Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
Kommunikation  E-Mail & .... Übertragungskanäle Kommunikatioskrieg Internationale Verbindungen Lösungen Technik N e t z e Militär
Kommuni-kationsreport

Guide to Security for WiMAX Technologies (Draft)
-Original -
Leitfaden zur Sicherheit für WiMAX-Technologien (Entwurf)
Kommunikatiosreport
-deutsch-
Seite 1
Seite 2
Seite 3
Seite 4
Seite 5
Seite 6
Seite 7
Seite 8
Seite 9
Seite 10
Seite 11
Seite 12
...
...
>>> 11 >>>

Leitfaden zur Sicherheit für WiMAX-Technologien (Entwurf)

4-9
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)
Tabelle 4-1. Sicherheitslücken, Bedrohungen und Gegenmaßnahmen Zusammenfassung
Sicherheitserwägungen oder Vulnerability
Threat Diskussion
Gegenmaßnahmen
IEEE 802.16-2004 Basierend WiMAX-Systeme
Einseitige Authentifizierung der SS von BS
SSs haben keine Methode zur Überprüfung der Identität der BSS. Dies lässt SSs anfällig für Angriffe durch Fälschung ein Schelm BS. Dies kann zu Leistungseinbußen, Datendiebstahl oder DoS-Attacken führen. Darüber hinaus lässt diese Authentifizierung Schema ein System anfällig für Angriffe MITM.
Force Kommunikation erfolgt über eine VPN-Verschlüsselung oder Overlay, dass die Geräte / Nutzer außerhalb der WiMAX systemeigenen Steuerelementen authentifiziert nehmen.
DES-CBC Schwäche
DES-CBC-Algorithmus ist ein schwacher, dass nicht sichergestellt werden kann Vertraulichkeit von Daten. Mit DES-CBC kann zu unbefugte Weitergabe von Informationen. Bedrohungen können DoS, Abhören und MITM-Angriffe.
Implementieren FIPS-Verschlüsselung Overlay oder VPN validiert.
Zwischenruf von wiederverwendeten TEK
Die kurzen 2-Bit-Kennung TEK Wraps auf jeden vierten Re-Key Null. Dies ermöglicht Gegner abgelaufen TEKS Wiederverwendung und Replay-Angriffe ausführen, die zu unbefugte Weitergabe von Informationen und Kompromisse der TEK.
Implementieren FIPS-Verschlüsselung Overlay oder VPN validiert.
Alle WiMAX-Systeme
Unverschlüsselte Management Messages
BSS und SS / MS kommunizieren über unverschlüsselte Verwaltung von Nachrichten an Netzwerk wünschen, Knoten Registrierung Bandbreitenzuweisung zu erleichtern, und hin. Diese Nachrichten werden nicht verschlüsselt. Überprüfungen der Integrität werden zugesetzt, um Nachrichten zu Unicast-Replay-Attacken, aber nicht Unicast-Nachrichten noch offen WiMAX-Systeme für DoS-Bedrohungen zu verhindern. Die unverschlüsselte Management-Nachrichten unterliegen Abhören, Replay-Attacken, kraxeln, und subtile Manipulation bei erniedrigenden Dienst ab. Wenn ein System nicht nutzt AES-CCM, sie eröffnet auch die Möglichkeit einer MITM-Angriff.
Es gibt keine Bedrohung Schadensbegrenzung für unverschlüsselte Management-Nachrichten. AES-CCM sollte verwendet, um einen Angriff MITM von dem Auftreten zu verhindern. Die Auswirkungen von Management-Nachricht Ausbeutung ist die Exposition von Knoten Registrierung Informationen und verschiedene DoS-Attacken. Es wird empfohlen, dass Organisationen für Plan eine Out-of-Band-Methode der Kommunikation im Falle eines DoS-Angriffs. Zumindest sollten organisatorische SOPs sind Incident-Response-Pläne im Falle eines DoS-Angriffs.
4-10
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)
Sicherheitserwägungen oder Anfälligkeiten Diskussion Gegenmaßnahmen
Mangelnde Native FIPS-validierte Lösungen
Ab Mitte 2009 hatten die meisten WiMAX-Anbietern noch nicht die FIPS-Validierung abgeschlossen. Dadurch wird verhindert, Bundesbehörden, sich auf einheimische WiMAX Sicherheit bis Herstellern die Validierung abzuschließen. Communications Vertraulichkeit sich ausschließlich auf nicht validierten native WiMAX Sicherheit kann Verschlüsselung Umsetzung Schwächen, die unbefugte Weitergabe von Informationen führen könnten. Bedrohungen können Lauschangriffe, MITM, und DoS-Attacken.
Implementieren FIPS-Verschlüsselung Overlay oder VPN validiert.
Verwenden von Wireless als Kommunikationsmedium
DoS-Angriff kann durch die Einführung eines leistungsfähigen HF-Quelle soll System Funkfrequenzen überwältigen ausgeführt werden.
Suchen und entfernen Sie die Quelle von HF-Störungen. Dies kann wegen der großen Versorgungsgebiete WMANs Herausforderung sein. Es wird empfohlen, dass Organisationen für Plan eine Out-of-Band-Methode der Kommunikation im Falle eines DoS-Angriffs.
4-11
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)
Anhang A-Glossar
Ausgewählte Begriffe im Leitfaden verwendet werden nachfolgend erläutert.
Authentifizierung: Für die Zwecke dieses Leitfadens, behauptete der Prozess der Überprüfung der Identität durch ein WiMAX-Gerät. Benutzer-Authentifizierung ist auch eine Option von IEEE 802.16e-2005 unterstützt.
Autorisierung: Der Prozess, der stattfindet, nachdem die Authentifizierung abgeschlossen ist, um festzustellen, welche Ressourcen / Dienste zur Verfügung zu einem WiMAX-Gerät sind.
Authorization Key (AK): Ein Schlüssel zwischen der Basisstation und Teilnehmerstation / mobile Station ausgetauscht, um einander vor der Verschlüsselung des Datenverkehrs Schlüssel (TEK) zu authentifizieren.
Autorisierte Daten Security Association (SA): Eine Liste bereitgestellt, um die SS / MS von der Basisstation. Die genehmigten Daten SA Liste zeigt die Datenverschlüsselung SAs der SS / MS Zugang zugelassen ist.
Backhaul: In der Regel eine hohe Kapazität Linie von einem Remote-Standort oder Netzwerk mit einem zentralen Standort oder Netzwerk.
Base Station (BS): Der Knoten, die logisch verbindet Festnetz und Mobilfunk Teilnehmerstationen Betreiber Netzwerken. Die BS regelt den Zugang zum Netz und zu unterhält die Kommunikation mit Client-Geräten. A BS besteht aus den Elementen der Infrastruktur notwendig, um die drahtlose Kommunikation, das heißt, Antennen, Transceiver und andere elektromagnetische Welle Sendeanlagen zu ermöglichen. BS sind in der Regel Knoten fixiert, sondern in einem taktischen Umfeld, können sie auch als mobile werden.
Vertraulichkeit: Für die Zwecke dieses Leitfadens Prävention der Verbreitung von Informationen gewährleisten, dass nur autorisierte Geräte können den Inhalt des WiMAX Kommunikation zu sehen.
Datenverschlüsselung Security Association (SA) Typ-Indikator: Ein Indikator zur Definition der Art der Datenverschlüsselung SA (Primary, Statisch oder dynamisch).
Lauschangriff: Art des Angriffs, in dem ein Gegner wird ein WiMAX-Traffic-Analyzer innerhalb der Reichweite eines BS oder SS / MS. Der Gegner kann Monitorverwaltung Nachrichtenverkehr zu Verschlüsselungen zu identifizieren, zu bestimmen Fußabdruck dem Netzwerk oder Verhalten Traffic-Analyse in Bezug auf spezielle WiMAX-Knoten.
Konzernkennzahlen Verschlüsselung (GKEK): ein kryptografischer Schlüssel verwendet, um die GTEK verschlüsseln geschickt in Multicast-Nachrichten zwischen einem BS und SSS / MSS.
Gruppe Verkehr Verschlüsselung (GTEK): Ein kryptographischer Schlüssel verwendet, um Multicast-Verkehr zwischen einem BS und SSS / MSS verschlüsseln.
Host-basierte Intrusion Detection und Prevention System (IDP): Ein Gerät oder Software-Produkt, das ergänzende Sicherheit Dienstleistungen für eine persönliche Firewall, die Überwachung und Analyse des internen Zustands eines Client-Gerät. IDPS Produkte schreiben Protokolle, um sicherzustellen, dass das System und Anwendungen funktionieren nicht unerwartet, wie Anwendungen den Zugriff oder Veränderung unerklärlicherweise anderen Teilen des Systems. Mehrere Host-basierten Software-Produkten auch IDPS Monitor ein-und ausgehenden Netzwerk-Kommunikation und berichten oder möglicherweise blockieren verdächtige Aktivitäten.
Internet Protocol Security (IPsec): Ein OSI Network Layer Security-Protokoll, das Authentifizierung und Verschlüsselung bietet über das Internet.
Jitter: Wie es zu Warteschlangen betrifft, der Unterschied in der Latenz von Paketen.
A-1
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)
Key Encryption Key (KEK): Ein Schlüssel aus der Genehmigung Schlüssel abgeleitet und zur Verschlüsselung des Datenverkehrs Tasten (TEK) während der TEK Austausch zu verschlüsseln.
Letzte Meile Breitband-Zugang: Kommunikationstechnik, die Brücken der Übertragung Abstand zwischen den Breitband-Service-Provider-Infrastruktur und der Kunde benötigt.
Line-of-sight Signallaufzeit: Elektromagnetische signalisiert, dass ist sehr empfindlich gegenüber hochfrequenten Hindernisse erfordern einen ungehinderten Blick zwischen Sendestationen.
Management Gegenmaßnahme: Eine Gegenmaßnahme, dass jegliche Anliegen im Zusammenhang mit Risiko-, System-Planung, Sicherheit oder Beurteilung durch eine Organisation Management-Mails.
Management Nachricht: Eine Nachricht für die Aufrechterhaltung der Kommunikation zwischen einem SS verwendet / MS und BS, dh eine Kommunikation Parameter, der Austausch von Privatsphäre-Einstellungen und Durchführen System Registrierung Ereignisse (ursprüngliche Netzwerk wünschen, Übergaben, etc.). Diese Nachrichten werden nicht verschlüsselt und sind anfällig für Lauschangriffe.
Man-in-the-Middle (MITM): Ein Angriff, wenn ein Gegner täuscht ein SS / MS als legitim erscheinen BS gleichzeitig täuschen einen BS als eine legitime SS / MS erscheinen auftritt. Dadurch kann ein Angreifer so tun, als ein Pass-Through für alle Kommunikations-und bösartigen Datenverkehr in das Kommunikationssystem Strom zu injizieren.
Message Authentication Key: Ein Schlüssel, der die Echtheit der Daten Schlüsselverteilung Nachrichten aus der BS an die SS / MS gesendet überprüft.
Veruntreuung: Ein Angriff, bei dem der Angreifer stiehlt oder macht unberechtigte Nutzung eines Dienstes.
Mobile Teilnehmer (MS): Wie in IEEE 802.16e-2005, ein WiMAX-Teilnehmerstation fortbewegen kann, bei Fahrzeug-Geschwindigkeit definiert ist und dass unterstützt Power-Management-Betriebsarten erweitert. MS-Geräte haben in der Regel einen kleinen Formfaktor und self-powered, zB Laptops, ultra-mobilen tragbaren Computern, Mobiltelefonen oder anderen tragbaren elektronischen Geräten.
Mobile Topologie: Eine ähnliche Konfiguration wie ein Mobilfunknetz, da mehrere Basisstationen kooperieren und bieten eine nahtlose Kommunikation über ein verteiltes Netzwerk sowohl SSS und MS.
Multi-Hop-Relay-Topologie: Eine Konfiguration, die eine BS-Berichterstattung erstreckt sich durch die Möglichkeit SSS und MS für den Verkehr durch Handeln als RSS-Relais. Daten an ein SS / MS außerhalb des BS Bereich ist bestimmt durch benachbarte weitergeleitet RSS.
Multiple Input, Multiple Output-Technologie: Die Verwendung von mehreren Antennen und erweiterte Signalisierung Techniken zum drahtlosen Netzwerk-Bereich, Ausfallsicherheit und Geschwindigkeit zu erhöhen.
Non-Line-of-sight Signallaufzeit: Elektromagnetische signalisiert, dass nutzt fortschrittliche Techniken zur Modulation Signal Hindernisse zu kompensieren und eine indirekte Kommunikation zwischen Sendestationen.
Operative Gegenmaßnahme: Eine Gegenmaßnahme, dass die Kontrollen, die von Menschen ausgeführt werden, z. B. körperliche Umweltschutz, Konfigurations-Management und Incident Response umfasst.
Personal Firewall: Software-Anwendungen auf einem Client-Gerät, das Gerät zu erhöhen Sicherheit, indem ein gewisser Schutz gegen unerwünschte Netzwerkverbindungen von anderen Hosts eingeleitet. Personal Firewalls können Kunden verwaltet oder zentral verwaltet.
A-2
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien (ENTWURF)
Quality of Service (QoS): Eine Kategorisierung der verschiedenen Arten von Netzwerkverkehr, um die Latenz-sensitive Daten über nicht-Latenz-sensitive Daten zu priorisieren.
Radiofrequenz (RF) verursachen: Eine Bedrohung, in denen ein Gegner stellt eine leistungsfähige HF-Signal, das Spektrum zu überwältigen durch das System verwendet, so leugnen Service für alle WLAN-Knoten innerhalb der Reichweite der Störungen. RF Jamming ist als eine DoS-Attacke eingestuft.
Relaisstation (RS): Ein SS, die so konfiguriert, dass Datenverkehr an andere Stationen in einem Multi-Hop-Security Zone nach vorn ist.
Scrambling: Die präzise Einspritzung von HF-Störungen während der Übertragung über spezifische Management-Nachrichten. Diese Angriffe verhindern richtige Netzwerk umfassend und Bandbreitenzuweisungen mit der Absicht, die gesamte Systemleistung beeinträchtigen.
Security Association (SA): Die logische Reihe von Sicherheits-Parameter, die Elemente für die Authentifizierung, Key Einrichtung und Datenverschlüsselung erforderlich.
Security Identifier Verband (SAID): Eine einzigartige 16-Bit-Wert, der die SA identifiziert.
Security Zone (SZ): Eine Gruppe von vertrauenswürdigen Beziehungen zwischen einem BS und einer Gruppe von RSS.
Standard Operating Procedure: Ein Satz von Anweisungen verwendet, um einen Prozess oder ein Verfahren, dass eine explizite Operation oder explizite Reaktion führt zu einem bestimmten Ereignis zu beschreiben.
Teilnehmerstation (SS): Eine feste Wireless-Knoten. SSs sind in Outdoor-und Indoor-Modelle und in der Regel nur die Kommunikation mit BSS, außer während Mesh-Netzwerk Operationen.
Die Sicherheit des Systems zu planen: Ein System-Dokument, das einen Überblick über die Sicherheitsanforderungen eines Systems liefert und beschreibt die Kontrollen stattfinden, um diesen Anforderungen gerecht zu werden.
Technische Gegenmaßnahmen: System sichert durch EDV-Systeme implementiert, einschließlich Kontrollen wie Authentifizierung, Zugangskontrolle, Überwachung und zum Schutz von Kommunikation.
Einseitige Authentifizierung: Eine IEEE 802.16-2004 Schwachstelle aus PKMv1 bietet zur Authentifizierung von SSS von BSS, aber nicht für die Authentifizierung von BSS durch SSS. Mangelnde gegenseitige Authentifizierung kann es einem Schurken BS, die ein berechtigtes BS ausgeben, wodurch die SS nicht in der Lage, die Echtheit der Protokoll-Nachrichten aus dem BS-Stellen wenden. Dies kann damit ein Schelm BS Betreiber, um die Leistung zu beeinträchtigen oder zu stehlen wertvolle Informationen durch die Durchführung DoS oder Man-in-the-Middle-Attacken gegen Client SSS.
Virtual Private Network (VPN): Eine logische Netzwerk, das an der oberen Schichten des OSI-Modells über eine bestehende physische Netzwerk etabliert ist und in der Regel nicht enthalten jeder Knoten auf dem physischen Netzwerk.
Worldwide Interoperability for Microwave Access (WiMAX): Ein Wireless Metropolitan Area Network (WMAN)-Technologie auf dem IEEE 802.16-Familie von Standards für eine Vielzahl von Zwecken, einschließlich verwendeten, aber nicht beschränkt auf, fixiert die letzte Meile DSL-Zugang, Long-Range Wireless-Backhaul und Access-Layer-Technologie für Mobilfunkteilnehmer, die auf Telekommunikationsnetze.