1 / 60

網路存取的安全性管理

網路存取的安全性管理. 羅英嘉 2007 年 5 月. 企業網路存取方式. 企業網路環境為了支援各種不同類型的用戶端,故大多需支援多種網路存取方式 區域網路存取 (LAN Access) 遠端存取 (Remote Access) 無線存取 (Wireless Access) 不同的網路存取方式面對不同的風險威脅與安全管理需求. 企業網路存取架構. LAN Client. DHCP Server. Network Access Server. Domain Controller . IAS Server. VPN Client.

fola
Download Presentation

網路存取的安全性管理

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 網路存取的安全性管理 羅英嘉 2007年5月

  2. 企業網路存取方式 • 企業網路環境為了支援各種不同類型的用戶端,故大多需支援多種網路存取方式 • 區域網路存取 (LAN Access) • 遠端存取 (Remote Access) • 無線存取 (Wireless Access) • 不同的網路存取方式面對不同的風險威脅與安全管理需求

  3. 企業網路存取架構 LAN Client DHCP Server Network Access Server Domain Controller IAS Server VPN Client Wireless Access Point Dial-up Client • 區域網路存取 • 遠端網路存取 (VPN、撥號) • 無線網路存取 Wireless Client

  4. 網路存取安全性管理原則 私密性 確保機密資料不會外洩 身份驗證 確認使用者所宣稱的ID正確無誤 企業網路資訊資產 完整性 確保資料不會被竄改 存取控制 避免非經授權者存取資源 可用性 確保使用者可以即時精確存取到資源 不可否認性 避免使用者可以否認曾經做過的行為

  5. 企業區域網路存取安全性管理 • 身份驗證(Authentication) • 密碼驗證協定 • LANMAN、NTLM、NTLMv2、Kerberos • 雙因子驗證:智慧卡 • 傳輸私密性、完整性 (Confidentiality、Integrity) • IPSec • 可用性 (Availability) • 提供容錯能力、叢集技術、效能調整 • 存取控制 (Access Control) • 設定判別存取控制清單 (DACL)

  6. 區域網路安全性管理架構 • 驗證授權:Kerberos/NTLMv2 • 安全管理技術:群組原則與委派管理 • 傳輸安全性:IPSec • 稽核 (Audit)

  7. 遠端存取服務  • 使用者經由公眾網路連接存取企業內部資源 • 虛擬私人網路(VPN) • 撥號(Dial-Up) • 遠端存取的用戶端來源大多來自公用網路,所以風險性遠較傳統的區域網存取為高 • 遠端存取環境需要更嚴謹的存取控制 VPN使用者 企業網路資源 撥號使用者

  8. 遠端存取常見的威脅與因應

  9. Windows遠端存取安全性管理機制

  10. CHAP • PAP • SPAP • MS-CHAP • MS-CHAP v2 • EAP-TLS • PEAP • MD-5 Challenge 遠端存取身份驗證方法 遠端存取驗證方法 • 集中驗證 : RADIUS 建議採用的嚴謹驗證方法: 智慧卡與憑證

  11. 遠端存取身份驗證方法比較

  12. Point to Point Tunneling Protocol • 由 3Com 、微軟、Ascend等廠商所發展的第二層通道協定 • 利用GRE協定將IP、IPX或NetBEUI第三層通訊協定封裝在IP封包中,並使用TCP方式來交換加密通道的維護訊息 • 使用MPPE加密協定 PPP IP, IPX NetBEUI PPTP 用戶端 網 際 網 路 GRE PPTP 伺服器 GRE Payload (encrypted) IP Header GRE Header PPP IP TCP Data

  13. L2TP/IPSec • IETF將 PPTP 和 Cisco 所發展的 Layer 2 Forwarding (L2F)合併的一種通道協定,提供 multi-point tunneling 的功能 • PPTP與L2TP均為第二層的穿隧技術 • L2TP支援非Internet Based的VPN (eg. Frame Relay、ATM)。 • 使用UDP 1701封裝L2TP封包。 • 經常採用IPSec執行加密服務,安全性較高。 IP 標頭 UDP 標頭 L2TP 標頭 PPP 標頭 PPP 資料 (IP、IPX、NetBEUI框架)

  14. L2TP/IPSec vs. PPTP

  15. 加密方法 • RRAS使用者需採用EAP、MS-CHAP、MS-CHAPv2 驗證協定後,接下來的資料傳送才會被加密 • 加密方式: • 撥號與PPTP • MPPE • RC 40、56、128位元 • L2TP • IPSec • 56 位元DES與3DES • RRAS透過遠端存取原則(RAP)加以設定

  16. 遠端存取的封包過濾 • 控制遠端使用者允許存取的服務流量 • 利用網路介面為單位或遠端存取原則執行封包過濾功能 • 可針對輸入或輸出流量二種方向進行過濾 • 可採用預設丟棄的正面表列或預設接收的負面表列 2.利用遠端存取原則針對不同的連線者作不同的篩選 1. 利用介面內容針對所有用戶端限制

  17. 遠端存取原則(Remote Access Policy) 遠端存取原則為一種高彈性的規則,可以針對不同條件類型的連線使用者設定不同的連線工作環境,它包含了三個規則元件: • 條件(Conditions): 訂定企圖連線者的各種條件 • 權限 (permission).:允許存取或拒絕存取 • 設定檔 (Profile):訂立連線者的各項工作環境 管理員可以透過遠端存取原則來控制使用者連線的條件(例時間、連線方式)及連線工作環境(例時間)的限制

  18. RADIUS 通訊協定 • 一種遠端存取的集中驗證(Central Authentication)及記錄帳戶資訊(Accounting)的協定。 • 工業界標準的AAA協定。 • 使用者密碼集中儲存管理,所以讓網路存取的擴充更容易且安全性高。 • 使用UDP 連接埠 1812 處理 RADIUS 驗證訊息, UDP 連接埠 1813 用於 RADIUS 帳戶處理訊息。 • 當企業提供多種網路存取機器與類型時,為了集中驗證及記錄以及方便管理帳戶資料庫,可以採用RADIUS協定 • 利用微軟的網際網驗證服務可以架設RADIUS伺服器

  19. RADIUS 協定 主從架構 802.1X RADIUS協定 無線基地台 VPN 伺服器 撥號伺服器

  20. 使用Windows 網際網路驗證服務 • 安裝IAS服務 • 註冊IAS伺服器 • 設定RADIUS用戶端 • 設定RADIUS用戶端使用RADIUS驗證方法 • 啟用Accounting功能 • 測試

  21. 安裝與註冊網際網路驗證服務 1. 安裝ISA服務 DEMO 2.若是Active Directory環境,則需先註冊

  22. 新增與設定RADIUS用戶端 1. 選取「新增RADIUS用戶端」 3. 選擇用戶端廠商與共用密碼 2. 輸入用戶端IP位址 DEMO

  23. 設定RADIUS用戶端採用RADIUS驗證方法 DEMO 1. 變更RAS伺服器驗證提供者為RADIUS驗證 2. 設定RADIUS伺服器資訊

  24. 啟用IAS服務的Accounting功能 1. 選擇記錄方法 1. 啟用適當的記錄方法內容 3. 記錄的目錄與檔案 3. 記錄檔位置與格式 2. 記錄項目 2. 核選記錄的資訊

  25. VPN網路存取隔離 (Quarantine) • 目的: • 確保遠端用戶端在符合存取政策的情況下才能存取內部資源 • 避免遠端存取用戶端的安全性問題危害到企業的安全性問題 • VPN用戶端隔離功能,讓VPN用戶端連接至VPN 伺服器成功後,先被歸屬到「隔離VPN用戶端」等到用戶端通過安全原則檢查後 (例如是否安裝最新的Service Pack),才會被改歸屬為「VPN用戶端」允許存取網硌資源與服務 • VPN用戶端隔離功能可以幫助您檢查VPN用戶端 • 是否安裝SP或修補檔 • 是否安裝並啟用防毒程式 • 個人防火牆是否安裝並啟用

