4/28/2005

Sicherheit im WLAN (1E07)

Jens-H. Egger Technical Consultant © 2005 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Agenda •

Gefahren und Sicherheitsrisiken im „wireless“ Netzwerk

•

Lösung: Die HP ProCurve 700wl Serie

•

In Verbindung mit dem Access Control Client

•

Sicherheit Zentrales Management

Mobilität

Konvergenz

Zusammenführung von Sicherheit und Mobilität

4/28/2005

2

1

4/28/2005

Die Gefahren Abhören

Man in the Middle

Backdoor

Lexikon Passwortdiebstahl

Brute-Force

Cracking

3

4/28/2005

Security Vorfälle

Jahr 4/28/2005

03

02

20

01

20

00

20

99

20

98

19

97

19

96

19

95

19

94

19

93

19

92

19

91

19

90

19

19

18

19

89

180000 160000 140000 120000 100000 80000 60000 40000 20000 0 88

Anzahl

Security Vorfälle

Quelle Technik News

4

2

4/28/2005

Aufgedeckte Schwachstellen

Anzahl

Aufgedeckte Schwachstellen 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 1995

1996

1997

1998

1999

2000

2001

2002

Jahr

2003

Quelle Technik News

5

4/28/2005

Herausforderungen im WLAN 20

Unsicherheit bzgl. Integration W LAN nicht gebraucht wenig eigene " Funkkompetenz" Hohe Betriebskosten Analyse der Gebäudestruktur zu viele Standards Konfigurationsprobleme Hohe Gerätekosten Multivendor Interoperabilität Unterstützung von Intranet Roaming wenig Budget Management W arten auf Produktreife Interferenzen/ Performance Sicherheitsbedenken

30 47 50 62

Sicherheit ist immer noch der größte “Hemmschuh”

67 67 70 80 90 95 108 115 125

310 0

100

200

300

Anzahl an Antworten Quelle: WLAN State of the Market Report, J. Wexler and S. Taylor, Network World, February 2004

4/28/2005

6

3

4/28/2005

Die Lösung: hp Serie 700wl Authentisierung und Autorisierung

Wireless Client Mobility

Datenschutz

Wireless Data Privacy Policy Management 7

4/28/2005

Serie 700wl - Varianten Authentication servers

Access Control Server 740wl

HP ProCurve 5300xl

Access Controllers 720wl Access points

Wireless notebook

4/28/2005

Wireless notebook

Wireless PDA Wireless notebook

8

4

4/28/2005

700 Serie – Zentrales Management 720wl 4. Stock

720wl 4. Stock 740wl Secondary (Redundanter ACS)

720wl 3. Stock

720wl 3. Stock

720wl 2. Stock

720wl 2. Stock 740wl Primary ACS

720wl 1st Stock

720wl 1. Stock

Gebäude 1 4/28/2005

Zentrale Konfiguration, Management und Monitoring aller 700wl Serie Geräte

Gebäude 2 9

Skalierbarkeit mit “Failover” Funktion •

Skalierbar bis 30Gbps Durchsatz

•

Support von 20,000 Benutzer per Controler

•

“Failover” Funktion für höchste Hochverfügbarkeit

4/28/2005

740wl Redundant Access Control Server 740wl Access Control Server

10

5

4/28/2005

Technologievergleich Wireless LAN mit 802.1x

700wl mit 802.1x

Authentifizierung

9

9

Verschluesselung (WEP, AES or WPA)

9

9

9 (VLAN)

9 (zero config)

Feature

Gast Zugang IPSec, L2TP/IPSec, PPtP, SSH inkl. Roaming

9

Zugriffskontrolle basierend auf User+Ort+Zeit

9

Layer 3 Roaming

9

Bandbreiten Management

9

11

4/28/2005

Sicherheit – Architektur für sichere Zugangskontrollen HP ProCurve 5300 Serie (ggf. mit PoE)

Workstation HP ProCurve 700Serie Access Controler Wireless PC

Wireless PDA

RADIUS server HP ProCurve Wireless Access Point 420wl

Clients/Supplicants – Windows XP, 2000, 98 – Macintosh OS 10.2 – Redhat Linux – 802.1x Supplicant

4/28/2005

Authentication Switch/Access server Point – Microsoft IAS – 802.1X – Free RADIUS – Web/MAC auth. WLAN Access Controler – WLAN Security – Wireless Roaming – Policybasierendes WLAN.

