Wykorzystanie rozwiązań i funkcjonalności DrayTek Krzysztof Skowina Specjalista ds. rozwiązań sieciowych
Agenda MultiWAN MultiLAN Obiekty i grupy CSM Zarządzanie użytkownikami Firewall VPN Certyfikaty X.509 Zarządzenie pasmem
MultiWAN
Interfejsy WAN (Vigor serii 2830, 2850, 2920) MultiWAN Interfejsy WAN (Vigor serii 2830, 2850, 2920) 3 interfejsy WAN WAN1: ADSL2+ / VDSL2 / Fast Ethernet WAN2: Gigabit Ethernet WAN3: USB 2.0
MultiWAN Dostęp do Internetu ADSL2+: PPPoE/PPPoA, MPoA VDSL2: PPPoE, Statyczny lub dynamiczny IP WAN/Ethernet: PPPoE, Statyczny lub dynamiczny IP, PPTP/L2TP USB: 3G(PPP), 4G(DHCP) Detekcja połączenia WAN Aliasy IP – dodatkowe adresy IP
WAN Load balance / WAN Backup MultiWAN WAN Load balance / WAN Backup WAN Load balance: - kierowanie ruchu z sieci lokalnej do Internetu poprzez aktywne łącza WAN - maksymalna prędkość transmisji sesji uzależniona od użytego interfejsu WAN WAN Backup – łącze zapasowe na wypadek uszkodzenia jednego lub dwóch łączy WAN Zastosowanie: - WAN1 oraz WAN2: Load balance - WAN3: Backup
Polityka WAN Load balance MultiWAN Polityka WAN Load balance Kierowanie ruchu z sieci lokalnej do Internetu poprzez wskazany interfejs WAN na podstawie: protokołu, źródłowego adresu IP, docelowego adresu IP, docelowego portu Zastosowanie: HTTPS (TCP 443) przez WAN1
MultiLAN
Interfejsy LAN (Vigor serii 2830, 2850, 2920) MultiLAN Interfejsy LAN (Vigor serii 2830, 2850, 2920) 4-portowy switch Podsieci lokalne o różnych adresacjach IP Podsieć LAN1 – na cele NAT Podsieć LAN2, LAN3, LAN4 – na cele NAT lub routing Podsieć routowana
MultiLAN VLAN (Vigor serii 2830, 2850, 2920) 8 VLANów, 4/8 interfejsów, 4 podsieci LAN Tagowanie 802.1Q Routing pomiędzy podsieciami Zastosowanie: - port P1 oraz SSID1: podsieć LAN1 - port P2 oraz SSID2: podsieć LAN2 - port P3 oraz SSID3: podsieć LAN3 - port P4 oraz SSID4: podsieć LAN4
Obiekty i grupy
Obiekty i grupy Obiekty i grupy Obiekty IP – pojedynczy adres , zakres adresów, podsieć Obiekty IPv6 – pojedynczy adres, zakres adresów, podsieć Obiekty usług – protokół, port źródłowy, port docelowy Obiekty wyrazów – maksymalnie 3 frazy w obiekcie Obiekty rozszerzeń plików – obrazy (np. jpeg), video (np. wmv), audio (np. mp3), java (np. java), ActiveX (np. axs), kompresje (np. zip), wykonywalne (np. exe)
CSM
CSM Kontrola aplikacji Kontrola IM: - Zaawansowane zarządzanie obejmujące logowanie, wiadomość, transfer pliku, gra, konferencja (np. MSN) - Aplikacje IM (np. GaduGadu) - VoIP (np. SIP/RTP) - Web IM URL(np. WebMSN) Kontrola P2P: - Protokół (np. eDonkey, BitTorrent) - Aplikacje P2P (np. Ares) Kontrola protokołów (np. HTTP, POP3) Kontrola różnych aplikacji: - Tunelowanie (np. RealTunnel) - Strumieniowanie (np. SilverLight) - Zdalna kontrola (np. VNC, TeamViewer) - Web HD (np. MS SkyDrive)
CSM Filtr zawartości URL Kontrola dostępu URL – przepuszczanie lub blokowanie stron www na podstawie słów kluczowych występujących w adresie URL Kontrola elementów Web – przepuszczanie lub blokowanie ciasteczek, proxy, uploadu, rozszerzeń plików Zastosowanie: Blokowanie stron z frazą ‘seks’
CSM Filtr treści Web Przepuszczanie lub blokowanie stron www na podstawie kategorii stron wspieranych przez Commtouch 64 kategorii stron: - ochrona dzieci (np. Porn & Sexually) - wypoczynek (np. Entertainment) - biznes (np. Job Search) - rozmowy (np. Chat) - komputery-Internet (np. Computers) - pozostałe (np. Arts) Biała/czarna lista - przepuszczanie lub blokowanie stron www na podstawie słów kluczowych
CSM Filtr treści Web Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)
CSM Filtr DNS Analiza zapytań DNS z użyciem profilu filtra treści Web (WCF) Cache zawiera m.in. adres IP z kategorią strony Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)
Zarządzanie użytkownikami
Zarządzanie użytkownikami Tryb użytkownicy – indywidualna polityka firewall poprzez wybór reguły firewall w profilu użytkownika Tryb reguły – wspólna polityka firewall poprzez wybór użytkowników w regułach firewall Limitowanie czasu, danych – po przekroczeniu limitu brak dostępu do Internetu, możliwość przywrócenia domyślnych limitów według harmonogramu Uwierzytelnianie lokalne, LDAP/AD lub RADIUS na podstawie nazwy użytkownika i hasła wprowadzonych przez przeglądarkę, Telnet lub Alert Tool
Firewall
Firewall Filtr Filtr połączeń Filtr danych 85 reguł Firewall (12 zestawów po 7 reguł + domyślna reguła) Reguła filtru: - harmonogram - obiekty IP, obiekty usług - kierunek: LAN/RT/VPN -> WAN WAN -> LAN/RT/VPN LAN/RT/VPN -> LAN/RT/VPN - akcja: zablokuj natychmiast, zablokuj gdy nie pasuje dalej, przepuść natychmiast, przepuść gdy nie pasuje dalej - zastosowanie: kontrola sesji, QoS, polityka rozkładu obciążenia, zarządzenie użytkownikami, kontrola aplikacji, filtr zawartości URL, filtr treści Web
Firewall Ochrona DoS Wykrycie i blokowanie ataku po przekroczeniu progu: - SYN flood - UDP flood - ICMP flood - Skanowanie portów Wykrycie i blokowanie ataku: - Land (SYN + IP Spoofing) - Smurf (broadcast ICMP) - Trace Route (tracert) - Fragmenty SYN (flaga SYN + fragmenty) - Fraggle (broadcast UDP) - Skanowanie flag TCP (niewłaściwe flagi) - Tear Drop (nakładające się fragmenty) - Ping of Death (duży rozmiar ICMP) - Fragmenty ICMP - Nieznany protokół
VPN
VPN Protokoły PPTP: - szyfrowanie: MPPE-40, MPPE-128 - uwierzytelnianie PPP: PAP, CHAP, MS-CHAPv1/2 IPSec: - szyfrowanie: DES, 3DES, AES-128, AES-192, AES-256 - funkcja haszująca: MD5, SHA-1 - grupa Diffiego-Helmana: G1, G2, G5, G14 - uwierzytelnianie IKE: klucz PSK, certyfikat X.509 - tryb IKE: główny, agresywny L2TP: - szyfrowanie: opcjonalnie IPSec SSL VPN: - szyfrowanie: DES, RC4-128, 3DES, AES-128 Open VPN: - szyfrowanie: AES-128, AES-256 - funkcja haszująca: SHA-1, SHA-256
VPN LAN-LAN (Site-Site) Protokoły: PPTP, IPSec, L2TP z opcją IPSec Kierunek: dial-out(poł. wych.), dial-in(poł. przych), oba Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP) Routing/NAT Trasy statyczne, RIP Zmiana bramy domyślnej
VPN TRUNK – Load balance VPN Load balance: - Równoczesne kierowanie ruchu z sieci lokalnej do sieci zdalnej poprzez aktywne tunele - Zwiększenie prędkości transmisji Klient VPN musi wspierać VPN load balance Serwer VPN musi wspierać VPN load balance Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN
VPN VPN TRUNK – Backup VPN Backup – zapasowy tunel na wypadek uszkodzenia głównego tunelu Klient VPN musi wspierać VPN Backup Serwer VPN nie musi wspierać VPN Backup Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN
Host-LAN (Użytkownik zdalny) VPN Host-LAN (Użytkownik zdalny) Protokoły: PPTP, IPSec, L2TP z opcją IPSec, SSL, Open VPN mOTP Uwierzytelnianie: lokalna baza danych, RADIUS, LDAP/AD Przypisywanie stałego adresu IP Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP)
mOTP (mobile One Time Password) VPN mOTP (mobile One Time Password) Hasła jednorazowe dla VPN: PPTP, L2TP, SSL VPN, Open VPN Bezpłatna aplikacja na różne systemy Tajny klucz oraz PIN do generowania haseł jednorazowych w routerze Vigor oraz urządzeniu mobilnym Generowanie hasła po wpisaniu kodu PIN
VPN Smart VPN Client
VPN SSL VPN – tunel ActiveX Aplet Java
VPN SSL VPN – Web proxy SSL Bezpieczne przekierowanie portu, RDP
VPN SSL VPN – aplikacje VNC RDP SambaC, RDP
Certyfikaty X.509
Certyfikaty X.509 Certyfikaty IPSec LAN-LAN(Site-Site), IPSec Host-LAN(Użytkownik zdalny) Żądanie certyfikatu lokalnego X.509: - alternatywna nazwa podmiotu: adres IP, nazwa domeny, adres email - nazwa podmiotu: Kraj(C), Stan(ST), Lokalizacja(L), Organizacja(O), Jednostka organizacyjna(OU), Wspólna nazwa(CN), Email(E) - typ klucza: RSA - rozmiar klucza: 1024bit, 2048bit Certyfikat zaufanego CA Tożsamość X.509
Vigor3900 jako centrum certyfikacji Certyfikaty X.509 Vigor3900 jako centrum certyfikacji Root CA Podpisywanie żądań certyfikatów
Zarządzanie pasmem
Zarządzanie pasmem Limitowanie sesji Domyślny limit – limit dotyczący wszystkich oprócz adresów zdefiniowanych na liście ograniczeń Lista ograniczeń – limit dotyczący konkretnych adresów IP Harmonogram Zastosowanie: Limit sesji 500 dla 192.168.1.10~12
Zarządzanie pasmem Limitowanie pasma Domyślny limit – limit dotyczący adresów nie znajdujących się na liście ograniczeń Automatyczne dostosowywanie – przydzielanie wolnego pasma ponad limit w celu lepszego wykorzystania dostępnego pasma Lista ograniczeń: - Tryb każdy – limit dotyczący każdego z adresów IP - Tryb dzielony – limit dotyczący grupy adresów IP Sprytne limitowanie pasma - limit dotyczący adresów nie znajdujących się na liście ograniczeń, których liczba sesji przekracza określoną wartość Harmonogram
Zarządzanie pasmem Limitowanie pasma Zastosowanie: Limit pasma TX=256Kbps RX=1024Kbps dla 192.168.1.10~12 Tryb każdy Tryb dzielony
Zarządzanie pasmem QoS 4 klasy (3 w pełni edytowalne) – każda z klas ma możliwość ustawienia procentowego (%) udziału w każdym łączu WAN Kierunek QoS: wyjściowy, wejściowy, oba Kontrola pasma UDP Priorytet TCP ACK dla ruchu wychodzącego Możliwość tagowania pakietów wychodzących (DiffServ) Najwyższy priorytet dla VoIP SIP/RTP Włączenie QoS poprzez reguły klas lub reguły Firewall
Zarządzanie pasmem QoS Zastosowanie: QoS dla ruchu wychodzącego - klasa 1: vpn - klasa 2: www (http, https) - klasa 3: email (smtp, pop3) - klasa 4: pozostały ruch
Dziękuję za uwagę