BC/NW 2014 №2 (25):8.1

 

ПОВЫШЕНИЕ КАЧЕСТВА ДОСТУПА И БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ НИУ «МЭИ»

Абросимов Л.И., Руденкова М.А., Хорьков С.Н.

(ФГБОУ ВПО  "Национальный исследовательский университет "МЭИ", Москва, Россия)

Основной проблемой при проектировании беспроводных сетей (БС) является необходимость обеспечения требуемого уровня безопасности информации, циркулирующей в сети.[1]

Представленная работа посвящена созданию безопасной БС на примере беспроводной сети университета МЭИ.

 

Постановка задачи.

Исходная БС стандарта 802.11, представленная на рис.1, содержит межсетевой экран Cisco ASA 5510, который производит аутентификацию пользователей, и контролер домена Windows Server 2008R2. На контроллере домена установлен RADIUS-сервер. CISCO ASA обращается к RADIUS-серверу, который в свою очередь запрашивает учетные записи пользователь через Active Directory AD. Пользователи производят подключение к точкам доступа AP. При запросе в браузере ресурсов из внешней сети, CISCO ASA 5510 производит перенаправление на html-страницу аутентификации. Пользователь после аутентификации может использовать внешние ресурсы сети.

Исходная БС МЭИ создавалась для небольшого количества беспроводных пользователей. Однако, начиная с 2013 года количество беспроводных пользователей, использующих ноутбуки (нетбуки), смартфоны, электронные книги, планшеты и т.д., резко возросло. Качество функционирования сети снизилось из-за нехватки сетевых адресов в сегменте беспроводной сети и ограниченного количества сессий авторизации.

Cisco ASA 5510 в исходной БС поддерживает до 16 перенаправлений на страницу авторизации (в максимальной комплектации 128).

Стандарт 802.11 подразумевает автоматическое подключение к сетям, доступным абонентам, поэтому если тип аутентификации Open, то любой абонент с включенным беспроводным адаптером автоматически подключается к точке доступа (ТД).

Рис. 1. Схема сети до реконфигурации

 

В настоящее время на абонентских устройствах существуют разнообразные приложения, которым требуется доступ в интернет, для обновления ПО и для синхронизации данных. Если абоненты с включенными беспроводными адаптерами подключаются к ТД, то приложения на их устройствах пытаясь обновить данные (обратиться к внешним ресурсам сети), занимают 16 перенаправлении на авторизацию, и когда вновь подключенный пользователь попробует обратиться к внешним ресурсам сети, он не получает доступа к странице авторизации.

Тип шифрования беспроводной сети, используемый в данной схеме Open, не обеспечивает защиту пользовательских данных.

Тип шифрования и аутентификации Open обеспечивает возможность подключения любого пользователя к сети, также с помощью специальных программ, например CommView, что позволяет "прослушивания" трафика любого абонента, подключенного к данной сети. В результате злоумышленник может получить любую частную информацию (номер банковского счета, пароли и т.д.) другого абонента подключенного к сети. 

В результате разработки требуется реконфигурировать созданную на основе стандарта 802.11 исходную беспроводную сеть, используя стандарт 802.1x, что обеспечит как получение доступа к среде передачи данных, так и защиту данных абонента и при этом позволит снять ограничения на количество одновременных авторизаций.

 

Обоснование принятых решений

При реконфигурации сети осуществляется:

-       замена Cisco ASA 5510 на FreeRadius 2.2;

-       изменение аутентификации пользователей;

-       создание новых типов пользователей;

-       настройка точек доступа (ТД) на новый тип аутентификации пользователей.

В качестве ПРОКСИ-РАДИУС сервера был выбран FreeRADIUS [2,3] на основе операционной системе FreeBSD 8.4. Stable (рис.2)

FreeRADIUS-сервер принимает запросы от разрешенных точек доступа AP, к которым подключаются клиенты, и пересылает данную информацию к Microsoft Server, на котором установлено два Microsoft Radius Server.

Рис. 2. Схема аутентификации пользователей с помощью FreeRADIUS

 

Аутентификацию пользователей сети следует производить по уникальному идентификатору и уникальному ключу. Идентификатор и ключ сети для каждого пользователя  должны соответствовать учетной записи.

Пользователь User подключается к ТД AP.  При подключении у пользователя запрашивается пара логин-пароль и передается AP. "Достоверная" AP (определенная на сервере FreeRADIUS как его клиент)  пересылает пару логин-пароль RADIUS-серверу. Запросы на проверку пары логин-пароль от недостоверных AP (не добавленных на FreeRADIUS) игнорируется. FreeRADIUS по домену пользователя определяет: является ли он локальным пользователем.

Локальный пользователь – пользователь, прописанный на FreeRADIUS сервере. Если пара логин-пароль локального пользователя совпадает с парой, прописанной на RADIUS-сервере, то через точку доступа отправляется сообщение-accept и пользователь получает доступ к сети Internet. Если пара логин-пароль локального пользователя не совпадает с парой, прописанной на RADIUS-сервере, то пользователю отправляется сообщение-reject, которое уведомляет пользователя об ошибке.

Нелокальный пользователь - пользователь, который не прописан на радиу-сервере. Данные нелокального пользователя передаются на один из радиус-серверов Microsoft и повторяется процедура ответов как с локальным пользователем.

Функции аутентификации возлагаются на протокол EAP [4,5].

EAP использует механизм произвольной проверки подключения удаленного доступа. Точная схема проверки согласовывается клиентом удаленного доступа и устройством проверки подлинности (сервером удаленного доступа или RADIUS-сервером). EAP-MSCHAP V2 — метод аутентификации на основе логина/пароля пользователя в MS-сетях

В сети обслуживаются два типа пользователей: гостевые пользователи; обычные (зарегистрированные) пользователи.

Гостевые пользователи – это пользователи, находящиеся на территории МЭИ временно (студенты, обучающиеся по программе обмена, гости МЭИ, участники конференции и семинаров и т.п.). Данный тип учетной записи должен вноситься временно и удаляться по истечению срока пребывания пользователя.

Обычные пользователи – это зарегистрированные в базе данных сотрудники, преподаватели и студенты МЭИ.

В сети должен производиться учет подключений пользователей, включающий параметры:

-       Логин пользователя;

-       Время подключения пользователя;

-       MAC адрес устройства, с которого подключался пользователь;

-       Имя точки доступа, к которой было осуществлено подключение.

Сеть должна обеспечивать сохранность и безопасность передаваемых данных.

 

Настройка сетевых параметров

         БС изолирована от ЛВС, поэтому для обращения к другим Radius-серверам и сетевым ресурсам на сервер были добавлены три интерфейса :

-       Интерфейс внутренней сети

-       Интерфейс сети управления

-       Интерфейс беспроводной сети

         Интерфейсы были сконфигурированы соответственно сетям к которым они подключены, как показано на рис 3.

         Для обращения к разным ресурсам была настроена маршрутизация между интерфейсами.

Рис. 3. Схема сетевого расположения сервера

 

Адресное пространство БС МЭИ распределяется по трем сегментам: корпус 13, корпус 14, корпус 17. Схема адресного пространства беспроводного сегмента сети представлена на рис. 4.

Рис. 4. Схема адресного пространства беспроводного сегмента сети.

 

На основании схемы, представленной на рис.3, рассчитано количество адресов пользователей, приведенных в табл1:

Таблица 1

Учет адресного пространства беспроводного сегмента

 

13 корпус

14 корпус

17 корпус

Количество точек доступа

6

11

10

Количество адресов

252

252

252

Количество пользовательских адресов

246

241

242

         В пространство сетевых адресов были внесены следующие изменения:

Таблица 2

Изменение адресного пространства

 

Сеть корпуса

Адрес сети

X.X.0.0/22

Пул для точек доступа

X.X.0.2 - X.X.0.254

Пул адресов пользователей

X.X.1.2 - X.X.3.254

Количество адресов пользователей для данного корпуса

759

 

Тестирование БС

         Через веб-интерфейс лог сервера можно выполнять логирование событий и просматривать, что происходит на Radius-сервере.

Рис. 5. Список событий на Radius-сервере

 

На рис. 5 показано, как отображается время подключение пользователя.

Например, из первой строки следует, что пользователь YachevskyIA удачно прошел аутентификацию, подключившись к точке доступа установленной в библиотеке ap-libr-4 с устройства с MAC адреса устройства bc:ee:7b:d1:8c:fc.

Рис. 6. Список событий на Radius-сервере

 

На рис. 6 приведен пример, поясняющий, что пользователи неправильно произвели аутентификацию, так как  неправильно ввели пароль или логин.

 

Выводы

В результате реализации разработки была произведена реконфигурация сегмента беспроводной сети.

Предложенное решение отвечает требованиям безопасности, так как БС полностью изолирована от локальной сети и поддерживает самый последний и стойкий тип шифрования.

Все пользователи БС идентифицируются, что не позволяет совершить неправомерные действия в сети.

Все события на сервере логируется, в том числе события  получения доступа к серверу. Лог-сервер помогает регистрировать все события в сети, таким образом можно предупреждать попытки взлома и принимать решения для их устранения.

Для доступа к внутренним сервисам сети беспроводные клиенты используют VPN подключение.

Предложенное решение подходит для организации беспроводной корпоративной сети в любых организациях.

Литература

1.     Защита беспроводных сетей:  http://www.ixbt.com/comm/prac-wpa-eap.shtml

2.     Документация проекта FreeRadius: http://wiki.freeradius.org/Home

3.     Обзор протокола Radius: http://www.opennet.ru/base/cisco/radius.txt.html

4.      Уязвимость WPA2 - PSK: http://www.sciencedaily.com/releases/2014/03/140320100824.htm?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+sciencedaily%2Fcomputers_math%2Fencryption+%28Computer+Security+News+--+ScienceDaily%29

5.     WPA2-Enterprise, или правильный подход к безопасности Wi-Fi сети: http://habrahabr.ru/post/150179/