lunes, 21 de abril de 2008

WiMax: Cinco Elementos Esenciales de la Seguridad WiMAX

Mejores Herramientas
La seguridad es un elemento clave a falta de mayores de los sistemas de acceso inalámbrico de banda ancha el pasado. El por qué es fácil de comprender --- cualquier red que transmite sus datos a través de señales inalámbricas en lugar de los cables es de por sí más abierto a la injerencia, de intrusión o asalto. Esto no significa sólido de banda ancha inalámbrica de seguridad es imposible, sólo mucho más difícil.

Afortunadamente, como las redes inalámbricas de banda ancha han madurado características de seguridad han mejorado. Incluso el juzgado-y verdadera-Wi-Fi y redes de propiedad ampliamente implementado han mejorado sus protocolos de seguridad.

Con la llegada de WiMAX, la seguridad toolsets a disposición de los proveedores de servicios inalámbricos de banda ancha han alcanzado todos los tiempos máximos de funcionalidad. Hoy las redes WiMAX se puede garantizar de manera más eficaz que nunca. Sin embargo, tan importante como la obtención de la red WiMAX es, existen consideraciones adicionales que deben evaluar los transportistas como parte de un fondo de seguridad de aplicación. De hecho hay cinco aspectos principales de WiMAX de seguridad que deben considerarse en el diseño de un plan de seguridad para su red WiMAX. Estos van desde técnicas de reducción en la capa física a la mejora de la autenticación inalámbrica de intrusos y el cifrado de datos y la protección de la seguridad del transporte.

En cada nivel, las opciones de la aplicación y los niveles de seguridad se pueden hacer, aunque en el caso de la capa física opciones son limitadas. Empecemos por examinar algunos de los ataques que se pueden suministrar junto con algunas de las herramientas que mayor WiMAX, en particular que ofrece WiMAX 802.16e.

Capa física de Seguridad

Hay dos tipos básicos de los ataques que pueden afectar a la capa física de WiMAX. Una de ellas es atascos, y el otro es de paquetes de codificación. La primera es relativamente sencilla, y es a veces el resultado de la interferencia en lugar de un ataque. Jamming consta de una señal más fuerte de la red WiMAX inmensa red de datos, ya sea en los canales o con intermitentes ráfagas sostenidas porteador olas.

Dado que la mayoría de los servicios de red WiMAX son provistos a través de las bandas con licencia (en la actualidad, 3,5 GHz y 2,5 GHz internacionalmente tanto a nivel internacional como en los EE.UU.), ofrece este espectro relativamente tranquila de la interferencia accidental. Accidental interferencias en el espectro con licencia no siempre pueden ser totalmente descontado ya que hay una posibilidad de que lo que se llama segunda y tercera olas interferencia armónica, por ejemplo, de mucho menor frecuencia de las señales, si ellos están en una estrecha proximidad a los sistemas de antenas o WiMAX, que opera con ellos Señal lo suficientemente cerca en la proximidad física a nivel local sobrecarga de la señal WiMAX. Armónicos son un entero función. Lo que esto significa es que una señal a 850 MHz, por ejemplo, tiene una segunda (y mucho más débil) armónica en dos veces esta frecuencia o 1700 MHz (que podría eventualmente algunos efectos potencialmente AWS espectro en este ejemplo) y un tercer armónico (más débiles Todavía) en 2550 MHz. En la práctica, esto es bastante raro.

También a veces, las fugas de otros equipos transportadores, ocasionalmente, se producen dentro de las salas de equipo en la torre. Estos por lo general puede ser detectada en la planificación de los barridos con un analizador de espectro antes de la instalación y filtros de supresión o filtro pasa banda de algún tipo sobre los equipos específicos pueden generalmente claras estas cuestiones rápidamente. Atascos constantes, ya sea dañino o no pueden por lo general se encuentran bastante rápido usando un analizador de espectro y antenas direccionales para triangular la señal. Intermitente atascos o interferencia puede ser más enloquecedor para encontrar la ubicación de, pero también es menos intrusiva a la red, por lo que en algunos paquetes de retransmisión y desaceleraciones, pero con menos frecuencia en los cortes de manta. Un buen análisis de espectro realizadas antes del despliegue y de esa forma intermitente (recién instalado para detectar las artes de pesca) pueden contribuir en gran medida a derrotar a este problema. En algún momento la mayoría de los proveedores de servicios WiMAX se enfrentará a algún tipo de interferencia o atascos problema.

Paquete de codificación es un ataque que se produce cuando los paquetes de control en los respectivos enlace ascendente y descendente subframes inhalados son codificados y luego regresado a la red. Este ataque es mucho más difícil de montar que un ataque atascos.

"Dado que la mayoría de las redes WiMAX hoy por división de tiempo de uso de la doble cara (TDD), en el que las señales son rodajas de tiempo a través de un atacante puede analizar este momento y la secuencia de captura de datos de control, en el preámbulo y de ruta, brega ellos y enviar de vuelta con el momento correcto para interrumpir legítimo Señal, lo que resulta en demoras y reduce el ancho de banda de manera efectiva ", dijo Andrew Useckas, principal funcionario de tecnología de NetSieben Technologies.

Y codificado paquetes interceptados son posibles con dúplex por división de frecuencia (FDD), y que transmite el enlace ascendente y descendente de manera simultánea, pero es aún más difícil de explotar este ataque que con los sistemas TDD.

Aunque pueda parecer la capa física es inherentemente más vulnerables como los elementos de seguridad de WiMAX se encuentran en las capas superiores, la realidad es a menudo los hackers pueden encontrar las frutas que cuelgan inferior, en términos de utilidad explota más alto en la pila, porque como WiMAX soporta múltiples selecciones en Lo que los proveedores de servicios pueden optar por aplicar en términos de autenticación, a veces puede ser la puerta abierta a la izquierda por las opciones escogidas.

Autenticación de las Transmisiones Inalámbricas

En el control de acceso a medios (MAC) WiMAX la capa de control o cabecera MAC parte de las transmisiones no está encriptado. Esto es deliberada, a fin de facilitar el trabajo de la capa MAC. No es miedo, esto no significa WiMAX es inseguro. Pero sí presentan algunas opciones para el transportista.

Tradicionalmente el primer nivel de seguridad de autenticación para las tecnologías inalámbricas de banda ancha de más edad ha sido MAC y autenticación WiMAX apoya esta, aunque esperamos proveedores no se conforme con este método. Esta técnica permite a los proveedores de servicios de registro permite direcciones MAC dispositivo y permitir sólo las direcciones para acceder a la red. Hackers hace mucho tiempo explicarte cómo estos falsos. Un segundo, más nuevo y mucho mejor elección es el construido en el dispositivo de apoyo a los certificados X.509. Por último el protocolo de autenticación extensible --- capa de seguridad de transporte (EAP-TLS) método, añadió con el estándar 802.16e, agrega una capa adicional de seguridad para la autenticación de la mezcla. Entonces, ¿qué significa esto en términos del mundo real? Es útil examinar algunos de la posible intrusión en este nivel para ilustrar mejor el valor de los sistemas de autenticación.

"Si una estación base no es suficiente con establecer las medidas de autenticación, un atacante puede capturar los paquetes de control y plantean como una forma legítima de abonado de más edad, incluso con dispositivo de autenticación MAC permitido", agregó Useckas.

Sin embargo, el certificado X.509 hace que sea muy difícil para un intruso a suplantar la identidad de un suscriptor. El certificado X.509 está integrado en las unidades de suscriptor y WiMAX incorpora un cifrado de clave pública de autenticación. Esto significa que una estación base WiMAX puede detectar legítimo suscriptor estaciones de forma rápida y sencilla. Lamentablemente, esta es una forma de protocolo.

