UNIVERZA V MARIBORU FAKULTETA ZA ELEKTROTEHNIKO, RAČUNALNIŠTVO IN INFORMATIKO Jernej Šosterič Postavitev brezžičnega lokalnega omrežja v večjem podjet

Transkripcija

1 UNIVERZA V MARIBORU FAKULTETA ZA ELEKTROTEHNIKO, RAČUNALNIŠTVO IN INFORMATIKO Jernej Šosterič Postavitev brezžičnega lokalnega omrežja v večjem podjetju Diplomsko delo Maribor, januar 2016

2 Postavitev brezžičnega lokalnega omrežja v večjem podjetju Diplomsko delo Študent: Študijski program: Smer: Mentor: Somentor: Lektorica: Jernej Šosterič univerzitetni, Računalništvo in informatika Informatika izr. prof. dr. Andrej Žgank doc. dr. Marko Hölbl Marija Šosterič

3 i

4 Zahvala Zahvaljujem se mentorju izr. prof. dr. Andreju Žganku in somentorju doc. dr. Marku Hölblu za pomoč pri izdelavi diplomskega dela. Hvala tudi družini in staršem, ki so mi nudili podporo v času študija. ii

5 Postavitev brezžičnega lokalnega omrežja v večjem podjetju Ključne besede: brezžično omrežje, FreeRadius, ApacheDS, Cisco WLC UDK: : (043.2) Povzetek Diplomsko delo obravnava postavitev celovite brezžične rešitve za večja podjetja. Opisuje konfiguracijo mrežnih stikal, strežnikov in brezžičnih komponent, ki bodo zagotavljale zanesljivost, varnost, skalabilnost in fleksibilnost. Za mrežni del smo za distribucijska stikala uporabili stikala Ciscove serije 4500X, jedrni del predstavljajo stikala iz serije 3850 in za dostopovni del stikala Avtentikacijski strežnik predstavlja odprtokodni FreeRadius. Kot uporabniški imenik smo uporabili prav tako odprtokodni strežnik ApacheDS. Pri brezžičnem delu omrežja smo uporabili krmilnika Cisco 4402 in 5508, ter dostopne točke iz družine Cisco iii

6 Setting up wireless local area network within the corporation Key words: wireless network, FreeRadius, ApacheDS, Cisco WLC UDK: : (043.2) Abstract This diploma work deals with a comprehensive wireless solution suitable for larger companies. It describes the configuration of network switches, servers and wireless components, which will ensure reliability, security, scalability and flexibility. For network part, we used Cisco distribution switches from 4500X series. Core switches are from 3850 series and access switches are from 2960 series. Authentication servers are represented by open source FreeRadius solution. As a user directory server, we also used open source ApacheDS. In wireless part of solution, we used Cisco Wireless Controllers from 4402 and 5508 series. In addition, access points from Cisco 3500 series were applied. iv

7 Kazalo 1 UVOD BREZŽIČNA LAN OMREŽJA Tipi brezžičnih LAN omrežij Topologija Frekvence in prenos podatkov FHSS DSSS OFDM Standardi IEEE oz IEEE a IEEE b IEEE g IEEE n IEEE ac IEEE ad VARNOST V BREZŽIČNIH OMREŽJIH Avtentikacija in šifriranje Šibka avtentikacija MAC avtentikacija WPA in WPA IEEE 802.1X/EAP avtentikacija IEEE 802.1X EAP EAP-TTLS RADIUS Navidezno lokalno omrežje...16 v

8 3.7.1 Prednosti omrežij VLAN Tipi VLAN povezav POSTAVITEV BREZŽIČNEGA OMREŽJA LAN V VEČJEM PODJETJU Načrt postavitve brezžičnega omrežja Predstavitev opreme Strojna oprema...19 Stikala...19 Dostopne točke...21 Cisco Wireless LAN Controller...23 IBM zbx Programska oprema...24 SLES...24 FreeRADIUS...25 ApacheDS Rešitev Nastavitev stikal...25 Konfiguracija distribucijskega stikala...26 Konfiguracija jedrnih stikal...28 Konfiguracija dostopovnih stikal Nastavitev strežnikov...29 Konfiguracija strežnika ApacheDS...29 Konfiguracija strežnika FreeRadius Nastavitev brezžičnih komponent...34 Konfiguracija Cisco WLC...34 Konfiguracija Cisco dostopnih točk Nastavitve odjemalca Izkušnje z delovanjem omrežja SKLEP...46 vi

9 Seznam slik Slika 2.1: Lastnosti brezžičnih omrežij (vir: Google patents, 2010)... 3 Slika 2.2: Ad-hoc omrežje (vir: Cisco Press, 2006)... 4 Slika 2.3: BSS infrastrukturni način (vir: Cisco Press, 2006)... 4 Slika 2.4: ESS infrastrukturni način (vir: Cisco Press, 2006)... 5 Slika 2.5: IEEE Tehnologije porazdeljenega spektra (vir: Cisco Press, 2006)... 6 Slika 3.1: Šifriranje sporočila (vir: IBM Knowledge Center, 2013)... 9 Slika 3.2: IEEE 802.1X EAP (vir: Modrijan, 2006)...12 Slika 3.3: Format sporočila EAP (vir: Modrijan, 2006)...13 Slika 3.4: Metode EAP overjanja (vir: Modrijan, 2006)...14 Slika 3.5: Primer omrežja z več VLAN-i (vir: Cisco, 2015)...16 Slika 4.1: Topologija omrežja...18 Slika 4.2: Cisco hierarhični model (vir: )...19 Slika 4.3: Cisco Catalyst 3850 in 4500X (vir: Cisco, 2015)...21 Slika 4.4: Cisco Aironet modeli za notranjo uporabo (vir: Cisco, 2015)...22 Slika 4.5: Cisco WLC modeli (vir: Cisco, 2015)...23 Slika 4.6: IBM SystemZ in zbx (vir: IBM, 2015)...24 Slika 4.7: Konfiguracija VLAN-a za upravljanje omrežja...26 Slika 4.8: Konfiguracija VLAN-a namenjenega dostopnim točkam...26 Slika 4.9: Konfiguracija VLAN-a namenjenega uporabnikom...26 Slika 4.10: Konfiguracija VLAN-a namenjenega gostom...26 Slika 4.11: Konfiguraciji trunk vrat jedrnih stikal...27 Slika 4.12: Konfiguracija vrat na jedrnih stikalih za Cisco WLC Slika 4.13: Konfiguracija vrat na jedrnih stikalih za Cisco WLC Slika 4.14: Primer konfiguracije vrat namenjenih dostopni točki...29 Slika 4.15:Tvorjenje particije LDAP...30 Slika 4.16: Organizacijske enote...31 Slika 4.17: Definicija uporabnika...31 Slika 4.18: Izgled drevesa LDAP za podjetje...32 Slika 4.19: Podatki za dostop do uporabniškega imenika v konfiguraciji FreeRadius...32 Slika 4.20: Nastavite avtentikacije na strežniku FreeRadius...33 Slika 4.21: Povezovanje klientov s strežnikom FreeRadius...33 Slika 4.22: Nastavitev servisnega vmesnika na Cisco WLC...34 vii

10 Slika 4.23: Nastavitev vmesnika za upravljanje na Cisco WLC...35 Slika 4.24: Nastavitev AP-manager vmesnika na Cisco WLC...36 Slika 4.25: Primer tvorjenja enega izmed uporabniških vmesnikov...37 Slika 4.26: Nastavitev povezave s strežnikom FreeRadius...37 Slika 4.27: Nastavitev načina delovanja strežnikov FreeRadius...38 Slika 4.28: Primer tvorjenja WLANa Uporabniki Slika 4.29: Nastavitev načina avtentikacije in šifriranja...39 Slika 4.30: Izbira vnesenih avtentikacijskih strežnikov...39 Slika 4.31: Nastavitve območja delovanja strežnika DHCP za WLAN...40 Slika 4.32: Vnos WLC naprav v mobilno skupino...40 Slika 4.33: Nastavitev glavnega krmilnika...41 Slika 4.34: Nastavitev osnovnih podatkov posamezne dostopne točke...41 Slika 4.35: Dodajanje brezžičnega omrežja...42 Slika 4.36: Izbira varnostnih mehanizmov...43 Slika 4.37: Nastavitev podrobnosti šifriranja TTLS...44 Slika 4.38: Vnos uporabniških podatkov za prijavo...44 viii

