virtual private networks
DESCRIPTION
Virtual Private Networks. Cuprins. Introducere Tipuri de VPN-uri Componentele VPN Caracteristicile Secure VPN-urilor VPN Tunneling Integritatea datelor in VPN IPsec Studiu de caz. Introducere. VPN Permite organizatiilor sa creeze retele private peste Internet - PowerPoint PPT PresentationTRANSCRIPT
Elemente de securitate
Accesul neautorizatAP-uri neautorizateAtacuri Man-in-the-MiddleDenial of ServiceMetode si protocoale de securizareAutentificarea in WLANCriptareaControlul accesului la WLAN
Accesul neautorizat
• War drivers– Scanarea folosind un client 802.11 cu scopul
detectarii sistemelor nesecurizate in vederea exploatarii acestora
• Hackers (Crackers)– Intrusi malitiosi care intra neautorizat in sisteme cu
scopul de a fura date sau de a afecta sisteme• Angajati
– Introduc AP-uri in companie pentru a crea WLAN-uri proprii
AP-uri neautorizate
• AP-uri introduse in WLAN-uri cu scopul de a interfera cu operarea normala a retelei
• Scopuri– Capturarea datelor client– Furnizarea de informatii pentru utilizatori
neautorizati– Castigarea accesului la servere si statii
Atacuri Man-in-the-Middle
• Man-in-the-middle – MITM • Atacatorul se pozitioneaza logic intre statia tinta si
gateway• Hackerul selecteaza o statie ca si tinta si foloseste
un soft de capturare a pachetelor pentru a observa statia conectandu-se la un AP
• Atacatorul citeste: username-ul tintei, numele serverului, adresa IP a clientului si a serverului, ID-ul folosit pentru calculul raspunsului, si raspunsul challenge si associate response
Denial of Service
• Zgomot produs de aparate care folosesc banda 2.4GHz ISM– Telefoane fara fir
– Cuptoare cu microunde
• Transmiterea (flood) de mesaje clear-to-send (CTS)• Transmiterea de comenzi disassociate care determina
deconectarea statiilor din BSS; statiile incearca sa se reasocieze fapt care determina cresterea traficului; ciclul se repeta deoarece atacatorul transmite comenzi disassociate
Metode si protocoale de securizare
• Autentificarea 802.11– Open
• Nu securizeaza reteaua
– Shared WEP key• Algoritmul nu ofera suficienta securitate• Managementul manual al cheilor WEP pe 32 de
biti – problema de scalabilitate
• Ascunderea SSID– AP-ul nu face broadcast la SSID– Nu ofera suficienta securitate deoarece SSID-ul poate
fi detectat prin monitorizarea traficului intre client si AP
• Filtrarea adreselor MAC– Nu ofera suficienta securitate deoarece adresa MAC
poate fi modificata
• 802.11i –Wi-Fi Alliance WiFi Protected Access (WPA)– Algoritmul de criptare Temporal Key Integrity
Protocol (TKIP)
• 802.11i –Wi-Fi Alliance WPA2– Algoritmul de criptare Advanced Encryption
Standard (AES)– Baza de date Remote Authentication Dial In User
Service (RADIUS)
Autentificarea in WLAN
• Retelele cu cerinte de securitate necesita autentificare suplimentara sau login
• Procesul login este manevrat de Extensible Authentication Protocol (EAP)
• EAP este un framework pentru autentificarea accesului la retea
• 802.11i standard pentru autentificare si autorizare WLAN
• 802.11i foloseste 802.1x
• Clientul care urmareste accesul la retea este denumit suplicant
• Dispozitivul la care suplicantul se conecteaza direct si prin care obtine permisiunea de acces la retea se numeste authenticator
• Authentication server autentifica suplicantul• Procesul de autentificare constand din schimbul de
mesaje EAP are loc intre supplicant si authentication server
• Dispozitivul authenticator functioneaza ca un releu transparent pentru acest schimb de mesaje si ca punct de aplicare pentru instructiunile de configurare a politicilor transmise de authentication server sa si rezultat al procesului de autentificare
• 802.1x defineste un nou protocol de nivel legatura de date, 802.1x, folosit pentru comunicatiile dintre supplicant si authenticator
• Comunicatiile intre supplicant si authentication server folosesc protocolul RADIUS transportat peste UDP
• Procesul de asociere 802.11 creaza un port virtual la AP pentru fiecare client
• AP-ul blocheaza toate cadrele de date cu exceptia traficului bazat pe 802.1x
• Cadrele 802.1x transporta pachetele de autentificare EAP via AP la un server AAA (Authentication, Authorization, and Accounting); serverul AAA mentine credentialele de autentificare si ruleaza protocolul RADIUS
• Daca autentificarea EAP este reusita serverul AAA transmite un mesaj succes EAP AP-ului care permite traficului de date de la client sa treaca prin portul virtual
• Inaintea deschiderii portului virtual se stabileste criptarea la nivelul legaturii de date intre client si AP
Criptarea
• Temporal Key Integrity Protocol (TKIP)– WPA– Cripteaza datele nivelului 2– Transporta message integrity check (MIC) in
pachetul criptat.
• Advanced Encryption Standard (AES)– WPA2– Aceleasi functii ca si TKIP– Foloseste date aditionale din headerul MAC– Adauga un numar de secventa headerului de date
criptat
Controlul accesului la WLAN
• Ascunderea SSID – Dezactivarea broadcasturilor SSID de la AP-uri
• Filtrarea adreselor MAC – tabelele construite manual pe AP-uri
• Implementarea securitatii WLAN – WPA sau WPA2
• Reducerea puterii de transmisie a AP-urilor astfel incat aria de acoperire sa nu depaseasca suprafata cladirii