Kristof Lossie System Engineer Network Security

Slides:



Advertisements
Verwante presentaties
Thuisnetwerken. Thuisnetwerken Enkele statistieken 77% Belgische huisgezinnen met minstens één persoon tussen 16 en 74 jaar  minstens één of meerdere.
Advertisements

13/09/2004 Voice over IP/ IP Telephony Erwin Manshoven VoIP / IPTelephony.
802.1x op het SURFnet kantoor
Hardware voor draadloos netwerk
IT-Workz Welkom bij IT-Workz WiFi, Vrijheid of niet?
FOLLOW ME WORKPLACE flexibele toegang tot uw bedrijfstoepassingen en –documenten vanop elke locatie, vanop elk toestel.
M A K E Y O U R N E T W O R K S M A R T E R Wireless ppt_aa1_p04_wireless_v4-0_nl_0508.
Aansluiten !! WirelessLeiden, 2004, Hugo Meiland.
LANCOM Systems – Bausch Datacom
Wireless internet Voordracht bij HCC Zoetermeer op dinsdag 8 december 2009 door Theo de Zeeuw Deel 1.
Door Kick de Wolff Netwerk thuis maken Door Kick de Wolff
Presentatie Thuisnetwerken
Alex Bausch Evert Jan Westera Dinsdag, 22 april Microsoft event VeiligMobiel werken.
Enkele weetjes Hoe stel ik een router in als access point
De GigaPort GPRS-pilot Klaas Wierenga SURFnet Innovatiemanagement
... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.
Wireless Fidelity Theorie en Praktijk.
WiFi netwerk Door Nico Van Damme.
EduRoam en beveiliging
Samsung Office Serv Soho Analoog Training en uitleg Guido Lovink Versie 1.01.
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
VPN Technologieën en oplossingen. VPN en IP VPN Leased line netwerk Echt ‘privaat’ netwerk: eigen lijnen met gegarandeerde capaciteit Per connectie een.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
Blackboard bijeenkomst 25 april Network Load Balancing & ISA Server (2006) J.G.A. Jans Hogeschool INHOLLAND
Meerdere platforms over hetzelfde netwerk: DOS Windows 3.X & 9X NT ‘Office’ applicaties; administratie; gekoppeld aan apparatuur Verschillende Microsoft.
Breedband in het OV: architectuur 11 Mei 2005 GVB, Amsterdam.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek Federatieve netwerk toegang: eduroam Federatiedagen, Utrecht, 29 Maart 2006
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
SURFnet en draadloze technologie SURFnet Relatiedagen, 8 December 2004
SURFnet introductie, 1 juni 2005
CvDUR/COMIT WLAN en samenwerking CvDUR/COMIT
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Steven Körmeling, Mark Rotteveel, Jan Kouwenhoven januari 2006
Samsung Office Serv Soho ISDN Training en uitleg Guido Lovink Versie 1.01.
WIFI Efficient maar veilig draadloos netwerken Jan Guldentops
MCSA traject Leerjaar 4 H /10 Agenda Samenvatting H1.
hcc!pc Werkgroep netwerken
Data Unit Wireless presentation. Presentatie overzicht Raamovereenkomst overzicht BekabelingSwitchingWireless.
Algemene Techniek Wireless Leiden, 2004, Hugo Meiland.
stap 1 * Draadloze netwerkkaart installeren * Een van de belangrijkste benodigdheden voor het kunnen ontvangen van draadloos internet is een draadloze.
Overzicht na implementatie Nieuw Hardware Software voor het gebruik van Quickbooks 2011 intern en extern.
Presentatie titel Rotterdam, 00 januari 2007 BIMAIV04 Algemene Automatisering van de Informatievoorziening Week 3 Business IT & Management
30 sept 2011 MCS Kennissessie Remote Beheer Remote Beheer Met Conel Routers.
 Value Add Distributeur van innovaphone  Benelux  UK Wim Rapol – Com8.
1 Network Admission Control Als beveiliging voor draadloze netwerken Jan van der Graaf Senior Consultant Security & Infrastructures
Adrem Software.  Key Features  Monitoring  Visualisatie  Alerting  Reporting  Console  Praktisch  Server requirements  Databases  Licensing.
SSO demo Peter Mesker. Imprivata OneSign Platform A Converged Identity and Access Management platform that enforces secure and compliant employee access.
WirelessCity Ontdek de mogelijkheden van HP Wireless
WiFi instellingen woensdag 1 maart 2017.
Key Process Indicator Sonja de Bruin
WIFI IN DE GEZONDHEIDSZORG
TOR NETWERK.
WirelessEnterprise Ontdek de mogelijkheden van HP Wireless
Innovatie met IBM Cloud Orchestrator.
WirelessEducation Ontdek de mogelijkheden van HP Wireless
Processing Structured Hypermedia
OpenVPN(-NL) Performance
The Hybrid Workspace Gino van Essen Technical Consultant.
2tCloud Connectivity propositie
Faciliteiten voor toegang tot het EURnet voor mobiele werkstations
Serial-ATA(SATA) Serial Attached SCSI (SAS)
… een poging tot verheldering …
Pieter Vogelaar Sales Manager Networks
in de huisartsenpraktijk
Michaël Hompus Principal developer,
Wifi D-LINK DIR-635 Rudiger.
Netwerken & Internet 1.
Transcript van de presentatie:

Kristof Lossie System Engineer Network Security

Birds

Traceroute $ tracert 192.168.45.42 Tracing route to 192.168.45.42 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 10.45.10.254 2 <1 ms <1 ms <1 ms 10.45.12.100 3 * * * Request timed out.

Assumptions are EVIL

Realdolmen Secure Network Design

Doelstelling

Dagplanning 10:15- 12:15 IT Security Network Securty VPN + Cryptografie Firewall (Optioneel) 13:15 - 14:45 Intro Realdolmen Wireless Networking VLAN Redundancy 15:00 (eerst coffie pauze)- 16:15 Network Design

IT Security ?

BV: Password Security

VB: Social engineering attacks

Ultimate Question What is the most secure? A) a Microsoft Windows Server B) a Linux Server C) a Mac OS X Server D) a *BSD Server

What is security ? Security: prevent bad things from happening Confidential information leaked Important information damaged Critical services unavailable Clients not paying for services Money stolen Improper access to physical resources System used to violate law Loss of value … or at least make them less likely Versus an adversary!

Network Security Topology From WAN to LAN = EVIL DMZ Reverse Proxy Mail Relay From DMZ to LAN = EVIL Only specific traffic From LAN to WAN = BAD Outgoing Firewall http,https,ftp,?icmp? Outgoing Web Proxy

Ballance Security Usability

Realdolmen VPN

Virtual Private Network VPN? Virtual Private Network Network Destination 192.168.1.10 ????? 192.168.1.0/24 192.168.0.0/24 Internet

Encryption Encapsulation Virtual Private Network Virtual Network 192.168.1.0/24 192.168.0.0/24 Internet Encryption Encapsulation

Types Connectiviteit Technologie Site-To-Site Mobile User IPSEC SSL

Cryptography The security should be based on the secrecy of the keys not on the secrecy of the algorithms

Symmetric Encryption + Relatively simple - Need to share secret key + Fast - Need to share secret key

Asymmetric Encryption + No need to share secret key Slow More complex

Solution : Mixup both Combine the best of both worlds.... Use asymmetric encryption at connection setup time to securely exchange a symmetric ‘session’ key. Note: Performance is not a problem since only the session key must be encrypted using asymmetric encryption. Then, use this session key to exchange the message(s). Almost all secure applications/systems use a derivative of this concept. E.g. IPSec, S/MIME, SSL/TLS

Is a VPN Secure?

