Bilgisayar ve Ağ Güvenliği

Benzer belgeler
Yeni Nesil Ağ Güvenliği

KABLOSUZ YEREL ALAN AĞLARINDA WEP v3 WPA ANAHTARLARININ ELDE EDİLMESİ

Mobil ve Kablosuz Ağlar (Mobile and Wireless Networks)

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

Kablosuz Ağlar (WLAN)

Uygulama 6. Sunum 5. Oturum 4. Taşıma 3. Ağ 2. Veri iletim 1

7 Uygulama 6. Sunum 5 Oturum Taşıma. 4 Ara katman- Yazılım ve donanım arası 3. Ağ Veri iletim. 2 Ağ Grubu-Donanım 1. Fiziksel. Uygulama Grubu-Yazılım

KABLOSUZ AĞ ŞİFRELEME YÖNTEMLERİNİN KARŞILAŞTIRILMASI

BÖLÜM AĞLARINDA GÜVENLİK

Computer Networks 4. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

BİLGİSAYAR AĞLARI VE İLETİŞİM

HP PROCURVE SWITCHLERDE 802.1X KİMLİK DOĞRULAMA KONFİGÜRASYONU. Levent Gönenç GÜLSOY

Kablosuz Yerel Alan Ağlarda Güvenlik Uygulaması

Ağ Yönetiminin Fonksiyonel Mimarisi

ÖNDER BİLGİSAYAR KURSU. Sistem ve Ağ Uzmanlığı Eğitimi İçeriği

RoamAbout Wireless Access Points

TCP/IP. TCP (Transmission Control Protocol) Paketlerin iletimi. IP (Internet Protocol) Paketlerin yönlendirmesi TCP / IP

TCP / IP NEDİR? TCP / IP SORUN ÇÖZME

Simetrik (Gizli) Kriptografik Sistemler Blok Şifreler Standartlaştırma. DES-Data Encryption Standard (Bilgi Şifreleme Standardı)

Elbistan Meslek Yüksek Okulu Güz Yarıyılı

Gündem. VLAN nedir? Nasıl Çalışır? VLAN Teknolojileri

Kablosuz İnternet Erişimi için Hafif Sıklet Bağlam Bilinçli Ağ Güvenlik Sistemi

Elbistan Meslek Yüksek Okulu Güz Yarıyılı EKi Salı, Perşembe Öğr. Gör. Murat KEÇECĠOĞLU

BÖLÜM 8. Bilişim Sistemleri Güvenliği. Doç. Dr. Serkan ADA

Venatron Enterprise Security Services W: P: M:

22/03/2016. OSI and Equipment. Networking Hardware YİNELEYİCİ (REPEATER) YİNELEYİCİ (REPEATER) Yineleyici. Hub

PocketRest Kullanımı

Doç.Dr. Cüneyt BAYILMIŞ

1 WINDOWS SERVER 2012 GENEL BAKIŞ 1 Giriş 1 Bu Kitapta 5 Çıkış Hikâyesi 6 Sürümler 7

Computer Networks 5. Öğr. Gör. Yeşim AKTAŞ Bilgisayar Mühendisliği A.B.D.

Seminar. İnternetin Kontrol Edilmesi. Recep Tiryaki Teknik Servis Muduru 1

Firetide. Kablosuz İletişim Sistemleri

Data Communications. Gazi Üniversitesi Bilgisayar Mühendisliği Bölümü. 2. Ağ Modelleri

OSI REFERANS MODELI-II

ELEKTRONİK SAĞLIK KAYITLARI GÜVENLİĞİNDE IEEE 802.1x STANDARDININ KULLANILMASI

Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM

Hızlı Kurulum Rehberi

WLAN (Wireless Local Area Network) Kablosuz Yerel Ağlar

ELEKTRONİK TİCARETTE BİLGİ GÜVENLİĞİ TERİMLERİ

Ağ Teknolojileri. Ağ Temelleri. Bir ağ kurmak için

Bilgisayar Programcılığı

03/03/2015. OSI ve cihazlar. Ağ Donanımları Cihazlar YİNELEYİCİ (REPEATER) YİNELEYİCİ (REPEATER) Yineleyici REPEATER

KABLOSUZ ERİŞİM NOKTALARINDA KULLANILAN GÜVENLİK STANDARTLARI

FortiGate IPSec VPN (Gateway-to-Gateway) v4.00-build /02

Güvenli Kabuk: SSH. Burak DAYIOĞLU, Korhan GÜRLER

NETWORK BÖLÜM-4 AĞ TOPOLOJİLERİ. Öğr. Gör. MEHMET CAN HANAYLI CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Açık Kod VPN Çözümleri: OpenVPN. Huzeyfe ÖNAL

Veri İletişimi, Veri Ağları ve İnternet

FortiGate & FortiAP WiFi Controller

BİLGİSAYAR AĞLARI VE İLETİŞİM

Kablosuz Ağ Testleri Türk Standardları Enstitüsü Yazılım Test ve Belgelendirme Dairesi Başkanlığı

AĞ TEMELLERİ 4.HAFTA CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU

Secure Routing For Mobile Ad Hoc Networks. Muhammet Serkan ÇİNAR N

Protocol Mimari, TCP/IP ve Internet Tabanlı Uygulamalar

IPSEC. İnternet Protokol Güvenliği

RC4 Tabanlı WPA(Wi-Fi Protected Access) da Kullanılan TKIP(Temporal Key Integrity Protocol) Şifrelemesinin Đncelenmesi

IEEE Kablosuz Ağ Mimarisi ve Hizmetleri

FOUR-FAITH F-DPU100 M2M 3G/4G ENDÜSTRİYEL PROTOKOLLERİ DESTEKLEYEN ÖZEL MODEM

Wireless MAXg Teknolojisi g ağları için kapsama alanını, performans, güvenliği ve basitliği MAXimum düzeye getirir

D Link DSL 2640U Kablosuz G ADSL2+ Router (Ver. C1 için) ADIM ADIM KURULUM KILAVUZU

Internetin Yapı Taşları

Ağ Teknolojileri. Ağ Temelleri. Bir ağ kurmak için

D Link DSL 2600U Kablosuz G ADSL2+ Router (Ver. C1 için) ADIM ADIM KURULUM KILAVUZU

OSI Referans Modeli. OSI Referans Modeli. OSI Başvuru Modeli Nedir? OSI Başvuru Modeli Nedir?

ĐSTEMCĐ SUNUCU SĐSTEMLER DERSĐ FĐNAL ÇALIŞMASI SORULAR YANITLAR

Ayni sistem(host) üzerinde IPC. Ağ(network) aracılığı ile IPC

Üstünlükleri. 1- Lisans gerektirmeyen frekanslarda çalışır.

Ağ Temelleri. Murat Ozdemir Ondokuz Mayıs Üniversitesi Bilgi İşlem Daire Başkanı 15 Ocak Ref: HNet.23

KABLOSUZ AĞLARDA GÜVENLİK PROTOKOLLERİNİN KARŞILAŞTIRMALI İNCELENMESİ

Bu ürün WinXP, 2000, ME, Win98 de çalıştırılmak için tasarlanmıştır. Her işletim sistemi için yükleme yordamı yaklaşık olarak aynıdır.

10. IEEE KABLOSUZ LAN STANDARTLARI (WIRELESS LAN STANDARDS)

Bölüm 8 : PROTOKOLLER VE KATMANLI YAPI: OSI, TCP/IP REFERANS MODELLERİ.

Ürün Özeti WIBNB Modülü

Kablosuz Ağlar. Öğr. Gör. Serkan AKSU

Mobil Cihazlardan Web Servis Sunumu

BILGİSAYAR AĞLARI. Hakan GÖKMEN tarafından hazırlanmıştır.

ÖĞRENME FAALİYETİ 2 ÖĞRENME FAALİYETİ 2

DOD / DEPARMENT OF DEFENCE

AĞ GÜVENLİĞİ VE GÜVENLİK DUVARINDA VPN UYGULAMASI

Kamu Kurum ve Kuruluşları için IPv6'ya Geçiş Planı Ne Gibi Yükümlülükler Getiriyor? Necdet Yücel Çanakkale Onsekiz Mart Üniversitesi

Doç. Dr. Cüneyt BAYILMIŞ

Sistem Güvenliği? BT Güvenliği? Bilgi Güvenliği? A.Levend Abay MSc, MBA, CISM, Mart 2014 Yıldız Teknik Üniversitesi. Levend Abay?

