Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

LANCOM Systems GmbH Stand:12.09.2005 Version: 5.0 www.lancom.de.

Ähnliche Präsentationen


Präsentation zum Thema: "LANCOM Systems GmbH Stand:12.09.2005 Version: 5.0 www.lancom.de."—  Präsentation transkript:

1 LANCOM Systems GmbH Stand: Version: 5.0

2 Kapitel 16 - Routing

3 LANCOM Systems - 3 Routing Routing-Verfahren Routing-Verfahren lassen sich grob klassifizieren in: Bei den statischen Verfahren wird die optimale Wegwahl einmalig berechnet, und es wird immer der gleiche Weg über die Gateways benutzt. Das wirkt sich bei Änderung der Randbedingungen nachteilig aus, da alle Änderungen manuell eingepflegt werden müssen. Dagegen stehen die dynamischen Verfahren, die die Wegwahl aufgrund aktueller Zustandsparameter des Netzwerkes treffen. Dies stellt bei großen Netzwerken ein Problem dar, da sich der Netzwerkzustand ständig ändert. Das Datenaufkommen dieser Informations-Mitteilungen nimmt mit der Größe des Netzes überproportional zu und ist bei größeren Netzen inakzeptabel.

4 LANCOM Systems - 4 Routing Kopplung von zwei Netzen Um Netze sinnvoll miteinander über Router zu koppeln, müssen beide Netze logisch voneinander getrennt werden. Eine Alternative stellt das N:N Mapping dar. In jedem der Router werden jeweils eine Route für das entfernte Netz in die Routing-Tabelle eingetragen.

5 LANCOM Systems - 5 Routing Kopplung von zwei Netzen WAN LAN A LAN B LAN A LAN B Sauber getrennte Netze. Routing ist ohne Probleme möglich. Logisch die gleichen Netze. Routing ist nicht mit vertretbarem Aufwand möglich. LANCOM

6 LANCOM Systems - 6 Routing Anbindung eines einzelnen Rechnern (RAS) Wenn ein Rechner über einen IP-Router an ein Netzwerk angebunden werden soll, ist der Rechner logisches Bestandteil des lokalen Netzes. Dafür wird dem Rechner bei der Einwahl vom Router eine IP- Adresse zugewiesen. Dieser Vorgang ist der gleiche, der bei der Einwahl zu einem ISP stattfindet.

7 LANCOM Systems - 7 Routing Anbindung eines einzelnen Rechnern (RAS) LANCOM LAN A Zuweisung einer IP aus dem lokalen Netz. z.B.: / WAN

8 LANCOM Systems - 8 Routing Definition der Netzwerkklassen (entfiel mit RFC 1519) Klasse A Klasse B Klasse C Netzmaske: Netzmaske: Netzmaske: Netzwerk Host Netzklassen max. Anzahl von Netzen max. Anzahl von Hosts A B C Dreserviert

9 LANCOM Systems - 9 Routing IP-Bereiche der Netzwerkklassen Klasse A:1.x.x.x x.x.x Klasse B:128.x.x.x x.x.x Klasse C:192.x.x.x x.x.x reservierte Bereiche: 224.x.x.x x.x.x

10 LANCOM Systems - 10 Routing Warum Subnetting? Bei der Nutzung reiner Netzklassen gibt es zu wenig logisch getrennte Netze, um den heutigen Routing-Anforderungen zu genügen. Das kleinste nutzbare Netz (Klasse-C) wäre für 254 Rechner ausgelegt. Es besteht Bedarf, kleinere Netze einzurichten, um diese logisch trennen zu können. Subnetting bedeutet weiterhin eine Reduzierung der Netzlast. Daher gibt es neben den Netzklassen die Möglichkeit, Netze durch Subnetz-Masken weiter aufzuteilen.

11 LANCOM Systems - 11 Routing Berechnung der Netz-Adresse Logische Und- Verknüpfung (0 Λ 0 = 0) (0 Λ 1 = 0) (1 Λ 1 = 1) Die Netz-Adresse wird aus der IP-Adresse eines Hosts und der dazugehörigen Netzmaske errechnet. Dazu wird die IP-Adresse und die Netzmaske binär aufgeschrieben und logisch Und-Verknüpft. In der Logik ist das Symbol für Und gleich "Λ IP-Adresse: Netzmaske: Netzadresse:

12 LANCOM Systems - 12 Routing Berechnung der Broadcast-Adresse Die Broadcast-Adresse wird aus der IP-Adresse eines Hosts und der dazugehörigen Netzmaske errechnet. Dazu wird die IP-Adresse und die invertierte Netzmaske binär aufgeschrieben und logisch Oder-Verknüpft. In der Logik ist das Symbol für Oder gleich V IP-Adresse: Netzmaske: Broadcast: Logische Oder- Verknüpfung (0 V 0 = 0) (0 V 1 = 1) (1 V 1 = 1)

13 LANCOM Systems - 13 Routing Subnetz-Masken Es sind nur folgende Subnetz-Masken empfehlenswert: Subnetzmaske BinärAnzahl derAnzahl Subnetzeder Hosts

14 LANCOM Systems - 14 Um zu verhindern, daß die knappen IP-Adressen für den privaten Bereich verwendet werden, sind jeweils ein A-, ein B- und ein C- Klasse-Netz Bereich für die private Nutzung reserviert. Diese IP-Adressen dürfen nicht im Internet verwendet werden und werden von jedem Internet-Router verworfen. Diese IP-Adressen werden vom LANCOM Router per default gefiltert. Routing Reservierte Adreßbereiche

15 Kapitel 16 - Wireless Security

16 LANCOM Systems - 16 Wireless Security Übersicht ACL (MAC-Adress-Filter (auch zentral über RADIUS)) Closed Network WEP-Verschlüsselung 802.1x / EAP IPsec over WLAN WPA/TKIP i

17 LANCOM Systems - 17 Wireless Security ACL ACL steht für Access Control List Zugriff auf das WLAN nur für bekannte WLAN-Clients. Pflegen einer MAC-Adress-Liste im Access Point. Pflegen einer MAC-Adress-Liste per RADIUS.

18 LANCOM Systems - 18 Wireless Security Closed Network Kein aktives Kommunizieren der SSID (WLAN Netzwerkname) durch den Access Point. WLAN kann nicht gefunden werden, z.B. durch Windows Zero Konfig. Kein Zugriff mit SSID ANY möglich.

19 LANCOM Systems - 19 Wireless Security Schwächen von ACL und Closed Network Weder ACL noch Closed Network sind Patentlösung zur Zugangskontrolle. Die Protokoll-Definition sieht vor, dass sowohl die MAC- Adressen als auch die ESS-ID in Daten- oder Management- Frames über die Luft unverschlüsselt übertragen werden. Mit speziellen Wireless-LAN-Sniffer-Programmen können die Informationen ausgespäht werden und möglicherweise an den Client-Stationen gefälscht werden.

20 LANCOM Systems - 20 Wireless Security WEP (Wired Equivalent Privacy) IEEE b beschreibt WEP64 (40 Bit). Die meisten WLAN-Karten unterstützen jedoch auch WEP128 (104 Bit), einige WEP152 (128 Bit). Symmetrisches Verschlüsselungsverfahren mit statischem PSK (Preshared Key). Verschlüsselung durch RC4-Algorythmus. Verwendung eines 24 Bit langen Initial Vector (IV)

21 LANCOM Systems - 21 Wireless Security Schema einer WEP-Verschlüsselung Nachricht IVC XOR Schlüsselstrom = RC4 (IV/WEP-Schlüssel) zu übertragendes Datenpaket Klartext-Daten IV Verschlüsselte Daten

22 LANCOM Systems - 22 Wireless Security Welchen Schutz bietet WEP? Die Aufgabe von WEP ist es, eine Sicherheit zu gewährleisten, die mit der Sicherheit von fest verkabelten Netzen vergleichbar ist. Um eine verschlüsselte Datenkommunikation zu ermöglichen, müssen alle Client-Stationen und Basis-Stationen WEP einsetzen. Alle Stationen arbeiten mit einem Schlüssel. Bei aktivierter Verschlüsselung wird das Mithören von Funkübertragungen ohne Kenntnis des Schlüssel unmöglich.

23 LANCOM Systems - 23 Wireless Security Schwächen von WEP - IV Zu kurze Länge des IV (Initial Vector). Wiederverwendung eines Schlüssels bei WEP mit RC4 alle 16 Millionen Pakete. Theoretischer Ansatz: In einem 11 Mbit/s-WLAN, bei einer Nettodatenrate von 5 Mbit/s und einer maximalen Paketlänge von 1500 Bytes kommt es zu einer Wiederholung des Schlüssels nach 11 Stunden. WEP Key errechenbar. Verwendung von schwachen IVs.

24 LANCOM Systems - 24 Wireless Security Schwächen von WEP - RC4 Im Laufe des Jahres 2001 sind verschieden Schwächen von aktuellen WEP-Implementationen aufgedeckt worden. Im Januar stellte man an der University of California (Berkley) fest, dass WEP anfällig ist für bestimmte passive Attacken basierend auf known Plaintext (Klartext) und Dictionaries (Wörterbuch).

25 LANCOM Systems - 25 Wireless Security Schwächen von WEP - RC4 Zur Verschlüsselung verwendet WEP einen Strom von Pseudozufallszahlen, der mit den zu übertragenen Daten mittels XOR verknüpft wird. Die Zufallszahlen werden durch den Algorithmus RC4 aus einem geheimen Schlüssel k berechnet. Aus einem Klartext P wird der verschlüsselte Text C = P XOR RC4(k) berechnet. Für feste k gilt jedoch C1 XOR C 2 = P 1 XOR P 2, d.h., man kann mit einem bekannten Paar (P 1, C 1 ) auch P 2 = (C 1 XOR C 2 ) XOR P 1 berechnen und somit sämtliche Kommunikation entschlüsseln, ohne k zu kennen.

26 LANCOM Systems - 26 Wireless Security Schwächen von WEP - RC4 Um diesen Effekt zu verhindern, sieht WEP zusätzlich den Initialisierungsvektor (IV) vor, der sich bei jedem Datenpaket ändern muss: C = P XOR RC4 (IV, k). Damit die Gegenseite das Paket wieder entschlüsseln kann, wird der IV dem übertragenen Datenpaket als Klartext hinzugefügt.

27 LANCOM Systems - 27 Wireless Security Schwächen von WEP - RC4 Der IV ist aber nur 24 Bit groß. Wiederverwendung eines Schlüssels bei WEP mit RC4 alle 16 Millionen Pakete. Theoretischer Ansatz: In einem 11 Mbit/s-WLAN, bei einer Nettodatenrate von 5 Mbit/s und einer maximalen Paketlänge von 1500 Bytes kommt es zu einer Wiederholung des Schlüssels nach 11 Stunden. WEP Key errechenbar.

28 LANCOM Systems - 28 Wireless Security Schwächen von WEP - Schwache Schlüssel Bei WEP gibt es eine grossen Menge von schwachen Schlüsseln (weak keys). Die Ursache dafür liegt vor allem in der unzureichenden Länge des Initialisierungsvektors (IV) und einer Eigenschaft des RC4- Verfahrens, bestimmte Muster in den Codes zu erzeugen. Bei einer Kryptoanalyse reduzieren solche Muster die Anzahl der zu untersuchenden Schlüssel deutlich. Verschiedene Cracking-Tools wie z.B. Airsnort und WEPcrack nutzen diese Ergebnisse von Fluhrer, Mantin, Shamir und behaupten von sich, WEPSchlüssel innerhalb weniger Stunden herauszufinden.

29 LANCOM Systems - 29 Wireless Security WEPplus Proprietäre Erweiterung (Agere). Keine Verwendung von schwachen IVs. Voll kompatibel zum bisherigen WEP.

30 LANCOM Systems - 30 Wireless Security Schwächen von WEP - Key-Management Das vermutlich schwerwiegendste Problem in vielen, insbesondere grossen WLAN-Installationen ist die Schlüsselverteilung oder das Key-Management. WEP beinhaltet bisher kein Key-Management, die Schlüsselvergabe erfolgt manuell und alle Stationen verwenden denselben Schlüssel. Die ad-hoc-Lösung dafür bietet das 802.1x-Verfahren.

31 LANCOM Systems - 31 Wireless Security 802.1x / EAP Auf dem Client ist kein fester Schlüssel hinterlegt. Der Client muss sich an einem RADIUS Server authentifizieren (TLS oder TTLS). Dynamische Aushandlung der Schlüssel über EAP (Extensible Authentication Protocol) Regelmäßiger Wechsel des Schlüssels über den EAP Tunnel. Keine IV-Kollision (Schlüsselwiederholung)

32 LANCOM Systems - 32 Wireless Security IEEE 802.1x/EAP (Extensible Authentication Protocol) 802.1x ist ein Standard des IEEE für lokale Netze, der insbesondere bei Wireless LANs Furore macht x erweitert WLANs um eine Authentifizierungs-Möglichkeit für Benutzer und Stationen. Damit können zwischen Client und Access Point WEP-Schlüssel regelmäßig neu generiert (Re-Keying) und den Stationen automatisch übermittelt werden. Bei einer Neugenerierung von WEP-Schlüsseln im 20- bis 60- Minuten-Takt ist es zur Zeit unmöglich, selbst RC4-basierte WEP-Verfahren zu knacken.

33 LANCOM Systems - 33 Wireless Security Die IEEE 802.1x/EAP Komponenten Supplicant Der Supplicant ist im allgemeinen ein Client-PC, Notebook oder PDA ausgestattet mit einem Netzwerkadapter. Der PC-Treiber für die Karte muss den 802.1x-Standard unterstützen und eine Client-Software zur Konfiguration muss vorhanden sein. Windows XP enthält bereits alles Notwendige für 802.1x, wenn die Funknetzwerkkarte vom Betriebssystem erkannt wird. Authenticator Der Authenticator ist das Gegenstück zum Supplicant, in einem WLAN also der Access Point.

34 LANCOM Systems - 34 Wireless Security Ablauf einer IEEE 802.1x/EAP Überprüfung Authenticator und Supplicant tauschen per EAP (genauer: EAP- over-LAN) die Authentifizierungs-Daten aus. Die tatsächliche Überprüfung der Benutzerdaten vom Supplicant geschieht allerdings durch den Authentication Server. Die Kommunikation zwischen Authenticator und Authentication Server findet per RADIUS-Protokoll statt. Auch der RADIUS-Server muss die EAP Erweiterungen unterstützen.

35 LANCOM Systems - 35 Wireless Security IEEE 802.1x/EAP Methoden EAP und IEEE 802.1x stellen das Rahmenwerk zur Authentifizierung dar. Wie die Identität von Benutzern und Stationen tatsächlich überprüft wird, bestimmt die EAP-Methode. Die wichtigsten Methoden nutzen dazu entweder digitale Zertifikate oder Passwörter. EAP-MethodeSupplicantAuthenticatorAuthentication-Server EAP-TLSZertifikat Schnittstelle zu Certification Authority EAP-TTLSPasswortZertifikatSchnittstelle zu Certification Authority, Benutzerdatenbank EAP-MD5Passwort-Benutzerdatenbank

36 LANCOM Systems - 36 Der wesentliche Gewinn für die Sicherheit in Wireless LANs durch 802.1x entsteht durch die Kombination des Authentifizierungs-Verfahrens mit der WEP-Verschlüsselung. Nachdem Client und Netzwerk gegenseitig ihre Echtheit überprüft haben, ist es möglich, den WEP-Schlüssel automatisch zu generieren oder vom Authentication Server zuweisen zu lassen. Wireless Security Sicherheit von IEEE 802.1x/EAP

37 LANCOM Systems - 37 Auch ein regelmäßiger Schlüsselwechsel (Key-Roll-Over, Re- Keying) und eine Re-Authentifizierung nach einer festgelegten Zeit sind möglich. Passive Attacken auf WEP werden damit erschwert bzw. unmöglich gemacht. Der Zeitraum zwischen zwei Überprüfungen und Schlüsselwechseln muss dafür hinreichend klein gewählt werden. Wireless Security Sicherheit von IEEE 802.1x/EAP

38 LANCOM Systems - 38 Wireless Security IEEE 802.1x/EAP mit WEP Supplicant EAP-over-LAN (EAPOL) Authenticator Authentifizierung mit RADIUS, 802.1x / EAP Encryption mit WEP128 / WEP152

39 LANCOM Systems - 39 Wireless Security Schema einer IEEE 802.1x/EAP Überprüfung

40 LANCOM Systems - 40 Wireless Security Ablauf einer IEEE 802.1x/EAP Überprüfung

41 LANCOM Systems - 41 Wireless Security Windows 2000 Client mit installiertem Odyssey Client

42 LANCOM Systems - 42 Wireless Security Windows 2000 Server als RADIUS mit Windows XP Client

43 LANCOM Systems - 43 Wireless Security IPsec over WLAN Verschlüsselung der WLAN Kommunikation mit VPN IPsec Technologie. Einsatz von sicheren Verschlüsselungsalgorithmen wie AES, Blowfish oder 3DES. IPsec ist eine bewährte und sichere Technologie. Höherer Konfigurationsaufwand. Hohe Performance der Geräte erforderlich.

44 LANCOM Systems - 44 Wireless Security WPA (WiFi Protected Access) Definition von WPA durch die WiFi-Alliance. Verschlüsselungsverfahren TKIP und MIC (Michael) als Ersatz für WEP. Standardisiertes Handshake-Verfahren zwischen Client und Access Point zur Ermittlung/Übertragung der Sitzungsschlüssel (ohne RADIUS-Server).

45 LANCOM Systems - 45 Wireless Security TKIP (Temporal Key Integrity Protocol) TKIP ist eine Übergangslösung auf existierender WEP/RC4- Hardware. Verschlüsselungsalgorithmus mit RC4 ohne die Nachteile von WEP. Wesentlich größerer Adressraum des IV (jetzt 48 Bit). Integritätsprüfung der Datenpakete (Michael). Individueller Schlüssel zwischen Client und AP.

46 LANCOM Systems - 46 Wireless Security IEEE i Der neue WLAN Sicherheitsstandard WPA ein Vorläufer von i. Verschlüsselungsverfahren AES-CCM. Verschlüsselung und Integritätsprüfung mit AES. Nach IEEE i muss AES unterstützt werden, TKIP ist optional.

47 LANCOM Systems - 47 Wireless Security IEEE i AES-CCM sollte in Hardware implementiert sein, eine Software- Implementation ist jedoch möglich (mit Performanceeinbußen). Authentifizierung des Clients am Access Point. Individueller Schlüssel zwischen Client und AP. AES genügt dem Federal Information Standard 140-2

48 LANCOM Systems - 48 Wireless Security Sicherheit im Wireless LAN Zitat Heise Ticker: Der nun ratifizierte Standard IEEE i umfasst alle Fähigkeiten von WPA und ergänzt diese durch die Vorschriften für die Verwendung des Advanced Encryption Standard (AES) zur Verschlüsselung von Daten. Der AES bietet genügend Sicherheit, um die notwendigen Spezifikationen des Federal Information Standards (FIPS) einzuhalten, die von vielen staatlichen Stellen gefordert werden.

49 LANCOM Systems - 49 Wireless Security IEEE i Betriebsarten Betriebsart PSK – Preshared KeyPKI – IEEE 802.1x AP – Client (P-MP) Eine Passphrase für alle Clients Einfachste Betriebsart für kleinere Installationen Eigene Anmeldung jedes Clients über Benutzer / Passwort bei Radius Server Für grosse Installationen, sehr aufwändig zu betreiben. AP - Client (P – MP) Getrennte Passphrase je Client (nur bei LANCOM Systems !) Optimal für mittlere und grössere Installationen AP – AP (Client) (P – MP) Wird auch von LANCOM APs im Client Mode unterstützt AP – AP (P – P) Einsatz auch auf Punkt-zu-Punkt Verbindungen

50 LANCOM Systems - 50 LAN / Internet Pre-Shared- Key: ******* Das Authentifizierungs- verfahren: verschlüsselter Austausch des PSK Aufbau einer verschlüsselten Verbindung Verschlüsselung mit Hardware AES (128bit) Jede Verbindung erhält einen Session Key und ist somit individuell abgesichert Pre-Shared- Key: ******* ID? Wireless Security IEEE i - Client to AP

51 LANCOM Systems - 51 LAN / Internet Das Authentifizierungs- verfahren: verschlüsselter Austausch des PSK Aufbau einer verschlüsselten Verbindung Verschlüsselung mit Hardware AES (128bit) Jede Verbindung erhält einen Session Key und ist somit individuell abgesichert AES / Session Key 3 AES / Session Key 2 AES / Session Key 1 ID OK! Wireless Security IEEE i - Client to AP

52 LANCOM Systems - 52 Gebäudekopplung (Errichtung einer Point-to-Point Strecke) mit 2x AirLancer Extender O-18a im 5 GHz Band: 54 Mbit/s 600 m 6 Mbit/s 8 km Gebäudekopplung mit 2x AirLancer Extender O-30 im 2,4 GHz Band: 54 Mbit/s 180 m 6 Mbit/s 2 km Relaisfunktion zur Weiterverbindung von Funknetzen mit LANCOM Access Points Ausleuchtung von Flächen (Campus, Point-to-Multipoint) mit AirLancer Extender O-70 im 2,4GHz Band: 54 Mbit/s 70 m 6 Mbit/s 840 m Wireless Security IEEE i - Point to Point

53 LANCOM Systems - 53 Wireless Security LEPS - LANCOM Enhanced Passphrase Security Vorteil der Passphrase: Einfach einzurichten Nur ein globaler String Für kleine Netze (z.B. privat) prädestiniert

54 LANCOM Systems - 54 Wireless Security LEPS - LANCOM Enhanced Passphrase Security Nachteil der Passphrase: nur eine Passphrase in der Firma menschlicher Faktor: die Passphrase verbreitet sich auch an Unbefugte Sicherheitslücke: Unbefugte nutzen die Passphrase, um in das Netzwerk zu kommen, da die Passphrase nicht mit WLAN-Karte verknüpft ist: Jeder kann sie nutzen! Passphrase

55 LANCOM Systems - 55 LEPS gibt jedem Nutzer eine individuelle Passphrase Keine Verbreitung über große Nutzergruppen LEPS verknüpft die Passphrase mit der MAC-Adresse der WLAN- Karte nur noch von dem Nutzer der WLAN-Karte zu benutzen Nebeneffekt: MAC-Adress-Spoofing wird verhindert, da jetzt 2 Unbekannte gleichzeitig zu knacken sind: Passphrase und MAC- Adresse LEPS ist genial einfach: Wireless Security LEPS - LANCOM Enhanced Passphrase Security

56 LANCOM Systems - 56 Wireless Security LEPS - LANCOM Enhanced Passphrase Security LEPS ist auch mit RADIUS nutzbar. LEPS ist auch für Point-to-Point Strecken nutzbar LEPS funktioniert für WPA und AES (802.11i) LEPS ist kompatibel zu jedem WLAN Client!

57 LANCOM Systems - 57 MACPassphrase 1********1 2******2** 3***3***** Behebt die Schwäche von Passphrases ohne 802.1x aufsetzen zu müssen: eine individuelle Passphrase pro Client in Verbindung mit MAC-Adresse unverwechselbar menschliche Schwächen werden vermieden Einfache Administration per RADIUS MAC-Adresse 1 Passphrase 1: *******1 MAC-Adresse 2 Passphrase 2: *****2** MAC-Adresse 3 Passphrase 3: ***3**** Key Berechnung Client Authenticated! Wireless Security LEPS - LANCOM Enhanced Passphrase Security Internet

58 LANCOM Systems - 58 Behebt die Schwäche von Passphrases ohne 802.1x aufsetzen zu müssen: eine individuelle Passphrase pro Client in Verbindung mit MAC-Adresse unverwechselbar menschliche Schwächen werden vermieden Einfache Administration per RADIUS AES/ Session Key 3 AES/ Session Key 2 AES/ Session Key 1 Wireless Security LEPS - LANCOM Enhanced Passphrase Security Internet

59 LANCOM Systems - 59 Wireless Security Default WEP für alle Access Points Verschlüsselung ab Werk WEP128 Schlüssel WEP-Key = L00A057xxxxxx Aufbau: L + MAC- Adresse Aktiv im Auslieferungszustand oder nach Geräte- Reset Verhindert Missbrauch durch Wardriver versehentlich offenes Netz wird verhindert WEP128 Default Encryption WLAN-Verschlüsselung bereits im Auslieferungszustand!

60 LANCOM Systems - 60 Wireless Security Sicherheit im Wireless LAN WEPWPA802.11i Verschlüsselung Benutzt weiche Keys. Kann mit Tools in kurzer Zeit geknackt werden. Mit TKIP und MIC bessere Ver- schlüsselung. Theoretische Zeit bis zur Schlüsselwieder- holung sehr lang. Mit AES gleichwertige Sicherheit wie VPN. 40bit/104bit/128bit RC4 128bit RC4128bit AES Key-Verteilung per Hand, Man-in-the- middle Attacke möglich Durch Passphrase automatische Keyberechnung Automatische Keyberechnung, AES in Hardware Authentifizierung Key geht zunächst im Klartext über die Strecke Verschlüsselter Keyaustausch

61 LANCOM Systems - 61 Wireless Security Migration von WEP nach IEEE i Umstellung einer laufenden WLAN Infrastruktur auf den neuen Sicherheitsstandard i. Aber was ist mit Client Adaptern nach b PDAs ohne WPA Unterstützung MDE-Geräten (z.B. Barcode-Scanner) … ? Die Lösung: WLAN mit Multi-SSID

62 LANCOM Systems - 62 Wireless Security Migration von WEP nach IEEE i Höchste Sicherheit durch i / AES WEP128 Sicherheit, um möglichst viele Clients anzubinden. WPA / TKIP akzeptable Sicherheit bei hoher Performance für Clients ohne AES-Unterstützung. Offenes Netz ohne Verschlüsselung. Bis zu 8 SSIDs pro WLAN-Interface sind möglich. Unterstützt werden kann dieser Aufbau noch durch ein VLAN-Tagging, um die Nutzergruppen der passenden Sicherheitsstufe zuordnen zu können.

63 LANCOM Systems - 63


Herunterladen ppt "LANCOM Systems GmbH Stand:12.09.2005 Version: 5.0 www.lancom.de."

Ähnliche Präsentationen


Google-Anzeigen