11 Seznam kratic WPAN Wireless personal area network (osebno brezžično omrežje) WLAN Wireless local area network (lokalno brezžično omrežje) WMAN Wireless metropolitan area network (mestno brezžično omrežje) WWAN Wireless wide area network (prostrano brezžično omrežje) BSS Basic Service Set (osnovni nabor storitev) IBSS Independent Basic Service Set (neodvisni nabor storitev) BSA Basic Service Area (celica) DS Distribution System (distribucijski sistem) ESS Extended Service Set (razširjen nabor storitev) DSSS Direct Sequence Spread Spectrum (razpršeni spekter z neposrednim zaporedjem) FHSS Frequency Hopping Spread Spectrum (razpršeni spekter s frekvenčnim skakanjem) OFDM Orthogonal Frequency Division Multiplex (ortogonalno frekvenčno multipleksiranje) MIMO Multiple Input Multiple Output (več vhodov, več izhodov) WEP Wired Equivalent Privac (avtentikacijski protokol) WPA Wifi Protected Access (avtentikacijski protokol) RADIUS Remote Dial-In User Service (protokol namenjen avtentikacji) EAP Extensible Authentication Protocol (avtentikacijski protokol) MD5 Message Digest 5 (način šifriranja) EAP-MSCHAPv2 Microsoft Challange Handshake Authentication Protocol v2 (metoda overjanja) LEAP Lightweight Extensible Authentication Protocol (metoda overjanja) EAP-TTLS Tunneled Transport Layer Security (metoda overjanja) PAP Password Authentication protocol (avtentikacijski mehanizem) CHAP Challange Handshake Authentication Protocol (avtentikacijski mehanizem) VLAN Virtual Local Area Network (navidezno lokalno omrežje) SSID Service Set Identifier (nabor storitev) WLC Wireless LAN Controller (brezžični krmilnik) KVM kernel - based virtual machine (virtualna platforma) SLES SUSE Linux Enterprise Server (distribucija operacijskega sistema Linux) CLI Command Line Interface (ukazna vrstica) ix

12 1 UVOD Hitro razvijajoče se področje brezžičnih omrežij zmeraj bolj prodira v naše vsakdanje življenje. Razcvet brezžičnih tehnologij se je v zadnjih nekaj letih tako kot v vseh ostalih pojavil tudi v večjih podjetjih, kjer se je hipno prepoznalo prednosti te vrste omrežij in se jih adaptiralo na različna področja v proizvodnem procesu. Namen diplomskega dela je obravnavati koncept brezžičnega lokalnega omrežja, opisati njegove osnovne značilnosti in prikazati praktično delovanje omrežja v večjem podjetju. V diplomski nalogi smo predpostavljali, da bo postavljeno omrežje arhitekturno dobro zasnovano in bo omogočalo enolično identifikacijo uporabnikov ter naprav, odgovarjalo vsem varnostnim standardom ter bo pripravljeno za morebitna kasnejša širjenja. Cilj, ki smo si ga zadali, je postavitev celovite rešitve, ki bo vključevala nastavitev naprav, in sicer: stikal Cisco, brezžičnih krmilnikov Cisco, avtentikacijskih strežnikov FreeRadius in uporabniškega imenika ApacheDS. Osredotočili smo se predvsem na zagotavljanje visoke razpoložljivosti ključnih komponent. Strežniško okolje smo postavili na platformi IBM zbx, ki nam zagotavlja dovolj varno in zanesljivo okolje. Za dokumentiranje smo uporabili ukaze operacijskega sistema Cisco IOS in zaslonske posnetke, kjer ni možno izvesti ukazov preko komandne vrstice. Diplomsko delo zajema pet poglavij, pri čemer je prvo poglavje namenjeno uvodu. V drugem poglavju smo se dotaknili brezžičnih LAN omrežij na splošno. Obravnavali smo terminologijo, s kakršno se srečujemo pri tem tipu omrežja. Opisali smo, katere tipe brezžičnih omrežij poznamo in vse skupaj uvrstili v Cisco-v OSI (angl. Open System Interconnection) protokolni sklad. Tretje poglavje zajema varnost v brezžičnih lokalnih omrežjih. Podrobneje smo predstavili aktualne avtentikacijske in šifrirne protokole. Četrto poglavje smo namenili predstavitvi implementacije brezžičnega omrežja v večjem podjetju. Opisali smo ključne uporabljene komponente strojne in programske opreme za dosego rešitve problema. Podali smo tudi izkušnje z delovanjem omrežja, saj omenjena rešitev deluje že nekaj časa. Zaključek naloge smo podali v 5. poglavju. 1

13 2 BREZŽIČNA LAN OMREŽJA Koncept brezžičnih omrežij ne pomeni novosti, saj se je prvi brezžični prenos podatkov zgodil leta V 20. stoletju je analogno komunikacijo zamenjala digitalna in začel se je razcvet prenosa informacij preko radijskega signala. Leta 1980 je bil sprejet mednarodni dogovor, ki je omogočil uporabo radijskega spektra v komercialne namene. Med leti 1980 in 1990, se je tehnologija razvijala zelo počasi za razliko od danes, ko WLAN tehnologija doživlja izjemno rast. Glavni razlog zanjo je povečana pasovna širina, ki jo omogoča standard IEEE Motorola je razvila enega prvih komercialnih WLAN sistemov (Altair), vendar pa so imeli prvi sistemi številne težave. WLAN sistemi so bili takrat dragi, počasni in so imeli ogromno težav z radijskimi motnjami. IEEE (angl. Institute of Electrical and Electronics Engineers) je leta 1990 začel projekt z namenom razviti specifikacije za dostop do medija (angl. Medium Access Control) in fizične plasti (angl. Physical Layer) za fiksne in prenosne postaje. Nato je bil leta 1997 definiran prvi mednarodni standard, IEEE Leta 1999 sta stopila v veljavo komunikacijska standarda IEEE a in IEEE b, ki sta bila namenjena brezžičnim omrežjem. Njun namen je bil ustvariti tehnologijo, ki bo temeljila na standardih in bo zajemala mnogovrstne fizične tipe kodiranja, frekvence in aplikacije. Standard IEEE a uporablja ortogonalno frekvenčno multipleksiranje (angl. Orthogonal Frequency Division Multiplex - OFDM) v frekvenčnem območju 5GHz, tako da lahko prenaša podatke s hitrostjo 54 Mbps [6]. 2.1 Tipi brezžičnih LAN omrežij Brezžična omrežja uporabljajo različne tehnologije, ki omogočajo različnim napravam, da se med seboj povežejo in prenašajo informacije. Te tehnologije, kategorizirane glede na razdaljo so (Slika 2.1) [6,7,12]: Osebna brezžična omrežja (angl. Wireless pesonal-area networks - WPAN): Imajo kratek doseg (7-10 metrov) in uporabljajo standard IEEE , ki definira povezovanje dveh ali več naprav z majhno porabo. Primer uporabe protokola WPAN je tehnologija Bluetooth. 2

14 Lokalna brezžična omrežja (angl. Wireless local-area networks - WLAN): Porabijo več energije in omogočajo povezovanje napravam, ki so v radiju do 100 m. Mestna brezžična omrežja (angl. Wireless metropolitan-area network - WMAN): Z brezžičnim signalom pokrivajo večja geografska območja, ki so v večini primerov mesta, predmestja ali vasi. Prostrana brezžična omrežja (angl. Wireless wide-area network - WWAN): Omogočajo povezljivost na širokem geografskem področju. Tehnologijo WWAN uporabljajo mobilni operaterji. Frekvenčna območja so praviloma podvržena regulaciji s strani države. Slika 2.1: Lastnosti brezžičnih omrežij (vir: Google patents, 2010) 2.2 Topologija Dve brezžični napravi, ki sta med seboj v dosegu, potrebujeta zgolj nekaj parametrov, da lahko komunicirata in vzpostavita sejo WLAN. Za uspešno povezavo mora prva postaja določiti radijske parametre in ime povezave, druga pa jo mora zaznati in prilagoditi svoje povezovalne parametre prvi. Tako vrsto omrežja imenujemo ad-hoc. Takoj, ko se dve postaji povežeta med seboj preko brezžičnega omrežja, je ustvarjen t. i.»osnovni nabor storitev«(angl. Basic Service Set - BSS). V primeru omrežja Ad-hoc (Slika 2.2) se med seboj povezujejo zgolj postaje, ki tvorijo»neodvisni osnovni nabor storitev«(angl. Independent Basic Service Set - IBSS). Ta omrežja z drugo besedo imenujemo tudi brezžična omrežja vsak z vsakim [6]. 3

15 Slika 2.2: Ad-hoc omrežje (vir: Cisco Press, 2006) Ad-hoc omrežja so funkcionalno zelo omejena, saj nimajo prisotne nobene centralne naprave, ki bi določala pravila (radijski parametri, prioriteta, doseg, itd.). Za organizirano komunikacijo večina omrežij uporablja centralno napravo, ki definira osnovne parametre. Imenujemo jo dostopna točka (angl. Access Point - AP). AP prav tako organizira BSS in v primeru, da želi brezžična naprava komunicirati z drugo napravo ali z žičnim omrežjem, mora slednja zgolj poslati signal dostopni točki, ki ga ta posreduje naprej do naslovnika. Dostopna točka je hibridna naprava, ki je po konceptu podobna Ethernet hub-u, saj si vse naprave, povezane nanjo, delijo isto frekvenco, in samo ena postaja lahko naenkrat pošilja informacije. Prav tako, podobno kot postaje v ad-hoc omrežju, dostopna točka ponuja BSS. Območje, pokrito z radijskim signalom dostopne točke, imenujemo celica oz. BSA (angl. Basic Service Area). Način povezovanja postaj preko centralne naprave imenujemo tudi infrastrukturni način (Slika 2.3) [6]. Slika 2.3: BSS infrastrukturni način (vir: Cisco Press, 2006) Žični del omrežja, ki je dosegljiv preko dostopne točke, se imenuje distribucijski sistem (angl. Distribution System - DS). Takrat, ko distribucijski sistem povezuje dve dostopni točki ali celici, tej množici pravimo razširjen nabor storitev (angl. Extended Service Set - ESS). ESS (Slika 2.4) je dosegljiv samo iz osnovnega nabora storitev dostopne točke. 4

16 Slika 2.4: ESS infrastrukturni način (vir: Cisco Press, 2006) Dogodek, ko se postaja premakne in zapusti območje dostopne točke, na katero je bila povezana ter preide v območje druge dostopne točke, imenujemo gostovanje. Sosednje celice v večini primerov delujejo na različnih kanalih tako, da se izognejo morebitnim motnjam [6]. 2.3 Frekvence in prenos podatkov IEEE je razvil standard z namenom zagotoviti podobno tehnologijo za brezžična omrežja, kot jo ima žični Ethernet, ki je splošno dostopna že mnogo let. IEEE a je bil najpogosteje uporabljan standard v ZDA in na Japonskem iz družine IEEE Z uporabo tehnologije OFDM deluje v frekvenčnem območju 5 GHz, in sicer za razliko od popularnih IEEE b ter IEEE g, ki se najpogosteje uporabljata v Evropi in delujeta v nelicenčnem 2,4 GHz - 2,5 GHz ISM (angl. Industrial, Scientific and Medical) frekvenčnem pasu ter uporabljata tehnologiji porazdeljenega spektra DSSS (angl. Direct Sequence Spread Spectrum) in FHSS (angl. Frequency Hopping Spread Spectrum). ISM je postal zanimiv za brezžične naprave zaradi tega, ker je v splošni rabi po vsem svetu. Sicer pa gre za standarde, ki so si med seboj podobni. Razlikujejo se le po hitrosti prenosa podatkov in nosilnih frekvencah kanalov [7] FHSS Pri tehniki frekvenčnega skakanja FHSS (Slika 2.5) je frekvenčno območje razdeljeno na minimalno število kanalov (v Evropi 20, 75 v ZDA), kjer oddajnik v primeru interference izbere nov kanal in pošlje obvestilo o skoku sprejemniku [7]. 5

17 2.3.2 DSSS DSSS (Slika 2.5) namesto minimalnega števila kanalov in skakanja po teh kanalih uporablja za pošiljanje informacij kanal večje pasovne širine 22 MHz (npr. če je glavna frekvenca 2,415 GHz, kanal zaseda območje od 2,404 do 2,426GHz), ki se ne premika. Preko tega kanala se vzporedno pošilja bite informacij, ki se v primeru motnje izgubijo zgolj na območju motenega dela kanala [7] OFDM Ortogonalno frekvenčno multipleksiranje (Slika 2.5) za razliko od DSSS, ki deluje na kanalu večje pasovne širine, razdeli 20MHz kanal na 52 podkanalov. 48 se jih uporablja za prenašanje podatkov, 4 pa so namenjeni za kontrolo komunikacije [7]. Slika 2.5: IEEE Tehnologije porazdeljenega spektra (vir: Cisco Press, 2006) 2.4 Standardi Trenutno najbolj razširjeni in uporabljani standardi WLAN so: IEEE a, IEEE b, IEEE g, IEEE n in IEEE ac. 6

18 2.4.1 IEEE oz Osnovni brezžični standard IEEE je bil predstavljen leta 1997 in potrjen Uporabljal je modulaciji DSSS in FHSS. Deloval je v frekvenčnem spektru 2,4 GHz pri pasovni širini 22 MHz, vendar je zaradi počasnega prenosa (max. 2Mbps) bil nezanimiv za širšo uporabo [6,7] IEEE a IEEE a izhaja iz prvotnega standarda IEEE in je bil potrjen leta Uporablja isti osnovni protokol kot IEEE in deluje v frekvenčnem pasu 5 GHz pri pasovni širini 20 MHz. Maksimalna hitrost prenosa podatkov znaša 54 Mbps in jo lahko po potrebi tudi znižamo na 48, 36, 24, 18, 12, 9 ali 6 Mbps. Standard IEEE a ni kompatibilen s standardom IEEE b, saj deluje na drugem frekvenčnem področju. Visoka nosilna frekvenca predstavlja slabost, saj signal zaradi absorbcije v primeru trših ovir na poti dodatno izgublja svojo moč [6,7] IEEE b IEEE b deluje v frekvenčnem območju 2,4 GHz in tako kot IEEE a izhaja iz prvotnega standarda IEEE Sprejet je bil leta 1999 in podpira maksimalni prenos podatkov z 11Mbps. Zaradi uporabe druge modulacije in frekvenčnega pasu, ni združljiv s standardom IEEE a. Največjo težavo mu predstavlja zasedenost frekvenčnega pasu 2.4 GHz, saj v tem območju delujejo tudi mikrovalovne pečice, naprave Bluetooth, brezžični telefoni in ostale brezžične naprave, ki so v splošni rabi. Prednost standarda IEEE b pred IEEE a je v tem, da ima zaradi nižje nosilne frekvence boljši doseg [6,7] IEEE g Standard IEEE g je bil sprejet leta 2003 in je poskušal združiti najboljše lastnosti njegovih predhodnikov. Deluje namreč z nosilno frekvenco 2,4 GHz in maksimalnim prenosom podatkov 54 Mbps. Oprema, ki podpira standard IEEE g je popolnoma združljiva z opremo s podporo za standard IEEE b [6,7]. 7

19 2.4.5 IEEE n Sprejet standard IEEE n iz leta 2009 temelji na prejšnjih standardih IEEE z dodajanjem večkratnih vhodov in izhodov (angl. Multiple Input Multiple Output), MIMO. Tehnologija MIMO namreč za hitrejši prenos podatkov v primerjavi s predhodno predstavljenimi standardi, ki uporabljajo samo eno anteno, uporablja več anten. Prednost uporabe več anten je v tem, da so v enakem času zmožne posredovati več informacij, kot bi jih lahko samo ena. Zagotavlja povratno združljivost s standardom IEEE g in podpira hitrosti prenosa podatkov do 600 Mbps [6,7] IEEE ac Standard IEEE ac se je razvijal med leti 2011 in 2013, dokončno pa je bil potrjen v januarju Standard IEEE ac je nov IEEE brezžični standard, ki zagotavlja visoko prepustnost podatkov lokalnih omrežjih z nosilno frekvenco 5 GHz in podpira hitrosti prek 1000 Mbps. Pomanjkljivost standarda IEEE ac za njegovo širšo uporabo je v tem, da je kot najmlajši standard podprt le z majhnim številom naprav, ki so obenem višjega cenovnega razreda [6,7] IEEE ad Standard IEEE ad je nadgradnja obstoječega standarda IEEE n. Omenjen standard poznamo tudi pod komercialnim imenom WiGig. Za razliko od predhodnih standardov deluje na frekvenčnem območju 60 GHz in podpira hitrost prenosa podatkov do 7 Gbps. Namenjen pa je prenosu velikih količin podatkov (npr. video vsebine) na krajše razdalje (npr. konferenčna soba) [7]. 3 VARNOST V BREZŽIČNIH OMREŽJIH Pri brezžični komunikaciji je ključnega pomena varnost komunikacije. Prenosni medij nam sam po sebi ne zagotavlja fizične zaščite, saj je v dometu naprave prosto dostopen naključnim osebam. Zato je potrebno uporabljati varnostna koncepta avtentikacije in šifriranja, ki sta prikazana v nadaljevanju. 8

20 3.1 Avtentikacija in šifriranje Avtentikacija je proces ugotavljanja, ali je nekdo res ta, za kogar se izdaja. V brezžičnih omrežjih se tako avtentikacija uporablja za preverjanje identitete osebe ali naprave, ki želi pridobiti dostop do omrežja. Avtentikacija je lahko uporabljena za identifikacijo naprave ali uporabnika te naprave ali obojega hkrati. Za sam proces se lahko uporabi geslo ali pametna kartica oz. certifikat ali prstni odtis [6]. Avtentikacijo spremlja postopek šifriranja, v katerem informacijo spremenimo po vnaprej določeni proceduri in kot rezultat tega dobimo neberljivo vsebino, ki jo lahko preberemo zgolj, če posedujemo ključ. Pri odločanju o šifrirni metodi je potrebno izbrati šifrirni algoritem in njegov ključ. Šifriranje lahko opravimo s pomočjo simetričnih in asimetričnih metod. Pri simetričnih metodah je uporabljen enak postopek za šifriranje in dešifriranje sporočila, pri asimetričnih metodah pa je proces šifriranja drugačen od procesa dešifriranja (Slika 3.1). Simetrične metode so hitrejše od asimetričnih, vendar pa je simetrične metode za razliko od asimetričnih lažje zlomiti. Zaradi teh lastnosti so postopki šifriranja z asimetričnimi ključi večinoma uporabljeni za avtentikacijo, medtem ko so simetrični primerni za šifriranje podatkov v realnem času [6]. Slika 3.1: Šifriranje sporočila (vir: IBM Knowledge Center, 2013) 9

