Бетке Сергей: iT блог

Согласитесь, типовая задача: обеспечить доступ гостям Вашей компании в глобальную сеть (но не в Вашу сеть!), скажем – из комнаты переговоров. Решим данную банальную задачу с помощью банального же решения – D-Link DIR-320 + MS ISA Server.

Должен отметить популярность данного устройства, возможно – из-за своей бюджетности и неплохой функциональности при такой цене. Даже одноимённый домен и сайт функционируют http://dir320.ru/ (хотя информации полезной там маловато, разве что фото позаимствовал).

Из положительных моментов отмечу: имеется прошивка для данного устройства, поддерживающая Yota.

Проектируем решение

Вопрос: защищаем беспроводную сеть или нет? С точки зрения удобства гостей правильным ответом был бы ответ нет. Да, мы можем программно ограничить мощность точки доступа, чем существенно сократить радиус её действия. И этим элементом защиты мы, безусловно, воспользуемся. Но и в этом случае создавать незащищённых сетей не следует. PIN для нашей сети мы разместим в том же помещении, периодически (и об этом не стоит забывать и этим пренебрегать) будем его менять.

В принципе, ничто нам не мешает написать сценарий на powershell, который будет запускаться по расписанию, генерировать новый pin код, его прописывать в роутер через http, перезагружать роутер, сохранять pin в некий html файл, который будет транслироваться через проектор в той же комнате переговоров. И достаточно безопасно (нужен доступ к помещению), и для гостей особых проблем не создали. Но можно использовать и WPS (результат тот же, подробнее – ниже).

Естественно, целесообразно выделить для наших “условно ненадёжных” гостей отдельную подсеть (чтобы в дальнейшем по журналам проще их было ловить). И предоставим им DHCP (уж точно не стоит предлагать им настраивать tcp-ip руками). Тогда нам следует эксплуатировать наше устройство не в режиме точки доступа, а в режиме маршрутизатора.

Следует учесть тот факт, что наши гости не смогут пройти авторизацию на файрволе (в нашем случае – на ISA Server). Посему нам поможет выделенная подсеть, будем предоставлять необходимый доступ гостям на базе ip-адреса.

И последний вопрос – куда должна “смотреть” наша точка доступа? Другими словами, с точки зрения сетевой архитектуры, будет ли она отнесена к внутреннему адресному пространству, DMZ, или … Идеальным мне кажется разместить саму точку доступа в DMZ, тем самым сохранив контроль за активностью “гостей”, огранив от них внутреннее адресное пространство, и предоставив необходимый доступ к Вашим публичным ресурсам, опубликованным в DMZ.

Идея понятна, приступаем к реализации.

Реализация

Подключаем устройство

Рассмотрим внимательно само устройство. Нас не будет сейчас волновать его USB разъём (через который возможно его в инет пустить с помощью USB 3G модема, или для реализации принтсервера использовать) – в нашей задаче он не потребуется.

Обращаю внимание на разъёмы RJ-45 на задней панели маршрутизатора – их 5 и они неравнозначны! Обращаю на этот факт внимание, потому как кр…ые руки некоторых инженеров могут создать проблемы сегменту Вашей сети (а то и всей сети) из “неожиданного” появления второго DHCP сервера в сегменте. Проблема, как Вы уже догадались, нестабильна, из-за чего – сложно диагностируема.

Так вот: в выбранной нами конфигурации (режим маршрутизатора, а не точки доступа) в нашу сеть (конечно же в DMZ, если Вы её имеете) должен “смотреть” порт internet. Ни в коем случае не подключайте к Вашей сети порты LAN (1, 2, 3, 4), когда устройство работает в режиме маршрутизатора – получите второй и лишний DHCP в своей сети.  Если DHCP сервер устройства активен, он отвечает только по интерфейсам LAN и wireless.

Настраиваем маршрутизатор: интерфейс internet

Как обычно – http сервер на 80ом порту нам поможет. Но для начала после подключения и первого включения зафиксируем ip адрес нашему устройству (для его internet интерфейса, подключенного к нашей сети). Как? – через резервирование на DHCP сервере. Для чего в консоли netsh для DHCP выполним следующее:

add reservedip 172.31.2.50 0024BE67DF55 "routerwifiXY-Z.lan.services.novgaro.ru" "conference room wifi router DIR-320" "DHCP" 

P.S. для сохранения и переноса конфигурации DHCP сервера использую netsh файлы. Подробнее о netsh для этих целей поговорим в отдельной статье.

Естественно, ip адрес Вы указываете тот, который Вы выделите маршрутизатору в Вашей сети, и MAC адрес указываете маршрутизатора (его можно подглядеть в том числе и в консоли DHCP по времени получения аренды – оно должно совпадать со временем включения нашего устройства).

После внесения изменений в конфигурацию DHCP сервера перезагружаем наш маршрутизатор (просто выключаем и включаем его снова). Он должен получить зарезервированный нами адрес. Получил.

Следующим шагом рекомендую создать A и PTR записи в Вашей DNS зоне, в моём случае — routerwifiXY-Z.lan.services.novgaro.ru, где X, Y и Z – идентификаторы площадки, здания и узла связи в здании.

И на следующем шаге переходим к конфигурированию нашего маршрутизатора через сервис с новым URL: http://routerwifiXY-Z.lan.services.novgaro.ru.

При настройке через консоль “Установка Интернет” выбираем настройку вручную, и оставляем получение ip адреса с DHCP сервера. Не ставим галку “работать в режиме точки доступа” (AdHoc). Будем использовать его как полноценный маршрутизатор с собственным DHCP. Потом поясню зачем. NAT, кстати, вовсе не является обязательным, если Вы пропишите маршруты.

Настраиваем маршрутизатор: прошивка

Настало время загрузить свежую прошивку ftp://ftp.dlink.com/pub. И русский language pack также прошиваем.

Настраиваем маршрутизатор: доступ администратора

Сменим учётную запись администратора (см. рисунок справа). Здесь же следует разрешить удалённое управление (с точки зрения маршрутизатора удалённое управление – управление через интерфейс internet или wireless, а не через LAN), и указать адрес сервера, с которого Вы планируете в дальнейшем администрировать Ваши маршрутизаторы.

Можно и порт (для http доступа) сменить, только есть ли смысл? Я оставил его на месте – 80.

Настроили – перезагружаем маршрутизатор и регистрируемся.

Настраиваем маршрутизатор: ограничим радиус

Снизим вероятность взлома простейшим способом – ограничим радиус действия беспроводного интерфейса снизив мощность (смотри рисунок слева). Я для себя методом проб и ошибок выбрал 25%, за территорией – уже не поймать.

Не пренебрегайте данной примитивной на первый взгляд мерой. Она достаточно эффективна.

Настраиваем маршрутизатор: время и дата

Ранее описывал публикацию собственного NTP сервера для собственных сетевых устройств. В том числе и для D-Link. Если рекомендации указанной статьи у Вас выполнены, Вам достаточно установить опцию “автоматическая синхронизация с сервером времени D-Link” и нажать – Обновить сейчас. Не забудьте сохранить настройки!

Настраиваем маршрутизатор: беспроводный интерфейс

Приступаем к настройке беспроводного интерфейса и LAN интерфейса. Мастером и в этот раз мы пользоваться не будем.

Включаем сетевой интерфейс (смотри рисунок справа).

Генерируем новый PIN код и включаем WPS. Для чего же нам может потребоваться WPS? На клиентской стороне Wi-Fi Protected Setup поддерживается Windows 7 / VISTA SP2 и старше. Обсуждаемое нами устройство снабжено специальной кнопкой для этих целей, и именно эта волшебная кнопка исключает необходимость устно передавать PIN код для WPS.

Технология следующая:

• Открываем меню “Сеть” через значок на панели задач. 
  В списке “доступные подключения” выбираем нашу wifi-сеть, и нажимаем кнопку “подключить”.
• И сразу нажимаем и удерживаем до 30 секунд боковую кнопку на маршрутизаторе.

Маршрутизатор при этом отдаёт подключаемому устройству PIN код через беспроводный интерфейс.

Вернёмся к настройкам. Настроим DHCP сервер маршрутизатора (смотри рисунок справа). Настроили – ставим опцию “Включить DHCP сервер”, сохраняем настройки и перезагружаем маршрутизатор. Для последующего описания будем считать, что выбрали для гостевой подсети адресное пространство 192.169.100.0/24.

Устанавливаем SSID для беспроводного интерфейса: novgaro-ru-wifiXY-Z. Концовка уже описана выше, префикс novgaro-ru — чтобы точно отделить наши точки доступа от точек доступа соседей.

Гостевую зону не включаем – ни к чему в нашем случае. У нас и так она гостевая.

Итак – подключаем беспроводных клиентов! Осталось победить ISA Server.

Настраиваем MS ISA (TMG) Server

На данный момент мы прошли только часть пути. Теперь наши гости смогут подключиться к нашей точке доступа с помощью WPS (через кнопку либо через явный ввод PIN кода). И DHPC маршрутизатора даст им ip адрес, DNS представит. Только кто же их выпустит в глобальную сеть?

Если на передовой мы используем ISA (TMG), и при этом доступ по протоколу http требует явного разрешения, мы должны явно предоставить этот доступ нашим гостям с помощью protocol rule на ISA. Пишем разрешающее правило.

Как видно на рисунке, на странице Applies To мы предоставляем доступ для Client Address Set, в который мы предварительно включили ip адреса нашей гостевой подсети (в нашем примере 192.169.100.0/24).

Обращаю Ваше внимание на две потенциальные ошибки: если Вы используете разрешающие правила по client address set, у Вас не должно быть запрещающих правил по этому протоколу по группам безопасности! ISA не имеет информации для отнесения гостей к той или иной группе безопасности!

Вторая потенциальная ошибка: оставлен активным HTTP redirector filter, а на Web proxy включена обязательная авторизация. В этом случае наш гость успешно выходит через маршрутизатора на ISA (TMG) Server по протоколу HTTP, и тут его заворачивает на Web proxy service фильтр HTTP redirector filter, и – давай требовать авторизацию. И наше разрешающее правило на протокол HTTP здесь просто не поможет. Поэтому – отключаем HTTP redirector filter.

P.S. Следует обратить внимание на одну тонкость: если Вы оставили активной опцию NAT на маршрутизаторе, тогда в указанный client address set Вам следует включить не диапазон адресов гостевой сети, а ip адрес Вашего маршрутизатора (DIR-320) в DMZ (в моём примере – 172.31.2.50).

Перезапускаем службу firewall. И проверяем!

Полезная информация о безопасности в беспроводных сетях

• http://technet.microsoft.com/ru-ru/library/cc875845.aspx