1 Projekt sieci WLAN w standardzie 802Projekt sieci WLAN w standardzie b udostępniającej połączenie z siecią Internet w oparciu o protokół IPSec Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik

2 WSTĘP Komputer jako jednostka w XXI wieku;Sieci radiowe to dobra alternatywa dla LAN; Mobilność, estetyka, niskie koszty; Zagrożenia, jakie stwarza korzystanie z sygnału radiowego.

3 CELE Skonfigurowanie prostej sieci WLAN b w oparciu o protokół WEP połączonej z Internetem poprzez bramę (NAT); Silniejsze zabezpieczenie połączeń radiowych przy wykorzystaniu implementacji protokołów wyższych warstw modelu OSI: Uwierzytelnienie hostów za pomocą protokołu 802.1x; Skonfigurowanie tunelu IPSec między hostami a bramą.

4 SCHEMAT

5 SIECI RADIOWE WLAN TopologieBSS – tryb infrastrukturalny Oparty o centralny punkt dostępowy i stacje klientów; Sieć identyfikowana jest poprzez identyfikator SSID; Po pomyślnym powiązaniu ze stacją kliencką punkt dostępowy pełni rolę pośrednika w komunikacji z resztą sieci. Pozostałe topologie IBSS (ad hoc), ESS.

6 SIECI RADIOWE WLAN StandardyCechy IEEE b Działa w zakresie 2,4 GHz na 11 kanałach w modulacji DSSS; Maksymalna transmisja to 11Mb/s, jednak rzeczywista tylko 6 Mb/s; Podatny na zakłócenia z powodu dużego zagęszczenia urządzeń radiowych działających w tych samych częstotliwościach; Duża dostępność kompatybilnych urządzeń. Pozostałe standardy IEEE a, IEEE g, IEEE n.

7 SIECI RADIOWE WLAN BezpieczeństwoCechy WEP Protokół szyfrowania, którego zadaniem jest zapewnienie poufności i integralności danych oraz ochrona przed dostępem do infrastruktury sieci; Wykorzystuje mechanizm klucza wspólnego (o długości 40 i 104 bitów) z symetrycznym szyfrem RC4; Słabości: błędna implementacja wektora inicjalizacyjnego, brak zarządzania kluczami; Pozostałe zabezpieczenia WPA – technologie: TKIP, 802.1x/EAP, PSK; IEEE i/WPA2 – WPA + AES.

8 SIECI RADIOWE WLAN Symulacja włamaniaPrzygotowania Sieć WLAN: komputer PC, Punkt Dostępu (NAT, DHCP, WEP, ukrywanie ESSID, filtrowanie MAC); Intruz: Laptop z kartą sieciową (hermes II), oprogramowanie: Auditor, aircrack (airodump, aireplay, aircrack ),Ethereal; Cele Wykrycie ESSID; Złamanie klucza WEP; Ominięcie filtrownia adresów MAC.

9 SIECI RADIOWE WLAN Symulacja włamaniaZbieranie wektorów IV #iwconfig wlan0 mode monitor #airodump wlan0 wektory 0

10 SIECI RADIOWE WLAN Symulacja włamaniaWykrycie ESSID #aireplay a 00:16:B6:1D:A7:16 wlan0 (druga konsola)

11 SIECI RADIOWE WLAN Symulacja włamaniaWprowadzenie sztucznego ruchu #aireplay e kaczogrodA.D a 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 wlan0 #aireplay -3 -b 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 -x 700 wlan0

12 SIECI RADIOWE WLAN Symulacja włamaniaŁamanie klucza WEP #aircrack -0 wektory.ivs

13 SIECI RADIOWE WLAN Symulacja włamania

14 SIECI RADIOWE WLAN Symulacja włamania

15 WIRTUALNE SIECI PRYWATNE VPNUżywają publicznej infrastruktury telekomunikacyjnej w celu udostępnienia zdalnym biurom lub też pojedynczym użytkownikom bezpiecznego dostępu do firmowej sieci komputerowej. Typy Site-Site, Client-Site. Architektury Intranet VPN, Remote Access, Extranet. Protokoły IPSec, SSL, L2TP, SSH.

16 WIRTUALNE SIECI PRYWATNE VPNSchemat sieci typu Client-Site o architekturze Remote Access.

17 WIRTUALNE SIECI PRYWATNE VPN BezpieczeństwoPoufność danych – zabezpieczenie danych przed ich przeczytaniem lub skopiowaniem przez nieupoważnione osoby; Integralność danych – zagwarantowanie poprawności i nienaruszalności przesyłanych danych; Uwierzytelnienie źródła danych – uwierzytelnienie przez odbiorcę źródła przesyłanych pakietów; Niezaprzeczalność – zweryfikowanie czy nadawca i odbiorca są tymi stronami, które wysyłały i odbierały wiadomości; Techniki zabezpieczeń Szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana, funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji.

18 WIRTUALNE SIECI PRYWATNE VPN Protokół IPSecOchrona danych realizowana jest na poziomie warstwy 3 modelu OSI; Ochrona polega na zabezpieczeniu datagramu IP i dodaniu do niego nagłówków ESP lub AH; Protokół ochrony ESP – szyfruje i częściowo uwierzytelnia dane; Protokół ochrony AH – tylko uwierzytelnia. Tryby funkcjonowania Transportowy (Transport Mode) – pozostają oryginalne nagłówki datagramu IP; Tunelowania (Tunel Mode) – dodany zostaje nowy nagłówek IP.

19 WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSecUstalane są związki bezpieczeństwa SA za pomocą protokołu IKE Zastosowany protokół, algorytmy i klucze kryptograficzne. Proces ustalania SA Faza 1 (negocjacja IKE SA) – zestawienie bezpiecznego kanału komunikacji do prowadzenia dalszych negocjacji; Tryby: Main Mode, Aggressive Mode; Uwierzytelnienie: Pre-Shared Secret, certyfikaty cyfrowe X.509, XAUTH. Proces ustalania SA Faza 2 (negocjacja IPSec SA) – uzgodnienie SA do zabezpieczenia transmisji danych.

20 WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSecFaza 1 IKE – Main Mode

21 WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSecFaza 2 IKE

22 KONFIGURACJA URZĄDZEŃ SIECIOWYCH Schemat

23 KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer BRAMA.dyplom.bzCentralne urządzenie w sieci udostępniające trzy podstawowe usługi: Dostęp do Internetu dla użytkowników sieci lokalnej; Serwer DHCP udostępniający podstawowe parametry konfiguracyjne sieci; Bramka VPN umożliwiająca użytkownikom zestawienie szyfrowanych połączeń. Oprogramowanie OS: FreeBSD 5.4; Usługi: IPFIREWALL, NATD, ISCDHCP3, IPSec, racoon (ipsec-tool).

24 KONFIGURACJA URZĄDZEŃ SIECIOWYCH Serwer CA.dyplom.bzSerwer uwierzytelnienia udostępniający usługi: Uwierzytelnienia użytkowników przy użyciu protokołu RADIUS; Urzędu certyfikacji w oparciu o OpenSSL. Oprogramowanie OS: FreeBSD 6.0; Usługi: FreeRADIUS, OpenSSL.

25 KONFIGURACJA URZĄDZEŃ SIECIOWYCH Punkt dostępu AP.dyplom.bzRolą punktu dostępu jest zabezpieczenie połączeń szyfrowaniem WEP oraz kontrola dostępu do medium radiowego: Szyfrowanie WEP 128 bitów; Filtrowanie adresów MAC kart sieciowych użytkowników; Uwierzytelnienie RADIUS. Produkt firmy LINKSYS model WRT54G v.5 zarządzany przez stronę WWW.

26 KONFIGURACJA URZĄDZEŃ SIECIOWYCH Komputer PC WINUSER1.dyplom.bzFunkcją komputera użytkownika jest prawidłowe uwierzytelnienie i zestawienie szyfrowanego tunelu z BRAMĄ. Instalacja certyfikatów; Konfiguracja uwierzytelnienia 802.1x; Utworzenie reguł bezpieczeństwa IPSec. Oprogramowanie OS: MS Windows XP SP2; Usługi: standardowe i wbudowane rozszerzenia systemowe (802.1x i IPSec).

27 ZESTAWIENIE POŁĄCZEŃ – Etap 1

28 ZESTAWIENIE POŁĄCZEŃ Etap 1

29 ZESTAWIENIE POŁĄCZEŃ – Etap 2

30 ZESTAWIENIE POŁĄCZEŃ Etap 2W pierwszym etapie użytkownik został wstępnie uwierzytelniony i podłączony do sieci radiowej, kolejnym krokiem jest zestawienie szyfrowanego tunelu ESP z serwerem BRAMA.

31 WNIOSKI Poprzez użycie dodatkowych mechanizmów bezpieczeństwa zostało wyeliminowane ryzyko wynikające z użycia WEP; Zastosowane zabezpieczenia obejmują dwie warstwy modelu OSI, przez co są od siebie niezależne; W przypadku złamania klucza WEP przechwycone pakiety dalej są szyfrowane; Podłączenie do punktu dostępu wymaga uwierzytelnienia za pomocą certyfikatu; FIREWALL na serwerze BRAMA zabezpiecza sieć od strony Internetu.