Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

_______________ __________ _____ ____ Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista10.6.2009.

Podobné prezentace


Prezentace na téma: "_______________ __________ _____ ____ Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista10.6.2009."— Transkript prezentace:

1 _______________ __________ _____ ____ Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista

2 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Agenda  Úvod do bezdrátových sítí  Vybrané základní pojmy v oblasti WiFi  Hrozby a rizika které přináší WiFi  Pravidla a mechanizmy zabezpečení WiFi sítě  Architektura WiFi založená na platformě Cisco  Koncept návrhu WiFi sítě  Diskuse

3 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Úvod do bezdrátových sítí WiFi  IEEE Vznik standardu přibližně v roce IEEE b Standard od roku ,4 GHz, 11 Mbps bitrate (cca 5Mbps propustnost)  IEEE a Standard od roku GHz, 54 Mbps bitrate (cca 27Mbps propustnost)  IEEE g Standard od roku ,4 GHz, 54 Mbps bitrate (cca 27Mbps propustnost) Změna modulace zpětně kompatibilní s b  IEEE n Draft standardu (předpokládá se rok 2010) 2,4/5 GHz, 600 Mbps bitrate (cca 144Mbps propustnost)  Další z rodiny standardu IEEE e – QoS, i – enhaced security, atd.

4 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Agenda  Úvod do bezdrátových sítí  Vybrané základní pojmy v oblasti WiFi  Hrozby a rizika které přináší WiFi  Pravidla a mechanizmy zabezpečení WiFi sítě  Architektura WiFi založená na platformě Cisco  Koncept návrhu WiFi sítě  Diskuse

5 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Vybrané základní pojmy v oblasti WiFi  Beacon Tímto mechanizmem dochází k inzerování přítomnosti bezdrátové sítě (adresovaná jako broadcast, název SSID, podporované rychlosti, typ zabezpečení apod.)  Probe Mechanizmus klienta pro zjištění dostupné sítě (vyslání dotazu a odpovědi všech dosažitelných AP – pokud je to povoleno)  Autentizace Způsob autentizace klientů WiFi. „Open“ nebo „shared“ WEP klíč. Vzhledem k bezpečnostním nedostatkům WEP (a tedy i způsobu autentizace již nepoužíván/nedoporučován)  Asociace Navázaní „linky“ mezi AP a klientem

6 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Vybrané základní pojmy v oblasti WiFi pokr.  WPA (TKIP) Odstraňuje nedostatky předchozího standardu WEP TKIP zajištuje unikátní klíč pro každý paket Data jsou šifrována pomocí RC4 algoritmu  WPA2 (AES) Využívá algoritmu AES v režimu CCMP V současnosti považován za standard (povinný pro WiFi certifikaci) Zatím nebyl nalezen způsob prolomení  MFP – management frame protection Způsob zajištění integrity rámce WiFi sítě digitálním podpisem  802.1x Suplicant – SW klient bezdrátové sítě Autenticator (AP, centrální prvek WiFi apod.) Autentication server (AAA server)  EAP – Extended Authentication protocol EAP-TLS, EAP-FAST, PEAP apod.

7 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Agenda  Úvod do bezdrátových sítí  Vybrané základní pojmy v oblasti WiFi  Hrozby a rizika které přináší WiFi  Pravidla a mechanizmy zabezpečení WiFi sítě  Architektura WiFi založená na platformě Cisco  Koncept návrhu WiFi sítě  Diskuse

8 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Hrozby a rizika které přináší WiFi  Neautorizavaný průnik do sítě Využití či zneužití zdrojů a prostředků sítě Kompromitace, narušení integrity dat apod.  Obtížně kontrolovatelný dosah sítě ve srovnání s tradiční sítí Vnitřní prostory budovy Prostor mimo budovu či jinak vymezený prostor  Rušení pásma 2,4 Ghz resp. 5 Ghz Rušení zařízení Rušení non zařízení  Rušení radarů, budov a prostor se speciálním radiofrekvenčním režimem

9 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Hrozby a rizika které přináší WiFi pokr. Co dělat v případě rušení?  Všeobecné oprávnění č. VO-R/12/ k využívání rádiových kmitočtů a k provozování zařízení pro širokopásmový přenos dat na principu rozprostřeného spektra nebo OFDM v pásmech 2,4 GHz a 5 GHz Kde mj. stojí... Případné rušení řeší fyzické a právnické osoby vzájemnou dohodou. Nedohodnou-li se, postupuje se podle § 100 zákona, případně zastaví provoz ten uživatel, který uvedl do provozu stanici způsobující rušení později;... Zdroj: ČTÚ

10 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Hrozby a rizika které přináší WiFi pokr. Jaké typy útoků nám hrozí?  Útok na první vrstvu OSI/ISO modelu WiFi je založená na mechanizmu CDMA/CA, který umožňuje vysílání pouze jedinému zdroji v daný čas Součástí CDMA/CA je tzv. CCA (clear channel assesment), který zajistí, že rádio nejdříve poslouchá a poté vysílá  Úmyslné útoky DoS útok – použití širokopásmové rušičky DoS útok – použití „standardní“ karty (Queensland attack)  Neúmyslné útoky Prakticky jakékoli zdroje interferencí (mikrovlnné trouby, Bezdrátové kamerové systémy, bezdrátotové telefony, BT zařízení, jiné průmyslově vyráběné zařízení)

11 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Hrozby a rizika které přináší WiFi pokr. Jaké typy útoků nám hrozí? De-autentizace/De-asociace management rámců (DoS) Rekognoskace WiFi sítě – odposlouchávání a scanování Aktivní De-auth útok k navození sondování klientů (probing) a usnadnění odhalení skrytého SSID Útoky využívající zranitelnosti (slovníkové útoky, Man-in-the-middle, zranitelnost WEP) Address spoofing útok (MAC a IP address spoofing) Nepřátelské AP (nejsou námi spravované, mohou vytvářet „honeypot“ tedy zdánlivě stejné SSID)

12 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Agenda  Úvod do bezdrátových sítí  Vybrané základní pojmy v oblasti WiFi  Hrozby a rizika které přináší WiFi  Pravidla a mechanizmy zabezpečení WiFi sítě  Architektura WiFi založená na platformě Cisco  Koncept návrhu WiFi sítě  Diskuse

13 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Pravidla a mechanizmy zabezpečení WiFi sítě  Vytvoření a dodržování WLAN bezpečnostních pravidel  Zabezpečení WLAN Modifikace default SSID Ověřování klientů (802.1x, AAA, apod.) Použití standardů WPA nebo WPA2  Pro specifická zařízení lze kombinovat WEP se seznamem MAC adres  Ověřování uživatelů a oddělení různých typů uživatelů do VLAN  Preference „lehkých“ přístupových bodů (nemají lokálně uloženy bezpečnostní informace)

14 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Pravidla a mechanizmy zabezpečení WiFi sítě pokr.  Fyzické skrytí nebo znepřístupnění k AP  Monitorování okolí budov na podezřelé aktivity  Zabezpečení „drátové“ sítě proti útokům z WLAN  Nasazení bezdrátové IPS k prevenci „nepřátelských“ přístupových bodů a klientů  Permanentně odstraňovat neautorizované cizí AP  Ochrana proti externím útokům  Vybavit mobilní zařízení podobnými bezpečnostními službami, jako podniková síť, tedy firewall, VPN, antivirus, …  Vynucení bezpečnostních pravidel ověřováním identity a kvality klientů  Poučení uživatelů o ochraně sítě

15 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Pravidla a mechanizmy zabezpečení WiFi sítě pokr.  Příklady nástrojů Kismet, AirCrack, WEPcrack coWPAtty NetStumbler, HotSpotter, AirSnort OmniPeek, Wireshark Nmap, dsniff...

16 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Agenda  Úvod do bezdrátových sítí  Vybrané základní pojmy v oblasti WiFi  Hrozby a rizika které přináší WiFi  Pravidla a mechanizmy zabezpečení WiFi sítě  Architektura WiFi založená na platformě Cisco  Koncept návrhu WiFi sítě  Diskuse

17 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Architektura založená na platformě Cisco  Základní požadavky bezpečné WiFi sítě jsou Ochrana vlastní WiFi infrastruktury (MFP, IPS) Ocharana spojení mezi WiFi infrastrukturou a klienty Šifrování a autentizace Využití robustního autentizačního systému (802.1x) Použití vhodného mechanizmu pro autentizaci (EAP-TLS, PEAP...) Použití vhodného algoritmu šifrování (WPA reps. WPA2) Ochrana klientů před škodlivým kódem Využití sytému NAC Dynamické odstraňování potenciálních útočníků (client shunning)

18 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Architektura založená na platformě Cisco  Řešení založené na platformě Cisco poskytuje Robustní bezpečnostní standardy a implementace 802.1x/EAP, i/WPA/WPA2 Management frame protection (MFP) IDS/IPS vlastnosti na centrálním kotroleru WiFi CCX program, Cisco Secure Services Client (CSSC) Integrace s Cisco NAC Integrace Firewallu Využití portfolia produktů z rodiny Cisco ASA nebo servisního modulu FWSM Integrace s IPS Integrace IPS a kontroleru Integrace s CSA Ochrana koncové stanice

19 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Architektura založená na platformě Cisco  Klíčové komponenty Wireless LAN Controller – WLC (desktop, rack, servisní modul) Lightweight Access point (indoor, outdoor, typ antény...) Wireless Controll System – WCS (standalone, cluster) Cisco Secure ACS (TACACS+,RADIUS, interní a ext. uživ. DB)  Prvky vyšší bezpečnosti Cisco Firewall Cisco NAC Cisco IDS/IPS Cisco Security Agent - CSA

20 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Architektura založená na platformě Cisco Architektrura „lehkých“ access pointů

21 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Architektura založená na platformě Cisco  Architektrura „lehkých“ access pointů  Pro komunikaci se používá protokol LWAP protokol (Light Weight Access Point) AP nemají žádnou konfiguraci Komunikace probíhá po stanovených UDP portech Šiforvaná komunikace mezi WLC a AP Klientská data nejsou šifrována (v LWAP) Oddělení uživatelského provozu od řídícího Možnost segementace uživatelů prostřednictvím LWAP či EoIP tunelů  CAPWAP vylepšení Control and Provisioning of Access points (CAPWAP) vychází z LWAP Předpokládá se schválení jako IETF standardu Umožnuje šifrování i uživatelských dat

22 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Architektura založená na platformě Cisco Příklad základní architektury a využití LWAP a EoIP tunelů

23 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Architektura založená na platformě Cisco

24 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Agenda  Úvod do bezdrátových sítí  Vybrané základní pojmy v oblasti WiFi  Hrozby a rizika které přináší WiFi  Pravidla a mechanizmy zabezpečení WiFi sítě  Architektura WiFi založená na platformě Cisco  Koncept návrhu WiFi sítě  Diskuse

25 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Koncept návrhu bezdrátové sítě  Vytvoření politiky která definuje Přístup k síti a k poskytovaným službám Šifrování dat  Zajištění autentizace a šifrování pro klienty Stanovení autentizačních mechanizmů pro jednotlivé typy klientů (data, hlas, video, atd.) Stanovení šifrovacích algoritmů  Připravenost čelit a zmírňovat bezpečnostní hrozby Nepřátelské AP, rušičky a zdroje rušení Endpoint security MFP

26 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Koncept návrhu bezdrátové sítě pokr.  V oblasti RF spektra... Provedení Site Survey Využívání RRM – Radio Resource Managementu Využití Spectrum Intelligence pro monitorování a řešení problému v RF spektru  Proaktivní monitoring WiFi síť je provozovaná ve velmi dynamickém prostředí Monitorování a vyhodnocování událostí Sledování a vyhodnocování trendů  Proškolení personálu a poučení uživatelů

27 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Koncept návrhu bezdrátové sítě pokr.  Přípravná fáze Plánovaní poskytovaných služeb WiFi sítě (data, hlas, video, lokalizační služby...) Plánování pokrytí signálem (Site Survey) Segmentace úrovně zabezpečení (interní uživatelé, návštěvy, konference...) Stanovení jednotlivých standardů zabezpečení a jejich verifikace Koncept integrace do LAN

28 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Koncept návrhu bezdrátové sítě pokr.  Designová fáze Detailní návrh infrastruktury Topologie Umístění jednotlivých AP Adresní plány Detailní návrh koncepce zabezpečení (802.1x,EAP, AAA...) Návrh VLAN, DMZ, Roamingu Návrh managementu a správy

29 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Koncept návrhu bezdrátové sítě pokr.  Implementační fáze Realizace pilotního projektu a ověření stanovených standardů Realizace a nasazení WiFi infrastruktury po jednotlivých budovách- prostorech Verifikace pokrytí signálu a dostupnosti služeb  Provozní fáze Proaktivní monitoring Vyhodnocení trendů Provozní úpravy kanalů a vysílacích výkonů (pokud není automatický režim dostačující.)

30 _______________ __________ _____ ____ Mastertextformat bearbeiten Zweite Ebene Dritte Ebene Vierte Ebene Fünfte Ebene Agenda  Úvod do bezdrátových sítí  Vybrané základní pojmy v oblasti WiFi  Hrozby a rizika které přináší WiFi  Pravidla a mechanizmy zabezpečení WiFi sítě  Architektura WiFi založená na platformě Cisco  Koncept návrhu WiFi sítě  Diskuse

31 _______________ __________ _____ ____ Milan Šimčík, IT specialista Děkuji za pozornost!!!


Stáhnout ppt "_______________ __________ _____ ____ Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista10.6.2009."

Podobné prezentace


Reklamy Google