Segurança em redes de comunicações de área local não-cabladas IEEE 802.11

Mestrado em Engenharia Electrónica e TelecomunicaçõesAs redes de comunicações de área local não-cabladas tornaram-se nos últimos anos bastante populares, sendo a sua utilização hoje em dia comum tanto em redes privadas como públicas. A mobilidade que é permitida aos utilizadores e a simplicidade de implementação são os principais factores que contribuíram para a sua massificação. No entanto, existem problemas de segurança inerentes à utilização das redes não-cabladas. Alguns destes riscos são similares aos encontrados nas redes cabladas convencionais; outros advém do carácter não-guiado do meio de transmissão. Os ataques à autenticação e os ataques de negação de serviço são os principais riscos de segurança associados às redes de comunicações não-cabladas. Esta dissertação aborda os aspectos de segurança das redes de comunicações de área local não-cabladas IEEE 802.11. Inicialmente faz-se uma introdução à problemática da segurança em redes de comunicações e descreve-se a norma IEEE 802.11, nomeadamente as diferentes camadas físicas e a sub-camada de controle de acesso ao meio. De seguida são estudados em detalhe os mecanismos de segurança incluídos nesta norma. Esta análise incluiu a validação em laboratório das várias vulnerabilidades conhecidas ao nível dos mecanismos de autenticação, confidencialidade e integridade das mensagens. São depois estudadas as tecnologias actualmente disponíveis para minimizar ou eliminar estas vulnerabilidades, nomeadamente os protocolos IEEE 802.1x e EAP (Extensible Authentication Protocol) para o processo de autenticação e o TKIP (Temporal Key Integrity Protocol) para o processo de confidencialidade, que em conjunto são conhecidos como especificação WPA (Wi-Fi Protected Access). O processo de autenticação foi também alvo de uma análise experimental. Finalmente são abordadas as tecnologias futuras actualmente em desenvolvimento por parte do grupo de trabalho IEEE 802.11i, para a implementação de segurança nas redes de comunicações não-cabladas IEEE 802.11. ABSTRACT: The wireless networks became, in the last years, very popular, being their utilization, nowadays, usual in the private and public areas. The mobility that is allowed to the user and the simplicity of implementation are the main factors that contributed to their massification. However, there are security problems related to the utilization of the wireless networks. Some of these risks are similar to those found in the conventional networks; others come from the widespread propagation of the radio waves. The attacks to the authentication and denial of service are the main problems of security related to the wireless networks. This dissertation refers to the security aspects of the IEEE 802.11 wireless networks. Initially, it is made an introduction to the problematic of security in the wireless networks and the standard IEEE 802.11 is described, namely the different physical layers and the sub-layer of medium access control. Then, the security mechanisms, included in this standard, are studied in detail. This analysis includes the validation, in laboratory, of the widely known vulnerabilities at the level of authentication mechanisms, confidentiality and integrity of the messages. The technologies, nowadays available to minimize and to remove these vulnerabilities, are then studied, more specifically, the protocols IEEE 802.1x and EAP (Extensible Authentication Protocol), to the authentication process, and TKIP (Temporal Key Integrity Protocol), to the confidentiality process, that are together known as WPA (Wi-Fi Protected Access) specification. Finally, the future technologies, now in development by group work IEEE 802. 11i, for the implementation of security in the IEEE 802.11 wireless networks are mentioned

