Безопасность беспроводной сети предприятия

Настройка firewall и электронной почты. Установление максимального уровня защиты на точках доступа. Идентификация логирования. Правила доступа пользователей. Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения.

Рубрика Программирование, компьютеры и кибернетика
Вид контрольная работа
Язык русский
Дата добавления 28.04.2022
Размер файла 321,4 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

Федеральное государственное бюджетное образовательное учреждение высшего образования «Дальневосточный государственный университет путей сообщения»

Кафедра "АТиС"

Расчётно-графическая работа

По дисциплине: «Основы построения беспроводных сетей»

На тему: Безопасность беспроводной сети предприятия

Выполнил: Сидорович М.А. 248гр.

Проверил: Каритан К.А.

Хабаровск 2016

Задание на расчётно-графическую работу

1) Настроить firewall на нем разрешить http, https, snmp, а также электронную почту: smtp, pop3 и imap

2) Установить максимальный уровень защиты на точках доступа

3) Организовать централизованную идентификацию логирование

4) Различные правила доступа для 5 групп пользователей

5) Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения

1. Настроить firewall на нем разрешить http, https, snmp, а также электронную почту: smtp, pop3 и imap

В качестве платформы для размещения firewall используем маршрутизатор Cisco ASR 1002, который поддерживает Cisco IOS firewall. Произведём настройку согласно инструкции по настройке IOS.

ip access-list extended FIREWALL

permit http

permit https

permit snmp

permit smtp

permit pop3

permit imap

включаем инспектирование трафика между локальной сетью и Интернетом

ip inspect name INSPECT_OUT http

ip inspect name INSPECT_OUT https

ip inspect name INSPECT_OUT snmp

ip inspect name INSPECT_OUT pop3

ip inspect name INSPECT_OUT imap

ip inspect name INSPECT_OUT tcp router-traffic

ip inspect name INSPECT_OUT udp router-traffic

ip inspect name INSPECT_OUT icmp router-traffic

настраиваем порт в Интернет

interface FastEthernet0/0

description === Internet ===

ip address ???.???.???.??? 255.255.255.???

ip virtual-reassembly

ip verify unicast reverse-path

no ip redirects

no ip directed-broadcast

no ip proxy-arp

no cdp enable

ip inspect INSPECT_OUT out

ip access-group FIREWALL in

2. Установить максимальный уровень защиты на точках доступа

Безопасность беспроводной сети на контроллере строится из трех компонентов:

· Авторизация

· Шифрования

· Веб-политика

Первые две политики работают на 2 уровне OSI, поэтому их логично назвали Layer 2. Авторизация отвечает за то, кого пускать в сеть, и как. Шифрование определяет сам алгоритм шифрования пакетов в радио-среде. Веб-политика позволяет заворачивать клиентскую HTTP-сессию на встроенный веб-сервер контроллера (либо внешний), и запрашивать подтверждение/логин-пароль. Доступные параметры безопасности 2го уровня:

· None -- авторизация и шифрование трафика не применяются («небезопасная сеть»). Используется для гостевого доступа, в хотспотах. Зачастую комбинируется с веб-политикой, при которой вы без вопросов подключаетесь к беспроводной сети, но при попытке выйти веб-браузером куда-то сессия перехватывается контроллером, и вас вынуждают ввести логин-пароль, согласиться с условиями и т.п. (см. далее).

· WPA+WPA2 -- позволяет выбрать политику WPA либо WPA2 (либо обе), тип шифрования TKIP или AES (либо оба). Данные параметры просто анонсируются клиентам в beacon пакетах. Не все клиентские адаптеры (особенно старые) способны понять современные стандарт. Если все клиенты -- новые, наиболее оптимальным будет использование WPA2/AES. Дополнительно предлагается указать, как будет образовываться ключ для шифрования:

o 802.1X -- индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Наиболее безопасный вариант, также именуемый WPA(2) Enterprise

o CCKM -- используется собственный механизм Cisco генерации ключей, подходит только для Cisco Wi-Fi телефонов

o PSK -- общий (pre-shared) ключ, пароль на сеть, именуемую в таком случае WPA(2) Personal

o 802.1x+CCKM -- гибрид CCKM и RADIUS-ключа (для Cisco-телефонов)

· 802.1X -- индивидуальный ключ для каждого клиента будет генерироваться RADIUS-сервером в момент авторизации. Однако это WEP-ключ, и протокол шифрования радиоканала -- WEP, чем в наше время пользоваться уже нельзя.

· Static WEP -- статический WEP-ключ

· Static WEP+802.1X -- гибрид двух предыдущих

· CKIP -- проприетарный аналог WEP для Cisco телефонов

Рис. 1

Для моей сети наиболее подходящим решением является связка WPA2 (AES) + 802.1X «WPA2 Enterprise» для доступа в сеть через авторизацию на RADIUS-сервере (EAP: по доменному аккаунту, сертификату и т.п.)

3. Организовать централизованную идентификацию логирование

Для проведения логирования необходимо запустить RADIUS-сервер на контроллере беспроводных точек доступа, для этого имеется следующий набор команд:

При использовании RADIUS-сервера необходимо сделать дополнительные настройки. Прежде всего, задать сам сервер авторизации в меню Security -- RADIUS -- AAA -- Authentication:

Рис. 2

почта доступ логирование шифрование

Необходимо указать следующие параметры:

IP-адрес сервера. Поддерживаются FreeRADIUS, Cisco ACS, Cisco ISE, сервер Microsoft.

Shared secret (ключ радиус-сервера)

Network user -- сервер поддерживает авторизацию пользователей Wi-Fi

Management -- сервер поддерживает авторизацию администраторов самого контроллера

Также необходимо задать тот же сервер для целей учета (Accounting). В параметрах настройки безопасности беспроводной сети в закладке AAA серверов всё, указанное по умолчанию, обеспечивает работу всех зарегистрированных на контроллере RADIUS-серверов:

Рис. 3

4. Различные правила доступа для 5 групп пользователей

Таблица 1

SSID

VLAN

Main

1

Advert

2

Videomakers

3

Copyrighters

4

IT

5

5. Обеспечение удаленного доступа через SSH для администрирования и шифрование этого подключения

Настройка авторизации и доступа по SSH

1) включаем шифрование паролей

service password-encryption

2) используем новую модель ААА и локальную базу пользователей

aaa new-model

aaa authentication login default local

3) заводим пользователя с максимальными правами

username admin privilege 15 secret PASSWORD

4) даем имя роутеру

hostname <...>

ip domain-name router.domain

5) генерируем ключик для SSH

crypto key generate rsa modulus 1024

ip ssh time-out 60

ip ssh authentication-retries 2

ip ssh version 2

6) и разрешаем его на удаленной консоли

line vty 0 4

transport input telnet ssh

privilege level 15

Размещено на Allbest.ru


Подобные документы

  • Разработка проводной локальной сети и удаленного доступа к данной сети с использованием беспроводной сети (Wi-Fi), их соединение между собой. Расчет времени двойного оборота сигнала сети (PDV). Настройка рабочей станции, удаленного доступа, сервера.

    курсовая работа [2,0 M], добавлен 10.11.2010

  • Свойства и режимы реализации удаленного доступа. Организация удаленного доступа. Интеграция удаленного доступа в корпоративную интрасеть. Установка клиентских средств удаленного доступа для Windows. Утилита, работающая в архитектуре клиент-сервер.

    курсовая работа [28,2 K], добавлен 17.12.2011

  • Основные задачи защиты операционных систем: идентификация, аутентификация, разграничение доступа пользователей к ресурсам, протоколирование и аудит. Проблема контроля доступа в компьютерную систему. Разработка программы управления матричным принтером.

    курсовая работа [118,9 K], добавлен 22.06.2011

  • Характеристика деятельности предприятия "Регион". Открытие общего доступа к папке или диску. Настройка DHCP-серверов в сети, обеспечивающая ряд преимуществ. Установка, тестирование и настройка Apache, MySQL. Организация терминального доступа к серверу.

    отчет по практике [131,6 K], добавлен 12.11.2014

  • Обзор существующих технологий широкополосного доступа (xDSL, PON, беспроводной доступ). Описание особенностей технологии PON. Проект по строительству сети абонентского доступа на технологии пассивной оптической сети. Схема распределительных участков.

    дипломная работа [3,9 M], добавлен 28.05.2016

  • Технология настройки распределённой беспроводной сети в домашних условиях с использованием двух точек беспроводного доступа: выбор оборудования, определение архитектуры сети. Средства безопасности беспроводной сети, процедура ее взлома с протоколом WEP.

    статья [152,4 K], добавлен 06.04.2010

  • Настройка списка контроля доступа для компьютерной сети, выходящей в интернет через прокси-сервер Squid. Использование и типы прокси-серверов, описание их архитектуры. Списки контроля доступа, идентификация, настройка конфигурации и запуск серверов.

    курсовая работа [1,3 M], добавлен 26.08.2010

  • Настройка беспроводной сети, технология Windows Connect Now. Центр управления сетями и общим доступом, обозреватель сети, следующее поколение стека TCP/IP в Vista. Упрощенная организация общего доступа к файлам и папкам. Обеспечение безопасности сети.

    курсовая работа [3,8 M], добавлен 15.10.2009

  • Выделенный канал. Скорость доступа. Стоимость доступа. Стоимость оборудования и подключения. Использование телефонных линий Dial-Up. Модем или посредник между компьютерами. Использование бытовой электрической сети для доступа в Интернет. Intranet.

    контрольная работа [56,8 K], добавлен 25.12.2004

  • Характеристика основных способов защиты от несанкционированного доступа. Разработка политики безопасности системы. Проектирование программного обеспечения применения некоторых средств защиты информации в ОС. Содержание основных разделов реестра.

    лабораторная работа [1,9 M], добавлен 17.03.2017

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.