Sunuyu indir
Sunum yükleniyor. Lütfen bekleyiniz
1
Bilgi Sistemleri ve Güvenliği
Ödev Çalışması « Kablosuz Ağ Güvenliği WEP – WPA » Kontrol Prof. Dr. Asaf VAROL Yazılım Mühendisliği Bl. Bölüm Başkanı Hazırlayan Murat YAVUZ Müh. Tamamlama
2
İçerik Giriş MAC Adres Filtreleme WEP WPA WPA 2 Sonuç - Teşekkür
Kaynakça
3
GİRİŞ Güvenlik her zaman önemlidir. Yaygın kablosuz kullanımı.
Radyo işaretlerinin havadan iletilmesi bu işaretlerin izlenebilmesini ve takip edilebilmesine olanak sağlamaktadır. Aslında kablosuz ağlar saldırılara karşı daha güvensizdirler.
4
KABLOSUZ AĞ GÜVENLİK YÖNTEMLERİ
MAC Adres Filtreleme WEP WPA WPA 2
5
MAC FİLTRELEME İzin verilmiş kullanıcıların kablosuz ağ kartlarının MAC adreslerinin listelenmesi ve kullanılmasıdır.
6
WEP WİRED EQUİVALENT PRİVACY - KABLOLUYA EŞDEĞER GİZLİLİK
İlk 5 yıl için IEEE de geçerli olan tek güvenlik protokolüdür. Paylaşılmış olan gizli anahtar mantığına dayalıdır. 2000 yılında bu protokolün zayıflıkları ortaya çıkarılmaya başlanmıştır. Tasarlanma aşamasında şu şartları sağlamalıydı; Makul bir şekilde güçlü olmalı.(Algoritma kolayca kırılmamalı) Etkili olmalı. (Donanım veya yazılım ile gerçeklenebilmeli) Dışa Aktarılabilir olmalı (ABD hükümetinin anahtar boyut sınırlandırması) Kullanımı isteğe bağlı olmalı
7
WEP Kullanılan şifreleme algoritması RC4 (Rivest Cipher) bir akış şifreleyicisi olup simetrik anahtar kullanmaktadır. Anahtar uzunluğu 40 bit veya 104 bittir, IV (initialization vector) uzunluğu 24 bittir, Veri bütünlüğünü ICV (integrity check value) sağlamalıdır
8
WEP 24 bitlik başlangıç vektörü (IV) ,40 bitlik paylaşılan anahtara eklenir. Bu anahtardan RC4 algoritması kullanılarak şifrelenecek veri uzunluğunda akış şifresi elde edilir. IV vektörünün değişmesi ile her seferinde farklı akış şifreleri elde edilmektedir. Bu sırada veri bütünlüğü sağlamak için asıl veri üzerinden ICV hesaplanır ve verinin sonuna eklenir. Elde edilen akış şifresi ile (Veri +ICV) dar veya işleminden geçirilerek şifreli metin hazırlanmış olur. Son adım olarak alıcı tarafın şifreyi çözmesi için bilmesi gerekli olan IV çerçevenin başına şifrelenmeden eklenir. Böylelikle gönderilecek çerçeve hazırlanmış olur.
9
WEP WEP Asıllama Yöntemleri Açık güvenlik (SSID) :
STA: Kullanıcı AP: Erişim Noktası Ortak Anahtarlı Asıllama:
10
WEP WEP Asıllama Yöntemleri MAC Adresi ile Asıllama
11
WEP WEP Zayıf Noktaları Asıllama
Açık SSID: SSID bilinmelidir. Bilinmese de trafiği dinleyen SSID’yi öğrenebilir. MAC Asıllama: Kendini asıllatmış ama trafiği dinlenen bir kullanıcının MAC adresi alınabilir. Bu adresi kullanılarak saldırgan kendini asıllatır. Ortak Anahtarlı: Belirli bir IV değeri için akış şifresi ele geçirilerek asıllama işlemi gerçekleştirilebilir.
