© 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs...

© 2002 Bluesocket, inc. Secure Mobility™

Management und Sicherheit für Wireless LANs

DFN-Betriebstagung, Berlin12. Oktober 2004/Gudrun Weinfurtner

www.bluesocket.com


Agenda

Grundsätzliche Überlegungen beim Einsatz von WLANs

Bluesocket Wireless Gateway Deployment und Administration BlueSecure Referenzen


Grundsätzliche Überlegungen beim Einsatz von WLANs


Kernprobleme beim Einsatz von WLANs

Phase 1 Phase 2 Phase 3

Sicherheit Mobilität Management

• Funkwellen kennen keine Wände

• Standardeinstellungen sind nicht sicher

• Sicherheitsstandard ist am unteren Rand des Vertretbaren

• Flächendeckende Verfügbarkeit auf dem Betriebsgelände

• Roaming zu anderen Einrichtungen

• Sehr hohe Anzahl von Nutzern

• Mehrere verschiedene Geräte pro Nutzer

• Bandbreitenmanage-ment


WLAN Schwachstellen auf Level 2

Vier Hauptgefahren:

• Eindringen

• Daten ausspähen durch Abhören

• Fake access Point(Man in the middle attack)

• Private Access Points

Eindringling

AP

LAN

privater APFake AP

Wireless Link

Abhören

LAN


Alle Nutzer teilen sich ein Medium

Kein Bandbreiten-Management!

zu gleichen BedingungenFaible sécurité


Fehlen von “nahtloser” sicherer Mobilität

•Große Netze werden in viele IP-Subnetze unterteilt• 802.11 erlaubt kein “Subnet Roaming” – Benutzer müssen sich erneut authentisieren, sobald sie sich “bewegen”• Benutzer wünschen mühelose sichere Mobilität• Typischerweise ist Client-Software erforderlich um “Subnet Roaming” durchzuführen – dies ist nicht immer möglich


Komplexe und teure Netzwerkkomponenten


Client Software wird benötigt

?

??

? ?

?


Standards: Gegenwart und Zukunft

Die “Buchstaben-Suppe” der 802.11 Standards (b,a,g,h,I,e,f,1x) und die Notwendigkeit z.B. Bluetooth auf PDAs zu unterstützen stellen eine große Herausforderung an Kompatibilităt und Upgrade dar.

? ?Lösungen müssen einfach sein und sollten allen heutigen und

zukünftigen Standards genügen

Welches Protokoll?

Welche WLAN Karte?

Welcher Hersteller?


Bluesocket Integrated Wireless Gateway

Wireless Gateway

Anstelle von vielen, komplexen undteuren Netzwerkkomponenten:


Bluesocket Wireless Gateway


Bluesocket in Ihrem Netzwerk

Mobile Endgeräte: NIC or built-in 802.11

802.11 Access Points802.11b, 802.11g 802.11a/b etc

Authentication ServerLDAP, Radius, NT Domain Server


Verschlüsselung/VPN

Bluesocket Wireless Gateway kann als Tunnel-Endpunkt für

IPSEC (DES, 3 DES, AES)

PPTP und

L2TP

verwendet werden


Authentifizierung

Verschiedene Möglichkeiten werden hier unterstützt

• Web Browser Authentifizierung

• Windows transparente Authentifizierung

• 802.1x transparente Authentifizierung

• PPTP transparente Authentifizierung

• MAC-Adressen Authentifizierung


Differenzierte Zugangskontrolle

Rollen basierter AnsatzEine Rolle definiert:

• Ob und welche Verschlüsselungen zu verwenden sind

• Bandbreiten-Management:- pro Nutzer- pro Nutzergruppe- Diffserv

• Zugangsrechte:- Bi-direktionale State-full FW- VLAN- Zeitgesteuert- Policy je nach Einwahlort


Access Point

Sichere Mobilität

Access Point

• Verbindung ist hergestellt

Mobile

• VPN Tunnel ist etabliert

LAN “A”

Router

Router

LAN “B”

CampusNetwork

• Nutzer “roamt” zu einem anderen Subnet

BluesocketWG-1000

BluesocketWG-2000


Access Point

Access Point

• Verbindung ist hergestellt

Mobile

• WGs kommunizieren den Standortwechsel

LAN “A”

Router

Router

LAN “B”

CampusNetwork

• VPN-Tunnel wird übergeben

BluesocketWG-1000

BluesocketWG-2000

• Nutzer “roamt” nahtlos ohne erneute Anmeldung

Sichere Mobilität


Name des Nutzers bzw.

Angreifers

Intrusion Detection/Worm Prevention

– Bluesocket monitort jeden Wireless Traffic in real-time

– Basierend auf den Schwellenwerten, die vom Admin konfiguriert werden, wird das Nutzerverhalten untersucht

– Gibt dem Admin die volle Kontrolle über deren WLAN UMgebung

IDS Status(z.B.: “Blocked or Monitored”)

Belegte Ports bei einem

Angriff / Wurm Exploit


Deployment und Administration


WG-1100 SOEGeringe Datendichte Mittlere Datendichte Hohe Datendichte Sehr hohe Datendichte

Durchsatz: -100Mbps unverschlüsselt-30 Mbps 3DESGleichzeitige Nutzer:-15 Max (Liznez)

Durchsatz: -100Mbps unverschlüsselt- 30 Mbps 3DESGleichzeitige Nutzer:-15-100 (Richtwert)

Durchsatz: -400 Mbps unverschlüsselt -150 Mbps 3DESGleichzeitige Nutzer:-50-400 (Richtwert)

Durchsatz: -1 Gbps unverschlüsselt -400 Mbps 3DESGleichzeitige Nutzer:-200-1000 (Richtwert)

Common Firmware (3.0) & Features Across Platforms




2 10/100 Mbps Interfaces1 10/100 Mbps Hot-Failover Port

2 10/100 Mbps Interfaces1 10/100 Mbps Hot-Failover Port

2 10/100/1000 Mbpsoder alternativ:1 or 2 1000Base-SX Fiber

1 10/100 Mbps Hot-Failover Port

2 10/100/1000 Mbpsoder alternativ:1 or 2 1000Base-SX Fiber

1 10/100/1000 Mbps Failover

WG-1100 WG-2100 WG-5000


Secure Mobility™ MatriX

WLAN D

NetzwerkBackbone

Radius, LDAP,Active Directory,

NT Domain Server

Zentrale Server

Internet

WLAN A

WLAN B

WLAN C


Individualisierbar durch API

AP

APPLICATION SERVER

MANAGEMENT SERVER

Walled Garden

API API– Verbinden/Trennen von Nutzern– Ändern der Nutzer-Rolle– Erzeugen von Rollen– …

WALLED GARDEN / PAGES BLANCHES– Authorisierter Zugang zu speziellen

Anwendungen oder Webseiten obwohl der Nutzer nicht authentifiziert ist..


Wireless Gateway Zusammenfassung

Authentifizierungen Username/Passwort, Zertifikate, Secure ID, 802.1x, EAP

User Informationen können in lokalen oder zentralen (LDAP, RADIUS, Active Directory, Windows Domäne) gespreichert sein

Sicherheit “Rollen-basiertes” Management der Rechte für verschiedene Nutzerkategorien

Starke Verschlüsselung mit PPTP, L2TP, oder IPSec

Secure Mobility Nutzer können zwischen verschiedenen Subnetzen “roamen” ohne das der Tunnelt “abreißt

Management Zentrales Management durch Webinterface (HTTP)

Quality of Service Priorisierung von rollen und Diensten sind möglich

Umsetzen einer Policy Die WLAN Richtlinie kann aus Rollen-, Nutzer-, Orts-, Zeit- und/oder Diensteparametern bestehen. Jedem Nutzer/Nutzerkreis kann eine Bandbreite zugeteilt werden

Interoperabilität Hersteller unabhängig

Unterstützt eine große Anzahl mobiler Geräte ohne extra Software

Hochverfügbarkeit Paarweise (aktiv/passiv)

Vermascht (ein Master, viele slaves)


802.1x oder VPN alleine decken nicht alle Szenarien ab

Feature 802.1x/WPA ohne Wireless Gateway

802.1x/WPS mit Wireless Gateway

Authentifizierung √ √

Dynamische WEP Verschlüsselung

√ √

Starke IPSec- oder AES-Verschlüsselung

X √

Rollen-Basierte Zugangskontrolle

X √

WLAN Policy Management X √

Bandbreiten Management X √

Gast-/Besucherzugang X √

Unterstützt alle mobilen Geräte X √


BlueSecure – die ideale Ergänzung


Warum BlueSecure?

Zum Durchsetzen einer “No Wireless” Richtlinie Zum Schützen bereits existierender Wireless

LANs

Zum Durchfueren von Wireless Sicherheits- Audits

Zum Durchführen von Tests, Troubleshooting, und Beobachten des Durchsatzes eines WLANs


Model 802.11a/b/g

BlueSecure RF Sensor

– Spezielle Überwachungsappliance– Snifft Wireless Pakete von APs und

Client Stationen– Per Funk nicht ansprechbar– Mitten im WLAN Bereich können

viele APs gleichzeitig überwacht werden

– Alle Sensoren laufen auf dem BlueSecure Server auf

– 802.11a/b/g (w/ 802.3af PoE)


BlueSecure Server

– Sammelt und archiviert Infos von den BlueSecure Rf Sensoren

– Korreliert die Sensordaten um 802.11 spezifische Muster für Verwundbarkeiten und Angriffe zu erkennen

– Neue Stationen werden automatisch erkannt

– Auffinden von “privaten” APs– Auffinden von

Verwundbarkeiten– CustomProtect™– Intrusion detection– Alarm management– Datenstromanalyse– Windows basierend


Referenzen


Universität Rostock Parker Hannifin, Germany Berufsschule, Lörrach Blom AG, Hamburg Johannes Keppler Universität Linz, Austria Bern University, Switzerland Basel University, Switzerland Toyota, Belgium Framestore, UK Lehman Brothers, UK Zamora Wireless city, Spain SNECMA Services, France Parker Hannifin, Worldwide Southampton University, UK Nottingham University, UK Best Western Hotels, Stockholm BTG (formerly British Technology Group), UK Manchester Conference Centre, UK ….etc

Harvard UniversityUniversity of CaliforniaMRO Software, BostonUniversity of Texas – DallasUniversity of WisconsinMicrosoft, Boston ATC AcousticsDuke Energy, CharlotteWayne State UniversityU.S. Navy & Air ForceU.S. Dept. of Defense/NSANovartis PharmaceuticalLasell College, BostonHoly Redeemer Health SystemDSO National LaboratoriesRutgers University, New JerseyPaul, Hastings, Janofsky & Walker LLPSkokie Public Library etc ……..

Main European airport won but not yet operational

Wo sind bereits mit WG abgesicherte WLANs im Einsatz?


Danke!

Gudrun Weinfurtner

Bluesocket Ltd., Prielmeyerstraße 3, 80335 München

Tel. 09943/902842 oder Mobil Tel. 0172/7406614

www.bluesocket.com

© 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs...

Documents

Transcript of © 2002 Bluesocket, inc. Secure Mobility Management und Sicherheit für Wireless LANs...