De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Kristof Lossie System Engineer Network Security

Verwante presentaties


Presentatie over: "Kristof Lossie System Engineer Network Security"— Transcript van de presentatie:

1

2 Kristof Lossie System Engineer Network Security

3 Birds

4 Traceroute $ tracert Tracing route to over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 2 <1 ms <1 ms <1 ms * * * Request timed out.

5 Assumptions are EVIL

6 Realdolmen Secure Network Design

7 Doelstelling

8 Dagplanning 10:15- 12:15 IT Security Network Securty VPN + Cryptografie Firewall (Optioneel) 13: :45 Intro Realdolmen Wireless Networking VLAN Redundancy 15:00 (eerst coffie pauze)- 16:15 Network Design

9 IT Security ?

10 BV: Password Security

11 VB: Social engineering attacks

12 Ultimate Question What is the most secure?
A) a Microsoft Windows Server B) a Linux Server C) a Mac OS X Server D) a *BSD Server

13 What is security ? Security: prevent bad things from happening
Confidential information leaked Important information damaged Critical services unavailable Clients not paying for services Money stolen Improper access to physical resources System used to violate law Loss of value … or at least make them less likely Versus an adversary!

14 Network Security Topology
From WAN to LAN = EVIL DMZ Reverse Proxy Mail Relay From DMZ to LAN = EVIL Only specific traffic From LAN to WAN = BAD Outgoing Firewall http,https,ftp,?icmp? Outgoing Web Proxy

15 Ballance Security Usability

16 Realdolmen VPN

17 Virtual Private Network
VPN? Virtual Private Network Network Destination ????? /24 /24 Internet

18 Encryption Encapsulation Virtual Private Network Virtual Network
/24 /24 Internet Encryption Encapsulation

19 Types Connectiviteit Technologie Site-To-Site Mobile User IPSEC SSL

20 Cryptography The security should be based on the secrecy of the keys not on the secrecy of the algorithms

21 Symmetric Encryption + Relatively simple - Need to share secret key
+ Fast - Need to share secret key

22 Asymmetric Encryption
+ No need to share secret key Slow More complex

23 Solution : Mixup both Combine the best of both worlds....
Use asymmetric encryption at connection setup time to securely exchange a symmetric ‘session’ key. Note: Performance is not a problem since only the session key must be encrypted using asymmetric encryption. Then, use this session key to exchange the message(s). Almost all secure applications/systems use a derivative of this concept. E.g. IPSec, S/MIME, SSL/TLS

24 Is a VPN Secure?

25 12/28/2018 Vragen

26 Realdolmen Firewall

27 Doelstelling

28 Common Setup

29 Firewall Router Layer 4 filtering Statefull firewall NAT UTM (layer 5)
VPN Terminatie

30 Firewall voorbeelden

31 Demo

32 Is a Firewall Secure?

33 12/28/2018 Vragen

34 Doelstelling

35 Realdolmen Wireless LAN

36 12/28/2018 Frequentiespectrum

37 De industriestandaarden: IEEE
12/28/2018 De industriestandaarden: IEEE Institute of Electrical and Electronics Engineers 802.11: basis interoperabiliteit, FHSS & DSSS;1&2 Mbps 802.11b: 2,4 GHz; 5,5 & 11 Mbps; DSSS 802.11a: 5 GHz; tot 54 Mbps; DSSS & OFDM 802.11g: 2,4 GHz; tot 54 Mbps; DSSS & OFDM 802.11n: 2,4 GHz & 5 GHz; tot 300 Mbps 802.11e: QoS 802.11h: DFS and TPC 802.11i: advanced security standaard 802.1x: netwerk authenticatie standaard … ondertussen aa

38 De industriestandaarden: WiFi-alliance
12/28/2018 De industriestandaarden: WiFi-alliance Beveiligingstandaarden zoals WPA, WPA2, WMM, … Certificatie van producten (voor interoperabiliteit)

39 12/28/2018 802.11b/g channels

40 RSSI en SNR Received signal strength indicator Signal-to-noise ratio
12/28/2018 RSSI en SNR Received signal strength indicator Meestal negatieve waarde hoe dichter bij nul, hoe beter Signal-to-noise ratio Signaal in verhouding tot het ruisniveau

41 Site survey: Non-WiFi Interference
12/28/2018 Site survey: Non-WiFi Interference

42 12/28/2018 Padverlies Signaal wordt zwakker als afstand vergroot

43 12/28/2018 Absorptie Bijvoorbeeld water, muren, bomen, …

44 12/28/2018 Multipath distortion

45 Stralingspatronen: theoretisch
12/28/2018 Stralingspatronen: theoretisch Omnidirectionele antennes

46 Stralingspatronen: theoretisch
12/28/2018 Stralingspatronen: theoretisch Directionele antennes

47 Stralingspatronen: dipoolantenne
12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941

48 Stralingspatronen: dipoolantenne
12/28/2018 Stralingspatronen: dipoolantenne Cisco AIR-ANT4941 Frequency dependant Connector vendor afh.

49 Stralingspatronen: patch antenne
12/28/2018 Stralingspatronen: patch antenne Cisco AIR-ANT2465P-R Antenna Diversity Gain

50 12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur

51 12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten Indoor Wireless Network Outdoor Wireless Bridging

52 12/28/2018 Architectuur ad-hoc: rechtstreeks verbinden van enkele toestellen met elkaar zonder onderliggende infrastructuur bridging: punt-tot-punt verbinding voor het connecteren van verschillende Ethernet segmenten infrastructuur: toegangspunten verbinden draadloze toestellen met het bekabelde netwerk autonomous access points centralized meshed

53 Architectuur - infrastructuur
12/28/2018 Architectuur - infrastructuur Standalone access points

54 Architectuur - infrastructuur
12/28/2018 Architectuur - infrastructuur Gecentraliseerde oplossing

55 Architectuur - infrastructuur
12/28/2018 Architectuur - infrastructuur tendens naar gecentraliseerde oplossing flexibeler betrouwbaarder beter beheerbaar consistente beveiliging performanter hoger niveau van monitoring goedkoper taakverdeling tussen toegangspunt en controller

56 Installatie access points
12/28/2018 Installatie access points Netwerkverbinding Typisch twisted pair Stroomvoorziening Lokaal: Power adapter Centraal: PoE injector Centraal: PoE switch PoE wordt ook gebruikt voor VOIP telefoons, IP camera’s, …

57 Installatie access points
12/28/2018 Installatie access points

58 Aandachtspunten bij de implementatie
12/28/2018 Aandachtspunten bij de implementatie Netwerk beveiliging snelheid flexibiliteit betrouwbaarheid beheerbaarheid kost Draadloos dekking interferenties Site Survey

59 Site survey: weergave op plan
12/28/2018 Site survey: weergave op plan

60 12/28/2018 Site survey: heat maps Minimale signaalsterkte voor goede voice ontvangst -67dBm -72dBm Minimale signaalsterkte voor goede data ontvangst

61 Voorbeelden: Controllers
12/28/2018 Voorbeelden: Controllers Controllers – standalone or integrated: WiSM

62 Voorbeelden: Access points
12/28/2018 Voorbeelden: Access points 1130 1240 1250

63 Voorbeelden: Antennes
12/28/2018 Voorbeelden: Antennes indoor – outdoor

64 Voorbeelden: Management
12/28/2018 Voorbeelden: Management Software

65 Voorbeelden: Controllers
12/28/2018 Voorbeelden: Controllers zl module xl module

66 Voorbeelden: Access points
12/28/2018 Voorbeelden: Access points Access Point 420 Access Point 530 Radio Port 210 Radio Port 220 Radio Port 230

67 Problemen bij de standaardbeveiliging 2
12/28/2018 Problemen bij de standaardbeveiliging 2 de standaardbeveiliging is door geoefende indringers makkelijk te omzeilen Software Wireless Sniffers laten toe de SSID te lezen authenticatie is gevoelig voor man-in-the-middle aanvallen shared keys kunnen gelezen of ontcijferd worden WEP keys en eenvoudige WPA keys kunnen ontcijferd worden MAC-adressen kunnen gespooft worden NICs en laptops kunnen gestolen worden beheer is arbeidsintensief

68 Extra beveiliging is nodig voor bedrijfskritische gegevens
12/28/2018 Extra beveiliging is nodig voor bedrijfskritische gegevens 802.1x standaard algemene structuur voor netwerkauthenticatie LAN-poort niveau Radius Server EAP Extensible Authentication Protocol wederzijdse authentication vertrekt vanuit de gebruiker dynamische WEP sleutels AES Advanced Encryption Standard gebaseerd op het Rijndael algoritme

69 Extra beveiliging - vervolg
12/28/2018 Extra beveiliging - vervolg 802.11i subset WPA: WiFi Protected Access encryptie: TKIP (zoals in WEP) authenticatie: 802.1x of PSK 802.11i standaard WPA2 encryptie: AES constructeur-afhankelijke beveiliging (LEAP, …) opzetten van VPNs gescheiden segmenten, beveiligd door UTM en FireWall systemen

70 Is Wireless LAN Secure?

71 Realdolmen VLAN

72 Doelstelling

73 VLAN VLAN Tagging IEEE 802.1Q Trunk Tagged/ Untagged

74 Schema Firewall en switch apparte VLAN voor DMZ + LAN ipv apparte switches

75 Realdolmen Redundancy

76 Doelstelling

77 Schema Hang een aantal switchen aan elkaar en kreeer een loop

78 Layer 2: Spanning Tree Broadcast Storm 802.1D STP Root Bridge
Root Port (Non)Designated Port Forwarding Blocking

79 Oefening

80 Layer 3: VRRP Master/Slave (priority 1-255)
Advertisements (1/s door master) Master downtime interval (3x adv int + Skew time) Skew Time (256-priority/256)ms

81 Layer 3: VRRP

82 12/28/2018 Vragen

83 Realdolmen Design

84 Oplossing ≠ Product Hardware Workflow Security Prijs Software
Gebruikers Training Perfomantie Management Ecologie

85 Bv Klant Vraagt Om onze business te doen hebben wij ons software pakket dat achterliggend een database gebruikt nodig. Verder moeten wij kunnen en en surfen. Deze applicaties zijn business kritisch. Thuis werken moet mogelijk zijn. Overal aan onze kunnen (webmail, iPhone). Security is zeer belangrijk!!!!!!! (de klant is wat paranoia).

86 Mogelijke oplossing Backup? UPS? File server?

87

88

89 Datacenter VMW Layer 2

90 Datacenter VMW Layer 3

91 12/28/2018 Vragen


Download ppt "Kristof Lossie System Engineer Network Security"

Verwante presentaties


Ads door Google