Embed Size (px)
Citation preview
© Copyright Siemens Business Services / HEC 2004
Global networkof innovation
Sicherheit von Wireless LANs
Stand Januar 2004
2
Global networkof innovation Sicherheit von Wireless LANs
Dominik [email protected]
Andreas EssingSiemens Business [email protected]
Dr. Roland [email protected]
3
Global networkof innovation
Siemens Business Services: Lösungsanbieter für Projektierung und Betrieb
Strategische Beratung für Infrastrukturprojekte
Exchange, Active Directory, Sharepoint Designs
Project Management und Coaching
Service Level- und IT Management (ITIL, MOF)
Partner: Microsoft, HEC,Fujitsu-Siemens Computer Systems
Referenzen: Banken, Versicherungen, Industrie, Telcos bis 200.000 Arbeitsplätze
4
Global networkof innovation
• Integration und Vernetzung nehmen zu
• Angriffe werden intelligenter
• Stabilisierung der Geschäftsprozesse
• Von Herstellern empfohlene Änderungen werden nicht immer eingespielt
• Verantwortung für Sicherheit liegt bei der IT
Sicherheit als Top-Thema
5
Global networkof innovation
• Zwei Themengebiete:
• WEP und die Probleme mit der Sicherheit
• Möglichkeiten der Absicherung
Überblick
6
Global networkof innovation Ungesichertes Wireless LAN
• Methode:
• Ausnutzung ungesicherter Wireless LAN Netze
• Ausgangslage:
• Firma verwendet WLAN zur flexiblen Anbindung der Mitarbeiter im Office.
• Verbreitung von WLAN-Hardware nimmt stark zu, WLAN-Karten gehören zum Standard-PC.
• Auf dem Firmenparkplatz sitzt der Angreifer und ...
7
Global networkof innovation WEP – verschlüsseltes Wireless LAN
• Methode:
• Nutzung von WEP zur Absicherung von Wireless LAN Netzen
• WEP:
• Definiert eine Verschlüsselung für Funknetze (IEEE 802.11)
8
Global networkof innovation Passiver Angriff I
• Methode:
• Ausnutzung schwacher Initialisierungsvektoren
• Ausgangslage:
• Ein schwacher Initialisierungsvektor lässt einen Rückschluss auf den verwendeten WEP-Key zu.
• Für eine Entschlüsselung des Key werden 3000 - 5000 schwache Vektoren benötigt.
• Diese lassen sich innerhalb einiger Stunden aufzeichnen
9
Global networkof innovation
Attacker
COL-ACT-STA-
1 2 3 4 5 6 7 8 9101112HS1 HS2 OK1 OK2 PS
CONSOLE
WLANAccessPoint
IDC
Passiver Angriff II
10
Global networkof innovation Dictionary Attack gegen Wireless LAN
• Methode:
• Wörterbuch-Attacke mit aufgezeichneten Paketen
• Ausgangslage:
• Ausnutzung von Passwort-Schlüssel-Generierung.
• Ausnutzung der Schwachstelle Mensch
• Aktuelle Hardware erlaubt ca. 35000 Keys/s zu testen
11
Global networkof innovation Möglichkeiten der Absicherung
• Implementation einer VPN Lösung (L2TP) mit Hilfe des Microsoft ISA Servers 2004
• Microsoft Solution for Securing Wireless LANs
12
Global networkof innovation
• Verlagerung des Wireless LAN in einen Bereich außerhalb des Produktivnetzes
• Zugriff auf das Netzwerk ist nur über einen VPN Tunnel (L2TP) möglich
• Alle anderen Dienste sind gesperrt
ISA Server 2004 I
13
Global networkof innovation
Demo …
ISA Server 2004 II
14
Global networkof innovation ISA Server 2004 III
Attacker
COL-ACT-STA-
1 2 3 4 5 6 7 8 9101112HS1 HS2 OK1 OK2 PS
CONSOLE
WLANAccess Point
IDC
MicrosoftISA Server
2004
15
Global networkof innovation
• Fertige Lösung
• Drei Möglichkeiten:
• EAP-MD5
• EAP-TLS
• PEAP (ab Windows XP SP1)
• Basierend auf IEEE 802.1x
• RADIUS Server (IAS) wird benötigt
Microsoft Solution for securing Wireless Networks
16
Global networkof innovation
• RADIUS: Remote Authentication Dial-In User Service (RFC 2865)
• IAS: Internet Authentication Service
• Implementiert in Windows 2000 Server und Windows Server 2003
RADIUS Server (IAS)
17
Global networkof innovation EAP (Extensible Authentication Protocol) I
• Übergabe der Authentifizierungsinformationen
EAP Client
Radius Server
Access PointAuthentifizierungs-
informationenAuthentifizierungs-
informationen
18
Global networkof innovation EAP (Extensible Authentication Protocol) II
• Verhinderung von Spoofing
EAP Client
Radius Server
Access PointServerzertifikat Serverzertifikat
19
Global networkof innovation EAP (Extensible Authentication Protocol) III
• Annahme der Anmeldung
EAP Client
Radius Server
Access PointAnnahme Annahme
20
Global networkof innovation EAP (Extensible Authentication Protocol) IV
• Bestätigung der Anmeldung
EAP Client
Radius Server
Access PointBestätigung Bestätigung
21
Global networkof innovation EAP (Extensible Authentication Protocol) V
• Übergabe des WEP Keys
EAP Client
Radius Server
Access PointWEP Key WEP Key
22
Global networkof innovation
• CHAP = Anfrage/Antwort-Authentifizierung der Benutzer
• Keine Verschlüsselung zwischen Authentifikator und Endsystem
• Hashwerte von Kennwörtern werden unverschlüsselt übertragen
• => Deaktivierung in IEEE 802.1x
EAP-MD5
23
Global networkof innovation EAP-TLS
• TLS (SSL) ist Verschlüsselungsmethode
• Computer authentifiziert sich mit Zertifikat
• Danach authentifiziert sich der Benutzer mit einem Zertifikat
• Voraussetzung: PKI-Struktur
Computer
Radius Server
Access PointZertifikat Zertifikat
24
Global networkof innovation
• Neben TLS auch andere Möglichkeiten zum Austausch der Authentifizierung möglich
• u.a. MSCHAPv2:
• Computer und Benutzeranmeldeinformationen
• Regelmäßig wechselnde Verschlüsselung der Hashwerte von Computer und Benutzerkennwörtern
• Authentifizierungsserver (IAS) besitzt Server-Zertifikate
• Client verwendet Anmeldeinformationen
PEAP (Protected EAP)
25
Global networkof innovation
• Vorraussetzungen:
• Windows XP
• Windows Server 2003
• PKI Infrastruktur
• Implementation über Group Policies
Zentralisierte Implementation von EAP
26
Global networkof innovation
• Vorraussetzung:
• Windows Server 2003
• Automatische Generierung und Verteilung von Zertifikaten
• Group Policies
Automatisierte Verteilung von Zertifikaten
27
Global networkof innovation
• Enterprise Deployment of Secure 802.11 Networks using Microsoft Windows http://www.microsoft.com/WindowsXP/pro/techinfo/deployment/wireless/
• Microsoft Solution for Securing Wireless LANs http://www.microsoft.com/downloads/details.aspx?FamilyId=CDB639B3-010B-47E7-B234-A27CDA291DAD&displaylang=en
• Securing Wireless LANs – A Windows Server 2003 Certificate Service Solution http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/win2003/pkiwire/swlan.asp
Wichtige Links
28
Global networkof innovation
Q & A …
29
Global networkof innovation
L e t ‘ s m a k e y o u r v i s i o n c o m e t r u e . . .
Vielen Dank für IhreAufmerksamkeit.
