Metody uwierzytelniania klientów WLAN

Podobne dokumenty
Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Usuwanie ustawień sieci eduroam

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Instrukcja podłączania komputerów z systemem Microsoft Windows Vista/7 do sieci eduroam

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Marcin Szeliga Sieć

Instrukcja do konfiguracji sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows XP

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Eduroam - swobodny dostęp do Internetu

Podłączanie się do bezprzewodowej sieci eduroam na platformie MS Windows XP w wersji Professional oraz HOME.

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Instrukcja konfigurowania sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows XP

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

12. Wirtualne sieci prywatne (VPN)

Pirelli 226 AG. Ustawienie automatycznej adresacji IP Microsoft Windows XP/2000.

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

Metody zabezpieczania transmisji w sieci Ethernet

11. Autoryzacja użytkowników

Uwagi dla użytkowników sieci bezprzewodowej

Uwagi dla użytkowników sieci bezprzewodowej

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Bezpieczeństwo bezprzewodowych sieci LAN

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Instrukcja podłączania komputerów z systemem Microsoft Windows 8 do sieci eduroam

Opis Przedmiotu Zamówienia

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

ZiMSK. Konsola, TELNET, SSH 1

Bezpieczeństwo w

Zastosowania PKI dla wirtualnych sieci prywatnych

Szyfrowanie WEP. Szyfrowanie WPA

Podłączanie się do sieci eduroam w systemie Windows Vista/Windows 7 wersja 2

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Przełączanie i Trasowanie w Sieciach Komputerowych

Instrukcja konfiguracji systemów operacyjnych do korzystania z sieci eduroam

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Konfiguracja WDS na module SCALANCE W Wstęp

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Wi-Fi hacking bezpieczeństwo sieci bezprzewodowych

Konfiguracja własnego routera LAN/WLAN

Laboratorium nr 6 VPN i PKI

Podłączanie się do sieci eduroam w systemie Windows Vista/Windows 7/ 8 Dla studentów AMG

Połączenie VPN Host-LAN IPSec wykorzystaniem DrayTek Smart VPN Client

Konfiguracja routera ADSL ZyXEL Prestige 660H/HW do usług dostępu do Internetu: Neostrada (TPSA) Net24 (Netia) DialNet DSL (Dialog)

Zdalne logowanie do serwerów

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Przewodnik po ustawieniach sieci bezprzewodowej

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Aktywne elementy bezpieczeństwa w sieciach WLAN. Krzysztof Lembas InŜynier Konsultant

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Instrukcja konfiguracji połączenia z siecią bezprzewodową na terenie budynku Informatyka dla systemu Windows Vista.

Instrukcja do konfiguracji sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows Vista

Sieci VPN SSL czy IPSec?

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Bezpieczeństwo systemów informatycznych

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Instrukcja konfiguracji sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows 8

Sieci bezprzewodowe - opis przedmiotu

Linksys/Cisco RT31P2, WRT54GP2. Instrukcja Konfiguracji

Zadania z sieci Rozwiązanie

Spis treści. Część I Infrastruktura adresowania i przepływu pakietów. 1 Protokół IPv4... 3

Połączenie VPN Host-LAN PPTP z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Przewodnik Sieciowy POL

TP-LINK 8960 Quick Install

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

SSL (Secure Socket Layer)

Konfiguracja punktu dostępowego Cisco Aironet 350

Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.

Laboratorium Ericsson HIS NAE SR-16

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

INSTRUKCJA OBSŁUGI DLA SIECI

IPSec over WLAN z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

WPS. Typy WPS: Aby odpowiednio skonfigurować WPS należy wykonać poniższe kroki

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Procedura konfiguracji programu Outlook 2003 z wykorzystaniem

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

N4100. Skrócona instrukcja obsługi. Brama Wireless N do hotspotów

4. Podstawowa konfiguracja

Tworzenie połączeń VPN.

Projekt eduroam. Tomasz Wolniewicz. UCI UMK w Toruniu

Transkrypt:

Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013

W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2

Opcje autentykacji 802.11 Shared Key zaszłość z czasów WEP a Nie Używać! Open autentykacja bez klucza współdzielonego WEP MAC (L2) PSK (L2) 802.1x (L2) HTTP (L3) VPN (L3) 3

Open vs. Shared Key Authentication 4

L2 czy L3 Uwierzytelnianie w warstwie 2 czy 3? Problem jajka i kury najpierw adres IP czy najpierw autentykacja Problem nr. 2 jak zmienić VLAN (adres IP) po autentykacji L3 Skąd wziąć poświadczenia i jak ustawić profil sieci bezprzewodowej na urządzeniu 5

L2 MAC Adres MAC przesyłany w każdym nagłówku czystym tekstem nie jest tajny Możliwość podszywania się/przejęcia sesji Używany jako identyfikator urządzenia w rozwiązaniach BYOD, korelowany z użytkownikiem (ręczna lub automatyczna rejestracja) Możliwość stworzenia zewnętrznej bazy adresów MAC i autentykacji za pomocą RADIUS a (username: MAC, pass: MAC) 6

L2 PSK PSK TYLKO W DOMU! klucz współdzielony! Jak coś jest współdzielone to nie jest tajne kłopoty w przypadku kradzieży urządzenia/odejścia pracownika etc. WPS jako uproszczenie prostego mechanizmu użytkownik nie jest w stanie sam wymyśleć frazy, dlatego zastąpmy ją PIN em lub guzikiem na obudowie. WPS z PIN em = 11h do podłączenia 8 cyfr, ostatnia sumą kontrolną. Odrębna weryfikacja połowy PIN u (4 tajne + 3 tajne cyfry + suma kontrolna) 10 000 i 1000 kombinacji do złamania 7

L2 802.1x z EAP Najlepszy możliwy mechanizm uwierzytelniania w sieci bezprzewodowej Wzajemna autentykacja (klient->infrastruktura/infrastruktura->klient) Wiele opcji autentykacji (Nazwa użytkownika i hasło, hasło jednorazowe, certyfikat) Różny stopień trudności wdrożenia, w zależności od wybranej opcji 8

802.1x EAP 9

Typy EAP Podstawowe: PEAP EAP-TLS i inne: EAP MD5 EAP-TTLS EAP-FAST LEAP 10

PEAP Wymyślony przez Microsoft wspierany na wszystkich komputerach z MS Windows i bardzo powszechny Uwierzytelnianie klienta Nazwa użytkownika i hasło Uwierzytelnianie infrastruktury Certyfikat serwera RADIUS Wewnętrzna metoda MSCHAPv2 Bezpieczeństwo zależy od dobrej implementacji 11

PEAP - konfiguracja Diabeł tkwi w szczegółach 12

EAP-TLS Uważany za najbezpieczniejszą metodę autentykacji Wymaga wdrożenia pełnej infrastruktury klucza publicznego (PKI) Nie posiada wewnętrznej metody Uwierzytelnianie klienta Certyfikat klienta Uwierzytelnianie infrastruktury Certyfikat serwera RADIUS 13

EAP inne EAP-MD5 najbardziej prymitywny, nie stosowany w Wi-Fi ze względu na marne bezpieczeństwo LEAP rozwijany przez Cisco, podatny na ataki, niebezpieczny EAP-FAST następca LEAP. Rozwijany przez Cisco. Funkcjonalnie podobny do EAP-TLS z dodatkową opcjonalną fazą 0 (Anonymous Provisioning), wykorzystuje PAC zamiast certyfikatów cyfrowych. Faza 0 podatna na ataki podszywania 14

L3 HTTP(S) Mechanizm opiera się na przekierowaniu na formularz logowania http(s) Dane nie są zaszyfrowane, autentykacja tak (SSL) Podatność na ataki typu hotspot injection Podatność na tunelowanie (np. DNS) Można używać jej z prostym mechanizmem autentykacji L2 np. PSK 15

Hotspot Injection 16

Tunelowanie DNS 17

L3 - VPN Kiedyś popularna metoda autentykacji, szczególnie w czasach niebezpiecznego WEP a Zakłada brak szyfrowania w L2, najczęściej stosowany IPSEC (L3) Eksponowana Infrastruktura Firmy (Koncentrator VPN, router, DNS, DHCP) VRRP/HSRP/LLDP/CDP? 18

Odnajdowanie sieci bezprzewodowej Dwie metody -> aktywnie i pasywnie Klient odnajduje sieć bezprzewodową na dwa sposoby: Aktywny (słucha ramek beacon) Pasywny (wysyła ramki probe request i odpowiedzi) W skanowaniu pasywnym wysyła nazwę sieci w każdej ramce probe request Czy aby na pewno ukrywać SSID? 20