Sikkert trådløst netværk Torben Marcussen Senior Systems Engineer Microsoft Danmark
Agenda Baggrund Praksis Hvordan virker trådløse netværk? Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…
For et halvt år siden fik min genbo bredbånd og Wifi Adspurgt om krypteringsnøgle fik han et underligt udtryk i øjnene …hvad i alverden skulle en hacker dog bruge hans filer til? …og for det meste var det hans arbejds PC der blev brugt og den var da sikret via arbejdet Stadig; hvorfor bruge tid på sikkerhed? Vi låser vores bildør for at få biltyven til at gå hen til den næste bil for at se om døren er ulåst. Vil han ind, så kommer han ind En dygtig hacker der vil ind har mange strenge at spille på, hvor trådløse netværk blot er én af dem
Derfor kan vi li’ trådløse netværk På kontoret Det ér praktisk at kunne hente præsentationen fra filserveren, når man sidder i mødelokalet Det er møjt billigt at ’trække nye kabler’ Derhjemme Hvem synes ikke det er cool at svare på mails under parasollen ude i haven? Hvem synes ikke det er rart at slippe for de hæslige netkabler, der ligger og flyder på gulvet? Priser og nye sikkerhedsstander gør det samlet meget attraktivt for de fleste virksomheder
Agenda Baggrund Praksis Hvordan virker trådløse netværk? Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…
De fundamentale begreber ’Konversationen’ mellem bærbar og access point er den trådløse standard 802.11 Ad hoc: trådløse klienter kommunikerer direkte (intet AP) Infrastructure: Kommunikation sker via AP SSID: Service Set IDentifier, dvs. kaldenavnet WEP: Wired Equivalent Privacy; kryptering af data Challenge Request 戻 WEP krypterede data SSID Bærbar1 WEP tunnel Bredgade2.1TV
De fundamentale begreber, 2 Basic Service Set: Ét Access Point til alle trådløse klienter Typisk løsning i fysisk små virksomheder eller i hjemmet Extended Service Set: Access Points arbejder sammen og flytter bærbare fra sted til sted uden at man mister forbindelsen Roaming Internet
De fundamentale begreber, 3 Porte En kanal mellem trådløs klient og accesspoint; en logisk kanal AP har flere porte, klienten har typisk kun én Kombineret med 802.1X er porte centrale i trådløst regi (såvel som kablet) i relation til kontrollerede/ikke-kontrollerede porte Kontrolleret Port IEEE 802.1X Trådløs klient Ikke- kontrolleret Port
Trådløs funktionalitet i Windows XP Windows XP forstår og anvender trådløse netværk De bagvedliggende standarder og opkoblingen til access points (802.11, WPA m.fl.) Trådløse netværkskort fra forskellige hardware producenter Indbygget funktionalitet for at konfigurere trådløse netværk Funktionaliteten omkring trådløse netværk er yderligere forbedret med SP2 Mere sikker adfærd mht. ubeskyttede netværk Bedre overblik over tilgængelige trådløse netværk
Agenda Baggrund Praksis Hvordan virker trådløse netværk? Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…
Trådløs sikkerhed i 802.11 Open System Authentication Liste med MAC adresser kan associeres, men… Shared Key authentication Antager en sikker distributionskanal Wired Equivalent Privacy (WEP) Global key; multi- og broadcast kryptering fra AP til klienter Unicast key; Sessionskryptering mellem klient og AP Anvender 40 eller 104 bit krypteringsnøgler
Jeg-har-lige-købt-et-access-point-sikkerhed Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Her er bærbar1 … findes der et Access Point her i nærheden? Ja, kalder, kalder. Her er Bredgade1TV. Kan jeg hjælpe? Ja tak, jeg vil gerne kobles til Internettet Et øjeblik. Så gerne. Du er nu koblet op til Internettet. Kalder, kalder her er Bredgade2.1TV … Kalder, kalder Bærbar1 Bredgade2.1TV
Jeg-har-lige-købt-et-access-point-og-er-blevet-klogere-sikkerhed Her er bærbar1 … jeg vil gerne kobles til Internettet via Bredgade2.1TV Goddag bærbar1. Vi opererer ikke her med en navneliste her, så jeg kender dig ikke! Har du i stedet det hemmelige kodeord? Ja, det er SesamLukDigOpForFanden Øh, et øjeblik … jo tak koden er korrekt. Du er en fin fyr, så vi kan godt koble dig op via Bredgade2.1TV Åhja, inden vi kobler dig på Internettet så skifter vil lige over til japansk af sikkerhedsmæssige årsager. Er det i orden? Ja, det er OK Tak. ムミックで4つの剣+を楽しむ ルに平和を取り戻せ! 戻 Bærbar1 Bredgade2.1TV
Default opsætning af Access Points er problematisk En Microsoft partner tog en køretur i et område med mindre industri og parcelhuse, en tur på ca. 5 km 42 Access Points broadcastede SSID Over 75% af disse havde ikke WEP slået til Med et simpelt lytteværktøj (f. eks. Ethereal) kunne han have samlet netværkstrafikken og ad dén vej læse mails, brugernavne, passwords oma. Over 50% havde standardopsætningen fra fabrikkens side Ja, jaaa Torben … men når jeg står ude på parkeringspladsen, så ryger forbindelsen, så de kan altså ikke komme tæt på uden at jeg ser dem Antenneforstærkere går for 2.000 og opefter ’Pringles forstærkeren’ har været et effektivt redskab for en engelsk hacker i Londons finansdistrikt
802.11 sikkerhed er utilstrækkelig Virksomheder bør undgå WEP Ingen model for distribution og reudstedelse af nøgler Klassisk hacking gøres meget, meget nemmere Airsnort/WEPcrack indsamler krypterede data og vha. kryptoanalyse kan nøglen udledes WEP kan til nød bruges privat Private halter bagefter, men virksomheder er kommet godt med Typisk misbruges trådløse netværk til snylteri på andres Internetadgang Måske uskadeligt, men hvis din nabo havde rigtigt kedelige tendenser og helst ville operere i det skjulte …
Hvad er udviklingen? Hurtigere og sikrere Fra juni 2004 er 802.11i officiel sikkerhedsstandard til 802.11 WPA som forløber for 802.11i har allerede haft en dramatisk effekt på sikkerheden Standard Officielt navn Navn 802.11 Wireless Local Area Network Wifi 802.15 Personal Area Network Bluetooth 802.16 Metropolitan Area Network WiMax 802.20 Wide Area Network WAN Standard Hastighed Frekvens KB/sek MB/min 802.11b 11 mbps 2,4 ghz 1.340 80 802.11a 54 mbps 5 ghz 6.500 385 802.11g*
Wifi Protected Access WPA Kompatibilitet Kræver 802.1x authentication, kryptering og re-udstedelse af krypteringsnøgle Har model for 802.1x validering i miljøer uden RADIUS server Temporal Key Integrity Protocol (TKIP) erstatter WEP til nøglekryptering Kræver opdatering af AP’s, netkort og software Kompatibilitet Windows XP SP2 understøtter WPA <SP2: http://support.microsoft.com/?kbid=815485 Windows 2000 SP4 indeholder 802.1x klient
Agenda Baggrund Praksis Hvordan virker trådløse netværk? Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…
Løsningsmodeller I kvalitativ rækkefølge Brug kabler! Sparet risiko omkostninger og pris på implementering vs. lost opportunity omkostninger 802.11 baseret sikkerhed 802.11b med/uden WEP kryptering = bødestraf WPA/802.11i er faktisk ganske godt Virtual Private Networking teknologi VPN er super til remote access men er ikke designet med WLAN i tankerne Kræver ekstra logon VPN Server bliver en flaskehals IPsec Effektivt, men kun validering af computeren IPsec policies kan være en kompleks opgave i større miljøer Certifikater og stærk kryptering mellem trådløse klienter og Access Point 802.1x, EAP-TLS, WPA og PKI infrastruktur
Anvendt teknologi 1: 802.1x Standard der definerer port-baseret netværksadgang Anvendes i kablede netværk og i dag i stor stil i WLAN’s 802.1x kompatible AP’s beder om adgang og validerer førend porten åbnes for netværks services IEEE 802.1X begreber: Port access entitet (PAE), det logiske ‘stik i switchen’ Supplicant Authenticator Authentication server Kan være access point Kan være seperat entitet, typisk RADIUS Supplicant PAEs Authenticator Authentication server
Anvendt teknologi 2; RADIUS Remote Access User Dial-in Service Bredt anvendt teknologi der muliggør central: Authentication og authorization Accounting for netværksadgang RADIUS anvendes i dag til Trådløse accesspoints Authentication på Ethernet switche VPN servere Internet Authentication Service; Microsoft RADIUS Server Centraliseret authentication, authorization og accounting for mange former for netværks adgang IAS bruger Active Directory Bruger credentials for authentication Dial-in egenskaber og remote access policies mht. authorization Access servers Trådløst AP VPN server RADIUS protokol Bruger database/ Active Directory RADIUS/IAS server
Anvendt teknologi 3; EAP Extensible Authentication Protocol (EAP) Standard for at gennemføre netværks baseret authentication Det snedige i EAP er, at authentication mekanismen ikke vælges ifb. med link etablering EAP understøtter 802.1x EAP understøtter – og kan udbygges med – flere authentication typer Windows (XP, 2003 og 2000.SP4) understøtter EAP-MD5 CHAP, EAP-TLS og Protected EAP (PEAP) EAP-TLS er velegnet i relation til trådløse netværk fordi; Der anvendes certifikater og man er derfor ikke afhængig af bruger password Authentication sker uden bruger interaktion
802.1x + RADIUS + EAP-TLS Vi har nu en samlet pakke Filosofien er gyldig legitimation før noget sker Access point bliver pass-through enhed, der tillader at EAP meddelser kan passere mellem klient og RADIUS server Al bearbejdning foregår kun på klient og RADIUS server Kun PC’er ’vi stoler på’ får adgang; Intet pas? Smut!
Teknologier på Windows Server 2003 IAS services installeres og konfigureres Certificate Services installeres og konfigureres Standard komponent i alle versioner af Windows 2000 Server + Windows Server 2003 Udrulning af certifikater til trådløs authentication Computer certifikat ligger i Local Computer store og er tilgængelig, under bootprocessen Bruger certifikat til ligger i Current User store Du bør udrulle både computer og bruger certifikater Anbefalet udrulning er at konfigurere en group policy på domæne niveau der installerer certifikat Fordrer klienter kører Windows 2000/XP og at virksomheden har en etableret Active Directory infrastruktur Alternativ 1: http://[servernavn]/certsrv Alternativ 2: Bruger importerer certifikat via Certificates snap-in Alternativ 3: Lav en applikation eller et script der bruger CAPICOM
Installation af IAS Overblik over IAS Udrulning af certifikater Certificate authority
Basisteknologien nu etableret Daglig styring er Remote Access Policies Styring sker ved User account dial-in Definerede ‘spilleregler’ der afgør hvorvidt forbindelser bliver godkendt eller afvist Gruppe medlemsskab Forbindelsestype Tidspunkt på døgnet Når en forbindelse autoriseres vil den pågældende remote access policy angive en række restriktioner Krypterings styrke Authentication metode Time out ved idle Maksimal længde på session Klassisk metodik via policy i native-mode Control access through Remote Access Policy for alle accounts Policies for forskellige forbindelses typer og gruppe medlemsskaber
Styring af trådløs adgang med RAP
Agenda Baggrund Praksis Hvordan virker trådløse netværk? Hvordan fungerer det i Windows XP? Hvordan er den indbyggede sikkerhed? Hvad er udviklingen? Praksis Løsningsmodeller Teknologier anvendt Implementering Vær opmærksom på…
Implementering Securing Wireless LAN’s – A Windows Server 2003 Certificates solution Foretag overall beslutning om trådløs strategi Udarbejd WLAN arkitektur (hardware, ESS mm.) Design og konfiguration af PKI infrastruktur Design og konfiguration af IAS server på DC og eller primær/sekundær IAS server Konfiguration af trådløs sikkerhed med 802.1x Konfiguration af Active Directory mht. Accounts og grupper Konfiguration af RADIUS accounting og authentication på trådløse access points Udrulning af certifikater Test Monitorering Anvend værktøjer i løsningsarkitektur og nye MMC værktøjer
Et par praktiske bemærkninger En Enterprise root CA server ændrer ikke navn Installér om muligt IAS på en domæne controller Reducerer kraftigt netværks I/O CPU bekymringer? Test det. En virksomhed i nærheden af Redmond har lavet en større testkørsel uden problemer Udvælg det rigtige access point Cisco 340/350 anvendes som standard i Microsoft Undgå ulovlige access points Bruger uddannelse, politikker og Group Policy Monitorering er vigtig … også her Anvend Wireless Network GPO for automatisk at konfigurere trådløse klienter med din virksomheds SSID Kører du native mode, så brug universal groups and global groups til at organisere trådløse computer- og evt. bruger accounts i én gruppe
Opsummering på teknologi Trådløse klienter Radio Typer: 802.11 a/b/g Network Authentication: 802.1X, WPA/802.11i Windows XP Wireless Zero Config 802.1X, WPA Certifikater, Passwords, Smartcards Wireless Group Policy Integreret Windows klient, standard baseret sikkerhed Trådløse Access Points Kryptering: WEP og TKIP Ethvert Access Point der supporterer 802.11 (!) og 802.1x Kompatibilitet RADIUS Server RADIUS EAP/TLS PEAP-MSCHAPv2 Remote Access Policies Windows IAS EAP/TLS (certificates/smartcard) PEAP (password) Radius Proxy functions Logging Sikkerhed, skalerer og god administration Brugerdatabase Remote Access permissions Active Directory Wireless GPO User/machine auth. Centraliseret administration Certificate Authority (option) Certificates Certificate Server Computer og user autoenrollment Automatisk udrulning
Opsummering Trådløst netværk er et godt alternativ til kablede netværk med masser af funktionalitet De indbyggede standarder er svage Markante forbedringer er set indenfor de seneste 6 måneder; WPA og 802.11i Implementér et trådløst netværk med høj sikkerhed fra starten Basér dig på eksisterende komponenter Byg løsningen og vær i stand til at bygge ovenpå med yderligere løsninger for din virksomhed på et senere tidspunkt Brug ’manualen’ udgivet af Microsoft
Links og yderligere info Securing Wireless LAN’s – A Windows Server 2003 Certificates solution http://go.microsoft.com/fwlink/?LinkId=14845 Designing and Deploying Wireless LAN Connectivity for the Microsoft Corporate Network http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/wlandply.mspx The Advantages of Protected Extensible Authentication Protocol (PEAP) http://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx Andre links http://www.jiwire.com ttp://www.ieee802.org/11/ http://www.wi-fialliance.org/OpenSection/pdf/Wi-fi_Protected_Access_Overview.pdf