WiFi Hálózatbiztonsági problémák, korlátok, kockázatok Technology és a for better business outcomes A HP Procurve MSM WLAN rendszer Trencsánszky Imre hálózati mérnök, SCI-Network zrt. 2009.Június 9-10. Ramada Resort Aquaworld Budapest Wireless Technológiák, Adatátvitel és Biztonság Szakkonferencia
Az SCI Network zrt. bemutatása HP-ProCurve MSM pozicionálása a WLAN rendszerszállítók világában A HP-ProCurve MSM WLAN rendszer (2008.06-ig Colubris Networks) rövid technológiai áttekintése A HP-ProCurve Technology MSM WLAN for better rendszer business hálózatbiztonsági outcomes szemüvegen keresztül Kiemelt hozzáadott értékkel bíró projektjeink Hálózatbiztonsági megvalósítások a gyakorlatban Hotel Meridien Fıvárosi Szabó Ervin Könyvtár Tartalom
Az SCI-Network zrt. SCI-Network, zrt. Magyar alapítású, magyar tulajdonú hálózatintegrációs cég Alapítva: 1993 Budapesti központ, országos tevékenységi kör Sopron Portfolió: hálózatintegráció, hw/sw szállítás Szombathely és fejlesztés kapcsolódó szolgáltatásokkal IP hálózati komunikáció LAN/WAN Pécs Vezetéknélküli megoldások (WiFi/HotSpot, különféle WLAN rendszerek, PP, PMP rádiós rendszerek frekvenciadíj köteles és szabad sávokban) management security SW fejlesztések és igény szerinti testre szabása SCI-Network Távközlési és Hálózatintegrációs zrt. T.: 467-70-30 F.: 467-70-49 info@scinetwork.hu www.scinetwork.hu Nem tudtuk, hogy lehetetlen, ezért megcsináltuk. Zalaegerszeg Gyõr Veszprém Siófok Salgótarján Budapest Baja Kecskemét Szolnok Szeged Miskolc Békéscsaba Debrecen Nyíregyháza
A HP ProCurve MSM WLAN rendszereit 1,500 meghatározó vállalat használja világszerte Gyártás Egészségügy Szolgáltatók Air Force One nh HOTELES Vendéglátás Közlekedés Oktatás
Példák: Cisco Aeronet Proxim ORiNOCO Netgear Linksys Önálló Access Point Architektúra Skálázhatóság Intelligens AP- A vezetéknélküli LAN architektúrák evolúciója Példák: Cisco Airespace Aruba Networks Meru Networks Trapeze Networks Centralizált Technology WLAN for better business rendszerek outcomes 1 generációs rendszerek Architecture Központi MNG Switch és vékonykliens AP-k WLAN átfedések Példák: Colubris Networks Trapeze Networks (SmartMobile 11/ 06) 2 generációs rendszerek Elosztott WLAN Architektúra Példák: HP MultiService Mobility WLAN Rendszer Colubris Networks Integráció a HP hálózati struktúrákba az akvizíció után MultiServices 3 generációs MultiService Controller és intelligens AP-k Nyílt rendszerek, elosztott intelligencia Teljes kapacitású 802.11n rendszerek A Colubris Networks 2005-tıl Egységesített WLAN Architektúre 4 generációs rendszerek. Vezetéknélküli/ vezetékes konvergencia Sasszé alapú controller-hw architektúra Integrált management Egységes vezetékes és vezetéknélküli szolgáltatások
A HP-Procurve MSM WLAN rendszer(colubris Networks) rövid technológiai áttekintése
A Hp Procurve Intelligens MultiService Mobility rendszer Multiservice Access Points Indoor / Outdoor Wireless Client Bridge Local MESH Predictive RF cell planning (PC software) Wi-Fi Access Access Control Voice over IP RF Planning Network Management Access Control RF Planning Intrusion Prevention Guest Access AAA End user PC zero configuration Visitor Management Tool Mobility Control Seamless Roaming IP subnet roaming RF Manager Mobility Control MultiService Controller (MSC) MultiService Access Point (MAP) RF Security Sensor Central management for medium/large networks 24 x 7 Security shell Wi-Fi Location tracking NMS Wireless Client Bridge (WCB)
