Sieci bezprzewodowe - .Sieci bezprzewodowe . Wi-Fi ... Bezpiecze„stwo Zalety i wady . Technologie

  • View
    212

  • Download
    0

Embed Size (px)

Text of Sieci bezprzewodowe - .Sieci bezprzewodowe . Wi-Fi ... Bezpiecze„stwo Zalety i wady ....

Sieci bezprzewodowe

Wi-Fi

WiMax

Technologie

Architectura

Elementy sieci

Zasada dziaania

Topologie sieci

Konfiguracja

Zastosowania

Bezpieczestwo

Zalety i wady

Technologie bezprzewodowe stanowi alternatyw dla sieci opartych na poczeniach kablowych. Wi-Fi (Wireless Fidelity) to oglny termin odnoszcy si do standardu IEEE802.11 opisujcego bezprzewodowe sieci lokalne (WLAN). Wi-Fi umoliwia poczenie komputerw midzy sob, czno z Internetem a take jest doczalna do sieci przewodowej .

Standardy Wi-Fi

IEEE 802.11b

IEEE 802.11a

IEEE 802.11g

IEEE 802.11n

IEEE 802.11b

Zatwierdzony pod koniec 1999

Pracuje w pamie 2,4 GHz

11 Mbps (prdko teoretyczna) dla odlegoci do

30m

4-6 Mbps (przecitna prdko transmisji)

Zasig max.: 45m w pomieszczeniu, ~100m na

zewntrz

Interferencje z sygnaem z telefonw komrkowych i

urzdze Bluetooth obniaj szybko transmisji.

IEEE 802.11a

Zatwierdzony pod koniec 1999, wdroony w 2001

Pasmo pracy - 5 GHz

54 Mbps (szybko teoretyczna)

15-20 Mbps (szybko efektywna)

Zasig: 20 35m

Urzdzenia drosze od urzdze 802.11b

Niekombatybilny z 802.11b

IEEE 802.11g

Wdroony w 2003

Poczenie dwch poprzednich standardw (a-

prdko,b-pasmo pracy)

Zasig jak w standardzie b (wynika z pasma pracy)

54 Mbps prdko efektywna

Pasmo pracy - 2.4 GHz

Kompatybilny w d z 802.11b

Dostpne urzdzenia w standardzie Super G

IEEE 802.11n

Zatwierdzony wrzesie 2009

Max prdko teoretyczna 300Mbps

(dostpna 100Mbps)

Pasmo pracy - 2.4 lub 5,0GHz

Zasig 70 do ~200m

Warstwa fizyczna 802.11

Warstwa fizyczna skada si z trzech podwarstw (trzy metody transmisji):

Direct Sequence Spread Spectrum (DSSS)-bezporednie modulowanie nonej sekwencj kodow.

Frequency Hoping Spread Spectrum (FHSS)-skakanie sygnau po czstotliwociach w kolejnych odstpach czasu.

Diffused Infrared (DFIR) fale elektromagnetyczne z zakresu podczerwieni

Pasmo transmisji podzielone jest na 11 kanaw o szerokoci 22MHz kady.

Warstwa cza danych 802.11

Logical Link Control (LLC) sterowanie poczeniem logicznym. Wysza podwarstwa warstwy cza danych modelu OSI. Identyczna dla rnych fizycznych mediw wymiany danych.

Media Access Control (MAC) kontrola dostpem do medium. Nisza podwarstwa warstwy cza danych modelu OSI.

Elementy sieci Wi-Fi

Access Point (AP) punkt dostpowy. Urzdzenie zapewniajce stacjom bezprzewodowym dostp do zasobw sieci za pomoc bezprzewodowego medium transmisyjnego.

Karty Wi-Fi bezprzewodowe karty sieciowe (np. standard PCMCIA do notbookw lub PCI komputerw stacjonarnych).

Zabezpieczenia firewalle i antywirusy oprogramowanie zabezpieczajce przed nieautoryzowanym dostpem do zasobw sieci i zapewniajce bezpieczestwo informacji.

Jak dziaa sie WiFi

Podstawowa koncepcja jest oparta o zasad dziaania krtkofalwek.

Wi-Fi hotspot jest tworzony poprzez doczenie AP do sieci internet.

Punkt dostpowy stanowi stacj bazow dla pocze bezprzewodowych.

W chwili gdy klient Wi-Fi zlokalizuje punkt dostpowy moliwe jest ustanowienie poczenia.

Wiele AP moe by poczonych ze sob kablem Ethernetowym tworzc siatk (mesch) Wi-Fi.

Topologie sieci Wi-Fi

Topologia AP-based topologia (tryb Infrastructure) Topologia peer-to-peer (Ad-hoc Mode) Topologia mostu - Point-to-multipoint

Tryb Infrastructure

Klienci komunikuj si poprzez AP. AP zapewniaj dostp do sieci. Struktura zawiera co najmniej 2 AP. Zasig ssiadujcych komrek AP powinny pokrywa si w

10-15%.

Topologia peer-to-peer

AP nie jest wymagany. Urzdzenia w obrbie komrki mog komunikowa si ze

sob bezporednio. Jest atwa i szybka do utworzenia. Jest bardzo podatna na nieautoryzowany dostp

Point-to-multipoint

Topologia pozwalajca czy ze sob odlege sieci lokalne. Jeden punkt stanowi rodzaj koncentratora z dostpem do Internetu. Pozostae punkty cz si z nim na zasadzie wielu-do-jednego

Zagroenia sieci Wi-Fi

Technologie Wi-Fi s naraone na wszystkie niebezpieczestwa znane z wczeniejszych technologii. Dodatkowo sieci Wi-Fi s podatne na ataki typu:

Eavesdropping (podsuchiwanie)

Man-in-the-middle

Denial of Service

Wyposaenie do podsuchu bluetooth na odlego 1 mili (~1,6km)

Podsuchiwanie transmisji

atwe w realizacji, niemal niemoliwe do wykrycia.

Domylnie caa transmisja jest niekodowana: nazwa uytkownika, hasa, zawarto przekazu, domylnie nie ma kodowania w warstwie fizycznej.

Istnieje caa gama narzdzi do realizacji podsuchu:

sniffery sieciowe, analizatory protokow, itp., sowniki hase.

Z odpowiednim wyposaeniem transmisj Wi-Fi mona

podsuchiwa z odlegoci kilku kilometrw.

Atak MItM

Atakujcy przechwytuje pakiety

ofiary, blokujc transmisj

Ofiara nie mogc wykona

transmisji poszukuje

najbliszego AP

Atakujcy podszywa si pod AP

Atakujcy uywajc identyfikacji

ofiary czy si z waciwym AP

Atak DoS

Atak na pasmo fizyczne wprowadzenie czstotliwoci zakcajcych (frequency jamming) metoda nie wyrafinowana ale skuteczna.

Atak na warstw MAC

faszowanie danych w transmitowanych ramkach (spoofing), moliwo ataku okrelonego uytkownika.

Atak na protokoy wyszych warst

SYN flooding

Zabezpieczanie sieci Wi-Fi

Uwierzytelnienie: - po stronie uytkownika - po stronie serwera Prywatno

Uwierzytelnienie

Nie pozwala na nieautoryzowany dostp do sieci Uwierzytelnienie po stronie uytkownika: - wymagany jest serwer uwierzytelniajcy, - nazwa uytkownika i haso. Zagroenia:

- nazwa uytkownika i haso s przesyane przed nawizaniem bezpiecznego poczenia,

- atwe do przechwycenia poprzez podsuch sieci. Rozwizanie: - nawizanie bezpiecznego poczenia przed

logowaniem uytkownika

Uwierzytelnienie cd.

Uwierzytelnianie po stronie serwera: - Uycie certyfikatw - Sprawdzenie poprawnoci certyfikatu odbywa si automatycznie w ramach oprogramowania klienckiego

Techniki zabezpieczenia Wi-Fi

Service Set Identifier (SSID) identyfikator sieci (max 32 znaki)

Wired Equivalent Privacy (WEP)

802.1X Access Control

Wireless Protected Access (WPA)

IEEE 802.11i (WPA2)

Identyfikator sieci SSID

SSID (ang. Service Set IDentifier) identyfikator sieci skadajcy si maksymalnie z 32 znakw, dodawany do nagwkw pakietw wysyanych przez bezprzewodow sie lokaln. Peni rol hasa dostpowego przy prbie dostpu do punktw dostpu. Wszystkie urzdzenia majce pracowa w jednej sieci musz uywa tego samego SSID.

Szyfrowanie WEP

WEP (ang. Wired Equivalent Privacy) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE 802.11. Standard ten powsta w 1997 roku. Standard specyfikuje klucze 40- i 104-bitowe, do ktrych w procesie wysyania ramki doczany jest wektor inicjujcy (IV) o dugoci 24 bitw. Std popularnie mwi si o 64- i 128-bitowych kluczach WEP, ale nie jest to stwierdzenie poprawne technicznie. W rozszerzeniach firmowych tego standardu znale mona rwnie klucze o dugoci 232 bitw (z IV daje to 256 bitw), ktre jednak z uwagi na znane saboci w doborze IV nie zwikszaj w istotny sposb siy kryptograficznej caoci rozwizania.

Standard dostpu 802.1x

Mechanizm dostpu sieciowego oglnego przeznaczenia (nie tylko dla sieci Wi-Fi).

Uwierzytelnia klienta podczonego do AP lub przecznika sieciowego.

Uwierzytelnianie odbywa si z wykorzystaniem serwera uwierzytelniajcego, ktry stwierdza czy dany klient jest autentyczny czy nie.

Szyfrowanie WPA

WPA (ang. WiFi Protected Access) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE 802.11. WPA jest nastpc mniej bezpiecznego standardu WEP. Standard WPA zosta prowadzony przez organizacj WiFi. Pierwsza wersja profilu WPA zostaa wprowadzona w kwietniu 2003 roku. WPA wykorzystuje protokoy TKIP (Temporal Key Integrity Protocol), 802.1x oraz uwierzytelnienie EAP.

WPA=802.1x+EAP+TKIP+MIC

Szyfrowanie WPA cd.

WPA dzieli si na: Enterprise korzysta z serwera RADIUS, ktry przydziela rne klucze do kadego uytkownika. Personal - nie dzieli kluczy na poszczeglnych uytkownikw, wszystkie podczone stacje wykorzystuj jeden klucz dzielony (PSK - Pre-Shared Key).

Uwierzytelnienie w protokole WPA-PSK jest podatne na ataki sownikowe.

Szyfrowanie TKIP w WPA jest podatne na atak kryptoanalityczny o ograniczonym

zasigu, dla ktrego opracowano rwnie zoptymalizowan wersj.

Bezpieczestwo WPA

Dane s szyfrowane Zabezpieczenie przed podsuchem i atakami typu

MItM

Ataki Dos Zabezpieczenie przed atakiem opartym na

faszywych danych (fake messages) Jeeli w okrelonym czasie nadejd dwa

nieautoryzowane pakiety czno zostaje zerwana na okrelony czas

Dwa niewaciwe pakiety na minut wystarcz do wstrzymania aktywnoci

802.11i (WPA2)

Protok implementuje w sobie 802.1x i CCMP

Dstpne s wersje: Personal i Enterprise

WPA2 jest kompatybilne wstecz z WPA

Podstawowa rnica pomidzy WPA, a WPA2 jest w sposobie szyfrowania (odpowiednio RC4 i AES )

WPA i WPA2 s duo bardziej bez