Technology és a for better business outcomes

WiFi Hálózatbiztonsági problémák, korlátok, kockázatok és a Technology for better business outcomes

A HP Procurve MSM WLAN rendszer Trencsánszky Imre hálózati mérnök, SCI-Network zRt. 2009.Június 9-10. Ramada Resort Aquaworld Budapest Wireless Technológiák, Adatátvitel és Biztonság Szakkonferencia

Tartalom












Az SCI Network zRt. bemutatása HP-ProCurve MSM pozicionálása a WLAN rendszerszállítók világában A HP-ProCurve MSM WLAN rendszer (2008.06-ig Colubris Networks) rövid technológiai áttekintése Technology for better business outcomes A HP-ProCurve MSM WLAN rendszer hálózatbiztonsági szemüvegen keresztül Kiemelt hozzáadott értékkel bíró projektjeink—Hálózatbiztonsági megvalósítások a gyakorlatban  Hotel Meridien  Fıvárosi Szabó Ervin Könyvtár

Az SCI-Network zRt.


SCI-Network, zRt.  Magyar alapítású, magyar tulajdonú hálózatintegrációs cég  Alapítva: 1993  Budapesti központ, országos tevékenységi kör Portfolió: hálózatintegráció, hw/sw szállítás és fejlesztés kapcsolódó szolgáltatásokkal  IP hálózati komunikáció  LAN/WAN Technology for better business outcomes  Vezetéknélküli megoldások (WiFi/HotSpot, különféle WLAN rendszerek, PP, PMP rádiós rendszerek frekvenciadíj köteles és szabad sávokban)  management  security  SW fejlesztések és igény szerinti testre szabása Salgótarján




Sopron

Szombathely

Gyõr

Nyíregyháza Miskolc

Debrecen

Budapest

Veszprém

Szolnok

Kecskemét

Zalaegerszeg

Siófok

Baja

Pécs

SCI-Network Távközlési és Hálózatintegrációs zRt. T.: 467-70-30 Nem tudtuk, hogy F.: 467-70-49 lehetetlen, ezért [email protected] megcsináltuk. www.scinetwork.hu

Békéscsaba Szeged

A HP ProCurve MSM WLAN rendszereit 1,500 meghatározó vállalat használja világszerte

Technology Egészségügy for better business outcomes Gyártás Szolgáltatók Egészségügy Gyártás Szolgáltatók Air Force One

nH HOTELES

Vendéglátás Vendéglátás

Közlekedés Közlekedés

Oktatás Oktatás

A vezetéknélküli LAN architektúrák Példák: evolúciója HP MultiService Mobility WLAN Rendszer

Példák: Cisco Aeronet Proxim ORiNOCO Netgear Linksys

Példák: Cisco Airespace Aruba Networks Meru Networks Trapeze Networks

Technology for better

1 generációs

rendszerek • Intelligens AP-

Elosztott WLAN Architektúra

Centralizált WLAN Architecture

Önálló Access Point Architektúra

Skálázhatóság

Colubris Networks Integráció a HP hálózati Példák: után Colubris Networks struktúrákba az akvizíció Egységesített WLAN Trapeze Networks Architektúre (SmartMobile 11/’06)

2 generációs rendszerek Központi MNG • “Switch” és vékonykliens AP-k • WLAN átfedések

4 generációs rendszerek .

Vezetéknélküli/ 3 generációs vezetékes rendszerek business outcomes konvergencia MultiServices

• MultiService Controller és intelligens AP-k • Nyílt rendszerek, elosztott intelligencia • Teljes kapacitású 802.11n rendszerek

A Colubris Networks 2005-tıl

• Sasszé alapú controller-hw architektúra • Integrált management • Egységes vezetékes és vezetéknélküli szolgáltatások

A HP-Procurve MSM WLAN rendszer(Colubris Networks) Technologyrövid for better business outcomes technológiai áttekintése

A Hp Procurve Intelligens MultiService Mobility rendszer Multiservice Access Points Indoor / Outdoor Wireless Client Bridge Local MESH

Guest Access AAA End user PC zero configuration Visitor Management Tool

Access Control

Wi-Fi Access

Access Control

RF Manager Predictive RF cell planning (PC software)

MultiService Access Point (MAP)

Voice over IP Technology for better business outcomes RF Mobility Mobility Seamless Roaming

RF Planning

Planning

Network Management

Central management for medium/large networks

Control

IP subnet roaming

Control MultiService Controller (MSC)

RF Security Sensor

Intrusion Prevention 24 x 7 Security shell Wi-Fi Location tracking

Wireless Client Bridge (WCB) NMS

A TriPlane™ modell– Üzleti folyamatokhoz való optimalizálás Az optimalizáció szempontjai:








Combined Centralized Optimized Switching Switching SwitchingMode Mode Mode Teljesítmény Kiépítettség mértéke DataCenter Center Data Data Center HP MSM Controller HP MSC MSC Management Biztonság: Az i-AP-k adatforgalma Server kombinált módon a kontrolleren át Server Server (pl. HTTP-redirect esetén) vagy közvetlenül az szerver erıforrások HP RF Manager felé mehet (tipikus megoszlás a Technology for better business outcomes (IPS/IDS) mőködı hálózatokban 10% 90%) míg a Sensor-AP Adat forgalom kizárólag az RF forgalom LAN LAN LAN Managerhez tart A hálózat aktív eszközeinek Szenzor-AP (tipikusan L2/L3 switchek, forgalom routerek) kisebb forgalmat kell átvinniük, mert relatív kevés forgalom megy át a kontrollerenez a 802.11n-es i-APs migrációnál hatalmas beruházásHPMAP MAP HP Dual-Sensor HP HP MAP HP HPMAP MAP MAPs megtakarítás, mivel ott cserélni kellene minden aktív elemet hogy a hálózat bírja a megnövekedett forgalmat

A HP Procurve IPS/IDS MSM Architektúra egyszerő: Egyedül dual (sensor) i-AP és az RF Manager szükséges! Centralizált, Centralizált, hagyományos hagyományos WLAN WLAN kontroller kontroller és és IPS/IDS IPS/IDS architektúra architektúra Központi Központi kontrol kontrol és és “vékony “vékony kliens” kliens” AP-k AP-k WLAN Management and Visualization Appliance

WLAN Controller

RF RF Manager Manager megoldás megoldás (IPS/IDS) (IPS/IDS) és és Optimalizált Optimalizált WLAN WLAN Kontroller Kontroller i-AP-val i-AP-val (Integrált (Integrált Sensor Sensor AP-vel) AP-vel) Központi Központi kontrol kontrol and and intelligens intelligens AP-k AP-k (Elosztott (Elosztott Intelligencia) Intelligencia) WLAN Controller RF Manager

Backbone Backbone

Technology for better business outcomes WLAN IPS/IDS Appliance Application Server

Application Server AP+Sensor AP

APs

Thin APs

Dedicated Sensor AP

AP+Sensor AP

i-APs

Zavartalan és egyszerő 802.11n migráció-Hálózatbiztonsági vonalon is! RF Manager WLAN Controller

Application Server

AAHP HPProcurve Procurve MSM MSM802.11n 802.11n migráció migrációnem nem kívánja a WLAN kívánja a WLAN architektúra architektúra változtatását változtatását

RF Manager WLAN Controller

Technology for better business outcomes Application Server

Csak 802.11n- es új AP elhelyezése szükséges!

802.11abg i-APs

802.11n i-APs

AP+Sensor AP with MultiService AP+Sensor AP with MultiService

A hálózat túlélıképessége Network Center

Data Center

Core Network

Network Resilience N+1 approach

Server

MSC 5x00

MSC 5x00

Access LAN

Technology for better business outcomes InReach MAP VSC 1

InReach MAP

Video Conference

Voice Data

VSC 2

VSC 3

VSC 4

Guest Access • Segment Traffic • Access Control •P4 Priority

Internal Network • Segment Traffic • WPA2 •P3 Priority

Voice Telephony • Segment Traffic •WPA PSK •P1 Priority

Multimedia • Segment Traffic • WPA PSK • P2 Priority

Hálózati management





Az MSM 700 sorozatú WLAN kontrollerekben integrálva van Központosított WLAN management  




Egyszerő MSC GUI Technology Konfiguráció, monitoring, hibaelhárítás, és sw update az AP-k és MSM-ek számára

Az MSM-ek és AP-k autentikációja a lopások által elıidézett biztonsági kockázatot kizárja

for better business outcomes

A HP-ProCurve MSM WLAN rendszer hálózatbiztonsági szemüvegen keresztül Technology for better business outcomes




A TriPlane Security Layer IPS/IDS funkciók az RF Managerben Különféle támadások kivédése számokban

Hálózati biztonság Denial of Service Attack

A hálózat védelme a rádiós hálózatok tervezésének és üzemeltetésének kritikus pontja, A Technology for better business outcomes HP piacvezetı megoldása nem csak detektálni, hanem ? elhárítani is képes az alábbi ábrán összefoglalt, rádiós hálózatot érı támadásokat. rk two Ne g rin h bo

ig Ne Mis-association

ork etw N se pri Mis-configurederAP t n E

Honeypot

Unauthorized Association

Rogue AP

AP MAC Spoofing

Ad Hoc

Hálózati Hozzáférés kontroll & Wi-Fi Integráció Step 1: Identitás Ellenırzés (802.1x/EAP) Step 2: Integritás ellenırzés és hálózati Security Policy beállítása az eszközökben Step 3: Az AAA szerveren tárolt Security Policy alapján döntéshozatal  Karantén vagy a forgalom melyik User VLAN-ba való irányítása?

Technology for better business outcomes Step 4: A MultiService AP érvényesíti a Security Policy-t HP-MSM 700 Series WLAN Controller LAN Switch

Client/Supplicant

MAP / Policy Enforcement Point

Opcionális AAA / Policy Definition Server (alaphelyzetben a kontroller tartalmazza!)

3 szintő védelem a HP-MSM WLAN rendszereiben


Level 3 - Wi-Fi Behatolás Detektálás és Megelızés(Intrusion Detection and Prevention) 




Level 2 - Network Access Control-Hálózati hozzáférési réteg 802.1x és Radius segítségével Technology for better business outcomes 




HP-MSM az RF Managerrel valósítja meg , akár az 1+1-es tartalékolást is (24x7 konfiguráció)

A HP-MSM egy extra authentikációs szintet kínál a Wi-Fi és/ vagy a vezetékes kliens valamint a hálózat között.

Level 1 - Fizikai szintő titkosítás, VLAN és L2 izoláció 

Különféle Wi-Fi titkosítások, VLAN and L2 szeparálás

Level 1 – Fizikai szintő adatfolyam titkosítás


A Wi-Fi tikosítás kiválasztásaEncryption Nyílt (Open=no encryption, pl. Hot-Spot esetén, csak http redirection van)  WEP • Fixed vagy dinamikus kulcs key (64 vagy 128 bits), RC4 metódussal  WPA • Fixed vagy dinamikus kulcs szerint (128 bits), TKIP metódussal • 802.1x + RADIUS segítségével dinamikus kulcsgenerálás Technology for better business outcomes  WPA2 (IEEE 802.11i) • Fixed vagy dinamikus kulcs (128 bits), AES metódussal • 802.1x + RADIUS segítségével dinamikus kulcsgenerálás Az AP-k a VLAN-okkal a különbözı rádiós adatfolyamokat elszeparáltan kezelikminden AP-n 16 különbözı ESSID állítható be a hozzá tartozó VLAN-nal 







Az kliensAPswitch útvonalon minden felhasználói csoport forgalma egyedi VLAN-ban „utazik”

Az egy ESSID-ben tartózkodó kliensek a rádiós fizikai rétegben sem látják egymást az AP-n keresztül

Level 2 – Network Access Control
LAN

az Enterprise (vállalati) hálózatok/felhasználók számára (Private LAN) 

802.1x és RADIUS • A végfelhasználói jogosultságok tárolása SQL, LDAP or Active Directory adatbázisokban Technology for better business outcomes • Egyedi, dinamikus kulcsgenerálás a WPA és WPA2 algoritmus számára RADIUS adatai alapján • Kompatibilis az standard iparági klienstitkosító metódusokkal (client Network Access Control)



Az MSM 700-as sorozatú kontrollerekben beépített RADIUS server költséghatékony • Széleskörő szabályrendszer és Policy Struktúra a felhasználó Authentikálására és User Group-ba sorolására (VLAN, QoS, Bandwidth, ...)

Level 2 – Network Access Control


Biztonságos Guest User lehetıség (HotSpot alkalmazások) a kontrollerbe beépített web-szerverrel költséghatékony • A HP MSM az Access Controllerrel (MSM 700-as sorozat) egy extra biztonsági réteget hoz létre a guest user és a hálózat közöttNEM szükséges külsı webszerver (természetesen lehet külsı alkalmazni bıvebb funkcionalitással) a http redirect-hez, egy alaphozzáférést biztosító webszerver Technology be van építve a for kontrollerbe better(feltölthetı business egyoutcomes saját bejelentkezı képernyı) • Vezetékes és WiFi Access integrációEgységes vezetékes és vezetéknélküli szolgáltatások; van olyan felhasználó ahol nem WiFi kliensek, userek userek authentikációjára használják! • Home Page Redirect (Welcome Web Page) • Log-in name / password vagy 802.1x alapú authentikáció • Kliensenkénti (WiFi vagy vezetékes) sávszélesség menedzsment (RADIUS paraméterben megadható)












Level 3- Az RF Manager-ben a biztonsági szabályok beállítása és az RF fenyegetések monitorozása Biztonsági szabályrendszer felállítása Sokféle riportszabvány szerinti jelentéskészítés: Sarbenes-Oxley, GrammLeach-Bliley, PCI(credit cards) HIPAA (Hospitals), Dep. Of Defense Technology for better business outcomes Több mint 140 féle biztonsági és teljesítmény esemény monitorozása és riasztása (PM) A szenzorok minden csatornát szkennelnek Az egyes események részletes statisztikája, valamint a javasolt ellenlépések is lekérhetıek

Level 3-Az RF Manager kezelıpultja a riasztásokkal és fenyegetésekkel

Technology for better business outcomes

Level 3 – Részletes szenzor-AP statisztika az RF-Managerben

Technology for better business outcomes

Level 3 – Részletes eseménystatisztika az RF Managerben

Technology for better business outcomes

Level 3 – Részletes eseménynapló és manuális beavatkozás az RF Managerben

Technology for better business outcomes

Level 3 – Az RF Manager helymeghatározási képessége a fenyegetések behatárolása céljából

Technology for better business outcomes

Level 3 –Az RF Manager valósidejő RSSI lefedettségi térképe Heat-map jellegő megjelenítésben

Technology for better business outcomes

Level 3 – Az RF Manager valósidejő adatátviteli sebesség térképe

Technology for better business outcomes

Behatolás Detektálás RF Managerrel + MAP AP/Szenzorral Biztonság – Behatolás Detektálás és megelızés (IDS/IPS) 

RF Manager Entry (max 50 sensors) for better RF ManagerTechnology Enterprise  (max 200 sensors)

Minden vezetéknélküli aktivitást elfog, analizál, kategorizál majd a besorolásnak megfelelı ellenlépéseket tesz. business outcomes Automatikusan blokkolja a wifi fenyegetéseket anélkül hogy megzavarná az authorizált és szomszédos hálózatok forgalmát

Integrált RF Helymeghatározás 

MSM325 /335 Security Sensor 2x IEEE 802.11a/b/g radios



Hely információt ad az RF fenyegetések behatárolásához A helyinformációt az RF hıtérképen jeleníti meg

HP-MSM Colubris Behatolás detektálás és Behatolás Megelızés





Nyolc fenyegetéskategóriát hozhatunk létre 20 egyidejő WLAN bitonsági támadás blokkolása minden szenzor AP-ban Nagyfelbontású helymeghatározás Valósidejő RF lefedettség megjelenítése

Technology for better business outcomes Monitor and Detect

RF Security Manager

Tolly Test Results – Detektálás és Osztályozás (IDS funkciók) 29 támadás típus Támadások HP C A Single rogue APs 14 14 4 8 Multiple rogue APs 3 3 3 3 Honeypot AP 1 1 0 0 Mis-Configured APs 2 2 0 1 Technology for better business Client Mis-association 3 3 0outcomes 3 PC Ad-Hoc networking 3 3 2 3 WLAN DoS attack 1 1 1 1 AP Mac Spoofing 2 2 1 2 Összes Érzékelt Fenyegetés 29 29 11 21 Vakriasztás 0 14 11 A HP MSM a támadások 100%-át felderítette

C gyártó a támadások 66%-át, A gyártó 23%-át nem derítette fel

Tolly Test Results – Megelızés (IPS funkciók) 29 támadás típus Támadások HP C A Single rogue APs 14 14 4 8 Multiple rogue APs 3 3 0 1 Honeypot AP 1 1 0 1 Mis-Configured APs 2 business 2 0outcomes 1 Technology for better Client Mis-association 3 3 0 1 PC Ad-Hoc networking 3 3 1 3 WLAN DoS attack 1 1 0 0 AP Mac Spoofing 2 2 0 0 Összes Blokkolt fenyegetés 29 29 5 15 C gyártó a támadások 17%-át, A HP MSM a támadások 100%-át megállította

A gyártó 52%-át állította meg

A HP Procurve MSM architektúra adatforgalom, hálózat Management valamint ID/IP optimalizált Hagyományos Hagyományos felépítésú felépítésú WiFi WiFi hálózati hálózati Infrstruktúra, Infrstruktúra, Központosított Központosított WLAN WLAN kontroller kontroller valamint valamint „vékonykliens” „vékonykliens” AP-k AP-k

Optimalizált Optimalizált WLAN WLAN kontroller kontroller és és RF RF Manager Manager struktúra struktúra valamint valamint intelligens intelligens AP-k AP-k (Elosztott (Elosztott intelligencia) intelligencia)

Egyetlen meghibásodási pont (Single Point of Failure)
kell egy back-up kontroller

A WLAN hálózat akkor is működik ha a WLAN kontroller megáll

A hagyományos WLAN hálózatokban szükség van dedikált szenzor AP-re és 2 db független Security eszközre: Management/Visualization és IPS/IDS Appliance-re; komplikált mng és back-up

A HP-MSM hálózatában Intelligens dual (szenzor+forgalmi) AP-k és egyetlen eszköz: az RF Manager végzi az IDS/IDS feladatokat Egyszerű mng és backup, egységesített kezelői felület

A hagyományos WiFi hálózati infrastruktúrában csak külső RADIUS szervert lehet használni

Beépített RADIUS szerver a kontrollerben (külsővel is együttműködik!)

Technology for better business outcomes

A A HP HP MSM MSM WLAN WLAN rendszerével rendszerével kisebb kisebb aa hálózatbiztonsági hálózatbiztonsági beruházásigény, beruházásigény, eleve eleve költséghatékonyabb költséghatékonyabb az az infrastruktúra infrastruktúra kiépítés kiépítés és és kis kis erıforrás erıforrás igényő igényő aa 24x7 24x7 típusú típusú hálózat hálózat MNG MNG (emberi (emberi és és dologi dologi kiadáscsökkenés!) kiadáscsökkenés!)

HP Procurve MSM architektúra sokoldalúan optimalizált

Központosított Központosított WLAN WLAN kontroller kontroller

Optimalizált Optimalizált WLAN WLAN kontroller kontroller

És És vékonykliens vékonykliens AP-k AP-k

és és intelligent intelligent AP-k AP-k (Elosztott (Elosztott intelligencia) intelligencia)

Teljesítmény és kapacitáskorlátos
nagy kapacitású, erős HW (tehát drága) WLAN kontroller kell

Az adat és hangcsomagok közvetlenül a célcím felé irányítódnak

Quality of Service-t a központi kontroller biztosítja
„zaj” (jitter, késleltetés) megjelenése


A

QoS-t a már a hálózat végeitől biztosítjuk; pl. Voice Over WiFi alkalmazások teljeskörű támogatása
Seamless (<50ms), csomagvesztés nélküli roaming a kontrollerekre utólagosan is rátölthető Mobility upgradedel („büntető felár” nélkül)

A 802.11n AP-k alkalmazása hardware upgrade-et és/vagy WLAN Controller cserét igényel valamint az Ethernet Switcheket is cserélni kell (nagyobb kapacitásúakra)

A WLAN kontrollerek 802.11n –re fel vannak készítve. A meglévő Ethernet Switchek használhatóak

Technology for better business outcomes

Kiemelt hozzáadott értékkel bíró Technology for better business outcomes projektjeink



Hotel Meridien Fıvárosi Szabó Ervin Könyvtár


Az

WiFi Hot-Spot authentikáció és számlázás

SCI-Network egy komplex számlázási szoftvert fejlesztett ki a HP Procurve MSM WiFi (Colubris) rendszerekhez az MTA közremőködésével Technology
Eredetileg egyetemek számára terveztük a szoftvert, egy EU által szponzorált projekt keretein belül

for better business outcomes

Üzleti felhasználás  

   

Hotel Le Meridien Budapest *****

A hotel teljes WiFi lefedettsége (minden szoba, minden közösségi tér) Elıre fizetett szolgáltatás (az hotel kérésének megfelelıen) valósidejő kártyanyomtatással -- mőanyag etikett a hozzáférési kóddalTechnology for better business outcomes Teljes Radius authentikáció, authorizáció és számlázás Különféle elıfizetési opciók lehetségesek (itt idıalapú 1/5/24 órás, nap végéig, stb; de „elhasznált” adatmennyiség alapú is lehet) Nagy érdeklıdés a vendégek részérıl: szép bevételt generál, pedig csak recepciósnak van kb. 1 perces munkája az etikett kiadáskor Igény szerint továbbfejleszthetı a kártyás/mobiltetefonos fizetés irányába

Könyvtári alkalmazás


A legnagyobb könyvtárhálózat Magyarországon 

Egy központi hely és 50 fiókkönyvtár

Igények: Standard internet hozzáférés a helyi PC-ken A látogatók notebookjainak internet hozzáférés biztosítása WiFi-n Technology for better business outcomes


  




WiFi lefedés csak az épületen belül Szigorúan szabályzott és ellenırzött kapcsolatok 802.1x alapú authentikáció Radius szerverrel

A megoldás: SmartCard USB kulcs (plug-in flash memória) és a hw-en egy elıre generált hitelesített file 

Az elıre és máshol mentett jelszavak és a certifikációs file miatt másolhatatlan

Köszönöm Figyelmüket!

Technology for better business outcomes

[email protected]