1 / 22

Chapter 11 WLAN Security

Chapter 11 WLAN Security. Bölüm 11 WLAN Güvenliği. What is S ecurity ?. Confidentiality: only sender, intended receiver should “understand” message contents sender encrypts message receiver decrypts message Authentication: sender, receiver want to confirm identity of each other

hedda
Download Presentation

Chapter 11 WLAN Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Chapter 11WLAN Security

  2. Bölüm 11WLAN Güvenliği

  3. What is Security? Confidentiality: only sender, intended receiver should “understand” message contents • sender encrypts message • receiver decrypts message Authentication: sender, receiver want to confirm identity of each other Message Integrity: sender, receiver want to ensure message not altered (in transit, or afterwards) without detection Access and Availability: services must be accessible and available to users 8: Network Security

  4. Güvenlik Nedir? Confidentiality (gizlilik):sadece gönderici ve hedeflenen alıcı mesaj içeriğini anlar • Gönderici mesajı şifreler(encrypts) • Alıcı mesajın şifresini çözer (decrypts) Authentication (kimlik doğrulama):alıcı ve verici birbirinin kimliklerini doğrular Message Integrity (mesaj bütünlüğü):gönderici ve alıcı mesajın yolda iken (in transit) değişikliğe uğramasının önüne geçmeye veya değişiklik olduysa da farkına varabilmek ister Access and Availability (erişim ve kullanılabilir): servisler kullanıcılar için erişilebilir ve kullanılabilir olmalı 8: Network Security

  5. CommonComputerAttacks • Eavesdrop:intercept messages • Wardrawing: intercept messages in wireless • PacketInjection:insertingmessages into a connection • Impersonation: can fake (spoof) source address in packet (or any field in packet) • Hijacking: “take over” ongoing connection by removing sender or receiver, inserting himself in place • Denialof service (DoS): prevent service from being used by others (e.g., by overloading resources)

  6. Bazı Yaygın Bilgisayar Saldırıları • Eavesdrop (kulak-verme):mesajı yakalayıp dinleme • Wardrawing (savaş-sürüşü):mesajları kablosuz ortamlarda yakalayıp kötü amaçlı kullanmaya çalışmak • PacketInjection (paket enjekte etme):iki kullanıcı arasındaki mevcut bir bağlantı arasına girerek kötü amaçlı mesajlar enjekte etme • Impersonation (başkası gibi davranma):bir paketin gönderici IP’sini değiştirerek (IP spoofing) mesaj başkasından geliyormuş gibi davranma • Hijacking (rehin-alma):alıcı/verici arasına tamamıyla girip bütün haberleşmeyi istediği sekilde yönlendirme (istediği mesajları gönderme gibi) • Denialof service (DoS) (servis dışı bırakma): servis kaynaklarını yönlendirip boşa harcatarak, sistemi faydalı iş yapma yeteneğini engellemeye çalışma

  7. SomeSecurityMeasures • WiredEquivalentProtocol (WEP) encryption • MAC addressfiltering • A variety of authenticationprotocols • Data encryption

  8. Bazı Güvenlik Önlemleri • WiredEquivalentProtocol (WEP) şifreleme • MAC adres filtreleme • Çeşitli kimlik doğrulama metodları • Verinin şifrelenmesi

  9. WEP • An oldsecurity algorithm for IEEE 802.11 wireless networks • Intended to provide confidentiality comparable to that of a traditional wired network • Itis susceptible to eavesdropping • WEP connection can be cracked with readily available SW • Therefore, WEP had been superseded by Wi-Fi Protected Access (WPA) • WPA introduced new authentication protocol, improved integrity protection measure and per-packet keys

  10. WEP • IEEE 802.11 kablosuz ağlar için önerilmiş eski bir metod • Kablolu ağlardaki gizliliğe (confidentiality) benzer bir güvenlik oluşturma amaçlıdır • Kulak kapartma/dinleme (eavesdropping) saldırılarına kolayca hedef olur • WEP bağlantı detayları, piyasada kolayca elde edilebilen yazılım proğramlarıyla hemen çözülebilir • Bu sepeblerden dolayı WEB metodu, Wi-Fi Protected Access (WPA) metodu ile değiştirilmeye çalışıldı/önerildi • WPA yeni kimlik doğrulama yöntemleri, geliştirilmiş bütünlük kontrol önlemleri ve her paket için yeni anahtar (key) gibi özellikleri içeriyor

  11. WEP Encryption • Ituses the stream cipher RC4 for confidentiality • ItusedCRC-32 checksum for integrity • Standard 64-bit WEP • uses a 40 bit key (WEP-40),concatenated with a 24-bit initialization vector (IV) • Extended 128-bit WEP • Uses104-bit key(WEP-104), concatenatedwith a 24-bit IV

  12. WEP Şifreleme • Gizlilik (confidentiality) için RC4 akışkan/bağlantılı (stream) şifreleme kullanır • Bütünlük (integrity) CRC-32 checksum kullanır • Standard 64-bit WEP • 40-bit anahtar (bazen WEP-40 adlandırılır),24-bit başlama vektörü (initialization vector = IV) ile birleştirilirmiş olarak • Uzatılmış/genişletilmiş (extended) 128-bit WEP • 104-bit anahtar (WEP-104). IV yine 24-bit

