Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

1 Hálózati technológiák és alkalmazások Vida Rolland 2008.04.15.

Hasonló előadás


Az előadások a következő témára: "1 Hálózati technológiák és alkalmazások Vida Rolland 2008.04.15."— Előadás másolata:

1 1 Hálózati technológiák és alkalmazások Vida Rolland

2 Hálózati technológiák és alkalmazások ZH eredmények Összegzés:  40 OK  54 nem sikerült  9 nem jelent meg

3 Hálózati technológiák és alkalmazások Vezetéknélküli és vezetékes biztonság A vezetéknélküli hálózatok lehetőséget adnak  Észrevétlen lehallgatásokra  Csomagok észrevétlen beszúrására Éppen ezért kiemelten fontos:  Hozzáférés-védelem (hitelesítés)  Adatkapcsolat titkosítása A vezetékes hálózaton fizikai hozzáférés is kell a támadáshoz  A biztonsági célok hasonlóak, de a fizikai hozzáférés hiánya miatt kevesebbet törődünk vele

4 Hálózati technológiák és alkalmazások A vezetéknélküli hálózatok ellenségei Wardriving – Behatolás idegen hálózatokba  Autóból WLAN vadászat  Rácsatlakozás a szomszédra  Ingyen Internet az utcán Szolgálatmegtagadás  Frekvenciatartomány zavarása (jamming)  DoS támadás Evil Twin (rogue AP) – Hamis AP felállítása  Felhasználók adatainak gyűjtése  Visszaélés más személyiségével  A támadó visszatereli a forgalmat az eredeti hálózatba A felhasználó nem érzékeli Lehallgatás

5 Hálózati technológiák és alkalmazások Fizikai korlátozás A támadónak hozzáférés szükséges a hálózathoz  Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni  Gyakorlatban kerítés vagy vastag betonfal Nem biztonságos!  A támadó bejuthat a hálózat területére  Nagyobb antennát alkalmazhat

6 Hálózati technológiák és alkalmazások MAC szűrés Minden hálózati csatolónak egyedi címe van  MAC cím (6 bájt) Hozzáférés szűrése MAC címek alapján  A hozzáférési pontnak listája van az engedélyezett csatlakozókról Esetleg tiltólista is lehet a kitiltott csatlakozókról  Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja)  Nagyon sok helyen ezt használják Csak kisebb hálózatok esetén használható  Minden egyes MAC címet manuálisan kell beállítani az AP-ban A listát folyamatosan frissíteni kell  Nagy adminisztrációs többletmunka Nem biztonságos!  Az eszközök megszerzése már hozzáférést biztosít Nem a felhasználót azonosítja  A MAC címek lehallgathatóak, egy másik eszköz is felvehet engedélyezett MAC címet

7 Hálózati technológiák és alkalmazások Hálózat elrejtése A hozzáférési pontot a „neve” azonosítja  Service Set ID – SSID  Az SSID-t, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon) A hozzáférési pont elrejtése  A hozzáférési pont nem küld SSID-t a hirdetésekben, így a hálózat nem látszik  Aki nem ismeri a hálózat SSID-t, az nem tud csatlakozni Nem biztonságos!  A csatlakozó kliensek nyíltan küldik az SSID-t  A támadó a csatlakozás lehallgatással felderítheti az SSID-t  Népszerűbb eszközök gyári SSID beállításai “tsunami” – Cisco, “101” – 3Com, “intel” - Intel, “linksys” – Linksys  Manuális beállítás, körülményes frissítés Előbb-utóbb mindenki megismeri őket  Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál Önmagában az elkülönítés semmilyen védelmet nem nyújt Bárki bármilyen SSID-jű hálózathoz hozzáférhet

8 Hálózati technológiák és alkalmazások Felhasználó hitelesítés A vezetéknélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát A hitelesítés nehézségei  Nyílt hálózat, bárki hallgatózhat A kihívás-válasz alapú hitelesítés esetén a támadó könnyen megszerezheti a kihívást és a választ is Gyenge jelszavak esetén egyszerű a szótáras támadás  Man-in-the-middle támadások Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt A forgalmat rajta keresztül folyik így hozzájut a hitelesítési adatokhoz  Legjobb a felhasználót hitelesíteni nem az eszközét Felhasználói jelszavak (mindenkinek külön)

9 Hálózati technológiák és alkalmazások Hitelesítés – Captive portal Hitelesítés web felületen keresztül  Egyszerű a felhasználónak  A kliensen egy web browser kell hozzá A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja  Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó  A felhasználó hitelesítés után folytathatja a böngészést  A weblapon akár elő is fizethet a felhasználó a szolgáltatásra A legtöbb HOTSPOT ezt használja  Nem igényel szakértelmet a használata  Nem kell telepíteni vagy átállítani a felhasználó gépét Nem biztonságos!  Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát  A felhasználó megtéveszthető hamis szolgáltatóval  A támadó folytathatja a felhasználó nevében a hozzáférést

10 Hálózati technológiák és alkalmazások Adatkapcsolat biztonsága A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is  Az adatokat titkosítani kell a hálózaton  Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát  A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet WEP – Wired Equivalent Privacy WPA – WiFi Protected Access i – Enhanced security  WPA2 –nek is nevezik

11 Hálózati technológiák és alkalmazások WEP Wired Equivalent Privacy  Az eredeti biztonsági protokoll  A felhasználók adatainak titkosítása a lehallgatás ellen Rendkívül alacsony biztonsági szint, könnyen feltörhető Az RC4 adatfolyam titkosító algoritmust használja  A vezeték nélküli eszköz titkosítja mind az adatokat, mind a CRC-t Az átvitel során történő illetéktelen módosítást kívánja kiküszöbölni 40 vagy 128 bites (WEP2) közös kulcsot használ  Mindkét félnek ismernie kell a kapcsolat létrejötte előtt A titkosításhoz egy inicializációs vektor-t (IV) használ  A vektort minden keretben elküldik  Az IV vektor és a k kulcs alapján egy (pseudo)véletlen titkosítási kulcsot generál Minden keret más generált kulccsal titkosítódik Két azonos tartalmú csomag másképp fog kinézni titkosítva  Elég hosszú hallgatózással ez kijátszható Nincs semmilyen kulcsváltó algoritmus  Manuális váltások, egy csere több napig is eltarthat  Megkönnyíti a támadó dolgát

12 Hálózati technológiák és alkalmazások WEP működése Egy titkos k kulcs megosztva a kommunikáló felek között Egy csomag titkosítása:  Ellenőrző összeg ICV készítése az M üzenetből Integrity Check Value  A kettőt összemásoljuk P = érthető (még nem titkositott) üzenetet Sem az ICV sem P nem függ a k kulcstól  Titkosítás az RC4 algoritmussal: Egy v inicializáló vektort (IV) választunk Az RC4 egy hosszú kiterjesztett kulcsot generál – RC4(v,k) A kiterjesztett kulcsot XOR müvelettel összemásoljuk az üzenettel  Megkapjuk a C titkosított üzenetet, C = P xor RC4(v,k)  Közvetítés: Az IV-t és a C-t átküldjük a csatornán

13 Hálózati technológiák és alkalmazások WEP működése A dekódoláshoz a vevő az algoritmust fordított sorrendben végzi el  Legenerálja az RC4(v,k) kiterjesztett kulcsot  XOR-ozza a titkosított szöveggel, megkapja az eredeti szöveget P’ = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P  Ellenőrzi az ellenőrző összeget

14 Hálózati technológiák és alkalmazások Támadások a WEP ellen Kiterjesztett kulcs újrahasználása  Ha ugyanazzal a kulccsal és IV-vel titkosítunk két csomagot, a támadó infókat tudhat meg mindkét csomagról A 2 titkosított csomag XOR-ja megegyezik a 2 eredeti csomag XOR-jával  Ha az egyik üzenetet ismerjük, a másikat vissza lehet fejteni Elég lehet a parciális ismerete is bizonyos érthető (P) üzeneteknek  Pl. protokoll fejlécek  A csomagonkénti IV jó védekezés, de... Az IV-ket kódolatlanul küldik a csomagokban  A támadó gyűjtheti az IV-ket A kulcsokat nagyon ritkán változtatják Egy idő után előfordul majd IV ismétlés  IV 24 biten, általában 0-tól indulva folyamatosan nő  Egy AP 1500 byte-os csomagokkal, 5 Mb/s sebességgel fél nap alatt elhasználja az IV-ket  Véletlen IV választással pár perc alatt kb csomag után 50% a valószínüsége egy ismétlésnek

15 Hálózati technológiák és alkalmazások WPA, WPA2 és i WPA  Wi-Fi Protected Access (2002) Wi-Fi Alliance szabványa  Ideiglenes megoldás a WEP hibáinak kiküszöbölésére Hatékonyabb kulcs menedzsment  Temporal Key Integrity Protocol – TKIP  Egy master kulcsból generál periódikusan új kulcsokat A WEP-nél manuális kulcsváltás Ugyancsak RC4 algoritmust használ, de 48 bit hosszú IV-vel IEEE i  Sokáig váratott magára, 2004 nyarán fogadták el  A a, b és g-vel ellentétben egy biztonsági mechanizmust definiál  A TKIP mellett egy új titkosítási szabványt is használ Advanced Encryption Standard – AES WPA2  A Wi-Fi Alliance új szabványa  Kompatibilis az IEEE i-vel

16 Hálózati technológiák és alkalmazások Roaming Váltás különböző hozzáférési hálózatok között  Vertical roaming Váltás különböző technológiák között  Pl. WLAN – UMTS, WLAN – GPRS;  Horizontal roaming Váltás két, ugyanazt a technológiát használó szolgáltató között  Pl. két WLAN hotspot operátor között WISP – Wireless Internet Service Provider Roaming problémák  Hitelesítés, engedélyezés, számlázás  Mobilitás kezelése Jó lenne megtartani az aktív kapcsolatokat és az IP címet  Mobile IP, alagutazás

17 Hálózati technológiák és alkalmazások Roaming modellek Kétoldalú roaming támogatás  A WISP-ek között kétoldalú megegyezés Kölcsönösen beengedik hálózatukba a másik szolgáltató felhasználóit  Nincs szükség egy megbízható, harmadik félre Roaming konzorcium  Megegyezés több WISP között beengedik egymás felhasználóit  Szükség van egy centralizált fizetés kezelési egységre Clearing house  Megbízható harmadik fél, a hitelesítési és nyílvántartási üzenetek kezelésénél Tranzakció alapú díjazás Plastic roaming  Ha nincs megegyezés a WISP-ek között  Létre kell hozni valamilyen közvetlen kapcsolatot a látogatott operátorral A teljes előfizetés kényelmetlen, nem gazdaságos Kártyás fizetés adatforgalom vagy kapcsolódási idő alapján  Műanyag kártya – plastic roaming


Letölteni ppt "1 Hálózati technológiák és alkalmazások Vida Rolland 2008.04.15."

Hasonló előadás


Google Hirdetések