Az intézményi hálózathoz való hozzáférés szabályozása Budai Károly karoly_budai@hu.ibm.com NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5. 2003 IBM Corporation
Témakörök A jelenlegi helyzet, új feladatok A vezeték nélküli hozzáférés veszélyei a szabályozást támogató eljárások A hozzáférés szabályozási lehetoségei hagyományos módszerek 802.1x 2 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
Intézményi hálózat, védendo értékek HBONE csoportmunka alkalmazások, adatok nagysebességu Internet elérés Intézményi hálózat egyedi munkaállomások központi alkalmazások, adatbázisok 3 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5. hálózati eszközök
PWR ACT/ WIC0CH0 OK ACT/CH0 WIC0 ETH ACT COL IBM Magyarországi Kft. Hálózati szolgáltatások Elterjedt hozzáférési és szabályozási módok HBONE Internet VPN személyhez kötött elérés; szabályozható felhasználás; titkosítás ISDN PSTN nyilvános elérés; a felhasználás tuzfallal szabályozott Intézményi hálózat távoli elérés személyhez kötött elérés; szabályozható felhasználás 4 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
PWR ACT/ WIC0CH0 OK ACT/CH0 WIC0 ETH ACT COL IBM Magyarországi Kft. Hálózati szolgáltatások Új felületek, feladatok Rohamosan terjedo vezeték nélküli hálózatok Nyilvános helyeken lévo vezetékes csatlakozások HBONE Intézményi hálózat 5 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
PWR OK WIC 0 ACT/ CH0 ACT/ CH1 W IC0 ACT/CH0 ETH ACT COL IBM Magyarországi Kft. Hálózati szolgáltatások A tárgyalt vezeték nélküli helyi hálózatok 802.11 szabvány alapján muködo WLAN-ok (Wireless LAN: vezeték nélküli helyi hálózat) Hozzáférési pont alapú megoldások a vezetékes infrastruktúrára kapcsolt Access Point (AP) és a felhasználói eszközben lévo kliens munkaállomás, hordozható és kézi számítógép (PDA) stb. WLAN kártya meghajtó és kezeloi szoftverekkel 6 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
P WR O K W IC0 AC T/C H0 AC T/CH 1 WI C0 ET H A CT /CH 0 AC T A CT/ CH1 CO L IBM Magyarországi Kft. Hálózati szolgáltatások A vezeték nélküli hozzáférés veszélyei A vezeték nélküli kommunikáció átlépi az intézmény fizikai határait sokszor szándékosan Relatív olcsó, egyszeru eszközökkel használható Így fennáll a veszélye: az illetéktelen, ellenorizetlen hozzáférésnek az értékes kommunikáció lehallgatásának a hálózat illegális kiterjesztésének 7 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
PWR OK WIC 0 ACT/ CH0 ACT/ CH1 W IC0 ACT/CH0 ETH ACT COL IBM Magyarországi Kft. Hálózati szolgáltatások A WLAN szabványok vonatkozó elemei I. A WLAN szabványok: IEEE 802.11b, -g és a Logikai vezeték nélküli szegmensek kialakításának lehetosége WLAN VLAN Service Set Identifier (SSID) nem biztonsági funkció az AP rendszeresen hirdeti titkosítás nélkül csoportmunka kutatás adminisztráció 8 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
A WLAN szabványok vonatkozó elemei II. Titkosítási lehetoség WEP Wired Equivalent Privacy: RC4 algoritmus, legalább 40 bites kulcs Hitelesítési lehetoség a WEP kulcs az azonosító Meglehetosen alacsony biztonság a kulcshoz könnyu hozzájutni, de nehéz adminisztrálni lehallgatással rövid ido alatt megfejtheto a kulcs (nyilvános eszközök vannak hozzá) 9 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
Az IEEE 802.1X Port alapú hálózati hozzáférés vezérlo eljárás nem csak WLAN-hoz a megoldás kereteit határozza meg Egyedi azonosításhoz kötött hitelesítés EAP Extensible Authentication Protocol (RFC2284) alkalmazása: EAPOL (EAP Over LANs): EAP + vezérlési feladatok Nagyobb biztonságú titkosítás dinamikus kulcs kiosztás lehetosége egy-egy párbeszédre szóló, egyedi kulcsok a párbeszédek idovel lejárnak és új kulcsokat kell kiadni külön broadcast kulcs használható kulcsátvitel négy utas kézfogással (802.1aa) 10 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
PWR OK WIC 0 ACT/ CH0 ACT/ CH1 W IC0 ACT/CH0 ETH ACT COL IBM Magyarországi Kft. Hálózati szolgáltatások EAP kommunikáció a 802.1x szerint Kliens: Supplicant AP vagy LAN kapcsoló: Authentikator RADIUS szerver: Authentication Server EAPOL EAP in RADIUS Data General 802.11: Association EAPOL Start EAP ID Request EAP ID Response EAP AUTH Request EAP Auth Response EAP Success RADIUS Access Request (EAP) RADIUS Access Challenge (EAP) RADIUS Access Request (EAP) RADIUS Access Accept (EAP) EAPOL Key EAPOL Logoff EAP 11 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
Hitelesítési protokollok EAP típusok EAP-MD5 egyoldalú hitelesítés; nincs dinamikus kulcs kiosztás vezetékes hozzáféréshez elegendo lehet Lightweight EAP (LEAP) Cisco specifikus kölcsönös jelszavas hitelesítés és kulcs kiosztási lehetoség EAP with Transport Layer Security (EAP TLS) RFC 2716 mindkét oldalnak digitális tanúsítvánnyal kell hitelesítenie magát EAP with Tunneled TLS (EAP TTLS), illetve Protected EAP (PEAP) RFC draft-ok szerver oldalon digitális tanúsítvány, kliens oldalon lehet csak jelszavas megoldás is 12 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
EAP típusok összehasonlítása EAP- MD5 LEAP EAP-TLS EAP-TTLS PEAP Szerver hitelesítés nincs jelszó digitális tanúsítvány digitális tanúsítvány digitális tanúsítvány Kliens hitelesítés jelszó jelszó digitális tanúsítvány CHAP, PAP, MS- CHAP(v2), EAP bármely EAP, pl. EAP-MS- CHAPv2 vagy digitális tanúsítvány Dinamikus kulcsosztás lehetosége nem igen igen igen igen Szabvány igen nem igen tervezet tervezet 13 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
Titkosítási módszerek tendenciái WEP 128 bites kulcs használata 802.11i tervek: két alternatíva WEP fejlesztése: TKIP (Temporal Key Integrity Protocol) vagy AES (Advanced Encryption Standard) használata tipikusan új hardvert fog igényelni (AP, kártya) Még nincs egyértelmu szabvány, gyakorlat! 14 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
802.1x gyakorlati megfontolások A 802.1x képesség önmagában kevés Célszeru az EAP-TTLS, illetve PEAP használata vélhetoen lesz 802.11i kompatibilis változatuk Windows környezetben: PEAP Sokszínu kliens környezetben: EAP-TTLS A RADIUS szerverek általában több módot is tudnak egyidejuleg támogatni Az AP és a kártya kell tudjon közös nyelvet kritikus kérdés, hogy legyen azonos titkosítási mód is 15 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
Védekezés illegális AP ellen A vezetékes portok fizikai védelme A fizikailag nem védhetok esetében folyamatos, illetve idoszakos ellenorzések SNMP monitorozás (MAC címek, eszköz azonosítók) vezeték nélküli megfigyelések (PDA kártyával) szabályozni a felhasználási lehetoségeket külön VLAN tuzfalas védelemmel személyhez kötött elérést alkalmazni 802.1x ezeken a vezetékes portokon 16 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
PWR ACT/ WIC0CH0 OK ACT/CH0 WIC0 ETH ACT COL PWR ACT/ WIC0CH0 OK ACT/CH0 WIC0 ETH ACT COL IBM Magyarországi Kft. Hálózati szolgáltatások Szabályozási lehetoségek hagyományos módszerekkel HBONE Intézményi hálózat szurés regisztrált MAC címekre VPN alkalmazása külön VLAN vagy szegmens; tuzfalas védelem 17 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
Szabályozás a 802.1x alkalmazásával Még nem teljesen kiforrottak a szabványok, megoldások, különösen heterogén környezetre Ami egyértelmunek látszik kell hozzá felhasználó regisztráció és hitelesíto szerver RADIUS minél több EAP változattal, frissítési lehetoséggel az alkalmazott AP minimum 802.1x-et tudjon azonnali és frissítési lehetoség EAP-ok vonatkozásában a WEP képesség elég lehet, AES nem feltétlen kritérium célszeru lehet a kártyákra is ajánlást tenni EAP támogatás és WEP Wi-Fi Certified lehet kritérium, közös nevezo WPA szintek (Wi-Fi Protected Access) Érdemes elindulni és tapasztalatokat gyujteni Kritikus vezetékes esetekre is jó 18 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.
Köszönöm a figyelmet! További informálódási lehetoségek: Itt a Networkshop-on: Jákó András: Wireless LAN a Muegyetemen (szerda, 11:20 D terem) Az Interneten: www.ieee.org, www.weca.net, www.wi-fiplanet.com gyártói oldalak 19 NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5.