Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnost bezdrátové komunikace Bezpečnost IS/IT Tomáš Zedník.

Podobné prezentace


Prezentace na téma: "Bezpečnost bezdrátové komunikace Bezpečnost IS/IT Tomáš Zedník."— Transkript prezentace:

1 Bezpečnost bezdrátové komunikace Bezpečnost IS/IT Tomáš Zedník

2 Trocha historie a teorie licencované frekvence: – standard GSM, UMTS, CDMA nelicencované pásmo ISM (průmyslové, vědecké a lékařské potřeby) –bezdrátové telefony, zvonky, mikrovlnné trouby roste zájem uživatelů o mobilitu výpočetní techniky -› o volné pásmo s frekvencí 2,4 GHz se začínají zajímat výrobci bezdrátových sítí každý vyráběl vlastní technologii v roce 1997 vytvořen mezinárodním standardizačním institutem IEEE standard pracující v pásmu ISM, který nese označení

3 Standard IEEE na počátku rychlost 2 Mbps. dva roky později přibyly další dvě specifikace „b“ na pásmu 2,4 GHz a rychlosti 11 Mbps „a“ na pásmu 5 GHz a rychlosti 54 Mbps. v roce 2003 „g“ pro pásmo 2,4 GHz a rychlosti 54 Mbps. Standard obsahuje prostor pro různé výklady bezdrátové komunikace, proto vznikla certifikační autorita WECA (nyní WiFi) testující schopnosti vzájemné komunikace mezi zařízeními a výrobkům, které splňují testovaná kritéria, propůjčuje logo WiFi.

4 WiFi aliance

5 Jak vlastně WLAN komunikují

6 Komunikace bezdrátových zařízení v síti

7 Šifrování přenášených dat dva druhy zabezpečení pomocí šifrovacích klíčů: šifrovací technologie WEP - standardní šifrovací mechanizmus od počátku vzniku standardu šifrovací technologie WPA (WiFi Protected Access).

8 WEP (Wired Equivalent Privacy) pracuje se šifrováním na druhé síťové vrstvě šifruje veškeré datové rámce šifrování není povinné – komunikace zařízení v tzv. otevřené podobě šifrovací klíč 40 – nebo 104 bitový. klíč nastaven na všech zařízeních v síti formát se ustálil na formě hexadecimálních znaků (0-9, A-F). klíč musí být uložen v každém zařízení

9 Způsob šifrování – RC4, IV – 2. část Díky snadné implementaci do hardwaru zvolena šifra RC4 šifrovou operací je pak logická operace XOR datovým tok + šifrovací proud generovaný šifrou RC4 dešifrování probíhá reverzní operací - opět užita funkce XOR zašifrovaný text + stejně sestavený šifrovací tok při WEP šifrování užit 24 bitový inicializační vektor IV generuje vysílací strana a přidává ho do jím zašifrovaného paketu a zároveň do volného formátu v záhlaví rámce přijímací strana IV převezme, předá ho ke svému sdílenému klíči a použije k dešifrování příchozí zprávy k dispozici jen 224 variant obměn této šifry a dojde k opětovnému vysílání stejné šifry

10 Způsob šifrování – RC4, IV – 2.část

11 Způsob šifrování – ICV Integrita dat je zajištěna mechanizmem ICV (Integrity Check Value) zahrnut v zašifrované části rámce a obsahuje kontrolní součet přenášených dat když dešifrováním obsah pole ICV nesouhlasí s kontrolním součtem je paket zahozen. kontrolní součet prováděn funkcí CRC-32

12 Autentizace 802.1x Na nedostatek bezpečné komunikace reagovali výrobci různě, např. dynamic WEP s autentizací 802.1x, který omezil platnost klíče a zavedl povinnou autentizaci pomocí protokolu EAP. Došlo tak ke znatelnému ztížení útoku. Způsob šifrování však zůstal beze změny.

13 WPA (WiFi Protected Access) zahrnuje část bezpečnostních mechanizmů navržených pro i vyšší míra zabezpečení pomocí protokol TKIP (Temporary Key Integrity Protocol), který může nahradit RC4 šifru a zvyšuje bezpečnost v těchto směrech: –délka IV 48 bitů –PPK (Per Packet Keying) – nový algoritmus generování šifrovacích klíčů. Vlastní klíč k šif­rování je z klíče (předsdíleného nebo dynamicky vygenerovaného) a inicializačního vektoru sestaven pomocí jednocestné (hash) funkce –MIC (Message Integrity Check) – nová integritní kontrola zpráv. Má dvojnásobnou délku než ICV a je vytvořen pomocí jednocestné transformace datového obsahu a vybraných polí záhlaví rámce

14 WPA – 2.část WPA používá technologie 802.1x pro ověřování přihlašovacích údajů klienta a při přihlášení vygeneruje a periodicky mění použitý WEP/WPA klíč. Technologie 802.1x ale vyžaduje aby v síti fungoval autentizační server RADIUS. Uplatňuje se hlavně ve větších sítích, pro lepší správu přihlašovacích údajů. Pro menší sítě zůstala součástí WPA možnost užití předsdílených klíčů. je možná implementace WPA do stávajících zařízení s použitím TKIP protokolu se snižuje propustnost a výkonu o 5 – 15 %

15 IEEE i V červnu IEEE schválil normu pro doplňkové bezpečnostní mechanizmy bezdrátových sítí a/b/g. odstranění problémů s WEP zlepšení autentizace i šifrování. Plné znění normy je následující: IEEE i Amendment to Standard [for] Information Technology - Telecommunications and Information Exchange Between Systems - Local and Metropolitan Area Networks - Spe­cific Require­ments - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifi­cations: Medium Access Control (MAC) Security Enhancements

16 Od WPA k i protokolu TKIP přidán nový protokol CCMP (Counter-mode CBC (Cipher Block Chaining) MAC (Message Authentication Code) Protocol) zaručující silnější šifrování díky využití AES (Advanced Encryption Standard) právě v režimu CCM (kombinuje režim CTR, Counter Mode, pro utajení a CBC-MAC pro autentizaci a integritu). AES považován za dostatečný šifrovací mechanizmus i pro vládní účely, na rozdíl od slabého mechanizmu RC4. s i se mění šifrovací klíče automaticky i podobně jako WPA nabízí dvojí režim pro autentizaci, PSK a 802.1x, a autentizace probíhá oboustranně. Pro plně bezpečnou síť je ovšem nezbytný protokol CCMP, zatímco TKIP je volitelný. Ve WiFi Alliance se pod označením WPA2 bude specifikovat povinná "výbava" zařízení pro zajištění bezpečnosti

17 Na závěr žádné bezpečnostní řešení v síti nemůže být stoprocentní. Ani nová norma i nezaručuje, že odolá všem budoucím útokům zařízení s WPA2 ale budou dostatečně vybavena pro dnešní bezpečnostní situace, s nimiž se zejména podnikové sítě potýkají. technické možnosti zařízení nestačí, vždy bude na koncovém uživateli, aby se seznámil s bezpečnostními mechanizmy, porovnal je se svými potřebami a nakonfiguroval příslušnou podporu pro zvolené bezpečnostní řešení.


Stáhnout ppt "Bezpečnost bezdrátové komunikace Bezpečnost IS/IT Tomáš Zedník."

Podobné prezentace


Reklamy Google