VPN NEDIR? NASıL KULLANıLıR?

FOUR FAİTH ROUTER LARDA IPSEC GÜVENLİ HABERLEŞME KILAVUZU

Güvenli Switching. Başka Bir Switch: ARUBA Tunneled Node. Semih Kavala ARUBA Sistem Mühendisi. #ArubaAirheads

Ağ Donanımları NIC. Hub. Ağ Cihazları (Aktif Cihazlar) Hub. Hub

Yaşar Tonta SLAYT 1

TÜBİTAK UEKAE ULUSAL ELEKTRONİK ve KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ

Doç. Dr. Cüneyt BAYILMIŞ

VERĠ HABERLEġMESĠ OSI REFERANS MODELĠ

Bölüm. Internet: Dayandığı Teknik Temeller

BioAffix Ones Technology nin tescilli markasıdır.

Sophos SSL VPN Ayarları ve SSL VPN Clinet Programı Kurulumu

Veri İletişimi Data Communications

Öğr. Gör. Serkan AKSU 1

Bağlantı Kılavuzu. Desteklenen işletim sistemleri. Yazıcı yükleme. Bağlantı Kılavuzu

NETWORK BÖLÜM-5 OSI KATMANLARI. Öğr. Gör. MEHMET CAN HANAYLI CELAL BAYAR ÜNİVERSİTESİ AKHİSAR MESLEK YÜKSEKOKULU 1/27

MOBĐL UYGULAMALARDA GÜVENLĐK

DSL 2600U (Ver. A1 için) ADIM ADIM KURULUM KILAVUZU

Transkript:

Bölüm 7. Kablosuz Ağ Güvenliği w3.gazi.edu.tr/~suatozdemir

Kablosuz Ağ Güvenliği Kablolu ağlarla karşılaştırıldığında kablosuz ağları daha yüksek güvenlik riskleri ile karşı karşıya bırakan faktörler: İletişim Kanalı İletişim genelde yayın temelli (broadcast) Hareketlilik Çok fazla Kaynaklar Sınırlı Erişilebilirlik Fiziksel güvenliğin olmadığı ortamlarda bulunan cihazlar. 2

3

Kablosuz Ağ Tehlikeleri 4

Kablosuz İletimin Güvenli Yapılması Kablosuz güvenlik önlemleri, kablosuz iletim, kablosuz erişim noktaları ve kablosuz ağlar olarak gruplandırabilir Kablosuz iletim için başlıca tehditler, dinleme, mesaj değiştirme veya ekleme ve kesintilerdir Dinleme için iki önemli engelleme mekanizması vardır Sinyal gizleme teknikleri SSID yayınını ortadan kaldırılabilir Gizli SSID kullanılabilir Sinyal gücü kapsama alanını en küçük yapacak kadar küçültülebilir Access point bina içinde merkezi bir yere alınabilir Yönlü antenler ve sinyal-kaplama teknikleri kullanılarak daha fazla güvenlik elde edilebilir Şifreleme Şifre anahtarı gizli olduğu sürece etkin bir çözümdür 5

Kablosuz İletimin Güvenli Yapılması Şifreleme ve kimlik doğrulama protokollerinin kullanılması, mesajların değiştirilmesi veya eklenmesi girişimlerine karşı standart yöntemdir. 6

Erişim Noktalarının (Access Point) Güvenli Yapılması Yetkisiz erişim en önemli tehlikedir Bu tür yetkisiz erişimleri engellemek için en etkin yol IEEE 802.1x standartını uygulamaktır Her cihaz için kimlik doğrulama uygular 802.1X kullanımı sahte erişim noktalarını ve diğer yetkisiz cihazları güvensiz arka kapı haline getirmeyi önleyebilir. 7

Kablosuz Ağların Güvenli Yapılması 8

Mobil Cihaz Güvenliği Daha önceleri şirket ağları tamamen kontrol altındaydı Günümüzde mobil cihazlar kablosuz ağların en önemli parçasıdır Akıllı telefonların yaygın kullanılmasından önce ağ güvenliği, güvenli dahili ağları güvenli olmayan Internet'ten ayıran açıkça tanımlanmış sınırlara dayanmaktaydı Günümüzde çok sayıda mobil cihaz hem organizasyon içinde hem de dışında kullanılmaktadır Yeni ağlar mutlaka aşağıdaki durumları dikkate almalıdır Yeni cihazların büyüyen kullanımı Bulut tabanlı uygulamalar De-perimeterization Dış iş gereksinimleri 9

Mobil Cihaz Güvenlik Tehlikeleri The security policy for mobile devices must be based on the assumption that any mobile device may be stolen or at least accessed by a malicious party Lack of physical security controls Use of untrusted mobile devices The organization must assume that not all devices are trustworthy The security policy must be based on the assumption that the networks between the mobile device and the organization are not trustworthy Use of untrusted networks Use of untrusted content Mobile devices may access and use content that other computing devices do not encounter It is easy to find and install third-party applications on mobile devices and this poses the risk of installing malicious software Use of applications created by unknown parties Interaction with other systems Unless an organization has control of all the devices involved in synchronization, there is considerable risk of the organization s data being stored in an unsecured location, plus the risk of the introduction of malware An attacker can use location information to determine where the device and user are located, which may be of use to the attacker Use of location services 10

Mobil Cihaz Güvenlik Tehlikeleri Önceki slaytta yer alan tartışmada göz önüne serilen tehditler düşünülerek bir mobil cihaz güvenlik stratejisinin ana unsurlarını özetlenebilir. Bu ana unsurlar üç kategoriye ayrılırlar: aygıt güvenliği BYOD, remote access and wipe, PIN use, antivirus, divided storage istemci / sunucu trafik güvenliği SSL, VPN bariyer güvenliği firewall 11

12

IEEE 802.11 Kablosuz LAN IEEE 802 LAN lar için standartlar geliştiren bir komitedir 1990 da IEEE 802.11 kablosuz LAN lar için geliştirilmiştir Çok sayıda WLAN Farklı frekans Farklı data rates 13

IEEE 802.11 Terminoloji Access point (AP) Basic service set (BSS) Coordination function Distribution system (DS) Extended service set (ESS) MAC protocol data unit (MPDU) MAC service data unit (MSDU) Station Any entity that has station functionality and provides access to the distribution system via the wireless medium for associated stations. A set of stations controlled by a single coordination function. The logical function that determines when a station operating within a BSS is permitted to transmit and may be able to receive PDUs. A system used to interconnect a set of BSSs and integrated LANs to create an ESS. A set of one or more interconnected BSSs and integrated LANs that appear as a single BSS to the LLC layer at any station associated with one of these BSSs. The unit of data exchanged between two peer MAC entities using the services of the physical layer. Information that is delivered as a unit between MAC users. Any device that contains an IEEE 802.11 conformant MAC and physical layer. 14

WIFI Alliance 802.11b ürünlerinin hepsi aynı standarda dayansa da, farklı satıcılardan gelen ürünlerin başarıyla birlikte çalışıp çalışmayacağına dair her zaman bir endişe oluşmuştur. Wireless Ethernet Compatibility Alliance (WECA) Daha sonra WiFi adını aldı Sertifikalı 802.11b ürünleri için kullanılır Wi-Fi sertifikası daha sonra 802.11g ürünlerine genişletilmiştir. 15

16

Fiziksel katman IEEE 802 referans modelinin en alt katmanı, sinyallerin kodlanması / kod çözülmesi ve bit iletimi / alımı gibi işlevleri içeren fiziksel katmandır. Buna ek olarak, fiziksel katman, iletim ortamının özelliklerini içerir. IEEE 802.11 de fiziksel katman aynı zamanda frekans bantlarını ve anten karakteristiklerini tanımlar. 17

MAC Katmanı MAC protocol data unit (MPDU) paketlerini oluşturur ve çözer Hata tespiti Ortam erişimi 18

Mantıksal Bağlantı Katmanı Çoğu veri bağı kontrol protokolünde, veri bağlantısı protokolü varlığı sadece CRC'yi kullanarak hataları saptamakla kalmaz, aynı zamanda hasar görmüş frameleri yeniden ileterek bu hatalarından kurtarmakla da yükümlüdür. LAN protokol mimarisinde, bu iki işlev MAC ve LLC katmanları arasında bölünür. MAC katmanı, hataları tespit etmek ve hatalar içeren frameleri atmaktan sorumludur. LLC katmanı isteğe bağlı olarak hangi framelerin başarıyla alındığını takip eder ve başarısız frameleri tekrar gönderir. 19

Kablosuz LAN Kablosuz bir LAN'ın en küçük yapı taşı, aynı MAC protokolünü yürüten ve aynı paylaşılan kablosuz ortama erişim için yarışan kablosuz istasyonlardan oluşan bir Basic Service Set (BSS). Bir BSS izole edilebilir veya bir omurga Distribution Sisteme (DS) bir Access Point (AP) üzerinden bağlanabilir. Extended Service Set (ESS), bir DS ile birbirine bağlı iki veya daha fazla BSSten oluşur. 20

21

IEEE 802.11 Services IEEE 802.11, kablolu LAN'lara özgü işlevselliğe eşdeğer işlevsellik elde etmek için kablosuz LAN tarafından sağlanması gereken dokuz hizmeti tanımlar. 22

IEEE 802.11 Services Service Provider Used to support Association Distribution system MSDU delivery Authentication Station LAN access and security Deauthentication Station Dissassociation Distribution Integration Distribution system Distribution system Distribution system LAN access and security MSDU delivery MSDU delivery MSDU delivery MSDU delivery Station MSDU delivery Privacy Station LAN access and security Reassociation Distribution system MSDU delivery 23

Distribution Systemde Mesaj İletimi İki temel servis vardır Distribution : Bir BSS'deki bir istasyondan başka bir BSS'deki bir istasyona ulaşmak için MPDU'lar DS'yi geçmek zorunda kaldığında, istasyonların MPDU'ları alışverişi için kullandığı birincil hizmet Integration : Entegrasyon servisi, IEEE 802.11 LAN üzerindeki bir istasyon ile entegre IEEE 802.x LAN üzerindeki bir istasyon arasındaki verilerin aktarılmasını sağlar. Entegre terimi, fiziksel olarak DS'ye bağlı olan ve istasyonları, entegrasyon servisi yoluyla mantıksal olarak bir IEEE 802.11 LAN'a bağlanabilen kablolu bir LAN anlamına gelir. Entegrasyon servisi, veri alışverişi için gereken her türlü adres çevirisi ve ortam dönüşüm mantığına özen gösterir. 24

İlişkilendirme servisleri Dağıtım hizmeti, bir istasyona veri gönderip veri kabul etmeden önce o istasyonun ilişkilendirilmesi gerekir. İlişkilendirme türleri hareketlilik temellidir No transition Bu tip bir istasyon sabittir veya yalnızca tek bir BSS'nin iletişim istasyonlarının doğrudan iletişim menzilinde hareket eder. BSS transition Bu, bir ESS içindeki bir BSS'den başka bir BSS'ye bir istasyon hareketi olarak tanımlanır. Bu durumda, istasyona veri gönderilmesi, adresleme kabiliyetinin istasyonun yeni konumunu tanımasını gerektirir. ESS transition Bu, bir ESS'deki BSS'den başka bir ESS içindeki bir BSS'ye bir istasyon hareketi olarak tanımlanır. Bu durum yalnızca istasyonun hareket edebileceği şekilde desteklenmektedir. 802.11 tarafından desteklenen üst katman bağlantılarının bakımı garanti edilemez. Aslında, hizmetin kesintiye uğraması olasıdır. 25

İlişkilendirme servisleri Bir DS içinde ileti gönderimi için, dağıtım hizmeti iletinin teslim edileceği AP'nin kimliğini bilmesi gerekir Bir cihazın AP ile üç tür ilişkisi vardır Association Establishes an initial association between a station and an AP Reassociation Enables an established association to be transferred from one AP to another, allowing a mobile station to move from one BSS to another Disassociation A notification from either a station or an AP that an existing association is terminated 26

IEEE 802.11 Kablosuz LAN Güvenliği Kablolu LAN'ın kablosuz LAN'da bulunmayan iki özelliği vardır. Kablolu LAN üzerinden veri iletmek için bir istasyonun LAN'a fiziksel olarak bağlanmış olması gerekir. Öte yandan, bir kablosuz LAN ile, LAN'daki diğer cihazların telsiz aralığındaki herhangi bir istasyon iletilebilir. Benzer şekilde, kablolu bir LAN'ın bir parçası olan bir istasyondan bir iletim alabilmek için alıcı istasyonun da kablolu LAN'a bağlı olması gerekir. Öte yandan, bir kablosuz LAN da, radyo menzilindeki herhangi bir istasyon veri alabilir. Kablolu ve kablosuz LAN'lar arasındaki bu farklılıklar, kablosuz LAN'lar için sağlam güvenlik servisleri ve mekanizmalarına ihtiyaç olduğunu gösterir. 27

IEEE 802.11 Kablosuz LAN Güvenliği Orijinal 802.11 spesifikasyonu, gizlilik ve kimlik doğrulama için oldukça zayıf olan bir dizi güvenlik özelliği içermektedir. Gizlilik için, 802.11 Wired Equivalent Privacy (WEP) algoritmasını tanımladı. 802.11 standardının gizlilik kısmı zayıf yönler içeriyordu. WEP den sonra, 802.11i görev grubu, WLAN güvenlik konularına hitap edebilecek bir dizi yetenek geliştirdi. Wi-Fi Alliance, WLAN'lara güçlü güvenlik girişi hızlandırmak için, bir Wi-Fi standardı olarak Wi-Fi Protected Access (WPA) ilan etmiştir. WPA, 802.11 güvenlik sorunlarının çoğunu ortadan kaldıran ve 802.11i standardının mevcut durumuna dayanan bir dizi güvenlik mekanizmasıdır. 28

IEEE 802.11 Kablosuz LAN Güvenliği 802.11i standardının son şekli Robust Security Network (RSN) olarak anılır. Wi-Fi Alliance, satıcıları WPA2 programı kapsamındaki tam 802.11i şartnamesine uygun olarak belgelendirir. RSN spesifikasyonu oldukça karmaşıktır ve 2012 IEEE 802.11 standardının 145 sayfasını kaplamaktadır. 29

IEEE 802.11 Kablosuz LAN Güvenliği Wired Equivalent Privacy (WEP) Wi-Fi Protected Access (WPA) Robust Security Network (RSN) The privacy portion of the 802.11 standard A set of security mechanisms that eliminates most 802.11 security issues Final form of the 802.11i standard Contained major weaknesses Based on the current state of the 802.11i standard Complex 30

802.11i RSN 802.11i RSN güvenlik spesifikasyonu aşağıdaki hizmetleri tanımlar. Kimlik Doğrulama: Bir protokol, karşılıklı kimlik doğrulama sağlayan ve kablosuz bağlantı üzerinden istemci ve AP arasında kullanılacak geçici anahtarlar üreten bir kullanıcı ile bir AS arasındaki alışveriş yerini tanımlamak için kullanılır. Erişim denetimi: Bu işlev kimlik doğrulama işlevini kullanmayı zorlar, iletileri düzgün şekilde yönlendirir ve anahtar değişimini kolaylaştırır. Çeşitli kimlik doğrulama protokolleriyle çalışabilir. Mesaj bütünlüğü ve gizlilik: MAC düzeyinde veriler (örn. Bir LLC PDU), verilerin değiştirilmemesini sağlayan bir mesaj bütünlüğü kodu ile birlikte şifrelenir. 31

32

802.11i RSN Çalışma Senaryoları Aynı BSS içinde yer alan iki STA BSS nin AP si aracılığı ile iletişim kurar Aynı ad-hoc bağımsız BSS (IBSS) içinde yer alan iki STA kendi aralarında doğrudan iletişim kurar Farklı BSS ler içinde yer alan iki STA bağlı oldukları AP ler aracılığı ile iletişim kurar Bir STA kablolu bir ağdaki bir cihaz ile bağlı olduğu AP aracılığı ile iletişim kurar IEEE 802.11i güvenliği yalnızca STA ve AP arasındaki güvenli iletişimle ilgilidir. 33

34

Detay 35

Discovery aşaması Discovery aşamasında STA ve AP aşağıdaki alanlarda belirli teknikler üzerinde karar verir: Unicast yayın trafiğini korumak için gizlilik ve MPDU bütünlüğü protokolleri (yalnızca bu STA ve AP arasındaki trafik) WEP, with either a 40-bit or 104-bit key TKIP CCMP Vendor-specific methods Kimlik doğrulama yöntemi IEEE 802.1X Pre-shared key Vendor-specific methods Kriptografi anahtar yönetimi yaklaşımı 36

Kimlik doğrulama aşaması Kimlik doğrulama aşaması, bir STA ile DS'de bulunan bir kimlik doğrulama sunucusu (AS) arasında karşılıklı kimlik doğrulamasını etkinleştirir. Kimlik doğrulama, yalnızca yetkili istasyonların şebekeyi kullanmasına ve STA'ya meşru bir şebeke ile iletişim kurduğuna dair güvence sağlamak üzere tasarlanmıştır. IEEE 802.11i, LAN'lar için erişim denetim işlevleri sağlamak üzere tasarlanmış bir başka standart kullanmaktadır. IEEE 802.1X, Port Tabanlı Ağ Erişim Kontrolü supplicant, authenticator, ve authentication server (AS) STA, AP, kablolu ağda yer alan ayrı bir cihaz 37

IEEE 802.1x Erişim Kontrolü Port-Based Network Access Control Bir STAnın AS tarafından kimlik doğrulamasından önce, AP sadece STA ve AS arasında kontrol veya kimlik doğrulama iletileri gönderir 802.1X denetim kanalı engellenmez 802.11 veri kanalı engellenir Kullanılan kimlik doğrulama protokolü, Genişletilebilir Kimlik Doğrulama Protokolü (EAP), IEEE 802.1X standardında tanımlanmıştır. Controlled ports Allows the exchange of PDUs between a supplicant and other systems on the LAN only if the current state of the supplicant authorizes such an exchange 802.1X uses: Uncontrolled ports Allows the exchange of PDUs between the supplicant and the other AS, regardless of the authentication state of the supplicant 38

39

Anahtar Yönetimi Aşaması Anahtar yönetim aşaması sırasında çeşitli şifreleme anahtarları üretilir ve STA'lara dağıtılır. İki anahtar türü vardır: Bir STA ve bir AP arasındaki iletişim için kullanılan pairwise keys ve çoklu yayın iletişimi için kullanılan group keys. 40

Pairwise Keys Bir çift cihaz arasında kullanılırılar. Genellikle STA ve AP. Master keyden üretilip sırasıyla kullanılırlar. Pre-Shared keys (PSK) AP ve STA tarafından bir şekilde paylaşılır 802.11i prosedürü tanımlamaz Master Session Key (MSK) Kimlik doğrulama aşamasında oluşturulur Pairwise Master Key (PMK) Master key den elde edilir PSK varsa PMK olarak kullanılır, yoksa MSK dan üretilir Pairwise Transient Key (PTK) STA ve AP kimlik doğrulamasından sonra iletişim için 3 anahtardan oluşur STA ve AP nin adresleri kullanılarak üretilir. Impersonation önlenir 41

Keys 42

Keys Name Description / Purpose Size (bits) Type Authentication, Accounting, and Used to derive the PMK. Used with the IEEE 802.1X authentication and key management approach. Same as Authorization IEEE MMSK. 802.11i Key PSK Keys Pre-Shared for Data Key Becomes Confidentiality the PMK in pre-shared PMK GMK PTK Pairwise Master Key key environments. Used with other inputs to derive the PTK. and Group Master Key Integrity GTK. Protocols Pair-wise Transient Key Used with other inputs to derive the Derived from the PMK. Comprises the EAPOL-KCK, EAPOL-KEK, and TK and (for TKIP) the MIC key. TK Temporal Key Used with TKIP or CCMP to provide confidentiality and integrity protection for unicast user traffic. GTK MIC Key Abbreviation AAA Key EAPOL- KCK EAPOL- KEK WEP Key Group Temporal Key Message Integrity Code Key EAPOL-Key Confirmation Key EAPOL-Key Encryption Key Wired Equivalent Privacy Key Derived from the GMK. Used to provide confidentiality and integrity protection for multicast/broadcast user traffic. Used by TKIP s Michael MIC to provide integrity protection of messages. Used to provide integrity protection for key material distributed during the 4-Way Handshake. Used to ensure the confidentiality of the GTK and other key material in the 4-Way Handshake. 256 Key generation key, root key 256 Key generation key, root key 256 Key generation key 128 Key generation key 512 (TKIP) 384 (CCMP) 256 (TKIP) 128 (CCMP) 256 (TKIP) 128 (CCMP) 40, 104 (WEP) Composite key Traffic key Traffic key 64 Message integrity key 128 Message integrity key 128 Traffic key / key encryption key Used with WEP. 40, 104 Traffic key 43

PTK Parts EAP Over LAN (EAPOL) Key Confirmation Key (EAPOL-KCK) Supports the integrity and data origin authenticity of STAto-AP control frames during operational setup of an RSN It also performs an access control function: proof-ofpossession of the PMK An entity that possesses the PMK is authorized to use the link EAPOL Key Encryption Key (EAPOL-KEK) Protects the confidentiality of keys and other data during some RSN association procedures Temporal Key (TK) Provides the actual protection for user traffic 44

Group Keys Multicast iletişim için kullanılır Bir STA birden çok STA ya MPDU gönderir Group Master Key (GMK) Anahtar üretme için kullanılır Group Terminal Key (GTK) AP tarafından üretilip ilgilista lara iletilir Pairwise key ler kullanılarak gizli dağıtılır Ağdan her ayrılan cihazdan sonra yenilenir 45

Four-Way Handshake and Group Key Handshake STA ve AP, bu el sıkışmasını PMK'nın varlığını onaylamak için kullanır, cipher suite seçimini doğrular ve bir sonraki veri oturumu için yeni bir PTK türetir. Dört aşamadan oluşur AP -> STA: Mesaj, AP'nin MAC adresini ve bir nonce (A_nonce) içerir STA -> AP: STA, kendi nonce (S_nonce) üretir ve bir PTK oluşturmak için her iki nonce u ve her iki MAC adresini ve ayrıca PMK'yi kullanır. STA, daha sonra MAC adresini ve S_nonce'u içeren bir mesaj göndererek AP'nin aynı PTK'yi oluşturmasını sağlar. Bu mesaj, HMAC-MD5 veya HMAC-SHA- 1-128 kullanan bir mesaj bütünlüğü kodu (MIC) içerir. MIC ile kullanılan anahtar KCK'dır. 46

Four-Way Handshake and Group Key Handshake AP -> STA: AP artık PTK'yı oluşturabilir. AP, daha sonra STA'ya, ilk mesajdaki bilgileri ve MIC i içeren bir mesaj gönderir. STA -> AP: Bu sadece MIC tarafından korunan bir onay mesajıdır. Grup anahtarı dağıtımı için AP, bir GTK oluşturur ve bunu bir çoklu yayın grubundaki her STA'ya dağıtır. 47

48

Güvenli veri iletim aşaması IEEE 802.11i, 802.11 MPDU'larda iletilen verilerin korunması için iki protokol tanımlar: Temporal Key Integrity Protocol (TKIP) ve Counter Mode-CBC MAC Protokolü (CCMP). Temporal Key Integrity Protocol (TKIP) Designed to require only software changes to devices that are implemented with WEP Message integrity Counter Mode-CBC MAC Protocol (CCMP) Intended for newer IEEE 802.11 devices that are equipped with the hardware to support this scheme Provides two services: Data confidentiality 49

IEEE 802.11i Pseudorandom Function (PRF) Nonce üretimi, anahtar genişletme vb. birçok işlem için IEEE 802.11i tarafından kullanılır En iyi yöntem farklı amaçlar için farklı pseudorandom streamleri kullanmaktır HMAC-SHA-1 temeli üzerine kurulmuştur. 160 bit output Bir input biti dahi değişse tamamen farklı output üretir 4 parametre alır 50

IEEE 802.11i Pseudorandom Function (PRF) 51

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim