220 likes | 323 Views
Chapter 11 WLAN Security. Bölüm 11 WLAN Güvenliği. What is S ecurity ?. Confidentiality: only sender, intended receiver should “understand” message contents sender encrypts message receiver decrypts message Authentication: sender, receiver want to confirm identity of each other
E N D
What is Security? Confidentiality: only sender, intended receiver should “understand” message contents • sender encrypts message • receiver decrypts message Authentication: sender, receiver want to confirm identity of each other Message Integrity: sender, receiver want to ensure message not altered (in transit, or afterwards) without detection Access and Availability: services must be accessible and available to users 8: Network Security
Güvenlik Nedir? Confidentiality (gizlilik):sadece gönderici ve hedeflenen alıcı mesaj içeriğini anlar • Gönderici mesajı şifreler(encrypts) • Alıcı mesajın şifresini çözer (decrypts) Authentication (kimlik doğrulama):alıcı ve verici birbirinin kimliklerini doğrular Message Integrity (mesaj bütünlüğü):gönderici ve alıcı mesajın yolda iken (in transit) değişikliğe uğramasının önüne geçmeye veya değişiklik olduysa da farkına varabilmek ister Access and Availability (erişim ve kullanılabilir): servisler kullanıcılar için erişilebilir ve kullanılabilir olmalı 8: Network Security
CommonComputerAttacks • Eavesdrop:intercept messages • Wardrawing: intercept messages in wireless • PacketInjection:insertingmessages into a connection • Impersonation: can fake (spoof) source address in packet (or any field in packet) • Hijacking: “take over” ongoing connection by removing sender or receiver, inserting himself in place • Denialof service (DoS): prevent service from being used by others (e.g., by overloading resources)
Bazı Yaygın Bilgisayar Saldırıları • Eavesdrop (kulak-verme):mesajı yakalayıp dinleme • Wardrawing (savaş-sürüşü):mesajları kablosuz ortamlarda yakalayıp kötü amaçlı kullanmaya çalışmak • PacketInjection (paket enjekte etme):iki kullanıcı arasındaki mevcut bir bağlantı arasına girerek kötü amaçlı mesajlar enjekte etme • Impersonation (başkası gibi davranma):bir paketin gönderici IP’sini değiştirerek (IP spoofing) mesaj başkasından geliyormuş gibi davranma • Hijacking (rehin-alma):alıcı/verici arasına tamamıyla girip bütün haberleşmeyi istediği sekilde yönlendirme (istediği mesajları gönderme gibi) • Denialof service (DoS) (servis dışı bırakma): servis kaynaklarını yönlendirip boşa harcatarak, sistemi faydalı iş yapma yeteneğini engellemeye çalışma
SomeSecurityMeasures • WiredEquivalentProtocol (WEP) encryption • MAC addressfiltering • A variety of authenticationprotocols • Data encryption
Bazı Güvenlik Önlemleri • WiredEquivalentProtocol (WEP) şifreleme • MAC adres filtreleme • Çeşitli kimlik doğrulama metodları • Verinin şifrelenmesi
WEP • An oldsecurity algorithm for IEEE 802.11 wireless networks • Intended to provide confidentiality comparable to that of a traditional wired network • Itis susceptible to eavesdropping • WEP connection can be cracked with readily available SW • Therefore, WEP had been superseded by Wi-Fi Protected Access (WPA) • WPA introduced new authentication protocol, improved integrity protection measure and per-packet keys
WEP • IEEE 802.11 kablosuz ağlar için önerilmiş eski bir metod • Kablolu ağlardaki gizliliğe (confidentiality) benzer bir güvenlik oluşturma amaçlıdır • Kulak kapartma/dinleme (eavesdropping) saldırılarına kolayca hedef olur • WEP bağlantı detayları, piyasada kolayca elde edilebilen yazılım proğramlarıyla hemen çözülebilir • Bu sepeblerden dolayı WEB metodu, Wi-Fi Protected Access (WPA) metodu ile değiştirilmeye çalışıldı/önerildi • WPA yeni kimlik doğrulama yöntemleri, geliştirilmiş bütünlük kontrol önlemleri ve her paket için yeni anahtar (key) gibi özellikleri içeriyor
WEP Encryption • Ituses the stream cipher RC4 for confidentiality • ItusedCRC-32 checksum for integrity • Standard 64-bit WEP • uses a 40 bit key (WEP-40),concatenated with a 24-bit initialization vector (IV) • Extended 128-bit WEP • Uses104-bit key(WEP-104), concatenatedwith a 24-bit IV
WEP Şifreleme • Gizlilik (confidentiality) için RC4 akışkan/bağlantılı (stream) şifreleme kullanır • Bütünlük (integrity) CRC-32 checksum kullanır • Standard 64-bit WEP • 40-bit anahtar (bazen WEP-40 adlandırılır),24-bit başlama vektörü (initialization vector = IV) ile birleştirilirmiş olarak • Uzatılmış/genişletilmiş (extended) 128-bit WEP • 104-bit anahtar (WEP-104). IV yine 24-bit
