Die Spezialisten. Meister auf Ihrem Gebiet. Bus i ness goes WiFi René Datz / Matthias Hirsch / Markus Liechti
WLAN / Entwicklung >5 Milliarden WLAN-fähige Geräte wurden bis 2013 auf dem Weltmarkt verkauft bis 2015 werden es doppelt so viele sein (Quelle: https://www.abiresearch.com/press/total-cumulative-wi-fi-enabled-device-shipments-re) Wireless LAN nach IEEE 802.11 Standard WiMAX hat nichts mit WLAN oder WiFi zu tun ist ein Broadband Funknetz für Internet-Zugang (WMAN) Basiert auf eigenen IEEE 802.16 Standard Network Guest Access Credentials SSID itren-partner User ID zxnsvsaa Password Q2mgE9 Expiration 1:00:00 The above account may be used to access Internet content that is not under the control of the network access provider. The network access provider is therefore not responsible for any of these sites, their content or their privacy policies. The network access provider and its staff do not endorse nor make any representations about these sites, or any information, software or other products or materials found there, or any results that may be obtained from using them. If you decide to access any Internet content, you do this entirely at your own risk and you are responsible for ensuring that any accessed material does not infringe the laws governing, but not exhaustively covering, copyright, trademarks, pornography, or any other material which is slanderous, defamatory or might cause offence in any other way. WiFi = WLAN? Umgangssprachlich "Wireless Fidelity" - was aber keine wirkliche, funktionelle oder techn. Bedeutung hat ein Synonym für WLAN ein Markensymbol http://www.wi-fi.org/who-we-are/our-brands Repräsentiert einen technischen Standard für Zertifizierung von Geräten nach IEEE 802.x Seite 2
WLAN Technologie Die 802 Standards 802: Overview & Architecture 802.1: Bridging & Management 802.2: Logical Link Control 802.3: Ethernet 802.11: Wireless LANs 802.15: Wireless PANs 802.16: Broadband Wireless MANs 802.17: Resilient Packet Rings 802.20: Mobile Broadband Wireless Access 802.21: Media Independent Handover Services 802.22: Wireless Regional Area Networks Frequenzbereiche / Leistungsdaten Standard Frequenzbereich Übertragunsrate IEEE 802.11 2.4Ghz 2 Mbit/s IEEE 802.11a 5Ghz 54 Mbit/s IEEE 802.11b 2.4Ghz 11/44 Mbit/s IEEE 802.11g/+ 2.4Ghz 54/108/125 Mbit/s IEEE 802.11h 5Ghz 54/108 Mbit/s IEEE 802.11n 2.4 + 5Ghz 300/600 Mbit/s IEEE 802.11ac 5Ghz >1,3 Gbit/s IEEE 802.11ad 60Ghz bis 6,7 GBit/s IEEE 802.11ah 900Mhz Standard bis 2016 erwartet IEEE 802.11aj 45/60Ghz Standard bis 2016 erwartet Quelle: http://standards.ieee.org/about/get/802/802.11.html IEEE 802.11ax 2.4/5Ghz Standard bis 2016 erwartet Seite 3
Funknetzwerk Gesundheitliche Risiken? Grenzwerte Internationalen Strahlenschutzkommission für nichtionisierende Strahlung (ICNIRP) hat den empfohlene Basisgrenzwert mit 2Watt / kg für eine Teilkörperbelastung festgelegt (Quelle: http://www.icnirp.de/) Abgestrahlte Leistung im WLAN: Frequenzbereich in Ghz Abgestrahlte Leistung in Watt 2.4 0.1 5.0 0.2 5.4 5.7 1.0 Leistungsdaten anderer EMF Systeme Mobilfunk D-Netz: 0.12W bis 2W Netz Frequenzbereich in Ghz DECT Telefon: 1.8-1.9Ghz, 250mW Hochspannungsleitungen: <300Hz WiMax: 2.5Ghz, bis zu 400mW LTE: 2.6Ghz, ca. 0.1 4W Leistungsdichte in Watt pro Quadratmeter [W/m²] D-Netz 0.9 4.5 E-Netz 1.8 9 UMTS-Netz 2.0 10 LTE-Netz Quellen: http://www.bfs.de/de/elektro/hff/anwendungen http://www.bag.admin.ch/themen/strahlung/00053/00673/index.html?lang=de http://ec.europa.eu/health/scientific_committees/opinions_layman/de/elektromagnetische-felder/#7 http://www.izmf.de/de/content/bundesweite-lte-mobilfunkmessreihe-messbericht-der-imst-gmbh 0.8 4 1.8 9 2.6 10 Seite 4
WLAN Technologie Funktionsprinzipien Adhoc-Modus Alle Access Points sind gleichwertig "Koordination" übernehmen AP's selbst Einfache Implementierung Kein zentrales Management Kein Roaming Keine erhöhte Sicherheit Infrastruktur-Modus Zentrale Steuereinheit Access Points sind begrenzt unabhängig Roaming unterstützt Management kann Standortübergreifend integriert werden Anbindung an externe Systeme unterstützt Hohe Sicherheit Seite 5
Anforderungen in der Praxis Gastzugang für Internet Integration bekannter und unbekannter mobiler Geräte (BYOD = "Bring your own disaster") Einfache Einrichtung Kommunikationsstandard Leistungsfähigkeit Verfügbarkeit (7x24?) Kenntnisse über Nutzer Spezielle Anforderungen Zugang zu internen Ressourcen? Verbindung zwischen Gebäuden Umfassende Abdeckung Schutz vor Zugriff unbefugter Personen Einhaltung von Richtlinien (Compliance) Sicherheit (Inhalt, Virenschutz, Applikationen etc.) Seite 6
Der Lösungsansatz WLAN basierend auf Infrastruktur-Modus Zentrale Steuereinheit WLAN Access Points Unterstützung aktuelle Kommunikationsstandards Integrierte, mehrstufige Sicherheit Funktionalität für aktuelle Anforderungen Zentrale Steuereinheit Roaming & Kanalsteuerung Access Points Mobile Endgeräte (Niederlassung) Web Seite 7
Die Hard- und Software Fortigate Appliance FortiAP Virtuelle Instanzen 10 Fortinet WiFi Controller 32 Fortinet Access Point 64 Seite 8
Single Radio 802.11n 802.11n Dual Radio Dual Band 802.11AC Business goes Fortinet Access Points Für Innen und Aussen passende Geräte Vielseitig einsetzbar FAP-322C 802.11ac FAP-320C 802.11ac Leistungsstarke Geräte mit Unterstützung neuesten Standard IEEE 802.11ac (bis 1.3Gbit/s) Beliebig kombinierbar Erweiterbar mit externen Antennen: FAP-222B FAP-320B FAP-223B FAP-221B FAP-221C 802.11ac FAP-28C FAP-210B FAP-11C / 14C FAP-112B Remote Outdoor Indoor Seite 9
Integrierte, lizenzfreie Sicherheit Authentifikation mit PreShared Key, Radius, Captive-Portal Zuweisung Geräteprofil und Zugriff anhand Berechtigungskonzept Aktive UTM Kontrolle des Datenverkehrs (Virenschutz, Webinhalte, IPS etc.) Applikationskontrolle Proaktive Firewall auf Datenverbindungen und Applikationen Kontrolle und Priorisierung des Datenverkehrs (Bandbreite, Nutzung etc.) Erfassen der Verbindungsdaten für Auswertung etc. Web Seite 10
Planung Abbilden Gebäudesituation Einlesen von Plänen Autom. Berechnung "Site Survey" FortiPlanner Softwarelösung Design Bedarf anhand Abdeckung und Anzahl aktiver Teilnehmer pro Zone ermitteln Access Point Gerätetyp definieren Controller-Einheit(en) festlegen anhand AP Mengengerüst und Leistung Sicherheitsregelwerk, Management, Zonen und Zugangsmethode festlegen Compliance-Vorgaben aufnehmen Seite 11
Die Praxis (Teil 1) Management Fortigate Appliance (virtuell oder physikalisch) für WLAN Integration Access Points Verwaltung Teilnehmer mit mobilen Endgeräten Seite 12
Funktions- und Konfigurationsprinzip Benutzer- und Gruppen anlegen (oder aus ADS beziehen) Service Set Identifier (SSID) definieren (Name, IP-Range, Zugangsmethode) Policy (Firewall & UTM) definieren und auf SSID zuweisen Access Point Profil erstellen (Kanal-Nutzung, Load-Balancing, Radio Ressource-Provisioning, SSID) Access Points ermitteln, Autorisieren und AP Profil zuweisen Benutzer Gruppen SSID Richtlinien AP-Profil FortiAP Seite 13
Die Praxis (Teil 2) Zugang zum WLAN Einblick in das Captiv-Portal Guest-Ticket ausstellen Network Guest Access Credentials Vorteile des Captive-Portal Einfacher WLAN Zugang für den Anwender Benutzerfreundliche Administration Kontrollierter Zugang Definierter Nutzungszeitraum SSID itren-partner User ID zxnsvsaa Password Q2mgE9 Expiration 1:00:00 The above account may be used to access Internet content that is not under the control of the network access provider. The network access provider is therefore not responsible for any of these sites, their content or their privacy policies. The network access provider and its staff do not endorse nor make any representations about these sites, or any information, software or other products or materials found there, or any results that may be obtained from using them. If you decide to access any Internet content, you do this entirely at your own risk and you are responsible for ensuring that any accessed material does not infringe the laws governing, but not exhaustively covering, copyright, trademarks, pornography, or any other material which is slanderous, defamatory or might cause offence in any other way. Seite 14
