Αρχιτεκτονικές Ασφάλειας στα B3G Δίκτυα Χριστόφορος Νταντογιάν Υποψ. Διδάκτορας Τμήμα Πληροφορικής και Τηλεπικοινωνιών
Σύνοψη Τι είναι τα B3G δίκτυα; Αρχιτεκτονική B3G δικτύων Μηχανισμοί ασφάλειας στα B3G δίκτυα και αξιολόγηση τους
ΤΙ είναι τα B3G δικτυα; Τα (Beyond 3G) B3G δίκτυα αποτελούν μια εξέλιξη των 3G δικτύων και χαρακτηρίζονται από την ενοποίηση διαφορετικών τεχνολογιών ασύρματης πρόσβασης σε ένα ενοποιημένο κοινό δίκτυο που θα βασίζεται στα 3G δίκτυα.
B3G Δίκτυα
WLAN Δίκτυα Πλεονεκτήματα Υψηλές ταχύτητες (11 Mbps και 54 Mbps) Χαμηλό κόστος Μειονεκτήματα Περιορισμένη κάλυψη-κινητικότητα
3G Δίκτυα Πλεονεκτήματα Υψηλή κάλυψη-κινητικότητα Μειονεκτήματα Χαμηλές ταχύτητες (2 Mbps) Υψηλό κόστος
3G-WLAN Είναι εμφανές ότι οι δυο τεχνολογίες καλύπτουν η μια την άλλη. Επομένως η ενοποίηση τους προσφέρει στους τελικούς χρήστες υπηρεσίες με υψηλές ταχύτητες και κάλυψη. ‘Εχουν προταθεί πολλές λύσεις σχετικά με το πώς θα γίνει αυτή η ενοποίηση.
3GPP Σενάρια
3G-WLAN
Καινούργιες οντότητες στο 3G δίκτυο PDG (Packet Data Gateway): Το PDG είναι μια πύλη που επιτρέπει στους χρήστες του WLAN δικτύου την πρόσβαση προς τις 3G Υπηρεσίες ή στο διαδίκτυο. AAA server: To ΑΑΑ server παρεχει υπηρεσιες ασφαλειας. AAA proxy: To ΑΑΑ proxy μεταδίδει ΑΑΑ μηνύματα στον AAA server. WAG (Wireless Access Gateway): Το WAG δρομολογεί τα πακέτα στο κατάλληλο 3G δίκτυο και συγκεκριμένα στο κατάλληλο PDG.
Προσβαση σε υπηρεσιες WLAN Direct IP Access: Είναι η πρόσβαση ενός χρήστη που βρίσκεται σε ένα WLAN στο διαδίκτυο. WLAN 3GPP IP Access: Είναι η πρόσβαση WLAN χρήστη, στις υπηρεσιές των 3G δικτύων, συνεργατικά διαδίκτυα (corporate Intranets) ή το Διαδίκτυο, μέσω του 3G Δικτυου.
WLAN Direct IP Access Αυθεντικοποίηση EAP-AKA ή EAP-SIM Εμπιστευτικότητα Δεδομένων Το πρότυπο ΙΕΕΕ i
EAP-SIM Το EAP-SIM πρωτόκολλο χρησιμοποιεί τα στοιχεία αυθεντοποίησης που είναι αποθηκευμένα στην SIM κάρτα σε μια GSM/GPRS εγγραφή. Η εκτέλεση του γίνεται μεταξυ του χρήστη, ενός AAA client (δηλαδή το AP), και ενός AAA server που αποκτά πληροφορίες αυθεντικοποίησης (δηλαδή τις τριπλέτες αυθεντικοποίησης) από το HSS/HLR
EAP-SIM
EAP-AKA Το EAP-AKA είναι ένα ενναλακτικό πρωτόκολλο ως προς το EAP-SIM και χρησιμοποιεί μια UMTS SIM (USIM) κάρτα.
EAP-AKA
Εμπιστευτικότητα στο WLAN Direct IP Access WEP i
WEP Το πρότυπο ΙΕΕΕ ενσωματώνει το WEP πρωτόκολλο για να παρέχει υπηρεσίες Aυθεντικοποίησης (authentication) χρηστών Eμπιστευτικότητας (confidentiality) στα δεδομένα που ανταλλάσσονται στον αέρα Ακεραιότητα (data integrity) στα δεδoμένα Η κρυπτογράφηση του WEP βασίζεται στον αλγόριθμο RC4 και χρησιμοποιεί ένα προκαθορισμένο στατικό κλειδί μήκους 64 bit ή 128-bit
WEP Attack Tools Στο διαδίκτυο υπάρχουν πολλά προγράμματα που μπορούν σε μερικές ώρες να σπάσουν την ασφάλεια του WEP Airsnort WEPCracκ Dweputils AirCrack
Επίθεση στο WEP Το WEP αποδείχθηκε γρήγορα ότι είναι ευάλωτο σε επιθέσεις. Πρόσφατα ερευνητές κατάφεραν να σπάσουν την ασφάλεια του WEP σε 5 λεπτά! Παρολ’αυτα το WEP είναι ένα πολύ διαδεδομένο πρωτόκολλο άσφαλειας που όλα τα access points το διαθέτουν.
IEEE i Το πρότυπο ΙΕΕΕ i ορίζει: 1. Δυο πρωτόκολλα ασφάλειας Το Temporal Key Integrity Protocol (TKIP), το οποίο ονομάζεται επίσης Wi-fi Protected Access (WPA). To Counter with CBC-MAC Protocol (CCMP), το οποίο ονομάζεται επίσης WPA2. 2. Το four-way and group key handshakes, που επιτρέπουν την δυναμική διαχείριση κλειδιών.
TKIP-WPA To TKIP είναι μια software ενίσχυση του WEP. Ενδυναμώνει το WEP επειδή: 1. Αυξάνει το μήκος του IV στα 48-bits. 2. To CRC αντικαθίσταται με το αλγόριθμο micheal για να προσφέρει υπηρεσίες ακεραιότητας δεδομένων. 3. Δυναμική δημουργία και διανομή κλειδιών με την χρήση των four-way και group-key handshake
TKIP-WPA Το TKIP καλύπτει πολλές αδυναμίες του WEP. Ωστόσο, έχουν βρεθεί αδυναμίες του TKIP, αφού βασίζεται στο WEP. Είναι μια προσωρινή software λύση μέχρι να εδραιωθεί το CCMP πρωτόκολλο.
CCMP-WPA2 To CCMP χρησιμοποιεί τον Advanced Encryption Standard (AES) αλγόριθμο, για να παρέχει ένα υψηλό επίπεδο ασφάλειας. To μειονέκτημα του είναι ότι για την εφαρμογή της χρειάζεται καινούργιος επεξεργαστής, επομένως τα υπάρχοντα access point θα πρέπει να αντικατασταθούν.
802.11i handshakes
3GPP IP Access Αυθεντικοποίηση Εκτέλεση του Internet Key Exchange version 2 (IKEv2) χρησιμοποιώντας το EAP-SIM ή το EAP-AKA Εμπιστευτικότητα ΙPsec τούνελ με χρήση του πρωτοκόλλου Encapsulation Security Payload (ESP).
Τι είναι το IKEv2; Το IKEv2, όπως και το ΙΚΕ, είναι ένα πρωτόκολλο εφαρμογής που χρησιμοποιείται για την αμοιβαία αυθεντικοποίηση μεταξύ δυο τερματικών σημείων (όπως π.χ. ενας χρήστης ή ένα firewall) και την δημιουργία ενός IPsec tunnel που θα προστατεύει τα δεδομένα που θα ανταλλάσσονται μεταξύ των δυο τερματικών σημείων.
3GPP IP Access
ΙKEv2 με EAP-SIM ή EAP-AKA
Ερωτήσεις