Hálózati technológiák és alkalmazások Csopaki Gyula Vida Rolland 1
DCF vs. PCF Két másik megoldás: DCF Distributed Coordination Function Nem használ központi vezérlést Minden megvalósításnak támogatnia kell PCF Point Coordination Function A bázisállomás segítségével vezényel minden tevékenységet a cellában Támogatása opcionális Hálózati technológiák és alkalmazások 2 2012.04.12.
802.11 DCF CSMA/CA-t használ Carrier Sense Multiple Access with Collision Avoidance CSMA ütközéselkerüléssel Hálózati technológiák és alkalmazások 3 2012.04.12.
MACAW Multiple Access with Collision Avoidance for Wireless Virtuális csatornaérzékelés A szeretne küldeni B-nek C az A állomás vételkörzetében van D a B állomás vételkörzetében, de az A vételkörzetén kívül A rádiójának hatósugara B rádiójának hatósugara C A B D Hálózati technológiák és alkalmazások 4 2008.04.15.
MACAW A egy RTS keretet küld B-nek, és engedélyt kér egy adatkeret küldésére Request To Send Ha B megadja az engedélyt, visszaküld egy CTS keretet Clear To Send A elküldi a keretet és elindít egy ACK időzítőt Ha B megkapja rendben az adatokat, válaszol egy ACK kerettel Ha az A időzítője lejár mielőtt megkapná az ACK-ot, újból kezdődik az egész Adat RTS C A CTS B D Hálózati technológiák és alkalmazások 5 2008.04.15. ACK
MACAW C hallja A-t, megkaphatja az RTS keretet Rájön, hogy nemsokára valaki adatokat fog küldeni Eláll adatküldési szándékától, amíg az üzenetváltás véget nem ér Hogy mikor lesz vége tudja az ACK időzítőből Foglaltra állít magának egy virtuális csatornát NAV Network Allocation Vector D nem hallja az RTS-t, de a CTS-t igen Ő is beállítja magának a NAV-ot A NAV belső emlékeztető hogy csendben kell lenni, nem küldik el C A RTS NAV Adat B CTS ACK D NAV Idő Hálózati technológiák és alkalmazások 6 2008.04.15.
Fragment burst Vezeték nélküli hálózatokban nagy zaj, nagy csomagvesztés Minél nagyobb egy keret, annál nagyobb a valószínűsége a hibának A kereteket fel lehet darabolni Ha RTS/CTS-el megszerzi a csatornát, több részt küldhet egymás után Fragment burst - részlöket Nő az átbocsátóképesség Ha hiba van, nem kell a teljes keretet újraküldeni A NAV eljárás csak az első részre kerüli el az ütközést C Más megoldásokkal egy teljes részlöket átküldhető ütközés nélkül Részlöket NAV A RTS 1. rész 2. rész 3. rész B CTS ACK ACK ACK D NAV Idő Hálózati technológiák és alkalmazások 7 2008.04.15.
802.11 PCF A bázisállomás vezérli a kommunikációt Nincsenek ütközések Körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük A szabvány csak a körbekérdezés menetét szabályozza Nem szabja meg annak gyakoriságát, sorrendjét Nem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie A bázisállomás periódikusan elküld egy beacon frame-et 10-100 beacon/s Rendszerparamétereket tartalmaz Ugrási sorozatok és tartózkodási idő (FHSS-nél), óraszinkronizáció, stb. Ezzel hívja az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez A bázisállomás utasíthatja az állomásokat, menjenek készenléti állapotba Addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket Kíméli az állomások akkumulátorát A bázisállomás puffereli a készenléti állapotban lévőknek szánt kereteket Hálózati technológiák és alkalmazások 8 2008.04.15.
PCF vs. DCF A PCF és a DCF egy cellán belül egyszerre is működhet Egyszerre elosztott és központosított vezérlés? Gondosan definiálni kell a keretek közti időintervallumot Egy keret elküldése után kell egy holtidő, mielőtt bárki elkezdene küldeni valamit Négy ilyen intervallumot rögzítettek SIFS Short Inter-Frame Spacing A legrövidebb intervallum, a rövid párbeszédet folytatókat részesíti előnyben A SIFS után a vevő küldhet egy CTS-t egy RTS-re Egy vevő küldhet egy ACK-ot egy részre vagy a teljes keretre A részlöket adója elküldheti az újabb részt, új RTS nélkül SIFS Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet ACK Hálózati technológiák és alkalmazások 9 2012.04.12. Idő
PCF vs. DCF PIFS PCF Inter-Frame Spacing PCF keretek közti időköz A SIFS után mindig egyvalaki adhat csak Ha ezt nem teszi meg a PIFS végéig, a bázisállomás elküldhet egy új beacon-t vagy egy lekérdező keretet Az adatkeretet vagy részlöketet küldő nyugodtan befejezheti a keretet A bázisállomásnak is van alkalma magához ragadnia a csatornát Nem kell a mohó felhasználókkal versengenie érte SIFS Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet Itt lehet elküldeni a PCF kereteket PIFS ACK Hálózati technológiák és alkalmazások 10 2012.04.12. Idő
PCF vs. DCF DIFS DCF Inter-Frame Spacing DCF keretek közti időköz Ha a bázisállomásnak nincs mondanivalója, a DIFS elteltével bárki megpróbálhatja megszerezni a csatornát Szokásos versengési szabályok Kettes exponenciális visszalépés ütközés esetén EIFS Extended Inter-Frame Spacing Olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni Legalacsonyabb prioritás ACK SIFS Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet Itt lehet elküldeni a PCF kereteket PIFS DIFS EIFS Itt lehet elküldeni a DCF kereteket Itt kezdődhet a hibás keretek javítása Id ő Hálózati technológiák és alkalmazások 11 2008.04.15.
Hotspot Egy adott földrajzi terület, ahol egy hozzáférési pont segítségével publikus szélessávú internet hozzáférést biztosítanak mobil felhasználók számára egy WLAN-on keresztül Általában forgalmas helyeken reptér, pályaudvar, bevásárlóközpont, könyvtár, szállodák, stb. Viszonylag kis területek Hotspot keresők Hálózati technológiák és alkalmazások 12 2008.04.15.
Hotspot-ok Magyarországon Hotspotter.hu Magyarországi hotspot adatbázis > 1100 hotspot, >120 városban Budapest (567), Siófok (32), Sopron (32), Eger (28), stb. étterem (280), hotel (204), kávézó (113), üzlet/bevásárlóközpont (91) közterület (30), iskola/egyetem (20), stb. Nagyobb szolgáltatók: Fizetős: T-Com, Wiera, T-Mobile Ingyenes: HuWiCo FON hotspotok HuWiCo Hungarian Wireless Community Non-profit közösség Vezeték nélküli technológiák terjesztése, népszerűsítése Egy ingyenes Wi-Fi hálózat kiépítése (41 hotspot) Hálózati technológiák és alkalmazások 13 2012.04.12.
Hotspot-ok Budapesten Hálózati technológiák és alkalmazások 14 2012.04.12.
WLAN rendszerek külföldön MobileStar 1996-ban alapították Az egyik első hotspot üzemeltető Az egész USA-ban kiterjedő hálózat Wi-Fi hotspot-ok a Starbucks Coffee láncban 2001-ben megvásárolja a VoiceStream Wireless Cometa Networks Az AT&T, az IBM és az Intel közös vállalkozása McDonalds éttermekben 1 órás ingyenes hozzáférés minden menühöz 2004-ben a McDonalds a Wayport-ot bízza meg egy WiFi hálózat kiépítésével A Cometa bezár Hálózati technológiák és alkalmazások 15 2012.04.12.
Wayport hálózat Több mint 12.000 hotspot, 35 országban Hálózati technológiák és alkalmazások 16 2008.04.15.
Boingo WLAN rendszerek külföldön A világ (egyik) legnagyobb hotspot szolgáltatója Több mint 100.000 hotspot Több mint 10.000 Angliában és Oroszországban Magyarországon 143 $21.95 korlátlan havi előfizetés ipass Több mint 90.000 hotspot, a világ 70 országában Több mint 40.000 Európában, 75 Budapesten Rengeteg más szolgáltató nagy hotspot hálózattal Korea Telecom, Metronet, Netcheckin, NTT DoCoMo, SingTel, Sonera, Starhub, stb. Hálózati technológiák és alkalmazások 17 2008.04.15.
WLAN rendszerek külföldön Önkormányzati hálózatok Sok amerikai városban terveznek önkormányzati forrásokból a város teljes területét lefedő WiFi hálózatot létrehozni Los Angeles, Boston, Philadelphia, stb. Budapesten is? Sokan ellenzik az ötletet Sokba kerül, az adófizetők pénzéből Az önkormányzati források szűkösek, sok mást lehetne csinálni a pénzzel A technológia hamar elavulhat, anélkül hogy a befektetés megtérülne Rossz hatással lenne a helyi, kis szolgáltatókra Sokak szerint gazdasági fellendülést hozhat egy városnak a WiFi lefedettség A közvetlen kapcsolat nem bizonyított B. Cox, et. al, Not In The Public Interest - The Myths of Municipal Wi-Fi Wireless Networks, Why Municipal Schemes To Provide Wi-Fi BroadBand Services Are Ill-Advised, New Millennium Research Council, Wash. D.C. Feb. 2005. http://www.heartland.org/custom/semod_policybot/pdf/17737.pdf Hálózati technológiák és alkalmazások 18
P2P alapú WiFi hálózat Központosított, egységes rendszer helyett bízzuk a felhasználókra Pl. a FON nevű spanyol cég kezdeményezése A Google és a Skype támogatásával (21.7 millió dollár, 2006 február) Miért fizess egy hotspot-os hozzáférésért, ha már otthon van egy előfizetésed? Speciális WiFi router (La Fonera) Kezdetben 5 $ vagy 5, ma már 29.95 Cserébe aktiválni kell a FON szolgáltatást Meg kell osztani a hozzáférést Hálózati technológiák és alkalmazások 19
FON Három fajta FON felhasználó Linus A saját vezetékes internet hozzáférését kibővíti egy mini hotspottal Ha azt megosztja, ő is ingyenesen hozzáfér a többi peer hotspotjához Alien Nem tudja/akarja megosztani a hozzáférését, de használni akarja a FON hálózatot Alkalmi felhasználó, fizetni fog Bill Olyan felhasználó, akit nem érdekel az ingyenes roamingolás Megosztja a hozzáférését, de roamingolás helyett pénzt kap cserébe Az ő hozzáférését használó Alien-ek által fizetett összeg felét Hálózati technológiák és alkalmazások 20
Hálózati technológiák és alkalmazások 21
P2P alapú WiFi hálózat Az Internet szolgáltatók nem fognak örülni Általában nem engedélyezik a megosztást Ha megosztom a szomszédommal, elesnek egy potenciális előfizetőtől Még kevésbé szeretik ha valaki viszonteladó lesz (Bill) Lehet hogy mégis megérné nekik Kaphatnának egy részt a bevételből Minden peer amúgy is fizetne a vezetékes hozzáférésért amit megoszt Annál hatékonyabb, minél több előfizető ma több mint 5 millió Biztonsági kérdések Ki a felelős az esetleges illegális letöltésekért melyek a WiFi routeremen keresztül mennek? Két külön jel, az egyik saját, a másik publikus Hálózati technológiák és alkalmazások 22
