4/28/2005
Sicherheit im WLAN (1E07)
Jens-H. Egger Technical Consultant © 2005 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Agenda •
Gefahren und Sicherheitsrisiken im „wireless“ Netzwerk
•
Lösung: Die HP ProCurve 700wl Serie
•
In Verbindung mit dem Access Control Client
•
Sicherheit Zentrales Management
Mobilität
Konvergenz
Zusammenführung von Sicherheit und Mobilität
4/28/2005
2
1
4/28/2005
Die Gefahren Abhören
Man in the Middle
Backdoor
Lexikon Passwortdiebstahl
Brute-Force
Cracking
3
4/28/2005
Security Vorfälle
Jahr 4/28/2005
03
02
20
01
20
00
20
99
20
98
19
97
19
96
19
95
19
94
19
93
19
92
19
91
19
90
19
19
18
19
89
180000 160000 140000 120000 100000 80000 60000 40000 20000 0 88
Anzahl
Security Vorfälle
Quelle Technik News
4
2
4/28/2005
Aufgedeckte Schwachstellen
Anzahl
Aufgedeckte Schwachstellen 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 1995
1996
1997
1998
1999
2000
2001
2002
Jahr
2003
Quelle Technik News
5
4/28/2005
Herausforderungen im WLAN 20
Unsicherheit bzgl. Integration W LAN nicht gebraucht wenig eigene " Funkkompetenz" Hohe Betriebskosten Analyse der Gebäudestruktur zu viele Standards Konfigurationsprobleme Hohe Gerätekosten Multivendor Interoperabilität Unterstützung von Intranet Roaming wenig Budget Management W arten auf Produktreife Interferenzen/ Performance Sicherheitsbedenken
30 47 50 62
Sicherheit ist immer noch der größte “Hemmschuh”
67 67 70 80 90 95 108 115 125
310 0
100
200
300
Anzahl an Antworten Quelle: WLAN State of the Market Report, J. Wexler and S. Taylor, Network World, February 2004
4/28/2005
6
3
4/28/2005
Die Lösung: hp Serie 700wl Authentisierung und Autorisierung
Wireless Client Mobility
Datenschutz
Wireless Data Privacy Policy Management 7
4/28/2005
Serie 700wl - Varianten Authentication servers
Access Control Server 740wl
HP ProCurve 5300xl
Access Controllers 720wl Access points
Wireless notebook
4/28/2005
Wireless notebook
Wireless PDA Wireless notebook
8
4
4/28/2005
700 Serie – Zentrales Management 720wl 4. Stock
720wl 4. Stock 740wl Secondary (Redundanter ACS)
720wl 3. Stock
720wl 3. Stock
720wl 2. Stock
720wl 2. Stock 740wl Primary ACS
720wl 1st Stock
720wl 1. Stock
Gebäude 1 4/28/2005
Zentrale Konfiguration, Management und Monitoring aller 700wl Serie Geräte
Gebäude 2 9
Skalierbarkeit mit “Failover” Funktion •
Skalierbar bis 30Gbps Durchsatz
•
Support von 20,000 Benutzer per Controler
•
“Failover” Funktion für höchste Hochverfügbarkeit
4/28/2005
740wl Redundant Access Control Server 740wl Access Control Server
10
5
4/28/2005
Technologievergleich Wireless LAN mit 802.1x
700wl mit 802.1x
Authentifizierung
9
9
Verschluesselung (WEP, AES or WPA)
9
9
9 (VLAN)
9 (zero config)
Feature
Gast Zugang IPSec, L2TP/IPSec, PPtP, SSH inkl. Roaming
9
Zugriffskontrolle basierend auf User+Ort+Zeit
9
Layer 3 Roaming
9
Bandbreiten Management
9
11
4/28/2005
Sicherheit – Architektur für sichere Zugangskontrollen HP ProCurve 5300 Serie (ggf. mit PoE)
Workstation HP ProCurve 700Serie Access Controler Wireless PC
Wireless PDA
RADIUS server HP ProCurve Wireless Access Point 420wl
Clients/Supplicants – Windows XP, 2000, 98 – Macintosh OS 10.2 – Redhat Linux – 802.1x Supplicant
4/28/2005
Authentication Switch/Access server Point – Microsoft IAS – 802.1X – Free RADIUS – Web/MAC auth. WLAN Access Controler – WLAN Security – Wireless Roaming – Policybasierendes WLAN.
Database – LDAP – Active directory – Flat file
12
6
4/28/2005
Bandbreitenmanagement für Gäste •
Bandbreitenmanagment pro Benutzer/Gruppe/Policy
•
Bisher: “Wer?” darf “Was?”, “Wann?”und “Wo?” und “Wie lange?”
•
Jetzt auch noch…
“Wie viel?”
Access Policy Allowed Traffic Filter Redirected Traffic Filter Linger timer/timeouts HTTP Proxy NAT/IP address restric. Encryption settings
4/28/2005
Bandwidth restrictions
13
Bandbreitenmanagement Beispiel
4/28/2005
14
7
4/28/2005
Existierendes Netzwerk mit mehreren HP 720wl Access Controllern 740wl: Rechteverwaltung
Authentication Server: RADIUS LDAP Kerberos Active Directory
720wl—Verbindung zu AP und Clients
Serie 5300xl Switch
Serie 9300m Routing Switch
Internet Firewall
Access Control Server 740wl
Serie 5300xl Switch
Access Controller 720wl
Access Controller 720wl
RPS
Series 2650-PWR und 2626-PWR Switche
Wireless Access Point 420s
Wireless Access Point 420s
Wireless Access Point 420
Wireless Access Point 520wl
15
4/28/2005
Modifiziertes Netzwerk unter Verwendung des neuen Access Controller xl Moduls Das Access Controller xl Modul hat keine eigenen EthernetPorts. Es benutzt die vorhandenen, zugewiesenen Ports anderer Module.
Authentication servers: RADIUS LDAP Kerberos Active Directory
Serie 5300xl Switch
Internet
Access Control Server 740wl
Access Controller xl Module
Serie 9300m Routing Switch
Firewall uplink network ports
Access Controller xl Module
Serie 5300xl Switch
downlink client ports
downlink client port RPS
Serie 2650-PWR und 2626-PWR Switche
Wireless Access Point 420s
4/28/2005
Wireless Access Point 420s
Wireless Access Point 520wl
Wireless Access Point 420
16
8
4/28/2005
Access Controller xl Module Überblick − Ermöglicht die sichere Verbindung mobiler User auf den Switch 5300xl am Edge des Netzwerkes • Modulare Technologie, die Verbindung zwischen Wireless und kabelgebundenen Usern. • Die Features der 700wl Serie nun auch im 5300xl − Single slot Modul für die 5300xl Serie • Maximal zwei Module pro Switch − Zentrales Management wie bisher über den 740wl oder 760wl.
J8162A 17
4/28/2005
Front Panel Buttons und LEDs
Module Fault LED Shutdown Module Button
Activity LED - Transmission - Overall system load ranges
Reset Button Locate Accessible Ports button
4/28/2005
Module Ready LED
18
9
4/28/2005
Alle Module der Serie 5300xl
ProCurve 24 10/100 PoE xl Module
19
4/28/2005
Gemeinsame Features des Access Controller xl Moduls und des Access Controllers 720wl ¾ Identity basiertes Policy Management – Basierend auf User, Lokation ¾ 802.1Q VLAN und Zeit ¾ Authentifizierungs-Methoden – LDAP, RADIUS, Kerberos, Active Directory Windows logon, SSL browser, 802.1X, built-in DB ¾ VPN Tunnel Termination – IPSec, L2TP+IPSec, PPTP, SSH
¾ Traffic Filter ¾ Proxy Umleitung ¾ MAC-Adress Spoofing Schutz ¾ Detailiertes Session logging
¾ Verschlüsselung ¾ Verschlüsselte Kommunikation zwischen – (AES), Blowfish,CAST, DES, 3DES 720wl und 740wl/760wl ¾ Layer 3 roaming 4/28/2005
¾ Browser-basiertes Management Interface 20
10
4/28/2005
Access Controller xl Module Hardware
Flash VPN Accelerator (unter dem Flash) Lithium 3V (CR 2032) 256 MB RAM
AMD Athlon Mobile 2200 Processor
Switch Fabric
VPN Accelerator auf dem Unterdeck
Low-insertion-force Backplane Verbindung
Flash auf dem Oberdeck 21
4/28/2005
Konfigurations Überblick Konfiguration des 5300xl Switches und der Ports
Konfiguration des xl-Moduls
Konfiguration des 740wl/760wl
4/28/2005
22
11
4/28/2005
Konfiguration - Überblick: xl Modul − Modulcheck
Switch_01(config)# show modules Status and Counters – Module Information Slot Module Description Serial Number ----- ------------------------------------ -------------A HP J4802A XL 10/100-TX Module SG401KZ0G1 B HP J8162A XL Access Control Module SG449NS119
− Beispiel eines Access Controller extended context Befehls Switch_01(config)# access-controller b Switch_01(access-controller-B)# enable extended Switch_01(access-controller-B-ext)# show version Version Build Date Install Date -------------------------- -------------------Active: 4.1.3.79 hp Jan 5 01:09:49 2005 Feb 16 15:57:20 2005 Alt: 4.1.3.79 hp Jan 5 01:09:49 2005 Feb 16 16:05:09 2005 same 23
4/28/2005
Standard Setup Switch_01(config)# access-controller b Switch_01(access-controller-B)# ip address 10.1.10.21/24 Switch_01(access-controller-B)# ip default-gateway 10.1.10.1 Switch_01(access-controller-B)# access-control-server ip 10.10.1.20 secret 77340h 77340h
− Typische Setup Befehle beim xl-Modul… − …, die Idee ist nicht anders als beim 720wl.
