Elemente de securitate

Accesul neautorizatAP-uri neautorizateAtacuri Man-in-the-MiddleDenial of ServiceMetode si protocoale de securizareAutentificarea in WLANCriptareaControlul accesului la WLAN

Accesul neautorizat

• War drivers– Scanarea folosind un client 802.11 cu scopul

detectarii sistemelor nesecurizate in vederea exploatarii acestora

• Hackers (Crackers)– Intrusi malitiosi care intra neautorizat in sisteme cu

scopul de a fura date sau de a afecta sisteme• Angajati

– Introduc AP-uri in companie pentru a crea WLAN-uri proprii

AP-uri neautorizate

• AP-uri introduse in WLAN-uri cu scopul de a interfera cu operarea normala a retelei

• Scopuri– Capturarea datelor client– Furnizarea de informatii pentru utilizatori

neautorizati– Castigarea accesului la servere si statii

Atacuri Man-in-the-Middle

• Man-in-the-middle – MITM • Atacatorul se pozitioneaza logic intre statia tinta si

gateway• Hackerul selecteaza o statie ca si tinta si foloseste

un soft de capturare a pachetelor pentru a observa statia conectandu-se la un AP

• Atacatorul citeste: username-ul tintei, numele serverului, adresa IP a clientului si a serverului, ID-ul folosit pentru calculul raspunsului, si raspunsul challenge si associate response

Denial of Service

• Zgomot produs de aparate care folosesc banda 2.4GHz ISM– Telefoane fara fir

– Cuptoare cu microunde

• Transmiterea (flood) de mesaje clear-to-send (CTS)• Transmiterea de comenzi disassociate care determina

deconectarea statiilor din BSS; statiile incearca sa se reasocieze fapt care determina cresterea traficului; ciclul se repeta deoarece atacatorul transmite comenzi disassociate

Metode si protocoale de securizare

• Autentificarea 802.11– Open

• Nu securizeaza reteaua

– Shared WEP key• Algoritmul nu ofera suficienta securitate• Managementul manual al cheilor WEP pe 32 de

biti – problema de scalabilitate

• Ascunderea SSID– AP-ul nu face broadcast la SSID– Nu ofera suficienta securitate deoarece SSID-ul poate

fi detectat prin monitorizarea traficului intre client si AP

• Filtrarea adreselor MAC– Nu ofera suficienta securitate deoarece adresa MAC

poate fi modificata

• 802.11i –Wi-Fi Alliance WiFi Protected Access (WPA)– Algoritmul de criptare Temporal Key Integrity

Protocol (TKIP)

• 802.11i –Wi-Fi Alliance WPA2– Algoritmul de criptare Advanced Encryption

Standard (AES)– Baza de date Remote Authentication Dial In User

Service (RADIUS)

Autentificarea in WLAN

• Retelele cu cerinte de securitate necesita autentificare suplimentara sau login

• Procesul login este manevrat de Extensible Authentication Protocol (EAP)

• EAP este un framework pentru autentificarea accesului la retea

• 802.11i standard pentru autentificare si autorizare WLAN

• 802.11i foloseste 802.1x

• Clientul care urmareste accesul la retea este denumit suplicant

• Dispozitivul la care suplicantul se conecteaza direct si prin care obtine permisiunea de acces la retea se numeste authenticator

• Authentication server autentifica suplicantul• Procesul de autentificare constand din schimbul de

mesaje EAP are loc intre supplicant si authentication server

• Dispozitivul authenticator functioneaza ca un releu transparent pentru acest schimb de mesaje si ca punct de aplicare pentru instructiunile de configurare a politicilor transmise de authentication server sa si rezultat al procesului de autentificare

• 802.1x defineste un nou protocol de nivel legatura de date, 802.1x, folosit pentru comunicatiile dintre supplicant si authenticator

• Comunicatiile intre supplicant si authentication server folosesc protocolul RADIUS transportat peste UDP

• Procesul de asociere 802.11 creaza un port virtual la AP pentru fiecare client

• AP-ul blocheaza toate cadrele de date cu exceptia traficului bazat pe 802.1x

• Cadrele 802.1x transporta pachetele de autentificare EAP via AP la un server AAA (Authentication, Authorization, and Accounting); serverul AAA mentine credentialele de autentificare si ruleaza protocolul RADIUS

• Daca autentificarea EAP este reusita serverul AAA transmite un mesaj succes EAP AP-ului care permite traficului de date de la client sa treaca prin portul virtual

• Inaintea deschiderii portului virtual se stabileste criptarea la nivelul legaturii de date intre client si AP

Criptarea

• Temporal Key Integrity Protocol (TKIP)– WPA– Cripteaza datele nivelului 2– Transporta message integrity check (MIC) in

pachetul criptat.

• Advanced Encryption Standard (AES)– WPA2– Aceleasi functii ca si TKIP– Foloseste date aditionale din headerul MAC– Adauga un numar de secventa headerului de date

criptat

Controlul accesului la WLAN

• Ascunderea SSID – Dezactivarea broadcasturilor SSID de la AP-uri

• Filtrarea adreselor MAC – tabelele construite manual pe AP-uri

• Implementarea securitatii WLAN – WPA sau WPA2

• Reducerea puterii de transmisie a AP-urilor astfel incat aria de acoperire sa nu depaseasca suprafata cladirii