12/28/2018 Vragen

Realdolmen Firewall

Doelstelling

Common Setup

Firewall Router Layer 4 filtering Statefull firewall NAT UTM (layer 5) VPN Terminatie

Firewall voorbeelden

Demo

Is a Firewall Secure?

12/28/2018 Vragen

Doelstelling

Realdolmen Wireless LAN

12/28/2018 Frequentiespectrum

De industriestandaarden: IEEE 12/28/2018 De industriestandaarden: IEEE Institute of Electrical and Electronics Engineers 802.11: basis interoperabiliteit, FHSS & DSSS;1&2 Mbps 802.11b: 2,4 GHz; 5,5 & 11 Mbps; DSSS 802.11a: 5 GHz; tot 54 Mbps; DSSS & OFDM 802.11g: 2,4 GHz; tot 54 Mbps; DSSS & OFDM 802.11n: 2,4 GHz & 5 GHz; tot 300 Mbps 802.11e: QoS 802.11h: DFS and TPC 802.11i: advanced security standaard 802.1x: netwerk authenticatie standaard … ondertussen 802.11aa

De industriestandaarden: WiFi-alliance 12/28/2018 De industriestandaarden: WiFi-alliance Beveiligingstandaarden zoals WPA, WPA2, WMM, … Certificatie van producten (voor interoperabiliteit)

12/28/2018 802.11b/g channels

RSSI en SNR Received signal strength indicator Signal-to-noise ratio 12/28/2018 RSSI en SNR Received signal strength indicator Meestal negatieve waarde hoe dichter bij nul, hoe beter Signal-to-noise ratio Signaal in verhouding tot het ruisniveau

Site survey: Non-WiFi Interference 12/28/2018 Site survey: Non-WiFi Interference

12/28/2018 Padverlies Signaal wordt zwakker als afstand vergroot

12/28/2018 Absorptie Bijvoorbeeld water, muren, bomen, …

12/28/2018 Multipath distortion

Stralingspatronen: theoretisch 12/28/2018 Stralingspatronen: theoretisch Omnidirectionele antennes

Stralingspatronen: theoretisch 12/28/2018 Stralingspatronen: theoretisch Directionele antennes

Stralingspatronen: dipoolantenne 12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941

Stralingspatronen: dipoolantenne 12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941 Frequency dependant Connector vendor afh.

Stralingspatronen: patch antenne 12/28/2018 Stralingspatronen: patch antenne Cisco AIR-ANT2465P-R Antenna Diversity Gain

12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur

12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten Indoor Wireless Network Outdoor Wireless Bridging

12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten infrastructuur: toegangspunten verbinden draadloze toestellen met het bekabelde netwerk autonomous access points centralized meshed

Architectuur - infrastructuur 12/28/2018 Architectuur - infrastructuur Standalone access points

Architectuur - infrastructuur 12/28/2018 Architectuur - infrastructuur Gecentraliseerde oplossing

Architectuur - infrastructuur 12/28/2018 Architectuur - infrastructuur tendens naar gecentraliseerde oplossing flexibeler betrouwbaarder beter beheerbaar consistente beveiliging performanter hoger niveau van monitoring goedkoper taakverdeling tussen toegangspunt en controller

Installatie access points 12/28/2018 Installatie access points Netwerkverbinding Typisch twisted pair Stroomvoorziening Lokaal: Power adapter Centraal: PoE injector Centraal: PoE switch PoE wordt ook gebruikt voor VOIP telefoons, IP camera’s, …

Installatie access points 12/28/2018 Installatie access points

Aandachtspunten bij de implementatie 12/28/2018 Aandachtspunten bij de implementatie Netwerk beveiliging snelheid flexibiliteit betrouwbaarheid beheerbaarheid kost Draadloos dekking interferenties Site Survey

Site survey: weergave op plan 12/28/2018 Site survey: weergave op plan

12/28/2018 Site survey: heat maps Minimale signaalsterkte voor goede voice ontvangst -67dBm -72dBm Minimale signaalsterkte voor goede data ontvangst

Voorbeelden: Controllers 12/28/2018 Voorbeelden: Controllers Controllers – standalone or integrated: 4400 2100 WiSM

Voorbeelden: Access points 12/28/2018 Voorbeelden: Access points 1130 1240 1250

Voorbeelden: Antennes 12/28/2018 Voorbeelden: Antennes indoor – outdoor

Voorbeelden: Management 12/28/2018 Voorbeelden: Management Software

Voorbeelden: Controllers 12/28/2018 Voorbeelden: Controllers zl module xl module

Voorbeelden: Access points 12/28/2018 Voorbeelden: Access points Access Point 420 Access Point 530 Radio Port 210 Radio Port 220 Radio Port 230

Problemen bij de standaardbeveiliging 2 12/28/2018 Problemen bij de standaardbeveiliging 2 de standaardbeveiliging is door geoefende indringers makkelijk te omzeilen Software Wireless Sniffers laten toe de SSID te lezen authenticatie is gevoelig voor man-in-the-middle aanvallen shared keys kunnen gelezen of ontcijferd worden WEP keys en eenvoudige WPA keys kunnen ontcijferd worden MAC-adressen kunnen gespooft worden NICs en laptops kunnen gestolen worden beheer is arbeidsintensief

Extra beveiliging is nodig voor bedrijfskritische gegevens 12/28/2018 Extra beveiliging is nodig voor bedrijfskritische gegevens 802.1x standaard algemene structuur voor netwerkauthenticatie LAN-poort niveau Radius Server EAP Extensible Authentication Protocol wederzijdse authentication vertrekt vanuit de gebruiker dynamische WEP sleutels AES Advanced Encryption Standard gebaseerd op het Rijndael algoritme

Extra beveiliging - vervolg 12/28/2018 Extra beveiliging - vervolg 802.11i subset WPA: WiFi Protected Access encryptie: TKIP (zoals in WEP) authenticatie: 802.1x of PSK 802.11i standaard WPA2 encryptie: AES constructeur-afhankelijke beveiliging (LEAP, …) opzetten van VPNs gescheiden segmenten, beveiligd door UTM en FireWall systemen

Is Wireless LAN Secure?

Realdolmen VLAN

Doelstelling

VLAN VLAN Tagging IEEE 802.1Q Trunk Tagged/ Untagged http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a0080094665.shtml

Schema Firewall en switch apparte VLAN voor DMZ + LAN ipv apparte switches

Realdolmen Redundancy

Doelstelling

Schema Hang een aantal switchen aan elkaar en kreeer een loop

Layer 2: Spanning Tree Broadcast Storm 802.1D STP Root Bridge Root Port (Non)Designated Port Forwarding Blocking http://james.bond.edu.au/courses/inft13337/053/Labs/week8.html

Oefening

Layer 3: VRRP Master/Slave (priority 1-255) Advertisements (1/s door master) Master downtime interval (3x adv int + Skew time) Skew Time (256-priority/256)ms

Layer 3: VRRP

12/28/2018 Vragen

Realdolmen Design

Oplossing ≠ Product Hardware Workflow Security Prijs Software Gebruikers Training Perfomantie Management Ecologie

Bv Klant Vraagt Om onze business te doen hebben wij ons software pakket dat achterliggend een database gebruikt nodig. Verder moeten wij kunnen e-mailen en surfen. Deze applicaties zijn business kritisch. Thuis werken moet mogelijk zijn. Overal aan onze email kunnen (webmail, iPhone). Security is zeer belangrijk!!!!!!! (de klant is wat paranoia).

Mogelijke oplossing Backup? UPS? File server?

Datacenter VMW Layer 2

Datacenter VMW Layer 3

12/28/2018 Vragen