2020. április 29., szerda

Hálózatbiztonság és védelem

A WiFi hálózat védelme

A védtelenül hagyott vezeték nélküli hálózatra más számítógépek be tudnak hatolni. Az alábbiakban leírt biztonsági módszerekkel könnyen megvédheti otthoni vagy kis vállalati hálózatát a jogosulatlan behatolás szinte minden formájától.
Hitelesítés

Amikor egy ügyfélgép (általában noteszgép) csatlakozást kér egy hálózat hozzáférési pontján, kérését a hitelesítési folyamat ismeri fel és bírálja el. A hitelesítés elvégzése és a hozzáférés megadása után az ügyfélgép hozzáférést kap a hálózathoz.
Titkosítás

A vezeték nélküli hálózaton átküldött adatokat titkosítani lehet a többféle titkosítási algoritmus valamelyikével. Csak az előre közölt kulccsal rendelkező számítógépek tudnak adatokat titkosítani és visszafejteni. A titkosító kulcs kétféle biztonsági szintű lehet: 64 bites vagy 128 bites. A 128 bites kulcs biztonságosabb.
Az SSID közzététele

Hálózatát egyszerűen biztonságosabbá teheti, ha úgy állítja be a hozzáférési pontot, hogy az ne tegye közzé a hálózatnevet (SSID). A hálózat elérésének előfeltétele az SSID ismerete. A hálózatot csak azok a gépek tudják elérni, amelyek ismerik az SSID-t. (Az SSID közzétételét nem az Intel® PROSet/Wireless WiFi-csatlakozás segédprogram állítja be, hanem a hozzáférési ponton lehet beállítani.)
Személyes biztonsági módszerek
Nyílt és közös kulcsos hálózati hitelesítés

Az IEEE 802.11 hitelesítésnél kétféle hálózati hitelesítési mód támogatott: a Nyílt és a Közös kulcsos módszer.

    Nyílt hitelesítés esetén bármely vezeték nélküli állomás kérhet hitelesítést. Az az állomás, amely hitelesíteni szeretné magát egy másik vezeték nélküli állomás felé, elküld egy a saját azonosítóját tartalmazó hitelesítés-kezelési kérelmet. A vevő állomás vagy hozzáférési pont minden hitelesítési kérelmet teljesít. Nyílt hitelesítés esetén bármely eszköz hozzáférhet a hálózathoz. Ha a hálózat nem használ titkosítást, akkor csatlakozhat rá bármely eszköz, amely ismeri a hozzáférési pont SSID-jét.
    A közös kulcsos hitelesítés feltételezi, hogy mindegyik állomás megkapta a titkos közös kulcsot egy olyan biztonságos csatornán keresztül, amely független a 802.11 szerinti vezeték nélküli hálózat kommunikációs csatornájától. A titkos kulcs eljuttatható vezetékes Ethernet-kapcsolaton keresztül, vagy fizikai eszközön (például USB memórián vagy CD-n). A közös kulcsos hitelesítéshez az ügyfélgépen be kell állítani egy statikus WEP-kulcsot. Az ügyfélgép csak akkor kap hozzáférést, ha sikeresen átesett a kérdés-válasz hitelesítésen.

WEP

A WEP (Wired Equivalent Privacy) algoritmus titkosítja a vezeték nélküli adatokat, hogy csak a jogosultak tudják visszafejteni. A WEP az adatokat elküldésük előtt titkosító kulccsal titkosítja. Csak azok a számítógépek férhetnek hozzá a hálózathoz és fejthetik vissza a többi számítógép által küldött titkosított adatokat, amelyek ugyanazt a titkosító kulcsot használják. A WEP titkosítás kétféle biztonsági szintet támogat: a 64 bites (40 bitesnek is nevezett) és a 128 bites (104 bitesnek is nevezett) kulcsot. A 128 bites kulcs biztonságosabb. Titkosítás alkalmazásakor a vezeték nélküli hálózaton lévő valamennyi vezeték nélküli eszköznek ugyanazokat a titkosítási kulcsokat kell használnia.