21 3.2 Šibka avtentikacija Osnovni standard IEEE opisuje dva načina avtentikacije, ki predstavljata šibko avtentikacijo, in sicer: odprtega in WEP (angl. Wired Equivalent Privacy). WEP se je lahko uporabljal tako za avtentikacijo kot za šifriranje, medtem ko se je odprta avtentikacija uporabljala v naslednjih kombinacijah: odprta avtentikacija brez šifriranja, odprta avtentikacija s šifriranjem WEP in avtentikacija WEP s šifriranjem WEP. Z ali brez WEP-a, je prvi korak avtentikacije ta, da odjemalec pošlje poizkusno zahtevo, dostopna točka pa nato odgovori s poizkusnim odzivom. Potem ko klient skozi odziv dostopne točke pridobi vse karakteristike omrežja WLAN, v naslednjem koraku pošlje zahtevo po avtentikaciji. Pri odprtem sistemu je avtentikacijska faza namenjena zgolj preverjanju, če klient poseduje napravo, ki podpira standard IEEE Po uspešno izmenjani zahtevi za avtentikacijo vrne dostopna točka pritrdilen odgovor za pridružitev, nakar se naprava uspešno poveže z dostopno točko. Za avtentikacijo WEP je značilno, da dostopna točka klientu pošlje naključni niz iz nešifriranega sporočila, ki ga ta sprejme in šifrira na podlagi ključa WEP, ter posreduje nazaj. Dostopna točka v naslednjem koraku prejeto sporočilo dešifrira z uporabo istega ključa WEP, in v primeru, da je dešifrirano besedilo identično naključno generiranemu poslanemu nizu, se lahko klient poveže z dostopno točko [6]. 3.3 MAC avtentikacija Tudi avtentikacijo MAC (angl. Media Access Control) lahko uporabimo za povečanje varnosti v brezžičnem omrežju. Dostopna točka ima v tem primeru vneseno tabelo MAC naslovov, ki se lahko povežejo v omrežje. V kolikor naslovov v tabeli ni, povezave ni mogoče vzpostaviti. Zaradi deljenega medija pri brezžičnem omrežju predstavlja MAC avtentikacija zgolj osnovni nivo varnosti. 10

22 3.4 WPA in WPA2 Zaradi odkritih ranljivosti v avtentikaciji WEP, se je IEEE leta 2003 odločil le tega nadomestiti z novim, varnejšim načinom, imenovanim WPA (angl. Wi-Fi Protected Access), ki lahko deluje v dveh spodaj opisanih načinih: Korporacijski način - uporablja mehanizem IEEE 802.1X/EAP, ki preko avtentikacijskega strežnika RADIUS (angl. Remote Dial-In User Service) skrbi za avtentikacijo uporabnikov; Osebni način uporablja PSK (angl. Pre-Shared Key) in je namenjen manjšim omrežjem. Leta 2004 je Wi-Fi Alliance objavil posodobitev za WPA, ki so jo poimenovali WPA2. Pri WPA2 sta še zmeraj prisotna IEEE 802.1X in PSK. Glavne spremembe so bile narejene v šifrirnem mehanizmu, ki ne uporablja več algoritma RC4, temveč močnejši AES (angl. Advanced Encryption Standard) z dodatnim varnostnim mehanizmom CCMP (angl. Counter Mode with CBC-MAC Authentication) [6]. 3.5 IEEE 802.1X/EAP avtentikacija Pri avtentikaciji WEP je potrebno izpostaviti slabost te vrste avtentikacije, ki je v tem, da ima samo en ključ za vse uporabnike omrežja, kjer omrežje, v primeru, da je ključ odkrit, uporabnikom ne omogoča več varne uporabe takega omrežja. Pri tem je za izboljšanje varnosti omrežja ključnega pomena ločitev avtentikacije od šifriranja. Alternativa, ki jo je IEEE ponudil, pa je uporaba dveh varnostnih protokolov, in sicer v nadaljevanju predstavljenih 802.1X in EAP (angl. Extensible Authentication Protocol). 11

23 3.5.1 IEEE 802.1X IEEE 802.1X vsebuje mehanizem odpiranja fizičnih vrat ob izpolnjenih vnaprej določenih pogojih in obenem definira tudi naslednje gradnike: Prosilec (angl. Supplicant) naprava, ki želi dostopati v LAN oz. WLAN omrežje; Overitelj (angl. Authenticator) v večini primerov je to mrežna naprava (stikalo ali dostopna točka); Avtentikacijski strežnik (angl. Authentication server) naprava, ki se nahaja nekje v omrežju in ima seznam pogojev za dostop do omrežja. Ko se prosilec poveže z overiteljem, slednji zapre prosilčeva vrata, razen tistih, namenjenih avtentikaciji in nato vpraša prosilca po njegovih identifikacijskih podatkih (ID). Overitelj, ki prejme ID prosilca, posreduje ID informacijo avtentikacijskemu strežniku (strežnik RADIUS), ki preveri, če so identifikacijski podatki pravi. Zatem strežnik RADIUS pošlje stikalu povratno informacijo s potrditvenim ali zavrnitvenim sporočilom. Če je sporočilo pritrdilno, bodo vrata ostala odprta in bo preko njih dovoljen uporabnikov promet. V kolikor pa se pojavi zavrnitveno sporočilo, je prosilcu povezava z omrežjem onemogočena. Kadar je govora o brezžičnem omrežju, nastopa kot overitelj dostopna točka. Prosilec najprej uporabi IEEE odprto avtentikacijo, potem pošlje zahtevo po dostopu in čaka na odziv. Medtem ko prosilec čaka na odziv, dostopna točka še zmeraj ne spusti skozi nobenega drugega uporabnikovega prometa. Temu sledi proces IEEE 802.1X, ki kot že omenjeno vsebuje mehanizem odpiranja fizičnih vrat, in sicer ob izpolnjenih vnaprej določenih in zgoraj opisanih pogojih. Šele, ko se ta proces uspešno zaključi, dostopna točka omogoči uporabnikov promet (Slika 3.2) [6,9]. Slika 3.2: IEEE 802.1X EAP (vir: Modrijan, 2006) 12

24 3.5.2 EAP Protokol IEEE 802.1X ne vsebuje nobenih specifičnih metod namenjenih brezžičnim prosilcem za pošiljanje poverilnic avtentikacijskemu strežniku, niti nima določeno, kako se bo sama overitev izvedla. Za rešitev tega je IEEE v primeru brezžičnih omrežij uporabil IETF razširljiv avtentikacijski protokol EAP (angl. Extensible Authentication Protocol), saj je le ta izredno prožen pri prenašanju poljubnih avtentikacijskih informacij. EAP ni fiksiran zgolj na standardne metode overjanja, prilagodil se bo lahko tudi prihodnjim potrebam [8,10]. Avtentikacijsko sporočilo EAP (Slika 3.3) je sestavljeno iz naslednjih polj [6,9]: Sporočilo: Request, Response, Exchange, Success, Failure Identifikator: namenjen je razločevanju odgovorov (responses) posameznih zahtev (requests) Podatki: format podatkovnega polja določa koda sporočila EAP Slika 3.3: Format sporočila EAP (vir: Modrijan, 2006) Metode EAP (Slika 3.4) lahko strnemo v naslednje skupine: Metode, ki uporabljajo»poziv-odziv«(challenge-response): EAP-MD5 (angl. EAP-Message Digest 5): metoda, ki overja na podlagi šifrirnih MD5 pozivov-odzivov; EAP-MSCHAPv2 (angl. EAP-Microsoft Challenge Handshake Authentication Protocol v2): metoda, ki overja na podlagi uporabniških imen in gesel; LEAP (angl. Lightweight Extensible Authentication Protocol): metoda, ki overja na podlagi uporabniških imen in gesel. 13

25 Metode, ki uporabljajo digitalne certifikate: EAP-TLS (angl. EAP-Transport Layer Security): metoda, ki za overjanje uporablja digitalne certifikate x.509v3 in mehanizem TLS. Metode, ki tunelirajo avtentikacijska sporočila EAP: EAP-TTLS (angl. EAP- Tunneled Transport Layer Security): omogoča izvajanje drugih metod EAP znotraj šifriranega tunela EAP-TLS; npr. EAP-TTLS/PAP; PEAP (angl. Protected Lightweight Extensible Authentication Protocol): po njem se prenašajo avtentikacijska sporočila EAP različnih metod EAP znotraj šifriranega tunela; npr. PEAP/EAP-MSCHAPv2. Ostale metode: EAP-GTC (angl. EAP-Generic Token Card): metoda overjanja z žetonskimi karticami; EAP-OTP (angl. EAP-One Time Password): metoda overjanja z enkratnimi gesli. Slika 3.4: Metode EAP overjanja (vir: Modrijan, 2006) EAP-TTLS EAP-TTLS se izvaja v dveh fazah. V prvi fazi prosilec najprej overi avtentikacijski strežnik. Zatem TLS vzpostavi šifriran kanal med odjemalcem in avtentikacijskim strežnikom RADIUS. Ko se tunel vzpostavi, se najprej preveri ali je strežnikov certifikat veljaven in pravilen, tako namreč strežnik potrdi svojo istovetnost. Nato (faza 2) uporabnik pošlje svoje identifikacijske podatke, ki jih RADIUS potrdi ali zavrže [9]. 14

26 Za fazo 2 poznamo naslednje avtentikacijske mehanizme: PAP (angl. Password Authentication protocol) uporablja dvosmerno rokovanje, ki predstavlja preprosto metodo prepoznavanja za vzpostavitev povezave. Prosilec ponavljajoče pošilja overitelju uporabniško ime in geslo. Le ta preverja njegovo istovetnost dokler se povezava med njima ne prekine. CHAP (angl. Challange Handshake Authentication Protocol) uporablja periodično ponavljajoče trosmerno rokovanje za preverjanje istovetnosti odjemalca. 3.6 RADIUS RADIUS (angl. Remote Dial-In User Service) je del rešitve AAA (angl. Authentication Authorization Accounting), ki jo je leta 1991 naredilo podjetje Livingston Enterprise za namene podjetja Merit Network. Merit Network je neprofitni internetni ponudnik, ki je potreboval nov način upravljanja klicnega dostopa do omrežja. Sicer je RADIUS-ov osrednji protokol namenjen avtentikaciji pri IEEE 802.1X protokolu. Z njegovo pomočjo prosilec lahko izmenja IEEE 802.1X sporočilo z overiteljem. Overitelj pretvori IEEE 802.1X sporočilo v sporočilo tipa RADIUS in ga posreduje do avtentikacijskega strežnika RADIUS. Ta dva protokola sta namenjena izmenjavi sporočil med prosilcem in strežnikom RADIUS, za kar uporabljata posebne avtentikacijske metode (LEAP, EAP-FAST, EAP-TLS, EAP-TTLS, PEAP) opisane v nadaljevanju. Strežnik RADIUS je namenjen rokovanju s prosilčevimi zahtevami po dostopu in predstavlja program, ki preverja nabor pogojev ter omogoči ali onemogoči dostop. Nabor pogojev je lahko preverjanje identitete (uporabniško ime in geslo) ali česa drugega (konfiguracije, časa in datuma ). Strežnik RADIUS lahko posreduje prosilcu tudi profil, ki ga mora ta uporabiti za dostop (npr. odobren dostop, uporabnik mora uporabljati VLAN 20). Privzeta komunikacija strežnika RADIUS poteka preko vrat UDP (ang. User Datagram Protocol) 1812 za avtentikacijo in 1813 za avtorizacijo [4]. 15

27 3.7 Navidezno lokalno omrežje Omrežja VLAN (angl. Virtual Local Area Network) administratorjem omogočajo logično segmentacijo omrežij LAN v različne razpršitvene domene. Zaradi tega, ker gre v tem primeru za logično in ne fizično segmentacijo, lokacija delovnih postaj ne igra več nobene vloge. Uporabniki lahko, kljub temu da so locirani v različnih zgradbah, sodijo v isto omrežje LAN (Slika 3.5). VLAN lahko definira razpršitveno domeno brez prisotnosti mrežnega usmerjevalnika, za kar poskrbi programska oprema, ki določi, v katero razpršitveno domeno sodi kateri uporabnik. Mrežni usmerjevalnik je potreben zgolj za komunikacijo različnih VLAN-ov med seboj [14]. Slika 3.5: Primer omrežja z več VLAN-i (vir: Cisco, 2015) Prednosti omrežij VLAN Ustvarjanje navideznih skupin v večjih podjetjih so posamezni oddelki na različnih lokacijah ločeni med seboj in bi brez VLAN-ov producirali veliko broadcast in multicast prometa, ki je v tem primeru omejen na posamezno navidezno omrežje; preprostejša administracija v primeru selitve uporabnika v istem omrežju VLAN ni potrebno spreminjati nobene konfiguracije na mrežni opremi; nižji stroški omrežja VLAN lahko uporabimo za ustvarjanje novih razpršitvenih domen, s čimer se rešimo stroškov nakupa usmerjevalnikov; varnost zmanjšamo možnost odtujitve občutljivih podatkov, ki so preko mreže dostopni le določenemu krogu uporabnikov [14]. 16

28 3.7.2 Tipi VLAN povezav Napravo lahko v omrežje VLAN povežemo na tri načine: Trunk naprave, ki so povezane v omrežje na ta način, morajo znati prepoznati označen okvir, ki vsebuje posebno vrsto glave; Access preko tega tipa povezave povežemo v omrežje naprave, ki ne znajo delati z VLAN-i; Hybrid tip povezave, ki združuje trunk in access način. V omrežje lahko na ta način povežemo oba tipa naprav, vendar je potrebno, da so vsi okvirji določenega omrežja označeni (angl. tagged) oz. neoznačeni (angl. untagged) [8,10]. 17

29 4 POSTAVITEV BREZŽIČNEGA OMREŽJA LAN V VEČJEM PODJETJU 4.1 Načrt postavitve brezžičnega omrežja V nadaljevanju bomo prikazali poenostavljeno topologijo omrežja (Slika 4.1) in način kako bomo komponente brezžičnega omrežja umestili v že obstoječe omrežje. Povezave med centralnimi in distribucijskimi stikali so 10 gigabitne. Z 1 gigabitno hitrostjo delujejo povezave med strežniki, dostopnimi točkami in brezžičnima krmilnikoma. Rešitev vključuje dva redundantna strežnika FreeRadius in uporabniški imenik ApacheDS. Slika 4.1: Topologija omrežja 18

30 4.2 Predstavitev opreme V sledečem podpoglavju bomo predstavili strojno in programsko opremo, ki jo bomo uporabili pri končni rešitvi postavitve brezžičnega lokalnega omrežja Strojna oprema Stikala Cisco je zasnoval hierarhičen model (Slika 4.2), ki poenostavlja izgradnjo zanesljivega, prilagodljivega in cenovno ugodnega omrežja. Slika 4.2: Cisco hierarhični model (vir: ) 19

31 Jedrna plast oz. hrbtenično omrežje je odgovorna za hiter in zanesljiv prenos podatkov po omrežju, saj se obe drugi plasti sklicujeta nanjo (distribucijska in dostopovna plast). Njen namen je zmanjšati latenčni čas dostave paketov. Pri konfiguriranju naprav v jedrni plasti moramo upoštevati naslednje faktorje: visoka hitrost prenosa podatkov je za to plast zelo pomembna; jedrna omrežja omogočajo visoke hitrosti prenosa podatkov zaradi deljenja bremena, saj lahko promet potuje skozi več omrežnih povezav; kratek dostopni čas - jedrna plast omogoča visoke hitrosti prenosa podatkov in kratek dostopni čas, vendar ne upošteva in ne nadzira nobene komunikacijske politike; visoka zanesljivost več omrežnih povezav nam zagotavlja visoko toleranco omrežja v primeru, če pride do odpovedi delovanja ene izmed povezav. Distribucijska plast je odgovorna za usmerjanje in omogočanje omrežne povezljivosti na podlagi komunikacijske politike, ki obsega: filtriranje paketov obdeluje pakete in ureja njihov prenos, ki temelji na izvorni in ponorni informaciji; QoS (angl. Quality of Service) usmerjevalniki in stikala, ki delujejo v tretjem sloju, lahko podrobneje prebirajo pakete in jih glede na komunikacijsko politiko tudi prednostno dostavijo; aplikacijski prehod nam omogoča tvorjenje protokolnih prehodov za različne omrežne arhitekture; čakalna vrsta (angl. queuing) - zagotavlja paketno manipulacijo omrežnega prometa. Distribucijska plast izvaja nadzor nad omrežnim prometom, vključno s tem, kar pride v in kar gre iz omrežja. V njej lahko omejimo in tvorimo fizične in logične razpršitvene domene. 20

32 Dostopovna plast vsebuje naprave, ki omogočajo delovnim skupinam in uporabnikom uporabo storitev jedrne in distribucijske plasti. Prav tako nam omogoča povečanje ali zmanjšanje kolizijske domene z uporabo repetitorja ali stikala. Dostopovni sloj nam nudi naslednje možnosti: omogoča filtriranje MAC naslovov stikalo lahko nastavimo tako, da dovolimo dostop v LAN le določenim odjemalcem; ustvarjanje ločenih kolizijskih domen za vsako povezano vozlišče, s čimer izboljšamo zmogljivost omrežja. Končna rešitev bo vsebovala naslednja Ciscova stikala: dostopovna stikala: Cisco 2960 jedrna stikala: Cisco 3850 (Slika 4.3) distribucijska stikala: Cisco 4500X (Slika 4.3). Slika 4.3: Cisco Catalyst 3850 in 4500X (vir: Cisco, 2015) Dostopne točke Pomembnejši področji pri implementaciji brezžičnega omrežja IEEE sta možnosti nadzora delovanja in vzdrževanja omrežja. V kolikor gre za večje omrežje, je pomembno tudi njegovo upravljanje, ki nam predstavlja nastavljanje SSID (angl. Service Set Indetifier) naslovov in sorodnih parametrov, npr. varnosti. Pod upravljanje sodi tudi roaming, prenos poverilnic iz ene dostopne točke na drugo, nastavljanje kanalov delovanja in moč oddajanja dostopnih točk, ki zagotavljajo optimalno pokritost. Večja omrežja za upravljanje potrebujejo 21

33 centralno napravo, preko katere se pošilja nastavitve dostopnim točkam in ravno s tem namenom Cisco ponuja dva tipa dostopnih točk: Samostojne (avtonomne) brezžične točke potrebno jih je nastaviti ročno in so namenjene manjšim omrežjem; Preproste brezžične točke nastavljajo se preko centralne naprave (WLC krmilnika), s katero komunicirajo prek LWAPP protokola (angl. Lightweight Access Point Protocol) in so primerne za večja omrežja. V našem primeru bomo uporabljali točke iz Ciscove družine Aironet V poslovnih prostorih bomo uporabili točke Aironet 3500i (Slika 4.4) z vgrajenimi radijskimi antenami. Za optimalno pokrivanje proizvodnih prostorov bomo uporabili Cisco Aironet 3500e (Slika 4.4), ki imajo zunanje antene in se odlično obnesejo v zaprtih prostorih, kjer je veliko motenj. Oba modela dostopnih točk delujeta samo v preprostem načinu, podpirata IEEE a/b/g/n standarde in se napajata preko UTP kabla, čemur z drugo besedo rečemo tudi PoE (angl. Power over Ethernet). Slika 4.4: Cisco Aironet modeli za notranjo uporabo (vir: Cisco, 2015) 22

34 Cisco Wireless LAN Controller Brezžični LAN krmilnik je namenska naprava za centralizirano upravljanje dostopnih točk LWAPP. Cisco ima več modelov brezžičnih LAN krmilnikov, ki se med seboj razlikujejo po tem, koliko dostopnih točk lahko upravljajo. WLC naprava lahko upravlja od 5 do 500 dostopnih točk. Cisco ima v svoji ponudbi naslednje modele (Slika 4.5): model velikosti 1 RU (angl. rack unit) podpira upravljanje 12, 25, 50, 100, 250 in 500 dostopnih točk; v mrežo ga lahko povežemo z 8x1 Gbps vmesniki; model 4400 lahko upravlja 12, 25 ali 50 dostopnih točk in se v mrežo poveže z 2 Gbps vmesnikoma; model 2504 krmilnik za upravljanje malih-srednjih brezžičnih omrežij s 5, 15, 25 in 50 dostopnimi točkami. V omrežje ga lahko povežemo s 4x1 Gbps vmesniki; model 2100 starejši model, ki je podpiral upravljanje 6, 12 in 25 dostopnih točk in se je lahko v omrežje povezal z 8x 100Mbps vmesniki; model Flex 7500 v omrežje ga lahko povežemo z 2x 10Gbps optičnima vmesnikoma in je posebej namenjen za upravljanje FlexConnect dostopnih točk nameščenih v oddaljene lokacije, ki so z matičnim podjetjem povezane preko internetne povezave in za svoje delovanje ne potrebujejo nujno brezžičnega krmilnika; hkrati lahko upravlja od 500 do 2000 FlexConnect dostopnih točk. Slika 4.5: Cisco WLC modeli (vir: Cisco, 2015) V končni rešitvi bomo uporabili Cisco va brezžična krmilnika 4402 in 5508, ki bosta podpirala 50 in 25 dostopnih točk [3]. 23

35 IBM zbx Strežniška platforma, ki jo bomo uporabili je del IBM-ovega zenterprise mainframe sistema (Slika 4.6). Sestavljena je iz TOR (angl. top of Rack) stikal, redundantnih napajanj in IBMove BladeCenter šasije, ki nam omogoča uporabo POWER 7 in X86 rezin. Upravljamo jo preko zmanagerja. zbx podpira do 112 rezin, ki so redundantno in varno povezane s centralnim mainframe sistemom. zbx kot privzeto uporablja virtualizacijsko platformo KVM (angl. kernel - based virtual machine). Le ta podpira popolno virtualizacijo Linux in Windows strežniških operacijskih sistemov Programska oprema Slika 4.6: IBM SystemZ in zbx (vir: IBM, 2015) SLES SLES (angl. SUSE Linux Enterprise Server) je na Linuxu temelječ operacijski sistem. Namenjen je strežnikom, mainframom in delovnim postajam. Glavne verzije sistema izhajajo na 3 do 4 leta, medtem ko servisni paketi izhajajo vsakih 18 mesecev. SLES je zaradi namena uporabe podvržen zahtevnim testiranjem, in sicer s ciljem, da se zagotovi stabilen in zanesljiv sistem. Omenjena distribucija je bila prvič predstavljena leta 2000 in je delovala na IBM S/390 mainframe platformi. SLES 9, ki je izšel 2004, je strojno podprt s strani naslednjih proizvajalcev opreme: IBM, HP, Sun Microsystems, Dell, SGI, Lenovo in Fujitsu Siemens Computers. Trenutno aktualno različico 11 SP4 bomo uporabili kot osnovo strežnikov RADIUS in LDAP (angl. Lightweight Directory Access Protocol). 24

36 FreeRADIUS FreeRADIUS je odprtokodni projekt, katerega razvoj se je začel leta 1999 in vsebuje implementacijo protokola RADIUS z določenimi izboljšavami. Njegove glavne značilnosti so: odprta koda izvorna koda je zastonj in jo lahko spreminjamo, prilagajamo in popravljamo; modularnost FreeRADIUS vsebuje mnogo modulov. Med drugim vključuje module za povezavo z LDAP in uporabniškimi bazami SQL; zanesljivost in široka uporaba uporabljajo ga mnogi ponudniki internetnih storitev in velika podjetja [4]. ApacheDS ApacheDS (angl. Apache Directory Server) je moderen strežnik LDAP, ki je v celoti napisan v programskem jeziku Java in je na voljo pod licenco Apache Software. ApacheDS predstavlja produkt namenjen organiziranemu shranjevanju informacij na centralni lokaciji ter omogočanju dostopa do njih z za to posebej avtoriziranimi aplikacijami. Aplikacije odjemalcev se lahko na strežnik ApacheDS povežejo preko protokola LDAP. V uporabniškem imeniku lahko nato dostopajo do podatkov, jih spreminjajo ali na kakšen drug način manipulirajo z njimi. Strežniki LDAP se večinoma uporabljajo za omrežno avtentikacijo uporabnikov. 4.3 Rešitev Nastavitev stikal Za prikaz delovanja omrežja smo uporabili stikala iz vseh slojev hierarhičnega modela proizvajalca Cisco. Na distribucijskih stikalih smo najprej tvorili navidezna omrežja za upravljanje mrežnih naprav, registrirane uporabnike, goste in dostopne točke. Stikala v jedrni plasti smo preko dveh oz. štirih vrat povezali z brezžičnima krmilnikoma. Dostopne točke smo na koncu priključili na dostopovna stikala. 25

37 Konfiguracija distribucijskega stikala Konfiguracijo mrežne opreme smo večinoma izvajali preko ukazne vrstice oz. CLI (angl. Command Line Interface). Na začetku smo na distribucijskem stikalu ustvarili navidezno omrežje 220 (Slika 4.7), v katerega smo vključili sodelujoče mrežne komponente (stikala in WLC). Z navideznim omrežjem smo na podoben način ločili dostopne točke (Slika 4.8). Tudi registrirane uporabnike in goste smo dali v ločeni navidezni omrežji (Slika 4.9, Slika 4.10). Slika 4.7: Konfiguracija VLAN-a za upravljanje omrežja Slika 4.8: Konfiguracija VLAN-a namenjenega dostopnim točkam Slika 4.9: Konfiguracija VLAN-a namenjenega uporabnikom Slika 4.10: Konfiguracija VLAN-a namenjenega gostom 26

38 Slika 4.11: Konfiguraciji trunk vrat jedrnih stikal Parna vmesnika namenjena jedrnima stikaloma smo povezali v»channel-group«(slika 4.11). To pomeni, da smo dve fizični povezavi združili v eno logično. Prednost tega je, da se poveča razpoložljiva pasovna širina, ter da se promet v primeru izpada ene izmed povezav, preusmeri na delujočo povezavo. 27

