Download presentation
Presentation is loading. Please wait.
1
資策會數位教育研究所 楊宏文 (Hubert Yang) hwyang@iii.org.tw
Network Security 資策會數位教育研究所 楊宏文 (Hubert Yang)
2
大綱 802.11 Protocol Architecture 802.11 Access Process
Network Security Architecture Network Security Analysis and Troubleshooting Network Security Policy Basics Network Security
3
[Part 1] 802.11 Protocol Architecture
[Part 1] Protocol Architecture
4
BSS Basic Service Set (基本服務組) 包含以下兩種模式: 802.11網路最基礎的元件組合
Id-BSS (Independent BSS / IBSS) 屬於封閉式網路 If-BSS (Infrastructure BSS / BSS) Network Security
5
獨立式BSS ad hoc 網路(因應臨時需求所建置)。 譯為「電腦對電腦(臨機操作)網路」。 Peer-to-Peer
Network Security
6
IBSS模式中的outbound 由某STA執行Routing 網際網路連線共用(ICS) 橋接器連線 啟動路由
Network Security
7
架構式BSS 由一個以上的AP與用戶端所組成,亦稱為Basic Service Area。 所有流量均藉由AP來轉送。
Network Security
8
節點間的互通與禁止 Network Security
9
BSSID 基本服務識別碼,藉以識別BSS。 由48個2進位數值 / 6個位元組數值(MAC Address)所構成。
BSSID = AP的網卡卡號。 對獨立式基本服務組(IBSS)而言 BSSID = 隨機的網卡卡號。 Network Security
10
問題與討論 BSSID的存在意義? 加強識別資訊 Network Security
11
關於BSS的配置 在同一個BSS中,允許以下配置 切割多重subnet 多重使用者認證機制 Network Security
12
ESS Extended Service Set (延伸性服務組) 由多個BSS組成,使用相同SSID可支援漫遊。
Overlap 是 Roaming 的要件之一 Network Security
13
ESSID 延伸服務識別碼,藉以識別ESS。 大小寫有別,由2-32個字元(Bytes)所構成的唯一識別碼。
工作站與AP間的Associate 有相同SSID方可進行Associate 大小寫有別,由2-32個字元(Bytes)所構成的唯一識別碼。 企業級AP可支援多達16個SSID 每個radio各8個SSID Network Security
14
SSID過濾 或稱為Close System SSID使用原則: 最基本的安全存取控制方式。 取消SSID廣播。 不使用預設的SSID。
建構ESS時,SSID應相同。 Network Security
15
於AP端設定SSID 分別針對11a或11g設定SSID Network Security
16
問題與討論 多重SSID(MSSID)的意義何在? 以虛擬AP方式提供差異性服務 Network Security
17
於用戶端設定SSID 僅與特定AP結合 可與任意AP結合 Network Security
18
評選存取點的依據 依慣用網路的順序。 依發現的順序。 依訊號強弱。 (RSSI或dB) Network Security
19
BSSID vs. ESSID SSID 用途 唯一性 字元 長度 BSSID 識別單一BSS YES 16進位 數值 48 ESSID
NO (Bytes) 2-32 Network Security
20
包含SSID的訊框 Beacon -Passive Scan Probe Request -Active Scan
Probe Response -Active Scan Association Request Re-association Request Network Security
21
Disassociation Attack
問題與討論 如果你是駭客,如何竊取封閉網路的SSID? Disassociation Attack RF Jamming Network Security
22
[Part 2] Access Process
23
使用WLAN的流程 掃描(Scanning) 加入(Joining) 授權(Authentication) 結合(Association)
Network Security
24
與掃描相關的訊框 Beacon Probe request Probe response 802.11 Network Security
The Beacon Tower Network Security
25
Beacon Beacon management frame 的簡稱 由AP送出的frame,藉以進行通訊管理。
時間戳記 (以利同步時間) 展頻參數 (DS的頻道或FH的Hop/dwell) SSID資訊 (管理者可封鎖此資訊) 流量指示TIM (工作站進入省電模式時的資料暫存) 速率支援資訊 [例外]在臨機操作(Ad hoc)網路中,該frame則由工作站發出。 Network Security
26
問題與討論 對於一個已經完成結合程序的工作站而言,若管理者將AP的SSID廣播功能關閉,將造成啥影響? 沒有影響
Network Security
27
Locating a WLAN 被動式掃描 主動式掃描 AP每100ms(kµs)送出一次Beacon。
由STA逐一對各頻道送出probe request。 若帶有SSID值時,可以進入封閉的系統。 相對功耗較大。 Network Security
28
可調整的Beacon間隔 l kµs = 1(103) (l0–6) s = 1 (10–3) s = 1ms
Network Security
29
Passive Scanning Client端在每一個頻道聽取Beacon。 評選AP。 確認之後再啟動驗證與結合的程序。
Beacons Network Security
30
圖示Passive Scanning Network Security
31
問題與討論 與AP結合之後還需要Passive Scanning? 若所結合的AP效能下降至低於門檻值, 應尋求新的網路服務。 X
Beacons X 若所結合的AP效能下降至低於門檻值, 應尋求新的網路服務。 Network Security
32
關閉被動掃描 Network Security
33
Active Scanning STA向某AP發出Probe Request AP回應Probe Response(與Beacon類似)
其中可能包含SSID,用以與關閉SSID廣播的AP結合 AP回應Probe Response(與Beacon類似) 不含TIM 也可能不含SSID Probe Request Probe Request Probe Request Network Security
34
圖示Active Scanning Network Security
35
問題與討論 需要網路時,掃描到多個無線網路,應該高興嗎? 未必。因為干擾源亦同步增加 Network Security
36
Joining a WLAN 兩個程序: 驗證(Authentication) 結合(Association)
Network Security
37
驗證 誰來驗證? 驗證什麼? AP或無線交換設備 驗證主機(RADIUS)搭配集中式帳號資料庫 網卡卡號是否合格(MAC filter)
帳號是否合格 加密金鑰是否正確 數位憑證是否正確 Network Security
38
[Part 3] 802.11 Network Architecture
[Part 3] Network Architecture
39
無線交換器/控制器 使用輕量級無線存取協定(LWAPP) 與thin AP搭配 L2設備 Network Security
40
認識LWAPP Lightweight Access Point Protocol 2002年由Airespace與NTT DoCoMo提出
由IETF所提出的標準化草案 易於管理 提高安全 高度行動力 Network Security
41
精簡型AP 與Wireless Switch/Control 搭配的AP稱為”Lightweight AP”或”Thin AP”
先從無線網路交換器下載韌體與設定檔 支援 , Clause 33 PoE 相較於Lightweight AP的其他AP,稱為”Autonomous AP”或”Fat AP” Network Security
42
Fat與Thin Centralized Mobility Controller “Fat” Access Points “Thin”
Policy Mobility Forwarding Encryption Authentication Management “Fat” Access Points 802.11a/b/g Antennas Network Security
43
部署LWAPP系統 動態通道指定 降低建置成本 集中電源控制 支援快速遞移 落實負載平衡 防制阻斷攻擊 中央認證管理 提供安全通訊
偵測非法設備 Network Security
44
動態頻道控制 Network Security
45
動態功率調整 Network Security
46
負載平衡 3 2 Move 1,2 and 3 1 Network Security
47
鎖定非法設備 Locate the rogue AP Rogue AP Air Monitors
Network Security
48
WLAN交換器的安全機制 802.1q VLAN tagging 單一VLAN內,多重SSID 各VLAN之安全政策 跨VLAN路由
使用者或群組安全政策 SSID廣播管制 Network Security
49
無線交換器廠商 Cisco Airespace Aruba Chantry Networks Reefedge
Trapeza Networks Symbol Technologies Network Security
50
[Part 4] 802.11 Network Security Architecture
[Part 4] Network Security Architecture
51
RSN Robust security network
兩節點使用four-way handshake程序來完成認證,並藉以結合者稱為RSNA。 僅允許建立RSNAs的網路稱為RSN Confidentiality Integrity Authentication Network Security
52
安全標準 Pre-RSNA RSNA 開放系統認證 共享金鑰認證 WEP TKIP/RC4 IEEE 802.11i CCMP/AES
IEEE 802.1X(AKM) PSK 數位憑證 TSN Network Security
53
開放系統認證 互傳authentication管理性訊框。 1.提出結合要求 2.驗證並允諾結合 Status code=0 (成功)
Network Security
54
共用金鑰(PSK)驗證 又稱為 Challenge-Response Authentication 工作站與AP均設定同一組WEP金鑰。
1.提出結合要求 2. 挑戰文字(128bits) 3.以WEP Key將文字加密 4.以WEP key解密驗證並回應結合 Network Security
55
共用金鑰驗證並不安全 若將WEP Key用於驗證階段,駭客可輕易破解WEP Key。 1.提出結合要求 2.(隨機)128bits挑戰文字
Network Security
56