WEP adattitkosítás esetén a vezeték nélküli állomáson legfeljebb négy kulcs állítható be (ezek indexértékei 1, 2, 3 és 4). Amikor egy hozzáférési pont vagy vezeték nélküli állomás a négy hely valamelyikén tárolt kulccsal titkosított üzenetet küld, az üzenetben megadja az üzenettest titkosításához használt kulcs indexét. Az üzenetet kapó hozzáférési pont vagy vezeték nélküli állomás ezután kiolvassa az adott indexű kulcsot, és visszafejti vele a titkosított üzenetet

Mivel a WEP titkosítás nagyon gyenge védelmet nyújt a hálózati támadások ellen, helyette célszerű a WPA-Personal vagy a WPA2-Personal titkosítást használni.
WPA-Personal

A WPA-Personal üzemmód otthoni és kisvállalati felhasználók esetén célszerű. WPA-Personal esetén a hozzáférési ponton és az ügyfélgépeken kézileg be kell állítani egy PSK (előre közölt) kulcsot. Hitelesítő kiszolgálót nem igényel. A hozzáférési ponton beírt jelszót kell használni ezen a számítógépen és a vezeték nélküli hálózatra kapcsolódó összes többi eszközön is. A biztonság az alkalmazott jelszó erősségétől és titokban tartásától függ. A hosszú jelszó nagyobb hálózatbiztonságot nyújt, mint a rövid. Ha a vezeték nélküli hozzáférési pont vagy útválasztó támogatja a WPA-Personal és WPA2-Personal titkosítást, akkor célszerű bekapcsolni a hozzáférési ponton, és hosszú, erős jelszót kell választani. A WPA-Personal két támogatott adattitkosítási algoritmusa a TKIP és az AES-CCMP.
WPA2-Personal

WPA2-Personal esetén a hozzáférési ponton és az ügyfélgépeken kézileg be kell állítani egy PSK (előre közölt) kulcsot. Hitelesítő kiszolgálót nem igényel. A hozzáférési ponton beírt jelszót kell használni ezen a számítógépen és a vezeték nélküli hálózatra kapcsolódó összes többi eszközön is. A biztonság az alkalmazott jelszó erősségétől és titokban tartásától függ. A hosszú jelszó nagyobb hálózatbiztonságot nyújt, mint a rövid. A WPA2 biztonságosabb, mint a WPA, és megvalósítja a teljes IEEE 802.11i szabványt. A WPA2 visszafelé kompatibilis a WPA-val. A WPA2-Personal két támogatott adattitkosítási algoritmusa a TKIP és az AES-CCMP.

MEGJEGYZÉS: A WPA-Personal és a WPA2-Personal együtt is használható ugyanazon a hálózaton.
802.1X szerinti hitelesítés

Ez a rész a nagyobb vállalatoknál használt biztonsági módszereket írja le.

A 802.1X alapú hitelesítés független a 802.11 szerinti hitelesítési folyamattól. A 802.11 szabvány hitelesítési keretrendszert biztosít különböző hitelesítési és kulcskezelési protokollokhoz. Több különböző 802.1X alapú hitelesítési típus van, és mindegyik más-más megközelítéssel oldja meg a hitelesítést, de az ügyfélgép és a hozzáférési pont közötti kommunikációhoz ugyanazt a 802.11 protokollt és keretrendszert használják. A legtöbb protokollban a 802.1X alapú hitelesítés végeztével az ügyfélgép egy kulcsot kap az adatok titkosításához. A 802.1X alapú hitelesítés hitelesítést végez az ügyfélgép és egy a hozzáférési pontra csatlakozott kiszolgáló (például egy RADIUS kiszolgáló) között. A hitelesítés felhasználói azonosító adatokat – például felhasználói jelszót – használ, amelyek átvitele nem a vezeték nélküli hálózaton történik. A legtöbb 802.1X alapú hitelesítés támogatja a dinamikus, felhasználónként és munkamenetenként változó kulcsokat, ezzel erősítve a kulcs biztonságát. A 802.1X hitelesítés kihasználja az EAP (Extensible Authentication Protocol) hitelesítő protokoll lehetőségeit is.

A vezeték nélküli hálózatok 802.1X alapú hitelesítésének három fő összetevője van:

    A hitelesítő (a hozzáférési pont)
    A kérelmező (az ügyfélszoftver)
    a hitelesítő kiszolgáló.

A 802.1X szerinti hitelesítésnél a vezeték nélküli ügyfélgép egy hitelesítési kérelmet kezdeményez a hozzáférési ponton, amely egy EAP-kompatibilis RADIUS kiszolgálón hitelesíti az ügyfélgépet. A RADIUS kiszolgáló hitelesítheti a felhasználót (annak jelszavával vagy tanúsítványával) vagy a gépet (annak MAC-címével). A vezeték nélküli ügyfél elvileg addig nem csatlakozhat a hálózatra, amíg ez a tranzakció végbe nem ment. (Nem minden hitelesítési módszer használ RADIUS kiszolgálót. A WPA-Personal és a WPA2-Personal egy közös jelszót használ, amelyet be kell írni a hozzáférési pontba és a hálózatot használni kívánó összes eszközbe.)

A 802.1X többféle hitelesítő algoritmust használhat. Néhány példa: EAP-TLS, EAP-TTLS, Protected EAP (PEAP) és EAP Cisco Wireless Light Extensible Authentication Protocol (LEAP). A vezeték nélküli ügyfél ezek bármelyikével azonosíthatja magát a RADIUS kiszolgáló felé. A RADIUS alapú hitelesítés a felhasználók identitását adatbázisok alapján ellenőrzi. A RADIUS egy sor szabványt valósít meg, amelyek a hitelesítés, az engedélyezés és a használatkövetés (Authentication, Authorization és Accounting, azaz AAA) területét fedik le. A RADIUS több kiszolgálós környezetben proxy útján hitelesíti az ügyfeleket. Az IEEE 802.1X szabvány mechanizmust biztosít a 802.11 szerinti port alapú, vezeték nélküli és vezetékes Ethernet hálózatok elérésére és hitelesítésére. A port alapú hálózati hozzáférés-szabályozás hasonlít a kapcsolt helyi hálózatos (LAN) infrastruktúrára, amely a LAN-portokra csatlakozó eszközöket hitelesíti, és sikertelen hitelesítés esetén letiltja az illető port elérését.
A RADIUS ismertetése

A RADIUS a felhasználók távoli behívásos bejelentkezését kezelő engedélyezési, hitelesítési és használatkövető (AAA) ügyfél-kiszolgáló protokoll, amely akkor lép működésbe, amikor egy AAA-ügyfél bejelentkezik a hálózati hozzáférést kezelő kiszolgálóra vagy kijelentkezik onnan. A RADIUS kiszolgálókat az internet-szolgáltatók általában az AAA-feladatok ellátására használják. Az AAA a következő fázisokra bontható:

    Hitelesítési fázis: A felhasználónév és jelszó ellenőrzése egy helyi adatbázisban. Az azonosító adatok sikeres ellenőrzését követően megkezdődik az engedélyezés folyamata.
    Engedélyezési fázis: Annak megállapítása, hogy egy erőforrás-hozzáférési kérés megengedett-e. A behívó ügyfélgép IP-címet kap.
    Használatkövetési fázis: Erőforrás-használati adatok gyűjtése a trendelemzéshez, ellenőrzéshez, a munkamenet kiszámlázásához vagy a költségfelosztáshoz.

A 802.1X alapú hitelesítés működése

A 802.1X szerinti hitelesítés egyszerűsített sémája a következő:

    Az ügyfél "hozzáférést kérek" üzenetet küld a hozzáférési pontnak. A hozzáférési pont felkéri az ügyfelet, hogy azonosítsa magát.
    Az ügyfél erre egy azonosító csomaggal válaszol, amelyet a hozzáférési pont továbbküld a hitelesítő kiszolgálónak.
    A hitelesítő kiszolgáló "elfogadom" csomagot küld vissza a hozzáférési pontnak.
    A hozzáférési pont az ügyfél portját engedélyezettre állítja, és engedélyezi az adatforgalom folytatását.

A 802.1X funkciói

Windows* XP alatt a következő hitelesítési módszerek támogatottak:

    A 802.1X kérelmezési protokolljának támogatása
    Az EAP (Extensible Authentication Protocol, kiterjeszthető hitelesítési protokoll) támogatása – RFC 2284
    Támogatott hitelesítési módszerek Windows* XP alatt:
        EAP TLS hitelesítési protokoll – RFC 2716 és RFC 2246
        EAP Tunneled TLS (TTLS)
        Cisco LEAP
        PEAP
        EAP-SIM
        EAP-FAST
        EAP-AKA
        
        
        WPA Enterprise

        A vállalati üzemmód a nagyvállalatok és az állami szervezetek igényeit elégíti ki. A WPA Enterprise esetén egy RADIUS vagy más hitelesítő kiszolgáló hitelesíti a hálózat felhasználóit. A WPA 128 bites titkosító kulcsokkal és dinamikus munkamenet-kulcsokkal gondoskodik a vezeték nélküli hálózat titkosságáról és a vállalat informatikai biztonságáról. A hitelesítési fajtáját a 802.1X kiszolgáló hitelesítési protokolljának megfelelően kell megválasztani.
        WPA2 Enterprise

        A WPA2 Enterprise a nagyvállalatok és az állami szervezetek igényeit elégíti ki. A WPA2 Enterprise esetén egy RADIUS vagy más hitelesítő kiszolgáló hitelesíti a hálózat felhasználóit. A WPA2 128 bites titkosító kulcsokkal és dinamikus munkamenet-kulcsokkal gondoskodik a vezeték nélküli hálózat titkosságáról és a vállalat informatikai biztonságáról. A hitelesítési fajtáját a 802.1X kiszolgáló hitelesítési protokolljának megfelelően kell megválasztani. A vállalati üzemmód a nagyvállalatok és az állami szervezetek igényeit elégíti ki. A WPA2 biztonságosabb, mint a WPA, és megvalósítja a teljes IEEE 802.11i szabványt.
        Adattitkosítás
        AES-CCMP

        A betűnév az Advanced Encryption Standard - Counter CBC-MAC Protocol rövidítése. A vezeték nélküli összeköttetések titkosítására szolgáló új módszer, amelyet az IEEE 802.11i szabvány specifikál. Az AES-CCMP erősebb titkosítást biztosít, mint a TKIP. Akkor válassza az AES-CCMP adattitkosítást, ha erős adatvédelemre van szüksége. Az AES-CCMP protokoll WPA/WPA2 Personal/Enterprise hálózati hitelesítésnél használható.

        MEGJEGYZÉS: Előfordulhat, hogy egyes biztonsági megoldásokat nem támogat a számítógép operációs rendszere, és ezekhez további szoftverekre és/vagy bizonyos hardverekre, továbbá a vezeték nélküli LAN infrastruktúra támogatására van szükség. A részleteket kérdezze meg a számítógép gyártójától.
        TKIP

        A TKIP (Temporal Key Integrity Protocol) csomagonkénti kulcskeverést, üzenetépség-ellenőrzést és kulcsváltó mechanizmust alkalmaz. A TKIP protokoll WPA/WPA2 Personal/Enterprise hálózati hitelesítésnél használható.
        CKIP

        Lásd CKIP.
        WEP

        A WEP (Wired Equivalent Privacy) algoritmus titkosítja a vezeték nélküli adatokat, hogy csak a jogosultak tudják visszafejteni. A WEP az adatokat elküldésük előtt titkosító kulccsal titkosítja. Csak azok a számítógépek férhetnek hozzá a hálózathoz és fejthetik vissza a többi számítógép által küldött titkosított adatokat, amelyek ugyanazt a titkosító kulcsot használják. A vállalati szintű WEP nem ugyanaz, mint a személyes WEP: az előbbinél a Nyílt hálózat-hitelesítés választása után a 802.1X engedélyezése lehetőséget bejelölve bármelyik ügyfélgép-hitelesítő módszer választható. A személyes WEP esetén nem lehet hitelesítési típust választani.
        A hitelesítés fajtái
        TLS

        Olyan hitelesítési módszer, amely az EAP hitelesítési protokollt, valamint a Transport Layer Security (TLS) biztonsági protokollt alkalmazza. Az EAP-TLS jelszavakkal kombinált tanúsítványokat használ. Az EAP-TLS hitelesítés támogatja a dinamikus WEP-kulcsok kezelését. A TLS protokoll a nyilvános hálózatokon zajló kommunikáció védelmére és hitelesítésére szolgál, és ehhez adattitkosítást használ. A TLS handshake protokoll lehetővé teszi, hogy a kiszolgáló és az ügyfél kölcsönösen hitelesítse egymást, és az adatcsere előtt megegyezzenek a titkosító algoritmusban és a titkosító kulcsokban.
        TTLS

        Ezek a beállítások határozzák meg a felhasználó hitelesítésénél alkalmazott protokollt és azonosító adatokat. A TTLS (Tunneled Transport Layer Security) alkalmazásakor az ügyfél az EAP-TLS használatával hitelesíti a kiszolgálót és egy TLS titkosítású csatornát hoz létre az ügyfél és a kiszolgáló között. Az ügyfélgép más hitelesítési protokollt is használhat. A jelszót használó protokollok általában védett, TLS titkosítású csatornán keresztül viszik át a kérdést és a választ (challenge/response). A TTLS megvalósítások ma az EAP által definiált összes módszert támogatják, továbbá számos régi módszert is (PAP, CHAP, MS-CHAP és MS-CHAP-V2). A TTLS könnyen kiterjeszthető úgy, hogy együttműködjön az új protokollokkal. Ehhez új attribútumokat kell definiálni.
        PEAP

        A PEAP egy új EAP alapú IEEE 802.1X szerinti hitelesítéstípus, amely kihasználja a kiszolgáló oldali EAP-Transport Layer Security (EAP-TLS) lehetőségeit, és több különböző hitelesítési módszert támogat, köztük a felhasználói jelszavakat, az egyszer használatos jelszavakat és a Generic Token Card azonosítókártyákat.
        LEAP

        Az EAP (Extensible Authentication Protocol) egyik fajtája. A LEAP (Light Extensible Authentication Protocol) a Cisco által kifejlesztett bővíthető hitelesítési protokoll, amely kérdés-válasz típusú hitelesítési mechanizmust biztosít és dinamikus kulcsokkal működik.
        EAP-SIM

        Az EAP-SIM egy olyan mechanizmus, amely a hitelesítést és a munkamenet-kulcsok szétosztását támogatja. A GSM-SIM – Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) – módszert használja. Az EAP-SIM egy az ügyféladapter és a RADIUS kiszolgáló adataiból származtatott dinamikus, munkamenet alapú WEP kulccsal titkosítja az adatokat. Az EAP-SIM felhasználó-hitelesítő kódot (PIN-kódot) igényel a SIM (Subscriber Identity Module) kártyával való kommunikációhoz. A SIM a GSM (Global System for Mobile Communications) mobilhálózatokban használatos speciális chipkártya. Az EAP-SIM mechanizmust az RFC 4186 írja le.
        EAP-AKA

        Az EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) egy hitelesítésre és munkamenet-kulcsok szétosztására szolgáló EAP mechanizmus, amely az UMTS (Universal Mobile Telecommunications System) USIM (Subscriber Identity Module) modulját használja. Az USIM kártya olyan speciális chipkártya, amely mobilhálózatokon hitelesíti a felhasználót a hálózat felé.
        Hitelesítési protokollok
        PAP

        A Password Authentication Protocol (PAP) egy két lépéses kézfogásos protokoll a PPP-hez. A Password Authentication Protocol egy egyszerű szöveges jelszóval működő protokoll, amelyet régebbi SLIP rendszerek használnak. Nem biztonságos. Csak a TTLS hitelesítéstípus esetén választható.
        CHAP

        A három lépéses handshake protokollt megvalósító Challenge Handshake Authentication Protocol (CHAP) biztonságosabb, mint a Password Authentication Protocol (PAP) hitelesítési protokoll. Csak a TTLS hitelesítéstípus esetén választható.
        MS-CHAP (MD4)

        Az "RSA Message Digest 4" kérdés-válasz protokoll Microsoft-verzióját használja. Csak Microsoft rendszereken működik, és lehetővé teszi az adatok titkosítását. Ez a hitelesítési módszer az összes adatot titkosítja. Csak a TTLS hitelesítéstípus esetén választható.
        MS-CHAP-V2

        Az új Jelszó módosítása funkciót vezeti be, amely nem található meg az MSCHAP-V1 vagy a szokásos CHAP hitelesítésben. Ezzel a funkcióval az ügyfél megváltoztathatja a hitelesítő jelszót, ha a RADIUS kiszolgáló értesítést küld a jelszó lejártáról. TTLS és PEAP hitelesítéstípus esetén választható.
        Generic Token Card (GTC)

        Felhasználó-specifikus tokenkártyákat használ az azonosításhoz. A GTC fő funkciója a digitális tanúsítványon / tokenkártyán alapú hitelesítés. Ezenfelül a GTC-vel elrejthetők a felhasználónevek, amíg a TLS titkosított csatorna létre nem jön. Így elkerülhető a felhasználónevek kijutása a hálózatra a hitelesítési fázis alatt. Csak a PEAP hitelesítéstípus esetén választható.
        TLS

        A TLS protokoll a nyilvános hálózatokon zajló kommunikáció védelmére és hitelesítésére szolgál, és ehhez adattitkosítást használ. A TLS handshake protokoll lehetővé teszi, hogy a kiszolgáló és az ügyfél kölcsönösen hitelesítse egymást, és az adatcsere előtt megegyezzenek a titkosító algoritmusban és a titkosító kulcsokban. Csak a PEAP hitelesítéstípus esetén választható.
        

Nincsenek megjegyzések:

Megjegyzés küldése