Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista

Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi
Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Úvod do bezdrátových sítí WiFi
IEEE Vznik standardu přibližně v roce 1997. IEEE b Standard od roku 1999 2,4 GHz, 11 Mbps bitrate (cca 5Mbps propustnost) IEEE a 5 GHz, 54 Mbps bitrate (cca 27Mbps propustnost) IEEE g Standard od roku 2003 2,4 GHz, 54 Mbps bitrate (cca 27Mbps propustnost) Změna modulace zpětně kompatibilní s b IEEE n Draft standardu (předpokládá se rok 2010) 2,4/5 GHz, 600 Mbps bitrate (cca 144Mbps propustnost) Další z rodiny standardu IEEE 802.11e – QoS, i – enhaced security, atd.

Vybrané základní pojmy v oblasti WiFi
Beacon Tímto mechanizmem dochází k inzerování přítomnosti bezdrátové sítě (adresovaná jako broadcast, název SSID, podporované rychlosti, typ zabezpečení apod.) Probe Mechanizmus klienta pro zjištění dostupné sítě (vyslání dotazu a odpovědi všech dosažitelných AP – pokud je to povoleno) Autentizace Způsob autentizace klientů WiFi. „Open“ nebo „shared“ WEP klíč. Vzhledem k bezpečnostním nedostatkům WEP (a tedy i způsobu autentizace již nepoužíván/nedoporučován) Asociace Navázaní „linky“ mezi AP a klientem

Vybrané základní pojmy v oblasti WiFi pokr.
WPA (TKIP) Odstraňuje nedostatky předchozího standardu WEP TKIP zajištuje unikátní klíč pro každý paket Data jsou šifrována pomocí RC4 algoritmu WPA2 (AES) Využívá algoritmu AES v režimu CCMP V současnosti považován za standard (povinný pro WiFi certifikaci) Zatím nebyl nalezen způsob prolomení MFP – management frame protection Způsob zajištění integrity rámce WiFi sítě digitálním podpisem 802.1x Suplicant – SW klient bezdrátové sítě Autenticator (AP, centrální prvek WiFi apod.) Autentication server (AAA server) EAP – Extended Authentication protocol EAP-TLS, EAP-FAST, PEAP apod.

Hrozby a rizika které přináší WiFi
Neautorizavaný průnik do sítě Využití či zneužití zdrojů a prostředků sítě Kompromitace, narušení integrity dat apod. Obtížně kontrolovatelný dosah sítě ve srovnání s tradiční sítí Vnitřní prostory budovy Prostor mimo budovu či jinak vymezený prostor Rušení pásma 2,4 Ghz resp. 5 Ghz Rušení zařízení Rušení non zařízení Rušení radarů, budov a prostor se speciálním radiofrekvenčním režimem

Hrozby a rizika které přináší WiFi pokr.
Co dělat v případě rušení? Všeobecné oprávnění č. VO-R/12/ k využívání rádiových kmitočtů a k provozování zařízení pro širokopásmový přenos dat na principu rozprostřeného spektra nebo OFDM v pásmech 2,4 GHz a 5 GHz Kde mj. stojí ... Případné rušení řeší fyzické a právnické osoby vzájemnou dohodou. Nedohodnou-li se, postupuje se podle § 100 zákona, případně zastaví provoz ten uživatel, který uvedl do provozu stanici způsobující rušení později; ... Zdroj: ČTÚ

Jaké typy útoků nám hrozí? Útok na první vrstvu OSI/ISO modelu WiFi je založená na mechanizmu CDMA/CA, který umožňuje vysílání pouze jedinému zdroji v daný čas Součástí CDMA/CA je tzv. CCA (clear channel assesment), který zajistí, že rádio nejdříve poslouchá a poté vysílá Úmyslné útoky DoS útok – použití širokopásmové rušičky DoS útok – použití „standardní“ karty (Queensland attack) Neúmyslné útoky Prakticky jakékoli zdroje interferencí (mikrovlnné trouby, Bezdrátové kamerové systémy, bezdrátotové telefony, BT zařízení, jiné průmyslově vyráběné zařízení)

Jaké typy útoků nám hrozí? De-autentizace/De-asociace management rámců (DoS) Rekognoskace WiFi sítě – odposlouchávání a scanování Aktivní De-auth útok k navození sondování klientů (probing) a usnadnění odhalení skrytého SSID Útoky využívající zranitelnosti (slovníkové útoky, Man-in-the-middle, zranitelnost WEP) Address spoofing útok (MAC a IP address spoofing) Nepřátelské AP (nejsou námi spravované, mohou vytvářet „honeypot“ tedy zdánlivě stejné SSID)

Pravidla a mechanizmy zabezpečení WiFi sítě
Vytvoření a dodržování WLAN bezpečnostních pravidel Zabezpečení WLAN Modifikace default SSID Ověřování klientů (802.1x, AAA, apod.) Použití standardů WPA nebo WPA2 Pro specifická zařízení lze kombinovat WEP se seznamem MAC adres Ověřování uživatelů a oddělení různých typů uživatelů do VLAN Preference „lehkých“ přístupových bodů (nemají lokálně uloženy bezpečnostní informace)

Pravidla a mechanizmy zabezpečení WiFi sítě pokr.
Fyzické skrytí nebo znepřístupnění k AP Monitorování okolí budov na podezřelé aktivity Zabezpečení „drátové“ sítě proti útokům z WLAN Nasazení bezdrátové IPS k prevenci „nepřátelských“ přístupových bodů a klientů Permanentně odstraňovat neautorizované cizí AP Ochrana proti externím útokům Vybavit mobilní zařízení podobnými bezpečnostními službami, jako podniková síť, tedy firewall, VPN, antivirus, … Vynucení bezpečnostních pravidel ověřováním identity a kvality klientů Poučení uživatelů o ochraně sítě

Pravidla a mechanizmy zabezpečení WiFi sítě pokr.
Příklady nástrojů Kismet, AirCrack, WEPcrack coWPAtty NetStumbler, HotSpotter, AirSnort OmniPeek, Wireshark Nmap, dsniff ...