12
WEP WEP Zayıf Noktaları Tekrar Saldırısı
Aynı mesaj defalarca gönderilebilir ve bu alıcı tarafından anlaşılamaz. Bu zayıflığı açıklamak için bir örnek verilecek olursa: Sisteme giriş yapan bir kullanıcının mesajı asıllayıcıya giderken dinlenebilir. Kullanıcı sistemden çıktıktan sonra dinlenilen mesajlar asıllayıcıya gönderilirse araya giren kişide kendini asıllatmış olacaktır.
13
WEP WEP Zayıf Noktaları Bit Flapping
ICV lineer bir metotla oluşturulup asıl verinin sonuna eklenip şifrelenmektedir. Lineer bir metotla oluşturulduğu için şifreli olsa bile veri alanında bir değişiklik yapıldığında ICV de oluşacak değişiklik hesaplanabilmektedir. Araya giren telsiz ağdan bir paket alır. Dinlediği paketteki veri ve ICV alanlarını değiştirir. Bu paketi ağ dışına yollar. Erişim noktası ICV değerini kontrol edip çerçeveyi gönderir. 3. katmanda CRC kontrol edilir ve belirli edilen bir hata döndürülür. Erişim noktası bu hatayı şifreler ve gönderir. Araya giren belirli hatanın hem şifreli hem de açık metnine sahip olur. XOR işlemi ile buradan akış şifresi elde edilir.
14
C şifreli metin , P açık metin , K akış şifresi
WEP WEP Zayıf Noktaları IV lerin Tekrar Kullanılması IV nin 24 bittir. Buda 224 yaklaşık olarak 17 milyon farklı IV anlamına gelir. Tekrarlanmadan IV, 1 er artırarak kullanılsa bile b standardına göre yaklaşık 7 saatte tüm IV ler kullanılmış olacaktır XOR işlemi ve dilin yapısal özelliklerinden faydalanarak akış şifresi parça parça elde edilebilir. Akış şifresi çözüldükten sonra bu IV ile sahte çerçeveler oluşturulabilir. C şifreli metin , P açık metin , K akış şifresi RC4 Zayıf Anahtarlar Üretmesi (FSM attack) RC4 algoritması bazı anahtarlardan, zayıf akış şifreleri üretmektedir. Bu zayıflıktan faydalanarak şifrelenmiş metinden akış şifresini buradan da anahtarı elde etmek mümkün olabilir.
15
WEP Genel olarak WEP tekrar saldırılarını önleyemez.
WEP RC4 algoritmasında zayıf anahtarlar kullanılması şifreleme anahtarının ele geçmesine neden olabilir. WEP IV leri tekrar kullanır. Bazı kripto analiz yaklaşımları ile şifreleme anahtarı bilinmeden veri çözülebilir. ICV nin elde edilme yönteminin zayıflığı nedeni ile mesaj bütünlüğü araya giren tarafından bozulabilir.
16
Wireless Protected Access - Wi-Fi Korumalı Erişim
WPA Wireless Protected Access - Wi-Fi Korumalı Erişim Güvenlik standartları IEEE grupları tarafından belirlense bile bazı bölümler üretici şirketleri tarafından farklı gerçeklenebilir. Bu farklılığı önlemek ve üretilecek cihazların uyumluluğunu sağlamak için oluşturulan maddi amaç gütmeyen bir ortaklık kurulmuştur. Bu ortaklığın adı Wi-Fi dır. WPA, WEP’e göre daha güçlü şifreleme Temporal Key Integrity Protocol (TKIP) ve asıllama (802.1x) yapısına sahiptir. Ayrıca WEP de olmayan anahtar yönetim mekanizmasına sahiptir.
17
Wireless Protected Access - Wi-Fi Korumalı Erişim
WPA Wireless Protected Access - Wi-Fi Korumalı Erişim Ayrıca WPA, yalnızca yetkili kişilerin ağa erişememesini sağlamaya yardımcı olmak için kullanıcıların kimliğini de doğrular. WPA, WEP’e göre daha güçlü şifreleme Temporal Key Integrity Protocol (TKIP) ve asıllama (802.1x) yapısına sahiptir.
