Обеспечение безопасности сети при использовании сотрудниками личных устройств с помощью Omada SDN путём разделения сети
Вступление
С каждым днём растёт число компаний, разрешающих, а то и вовсе поощряющих использование сотрудниками личных цифровых устройств в рабочих целях. Концепция BYOD (Bring Your Own Device — Используй собственное цифровое устройство) несомненно способна оживить мир бизнеса, однако её применение в полной мере без риска нарушения стандартов безопасности очень непросто. Чем больше личных девайсов сотрудники используют в офисе, тем выше угроза безопасности — особенно, если говорить о больших компаниях с множеством отделов. Omada SDN позволяет решить эти проблемы за счёт использования мульти-SSID и гибких правил ACL.
Сценарий применения
Рассмотрим конкретную ситуацию. Два отдела компании находятся в одном здании: отдел R&D и отдел маркетинга. У каждого отдела своя подсеть и сеть VLAN. Отдел R&D использует сеть VLAN 10 и сегмент подсети 172.31.10.0/24, а отдел маркетинга — сеть VLAN 20 и сегмент подсети 172.31.20.0/24. В таком случае сотрудники смогут работать, использовать собственные устройства с Wi-Fi и подключаться к сети своего отдела, но в целях безопасности к сети другого отдела они подключаться не смогут.
Сеть можно построить из продуктов Omada SDN (например, из маршрутизатора ER605, коммутатора TL‑SG3428MP и точек доступа EAP610). Мониторинг всех устройств можно осуществлять с аппаратного контроллера OC300, доступ к которому возможен через веб-интерфейс на компьютере.
Ниже перечислены шаги по разделению сети и обеспечению безопасности через веб-интерфейс OC300 при использовании сотрудниками собственных девайсов.
Шаг 2. Настройка сетей LAN и VLAN.
Шаг 1. Настройка сети WAN
Настроим на роутере подключение WAN (подключение к интернету).
1. Перейдите в раздел Settings > Wired Networks > Internet. Выберите тип подключения и настройте параметры согласно указаниям своего интернет-провайдера. Нажмите Apply для завершения настройки. Если у вас динамический IP-адрес, выберите Dynamic IP.
Если у вас статический IP-адрес, выберите Static IP и введите IP-адрес, маску подсети, шлюз по умолчанию и сервер DNS, все данные уточните у интернет-провайдера.
Шаг 2. Настройка сетей LAN и VLAN
Сначала проверьте настройки сети LAN по умолчанию.
1. Для просмотра параметров сети LAN по умолчанию перейдите в раздел Settings > Wired Networks > LAN.
2. Нажмите на . Параметры сети LAN указаны в таблице ниже. Для LAN (VLAN 1) можно оставить параметры по умолчанию.
Параметр |
Значение |
Name |
LAN |
Purpose |
Interface |
Interface |
All the ports |
VLAN |
1 |
Gateway/Subnet |
192.168.0.1/24 |
DHCP Server |
Enable |
DHCP Range |
192.168.0.1 – 192.168.0.254 |
Разделите локальную сеть ещё на две сети VLAN и два IP-сегмента для разных отделов.
3. Чтобы создать сеть VLAN 10, нажмите + Create New LAN. Используйте значения, указанные в приведённой ниже таблице. Нажмите Save.
Параметр |
Значение |
Name |
R&D |
Purpose |
Interface |
Interface |
All the ports |
VLAN |
10 |
Gateway/Subnet |
172.31.10.1/24 |
DHCP Server |
Enable |
DHCP Range |
172.31.10.1 - 172.31.10.254 |
3. Чтобы создать сеть VLAN 20, нажмите + Create New LAN. Используйте значения, указанные в приведённой ниже таблице. Нажмите Save.
Параметр |
Значение |
Name |
Marketing |
Purpose |
Interface |
Interface |
All the ports |
VLAN |
20 |
Gateway/Subnet |
172.31.20.1/24 |
DHCP Server |
Enable |
DHCP Range |
172.31.20.1 - 172.31.20.254 |
Чтобы сети VLAN заработали, необходимо настроить профили портов и назначить их на соответствующие порты коммутатора. Нужные профили портов указаны в таблице ниже.
4. Перейдите в раздел Profile. Контроллер должен автоматически создать все нужные профили в соответствии с настройками сетей VLAN, включая All, LAN, R&D и Marketing.
Профили портов нужно назначить на порты следующим образом:
5. Перейдите в раздел Switch Settings. В списке будет коммутатор. Нажмите . Если нужно назначить профиль R&D на порты 4 и 6, выберите эти два порта в списке портов и нажмите Edit Selected. Затем установите в качестве профиля R&D и нажмите Apply. Так можно назначать профили на порты коммутатора.
Шаг 3. Настройка Wi-Fi сети
В этом примере необходимо создать несколько SSID для разных отделов с разными сетями VLAN, а именно: R&D Staff в сети VLAN 10 и Marketing Staff в сети VLAN 20. По умолчанию Wi-Fi сеть каждого отдела покрывает весь офис и к ней можно подключиться через любую точку доступа EAP. Нам нужно создать разные SSID и пароли, чтобы каждый отдел подключался к своей сети VLAN.
1. Чтобы создать SSID для R&D Staff в сети VLAN 10, перейдите в раздел Wireless Networks и нажмите + Create New Wireless Network. Настройте параметры в соответствии с таблицей ниже и нажмите Save.
Параметр |
Значение |
Network Name (SSID) |
R&D Staff |
Band |
2.4GHz, 5GHz |
Security |
WPA-Personal |
Security Key |
Customize the password for the wireless network. |
SSID Broadcast |
Enable |
VLAN |
Enable VLAN and set the VLAN ID as 10. |
2. Чтобы создать SSID для Marketing Staff в сети VLAN 20, перейдите в раздел Wireless Networks и нажмите + Create New Wireless Network. Настройте параметры в соответствии с таблицей ниже и нажмите Save.
Параметр |
Значение |
Network Name (SSID) |
Marketing Staff |
Band |
2.4GHz, 5GHz |
Security |
WPA-Personal |
Security Key |
Customize the password for the wireless network. |
SSID Broadcast |
Enable |
VLAN |
Enable VLAN and set the VLAN ID as 20. |
3. По умолчанию параметры Wi-Fi применяются ко всем точкам доступа EAP. Чтобы убедиться в этом, перейдите в раздел Devices и выберите точку доступа EAP. Затем перейдите во вкладку Config и нажмите WLAN. В этом разделе можно проверить, применены ли параметры Wi-Fi к точке доступа EAP.
Шаг 4. Настройка ACL
Для разграничения сетей VLAN (и отделов) друг от друга необходимо создать правило ACL. В противном случае у находящихся в разных сетях VLAN клиентов по-прежнему будет доступ друг к другу через интерфейсы VLAN.
Перейдите в раздел Network Security > Switch ACL и нажмите + Create New Rule. Настройте параметры в соответствии с таблицей ниже и нажмите Apply.
Параметр |
Значение |
Name |
R&D and Marketing |
Status |
Enable |
Policy |
Deny |
Protocols |
All |
Bi-Directional |
Enable |
Source |
Select Network as the type and choose R&D as the source. |
Destination |
Select Network as the type and choose Marketing as the destination. |
Binding Type |
Ports |
Ports |
All Ports |
Настройка сети завершена, при этом выполнены все требования:
1. У каждого отдела есть проводная и беспроводная сеть.
2. Посредством VLAN локальная сеть разделена — у каждого отдела своя сеть, у обоих отделов есть доступ в интернет.
3. Обеспечена безопасность при использовании сотрудниками личных устройств. Wi-Fi сеть каждого отдела покрывает весь офис и к ней можно подключиться через любую точку доступа EAP. Сотрудникам обоих отделов будет предоставлен свой SSID и пароль для подключения к соответствующей сети VLAN.