Zabezpečení nových mobilních sítí LIBOR DOSTÁLEK.

Slides:



Advertisements
Podobné prezentace
Mobilně a (ne)bezpečně
Advertisements

SÍŤOVÉ PROTOKOLY.
IP PROTOKOL ZACHYTÁVÁNÍ A ANALÝZA Jiří Kučera. Obsah  Zadání  IP protokol  Volitelné parametry IP protokolu  Syntéza  Grafické rozhraní.
Analýza síťového provozu
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Network Addressing Networking for Home and Small Businesses – Chapter.
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public ITE PC v4.0 Chapter 1 1 Operating Systems Networking for Home and Small Businesses – Chapter.
Co je VPN? Virtuální privátní síť
© 2009 IBM Corporation Lotus SW Přehled produktů Petr Kunc,
Bezpečnost bezdrátové komunikace
JEDINÉ ŘEŠENÍ – OD HESEL K ČIPOVÝM KARTÁM! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.
Mobilní telefonní síť GSM
Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…
Cisco Networking Accademy
Advanced Technologies 05 Jak zabezpečit váš Web Server Martin Pavlis (MCSE, MCT) Konzultant.
Úvod do nových médií a komunikace Ing. Jiří Kysela Katedra informačních technologií - Fakulta elektrotechniky.
 DAQUAS  Microsoft Gold Certified Partner › Networking Solutions › Information Worker Solutions › Licensing Delivery Solutions  Microsoft Developer.
Metodický list Pořadové číslo: VY_32_INOVACE_I.C.15 Název pro školu:
© 2007 Cisco Systems, Inc. All rights reserved.Cisco Public 1 Application Layer Functionality and Protocols Network Fundamentals – Chapter 3.
Mobilní komunikační sítě
SIM hunting (Vyhledání volné SIM) 2N ® NetStar.
Střední škola teleinformatiky Ostrava
1 Škola: Gymnázium, Brno, Slovanské náměstí 7 Šablona: III/2 – Inovace a zkvalitnění výuky prostřednictvím ICT Název projektu: Inovace výuky na GSN prostřednictvím.
1 © 2004 Cisco Systems, Inc. All rights reserved. CCNA 2 v3.1 Module 11 Access Control Lists (ACLs)
Bezdrátové sítě dle standardu IEEE (WiFi)
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
Bezpecnost bezdrátových sítí Bc. Jan Petlach, 5. ročník.
[Public]—For everyone ©2003–2008 Check Point Software Technologies Ltd. All rights reserved. Moderní vzdálený přístup Martin Koldovský
P ROVISIONING Provisioning system Provisioning je služba, která slouží k automatickému nastavení veškerých konfiguračních.
Tps.amalka.org WIFI technologie v podání AVAYA Zpracovali: Lukáš Trávník Martin Hanke.
Jméno autora: Mgr. Mária Filipová Datum vytvoření: Číslo DUMu: VY_32_INOVACE_13_AJ_ACH Ročník: 1. – 4. ročník Vzdělávací oblast: Jazyk a jazyková.
EPodpis v souvislostech. Certifikáty veřejného klíče kvalifikovaný certifikát (QC) -> zaručený elektronický podpis kvalifikovaný systémový certifikát.
Sdílení dat nejen v prostředí Sémantického webu Roman Špánek Výjezdní seminář projektu SemWeb
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Global network of innovation Identity a Access Management v heterogenním prostředí Marta Vohnoutová 19. dubna 2015.
Miroslav Skokan IT Security Consultant
Šifrovací algoritmy EI4. DES – Data Encryption Standard  Soukromý klíč  56 bitů  Cca 7,2 x klíčů  Rozluštěn v roce 1997.
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Bc. Tomáš Nemastil Vedoucí práce: Ing. Bc. Marek Neruda
Protokol SSL Petr Dvořák. Obsah prezentace  Co je SSL  Popis protokolu  Ukázka  Použití v praxi.
Pokročilá ochrana informací Ladislav Šolc, Tomáš Kutěj Systems Engineers Microsoft, s.r.o.
Scissor Jack (Nůžkový zvedák)
Tutorial: Obchodní akademie Topic: Logical Functions Prepared by: Mgr. Zdeněk Hrdina Projekt Anglicky v odborných předmětech, CZ.1.07/1.3.09/ je.
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Josef Petr Obor vzdělání: M/01 Informační technologie INSPIROMAT PRO TECHNICKÉ OBORY 1. ČÁST – VÝUKOVÉ MATERIÁLY URČENÉ PRO SKUPINU OBORŮ 18 INFORMAČNÍ.
Lukáš Patka PFE. Microsoft Security Risk Assessment Identifikovat bezpečnostní rizika napříč IT infrastrukturou, aplikacemi, provozními procesy Zaměřen.
Jak se volá doména - ENUM v Česku E E Jiří Peterka
Bezdrátová Bluetooth technologie Ivo Penn. Bluetooth specifikace Bluetooth radio – vysílač, přijímač, analogová radio-elektronika, Bluetooth link controller.
Traffic Rules, Principles of Safe Driving, Safety Features (Pravidla silničního provozu, zásady bezpečnosti silničního provozu, prostředky aktivní a pasivní.
Databázová bezpečnost Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko–geologická fakulta.
Accelerating Your Success TM IBM Tivoli NEWS Petr Klabeneš
Lekce 4. Vývoj GSM I ● 1982 – CEPT zakládá skupinu GSM (Groupe Spécial Mobile) jejímž úkolem je navrhnout panevropský systém s následujícími kritérii:
4G Libor Dostálek. První setkání Mobilní sítě Mobile network 4 2. generace-BTS (Base Transceiver Station) 3. generace – NB (Node B) 4. generace - eNB.
Počítačové sítě ● Síťové architektury ● Internet – historie a současnost ● Místní a rozsáhlé sítě ● Síťové prvky ● Adresace v sítích TCP/IP ● URI ● Síťové.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
Elektronick ý podpis v Lotus Notes Josef Honc, M-COM LAN solution
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Kerberos ● Bezpečnost zaručená třetí stranou ● Autentikátory, KDC ● Lístky relace ● Lístky na vydávání lístků ● Autentizace mezi doménami ● Dílčí protokoly.
T-Mobile Ten správný tah na branku.
Cloudově řízené sítě.
RF Ethernet komunikační interface LAN Komunikace po ethernetu
Identity, society Tematická oblast Angličtina: The UK Datum vytvoření
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Jakub “Eremiell” Marek CryptoParty #3 29/01/2013 CrossCafé
Routing Protocols and Concepts – Chapter 6
LAN Switching and Wireless – Chapter 6
Projekt Anglicky v odborných předmětech, CZ.1.07/1.3.09/
Projekt Anglicky v odborných předmětech, CZ.1.07/1.3.09/
Ing. Jiří Šilhán IPv4.
LAN Switching and Wireless – Chapter 6
GDPR & ePrivacy
Transkript prezentace:

Zabezpečení nových mobilních sítí LIBOR DOSTÁLEK

Cell 3/45

Cells Macro … Femto 4/45

LTE X2 Uu X2 LTE = Long Term Evolution eNB =evolved NodeB E-UTRAN = Evolved – Universal Terrestrial Radio Access Network 5

EPC - Evolved Packet Core S1-MME S1-U S11 S5/S8 MME = Mobility Management Entity SGW = Serving Gateway PGW = Packet data network GateWay 6

Network architecture S13 S6a Gx Sd Gxc On-Line Charging $ $ $ $ HSS = Home Subscriber Server HSS FE = HSS Front End EIR = Equipment Identity Register PCRF = Policy and Charging Rules Function SGi GyGy Rf Sy Ud 7 L. DOSTÁLEK / PUBLIC

Control & User Plane 8

9

Signalizační bouře  Control Plane má relativně malou kapacitu pro řízení sítě  Útočník může cyklem generovat „Location update“  Velké výpadky způsobené SW chybou (např. Japonsko výpadek 19 hodin)

IMSI (15 digits or less) MCCMNCMSIN IMSI (International Mobile Subscriber Identity) MMC (Mobile Country Code) ČR: MCC=230 MNC (Mobile Network Code) MCC=230: MNC=01 (T-Mobile) MNC=02 (O2) MNC=03 (Vodafone) … MSIN (Mobile Station Identity Number = číslo zákazníka) Example: T-Mobile NMSI (Network Mobile Subscriber Identity) 11/45

AKA (Authentication and Key Agtreemnet) f1 až f5 jednocestné funkce Ksdílené tajemství RANDnáhodné číslo SQNSequence number (udržuje síť i klient) AKAnonymizační klíč SEQ AMFAuthentication Management Field (předem známý řetězec) MAC-AJednorázové heslo pro autentizaci sítě XRESJednorázové heslo pro autetnizaci klienta CKCypher Key IKIntegrity Key KASAME Základ pro derivaci šifrovacích klíčů Autentizační fce

Autentizace v 3G/4G/IMS

Konkrétně v IMS

Důkaz AKA autentizací Operátor má ověřeno, že komunikujete z mobilu se SIM o daném tajemství Operátor má ověřeno, že komunikuje ověřená veřejná identita

Generování klíčů IMSI:K 16/45

Generování klíčů String S shall be constructed from n+1 input parameters as follows: S = FC || P0 || L0 || P1 || L1 || P2 || L2 || P3 || L3 ||... || Pn || Ln where FC is single octet used to distinguish between different instances of the algorithm, P0... Pn are the n+1 input parameter encodings, and L0... Ln are the two-octet representations of the length of the corresponding input parameter encodings P0.. Pn. derived key = HMAC-SHA-256 ( Key, S )

Šifrování (128 bitů) Algoritmy ◦EEA – nulový algoritmus ◦128-EEA1 - is based on SNOW 3G ◦128-EEA2 is based on 128-bit AES in CTR mode ◦128-EEA3 is based on ZUC

Integrita (128 bitů) Algoritmy ◦128-EIA1 is based on SNOW 3G ◦128-EIA2 is based on 128-bit AES in CMAC mode ◦128-EIA3 is based on ZUC

Internet x LTE (bezpečnostní zóny)

Autentizace v 3G/4G/IMS

Bezpečnostní rizika  Vše je na IP (dříve SS7)  S nasazením IPv6 budou mít všechny mobily veřejné adresy (pouhým ping se čerpá kredit!)  Signalizační bouře

Privátní a veřejná identita MCCMNCMSIN IMSI (International Mobile Subscriber Identity) Privátní Příklad pro MSIN= : MMC (Mobile Country Code) ČR: MCC=230 MNC (Mobile Network Code) MNC=01 (T-Mobile) MNC=02 (O2) MNC=03 (Vodafone) MSIN (Mobile Subscription Identification Number ) Veřejná identita: SIP URI nebo TEL URI Příklady: tel: Zaměstnanecký profil Soukromý profil

Privátní a veřejná identita

Využití AKA autentizace pro internetové aplikace

Roaming (IPX = paralelní internet!)

Závěr  Signalizační bouře  Ochota operátorů implementovat AKA autentizaci i pro HTTP aplikace  Problém roamingu

Q & A Děkuji za pozornost