Bezpečnosť bezdrôtových sietí

1. Bezpečnosť bezdrôtových sietí Predmet: Podnikové komunikačné systémy Martin Bilka, FM UK

2. Obsah • Bezdrôtová komunikácia • Siete 802.11 – normy • Analýza bezpečnosti 802.11 • WEP • WPA • WPA2 • Možné útoky/hrozby Martin Bilka, FM UK

3. Bezdrôtová komunikácia • V súčastnosti veľký rozmach • Mnoho výhod: mobilita, flexibilita, úspora nákladov, prispôsobiteľnosť ... • Nevýhody: problémy šírenia signálu, dôraz na bezpečnosť a ochranu údajov • Problém bezpečnosti je daný podstatou šírenia signálu • Zameranie sa na siete Wi – fi. Martin Bilka, FM UK

4. Siete 802.11 – WiFi • Účel: uľahčiť prístup k informáciám, zaistiť kompatibilitu, zbaviť sa káblov, switchov, adaptérov, konektorov... • Využitie: počítače, hracie konzoly, MP3 prehrávače, PDA, mobilné teléfony majú možnosť sa pripojiť k internetu • Prvá bezdrôtová norma prijatá v roku 1997, nazvaná IEEE 802.11. • IEEE - Inštitút inžinierov elektrotechniky a elektroniky Martin Bilka, FM UK

5. Siete 802.11 – WiFi Martin Bilka, FM UK

6. Referenčný model ISO/OSI • ISO/OSI (Open System Interconnection) popisuje štruktúru siete a spôsob komunikácie medzi zariadeniami • 7 vrstiev • 802.11 definuje ako vlastné iba dve najnižšie vrstvy, teda fyzickú a linkovú • Linková vrstva resp. MAC (Media Access Control) -súbor pravidiel určujúcich ako pristupovať k prostriedkom pre prenos dát • Samotné detaily o prenose dát sú však ponechané na fyzickej vrstve Martin Bilka, FM UK

7. Analýza bezpečnosti 802.11 • Pôvodne poskytnutý prístup každému v dosahu – snaha o čo najväčšie spopularizovanie • Neskôr bola snaha o vytvorenie predefinovaného zoznam autorizovaných užívateľov – snaha o „zabezpečenie“ AP-tu (access point) • Použité opatrenia: zákazať vysielanie SSID (service set identifier) z AP, povoliť pripojenie počítačov iba so známou MAC (media access control) adresou • Obe opatrenia sú však ľahko prekonatelné Martin Bilka, FM UK

8. Analýza bezpečnosti 802.11 • Bezpečnosť bezdrôtových sietí môžeme rozdeliť do dvoch hlavných skupín: • Šifrovanie – zabezpečenie prenášaných dát pred odpočúvaním • Autentizácia – riadenie prístupu oprávnených používateľov Martin Bilka, FM UK

9. WEP • Wired Equivalent Privacy (nie Wireless Encryption Protocol, ako to býva mylne označované) • Algoritmus, ktorý mal zabezpečiť bezdrôtové siete na úrovni akú poskytujú klasické siete. • Uvedený v roku 1999, už v roku 2001 zistené závažné nedostatky • V roku 2004 IEEE vyhlásila WEP za neschválný, pretože nesplňuje ich bezpečnostné ciele Martin Bilka, FM UK

10. Šifrovanie protokolom WEP Martin Bilka, FM UK

11. Autentizácia vo WEP • Dva spôsoby: open-system autentizácia, shared-key autentizácia • Open-system autentizácia: klient nemusí poskytovať svoje údaje AP-tu počas autentizácie, tzn. každý sa môže autentizovať a následne pokúsiť nadviazať spojenie • Shared-key autentizácia: 4 kroky autentizácie Martin Bilka, FM UK

12. WPA • Wi-Fi Protected Access • Vytvorený ako odpoveď na bezpečnostné diery vo WEP • Kompromisné riešenie medzi WEP a 802.11i (WPA2) • Toto riešenie umožnovalo implementáciu prostredníctvom aktualizácie firmvéru a softvéru • Rieši šifrovanie aj riadenie prístupu (autentizáciu) Martin Bilka, FM UK

13. Šifrovanie protokolom WPA • RC 4 šifra • 128 bitový kľúč, 48 bitový inicializačný vektor • Temporal Key Integrity Protocol (TKIP) • Oveľa lepšia ochrana ako pri WEP • cyclic redundancy check (CRC) je nahradená message integrity code (MIC) • Použitý je „Michael“ algoritmus Martin Bilka, FM UK

14. Autentizácia vo WPA • Dva druhy WPA: enterprise, personal • Enterprise verzia je určená k použitiu s IEEE 802.1x autentizačným serverom – rozdielne klúče pre každého používateľa • Personal WPA používa pre-shared key(PSK) – jeden klúč pre všetkých • Vyriešená chýbajúca podpora „pokročilých“ autentizačných metód (tokeny, čipové karty, biometrika, jednorazové heslá a podobne) Martin Bilka, FM UK

15. IEEE 802.11i – WPA2 • Uvedenie - jún 2004 • Tiež nazývaná RSN (Robust Security Network) • šifrovanie pomocou šifry AES v rámci autentizačného rámca EAP • Postupné prenikanie na trh • Potreba zvýšenia výkonu hardvéru pre šifrovanie a dešifrovanie Martin Bilka, FM UK

16. Šifrovanie v protokole WPA2 • Šifrovanie pomocou blokovej šifry AES (Advanced Encryption Standard) • Náhrada za šifru RC4 (WEP, WPA) • Pracuje s blokmi o veľkosti 128 bitov – bloková šifra • Používa sa algoritmus MIC, ktorý zabezpečuje obranu proti modifikácií počas prenosu dát Martin Bilka, FM UK

17. Autentizácia vo WPA2 • protokol EAP (Extensible Authentication Protocol) • Základným cieľom bolo vytvoriť všeobecnú platformu pre rôzne autentizačné metódy • Základnými komponentmi sú žiadateľ, autentizátor a autentizačný server • Overovanie zabezpečuje prístupový bod pomocou zoznamu alebo externého autentizačného systému založeného na serveri RADIUS (Remote Authentication Dial In User Service) Martin Bilka, FM UK

18. Autentizácia vo WPA2 Martin Bilka, FM UK

19. Typy útokov na bezdrôtové siete a spôsob ochrany • Zistenie hodnoty SSID • Rozlúštenie WEP kľúča • Zistenie MAC adresy (MAC attack) • Útok typu Man-in-the-Middle • Slovníkový útok • Session Hijacking • Denial of Service (DoS) Martin Bilka, FM UK

20. Minimalizovanie bezp. rizík • Všetky bezdrôtové LAN zariadenia musia byť zabezpečené • Používatelia bezdrôtových sietí musia byť vzdelaní v sieťovej bezpečnosti • Všetky zariadenia musia byť aktívne monitorované aby sa odhalili slabiny a prípadné narušenia • Používaním: filtrácie MAC adries, WEP, WPA, WPA2 Martin Bilka, FM UK

21. Ďakujem za pozornosť Martin Bilka, FM UK