|
Dydis: 15969
Komentaras:
|
Dydis: 16159
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 1: | Eilutė 1: |
| 1. ĮVADAS | == 1. ĮVADAS == |
| Eilutė 12: | Eilutė 12: |
| 2. PRISIJUNGIMAI PRIE BEVIELIŲ RYŠIŲ TINKLŲ | == 2. PRISIJUNGIMAI PRIE BEVIELIŲ RYŠIŲ TINKLŲ == Autentifikavimas – procesas, kurio metu nustatoma arba patvirtinama, kad kažkas autentiškas, arba kad kažkas yra tai, kuo jis skelbiasi esąs. Jei autentifikavimo informacija (slaptažodis) atitinka identifikavimo informaciją (vartotoją vardą) laikoma, kad autentifikavimo procesas sėkmingas ir vartotojo ar tinklo įrenginio tapatybė nustatyta. Autorizacija – procesas, kurio metu vartotojui priskiriamas galimybių pasiekti informacijos išteklius sąrašas, leidimas atlikti konkrečius veiksmus sistemoje. |
| Eilutė 14: | Eilutė 15: |
| Autentifikavimas – procesas, kurio metu nustatoma arba patvirtinama, kad kažkas autentiškas, arba kad kažkas yra tai, kuo jis skelbiasi esąs. Jei autentifikavimo informacija (slaptažodis) atitinka identifikavimo informaciją (vartotoją vardą) laikoma, kad autentifikavimo procesas sėkmingas ir vartotojo ar tinklo įrenginio tapatybė nustatyta. Autorizacija – procesas, kurio metu vartotojui priskiriamas galimybių pasiekti informacijos išteklius sąrašas, leidimas atlikti konkrečius veiksmus sistemoje. Autentifikavimo eiga priklauso nuo konkrečių saugumo nuostatų ir leidžiamo saugumo lygio. Autentifikavimas atliekamas prieš klientui suteikiant tinklo prieigą. Autentifikacija užtikrinama mechanizmais: |
Autentifikavimo eiga priklauso nuo konkrečių saugumo nuostatų ir leidžiamo saugumo lygio. Autentifikavimas atliekamas prieš klientui suteikiant tinklo prieigą. Autentifikacija užtikrinama mechanizmais: |
| Eilutė 28: | Eilutė 25: |
| 2.1 Atvira autentifikacija | === 2.1 Atvira autentifikacija === Bevieliuose tinkluose nuo pradžių buvo naudojami du autentifikacijos būdai: atvira autentifikacija ir bendrojo rakto autentifikacija. Abu būdai pasižymi WEP (angl. Wired Equivalent Privacy) bevielio tinklo apsaugos algoritmu. Jei vykdoma atvira autentifikacija, WLAN klientui nieko nereikia pristatyti prieigos taškui. Klientas, norėdamas naudotis tinklu, siunčia paketą su prieigos taško (angl. Access Point) identifikatoriumi SSID (angl. Service Set Identifier), o jį gavęs prieigos taškas išsiunčia autentifikavimo atsakymo (patvirtinimo) paketą, jei gautasis SSID atitinka tikrąjį jo SSID. Visas atvirojo rakto autentifikavimo procesas atliekamas atviruoju tekstu (nešifruotu). Visi klientai su bet kokiu WEP raktu gali autentifikuotis prieigos taškui, o WEP raktas gali būti naudojamas tik po autentifikacijos srauto tarp vartotojo ir prieigos taško šifravimui. Šiam procesui nebūdinga tipinė autentifikacija. 32 simbolių unikalus identifikatorius SSID naudojamas kaip slaptažodis, jungiantis prie bevielio tinklo, tačiau SSID galima lengvai sužinoti, pasitelkiant bevielio tinklo stebėjimo programas. |
| Eilutė 30: | Eilutė 28: |
| Bevieliuose tinkluose nuo pradžių buvo naudojami du autentifikacijos būdai: atvira autentifikacija ir bendrojo rakto autentifikacija. Abu būdai pasižymi WEP (angl. Wired Equivalent Privacy) bevielio tinklo apsaugos algoritmu. Jei vykdoma atvira autentifikacija, WLAN klientui nieko nereikia pristatyti prieigos taškui. Klientas, norėdamas naudotis tinklu, siunčia paketą su prieigos taško (angl. Access Point) identifikatoriumi SSID (angl. Service Set Identifier), o jį gavęs prieigos taškas išsiunčia autentifikavimo atsakymo (patvirtinimo) paketą, jei gautasis SSID atitinka tikrąjį jo SSID. Visas atvirojo rakto autentifikavimo procesas atliekamas atviruoju tekstu (nešifruotu). Visi klientai su bet kokiu WEP raktu gali autentifikuotis prieigos taškui, o WEP raktas gali būti naudojamas tik po autentifikacijos srauto tarp vartotojo ir prieigos taško šifravimui. Šiam procesui nebūdinga tipinė autentifikacija. 32 simbolių unikalus identifikatorius SSID naudojamas kaip slaptažodis, jungiantis prie bevielio tinklo, tačiau SSID galima lengvai sužinoti, pasitelkiant bevielio tinklo stebėjimo programas. 2.2 Bendrojo rakto autentifikacija |
== 2.2 Bendrojo rakto autentifikacija == |
| Eilutė 36: | Eilutė 31: |
| Pagrindinis 64 bitų WEP protokolas naudoja 40 bitų raktą, kuris sujungiamas su 24 bitų inicializacijos vektoriumi. Išplėstas 128 bitų WEP protokolas naudoja 104 bitų dydžio raktus su inicializacijos vektoriumi. WEP tipo raktus lengva sužinoti t.y. priėmus maždaug 10MB tinklu siunčiamų duomenų. Naudojant dešifravimo technologijas, 40 bitų ilgio raktus galima sužinoti iki kelių minučių, o ilgesnį – iki valandos. Norint sužinoti, nežinoma ilgesnį raktą, reikalinga priimti daugiau paketų. RC4 pasižymi srautiniu šifru, todėl to paties rakto negalima panaudoti du kartus. Inicializacijos vektorius atsakingas už kintančio šifravimo rakto sukūrimą. Tačiau, jei tinklas pasižymi dideliu aktyvumu, tokio ilgio rakto neužtenka apsisaugoti nuo įsilaužėlių. Inicializacijos vektorių kolizijos ir galimybė pakeisti paketus – WEP silpnosios vietos, kurių nepašalina ir ilgesni raktai. Bendrojo rakto autentifikacija labiau pažeidžiama už atvirąją autentifikaciją, nes prieigos taškas siunčia atvirą tekstą, kurį vartotojas užšifravęs atsiunčia atgal. Jei programinius perima šiuos paketus, jam lengviau apskaičiuoti, koks slaptasis raktas. |
Pagrindinis 64 bitų WEP protokolas naudoja 40 bitų raktą, kuris sujungiamas su 24 bitų inicializacijos vektoriumi. Išplėstas 128 bitų WEP protokolas naudoja 104 bitų dydžio raktus su inicializacijos vektoriumi. WEP tipo raktus lengva sužinoti t.y. priėmus maždaug 10MB tinklu siunčiamų duomenų. Naudojant dešifravimo technologijas, 40 bitų ilgio raktus galima sužinoti iki kelių minučių, o ilgesnį – iki valandos. Norint sužinoti, nežinoma ilgesnį raktą, reikalinga priimti daugiau paketų. RC4 pasižymi srautiniu šifru, todėl to paties rakto negalima panaudoti du kartus. Inicializacijos vektorius atsakingas už kintančio šifravimo rakto sukūrimą. Tačiau, jei tinklas pasižymi dideliu aktyvumu, tokio ilgio rakto neužtenka apsisaugoti nuo įsilaužėlių. Inicializacijos vektorių kolizijos ir galimybė pakeisti paketus – WEP silpnosios vietos, kurių nepašalina ir ilgesni raktai. Bendrojo rakto autentifikacija labiau pažeidžiama už atvirąją autentifikaciją, nes prieigos taškas siunčia atvirą tekstą, kurį vartotojas užšifravęs atsiunčia atgal. Jei programinius perima šiuos paketus, jam lengviau apskaičiuoti, koks slaptasis raktas. |
| Eilutė 39: | Eilutė 33: |
| 2.3 MAC adresų filtravimas |
=== 2.3 MAC adresų filtravimas === |
| Eilutė 43: | Eilutė 36: |
| 2.4 PSK metodas | === 2.4 PSK metodas === Bevieliuose tinkluose, palaikančiuose WPA (angl. Wi-Fi Protected Access) standartą, autentifikacija gali būti: asmeniniame (angl. Personal) arba įmonės (angl. Enterprise) režime. Abiejų režimų metu vykdoma abipusė autentifikacija, kuri saugesnė už WEP algoritmo paremta autentifikacija. Asmeninis režimas, vadinamas PSK (angl. Pre-Shared Key) režimu, naudojamas namuose arba mažos įmonės tinkluose, nes joje nenaudojamas 802.1X autentifikacijos serveris. Vartotojai iš anksto jiems žinomu 256 bitų ilgio raktu šifruoja srautą. PSK nežinomas raktas gali būti sužinomas, jei raktui naudojama lengvai ir dažnai aptinkama frazė. Jei slaptažodis trumpas (iki 8 simbolių), gali būti sužinomas, pasinaudojant brutalios jėgos vykdymu (angl. Brute Force / offline dictionary attack). Jai reikalinga: priimti kelis paketus, kai vartotojas prisijungia prie bevielio tinklo ir vėliau analizuojant – atkurti slaptažodį. Tačiau, duomenų šifravimui naudojamos saugesnės technologijos TKIP (angl. Temporal Key Intergrity) arba AES (angl. Advanced Encryption Standard) ir pagrįstos CCMP (angl. Counter-Mode with Cipher Block Chaining Message Authentication Code Protocol) protokolu, dešifruoti paketus, pagal WPA standartą veikiančiuose tinkluose sunkiau arba neįmanoma. |
| Eilutė 45: | Eilutė 39: |
| Bevieliuose tinkluose, palaikančiuose WPA (angl. Wi-Fi Protected Access) standartą, autentifikacija gali būti: asmeniniame (angl. Personal) arba įmonės (angl. Enterprise) režime. Abiejų režimų metu vykdoma abipusė autentifikacija, kuri saugesnė už WEP algoritmo paremta autentifikacija. Asmeninis režimas, vadinamas PSK (angl. Pre-Shared Key) režimu, naudojamas namuose arba mažos įmonės tinkluose, nes joje nenaudojamas 802.1X autentifikacijos serveris. Vartotojai iš anksto jiems žinomu 256 bitų ilgio raktu šifruoja srautą. PSK nežinomas raktas gali būti sužinomas, jei raktui naudojama lengvai ir dažnai aptinkama frazė. Jei slaptažodis trumpas (iki 8 simbolių), gali būti sužinomas, pasinaudojant brutalios jėgos vykdymu (angl. Brute Force / offline dictionary attack). Jai reikalinga: priimti kelis paketus, kai vartotojas prisijungia prie bevielio tinklo ir vėliau analizuojant – atkurti slaptažodį. Tačiau, duomenų šifravimui naudojamos saugesnės technologijos TKIP (angl. Temporal Key Intergrity) arba AES (angl. Advanced Encryption Standard) ir pagrįstos CCMP (angl. Counter-Mode with Cipher Block Chaining Message Authentication Code Protocol) protokolu, dešifruoti paketus, pagal WPA standartą veikiančiuose tinkluose sunkiau arba neįmanoma. |
=== 2.5 EAP protokolas === Kai WPA bevielis tinklas veikia įmonės režimu, autentifikacijai naudojamas EAP (angl. Extensible Authentication Protocol) protokolas, kuris pasižymi IEEE 802.1X standartu. Skiriasi nuo asmeninio režimo, kad reikalingas autentifikacijos serveris. Darbui su autentifikacijos serveriu naudojamas autentifikacijos, prieigos valdymo ir registravimo (angl. AAA – Authentication, Access control, Accounting), dažniausiai RADIUS, protokolas, kuri atlieka autentifikacija ir raktų paskirstymą. Įmonės režime vartotojų prisijungimo duomenys valdomi centralizuotai. EAP privalumas – galima lengvai realizuoti prieigos taške, nes prieigos taškui aplamai nereikia žinoti autentifikavimo metodų ypatumų, veikimo principas – tarpininkas tarp kliento ir autentifikavimo serverio. 2.3 pav. pateikta EAP kadro struktūra. |
| Eilutė 48: | Eilutė 42: |
| 2.5 EAP protokolas Kai WPA bevielis tinklas veikia įmonės režimu, autentifikacijai naudojamas EAP (angl. Extensible Authentication Protocol) protokolas, kuris pasižymi IEEE 802.1X standartu. Skiriasi nuo asmeninio režimo, kad reikalingas autentifikacijos serveris. Darbui su autentifikacijos serveriu naudojamas autentifikacijos, prieigos valdymo ir registravimo (angl. AAA – Authentication, Access control, Accounting), dažniausiai RADIUS, protokolas, kuri atlieka autentifikacija ir raktų paskirstymą. Įmonės režime vartotojų prisijungimo duomenys valdomi centralizuotai. EAP privalumas – galima lengvai realizuoti prieigos taške, nes prieigos taškui aplamai nereikia žinoti autentifikavimo metodų ypatumų, veikimo principas – tarpininkas tarp kliento ir autentifikavimo serverio. 2.3 pav. pateikta EAP kadro struktūra. 2.3 pav. EAP kadro struktūra Autentifikacijos mechanizmą apibūdina ne EAP, o įvairūs EAP metodai, kuriuos apibrėžia IETF RFC: • EAP-MD5 (autentifikuoja tik vartotoją serveriui – pažeidžiamas žodyno atakų). • EAP-OTP (naudojamas VPN ir PPP (angl. Point to Point Protocol), bet ne bevieliams tinklams, teikia tik vienpusę autentifikaciją). • EAP-GTC (autentifikacijai bevieliuose tinkluose dažniausiai naudojamas viduje TSL tunelio, sukurto TTLS arba PEAP). • EAP-TLS (naudoja saugų TLS (angl. Transport Layer Security) protokolą ir sertifikatus). • EAP-IKE (naudoją IKE (angl. Internet Key Exchange Protocol) protokolą). • EAP-SIM (naudojamas GSM (angl. Global System for Mobile Communications) SIM (angl. Subscriber Identity Module)). • EAP-AKA (naudojamas UMTS (angl. Universal Mobile Telecommunications System) USIM (angl. Universal Subscriber Identity Module). |
EAP kadro struktūra Autentifikacijos mechanizmą apibūdina ne EAP, o įvairūs EAP metodai, kuriuos apibrėžia IETF RFC: • EAP-MD5 (autentifikuoja tik vartotoją serveriui – pažeidžiamas žodyno atakų). • EAP-OTP (naudojamas VPN ir PPP (angl. Point to Point Protocol), bet ne bevieliams tinklams, teikia tik vienpusę autentifikaciją). • EAP-GTC (autentifikacijai bevieliuose tinkluose dažniausiai naudojamas viduje TSL tunelio, sukurto TTLS arba PEAP). • EAP-TLS (naudoja saugų TLS (angl. Transport Layer Security) protokolą ir sertifikatus). • EAP-IKE (naudoją IKE (angl. Internet Key Exchange Protocol) protokolą). • EAP-SIM (naudojamas GSM (angl. Global System for Mobile Communications) SIM (angl. Subscriber Identity Module)). • EAP-AKA (naudojamas UMTS (angl. Universal Mobile Telecommunications System) USIM (angl. Universal Subscriber Identity Module). |
| Eilutė 65: | Eilutė 47: |
| Eilutė 66: | Eilutė 49: |
| Eilutė 67: | Eilutė 51: |
| Eilutė 68: | Eilutė 53: |
| Eilutė 69: | Eilutė 55: |
| Eilutė 75: | Eilutė 62: |
| Autentifikatoriaus prievadas laikomas „neautorizuotas“ būsenoje, kurioje priimamas tik 802.1X autentifikacijos srautas, visas kitas srautas blokuojamas tinklo lygmenyje. Bendravimas tarp kliento ir autentifikatoriaus vyksta EAPOL (EAP over LAN) žinutėmis. Kada autentifikatorius gauna Start kadrą arba aptinka naują klientą, išsiunčia jam tapatybės užklausą (angl. Request Identity). Klientas atsako atsiųsdamas identifikuojančius duomenis (angl. Response Identity). Autentifikatorius gautas EAP žinutes įpakuoja į protokolo, naudojamo komunikacijai tarp autentifikatoriaus ir serverio, paketus ir persiunčia autentifikacijos serveriui. Vėliau gavęs serveris siunčia klientui (per autentifikatorių) nuorodas, kokį EAP metodą naudoti. Klientas gali pasiūlyti savo metodą arba sutikti su pasiūlytu. Toliau vyksta autentifikacija ir serveris atsiunčia atsakymą ar klientas autentifikuotas. Jei autentifikacija sėkminga, autentifikatoriaus prievado būsena tampa „autorizuotas“ ir nebeblokuojamas bet koks srautas. | Autentifikatoriaus prievadas laikomas „neautorizuotas“ būsenoje, kurioje priimamas tik 802.1X autentifikacijos srautas, visas kitas srautas blokuojamas tinklo lygmenyje. Bendravimas tarp kliento ir autentifikatoriaus vyksta EAPOL (EAP over LAN) žinutėmis. Kada autentifikatorius gauna Start kadrą arba aptinka naują klientą, išsiunčia jam tapatybės užklausą (angl. Request Identity). Klientas atsako atsiųsdamas identifikuojančius duomenis (angl. Response Identity). Autentifikatorius gautas EAP žinutes įpakuoja į protokolo, naudojamo komunikacijai tarp autentifikatoriaus ir serverio, paketus ir persiunčia autentifikacijos serveriui. Vėliau gavęs serveris siunčia klientui (per autentifikatorių) nuorodas, kokį EAP metodą naudoti. Klientas gali pasiūlyti savo metodą arba sutikti su pasiūlytu. Toliau vyksta autentifikacija ir serveris atsiunčia atsakymą ar klientas autentifikuotas. Jei autentifikacija sėkminga, autentifikatoriaus prievado būsena tampa „autorizuotas“ ir nebeblokuojamas bet koks srautas. |
| Eilutė 78: | Eilutė 64: |
| 2.6 Bendrųjų autentifikacijos technologijų apžvalga |
=== 2.6 Bendrųjų autentifikacijos technologijų apžvalga === |
| Eilutė 84: | Eilutė 69: |
2.7 Autentifikavimo būdai ir jų pažeidžiamumai |
=== 2.7 Autentifikavimo būdai ir jų pažeidžiamumai === |
| Eilutė 90: | Eilutė 73: |
| Eilutė 96: | Eilutė 78: |
| == 3. IŠVADOS IR INFORMACIJOS ŠALTINIAI == WEP senesnis tinklo saugos metodas, kuris raktu užšifruoja informaciją ir kompiuteris per tinklą siunčia kitam kompiuteriui. WEP technologijoje naudojami autentifikacijos būdai: atvira ir bendrojo rakto. Užtikrinti saugumą nesaugiuose WEP technologijas naudojančiuose bevieliuose tinkluose įmanoma pasitelkiant užšifruotus tuneliavimo protokolus (pavyzdžiui IPSec, Secure Shell), tačiau pakankamas saugumo lygis turėtų būti pasiekiamas pačiame bevieliame tinkle. WPA naudoja du autentifikavimo režimus: asmeninį (WPA/PSK, nenaudojamas autentifikacijos serveris) ir įmonės (EAP, naudojamas autentifikacijos serveris). Saugiausias autentifikacijos mechanizmas bevieliuose tinkluose – EAP protokolu pagrįstas metodas, o WEP algoritmo autentifikacija pažeidžiama dėl silpno slapto rakto. |
|
| Eilutė 97: | Eilutė 81: |
| 3. IŠVADOS IR INFORMACIJOS ŠALTINIAI | Informacijos šaltiniai: |
| Eilutė 99: | Eilutė 83: |
| WEP senesnis tinklo saugos metodas, kuris raktu užšifruoja informaciją ir kompiuteris per tinklą siunčia kitam kompiuteriui. WEP technologijoje naudojami autentifikacijos būdai: atvira ir bendrojo rakto. Užtikrinti saugumą nesaugiuose WEP technologijas naudojančiuose bevieliuose tinkluose įmanoma pasitelkiant užšifruotus tuneliavimo protokolus (pavyzdžiui IPSec, Secure Shell), tačiau pakankamas saugumo lygis turėtų būti pasiekiamas pačiame bevieliame tinkle. WPA naudoja du autentifikavimo režimus: asmeninį (WPA/PSK, nenaudojamas autentifikacijos serveris) ir įmonės (EAP, naudojamas autentifikacijos serveris). Saugiausias autentifikacijos mechanizmas bevieliuose tinkluose – EAP protokolu pagrįstas metodas, o WEP algoritmo autentifikacija pažeidžiama dėl silpno slapto rakto. Informacijos šaltiniai: |
|
| Eilutė 103: | Eilutė 84: |
| 2. http://www.ifko.ktu.lt/~otas/Sauga/05_Bevieliai%20tinklai.ppt, bevielių tinklų istorija ir susipažinimas, Wardriving, žiūrėta 2015-04-21. 3. http://www.slk.lt/studentu-konferencijos/2010/articles/PDF/33_ITS_SLK_A.%20Narutavi cius.pdf, MAC filtravimas, WEP, WPA, RADIUS serveris, žiūrėta 2015-04-21. |
2. [[http://www.ifko.ktu.lt/~otas/Sauga/05_Bevieliai%20tinklai.ppt|http://www.ifko.ktu.lt/~otas/Sauga/05_Bevieliai%20tinklai.ppt]], bevielių tinklų istorija ir susipažinimas, Wardriving, žiūrėta 2015-04-21. 3. [[http://www.slk.lt/studentu-konferencijos/2010/articles/PDF/33_ITS_SLK_A.%20Narutavi|http://www.slk.lt/studentu-konferencijos/2010/articles/PDF/33_ITS_SLK_A.%20Narutavi]] cius.pdf, MAC filtravimas, WEP, WPA, RADIUS serveris, žiūrėta 2015-04-21. |
1. ĮVADAS
1979 metais, Havajų universiteto profesorius Normanas Abramsonas sukūrė pirmąjį pasaulyje bevielio kompiuterinio ryšio tinklą, naudojant radijo ryšio bangas. Sistemą sudarė septyni kompiuteriai, kurie tarpusavyje keitiesi informacija, nenaudodami telefono linijų.
WLAN (angl. Wireless Local Area Network) tinklas kurtas panašiu principu kaip ir Ethernet tipo tinklai, tačiau duomenų keitimasis vykdomas bevieliu ryšiu. Taip pat bevieliuose tinkluose randama silpnųjų vietų, kurios būdingos laidiniuose tinkluose ir prie kurių prisideda savosios. Stengiantis apsaugoti bevielius tinklus nuo galimų atakų, buvo sukurtas IEEE802.11 standarto protokolas, kuriame kūrėjai numatė konkrečias tinklo nuo programišių apsaugos priemones.
Bevielis tinklas – dar vienas praėjimas prie tinklo, kurio dažniausiai siekiai programišiai. WLAN tinklai gana nauja technologija, turinti savyje daug taisytinu spragų apsaugos srityje. Didėjant Wi-Fi viešųjų interneto prieigos taškų, mobiliųjų telefonų, planšetinių ir nešiojamųjų kompiuterių, bevielių tinklų sauga tampa vis aktualesnė tema daugeliui organizacijų. Dėl bevielio ryšio suteikiamų patogumų ir didėjant bevielių tinklų viešojoje erdvėje, organizacijose, namuose, didėja įsilaužymo galimybių.
Bevielių tinklų paieška teritorijoje, keliaujant transporto priemone (angl. Wardriving) – asmens judėjimas specifinėje teritorijoje ir žymint bevielių prieigos taškų išsidėstymą statistiniais tikslais. Statistiniai tikslai naudojami atkreipti dėmesį į tinklų saugos problemas. Paieškos paremtos taisyklėmis: 1. Tinklų paieška nebūtinai atliekama keliaujant specialiu automobiliu (pėsčiomis, bet kokia kita transporto priemonė). 2. Tinklų paieškos metu be savininko leidimo nenaudojami jokie aptiktų prieigos taškų ar tinklų ištekliai.
Brovimasis į bevielius tinklus pasižymi tikslinėmis atakomis, kurių priežastis gali būti noras pasisavinti konfidencialią informaciją, siekiu pasinaudoti svetimais interneto resursais, išbandyti savo sugebėjimus ir panašiai. Jei įsilaužėlis naudojasi svetimais interneto resursais saviems kasdieniams tikslams – tikrina savo paštą, ieško viešos informacijas, tai reali žala nebus didelė. Tačiau, jei bevielis tinklas naudojamas kaip resursas spamo platinimui arba internetinės atakos realizavimui, tokia veikla gali tapti pavojinga net kontroliuojančių organizacijų požiūriu.
2. PRISIJUNGIMAI PRIE BEVIELIŲ RYŠIŲ TINKLŲ
Autentifikavimas – procesas, kurio metu nustatoma arba patvirtinama, kad kažkas autentiškas, arba kad kažkas yra tai, kuo jis skelbiasi esąs. Jei autentifikavimo informacija (slaptažodis) atitinka identifikavimo informaciją (vartotoją vardą) laikoma, kad autentifikavimo procesas sėkmingas ir vartotojo ar tinklo įrenginio tapatybė nustatyta. Autorizacija – procesas, kurio metu vartotojui priskiriamas galimybių pasiekti informacijos išteklius sąrašas, leidimas atlikti konkrečius veiksmus sistemoje.
Autentifikavimo eiga priklauso nuo konkrečių saugumo nuostatų ir leidžiamo saugumo lygio. Autentifikavimas atliekamas prieš klientui suteikiant tinklo prieigą. Autentifikacija užtikrinama mechanizmais:
• Paremtais žinoma informacija (slaptažodžiai, PIN (angl. Personal Identification Number) kodai ir panašiai).
• Priklausomais nuo turimų priemonių (kriptografinės kortelės, skaitmeniniai sertifikatai, mobilus telefonas ir panašiai).
• Paremtais informacija, išvesta remiantis vartotojo individualiosiomis savybėmis (įvairūs biometriniai metodai – atpažinimas pagal piršto antspaudus, akies rainelę ir panašiai).
Autentifikavimo mechanizmai nėra neįveikiami t.y. šie autentifikavimo metodai pažeidžiami. Slaptažodžiai ir PIN kodai gali būti atspėti, neteisėtomis priemonėmis perimami arba panaudojus specialias technologijas iššifruojami. Įrenginius, kurie patvirtina jį turinčio tapatybę gali būti neteisėtai ar apgaulės būdu pasisavinami. Kriptografinių sistemų ir vienkartinių slaptažodžių schemos gali sutrikti ir nepasiteisinti, net kai turima kriptografiškai labai atsparius algoritmus. Biometriniai metodai gali būti pažeidžiami, informaciją su vartotojo individualiomis savybėmis perimant ir ją panaudojant autentifikuotis pakartotinai. Kiti autentifikavimo metodai gali būti nepatogūs vartotojui.
2.1 Atvira autentifikacija
Bevieliuose tinkluose nuo pradžių buvo naudojami du autentifikacijos būdai: atvira autentifikacija ir bendrojo rakto autentifikacija. Abu būdai pasižymi WEP (angl. Wired Equivalent Privacy) bevielio tinklo apsaugos algoritmu. Jei vykdoma atvira autentifikacija, WLAN klientui nieko nereikia pristatyti prieigos taškui. Klientas, norėdamas naudotis tinklu, siunčia paketą su prieigos taško (angl. Access Point) identifikatoriumi SSID (angl. Service Set Identifier), o jį gavęs prieigos taškas išsiunčia autentifikavimo atsakymo (patvirtinimo) paketą, jei gautasis SSID atitinka tikrąjį jo SSID. Visas atvirojo rakto autentifikavimo procesas atliekamas atviruoju tekstu (nešifruotu). Visi klientai su bet kokiu WEP raktu gali autentifikuotis prieigos taškui, o WEP raktas gali būti naudojamas tik po autentifikacijos srauto tarp vartotojo ir prieigos taško šifravimui. Šiam procesui nebūdinga tipinė autentifikacija. 32 simbolių unikalus identifikatorius SSID naudojamas kaip slaptažodis, jungiantis prie bevielio tinklo, tačiau SSID galima lengvai sužinoti, pasitelkiant bevielio tinklo stebėjimo programas.
2.2 Bendrojo rakto autentifikacija
Bendrojo rakto autentifikacijai naudojamas WEP raktas. Klientas siunčia rakto atpažinimo užklausą į prieigos tašką. Prieigos taškas generuoja 128 baitų ilgio atsitiktinių bitų seką ir siunčia klientui atviru tekstu. Klientas šią bitų eilutę užšifruoja ir siunčia atgal į prieigos tašką. Prieigos taškas eilutė iššifruoja ir palygina su pradine. Jei jos sutampa – klientas atpažįstamas.
Pagrindinis 64 bitų WEP protokolas naudoja 40 bitų raktą, kuris sujungiamas su 24 bitų inicializacijos vektoriumi. Išplėstas 128 bitų WEP protokolas naudoja 104 bitų dydžio raktus su inicializacijos vektoriumi. WEP tipo raktus lengva sužinoti t.y. priėmus maždaug 10MB tinklu siunčiamų duomenų. Naudojant dešifravimo technologijas, 40 bitų ilgio raktus galima sužinoti iki kelių minučių, o ilgesnį – iki valandos. Norint sužinoti, nežinoma ilgesnį raktą, reikalinga priimti daugiau paketų. RC4 pasižymi srautiniu šifru, todėl to paties rakto negalima panaudoti du kartus. Inicializacijos vektorius atsakingas už kintančio šifravimo rakto sukūrimą. Tačiau, jei tinklas pasižymi dideliu aktyvumu, tokio ilgio rakto neužtenka apsisaugoti nuo įsilaužėlių. Inicializacijos vektorių kolizijos ir galimybė pakeisti paketus – WEP silpnosios vietos, kurių nepašalina ir ilgesni raktai. Bendrojo rakto autentifikacija labiau pažeidžiama už atvirąją autentifikaciją, nes prieigos taškas siunčia atvirą tekstą, kurį vartotojas užšifravęs atsiunčia atgal. Jei programinius perima šiuos paketus, jam lengviau apskaičiuoti, koks slaptasis raktas.
