Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA
ATZENTA Ασφάλεια Ασύρματου Δικτύου Ενσωμάτωση στα ήδη υπάρχοντα συστήματα ασφάλειας Ασφάλεια Ασύρματου Δικτύου Φυσικό επίπεδο 3
Ασφάλεια Ασύρματου Δικτύου Ενσωμάτωση στα ήδη υπάρχοντα συστήματα ασφάλειας
Ασύρματη Πρόσβαση Χρηστών Απειλές: Παθητική παρακολούθηση (eavesdropping) Αλλοίωση των μεταδιδόμενων δεδομένων (data modification) Παράνομη χρήση εταιρικών πόρων (resource theft) Άρνηση Εξυπηρέτησης σε σημαντικές υπηρεσίες (Denial of Service) Επιθέσεις Προσποίηση ταυτότητας (Spoofing) Δημιουργία Παράνομων ασύρματων δικτύων (Rogue Wireless Networks) Αντιμετώπιση απειλών: Ισχυρή προστασία της Εμπιστευτικότητας και Ακεραιότητας των μεταδιδόμενων πληροφοριών (Confidentiality & Integrity) Αμοιβαία Πιστοποίηση (Mutual Authentication) Αυστηρές Διαδικασίες Πρόσβασης (Authorization Process) 5
Ασύρματη Πρόσβαση Χρηστών
Πολυ επίπεδη Λύση Ασφάλειας Endpoint Integrity Check 802.1X Authentication Untrusted Client AAA Server RingMaster IDS/IPS server X Rogue AP Trusted Client Encrypted X Rogue User Authentication & Encryption 802.1X, EAP-TLS, PEAP, TTLS, MAC, Web,... 802.11i, WPA2, WPA, AES, CCMP DODD 8100.2 and FIPS 140-2 compliant Application Firewall Per user, per station, per group policy enforcement Application-aware QoS scheduling, location and security filtering Policy enforced closest to the end station Intrusion Protection Core WIDS/WIPS: scan, detect, locate, disable Rogue APs/Clients Full integration with AirPatrol WiVision Enterprise Solution (Market Leader WIDS/WIPS) Location Based Security
Ασύρματη Πρόσβαση Χρηστών Η αρχιτεκτονική ασφάλειας για την πρόσβαση στο ασύρματο δίκτυο φαίνεται στο ακόλουθο σχήμα 8
Ασύρματη Πρόσβαση Χρηστών Τα διαπιστευτήρια των χρηστών καθορίζουν την πρόσβαση και τα προνόμια στους δικτυακούς πόρους MOBILITY SECURITY SERVICES Centralized Policies Διαφορετικές ομάδες χρηστών με διαφορετικά προνόμια διαμοιράζονται κοινή δικτυακή υποδομή AAA 2 Προνόμια και υπηρεσίες ακολουθούν τους χρήστες καθώς μετακινούνται Credentials & services follow Επικάλυψη σε Layer 2/3 δίκτυα Καμία αλλαγή σε επίπεδο VLAN / Subnet 1 User roams
Ασύρματη Πρόσβαση Χρηστών Για την διασφάλιση της πρόσβασης στο ασύρματο δίκτυο θα χρησιμοποιηθούν οι τεχνολογίες 802.1Χ (EAP TLS) και WPA 10
Ασύρματη Πρόσβαση Χρηστών Η χρησιμοποίηση της τεχνολογίας 802.1Χ (EAP TLS) απαιτεί την χρήση ψηφιακών πιστοποιητικών στα συστήματα των χρηστών Μόνιμοι Χρήστες: Εισαγωγή των ψηφιακών τους πιστοποιητικών μέσα από αυτοματοποιημένες διαδικασίες αλληλεπίδρασης με την εσωτερική CA του δικτύου της επιχείρησης Προσωρινοί Χρήστες: Εισαγωγή των ψηφιακών τους πιστοποιητικών από USB Flash Disk. Μετά την αποχώρηση τους από τις εγκαταστάσεις της εταιρείας το certificate γίνεται revoke 11
Ασύρματη Πρόσβαση Χρηστών Η προτεινόμενη λύση παρουσιάζει σημαντικά πλεονεκτήματα για το σύγχρονο επιχειρησιακό περιβάλλον υψηλών απαιτήσεων: Υψηλό Επίπεδο Ασφάλειας (High Security Level) Διαφανείς Διαδικασίες (Transparent Processes) Χαμηλό Κόστος (Low Cost) Υψηλή Δικτυακή Απόδοση (High Network Performance) 12
Ασφάλεια Ασύρματου Δικτύου Φυσικό επίπεδο
Ασφάλεια Φυσικού Επιπέδου Πιθανή παραβίαση της ασφάλειας του δικτύου μπορεί να επέλθει από: Εξωτερική προσπάθεια παραβίασης του δικτύου με τη χρήση rogue access point Προσπάθεια μη εξουσιοδοτημένης πρόσβασης εξωτερικού χρήστη στο δίκτυο της επιχείρησης Παραβίαση της ασφάλειας από σύνδεση εσωτερικού χρήστη σε εξωτερικό rogue access point
Η λύση είναι: Παρακολούθηση του περιβάλλοντος του δικτύου για μη εξουσιοδοτημένους χρήστες που προσπαθούν να συνδεθούν στο δίκτυο της επιχείρησης και ο αποκλεισμός τους με βάση τη θέση τους Έλεγχος των εσωτερικών χρηστών πριν συνδεθούν με κάποιο rogue access point Η επιλογή είναι: Ασφάλεια Φυσικού Επιπέδου Ασύρματοι Αισθητήρες Ασφάλειας
Αρχιτεκτονική Λύσης
WiVision WLS Platform Unified Wireless Device Management Εντοπίζει με ακρίβεια συσκευές 802.11 αλλά και κινητά Παρέχει προειδοποιήσεις εισβολής πραγματικού χρόνου Προσφέρει χρήσιμα εργαλεία σχεδίασης δικτύων και βελτιστοποίησης Παρουσιάζει ευδιάκριτα την τοπολογία του ασύρματου δικτύου Παρέχει αυτόματη διαβάθμιση στους κινδύνους που εντοπίζονται Είναι διαθέσιμο σαν Λογισμικό ή σαν Αυτόνομη Συσκευή
Security Approvals FIPS Compliance (For Secure Deployments in the Army Projects) PCI DSS Compliance (For Secure Deployments in Banks Projects) OPSEC Certified & Checkpoint Interoperability
Ε Υ Χ Α Ρ Ι Σ Τ Ω!!! http://www.space.gr email: vpal@space.gr