Sikkert trådløst netværk

Sikkert trådløst netværk Torben Marcussen Senior Systems Engineer Microsoft Danmark

Agenda • Baggrund • Hvordan virker trådløse netværk? • Hvordan fungerer det i Windows XP? • Hvordan er den indbyggede sikkerhed? • Hvad er udviklingen? • Praksis • Løsningsmodeller • Teknologier anvendt • Implementering • Vær opmærksom på…

For et halvt år siden fik min genbo bredbånd og Wifi • Adspurgt om krypteringsnøgle fik han et underligt udtryk i øjnene • …hvad i alverden skulle en hacker dog bruge hans filer til? • …og for det meste var det hans arbejds PC der blev brugt og den var da sikret via arbejdet • Stadig; hvorfor bruge tid på sikkerhed? • Vi låser vores bildør for at få biltyven til at gå hen til den næste bil for at se om døren er ulåst. Vil han ind, så kommer han ind • En dygtig hacker der vil ind har mange strenge at spille på, hvor trådløse netværk blot er én af dem

Derfor kan vi li’ trådløse netværk • På kontoret • Det ér praktisk at kunne hente præsentationen fra filserveren, når man sidder i mødelokalet • Det er møjt billigt at ’trække nye kabler’ • Derhjemme • Hvem synes ikke det er cool at svare på mails under parasollen ude i haven? • Hvem synes ikke det er rart at slippe for de hæslige netkabler, der ligger og flyder på gulvet? • Priser og nye sikkerhedsstander gør det samlet meget attraktivt for de fleste virksomheder

戻 De fundamentale begreber • ’Konversationen’ mellem bærbar og access point er den trådløse standard 802.11 • Ad hoc: trådløse klienter kommunikerer direkte (intet AP) • Infrastructure: Kommunikation sker via AP • SSID: Service Set IDentifier, dvs. kaldenavnet • WEP: Wired Equivalent Privacy; kryptering af data Challenge Request WEP krypterede data SSID Bærbar1 Bredgade2.1TV WEP tunnel

Internet De fundamentale begreber, 2 • Basic Service Set: Ét Access Point til alle trådløse klienter • Typisk løsning i fysisk små virksomheder eller i hjemmet • Extended Service Set: Access Points arbejder sammen og flytter bærbare fra sted til sted uden at man mister forbindelsen Roaming

De fundamentale begreber, 3 • Porte • En kanal mellem trådløs klient og accesspoint; en logisk kanal • AP har flere porte, klienten har typisk kun én • Kombineret med 802.1X er porte centrale i trådløst regi (såvel som kablet) i relation til kontrollerede/ikke-kontrollerede porte Kontrolleret Port IEEE 802.1X Trådløs klient Ikke- kontrolleret Port

Trådløs funktionalitet i Windows XP • Windows XP forstår og anvender trådløse netværk • De bagvedliggende standarder og opkoblingen til access points (802.11, WPA m.fl.) • Trådløse netværkskort fra forskellige hardware producenter • Indbygget funktionalitet for at konfigurere trådløse netværk • Funktionaliteten omkring trådløse netværk er yderligere forbedret med SP2 • Mere sikker adfærd mht. ubeskyttede netværk • Bedre overblik over tilgængelige trådløse netværk

Trådløs sikkerhed i 802.11 • Open System Authentication • Liste med MAC adresser kan associeres, men… • Shared Key authentication • Antager en sikker distributionskanal • Wired Equivalent Privacy (WEP) • Global key; multi- og broadcast kryptering fra AP til klienter • Unicast key; Sessionskryptering mellem klient og AP • Anvender 40 eller 104 bit krypteringsnøgler

Jeg-har-lige-købt-et-access-point-sikkerhed • Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … Kalder, kalder; her er Bredgade2.1TV … • Her er bærbar1 … findes der et Access Point her i nærheden? • Ja, kalder, kalder. Her er Bredgade1TV. Kan jeg hjælpe? • Ja tak, jeg vil gerne kobles til Internettet • Et øjeblik. Så gerne. Du er nu koblet op til Internettet. • Kalder, kalder her er Bredgade2.1TV … Kalder, kalder Bærbar1 Bredgade2.1TV

戻 Jeg-har-lige-købt-et-access-point-og-er-blevet-klogere-sikkerhed • Her er bærbar1 … jeg vil gerne kobles til Internettet via Bredgade2.1TV • Goddag bærbar1. Vi opererer ikke her med en navneliste her, så jeg kender dig ikke! Har du i stedet det hemmelige kodeord? • Ja, det er SesamLukDigOpForFanden • Øh, et øjeblik … jo tak koden er korrekt. Du er en fin fyr, så vi kan godt koble dig op via Bredgade2.1TV • Åhja, inden vi kobler dig på Internettet så skifter vil lige over til japansk af sikkerhedsmæssige årsager. Er det i orden? • Ja, det er OK • Tak. • ムミックで４つの剣＋を楽しむ • ルに平和を取り戻せ！ Bærbar1 Bredgade2.1TV

Default opsætning af Access Points er problematisk • En Microsoft partner tog en køretur i et område med mindre industri og parcelhuse, en tur på ca. 5 km • 42 Access Points broadcastede SSID • Over 75% af disse havde ikke WEP slået til • Med et simpelt lytteværktøj (f. eks. Ethereal) kunne han have samlet netværkstrafikken og ad dén vej læse mails, brugernavne, passwords oma. • Over 50% havde standardopsætningen fra fabrikkens side • Ja, jaaa Torben … men når jeg står ude på parkeringspladsen, så ryger forbindelsen, så de kan altså ikke komme tæt på uden at jeg ser dem • Antenneforstærkere går for 2.000 og opefter • ’Pringles forstærkeren’ har været et effektivt redskab for en engelsk hacker i Londons finansdistrikt

802.11 sikkerhed er utilstrækkelig • Virksomheder bør undgå WEP • Ingen model for distribution og reudstedelse af nøgler • Klassisk hacking gøres meget, meget nemmere • Airsnort/WEPcrack indsamler krypterede data og vha. kryptoanalyse kan nøglen udledes • WEP kan til nød bruges privat • Private halter bagefter, men virksomheder er kommet godt med • Typisk misbruges trådløse netværk til snylteri på andres Internetadgang • Måske uskadeligt, men hvis din nabo havde rigtigt kedelige tendenser og helst ville operere i det skjulte …

Hvad er udviklingen?Hurtigere og sikrere • Hurtigere • Sikrere • Fra juni 2004 er 802.11i officiel sikkerhedsstandard til 802.11 • WPA som forløber for 802.11i har allerede haft en dramatisk effekt på sikkerheden

Wifi Protected Access • WPA • Kræver 802.1x authentication, kryptering og re-udstedelse af krypteringsnøgle • Har model for 802.1x validering i miljøer uden RADIUS server • Temporal Key Integrity Protocol (TKIP) erstatter WEP til nøglekryptering • Kræver opdatering af AP’s, netkort og software • Kompatibilitet • Windows XP SP2 understøtter WPA • <SP2: http://support.microsoft.com/?kbid=815485 • Windows 2000 SP4 indeholder 802.1x klient

LøsningsmodellerI kvalitativ rækkefølge • Brug kabler! • Sparet risiko omkostninger og pris på implementering vs. lost opportunity omkostninger • 802.11 baseret sikkerhed • 802.11b med/uden WEP kryptering = bødestraf • WPA/802.11i er faktisk ganske godt • Virtual Private Networking teknologi • VPN er super til remote access men er ikke designet med WLAN i tankerne • Kræver ekstra logon • VPN Server bliver en flaskehals • IPsec • Effektivt, men kun validering af computeren • IPsec policies kan være en kompleks opgave i større miljøer • Certifikater og stærk kryptering mellem trådløse klienter og Access Point • 802.1x, EAP-TLS, WPA og PKI infrastruktur

Anvendt teknologi 1: 802.1x • Standard der definerer port-baseret netværksadgang • Anvendes i kablede netværk og i dag i stor stil i WLAN’s • 802.1x kompatible AP’s beder om adgang og validerer førend porten åbnes for netværks services • IEEE 802.1X begreber: • Port access entitet (PAE), det logiske ‘stik i switchen’ • Supplicant • Authenticator • Authentication server • Kan være access point • Kan være seperat entitet, typisk RADIUS Supplicant PAEs Authenticator Authentication server

Anvendt teknologi 2; RADIUS • Remote Access User Dial-in Service • Bredt anvendt teknologi der muliggør central: • Authentication og authorization • Accounting for netværksadgang • RADIUS anvendes i dag til • Trådløse accesspoints • Authentication på Ethernet switche • VPN servere • Internet Authentication Service; Microsoft RADIUS Server • Centraliseret authentication, authorization og accounting for mange former for netværks adgang • IAS bruger Active Directory • Bruger credentials for authentication • Dial-in egenskaber og remote access policies mht. authorization Access servers Trådløst AP VPN server RADIUS protokol Bruger database/ Active Directory RADIUS/IAS server

Anvendt teknologi 3; EAP • Extensible Authentication Protocol (EAP) • Standard for at gennemføre netværks baseret authentication • Det snedige i EAP er, at authentication mekanismen ikke vælges ifb. med link etablering • EAP understøtter 802.1x • EAP understøtter – og kan udbygges med – flere authentication typer • Windows (XP, 2003 og 2000.SP4) understøtter EAP-MD5 CHAP, EAP-TLS og Protected EAP (PEAP) • EAP-TLS er velegnet i relation til trådløse netværk fordi; • Der anvendes certifikater og man er derfor ikke afhængig af bruger password • Authentication sker uden bruger interaktion

802.1x + RADIUS + EAP-TLS • Vi har nu en samlet pakke • Filosofien er gyldig legitimation før noget sker • Access point bliver pass-through enhed, der tillader at EAP meddelser kan passere mellem klient og RADIUS server • Al bearbejdning foregår kun på klient og RADIUS server • Kun PC’er ’vi stoler på’ får adgang; Intet pas? Smut!

Teknologier på Windows Server 2003 • IAS services installeres og konfigureres • Certificate Services installeres og konfigureres • Standard komponent i alle versioner af Windows 2000 Server + Windows Server 2003 • Udrulning af certifikater til trådløs authentication • Computer certifikat ligger i Local Computer store og er tilgængelig, under bootprocessen • Bruger certifikat til ligger i Current User store • Du bør udrulle både computer og bruger certifikater • Anbefalet udrulning er at konfigurere en group policy på domæne niveau der installerer certifikat • Fordrer klienter kører Windows 2000/XP og at virksomheden har en etableret Active Directory infrastruktur • Alternativ 1: http://[servernavn]/certsrv • Alternativ 2: Bruger importerer certifikat via Certificates snap-in • Alternativ 3: Lav en applikation eller et script der bruger CAPICOM

Installation af IAS Overblik over IAS Udrulning af certifikater Certificate authority

Basisteknologien nu etableretDaglig styring er Remote Access Policies • Styring sker ved User account dial-in • Definerede ‘spilleregler’ der afgør hvorvidt forbindelser bliver godkendt eller afvist • Gruppe medlemsskab • Forbindelsestype • Tidspunkt på døgnet • Når en forbindelse autoriseres vil den pågældende remote access policy angive en række restriktioner • Krypterings styrke • Authentication metode • Time out ved idle • Maksimal længde på session • Klassisk metodik via policy i native-mode • Control access through Remote Access Policy for alle accounts • Policies for forskellige forbindelses typer og gruppe medlemsskaber

Styring af trådløs adgang med RAP

ImplementeringSecuring Wireless LAN’s – A Windows Server 2003 Certificates solution • Foretag overall beslutning om trådløs strategi • Udarbejd WLAN arkitektur (hardware, ESS mm.) • Design og konfiguration af PKI infrastruktur • Design og konfiguration af IAS server på DC og eller primær/sekundær IAS server • Konfiguration af trådløs sikkerhed med 802.1x • Konfiguration af Active Directory mht. Accounts og grupper • Konfiguration af RADIUS accounting og authentication på trådløse access points • Udrulning af certifikater • Test • Monitorering • Anvend værktøjer i løsningsarkitektur og nye MMC værktøjer

Et par praktiske bemærkninger • En Enterprise root CA server ændrer ikke navn • Installér om muligt IAS på en domæne controller • Reducerer kraftigt netværks I/O • CPU bekymringer? Test det. • En virksomhed i nærheden af Redmond har lavet en større testkørsel uden problemer • Udvælg det rigtige access point • Cisco 340/350 anvendes som standard i Microsoft • Undgå ulovlige access points • Bruger uddannelse, politikker og Group Policy • Monitorering er vigtig … også her • Anvend Wireless Network GPO for automatisk at konfigurere trådløse klienter med din virksomheds SSID • Kører du native mode, så brug universal groups and global groups til at organisere trådløse computer- og evt. bruger accounts i én gruppe

Opsummering på teknologi

Opsummering • Trådløst netværk er et godt alternativ til kablede netværk med masser af funktionalitet • De indbyggede standarder er svage • Markante forbedringer er set indenfor de seneste 6 måneder; WPA og 802.11i • Implementér et trådløst netværk med høj sikkerhed fra starten • Basér dig på eksisterende komponenter • Byg løsningen og vær i stand til at bygge ovenpå med yderligere løsninger for din virksomhed på et senere tidspunkt • Brug ’manualen’ udgivet af Microsoft

Links og yderligere info • Securing Wireless LAN’s – A Windows Server 2003 Certificates solution • http://go.microsoft.com/fwlink/?LinkId=14845 • Designing and Deploying Wireless LAN Connectivity for the Microsoft Corporate Network • http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/wlandply.mspx • The Advantages of Protected Extensible Authentication Protocol (PEAP) • http://www.microsoft.com/windowsserver2003/techinfo/overview/peap.mspx • Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure • http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx • Andre links • http://www.jiwire.com • ttp://www.ieee802.org/11/ • http://www.wi-fialliance.org/OpenSection/pdf/Wi-fi_Protected_Access_Overview.pdf

Sikkert trådløst netværk

Sikkert trådløst netværk

Presentation Transcript

Social kapital og sociale netv rk som mulig ressource i forebyggelsesindsatsen. Lars Skov Henriksen Institut for Sociolo

Kvalitet i Skriftlighed

Foredragsholders navn og tittel

Sikkert Patientflow

DSS/DSA

MindLab Involverer borgere og virksomheder i at udvikle nyskabende offentlige løsninger

At tænke på her i vinter

Práva související s právem autorským

Sikkert Patientflow

MERKELIG !

International skole i Odense

Generalforsamling og årsdag 2012

ageforce.dk - sikkert og enkelt netværk for ældre

Klarert Online Casino Portal er Beste Stedet Velge Passende Online Casino

Goodnature

En Handlingen løsning til din Vedligeholdelse problemer

Goodnature

Bliv en del af fællesskabet og vælg et kontorfællesskab i Odense!