IEEE 802.11 IEEE 802.11 (IEEE англ. Institute of Electrical and Electronics Engineers ) - семейство спецификаций, разработанных IEEE для беспроводных. - презентация

1

2 IEEE IEEE (IEEE англ. Institute of Electrical and Electronics Engineers ) - семейство спецификаций, разработанных IEEE для беспроводных локальных сетей (wireless LAN). IEEE задает спецификации интерфейса между беспроводным клиентом и базовой станцией или между двумя беспроводными клиентами. Список стандартов IEEE

3 Угрозы безопасности беспроводных сетей : 1. Подслушивание Первичная цель злоумышленника : кто использует сеть, какие данные в ней доступны, каковы возможности сетевого оборудования, в какие моменты его эксплуатируют наиболее и наименее интенсивно, какова территория развертывания сети.

4 Активное подслушивание в локальной беспроводной сети обычно основано на неправильном использовании протокола Address Resolution Protocol (ARP). Атакующий посылает ARP- ответы, на которые не было запроса, к целевой станции локальной сети, которая отправляет ему весь проходящий через нее трафик.

5 2. Отказ в обслуживании 3.1 Глушение клиентской станции Глушение клиентской станции дает мошеннику возможность подставить себя на место заглушенного клиента. Для беспроводных сетей DOS – атака понимается как перегрузка точек доступа пакетами, вследствие чего происходит зависание точки доступа и, как следствие, всей сети.

6 3.2 Глушение базовой станции Глушение базовой станции предоставляет возможность подменить ее атакующей станцией. Непреднамеренное глушение : многие устройства, такие как радиотелефоны, системы слежения и микроволновые печи, могут влиять на работу беспроводных сетей и глушить беспроводное соединение.

7 4. Угрозы криптозащиты Например, при использовании WEP- шифрования ( единственный статический ключ для всех пользователей ) атакующий может полностью восстановить ключ после захвата минимального сетевого трафика. 5. Анонимность атак 6. Несанкционированное использование устройств беспроводного доступа к сети

8 Обеспечение безопасности беспроводных соединений : 1. Идентификация, аутентификация, авторизация Идентификация, аутентификация, авторизация 2. Шифрование Шифрование 3. VPN 4. Средства обнаружения вторжения Средства обнаружения вторжения

9 Принцип аутентификации абонента в IEEE : Механизмы аутентификации беспроводных абонентов : Открытая аутентификация Аутентификация общим ключом (Shared Key Authentication) Назначение идентификатора беспроводной локальной сети (Service Set Identifier - SSID ) Аутентификация абонента по его MAC- адресу

10 Открытая аутентификация Точка радиодоступа удовлетворит любой запрос открытой аутентификации.

11 Аутентификация с общим ключом Аутентификация с общим ключом требует настройки у абонента статического ключа шифрования WEP. В результате выполнения побитовой операции XOR над зашифрованным сообщением и ключевой последовательностью злоумышленник может легко вычислить сегмент ключевой последовательности путем анализа фреймов в процессе аутентификации абонента. ( СХЕМА ) СХЕМА

12 Аутентификация по MAC- адресу Аутентификация по MAC- адресу используется в дополнение к открытой аутентификации и аутентификации с общим ключом стандарта IEEE для уменьшения вероятности доступа посторонних абонентов. Стандарт IEEE требует передачи MAC- адресов абонента и точки радиодоступа в открытом виде. В результате в беспроводной сети, использующей аутентификацию по MAC- адресу, злоумышленник может обмануть метод аутентификации путем подмены своего MAC- адреса легитимным.

13 Шифрование в беспроводных сетях 1997 г. - WEP ( Wired Equivalent Privacy ) 2002 г. - WPA ( Wi-Fi Protected Access ) 2004 г i ( иногда называют WPA2 )

14 Стан дарт Средства обеспечения безопасности ДостоинстваНедостатки WEP Шифрование RC4 (40 или 104 бита)+ вектор инициализации IV (24 бита), статичные ключи, аутентификация 802.1х – по желанию пользователя аутентификация 802.1х Хоть какая-то защита; поддержка WEP в большинстве устройств Атакующий может восстановить ключ после захвата минимального сетевого трафика ( Схема ) ; следует использовать дополнительные СЗИ (напр., VPN) Схема WPA TKIPTKIP, динамичные ключи, Michael, обязательная аутентификация 802.1х (EAP и RADIUS либо предустановленный общий ключ)Michael аутентификация 802.1хEAPRADIUS Обратная совместимость с WEP; возможность интеграции в существующие беспроводные сети простым обновлением микропрограмм. Временное решение проблемы на переходный период до утверждения более надежного стандарта i i Шифрование AES, CCMP, управление ключами 802,11i, аутентификация 802.1х. Более стойкое чем WEР шифрование; надежная схема управления ключами Необходимость нового оборудования; несовместимость со старым оборудованием Wi-Fi

15 TKIP TKIP - временный протокол целостности ключа ( Temporal Key Integrity Protocol ): 1.Пофреймовое изменение ключей шифрования. WEP - ключ быстро изменяется, и для каждого фрейма он другой : IV, MAC- адрес передатчика и WEP- ключ обрабатываются вместе с помощью двухступенчатой функции перемешивания. Результат применения этой функции соответствует стандартному 104- разрядному WEP- ключу и 24- разрядному IV. IEEE предложила также увеличить 24- разрядный вектор инициализации до 48- разрядного IV.

16 2.Контроль целостности сообщения. Обеспечивается эффективный контроль целостности фреймов данных с целью предотвращения скрытых манипуляций с фреймами и воспроизведения фреймов. MIC (Michael) - уникальный ключ, который отличается от ключа, используемого для шифрования фреймов данных. MIC перемешивается с назначенным MAC- адресом и исходным MAC- адресом фрейма, а также со всей незашифрованной частью фрейма. ( СХЕМА ) СХЕМА 3.Усовершенствованный механизм управления ключами.

17 Механизм шифрования TKIP:

18 Стандарт х Стандарт IEEE 802.1x описывает единую архитектуру контроля доступа к портам с использованием разнообразных методов аутентификации абонентов. Архитектура IEEE 802.1x: Клиент (Supplicant) - находится в операционной системе абонента ; Аутентификатор (Authenticator) - находится в программном обеспечении точки радиодоступа ; Сервер аутентификации ( Authentication Server ) - находится на RADIUS- сервере ( англ. Remote Authentication in Dial-In User Service протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. ).

19 1. Клиент активизируется и ассоциируется с точкой радиодоступа ( или физически подключается к сегменту в случае проводной локальной сети ). 2. Аутентификатор распознает факт подключения и активизирует логический порт для клиента, сразу переводя его в состояние " неавторизован ". В результате через клиентский порт возможен лишь обмен трафиком протокола IEEE 802.1x, для всего остального трафика порт заблокирован.

20 Алгоритм аутентификации Extensible Authentication Protocol или EAP ( расширяемый протокол идентификации ) поддерживает централизованную аутентификацию элементов инфраструктуры беспроводной сети и ее пользователей с возможностью динамической генерации ключей шифрования. EAP ЕАР служит « транспортом » для сообщений х

21 Системы обнаружения вторжения в беспроводные сети IDS (Intrusion Detection System) на базе сети NIDS (Network Intrusion Detection Systems ) на базе хоста HIDS ( Host Intrusion Detection Systems) на основе сигнатур на основе базы знаний ПРИМЕРЫ : AirDefense Guard, Isomair Wireless Sentry

22

23