A TriPlane modell Üzleti folyamatokhoz való optimalizálás Az optimalizáció szempontjai: Combined Centralized Optimized Switching Switching SwitchingMode Mode Mode Teljesítmény Kiépítettség mértéke DataCenter Center Data Data Center HP MSM Controller HP MSC MSC Management Biztonság: Az i-ap-k adatforgalma Server kombinált módon a kontrolleren át Server Server (pl. HTTP-redirect esetén) vagy közvetlenül az szerver erıforrások HP RF Manager felé mehet (tipikus megoszlás a Technology for better business outcomes (IPS/IDS) mőködı hálózatokban 10% 90%) míg a Sensor-AP Adat forgalom kizárólag az RF forgalom LAN LAN LAN Managerhez tart A hálózat aktív eszközeinek Szenzor-AP (tipikusan L2/L3 switchek, forgalom routerek) kisebb forgalmat kell átvinniük, mert relatív kevés forgalom megy át a kontrolleren ez a 802.11n-es i-aps migrációnál hatalmas beruházáshpmap MAP HP Dual-Sensor HP HP MAP HP HPMAP MAP MAPs megtakarítás, mivel ott cserélni kellene minden aktív elemet hogy a hálózat bírja a megnövekedett forgalmat
A HP Procurve IPS/IDS MSM Architektúra egyszerő: Egyedül dual (sensor) i-ap és az RF Manager szükséges! Centralizált, hagyományos WLAN kontroller és IPS/IDS architektúra Központi kontrol és vékony kliens AP-k WLAN Controller WLAN Management and Visualization Appliance RF Manager megoldás (IPS/IDS) és Optimalizált WLAN Kontroller i-ap-val (Integrált Sensor AP-vel) Központi kontrol and intelligens AP-k (Elosztott Intelligencia) WLAN Controller Application Server Backbone Backbone WLAN IPS/IDS Appliance Application Server RF Manager AP+Sensor AP APs Thin APs Dedicated Sensor AP AP+Sensor AP i-aps
Zavartalan és egyszerő 802.11n migráció-hálózatbiztonsági vonalon is! RF Manager WLAN Controller A HP HP Procurve Procurve MSM MSM802.11n migráció migrációnem kívánja kívánja a WLAN WLAN architektúra változtatását RF Manager WLAN Controller Application Server Application Server 802.11abg i-aps Csak 802.11n- es új AP elhelyezése szükséges! 802.11n i-aps AP+Sensor AP with MultiService AP+Sensor AP with MultiService
A hálózat túlélıképessége Network Center Data Center Network Resilience N+1 approach MSC 5x00 Core Network Server MSC 5x00 Access LAN VSC 1 InReach MAP Data VSC 2 VSC 3 InReach MAP Voice Video Conference VSC 4 Guest Access Segment Traffic Access Control P4 Priority Internal Network Segment Traffic WPA2 P3 Priority Voice Telephony Segment Traffic WPA PSK P1 Priority Multimedia Segment Traffic WPA PSK P2 Priority
Az MSM 700 sorozatú WLAN kontrollerekben integrálva van Központosított WLAN management Egyszerő MSC GUI Konfiguráció, monitoring, hibaelhárítás, és sw update az AP-k és MSM-ek számára Az MSM-ek és AP-k autentikációja a lopások által elıidézett biztonsági kockázatot kizárja Hálózati management
A HP-ProCurve MSM WLAN rendszer hálózatbiztonsági szemüvegen keresztül A TriPlane Security Layer IPS/IDS funkciók az RF Managerben Különféle támadások kivédése számokban
Hálózati biztonság Mis-configured AP Rogue AP Denial of Service Attack Enterprise Network Neighboring Network Unauthorized Association AP MAC Spoofing? Mis-association Honeypot Ad Hoc A hálózat védelme a rádiós hálózatok tervezésének és üzemeltetésének kritikus pontja, A HP piacvezetı megoldása nem csak detektálni, hanem elhárítani is képes az alábbi ábrán összefoglalt, rádiós hálózatot érı támadásokat.
