网路存取的安全性管理.ppt

1,網路存取的安全性管理,羅英嘉 2007年5月,2,企業網路存取方式,企業網路環境為了支援各種不同類型的用戶端，故大多需支援多種網路存取方式 區域網路存取 (LAN Access) 遠端存取 (Remote Access) 無線存取 (Wireless Access) 不同的網路存取方式面對不同的風險威脅與安全管理需求,3,企業網路存取架構,Network Access Server,IAS Server,DHCP Server,Domain Controller,區域網路存取 遠端網路存取 (VPN、撥號) 無線網路存取,Dial-up Client,Wireless Access Point,Wireless Client,VPN Client,LAN Client,4,網路存取安全性管理原則,企業網路資訊資產,私密性 確保機密資料不會外洩,不可否認性 避免使用者可以否認曾經做過的行為,身份驗證 確認使用者所宣稱的ID正確無誤,完整性 確保資料不會被竄改,可用性 確保使用者可以即時精確存取到資源,存取控制 避免非經授權者存取資源,5,企業區域網路存取安全性管理,身份驗證(Authentication) 密碼驗證協定 LANMAN、NTLM、NTLMv2、Kerberos 雙因子驗證：智慧卡 傳輸私密性、完整性 (Confidentiality、Integrity) IPSec 可用性 (Availability) 提供容錯能力、叢集技術、效能調整 存取控制 (Access Control) 設定判別存取控制清單 (DACL),6,區域網路安全性管理架構,驗證授權：Kerberos/NTLMv2 安全管理技術：群組原則與委派管理 傳輸安全性：IPSec 稽核 (Audit),7,遠端存取服務,使用者經由公眾網路連接存取企業內部資源 虛擬私人網路(VPN) 撥號(Dial-Up) 遠端存取的用戶端來源大多來自公用網路，所以風險性遠較傳統的區域網存取為高 遠端存取環境需要更嚴謹的存取控制,VPN使用者,撥號使用者,企業網路資源,8,遠端存取常見的威脅與因應,9,Windows遠端存取安全性管理機制,10,遠端存取身份驗證方法,遠端存取驗證方法,建議採用的嚴謹驗證方法： 智慧卡與憑證,集中驗證 : RADIUS,11,遠端存取身份驗證方法比較,12,Point to Point Tunneling Protocol,由 3Com 、微軟、Ascend等廠商所發展的第二層通道協定 利用GRE協定將IP、IPX或NetBEUI第三層通訊協定封裝在IP封包中，並使用TCP方式來交換加密通道的維護訊息 使用MPPE加密協定,IP Header GRE Header,PPP IP TCP Data,GRE Payload (encrypted),PPTP 伺服器,網 際 網 路,PPTP 用戶端,GRE,IP, IPX NetBEUI,PPP,13,L2TP/IPSec,IETF將 PPTP 和 Cisco 所發展的 Layer 2 Forwarding (L2F)合併的一種通道協定，提供 multi-point tunneling 的功能 PPTP與L2TP均為第二層的穿隧技術 L2TP支援非Internet Based的VPN (eg. Frame Relay、ATM)。 使用UDP 1701封裝L2TP封包。 經常採用IPSec執行加密服務，安全性較高。,IP 標頭,UDP 標頭,L2TP 標頭,PPP 標頭,PPP 資料 (IP、IPX、NetBEUI框架),14,L2TP/IPSec vs. PPTP,15,加密方法,RRAS使用者需採用EAP、MS-CHAP、MS-CHAPv2 驗證協定後，接下來的資料傳送才會被加密 加密方式： 撥號與PPTP MPPE RC 40、56、128位元 L2TP IPSec 56 位元DES與3DES RRAS透過遠端存取原則(RAP)加以設定,16,遠端存取的封包過濾,控制遠端使用者允許存取的服務流量 利用網路介面為單位或遠端存取原則執行封包過濾功能 可針對輸入或輸出流量二種方向進行過濾 可採用預設丟棄的正面表列或預設接收的負面表列,2. 利用遠端存取原則針對不同的連線者作不同的篩選,1. 