  26. 網路存取隔離機制 遠端存取用戶 端請求驗證 RAS 用戶端 置於隔離區 RAS 用戶端符合隔離檢查要求 • RAS 用戶端檢查失敗 • 超過隔離區等待逾期時間 中斷RAS 用戶端 RAS 用戶端允許存取企業網路

  27. Quarantine Architecture 隔 離 區 • 連線管理員設定檔 • 執行連接後指令檔 • 指令檔執行 RQC 通知結果是否檢查通過 • Quarantine VSAs • 計時器計時是否超過等待通知逾時時間 • Q-filter 為隔離者設定暫時存取過濾器 Internet IAS伺服器 RRAS 伺服器 RAS 用戶端 • RQS Listener • 從RQS 是否收到通知,來決定是否移除隔離篩選器允許存取企業網路或中斷使用者連線 RQS = Remote Quarantine Server RQC = Remote Quarantine Client VSA = Vendor Specific Attributes

  28. 啟用並設定伺服器隔離功能 • 安裝「遠端存取隔離服務」和「連線管理員系統管理組件」 • 設定網路存取隔離政策 • 建立連線管理設定檔

  29. 安裝隔離功能必要的軟體原件 1. 安裝「遠端存取隔離服務」 2.安裝「連線管理員系統管理組件」

  30. 設定網路存取隔離政策 • 啟動『RRAS』主控台 • 選取 RAP 內容內的『編輯設定檔』,再選取『進階』標籤。 • 新增 • MS-Quarantine-Session-Timeout:90 • MS-Quarantine-IPFilter • Input Filter: UDP 67,68

  31. 建立連線管理設定檔 • 開啟「連線管理員系統管理組件精靈」

  32. 建立連線管理設定檔(續) 提供rqc.exe 工具 最後編譯成exe檔讓使用者建立連線設定檔 提供檢查指令檔

  33. 遠端存取安全性管理指引 • 採用嚴謹的使用者身份驗證機制 • 智慧卡 (EAP+TLS) • MS-CHAPv2 • 通道協定:L2TP/IPSec • 採用高度加密機制 • L2TP/IPSec 3DES • 限制存取範圍:依據安全政策 • 正面表列的封包過濾 (預設丟棄所有流量) • 採用使用者隔離功能

  34. 無線網路存取 802.11無線網路 有線區域網路 Access Point 無線網路 用戶端

  35. 簡介無線區域網路存取 • 無線區域網路標準:802.11 • 無線網路的優點 • 行動力高 • 不需佈線 • 無線區域網路規格: • 802.11:2.4GHz、2Mbps • 802.11b:2.4GHz、11Mbps • 802.11g (提供與 802.11b相容模式):2.4GHz、54 Mbps • 802.11a:5 GHz 、54Mbps的頻寬

  36. 作業模式(Operation Mode) • 臨機模式(Ad-Hoc Mode) • 即是一群使用無線網路卡的電腦,可以直接點對點相互連接,資源共享,無需透過基地台(Access Point),此一模式則無法連接Internet,安全性差 • 基礎結構模式 (Infrastructure Mode) • 此種架構模式讓無線網路卡的電腦透過基地台 (Access Point)來達成網路資源的共享與安全性機制

  37. 802.11安全性弱點 • 竊聽 (Eavesdropping) • 非經授權的存取(Unauthorized Network Access) • 資料篡改 (Tampering of data) • 偽裝網路 (Rogue networks and Access Points)

  38. 802.11安全機制 • 身份驗證 (Authentication) • 開放系統 (Open System):使用SSID • 分享金鑰 (Shared Key):使用WEP密鑰做為分享金鑰 • 資料加密 (Confidentiality) • WEP (Wired Equivalent Privacy) • RC4 對稱性加密技術 • 完整性 (Integrity) • CRC32

  39. Challenge Response (WEP) 802.11 身份驗證機制 開放系統 • 使用者只需要SSID • 使用明文傳送SSID 分享金鑰 • 需要SSID與分享WEP金鑰 Request (SSID) Request (SSID) Accepted (SSID) Challenge Text (WEP) Accepted (SSID)

  40. Default SSID Cisco = tsunami 3COM = 101 Agere = WaveLAN Linksys = Linksys Dlink = default SSID • 服務區域代碼提供最基本的認證 • SSID使用安全性原則: • 修改預設的SSID • 禁止SSID廣播 • 安全性差,不能作為認證唯一方法

  41. MAC 位址註冊 • SSID外的另一層存取限制 • 限制只有使用登錄MAC位址網路卡的機器才能使用基地台 • 安全性弱 • 網路卡可能被竊取 • MAC位址可被攔截探知 • 並非標準,有些基地台並不支援

  42. Wired Equivalent Privacy (WEP) • 1999年制定IEEE 802.11 的安全性標準 • WEP的目標是要提供與傳統有線區域網路相同等級的安全性措施 • 提供私密性、完整性及認證的功能 • 採用對稱性加密技術--RC4作為演算法 • 採用CRC32提供完整性 • 802.11的WEP並非強制必要 • WEP 金鑰目前有64位元與128位元兩種,64BIT要輸入10個十六進位的數字(0-9,A-F) 或是5個ASCII的字元。而128位元的金鑰則要輸入26 個十六進位的數字(0-9,A-F) 或是13個ASCII的字元,128位元安全性較高。

  43. 無線網路用戶端 Access Point 密文 明文 明文 WEP 加密流程 WEP ( 40 or 104 bit) WEP ( 40 or 104 bit) 24位元  IV IV + WEP IV + WEP IV (Initial Vector) Payload RC4 RC4 CRC XOR XOR CRC + Payload CRC + Payload

  44. WEP安全性弱點 • IV問題:長度太短與廠商設計不良導致金鑰易被破解 • 缺乏適當的金鑰管理機制 • 靜態金鑰 • 手動分送 • 對稱性RC 4 加密演算法有弱點 • 完整性的保護很弱 (CRC32) • 沒有使用者身份驗證機制

  45. WEP 評論 • 雖有弱點,仍提供了一般SOHO和小型規模無線環境下的基本安全性。 • 對安全性需求較高的企業網路仍嫌不足

  46. 基本無線網路安全性機制 SSID + WEP 金鑰 + MAC 認證 (關閉SSID廣播、啟用WEP金鑰、在AP註冊用戶端無線網卡)

  47. 加強WEP的安全性標準 • VPN • 802.1x Authentication (2001) • WPA (Wi-Fi Protected Access) (2002) • 802.11i (2004)

  48. 無線用戶端 (supplicant) 基地台 (Authenticator) RADIUS (Authenticator Server) 802.1x • IEEE 802.1X 標準定義了連接埠架構式的網路存取控制,可以用來驗證 Ethernet 網路的網路存取。 • IEEE 802.1X 定義了三個主要元件: • 驗證者(Authenticator):要求並且接受未受信任端網路節點的認證請求的實體 • 請求者(supplicant):求網路存取權,並且需接受 Authenticator 的認證稽核 • 驗證伺服器 (Authentication Server):對 Authenticator 提供身分認證服務的實體

  49. WPA (Wi-Fi Protected Access) • Wi-Fi 聯盟2002年10月31日發表 • WPA安全性機制 ( 802.1X + EAP + TKIP + MIC ) • 使用者驗證 (User authentication) • 企業驗證:802.1X + Extensible Authentication Protocol(EAP) • SOHO驗證:預先共用金鑰(WPA-PSK) • 只需要在每組WLAN節點輸入單一密碼即可驗證 • 加密 (Encryption) • Temporal Key Integrity Protocol (TKIP) • 802.1X for dynamic key distribution • 完整性 • Message Integrity Check (MIC)

  50. 802.1x 驗證實務 • 一種連接埠、使用者等級的存取控制方式。 • 需要架設一部額外的驗證伺服器 (RADIUS)。 • 驗證方法 • EAP-TLS • 提供高度安全性的相互憑證驗證 • PEAP-MS-CHAPv2 • 允許用戶端使用傳統帳戶、密碼驗證

More Related