Chapter 11 WLAN Security. Bölüm 11 WLAN Güvenliği.

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları Son Hafta
Advertisements

Kablosuz Ağlar (WLAN).
TCP/IP Protokolü.
İNTERNET.
Alakalı müşterileri hedefleyin. Google ile Yeniden Pazarlama Remarketing with Google. Target customers who are already showing interest in your business.
Veri İletiminde Hata Kontrol Yöntemleri
TELSİZ AĞLARDA GÜVENLİK
MD-5 (Message-Digest Algoritma).
AĞ PROTOKOLÜ.
ARP DİNLEME.
Open Systems Interconnection
CSMA/CD.
Büyük Risk Bilgisayar Ağları Network Soru-Cevap 1 Bilgisayar Ağları
Postfix Spam Ayarları Tufan KARADERE TÜBİTAK - ULAKBİM
Anahtar link-katmanı cihazı: hublardan daha zeki, aktif rol üstlenir
Güvenlik Amaçlı SNMP Walk ile Merkezi Loglama Yazılımı
Bilişsel Kablosuz Ağlar (Cognitive Wireless Networks)
TCP/IP Sorun Çözme ve Ağ Komutları
BLM619 Bilgisayar Ağları ve Uygulamaları
Bir Problemin Programa Dönüştürülme Süreci
Hareket halindeki insanlara ulaşın.Mobil Arama Ağı Reklamları Reach customers with Mobile Search Network.
Chapter 5. Ağ Protokolleri
TCP/IP Sorun Çözme ve Ağ Komutları
DEVRE TEOREMLERİ.
Bilgisayar ve Veri Güvenliği
Kampanyanızı optimize edin. Görüntülü Reklam Kampanyası Optimize Edici'yi Kullanma Display Ads Campaign Optimizer. Let Google technology manage your diplay.
Wireless Medya 1. Wireless LAN organizasyon ve standartları  IEEE – kablosuz network için standartları oluşturur. Temel standart dir.  Direct.
Kablosuz Ağ Güvenliği.
Ethernet Anahtarlama.
LECTURE – III e-COMMERCE İstanbul Commerce University Vocational School.
Gizli / İsimsiz Raporlama Tanıtımı
OSI Modeli u TCP/IP protokolünün farklı katmanlarını incelemeden önce, herkes tarafından kabul edilen referans bir noktaya ihtiyacımız var. International.
BM-305 Mikrodenetleyiciler Güz 2015 (6. Sunu) (Yrd. Doç. Dr. Deniz Dal)
Windows İşletim Sistemlerinde Yetkilendirme
Bilişim Teknolojileri Güvenliği. BT Güvenliği Bilişim teknolojisi kullanan bir kuruluşun en önemli hedeflerinden biri bu teknolojiyi gerektiği gibi çalışır.
AVL Trees / Slide 1 Silme * Anahtar hedefi silmek için, x yaprağında buluruz ve sonra sileriz. * Dikkat edilmesi gereken iki durum vardır. (1) Hedef bazi.
Muammer Benzeş MVP (IIS) Bulut Bilişim /muammerbenzes.
ÖMER ÜNALDI EDUROAM.
Lınk layer ProtoCol (ARP,INARP) YUNUS EMRE BAYAZIT.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
B İ L İŞİ M S İ STEMLER İ GÜVENL İĞİ (2016) PROF. DR. ORHAN TORKUL ARŞ. GÖR. M. RAŞIT CESUR.
Ağ Donanımları Ağ Nedir ? Ağ Donanımları Bridge Hub Switch Router
Practice your writing skills
TCP/IP. Network Katmanı ● Bu katmanda IP'ye göre düzenlenmiş veri paketleri bulunur. ● İletim katmanından gelen veriler burada Internet paketleri haline.
Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM Figen Bozkurt Şule Toker
CHILD PORNOGRAPHY IŞIK ÜNİVERSİTESİ
Computer & Network Security
Bilgi Sistemleri ve Güvenliği
Computer & Network Security
Sunucu İşletim Sistemleri-2
Bilgisayar Ağlarında Güvenlik
TCP/IP (Devam).
Muhammet Doğan KABLAN
Self-Registration on the Coats Supplier Portal
Paralel Programlamaya Giriş
EDUROAM (EDUCATION ROAMİNG)
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
MAİL SERVER Oğuz ZARCI –
Active Directory.
HESAP YÖNETİMİ-2.
Bir Problemin Programa Dönüştürülme Süreci
Bilgi Sistemleri ve Güvenliği
HTTP Kullanıcı Asıllama ve Yetkilendirme
Mustafa COŞAR- Murat DOĞAN- İsmail ARIK Hitit Üniversitesi
OSİ Modeli.
ETHERNET KARTI(AĞ KARTI)
PREPARED BY: 9-B STUDENTS. Sumerians, who laid the foundations of great civilizations and the world cultural heritage, emerged to the st The Sumerians.
SUNUM PLANI Yasal konular ve uygulamalar SUNUM PLANI
Araştırma Deneyimini Geliştirme: ProQuest Ara Yuz Geliştirmeleri
Sunum transkripti:

Chapter 11 WLAN Security

Bölüm 11 WLAN Güvenliği

8: Network Security8-3 What is Security? Confidentiality: only sender, intended receiver should “understand” message contents – sender encrypts message – receiver decrypts message Authentication: sender, receiver want to confirm identity of each other Message Integrity: sender, receiver want to ensure message not altered (in transit, or afterwards) without detection Access and Availability: services must be accessible and available to users

8: Network Security8-4 Güvenlik Nedir? Confidentiality (gizlilik): sadece gönderici ve hedeflenen alıcı mesaj içeriğini anlar – Gönderici mesajı şifreler (encrypts) – Alıcı mesajın şifresini çözer (decrypts) Authentication (kimlik doğrulama): alıcı ve verici birbirinin kimliklerini doğrular Message Integrity (mesaj bütünlüğü): gönderici ve alıcı mesajın yolda iken (in transit) değişikliğe uğramasının önüne geçmeye veya değişiklik olduysa da farkına varabilmek ister Access and Availability (erişim ve kullanılabilir): servisler kullanıcılar için erişilebilir ve kullanılabilir olmalı

Common Computer Attacks Eavesdrop: intercept messages Wardrawing: intercept messages in wireless Packet Injection: inserting messages into a connection Impersonation: can fake (spoof) source address in packet (or any field in packet) Hijacking: “take over” ongoing connection by removing sender or receiver, inserting himself in place Denial of service (DoS): prevent service from being used by others (e.g., by overloading resources)

Bazı Yaygın Bilgisayar Saldırıları Eavesdrop (kulak-verme): mesajı yakalayıp dinleme Wardrawing (savaş-sürüşü): mesajları kablosuz ortamlarda yakalayıp kötü amaçlı kullanmaya çalışmak Packet Injection (paket enjekte etme): iki kullanıcı arasındaki mevcut bir bağlantı arasına girerek kötü amaçlı mesajlar enjekte etme Impersonation (başkası gibi davranma): bir paketin gönderici IP’sini değiştirerek (IP spoofing) mesaj başkasından geliyormuş gibi davranma Hijacking (rehin-alma): alıcı/verici arasına tamamıyla girip bütün haberleşmeyi istediği sekilde yönlendirme (istediği mesajları gönderme gibi) Denial of service (DoS) (servis dışı bırakma): servis kaynaklarını yönlendirip boşa harcatarak, sistemi faydalı iş yapma yeteneğini engellemeye çalışma

Some Security Measures Wired Equivalent Protocol (WEP) encryption MAC address filtering A variety of authentication protocols Data encryption

Bazı Güvenlik Önlemleri Wired Equivalent Protocol (WEP) şifreleme MAC adres filtreleme Çeşitli kimlik doğrulama metodları Verinin şifrelenmesi

WEP An old security algorithm for IEEE wireless networks Intended to provide confidentiality comparable to that of a traditional wired network It is susceptible to eavesdropping WEP connection can be cracked with readily available SW Therefore, WEP had been superseded by Wi-Fi Protected Access (WPA) – WPA introduced new authentication protocol, improved integrity protection measure and per-packet keys

WEP IEEE kablosuz ağlar için önerilmiş eski bir metod Kablolu ağlardaki gizliliğe (confidentiality) benzer bir güvenlik oluşturma amaçlıdır Kulak kapartma/dinleme (eavesdropping) saldırılarına kolayca hedef olur WEP bağlantı detayları, piyasada kolayca elde edilebilen yazılım proğramlarıyla hemen çözülebilir Bu sepeblerden dolayı WEB metodu, Wi-Fi Protected Access (WPA) metodu ile değiştirilmeye çalışıldı/önerildi – WPA yeni kimlik doğrulama yöntemleri, geliştirilmiş bütünlük kontrol önlemleri ve her paket için yeni anahtar (key) gibi özellikleri içeriyor

WEP Encryption It uses the stream cipher RC4 for confidentiality It used CRC-32 checksum for integrity Standard 64-bit WEP – uses a 40 bit key (WEP-40), concatenated with a 24-bit initialization vector (IV) Extended 128-bit WEP – Uses 104-bit key (WEP-104), concatenated with a 24-bit IV

WEP Şifreleme Gizlilik (confidentiality) için RC4 akışkan/bağlantılı (stream) şifreleme kullanır Bütünlük (integrity) CRC-32 checksum kullanır Standard 64-bit WEP – 40-bit anahtar (bazen WEP-40 adlandırılır), 24-bit başlama vektörü (initialization vector = IV) ile birleştirilirmiş olarak Uzatılmış/genişletilmiş (extended) 128-bit WEP – 104-bit anahtar (WEP-104). IV yine 24-bit

WEP limitations Short initialization vector (IV) Static shared keys

Authentication Open System Authentication (OSA) – No authentication to be performed – Wireless nodes are allowed to associate with an AP using a randomly generated key – Frames used to establish an association are sent in clear text (no encryption) Shared Key Authentication (SKA) – Consists of a set of message exchanges between a node and an AP using a prior agreed key between two parties

Authentication (Kimlik Doğrulama) Açık Sistem (Open System) Authentication (OSA) – Authentication yapılmaz (herkese açıktır) – Kablosuz bir düğüm rastgele üretilen bir anahtar (randomly generated key) ile bağlantı yapmaya izin verir – Association için karşılıklı gönderilen mesajlar (şifresiz (clear text) olarak gönderilir Ortak Anahtar (Shared Key) Authentication (SKA) – AP ile düğüm (node) arasında karşılıklı bir dizin mesajlardan oluşur ve her iki tarafın önceden üzerinde mutabık kaldıkları bir anahtar kullanma mantığı kullanır

Shared Key Authentication Station requests association with AP AP sends a challenge to station Station encrypts challenge using WEP to produce a response Response received by AP – decrypted by AP and result compared to initial challenge – if they match, AP sends a successful message and the station is authenticated

SKA Steps A node sends an association (registration) request frame AP creates a random challenge message and transmits to requesting node Node signs (applies) its shared-key to the challenge message Node sends back the signed challenge message to AP AP signs (applies) the shared-key on its own challenge message AP compares the computed and received challenge messages: – if they are the same and authentication is successsful Challenged message and signed challenge message are sent in clear text (not encrypted) format – Messages can be intercepted by hackers easily

SKA Adımları Bir düğüm association (kayıt/bağlantı) request (istek) frame AP bir rastgele (random) challenge mesajı ve bağlantı isteğinde bulunan düğüme gönderir Düğüm gönderilen challenge mesajı kendisinde bulunan, önceden üzerinde mutabık kalınan ortak anahtarı (shared- key) kullanarak imzalar (signs) Düğüm şifrelenmiş challenge mesajı AP’ye geri gönderir AP kendisindeki shared-key ile challenge mesajı imzalar AP kendi şifrelediği (hesapladığı) challenge mesajı ile düğüm trafından imzalanıp gönderilen challenge mesajı karşılaştırır – Eğer ikisi de aynı ise authentication prosesi başarılı Challenge mesajı ve imzalanmış challange mesajı gönderilirken ek bir koruma/şifreleme uygulanmaz – Dolayısıyla mesajlar hakerlar tarafından (havada karşılıklı gönderilirken) yakalanıp çözülerek ve sisteme giriş yapabilir

A Protection and Weakness: MAC Layer Filtering When an AP installed and configured a list of MAC addresses allowed to the wireless network be registered However, a MAC address is transmitted in several administrative and association frames being exchanged between wireless nodes – So a hacker can learn MAC addresses and spoof them

Bir Koruma ve Açığı: MAC Katmanı (Layer) Filterleme Bir AP kurulup konfigüre edildiğinde kendisine bağlanmasına izin verilebilecek düğüm (node) bilgileri (MAC adresleri) tanımlanabilir (erişim izni verilen MAC adresleri listesi) Fakat, MAC adresleri authentication prosesi esnasında gizlenmeden (şifresiz) gönderildiği için haker tarafından elde edilebilir – Böylece haker MAC adresi spoof (adres yanılmatası, yan, kendi adresini bağlantıya izin verilen düğüm MAC adresiymiş gibi göstererek AP’e erişim sağlayabilir

Extensible Authentication Protocol (EAP) Most authentication procedures involves a username and password – But, more security measures are needed EAP can be used for point-to-point (PPP) as well as WLANs In a PPP setup it works as follows – When a user dials into a remote access server (RAS) that is using EAP, the authentication can be performed by a Remote Authentication Dail-In User Service (RADIUS) server that supports EAP

Extensible Authentication Protocol (EAP) Çoğu authentication metodu kullanıcı adı ve parola (username and password) kullanır – Fakat, daha güvenli yöntemlere ihtiyaç var EAP point-to-point (PPP) bağlantılar yanısıra WLAN’ler için de kullanılabilir PPP bağlantılarda kurulum aşağıdaki şekilde gerçekleşir: – Bir kullanıcı uzaktan erişim sunucusuna (remote access server=RAS) EAP kullanarak bağlanmak istediğinde, authentication işlemi, Remote Authentication Dail-In User Service (RADIUS) sunucusu trafından EAP kullanılarak gerçekleştirilir