Sicherheit im WLAN (1E07) Jens-H. Egger Technical Consultant 2005 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Agenda Gefahren und Sicherheitsrisiken im wireless Netzwerk Lösung: Die HP ProCurve 700wl Serie In Verbindung mit dem Access Control Client Zusammenführung von Sicherheit und Mobilität Zentrales Management Sicherheit Mobilität Konvergenz 2 1
Die Gefahren Man in the Middle Abhören Backdoor Passwortdiebstahl Cracking Brute-Force Lexikon 3 Security Vorfälle Security Vorfälle Anzahl 180000 160000 140000 120000 100000 80000 60000 40000 20000 0 1988 1889 1990 1991 1992 1993 1994 1995 1996 Jahr 1997 1998 1999 2000 2001 2002 2003 Quelle Technik News 4 2
Aufgedeckte Schwachstellen Aufgedeckte Schwachstellen Anzahl 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 1995 1996 1997 1998 1999 2000 2001 2002 2003 Jahr Quelle Technik News 5 Herausforderungen im WLAN Unsicherheit bzgl. Integration W LAN nicht gebraucht wenig eigene "Funkkompetenz" Hohe Betriebskosten Analyse der Gebäudestruktur zu viele Standards Konfigurationsprobleme Hohe Gerätekosten Multivendor Interoperabilität Unterstützung von Intranet Roaming wenig Budget Management W arten auf Produktreife Interferenzen/ Performance Sicherheitsbedenken 20 30 47 50 62 67 67 70 80 90 95 108 115 125 Sicherheit ist immer noch der größte Hemmschuh 0 100 200 300 310 Anzahl an Antworten Quelle: WLAN State of the Market Report, J. Wexler and S. Taylor, Network World, February 2004 6 3
Die Lösung: hp Serie 700wl Authentisierung und Autorisierung Wireless Client Mobility Datenschutz Wireless Data Privacy Policy Management 7 Serie 700wl - Varianten Authentication servers HP ProCurve 5300xl Access Control Server 740wl Access Controllers 720wl Access points Wireless notebook Wireless notebook Wireless PDA Wireless notebook 8 4
700 Serie Zentrales Management 720wl 4. Stock 720wl 4. Stock 740wl Secondary (Redundanter ACS) 720wl 3. Stock 720wl 3. Stock 720wl 2. Stock 720wl 2. Stock 740wl Primary ACS 720wl 1st Stock 720wl 1. Stock Gebäude 1 Zentrale Konfiguration, Management und Monitoring aller 700wl Serie Geräte Gebäude 2 9 Skalierbarkeit mit Failover Funktion Skalierbar bis 30Gbps Durchsatz Support von 20,000 Benutzer per Controler Failover Funktion für höchste Hochverfügbarkeit 740wl Redundant Access Control Server 740wl Access Control Server 10 5
Technologievergleich Feature Authentifizierung Verschluesselung (WEP, AES or WPA) Gast Zugang IPSec, L2TP/IPSec, PPtP, SSH inkl. Roaming Zugriffskontrolle basierend auf User+Ort+Zeit Layer 3 Roaming Bandbreiten Management Wireless LAN mit 802.1x (VLAN) 700wl mit 802.1x (zero config) 11 Sicherheit Architektur für sichere Zugangskontrollen HP ProCurve 5300 Serie (ggf. mit PoE) Workstation HP ProCurve 700Serie Access Controler Wireless PC RADIUS server Wireless PDA HP ProCurve Wireless Access Point 420wl Clients/Supplicants Windows XP, 2000, 98 Macintosh OS 10.2 Redhat Linux 802.1x Supplicant Switch/Access Point 802.1X Web/MAC auth. WLAN Access Controler WLAN Security Wireless Roaming Policybasierendes WLAN. Authentication server Microsoft IAS Free RADIUS Database LDAP Active directory Flat file 12 6
Bandbreitenmanagement für Gäste Bandbreitenmanagment pro Benutzer/Gruppe/Policy Bisher: Wer? darf Was?, Wann? und Wo? und Wie lange? Jetzt auch noch Wie viel? Access Policy Allowed Traffic Filter Redirected Traffic Filter Linger timer/timeouts HTTP Proxy NAT/IP address restric. Encryption settings Bandwidth restrictions 13 Bandbreitenmanagement Beispiel 14 7
Existierendes Netzwerk mit mehreren HP 720wl Access Controllern 740wl: Rechteverwaltung 720wl Verbindung zu AP und Clients Authentication Server: RADIUS LDAP Kerberos Active Directory Access Control Server 740wl Serie 5300xl Switch Serie 9300m Routing Switch Firewall Internet Serie 5300xl Switch Access Controller 720wl Access Controller 720wl RPS Series 2650-PWR und 2626-PWR Switche Wireless Access Point 420s Wireless Access Point 420s Wireless Access Point 520wl Wireless Access Point 420 15 Modifiziertes Netzwerk unter Verwendung des neuen Access Controller xl Moduls Das Access Controller xl Modul hat keine eigenen Ethernet- Ports. Es benutzt die vorhandenen, zugewiesenen Ports anderer Module. Access Controller xl Module Authentication servers: RADIUS LDAP Kerberos Active Directory Access Control Server 740wl Serie 5300xl Switch Serie 5300xl Switch Serie 9300m Routing Switch uplink network ports Firewall Internet Access Controller xl Module downlink client ports RPS downlink client port Serie 2650-PWR und 2626-PWR Switche Wireless Access Point 420s Wireless Access Point 420s Wireless Access Point 520wl Wireless Access Point 420 16 8