Database – LDAP – Active directory – Flat file

12

6

4/28/2005

Bandbreitenmanagement für Gäste •

Bandbreitenmanagment pro Benutzer/Gruppe/Policy

•

Bisher: “Wer?” darf “Was?”, “Wann?”und “Wo?” und “Wie lange?”

•

Jetzt auch noch…

“Wie viel?”

Access Policy Allowed Traffic Filter Redirected Traffic Filter Linger timer/timeouts HTTP Proxy NAT/IP address restric. Encryption settings

4/28/2005

Bandwidth restrictions

13

Bandbreitenmanagement Beispiel

4/28/2005

14

7

4/28/2005

Existierendes Netzwerk mit mehreren HP 720wl Access Controllern 740wl: Rechteverwaltung

Authentication Server: RADIUS LDAP Kerberos Active Directory

720wl—Verbindung zu AP und Clients

Serie 5300xl Switch

Serie 9300m Routing Switch

Internet Firewall

Access Control Server 740wl

Serie 5300xl Switch

Access Controller 720wl

Access Controller 720wl

RPS

Series 2650-PWR und 2626-PWR Switche

Wireless Access Point 420s

Wireless Access Point 420s

Wireless Access Point 420

Wireless Access Point 520wl

15

4/28/2005

Modifiziertes Netzwerk unter Verwendung des neuen Access Controller xl Moduls Das Access Controller xl Modul hat keine eigenen EthernetPorts. Es benutzt die vorhandenen, zugewiesenen Ports anderer Module.

Authentication servers: RADIUS LDAP Kerberos Active Directory

Serie 5300xl Switch

Internet

Access Control Server 740wl

Access Controller xl Module

Serie 9300m Routing Switch

Firewall uplink network ports

Access Controller xl Module

Serie 5300xl Switch

downlink client ports

downlink client port RPS

Serie 2650-PWR und 2626-PWR Switche

Wireless Access Point 420s

4/28/2005

Wireless Access Point 420s

Wireless Access Point 520wl

Wireless Access Point 420

16

8

4/28/2005

Access Controller xl Module Überblick − Ermöglicht die sichere Verbindung mobiler User auf den Switch 5300xl am Edge des Netzwerkes • Modulare Technologie, die Verbindung zwischen Wireless und kabelgebundenen Usern. • Die Features der 700wl Serie nun auch im 5300xl − Single slot Modul für die 5300xl Serie • Maximal zwei Module pro Switch − Zentrales Management wie bisher über den 740wl oder 760wl.

J8162A 17

4/28/2005

Front Panel Buttons und LEDs

Module Fault LED Shutdown Module Button

Activity LED - Transmission - Overall system load ranges

Reset Button Locate Accessible Ports button

4/28/2005

Module Ready LED

18

9

4/28/2005

Alle Module der Serie 5300xl

ProCurve 24 10/100 PoE xl Module

19

4/28/2005

Gemeinsame Features des Access Controller xl Moduls und des Access Controllers 720wl ¾ Identity basiertes Policy Management – Basierend auf User, Lokation ¾ 802.1Q VLAN und Zeit ¾ Authentifizierungs-Methoden – LDAP, RADIUS, Kerberos, Active Directory Windows logon, SSL browser, 802.1X, built-in DB ¾ VPN Tunnel Termination – IPSec, L2TP+IPSec, PPTP, SSH

¾ Traffic Filter ¾ Proxy Umleitung ¾ MAC-Adress Spoofing Schutz ¾ Detailiertes Session logging

¾ Verschlüsselung ¾ Verschlüsselte Kommunikation zwischen – (AES), Blowfish,CAST, DES, 3DES 720wl und 740wl/760wl ¾ Layer 3 roaming 4/28/2005

¾ Browser-basiertes Management Interface 20

10

4/28/2005

Access Controller xl Module Hardware

Flash VPN Accelerator (unter dem Flash) Lithium 3V (CR 2032) 256 MB RAM

AMD Athlon Mobile 2200 Processor

Switch Fabric

VPN Accelerator auf dem Unterdeck

Low-insertion-force Backplane Verbindung

Flash auf dem Oberdeck 21

4/28/2005

Konfigurations Überblick Konfiguration des 5300xl Switches und der Ports

Konfiguration des xl-Moduls

Konfiguration des 740wl/760wl

4/28/2005

22

11

4/28/2005

Konfiguration - Überblick: xl Modul − Modulcheck

Switch_01(config)# show modules Status and Counters – Module Information Slot Module Description Serial Number ----- ------------------------------------ -------------A HP J4802A XL 10/100-TX Module SG401KZ0G1 B HP J8162A XL Access Control Module SG449NS119

