Securitatea retelelor wireless 1.

Introducere
Dezvoltarea extraordinar pe care a cunoscut-o industria calculatoarelor a fost nsoit pas cu pas de apariia i extinderea reelelor. n aproximativ 30 de ani realizrile sunt uimitoare: calculatoarele au dimensiuni reduse i performane greu de nuit cu ani n urm! iar reelele! dup ani de ncercri n care s-au ela orat diverse modele! standarde! n care s-au experimentat diverse proiecte care au disprut sau care s-au unificat se prezint astzi ntr-o form destul de avansat. "otodat! a crescut numrul aplicaiilor care necesit o reea de calculatoare. #ecolul nostru a generat dependena de informaie : oameni care au nevoie s fie n permanena conectai. $entru aceti utilizatori mo ili! ca lul torsadat! ca lul coaxial i fi rele optice nu sunt de nici un folos. %i au nevoie de date pentru calculatoarele lor porta ile! de uzunar! fr a fi legai de infrastructura comunicaiilor terestre. $entru aceti utilizatori! rspunsul l constituie comunicaiile fr fir. &eelele 'ireless sau mai simplu ()*+ au aprut ca o alternativ la reeaua )*+ prin ca lu reprezent,nd un sistem flexi il de comunicatii de date ! folosit ca o extensie sau o alternativ la reelelor ca late ! ntr-o cldire sau un grup de cldiri apropiate . -olosind undele electromagnetice ! dispozitivele ()*+ transmit i primesc date prin aer ! elimin,nd necesitatea ca lurilor i transform,nd reeaua ntr-un )*+ mo il . *stfel ! dac o firm are un ()*+ ! la mutarea n alt sediu nu este nevoie de ca lri i guriri n perei plafoane pe care acestea le presupun ! ci pur i simplu se mut calculatoarele i reeaua poate funciona imediat . .e-i drept ! n general reelele ()*+ se folosesc mpreun cu )*+-urile clasice ! mai ales pentru partea de tiprire n reea pentru legtura la server . "ema acestui proiect l reprezint studiul de caz asupra reelelor fr fir i mai ales a cerinelor de securitate pe care le presupune o astfel de reea !cu aplicaii practice n realizare unei reele ()*+ care s ndeplineasc cerinele unei reele sigure din punct de vedere a securitii at,t a accesului la reea c,t i a datelor ve/iculate n cadrul reelei. 0rmtorul proiect urmrete identificarea elementelor de securitate de1a existente n cadrul unei reele fr fir ! posi iliti de securizare oferite de dipozitive de securizare ale reelei iar parte practic se constituie ntr-un g/id practic ce va puncta configurri i msuri de securitate pentu un mediu de comunicaie c,t mai sigur. $rodusele fr fir! de la comanda la distan a televizoarelor i nc/iderii uilor automo ilelor la telefonia celular ! utilizeaz o form de energie cunoscut ca radiaie electromagnetic pentru a transporta semnalele. n ultimi ani comunicaiile fr fir i cele mo ile au cunoscut o cretere exploziv n ceea ce privete numrul de servicii asigurate i tipurile de te/nologii devenite disponi ile ."e/nologia celular ! transimiterea de date n reele mo ile i serviciile multimedia sunt ntr-o dezvoltare rapid ! utilizatorii mo ili av,nd acces la servicii precum e-mail ! telefonie ! video ! e- an2ing !etc. De c,iva ani ! reelele de calculatoare sunt folosite pentru a interconecta calculatoare pesonale i servere n firme ! universitai i orae ! ns n ultimii ani a avut o evoluie rapid n direcia folosirii reelelor fr fir . De fapt! n prezent sunt disponi ile interfee fr fir pentru utilizarea serviciilor de reea care ne permit s folosim pota electronic i s navigm pe 3nternet aproape din orice loc ne-am afla . #istemele fr fir ofer eneficiul mo ilitii utilizatorilor i o desfurare flexi il a unei reele ntr-o anumit arie. 4o ilitatea utilizatorilor i permite unui client al reelei s se mite n diferite locaii ale reelei fr s-i piard conexiunea la reea .&eelele fr fir ofer deasemenea avanta1ul c adugarea unui nod la reea se poate face fr prea mult planificare sau costuri suplimentare de recla are. *ceasta face ca viitoare dezvoltri ale reelei s fi uoare i ieftine . .reterea rapid a folosirii laptoupurilor i $D*-urilor a condus de asemenea la creterea

dependenei de reelele fr fir datorit faptului c reelele radio pot face mai uor fa creterii dinamice a utilizatorilor unei reele. .a orice te/nologie relativ nou ! reelele fr fir reprezint un mediu de comunicaie suscepti il la ameninri ce in nu numai de aciuni din exteriorul mediului !dar uneori lipsa unei documentri puternice asupra capa ilitilor unui astfel de mediu se traduce n pro leme de securitate. $rovocrile oferite de reelele fr fir pot fi detaliate pe mai multe planuri. Deficitul limii de and face ca pentru reelele radio divizarea limii de and s fie esenial ! de vreme ce spectrul radio nu numai c este destul de scump ! dar este totodat i limitat. *ccesul multiplu ! adic succesul unei tranmisii nu este independent de alte transmisii . $entru a face o transmisie reuit tre uie evitat interferena sau cel puin inut su control. $e de alt parte transmisiile multiple pot duce la coliziuni sau la semnale deformate. Direciile multiple de transmisie produc erori varia ile de transmisie care por conduce la o conectivitate intemitent. 4o ilitate ! securitatea i calitatea servicului. 0rmtoarea lucrare se va aza n special pe acest ultim deziderat al unei reele ()*+ i pe aplicaiile ce rezid din necesitatea unei conexiuni tot mai sigure i mai de calitate n cadrul unei reele fr fir. 2. Notiuni generale Criptografia este tiina scrierilor secrete. %a st la aza multor servicii i mecanisme de securitate folosite n internet! folosind metode matematice pentru transformarea datelor! n intenia de a ascunde coninutul lor sau de a le prote1a mpotriva modificrii. .riptografia are o lung istorie! confidenialitatea comunicrii fiind o cerin a tuturor timpurilor. Dac ar tre ui s alegem un singur exemplu al criptografiei 5clasice5! acesta ar fi cifrul lui .ezar! nu at,t datorit cele ritii mpratului roman de care se leag folosirea lui! ci pentru c principiul su de aza! al su stituiei! s-a meninut nealterat aproape dou milenii. #copul de az al criptografiei: 6. .onfidenialitate 7 asigurarea c nimeni nu poate citi mesa1ul cu excepia destinatarului. 8. 3ntegritatea datelor 7 realizeaz prote1area datelor la alterare sau manipularea de ctre persoane neautorizate. $rin manipularea datelor nelegem procese cum ar fi inserii! nt,rzieri sau su stituiri. 3. *utentificarea 7 presupune posi ilitatea de identificare a sursei informaiei i a entitii 9o persoan! un terminal de computer! o carte de credit:. ;. +on-repudierea 7 care previne negarea unor anga1amente sau aciuni anterioare. *utentificarea desemneaz un termen folosit pentru a desemna c anumite mi1loace sunt menite s garanteze c entitile participante sunt ceea ce pretind a fi sau c informaia nu a fost manipulat de persoane neautorizate. "e/nica identificrii sau autentificrii identitilor asigur c am ii participani 9prin pro e coro orate sau do ,ndite: implicai au ntr-adevr identitatea pe care o pretind. *cest lucru se realizeaz prin transmiterea de date necesare pentru a identifica prile care particip la comunicaie! am ii participani fiind activi n aceast comunicaie oferind astfel oportunitatea unei garanii. %ste important a nelege importana autentificrii. ntr-un canal de comunicaii cu un sistem ideal de criptografie cu c/ei pu lice teoretic cele dou pri pot comunica prin intermediul canalului fr a resimi nevoia sc/im rii de c/ei. <ri un adversar activ poate nfr,nge sistemul 9s

decripteze mesa1ele menite s le recepioneze cea de-a doua entitate: fr a =sparge> sistemul de criptografie. "e/nica autentificrii entitilor se poate mpri n trei mari categorii! n funcie de tipul de securitate: - ceva cunoscut. *stfel de exemple includ parolele standard 9uneori folosite pentru o inerea de c/ei simetrice: +umere $ersonale de 3dentificare 9$3+-uri: i c/ei private! care prin protocoale provocare-rspuns! se dovedete cunoaterea lor. - ceva posedat. *cest aspect se refer mai mult la accesorii fizice un fel de paaport nc vala il. %xemple sunt card-urile smart 9card-uri de mrimea unuia de credit cu un microprocesor ncorporat sau cu un circuit integrat:. - ceva motenit9pentru o persoan:. *ceast categorie include metode care fac uz de caracteristici fizice i de aciuni involuntare cum ar fi semntura! amprente digitale! vocea! modelul retinei! geometria m,inii precum i caracteristicile dinamice ale tastatului. ns acestea sunt te/nici non-criptografice. Descriere context i obiective. nc din momentul n care ?ugliemo 4arconi a realizat legtura ntre un vapor i un punct de pe coast folosind telegraful fr fir i codul 4orse 9punctele i linile sunt n definitiv inare: n anul 6@06! te/nologia 'ireless a modificat modul n care oamenii comunic i transmit informaii. De la modulaia n amplitudine 9*4: a undelor radio din 6@80 i p,na la multitudinea de dispozitive 'ireless a secolulului AA! te/nologia 'ireless s-a dezvoltat dramatic! definind noi industrii d,nd natere unui set nou de produse i servicii. .omunicaiile 'ireless au nregistrat o puternic dezvoltare n ultimele zeci de ani. De la telecomanda televizorului la sisteme ce comunic via satelit! comunicaiile 'ireless au sc/im at modul n care trim. Diferitele dispozitive conectate prin intermediul legturilor 'ireless confer o mo ilitate ridicat i solicit o infrastructur mult mai simpl dec,t o inuitele reele ca late. -olosind undele electromagnetice! reelele 'ireless transmit i primesc date prin atmosfer! minimiz,nd nevoia de reele ca late. .u a1utorul te/nolgiei de azi reelele 'ireless sunt foarte accesi ile! sigure i uor de implementat. &eelele 'ireless au c,tigat o popularitate semnificativ printre utilizatorii foarte mo ili i deasemeni printre cei care fac parte din mici grupuri aa numitele #oBo 9#mall <ffice Bome <ffice:. &eelele 'ireless ofera posi ilitatea utilizatorilor mo ili s ai acces la informaii n timp real. < reea de calculatoare poate fi realizat at,t ca o reea de sine stttoare folosind ca mi1loc de comunicaie doar legturile 'ireless ! ca o reea de tip enterprise-reea la scar mare nglo ,nd sute de calculatoare-! ca o extensie la o reea ca lat sau ca un nlocuitor pentru o reea ca lat. &eele 'ireless ad-/oc sunt o colecie de /ost-uri care formeaz o reea temporar fr o structur centralizat sau administrare. "opologia reelei se modific n mod constant ca rezultat al faptului c nodurile se altur sau ies din reea. naintarea pac/etelor! rutarea sau alte operaii sunt realizate de noduri. .reterea popularitii reelelor 'ireless a determinat o scdere rapid a preului ec/ipamentelor 'ireless concomitent cu o accentuat m untire a performanelor te/nice ale acestora. < infrastructur 'ireless poate fi realizat astzi cu c/eltuieli mult mai mici dec,t una tradiional pe ca lu. n acest fel! apar premizele realizrii accesului ieftin i uor la 3nternet mem rilor comunitilor locale! cu toate eneficiile ce rezult de aici. *ccesul la informaia glo al constituie o surs de ogie la scar local! prin creterea productivitii muncii azate pe accesul la cvasitotalitatea informaiilor disponi ile n lume n legtur cu activitatea prestat. "otodat! reeaua devine mai valoroas pe msur ce tot mai muli oameni se leag la ea.

Figura.11: ipuri de re!ele wireless ./iar i fr accesul la 3nternet comunitile legate la reele 'ireless se ucur de avanta1e pot cola ora la diferite proiecte cu ntindere geografic mare folosind comunicaii vocale! e-mail7 uri i transmisii de date cu costuri foarte mici. n ultim instan! oamenii neleg c aceste reele sunt realizate pentru a intra mai uor n legtur unii cu alii. < reea! fie c este ca lat sau 'ireless! este creat pentru a transporta date ntre doi sau mai muli clieni. "ipul datelor poate avea un caracter pu lic sau confidenial. Dac pentru datele de tip neconfidenial securitatea conexiunii nu este o pro lem c/iar aa de important! pentru cele confideniale! securitatea datelor este critic. #ecuritatea reelelor 'ireless este cu at,t mai greu de o inut mai ales datorit vulnera ilitii legturilor! proteciei fizice limitate a fiecrui dintre noduri! conectivitii sporadice! topologiei care se sc/im dinamic! a sena autoritii de certificare i lipsa unei monitorizri centralizate sau unui punct de management. $entru securizarea reelelor 'ireless au fost definite suita de protocoale 3%%% C08.66 aD DgDn cunoscute ca i (i--i 9(ireless -idelitE: i C08.6F cunoscut i ca (i4ax 9(orld'ide 3nteropera ilitE for 4icro'ave *ccess:.

Figure 1.2 : "coperirea cu se#nal de la un punct de acces

abel 1. Infor#a!ii despre standardele re!elelor wireless

Standard $ata de transfer %anda ipul de #odula!ie Securitatea I((( $,n la 8 4 ps<pereaz n n anda de frecvene -B## sau D### (%$ i ($* )*2.11 anda de 8.; ?Bz 3#4 93ndustrie! Gtiin! 4edicin: I((( $,n la H; 4 ps <-D4 (%$ i ($* )*2.11a n anda de H?Bz <pereaz n anda 3#4 ntre +,i-Fi. H!I;H i H!C0H ?Bz i n anda 0+33 90nlicensed +ational 3nformation 3nfrastructure: ntre H!6I0 i H!380 ?Bz. &ro i contra ' infor#a!ii *cest standard a fost extins la C08.66 &atificat la 6F septem rie 6@@@ #e folosesc opt canale $osi ilitatea de interferen mai mic dec,t C08.66 i g suport mai ine multimedia voce i video n aplicaii cu mai muli utilizatori raza de operativitate mai mic nu este interopera il cu C08.66

I((( $,n la 664 ps n (%$ i ($* )*2.11b anda de 8.; ?Bz <pereaz n anda de frecvene 4odulaiile numai +,i-Fi. 3#4 93ndustrie! Gtiin! de tipul celor care 4edicin: au dispersia spectrului cuprins ntre 8!;68 i 8!;C; ?Bz: D### cu ..J

I(((

$,n la H;4 psLanda n 3#4

ratificat n 6F septem rie 6@@@K putere la ieire de p,n la 6 'attK *re nevoie de mai puine puncte de acces dec,t C08.66a pentru acoperirea unor arii largiK <fer acces de vitez mare p,n la distana de 300 picioare #unt disponi ile 6; canale n anda de 8.; ?Bz 9dintre care numai 66 se pot folosi n 0.#. datorit reglementrilor -..: <-D4 la peste 80 (%$ i ($* &atificat n iunie 8003

)*2.11g anda de 8.; ?Bz 4 ps! D### cu +,i-Fi. ..J su 80 4 ps I((( n anda de 60 la <-D4 D%# i *%# )*2.1/ FF ?Bz Dou enzi liceniate: 3!3 7 3!C +,i0"1. ?Bz i 8!3 7 8!I ?BzK Land neliceniat: H!I8H 7 H!CH ?Bz. I((( #uport pentru 8 la 66 ?Bz )*2.1/a gama de la 8 la 66 ?Bz %luetoot2$,n la 8 4 ps anda de 8.;H?Bz <-D4 -B## D%#3 i *%#

$oate nlocui C08.66 .apa iliti de securitate sporit &atificat n 800;K $oate s utilizeze mai multe enzi de frecvene! liceniate i neliceniate! alocate de 3"0K Definete un standard pentru reele de and larg 'ireless metropolitane

$$"$! ##) sau +u suport ".$D3$ sau 'ireless M$+ )*+K 0tilizat mai cu seam pentru conectarea $D*-urilor! telefoanelor mo ile i $. ntr-o arie mic.