A kaotikus hálózatépítés hátrányai Több kaotikus módon létrehozott hotspot összekötése Nem egy tervezett hálózat Néhol nagyon sűrű, máshol gyér Interferenciák a sűrűn lehelyezett AP-k között Az AP-kat nem konfigurálják ezek minimalizálására Nem egy menedzselt hálózat A hotspotok menedzselése, karbantartása nincs összehangolva SSID, biztonsági intézkedések, AP-k elhelyezése, teljesítményszabályozása Legtöbben az alapbeállításokat használják pl. a csatornaválasztásnál Legtöbb eszköz a 6-os csatornán Egy önmenedzselő megoldás nagyban javítaná a hozzáférés minőségét Hálózati technológiák és alkalmazások 23
A kaotikus hálózatépítés hátrányai Tanulmány a kaotikus hálózatépítésről: Aditya Akella, Glenn Judd, Srinivsan Seshan, and Peter Steenkiste. Self-Management in Chaotic Wireless Deployments, Proc. of ACM Mobicom 2005. Aug. - Sept. 2005, Cologne, Germany Több amerikai városra vonatkozó AP adatbázis alapján GPS koordináták minden AP-ra 50 méteres interferencia határ Ha két AP ennél közelebb, akkor szomszédok Hálózati technológiák és alkalmazások 24
Egymást zavaró technológiák Nem csak a közeli 802.11b eszközök zavarják egymást A Bluetooth és a 802.11b ugyanazt a 2.4 GHz-es ISM sávot használja Az FHSS-t használó rendszerek (pl. Bluetooth) ki tudják szűrni a zavart frekvenciasávokat Úgy állítják be a frekvenciaugratást hogy ne legyen gond A DSSS-t használó megoldások (pl. 802.11b) érzékenyebbek Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz beugrik a frekvenciatartományba Az RTS/CTS sem zárja ki a zavarást Egy lefoglalt adósávba is beugorhat egy Bluetooth eszköz Mikrohullámú sütők, orvosi műszerek, stb. is az ISM sávban Hálózati technológiák és alkalmazások 25
Biológiai kockázatok A WLAN új technológia Legfejlettebb helyeken is csak 98 után terjedt el A távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett nem tesztelték A 2.4 GHz-es tartomány biológiailag veszélyes Nagy teljesítményen koagulálja az emberben is lévő fehérjéket Így működik a mikrohullámú sütő, de nagyságrendekkel nagyobb teljesítménnyel (750-800 W) A teljesítményt szabályozzák Az USA-ban 1000 mw max sugárzási teljesítmény Európában 100 mw Hálózati technológiák és alkalmazások 26
Vezetéknélküli és vezetékes biztonság A vezetéknélküli hálózatok lehetőséget adnak Észrevétlen lehallgatásokra Csomagok észrevétlen beszúrására Éppen ezért kiemelten fontos: Hozzáférés-védelem (hitelesítés) Adatkapcsolat titkosítása A vezetékes hálózaton fizikai hozzáférés is kell a támadáshoz A biztonsági célok hasonlóak, de a fizikai hozzáférés hiánya miatt kevesebbet törődünk vele Hálózati technológiák és alkalmazások 27
A vezetéknélküli hálózatok ellenségei Wardriving Behatolás idegen hálózatokba Autóból WLAN vadászat Rácsatlakozás a szomszédra Ingyen Internet az utcán Szolgálatmegtagadás Frekvenciatartomány zavarása (jamming) DoS támadás Evil Twin Hamis AP felállítása Felhasználók adatainak gyűjtése Visszaélés más személyiségével A támadó visszatereli a forgalmat az eredeti hálózatba A felhasználó nem érzékeli Lehallgatás Hálózati technológiák és alkalmazások 28
Fizikai korlátozás A támadónak hozzáférés szükséges a hálózathoz Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni Gyakorlatban kerítés vagy vastag betonfal Nem biztonságos! A támadó bejuthat a hálózat területére Nagyobb antennát alkalmazhat Hálózati technológiák és alkalmazások 29
MAC szűrés Minden hálózati csatolónak egyedi címe van MAC cím (6 bájt) Hozzáférés szűrése MAC címek alapján A hozzáférési pontnak listája van az engedélyezett csatlakozókról Esetleg tiltólista is lehet a kitiltott csatlakozókról Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja) Nagyon sok helyen ezt használják Csak kisebb hálózatok esetén használható Minden egyes MAC címet manuálisan kell beállítani az AP-ban A listát folyamatosan frissíteni kell Nagy adminisztrációs többletmunka Nem biztonságos! Az eszközök megszerzése már hozzáférést biztosít Nem a felhasználót azonosítja A MAC címek lehallgathatóak, egy másik eszköz is felvehet engedélyezett MAC címet Hálózati technológiák és alkalmazások 30
Hálózat elrejtése A hozzáférési pontot a neve azonosítja Service Set ID SSID Az SSID-t, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon) A hozzáférési pont elrejtése A hozzáférési pont nem küld SSID-t a hirdetésekben, így a hálózat nem látszik Aki nem ismeri a hálózat SSID-t, az nem tud csatlakozni Nem biztonságos! A csatlakozó kliensek nyíltan küldik az SSID-t A támadó a csatlakozás lehallgatással felderítheti az SSID-t Népszerűbb eszközök gyári SSID beállításai tsunami Cisco, 101 3Com, intel - Intel, linksys Linksys Manuális beállítás, körülményes frissítés Előbb-utóbb mindenki megismeri őket Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál Önmagában az elkülönítés semmilyen védelmet nem nyújt Bárki bármilyen SSID-jű hálózathoz hozzáférhet Hálózati technológiák és alkalmazások 31
Felhasználó hitelesítés A vezeték nélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát A hitelesítés nehézségei Nyílt hálózat, bárki hallgatózhat A kihívás-válasz alapú hitelesítés esetén a támadó könnyen megszerezheti a kihívást és a választ is Gyenge jelszavak esetén egyszerű a szótáras támadás Man-in-the-middle támadások Vezeték nélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt A forgalom rajta keresztül folyik, így hozzájut a hitelesítési adatokhoz Legjobb a felhasználót hitelesíteni, nem az eszközét Felhasználói jelszavak (mindenkinek külön) Hálózati technológiák és alkalmazások 32
Hitelesítés Captive portal Hitelesítés web felületen keresztül Egyszerű a felhasználónak A kliensen egy web browser kell hozzá A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó A felhasználó hitelesítés után folytathatja a böngészést A weblapon akár elő is fizethet a felhasználó a szolgáltatásra A legtöbb HOTSPOT ezt használja Nem igényel szakértelmet a használata Nem kell telepíteni vagy átállítani a felhasználó gépét Nem biztonságos! Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát A felhasználó megtéveszthető hamis szolgáltatóval A támadó folytathatja a felhasználó nevében a hozzáférést Hálózati technológiák és alkalmazások 33
Adatkapcsolat biztonsága A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is Az adatokat titkosítani kell a hálózaton Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet WEP Wired Equivalent Privacy WPA WiFi Protected Access 802.11i 802.11 Enhanced security WPA2 nek is nevezik Hálózati technológiák és alkalmazások 34
WEP Wired Equivalent Privacy Az eredeti 802.11 biztonsági protokoll A felhasználók adatainak titkosítása a lehallgatás ellen Rendkívül alacsony biztonsági szint, könnyen feltörhető Az RC4 adatfolyam titkosító algoritmust használja A vezeték nélküli eszköz titkosítja mind az adatokat, mind a CRC-t Az átvitel során történő illetéktelen módosítást kívánja kiküszöbölni 40 vagy 128 bites (WEP2) közös kulcsot használ Mindkét félnek ismernie kell a kapcsolat létrejötte előtt A titkosításhoz egy inicializációs vektor-t (IV) használ A vektort minden keretben elküldik Az IV vektor és a k kulcs alapján egy (pseudo)véletlen titkosítási kulcsot generál Minden keret más generált kulccsal titkosítódik Két azonos tartalmú csomag másképp fog kinézni titkosítva Elég hosszú hallgatózással ez kijátszható Nincs semmilyen kulcsváltó algoritmus Manuális váltások, egy csere több napig is eltarthat Megkönnyíti a támadó dolgát Hálózati technológiák és alkalmazások 35
WEP működése Egy titkos k kulcs megosztva a kommunikáló felek között Egy csomag titkosítása: Ellenőrző összeg ICV készítése az M üzenetből Integrity Check Value A kettőt összemásoljuk P = <M,ICV> érthető (még nem titkositott) üzenetet Sem az ICV sem P nem függ a k kulcstól Titkosítás az RC4 algoritmussal: Egy v inicializáló vektort (IV) választunk Az RC4 egy hosszú kiterjesztett kulcsot generál RC4(v,k) A kiterjesztett kulcsot XOR müvelettel összemásoljuk az üzenettel Megkapjuk a C titkosított üzenetet, C = P xor RC4(v,k) Közvetítés: Az IV-t és a C-t átküldjük a csatornán Hálózati technológiák és alkalmazások 36
WEP működése A dekódoláshoz a vevő az algoritmust fordított sorrendben végzi el Legenerálja az RC4(v,k) kiterjesztett kulcsot XOR-ozza a titkosított szöveggel, megkapja az eredeti szöveget P = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P Ellenőrzi az ellenőrző összeget Hálózati technológiák és alkalmazások 37
Támadások a WEP ellen Kiterjesztett kulcs újrahasználása Ha ugyanazzal a kulccsal és IV-vel titkosítunk két csomagot, a támadó infókat tudhat meg mindkét csomagról A 2 titkosított csomag XOR-ja megegyezik a 2 eredeti csomag XOR-jával Ha az egyik üzenetet ismerjük, a másikat vissza lehet fejteni Elég lehet a parciális ismerete is bizonyos érthető (P) üzeneteknek Pl. protokoll fejlécek A csomagonkénti IV jó védekezés, de... Az IV-ket kódolatlanul küldik a csomagokban A támadó gyűjtheti az IV-ket A kulcsokat nagyon ritkán változtatják Egy idő után előfordul majd IV ismétlés IV 24 biten, általában 0-tól indulva folyamatosan nő Egy AP 1500 byte-os csomagokkal, 5 Mb/s sebességgel fél nap alatt elhasználja az IV-ket Véletlen IV választással pár perc alatt kb. 5000 csomag után 50% a valószínüsége egy ismétlésnek Hálózati technológiák és alkalmazások 38
WPA, WPA2 és 802.11i WPA Wi-Fi Protected Access (2002) Wi-Fi Alliance szabványa Ideiglenes megoldás a WEP hibáinak kiküszöbölésére Hatékonyabb kulcs menedzsment Temporal Key Integrity Protocol TKIP Egy master kulcsból generál periódikusan új kulcsokat A WEP-nél manuális kulcsváltás Ugyancsak RC4 algoritmust használ, de 48 bit hosszú IV-vel IEEE 802.11i Sokáig váratott magára, 2004 nyarán fogadták el A 802.11 a, b és g-vel ellentétben egy biztonsági mechanizmust definiál A TKIP mellett egy új titkosítási szabványt is használ Advanced Encryption Standard AES WPA2 A Wi-Fi Alliance új szabványa Kompatibilis az IEEE 802.11i-vel Hálózati technológiák és alkalmazások 39
Többet a biztonságról Információ- és hálózatbiztonság, VITMM280, MSc köt.vál. tárgy Fehér Gábor, TMIT Hálózati technológiák és alkalmazások 40