利用介面內容針對所有用戶端限制,17,遠端存取原則 (Remote Access Policy),遠端存取原則為一種高彈性的規則，可以針對不同條件類型的連線使用者設定不同的連線工作環境，它包含了三個規則元件:,條件(Conditions)： 訂定企圖連線者的各種條件 權限 (permission).：允許存取或拒絕存取 設定檔 (Profile)：訂立連線者的各項工作環境,管理員可以透過遠端存取原則來控制使用者連線的條件(例時間、連線方式)及連線工作環境(例時間)的限制,18,RADIUS 通訊協定,一種遠端存取的集中驗證(Central Authentication)及記錄帳戶資訊(Accounting)的協定。 工業界標準的AAA協定。 使用者密碼集中儲存管理，所以讓網路存取的擴充更容易且安全性高。 使用UDP 連接埠 1812 處理 RADIUS 驗證訊息， UDP 連接埠 1813 用於 RADIUS 帳戶處理訊息。 當企業提供多種網路存取機器與類型時，為了集中驗證及記錄以及方便管理帳戶資料庫，可以採用RADIUS協定 利用微軟的網際網驗證服務可以架設RADIUS伺服器,19,RADIUS 協定,VPN 伺服器,撥號伺服器,無線基地台,RADIUS協定,802.1X,主從架構,20,使用Windows 網際網路驗證服務,安裝IAS服務 註冊IAS伺服器 設定RADIUS用戶端 設定RADIUS用戶端使用RADIUS驗證方法 啟用Accounting功能 測試,21,安裝與註冊網際網路驗證服務,1. 安裝ISA服務,2.若是Active Directory環境，則需先註冊,DEMO,22,新增與設定RADIUS用戶端,1. 選取新增RADIUS用戶端,2. 輸入用戶端IP位址,3. 選擇用戶端廠商與共用密碼,DEMO,23,設定RADIUS用戶端採用RADIUS驗證方法,1. 變更RAS伺服器驗證提供者為RADIUS驗證,2. 設定RADIUS伺服器資訊,DEMO,24,啟用IAS服務的Accounting功能,1. 選擇記錄方法,2. 記錄項目,3. 記錄的目錄與檔案,1. 啟用適當的記錄方法內容,2. 核選記錄的資訊,3. 記錄檔位置與格式,25,VPN網路存取隔離 (Quarantine),目的： 確保遠端用戶端在符合存取政策的情況下才能存取內部資源 避免遠端存取用戶端的安全性問題危害到企業的安全性問題 VPN用戶端隔離功能，讓VPN用戶端連接至VPN 伺服器成功後，先被歸屬到隔離VPN用戶端等到用戶端通過安全原則檢查後 (例如是否安裝最新的Service Pack)，才會被改歸屬為VPN用戶端允許存取網硌資源與服務 VPN用戶端隔離功能可以幫助您檢查VPN用戶端 是否安裝SP或修補檔 是否安裝並啟用防毒程式 個人防火牆是否安裝並啟用,26,網路存取隔離機制,RAS 用戶端符合隔離檢查要求,RAS 用戶端允許存取企業網路,中斷RAS 用戶端,RAS 用戶端檢查失敗 超過隔離區等待逾期時間,RAS 用戶端 置於隔離區,遠端存取用戶 端請求驗證,27,Quarantine Architecture,RQS Listener 從RQS 是否收到通知，來決定是否移除隔離篩選器允許存取企業網路或中斷使用者連線,Internet,RAS 用戶端,RRAS 伺服器,IAS伺服器,隔 離 區,RQS = Remote Quarantine Server RQC = Remote Quarantine Client VSA = Vendor Specific Attributes,28,啟用並設定伺服器隔離功能,安裝遠端存取隔離服務和連線管理員系統管理組件 設定網路存取隔離政策 建立連線管理設定檔,29,安裝隔離功能必要的軟體原件,1. 安裝遠端存取隔離服務,2.安裝連線管理員系統管理組件,30,設定網路存取隔離政策,啟動RRAS主控台 選取 RAP 內容內的編輯設定檔，再選取進階標籤。 新增 MS-Quarantine-Session-Timeout：90 MS-Quarantine-IPFilter Input Filter: UDP 67,68,31,建立連線管理設定檔,開啟連線管理員系統管理組件精靈,32,建立連線管理設定檔(續),提供檢查指令檔,提供rqc.exe 工具,最後編譯成exe檔讓使用者建立連線設定檔,33,遠端存取安全性管理指引,採用嚴謹的使用者身份驗證機制 智慧卡 (EAP+TLS) MS-CHAPv2 通道協定：L2TP/IPSec 採用高度加密機制 L2TP/IPSec 3DES 限制存取範圍：依據安全政策 正面表列的封包過濾 (預設丟棄所有流量) 採用使用者隔離功能,34,802.11無線網路,有線區域網路,無線網路 用戶端,Access Point,無線網路存取,35,簡介無線區域網路存取,無線區域網路標準：802.11 無線網路的優點 行動力高 不需佈線 無線區域網路規格： 802.11：2.4GHz、2Mbps 802.11b：2.4GHz、11Mbps 802.11g (提供與 802.11b相容模式)：2.4GHz、54 Mbps 802.11a：5 GHz 、54Mbps的頻寬,36,作業模式(Operation Mode),臨機模式(Ad-Hoc Mode) 即是一群使用無線網路卡的電腦，可以直接點對點相互連接，資源共享，無需透過基地台(Access Point)，此一模式則無法連接Internet，安全性差 基礎結構模式 (Infrastructure Mode) 此種架構模式讓無線網路卡的電腦透過基地台 (Access Point)來達成網路資源的共享與安全性機制,37,802.11安全性弱點,竊聽 (Eavesdropping) 非經授權的存取(Unauthorized Network Access) 資料篡改 (Tampering of data) 偽裝網路 (Rogue networks and Access Points),38,802.11安全機制,身份驗證 (Authentication) 開放系統 (Open System)：使用SSID 分享金鑰 (Shared Key)：使用WEP密鑰做為分享金鑰 資料加密 (Confidentiality) WEP (Wired Equivalent Privacy) RC4 對稱性加密技術 完整性 (Integrity) CRC32,39,802.11 身份驗證機制,開放系統 使用者只需要SSID 使用明文傳送SSID,分享金鑰 需要SSID與分享WEP金鑰,Request (SSID),Accepted (SSID),Request (SSID),Challenge Text (WEP),Accepted (SSID),40,SSID,服務區域代碼提供最基本的認證 SSID使用安全性原則： 修改預設的SSID 禁止SSID廣播 安全性差，不能作為認證唯一方法,Default SSID Cisco = tsunami 3COM = 101 Agere = WaveLAN Linksys = Linksys Dlink = default,41,MAC 位址註冊,SSID外的另一層存取限制 限制只有使用登錄MAC位址網路卡的機器才能使用基地台 安全性弱 網路卡可能被竊取 MAC位址可被攔截探知 並非標準，有些基地台並不支援,42,Wired Equivalent Privacy (WEP),1999年制定IEEE 802.11 的安全性標準 WEP的目標是要提供與傳統有線區域網路相同等級的安全性措施 提供私密性、完整性及認證的功能 採用對稱性加密技術-RC4作為演算法 採用CRC32提供完整性 802.11的WEP並非強制必要 WEP 金鑰目前有64位元與128位元兩種，64BIT要輸入10個十六進位的數字(0-9，A-F) 或是5個ASCII的字元。而128位元的金鑰則要輸入26 個十六進位的數字(0-9，A-F) 或是13個ASCII的字元，128位元安全性較高。,43,WEP 加密流程,WEP ( 40 or 104 bit),IV,IV + WEP,IV + WEP,Payload,CRC,CRC + Payload,RC4,XOR,XOR,RC4,CRC + Payload,IV (Initial Vector),WEP ( 40 or 104 bit),24位元,44,WEP安全性弱點,IV問題：長度太短與廠商設計不良導致金鑰易被破解 缺乏適當的金鑰管理機制 靜態金鑰 手動分送 對稱性RC 4 加密演算法有弱點 完整性的保護很弱 (CRC32) 沒有使用者身份驗證機制,45,WEP 評論,雖有弱點，仍提供了一般SOHO和小型規模無線環境下的基本安全性。 