2.3 MAC adresų filtravimas
Vienas iš WEP naudojančių bevielių vietinių tinklų prieigos valdymo mechanizmų – MAC (angl. Ethernet Media Access Control) adresų filtravimas. Sudaromas kompiuterių MAC adresų sąrašas (angl. Access Control List), kuriems leidžiama naudotis tinklo ištekliais. Autentifikuotis leidžiama tik tam vartotojui, kurio MAC adresas randamas ACL sąraše. MAC adresų filtravimo mechanizmas lengvai pažeidžiamas, nes programišiai pasinaudoję stebėjimo programomis, sužino vartotojų MAC adresus ir suklastoja MAC adresus. MAC adresą kiekvienas vartotojas kompiuteryje gali pasikeisti į bet kokį, o su pasirinktu/pakeistų MAC adresu jungtis prie bevielio tinklo. Taip pat galimas variantas, kad prie vieno prieigos taško, gali būti prisijungę keli vartotojai, turintys tuos pačius MAC adresus.
2.4 PSK metodas
Bevieliuose tinkluose, palaikančiuose WPA (angl. Wi-Fi Protected Access) standartą, autentifikacija gali būti: asmeniniame (angl. Personal) arba įmonės (angl. Enterprise) režime. Abiejų režimų metu vykdoma abipusė autentifikacija, kuri saugesnė už WEP algoritmo paremta autentifikacija. Asmeninis režimas, vadinamas PSK (angl. Pre-Shared Key) režimu, naudojamas namuose arba mažos įmonės tinkluose, nes joje nenaudojamas 802.1X autentifikacijos serveris. Vartotojai iš anksto jiems žinomu 256 bitų ilgio raktu šifruoja srautą. PSK nežinomas raktas gali būti sužinomas, jei raktui naudojama lengvai ir dažnai aptinkama frazė. Jei slaptažodis trumpas (iki 8 simbolių), gali būti sužinomas, pasinaudojant brutalios jėgos vykdymu (angl. Brute Force / offline dictionary attack). Jai reikalinga: priimti kelis paketus, kai vartotojas prisijungia prie bevielio tinklo ir vėliau analizuojant – atkurti slaptažodį. Tačiau, duomenų šifravimui naudojamos saugesnės technologijos TKIP (angl. Temporal Key Intergrity) arba AES (angl. Advanced Encryption Standard) ir pagrįstos CCMP (angl. Counter-Mode with Cipher Block Chaining Message Authentication Code Protocol) protokolu, dešifruoti paketus, pagal WPA standartą veikiančiuose tinkluose sunkiau arba neįmanoma.
2.5 EAP protokolas
Kai WPA bevielis tinklas veikia įmonės režimu, autentifikacijai naudojamas EAP (angl. Extensible Authentication Protocol) protokolas, kuris pasižymi IEEE 802.1X standartu. Skiriasi nuo asmeninio režimo, kad reikalingas autentifikacijos serveris. Darbui su autentifikacijos serveriu naudojamas autentifikacijos, prieigos valdymo ir registravimo (angl. AAA – Authentication, Access control, Accounting), dažniausiai RADIUS, protokolas, kuri atlieka autentifikacija ir raktų paskirstymą. Įmonės režime vartotojų prisijungimo duomenys valdomi centralizuotai. EAP privalumas – galima lengvai realizuoti prieigos taške, nes prieigos taškui aplamai nereikia žinoti autentifikavimo metodų ypatumų, veikimo principas – tarpininkas tarp kliento ir autentifikavimo serverio. 2.3 pav. pateikta EAP kadro struktūra.
EAP kadro struktūra Autentifikacijos mechanizmą apibūdina ne EAP, o įvairūs EAP metodai, kuriuos apibrėžia IETF RFC: • EAP-MD5 (autentifikuoja tik vartotoją serveriui – pažeidžiamas žodyno atakų). • EAP-OTP (naudojamas VPN ir PPP (angl. Point to Point Protocol), bet ne bevieliams tinklams, teikia tik vienpusę autentifikaciją). • EAP-GTC (autentifikacijai bevieliuose tinkluose dažniausiai naudojamas viduje TSL tunelio, sukurto TTLS arba PEAP). • EAP-TLS (naudoja saugų TLS (angl. Transport Layer Security) protokolą ir sertifikatus). • EAP-IKE (naudoją IKE (angl. Internet Key Exchange Protocol) protokolą). • EAP-SIM (naudojamas GSM (angl. Global System for Mobile Communications) SIM (angl. Subscriber Identity Module)). • EAP-AKA (naudojamas UMTS (angl. Universal Mobile Telecommunications System) USIM (angl. Universal Subscriber Identity Module).
Bevieliuose tinkluose gali būti naudojama ir kiti, į WPA sertifikavimo programą įtraukti šie EAP metodai:
• EAP-TLS.
• EAP-TTLS/MSCHAP
• PEAP/EAP-MSCHAP.
• PEAP/EAP-GTC.
• PEAP-TLS.
• EAP-SIM.
