Projekt sieci WLAN w standardzie 802.11b

udostępniającej połączenie z siecią Internet

w oparciu o protokół IPSec

Wykonał: Bartosz ZielskiPromotor: mgr Wiesław Pyzik

• Komputer jako jednostka w XXI wieku;

• Sieci radiowe to dobra alternatywa dla LAN;

• Mobilność, estetyka, niskie koszty;

• Zagrożenia, jakie stwarza korzystanie z sygnału radiowego.

WSTĘP

• Skonfigurowanie prostej sieci WLAN 802.11b w oparciu o

protokół WEP połączonej z Internetem poprzez bramę (NAT);

• Silniejsze zabezpieczenie połączeń radiowych przy

wykorzystaniu implementacji protokołów wyższych warstw

modelu OSI:

– Uwierzytelnienie hostów za pomocą protokołu 802.1x;

– Skonfigurowanie tunelu IPSec między hostami a bramą.

CELE

SCHEMAT

SIECI RADIOWE WLAN Topologie

• BSS – tryb infrastrukturalny

– Oparty o centralny punkt dostępowy i stacje klientów;

– Sieć identyfikowana jest poprzez identyfikator SSID;

– Po pomyślnym powiązaniu ze stacją kliencką punkt dostępowy pełni

rolę pośrednika w komunikacji z resztą sieci.

• Pozostałe topologie

– IBSS (ad hoc),

– ESS.

SIECI RADIOWE WLAN Standardy

• Cechy IEEE 802.11b

– Działa w zakresie 2,4 GHz na 11 kanałach w modulacji DSSS;

– Maksymalna transmisja to 11Mb/s, jednak rzeczywista tylko 6 Mb/s;

– Podatny na zakłócenia z powodu dużego zagęszczenia urządzeń

radiowych działających w tych samych częstotliwościach;

– Duża dostępność kompatybilnych urządzeń.

• Pozostałe standardy 802.11

– IEEE 802.11a,

– IEEE 802.11g,

– IEEE 802.11n.

SIECI RADIOWE WLAN Bezpieczeństwo

• Cechy WEP

– Protokół szyfrowania, którego zadaniem jest zapewnienie poufności

i integralności danych oraz ochrona przed dostępem do

infrastruktury sieci;

– Wykorzystuje mechanizm klucza wspólnego (o długości 40 i 104

bitów) z symetrycznym szyfrem RC4;

– Słabości: błędna implementacja wektora inicjalizacyjnego, brak

zarządzania kluczami;

• Pozostałe zabezpieczenia

– WPA – technologie: TKIP, 802.1x/EAP, PSK;

– IEEE 802.11i/WPA2 – WPA + AES.

SIECI RADIOWE WLAN Symulacja włamania

• Przygotowania

– Sieć WLAN: komputer PC, Punkt Dostępu (NAT, DHCP, WEP,

ukrywanie ESSID, filtrowanie MAC);

– Intruz: Laptop z kartą sieciową (hermes II), oprogramowanie:

Auditor, aircrack (airodump, aireplay, aircrack ),Ethereal;

• Cele

– Wykrycie ESSID;

– Złamanie klucza WEP;

– Ominięcie filtrownia adresów MAC.

SIECI RADIOWE WLAN Symulacja włamania

• Zbieranie wektorów IV– #iwconfig wlan0 mode monitor– #airodump wlan0 wektory 0

SIECI RADIOWE WLAN Symulacja włamania

• Wykrycie ESSID– #aireplay -0 10 -a 00:16:B6:1D:A7:16 wlan0 (druga konsola)

SIECI RADIOWE WLAN Symulacja włamania

• Wprowadzenie sztucznego ruchu– #aireplay -1 20 -e kaczogrodA.D.2006 -a 00:16:B6:1D:A7:16 -h

00:30:4F:2A:14:55 wlan0– #aireplay -3 -b 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 -x 700

wlan0

SIECI RADIOWE WLAN Symulacja włamania

• Łamanie klucza WEP– #aircrack -0 wektory.ivs

SIECI RADIOWE WLAN Symulacja włamania

SIECI RADIOWE WLAN Symulacja włamania

WIRTUALNE SIECI PRYWATNE VPN

• Używają publicznej infrastruktury telekomunikacyjnej w celu

udostępnienia zdalnym biurom lub też pojedynczym użytkownikom

bezpiecznego dostępu do firmowej sieci komputerowej.

• Typy

– Site-Site, Client-Site.

• Architektury

– Intranet VPN, Remote Access, Extranet.

• Protokoły

– IPSec, SSL, L2TP, SSH.

WIRTUALNE SIECI PRYWATNE VPN

• Schemat sieci typu Client-Site o architekturze Remote Access.

WIRTUALNE SIECI PRYWATNE VPN Bezpieczeństwo

• Poufność danych – zabezpieczenie danych przed ich przeczytaniem

lub skopiowaniem przez nieupoważnione osoby;

• Integralność danych – zagwarantowanie poprawności

i nienaruszalności przesyłanych danych;

• Uwierzytelnienie źródła danych – uwierzytelnienie przez odbiorcę

źródła przesyłanych pakietów;

• Niezaprzeczalność – zweryfikowanie czy nadawca i odbiorca są tymi

stronami, które wysyłały i odbierały wiadomości;• Techniki zabezpieczeń

– Szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana,

funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji.

WIRTUALNE SIECI PRYWATNE VPN Protokół IPSec

• Ochrona danych realizowana jest na poziomie warstwy 3 modelu OSI;

• Ochrona polega na zabezpieczeniu datagramu IP i dodaniu do niego

nagłówków ESP lub AH;

– Protokół ochrony ESP – szyfruje i częściowo uwierzytelnia dane;

– Protokół ochrony AH – tylko uwierzytelnia.

• Tryby funkcjonowania

– Transportowy (Transport Mode) – pozostają oryginalne nagłówki

datagramu IP;

– Tunelowania (Tunel Mode) – dodany zostaje nowy nagłówek IP.

WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec

• Ustalane są związki bezpieczeństwa SA za pomocą protokołu IKE

– Zastosowany protokół, algorytmy i klucze kryptograficzne.

• Proces ustalania SA Faza 1 (negocjacja IKE SA) – zestawienie

bezpiecznego kanału komunikacji do prowadzenia dalszych negocjacji;

– Tryby: Main Mode, Aggressive Mode;

– Uwierzytelnienie: Pre-Shared Secret, certyfikaty cyfrowe X.509, XAUTH.

• Proces ustalania SA Faza 2 (negocjacja IPSec SA) – uzgodnienie SA

do zabezpieczenia transmisji danych.

WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec

• Faza 1 IKE – Main Mode

WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec

• Faza 2 IKE

KONFIGURACJA URZĄDZEŃ SIECIOWYCH Schemat

KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer BRAMA.dyplom.bz

• Centralne urządzenie w sieci udostępniające trzy podstawowe usługi:

– Dostęp do Internetu dla użytkowników sieci lokalnej;

– Serwer DHCP udostępniający podstawowe parametry

konfiguracyjne sieci;

– Bramka VPN umożliwiająca użytkownikom zestawienie

szyfrowanych połączeń.

• Oprogramowanie

– OS: FreeBSD 5.4;

– Usługi: IPFIREWALL, NATD, ISCDHCP3, IPSec, racoon (ipsec-tool).

KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer CA.dyplom.bz

• Serwer uwierzytelnienia udostępniający usługi:

– Uwierzytelnienia użytkowników przy użyciu protokołu RADIUS;

– Urzędu certyfikacji w oparciu o OpenSSL.

• Oprogramowanie

– OS: FreeBSD 6.0;

– Usługi: FreeRADIUS, OpenSSL.

KONFIGURACJA URZĄDZEŃ SIECIOWYCH Punkt dostępu AP.dyplom.bz

• Rolą punktu dostępu jest zabezpieczenie połączeń szyfrowaniem WEP

oraz kontrola dostępu do medium radiowego:

– Szyfrowanie WEP 128 bitów;

– Filtrowanie adresów MAC kart sieciowych użytkowników;

– Uwierzytelnienie RADIUS.

• Produkt firmy LINKSYS model WRT54G v.5 zarządzany przez stronę

WWW.

KONFIGURACJA URZĄDZEŃ SIECIOWYCH Komputer PC WINUSER1.dyplom.bz

• Funkcją komputera użytkownika jest prawidłowe uwierzytelnienie

i zestawienie szyfrowanego tunelu z BRAMĄ.

– Instalacja certyfikatów;

– Konfiguracja uwierzytelnienia 802.1x;

– Utworzenie reguł bezpieczeństwa IPSec.

• Oprogramowanie

– OS: MS Windows XP SP2;

– Usługi: standardowe i wbudowane rozszerzenia systemowe (802.1x

i IPSec).

ZESTAWIENIE POŁĄCZEŃ – Etap 1

ZESTAWIENIE POŁĄCZEŃ Etap 1

ZESTAWIENIE POŁĄCZEŃ – Etap 2

ZESTAWIENIE POŁĄCZEŃ Etap 2

• W pierwszym etapie użytkownik został wstępnie uwierzytelniony

i podłączony do sieci radiowej, kolejnym krokiem jest zestawienie

szyfrowanego tunelu ESP z serwerem BRAMA.

• Poprzez użycie dodatkowych mechanizmów bezpieczeństwa zostało

wyeliminowane ryzyko wynikające z użycia WEP;

• Zastosowane zabezpieczenia obejmują dwie warstwy modelu OSI,

przez co są od siebie niezależne;

• W przypadku złamania klucza WEP przechwycone pakiety dalej są

szyfrowane;

• Podłączenie do punktu dostępu wymaga uwierzytelnienia za pomocą

certyfikatu;

• FIREWALL na serwerze BRAMA zabezpiecza sieć od strony Internetu.

WNIOSKI