Leitfaden zur Sicherheit für WiMAX-Technologien (Entwurf)
4-9
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien
(ENTWURF)
Tabelle 4-1. Sicherheitslücken, Bedrohungen und Gegenmaßnahmen
Zusammenfassung
Sicherheitserwägungen oder Vulnerability
Threat Diskussion
Gegenmaßnahmen
IEEE 802.16-2004 Basierend WiMAX-Systeme
Einseitige Authentifizierung der SS von BS
SSs haben keine Methode zur Überprüfung der Identität der BSS. Dies
lässt SSs anfällig für Angriffe durch Fälschung ein Schelm BS. Dies kann
zu Leistungseinbußen, Datendiebstahl oder DoS-Attacken führen. Darüber
hinaus lässt diese Authentifizierung Schema ein System anfällig für
Angriffe MITM.
Force Kommunikation erfolgt über eine VPN-Verschlüsselung oder Overlay,
dass die Geräte / Nutzer außerhalb der WiMAX systemeigenen
Steuerelementen authentifiziert nehmen.
DES-CBC Schwäche
DES-CBC-Algorithmus ist ein schwacher, dass nicht sichergestellt werden
kann Vertraulichkeit von Daten. Mit DES-CBC kann zu unbefugte Weitergabe
von Informationen. Bedrohungen können DoS, Abhören und MITM-Angriffe.
Implementieren FIPS-Verschlüsselung Overlay oder VPN validiert.
Zwischenruf von wiederverwendeten TEK
Die kurzen 2-Bit-Kennung TEK Wraps auf jeden vierten Re-Key Null. Dies
ermöglicht Gegner abgelaufen TEKS Wiederverwendung und Replay-Angriffe
ausführen, die zu unbefugte Weitergabe von Informationen und Kompromisse
der TEK.
Implementieren FIPS-Verschlüsselung Overlay oder VPN validiert.
Alle WiMAX-Systeme
Unverschlüsselte Management Messages
BSS und SS / MS kommunizieren über unverschlüsselte Verwaltung von
Nachrichten an Netzwerk wünschen, Knoten Registrierung
Bandbreitenzuweisung zu erleichtern, und hin. Diese Nachrichten werden
nicht verschlüsselt. Überprüfungen der Integrität werden zugesetzt, um
Nachrichten zu Unicast-Replay-Attacken, aber nicht Unicast-Nachrichten
noch offen WiMAX-Systeme für DoS-Bedrohungen zu verhindern. Die
unverschlüsselte Management-Nachrichten unterliegen Abhören,
Replay-Attacken, kraxeln, und subtile Manipulation bei erniedrigenden
Dienst ab. Wenn ein System nicht nutzt AES-CCM, sie eröffnet auch die
Möglichkeit einer MITM-Angriff.
Es gibt keine Bedrohung Schadensbegrenzung für unverschlüsselte
Management-Nachrichten. AES-CCM sollte verwendet, um einen Angriff MITM
von dem Auftreten zu verhindern. Die Auswirkungen von
Management-Nachricht Ausbeutung ist die Exposition von Knoten
Registrierung Informationen und verschiedene DoS-Attacken. Es wird
empfohlen, dass Organisationen für Plan eine Out-of-Band-Methode der
Kommunikation im Falle eines DoS-Angriffs. Zumindest sollten
organisatorische SOPs sind Incident-Response-Pläne im Falle eines
DoS-Angriffs.
4-10
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien
(ENTWURF)
Sicherheitserwägungen oder Anfälligkeiten Diskussion Gegenmaßnahmen
Mangelnde Native FIPS-validierte Lösungen
Ab Mitte 2009 hatten die meisten WiMAX-Anbietern noch nicht die
FIPS-Validierung abgeschlossen. Dadurch wird verhindert, Bundesbehörden,
sich auf einheimische WiMAX Sicherheit bis Herstellern die Validierung
abzuschließen. Communications Vertraulichkeit sich ausschließlich auf
nicht validierten native WiMAX Sicherheit kann Verschlüsselung Umsetzung
Schwächen, die unbefugte Weitergabe von Informationen führen könnten.
Bedrohungen können Lauschangriffe, MITM, und DoS-Attacken.
Implementieren FIPS-Verschlüsselung Overlay oder VPN validiert.
Verwenden von Wireless als Kommunikationsmedium
DoS-Angriff kann durch die Einführung eines leistungsfähigen HF-Quelle
soll System Funkfrequenzen überwältigen ausgeführt werden.
Suchen und entfernen Sie die Quelle von HF-Störungen. Dies kann wegen
der großen Versorgungsgebiete WMANs Herausforderung sein. Es wird
empfohlen, dass Organisationen für Plan eine Out-of-Band-Methode der
Kommunikation im Falle eines DoS-Angriffs.
4-11
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien
(ENTWURF)
Anhang A-Glossar
Ausgewählte Begriffe im Leitfaden verwendet werden nachfolgend
erläutert.
Authentifizierung: Für die Zwecke dieses Leitfadens, behauptete der
Prozess der Überprüfung der Identität durch ein WiMAX-Gerät.
Benutzer-Authentifizierung ist auch eine Option von IEEE 802.16e-2005
unterstützt.
Autorisierung: Der Prozess, der stattfindet, nachdem die
Authentifizierung abgeschlossen ist, um festzustellen, welche Ressourcen
/ Dienste zur Verfügung zu einem WiMAX-Gerät sind.
Authorization Key (AK): Ein Schlüssel zwischen der Basisstation und
Teilnehmerstation / mobile Station ausgetauscht, um einander vor der
Verschlüsselung des Datenverkehrs Schlüssel (TEK) zu authentifizieren.
Autorisierte Daten Security Association (SA): Eine Liste bereitgestellt,
um die SS / MS von der Basisstation. Die genehmigten Daten SA Liste
zeigt die Datenverschlüsselung SAs der SS / MS Zugang zugelassen ist.
Backhaul: In der Regel eine hohe Kapazität Linie von einem
Remote-Standort oder Netzwerk mit einem zentralen Standort oder
Netzwerk.
Base Station (BS): Der Knoten, die logisch verbindet Festnetz und
Mobilfunk Teilnehmerstationen Betreiber Netzwerken. Die BS regelt den
Zugang zum Netz und zu unterhält die Kommunikation mit Client-Geräten. A
BS besteht aus den Elementen der Infrastruktur notwendig, um die
drahtlose Kommunikation, das heißt, Antennen, Transceiver und andere
elektromagnetische Welle Sendeanlagen zu ermöglichen. BS sind in der
Regel Knoten fixiert, sondern in einem taktischen Umfeld, können sie
auch als mobile werden.
Vertraulichkeit: Für die Zwecke dieses Leitfadens Prävention der
Verbreitung von Informationen gewährleisten, dass nur autorisierte
Geräte können den Inhalt des WiMAX Kommunikation zu sehen.
Datenverschlüsselung Security Association (SA) Typ-Indikator: Ein
Indikator zur Definition der Art der Datenverschlüsselung SA (Primary,
Statisch oder dynamisch).
Lauschangriff: Art des Angriffs, in dem ein Gegner wird ein
WiMAX-Traffic-Analyzer innerhalb der Reichweite eines BS oder SS / MS.
Der Gegner kann Monitorverwaltung Nachrichtenverkehr zu
Verschlüsselungen zu identifizieren, zu bestimmen Fußabdruck dem
Netzwerk oder Verhalten Traffic-Analyse in Bezug auf spezielle
WiMAX-Knoten.
Konzernkennzahlen Verschlüsselung (GKEK): ein kryptografischer Schlüssel
verwendet, um die GTEK verschlüsseln geschickt in Multicast-Nachrichten
zwischen einem BS und SSS / MSS.
Gruppe Verkehr Verschlüsselung (GTEK): Ein kryptographischer Schlüssel
verwendet, um Multicast-Verkehr zwischen einem BS und SSS / MSS
verschlüsseln.
Host-basierte Intrusion Detection und Prevention System (IDP): Ein Gerät
oder Software-Produkt, das ergänzende Sicherheit Dienstleistungen für
eine persönliche Firewall, die Überwachung und Analyse des internen
Zustands eines Client-Gerät. IDPS Produkte schreiben Protokolle, um
sicherzustellen, dass das System und Anwendungen funktionieren nicht
unerwartet, wie Anwendungen den Zugriff oder Veränderung
unerklärlicherweise anderen Teilen des Systems. Mehrere Host-basierten
Software-Produkten auch IDPS Monitor ein-und ausgehenden
Netzwerk-Kommunikation und berichten oder möglicherweise blockieren
verdächtige Aktivitäten.
Internet Protocol Security (IPsec): Ein OSI Network Layer
Security-Protokoll, das Authentifizierung und Verschlüsselung bietet
über das Internet.
Jitter: Wie es zu Warteschlangen betrifft, der Unterschied in der Latenz
von Paketen.
A-1
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien
(ENTWURF)
Key Encryption Key (KEK): Ein Schlüssel aus der Genehmigung Schlüssel
abgeleitet und zur Verschlüsselung des Datenverkehrs Tasten (TEK)
während der TEK Austausch zu verschlüsseln.
Letzte Meile Breitband-Zugang: Kommunikationstechnik, die Brücken der
Übertragung Abstand zwischen den
Breitband-Service-Provider-Infrastruktur und der Kunde benötigt.
Line-of-sight Signallaufzeit: Elektromagnetische signalisiert, dass ist
sehr empfindlich gegenüber hochfrequenten Hindernisse erfordern einen
ungehinderten Blick zwischen Sendestationen.
Management Gegenmaßnahme: Eine Gegenmaßnahme, dass jegliche Anliegen im
Zusammenhang mit Risiko-, System-Planung, Sicherheit oder Beurteilung
durch eine Organisation Management-Mails.
Management Nachricht: Eine Nachricht für die Aufrechterhaltung der
Kommunikation zwischen einem SS verwendet / MS und BS, dh eine
Kommunikation Parameter, der Austausch von Privatsphäre-Einstellungen
und Durchführen System Registrierung Ereignisse (ursprüngliche Netzwerk
wünschen, Übergaben, etc.). Diese Nachrichten werden nicht verschlüsselt
und sind anfällig für Lauschangriffe.
Man-in-the-Middle (MITM): Ein Angriff, wenn ein Gegner täuscht ein SS /
MS als legitim erscheinen BS gleichzeitig täuschen einen BS als eine
legitime SS / MS erscheinen auftritt. Dadurch kann ein Angreifer so tun,
als ein Pass-Through für alle Kommunikations-und bösartigen Datenverkehr
in das Kommunikationssystem Strom zu injizieren.
Message Authentication Key: Ein Schlüssel, der die Echtheit der Daten
Schlüsselverteilung Nachrichten aus der BS an die SS / MS gesendet
überprüft.
Veruntreuung: Ein Angriff, bei dem der Angreifer stiehlt oder macht
unberechtigte Nutzung eines Dienstes.
Mobile Teilnehmer (MS): Wie in IEEE 802.16e-2005, ein
WiMAX-Teilnehmerstation fortbewegen kann, bei Fahrzeug-Geschwindigkeit
definiert ist und dass unterstützt Power-Management-Betriebsarten
erweitert. MS-Geräte haben in der Regel einen kleinen Formfaktor und
self-powered, zB Laptops, ultra-mobilen tragbaren Computern,
Mobiltelefonen oder anderen tragbaren elektronischen Geräten.
Mobile Topologie: Eine ähnliche Konfiguration wie ein Mobilfunknetz, da
mehrere Basisstationen kooperieren und bieten eine nahtlose
Kommunikation über ein verteiltes Netzwerk sowohl SSS und MS.
Multi-Hop-Relay-Topologie: Eine Konfiguration, die eine
BS-Berichterstattung erstreckt sich durch die Möglichkeit SSS und MS für
den Verkehr durch Handeln als RSS-Relais. Daten an ein SS / MS außerhalb
des BS Bereich ist bestimmt durch benachbarte weitergeleitet RSS.
Multiple Input, Multiple Output-Technologie: Die Verwendung von mehreren
Antennen und erweiterte Signalisierung Techniken zum drahtlosen
Netzwerk-Bereich, Ausfallsicherheit und Geschwindigkeit zu erhöhen.
Non-Line-of-sight Signallaufzeit: Elektromagnetische signalisiert, dass
nutzt fortschrittliche Techniken zur Modulation Signal Hindernisse zu
kompensieren und eine indirekte Kommunikation zwischen Sendestationen.
Operative Gegenmaßnahme: Eine Gegenmaßnahme, dass die Kontrollen, die
von Menschen ausgeführt werden, z. B. körperliche Umweltschutz,
Konfigurations-Management und Incident Response umfasst.
Personal Firewall: Software-Anwendungen auf einem Client-Gerät, das
Gerät zu erhöhen Sicherheit, indem ein gewisser Schutz gegen
unerwünschte Netzwerkverbindungen von anderen Hosts eingeleitet.
Personal Firewalls können Kunden verwaltet oder zentral verwaltet.
A-2
Leitfaden über Sicherheitsaktualisierungen für WiMAX-Technologien
(ENTWURF)
Quality of Service (QoS): Eine Kategorisierung der verschiedenen Arten
von Netzwerkverkehr, um die Latenz-sensitive Daten über
nicht-Latenz-sensitive Daten zu priorisieren.
Radiofrequenz (RF) verursachen: Eine Bedrohung, in denen ein Gegner
stellt eine leistungsfähige HF-Signal, das Spektrum zu überwältigen
durch das System verwendet, so leugnen Service für alle WLAN-Knoten
innerhalb der Reichweite der Störungen. RF Jamming ist als eine
DoS-Attacke eingestuft.
Relaisstation (RS): Ein SS, die so konfiguriert, dass Datenverkehr an
andere Stationen in einem Multi-Hop-Security Zone nach vorn ist.
Scrambling: Die präzise Einspritzung von HF-Störungen während der
Übertragung über spezifische Management-Nachrichten. Diese Angriffe
verhindern richtige Netzwerk umfassend und Bandbreitenzuweisungen mit
der Absicht, die gesamte Systemleistung beeinträchtigen.
Security Association (SA): Die logische Reihe von Sicherheits-Parameter,
die Elemente für die Authentifizierung, Key Einrichtung und
Datenverschlüsselung erforderlich.
Security Identifier Verband (SAID): Eine einzigartige 16-Bit-Wert, der
die SA identifiziert.
Security Zone (SZ): Eine Gruppe von vertrauenswürdigen Beziehungen
zwischen einem BS und einer Gruppe von RSS.
Standard Operating Procedure: Ein Satz von Anweisungen verwendet, um
einen Prozess oder ein Verfahren, dass eine explizite Operation oder
explizite Reaktion führt zu einem bestimmten Ereignis zu beschreiben.
Teilnehmerstation (SS): Eine feste Wireless-Knoten. SSs sind in
Outdoor-und Indoor-Modelle und in der Regel nur die Kommunikation mit
BSS, außer während Mesh-Netzwerk Operationen.
Die Sicherheit des Systems zu planen: Ein System-Dokument, das einen
Überblick über die Sicherheitsanforderungen eines Systems liefert und
beschreibt die Kontrollen stattfinden, um diesen Anforderungen gerecht
zu werden.
Technische Gegenmaßnahmen: System sichert durch EDV-Systeme
implementiert, einschließlich Kontrollen wie Authentifizierung,
Zugangskontrolle, Überwachung und zum Schutz von Kommunikation.
Einseitige Authentifizierung: Eine IEEE 802.16-2004 Schwachstelle aus
PKMv1 bietet zur Authentifizierung von SSS von BSS, aber nicht für die
Authentifizierung von BSS durch SSS. Mangelnde gegenseitige
Authentifizierung kann es einem Schurken BS, die ein berechtigtes BS
ausgeben, wodurch die SS nicht in der Lage, die Echtheit der
Protokoll-Nachrichten aus dem BS-Stellen wenden. Dies kann damit ein
Schelm BS Betreiber, um die Leistung zu beeinträchtigen oder zu stehlen
wertvolle Informationen durch die Durchführung DoS oder
Man-in-the-Middle-Attacken gegen Client SSS.
Virtual Private Network (VPN): Eine logische Netzwerk, das an der oberen
Schichten des OSI-Modells über eine bestehende physische Netzwerk
etabliert ist und in der Regel nicht enthalten jeder Knoten auf dem
physischen Netzwerk.
Worldwide Interoperability for Microwave Access (WiMAX): Ein Wireless
Metropolitan Area Network (WMAN)-Technologie auf dem IEEE 802.16-Familie
von Standards für eine Vielzahl von Zwecken, einschließlich verwendeten,
aber nicht beschränkt auf, fixiert die letzte Meile DSL-Zugang,
Long-Range Wireless-Backhaul und Access-Layer-Technologie für
Mobilfunkteilnehmer, die auf Telekommunikationsnetze.