Architektura založená na platformě Cisco
Základní požadavky bezpečné WiFi sítě jsou Ochrana vlastní WiFi infrastruktury (MFP, IPS) Ocharana spojení mezi WiFi infrastrukturou a klienty Šifrování a autentizace Využití robustního autentizačního systému (802.1x) Použití vhodného mechanizmu pro autentizaci (EAP-TLS, PEAP...) Použití vhodného algoritmu šifrování (WPA reps. WPA2) Ochrana klientů před škodlivým kódem Využití sytému NAC Dynamické odstraňování potenciálních útočníků (client shunning)

Řešení založené na platformě Cisco poskytuje Robustní bezpečnostní standardy a implementace 802.1x/EAP, i/WPA/WPA2 Management frame protection (MFP) IDS/IPS vlastnosti na centrálním kotroleru WiFi CCX program, Cisco Secure Services Client (CSSC) Integrace s Cisco NAC Integrace Firewallu Využití portfolia produktů z rodiny Cisco ASA nebo servisního modulu FWSM Integrace s IPS Integrace IPS a kontroleru Integrace s CSA Ochrana koncové stanice

Klíčové komponenty Wireless LAN Controller – WLC (desktop, rack, servisní modul) Lightweight Access point (indoor, outdoor, typ antény...) Wireless Controll System – WCS (standalone, cluster) Cisco Secure ACS (TACACS+,RADIUS, interní a ext. uživ. DB) Prvky vyšší bezpečnosti Cisco Firewall Cisco NAC Cisco IDS/IPS Cisco Security Agent - CSA

Architektrura „lehkých“ access pointů

Architektrura „lehkých“ access pointů Pro komunikaci se používá protokol LWAP protokol (Light Weight Access Point) AP nemají žádnou konfiguraci Komunikace probíhá po stanovených UDP portech Šiforvaná komunikace mezi WLC a AP Klientská data nejsou šifrována (v LWAP) Oddělení uživatelského provozu od řídícího Možnost segementace uživatelů prostřednictvím LWAP či EoIP tunelů CAPWAP vylepšení Control and Provisioning of Access points (CAPWAP) vychází z LWAP Předpokládá se schválení jako IETF standardu Umožnuje šifrování i uživatelských dat

Příklad základní architektury a využití LWAP a EoIP tunelů

Koncept návrhu bezdrátové sítě
Vytvoření politiky která definuje Přístup k síti a k poskytovaným službám Šifrování dat Zajištění autentizace a šifrování pro klienty Stanovení autentizačních mechanizmů pro jednotlivé typy klientů (data, hlas, video, atd.) Stanovení šifrovacích algoritmů Připravenost čelit a zmírňovat bezpečnostní hrozby Nepřátelské AP, rušičky a zdroje rušení Endpoint security MFP

Koncept návrhu bezdrátové sítě pokr.
V oblasti RF spektra... Provedení Site Survey Využívání RRM – Radio Resource Managementu Využití Spectrum Intelligence pro monitorování a řešení problému v RF spektru Proaktivní monitoring WiFi síť je provozovaná ve velmi dynamickém prostředí Monitorování a vyhodnocování událostí Sledování a vyhodnocování trendů Proškolení personálu a poučení uživatelů

Přípravná fáze Plánovaní poskytovaných služeb WiFi sítě (data, hlas, video, lokalizační služby...) Plánování pokrytí signálem (Site Survey) Segmentace úrovně zabezpečení (interní uživatelé, návštěvy, konference...) Stanovení jednotlivých standardů zabezpečení a jejich verifikace Koncept integrace do LAN

Designová fáze Detailní návrh infrastruktury Topologie Umístění jednotlivých AP Adresní plány Detailní návrh koncepce zabezpečení (802.1x,EAP, AAA ...) Návrh VLAN, DMZ, Roamingu Návrh managementu a správy

Implementační fáze Realizace pilotního projektu a ověření stanovených standardů Realizace a nasazení WiFi infrastruktury po jednotlivých budovách-prostorech Verifikace pokrytí signálu a dostupnosti služeb Provozní fáze Proaktivní monitoring Vyhodnocení trendů Provozní úpravy kanalů a vysílacích výkonů (pokud není automatický režim dostačující.)

Milan Šimčík, IT specialista milan_simcik@cz.ibm.com
Děkuji za pozornost!!! Milan Šimčík, IT specialista

Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista

Podobné prezentace

Prezentace na téma: "Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista"— Transkript prezentace:

Podobné prezentace

O projektu

Kontaktní formulář

Přihlásit se

Přihlásit se přes sociální síť:

Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista

Podobné prezentace

Prezentace na téma: "Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista"— Transkript prezentace:

Podobné prezentace

O projektu

Kontaktní formulář