EAP TTLS ir EAP-PEAP (PEAP) metodai išskirtiniai, nes prieš autentifikacija sudaro TLS tunelį tarp kliento ir autentifikacijos serverio ir tada tuneliu atliekama autentifikacija. Tuneliavimas apsaugo nuo žodyno, „man in the middle“ arba sesijos parėmimo atakų. EAP-LEAP (angl. Lightweight Extensible Authentication Protocol) metodas paprastesnis, elementaresnis, greitesnis, pritaikomas apribotų skaičiavimo resursų aplinkose, naudojamas bevieliams tinklams. Pasižymi modifikuotą MS-CHAP versiją. Saugos raktai dinamiškai keičiami kiekvienai sesijai, taip apsisaugoma nuo surinktų duomenų dekodavimo. Autentifikacijai EAP-LEAP metodas naudota slaptažodį.
2.1 lentelė. EAP metodų savybės
Autentifikatoriaus prievadas laikomas „neautorizuotas“ būsenoje, kurioje priimamas tik 802.1X autentifikacijos srautas, visas kitas srautas blokuojamas tinklo lygmenyje. Bendravimas tarp kliento ir autentifikatoriaus vyksta EAPOL (EAP over LAN) žinutėmis. Kada autentifikatorius gauna Start kadrą arba aptinka naują klientą, išsiunčia jam tapatybės užklausą (angl. Request Identity). Klientas atsako atsiųsdamas identifikuojančius duomenis (angl. Response Identity). Autentifikatorius gautas EAP žinutes įpakuoja į protokolo, naudojamo komunikacijai tarp autentifikatoriaus ir serverio, paketus ir persiunčia autentifikacijos serveriui. Vėliau gavęs serveris siunčia klientui (per autentifikatorių) nuorodas, kokį EAP metodą naudoti. Klientas gali pasiūlyti savo metodą arba sutikti su pasiūlytu. Toliau vyksta autentifikacija ir serveris atsiunčia atsakymą ar klientas autentifikuotas. Jei autentifikacija sėkminga, autentifikatoriaus prievado būsena tampa „autorizuotas“ ir nebeblokuojamas bet koks srautas.
2.6 Bendrųjų autentifikacijos technologijų apžvalga
2.2 lentelėje pateikta bendrų standartinių autentifikacijai naudojamų technologijų analizė. Keletas (slaptažodžiai, elektroniniai sertifikatai) technologijų naudojamos bevieliuose tinkluose, o kitos – gali būti naudojamos papildomai. Taip pat autentifikacijai gali būti naudojamos ir kelios technologijos vienu metu.
2.2 lentelė. Autentifikacijos technologijų analizė
2.7 Autentifikavimo būdai ir jų pažeidžiamumai
Išanalizavus įvairius autentifikacijos metodus, galima palyginti ir įvertinti kiekvieno metodo pažeidžiamumus. 2.3 lentelėje pateikiama, kokios priemonėmis gali būti panaudotos neteisėto autentifikavimosi įvykdymui, esant įvairiems autentifikacijos metodams. Taip pat parodyta, kokie atitinkamų autentifikacijos metodų pažeidžiamumai ir kokio standarto tinkluose metodai naudojami. EAP protokolu pagrįsta autentifikacija laikoma saugia, todėl šie metodai nepateikiami.
2.3 lentelė. Priemonės neteisėto autentifikavimosi įvykdymui
2.4 lentelėje nurodyta, kokios atakos bevieliame tinkle apskritai įmanomos naudojant tam tikrus autentifikacijos metodus. Kai kurias atakas galima įvykdyti net bevieliame tinkle, kuriame naudojamas EAP autentifikacijos metodas.
2.4 lentelė. Atakos bevieliame tinkle
3. IŠVADOS IR INFORMACIJOS ŠALTINIAI
WEP senesnis tinklo saugos metodas, kuris raktu užšifruoja informaciją ir kompiuteris per tinklą siunčia kitam kompiuteriui. WEP technologijoje naudojami autentifikacijos būdai: atvira ir bendrojo rakto. Užtikrinti saugumą nesaugiuose WEP technologijas naudojančiuose bevieliuose tinkluose įmanoma pasitelkiant užšifruotus tuneliavimo protokolus (pavyzdžiui IPSec, Secure Shell), tačiau pakankamas saugumo lygis turėtų būti pasiekiamas pačiame bevieliame tinkle. WPA naudoja du autentifikavimo režimus: asmeninį (WPA/PSK, nenaudojamas autentifikacijos serveris) ir įmonės (EAP, naudojamas autentifikacijos serveris). Saugiausias autentifikacijos mechanizmas bevieliuose tinkluose – EAP protokolu pagrįstas metodas, o WEP algoritmo autentifikacija pažeidžiama dėl silpno slapto rakto.
Informacijos šaltiniai:
1. http://vddb.library.lt/fedora/get/LT-eLABa-0001:E.02~2011~D_20110901_140213-99282/DS.005.0.01.ETD, atvira ir bendrojo rakto autentifikacija, PSK metodas, EAP protokolas, žiūrėta 2015-04-21.
2. http://www.ifko.ktu.lt/~otas/Sauga/05_Bevieliai%20tinklai.ppt, bevielių tinklų istorija ir susipažinimas, Wardriving, žiūrėta 2015-04-21.
3. http://www.slk.lt/studentu-konferencijos/2010/articles/PDF/33_ITS_SLK_A.%20Narutavi cius.pdf, MAC filtravimas, WEP, WPA, RADIUS serveris, žiūrėta 2015-04-21.