Az intézményi hálózathoz való hozzáférés szabályozása

IBM Magyarországi Kft. – Hálózati szolgáltatások

Az intézményi hálózathoz való hozzáférés szabályozása

Budai Károly [email protected]

NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor

2004. április 5.

© 2003 IBM Corporation


Témakörök § A jelenlegi helyzet, új feladatok § A vezeték nélküli hozzáférés – veszélyei – a szabályozást támogató eljárások

§ A hozzáférés szabályozási lehetoségei – hagyományos módszerek – 802.1x

2


2004. április 5.



Intézményi hálózat, védendo értékek csoportmunka alkalmazások, adatok

HBONE

nagysebességu Internet elérés

Intézményi hálózat

hálózati eszközök

központi alkalmazások, adatbázisok 3


egyedi munkaállomások

2004. április 5.



Elterjedt hozzáférési és szabályozási módok VPN

Internet

személyhez kötött elérés; szabályozható felhasználás; titkosítás

HBONE

WR P

AC WT /IC C 0 0 H

AC W /C T I H 0 0

ACT /C H 1

C T /C H A 1

K O

ISDN

EC A T T H COL

Intézményi hálózat a felhasználás tuzfallal szabályozott


távoli elérés személyhez kötött elérés; szabályozható felhasználás

„nyilvános” elérés;

4

PSTN

2004. április 5.



Új felületek, feladatok § Rohamosan terjedo vezeték nélküli hálózatok § Nyilvános helyeken lévo vezetékes csatlakozások HBONE

WR P

AC WT /IC C 0 0 H

AC W /C T I H 0 0

ACT /C H 1

C T /C H A 1

K O

5

EC A T T H COL



2004. április 5.



A tárgyalt vezeték nélküli helyi hálózatok § 802.11 szabvány alapján muködo WLAN-ok (Wireless LAN: vezeték nélküli helyi hálózat)

§ Hozzáférési pont alapú megoldások – a vezetékes infrastruktúrára kapcsolt Access Point (AP) – és a felhasználói eszközben lévo kliens • munkaállomás, hordozható és kézi számítógép (PDA) stb. • WLAN kártya meghajtó és kezeloi szoftverekkel

6

PWR

WIC 0 ACT/ CH0

W IC0 ACT/CH0

ETH ACT

OK

ACT/ CH1

ACT/CH1

COL


2004. április 5.



A vezeték nélküli hozzáférés veszélyei – A vezeték nélküli kommunikáció átlépi az intézmény fizikai határait – sokszor szándékosan – Relatív olcsó, egyszeru eszközökkel használható

§ Így fennáll a veszélye: – az illetéktelen, ellenorizetlen hozzáférésnek – az értékes kommunikáció lehallgatásának – a hálózat illegális kiterjesztésének W IC 0

7


2004. április 5.

I C W 0

T H E

P W R

C T A /C H 0

A C T /C H 0

C T A

O K

C T A H 1 /C

A C / C T 1 H

O L C



A WLAN szabványok vonatkozó elemei I. § A WLAN szabványok: IEEE 802.11b, -g és –a § Logikai vezeték nélküli szegmensek kialakításának lehetosége – WLAN VLAN – Service Set Identifier (SSID)

csoportmunka

– nem biztonsági funkció kutatás

• az AP rendszeresen hirdeti titkosítás nélkül

8

PWR

WIC 0 ACT/ CH0

W IC0 ACT/CH0

ETH ACT

OK

ACT/ CH1

ACT/CH1

COL


adminisztráció 2004. április 5.



A WLAN szabványok vonatkozó elemei II. § Titkosítási lehetoség – WEP – Wired Equivalent Privacy: RC4 algoritmus, legalább 40 bites kulcs

§ Hitelesítési lehetoség – a WEP kulcs az azonosító

§ Meglehetosen alacsony biztonság – a kulcshoz könnyu hozzájutni, de nehéz adminisztrálni – lehallgatással rövid ido alatt megfejtheto a kulcs (nyilvános eszközök vannak hozzá)

9


2004. április 5.



Az IEEE 802.1X § Port alapú hálózati hozzáférés vezérlo eljárás – nem csak WLAN-hoz – a megoldás kereteit határozza meg § Egyedi azonosításhoz kötött hitelesítés – EAP – Extensible Authentication Protocol (RFC2284) alkalmazása: • EAPOL (EAP Over LANs): EAP + vezérlési feladatok

§ Nagyobb biztonságú titkosítás – dinamikus kulcs kiosztás lehetosége • • • • 10

egy-egy párbeszédre szóló, egyedi kulcsok a párbeszédek idovel lejárnak és új kulcsokat kell kiadni külön broadcast kulcs használható kulcsátvitel „négy utas kézfogással” (802.1aa)


2004. április 5.



EAP kommunikáció a 802.1x szerint Kliens: „Supplicant”

RADIUS szerver: „Authentication Server”

AP vagy LAN kapcsoló: „Authentikator”

EAPOL

EAP in RADIUS PWR

WIC 0 ACT/ CH0

W IC0 ACT/CH0

ETH ACT

OK

ACT/ CH1

ACT/CH1

COL

D at aG ener al

802.11: Association EAPOL Start EAP ID Request EAP ID Response

RADIUS Access Request (EAP)

EAP AUTH Request

RADIUS Access Challenge (EAP)

EAP Auth Response

RADIUS Access Request (EAP)

EAP Success

RADIUS Access Accept (EAP)

EAPOL Key EAPOL Logoff

EAP 11


2004. április 5.



Hitelesítési protokollok – EAP típusok § EAP-MD5 – egyoldalú hitelesítés; nincs dinamikus kulcs kiosztás – vezetékes hozzáféréshez elegendo lehet § Lightweight EAP (LEAP) – Cisco specifikus – kölcsönös jelszavas hitelesítés és kulcs kiosztási lehetoség § EAP with Transport Layer Security (EAP TLS) – RFC 2716 – mindkét oldalnak digitális tanúsítvánnyal kell hitelesítenie magát § EAP with Tunneled TLS (EAP TTLS), illetve Protected EAP (PEAP) – RFC draft-ok – szerver oldalon digitális tanúsítvány, kliens oldalon lehet csak jelszavas megoldás is 12


2004. április 5.



EAP típusok összehasonlítása

13

EAPMD5

LEAP EAP-TLS

EAP-TTLS

PEAP

Szerver hitelesítés

nincs

jelszó digitális tanúsítvány

digitális tanúsítvány

digitális tanúsítvány

Kliens hitelesítés

jelszó jelszó digitális tanúsítvány

CHAP, PAP, MSCHAP(v2), EAP

bármely EAP, pl. EAP-MSCHAPv2 vagy digitális tanúsítvány

Dinamikus kulcsosztás lehetosége

nem

igen

igen

igen

igen

Szabvány

igen

nem

igen

tervezet

tervezet


2004. április 5.



Titkosítási módszerek tendenciái § WEP – 128 bites kulcs használata

§ 802.11i tervek: két alternatíva – WEP fejlesztése: TKIP (Temporal Key Integrity Protocol) vagy – AES (Advanced Encryption Standard) használata • tipikusan új hardvert fog igényelni (AP, kártya)

§ Még nincs egyértelmu szabvány, gyakorlat!

14


2004. április 5.



802.1x gyakorlati megfontolások § A „802.1x” képesség önmagában kevés § Célszeru az EAP-TTLS, illetve PEAP használata – vélhetoen lesz 802.11i kompatibilis változatuk

§ Windows környezetben: PEAP § Sokszínu kliens környezetben: EAP-TTLS § A RADIUS szerverek általában több módot is tudnak egyidejuleg támogatni § Az AP és a kártya kell tudjon közös nyelvet • kritikus kérdés, hogy legyen azonos titkosítási mód is 15


2004. április 5.



Védekezés illegális AP ellen § A vezetékes portok fizikai védelme § A fizikailag nem védhetok esetében – folyamatos, illetve idoszakos ellenorzések • SNMP monitorozás (MAC címek, eszköz azonosítók) • vezeték nélküli megfigyelések (PDA kártyával)

– szabályozni a felhasználási lehetoségeket • külön VLAN tuzfalas védelemmel

– személyhez kötött elérést alkalmazni • 802.1x ezeken a vezetékes portokon

16


2004. április 5.



Szabályozási lehetoségek hagyományos módszerekkel HBONE

WR P

AC WT /IC C 0 0 H

AC W /C T I H 0 0

ACT /C H 1

C T /C H A 1

K O


EC A T T H COL

WR P

AC WT /IC C 0 0 H

AC W /C T I H 0 0

ACT /C H 1

C T /C H A 1

K O

EC A T T H COL

szurés regisztrált MAC címekre

VPN alkalmazása

külön VLAN vagy szegmens; tuzfalas védelem

17


2004. április 5.



Szabályozás a 802.1x alkalmazásával § Még nem teljesen kiforrottak a szabványok, megoldások, különösen heterogén környezetre § Ami egyértelmunek látszik – kell hozzá felhasználó regisztráció és hitelesíto szerver • RADIUS minél több EAP változattal, frissítési lehetoséggel

– az alkalmazott AP minimum 802.1x-et tudjon • azonnali és frissítési lehetoség EAP-ok vonatkozásában • a WEP képesség elég lehet, AES nem feltétlen kritérium

– célszeru lehet a kártyákra is ajánlást tenni • EAP támogatás és WEP

§ „Wi-Fi Certified” – lehet kritérium, közös nevezo • WPA szintek (Wi-Fi Protected Access)

§ Érdemes elindulni és tapasztalatokat gyujteni § Kritikus vezetékes esetekre is jó 18


2004. április 5.



Köszönöm a figyelmet! § További informálódási lehetoségek: – Itt a Networkshop-on: • Jákó András: Wireless LAN a Muegyetemen (szerda, 11:20 „D” terem)

– Az Interneten: • www.ieee.org, www.weca.net, www.wi-fiplanet.com • gyártói oldalak

19


2004. április 5.


Az intézményi hálózathoz való hozzáférés szabályozása

Recommend Documents