Sicherheit von Wireless LANs Stand Januar 2004
Sicherheit von Wireless LANs Dominik Schastok HEC Dominik.Schastok@hec.de Andreas Essing Siemens Business Services Andreas.Essing@siemens.com Dr. Roland Spengler Roland.Spengler@hec.de
Siemens Business Services: Lösungsanbieter für Projektierung und Betrieb Strategische Beratung für Infrastrukturprojekte Exchange, Active Directory, Sharepoint Designs Project Management und Coaching Service Level- und IT Management (ITIL, MOF) Partner: Microsoft, HEC, Fujitsu-Siemens Computer Systems Referenzen: Banken, Versicherungen, Industrie, Telcos bis 200.000 Arbeitsplätze
Sicherheit als Top-Thema Integration und Vernetzung nehmen zu Angriffe werden intelligenter Stabilisierung der Geschäftsprozesse Von Herstellern empfohlene Änderungen werden nicht immer eingespielt Verantwortung für Sicherheit liegt bei der IT
Überblick Zwei Themengebiete: WEP und die Probleme mit der Sicherheit Möglichkeiten der Absicherung
Ungesichertes Wireless LAN Methode: Ausnutzung ungesicherter Wireless LAN Netze Ausgangslage: Firma verwendet WLAN zur flexiblen Anbindung der Mitarbeiter im Office. Verbreitung von WLAN-Hardware nimmt stark zu, WLAN-Karten gehören zum Standard-PC. Auf dem Firmenparkplatz sitzt der Angreifer und ...
WEP – verschlüsseltes Wireless LAN Methode: Nutzung von WEP zur Absicherung von Wireless LAN Netzen WEP: Definiert eine Verschlüsselung für Funknetze (IEEE 802.11)
Passiver Angriff I Methode: Ausnutzung schwacher Initialisierungsvektoren Ausgangslage: Ein schwacher Initialisierungsvektor lässt einen Rückschluss auf den verwendeten WEP-Key zu. Für eine Entschlüsselung des Key werden 3000 - 5000 schwache Vektoren benötigt. Diese lassen sich innerhalb einiger Stunden aufzeichnen
Passiver Angriff II
Dictionary Attack gegen Wireless LAN Methode: Wörterbuch-Attacke mit aufgezeichneten Paketen Ausgangslage: Ausnutzung von Passwort-Schlüssel-Generierung. Ausnutzung der Schwachstelle Mensch Aktuelle Hardware erlaubt ca. 35000 Keys/s zu testen
Möglichkeiten der Absicherung Implementation einer VPN Lösung (L2TP) mit Hilfe des Microsoft ISA Servers 2004 Microsoft Solution for Securing Wireless LANs
ISA Server 2004 I Verlagerung des Wireless LAN in einen Bereich außerhalb des Produktivnetzes Zugriff auf das Netzwerk ist nur über einen VPN Tunnel (L2TP) möglich Alle anderen Dienste sind gesperrt
ISA Server 2004 II Demo …
ISA Server 2004 III
Microsoft Solution for securing Wireless Networks Fertige Lösung Drei Möglichkeiten: EAP-MD5 EAP-TLS PEAP (ab Windows XP SP1) Basierend auf IEEE 802.1x RADIUS Server (IAS) wird benötigt
RADIUS Server (IAS) RADIUS: Remote Authentication Dial-In User Service (RFC 2865) IAS: Internet Authentication Service Implementiert in Windows 2000 Server und Windows Server 2003
EAP (Extensible Authentication Protocol) I Übergabe der Authentifizierungsinformationen
EAP (Extensible Authentication Protocol) II Verhinderung von Spoofing
EAP (Extensible Authentication Protocol) III Annahme der Anmeldung
EAP (Extensible Authentication Protocol) IV Bestätigung der Anmeldung
EAP (Extensible Authentication Protocol) V Übergabe des WEP Keys
EAP-MD5 CHAP = Anfrage/Antwort-Authentifizierung der Benutzer Keine Verschlüsselung zwischen Authentifikator und Endsystem Hashwerte von Kennwörtern werden unverschlüsselt übertragen => Deaktivierung in IEEE 802.1x
EAP-TLS TLS (SSL) ist Verschlüsselungsmethode Computer authentifiziert sich mit Zertifikat Danach authentifiziert sich der Benutzer mit einem Zertifikat Voraussetzung: PKI-Struktur
PEAP (Protected EAP) u.a. MSCHAPv2: Neben TLS auch andere Möglichkeiten zum Austausch der Authentifizierung möglich u.a. MSCHAPv2: Computer und Benutzeranmeldeinformationen Regelmäßig wechselnde Verschlüsselung der Hashwerte von Computer und Benutzerkennwörtern Authentifizierungsserver (IAS) besitzt Server-Zertifikate Client verwendet Anmeldeinformationen
Zentralisierte Implementation von EAP Vorraussetzungen: Windows XP Windows Server 2003 PKI Infrastruktur Implementation über Group Policies
Automatisierte Verteilung von Zertifikaten Vorraussetzung: Windows Server 2003 Automatische Generierung und Verteilung von Zertifikaten Group Policies
Wichtige Links Enterprise Deployment of Secure 802.11 Networks using Microsoft Windows http://www.microsoft.com/WindowsXP/pro/techinfo/deployment/wireless/ Microsoft Solution for Securing Wireless LANs http://www.microsoft.com/downloads/details.aspx?FamilyId=CDB639B3-010B-47E7-B234-A27CDA291DAD&displaylang=en Securing Wireless LANs – A Windows Server 2003 Certificate Service Solution http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/win2003/pkiwire/swlan.asp
Q & A …
Vielen Dank für Ihre Aufmerksamkeit. L e t ‘ s m a k e y o u r v i s i o n c o m e t r u e . . .