Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

© 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner www.bluesocket.com.

Ähnliche Präsentationen


Präsentation zum Thema: "© 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner www.bluesocket.com."—  Präsentation transkript:

1 © 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner

2 © 2002 Bluesocket, inc. Secure Mobility Agenda Grundsätzliche Überlegungen beim Einsatz von WLANs Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen

3 © 2002 Bluesocket, inc. Secure Mobility Grundsätzliche Überlegungen beim Einsatz von WLANs

4 © 2002 Bluesocket, inc. Secure Mobility Kernprobleme beim Einsatz von WLANs Phase 1Phase 2Phase 3 Sicherheit MobilitätManagement Funkwellen kennen keine Wände Standardeinstellungen sind nicht sicher Sicherheitsstandard ist am unteren Rand des Vertretbaren Flächendeckende Verfügbarkeit auf dem Betriebsgelände Roaming zu anderen Einrichtungen Sehr hohe Anzahl von Nutzern Mehrere verschiedene Geräte pro Nutzer Bandbreitenmanage- ment

5 © 2002 Bluesocket, inc. Secure Mobility WLAN Schwachstellen auf Level 2 Vier Hauptgefahren: Eindringen Daten ausspähen durch Abhören Fake access Point(Man in the middle attack) Private Access Points Eindringling AP LAN privater AP Fake AP Wireless Link Abhören LAN

6 © 2002 Bluesocket, inc. Secure Mobility Alle Nutzer teilen sich ein Medium Kein Bandbreiten-Management! zu gleichen Bedingungen Faible sécurité

7 © 2002 Bluesocket, inc. Secure Mobility Fehlen von nahtloser sicherer Mobilität Große Netze werden in viele IP-Subnetze unterteilt erlaubt kein Subnet Roaming – Benutzer müssen sich erneut authentisieren, sobald sie sich bewegen Benutzer wünschen mühelose sichere Mobilität Typischerweise ist Client-Software erforderlich um Subnet Roaming durchzuführen – dies ist nicht immer möglich

8 © 2002 Bluesocket, inc. Secure Mobility Komplexe und teure Netzwerkkomponenten

9 © 2002 Bluesocket, inc. Secure Mobility Client Software wird benötigt ? ?? ? ? ?

10 © 2002 Bluesocket, inc. Secure Mobility Standards: Gegenwart und Zukunft Die Buchstaben-Suppe der Standards (b,a,g,h,I,e,f,1x) und die Notwendigkeit z.B. Bluetooth auf PDAs zu unterstützen stellen eine große Herausforderung an Kompatibilităt und Upgrade dar. ? ? Lösungen müssen einfach sein und sollten allen heutigen und zukünftigen Standards genügen Welches Protokoll? Welche WLAN Karte? Welcher Hersteller?

11 © 2002 Bluesocket, inc. Secure Mobility Bluesocket Integrated Wireless Gateway Wireless Gateway Anstelle von vielen, komplexen und teuren Netzwerkkomponenten:

12 © 2002 Bluesocket, inc. Secure Mobility Bluesocket Wireless Gateway

13 © 2002 Bluesocket, inc. Secure Mobility Bluesocket in Ihrem Netzwerk Mobile Endgeräte: NIC or built-in Access Points b, g a/b etc Authentication Server LDAP, Radius, NT Domain Server

14 © 2002 Bluesocket, inc. Secure Mobility Verschlüsselung/VPN Bluesocket Wireless Gateway kann als Tunnel-Endpunkt für IPSEC (DES, 3 DES, AES) PPTP und L2TP verwendet werden

15 © 2002 Bluesocket, inc. Secure Mobility Authentifizierung Verschiedene Möglichkeiten werden hier unterstützt Web Browser Authentifizierung Windows transparente Authentifizierung 802.1x transparente Authentifizierung PPTP transparente Authentifizierung MAC-Adressen Authentifizierung

16 © 2002 Bluesocket, inc. Secure Mobility Web Authentifizierung AP LDAP RADIUS Domain Controller HTTPS

17 © 2002 Bluesocket, inc. Secure Mobility Transparente Windows Authentifizierung AP Active Directory Domain Controller Net Logon

18 © 2002 Bluesocket, inc. Secure Mobility 802.1x Authentifizierung AP RADIUS EAP RADIUS RADIUS LDAP

19 © 2002 Bluesocket, inc. Secure Mobility Differenzierte Zugangskontrolle Rollen basierter Ansatz Eine Rolle definiert: Ob und welche Verschlüsselungen zu verwenden sind Bandbreiten-Management: - pro Nutzer - pro Nutzergruppe - Diffserv Zugangsrechte: - Bi-direktionale State-full FW - VLAN - Zeitgesteuert - Policy je nach Einwahlort

20 © 2002 Bluesocket, inc. Secure Mobility Access Point Sichere Mobilität Access Point Verbindung ist hergestellt Mobile VPN Tunnel ist etabliert LAN A Router LAN B Campus Network Nutzer roamt zu einem anderen Subnet Bluesocket WG-1000 Bluesocket WG-2000

21 © 2002 Bluesocket, inc. Secure Mobility Access Point Verbindung ist hergestellt Mobile WGs kommunizieren den Standortwechsel LAN A Router LAN B Campus Network VPN-Tunnel wird übergeben Bluesocket WG-1000 Bluesocket WG-2000 Nutzer roamt nahtlos ohne erneute Anmeldung Sichere Mobilität

22 © 2002 Bluesocket, inc. Secure Mobility Name des Nutzers bzw. Angreifers Intrusion Detection/Worm Prevention –Bluesocket monitort jeden Wireless Traffic in real-time –Basierend auf den Schwellenwerten, die vom Admin konfiguriert werden, wird das Nutzerverhalten untersucht –Gibt dem Admin die volle Kontrolle über deren WLAN UMgebung IDS Status (z.B.: Blocked or Monitored) Belegte Ports bei einem Angriff / Wurm Exploit

23 © 2002 Bluesocket, inc. Secure Mobility Deployment und Administration

24 © 2002 Bluesocket, inc. Secure Mobility WG-1100 SOE Geringe DatendichteMittlere DatendichteHohe DatendichteSehr hohe Datendichte Durchsatz: -100Mbps unverschlüsselt -30 Mbps 3DES Gleichzeitige Nutzer: -15 Max (Liznez) Durchsatz: -100Mbps unverschlüsselt - 30 Mbps 3DES Gleichzeitige Nutzer: (Richtwert) Durchsatz: -400 Mbps unverschlüsselt -150 Mbps 3DES Gleichzeitige Nutzer: (Richtwert) Durchsatz: -1 Gbps unverschlüsselt -400 Mbps 3DES Gleichzeitige Nutzer: (Richtwert) Common Firmware (3.0) & Features Across Platforms 2 10/100 Mbps Interfaces 1 10/100 Mbps Hot-Failover Port 2 10/100 Mbps Interfaces 1 10/100 Mbps Hot-Failover Port 2 10/100/1000 Mbps oder alternativ: 1 or Base-SX Fiber 1 10/100 Mbps Hot-Failover Port 2 10/100/1000 Mbps oder alternativ: 1 or Base-SX Fiber 1 10/100/1000 Mbps Failover WG-1100WG-2100WG-5000

25 © 2002 Bluesocket, inc. Secure Mobility Secure Mobility MatriX WLAN D Netzwerk Backbone Radius, LDAP, Active Directory, NT Domain Server Zentrale Server Internet WLAN AWLAN BWLAN C

26 © 2002 Bluesocket, inc. Secure Mobility Individualisierbar durch API AP APPLICATION SERVER MANAGEMENT SERVER Walled Garden API –Verbinden/Trennen von Nutzern –Ändern der Nutzer-Rolle –Erzeugen von Rollen –… WALLED GARDEN / PAGES BLANCHES –Authorisierter Zugang zu speziellen Anwendungen oder Webseiten obwohl der Nutzer nicht authentifiziert ist..

27 © 2002 Bluesocket, inc. Secure Mobility Wireless Gateway Zusammenfassung Authentifizierungen Username/Passwort, Zertifikate, Secure ID, 802.1x, EAP User Informationen können in lokalen oder zentralen (LDAP, RADIUS, Active Directory, Windows Domäne) gespreichert sein Sicherheit Rollen-basiertes Management der Rechte für verschiedene Nutzerkategorien Starke Verschlüsselung mit PPTP, L2TP, oder IPSec Secure Mobility Nutzer können zwischen verschiedenen Subnetzen roamen ohne das der Tunnelt abreißt Management Zentrales Management durch Webinterface (HTTP) Quality of Service Priorisierung von rollen und Diensten sind möglich Umsetzen einer Policy Die WLAN Richtlinie kann aus Rollen-, Nutzer-, Orts-, Zeit- und/oder Diensteparametern bestehen. Jedem Nutzer/Nutzerkreis kann eine Bandbreite zugeteilt werden Interoperabilität Hersteller unabhängig Unterstützt eine große Anzahl mobiler Geräte ohne extra Software Hochverfügbarkeit Paarweise (aktiv/passiv) Vermascht (ein Master, viele slaves)

28 © 2002 Bluesocket, inc. Secure Mobility 802.1x oder VPN alleine decken nicht alle Szenarien ab Feature 802.1x/WPA ohne Wireless Gateway 802.1x/WPS mit Wireless Gateway Authentifizierung Dynamische WEP Verschlüsselung Starke IPSec- oder AES- Verschlüsselung X Rollen-Basierte Zugangskontrolle X WLAN Policy ManagementX Bandbreiten ManagementX Gast-/BesucherzugangX Unterstützt alle mobilen GeräteX

29 © 2002 Bluesocket, inc. Secure Mobility BlueSecure – die ideale Ergänzung

30 © 2002 Bluesocket, inc. Secure Mobility Warum BlueSecure? Zum Durchsetzen einer No Wireless RichtlinieZum Schützen bereits existierender Wireless LANs Zum Durchfueren von Wireless Sicherheits- Audits Zum Durchführen von Tests, Troubleshooting, und Beobachten des Durchsatzes eines WLANs

31 © 2002 Bluesocket, inc. Secure Mobility Model a/b/g BlueSecure RF Sensor –Spezielle Überwachungsappliance –Snifft Wireless Pakete von APs und Client Stationen –Per Funk nicht ansprechbar –Mitten im WLAN Bereich können viele APs gleichzeitig überwacht werden –Alle Sensoren laufen auf dem BlueSecure Server auf –802.11a/b/g (w/ 802.3af PoE)

32 © 2002 Bluesocket, inc. Secure Mobility BlueSecure Server –Sammelt und archiviert Infos von den BlueSecure Rf Sensoren –Korreliert die Sensordaten um spezifische Muster für Verwundbarkeiten und Angriffe zu erkennen –Neue Stationen werden automatisch erkannt –Auffinden von privaten APs –Auffinden von Verwundbarkeiten –CustomProtect –Intrusion detection –Alarm management –Datenstromanalyse –Windows basierend

33 © 2002 Bluesocket, inc. Secure Mobility

34 © 2002 Bluesocket, inc. Secure Mobility Referenzen

35 © 2002 Bluesocket, inc. Secure Mobility Universität Rostock Parker Hannifin, Germany Berufsschule, Lörrach Blom AG, Hamburg Johannes Keppler Universität Linz, Austria Bern University, Switzerland Basel University, Switzerland Toyota, Belgium Framestore, UK Lehman Brothers, UK Zamora Wireless city, Spain SNECMA Services, France Parker Hannifin, Worldwide Southampton University, UK Nottingham University, UK Best Western Hotels, Stockholm BTG (formerly British Technology Group), UK Manchester Conference Centre, UK ….etc Harvard University University of California MRO Software, Boston University of Texas – Dallas University of Wisconsin Microsoft, Boston ATC Acoustics Duke Energy, Charlotte Wayne State University U.S. Navy & Air Force U.S. Dept. of Defense/NSA Novartis Pharmaceutical Lasell College, Boston Holy Redeemer Health System DSO National Laboratories Rutgers University, New Jersey Paul, Hastings, Janofsky & Walker LLP Skokie Public Library etc …….. Main European airport won but not yet operational Wo sind bereits mit WG abgesicherte WLANs im Einsatz?

36 © 2002 Bluesocket, inc. Secure Mobility Danke! Gudrun Weinfurtner Bluesocket Ltd., Prielmeyerstraße 3, München Tel / oder Mobil Tel. 0172/


Herunterladen ppt "© 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner www.bluesocket.com."

Ähnliche Präsentationen


Google-Anzeigen