Bezpieczeństwo teleinformatyczne



Podobne dokumenty
WLAN 2: tryb infrastruktury

Dr Michał Tanaś(

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Bezpieczeństwo bezprzewodowych sieci LAN

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS)

Konfiguracja WDS na module SCALANCE W Wstęp

WLAN bezpieczne sieci radiowe 01

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

WSIZ Copernicus we Wrocławiu

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Emil Wilczek. Promotor: dr inż. Dariusz Chaładyniak

132 4 Konfigurowanie urządzeń sieci bezprzewodowych

Wydział Elektryczny. Katedra Telekomunikacji i Aparatury Elektronicznej. Kierunek: Inżynieria biomedyczna. Instrukcja do zajęć laboratoryjnych

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

SAGEM Wi-Fi 11g CARDBUS ADAPTER Szybki start

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

Zdalne logowanie do serwerów

Bezpieczeństwo w

Szyfrowanie WEP. Szyfrowanie WPA

Podpis elektroniczny

Systemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność

Minisłownik pojęć sieciowych

Zastosowania informatyki w gospodarce Wykład 5

Typy zabezpieczeń w sieciach Mariusz Piwiński

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE Bezpieczeństwo sieci WiFi

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Podstawy bezpieczeństwa w sieciach bezprzewodowych

MikroTik jako Access Point

Metody zabezpieczania transmisji w sieci Ethernet

IEEE b/g. Asmax Wireless LAN USB Adapter. Instrukcja instalacji

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Konfiguracja standardowa (automatyczna) podłączenia dekodera do istniejącej sieci Wi-Fi

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

Sieciowe Systemy Operacyjne

1.Wprowadzenie WLAN. Bezpieczeństwo w Systemach Komputerowych. Literatura. Wprowadzenie Rodzaje sieci bezprzewodowych.

Rozwiązywanie problemów z DNS i siecią bezprzewodową AR1004g v2

Opakowanie karty DWL-G520 powinno zawierać następujące pozycje: Dysk CD (ze Sterownikami, Podręcznikiem i Gwarancją)

Podstawy Secure Sockets Layer

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

Bezpieczeństwo kart elektronicznych

Sieci bezprzewodowe WiFi

Konfiguracja routera ADSL ZyXEL Prestige 660H/HW do usług dostępu do Internetu: Neostrada (TPSA) Net24 (Netia) DialNet DSL (Dialog)

Przesyłania danych przez protokół TCP/IP

Podstawy obsługi aplikacji Generator Wniosków Płatniczych

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Eduroam - swobodny dostęp do Internetu

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

(BSS) Bezpieczeństwo w sieciach WiFi szyfrowanie WEP.

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

urządzenia: awaria układów ochronnych, spowodowanie awarii oprogramowania

Authenticated Encryption

Szyfry strumieniowe RC4. Paweł Burdzy Michał Legumina Sebastian Stawicki

Zarys algorytmów kryptograficznych

Kryteria bezpiecznego dostępu do sieci WLAN

Bezpieczeństwo informacji w systemach komputerowych

Karta sieci bezprzewodowej AirPlus Xtreme G 2.4 GHz Cardbus. Dysk CD (ze sterownikami i podręcznikiem użytkownika)

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Sieci VPN SSL czy IPSec?

Wprowadzenie do technologii VPN

Konfiguracja własnego routera LAN/WLAN

Bezpieczne Wi-Fi w szkole

Wersja dokumentacji1.01. TeleToken API

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

1. Przeznaczenie i budowa Instalacja i podłączenie Konfiguracja modułu Opis złącza interfejsu... 6

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

PRACA DYPLOMOWA INŻYNIERSKA

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

Szczegółowy opis przedmiotu zamówienia:

Technologie informacyjne - wykład 9 -

Sieci Komputerowe Mechanizmy kontroli błędów w sieciach

Bezpiecze nstwo systemów komputerowych Igor T. Podolak

Podstawy systemów kryptograficznych z kluczem jawnym RSA

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Bezpieczeństwo systemów komputerowych. Podpis cyfrowy. Podpisy cyfrowe i inne protokoły pośrednie

Klasyfikacja informacji

Nr modelu Serie SP 212/SP 213 Przewodnik po ustawieniach sieci bezprzewodowej

Wykład VI. Programowanie III - semestr III Kierunek Informatyka. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Warstwa łącza danych. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa. Sieciowa.

