiązanie w postaci AP z możliwością podłączenia zewnętrznych anten kierunkowych. Najczęściej Access Pointy z antenami kierunkowymi montuje się w innym układzie, np. na ścianach.
Na pokazanym schemacie widać magazyn, w którym półki wysokiego składowania ułożone są w rzędach. To jest niesłychanie trudne środowisko do opanowania w kontekście radiowym, ponieważ regały mają nawet do 8 metrów wysokości. Na poziom sygnału wpływa też rodzaj składowanego materiału. Inaczej na fale radiowe działa papier, inaczej elementy metalowe, które mają właściwości tłumiące.
Zapamiętaj: W magazynach wysokiego składowania anteny kierunkowe sprawdzają się lepiej niż dookólne.
Na schemacie po lewej stronie znajduje się kontroler sieci bezprzewodowej, zwany potocznie WLC (Wireless Controller). To serwer zarządzający urządzeniami podłączonym do niego, czyli Access Pointami.
Kontroler stanowi centralne miejsce zarządzania, ale też sterowania parametrami Access Pointów, konfiguracją, podstawą typu SSID, a także mechanizmami bezpieczeństwa. Dodatkowo kontrolery sieci potrafią zbierać informacje z AP, na bieżąco parametryzować, dostosowywać się do danych środowiskowych.
Zdarza się, że sieci bezprzewodowe cechuje znaczna dynamika zmian. Jest to związane np. ze wzmożonym ruchem w określonych godzinach, co powoduje obciążenie kanałów radiowych. W takim przypadku potrzebna jest dynamiczna zmiana, aby sieć mogła działać. I tu z pomocą przychodzi kontroler, który na bieżąco analizuje dane z AP i dostosowuje parametry. Oczywiście jest on również miejscem, gdzie można przeprowadzać integrację z innymi usługami bezpieczeństwa itd.
Jeżeli projektujemy rozwiązania typu Enterprise, oferta kontrolerów jest bardzo bogata. Mamy do dyspozycji kontrolery fizyczne i kontrolery chmurowe, niewielkie lub na tysiące Access Pointów. Możemy instalować rozwiązania w chmurach publicznych Google Cloud lub Amazon. Oczywiście w globalnych sieciach światowych często stosuje się jeden kontroler dla danego regionu, np. inny dla Europy, inny dla Ameryki.
Warto również wspomnieć, że np. Cisco posiada rozwiązanie w postaci małych zintegrowanych kontrolerów, które można uruchomić na AP dla niewielkich środowisk Jeśli mówimy o sieciach firmowych, nie spotykamy się już z rozwiązaniem bez kontrolera.
Kontroler potrafi sam działać, jeżeli oczywiście sieć jest dobrze zaprojektowana. Access pointy potrafią się samoistnie zintegrować z kontrolerem, który domyślnie przypisze politykę, szablon konfiguracyjny i będzie automatycznie zarządzał obciążeniem endpointów, rozłożeniem kanałów, siłą sygnału.
Jednak bardzo często, jeśli nie w większości przypadków, kontrola administracyjna inżyniera jest niezbędna.
Przykład. Przyjmijmy, że Access Pointy są dobrze zaprojektowane, posiadają anteny kierunkowe. Aby sygnał dobrze się rozchodził, AP zostały umieszczone w alejkach. Być może nawet po jednym w każdej alejce. Access pointy są stosunkowo blisko siebie. Kontroler mierzy siłę sygnału bazując na informacji z Access Pointów. Pomyśli: „O, te Access Pointy są bardzo blisko, czyli przytnę sygnał do minimum, żeby się nie zagłuszać wzajemnie”.
Gdybyśmy dodali kolejnego Access Pointa i kolejnego, to okazałoby się, że będą się wzajemnie zagłuszać, więc kontroler słusznie przycina moc.
W teorii wszystko wygląda prawidłowo. W praktyce pojawia się problem, np., w specyficznym środowisku magazynów wysokiego składowania. Sygnał ograniczony przez kontroler nie dotrze do końca danej alejki. Jeżeli dodatkowo weźmiemy pod uwagę, że urządzenia mobilne nie wykorzystują pełnej dopuszczalnej mocy sygnału z uwagi na żywotność baterii szybko okaże się, że w tym miejscu nie będziemy mieli zasięgu. Mimo, że pomiary czy audyt wykazałyby, że sygnał jest, kontroler automatycznie go ograniczy. Sieć nie będzie działać optymalnie.
Rolą administratora jest wtedy ręczna regulacja mocy sygnału z równoczesną kontrolą kanałów nadawania w odpowiednich miejscach.
Zapamiętaj: Kontroler sieci działa poprawnie tylko wtedy, gdy sama sieć jest dobrze zaprojektowana.
O ile do sieci przewodowej musimy mieć fizyczny dostęp, to do sieci bezprzewodowej, jeżeli jesteśmy tylko w jej zasięgu, już możemy próbować się wpiąć. A skoro my to możemy, to intruzi również Dlatego ważne jest, aby dobrze zabezpieczyć tę sieć w kontrolowany sposób.
W sieciach domowych możemy używać klucza współdzielonego PSK (Pre Shared Key), ponieważ mamy ograniczoną liczbę osób, które znają ten klucz. Zakładamy, oczywiście, że ten klucz jest niedostępny dla osób postronnych. Jednak wraz ze wzrostem liczby endpointów znacznie wzrasta ryzyko wycieku tego klucza. Dlatego jeżeli korzystamy z współdzielonych kluczy, powinniśmy zadbać, by często je zmieniać. Jest to bardzo uciążliwe z punktu widzenia zarządzania siecią.
Tu znowu z pomocą przychodzą nam rozwiązania klasy Enterprise – choćby dobrze już znany standard 802.1X, potocznie zwany protokołem Radius. Dzięki niemu bardzo bezpiecznie możemy zarządzać dostępem do sieci. W przypadku sieci bezprzewodowej możemy wykorzystywać ten protokół uwierzytelniania w powiązaniu z poświadczeniami domenowymi czy certyfikatami.
Prosty przykład z użyciem poświadczeń domenowych: Użytkownikowi, który opuścił firmę, możemy od razu odciąć dostęp do sieci poprzez blokowanie konta w Active Directory. Nie trzeba o tym pamiętać. Dzisiejsze systemy są ze sobą tak zintegrowane, że najczęściej już w dziale HR przy blokowaniu, zwolnieniu czy rozwiązaniu umowy z pracownikiem wszystko synchronizuje się z Active Directory, które automatycznie przekazuje informację o dostępach do pozostałych systemów.
Jednak, aby to wszystko działało, potrzebne jest odpowiednie rozwiązanie.
Cisco w swoim portfolio posiada rozwiązanie w postaci centralnego miejsca do zarządzania dostępem. Potocznie mówi się o serwerze Radius, ale to jest coś więcej w wydaniu Cisco. Cisco ISE (Cisco Identity Service Engine) ma możliwość integrowania się z różnymi systemami i katalogami centralnymi takimi jak Active Directory. Posiada również funkcję dostępu gościnnego do sieci (Guest Access) oraz integracje z systemami MDM (Mobile Device Management) dla dostępu mobilnego. Coraz więcej urządzeń mobilnych podpina się do sieci, nawet tych korporacyjnych. Są to urządzenia prywatne, ale chcemy nimi w jakiś sposób zarządzać.
Cisco ISE jest potężnym produktem i jego możliwości to temat rzeka.
Bardzo ważnym elementem jest to, że mamy centralne logowanie. Wiemy kto, kiedy i do czego się podłączył lub przeciwnie – nie może się podłączyć. W sytuacji, gdy ktoś nie zmienił hasła mamy jedno miejsce, w którym szybko identyfikujemy taką sytuację. Nie musimy przeglądać logów kontrolera. Wystarczy jeden punkt bezpieczeństwa.
W momencie, gdy jest dużo kontrolerów, możemy nakładać odpowiednie polityki.
Tutaj możemy bardzo granularnie zarządzać dostępem. Przydzielać VLANy, nawet bardziej szczegółowo w dzisiejszych sieciach z wykorzystaniem Security Group Tagów, a nawet sterować firewall-em z dostępem do Internetu.
Integracja kontrolera sieci bezprzewodowych z Cisco ISE jest w miarę prosta, opiera się zasadniczo na protokole Radius. Oczywiście kontroler Cisco można zintegrować z innym serwerem Radius. Tylko w takim przypadku nie będziemy mieli, aż tylu możliwości zarządzania i aż takiej szczegółowości logowania. Niemniej można go integrować również z rozwiązaniami open source.
Umów się na bezpłatną konsultację online z inżynierem Advanced Services i dowiedz się, czy możemy Cię wesprzeć w projektowaniu lub zabezpieczaniu sieci w Twojej firmie.
Dodaj komentarz