ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Podobné dokumenty
Základy bezdrátového přenosu dat pro plzeňský kraj

Bezpečnost sítí

1. Obecná konfigurace autentizace osob. 2. Konfigurace klienta Windows Vista

Mobilita a roaming Možnosti připojení

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

SSL Secure Sockets Layer

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Zkušební provoz wifi sítě na SPŠ a VOŠ Písek

Analyzátor bezdrátových sítí

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

Nastavení MS Windows XP pro připojení k eduroam

Návod na nastavení klienta pro připojení k WiFi síti SPŠE Brno

Návod na nastavení sítě Eduroam v prostorách 3.LF

5. Zabezpečení Wi-Fi

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks)

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení.

Nastavení MS Windows XP pro připojení k eduroam

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Desktop systémy Microsoft Windows

SIM karty a bezpečnost v mobilních sítích

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

Bezpečnost vzdáleného přístupu. Jan Kubr

Bezpečnost internetového bankovnictví, bankomaty

Téma bakalářských a diplomových prací 2014/2015 řešených při

PV157 Autentizace a řízení přístupu

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

NÁVOD K NASTAVENÍ BEZDRÁTOVÉ SÍTĚ FNUSA-GUEST PRO HOSPITALIZOVANÉ PACIENTY

13. přednáška. Zabezpečení datových sítí. Ing. Tomáš Vaněk, Ph.D.

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

NÁCHOD JIHOČESKÝ KRAJ ING. PETR VOBEJDA

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Bezpečnost elektronických platebních systémů

Krádež eduroam identity a obrana proti ní

Enterprise Mobility Management

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

SPS Úvod Technologie Ethernetu

Z internetu do nemocnice bezpečně a snadno

Bezpečnost bezdrátových sítí

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows XP

Návod pro Windows 8. Automatická konfigurace Windows 8 umožňují použít konfiguraci WiFi připojení pomocí programu eduroamcuni2.exe.

Návod pro Windows 8. Automatická konfigurace Windows 8 umožňují použít konfiguraci WiFi připojení pomocí programu eduroamcuni3.exe.

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

IEEE aneb WiFi

Informační manuál PŘIPOJENÍ K WIFI ČZU (zaměstnanci)

Informatika / bezpečnost

STANDARDU 802.1X FAKULTA INFORMAČNÍCH TECHNOLOGIÍ BRNO UNIVERSITY OF TECHNOLOGY FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INTELLIGENT SYSTEMS

Nastavení MS Windows XP pro připojení k WIFI síti JAMU. Příprava

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 7

Nastavení MS Windows XP (SP2) pro připojení k eduroam na UTIA AVCR

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Microsoft Windows Server System

Lekce 6: sítě WLAN II

Bezpečnostní aspekty informačních a komunikačních systémů KS2

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Návod pro připojení do bezdrátové sítě eduroam pro MS Windows XP

Jak na různé WiFi sítě v Linuxu

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Šifrování dat, kryptografie

Připojení mobilních zařízení

Návod pro připojení do sítě (LAN) pomocí kabelu pro MS Windows VISTA

Použití čipových karet v IT úřadu

Extrémně silné zabezpečení mobilního přístupu do sítě.

Aby uživatel VŠB-TUO mohl využívat služeb sítě EDUROAM, musí mít nastaveno tzv. wifi heslo.

Bezdrátové routery LTE & UMTS datové a hlasové brány

Počítačová síť TUONET a její služby

Sítě WLAN dle bezpečnost

Výzva k podání nabídky na dodávku WiFi sítě na MČ Brnostřed

Technologie pro zlepšení bezpečnosti datových sítí - základní charakteristika IEEE 802.1x (2)

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Uživatelská příručka AE6000. Dvoupásmový bezdrátový adaptér Mini USB AC580

Návod pro připojení do sítě (LAN) pomocí kabelu pro MS Windows XP

Zabezpečení mobilních bankovnictví

Uživatelský modul. WiFi STA

Poznámky pro uživatele bezdrátové sítě LAN

DWL-G650 AirPlus Xtreme G 2.4 GHz bezdrátový Cardbus adaptér

Rada města Přerova. Předloha pro 4. schůzi Rady města Přerova, která se uskuteční dne

Desktop systémy Microsoft Windows

Návod na připojení do WiFi sítě eduroam Linux (grafické uživatelské prostředí KDE)

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Bezpečná autentizace přístupu do firemní sítě

Vysoká škola ekonomická v Praze

Obrana sítě - základní principy

Návod na nastavení připojení k bezdrátové síti eduroam

Inovace bakalářského studijního oboru Aplikovaná chemie

DWL-G520 AirPlus Xtreme G 2.4 GHz bezdrátový PCI adaptér

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

& GDPR & ŘÍZENÍ PŘÍSTUPU

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

KLASICKÝ MAN-IN-THE-MIDDLE

TECHNOLOGICKÉ DOPOLEDNE

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

Projektová dokumentace. Bezdrátová škola - Jihomoravský kraj. Gymnázium T.G. Masaryka, U školy 39, Zastávka

Uživatel počítačové sítě

Jen správně nasazené HTTPS je bezpečné

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Aktivace RSA ověření

eduroam - nastavení v MS Windows 7/8/8.1/10 1 Konfigurace pomocí asistenta eduroam CAT

Transkript:

ISMS Případová studie Autentizace ve WiFi sítích V Brně dne 5. a 12. prosince 2013

Pojmy Podnikové WiFi sítě Autentizace uživatelů dle standardu 802.1X Hlavní výhodou nasazení tohoto standardu je pohodlná možnost správy vysokého počtu uživatelů U zabezpečení WEP či WPA Personal se všichni uživatelé bezdrátové sítě přihlašují se stejným (sdíleným) klíčem, v případě využití 802.1X standardu má každý uživatel svůj vlastní pár přihlašovacích údajů, případně vlastní klientský certifikát Odebrání možnosti přístupu k síti určitému klientovi je otázka zablokování jednoho účtu V architektuře 802.1X bezdrátové sítí vystupují tři hlavní entity: - klient (jakékoliv zařízení - notebook, mobilní telefon, tablet, schopné připojení k WiFi síti) - autentizátor (obvykle přístupový bod, jehož hlavním úkolem je přeposílání autentizačních zpráv mezi klientem a autentizačním serverem) - autentizační server (na základě informací poskytnutých klientem rozhodne, zda klientovi bude umožněn ě do sítě přístup - autentizační ti č údaje mohou být uloženy přímo na autentizačním serveru, avšak obvykle je využita externí databáze či LDAP) 802.1X - pojmy 2

Schéma architektury Klient AP s autentizací (autentizátor) Autentizační server (RADIUS) LDAP V rámci 802.1X WiFi sítě lze nasadit tři způsoby zabezpečení komunikace: - WEP (protokol WEP obsahuje závažné bezpečnostní nedostatky a jeho použití není doporučováno) - WPA-TKIP (v rámci WPA-TKIP byly objeveny chyby, které sice přímo nevedou k neautorizovanému přístupu k síti, ale umožňují vložení paketů do šifrované komunikace jedná se o tzv. Beck-Tews útok) - WPA2-AES (jediným doporučovaným způsobem zabezpečení se tak stal standard WPA2 v kombinaci s šifrovacím algoritmem AES) 802.1X 3

Autentizační metody Pro účely autentizace se v 802.1X sítích využívá protokol EAP Extensible Authentication Protocol. Rozlišujeme různé metody tohoto protokolu, které se vzájemně liší jak požadavky pro nasazení, tak zabezpečením procesu autentizace: EAP-MD5 je autentizační metoda původně navržená pro metalické sítě. Jak již z názvu vyplývá, metoda využívá pro účely autentizace klienta hašovací funkci MD5. Útočník, který proces přihlašování odchytí, má v případě použití slabého hesla poměrně jednoduchou práci. Vzhledem k tomu, že tato metoda nepodporuje generování dynamických klíčů, a nelze tak nasadit v kombinaci s WPA či WEP, není u bezdrátových sítí příliš rozšířena. Z těchto důvodů není použití této metody doporučováno. LEAP (Lightweight Extensible Authentication Protocol) je metoda vyvinutá společností Cisco Systems v roce 2000. Závažná zranitelnost této metody (byla publikována v roce 2003) spočívá v optimalizované metodě off-line útoku hrubou silou vůči uživatelským přihlašovacím údajům. Metoda LEAP je v současné č době považována za zastaralou a nepříliš bezpečnou. č (Samotná společnost Cisco Systems doporučuje použití metody EAP-FAST, která byla vytvořena s cílem odstranit bezpečnostní nedostatky metody LEAP. Pokud není z jakéhokoliv důvodu možné LEAP nahradit za bezpečnější metodu, je nutné použít dostatečně silná hesla, která jsou schopna odolat off-line slovníkovému útoku.) 802.1X 4

Autentizační metody - pokračování EAP-FAST (Flexible Authentication via Secure Tunneling) je metoda vydaná společností Cisco Systems má za úkol odstranit bezpečnostní nedostatky předchozí metody LEAP. Před samotnou autentizací je vytvořen šifrovaný tunel pomocí tzv. PAC (Protected Access Credentials) souboru, který je unikátní pro každého klienta. Metoda nabízí dva způsoby distribuce těchto souborů. Manuální způsob distribuce je v případě velkého množství klientů komplikovaný, proto se běžně využívá automatická distribuce. Právě v případě využití automatické distribuce PAC souborů bez nasazení serverového certifikátu má útočník možnost po zachycení obsahu PAC provést útok vedoucí ke kompromitaci uživatelských přihlašovacích údajů. V případě automatické distribuce je doporučené nasadit na autentizační server serverový certifikát. V takové konfiguraci poskytuje metoda EAP-FAST vysokou úroveň zabezpečení. PEAP (Protected EAP) je nejrozšířenější autentizační metoda v podnikových WiFi sítích. PEAP na rozdíl od předchozích metod vynucuje nasazení serverového certifikátu, který slouží klientům k ověření identity autentizačního serveru. V případě nasazení této metody je nutné dbát na důslednou konfiguraci klientů. Každý klient musí mít explicitně it ě nařízenou kontrolu serverového certifikátu. V případě, že daný klient tuto t kontrolu neprovádí, stává se náchylný na útok, kdy útočník v dosahu klienta zprovozní síť se stejným SSID a vlastním autentizačním serverem. Po připojení klienta k této podvrhnuté síti potom hrozí kompromitace jeho uživatelských údajů. Tento útok je označován jako AP impersonalizace. 802.1X 5

Autentizační metody - pokračování EAP-TLS je jednou z mála používaných autentizačních metod, která vynucuje použití klientských certifikátů. Tím metoda zajišťuje j vysokou úroveň zabezpečení, ale na druhou stranu také vyšší náklady spojené s vybudováním PKI infrastruktury, správou a distribucí certifikátů. Klientský certifikát může být nainstalován přímo v operačním systému klienta nebo může být z důvodu vyššího zabezpečení uložen na čipové kartě. Proti této metodě nejsou známé žádné útoky spočívající v odposlechu komunikace či AP impersonalizace. Jedinou možností kompromitace uživatelského účtu je získání klientského certifikátu. EAP MD5 LEAP EAP FAST PEAP EAP TLS Serverový certifikát ne ne volitelně ano ano Klientský certifikát ne ne ne ne ano Vzájemná autentizace ne ano ano ano ano Kompatibilita s WPA/WEP ne ano ano ano ano Šifrovaný kanál ne ne ano ano ano Možnost skrytí identity ne ne ano ano ano 802.1X 6

Zhodnocení bezpečnosti V případě metod EAP-MD5 a LEAP však dochází k nedostatečné ochraně uživatelem zadaných dat (není vytvořen šifrovaný tunel) a po zachycení fáze autentizace je možné zahájit slovníkový útok s cílem získat heslo uživatele. Metody LEAP a EAP-MD5 jsou z bezpečnostního hlediska nevyhovující a není doporučené je používat. U metod EAP-FAST a PEAP je situace z hlediska bezpečnosti mnohem lepší. Přesto je však možné v případě nesprávně nakonfigurované automatické distribuce PAC souborů u metody EAP-FAST a v případě nedostatečně nakonfigurovaných klientů u metody PEAP stále možné podniknout úspěšný útok vedoucí ke kompromitaci uživatelského účtu. Rozumnou volbou je použití metody PEAP, která využívá certifikáty pouze na serverové straně, ale stále poskytuje vysokou úroveň zabezpečení. V případě nasazení této metody je však nutné dbát na správnou konfiguraci klientských zařízení. V úvahu také připadá použití metody EAP-FAST, která ve vhodné konfiguraci poskytuje slušnou úroveň zabezpečení, avšak za cenu komplikovanější distribuce PAC souborů. Metoda EAP-TLS využívá robustní bezpečnostní model založený na asymetrické kryptografii a je tak proti jakýmkoliv útokům hrubou silou imunní. Jednoznačně nejvyšší úroveň zabezpečení z popsaných metod zajišťuje EAP-TLS, a to díky vynucení použití klientských certifikátů. To zároveň přináší zvýšené náklady a nároky na implementaci této metody. 802.1X 7

Závěr Protože je bezdrátová síť součástí síťové infrastruktury společnosti a její kompromitace sebou může nést finanční, reputační či jiná rizika. Je nutné si uvědomit, že WiFi síť představuje pro útočníka snadno dostupný cíl, a je tak nutné výběru konkrétního zabezpečení věnovat náležitou pozornost. 802.1X 8

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář