Problemy bezpieczeństwa sieci mobilnych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Problemy bezpieczeństwa sieci mobilnych"

Transkrypt

1 Problemy bezpieczeństwa sieci mobilnych Kerberos - istnieje rozwiązanie przeznaczone dla sieci typu WLAN Protokoły Radius i Diameter RADIUS (Remote Authentication Dial-In User Service) jest protokołem uwierzytelniania, autoryzacji i rozliczania zaprojektowanym dla dostępu do sieci. Radius jest powszechnie stosowany w zdalnych serwerach dostępowych, ruterach i śluzach ogniowych. Serwery RADIUS mogą być także użyte jako serwery proxy dla innych serwerów uwierzytelniających. Po poprawnym uwierzytelnieniu serwer przekazuje klientowi informacje i konfiguracji sieci. DIAMETER to protokół RADIUS II-ej generacji. W przeciwieństwie do poprzedniego, bazuje na modelu P2P i zawiera wiele ulepszeń, usuwających słabości RADIUS. Protokół EAP EAP (Extensible Authentication Protocol) zaprojektowano w celu przydzielenia adresu IP uwierzytelniającej się jednostce, bazując głównie na modelu PPP (point-to-point). Ten protokół może być używany na poziomie drugiej warstwy modelu protokołów sieci, jak I wyżej. EAP jest użytecznym opakowaniem (wrapper), umożliwiającym administratorom bezpieczeństwa na użycie dowolnego protokołu uwierzytelniającego. Istnieje wiele wersji i rozwiązań typu EAP. Stos protokołów EAP EAP-TLS (EAP with Transport Layer Security) jest jedną z najczęściej stosowanych metod. Pakiety EAP są przesyłane w tunelu SSL/TLS. Tożsamość komunikujących się stron (węzłów) jest sprawdzana z pomocą certyfikatów kluczy publicznych. Jednak nazwa węzła podanego w

2 certyfikacie jest przesyłana jawnie, jak również komunikaty potwierdzające nawiązanie połączenia (EAP-success, EAP-fail). Było to zachętą do opracowania wersji zwanej Protected EAP (PEAP) i EAP z TLS (EAP- TTLS). PEAP (Protected EAP) zapewnia prywatność danych w EAP-TLS. Najpierw jest uwierzytelniany tylko serwer, a użytkownik pozostaje anonimowy. W drugiej fazie dokonuje się wzajemnego uwierzytelnienia we wcześniej ustanowionym tunelu TLS przy użyciu kluczy z fazy pierwszej. Chociaż to rozwiązanie jest zalecane przez Cisco, Microsoft i RSA Security, istnieją dwie podstawowe wersje PEAP jedna Cisco, a druga Microsoft. Obie są nazywane PEAP i są niekompatybilne. PEAP zapewnia obustronne uwierzytelnienie, ochronę tożsamości klienta i generację kluczy sesyjnych. EAP-TTLS (EAP with Tunneled Transport Layer Security) zaprojektowano, mając na uwadze kompatybilność wstecz. Na początku badania wiarygodności stron jest tworzony bezpieczny kanał TLS, podobnie jak w PEAP. Następnie klient łączy się z serwerem TTLS, który jest wykorzystywany jednokrotnie. Podobny do PEAP (ale powstał wcześniej) i jest promowany przez Funk Software i Certicom. TTLS zapewnia obustronne uwierzytelnienie, ochronę tożsamości klienta, generację kluczy sesyjnych i szyfrowanie parametrów sesji. EAP-MD5 jest metodą EAP, bazującą na przesyłaniu skrótów haseł. Można jej używać tylko w bezpiecznych korporacyjnych sieciach LAN. Jest podatna na ataki metodą brutalną i słownikowe, a także nie zapewnia użycia dynamicznego protokołu WEP (Wired Equivalent Privacy) (802.11). LEAP (Lightweight EAP) jest standardem zaproponowanym przez Cisco. Specyfikację udostępniono za darmo jedynie partnerom biznesowym Cisco. Trochę bardziej rozbudowany jak EAP-MD5 i zapewnia wzajemne uwierzytelnianie i krótkoterminowe klucze WEP. Nadal są możliwe ataki słownikowe off-line i ujawnienie tożsamości klienta (nazwy są jawnie przesyłane). Ponadto dla klienta LEAP ujawniono słabość protokołu typu challenge/response, bo jeden z kluczy DES zawiera sześć (na 8) zerowych bajtów. Tak więc wystarczy 2 16 prób, by złamać klucz. EAP-FAST (EAP Flexible Authentication via Secure Tunneling - CISCO) umożliwia uwierzytelnianie bez potrzeby użycia certyfikatów PK ani dowolnej PKI. Utworzenie tunelu kryptograficznego opiera się na współdzielonej tajemnicy (PAC). EAP-FAST jest podobny do PEAP i także ma dwie fazy działania. Pierwsza tworzy tunel kryptograficzny pomiędzy klientem a serwerem. W drugiej fazie korzysta się z tego tunelu do bezpiecznego uwierzytelnienia klienta w sesji MS-CHAPv2. Natomiast

3 współdzielona tajemnica musi być ewentualnie dostarczona w opcjonalnej, początkowej fazie protokołu. Twórcy ukrywają jednak fakt, że do tego celu należy użyć algorytmu Diffie-Hellmana, aby protokół był odporny na ataki słownikowe, powtórzeniowe, MitMA i słabości wektora początkowego (DES). EAP-SIM (EAP for GSM Subscriber Identity) umożliwia operatorom telefonii komórkowej stosowanie EAP bez konieczności modyfikacji istniejącej infrastruktury. Podstawą jest użycie złamanego wcześniej szyfrowania GSM. EAP-SIM zaprojektowano w celu dostarczenia 128- bitowych kluczy w systemie z 64-bitowym szyfrowaniem GSM, ale to się nie powiodło. Ponadto występują zależności pomiędzy poszczególnymi sesjami połączeniowymi, czego nie udało się usunąć. EAP-AKA (EAP for UMTS Authentication and Key Management) zaprojektowano dla standardu 3G rozwijanego przez 3G Partnership Project. Użytkownicy sieci bezprzewodowych LAN są uwierzytelniani przy użyciu ich modułu SIM w sieci 3G. Inne metody EAP używają haseł EAP (Diffie-Hellman) I haseł jednorazowych (EAP-secureID). IEEE 802.1x 802.1x to standard IEEE kontroli dostępu w sieciach LAN I MAN. Chociaż nie jest przewidziany dla sieci bezprzewodowych, włączono go do standardu i. Używając środków 802.1x, dokonuje się uwierzytelnienia i autoryzacji urządzeń dołączonych do portu sieciowego na bazie charakterystyk połączenia point-to-point. Portem LAN jest pojedynczy punklt dołączenia do infrastruktury LAN, tj. mostek MAC lub punkt dostępowy Ponadto 802.1x zapewnia, że dostęp zostanie zablokowany, jeśli nie uda się uwierzytelnianie lub autoryzacja x zwykle wykorzystuje protokół EAP w wersji EAPOL (EAP over LAN) lub EAPOW (EAP over Wireless). Tak więc sprawdzenie portu jest bezpiecznie przeniesione do wyższej warstwy.

4 W 802.1x mamy trzy komunikujące się strony: Supplicant klient urządzenie żądające dostępu do sieci; Authenticator punkt dostępowy lub router dostępowy; Authentication Server urządzenie dostarczające informacji niezbędnych do uwierzytelnienia i podejmujące decyzje w tym zakresie: np. serwer RADIUS. PAE (port access entity) to punkt, w którym klient próbuje uzyskać dostęp do sieci. Authenticator steruje dwoma portami: swoim portem używanym do uwierzytelniania oraz portem usługowym. Działanie standardu 802.1x Etapy procesu uwierzytelniania: 1. Interfejs sieciowy klienta jest dołączany do punktu dostępowego. 2. Zostaje wysłany przez klienta komunikat EAPOL-Start w celu ustalenia, czy jest obecny punkt dostępowy. Komunikat jest wysłany do specjalnej grupy adresów rozgłoszeniowych MAC zarezerwowanych dla punktów dostępowych. Komunikaty EAPOL- Key i EAPOL-Packet są używane w sieciach WLAN do komunikacji z wykorzystaniem protokołu EAP.

5 Uwierzytelnianie w standardzie 802.1x 3. Punkt dostępowy wysyła komunikat EAP Identity Request, na który w odpowiedzi powinien otrzymać EAP Identity Response. 4. Punkt dostępowy wysyła Access Request do serwera AS, który odpowiada komunikatem Authentication Request. Ta wiadomość i następne są zależne od typu stosowanego EAP. 5. Jeśli uwierzytelnianie powiedzie się, AS wysyła komunikat Success message i port punktu dostępowego zostaje otwarty dla klienta. W sieciach bezprzewodowych po komunikacie EAP-Success występuje wymiana kluczy, które mogą być używane w WEP lub WPA do szyfrowania ruchu i zapewnienia podstawowego bezpieczeństwa. W standardzie 802.1x używa się do tego celu pojedynczej wiadomości, ale ulepszony standard (802.1aa) definiuje to działanie jako 4- etapowe. Dzięki temu chronimy się przed atakami MitM u umożliwiamy dynamiczną generację kluczy sesyjnych. 6. Aby rozłączyć się, klient wysyła komunikat EAPOL-Logoff.

6 Istnieje kilka standardów przemysłowych 802.1x: Open1x implementacja open source 802.1x; Microsoft 802.1x; Cisco. Są one niekompatybilne i stosują różne metody EAP, co pozbawia możliwość współpracy systemy używające różnych urządzeń. Chaffing and winnowing Technikę chaffing and winnowing zaproponował Ron Rivest, aby uzyskać nieco poufności bez szyfrowania. Nadawca (A) i odbiorca (B) współdzielą klucz tajny. Wiadomości są przesyłane jawnie, ale uzupełnia się je skrótem, np. HMAC-SHA1, wyliczonym na podstawie treści wiadomości I klucza tajnego. Wiadomości zniekształcone lub niewiarygodne mogą być więc odrzucone. W drugim kroku metody dołączamy nic nie znaczące pakiety do strumienia wiadomości. Segmentację realizuje się za pomocą numerów seryjnych w każdym pakiecie. Bezpieczeństwo schematu polega na trudności odróżnienia pakietów poprawnych od nic nie znaczących (złożoność obliczeń ma charakter wykładniczy w zależności od liczby pakietów). Dystrybucję klucza tajnego wykonuje się np. przy użyciu algorytmu Diffie-Hellmana. Aby nieco utrudnić zadanie napastnikom, każdy bit wiadomości może być przesyłany w innym pakiecie. Bezpieczeństwo w (Wi-Fi) Prace nad standardem zaczęto w 1990 r. Minimalną przepustowość ustalono na 1 Mb/s. Nowy standard miał zapewnić łączność bezprzewodową również podróżującym z umiarkowaną prędkością. Wspólna warstwa MAC zapewnia współpracę wielu warstw fizycznych. IEEE wydało pierwszą wersję standardu w 1997 r., z przepustowością do 2 Mb/s. W 1999 r. pojawiły się: b dla f=2.4 GHz i a działający w paśmie 5.3 GHz i 5.8 GHz. Praktyczna przepustowość zmierzona w SAP (Media Access Control Service Access Point) wynosi odpowiednio ok. 5 Mb/s i 25 Mb/s. Nowa wersja standardu, g, używa modulacji OFDM i osiąga przepustowość rzędu 25 Mb/s. Projektowany standard n teoretycznie powinien zapewnić 500 Mb/s.

7 Popularne typy sieci w standardzie 802.1x W mamy 3 typy ramek: Ramki organizacyjne (np. Beacon, Association Request); Ramki sterujące (np. Request To Send RTS); Ramki danych. Format ramki w standardzie

8 Tryby pracy Basic Service Set (BSS) to zbiór zwykłych węzłów zarządzanych pojedynczą funkcją sterującą dostępem do kanału. Independent BSS to niezależny BBS bez dostępu ogólnego. System rozproszony (Distribution System - DS) można użyć do połączenia BBS, budując rozszerzony system usługowy (Extended Service Set - ESS). W ESS cały ruch jest kierowany przez punkty dostępowe AP. DS można zbudować na bazie AP lub przy użyciu kabla łączącego różne AP w odmiennych BSS. Każda sieć jest identyfikowana przez SSID (Service Set Identifier), który oznacza nazwę sieci (do 32 znaków długości). Identyfikator BSSID (Basic Service Set Identifier) jest używany do identyfikacji pojedynczej komórki i ma tę samą wartość co adres MAC interfejsu punktu dostępowego AP. Tryby pracy Aby dołączyć się do punktu dostępowego, STA skanuje wybrane częstotliwości w celu znalezienia najsilniejszego sygnału. W tym celu STA regularnie wysyła sygnały Probe Requests i czeka na odpowiedź w wybranych kanałach. Jeśli proces skanowania ma charakter pasywny, STA nasłuchuje nachodzących pakietów typu Beacon i określa na ich podstawie siłę sygnału.

9 Kanału może także nasłuchiwać napastnik i nie będzie wykryty!! Punkt dostępowy utrzymuje listę dowiązanych STA. Jeśli AP jest skonfigurowany do realizacji protokołu Open Authentication, atakujący mógłby przeprowadzić prosty atak typu Denial of Service w którym dokonuje częstej zmiany adresu MAC w karcie sieciowej. W konsekwencji zalewa AP potokiem żądań. Lista AP szybko się przepełni, tym samym odmawiając dostępu do AP legalnym użytkownikom. Dla sieci zdefiniowano dwa tryby pracy: infrastructure i ad-hoc. W obu trybach mamy odmienne sposoby dostępu do medium. W trybie ad-hoc używa się protokołu DCF (Distributed Coordination Function), który de facto jest protokołem CSMA/CA (Carrier Sense Multiple Access protocol with Collision Avoidance). Stacja bada kanał w celu sprawdzenia, czy nie jest zajęty przez inną transmisję. Po odczekaniu pewnego czasu (DCF Interframe Spacing) można rozpocząć transmisję. Jeśli w szczelinie czasowej DIFS medium będzie zajęte, jest rozpoczynany mechanizm wycofania (backoff). W trybie infrastructure używa się protokołu PCF (Point Coordination Function). PCF jest mechanizmem scentralizowanym, opartym na głosowaniu i wymagającym obecności centralnego koordynatora (Point Coordinator). Czas jest podzielony na fragmenty zwane superramkami. Każda z nich składa się z okresu zwanego contention, w którym działa DCF i okresu contention free period (CFP), w którym działa PCF. Gdy startuje protokół CFP, każda stacja z listy PC jest odpytywana kolejno (round-robin). Odstęp (timeslot) pomiędzy ramkami PCF jest krótszy od DIFS, tak więc żadna stacja nie może przerwać transmisji. Odstępy czasowe w trybie pracy interframe

10 Swobodne uwierzytelnianie (Open authentication) Access Point nie ma żadnego sposobu na odróznienie poprawnego klienta od intruza. Każdy może dołączyć się do sieci i wszystkie transmitowane są dostępne dla wszystkich w ramach SSID (a także dla wszystkich podsłuchujących). Dane nie są szyfrowane, więc każda sesja http lub telnet może być odczytana. WEP WEP (Wired Equivalent Privacy) to metoda ochrony komunikacji WiFi dla warstwy MAC. Jest częścią standardu (1999). WEP zaprojektowano w celu zapewnienia: poufności (szyfr strumieniowy RC4), spójności (CRC32), ochrony przed nieautoryzowanym dostępem (uwierzytelnianie nie było głównym celem!!!). Domyślny klucz 64-bitowy RC4 jest generowany poprzez połączenie 40- bitowego ustalonego ciągu do 24-bitowego wektora inicjalizacyjnego (IV). Ten 40-bitowy klucz jest współdzielony przez dwie komunikujące się strony, a zmieniający się IV zapewnia różne wartości kluczy RC4 dla każdego pakietu. Ten sam klucz 40-bitowy służy do uwierzytelniania zarówno AP, jak i stacja mobilna (STA) używają tego samego klucza. Jest to poważnym osłabieniem bezpieczeństwa!! Ponadto, klucze szyfrujące i uwierzytelniające powinny być różne i zmieniane w pewnym przedziale czasowym. Ponieważ standard WEP nie definiuje metody zarządzania kluczami, zmiana kluczy w większych sieciach może być kłopotliwe. Standardowa długość wynika z ograniczeń eksportowych USA (zniesionych 15 grudnia 1999). Później pojawiły się usługi WEP oferujące klucze 128- i 256-bitowe. Klucz 128-bitowy składa się z 24-bitowego IV i 26 znaków heksadecymalnych (4-bitowych). Zidentyfikowano wiele słabości protokołu WEP. Mimo tego WEP nadal pozostaje (przypuszczalnie) najczęściej stosowaną metodą zabezpieczania sieci WiFi. Poważną jego wadą jest dawanie fałszywego poczucia bezpieczeństwa. Lista wad:

11 24-bitowa przestrzeń IV jest bardzo ograniczona. W szyfrach strumieniowych zmiana klucza występuje dla każdego pakietu, co znacznie ogranicza czas stosowania dla AP b (ok. 5 godzin). Ponadto standard nie zaleca zmiany IV co ramkę jest to opcjonalne. W wielu implementacjach IV wcale nie jest zmieniany, a jedynie zwiększany o 1 (tryb licznikowy). Natomiast przy losowym wyborze IV istnieje duża szansa na kolizje co ok ramek. Standard nie zawiera żadnych wskazówek co do zarządzania wyborem IV. Pseudolosowy generator RC4 czasami wytwarza słabe IV. Znany jest pierwszy bajt transmisji, więc pozostałe (pseudolosowe) łatwiej ustalić. Poprawny klucz WEP można odtworzyć, używając zaledwie 256 przechwyconych pakietów. Usunięcie słabych IV może poprawić sytuację. Podczas procesu uwierzytelniania z współdzielonym kluczem AP wysyła tekstem jawnym ciąg wyzwania do strony uwierzytelniającej się. Ten ciąg jest szyfrowany przez STA i odsyłany do AP. Jest więc możliwa kryptoanaliza ze znanym tekstem jawnym. Napastnik może także zsumować modulo 2 dwie przechwycone ramki i uzyskać ciąg łatwy do odszyfrowania. Algorytm sumy kontrolnej - CRC32 ma liniowy charakter i dzięki temu jest podatny na kolizje, co uniemożliwia zapewnienie integralności transmisji, a także fałszowanie wiadomości. Standard nie definiuje żadnych środków zapobiegawczych atakom powtórzeniowym. Wszystkie komunikaty na poziomie MAC mogą być ponownie wysyłane, ponieważ nie występuje numeracja pakietów ani znakowanie czasowe. Stosowanie 40-bitowego szyfrowania obniża przepustowość o ok. 1 Mb/s, a 128-bitowe szyfrowanie zwiększa stratę do 2 Mb/s. To jest prawie 20% spadek przepustowości dla sieci b. Ograniczona przepustowość zwiększa opóźnienia, co jest denerwujące przy trasmisjach multimedialnych. WPA (WiFi Protected Access) WPA został opracowany przez IEEE i komitet Wi-Fi w 2003 w odpowiedzi na wiele słabości ujawnionych w działaniu WEP. WPA podnosi nieco bezpieczeństwo w sieciach Jest podzbiorem standardu i. WPA stosuje TKIP (Temporal Key Integrity Protocol) do zarządzania kluczami, usuwając możliwość przewidywania ich wartości, co było powodem groźnych ataków. Protokół stosuje klucze 128-bitowe o pełnej

12 długości, generowane dynamicznie. Klucze mogą być często zmieniane podczas transmisji, redukując znacznie ryzyko ujawnienia. Dystrybucją zajmuje się serwer AS (Authentication Server), który stosuje 802.1x do wytworzenia unikalnej pary kluczy po poprawnym uwierzytelnieniu klienta. Ten klucz jest używany z kolei do generacji kluczy szyfrujących o liczbie kombinacji rzędu Dodatkowo suma kontrolna MIC (Message Integrity Check) zapewnia spójność i ochronę przed powtórzeniami. W WPA wprowadzono mechanizmy uwierzytelniania 802.1x takie jak w EAP. Administratorzy mają pewną możliwość wyboru, ponieważ mogą wybrać kilka różnych metod. Istnieją także rozwiązania WPA nieco słabsze (WPA pre-shared key). Jednak przejście z WEP do WPA nie zapewnia pełnego bezpieczeństwa, bowiem nadal są możliwe ataki słownikowe. Protokół i (WPA2) i jest rozszerzeniem standardu Zaprojektowano go w celu zapewnienia poufności, spójności, niemożności wyparcia się i ochrony przed powtórzeniami. Architektura i jest zbudowana z nast. elementów: schematy uwierzytelniania 802.1x (EAP + authentication server) kontrola dostępu na bazie portów; RSN (Robust Security Network) - zabezpieczanie połączeń; CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) szyfrowanie z użyciem AES w celu zapewnienia uwierzytelniania, poufności i spójności komunikacji, obowiązkowe dla wszystkich urządzeń zgodnych z i; TKIP (Temporal Key Integrity Protocol), opcjonalny zestaw szyfrów dla wzmocnienia protokołu WEP. Do specyfikacji dodano opis RSNA (Robust Security Network Architecture) w celu poprawy bezpieczeństwa o wzmocnione mechanizmy uwierzytelniania dla STA, algorytmy zarządzania kluczami i opakowanie danych (enhanced data encapsulation mechanism - CCMP) łącznie z opcjonalnym protokołem TKIP (Temporal Key Integrity Protocol). Należy jednak dodać, że w znacznym stopniu te poprawki są zależne od mechanizmów wbudowanych w urządzenia PAE (Port Access Entity) i AS (Authentication Server).

