İTÜ Bilişim Enstitüsü İTÜ Bilişim Enstitüsü Bilgisayar Bilimleri Bilgisayar Bilimleri Telsiz Ağlarda Güvenlik Telsiz Ağlarda Güvenlik İsmail Özgür Demirel İsmail Özgür Demirel 704041008 704041008 1 TELSİZ AĞLARDA TELSİZ AĞLARDA GÜVENLİK GÜVENLİK İsmail Özgür DEMİREL İsmail Özgür DEMİREL 704041008 704041008
TELSİZ AĞLARDA GÜVENLİK. İsmail Özgür DEMİREL 704041008. Ajanda. Telsiz ağlara kısa bir bakış Çalışma çeşitleri Avantaj ve Dezavantajları Telsiz ağdaki güvenlik protokolleri WEP WPA WPA-2 (RSN) Sonuç. Telsiz Ağ Avantajları ?. Esneklik Kolay kurulum Zaman Para Sağlamlık. - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Hedefleri(1999 IEEE 802.11 Hedefleri(1999 IEEE 802.11 standardı)standardı) Makul bir şekilde güçlü olmalıMakul bir şekilde güçlü olmalı Etkili olmalıEtkili olmalı İhraç edilebilir olmalıİhraç edilebilir olmalı İsteğe bağlı olmalıİsteğe bağlı olmalı
MAC adresi ile (802.11 standartlarında MAC adresi ile (802.11 standartlarında yok!)yok!)
Önceden belirtilen MAC adreslerine sahip Önceden belirtilen MAC adreslerine sahip olan kullanıcılar ları asıllanır.olan kullanıcılar ları asıllanır.
Kullanıcı (Supplicant)Kullanıcı (Supplicant)Asıllayıcı ya da Erişim Noktası (Authenticator)Asıllayıcı ya da Erişim Noktası (Authenticator)Asıllama Sunucusu(Asıllama Sunucusu(RADIUS ServerRADIUS Server))
Remote Authentication Dial-In User ServiceRemote Authentication Dial-In User Service
WEP WEP Kullanılan Algoritma RC4 (Rivest Cipher 4 Kullanılan Algoritma RC4 (Rivest Cipher 4
- 1987)- 1987) Akış şifreleyiciAkış şifreleyici Simetrik algoritmaSimetrik algoritma Kolay uygulanabilirKolay uygulanabilir Anahtar boyu 40 bitAnahtar boyu 40 bit Başlangıç Vektörü (IV) 24 bitBaşlangıç Vektörü (IV) 24 bit
ICV (Integrity Check Value)ICV (Integrity Check Value) Mesaj bütünlüğü için kullanılır.Mesaj bütünlüğü için kullanılır.
IV lerin tekrar kullanılmasıIV lerin tekrar kullanılması 2224 yaklaşık 17 milyon farklı IV yaklaşık 17 milyon farklı IV IEEE 802.11b 500 frame/sc yaklaşık 7 IEEE 802.11b 500 frame/sc yaklaşık 7
saatte tüm IV uzayı kullanılmış olur.saatte tüm IV uzayı kullanılmış olur.
Dilin yapısal özelliklerinden akış şifresi elde Dilin yapısal özelliklerinden akış şifresi elde edilebilir.edilebilir.
RC4 Zayıf Anahtarlar Algoritması RC4 Zayıf Anahtarlar Algoritması (Fluhrer et al 2001) (FSM attack)(Fluhrer et al 2001) (FSM attack) RC4 zayıf anahtar üretimi (akış şifresi)RC4 zayıf anahtar üretimi (akış şifresi) Akış şifresinin önce zayıf noktaları sonra Akış şifresinin önce zayıf noktaları sonra
WEP tekrar saldırılarını önleyemez. WEP tekrar saldırılarını önleyemez. WEP RC4 algoritmasında zayıf anahtarlar WEP RC4 algoritmasında zayıf anahtarlar
kullanılması Şifreleme anahtarının ele kullanılması Şifreleme anahtarının ele geçmesine neden olabilir. geçmesine neden olabilir.
WEP IV leri tekrar kullanır.Bazı kriptoanaliz WEP IV leri tekrar kullanır.Bazı kriptoanaliz yaklaşımları ile şifreleme anahtarı yaklaşımları ile şifreleme anahtarı bilinmeden veri çözülebilir. bilinmeden veri çözülebilir.
ICV nin elde edilme yönteminin zayıflığı ICV nin elde edilme yönteminin zayıflığı nedeni ile mesaj bütünlüğü araya giren nedeni ile mesaj bütünlüğü araya giren tarafından bozulabilir. tarafından bozulabilir.
Standartlar IEEE grupları tarafından Standartlar IEEE grupları tarafından belirlense bile bazı bölümler üretici belirlense bile bazı bölümler üretici şirketleri tarafından farklı şirketleri tarafından farklı gerçeklenebilir.gerçeklenebilir.
Bu farklılığı önlemek ve üretilecek Bu farklılığı önlemek ve üretilecek cihazların uyumluluğunu sağlamak cihazların uyumluluğunu sağlamak için oluşturulan maddi amaç için oluşturulan maddi amaç gütmeyen ortaklık.gütmeyen ortaklık.
WEP deki kusurlar 2001 yılından beri açık bir WEP deki kusurlar 2001 yılından beri açık bir şekilde biliniyordu.şekilde biliniyordu.
IEEE 802.11 deki sorunları çözecek IEEE 802.11 deki sorunları çözecek standartları geliştirmek için çalışmalara standartları geliştirmek için çalışmalara başladı (802.11i)başladı (802.11i)
Fakat bu çalışmalar ancak 2004 te bitebileceği Fakat bu çalışmalar ancak 2004 te bitebileceği öngörülüyordu.öngörülüyordu.
Endüstrinin acil ihtiyacı için 802.11i Endüstrinin acil ihtiyacı için 802.11i standartlarına (draft 3.0) uygun geçici bir standartlarına (draft 3.0) uygun geçici bir güvenlik sistemi oluşturuldu.(Wi-Fi tarafından)güvenlik sistemi oluşturuldu.(Wi-Fi tarafından)
WEP in bilinen tüm zayıflıkları kapatılır.WEP in bilinen tüm zayıflıkları kapatılır. Donanım değişikliğine gidilmeden Donanım değişikliğine gidilmeden
yükseltme yapılabiliyor.(sürücü ya da yükseltme yapılabiliyor.(sürücü ya da firmware güncellemesi ile)firmware güncellemesi ile)
WEP’e göre daha güçlü şifreleme Temporal WEP’e göre daha güçlü şifreleme Temporal Key Integrity Protocol (TKIP) ve asıllama Key Integrity Protocol (TKIP) ve asıllama (802.1x) yapısına sahip.(802.1x) yapısına sahip.
Anahtar yönetim mekanizmasına sahiptir.Anahtar yönetim mekanizmasına sahiptir.(802.1x)(802.1x)
Protokolü )Protokolü ) TKIP, RC4 akış şifreleyici algoritma üzerine TKIP, RC4 akış şifreleyici algoritma üzerine
kuruludur.4 yeni algoritma ile WEP kuruludur.4 yeni algoritma ile WEP şifreleme mekanizmasını sarar.şifreleme mekanizmasını sarar. IV 48 bite çıkarılmıştır ve paket numarası olarak IV 48 bite çıkarılmıştır ve paket numarası olarak
kullanılmaktadır.kullanılmaktadır. Zayıf Anahtarlar kullanılmamaktadır.Zayıf Anahtarlar kullanılmamaktadır. Yeni bir mesaj bütünlük kontrol mekanizması Yeni bir mesaj bütünlük kontrol mekanizması
MIC (Micheal) (Message integrity check)MIC (Micheal) (Message integrity check) Anahtar eldesi ve dağıtımı ile yeni bir method Anahtar eldesi ve dağıtımı ile yeni bir method
getirir.getirir. Her çerçeve için yeni bir anahtar oluşturulur.Her çerçeve için yeni bir anahtar oluşturulur.
802.1x802.1x EAP EAP IEEEIEEE nin EAP ( nin EAP (Extensible Authentication Extensible Authentication
ProtocolProtocol) standartları üzerine kurduğu bir ) standartları üzerine kurduğu bir yapıdır.yapıdır.
WLAN veya LAN larda kullanılabilir.WLAN veya LAN larda kullanılabilir. Elemanlar :Elemanlar :
Kullanıcı (Supplicant)Kullanıcı (Supplicant) Asıllayıcı ya da Erişim Noktası (Authenticator)Asıllayıcı ya da Erişim Noktası (Authenticator) Asıllama Sunucusu(Asıllama Sunucusu(RADIUS ServerRADIUS Server))
Remote Authentication Dial-In User ServiceRemote Authentication Dial-In User Service
İki Çeşit anahtar yapısı varİki Çeşit anahtar yapısı var Oturum Anahtar kümesi -> unicast Oturum Anahtar kümesi -> unicast Grup Anahtar Kümesi-> multicastGrup Anahtar Kümesi-> multicast
Kullanıcı ve Erişim Noktası Ana Kullanıcı ve Erişim Noktası Ana Anahtar MK (Master Key) e sahiptir.Anahtar MK (Master Key) e sahiptir.
Anahtarlar hiyerarşik yapıya sahiptir.Anahtarlar hiyerarşik yapıya sahiptir.
DA – Destination Address TKIP – Temporal Key Integrity Protocol ICV– Integrity Check Value TSC – TKIP Sequence Counter MPDU – Message Protocol Data Unit TTAK– result of phase 1 key mixing of Temporal Key MSDU – MAC Service Data Unit and Transmitter Address WEP – Wired Equivalent Privacy SA – Source Address WEP IV – Wired Equivalent Privacy Initialization Vector TA – Transmitter Address initializatiion vector
IV uzunluğuIV uzunluğu 24 bitlik IV24 bitlik IV 48 bitlik48 bitlik
Anahtar DeğişikliğiAnahtar Değişikliği Anahtar değişimi yoktur.Anahtar değişimi yoktur. Anahtarlar her Anahtarlar her oturum,her paket için oturum,her paket için değişir.değişir.
Anahtar yönetimiAnahtar yönetimi Anahtar yönetimi yokturAnahtar yönetimi yoktur 802.1x .802.1x .
AsıllamaAsıllama Zayıf bir yöntemZayıf bir yöntem 802.1x EAP ile güçlü 802.1x EAP ile güçlü bir yöntembir yöntem
RSN (Robust Security Network) IEEE RSN (Robust Security Network) IEEE 802.11i grubu tarafından 802.11i grubu tarafından oluşturulmuş gelişmiş bir telsiz oluşturulmuş gelişmiş bir telsiz güvenlik standartıdır.güvenlik standartıdır.
WEP üzerine kurulu değil.Yeni bir WEP üzerine kurulu değil.Yeni bir donanıma ihtiyaç duyar.donanıma ihtiyaç duyar.
802.11i (RSN) 802.11i (RSN) asıllamayı ve anahtar asıllamayı ve anahtar yönetimiyönetimi IEEE 802.1X IEEE 802.1X standartları ile standartları ile gerçekler.gerçekler.
CCMP(Counter Mode –CBC MAC CCMP(Counter Mode –CBC MAC Protocol) Protocol)
CCMP içinde AES(Advanced CCMP içinde AES(Advanced Encryption Standart) kullanır.Encryption Standart) kullanır. Güvenilir ve hızlı bir algoritmaGüvenilir ve hızlı bir algoritma Simetrik anahtarlıSimetrik anahtarlı CCMP içinde seçilen kullanım modu CCMP içinde seçilen kullanım modu
Counter Mode with CBC-MAC (CCM).Counter Mode with CBC-MAC (CCM).
Master Key) den türetilir.Master Key) den türetilir. CBC- MAC modu (bütünlük) MIC hesabında CBC- MAC modu (bütünlük) MIC hesabında
kullanılır.kullanılır. İlk veri bloğunu al ve AES i kullanarak şifrele.İlk veri bloğunu al ve AES i kullanarak şifrele. Sonuç ile 2. bloğu XOR layıp şifreleSonuç ile 2. bloğu XOR layıp şifrele Çıkan sonucu bir sonraki blok ile XOR layıp şifreleÇıkan sonucu bir sonraki blok ile XOR layıp şifrele
CBC- MAC + Counter mode = CCMCBC- MAC + Counter mode = CCM
Telsiz Ağlar bir çok yönden Telsiz Ağlar bir çok yönden faydalı,fakat güvenlik önemli bir unsurfaydalı,fakat güvenlik önemli bir unsur
WEP artık bir güvenlik önlemi olarak WEP artık bir güvenlik önlemi olarak kabul görmemektedir.kabul görmemektedir.
WPA kırılmamış bir yapıya sahip olsa WPA kırılmamış bir yapıya sahip olsa da RC4 ün zayıflıklarını taşımaktadır.da RC4 ün zayıflıklarını taşımaktadır.
WPA2 AES şifreleme algoritmasının WPA2 AES şifreleme algoritmasının gücü ile şu anki en sağlam güvenlik gücü ile şu anki en sağlam güvenlik önlemidir.önlemidir.