WEP Wired Equivalent Privacy IEEE 802.11-2007承認,pre-RSNA無法符合安全目標。
提供相當於有線網路等級的安全性。 分為WEP-40與WEP-104兩種長度。 IEEE 承認,pre-RSNA無法符合安全目標。 僅能預防casual eavesdropping 無法抵禦malicious eavesdropping Network Security
57
WEP Key STA與AP須指定相同的Key,方可結合。 WEP Algorithm將WEP Key用在驗證及加密兩階段,形成安全弱點。
802.11允許設定四組金鑰。 可以HEX或ASCII的格式輸入Key值。 WEP Algorithm將WEP Key用在驗證及加密兩階段,形成安全弱點。 建議僅用於資料加密。 Network Security
58
手動指定WEP金鑰 40 Bit 金鑰 104 Bit 金鑰 輸入10個16進位數值(0-9, a-f, or A-F)
Ex. 234F4B67AD 104 Bit 金鑰 輸入26個16進位數值(0-9, a-f, or A-F) Ex. 6C89DAB421FE34DF FD Network Security
59
AP 端設定金鑰 Network Security
60
用戶端設定金鑰 靜態WEP Key Network Security
61
用戶端對驗證方式的選擇 Network Security
62
WEP的原理 將IV與WEP key串接。 以RC4進行PRNG加密,產生keystream
= 64bit = 128bit = 152bit (非標準) 以RC4進行PRNG加密,產生keystream IV值隨封包傳給接收端,藉以進行逆向工程,搭配WEP key產生keystream。 Network Security
63
圖解 WEP 加密 + 802.11 Network Security IV IV 24 bits IV WEP key RC4 PRNG
密文 WEP key Keystream 40, 104 bits ICV 32 bits 明文 明文 CRC32 + CRC IV 初始向量值 CRC 循環冗餘檢查 PRNG 亂數產生器 ICV 完整性檢查碼 Network Security
64
WEP的弱點 屬靜態金鑰。 僅保護data payload,未加密表頭。 IV值僅24bits。 以明碼傳送IV值。
若pcap的封包(interesting frame)夠多,密文岌岌可危。 Network Security
65
WEP面臨的威脅 Brute force attack Dictionary attack Weak IV attack 搭配分散式攻擊
高速電腦形成威脅 Dictionary attack 以常用字為基礎 Weak IV attack 又稱bit-flipping attack Network Security
66
WEP面臨的威脅(cont.) Reinjection attack Storage attack 注入ARP封包,產生流量
WZC雖將金鑰以加密方式儲存在登錄資訊中,然某些工具(ex. wzcook)可逕自金鑰儲存區偷出金鑰。 Network Security
67
IEEE 802.11第8款 2004年通過,成為IEEE802.11i 要求使用具備RSN技術的認證技術 RSN技術關鍵 802.1X
passphrase-to-preshared key mapping RSN技術關鍵 Four-way handshake PMK, GTK Network Security
68
TKIP加密 Temporal key Integrity Protocol 搭配RC4 encryption
改良自WEP(亦稱WEPv2) 加長靜態金鑰為128bits 加長IV為24bits 以MIC輔助ICV (Integrity Check Value) WiFi聯盟提供WPA認證測試。 Network Security
69
MIC Message Integrity Check 在data與之間插入一個8byte的欄位 使用frame counter,
常簡稱為'Michael‘ 在data與之間插入一個8byte的欄位 可確保整個frame的完整性。 使用frame counter, 可避免bit-flipping attacks Network Security
70
PSK認證 使用Pairwise Master Key為預先金鑰 推出PMK後,執行four-way handshake
PMK源自於預先輸入的金鑰(PSK)或EAP 長度256bits 推出PMK後,執行four-way handshake 推導512-bit的Pairwise Transient Key PTK係用來保護unicast 以Group Temporal Key對multicast與broadcast進行保密 PMK PTK Network Security
71
四向式交握 申請者 驗證者 802.11 Network Security PMK PMK
Authentication nonce (ANonce) 1 PTK 推導PTK 驗證MIC PTK 推導PTK 驗證MIC(PMK) 再生成MIC □ ˇ MIC Supplicant nonce (SNonce) MIC 2 □ ˇ MIC Authentication nonce (ANonce) RSC, GTK, MIC 3 驗證MIC 安裝金鑰 MIC 4 安裝金鑰 Network Security
72
CCMP 11i要求使用的加密方法。 搭配AES encryption。 使用Rijndael密碼系統 金鑰長度為128bits
加長MIC達64bits 對硬體要求較高 Network Security
73
(用戶端)使用PSK ex. gu7YjhU67BbrYYZ89klop09 Network Security
74
WPA vs. WPA2 Wi-Fi認證 驗證方法 密碼組 加密演算 WPA-PSK passphase TKIP RC4
WPA-Enterprise 802.1X WPA2-PSK CCMP AES WPA2-Enterprise Network Security
75
問題與討論 使用WPA2-Enterprise可以保障OSI哪一 層的安全? Data-link
Network Security
76
IEEE 802.1X 由IETF的EAP (可延伸身份認證協定) 延伸而來,形成AAA model。 係port-based認證機制
可執行PAE (port access entity) control 重要屬性 三個Protocol Authentication Entity 控制埠 認證流程 Network Security
77
802.1X通訊埠 Uncontrolled port (不受控埠) Controlled port (受控埠)
完成認證程序前,禁止data流量 Controlled port (受控埠) 完成認證程序後,方產生連結 搭配WLAN的是Virtual port Network Security
78
三個PAE Supplicant (申請者) Authenticator (驗證者)
提出連線要求 Authenticator (驗證者) 要求並接受Supplicant所提的認證要求 Authentication Server (認證伺服器) 對Authenticator提供認證服務的機制 Network Security
79
通用802.1X架構 (AS) 驗證伺服器 申請者 驗證者 802.11 Network Security
EAP over Wireless EAP over RADIUS 要求表明身份 提供身份識別 (轉送)身份識別 (轉送)要求認證資訊 要求認證資訊 提供認證資訊 (轉送)認證資訊 回傳核可資訊 Network Security
80
常見之AS協定 RADIUS TACACS+ Remote Authentication dial-in user service
Terminal Access Controller Access Control System Network Security
81
WLAN switches/controllers
問題與討論 哪些設備可以扮演認證伺服器(AS)的角色? EWG, EEG, AP or WLAN switches/controllers Network Security
82
AS + local DB 使用內建使用者資料庫 小規模企業可採用之 RADIUS Network Security
83
AS + External DB 連結外部使用者資料庫 Microsoft AD Novell eDirectory LDAP
Network Security
84
802.1X認證模式 一次密碼 (EAP-MD5) 保護性EAP (PEAP) 輕量級EAP (LEAP) FAST
資格認證 (EAP-TLS) 穿隧資格認證 (EAP-TTLS) SIM認證(EAP-SIM) Network Security
85
EAP比較 MD5 TLS TTLS PEAP LEAP FAST 需要用戶端憑證 否 是 不定 需要伺服器憑證 驗證用戶端密碼 使用PAC
交互認證 金鑰管理 憑證保護力 弱 強 Network Security
86
(用戶端)使用EAP-PEAP Network Security
87
(用戶端)使用EAP-LEAP Network Security
88
(用戶端)使用EAP-FAST Network Security
89
(用戶端)使用EAP-TLS Network Security
90
數位憑證 憑證內容包含個體識別資訊與一把金鑰 核發方式 由憑證授權單位核發X509憑證 由Cisco設備核發 內部CA
外部Third-party CA (ex ) 由Cisco設備核發 Protected Access Credential TLS PEAP FAST Network Security
91
匯整比較 Before 11i After 11i 身份辨識 資料加密 身份辨識 資料加密 開放系統認證 共享金鑰認證 (pre-RSNA)
WEP (pre-RSNA) TKIP After 11i 身份辨識 802.1X PSK 資料加密 CCMP Network Security
92
TSN Transition Security Network 允許pre-RSNA與RSNA並存
基於Legacy equipment不支援RSNA 過渡期應用 安全強度堪慮 Network Security
93
[Part 5] 認識WLAN攻擊
94
常見攻擊手法 Eavesdropping Hijacking Man-in-the-middle Denial of service
Management interface exploits Encryption cracking Authentication cracking MAC spoofing Peer-to-peer attacks Social engineering Network Security
95
非經意竊聽 常用工具 Easy Wi-Fi Radar MiniStumbler MacStumbler KisMac
NetStumbler KisMet Network Security
96
惡意竊聽 OmniPeek Personal AiroPeek Network Instrument Observer
AirMagnet Laptop Analyzer Javvin CAPSA WireShark CommView for Wi-Fi Network Security
97
攔截(中間人攻擊) X SSID: III Deauthentication STA Server Attacker
(Software AP) Network Security
98
問題與討論 攔截者要的是什麼? 入侵被駭者電腦 進行阻斷式攻擊 Network Security
99
微軟用戶端工具弱點 “自動”連線慣用網路 若清單內網路皆不可得 所儲存的密碼易遭竊 依順序嘗試 “自動” 搜尋 “新訊號” !!