Resilient authentication service

Tese de mestrado em Engenharia Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2013A grande maioria dos sistemas online depende dos serviços básicos de autenticação e autorização. Estes são responsáveis por prover os recursos necessários para evitar acessos indevidos ou não autorizados a aplicações, dados ou redes. Para aceder aos recursos por norma os utilizadores usam um nome de utilizador e uma prova, que geralmente é uma senha, ou seja, uma informação teoricamente conhecida unicamente pelo respectivo utilizador. Nos últimos anos o uso de redes sem fios sofreu um grande aumento. A maioria destes serviços necessita de algum tipo de autenticação e mecanismos de autorização para dar ou não o acesso ao serviço e verificar os direitos e permissões dos utilizadores. Para isso o utilizador tem de se autenticar perante o serviço. É comum os utilizadores terem um par de nome de utilizador/palavra chave para cada serviço que usam. Isso traz problemas de gestão tanto para os utilizadores, que têm de memorizar as suas credenciais, como para os administradores, que têm de gerir um grande número de utilizadores. O utilizador não só tem de memorizar as credenciais para os serviços que usa como também passa a ter várias identidades, uma vez que identidades não são partilhadas entre serviços. Para resolver o problema de múltiplas identidades apareceu o modelo de identidade federada. As contas de utilizadores são agregadas num único provedor de identidade, a escolha de cada utilizador. Assim os utilizadores têm os seus dados num só local em que eles confiam e só tem de memorizar uma credencial. Isso permite usar as suas credenciais para acesso a vários serviços. Como exemplo podemos dar a rede sem fios eduroam. Esta dissertação vai se focar nos serviços de autenticação para redes sem fios com grande número de utilizadores. Com as identidades federadas os utilizadores podem aceder aos serviços de rede usando as suas credenciais a partir de qualquer local. No caso de serviço eduroam, um utilizador tendo credencias de uma instituição de ensino pode deslocar-se a outra instituição da federação em qualquer parte do mundo e ter acesso a rede usando as credenciais da sua instituição. Para isso os pontos de acesso usam um servidor de autenticação AAA (autenticação, autorização e responsabilidade), que no caso de eduroam é RADIUS. AAA é uma arquitectura que permite uso de protocolos de autenticação dos utilizadores nas redes de grande porte e é baseada em três componentes base, suplicante, NAS (e.g., router Wi-Fi) e o servidor de autenticação. Quando suplicante quer aceder a rede, ele manda as suas credenciais ao NAS e este usa o servidor de autenticação para validá-las. Ao longo da existência de arquitectura AAA foi dado mais enfase à segurança dos protocolos de autenticação do que a resiliência das componentes, tais como o NAS e o servidor de autenticação. No caso de falha do NAS o suplicante pode escolher outro e voltar tentar autenticar. Se o servidor de autenticação falhar, sofrer um ataque ou mesmo uma intrusão o atacante consegue negar acesso a rede aos utilizadores legítimos, ou roubar as credenciais dos mesmos e fazer um ataque à rede. No caso de uma federação, em que os utilizadores usam uma credencial para aceder a vários serviços, esse problema torna-se ainda mais grave, visto que o atacante consegue atacar não só um servidor de autenticação como toda a federação e os serviços prestados na rede da mesma. O grande objectivo desta dissertação é desenvolver um servidor de autenticação para redes sem fios resiliente, tolerante a faltas e as intrusões. Para cumprir estes objectivos foi escolhido o protocolo RADIUS devido a seu alargado uso (e.g., eduroam, provedores de Internet) e a sua simplicidade. As garantias de tolerância a faltas e a intrusões foram conseguidas através do uso de replicação activa, com máquinas de estados em conjunto com uma componente segura. A replicação de um serviço, por norma, obriga a uma mudança de cliente, neste caso seria o NAS, de modo a suportar a replicação. Durante o desenho de arquitectura teve-se o cuidado de evitar a mudança nas componentes mais próximas do suplicante, de modo a possibilitar a integração de novo serviço resiliente nas redes actuais. O protocolo RADIUS suporta, na sua definição base, mecanismos de autenticação fracos baseados em nome de utilizador/password, porque foi projectado para redes com fios. Em redes sem fios, geralmente é mais fácil escutar a comunicação e, assim, roubar credenciais dos utilizadores. A solução para este problema foi a adição de suporte de métodos de autenticação EAP (Extensible Authentication Protocol). Com a utilização de EAP, podemos adicionar métodos de autenticação fortes a fim de conseguir as propriedades de segurança durante a autenticação. A principal razão para usar EAP é eliminar a necessidade de mudar os componentes intermédios da rede, tais como NAS. Precisamos mudar apenas o suplicante e o servidor de autenticação. Os pacotes EAP são transportados através dos componentes de rede do suplicante para o servidor de autenticação através de, por exemplo, o protocolo 802.1X entre suplicante e NAS e RADIUS entre NAS e servidor de autenticação. O método de autenticação EAP escolhido foi EAP-TLS visto que é um padrão aberto e um dos mais robustos protocolos de autenticação. Permite uma autenticação fim-afim e a geração de chaves simétricas entre o suplicante e o servidor de autenticação de forma secreta. Apesar de ser um sistema de autenticação forte existe uma dificuldade em distribuição de credenciais. Ao contrário das credenciais baseadas em nome de utilizador/palavra chave, este método necessita de geração de um certificado para cada servidor de autenticação e para cada utilizador do sistema. O sistema desenhado e desenvolvido é composto por quatro componentes: suplicante (pede acesso a rede), NAS (no nosso caso é um router de rede sem fios), gateway (elimina a necessidade de alterarmos os clientes RADIUS existentes e funciona como cliente do nosso servidor de autenticação replicado) e servidor de autenticação RADIUS replicado (um serviço replicado tolerante a faltas bizantina e a intrusões). Para implementação do servidor de autenticação replicado e do seu cliente (gateway) foi usada biblioteca de replicação BFT-SMaRt. Cada servidor de autenticação tem a sua componente segura, que providencia a tolerância a intrusão escondendo os dados sensíveis do servidor, tais como seu certificado e chaves partilhadas com o NAS. Se o servidor necessitar de usar esses dados a componente segura providencia um interface que permite o servidor executar todas as operações necessárias que envolvem esses dados. Para validar o desempenho do sistema foram feitos vários testes de latência e de débito comparando o protótipo concretizado a uma implementação bastante popular de FreeRADIUS. Notaram-se algumas diferenças em termos de desempenho de serviço de RADIUS replicado em relação ao FreeRADIUS. Os testes mostraram que o RADIUS replicado tem uma latência superior e o débito inferior ou de FreeRADIUS. Isso deve-se, em especial, pelo facto do primeiro ser um sistema replicado e necessitar uma maior troca de mensagens devido aos protocolos BFT e replicação de máquina de estados. Apesar do RADIUS replicado ser um sistema replicado, consegue mostrar uma latência razoável e aceitável em ambientes de redes locais.The increasing use of the wireless networks in the last years has created the demand for authentication and authorization for these networks. The basic model usually requires a user, to access the network, authenticate itself before the authentication server using its credentials. Authentication and authorization in networks with the large number of users is usually achieved using the WPA-Enterprise mode. WPA-Enterprise allows the use of the external authentication server to validate user credentials and determinate his rights. Most common and widely used protocol for WPA-Enterprise is RADIUS, which follows AAA architecture. Normally RADIUS servers are running in a single machine and in a single process. If RADIUS server stops users are unable to authenticate and access the network. To solve this problem, most RADIUS servers are replicated for redundancy and load management. AAA architecture and RADIUS protocol fail completely in case of server Byzantine behavior, i.e., if a failure makes the system present arbitrary behavior. In case of intrusion on authentication server, the attacker is able to access user credentials and other sensible data, such as server certificates. The major focus of this work is to develop a resilient, fault- and intrusion-tolerant authentication server for WPA-Enterprise wireless networks, without changing existent systems. To meet these objectives we implemented a replicated RADIUS-compliant protocol, which uses EAP-TLS as its authentication method. Fault and intrusion tolerance is ensured using state machine replication, together with a tamper-proof component used for storing cryptographic keys related with user credentials. The service was evaluated and compared with a popular non-fault-tolerant solution, which is used in the eduroam network, FreeRADIUS. Initial results demonstrate the applicability of the proposed solution

Seminario taller de Seguridad en Redes Inalámbricas dirigido a estudiantes de Licenciatura en Informática con énfasis en Computación Gerencial de la Universidad Americana

Objetivo General - Explorar tanto conceptualmente como en la práctica las tecnologías inalámbricas 802.11x y sus mecanismos de seguridad. Objetivos Específicos < Estudiar los conceptos que fundamentan la comunicación inalámbrica a través de los protocolos 802.11x. < Profundizar en el funcionamiento de las técnicas de seguridad de las redes 802.11x. < Implementar una red inalámbrica utilizando los protocolos 802.11x. < Configurar mecanismos de segundad para proteger las redes inalámbricas 802.11x < Utilizar herramientas de análisis de la seguridad en redes inalámbricas 802.11

Satellite Networks: Architectures, Applications, and Technologies

Since global satellite networks are moving to the forefront in enhancing the national and global information infrastructures due to communication satellites' unique networking characteristics, a workshop was organized to assess the progress made to date and chart the future. This workshop provided the forum to assess the current state-of-the-art, identify key issues, and highlight the emerging trends in the next-generation architectures, data protocol development, communication interoperability, and applications. Presentations on overview, state-of-the-art in research, development, deployment and applications and future trends on satellite networks are assembled

Um modelo de segurança de redes para ambientes cooperativos

Orientador : Paulo Licio de GeusDissertação (mestrado) - Universidade Estadual de Campinas, Instituto de ComputaçãoResumo: A principal característica de um ambiente cooperativo é a complexidade das conexões lógicas. Isso traz como conseqüência uma série de implicações de segurança. Diferentes níveis de acesso são agora utilizados para recursos, antes disponíveis apenas internamente, a partir de múltiplas e heterogêneas conexões. Isso faz com que a abordagem clássica dos firewalls, de criar uma separação entre a rede da organização e a rede pública, já não baste. Diversos conceitos e tecnologias têm que ser utilizados para que a segurança seja provida em ambientes cooperativos. Mais do que isso, um modelo de segurança também é necessário. Assim, este trabalho tem como objetivo apresentar tais conceitos e tecnologias de segurança, e propor um modelo para que eles possam proteger de fato um ambiente cooperativo. Política de segurança,firewalls, sistemas de detecção de intrusões, redes privadas virtuais, infra-estrutura de chaves públicas e autenticação são os tópicos abordados neste trabalho. O modelo de segurança proposto é formado por três elementos: i) o firewall cooperativo, que sugere uma arquitetura de segurança para a integração das diferentes tecnologias e conceitos; ii) um modo de minimizar os problemas resultantes da complexidade das regras de filtragem e iii) um modelo de cinco níveis hierárquicos de defesa, que visa facilitar a compreensão dos problemas de segurança existentes, e assim minimizar as possibilidades de erros na definição da estratégia de defesa da organizaçãoAbstract: The main charaeteristic of a cooperative environment is the complexity of logical connections. This brings about a series of security implications. Different access levels are now used for resources, previously available only internally, from multiple and heterogeneous connections. This makes the classical approach to firewalls, that of creating a division between the organization's and the public networks, no longer enough for the task. Diverse conecpts and technologies need to be employed to provide security to cooperative environments. More than that, a security model is also needed. As such, this work has as its main goal to present such security concepts and teehnologies and to propose a framework 50 that they may in fact protect a cooperative environment. Security poliey, firewalls, intrusion detection systems, virtual private networks, public key infrastructure and authentication are the topies discussed in this work. The security model proposed is made of three e!ements: í) the cooperative firewall, which suggests a security architecture for the integration of different concepts and technologies; ii) a way of minimizing the problems resulting from the complexity of filtering rules and iii) a 5-leveI hierarchical defense model, which intends to case the understanding of existing security problems, so that the process of defining the organization's defense strategy is made less error-proneMestradoMestre em Ciência da Computaçã

Autenticação de redes Wi-Fi recorrendo ao DNSSEC

Tese de mestrado integrado. Engenharia Electrotécnica e de Computadores (Major Telecomunicações). Faculdade de Engenharia. Universidade do Porto. 200

CONECTAREA ÎNTREPRINDERII LA MEDIUL PRODUCTIV MODERN

Managementul, marketingul, calitatea resurselor de intrare, sistemul informatic si cel informational pot fi perfectionate însa viitorul performant al productiei este asigurat de transformarile (schimbarile) tehnologice, a caror infuzie modifica parametrii finali ai modelului productiv-economic. Mediul exterior întreprinderii poate fi a) stabil (evolutii „linistite”, adaptabilitate facila, b) instabil (cu frecvente modificari în componentele sale sau c) turbulent (ostil întreprinderii).mediul productiv modern; modelul productiv-economic

References, Appendices & All Parts Merged

Includes: Appendix MA: Selected Mathematical Formulas; Appendix CA: Selected Physical Constants; References; EGP merged file (all parts, appendices, and references)https://commons.library.stonybrook.edu/egp/1007/thumbnail.jp