1 / 31

Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik

Projekt sieci WLAN w standardzie 802.11b udost ę pniaj ą cej po łą czenie z sieci ą Internet w oparciu o protokó ł I PSec. Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik. WSTĘP. Komputer jako jednostka w XXI wieku; Sieci radiowe to dobra alternatywa dla LAN;

bardia
Télécharger la présentation

Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Projekt sieci WLAN w standardzie 802.11budostępniającej połączenie z siecią Internet w oparciu o protokół IPSec Wykonał: Bartosz Zielski Promotor: mgr Wiesław Pyzik

  2. WSTĘP • Komputer jako jednostka w XXI wieku; • Sieci radiowe to dobra alternatywa dla LAN; • Mobilność, estetyka, niskie koszty; • Zagrożenia, jakie stwarza korzystanie z sygnału radiowego.

  3. CELE • Skonfigurowanie prostej sieci WLAN 802.11b w oparciu o protokół WEP połączonej z Internetem poprzez bramę (NAT); • Silniejsze zabezpieczenie połączeń radiowych przy wykorzystaniu implementacji protokołów wyższych warstw modelu OSI: • Uwierzytelnienie hostów za pomocą protokołu 802.1x; • Skonfigurowanie tunelu IPSec między hostami a bramą.

  4. SCHEMAT

  5. SIECI RADIOWE WLAN Topologie • BSS – tryb infrastrukturalny • Oparty o centralny punkt dostępowy i stacje klientów; • Sieć identyfikowana jest poprzez identyfikator SSID; • Po pomyślnym powiązaniu ze stacją kliencką punkt dostępowy pełni rolę pośrednika w komunikacji z resztą sieci. • Pozostałe topologie • IBSS (ad hoc), • ESS.

  6. SIECI RADIOWE WLAN Standardy • Cechy IEEE 802.11b • Działa w zakresie 2,4 GHz na 11 kanałach w modulacji DSSS; • Maksymalna transmisja to 11Mb/s, jednak rzeczywista tylko 6 Mb/s; • Podatny na zakłócenia z powodu dużego zagęszczenia urządzeń radiowych działających w tych samych częstotliwościach; • Duża dostępność kompatybilnych urządzeń. • Pozostałe standardy 802.11 • IEEE 802.11a, • IEEE 802.11g, • IEEE 802.11n.

  7. SIECI RADIOWE WLAN Bezpieczeństwo • Cechy WEP • Protokół szyfrowania, którego zadaniem jest zapewnienie poufności i integralności danych oraz ochrona przed dostępem do infrastruktury sieci; • Wykorzystuje mechanizm klucza wspólnego (o długości 40 i 104 bitów) z symetrycznym szyfrem RC4; • Słabości: błędna implementacja wektora inicjalizacyjnego, brak zarządzania kluczami; • Pozostałe zabezpieczenia • WPA – technologie: TKIP, 802.1x/EAP, PSK; • IEEE 802.11i/WPA2 – WPA + AES.

  8. SIECI RADIOWE WLAN Symulacja włamania • Przygotowania • Sieć WLAN: komputer PC, Punkt Dostępu (NAT, DHCP, WEP, ukrywanie ESSID, filtrowanie MAC); • Intruz: Laptop z kartą sieciową (hermes II), oprogramowanie: Auditor, aircrack (airodump, aireplay, aircrack ),Ethereal; • Cele • Wykrycie ESSID; • Złamanie klucza WEP; • Ominięcie filtrownia adresów MAC.

  9. SIECI RADIOWE WLAN Symulacja włamania • Zbieranie wektorów IV • #iwconfig wlan0 mode monitor • #airodump wlan0 wektory 0

  10. SIECI RADIOWE WLAN Symulacja włamania • Wykrycie ESSID • #aireplay -0 10 -a 00:16:B6:1D:A7:16 wlan0 (druga konsola)

  11. SIECI RADIOWE WLAN Symulacja włamania • Wprowadzenie sztucznego ruchu • #aireplay -1 20 -e kaczogrodA.D.2006 -a 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55wlan0 • #aireplay -3 -b 00:16:B6:1D:A7:16 -h 00:30:4F:2A:14:55 -x 700 wlan0

  12. SIECI RADIOWE WLAN Symulacja włamania • Łamanie klucza WEP • #aircrack -0 wektory.ivs

  13. SIECI RADIOWE WLAN Symulacja włamania

  14. SIECI RADIOWE WLAN Symulacja włamania

  15. WIRTUALNE SIECI PRYWATNE VPN • Używają publicznej infrastruktury telekomunikacyjnej w celu udostępnienia zdalnym biurom lub też pojedynczym użytkownikom bezpiecznego dostępu do firmowej sieci komputerowej. • Typy • Site-Site, Client-Site. • Architektury • Intranet VPN, Remote Access, Extranet. • Protokoły • IPSec, SSL, L2TP, SSH.

  16. WIRTUALNE SIECI PRYWATNE VPN • Schemat sieci typu Client-Site o architekturze Remote Access.

  17. WIRTUALNE SIECI PRYWATNE VPN Bezpieczeństwo • Poufność danych – zabezpieczenie danych przed ich przeczytaniem lub skopiowaniem przez nieupoważnione osoby; • Integralność danych – zagwarantowanie poprawności i nienaruszalności przesyłanych danych; • Uwierzytelnienie źródła danych – uwierzytelnienie przez odbiorcę źródła przesyłanych pakietów; • Niezaprzeczalność – zweryfikowanie czy nadawca i odbiorca są tymi stronami, które wysyłały i odbierały wiadomości; • Techniki zabezpieczeń • Szyfry symetryczne i asymetryczne, algorytm Diffiego-Hellmana, funkcje skrótu, podpisy cyfrowe, urzędy certyfikacji.

  18. WIRTUALNE SIECI PRYWATNE VPN Protokół IPSec • Ochrona danych realizowana jest na poziomie warstwy 3 modelu OSI; • Ochrona polega na zabezpieczeniu datagramu IP i dodaniu do niego nagłówków ESP lub AH; • Protokół ochrony ESP – szyfruje i częściowo uwierzytelnia dane; • Protokół ochrony AH – tylko uwierzytelnia. • Tryby funkcjonowania • Transportowy (Transport Mode) – pozostają oryginalne nagłówki datagramu IP; • Tunelowania (Tunel Mode) – dodany zostaje nowy nagłówek IP.

  19. WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec • Ustalane są związki bezpieczeństwa SA za pomocą protokołu IKE • Zastosowany protokół, algorytmy i klucze kryptograficzne. • Proces ustalania SA Faza 1 (negocjacja IKE SA) – zestawienie bezpiecznego kanału komunikacji do prowadzenia dalszych negocjacji; • Tryby: Main Mode, Aggressive Mode; • Uwierzytelnienie: Pre-Shared Secret, certyfikaty cyfrowe X.509, XAUTH. • Proces ustalania SA Faza 2 (negocjacja IPSec SA) – uzgodnienie SA do zabezpieczenia transmisji danych.

  20. WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec • Faza 1 IKE – Main Mode

  21. WIRTUALNE SIECI PRYWATNE VPN Funkcjonowanie protokołu IPSec • Faza 2 IKE

  22. KONFIGURACJA URZĄDZEŃ SIECIOWYCHSchemat

  23. KONFIGURACJA URZĄDZEŃ SIECIOWYCHSerwer BRAMA.dyplom.bz • Centralne urządzenie w sieci udostępniające trzy podstawowe usługi: • Dostęp do Internetu dla użytkowników sieci lokalnej; • Serwer DHCP udostępniający podstawowe parametry konfiguracyjne sieci; • Bramka VPN umożliwiająca użytkownikom zestawienie szyfrowanych połączeń. • Oprogramowanie • OS: FreeBSD 5.4; • Usługi: IPFIREWALL, NATD, ISCDHCP3, IPSec, racoon (ipsec-tool).

  24. KONFIGURACJA URZĄDZEŃ SIECIOWYCHSerwer CA.dyplom.bz • Serwer uwierzytelnieniaudostępniający usługi: • Uwierzytelnienia użytkowników przy użyciu protokołu RADIUS; • Urzędu certyfikacji w oparciu o OpenSSL. • Oprogramowanie • OS: FreeBSD 6.0; • Usługi: FreeRADIUS, OpenSSL.

  25. KONFIGURACJA URZĄDZEŃ SIECIOWYCHPunkt dostępu AP.dyplom.bz • Rolą punktu dostępu jest zabezpieczenie połączeń szyfrowaniem WEP oraz kontrola dostępu do medium radiowego: • Szyfrowanie WEP 128 bitów; • Filtrowanie adresów MAC kart sieciowych użytkowników; • Uwierzytelnienie RADIUS. • Produkt firmy LINKSYS model WRT54G v.5 zarządzany przez stronę WWW.

  26. KONFIGURACJA URZĄDZEŃ SIECIOWYCHKomputer PC WINUSER1.dyplom.bz • Funkcją komputera użytkownika jest prawidłowe uwierzytelnienie i zestawienie szyfrowanego tunelu z BRAMĄ. • Instalacja certyfikatów; • Konfiguracja uwierzytelnienia 802.1x; • Utworzenie reguł bezpieczeństwa IPSec. • Oprogramowanie • OS: MS Windows XP SP2; • Usługi: standardowe i wbudowane rozszerzenia systemowe (802.1x i IPSec).

  27. ZESTAWIENIE POŁĄCZEŃ – Etap 1

  28. ZESTAWIENIE POŁĄCZEŃ Etap 1

  29. ZESTAWIENIE POŁĄCZEŃ – Etap 2

  30. ZESTAWIENIE POŁĄCZEŃ Etap 2 • W pierwszym etapie użytkownik został wstępnie uwierzytelniony i podłączony do sieci radiowej, kolejnym krokiem jest zestawienie szyfrowanego tunelu ESP z serwerem BRAMA.

  31. WNIOSKI • Poprzez użycie dodatkowych mechanizmów bezpieczeństwa zostało wyeliminowane ryzyko wynikające z użycia WEP; • Zastosowane zabezpieczenia obejmują dwie warstwy modelu OSI, przez co są od siebie niezależne; • W przypadku złamania klucza WEP przechwycone pakiety dalej są szyfrowane; • Podłączenie do punktu dostępu wymaga uwierzytelnienia za pomocą certyfikatu; • FIREWALL na serwerze BRAMA zabezpiecza sieć od strony Internetu.

More Related