Hálózati Hozzáférés kontroll & Wi-Fi Step 1: Identitás Ellenırzés (802.1x/EAP) Integráció Step 2: Integritás ellenırzés és hálózati Security Policy beállítása az eszközökben Step 3: Az AAA szerveren tárolt Security Policy alapján döntéshozatal Karantén vagy a Technology forgalom melyikfor User better VLAN-ba való business irányítása? outcomes Step 4: A MultiService AP érvényesíti a Security Policy-t HP-MSM 700 Series WLAN Controller LAN Switch Opcionális AAA / Policy Definition Server (alaphelyzetben a kontroller tartalmazza!) Client/Supplicant MAP / Policy Enforcement Point
3 szintő védelem a HP-MSM WLAN rendszereiben Level 3 - Wi-Fi Behatolás Detektálás és Megelızés(Intrusion Detection and Prevention) HP-MSM az RF Managerrel valósítja meg, akár az 1+1-es tartalékolást is (24x7 konfiguráció) Level 2 - Network Access Control-Hálózati hozzáférési Technology réteg 802.1x for better és Radius business segítségével outcomes A HP-MSM egy extra authentikációs szintet kínál a Wi-Fi és/ vagy a vezetékes kliens valamint a hálózat között. Level 1 - Fizikai szintő titkosítás, VLAN és L2 izoláció Különféle Wi-Fi titkosítások, VLAN and L2 szeparálás
Level 1 Fizikai szintő adatfolyam titkosítás A Wi-Fi tikosítás kiválasztásaencryption Nyílt (Open=no encryption, pl. Hot-Spot esetén, csak http redirection van) WEP Fixed vagy dinamikus kulcs key (64 vagy 128 bits), RC4 metódussal WPA Fixed vagy dinamikus kulcs szerint (128 bits), TKIP metódussal 802.1x + RADIUS segítségével dinamikus kulcsgenerálás WPA2 (IEEE 802.11i) Fixed vagy dinamikus kulcs (128 bits), AES metódussal 802.1x + RADIUS segítségével dinamikus kulcsgenerálás Az AP-k a VLAN-okkal a különbözı rádiós adatfolyamokat elszeparáltan kezelikminden AP-n 16 különbözı ESSID állítható be a hozzá tartozó VLAN-nal Az kliens AP switch útvonalon minden felhasználói csoport forgalma egyedi VLAN-ban utazik Az egy ESSID-ben tartózkodó kliensek a rádiós fizikai rétegben sem látják egymást az AP-n keresztül
Level 2 Network Access Control LAN az Enterprise (vállalati) hálózatok/felhasználók számára (Private LAN) 802.1x és RADIUS A végfelhasználói jogosultságok tárolása SQL, LDAP or Active Directory adatbázisokban Egyedi, dinamikus kulcsgenerálás a WPA és WPA2 algoritmus számára RADIUS adatai alapján Kompatibilis az standard iparági klienstitkosító metódusokkal (client Network Access Control) Az MSM 700-as sorozatú kontrollerekben beépített RADIUS server költséghatékony Széleskörő szabályrendszer és Policy Struktúra a felhasználó Authentikálására és User Group-ba sorolására (VLAN, QoS, Bandwidth,...)
