Documente Academic
Documente Profesional
Documente Cultură
Nicolae Tomai
FSEGA
Universitatea “Babes-Bolyai” Cluj-Napoca
nicolae.tomai@econ.ubbcluj.ro
http://www.econ.ubbcluj.ro/~nicolae.tomai
1
Probleme ale securitatii in retele
mobile si fara fir
3
Cuprins
4
Evoluţia reţelelor fără fir
5
Activităţile recente în domeniul
WLAN
IEEE(Institute of Electrical and Electronics Engineers) şi
ETSI(European Telecommunications Standards Institute) sunt
implicate în standardizare
Standardele WLAN converg spre realizarea
interoperabilităţii
In final se doreste integrarea WLAN(WiFi),
WMAN(WiMax) şi WWAN(3G, 4G) etc.
Dezvoltarea retelelor fără fir este impulsionată de
creşterea rapidă a cerinţelor pentru acces mobil IP
WLAN ofera soluţii bune pentru acces mobil IP in
interiorul clădirilor
Firme importante investesc în WLAN (Cisco, Intel,
Ericsson, Nokia, altele ...)
6
Arhitectura WLAN
7
Standardele organizatiei IEEE
8
Evolutia standardelor WLAN
9
Modelul ISO aplicat la WLAN-uri
MAC
Tehnologii pentru
WPAN/WLAN/WMAN/WWAN
70 Mbps 802.16a,d,e
54 Mbps 802.11{a,b}
5-11 Mbps 802.11b .11 p-to-p link
1-2 Mbps
Bluetooth
802.11 µwave p-to-p links
4G
3G
384 Kbps WCDMA, CDMA2000
2G
56 Kbps IS-95, GSM, CDMA
What is it?
– Enhance 802.11 Medium Access Control (MAC) to
improve and manage Quality of Service and provide
classes of service
Key Proposals:
– EDCF - Referred to as “prioritised QoS.” Application
assigns different priorities and allows them to contend
for simultaneous channel access
– HCF – Access Point creates a master schedule based
on different traffic types. The AP then grants access to
each station by individually polling each station. No
contention (related to PCF).
Grupul de lucru IEEE 802.11e(QoS)
Grupul de lucru IEEE 802.11e(QoS)
What is it?
Develop recommended practices for an Inter-Access
Point Protocol (IAPP) which provides capabilities to
achieve multi-vendor Access Point interoperability
across a Distribution System supporting IEEE 802.11
Key Issues:
Interoperability
Security
Performance
Next steps
Adopt draft and ratify standards
Grupul de lucru IEEE 802.11f
(Inter Acccess Point Protocol)
Grupul de lucru IEEE 802.11n
(A elaborat draftul in anul 2007)
What is it?
Enhance 802.11 MAC and 802.11a PHY to provide Dynamic
Channel Selection (DCS), and Transmit Power Control
(TPC). Products achieve regulatory approval in respective
country
Key Proposals:
DCS (Dynamic Channel Selection)
• To pass radar avoidance tests from the European
Regulatory Committee (ERC)
• New management packets for DFS request / responses
TPC (Transmit Power Control)
AP broadcasts a maximum “local” transmit power as a
beacon element and probes response
Stations can independently choose a power level below
Grupul de lucru IEEE 802.11i
(Advanced Security)
Ce face?
Îmbunătăţeste MAC-ul IEEE 802.11 pentru a spori securitatea şi
mecanismele de autentificare. Este numit si RSN (Robust Security
Network). Ratificat in 2004
Problemele importante
Autentificarea
Se recomanda folosirea standardelor IEEE 802.1x si EAP
si a variantelor lor
Se recomanda folosirea sistemelor Kerberos/RADIUS in
acesta realizarea acestei autentificari
Criptarea
AES cu schimb dinamic de chei
Incorporeaza TKIP (Temporal Key Integrity Protocol)
Uneori e numit WPA2 (WiFi Protected Access 2)
Disponibilitatea
Grupul de lucru IEEE 802.11i
(Advanced Security)
Probleme de implementare
WPA a fost dezvoltat pentru a rezolva problema
managementului unor chei slabe asociate cu folosirea
WEP(incorporeaza TKIP). WPA utilizeaza WEP
WPA2 (standardul 802.11i) foloseste criptarea AES in loc de
WEP
Acest lucru implică hardware nou (AP-uri si placi WNIC)
Hardul a fost disponibil in Novembrie 2004, dar firmware-ul
care sa opereze cu WPA2 a fiost disponibil de la mijlocul
lui2005
Noul hard este compatibil cu WEP/WPA
Evolutia standardelor IEEE 802.15
IEEE 802.15.1
IEEE TG1 on PAN (Personal Area Networks) adopts
Bluetooth as IEEE802.15.1
IEEE 802.15.2
Changes to Bluetooth / 802.15.1, designed to
mitigate interference with 802.11b/g networks
All use same 2.4GHz frequency band
Devices need 802.15.2 (or proprietary scheme) if
they want to use both Bluetooth and 802.11b/g
simultaneously
Evolutia standardelor IEEE 802.15
IEEE 802.15.3
Called UWB (Ultra Wide Band)
Speeds up to 55 Mbps (or possibly 100 Mbps)
Good for transferring large files, images
IEEE 802.15.4
Called Zigbee (cheap wireless technology)
Speeds likely to be 10 Kbps and 115.2 Kbps
Low cost/low power home appliances
Aplicatii pentru UWB
(IEEE 802.15.3)
Commercial:
High speed LANs/WANs (>20 Mbps)
Altimeter/Obstacle avoidance radars for commercial aviation
Precision Geolocation Systems
Industrial RF Monitoring Systems
Collision avoidance sensors
Military:
Groundwave Communications
Intrusion Detection Radars
Unmanned Vehicles
Activitatea proiectului-IEEE 802.15
Standardul IEEE 802.16
(WiMax)
Broadband Implementation
Scalable
Central shared portal equipment
Initial investment – low cost of deployment
Individualised services
Designed for situations where fibre loop is
impractical / expensive
Likely to be based upon new IEEE 802.16a
standard
WiMax
IEEE802.11k
Standardisation of radio measurements across
different manufacturers platforms
IEEE802.11r
Task group focusing on reducing handoff latency
when transitioning APs in an Extended Service
Set. Critical for real-time and delay sensitive
applications
IEEE802.11s
Infrastructure mesh standards to allow APs from
multiple manufactures to self-configure in multihop
networks
Noi dezvoltari IEEE
IEEE802.11n
– >150 Mbps across an 802.11 communications
channel for data intensive applications and
aggregation of traffic from multiple Aps
IEEE 802.17
– Resilient Packet Ring Access Protocol for
Local, Metropolitan and Wide Area Networks
– Transfer rates scalable to gigabits/sec
– Resilient architecture supporting QoS classes
Arhitecturi si protocoale de securitate
pentru retele locale fara fir(WLAN)
Sectiunea 3
Securitatea WLAN(fara)
Securitatea WLAN(cu securitate)
Cum apar bresele de securitate
Baleierea spatiului(Cautarea prin roaming pe arie
extinsa(War-wide area roaming) driving)/urme ale
roamingului(War Chalking)
Baleierea spatiului cu masina sau pe jos
Folosirea de programe disponibile pe Internet pentru atac
Accesul la o retea WL:AN nesecurizata este mult mai usor
decit la o retea cablata
Fără autentificare şi criptare,
WLAN-urile sunt extrem de vulnerabile
IDS-urile trebuie sa monitorizeze ca si in cazul retelelor fixe
Oricine cu programe adecvate, cu un calculator cu placa
de retea WLAN, o antena si un GPS este capabil de
baleierea spatiului pentru aflarea de retele locale fara fir(
“war driving”)
Principii ale unei bune securitati in WLAN
Background:
Dates: 7 July, 2002 and 5 Oct, 2003
Equipment:
Notebook + Avaya Gold Wireless LAN card
+ Windows XP + NetStumbler
Notebook + Avaya Gold Wireless LAN card
+ Antenna + Windows 2000 + NetStumbler
• *Ref: www.pisa.org/projects/wlan2003/wd2003.htm
War Driving Comparison -
(July, 2002 and 5 Oct, 2003)
War Driving in Hong Kong
War Driving in Hong Kong
War Driving in Hong Kong
War Driving in Hong Kong
War Driving in Hong Kong
Comentarii asupra experimentului
84
Securitatea WLAN cu EAP
Lista de verificare pentru EAP-Extensible
Authentication Protocol:
Asigură el un schimb sigur de informaţii cu utilizatorul
în timpul de autentificare?
Permite autentificare reciprocă a clientului şi a AP-
ului reţea, prevenind astfel intruziune?
Are nevoie de chei de criptare dinamice pentru
de utilizator şi sesiune?
Are facilitati/suport pentru generarea unui set nou
de chei la anumite intervale de timp?
Este uşor să pună implementeze şi să gestioneze;
de exemplu, necesită EAP-TLS certificate pe partea
de client?
Autentificarea in cazul IEEE 802.1x
Standardul IEEE 802.1x este implementat cu diverse
tipuri EAP
1. EAP-MD5 pentru LAN-urile Ethernet (= Wireless
CHAP)
2. EAP-TLS pentru WLAN-urile IEEE 802.11b dar
suplicantul si autentificatorul trebuie să fie în măsură să
poata manipula certificate digitale -, prin urmare e
necesara o infrastrucura cu PKI / CA
3. Autentificarea EAP-SRP (Secure Remote Password)
4. CISCO - LEAP, FAST
5. Microsoft - PEAP
EAP-MD5
Protocolul EAP-MD5(Extensible Authentification Protocol-Message
Digest 5, descris de RFC 1994)
– Este standardul de bază în cadrul EAP şi foloseşte nume utilizator şi parolă ca
elemente de încredere pentru autentificare.
– EAP-MD5 protejează schimbul de mesaje prin crearea unei „amprente” unice
cu care semnează digital fiecare pachet, asigurând că mesajele EAP sunt
autentice.
– EAP-MD5 îşi execută operaţiile foarte repede, fiind astfel uşor de implementat şi
configurat. EAP-MD5 nu foloseşte certificate PKI pentru validarea clientului sau
asigurarea unei criptări puternice în vederea protejării mesajelor de autentificare
între client şi serverul de autentificare.
– Protocolul de autentificare EAP-MD5 este susceptibil la deturnarea sesiunii şi la
atacuri de tipul „om interpus”.
– EAP-MD5 este adecvat, în special în cazul schimburilor de mesaje în reţele cu
cablu în care clientul EAP este conectat în mod direct la autentificator, iar
şansele ascultării şi interceptării mesajelor sunt foarte scăzute.
– Pentru autentificarea 802.1x în reţele fără fir, se folosesc protocoale EAP mai
puternice.
87
EAP-TLS
Protocolul extins de autentificare cu securitate la nivel transport(Extensible
Authentification Protocol–Transport Level Security-EAP-TLS descris de RFC
2716) este cel mai implementat tip de EAP pentru WLAN-uri.
– Furnizează autentificare mutuală explicită între AS şi solicitant, dacă
ambele părţi pot valida certificatul celeilalte părţi. Aceasta se realizează
având ambele certificate emise de aceeşi autoritate de certificare (CA-
Certificate Autority).
– După schimb, există o cheie de sesiune secretă partajată de AS şi
solicitant. Odată ce AS furnizează această cheie de sesiune sistemului de
autentificare prin legătura securizată, sistemul de autentificare şi
solicitantul o pot folosi pentru a-şi transmite pachetele securizat.
– Autentificarea EAP-TLS este bazată pe certificate X.509. În utilizarea
WLAN, STA trebuie să aibă un certificat pe care să-l poată valida AS. La
fel, AS va prezenta un certificat STA-ului şi STA va trebui să-l valideze.
Pentru a suporta autentificarea STA, EAP-TLS are nevoie de o
infrastructură pentru chei publice (public key infrastructure-PKI). Aceasta
poate fi acceptată în firme mari, dar devine nerealistă în firme mai mici. O
autentificare prin ID-ul utilizatorului şi parolă este mult mai practică, pentru
multe dezvoltări publice.
88
EAP-TLS
Autentificarea EAP-TLS
EAP-TTLS
EAP-TTLS(EAP Tunneled TLS) este o extensie a EAP-TLS şi oferă beneficiile
unei criptări puternice, fără complexitatea unor certificate mutuale, atât la
client cât şi pe serverul de autentificare.
Precum TLS, EAP-TTLS oferă suport pentru autentificarea mutuală, dar cere
ca, printr-un schimb de certificate, să fie validat faţă de client doar serverul de
autentificare.
EAP-TTLS permite clientului să se autentifice faţă de serverul de autentificare
folosind nume_utilizator şi parolă.
EAP-TTLS simplifică implementarea şi întreţinerea, păstrând însă un nivel
ridicat pentru securitate şi autentificare.
Pentru a proteja mesajele EAP poate fi folosit un tunel TLS, iar pentru
utilizatorii existenţi servicii acreditive precum: Active Directory, RADIUS şi
LDAP. Ele pot fi reutilizate pentru autentificare 802.1x. EAP-TTLS asigură şi
compatibilitatea în sens invers cu alte protocoale de autentificare precum
PAP, CHAP, MS-CHAP şi MS-CHAP-V2.
EAP-TTLS nu este considerat de netrecut şi poate fi păcălit să transmită
acreditive de identitate dacă nu se folosesc tunele TLS.
EAP-TTLS este ideal pentru cazurile care necesită autentificare puternică
fără a se folosi certificate mutuale. Schemele de autentificare 802.1x fără fir
suportă în mod obişnuit EAP-TTLS. 91
PEAP
Protocolul extins şi protejat de autentificare(Protected EAP-PEAP) este un protocol
similar cu EAP-TTLS în ceea ce priveşte funcţionalitatea de autentificare mutuală şi a
fost propus de RSA Security, Cisco şi Microsoft ca o alternativă pentru EAP-TTLS. PEAP
încearcă să rezolve deficienţele EAP prin:
protejarea acreditivelor utilizatorilor;
securizarea negocierii EAP;
standardizarea schimburilor de chei;
suport pentru fragmentare şi reasamblare;
suport pentru reconectări rapide.
PEAP permite folosirea altor protocoale de autentificare EAP şi securizează transmisiile
prin folosirea unui tunel TLS, criptat. Se bazează pe metoda generării cheilor la nivel
transport(TLS keying) pentru crearea şi schimbul de chei. Clientul PEAP se autentifică
direct la serverul de autentificare, iar autentificatorul se comportă ca un dispozitiv de
trecere care nu are nevoie să înţeleagă protocoalele de autentificare EAP specifice. Spre
deosebire de EAP-TTLS, PEAP nu asigură, în mod implicit, autentificare pe bază de
nume utilizator şi parolă în funcţie de o bază de date a utilizatorilor
Producătorii vin în întâmpinarea acestei nevoi prin crearea de funcţionalităţi care să
permită autentificarea prin nume utilizator şi parolă. PEAP se potriveşte cel mai bine
reţelelor care necesită autentificare puternică, fără utilizarea unor certificate mutuale.
Schemele de autentificare 802.1x fără fir vor suporta în mod obişnuit PEAP.
92
EAP
EAP este disponibil cu Windows 2000 & XP
Tipurile comune de autentificare EAP includ:
1. EAP-SRP (Secure Remote Password) – oferă
metode criptografice de autentificare puternica a
utilizatorului folosind un mecanism adecvat pentru
negocierea securizarii conexiunilor si asigurarea unui
schimb securizat al cheilor folosind o parola furnizata
utilizatorului
2. MD5 (Message Digest 5) - Wireless CHAP.
De asemenea, lansat ca PEAP - criptează tranzacţia
EAP folosind un (Windows XP)
EAP
3. LEAP (Lightweight EAP) and FAST (Flexible
Authentication and Secure Tunneling) – proprietatea
CISCO
Prevede o autentificare reciprocă şi generarea
dinamica a cheii WEP
4. EAP-TLS (Transport Layer Security) oferă o
autentificare completa si consistenta folosind chei
PKI publice / private si certificate digitale l
RFC 2716 PPP EAP TLS Authentication Protocol
5. TTLS (Tunnelled Transport Layer Security) -
cere certificat pentru server, dar nu certificat de client
Optiuni de autentificare
WEP
Autentifica nodul (numai prin adrese MAC)
EAP-MD5 / PEAP / LEAP (Wireless CHAP)
Autentifică utilizatorul (prin intermediul parolei criptate
folosind dialogul de tip provocare(incercare)/ răspuns şi
de gestionarea cheilor)
EAP-TLS
Authentifica nodul si utilizatorul (folosind certificate
digitale)
Autentificarea SIM
Autentificarea SIM
Infrastructura de securitate si optiuni
Caracteristici ale tipurilor de autentificare
Arhitectura VPN in WLAN-uri
AAA(Authentication Authourisation
Accounting)
AAA(Authentication Authourisation
Accounting)
113
TKIP
A fost proiectat pentru a permite unele soluţii pentru câteva probleme
software şi firmware întâlnite în WEP.
Schimbările majore în cadrul WEP sunt:
un nou cod de integritate a mesajului (MIC ), generat cu algoritmul
Michael. MIC este calculat cu datele primite de la nivelul superior
(MSDU - MAC Service Data Unit), adresele sursă şi destinaţie şi
câmpul de prioritate, înaintea fragmentării în cadre MAC(MPDU-MAC
Protocol Data Unit). MIC asigură apărare împotriva atacurilor false;
TKIP extinde vectorul de iniţializare WEP(IV)( în principiu, este
incrementat un numărător la fiecare trimitere a unui cadru) şi utilizează
aceasta la MPDU ca un TSC(TKIP Sequence Counter);
managementul de chei RSNA asigură o cheie temporară(TK-Temporal
Key). Este aplicată o funcţie de mixare la TSC şi adresa de
transmitere(TA ). Aceasta asigură nu numai o cheie nouă pentru
fiecare secvenţă trimisă, dar previne şi utilizarea unor chei slabe, cu
fluxul criptat, folosind RC4.
114
IEEE802.11i
In iunie 2004 organizaţia IEEE a ratificat standardul 802.11i cunoscut şi ca
WPA2.
El defineşte confidenţialitatea datelor, autentificarea mutuală, integritatea
datelor şi protocoale de management al cheilor pentru a creşte securitatea
subnivelului MAC pentru reţelele fără fir.
În timp ce WEP şi WPA folosesc algoritmul de criptare RC4, 802.11i utilizează
algoritmul AES pe 128 biţi în modul CBC-MAC(CCM).
Acest set de protocoale defineşte o securitate robustă.
Confidenţialitatea este asigurată prin folosirea a trei tipuri de algoritmi pentru
protejarea datelor: WEP, TKIP şi CCMP(Counter-mode/CBC-MAC Protocol).
WEP şi TKIP se bazează pe algoritmul RC4, iar CCMP se bazează pe AES.
Autentificarea este realizată prin utilizarea EAP la autentificarea clienţilor şi
server de autentificare.
Managementul cheilor este asigurat prin generarea de chei noi utilizând
protocoalele de 4 căi(4 Way handshacke) şi a cheilor de grup. Cheile sunt
stabilite după ce s-a făcut autentificarea 802.1x, dar ele se pot schimba dacă
este necesar sau s-a depăşit timpul şi deci au expirat.
Integritatea datelor este realizată cu ajutorul protocolului CBC-MAC(Cipher
Block Chaining Message Authentication Code) şi a MIC(Message Integrity
Check).
115
Comparatie intre IEEE 802.11i&WPA
WEP, WPA si WPA2
Concluzii si recomandari
Configurarea Wireless LAN
Activarea criptarii WEP si/sau AES
“Aruncarea” pachetelor ne-criptate
Dezactivarea broadcast-ului SSID-ului (network name)
Fixarea numelui retelei(SSID) fara legatura cu activitatea ei(fara
legatura cu aplicatiile si departamentele la care e folosita)
Sa nu se utilizeze administrarea folosind acccesul de tip SNMP
Alegerea de parole de administrare(pt. admin) mai complexe
Activarea functiilor fitewall-urilor
Utilizarea adreselor MAC (hardware) pentru restrictionarea
acesului
Utilizarea filtrarii MAC pentru protejarea de atacatorii incepatori
Ne-utilizarea parolei implicite pentru AP-uri
Schimbarea numelui implicit alle AP-urilor
Utilizarea autentificarii conform standardului 802.1x
Concluzii si recomandari
Consideratii privind dezvoltarea
Separarea si izolarea(inchiderea) retelei
Tratarea Wireless LAN ca o reţea externă
Folosirea VPN, precum şi a unor criptari puternice
Ne-utilizarea(pe cit posibil) a DHCP (folosirea de IP
fixate manual)
Concluzii si recomandari
Pentru retele cu fir sau fara fir
Instalarea de programe antivirus precum si soft de
actualizare automata a fisierului de semnaturi a virusilor
folderele partajate trebuie să aiba parola de acces
Probleme de gestionare(Management)
Selectarea cu grijă a locaţiilor fizică a AP-urilor(cit mai
central in interiorul cladirii, nu la margine)
Interzicerea instalarii(haotice) a AP-urilor
Baleierea periodica a mediului pentru descoperirea
oricaror AP-uri noi(folosind de ex. NetStumbler care
este gratuit, sau Antena care este ieftin)
Concluzii
146
Solutii recomandate pentru MITM si
deturnarea sesiunii(Session Hijacking)
Programele/aplicatiile de monitorizare a
retelelor fara fir pot fi clasificate in:
Unelte/programe de monitorizare
• De intâlnire/aflare greșeli(Stumbling)
• De urmărire/ascultare/”mirosire”(Sniffing_
Unelte/programe de accesare ilegala(Hacking Tools)
• “Spargerea”/aflarea criptării WEP(WEP Cracking)
• “Otravirea” ARP(ARP Poisoning)
Programe de detectare a intruziunilor(Intrusion
Detection Tools/Systems-IDT sau IDS)
Programe/aplicatii de “incercare/verificare
pasi gresiti”(stumbling)
157
Programe de sniffing
158
Programe de sniffing
159
AiroPeek
160
Programe de atac
161
Programe de atac
162
AirSnort
163
Programe pentru dispozitive mic(de
mina)
164
Programe pentru handheld-uri
165
Programe pentru scopuri generale
166
Programe de management
&IDS(Intrusion Detection Tools)
168
Atacurile-recapitulare
Securitatea informatiei este legata de trei componente
importante/cheie:
Confidențialitatea(Confidentiality-C)
• Caracterul deintimitate/confidentialitate al
informatiei
Integritatea(Integrity -I)
• Informatia sa fie nemodificată
• Cunoașterea/recunoasterea identității(adica
autentificarea)
• Cunoasterea/recunoasterea actiunii(adica ne-
repudierea)
Disponibilitatea(Availability-A)
• Disponibilă când si unde este necesară
169
Atacurile-recapitulare
Tipul CIA Metodele de atac Gaurile de securitate
172
Atacuri-recapitulare
173
Criterii de certificare ale securitatii
retelelor fara fir dupa vulnerabilitati
Atac Acces neautorizat DoS
Coliziune(Jamming)
DoS
Imixtiune(Tampering)
Inselarea(Spoofing)
Ascultarea(Eavesdropping)
Falsificarea(Forgeries0
174
Protocoale si arhitecturi de securitate
pentru retelele 3G
175
Evolutia retelelor WWAN mobile
176
Tipuri de retele 3G
Arhitectura UMTS
Caracteristicile securitatii UMTS
Principalele elemente de securitate GSM:
Autentificarea abonat
Identitatea abonatului este confidentială
SIM-uri detaşabile din dispozitivul mobil(Mobile
host)
Criptarea interfetei radio
Caracteristici suplimentare de securitate ale
UMTS de:
.....
Caracteristici de securitate UMTS
Are principalele elemente de securitate aleGSM:
... ... ..
Dar UMTS are caracteristici suplimentare de securitate
precum:
– Securitate cu autentificare reciprocă/mutuală
împotriva utilizării de staţii de bază false
– Criptarea extinsă la interfaţa cu mediul de transmisie,
numai pentru a include Nodul-B (Base Station) la
conexiunea RNC
– Datele în reţea vor fi protejate atât la stocare cât şi
de
în timpul transmiterii cheile de criptare/ciphering şi
datele de autentificare
– Mecanism pentru modernizarea elementele de
securitatate
Arhitectura de securitate a UMTS
Termeni de securitate a UMTS
Caracteristici de securitate UMTS
Serviciile purtatoarelor:
cdmaOne 115.2 Kbps
CDMA2000 1x 144 307 Kbps, 3x 2 Mbps
CDMA2000 1xEV-DO (Data Only) 2.4 Mbps*
CDMA2000 1xEV-DV (Data/Voice)2.4 Mbps
W-CDMA (UMTS) 384 Kbps
CDMA2000 1x at 144 Kbps implică “besteffort”
livrare fără QoS / arhitecturi de securitate(= 2.5G)
CMDA2000 1x/3x at 307 Kbps and 2.4 Mbps
impliecă QoS și funcționalități desecuritate(= 3G)
1xEV-DO si UMTS
Arhitecturi de securitate in 3G-WAP 2.0,
IP sec/VPN
WAP2.0
Aplicații bazate pe Web incluzând navigare,mesagerie
multimedia, servicii de telefonie, etc
Presupune utilizarea TLS, a certificatelor digitale(Digital
Certificates), a infrastructurii cu chei publice(PKI),
biblioteci de criptare, etc
IPSec și VPN
Firewall-urile și tunelarea – în concordanţă cu arhitecturile de
securitate din reţelele fixe
Multe dispozitive portabile nu au facilitati(suport) pentru folosirea
IPsec
Arhitectura WAP 2.0
References:
www.wapforum.org/what/whitepapers.htm
www.wapforum.org/what/technical.htm
189
Arhitectura WAP
Arhitectura WAP
Arhitectura WAP
Elemente de retea in cazul WAP
Poarta WAP(WAP 1.x Gateway)
194
Proxy cu TCP si HTTP(WAP 2.0)
195
Probleme de securitate in retele fara fir
Adăugarea de infrastructură separată de
securitate pentru a sprijini WAP este relativ
scumpa
Este mai bine sa se dezvolte un sistem unic de
securitate atât pentru aplicatiile Web in retele
fixe(cu fir) cit si pentru cele in retele fără fir
Integrarea WAP-ului şi a securitatii web poate fi
realizata prin utilizarea protocoale deja
proiectate pentru reţelele fixe(cablate)
WTLS (Wireless Transport Layer Security) este relativ
identic cu SSL/TLS
196
Probleme de securitate in retele fara fir
Serverul nu poate sti ce dispozitiv (laptop, telefon mobil,
PDA) este la capatul unui tunel securizat
Dificultatea consta in a realiza/face toate funcţiile de
criptare aşteptate de server de pe telefon, apoi telefonul
se poate conecta la laptop care are funcţionalitati
complete de securitate ce pot fi asigurate folosind:
IPSec, DES, AES, MD5, SHA-1 etc
197
Securitatea la nivel transport in retele fara
fir(WTLS)
Functionalitati/scopuri
– Integritatea – sa nu se schimbe datele in tranzit
– Confidentialitatea – sa nu fie posibila aflarea
continutului mesajelor decit de catre celor carora se
adreseaeza
– Autentificarea – printr-o semnatura digitala
– Protectia impotriva unor atacuri de tip DoS
WTLS
– Elaborat in WAP 1.0, utilizat in WAP 2.0
– Bazat pe TLS 1.0 (forma SSLv3) RFC 2246
– Adaptat pentrucanale de comunicare de banda
ingusta
198
Securitatea la nivel transport in retele fara
fir(WTLS)
Diferenţele între TLS 1.0 şi WTLS:
– adaptat pentru latenta mare şi lăţime de bandă mica,
caracteristice retelelor fără fir
– Permite/”blind cu” legaturile nesigure
– Cerinte reduse privind dimensiunea codului la client
şi de cerinţele privind procesorul
– Număr redus de dialoguri dus-intors deoarece
retelele fara fir au latenta mare
199
Securitatea la nivel transport in retele fara
fir(WTLS)
Asigura facilitati de criptare, autentificare
puternica, integritate si management al cheilor
utilizind:
– Criptarea datelor cu: RC4, DES sau 3 DES
– Schimbul de chei si autentificarea cu: RSA, Diffie-
Hellman, curbe eliptice(Elliptic Curve Crypto-ECC)
– Integritatea mesajelor cu: SHA-1, MD5
Facilitatile sunt conforme cu reglementările
privind utilizarea de algoritmi de criptare + chei
de diverse lungimi specifice diverselor ţări
200
Securitatea la nivel transport in retele fara
fir(WTLS)
WTLS are 4 clase:
Clasa 1 asigura:
– confidentialitatea - folosind criptarea
– integritatea - folosind coduri de autentificarea
mesajelor (Message authentication Codes-MAC)
– Nu asigura autentificarea clientului sau serverului
Clasa 2 asigura:
– Dialog de autentificare cu serverul bazat pe PKI
- utilizind certificatul serverului si cheie privata
• Ex. Blackberry Mobile Device
201
Securitatea la nivel transport in retele fara
fir(WTLS)
Clasa 3 asigura:
– Autentificarea clientului - utilizind certificatul clientului
si o cheie privata
Clasa 4 asigura:
– autentificarea clientului cu semnaturi digitale folosind
scriptul WMLScript Crypto.SignText
202
Scriptul de criptare pt. WML(WML Script
Crypto)
203
Dialogul de stabilre a sesiunii WTLS
204
Interactiunile protocoalelor WTLS/TLS(1)
205
Interactiunile protocoalelor WTLS/TLS(1)
206
Calea de incredere si certificare
207
IPsec si arhitectura VPN
208
IPSec si architectura VPN in 3G
209
Implementarea tipica a unui VPN
210
IPSec si arhitectura VPN in 3G
211
IPSec si arhitectura VPN in 3G
212
Arhitectura VPN pentru Blackberry fara fir
Solutie proprietar ce foloseste multe tehnologii
wireless /mobile deja descrise
“Întotdeauna conectat "+soluţie de”push “
Browser grafic pentru e-mail şi aplicațiile mobile
la serverul de intreprindere BlackBerry
Operează in rețele GPRS și CDMA
Utilizează sistemul integrat digital îmbunătăţit de
reţea de la Motorola(IDEN-Integrated Digital
Enhanced Network) şi kitul de dezvoltare J2ME
213
Arhitectura VPN pentru Blackberry fara fir
Suport standard pentru interfețe TCP/IP și HTTP
Blackberry mobile poate fi utilizat la accesarea Internet-ului- numai
prin:
– Blackberry server
– WAP Gateway
Criptare - 3DES și/sau SSL/TLS
Suportă WTLS clasa 2 (numai server certificat)
Utilizează WMLScript cu functia Crypto.SignText și autentificarea
clientului cu semnătura digitală
214
Arhitectura de baza a unui sitem mobil
215
Arhitectura unui Intranet de firma
216
Poarta(gateway) WTLS la SSL/TLS prin
WAP(1)
217
Poarta(gateway) WTLS la SSL/TLS
prin WAP(2)
218
Alte operatii pentru securizarea unui
WAN mobil
219
WP-TCP(Wireless Profiled TCP)
220
WP-TCP(Wireless Profiled TCP)
WP-TCP mai suportă:
– SACK (Acknowledgement selectiv) RFC 2018
– TCP Slow-Start RFC 2001
– Congestion Avoidance (RED) RFC 2581
– Retransmisie rapidă
– Recuperare rapidă
References:
– WAP Forum: Wireless Profiled TCP, 2001,
www.wmlclub.com/docs/ especwap2.0
/WAP-225-TCP-20010331-a.pdf
– RFC 2757 Long Thin Networks
221
Modul splitare (proxy) WP-TCP
222
Modul capat-la- capat WP-TCP
223
SSH(Secure Shell)
224
SSH(Secure Shell)
225
Procesoare pentru securitatea 3G
226
Securitatea 3G-recapitulare
Dezvoltare progresiva:
– Serviicii pentru purtatore care stau la baza, UMTS,
cdma2000
Solutii de securitate ca si in cazul retelelor fixe
includ:
– IPSec, VPN etc
WAP2 (TLS/WTLS) asigura securitatea pentru
aplicatii mobile bazate pe Web
Se lucreaza intens in grupuri de lucru pentru a
pune în aplicare pe deplin arhitectura de
securitate pentru UMTS
227
Multumesc pentru atentie!
228