Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber.

Ähnliche Präsentationen


Präsentation zum Thema: "1 Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber."—  Präsentation transkript:

1 1 Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber

2 2 Agenda: VPN-Protokolle Wired Equivalent Privacy (WEP) MS Point-to-Point Tunneling Protocol (MS-PPTP) Internet Protocol Security (IPSec) Protokollunabhängige Sicherheit Service Set Identifier (SSID) Media Access Control (MAC) Address Filtering Sicherheitsmodell GoeMobile Bausteine des Sicherheitsmodells Beteiligte Systeme im GoeMobile Übersicht über GoeMobile

3 3 Wired Equivalent Privacy (WEP) Allgemeines Bestandteil des Standards b Benutzt den RC4 Algorithmus von RSA Security Inc. Schlüsselstärken 40-Bit (Standard) und 104-Bit 24-Bit Initialisierungsvektor Nachteile von WEP Manuelle Schlüsselverwaltung Keine Benutzerauthentifizierung 40-Bit Schlüssel gelten als nicht sicher RC4-Algorithmus hat Designschwächen Vorteile von WEP In jedem b Gerät verfügbar Hardwareunterstützt Softwareunabhängig

4 4 Wired Equivalent Privacy (WEP) IEEE i Ziel: Die aktuelle MAC zu verbessern um mehr Sicherheit zu gewährleisten WEP2 mit stärkerer Verschlüsselung Benutzerauthentifikation Fazit WEP ist besser als keine Verschlüsselung WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) WEP ist nicht zukunftssicher 1)

5 5 MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines Microsoftspezifische Implementierung des PPTP Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung Zwei Versionen: MS-CHAPv1 und MS-CHAPv2 Verschlüsselung Microsoft Point to Point Encryption (MPPE) Benutzt den RC4 Algorithmus von RSA Security Inc. 40-Bit oder 104-Bit Schlüssellängen Benutzerauthentifikation Benutzerauthentifikation notwendig Password Authentification Protocol (PAP) Challenge Handshake Protocol (CHAP)

6 6 MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP Auf allen gängigen MS-Betriebssystemen verfügbar Bietet Verschlüsselung und Benutzerauthentifizierung Fazit MS-PPTP ist besser als keine Verschlüsselung MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) MS-PPTP ist nicht zukunftssicher Nachteile von MS-PPTP 40-Bit Schlüssel gelten als nicht sicher MS-CHAPv1 hat schwere Sicherheitslücken Protokoll hat Designschwächen 1)

7 7 Internet Protocol Security (IPSec) Allgemeines Erweiterung der TCP/IP Protokollsuite Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit Integraler Bestandteil von IPv6 (IPnG) Transportmodus nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) Vorteil: geringer Overhead gegenüber IPv4 Nachteil: Jeder Teilnehmer muss IPSec beherrschen Tunnelmodus Komplettes IP-Paket wird verschlüsselt Tunnel zwischen zwei Netzen möglich Vorteil: Nur Tunnelenden müssen IPSec beherrschen Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

8 8 Internet Protocol Security (IPSec) Authentication Header (AH) Sichert die Integrität und Authentizität der Daten und des IP- Kopfes mittels Hashalgorithmen (keine Vertraulichkeit) Authentication Header im Transportmodus Authentication Header im Tunnelmodus Encapsulating Security Payload (ESP) Schützt die Vertraulichkeit, die Integrität und Authentizität von Datagrammen Encapsulating Security Payload im Transportmodus Encapsulating Security Payload im Tunnelmodus

9 9 Internet Protocol Security (IPSec) Vorteile von IPSec Standard auf vielen Plattformen verfügbar Keine festgelegten Algorithmen Keine bekannten Designschwächen Fazit IPSec ist besser als keine Verschlüsselung IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) IPSec gilt als zukunftssicher IPSec ist i.d.R eine gute Wahl Nachteile von IPSec Keine Benutzerauthentifikation Clients müssen korrekt konfiguriert werden

10 10 Service Set Identifier (SSID) Allgemeines Identifier für Netzwerksegment (Netzwerkname) Muss für den Zugriff bekannt sein Vergleichbar mit einem Passwort für das Netzwerksegment Wird auch als closed user group bezeichnet Nachteile Muss jedem Teilnehmer bekannt sein Nur ein SSID pro AP Lässt sich in großen Netzen nicht wirklich geheim halten (offenes Geheimnis) Vorteile Softwareunabhängig Schnell und einfach einzurichten Wechsel AI

11 11 Media Access Control (MAC) Address Filtering Allgemeines Filtern der MAC-Adressen der zugreifenden Clients MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server Lokal= hoher Verwaltungsaufwand, alle AP´s benötigen die gleichen MAC-Listen Zentral=einfache, zentrale Datenbasis, einfaches Management Nachteile Jede berechtigte Netzwerkkarte muss erfasst werden MAC-Adressen lassen sich leicht fälschen Vorteile Software- & Clientunabhängig Keine Aktion des Benutzers notwendig

12 12 Bausteine des Sicherheitsmodells VLAN-Struktur Quasi-physikalische Trennung des Funknetzes von anderen Netzen (Nachteil: ggf. hoher Managementaufwand) MAC-Address Filtering auf den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz eines speziellen IPSec-Gateways Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen einen RADIUS-Server Benutzeraccounting über einen RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären, ggf. vorhandenen Benutzer- accounts für die Authentifizierung über den RADIUS-Server Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten Speicherung der Benutzerprofile in zentraler Datenbank

13 13 Bausteine des Sicherheitsmodells Absicherung der Funk Clients Selbst der Einsatz von Cryptomechanismen enlastet nicht davor, den lokalen Rechner sicher zu machen Trennen der LAN-Manager Dienste (Bindungen) Um den Zugriff im internen VLAN (vor der Authentifizierung) Fremder zu vereiden, ist die Trennung von LM zum FunkInterface sinnvoll Personal Firewall auf Client Zur Absicherung des Clients ist ggf.eine Personal Firewall sinnvoll. Laufwerksfreigaben im FunkLAN vermeiden Freigaben von Ressourcen des Clients erlauben den Zugriff Fremder auf den eigenen Client

14 14 Bausteine des Sicherheitsmodells Ja Nein Ja MAC-Adresse ist eingetragen ? AccessPoint prüft MAC- Adresse des Clients durch RADIUS-Server Zugriff verweigert Client wird eingeschaltet Einwahl über PPTP/IPSec zum Gateway Gateway prüft über RADIUS-Server Name/Password Name/Passwort ist O.K ? Zugang zum Internet möglich MAC-Adresse aus Liste der non-VPN Clients ? Ja Nein Benutzer bekommt per DHCP eine Interne IP-Adresse Benutzer bekommt per DHCP eine feste Interne IP-Adresse Für Clients, die nicht VPN fähig sind (PDA,etc.) Zugang ausschließlich für eingetragene MAC-Adressen Spezielle Liste v. IP Adressen für non-VPN-fähige Clients RADIUS besitzt Liste mit NT-LM- Hashcodes Zugang durch PPTP Tunnel und NAT über das Gateway 1)Benutzer startet seinen Rechner. Dadurch baut er eine Verbindung zum nächstgelegenen Accesspoint auf. 2)Durch einen RADIUS-Server wird die MAC-Adresse der Funkkarte geprüft. 3)Ist die MAC-Adresse gültig und nicht in der Liste der non-VPN-fähigen Geräte einge- tragen, so bekommt der Client per DHCP eine (private network) IP-Adresse 4)Ist die MAC-Adresse in der Liste der Geräte auf dem RADIUS-Server eingetragen, die nicht VPN-fähig sind,so wird diesem eine Adresse aus einem speziellen Adresspool zugeordnet, mit dieser nur eingeschränkte Dienste möglich sind (VoIP Telefon). 5)Zu diesem Zeitpunkt kann der Benutzer lediglich im "internen" Netz agieren 6)Eine VPN Verbindung (PPTP/IPSec) vom Client zum Gateway wird nach Prüfung von Username/Password geschaltet. 7)Stimmt Benutzername und Passwort, so gelangt der Benutzer über den Tunnel ins Internet. Bausteine des Sicherheitsmodells

15 15 Beteiligte Systeme im GoeMobile Hochverfügbarkeits VPN-Gateway Cisco VPN 3000 oder Lucent Managed Firewall Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzerauthentifikation gegen RADIUS-Server Wave02 (Web- und Datenbankserver) Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 Webinterface und Datenbank für Benutzerprofile Failover für wave03 2 redundante RADIUS-Server Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2 Benutzerautentifikation gegen NIS-Server Wave03 Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 DHCP, DNS, Gateway für Nicht-IPSec-Clients

16 16 Übersicht über GoeMobile Router Internet Router/NAT Richtfunkstrecke IPSec VPN-Gateway wave02 wave03 IPSec Ethernet VLAN Funkverbindung radius1, radius2 MAC- und Benutzer- Autentifikation Logging Webinterface und Datenbank DHCP, DNS non-IPSec-Gateway

17 17 Mehr zum Thema FunkLAN Vorträge des Workshops unter... Fragen & Diskussion !

18 18 Weiterführende Links und Quellen... Sicherheit in drahtlosen Netzen Benutzer-Authentifizierung durch IEEE 802.1x WLAN Standards


Herunterladen ppt "1 Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber."

Ähnliche Präsentationen


Google-Anzeigen