Diploma

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.
Securitatea retelelor wireless. Elemente de criptografie si protocoale

de securitate
Memoriu justificativ
Dezvoltarea extraordinar pe care a cunoscut-o industria calculatoarelor a fost nsoit
pas cu pas de apariia i extinderea reelelor. n aproximativ 30 de ani realizrile sunt
uimitoare calculatoarele au dimensiuni reduse i performane !reu de "nuit cu ani n urm#
iar reelele# dup ani de ncercri n care s-au ela"orat diverse modele# standarde# n care s-au
experimentat diverse proiecte care au disprut sau care s-au unificat se prezint astzi ntr-o
form destul de avansat. $otodat# a crescut numrul aplicaiilor care necesit o reea de
calculatoare. %ecolul nostru a !enerat dependena de informaie oameni care au nevoie s fie
n permanena conectai. &entru aceti utilizatori mo"ili# ca"lul torsadat# ca"lul coaxial i
fi"rele optice nu sunt de nici un folos. 'i au nevoie de date pentru calculatoarele lor porta"ile#
de "uzunar# fr a fi le!ai de infrastructura comunicaiilor terestre. &entru aceti utilizatori#
rspunsul l constituie comunicaiile fr fir.
(eelele )ireless sau mai simplu *+,- au aprut ca o alternativ la reeaua +,-
prin ca"lu reprezent.nd un sistem flexi"il de comunicatii de date # folosit ca o extensie sau o
alternativ la reelelor ca"late # ntr-o cldire sau un !rup de cldiri apropiate . /olosind
undele electroma!netice # dispozitivele *+,- transmit i primesc date prin aer # elimin.nd
necesitatea ca"lurilor i transform.nd reeaua ntr-un +,- mo"il . ,stfel # dac o firm are
un *+,- # la mutarea n alt sediu nu este nevoie de ca"lri i !uriri n perei plafoane pe
care acestea le presupun # ci pur i simplu se mut calculatoarele i reeaua poate funciona
imediat . 0e-i drept # n !eneral reelele *+,- se folosesc mpreun cu +,--urile clasice #
mai ales pentru partea de tiprire n reea pentru le!tura la server .
$ema acestui proiect l reprezint studiul de caz asupra reelelor fr fir i mai ales a
cerinelor de securitate pe care le presupune o astfel de reea #cu aplicaii practice n realizare
unei reele *+,- care s ndeplineasc cerinele unei reele si!ure din punct de vedere a
securitii at.t a accesului la reea c.t i a datelor ve1iculate n cadrul reelei. 2rmtorul
proiect urmrete identificarea elementelor de securitate deja existente n cadrul unei reele
fr fir # posi"iliti de securizare oferite de dipozitive de securizare ale reelei iar parte
Pagina 1 din 148
practic se constituie ntr-un !1id practic ce va puncta sonfi!urri i msuri de securitate
pentu un mediu de comunicaie c.t mai si!ur.
3ntroducere
&rodusele fr fir# de la comanda la distan a televizoarelor i nc1iderii uilor
automo"ilelor la telefonia celular # utilizeaz o form de ener!ie cunoscut ca radiaie
electroma!netic pentru a transporta semnalele. n ultimi ani comunicaiile fr fir i cele
mo"ile au cunoscut o cretere exploziv n ceea ce privete numrul de servicii asi!urate i
tipurile de te1nolo!ii devenite disponi"ile .$e1nolo!ia celular # transimiterea de date n
reele mo"ile i serviciile multimedia sunt ntr-o dezvoltare rapid # utilizatorii mo"ili av.nd
acces la servicii precum e-mail # telefonie # video # e-"an4in! #etc.
De c.iva ani # reelele de calculatoare sunt folosite pentru a interconecta calculatoare
pesonale i servere n firme # universitai i orae # ns n ultimii ani a avut o evoluie rapid
n direcia folosirii reelelor fr fir . De fapt# n prezent sunt disponi"ile interfee fr fir
pentru utilizarea serviciilor de reea care ne permit s folosim pota electronic i s navi!m
pe 3nternet aproape din orice loc ne-am afla .
%istemele fr fir ofer "eneficiul mo"ilitii utilizatorilor i o desfurare flexi"il a
unei reele ntr-o anumit arie. Mo"ilitatea utilizatorilor i permite unui client al reelei s se
mite n diferite locaii ale reelei fr s-i piard conexiunea la reea .(eelele fr fir ofer
deasemenea avantajul c adu!area unui nod la reea se poate face fr prea mult planificare
sau costuri suplimentare de recla"are. ,ceasta face ca viitoare dezvoltri ale reelei s fi
uoare i ieftine . 0reterea rapid a folosirii laptoupurilor i &D,-urilor a condus de
asemenea la creterea dependenei de reelele fr fir datorit faptului c reelele radio pot
face mai uor fa creterii dinamice a utilizatorilor unei reele.
0a orice te1nolo!ie relativ nou #reelele fr fir reprezint un mediu de comunicaie
suscepti"il la ameninri ce in nu numai de aciuni din exteriorul mediului #dar uneori lipsa
unei documentri puternice asupra capa"ilitilor unui astfel de mediu se traduce n pro"leme
de securitate
&rovocrile oferite de reelele fr fir pot fi detaliate pe mai multe planuri.
Deficitul limii de "and face ca pentru reelele radio divizarea limii de "and s fie
esenial # de vreme ce spectrul radio nu numai c este destul de scump # dar este totodat i
limitat.
,ccesul multiplu # adic succesul unie tranmisii nu este independent de alte transmisii
. &entru a face o transmisie reuit tre"uie evitat interferena sau cel puin inut su" control.
&e de alt parte transmisiile multiple pot duce la coliziuni sau la semnale deformate.
Pagina 2 din 148
Direciile multiple de transmisie produc erori varia"ile de transmisie care por conduce
la o conectivitate intemitent.
Mo"ilitate # securitatea i calitatea servicului.
2rmtoarea lucrare se va "aza n special pe acest ultim deziderat al unei reele *+,-
i pe aplicaiile ce rezid din necesitatea unei conexiuni tot mai si!ure i mai de calitate n
cadrul unei reele fr fir.&entru aceasta este nevoie de cunoaterea unor elemente minime ce
se refer la metodele de criptare a datelor ve1iculate n cadrul reelei.
0ripto!rafia este tiina scrierilor secrete. 'a st la "aza multor servicii i mecanisme
de securitate folosite n internet# folosind metode matematice pentru transformarea datelor# n
intenia de a ascunde coninutul lor sau de a le proteja mpotriva modificrii. 0ripto!rafia are
o lun! istorie# confidenialitatea comunicrii fiind o cerin a tuturor timpurilor. Dac ar
tre"ui s ale!em un sin!ur exemplu al cripto!rafiei 5clasice5# acesta ar fi cifrul lui 0ezar# nu
at.t datorit cele"ritii mpratului roman de care se lea! folosirea lui# ci pentru c
principiul su de "aza# al su"stituiei# s-a meninut nealterat aproape dou milenii.
%copul de "az al cripto!rafiei
6. 0onfidenialitate 7 asi!urarea c nimeni nu poate citi mesajul cu excepia
destinatarului.
8. 3nte!ritatea datelor 7 realizeaz protejarea datelor la alterare sau manipularea de
ctre persoane neautorizate. &rin manipularea datelor nele!em procese cum ar fi inserii#
nt.rzieri sau su"stituiri.
3. ,utentificarea 7 presupune posi"ilitatea de identificare a sursei informaiei i a
entitii 9o persoan# un terminal de computer# o carte de credit:.
;. -on-repudierea 7 care previne ne!area unor an!ajamente sau aciuni anterioare.
,utentificarea desemneaz un termen folosit pentru a desemna c anumite mijloace
sunt menite s !aranteze c entitile participante sunt ceea ce pretind a fi sau c informaia
nu a fost manipulat de persoane neautorizate.
$e1nica identificrii sau autentificrii identitilor asi!ur c am"ii participani 9prin
pro"e coro"orate sau do".ndite: implicai au ntr-adevr identitatea pe care o pretind. ,cest
lucru se realizeaz prin transmiterea de date necesare pentru a identifica prile care particip
la comunicaie# am"ii participani fiind activi n aceast comunicaie oferind astfel
oportunitatea unei !aranii.
'ste important a nele!e importana autentificrii. ntr-un canal de comunicaii cu un
sistem ideal de cripto!rafie cu c1ei pu"lice teoretic cele dou pri pot comunica prin
intermediul canalului fr a resimi nevoia sc1im"rii de c1ei. <ri un adversar activ poate
Pagina din 148
nfr.n!e sistemul 9s decripteze mesajele menite s le recepioneze cea de-a doua entitate:
fr a =spar!e> sistemul de cripto!rafie.
$e1nica autentificrii entitilor se poate mpri n trei mari cate!orii# n funcie de
tipul de securitate
ceva cunoscut. ,stfel de exemple includ parolele standard 9uneori folosite pentru
o"inerea de c1ei simetrice: -umere &ersonale de 3dentificare 9&3--uri: i c1ei private# care
prin protocoale provocare-rspuns# se dovedete cunoaterea lor.
ceva posedat. ,cest aspect se refer mai mult la accesorii fizice un fel de paaport
nc vala"il. 'xemple sunt card-urile smart 9card-uri de mrimea unuia de credit cu un
microprocesor ncorporat sau cu un circuit inte!rat:.
ceva motenit9pentru o persoan:. ,ceast cate!orie include metode care fac uz de
caracteristici fizice i de aciuni involuntare cum ar fi semntura# amprente di!itale# vocea#
modelul retinei# !eometria m.inii precum i caracteristicile dinamice ale tastatului. ns
acestea sunt te1nici non-cripto!rafice.
Descriere context i o"iective
nc din momentul n care ?u!liemo Marconi a realizat le!tura ntre un vapor i un
punct de pe coast folosind tele!raful fr fir i codul Morse 9punctele i linile sunt n
definitiv "inare: n anul 6@06# te1nolo!ia )ireless a modificat modul n care oamenii
comunic i transmit informaii. De la modulaia n amplitudine 9,M: a undelor radio din
6@80 i p.na la multitudinea de dispozitive )ireless a secolulului AA# te1nolo!ia )ireless s-a
dezvoltat dramatic# definind noi industrii d.nd natere unui set nou de produse i servicii.
0omunicaiile )ireless au nre!istrat o puternic dezvoltare n ultimele zeci de ani. De
la telecomanda televizorului la sisteme ce comunic via satelit# comunicaiile )ireless au
sc1im"at modul n care trim. Diferitele dispozitive conectate prin intermediul le!turilor
)ireless confer o mo"ilitate ridicat i solicit o infrastructur mult mai simpl dec.t
o"inuitele reele ca"late. /olosind undele electroma!netice# reelele )ireless transmit i
primesc date prin atmosfer# minimiz.nd nevoia de reele ca"late. 0u ajutorul te1nol!iei de
azi reelele )ireless sunt foarte accesi"ile# si!ure i uor de implementat.
(eelele )ireless au c.ti!at o popularitate semnificativ printre utilizatorii foarte
mo"ili i deasemeni printre cei care fac parte din mici !rupuri aa numitele %oBo 9%mall
<ffice Bome <ffice:. (eelele )ireless ofera posi"ilitatea utilizatorilor mo"ili s ai" acces
la informaii n timp real. < reea de calculatoare poate fi realizat at.t ca o reea de sine
stttoare folosind ca mijloc de comunicaie doar le!turile )ireless # ca o reea de tip
Pagina 4 din 148
enterprise-reea la scar mare n!lo".nd sute de calculatoare-# ca o extensie la o reea ca"lat
sau ca un nlocuitor pentru o reea ca"lat.
(eele )ireless ad-1oc sunt o colecie de 1ost-uri care formeaz o reea temporar fr
o structur centralizat sau administrare. $opolo!ia reelei se modific n mod constant ca
rezultat al faptului c nodurile se altur sau ies din reea. naintarea pac1etelor# rutarea sau
alte operaii sunt realizate de noduri.
0reterea popularitii reelelor )ireless a determinat o scdere rapid a preului
ec1ipamentelor )ireless concomitent cu o accentuat m"untire a performanelor te1nice
ale acestora. < infrastructur )ireless poate fi realizat astzi cu c1eltuieli mult mai mici
dec.t una tradiional pe ca"lu. n acest fel# apar premizele realizrii accesului ieftin i uor la
3nternet mem"rilor comunitilor locale# cu toate "eneficiile ce rezult de aici. ,ccesul la
informaia !lo"al constituie o surs de "o!ie la scar local# prin creterea productivitii
muncii "azate pe accesul la cvasitotalitatea informaiilor disponi"ile n lume n le!tur cu
activitatea prestat. $otodat# reeaua devine mai valoroas pe msur ce tot mai muli
oameni se lea! la ea.

Pagina ! din 148
/i!ura6.6$ipuri de reele )ireless
01iar i fr accesul la 3nternet comunitile le!ate la reele )ireless se "ucur de
avantaje - pot cola"ora la diferite proiecte cu ntindere !eo!rafic mare folosind comunicaii
vocale# e-mail7uri i transmisii de date cu costuri foarte mici. n ultim instan# oamenii
nele! c aceste reele sunt realizate pentru a intra mai uor n le!tur unii cu alii.
< reea# fie c este ca"lat sau )ireless# este creat pentru a transporta date ntre doi
sau mai muli clieni. $ipul datelor poate avea un caracter pu"lic sau confidenial. Dac
pentru datele de tip neconfidenial securitatea conexiunii nu este o pro"lem c1iar aa de
important# pentru cele confideniale# securitatea datelor este critic.
%ecuritatea reelelor )ireless este cu at.t mai !reu de o"inut mai ales datorit
vulnera"ilitii le!turilor# proteciei fizice limitate a fiecrui dintre noduri# conectivitii
sporadice# topolo!iei care se sc1im" dinamic# a"sena autoritii de certificare i lipsa unei
monitorizri centralizate sau unui punct de mana!ement.
&entru securizarea reelelor )ireless au fost definite suita de protocoale 3''' C08.66
aD"D!Dn cunoscute ca i *i-/i 9*ireless /idelitE: i C08.6F cunoscut i ca *iMax
9*orld)ide 3nteropera"ilitE for Micro)ave ,ccess:.
Pagina " din 148
/i!ure 6.8 ,coperirea cu semnal de la un punct de acces
%tanda
rd
(ata de
transfer
Ganda $ipul de
modulaie
%ecuritatea &ro i contra 7 informaii
3'''
C08.66
&.n la 8
M"ps n
"anda de
8.; ?Bz
<pereaz n
"anda de
frecvene 3%M
93ndustrie#
Htiin#
Medicin:
/B%% sau
D%%%
*'& i
*&,
,cest standard a fost
extins la C08.66 "
3'''
C08.66
a 9*i-
/i:
&.n la I;
M"ps n
"anda de
I?Bz
<pereaz n
"anda 3%M ntre
I#J;I i I#C0I
?Bz i n "anda
2-33
92nlicensed
-ational
3nformation
3nfrastructure:
ntre I#6J0 i
</DM *'& i
*&,
(atificat la 6F septem"rie
6@@@
%e folosesc opt canale
&osi"ilitatea de
interferen mai mic
dec.t C08.66 " i !
suport mai "ine
multimedia voce i video
n aplicaii cu mai muli
utilizatori
raza de operativitate mai
Pagina # din 148
I#380 ?Bz. mic
nu este interopera"il cu
C08.66 "
3'''
C08.66
" 9*i-
/i:
&.n la
66M"ps
n "anda
de 8.;
?Bz
<pereaz n
"anda de
frecvene 3%M
93ndustrie#
Htiin#
Medicin:
Modulaiile
numai de
tipul celor
care au
dispersia
spectrului
cuprins
ntre 8#;68
i 8#;C;
?Bz
D%%% cu
00K
*'& i
*&,
ratificat n 6F septem"rie
6@@@L
putere la ieire de p.n la
6 )attL
,re nevoie de mai puine
puncte de acces dec.t
C08.66a pentru
acoperirea unor arii lar!iL
<fer acces de vitez
mare p.n la distana de
300 picioare
%unt disponi"ile 6;
canale n "anda de 8.;
?Bz 9dintre care numai
66 se pot folosi n 2.%.
datorit re!lementrilor
/00:
3'''
C08.66
! 9*i-
/i:
&.n la
I;M"ps
n "anda
de 8.;
?Bz
Ganda 3%M </DM la
peste 80
M"ps#
D%%% cu
00K su"
80 M"ps
*'& i
*&,
(atificat n iunie 8003
&oate nlocui C08.66"
0apa"iliti de securitate
sporit
3'''
C08.6F
9*iM
,A:
n "anda
de 60 la
FF ?Bz
Dou "enzi
liceniate 3#3 7
3#C ?Bz i 8#3
7 8#J ?BzL
Gand
neliceniat
I#J8I 7 I#CI
</DM D'% i
,'%
(atificat n 800;L
&oate s utilizeze mai
multe "enzi de frecvene#
liceniate i neliceniate#
alocate de 3$2L
Definete un standard
pentru reele de "and
lar! )ireless
Pagina 8 din 148
?Bz. metropolitane
3'''
C08.6F
a
%uport
pentru
!ama de
la 8 la 66
?Bz
8 la 66 ?Bz </DM D'%3 i
,'%
Glueto
ot1
&.n la 8
M"ps
"anda de
8.;I?Bz
/B%% &&$&# %%+
sau M&-
-u suport $0&D3& sau
)ireless +,-L
2tilizat mai cu seam
pentru conectarea &D,-
urilor# telefoanelor
mo"ile i &0 ntr-o arie
mic.
$a"el 6 3nformaii despre standardele reelelor )ireless
&rin folosirea acestor metode de securizare se asi!ur controlul de acces la reea i
confidenialitatea datelor care trec prin aceasta.
ntr-o reea )ireless desc1is 9numit i <pen %Estem:# oricine se afl n aria de
acoperire se poate conecta# c1iar i utilizatorii nedorii. De aici se ajun!e la diverse pro"leme
cum ar fi irosirea limii de "and 9folosit de intrui:# introducerea de pro!rame cu caracter
maliios n reeaua privat# sau aa numitul eavesdroppin! 9interceptarea i citirea mesajelor
sau a oricrui tip de date:. +ipsa de securitate a reelelor <pen %Estem poate duce la
simplificarea muncii celor ce fac spionaj industrial sau a celor care consider intruziunea ntr-
o reea )ireless privat o distracie.
%ituaia este diferit n cazul reelelor securizate# utilizatorii# pentru a avea acces la
reea# tre"uie s se autentifice nt.i iar conexiunea 9transferul datelor: este criptat. ,stfel#
at.t reeaua c.t i utilizatorii sunt protejai de pericolele prezentate mai sus. n caz de nevoie
utilizatorii pot fi separai ntre ei# sau pe !rupuri 9departamente# etc: prin folosirea de tunele
M&-# sau alte modaliti.
&uncte sla"e ale reelelor fr fir 0a la orice alt te1nolo!ie nou# i n acest caz a
fost dezvoltat mai nt.i funcionalitatea. 0onfi!urarea i utilizarea reelelor *+,- tre"uia
s decur! c.t mai simplu i mai conforta"il. Dup ce interesul pentru avantajele noii
te1nolo!ii a fost trezit# a venit clipa eliminrii "u!-urilor sau a punctelor sla"e. 0u toate
Pagina $ din 148
acestea# dezvoltarea rapid a reelelor radio nu a avut numai consecine pozitive numeroase
"u!-uri i c.teva "ree de securitate au dunat ima!inii *+,-# astfel nc.t 9n ciuda
multiplelor avantaje: muli administratori au evitat utilizarea reelelor )ireless. +a
planificarea# instalarea i administrarea reelei dumneavoastr )ireless tre"uie s avut
ntotdeauna n vedere faptul c te1nolo!ia *+,- nu a fost !.ndit ca mijloc de transport
pentru date importante. De aceea# aspectul securitii tre"uie tratat cu maxim seriozitate.
01iar i funciile de securitate incluse ulterior n *+,-# ca de exemplu *ired 'Nuivalent
&rivacE 9*'&: sau ,ccess 0ontrol +ist 9,0+: s-au dovedit a fi nesi!ure uor de ocolit cu
ajutorul uneltelor sofisticate utilizate de 1ac4eri i de aa-numiii )ar driveri. Marele minus al
te1nolo!iei const n lipsa proteciei fizice a datelor de transferat# care exist n reelele pe
ca"lu. &ac1etele de date sunt prea puin protejate la transferul prin unde radio i se distri"uie
aproape incontrola"il n mediul am"iant. ,adar# ele pot fi de exemplu recepionate de ctre
teri# nre!istrate# evaluate sau c1iar manipulate. n special monitorizarea traficului de reea#
aa numitul sniffin!# este unul dintre cele mai mari pericole n *+,-.
8. (eele )ireless
0alculatoarele mo"ile# aa cum sunt "locnotesurile sau asistenii personali di!itali
9&D,-urile:# reprezint se!mentul din industria te1nicii de calcul cu dezvoltarea cea mai
rapid. Muli posesori ai acestor calculatoare au la "irou sisteme le!ate la +,--uri i *,--
uri i vor s se conecteze la acestea# c1iar i atunci c.nd se afl n locuri deprtate de cas sau
pe drum. Deoarece le!turile prin fir sunt imposi"ile n maini i avioane# interesul pentru
reelele radio este foarte puternic. n aceast seciune vom face o scurt introducere n acest
su"iect prezent.nd mai n detaliu principiile teoretice ce stau la "aza funcionrii unei mediu
fr fir.
0omunicaiile di!itale fr fir nu reprezint# de fapt# o idee nou. nc din 6@06#
fizicianul italian ?u!lielmo Marconi a realizat le!tura ntre un vapor i un punct de pe
coast folosind tele!raful fr fir i codul Morse 9punctele i liniile sunt# n definitiv# "inare:.
%istemele radio moderne au performane mai "une# dar ideea fundamental a rmas aceeai.
(eelele radio au numeroase utilizri. Giroul porta"il reprezint una dintre ele.
<amenii aflai pe drum doresc adesea s foloseasc ec1ipamentele lor electronice porta"ile
pentru a trimite i primi faxuri i pot electronic# pentru a citi fiiere aflate la distan#
pentru a se conecta la distan i aa mai departe. Hi doresc s fac aa ceva din orice loc de
pe uscat# ap sau aer. (eelele radio sunt de mare importan pentru parcurile de camioane#
taxiuri i auto"uze# ca i pentru ec1ipele de intervenie care tre"uie s menin contactul cu
"aza. (eelele radio pot fi de asemenea utile pentru ec1ipele de intervenie n locuri de
Pagina 1% din 148
dezastru 9incendii# inundaii# cutremure etc.: unde sistemul telefonic a fost distrus.
0alculatoarele aduse la faa locului pot s trimit mesaje# s nre!istreze informaii i aa mai
departe.
n sf.rit# reelele radio sunt importante pentru armat. Dac tre"uie s faci fa n cel
mai scurt timp unui rz"oi care se poate desfura oriunde n lume# atunci pro"a"il c nu este
o idee "un s te "azezi pe infrastructura de reele existent la faa locului. 'ste mai "ine s-i
aduci propria reea.
/r fir Mo"il ,plicaii
-u -u %taii de lucru staionare ntr-un "irou
-u
Da
Da
-u
/olosirea unui calculator porta"il ntr-un 1otel sau pentru
inspecia trenurilor
+,--uri instalate n cldiri mai vec1i# fr fire
Da Da Girouri mo"ileL &D,-uri pentru inventarierea ma!aziei
$a"el 80om"inaii de reele fr fir i te1nic de calcul mo"il.
Dei reelele fr fir i ec1ipamentele de calcul mo"ile sunt adesea nrudite# ele nu
sunt identice 9a se vedea ta"elul alturat:. 0alculatoarele porta"ile comunic uneori cu
ajutorul firelor. Dac ntr-un 1otel un turist racordeaz un calculator mo"il la mufa de telefon#
acesta este un exemplu de mo"ilitate fr reea radio. 2n alt exemplu se refer la o persoan
care poart cu sine un calculator mo"il n timp ce inspecteaz# pentru pro"leme te1nice# un
tren. n acest caz# n spatele calculatorului poate foarte "ine s at.rne un fir lun! 9ca la
aspirator:.
Dei +,--urile fr fir sunt uor de instalat# ele au i unele dezavantaje. 0apacitatea
lor tipic este de 6-8 M"ps# ceea ce este mult mai puin dec.t n cazul +,--urilor cu fir. De
asemenea# rata de erori este adesea mai mare# iar transmisiile ntre diferite calculatoare pot
interfera unele cu altele.
Dar exist# desi!ur# i aplicaii cu adevrat mo"ile# fr fir# ncep.nd cu "iroul porta"il
i termin.nd cu persoanele care fac inventarul unui ma!azin folosind &D,-uri. n multe
aeroporttiri a!lomerate# an!ajaii companiilor de nc1iriat maini lucreaz n parcri cu
calculatoare porta"ile fr fir. 'i introduc n calculator numrul de nmatriculare al fiecrei
maini returnate# iar porta"ilele lor# care au n!lo"at o imprimant# apeleaz calculatorul
central# primesc informaii despre nc1irierea respectivei maini i eli"ereaz factura de plat
pe loc.
*ireless +,- reprezint# mai precis# reele de calculatoare ce comunic ntre ele prin
le!turi definite de standardele C08.66" sau C08.66!. 0onform acestor standarde#
comunicarea se face pe "anda de frecven de 8.;?1z pe un numr de maxim 6; canale. +a
Pagina 11 din 148
noi n ara pot fi utilizate 63 canale fr nici o autorizaie preala"il dac nu se depete
puterea maxim admis pentru aceast frecven.
'xist dou moduri de realizare a unei reele fr fir
O ,d-1oc - %e conecteaz ntre ele mai multe calculatoare. -u exist conectivitate cu o
reea cu fir sau conectarea cu reeaua cu fir se face prin intermediul unui calculator cu o
aplicaie soft)are dedicat. %e preteaz n !eneral pentru un numr redus de calculatoare
aflate pe o suprafa mic. /iecare calculator se conecteaz cu cellalt fr a fi nevoie de un
alt ec1ipament.
O 3nfrastructure - 0omunicarea se face prin intermediul unui ec1ipament activ numit
access point 9,&:. < le!tur ntre 8 calculatoare se face prin intermediul access point-ului la
care sunt conectate fiecare dintre ele. ,cest mod de lucru permite o raz mare de acoperire
prin utilizarea mai multor access point-uri conectate intre ele. De asemenea# e modul de lucru
preferat dac se dorete interconectarea unei reele cu fir cu o reea fr fir sau le!tura ntre
un numr mare de clieni fr fir.
/i!ure6.3Moduri de realizare a unei reele fr fir
&entru o "un inele!ere a modului de realizare i a facilitilor oferite de reelele
)ireless tre"uie mai nt.i s nele!em elementele de "az i modul de realizare a reelelor
ca"late.
8.6 (eele de calculatoare
n ultimii zece ani reelele de calculatoare au devenit o parte inte!rant a vieii noastre
zi cu zi. De la 3nternet care este o reea de reele# la reelele de la locul de munc# ma!azinele
de alimente# "nci sau spitale# aproape fiecare pare a fi conectat la o reea de calculatoare. <
reea de calculatoare este format din cel puin dou calculatoare care sunt conectate pentru a
partaja resurse sau pentru a comunica pentru diverse motive. De exemplu o reea de
Pagina 12 din 148
calculatoare dintr-o companie interconecteaz mai multe calculatoare pentru a facilita
le!turile ntre an!ajai prin partajarea fiierelor# serviciul de email sau mana!ementul
informaiilor. Gncile folosesc reelelele de calculatoare pentru a realiza servicii de
mana!ement a conturilor unde datele c.t mai exacte sunt foarte importante.$impul de
realizare a tuturor acestor tas4-uri de un sin!ur calculator ar fi imens# nsa partajarea puterii
de prelucrare a calculatoarelor dintr-o reea face ca acest timp sa fie extrem de redus.
0alculatoarele care sunt doar interconectate spunem c lucreaz ntr-o reea local de
calculatoare-+,-. Deseori aceste reele sunt conectate cu alte reele sau sunt conectate la
3nternet pentru a furniza acces imediat la informaii. 2neori# din motive de securitate reelele
locale de calculatoare sunt restricionate la accese locale sau private.
'lemente fundamentale de interconectare a calculatoarelor
< dat cu extinderea domeniilor de aplicare a calculatoarelor# a crescut i numrul
utilizatorilor ce doreau s fac sc1im" de date sau s prelucreze informaiile comune. De
exemplu# zeci de an!ajai ai unei intreprinderi lucreaz mpreun la ela"orarea "u!etului#
fiecare din ei fiind responsa"il de un anumit compartiment. n cadrul unei companii de
transporturi aeriene "iletele la una i aceiai curs pot fi vndute de mai multe a!enii# care
evident# se afl n orae diferite.&entru a soluiona astfel de pro"leme# au fost ela"orate
mijloace te1nice care permit calculatoarelor s comunice ntre ele.
-umim reea# o mulime de calculatoare ce pot sc1im"a informaii prin intermediul
unei structuri de comunicaii.
Modelul de referin <%3
Modelul de referina <%3 se "azeaz pe o propunere dezvoltat de ctre <r!anizaia
3nternaional de %tandardizare 93nternational %tandards <r!anization - <%3: ca un prim pas
ctre standardizarea internaional a protocoalelor folosite pe diferite niveluri 9DaE i
Pimmerman# 6@C3:. Modelul se numete 3%< <%3 9<pen %Estems 3nterconection -
3nterconectarea sistemelor desc1ise:# pentru c el se ocup de conectarea sistemelor desc1ise
- adic de sisteme desc1ise comunicrii cu alte sisteme. Modelul <%3 cuprinde apte niveluri.
&rincipiile aplicate pentru a se ajun!e la cele apte niveluri sunt urmtoarele
2n nivel tre"uie creat atunci c.nd este nevoie de un nivel de a"stractizare diferit.
/iecare nivel tre"uie s ndeplineasc un rol "ine definit.
/uncia fiecrui nivel tre"uie aleas acord.ndu-se atenie definirii# de protocoale
standardizate pe plan internaional.
Delimitarea nivelurilor tre"uie fcut astfel nc.t s se minimizeze fluxul de
informaii prin interfee.
Pagina 1 din 148
-umrul de niveluri tre"uie s fie suficient de mare pentru a nu fi nevoie s se
introduc n acelai nivel funcii diferite i suficient de mic pentru ca ar1itectura s rm.n
funcional.
/i!ura8.6Modelul <%3
Modelul <%3 nu reprezint n sine o ar1itectur de reea# pentru c nu specific
serviciile i protocoalele utilizate la fiecare nivel. 3%< a produs de asemenea# standarde
pentru fiecare nivel# ns aceste standarde nu fac parte din modelul de referin propriu-zis.
/iecare din standardele respective a fost pu"licat ca un standard internaional separat.
$rei concepte sunt eseniale pentru modelul <%3
%ervicii
3nterfee
&rotocoale
&ro"a"il c cea mai mare contri"uie a modelului <%3 este c a fcut explicit
diferena ntre aceste trei concepte. /iecare nivel realizeaz nite servicii pentru nivelul situat
deasupra sa. Definiia serviciului spune ce face nivelul# nu cum l folosesc entitile de
deasupra sa sau cum funcioneaz nivelul.
3nterfaa unui nivel spune proceselor aflate deasupra sa cum s fac accesul. 3nterfaa
precizeaz ce reprezint parametrii i ce rezultat se o"ine. -ici interfaa nu spune nimic
despre funcionarea intern a nivelului.
Pagina 14 din 148
&rotocoalele perec1e folosite ntr-un nivel reprezint pro"lema personal a nivelului.
-ivelul poate folosi orice protocol dorete# cu condiia ca acesta s funcioneze 9adic s
ndeplineasc serviciul oferit:. -ivelul poate de asemenea s sc1im"e protocoalele dup cum
vrea# fr ca acest lucru s afecteze pro!ramele din nivelurile superioare.
Modelul de referin <%3 a fost conceput nainte s fi inventate protocoalele. <rdinea
respectiv semnific faptul c modelul nu a fost orientat ctre un set specific de protocoale#
fiind prin urmare destul de !eneral. (eversul este c proiectanii nu au avut mult experien
n ceea ce privete acest su"iect i nu au avut o idee coerent despre mprirea funciilor pe
niveluri.
De exemplu# nivelul le!tur de date se ocupa iniial numai cu reelele punct-la-punct.
,tunci c.nd au aprut reelele cu difuzare a tre"uit s fie introdus n model un su"nivel nou.
0.nd au nceput s se construiasc reele reale utiliz.nd modelul <%3 i protocoalele
existente# s-a descoperit c acestea nu se potriveau cu specificaiile serviciului cerut astfel c
a tre"uit introdus n model conver!ena su"nivelurilor# ca s existe un loc pentru a !losa pe
mar!inea diferenelor. 0omitetul se atepta iniial ca fiecare ar s ai" c.te o reea care s
fie n custodia !uvernului i s foloseasc protocoalele <%3# aa c nu s-a dat nici o atenie
interconectrii.
Modelul de referin $0&D3&
$0&D3& este o suit de protocoale# dintre care cele mai importante sunt $0& i 3&# care
a fost transformat n standard pentru 3nternet de ctre %ecretariatul pentru ,prare al %tatelor
2nite# i care permite comunicaia ntre reele etero!ene 9interconectarea reelelor:. Modelul
de referin 3%<D<%3 definete apte nivele pentru proiectarea reelelor# pe c.nd modelul
$0&D3& utilizeaz numai patru din cele apte nivele# dup cum se vede din fi!ura 8.8.
Pagina 1! din 148
/i!ura 8.8 0omparaie <%3 -$0&D3&
/amilia de protocoale $0&D3& are o parte sta"il# dat de nivelul 3nternet 9reea: i
nivelul transport# i o parte mai puin sta"il# nivelul aplicaie# deoarece aplicaiile standard se
diverific mereu.
n ceea ce privete nivelul !azd la reea 9ec1ivalentul nivelul fizic i le!tura de date
din modelul <%3:# cel mai de jos nivel din cele patru# acesta este mai puin dependent de
$0&D3& i mai mult de driverele de reea i al plcilor de reea. ,cest nivel face ca
funcionarea nivelului imediat superior# nivelul 3nternet# s nu depind de reeaua fizica
utilizat pentru comunicaii i de tipul le!turii de date.
&rotocoalele din familia $0&D3& trateaz toate reelele la fel. De aici rezult un
concept fundamental pentru reelele $0&D3&# i anume acela c# din punct de vedere al unei
reele !lo"ale# orice sistem de comunicaii capa"il s transfere date conteaz ca o sin!ura
reea# indiferent de caracteristicile sale.
-ivelul 3nternet are rolul de a transmite pac1etele de la sistemul surs la sistemul
destinaie# utiliz.nd funciile de rutare. +a acest nivel se pot utiliza mai multe protocoale# dar
cel mai cunoscut este protocolul 3nternet 3&. -ivelul transport are rolul de a asi!ura
comunicaia ntre pro!ramele de aplicaie. -ivelul aplicaie asi!ur utilizatorilor o !am lar!a
Pagina 1" din 148
de servicii# prin intermediul pro!ramelor de aplicaii. +a acest nivel sunt utilizate multe
protocoale# datorita multitudinii de aplicaii existente# i care sunt n continua cretere.
$ipuri de reele
(eelele de calculatoare se clasific# dup dimensiunile ariei !eo!rafice pe care sunt
rsp.ndii utilizatorii # dar i dup soluiile te1nice de implementare ce rezult din acest fapt
n
reele de arie lar! 9*,-
6
: - destinate conectrii unor calculatoare aflate la distane
!eo!rafice considera"ile# deci din cadrul unor orae# ri sau continente. ,cestea folosesc
pentru interconectare le!turi ce ofer o vitez de transmisie i o fia"ilitate mare# nc1iriate
de la companiile de telecomunicaii pu"lice i av.nd o ierar1izare detaliat a comunicaiilor
din reea. (eeaua 3nternet este cea mai mare reea *,- i este compus din mii de reele
rsp.ndite n ntrea!a lumeL
reele locale 9 +,- : - destinate conectrii unor calculatoare 9precum i a altor
dispozitive pro!rama"ile: situate la distane relativ mici 9de la c.iva metri p.n la I Q4mR#
deci amplasate ntr-o aceeai cldire sau ntr-un !rup de cldiri nvecinate:# folosind le!turi
dedicate 9proprietate a utilizatorilor: de viteze mari de transmisie i cu o fia"ilitate adecvat.
+,--urile sunt necomutate 9adic nu au rutere:L *,--urile sunt comutate.
reele metropolitane 9M,-
8
: - reprezint o extensie a reelelor +,- i utilizeaz n
mod normal te1nolo!ii imilare cu acestea. ,ceste reele pot fi at.t private c.t i pu"lice. <
reea M,- conine numai un ca"lu sau dou# fr s conin elemente de comutare care
dirijeaz pac1etele pe una dintre cele c.teva posi"ile linii de ieire. 2n aspect important al
acestui tip de reea este prezena unui mediu de difuzare la care sunt ataate toate
calculatoarele. ,ceste reele funcioneaz# n !eneral# la nivel de ora.
8.8 $e1nici de realizare a reelelor )ireless
%ecolul nostru a !enerat dependena de informaie oameni care au nevoie s fie n
permanen conectai. &entru aceti utilizatori mo"ili# ca"lul torsadat# ca"lul coaxial i fi"rele
optice nu sunt de nici un folos. , aprut nevoia de a avea date pentru calculatoare porata"ile#
de "uzunar# fr a fi le!ai la infrastructura comunicaiilor terestre. &entru aceti utilizatori #
rspunsul l constituie comunicaiile fr fir.
6
*,- - *ide ,rea -et)or4
83
M,- - Metropolitan ,rea -et)or4
Pagina 1# din 148
0omunicaia fr fir este avantajoas c1iar i pentru ec1ipamentele fixe n anumite
nprejurri. De exemplu# n cazul n care conectarea unei cldiri cu ajutoul fi"rei este dificil
datorit terenului comunicaia fr fir este prefera"il. 'ste de remarcat faptul c sistemele de
comunicaie di!ital fr fir au aprut n 3nsulele Ba)aii# unde utilizatorii erau desprii de
ntinderi mari de ape # sistemul telefonic fiind inadecvat. Din cauza mediului uneori foarte
Sneprietenos> te1nolo!ia reelelor fr fir a reprezentat soluia ideal la locul potrivit ntruc.t
o astfel de reea poate trece peste inconveniente ce privesc mediul de desfurare a
utilizatorilor sau mediul de transmitere a datelor.
%pectrul electroma!netic
,tunci c.nd electronii se afl n micare# ei creeaz unde electroma!neticecare ce se
pot propa!a n spaiu 9c1iar i n vid:. ,ceste unde au fost prezise de fizicianul "ritanic Tames
0ler4 Max)ell n 6CFI i au fost produse i o"servate pentru prima dat de fizicianul
Beinric1 Bertz n 6CCJ. -umrul de oscilaii pe secund este numit frecven# f # i este
msurat n n Bz. Distana dintre dou maxime 9sau minime: consecutive este numit
lun!ime de und notaia universal fiind U 9lam"da:.
&rin ataarea unei antene corespunztoare unui circuit# undele electroma!netice pot fi
difuzate eficient i interceptate de un receptor# aflat la o anumit distan . $oate
comunicaiile fr fir se "azeaz pe acest principiu.
n vid toate undele electroma!metice se transmit cu aceeai vitez# indferent de
frecven. ,ceast vitez# de o"icei numit viteza luminii# c# este de aproximativ 3 x6060
msec# sau aproape i picior pe secunda 930 cm: pe nanosecund. n cupru sau n fi"r viteza
scade la aproape 8D3 din aceast valoare i devine uor dependent de frecven. Miteza
luminii este viteza maxim care se poate atin!e.
(elaia fumdamental dintre# f# U si c 9 n vid : este
UfVc
%pectru electroma!entic este prezentat n ima!inea urmtoare . Domeniile
corespunztoare undelor radio# microundelor# undelor infraroii i luminii vizi"ile din spectru
pot fi folosite pentru transmiterea informaiei prin modularea amplitudinii# frecvenei# sau
fazei undelor. +umina ultraviolet# razele A i razele !ama ar fi c1iar mai performante
datorit frecvenei lor mai nalte# dar ele sunt !reu de produs i modulat# nu se propa! "ine
prin cldiri i sunt periculoase fiinelor vii.
Pagina 18 din 148
/i!ure 8.3 %pectrul electroma!netic aa cum este folosit n telecomunicaii
0antitatea de informaie pe care o und electroma!netic o poate transporta este
le!at de lr!imea ei de "and. /olosind te1nolo!ia curent# este posi"il s codificm c.iva
"ii pe Bertz la frecvene joase i deseori p.n la ;0 "iiDBz n anumite condiii# la frecvene
nalte# deci un ca"lu cu lr!ime de "and de I00 M1z poate transporta mai muli !o!a"iiDsec.
$ransmisia radio
2ndele radio sunt uor de !enerat# pot parcur!e distane mari# penetreaz cldirile cu
uurin# fiind lar! rsp.ndite n comunicaii# at.t interioare c.t i exterioare. 2ndele radio
sunt deasemenea omnidirecionale# ceea ce nseamn s pot propa!a n orice direcie de la
surs# deci nu este nevoie de o aliniere fizic a transmitorului i a receptorului.
&roprietile undelor radio sunt dependente de frecvene. +a frecvene joase# undele
radio se propa! "ine prin o"stacole# dar puterea semnalului scade mult odat cu distana de
la surs# aproximativ cu 6Dr
3
n aer. +a frecvene nalte# undele radio tind s se se propa!e n
linie dreapt i s sar peste o"stacole. De asemenea# ele sunt a"sor"ite de ploaie. $oate
frecvenele radio sunt supuse la interferene datorate motoarelor i altor ec1ipamente
electrice.
Datorit capacitii undelor radio de a se propa!a pe distane mari# interferena dintre
utilizatori devine o pro"lem. Din acest motiv# toate !uvernele acord cu foarte mare atenie
Pagina 1$ din 148
(adio Microunde 3nfrarou 2M (aze A
(aze
?amma
f9Bz: 60
0
60
8
60
;
60
F
60
C
60
60
60
68
60
6;
60
6F
60
6C
60
80
60
88
60
8;
+umin
vizi"il
0a"lu torsadat
0oax
%atelii
Maritim ,M /M
$M
Microunde
terestre
/i"re
optice
f9z: 60
;
60
I
60
F
60
J
60
C
60
@
60
60
60
66
60
68
60
63
60
6;
60
6I
60
6F
(adio (adio
Gand +/ M/ B/ MB/ 2B/ %B/ 'B$ $B/
licenele pentru utilizatorii de transmitoare radio. n "enzile de frecven foarte joase# joase
i medii# undele radio se propa! la sol# dup cum este prezentat n fi!ura urmtoare . ,ceste
unde pot fi detectate p.n la aproximativ 6000 Km pentru frecvene joase i mai puin pentru
cele mai nalte. Difuzarea undelor radio ,M folosete "anda M/# acesta fiind motivul pentru
care staia radio ,M din Goston nu poate fi auzit cu uurin n -e) Wor4 ca un exemplu.
2ndele radio n aceast "and trec uor prin cldiri# fiind astfel posi"il utilizarea radiourilor
porta"ile n spaii interioare. &ro"lema principal care apare la comunicarea de date la aceste
frecvene este lr!imea relativ mic a "enzii pe care o ofer.
n "enzile nalte i foarte nalte# undele de la sol tind s fie a"sor"ite de pm.nt.<ricum#
undele care atin! ionosfera# un strat de particule care nvelesc atmosfera la o nlime de 600
p.n la I00 Km# sunt refractate de aceasta i trimise napoi spre pm.nt. n anumite condiii
atmosferice# semnalele pot parcur!e acest drum de mai multe ori.
$ransmisia prin microunde
&este 600 MBz# undele se propa! n linii drepte i pot fi# din acest motiv#
direcionate. 0oncentr.nd toat ener!ia ntr-un fascicol n!ust# cu ajutorul unei antene
para"olice 9ca o anten de satelit o"inuit: rezult o valoare mult mai ridicat a ratei de
semnal-z!omot# dar antenele care transmit i cele care recepioneaz tre"uie s fie aliniate cu
precizie una cu alta. n plus# faptul c aceste unde sunt orientate permite ca mai multe
transmitoare s fie aliniate i s comunice cu mai multe receptoare fr interferene.
naintea fi"relor optice# microundele au format# timp de decenii# inima sistemului telefonic de
comunicaie pe distane mari. De fapt# numele companiei M03 provenea de la 0ompania de
0omunicaii prin Microunde 9Micro)ave 0ommunication 3nc.:# deoarece ntre!ul ei sistem a
Pagina 2% din 148
/i!ure8.;9a:n "enzile M+/ # M/ i M/ # undele radio urmresc cur"ura pm.ntului
9":n "anda B/ undele revin din ionosfer
fost iniial construit pe "az de turnuri de microunde 9de atunci cea mai mare parte a fost
trecut la reea cu fi"r:.
Datorit faptului c microundele se propa! n linii drepte# dac turnurile sunt foarte
deprtate# atunci st n cale pm.ntul. De asemenea sunt necesare# periodic# repetoare. 0u c.t
turnurile sunt mai nalte# cu at.t repetoarele se pot afla la distane mai mari. Distana dintre
repetoare crete aproximativ cu radicalul nlimii turnului. &entru turnuri cu o nlime de
600 m# repetoarele se pot afla la distane de C0 Km. %pre deose"ire de undele radio la
frecvene joase# microundele nu trec "ine prin cldiri. n plus cu toate c unda poate fi "ine
direcionat la transmitor# apare o diver!en n spaiu. 2nele unde pot fi reflectactate de
straturile atmosferice joase i pot nt.rzia mai mult dec.t undele directe. 2ndele nt.rziate pot
sosi defazate fa de unda direct# anul.nd astfel semnalul. ,cest efect este numit re multi-ci
9multipat1 fadin!: i constituie deseori o pro"lem serioas. 'ste dependent i de frecven.
2nii operatori pstreaz nefolosit un procent de 60 la sut din canalul propriu neutru a putea
comuta pe acesta atunci c.nd atenuarea multi-ci anuleaz temporar anumite "enzi de
frecven.
0ererea de spectre din ce n ce mai lar! contri"uie la m"untirea te1nolo!iilor#
astfel nc.t transmisia poate folosi frecvene i mai nalte. Genzi de p.n la 60 ?Bz sunt
acum uzuale# dar la aproape C ?Bz apare o nou pro"lem a"sor"ia de ctre ap. ,ceste
unde sunt doar de c.iva centimetri lun!ime i sunt a"sor"ite de ploaie. ,cest efect ar fi fost
potrivit pentru cineva care ar ncerca s construiasc un imens cuptor cu microunde n aer
li"er# dar pentru comunicaii este o pro"lem dificil. +a fel ca i n cazul atenurii multi-ci#
sin!ura soluie posi"il este de a ntrerupe le!turile acolo unde plou i s se !seasc o alt
rut.
0omunicaiile cu microunde sunt at.t de lar! folosite de telefonia pe distane mari#
telefoanele celulare# televiziune i altele# nc.t a aprut o criz n ceea ce privete spectrul.
Microundele au mai multe avantaje semnificative fa de fi"r. 0el mai important avantaj este
c nu sunt necesare drepturi de acces la drum# cumpr.nd un mic teren la fiecare I0 Km i
mont.nd un turn pe el# se poate ocoli sistemul telefonic i se poate realiza o comunicare
direct. ,stfel a reuit M03 s porneasc at.t de rapid ca o companie de telefoane pe distane
mari. 9%print a aplicat o alt tactic a fost format de %out1ern &acific (ailroad 9cile
feroviare sudice:# care deja deinea destule drepturi de acces i tot ce a avut de fcut a fost s
n!roape fi"ra l.n! ine.:
0omunicaiile cu microunde# prin comparaie cu alte medii de transmisie# sunt ieftine.
&reul ridicrii a dou turnuri simple 9doi st.lpi nali asi!urai cu patru ca"luri: i de montare
Pagina 21 din 148
a unei antene pe fiecare turn# poate fi mai mic dec.t preul n!roprii a I0 de Km de fi"r
ntr-o zon ur"an foarte populat sau peste un munte i poate fi mai mic dec.t costul
nc1irierii fi"rei de la o companie telefonic# mai ales atunci c.nd acestea nu au pltit nc
inte!ral cuprul care a fost nlocuit cu fi"r. n afar de utilizarea pentru transmisia pe distane
mari# microundele mai au o alt aplicaie important i anume "enzile industriale# tiinifice i
medicale. ,ceste "enzi sunt o excepie de la re!ula acordrii licenelor transmittoarele care
folosesc aceste "enzi nu necesit licene de la !uvern. 'ste alocat !lo"al o sin!ur "and
8.;00-8.;C; ?Bz. n plus n %tatele 2nite i 0anada# exist "enzi ntre @08-@8C MBz i ntre
I.J8I - I.CI0 ?Bz. ,ceste "enzi sunt folosite de telefoanele fr fir# uile de !araj cu
telecomand# "oxe Bi-/i fr fire# pori securizate etc. Ganda de la @00 MBz funcioneaz cel
mai "ine# dar este suprasolicitat# iar ec1ipamentul care o utilizeaz poate fi folosit numai n
,merica de -ord. Genzile mai lar!i necesit un ec1ipament electronic mai scump i sunt
supuse la interferene datorate cuptoarelor cu microunde i instalaiilor radar. -u mai puin
adevrat este faptul c aceste "enzi sunt foarte uzuale pentru diferite forme de reele fr fir
pe arii restr.nse# deoarece nu necesit procurarea unei licene.
2ndele infraroii i milimetrice
2ndele infrarosii i milimetrice sunt lar! folosite pentru comunicaiile pe distane
reduse. $elecomenzile pentru televizoare# aparatele video i stereo folosesc comunicaiile n
infrarosu. 'le sunt relativ direcionale# ieftine i uor de construit# dar au un dezavantaj
major nu penetreaz o"iectele solide . n !eneral# cum ne deplasm de la undele radio lun!i
ctre lumina vizi"il# undele se comport din ce n ce mai mult ca lumina i din ce n ce mai
puin ca unde radio.
&e de alt parte# faptul c razele infraroii nu trec prin o"iecte constituie un avantaj.
,ceasta nseamn c un sistem cu infraroii dintr-o camer a unei cldiri nu va interfera cu un
sistem similar situat n camerele adiacente. Mai mult# protecia sistemelor cu infraroii
mpotriva interceptrilor este mult mai "un dec.t sistemele radiofonice# exact din acest
motiv. Datorit acestor motive# pentru operarea unui sistem cu infraroii nu este necesar
procurarea unei licene# spre deose"ire de sistemele radiofonice# care tre"uie s dein o
licen.
,ceste proprieti au fcut din undele infraroii un candidat demn de luat n seam
pentru +,--urile interioare fr fir. De exemplu# calculatoarele i "irourile dintr-o cldire pot
fi ec1ipate cu transmitoare i receptoare infraroii relativ nedirecionate 9adic oarecum
omnidirecionale:. n acest fel# calculatoarele porta"ile cu posi"iliti de comunicare prin
infrarosu pot face parte din reeaua local fr a fi nevoie s se conecteze fizic la ea. ,tunci
Pagina 22 din 148
c.nd mai muli oameni se prezint la o nt.lnire cu calculatoarele lor porta"ile# ei pot sta ntr-
o sal de conferine i s fie total conectai fr a ntinde ca"luri. 0omunicaiile cu infraroii
nu pot fi folosite n exterior# deoarece soarele emite tot at.tea raze infraroii c.t unde n
spectrul vizi"il.
$ransmisia undelor luminoase
%emnalele optice ne!1idate au fost folosite secole ntre!i. naintea faimoasei lui
cltorii# &aul (evere a folosit semnale optice "inare de la <ld -ort1 01urc1. < aplicaie mai
modern este conectarea reelei locale n dou cldiri prin intermediul laserului montat pe
acoperiul lor. %emnalizarea optic folosind laserul este inerent unidirecional# deci fiecare
cldire are nevoie de propriul ei laser i de propria ei fotodiod. ,ceast sc1em ofer o
"and foarte lar! la un cost foarte redus. De asemenea# este uor de instalat i# spre
deose"ire de microunde# nu necesit o licen /009/ederal 0ommunications 0ommission:.
&uterea laserului# un fascicol foarte n!ust# este aici o sl"iciune. ndreptarea unui
fascicol de lumin de l mm lime ctre o int de 6 mm lime aflat la I00 de metri
deprtare necesit o te1nic de v.rf. De o"icei# sunt introduse lentile pentru a defocaliza uor
fascicolul. 2n dezavantaj este c fascicolul laser nu penetreaz ploaia i ceaa !roas# dar n
mod normal ele funcioneaz "ine n zilele nsorite. <ricum# autorul a participat odat ntr-un
1otel modern din 'uropa la o conferin la care or!anizatorii conferinei s-au !.ndit s pun
la dispoziie o camer plin cu terminale# n care participanii s-i poat citi pota electronic
n timpul prezentrilor plictisitoare. Deoarece &$$-ul local nu dorea s instaleze un numr
mare de linii telefonice doar pentru 3 zile# or!anizatorii au montat pe acoperi un laser
orientat ctre cldirea departamentului de calculatoare al universitii de calculatoare aflat la
o distana de c.iva 4ilometri. 'i l-au testat cu o noapte nainte i totul a decurs perfect. +a
ora @# dimineaa urmtoare# ntr-o zi nsorit# le!tura a czut si a rmas asa toata ziua. %eara#
or!anizatorii au testat-o din nou cu atenie si a funcionat nc o dat perfect. ,celai lucru s-
a nt.mplat timp de dou zile consecutiv. Dup conferin# or!anizatorii au descoperit
pro"lema. 0ldura datorat soarelui din timpul zilei a determinat naterea unor cureni de
convecie din acoperiul cldirii. ,cest aer tur"ulent a deviat fascicolul i 6-a fcut s
oscileze n jurul detectorului. ,ceast =vedere5 atmosferic face ca stelele s p.lp.ie 9acesta
este motivul pentru care astronomii i pun telescoapele pe v.rful munilor - s fie c.t se
poate de mult deasupra atmosferei:. 'fectul respectiv este responsa"il i pentru =tremurul5
oselei ntr-o zi nsorit i a ima!inii n MaluriX deasupra unui radiator fier"inte.
8.3 %tandarde *+,- C08.66 a# " # !...
8.3.6 3ntroducere - standardul corect pentru reea
Pagina 2 din 148
%tandardele radio pentru *+,- sunt specificate de or!anizaia 3''' 93nstitute of
'lectrical and 'lectronical 'n!ineers:. n multe state# nceputul a aparinut standardului 3'''
C08.66" $eoretic# acesta promite viteza de 66 M"ps# practica demonstr.nd ns c n condiii
optime se pot o"ine rate de transfer de doar 8 p.n la I M"ps 9ec1ivalentul a aproximativ 0#I
MGDs:. ,ceast vitez este suficient doar pentru navi!area pe internet sau la rularea
fiierelor M&3. ntre timp lucrurile evolu.nd actualmente fiind disponi"ile aproape exclusiv
routere compati"ile cu mai rapidul standard C08. ll!. ,cesta ofer viteze de p.n la I; M"ps#
valorile reale limit.ndu-se ns la 80 M"ps 9ec1ivalentul a aproximativ 8#I MGDs:. n aceste
condiii este deja posi"il transferul filmelor la calitate DMD. 0a o comparaiei reeaua pe
ca"lu /ast 't1ernet de 600 M"ps atin!e n practic circa F; M"ps # adic C MGDs.
Deopotriv aparatele pe standard " i ! funcioneaz ntr-o "and de frecvene cu-
prins ntre 8#; i 8#I ?Bz# interval cu specificaii unice toate materialele care conin ap
a"sor" maximul de ener!ie rezultat din undele electroma!netice. Microundele# care lucreaz
de re!ul cu o frecven de 8#;I ?Bz# utilizeaz acest efect pentru nclzirea alimentelor.
&entru undele radio ale unui router *+,-# pereii umezi 9n special structurile din ri!ips# de
pild: reprezint "ariere insurmonta"ile. Mai mult# n majoritatea rilor puterea semnalului
reelelor *+,- "D! este limitat la maxim 600 mili)ai# pe de alt parte ns telefoanele
mo"ile i aparatele D'0$ 9Di!ital 'n1anced 9formerlE 'uropean: 0ordless
$elecommunications: emit cu p.n la 8 )ai .$otui# de cele mai multe ori sunt disponi"ile
63 canale 7diviziuni de de "and ale intervalului 8.; 7 8.I ?Bz . -umrul mare de canale
este "enefic pentru aria de acoperire # deaorece dispozitivele pot trece pe alt canal n caz de
interferene pe cel current . n alt ordine de idei n %2, sunt disponi"ile 66 canale iar n
/rana numai opt . +a noi # nc pot fi folosite toate cele 63 canale aceasta numai n cazul n
care ,& 7ul o permite .
&atru standarde concurente
%emnalele audio i video pot fi transferate at.t prin ca"lu# c.t i pe unde radio. n ca-
zul unei reele pe ca"lu# si!urana este considera"il mai mare. Dac totui computerele nu se
afl n aceeai ncpere sau se !sesc c1iar la etaje diferite# aceast soluie ieftin i
performant i dezvluie marele dezavantaj fie ca"lurile traverseaz ntrea!a locuin# fie
tre"uie fcute !uri n perei i tavan pentru a !si o cale c.t mai scurt. ,lternativa este o
reea radio# dei aceasta este "ineneles mai scump i mai complicat dec.t sistemul cu fir.
nainte de a lua decizia n favoarea unui standard sau altul# tre"uie cunoscute deopotriv
avantajele i dezavantajele fiecrei te1nolo!ii *+,- existente. &atru standarde concureaz
n prezent n lumea )ireless. 3''' C08.66" 93''' este acronimul pentru 3nstitute of 'lectri-
Pagina 24 din 148
cal and 'lectronical 'n!ineers: este mai de!ra" conceput pentru firme i ofer o acoperire
"un a "irourilor spaioase. C08.6la ofer o lime de "and mai mare .i mai puine pro"leme
de interferen# ns raza de aciune este mai mic. Gluetoot1 este destinat transmisiilor pe
raze scurte de aciune sau pentru conectarea slilor de conferine i de curs. 0el mai nou
mem"ru al te1nolo!iei )ireless este C08.6 l!# un standard recunoscut oficial n 8003. C08.6l!
com"in raza mare de aciune a lui C08.66" cu fluxul mai mare de date al lui C08.66a. 2n alt
avantaj te1nolo!ia este perfect compati"il cu C08.66". n ta"elul urmtor pot fi o"servate
caracteristicile standandardelor actuale din domeniul reelelor fr fir
%tandard (at
transfer9net
:
(az
aciune
/recven ,cces
1otspot
&erdere
semnal
3nterferen 0osturi
C08.66" IM"ps cca 30
m
8.; ?1z foarte
"un
sczut ridicat sczute
C08.66! 80M"ps cca I0
m
8.; ?Bz foarte
"un
sczut ridicat medii
C08.66a 88M"ps cca 30
m
I.0 ?Bz sla" ridicat sczut ridicate
Gluetoot
1
I004"ps cca 60
m
8.; ?Bz sla" sczut ridicat medii
$a"le 30ele patru standarde radio pentru reeaua privat
C08.66! mult timp considerat urmaul puternic al lui C08.66"# a fost ratificat n iunie
8003# ns productorii au lansat 9cu multe luni nainte: pe pia serii ntre!i de produse
"azate pe standardul nc neoficializat. (ezultatul un imens update de firm)are# pentru ca
dispozitivele s se ridice la nlimea specificaiilor de ultim moment. C08.6l! are dou
caracteristici remarca"ile# responsa"ile pentru poziia sa dominant n lumea )ireless rata
mare de transfer# efectiv# de 88 M"ps i compati"ilitatea n jos# cu C08.66". Mersiunea ! a
standardului opereaz pe aceeai "and de frecven ca i "-ul. ,ceste avantaje fac din
C08.ll! prima opiune# nu doar la realizarea de la zero a unui *+,-# ci i pentru extinderea
unei reele )ireless existente. %in!urul minus al standardului este utilizarea domeniului de
frecvente de 8#; ?Bz# interval destul de a!lomerat de aparate de monitorizare pentru
"e"elui# telefoane fr fir# Gluetoot1 i cuptoare cu microunde.
n ceea ce privete transferul de date# te1nicile )ireless nu pot ine pasul cu o reea
't1ernet# din cauz c viteza scade de ndat ce ntre doi participani la comunicarea radio
intervine un o"stacol 9un perete# de exemplu:. De aceea# n practic ratele de transfer efective
Pagina 2! din 148
9nete: sunt aproape ntotdeauna mai mici fa de valorile nominale. Din cauza inevita"ilelor
pierderi de semnal# reflexii# interferene i alte pertur"ri# ratele de transfer reale afl# n
medie# undeva pe la I0Y din valoarea teoretic posi"il 9"rut:. n cazul distanelor cresc.nde#
conexiunea nu se ntrerupe la fiecare pertur"are aprut# ci devine mai lent co"or.nd la
nivelul anterior de performan 9fall"ac4 rate :# datorit pro!ramelor de corectare a erorilor.
< mai ampl discuie asupra modului de funcionare si a caracteristicilor diferitelor
standarde folosite n cadrul reelelor fr fir va fi realizat in continuare.
8.3.8 $e1nolo!ii )ireless
3rD,
2na din primele soluii destinate comunicrii )ireless ntre calculatoare a fost
te1nolo!ia 3rD, 9prin infrarou # asemntor principiului pe care funcioneaz telecomenzile:
.%tandardele acestei te1nolo!ii sunt !estionate de 3nfrared Data ,ssociation # or!anizaie
fondat n 6@@3 . ,vantajul unei implementri ieftine i usoare este um"rit ns de
dificultile te1nice de comunicare 9deoarece necesit o linie dreapt ntre senzori # fr
o"stacole : i rate mici de transfer de maxim 66I.8 4"Ds . Din aceste motive te1nolo!ia 3rD,
nu poate fi luat n considerare dec.t n comunicaia calculatorului cu perifericele
9 imprimanta # tastatura # mouse # telecomanda s.a. : i n nici un caz pentru realizarea unei
reele.
Gluetoot1 - Dintele ,l"astru
n 6@@C # 3GM # -o4ia # 3ntel i $os1i"a au format Gluetoot1 %pecial 3nterest ?roup ce
a dezvoltat i susinut te1nolo!ia Gluetoot1 . 'a are specificaii accesi"ile tuturor 9 open
standard : i este destinat transmisiunilor de date i voce ntre dispozitivele mo"ile 7 telefon
mo"il # note"oo4 # &D, # 1ands-free - pe distan nu mai mare de 60 metri . %uport aplicaii
care comunic cu dou sau mai multe dispozitive i ofer o rat de transfer de p.n la J80
4"Ds . 3nterferenele cu alte frecvene cauzeaz o scdere a vitezei de transfer# dar comunicaia
nu este nc ntrerupt . -u necesit o linie dreapt ntre senzori # iar cu amplificatoare
speciale distana de comunicare poate fi mrit p.n la 600 de metri . Gluetoot1 folosete
unde radio omnidirecionale n "anda de 8.; ?Bz ce se pot transmite prin perei sau alte
o"stacole ce nu sunt din metal . 3niial aproape numeni nu a pus la ndoial succesul acestei
te1nolo!ii datorit marilor nume implicate n proiect . Din tendina mondial se poate
anticipa o reuit cu mult su" ateptrile iniiale ale te1nolo!iei Gluetoot1 .
n 6@@J # a aprut standardul de comunicaie C08.66 destinat dezvoltrii
ec1ipamentelor de reea care s permit transferuri de date folosind "anda de radio frecven
Pagina 2" din 148
neliceniat de 8#; ?Bz i la scurt timp varianta C08.66" a aceluiai standard # care permite
rate de transfer de p.n la 66 M"ps. 0a o consecin fireasc furnizorii au nceput s produc
puncte de acces i plci de reea conforme acestui standard . Din cauza cererii scz.nde a
utilizatorului final fa de noile servicii i aplicaii care ruleaz pe 3nternet 9sunet # ima!ine #
video # reele de stocare# etc.: i a necesarului din ce n ce mai mare fa de limea de "and
s-a impus definirea unui nou standard pentru reelele de radiofrecven care s fac fa
acestor noi cerine . 0a urmare # n 6@@@ a fost definitivat de ctre 3nternet 'n!eneerin! $as4
/orce 9 3'$/ : standardul C08.66 a # care permite standarde de comunicare de p.n la I;
M"ps .
C08.66 a#"#!....
%tandardul pentru reele radio C08.66" lucreaz n "anda de frecven 3%M 9 3ndustrial
# %cientific and Medical : de 8#; ?Bz # care n majoritatea rilor 7 nu necesit apro"ri
speciale pentru a putea fi folosit # din partea forurilor de alocare i administrare a spectrului
de frecven . Dup ce au aprut ec1ipamentele C08.66" # n mod firesc frecvena de 8#; ?Bz
a nceput s se a!lomereze i n anumite situaii s nu mai fac fa cerinelor privind vitezele
de transfer necesare . %tandadul C08.66a opereaz n "anda de frecven 2-33 9 2nlicensed
-ational 3nformation 3nfrastructure : de I ?Bz i n loc s foloseasc te1nica de modulare n
spectru impratiat 9 D%%% 7 Direct %eNuencin! %pread %pectrum : caracteristic te1nolo!iei
C08.66" # va folosi o te1nic mai nou de modulare denumit multiplexare orto!onal cu
divizarea frecvenei 9 </DM 7 <rt1o!onal /reNuencE Division Multiplexin! : # care este
mult mai "ine adaptat lucrului n reelele radio care funcioneaz n spaii nc1ise
9 apartamente # "irouri # etc. :.
Ganda de frecvene din jurul valorii de I ?Bz este mprit n trei domenii aa cum
este prezentat n fi!ura alturat.
Pagina 2# din 148
/i!ura 8.I Ganda de frecvene alocat pentru standardul C08.66a
&rimul
domeniu este
cuprins ntre
I#6I ?Bz si
I#8I ?Bz L
puterea de
ieire a
ec1ipamentelo
r care lucreaz
n acest
domeniu de
frecvene este
restricionat
la maxim I0
m* . ,l
doilea
domeniu de
600 MBz se
ntinde ntre
I#8I 7 I#3I
?BP L
produsele din
aceast "and
Miteza de
transmisie
%c1ema de
modulare
%ecuritate 0aracteristici
Pagina 28 din 148
/recvena9 ?Bz :
Domeniu
&utere de
emisie maxim
inferior mediu superior
I0m* 8I0m* 6*
5,15 5,25 5,35 5,725 5,825
pot avea puteri
de emisie de
maxim 8I0
m*. 2ltimul
domeniu este
cel cuprins
ntre I#J8I
?Bz i I#C8I
?Bz # iar
produsele care
se ncadreaz
n aceast
"and pot
emite maxim
6* . 01iar
dac puterile
de emisie
maxime sunt
cele enumerate
mai inainte #
majoritatea
producatorilor
prefer s
foloseasc
puteri mai
reduse din
pricina
considerentelo
r care in de
prelun!irea
duratei de
funcionare a
"ateriilor din
ec1ipamentele
Pagina 2$ din 148
mo"ile i de
disipaia de
caldur . Din
exemplul
anterior se
o"serv c
spectrul alocat
te1nolo!iei
C08.66a
acoper o
!am total de
300 MBz # pe
c.nd n cazul
spectrului
C08.66" nu
erau alocai
dec.t C3
MBP # ceea ce
nseamn o
cretere de
aproximativ
patru ori a
limii de
"and
disponi"ile .
%tandard
3''' C08.66 &este
8M"ps n
"anda
8.;?Bz
/B%% sau
D%%%
*'& Z *&,
,ceast specificaie a
fost extins i la
C08.66".
&rodusele care aparin
acestui standard sunt
considerate 5*i-/i
Pagina % din 148
3''' C08.66a
9*i - /i:
&este
I;M"ps n
"anda I?Bz
</DM *'& Z *&,
0ertified.5 <pt canale
sunt vala"ile. Mai puin
potenial pentru "anda
de frecven (/
C08.66" si C08.66!.
Mai "un decat C08.66"
privind suportul
aplicaiilor multimedia
de voce# video i
ima!ini de mare
dimensiune des
nt.lnite n r.ndul
utilzatorilor . -u
opereaz cu produse
din !ama C08.66".
3''' C08.66"
9*i-/i:
&este
66M"ps n
"anda
8.;?Bz
D%%% cu 00K *'& Z *&,
&rodusele care in de
acest standard sunt
considerate 5*i-/i
0ertified.5 -u
interopereaz cu
C08.66a. %unt necesare
mai putine access
point-uri decat la
C08.66a pentru
acoperirea unei arii mai
mari . <fer acces de
mare vitez la date
p.n la 6I0 metri.
Ganda de 8.;?Bz
asi!ur 6; canale 9doar
66 pot fi folosite n
2.%. dup re!ulile
/00: cu numai 3
canale care se
Pagina 1 din 148
suprapun.
3''' C08.66!
9*i-/i:
&este
I;M"ps n
"anda
8.;?Bz
</DM peste
80M"ps# D%%%
cu 00K su"
80M"ps
*'& Z *&,
&rodusele care aparin
acestui standard sunt
considerate 5*i-/i
0ertified.5 &ot nlocui
C08.66" . C08.66 are o
securitate m"untit .
0ompati"ilitatea cu
C08.66". Ganda de
8.;?Bz asi!ur 6;
canale 9doar 66 pot fi
folosite n 2.%. dup
re!ulile /00: cu numai
3 canale care se
suprapun.
Gluetoot1
&este
8M"ps n
"anda
8.;I?Bz
/B%% &&$&# %%+
sau M&-
-u exist suport nativ
pentru 3&# deci nu
suport $0&D3&
aplicaii )ireless +,-
foarte "ine. -u a fost
creat ori!inal pentru a
suporta +,--uri
)ireless . n principal
pentru &D,-uri#
telefoane celulare i
&0-uri n intervale
scurte.
Bome (/
&este
60M"ps n
"anda
/B%%
3&
independent
de reea i
adrese pentru
fiecare reea .
-ota Bome(/ nu mai
este suportat de nici un
inte!rator. 0reat pentru
uzul casnic# nu
ntreprinderi. (aza de
aciune este de doar J0
de metri de la punctul
Pagina 2 din 148
8.;?BP viteza
transmisiei e
de IF-"it
criptai.
de acces. %unt ieftine i
uor de ntreinut.
0alitatea vocii este
ntotdeauna "un
datorit recepionrii
continue a unei pri
din "anda din limea
de "anda c1un4 of
"and)idt1 . (spunde
"ine la interferene
datorit te1nicii de
modulare .
/i!ura ; $e1nolo!ii fr fir
nainte de a discuta principalele standarde i protocoale ale reelelor fr fir s
explicm c.iva termeni cu privire la spectrul de frecven folosit de reelele i aplicaiile
*+,-.
D%%% lmprtierea spectrului prin secven direct9D%%%-Direct %eNuence %pread
%pectrum:
$e1nica D%%% multiplic mesajul limitat al "enzii# nainte de a fi trimis de ctre
transmitor# cu un semnal cu o lime a "enzii mai mare# care este de o"icei un cod
pseudoaleator. ,ceasta duce la mrirea spectrului. $rsturile eseniale ale D%%% sunt
<pereaz n "anda de 8#; ?Bz# la o rat de transmisie de 6 sau 8 M"ps.
&entru a lucra la diverse viteze sunt utilizate te1nici de modulare de tip &%K 9&1ase
%1ift KeE:
&entru a mprtia datele# nainte de a le transmite# sunt folosite 66 fra!mente de cadre
de tip Gar4er.
D%%% folosete ntre! spectrul odat.
&rincipiul D%%% este de a mprtia semnalul pe o "and mai lar! prin multiplexarea
lui cu o semntur 9codul: pentru a minimiza interferena localizat i z!omotul de fundal.
/B%% - mprtierea spectrului prin saltul n frecven 9/B%%-/reNuencE Boppin!
%pread %pectrum:
/B%% folosete un set de canale n!uste pe care le sc1im" succesiv. De exemplu#
"anda 3%M la 8#; ?Bz este mprit n J@ de canale de 6 MBz. n mod periodic 9de o"icei de
Pagina din 148
la fiecare 80 la ;00 ms:# sistemul XsareX la un nou canal# urm.nd un model ciclic de salturi#
predeterminat.
/B%% are un uor avantaj fa de D%%% i anume n cazul unei interferene foarte
n!uste prezent pe "and# /B%% va pierde unele 5salturi5 dar va avea alte salturi pe
frecvenele "une. De asemenea# dac z!omotul este mai puternic dec.t semnalul recepionat
sistemul D%%% nu poate recupera mesajul.
/B%% introduce mai multe complicaii la su"nivelul M,0 i anume cutarea reelei
la iniializare 9o int n micare:# pstrarea sincronizrii nodurilor# dirijarea salturilor.
,ceast cretere a complexitii su"nivelului M,0 necesit informaie n plus i duce ia
scderea performanei sistemului. 'xist o informaie n plus de mana!ement folosit pentru
a dirija sincronizarea i sunt c.iva timpi mori n transmisie c.nd sistemul realizeaz salturile
n teorie# acestea pot fi pstrate la minim.
%istemul /B%% tre"uie s insereze "ii de umplere n fiecare pac1et 9pentru a evita
irurile lun!i de 0 sau 6: adu!.nd mai mult informaie n plus9over1ead:.
$e1nica /B%% poate acoperi mult mai multe sisteme independente# aflate n aceeai
zon# dec.t te1nica D%%%# prin folosirea diferitelor modele de salt 9de exemplu# p.n la 6I
pentru (an!e +an8:. &e de alt parte# modelele diferite de salt ale /B%% pot coliziona pe
aceeai frecven 9sau adiacente: din timp n timp. 0oliziunea modelelor /B%% poate s
reduc de"itul util9t1rou!1put-ul: n mod semnificativ. De asemenea# sistemele colizion.nd
pe aceeai frecven 9sau adiacent: vor tre"ui s mpart limea de "and ntre ele.
</DM - $e1nica de modulare orto!onal cu divizarea frecvenei
%tandardul C08.66a folosete te1nica de modulare </DM 9<rt1o!onal /reNuencE
Division Multiplexin! : # care asi!ur mai multe canale independente de comunicaie i rate
de transfer mai ridicate # fa de transmisia n spectru mprtiat 9 Direct %eNuencin! %pread
%pectrum : # care este folosit de standardul C08.66" . (ata de transfer ridicat se o"ine prin
com"inarea mai multor su"canale cu viteze sczute ntr-un sin!ur canal de comunicaie cu
viteza ridicat . Datorit sc1emei </DM # sunt definite n cadrul primelor dou domenii C
canale a c.te 80 MBz fiecare # acestea fiind divizate la r.ndul lor n I8 de su"canale cu
limea aproximativ de 300 KBz .
< purttoare de semnal </DM este o sum de su"-purttoare orto!onale# cu "anda de
"az# pe fiecare su"-purttoare modulat independent# de o"icei prin utilizarea unei modulaii
cuadratur n amplitudine 9[,M: sau modulaie cu salt n faz 9&%K:. ,cest semnal
compozit n "anda de "az# este de o"icei folosit pentru a modula o purttoare (/.
Pagina 4 din 148
< pro"lem care apare n mod special n cazul semnalelor de radiofrecven care sunt
transmise n interiorul cldirilor este fenomenul de reflexie a semnalui de pe diferite o"iecte #
structuri # persoane # etc. 0.nd semnalul iniial este transmis de la emitor acesta se propa! #
ajun!.nd s loveasc o"iectele din mediul nconjurtor i s se reflecte pe acestea L exist
posi"ilitatea ca la recepie semnalul ori!inal s ajun! n acelai timp cu unul dintre
semnalele reflectate L n functie de cum se suprapun semnalele recepionate # acestea se pot
anula sau crete n amplitudine # fenomen care nu este deloc "enefic pentru calitatea
semnalului care tre"uie recepionat . ,ceast pro"lem este rezolvat prin folosirea unui
circuit care detecteaz i filtreaz semnalele reflectate . Mitezele de transfer atinse pot fi de F #
68 # 8;# I; # sau c1iar 600 M"ps # n funcie de folosirea anumitor te1nici de modulaie i a
diverselor te1nici corectoare de eroare utilizate . Dac din anumite considerente puterea
semnalului radio scade su" o anumit valoare # va scdea i viteza de comunicaie la o
valoare inferioar .
,vantaje </DM
'ficien mare a spectrului
(ezisten la interferena
nlturare uoar a z!omotului 9dac un ir de frecvene sufer interferente#
purttoarele din acel ir# pot fi anulate sau pot fi incetinite:
Dezavantaje </DM
3mperfeciunile de sincronizare n frecven pot conduce la pierderi n orto!onalitate
ntre su"purttoare# rezult.nd de!radri de performan
&osi"ilitatea de apariie a intermodulaiei ntre su"purttoare
C08.66!
C08.66! este o extensie a C08.66"# care st la "aza reelelor )ireless existente la ora
actual. C08.66! lr!ete ratele de transfer de date ale C08.66" p.n la nivelul de I; M"ps n
interiorul "enzii de frecven 8.; ?Bz# folosind te1nolo!ia </DM 9ort1o!onal freNuencE
division multiplexin!:. Din raiuni de compati"ilitate invers# un card radio C08.66" va putea
interfaa direct cu un punct de acces C08.66! 9i vice versa: la 66 M"ps sau mai puin# n
funcie de aria de acoperire. &entru o "un funcionare a noului standard n cadrul reelei deja
existente tre"uie modernizate noile puncte de acces C08.66" pentru a fi compati"ile cu
C08.66! prin intermediul unor relativ simple actualizri firm)are.
,ria de acoperire pentru un transfer la I; M"ps va fi pro"a"il mai mic dec.t la
punctele de acces C08.66" existente# care opereaz la 66 M"ps. Drept urmare# nu tre"uie
Pagina ! din 148
mizat doar pe un up!rade al punctelor de acces# care furnizeaz n prezent 66 M"ps n toat
reeaua. &entru a realiza rate de transfer mai mari# tre"uie mutarea mai aproape unul de
celalalt i eventual instalarea unor puncte de acces adiionale.
%imilar cu C08.66"# C08.66! opereaz n "anda de frecven de 8#; ?Bz# iar semnalul
transmis utilizeaz aproximativ 30 MBz# care reprezint o treime din "anda de frecven.
,cest lucru limiteaz la trei numrul punctelor de acces C08.66! care nu se suprapun# la fel ca
n cazul lui C08.66". ,sta nseamn c vom avea aceleai dificulti n alocarea canalelor
pentru C08.66! ca i n cazul lui C08.66"# dac intenionm s acoperim o arie mare# cu o
mare densitate de utilizatori. %oluia# desi!ur# este s diminuam puterea de emisie a fiecrui
punct de acces# ceea ce ne permite s amplasm punctele de acces mai aproape unul fa de
cellalt.
< mare pro"lem a lui C08.66!# care se aplic i n cazul lui C08.66"# este
considera"il interferen (/ cu alte dispozitive care funcioneaz n "anda de 8#; ?Bz# cum
ar fi noile modele de telefoane cordless. 0ompaniile se pl.n! deseori de limitrile
performanelor *+,- atunci c.nd cineva folosete telefoane fr fir pe raza de acoperire a
reelei )ireless. &ro"lema poate fi administrat prin limitarea surselor de interferen (/#
totui# ea nu poate fi ntotdeauna eliminat.
C08.66a
%tandardul C08.66a i re!lementrile /00 n materie de spectru de frecvene sunt "ine
fundamentate. < mare diferen n cazul lui C08.66a este aceea c opereaz n "anda de
frecven de I ?Bz# cu 68 canale de frecven separate care nu se suprapun. 0a urmare#
putem avea p.n la 68 puncte de acces setate pe diferite canale n acelai spaiu# fr ca ele s
interfereze. ,cest lucru simplific mult alocarea canalelor i mrete semnificativ traficul pe
care o reea *+,- l poate susine pe o anumit arie de acoperire. n plus# interferena (/
este mult mai puin pro"a"il i din cauza faptului c "anda de frecven de I ?Bz este mai
puin a!lomerat.
%imilar cu C08.66!# C08.66a ofer rate de transfer de p.n la I; M"ps# care se pot
c1iar extinde# prin com"inarea canalelor. Din cauza frecvenei mai mari# totui# aria de
acoperire este oarecum mai mic dec.t la sistemele care funcioneaz pe frecvene mai mici
9 C08.66" i C08.66!:. ,cest lucru mrete costurile !lo"ale de operare a reelei# ntruc.t este
nevoie de un numr mai mare de puncte de acces# ns aria de acoperire mai mic permite i
un trafic mai mare n arii restr.nse# printr-o mai "un reutilizare a canalelor.
