1 / 33

Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner

Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner. www.bluesocket.com. Grunds ä tzliche Ü berlegungen beim Einsatz von WLANs Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen . Agenda.

philantha
Download Presentation

Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Management und Sicherheit für Wireless LANsDFN-Betriebstagung, Berlin12. Oktober 2004/Gudrun Weinfurtner www.bluesocket.com

  2. Grundsätzliche Überlegungen beim Einsatz von WLANs Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen Agenda

  3. Grundsätzliche Überlegungen beim Einsatz von WLANs

  4. Kernprobleme beim Einsatz von WLANs Phase 1 Phase 2 Phase 3 Sicherheit Mobilität Management • Flächendeckende Verfügbarkeit auf dem Betriebsgelände • Roaming zu anderen Einrichtungen • Sehr hohe Anzahl von Nutzern • Mehrere verschiedene Geräte pro Nutzer • Bandbreitenmanage-ment • Funkwellen kennen keine Wände • Standardeinstellungen sind nicht sicher • Sicherheitsstandard ist am unteren Rand des Vertretbaren

  5. WLAN Schwachstellen auf Level 2 Vier Hauptgefahren: • Eindringen • Daten ausspähen durch Abhören • Fake access Point(Man in the middle attack) • Private Access Points Abhören Wireless Link AP Eindringling LAN LAN Fake AP privater AP

  6. Alle Nutzer teilen sich ein Medium zu gleichen Bedingungen Faible sécurité Kein Bandbreiten-Management!

  7. Fehlen von “nahtloser” sicherer Mobilität • Große Netze werden in viele IP-Subnetze unterteilt • 802.11 erlaubt kein “Subnet Roaming” – Benutzer müssen sich erneut authentisieren, sobald sie sich “bewegen” • Benutzer wünschen mühelose sichere Mobilität • Typischerweise ist Client-Software erforderlich um “Subnet Roaming” durchzuführen – dies ist nicht immer möglich

  8. Komplexe und teure Netzwerkkomponenten

  9. Client Software wird benötigt ? ? ? ? ? ?

  10. Die “Buchstaben-Suppe” der 802.11 Standards (b,a,g,h,I,e,f,1x) und die Notwendigkeit z.B. Bluetooth auf PDAs zu unterstützen stellen eine große Herausforderung an Kompatibilităt und Upgrade dar. Standards: Gegenwart und Zukunft ? ? Welches Protokoll? Welche WLAN Karte? Welcher Hersteller? Lösungen müssen einfach sein und sollten allen heutigen und zukünftigen Standards genügen

  11. Bluesocket Integrated Wireless Gateway Anstelle von vielen, komplexen und teuren Netzwerkkomponenten: Wireless Gateway

  12. Bluesocket Wireless Gateway

  13. Mobile Endgeräte: NIC or built-in 802.11 802.11 Access Points 802.11b, 802.11g 802.11a/b etc Authentication Server LDAP, Radius, NT Domain Server Bluesocket in Ihrem Netzwerk

  14. Verschlüsselung/VPN Bluesocket Wireless Gateway kann als Tunnel-Endpunkt für IPSEC (DES, 3 DES, AES) PPTP und L2TP verwendet werden

  15. Authentifizierung Verschiedene Möglichkeiten werden hier unterstützt • Web Browser Authentifizierung • Windows transparente Authentifizierung • 802.1x transparente Authentifizierung • PPTP transparente Authentifizierung • MAC-Adressen Authentifizierung

  16. Differenzierte Zugangskontrolle Rollen basierter Ansatz Eine Rolle definiert: • Ob und welche Verschlüsselungen zu verwenden sind • Bandbreiten-Management: - pro Nutzer- pro Nutzergruppe- Diffserv • Zugangsrechte: - Bi-direktionale State-full FW- VLAN- Zeitgesteuert - Policy je nach Einwahlort

  17. Router Access Point Access Point Mobile LAN “A” Campus Network Bluesocket WG-1000 Bluesocket WG-2000 Sichere Mobilität • Verbindung ist • hergestellt • VPN Tunnel ist • etabliert LAN “B” • Nutzer “roamt” zu • einem anderen Subnet Router

  18. Router Mobile Access Point Access Point LAN “A” LAN “B” Bluesocket WG-1000 Bluesocket WG-2000 Sichere Mobilität • Verbindung ist • hergestellt • WGs • kommunizieren • den • Standortwechsel Campus Network • VPN-Tunnel wird übergeben • Nutzer “roamt” • nahtlos ohne • erneute Anmeldung Router

  19. Bluesocket monitort jeden Wireless Traffic in real-time Basierend auf den Schwellenwerten, die vom Admin konfiguriert werden, wird das Nutzerverhalten untersucht Gibt dem Admin die volle Kontrolle über deren WLAN UMgebung Intrusion Detection/Worm Prevention Name des Nutzers bzw. Angreifers IDS Status (z.B.: “Blocked or Monitored”) Belegte Ports bei einem Angriff / Wurm Exploit

  20. Deployment und Administration

  21. WG-1100 SOE WG-1100 WG-2100 WG-5000

  22. WLAN D WLAN A WLAN B WLAN C Secure Mobility™ MatriX Internet Netzwerk Backbone Radius, LDAP, Active Directory, NT Domain Server Zentrale Server

  23. API Verbinden/Trennen von Nutzern Ändern der Nutzer-Rolle Erzeugen von Rollen … WALLED GARDEN / PAGES BLANCHES Authorisierter Zugang zu speziellen Anwendungen oder Webseiten obwohl der Nutzer nicht authentifiziert ist.. Individualisierbar durch API Walled Garden AP • API APPLICATION SERVER MANAGEMENT SERVER

  24. Wireless Gateway Zusammenfassung

  25. 802.1x oder VPN alleine decken nicht alle Szenarien ab

  26. BlueSecure – die ideale Ergänzung

  27. Warum BlueSecure?   Zum Durchsetzen einer “No Wireless” Richtlinie Zum Schützen bereits existierender Wireless LANs   Zum Durchfueren von Wireless Sicherheits- Audits Zum Durchführen von Tests, Troubleshooting, und Beobachten des Durchsatzes eines WLANs

  28. Spezielle Überwachungsappliance Snifft Wireless Pakete von APs und Client Stationen Per Funk nicht ansprechbar Mitten im WLAN Bereich können viele APs gleichzeitig überwacht werden Alle Sensoren laufen auf dem BlueSecure Server auf 802.11a/b/g (w/ 802.3af PoE) BlueSecure RF Sensor Model 802.11a/b/g

  29. BlueSecure Server • Sammelt und archiviert Infos von den BlueSecure Rf Sensoren • Korreliert die Sensordaten um 802.11 spezifische Muster für Verwundbarkeiten und Angriffe zu erkennen • Neue Stationen werden automatisch erkannt • Auffinden von “privaten” APs • Auffinden von Verwundbarkeiten • CustomProtect™ • Intrusion detection • Alarm management • Datenstromanalyse • Windows basierend

  30. Referenzen

  31. Universität Rostock Parker Hannifin, Germany Berufsschule, Lörrach Blom AG, Hamburg Johannes Keppler Universität Linz, Austria Bern University, Switzerland Basel University, Switzerland Toyota, Belgium Framestore, UK Lehman Brothers, UK Zamora Wireless city, Spain SNECMA Services, France Parker Hannifin, Worldwide Southampton University, UK Nottingham University, UK Best Western Hotels, Stockholm BTG (formerly British Technology Group), UK Manchester Conference Centre, UK ….etc Wo sind bereits mit WG abgesicherte WLANs im Einsatz? • Harvard University • University of California • MRO Software, Boston • University of Texas – Dallas • University of Wisconsin • Microsoft, Boston • ATC Acoustics • Duke Energy, Charlotte • Wayne State University • U.S. Navy & Air Force • U.S. Dept. of Defense/NSA • Novartis Pharmaceutical • Lasell College, Boston • Holy Redeemer Health System • DSO National Laboratories • Rutgers University, New Jersey • Paul, Hastings, Janofsky & Walker LLP • Skokie Public Library • etc …….. Main European airport won but not yet operational

  32. Danke! Gudrun Weinfurtner Bluesocket Ltd., Prielmeyerstraße 3, 80335 München Tel. 09943/902842 oder Mobil Tel. 0172/7406614 www.bluesocket.com

More Related