Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése
Bemutatkozás Secure Networx Kft.: Specialista, Szűk területre fókuszáló IT biztonsági cég, Malware védelmi és threat intelligencia szolgáltatás, Adat- és információbiztonsági szolgáltatások. +9 év secure vállalati Wi-Fi tapasztalat o Aruba, Ruckus, Unifi, OpenMesh, Meraki
Wi-Fi pentesting, Wi-Fi security audit.
Kocsis Tamás APT- és DLP szakértő, Etikus hacker, malware elemző
2.
Wi-Fi fenyegetettségek A Wi-Fi is infrastruktúra Jellemzően ma már akár elsődleges infrastruktúra
Fenyegetések vektorai: Rendelkezésre állás,
Sértetlenség, Bizalmasság.
3.
Wi-Fi fenyegetettségek - sértetlenség Integritás támadása
Cél támadások előkészítése, Forgalom kompromitáció. Frame injectálás, Data replay, EAP replay.
4.
Wi-Fi fenyegetettségek - bizalmasság Bizalmasság támadása
Cél az illetéktelen hozzáférés, Kompromittálás. Rogue AP, AP impersonation, AP spoofing (AP mac spoofing), 802.1x EAP-PEAP cracking, WPA PSK cracking, WPS cracking, MiT attack (Captive Portal), Phising (Captive Portal). 5.
Wi-Fi fenyegetettségek – rendelkezésre állás Rendelkezésre állás (üzembiztonság) támadása
Cél a működés ellehetetlenítése, Üzemkiesés okozása. Jamming, „DOS” (teljes spektrum zavarás), Beacon flood (túlterheléses támadás vezérlőjelekkel), Associate flood (túlterheléses támadás bejelentkezésekkel), Deauthenticate flood (felhasználók leválasztása), User lockout (pl 8 hibás bejelentkezés után AD user lockout) DHCP storming (konferencia vagy publikus hálózatok),
6.
Vállalati Wi-Fi biztonsága Wireless tűzfal (L2, L3, L7), SSID-n belüli, Felhasználóhoz kötött, Forgalom kontroll.
Wireless IPS, Behatolás védelem, Spoofing, impersonation védelem, Rogue védelem, Deaut IDS, Frame IDS, stb.
Hitelesítés! 802.1x, EAP-PEAP vagy EAP-TLS, Captive Portal, SSL, userauth 7.
Vállalati Wi-Fi biztonsága Hitelesítés – kiemelten fontos! Vállalati Wi-Fi-ben nincs PSK! Csak felhasználó-alapú hitelesítés elfogadott! 802.1x EAP-PEAP: leggyakoribb, de nem biztonságos! o Windows usernév+jelszó transzparensen. o Mint a PPTP VPN esetében, mschap v2 kompromittált. o Android és IOS nem foglalkozik a hitelesítő szerver tanúsítványával.
802.1x EAP-TLS: biztonságosabb, de nehezen menedzselhető! o Gépen vagy eszközön tárolt felhasználó vagy géptanúsítvány. o Hitelesítő szerver, CA szerver, stb. szükséges.
802.1x EAP-TLS + smartcard: biztonságos, de költséges. o CA szerver, hitelesítő szerver, minden felhasználónak smartcard szükséges. 8.
Vállalati Wi-Fi biztonsága Hitelesítés – kiemelten fontos! Vendég Wi-Fi-n kötelező a hitelesítés! PSK nem megengedett! Na jó, csak nagyon nem javasolt! Visszakereshetőség! o Tudni kell, adott időben ki és mire használta a vendég Wi-Fi-t. o Lehetnek kérdések, amire tudni kell válaszolni…
Hogyan hitelesítsünk? Captive Portal, https, webauth! Valid HTTPS tanúsítvány kötelező!
Hogy adjuk ki az accountokat? Automatikus, „self registration” Fél automatikus, jóváhagyásos „self registration” Manuális módszerek (Wi-Fi kártya, berögzítés, stb). 9.
Miből választhatunk? Vállalati Wi-Fi eszközök hazai shortlist (teljesség igénye nélkül): Aruba Networks (HP), CISCO, Meraki (CISCO) Cloud, Ruckuss (Brocade), Mojo Networks (AirTight), AeroHive, Meru (Fortinet),
És ami biztosan nem vállalati Wi-Fi: • • • •
Ubiquiti UniFi, OpenMESH, Mikrotik, CISCO WAP (Linksys, CISCO SMB).
Ezek jó termékek, csak nem vállalati célra.
UTM-alapú „vállalati Wi-Fi” Fortinet (FortiWIFi), Juniper (Trapeze) Sophos (Astaro), 10.
Összefoglalás Sok jó eszköz és megoldás létezik… …sok rossz és még rosszabb üzembehelyezéssel.
Vállalati célra vállalati eszközök valóak! Az „oldjuk meg okosban, olcsón” nem kifizetődő!
Hitelesítés és forgalomszabályozás a kulcs! Ha nem szabályozzuk, hogy ki, merre forgalmazhat, akkor nem beszélhetünk biztonságos Wi-Fi-ről!
11.
Köszönöm a figyelmet! Kérdések?
12.
