Secure data transmission over wireless networks

Abstract

Kimlik doğrulama ve şifreleme Kablosuz Yerel Alan Ağları'nın (KYAA) temel güvenlik kavramlarıdır. Günümüzde KYAA için çok güçlü güvenlik çözümleri mevcuttur. Eğer uygun KYAA güvenlik çözümleri uygulanırsa, kablosuz ağ da kablolu ağ kadar güvenli olabilir. 802.1X/EAP taslağı kimlik doğrulama ve anahtar yönetimi prosedürlerinde kullanılmak üzere çeşitli özellikli metotlara izin verir. EAP metotları şifre-bazlı ve sertifika-bazlı olarak iki ana gruba ayrılırlar. Şifre-bazlı EAP metotları hafif işlerde kullanılır ve çok elverişlidirler. Ama birçoğu şifre-bazlı metotlar çevrimdışı sözlük saldırılarına elverişlidir ve dolayısıyla zayıftırlar. Diğer taraftan, sertifika-bazlı metotlar güçlü güvenlik sağlarlar, aynı zamanda zayıf sayılan şifre-bazlı metotların da kullanılmasına izin verirler. Sertifika-bazlı metotlar bu güvenliği doğrulanmış ve şifrelenmiş tünel oluşturan TLS protokolünü kullanarak elde ederler. Bu tünelde şifre-bazlı metotlar güvenli olarak çalışırlar. Sertifika-bazlı metotların kötü yanı uygulaması pahalı ve yönetimi zor olan Açık Anahtar Altyapısına ihtiyaç duymalarıdır. Bu çalışmanın amacı KYAA'nda kullanılan TLS-bazlı EAP protokollerinin analizidir. Sadece geniş çaplı kullanılan RFC tabanlı EAP tiplerini seçmemizin nedeni kullanılabilirlikleri ve standart tabanlı özelliğidir. Cezbedici güvenlik özelliklerinden dolayı özellikle EAP-FAT protokolünü odaklandık. EAP-FAST ptokolü diğer TLS-bazlı EAP tiplerinden sertifikalar yerine paylaşılmış gizli anahtar kullanımlarından dolayı ayrılmaktadır ki bu da önemli şekilde performansı arttırmaktadır. EAP-FAST sadece diğer güçlü TLS-bazlı metotlar gibi aynı güvenlik seviyesini sağlamamakta aynı zamanda PAC'leri kullanarak elverişliliği ve verimliliği de sağlamaktadır. Bu çalışmada, EAP-FAST metodunun değişik doğrulama mekanizmalarını AVISPA model denetçisi ile onayladık. Authentication and encryption are the core security concepts of Wireless LAN. Today, very strong security mechanisms for WLAN do exist. If proper WLAN security solutions are deployed, a wireless network can be as secure as the wired network. An 802.1X/EAP framework allows a variety of specific methods to be used for the authentication and key management procedures. There are two major sets of EAP-methods, which are password-based and certificate-based. The password-based EAP-types provide lightweight processing and are very convenient. But many of them are susceptible to the offline dictionary attacks, and hence considered weak. On the other hand, the certificate-based methods provide strong security as well as allow password-based authentication methods to be used. The certificate-based methods achieve these security properties using Transport Layer Security (TLS) Handshake protocol that establishes authenticated and encrypted tunnel. Within tunnel, password-based methods can run securely. The significant downside of certificate-based methods is the requirement of Public Key Infrastructure (PKI) which is costly to implement and hard to manage. This research's aim is an analysis of TLS-based EAP protocols used in WLAN. We have chosen only wide deployed RFC-based EAP types because of their availabilities and standards based property. We mainly focus on the EAP-FAST protocol because of its attracting security features. The EAP-FAST protocol differs from other TLS-based EAP types on using shared secret keys instead of certificates, thus significantly increasing performance. EAP-FAST provides not only the same security level as other strong TLS-based methods, but also convenience and efficiency by using PACs. We validated different authentication scenarios of EAP-FAST protocol using an AVISPA model checker.