WiFi biztonság WEP WPA.

Slides:



Advertisements
Hasonló előadás
A hálózat működése 1. A DHCP és az APIPA
Advertisements

Készítette: Nagy Márton
Hálózati és Internet ismeretek
Számítógépes hálózatok
Nagy Tamás.  Nincsenek akadályozó, „megtörő” kábelek  Költséghatékony  Akár másodlagos hálózatként is használható  Folyamatosan fejlődik, gyorsul,
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
IPSec.
Wireless.
WLAN hálózatok a támadó szemszögéből Horváth Tamás
Vezeték nélküli technológiák
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Titkosítás Digitális aláírás Szabványosított tanúsítványok
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
13.a CAD-CAM informatikus
OSI Modell.
 A DEC, Intel és Xerox cégek (együtt: DIX) által kidolgozott alapsávú LAN-ra vonatkozó specifikáció.  Az Ethernet hálózatok az ütközések feloldására.
Hálózati Operációs Rendszerek
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem Pethő Attila 2008/9 II. félév.
Informatikai biztonság alapjai 4. Algoritmikus adatvédelem
Hálózatbiztonsági kérdések
A pendriveok az ezredforduló után kezdtek el megjelenni a kereskedelmi forgalomban. Két céget érdemes megemlíteni ezzel kapcsolatban:  TREK: adattároló.
Digitális Aláírás ● A rejtjelező algoritmusokon alapuló protokollok közé tartozik a digitális aláírás is. ● Itt is rejtjelezés történik, de nem az üzenet.
WSDL alapismeretek A WSDL (Web Services Description Language – Web szolgáltatások leíró nyelv) egy XML-alapú nyelv a Web szolgáltatások leírására és azok.
Számítógépes Hálózatok GY
SSL és TLS. Mi a TLS SSL – Secure Socket Layer TLS – Transport Layer Security Biztonságos transport layer a böngésző és a szerver között SSL v3.0 : Internet.
Vezeték nélküli hálózat eszközei
Vezeték nélküli hálózatok
Kriptográfiai alapok Szteganográfia és kriptográfia: információk elrejtése A kriptográfia lehet egy vagy kétkulcsú A feldolgozott szövegrész lehet: - karakter.
Hálózatkezelési újdonságok Windows 7 / R2
Hálózati és Internet ismeretek
Hálózati és Internet ismeretek
A titkosítás alkalmazott módszerei az elektronikus kommunikációban
Vezetéknélküli hálózatok biztonsága
Hálózati Bombermen Belicza András Konzulens: Rajacsics Tamás BME-AAIT.
Mobil eszközök biztonsági problémái
DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.
Tóth Gergely, október 27. HISEC’04, október , Budapest Keretrendszer anonimitási módszerek integrálására Tóth Gergely Budapesti Műszaki.
Tóth Gergely, február BME-MIT Miniszimpózium, Általános célú biztonságos anonimitási architektúra Tóth Gergely Konzulensek: Hornák Zoltán.
LOGO Webszolgáltatások Készítette: Kovács Zoltán IV. PTM.
A kommunikáció A FORRÁS v. ADÓ, aki küldi az információt, aki pedig fogadja az a célszemély, a NYELŐ v. VEVŐ. Az üzenet  a kommunikáció tárgya ( amiről.
Hálózati technológiák és alkalmazások
Számítógép-hálózatok
ELTE WIFI Beállítási útmutató MS Windows XP-hez
Gyakorlat 3. Számítógép hálózatok I.
Windows Server 2008 Távoli elérés – I.
Vezeték nélküli hálózatok védelme
Speciális Technológiák
Kapcsolatok ellenőrzése
B IZTONSÁGI KÉRDÉSEK Ad hoc hálózatok, Készítette: Tóth Balázs Viktor.
Nagy Sándor CISSP, CEH, CISA, CISM
Mobil adatátvitel.
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
Kriptográfia.
Tűzfal (firewall).
Szimmetrikus titkosítás: DES és társai. DES  Digital Encryption Standard  Alapja az IBM által kifejlesztett titkosítási eljárás (Lucifer, 1974 – 128.
Nyilvános kulcsú titkosítás Digitális aláírás Üzenet pecsétek.
Biztonság kábelek nélkül Magyar Dénes május 19.
A szállítási réteg az OSI modell 4. rétege. Feladata megbízható adatátvitel megvalósítása két hoszt között. Ezt úgy kell megoldani, hogy az független.
HTE előadás BME TMIT I. 210 Az internet szolgáltatás mérése az NMHH gyakorlatában – a szolgáltatásminőség EU-s dimenziója Előadók: Torma Zsolt (NMHH)
Kiberbiztonság adatdiódával
vezeték nélküli átviteli közegek
WLAN-ok biztonsága.
Mobilkommunikáció Eszközök és hálózatok
LoRa technológia, LoRaWAN hálózatok
Mobilkommunikáció Eszközök és hálózatok
IT hálózat biztonság Összeállította: Huszár István
IT hálózat biztonság Összeállította: Huszár István
Az INTEGRÁLT RENDSZER Több egymáshoz kapcsolódó, egymást kiegészítő biztonsági rendszer összessége, szoftver és hardver elemekből felépítve.
Előadás másolata:

WiFi biztonság WEP WPA

WEP Wired Equivalent Privacy A cél egy - különösebb biztonsági elemeket nem tartalmazó - vezetékes hálózathoz hasonló biztonság megteremtése A WEP nem tekinthető biztonságos megoldásnak, még a kitűzött – nem feltétlenül magas – követelményeknek sem felel meg A legtöbb forgalomban lévő WiFi eszköz támogatja a WEP-et Két eleme: Hitelesítés Titkosítás

A WEP működése Hitelesítés: STA  AP authenticate request (hitelesítési kérés) AP  STA authenticate challenge (véletlen szám) STA  AP authenticate response (a szám visszaküldése tikosítva) AP  STA authenticate success or failure (sikeres vagy sikertelen hitelesítés) A hitelesítés egy – az AP és az STA által ismert titkos kulccsal történik A sikeres hitelesítést követően a kommunikáció titkosítva, a hitelesítésnél használt kulccsal folytatódik

RC4, IV A WEP rejtjelező algoritmusa az RC4 kulcsfolyamkódoló. Az RC4 egy néhány byte-os kulcsból egy hosszabb álvéletlen byte-sorozatot állít elő, és ezzel a bytesorozattal XOR műveletet végeznek a titkosítandó adatokon. A másik oldalon a kulcsból az RC4 algoritmus ugyanezt a byte-szekvenciát állítja elő, amellyel rejtjelezett szövegen való XOR művelet elvégzése után visszakapjuk a nyílt szöveget. Hogy ne mindig ugyanaz legyen a byte-sorozat, a kulcsot a titkosítás előtt kiegészítik egy IV (Initializiton Vector) nevű értékkel. Az IV nyílt szövegként, az üzenethez csatolva viszik át. A titkos kulcs általában 104, az IV 24 bites.

A WEP működése ICV – Integrity Check Value: tulajdonképpen az üzenethez csatolt CRC (ellenőrző összeg) titkosítva.

WEP – default key Elvileg – a szabvány szerint - minden egyes STA külön kulcsot használhatna a titkosításhoz. A gyakorlatban azonban rendszerint csak egyetlen kulcs (default key) használatát támogatják az eszközök. A default keyt eredetileg a broadcast küldés lehetősége miatt implementálták csupán. Ha egyetlen, közös kulcsot használunk, úgy – érthető módon – minden állomás az összes hálózaton lévő állomásnak szóló üzenetet is képes dekódolni.

A WEP hibái A hitelesítés csak egyirányú. (STA  AP) A hitelesítéshez és a tikosításhoz ugyanazt a kulcsot használja. A hitelesítés csak a hálózathoz való csatlakozáskor megkövetelt, utána már bárki küldhet (akár hamis MAC-címmel) üzeneteket a hitelesített STA nevében. (Ismételt üzenetek) A hitelesítési üzenetek elfogásával azonnal megszerezhető az STA által generált álvéletlen jelsorozat – vagyis ezután bármilyen eszközzel csatlakozni fog tudni a támadó. (Bár üzenetet küldeni még nem feltétlen.)

A WEP hibái Az integritás védelem nem megfelelő (a támadó akár a titkos kulcs ismerete nélkül is manipulálni tudja az üzenetet, és ehhez megfelelő ICV-t tud előállítna.) Nincs védelem az üzenet-visszajátszás ellen. A lehetséges IV-k száma kicsi (24 bit – kb. 17 millió) Egy eszköz – folyamatos működés mellett – nagyjából 7 óra alatt kimeríti ezt a készletet, utána a kulcsok ismétlődnek. Gyenge RC4 kulcsok  néhány millió üzenet elfogása utána a WEP törvényszerűen feltörhető. (Ez maximum néhány órát vesz igénybe.)

802.11i, AES, TKIP, WPA Az IEEE szabványa 802.11i = RSN (Robust Security Network). A titkosítás az AES (Advanced Encryption Standard) eljárásra támaszkodott, erre azonban nehézkesnek bizonyult az áttérés. (Az RC4-et támogató hardvert nem tudta az AES-t kezelni) Ezért egészítették ki a szabványt egy másfajta titkosítási algoritmussal a TKIP-vel. (Temporal Key Integrity Protocol). Az erre való áttérés jóval egyszerűbben megoldhatónak tűnt a gyártóknak. A WPA (WiFi Protected Access) nem más, mint az RSN némely elemét magában foglaló, TKIP-re épülő specifikáció. A legtöbb WEPet támogató eszközt nagyon egyszerűen WPA képessé lehetett tenni. A WPA sokkal megbízhatóbb, használhatóbb, mint a WEP.

WPA hitelesítés A 802.1X szabvány szerint működik. (Ezt vezetékes hálózatok számára tervezték.) Hitelesítendő fél (supplicant – WiFi eszköz) Hitelesítő (authenticator – AP) Hitelesítő szerver (authentication server – az AP-ben, vagy akár külső eszközön futó program) Vezetékes hálózatnál tulajdonképpen portvédelem valósul meg, WiFi esetében pedig egy titkos kulcs jön létre ekkor, amelyet később az adatátvitelnél használják az eszközök.

EAP, TLS, EAPOL, RADIUS A hitelesítés protokollja az EAP (Extensible Authentication Protocol), amely csupán szállítja a tényleges hitelesítő protokoll üzeneteit. (pl. TLS) Az AP és a hitelesítő szerver közötti protokoll a RADIUS.

Kulcsmenedzsment A hitelesítés során létrejövő kulcs a páronkénti mesterkulcs (PMK – Pairweise Master Key). Ebből az AP és a mobil eszköz négy kulcsot generál: adat-rejtelező kulcs adat-integritás-védő kulcs kulcs-rejtjelező kulcs kulcs integritás-védő kulcs Ezek együttesen a PTK (Parweise Transient Key) – páronkénti ideiglenes kulcs

Kulcsgenerálás TKIP (Temporal Key Integrity Protocol) és AES: a kulcsmenedzsment protokollja. A WEP-nél jóval megbízhatóbb. Általában TKIP-t használnak, mivel ez nem igényli a WEP-et kezelni képes eszköz hardveres módosítását.

Integritás-védelem, titkosítás A véletlen számokat az AP és az STA a négyutas kézfogás protokollt (four way handshake) juttatják el egymáshoz. Így már mindkét eszköz elő tudja állítani a kulcsokat. Az üzenet-visszajátszás detektálás érdekében a WPA az IV-t használja sorozatszámként. Az IV a WEP 24 bitjéhez képest a TKIP-ban 48 bit hosszúságú. A gyenge RC4 kulcsok problémáját úgy oldották meg, hogy minden egyes üzenet más kulccsal kerül lekódolásra.