18
WPA TKIP - Temporal Key Integrity Protocol
(Geçici Anahtar Bütünlüğü Protokolü) RC4 akış şifreleyici algoritma üzerine kuruludur. 4 yeni algoritma ile WEP şifreleme mekanizmasını sarar. IV 48 bite çıkarılmıştır ve paket numarası olarak kullanılmaktadır. Zayıf anahtarlar kullanılmamaktadır. Yeni bir mesaj bütünlük kontrol mekanizması MIC (Message integrity check) Anahtar eldesi ve dağıtımı ile yeni bir metot getirir. (802.1x) Her çerçeve için yeni bir anahtar oluşturulur.
19
WPA 802.1x (EAP) ile Asıllama (Extensible Authentication Protocol,
Genişletilebilir Kimlik Doğrulama Protokolü) Kullanıcı Erişim noktasına başlangıç mesajı yollar. Erişim Noktası kullanıcıdan kimlik bilgisi ister. Kullanıcı kimlik bilgisini Asıllama sunucusuna gönderir. Asıllama sunucusu asıllama işlemini gerçekleştirir. Asıllama sunucusu kabul ya da ret cevabını Erişim Noktası gönderir. Erişim Noktası bu cevabı kullanıcıya iletir ve kullanıcının ağa erişmesi için portlara izin verir. Kullanıcı asıllama sunucusundan kimliğini ister. Asıllayıcı sunucusu kimliğini kullanıcıya gönderir ve kullanıcı Asıllama Sunucusu asıllar ve veri trafiği başlar.
20
MIC (Message Integrity Code - Michael)
WPA MIC (Message Integrity Code - Michael) WPA ile Michael olarak bilinen bir yöntem, 8 baytlık bir ileti bütünlüğü kodu (MIC) hesaplayan yeni bir algoritma tanımlamaktadır. MIC alanı, çerçeve verileri ve ICV ile birlikte şifrelenir. Üretilmesi ise; alıcı ve gönderen MAC adresleri ve mesaj bir hash fonksiyonuna tabi tutulur ve 8 byte lık bir çıktı oluşur. MIC, IEEE çerçevesinin veri bölümü ile 4 baytlık ICV arasına yerleştirilir ve daha sonra çerçeve verileri ve ICV ile birlikte şifrelenir. MIC lineer bir algoritma ile elde edilmeyeceği için ICV gibi zayıflıkları yoktur. Bu da araya giren kişinin mesajı değiştirdiğinde anlaşılmasını sağlar.
21
WPA Anahtar Yönetimi WEP den önemli bir fark olarak Anahtar yönetimi gösterilebilir. WPA da 2 çeşit anahtar yapısı vardır. Oturum Anahtar kümesi: 2 telsiz cihazın haberleşmesinde kullanılır Genelde bir kullanıcı ve erişim noktası arasında kullanılır. (Unicast haberleşmeler) Grup Anahtar kümesi: Ağ içinde herkesin bildiği ve yayım (braoadcast) yapılması için kullanılan anahtarlar. (Multicast haberleşmeler)
22
WPA Anahtar Yönetimi Oturum anahtarı ve grup anahtarı, ana anahtardan elde edilir. Ana anahtar da asıllama sırasında asıllama sunucusu tarafından üretilmiştir. Oturum anahtarında elde edilen anahtarlar geçicidir. Her yeni cihazla bağlantı yeniden kurulduğunda ya da ağdan çıkılıp girildiğinde yeniden oluşturulur. Üretilen anahtarların ilk ikisi grup anahtarları eldesinde, diğer ikisi ise şifreleme ve veri bütünlüğü için kullanılır.
23
WPA Anahtar Yönetimi
24
WPA Genel Olarak; WPA (Wireless Protected Access) 2002 yılında WEP’in açıklarını kapatmak amacıyla geliştirilmiştir. Donanım değişikliğine gidilmeden yükseltme yapılabilmektedir (sürücü ya da firmware güncellemesi ile) WEP’e göre daha güçlü şifreleme Temporal Key Integrity Protocol (TKIP) ve asıllama (802.1x) yapısına sahiptir. Ayrıca WEP de olmayan anahtar yönetim mekanizmasına sahiptir. Veri bütünlüğü için MIC kullanılır.
25
WPA - 2 Wireless Protected Access 2 - Wi-Fi Korumalı Erişim 2
Robust Security Network – RSN’ de denir. IEEE i standardına dayanır ve Advanced Encryption Standard (Gelişmiş Şifreleme Standardı) – Counter Mode Cipher Block Chaining Message Authentication Code Protocol (Karşı Mod ile Şifre Bloğu Zincirleme Mesaj Kimlik Denetimi Kodu Protokolü) (AES-CCMP) kullanarak bir şifreleme mekanizması sağlar. Bu sayede, birçok kuruluşun ihtiyacı olan veri gizliliği seviyesi sağlanmış olur. AES şifreleme algoritması RC4 algoritmasıyla kıyaslandığından çok daha güvenlidir.
26
WPA - 2 Wireless Protected Access 2 - Wi-Fi Korumalı Erişim 2
WPA2 Kurumsal Modu x: EAP tabanlı kimlik denetimi için gerekli tüm WPA 2 özelliklerini ve desteğini içerir. Bazı eski ağ bağdaştırıcılarıyla çalışmaz. WPA2 Bireysel Modu, PSK : Özellikle daha az karmaşık temel yönetim şemaları gerektiren küçük işletme ve ev ortamları için kullanılır. Her kullanıcıya aynı parolanın verildiği önceden paylaştırılan anahtar (PSK) modunda kullanılabilir.
27
WPA - 2 AES şifreleme algoritmasını bünyesinde barındırır.
Asıllamayı ve anahtar yönetimini IEEE 802.1X standartları ile gerçekler. Veri bütünlüğü MIC ile sağlanır. Gezginlik (roaming) sağlar. Şifreleme TKIP veya CCMP ile gerçeklenir. CCMP zorunlu iken, TKIP ise isteğe bağlıdır. WPA ve WPA2 arasındaki temel fark, kullanılan şifrelemedir
28
SONUÇ WEP WPA WPA2 Şifreleme Şifreleme yapısı kırıldı. RC4 algoritması
WEP in açıklarını kapatıyor. TKIP/RC4 CCMP/AES CCMP/TKIP Şifreleme Anahtarı 40 bitlik anahtar 128 bitlik anahtar 128 bit IV 24 bit 48 bit Anahtar Değişikliği Anahtar sabittir. Anahtarlar her oturum, her paket için değişir. Anahtar değişikliğine gerek yoktur. Anahtar yönetimi Anahtar yönetimi yoktur 802.1x Asıllama Zayıf bir yöntem 802.1x EAP Veri Bütünlüğü ICV MIC
29
SONUÇ
30
SONUÇ
31
SONUÇ
32
TEŞEKKÜR Bilgi dağarcığımın gelişmesine öğrencisi iken veya öğrencisi olmadan destek veren kıymetli hocam Prof. Dr. Asaf VAROL’a; Ders Materyallerini benim ile paylaşan Adli Bilişim Mühendisliği bölümü öğretim görevlisi Yrd. Doç. Dr. Erhan AKBAL’a Teşekkür ederim.
33
KAYNAKÇA İ.T.Ü. Bilişim Enstitüsü - Bilgisayar Bilimleri Anabilim Dalı, «BİLGİSAYAR AĞLARINDA GÜVENLİK» dersi ders notları, Prof. Dr. Bülent ÖRENCİK F.Ü. Teknoloji Fakültesi – Adli Bilişim Mühendisliği Bölümü – Ders Notları, Yrd. Doç. Dr. Erhan AKBAL Baghaei N., 2003, IEEE Wireless LAN Security Performance, Department of Computer Science and Software Engineering Wi-Fi Alliance,Wi-Fi Protected Access:Strong, standards-based, interoperable security for today’s Wi-Fi Networks,2003, Wi-Fi Alliance Pollino M. D. ,Wireless Security, 2002, RSA Press
Benzer bir sunumlar
© 2024 SlidePlayer.biz.tr Inc.
All rights reserved.