10/2003 andreas ißleiber cisco s ystems ciscoystems s ciscosystems upper power lower power normal...

31
10/2003 Andreas Ißleiber Security Workshop der GWDG 6.10.2003 – 8.10.2003 W L A N W L A N Andreas Ißleiber aisslei@gwdg. Sicherheit in FunkLANs Sicherheit in FunkLANs & und lokalen Netzen & und lokalen Netzen

Upload: anselma-boden

Post on 05-Apr-2015

105 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

10/2003

Andreas Ißleiber

S

Security Workshop der GWDG6.10.2003 – 8.10.2003

WLAN

WLAN

Andreas Iß[email protected]

Sicherheit in FunkLANsSicherheit in FunkLANs& und lokalen Netzen& und lokalen NetzenSicherheit in FunkLANsSicherheit in FunkLANs& und lokalen Netzen& und lokalen Netzen

Page 2: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

2

Göttinger FunkLAN „GoeMobile“ im Überblick

Zahlen und Statistiken

Erste Inbetriebnahme (Testbetrieb) 11/2000

Ca. 1200 reale Benutzer, 25.000 mögliche! Benutzer

Benutzergruppen des GoeMobile Anteil [%]- Universitätsangehörige 32%- Studierende 61%- Max-Planck-Institute 4%- lokale Forschungseinrichtungen (DPZ, IWF) 2%- Gäste bei Tagungen über „Kurzzeitaccounts“ 1%

Gleichzeitig im FunkLAN angemeldete Benutzer: 180, Stand 2/2003

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 3: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

3

Beispiel: Göttinger FunkLAN „GoeMobile“ im Überblick Eingesetzte Geräte

AccessPoints von Lucent/Orinoco (mittlerweile AGERE)

Seit 11/2002 sind zusätzlich moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme)- Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS

Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100)

Antennen

Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht.

Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit.

Funkkarten

Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen

Anreiz schaffen zum Eigenerwerb von Funk-Karten

Ein „Funk-Laden“ hat in Göttingen eröffnet, der die Benutzer lokal mit Geräten versorgt

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 4: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

4

FunkBox der GWDG

WetterbeständigAnschluss von bis zu 4 AntennenIntegrierter 4 Port SwitchLWL-KonverterBlitzschutz

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 5: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

5

Die Gefahren:

• Diebstahl der Hardware (Passwörter und ggf. Schlüssel werden mit der Hardware entwendet)

• Fremde „Accesspoints“ inmitten eines Netzes fangen „legale“ Benutzer ab

• FunkLAN hinter einer Firewall betrieben, öffnet das Netz

• Funk-Reichweite der Accesspoints wird unterschätzt

• Wardriver: Laptops mit freier Software „Netstumbler“ und „Airsnort“ in Kombination mit GPS Empfängern spüren WLANs aufWardriving ForumWardriverWardriver (heise)

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 6: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

6

Verfahren zur Absicherung: Wired Equivalent Privacy (WEP, WEP2)

Allgemeines• Bestandteil des Standards 802.11b• Benutzt den RC4 Algorithmus von RSA Security Inc.• Schlüsselstärken 40-Bit oder 104-Bit• 24-Bit Initialisierungsvektor

Nachteile von WEP• Manuelle Schlüsselverwaltung• Keine Benutzerauthentifizierung• 40-Bit Schlüssel gelten als nicht sicher• RC4-Algorithmus hat Designschwächen• Key kann kompromittiert werden, beim „Mithören“ eines

ausreichenden Datenvolumina• Wird „Hardware“ (AP) gestohlen, ist auch der WEB Key in Gefahr

Vorteile von WEP• In jedem 802.11b Gerät verfügbar• Hardwareunterstützt• Softwareunabhängig

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 7: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

7

IEEE 802.11i• Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr

Sicherheit zu gewährleisten• WEP2 mit stärkerer Verschlüsselung• Benutzerauthentifikation

Fazit• WEP ist besser als keine Verschlüsselung• WEP ist anfällig gegen Kryptoanalyse und gilt als

nicht sicher1)

• WEP ist nicht zukunftssicher

1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verfahren zur Absicherung: Wired Equivalent Privacy (WEP)

Page 8: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

8

Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines

• Microsoftspezifische Implementierung des PPTP• Ermöglicht das Tunneln von Point-to-Point Protocol (PPP)

Verbindungen über TCP/IP über eine VPN-Verbindung• Drei Versionen: PAP, MS-CHAPv1 und MS-CHAPv2

Verschlüsselung• Microsoft Point to Point Encryption (MPPE)• Benutzt den RC4 Algorithmus von RSA Security Inc.• 40-Bit oder 104-Bit Schlüssellängen

Benutzerauthentifikation• Benutzerauthentifikation notwendig• Password Authentification Protocol (PAP)• Challenge Handshake Protocol (CHAP)

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 9: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

9

Vorteil von MS-PPTP• Auf allen gängigen MS-Betriebssystemen verfügbar• Bietet Verschlüsselung und Benutzerauthentifizierung

Fazit• MS-PPTP ist besser als keine Verschlüsselung• MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als

nicht sicher1)

• MS-PPTP ist nicht zukunftssicher

Nachteile von MS-PPTP• 40-Bit Schlüssel gelten als nicht sicher• MS-CHAPv1 hat schwere Sicherheitslücken• Protokoll hat Designschwächen

1) http://www.counterpane.com/pptp.html

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verfahren zur Absicherung: MS Point-to-Point Tunneling Protocol (MS-PPTP)

Page 10: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

10

Verfahren zur Absicherung: Internet Protocol Security (IPSec) Allgemeines

• Erweiterung der TCP/IP Protokollsuite• Paket von Protokollen für Authentifizierung, Datenintegrität,

Zugriffskontrolle und Vertraulichkeit• Integraler Bestandteil von IPv6 (IPnG)

Transportmodus• nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten)• Vorteil: geringer Overhead gegenüber IPv4• Nachteil: Jeder Teilnehmer muss IPSec beherrschen

Tunnelmodus• Komplettes IP-Paket wird verschlüsselt• Tunnel zwischen zwei Netzen möglich• Vorteil: Nur Tunnelenden müssen IPSec beherrschen• Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 11: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

11

Authentication Header (AH)• Sichert die Integrität und Authentizität der Daten und des IP-

Kopfes mittels Hashalgorithmen (keine Vertraulichkeit)

Authentication Header im Transportmodus

Authentication Header im Tunnelmodus

Encapsulating Security Payload (ESP)• Schützt die Vertraulichkeit, die Integrität und Authentizität

von Datagrammen

Encapsulating Security Payload im Transportmodus

Encapsulating Security Payload im Tunnelmodus

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verfahren zur Absicherung: Internet Protocol Security (IPSec)

Page 12: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

12

Vorteile von IPSec• Standard auf vielen Plattformen verfügbar• Keine festgelegten Algorithmen• Keine bekannten Designschwächen

Fazit• IPSec ist besser als keine Verschlüsselung• IPSec unterstützt als sicher geltende Algorithmen (z.B.

Blowfish, IDEA, MD5, SHA)• IPSec gilt als zukunftssicher • IPSec ist i.d.R eine gute Wahl

Nachteile von IPSec• Keine Benutzerauthentifikation• Clients müssen korrekt konfiguriert werden

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verfahren zur Absicherung: Internet Protocol Security (IPSec)

Page 13: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

13

Verfahren zur Absicherung:Service Set Identifier (SSID) Allgemeines

• Identifier für Netzwerksegment (Netzwerkname)• Muss für den Zugriff bekannt sein• Vergleichbar mit einem Passwort für das Netzwerksegment• Wird auch als „closed user group“ bezeichnet

Nachteile• Muss jedem Teilnehmer bekannt sein• Nur ein SSID pro AP• Lässt sich in großen Netzen nicht wirklich geheim halten

(offenes Geheimnis)

Vorteile• Softwareunabhängig• Schnell und einfach einzurichten

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 14: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

14

Verfahren zur Absicherung:Media Access Control (MAC) Address Filtering Allgemeines

• Filtern der MAC-Adressen der zugreifenden Clients • MAC-Adresslisten entweder lokal in den APs oder zentral

auf einem RADIUS-ServerLokal= hoher Verwaltungsaufwand, alle AP´s benötigen die gleichen MAC-ListenZentral=einfache, zentrale Datenbasis, einfaches Management (MAC-Datanbank auf RADIUS-Server)

Nachteile• Jede berechtigte Netzwerkkarte muss erfasst werden• MAC-Adressen lassen sich leicht fälschen

Vorteile• Software- & Clientunabhängig• Keine Aktion des Benutzers notwendig

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 15: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

15

Überblick über diverse Sicherheitsmechanismen

WEP, WEP+

MAC-Adressen Authentifikation

SSID

VPN mit:- PPTP- MS-PPTP

- IPSec

EAP-TLS & TTLS (802.1x)(Extensible Authentication Protocol - Transport Layer Security)

PEAP (Protected EAP)

LEAP (Lightweight EAP)

3/2003, Andreas Ißleiber

Moderne Sicherheitsmechanismenals Alternativen zum VPNModerne Sicherheitsmechanismenals Alternativen zum VPN

Klassische SicherheitsmechanismenKlassische Sicherheitsmechanismen

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 16: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

16

Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security)

3/2003, Andreas Ißleiber

- 802.1x -> Authentifizierung auf Portebene (nicht nur für FunkLANs)

- 802.1x bietet allein keine Verschlüsselung (erst Kombination mit „EAP“-TLS)

- Switchport „blockiert“ bis zur vollständigen Authentifizierung (Zutrittsregelung bereits am „Eingang“ des Netzwerkes)

- Layer 2 Verfahren -> Protokollunabhängig (Übertragung von AP,IPX/SPX,NetBEUI etc.)

- EAP-TLS & 802.1x oft als Kombination eingesetzt

- nutzt RADIUS als zentrale Authentifizierungsdatenbank (RADIUS kann ggf. auf ADS,YP,NT-Domains etc. zurückgreifen)

- Client Authentifizierung erfolgt auf „Link Layer“. IP-Adressen sind zu diesem Zeitpunkt nicht erforderlich (wird z.B. erst bei erfolgreicher Auth. durch DHCP vergeben)

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

802.1x Standard: http://standards.ieee.org/getieee802/802.1.html

Page 17: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

17

Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

802.1X Prinzip

3/2003, Andreas Ißleiber

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

RADIUS-ServerW2K (ADS)

YP/NIS

NT4 Domain

802.1x fähigerL2 Switch

Supplicant oder Bittsteller

Authenticator

Authentication Server Proxy-Server

Client fragt nicht direkt den RADIUS Server Bei existierendem „nicht 802.1x fähigem RADIUS Server -> „Proxy Server“

Netz

Page 18: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

18

EAP-MD-5

3/2003, Andreas Ißleiber

Basiert auf Username/Passwort Kombination

Username Anfrage und Antwort im Klartext

Authentifizierung nur des Clients gegen den Server (nicht umgekehrt), daher anfällig gegen „ Man-in-the-middle“ Attacken

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verschiedene EAP (802.1x) Methoden

Page 19: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

19

EAP-TLS

3/2003, Andreas Ißleiber

Entwickelt (wesentlich) durch Microsoft

Zertifikatsbasierte, gegenseitige Authentifizierung

Generierung von benutzerbasierten dynamische WEP-Schlüssel

Erneuerung der Schlüssel in definierten Zeitabständen

Verfügbarkeit in diversen Windows Systemen

Zweiwege Authentifizierung

PKI Struktur erforderlich

Bindung bei MS an MS Zertifikate

Nachteil: Zertifikate werden im Klartext verschickt, danach erst die Verschlüsselung ausgehandelt -> Der Benutzername ist dadurch sichtbar

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verschiedene EAP (802.1x) Methoden

Page 20: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

20

EAP-TTLS (Tunneled Transport Layer Security Protocol)

3/2003, Andreas Ißleiber

Entscheidene Erweiterung zum TLS durch Tunnel

Tunnel wird, basierend auf Server-Zertifikat, vor der eigentlichen Authentifizierung aufgebaut

Über TLS Tunnel kann sich der Benutzer mit Username/Passwort anmelden (PAP,CHAP,MS-CHAP,EAP)

Kein Benutzerzertifikat erforderlich

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verschiedene EAP (802.1x) Methoden

Page 21: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

21

PEAP (Protected EAP)

3/2003, Andreas Ißleiber

+ PEAP wurde von Microsoft, Cisco und RSA Security entwickelt

+ In einigen MS-Betriebssystemem enthalten

+ Kann als „Container“ für diverse Verschlüsselungsprotokolle dienen

+ Ähnlich EAP-TTLS (nur Anmeldeserver benötigt Zertifikat)

LEAP (Lightweight EAP)

+/- LEAP wurde von Cisco entwickelt

+ In Verbindung mit CISCO-APs und AAA von CISCO sinnvolles Verfahren

- Starke Abhängigkeit zum Hersteller

- Mittlerweile unsicher (http://heise.de/newsticker/data/ps-03.10.03-004/)

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Verschiedene EAP (802.1x) Methoden

Page 22: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

22

EAP-TLS(TTLS) & 802.1X (Vor- und Nachteile)

3/2003, Andreas Ißleiber

+ Basiert auf existierendem 802.1x (portbasierte Authentifizierung)

+ Vielversprechender Ansatz, da anbieterunabhängig

+ 802.1x bietet Rahmenwerk für diverse Verschlüsselungen

- Integration in bestehende Umgebungen etwas komplex

+/- WLAN Systeme und Authentifizierungssysteme (RADIUS-Server) müssen EAP/-TLS fähig sein

- Ältere Betriebssysteme beherrschen kein EAP-TLS (Windows XP und W2K zum Teil schon)

+ Wird in Kürze von der GWDG als Alternative parallel! zum VPN eingesetzt

+ Hohe Performance gegenüber IPSec (dyn. WEP-Verschlüsselung)

+ Multicastfähig

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

Page 23: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

23

3/2003, Andreas Ißleiber

+ Durch extra „tagging“ Feld getrennt von anderen Netzwerkverkehr

+ Layer 2 Technik, daher Multiprotokollfähig

+ Auf modernen Switches nahezu überall verfügbar

- Komplexe Struktur

- Aufwendige und arbeitsintensive Integration

- VLANs allein bilden KEIN! ausreichendes Sicherheitsmodell (Kombination mit Packetfilter, Firewall erforderlich)

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Moderne Sicherheitsmechanismen (WLAN und lokale Netze)

VLAN: (Virtual LAN)

Page 24: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

24

Bausteine des Sicherheitsmodells in Göttingen VLAN-Struktur

• Quasi-physikalische Trennung des Funknetzes von anderen Netzen (Nachteil: ggf. hoher Managementaufwand)

MAC-Address Filtering auf den APs• Die MAC-Adressen der Clients werden von den APs durch

einen zentralen RADIUS-Servers geprüft Einsatz VPN-Gateways

• Nur IPSec-Verbindungen werden akzeptiert• Benutzerauthentifizierung gegen einen RADIUS-Server• Accounting über einen RADIUS-Server -> Datenbank

Zentrale Benutzerverwaltung• Verwendung der regulären, vorhandenen Benutzer-accounts

für die Authentifizierung über den RADIUS-Server• Webinterface ermöglicht den Benutzern ihre Benutzerprofile

selbst zu verwalten• Speicherung der Benutzerprofile in zentraler Datenbank

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 25: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

25

FunkLAN Client sicher machen Absicherung der Funk Clients

• Selbst der Einsatz von VPN enlastet nicht davor, den lokalen Rechner „sicher“ zu machen

Trennen der LAN-Manager Dienste (Bindungen)• Um den Zugriff im internen VLAN (vor der Authentifizierung)

Fremder zu vereiden, ist die Trennung von LM zum FunkInterface sinnvoll

Personal Firewall auf Client• Zur Absicherung des Clients ist ggf.eine Personal Firewall

sinnvoll (Achtung: für IPSec FW öffnen).

Laufwerksfreigaben im FunkLAN vermeiden• Freigaben von Ressourcen des Clients erlauben den Zugriff

Fremder auf den eigenen Client

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 26: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

26

Bausteine des Sicherheitsmodells

Ja

Nein

Ja

MAC-Adresseist eingetragen ?

AccessPoint prüft MAC-Adresse des Clients durch

RADIUS-Server

Zugriff verweigert

Client wird eingeschaltet

Einwahl über IPSec zum Gateway

Gateway prüft über RADIUS-Server Name/Password

Name/Passwort ist O.K ?

Zugang zum Internet möglich

MAC-Adresse ausListe der non-VPN Clients

?

Ja

Nein

Nein

Benutzer bekommt per DHCP eine

Interne IP-Adresse

Benutzer bekommt per DHCP eine feste

Interne IP-Adresse

Für Clients, die nicht VPN fähig

sind(PDA,etc.)

Zugang ausschließlich

für eingetragene MAC-Adressen

Spezielle Liste v. IP Adressen für non-VPN-fähige

Clients

RADIUS besitzt Liste mit NT-LM-

Hashcodes

Zugang durch PPTP Tunnel und NAT über das Gateway

1) Benutzer startet seinen Rechner. Dadurch baut er eine Verbindung zum nächstgelegenen Accesspoint auf.

2) Durch einen RADIUS-Server wird die MAC-Adresse der Funkkarte geprüft.

3) Ist die MAC-Adresse gültig und nicht in der Liste der non-VPN-fähigen Geräte einge-tragen, so bekommt der Client per DHCP eine (private network) IP-Adresse

4) Ist die MAC-Adresse in der Liste der Geräteauf dem RADIUS-Server eingetragen, dienicht VPN-fähig sind,so wird diesem eine Adresse aus einem speziellen Adresspool zugeordnet, mit dieser nur eingeschränkte Dienste möglich sind (VoIP Telefon).

5) Zu diesem Zeitpunkt kann der Benutzer lediglich im "internen" Netz agieren

6) Eine VPN Verbindung (PPTP/IPSec) vom Client zum Gateway wird nach Prüfung von Username/Password geschaltet.

7) Stimmt Benutzername und Passwort, so gelangt der Benutzer über den Tunnel ins Internet.

Bausteine des Sicherheitsmodells

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 27: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

27

Beteiligte Systeme im GoeMobile

VPN-Gateway• Cisco VPN 3060• Hardwareunterstützte IPSec-Verschlüsselung• Unterstützung für Hochgeschwindigkeitsnetze• Benutzerauthentifikation gegen RADIUS-Server

Wave02 (Web- und Datenbankserver)• Pentium III (1000 MHz, 512Mb RAM), SuSE Linux 7.2• Webinterface und Datenbank für Benutzerprofile• Failover für wave03

2 redundante RADIUS-Server• Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2• Benutzerautentifikation gegen NIS-Server

Wave03• Pentium III (1000 MHz, 512Mb RAM), SuSE Linux 7.2• DHCP, DNS, Gateway für Nicht-IPSec-Clients

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 28: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

28

Übersicht FunkLAN „GoeMobile“

RouterInternet

Router/NAT

Richtfu

nkstr

ecke

IPSec

VPN-Gateway

wave02

wave03

IPSec

Ethernet VLAN

Funkverbindung

radius1, radius2MAC- undBenutzer-AutentifikationLogging

Webinterfaceund Datenbank

DHCP, DNSnon-IPSec-Gateway

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 29: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

S

Fazit …

o Die allumfassende und einfache Sicherheitslösung für FunkLANs gibt es (noch) nicht

o Ziel sind Authentifizierung über Layer 2 Verfahren

o Gutes Verfahren: Zertifikate zur Authentifizierung in Kombination mit Benutzername/Passwort

o IPSec immer noch die sichere Lösung

o Offen bleiben hinsichtlich EAP-TLS (TTLS) & 802.1x

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 30: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

30

Weiterführende Links und Quellen ...

Sicherheit in drahtlosen Netzenhttp://www.networkworld.de/artikel/index.cfm?id=65705&pageid=400&pageart=detail

Benutzer-Authentifizierung durch IEEE 802.1xhttp://www.networkworld.de/artikel/index.cfm?id=68657&pageid=0&pageart=detail

WLAN Standardshttp://wiss.informatik.uni-rostock.de/standards/http://www.bachert.de/info/wireless.htm

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

Page 31: 10/2003 Andreas Ißleiber CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL Security Workshop der GWDG 6.10.2003 – 8.10.2003 WLAN

S

Sicherheit in FunkLANs & lokalen Netzen

10/2003

Andreas Ißleiber

… Fragen… FragenVielen Dank!Vielen Dank!

und Diskussionen!und Diskussionen!Vortrag ist unter: …http://www.gwdg.de/forschung/veranstaltungen/workshops/security_ws_2003/vortraege… zu finden

??