Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista

Slides:



Advertisements
Podobné prezentace
© 2000 VEMA počítače a projektování spol. s r. o..
Advertisements

Mobilně a (ne)bezpečně
Stránka 1, © Vema, a. s.. Stránka 2, © Vema, a. s. Podnikové aplikace  Integrovaný podnikový systém (Integrated Business System):  komplex aplikací.
Začínáme s WiFi. WiFi technologie • b – rychlost až 11 Mb/s • g – rychlost až 54 Mb/s • h – rychlost až 54 Mb/s, pásmo 5 GHz (2004)
Připojení k internetu.
Úvod do počítačových sítí Úvod. Úvod do počítačových sítí •Úvod, síťové protokoly, architektury,standardy •Fyzická úroveň •Linková úroveň •Lokální počítačové.
Podpůrná prezentace k semestrálnímu projektu:
D03 - ORiNOCO RG-based Wireless LANs - Technology
1 Počítačové sítě Úvodní přednáška Cíl předmětu –seznámit se s principy datové komunikace –seznámit se s principy distribučních systémů –seznámit se s.
Přednáška č. 5 Proces návrhu databáze
PC SÍTĚ I.
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
Přínosy virtualizace a privátního cloudu
IT ESSential I. 8. Networks. 2 Rozdělení sítí  LAN  skupina hosts vzájemně propojených zařízení s jednotnou správou (jednotné řízení bezpečnosti, přístupu,
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Efektivní informační bezpečnost
Adresářová služba Active directory
Bezpečnost na platformě Microsoft & Petr Hartmann Solution Specialist Microsoft.
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Návrh počítačové sítě malé firmy
VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Bezdrátové síťové prvky
ePraha - MepNet1 Neveřejná datová síť MePNet Ing. Zdeněk Záhora Magistrát hl. m. Prahy, odbor informatiky.
WiMAX - základy Mobilní systémy, PF, JČU. WiMAX forum Worldwide Interoperability Microwave Access Nezisková asociace založená v roce.
Zabezpečení přenosu dat Wi-Fi sítě Zabezpečení přenosu dat Wi-Fi sítě Zabezpečení přenosu dat je velice důležitá část konfigurace Wi-Fi sítě. Zabezpečení.
DATOVÁ SÍŤ NP A CHKO ŠUMAVA
17. března 2003 Univerzální přípojka – brána do IVS Miroslav Nováček Libor Neumann.
Bezpečnost bezdrátové komunikace
Bezdrátové sítě.
Outsourcing ICT systémová a aplikační integrace v pojetí O2 Projekt Integrace sítě Ministerstva zemědělství.
Cisco Networking Accademy
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Technická fakulta ČZU Laboratoř výpočetních aplikací.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
Bezdrátové sítě dle standardu IEEE (WiFi)
Corpus Solutions a.s. Zkušenosti s budováním komunikační bezpečnosti Ing. Martin Pavlica.
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Bezpecnost bezdrátových sítí Bc. Jan Petlach, 5. ročník.
Tps.amalka.org WIFI technologie v podání AVAYA Zpracovali: Lukáš Trávník Martin Hanke.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
ISSS IS HN/SS Softwarová architektura informačního systému hmotné nouze a sociálních služeb Jindřich Štěpánek
EGovernment Struktura služeb a řešení. Obsah 1.Požadavky KIVS a řešené problémy 2.Vývoj koncepcí 3.Stávající KIVS a její rozvoj v souladu s koncepcemi.
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Bezpečnost sítí s IP Michal Horák ČVUT, Praha 1. Bezpečnost sítí s IP Minimalizace zranitelných míst Systémy na detekci útoků  analyzátory  manažeři.
Global network of innovation Identity a Access Management v heterogenním prostředí Marta Vohnoutová 19. dubna 2015.
Miroslav Skokan IT Security Consultant
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Zabezpečení a správa pracovních stanic, virtualizace Jan Písařík – chief of technical support.
Název materiálu: Bezdrátové sítě Jméno autora: Mgr. Petr Ivánek Vytvořen: únor 2012 Vzdělávací obor: Člověk a svět práce (předmět Využití digitálních technologií)
1 Počítačové sítě Protokoly LAN Protokoly vrstvy datových spojů – LAN Specifikace IEEE 802 – pokrývá :Specifikace IEEE 802 –vrstvu fyzickou (standardy.
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Josef Petr Obor vzdělání: M/01 Informační technologie INSPIROMAT PRO TECHNICKÉ OBORY 1. ČÁST – VÝUKOVÉ MATERIÁLY URČENÉ PRO SKUPINU OBORŮ 18 INFORMAČNÍ.
Výukový materiál zpracován v rámci projektu EU peníze školám Registrační číslo projektu: CZ.1.07/1.4.00/ Šablona:III/2č. materiálu: VY_32_INOVACE_232.
Univerzitní informační systém II., Lednice 2003 Bezdrátová síť na univerzitě (WiFi) Petr Dadák
Tato studijní opora je spolufinancována Evropským sociálním fondem a státním rozpočtem České republiky. číslo projektu: CZ.1.07/1.1.07/ Učíme se.
Elektronické učební materiály - II. stupeň Digitální technologie 9 Autor: Bc. Pavel Šiktanc Bezdrátová technologie WiFi Co se všechno naučíme??? Způsoby.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r. o., Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Integrační a migrační projekty KIVS. 2 Definice: KIVS v ČR je prostředím pro efektivní, bezpečné, garantované a auditovatelné sdílení dat mezi Informačními.
3. Ochrana dynamických dat
Management univerzitní sítě dnes a zítra
Účinné zabezpečení IT a stálý dohled
Monitoring sítě.
v kostce Ing. Jan Stejskal
Transkript prezentace:

Bezpečnost bezdrátových sítí WiFi Milan Šimčík, IT specalista 10.6.2009

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Úvod do bezdrátových sítí WiFi IEEE 802.11 Vznik standardu přibližně v roce 1997. IEEE 802.11b Standard od roku 1999 2,4 GHz, 11 Mbps bitrate (cca 5Mbps propustnost) IEEE 802.11.a 5 GHz, 54 Mbps bitrate (cca 27Mbps propustnost) IEEE 802.11g Standard od roku 2003 2,4 GHz, 54 Mbps bitrate (cca 27Mbps propustnost) Změna modulace zpětně kompatibilní s 802.11b IEEE 802.11n Draft standardu (předpokládá se rok 2010) 2,4/5 GHz, 600 Mbps bitrate (cca 144Mbps propustnost) Další z rodiny standardu IEEE 802.11 802.11e – QoS, 802.11i – enhaced security, atd.

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Vybrané základní pojmy v oblasti WiFi Beacon Tímto mechanizmem dochází k inzerování přítomnosti bezdrátové sítě (adresovaná jako broadcast, název SSID, podporované rychlosti, typ zabezpečení apod.) Probe Mechanizmus klienta pro zjištění dostupné sítě (vyslání dotazu a odpovědi všech dosažitelných AP – pokud je to povoleno) Autentizace Způsob autentizace klientů WiFi. „Open“ nebo „shared“ WEP klíč. Vzhledem k bezpečnostním nedostatkům WEP (a tedy i způsobu autentizace již nepoužíván/nedoporučován) Asociace Navázaní „linky“ mezi AP a klientem

Vybrané základní pojmy v oblasti WiFi pokr. WPA (TKIP) Odstraňuje nedostatky předchozího standardu WEP TKIP zajištuje unikátní klíč pro každý paket Data jsou šifrována pomocí RC4 algoritmu WPA2 (AES) Využívá algoritmu AES v režimu CCMP V současnosti považován za standard (povinný pro WiFi certifikaci) Zatím nebyl nalezen způsob prolomení MFP – management frame protection Způsob zajištění integrity rámce WiFi sítě digitálním podpisem 802.1x Suplicant – SW klient bezdrátové sítě Autenticator (AP, centrální prvek WiFi apod.) Autentication server (AAA server) EAP – Extended Authentication protocol EAP-TLS, EAP-FAST, PEAP apod.

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Hrozby a rizika které přináší WiFi Neautorizavaný průnik do sítě Využití či zneužití zdrojů a prostředků sítě Kompromitace, narušení integrity dat apod. Obtížně kontrolovatelný dosah sítě ve srovnání s tradiční sítí Vnitřní prostory budovy Prostor mimo budovu či jinak vymezený prostor Rušení pásma 2,4 Ghz resp. 5 Ghz Rušení 802.11 zařízení Rušení non-802.11 zařízení Rušení radarů, budov a prostor se speciálním radiofrekvenčním režimem

Hrozby a rizika které přináší WiFi pokr. Co dělat v případě rušení? Všeobecné oprávnění č. VO-R/12/08.2005-34 k využívání rádiových kmitočtů a k provozování zařízení pro širokopásmový přenos dat na principu rozprostřeného spektra nebo OFDM v pásmech 2,4 GHz a 5 GHz Kde mj. stojí ... Případné rušení řeší fyzické a právnické osoby vzájemnou dohodou. Nedohodnou-li se, postupuje se podle § 100 zákona, případně zastaví provoz ten uživatel, který uvedl do provozu stanici způsobující rušení později; ... Zdroj: ČTÚ

Hrozby a rizika které přináší WiFi pokr. Jaké typy útoků nám hrozí? Útok na první vrstvu OSI/ISO modelu WiFi je založená na mechanizmu CDMA/CA, který umožňuje vysílání pouze jedinému zdroji v daný čas Součástí CDMA/CA je tzv. CCA (clear channel assesment), který zajistí, že rádio nejdříve poslouchá a poté vysílá Úmyslné útoky DoS útok – použití širokopásmové rušičky DoS útok – použití „standardní“ 802.11 karty (Queensland attack) Neúmyslné útoky Prakticky jakékoli zdroje interferencí (mikrovlnné trouby, Bezdrátové kamerové systémy, bezdrátotové telefony, BT zařízení, jiné průmyslově vyráběné zařízení)

Hrozby a rizika které přináší WiFi pokr. Jaké typy útoků nám hrozí? De-autentizace/De-asociace management rámců (DoS) Rekognoskace WiFi sítě – odposlouchávání a scanování Aktivní De-auth útok k navození sondování klientů (probing) a usnadnění odhalení skrytého SSID Útoky využívající zranitelnosti (slovníkové útoky, Man-in-the-middle, zranitelnost WEP) Address spoofing útok (MAC a IP address spoofing) Nepřátelské AP (nejsou námi spravované, mohou vytvářet „honeypot“ tedy zdánlivě stejné SSID)

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Pravidla a mechanizmy zabezpečení WiFi sítě Vytvoření a dodržování WLAN bezpečnostních pravidel Zabezpečení WLAN Modifikace default SSID Ověřování klientů (802.1x, AAA, apod.) Použití standardů WPA nebo WPA2 Pro specifická zařízení lze kombinovat WEP se seznamem MAC adres Ověřování uživatelů a oddělení různých typů uživatelů do VLAN Preference „lehkých“ přístupových bodů (nemají lokálně uloženy bezpečnostní informace)

Pravidla a mechanizmy zabezpečení WiFi sítě pokr. Fyzické skrytí nebo znepřístupnění k AP Monitorování okolí budov na podezřelé aktivity Zabezpečení „drátové“ sítě proti útokům z WLAN Nasazení bezdrátové IPS k prevenci „nepřátelských“ přístupových bodů a klientů Permanentně odstraňovat neautorizované cizí AP Ochrana proti externím útokům Vybavit mobilní zařízení podobnými bezpečnostními službami, jako podniková síť, tedy firewall, VPN, antivirus, … Vynucení bezpečnostních pravidel ověřováním identity a kvality klientů Poučení uživatelů o ochraně sítě

Pravidla a mechanizmy zabezpečení WiFi sítě pokr. Příklady nástrojů Kismet, AirCrack, WEPcrack coWPAtty NetStumbler, HotSpotter, AirSnort OmniPeek, Wireshark Nmap, dsniff ...

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Architektura založená na platformě Cisco Základní požadavky bezpečné WiFi sítě jsou Ochrana vlastní WiFi infrastruktury (MFP, IPS) Ocharana spojení mezi WiFi infrastrukturou a klienty Šifrování a autentizace Využití robustního autentizačního systému (802.1x) Použití vhodného mechanizmu pro autentizaci (EAP-TLS, PEAP...) Použití vhodného algoritmu šifrování (WPA reps. WPA2) Ochrana klientů před škodlivým kódem Využití sytému NAC Dynamické odstraňování potenciálních útočníků (client shunning)

