Wireless LAN, BYOD and beyond: integrare dispositivi mobili in completa sicurezza nella rete aziendale. Heros Deidda Technical Specialist Sidin

Transcript

1 Wireless LAN, BYOD and beyond: integrare dispositivi mobili in completa sicurezza nella rete aziendale Heros Deidda Technical Specialist Sidin

2 I Trend Del Wireless

3 I Trend Del Wireless

4 Qualche Previsione sull IoT Dispositivi Connessi in miliardi di unità Source: Gartner (November 2013)

5 WIRELESS E SICUREZZA

6 Wireless: un mezzo difficile Interferenze e Disturbi Elettromagnetici Qualità del segnale variabile nel tempo e nello spazio Il mezzo è condiviso fra tutti i dispositivi. Wireless e Non! Ma soprattutto il mezzo aria è facilmente accessibile. Sono al sicuro i dati? WEP WPA WPA2

7 IEEE Layer Fisico frame management e controllo in chiaro. Protezione (eventuale) sul body delle frame

8 Security e Guest Management Cosa capita se lascio atterrare gli utenti su un classico Captive Portal? Normalmente l accesso wireless è open Chiunque può vedere tutto il traffico di tutti gli utenti!!! Quindi?

9 Security e Guest Management Evitare i protocolli in chiaro FTP, HTTP, POP3, IMAP Proteggere il traffico sul livello Applicazione (HTTPS,IMAPS, ecc.)

10 Sicurezza e wireless: WIDS/WIPS Rogue APs: Access Point che creano punti di accesso non autorizzati (e quindi breccie alla sicurezza) nell infrastruttura wired Honeypot / Evil Twin Attack: Un Access Point «evil» si finge agli occhi del client l AP leggittimo, ad esempio emettendo un segnale più forte. Questo tipo di attacco permette di «spiare» tutte le comunicazioni, nonché username e password usate per l associazione Accidental Association: Accidentalmente un client può connettersi ad una rete wireless non protetta, creando rischi alla sicurezza Client Malicious association: un client infetto può avere installato su se stesso un SoftAP attraverso il quale portale un attacco Evil Twin Ad Hoc Networks: deve essere prevenuta la creazione di reti ad hoc fra computer autorizzati (con accessso alle risorse aziendali) e computer non autorizzati

11 Rogue AP MACOUI ONWIRE MACACCRESS SUPPRESSION AP Legittimo SSID: CorporateAccess DeAuth DeAuth RogueAP SSID: MyOwn

12 Evil Twin Attack STA EVIL SSID:GuestAccess AP SSID: GuestAccess

13 Ad-Hoc Networks STA2 AD HOC CONNECTION STA1 AP SSID: CorporateAccess Ad-Hoc connection fuori controllo Rischio per la Security

14 Sicurezza e Wireless: DoS Features Asleap Attack: Sfrutta una debolezza dell autenticazione LEAP per rubare le credenziali dell utente Association Flooding: cerco di far vedere all AP quanti più client fittizi possibili fino a far saturare la tabella delle associazioni degli AP e provocare un DoS per le nuove associaizioni Broadcasting De-Authentication: invio di frame di de-autenticazione all AP, genera un DoS EAPOL Flooding: l attaccante «inonda» di richieste l authentication server. generando un DoS applicativo Long Duration Attack: Occupo continuamente per il massimo tempo possibile il canale con valori elevati. In questo modo deterioro il servizio Weak WEP IV : Verifica la presenza in caso di uso di WEP Null SSID Probe Response: verifica la presenza di AP che rispondono ad un probe con un SSID nullo (mette in crisi lo stack di alcuni device)

15 WIRELESS ED INFRASTRUTTURA

16 Feature Set: infrastruttura Management Centralizzato: Gli AP sono gestiti centralmente dal controller, eventualmente anche su sedi remote al layer 3 Supporto Standard Radio : a/b/g/n/ac, MIMO ecc. Modello Operativo: Tunnel Mode VS Local Bridge Ottimizzazione e monitoring canali/frequenze: Gli AP vengono distribuiti dall infrastruttura wireless su frequenze e canali liberi o più performanti. Bilanciamento Client: handoff forzato verso AP con migliore disponibilità, Fast Roaming. I client vengono gestiti sugli AP più scarichi Mesh Capability: connettività fra gli AP attraverso un canale wireless. Non richiede il collegamento cablato degli AP More: FastRoaming per lo spostamento veloce dei client fra AP, Layer 2 isolation per l erogazione di servizi hotspot sicuri, Rogue AP management

17 Mesh Capability 5 Ghz 5 Ghz

18 Ottimizzazione canali/frequenze channel1 Channel11 Channel 1 Ottimizza ll uso dei canali disponibili Evita overlapping fra gli AP Channel 1-2,4 Ghz Channel11 Channel 6 Channel1 channel1 V

19 Bilanciamento Client 35 clients 13 clients

20 Features Set :Utenti e Dispositivi Guest Management e Captive Portal: generazione di profili temporanei, con receptionist o attraverso self service portal Device Management/BYOD: riconoscimento dei dispositivi mobili e profilazione dell accesso Autenticazione selettiva: gestione di profili differenziati per utenti aziendali e guest Monitoring e Log : visibilità dei client e delle attività di navigazione, mantenimento dei log e modalità Bandwidth Fairness: allocazione equilibrate delle risorse di banda fra gli utenti

21 Guest Management Your password for WIFI is: x3f0!#pr Expires in: 4 hours rabatan erabatan@acme.com

22 Device Detection e BYOD LAN Wireless Controller

23 LE SOLUZIONI FORTINET PER IL WIRELESS

24 Fortinet: Sicurezza sul Wireless I Next Generation Firewall FortiGate includono un wireless controller integrato Alcuni modelli di Fortigate Dispongono anche di un AP integrato (FortiWifi) I FortiAPs sono gestiti dal Fortigate come estensione della rete cablata Un unica piattaforma di sicurezza per gestire l infrastruttura wired e l infrastruttura wireless sia in locale, sia in remoto FeatureSet Completo Ampia Scelta Di Access Point da interno ed esterno FORTIGATE

25 Fortinet: Scenari Di Deployment Embedded controller VPN Fortigate L3 Router SW Main Site Second Site

26 Fortinet: Tunnel VS Local Bridging HYBRID No packet loss if the controller gets unreachable Fortigate SW Operating mode is per SSID Vlan tagged by the FAP

27 Visibilità: anche per tipologia di dispositivo

28 RogueAP Permette di monitare Gli AP sconosciuti e i Rogue AP Rogue AP classificati on-wire Suppression dei device rogue

29 FortiPlanner: Rogue AP Planning tool Fino a 50 AP gratuitamente Unlimited (Pro license) Mappe di irradiazione dinamiche Site-Survey (upgrade license) Localizzazione di Rogue AP

30 Single Radio 2.4GHz Dual n Dual Radio Dual Band AC La Famiglia di AP Fortinet Q4/14 FAP-222C FAP-320C FAP-221C FAP-320B FAP-222B FAP-223B FAP-221B FAP-28C FAP-210B FAP-11C FAP-112B FAP-14C Remote Outdoor Indoor

31 Riepilogo #1 Accesso unificato wired e wireless Trattare indifferentemente utenti con collegamento cablato e wireless. Applicare agevolmente le stessa politiche di sicurezza o differenziare i profili #2 Ampia scelta di controller Oltre 20 modelli di controller per soddisfare ogni esigenza Scale da 2 a 10K AP #3 Consolidamento infrastruttura esistente Sfruttare gli investimenti esistenti in UTM FortiGate / NGFW Basso TCO e ROI - No Licensing #4 Single Pane of Glass Management Facilità di gestione dell'uso Gestire la sicurezza wired e wireless dalla stessa interfaccia #5 Sicurezza senza compromessi Tutte le stesse caratteristiche di sicurezza sulla rete wired sono disponibili sul WLAN Fortinet

32 LE SOLUZIONI ZYXEL PER IL WIRELESS

33 Soluzioni con Controller NXC 2500/5500 Eccezionale controllo e granularità su tutto il FeatureSet Soluzioni scalabili da 8 a 512 access point, Management centralizzato. Licenziato a blocchi di AP Tunnel mode e bridge mode Device failover Motore firewall stateful inspection integrato Supporto Mesh (ZyMesh) Captive Portal e Guest Management Dynamic Channel Selection Client steering (miglior frequenza) Load Balancing (per traffico e numero di client) Rogue AP Detection e containment

34 Deployment: NXC 2500/

35 NXC 2500/5500 ZyMESH ZyMESH per il management degli AP non cablati La funzionalità ZyMESH aiuta ad estendere facilmente la copertura Wireless Ogni ROOT AP può supportare Repeater multipli per estendere il segnale 2 HOP consigliati per non ridurre troppo la disponibilità di banda (ROOT AP --- Repeater --- Repeater) Non più di 6 Repeater per ogni ROOT AP Almeno 2 ROOT AP per garantire l altà affidabilità

36 NXC 2500/5500 Device Fail-Over Backup Center Secondary Controller Configuration Backup Headquarter Primary Controller Internet Connection Fails X Branch Office

37 Features/Scalabilità Offerta Access Point Gestiti Zyxel NWA 5300-N Series NWA 5100-N Series NWA 3100-N Series NWA 3500-N Series NWA 5301-N NWA 5121-N/5123-N NWA 3160-N NWA 3560-N/3550-N IEEE b/g/n Single Radio/Wall Mount Interno PoE Management centralizzato Dati in local bridge IEEE a/b/g/n Single/Dual Radio Interno PoE Management Centralizzato Dati in local bridge IEEE a/b/g/n Single Radio Interno PoE Management Centralizzato Dati in local bridge o tunnel IEEE a/b/g/n Dual Radio Interno/Esterno PoE Management centralizzato Dati in local bridge o tunnel

38 Offerta USG con Wireless Controller 350 ~ ~ 5 USG 20/20W 5 ~ 10 USG 40/40W 10 ~ 25 USG 60/60W 25 ~ 50 USG ~ 75 USG ~ 200 USG ~ 350 USG 1100 USG 1900 Modello WLAN controller Small Business Enterprise Business Performance Series Advanced Series Extreme Series USG USG USG USG USG USG USG 210 USG /20W 40/40W 60/60W /10 2/10 2/18 2/18 2/18 2/18 2/18 Licenze CF, AS App Patrol, AV, IDP, ADP, CF, AS App Patrol, AV, IDP, ADP, CF, AS, SSL Inspection HA - Device HA Software Vantage Report, ZyWALL IPSec VPN Client, SSL Win/Mac OS

39 Offerta USG con Wireless Controller USG 4.1 integra un controller WLAN per tutte le esigenze delle PMI

40 Configurazione AP Managed la modalità Managed AP si seleziona dal menu preposto

41 USG: Creazione dell AP profile - SSID: Nome della rete Wireless - Security Profile: Abbiniamo il profilo sicurezza adatto creato nei passaggi precedenti - MAC Filtering: Eventuali filtri MAC - QoS: Impostiamo l eventuale Quality of Service. Per default è WMM - VLAN ID: Inseriamo il numero della VLAN da associare all SSID. Chi si collega a questa rete, ad esempio, riceverà IP dalla VLAN 232 dell USG. - Hidden SSID: Nasconde nome rete - Enable Intra-BSS Traffic blocking: Impedisce ai client connessi all ssid di vedersi tra loro.

42 Planner Zyxel AP Planning (tutte le architetture) Nessuna necessità di sensori dedicati o server di localizzazione Facile stima e posizionamento degli AP Strumento semplice e gratuito per ii partner ZyXEL Coverage Detection (con NXC2500) Calcolo della mappa di copertura tramite un solo click Variazione attiva dei dati RF per simulare gli scenari di miglior copertura e performance Health Management (con NXC2500) Localizzazione apparati sulla mappa Dati RF pratici e di semplice lettura: Canale utilizzato Stations counts Tx Retry rate Rx frame error rate

43 LE SOLUZIONI WATCHGUARD PER IL WIRELESS

44 Soluzione Wireless Gestita WatchGuard Tutte le macchine XTM hanno incluso un wireless controller per gestire centralmente una soluzione wireless con gli Access Point WatchGuard Non ci sono licenze aggiuntive per sfruttare le potenzialità wireless del controller Non ci sono limitazioni nel numero di Access Point Gestiti numero di AP gestiti è suggested Alcuni modelli di XTM dispongono anche di un AP integrato (suffisso W) XTM Model Max Supported Access Points (suggested*) XTM25 26/33 5 XTM XTM515 / XTM535 / XTM810 /820/ XTM1050 XTM

45 WatchGuard: Deployment Il device XTM è in grado di gestire centralmente gli Access Point attraverso un tunnel CAPWAP Per gestire policy differenti di navigazione è possibile associare VLAN distinte ai diversi SSID. Posso quindi vedere ogni VLAN come una interfaccia logica ed applicare tutte le policy che desidero al traffico 4

46 Gamma Access Point AP100 Singola Radio 2.4 GHz o 5 GHz selezionabile 2x2:2 MIMO a/b/g/n Fino a 300 Mbps 8 SSIDs PoE 802.3af AP200 - Two single-band radios GHz e 5 GHz - 2x2:2 MIMO a/b/g/n - Fino a 600 Mbps - 8 SSIDs per radio - Plenum rated AP100 / AP200 AP102 4

47 Gamma Access Point AP102 Singola radio dual-band 2.4 GHz / 5 GHz selezionabile 2x2:2 MIMO a/b/g/n Fino a 300 Mbps 8 SSIDs Access Point per installazioni esterne IP66 PoE 802.3af 4

48 Caratteristiche Salienti Discovery automatica degli AP Auto Channel Selection MAC address filtering Simple captive portal (in arrivo Guest Management) Best in class hardware partner (Senao) & chipset (Atheros) Regulatory approval for all WatchGuard countries Management Centralizzato via Tunnel CapWap Integrazione fra sicurezza wired e wireless Rogue AP Detection 48

49 Gateway Wireless Controller Maps Sui dispositivi XTM è possibile visualizzare una mappa con tutti gli SSID rilevati nell intorno dell infrastruttura 4

50 Wireless Hotspot / Captive Portal E Possibile Configurare l SSID in modalità HotSpot Gli Utenti in questa modalità devono accettare le condizioni di utilizzo del servizio Nella Roadmap a brevissimo è prevista l implementazione del guest management attraverso un profilo Guest Manager 5

51 Vi Aspettiamo Ai Prossimi Webinar

52 DOMANDE? Technical Specialist Sidin