Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Sikkert trådløst netværk

Lignende præsentationer


Præsentationer af emnet: "Sikkert trådløst netværk"— Præsentationens transcript:

1 Sikkert trådløst netværk
Torben Marcussen Senior Systems Engineer Microsoft Danmark

2 Agenda Baggrund Praksis Hvordan virker trådløse netværk?
Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…

3 For et halvt år siden fik min genbo bredbånd og Wifi
Adspurgt om krypteringsnøgle fik han et underligt udtryk i øjnene …hvad i alverden skulle en hacker dog bruge hans filer til? …og for det meste var det hans arbejds PC der blev brugt og den var da sikret via arbejdet Stadig; hvorfor bruge tid på sikkerhed? Vi låser vores bildør for at få biltyven til at gå hen til den næste bil for at se om døren er ulåst. Vil han ind, så kommer han ind En dygtig hacker der vil ind har mange strenge at spille på, hvor trådløse netværk blot er én af dem

4 Derfor kan vi li’ trådløse netværk
På kontoret Det ér praktisk at kunne hente præsentationen fra filserveren, når man sidder i mødelokalet Det er møjt billigt at ’trække nye kabler’ Derhjemme Hvem synes ikke det er cool at svare på mails under parasollen ude i haven? Hvem synes ikke det er rart at slippe for de hæslige netkabler, der ligger og flyder på gulvet? Priser og nye sikkerhedsstander gør det samlet meget attraktivt for de fleste virksomheder

5 Agenda Baggrund Praksis Hvordan virker trådløse netværk?
Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…

6 De fundamentale begreber
’Konversationen’ mellem bærbar og access point er den trådløse standard Ad hoc: trådløse klienter kommunikerer direkte (intet AP) Infrastructure: Kommunikation sker via AP SSID: Service Set IDentifier, dvs. kaldenavnet WEP: Wired Equivalent Privacy; kryptering af data Challenge Request WEP krypterede data SSID Bærbar1 WEP tunnel Bredgade2.1TV

7 De fundamentale begreber, 2
Basic Service Set: Ét Access Point til alle trådløse klienter Typisk løsning i fysisk små virksomheder eller i hjemmet Extended Service Set: Access Points arbejder sammen og flytter bærbare fra sted til sted uden at man mister forbindelsen Roaming Internet

8 De fundamentale begreber, 3
Porte En kanal mellem trådløs klient og accesspoint; en logisk kanal AP har flere porte, klienten har typisk kun én Kombineret med 802.1X er porte centrale i trådløst regi (såvel som kablet) i relation til kontrollerede/ikke-kontrollerede porte Kontrolleret Port IEEE 802.1X Trådløs klient Ikke- kontrolleret Port

9 Trådløs funktionalitet i Windows XP
Windows XP forstår og anvender trådløse netværk De bagvedliggende standarder og opkoblingen til access points (802.11, WPA m.fl.) Trådløse netværkskort fra forskellige hardware producenter Indbygget funktionalitet for at konfigurere trådløse netværk Funktionaliteten omkring trådløse netværk er yderligere forbedret med SP2 Mere sikker adfærd mht. ubeskyttede netværk Bedre overblik over tilgængelige trådløse netværk

10 Agenda Baggrund Praksis Hvordan virker trådløse netværk?
Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…

11 Trådløs sikkerhed i 802.11 Open System Authentication
Liste med MAC adresser kan associeres, men… Shared Key authentication Antager en sikker distributionskanal Wired Equivalent Privacy (WEP) Global key; multi- og broadcast kryptering fra AP til klienter Unicast key; Sessionskryptering mellem klient og AP Anvender 40 eller 104 bit krypteringsnøgler

12 Jeg-har-lige-købt-et-access-point-sikkerhed
Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Her er bærbar1 … findes der et Access Point her i nærheden? Ja, kalder, kalder. Her er Bredgade1TV. Kan jeg hjælpe? Ja tak, jeg vil gerne kobles til Internettet Et øjeblik. Så gerne. Du er nu koblet op til Internettet. Kalder, kalder her er Bredgade2.1TV … Kalder, kalder Bærbar1 Bredgade2.1TV

13 Jeg-har-lige-købt-et-access-point-og-er-blevet-klogere-sikkerhed
Her er bærbar1 … jeg vil gerne kobles til Internettet via Bredgade2.1TV Goddag bærbar1. Vi opererer ikke her med en navneliste her, så jeg kender dig ikke! Har du i stedet det hemmelige kodeord? Ja, det er SesamLukDigOpForFanden Øh, et øjeblik … jo tak koden er korrekt. Du er en fin fyr, så vi kan godt koble dig op via Bredgade2.1TV Åhja, inden vi kobler dig på Internettet så skifter vil lige over til japansk af sikkerhedsmæssige årsager. Er det i orden? Ja, det er OK Tak. ムミックで4つの剣+を楽しむ ルに平和を取り戻せ! Bærbar1 Bredgade2.1TV

14 Default opsætning af Access Points er problematisk
En Microsoft partner tog en køretur i et område med mindre industri og parcelhuse, en tur på ca. 5 km 42 Access Points broadcastede SSID Over 75% af disse havde ikke WEP slået til Med et simpelt lytteværktøj (f. eks. Ethereal) kunne han have samlet netværkstrafikken og ad dén vej læse mails, brugernavne, passwords oma. Over 50% havde standardopsætningen fra fabrikkens side Ja, jaaa Torben … men når jeg står ude på parkeringspladsen, så ryger forbindelsen, så de kan altså ikke komme tæt på uden at jeg ser dem Antenneforstærkere går for og opefter ’Pringles forstærkeren’ har været et effektivt redskab for en engelsk hacker i Londons finansdistrikt

15 802.11 sikkerhed er utilstrækkelig
Virksomheder bør undgå WEP Ingen model for distribution og reudstedelse af nøgler Klassisk hacking gøres meget, meget nemmere Airsnort/WEPcrack indsamler krypterede data og vha. kryptoanalyse kan nøglen udledes WEP kan til nød bruges privat Private halter bagefter, men virksomheder er kommet godt med Typisk misbruges trådløse netværk til snylteri på andres Internetadgang Måske uskadeligt, men hvis din nabo havde rigtigt kedelige tendenser og helst ville operere i det skjulte …

16 Hvad er udviklingen? Hurtigere og sikrere
Fra juni 2004 er i officiel sikkerhedsstandard til WPA som forløber for i har allerede haft en dramatisk effekt på sikkerheden Standard Officielt navn Navn 802.11 Wireless Local Area Network Wifi 802.15 Personal Area Network Bluetooth 802.16 Metropolitan Area Network WiMax 802.20 Wide Area Network WAN Standard Hastighed Frekvens KB/sek MB/min 802.11b 11 mbps 2,4 ghz 1.340 80 802.11a 54 mbps 5 ghz 6.500 385 802.11g*

17 Wifi Protected Access WPA Kompatibilitet
Kræver 802.1x authentication, kryptering og re-udstedelse af krypteringsnøgle Har model for 802.1x validering i miljøer uden RADIUS server Temporal Key Integrity Protocol (TKIP) erstatter WEP til nøglekryptering Kræver opdatering af AP’s, netkort og software Kompatibilitet Windows XP SP2 understøtter WPA <SP2: Windows 2000 SP4 indeholder 802.1x klient

18 Agenda Baggrund Praksis Hvordan virker trådløse netværk?
Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…

19 Løsningsmodeller I kvalitativ rækkefølge
Brug kabler! Sparet risiko omkostninger og pris på implementering vs. lost opportunity omkostninger baseret sikkerhed 802.11b med/uden WEP kryptering = bødestraf WPA/802.11i er faktisk ganske godt Virtual Private Networking teknologi VPN er super til remote access men er ikke designet med WLAN i tankerne Kræver ekstra logon VPN Server bliver en flaskehals IPsec Effektivt, men kun validering af computeren IPsec policies kan være en kompleks opgave i større miljøer Certifikater og stærk kryptering mellem trådløse klienter og Access Point 802.1x, EAP-TLS, WPA og PKI infrastruktur

20 Anvendt teknologi 1: 802.1x Standard der definerer port-baseret netværksadgang Anvendes i kablede netværk og i dag i stor stil i WLAN’s 802.1x kompatible AP’s beder om adgang og validerer førend porten åbnes for netværks services IEEE 802.1X begreber: Port access entitet (PAE), det logiske ‘stik i switchen’ Supplicant Authenticator Authentication server Kan være access point Kan være seperat entitet, typisk RADIUS Supplicant PAEs Authenticator Authentication server

21 Anvendt teknologi 2; RADIUS
Remote Access User Dial-in Service Bredt anvendt teknologi der muliggør central: Authentication og authorization Accounting for netværksadgang RADIUS anvendes i dag til Trådløse accesspoints Authentication på Ethernet switche VPN servere Internet Authentication Service; Microsoft RADIUS Server Centraliseret authentication, authorization og accounting for mange former for netværks adgang IAS bruger Active Directory Bruger credentials for authentication Dial-in egenskaber og remote access policies mht. authorization Access servers Trådløst AP VPN server RADIUS protokol Bruger database/ Active Directory RADIUS/IAS server

22 Anvendt teknologi 3; EAP
Extensible Authentication Protocol (EAP) Standard for at gennemføre netværks baseret authentication Det snedige i EAP er, at authentication mekanismen ikke vælges ifb. med link etablering EAP understøtter 802.1x EAP understøtter – og kan udbygges med – flere authentication typer Windows (XP, 2003 og 2000.SP4) understøtter EAP-MD5 CHAP, EAP-TLS og Protected EAP (PEAP) EAP-TLS er velegnet i relation til trådløse netværk fordi; Der anvendes certifikater og man er derfor ikke afhængig af bruger password Authentication sker uden bruger interaktion

23 802.1x + RADIUS + EAP-TLS Vi har nu en samlet pakke
Filosofien er gyldig legitimation før noget sker Access point bliver pass-through enhed, der tillader at EAP meddelser kan passere mellem klient og RADIUS server Al bearbejdning foregår kun på klient og RADIUS server Kun PC’er ’vi stoler på’ får adgang; Intet pas? Smut!

24 Teknologier på Windows Server 2003
IAS services installeres og konfigureres Certificate Services installeres og konfigureres Standard komponent i alle versioner af Windows 2000 Server + Windows Server 2003 Udrulning af certifikater til trådløs authentication Computer certifikat ligger i Local Computer store og er tilgængelig, under bootprocessen Bruger certifikat til ligger i Current User store Du bør udrulle både computer og bruger certifikater Anbefalet udrulning er at konfigurere en group policy på domæne niveau der installerer certifikat Fordrer klienter kører Windows 2000/XP og at virksomheden har en etableret Active Directory infrastruktur Alternativ 1: Alternativ 2: Bruger importerer certifikat via Certificates snap-in Alternativ 3: Lav en applikation eller et script der bruger CAPICOM

25 Installation af IAS Overblik over IAS Udrulning af certifikater Certificate authority

26 Basisteknologien nu etableret Daglig styring er Remote Access Policies
Styring sker ved User account dial-in Definerede ‘spilleregler’ der afgør hvorvidt forbindelser bliver godkendt eller afvist Gruppe medlemsskab Forbindelsestype Tidspunkt på døgnet Når en forbindelse autoriseres vil den pågældende remote access policy angive en række restriktioner Krypterings styrke Authentication metode Time out ved idle Maksimal længde på session Klassisk metodik via policy i native-mode Control access through Remote Access Policy for alle accounts Policies for forskellige forbindelses typer og gruppe medlemsskaber

27 Styring af trådløs adgang med RAP

28 Agenda Baggrund Praksis Hvordan virker trådløse netværk?
Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…

29 Implementering Securing Wireless LAN’s – A Windows Server 2003 Certificates solution
Foretag overall beslutning om trådløs strategi Udarbejd WLAN arkitektur (hardware, ESS mm.) Design og konfiguration af PKI infrastruktur Design og konfiguration af IAS server på DC og eller primær/sekundær IAS server Konfiguration af trådløs sikkerhed med 802.1x Konfiguration af Active Directory mht. Accounts og grupper Konfiguration af RADIUS accounting og authentication på trådløse access points Udrulning af certifikater Test Monitorering Anvend værktøjer i løsningsarkitektur og nye MMC værktøjer

30 Et par praktiske bemærkninger
En Enterprise root CA server ændrer ikke navn Installér om muligt IAS på en domæne controller Reducerer kraftigt netværks I/O CPU bekymringer? Test det. En virksomhed i nærheden af Redmond har lavet en større testkørsel uden problemer Udvælg det rigtige access point Cisco 340/350 anvendes som standard i Microsoft Undgå ulovlige access points Bruger uddannelse, politikker og Group Policy Monitorering er vigtig … også her Anvend Wireless Network GPO for automatisk at konfigurere trådløse klienter med din virksomheds SSID Kører du native mode, så brug universal groups and global groups til at organisere trådløse computer- og evt. bruger accounts i én gruppe

31 Opsummering på teknologi
Trådløse klienter Radio Typer: a/b/g Network Authentication: 802.1X, WPA/802.11i Windows XP Wireless Zero Config 802.1X, WPA Certifikater, Passwords, Smartcards Wireless Group Policy Integreret Windows klient, standard baseret sikkerhed Trådløse Access Points Kryptering: WEP og TKIP Ethvert Access Point der supporterer (!) og 802.1x Kompatibilitet RADIUS Server RADIUS EAP/TLS PEAP-MSCHAPv2 Remote Access Policies Windows IAS EAP/TLS (certificates/smartcard) PEAP (password) Radius Proxy functions Logging Sikkerhed, skalerer og god administration Brugerdatabase Remote Access permissions Active Directory Wireless GPO User/machine auth. Centraliseret administration Certificate Authority (option) Certificates Certificate Server Computer og user autoenrollment Automatisk udrulning

32 Opsummering Trådløst netværk er et godt alternativ til kablede netværk med masser af funktionalitet De indbyggede standarder er svage Markante forbedringer er set indenfor de seneste 6 måneder; WPA og i Implementér et trådløst netværk med høj sikkerhed fra starten Basér dig på eksisterende komponenter Byg løsningen og vær i stand til at bygge ovenpå med yderligere løsninger for din virksomhed på et senere tidspunkt Brug ’manualen’ udgivet af Microsoft

33 Links og yderligere info
Securing Wireless LAN’s – A Windows Server 2003 Certificates solution Designing and Deploying Wireless LAN Connectivity for the Microsoft Corporate Network The Advantages of Protected Extensible Authentication Protocol (PEAP) Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure Andre links ttp://www.ieee802.org/11/

34


Download ppt "Sikkert trådløst netværk"

Lignende præsentationer


Annoncer fra Google