bezpečnost bezdrátových sítí wifi

Bezpečnost bezdrátových

sítí WiFi

Milan Šimčík, IT specalista 10.6.2009

Mastertextformat bearbeitenZweite EbeneDritte EbeneVierte EbeneFünfte Ebene

Agenda

Úvod do bezdrátových sítí

Vybrané základní pojmy v oblasti WiFi

Hrozby a rizika které přináší WiFi

Pravidla a mechanizmy zabezpečení WiFi sítě

Architektura WiFi založená na platformě Cisco

Koncept návrhu WiFi sítě

Diskuse


Úvod do bezdrátových sítí WiFi IEEE 802.11

• Vznik standardu přibližně v roce 1997.

IEEE 802.11b• Standard od roku 1999• 2,4 GHz, 11 Mbps bitrate (cca 5Mbps propustnost)

IEEE 802.11.a• Standard od roku 1999• 5 GHz, 54 Mbps bitrate (cca 27Mbps propustnost)

IEEE 802.11g• Standard od roku 2003• 2,4 GHz, 54 Mbps bitrate (cca 27Mbps propustnost)• Změna modulace zpětně kompatibilní s 802.11b

IEEE 802.11n• Draft standardu (předpokládá se rok 2010)• 2,4/5 GHz, 600 Mbps bitrate (cca 144Mbps propustnost)

Další z rodiny standardu IEEE 802.11• 802.11e – QoS, 802.11i – enhaced security, atd.


Agenda







Diskuse



Beacon

• Tímto mechanizmem dochází k inzerování přítomnosti bezdrátové sítě (adresovaná jako broadcast, název SSID, podporované rychlosti, typ zabezpečení apod.)

Probe

• Mechanizmus klienta pro zjištění dostupné sítě (vyslání dotazu a odpovědi všech dosažitelných AP – pokud je to povoleno)

Autentizace

• Způsob autentizace klientů WiFi. „Open“ nebo „shared“ WEP klíč. Vzhledem k bezpečnostním nedostatkům WEP (a tedy i způsobu autentizace již nepoužíván/nedoporučován)

Asociace

• Navázaní „linky“ mezi AP a klientem


Vybrané základní pojmy v oblasti WiFi pokr. WPA (TKIP)

• Odstraňuje nedostatky předchozího standardu WEP

• TKIP zajištuje unikátní klíč pro každý paket

• Data jsou šifrována pomocí RC4 algoritmu

WPA2 (AES)

• Využívá algoritmu AES v režimu CCMP

• V současnosti považován za standard (povinný pro WiFi certifikaci)

• Zatím nebyl nalezen způsob prolomení

MFP – management frame protection

• Způsob zajištění integrity rámce WiFi sítě digitálním podpisem

802.1x

• Suplicant – SW klient bezdrátové sítě

• Autenticator (AP, centrální prvek WiFi apod.)

• Autentication server (AAA server)

EAP – Extended Authentication protocol

• EAP-TLS, EAP-FAST, PEAP apod.


Agenda







Diskuse



Neautorizavaný průnik do sítě

• Využití či zneužití zdrojů a prostředků sítě

• Kompromitace, narušení integrity dat apod.

Obtížně kontrolovatelný dosah sítě ve srovnání s tradiční sítí

• Vnitřní prostory budovy

• Prostor mimo budovu či jinak vymezený prostor

Rušení pásma 2,4 Ghz resp. 5 Ghz

• Rušení 802.11 zařízení

• Rušení non-802.11 zařízení

Rušení radarů, budov a prostor se speciálním radiofrekvenčním režimem


Hrozby a rizika které přináší WiFi pokr.

Co dělat v případě rušení?

Všeobecné oprávnění č. VO-R/12/08.2005-34 k využívání rádiových kmitočtů a k provozování zařízení pro širokopásmový přenos dat na principu rozprostřeného spektra nebo OFDM v pásmech 2,4 GHz a 5 GHz

• Kde mj. stojí ... Případné rušení řeší fyzické a právnické osoby vzájemnou dohodou. Nedohodnou-li se, postupuje se podle § 100 zákona, případně zastaví provoz ten uživatel, který uvedl do provozu stanici způsobující rušení později; ...

Zdroj: ČTÚ



Jaké typy útoků nám hrozí?

Útok na první vrstvu OSI/ISO modelu• WiFi je založená na mechanizmu CDMA/CA, který umožňuje vysílání pouze

jedinému zdroji v daný čas

• Součástí CDMA/CA je tzv. CCA (clear channel assesment), který zajistí, že rádio nejdříve poslouchá a poté vysílá

Úmyslné útoky• DoS útok – použití širokopásmové rušičky

• DoS útok – použití „standardní“ 802.11 karty (Queensland attack)

Neúmyslné útoky• Prakticky jakékoli zdroje interferencí (mikrovlnné trouby, Bezdrátové

kamerové systémy, bezdrátotové telefony, BT zařízení, jiné průmyslově vyráběné zařízení)



Jaké typy útoků nám hrozí?

• De-autentizace/De-asociace management rámců (DoS)

• Rekognoskace WiFi sítě – odposlouchávání a scanování

• Aktivní De-auth útok k navození sondování klientů (probing) a usnadnění odhalení skrytého SSID

• Útoky využívající zranitelnosti (slovníkové útoky, Man-in-the-middle, zranitelnost WEP)

• Address spoofing útok (MAC a IP address spoofing)

• Nepřátelské AP (nejsou námi spravované, mohou vytvářet „honeypot“ tedy zdánlivě stejné SSID)


Agenda







Diskuse



Vytvoření a dodržování WLAN bezpečnostních pravidel

Zabezpečení WLAN • Modifikace default SSID

• Ověřování klientů (802.1x, AAA, apod.)

• Použití standardů WPA nebo WPA2

Pro specifická zařízení lze kombinovat WEP se seznamem MAC adres

Ověřování uživatelů a oddělení různých typů uživatelů do VLAN

Preference „lehkých“ přístupových bodů (nemají lokálně uloženy bezpečnostní informace)


Pravidla a mechanizmy zabezpečení WiFi sítě pokr.

Fyzické skrytí nebo znepřístupnění k AP

Monitorování okolí budov na podezřelé aktivity

Zabezpečení „drátové“ sítě proti útokům z WLAN

Nasazení bezdrátové IPS k prevenci „nepřátelských“ přístupových bodů a klientů

Permanentně odstraňovat neautorizované cizí AP

Ochrana proti externím útokům

Vybavit mobilní zařízení podobnými bezpečnostními službami, jako podniková síť, tedy firewall, VPN, antivirus, …

Vynucení bezpečnostních pravidel ověřováním identity a kvality klientů

Poučení uživatelů o ochraně sítě


Pravidla a mechanizmy zabezpečení WiFi sítě pokr.

Příklady nástrojů

• Kismet, AirCrack, WEPcrack

• coWPAtty

• NetStumbler, HotSpotter, AirSnort

• OmniPeek, Wireshark

• Nmap, dsniff

• ...


Agenda







Diskuse


Architektura založená na platformě Cisco

Základní požadavky bezpečné WiFi sítě jsou

• Ochrana vlastní WiFi infrastruktury (MFP, IPS)

• Ocharana spojení mezi WiFi infrastrukturou a klienty

• Šifrování a autentizace

• Využití robustního autentizačního systému (802.1x)

• Použití vhodného mechanizmu pro autentizaci (EAP-TLS, PEAP...)

• Použití vhodného algoritmu šifrování (WPA reps. WPA2)

• Ochrana klientů před škodlivým kódem

• Využití sytému NAC

• Dynamické odstraňování potenciálních útočníků (client shunning)



Řešení založené na platformě Cisco poskytuje

• Robustní bezpečnostní standardy a implementace• 802.1x/EAP, 802.11i/WPA/WPA2• Management frame protection (MFP)• IDS/IPS vlastnosti na centrálním kotroleru WiFi• CCX program, Cisco Secure Services Client (CSSC)

• Integrace s Cisco NAC

• Integrace Firewallu• Využití portfolia produktů z rodiny Cisco ASA nebo servisního modulu FWSM

• Integrace s IPS• Integrace IPS a kontroleru

• Integrace s CSA• Ochrana koncové stanice



Klíčové komponenty

• Wireless LAN Controller – WLC (desktop, rack, servisní modul)

• Lightweight Access point (indoor, outdoor, typ antény...)

• Wireless Controll System – WCS (standalone, cluster)

• Cisco Secure ACS (TACACS+,RADIUS, interní a ext. uživ. DB)

Prvky vyšší bezpečnosti

• Cisco Firewall

• Cisco NAC

• Cisco IDS/IPS

• Cisco Security Agent - CSA



Architektrura „lehkých“ access pointů



Architektrura „lehkých“ access pointů

Pro komunikaci se používá protokol LWAP protokol (Light Weight Access Point)

• AP nemají žádnou konfiguraci

• Komunikace probíhá po stanovených UDP portech

• Šiforvaná komunikace mezi WLC a AP

• Klientská data nejsou šifrována (v LWAP)

• Oddělení uživatelského provozu od řídícího

• Možnost segementace uživatelů prostřednictvím LWAP či EoIP tunelů

CAPWAP vylepšení

• Control and Provisioning of Access points (CAPWAP) vychází z LWAP

• Předpokládá se schválení jako IETF standardu

• Umožnuje šifrování i uživatelských dat



Příklad základní architektury a využití LWAP a EoIP tunelů


Agenda







Diskuse


Koncept návrhu bezdrátové sítě

Vytvoření politiky která definuje

• Přístup k síti a k poskytovaným službám

• Šifrování dat

Zajištění autentizace a šifrování pro klienty

• Stanovení autentizačních mechanizmů pro jednotlivé typy klientů (data, hlas, video, atd.)

• Stanovení šifrovacích algoritmů

Připravenost čelit a zmírňovat bezpečnostní hrozby• Nepřátelské AP, rušičky a zdroje rušení

• Endpoint security

• MFP


Koncept návrhu bezdrátové sítě pokr.

V oblasti RF spektra...

• Provedení Site Survey

• Využívání RRM – Radio Resource Managementu

• Využití Spectrum Intelligence pro monitorování a řešení problému v RF spektru

Proaktivní monitoring• WiFi síť je provozovaná ve velmi dynamickém prostředí

• Monitorování a vyhodnocování událostí

• Sledování a vyhodnocování trendů

Proškolení personálu a poučení uživatelů



Přípravná fáze

• Plánovaní poskytovaných služeb WiFi sítě (data, hlas, video, lokalizační služby...)

• Plánování pokrytí signálem (Site Survey)

• Segmentace úrovně zabezpečení (interní uživatelé, návštěvy, konference...)

• Stanovení jednotlivých standardů zabezpečení a jejich verifikace

• Koncept integrace do LAN



Designová fáze

• Detailní návrh infrastruktury

• Topologie

• Umístění jednotlivých AP

• Adresní plány

• Detailní návrh koncepce zabezpečení (802.1x,EAP, AAA ...)

• Návrh VLAN, DMZ, Roamingu

• Návrh managementu a správy



Implementační fáze

• Realizace pilotního projektu a ověření stanovených standardů

• Realizace a nasazení WiFi infrastruktury po jednotlivých budovách-prostorech

• Verifikace pokrytí signálu a dostupnosti služeb

Provozní fáze

• Proaktivní monitoring

• Vyhodnocení trendů

• Provozní úpravy kanalů a vysílacích výkonů (pokud není automatický režim dostačující.)


Agenda







Diskuse

Milan Šimčík, IT specialista

[email protected]

Děkuji za pozornost!!!

bezpečnost bezdrátových sítí wifi

Documents