Poslovna mobilnost in varnost

Poslovna mobilnost
in varnost
Zagotavljanje varnosti v poslovnih 802.11 omrežjih
DUŠAN KNEŽEVIĆ, Smart Com d.o.o.
dusan.knezevic@smart -com.si
2014
Uvod
• Kako zagotoviti varen dostop zaposlenim in
njihovim napravam do poslovnega omrežja?
• Ali naprave, s katerimi zaposleni dostopajo v
vaše omrežje, ustrezajo varnostni politiki vaše
organizacije?
• Kako zagotoviti nadzor nad dostopom do
omrežnih virov?
• Definiranje in dosledno upoštevanje varnostnih
pravil!
2014
Varnost v poslovnih 802.11n omrežjih
AAA
Notranji
omrežni viri
Poslovno
omrežje
2014
AAA - IEEE 802.1x / EAP
802.1x
EAP
802.1x
802.3
802.11
Avtentikator (A)
Odjemalec (S)
Avtentikacijski
strežnik (AS)
802.1x
EAPOL
S
Odjemalec (S)
RADIUS
A
Avtentikator (A)
Izmenjava EAP med odjemalcem in AS
AS
Avtentikacijski
strežnik (AS)
2014
OTP
MD5
TLS
LEAP
EAP
GTC
PAP
CHPAP
EAP
AAA - EAP - razširljivi avtentikacijski protokol
TTLS
PEAP
MS-CHAPv2
EAP
PPP
802.1x
802.3
802.11
2014
AAA - Avtentikacija 802.1x (PEAPv0)
1-nivojska avtentikacija
◦ EAP-PEAPv0 (EAP-MSCHAPv2)
◦ Poverilnica v obliki U/P (Aktivni imenik - AD)
◦ Varni tunel se izgradi s pomočjo korenskega certifikata
2014
AAA - Avtentikacija 802.1x (EAP-TLS)
2-nivojska avtentikacija
◦ EAP-PEAPv0 (EAP-TLS)
◦ Preverjanje korenskega in odjemalčevega certifikata (računalniški ali uporabniški):
◦ Metoda uporablja X.509v3 certifikate in TLS mehanizem
◦ Prednosti računalniške avtentikacije?
2014
AAA - Avtentikacija OTP
2-nivojska avtentikacija
◦ Prva stopnja: uporabniško ime in osebno geslo (PIN)
◦ Druga stopnja: enkratno geslo, prejeto preko SMS sporočila
◦ Poudarki:
◦ Uporaba naključnih enkratnih gesel
◦ Povezava z Aktivnim imenikom
2014
AAA - Komu in kam dovolimo dostop?
Avtenticiran uporabnik, kateremu se omogoči ali prepove dostop
◦ Dovoljen dostop do vlana/SSID omrežja
Avtenticiran uporabnik, kateremu je dodeljena vloga
◦ RBAC (Role Based Access Control) - DODELITEV VLOGE
◦ VLOGA na podlagi podatkov:
◦ Kontrola dostopa na podlagi RADIUS atributov (dinamični vlani)
◦ Uporabnik / skupina v AD
◦ Pravica dostopa
Avtenticiran uporabnik, dodelitev vloge, kontrola dostopa z tehnologijo NAC
(Network Access Control)
◦ Integrirana požarna pregrada:
◦ Uporabnik, aplikacija, uporabniška vloga
◦ Preverjanje ustreznosti odjemalca
◦ Aktivno spremljanje delovne postaje/naprave
2014
AAA - Kontrola mrežnega dostopa
1. Brezžični odjemalec se poveže na AP in zahteva dostop do virov.
2. Požarna pregrada prestreže promet, spozna da gre za neznanega uporabnika in zahteva avtentikacijo.
3. Naprava (odjemalec) pošlje zahtevano informacijo do točke odločitve (AS).
4. AS preveri avtentikacijo in varnostno stanje ter pošlje požarni pregradi ukaz omogoči ali prepreči.
5. Požarna pregrada omogoči ali prepreči dostop.
6. Uporabnik pridobi zahtevan dostop.
1
AAA
2
3
AV
4
5
Policy
6
S
A
AS
(Brezžični odjemalec)
(Avtentikator)
(Avtentikacijski strežnik)
Viri v
omrežju
2014
Zaključek
Obravnavani pojmi:
◦ Avtentikacija
◦ Avtorizacija
◦ Accounting (beleženje dogodkov)
Smernice in izzivi:
◦ Kako narediti vaše okolje varno?
◦ Kontrola nad vse večjim porastom naprav
SC Laboratorij:
◦ Razvijamo rešitve, primerne za vaše okolje
2014