Die Praxis (Teil 3) WLAN Internet-Zugriff mit einfacher Anmeldung "Offenes" WLAN sofort erreichbar Registration mit Name und email-adresse Kontrollierter Zugang Seite 15
Die Praxis (Teil 4) Sicherer Zugriff mit "One time password" 2-Faktoren Authentifikation Hohe Sicherheit Verbleibende Zeit Passwort (OTP) Start-Button Seite 16
Die Praxis (Teil 5) Unified Threat management (UTM) Firewall VPN IPS AppCtrl WebFilter DLP Vulnerability Mgmt. Traffic Shaping Antivirenschutz Seite 17
Die Praxis (Teil 6) Bereitstellung WLAN Zone des Unternehmens in kleiner Niederlassung oder im Home-Office Basierend auf CapWap (Control And Provisioning of Wireless Access Points) Technologie Einfache Nutzung Sichere Integration (DTLS Datagramm Transport Layer Security) Zentrales Verwaltung IP unabhängiger, transparenter Zugriff auf Ressourcen Seite 18
Optionale Erweiterungen "One time password" über SMS Methode wird dem Benutzer zugewiesen Fortigate Appliance versendet SMS Zustellung des Keys via SMS-Provider Anmeldedialog erhält weiteres Eingabefeld WPA2 Enterprise über ADS Zertifikatsbasierende Authentifikationsmethode Benutzer / Computerkonto in AD wird abgefragt Verwendet AD Zertifizierungsstelle Zugang wird mit oder ohne zusätzliche Sicherheitsabfragen gewährt Unternehmensweite Nutzung (auch in Niederlassungen) Seite 19
FortiAuthenticator Erweiterte Authentifikation und Autorisierung RADIUS, LDAP, 802.1X 2-Faktoren Authentifikation FortiToken Tokenless, via SMS and email Zertifikatsverwaltung X.509 Certificate Signing, Certificate Revocation Remote Device / Unattended Authentication Single-Sign-On Active Directory Polling RADIUS Integration Unternehmensweite Authentifikation Integration weiterer Fortigate-Appliances Zentrales Management für WPA2 Enterprise (z.b. mit Anbindung an ADS) FortiToken Issuing CA FortiAuthenticator Seite 20
FortiAnalyzer Zentrale Aufzeichnung von Log-Daten Echtzeit-Anzeige aller Fortinet Geräte Integriertes Archiv Quarantäne für infizierte Dateien Reporting Über 200 vordefinierte Berichte & Auswertungen Benutzerdefinierbare Diagramme Analyse, Log-Korrelation und Auswertung Schwachstellen-Analyse Logdaten und Netzwerk-Analyse Skalierbare Lösung Harware-Appliance oder virtuelles System Auslegung und Skalierbarkeit anhand Last Unterstützt Anbindung an SQL Datenbanken Seite 21
Von 0 auf 100 mit Business-WLAN Zielsetzungen aufnehmen Einsatzbereiche festlegen Umgebungsfaktoren berücksichtigen Unternehmens-Richtlinien aufnehmen Sicherheitskonzept erstellen (Authentifizierungsmethode(n) etc.) WLAN-Plan anhand Gebäudesituation (Pläne) erstellen Nach Bedarf Site-Survey ausführen Systemdesign definieren und festlegen Infrastruktur-Voraussetzungen prüfen Realisation planen Organisatorische und technische Vorarbeiten durchführen Implementierung Seite 22
Die Vorteile Flexible Lösung einfache Integration Hohe Sicherheit Vielseitig nutzbar / breiter Funktionsumfang Leistungsstarke, skalierbare Lösung für kleine Umgebungen bis hin zu Enterprise Anforderungen Erweiterbar für Analyse, Reporting uvm. Plattform kann viele weitere Security-Aufgaben übernehmen Hardware oder virtuelle Instanz Integrierte Hochverfügbarkeit und Virtualisierung Bestes Preis/Leistungsverhältnis FortiGuard Threat Research & Security Updates Networking L2/L3 features Virtual Systems Traffic Shaping WAN Opt. High Availability IPv6 Security Firewall VPN IPS App Control AV/ATP Web Filtering DLP Explicit Proxy FortiOS FortiASIC(s) Extensions WiFi/Switch Controller Endpoint Management Token Server Keine versteckten Lizenzkosten FortiManager FortiAnalyzer Centralized Device Management Centralized Log & Reporting Seite 23
Wann steigen Sie ein? Fragen? Bus i ness goes Kontakt: www.itris.ch Seite 24