Upload
vungoc
View
217
Download
1
Embed Size (px)
Citation preview
Wireless LAN, BYOD and beyond: integrare
dispositivi mobili in completa sicurezza nella
rete aziendale
Heros Deidda
Technical Specialist Sidin
Qualche Previsione sull’IoT
Dispositivi Connessi in miliardi di unità
Source: Gartner (November 2013)
Wireless: un mezzo “difficile”
• Interferenze e Disturbi Elettromagnetici
• Qualità del segnale variabile nel tempo e nello spazio
• Il mezzo è condiviso fra tutti i dispositivi. Wireless e Non!
• Ma soprattutto il mezzo aria è facilmente
accessibile. Sono al sicuro i dati?
WEP WPA WPA2
IEEE 802.11
Layer Fisico frame management e controllo in chiaro . Protezione (eventuale) sul body delle frame
Security e Guest Management
• Cosa capita se lascio atterrare gli utenti su un
classico Captive Portal?
• Normalmente l’accesso wireless è open
• Chiunque può vedere tutto il traffico di tutti
gli utenti!!! Quindi?
Security e Guest Management
• Evitare i protocolli in chiaro FTP, HTTP, POP3,
IMAP
• Proteggere il traffico sul livello Applicazione
(HTTPS,IMAPS, ecc.)
Sicurezza e wireless: WIDS/WIPS
• Rogue APs: Access Point che creano punti di accesso non autorizzati (e
quindi breccie alla sicurezza) nell’infrastruttura wired
• Honeypot / Evil Twin Attack: Un Access Point «evil» si finge agli occhi del
client l’AP leggittimo, ad esempio emettendo un segnale più forte. Questo
tipo di attacco permette di «spiare» tutte le comunicazioni, nonché username
e password usate per l’associazione
• Accidental Association: Accidentalmente un client può connettersi ad una
rete wireless non protetta, creando rischi alla sicurezza
• Client Malicious association: un client infetto può avere installato su se
stesso un SoftAP attraverso il quale portale un attacco Evil Twin
• Ad Hoc Networks: deve essere prevenuta la creazione di reti ad hoc fra
computer autorizzati (con accessso alle risorse aziendali) e computer non
autorizzati
Rogue AP
RogueAP
SSID: MyOwn
AP Legittimo
SSID: CorporateAccess
• MACOUI
• ONWIRE MACACCRESS
• SUPPRESSION
DeAuth
DeAuth
Ad-Hoc Networks
AP
SSID: CorporateAccess
STA1
STA2
AD HOC
CONNECTION
• Ad-Hoc connection fuori
controllo
• Rischio per la Security
Sicurezza e Wireless: DoS Features
• Asleap Attack: Sfrutta una debolezza dell’autenticazione LEAP per rubare le
credenziali dell’utente
• Association Flooding: cerco di far vedere all’AP quanti più client fittizi
possibili fino a far saturare la tabella delle associazioni degli AP e provocare
un DoS per le nuove associaizioni
• Broadcasting De-Authentication: invio di frame di de-autenticazione all’AP,
genera un DoS
• EAPOL Flooding: l’attaccante «inonda» di richieste l’authentication server.
generando un DoS applicativo
• Long Duration Attack: Occupo continuamente per il massimo tempo
possibile il canale con valori elevati. In questo modo deterioro il servizio
• Weak WEP IV : Verifica la presenza in caso di uso di WEP
• Null SSID Probe Response: verifica la presenza di AP che rispondono ad un
probe con un SSID nullo (mette in crisi lo stack di alcuni device)
Feature Set: infrastruttura
• Management Centralizzato: Gli AP sono gestiti centralmente dal controller,
eventualmente anche su sedi remote al layer 3
• Supporto Standard Radio : 802.11a/b/g/n/ac, MIMO ecc.
• Modello Operativo: Tunnel Mode VS Local Bridge
• Ottimizzazione e monitoring canali/frequenze: Gli AP vengono distribuiti
dall’infrastruttura wireless su frequenze e canali liberi o più performanti.
• Bilanciamento Client: handoff forzato verso AP con migliore disponibilità,
Fast Roaming. I client vengono gestiti sugli AP più scarichi
• Mesh Capability: connettività fra gli AP attraverso un canale wireless. Non
richiede il collegamento cablato degli AP
• More: FastRoaming per lo spostamento veloce dei client fra AP, Layer 2
isolation per l’erogazione di servizi hotspot sicuri, Rogue AP management
V
Channel 1 - 2,4 Ghz
Channel 6
Channel 1
Channel1
channel1
channel1
Channel11
Channel11
•Ottimizza ll’uso dei canali disponibili
•Evita overlapping fra gli AP
Ottimizzazione canali/frequenze
Features Set :Utenti e Dispositivi
• Guest Management e Captive Portal: generazione di
profili temporanei, con receptionist o attraverso self service
portal
• Device Management/BYOD: riconoscimento dei dispositivi
mobili e profilazione dell’accesso
• Autenticazione selettiva: gestione di profili differenziati
per utenti aziendali e guest
• Monitoring e Log : visibilità dei client e delle attività di
navigazione, mantenimento dei log e modalità
• Bandwidth Fairness: allocazione equilibrate delle risorse
di banda fra gli utenti
rabatan
0625504561
Your
password
for WIFI is:
x3F0!#Pr
Expires in:
4 hours
Guest Management
Fortinet: Sicurezza sul Wireless
• I Next Generation Firewall FortiGate includono un wireless controller integrato
• Alcuni modelli di Fortigate Dispongono anche di un AP integrato (FortiWifi)
• I FortiAPs sono gestiti dal Fortigate come estensione della rete cablata
• Un’ unica piattaforma di sicurezza per gestire l’infrastruttura wired e l’infrastruttura wireless sia in locale, sia in remoto
• FeatureSet Completo
• Ampia Scelta Di Access Point da interno ed esterno FORTIGATE
Second Site
Main Site
Fortigate
Embedded controller
SW
Fortigate
SW
L3 Router
VPN
Fortinet: Scenari Di Deployment
Fortigate
SW
Vlan tagged by the
FAP
HYBRID
No packet loss if the
controller gets
unreachable
Operating mode is
per SSID
Fortinet: Tunnel VS Local Bridging
RogueAP
• Permette di monitare Gli AP sconosciuti e i Rogue AP
• Rogue AP classificati on-wire
• Suppression dei device rogue
FortiPlanner: Rogue AP
http://Fortinet.com/wireless
• Planning tool
– Fino a 50 AP gratuitamente
– Unlimited (Pro license)
• Mappe di irradiazione dinamiche
• Site-Survey (upgrade license)
• Localizzazione di Rogue AP
La Famiglia di AP Fortinet
Du
al R
adio
D
ual
Ban
d 80
2.1
1A
C
80
2.1
1n
Sin
gle
Rad
io
Du
al
2.4
GH
z
Remote Outdoor Indoor
FAP-221B
FAP-222B
FAP-210B
FAP-320B
FAP-223B
FAP-112B
FAP-28C
FAP-320C
FAP-11C
FAP-14C
FAP-221C
FAP-222C
Q4/14
Riepilogo
• #1 Accesso unificato wired e wireless Trattare indifferentemente utenti con collegamento cablato e
wireless. Applicare agevolmente le stessa politiche di sicurezza o
differenziare i profili
• #2 Ampia scelta di controller Oltre 20 modelli di controller per soddisfare ogni esigenza
Scale da 2 a 10K AP
• #3 Consolidamento infrastruttura esistente Sfruttare gli investimenti esistenti in UTM FortiGate / NGFW
Basso TCO e ROI - No Licensing
• #4 Single Pane of Glass Management Facilità di gestione dell'uso
Gestire la sicurezza wired e wireless dalla stessa interfaccia
• #5 Sicurezza senza compromessi Tutte le stesse caratteristiche di sicurezza sulla rete wired sono
disponibili sul WLAN Fortinet
2014 33
• Eccezionale controllo e granularità su tutto il
FeatureSet
• Soluzioni scalabili da 8 a 512 access point,
Management centralizzato. Licenziato a
blocchi di AP
• Tunnel mode e bridge mode
• Device failover
• Motore firewall stateful inspection
integrato
• Supporto Mesh (ZyMesh)
• Captive Portal e Guest Management
• Dynamic Channel Selection
• Client steering (miglior frequenza)
• Load Balancing (per traffico e numero di
client)
• Rogue AP Detection e containment
Soluzioni con Controller NXC 2500/5500
http://www.zyxel.it/Prodotti/Categorie/controller
NXC 2500/5500 ZyMESH
• ZyMESH per il management degli AP non cablati
– La funzionalità ZyMESH aiuta ad estendere facilmente la copertura Wireless
• Ogni ROOT AP può supportare Repeater multipli per estendere il segnale
– 2 HOP consigliati per non ridurre troppo la disponibilità di banda (ROOT AP ---
Repeater --- Repeater)
– Non più di 6 Repeater per ogni ROOT AP
– Almeno 2 ROOT AP per garantire l’ altà affidabilità
Internet
Headquarter
Branch Office
Backup Center
X Connection Fails
Primary Controller
Secondary Controller
Configuration Backup
NXC 2500/5500 Device Fail-Over
NWA 5301-N NWA 5121-N/5123-N NWA 3160-N NWA 3560-N/3550-N
IEEE 802.11 b/g/n
Single Radio/Wall
Mount Interno
PoE
Management
centralizzato
Dati in local bridge
IEEE 802.11 a/b/g/n
Single/Dual Radio
Interno
PoE
Management
Centralizzato
Dati in local bridge
IEEE 802.11 a/b/g/n
Single Radio
Interno
PoE
Management
Centralizzato
Dati in local bridge o
tunnel
IEEE 802.11 a/b/g/n
Dual Radio
Interno/Esterno
PoE
Management
centralizzato
Dati in local bridge o
tunnel
NWA 3500-N Series NWA 3100-N Series NWA 5100-N Series
NWA 5300-N Series
Offerta Access Point Gestiti Zyxel F
eatu
res/S
cala
bil
ità
Performance Series Advanced Series Extreme Series
Modello USG
20/20W
USG
40/40W
USG
60/60W
USG
110 USG 210 USG 310
USG
1100
USG
1900
WLAN
controller - 2/10 2/10 2/18 2/18 2/18 2/18 2/18
Licenze CF, AS App Patrol, AV,
IDP, ADP, CF, AS App Patrol, AV, IDP, ADP, CF, AS, SSL Inspection
HA - Device HA
Software Vantage Report, ZyWALL IPSec VPN Client, SSL Win/Mac OS
USG
1900
USG 1100
USG 310
USG 210
USG 40/40W
USG 60/60W
USG 110
USG 20/20W
5 ~ 10
10 ~ 25
25 ~ 50
50 ~ 75
75 ~ 200
200 ~ 350
350 ~ 500
1 ~ 5
Small Business Enterprise Business
Offerta USG con Wireless Controller
USG 4.1 integra un controller WLAN per tutte le esigenze delle PMI
Offerta USG con Wireless Controller
USG: Creazione dell’AP profile
- SSID: Nome della rete Wireless - Security Profile: Abbiniamo il profilo
sicurezza adatto creato nei passaggi precedenti
- MAC Filtering: Eventuali filtri MAC - QoS: Impostiamo l’eventuale Quality of
Service. Per default è WMM - VLAN ID: Inseriamo il numero della VLAN
da associare all’SSID. Chi si collega a questa rete, ad esempio, riceverà IP dalla VLAN 232 dell’USG.
- Hidden SSID: Nasconde nome rete - Enable Intra-BSS Traffic blocking:
Impedisce ai client connessi all’ssid di vedersi tra loro.
Planner Zyxel
AP Planning (tutte le architetture)
Nessuna necessità di sensori dedicati o
server di localizzazione
Facile stima e posizionamento degli AP
Strumento semplice e gratuito per iI partner
ZyXEL
Coverage Detection (con NXC2500)
Calcolo della mappa di copertura tramite un
solo click
Variazione attiva dei dati RF per simulare
gli scenari di miglior copertura e
performance
Health Management (con NXC2500)
Localizzazione apparati sulla mappa
Dati RF pratici e di semplice lettura:
Canale utilizzato
Stations counts
Tx Retry rate
Rx frame error rate
Soluzione Wireless Gestita WatchGuard
• Tutte le macchine XTM hanno incluso un wireless controller per gestire centralmente una soluzione wireless con gli Access Point WatchGuard
• Non ci sono licenze aggiuntive per sfruttare le potenzialità wireless del controller
• Non ci sono limitazioni nel numero di Access Point Gestiti numero di AP gestiti è suggested
• Alcuni modelli di XTM dispongono anche di un AP integrato (suffisso –W)
4
4
http://www.watchguard.com/wgrd-products/secure-wireless/overview/#sw-security-modules
XTM
Model
Max Supported Access
Points (suggested*)
XTM25
26/33 5
XTM330 15
XTM515
/525 25
XTM535
/545 35
XTM810
/820/830 70
XTM1050
XTM2050 100
WatchGuard: Deployment
• Il device XTM è in grado di gestire centralmente gli Access Point attraverso
un tunnel CAPWAP
• Per gestire policy differenti di navigazione è possibile associare VLAN
distinte ai diversi SSID.
• Posso quindi vedere ogni VLAN come una interfaccia logica ed applicare
tutte le policy che desidero al traffico
4
5
http://www.watchguard.com/wgrd-products/secure-wireless/overview/#sw-security-modules
Gamma Access Point
• AP100
– Singola Radio
– 2.4 GHz o 5 GHz selezionabile
– 2x2:2 MIMO 802.11 a/b/g/n
– Fino a 300 Mbps
– 8 SSIDs
– PoE 802.3af
4
6
• AP200
- Two single-band radios
- 2.4 GHz e 5 GHz
- 2x2:2 MIMO 802.11 a/b/g/n
- Fino a 600 Mbps
- 8 SSIDs per radio
- Plenum rated
AP100 / AP200
AP102
Gamma Access Point
• AP102
– Singola radio dual-band
– 2.4 GHz / 5 GHz selezionabile
– 2x2:2 MIMO 802.11 a/b/g/n
– Fino a 300 Mbps
– 8 SSIDs
– Access Point per installazioni esterne IP66
– PoE 802.3af
4
7
Caratteristiche Salienti
• Discovery automatica degli AP
• Auto Channel Selection
• MAC address filtering
• Simple captive portal (in arrivo Guest Management)
• Best in class hardware partner (Senao) & chipset (Atheros)
• Regulatory approval for all WatchGuard countries
• Management Centralizzato via Tunnel CapWap
• Integrazione fra sicurezza wired e wireless
• Rogue AP Detection
48
Gateway Wireless Controller — Maps
• Sui dispositivi XTM è possibile visualizzare una mappa con tutti gli SSID
rilevati nell’intorno dell’infrastruttura
4
9
Wireless Hotspot / Captive Portal
• E’ Possibile Configurare l’SSID in modalità HotSpot
• Gli Utenti in questa modalità devono accettare le condizioni di
utilizzo del servizio
• Nella Roadmap a brevissimo è prevista l’implementazione del guest
management attraverso un profilo Guest Manager
5
0