Cisco and/or its affiliates. All rights reserved. Źródło:

Transkrypt

1 Źródło: Cisco Public 1

2 Sieci bezprzewodowe Poczuj się bezpiecznie Sebastian Pasternacki Solutions Architect CCIE#17541 RS/SEC/SP/WLAN CCDE#2012::9 Cisco Secure 2014

3 Cisco Public 3

4 Cel Lepiej zapobiegać niż leczyć Bez zapobiegania mamy problem, ponieważ Wireless nie ma granic Cisco Public 4 4

5 STANDARDY IEEE Cisco Public 5

6 Agenda 1. Zagrożenia w sieciach bezprzewodowych 2. Wireless Intrusion Prevention 3. Wykrywanie i niwelowanie zagrożeń 4. Spojrzenie projektowe 5. Demo co w sieci piszczy? Cisco Public 6

7 Zagrożenia w sieciach bezprzewodowych Cisco Public 7

8 Wektory ataku w sieciach bezprzewodowych Ataki On-Wire Ad-hoc Wireless Bridge HACKER Evil Twin/Honeypot AP Ataki Over-the-Air HACKER S AP Reconnaissance HACKER Client-to-client backdoor access Rogue Access Points HACKER Backdoor network access Connection to malicious AP Denial of Service DENIAL OF SERVICE Service disruption Ataki Non Seeking network vulnerabilities Cracking Tools HACKER Sniffing and eavesdropping BLUETOOTH AP MICROWAVE BLUETOOTH RF-JAMMERS RADAR Cisco Public 8 8

9 Nirvana atakującego łatwość i dostępność narzędzi Backtrack 5 (VM or Live CD) BSSID ESSID Radio MAC Wireless SSID OR Channel & Tx Power DHCP, DNS etc. No Regulatory Restrictions Bridge/NAT Interfaces USB Wireless Cards Piramida Podszywania się 9 Cisco Public 9

10 Demo przykładowy scenariusz Wideo CL14 Cisco Public 10

11 Wireless Intrusion Prevention Najlepsze praktyki Cisco Public 11

12 Bezpieczeństwo Wireless - wymagania Bezpieczne połączenie Identyfikacja użytkownika Klasyfikacja aplikacji Kontrola dostępu Dla wszystkich klientów Klient Access Point Przełącznika Kontroler Wireless LAN 12 Identity Services Engine Cisco Public 12

13 Uwierzytelnianie najlepsze praktyki Użyj WPA2-Enterprise Uwierzytelnianie Tunneling-Based (Protective Cover) EAP-PEAP Inner Methods (Authentication Credentials) Bazujące na certyfikatach EAP-TTLS EAP-GTC EAP-MSCHAPv2 EAP-TLS EAP-FAST Szyfrowanie AES Advanced Encryption Standard wymaga często sprzętowego wsparcia i zapewnia prędkość line-rate Cisco Public 13 13

14 Zabezpiecz infrastrukturę Wireless zacznij od AP Skonfiguruje 802.1x Supplicant 1 2 Uruchom Port Security RADIUS RADIUS 802.1x Uwierzytelnienie ISE CAPWAP DTLS używając MIC (Manufactured Installed Certificates) Domyślnie zachowanie Out-of-Box wzajemnie uwierzytelnienie Cisco Public 14 14

15 Management Frame Protection (MFP) Zabezpiecz ramki Management Problem Problem Ramki management nie są uwierzytelniane, szyfrowane lub podpisywane klasyczny wektor ataków Rozwiązanie Dodaj podpis (Message Integrity Code/MIC) do ramek management AP mogą natychmiastowo zidentifikować nieprawidlowe lub fałszywe ramki Opcjonalnie, Klienci i APs mogą użyć MIC do weryfikacji autentyczności ramek management Beacons Probes Association Beacons Probes Association Cisco Public 15 15

16 Infrastructure MFP - działanie 1 Włącz MFP WLC GUI> Security> Wireless Protection Policies > MFP 3 Budynek Corporate Building 2 AP nie widzą się BSSID 11:11:11:11:11:11 BSSID 22:22:22:22:22:22 BSSID 11:11:11:11:11:11 Cisco Public 16 16

17 Klient a MFP i/lub w CCXv5 Ramki Management zabezpieczone MIC AP Beacons Associations/Re-Associations Authentications/ De-Authentications Probe Requests/ Probe Responses Disassociations Action Management Frames Ramki zabezpieczone przez Security Association (SA) Podszywanie się pod AP i klienta Cisco Public 17

18 Profilowanie i egzekucja polityki dostępu - opcje Komponenty sieciowe POLICY WLC Radius Server (e.g. ISE Base, ACS) Wyłącznie Wireless Elementy Profilowania Rola użytkownika Typ urządzenia Uwierzytelnienia Czas (ToD) Wymuszenie polityki VLAN Access List QoS Session Timeout AVC 18 Cisco Public 18

19 Wi-Fi Direct Policy problemy z mobile i nie tylko Urządzenie korporacyjne Korporacyjny WLAN Nieutoryzowane urządzenia Dostęp Backdoor Wi-Fi Direct pozwala na równoczesny dostęp do sieci korporacyjne WLAN & nieautoryzowanych urządzeń Zabezpiecz dostęp dokorperacyjnej sieci WLAN jeśli Wi-Fi Direct jest włączony na urządzeniu korporacyjnym Cisco Public 19 19

20 Application Visibility and Control na kontrolerze WLC Więcej w części demo Blokuj Client Traffic Identyfikacja Aplikacji z użyciem NBAR2 Voice Video Best-Effort Background Rate Limiting Kontroluj zachowanie aplikacji Cisco Public 20 20

21 Wykrywanie i niwelowanie zagrożeń Cisco Public 21

22 Nasłuchując za oszustami (Rogues) Dwa różne tryby AP w procesie RRM Scanning Local Mode AP Monitor Mode AP Podstawy Rogue Detection Klienci obsługiwani 16s Skan 50ms dla Rogue Skan Best Effort Scan 1.2s per channel Skan 24x7 22 RF Group = Corporate Każdy AP nie wysyłający poprawnej informacji RF Group uważany jest za Rogue Cisco Public 22

23 Podstawy RRM Channel Scanning Local Mode AP obsługa klientów Czas wykrycia AP na kanale b/g/n (2.4GHz) 10ms 10ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s Co 16s nowy kanał jest sprawdzany (scanned) przez 50ms (180sec / 11 channels = ~16s) 10ms 10ms AP na kanale a/n (5Ghz) (bez UNII-2 Extended) 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms Co 14.5s nowy kanał jest sprawdzany (scanned) przez 50ms (180sec / 12 channels = ~14.5s) Cisco Public 23 23

24 Podstawy RRM Channel Scanning Monitor Mode AP Czas wykrycia 10ms 10ms b/g/n (2.4GHz) Wszystkie kanały 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s s Każdy kanał skanowany przez ~10.7s ((180s / 1.2s) / 14ch) w ramach 180s czasu skanowania kanału 1.2s 10ms 10ms a/n (5GHz) Wszystkie kanały 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s Każdy kanał skanowany przez ~6.8s ((180s / 1.2s) / 22ch) w ramach 180s czasu skanowania kanału Cisco Public 24 24

25 Reguły klasyfikacji Rogue To kto jest bardziej szkodliwy? Klasyfikacja bazująca na szkodliwości zagrożenia i akcji niwelowania Reguły dopasowane do modelu ryzyka klienta Przyjazny/Friendly Złośliwy/Malicious Poza siecią Zabezpieczony Obce SSID Słabe RSSI Odległa lokalizacja Bez klientów W sieci Otwarty Nasze SSID Silne RSSI Bliska lokalizacja Zachęca klientów Cisco Public 25 25

26 Metody wykrywania Rogue podłączonych w sieci Rogue Detector AP Rogue Location Discovery Protocol (RLDP) Trunk Rogue Detector Data Serving Data Serving AP Wykrywa wszystkich klientów rogue client oraz ARPy AP Kontroler odpytuje Rogue Detector, czy klienci Rague są widoczni w lokalnej sieci Nie działa z AP za NAT 26 Podłącza się do Rogue AP jako klient Wysyła pakiet na IP kontrolera Działa wyłącznie z Rogue AP w trybie Open Cisco Public 26

27 Rogue Detector AP jak to działa? Cisco Prime Zmiana poziomu Alarmu z Minor do Critical WLC Security Alert: Rogue with MAC Address Has Been Detected on the Wired Network BSSID: Trunk Rogue Detector > debug capwap rm rogue detector ROGUE_DET: Found a match for rogue entry ROGUE_DET: Sending notification to switch ROGUE_DET: Sent rogue found on net msg Cisco Public 27 27

28 Rogue Location Discovery Protocol (RLDP) jak to działa? Cisco Prime Zmiana poziomu Alarmu z Minor do Critical WLC Security Alert: Rogue with MAC Address Has Been Detected on the Wired Network BSSID: > debug dot11 rldp Successfully associated with rogue: 00:21:44:58:66:52 Sending DHCP packet through rogue AP 00:21:44:58:66:52 RLDP DHCP BOUND state for rogue 00:21:44:58:66:52 Returning IP , netmask , gw Send ARLDP to (00:1F:9E:9B:29:80) Received 32 byte ARLDP message from: : Cisco Public 28

29 Switchport Tracing (SPT) z użyciem Cisco Prime Cisco Prime 2 CAM Table 3 CAM Table 1 Core Show CDP Neighbors Switchport Tracing: na-żądanie lub automatycznie Corporate AP Identyfikacja sąsiadów CDP AP wykrywających Rogue Zapytanie o stan tablicy CAM zzukając MAC Rogue AP Działa dla AP z zabezpieczeniem i NAT 29 SPT sprawdza: Rogue Client MAC Address Rogue Vendor OUI Rogue MAC +3/-3 Cisco Public 29 Rogue MAC Address

30 Wireless Rogue AP Containment zatruwanie wrogów Local Mode AP Monitor Mode AP Broadcast & Unicast De-auth Unicast De-auth & Unicast Dis-assoc AP w trybie local mode AP może zatruwać 3 rogue AP per radio Pakiety zatruwające wysyłane co 500ms Wpływa na wydajność działania klienta AP w trybie monitor mode może zatruwać 6 rogue AP per radio Pakiety zatruwające wysyłane co 100ms Cisco Public 30 30

31 Lokalizacja Rogue Z Cisco Prime Pozwala na lokalizację pojedynczego Rogue Ap na żądanie Nie przetrzymuje danych historycznych w kontekście lokalizacji Nie wspiera lokalizacji klientów Rogue Cisco Public 31 31

32 Lokalizacja Rogue Real-Time z Prime oraz Mobility Services Engine (MSE) -> demo WiFi Interferer Non-WiFi Interferer Microwave Śledzi wiele urządzeń Rogue w trybie real-time (do poziomu ograniczeń MSE) Może śledzić i przechowywać informacje lokalizacyjne urządzeń rogue Umożliwia lokalizację Klientów Rogue, sieci Rogue Ad-Hoc oraz Zakłoceń Non-WiFi (Interferers) Bluetooth Cisco Public 32 32

33 Mechanizmy detekcji ataków Cisco Prime Core WLC IDS Wykrywanie Klientów i AP Rogue 17 sygnatur ataków Agregacja alarmów, konsolidacja i redukcja False Positives Rozszerzona analiza behawioralna DoS 115 sygnatur ataków Skoordynowane zatruwanie Rogue Detekcja Anomalii Adaptive wips Zaawansowane funkcje Forensic, Blacklisting, Auto Containment i odpowiedzi Auto Immunity Cisco Public 33 33

34 Adaptive wips Rekomendacje wdrożeniowe Enhanced Local Mode Monitor Mode AP WSSI Module Local Mode Local Mode Monitor Mode Local Mode Klienci 16s Skan 50ms Ataki Klieci Skan 1.2s Ataki Klienci Skan 1.2ms Ataki Skan Best Effort Uruchuom ELM na każdym AP Skanowanie 24x7 Wdrożenie 1 MM AP na każde 5 Local Mode AP 34 24x7 Scanning Wdrożenie 1 WSSI na każde 5 Local Mode AP Cisco Public 34

35 Spojrzenie projektowe Cisco Public 35

36 36 Cisco Public 36

37 Implikacje projektowe Co warto rozważyć? Enterprise Network WPA2 Enterprise (EAP-TLS/AES) Edukacja użytkowników (certyfikaty, hasła, etc) Detekcja Rogue uruchomienie i tuning ( Zatruwanie do rozważenia) Lokalizacja w poszukiwaniu szkodników Exclusion kontrola brute force QoS priorytet ruchu ważnego AVC kontrola na poziomie aplikacyjnym Chroń infrastrukturę MFP/802.11w CleanAir identyfikuj i reaguj na wpływ non Kontrola mocy, kanałów ASA WLC Core/Distribution Access Testuj, testuj, testuj, a później przetestuj Cisco Public 37

38 Demo Co w sieci piszczy? Cisco Public 39

39 Podsumowanie Sieci bezprzewodowe mogą być bezpieczne: 1. Znaj swego wroga 2. Używaj najlepsze praktyki konfiguracyjne 3. Wykrywaj i przeciwdziałaj zagrożeniom Lepiej zapobiegać niż leczyć Cisco Public 40

40 Dziękuję.