1 / 34

Sikkert trådløst netværk

Sikkert trådløst netværk. Torben Marcussen Senior Systems Engineer Microsoft Danmark. Agenda. Baggrund Hvordan virker trådløse netværk? Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt

Rita
Download Presentation

Sikkert trådløst netværk

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sikkert trådløst netværk Torben Marcussen Senior Systems Engineer Microsoft Danmark

  2. Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…

  3. For et halvt år siden fik min genbo bredbånd og Wifi • Adspurgt om krypteringsnøgle fik han et underligt udtryk i øjnene • …hvad i alverden skulle en hacker dog bruge hans filer til? • …og for det meste var det hans arbejds PC der blev brugt og den var da sikret via arbejdet • Stadig; hvorfor bruge tid på sikkerhed? • Vi låser vores bildør for at få biltyven til at gå hen til den næste bil for at se om døren er ulåst. Vil han ind, så kommer han ind • En dygtig hacker der vil ind har mange strenge at spille på, hvor trådløse netværk blot er én af dem

  4. Derfor kan vi li’ trådløse netværk • På kontoret • Det ér praktisk at kunne hente præsentationen fra filserveren, når man sidder i mødelokalet • Det er møjt billigt at ’trække nye kabler’ • Derhjemme • Hvem synes ikke det er cool at svare på mails under parasollen ude i haven? • Hvem synes ikke det er rart at slippe for de hæslige netkabler, der ligger og flyder på gulvet? • Priser og nye sikkerhedsstander gør det samlet meget attraktivt for de fleste virksomheder

  5. Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…

  6. De fundamentale begreber • ’Konversationen’ mellem bærbar og access point er den trådløse standard 802.11 • Ad hoc: trådløse klienter kommunikerer direkte (intet AP) • Infrastructure: Kommunikation sker via AP • SSID: Service Set IDentifier, dvs. kaldenavnet • WEP: Wired Equivalent Privacy; kryptering af data Challenge Request WEP krypterede data SSID Bærbar1 Bredgade2.1TV WEP tunnel

  7. Internet De fundamentale begreber, 2 • Basic Service Set: Ét Access Point til alle trådløse klienter • Typisk løsning i fysisk små virksomheder eller i hjemmet • Extended Service Set: Access Points arbejder sammen og flytter bærbare fra sted til sted uden at man mister forbindelsen Roaming

  8. De fundamentale begreber, 3 • Porte • En kanal mellem trådløs klient og accesspoint; en logisk kanal • AP har flere porte, klienten har typisk kun én • Kombineret med 802.1X er porte centrale i trådløst regi (såvel som kablet) i relation til kontrollerede/ikke-kontrollerede porte Kontrolleret Port IEEE 802.1X Trådløs klient Ikke- kontrolleret Port

  9. Trådløs funktionalitet i Windows XP • Windows XP forstår og anvender trådløse netværk • De bagvedliggende standarder og opkoblingen til access points (802.11, WPA m.fl.) • Trådløse netværkskort fra forskellige hardware producenter • Indbygget funktionalitet for at konfigurere trådløse netværk • Funktionaliteten omkring trådløse netværk er yderligere forbedret med SP2 • Mere sikker adfærd mht. ubeskyttede netværk • Bedre overblik over tilgængelige trådløse netværk

  10. Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…

  11. Trådløs sikkerhed i 802.11 • Open System Authentication • Liste med MAC adresser kan associeres, men… • Shared Key authentication • Antager en sikker distributionskanal • Wired Equivalent Privacy (WEP) • Global key; multi- og broadcast kryptering fra AP til klienter • Unicast key; Sessionskryptering mellem klient og AP • Anvender 40 eller 104 bit krypteringsnøgler

  12. Jeg-har-lige-købt-et-access-point-sikkerhed • Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … • Her er bærbar1 … findes der et Access Point her i nærheden? • Ja, kalder, kalder. Her er Bredgade1TV. Kan jeg hjælpe? • Ja tak, jeg vil gerne kobles til Internettet • Et øjeblik. Så gerne. Du er nu koblet op til Internettet. • Kalder, kalder her er Bredgade2.1TV … Kalder, kalder Bærbar1 Bredgade2.1TV

  13. Jeg-har-lige-købt-et-access-point-og-er-blevet-klogere-sikkerhed • Her er bærbar1 … jeg vil gerne kobles til Internettet via Bredgade2.1TV • Goddag bærbar1. Vi opererer ikke her med en navneliste her, så jeg kender dig ikke! Har du i stedet det hemmelige kodeord? • Ja, det er SesamLukDigOpForFanden • Øh, et øjeblik … jo tak koden er korrekt. Du er en fin fyr, så vi kan godt koble dig op via Bredgade2.1TV • Åhja, inden vi kobler dig på Internettet så skifter vil lige over til japansk af sikkerhedsmæssige årsager. Er det i orden? • Ja, det er OK • Tak. • ムミックで4つの剣+を楽しむ • ルに平和を取り戻せ! Bærbar1 Bredgade2.1TV

  14. Default opsætning af Access Points er problematisk • En Microsoft partner tog en køretur i et område med mindre industri og parcelhuse, en tur på ca. 5 km • 42 Access Points broadcastede SSID • Over 75% af disse havde ikke WEP slået til • Med et simpelt lytteværktøj (f. eks. Ethereal) kunne han have samlet netværkstrafikken og ad dén vej læse mails, brugernavne, passwords oma. • Over 50% havde standardopsætningen fra fabrikkens side • Ja, jaaa Torben … men når jeg står ude på parkeringspladsen, så ryger forbindelsen, så de kan altså ikke komme tæt på uden at jeg ser dem • Antenneforstærkere går for 2.000 og opefter • ’Pringles forstærkeren’ har været et effektivt redskab for en engelsk hacker i Londons finansdistrikt

  15. 802.11 sikkerhed er utilstrækkelig • Virksomheder bør undgå WEP • Ingen model for distribution og reudstedelse af nøgler • Klassisk hacking gøres meget, meget nemmere • Airsnort/WEPcrack indsamler krypterede data og vha. kryptoanalyse kan nøglen udledes • WEP kan til nød bruges privat • Private halter bagefter, men virksomheder er kommet godt med • Typisk misbruges trådløse netværk til snylteri på andres Internetadgang • Måske uskadeligt, men hvis din nabo havde rigtigt kedelige tendenser og helst ville operere i det skjulte …

  16. Hvad er udviklingen?Hurtigere og sikrere • Hurtigere • Sikrere • Fra juni 2004 er 802.11i officiel sikkerhedsstandard til 802.11 • WPA som forløber for 802.11i har allerede haft en dramatisk effekt på sikkerheden

  17. Wifi Protected Access • WPA • Kræver 802.1x authentication, kryptering og re-udstedelse af krypteringsnøgle • Har model for 802.1x validering i miljøer uden RADIUS server • Temporal Key Integrity Protocol (TKIP) erstatter WEP til nøglekryptering • Kræver opdatering af AP’s, netkort og software • Kompatibilitet • Windows XP SP2 understøtter WPA • <SP2: http://support.microsoft.com/?kbid=815485 • Windows 2000 SP4 indeholder 802.1x klient

  18. Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…

  19. LøsningsmodellerI kvalitativ rækkefølge • Brug kabler! • Sparet risiko omkostninger og pris på implementering vs. lost opportunity omkostninger • 802.11 baseret sikkerhed • 802.11b med/uden WEP kryptering = bødestraf • WPA/802.11i er faktisk ganske godt • Virtual Private Networking teknologi • VPN er super til remote access men er ikke designet med WLAN i tankerne • Kræver ekstra logon • VPN Server bliver en flaskehals • IPsec • Effektivt, men kun validering af computeren • IPsec policies kan være en kompleks opgave i større miljøer • Certifikater og stærk kryptering mellem trådløse klienter og Access Point • 802.1x, EAP-TLS, WPA og PKI infrastruktur

  20. Anvendt teknologi 1: 802.1x • Standard der definerer port-baseret netværksadgang • Anvendes i kablede netværk og i dag i stor stil i WLAN’s • 802.1x kompatible AP’s beder om adgang og validerer førend porten åbnes for netværks services • IEEE 802.1X begreber: • Port access entitet (PAE), det logiske ‘stik i switchen’ • Supplicant • Authenticator • Authentication server • Kan være access point • Kan være seperat entitet, typisk RADIUS Supplicant PAEs Authenticator Authentication server

  21. Anvendt teknologi 2; RADIUS • Remote Access User Dial-in Service • Bredt anvendt teknologi der muliggør central: • Authentication og authorization • Accounting for netværksadgang • RADIUS anvendes i dag til • Trådløse accesspoints • Authentication på Ethernet switche • VPN servere • Internet Authentication Service; Microsoft RADIUS Server • Centraliseret authentication, authorization og accounting for mange former for netværks adgang • IAS bruger Active Directory • Bruger credentials for authentication • Dial-in egenskaber og remote access policies mht. authorization Access servers Trådløst AP VPN server RADIUS protokol Bruger database/ Active Directory RADIUS/IAS server

  22. Anvendt teknologi 3; EAP • Extensible Authentication Protocol (EAP) • Standard for at gennemføre netværks baseret authentication • Det snedige i EAP er, at authentication mekanismen ikke vælges ifb. med link etablering • EAP understøtter 802.1x • EAP understøtter – og kan udbygges med – flere authentication typer • Windows (XP, 2003 og 2000.SP4) understøtter EAP-MD5 CHAP, EAP-TLS og Protected EAP (PEAP) • EAP-TLS er velegnet i relation til trådløse netværk fordi; • Der anvendes certifikater og man er derfor ikke afhængig af bruger password • Authentication sker uden bruger interaktion

  23. 802.1x + RADIUS + EAP-TLS • Vi har nu en samlet pakke • Filosofien er gyldig legitimation før noget sker • Access point bliver pass-through enhed, der tillader at EAP meddelser kan passere mellem klient og RADIUS server • Al bearbejdning foregår kun på klient og RADIUS server • Kun PC’er ’vi stoler på’ får adgang; Intet pas? Smut!

  24. Teknologier på Windows Server 2003 • IAS services installeres og konfigureres • Certificate Services installeres og konfigureres • Standard komponent i alle versioner af Windows 2000 Server + Windows Server 2003 • Udrulning af certifikater til trådløs authentication • Computer certifikat ligger i Local Computer store og er tilgængelig, under bootprocessen • Bruger certifikat til ligger i Current User store • Du bør udrulle både computer og bruger certifikater • Anbefalet udrulning er at konfigurere en group policy på domæne niveau der installerer certifikat • Fordrer klienter kører Windows 2000/XP og at virksomheden har en etableret Active Directory infrastruktur • Alternativ 1: http://[servernavn]/certsrv • Alternativ 2: Bruger importerer certifikat via Certificates snap-in • Alternativ 3: Lav en applikation eller et script der bruger CAPICOM

  25. Installation af IAS Overblik over IAS Udrulning af certifikater Certificate authority

  26. Basisteknologien nu etableretDaglig styring er Remote Access Policies • Styring sker ved User account dial-in • Definerede ‘spilleregler’ der afgør hvorvidt forbindelser bliver godkendt eller afvist • Gruppe medlemsskab • Forbindelsestype • Tidspunkt på døgnet • Når en forbindelse autoriseres vil den pågældende remote access policy angive en række restriktioner • Krypterings styrke • Authentication metode • Time out ved idle • Maksimal længde på session • Klassisk metodik via policy i native-mode • Control access through Remote Access Policy for alle accounts • Policies for forskellige forbindelses typer og gruppe medlemsskaber

  27. Styring af trådløs adgang med RAP

  28. Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…

  29. ImplementeringSecuring Wireless LAN’s – A Windows Server 2003 Certificates solution • Foretag overall beslutning om trådløs strategi • Udarbejd WLAN arkitektur (hardware, ESS mm.) • Design og konfiguration af PKI infrastruktur • Design og konfiguration af IAS server på DC og eller primær/sekundær IAS server • Konfiguration af trådløs sikkerhed med 802.1x • Konfiguration af Active Directory mht. Accounts og grupper • Konfiguration af RADIUS accounting og authentication på trådløse access points • Udrulning af certifikater • Test • Monitorering • Anvend værktøjer i løsningsarkitektur og nye MMC værktøjer

  30. Et par praktiske bemærkninger • En Enterprise root CA server ændrer ikke navn • Installér om muligt IAS på en domæne controller • Reducerer kraftigt netværks I/O • CPU bekymringer? Test det. • En virksomhed i nærheden af Redmond har lavet en større testkørsel uden problemer • Udvælg det rigtige access point • Cisco 340/350 anvendes som standard i Microsoft • Undgå ulovlige access points • Bruger uddannelse, politikker og Group Policy • Monitorering er vigtig … også her • Anvend Wireless Network GPO for automatisk at konfigurere trådløse klienter med din virksomheds SSID • Kører du native mode, så brug universal groups and global groups til at organisere trådløse computer- og evt. bruger accounts i én gruppe

  31. Opsummering på teknologi

  32. Opsummering • Trådløst netværk er et godt alternativ til kablede netværk med masser af funktionalitet • De indbyggede standarder er svage • Markante forbedringer er set indenfor de seneste 6 måneder; WPA og 802.11i • Implementér et trådløst netværk med høj sikkerhed fra starten • Basér dig på eksisterende komponenter • Byg løsningen og vær i stand til at bygge ovenpå med yderligere løsninger for din virksomhed på et senere tidspunkt • Brug ’manualen’ udgivet af Microsoft

  33. Links og yderligere info • Securing Wireless LAN’s – A Windows Server 2003 Certificates solution • http://go.microsoft.com/fwlink/?LinkId=14845 • Designing and Deploying Wireless LAN Connectivity for the Microsoft Corporate Network • http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/wlandply.mspx • The Advantages of Protected Extensible Authentication Protocol (PEAP) • http://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx • Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure • http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx • Andre links • http://www.jiwire.com • ttp://www.ieee802.org/11/ • http://www.wi-fialliance.org/OpenSection/pdf/Wi-fi_Protected_Access_Overview.pdf

More Related