340 likes | 595 Views
Sikkert trådløst netværk. Torben Marcussen Senior Systems Engineer Microsoft Danmark. Agenda. Baggrund Hvordan virker trådløse netværk? Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt
E N D
Sikkert trådløst netværk Torben Marcussen Senior Systems Engineer Microsoft Danmark
Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…
For et halvt år siden fik min genbo bredbånd og Wifi • Adspurgt om krypteringsnøgle fik han et underligt udtryk i øjnene • …hvad i alverden skulle en hacker dog bruge hans filer til? • …og for det meste var det hans arbejds PC der blev brugt og den var da sikret via arbejdet • Stadig; hvorfor bruge tid på sikkerhed? • Vi låser vores bildør for at få biltyven til at gå hen til den næste bil for at se om døren er ulåst. Vil han ind, så kommer han ind • En dygtig hacker der vil ind har mange strenge at spille på, hvor trådløse netværk blot er én af dem
Derfor kan vi li’ trådløse netværk • På kontoret • Det ér praktisk at kunne hente præsentationen fra filserveren, når man sidder i mødelokalet • Det er møjt billigt at ’trække nye kabler’ • Derhjemme • Hvem synes ikke det er cool at svare på mails under parasollen ude i haven? • Hvem synes ikke det er rart at slippe for de hæslige netkabler, der ligger og flyder på gulvet? • Priser og nye sikkerhedsstander gør det samlet meget attraktivt for de fleste virksomheder
Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…
戻 De fundamentale begreber • ’Konversationen’ mellem bærbar og access point er den trådløse standard 802.11 • Ad hoc: trådløse klienter kommunikerer direkte (intet AP) • Infrastructure: Kommunikation sker via AP • SSID: Service Set IDentifier, dvs. kaldenavnet • WEP: Wired Equivalent Privacy; kryptering af data Challenge Request WEP krypterede data SSID Bærbar1 Bredgade2.1TV WEP tunnel
Internet De fundamentale begreber, 2 • Basic Service Set: Ét Access Point til alle trådløse klienter • Typisk løsning i fysisk små virksomheder eller i hjemmet • Extended Service Set: Access Points arbejder sammen og flytter bærbare fra sted til sted uden at man mister forbindelsen Roaming
De fundamentale begreber, 3 • Porte • En kanal mellem trådløs klient og accesspoint; en logisk kanal • AP har flere porte, klienten har typisk kun én • Kombineret med 802.1X er porte centrale i trådløst regi (såvel som kablet) i relation til kontrollerede/ikke-kontrollerede porte Kontrolleret Port IEEE 802.1X Trådløs klient Ikke- kontrolleret Port
Trådløs funktionalitet i Windows XP • Windows XP forstår og anvender trådløse netværk • De bagvedliggende standarder og opkoblingen til access points (802.11, WPA m.fl.) • Trådløse netværkskort fra forskellige hardware producenter • Indbygget funktionalitet for at konfigurere trådløse netværk • Funktionaliteten omkring trådløse netværk er yderligere forbedret med SP2 • Mere sikker adfærd mht. ubeskyttede netværk • Bedre overblik over tilgængelige trådløse netværk
Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…
Trådløs sikkerhed i 802.11 • Open System Authentication • Liste med MAC adresser kan associeres, men… • Shared Key authentication • Antager en sikker distributionskanal • Wired Equivalent Privacy (WEP) • Global key; multi- og broadcast kryptering fra AP til klienter • Unicast key; Sessionskryptering mellem klient og AP • Anvender 40 eller 104 bit krypteringsnøgler
Jeg-har-lige-købt-et-access-point-sikkerhed • Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … • Her er bærbar1 … findes der et Access Point her i nærheden? • Ja, kalder, kalder. Her er Bredgade1TV. Kan jeg hjælpe? • Ja tak, jeg vil gerne kobles til Internettet • Et øjeblik. Så gerne. Du er nu koblet op til Internettet. • Kalder, kalder her er Bredgade2.1TV … Kalder, kalder Bærbar1 Bredgade2.1TV
戻 Jeg-har-lige-købt-et-access-point-og-er-blevet-klogere-sikkerhed • Her er bærbar1 … jeg vil gerne kobles til Internettet via Bredgade2.1TV • Goddag bærbar1. Vi opererer ikke her med en navneliste her, så jeg kender dig ikke! Har du i stedet det hemmelige kodeord? • Ja, det er SesamLukDigOpForFanden • Øh, et øjeblik … jo tak koden er korrekt. Du er en fin fyr, så vi kan godt koble dig op via Bredgade2.1TV • Åhja, inden vi kobler dig på Internettet så skifter vil lige over til japansk af sikkerhedsmæssige årsager. Er det i orden? • Ja, det er OK • Tak. • ムミックで4つの剣+を楽しむ • ルに平和を取り戻せ! Bærbar1 Bredgade2.1TV
Default opsætning af Access Points er problematisk • En Microsoft partner tog en køretur i et område med mindre industri og parcelhuse, en tur på ca. 5 km • 42 Access Points broadcastede SSID • Over 75% af disse havde ikke WEP slået til • Med et simpelt lytteværktøj (f. eks. Ethereal) kunne han have samlet netværkstrafikken og ad dén vej læse mails, brugernavne, passwords oma. • Over 50% havde standardopsætningen fra fabrikkens side • Ja, jaaa Torben … men når jeg står ude på parkeringspladsen, så ryger forbindelsen, så de kan altså ikke komme tæt på uden at jeg ser dem • Antenneforstærkere går for 2.000 og opefter • ’Pringles forstærkeren’ har været et effektivt redskab for en engelsk hacker i Londons finansdistrikt
802.11 sikkerhed er utilstrækkelig • Virksomheder bør undgå WEP • Ingen model for distribution og reudstedelse af nøgler • Klassisk hacking gøres meget, meget nemmere • Airsnort/WEPcrack indsamler krypterede data og vha. kryptoanalyse kan nøglen udledes • WEP kan til nød bruges privat • Private halter bagefter, men virksomheder er kommet godt med • Typisk misbruges trådløse netværk til snylteri på andres Internetadgang • Måske uskadeligt, men hvis din nabo havde rigtigt kedelige tendenser og helst ville operere i det skjulte …
Hvad er udviklingen?Hurtigere og sikrere • Hurtigere • Sikrere • Fra juni 2004 er 802.11i officiel sikkerhedsstandard til 802.11 • WPA som forløber for 802.11i har allerede haft en dramatisk effekt på sikkerheden
Wifi Protected Access • WPA • Kræver 802.1x authentication, kryptering og re-udstedelse af krypteringsnøgle • Har model for 802.1x validering i miljøer uden RADIUS server • Temporal Key Integrity Protocol (TKIP) erstatter WEP til nøglekryptering • Kræver opdatering af AP’s, netkort og software • Kompatibilitet • Windows XP SP2 understøtter WPA • <SP2: http://support.microsoft.com/?kbid=815485 • Windows 2000 SP4 indeholder 802.1x klient
Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…
LøsningsmodellerI kvalitativ rækkefølge • Brug kabler! • Sparet risiko omkostninger og pris på implementering vs. lost opportunity omkostninger • 802.11 baseret sikkerhed • 802.11b med/uden WEP kryptering = bødestraf • WPA/802.11i er faktisk ganske godt • Virtual Private Networking teknologi • VPN er super til remote access men er ikke designet med WLAN i tankerne • Kræver ekstra logon • VPN Server bliver en flaskehals • IPsec • Effektivt, men kun validering af computeren • IPsec policies kan være en kompleks opgave i større miljøer • Certifikater og stærk kryptering mellem trådløse klienter og Access Point • 802.1x, EAP-TLS, WPA og PKI infrastruktur
Anvendt teknologi 1: 802.1x • Standard der definerer port-baseret netværksadgang • Anvendes i kablede netværk og i dag i stor stil i WLAN’s • 802.1x kompatible AP’s beder om adgang og validerer førend porten åbnes for netværks services • IEEE 802.1X begreber: • Port access entitet (PAE), det logiske ‘stik i switchen’ • Supplicant • Authenticator • Authentication server • Kan være access point • Kan være seperat entitet, typisk RADIUS Supplicant PAEs Authenticator Authentication server
Anvendt teknologi 2; RADIUS • Remote Access User Dial-in Service • Bredt anvendt teknologi der muliggør central: • Authentication og authorization • Accounting for netværksadgang • RADIUS anvendes i dag til • Trådløse accesspoints • Authentication på Ethernet switche • VPN servere • Internet Authentication Service; Microsoft RADIUS Server • Centraliseret authentication, authorization og accounting for mange former for netværks adgang • IAS bruger Active Directory • Bruger credentials for authentication • Dial-in egenskaber og remote access policies mht. authorization Access servers Trådløst AP VPN server RADIUS protokol Bruger database/ Active Directory RADIUS/IAS server
Anvendt teknologi 3; EAP • Extensible Authentication Protocol (EAP) • Standard for at gennemføre netværks baseret authentication • Det snedige i EAP er, at authentication mekanismen ikke vælges ifb. med link etablering • EAP understøtter 802.1x • EAP understøtter – og kan udbygges med – flere authentication typer • Windows (XP, 2003 og 2000.SP4) understøtter EAP-MD5 CHAP, EAP-TLS og Protected EAP (PEAP) • EAP-TLS er velegnet i relation til trådløse netværk fordi; • Der anvendes certifikater og man er derfor ikke afhængig af bruger password • Authentication sker uden bruger interaktion
802.1x + RADIUS + EAP-TLS • Vi har nu en samlet pakke • Filosofien er gyldig legitimation før noget sker • Access point bliver pass-through enhed, der tillader at EAP meddelser kan passere mellem klient og RADIUS server • Al bearbejdning foregår kun på klient og RADIUS server • Kun PC’er ’vi stoler på’ får adgang; Intet pas? Smut!
Teknologier på Windows Server 2003 • IAS services installeres og konfigureres • Certificate Services installeres og konfigureres • Standard komponent i alle versioner af Windows 2000 Server + Windows Server 2003 • Udrulning af certifikater til trådløs authentication • Computer certifikat ligger i Local Computer store og er tilgængelig, under bootprocessen • Bruger certifikat til ligger i Current User store • Du bør udrulle både computer og bruger certifikater • Anbefalet udrulning er at konfigurere en group policy på domæne niveau der installerer certifikat • Fordrer klienter kører Windows 2000/XP og at virksomheden har en etableret Active Directory infrastruktur • Alternativ 1: http://[servernavn]/certsrv • Alternativ 2: Bruger importerer certifikat via Certificates snap-in • Alternativ 3: Lav en applikation eller et script der bruger CAPICOM
Installation af IAS Overblik over IAS Udrulning af certifikater Certificate authority
Basisteknologien nu etableretDaglig styring er Remote Access Policies • Styring sker ved User account dial-in • Definerede ‘spilleregler’ der afgør hvorvidt forbindelser bliver godkendt eller afvist • Gruppe medlemsskab • Forbindelsestype • Tidspunkt på døgnet • Når en forbindelse autoriseres vil den pågældende remote access policy angive en række restriktioner • Krypterings styrke • Authentication metode • Time out ved idle • Maksimal længde på session • Klassisk metodik via policy i native-mode • Control access through Remote Access Policy for alle accounts • Policies for forskellige forbindelses typer og gruppe medlemsskaber
Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…
ImplementeringSecuring Wireless LAN’s – A Windows Server 2003 Certificates solution • Foretag overall beslutning om trådløs strategi • Udarbejd WLAN arkitektur (hardware, ESS mm.) • Design og konfiguration af PKI infrastruktur • Design og konfiguration af IAS server på DC og eller primær/sekundær IAS server • Konfiguration af trådløs sikkerhed med 802.1x • Konfiguration af Active Directory mht. Accounts og grupper • Konfiguration af RADIUS accounting og authentication på trådløse access points • Udrulning af certifikater • Test • Monitorering • Anvend værktøjer i løsningsarkitektur og nye MMC værktøjer
Et par praktiske bemærkninger • En Enterprise root CA server ændrer ikke navn • Installér om muligt IAS på en domæne controller • Reducerer kraftigt netværks I/O • CPU bekymringer? Test det. • En virksomhed i nærheden af Redmond har lavet en større testkørsel uden problemer • Udvælg det rigtige access point • Cisco 340/350 anvendes som standard i Microsoft • Undgå ulovlige access points • Bruger uddannelse, politikker og Group Policy • Monitorering er vigtig … også her • Anvend Wireless Network GPO for automatisk at konfigurere trådløse klienter med din virksomheds SSID • Kører du native mode, så brug universal groups and global groups til at organisere trådløse computer- og evt. bruger accounts i én gruppe
Opsummering • Trådløst netværk er et godt alternativ til kablede netværk med masser af funktionalitet • De indbyggede standarder er svage • Markante forbedringer er set indenfor de seneste 6 måneder; WPA og 802.11i • Implementér et trådløst netværk med høj sikkerhed fra starten • Basér dig på eksisterende komponenter • Byg løsningen og vær i stand til at bygge ovenpå med yderligere løsninger for din virksomhed på et senere tidspunkt • Brug ’manualen’ udgivet af Microsoft
Links og yderligere info • Securing Wireless LAN’s – A Windows Server 2003 Certificates solution • http://go.microsoft.com/fwlink/?LinkId=14845 • Designing and Deploying Wireless LAN Connectivity for the Microsoft Corporate Network • http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/wlandply.mspx • The Advantages of Protected Extensible Authentication Protocol (PEAP) • http://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx • Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure • http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx • Andre links • http://www.jiwire.com • ttp://www.ieee802.org/11/ • http://www.wi-fialliance.org/OpenSection/pdf/Wi-fi_Protected_Access_Overview.pdf