4/28/2005
24
12
4/28/2005
Edge Topologie Beispiel
5300xl mit ACM
5300xl mit ACM ACM Uplinks
ACS 740wl downlink client ports
downlink client ports
Bis zu 24 APs
Bis zu 24 APs
5300xl mit ACM Downlink client ports
Bis zu 24 APs 25
4/28/2005
Downlink Beispiel – uuuups inkl. VLANs 5300xl mit ACM
ACS 740wl
VLAN 2002, 2003 tagged BDP
VLAN 10 untagged C1, BUP
VLAN 2000, 2001 tagged BDP VLAN 2000, 2001 tagged
VLAN 2000 untagged
2650-PWR
VLAN 2002 untagged
2650-PWR
VLAN 2004, 2005 tagged BDP
VLAN 2002, 2003 tagged
VLAN 2003 untagged
VLAN 2001 untagged
VLAN 2004, 2005 tagged 2626-PWR
VLAN 2004 untagged
VLAN 2005 untagged
VLAN 50 untagged 4/28/2005
26
13
4/28/2005
HP ProCurve Access Control Client
© 2005 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
Features des Clients •
Was macht dieser Client − Implementation der Client-Seite von 802.1X • Port basierendes Netzwerk Zugangs Protokoll − Die Verbindung zum Netzwerk wird überwacht und authentifiziert • Unterstützt Wireless LAN (802.11) und Ethernet (802.3)
•
Feature Highlight − Voll ProCurve kompatibel mit allen managebaren Switchen und den AccessPoints
4/28/2005
28
14
4/28/2005
Das Frontend des Clients
29
4/28/2005
Features des Clients •
Feature Highlights − Unterstützung des Extensible Authentication Protocols (EAP) − Unterstützte Authentifizierungsmethoden • • • •
CHAP/MD5 TLS TLLS PEAP Versionen 0 & 1
− Kompatibel mit vielen Authentifizierungsservern − Automatisches Profiling − Zentrales Rollout-Tool
4/28/2005
30
15
4/28/2005
Features of the Win 2K/XP Client •
Feature Highlights − Unterstützt Windows Single Sign-On − Unterstützt Novell Client und Windows GINA − Umfangreichere Benutzerabfragen, da “just-in-time” prompting − Unterstützung mehrerer Authentifizierungszeiten • Beim Booten • Beim Logon (pre-desktop) • Auf dem Desktop (post-logon)
4/28/2005
31
Zusammenfassung •
Die Themen WLAN und Sicherheit gehören kategorisch zusammen.
•
HP bietet mit der 700wl Serie die perfekte, auf Standards basierende Lösung.
•
Zukunftsweisende Technologie im Sinne der „Adaptive EDGE Architecture ™“ − Intelligenz und Kontrolle „to the EDGE“ − „Command from the Center“ − Identitätsbezogenes Verhalten innerhalb des LAN und WLAN
4/28/2005
32
16
4/28/2005
The ProCurve Networking Adaptive EDGE ArchitectureTM makes your future applications possible.
www.hp.com/go/procurve
4/28/2005
33
4/28/2005
34
17