Bezpieczeństwo bezprzewodowych sieci WiMAX Krzysztof Cabaj 1,3, Wojciech Mazurczyk 2,3, Krzysztof Szczypiorski 2,3 1 Instytut Informatyki, Politechnika Warszawska, email: kcabaj@elka.pw.edu.pl 2 Instytut Telekomunikacji, Politechnika Warszawska, email: {wm, ksz}@tele.pw.edu.pl 3 SecGroup.PL - Network Security Group, Politechnika Warszawska 1
Plan Wprowadzenie do sieci WiMAX Wprowadzenie do bezpieczeństwa sieci radiowych Architektura bezpieczeństwa sieci WiMAX Protokół PKM Potencjalne luki w bezpieczeństwie sieci WiMAX Podsumowanie 2
Wprowadzenie do sieci WiMAX Główne parametry sieci WiMAX Tryby pracy Możliwe zastosowanie 3
Główne parametry Szerokopasmowa sieć radiowa Zasięg kilka km (teren zabudowany), 10 do kilkunastu km na terenie słabo zurbanizowanym Przewidywane przepustowości 45 Mbps na 20Mhz kanał Szacunkowo możliwe jest obsłużenie setek połączeń o prędkościach typu T1 i tysięcy o prędkościach typu DSL Możliwość pracy w trybie bez bezpośredniej widoczności (non-line-of-sight, NLOS) 4
Tryby pracy - topologie Point-to-Multipoint w sieci jest wyróżniony jeden węzeł (Base Station, BS) za pomocą którego prowadzona jest cała komunikacja pomiędzy stacjami abonenckimi (Subscriber Station, SS) W standardzie przewidziano tryb krata, jednak jako mało praktyczny nie zostaje on dalej omawiany 5
Tryby pracy przenoszenie stacji Sieci WiMAX mogą działać w różnych trybach związanych z przenoszeniem SS pomiędzy różnymi BS Tryby pracy Stacjonarny Nomadyczny Ruchomy 6
Tryby pracy przenoszenie stacji IEEE 802.16-2004 specyfikacja stacjonarna (i nomadyczna, różnica związana z koncesją oraz umową pomiędzy operatorem a klientem, a nie możliwościami technicznymi) IEEE 802.16e-2005 specyfikacja mobilna (mechanizm handover) 7
Zastosowania Idealne rozwiązanie problemu ostatniej mili (zalety transmisja NLOS, możliwość łatwej instalacji) W przyszłości jako medium dla danych multimedialnych (cyfrowe radio, TV), usługi Wideo na Żądanie (VoD) 8
Wprowadzenie do bezpieczeństwa sieci radiowych Zagrożenia dla sieci radiowych Porównanie bezpieczeństwa WiMAX z innymi sieciami 9
Zagrożenia Największym zagrożeniem dla sieci radiowych jest możliwość podsłuchu wymiany komunikatów przez wszystkich zainteresowanych Ataki na sieci radiowe można podzielić w następujący sposób 10
Zagrożenia Ataki Pasywne Aktywne Podsłuch danych Monitorowanie ruchu Podszycie się (maskarada) Powtórzenie Modyfikacja Blokada usługi Poufność Uwierzytelnienie Integralność danych Kontrola dostępu i zabezpieczyć się następującymi usługami ochrony informacji 11
Porównanie bezpieczeństwa WiMAX z innymi sieciami Porównanie bezpieczeństwa WiFi i WiMAX Różnice w stosunku do WiFi Bezpieczeństwo w WiMAX jako podwarstwa warstwy MAC, integralna część standardu Użycie silnych algorytmów szyfrowania Rozwiązanie problemu dystrybucji klucza 12
Architektura bezpieczeństwa sieci WiMAX Wstęp Podłączenie urządzenia do sieci Asocjacja bezpieczeństwa Uwierzytelnienie Wymiana kluczy Szyfrowanie 13
Architektura bezpieczeństwa sieci WiMAX Bezpieczeństwo w sieci WiMAX jest integralna częścią standardu (podwarstwa bezpieczeństwa) Protokół PKM (Privacy Key Management) wykorzystywany do uwierzytelnienia i zarządzania kluczami 14
Podłączenie urządzenia do sieci 15
Asocjacja bezpieczeństwa W sieciach WiMAX można prowadzić wiele jednoczesnych komunikacji, każde oddzielnie zabezpieczone. Struktura w pamięci urządzenia (SS i BS) przechowująca wszelkie informacje na temat wynegocjowanych parametrów związanych z bezpieczeństwem dla danego połączenia nazywana jest asocjacja bezpieczeństwa (Security Association, SA) Struktura wypełniana po pozytywnym wyniku uwierzytelnienia stacji abonenckiej w stacji bazowej 16
Asocjacja bezpieczeństwa Zawartość SA Identyfikator danej asocjacji (SAID) Typ algorytmu szyfrowania i uwierzytelniania Wynegocjowane klucze sesyjne Jeśli potrzeba wektory inicjalizacyjne Dla każdego algorytmu trzymane są dwa komplety kluczy, umożliwia to przejście do nowego zestawu bez przerw w łączności 17
Asocjacja bezpieczeństwa Typy asocjacji bezpieczeństwa (Security Association, SA) Asocjacje statyczne, w tym podstawowa asocjacja (primary association) Asocjacje dynamiczne Asocjacje grupowe 18
Asocjacja bezpieczeństwa 19
Uwierzytelnianie Uwierzytelnienie stacji realizowane jest za pomocą protokołu PKM SS wysyła własny certyfikat do BS (wykorzystanie PKI stworzone na potrzeby sieci WiMAX) Po sprawdzeniu czy stacja ma prawo podłączyć się do sieci przechodzi do negocjacji parametrów połączenia 20
PKI w WiMAX 21
Wymiana kluczy Podczas uwierzytelniania stacji wymieniane są certyfikaty urządzeń abonenckich, w których znajdują się klucze publiczne RSA Za pomocą klucza publicznego, do stacji abonenckiej w bezpieczny sposób przekazywane są klucze służące do szyfrowania i zapewniania integralności danych użytkowych (szczegóły przy omawianiu protokołu PKM) 22
Szyfrowanie W przeciwieństwie do WiFi wykorzystani silne algorytmy szyfrowania danych użytkownika 3DES w trybie EDE (Encryption Decryption Encryption) ze 128 bitowym kluczem RSA z 1024 bitowym kluczem AES w trybie ECB (Electronic Code Book) z 128 bitowym kluczem dodany w standardzie 802.16e-2005 AES w trybie Key-Wrap ze 128 bitowym kluczem 23
Protokół PKM Wstęp Porównanie cech protokołów PKM (Privacy Key Management) w wersji 1 i 2 Hierarchie kluczy w PKM Przebieg procesu autoryzacji i uwierzytelnienia Zarządzanie kluczami 24
Protokół PKM Najważniejszy element architektury bezpieczeństwa opracowany specjalnie na potrzeby sieci WiMAX Odpowiedzialny za uwierzytelnienie, autoryzację oraz zarządzanie kluczami pomiędzy stacjami abonenckimi (Subscriber Station, SS) a stacjami bazowymi (Base Stadion, BS) Na podstawie wymienionych pomiędzy SS i BS danych wykorzystując PKM generowane są klucze służące zapewnieniu usług: poufności i integralności Dodatkowo PKM dba o synchronizację kluczy pomiędzy stronami komunikującymi się 25
PKM v1 i v2 - porównanie Wersja PKM Standard Najważniejsze cechy 1 802.16-2004 Możliwe jest jedynie jednostronne uwierzytelnienie SS w BS, Możliwość wykorzystania do uwierzytelnienia mechanizmu RSA, ale nie EAP (Extensible Authentication Protocol), Nie do końca bezpieczny sposób tworzenia części kluczy 2 802.16e-2005 Dwustronne uwierzytelnienie SS z BS, Nowa hierarchia, poprawione tworzenie i dystrybucja kluczy, Możliwość wykorzystania do uwierzytelnienia mechanizmów rodziny EAP (np. EAP-SIM, EAP-TLS), Możliwość wykorzystania oddzielnego serwera AAA do sprawdzenia otrzymanych przez BS danych uwierzytelniających, Nowe mechanizmy m.in. AES-CMAC, czy MBS (Multicast Broadcast Service) 26
Hierarchie kluczy w PKM 1/2 Celem wprowadzenia hierarchii kluczy jest zminimalizowanie potrzebnej mocy obliczeniowej (rezygnacja z RSA tylko do minimum, kryptografia asymetryczna wieloktrotnie wolniejsza) Za pomocą szyfrowania asymetrycznego przekazywany jest klucz główny, na jego podstawie generowane są kolejne potrzebne klucze 27
Hierarchie kluczy w PKM 2/2 Klucz AK (Authorization Key), główny klucz przesłany do stacji abonenckiej zabezpieczony RSA Klucz KEK (Key Encryption Key), który służy do bezpiecznej wymiany klucza szyfrującego TEK (Traffic Encryption Key) Klucze wykorzystywanych do zapewnienia integralności danych (klucze HMAC_KEY_D, HMAC_KEY_U). W PKMv2 dodane możliwość użycia do ochrony integralności CMAC (klucze CMAC_KEY_D, CMAC_KEY_U) 28
Hierarchia kluczy w PKMv1 Klucz AK (128 bitów), jak wspomniano, zarówno w stacji bazowej jak i abonenckiej jest wykorzystywany do wyliczenia kluczy KEK oraz HMAC_KEY_U i HMAC_KEY_D 29
Hierarchia kluczy w PKMv2 30
Przebieg autoryzacji i uwierzytelnienia w PKM v1 (1/2) Przebieg procesu autoryzacji i uwierzytelnienia pomiędzy SS i BS jest kontrolowany poprzez automat FSM tzw. Authorization State Machine W ramach automatu FSM tworzony i uruchamiany jest dla każdego identyfikatora asocjacji bezpieczeństwa (SAID) automat stanów i przejść TEK tzw. TEK FSM (do zapewniania synchronizacji kluczy sesyjnych) Oba automaty pozostają ze sobą w ścisłej zależności: FSM zarządza podległymi mu TEK FSM i może w przypadku braku uwierzytelnienia zablokować wszystkie podległe mu TEK FSM 31
Przebieg autoryzacji i uwierzytelnienia w PKM v1 (2/2) 32
Przebieg autoryzacji i uwierzytelnienia w PKM v2 Uwierzytelniane za pomocą RSA minimalnie zmienione (aby dostosować się do nowej hierarchii kluczy) Możliwość uwierzytelnienia dwustronnego. W PKMv2 umożliwiono wykorzystanie do uwierzytelnienia protokołów rodziny EAP Ułatwia to budowę sieci z dużą ilością stacji bazowych - EAP umożliwia przekazanie odpowiedzialności za uwierzytelnienie do oddzielnego serwera AAA Zaletą tej metody jest również zwiększenie funkcjonalności metod uwierzytelniania - przekazanie różnych danych służących identyfikacji klienta (np. certyfikaty klienta, czy dane z karty SIM) 33
Zarządzanie kluczami w PKMv1 Uzgadnianie kluczy pozwala na prowadzenie bezpiecznej komunikacji W PKMv1 do bezpiecznej wymiany pierwszego z kluczy wykorzystuje się kryptografię asymetryczną Zgłaszająca się stacja abonencka wysyła do stacji bazowej prośbę o klucz uwierzytelniający AK (Authorization Key), za pomocą którego będą wytworzone kolejne kluczę używane w dalszej części komunikacji Na podstawie tego klucza generowane są kolejne: klucz KEK (Key Encryption Key) służący do szyfrowania kluczy sesyjnych, które będą używane do szyfrowania danych przesyłanych w sieci, klucze HMAC_KEY_D, HMAC_KEY_U służące do zapewnienia integralności danych odpowiednio na łączach downlink oraz uplink 34
Zarządzanie kluczami w PKMv1 Stacja bazowa jest odpowiedzialna za zarządzanie i utrzymywanie kluczy oraz informacji służących do ich generowania, które następnie wykorzystywane są dla wszystkich istniejących asocjacji bezpieczeństwa Stacja abonencka natomiast dba o okresowe uaktualnianie tych informacji 35
Zarządzanie kluczami w PKMv2 Klucze, których używa się do zabezpieczenia integralności wiadomości zarządzających oraz szyfrowania danych, generowane są na podstawie informacji dostarczonych w trakcie procesu autoryzacji i uwierzytelnienia W zależności od tego jaka metoda uwierzytelnienia zostanie wybrana są to: dla algorytmu RSA jest to klucz pre-pak (pre-primary Authorization Key), dla algorytmu EAP jest to klucz MSK (Master Key). 36
Potencjalne luki w bezpieczeństwie sieci WiMAX Brak obowiązku sprawdzenia certyfikaty producenta oraz podpisania go przez zaufane centrum certyfikacji ( niepełne PKI ) W standardzie 802.11-2004 brak możliwości uwierzytelnienia stacji bazowej (możliwy atak typu Rogue BS) Możliwość wynegocjowania braku szyfrowania danych (opcjonalność podobna do tej z WiFi) 37
Podsumowanie Sieci WiMAX wydają się interesującą alternatywą dla operatorów ISP, umożliwiającą rozwiązania problemu ostatniej mili Bezpieczeństwo zostało potraktowane bardzo poważnie i nie grozi nam sytuacja z początków wdrażania sieci WiFi i braków w jej bezpieczeństwie W przyszłości bardzo ciekawa alternatywa dla dystrybucji cyfrowych mediów jak radio czy telewizja 38