Vezetéknélküli technológia
WiFi (Wireless Fidelity) ● 802.11 szabványt IEEE definiálta protokollként, 1997 ● Az ISO/OSI modell 1-2 rétege ● A sebesség függ: helyszíni viszonyok, zavarok, a titkosítás ki/be kapcsolása a kommunikáció alatt ●
Helyi hálózatok tervezése és üzemeltetése
1
Szabványok
802.11a, 5Ghz, 54Mbps, rövid hatótávolság, drága eszközök ● 802.11b, 2,4Ghz, 11Mbps, WEP ● 802.11g, 2,4Ghz, 54Mbps, WPA ● 802.11i, 2,4Ghz, WPA2 ● 802.11n, 2,4Ghz vagy 5Ghz, 600Mpbs ●
Helyi hálózatok tervezése és üzemeltetése
2
Frekvenciák
2,45 Ghz – Bluetooth ● 2,4-2,483 Ghz – 802.11, 802.11b, 802.11g ● 5,180 - 5,805 Ghz – 802.11a ● 1,2276 – 1,5742 Ghz - GPS ●
Helyi hálózatok tervezése és üzemeltetése
3
Fogalmak AP (Access Point) / STA (Station) ● SSID (Service Set Identifier) ● ad-hoc – peer-to-peer ● hub-and-spoke – infrastruktúra hálózat BSS – Basic Service Set ESS – Extended Service Set ● hotspot (Wi-Fi hozzáférési pont) ● WEP (Wired Equivalent Privacy) ● WPA (Wi-Fi Protected Access) ●
Helyi hálózatok tervezése és üzemeltetése
4
Kapcsolódás a hálózatra
Helyi hálózatok tervezése és üzemeltetése
5
Four-Way Handshake
Helyi hálózatok tervezése és üzemeltetése
6
Hitelesítés, titkosítás 1. Hitelesítés (Authentication): A hitelesítő rendszer feladata eldönteni, hogy egy csatlakozni kívánó felhasználó valóban használhatja-e a hálózati erőforrásokat. Emellett létezik üzenethitelesítés is, amely már egy hitelesített viszonyban a titkosított üzeneteket védi a módosítással szemben (integritásvédelem). 2. Titkosítás (Encryption): A titkosítás biztosítja a lehallgatásmentességet, vagyis megvédi az adatokat az illetéktelenek hozzáférésétől.
Helyi hálózatok tervezése és üzemeltetése
7
Biztonságos kommunikáció
SSID letiltása ● MAC address szűrés ● WEP (Wired Equivalent Privacy), 1997, aircrackng ● WPA (Wi-Fi Protected Access), 2002 ● WPA2, 2004 ●
Helyi hálózatok tervezése és üzemeltetése
8
WEP „Kábellel Egyenértékű Titkosság” ● EAP-PSK (Extensible Authentication Protocol, Pre-Shared Key) minden felhasználónak ugyanaz a kulcsa a hálózati hozzáféréshez ● RC4 folyamkódoló ● 40 vagy 104 bites WEP kulcs ● IV - Initialization Vector ● 2002-ben sikerült feltörni, ~10perc ● http://hu.wikipedia.org/wiki/WEP ●
Helyi hálózatok tervezése és üzemeltetése
9
A WEP hibái 1. Az IV értéke túl rövid és nincs védelem az újrafelhasználás ellen. 2. Az IV-ből származtatott kulcsok védtelenek az FMS (Fluhrer-Mantin-Shamir) támadással szemben. 3. Az üzenetmódosítás detektálására nincs módszer (az integritás nem ellenőrizhető), hiszen az ICV nem tartalmazza a WEP kulcsot. 4. Közvetlenül a WEP kulcsot használják a titkosításhoz és a hitelesítéshez is, és így nincs lehetőség a kulcsok frissítésére. 5. Nincs védelem a visszajátszásos támadásokkal (replay attack) szemben. Helyi hálózatok tervezése és üzemeltetése
10
WPA/WPA2
„Wi-Fi Védett Hozzáférés” ● TKIP - Temporal Key Integrity Protocol, dinamikusan változtatja az alkalmazott kulcsokat ● "Michael-algoritmus" ● AES, CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), érzékeli a TKIP-törési kísérleteket ●
Helyi hálózatok tervezése és üzemeltetése
11
WPA/WPA2
maximális WPA-PSK védelemhez (256 bit) olyan kulcs kell, ami 54 véletlenszerű karaktert, vagy 39 véletlenszerű ASCII karaktert tartalmaz ● WPA-TKIP több kulcsot használ (külön kulccsal rendelkeznek az egyes STA-k és van egy broadcasthoz szükséges csoportkulcs) ● WPA AES CCMP ●
Helyi hálózatok tervezése és üzemeltetése
12
WEP hibáinak kiküszöbölésére a TKIP (A) Megnöveli az IV hosszát 48 bitre, hogy megakadályozza az újrafelhasználást. (B) A WEP CRC-32-es ellenőrzőösszeg számítását kiegészítették a Michael algoritmussal, amely biztosítja az integritást a kisteljesítményű processzorokon is. (C) A TKIP számos kulcsot használ, amely egy ún. Master Key-ből származik. Emellett a kulcsok cseréjét folyamatosan biztosítja, és külön kulcsot használ broadcast-hoz és unicasthoz. (D) A TKIP az IV értéket számlálóként is használja, és így véd a visszajátszásos támadással szemben. (E) Az RC4 kulcsokat minden keretnél változtatják. Helyi hálózatok tervezése és üzemeltetése
13
Hozzáférési pontok
AP (Access Point) ● egy időben maximum 255 kliens állomás kapcsolódhat ● SOHO hálózatok maximum 10-15 klienst képesek kiszolgálni ●
Helyi hálózatok tervezése és üzemeltetése
14
„Érvek” a Wi-Fi ellen
nem biztonságos ● a kábeles infrastruktúrához képest kisebb a teljesítménye ● sok access point (AP) esetén nehezen menedzselhető ● VLAN-alapú, szeparált hálózatokban nehezen kezelhetőek a szegmensek ●
Helyi hálózatok tervezése és üzemeltetése
15
Wirelles Linux alatt wlan0 interface ● iw - show / manipulate wireless devices and their configuration ● iwconfig - configure a wireless network interface ● iwlist - Get more detailed wireless information from a wireless interface ● iwspy - Get wireless statistics from specific nodes ●
Helyi hálózatok tervezése és üzemeltetése
16