− Beispiel eines Access Controller extended context Befehls Switch_01(config)# access-controller b Switch_01(access-controller-B)# enable extended Switch_01(access-controller-B-ext)# show version Version Build Date Install Date -------------------------- -------------------Active: 4.1.3.79 hp Jan 5 01:09:49 2005 Feb 16 15:57:20 2005 Alt: 4.1.3.79 hp Jan 5 01:09:49 2005 Feb 16 16:05:09 2005 same 23

4/28/2005

Standard Setup Switch_01(config)# access-controller b Switch_01(access-controller-B)# ip address 10.1.10.21/24 Switch_01(access-controller-B)# ip default-gateway 10.1.10.1 Switch_01(access-controller-B)# access-control-server ip 10.10.1.20 secret 77340h 77340h

− Typische Setup Befehle beim xl-Modul… − …, die Idee ist nicht anders als beim 720wl.

4/28/2005

24

12

4/28/2005

Edge Topologie Beispiel

5300xl mit ACM

5300xl mit ACM ACM Uplinks

ACS 740wl downlink client ports

downlink client ports

Bis zu 24 APs

Bis zu 24 APs

5300xl mit ACM Downlink client ports

Bis zu 24 APs 25

4/28/2005

Downlink Beispiel – uuuups inkl. VLANs 5300xl mit ACM

ACS 740wl

VLAN 2002, 2003 tagged BDP

VLAN 10 untagged C1, BUP

VLAN 2000, 2001 tagged BDP VLAN 2000, 2001 tagged

VLAN 2000 untagged

2650-PWR

VLAN 2002 untagged

2650-PWR

VLAN 2004, 2005 tagged BDP

VLAN 2002, 2003 tagged

VLAN 2003 untagged

VLAN 2001 untagged

VLAN 2004, 2005 tagged 2626-PWR

VLAN 2004 untagged

VLAN 2005 untagged

VLAN 50 untagged 4/28/2005

26

13

4/28/2005

HP ProCurve Access Control Client

© 2005 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

Features des Clients •

Was macht dieser Client − Implementation der Client-Seite von 802.1X • Port basierendes Netzwerk Zugangs Protokoll − Die Verbindung zum Netzwerk wird überwacht und authentifiziert • Unterstützt Wireless LAN (802.11) und Ethernet (802.3)

•

Feature Highlight − Voll ProCurve kompatibel mit allen managebaren Switchen und den AccessPoints

4/28/2005

28

14

4/28/2005

Das Frontend des Clients

29

4/28/2005

Features des Clients •

Feature Highlights − Unterstützung des Extensible Authentication Protocols (EAP) − Unterstützte Authentifizierungsmethoden • • • •

CHAP/MD5 TLS TLLS PEAP Versionen 0 & 1

− Kompatibel mit vielen Authentifizierungsservern − Automatisches Profiling − Zentrales Rollout-Tool

4/28/2005

30

15

4/28/2005

Features of the Win 2K/XP Client •

Feature Highlights − Unterstützt Windows Single Sign-On − Unterstützt Novell Client und Windows GINA − Umfangreichere Benutzerabfragen, da “just-in-time” prompting − Unterstützung mehrerer Authentifizierungszeiten • Beim Booten • Beim Logon (pre-desktop) • Auf dem Desktop (post-logon)

4/28/2005

31

Zusammenfassung •

Die Themen WLAN und Sicherheit gehören kategorisch zusammen.

•

HP bietet mit der 700wl Serie die perfekte, auf Standards basierende Lösung.

•

Zukunftsweisende Technologie im Sinne der „Adaptive EDGE Architecture ™“ − Intelligenz und Kontrolle „to the EDGE“ − „Command from the Center“ − Identitätsbezogenes Verhalten innerhalb des LAN und WLAN

4/28/2005

32

16

4/28/2005

The ProCurve Networking Adaptive EDGE ArchitectureTM makes your future applications possible.

www.hp.com/go/procurve

4/28/2005

33

4/28/2005

34

17