"El protocolo X.509 es muy buena", dijo Useckas. "Sin embargo no hay manera de verificar si una estación de base es auténtica con el suscriptor lado X.509".

Useckas añadió que si un interloper trinquetes hasta el poder al margen de la ley en su estación base; captura los paquetes de control de una estación base de la transmisión legítima spoofs entonces el momento de la secuencia TDD señal de la unidad para el abonado que espera recibir, es muy posible secuestrar suscriptor de tráfico .

Introduzca la autenticación del método EAP-TLS. Esta técnica, añadió con el estándar 802.16e, permite que tanto el abonado y la estación base para autenticar mutuamente utilizando un método X.509 para ambos. Ya hablamos anteriormente de que el control de las cabeceras MAC nunca son cifrados en WiMAX, sin embargo con los transportistas pueden elegir EAP para la autenticación de ellos (pero no tienen por qué). Este enfoque se llama hashed código de autenticación de mensajes (HMAC) y usa una forma de clave privada cifrada.

"El hash agrega al final del mensaje en sí", dijo Useckas. "Cuando se reciben mensajes de la estación de base genera su propio hash para comparar a la que se recibió de los abonados utilizando su clave privada para comparar".

Esto añade una capa adicional de autenticación de confirmación. La desventaja de este Useckas se añade que todo esto requiere de ciclos de procesador. Así que un hacker astuto puede enviar miles de mensajes de HMAC adjunto obligando a la estación de base para ejecutar los ciclos de procesador --- comparándolas con eficacia resultante en un ataque de denegación de servicio.

Esto indica un dilema para los operadores inalámbricos de banda ancha WiMAX, es decir, que incluso positivo opciones de seguridad puede llevar consecuencias. Así, mientras WiMAX tiene mejores herramientas que nunca y apoya la gestión de cabecera de autenticación MAC bordo de la radio, las compañías pueden optar por trasladar algunos de los procesador de carga de la autenticación y cifrado de datos a la oficina central (CO), tal vez los servidores. Hablaremos de ello más en la siguiente sección.

Cifrado

Es evidente que la primera capa de defensa de los operadores WiMAX se basa en la autenticación de un usuario legítimo de su red. Sin embargo, WiMAX, con su ratificación 802.16e, ofrece herramientas para la línea superior de cifrado de los datos. Older inalámbrica iteraciones usado la encriptación de datos estándar (DES), que se basó en una clave de 56 bits para el cifrado. Esto se considera en gran parte obsoletos. WiMAX 802.16e ciertamente apoya DES (3DES), pero también añade soporte para el Advanced Encryption Standard (AES) que apoya, 128-bit, 192-bit o 256-bit claves de cifrado. AES también se reúne el Federal Information Processing Standard (FIPS) 140-2 especificación, exigidas por numerosas ramas gubernamentales. Esta tecnología exige que los procesadores dedicados a bordo de las estaciones de base es sólido y muy eficaz. Pero una vez más, la cuestión es que dependerá en gran medida de los transportistas a bordo de la transformación o el cambio de servidor de la base de soluciones de terceros (algunos de los cuales ofrecen autenticaciones EAP adicionales que se utilizan ampliamente en la empresa --- hacer la interfaz más fácil) que ofrecen más opciones en el cifrado . El primero es casi seguro que más barato; esta última puede ofrecer ventajas adicionales.

Premium de cámaras de seguridad 2

Por su parte, Useckas está firmemente en la tercera parte del campamento.

"Creo que es mejor para empujar el cifrado, ya sea a un servidor de seguridad del servidor de la estación base o la oficina central o lateral a un sistema operativo que depender de los sistemas de radio exclusivamente", afirmó Useckas.

WiMAX Corresponde a los transportistas a buscar en los diversos escenarios para sus necesidades de seguridad y poner un plan de migración en el lugar, si tal parece necesario, antes del despliegue comienza.

"En el pasado por ejemplo muchos celular se centraron en su mayoría hace caso omiso de autenticación y cifrado", dijo Useckas. "Ya sea que cambiará a medida que los proveedores de servicios móviles en pista hasta más aplicaciones de banda ancha es una cuestión abierta."

A través de este punto hemos estudiado en la capa física de WiMAX seguridad, así como las opciones de autenticación en la capa MAC y la línea superior adicionales AES de cifrado de datos que ahora apoya WiMAX. Vamos a examinar brevemente los dos últimos elementos de un bien considerado WiMAX solución de seguridad.

Participación de Terceros en la Protección Contra Intrusiones

En muchos aspectos, el examen de opciones de seguridad WiMAX es como pelar una cebolla. Casi parece como si una nueva capa se revela necesario o cada vez que profundizar en ella. Hemos estudiado las técnicas de capa física para mitigar problemas tales como atascos y corrompido paquetes. Se examinaron los sistemas de autenticación de WiMAX, que son un componente importante de una red segura. Y también habla de cifrado de datos (que se va a examinar más en el último segmento). WiMAX posee sólidas herramientas ya construido adentro

Sin embargo, existen consideraciones más allá de la simple buena seguridad que pueden conducir a una migración de terceros de detección de intrusos y herramientas de protección a saber --- elementos de negocio. Es, sin embargo, la protección de intrusiones, y no la protección de datos. Se trata de dos clases diferentes de solución. Sin duda una buena protección contra intrusiones de terceros pueden vigilar y asegurar una red de autenticación. Sin embargo, muchas de las soluciones también ofrecen protección gusano, caballo de Troya de protección, las defensas contra los virus, exploits puerta trasera y ataques de denegación de servicio por nombrar algunos. Algunos de estos elementos son casi un negocio necesidad de un proveedor de servicio inalámbrico y puede justificar el costo de una suite de seguridad adicionales inicialmente. Para otras empresas, una estrategia de migración para mejorar las herramientas de hace más rentable sentido.

Un buen sitio para empezar es el examen de los mercados de servicios y escenarios. Si su base de clientes es muy sensible a la integridad de los datos (sector financiero hospital o clientes) de terceros sistemas de prevención de intrusos pueden ayudar a los clientes del segmento de los demás mejor, así como garantizar su ataque desde el exterior.

O en otro ejemplo, de redes de telefonía móvil que sólo ofrece acceso a internet y voz podría derogar la responsabilidad de cifrado de datos y de relé de iniciación protocolo período de sesiones (SIP) para la señalización de VoIP y WiMAX su nativa herramientas de autenticación.

Este es sólo un par de escenarios con necesidades limitadas de cifrado de datos. Pero, ¿y si su modelo de negocio, exige más?

Participación de Terceros en el Transporte de Datos de Seguridad

AES apoya claramente un sistema de cifrado de datos, WiMAX ofrece excelente seguridad en este sentido. Sin embargo, otras soluciones que satisfacen las necesidades de los clientes, tales como redes privadas virtuales requieren enfoques diferentes. Y Useckas por su parte cree que los datos y la autenticación de seguridad en el transporte a terceros, las herramientas pueden ser mucho más fácil darse cuenta de que la mayoría y transmitir una gran cantidad de ventajas.

"Si la fuerza de todos para instalar una pequeña pieza de software de cliente puede hacer cumplir EAP autenticación basada en toda su red, por ejemplo", explicó Useckas. "Esto también permite una IPSec AES basado en la solución de cifrado de datos que soporta un túnel y encapsulación de los datos."

Useckas añadió que estas técnicas es probable que cada vez es más importante para los clientes de empresa cuyos empleados viajan con ordenadores portátiles que necesitan para tener acceso a bases de datos altamente sensibles a través de productos de VPN.
Por Tim Sanders, Presidente de TheFinalMile Inc.