Chapter 11 WLAN Security

Bölüm 11 WLAN Güvenliği

8: Network Security8-3 What is Security? Confidentiality: only sender, intended receiver should “understand” message contents – sender encrypts message – receiver decrypts message Authentication: sender, receiver want to confirm identity of each other Message Integrity: sender, receiver want to ensure message not altered (in transit, or afterwards) without detection Access and Availability: services must be accessible and available to users

8: Network Security8-4 Güvenlik Nedir? Confidentiality (gizlilik): sadece gönderici ve hedeflenen alıcı mesaj içeriğini anlar – Gönderici mesajı şifreler (encrypts) – Alıcı mesajın şifresini çözer (decrypts) Authentication (kimlik doğrulama): alıcı ve verici birbirinin kimliklerini doğrular Message Integrity (mesaj bütünlüğü): gönderici ve alıcı mesajın yolda iken (in transit) değişikliğe uğramasının önüne geçmeye veya değişiklik olduysa da farkına varabilmek ister Access and Availability (erişim ve kullanılabilir): servisler kullanıcılar için erişilebilir ve kullanılabilir olmalı

Common Computer Attacks Eavesdrop: intercept messages Wardrawing: intercept messages in wireless Packet Injection: inserting messages into a connection Impersonation: can fake (spoof) source address in packet (or any field in packet) Hijacking: “take over” ongoing connection by removing sender or receiver, inserting himself in place Denial of service (DoS): prevent service from being used by others (e.g., by overloading resources)

Bazı Yaygın Bilgisayar Saldırıları Eavesdrop (kulak-verme): mesajı yakalayıp dinleme Wardrawing (savaş-sürüşü): mesajları kablosuz ortamlarda yakalayıp kötü amaçlı kullanmaya çalışmak Packet Injection (paket enjekte etme): iki kullanıcı arasındaki mevcut bir bağlantı arasına girerek kötü amaçlı mesajlar enjekte etme Impersonation (başkası gibi davranma): bir paketin gönderici IP’sini değiştirerek (IP spoofing) mesaj başkasından geliyormuş gibi davranma Hijacking (rehin-alma): alıcı/verici arasına tamamıyla girip bütün haberleşmeyi istediği sekilde yönlendirme (istediği mesajları gönderme gibi) Denial of service (DoS) (servis dışı bırakma): servis kaynaklarını yönlendirip boşa harcatarak, sistemi faydalı iş yapma yeteneğini engellemeye çalışma

Some Security Measures Wired Equivalent Protocol (WEP) encryption MAC address filtering A variety of authentication protocols Data encryption

Bazı Güvenlik Önlemleri Wired Equivalent Protocol (WEP) şifreleme MAC adres filtreleme Çeşitli kimlik doğrulama metodları Verinin şifrelenmesi

WEP An old security algorithm for IEEE wireless networks Intended to provide confidentiality comparable to that of a traditional wired network It is susceptible to eavesdropping WEP connection can be cracked with readily available SW Therefore, WEP had been superseded by Wi-Fi Protected Access (WPA) – WPA introduced new authentication protocol, improved integrity protection measure and per-packet keys

WEP IEEE kablosuz ağlar için önerilmiş eski bir metod Kablolu ağlardaki gizliliğe (confidentiality) benzer bir güvenlik oluşturma amaçlıdır Kulak kapartma/dinleme (eavesdropping) saldırılarına kolayca hedef olur WEP bağlantı detayları, piyasada kolayca elde edilebilen yazılım proğramlarıyla hemen çözülebilir Bu sepeblerden dolayı WEB metodu, Wi-Fi Protected Access (WPA) metodu ile değiştirilmeye çalışıldı/önerildi – WPA yeni kimlik doğrulama yöntemleri, geliştirilmiş bütünlük kontrol önlemleri ve her paket için yeni anahtar (key) gibi özellikleri içeriyor

WEP Encryption It uses the stream cipher RC4 for confidentiality It used CRC-32 checksum for integrity Standard 64-bit WEP – uses a 40 bit key (WEP-40), concatenated with a 24-bit initialization vector (IV) Extended 128-bit WEP – Uses 104-bit key (WEP-104), concatenated with a 24-bit IV

WEP Şifreleme Gizlilik (confidentiality) için RC4 akışkan/bağlantılı (stream) şifreleme kullanır Bütünlük (integrity) CRC-32 checksum kullanır Standard 64-bit WEP – 40-bit anahtar (bazen WEP-40 adlandırılır), 24-bit başlama vektörü (initialization vector = IV) ile birleştirilirmiş olarak Uzatılmış/genişletilmiş (extended) 128-bit WEP – 104-bit anahtar (WEP-104). IV yine 24-bit

WEP limitations Short initialization vector (IV) Static shared keys

Authentication Open System Authentication (OSA) – No authentication to be performed – Wireless nodes are allowed to associate with an AP using a randomly generated key – Frames used to establish an association are sent in clear text (no encryption) Shared Key Authentication (SKA) – Consists of a set of message exchanges between a node and an AP using a prior agreed key between two parties

Authentication (Kimlik Doğrulama) Açık Sistem (Open System) Authentication (OSA) – Authentication yapılmaz (herkese açıktır) – Kablosuz bir düğüm rastgele üretilen bir anahtar (randomly generated key) ile bağlantı yapmaya izin verir – Association için karşılıklı gönderilen mesajlar (şifresiz (clear text) olarak gönderilir Ortak Anahtar (Shared Key) Authentication (SKA) – AP ile düğüm (node) arasında karşılıklı bir dizin mesajlardan oluşur ve her iki tarafın önceden üzerinde mutabık kaldıkları bir anahtar kullanma mantığı kullanır

Shared Key Authentication Station requests association with AP AP sends a challenge to station Station encrypts challenge using WEP to produce a response Response received by AP – decrypted by AP and result compared to initial challenge – if they match, AP sends a successful message and the station is authenticated

SKA Steps A node sends an association (registration) request frame AP creates a random challenge message and transmits to requesting node Node signs (applies) its shared-key to the challenge message Node sends back the signed challenge message to AP AP signs (applies) the shared-key on its own challenge message AP compares the computed and received challenge messages: – if they are the same and authentication is successsful Challenged message and signed challenge message are sent in clear text (not encrypted) format – Messages can be intercepted by hackers easily

SKA Adımları Bir düğüm association (kayıt/bağlantı) request (istek) frame AP bir rastgele (random) challenge mesajı ve bağlantı isteğinde bulunan düğüme gönderir Düğüm gönderilen challenge mesajı kendisinde bulunan, önceden üzerinde mutabık kalınan ortak anahtarı (shared- key) kullanarak imzalar (signs) Düğüm şifrelenmiş challenge mesajı AP’ye geri gönderir AP kendisindeki shared-key ile challenge mesajı imzalar AP kendi şifrelediği (hesapladığı) challenge mesajı ile düğüm trafından imzalanıp gönderilen challenge mesajı karşılaştırır – Eğer ikisi de aynı ise authentication prosesi başarılı Challenge mesajı ve imzalanmış challange mesajı gönderilirken ek bir koruma/şifreleme uygulanmaz – Dolayısıyla mesajlar hakerlar tarafından (havada karşılıklı gönderilirken) yakalanıp çözülerek ve sisteme giriş yapabilir

A Protection and Weakness: MAC Layer Filtering When an AP installed and configured a list of MAC addresses allowed to the wireless network be registered However, a MAC address is transmitted in several administrative and association frames being exchanged between wireless nodes – So a hacker can learn MAC addresses and spoof them

Bir Koruma ve Açığı: MAC Katmanı (Layer) Filterleme Bir AP kurulup konfigüre edildiğinde kendisine bağlanmasına izin verilebilecek düğüm (node) bilgileri (MAC adresleri) tanımlanabilir (erişim izni verilen MAC adresleri listesi) Fakat, MAC adresleri authentication prosesi esnasında gizlenmeden (şifresiz) gönderildiği için haker tarafından elde edilebilir – Böylece haker MAC adresi spoof (adres yanılmatası, yan, kendi adresini bağlantıya izin verilen düğüm MAC adresiymiş gibi göstererek AP’e erişim sağlayabilir

Extensible Authentication Protocol (EAP) Most authentication procedures involves a username and password – But, more security measures are needed EAP can be used for point-to-point (PPP) as well as WLANs In a PPP setup it works as follows – When a user dials into a remote access server (RAS) that is using EAP, the authentication can be performed by a Remote Authentication Dail-In User Service (RADIUS) server that supports EAP

Extensible Authentication Protocol (EAP) Çoğu authentication metodu kullanıcı adı ve parola (username and password) kullanır – Fakat, daha güvenli yöntemlere ihtiyaç var EAP point-to-point (PPP) bağlantılar yanısıra WLAN’ler için de kullanılabilir PPP bağlantılarda kurulum aşağıdaki şekilde gerçekleşir: – Bir kullanıcı uzaktan erişim sunucusuna (remote access server=RAS) EAP kullanarak bağlanmak istediğinde, authentication işlemi, Remote Authentication Dail-In User Service (RADIUS) sunucusu trafından EAP kullanılarak gerçekleştirilir