© 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs DFN-Betriebstagung, Berlin 12. Oktober 2004/Gudrun Weinfurtner

© 2002 Bluesocket, inc. Secure Mobility Agenda Grundsätzliche Überlegungen beim Einsatz von WLANs Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen

© 2002 Bluesocket, inc. Secure Mobility Grundsätzliche Überlegungen beim Einsatz von WLANs

© 2002 Bluesocket, inc. Secure Mobility Kernprobleme beim Einsatz von WLANs Phase 1Phase 2Phase 3 Sicherheit MobilitätManagement Funkwellen kennen keine Wände Standardeinstellungen sind nicht sicher Sicherheitsstandard ist am unteren Rand des Vertretbaren Flächendeckende Verfügbarkeit auf dem Betriebsgelände Roaming zu anderen Einrichtungen Sehr hohe Anzahl von Nutzern Mehrere verschiedene Geräte pro Nutzer Bandbreitenmanage- ment

© 2002 Bluesocket, inc. Secure Mobility WLAN Schwachstellen auf Level 2 Vier Hauptgefahren: Eindringen Daten ausspähen durch Abhören Fake access Point(Man in the middle attack) Private Access Points Eindringling AP LAN privater AP Fake AP Wireless Link Abhören LAN

© 2002 Bluesocket, inc. Secure Mobility Alle Nutzer teilen sich ein Medium Kein Bandbreiten-Management! zu gleichen Bedingungen Faible sécurité

© 2002 Bluesocket, inc. Secure Mobility Fehlen von nahtloser sicherer Mobilität Große Netze werden in viele IP-Subnetze unterteilt erlaubt kein Subnet Roaming – Benutzer müssen sich erneut authentisieren, sobald sie sich bewegen Benutzer wünschen mühelose sichere Mobilität Typischerweise ist Client-Software erforderlich um Subnet Roaming durchzuführen – dies ist nicht immer möglich

© 2002 Bluesocket, inc. Secure Mobility Komplexe und teure Netzwerkkomponenten

© 2002 Bluesocket, inc. Secure Mobility Client Software wird benötigt ? ?? ? ? ?

© 2002 Bluesocket, inc. Secure Mobility Standards: Gegenwart und Zukunft Die Buchstaben-Suppe der Standards (b,a,g,h,I,e,f,1x) und die Notwendigkeit z.B. Bluetooth auf PDAs zu unterstützen stellen eine große Herausforderung an Kompatibilităt und Upgrade dar. ? ? Lösungen müssen einfach sein und sollten allen heutigen und zukünftigen Standards genügen Welches Protokoll? Welche WLAN Karte? Welcher Hersteller?

© 2002 Bluesocket, inc. Secure Mobility Bluesocket Integrated Wireless Gateway Wireless Gateway Anstelle von vielen, komplexen und teuren Netzwerkkomponenten:

© 2002 Bluesocket, inc. Secure Mobility Bluesocket Wireless Gateway

© 2002 Bluesocket, inc. Secure Mobility Bluesocket in Ihrem Netzwerk Mobile Endgeräte: NIC or built-in Access Points b, g a/b etc Authentication Server LDAP, Radius, NT Domain Server

© 2002 Bluesocket, inc. Secure Mobility Verschlüsselung/VPN Bluesocket Wireless Gateway kann als Tunnel-Endpunkt für IPSEC (DES, 3 DES, AES) PPTP und L2TP verwendet werden

© 2002 Bluesocket, inc. Secure Mobility Authentifizierung Verschiedene Möglichkeiten werden hier unterstützt Web Browser Authentifizierung Windows transparente Authentifizierung 802.1x transparente Authentifizierung PPTP transparente Authentifizierung MAC-Adressen Authentifizierung

© 2002 Bluesocket, inc. Secure Mobility Web Authentifizierung AP LDAP RADIUS Domain Controller HTTPS

© 2002 Bluesocket, inc. Secure Mobility Transparente Windows Authentifizierung AP Active Directory Domain Controller Net Logon

© 2002 Bluesocket, inc. Secure Mobility 802.1x Authentifizierung AP RADIUS EAP RADIUS RADIUS LDAP

© 2002 Bluesocket, inc. Secure Mobility Differenzierte Zugangskontrolle Rollen basierter Ansatz Eine Rolle definiert: Ob und welche Verschlüsselungen zu verwenden sind Bandbreiten-Management: - pro Nutzer - pro Nutzergruppe - Diffserv Zugangsrechte: - Bi-direktionale State-full FW - VLAN - Zeitgesteuert - Policy je nach Einwahlort

© 2002 Bluesocket, inc. Secure Mobility Access Point Sichere Mobilität Access Point Verbindung ist hergestellt Mobile VPN Tunnel ist etabliert LAN A Router LAN B Campus Network Nutzer roamt zu einem anderen Subnet Bluesocket WG-1000 Bluesocket WG-2000

© 2002 Bluesocket, inc. Secure Mobility Access Point Verbindung ist hergestellt Mobile WGs kommunizieren den Standortwechsel LAN A Router LAN B Campus Network VPN-Tunnel wird übergeben Bluesocket WG-1000 Bluesocket WG-2000 Nutzer roamt nahtlos ohne erneute Anmeldung Sichere Mobilität

© 2002 Bluesocket, inc. Secure Mobility Name des Nutzers bzw. Angreifers Intrusion Detection/Worm Prevention –Bluesocket monitort jeden Wireless Traffic in real-time –Basierend auf den Schwellenwerten, die vom Admin konfiguriert werden, wird das Nutzerverhalten untersucht –Gibt dem Admin die volle Kontrolle über deren WLAN UMgebung IDS Status (z.B.: Blocked or Monitored) Belegte Ports bei einem Angriff / Wurm Exploit

© 2002 Bluesocket, inc. Secure Mobility Deployment und Administration

© 2002 Bluesocket, inc. Secure Mobility WG-1100 SOE Geringe DatendichteMittlere DatendichteHohe DatendichteSehr hohe Datendichte Durchsatz: -100Mbps unverschlüsselt -30 Mbps 3DES Gleichzeitige Nutzer: -15 Max (Liznez) Durchsatz: -100Mbps unverschlüsselt - 30 Mbps 3DES Gleichzeitige Nutzer: (Richtwert) Durchsatz: -400 Mbps unverschlüsselt -150 Mbps 3DES Gleichzeitige Nutzer: (Richtwert) Durchsatz: -1 Gbps unverschlüsselt -400 Mbps 3DES Gleichzeitige Nutzer: (Richtwert) Common Firmware (3.0) & Features Across Platforms 2 10/100 Mbps Interfaces 1 10/100 Mbps Hot-Failover Port 2 10/100 Mbps Interfaces 1 10/100 Mbps Hot-Failover Port 2 10/100/1000 Mbps oder alternativ: 1 or Base-SX Fiber 1 10/100 Mbps Hot-Failover Port 2 10/100/1000 Mbps oder alternativ: 1 or Base-SX Fiber 1 10/100/1000 Mbps Failover WG-1100WG-2100WG-5000

© 2002 Bluesocket, inc. Secure Mobility Secure Mobility MatriX WLAN D Netzwerk Backbone Radius, LDAP, Active Directory, NT Domain Server Zentrale Server Internet WLAN AWLAN BWLAN C

© 2002 Bluesocket, inc. Secure Mobility Individualisierbar durch API AP APPLICATION SERVER MANAGEMENT SERVER Walled Garden API –Verbinden/Trennen von Nutzern –Ändern der Nutzer-Rolle –Erzeugen von Rollen –… WALLED GARDEN / PAGES BLANCHES –Authorisierter Zugang zu speziellen Anwendungen oder Webseiten obwohl der Nutzer nicht authentifiziert ist..

© 2002 Bluesocket, inc. Secure Mobility Wireless Gateway Zusammenfassung Authentifizierungen Username/Passwort, Zertifikate, Secure ID, 802.1x, EAP User Informationen können in lokalen oder zentralen (LDAP, RADIUS, Active Directory, Windows Domäne) gespreichert sein Sicherheit Rollen-basiertes Management der Rechte für verschiedene Nutzerkategorien Starke Verschlüsselung mit PPTP, L2TP, oder IPSec Secure Mobility Nutzer können zwischen verschiedenen Subnetzen roamen ohne das der Tunnelt abreißt Management Zentrales Management durch Webinterface (HTTP) Quality of Service Priorisierung von rollen und Diensten sind möglich Umsetzen einer Policy Die WLAN Richtlinie kann aus Rollen-, Nutzer-, Orts-, Zeit- und/oder Diensteparametern bestehen. Jedem Nutzer/Nutzerkreis kann eine Bandbreite zugeteilt werden Interoperabilität Hersteller unabhängig Unterstützt eine große Anzahl mobiler Geräte ohne extra Software Hochverfügbarkeit Paarweise (aktiv/passiv) Vermascht (ein Master, viele slaves)

© 2002 Bluesocket, inc. Secure Mobility 802.1x oder VPN alleine decken nicht alle Szenarien ab Feature 802.1x/WPA ohne Wireless Gateway 802.1x/WPS mit Wireless Gateway Authentifizierung Dynamische WEP Verschlüsselung Starke IPSec- oder AES- Verschlüsselung X Rollen-Basierte Zugangskontrolle X WLAN Policy ManagementX Bandbreiten ManagementX Gast-/BesucherzugangX Unterstützt alle mobilen GeräteX

© 2002 Bluesocket, inc. Secure Mobility BlueSecure – die ideale Ergänzung

© 2002 Bluesocket, inc. Secure Mobility Warum BlueSecure? Zum Durchsetzen einer No Wireless RichtlinieZum Schützen bereits existierender Wireless LANs Zum Durchfueren von Wireless Sicherheits- Audits Zum Durchführen von Tests, Troubleshooting, und Beobachten des Durchsatzes eines WLANs

© 2002 Bluesocket, inc. Secure Mobility Model a/b/g BlueSecure RF Sensor –Spezielle Überwachungsappliance –Snifft Wireless Pakete von APs und Client Stationen –Per Funk nicht ansprechbar –Mitten im WLAN Bereich können viele APs gleichzeitig überwacht werden –Alle Sensoren laufen auf dem BlueSecure Server auf –802.11a/b/g (w/ 802.3af PoE)

© 2002 Bluesocket, inc. Secure Mobility BlueSecure Server –Sammelt und archiviert Infos von den BlueSecure Rf Sensoren –Korreliert die Sensordaten um spezifische Muster für Verwundbarkeiten und Angriffe zu erkennen –Neue Stationen werden automatisch erkannt –Auffinden von privaten APs –Auffinden von Verwundbarkeiten –CustomProtect –Intrusion detection –Alarm management –Datenstromanalyse –Windows basierend

© 2002 Bluesocket, inc. Secure Mobility

© 2002 Bluesocket, inc. Secure Mobility Referenzen

© 2002 Bluesocket, inc. Secure Mobility Universität Rostock Parker Hannifin, Germany Berufsschule, Lörrach Blom AG, Hamburg Johannes Keppler Universität Linz, Austria Bern University, Switzerland Basel University, Switzerland Toyota, Belgium Framestore, UK Lehman Brothers, UK Zamora Wireless city, Spain SNECMA Services, France Parker Hannifin, Worldwide Southampton University, UK Nottingham University, UK Best Western Hotels, Stockholm BTG (formerly British Technology Group), UK Manchester Conference Centre, UK ….etc Harvard University University of California MRO Software, Boston University of Texas – Dallas University of Wisconsin Microsoft, Boston ATC Acoustics Duke Energy, Charlotte Wayne State University U.S. Navy & Air Force U.S. Dept. of Defense/NSA Novartis Pharmaceutical Lasell College, Boston Holy Redeemer Health System DSO National Laboratories Rutgers University, New Jersey Paul, Hastings, Janofsky & Walker LLP Skokie Public Library etc …….. Main European airport won but not yet operational Wo sind bereits mit WG abgesicherte WLANs im Einsatz?

© 2002 Bluesocket, inc. Secure Mobility Danke! Gudrun Weinfurtner Bluesocket Ltd., Prielmeyerstraße 3, München Tel / oder Mobil Tel. 0172/