$rin folosirea acestor metode de securizare se asigur controlul de acces la reea i confidenialitatea datelor care trec prin aceasta. ntr-o reea 'ireless desc/is 9numit i <pen #Estem:! oricine se afl n aria de acoperire se poate conecta! c/iar i utilizatorii nedorii. De aici se a1unge la diverse pro leme cum ar fi irosirea limii de and 9folosit de intrui:! introducerea de programe cu caracter maliios n reeaua privat! sau aa numitul eavesdropping 9interceptarea i citirea mesa1elor sau a oricrui tip de date:. )ipsa de securitate a reelelor <pen #Estem poate duce la simplificarea muncii celor ce fac spiona1 industrial sau a celor care consider intruziunea ntr-o reea 'ireless privat o distracie. #ituaia este diferit n cazul reelelor securizate! utilizatorii! pentru a avea acces la reea! tre uie s se autentifice nt,i iar conexiunea 9transferul datelor: este criptat. *stfel! at,t reeaua c,t i utilizatorii sunt prote1ai de pericolele prezentate mai sus. n caz de nevoie utilizatorii pot fi separai ntre ei! sau pe grupuri 9departamente! etc: prin folosirea de tunele M$+! sau alte modaliti. $uncte sla e ale reelelor fr fir: .a la orice alt te/nologie nou! i n acest caz a fost dezvoltat mai nt,i funcionalitatea. .onfigurarea i utilizarea reelelor ()*+ tre uia s decurg c,t mai simplu i mai conforta il. Dup ce interesul pentru avanta1ele noii te/nologii a fost trezit! a venit clipa eliminrii ug-urilor sau a punctelor sla e. .u toate acestea! dezvoltarea rapid a reelelor radio nu a avut numai consecine pozitive: numeroase ug-uri i c,teva ree de securitate au dunat imaginii ()*+! astfel nc,t 9n ciuda multiplelor avanta1e: muli administratori au evitat utilizarea reelelor 'ireless. )a planificarea! instalarea i administrarea reelei dumneavoastr 'ireless tre uie s avut ntotdeauna n vedere faptul c te/nologia ()*+ nu a fost g,ndit ca mi1loc de transport pentru date importante. De aceea! aspectul securitii tre uie tratat cu maxim seriozitate. ./iar i funciile de securitate incluse ulterior n ()*+! ca de exemplu (ired %Nuivalent $rivacE 9(%$: sau *ccess .ontrol )ist 9*.): s-au dovedit a fi nesigure uor de ocolit cu a1utorul uneltelor sofisticate utilizate de /ac2eri i de aa-numiii 'ar driveri. 4arele minus al te/nologiei const n lipsa proteciei fizice a datelor de transferat! care exist n reelele pe ca lu. $ac/etele de date sunt prea puin prote1ate la transferul prin unde radio i se distri uie aproape incontrola il n mediul am iant. *adar! ele pot fi de exemplu recepionate de ctre teri! nregistrate! evaluate sau c/iar manipulate. n special monitorizarea traficului de reea! aa numitul sniffing! este unul dintre cele mai mari pericole n ()*+.

3. $e!ele wireless .alculatoarele mo ile reprezint segmentul din industria te/nicii de calcul cu dezvoltarea cea mai rapid. 4uli posesori ai acestor calculatoare au la irou sisteme legate la )*+-uri i (*+-uri i vor s se conecteze la acestea! c/iar i atunci c,nd se afl n locuri deprtate de cas sau pe drum. Deoarece legturile prin fir sunt imposi ile n maini i avioane! interesul pentru reelele radio este foarte puternic. n aceast seciune vom face o scurt introducere n acest su iect prezent,nd mai n detaliu principiile teoretice ce stau la aza funcionrii unei mediu fr fir. .omunicaiile digitale fr fir nu reprezint! de fapt! o idee nou. nc din 6@06! fizicianul italian ?uglielmo 4arconi a realizat legtura ntre un vapor i un punct de pe coast folosind telegraful fr fir i codul 4orse 9punctele i liniile sunt! n definitiv! inare:. #istemele radio moderne au performane mai une! dar ideea fundamental a rmas aceeai. &eelele radio au numeroase utilizri. Liroul porta il reprezint una dintre ele. <amenii aflai pe drum doresc adesea s foloseasc ec/ipamentele lor electronice porta ile pentru a trimite i primi faxuri i pot electronic! pentru a citi fiiere aflate la distan! pentru a se conecta la distan i aa mai departe. Gi doresc s fac aa ceva din orice loc de pe uscat! ap sau aer. &eelele radio sunt de mare importan pentru parcurile de camioane! taxiuri i auto uze! ca i pentru ec/ipele de intervenie care tre uie s menin contactul cu aza. &eelele radio pot fi de asemenea utile pentru ec/ipele de intervenie n locuri de dezastru 9incendii! inundaii! cutremure etc.: unde sistemul telefonic a fost distrus. .alculatoarele aduse la faa locului pot s trimit mesa1e! s nregistreze informaii i aa mai departe. n sf,rit! reelele radio sunt importante pentru armat. Dac tre uie s faci fa n cel mai scurt timp unui rz oi care se poate desfura oriunde n lume! atunci pro a il c nu este o idee un s te azezi pe infrastructura de reele existent la faa locului. %ste mai ine s-i aduci propria reea. abel 2 : Co#bina!ii de re!ele f4r4 fir i te2nic4 de calcul #obil4. -r fir +u +u Da Da 4o il +u Da +u Da *plicaii #taii de lucru staionare ntr-un irou -olosirea unui calculator porta il ntr-un /otel sau pentru inspecia trenurilor )*+-uri instalate n cldiri mai vec/i! fr fire Lirouri mo ileK $D*-uri pentru inventarierea magaziei

Dei reelele fr fir i ec/ipamentele de calcul mo ile sunt adesea nrudite! ele nu sunt identice 9a se vedea ta elul alturat:. .alculatoarele porta ile comunic uneori cu a1utorul firelor. Dac ntr-un /otel un turist racordeaz un calculator mo il la mufa de telefon! acesta este un exemplu de mo ilitate fr reea radio. 0n alt exemplu se refer la o persoan care poart cu sine un calculator mo il n timp ce inspecteaz! pentru pro leme te/nice! un tren. n acest caz! n spatele calculatorului poate foarte ine s at,rne un fir lung 9ca la aspirator:. Dei )*+-urile fr fir sunt uor de instalat! ele au i unele dezavanta1e. .apacitatea lor tipic este de 6-8 4 ps! ceea ce este mult mai puin dec,t n cazul )*+-urilor cu fir. De asemenea! rata de erori este adesea mai mare! iar transmisiile ntre diferite calculatoare pot interfera unele cu altele. Dar exist! desigur! i aplicaii cu adevrat mo ile! fr fir! ncep,nd cu iroul porta il i termin,nd cu persoanele care fac inventarul unui magazin folosind $D*-uri. n multe aeroporttiri aglomerate! anga1aii companiilor de nc/iriat maini lucreaz n parcri cu calculatoare porta ile fr fir. %i introduc n calculator numrul de nmatriculare al fiecrei maini returnate! iar