Level 2 Network Access Control Biztonságos Guest User lehetıség (HotSpot alkalmazások) a kontrollerbe beépített web-szerverrel költséghatékony A HP MSM az Access Controllerrel (MSM 700-as sorozat) egy extra biztonsági réteget hoz létre a guest user és a hálózat között NEM szükséges külsı webszerver (természetesen lehet külsı alkalmazni bıvebb funkcionalitással) a http redirect-hez, egy alaphozzáférést biztosító webszerver Technology be van építve a for kontrollerbe better (feltölthetı business egy outcomes saját bejelentkezı képernyı) Vezetékes és WiFi Access integráció Egységes vezetékes és vezetéknélküli szolgáltatások; van olyan felhasználó ahol nem WiFi kliensek, userek userek authentikációjára használják! Home Page Redirect (Welcome Web Page) Log-in name / password vagy 802.1x alapú authentikáció Kliensenkénti (WiFi vagy vezetékes) sávszélesség menedzsment (RADIUS paraméterben megadható)
Level 3- Az RF Manager-ben a biztonsági szabályok beállítása és az RF fenyegetések monitorozása Biztonsági szabályrendszer felállítása Sokféle riportszabvány szerinti jelentéskészítés: Sarbenes-Oxley, Gramm- Leach-Bliley, PCI(credit cards) HIPAA (Hospitals), Dep. Of Defense Több mint 140 féle biztonsági és teljesítmény esemény monitorozása és riasztása (PM) A szenzorok minden csatornát szkennelnek Az egyes események részletes statisztikája, valamint a javasolt ellenlépések is lekérhetıek
Level 3-Az RF Manager kezelıpultja a riasztásokkal és fenyegetésekkel
Level 3 Részletes szenzor-ap statisztika az RF-Managerben
Level 3 Részletes eseménystatisztika az RF Managerben
Level 3 Részletes eseménynapló és manuális beavatkozás az RF Managerben
Level 3 Az RF Manager helymeghatározási képessége a fenyegetések behatárolása céljából
Level 3 Az RF Manager valósidejő RSSI lefedettségi térképe Heat-map jellegő megjelenítésben
Level 3 Az RF Manager valósidejő adatátviteli sebesség térképe
Behatolás Detektálás RF Managerrel + MAP AP/Szenzorral RF Manager Entry (max 50 sensors) RF Manager Enterprise (max 200 sensors) MSM325 /335 Security Sensor 2x IEEE 802.11a/b/g radios Biztonság Behatolás Detektálás és megelızés (IDS/IPS) Minden vezetéknélküli aktivitást elfog, analizál, kategorizál majd a besorolásnak megfelelı ellenlépéseket tesz. Automatikusan blokkolja a wifi fenyegetéseket anélkül hogy megzavarná az authorizált és szomszédos hálózatok forgalmát Integrált RF Helymeghatározás Hely információt ad az RF fenyegetések behatárolásához A helyinformációt az RF hıtérképen jeleníti meg
HP-MSM Colubris Behatolás detektálás és Behatolás Megelızés Nyolc fenyegetéskategóriát hozhatunk létre 20 egyidejő WLAN bitonsági támadás blokkolása minden szenzor AP-ban Nagyfelbontású helymeghatározás Valósidejő RF lefedettség megjelenítése Monitor and Detect RF Security Manager
Tolly Test Results Detektálás és Osztályozás (IDS funkciók) 29 támadás típus Támadások HP C A Single rogue APs 14 14 4 8 Multiple rogue APs 3 3 3 3 Honeypot AP 1 1 0 0 Mis-Configured APs 2 2 0 1 Client Mis-association 3 3 0 3 PC Ad-Hoc networking 3 3 2 3 WLAN DoS attack 1 1 1 1 AP Mac Spoofing 2 2 1 2 Összes Érzékelt Fenyegetés 29 29 11 21 Vakriasztás 0 14 11 A HP MSM a támadások 100%-át felderítette C gyártó a támadások 66%-át, A gyártó 23%-át nem derítette fel
Tolly Test Results Megelızés (IPS funkciók) 29 támadás típus Támadások HP C A Single rogue APs 14 14 4 8 Multiple rogue APs 3 3 0 1 Honeypot AP 1 1 0 1 Mis-Configured APs 2 2 0 1 Client Mis-association 3 3 0 1 PC Ad-Hoc networking 3 3 1 3 WLAN DoS attack 1 1 0 0 AP Mac Spoofing 2 2 0 0 Összes Blokkolt fenyegetés 29 29 5 15 A HP MSM a támadások 100%-át megállította C gyártó a támadások 17%-át, A gyártó 52%-át állította meg
A HP Procurve MSM architektúra adatforgalom, hálózat Management valamint ID/IP optimalizált Hagyományos felépítésú WiFi hálózati Infrstruktúra, Központosított WLAN kontroller valamint vékonykliens AP-k Egyetlen meghibásodási pont (Single Point of Failure) kell egy back-up kontroller A hagyományos WLAN hálózatokban szükség van dedikált szenzor AP-re és 2 db független Security eszközre: Management/Visualization és IPS/IDS Appliance-re; komplikált mng és back-up A hagyományos WiFi hálózati infrastruktúrában csak külső RADIUS szervert lehet használni Optimalizált WLAN kontroller és RF Manager struktúra valamint intelligens AP-k (Elosztott intelligencia) A WLAN hálózat akkor is működik ha a WLAN kontroller megáll A HP-MSM hálózatában Intelligens dual (szenzor+forgalmi) AP-k és egyetlen eszköz: az RF Manager végzi az IDS/IDS feladatokat Egyszerű mng és backup, egységesített kezelői felület Beépített RADIUS szerver a kontrollerben (külsővel is együttműködik!) A HP MSM WLAN rendszerével kisebb a hálózatbiztonsági beruházásigény, eleve költséghatékonyabb az infrastruktúra kiépítés és kis erıforrás igényő a 24x7 típusú hálózat MNG (emberi és dologi kiadáscsökkenés!)
