Безопасность беспроводной сети предприятия
Настройка firewall и электронной почты. Установление максимального уровня защиты на точках доступа. Идентификация логирования. Правила доступа пользователей. Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | контрольная работа |
| Язык | русский |
| Дата добавления | 28.04.2022 |
| Размер файла | 321,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Министерство транспорта Российской Федерации
Федеральное агентство железнодорожного транспорта
Федеральное государственное бюджетное образовательное учреждение высшего образования «Дальневосточный государственный университет путей сообщения»
Кафедра "АТиС"
Расчётно-графическая работа
По дисциплине: «Основы построения беспроводных сетей»
На тему: Безопасность беспроводной сети предприятия
Выполнил: Сидорович М.А. 248гр.
Проверил: Каритан К.А.
Хабаровск 2016
Задание на расчётно-графическую работу
1) Настроить firewall на нем разрешить http, https, snmp, а также электронную почту: smtp, pop3 и imap
2) Установить максимальный уровень защиты на точках доступа
3) Организовать централизованную идентификацию логирование
4) Различные правила доступа для 5 групп пользователей
5) Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения
1. Настроить firewall на нем разрешить http, https, snmp, а также электронную почту: smtp, pop3 и imap
В качестве платформы для размещения firewall используем маршрутизатор Cisco ASR 1002, который поддерживает Cisco IOS firewall. Произведём настройку согласно инструкции по настройке IOS.
ip access-list extended FIREWALL
permit http
permit https
permit snmp
permit smtp
permit pop3
permit imap
включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT snmp
ip inspect name INSPECT_OUT pop3
ip inspect name INSPECT_OUT imap
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic
настраиваем порт в Интернет
interface FastEthernet0/0
description === Internet ===
ip address ???.???.???.??? 255.255.255.???
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in
2. Установить максимальный уровень защиты на точках доступа
Безопасность беспроводной сети на контроллере строится из трех компонентов:
· Авторизация
· Шифрования
· Веб-политика
Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль. Доступные параметры безопасности 2го уровня:
· None -- авторизация и шифрование трафика не применяются («небезопасная сеть»). Используется для гостевого доступа, в хотспотах. Зачастую комбинируется с веб-политикой, при которой вы без вопросов подключаетесь к беспроводной сети, но при попытке выйти веб-браузером куда-то сессия перехватывается контроллером, и вас вынуждают ввести логин-пароль, согласиться с условиями и т.п. (см. далее).
· WPA+WPA2 -- позволяет выбрать политику WPA либо WPA2 (либо обе), тип шифрования TKIP или AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах. Не все клиентские адаптеры (особенно старые) способны понять современные стандарт. Если все клиенты -- новые, наиболее оптимальным будет использование WPA2/AES. Дополнительно предлагается указать, как будет образовываться ключ для шифрования:
o 802.1X -- индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Наиболее безопасный вариант, также именуемый WPA(2) Enterprise
o CCKM -- используется собственный механизм Cisco генерации ключей, подходит только для Cisco Wi-Fi телефонов
o PSK -- общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal
o 802.1x+CCKM -- гибрид CCKM и RADIUS-ключа (для Cisco-телефонов)
· 802.1X -- индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Однако это WEP-ключ, и протокол шифрования радиоканала -- WEP, чем в наше время пользоваться уже нельзя.
· Static WEP -- статический WEP-ключ
· Static WEP+802.1X -- гибрид двух предыдущих
· CKIP -- проприетарный аналог WEP для Cisco телефонов
Рис. 1
Для моей сети наиболее подходящим решением является связка WPA2 (AES) + 802.1X «WPA2 Enterprise» для доступа в сеть через авторизацию на RADIUS-сервере (EAP: по доменному аккаунту, сертификату и т.п.)
3. Организовать централизованную идентификацию логирование
Для проведения логирования необходимо запустить RADIUS-сервер на контроллере беспроводных точек доступа, для этого имеется следующий набор команд:
При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security -- RADIUS -- AAA -- Authentication:
Рис. 2
почта доступ логирование шифрование
Необходимо указать следующие параметры:
IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft.