porta ilele lor! care au nglo at o imprimant! apeleaz calculatorul central! primesc informaii despre nc/irierea respectivei maini i eli ereaz factura de plat pe loc. (ireless )*+ reprezint! mai precis! reele de calculatoare ce comunic ntre ele prin legturi definite de standardele C08.66 sau C08.66g. .onform acestor standarde! comunicarea se face pe anda de frecven de 8.;?/z pe un numr de maxim 6; canale. )a noi n ara pot fi utilizate 63 canale fr nici o autorizaie preala il dac nu se depete puterea maxim admis pentru aceast frecven. %xist dou moduri de realizare a unei reele fr fir: O "d-2oc - #e conecteaz ntre ele mai multe calculatoare. +u exist conectivitate cu o reea cu fir sau conectarea cu reeaua cu fir se face prin intermediul unui calculator cu o aplicaie soft'are dedicat. #e preteaz n general pentru un numr redus de calculatoare aflate pe o suprafa mic. -iecare calculator se conecteaz cu cellalt fr a fi nevoie de un alt ec/ipament. O Infrastructure - .omunicarea se face prin intermediul unui ec/ipament activ numit access point 9*$:. < legtur ntre 8 calculatoare se face prin intermediul access point-ului la care sunt conectate fiecare dintre ele. *cest mod de lucru permite o raz mare de acoperire prin utilizarea mai multor access point-uri conectate intre ele. De asemenea! e modul de lucru preferat dac se dorete interconectarea unei reele cu fir cu o reea fr fir sau legtura ntre un numr mare de clieni fr fir.

-igure6.3:4oduri de realizare a unei reele fr fir $entru o un inelegere a modului de realizare i a facilitilor oferite de reelele 'ireless tre uie mai nt,i s nelegem elementele de az i modul de realizare a reelelor ca late.

"&5IC"6I( - Selectarea strategiei de securitate potrivite .onfiguraia reelelor locale fr fir azat pe standardele radio C08.66 poate prea simpl la prima vedere. 3n cadrul unei reele ()*+ sunt necesare i alte msuri de prevedere i o planificare mai profund. -actori ce tre uie luai n considerare atunci c,nd se proiecteaz o reea ()*+: )rgimea enzii necesare pentru a suporta utilizatorii i aplicaiile fr fir. *ria de lucru ! niveluri de interferen pentru frecvenele radio.

 "ipul autentificrii i securitii cerut de ctre politica de securitate a eneficiarului. -lexi ilitate i posi ilitatea de a efectua upgrade-uri. $reul ! seturile de caracteristici ale C08.66 ! capacitile de management i a ilitatea de a integra reeaua fr fir n cadrul reelei cu fir de1a existente. ntruc,t scopul lucrrii de fa este de a studia elementele de securitate disponi ile n cadrul reelelor fr fir i deasemeni posi ilitile de ntrire a securitii unei astfel de reele! vom discuta despre caracteristicile de securitate i de autentificare ce tre uie luate n calcul la dezvoltarea unei reele fr fir . 1.Selectarea strategiei de securitate potrivite *legerea tipului autentificrii! criptrii datelor i securitii prin care se asigur integritatea pac/etelor pentru o reea fr fir )*+ depinde de o serie de factori. $olitica de securitate a companiei ! tipul datelor pe care ncercm s le prote1m! complexitatea soluiei de securitate 1oac un rol important n alegerea tipului de autentificare i a sc/emei de criptare a datelor . .e dorim s prote1m i cine ar tre ui s primeasc acces la reaea P m al doilea r,nd artre ui s nelegem! pe deplin eneficiile fiecrui tip de autentificare i ale fiecrei metode de criptare a datelor i informaia suplimentar 9over/ead-ul: necesar pentur configurarea fiecrei componente de securitate. +u n ultimul rnd tre uie testate caracteristicile de securitate alese pentru soft'are-ul i /ard'are-ul client ! pentru a vedea dac aceste satisfac nevoile reelei. $entru securizare unei reele fr fir avem la dispoziie urmtoarele metode de autentificare a accesului la reea i de criptare a datelor ve/iculate n cadrul reelei.%ste ine de precizat c numai o com inare eficient a acestor metode va oferi soluia portivit pentru fiecare tip de reea n parte. 0etode de autentificare: -r autentficare -iltrarea adreselor 4*. 94*. adress filtering: ./eie (%$ parta1at 9#/ared (%$ JeE: ./eie pre parta1at 9pre-s/ared 2eE: C08.6x 9te/nologii %*$ : *utentificare M$+ -iecare din aceste metode de autentificare are avanta1e i dezavanta1e . .u c,t este mai puternic autentificare ! cu at,t sunt necesare mai multe ec/ipamente /ard i aplicaii soft iar eforul depus pentru asigurarea funcionrii i ntreinerii soluiei de securitate este mai mare . %xist ntotdeauna o discrepan ntre o securitate de nivel nalt i utilitatea sau uurina setrii i utilzrii. 0etode de criptare a datelor: -r criptare (%$ static (%$ dinamic 9(%$ rotativ: *cces prote1at (3-3 9($* cu "J3$ i *%#-..4: .riptarea M$+ printr-un ter 93rd partE M$+ %ncrEption: Dup selectarea unei metode de autentificare pentru reeaua ()*+ ! se trece la selectarea unei sc/eme de criptare a datelor pentru prote1area pac/etelor de date care circul n aer li er. 0nele din aceste sc/eme d criptare pot fi folosite doar cu metode de autentificare specifice.

$entru soluii de securitate la nivel de ntreprindere ! standardul minim de securitate car tre uie ales este DinamEc (%$ . DinamEc (%$ folosete C08.6x pentru a asigura p autentificare puternic i genereaz dinamic o c/eie (%$ unic pentru fiecare utilizator al reelei. Co#bina!ii ale #etodelor de securi7are ale re!elelor f4r4 fir. Dup cum am o servat ! exist mai multe variante pentru a asigura securitatea spaiului aferent fr fir . ntruc,t nevoie de securitate crete ! complexitatea implementrii i utilizrii crete de asemenea . *tunci c,nd se aleg anumite caracteristici de securitate tre uie avui n vedere i clienii fr fir de1a existeni i dac acetia suport aceste noi caracterisitic. "re uie s ne asigurm se compati ilitatea deplin a clienilor +3. cu securitatea furnizat de punctul de acces sau de s'itc-ul ()*+. n urmtorul ta el sunt prezentate cele mai cunoscute com inaii de autentificare i securitate la nivel de ntreprindere . *legerea sc/emei potrivite depinde de cerinele de securitate ! datele care tre uie prote1ate i tipul serviciilor oferite de ctre reeaua fr fir. abel : Sc2e#e de securi7are 0etoda de autentificare +ici una 0etoda de criptare a Descriere datelor +ici una &eeaua 'ireless e folosit ca o reea de nivel secundar! fr securitate. $oate fi folosit pentru punctele de acces gratuite ! reele pentru clieni cu trafic M)*+ ctre reelele externe mpreun cu o soluie de securitate M$+. ./eie parta1at (%$ static #ecuritatea datelor nu este prioritar i a ilitatea scalrii soluiei nu este necesar . *leas pentru uurina implementrii n detrimentul securitii datelor i complexitii autentificrii. #e preteaz pentru reele destinate clienilor sau reele cu securitate sczut. C08.6x (%$ *utentificare utilizatorului pe un server &*D30# i c/ei de criptare unice generate aleator pentru fiecare utilizator i fiecare sesiune. ./eltuielile pentru setare sunt mai mari !ns ofer o securitate de nivel nalt. 4a1oritatea softurilor client i a cartelelor +3. fr fir suport aceast metod. .omplexitatea implementrii deoinde de tipul de %*$ selectat. ./eie preparta1at ($* .riptarea puternic a datelor este asigurat prin ($* folosind "J3$ i *%#. *utentificarea este simplificat ns folosirea c/eilor pre distri uite duce la compromiterea scala ilitii.#e folosete n general ! n reele de dimensiuni mai mici unde simplicitatea autentificrii este dorit mai mult dec,t folosirea unei unui server &*D30# i a clienilor C08.6x. C08.6x ($* #oluie de securitate foarte nalt care folosete un server &*D30# pentru autentificarea fiecrui utilizator i ($* cu "J3$ sau *%# pentru criptarea datelor . .ardurile +3. i driverele client tre uie s suporte ($* i clieni C08.6x ! fiind necesar folosirea unui server &*D30# compati il cu C08.6x. %ste potrivit pentru reelele fr fir la nivel de ntreprindere care necesit autenificare puternic a utilizatorilor fr fir i o criptare puternic a datelor..omplexitatea implementrii depinde de tipul de %*$ folosit. -iltrarea adreselor opional -iltrarea adreselor 4*. este o sc/em separat de

4*.

autentificare care poate fi aplicat la oricare din com inaiile de securitate menionate. %a adaug complexitate n ntreinere ! printr-p list a adreselor 4*. a clienilor care tre uie ntreinut. -iltrarea adreselor 4*. a clienilor poate fi ocolit de ctre /ac2eri . n general e utilizat cu sc/eme la nivel inferior ca s asigure o extrasecuritate.

&re7entarea sc2e#ei practice i a dispo7itivelor folosite: &uter "&%+D+%" "%(-;38L&$ $entru realizarea sc/emei practice am folosit un router 'ireless "&%+D+%" ! un laptop i un $. care va fi folosit pentru a asigura operaiunile de administrare a reelei i deasemeni pe care a fost instalat (indo's #erver 8003 pentru realizarea server-ului &*D30# folosit ulterior pentru administrarea utilizatorilor. Date te2nice: .ompati il cu dispozitive ce folosesc protocoale 'ireless C08.6g sau C08.6 i protocoale din cadrul reelelor ca late : 3%%% C08.3 9Q0L*#%-": ! 3%%% C08.3u9600L*#%-"A:K *+#3D3%%% C08.3 *uto +egotiationK ; porturi lan ncorporate de tip 60D6004 ps 6 port 60D600 4 ps de tip (*+ 93nternet: #uport modem-uri ca leDdsl ce poate folosi 3$ dinamic ! 3$ static ! $$o% sau )8"$K #erver DB.$ ce poate aloca p,n la 8H3 adrese clientK .riptare (%$9(ired %Nuivalent $rivacE: pe F;D68C ii K C08.6xD($*! ($*-$#J! "J3$D*%# pentru securitatea sporitK #uport filtrarea dup adrese 4*. sau adrese 3$K .ontrolul traficului cu a1utorul unui sever virtual sau prin crearea unei zone de tip D4R9demilitarized zone:K <fer securitate crscut cu a1utorul unui fire'all #$3D+*" K #uport routarea dinamic i staticK #uport 3$#%. sau te/nologii M$+K -las/ memorE pentru operaiuni de firm'areK .ompati il cu (indo's @HD@CD8000DA$ sau )inux K 4anagement uor via (e Lro'ser9B""$: sau remote managementK *ria de acoperire : interior 30 -H0 metri exterior : H0-800 metri K -recvena : 8.;68 7 8.;C; ?Bz 9Landa 3#4 :K "e/nica de modulare : C08.66 : ..J! DS$#J! DL$#J C08.66g: <-D4 &ate de transfer: C08.66 : 664 ps! H.H 4 ps! 84 ps i 6 4 psK C08.66g : H; 4 ps! ;C 4 ps! 3F 4 ps! 8;4 ps!6C 4 ps!684 ps! @4 ps i F4 psK .anale: 66 canale 90#:! 63 canale 9%0:K

Configura!ia de principiu proiectului :

a platfor#ei folosite pentru i#ple#entar ea practic4 a

$eali7area practic4: 6. #etarea parametrilor de lucru ai routerului *a cum se poate o serva i din configuraia de principiu a sc/emei de funcionare pentru interconectarea routerului cu laptopul client din reea am folosit un adaptor 'ireless "&%+D+%" "%(-;68$. care a fost configurat pe calculatorul client conform cu instruciunile furnizate de driver-ul de instalare. &outer-ul "&%+D+%" "%(-;38L&$ a fost configurat conform cu 'izard-ul implicit furnizat de driver-ul aferent router-ului pe un $. cu sistem de operare (indo's A$ care ulterior va reprezenta i platforma pentru serverul &*D30# folosit pentru autentificarea de nivel nalt a utilizatorilor. *cest 'izard este utilizat pentru setarea informaiilor primare cu privire la caracteristicile router-ului cum sunt : 6 . parola administrator 8. time zone conexiune )*+ i server-ul DB.$. n cadrul acestui pas se seteaz automat 3$-ul server-ului default este DD6@8.6FC.6.6 . "ot 8n cadrul acestui pas se setea74 serverul D9C& care va furni7a clien!ilor adrese I& cuprinse 8ntr-un anu#it interval server-ul D9C& put:nd furni7a p:n4 la 2;3 de adrese I&. conexiunea Internet. <n cadrul acestui pas alege# tipul de conexiune pe care o vo# folosi pentru conexiunea la ,"N. &ute# alege

< tain 3$ automaticallE 9DB.$ client:: n cazul n care server-ul DB.$ a fost setat s administreze adresele 3$ din reea aceast opiune va fi asigurat de server-ul DB.$ furnizat implicit de router. -ixed 3$ *ddress: n cazul n care provider-ul de 3nternet asigneaz o adres 3$ fix ! vor fi introduse adresa 3$ ! masca de su reea ! 3$-ul gate'aE i 3$-ul serverului D+# pentru roterul road and $$$o% cu adres 3$ automat: n cazul utilizrii unei conexiuni de tip $$$o% cu a1utorul unui modem dial-ul sau xD#) iar furnizorul de internet va oferi automat o adres 3$ i apoi un user name i o parol pentru a crea conexiunea. $$$o% cu adres fix: aceeai situaie ca n cazul precedent numai c pe l,ng user name i pass'ord adresa 3$ va fi presta ilit . $$"$: 9point to point tunneling protocol:: acest protocol este folosit n cazul n care se implementeaz o soluie de tip M$+ sau remote acces. )8"$: 9laEer 8 tunneling protocol: o versiune avansat a $$"$ . 'ireless )*+ connection: acest pas este necesar pentru crearea unei reele ()*+. )a crearea acestei reele va fi necesar sta ilirea unui nume ##3D pentru reaeaua viitoare i deasemeni un canal de comunicaie ! date care tre uie s fie aceleai pentru toate dispozitivele 'ireless din cadrul reelei nou create. &estart *cest 'izard reprezint o metoda foarte simpl i foarte la ndem,na unui utilizator o inuit de a crea ! cu a1utorul dispozitivelor potrivite! o reea fr fir. n acest moment pentru muli utilizatori instalarea unei reele ()*+ se oprete aici uurina configurrii lu,nd locul lipsei totale de securizare a reelei. n momentul acesta router-ul va transmite datele sale de identificare ctre toate dispozitivele 'ireless din aria sa de acoperire ! reteaua astfel creat comport,ndu-se ca un teritoriu fr nici un fel de restricii. n continuare vom urmri gradual metodele de securizare a unei reele fr fir aa cum au fost prezentate anterior urm,nd ca n final s furnizm o soluie de securizare a reelei folosind o com inaie ntre autentificarea conform protocolului C08.6x ce folosete o criptare (%$ a datelor ve/iculate n cadrul reelei. &eeaua astfel creat se afl n stadiul unu de securitate a unei reele! orice utilzator put,nd avea acces la resursele reelei fr fir. *stfel de reele sunt folosite de o icei pentru accesul la internet n cadrul campusurilo universitare ! pentru punctele de acces gratuite unde securitate nu esti un deziderat principal ntruc,t se presupune c datele ve/iculate n reea nu necesit protecie suplimentar. n continuare vom prezenta facilitile furnizate de router pentru securizarea reelei nou create. 6. 0n prim pas care poate fi fcut pentru a securiza reeaua nou creat este acela de a dezactiva transmiterea de ctre router a semnalelor de tip eacon prin care acesta furnizeaz clienilor din aria sa de acoperire numele reelei dat de ##3D-ul implicit sta ilit n sesiunea precedent de personalizare a reelei. n cazul n care router-ul dispune de o opiune pentru ascunderea identitii reelei 9##3D:!aceast opiune tre uie activat. De asemenea! tre uie modificat numele reelei! deoarece mai toate folosesc denumirea implicit. n locul acesteia este de preferat o descriere care s nu nsemne nimic re-cognosci il! n nici un caz numele proprii. Dac ##3D-ul este ascuns! /ac2er-ul tre uie s introduc numele reelei manual! ca i n cazul parolelor. *cest truc nu ne ofer ns siguran a solut! fiindc utilitare precum +et'or2 #tum ler descoper i reele ascunse. $entru ilustrarea acestei msuri de securitate am configurat n cadrul domeniului de configurare a router-ului un ##3D de forma : 6EAN3;TUHF/rVv(d*IC iar funcia de W##3D Lroadcast > a fost oprit din meniul cu setari ale reelei ()*+. 0n astfel de identificator al reelei

a1uta nu numai la prote1area ##3D-ului de atacuri de tip Lrute--orce ! ci ofer i o funcie de securitate important: programe gen (%$ .rac2 adun pac/etele transmise de ()*+ n scopul spargerii codrii (%$ .Dar! fiindc driverele (3--i din )inux nu ntreprind nici un fel de verificare a datelor prin sume de control ! iar caracterele speciale din ##3D 9coninute de fiecare pac/et : nu sunt lizi ile pentru program ! pac/etele sunt declarate ca fiind defecte i implicit respinse. .u alte cuvinte pac/etele de date necodate transmise de ()*+ nu mai pot fi interceptate i sparte. $entru conectarea clienilor reelei va tre ui introdus manual numele reelei adic 6EAN3;TUHF/rVv(d*IC iar astfel reeaua va fi recunoscut imediat ce clientul se afl n aria de acoperire a reelei. 8. *a cum am precizat anterior o reea care doar are dezactivat funcia de ##3D roadcast este cu siguran suscepti il unor atacuri de tip 43"4 ntruc,t un acces neautorizat poate fi realizat foarte simplu prin folosirea unei interfee de reaea ce poate lucra n modul promiscous i care poate folosi +et'or2 #tum ler pentru a intercepta traficul din reea i implicit i numele ##3D al reealei. Din aceast cauz o msur suplimentar de securitate oferit de ma1oritatea dispozitivelor fr fir este activarea autentificrii (%$. &outer-ul dispune de posi ilitatea setrii unei autentificri (%$ fie de tip <pen #Estem fie de tip c/eie parta1at. <pen sistem permite accesul desc/is via reea 'ireless la router ns tipul de autentificare cu c/eie parta1at se azeaz pe o c/eie cunoscut de toi utilizatorii din reea . &outer-ul permite setarea unei c/ei maxime de 68C de ii n format fie /eza zecimal fie n format *#.33. Deasemeni se pot seta un numr de ; c/ei (%$ care vor putea fi folosite pentru securizare reelei. $ro lema standardului (%$ dat de vectorul de iniializare.#e recomandca acest vector de iniializare s se repete pentru a nu fi interceptat. Din pcate! acest lucru nu este respectat de toi productorii i nici nu prea exist referine despre cum se genereaz un vector de iniializare. De regul! n acest sens este utilizat un pseudo-generator de numere aleatoare. .onsecina este c! mai devreme sau mai t,rziu! M3-ul a1unge s se repete. 0n studiu realizat de 0niversitatea Ler2leE spune c vectorul de iniializare se repet dup circa H.000 de pac/ete de date transmise n reeaua 'ireless. Dac /ac2er-ul descoper dou pac/ete cu M3 identic! acesta poate descoperi c/eia (%$. $ro lema cea mai important se pare c o constituie faptul c pentru un atac asupra unei reele ()*+ un ru 7voitor nu are nevoie de soft'are complicat !programe care pot sparge (%$ sunt disponi ile de exemplu la adrese ca 'epcrac2.sourceforge.net sau airsnort.s/moo.com . "otui aa cum am precizat mai devreme un element de securitate desuet aa cum este (%$ este mai un dec,t nefolosirea aa ca este indicat utilizarea acestuia n com inaie cu alte metode de ntrire a securitii reelei. Deasemenea router-ul dispune de autentificare ($* i ($*-$#J care vor fi discutate ulterior fiind o soluie de securitate mult mai avansat dec,t simpla folosire a (%$. 3. &outer-ul ofer !ca i un grad crescut de securitate! dou moduri de expediere a datelor : static sau dinamic. n cadrul rutrii statice pot fi sta ilite parametrii de rutare a datelor n cazul n care utilizatorul are o adres 3$ static. Deasemeni este oferit i posi ilitatea unei rutri dinamice acest tip de rutare ncerc,nd s rezolve pro lema unei rute prin folosire unor ta ele de rutare automate. &utarea adreselor poate fi folosit n com inaie cu o zon D4R pentru a direciona traficul din reea ctre aceast zon. ;. n opiunea de acces la facilitile ruterului putem utiliza mai multe ci de restricionare a accesului la reeaua ()*+. a:. -iltrarea 4*.: aceast metod de filtrare a accesului poate fi folosit n con1uncie cu orice alt sc/m de securitate. %a adaug complexitate n ntreinere ! printr-o list a adreselor 4*. a clienilor care au drepturi de acces. "otui aceast soluie nu poate fi considerat o msur suficint de a asigura securitate reelei ntruc,t c/iar i ruterul folosit n cadrul acestui proiect

dispunde de posi ilitatea clonrii adresei 4*. astfel c o astfel de msur poate fi uor compromis. :. -iltrarea accesului pe aza protocolului folosit de client . < list de profile sunt disponi ile i conform cu caracteristicile acestor protocoale pot fi restrricionate anumite porturi de acces la 3nternet. c:. 3$ filter- cu a1utorul acestei opiuni poate fi restricionat acesul adreselor 3$ aflate ntrun anumit interval. d:. Mirtual #erver: cu a1utorul acestei setri putem direciona accesul ctre un server local din cadrul reelei. e:. D4R 7 zon tampon pentru clienii care nu pot avea acces la internet prin intermediul ruterului datorit elementelor de securitate pe care nu le ndeplines ..alculatorul a crei adres 3$ este folosit pentru a indica aceast zon D4R va oferi acces nelimitat la 3nternet. De o icei acest tip de zone de acces la 3nternet sunt folosite n cadrul /ot spoturilor gratuite n care informaiile ve/iculate nu sunt importante. f:.-ire'all &ule *ceste setari definesc toate facilitile puse la dispoziia unui administrator de a reglementa anumite permisiuni vala ile utilizatorilor reelei sau celor care doresc s acceseze reeaua ()*+. .u a1utorul acestor opiuni sunt posi ile implementarea sc/emelor de securitate prezentate n ta elul de mai sus care nu au nevoie ca metod de autentificare folosirea unui server &*D30# i implicit a unei autentificri conform standardului %*$. Server $"DI=S cu protocol ("&. Desfurarea procesului de autentificare ! autorizare i actualizare a contului unui utilizator 'ireless n cadrul reelei se va desfura conform cu dialogul standard de autorizare la un server &*D30# iar participanii la dialogul de autentificare tre uie s respecte aceleai caracteristici de securitate . 1.Sc2e#a de principiu a #onta>ului Client EAP+, Interfaa hostului $%&'$()'$'$**

Autentificatorul Port acces la reea(AP , switch) $%&'$()' $'$ esa!e EAP "nca#sulate ti#ic #entru RADIUS Server autentificare Server AAA (orice server EAP de obicei RADIUS) $%&,$(),$,,$$$ 6

2.&rotocolul de co#unica!ie #erverul de autentificare poate fi n acelai loc cu autentificatorul sau cele dou pot fi n locuridiferite i s se acceseze reciproc prin comunicaie de la distan. 4ulte dintre funciile de autentificare sunt implementate la client i la serverul de autentificare . *cest lucru este enefic pentru punctele de acces! deoarece ele au o memorie mic i putere de procesare redus. Dialogul de autorizare standard const n : *$ 9punctele de acces: cere #"*9staiile: s se identidifice folosind %*$<) 9%*$ over )*+:. #"* i trimite identitatea la *$ *$ trimite mai departe identitatea #"* la *# 9server de autentificare:! prin intermediul %*$ ntre *# i #"* are loc un dialog de autentificare Dac dialogul este terminat cu success ! #"* i *# parta1eaz c/eie de sesiune *# trimite c/eia de sesiune la *$ ntr-un atri ut &*D30# precum i o parte a mesa1ului de acceptare a &*D30# .lientul 'ireless ncearc s se autentifice la reea prin intermediul ruterului ! dar naintea autentificrii este desc/is numai un port necontrolat ce va permite doar mesa1e de autentificare de tip %*$<). *ceste mesa1e vor fi trimise ctre serverul &*D30# care va verifica credenialele clientului prin analiza conturilor din cadrul *ctive DirectorE. $entru realizarea practic am folosit configuraia precedent pe care am ilustrat posi ilitile de securizare ale reelei doar cu a1utorul funciilor oferite de ruter iar n plus pentru realizarea configuraiei de lucru pe calculatorul pe care am instalat ruterul am folosit (indo's #erver 8003 pentru a configura un server &*D30# ce va servi ca autoritate de autentificare a clienilor 'ireless. 3. (le#ente software utili7ate ,indows Standard Server 2**3 (indo's #tandard #erver 8003 este un sistem de operare n reea sigur care ofer rapid i uor soluii pentru firme. *cest server flexi il este alegerea ideal pentru nevoile zilnice ale firmelor de toate mrimile. accept parta1area fiierelor i imprimantelor. ofer conectivitate sigur la 3nternet. permite desfurarea centralizat a aplicaiilor din spaiul de lucru. ofer posi ilitatea unei ogate cola orri ntre anga1ai! parteneri i clieni accept multiprocesarea simetric cu dou ci i p,n la ; gigaoctei 9?<: de memorie. 3*# 3*# 93nternet *ut/entification #ervice: este implementarea 4icrosoft a unui server &*D30# 9&emote Dial 7 in 0ser #ervice: . .a i server &*D30# ! 3*# realizeaz operaiuni centralizate de autentificare! autorizare i nregistrare pentru mai multe tipuri de conexiuni la reea

aa cum sunt reelele M$+ sau ()* ! conexiuni dial-up! remote acces sau conexiuni de tip ruterruter. "ctive Director? *ctive DirectorE este o implementare a serviciilor de directoare )D*$! folosit de 4icrosoft n cadrul sistemelor de operare (indo's. *stfel 5*ctive DirectorE5 pune la dispoziia administratorilor un mediu flexi il cu efect glo al pentru: asignarea permisiunilor! instalarea programelor! nnoirea securitii. "oate aceste operaiuni pot fi aplicate at,t la reele mici! c,t i la reele complexe. *ctive DirectorE 9*D: - este o ierar/ie de c,teva o iecte! unde o iectele se mpart n trei categorii: resurse 9ex: imprimant:! servicii 9ex: pota electronic:! resurse umane 9ex: utilizatori! grupe de utilizatori:. #copul te/nologiei 5*ctive DirectorE5 este de a pune la dispoziie informaii despre aceste o iecte! organizarea o iectelor! controlul accesului! setarea securitii.. @. I#ple#entare practic4 a.. I#ple#entarea autentificatorului )a nivelul ruterului am redirecionat tot traficul ce ncerca s acceseze resursele reelei ctre serverul &*D30# . $entru autentificarea clienilor am folosit (i--i protected *cces cu "J3$ toate cererile de accesare a reelei fiind redirecionate ctre serverul &*D30# indicat prin adresa 6@8.6FC.6.666:6C68. Deasemeni pentru comunicaia dintre ruter-ul 'ireless i server este necesar sta ilirea unei c/ei secrete de comunicare.

-igura F.3 3mplementare ruter b..I#ple#entarea serverului #erverul va fi instalat pe un sistem de operare (indo's #erver 8003 indicat prin adresa int DD6@8.6FC.6.666 iar portul de comunicaie 6C68 va fi desc/is pentru comunicaiile de tip %*$&*D30# dintre suplicant i serverul &*D30#.

Figura.3.1 Creare client I"S Mom identifica ruterul folosit ca i client al serverului de autentificare pentru care vom forma politici de acces la disstana la domeniu! politici ce vor restriciona accesul n funcie de caracteristicile clienilor: adresa 3$ a clientului ! restricii n funcie de momentul data i ora accesrii ! tipul de conexiune ! tipul de protocol folosit pentru securizarea accesului sau dup grupul (indo's creia aparine clientul.

Figura 3.2 &olitici de securitate $entru clientul anterior format am creeat restricii remote ce privesc tipul de autentificare folosit. *stfel vom folosi pentru autentificare 4#-.B*$ v8 care este un protocol al 4icrosoft de tip ./allenge 7/ands/a2e aut/entification protocol .4#-.B*$ v8 este o versiune m untit de 4#-.B*$! foarte utilizat de sistemele (indo's i cu suport criptografic mai un dec,t protocoalele anterioare. %ste recomandat atunci c,nd nu poate fi folosit %*$-")# deoarece aduce ca i element de securitate suplimentar autentificarea mutual. %ste suportat de clienii care ruleaz sistem de operare (indo's @C #econd %dition sau mai nou.$rotocolul n desfurarea sa respect urmtorii pasi: autentificatorul 9serverul 3*#: trimite un rspuns de ncercare ctre clientul ce dorete s se conecteze remote care este reprezentat printr-un identificator de sesiune i un pac/et de date ar itrar.

clientul ce dorete s se conecteze remote trimite un rspuns ce va cuprinde : user nameDun pac/et ar itrar de date de tip c/allengeDo criptare de tip one 7'aE a pac/etului de date primit . autentificatorul verific rspunsul clientului i rspunde furniz,nd : un rspuns ce indic reuita sau eecul sesiuni de conectare! un rspuns de autentificare azat pe pac/etul de date trimis de suplicant. clientul verific validitatea rspunsului de autentificare iar dac aceasta e corect folosete conexiunea. $entru a putea genera un raport corespunztor cu privire la calitatea clienilor ce doresc s acceseze reeaua am creat n cadrul *ctive DirectorE un grup de utilizatori ce va conine toti clienii 'ireless ce se vor conecta la reea! asupra fiecruia sta ilind condiii de negociere a autentificrii. Mom folosi pentru autentificare protocolul $%*$ . #pre deose ire de %*$-")# ! acest protocol se potrivete mai mult reelelor care au nevoie de o autentificare puternic ns fr a utiliza cerificate mutuale. $entru ca! un utilizator s se poat conecta de la distan! este o ligatoriu ca el s ai un cont de utilizator n cadrul domeniului sau grupului de lucru gestionat de server. n cazul nostru exist un grup de lucru n cadrul cruia creem un grup de utilizatori >'ireless>. 4ai departe! n cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distan! practic clienii ()*+.*stfel vom avea urmtorii utilizatori! cu nume generice: W?eorge>! W Daniel> ! W*lina> iar grupul de utilizatori poate fi extins n funcie de cerine. )a creearea utilizatorilor! se vor crea practic conturi de acces n reea. *ceste conturi se vor conforma politicilor de securitate sta ilite n (indo's #erver 8003. %ste o autentificare azat pe nume de utilizator i parol. $entru fiecare utilizator tre uiesc setate anumite proprietai! pentru a putea avea acces de la distan. *sfel! la fiecare cont de utilizator se va merge la W$roprietai> i apoi la utonul WDial-in>.

Figura 3.3 Drepturi acces client *ici putem sta ili dac utilizatorul respectiv are sau nu drept s se conecteze la distan. .a o msur suplimentar de securitate! se poate seta opiunea WMerifE .aller 3D>! adic s se permit accesul! numai daca se conecteaz de la un numr de telefon predefinit. n cazul nostru! vom seta ca la toi utilizatorii s fie permis accesul pe aza politicii de securitate a serverului de acces la distan9W.ontrol access t/roug/ &emote *ccess $olicE>:.*ceasta va fi configurat ulterior. c..I#ple#entarea suplican!ilor $entru fiecare client n parte vom sta ili acessul de tip remote folosin ca i metod de autentificare C08.6x $%*$ cu protocolul 4#-.B*$ v8. . )a proprietaile conexiunii! putem seta

ce tip de conexiune se va iniia 9$$"$ sau )8"$:! nivelul de criptare pe care l dorim! metoda de autentificare folosit 94#-.B*$.v8! %*$:! modul de autentificare 9smart-card! certificate digitale:. $%*$ este o metod de autentificare ce prote1eaz negocierea de tip %*$! ncript,nd coninutul cu ")#. %ste cel mai frecvent folosit n reelele 'ireless C08.66. $%*$ poate fi folosit n con1uncie cu %*$-4#-.B*$-v8! care adaug autentificare mutual aa cum am o servat din detalierea pailor pe care i urmeaz procesul de autentificare. #au %*$-")#! care este cea mai puternic i necesit o infrastructur de c/ei pu lice $J3. n funcie de politica de securitate pe care am sta ilit-o pe server! vom seta conexiunea n felul urmtor: -tip tunel: $$"$ -metoda de autentificare: $%*$ n con1unie cu 4#-.B*$.v8 -puterea de criptare: #trong encrEption 68C- it

Figura 3.3 I#ple#etare suplican!i n momentul conectrii la reea dup redirecionarea accesului ctre server vom oferi credenialele proprii care vor fi comparate cu cele introduse pentru fiecare client n *ctive DirectorE accesul la reea i implicit la resursele reelei fiind permis dec,t dup confruntarea credenialeleor introduse de utilizator cu cele stocate n cadrul grupului creat.

Figura 3.@ Conectare clien!i *utentificarea se va face pe aza conturilor sta ilite n (indo's #erver 8003. n momentul de fa! clienii pot s trimit date n reea i s acceseze resursele de pe calculatoarele din 'lan. .,t timp sunt n reeaua pu lic! datele sunt prote1ate de utilizatorii neautorizai at,t prin criptare c,t i prin Wtunelare>. Conclu7ii &eelele fr fir furnizeaz noi provocri la adresa securitii i administratorilor! care nu au fost nt,lnite n reelele ca late. .ele mai une practici dicteaz o structurare c,t mai adecvat a nivelelor pentru securitatea reelei. *r tre ui luat n considerare configurarea punctelor de acces! fire'all-urilor i a M$+-urilor. #trategiile de securitate ar tre ui definite pentru un nivel accepta il al performanei. #istemul de detectare a intruilor n reelele fr fir ar tre ui s elimine pro lemele de securitate i s asigure c ceea ce credem c este securizat este! de fapt! aa. Dup toate elementele de funcionalitile de securitate i opiunile menionate p,n acum n aceast lucrare! anumite puncte de configurare tre uie avute n vedere n cadrul proiectrii reelelor fr fir de ctre administratorii unor astfel de reele . $e l,ng metodele de securitate mai sus detaliate sunt necesare anumite setri de siguran care s funcioneze ca o prim arier n faa posi ililor atacatori.

%ibliografie
6. $rap/ul ./andra -Lulletproof (ireless #ecuritE ?#4 ! 04"# ! C08.66 i securitatea reelelor ad-/ocK 8. &o -lic2enger - Luilding (ireless .ommunitE +et'or2s! #econd %dition iunie 8003 3. 4erritt 4axim ! David $ollino - (ireless #ecuritE ;. Xa/aanaEe J/an si *nis J/'a1a - Luilding #ecure (ireless +et'or2s 'it/ C08.66 H. *fta */mad- (ireless and mo ile data net'or2sK F. Mictor Maleriu $atriciu ! 4onica %ne $ietrosanu! .alin Maduva ! 3on Lica! +icolae Moicu#ecuritatea comerului elecrtronic

I. Loer! X. 7 Direct #eNuence #pread #pectrum $/Esical )aEer #pecification 3%%% C08.66! doc. 3%%% $C08.66-@FD;@%K C. Lrenner! $. 7 * "ec/nical "utorial on t/e 3%%% C08.66 $rotocol! documentatie 3nternet! '''.sss-mag.comDpdfDC08Y66tut.pdf @. 3rvine! X.! D. Barle 7 Data .ommunications and +et'or2s! %d. (ileE! *nglia! 8008. 60. )oug/! D.).! ". J. Llan2ens/ip! J. X. Jrizman 7 * #/ort "utorial on (ireless )*+s and 3%%% C08.66! 3nstitutul $olite/nic LradleE 7 Mirginia. 66. 4eel! X. 7 #pread #pectrum 9##: applications! Z 3nstitutul D% +*V%&! 68. 4iller! #.). 7 (ireless .ommunication #Estems! note de curs ! ee.tamu.eduD[smiller 63. 4ocanu! Gt. 7 "ransmiterea datelor pe canale 'ireless! referat doctorat 8008! *33-86H-03. 6;. $rem! %... 7 (ireless )ocal *rea +et'or2s! 6H. Ger anescu! D. - &etele 'ireless: secrete mici! efecte mari! $. 4agazine &om,nia! 3unie 8008 6F. *ndre' #. "anem aum 7 &eele de calculatoareK &esurse 3nternet : TTT - /ttp:DD'''.agora.roD TTT - /ttp:DD'''./ot-spot.roD TTT - /ttp:DD'''.c/ip.roD TTT - '''.ieee.org TTT - /ttp:DD'''.'i-fiplanet.comDne'sDarticle.p/pD@0H;F6 TTT - /ttp:DD'''.net'or2'orld.roDgeneral.p/p TTT - /ttp:DD'''.internet-magazin.roDarticol.p/p TTT - /ttp:DD'''.ral.roDp/pDproduse.p/pPcid\;;]?$&#-()*+66L

0inisterul <nv4!4#8ntului al $epublicii 0oldova =niversitatea e2nic4 a 0oldovei Facultatea Inginerie i 0anage#ent 8n (lectronica i eleco#unica!ii Catedra eleco#unica!ii

Dare de Sea#a
Lucrarea de laborator nr.3 5a disciplina: A&rotec!ia infor#a!ieiB

e#a: ASecuritatea infor#aiei in reelele ,ireless +,i-Fi. B

A efectuat: std. gr. TLC-102

Procopciuc V.

A vereficat: Conf. dr.

Ciobanu M.

C2iin4u 2*13