13 Standard i dzieli urządzenia na dwie klasy: Urządzenia typu pre-rsna niezdolne do utworzenia RSNA, Urządzenia typu RSNA. Urządzenia typu pre-rsna mogą wykorzystywać tradycyjne metody szyfrowania i uwierzytelniania, takie jak WEP i uwierzytelnianie W standardzie i zdefiniowano kilka trybów komunikacji: Jeden-do-jeden pomiędzy stacjami STA i sieciami przewodowymi poprzez wykorzystanie AP (najczęściej stosowany bo z w zgodności z obecnym modelem b/g/a); Jeden-do-wielu jednokierunkowa komunikacja od AP do stacji mobilnych STA w grupie AP; Jeden-do-jeden pomiędzy dwoma STA dołączonymi do tego samego AP. Kolizje wektorów IV Ataki na protokół WiFi (802.11) Wartości IV są przesyłane bez szyfrowania, by węzeł odbiorczy mógł je wykorzystać do ustawienia generatora strumienia klucza, a potem odszyfrowania pakietu. IV nie powinny powtarzać się podczas sesji. Kolizja wystąpi, gdy nadajnik wyczerpie wszystkie posiadane IV i będzie musiał użyć któregoś ponownie. Niekiedy sprzęt zaczyna generować IV począwszy od tej samej wartości (np. 0000). Sumując modulo 2 dwa odebrane pakiety zaszyfrowane tym samym kluczem, napastnik otrzyma sumę dwóch tekstów jawnych. Jeśli jeden z nich jest wcześniej znany, cała komunikacja zostaje ujawniona. Jeśli tak nie jest, to posługując się analizą statystyczną dla danego można uzyskać zaskakujące wyniki. Ponadto po pewnym czasie, używając bazy danych odebranych szyfrogramów i ciągów IV. Można więc ujawnić całą komunikację, ponieważ IV ma długość zaledwie 24 bity, a klucze szyfrujące 256 bitów. Łamanie WEP Istnieją dwie główne metody łamania WEP: Statystyczna (z użyciem dużej liczby przechwyconych IV) i Atak brutalny.

14 Wstawianie (wstrzykiwanie) danych do sieci Wstawianie (wstrzykiwanie) polega na wprowadzaniu pakietów do sieci przy specyficznym wykorzystaniu kart sieciowych i sterowników, co powoduje zakłócenia ruchu, a nawet fałszowanie tożsamości i zakłócanie zarządzania ruchem. Ataki słownikowe WPA (tryb PSK) Protokoły WPA i WPA2 (w i) zezwalają na stosowanie kluczy WPA PSK (Pre-Shared Key) jako poprawnej metody uwierzytelniania. Jednak ta metoda jest podatna na atak słownikowy (off-line), ponieważ użytkownicy wybierają hasła łatwe do zapamiętania. Napastnik musi przechwycić adresy MAC komunikujących się stron, uzgadniane parametry kryptograficzne i ciągi losowe używane do rozpoczęcia generacji kluczy. Powtórzenia IV (Initialization Vector) Scenariusz: Faza I: Tekst jawny (np. lub komunikat ICMP ECHO) jest wysyłany do serwera sieci używającej WEP. Tekst jawny zostaje zaszyfrowany w AP za pomocą klucza WEP i odesłany do klienta. Napastnik zachowuje ten komunikat. Znając zawartość komunikatu, może uzyskać klucz szyfrujący (szyfr strumieniowy). Korzystając z faktu, że ten sam IV I klucz WEP mogą być użyte wielokrotnie, powiększa zbiór ciągu klucza, aż uzyska strumień klucza dla określonej długości ramki. I faza ataku powtórzeniowego na IV

15 Posługując się wielokrotnie tym sposobem, napastnik może zbudować ramkę o jeden bajt dłuższą niż przechwycona aktualnie. Spowoduje ona odpowiedź AP, potwierdzającą zgodność klucza. Można odgadnąć postać tego dodatkowego bajtu, bowiem to tylko 256 kombinacji, a AP potwierdzi poprawność wyboru. Tę zabawę można powtarzać aż do uzyskania klucza o żądanej długości. II faza ataku powtórzeniowego na IV (narastające gromadzenie klucza) Zamiana bitów (Bit-flipping) Podobne do ataków na IV, bo mają ten sam cel. W przechwyconej ramce o znanym typie zawartości zmieniamy kilka bitów (dzięki słabościom algorytmu CRC32) i odsyłamy ponownie. Tak więc bez znajomości przesyłanej wiadomości napastnik może zmienić kilka bitów i sumę kontrolną. Powtórzona wiadomość zostanie poprawnie odtworzona w AP i być może przesłana dalej poprzez Internet. Ze względu na modyfikację treści wiadomości żądanie usługi nie zostanie zrealizowane, ale otrzymamy odpowiedź o błędzie skierowaną do klienta bezprzewodowego. Zawartość komunikatu może być analizowana przez napastnika i po wykonaniu działania XOR na zaszyfrowanym ciągu można odtworzyć podciąg strumienia klucza o długości ramki.

16 Budowa ramki do ataku metodą zmiany bitów Scenariusz ataku z podmianą bitów

17 Inna wersja Bit-flipping Inny wariant tego ataku odkryto podczas projektowania protokołu IPSec. Atak jest skuteczny dla sieci używających TCP, ponieważ ten protokół akceptuje jedynie pakiety z poprawną sumą kontrolną i wymaga od odbiorcy wysłania komunikatu potwierdzenia (ACK) za każdym razem, gdy otrzyma poprawny pakiet. Scenariusz: W przechwyconej ramce napastnik zmienia bity I odpowiednio koryguje CRC, a następnie odsyła ramkę do AP I czeka na odpowiedź. Ramki TCP ACK można łatwo zidentyfikować (mały rozmiar), więc należy tylko odgadnąć, które bity należy zamienić, aby odnieść sukces. Tak więc zmienijąc kolejno bity pakietu I nasłuchując odpowiedzi, napastnik może ustalić zależności pomiędzy bitami I odgadnąć większość wiadomości. MITM (Man in the Middle) Aby atak się powiódł, napastnik musi znać adres MAC oraz SSID sieci ofiary. Najpierw wysyła pakiet DEAUTH z podrobionym adresem MAC. Ofiara zostaje odłączona od AP i zaczyna poszukiwać nowego AP. W międzyczasie napastnik ustanawia fałszywy AP i ofiara zostaje do niego dołączona. W tym samym czasie napastnik ustanawia legalne połączenie z AP, używając adresu MAC ofiary. Dzięki temu napastnik jest w stanie przechwycić całą komunikację pomiędzy ofiarą a AP. Ten atak umożliwia także bardziej poważne, jak np. zablokowanie SSL. W efekcie moga zdarzyć się straty finansowe. Jest to dowodem na konieczność realizacji obustronnego uwierzytelniania. Przechwytywanie ruchu (podsłuchiwanie) To klasyczny atak na sieci bezprzewodowe, bowiem prawie wszystkie karty umożliwiają jawną komunikację. Fałszywy AP (Evil twin) Szczególnie niebezpieczne dla sieci bezprzewodowych jest podszywanie się (spoofing), bowiem w wielu ograniczonych protokołach to staje się uwierzytelniania szczególnie łatwe. Popularną techniką jest także ustanawianie fałszywych stacji AP z silnym sygnałem w towarzystwie innych, legalnych AP.

18 MAC address spoofing Wiele protokołów przyjmuje założenie, że adres MAC jest niepowtarzalny i dzięki temu jest uważany za jednoznaczny identyfikator. Te adresy są często używane do uwierzytelniania, a następnie przydzielenia dostępu do zasobów sieciowych. Prawie wszystkie urządzenia pozwalają zmienić adres MAC, to dyskredytuje wszelkie bezpieczeństwo oparte na MAC. Podrobione adresy MAC można wykorzystać do bardziej złośliwych ataków, jak ukrycie obecności sieci, kradzież uwierzytelnionego identyfikatora lub uzyskanie nieuprawnionego dostępu. Wykrywanie fałszywych adresów MAC Istnieje kilka sposobów na wykrycie fałszerstwa MAC w sieciach Pierwsze 24 bity adresu MAC są przypisane przez IEEE do producenta urządzeń. Jest ich obecnie ok Adres MAC poza tym zakresem jest sygnałem wystąpienia nieprawidłowości. Ponadto obserwacja sekwencyjności wartości adresów z różnych źródeł, a także nie zachowujące kolejności numerów w ramkach z jednego ciągłego źródła powinny budzić podejrzenie o fałszerstwie. Odtworzenie hasła LEAP Pomimo umowy Cisco z partnerami o nieujawnianiu specyfikacji, znaleziono efektywny atak na ten protokół. Kiedy AP wysyła wyzwanie (8 bytów) do STA, STA wykorzystuje skrót MD4 hasła do wygenerowania trzech 7-bytowych kluczy DES. Klucz 1 zawiera bajty od 1 do 7, klucz 2 bajty od 8 do 14, a klucz 3 zawiera 2 ostatnie bajty skrótu uzupełnione pięcioma zerami. Każdy z tych kluczy jest używany do zaszyfrowania wyzwania, dając w wyniku 3 słowa 8-bajtowe. Te bajty są odsyłane do AP, gdzie odpowiedź jest porównywana z wyliczoną wartością. Trzeci, obcięty klucz DES redukuje przestrzeń przeszukiwania, co umożliwia bardzo szybkie ustalenie wartości skracanej. Atak typu Queensland DoS Polega na zapełnianiu kanału radiowego ciągłym strumieniem nieznaczących komunikatów zarządzających. Legalne stacje nie sa wstanie odpowiedzieć z powodu zajęcia pasma. Atak typu DEAUTH DoS Wykorzystuje możliwość zmiany adresu MAC. Każda strona komunikacji w sieci AP może otwarcie zażądać odłączenia w dowolnej chwili.

19 Ponadto podczas odłączania AP bierze pod uwagę tylko adres MAC, bez sprawdzania spójności pakietu. W wyniku stacja mobilna z fałszywym adresem MAC może wysłać do AP sfałszowane pakiety DEAUTH, tym samym kończąc sesje połączeniowe ofiar. Atak typu Deassociation DoS Polega na wysłaniu fałszywego pakietu z żądaniem odłączenia się od współpracującej sieci przewodowej. Zalew pakietami z żądaniem połączenia (Associate flood) Celem ataku są zasoby pamięciowe stacji AP. Polega na zalewaniu AP pakietami z fałszywymi adresami MAC, co powoduje zapełnienie pamięci AP. W wyniku AP nie jest w stanie obsłużyć zgłoszeń legalnych użytkowników. Ataki związane z trybem uśpienia stacji mobilnej W każdej chwili stacja mobilna może przejść w stan uśpienia i wówczas stacja AP przechowuje dla niej zgromadzone pakiety. Od czasu do czasu STA budzi się i w celu wydobycia zgromadzonych wiadomości wysyła specjalny komunikat. Napastnik może wysłać taki komunikat w imieniu uśpionego klienta i przejąć jego pakiety. Można także przekonać STA, że żadne pakiety nie czekają, gdy faktycznie są one zgromadzone w AP. Spowoduje to powrót do trybu uśpienia. Ponadto komunikaty budzenia I usypiania są przesyłane jawnie, co dodatkowo pozwala zniszczyć komunikację. Zakłócenie zarządzania przepustowością Atak polega na zalewaniu kanału ciągiem pakietów bez zachowania wymaganego odstępu (DIFS). Słabości wykrywania nośnej W stosowaniu CSMA zakłada się, że stacje AP i STA będą zachowywać się poprawnie I zgodnie współpracować w zakresie dostępu do medium. Współpraca polega, m.in., na tym, by powiadamiać się wzajemnie o zajętości kanału. Służą do tego celu specjalne, krótkie pakiety, nieszyfrowane, ani w żaden sposób nie objęte uwierzytelnianiem. Używając celowo powiekszonych tzw. ramek RTS, napastnik łatwo doprowadzi do zablokowania medium.

20 Podsumowanie Niewątpliwie wynika z podanych przykładów, że sieci WiFi nie są właściwie zabezpieczone, co naraża je na przeróżne ataki. Jak chronić WLAN w takiej sytuacji przykłady remediów: Ukrywanie identyfikatorów sieci (SSID); Nieużywanie WEP i WPA w trybie PSK; Stosowanie bezpiecznych protokołów https, sftp, ssh; Skonfigurowanie środowiska do stosowania VPN; Stosowanie 802.1x i obustronnego uwierzytelniania, jeśli to tylko mozliwe; Uruchomienie systemu IDS w otoczeniu szczególnie ważnych AP; Bluetooth Standard IEEE , znany jako Bluetooth, definiuje metody komunikacji bezprzewodowej w sieciach WPAN (Wireless Personal Area Networks). Sieci WPAN są używane do przesyłania informacji na małe odległości w obrębie małej, zaufanej grupy urządzeń członków grupy. W przeciwieństwie do WLAN, połączenie w obrębie WPAN nie używa prawie żadnej infrastruktury do połączenia się ze światem zewnętrznym. Dzięki temu można używać małych i tanich rozwiązań. Minisieć Bluetooth (piconet) Bluetooth ma typowy zasięg rzędu kilku metrów, ale pewne urządzenia umożliwiają komunikację na odległości rzędu 100m. Pojawiły się

21 doniesienia o pokonaniu odległości 1.5 km. To świadczy o tym, że komunikacja Bluetooth może być jednak narażona na ataki. Protokół Bluetooth ma 3 tryby pracy: Brak wymuszenia aktywnego zabezpieczenia (tryb 1), Bezpieczeństwo usług (tryb 2), z dwoma pod-trybami: niezaufane urządzenie i zaufane urządzenie to ma dostęp do wszystkich usług, Bezpieczeństwo na poziomie urządzenia (tryb 3): o Usługi wymagają uwierzytelnienia i autoryzacji, o Usługi wymagają uwierzytelnienia, o Otwarte usługi (dla wszystkich urządzeń). Kombinacje zabezpieczenia trybów pracy dla układu Master-Slave W trybie 1 występuje brak zabezpieczeń i można go stosować w niekrytycznych aplikacjach. Obowiązkowe jest podtrzymywanie uwierzytelniania, ale wyzwanie nie będzie nigdy wysłane. Jeśli urządzenie wspiera szyfrowanie, powinno zażądać jego włączenia do pracy. W trybie 2 zapewniamy pewien poziom zabezpieczeń usług i aplikacje o różnych wymaganiach mogą pracować równolegle. Usługi stają się dostępne tylko dla autoryzowanych urządzeń. Reguły bezpieczeństwa są wymuszane podczas ustanawiania kanału (L2CAP) lub połączenia (np. SDP, RFCOMM). W trybie 3 mamy sytuacje podobną do tej w trybie 2 z tym wyjątkiem, że zabezpieczenia są badane przed ustanowieniem kanału. Menedżer połączeń LM (Link Manager) zapewnia jednolity poziom zabezpieczeń dla wszystkich usług. Możliwe są 2 tryby pracy: wymuszone uwierzytelnianie lub wymuszone uwierzytelnianie i szyfrowanie.

22 Podstawowe pojęcia dot. bezpieczeństwa w Bluetooth Model bezpieczeństwa w Bluetooth bazuje na kryptografii symetrycznej do uwierzytelniania, szyfrowania danych i generacji kluczy. Dwa urządzenia muszą najpierw przeprowadzić uwierzytelnianie na poziomie połączenia (link-level). Jako klucze szyfrujące (link-keys) są używane 128-bitowe, losowe wartości przypisane do każdej pary urządzeń. Te klucze są stosowane zarówno do uwierzytelniania Klucz szyfrujący dane jest wyprowadzony z tego klucza. Mamy kilka typów kluczy: Półtrwałe klucze (link keys): o Kombinacyjne wytworzone na podstawie danych dostarczonych przez dwa urządzenia; utrzymywane tylko przez te urządzenia; o Jednostkowe mogą być stosowane przez wiele urządzeń w tym samym czasie; wytwarzane przez urządzenie do stosowania z innymi urządzeniami. Tymczasowe (link keys) używane do komunikatów typu broadcast (bez uwierzytelniania); tylko członkowie minisieci mają ten klucz: o Inicjalizacyjne krótkoterminowe klucze tworzone i stosowane podczas konfigurowania współpracy dwóch urządzeń; o Główne (Master) do ustawienia środowiska przed wysłaniem zaszyfrowanego komunikatu typu broadcast w piconecie od mastera do slave ów. Szyfrujące: o Encryption Key (EK) główny klucz sterujący szyfrowaniem; o Obcięty EK (Constrained Encryption Key - CEK) wyprowadzony z EK i podlegający ograniczeniom prawnym; od 8 do 128 bitów długości; o Payload Key wyprowadzony z CEK; służy do inicjacji generatora klucza. Urządzenie będące w stanie połączenia akceptuje kontakty od wszystkich innych urządzeń. Stwarza to możliwość ataków typu DoS flood.

23 Ustanawianie połączenia Bluetooth

24 Gdy dwa urządzenia chcą wymienić dane, zaczynają proces konfiguracji. W tej fazie (pairing process) jest tworzony klucz połączenia (link key). Użytkownik musi manualnie wprowadzić PIN (do 128 bitów długości), często krótszy (ok. 4 cyfry). Niektóre urządzenia mają wbudowane numery PIN I wówczas uzgadnianie klucza przebiega automatycznie. Jest to jednak zagrożenie dla bezpieczeństwa jeśli napastnik uzyska dostęp do takiego PIN, będzie miał nieuprawniony dostęp do sieci! Klucz inicjalizacyjny jest generowany na podstawie PIN, które są sprawdzane pod kątem identyczności. Jeśli tak jest, to 128-bitowy klucz połączenia po wygenerowaniu jest przechowywany w obu urządzeniach. Ta faza nie musi być powtarzana, jeśli są nadal przechowywane klucze połączeniowe. Uwierzytelnianie (challenge-response) przebiega w jednym kierunku. Sprawdzający wysyła wyzwanie i sprawdza otrzymaną odpowiedź, która powinna być zaszyfrowana kluczem połączeniowym. W przypadku wzajemnego uwierzytelniania proces musi być powtórzony z zamianą ról. W celu ochrony przed atakami typu DoS, czas odstępu pomiędzy kolejnymi próbami uwierzytelniania narasta wykładniczo do pewnej wartości maksymalnej. Nowy klucz szyfrujący jest wytwarzany na podstawie klucza połączenia, dla każdej sesji inny. Klucz CEK zawsze będą miały 128 bitów, ale ich rzeczywista entropia waha się od 8 do 128 bitów. Szyfrowanie danych w Bluetooth odbywa się przy użyciu szyfru strumieniowego, zaimplementowanego sprzętowo. Klucz PK (inicjalizator generatora klucza szyfru strumieniowego) jest wytwarzany przy użyciu 4 ciągów: Adresu urządzenia BD_ADDR 48 bitów; Prywatny CEK (Constrained Encryption Key), od 8 do 128 bitów; Pseudolosowa liczba RAND, często zmieniana liczba 128-bitowa wytworzona przez urządzenie; Zegar 26 bitów. Klucz PK jest ładowany do generatora klucza szyfru strumieniowego w celu rozpoczęcia szyfrowania. Klucz szyfrujący jest sumowany (XOR) z tekstem jawnym lub szyfrogramem w celu wytworzenia, odpowiednio, szyfrogramu lub tekstu jawnego. Suma kontrolna CRC jest podawana na szyfrator razem z tekstem jawnym. Podobnie jak w , nagłówek pakietu nie jest szyfrowany.

25 Ataki na Bluetooth Stosunkowo niedojrzała technologia daje pewne możliwości ataków na protokół. Niektóre z nich są typowe dla wszystkich protokołów tej klasy (podsłuchiwanie i kryptoanaliza), a pozostałe możliwe dzięki niedoskonałościom implementacji. Podsłuchiwanie Bardzo rzadko zdarza się połączenie Bluetooth nieszyfrowane, ale dla szyfrowanych są możliwe różne ataki: Korelacyjne skupiają się na odkryciu stanu początkowego generatora klucza, z użyciem liczby operacji rzędu np do analizy 2 34 bitów. Układy równań nieliniowych również bardzo czasochłonne. Sabotaż na danych Atak podobny do podmiany bitów w sieciach Ponieważ w Bluetooth algorytmy używają funkcji XOR z użyciem jako argumentów bitów klucza i tekstu jawnego, to po przechwyceniu ramki można dodać do niej modulo 2 wybrany specjalnie ciąg bitów. Algorytm CRC ma liniowy charakter, więc te zmiany nie będą zauważalne. Możliwy jest także atak brutalny (jak zawsze). Szanse na niewykrycie zmiany wynoszą 2-16, co jest wartością znaczącą. Ponadto podczas takiego ataku znacząco spadnie przepustowość sieci. Ataki typu Denial of Service Wiele urządzeń blokuje się i wchodzi w stan ponownej inicjalizacji po otrzymaniu zniekształconej wiadomości (np. Nokia 6310i). Nie można nad tym zapanować, tak więc atak jest niezwykle skuteczny. Typowym atakiem jest BlueSmack, korzystający z funkcji echo protokołu L2CAP. Zniekształcona wiadomość przesłana do urządzenia ofiary powoduje przepełnienie bufora. SNARF Niektóre urządzenia pozwalają zewnętrznym użytkownikom na dołączenie się do Bluetooth bez ostrzeżenia o tym właściciela urządzenia. Dzięki temu można wykraść niekiedy wartościowe dane zawartość książki numerów, kalendarza, a nawet numer IMEI urządzenia. Ponadto zmodyfikowane dane mogą być odesłane z powrotem do urządzenia mobilnego bez pozostawienia jakiegokolwiek śladu ingerencji. Lekarstwem jest ograniczenie widzialności urządzenia.

26 Bluetooth Backdoor Ten atak jest przeprowadzany podczas nawiązywania połączenia. Po udanym nawiązaniu łączności informacja o nim jest wymazywana z pamięci ofiary, ale klucz pozostaje zachowany w bazie danych. Od tego momentu napastnik może swobodnie wnikać do urządzenia ofiary bez ostrzeżenia. W ten sposób mogą być także infiltrowane zaufane usługi takie jak modemy i bramy WAP/Internet. Bluebug Atak polega na utworzeniu połączenia dla łącza szeregowego, dającego dostęp do zestawu poleceń typu AT. To pozwala napastnikowi na prawie pełne przejęcie funkcji telefonu: wysyłanie SMS-ów, prowadzenie rozmów, zarządzanie połączeniami, dostęp do usług i bram, a nawet obserwowanie połączeń GSM w zasięgu urządzenia. Bluejacking Bluejacking oznacza działanie, w którym napastnik zmyślnie przekonuje właściciela urządzenia, aby ustanowił połączenie z urządzeniem atakującego. Scenariusz opiera się na poziomie naiwności ofiary. Po ustanowieniu połączenia są wyświetlane nazwy urządzeń. Przeznaczone na to pole może mieć do 248 znaków, tak więc wiele ludzi machinalnie mogą wpisać swój numer PIN po ujrzeniu komunikatu do tego zachęcającego (typowy atak wykorzystujący psychoanalizę). Wirusy Wirusy I robaki stanowią poważne zagrożenie dla sieci Bluetooth. Ponieważ aktualizacja software urządzeń jest trudna, a oprogramowanie antywirusowe pochłania znaczne zasoby urządzenia, to mamy dość kłopotliwą sytuację. Jednym z popularnych wirusów w sieci Bluetooth jest Cabir, zaprojektowany dla telefonów komórkowych Symbian 60.

27 Inne wirusy typu Symbian: Skulls wirus typu trojan dla Symbian 60, udający aplikację Macromedia Flash Player; pozostawia kopię robaka Cabir i blokuje inne aplikacje; Lasco.A robak dla Symbian 60; replikuje się. Wysyłając pliki zawierające jego kod; MetalGear tez robak typu Cabir; udaje grę na urządzenia Symbian. Problemy związane z przechowywaniem kluczy Ujawnienie kluczy tajnych niesie duże zagrożenie dla ich właścicieli. Napastnik może podszyć się pod taką osobę, pod warunkiem, że zna adres urządzenia ofiary. Klucze Bluetooth są bardziej podatne na kradzież, bo niekiedy są przechowywane jawnie w plikach urządzeń takich jak PDA. Śledzenie urządzeń Osobiste urządzenie Bluetoot może pomóc hakerom lub przestępcom namierzyć jego właściciela. Najbardziej widocznym unikalnym identyfikatorem jest BD_ADDR. Okresowo urządzenie wysyła swój adres do sieci w ramach ramek FHS (Frequency Hop Synchronization). BD_ADDR ma 48 bitów długości i składa się z trzech części: mniej znacząca część adresu LAP (24 msb), bardziej znacząca część adresu (8 środkowych bitów) i część nieznacząca (16 lsb). Mniej znacząca część adresu jest podstawą do budowy kodów dostępu, przesyłanych na początku ramki. Przechwycone losowo ramki mogą pozwolić na identyfikację urządzenia i jego właściciela. Wyróżniamy kilka scenariuszy ataków. Podsumowanie Większość popularnych ataków w Bluetooth następuje w trybie poszukiwania urządzeń I nawiązywania połączenia. Częściowym lekarstwem jest przełączenie urządzenia na tryb blokujący jego poszukiwanie. Wówczas łączność jest możliwa tylko przy znajomości jego BD_ADDR. Jednak najbezpieczniej wyłączyć Bluetooth I nawiązywać połączenia tylko wtedy, gdy to jest niezbędne. Ważną kwestią jest wybór długiego kodu PIN.

28 Opis WiMax W 2001 r. opublikowano standard , zwany WiMax, który definiuje technologię metropolitarnych sieci bezprzewodowych (WMAN). Teoretyczna prędkość transmisji to 75Mb/s, a odległości pomiędzy stacjami mogą wynosić kilkanaście kilometrów. To świadczy o możliwości zastąpienia sieci przewodowych. Istnieją dwie wersje WiMax: starsza, stacjonarna wersja (2004) d, i Nowa wersja mobilna, ciągle rozwijana e. Protokół e (Mobile WiMax) ma szereg udoskonaleń w stosunku do normy d, a najbardziej znaczące to wsparcie mobilności, modulacja OFDMA do transmisji i zaawansowane techniki bezpieczeństwa włącznie z zarządzaniem kluczami PKMv2. Typowa sieć WiMax składa się z przynajmniej jednej stacji bazowej(bs) i wielu stacji klienckich SS (Subscriber Station). Protokół składa się z czterech warstw: fizyczna, podwarstwa MAC bezpieczeństwa, ogólna podwarstwa MAC (MAC CPS), i podwarstwa konwergencji MAC (MAC CS). Warstwa fizyczna dostarcza zunifikowanego interfejsu dla warstwy MAC. Warstwy protokołu

29 Podstawowe założenia dot.bezpieczeństwa Dla WiMax wyróżniamy 2 podstawowe protokoły bezpieczeństwa: protokół opakowujący (ecapsulation), który definiuje zestaw parametrów kryptograficznych uzgadnianych pomiędzy BS i SS (protokoły szyfrujące dane i uwierzytelniania oraz zasady ich stosowania); protokół zarządzania kluczami, definiujący metodę zarządzania kluczami podczas połączenia; w d jest stosowany PKMv1 (Privacy Key Management ver. 1) lub w e protokół PKMv2. Na poziomie MAC wykorzystuje się pojęcie Security Associations (SA), używane do ustanowienia komunikacji pomiędzy BS i SS. Obejmuje ono klucze szyfrujące ruch (TEK Traffic Encryption Key) i wartości IV dla szyfrów. W standardzie zdefiniowano trzy typy SA: Główne (Primary) SA: unikalne dla każdego SS; ustanowione podczas inicjalizacji SS; identyfikator SA (SAID) ma wartość ustawioną w korelacji z identyfikatorem połączenia (CID) w którym SS działa; Statyczne SA: używany do celów wewnętrznych BS; Dynamiczne SA: tworzone i niszczone razem ze zmianami w ruchu (komunikacji, połączeniach). Klucze przypisane BS i związane z danym SA mają ograniczony czas ważności i SS powinien ubiegać się o nowe klucze przed upłynięciem tego czasu. PKMv1 PKM protokół zarządzania kluczami pomiędzy BS i SS obejmuje okresową ponowną autoryzację i odświeżenie klucza. W PKM korzysta się z certyfikatów X.509 i szyfrowania 3DES w architekturze klient-serwer, gdzie BS jest serwerem, a SS klientem. Najpierw ustanawiany jest współdzielony tajny klucz AK (Authorization Key) pomiędzy BS i SS, używany do wymiany i odświeżania kluczy TEK. Każda stacja SS ma certyfikat typu X.509 wydany przez wytwórcę sprzętu i związany z numerem urządzenia. Klucz publiczny RSA z tego certyfikatu jest bezpośrednio wbudowany w sprzęt, razem z dodatkowymi informacjami takimi jak adres MAC, numer seryjny i identyfikator producenta. Po otrzymaniu kopii certyfikatu urządzenia SS stacja bazowa BS sprawdza jego składnię i wysyła klucz AK zaszyfrowany kluczem publicznym SS. Stacja SS używa następnie swego klucza prywatnego do odszyfrowania AK. Przechwycenie tej wiadomości nie zagraża niczemu, ponieważ tylko SS dysponuje odpowiednim kluczem prywatnym. Wbudowanie klucza

30 prywatnego w sprzęcie zapobiega kradzieży tożsamości. Przestrzeń AK ma 16 pozycji, ponieważ nr AK w wiadomościach MAC ma 4 bity. BS stara się utrzymać dwa klucze AK w danym czasie w celu podtrzymania synchronizacji. Zarządzanie kluczem AK pomiędzy BS i SS W następnej fazie klucze TEK musi uzyskać SS. Każdy z ciągów SAID włączonych w komunikacie autoryzacyjnym z BS buduje nowy stan generatora TEK w SS. Każda z tych maszyn zarządza materiałem klucza dla odpowiedniego SAID (włączając odświeżanie). Aby uzyskać klucze

31 TEK, SS używa stosownej wiadomości zawierającej, m.in., ciąg SAID dla którego żąda klucza i skrót wiadomości HMAC, uwierzytelniający to żądanie. BS sprawdza skrót HMAC i w wypadku zgodności wysyła nowy materiał klucza do SS, włączając TEK (chroniony za pomocą szyfrowania 3DES), wektor IV dla trybu CBC, sekwencje klucza dla przesyłanego TEK i jego okres ważności. Szyfrowanie 3-DES używa klucza KEK (Encryption Key), wyprowadzonego z ciągu AK. Zarządzanie kluczami TEK pomiędzy SS i BS Klucze AK i TEK mają nachodzące na siebie okresy ważności, aby umożliwić przejście od starego materiału klucza do nowego. Przełączenie AK jest względnie proste, ponieważ wiadomości zaszyfrowane kluczem AK wędrują w jednym kierunku - od BS do SS. Klucz TEK jest używany do szyfrowania obustronnej komunikacji, więc przełączanie kluczy jest bardziej złożone.

32 Wybrane problemy związane z protokołem PKMv1 1. W PKMv1 korzysta się z DES i 3-DES. 3-DES można uznać za całkiem bezpieczny, natomiast DES został złamany. 2. Ponadto w protokole PKMv1 brakuje uwierzytelniania BS. Każdy użytkownik dysponujący odpowiednim sprzętem może zbudować fałszywą stacje bazową BS. 3. Możliwe jest także przeprowadzenie wielu typów ataków powtórzeniowych na PKMv1. Szczególnie komunikaty zarządzające w żaden sposób nie są przed nimi zabezpieczone. 4. Funkcja HMAC to SHA-1, która to jest jednak podatna na ataki kolizyjne. Na szczęście skróty są wyliczane na podstawie kluczy wyprowadzonych z kluczy AK, które maja losowy charakter. 5. Innym problemem jest mała wydajność algorytmu 3-DES, szczególnie w porównaniu z AES. 6. Możliwe jest także przeprowadzenie wielu ataków typu DoS. PKMv2 PKMv2 to znacznie poprawiona wersja protokołu PKM. Najbardziej znaczącą zmianą jest użycie AES w trybie CCM (Counter Mode Cipher Block Chaining Message Authentication Code) do wszystkich szyfrowań. Tryb CCM specjalnie zaprojektowano do pakietowej transmisji danych. Wątpliwej jakości protokół HMAC zastąpiono CMAC (Cipher based Message Authentication Code). Ponadto jest możliwe obustronne uwierzytelnienie SS i BS. Procesy uwierzytelniania i autoryzacji zostały rozdzielone, dając lepszy margines bezpieczeństwa. Uwierzytelnianie bazuje na protokole EAP. Użytkownicy mogą także wybrać RSA do uwierzytelniania.

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006 Bezpieczeństwo w sieciach bezprzewodowych WiFi Krystian Baniak Seminarium Doktoranckie Październik 2006 Wprowadzenie Agenda Problemy sieci bezprzewodowych WiFi Architektura rozwiązań WiFi Mechanizmy bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo bezprzewodowych sieci LAN 802.11

Bezpieczeństwo bezprzewodowych sieci LAN 802.11 Bezpieczeństwo bezprzewodowych sieci LAN 802.11 Maciej Smoleński smolen@students.mimuw.edu.pl Wydział Matematyki Informatyki i Mechaniki Uniwersytetu Warszawskiego 16 stycznia 2007 Spis treści Sieci bezprzewodowe

Bardziej szczegółowo

Marcin Szeliga marcin@wss.pl. Sieć

Marcin Szeliga marcin@wss.pl. Sieć Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie

Bardziej szczegółowo

Metody uwierzytelniania klientów WLAN

Metody uwierzytelniania klientów WLAN Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013 W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2 Opcje autentykacji

Bardziej szczegółowo

Bezpieczeństwo w 802.11

Bezpieczeństwo w 802.11 Bezpieczeństwo w 802.11 WEP (Wired Equivalent Privacy) W standardzie WEP stosuje się algorytm szyfrujący RC4, który jest symetrycznym szyfrem strumieniowym (z kluczem poufnym). Szyfr strumieniowy korzysta

Bardziej szczegółowo

Dr Michał Tanaś(http://www.amu.edu.pl/~mtanas)

Dr Michał Tanaś(http://www.amu.edu.pl/~mtanas) Dr Michał Tanaś(http://www.amu.edu.pl/~mtanas) Sieci przewodowe Ethernet Standard IEEE 802.3 Wersja Base-T korzystająca ze skrętki telefonicznej jest w chwili obecnej jedynym powszechnie używanym standardem

Bardziej szczegółowo

Bezpieczeństwo sieci bezprzewodowych

Bezpieczeństwo sieci bezprzewodowych Bezpieczeństwo sieci bezprzewodowych CONFidence 2005 // Kraków // Październik 2005 Agenda Sieci bezprzewodowe LAN 802.11b/g 802.11a Sieci bezprzewodowe PAN Bluetooth UWB Sieci bezprzewodowe PLMN GSM/GPRS/EDGE

Bardziej szczegółowo

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna

Bardziej szczegółowo

WLAN bezpieczne sieci radiowe 01

WLAN bezpieczne sieci radiowe 01 WLAN bezpieczne sieci radiowe 01 ostatnim czasie ogromną popularność zdobywają sieci bezprzewodowe. Zapewniają dużą wygodę w dostępie użytkowników do zasobów W informatycznych. Jednak implementacja sieci

Bardziej szczegółowo

Sieci bezprzewodowe WiFi

Sieci bezprzewodowe WiFi Sieci bezprzewodowe WiFi przegląd typowych ryzyk i aspektów bezpieczeństwa IV Konferencja Bezpieczeństwa Informacji Katowice, 25 czerwca 2013r. Grzegorz Długajczyk ING Bank Śląski Czy sieci bezprzewodowe

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów: Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Środowisko IEEE 802.1X określa się za pomocą trzech elementów: Protokół 802.1X Hanna Kotas Mariusz Konkel Grzegorz Lech Przemysław Kuziora Protokół 802.1X jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i scentralizowane uwierzytelnianie

Bardziej szczegółowo

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania. Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Eduroam - swobodny dostęp do Internetu

Eduroam - swobodny dostęp do Internetu Eduroam - swobodny dostęp do Internetu Mariusz Krawczyk Pion Głównego Informatyka PK Mariusz.Krawczyk@pk.edu.pl Seminarium eduroam PK, 24.05.2006 Tomasz Wolniewicz UCI UMK Uczestnicy - świat Seminarium

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

SSL (Secure Socket Layer)

SSL (Secure Socket Layer) SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,

Bardziej szczegółowo

Kryteria bezpiecznego dostępu do sieci WLAN

Kryteria bezpiecznego dostępu do sieci WLAN Paweł RYGIELSKI, Dariusz LASKOWSKI Wydział Elektroniki, Wojskowa Akademia Techniczna, E mail: pawelryg@gmail.com, dariusz.laskowski@wel.wat.edu.pl Kryteria bezpiecznego dostępu do sieci WLAN Streszczenie:

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne

Bezpieczeństwo teleinformatyczne Bezpieczeństwo teleinformatyczne BIULETYN TEMATYCZNY Nr 1 /czerwiec 2007 Bezpieczeństwo sieci WiFi www.secuirty.dga.pl Spis treści Wstęp 3 Sieci bezprzewodowe 4 WEP 4 WPA 6 WPA2 6 WPA-PSK 6 Zalecenia 7

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows

Bardziej szczegółowo

Topologie sieci WLAN. Sieci Bezprzewodowe. Sieć stacjonarna (infractructure) Sieć tymczasowa (ad-hoc) Access Point. Access Point

Topologie sieci WLAN. Sieci Bezprzewodowe. Sieć stacjonarna (infractructure) Sieć tymczasowa (ad-hoc) Access Point. Access Point dr inż. Krzysztof Hodyr Sieci Bezprzewodowe Część 4 Topologie sieci WLAN sieć tymczasowa (ad-hoc) sieć stacjonarna (infractructure) Topologie sieci WLAN Standard WiFi IEEE 802.11 Sieć tymczasowa (ad-hoc)

Bardziej szczegółowo

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11 Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie

Bardziej szczegółowo

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński Wykład 4 Protokoły SSL i TLS główne slajdy 26 października 2011 Instytut Informatyki Uniwersytet Jagielloński 4.1 Secure Sockets Layer i Transport Layer Security SSL zaproponowany przez Netscape w 1994

Bardziej szczegółowo

Bezpiecze nstwo systemów komputerowych Igor T. Podolak

Bezpiecze nstwo systemów komputerowych Igor T. Podolak Wykład 12 Wireless Fidelity główne slajdy 21 grudnia 2011 i, WPA, WPA2 Instytut Informatyki Uniwersytet Jagielloński 12.1 Wireless Personal Area Network WPAN Bluetooth, IrDA, HomeRF, etc. niska moc, przepustowość

Bardziej szczegółowo

Protokoły zdalnego logowania Telnet i SSH

Protokoły zdalnego logowania Telnet i SSH Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który

Bardziej szczegółowo

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client Jako że oprogramowanie Odyssey Client zapewnia pełną kontrolę nad interfejsem bezprzewodowym, zlecane jest wyłącznie