Access Controller xl Module Überblick Ermöglicht die sichere Verbindung mobiler User auf den Switch 5300xl am Edge des Netzwerkes Modulare Technologie, die Verbindung zwischen Wireless und kabelgebundenen Usern. Die Features der 700wl Serie nun auch im 5300xl Single slot Modul für die 5300xl Serie Maximal zwei Module pro Switch Zentrales Management wie bisher über den 740wl oder 760wl. J8162A 17 Front Panel Buttons und LEDs Module Fault LED Shutdown Module Button Reset Button Locate Accessible Ports button Activity LED - Transmission - Overall system load ranges Module Ready LED 18 9
Alle Module der Serie 5300xl ProCurve 24 10/100 PoE xl Module 19 Gemeinsame Features des Access Controller xl Moduls und des Access Controllers 720wl Identity basiertes Policy Management Basierend auf User, Lokation und Zeit Authentifizierungs-Methoden LDAP, RADIUS, Kerberos, Active Directory Windows logon, SSL browser, 802.1X, built-in DB 802.1Q VLAN Traffic Filter Proxy Umleitung VPN Tunnel Termination MAC-Adress Spoofing Schutz IPSec, L2TP+IPSec, PPTP, SSH Detailiertes Session logging Verschlüsselung Verschlüsselte Kommunikation zwischen (AES), Blowfish,CAST, DES, 3DES 720wl und 740wl/760wl Layer 3 roaming Browser-basiertes Management Interface 20 10
Access Controller xl Module Hardware Flash VPN Accelerator (unter dem Flash) Lithium 3V (CR 2032) 256 MB RAM AMD Athlon Mobile 2200 Processor Switch Fabric VPN Accelerator auf dem Unterdeck Flash auf dem Oberdeck Low-insertion-force Backplane Verbindung 21 Konfigurations Überblick Konfiguration des 5300xl Switches und der Ports Konfiguration des xl-moduls Konfiguration des 740wl/760wl 22 11
Konfiguration - Überblick: xl Modul Modulcheck Switch_01(config)# show modules Status and Counters Module Information Slot Module Description Serial Number ----- ------------------------------------ -------------- A HP J4802A XL 10/100-TX Module SG401KZ0G1 B HP J8162A XL Access Control Module SG449NS119 Beispiel eines Access Controller extended context Befehls Switch_01(config)# access-controller b Switch_01(access-controller-B)# enable extended Switch_01(access-controller-B-ext)# show version Version Build Date Install Date ------- -------------------- -------------------- Active: 4.1.3.79 hp Jan 5 01:09:49 2005 Feb 16 15:57:20 2005 Alt: 4.1.3.79 hp Jan 5 01:09:49 2005 Feb 16 16:05:09 2005 same 23 Standard Setup Switch_01(config)# access-controller b Switch_01(access-controller-B)# ip address 10.1.10.21/24 Switch_01(access-controller-B)# ip default-gateway 10.1.10.1 Switch_01(access-controller-B)# access-control-server ip 10.10.1.20 secret 77340h 77340h Typische Setup Befehle beim xl-modul, die Idee ist nicht anders als beim 720wl. 24 12
Edge Topologie Beispiel 5300xl mit ACM 5300xl mit ACM ACS 740wl ACM Uplinks downlink client ports downlink client ports Bis zu 24 APs Bis zu 24 APs 5300xl mit ACM Downlink client ports Bis zu 24 APs 25 Downlink Beispiel uuuups - inkl. VLANs 5300xl mit ACS 740wl ACM VLAN 2004, 2005 tagged BDP VLAN 10 untagged C1, BUP VLAN 2002, 2003 tagged BDP VLAN 2000, 2001 tagged 2650-PWR VLAN 2000, 2001 tagged BDP VLAN 2002, 2003 tagged VLAN 2004, 2005 tagged 2650-PWR VLAN 2002 untagged VLAN 2003 untagged 2626-PWR VLAN 2000 untagged VLAN 2001 untagged VLAN 2004 untagged VLAN 2005 untagged VLAN 50 untagged 26 13
HP ProCurve Access Control Client 2005 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Features des Clients Was macht dieser Client Implementation der Client-Seite von 802.1X Port basierendes Netzwerk Zugangs Protokoll Die Verbindung zum Netzwerk wird überwacht und authentifiziert Unterstützt Wireless LAN (802.11) und Ethernet (802.3) Feature Highlight Voll ProCurve kompatibel mit allen managebaren Switchen und den AccessPoints 28 14
Das Frontend des Clients 29 Features des Clients Feature Highlights Unterstützung des Extensible Authentication Protocols (EAP) Unterstützte Authentifizierungsmethoden CHAP/MD5 TLS TLLS PEAP Versionen 0 & 1 Kompatibel mit vielen Authentifizierungsservern Automatisches Profiling Zentrales Rollout-Tool 30 15
Features of the Win 2K/XP Client Feature Highlights Unterstützt Windows Single Sign-On Unterstützt Novell Client und Windows GINA Umfangreichere Benutzerabfragen, da just-in-time prompting Unterstützung mehrerer Authentifizierungszeiten Beim Booten Beim Logon (pre-desktop) Auf dem Desktop (post-logon) 31 Zusammenfassung Die Themen WLAN und Sicherheit gehören kategorisch zusammen. HP bietet mit der 700wl Serie die perfekte, auf Standards basierende Lösung. Zukunftsweisende Technologie im Sinne der Adaptive EDGE Architecture Intelligenz und Kontrolle to the EDGE Command from the Center Identitätsbezogenes Verhalten innerhalb des LAN und WLAN 32 16
The ProCurve Networking Adaptive EDGE Architecture TM makes your future applications possible. www.hp.com/go/procurve 33 34 17