300 likes | 472 Views
Αρχιτεκτονικές Ασφάλειας στα B3G Δίκτυα. Χριστόφορος Νταντογιάν Υποψ. Διδάκτορας Τμήμα Πληροφορικής και Τηλεπικοινωνιών. Σύνοψη. Τι είναι τα B3G δίκτυα; Αρχιτεκτονική B3G δικτύων Μηχανισμοί ασφάλειας στα B3G δίκτυα και αξιολόγηση τους. ΤΙ είναι τα B3G δικτυα;.
E N D
Αρχιτεκτονικές Ασφάλειας στα B3G Δίκτυα Χριστόφορος Νταντογιάν Υποψ. Διδάκτορας Τμήμα Πληροφορικής και Τηλεπικοινωνιών
Σύνοψη • Τι είναι τα B3G δίκτυα; • Αρχιτεκτονική B3G δικτύων • Μηχανισμοί ασφάλειας στα B3G δίκτυα και αξιολόγηση τους
ΤΙ είναι τα B3G δικτυα; • Τα (Beyond 3G) B3G δίκτυα αποτελούν μια εξέλιξη των 3G δικτύων και χαρακτηρίζονται από την ενοποίηση διαφορετικών τεχνολογιών ασύρματης πρόσβασης σε ένα ενοποιημένο κοινό δίκτυο που θα βασίζεται στα 3G δίκτυα.
WLAN Δίκτυα Πλεονεκτήματα • Υψηλές ταχύτητες (11 Mbps και 54 Mbps) • Χαμηλό κόστος Μειονεκτήματα • Περιορισμένη κάλυψη-κινητικότητα
3G Δίκτυα Πλεονεκτήματα • Υψηλή κάλυψη-κινητικότητα Μειονεκτήματα • Χαμηλές ταχύτητες (2 Mbps) • Υψηλό κόστος
3G-WLAN Είναι εμφανές ότι οι δυο τεχνολογίες καλύπτουν η μια την άλλη. Επομένως η ενοποίηση τους προσφέρει στους τελικούς χρήστες υπηρεσίες με υψηλές ταχύτητες και κάλυψη. ‘Εχουν προταθεί πολλές λύσεις σχετικά με το πώς θα γίνει αυτή η ενοποίηση.
Καινούργιες οντότητεςστο 3G δίκτυο • PDG (Packet Data Gateway): Το PDG είναι μια πύλη που επιτρέπει στους χρήστες του WLAN δικτύου την πρόσβαση προς τις 3G Υπηρεσίες ή στο διαδίκτυο. • AAA server: To ΑΑΑ server παρεχει υπηρεσιες ασφαλειας. • AAA proxy: To ΑΑΑ proxy μεταδίδει ΑΑΑ μηνύματα στον AAA server. • WAG (Wireless Access Gateway): Το WAG δρομολογεί τα πακέτα στο κατάλληλο 3G δίκτυο και συγκεκριμένα στο κατάλληλο PDG.
Προσβαση σε υπηρεσιες • WLAN Direct IP Access: Είναι η πρόσβαση ενός χρήστη που βρίσκεται σε ένα WLAN στο διαδίκτυο. • WLAN 3GPP IP Access: Είναι η πρόσβαση WLAN χρήστη, στις υπηρεσιές των 3G δικτύων, συνεργατικά διαδίκτυα (corporate Intranets) ή το Διαδίκτυο, μέσω του 3G Δικτυου.
WLAN Direct IP Access • Αυθεντικοποίηση EAP-AKA ή EAP-SIM • Εμπιστευτικότητα Δεδομένων Το πρότυπο ΙΕΕΕ 802.11i
EAP-SIM • Το EAP-SIM πρωτόκολλο χρησιμοποιεί τα στοιχεία αυθεντοποίησης που είναι αποθηκευμένα στην SIM κάρτα σε μια GSM/GPRS εγγραφή. Η εκτέλεση του γίνεται μεταξυ του χρήστη, ενός AAA client (δηλαδή το AP), και ενός AAA server που αποκτά πληροφορίες αυθεντικοποίησης (δηλαδή τις τριπλέτες αυθεντικοποίησης) από το HSS/HLR
EAP-AKA • Το EAP-AKA είναι ένα ενναλακτικό πρωτόκολλο ως προς το EAP-SIM και χρησιμοποιεί μια UMTS SIM (USIM) κάρτα.
Εμπιστευτικότητα στο WLAN Direct IP Access • WEP • 802.11i
WEP Το πρότυπο ΙΕΕΕ 802.11 ενσωματώνει το WEP πρωτόκολλο για να παρέχει υπηρεσίες • Aυθεντικοποίησης (authentication) χρηστών • Eμπιστευτικότητας (confidentiality) στα δεδομένα που ανταλλάσσονται στον αέρα • Ακεραιότητα (data integrity) στα δεδoμένα • Η κρυπτογράφηση του WEP βασίζεται στον αλγόριθμο RC4 και χρησιμοποιεί ένα προκαθορισμένο στατικό κλειδί μήκους 64 bit ή 128-bit
WEP Attack Tools Στο διαδίκτυο υπάρχουν πολλά προγράμματα που μπορούν σε μερικές ώρες να σπάσουν την ασφάλεια του WEP • Airsnort • WEPCracκ • Dweputils • AirCrack
Επίθεση στο WEP • Το WEP αποδείχθηκε γρήγορα ότι είναι ευάλωτο σε επιθέσεις. Πρόσφατα ερευνητές κατάφεραν να σπάσουν την ασφάλεια του WEP σε 5 λεπτά!Παρολ’αυτα το WEP είναι ένα πολύ διαδεδομένο πρωτόκολλο άσφαλειας που όλα τα access points το διαθέτουν.
IEEE 802.11i Το πρότυπο ΙΕΕΕ 802.11i ορίζει: 1. Δυο πρωτόκολλα ασφάλειας • Το Temporal Key Integrity Protocol (TKIP), το οποίο ονομάζεται επίσης Wi-fi Protected Access (WPA). • To Counter with CBC-MAC Protocol (CCMP), το οποίο ονομάζεται επίσης WPA2. 2. Το four-way and group key handshakes, που επιτρέπουν την δυναμική διαχείριση κλειδιών.
TKIP-WPA To TKIP είναι μια software ενίσχυση του WEP. Ενδυναμώνει το WEP επειδή: • Αυξάνει το μήκος του IV στα 48-bits. • To CRC αντικαθίσταται με το αλγόριθμο micheal για να προσφέρει υπηρεσίες ακεραιότητας δεδομένων. • Δυναμική δημουργία και διανομή κλειδιών με την χρήση των four-way και group-key handshake
TKIP-WPA • Το TKIP καλύπτει πολλές αδυναμίες του WEP. • Ωστόσο, έχουν βρεθεί αδυναμίες του TKIP, αφού βασίζεται στο WEP. • Είναι μια προσωρινή software λύση μέχρι να εδραιωθεί το CCMP πρωτόκολλο.
CCMP-WPA2 • To CCMP χρησιμοποιεί τον Advanced Encryption Standard (AES) αλγόριθμο, για να παρέχει ένα υψηλό επίπεδο ασφάλειας. • To μειονέκτημα του είναι ότι για την εφαρμογή της χρειάζεται καινούργιος επεξεργαστής, επομένως τα υπάρχοντα access point θα πρέπει να αντικατασταθούν.
3GPP IP Access • Αυθεντικοποίηση Εκτέλεση του Internet Key Exchange version 2 (IKEv2) χρησιμοποιώντας το EAP-SIM ή το EAP-AKA • Εμπιστευτικότητα ΙPsec τούνελ με χρήση του πρωτοκόλλου Encapsulation Security Payload (ESP).
Τι είναι το IKEv2; • Το IKEv2,όπως και το ΙΚΕ,είναι ένα πρωτόκολλο εφαρμογής που χρησιμοποιείται για την αμοιβαία αυθεντικοποίηση μεταξύ δυο τερματικών σημείων (όπως π.χ. ενας χρήστης ή ένα firewall) και την δημιουργία ενός IPsec tunnel που θα προστατεύει τα δεδομένα που θα ανταλλάσσονται μεταξύ των δυο τερματικών σημείων.