Központosított WLAN kontroller És vékonykliens AP-k Teljesítmény és kapacitáskorlátos nagy kapacitású, erős HW (tehát drága) WLAN kontroller kell HP Procurve MSM architektúra Quality of Service-t a központi kontroller biztosítja sokoldalúan optimalizált zaj (jitter, késleltetés) megjelenése A 802.11n AP-k alkalmazása hardware upgrade-et és/vagy WLAN Controller cserét igényel valamint az Ethernet Switcheket is cserélni kell (nagyobb kapacitásúakra) Optimalizált WLAN kontroller és intelligent AP-k (Elosztott intelligencia) Az adat és hangcsomagok közvetlenül a célcím felé irányítódnak A QoS-t a már a hálózat végeitől biztosítjuk; pl. Voice Over WiFi alkalmazások teljeskörű támogatása Seamless (<50ms), csomagvesztés nélküli roaming a kontrollerekre utólagosan is rátölthető Mobility upgradedel ( büntető felár nélkül) A WLAN kontrollerek 802.11n re fel vannak készítve. A meglévő Ethernet Switchek használhatóak
Kiemelt hozzáadott értékkel bíró projektjeink Hotel Meridien Fıvárosi Szabó Ervin Könyvtár
Az SCI-Network egy komplex számlázási szoftvert fejlesztett ki a HP Procurve MSM WiFi (Colubris) rendszerekhez az MTA közremőködésével Eredetileg egyetemek számára terveztük a szoftvert, egy EU által szponzorált projekt keretein belül WiFi Hot-Spot authentikáció és számlázás
Üzleti felhasználás Hotel Le Meridien Budapest ***** A hotel teljes WiFi lefedettsége (minden szoba, minden közösségi tér) Elıre fizetett szolgáltatás (az hotel kérésének megfelelıen) valósidejő kártyanyomtatással -- mőanyag etikett a hozzáférési kóddal Teljes Radius authentikáció, authorizáció és számlázás Különféle elıfizetési opciók lehetségesek (itt idıalapú 1/5/24 órás, nap végéig, stb; de elhasznált adatmennyiség alapú is lehet) Nagy érdeklıdés a vendégek részérıl: szép bevételt generál, pedig csak recepciósnak van kb. 1 perces munkája az etikett kiadáskor Igény szerint továbbfejleszthetı a kártyás/mobiltetefonos fizetés irányába
Könyvtári alkalmazás A legnagyobb könyvtárhálózat Magyarországon Egy központi hely és 50 fiókkönyvtár Igények: Standard internet hozzáférés a helyi PC-ken A látogatók notebookjainak internet hozzáférés biztosítása WiFi-n WiFi lefedés csak az épületen belül Szigorúan szabályzott és ellenırzött kapcsolatok 802.1x alapú authentikáció Radius szerverrel A megoldás: SmartCard USB kulcs (plug-in flash memória) és a hw-en egy elıre generált hitelesített file Az elıre és máshol mentett jelszavak és a certifikációs file miatt másolhatatlan
Köszönöm Figyelmüket! timre@scinetwork.hu