Network Security
100
給使用者的忠告 未使用時,應關閉無線網路訊號。 避免使用Microsoft WZC設定無線網路。 改用third-party用戶端工具
Network Security
101
阻絕服務 Physical Layer DoS MAC layer DoS 802.11w 將嘗試解決 RF Jamming
Data Flooding Management Frame Injection PS-Pool floods 802.11w 將嘗試解決 Network Security
102
Intentional DoS 訊號產生器(PSG) 阻斷器(Jammer) 802.11介面卡 軟體式 & 硬體式 功率高達1000mW
若處於Continuous transmit state,可佔據medium,影響他人CCA 稱為Queensland Attack Network Security
103
Unintentional DoS 來自於同處於2.4GHz ISM的生活應用 RF video camera Baby monitor
無線電話 微波爐 Network Security
104
封包產生器 Network Security
105
如何避免DoS 善用頻譜分析儀 P802.11w提供robust mgt. frame 尋找干擾源 鎖定rogue AP
Network Security
106
滲透管理介面 Serial (強化實體安全) Web-based (HTTPS) SNMP (SNMP v3) telnet (SSH2)
Network Security
107
預防管理介面滲透 Network Security
108
密碼與身份破解 密碼破解法--如WEP cracking 身份破解法--如WPA cracking 較高檔的設備已經補強weak IV弱點
搭配強式密碼可以提高破解難度 身份破解法--如WPA cracking 建議採用full authentication infra-structure 或搭配較長的PSK可以提高破解難度 Network Security
109
MAC欺騙 裝置管理員 修改Windows Registry機碼 SMAC spoofing tool
Network Security
110
使用者如何避免點對點攻擊 使用端點安全防護工具 關閉Windows file sharing功能 避免存取ad hoc網路
若SSID名為III,他一定是 個AP嗎? Network Security
111
使用者如何避免點對點攻擊 禁止節點間的通連 Cisco的PSPF功能(Public Secure Packet Forwarding)
Network Security
112
社交工程 以影響力或說服力來欺騙他人以獲得有用的資訊。 電話詐騙 惡意程式 附件圖片 網路釣魚 即時通訊詐騙
Network Security
113
RBAC NAC WAC VPN VLAN WIPS
[Part 6] 其他安全措施 RBAC NAC WAC VPN VLAN WIPS
114
角色存取控制 依使用者身分提供權限控管 可在WLAN交換器上實施 Firewall-type filter
Layer 2 permission Layer 3 permission Bandwidth-limiting permission 可在WLAN交換器上實施 Guest的頻寬128kbps, port 80 Network Security
115
Profile-based防火牆 依設定檔內容(使用者/群組…)提供權限控管 可在WLAN交換器上實施
Network Security
116
網路存取控制 在WLAN交換器上整合NAC policy 常見之NAC system 確認用戶端設備符合資安要求 Microsoft NAP
ConSentry NAC Extreme Sentriant AG Cisco NAC Appliance Network Security
117
Captive Portal Web-based Access Control (WAC) 網頁認證,進入網際網路的唯一入口
管制IP之使用 藉由流量重導(redirect),控制合法或非法的存取 為EWG或Wireless Controller的功能 搭配VPN可避免帳號或密碼被窺探 Network Security
118
網頁認證framework Network Security
119
VPN Virtual Private Network 用以強化無線用戶端 “在公司外” 的安全性
Network Security
120
VPN功能與協定 功能 身分認證 資料加密 權限控管 協定 PPTP L2TP IPSec Network Security
121
VPN的分類 VPDN (Dialup Network) VPRN (Remote Network) 動態連線
用戶向NAS (Network Access Server)發出PPP 連線請求 VPRN (Remote Network) 固定連線 Network Security
122
VLAN Virtual LAN (802.1Q) 將實體網路切割為多個互不相通的邏輯網段(Broadcast domain)。 認證方式
加密方法 用戶數目 QoS Network Security
123
VLAN成員劃分 L1 VLAN: L2 VLAN: L3 VLAN:IP-Based Higher Layer VLAN:
Port-Based SSID-Based L2 VLAN: MAC Address-Based Protocol-Based L3 VLAN:IP-Based Higher Layer VLAN: Application-Based VLAN Network Security
124
多重虛擬無線網路 SSID/VLAN 每個VLAN各自獨立,並具備差異性權限 訪客 各部門員工
Network Security
125
VLAN trunk VLAN Trunk VLAN1 VLAN2 VLAN2 VLAN1 Network Security
126
authentication server
問題與討論 以下哪一個角色係VLAN aware的device? supplicant (申請者) authenticator (驗證者) authentication server (驗證伺服器) Network Security
127
IDS & IPS Intrusion Detection System Intrusion Prevention System
是一種監測封包進出、比對入侵型態、預防入侵攻擊,並能適時提出警告的防禦系統。 Intrusion Prevention System 發現入侵行為時,可依網路管理者所設定之安全政策採取必要措施(如丟棄資料封包或中斷連線..)之防禦系統。 Network Security
128
WIPS的feature 可偵測企業內部到底有哪些無線設備與活動 可進行企業內部資產分類 可定義並遵循企業安全政策與定義
可進行無線網路的監控與入侵偵測與防護 針對任何不法連線或攻擊,會啟動警報,並主動阻斷連線 具備任何無線裝置與設備的定位功能(dashboard) 提供分析報表 Network Security
129
WIPS的行動方案 誘捕rouge client 防堵rouge client 防堵rouge AP 停用Ethernet port
使rouge client連結到合法AP 防堵rouge client 持續送deauth frame 防堵rouge AP 透過附近AP送deauth,形成干擾 停用Ethernet port 使用SNMP Network Security
130
WIPS種類 集中式(Centralized) 分散式(Distributed)
由(Thin) Sensor進行流量的監控與資料的收集工作,後端中控伺服器設備作交叉比對 分散式(Distributed) 由(Fat) Sensor完成流量偵測與分析報告 Network Security
131
Centralized WIPS Network Security
132
Distributed WIPS Network Security
133
WIPS的比較 類型 優點 代表廠商 集中式 偵測精確度高 系統擴充性高 分散式 高效能 低頻寬消耗
Network Security
134
折衷式WIPS Bluesocket BlueSecure 共享構造分析技術(Shared Constituent Analysis)
Sensor僅傳輸與非法連線、入侵攻擊或效能失常有關的關鍵指標(key indicators)傳送給後端伺服器引擎 由伺服器管理特徵碼(Signature)的更新 Network Security
135
Mobile WIPS 用於移動式偵測與安全稽核 Network Security
136
Layered Security 應用層 表示層 會談層 傳輸層 網路層 資料鏈結層 實體層
HTTPS, SFTP, SSH2, WAC, NAC, RBAC 表示層 會談層 傳輸層 網路層 VPN, VLAN, RBAC 資料鏈結層 Encryption, 802.1x, VLAN, NAC, RBAC, WIPS 實體層 實體安全, VLAN Network Security
137
[Part 7] 管理面的安全議題 L7安全管理 非法設備管理
138
L7安全管理模式 使用HTTPS或關閉HTTP管理模式 以SSH2取代Telnet FTP搭配SSL 使用SNMPv3 AP將啟用內建的憑證
強化authentication and privacy control Network Security
139
Rouge Management 常見的Rouge AP型態 如何鎖定Rouge AP 軟體模擬 口袋型AP 頻譜分析
EAP authentication 埠口掃描(port 80 & 23) 無線控制器 Network Security
140
阻擋Rouge AP 停用乙太網路連接埠 加強連接埠安全(MAC filter) 政策宣導 導入NAC技術 使用無線控制技術
ex. Cisco Unified Wireless Network ex. Aruba Mobile Management System Network Security
141
[Part 8] WLAN分析系統 協定分析工具 RF頻譜分析儀 分散式頻譜分析儀
142
協定分析軟體 手持式 膝上型/桌上型 CommView for Wi-Fi PPC MiniStumbler
OmniPeek Personal CommView for Wi-Fi AiroPeek NX Network Security
