Vezetéknélküli technológia WiFi (Wireless Fidelity) 802.11 szabványt IEEE definiálta protokollként, 1997 Az ISO/OSI modell 1-2 rétege A sebesség függ: helyszíni viszonyok, zavarok, a titkosítás ki/be kapcsolása a kommunikáció alatt Helyi hálózatok tervezése és üzemeltetése 1
Szabványok 802.11a, 5Ghz, 54Mbps, rövid hatótávolság, drága eszközök 802.11b, 2,4Ghz, 11Mbps, WEP 802.11g, 2,4Ghz, 54Mbps, WPA 802.11i, 2,4Ghz, WPA2 802.11n, 2,4Ghz vagy 5Ghz, 600Mpbs Helyi hálózatok tervezése és üzemeltetése 2
Frekvenciák 2,45 Ghz Bluetooth 2,4-2,483 Ghz 802.11, 802.11b, 802.11g 5,180-5,805 Ghz 802.11a 1,2276 1,5742 Ghz - GPS Helyi hálózatok tervezése és üzemeltetése 3
Fogalmak AP (Access Point) / STA (Station) SSID (Service Set Identifier) ad-hoc peer-to-peer hub-and-spoke infrastruktúra hálózat BSS Basic Service Set ESS Extended Service Set hotspot (Wi-Fi hozzáférési pont) WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) Helyi hálózatok tervezése és üzemeltetése 4
Kapcsolódás a hálózatra Helyi hálózatok tervezése és üzemeltetése 5
Four-Way Handshake Helyi hálózatok tervezése és üzemeltetése 6
Hitelesítés, titkosítás 1. Hitelesítés (Authentication): A hitelesítő rendszer feladata eldönteni, hogy egy csatlakozni kívánó felhasználó valóban használhatja-e a hálózati erőforrásokat. Emellett létezik üzenethitelesítés is, amely már egy hitelesített viszonyban a titkosított üzeneteket védi a módosítással szemben (integritásvédelem). 2. Titkosítás (Encryption): A titkosítás biztosítja a lehallgatásmentességet, vagyis megvédi az adatokat az illetéktelenek hozzáférésétől. Helyi hálózatok tervezése és üzemeltetése 7
Biztonságos kommunikáció SSID letiltása MAC address szűrés WEP (Wired Equivalent Privacy), 1997, aircrackng WPA (Wi-Fi Protected Access), 2002 WPA2, 2004 Helyi hálózatok tervezése és üzemeltetése 8
WEP Kábellel Egyenértékű Titkosság EAP-PSK (Extensible Authentication Protocol, Pre-Shared Key) minden felhasználónak ugyanaz a kulcsa a hálózati hozzáféréshez RC4 folyamkódoló 40 vagy 104 bites WEP kulcs IV - Initialization Vector 2002-ben sikerült feltörni, ~10perc http://hu.wikipedia.org/wiki/wep Helyi hálózatok tervezése és üzemeltetése 9
A WEP hibái 1. Az IV értéke túl rövid és nincs védelem az újrafelhasználás ellen. 2. Az IV-ből származtatott kulcsok védtelenek az FMS (Fluhrer-Mantin-Shamir) támadással szemben. 3. Az üzenetmódosítás detektálására nincs módszer (az integritás nem ellenőrizhető), hiszen az ICV nem tartalmazza a WEP kulcsot. 4. Közvetlenül a WEP kulcsot használják a titkosításhoz és a hitelesítéshez is, és így nincs lehetőség a kulcsok frissítésére. 5. Nincs védelem a visszajátszásos támadásokkal (replay attack) szemben. Helyi hálózatok tervezése és üzemeltetése 10
WPA/WPA2 Wi-Fi Védett Hozzáférés TKIP - Temporal Key Integrity Protocol, dinamikusan változtatja az alkalmazott kulcsokat "Michael-algoritmus" AES, CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), érzékeli a TKIP-törési kísérleteket Helyi hálózatok tervezése és üzemeltetése 11
WPA/WPA2 maximális WPA-PSK védelemhez (256 bit) olyan kulcs kell, ami 54 véletlenszerű karaktert, vagy 39 véletlenszerű ASCII karaktert tartalmaz WPA-TKIP több kulcsot használ (külön kulccsal rendelkeznek az egyes STA-k és van egy broadcasthoz szükséges csoportkulcs) WPA AES CCMP Helyi hálózatok tervezése és üzemeltetése 12
WEP hibáinak kiküszöbölésére a TKIP (A) Megnöveli az IV hosszát 48 bitre, hogy megakadályozza az újrafelhasználást. (B) A WEP CRC-32-es ellenőrzőösszeg számítását kiegészítették a Michael algoritmussal, amely biztosítja az integritást a kisteljesítményű processzorokon is. (C) A TKIP számos kulcsot használ, amely egy ún. Master Key-ből származik. Emellett a kulcsok cseréjét folyamatosan biztosítja, és külön kulcsot használ broadcast-hoz és unicasthoz. (D) A TKIP az IV értéket számlálóként is használja, és így véd a visszajátszásos támadással szemben. (E) Az RC4 kulcsokat minden keretnél változtatják. Helyi hálózatok tervezése és üzemeltetése 13
Hozzáférési pontok AP (Access Point) egy időben maximum 255 kliens állomás kapcsolódhat SOHO hálózatok maximum 10-15 klienst képesek kiszolgálni Helyi hálózatok tervezése és üzemeltetése 14
Érvek a Wi-Fi ellen nem biztonságos a kábeles infrastruktúrához képest kisebb a teljesítménye sok access point (AP) esetén nehezen menedzselhető VLAN-alapú, szeparált hálózatokban nehezen kezelhetőek a szegmensek Helyi hálózatok tervezése és üzemeltetése 15
Wirelles Linux alatt wlan0 interface iw - show / manipulate wireless devices and their configuration iwconfig - configure a wireless network interface iwlist - Get more detailed wireless information from a wireless interface iwspy - Get wireless statistics from specific nodes Helyi hálózatok tervezése és üzemeltetése 16