Kristof Lossie System Engineer Network Security
Birds
Traceroute $ tracert 192.168.45.42 Tracing route to 192.168.45.42 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 10.45.10.254 2 <1 ms <1 ms <1 ms 10.45.12.100 3 * * * Request timed out.
Assumptions are EVIL
Realdolmen Secure Network Design
Doelstelling
Dagplanning 10:15- 12:15 IT Security Network Securty VPN + Cryptografie Firewall (Optioneel) 13:15 - 14:45 Intro Realdolmen Wireless Networking VLAN Redundancy 15:00 (eerst coffie pauze)- 16:15 Network Design
IT Security ?
BV: Password Security
VB: Social engineering attacks
Ultimate Question What is the most secure? A) a Microsoft Windows Server B) a Linux Server C) a Mac OS X Server D) a *BSD Server
What is security ? Security: prevent bad things from happening Confidential information leaked Important information damaged Critical services unavailable Clients not paying for services Money stolen Improper access to physical resources System used to violate law Loss of value … or at least make them less likely Versus an adversary!
Network Security Topology From WAN to LAN = EVIL DMZ Reverse Proxy Mail Relay From DMZ to LAN = EVIL Only specific traffic From LAN to WAN = BAD Outgoing Firewall http,https,ftp,?icmp? Outgoing Web Proxy
Ballance Security Usability
Realdolmen VPN
Virtual Private Network VPN? Virtual Private Network Network Destination 192.168.1.10 ????? 192.168.1.0/24 192.168.0.0/24 Internet
Encryption Encapsulation Virtual Private Network Virtual Network 192.168.1.0/24 192.168.0.0/24 Internet Encryption Encapsulation
Types Connectiviteit Technologie Site-To-Site Mobile User IPSEC SSL
Cryptography The security should be based on the secrecy of the keys not on the secrecy of the algorithms
Symmetric Encryption + Relatively simple - Need to share secret key + Fast - Need to share secret key
Asymmetric Encryption + No need to share secret key Slow More complex
Solution : Mixup both Combine the best of both worlds.... Use asymmetric encryption at connection setup time to securely exchange a symmetric ‘session’ key. Note: Performance is not a problem since only the session key must be encrypted using asymmetric encryption. Then, use this session key to exchange the message(s). Almost all secure applications/systems use a derivative of this concept. E.g. IPSec, S/MIME, SSL/TLS
Is a VPN Secure?
12/28/2018 Vragen
Realdolmen Firewall
Doelstelling
Common Setup
Firewall Router Layer 4 filtering Statefull firewall NAT UTM (layer 5) VPN Terminatie
Firewall voorbeelden
Demo
Is a Firewall Secure?
12/28/2018 Vragen
Doelstelling
Realdolmen Wireless LAN
12/28/2018 Frequentiespectrum
De industriestandaarden: IEEE 12/28/2018 De industriestandaarden: IEEE Institute of Electrical and Electronics Engineers 802.11: basis interoperabiliteit, FHSS & DSSS;1&2 Mbps 802.11b: 2,4 GHz; 5,5 & 11 Mbps; DSSS 802.11a: 5 GHz; tot 54 Mbps; DSSS & OFDM 802.11g: 2,4 GHz; tot 54 Mbps; DSSS & OFDM 802.11n: 2,4 GHz & 5 GHz; tot 300 Mbps 802.11e: QoS 802.11h: DFS and TPC 802.11i: advanced security standaard 802.1x: netwerk authenticatie standaard … ondertussen 802.11aa
De industriestandaarden: WiFi-alliance 12/28/2018 De industriestandaarden: WiFi-alliance Beveiligingstandaarden zoals WPA, WPA2, WMM, … Certificatie van producten (voor interoperabiliteit)
12/28/2018 802.11b/g channels
RSSI en SNR Received signal strength indicator Signal-to-noise ratio 12/28/2018 RSSI en SNR Received signal strength indicator Meestal negatieve waarde hoe dichter bij nul, hoe beter Signal-to-noise ratio Signaal in verhouding tot het ruisniveau
Site survey: Non-WiFi Interference 12/28/2018 Site survey: Non-WiFi Interference
12/28/2018 Padverlies Signaal wordt zwakker als afstand vergroot
12/28/2018 Absorptie Bijvoorbeeld water, muren, bomen, …
12/28/2018 Multipath distortion
Stralingspatronen: theoretisch 12/28/2018 Stralingspatronen: theoretisch Omnidirectionele antennes
Stralingspatronen: theoretisch 12/28/2018 Stralingspatronen: theoretisch Directionele antennes
Stralingspatronen: dipoolantenne 12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941
Stralingspatronen: dipoolantenne 12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941 Frequency dependant Connector vendor afh.
Stralingspatronen: patch antenne 12/28/2018 Stralingspatronen: patch antenne Cisco AIR-ANT2465P-R Antenna Diversity Gain
12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur
12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten Indoor Wireless Network Outdoor Wireless Bridging
12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten infrastructuur: toegangspunten verbinden draadloze toestellen met het bekabelde netwerk autonomous access points centralized meshed
Architectuur - infrastructuur 12/28/2018 Architectuur - infrastructuur Standalone access points
Architectuur - infrastructuur 12/28/2018 Architectuur - infrastructuur Gecentraliseerde oplossing
Architectuur - infrastructuur 12/28/2018 Architectuur - infrastructuur tendens naar gecentraliseerde oplossing flexibeler betrouwbaarder beter beheerbaar consistente beveiliging performanter hoger niveau van monitoring goedkoper taakverdeling tussen toegangspunt en controller
Installatie access points 12/28/2018 Installatie access points Netwerkverbinding Typisch twisted pair Stroomvoorziening Lokaal: Power adapter Centraal: PoE injector Centraal: PoE switch PoE wordt ook gebruikt voor VOIP telefoons, IP camera’s, …
Installatie access points 12/28/2018 Installatie access points
Aandachtspunten bij de implementatie 12/28/2018 Aandachtspunten bij de implementatie Netwerk beveiliging snelheid flexibiliteit betrouwbaarheid beheerbaarheid kost Draadloos dekking interferenties Site Survey
Site survey: weergave op plan 12/28/2018 Site survey: weergave op plan
12/28/2018 Site survey: heat maps Minimale signaalsterkte voor goede voice ontvangst -67dBm -72dBm Minimale signaalsterkte voor goede data ontvangst
Voorbeelden: Controllers 12/28/2018 Voorbeelden: Controllers Controllers – standalone or integrated: 4400 2100 WiSM
Voorbeelden: Access points 12/28/2018 Voorbeelden: Access points 1130 1240 1250
Voorbeelden: Antennes 12/28/2018 Voorbeelden: Antennes indoor – outdoor
Voorbeelden: Management 12/28/2018 Voorbeelden: Management Software
Voorbeelden: Controllers 12/28/2018 Voorbeelden: Controllers zl module xl module
Voorbeelden: Access points 12/28/2018 Voorbeelden: Access points Access Point 420 Access Point 530 Radio Port 210 Radio Port 220 Radio Port 230
Problemen bij de standaardbeveiliging 2 12/28/2018 Problemen bij de standaardbeveiliging 2 de standaardbeveiliging is door geoefende indringers makkelijk te omzeilen Software Wireless Sniffers laten toe de SSID te lezen authenticatie is gevoelig voor man-in-the-middle aanvallen shared keys kunnen gelezen of ontcijferd worden WEP keys en eenvoudige WPA keys kunnen ontcijferd worden MAC-adressen kunnen gespooft worden NICs en laptops kunnen gestolen worden beheer is arbeidsintensief
Extra beveiliging is nodig voor bedrijfskritische gegevens 12/28/2018 Extra beveiliging is nodig voor bedrijfskritische gegevens 802.1x standaard algemene structuur voor netwerkauthenticatie LAN-poort niveau Radius Server EAP Extensible Authentication Protocol wederzijdse authentication vertrekt vanuit de gebruiker dynamische WEP sleutels AES Advanced Encryption Standard gebaseerd op het Rijndael algoritme
Extra beveiliging - vervolg 12/28/2018 Extra beveiliging - vervolg 802.11i subset WPA: WiFi Protected Access encryptie: TKIP (zoals in WEP) authenticatie: 802.1x of PSK 802.11i standaard WPA2 encryptie: AES constructeur-afhankelijke beveiliging (LEAP, …) opzetten van VPNs gescheiden segmenten, beveiligd door UTM en FireWall systemen
Is Wireless LAN Secure?
Realdolmen VLAN
Doelstelling
VLAN VLAN Tagging IEEE 802.1Q Trunk Tagged/ Untagged http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a0080094665.shtml
Schema Firewall en switch apparte VLAN voor DMZ + LAN ipv apparte switches
Realdolmen Redundancy
Doelstelling
Schema Hang een aantal switchen aan elkaar en kreeer een loop
Layer 2: Spanning Tree Broadcast Storm 802.1D STP Root Bridge Root Port (Non)Designated Port Forwarding Blocking http://james.bond.edu.au/courses/inft13337/053/Labs/week8.html
Oefening
Layer 3: VRRP Master/Slave (priority 1-255) Advertisements (1/s door master) Master downtime interval (3x adv int + Skew time) Skew Time (256-priority/256)ms
Layer 3: VRRP
12/28/2018 Vragen
Realdolmen Design
Oplossing ≠ Product Hardware Workflow Security Prijs Software Gebruikers Training Perfomantie Management Ecologie
Bv Klant Vraagt Om onze business te doen hebben wij ons software pakket dat achterliggend een database gebruikt nodig. Verder moeten wij kunnen e-mailen en surfen. Deze applicaties zijn business kritisch. Thuis werken moet mogelijk zijn. Overal aan onze email kunnen (webmail, iPhone). Security is zeer belangrijk!!!!!!! (de klant is wat paranoia).
Mogelijke oplossing Backup? UPS? File server?
Datacenter VMW Layer 2
Datacenter VMW Layer 3
12/28/2018 Vragen