  13. WEP limitations • Shortinitialization vector (IV) • Staticsharedkeys

  14. Authentication • OpenSystemAuthentication (OSA) • No authenticationto be performed • Wirelessnodesareallowedtoassociatewith an AP using a randomlygeneratedkey • Framesusedtoestablish an association are sent in cleartext (no encryption) • SharedKeyAuthentication (SKA) • Consists of a set of messageexchangesbetween a node and an AP using a prioragreedkeybetweentwoparties

  15. Authentication (Kimlik Doğrulama) • Açık Sistem (OpenSystem) Authentication (OSA) • Authentication yapılmaz (herkese açıktır) • Kablosuz bir düğüm rastgele üretilen bir anahtar (randomlygeneratedkey) ile bağlantı yapmaya izin verir • Association için karşılıklı gönderilen mesajlar (şifresiz (cleartext) olarak gönderilir • Ortak Anahtar (SharedKey) Authentication (SKA) • AP ile düğüm (node) arasında karşılıklı bir dizin mesajlardan oluşur ve her iki tarafın önceden üzerinde mutabık kaldıkları bir anahtar kullanma mantığı kullanır

  16. Shared Key Authentication • Station requests association with AP • AP sends a challenge to station • Station encrypts challenge using WEP to produce a response • Response received by AP • decrypted by AP and result compared to initial challenge • if they match, AP sends a successful message and the station is authenticated

  17. SKA Steps • A nodesends an association (registration) requestframe • AP creates a randomchallengemessageandtransmitstorequestingnode • Nodesigns (applies) itsshared-keytothechallengemessage • Nodesendsbackthesignedchallengemessageto AP • AP signs (applies) theshared-key on itsownchallengemessage • AP compares the computed and receivedchallengemessages: • iftheyare the same and authentication is successsful • Challengedmessage and signedchallengemessageare sent in cleartext (not encrypted) format • Messages can be interceptedbyhackerseasily

  18. SKA Adımları • Bir düğüm association (kayıt/bağlantı) request (istek) frame • AP bir rastgele (random) challenge mesajı ve bağlantı isteğinde bulunan düğüme gönderir • Düğüm gönderilen challenge mesajı kendisinde bulunan, önceden üzerinde mutabık kalınan ortak anahtarı (shared-key) kullanarak imzalar (signs) • Düğüm şifrelenmiş challenge mesajı AP’ye geri gönderir • AP kendisindeki shared-key ile challenge mesajı imzalar • AP kendi şifrelediği (hesapladığı) challenge mesajı ile düğüm trafından imzalanıp gönderilen challenge mesajı karşılaştırır • Eğer ikisi de aynı ise authentication prosesi başarılı • Challenge mesajı ve imzalanmış challange mesajı gönderilirken ek bir koruma/şifreleme uygulanmaz • Dolayısıyla mesajlar hakerlar tarafından (havada karşılıklı gönderilirken) yakalanıp çözülerek ve sisteme giriş yapabilir

  19. A Protection and Weakness: MAC LayerFiltering • When an AP installed and configured a list of MAC addressesallowedto the wireless network be registered • However, a MAC address is transmitted in severaladministrative and associationframesbeingexchangedbetweenwirelessnodes • So a hacker can learn MAC addressesandspoofthem

  20. Bir Koruma ve Açığı: MAC Katmanı (Layer) Filterleme • Bir AP kurulup konfigüre edildiğinde kendisine bağlanmasına izin verilebilecek düğüm (node) bilgileri (MAC adresleri) tanımlanabilir (erişim izni verilen MAC adresleri listesi) • Fakat, MAC adresleri authentication prosesi esnasında gizlenmeden (şifresiz) gönderildiği için haker tarafından elde edilebilir • Böylece haker MAC adresi spoof (adres yanılmatası, yan, kendi adresini bağlantıya izin verilen düğüm MAC adresiymiş gibi göstererek AP’e erişim sağlayabilir

  21. ExtensibleAuthenticationProtocol (EAP) • Mostauthenticationproceduresinvolves a usernameandpassword • But, moresecuritymeasuresareneeded • EAP can be usedforpoint-to-point (PPP) as well as WLANs • In a PPP setup it works as follows • When a userdialsinto a remoteaccess server (RAS) that is using EAP, theauthentication can be performedby a RemoteAuthenticationDail-InUser Service (RADIUS) server thatsupports EAP

  22. ExtensibleAuthenticationProtocol (EAP) • Çoğu authentication metodu kullanıcı adı ve parola (username and password) kullanır • Fakat, daha güvenli yöntemlere ihtiyaç var • EAP point-to-point (PPP) bağlantılar yanısıraWLAN’ler için de kullanılabilir • PPP bağlantılarda kurulum aşağıdaki şekilde gerçekleşir: • Bir kullanıcı uzaktan erişim sunucusuna (remoteaccess server=RAS) EAP kullanarak bağlanmak istediğinde, authentication işlemi, RemoteAuthenticationDail-InUser Service (RADIUS) sunucusu trafından EAP kullanılarak gerçekleştirilir

More Related