1 / 16

Elemente de securitate

Elemente de securitate. Accesul neautorizat AP-uri neautorizate Atacuri Man-in-the-Middle Denial of Service Metode si protocoale de securizare Autentificarea in WLAN Criptarea Controlul accesului la WLAN. Accesul neautorizat. War drivers

sevita
Download Presentation

Elemente de securitate

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Elemente de securitate Accesul neautorizat AP-uri neautorizate Atacuri Man-in-the-Middle Denial of Service Metode si protocoale de securizare Autentificarea in WLAN Criptarea Controlul accesului la WLAN

  2. Accesul neautorizat • War drivers • Scanarea folosind un client 802.11 cu scopul detectarii sistemelor nesecurizate in vederea exploatarii acestora • Hackers (Crackers) • Intrusi malitiosi care intra neautorizat in sisteme cu scopul de a fura date sau de a afecta sisteme • Angajati • Introduc AP-uri in companie pentru a crea WLAN-uri proprii

  3. AP-uri neautorizate • AP-uri introduse in WLAN-uri cu scopul de a interfera cu operarea normala a retelei • Scopuri • Capturarea datelor client • Furnizarea de informatii pentru utilizatori neautorizati • Castigarea accesului la servere si statii

  4. Atacuri Man-in-the-Middle • Man-in-the-middle – MITM • Atacatorul se pozitioneaza logic intre statia tinta si gateway • Hackerul selecteaza o statie ca si tinta si foloseste un soft de capturare a pachetelor pentru a observa statia conectandu-se la un AP • Atacatorul citeste: username-ul tintei, numele serverului, adresa IP a clientului si a serverului, ID-ul folosit pentru calculul raspunsului, si raspunsul challenge si associate response

  5. Denial of Service • Zgomot produs de aparate care folosesc banda 2.4GHz ISM • Telefoane fara fir • Cuptoare cu microunde • Transmiterea (flood) de mesaje clear-to-send (CTS) • Transmiterea de comenzi disassociate care determina deconectarea statiilor din BSS; statiile incearca sa se reasocieze fapt care determina cresterea traficului; ciclul se repeta deoarece atacatorul transmite comenzi disassociate

  6. Metode si protocoale de securizare • Autentificarea 802.11 • Open • Nu securizeaza reteaua • Shared WEP key • Algoritmul nu ofera suficienta securitate • Managementul manual al cheilor WEP pe 32 de biti – problema de scalabilitate

  7. Ascunderea SSID • AP-ul nu face broadcast la SSID • Nu ofera suficienta securitate deoarece SSID-ul poate fi detectat prin monitorizarea traficului intre client si AP • Filtrarea adreselor MAC • Nu ofera suficienta securitate deoarece adresa MAC poate fi modificata

  8. 802.11i –Wi-Fi Alliance WiFi Protected Access (WPA) • Algoritmul de criptare Temporal Key Integrity Protocol (TKIP) • 802.11i –Wi-Fi Alliance WPA2 • Algoritmul de criptare Advanced Encryption Standard (AES) • Baza de date Remote Authentication Dial In User Service (RADIUS)

  9. Autentificarea in WLAN • Retelele cu cerinte de securitate necesita autentificare suplimentara sau login • Procesul login este manevrat de Extensible Authentication Protocol (EAP) • EAP este un framework pentru autentificarea accesului la retea • 802.11i standard pentru autentificare si autorizare WLAN • 802.11i foloseste 802.1x

  10. Clientul care urmareste accesul la retea este denumit suplicant • Dispozitivul la care suplicantul se conecteaza direct si prin care obtine permisiunea de acces la retea se numeste authenticator • Authentication server autentifica suplicantul • Procesul de autentificare constand din schimbul de mesaje EAP are loc intre supplicant si authentication server

  11. Dispozitivul authenticator functioneaza ca un releu transparent pentru acest schimb de mesaje si ca punct de aplicare pentru instructiunile de configurare a politicilor transmise de authentication server sa si rezultat al procesului de autentificare • 802.1x defineste un nou protocol de nivel legatura de date, 802.1x, folosit pentru comunicatiile dintre supplicant si authenticator • Comunicatiile intre supplicant si authentication server folosesc protocolul RADIUS transportat peste UDP

  12. Procesul de asociere 802.11 creaza un port virtual la AP pentru fiecare client • AP-ul blocheaza toate cadrele de date cu exceptia traficului bazat pe 802.1x

  13. Cadrele 802.1x transporta pachetele de autentificare EAP via AP la un server AAA (Authentication, Authorization, and Accounting); serverul AAA mentine credentialele de autentificare si ruleaza protocolul RADIUS

  14. Daca autentificarea EAP este reusita serverul AAA transmite un mesaj succes EAP AP-ului care permite traficului de date de la client sa treaca prin portul virtual • Inaintea deschiderii portului virtual se stabileste criptarea la nivelul legaturii de date intre client si AP

  15. Criptarea • Temporal Key Integrity Protocol (TKIP) • WPA • Cripteaza datele nivelului 2 • Transporta message integrity check (MIC) in pachetul criptat. • Advanced Encryption Standard (AES) • WPA2 • Aceleasi functii ca si TKIP • Foloseste date aditionale din headerul MAC • Adauga un numar de secventa headerului de date criptat

  16. Controlul accesului la WLAN • Ascunderea SSID – Dezactivarea broadcasturilor SSID de la AP-uri • Filtrarea adreselor MAC – tabelele construite manual pe AP-uri • Implementarea securitatii WLAN – WPA sau WPA2 • Reducerea puterii de transmisie a AP-urilor astfel incat aria de acoperire sa nu depaseasca suprafata cladirii

More Related