Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Podobne dokumenty
Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Bezpieczeństwo bezprzewodowych sieci LAN

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Marcin Szeliga Sieć

Dr Michał Tanaś(

Bezpieczeństwo w

Typy zabezpieczeń w sieciach Mariusz Piwiński

SSL (Secure Socket Layer)

Bezpiecze nstwo systemów komputerowych Igor T. Podolak

Podstawy Secure Sockets Layer

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Wydział Elektryczny. Katedra Telekomunikacji i Aparatury Elektronicznej. Kierunek: Inżynieria biomedyczna. Instrukcja do zajęć laboratoryjnych

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Topologie sieci WLAN. Sieci Bezprzewodowe. Access Point. Access Point. Topologie sieci WLAN. Standard WiFi IEEE Bezpieczeństwo sieci WiFi

WLAN 2: tryb infrastruktury

Serwery autentykacji w sieciach komputerowych

Protokoły zdalnego logowania Telnet i SSH

Eduroam - swobodny dostęp do Internetu

Bezpieczeństwo teleinformatyczne

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Sieci bezprzewodowe z usługą zdalnego uwierzytelniania (RADIUS)

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Technologie Architectura Elementy sieci Zasada działania Topologie sieci Konfiguracja Zastosowania Bezpieczeństwo Zalety i wady

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Zabezpieczenia sieci bezprzewodowych, czyli dlaczego lokalne Wi-Fi z WPA/2 Enterprise?

Bezpieczeństwo w sieciach bezprzewodowych standardu KRZYSZTOF GIERŁOWSKI

Bezpieczeństwo sieci WiFi. Krzysztof Cabaj II PW Krzysztof Szczypiorski IT PW

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

SAGEM Wi-Fi 11g CARDBUS ADAPTER Szybki start

Authenticated Encryption

Minisłownik pojęć sieciowych

Konfiguracja WDS na module SCALANCE W Wstęp

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Podstawy bezpieczeństwa w sieciach bezprzewodowych

Wykorzystanie kontrolera sieci bezprzewodowej oraz serwera RADIUS

1.Wprowadzenie WLAN. Bezpieczeństwo w Systemach Komputerowych. Literatura. Wprowadzenie Rodzaje sieci bezprzewodowych.

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Metody uwierzytelniania klientów WLAN

Bezpieczeństwo bezprzewodowych sieci WiMAX

WEP: przykład statystycznego ataku na źle zaprojektowany algorytm szyfrowania

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

WLAN bezpieczne sieci radiowe 01

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Bezprzewodowa technologia MAXg MAXymalny zasięg, wydajność, bezpieczeństwo i prostota w sieciach g

Opakowanie karty DWL-G520 powinno zawierać następujące pozycje: Dysk CD (ze Sterownikami, Podręcznikiem i Gwarancją)

ZiMSK. Konsola, TELNET, SSH 1

Bezpieczeństwo systemów komputerowych.

Analizując sieci bezprzewodowe WLAN należy zapoznać się z pewnymi elementami, które są niezbędne do prawidłowego funkcjonowania struktury:

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Aby utworzyć WDS w trybie bridge należy wykonać poniższe kroki:

Karta sieci bezprzewodowej AirPlus Xtreme G 2.4 GHz Cardbus. Dysk CD (ze sterownikami i podręcznikiem użytkownika)

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

(Nie)bezpieczeństwo bezprzewodowych sieci lokalnych (WLAN)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Ćwiczenie dla dwóch grup. 1. Wstęp.

Zastosowania informatyki w gospodarce Wykład 9

PIXMA MG5500. series. Przewodnik konfiguracji

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Bezpieczeństwo sieci bezprzewodowych

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

BEZPIECZEŃSTWO HOTSPOTÓW W AUTOBUSACH

Uwagi dla użytkowników sieci bezprzewodowej

Uwierzytelnianie w sieci x Zabezpieczenie krawędzi sieci - dokument techniczny

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Adresowanie karty sieciowej

Usuwanie ustawień sieci eduroam

Kryteria bezpiecznego dostępu do sieci WLAN

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Nowy klucz jest jedynie tak bezpieczny jak klucz stary. Bezpieczeństwo systemów komputerowych

Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Bringing privacy back

Wymagania bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3-fazowych liczników energii elektrycznej. Wymaganie techniczne

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Bezpieczeństwo sieci bezprzewodowych w standardzie

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

Tytuł oryginału: Cryptography and Network Security: Principles and Practice, Fifth Edition

Warstwa łącza danych. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa. Sieciowa.

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Konfiguracja punktu dostępowego Cisco Aironet 350

Zdalne logowanie do serwerów

WSIZ Copernicus we Wrocławiu

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

2 Kryptografia: algorytmy symetryczne

Protokół IPsec. Patryk Czarnik

Konfiguracja standardowa (automatyczna) podłączenia dekodera do istniejącej sieci Wi-Fi

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

WDS tryb repeater. Aby utworzyć WDS w trybie repeater należy wykonać poniższe kroki:

Bezpieczeństwo VoIP SIP & Asterisk. Autor: Leszek Tomaszewski ltomasze@elka.pw.edu.pl

(BSS) Bezpieczeństwo w sieciach WiFi szyfrowanie WEP.

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Szczegółowy opis przedmiotu zamówienia:

Adresy w sieciach komputerowych

Transkrypt:

Bezpieczeństwo w sieciach WLAN 802.11 1

2

3

Aspekty bezpieczeństwa Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami wszystkie usługi związane z WEP Wired Equivalent Privacy 4

WEP Wired Equivalent Privacy Cel: Przy pomocy szyfrowania zapewnić poziom bezpieczeństwa przewodowych sieci lokalnych. Cechy: Siła w tajności klucza, eksport poza USA (klucz 40 bitowy), użycie WEP jako opcji. W rezultacie cel nie został osiągnięty na skutek niewłaściwego użycia szyfru RC4 i braku zarządzania kluczami. 5

WEP szyfrowanie Wykorzystuje mechanizm klucza wspólnego z symetrycznym szyfrem RC4 + (XOR) wiadomość CRC 32 Strumień klucza (IV, K) IV Postać zaszyfrowana 6

7

8

klucze WEP statycznie skonfigurowane we wszystkich elementach sieci, można zdefiniować do 4 kluczy na urządzenie, ale do szyfrowania wychodzącej ramki można użyć tylko jednego, szyfrowanie stosowane tylko do ramek danych i podczas uwierzytelniania, szyfrowaniu podlegają dane oraz wartość ICV (Integrity Check Value), wektory IV nie są szyfrowane 9

Programy do łamania kluczy WEP AirSnort Aircrack WepLab 10

802.11 uwierzytelnienie Otwarty typ uwierzytelnienia Punkt dostępowy akceptuje stację bez jakichkolwiek zastrzeżeń Uwierzytelnienia typu współdzielonego klucza oparte na WEP polega na wykazaniu faktu posiadania tajnego klucza mechanizm wymiany uwierzytelniającej: wyzwanieodpowiedź 11

Uwierzytelnienie otwarte klient 1. Żądanie uwierzytelnienia 2.Odpowiedź na żądanie (pozytywna) AP 12

Uwierzytelnianie ze współdzielonym kluczem WEP 1. Żądanie uwierzytelnienia klient z kluczem WEP 123456 2.Odpowiedź na żądanie (wezwanie) tekst jawny 3. Żądanie uwierzytelnienia (zaszyfrowane wezwanie) 4. Odpowiedź na żądanie (status) AP punkt dostępu z kluczem WEP 123456 13

WPA Wi-Fi Protected Access (WPA) Temporal Key Integrity Protocol (TKIP) Message Integrity Check (MIC) EAP i 802.1x 14

Uwierzytelnienie przez EAP i 802.1x Protokół EAP (Extensible Authentication Protocol) polega na sekwencji pytań i odpowiedzi między jednostką uwierzytelniającą a stacją roboczą. W zależności od otrzymanych odpowiedzi przydziela dostęp lub nie. EAP znalazł zastosowanie w specyfikacji 802.1x nazywanej kontrolą dostępu do sieci na podstawie uwierzytelniania portów. 15

serwer uwierzytelniania 802.1x Szkielet uwierzytelniania WERYFIKATOR 802.11X Ruch 802.1x przez port niekontrolowany Normalny ruch przez port kontrolowany sieć chroniona suplikant 802.1x 16

Uwierzytelnienie przez EAP i 802.1x klient 1 2 5 6 Punkt Dostępowy AP 3 4 7 Serwer RADIUS 9 8 1. Punkt dostępowyżąda od klienta podania tożsamości 2. Klient podaje do AP swoją tożsamość 3. AP przekazuje informację o otwartym porcie do serwera RADIUS. 4. Serwer RADIUS żąda uwierzytelnienia od klienta 5. AP przesyła żądanie 4. do klienta. 6. Odpowiedź klienta na 5.zawiera np. hasło lub poprawne szyfrowanie zawartego w żądaniu 4. ciągu znaków. 7. Przekazanie odpowiedzi do serwera RADIUS 8. Serwer RADIUS sprawdza odpowiedź i przekazuje odpowiednią informację do AP 9. AP udostępnia kontrolowany port i przesyła z niego komunikat do klienta 17

Algorytm uwierzytelniania WPA oraz 802.11i nie narzucają konkretnych algorytmów uwierzytelniania, zalecane są takie algorytmy, które obsługują: wzajemne uwierzytelnianie na bazie użytkowników, dynamiczne generowanie kluczy szyfrowania, 18

TKIP właściwości Nowy algorytm zapewniania integralności komunikatów, Michael Mechanizm chroniący przed atakami wykorzystującymi powtórzenia nadawanych ramek Wykorzystuje ten sam hardware co algorytm WEP Wprowadza mechanizmy informowania o tym, że sieć jest atakowana (w przeciwieństwie do WEP) 19

Poufność danych KLUCZ wyprowadzony z 802.1X Key / 128 32 starsze bity z IV MAC nadajnika / 32 / 48 układ mieszający / 80 klucz I fazy układ mieszający / 128 16 bit IV KLUCZ jednoramkowy WEP zaszyfrowana ramka danych niezaszyfrowana ramka danych 20

Integralność danych - MIC docelowy MAC źródłowy MAC ładunek danych 802.11 Klucz MIC Michael 64 bit MIC 16 bit IV Dane / Ładunek 64 bit MIC 32 bit ICV szyfrowanie każdej ramki wysyłana ramka 21

Pełny mechanizm szyfrowania TKIP 32 bit IV TX MAC układ mieszający klucz I fazy układ mieszający klucz ramkowy Klucz klucz MIC TX MAC Michael ramka danych z kluczem MIC fragm. WEP RX MAC ładunek danych 802.11 fragmenty zaszyfrowanej ramki 22

Zarządzanie kluczem dwa podstawowe klucze: klucz szyfrowania i klucz MIC, klucz wyprowadzony w trakcie uwierzytelniania to klucz główny (master key), który jest wykorzystywany do wyprowadzania pozostałych kluczy, mechanizm generowania kluczy szyfrowania nosi nazwę czteroetapowego uzgadniania (four-way handshake) mechanizm zarządzania kluczami i ich dystrybucji wykorzystuje architekturę 802.1x 23

802.11i Cele przyświecające powstawaniu standardu 802.11i: technologia dostępna dla wszystkich, brak ograniczeń patentowych na stosowane algorytmy elastyczna, adaptowalna architektura, nadająca się zarówno dla małych jak i dużych wdrożeń zewnętrzne recenzje, aby zminimalizować szanse na kolejny WEP 24

802.11i Rozszerzenie uwierzytelnienia Algorytmy zarządzania kluczami, w tym algorytmy generacji kluczy Mechanizmy ochrony w warstwie MAC: Kodowanie CCMP i opcjonalnie TKIP 25

26

802.11i Fazy działania protokołu 802.11i 27

802.11i Faza uwierzytelniania 802.1x 28

Hierarchia i dystrybucja kluczy Bezpieczeństwo połączenia zależy od zbioru tajnych kluczy. Każdy klucz ma ograniczony czas ważności i odpowiada za określony proces. Celem fazy trzeciej jest generacja i wymiana kluczy. 29

802.11i Hierarchia kluczy pojedynczych 30

Nonce - liczba losowa Nonce 1 generowana przez AP Nonce 2 generowana przez Klienta 31

802.11i Hierarchia kluczy grupowych 32

802.11i Faza generowania i dystrybucji kluczy 33

Negocjacja czteroetapowa Potwierdzenie, ze klient faktycznie zna klucz PMK Wygenerowanie nowego klucza PTK Instalacja kluczy szyfrowania i integralności Szyfrowanie transportu klucza GTK Potwierdzenie wyboru zestawu szyfrów 34

Negocjacja czteroetapowa 35

Negocjacja dwuetapowa 36

Szyfrowanie TKIP (Temporal Key Integrity Protocol) 37

Szyfrowanie CCMP (Counter-Mod/Cipher Block Chaining Message Authentication Code Protocol) 38

Blok szyfrowania CCMP 39

Tryb CCM 40

Nie wszystkie problemy związane z ochroną danych zostały rozwiązane w standardzie 802.11i: Komunikaty grupowe zabezpieczane są wspólnym kluczem, a więc poufność ograniczona jest do grupy Brak zabezpieczenia dla ramek typu Management Brak zabezpieczeń w warstwie PHY 41

Podsumowanie Wyłączyć rozgłaszanie SSID przez AP Włączyć szyfrowanie WEP z max kluczem Włączyć szyfrowanie dla wszystkich klientów w sieci Regularnie aktualizować klucz statyczny Stosować niestandardowe nazwy identyfikatorów SSID Używać długich i trudnych do zgadnięcia haseł WEP (20, 85) Sprawdzać regularnie pliki dzienników w poszukiwaniu nieznanych adresów MAC Na włączanie do sieci zezwalać tylko klientom o ustalonych adr. MAC Wyłączyć w AP serwer DHCP i zdefiniować ręcznie adresy IP komputerów w sieci Ustawić odpowiednio anteny nadawczo-odbiorcze Izolować AP od strony przewodowej LAN przy pomocy zapór ogniowych Jeśli to możliwe do autoryzacji połączeń wykorzystuj serwery RADIUS 42

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres