Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése
Bemutatkozás Secure Networx Kft.: Specialista, Szűk területre fókuszáló IT biztonsági cég, Malware védelmi és threat intelligencia szolgáltatás, Adat- és információbiztonsági szolgáltatások. +9 év secure vállalati Wi-Fi tapasztalat o Aruba, Ruckus, Unifi, OpenMesh, Meraki Wi-Fi pentesting, Wi-Fi security audit. Kocsis Tamás APT- és DLP szakértő, Etikus hacker, malware elemző 2.
A Wi-Fi is infrastruktúra Wi-Fi fenyegetettségek Jellemzően ma már akár elsődleges infrastruktúra Fenyegetések vektorai: Rendelkezésre állás, Sértetlenség, Bizalmasság. 3.
Wi-Fi fenyegetettségek - sértetlenség Integritás támadása Cél támadások előkészítése, Forgalom kompromitáció. Frame injectálás, Data replay, EAP replay. 4.
Wi-Fi fenyegetettségek - bizalmasság Bizalmasság támadása Cél az illetéktelen hozzáférés, Kompromittálás. Rogue AP, AP impersonation, AP spoofing (AP mac spoofing), 802.1x EAP-PEAP cracking, WPA PSK cracking, WPS cracking, MiT attack (Captive Portal), Phising (Captive Portal). 5.
Wi-Fi fenyegetettségek rendelkezésre állás Rendelkezésre állás (üzembiztonság) támadása Cél a működés ellehetetlenítése, Üzemkiesés okozása. Jamming, DOS (teljes spektrum zavarás), Beacon flood (túlterheléses támadás vezérlőjelekkel), Associate flood (túlterheléses támadás bejelentkezésekkel), Deauthenticate flood (felhasználók leválasztása), User lockout (pl 8 hibás bejelentkezés után AD user lockout) DHCP storming (konferencia vagy publikus hálózatok), 6.
Wireless tűzfal (L2, L3, L7), SSID-n belüli, Felhasználóhoz kötött, Forgalom kontroll. Wireless IPS, Behatolás védelem, Spoofing, impersonation védelem, Rogue védelem, Deaut IDS, Frame IDS, stb. Hitelesítés! 802.1x, EAP-PEAP vagy EAP-TLS, Captive Portal, SSL, userauth Vállalati Wi-Fi biztonsága 7.
Vállalati Wi-Fi biztonsága Hitelesítés kiemelten fontos! Vállalati Wi-Fi-ben nincs PSK! Csak felhasználó-alapú hitelesítés elfogadott! 802.1x EAP-PEAP: leggyakoribb, de nem biztonságos! o Windows usernév+jelszó transzparensen. o Mint a PPTP VPN esetében, mschap v2 kompromittált. o Android és IOS nem foglalkozik a hitelesítő szerver tanúsítványával. 802.1x EAP-TLS: biztonságosabb, de nehezen menedzselhető! o Gépen vagy eszközön tárolt felhasználó vagy géptanúsítvány. o Hitelesítő szerver, CA szerver, stb. szükséges. 802.1x EAP-TLS + smartcard: biztonságos, de költséges. o CA szerver, hitelesítő szerver, minden felhasználónak smartcard szükséges. 8.
Vállalati Wi-Fi biztonsága Hitelesítés kiemelten fontos! Vendég Wi-Fi-n kötelező a hitelesítés! PSK nem megengedett! Na jó, csak nagyon nem javasolt! Visszakereshetőség! o Tudni kell, adott időben ki és mire használta a vendég Wi-Fi-t. o Lehetnek kérdések, amire tudni kell válaszolni Hogyan hitelesítsünk? Captive Portal, https, webauth! Valid HTTPS tanúsítvány kötelező! Hogy adjuk ki az accountokat? Automatikus, self registration Fél automatikus, jóváhagyásos self registration Manuális módszerek (Wi-Fi kártya, berögzítés, stb). 9.
10. Miből választhatunk? Vállalati Wi-Fi eszközök hazai shortlist (teljesség igénye nélkül): Aruba Networks (HP), CISCO, Meraki (CISCO) Cloud, Ruckuss (Brocade), Mojo Networks (AirTight), AeroHive, Meru (Fortinet), UTM-alapú vállalati Wi-Fi Fortinet (FortiWIFi), Juniper (Trapeze) Sophos (Astaro), És ami biztosan nem vállalati Wi-Fi: Ubiquiti UniFi, OpenMESH, Mikrotik, CISCO WAP (Linksys, CISCO SMB). Ezek jó termékek, csak nem vállalati célra.
11. Összefoglalás Sok jó eszköz és megoldás létezik sok rossz és még rosszabb üzembehelyezéssel. Vállalati célra vállalati eszközök valóak! Az oldjuk meg okosban, olcsón nem kifizetődő! Hitelesítés és forgalomszabályozás a kulcs! Ha nem szabályozzuk, hogy ki, merre forgalmazhat, akkor nem beszélhetünk biztonságos Wi-Fi-ről!
12. Köszönöm a figyelmet! Kérdések?