Access Point, Captive Portal, SSL / TLS Lendvai Károly
[email protected]
Miről lesz ma szó?
Wifi access point létrehozása Linux alatt „Mi van a dobozban?”
Captive portál rendszerek „Hogy működik az Internet kávézó?”
SSL/TLS „Kommunikáljunk titkosítva!”
Access Point, Captive Portal, SSL/TLS
2
1
Előadások 4 előadás, főként biztonsági kérdések 2010. 03. 23. – Access Point, Captive Portal, SSL 2010. 03. 30. – VPN 2010. 04. 06. – Internet biztonság, tűzfalak 2010. 04. 13. – ZH, Internetes támadások, IDS-ek
Access Point, Captive Portal, SSL/TLS
3
Wifi Access Point Wireless Access Point (WAP) Wireless Access Point vs. Wireless router
Linksys WRT54-GL
Access Point, Captive Portal, SSL/TLS
4
2
Linksys WRT54-GL
Access Point, Captive Portal, SSL/TLS
5
Wireless Access Point Megoldandó problémák: A vezetékes és vezetéknélküli hálózat összekötése Azonosítás, biztonság, csatornakiosztás, SSID IP cím hozzárendelés Routing Tűzfal
Access Point, Captive Portal, SSL/TLS
6
3
Wireless Access Point A vezetékes és vezetéknélküli hálózatok összekapcsolása: – Bridge segítségével
Access Point, Captive Portal, SSL/TLS
7
Hálózati eszközök
Hub? Bridge? Switch? Router?
Access Point, Captive Portal, SSL/TLS
8
4
Hálózati eszközök - Hub Hub Legegyszerűbb eszköz „Ami az egyik porton bejön az összes többin kimegy” ~ levelezőlista - Rengeteg felesleges adatküldés - A végpontok döntik el, hogy az adott csomag nekik jött vagy nem - Nem támogat különböző sebességeket - A hálózaton könnyen torlódások alakulhatnak ki - Switchek árának csökkenésével egyre kevesebb helyen használják őket
Access Point, Captive Portal, SSL/TLS
9
Hálózati eszközök - Bridge Bridge - Layer 2-ben működik - A célcímet nézi, csak arra a portra küldi tovább a csomagot, ahol a célcím van - Nem foglalkozik az L2 feletti protokollokkal - Különböző hálózati szegmensek összekapcsolására használják, amik ugyanazon protokollon kommunikálnak - Az összes eszköz ugyanabban az alhálózatban van, átmennek rajta a broadcast üzenetek, működik a DHCP - Különböző fizikai rétegek összekapcsolására használható (például vezetékes és vezetéknélküli hálózat)
Access Point, Captive Portal, SSL/TLS
10
5
Hálózati eszközök - Switch Switch – Layer 2-ben működik – „Olyan mint a bridge, csak sok ugyanolyan portja van” – A bejövő csomagokat, csak azokra a port(ok)ra továbbítja ahol a címzett(ek) van(nak) – Különböző portokon lehetséges különböző sebességgel kommunikálni – Nagy teljesítmény
Access Point, Captive Portal, SSL/TLS
11
Hálózati eszközök - Router Router – Layer 3-ban működik – A csomagok továbbítása IP címek alapján történik – A továbbítási szabályokat un. Routing táblába lehet felvenni
Access Point, Captive Portal, SSL/TLS
12
6
Wireless Access Point Bridge kezelése – bridge-utils segítségével Bridge elindítása:
Bridge leállítása:
Állapotlekérdezés: (brctl show)
Access Point, Captive Portal, SSL/TLS
13
Wireless Access Point Bridge automatikus konfigurálása Debian/Ubuntu alatt: /etc/network/interfaces file:
Access Point, Captive Portal, SSL/TLS
14
7
Wireless Access Point Az interfészek beállítása után a WiFi kiszolgálás a hostapd program segítségével történik. Hostapd: – – – –
User Spaceben fut, daemon Access Point, Authentication server IEEE 802.11 access point menedzsment IEEE 802.11x/WPA/WPA2/EAP authentikáció
Config file: http://hostap.epitest.fi/gitweb/gitweb.cgi?p=hostap.git;a=blo b_plain;f=hostapd/hostapd.conf
Access Point, Captive Portal, SSL/TLS
15
Wireless Access Point Hostapd-hez szükséges beállítások /etc/hostapd/wpa_psk file:
/etc/hostapd/hostapd.conf file:
Access Point, Captive Portal, SSL/TLS
16
8
Wireless Access Point További szükséges beállítások: DHCP szerver – A vezetéknélküli kliensek a LAN-on használt DHCP szervertől kaphatnak címeket
Tűzfal beállítás – Lehetőség van a vezetéknélküli kliensekre külön tűzfalszabályokat létrehozni (erről bővebben két hét múlva)
Routing beállítások – A bridge miatt nem kell külön routing beállításokat végezni
Access Point, Captive Portal, SSL/TLS
17
Captive Portal Mi az a Captive Portal? A Captive Portal egy olyan weboldal, amit a felhasználóknak a szabad Internetezés előtt meg kell nézniük, az ott lévő feltételeket el kell fogadniuk, vagy ott azonosítani kell magukat.
Hol használják? – – – –
Kávézók, éttermek Repterek Szállodák Vezetéknélküli (WiFi) Internet szolgáltatók
Access Point, Captive Portal, SSL/TLS
18
9
Captive Portal Miért jobb / más, mint a WPA/WPA2? – Itt a fő cél a felhasználók azonosítása, nem a titkosítás – A felhasználók sokszor nem tudják beállítani a WPA/WPA2-t – Számos esetben a vezetékes hozzáférést is korlátozni kell – Szeretnénk néhány oldalt azonosítás nélkül is engedélyezni – Van olyan eset, amikor nem az azonosítás a cél, hanem az, hogy a felhasználók elfogadják az Internet használat feltételeit - Acceptable Use Policy (AUP)
Access Point, Captive Portal, SSL/TLS
19
Captive Portal Hogy működik? Amíg a felhasználó el nem fogadta a használat feltételeit, vagy nem azonosította magát, addig minden HTTP és HTTPs kérése átirányításra kerül az authentikációs szerverre, a többi forgalma pedig szűrve van (kivéve a whitelist-elt forgalom).
Access Point, Captive Portal, SSL/TLS
20
10
Captive Portal Elméleti megvalósítások: HTTP redirection – – – –
DNS lekérés rendben megtörténik A böngésző küld egy HTTP kérést az adott címre A tűzfal ezt a kérést a Redirect Servernek továbbítja 302-es Status Code-ú üzenet jön a válaszban, ami átirányítja a felhasználót a Captive Portalra – Ez a megoldás teljesen transzparens a felhasználók számára
Access Point, Captive Portal, SSL/TLS
21
Captive Portal Elméleti megvalósítások: IP szintű átirányítás – Az átirányítás Layer 3-ban történik – Cím problémák adódhatnak
DNS alapú átirányítás – DNS poisoning támadás szerű átirányítás – A tűzfal a klienst csak egy megadott DNS szerverhez engedi csatlakozni, ha nem ez a DNS szerver van beállítva, akkor átirányítja oda a kérést – A DNS szerver azonosítatlan felhasználók esetén mindig a Captive Portal IP címét adja válaszul
Access Point, Captive Portal, SSL/TLS
22
11
Captive Portal Mi kell a megvalósításhoz? Internet kapcsolat Bármilyen internetkapcsolat WLAN Access Point pl. Linksys WRT54 GL Hotspot szoftver pl. ChilliSpot Radius Szerver pl. FreeRadius Adatbázis szerver pl. MySQL Webszerver pl. Apache Web Server
Access Point, Captive Portal, SSL/TLS
23
SSL/TLS
SSL Secure Socket Layer
TLS Transport Layer Security
Kriptográfiai protokollok, melyek végponttól végpontig terjedő biztonságos kommunikációt biztosítanak hálózatokon keresztül.