39 Konfiguracija jedrnih stikal Nato smo na prvem paru jedrnih stikal ustvarili dve snopljeni povezavi na vratih gi1/0/3 in gi2/0/3, ki sta povezovali stikalo z brezžičnim krmilnikom Cisco WLC 4402 (Slika 4.12). Sledil je še podoben postopek konfiguracije vrat na drugem paru jedrnih stikal, katera smo preko štirih snopljenih povezav povezali z krmilnikom Cisco 5508 (Slika 4.13). Slika 4.12: Konfiguracija vrat na jedrnih stikalih za Cisco WLC 4402 Slika 4.13: Konfiguracija vrat na jedrnih stikalih za Cisco WLC

40 Konfiguracija dostopovnih stikal Na dostopovnih stikalih smo priredili vrata VLAN-u, ki je bil namenjen upravljanju brezžičnih dostopnih točk (Slika 4.14). Slika 4.14: Primer konfiguracije vrat namenjenih dostopni točki Nastavitev strežnikov Konfiguracija strežnika ApacheDS Konfiguracijo strežnika LDAP smo izvedli preko grafičnega vmesnika imenovanega Apache Directory Studio, ki nam omogoča pregled nad celotno konfiguracijo strežnika. Kot testni primer za prikaz delovanja sistema smo uporabili fiktivno podjetje s preprosto hierarhično razporejeno drevesno strukturo zaposlenih. Naš cilj je postaviti strežnik LDAP z osnovno hierarhijo, ki ga bomo v prihodnosti lahko aplicirali na podjetje oz. organizacijo poljubne velikosti. Najprej je bilo potrebno določiti vrhnji element drevesne strukture, za kar bomo uporabili ime podjetja (Mikrotech). Pod njim pa se bodo nahajali zaposleni uporabniki. Našo drevesno strukturo smo definirali na naslednji način. 29

41 Ime podjetja: Mikrotech Uporabniki: Uporabnik 1 Uporabnik 2 Uporabnik 3 Administratorji: root Potem smo se lotili implementacije drevesa LDAP s pomočjo Apache Directory. Za začetek smo ustvarili particijo (Slika 4.15), ki bo predstavljala naše podjetje. Uporabili smo naslednje podatke: ID: mikrotech Cache Size: 100 Suffix: o=mikrotech. Slika 4.15:Tvorjenje particije LDAP 30

42 Kasneje smo ustvarili še t. i. vrhnjo organizacijo z imenom našega podjetja, ki jo v LDAP-u predstavlja objekt organizacija s psevdonimom o (Slika 4.15). Sledilo je tvorjenje organizacijskih enot, v našem primeru je bila organizacijska enota poimenovana skupina uporabniki. Organizacijske enote so v LDAP-u predstavljene s psevdonimom ou (Slika 4.16). Slika 4.16: Organizacijske enote Zatem smo v ustvarjeno organizacijsko enoto dodali še posamezne uporabnike, ki bodo predstavljali zaposlene v podjetju. Slika 4.17: Definicija uporabnika Posameznega uporabnika (Slika 4.17) smo opremili z atributi (uid, userpassword in description) namenjenimi avtentikaciji in avtorizaciji v brezžično omrežje. 31

43 Za potrebe dostopanja do podatkov iz uporabniškega imenika je bilo potrebno ustvariti še»bind userja«root. Tvorili smo ga v ločeni organizacijski skupini system. Končna implementacija je prikazana na sliki Slika 4.18: Izgled drevesa LDAP za podjetje Konfiguracija strežnika FreeRadius Na strežnik smo najprej naložili programski paket FreeRadius, ker pa smo ga uporabili v kombinaciji s strežnikom, na katerem teče uporabniški imenik LDAP, ki hrani podatke uporabnikov, je bilo potrebno nanj dodatno namestiti modul, in sicer z namenom, da bo znal FreeRadius uporabljati LDAP. Najprej smo konfigurirali FreeRadius za dostop do podatkov v imeniku LDAP. V datoteki /etc/raddb/modules/ldap smo spremenili naslednje podatke (Slika 4.19): Slika 4.19: Podatki za dostop do uporabniškega imenika v konfiguraciji FreeRadius 32

44 S temi podatki smo omogočili strežniku FreeRadius dostop na predhodno ustvarjen uporabniški imenik z»bind userjem«root. Prav tako smo vključili tudi uporabniški filter, ki nam omogoča, da se na omrežje lahko prijavijo zgolj uporabniki z odobrenim dostopom. Na želeno vrsto avtentikacije smo prilagodili tudi vsebino datoteke /etc/raddb/eap.conf (Slika 4.20): Slika 4.20: Nastavite avtentikacije na strežniku FreeRadius Za potrebe dostopa brezžičnih krmilnikov je bilo potrebno prilagoditi še nastavitve v datoteki /etc/raddb/clients (Slika 4.21). Slika 4.21: Povezovanje klientov s strežnikom FreeRadius 33

45 4.3.3 Nastavitev brezžičnih komponent Konfiguracija Cisco WLC Kot smo že omenili pri konfiguraciji jedrnih stikal, sta brezžična krmilnika Cisco v svojih ločenih VLAN ih. Prav tako so v ločenih VLAN ih in podomrežjih dostopne točke ter uporabniki. Krmilnika skupaj nadzorujeta 49 dostopih točk, ki so nastavljene v načinu visoke razpoložljivosti. V načinu visoke razpoložljivosti delujeta tudi oba krmilnika, tako da v primeru izpada enega, prevzame delo drugi in s tem ne pride do prekinjenega delovanja omrežja. Konfiguracijo krmilnika smo izvedli na naslednji način. Po določitvi administratorskega gesla in SNMP dostopa je bilo potrebno nastaviti IP-naslov servisnega vmesnika (Slika 4.22), ki nam omogoča dostop do krmilnika preko fizičnega servisnega vmesnika na napravi. Slika 4.22: Nastavitev servisnega vmesnika na Cisco WLC Sledilo je nastavljanje vmesnika za upravljanje (Slika 4.23), ki nam omogoča komunikacijo krmilnika z zunanjimi napravami (npr. s strežnikom FreeRadius). 34

46 Slika 4.23: Nastavitev vmesnika za upravljanje na Cisco WLC Za tem smo nastavili še vmesnik AP-manager (Slika 4.24), ki služi komunikaciji naprave WLC z dostopnimi točkami, in sicer po tem, ko so bile le te uspešno pridružene krmilniku. 35

47 Slika 4.24: Nastavitev AP-manager vmesnika na Cisco WLC Sledilo je tvorjenje uporabniških vmesnikov (Slika 4.25), ki so bili namenjeni VLAN om za brezžična omrežja. 36

48 Slika 4.25: Primer tvorjenja enega izmed uporabniških vmesnikov Zatem je bila na vrsti vzpostavitev komunikacije s strežniki FreeRadius (Slika 4.26), ki nam je služila za avtentikacijo uporabnikov. 37 Slika 4.26: Nastavitev povezave s strežnikom FreeRadius

49 Nato smo nastavili način delovanja izbire primernega strežnika RADIUS (Slika 4.27), ki nam služi za zagotavljanje visoke razpoložljivosti, saj krmilnik vseskozi preverja status vnesenih strežnikov RADIUS. Slika 4.27: Nastavitev načina delovanja strežnikov FreeRadius Ustvarili smo še WLAN e z različnimi SSID-ji (Slika 4.28) z namenom ločitve posamezne kategorije uporabnikov med seboj. Slika 4.28: Primer tvorjenja WLANa Uporabniki 1 V naslednjem koraku smo nastavili način avtentikacije (WPA2) in šifriranja podatkov (AES) (Slika 4.29). 38

50 Slika 4.29: Nastavitev načina avtentikacije in šifriranja Kot zadnji korak pri tvorjenju WLAN a, je sledila izbira predhodno vnesenih avtentikacijskih strežnikov (Slika 4.30), ki delujeta v načinu visoke razpoložljivosti. Slika 4.30: Izbira vnesenih avtentikacijskih strežnikov 39

51 Za to, da smo zagotovili dostop uporabnikom, je bilo potrebno nastaviti še območje delovanja na internem strežniku DHCP (angl. Dynamic Host Configuration Protocol) (Slika 4.31). Le ta je poskrbel za to, da so uporabniki iz vsakega WLANA dobili pravilen IP-naslov iz pravilnega podomrežja. Slika 4.31: Nastavitve območja delovanja strežnika DHCP za WLAN Podobno konfiguracijo vseh zgoraj omenjenih točk smo izvedli še na drugem krmilniku, saj je to edini način, s katerim lahko v primeru odpovedi enega izmed krmilnikov zagotovimo hkratno delovanje obeh naprav in vseh identičnih brezžičnih omrežij. Na koncu smo nastavili še mobilno skupino za izmenjavo informacij med krmilnikoma o brezžičnih klientih (Slika 4.32). Slika 4.32: Vnos WLC naprav v mobilno skupino 40

52 Prav tako je bilo potrebno enega izmed krmilnikov določiti za primarno napravo oz. napravo, na katero se bodo privzeto povezovale nove dostopne točke (Slika 4.33). Slika 4.33: Nastavitev glavnega krmilnika Konfiguracija Cisco dostopnih točk Posamezni dostopni točki je bilo potrebno za lažjo orientacijo nastaviti ime in lokacijo. Sledilo je še nastavljanje IP naslova, maske in privzetega prehoda. Slika 4.34: Nastavitev osnovnih podatkov posamezne dostopne točke 41

53 4.3.4 Nastavitve odjemalca Za uporabo brezžičnega omrežja je bilo potrebno obvezno predhodno nastaviti pravilne parametre na brezžičnem odjemalcu. V primeru, da je uporabnik uporabljal operacijski sistem Windows XP, Windows Vista ali Windows 7, si je moral za povezavo v omrežje naložiti programsko opremo (SecureW2), ki mu je omogočila dodaten nabor avtentikacijskih protokolov (EAP-TTLS). Windows 8, 8.1 in 10 pa imajo omenjen nabor protokolov že privzeto vključen. Uporabnik mora tako v primeru novejših operacijskih sistemov zgolj ročno vnesti podatke za prijavo v omrežje (Slika 4.35, Slika 4.36): Slika 4.35: Dodajanje brezžičnega omrežja 42

54 Slika 4.36: Izbira varnostnih mehanizmov V naslednjem koraku moramo izbrati način preverjanja prisotnosti v omrežju»microsoft: EAP-TTLS«. Sledi vnos anonimne identitete (Slika 4.37) za vzpostavitev šifrirnega kanala in način pošiljanja podatkov po njem (PAP). Na koncu je potrebno vnesti še uporabniške podatke (Slika 4.38) za prijavo: uporabniško ime (uid) in geslo. 43

55 Slika 4.37: Nastavitev podrobnosti šifriranja TTLS Slika 4.38: Vnos uporabniških podatkov za prijavo 44

56 4.3.5 Izkušnje z delovanjem omrežja Brezžično omrežje, ki smo ga predstavili v nalogi, deluje v praksi zanesljivo že več kot dve leti. Odlično se je izkazala skalabilnost rešitve, saj se lahko v primeru nenadnega povečanja uporabnikov (npr. nakup in pripojitev novega podjetja) preprosto doda komponento oz. komponente, ki so v tistem trenutku najbolj obremenjene. Prav tako se je sistem z visoko razpoložljivostjo izkazal za zelo fleksibilnega tudi v primeru posodobitev operacijskih sistemov strežnikov ali strojne kode na strojni opremi, ko uporabniki niso zaznali nobenih motenj pri delovanju omrežja. Ob uvajanju brezžičnega omrežja v podjetje so uporabniki glede uporabe takega omrežja dobili natančna navodila, s čimer so bili predhodno o tej rešitvi dobro obveščeni, zato z uvajanjem opisanega omrežja v podjetju ni bilo težav. Ker se je v zelo kratkem času od začetka delovanja omrežja pojavilo povečano povpraševanje avtoriziranih gostov in skupin, tj. zunanjih uporabnikov, tudi po dostopu do interneta, je bilo v podjetju organiziranih in za to izobraženih več oseb, ki sedaj tak omejen dostop do omrežja tovrstnim uporabnikom dodeljujejo. Ob pozitivni izkušnji s skalabilnostjo rešitve je potrebno kot pozitivno lastnost izpostaviti še, da tako brezžično omrežje podpira vse tiste mobilne naprave, na katerih deluje operacijski sistem Apple IOS in Android, podprti so tudi operacijski sistemi Linux ter Microsoft Windows z verzijami XP in Vista, 7, 8, 8.1 ter 10. Do omrežja lahko prav tako dostopajo specifične industrijske naprave, kot so mostni žerjavi in čitalci črtnih kod. Zaradi nezmožnosti načina izbire avtentikacijskega in šifrirnega protokola pa omrežje ne podpira mobilnih naprav in telefonov z operacijskim sistemom Windows Mobile. Kot je omenjeno v začetku tega poglavja, sta v primeru povečanja uporabnikov skalabilnost rešitve in fleksibilnost sistema z visoko razpoložljivostjo predstavljena kot pozitivna izkušnja delovanja brezžičnega omrežja. Pri tem pa je potrebno izpostaviti še en vidik, in sicer ceno, ki eksponentno narašča, kar za podjetja ob povečanem številu uporabnikov, če želijo zagotoviti večkratno visoko razpoložljivost vseh komponent in s tem zanesljivost delovanja omrežja, predstavlja visok strošek. 45

57 5 SKLEP V diplomski nalogi smo podrobneje predstavili rešitev postavitve brezžičnega omrežja v večjem podjetju. Brezžično omrežje v končni rešitvi obsega sklop stikal nameščenih na dveh različnih lokacijah oz. v podatkovnih centrih. Prav tako smo v rešitev vključili IBM ovo zbx platformo, na kateri delujeta avtentikacijski FreeRadius in imeniški ApacheDS strežnik v načinu visoke razpoložljivosti. Ključni del predstavljajo brezžični krmilniki in dostopne točke proizvajalca Cisco, ki pokrivajo celotno področje podjetja. Konfiguracija predstavljene rešitve se je izkazala za zahtevno nalogo, saj postavitev omenjene celovite rešitve zahteva natančno poznavanje konfiguracije ter delovanja stikal, dostopnih točk in brezžičnih krmilnikov. Dodatno je bilo potrebno poglobiti sistemsko znanje pri postavitvi avtentikacijskih strežnikov in uporabniških imenikov, ki morajo delovati v načinu visoke razpoložljivosti. Na začetku diplomske naloge smo se osredotočili na osnove WLAN omrežij, kjer smo podrobneje predstavili tipe brezžičnih omrežij, frekvence in prenos podatkov ter trenutno aktualne IEEE standarde. Nato smo se dotaknili varnosti v brezžičnih omrežij. Predstavili smo šibko avtentikacijo, MAC, ter WPA in WPA2 avtentikacijske protokole. Podrobneje smo razdelali avtentikacijske mehanizme IEEE 802.1X, EAP in EAP-TTLS, ki smo jih uporabili v rešitvi. Predstavili smo tudi avtentikacijski protokol RADIUS. Prav tako smo razložili prednosti in tipe navideznih lokalnih omrežij. Ključni del naše diplomske naloge predstavlja postavitev brezžičnega omrežja v praksi. Najprej smo analizirali problem, nato je sledilo načrtovanje in končno izvedba rešitve. Podali smo opis in zanimivosti ključnih žičnih, brezžičnih in strežniških komponent. Do končne rešitve smo prišli z uporabo preizkušenih standardnih strojnih in programskih produktov. Zasnovana celovita rešitev tako izpolnjuje vse ključne točke, ki smo si jih zastavili v uvodu (skalabilnost, fleksibilnost, varnost in zanesljivost) in je primerna za uporabo v večjih podjetjih. 46

58 LITERATURA IN VIRI [1] Butcher M. Mastering OpenLDAP: Configuring, Securing and Integrating Directory Services. Birmingham: Packet Publishing Ltd., [2] Carter G. LDAP System Administration. ZDA: O'Reilly, [3] Cisco Wireless LAN Controller Configuration Guide. ZDA: Cisco Systems, Inc., [4] Dirk van der Walt. FreeRADIUS Beginner's Guide. Birmingham: Packet Publishing Ltd., [5] Gress M., Contreras Albesa J. Deploying and Troubleshooting Cisco Wireless LAN Controllers: A Practical Guide to Working with the Cisco Unified Wireless Solution. ZDA: Cisco Press, [6] Henry J. CCNA Wireless IUWNE Quick Reference. ZDA: Cisco Press, [7] IEEE : [ ]. [8] Lammle T. CCNA Intro: Introducing to Cisco Networking Technologies. ZDA: Cisco Systems, Inc., [9] Modrijan G. Zagotavljanje varnosti v lokalnih omrežjih. Ljubljana: Fakulteta za elektrotehniko, [10] Prasad A., Prasad N WLANs and IP Networking. ZDA: Artech House, [11] Roshan P., Leary J Wireless LAN Fundamentals. ZDA: Cisco Press, [12] Soyinka W. Wireless Network Administration: A Beginner's Guide. ZDA: McGraw- Hill Companies, [13] The Cisco Three-Layered Hierarchical Model: [ ]. [14] Varadarajan S. Virtual Local Area Networks. [ ]. [15] Velte T., Velte A. Cisco A Beginners's Guide. ZDA: McGraw-Hill Education,

59 Priloge Naslov študenta Jernej Šosterič Videm pri Ptuju 25b 2284 Videm pri Ptuju Telefon: E-naslov: 48

60 49

61 50

62 51