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

Jak łamać zabezpieczenia WEP/WPA/WPA2

Wykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Problemy z bezpieczeństwem w sieci lokalnej

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Protokoły zdalnego logowania Telnet i SSH

Marcin Szeliga Sieć

TP-LINK 8960 Quick Install

RSA. R.L.Rivest A. Shamir L. Adleman. Twórcy algorytmu RSA

INSTRUKCJA KONFIGURACJI USŁUGI

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Konfiguracja sieci bezprzewodowych Z menu Network zlokalizowanego w górnej części strony wybieramy pozycję Wireless.

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Instrukcja szybkiej instalacji

IEEE b/g. Asmax Wireless LAN USB Adapter. Instrukcja obsługi

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 ZABEZPIECZANIE DOSTĘPU DO SYSTEMÓW OPERACYJNYCH KOMPUTERÓW PRACUJĄCYCH W SIECI.

Transkrypt:

Bezpieczeństwo teleinformatyczne BIULETYN TEMATYCZNY Nr 1 /czerwiec 2007 Bezpieczeństwo sieci WiFi www.secuirty.dga.pl

Spis treści Wstęp 3 Sieci bezprzewodowe 4 WEP 4 WPA 6 WPA2 6 WPA-PSK 6 Zalecenia 7 Kontakt 8 2

WSTĘP Szanowni Państwo, oddajemy w Wasze ręce trzecie wydanie biuletynu tematycznego poświęconego ochronie informacji. Idea biuletynu jak i samego portalu www.security.dga.pl jest wynikiem działań naszej firmy, mających na celu popularyzację tematyki bezpieczeństwa informacji w sektorze prywatnym i publicznym na rynku polskim. Nasze doświadczenie w zakresie budowania systemów zarządzania bezpieczeństwem informacji oraz przeprowadzania audytów bezpieczeństwa teleinformatycznego pozwala nam doradzać Państwu w tym obszarze nie tylko poprzez usługi naszej firmy, ale równieŝ poprzez dostarczanie wiedzy z wykorzystaniem Internetu. Tematem kolejnego wydania biuletynu jest bezpieczeństwo sieci bezprzewodowych WiFi. Coraz częściej spotykamy w firmach rozwiązania sieci bezprzewodowych. Posiadają one swoje zalety szybkość budowy, niski koszt, uniwersalność. Do ich podstawowych wad zaliczyć moŝna jednak niski poziom bezpieczeństwa. Wiele funkcjonujących sieci bezprzewodowych w ogóle nie posiada uruchomionych zabezpieczeń, natomiast duŝa większość z tych zabezpieczonych sieci wykorzystuje algorytm WEP, który nie zapewnia bezpieczeństwa. Dlatego teŝ zdecydowaliśmy się właśnie ten obszar poruszyć w naszym biuletynie. Ufamy iŝ przedstawione informacje i zalecenia przyczynią się do podniesienia bezpieczeństwa sieci bezprzewodowych, z których Państwo korzystają oraz przede wszystkim zwrócą uwagę na zagroŝenia związane z korzystaniem z niezabezpieczonych sieci bezprzewodowych. Michał Borucki Dyrektor Departamentu Zarządzania, Doradztwo Gospodarcze DGA S.A. 3

SIECI BEZPRZEWODOWE Dane w konwencjonalnych sieciach komputerowych przesyłane są z wykorzystaniem okablowania. W celu odbierania, wysyłania lub manipulowania danymi, które przesyłane są w ten sposób, konieczne jest fizyczne przyłączenie komputera do koncentratora czy teŝ przełącznika. W skład podstawowej sieci bezprzewodowej wchodzą stacje klienckie oraz jeden lub więcej punktów dostępowych (Access Point). MoŜliwe jest równieŝ bezpośrednie połączenie dwóch komputerów pełniących rolę stacji klienckich połączenie takie często nazywamy połączeniem peer-to-peer lub ad-hoc. Bezprzewodowa transmisja danych moŝliwa jest dzięki wykorzystaniu fal radiowych. Sieci bezprzewodowe 802.11 wykorzystują do transmisji fale radiowe o częstotliwości 2,4 GHz lub 5 GHz. Dlatego teŝ dane przesyłane przez sieć 802.11, atakujący moŝe przechwycić z duŝej odległości, bez fizycznego dostępu do urządzeń wykorzystywanych do transmisji. Z tego teŝ względu tak waŝną rolę odgrywają w tej sytuacji mechanizmy zapewniające poufność przesyłanych danych. Do podstawowych protokołów zapewniających bezpieczeństwo sieci bezprzewodowych naleŝą: WEP, WPA, WPA-PSK oraz WPA2. Urządzenia pracujące w jednej sieci bezprzewodowej muszą mieć ustawioną taką samą wartość SSID (Service Set Identifier), który pełni rolę identyfikatora sieci oraz powinny korzystać z tego samego kanału częstotliwości przesyłania danych. WEP Specyfikacja 802.11 wykorzystuje protokół szyfrowania WEP (Wires Equivalent Policy). Protokół ten zapewnić miał bezpieczeństwo przesyłanych danych. Protokół WEP wykorzystywany jest w procesie uwierzytelniania, jak równieŝ w celu zapewnienia poufności, dzięki zaimplementowanemu algorytmowi szyfrowania symetrycznego RC4. Szyfr ten jest szyfrem symetrycznym, przez co wymagane jest, aby klucz uŝywany przez klienta był identyczny jak klucz punktu dostępowego. W standardzie określono wymaganą długość klucza na 40 bitów. Często jednak ze względu na niski poziom bezpieczeństwa związany z tak krótką długością klucza stosowane są klucze 104-bitowe. Wykorzystanie algorytmu symetrycznego powoduje problem z dystrybucją kluczy. W przypadku wielu uŝytkowników korzystających z tego samego punktu dostępowego, wymagane jest przekazanie im wszystkim tajnego klucza, co stwarza duŝe zagroŝenie jego ujawnienia osobom postronnym. Proces szyfrowania dla algorytmu WEP przebiega następująco: 1. W pierwszym kroku obliczana jest suma kontrolna ICV (Integrity Check Value) z pakietu danych, który ma zostać zaszyfrowany z wykorzystaniem algorytmu CRC-32. 2. Urządzenie przesyłające dane generuje, z wykorzystaniem generatora liczb pseudolosowych, 24-bitowy losowy wektor inicjujący (IV). 4

3. Wektor wraz z kluczem tajnym o długości 40 lub 104 bitów (IV k) tworzy klucz szyfrujący dla algorytmu RC4, wykorzystywany do szyfrowania transmisji. 4. Z wykorzystaniem algorytmu RC4 tworzona jest pseudolosowa sekwencja (RC4 (IV k)). 5. Szyfrowaniu poddawany jest pakiet danych przeznaczony do szyfrowania wraz z obliczoną sumą kontrolną (M ICV (M)). Szyfrowanie odbywa się z wykorzystaniem operacji sumowania modulo 2 i wygenerowanej sekwencji pseudolosowej RC4 (IV k). 6. W wyniku szyfrowania otrzymujemy szyfrogram: C = (M ICV(M)) (RC4(IV k)). 7. Do danych zaszyfrowanych dodawany jest wektor IV i całość (IV C) przesyłana jest przez sieć. W celu deszyfrowania odebranej wiadomości odbiorca musi znać tajny klucz k oraz wektor IV, który jest dołączony w sposób jawny do szyfrogramu. Algorytm WEP ma kilka słabości pozwalających na zaatakowanie sieci zabezpieczonej z wykorzystaniem tego algorytmu. Wielokrotne uŝycie tego samego wektora inicjującego powoduje, Ŝe przesyłane dane są znacznie bardziej podatne na ataki. Zastosowana długość wektora inicjującego jest zbyt krótka i istnieje duŝe zagroŝenie, iŝ wiele pakietów przesyłanych w sieci korzysta z tych samych wektorów IV. Zgodnie z paradoksem urodzin wystarczy juŝ 5000 pakietów, aby wektor IV powtórzył się z prawdopodobieństwem 50%. Ze względu na błędy w oprogramowaniu niektórych Access Pointów klucze tajne mogą być wpisywane tylko jako ciąg znaków ASCII co przy kluczu 40-bitowym powoduje spadek przestrzeni dopuszczalnych kluczy do 2 21 (około 2 miliony kluczy). Powoduje to, Ŝe sieć zabezpieczana takim kluczem jest podatna na ataki typu brute-force, polegającym na sprawdzeniu wszystkich moŝliwości. Kolejnym niebezpieczeństwem związanym z szyfrowaniem WEP jest zastosowany sposób sprawdzania poprawności otrzymanych danych. Zastosowano tutaj algorytm sumy kontrolnej CRC32. Jest to bardzo dobra metoda przy próbie ustalenia czy nastąpił błąd podczas transmisji. Jednak nie nadaje się on do ustalania czy ktoś wysłanej wiadomości nie modyfikował. Chcąc wysłać poprawną z punktu widzenia sprawdzania integralności wiadomość nie trzeba znać klucza WEP. Korzystając z darmowego oprogramowania dostępnego w Internecie wystarczy nasłuchiwać transmisję bezprzewodową przez kilkanaście minut (metoda przedstawiona przez specjalistów z Technische Universität Darmstadt) w celu złamania stosowanego klucza WEP. 5

WPA Ze względu na nikłe bezpieczeństwo w sieciach chronionych protokołem WEP, zaproponowany został algorytm WPA. Protokół ten został w duŝej mierze zaprojektowany, z myślą o współpracy z serwerami uwierzytelniania 802.1X. Jednak istnieje takŝe moŝliwość pracy w trybie pre-shared key, w którym kaŝdy z uŝytkowników musi podać hasło (takie samo dla wszystkich). Dane w tym protokole są szyfrowane za pomocą szyfru strumieniowego RC4 z 128 bitowym kluczem oraz 48 bitowym wektorem inicjalizującym. Zwiększenie rozmiaru wektora spowodowało, Ŝe czas potrzebny do złamania szyfru wzrósł znacząco. Chcąc jeszcze bardziej zwiększyć bezpieczeństwo sieci, WPA narzuca dynamiczną zmianę kluczy za pomocą protokołu TKIP (Temporary Key Integrity Protocol). Oprócz zmian w sposobie szyfrowania i wymuszenia uwierzytelniania w protokole WPA usunięto część odpowiedzialną za obliczanie sumy kontrolnej CRC. UŜycie CRC dawało moŝliwość zmiany treści informacji oraz adekwatnej sumy kontrolnej bez znajomości klucza. Zamiast CRC uŝyto bardziej bezpiecznego kryptograficznie algorytmu Michael. WPA2 24 czerwca 2004 roku został opublikowany standard 802.11i. Protokół WPA2 został stworzony z myślą o poprawieniu bezpieczeństwa i spełnieniu wszystkich załoŝeń 802.11i. W stosunku do WPA wprowadzono dwie podstawowe modyfikacje: zmieniono algorytm Michael na CCMP, zrezygnowano z RC4 na rzecz AES. WPA-PSK Hasła wykorzystywane w pre-shared key mode mogą składać się z 63 znaków ASCII lub 64 liczb heksadecymalnych. W przypadku korzystania z haseł prowadzanych za pomocą ciągu znaków ASCII hasło jest redukowane z 506 bitów (63*8bitów/znak) do 256 bitów za pomocą funkcji haszującej. Przy wybieraniu haseł naleŝy mieć świadomość, Ŝe proces uwierzytelniania moŝe zostać podsłuchany a zebrane dane wykorzystane do analizy w trybie off-line. Dlatego teŝ przy wybieraniu haseł naleŝy unikać ciągów znaków, które moŝna odgadnąć metodą słownikową. Aktualnie dostępne oprogramowanie do łamania haseł umoŝliwia sprawdzenie około 100 haseł na sekundę z wykorzystaniem zwykłej stacji roboczej. 6

ZALECENIA W artykule wskazano, Ŝe protokół WEP nie daje praktycznie Ŝadnej ochrony w sieci bezprzewodowej. Korzystanie z protokołu WPA2 (w starszych modelach AP: WPA) jest znacznie bezpieczniejsze. W przypadku korzystania z protokołów opartych na Pre Shared Key naleŝy jednak pamiętać, Ŝe istnieje moŝliwość ataku brutalnego oraz słownikowego, w związku z tym naleŝy wybierać długi klucz (co najmniej 8-10 znaków), który nie bazuje na zwrotach znajdujących się w słowniku. Dodatkowo by wzmocnić zabezpieczenia zalecane jest korzystanie z technologii VPN. Access Point naleŝy tak skonfigurować, aby moc sygnału była adekwatna do obszaru, na którym sieć bezprzewodowa jest uŝywana. Nazwa identyfikatora SSID nie powinna być ustawiona na domyślną wartość charakterystyczną dla danego urządzenia AP. Dodatkowo naleŝy wyłączyć rozgłaszanie identyfikatora sieciowego SSID. NaleŜy pamiętać, Ŝe sieć bezprzewodowa jest podatna na zagłuszanie sygnału oraz ataki typu Dos (Denial of Service). 7

KONTAKT Doradca Bezpieczeństwa www.security.dga.pl doradca.bezpieczenstwa@dga.pl Doradztwo Gospodarcze DGA S.A. ul. Towarowa 35, 61-896 Poznań tel. 61 859 59 00, fax.: 61 859 59 01 www.dga.pl dgasa@dga.pl Dyrektor Departamentu Zarządzania, Michał Borucki michal.borucki@dga.pl Wicedyrektor Departamentu Zarządzania, Tomasz Szała tomasz.szala@dga.pl Konsultacje w zakresie bezpieczeństwa teleinformatycznego: Krzysztof Maćkowiak krzysztof.mackowiak@dga.pl 8

DGA 2007

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres