Durchgängige WLAN Security mit Zentralem Management Markus Kohlmeier DTS Systeme GmbH
Agenda Sicherheitsrisiko WLAN Management Strategien Produktvorstellung
Sicherheitsrisiko WLAN? Grenzenlos WLAN Signale werden über das Medium Luft übertragen und sind räumlich schwer einzugrenzen. Eine Verfügbarkeit des Signals auch außerhalb des benötigten Raumes ist möglich. Erst hierdurch entsteht eine Möglichkeit für Fremde unautorisiert zu zugreifen. Unerwünschte WLAN Netze Nicht selten kommt es vor, dass in Unternehmen private WLAN Netze durch eigene Mitarbeiter betrieben werden. Konfiguration und Sicherheitseinstellungen sind je nach Know How des Betreibers schlecht bis mäßig. Auch sogenannte ad hoc Verbindungen können unerwünscht sein.
Sicherheitsrisiko WLAN? Verschlüsselung WEP = Wired Equivalent Privacy Ist der ehemalige Standard-Verschlüsselungsalgorythmus für WLAN. Er soll sowohl den Zugang zum Netz regeln, als auch die Vertraulichkeit und Integrität der Daten sicherstellen. Aufgrund verschiedener Schwachstellen wird das Verfahren als unsicher angesehen. Wenige Minuten reichen aus um genügend Datenmengen mitzuschneiden. Anschließend können diese Daten in sehr kurzer Zeit analysiert und der Schlüssel berechnet werden.
Verschlüsselung WPA = Wi-Fi Protected Access Nachfolger des WEP Verfahrens Sicherheitsrisiko WLAN? Nachdem sich WEP des IEEE-Standards 802.11 als unsicher erwiesen hatte und sich die Verabschiedung des neuen Sicherheitsstandards IEEE 802.11i verzögerte, wurde durch die Wi-Fi Alliance ein Teil des IEEE 802.11i Standards vorweggenommen und unter dem Begriff WPA als Pseudostandard etabliert. WPA nutzt das selbe Verschlüsselungsverfahren wie WEP. Allerdings wurde die Authentifizierung verbessert und um Funktionen wie dynamische Schlüssel und Radius Authentifizierung ergänzt.
Sicherheitsrisiko WLAN? Verschlüsselung WPA2 = Wi-Fi Protected Access 2 Endgültiger IEEE 802.11i Standard Verschlüsselung beruht auf dem AES Verschlüsselungsstandard und nicht mehr dem Stromchiffre RC4 Verfahren wie bei WEP und WPA Ältere Hardware kann durch Softwareupdates den WPA Standard nutzen. Dies gilt aber nicht für WPA2. Gefahren beim WPA und WPA2 Verfahren Durch den Einsatz eines Pre Shared Keys besteht theoretisch immer die Möglichkeit eines Einbruchs. Der Angreifer fängt einen gültigen Handshake ab, oder erzwingt diesen. Dem Angreifer stehen dann zwei Methoden zur Verfügung: o o Brute Force Methode (für Leute mit etwas Zeit) Rainbow Attack (für eilige, aber nur unter bestimmten Bedingungen)
Grundsätzliche Sicherheitsmaßnahmen Standard-Kennwörter ändern Sicherheitsrisiko WLAN? Beim Einsatz von pre Shared Keys sollten möglichst komplexe Kennwörter mit Sonderzeichen und Zahlen und der maximalen Schlüsselänge von 63 Zeichen genutzt werden Ändern der default SSID die keine Rückschlüsse auf eingesetzte Hardware oder Ähnliches zulässt Einschränken des Signals auf den ausschließlich benötigten Bereich Regelmässiges Update der Firmware der Access Points Physikalische Trennung des WLAN Netzes und des kabelgebundenen Netzes und gegenseitige Abschottung durch eine Firewall Es ist kein Schutz nur bestimmte MAC Adressen zu erlauben!
Management Strategien Zentrales Management mit Thin Access Point
Management Strategien Zentrales Management mit Fat Access Point
Vorteile Zentrales Management mit Fat Access Point Hohe Bandbreite durch den neuen IEEE 802.11n Standard. Durch das MIMO Verfahren (Multiple Input Multiple Output) können bis zu 600 MBit erreicht werden 802.1x Authentifizierung per Radius oder Microsoft AD Adaptive Edge Architektur (AEA) setzt die Richtlinien direkt am Eintrittspunkt (Acces Point) um Zentrales Auto Discovery und Update der Access Points QoS, VLANs oder Sicherheitseinstellungen per o Benutzer (Mitarbeiter) o Gruppen (Gäste) o Endgeräte (Telefone) o Anwendungen (Video) WLAN IDP/IDS Sicherheitsfunktionen wie: o Erkennen der HF Ausdehnung o Erkennen und deaktivieren von fremden Access Points o Entdecken von Angriffen o Lokalisieren von Endgeräten Zentraler Gastzugang für Wireless und kabelgebundene Gäste Management Strategien
Gastzugang HP ProCurve Produkte
Controller MSM 710 Managed bis zu 10 802.11a/b/g/n Access Points Maximal 100 Gleichzeitige Gäste MSM 730 Managed bis zu 40 802.11a/b/g/n Access Points Maximal 200 Gleichzeitige Gäste MSM 750 Managed bis zu 200 802.11a/b/g/n Access Points Maximal 2000 Gleichzeitige Gäste MSM 760 NEU! HP ProCurve Produkte Managed 40 Access Points und ist in 40er Schritten erweiterbar auf bis zu 200 Access Points
HP ProCurve Produkte MSM Access Points Alle Access Point können per POE betrieben werden
Vielen Dank für Ihre Aufmerksamkeit! DTS Systeme GmbH Schrewestraße 2 32051 Herford