Architektura založená na platformě Cisco Řešení založené na platformě Cisco poskytuje Robustní bezpečnostní standardy a implementace 802.1x/EAP, 802.11i/WPA/WPA2 Management frame protection (MFP) IDS/IPS vlastnosti na centrálním kotroleru WiFi CCX program, Cisco Secure Services Client (CSSC) Integrace s Cisco NAC Integrace Firewallu Využití portfolia produktů z rodiny Cisco ASA nebo servisního modulu FWSM Integrace s IPS Integrace IPS a kontroleru Integrace s CSA Ochrana koncové stanice

Architektura založená na platformě Cisco Klíčové komponenty Wireless LAN Controller – WLC (desktop, rack, servisní modul) Lightweight Access point (indoor, outdoor, typ antény...) Wireless Controll System – WCS (standalone, cluster) Cisco Secure ACS (TACACS+,RADIUS, interní a ext. uživ. DB) Prvky vyšší bezpečnosti Cisco Firewall Cisco NAC Cisco IDS/IPS Cisco Security Agent - CSA

Architektura založená na platformě Cisco Architektrura „lehkých“ access pointů

Architektura založená na platformě Cisco Architektrura „lehkých“ access pointů Pro komunikaci se používá protokol LWAP protokol (Light Weight Access Point) AP nemají žádnou konfiguraci Komunikace probíhá po stanovených UDP portech Šiforvaná komunikace mezi WLC a AP Klientská data nejsou šifrována (v LWAP) Oddělení uživatelského provozu od řídícího Možnost segementace uživatelů prostřednictvím LWAP či EoIP tunelů CAPWAP vylepšení Control and Provisioning of Access points (CAPWAP) vychází z LWAP Předpokládá se schválení jako IETF standardu Umožnuje šifrování i uživatelských dat

Architektura založená na platformě Cisco Příklad základní architektury a využití LWAP a EoIP tunelů

Architektura založená na platformě Cisco

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Koncept návrhu bezdrátové sítě Vytvoření politiky která definuje Přístup k síti a k poskytovaným službám Šifrování dat Zajištění autentizace a šifrování pro klienty Stanovení autentizačních mechanizmů pro jednotlivé typy klientů (data, hlas, video, atd.) Stanovení šifrovacích algoritmů Připravenost čelit a zmírňovat bezpečnostní hrozby Nepřátelské AP, rušičky a zdroje rušení Endpoint security MFP

Koncept návrhu bezdrátové sítě pokr. V oblasti RF spektra... Provedení Site Survey Využívání RRM – Radio Resource Managementu Využití Spectrum Intelligence pro monitorování a řešení problému v RF spektru Proaktivní monitoring WiFi síť je provozovaná ve velmi dynamickém prostředí Monitorování a vyhodnocování událostí Sledování a vyhodnocování trendů Proškolení personálu a poučení uživatelů

Koncept návrhu bezdrátové sítě pokr. Přípravná fáze Plánovaní poskytovaných služeb WiFi sítě (data, hlas, video, lokalizační služby...) Plánování pokrytí signálem (Site Survey) Segmentace úrovně zabezpečení (interní uživatelé, návštěvy, konference...) Stanovení jednotlivých standardů zabezpečení a jejich verifikace Koncept integrace do LAN

Koncept návrhu bezdrátové sítě pokr. Designová fáze Detailní návrh infrastruktury Topologie Umístění jednotlivých AP Adresní plány Detailní návrh koncepce zabezpečení (802.1x,EAP, AAA ...) Návrh VLAN, DMZ, Roamingu Návrh managementu a správy

Koncept návrhu bezdrátové sítě pokr. Implementační fáze Realizace pilotního projektu a ověření stanovených standardů Realizace a nasazení WiFi infrastruktury po jednotlivých budovách-prostorech Verifikace pokrytí signálu a dostupnosti služeb Provozní fáze Proaktivní monitoring Vyhodnocení trendů Provozní úpravy kanalů a vysílacích výkonů (pokud není automatický režim dostačující.)

Agenda Úvod do bezdrátových sítí Vybrané základní pojmy v oblasti WiFi Hrozby a rizika které přináší WiFi Pravidla a mechanizmy zabezpečení WiFi sítě Architektura WiFi založená na platformě Cisco Koncept návrhu WiFi sítě Diskuse

Milan Šimčík, IT specialista milan_simcik@cz.ibm.com Děkuji za pozornost!!! Milan Šimčík, IT specialista milan_simcik@cz.ibm.com