1 / 17

Hálózati technológiák és alkalmazások

Hálózati technológiák és alkalmazások. Vida Rolland 2008.04.15. ZH eredmények. Összegzés: 40 OK 54 nem sikerült 9 nem jelent meg. Vezetéknélküli és vezetékes biztonság. A vezetéknélküli hálózatok lehetőséget adnak Észrevétlen lehallgatásokra Csomagok észrevétlen beszúrására

kylia
Download Presentation

Hálózati technológiák és alkalmazások

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hálózati technológiákés alkalmazások Vida Rolland 2008.04.15

  2. ZH eredmények • Összegzés: • 40 OK • 54 nem sikerült • 9 nem jelent meg 2008.04.15

  3. Vezetéknélküli és vezetékes biztonság • A vezetéknélküli hálózatok lehetőséget adnak • Észrevétlen lehallgatásokra • Csomagok észrevétlen beszúrására • Éppen ezért kiemelten fontos: • Hozzáférés-védelem (hitelesítés) • Adatkapcsolat titkosítása • A vezetékes hálózaton fizikai hozzáférés is kell a támadáshoz • A biztonsági célok hasonlóak, de a fizikai hozzáférés hiánya miatt kevesebbet törődünk vele 2008.04.15

  4. Wardriving – Behatolás idegen hálózatokba Autóból WLAN vadászat Rácsatlakozás a szomszédra Ingyen Internet az utcán Szolgálatmegtagadás Frekvenciatartomány zavarása (jamming) DoS támadás Evil Twin (rogue AP) – Hamis AP felállítása Felhasználók adatainak gyűjtése Visszaélés más személyiségével A támadó visszatereli a forgalmat az eredeti hálózatba A felhasználó nem érzékeli Lehallgatás A vezetéknélküli hálózatok ellenségei 2008.04.15

  5. Fizikai korlátozás • A támadónak hozzáférés szükséges a hálózathoz • Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni • Gyakorlatban kerítés vagy vastag betonfal • Nem biztonságos! • A támadó bejuthat a hálózat területére • Nagyobb antennát alkalmazhat 2008.04.15

  6. MAC szűrés • Minden hálózati csatolónak egyedi címe van • MAC cím (6 bájt) • Hozzáférés szűrése MAC címek alapján • A hozzáférési pontnak listája van az engedélyezett csatlakozókról • Esetleg tiltólista is lehet a kitiltott csatlakozókról • Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja) • Nagyon sok helyen ezt használják • Csak kisebb hálózatok esetén használható • Minden egyes MAC címet manuálisan kell beállítani az AP-ban • A listát folyamatosan frissíteni kell • Nagy adminisztrációs többletmunka • Nem biztonságos! • Az eszközök megszerzése már hozzáférést biztosít • Nem a felhasználót azonosítja • A MAC címek lehallgathatóak, egy másik eszköz is felvehet engedélyezett MAC címet 2008.04.15

  7. Hálózat elrejtése • A hozzáférési pontot a „neve” azonosítja • Service Set ID – SSID • Az SSID-t, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon) • A hozzáférési pont elrejtése • A hozzáférési pont nem küld SSID-t a hirdetésekben, így a hálózat nem látszik • Aki nem ismeri a hálózat SSID-t, az nem tud csatlakozni • Nem biztonságos! • A csatlakozó kliensek nyíltan küldik az SSID-t • A támadó a csatlakozás lehallgatással felderítheti az SSID-t • Népszerűbb eszközök gyári SSID beállításai • “tsunami” – Cisco, “101” – 3Com , “intel” - Intel , “linksys” – Linksys • Manuális beállítás, körülményes frissítés • Előbb-utóbb mindenki megismeri őket • Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál • Önmagában az elkülönítés semmilyen védelmet nem nyújt • Bárki bármilyen SSID-jű hálózathoz hozzáférhet 2008.04.15

  8. Felhasználó hitelesítés • A vezetéknélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát • A hitelesítés nehézségei • Nyílt hálózat, bárki hallgatózhat • A kihívás-válasz alapú hitelesítés esetén a támadó könnyen megszerezheti a kihívást és a választ is • Gyenge jelszavak esetén egyszerű a szótáras támadás • Man-in-the-middle támadások • Vezetéknélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt • A forgalmat rajta keresztül folyik így hozzájut a hitelesítési adatokhoz • Legjobb a felhasználót hitelesíteni nem az eszközét • Felhasználói jelszavak (mindenkinek külön) 2008.04.15

  9. Hitelesítés – Captive portal • Hitelesítés web felületen keresztül • Egyszerű a felhasználónak • A kliensen egy web browser kell hozzá • A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja • Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó • A felhasználó hitelesítés után folytathatja a böngészést • A weblapon akár elő is fizethet a felhasználó a szolgáltatásra • A legtöbb HOTSPOT ezt használja • Nem igényel szakértelmet a használata • Nem kell telepíteni vagy átállítani a felhasználó gépét • Nem biztonságos! • Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát • A felhasználó megtéveszthető hamis szolgáltatóval • A támadó folytathatja a felhasználó nevében a hozzáférést 2008.04.15

  10. Adatkapcsolat biztonsága • A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is • Az adatokat titkosítani kell a hálózaton • Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát • A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet • WEP – Wired Equivalent Privacy • WPA – WiFi Protected Access • 802.11i – 802.11 Enhanced security • WPA2 –nek is nevezik 2008.04.15

  11. WEP • Wired Equivalent Privacy • Az eredeti 802.11 biztonsági protokoll • A felhasználók adatainak titkosítása a lehallgatás ellen • Rendkívül alacsony biztonsági szint, könnyen feltörhető • Az RC4 adatfolyam titkosító algoritmust használja • A vezeték nélküli eszköz titkosítja mind az adatokat, mind a CRC-t • Az átvitel során történő illetéktelen módosítást kívánja kiküszöbölni • 40 vagy 128 bites (WEP2) közös kulcsot használ • Mindkét félnek ismernie kell a kapcsolat létrejötte előtt • A titkosításhoz egy inicializációs vektor-t (IV) használ • A vektort minden keretben elküldik • Az IV vektor és a k kulcs alapján egy (pseudo)véletlen titkosítási kulcsot generál • Minden keret más generált kulccsal titkosítódik • Két azonos tartalmú csomag másképp fog kinézni titkosítva • Elég hosszú hallgatózással ez kijátszható • Nincs semmilyen kulcsváltó algoritmus • Manuális váltások, egy csere több napig is eltarthat • Megkönnyíti a támadó dolgát 2008.04.15

  12. WEP működése • Egy titkos k kulcs megosztva a kommunikáló felek között • Egy csomag titkosítása: • Ellenőrző összeg ICV készítése az M üzenetből • Integrity Check Value • A kettőt összemásoljuk • P = <M,ICV> érthető (még nem titkositott) üzenetet • Sem az ICV sem P nem függ a k kulcstól • Titkosítás az RC4 algoritmussal: • Egy v inicializáló vektort (IV) választunk • Az RC4 egy hosszú kiterjesztett kulcsot generál – RC4(v,k) • A kiterjesztett kulcsot XOR müvelettel összemásoljuk az üzenettel • Megkapjuk a C titkosított üzenetet, C = P xor RC4(v,k) • Közvetítés: • Az IV-t és a C-t átküldjük a csatornán 2008.04.15

  13. WEP működése • A dekódoláshoz a vevő az algoritmust fordított sorrendben végzi el • Legenerálja az RC4(v,k) kiterjesztett kulcsot • XOR-ozza a titkosított szöveggel, megkapja az eredeti szöveget • P’ = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P • Ellenőrzi az ellenőrző összeget 2008.04.15

  14. Támadások a WEP ellen • Kiterjesztett kulcs újrahasználása • Ha ugyanazzal a kulccsal és IV-vel titkosítunk két csomagot, a támadó infókat tudhat meg mindkét csomagról • A 2 titkosított csomag XOR-ja megegyezik a 2 eredeti csomag XOR-jával • Ha az egyik üzenetet ismerjük, a másikat vissza lehet fejteni • Elég lehet a parciális ismerete is bizonyos érthető (P) üzeneteknek • Pl. protokoll fejlécek • A csomagonkénti IV jó védekezés, de... • Az IV-ket kódolatlanul küldik a csomagokban • A támadó gyűjtheti az IV-ket • A kulcsokat nagyon ritkán változtatják • Egy idő után előfordul majd IV ismétlés • IV 24 biten, általában 0-tól indulva folyamatosan nő • Egy AP 1500 byte-os csomagokkal, 5 Mb/s sebességgel fél nap alatt elhasználja az IV-ket • Véletlen IV választással pár perc alatt • kb. 5000 csomag után 50% a valószínüsége egy ismétlésnek 2008.04.15

  15. WPA, WPA2 és 802.11i • WPA • Wi-Fi Protected Access (2002) • Wi-Fi Alliance szabványa • Ideiglenes megoldás a WEP hibáinak kiküszöbölésére • Hatékonyabb kulcs menedzsment • Temporal Key Integrity Protocol – TKIP • Egy master kulcsból generál periódikusan új kulcsokat • A WEP-nél manuális kulcsváltás • Ugyancsak RC4 algoritmust használ, de 48 bit hosszú IV-vel • IEEE 802.11i • Sokáig váratott magára, 2004 nyarán fogadták el • A 802.11 a, b és g-vel ellentétben egy biztonsági mechanizmust definiál • A TKIP mellett egy új titkosítási szabványt is használ • Advanced Encryption Standard – AES • WPA2 • A Wi-Fi Alliance új szabványa • Kompatibilis az IEEE 802.11i-vel 2008.04.15

  16. Roaming • Váltás különböző hozzáférési hálózatok között • Vertical roaming • Váltás különböző technológiák között • Pl. WLAN – UMTS, WLAN – GPRS; • Horizontal roaming • Váltás két, ugyanazt a technológiát használó szolgáltató között • Pl. két WLAN hotspot operátor között • WISP – Wireless Internet Service Provider • Roaming problémák • Hitelesítés, engedélyezés, számlázás • Mobilitás kezelése • Jó lenne megtartani az aktív kapcsolatokat és az IP címet • Mobile IP, alagutazás 2008.04.15

  17. Roaming modellek • Kétoldalú roaming támogatás • A WISP-ek között kétoldalú megegyezés • Kölcsönösen beengedik hálózatukba a másik szolgáltató felhasználóit • Nincs szükség egy megbízható, harmadik félre • Roaming konzorcium • Megegyezés több WISP között • beengedik egymás felhasználóit • Szükség van egy centralizált fizetés kezelési egységre • Clearing house • Megbízható harmadik fél, a hitelesítési és nyílvántartási üzenetek kezelésénél • Tranzakció alapú díjazás • Plastic roaming • Ha nincs megegyezés a WISP-ek között • Létre kell hozni valamilyen közvetlen kapcsolatot a látogatott operátorral • A teljes előfizetés kényelmetlen, nem gazdaságos • Kártyás fizetés adatforgalom vagy kapcsolódási idő alapján • Műanyag kártya – plastic roaming 2008.04.15

More Related