Bardziej szczegółowo

Przemysław Jaroszewski CERT Polska / NASK

Przemysław Jaroszewski CERT Polska / NASK Bluetooth Zagrożenia w teorii i praktyce Przemysław Jaroszewski CERT Polska / NASK Agenda Wprowadzenie Bezpieczeństwo protokołu Bezpieczeństwo implementacji Złośliwe oprogramowanie Podsumowanie Czym jest

Bardziej szczegółowo

Szyfrowanie WEP. Szyfrowanie WPA

Szyfrowanie WEP. Szyfrowanie WPA Jeżeli planujemy korzystać z sieci bezprzewodowej, musimy ją tak skonfigurować, aby tylko wybrane osoby miały do niej dostęp. W innym wypadku staniemy się ofiarami bardzo powszechnych włamań, ktoś niepożądany

Bardziej szczegółowo

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna 1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez

Bardziej szczegółowo

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS)

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS) Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS) Paweł Zadrąg, Grzegorz Olszanowski Państwowa WyŜsza Szkoła Zawodowa w Chełmie Artykuł przedstawia metodę bezpiecznego i autoryzowanego nawiązywania

Bardziej szczegółowo

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z

Bardziej szczegółowo

Bezpieczeństwo sieci WiFi. Krzysztof Cabaj II PW Krzysztof Szczypiorski IT PW

Bezpieczeństwo sieci WiFi. Krzysztof Cabaj II PW Krzysztof Szczypiorski IT PW Bezpieczeństwo sieci WiFi Krzysztof Cabaj II PW Krzysztof Szczypiorski IT PW Plan wykładu Wprowadzenie WiFi a inne sieci radiowe Podstawy działania sieci WiFi Zagrożenia Sposoby zabezpieczania Przykładowe

Bardziej szczegółowo

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5 Strona 1 z 5 Połączenia Obsługiwane systemy operacyjne Korzystając z dysku CD Oprogramowanie i dokumentacja, można zainstalować oprogramowanie drukarki w następujących systemach operacyjnych: Windows 8

Bardziej szczegółowo

1.Wprowadzenie WLAN. Bezpieczeństwo w Systemach Komputerowych. Literatura. Wprowadzenie Rodzaje sieci bezprzewodowych.

1.Wprowadzenie WLAN. Bezpieczeństwo w Systemach Komputerowych. Literatura. Wprowadzenie Rodzaje sieci bezprzewodowych. Bezpieczeństwo w Systemach Komputerowych WLAN 1. 2. 3. Zagrożenia dla WEP/WPA/WPA2 Haking 12/2010, WPA2-PSK Haking 11/2010, niekonwencjonalne ataki Haking 9/2008, Hakowanie Wi-Fi Haking 4/2008, Hakowanie

Bardziej szczegółowo

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz. Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.pl Zagadnienia związane z bezpieczeństwem Poufność (secrecy)

Bardziej szczegółowo

Alokacja zasobów w kanałach komunikacyjnych w LAN i MAN

Alokacja zasobów w kanałach komunikacyjnych w LAN i MAN Alokacja zasobów w kanałach komunikacyjnych w LAN i MAN Single broadcast channel - random access, multiaccess Statyczna ( FDM,TDM etc.) Wady słabe wykorzystanie zasobów, opóznienia Dynamiczne Założenia:

Bardziej szczegółowo

IPsec bezpieczeństwo sieci komputerowych

IPsec bezpieczeństwo sieci komputerowych IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany

Bardziej szczegółowo

Zastosowania informatyki w gospodarce Wykład 9

Zastosowania informatyki w gospodarce Wykład 9 Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 9 Bezpieczeństwo płatności kartami Zagrożenia sieci bezprzewodowych dr inż. Dariusz Caban dr inż. Jacek Jarnicki

Bardziej szczegółowo

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego

Bardziej szczegółowo

Bezpieczeństwo w sieciach bezprzewodowych standardu 802.11 KRZYSZTOF GIERŁOWSKI

Bezpieczeństwo w sieciach bezprzewodowych standardu 802.11 KRZYSZTOF GIERŁOWSKI Bezpieczeństwo w sieciach bezprzewodowych standardu 802.11 KRZYSZTOF GIERŁOWSKI WEP (Wired Equivalent Privacy) Podstawowy protokół bezpieczeństwa zdefiniowany w standardzie IEEE 802.11b. Podstawowe cele

Bardziej szczegółowo

Dlaczego Meru Networks architektura jednokanałowa Architektura jednokanałowa:

Dlaczego Meru Networks architektura jednokanałowa Architektura jednokanałowa: Dlaczego architektura jednokanałowa Architektura jednokanałowa: Brak konieczności planowania kanałów i poziomów mocy na poszczególnych AP Zarządzanie interferencjami wewnątrzkanałowymi, brak zakłóceń od

Bardziej szczegółowo

Bezpieczeństwo kart elektronicznych

Bezpieczeństwo kart elektronicznych Bezpieczeństwo kart elektronicznych Krzysztof Maćkowiak Karty elektroniczne wprowadzane od drugiej połowy lat 70-tych znalazły szerokie zastosowanie w wielu dziedzinach naszego życia: bankowości, telekomunikacji,

Bardziej szczegółowo

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa Wykład 4 135 Uwierzytelnianie jako element procesu projektowania bezpieczeństwa Microsoft w Windows 2003 Server położył szczególny nacisk na bezpieczeństwo, które w najnowszej wersji Windows było najważniejszym

Bardziej szczegółowo

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE 802.11 Bezpieczeństwo sieci WiFi

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE 802.11 Bezpieczeństwo sieci WiFi dr inż. Krzysztof Hodyr Sieci Bezprzewodowe Część 4 Topologie sieci WLAN sieć tymczasowa (ad-hoc) sieć stacjonarna (infractructure) Topologie sieci WLAN Standard WiFi IEEE 802.11 Bezpieczeństwo sieci WiFi

Bardziej szczegółowo

Zastosowania PKI dla wirtualnych sieci prywatnych

Zastosowania PKI dla wirtualnych sieci prywatnych Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy

Bardziej szczegółowo

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski Email: ltomasze@elka.pw.edu.pl

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski Email: ltomasze@elka.pw.edu.pl Bezpieczeństwo VoIP SIP & Asterisk Autor: Leszek Tomaszewski Email: ltomasze@elka.pw.edu.pl Zakres tematyczny 1/2 Bezpieczeństwo VoIP Protokół sygnalizacyjny (SIP) Strumienie medialne (SRTP) Asterisk Co

Bardziej szczegółowo

SET (Secure Electronic Transaction)

SET (Secure Electronic Transaction) SET (Secure Electronic Transaction) Krzysztof Maćkowiak Wprowadzenie SET (Secure Electronic Transaction) [1] to protokół bezpiecznych transakcji elektronicznych. Jest standardem umożliwiający bezpieczne

Bardziej szczegółowo

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12

Bardziej szczegółowo

Bezpieczna poczta i PGP

Bezpieczna poczta i PGP Bezpieczna poczta i PGP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Poczta elektroniczna zagrożenia Niechciana poczta (spam) Niebezpieczna zawartość poczty Nieuprawniony dostęp (podsłuch)

Bardziej szczegółowo

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH Paweł Pokrywka SSH - Secure Shell p.1/?? Co to jest SSH? Secure Shell to protokół umożliwiający przede wszystkim zdalne wykonywanie komend.

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet

Sieci komputerowe. Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet Sieci komputerowe Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet Zadania warstwy łącza danych Organizacja bitów danych w tzw. ramki Adresacja fizyczna urządzeń Wykrywanie błędów Multipleksacja

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia

Bardziej szczegółowo

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Bezpieczeństwo sieci teleinformatycznych Laboratorium 5 Temat: Polityki bezpieczeństwa FortiGate. Spis treści 2. Cel ćwiczenia...

Bardziej szczegółowo

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu

The OWASP Foundation http://www.owasp.org. Session Management. Sławomir Rozbicki. slawek@rozbicki.eu The OWASP Foundation http://www.owasp.org Session Management Sławomir Rozbicki slawek@rozbicki.eu 28-07-2011 OWASP TOP 10 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session

Bardziej szczegółowo

Monitoring, detekcja i ochrona przed atakami sieci bezprzewodowych

Monitoring, detekcja i ochrona przed atakami sieci bezprzewodowych Monitoring, detekcja i ochrona przed atakami sieci bezprzewodowych Cel ćwiczenia Celem ćwiczenia jest zapoznanie się ze metodami zabezpieczeń sieci beprzewodowych. przed atakami. Monitorowanie parametrów

Bardziej szczegółowo

Konfiguracja standardowa (automatyczna) podłączenia dekodera do istniejącej sieci Wi-Fi

Konfiguracja standardowa (automatyczna) podłączenia dekodera do istniejącej sieci Wi-Fi Definicje Moduł Wi-Fi TP-Link router TP-Link TL-WR702n podłączany do dekodera kablami USB (zasilanie), Ethernet (transmisja danych), umożliwiający połączenie się dekodera z istniejącą siecią Wi-Fi Użytkownika

Bardziej szczegółowo

Jak łamać zabezpieczenia WEP/WPA/WPA2

Jak łamać zabezpieczenia WEP/WPA/WPA2 TUTORIAL Jak łamać zabezpieczenia WEP/WPA/WPA2 Autor: ozyrusa@gmail.com SPIS TREŚCI 1. PIERWSZE KROKI... 2 1.1. URUCHOMIENIE TRYBU MONITOR NA KARCIE BEZPRZEWODOWEJ... 2 1.2. PIERWSZE KOTY ZA PŁOTY CZYLI

Bardziej szczegółowo

Emil Wilczek. Promotor: dr inż. Dariusz Chaładyniak

Emil Wilczek. Promotor: dr inż. Dariusz Chaładyniak Emil Wilczek Promotor: dr inż. Dariusz Chaładyniak Warszawa 2011 TESTY I ANALIZY Wydajności sieci celem jest sprawdzenie przy jakich ustawieniach osiągane są najlepsze wydajności, Zasięgu sieci - sprawdzanie

Bardziej szczegółowo

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point Routery Vigor oznaczone symbolem G (np. 2900Gi), dysponują trwale zintegrowanym koncentratorem radiowym, pracującym zgodnie ze standardem IEEE 802.11g i b. Jest to zbiór protokołów, definiujących pracę

Bardziej szczegółowo

USŁUGI DODATKOWE W SIECIACH BEZPRZEWODOWYCH VoIP oraz multimedia w sieciach WiFi problemy

USŁUGI DODATKOWE W SIECIACH BEZPRZEWODOWYCH VoIP oraz multimedia w sieciach WiFi problemy Seminarium poświęcone sieci bezprzewodowej w Politechnice Krakowskiej - projekt Eduroam USŁUGI DODATKOWE W SIECIACH BEZPRZEWODOWYCH VoIP oraz multimedia w sieciach WiFi problemy Wprowadzenie Problematyka

Bardziej szczegółowo

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). . ZyXEL Communications Polska, Dział Wsparcia Technicznego Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia

Bardziej szczegółowo

Usługi sieciowe systemu Linux

Usługi sieciowe systemu Linux Usługi sieciowe systemu Linux 1. Serwer WWW Najpopularniejszym serwerem WWW jest Apache, dostępny dla wielu platform i rozprowadzany w pakietach httpd. Serwer Apache bardzo często jest wykorzystywany do

Bardziej szczegółowo

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki: WDS (ang. Wireless Distribution System) jest to bezprzewodowy system dystrybucji. Służy on do bezprzewodowego połączenia dwóch punktów dostępu AP. Zaimplementowano dwa tryby pracy systemu WDS: bridge -

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Bezpieczeństwo informacji w systemach komputerowych

Bezpieczeństwo informacji w systemach komputerowych Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania

Bardziej szczegółowo

IEEE 802.11b/g. Asmax Wireless LAN USB Adapter. Instrukcja instalacji

IEEE 802.11b/g. Asmax Wireless LAN USB Adapter. Instrukcja instalacji IEEE 802.11b/g Asmax Wireless LAN USB Adapter Instrukcja instalacji Nowości, dane techniczne http://www.asmax.pl Sterowniki, firmware ftp://ftp.asmax.pl/pub/sterowniki Instrukcje, konfiguracje ftp://ftp.asmax.pl/pub/instrukcje

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

Minisłownik pojęć sieciowych

Minisłownik pojęć sieciowych Rozdział 11 Minisłownik pojęć sieciowych Pracując nad niniejszą książką, starałem się używać możliwie jak najmniej fachowych słów i pojęć, ale niestety nie zawsze było to możliwe. Dlatego w tym rozdziale

Bardziej szczegółowo

Zadania z sieci Rozwiązanie

Zadania z sieci Rozwiązanie Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)

Bardziej szczegółowo

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Laboratorium nr 5 Podpis elektroniczny i certyfikaty Laboratorium nr 5 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi

Bardziej szczegółowo

Bezprzewodowa technologia MAXg MAXymalny zasięg, wydajność, bezpieczeństwo i prostota w sieciach 802.11g

Bezprzewodowa technologia MAXg MAXymalny zasięg, wydajność, bezpieczeństwo i prostota w sieciach 802.11g Bezprzewodowa technologia MAXg MAXymalny zasięg, wydajność, bezpieczeństwo i prostota w sieciach 802.11g Opis technologii Technologia bezprzewodowa stała się niewątpliwie wszechobecna w środowisku komputerowym

Bardziej szczegółowo

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych. Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych. Uwierzytelnianie, autoryzacja i kontrola dostępu Funkcjonowanie internetu w dużej mierze opiera się na zaufaniu i kontroli

Bardziej szczegółowo

Trojan bankowy Emotet w wersji DGA

Trojan bankowy Emotet w wersji DGA Trojan bankowy Emotet w wersji DGA Warszawa 17/11/2014 CERT Orange Polska Strona 1 z 7 Trojan bankowy Emotet został zauważony kilka miesięcy temu. Od tej pory zdaje się być cyklicznie wykorzystywany w

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Sieci wirtualne VLAN cz. I

Sieci wirtualne VLAN cz. I Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania

Bardziej szczegółowo

Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise?

Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise? Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise? Michał Wróblewski Eksplozja popularności sieci bezprzewodowych znacząco zmieniła nasze podejście do sposobu korzystania

Bardziej szczegółowo

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server Konfiguracja IPSec Aby zainstalować OpenSWAN w popularnej dystrybucji UBUNTU (7.10) należy użyć Menedżera Pakietów Synaptics lub w konsoli wydać polecenia: sudo apt-get install openswan. Zostaną pobrane

Bardziej szczegółowo

SZYFROWANIE POŁĄCZEŃ

SZYFROWANIE POŁĄCZEŃ Łódź, 2014 r. JNS Sp. z o.o. ul. Wróblewskiego 18 93-578 Łódź NIP: 725-189-13-94 tel. +48 42 209 27 01, fax. +48 42 209 27 02 e-mail: biuro@jns.pl SZYFROWANIE POŁĄCZEŃ JNS Sp. z o.o. z siedzibą w Łodzi,

Bardziej szczegółowo

Warstwy i funkcje modelu ISO/OSI

Warstwy i funkcje modelu ISO/OSI Warstwy i funkcje modelu ISO/OSI Organizacja ISO opracowała Model Referencyjny Połączonych Systemów Otwartych (model OSI RM - Open System Interconection Reference Model) w celu ułatwienia realizacji otwartych

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Laboratorium nr 1 Szyfrowanie i kontrola integralności

Laboratorium nr 1 Szyfrowanie i kontrola integralności Laboratorium nr 1 Szyfrowanie i kontrola integralności Wprowadzenie Jedną z podstawowych metod bezpieczeństwa stosowaną we współczesnych systemach teleinformatycznych jest poufność danych. Poufność danych

Bardziej szczegółowo

MidpSSH - analiza bezpieczeństwa

MidpSSH - analiza bezpieczeństwa MidpSSH - analiza bezpieczeństwa Bartłomiej Bonarski Paweł Brach Gabriel Kłosiński Piotr Mikulski 18 marca 2009 Spis treści 1. Wstęp 3 2. Identyfikacja stron procesu 4 2.0.1 Użytkownicy posiadające domyślne

Bardziej szczegółowo

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007. Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007. Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk Bezpieczeństwo usługi VoIP opartej na systemie Asterisk Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT 2007 Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk Bydgoszcz,

Bardziej szczegółowo

(BSS) Bezpieczeństwo w sieciach WiFi szyfrowanie WEP.

(BSS) Bezpieczeństwo w sieciach WiFi szyfrowanie WEP. Do wykonania ćwiczenia będą potrzebne dwa komputery wyposażone w bezprzewodowe karty sieciową oraz jeden Access Point. 1. Do interfejsu sieciowego komputera, z uruchomionym systemem Windows XP podłącz

Bardziej szczegółowo

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak Protokół TCP/IP Protokół TCP/IP (Transmission Control Protokol/Internet Protokol) to zestaw trzech protokołów: IP (Internet Protokol), TCP (Transmission Control Protokol), UDP (Universal Datagram Protokol).

Bardziej szczegółowo

PORÓWNANIE TECHNOLOGII ZABEZPIECZEŃ W SIECIACH BEZPRZEWODOWYCH

PORÓWNANIE TECHNOLOGII ZABEZPIECZEŃ W SIECIACH BEZPRZEWODOWYCH POLITECHNIKA ŚLĄSKA WYDZIAŁ INŻYNIERII MATERIAŁOWEJ I METALURGII Kierunek: Edukacja techniczno informatyczna Rodzaj studiów: Studia inżynierskie Praca dyplomowa inżynierska Janina MAZUR PORÓWNANIE TECHNOLOGII

Bardziej szczegółowo

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Laboratorium 6.7.2: Śledzenie pakietów ICMP Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy Fa0/0 192.168.254.253 255.255.255.0

Bardziej szczegółowo

PORADNIKI. Atak SMB Man-In-The-Middle

PORADNIKI. Atak SMB Man-In-The-Middle PORADNIKI Atak SMB Man-In-The-Middle Atak SMB Man-In-The-Middle Ponieważ system Windows automatycznie próbuje się zalogować jako bieżący użytkownik,jeśli żadna inna informacja uwierzytelniania nie jest

Bardziej szczegółowo

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd SSL VPN Virtual Private Network with Secure Socket Layer Wirtualne sieci prywatne z bezpieczną warstwą gniazd Autorem niniejszej prezentacji jest Paweł Janicki @ 2007 SSL The Secure Socket Layer Protokół

Bardziej szczegółowo

terminologia sieci Ryszard Kijanka

terminologia sieci Ryszard Kijanka terminologia sieci Ryszard Kijanka 802.11a Standard IEEE sieci bezprzewodowej o maksymalnej, szybkości przesyłania danych wynoszącej 54 Mb/s i częstotliwości pracy 5 GHz. 802.11b Standard IEEE sieci bezprzewodowej

Bardziej szczegółowo

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych Zarządzanie systemami informatycznymi Bezpieczeństwo przesyłu danych Bezpieczeństwo przesyłu danych Podstawy szyfrowania Szyfrowanie z kluczem prywatnym Szyfrowanie z kluczem publicznym Bezpieczeństwo

Bardziej szczegółowo

TP-LINK 8960 Quick Install

TP-LINK 8960 Quick Install TP-LINK 8960 Quick Install (na przykładzie Neostrady) Podłączenie urządzenia Konfiguracja połączenia xdsl Włącz swoją przeglądarkę internetową i w polu adresowym wpisz http://192.168.1.1/ i naciśnij klawisz

Bardziej szczegółowo

Sieci komputerowe. Wykład 2: Sieci LAN w technologii Ethernet. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe. Wykład 2: Sieci LAN w technologii Ethernet. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe Wykład 2: Sieci LAN w technologii Ethernet Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 2 1 / 21 Sieci LAN LAN: Local Area Network sieć

Bardziej szczegółowo

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Protokół SSL/TLS Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 04 SSL BSK 2009/10 1 / 30 Algorytmy

Bardziej szczegółowo

Tworzenie połączeń VPN.

Tworzenie połączeń VPN. Tworzenie połączeń VPN. Lokalne sieci komputerowe są jedną z najistotniejszych funkcji sieci komputerowych. O ile dostęp do sieci rozległej (Internet) jest niemal wymagany do codziennego funkcjonowania

Bardziej szczegółowo