WLAN Risk Assessment Mobile & Wireless Security Forum 2008 Joerg Fritsch [joerg.fritsch@nc3a.nato.int]
Session Agenda Page     Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen l...
Threats, Vulnerabilities & Risks (allgemein) <ul><li>Threat  (Bedrohung)  = Gefahr, die durch eine Schwachstelle ausgelöst...
Noch einige Bemerkungen zur RA <ul><li>Jede Infrastruktur besteht aus  meheren ‘auditable units’  (Data Center, IT, Infras...
Risk Assessment in 4  +1  Schritten Page     Identify Assets & Threats <ul><li>Wissen was man hat </li></ul><ul><li>Über ...
…  nochmal kurz zu den Assets <ul><li>Was ist zu schützen </li></ul><ul><ul><li>Triviale Listen oft hilfreich um sich eine...
Session Agenda Page     Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen l...
Threats – Safeguards = Residual Risks Page     Threats <ul><li>Authentifizierung & Zugriffskontrolle (Accountability) </l...
Location Awareness Page     …  mal kurz ein Praxisbeispiel <ul><ul><li>Clients und ‘Hacker’ koennen mit +/- 5m Genauigkei...
Was passiert Page     Relative Häufigkeit erkannter Angriffe Was passiert Täglich Monat-lich 3 – 6 Monate Jähr-lich WPA M...
The Unknown <ul><li>As we know,  There are  known knowns .  There are things we know we know.  </li></ul><ul><li>We also k...
Business Objectives <ul><li>WLANs werden nicht um ihrer selbst willen implementiert </li></ul><ul><li>Vermeiden von (Neu)V...
Session Agenda Page     Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen l...
Warum eine Risk Matrix ? <ul><li>Risiko Matrix z.B. auch im Project Management (Project Risk) brauchbar    Vereinheitlich...
Risk Matrix 1 Page     Die Risk Matrix: Eine qualitative Analyse K-Fall Datenverlust AP Impersonation Techn. Versagen Feh...
Risk Matrix 2 <ul><li>Anzahl Risikofaktoren =    Severities x    Schäden </li></ul><ul><li>Ca. 25% der Risikofaktoren si...
Session Agenda Page     Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen l...
WLAN Topologien:  Seggregation oder Integration? Page     …  und es kann nur eine geben WLAN in CoLokation mit dem LAN <u...
WLAN & Network Access Control (NAC) <ul><li>State of the art WLANs verwenden 802.1x (802.11i / WPA2) </li></ul><ul><li>NAC...
Sample Slide    Agenda / Table of contents Page     Grundlagen Risk Assessment Threats, Safeguards & Business Objectives...
Zusammenfassung 1 <ul><li>Risk Assessment ist  notwendig </li></ul><ul><li>Qualitative und ‘scheinbar’ quantitative RAs ve...
Zusammenfassung 2 <ul><li>Wenn man  keine ‘High Risk’ Bereiche  findet kann das u.U. heissen, dass die Implementierung gut...
Page     Vielen Dank. Fragen ? ? ?
Nächste SlideShare
Wird geladen in …5
×

WLAN Risk Assessment

1.198 Aufrufe

Veröffentlicht am

Veröffentlicht in: Business, Wirtschaft & Finanzen
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.198
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

WLAN Risk Assessment

  1. 1. WLAN Risk Assessment Mobile & Wireless Security Forum 2008 Joerg Fritsch [joerg.fritsch@nc3a.nato.int]
  2. 2. Session Agenda Page  Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen läuft: Risk Matrix Exkurs : Colokation & Integration, NAC Zusammenfassung & Fragen 1 2 3 4 5 … was ich Ihnen jetzt gleich erzähle
  3. 3. Threats, Vulnerabilities & Risks (allgemein) <ul><li>Threat (Bedrohung) = Gefahr, die durch eine Schwachstelle ausgelöst wird. </li></ul><ul><ul><li>‘ Unbeabsichtigt’  Ereignisse (Stürme, Erdbeben etc.) </li></ul></ul><ul><ul><li>‘ Beabsichtigt’  Angriffe (Hacker, Saboteure, Spionage) </li></ul></ul><ul><li>Vulnerability (Schwachstelle) </li></ul><ul><li>Risk (Risiko) = de.wikipedia.org: „Prognose eines moeglichen Schadens“ </li></ul><ul><ul><li>Nicht unausweichlich </li></ul></ul><ul><ul><li>Idealerweise in € </li></ul></ul><ul><li>Residual Risk = Threats – Safeguards </li></ul><ul><li>ERM = Enterprise Risk Management </li></ul>Page 
  4. 4. Noch einige Bemerkungen zur RA <ul><li>Jede Infrastruktur besteht aus meheren ‘auditable units’ (Data Center, IT, Infrastruktur, Vertraulichkeit, Availability, etc.) </li></ul><ul><li>WLAN Risk Matrix ist nur ein TEIL des gesamten IT RA </li></ul><ul><li>WLAN RA beschäftigt sich mit dem Access Layer </li></ul><ul><ul><ul><li>Business process </li></ul></ul></ul><ul><ul><ul><li>Application </li></ul></ul></ul><ul><ul><ul><li>Data & Data Management </li></ul></ul></ul><ul><ul><ul><li>Processing Environment </li></ul></ul></ul><ul><ul><ul><li>Network (access) </li></ul></ul></ul><ul><ul><ul><ul><li>WLAN! </li></ul></ul></ul></ul><ul><ul><ul><li>Gebäude / Physical </li></ul></ul></ul>Page 
  5. 5. Risk Assessment in 4 +1 Schritten Page  Identify Assets & Threats <ul><li>Wissen was man hat </li></ul><ul><li>Über bekannte Angriffe und Überraschungen nachdenken </li></ul>Identify deployed Safeguards <ul><li>Welche Technologien und Prozesse werden verwendet </li></ul><ul><li>Wie effektiv? </li></ul><ul><li>Spielt man in der oberen Liga mit?  ‘Maturity Level’ </li></ul>Wahrscheinlich-keit <ul><li>Loss Event Frequency </li></ul>Risk Matrix <ul><li>In einer qualitativen Risk Matrix zusammen schreiben </li></ul>
  6. 6. … nochmal kurz zu den Assets <ul><li>Was ist zu schützen </li></ul><ul><ul><li>Triviale Listen oft hilfreich um sich einen Überblick über den Tellerrand hinaus zu verschaffen </li></ul></ul><ul><li>Wie wertvoll ist ‘es’? </li></ul><ul><ul><li>CEOs / ‘Stakeholder’ sprechen in € oder $  Vereinheitlichung  ERM </li></ul></ul><ul><ul><li>Nur nicht Ü b ertreiben </li></ul></ul><ul><ul><li>Nur ‘Projektbezogene’ Kosten auf die Liste setzen! </li></ul></ul><ul><li>Einfach Taxonomy mit zwei oder drei Untergruppen entwickeln </li></ul><ul><ul><li>Component Type </li></ul></ul><ul><ul><ul><li>Component </li></ul></ul></ul>Page 
  7. 7. Session Agenda Page  Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen läuft: Risk Matrix Exkurs : Colokation & Integration, NAC Zusammenfassung & Fragen 1 2 3 4 5 … wie’s in der verbleibenden Zeit weiter geht
  8. 8. Threats – Safeguards = Residual Risks Page  Threats <ul><li>Authentifizierung & Zugriffskontrolle (Accountability) </li></ul><ul><ul><li>Beabsichtigt (human malicious) </li></ul></ul><ul><ul><li>Unbeabsichtigt (human nonmalicious) </li></ul></ul><ul><li>Vertraulichkeit (Confidentiality) </li></ul><ul><li>Verfügbarkeit (Availability) </li></ul><ul><li>Relevance & Integrity </li></ul><ul><li>“ Überraschungen” – the unknown = the surprises </li></ul><ul><li>Natural Disaster </li></ul>WLAN Safeguards <ul><li>EAPs (Extensible Authentication Protocols), PEAP, EAP-TLS, 802.1x > WPA2 </li></ul><ul><li>Kryptografie > AES! </li></ul><ul><li>Location awareness </li></ul><ul><li>Monitoring & Detection / WLAN IDS </li></ul><ul><li>DRM / IRM! </li></ul><ul><li>Application Security </li></ul><ul><li>SSL </li></ul><ul><li>Unterstützt business mobility </li></ul>… es sieht gar nicht so schlecht aus.
  9. 9. Location Awareness Page  … mal kurz ein Praxisbeispiel <ul><ul><li>Clients und ‘Hacker’ koennen mit +/- 5m Genauigkeit sichtbar gemacht werden </li></ul></ul><ul><ul><li>Voraussetzung: Antennen auf mehreren Stockwerken </li></ul></ul>
  10. 10. Was passiert Page  Relative Häufigkeit erkannter Angriffe Was passiert Täglich Monat-lich 3 – 6 Monate Jähr-lich WPA MIC ERRORS  AP impersonation  Bcast Deauth Floods  MFP anomalies  Mehrfach fehlgeschlagene 802.1x Authentifizierung  Minor Encryption Errors  Rogue APs Nicht bei uns Datenverlust durch Gebrauch von WPA2 EAP WLAN Never heard of! K-Fall, Natural desasters ? Technisches Versagen: WLAN Controller, Authenticator, APs  Fehlkonfiguration (unmalicious) 
  11. 11. The Unknown <ul><li>As we know, There are known knowns . There are things we know we know. </li></ul><ul><li>We also know There are known unknowns . That is to say We know there are some things We do not know. </li></ul><ul><li>But there are also unknown unknowns , The ones we don't know We don't know.  </li></ul><ul><li>[D.H.RUMSFELD] —Feb. 12, 2002, Department of Defense news briefing </li></ul>Page 
  12. 12. Business Objectives <ul><li>WLANs werden nicht um ihrer selbst willen implementiert </li></ul><ul><li>Vermeiden von (Neu)Verkabelung </li></ul><ul><li>Ersparnis : verkabelte PCs kosten ca. um den 4x mehr </li></ul><ul><li>Felxibilität & Mobilität , unabhängig von Zeit & Raum </li></ul><ul><li>Eine Accessmethode für mobile Mitarbeiter & alle anderen </li></ul><ul><ul><ul><li>Hotel, Flughafen, Konferenz, zu Hause, etc. = WLAN </li></ul></ul></ul><ul><ul><ul><li>Betrieb = WLAN </li></ul></ul></ul><ul><li>Zukunftsorientiert </li></ul><ul><li>Gutes WLAN setzt eine Strategie voraus! </li></ul>Page  Was will man mit dem WLAN erreichen?
  13. 13. Session Agenda Page  Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen läuft: Risk Matrix Exkurs : Colokation & Integration, NAC Zusammenfassung & Fragen 1 2 3 4 5 … wie’s in der verbleibenden Zeit weiter geht
  14. 14. Warum eine Risk Matrix ? <ul><li>Risiko Matrix z.B. auch im Project Management (Project Risk) brauchbar  Vereinheitlichung  ERM </li></ul><ul><li>Im Vergleich mit automatisierten Tools (PILAR, CRAM) ‘ohne Kosten’ zu erstellen </li></ul><ul><li>Nicht zeitaufwendig </li></ul><ul><li>Input ‘Subjektiv’  auch automatisierte Tools verlassen sich entweder auf wenig zutreffende default Werte (Häufigkeit/Frequency, Maturity Level etc.) oder auf subjektiven Input </li></ul><ul><li>Output einfach zu verstehen </li></ul><ul><li>Verschiedene ‘Schlüssel’ denkbar: </li></ul><ul><ul><li>Häufigkeit vs Impact (Likelihood vs Severity) </li></ul></ul><ul><ul><li>Ranking vs Asset </li></ul></ul>Page 
  15. 15. Risk Matrix 1 Page  Die Risk Matrix: Eine qualitative Analyse K-Fall Datenverlust AP Impersonation Techn. Versagen Fehlkonfiguration Bcast Deauth WPA MIC Errors MFP anomalies Mehrfach fehlgeschlagene 802.1x auth Minor Encryption Errors Extensive Damage Major Damage Localised Damage Minor Damage Slight Damage No Damage Severity (mit eingesetzten Safeguards) A Nie gehört, nie passiert oder ist versichert B Passiert Jährlich C Passiert alle 3 – 6 Monate D Passiert Monatlich E Passiert Täglich Significant Risk Insignificant Risk
  16. 16. Risk Matrix 2 <ul><li>Anzahl Risikofaktoren =  Severities x  Schäden </li></ul><ul><li>Ca. 25% der Risikofaktoren sind ‘signifikant’ und sollten weiter bearbeitet werden </li></ul><ul><li>Die Resultate unterscheiden sich nur wenig von denen ‘des Nachbarn’ </li></ul><ul><ul><li>Ansatz für Benchmarking </li></ul></ul><ul><ul><li>‘ Jeder’ setzt die gleiche Technologie ein </li></ul></ul><ul><ul><li>… und die gleichen Consultants :D </li></ul></ul>Page 
  17. 17. Session Agenda Page  Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen läuft: Risk Matrix Exkurs : Colokation & Integration, NAC Zusammenfassung & Fragen 1 2 3 4 5 … was Sie nun schon hinter sich haben
  18. 18. WLAN Topologien: Seggregation oder Integration? Page  … und es kann nur eine geben WLAN in CoLokation mit dem LAN <ul><li>Wir leben im Zeitalter der Deperimeterization </li></ul><ul><li>Der Fokus geht weg vom Perimeter, hin zu den Daten </li></ul><ul><ul><li>DRM / IRM </li></ul></ul><ul><ul><li>Zugriffskontrolle & Rechte etc. </li></ul></ul><ul><li>Firewalls sind kein ‘Allheilmittel’ </li></ul><ul><li>Heute: WLAN Controller </li></ul>
  19. 19. WLAN & Network Access Control (NAC) <ul><li>State of the art WLANs verwenden 802.1x (802.11i / WPA2) </li></ul><ul><li>NAC ≠ 802.1x ! </li></ul><ul><li>Die compatibelsten NACs können 802.1x aber setzen per default auf captive portals </li></ul><ul><li>NAC = security checks, network profiles, remmediation (oder ‘patching’) und Network Logon Authentifizierung </li></ul><ul><li>Harmonisieren mit schon vorhandenen Lösungen (NetInstall, Patchlink, Shavlik, Policy Server/EPO) </li></ul><ul><li>NAC macht WLANs nicht sicherer </li></ul><ul><li>NAC macht evtl. den BenutzerPC / das Benutzerlaptop sicherer </li></ul>Page 
  20. 20. Sample Slide  Agenda / Table of contents Page  Grundlagen Risk Assessment Threats, Safeguards & Business Objectives in WLANs Wo alles zusammen läuft: Risk Matrix Exkurs : Colokation & Integration, NAC Zusammenfassung & Fragen 1 2 3 4 5 … und ‘das Beste’ kommt zum Schluß
  21. 21. Zusammenfassung 1 <ul><li>Risk Assessment ist notwendig </li></ul><ul><li>Qualitative und ‘scheinbar’ quantitative RAs verwenden teilweise subjektiven Input </li></ul><ul><ul><li>Subjektiver Input ist wertvoll </li></ul></ul><ul><ul><li>Subjektiver Input ist z.T. besser als ‘Branchen Default Werte’ </li></ul></ul><ul><ul><li>Subjektiver Input muss frei sein von </li></ul></ul><ul><ul><ul><li>Verborgenen Zielen </li></ul></ul></ul><ul><ul><ul><li>Polemik </li></ul></ul></ul><ul><li>‘ Einfache’ qualitative Risk Matrix oft gut genug </li></ul><ul><li>Wo es geht nach Vereinheitlichung streben </li></ul><ul><ul><li>Technisch </li></ul></ul><ul><ul><li>Im Reporting  ERM </li></ul></ul>Page 
  22. 22. Zusammenfassung 2 <ul><li>Wenn man keine ‘High Risk’ Bereiche findet kann das u.U. heissen, dass die Implementierung gut ist. </li></ul><ul><ul><li>Gegen Risk Faktoren die als ‘High Risk’ gekennzeichnet sind muss sofort etwas unternommen werden </li></ul></ul><ul><li>Mit Überraschungen rechnen </li></ul><ul><li>Sich keinen Fantasiezahlen hingeben </li></ul><ul><li>Strategie & state of the art Technologie minieren Residual Risk </li></ul><ul><li>Mut zur CoLokation ! </li></ul><ul><li>‘ Vergiss’ Perimeter-Security </li></ul><ul><li>An neue Konzepte Denken: Datenzentriert arbeiten, IRM, DRM </li></ul>Page 
  23. 23. Page  Vielen Dank. Fragen ? ? ?

×