Post on 05-Apr-2015
transcript
© 2002 Bluesocket, inc. Secure Mobility™
Management und Sicherheit für Wireless LANs
DFN-Betriebstagung, Berlin12. Oktober 2004/Gudrun Weinfurtner
www.bluesocket.com
© 2002 Bluesocket, inc. Secure Mobility™
Agenda
Grundsätzliche Überlegungen beim Einsatz von WLANs
Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen
© 2002 Bluesocket, inc. Secure Mobility™
Grundsätzliche Überlegungen beim Einsatz von WLANs
© 2002 Bluesocket, inc. Secure Mobility™
Kernprobleme beim Einsatz von WLANs
Phase 1 Phase 2 Phase 3
Sicherheit Mobilität Management
• Funkwellen kennen keine Wände
• Standardeinstellungen sind nicht sicher
• Sicherheitsstandard ist am unteren Rand des Vertretbaren
• Flächendeckende Verfügbarkeit auf dem Betriebsgelände
• Roaming zu anderen Einrichtungen
• Sehr hohe Anzahl von Nutzern
• Mehrere verschiedene Geräte pro Nutzer
• Bandbreitenmanage-ment
© 2002 Bluesocket, inc. Secure Mobility™
WLAN Schwachstellen auf Level 2
Vier Hauptgefahren:
• Eindringen
• Daten ausspähen durch Abhören
• Fake access Point(Man in the middle attack)
• Private Access Points
Eindringling
AP
LAN
privater APFake AP
Wireless Link
Abhören
LAN
© 2002 Bluesocket, inc. Secure Mobility™
Alle Nutzer teilen sich ein Medium
Kein Bandbreiten-Management!
zu gleichen BedingungenFaible sécurité
© 2002 Bluesocket, inc. Secure Mobility™
Fehlen von “nahtloser” sicherer Mobilität
•Große Netze werden in viele IP-Subnetze unterteilt• 802.11 erlaubt kein “Subnet Roaming” – Benutzer müssen sich erneut authentisieren, sobald sie sich “bewegen”• Benutzer wünschen mühelose sichere Mobilität• Typischerweise ist Client-Software erforderlich um “Subnet Roaming” durchzuführen – dies ist nicht immer möglich
© 2002 Bluesocket, inc. Secure Mobility™
Komplexe und teure Netzwerkkomponenten
© 2002 Bluesocket, inc. Secure Mobility™
Client Software wird benötigt
?
??
? ?
?
© 2002 Bluesocket, inc. Secure Mobility™
Standards: Gegenwart und Zukunft
Die “Buchstaben-Suppe” der 802.11 Standards (b,a,g,h,I,e,f,1x) und die Notwendigkeit z.B. Bluetooth auf PDAs zu unterstützen stellen eine große Herausforderung an Kompatibilităt und Upgrade dar.
? ?Lösungen müssen einfach sein und sollten allen heutigen und
zukünftigen Standards genügen
Welches Protokoll?
Welche WLAN Karte?
Welcher Hersteller?
© 2002 Bluesocket, inc. Secure Mobility™
Bluesocket Integrated Wireless Gateway
Wireless Gateway
Anstelle von vielen, komplexen undteuren Netzwerkkomponenten:
© 2002 Bluesocket, inc. Secure Mobility™
Bluesocket Wireless Gateway
© 2002 Bluesocket, inc. Secure Mobility™
Bluesocket in Ihrem Netzwerk
Mobile Endgeräte: NIC or built-in 802.11
802.11 Access Points802.11b, 802.11g 802.11a/b etc
Authentication ServerLDAP, Radius, NT Domain Server
© 2002 Bluesocket, inc. Secure Mobility™
Verschlüsselung/VPN
Bluesocket Wireless Gateway kann als Tunnel-Endpunkt für
IPSEC (DES, 3 DES, AES)
PPTP und
L2TP
verwendet werden
© 2002 Bluesocket, inc. Secure Mobility™
Authentifizierung
Verschiedene Möglichkeiten werden hier unterstützt
• Web Browser Authentifizierung
• Windows transparente Authentifizierung
• 802.1x transparente Authentifizierung
• PPTP transparente Authentifizierung
• MAC-Adressen Authentifizierung
© 2002 Bluesocket, inc. Secure Mobility™
Differenzierte Zugangskontrolle
Rollen basierter AnsatzEine Rolle definiert:
• Ob und welche Verschlüsselungen zu verwenden sind
• Bandbreiten-Management:- pro Nutzer- pro Nutzergruppe- Diffserv
• Zugangsrechte:- Bi-direktionale State-full FW- VLAN- Zeitgesteuert- Policy je nach Einwahlort
© 2002 Bluesocket, inc. Secure Mobility™
Access Point
Sichere Mobilität
Access Point
• Verbindung ist hergestellt
Mobile
• VPN Tunnel ist etabliert
LAN “A”
Router
Router
LAN “B”
CampusNetwork
• Nutzer “roamt” zu einem anderen Subnet
BluesocketWG-1000
BluesocketWG-2000
© 2002 Bluesocket, inc. Secure Mobility™
Access Point
Access Point
• Verbindung ist hergestellt
Mobile
• WGs kommunizieren den Standortwechsel
LAN “A”
Router
Router
LAN “B”
CampusNetwork
• VPN-Tunnel wird übergeben
BluesocketWG-1000
BluesocketWG-2000
• Nutzer “roamt” nahtlos ohne erneute Anmeldung
Sichere Mobilität
© 2002 Bluesocket, inc. Secure Mobility™
Name des Nutzers bzw.
Angreifers
Intrusion Detection/Worm Prevention
– Bluesocket monitort jeden Wireless Traffic in real-time
– Basierend auf den Schwellenwerten, die vom Admin konfiguriert werden, wird das Nutzerverhalten untersucht
– Gibt dem Admin die volle Kontrolle über deren WLAN UMgebung
IDS Status(z.B.: “Blocked or Monitored”)
Belegte Ports bei einem
Angriff / Wurm Exploit
© 2002 Bluesocket, inc. Secure Mobility™
Deployment und Administration
© 2002 Bluesocket, inc. Secure Mobility™
WG-1100 SOEGeringe Datendichte Mittlere Datendichte Hohe Datendichte Sehr hohe Datendichte
Durchsatz: -100Mbps unverschlüsselt-30 Mbps 3DESGleichzeitige Nutzer:-15 Max (Liznez)
Durchsatz: -100Mbps unverschlüsselt- 30 Mbps 3DESGleichzeitige Nutzer:-15-100 (Richtwert)
Durchsatz: -400 Mbps unverschlüsselt -150 Mbps 3DESGleichzeitige Nutzer:-50-400 (Richtwert)
Durchsatz: -1 Gbps unverschlüsselt -400 Mbps 3DESGleichzeitige Nutzer:-200-1000 (Richtwert)
Common Firmware (3.0) & Features Across Platforms
Common Firmware (3.0) & Features Across Platforms
Common Firmware (3.0) & Features Across Platforms
Common Firmware (3.0) & Features Across Platforms
2 10/100 Mbps Interfaces1 10/100 Mbps Hot-Failover Port
2 10/100 Mbps Interfaces1 10/100 Mbps Hot-Failover Port
2 10/100/1000 Mbpsoder alternativ:1 or 2 1000Base-SX Fiber
1 10/100 Mbps Hot-Failover Port
2 10/100/1000 Mbpsoder alternativ:1 or 2 1000Base-SX Fiber
1 10/100/1000 Mbps Failover
WG-1100 WG-2100 WG-5000
© 2002 Bluesocket, inc. Secure Mobility™
Secure Mobility™ MatriX
WLAN D
NetzwerkBackbone
Radius, LDAP,Active Directory,
NT Domain Server
Zentrale Server
Internet
WLAN A
WLAN B
WLAN C
© 2002 Bluesocket, inc. Secure Mobility™
Individualisierbar durch API
AP
APPLICATION SERVER
MANAGEMENT SERVER
Walled Garden
API API– Verbinden/Trennen von Nutzern– Ändern der Nutzer-Rolle– Erzeugen von Rollen– …
WALLED GARDEN / PAGES BLANCHES– Authorisierter Zugang zu speziellen
Anwendungen oder Webseiten obwohl der Nutzer nicht authentifiziert ist..
© 2002 Bluesocket, inc. Secure Mobility™
Wireless Gateway Zusammenfassung
Authentifizierungen Username/Passwort, Zertifikate, Secure ID, 802.1x, EAP
User Informationen können in lokalen oder zentralen (LDAP, RADIUS, Active Directory, Windows Domäne) gespreichert sein
Sicherheit “Rollen-basiertes” Management der Rechte für verschiedene Nutzerkategorien
Starke Verschlüsselung mit PPTP, L2TP, oder IPSec
Secure Mobility Nutzer können zwischen verschiedenen Subnetzen “roamen” ohne das der Tunnelt “abreißt
Management Zentrales Management durch Webinterface (HTTP)
Quality of Service Priorisierung von rollen und Diensten sind möglich
Umsetzen einer Policy Die WLAN Richtlinie kann aus Rollen-, Nutzer-, Orts-, Zeit- und/oder Diensteparametern bestehen. Jedem Nutzer/Nutzerkreis kann eine Bandbreite zugeteilt werden
Interoperabilität Hersteller unabhängig
Unterstützt eine große Anzahl mobiler Geräte ohne extra Software
Hochverfügbarkeit Paarweise (aktiv/passiv)
Vermascht (ein Master, viele slaves)
© 2002 Bluesocket, inc. Secure Mobility™
802.1x oder VPN alleine decken nicht alle Szenarien ab
Feature 802.1x/WPA ohne Wireless Gateway
802.1x/WPS mit Wireless Gateway
Authentifizierung √ √
Dynamische WEP Verschlüsselung
√ √
Starke IPSec- oder AES-Verschlüsselung
X √
Rollen-Basierte Zugangskontrolle
X √
WLAN Policy Management X √
Bandbreiten Management X √
Gast-/Besucherzugang X √
Unterstützt alle mobilen Geräte X √
© 2002 Bluesocket, inc. Secure Mobility™
BlueSecure – die ideale Ergänzung
© 2002 Bluesocket, inc. Secure Mobility™
Warum BlueSecure?
Zum Durchsetzen einer “No Wireless” Richtlinie Zum Schützen bereits existierender Wireless
LANs
Zum Durchfueren von Wireless Sicherheits- Audits
Zum Durchführen von Tests, Troubleshooting, und Beobachten des Durchsatzes eines WLANs
© 2002 Bluesocket, inc. Secure Mobility™
Model 802.11a/b/g
BlueSecure RF Sensor
– Spezielle Überwachungsappliance– Snifft Wireless Pakete von APs und
Client Stationen– Per Funk nicht ansprechbar– Mitten im WLAN Bereich können
viele APs gleichzeitig überwacht werden
– Alle Sensoren laufen auf dem BlueSecure Server auf
– 802.11a/b/g (w/ 802.3af PoE)
© 2002 Bluesocket, inc. Secure Mobility™
BlueSecure Server
– Sammelt und archiviert Infos von den BlueSecure Rf Sensoren
– Korreliert die Sensordaten um 802.11 spezifische Muster für Verwundbarkeiten und Angriffe zu erkennen
– Neue Stationen werden automatisch erkannt
– Auffinden von “privaten” APs– Auffinden von
Verwundbarkeiten– CustomProtect™– Intrusion detection– Alarm management– Datenstromanalyse– Windows basierend
© 2002 Bluesocket, inc. Secure Mobility™
© 2002 Bluesocket, inc. Secure Mobility™
Referenzen
© 2002 Bluesocket, inc. Secure Mobility™
Universität Rostock Parker Hannifin, Germany Berufsschule, Lörrach Blom AG, Hamburg Johannes Keppler Universität Linz, Austria Bern University, Switzerland Basel University, Switzerland Toyota, Belgium Framestore, UK Lehman Brothers, UK Zamora Wireless city, Spain SNECMA Services, France Parker Hannifin, Worldwide Southampton University, UK Nottingham University, UK Best Western Hotels, Stockholm BTG (formerly British Technology Group), UK Manchester Conference Centre, UK ….etc
Harvard UniversityUniversity of CaliforniaMRO Software, BostonUniversity of Texas – DallasUniversity of WisconsinMicrosoft, Boston ATC AcousticsDuke Energy, CharlotteWayne State UniversityU.S. Navy & Air ForceU.S. Dept. of Defense/NSANovartis PharmaceuticalLasell College, BostonHoly Redeemer Health SystemDSO National LaboratoriesRutgers University, New JerseyPaul, Hastings, Janofsky & Walker LLPSkokie Public Library etc ……..
Main European airport won but not yet operational
Wo sind bereits mit WG abgesicherte WLANs im Einsatz?
© 2002 Bluesocket, inc. Secure Mobility™
Danke!
Gudrun Weinfurtner
Bluesocket Ltd., Prielmeyerstraße 3, 80335 München
Tel. 09943/902842 oder Mobil Tel. 0172/7406614
www.bluesocket.com