Shared secret (ключ радиус-сервера)
Network user -- сервер поддерживает авторизацию пользователей Wi-Fi
Management -- сервер поддерживает авторизацию администраторов самого контроллера
Также необходимо задать тот же сервер для целей учета (Accounting). В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов:
Рис. 3
4. Различные правила доступа для 5 групп пользователей
Таблица 1
|
SSID |
VLAN |
|
|
Main |
1 |
|
|
Advert |
2 |
|
|
Videomakers |
3 |
|
|
Copyrighters |
4 |
|
|
IT |
5 |
5. Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения
Настройка авторизации и доступа по SSH
1) включаем шифрование паролей
service password-encryption
2) используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
3) заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD
4) даем имя роутеру
hostname <...>
ip domain-name router.domain
5) генерируем ключик для SSH
crypto key generate rsa modulus 1024
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
6) и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15
Размещено на Allbest.ru
Подобные документы
Разработка проводной локальной сети и удаленного доступа к данной сети с использованием беспроводной сети (Wi-Fi), их соединение между собой. Расчет времени двойного оборота сигнала сети (PDV). Настройка рабочей станции, удаленного доступа, сервера.
курсовая работа [2,0 M], добавлен 10.11.2010Свойства и режимы реализации удаленного доступа. Организация удаленного доступа. Интеграция удаленного доступа в корпоративную интрасеть. Установка клиентских средств удаленного доступа для Windows. Утилита, работающая в архитектуре клиент-сервер.
курсовая работа [28,2 K], добавлен 17.12.2011Основные задачи защиты операционных систем: идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит. Проблема контроля доступа в компьютерную систему. Разработка программы управления матричным принтером.
курсовая работа [118,9 K], добавлен 22.06.2011Характеристика деятельности предприятия "Регион". Открытие общего доступа к папке или диску. Настройка DHCP-серверов в сети, обеспечивающая ряд преимуществ. Установка, тестирование и настройка Apache, MySQL. Организация терминального доступа к серверу.
отчет по практике [131,6 K], добавлен 12.11.2014Обзор существующих технологий широкополосного доступа (xDSL, PON, беспроводной доступ). Описание особенностей технологии PON. Проект по строительству сети абонентского доступа на технологии пассивной оптической сети. Схема распределительных участков.
дипломная работа [3,9 M], добавлен 28.05.2016Технология настройки распределённой беспроводной сети в домашних условиях с использованием двух точек беспроводного доступа: выбор оборудования, определение архитектуры сети. Средства безопасности беспроводной сети, процедура ее взлома с протоколом WEP.
статья [152,4 K], добавлен 06.04.2010Настройка списка контроля доступа для компьютерной сети, выходящей в интернет через прокси-сервер Squid. Использование и типы прокси-серверов, описание их архитектуры. Списки контроля доступа, идентификация, настройка конфигурации и запуск серверов.
курсовая работа [1,3 M], добавлен 26.08.2010Настройка беспроводной сети, технология Windows Connect Now. Центр управления сетями и общим доступом, обозреватель сети, следующее поколение стека TCP/IP в Vista. Упрощенная организация общего доступа к файлам и папкам. Обеспечение безопасности сети.
курсовая работа [3,8 M], добавлен 15.10.2009Выделенный канал. Скорость доступа. Стоимость доступа. Стоимость оборудования и подключения. Использование телефонных линий Dial-Up. Модем или посредник между компьютерами. Использование бытовой электрической сети для доступа в Интернет. Intranet.
контрольная работа [56,8 K], добавлен 25.12.2004Характеристика основных способов защиты от несанкционированного доступа. Разработка политики безопасности системы. Проектирование программного обеспечения применения некоторых средств защиты информации в ОС. Содержание основных разделов реестра.
лабораторная работа [1,9 M], добавлен 17.03.2017
