Cisco and/or its affiliates. All rights reserved. Źródło:

Podobne dokumenty
AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Sieci bezprzewodowe WiFi

Digital WorkPlace według Aruba Networks. Robert Miros Network Solution Architect

Engenius/Senao EUB-362EXT IEEE802.11b/g USB Instrukcja Obsługi

Aktywne elementy bezpieczeństwa w sieciach WLAN. Krzysztof Lembas InŜynier Konsultant

Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej. Mateusz Grajewski Systems Engineer, CCIE R&S

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)


Lp. Rodzaj sprzętu/oprogramowania Ilość 1 Punkty dostępowe 25 2 Kontroler sieci bezprzewodowej 1

SZYBKI START MP01. Wersja: V1.0 PL

Kompaktowy design Dzięki swoim rozmiarom, można korzystać z urządzenia gdzie tylko jest to konieczne.

Laboratorium - Konfiguracja routera bezprzewodowego w Windows 7

Dr Michał Tanaś(

Rozwiązywanie problemów z DNS i siecią bezprzewodową AR1004g v2

802.11g: do 54Mbps (dynamic) b: do 11Mbps (dynamic)

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

NIEUPOWAśNIONYM WSTĘP WZBRONIONY

Opis przedmiotu zamówienia CZĘŚĆ 16

300 ( ( (5 300 (2,4 - (2, SSID:

Metody uwierzytelniania klientów WLAN

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

TP-LINK 8960 Quick Install

Cel prezentacji. Główne punkty prezentacji. Systemy wykrywania włamań dla sieci bezprzewodowych Wi-Fi. a inne sieci bezprzewodowe

Marcin Szeliga Sieć

Vigor AP - tryb AP Bridge WDS

Laboratorium - Konfiguracja routera bezprzewodowego w Windows Vista

Konfiguracja punktu dostępowego Cisco Aironet 350

Przełą. łączniki Ethernetowe

WLAN bezpieczne sieci radiowe 01

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Plan. 1. Kanały w sieciach Standardy Ramki zarządzające 4. Przydatne komendy 5. Zadania

Check Point Endpoint Security

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

WLAN 2: tryb infrastruktury

Wireless Router Instrukcja instalacji. 1. Wskaźniki i złącza urządzenia...1

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

Konfiguracja WDS na module SCALANCE W Wstęp

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

CENTRUM PRZETWARZANIA DANYCH MINISTERSTWA FINANSÓW Radom r.

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

DESIGNED FOR ALL-WIRELESS WORLD

Black Box. Gateway. Bridge. Wireless ISP. Tryb Gateway.

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

Sieci bezprzewodowe oczami hackera

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Laboratorium - Konfiguracja zabezpieczeń sieci bezprzewodowej

VLAN 450 ( ( (5 450 (2.4 (2, SSID:

159,90 PLN brutto 130,00 PLN netto

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Router bezprzewodowy Gigabit 450N dwuzakresowy 450 Mb/s, a/b/g/n, GHz, 3T3R MIMO, QoS, 4-portowy przełącznik Gigabit Part No.

Minimum projektowania jeden kanał radiowy Szybki roaming 3 ms, bez zrywania sesji, połączeń VoIP Quality of Service już na poziomie interfejsu

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Dla przykładu, w instrukcji tej wykorzystano model TL-WA701ND.

Konfiguracja sieci bezprzewodowych Z menu Network zlokalizowanego w górnej części strony wybieramy pozycję Wireless.

Eduroam - swobodny dostęp do Internetu

Symantec Endpoint Security dla przedsiębiorstw. Arkadiusz Lewandowski

Dwuzakresowy Router Bezprzewodowy AC Mb/s Wireless N (2.4 GHz) Mb/s Wireless AC (5 GHz), QoS, 4-portowy przełącznik LAN Part No.

178,18 PLN brutto 144,86 PLN netto

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Opakowanie urządzenia powinno zawierać następujące pozycje: Dysk CD (ze sterownikami i podręcznikiem użytkownika) Podstawka z kablem USB

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

98,00 PLN brutto 79,67 PLN netto

Współpraca modułu Access Point SCALANCE W788-2PRO ze stacjami klienckimi Windows.

Pirelli 226 AG. Ustawienie automatycznej adresacji IP Microsoft Windows XP/2000.

2007 Cisco Systems, Inc. All rights reserved.

CERBERUS P 6351 router ADSL2+ WiFi N300 (2.4GHz) 2T2R 4x10/100 LAN 1xRJ11 Annex A

WDS tryb repeater. Aby utworzyć WDS w trybie repeater należy wykonać poniższe kroki:

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP

1. W systemie Windows przejdź do Panel sterowania> Sieć i Internet> Centrum sieci i udostępniania.

Konfiguracja mostu radiowego w urządzeniu UBIQUITI NANOSTATION M5

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

155,35 PLN brutto 126,30 PLN netto

Access Point WiFi Netis WF2220, 300 Mbps

Bezprzewodowy router, standard N, 150Mb/s TL-WR740N

bezpieczna sieć bezprzewodowa

Anatomy of an attack.. Cel: firma Aupticon Branża: technologie, R&D, self-driving cars

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Mikrosegmentacja w sieciach kampusowych Temat slajdu. Aruba 360 Security Fabric

4. Podstawowa konfiguracja

Features: Specyfikacja:

IEEE b/g. Asmax Wireless LAN USB Adapter. Instrukcja instalacji

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Informacje na temat Radar 8.21

Załącznik nr 6b opis przedmiotu zamówienia dla części 2

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Karta sieci bezprzewodowej AirPlus Xtreme G 2.4 GHz Cardbus. Dysk CD (ze sterownikami i podręcznikiem użytkownika)

ZAPYTANIE OFERTOWE NR 3

ZiMSK. Konsola, TELNET, SSH 1

Transkrypt:

Źródło: http://www.johnconnell.co.uk/images/ingemann-wireless.jpg Cisco Public 1

Sieci bezprzewodowe Poczuj się bezpiecznie Sebastian Pasternacki Solutions Architect CCIE#17541 RS/SEC/SP/WLAN CCDE#2012::9 Cisco Secure 2014

Cisco Public 3

Cel Lepiej zapobiegać niż leczyć Bez zapobiegania mamy problem, ponieważ Wireless nie ma granic Cisco Public 4 4

STANDARDY IEEE 802.11 Cisco Public 5

Agenda 1. Zagrożenia w sieciach bezprzewodowych 2. Wireless Intrusion Prevention 3. Wykrywanie i niwelowanie zagrożeń 4. Spojrzenie projektowe 5. Demo co w sieci piszczy? Cisco Public 6

Zagrożenia w sieciach bezprzewodowych Cisco Public 7

Wektory ataku w sieciach bezprzewodowych Ataki On-Wire Ad-hoc Wireless Bridge HACKER Evil Twin/Honeypot AP Ataki Over-the-Air HACKER S AP Reconnaissance HACKER Client-to-client backdoor access Rogue Access Points HACKER Backdoor network access Connection to malicious AP Denial of Service DENIAL OF SERVICE Service disruption Ataki Non-802.11 Seeking network vulnerabilities Cracking Tools HACKER Sniffing and eavesdropping BLUETOOTH AP MICROWAVE BLUETOOTH RF-JAMMERS RADAR Cisco Public 8 8

Nirvana atakującego łatwość i dostępność narzędzi Backtrack 5 (VM or Live CD) BSSID ESSID Radio MAC Wireless SSID OR Channel & Tx Power DHCP, DNS etc. No Regulatory Restrictions Bridge/NAT Interfaces USB Wireless Cards Piramida Podszywania się 9 Cisco Public 9

Demo przykładowy scenariusz Wideo CL14 Cisco Public 10

Wireless Intrusion Prevention Najlepsze praktyki Cisco Public 11

Bezpieczeństwo Wireless - wymagania Bezpieczne połączenie Identyfikacja użytkownika Klasyfikacja aplikacji Kontrola dostępu Dla wszystkich klientów Klient Access Point Przełącznika Kontroler Wireless LAN 12 Identity Services Engine Cisco Public 12

Uwierzytelnianie najlepsze praktyki Użyj WPA2-Enterprise Uwierzytelnianie Tunneling-Based (Protective Cover) EAP-PEAP Inner Methods (Authentication Credentials) Bazujące na certyfikatach EAP-TTLS EAP-GTC EAP-MSCHAPv2 EAP-TLS EAP-FAST Szyfrowanie AES Advanced Encryption Standard wymaga często sprzętowego wsparcia i zapewnia prędkość line-rate Cisco Public 13 13

Zabezpiecz infrastrukturę Wireless zacznij od AP Skonfiguruje 802.1x Supplicant 1 2 Uruchom Port Security RADIUS RADIUS 802.1x Uwierzytelnienie ISE CAPWAP DTLS używając MIC (Manufactured Installed Certificates) Domyślnie zachowanie Out-of-Box wzajemnie uwierzytelnienie Cisco Public 14 14

Management Frame Protection (MFP) Zabezpiecz ramki Management Problem Problem Ramki management 802.11 nie są uwierzytelniane, szyfrowane lub podpisywane klasyczny wektor ataków Rozwiązanie Dodaj podpis (Message Integrity Code/MIC) do ramek management AP mogą natychmiastowo zidentifikować nieprawidlowe lub fałszywe ramki Opcjonalnie, Klienci i APs mogą użyć MIC do weryfikacji autentyczności ramek management Beacons Probes Association Beacons Probes Association Cisco Public 15 15

Infrastructure MFP - działanie 1 Włącz MFP WLC GUI> Security> Wireless Protection Policies > MFP 3 Budynek 1 2 2 Corporate Building 2 AP nie widzą się BSSID 11:11:11:11:11:11 BSSID 22:22:22:22:22:22 BSSID 11:11:11:11:11:11 Cisco Public 16 16

Klient a MFP i/lub 802.11w CCXv5 Ramki Management zabezpieczone MIC AP Beacons Associations/Re-Associations Authentications/ De-Authentications Probe Requests/ Probe Responses Disassociations Action Management Frames Ramki zabezpieczone przez Security Association (SA) Podszywanie się pod AP i klienta Cisco Public 17

Profilowanie i egzekucja polityki dostępu - opcje Komponenty sieciowe POLICY WLC Radius Server (e.g. ISE Base, ACS) Wyłącznie Wireless Elementy Profilowania Rola użytkownika Typ urządzenia Uwierzytelnienia Czas (ToD) Wymuszenie polityki VLAN Access List QoS Session Timeout AVC 18 Cisco Public 18

Wi-Fi Direct Policy problemy z mobile i nie tylko Urządzenie korporacyjne Korporacyjny WLAN Nieutoryzowane urządzenia Dostęp Backdoor Wi-Fi Direct pozwala na równoczesny dostęp do sieci korporacyjne WLAN & nieautoryzowanych urządzeń Zabezpiecz dostęp dokorperacyjnej sieci WLAN jeśli Wi-Fi Direct jest włączony na urządzeniu korporacyjnym Cisco Public 19 19

Application Visibility and Control na kontrolerze WLC Więcej w części demo Blokuj Client Traffic Identyfikacja Aplikacji z użyciem NBAR2 Voice Video Best-Effort Background Rate Limiting Kontroluj zachowanie aplikacji Cisco Public 20 20

Wykrywanie i niwelowanie zagrożeń Cisco Public 21

Nasłuchując za oszustami (Rogues) Dwa różne tryby AP w procesie RRM Scanning Local Mode AP Monitor Mode AP Podstawy Rogue Detection Klienci obsługiwani 16s Skan 50ms dla Rogue Skan Best Effort Scan 1.2s per channel Skan 24x7 22 RF Group = Corporate Każdy AP nie wysyłający poprawnej informacji RF Group uważany jest za Rogue Cisco Public 22

Podstawy RRM Channel Scanning Local Mode AP obsługa klientów Czas wykrycia AP na kanale 1-802.11 b/g/n (2.4GHz) 10ms 10ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 1 2 1 3 1 4 1 5 1 6 1 7 1 Co 16s nowy kanał jest sprawdzany (scanned) przez 50ms (180sec / 11 channels = ~16s) 10ms 10ms AP na kanale 36-802.11 a/n (5Ghz) (bez UNII-2 Extended) 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 14.5s 50ms 36 40 36 44 36 48 36 52 36 56 36 60 36 64 36 149 Co 14.5s nowy kanał jest sprawdzany (scanned) przez 50ms (180sec / 12 channels = ~14.5s) Cisco Public 23 23

Podstawy RRM Channel Scanning Monitor Mode AP Czas wykrycia 10ms 10ms 802.11b/g/n (2.4GHz) Wszystkie kanały 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1 2 3 4 5 6 7 1.2s 8 9 10 11 12 Każdy kanał skanowany przez ~10.7s ((180s / 1.2s) / 14ch) w ramach 180s czasu skanowania kanału 1.2s 10ms 10ms 802.11a/n (5GHz) Wszystkie kanały 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 Każdy kanał skanowany przez ~6.8s ((180s / 1.2s) / 22ch) w ramach 180s czasu skanowania kanału Cisco Public 24 24

Reguły klasyfikacji Rogue To kto jest bardziej szkodliwy? Klasyfikacja bazująca na szkodliwości zagrożenia i akcji niwelowania Reguły dopasowane do modelu ryzyka klienta Przyjazny/Friendly Złośliwy/Malicious Poza siecią Zabezpieczony Obce SSID Słabe RSSI Odległa lokalizacja Bez klientów W sieci Otwarty Nasze SSID Silne RSSI Bliska lokalizacja Zachęca klientów Cisco Public 25 25

Metody wykrywania Rogue podłączonych w sieci Rogue Detector AP Rogue Location Discovery Protocol (RLDP) Trunk Rogue Detector Data Serving Data Serving AP Wykrywa wszystkich klientów rogue client oraz ARPy AP Kontroler odpytuje Rogue Detector, czy klienci Rague są widoczni w lokalnej sieci Nie działa z AP za NAT 26 Podłącza się do Rogue AP jako klient Wysyła pakiet na IP kontrolera Działa wyłącznie z Rogue AP w trybie Open Cisco Public 26

Rogue Detector AP jak to działa? Cisco Prime Zmiana poziomu Alarmu z Minor do Critical WLC Security Alert: Rogue with MAC Address 0021.4458.6651 Has Been Detected on the Wired Network BSSID: 0021.4458.6652 Trunk Rogue Detector > debug capwap rm rogue detector ROGUE_DET: Found a match for rogue entry 0021.4458.6652 ROGUE_DET: Sending notification to switch ROGUE_DET: Sent rogue 0021.4458.6651 found on net msg Cisco Public 27 27

Rogue Location Discovery Protocol (RLDP) jak to działa? Cisco Prime Zmiana poziomu Alarmu z Minor do Critical WLC Security Alert: Rogue with MAC Address 0021.4458.6652 Has Been Detected on the Wired Network BSSID: 0021.4458.6652 > debug dot11 rldp Successfully associated with rogue: 00:21:44:58:66:52 Sending DHCP packet through rogue AP 00:21:44:58:66:52 RLDP DHCP BOUND state for rogue 00:21:44:58:66:52 Returning IP 172.20.226.253, netmask 255.255.255.192, gw 172.20.226.193 Send ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80) Received 32 byte ARLDP message from: 172.20.226.253:52142 28 Cisco Public 28

Switchport Tracing (SPT) z użyciem Cisco Prime Cisco Prime 2 CAM Table 3 CAM Table 1 Core Show CDP Neighbors Switchport Tracing: na-żądanie lub automatycznie Corporate AP Identyfikacja sąsiadów CDP AP wykrywających Rogue Zapytanie o stan tablicy CAM zzukając MAC Rogue AP Działa dla AP z zabezpieczeniem i NAT 29 SPT sprawdza: Rogue Client MAC Address Rogue Vendor OUI Rogue MAC +3/-3 Cisco Public 29 Rogue MAC Address

Wireless Rogue AP Containment zatruwanie wrogów Local Mode AP Monitor Mode AP Broadcast & Unicast De-auth Unicast De-auth & Unicast Dis-assoc AP w trybie local mode AP może zatruwać 3 rogue AP per radio Pakiety zatruwające wysyłane co 500ms Wpływa na wydajność działania klienta AP w trybie monitor mode może zatruwać 6 rogue AP per radio Pakiety zatruwające wysyłane co 100ms Cisco Public 30 30

Lokalizacja Rogue Z Cisco Prime Pozwala na lokalizację pojedynczego Rogue Ap na żądanie Nie przetrzymuje danych historycznych w kontekście lokalizacji Nie wspiera lokalizacji klientów Rogue Cisco Public 31 31

Lokalizacja Rogue Real-Time z Prime oraz Mobility Services Engine (MSE) -> demo WiFi Interferer Non-WiFi Interferer Microwave Śledzi wiele urządzeń Rogue w trybie real-time (do poziomu ograniczeń MSE) Może śledzić i przechowywać informacje lokalizacyjne urządzeń rogue Umożliwia lokalizację Klientów Rogue, sieci Rogue Ad-Hoc oraz Zakłoceń Non-WiFi (Interferers) Bluetooth Cisco Public 32 32

Mechanizmy detekcji ataków Cisco Prime Core WLC IDS Wykrywanie Klientów i AP Rogue 17 sygnatur ataków Agregacja alarmów, konsolidacja i redukcja False Positives Rozszerzona analiza behawioralna DoS 115 sygnatur ataków Skoordynowane zatruwanie Rogue Detekcja Anomalii Adaptive wips Zaawansowane funkcje Forensic, Blacklisting, Auto Containment i odpowiedzi Auto Immunity Cisco Public 33 33

Adaptive wips Rekomendacje wdrożeniowe Enhanced Local Mode Monitor Mode AP WSSI Module Local Mode Local Mode Monitor Mode Local Mode Klienci 16s Skan 50ms Ataki Klieci Skan 1.2s Ataki Klienci Skan 1.2ms Ataki Skan Best Effort Uruchuom ELM na każdym AP Skanowanie 24x7 Wdrożenie 1 MM AP na każde 5 Local Mode AP 34 24x7 Scanning Wdrożenie 1 WSSI na każde 5 Local Mode AP Cisco Public 34

Spojrzenie projektowe Cisco Public 35

36 Cisco Public 36

Implikacje projektowe Co warto rozważyć? Enterprise Network WPA2 Enterprise (EAP-TLS/AES) Edukacja użytkowników (certyfikaty, hasła, etc) Detekcja Rogue uruchomienie i tuning ( Zatruwanie do rozważenia) Lokalizacja w poszukiwaniu szkodników Exclusion kontrola brute force QoS priorytet ruchu ważnego AVC kontrola na poziomie aplikacyjnym Chroń infrastrukturę MFP/802.11w CleanAir identyfikuj i reaguj na wpływ non-802.11 Kontrola mocy, kanałów ASA WLC Core/Distribution Access Testuj, testuj, testuj, a później przetestuj Cisco Public 37

Demo Co w sieci piszczy? Cisco Public 39

Podsumowanie Sieci bezprzewodowe mogą być bezpieczne: 1. Znaj swego wroga 2. Używaj najlepsze praktyki konfiguracyjne 3. Wykrywaj i przeciwdziałaj zagrożeniom Lepiej zapobiegać niż leczyć Cisco Public 40

Dziękuję.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres