Procesory sieciowe w realizacji bezpieczeństwa danych POLITECHNIKA SZCZECIŃSKA WYDZIAŁ ELEKTRYCZNY Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Piotr Kaczor Instytut Elektroniki, Telekomunikacji i Informatyki Zakład Systemów Telekomunikacji i Teorii Obwodów Opiekun pracy: prof. dr hab. inż. Wojciech Lipiński Szczecin 2006
Plan prezentacji: Cel i zakres pracy Zarys pracy Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Plan prezentacji: Cel i zakres pracy Zarys pracy Ochrona informacji w sieciach komputerowych Sieci bezprzewodowe 802.11 Bezpieczeństwo danych w sieciach WLAN Procesory sieciowe i ich zastosowanie Projekt sieci WLAN z implementacją procesorów sieciowych Szczecin 2006
Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Cel pracy Celem pracy jest analiza możliwości wykorzystania procesorów sieciowych, a w szczególności procesorów ochronnych, do realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Zakres pracy Omówienie problematyki ochrony informacji w sieciach komputerowych, a także standardów sieci bezprzewodowych IEEE 802.11 w kontekście bezpieczeństwa danych. Dokładna analiza koncepcji opisanych w standardzie IEEE 802.11i-2004, szczegółowe omówienie procesorów sieciowych jako układów do realizacji bezpieczeństwa danych w sieciach komputerowych oraz prezentacja platform sprzętowych wiodących producentów. Wykonanie projektu bezpiecznej bezprzewodowej sieci komputerowej z implementacją procesorów ochronnych i akceleratorów bezpieczeństwa Szczecin 2006
Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Zarys pracy Analiza możliwości wykorzystania procesorów sieciowych do realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Omówienie zagadnień związanych z ochroną informacji w sieciach komputerowych, definicja polityki bezpieczeństwa i jej rola Standardy IEEE 802.11 oraz IEEE 802.11i Przegląd mechanizmów zapewniania poufności i integralności danych w sieciach WLAN Szczegółowe omówienie procesorów sieciowych, procesorów ochronnych oraz akceleratorów bezpieczeństwa z prezentacją platform sprzętowych wiodących producentów Projekt bezpiecznej sieci 802.11 z implementacją procesorów sieciowych dla firmy klasy Enterprise, z wykorzystaniem protokołu CCMP i szyfrowania AES, uwierzytelniania 802.1x, sieci wirtualnych VLAN oraz sieci IPSec VPN Szczecin 2006
Ochrona informacji w sieciach komputerowych Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Ochrona informacji w sieciach komputerowych Bezpieczny system powinien zawierać wg modelu bezpieczeństwa OSI pięć podstawowych mechanizmów: uwierzytelnianie (tożsamości, źródła pochodzenia danych) kontrolę dostępu poufność danych integralność danych niezaprzeczalność Szczecin 2006
Ochrona informacji w sieciach komputerowych Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Ochrona informacji w sieciach komputerowych Polityka bezpieczeństwa - formalne wyrażenie zasad, którym muszą podporządkować się ludzie mający dostęp do technologii organizacji oraz jej zasobów informatycznych (RFC 2196) PROCES IMPLEMENTACJI (może trwać nawet 2 lata!!) Szczecin 2006
Ochrona informacji w sieciach komputerowych Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Ochrona informacji w sieciach komputerowych Model AAA (ang. Authentication, Authorization, Accounting) Użytkownik uzyskuje dostęp do sieci przy wykorzystaniu usługi dostępu wdzwanianego z użyciem protokołu PPP Klientem AAA jest w stosunku do serwera RADIUS serwer uwierzytelniający NAS (wysyła on do serwera RADIUS zapytania dotyczące uwierzytelnienia użytkownika, określenia jego uprawnień oraz zakresu rozliczenia) Gdy w bazie danych RADIUS-a znajdują się dane określające parametry użytkownika łączącego się z NAS, dostęp do sieci zostanie mu udzielony zgodnie z tymi parametrami Szczecin 2006
Sieci bezprzewodowe 802.11 Wykresy Kiviata: Rodzina IEEE 802: Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Sieci bezprzewodowe 802.11 Wykresy Kiviata: Rodzina IEEE 802: Szczecin 2006
Bezpieczeństwo danych w sieciach WLAN Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Bezpieczeństwo danych w sieciach WLAN Protokół WEP nieskuteczny Kłopoty, zagrożenia, problemy: ręczna dystrybucja współdzielonych kluczy klucze współdzielone WEP o długości 40- i 104-bity łatwa analiza szyfrów strumieniowych, gdy stosuje się wielokrotnie ten sam strumień klucza brak częstych zmian kluczy tajnych WEP kontrola integralności danych przy pomocy CRC-32 Szczecin 2006
Bezpieczeństwo danych w sieciach WLAN Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Bezpieczeństwo danych w sieciach WLAN Mechanizmy bezpieczeństwa standardu IEEE 802.11i-2004 Szczecin 2006
Bezpieczeństwo danych w sieciach WLAN Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Bezpieczeństwo danych w sieciach WLAN IPSec VPN dla potrzeb sieci bezprzewodowej 802.11 Szczecin 2006
Procesory sieciowe i ich zastosowanie Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Procesory sieciowe i ich zastosowanie Network Processor – urządzenie specjalizowane, zaprojektowane i zoptymalizowane pod kątem przetwarzania pakietów w sieci komputerowej Network Processor Platform NP Peripheral NP Atrybuty: uniwersalność/programowalność prostoty model programowy elastyczny skalowalny efektywny otwarty promowalny Szczecin 2006
Procesory sieciowe i ich zastosowanie Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Procesory sieciowe i ich zastosowanie Porównanie układów specjalizowanych Złożoność aplikacji w funkcji wymagań przetwarzania pakietów Szczecin 2006
Procesory sieciowe i ich zastosowanie Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Procesory sieciowe i ich zastosowanie Korzyści z zastosowania NP w przetwarzaniu IPSec Szczecin 2006
Procesory sieciowe i ich zastosowanie Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Procesory sieciowe i ich zastosowanie Przegląd procesorów bezpieczeństwa Procesor ochronny MPC190 firmy Motorola Procesor ochronny ADSP-2141L firmy Analog Devices Procesor ochronny BCM5825 firmy Broadcom Procesor ochronny NITROX Lite CN505 firmy Cavium Networks Akcelerator bezpieczeństwa 7955 firmy Hifn Koprocesor ochronny SafeXcel-1840 firmy SafeNet Procesor sieciowy Intel IXP422 Procesor sieciowy AT76C520 firmy Atmel Szczecin 2006
Projekt sieci WLAN z implementacją procesorów sieciowych Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Projekt sieci WLAN z implementacją procesorów sieciowych Założenia: dowolna firma klasy Enterprise, dla której kluczowym aspektem jest bezpieczeństwo danych siec bezprzewodowa w standardzie IEEE 802.11b/g urządzenia z procesorami sieciowymi ze sprzętowym wsparciem algorytmów kryptograficznych, procesorami ochronnymi lub akceleratorami bezpieczeństwa (IPSec, SSL) implementacja standardu IEEE 802.11i-2004 uwzględnienie propozycji agencji bezpieczeństwa USA w zakresie architektury sieci 802.11 farma serwerów (WWW, DHCP, DNS, FTP, SMTP, RADIUS), zapora ogniowa oraz IDS wsparcie standardów 802.1q/p (tagowanie sieci VLAN) oraz 802.3af (Power over Ethernet) średnia przepustowość sieci 802.11g, obsługującej do 250 urządzeń klienckich WLAN, powinna wynosić ok. 24Mb/s (przy możliwych maksymalnie 54Mb/s) uwzględnienie rozrostu sieci i wdrażania nowych technologii w przyszłości (VoIP lub VoWLAN) Szczecin 2006
Projekt sieci WLAN z implementacją procesorów sieciowych Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Projekt sieci WLAN z implementacją procesorów sieciowych Topologia fizyczna Szczecin 2006
Projekt sieci WLAN z implementacją procesorów sieciowych Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Projekt sieci WLAN z implementacją procesorów sieciowych Topologia logiczna Szczecin 2006
Projekt sieci WLAN z implementacją procesorów sieciowych Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Projekt sieci WLAN z implementacją procesorów sieciowych Dobór sprzętu oraz kosztorys Szczecin 2006
Politechnika Szczecińska Wydział Elektryczny Procesory sieciowe w realizacji bezpieczeństwa danych w sieciach komputerowych bezprzewodowych Dziękuję za uwagę Szczecin 2006