Download de presentatie
De presentatie wordt gedownload. Even geduld aub
2
Kristof Lossie System Engineer Network Security
3
Birds
4
Traceroute $ tracert Tracing route to over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 2 <1 ms <1 ms <1 ms * * * Request timed out.
5
Assumptions are EVIL
6
Realdolmen Secure Network Design
7
Doelstelling
8
Dagplanning 10:15- 12:15 IT Security Network Securty VPN + Cryptografie Firewall (Optioneel) 13: :45 Intro Realdolmen Wireless Networking VLAN Redundancy 15:00 (eerst coffie pauze)- 16:15 Network Design
9
IT Security ?
10
BV: Password Security
11
VB: Social engineering attacks
12
Ultimate Question What is the most secure?
A) a Microsoft Windows Server B) a Linux Server C) a Mac OS X Server D) a *BSD Server
13
What is security ? Security: prevent bad things from happening
Confidential information leaked Important information damaged Critical services unavailable Clients not paying for services Money stolen Improper access to physical resources System used to violate law Loss of value … or at least make them less likely Versus an adversary!
14
Network Security Topology
From WAN to LAN = EVIL DMZ Reverse Proxy Mail Relay From DMZ to LAN = EVIL Only specific traffic From LAN to WAN = BAD Outgoing Firewall http,https,ftp,?icmp? Outgoing Web Proxy
15
Ballance Security Usability
16
Realdolmen VPN
17
Virtual Private Network
VPN? Virtual Private Network Network Destination ????? /24 /24 Internet
18
Encryption Encapsulation Virtual Private Network Virtual Network
/24 /24 Internet Encryption Encapsulation
19
Types Connectiviteit Technologie Site-To-Site Mobile User IPSEC SSL
20
Cryptography The security should be based on the secrecy of the keys not on the secrecy of the algorithms
21
Symmetric Encryption + Relatively simple - Need to share secret key
+ Fast - Need to share secret key
22
Asymmetric Encryption
+ No need to share secret key Slow More complex
23
Solution : Mixup both Combine the best of both worlds....
Use asymmetric encryption at connection setup time to securely exchange a symmetric ‘session’ key. Note: Performance is not a problem since only the session key must be encrypted using asymmetric encryption. Then, use this session key to exchange the message(s). Almost all secure applications/systems use a derivative of this concept. E.g. IPSec, S/MIME, SSL/TLS
24
Is a VPN Secure?
25
12/28/2018 Vragen
26
Realdolmen Firewall
27
Doelstelling
28
Common Setup
29
Firewall Router Layer 4 filtering Statefull firewall NAT UTM (layer 5)
VPN Terminatie
30
Firewall voorbeelden
31
Demo
32
Is a Firewall Secure?
33
12/28/2018 Vragen
34
Doelstelling
35
Realdolmen Wireless LAN
36
12/28/2018 Frequentiespectrum
37
De industriestandaarden: IEEE
12/28/2018 De industriestandaarden: IEEE Institute of Electrical and Electronics Engineers 802.11: basis interoperabiliteit, FHSS & DSSS;1&2 Mbps 802.11b: 2,4 GHz; 5,5 & 11 Mbps; DSSS 802.11a: 5 GHz; tot 54 Mbps; DSSS & OFDM 802.11g: 2,4 GHz; tot 54 Mbps; DSSS & OFDM 802.11n: 2,4 GHz & 5 GHz; tot 300 Mbps 802.11e: QoS 802.11h: DFS and TPC 802.11i: advanced security standaard 802.1x: netwerk authenticatie standaard … ondertussen aa
38
De industriestandaarden: WiFi-alliance
12/28/2018 De industriestandaarden: WiFi-alliance Beveiligingstandaarden zoals WPA, WPA2, WMM, … Certificatie van producten (voor interoperabiliteit)
39
12/28/2018 802.11b/g channels
40
RSSI en SNR Received signal strength indicator Signal-to-noise ratio
12/28/2018 RSSI en SNR Received signal strength indicator Meestal negatieve waarde hoe dichter bij nul, hoe beter Signal-to-noise ratio Signaal in verhouding tot het ruisniveau
41
Site survey: Non-WiFi Interference
12/28/2018 Site survey: Non-WiFi Interference
42
12/28/2018 Padverlies Signaal wordt zwakker als afstand vergroot
43
12/28/2018 Absorptie Bijvoorbeeld water, muren, bomen, …
44
12/28/2018 Multipath distortion
45
Stralingspatronen: theoretisch
12/28/2018 Stralingspatronen: theoretisch Omnidirectionele antennes
46
Stralingspatronen: theoretisch
12/28/2018 Stralingspatronen: theoretisch Directionele antennes
47
Stralingspatronen: dipoolantenne
12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941
48
Stralingspatronen: dipoolantenne
12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941 Frequency dependant Connector vendor afh.
49
Stralingspatronen: patch antenne
12/28/2018 Stralingspatronen: patch antenne Cisco AIR-ANT2465P-R Antenna Diversity Gain
50
12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur
51
12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten Indoor Wireless Network Outdoor Wireless Bridging
52
12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten infrastructuur: toegangspunten verbinden draadloze toestellen met het bekabelde netwerk autonomous access points centralized meshed
53
Architectuur - infrastructuur
12/28/2018 Architectuur - infrastructuur Standalone access points
54
Architectuur - infrastructuur
12/28/2018 Architectuur - infrastructuur Gecentraliseerde oplossing
55
Architectuur - infrastructuur
12/28/2018 Architectuur - infrastructuur tendens naar gecentraliseerde oplossing flexibeler betrouwbaarder beter beheerbaar consistente beveiliging performanter hoger niveau van monitoring goedkoper taakverdeling tussen toegangspunt en controller
56
Installatie access points
12/28/2018 Installatie access points Netwerkverbinding Typisch twisted pair Stroomvoorziening Lokaal: Power adapter Centraal: PoE injector Centraal: PoE switch PoE wordt ook gebruikt voor VOIP telefoons, IP camera’s, …
57
Installatie access points
12/28/2018 Installatie access points
58
Aandachtspunten bij de implementatie
12/28/2018 Aandachtspunten bij de implementatie Netwerk beveiliging snelheid flexibiliteit betrouwbaarheid beheerbaarheid kost Draadloos dekking interferenties Site Survey
59
Site survey: weergave op plan
12/28/2018 Site survey: weergave op plan
60
12/28/2018 Site survey: heat maps Minimale signaalsterkte voor goede voice ontvangst -67dBm -72dBm Minimale signaalsterkte voor goede data ontvangst
61
Voorbeelden: Controllers
12/28/2018 Voorbeelden: Controllers Controllers – standalone or integrated: WiSM
62
Voorbeelden: Access points
12/28/2018 Voorbeelden: Access points 1130 1240 1250
63
Voorbeelden: Antennes
12/28/2018 Voorbeelden: Antennes indoor – outdoor
64
Voorbeelden: Management
12/28/2018 Voorbeelden: Management Software
65
Voorbeelden: Controllers
12/28/2018 Voorbeelden: Controllers zl module xl module
66
Voorbeelden: Access points
12/28/2018 Voorbeelden: Access points Access Point 420 Access Point 530 Radio Port 210 Radio Port 220 Radio Port 230
67
Problemen bij de standaardbeveiliging 2
12/28/2018 Problemen bij de standaardbeveiliging 2 de standaardbeveiliging is door geoefende indringers makkelijk te omzeilen Software Wireless Sniffers laten toe de SSID te lezen authenticatie is gevoelig voor man-in-the-middle aanvallen shared keys kunnen gelezen of ontcijferd worden WEP keys en eenvoudige WPA keys kunnen ontcijferd worden MAC-adressen kunnen gespooft worden NICs en laptops kunnen gestolen worden beheer is arbeidsintensief
68
Extra beveiliging is nodig voor bedrijfskritische gegevens
12/28/2018 Extra beveiliging is nodig voor bedrijfskritische gegevens 802.1x standaard algemene structuur voor netwerkauthenticatie LAN-poort niveau Radius Server EAP Extensible Authentication Protocol wederzijdse authentication vertrekt vanuit de gebruiker dynamische WEP sleutels AES Advanced Encryption Standard gebaseerd op het Rijndael algoritme
69
Extra beveiliging - vervolg
12/28/2018 Extra beveiliging - vervolg 802.11i subset WPA: WiFi Protected Access encryptie: TKIP (zoals in WEP) authenticatie: 802.1x of PSK 802.11i standaard WPA2 encryptie: AES constructeur-afhankelijke beveiliging (LEAP, …) opzetten van VPNs gescheiden segmenten, beveiligd door UTM en FireWall systemen
70
Is Wireless LAN Secure?
71
Realdolmen VLAN
72
Doelstelling
73
VLAN VLAN Tagging IEEE 802.1Q Trunk Tagged/ Untagged
74
Schema Firewall en switch apparte VLAN voor DMZ + LAN ipv apparte switches
75
Realdolmen Redundancy
76
Doelstelling
77
Schema Hang een aantal switchen aan elkaar en kreeer een loop
78
Layer 2: Spanning Tree Broadcast Storm 802.1D STP Root Bridge
Root Port (Non)Designated Port Forwarding Blocking
79
Oefening
80
Layer 3: VRRP Master/Slave (priority 1-255)
Advertisements (1/s door master) Master downtime interval (3x adv int + Skew time) Skew Time (256-priority/256)ms
81
Layer 3: VRRP
82
12/28/2018 Vragen
83
Realdolmen Design
84
Oplossing ≠ Product Hardware Workflow Security Prijs Software
Gebruikers Training Perfomantie Management Ecologie
85
Bv Klant Vraagt Om onze business te doen hebben wij ons software pakket dat achterliggend een database gebruikt nodig. Verder moeten wij kunnen en en surfen. Deze applicaties zijn business kritisch. Thuis werken moet mogelijk zijn. Overal aan onze kunnen (webmail, iPhone). Security is zeer belangrijk!!!!!!! (de klant is wat paranoia).
86
Mogelijke oplossing Backup? UPS? File server?
89
Datacenter VMW Layer 2
90
Datacenter VMW Layer 3
91
12/28/2018 Vragen
Verwante presentaties