WEP limitations • Shortinitialization vector (IV) • Staticsharedkeys
Authentication • OpenSystemAuthentication (OSA) • No authenticationto be performed • Wirelessnodesareallowedtoassociatewith an AP using a randomlygeneratedkey • Framesusedtoestablish an association are sent in cleartext (no encryption) • SharedKeyAuthentication (SKA) • Consists of a set of messageexchangesbetween a node and an AP using a prioragreedkeybetweentwoparties
Authentication (Kimlik Doğrulama) • Açık Sistem (OpenSystem) Authentication (OSA) • Authentication yapılmaz (herkese açıktır) • Kablosuz bir düğüm rastgele üretilen bir anahtar (randomlygeneratedkey) ile bağlantı yapmaya izin verir • Association için karşılıklı gönderilen mesajlar (şifresiz (cleartext) olarak gönderilir • Ortak Anahtar (SharedKey) Authentication (SKA) • AP ile düğüm (node) arasında karşılıklı bir dizin mesajlardan oluşur ve her iki tarafın önceden üzerinde mutabık kaldıkları bir anahtar kullanma mantığı kullanır
Shared Key Authentication • Station requests association with AP • AP sends a challenge to station • Station encrypts challenge using WEP to produce a response • Response received by AP • decrypted by AP and result compared to initial challenge • if they match, AP sends a successful message and the station is authenticated
SKA Steps • A nodesends an association (registration) requestframe • AP creates a randomchallengemessageandtransmitstorequestingnode • Nodesigns (applies) itsshared-keytothechallengemessage • Nodesendsbackthesignedchallengemessageto AP • AP signs (applies) theshared-key on itsownchallengemessage • AP compares the computed and receivedchallengemessages: • iftheyare the same and authentication is successsful • Challengedmessage and signedchallengemessageare sent in cleartext (not encrypted) format • Messages can be interceptedbyhackerseasily
SKA Adımları • Bir düğüm association (kayıt/bağlantı) request (istek) frame • AP bir rastgele (random) challenge mesajı ve bağlantı isteğinde bulunan düğüme gönderir • Düğüm gönderilen challenge mesajı kendisinde bulunan, önceden üzerinde mutabık kalınan ortak anahtarı (shared-key) kullanarak imzalar (signs) • Düğüm şifrelenmiş challenge mesajı AP’ye geri gönderir • AP kendisindeki shared-key ile challenge mesajı imzalar • AP kendi şifrelediği (hesapladığı) challenge mesajı ile düğüm trafından imzalanıp gönderilen challenge mesajı karşılaştırır • Eğer ikisi de aynı ise authentication prosesi başarılı • Challenge mesajı ve imzalanmış challange mesajı gönderilirken ek bir koruma/şifreleme uygulanmaz • Dolayısıyla mesajlar hakerlar tarafından (havada karşılıklı gönderilirken) yakalanıp çözülerek ve sisteme giriş yapabilir
A Protection and Weakness: MAC LayerFiltering • When an AP installed and configured a list of MAC addressesallowedto the wireless network be registered • However, a MAC address is transmitted in severaladministrative and associationframesbeingexchangedbetweenwirelessnodes • So a hacker can learn MAC addressesandspoofthem
Bir Koruma ve Açığı: MAC Katmanı (Layer) Filterleme • Bir AP kurulup konfigüre edildiğinde kendisine bağlanmasına izin verilebilecek düğüm (node) bilgileri (MAC adresleri) tanımlanabilir (erişim izni verilen MAC adresleri listesi) • Fakat, MAC adresleri authentication prosesi esnasında gizlenmeden (şifresiz) gönderildiği için haker tarafından elde edilebilir • Böylece haker MAC adresi spoof (adres yanılmatası, yan, kendi adresini bağlantıya izin verilen düğüm MAC adresiymiş gibi göstererek AP’e erişim sağlayabilir
ExtensibleAuthenticationProtocol (EAP) • Mostauthenticationproceduresinvolves a usernameandpassword • But, moresecuritymeasuresareneeded • EAP can be usedforpoint-to-point (PPP) as well as WLANs • In a PPP setup it works as follows • When a userdialsinto a remoteaccess server (RAS) that is using EAP, theauthentication can be performedby a RemoteAuthenticationDail-InUser Service (RADIUS) server thatsupports EAP
ExtensibleAuthenticationProtocol (EAP) • Çoğu authentication metodu kullanıcı adı ve parola (username and password) kullanır • Fakat, daha güvenli yöntemlere ihtiyaç var • EAP point-to-point (PPP) bağlantılar yanısıraWLAN’ler için de kullanılabilir • PPP bağlantılarda kurulum aşağıdaki şekilde gerçekleşir: • Bir kullanıcı uzaktan erişim sunucusuna (remoteaccess server=RAS) EAP kullanarak bağlanmak istediğinde, authentication işlemi, RemoteAuthenticationDail-InUser Service (RADIUS) sunucusu trafından EAP kullanılarak gerçekleştirilir