Prof. Dr. Strack Hochschule Harz, Wernigerode Hinweis: Stimmen Sie sich bei der Versuchsdurchführung jeweils hinsichtlich auszuwählender Teilbereiche und Teiltests im Vorfeld mit der Laborbetreuung ab. Untersuchen und identifizieren Sie grundsätzlich relevante Teilbereiche zugeordneten Protokollscans (aus der Versuchspraxis) im Verhältnis zu den relevanten Protokollspezifikationen (aus der Theorie). Anleitung zum WLAN-Laborversuch (Teil 2) Versuchsziele Ziel dieses Laborversuches ist das Vertiefen der Kenntnisse zur Absicherung von Funknetzwerken. Aufbauend auf dem WLAN-Laborversuch Teil1 wird ein Virtuelles Privates Netzwerk (VPN) konfiguriert, um Schwachstellen der WEP-Verschlüsslung entgegenzuwirken und die Sicherheit zu verbessern. Beispielhaft setzen wir den VPN-Client und VPN-Concentrator von Cisco ein. Versuchsvorbereitung Informieren Sie sich vorbereitend über die Grundlagen von Virtuellen Privaten Netzwerken (VPN), u.a. anhand der Vorlesungs- und Labor-Unterlagen. Interessierte finden weiterführende Informationen u.a. zu Konfigurationen in der Anleitung Ausschnitt-Anleitung-VPN-Teil-2 von Herrn Kußmann. Versuchsdurchführung Vorbereitende Tätigkeiten Die bisher kennengelernten Sicherheitssysteme für Funknetzwerke haben grundlegende Probleme. Entweder sind diese wie im Fall von WEP-Verschlüsselung nachweislich mit gravierenden Schwachstellen behaftet oder es handelt sich um spezifische Erweiterungen, welche nur mit der Hardware eines bestimmten Herstellers funktionieren. Weitere Ansätze, die Kommunikation von Funknetzwerken abzusichern, ergeben sich über Virtuelle Private Netzwerke (VPN), darunter VPN auf IP-Basis (IPSEC-Standard). Dabei wird die Kommunikation auf IP-Ebene auf Basis von verschiedenen Krypto- und Sicherheitsprotokollen gesichert (u.a. AH, ESP). Auch stehen Möglichkeiten der Benutzer/Maschinen-Authentisierung zur Verfügung, was gerade in großen Netzwerken die Verwaltung erheblich vereinfacht. Aufgrund der im Labor vorhandenen Hardware, werden hier ausschließlich Tunnelsysteme für die Absicherung der Kommunikation behandelt. Die hier untersuchten Systemarchitekturen bieten Unterstützungen für eine sichere Kommunikation, lassen jedoch einige Aspekte unberücksichtig.
IP-Adresse des Client Während des Versuches ist die Konfiguration des TCP/IP-Protokolls mit verschiedenen IP- Adressen/Subnetzen erforderlich. Hierzu gilt folgende Konvention: IP-Bereiche Subnetze 172.16.1.* 255.255.255.0 172.16.2.* 255.255.255.0 Tabelle 1: IP-Bereiche/Subnetze der Laborversuche Das IP-Oktet, welches durch einen Stern * gekennzeichnet ist, ersetzten Sie bitte durch die netlabpcx-x welche auf ihrem Monitor zu finden ist. Beispiel: Ihr Monitor ist mit netlabpc2-1 gekennzeichnet. Ihre IP-Adresse lautet: 172.16.1. 21 oder 172.16.2.21 (je nach Versuch) In dem aktuellen Versuch, konfigurieren Sie bitte das 172.16.2.*/255.255.255.0 Subnetz mit ihrem entsprechenden Oktet. Funkprofil Im "Aironet Client Utility" wird das Profil "im_a_broadcast_ssid" aktiviert. Bitte Kontrollieren Sie, ob Sie die IP-Adressse des VPN-Concentrators "172.16.2.254" von ihrem Rechner mittels "Ping"-Befehl erreichen. VPN-Gruppe Für Ihre VPN-Gruppe verwenden Sie bitte die <netlabpc-nr.> welche auf ihrem Monitor zu finden ist. Beispiel: Ihr Monitor ist mit netlabpc2-1 gekennzeichnet. Ihre VPN-Gruppe lautet: "netlabpc2-1".
Konfiguration eines End2Site-VPN Um sich mit der Bedienung des VPN-Clienten vertraut zu machen, konfigurieren Sie sich bitte als Teilnehmer des folgenden VPN-Szenarios. Abbildung 1: Symbolabbildung eines Infrastruktur- Netzwerkes mit VPN-Concentrator Aufgabe 1: Welche Vorteile bietet diese Implementierung gegenüber einer herkömmlich mit WEP gesicherten Verbindung? Welche Alternativen zu WEP kennen Sie außerdem noch (mit Bewertung)? Starten Sie das Softwaretool Cisco-VPN-Client über Start -> Cisco Systems VPN Client -> VPN Client. Abbildung 2: Screenshot des Cisco-VPN-Clienten 4.0.1 Legen Sie dort mittels new ein neues VPN-Profil an. Der VPN-Host, ist die public-site des VPN-Concentrators mit der IP-Adresse 172.16.2.254. Aktivieren Sie Group Authentication und verwenden Sie für den Namen und das Password Ihre
<netlabpc-nr.>. Abbildung 3: Neues VPN-Profil Unter Status/Statistics finden Sie eine Übersicht der aktuellen VPN-Einstellungen. Abbildung 4: Statusinformationen zum VPN-Tunnel Aufgabe 2: Notieren Authentisierungs- und Verschlüsselungsalgorithmen Der Konfigurationszugang Die soeben erstellte VPN-Verbindung, wird in den folgenden Versuchen modifiziert. Leider erlauben es die Sicherheitsrichtlinien nicht, eine VPN-Verbindung (im Beispiel: netlabpc1-1) über den der Zugriff auf den VPN-Concentrator erfolgt, zu manipulieren.
Aus diesem Grund legen Sie bitte eine weitere Gruppe. Abbildung 5: Fehlermeldung bei Modifikation der aktuellen VPN- Verbindung Connection Entry Host Name Group Authentication Password NETLAB 172.16.2.254 NETLAB NETLAB Tabelle 2: VPN-Konfigurationsprofil "NETLAB" Trennen Sie die VPN-Verbindung <netlabpc-nr.> und verbinden Sie sich mit der VPN-Verbindung <NETLAB>. Das <netlabpc-nr.>-vpn-profil Nach erfolgter Verbindung mit dem <NETLAB>-VPN-Profil, rufen Sie die private-site des VPN- Concentrators mit Ihrem Browser auf (https://172.16.1.254). Verwenden sie als Login vpnadmin und als Password ebenfalls vpnadmin. Abbildung 6: Startseite des 3000'er Concentrator Unter Configuration / User Management / Groups finden Sie Ihr <ntlabpc-nr.>-vpn-profil. Mittels Modify Group gelangen Sie zu der Konfiguration Ihres VPN-Profils.
Abbildung 7: Configuration / User Management / Groups des Concentrators Machen Sie sich mit den Konfigurationsmöglichkeiten in Ihrem <netlabpc-nr.>-vpn-profil vertraut. IPSec-SA des <netlabpc-nr.>-vpn-profil Ändern Sie in Ihrem <netlabpc-nr.>-vpn-profil unter Configuration / User Management Groups / <netlabpc-nr.> Ihre IPSec-SA auf ESP-AES128-SHA. Speichern Sie Ihre Änderung, loggen sich aus dem Konfigurationsmenü des Concentrators aus und trennen Ihre aktuelle VPN-Verbindung. Bauen Sie mittels Ihres <netlabpc-nr.>-vpn-profils eine VPN-Verbindung auf betrachten Status/Statistics im VPN-Clienten bezgl. des Eintrages Crypto. Aufgabe 3: Notieren Sie die hier konfigurierten Authentisierungs- und Verschlüsselungsalgorithmen und vergleichen Sie die Konfig. mit der aus Aufgabe 2. Welche Authentisierungs- und Verschlüsselungsalgorithmen sollten für Szenarien-Kontexte mit verschiedenen Sicherheitsanforderungen/Zielen und verschiedenen Wirksamkeitsanfoderungen gewählt werden? Begründen Sie.
XAUTH des <netlabpc-nr.>-vpn-profil Trennen Sie die VPN-Verbindung <netlabpc-nr.> und verbinden Sie sich mit der VPN-Verbindung <NETLAB>. Rufen Sie die private-site des VPN-Concentrators mit Ihrem Browser auf (https://172.16.1.254). Verwenden sie als Login vpnadmin und als Password ebenfalls vpnadmin. Ändern Sie in Ihrem <netlabpc-nr.>-vpn-profil in den IPSec-Einstellungen den Authentication Typ auf Internal. Der interne Radiusserver wurde bereits im Vorfeld unter Configuration / User Management / Groups - Authentication Server an das <netlabpc-nr.>-vpn-profil gebunden. Abbildung 8: XAUTH-Konfiguration eines <netlabpc-nr.>-vpn-profil Speichern Sie Ihre Änderung, loggen sich aus dem Konfigurationsmenü des Concentrators aus und trennen Ihre aktuelle VPN-Verbindung. Bauen Sie mittels Ihres <netlabpc-nr.>-vpn-profils eine VPN-Verbindung auf. Username: testuser / Password: testuser Abbildung 9: Eingabefeld Benutzername bei XAUTH Aufgabe 4: Welchen Vorteil bietet die Xauth-Methode benutzerbezogen gegenüber der Gruppenauthentisierung in Aufgabe 2. Begründen Sie.
Aufgabe 5: Durch die Laborbetreuung werden Ihnen gescannte Protokollmitschnitte der durchgeführten Teilversuche zur Verfügung gestellt. Identifizieren Sie relevante Subphasen der betreffenden Protokoll-Scans und ordnen Sie diesen den entsprechenden Teilen der Protokollspezifikationen zu. Vergleichen Sie die in den Protokollmitschnitten vorhandenen Werte für die Security Assoziation (SA) sowie die dort gelisteten Verschlüsselungs- und Authentisierungs- Algorithmen mit den Konfigurationen aus den einzelnen Teilaufgaben (Aufgabe 2,3,4) und ordnen Sie geeignet zu. In Vergleich zu dem ebenfalls betrachteten LEAP-Protokoll ist der entsprechende IPSec- Xauth-Protokollmitschnitt hinsichtlich der verwendeten Xauth-Benutzerkennungen zu untersuchen. Welchen Mehrwert an Sicherheit bietet die verwendete Methode in IPSEC gegenüber LEAP.