A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Um Mecanismo de Proteção de Quadros de Controle para Redes IEEE

PublicouBruno Maciel Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Um Mecanismo de Proteção de Quadros de Controle para Redes IEEE"— Transcrição da apresentação:

1 Um Mecanismo de Proteção de Quadros de Controle para Redes IEEE 802.11
Marcos Corrêa Orientador: Paulo Gonçalves 1 1 1

2 SUMÁRIO Introdução Trabalhos Relacionados e Refinamento do Objetivo
Motivação e Problemas Abordados Quadros de Controle e Ataques Objetivo Trabalhos Relacionados e Refinamento do Objetivo Mecanismo Proposto Avaliação do Mecanismo Conclusões 2 2 2

3 INTRODUÇÃO Importância das Redes Sem Fio IEEE 802.11
Padronização do IEEE Segurança 3 3 3

4 MOTIVAÇÃO Redes IEEE 802.11 (ou Wi-Fi)
Cada vez mais utilizadas Necessidade de se prover alto grau de segurança Evolução frequente dos mecanismos de segurança que atuam na camada enlace Descoberta recorrente de vulnerabilidades Uso malicioso dos diferentes tipos de quadros 4 4 4

5 MOTIVAÇÃO O padrão IEEE 802.11 define três tipos de quadros
Quadros de Dados Segurança: WEP, WPA, WPA2 ou IEEE i Quadros de Gerenciamento Segurança: IEEE w Quadros de Controle Segurança: não existe padrão IEEE (nem grupo de trabalho formado) 5 5 5

6 PROBLEMAS ABORDADOS Quadros de Controle não possuem uma norma IEEE que padronize mecanismos de segurança Quadros de controle podem ser usados em diversos ataques de negação de serviço (DoS) 6 6 6

7 QUADROS DE CONTROLE Quadros de controle são usados para:
Auxiliar no envio dos quadros de dados Gerenciar o acesso ao meio sem fio Fornecer funções que garantam a confiabilidade na camada MAC 7 7 7

8 QUADROS DE CONTROLE E ATAQUES
Há 8 tipos de quadros RTS (Request To Send) / CTS (Clear To Send) Ataque de replay Ataque de injeção de RTS/CTS falsificado Manipulação do campo Duração ACK (Acknowledgement) Ataques de injeção de ACK falsificado Confirmação de dados que não foram efetivamente recebidos 8 8 8

9 QUADROS DE CONTROLE E ATAQUES
Há 8 tipos de quadros (cont.) PS-Poll (Power Save Poll) Roubo de Identidade Descarte de informações no AP destinadas à estação que não está pronta para recebê-las CF-End (Contention Free End) e CF-End+CF- Ack (CF-End+Contention Free Ack) Manipulação do campo Duração 9 9 9

10 QUADROS DE CONTROLE E ATAQUES
Há 8 tipos de quadros (cont.) BAR (Block Ack Request) / BA (Block Ack) Manipulação de números de sequência em quadros BAR Descarte de informações Negação de Serviço por 10 segundos 10 10 10

11 OBJETIVO Propor mecanismo de segurança para a proteção dos quadros de controle de redes IEEE Deverá somar-se ao IEEE i e ao IEEE w Autenticação de todos os quadros de controle Quadros de controle forjados Quadros de controle maliciosamente repetidos (replay) 11 11 11

12 TRABALHOS RELACIONADOS
Bellardo e Savage (2003) Denial-of-Service Attacks: Real Vulnerabilities and Practical Solutions Limitação do valor máximo do campo duração Observação da sequência de transmissões após um RTS 12 12 12

13 TRABALHOS RELACIONADOS
Qureshi et al. (2007). A Solution to Spoofed PS-Poll Based Denial of Service Attacks in IEEE WLANs Colocar um valor pseudoaleatório no campo Association ID 13 13 13

14 TRABALHOS RELACIONADOS
Ray e Starobinski (2007). On False Blocking in RTS/CTS- Based Multihop Wireless Networks Criação de quadros de controle auxiliares para validar um quadro RTS Aumento dos intervalos de backoff Validação do RTS 14 14 14

15 TRABALHOS RELACIONADOS
Khan e Hasan (2008). Pseudo random number based authentication to counter denial of service attacks on Autenticação baseada em números pseudoaleatórios de 16 bits 15 15 15

16 TRABALHOS RELACIONADOS
Rachedi e Benslimane (2009). Impacts and Solutions of Control Packets Vulnerabilities with IEEE MAC Adicionar o endereço do transmissor nos quadros ACK e CTS Enviar um hash criptográfico do quadro de dados junto ao ACK Proteger ACK, CTS e RTS com um elemento EHMAC que pode ter entre 10 e 20 bytes 16 16 16

17 TRABALHOS RELACIONADOS
Myneni e Huang (2010). IEEE Wireless LAN Control Frame Protection Código de autenticação de mensagem (MAC) usando o HMAC-SHA-1 (160 bits) Uso de um número de sequência de 32 bits 17 17 17

18 REFINAMENTO DO OBJETIVO
Proteger todos os quadros de controle contra ataques que levariam à negação de serviços Autenticação do quadro e proteção contra ataques de replay Melhorias em relação ao trabalho [Myneni e Huang 2010], ser mais abrangente e com proposta mais segura Prover maior grau de segurança Introduzir menor overhead Fazer uso apenas de mecanismos e chaves de segurança existentes no WPA2 ou IEEE i Explicar durante a apresentação como o atacante pode conhecer a PSK: ser usuário da rede ou fazer um ataque de dicionário. Dizer que mais detalhes serão apresentado mais a frente ... 18 18 18

19 O MECANISMO PROPOSTO Novos quadros de controle
Estes novos quadros de controle são versões seguras dos originais e permitem verificar: autenticidade integridade 19 19 19

20 O MECANISMO PROPOSTO Uso de um número de sequência (NS) e da geração de código de autenticação de mensagem (MAC) para proteger os quadros de controle Ex.: 20 20 20

21 O MECANISMO PROPOSTO Algoritmo Processo de geração do campo MAC 21 21

22 SEGURANÇA DO MECANISMO
PROPOSTO Está intimamente ligada à segurança do WPA2 Utiliza as chaves de grupo (GTK) Utiliza como algoritmo o CBC-MAC com AES que apresenta propriedades de segurança suficientemente adequadas [Rogaway 2011] 22 22 22

23 SEGURANÇA DO MECANISMO
PROPOSTO A chave utilizada no AES tem 128 bits, para um ataque de força bruta a complexidade é O(2128) O ataque mais rápido de recuperação de chave foi proposto em 2011 [Bogdanov et al. 2011] e tem complexidade O(2126,1) O emprego do CBC-MAC como está sendo feito pode trabalhar com mensagens de comprimento de 0 a infinito que continua sendo seguro [Rogaway 2011] 23 23 23

24 RESUMO COMPARATIVO DA PROTEÇÃO
Quais os quadros são protegidos? 24 24 24

25 AVALIAÇÃO DO MECANISMO
Qual o overhead da proposta? 25 25 25

26 AVALIAÇÃO DO MECANISMO
Estudo de Caso Impacto no tráfego global de uma rede sem fio 26 26 26

27 AVALIAÇÃO DO MECANISMO
Estudo de Caso (continuação) Como o overhead por quadro se traduz em uma rede em produção? 27 27 27

28 CONCLUSÕES O Mecanismo Proposto introduz menor overhead do que os trabalhos relacionados que oferecem segurança similar, fornece um grau de segurança maior Compatível com dispositivos que suportam o WPA2 IEEE i (WPA2), acrescido ou não da emenda IEEE w Necessita atualização de software Utiliza componentes já disponíveis em hardware que suporta WPA2 28 28 28

29 CONCLUSÕES Um mecanismo que não possua uma forma de conter ataques de replay se torna muito limitado O uso de chaves de grupo (GTK) geradas durante o 4-Way handshake é seguro e não tem custo adicional Esta dissertação gerou uma publicação no XI SBSEG promovido pela SBC em novembro de 2011 29 29 29

30 OBRIGADO Marcos Corrêa (maccj@cin.ufpe.br)
Orientador: Paulo Gonçalves 30 30 30

31 CCMP 31 31 31

32 MECANISMO PROPOSTO 32 32 32

33 GERADO ATRAVÉS DO IPERF
REDE COM TRÁFEGO GERADO ATRAVÉS DO IPERF 33 33 33

34 GERADO ATRAVÉS DO IPERF
REDE COM TRÁFEGO GERADO ATRAVÉS DO IPERF 34 34 34

35 QUADROS DE CONTROLE 35 35 35

36 QUADROS DE CONTROLE 36 36 36

37 QUADROS DE CONTROLE 37 37 37

Carregar ppt "Um Mecanismo de Proteção de Quadros de Controle para Redes IEEE"

Apresentações semelhantes

UDP – Modelo de camadas. Cabeçalho UDP Protocolo UDP – Camada 4 Características: - Protocolo de camada 4 – - Não existe estabelecimento de conexão –

UDP – Modelo de camadas. Cabeçalho UDP Protocolo UDP – Camada 4 Características: - Protocolo de camada 4 – - Não existe estabelecimento de conexão –
Criptografia Assimétrica

Criptografia Assimétrica
Wi-Fi – IEEE 802.11 Curso de Rede de Computadores WI-FI Prof. Rafael Sales.

Wi-Fi – IEEE Curso de Rede de Computadores WI-FI Prof. Rafael Sales.
WiFi Daniel Filippi Gustavo Rodrigues Kassyus de Souza Rafael Fares

WiFi Daniel Filippi Gustavo Rodrigues Kassyus de Souza Rafael Fares
SEGURANÇA EM REDES WIRELESS

SEGURANÇA EM REDES WIRELESS
1 Segurança em Redes de Computadores Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro Redes de Computadores.

1 Segurança em Redes de Computadores Referência: Slides extraídos do material dos professores Jim Kurose e Keith Ross relativos ao livro Redes de Computadores.
IEEE Wireless LAN wireless LANs: rede sem fio (frequentemente móvel)

IEEE Wireless LAN wireless LANs: rede sem fio (frequentemente móvel)
Comunicação sem Fio WLAN (802.11)

Comunicação sem Fio WLAN (802.11)
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Vunerabilidades Wep Vunerabilidades Wep e no WPA Wep Wpa

Vunerabilidades Wep Vunerabilidades Wep e no WPA Wep Wpa
Endereçamento de hardware e identificação de quadros

Endereçamento de hardware e identificação de quadros
Criptografia e Segurança em redes capitulo 11.

Criptografia e Segurança em redes capitulo 11.
Criptografia e segurança de Redes Capítulo 12

Criptografia e segurança de Redes Capítulo 12
Criptografia e Segurança em redes capítulo 11

Criptografia e Segurança em redes capítulo 11
Criptográfia e segurança na rede Capitulo 12

Criptográfia e segurança na rede Capitulo 12
Modelos Fundamentais -> Segurança

Modelos Fundamentais -> Segurança
Grupo: Carlos Otávio Luís Amaral Rui

Grupo: Carlos Otávio Luís Amaral Rui
Modelo de Referência OSI

Modelo de Referência OSI
Camada de Enlace Redes de Computadores.

Camada de Enlace Redes de Computadores.

Apresentações semelhantes

Anúncios Google