143
為何需要協定分析? 擷取封包 了解無線網路問題 從L2~L7對資料進行解碼分析 若搭配金鑰亦可解密 (WEP, WPA-Personal)
Frame retransmission Heavy fragmentation Frame corruption Network Security
144
CommView for Wi-Fi Network Security
145
封包分析-Open System Network Security
146
封包分析-Open System Network Security
147
頻譜分析儀 軟體式 硬體式 MetaGeek WiSpy Chanalyzer Fluke AnalyzeAir Cisco Cognio
AirMagnet 硬體式 Willtek Anritsu Agilent HP Network Security
148
RF頻譜分析儀 Willtek 9101 100kHz ~ 4GHz FHSS, DSSS, HR/DSSS, ERP
Network Security
149
頻譜分析軟體 Wi-Spy 2.4x Chanalyzer 3.1 USB adapter USD$399 視覺化分析工具
Network Security
150
為何需要頻譜分析 Site survey Security audit 偵測干擾源 確認干擾物是什麼 發現rouge AP
發現PHY DoS攻擊 Network Security
151
分散式頻譜分析 Distributed RF Spectrum Analyzer (Cisco Network)
Network Security
152
[Part 9] WLAN安全政策 一般性安全政策 功能性安全政策
153
一般性安全政策 建置與管理網路安全的概略說明,包含: 主管機關 適用對象 違規處份 風險評估 影響性分析 安全稽核
Network Security
154
功能性安全政策 描述用來達成特定安全功能的具體方案 由一系列的文件所組成 密碼政策 訓練需求 可接受使用政策(AUP) 連線要求 加密標準
電子郵件的使用 網際網路的使用 資產管理 Network Security
155
對SOHO無線安全的基線管理 將AP與client的韌體及軟體版本更新 採用支援WPA2規格的產品 啟用WPA2-Personal驗證模式
改變出廠設定值(SSID, 管理帳密…) 使用強式密碼 Network Security
156
對SMB無線安全的基線管理 將AP與client的韌體及軟體版本更新 採用支援WPA2規格的產品
以WPA2-Personal或WPA2-Enterprise進行驗證 將安全能力較低的設備,以VLAN隔開 無線條碼機,無線網路電話… Network Security
157
對大企業無線安全的基線管理 著手撰寫各式安全政策的文件 執行定期安全稽核 採用WPA2-Enterprise驗證模式 以VLAN區隔使用者
導入WIPS系統 導入NAC系統 Network Security
158
實體安全 入口警衛 監視器(即使是fake,亦有功效) 教育訓練 將未使用的埠口停用 訊號範圍管制 使用可上鎖的enclosure
對Console Port施以密碼保護 Network Security
159
定期演練 定期進行安全稽核 教育訓練 penetration test (滲透測試) 資產盤點 Vulnerability analysis
Network Security
160
[Part 10] WLAN安全神話 沒魚蝦也好的措施? 無線網路不夠安全?
161
被過度神化的安全作法 MAC filtering SSID hiding 改良式WEP Network Security
162
無線網路不夠安全? 妥善運用安全技術,無線網路比有線網路更為安全 IEEE 802.11i IEEE 802.1X
Network Security
163
Wi-Fi連線無障礙設定 公共網路自保之道 家用網路安全準則
附錄 Wi-Fi連線無障礙設定 公共網路自保之道 家用網路安全準則
164
附錄 - Wi-Fi Protected setup
165
何謂WPS Wi-Fi連線無障礙設定 WPS的兩個角色 WPS認證 提供跨品牌設備間可用之簡易安全設定
由AP自動將SSID及WPA/WPA2加密金鑰派送給無線用戶端電腦 WPS的兩個角色 登錄者(Registrar): AP 參與者(Enrollee): STA Network Security
166
WPS的模式 WPS-PIN WPS-PBC Personal Information Number 管理者預先在AP上登錄無線網卡的PIN
用戶端可直接連線 WPS-PBC Push Button Configuration 從AP按下連線按鈕的2分鐘內,用戶端亦按鈕即可。 Network Security
167
主動告知WPS環境 Network Security
168
登錄者設定 Network Security
169
參與者設定(PBC) Network Security
170
參與者設定(PIN) Network Security
171
WPS的協定 Discovery Protocol Registration Protocol
用以確認Registrar與Enrollee的存在 Registration Protocol 用來指派加密資訊(金鑰/SSID…) Network Security
172
附錄 -公共網路自保之道
173
公共網路自保之道(1) 取消不必要的網路元件 完成系統更新 Client for Microsoft Network
File and Printer sharing for Microsoft Networks 完成系統更新 Microsoft Update 自動更新 Network Security
174
公共網路自保之道(2) 啟用VPN連線 停用非必要之網路服務 universal plug and play device host
Routing & Remote Access remote registry (*) SSDP Discovery Service Clipbook Terminal Services Network Security
175
公共網路自保之道(3) 啟動防火牆 採用強式密碼 執行埠口檢查 不允許例外
>>> Port scan Network Security
176
公共網路自保之道(4) 僅連線慣用網路 使用”隨選”模式連線 Network Security
177
公共網路自保之道(5) 啟用安全警示工具 Network Security
178
附錄 -家用網路安全準則
179
家用網路安全準則(1) 將AP裝設在安全的地點。 執行AP與STA的韌體更新。 更改預設IP位址。 採用最強的認證與加密機制。
對管理者帳號配置強式密碼。 (若可能)更改預設管理者帳號。 定期更改安全設定。 Network Security
180
家用網路安全準則(2) 取消SSID廣播。(SSID cloaking) 更改預設SSID,並注意命名規則。 在SSID最後加入空白符號。
啟動MAC過濾機制。 停用DHCP功能。 儘可能調低AP功率。 使用不重疊頻道。 Network Security
181
家用網路安全準則(3) (若可能)使用5GHz頻段。 在STA安裝Anti-Spyware軟體。 啟用個人防火牆。 不將設定方式透露給外人。
不用時,將AP電源關閉。 Network Security
182
課後練習
183
Q1 試問RSN的最低要求安全技術門檻為何? CCMP/AES PAC EAP TKIP/RC4
Network Security
184
Q2 IEEE 802.11建議選用的最高安全標準為何? CCMP/AES PAC EAP TKIP/RC4
Network Security
185
Q3 網路釣魚是以下哪一種攻擊的手法? 社交工程 竊聽 中間人攻擊 攔截 Network Security
186
Q4 802.1X/EAP可利用以下哪些資訊來驗證使用者? PAC User name MAC X.509 certification
Network Security
187
Q5 ABC公司建置了WPA2-Enterprise,並採用POP3/SSL收發Email。請問,該公司應用了OSI哪幾層的加密? 第一層
第二層 第三層 第七層 Network Security
188
Q6 XYZ公司在內部ERP-OFDM(802.11g)網路使用802.1X/EAP-FAST來保護資料傳輸。請問如果要從無線網路熱點連回公司,使用哪個安全協定最為恰當? PEAP-MS-CHAPv2 L2TP/IPSec WPA2-Personal EAP-TTLS Network Security
189
Q7 以下哪些項目屬於pre-RSNA技術,可以提供加密與認證服務? WEP TKIP/RC4 PSK CCMP/AES
Network Security
190
Q8 如果使用強式密碼,可以抵禦以下哪兩種攻擊手法? Dictionary Brute Force Spoofing Jamming
Network Security
191
Q9 無線網管系統可以使用哪一種協定,來集中控管不同廠商的自主性AP? SNMP ICMP L2TP/IP Sec SMB
Network Security
192
Q10 在無線網路中可以使用以下哪些VPN協定以進行IPX通訊? EAP-PEAP SSH L2TP/IPSec PPTP
Network Security
193
Q11 在802.11-1999(R2003)標準中定義以下哪些安全機制來提供安全的作業環境? VPN WEP PSK 802.1X/EAP
Network Security
194
Q12 以下哪些規格可以使用TKIP協定? WEP WPA WPA2 802.11i Network Security
195
Q13 以下哪一種攻擊手法不容易為管理人員所察覺? Eavesdropping Denial of Service
Man-in-the-Middle Jamming Network Security
196
Q14 以下哪些安全措施可以避免入侵者從您的DHCP伺服器取得IP位址? 802.1X/EAP-TTLS PPTP VPN
IPSec VPN WPA-Personal Network Security
197
Q15 以下哪兩個軟體工具經常被用來偵查SSIDs,訊號強度,頻道與安全等級等無線網路環境? NetStumbler WinSniffer
Kismet ShareEnum Network Security
198
The End
Similar presentations