Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Podobne dokumenty
Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Bezpieczeństwo bezprzewodowych sieci LAN

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Marcin Szeliga Sieć

Dr Michał Tanaś(

Bezpieczeństwo w

Typy zabezpieczeń w sieciach Mariusz Piwiński

SSL (Secure Socket Layer)

Bezpiecze nstwo systemów komputerowych Igor T. Podolak

Podstawy Secure Sockets Layer

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Wydział Elektryczny. Katedra Telekomunikacji i Aparatury Elektronicznej. Kierunek: Inżynieria biomedyczna. Instrukcja do zajęć laboratoryjnych

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE Bezpieczeństwo sieci WiFi

WLAN 2: tryb infrastruktury

Serwery autentykacji w sieciach komputerowych

Protokoły zdalnego logowania Telnet i SSH

Eduroam - swobodny dostęp do Internetu

Bezpieczeństwo teleinformatyczne

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS)

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise?

Bezpieczeństwo w sieciach bezprzewodowych standardu KRZYSZTOF GIERŁOWSKI

Bezpieczeństwo sieci WiFi. Krzysztof Cabaj II PW Krzysztof Szczypiorski IT PW

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

SAGEM Wi-Fi 11g CARDBUS ADAPTER Szybki start

Authenticated Encryption

Minisłownik pojęć sieciowych

Konfiguracja WDS na module SCALANCE W Wstęp

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

1.Wprowadzenie WLAN. Bezpieczeństwo w Systemach Komputerowych. Literatura. Wprowadzenie Rodzaje sieci bezprzewodowych.

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Metody uwierzytelniania klientów WLAN

Bezpieczeństwo bezprzewodowych sieci WiMAX

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

WLAN bezpieczne sieci radiowe 01

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Bezprzewodowa technologia MAXg MAXymalny zasięg, wydajność, bezpieczeństwo i prostota w sieciach g

Opakowanie karty DWL-G520 powinno zawierać następujące pozycje: Dysk CD (ze Sterownikami, Podręcznikiem i Gwarancją)

ZiMSK. Konsola, TELNET, SSH 1

Bezpieczeństwo systemów komputerowych.

Analizując sieci bezprzewodowe WLAN należy zapoznać się z pewnymi elementami, które są niezbędne do prawidłowego funkcjonowania struktury:

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

Karta sieci bezprzewodowej AirPlus Xtreme G 2.4 GHz Cardbus. Dysk CD (ze sterownikami i podręcznikiem użytkownika)

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

(Nie)bezpieczeństwo bezprzewodowych sieci lokalnych (WLAN)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Ćwiczenie dla dwóch grup. 1. Wstęp.

Zastosowania informatyki w gospodarce Wykład 9

PIXMA MG5500. series. Przewodnik konfiguracji

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Bezpieczeństwo sieci bezprzewodowych

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

BEZPIECZEŃSTWO HOTSPOTÓW W AUTOBUSACH

Uwagi dla użytkowników sieci bezprzewodowej

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Adresowanie karty sieciowej

Usuwanie ustawień sieci eduroam

Kryteria bezpiecznego dostępu do sieci WLAN

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Nowy klucz jest jedynie tak bezpieczny jak klucz stary. Bezpieczeństwo systemów komputerowych

Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Bringing privacy back

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Bezpieczeństwo sieci bezprzewodowych w standardzie

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Tytuł oryginału: Cryptography and Network Security: Principles and Practice, Fifth Edition

Uwierzytelnianie w sieci x Zabezpieczenie krawędzi sieci - dokument techniczny

Warstwa łącza danych. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa. Sieciowa.

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Konfiguracja punktu dostępowego Cisco Aironet 350

Zdalne logowanie do serwerów

WSIZ Copernicus we Wrocławiu

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

2 Kryptografia: algorytmy symetryczne

Protokół IPsec. Patryk Czarnik

Konfiguracja standardowa (automatyczna) podłączenia dekodera do istniejącej sieci Wi-Fi

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

WDS tryb repeater. Aby utworzyć WDS w trybie repeater należy wykonać poniższe kroki:

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski ltomasze@elka.pw.edu.pl

(BSS) Bezpieczeństwo w sieciach WiFi szyfrowanie WEP.

