Wireless LAN, BYOD and beyond: integrare

dispositivi mobili in completa sicurezza nella

rete aziendale

Heros Deidda

Technical Specialist Sidin

I Trend Del Wireless

I Trend Del Wireless

Qualche Previsione sull’IoT

Dispositivi Connessi in miliardi di unità

Source: Gartner (November 2013)

WIRELESS E SICUREZZA

Wireless: un mezzo “difficile”

• Interferenze e Disturbi Elettromagnetici

• Qualità del segnale variabile nel tempo e nello spazio

• Il mezzo è condiviso fra tutti i dispositivi. Wireless e Non!

• Ma soprattutto il mezzo aria è facilmente

accessibile. Sono al sicuro i dati?

WEP WPA WPA2

IEEE 802.11

Layer Fisico frame management e controllo in chiaro . Protezione (eventuale) sul body delle frame

Security e Guest Management

• Cosa capita se lascio atterrare gli utenti su un

classico Captive Portal?

• Normalmente l’accesso wireless è open

• Chiunque può vedere tutto il traffico di tutti

gli utenti!!! Quindi?

Security e Guest Management

• Evitare i protocolli in chiaro FTP, HTTP, POP3,

IMAP

• Proteggere il traffico sul livello Applicazione

(HTTPS,IMAPS, ecc.)

Sicurezza e wireless: WIDS/WIPS

• Rogue APs: Access Point che creano punti di accesso non autorizzati (e

quindi breccie alla sicurezza) nell’infrastruttura wired

• Honeypot / Evil Twin Attack: Un Access Point «evil» si finge agli occhi del

client l’AP leggittimo, ad esempio emettendo un segnale più forte. Questo

tipo di attacco permette di «spiare» tutte le comunicazioni, nonché username

e password usate per l’associazione

• Accidental Association: Accidentalmente un client può connettersi ad una

rete wireless non protetta, creando rischi alla sicurezza

• Client Malicious association: un client infetto può avere installato su se

stesso un SoftAP attraverso il quale portale un attacco Evil Twin

• Ad Hoc Networks: deve essere prevenuta la creazione di reti ad hoc fra

computer autorizzati (con accessso alle risorse aziendali) e computer non

autorizzati

Rogue AP

RogueAP

SSID: MyOwn

AP Legittimo

SSID: CorporateAccess

• MACOUI

• ONWIRE MACACCRESS

• SUPPRESSION

DeAuth

DeAuth

Evil Twin Attack

AP

SSID: GuestAccess

STA

EVIL SSID:GuestAccess

Ad-Hoc Networks

AP

SSID: CorporateAccess

STA1

STA2

AD HOC

CONNECTION

• Ad-Hoc connection fuori

controllo

• Rischio per la Security

Sicurezza e Wireless: DoS Features

• Asleap Attack: Sfrutta una debolezza dell’autenticazione LEAP per rubare le

credenziali dell’utente

• Association Flooding: cerco di far vedere all’AP quanti più client fittizi

possibili fino a far saturare la tabella delle associazioni degli AP e provocare

un DoS per le nuove associaizioni

• Broadcasting De-Authentication: invio di frame di de-autenticazione all’AP,

genera un DoS

• EAPOL Flooding: l’attaccante «inonda» di richieste l’authentication server.

generando un DoS applicativo

• Long Duration Attack: Occupo continuamente per il massimo tempo

possibile il canale con valori elevati. In questo modo deterioro il servizio

• Weak WEP IV : Verifica la presenza in caso di uso di WEP

• Null SSID Probe Response: verifica la presenza di AP che rispondono ad un

probe con un SSID nullo (mette in crisi lo stack di alcuni device)

WIRELESS ED INFRASTRUTTURA

Feature Set: infrastruttura

• Management Centralizzato: Gli AP sono gestiti centralmente dal controller,

eventualmente anche su sedi remote al layer 3

• Supporto Standard Radio : 802.11a/b/g/n/ac, MIMO ecc.

• Modello Operativo: Tunnel Mode VS Local Bridge

• Ottimizzazione e monitoring canali/frequenze: Gli AP vengono distribuiti

dall’infrastruttura wireless su frequenze e canali liberi o più performanti.

• Bilanciamento Client: handoff forzato verso AP con migliore disponibilità,

Fast Roaming. I client vengono gestiti sugli AP più scarichi

• Mesh Capability: connettività fra gli AP attraverso un canale wireless. Non

richiede il collegamento cablato degli AP

• More: FastRoaming per lo spostamento veloce dei client fra AP, Layer 2

isolation per l’erogazione di servizi hotspot sicuri, Rogue AP management

5 Ghz

5 Ghz

Mesh Capability

V

Channel 1 - 2,4 Ghz

Channel 6

Channel 1

Channel1

channel1

channel1

Channel11

Channel11

•Ottimizza ll’uso dei canali disponibili

•Evita overlapping fra gli AP

Ottimizzazione canali/frequenze

5 clients 1 client

3 clients 3 clients

Bilanciamento Client

Features Set :Utenti e Dispositivi

• Guest Management e Captive Portal: generazione di

profili temporanei, con receptionist o attraverso self service

portal

• Device Management/BYOD: riconoscimento dei dispositivi

mobili e profilazione dell’accesso

• Autenticazione selettiva: gestione di profili differenziati

per utenti aziendali e guest

• Monitoring e Log : visibilità dei client e delle attività di

navigazione, mantenimento dei log e modalità

• Bandwidth Fairness: allocazione equilibrate delle risorse

di banda fra gli utenti

rabatan

erabatan@acme.com

0625504561

Your

password

for WIFI is:

x3F0!#Pr

Expires in:

4 hours

Guest Management

LAN

Wireless

Controller

Device Detection e BYOD

LE SOLUZIONI FORTINET PER IL WIRELESS

Fortinet: Sicurezza sul Wireless

• I Next Generation Firewall FortiGate includono un wireless controller integrato

• Alcuni modelli di Fortigate Dispongono anche di un AP integrato (FortiWifi)

• I FortiAPs sono gestiti dal Fortigate come estensione della rete cablata

• Un’ unica piattaforma di sicurezza per gestire l’infrastruttura wired e l’infrastruttura wireless sia in locale, sia in remoto

• FeatureSet Completo

• Ampia Scelta Di Access Point da interno ed esterno FORTIGATE

Second Site

Main Site

Fortigate

Embedded controller

SW

Fortigate

SW

L3 Router

VPN

Fortinet: Scenari Di Deployment

Fortigate

SW

Vlan tagged by the

FAP

HYBRID

No packet loss if the

controller gets

unreachable

Operating mode is

per SSID

Fortinet: Tunnel VS Local Bridging

Visibilità: anche per tipologia di dispositivo

RogueAP

• Permette di monitare Gli AP sconosciuti e i Rogue AP

• Rogue AP classificati on-wire

• Suppression dei device rogue

FortiPlanner: Rogue AP

http://Fortinet.com/wireless

• Planning tool

– Fino a 50 AP gratuitamente

– Unlimited (Pro license)

• Mappe di irradiazione dinamiche

• Site-Survey (upgrade license)

• Localizzazione di Rogue AP

La Famiglia di AP Fortinet

Du

al R

adio

D

ual

Ban

d 80

2.1

1A

C

80

2.1

1n

Sin

gle

Rad

io

Du

al

2.4

GH

z

Remote Outdoor Indoor

FAP-221B

FAP-222B

FAP-210B

FAP-320B

FAP-223B

FAP-112B

FAP-28C

FAP-320C

FAP-11C

FAP-14C

FAP-221C

FAP-222C

Q4/14

Riepilogo

• #1 Accesso unificato wired e wireless Trattare indifferentemente utenti con collegamento cablato e

wireless. Applicare agevolmente le stessa politiche di sicurezza o

differenziare i profili

• #2 Ampia scelta di controller Oltre 20 modelli di controller per soddisfare ogni esigenza

Scale da 2 a 10K AP

• #3 Consolidamento infrastruttura esistente Sfruttare gli investimenti esistenti in UTM FortiGate / NGFW

Basso TCO e ROI - No Licensing

• #4 Single Pane of Glass Management Facilità di gestione dell'uso

Gestire la sicurezza wired e wireless dalla stessa interfaccia

• #5 Sicurezza senza compromessi Tutte le stesse caratteristiche di sicurezza sulla rete wired sono

disponibili sul WLAN Fortinet

LE SOLUZIONI ZYXEL PER IL WIRELESS

2014 33

• Eccezionale controllo e granularità su tutto il

FeatureSet

• Soluzioni scalabili da 8 a 512 access point,

Management centralizzato. Licenziato a

blocchi di AP

• Tunnel mode e bridge mode

• Device failover

• Motore firewall stateful inspection

integrato

• Supporto Mesh (ZyMesh)

• Captive Portal e Guest Management

• Dynamic Channel Selection

• Client steering (miglior frequenza)

• Load Balancing (per traffico e numero di

client)

• Rogue AP Detection e containment

Soluzioni con Controller NXC 2500/5500

http://www.zyxel.it/Prodotti/Categorie/controller

2014 34

Deployment: NXC 2500/5500

NXC 2500/5500 ZyMESH

• ZyMESH per il management degli AP non cablati

– La funzionalità ZyMESH aiuta ad estendere facilmente la copertura Wireless

• Ogni ROOT AP può supportare Repeater multipli per estendere il segnale

– 2 HOP consigliati per non ridurre troppo la disponibilità di banda (ROOT AP ---

Repeater --- Repeater)

– Non più di 6 Repeater per ogni ROOT AP

– Almeno 2 ROOT AP per garantire l’ altà affidabilità

Internet

Headquarter

Branch Office

Backup Center

X Connection Fails

Primary Controller

Secondary Controller

Configuration Backup

NXC 2500/5500 Device Fail-Over

NWA 5301-N NWA 5121-N/5123-N NWA 3160-N NWA 3560-N/3550-N

IEEE 802.11 b/g/n

Single Radio/Wall

Mount Interno

PoE

Management

centralizzato

Dati in local bridge

IEEE 802.11 a/b/g/n

Single/Dual Radio

Interno

PoE

Management

Centralizzato

Dati in local bridge

IEEE 802.11 a/b/g/n

Single Radio

Interno

PoE

Management

Centralizzato

Dati in local bridge o

tunnel

IEEE 802.11 a/b/g/n

Dual Radio

Interno/Esterno

PoE

Management

centralizzato

Dati in local bridge o

tunnel

NWA 3500-N Series NWA 3100-N Series NWA 5100-N Series

NWA 5300-N Series

Offerta Access Point Gestiti Zyxel F

eatu

res/S

cala

bil

ità

Performance Series Advanced Series Extreme Series

Modello USG

20/20W

USG

40/40W

USG

60/60W

USG

110 USG 210 USG 310

USG

1100

USG

1900

WLAN

controller - 2/10 2/10 2/18 2/18 2/18 2/18 2/18

Licenze CF, AS App Patrol, AV,

IDP, ADP, CF, AS App Patrol, AV, IDP, ADP, CF, AS, SSL Inspection

HA - Device HA

Software Vantage Report, ZyWALL IPSec VPN Client, SSL Win/Mac OS

USG

1900

USG 1100

USG 310

USG 210

USG 40/40W

USG 60/60W

USG 110

USG 20/20W

5 ~ 10

10 ~ 25

25 ~ 50

50 ~ 75

75 ~ 200

200 ~ 350

350 ~ 500

1 ~ 5

Small Business Enterprise Business

Offerta USG con Wireless Controller

USG 4.1 integra un controller WLAN per tutte le esigenze delle PMI

Offerta USG con Wireless Controller

Configurazione AP Managed

la modalità Managed AP si seleziona dal menu preposto

USG: Creazione dell’AP profile

- SSID: Nome della rete Wireless - Security Profile: Abbiniamo il profilo

sicurezza adatto creato nei passaggi precedenti

- MAC Filtering: Eventuali filtri MAC - QoS: Impostiamo l’eventuale Quality of

Service. Per default è WMM - VLAN ID: Inseriamo il numero della VLAN

da associare all’SSID. Chi si collega a questa rete, ad esempio, riceverà IP dalla VLAN 232 dell’USG.

- Hidden SSID: Nasconde nome rete - Enable Intra-BSS Traffic blocking:

Impedisce ai client connessi all’ssid di vedersi tra loro.

Planner Zyxel

AP Planning (tutte le architetture)

Nessuna necessità di sensori dedicati o

server di localizzazione

Facile stima e posizionamento degli AP

Strumento semplice e gratuito per iI partner

ZyXEL

Coverage Detection (con NXC2500)

Calcolo della mappa di copertura tramite un

solo click

Variazione attiva dei dati RF per simulare

gli scenari di miglior copertura e

performance

Health Management (con NXC2500)

Localizzazione apparati sulla mappa

Dati RF pratici e di semplice lettura:

Canale utilizzato

Stations counts

Tx Retry rate

Rx frame error rate

LE SOLUZIONI WATCHGUARD PER IL

WIRELESS

Soluzione Wireless Gestita WatchGuard

• Tutte le macchine XTM hanno incluso un wireless controller per gestire centralmente una soluzione wireless con gli Access Point WatchGuard

• Non ci sono licenze aggiuntive per sfruttare le potenzialità wireless del controller

• Non ci sono limitazioni nel numero di Access Point Gestiti numero di AP gestiti è suggested

• Alcuni modelli di XTM dispongono anche di un AP integrato (suffisso –W)

4

4

http://www.watchguard.com/wgrd-products/secure-wireless/overview/#sw-security-modules

XTM

Model

Max Supported Access

Points (suggested*)

XTM25

26/33 5

XTM330 15

XTM515

/525 25

XTM535

/545 35

XTM810

/820/830 70

XTM1050

XTM2050 100

WatchGuard: Deployment

• Il device XTM è in grado di gestire centralmente gli Access Point attraverso

un tunnel CAPWAP

• Per gestire policy differenti di navigazione è possibile associare VLAN

distinte ai diversi SSID.

• Posso quindi vedere ogni VLAN come una interfaccia logica ed applicare

tutte le policy che desidero al traffico

4

5

http://www.watchguard.com/wgrd-products/secure-wireless/overview/#sw-security-modules

Gamma Access Point

• AP100

– Singola Radio

– 2.4 GHz o 5 GHz selezionabile

– 2x2:2 MIMO 802.11 a/b/g/n

– Fino a 300 Mbps

– 8 SSIDs

– PoE 802.3af

4

6

• AP200

- Two single-band radios

- 2.4 GHz e 5 GHz

- 2x2:2 MIMO 802.11 a/b/g/n

- Fino a 600 Mbps

- 8 SSIDs per radio

- Plenum rated

AP100 / AP200

AP102

Gamma Access Point

• AP102

– Singola radio dual-band

– 2.4 GHz / 5 GHz selezionabile

– 2x2:2 MIMO 802.11 a/b/g/n

– Fino a 300 Mbps

– 8 SSIDs

– Access Point per installazioni esterne IP66

– PoE 802.3af

4

7

Caratteristiche Salienti

• Discovery automatica degli AP

• Auto Channel Selection

• MAC address filtering

• Simple captive portal (in arrivo Guest Management)

• Best in class hardware partner (Senao) & chipset (Atheros)

• Regulatory approval for all WatchGuard countries

• Management Centralizzato via Tunnel CapWap

• Integrazione fra sicurezza wired e wireless

• Rogue AP Detection

48

Gateway Wireless Controller — Maps

• Sui dispositivi XTM è possibile visualizzare una mappa con tutti gli SSID

rilevati nell’intorno dell’infrastruttura

4

9

Wireless Hotspot / Captive Portal

• E’ Possibile Configurare l’SSID in modalità HotSpot

• Gli Utenti in questa modalità devono accettare le condizioni di

utilizzo del servizio

• Nella Roadmap a brevissimo è prevista l’implementazione del guest

management attraverso un profilo Guest Manager

5

0

Vi Aspettiamo Ai Prossimi Webinar

DOMANDE?

h.deidda@sidin.com Technical Specialist Sidin