Access Point, Captive Portal, SSL/TLS
24
12
SSL/TLS Hol használják? – – – – – –
Web böngészés (HTTPS) E-mail (SMTPs, IMAPs, POP3s) Instant Messaging VoIP VPN (OpenVPN) Saját fejlesztésű alkalmazások, ahol fontos a biztonság
Access Point, Captive Portal, SSL/TLS
25
SSL/TLS Na most akkor SSL vagy TLS? Ki kivel van? Történelmi áttekintés: 1993. – Secure Network Programming Netscape fejlesztette az SSL-t, 1.0-ás verzió nem került nyílvánosan kibocsátásra 1995. február – SSL 2.0, számos biztonsági hiányosságot tartalmazott, ez vezetett a 3.0-s verzióhoz 1996. SSL 3.0 De hogy lett belőle RFC? Access Point, Captive Portal, SSL/TLS
26
13
SSL/TLS 1999. január – TLS 1.0 – RFC 2246 „…the differences between this protocol and SSL 3.0 are not dramatic, but they are significant enough that TLS 1.0 and SSL 3.0 do not interoperate…„
2006. április – TLS 1.1 – RFC 4346 – CBC támadások elleni védelem
2008. augusztus – TLS 1.2 – RFC 5246
Access Point, Captive Portal, SSL/TLS
27
SSL/TLS Főbb jellemzők, célok (RFC szerint): – TCP felett működik, de van UDP-s változata is Datagram Transport Layer Security (DTLS) – Kriptográfiai biztonság biztosítása – Együttműködés különböző fejlesztők által elkészített programok között, a forráskód ismerete nélkül – Bővíthetőség. Keretrendszert biztosít új algoritmusok használatára – Relatív hatékonyság. A kriptográfiai műveletek nagyon erőforrás igényesek, főleg a publikus kulcsú műveletek, ezért session caching támogatása
Access Point, Captive Portal, SSL/TLS
28
14
SSL/TLS működése 2 rétegből áll a protokoll – TLS Record Layer – TLS Handshake Protocol, Alert Protocol, Change Cipher Spec
TLS Record Layer – „The connection is private” • Szimmetrikus kulcsú titkosítás (AES, RC4) • Kulcs csere másik protokollon • Működhet titkosítás nélkül is
Access Point, Captive Portal, SSL/TLS
29
TLS Record Layer TLS Record Layer – „The connection is reliable” • Az üzenettovábbítás során az üzenetek integritásellenőrzése • MAC generálása az üzenetekhez • Hash függvények használata a MAC generáláshoz (pl SHA-1)
TLS Record Layer-be vannak beágyazva a felsőbb rétegbeli protokollok
Access Point, Captive Portal, SSL/TLS
30
15
TLS Record Layer
Access Point, Captive Portal, SSL/TLS
31
TLS Record Layer
Access Point, Captive Portal, SSL/TLS
32
16
TLS Handshake Protocol Authentikációt, és kulcs cserét biztosít a kommunikáló feleknek A felek megegyeznek az alkalmazott kriptográfiai protokollokról 3 fő tulajdonság – A felek azonosítása aszimmetrikus / Publikus kulcsú algoritmus segítségével történik (RSA / DSA) – A közös osztott titok meghatározása biztonságosan történik (nem lehet lehallgatni, nem lehet Man-in-theMiddle támadást végrehajtani) – A kulcs csere megbízható (nem lehet üzenetet úgy módosítani, hogy a kommunikáló felek azt észre ne vegyék) Access Point, Captive Portal, SSL/TLS
33
Cipher suite Különböző „csomagok” amik tartalmazzák az alkalmazható algoritmusokat Négy fő csoport: Kulcs csere RSA, Diffie-Hellman, ECDH, PSK
Authentikáció RSA, DSA, ECDSA
Folyamtitkosítók RC4, 3DES, AES, DES
MAC HMAC, SHA
Access Point, Captive Portal, SSL/TLS
34
17
TLS kapcsolat felépítése
Access Point, Captive Portal, SSL/TLS
35
18