對安全性需求較高的企業網路仍嫌不足,46,基本無線網路安全性機制,SSID + WEP 金鑰 + MAC 認證 (關閉SSID廣播、啟用WEP金鑰、在AP註冊用戶端無線網卡),47,加強WEP的安全性標準,VPN 802.1x Authentication (2001) WPA (Wi-Fi Protected Access) (2002) 802.11i (2004),48,802.1x,IEEE 802.1X 標準定義了連接埠架構式的網路存取控制，可以用來驗證 Ethernet 網路的網路存取。 IEEE 802.1X 定義了三個主要元件： 驗證者(Authenticator)：要求並且接受未受信任端網路節點的認證請求的實體 請求者(supplicant)：求網路存取權，並且需接受 Authenticator 的認證稽核 驗證伺服器 (Authentication Server)：對 Authenticator 提供身分認證服務的實體,無線用戶端 (supplicant),基地台 (Authenticator),RADIUS (Authenticator Server),49,WPA (Wi-Fi Protected Access),Wi-Fi 聯盟2002年10月31日發表 WPA安全性機制 ( 802.1X + EAP + TKIP + MIC ) 使用者驗證 (User authentication) 企業驗證：802.1X + Extensible Authentication Protocol(EAP) SOHO驗證：預先共用金鑰(WPA-PSK) 只需要在每組WLAN節點輸入單一密碼即可驗證 加密 (Encryption) Temporal Key Integrity Protocol (TKIP) 802.1X for dynamic key distribution 完整性 Message Integrity Check (MIC),50,802.1x 驗證實務,一種連接埠、使用者等級的存取控制方式。 需要架設一部額外的驗證伺服器 (RADIUS)。 驗證方法 EAP-TLS 提供高度安全性的相互憑證驗證 PEAP-MS-CHAPv2 允許用戶端使用傳統帳戶、密碼驗證,51,802.1x 實務 架設 IAS (RADIUS Server),安裝 Windows Server 2003 網際網路驗證服務(IAS) 替IAS 伺服器取得電腦憑證 註冊 IAS 設定IAS記錄功能 新增基地台為IAS用戶端 建立一個無線網路使用的遠端存取原則,52,架設IAS (續) -新增基地台為IAS用戶端,新增無線基地台的IP位址 Client-Vendor 為 Microsoft 輸入正確的共用密碼 (Shared Secret) 若使用EAP則需要 “要求必須包含訊息驗證者屬性 (use of message authenticator attributes)” (PEAP不需要),53,架設IAS (續)- 建立一個無線網路使用的遠端存取原則,條件 (Condition)： NAS-port-type Wireless - IEEE 802.11 Wireless other Windows-group 使用權限(Permission): 授予權限 (Grant) 設定檔(Profile): Authentication:取消所有驗證方法, 只設定EAP , type為Protected EAP 加密位元為128 進階標籤內: 新增 “Ignore-user-dialin-properties” 設為TRUE 移除 Framed-Protocol,54,設定XP用戶端使用802.1x,開啟無線網卡內容對話方塊 先設好TCP/IP組態 選擇或新增AP的SSID 開啟 WEP, 設定正確WEP金鑰 啟動802.1x PEAP EAP-MS-CHAPv2 右側設定按鈕, 可以取消核選方塊, 以便連接時輸入二個正確而非目前登