Post on 15-Jan-2016
description
Projekt sieci WLAN w standardzie 802.11b
udostępniającej połączenie z siecią Internet
w oparciu o protokół IPSec
Wykonał: Bartosz ZielskiPromotor: mgr Wiesław Pyzik
• Komputer jako jednostka w XXI wieku;
• Sieci radiowe to dobra alternatywa dla LAN;
• Mobilność, estetyka, niskie koszty;
• Zagrożenia, jakie stwarza korzystanie z sygnału radiowego.
WSTĘP
• Skonfigurowanie prostej sieci WLAN 802.11b w oparciu o
protokół WEP połączonej z Internetem poprzez bramę (NAT);
• Silniejsze zabezpieczenie połączeń radiowych przy
wykorzystaniu implementacji protokołów wyższych warstw
modelu OSI:
– Uwierzytelnienie hostów za pomocą protokołu 802.1x;
– Skonfigurowanie tunelu IPSec między hostami a bramą.
CELE
SCHEMAT
SIECI RADIOWE WLAN Topologie
• BSS – tryb infrastrukturalny
– Oparty o centralny punkt dostępowy i stacje klientów;
– Sieć identyfikowana jest poprzez identyfikator SSID;
– Po pomyślnym powiązaniu ze stacją kliencką punkt dostępowy pełni
rolę pośrednika w komunikacji z resztą sieci.
• Pozostałe topologie
– IBSS (ad hoc),
– ESS.
SIECI RADIOWE WLAN Standardy
• Cechy IEEE 802.11b
– Działa w zakresie 2,4 GHz na 11 kanałach w modulacji DSSS;
– Maksymalna transmisja to 11Mb/s, jednak rzeczywista tylko 6 Mb/s;
– Podatny na zakłócenia z powodu dużego zagęszczenia urządzeń
radiowych działających w tych samych częstotliwościach;
– Duża dostępność kompatybilnych urządzeń.
• Pozostałe standardy 802.11
– IEEE 802.11a,
– IEEE 802.11g,
– IEEE 802.11n.
SIECI RADIOWE WLAN Bezpieczeństwo
• Cechy WEP
– Protokół szyfrowania, którego zadaniem jest zapewnienie poufności
i integralności danych oraz ochrona przed dostępem do
infrastruktury sieci;
– Wykorzystuje mechanizm klucza wspólnego (o długości 40 i 104
bitów) z symetrycznym szyfrem RC4;
– Słabości: błędna implementacja wektora inicjalizacyjnego, brak
zarządzania kluczami;
• Pozostałe zabezpieczenia
– WPA – technologie: TKIP, 802.1x/EAP, PSK;
– IEEE 802.11i/WPA2 – WPA + AES.
SIECI RADIOWE WLAN Symulacja włamania
• Przygotowania
– Sieć WLAN: komputer PC, Punkt Dostępu (NAT, DHCP, WEP,
ukrywanie ESSID, filtrowanie MAC);
– Intruz: Laptop z kartą sieciową (hermes II), oprogramowanie:
Auditor, aircrack (airodump, aireplay, aircrack ),Ethereal;
• Cele
– Wykrycie ESSID;
– Złamanie klucza WEP;
– Ominięcie filtrownia adresów MAC.
SIECI RADIOWE WLAN Symulacja włamania
• Zbieranie wektorów IV– #iwconfig wlan0 mode monitor– #airodump wlan0 wektory 0
SIECI RADIOWE WLAN Symulacja włamania
• Wykrycie ESSID– #aireplay -0 10 -a 00:16:B6:1D:A7:16 wlan0 (druga konsola)
SIECI RADIOWE WLAN Symulacja włamania
• Wprowadzenie sztucznego ruchu– #aireplay -1 20 -e kaczogrodA.D.2006 -a 00:16:B6:1D:A7:16 -h
00:30:4F:2A:14:55 wlan0– #aireplay -3 -b 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 -x 700
wlan0
SIECI RADIOWE WLAN Symulacja włamania
• Łamanie klucza WEP– #aircrack -0 wektory.ivs
SIECI RADIOWE WLAN Symulacja włamania
SIECI RADIOWE WLAN Symulacja włamania
WIRTUALNE SIECI PRYWATNE VPN
• Używają publicznej infrastruktury telekomunikacyjnej w celu
udostępnienia zdalnym biurom lub też pojedynczym użytkownikom
bezpiecznego dostępu do firmowej sieci komputerowej.
• Typy
– Site-Site, Client-Site.
• Architektury
– Intranet VPN, Remote Access, Extranet.
• Protokoły
– IPSec, SSL, L2TP, SSH.
WIRTUALNE SIECI PRYWATNE VPN
• Schemat sieci typu Client-Site o architekturze Remote Access.
WIRTUALNE SIECI PRYWATNE VPN Bezpieczeństwo
• Poufność danych – zabezpieczenie danych przed ich przeczytaniem
lub skopiowaniem przez nieupoważnione osoby;
• Integralność danych – zagwarantowanie poprawności
i nienaruszalności przesyłanych danych;
• Uwierzytelnienie źródła danych – uwierzytelnienie przez odbiorcę
źródła przesyłanych pakietów;
• Niezaprzeczalność – zweryfikowanie czy nadawca i odbiorca są tymi
stronami, które wysyłały i odbierały wiadomości;• Techniki zabezpieczeń
– Szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana,
funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji.
WIRTUALNE SIECI PRYWATNE VPN Protokół IPSec
• Ochrona danych realizowana jest na poziomie warstwy 3 modelu OSI;
• Ochrona polega na zabezpieczeniu datagramu IP i dodaniu do niego
nagłówków ESP lub AH;
– Protokół ochrony ESP – szyfruje i częściowo uwierzytelnia dane;
– Protokół ochrony AH – tylko uwierzytelnia.
• Tryby funkcjonowania
– Transportowy (Transport Mode) – pozostają oryginalne nagłówki
datagramu IP;
– Tunelowania (Tunel Mode) – dodany zostaje nowy nagłówek IP.
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec
• Ustalane są związki bezpieczeństwa SA za pomocą protokołu IKE
– Zastosowany protokół, algorytmy i klucze kryptograficzne.
• Proces ustalania SA Faza 1 (negocjacja IKE SA) – zestawienie
bezpiecznego kanału komunikacji do prowadzenia dalszych negocjacji;
– Tryby: Main Mode, Aggressive Mode;
– Uwierzytelnienie: Pre-Shared Secret, certyfikaty cyfrowe X.509, XAUTH.
• Proces ustalania SA Faza 2 (negocjacja IPSec SA) – uzgodnienie SA
do zabezpieczenia transmisji danych.
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec
• Faza 1 IKE – Main Mode
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec
• Faza 2 IKE
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Schemat
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer BRAMA.dyplom.bz
• Centralne urządzenie w sieci udostępniające trzy podstawowe usługi:
– Dostęp do Internetu dla użytkowników sieci lokalnej;
– Serwer DHCP udostępniający podstawowe parametry
konfiguracyjne sieci;
– Bramka VPN umożliwiająca użytkownikom zestawienie
szyfrowanych połączeń.
• Oprogramowanie
– OS: FreeBSD 5.4;
– Usługi: IPFIREWALL, NATD, ISCDHCP3, IPSec, racoon (ipsec-tool).
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer CA.dyplom.bz
• Serwer uwierzytelnienia udostępniający usługi:
– Uwierzytelnienia użytkowników przy użyciu protokołu RADIUS;
– Urzędu certyfikacji w oparciu o OpenSSL.
• Oprogramowanie
– OS: FreeBSD 6.0;
– Usługi: FreeRADIUS, OpenSSL.
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Punkt dostępu AP.dyplom.bz
• Rolą punktu dostępu jest zabezpieczenie połączeń szyfrowaniem WEP
oraz kontrola dostępu do medium radiowego:
– Szyfrowanie WEP 128 bitów;
– Filtrowanie adresów MAC kart sieciowych użytkowników;
– Uwierzytelnienie RADIUS.
• Produkt firmy LINKSYS model WRT54G v.5 zarządzany przez stronę
WWW.
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Komputer PC WINUSER1.dyplom.bz
• Funkcją komputera użytkownika jest prawidłowe uwierzytelnienie
i zestawienie szyfrowanego tunelu z BRAMĄ.
– Instalacja certyfikatów;
– Konfiguracja uwierzytelnienia 802.1x;
– Utworzenie reguł bezpieczeństwa IPSec.
• Oprogramowanie
– OS: MS Windows XP SP2;
– Usługi: standardowe i wbudowane rozszerzenia systemowe (802.1x
i IPSec).
ZESTAWIENIE POŁĄCZEŃ – Etap 1
ZESTAWIENIE POŁĄCZEŃ Etap 1
ZESTAWIENIE POŁĄCZEŃ – Etap 2
ZESTAWIENIE POŁĄCZEŃ Etap 2
• W pierwszym etapie użytkownik został wstępnie uwierzytelniony
i podłączony do sieci radiowej, kolejnym krokiem jest zestawienie
szyfrowanego tunelu ESP z serwerem BRAMA.
• Poprzez użycie dodatkowych mechanizmów bezpieczeństwa zostało
wyeliminowane ryzyko wynikające z użycia WEP;
• Zastosowane zabezpieczenia obejmują dwie warstwy modelu OSI,
przez co są od siebie niezależne;
• W przypadku złamania klucza WEP przechwycone pakiety dalej są
szyfrowane;
• Podłączenie do punktu dostępu wymaga uwierzytelnienia za pomocą
certyfikatu;
• FIREWALL na serwerze BRAMA zabezpiecza sieć od strony Internetu.
WNIOSKI