Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel 704041008 1 TELSİZ AĞLARDA GÜVENLİK İsmail Özgür DEMİREL 704041008.

Benzer bir sunumlar


... konulu sunumlar: "İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel 704041008 1 TELSİZ AĞLARDA GÜVENLİK İsmail Özgür DEMİREL 704041008."— Sunum transkripti:

1 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel TELSİZ AĞLARDA GÜVENLİK İsmail Özgür DEMİREL

2 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Ajanda Telsiz ağlara kısa bir bakış Telsiz ağlara kısa bir bakış Çalışma çeşitleri Çalışma çeşitleri Avantaj ve Dezavantajları Avantaj ve Dezavantajları Telsiz ağdaki güvenlik protokolleri Telsiz ağdaki güvenlik protokolleri WEP WEP WPA WPA WPA-2 (RSN) WPA-2 (RSN) Sonuç Sonuç

3 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Telsiz Ağ Avantajları ? Esneklik Esneklik Kolay kurulum Kolay kurulum Zaman Zaman Para Para Sağlamlık Sağlamlık

4 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Telsiz Ağ Dezavantajları ? Güvenlik Güvenlik İletişim Hızı İletişim Hızı Standartlar Uyma Zorunluluğu Standartlar Uyma Zorunluluğu

5 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Çalışma Çeşitleri Kullanıcılar arası ağ yapısı Tasarsız ağ Erişim noktası ve kullanıcılardan oluşan ağ yapısı

6 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP(Wireless Equivalent Privacy) Hedefleri(1999 IEEE standardı) Hedefleri(1999 IEEE standardı) Makul bir şekilde güçlü olmalı Makul bir şekilde güçlü olmalı Etkili olmalı Etkili olmalı İhraç edilebilir olmalı İhraç edilebilir olmalı İsteğe bağlı olmalı İsteğe bağlı olmalı

7 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP te Asıllama 3 tip asıllama 3 tip asıllama Açık güvenlik (SSID – Service Set Identifier) Açık güvenlik (SSID – Service Set Identifier) Paylaşılan anahtar (sabit paylaşılan bir anahtar) Paylaşılan anahtar (sabit paylaşılan bir anahtar) AP(Access point):erişim Noktası STA(station):kullanıcı

8 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP te Asıllama (devam) MAC adresi ile ( standartlarında yok!) MAC adresi ile ( standartlarında yok!) Önceden belirtilen MAC adreslerine sahip olan kullanıcılar ları asıllanır. Önceden belirtilen MAC adreslerine sahip olan kullanıcılar ları asıllanır. Kullanıcı (Supplicant) Kullanıcı (Supplicant) Asıllayıcı ya da Erişim Noktası (Authenticator) Asıllayıcı ya da Erişim Noktası (Authenticator) Asıllama Sunucusu(RADIUS Server) Asıllama Sunucusu(RADIUS Server) Remote Authentication Dial-In User Service Remote Authentication Dial-In User Service

9 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP Kullanılan Algoritma RC4 (Rivest Cipher ) Kullanılan Algoritma RC4 (Rivest Cipher ) Akış şifreleyici Akış şifreleyici Simetrik algoritma Simetrik algoritma Kolay uygulanabilir Kolay uygulanabilir Anahtar boyu 40 bit Anahtar boyu 40 bit Başlangıç Vektörü (IV) 24 bit Başlangıç Vektörü (IV) 24 bit ICV (Integrity Check Value) ICV (Integrity Check Value) Mesaj bütünlüğü için kullanılır. Mesaj bütünlüğü için kullanılır.

10 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP Anahtarları Ön seçili Anahtarlar Kullanıcıya Özel Anahtarlar

11 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP te Şifreleme ve Çözme çerçeve yapısı

12 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP in Zayıflıkları Asıllama Asıllama Açık güvenlik: SSID açık olarak yayınlanmasa bile dinlenen paketler ile öğrenilebilir. Açık güvenlik: SSID açık olarak yayınlanmasa bile dinlenen paketler ile öğrenilebilir. MAC adresi ile asılama : MAC adresleri paketlerden elde edilebilinir. MAC adresi ile asılama : MAC adresleri paketlerden elde edilebilinir.

13 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP Zayıflıkları (devam) Paylaşılan Anahtar: Paylaşılan Anahtar: Bu şekilde araya giren kullanılan IV için akış şifresini elde edebilir.

14 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP Zayıflıkları (devam) Tekrar Saldırısı Tekrar Saldırısı Aynı mesaj defalarca gönderilebilir. Aynı mesaj defalarca gönderilebilir. Örn: Sisteme girerkenki mesajlar dinlenebilir. Örn: Sisteme girerkenki mesajlar dinlenebilir. Tekrar önleme mekanizması kırılmadı çünkü bu şekilde bir mekanizma YOK ! Tekrar önleme mekanizması kırılmadı çünkü bu şekilde bir mekanizma YOK !

15 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP Zayıflıkları (devam) ICV lineer bir şekilde hesaplanır. Bit flipping (Borisov et al.) ile geçerli bir ICV oluşturulur. CRC kontrolünden sonra 3 katmandan tahmin edilen mesaj döner ve tekrarlama saldırısı ile akış şifresi elde edilir.

16 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP Zayıflıkları (devam) IV lerin tekrar kullanılması IV lerin tekrar kullanılması 2 yaklaşık 17 milyon farklı IV 2 24 yaklaşık 17 milyon farklı IV IEEE b 500 frame/sc yaklaşık 7 saatte tüm IV uzayı kullanılmış olur. IEEE b 500 frame/sc yaklaşık 7 saatte tüm IV uzayı kullanılmış olur. Dilin yapısal özelliklerinden akış şifresi elde edilebilir. Dilin yapısal özelliklerinden akış şifresi elde edilebilir.

17 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP Zayıflıkları (devam) RC4 Zayıf Anahtarlar Algoritması (Fluhrer et al 2001) (FSM attack) RC4 Zayıf Anahtarlar Algoritması (Fluhrer et al 2001) (FSM attack) RC4 zayıf anahtar üretimi (akış şifresi) RC4 zayıf anahtar üretimi (akış şifresi) Akış şifresinin önce zayıf noktaları sonra tümü elde edilir Akış şifresinin önce zayıf noktaları sonra tümü elde edilir

18 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP-Özet WEP tekrar saldırılarını önleyemez. WEP tekrar saldırılarını önleyemez. WEP RC4 algoritmasında zayıf anahtarlar kullanılması Şifreleme anahtarının ele geçmesine neden olabilir. WEP RC4 algoritmasında zayıf anahtarlar kullanılması Şifreleme anahtarının ele geçmesine neden olabilir. WEP IV leri tekrar kullanır.Bazı kriptoanaliz yaklaşımları ile şifreleme anahtarı bilinmeden veri çözülebilir. WEP IV leri tekrar kullanır.Bazı kriptoanaliz yaklaşımları ile şifreleme anahtarı bilinmeden veri çözülebilir. ICV nin elde edilme yönteminin zayıflığı nedeni ile mesaj bütünlüğü araya giren tarafından bozulabilir. ICV nin elde edilme yönteminin zayıflığı nedeni ile mesaj bütünlüğü araya giren tarafından bozulabilir.

19 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Wi-Fi (Wireless Fidelity) Nedir? Standartlar IEEE grupları tarafından belirlense bile bazı bölümler üretici şirketleri tarafından farklı gerçeklenebilir. Standartlar IEEE grupları tarafından belirlense bile bazı bölümler üretici şirketleri tarafından farklı gerçeklenebilir. Bu farklılığı önlemek ve üretilecek cihazların uyumluluğunu sağlamak için oluşturulan maddi amaç gütmeyen ortaklık. Bu farklılığı önlemek ve üretilecek cihazların uyumluluğunu sağlamak için oluşturulan maddi amaç gütmeyen ortaklık.

20 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WPA(Wireless Protected Access -2002) WEP deki kusurlar 2001 yılından beri açık bir şekilde biliniyordu. WEP deki kusurlar 2001 yılından beri açık bir şekilde biliniyordu. IEEE deki sorunları çözecek standartları geliştirmek için çalışmalara başladı (802.11i) IEEE deki sorunları çözecek standartları geliştirmek için çalışmalara başladı (802.11i) Fakat bu çalışmalar ancak 2004 te bitebileceği öngörülüyordu. Fakat bu çalışmalar ancak 2004 te bitebileceği öngörülüyordu. Endüstrinin acil ihtiyacı için i standartlarına (draft 3.0) uygun geçici bir güvenlik sistemi oluşturuldu.(Wi-Fi tarafından) Endüstrinin acil ihtiyacı için i standartlarına (draft 3.0) uygun geçici bir güvenlik sistemi oluşturuldu.(Wi-Fi tarafından)

21 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP in bilinen tüm zayıflıkları kapatılır. WEP in bilinen tüm zayıflıkları kapatılır. Donanım değişikliğine gidilmeden yükseltme yapılabiliyor.(sürücü ya da firmware güncellemesi ile) Donanım değişikliğine gidilmeden yükseltme yapılabiliyor.(sürücü ya da firmware güncellemesi ile) WEP’e göre daha güçlü şifreleme Temporal Key Integrity Protocol (TKIP) ve asıllama (802.1x) yapısına sahip. WEP’e göre daha güçlü şifreleme Temporal Key Integrity Protocol (TKIP) ve asıllama (802.1x) yapısına sahip. Anahtar yönetim mekanizmasına sahiptir.(802.1x) Anahtar yönetim mekanizmasına sahiptir.(802.1x) WPA(Wireless Protected Access) (devam)

22 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel TKIP- Temporal Key Integrity Protocol (Geçici Anahtar Bütünlüğü Protokolü ) TKIP, RC4 akış şifreleyici algoritma üzerine kuruludur.4 yeni algoritma ile WEP şifreleme mekanizmasını sarar. TKIP, RC4 akış şifreleyici algoritma üzerine kuruludur.4 yeni algoritma ile WEP şifreleme mekanizmasını sarar. IV 48 bite çıkarılmıştır ve paket numarası olarak kullanılmaktadır. IV 48 bite çıkarılmıştır ve paket numarası olarak kullanılmaktadır. Zayıf Anahtarlar kullanılmamaktadır. Zayıf Anahtarlar kullanılmamaktadır. Yeni bir mesaj bütünlük kontrol mekanizması MIC (Micheal) (Message integrity check) Yeni bir mesaj bütünlük kontrol mekanizması MIC (Micheal) (Message integrity check) Anahtar eldesi ve dağıtımı ile yeni bir method getirir. Anahtar eldesi ve dağıtımı ile yeni bir method getirir. Her çerçeve için yeni bir anahtar oluşturulur. Her çerçeve için yeni bir anahtar oluşturulur.

23 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel x ile Asıllama 802.1x EAP 802.1x EAP IEEE nin EAP (Extensible Authentication Protocol) standartları üzerine kurduğu bir yapıdır. IEEE nin EAP (Extensible Authentication Protocol) standartları üzerine kurduğu bir yapıdır. WLAN veya LAN larda kullanılabilir. WLAN veya LAN larda kullanılabilir. Elemanlar : Elemanlar : Kullanıcı (Supplicant) Kullanıcı (Supplicant) Asıllayıcı ya da Erişim Noktası (Authenticator) Asıllayıcı ya da Erişim Noktası (Authenticator) Asıllama Sunucusu(RADIUS Server) Asıllama Sunucusu(RADIUS Server) Remote Authentication Dial-In User Service Remote Authentication Dial-In User Service

24 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel x ile Asıllama

25 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel MIC(Message Integrity Code) WPA ile, Michael olarak bilinen bir yöntem, 8 baytlık bir ileti bütünlüğü kodu (MIC) hesaplayan yeni bir algoritma tanımlamaktadır. MIC, IEEE çerçevesinin veri bölümü ile 4 baytlık ICV arasına yerleştirilir. MIC alanı, çerçeve verileri ve ICV ile birlikte şifrelenir. DA SA PAYLOAD Anahtar MIC

26 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Anahtar Yönetimi İki Çeşit anahtar yapısı var İki Çeşit anahtar yapısı var Oturum Anahtar kümesi -> unicast Oturum Anahtar kümesi -> unicast Grup Anahtar Kümesi-> multicast Grup Anahtar Kümesi-> multicast Kullanıcı ve Erişim Noktası Ana Anahtar MK (Master Key) e sahiptir. Kullanıcı ve Erişim Noktası Ana Anahtar MK (Master Key) e sahiptir. Anahtarlar hiyerarşik yapıya sahiptir. Anahtarlar hiyerarşik yapıya sahiptir.

27 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Anahtar Yönetimi (devam)

28 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Oturum anahtar kümesinin üretilmesi

29 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Grup Anahtar kümelerinin üretilmesi

30 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Farklı Anahtar Üretimi Farklı Anahtar üretimi Farklı Anahtar üretimi

31 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel TKIP- Temporal Key Integrity Protocol (devam) DA – Destination Address TKIP – Temporal Key Integrity Protocol ICV– Integrity Check Value TSC – TKIP Sequence Counter MPDU – Message Protocol Data Unit TTAK– result of phase 1 key mixing of Temporal Key MSDU – MAC Service Data Unit and Transmitter Address WEP – Wired Equivalent Privacy SA – Source Address WEP IV – Wired Equivalent Privacy Initialization Vector TA – Transmitter Address initializatiion vector

32 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WEP & WPA WEPWPA Şifreleme Şifreleme yapısı kırıldı. RC4 algoritması WEP in açıklarını kapatıyor. TKIP/RC4 algoritması Anahtar Uzunluğu 40 bitlik anahtar 128 bitlik anahtar IV uzunluğu 24 bitlik IV 48 bitlik Anahtar Değişikliği Anahtar değişimi yoktur. Anahtarlar her oturum,her paket için değişir. Anahtar yönetimi Anahtar yönetimi yoktur 802.1x. Asıllama Zayıf bir yöntem 802.1x EAP ile güçlü bir yöntem Veri Bütünlüğü ICVMIC

33 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel IEEE i (RSN)-(WPA2) 2004 RSN (Robust Security Network) IEEE i grubu tarafından oluşturulmuş gelişmiş bir telsiz güvenlik standartıdır. RSN (Robust Security Network) IEEE i grubu tarafından oluşturulmuş gelişmiş bir telsiz güvenlik standartıdır. WEP üzerine kurulu değil.Yeni bir donanıma ihtiyaç duyar. WEP üzerine kurulu değil.Yeni bir donanıma ihtiyaç duyar i (RSN) asıllamayı ve anahtar yönetimi IEEE 802.1X standartları ile gerçekler i (RSN) asıllamayı ve anahtar yönetimi IEEE 802.1X standartları ile gerçekler.

34 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WPA2 Gezginlik sağlar Gezginlik sağlar Önceden asıllama Önceden asıllama Anahtar önbellekleme Anahtar önbellekleme Şifreleme Temporal Key Integrity Protocol (TKIP) veya Counter Mode with CBC-MAC Protocol (CCMP) ile gerçekler. Şifreleme Temporal Key Integrity Protocol (TKIP) veya Counter Mode with CBC-MAC Protocol (CCMP) ile gerçekler. CCMP zorunlu,TKIP ise seçenekli CCMP zorunlu,TKIP ise seçenekli

35 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel CCMP(Counter Mode –CBC MAC Protocol) CCMP içinde AES(Advanced Encryption Standart) kullanır. CCMP içinde AES(Advanced Encryption Standart) kullanır. Güvenilir ve hızlı bir algoritma Güvenilir ve hızlı bir algoritma Simetrik anahtarlı Simetrik anahtarlı CCMP içinde seçilen kullanım modu Counter Mode with CBC-MAC (CCM). CCMP içinde seçilen kullanım modu Counter Mode with CBC-MAC (CCM).

36 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel CCMP Counter mode (gizlilik amaçlı) Counter mode (gizlilik amaçlı) 128 bitlik şifreleme anahtarı kullanılır 128 bitlik şifreleme anahtarı kullanılır TKIP deki gibi,temporal encryption key PMK (Pairwise Master Key) den türetilir. TKIP deki gibi,temporal encryption key PMK (Pairwise Master Key) den türetilir. CBC- MAC modu (bütünlük) MIC hesabında kullanılır. CBC- MAC modu (bütünlük) MIC hesabında kullanılır. İlk veri bloğunu al ve AES i kullanarak şifrele. İlk veri bloğunu al ve AES i kullanarak şifrele. Sonuç ile 2. bloğu XOR layıp şifrele Sonuç ile 2. bloğu XOR layıp şifrele Çıkan sonucu bir sonraki blok ile XOR layıp şifrele Çıkan sonucu bir sonraki blok ile XOR layıp şifrele CBC- MAC + Counter mode = CCM CBC- MAC + Counter mode = CCM

37 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel CCMP nasıl çalışır? PN = packet number

38 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel WPA-WPA2 WEPWPAWPA2 Şifreleme Şifreleme yapısı kırıldı. RC4 algoritması WEP in açıklarını kapatıyor. TKIP/RC4 CCMP/AESCCMP/TKIP Şifreleme Anahtarı 40 bitlik anahtar 128 bitlik anahtar 128 bit IV 24 bit 48 bit Anahtar Değişikliği Anahtar sabittir. Anahtarlar her oturum,her paket için değişir. Anahtar değişikliğne gerek yoktur. Anahtar yönetimi Anahtar yönetimi yoktur 802.1x802.1x Asıllama Zayıf bir yöntem 802.1x EAP Veri Bütünlüğü ICVMICMIC

39 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel Sonuç Telsiz Ağlar bir çok yönden faydalı,fakat güvenlik önemli bir unsur Telsiz Ağlar bir çok yönden faydalı,fakat güvenlik önemli bir unsur WEP artık bir güvenlik önlemi olarak kabul görmemektedir. WEP artık bir güvenlik önlemi olarak kabul görmemektedir. WPA kırılmamış bir yapıya sahip olsa da RC4 ün zayıflıklarını taşımaktadır. WPA kırılmamış bir yapıya sahip olsa da RC4 ün zayıflıklarını taşımaktadır. WPA2 AES şifreleme algoritmasının gücü ile şu anki en sağlam güvenlik önlemidir. WPA2 AES şifreleme algoritmasının gücü ile şu anki en sağlam güvenlik önlemidir.

40 İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel TEŞEKKÜRLER


"İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik İsmail Özgür Demirel 704041008 1 TELSİZ AĞLARDA GÜVENLİK İsmail Özgür DEMİREL 704041008." indir ppt

Benzer bir sunumlar


Google Reklamları