Aktywne elementy bezpieczeństwa w sieciach WLAN. Krzysztof Lembas InŜynier Konsultant

Podobne dokumenty
Opis przedmiotu zamówienia CZĘŚĆ 16

Lp. Rodzaj sprzętu/oprogramowania Ilość 1 Punkty dostępowe 25 2 Kontroler sieci bezprzewodowej 1

Eduroam - swobodny dostęp do Internetu

WLAN bezpieczne sieci radiowe 01

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

802.11g: do 54Mbps (dynamic) b: do 11Mbps (dynamic)

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Metody uwierzytelniania klientów WLAN

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

WDS tryb repeater. Aby utworzyć WDS w trybie repeater należy wykonać poniższe kroki:

Dr Michał Tanaś(

DESIGNED FOR ALL-WIRELESS WORLD

Dlaczego Meru Networks architektura jednokanałowa Architektura jednokanałowa:

Minimum projektowania jeden kanał radiowy Szybki roaming 3 ms, bez zrywania sesji, połączeń VoIP Quality of Service już na poziomie interfejsu

Marcin Szeliga Sieć

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

Kompaktowy design Dzięki swoim rozmiarom, można korzystać z urządzenia gdzie tylko jest to konieczne.

Vigor AP - tryb AP Bridge WDS

OPIS PRZEDMIOTU ZAMÓWIENIA

Nowe urządzenia firmy smartbridges

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Sieci VPN SSL czy IPSec?

Zadania z sieci Rozwiązanie

Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006

132 4 Konfigurowanie urządzeń sieci bezprzewodowych

Sieci bezprzewodowe WiFi

Karta sieci bezprzewodowej AirPlus Xtreme G 2.4 GHz Cardbus. Dysk CD (ze sterownikami i podręcznikiem użytkownika)

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

CENTRUM PRZETWARZANIA DANYCH MINISTERSTWA FINANSÓW Radom r.

USŁUGI DODATKOWE W SIECIACH BEZPRZEWODOWYCH VoIP oraz multimedia w sieciach WiFi problemy

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

WLAN 2: tryb infrastruktury

159,90 PLN brutto 130,00 PLN netto

WYMAGANIA TECHNICZNE. Oferowany model *.. Producent *..

Spis treúci. Księgarnia PWN: Wayne Lewis - Akademia sieci Cisco. CCNA Exploration. Semestr 3


Dr Józef Oleszkiewicz. Kier. Sekcji Usług Sieciowo-Serwerowych Z-ca Kier. Działu Technologii Informacyjnej

Wydział Elektryczny. Katedra Telekomunikacji i Aparatury Elektronicznej. Kierunek: Inżynieria biomedyczna. Instrukcja do zajęć laboratoryjnych

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

WYMAGANE PARAMETRY TECHNICZNE OFEROWANEGO SPRZETU

Bezpieczeństwo w

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

300 ( ( (5 300 (2,4 - (2, SSID:

SPIS TREŚCI Błąd! Nie zdefiniowano zakładki.

155,35 PLN brutto 126,30 PLN netto

Opakowanie karty DWL-G520 powinno zawierać następujące pozycje: Dysk CD (ze Sterownikami, Podręcznikiem i Gwarancją)

IEEE b/g. Asmax Wireless LAN USB Adapter. Instrukcja instalacji

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Budowa bezpiecznej sieci w małych jednostkach Artur Cieślik

SZCZEGÓŁOWE OKREŚLENIE Przełączniki sieciowe

VLAN 450 ( ( (5 450 (2.4 (2, SSID:

Opis przedmiotu zamówienia

SIECI KOMPUTEROWE PODSTAWOWE POJĘCIA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Przełącznik dostępowy sieci LAN (przykładowe urządzenie spełniające wymagania: Cisco Catalyst WS PST-L IOS Lan Base):

Załącznik nr 2. Opis sieci teleinformatycznej

- RAPORT - Zastosowania, funkcjonowanie oraz specyfikacja techniczna produktów z serii Cisco Aironet pracujących w standardach IEEE 802.

178,18 PLN brutto 144,86 PLN netto

Specyfikacja pomocy dydaktycznych dostarczanych do Szkoły Podstawowej im. MSC w Kawęczynie wchodzącej w skład Zespołu Szkół im. MSC w Kawęczynie.

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Sieci bezprzewodowe oczami hackera

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

Aktywne Rozwiązania Sieciowe

Konfiguracja WDS na module SCALANCE W Wstęp

VigorAP - tryb Stacja-Infrastruktura

98,00 PLN brutto 79,67 PLN netto

Bezpieczeństwo bezprzewodowych sieci LAN

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Opis przedmiotu zamówienia

Koncepcja budowy sieci teletransmisyjnych Ethernet w podstacjach energetycznych...

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE Bezpieczeństwo sieci WiFi

Bezpieczeństwo teleinformatyczne

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Zadanie 1. Dostawa kontrolera sieci bezprzewodowej obsługujący nie mniej niż 500 access-pointów z

Access Point WiFi Netis WF2220, 300 Mbps

OPIS PRZEDMIOTU ZAMÓWIENIA

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS)

AirMagnet prezentacja produktów. Łukasz Grodzki, Sylwester Błaszczyk, Adam Gąciarek Materiał zgromadzony dzięki stronie

WNRT-320GS Przenośny bezprzewodowy router n z obsługą 3G HSUPA

NXC-8160 Biznesowy kontroler sieci WLAN

Systemy Sieciowe. Katedra Informatyki Stosowanej, PŁ

Załącznik Nr 1 do SIWZ. URZĄDZENIA SYSTEMU SIECI BEZPRZEWODOWEJ Wi-Fi - OPIS. Instalacja Urządzeń i Sieci

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

WNAP-7205 Zewnętrzny punkt dostępowy 5GHz a/n

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ

MACIERZ OFERTY PRODUKTÓW: PRZEŁĄCZNIKI/KONTROLERY WLAN

CIOR 6/117/09. Właściwość Parametry wymagane Model, typ oraz parametry sprzętu oferowanego przez Wykonawcę Nazwa producenta, model wyceniony

Projekt eduroam. Tomasz Wolniewicz. UCI UMK w Toruniu

Kryteria bezpiecznego dostępu do sieci WLAN

OPIS PRZEDMIOTU ZAMÓWIENIA

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

4. Podstawowa konfiguracja

CERBERUS P 6351 router ADSL2+ WiFi N300 (2.4GHz) 2T2R 4x10/100 LAN 1xRJ11 Annex A

Transkrypt:

Aktywne elementy bezpieczeństwa w sieciach WLAN Krzysztof Lembas InŜynier Konsultant

Agenda Dlaczego sieć bezprzewodowa ZagroŜenia i mechanizmy bezpieczeństwa w kontekście sieci bezprzewodowych Cisco Unified Wireless - komponenty Co moŝna jeszcze znaleźć w Cisco Podsumowanie

Sieć WiFi Standaryzacja protokołów 802.11 a/b/g (wkrótce n) Powszechna integracja kart bezprzewodowych w przenośnych urządzeniach elektronicznych Niskie koszty zakupu urządzeń z interfejsem WiFi Mobilność

Zalety i zastosowanie sieci WiFi Dostęp do Internetu lub strony urzędu w miejscach publicznych Łatwość implementacji punktów informacyjnych Sprawna obsługa petentów Dostęp dla pracowników Monitoring miejski Realizowanie połączeń telefonicznych WiFi

Agenda Dlaczego sieć bezprzewodowa ZagroŜenia i mechanizmy bezpieczeństwa w kontekście sieci bezprzewodowych Co moŝna jeszcze znaleźć w Cisco Podsumowanie

Problem medium bezprzewodowego Analizator ruchu moŝne bez przeszkód śledzić całą komunikację KaŜdy moŝe próbować podłączyć się do sieci

ZagroŜenia dla sieci bezprzewodowych

Rozwiązanie problemu Zaszyfrować wszystkie dane wymieniane między uŝytkownikiem a punktem dostępowym Zastosować silne mechanizmy uwierzytelniania Zadbać o fizyczne bezpieczeństwo punktów dostępowych (a jeśli to nie moŝliwe, istotnych danych konfiguracyjnych) Analizować środowisko radiowe w celu wykrycia potencjalnych intruzów

Trochę historii Wprowadzone w 1999 r. Razem z pierwszym standardem 802.11 System otwarty Algorytm WEP Jak się okazało łatwy do złamania nawet w przeciągu kilkunastu minut!!!

Koniecznie coś nowego Wprowadzenie bezpiecznych mechanizmów opartych o zmienne klucze oraz silne metody uwierzytelniania: WPA (TKIP, PSK lub 802.1x) WPA2/802.11i (AES, PSK lub 802.1x)

WPA/WPA2 W WPA wyeliminowano słabości protokołu WEP równocześnie pozostawiono pewną kompatybilność wstecz w postaci algorytmu szyfrowania RC4. MoŜliwość uwierzytelniania za pomocą dzielonego klucza PSK oraz uŝycia 802.1x Główne składniki WPA: - TKIP (Temporal Key Integrity Protokol) - PPK (Per Packet Keying) - MIC (Message Integrity Check) Główna róŝnica WPA2 w stosunku do WPA to zastosowanie silnego algorytmu szyfrowania AES zamiast TKIP.

802.1x 802.1x jest standardem IEEE do kontrolowania dostępu do sieci wykorzystuje: Extensible Authentication Protocol (EAP) RADIUS 802.1x pomaga pokonać ograniczenia bezpieczeństwa 802.11

Agenda Dlaczego sieć bezprzewodowa ZagroŜenia i mechanizmy bezpieczeństwa w kontekście sieci bezprzewodowych Cisco Unified Wireless - komponenty Co moŝna jeszcze znaleźć w Cisco Podsumowanie

Komponenty systemu Localization Appliance Stacja zarządzająca Kontroler Przełącznik L2/L3 Punkty dostępowe zgodne z LWAPP

Punty dostępowe (AP) złącza dla anten zewnętrznych (1242, 1250) Antena zintegrowana (1131) Poszerzony zakres temperaturowy pracy, obudowa metalowa (1242) Estetyczny wygląd doskonały do zastosowań biurowych (1131, 1250) 802.1x (EAP) WPA, WPA2 16 SSID / 16 VLAN Zasilanie PoE AP 1242 AP 1131 AP 1250

Kontrolery i ich rola Catalyst 3750G 25 lub 50AP Cisco 4402 50 AP Cisco 4404 100 AP Cisco WiSM 300 AP Moduł Cisco WLC 6,8,12 Cisco 4402 12 AP Cisco 4402 25 AP Cisco 2106 6 AP 1-2 AP 2-6 AP >=25 AP >=100 AP >=300 AP

WCS Funkcjonalności: Zaawansowane narzędzie do Planowania Konfiguracji Zarządzania Monitorowania Lokalizowania oraz wykrywania niepoŝądanych zachowań w sieci Odnajdywania nieprawidłowości w konfiguracji sieci WLAN MoŜliwość implementacji map Zintegrowany system obsługi wielu kontrolerów jednocześnie System filtracji, korelacji i alarmowania w systemie i przez e- mail W zaleŝności o licencji obsługa: 50, 100, 500, 1000, 2500 AP

Location Appliance Funkcjonalności: Zaawansowany system śledzenia z duŝą dokładnością: 90% - 10m ; 50% - 5m Do 2,500 jednoczesnych urządzeń bezprzewodowych: aktywne tagi obce AP punkty dostępowe klienci Pełna historia do 30 dni wstecz Interfejs graficzny za pośrednictwem WCS Nie wymaga Ŝadnych aplikacji instalowanych na klientach końcowych

Komunikacja w systemie - LWAPP Light Weight Access Point Protocol jest protokołem uŝywanym pomiędzy punktami dostępowymi, a kontrolerem LWAPP transportuje dane oraz ruch kontrolny UmoŜliwia centralne zarządzanie Jest czynnikiem umoŝliwiającym wprowadzenie inteligencji do sieci bezprzewodowych

Zarządzanie domeną RF Dynamiczne przypisanie kanału Dynamiczny dobór mocy Kanał 1 Kanał 6 Kanał 11 Stała wymiana komunikatów IP kontrolera/grupy mobilnej Wysyłane na pełnej mocy Uwierzytelnione UmoŜliwia systemowi: Zapobiec interferencjom i zakłóceniom Wyeliminować dziury w pokryciu WLAN Zoptymalizować pokrycie

Zarządzanie domeną RF Rozwiązanie problemu uczęszczanych miejsc na terenie firmy (sal konferencyjnych, pokazowych, terenu recepcji..) 2 1

Zarządzanie domeną RF Rozwiązanie problemu uczęszczanych miejsc na terenie firmy (sal konferencyjnych, pokazowych, terenu recepcji..) 2 2

Zarządzanie domeną RF Minimalizacja wpływu szumów na pracę sieci Interferencje na Kanale 11 Kanał 1 Kanał 11 Kanał 1 Kanał 6

Zarządzanie domeną RF Minimalizacja wpływu szumów na pracę sieci Interferencje na Kanale 11 Kanał 1 Kanał 1 Kanał 11 Kanał 6

Brak pojedynczego punktu awarii System zarządzania automatycznie pokrywa luki powstałe w wyniku awarii AP

Brak pojedynczego punktu awarii System zarządzania automatycznie pokrywa luki powstałe w wyniku awarii AP

Brak pojedynczego punktu awarii AP przechowuje ustawienia kanału i mocy nadawania tak długo, jak jest zasilany Automatyczne przywracanie elementów sieci po awarii kontrolera Nie wymaga interwencji operatora

Agenda Dlaczego sieć bezprzewodowa ZagroŜenia i mechanizmy bezpieczeństwa w kontekście sieci bezprzewodowych Cisco Unified Wireless - komponenty Co moŝna jeszcze znaleźć w Cisco Podsumowanie

Mechanizmy dostępne w rozwiązaniach Cisco Systems Wsparcie dla WPA, WPA2, 802.1x (PEAP, TLS, TTLS, FAST, SIM, oraz LEAP) Ukrywanie SSID Filtracja adresów MAC Lokalna autoryzacja na kontrolerze w przypadku braku łączności z serwerem RADIUS Lokalna autoryzacja w przypadku braku łączności z kontrolerem na AP (H-REAP) ACL + Firewall Ochrona (DHCP i ARP) Blokowanie połączeń klient klient IDS dla sieci bezprzewodowej

Mechanizmy dostępne w rozwiązaniach Cisco Systems Wykluczanie klientów Wykrywanie nieautoryzowanych: - połączeń Ad-Hoc - Punktów dostępowych - Klientów - Wykrywanie czy AP jest podłączony do sieci przewodowej Zakłócanie obcych sieci bezprzewodowych Ochrona ramek zarządzających Autoryzacja AP (LWAP) na podstawie certyfikatów X.509 Wysoka dostępność w kontekście bezpieczeństwa RównowaŜenie obciąŝenia

Mechanizmy dostępne w rozwiązaniach Cisco Systems Dostęp dla gości (uwierzytelnianie Web) MoŜliwość tworzenia wielu SSID Integracja z NAC Integracja z zewnętrznym systemem IPS Integracja z Firewall

ACL + Firewall

Ochrona (DHCP i ARP) AP podgląda ramki ARP i upewnia się czy adres MAC widniejący w zapytaniu jest identyczny w stosunku do adresu zawartego w nagłówku zapytania. Dodatkowo zablokowany jest ruch (odpowiedzi) DHCP od klientów bezprzewodowych

IDS dla sieci bezprzewodowej

Wykluczanie klientów Na podstawie: - błędnego procesu przyłączenia - błędnego procesu uwierzytelnienia (802.11) - błędnego procesu uwierzytelnienia (802.1x) - duplikacji adresu IP - błędnego procesu uwierzytelnienia Web

Wykrywanie nieautoryzowanych urządzeń bezprzewodowych

Wykrywanie czy AP jest podłączony do sieci przewodowej NMS WCS Rdzeń Kontroler Dystrybucja Dostęp Dziki AP Dziki AP Dziki AP

Zakłócanie obcych sieci bezprzewodowych

Ochrona ramek zarządzających Ramki zarządzające są dodatkowo wyposaŝone w niewielką sygnaturę dzięki czemu mogą być identyfikowane przez system. Wsparcie dla komunikacji klient AP wymaga zgodności po stronie klienta z CCX 5

Dostęp dla gości Uwierzytelnianie Web: Uwierzytelnianie lokalne UŜycie kontrolera w strefie DMZ (kotwica) Web Authentication z uŝyciem zewnętrznego serwera RADIUS Web Authentication z uŝyciem zewnętrznego serwera WEB Web Authentication z uŝyciem Cisco NAC Guest Server

Dostęp dla gości Dlaczego kotwica : - uŝycie tuneli EoIP pozwala na logiczną separację i transport ruchu gości pomiędzy kontrolami brzegowymi i kotwicą - pozostały ruch (np. pracowników) jest w dalszym ciągu lokalnie terminowany przez kontrolery brzegowe - nie ma konieczności definiowania VLANu gości na przełącznikach obsługujących kontrolery brzegowe - ramki gości są zachowywane przy transporcie przez tunele EoIP i LWAPP - moŝliwości redundancyjne (tunele do kontrolerów)

Dostęp dla gości (uwierzytelnianie Web)

MoŜliwość tworzenia wielu SSID MoŜliwość stworzenia do 16 SSID: Definiowanie, które SSID mają być rozgłaszane Przypisywanie mechanizmów uwierzytelniania do SSID Przypisywanie VLAN do SSID Przypisywanie dynamiczne na podstawie informacji od serwera RADIUS parametrów takich jak VLAN, QoS, ACL

Integracja z NAC Dzięki zastosowaniu rozwiązania Cisco NAC istnieje moŝliwość sprawdzenia stanu stacji pod kątem atrybutów takich jak: - aktualność systemu operacyjne - istnienie oraz poprawność konfiguracji Personal Firewall - istnienie oraz poprawność konfiguracji systemu antywirusowego

Integracja z zewnętrznym systemem IPS System IPS zawarty w WLC pozwala na analizowanie ruchu na poziomie sieci bezprzewodowej Klasyczny system IPS doskonale uzupełnia powyŝsze rozwiązanie przez analizowanie ruchu klienta

Integracja z Firewall Rozwiązanie Firewall wbudowane w WLC jest prostym narzędziem opartym jedynie o klasyczne ACL

Agenda Dlaczego sieć bezprzewodowa ZagroŜenia i mechanizmy bezpieczeństwa w kontekście sieci bezprzewodowych Co moŝna jeszcze znaleźć w Cisco Podsumowanie

Dobre praktyki przy budowie bezpiecznego systemu WLAN Zabezpieczyć stacje końcowe Zabezpieczyć Infrastrukturę Zabezpieczyć transmisję Wykrywać zdarzenia Blokować ataki

Zabezpieczyć stacje końcowe (same w sobie) Aktualne oprogramowanie (poprawki) System anty-wirusowy System Host-IPS System Personal Firewall

Zabezpieczyć stacje końcowe z pkt. widzenia infrastruktury ZagroŜenia: Podłączenie do obcego AP Podłączenie obcej stacji Ad-Hoc Ataki DOS z uŝyciem ramek zarządzających

Zabezpieczyć stacje końcowe z pkt. widzenia infrastruktury Ochrona Silne mechanizmy uwierzytelniania i szyfrowania Wykrywanie obcych AP i klientów Wykrywanie sieci Ad-Hoc Blokowanie połączeń peer-to-peer Ochrona ramek zarządzających

Zabezpieczyć Infrastrukturę ZagroŜenia Nieautoryzowany dostęp Ataki sieciowe

Zabezpieczyć Infrastrukturę Ochrona Zarządzanie pasmem radiowym IDS dla WLAN Tylko LWAPP Silna polityka odnośnie dostępu do zarządzania Bezpieczeństwo fizyczne Autoryzacja AP (np. certyfikaty X.509)

Zabezpieczyć Infrastrukturę Ochrona Ochrona serwera AAA (WLAN IDS) Port Security na przełącznikach Filtracja ruchu do niezbędnego minimum Nadzorowanie komunikacji ARP i DHCP

Zabezpieczyć transmisję ZagroŜenia Dla komunikacji: Klient AP AP kontroler Kontroler system zarządzania Kontroler ACS

Zabezpieczyć transmisję Ochrona WPA/WPA2 (802.1x) LWAPP SNMPv3

Pytania Dziękuję za uwagę

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres