網路存取的安全性管理 羅英嘉 2007年5月.

Presentation on theme: "網路存取的安全性管理 羅英嘉 2007年5月."— Presentation transcript:

1 網路存取的安全性管理 羅英嘉 2007年5月

2 企業網路存取方式 企業網路環境為了支援各種不同類型的用戶端，故大多需支援多種網路存取方式 不同的網路存取方式面對不同的風險威脅與安全管理需求
區域網路存取 (LAN Access) 遠端存取 (Remote Access) 無線存取 (Wireless Access) 不同的網路存取方式面對不同的風險威脅與安全管理需求

3 企業網路存取架構 區域網路存取 遠端網路存取 (VPN、撥號) 無線網路存取 LAN Client DHCP Server
Network Access Server Domain Controller IAS Server VPN Client Wireless Access Point Dial-up Client 區域網路存取 遠端網路存取 (VPN、撥號) 無線網路存取 Wireless Client

4 網路存取安全性管理原則 企業網路資訊資產 私密性 完整性 存取控制 不可否認性 身份驗證 可用性 避免使用者可以否認曾經做過的行為
確保機密資料不會外洩 身份驗證 確認使用者所宣稱的ID正確無誤　 企業網路資訊資產 完整性 確保資料不會被竄改 存取控制 避免非經授權者存取資源 不可否認性 避免使用者可以否認曾經做過的行為 可用性 確保使用者可以即時精確存取到資源

5 企業區域網路存取安全性管理 身份驗證(Authentication)
密碼驗證協定 LANMAN、NTLM、NTLMv2、Kerberos 雙因子驗證：智慧卡 傳輸私密性、完整性 (Confidentiality、Integrity) IPSec 可用性 (Availability) 提供容錯能力、叢集技術、效能調整 存取控制 (Access Control) 設定判別存取控制清單 (DACL)

6 區域網路安全性管理架構 驗證授權：Kerberos/NTLMv2 安全管理技術：群組原則與委派管理 傳輸安全性：IPSec
稽核 (Audit)

7 遠端存取服務 使用者經由公眾網路連接存取企業內部資源 遠端存取的用戶端來源大多來自公用網路，所以風險性遠較傳統的區域網存取為高
遠端存取服務　 使用者經由公眾網路連接存取企業內部資源 虛擬私人網路(VPN) 撥號(Dial-Up) 遠端存取的用戶端來源大多來自公用網路，所以風險性遠較傳統的區域網存取為高 遠端存取環境需要更嚴謹的存取控制 VPN使用者 企業網路資源 撥號使用者

8 遠端存取常見的威脅與因應 風險 (Risk) 利用的弱點(Vulnerability) 因應策略 非法進入 寬鬆的驗證機制 嚴謹的驗證機制
未經授權存取 寬鬆的驗證與存取控制機制 嚴謹的存取控制 資料遭竊聽 資料傳送未加密 重要資料加密傳送 合法用戶端帶來惡意程式 用戶端電腦安全機制薄弱 使用者隔離 (1)嚴格的身份驗證(2)符合最低權限賦予原則的存取控制 (3)提供資料傳送加密機制與(4)實施使用者隔離機制實為確保遠端存取安全性的管理原則

9 Windows遠端存取安全性管理機制 安全機制 類型 身份驗證 VPN 通道協定 PPTP、L2tP/IPSec 資料加密
EAP、MS-CHAPv2、MS-CHAPv1、CHAP、SPAP、PAP、IAS VPN 通道協定 PPTP、L2tP/IPSec 資料加密 MPPE：40 bit、56 bit、128 bit IPSec：DES、3DES 網路存取限制 啟用或停用RAS Routing 限制用戶端存取的範圍 　1. 路由器啟用封包過濾功能(Router enable packet filter) 2. 限制可使用的子網路 (Subnet Restriction) 流量控制 封包過濾(Packet filtering) 撥入使用者遠端存取限制 Caller ID、Callback 其它 時間限制、連線方式限制、連線時間 (遠端存取原則) 用戶端隔離

10 遠端存取身份驗證方法 遠端存取驗證方法 建議採用的嚴謹驗證方法： 智慧卡與憑證 CHAP PAP SPAP MS-CHAP
MS-CHAP v2 EAP-TLS PEAP MD-5 Challenge 集中驗證 : RADIUS 建議採用的嚴謹驗證方法： 智慧卡與憑證

11 遠端存取身份驗證方法比較 驗證方法 特性 安全性評估 EAP
EAP是一種驗證架構，「點對點通訊協定 (PPP)」的擴充，允許使用自訂協調適當的驗證機制來進行 PPP 連線確認 RRAS預設包括支援 EAP-TLS 及 MD5-Challenge，前者需憑證擁有高度安全性 MSCHAPv2 支援相互驗證(Mutual authentication) 比MSCHAP安全，安全性高 MSCHAP 使用MD 4 挑戰與回應通訊協定，這種驗證方法會加密所有的資料 比CHAP安全 CHAP 使用工業標準 MD5 雜湊演算法來雜湊驗證伺服器發出之挑戰字串及回應中使用者密碼的組合。 比 PAP 更安全， 但CHAP 需使用可還原加密的密碼，所以應考慮使用更強驗證協定 (如 MS-CHAP 版本 2) SPAP SPAP是 Shiva 遠端存取伺服器支援的簡單加密密碼驗證通訊協定 此驗證格式比純文字更為安全，但不若 CHAP或 MS-CHAP 安全，且無法與MPPE合用 PAP 以密碼明碼傳送的雙向交握式程序 (two-way handshaking) 進行驗證 傳送安全性差，若基於安全性的考量應採用其它協定

12 Point to Point Tunneling Protocol
由 3Com 、微軟、Ascend等廠商所發展的第二層通道協定 利用GRE協定將IP、IPX或NetBEUI第三層通訊協定封裝在IP封包中，並使用TCP方式來交換加密通道的維護訊息 使用MPPE加密協定 PPP PPTP 用戶端 IP, IPX NetBEUI 網 際 網 路 GRE PPTP 伺服器 GRE Payload (encrypted) IP Header GRE Header PPP IP TCP Data

13 L2TP/IPSec IETF將 PPTP 和 Cisco 所發展的 Layer 2 Forwarding (L2F)合併的一種通道協定，提供 multi-point tunneling 的功能 PPTP與L2TP均為第二層的穿隧技術 L2TP支援非Internet Based的VPN (eg. Frame Relay、ATM)。 使用UDP 1701封裝L2TP封包。 經常採用IPSec執行加密服務，安全性較高。 IP 標頭 UDP 標頭 L2TP 標頭 PPP 標頭 PPP 資料 (IP、IPX、NetBEUI框架)

14 L2TP/IPSec vs. PPTP L2TP/IPSec PPTP 優點 缺點 支援使用者及機器驗證
IPSec可以將整個L2TP封包加密，竊聽者無法知道VPN的使用 安全性高 任何Windows 平台均支援 使用簡單 大部份的NAT可支援 缺點 IPSec設定較複雜 Windows 2000以上平台才支援 除非用戶端支援NAT-T，否則難以通過NAT 只提供加密服務，且無法加密VPN標頭資料，竊聽者可以知道VPN正在使用 不支援機器驗證 安全性較差

15 加密方法 RRAS使用者需採用EAP、MS-CHAP、MS-CHAPv2 驗證協定後，接下來的資料傳送才會被加密 加密方式：
撥號與PPTP MPPE RC 40、56、128位元 L2TP IPSec 56 位元DES與3DES RRAS透過遠端存取原則(RAP)加以設定

16 遠端存取的封包過濾 控制遠端使用者允許存取的服務流量 利用網路介面為單位或遠端存取原則執行封包過濾功能 可針對輸入或輸出流量二種方向進行過濾
可採用預設丟棄的正面表列或預設接收的負面表列 2. 利用遠端存取原則針對不同的連線者作不同的篩選 1. 利用介面內容針對所有用戶端限制

17 遠端存取原則 (Remote Access Policy)
遠端存取原則為一種高彈性的規則，可以針對不同條件類型的連線使用者設定不同的連線工作環境，它包含了三個規則元件: 條件(Conditions)： 訂定企圖連線者的各種條件 權限 (permission).：允許存取或拒絕存取 設定檔 (Profile)：訂立連線者的各項工作環境 管理員可以透過遠端存取原則來控制使用者連線的條件(例時間、連線方式)及連線工作環境(例時間)的限制

18 RADIUS 通訊協定 一種遠端存取的集中驗證(Central Authentication)及記錄帳戶資訊(Accounting)的協定。
工業界標準的AAA協定。 使用者密碼集中儲存管理，所以讓網路存取的擴充更容易且安全性高。 使用UDP 連接埠 1812 處理 RADIUS 驗證訊息， UDP 連接埠 1813 用於 RADIUS 帳戶處理訊息。 當企業提供多種網路存取機器與類型時，為了集中驗證及記錄以及方便管理帳戶資料庫，可以採用RADIUS協定 利用微軟的網際網驗證服務可以架設RADIUS伺服器

19 RADIUS 協定 主從架構 802.1X RADIUS協定 無線基地台 VPN 伺服器 撥號伺服器

20 使用Windows 網際網路驗證服務 安裝IAS服務 註冊IAS伺服器 設定RADIUS用戶端
設定RADIUS用戶端使用RADIUS驗證方法 啟用Accounting功能 測試

21 安裝與註冊網際網路驗證服務 1. 安裝ISA服務 DEMO 2.若是Active Directory環境，則需先註冊

22 新增與設定RADIUS用戶端 1. 選取「新增RADIUS用戶端」 3. 選擇用戶端廠商與共用密碼 2. 輸入用戶端IP位址 DEMO

23 設定RADIUS用戶端採用RADIUS驗證方法
DEMO 1. 變更RAS伺服器驗證提供者為RADIUS驗證 2. 設定RADIUS伺服器資訊

24 啟用IAS服務的Accounting功能
1. 選擇記錄方法 1. 啟用適當的記錄方法內容 3. 記錄的目錄與檔案 3. 記錄檔位置與格式 2. 記錄項目 2. 核選記錄的資訊

25 VPN網路存取隔離 (Quarantine)
目的： 確保遠端用戶端在符合存取政策的情況下才能存取內部資源 避免遠端存取用戶端的安全性問題危害到企業的安全性問題 VPN用戶端隔離功能，讓VPN用戶端連接至VPN 伺服器成功後，先被歸屬到「隔離VPN用戶端」等到用戶端通過安全原則檢查後 (例如是否安裝最新的Service Pack)，才會被改歸屬為「VPN用戶端」允許存取網硌資源與服務 VPN用戶端隔離功能可以幫助您檢查VPN用戶端 是否安裝SP或修補檔 是否安裝並啟用防毒程式 個人防火牆是否安裝並啟用

26 網路存取隔離機制 遠端存取用戶 RAS 用戶端 端請求驗證 置於隔離區 RAS 用戶端檢查失敗 RAS 用戶端符合隔離檢查要求
超過隔離區等待逾期時間 RAS 用戶端符合隔離檢查要求 中斷RAS 用戶端 RAS 用戶端允許存取企業網路

27 Quarantine Architecture
隔 離 區 Quarantine VSAs 計時器計時是否超過等待通知逾時時間 Q-filter 為隔離者設定暫時存取過濾器 連線管理員設定檔 執行連接後指令檔 指令檔執行 RQC 通知結果是否檢查通過 Internet IAS伺服器 RRAS 伺服器 RAS 用戶端 RQS Listener 從RQS 是否收到通知，來決定是否移除隔離篩選器允許存取企業網路或中斷使用者連線 RQS = Remote Quarantine Server RQC = Remote Quarantine Client VSA = Vendor Specific Attributes

28 啟用並設定伺服器隔離功能 安裝「遠端存取隔離服務」和「連線管理員系統管理組件」 設定網路存取隔離政策 建立連線管理設定檔

29 安裝隔離功能必要的軟體原件 1. 安裝「遠端存取隔離服務」 2.安裝「連線管理員系統管理組件」

30 設定網路存取隔離政策 啟動『RRAS』主控台 選取 RAP 內容內的『編輯設定檔』，再選取『進階』標籤。 新增
MS-Quarantine-Session-Timeout：90 MS-Quarantine-IPFilter Input Filter: UDP 67,68

31 建立連線管理設定檔 開啟「連線管理員系統管理組件精靈」

32 建立連線管理設定檔(續) 提供rqc.exe 工具 最後編譯成exe檔讓使用者建立連線設定檔 提供檢查指令檔

33 遠端存取安全性管理指引 採用嚴謹的使用者身份驗證機制 通道協定：L2TP/IPSec 採用高度加密機制 限制存取範圍：依據安全政策
智慧卡 (EAP+TLS) MS-CHAPv2 通道協定：L2TP/IPSec 採用高度加密機制 L2TP/IPSec 3DES 限制存取範圍：依據安全政策 正面表列的封包過濾 (預設丟棄所有流量) 採用使用者隔離功能

34 無線網路存取 802.11無線網路 有線區域網路 Access Point 無線網路 用戶端

35 簡介無線區域網路存取 無線區域網路標準：802.11 無線網路的優點 無線區域網路規格： 行動力高 不需佈線
802.11：2.4GHz、2Mbps 802.11b：2.4GHz、11Mbps 802.11g (提供與 b相容模式)：2.4GHz、54 Mbps 802.11a：5 GHz 、54Mbps的頻寬

36 作業模式(Operation Mode) 臨機模式(Ad-Hoc Mode) 基礎結構模式 (Infrastructure Mode)
即是一群使用無線網路卡的電腦，可以直接點對點相互連接，資源共享，無需透過基地台(Access Point)，此一模式則無法連接Internet，安全性差 基礎結構模式 (Infrastructure Mode) 此種架構模式讓無線網路卡的電腦透過基地台 (Access Point)來達成網路資源的共享與安全性機制

37 802.11安全性弱點 竊聽 (Eavesdropping) 非經授權的存取(Unauthorized Network Access)
資料篡改 (Tampering of data) 偽裝網路 (Rogue networks and Access Points) OS implementations keep keys in clear text Packet spoofing (DoS) – rogue response, Rogue AP – no authentication of AP (SSID too weak) – do you know you are talking to the network you trust? CRC from plain text – RC4 run on CRC and plain text, using initialization vector, sent in the clear (Berkeley paper on the stockholm kit) No key distribution mechanism (within this standard) CRC is a weak integrity algorithm RC4 has been broken SSID too weak for authentication.

38 802.11安全機制 身份驗證 (Authentication) 資料加密 (Confidentiality)
開放系統 (Open System)：使用SSID 分享金鑰 (Shared Key)：使用WEP密鑰做為分享金鑰 資料加密 (Confidentiality) WEP (Wired Equivalent Privacy) RC4 對稱性加密技術 完整性 (Integrity) CRC32

39 802.11 身份驗證機制 開放系統 使用者只需要SSID 使用明文傳送SSID 分享金鑰 需要SSID與分享WEP金鑰
Request (SSID) Request (SSID) Accepted (SSID) Challenge Text (WEP) Challenge Response (WEP) Accepted (SSID)

40 SSID 服務區域代碼提供最基本的認證 SSID使用安全性原則： 修改預設的SSID 禁止SSID廣播 安全性差，不能作為認證唯一方法
Default SSID Cisco = tsunami 3COM = 101 Agere = WaveLAN Linksys = Linksys Dlink = default

41 MAC 位址註冊 SSID外的另一層存取限制 限制只有使用登錄MAC位址網路卡的機器才能使用基地台 安全性弱 並非標準，有些基地台並不支援
網路卡可能被竊取 MAC位址可被攔截探知 並非標準，有些基地台並不支援

42 Wired Equivalent Privacy (WEP)
1999年制定IEEE 的安全性標準 WEP的目標是要提供與傳統有線區域網路相同等級的安全性措施 提供私密性、完整性及認證的功能 採用對稱性加密技術--RC4作為演算法 採用CRC32提供完整性 802.11的WEP並非強制必要 WEP 金鑰目前有64位元與128位元兩種，64BIT要輸入10個十六進位的數字(0-9，A-F) 或是5個ASCII的字元。而128位元的金鑰則要輸入26 個十六進位的數字(0-9，A-F) 或是13個ASCII的字元，128位元安全性較高。 P 157　有線等效加密

43 WEP 加密流程 無線網路用戶端 Access Point WEP ( 40 or 104 bit)
24位元　 IV IV (Initial Vector) IV + WEP IV + WEP Payload RC4 RC4 CRC 密文 明文 明文 CRC + Payload XOR XOR CRC + Payload

44 WEP安全性弱點 IV問題：長度太短與廠商設計不良導致金鑰易被破解 缺乏適當的金鑰管理機制 對稱性RC 4 加密演算法有弱點
靜態金鑰 手動分送 對稱性RC 4 加密演算法有弱點 完整性的保護很弱 (CRC32) 沒有使用者身份驗證機制

45 WEP 評論 雖有弱點，仍提供了一般SOHO和小型規模無線環境下的基本安全性。 對安全性需求較高的企業網路仍嫌不足

46 基本無線網路安全性機制 SSID + WEP 金鑰 + MAC 認證 (關閉SSID廣播、啟用WEP金鑰、在AP註冊用戶端無線網卡)

47 加強WEP的安全性標準 VPN 802.1x Authentication (2001)
WPA (Wi-Fi Protected Access) (2002) 802.11i (2004)

48 (Authenticator Server)
802.1x IEEE 802.1X 標準定義了連接埠架構式的網路存取控制，可以用來驗證 Ethernet 網路的網路存取。 IEEE 802.1X 定義了三個主要元件： 驗證者(Authenticator)：要求並且接受未受信任端網路節點的認證請求的實體 請求者(supplicant)：求網路存取權，並且需接受 Authenticator 的認證稽核 驗證伺服器 (Authentication Server)：對 Authenticator 提供身分認證服務的實體 基地台 (Authenticator) 無線用戶端 (supplicant) RADIUS (Authenticator Server)

49 WPA (Wi-Fi Protected Access)
WPA安全性機制 ( 802.1X + EAP + TKIP + MIC ) 使用者驗證 (User authentication) 企業驗證：802.1X + Extensible Authentication Protocol(EAP) SOHO驗證：預先共用金鑰(WPA-PSK) 只需要在每組WLAN節點輸入單一密碼即可驗證 加密 (Encryption) Temporal Key Integrity Protocol (TKIP) 802.1X for dynamic key distribution 完整性 Message Integrity Check (MIC)

50 802.1x 驗證實務 一種連接埠、使用者等級的存取控制方式。 需要架設一部額外的驗證伺服器 (RADIUS)。 驗證方法 EAP-TLS
提供高度安全性的相互憑證驗證 PEAP-MS-CHAPv2 允許用戶端使用傳統帳戶、密碼驗證 bh-win-03-riley-notes.pdf “wireless security with 802.1x and PEAP”

51 802.1x 實務 – 架設 IAS (RADIUS Server)
安裝 Windows Server 2003 『網際網路驗證服務(IAS)』 替IAS 伺服器取得電腦憑證 註冊 IAS 設定IAS記錄功能 新增基地台為IAS用戶端 建立一個無線網路使用的遠端存取原則

52 架設IAS (續) -新增基地台為IAS用戶端
新增無線基地台的IP位址 Client-Vendor 為 Microsoft 輸入正確的共用密碼 (Shared Secret) 若使用EAP則需要 “要求必須包含訊息驗證者屬性 (use of message authenticator attributes)” (PEAP不需要)

53 架設IAS (續)-- 建立一個無線網路使用的遠端存取原則
條件 (Condition)： NAS-port-type Wireless - IEEE Wireless – other Windows-group 使用權限(Permission): 授予權限 (Grant) 設定檔(Profile): Authentication:取消所有驗證方法, 只設定EAP , type為Protected EAP 加密位元為128 進階標籤內: 新增 “Ignore-user-dialin-properties” 設為TRUE 移除 Framed-Protocol

54 設定XP用戶端使用802.1x 開啟無線網卡內容對話方塊 先設好TCP/IP組態 選擇或新增AP的SSID
開啟 WEP, 設定正確WEP金鑰 啟動802.1x PEAP EAP-MS-CHAPv2 右側設定按鈕, 可以取消核選方塊, 以便連接時輸入二個正確而非目前登入時的帳戶 核選「啟用快速重新連線」 「確認伺服器憑證」可選可不選 ★ 連接成功時出會在NIC下方出現【驗證成功】字樣

55 新的無線安全性標準 i(WPA2) 802.11i是IEEE提出的新一代無線區域網路的無線區域網路安全標準(2004年6月24) ，WPA2 實作了802.11i 驗證： 企業驗證：802.1x SOHO驗證：PSK 金鑰加密協定加密演算法：： TKIP ：採用WEP的RC4作為加密演算法，實現既有設備升級安全性的方法 CCMP ：基於AES加密算法和CCM認證方式，大幅提升安全性 WRAP：基於AES加密算法和OCB，是一種可選的加密機制。 完整性： Message Integrity Check (MIC)，稱為 "Michael"

56 Vista 的無線網路安全性支援 安全性類型 加密類型 無驗證(開放) 無 WEP開放系統驗證 WEP WPA2-Personal
TKIP或 AES WPA-Personal WPA2-Enterprise WPA-Enterprise 802.1x

57 企業無線網路安全指引 基本安全性管理需求 高安全性的無線網路使用環境 變更預設的SSID，並關閉SSID的廣播功能
啟用128位元的WEP金鑰 啟用用戶端網卡過濾功能 高安全性的無線網路使用環境 建構 802.1x驗證環境 採用WPA或802.11i等較新的安全性標準

58 本課程課後練習問題 公司網路管理員由於維護管理系統的必要，需要提供一個高度安全性的遠端存取方式讓管理員可以經由外部公眾網路連線至企業內部進行必要的維護作業，請問若以最高安全性為目標，您會如何設計此種遠端存取方案： 何種遠端存取服務 驗證方法 加密方式 其它安全考量

59 問題與討論

60 © 2007 Microsoft Corporation. All rights reserved.
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.