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Szczegółowy opis przedmiotu zamówienia:

Adresy w sieciach komputerowych

Transkrypt:

Bezpieczeństwo w sieciach WLAN 802.11 1 2 Aspekty bezpieczeństwa Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami wszystkie usługi związane z WEP Wired Equivalent Privacy 3 4 WEP Wired Equivalent Privacy WEP szyfrowanie Cel: Przy pomocy szyfrowania zapewnić poziom bezpieczeństwa przewodowych sieci lokalnych. Cechy: Siła w tajności klucza, eksport poza USA (klucz 40 bitowy), użycie WEP jako opcji. W rezultacie cel nie został osiągnięty na skutek niewłaściwego użycia szyfru RC4 i braku zarządzania kluczami. Wykorzystuje mechanizm klucza wspólnego z symetrycznym szyfrem RC4 + (XOR) IV wiadomość CRC 32 Strumień klucza (IV, K) Postać zaszyfrowana 5 6

7 8 klucze WEP statycznie skonfigurowane we wszystkich elementach sieci, można zdefiniować do 4 kluczy na urządzenie, ale do szyfrowania wychodzącej ramki można użyć tylko jednego, szyfrowanie stosowane tylko do ramek danych i podczas uwierzytelniania, szyfrowaniu podlegają dane oraz wartość ICV (Integrity Check Value), wektory IV nie są szyfrowane Programy do łamania kluczy WEP AirSnort Aircrack WepLab 9 10 802.11 uwierzytelnienie Uwierzytelnienie otwarte Otwarty typ uwierzytelnienia Punkt dostępowy akceptuje stację bez jakichkolwiek zastrzeżeń Uwierzytelnienia typu współdzielonego klucza oparte na WEP polega na wykazaniu faktu posiadania tajnego klucza mechanizm wymiany uwierzytelniającej: wyzwanieodpowiedź klient 1. Żądanie uwierzytelnienia 2.Odpowiedź na żądanie (pozytywna) AP 11 12

Uwierzytelnianie ze współdzielonym kluczem WEP WPA Wi-Fi Protected Access (WPA) klient z kluczem WEP 123456 1. Żądanie uwierzytelnienia 2.Odpowiedź na żądanie (wezwanie) tekst jawny 3. Żądanie uwierzytelnienia (zaszyfrowane wezwanie) 4. Odpowiedź na żądanie (status) AP punkt dostępu z kluczem WEP 123456 Temporal Key Integrity Protocol (TKIP) Message Integrity Check (MIC) EAP i 802.1x 13 14 Uwierzytelnienie przez EAP i 802.1x Protokół EAP (Extensible Authentication Protocol) polega na sekwencji pytań i odpowiedzi między jednostką uwierzytelniającą a stacją roboczą. W zależności od otrzymanych odpowiedzi przydziela dostęp lub nie. EAP znalazł zastosowanie w specyfikacji 802.1x nazywanej kontrolą dostępu do sieci na podstawie uwierzytelniania portów. 15 serwer uwierzytelniania 802.1x Szkielet uwierzytelniania WERYFIKATOR 802.11X Ruch 802.1x przez port niekontrolowany suplikant 802.1x Normalny ruch przez port kontrolowany sieć chroniona 16 Uwierzytelnienie przez EAP i 802.1x klient 1 2 5 6 9 Punkt Dostępowy AP 1. Punkt dostępowyżąda od klienta podania tożsamości 2. Klient podaje do AP swoją tożsamość 3. AP przekazuje informację o otwartym porcie do serwera RADIUS. 4. Serwer RADIUS żąda uwierzytelnienia od klienta 5. AP przesyła żądanie 4. do klienta. 6. Odpowiedź klienta na 5.zawiera np. hasło lub poprawne szyfrowanie zawartego w żądaniu 4. ciągu znaków. 7. Przekazanie odpowiedzi do serwera RADIUS 8. Serwer RADIUS sprawdza odpowiedź i przekazuje odpowiednią informację do AP 9. AP udostępnia kontrolowany port i przesyła z niego komunikat do klienta 3 4 7 8 Serwer RADIUS 17 Algorytm uwierzytelniania WPA oraz 802.11i nie narzucają konkretnych algorytmów uwierzytelniania, zalecane są takie algorytmy, które obsługują: wzajemne uwierzytelnianie na bazie użytkowników, dynamiczne generowanie kluczy szyfrowania, 18

TKIP właściwości Nowy algorytm zapewniania integralności komunikatów, Michael Mechanizm chroniący przed atakami wykorzystującymi powtórzenia nadawanych ramek Wykorzystuje ten sam hardware co algorytm WEP Wprowadza mechanizmy informowania o tym, że sieć jest atakowana (w przeciwieństwie do WEP) KLUCZ wyprowadzony z 802.1X Key / 128 / 80 klucz I fazy Poufność danych 32 starsze bity z IV MAC nadajnika / 32 / 48 / 128 WEP 16 bit IV KLUCZ jednoramkowy zaszyfrowana ramka danych niezaszyfrowana ramka danych 19 20 Integralność danych - MIC Pełny mechanizm szyfrowania TKIP docelowy MAC źródłowy MAC ładunek danych 802.11 32 bit IV Klucz MIC Michael TX MAC klucz I fazy klucz ramkowy Klucz 64 bit MIC klucz MIC 16 bit IV Dane / Ładunek 64 bit MIC 32 bit ICV TX MAC Michael ramka danych z kluczem MIC fragm. WEP szyfrowanie każdej ramki wysyłana ramka RX MAC ładunek danych 802.11 fragmenty zaszyfrowanej ramki 21 22 Zarządzanie kluczem 802.11i dwa podstawowe klucze: klucz szyfrowania i klucz MIC, klucz wyprowadzony w trakcie uwierzytelniania to klucz główny (master key), który jest wykorzystywany do wyprowadzania pozostałych kluczy, mechanizm generowania kluczy szyfrowania nosi nazwę czteroetapowego uzgadniania (four-way handshake) mechanizm zarządzania kluczami i ich dystrybucji wykorzystuje architekturę 802.1x Cele przyświecające powstawaniu standardu 802.11i: technologia dostępna dla wszystkich, brak ograniczeń patentowych na stosowane algorytmy elastyczna, adaptowalna architektura, nadająca się zarówno dla małych jak i dużych wdrożeń zewnętrzne recenzje, aby zminimalizować szanse na kolejny WEP 23 24

802.11i Rozszerzenie uwierzytelnienia Algorytmy zarządzania kluczami, w tym algorytmy generacji kluczy Mechanizmy ochrony w warstwie MAC: Kodowanie CCMP i opcjonalnie TKIP 25 26 802.11i 802.11i Faza uwierzytelniania 802.1x Fazy działania protokołu 802.11i 27 28 Hierarchia i dystrybucja kluczy 802.11i Hierarchia kluczy pojedynczych Bezpieczeństwo połączenia zależy od zbioru tajnych kluczy. Każdy klucz ma ograniczony czas ważności i odpowiada za określony proces. Celem fazy trzeciej jest generacja i wymiana kluczy. 29 30

802.11i Hierarchia kluczy grupowych Nonce - liczba losowa Nonce 1 generowana przez AP Nonce 2 generowana przez Klienta 31 32 802.11i Faza generowania i dystrybucji kluczy Negocjacja czteroetapowa Potwierdzenie, ze klient faktycznie zna klucz PMK Wygenerowanie nowego klucza PTK Instalacja kluczy szyfrowania i integralności Szyfrowanie transportu klucza GTK Potwierdzenie wyboru zestawu szyfrów 33 34 Negocjacja czteroetapowa Negocjacja dwuetapowa 35 36

Szyfrowanie TKIP (Temporal Key Integrity Protocol) Szyfrowanie CCMP (Counter-Mod/Cipher Block Chaining Message Authentication Code Protocol) 37 38 Blok szyfrowania CCMP Tryb CCM 39 40 Nie wszystkie problemy związane z ochroną danych zostały rozwiązane w standardzie 802.11i: Komunikaty grupowe zabezpieczane są wspólnym kluczem, a więc poufność ograniczona jest do grupy Brak zabezpieczenia dla ramek typu Management Brak zabezpieczeń w warstwie PHY Podsumowanie Wyłączyć rozgłaszanie SSID przez AP Włączyć szyfrowanie WEP z max kluczem Włączyć szyfrowanie dla wszystkich klientów w sieci Regularnie aktualizować klucz statyczny Stosować niestandardowe nazwy identyfikatorów SSID Używać długich i trudnych do zgadnięcia haseł WEP (20, 85) Sprawdzać regularnie pliki dzienników w poszukiwaniu nieznanych adresów MAC Na włączanie do sieci zezwalać tylko klientom o ustalonych adr. MAC Wyłączyć w AP serwer DHCP i zdefiniować ręcznie adresy IP komputerów w sieci Ustawić odpowiednio anteny nadawczo-odbiorcze Izolować AP od strony przewodowej LAN przy pomocy zapór ogniowych Jeśli to możliwe do autoryzacji połączeń wykorzystuj serwery RADIUS 41 42

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres