Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezdrátové sítě Wi-Fi standardy, bezpečnost © Milan Keršlágerhttp://www.pslib.cz/ke/slajdy Obsah: ● Wi-Fi.

Podobné prezentace


Prezentace na téma: "Bezdrátové sítě Wi-Fi standardy, bezpečnost © Milan Keršlágerhttp://www.pslib.cz/ke/slajdy Obsah: ● Wi-Fi."— Transkript prezentace:

1 Bezdrátové sítě Wi-Fi standardy, bezpečnost © Milan Keršlágerhttp://www.pslib.cz/ke/slajdy Obsah: ● Wi-Fi – standardy, funkce, zabezpečení ● 802.1X, RADIUS, WPA supplicant ● Bluetooth, WiMax

2 Bezdrátové sítě ● využívají různé frekvence ● zvukové vlny ● rádiové vlny, mikrovlny – stát rádiové frekvence chrání a pronajímá – některé frekvence uvolněny k volnému využití ● tzv. bezlicenční pásmo ● světlo – například Ronja ● tvrdé záření – škodlivé pro živé organismy (např. rengen) ● atd.

3 Bezlicenční pásmo ● zde mikrovlny – frekvence 2,4 GHz a 5 GHz ● jsou do nich naladěna rušení od spotřebičů – pracují zde např. mikrovlnky ● nedají se prodat zákazníkům ● uvolněny pro bezplatné použití – tzv. „generální pardon“ – je však nutné dodržovat určité podmínky – omezení vyzářeného výkonu – nesmí rušit ostatní či prioritní služby ● např. rušení radarů zaznamenávajících srážky

4 Známé technologie ● Wi-Fi ● nejznámější technologie (IEEE ) ● pro dosah desítky metrů ● Bluetooth ● dosah řádově metry ● nízký příkon → mobilní zařízení ● WiMAX ● nastupující technologie, dlouhé vzdálenosti ● a další (BreezeNET, bezdrátové klávesnice apod.)

5 Wi-Fi

6 ● souhrnné označení několika standardů

7 Kanály ● frekvenční pásmo rozděleno na kanály ● každý stát povoluje jiné (řeší IEEE d) – Evropa 1 až 13, Japonsko 1 až 13, 14 ● šířka 20 Mhz, kanály se překrývají – nepřekrývající přes 4 až 5 (např. 1, 6, 11 a 14) ● důležitá je síla signálu a odstup od šumu – cizí signál je pro příjemce šum

8 Problém zesílení ● zesilovače nebo směrové antény ● silnější signál zahluší sousední kanály – zesilujeme nejen signál, ale i šum ● směrová anténa zvýší hustotu signálu – běžná „tyčka“ má všesměrovou charakteristiku – směrovka soustředění signálu do úzkého svazku ● příjemce má přebuzené vstupy – výsledkem zkreslený signál a špatný příjem ● řeší se regulací vysílacího výkonu – bohužel na zařízeních moc nefunguje

9 Vysílání a příjem ● Wi-Fi používá různé modulace ● zakódování digitálních dat do analogového signálu – FHSS, DSSS, OFDM ● data přenášena v rámcích – obdoba ethernetového rámce ● hlavičku doplňují položky pro potřeby bezdrátového přenosu – řídící rámce ● autentizace, asociace, probe, reasociace, beacon,... ● síla signálu klesá se čtvercem vzdálenosti – snaha o dynamické řízení vysílacího výkonu – snížení výkonu zlepšuje odstup signálu od šumu

10 CSMA/CA ● zajištění komunikace na sdíleném médiu ● Carrier Sense Multiple Access with Collision Avoidance – podobně jako Ethernet (CSMA/CD) – Carrier Sense Multiple Access with Collision Detection – sdíleným médiem je zde vzduch ● snaha o zmenšení počtu kolizí – klienti se ve strukturované síti nemusí slyšet ● komunikují prostřednictvím přístupového bodu – nelze zároveň vysílat a naslouchat (jako na kabelu) – mohou si tak „skákat do řeči“ – vysílající oznámí zájem vysílat, protistrana potvrdí ● označováno jako RTS/CTS

11 Struktura sítě ● identifikace pomocí SSID ● používá se jako „název sítě“ ● klient zobrazuje sítě, které „slyší“ ● ad-hoc ● rovnocenný přístup (klient-klient) ● SSID vysílají oba ● infrastruktura ● přístupové body a klienti ● SSID vysílá jen přístupový bod (AP – Access Point)

12 SSID ● identifikační řetězec bezdrátové sítě ● až 32 ASCII znaků – provider typicky svoje jméno – nemělo by však identifikovat osobu či firmu (bezpečnost) – používá se při asociaci s protistranou ● periodické vysílání beaconu v rámcích (maják) – vysílání lze potlačit → klient musí SSID získat jinak ● ve skutečnosti se však používá MAC adresa – AP má BSSID – ethernetová MAC adresa (6 oktetů) – jedno AP i více SSID (s různými MAC adresami)

13 Asociace ● spojení dvou protistran v bezdrátové síti ● probe request – probe response (frekvence, rychlosti,...) ● association request – association response – disassociation frame ● authentication request – při šifrování challenge-response na zašifrovaný řetězec – deauthentication frame ● reassociation request – při předávání klienta na jiný přístupový bod

14 Zabezpečení ● u bezdrátových sítí obtížné ● signál se šíří i skrze překážky (útlum) – šíření signálu nelze snadno zablokovat ● stačí, aby jen jedna strana měla směrovou anténu – pak komunikace i na dlouhé vzdálenosti – zkuste hledat obrázek: „bluetooth gun“ ● při připojování může být klientem kdokoliv – signál jde i mimo budovu „do ulice“ ● existuje mnoho metod zabezpečení

15 Způsoby zabezpečení ● utajení SSID ● nevysílá se broadcast beacon se SSID ● MAC control ● přístup na základě MAC adresy klienta ● WEP ● symetrická šifra RC-4, prolomeno ● WPA, WPA2 ● odstranění potíží s WEP ● 802.1X ● využití RADIUS serveru (jméno + heslo)

16 Utajení SSID ● nevysílá se broadcast se SSID sítě ● porušuje se tím norma ● nejjednodušší zabezpečení – zároveň nejméně účinné ● při asociaci se přenáší SSID v otevřené formě – lze snadno odposlechnout – reasociaci lze vyprovokovat ● vysláním rámce pro odpojení asociovaného klienta

17 MAC control ● asociace na základě MAC adresy ● 6 oktetů, seznam má AP ● MAC adresu síťového rozhraní lze snadno změnit – MAC adresy se nešifrují → lze odposlechnout – není problém se vydávat za kteréhokoliv klienta ● málo účinné

18 WEP ● Wired Equivalent Privacy (1997) ● snaha o „soukromí rovnocenné s drátovými sítěmi“ ● proudová šifra RC-4, řeší se v hardware ● délka klíče: – 40 nebo 104 bitů – k tomu 24 bitů inicializační vektor → 64 nebo 128 bitů ● prolomeno – inicializační vektor není v standardu přesně určen – možnost odpojení klienta, provokace, ARP datagramy – → prolomení je otázkou (desítek) minut

19 WPA ● Wi-Fi Protected Access ● implementace části IEEE i (2004) ● náhrada za WEP – snaha o zpětnou kompatibilitu – tj. použití existujících hardwarové zařízení ● TKIP (Temporal Key Integrity Protocol) – bezpečné používání WEP klíčů – řeší inicializační vektor, mixing klíčů ● autentizace: WPA-PSK, 802.1X

20 WPA-PSK ● Pre-Shared Key ● předsdílené tajemství – PSK uloženo do přístupového bodu – uživatel při připojení sdělí stejné PSK – tj. přenos do zařízení jiným/bezpečným kanálem – umožňuje bezpečnou výměnu symetrického klíče ● útoky hrubou silou – za pomoci slovníku je možné PSK zjistit – zkouší se postupně různé klíče ● PSK by měla být: – dostatečně dlouhá a nebýt ve slovníku (náhodná?)

21 802.1X ● autentizační mechanizmus ● zapouzdření do EAP ( Extensible Authentication Protocol ) ● původně pro LAN, později i pro WLAN ● přístup k síti jen po úspěšné autentizaci: 1) počáteční stav: jen autentizace – klient může poslat jen autentizační data, nic jiného 2) autentizuje třetí strana – RADIUS server 3) po autentizaci je povolen port (switch) – v bezdrátové síti odblokována komunikace

22 RADIUS ● Remote Authentication Dial In User Service ● 1991 – přeneseno do IEEE standardů, RFC – původně pro přístup k modemům (tj. k Internetu) ● poskytuje tři služby: – autentizace (jméno + heslo) ● access request, acces accept, access reject, access challenge – autorizace (je dovoleno službu využívat) ● IP adresa, doba pro využívání nebo další parametry... – účtování využití služby ● možnost hierarchie serverů – eduroam – podle apod.)

23 Realm ● doplněk k přihlašovacímu jménu ● typicky doména – např. ● umožňuje seskupit RADIUS servery – například eduroam – při příjmu autentizačních údajů je realm oddělen – podle realmu je možné rozhodnout o místě autentizace ● typicky LDAP, Samba server atp. ● hierarchická struktura v eduroam – autentizace uživatelů proti jejich domácímu LDAP

24 Postup při 802.1X ● postup autentizace: 1) klient se asociuje s AP 2) klient je vyzván k autentizaci pomocí 802.1X – klient je zastupován wpa suplikantem 3) AP kontaktuje RADIUS 4) RADIUS poskytne klientovi svůj veřejný klíč 5) klient klíč ověří (pomocí svého úložiště) 6) klient skrze EAP tunel pošle autentizační data 7) RADIUS povolí přístup (sdělí klientovi skrze AP) 8) AP odblokuje klientovi datovou komunikaci

25 WPA supplicant ● „prosebník“ ● řeší softwarovou stránku zabezpečení – typicky speciální univerzální proces – není nutné řešit uvnitř hardware → lacinější – řeší autentizaci, zabezpečení, roaming

26 WPA2 ● odstoupení od WEP (2004) ● implementace zbytku IEEE i ● AES – nová proudová šifra místo RC-4 ● CCMP – nahrazuje TKIP ● považuje se za bezpečnou kombinaci – používána spolu s PSK nebo 802.1X

27 Další technologie

28 Bluetooth ● IEEE , 2,4 Ghz ● různé verze: – 1.2 – 1 Mbps (reálně 1/3) – 2.0 – 3 Mbps – 3.0 – 480 Mbps ● používá přeskakování frekvencí (FHSS) – problém zarušení celého využitelného spektra ● třídy podle výkonu a dosahu – Class 3 – 2,5 mW, 1 metr – Class 2 – 10 mW, 10 metrů – Class 1 – 100 mW, 100 metrů

29 Bluetooth – komunikace ● určeno pro mobilní zařízení ● nízká spotřeba, malý dosah ● proti WiFi široce definováno: ● komunikace dvoubodová nebo síťová – piconet: 1 master, 7 slaves (255 včetně spících) ● párování zařízení – používáno sdílené tajemství ● různé „profily“ – audio, klávesnice, LAN, SIM, tisk, synchronizace,...

30 WiMax ● IEEE (2002) ● alternativa k Wi-Fi – 2 až 66 Ghz (licencované i bezlicenční 2,4 a 5 GHz) ● dnes 40 Mbps, připravuje se 1 Gbps ● rozprostřené spektrum (OFDM) ● zaměřeno na venkovní sítě, vysoký dosah – 40 až 70 km ● mesh – samoorganizující se topologie ● úvahy o začlenění do 4G mobilních sítí


Stáhnout ppt "Bezdrátové sítě Wi-Fi standardy, bezpečnost © Milan Keršlágerhttp://www.pslib.cz/ke/slajdy Obsah: ● Wi-Fi."

Podobné prezentace


Reklamy Google