330 likes | 420 Views
Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner. www.bluesocket.com. Grunds ä tzliche Ü berlegungen beim Einsatz von WLANs Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen. Agenda.
E N D
Management und Sicherheit für Wireless LANsDFN-Betriebstagung, Berlin12. Oktober 2004/Gudrun Weinfurtner www.bluesocket.com
Grundsätzliche Überlegungen beim Einsatz von WLANs Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen Agenda
Kernprobleme beim Einsatz von WLANs Phase 1 Phase 2 Phase 3 Sicherheit Mobilität Management • Flächendeckende Verfügbarkeit auf dem Betriebsgelände • Roaming zu anderen Einrichtungen • Sehr hohe Anzahl von Nutzern • Mehrere verschiedene Geräte pro Nutzer • Bandbreitenmanage-ment • Funkwellen kennen keine Wände • Standardeinstellungen sind nicht sicher • Sicherheitsstandard ist am unteren Rand des Vertretbaren
WLAN Schwachstellen auf Level 2 Vier Hauptgefahren: • Eindringen • Daten ausspähen durch Abhören • Fake access Point(Man in the middle attack) • Private Access Points Abhören Wireless Link AP Eindringling LAN LAN Fake AP privater AP
Alle Nutzer teilen sich ein Medium zu gleichen Bedingungen Faible sécurité Kein Bandbreiten-Management!
Fehlen von “nahtloser” sicherer Mobilität • Große Netze werden in viele IP-Subnetze unterteilt • 802.11 erlaubt kein “Subnet Roaming” – Benutzer müssen sich erneut authentisieren, sobald sie sich “bewegen” • Benutzer wünschen mühelose sichere Mobilität • Typischerweise ist Client-Software erforderlich um “Subnet Roaming” durchzuführen – dies ist nicht immer möglich
Client Software wird benötigt ? ? ? ? ? ?
Die “Buchstaben-Suppe” der 802.11 Standards (b,a,g,h,I,e,f,1x) und die Notwendigkeit z.B. Bluetooth auf PDAs zu unterstützen stellen eine große Herausforderung an Kompatibilităt und Upgrade dar. Standards: Gegenwart und Zukunft ? ? Welches Protokoll? Welche WLAN Karte? Welcher Hersteller? Lösungen müssen einfach sein und sollten allen heutigen und zukünftigen Standards genügen
Bluesocket Integrated Wireless Gateway Anstelle von vielen, komplexen und teuren Netzwerkkomponenten: Wireless Gateway
Mobile Endgeräte: NIC or built-in 802.11 802.11 Access Points 802.11b, 802.11g 802.11a/b etc Authentication Server LDAP, Radius, NT Domain Server Bluesocket in Ihrem Netzwerk
Verschlüsselung/VPN Bluesocket Wireless Gateway kann als Tunnel-Endpunkt für IPSEC (DES, 3 DES, AES) PPTP und L2TP verwendet werden
Authentifizierung Verschiedene Möglichkeiten werden hier unterstützt • Web Browser Authentifizierung • Windows transparente Authentifizierung • 802.1x transparente Authentifizierung • PPTP transparente Authentifizierung • MAC-Adressen Authentifizierung
Differenzierte Zugangskontrolle Rollen basierter Ansatz Eine Rolle definiert: • Ob und welche Verschlüsselungen zu verwenden sind • Bandbreiten-Management: - pro Nutzer- pro Nutzergruppe- Diffserv • Zugangsrechte: - Bi-direktionale State-full FW- VLAN- Zeitgesteuert - Policy je nach Einwahlort
Router Access Point Access Point Mobile LAN “A” Campus Network Bluesocket WG-1000 Bluesocket WG-2000 Sichere Mobilität • Verbindung ist • hergestellt • VPN Tunnel ist • etabliert LAN “B” • Nutzer “roamt” zu • einem anderen Subnet Router
Router Mobile Access Point Access Point LAN “A” LAN “B” Bluesocket WG-1000 Bluesocket WG-2000 Sichere Mobilität • Verbindung ist • hergestellt • WGs • kommunizieren • den • Standortwechsel Campus Network • VPN-Tunnel wird übergeben • Nutzer “roamt” • nahtlos ohne • erneute Anmeldung Router
Bluesocket monitort jeden Wireless Traffic in real-time Basierend auf den Schwellenwerten, die vom Admin konfiguriert werden, wird das Nutzerverhalten untersucht Gibt dem Admin die volle Kontrolle über deren WLAN UMgebung Intrusion Detection/Worm Prevention Name des Nutzers bzw. Angreifers IDS Status (z.B.: “Blocked or Monitored”) Belegte Ports bei einem Angriff / Wurm Exploit
WG-1100 SOE WG-1100 WG-2100 WG-5000
WLAN D WLAN A WLAN B WLAN C Secure Mobility™ MatriX Internet Netzwerk Backbone Radius, LDAP, Active Directory, NT Domain Server Zentrale Server
API Verbinden/Trennen von Nutzern Ändern der Nutzer-Rolle Erzeugen von Rollen … WALLED GARDEN / PAGES BLANCHES Authorisierter Zugang zu speziellen Anwendungen oder Webseiten obwohl der Nutzer nicht authentifiziert ist.. Individualisierbar durch API Walled Garden AP • API APPLICATION SERVER MANAGEMENT SERVER
Warum BlueSecure? Zum Durchsetzen einer “No Wireless” Richtlinie Zum Schützen bereits existierender Wireless LANs Zum Durchfueren von Wireless Sicherheits- Audits Zum Durchführen von Tests, Troubleshooting, und Beobachten des Durchsatzes eines WLANs
Spezielle Überwachungsappliance Snifft Wireless Pakete von APs und Client Stationen Per Funk nicht ansprechbar Mitten im WLAN Bereich können viele APs gleichzeitig überwacht werden Alle Sensoren laufen auf dem BlueSecure Server auf 802.11a/b/g (w/ 802.3af PoE) BlueSecure RF Sensor Model 802.11a/b/g
BlueSecure Server • Sammelt und archiviert Infos von den BlueSecure Rf Sensoren • Korreliert die Sensordaten um 802.11 spezifische Muster für Verwundbarkeiten und Angriffe zu erkennen • Neue Stationen werden automatisch erkannt • Auffinden von “privaten” APs • Auffinden von Verwundbarkeiten • CustomProtect™ • Intrusion detection • Alarm management • Datenstromanalyse • Windows basierend
Universität Rostock Parker Hannifin, Germany Berufsschule, Lörrach Blom AG, Hamburg Johannes Keppler Universität Linz, Austria Bern University, Switzerland Basel University, Switzerland Toyota, Belgium Framestore, UK Lehman Brothers, UK Zamora Wireless city, Spain SNECMA Services, France Parker Hannifin, Worldwide Southampton University, UK Nottingham University, UK Best Western Hotels, Stockholm BTG (formerly British Technology Group), UK Manchester Conference Centre, UK ….etc Wo sind bereits mit WG abgesicherte WLANs im Einsatz? • Harvard University • University of California • MRO Software, Boston • University of Texas – Dallas • University of Wisconsin • Microsoft, Boston • ATC Acoustics • Duke Energy, Charlotte • Wayne State University • U.S. Navy & Air Force • U.S. Dept. of Defense/NSA • Novartis Pharmaceutical • Lasell College, Boston • Holy Redeemer Health System • DSO National Laboratories • Rutgers University, New Jersey • Paul, Hastings, Janofsky & Walker LLP • Skokie Public Library • etc …….. Main European airport won but not yet operational
Danke! Gudrun Weinfurtner Bluesocket Ltd., Prielmeyerstraße 3, 80335 München Tel. 09943/902842 oder Mobil Tel. 0172/7406614 www.bluesocket.com