Pagina " din 148
< pro"lem uria a standardului C08.66a este aceea c nu este direct compati"il cu
reelele C08.66" sau C08.66!. 0u alte cuvinte# un utilizator ec1ipat cu un card radio C08.66"
sau C08.66! nu va putea interfaa direct cu un punct de acces C08.66 apr.nd pro"leme de
interopera"ilitate. %oluia pentru aceast pro"lem va veni atunci c.nd# eventual# cardurile
multimod vor deveni o norm pentru toi productorii.
< mic concluzie privind standardul de comunicare C08.66a e c el a reprezentat un
pas pentru reelele locale de radiofrecven # asi!ur.nd viteze de transfer de I; M"ps sau
c1iar mai mult . Din punct de vedere al ariei de acoperire C08.66a este aproape identic cu
C08.66" ns asi!ur viteze de transfer net superioare . Ganda de frecvene de I ?Bz nu este
nc suprasaturat # lucru care nu se poate spune i despre "anda de 8#; ?Bz n care opereaz
ec1ipamentele conforme C08.66" # alturi de o parte a dispozitivelor de comunicaie iDsau a
aparatelor electrocasnice 9 telefoane celulare # cuptoare cu microunde # alte reele radio #
etc.: . $e1olo!ia C08.66a constituie o soluie pentru cei care au nevoie de o conexiune n
"and lar! la o reea local sau la 3nternet prin radiofrecven.
C08.66"
%tandardul C08.66" a fost ela"orat de 3nstitute of 'lectrical and 'lectronics 'n!ineer
93''': i adoptat de *ireless 't1ernet 0ompati"ilitE ,lliance 9*'0,:. *'0, testeaz
compati"ilitatea i interopera"ilitatea produselor cu standardul C08.66"# certific.ndu-le pe
cele care trec toate testele cu etic1eta *i-/i.
0omunicarea direct dintre un card radio C08.66 i un punct de acces are loc pe un
canal de frecven comun i asi!ur o lr!ime de "and de p.n la 66 M"ps. ,cest canal este
confi!urat n punctul de acces# iar cardul client va acorda automat transceiverul la frecvena
punctului de acces cu cel mai puternic semnal. ,poi# cardul radio client va continua procesul
de asociere i de comunicare cu punctul de acces ales.
&entru a putea suporta caracteristica roamin!# cardul radio scaneaz periodic toate
punctele de acces i se reasociaz cu punctul de acces care are cel mai puternic semnal 9dac
amplitudinea semnalului punctului de acces curent scade su" un anumit pra!:. 0a o re!ul de
proiectare# punctele de acces aflate reciproc n aria de acoperire# tre"uie confi!urate pe canale
de frecven cu o minim suprapunere. ,ltfel# roamin!-ul nu va funciona cum tre"uie# iar
performanele vor scdea din cauza interferenelor dintre punctele de acces.
Dar ce canale sunt disponi"ile\ %tandardul C08.66" definete un numr total de 6;
canale de frecven. n %2,# autoritatea n materie de comunicaii radio - /00 - permite
folosirea canalelor de la 6 la 66# n vreme ce pe majoritatea teritoriului 'uropei se pot folosi
canalele de la 6 la 63. n Taponia exist o sin!ur opiune# canalul 6;.
Pagina # din 148
De notat un concept important n le!tur cu alocarea canalelor i anume faptul c
acestea reprezint de fapt frecvena central folosit de transceiverul din cardul radio client i
din punctul de acces 9spre exemplu# 8#;68 ?Bz pentru canalul 6 i 8#;6J ?Bz pentru canalul
8:. 'xist o separaie de numai I MBz ntre frecvenele centrale# iar un semnal C08.66" ocup
aproximativ 30 MBz din spectrul de frecvene. %emnalul mer!e p.n la circa 6I MBz lateral
fa de frecvena central. Drept rezultat# un semnal C08.66" se suprapune cu mai multe
canale de frecven adiacente. ,sta face ca numai trei canale de frecven 9n %2, 6# F i 66:
s poat fi folosite fr interferene ntre punctele de acces.
8.;Miitorul reelelor fr fir
*3M,A -----%uper *+,-
(eelele *+,- actuale ofer o rat de transfer de I; M"ps la o raz de aciune
maxim care nu depete 800 de metri. Mai noua te1nolo!ie "road"and *iMax promite
transferuri de p.n la JI M"ps la distne maxime de circa I0 de 4ilometri aria de funcionare
fiind dealtfel cam de 8I0 de ori mai mare dec.t a reelelor *+,-. Datorit facilitilor de
transfer crescute *iMax nu este promovat doar ca i competitor pentru *+,-# ci i ca o
alternativ pentru reelele D%+ # destul de costisitor de implementat n zonele izolate 9din
cauza ca"lrii:.
*iM,A ----Dezvoltarea noului standard radio
*iM,A se "azeaz pe specificaia 3''' C08.6F. ,cest standard de transmisie radio a
fost conceput n 8006 pentru aa-numita Metropolitan ,rea -et)or4 9M,-: n scopul
transferului de date n oraele mai mari prin intermediul unei conexiuni +<% 9+ine <f %i!1t:.
,nul 8003 a pus pe tapet o nou idee i anume aceea de a implementa standardul i la
ec1ipamentele porta"ile pentru end-useri. n aceast idee# su" o"lduirea celor de la 3ntel a
aprut entitatea *iM,A /orum# la care au aderat peste 800 de companii# printre care
concerne precum %iemens mo"ile# /ujitsu# ,$Z$# Gritis1 $elecom i -o4ia. 3n acelai an#
/orumul a adoptat standardele C08.6Fa i C08.6F('Md. %-a nscut astfel noua te1nolo!ie
cunoscut su" numele de *iM,A. ,m"ele specificaii au fost reunite# n iulie 800;# n
standardul C08.6F-800;. 0onexiunile -+<% 9-on +ine <f %i!1t: au fost nominalizate n
premier ca atare transmiterea datelor nu mai depindea de o"stacolele existente# mai mult#
antena receiver-ului put.nd fi montat pe peretele exterior sau c1iar n interiorul locuinei.
Deose"irea fundamental ntre *iM,A i *i-/i este aceea c cele dou te1nolo!ii
sunt destinate unor aplicaii diferite.
Pagina 8 din 148
*iM,A - acronimul *orld)ide 3nteropera"ilitE for Micro)ave ,ccess i numele
popular al standardului de reea metropolitan )ireless C08.6F - pare s fie viitorul
comunicaiilor )ireless.
*iM,A este un standard )ireless de "and lar! care se "ucur de un lar! sprijin din
partea industriei calculatoarelor i telecomunicaiilor din ntrea!a lume# fapt pentru care
aceast te1nolo!ie pornete cu un atu important accesi"ilitatea.
*iM,A este proiectat s aduc operatorilor i utilizatorilor din diverse domenii
"eneficii semnificative# at.t pe termen scurt c.t i pe perioad mai ndelun!at.
&entru a transfera pac1etele de date n deplin si!uran# *iM,A utilizeaz aa-
numita modulare </DM 9<rt1o!onal /reNuencE Division Multiplexin!:. ,stfel# modulaia
semnalului se produce paralel i nu serial# cum se nt.mpl de o"icei n cazul reelelor
)ireless "azate pe standardul C08.66". &rin urmare# informaia transportat de fiecare semnal
individual paralel este mai sta"il n aer dec.t n cazul unei proceduri seriale %in!le-0arrier.
/i!ura 8.F Modulaie </DMDac semnalul sl"ete # eventual la interaciunea cu
pereii cldirilor #el poate fi recuperat cu uurin !raie Svala"ilitii> de lun!a durat
&entru o mai "un comparaie# ne putem nc1ipui o autostrad cu mai multe "enzi
dac o "and iese din circulaie# traficul este direcionat pe celelalte "enzi li"ere. &entru
traficul de date acest lucru nseamn c# dac semnalul carrier sl"ete n "aza efectelor run-
Pagina $ din 148
%0
%6
%8
%3
%;
%
0
%
6
%
8
%
3
%
;
/recven
$imp
&ac1etele
de date sunt
transferate
9serial:
unul dup
cellalt
ntr-o
unitate de
timp
,mplitudine
,mplitudine
$imp
/recven
&ac1etele
de date sunt
transferate
paralel ntr-
un anumit
interval de
timp
&ac1etele de
date %0 p.n la
%;
&ac1etele de
date %0 p.n la
%;
&rocedura %in!le 0arrier
Mode
&rocedura </DM
time 9reflexii multiple sau caracteristic direcional lips:# </DM pune la dispoziie mai
multe frecvene pe post de ="enzi5 li"ere# astfel nc.t traficul s rm.n fluid. ,ceasta se
reflect n raze de aciune i "itrate mai mari# lucru evideniat i de standardele C08.66a i !#
care folosesc n prezent aceast modulare. 2n sistem C08.6Fa este de re!ul mprit n cinci
canale a c.te 80 MBz# ntr-o "and de frecvene de la I#J8I p.n la I#C8I ?Bz. /iecare
dintre aceste canale de 80 MBz ec1ivaleaz cu limi de "and de circa JI M"ps. &entru a
continua comparaia# acest lucru corespunde unei autostrzi cu cinci "enzi. 0apacitatea
teoretic a ntre!ii "enzi de 600 MBz nsumeaz aadar 3JI M"ps.
?raie aa-numitei ,daptative Modulation# *iM,A dispune de o te1nolo!ie cu
ajutorul creia# n funcie de calitatea conexiunii# pot fi utilizate diferite sc1eme de modulaie.
$ransmitorul trece 9calitate "un: la procedura F;-[,M 9F "ii de informaie per semnal
carrier:# iar la semnal sla" utilizeaz procedurile G&%K 9"inarE p1ase modulation: care
!aranteaz securitatea recepionrii la "itrate mic.
Denumire 3''' C08.6F 3''' C08.6FaD(evd
D800; 9*iM,A:
3''' C08.6Fe
9*iM,A:
Ganda de frecvene 60 p.n la FF ?1z 8 p.n la 66 ?1z 0#J p.n la F ?1z
0ondiii de transmisie Direct +ine of
%i!1t ntre
emitor i
receptor 9+<%:
+e!tur direct
sau indirect ntre
emitor i
receptor9-+<%:
+e!tur direct sau
indirect ntre
emitor i
receptor9-+<%:
Gitrate maxim Maria"il # mai mult
de 600 M"ps
JI M"ps 6I M"ps
$ip de modulaie [&%K # 6F [,M
i F; [,M
</DM 8IF #
</DM, F; [,M#
6F [,M# [&%K#
G&%K
</DM 8IF #
</DM, F; [,M#
6F [,M# [&%K#
G&%K
&oziia unitii de recepie /ix# amovi"il /ix i restr.ns
mo"il
/ix p.n la mo"il
,rie de aciune Maria"il # p.n la
600 4m
0ca I0 4m 0ca I 4m
DispozitiveDDisponi"ilitat
e
/r relevan
pentru 1ard)are-ul
consumer 7deja
disponi"ile pe
pia
%taii de "az #
%Estem-on-a-
c1ipDde la nceputul
lui 800I
$elefoane mo"ile #
&D,-uri #
note"oo4-uri D de la
nceputul lui 800F
Pagina 4% din 148
$a"el I &erformanele diferitelor standarde 3''' C08.6F
'xist numeroase scenarii de utilizare a standardului *iM,A# pe care le vom
prezenta n continuare.
<"iective
%tandardul *iM,A a fost proiectat i dezvoltat av.nd n vedere mai multe o"iective#
prezentate pe scurt mai jos
,r1itectur flexi"il - *iM,A suport c.teva ar1itecturi de sistem# incluz.nd
ar1itecturile punct-la-punct# punct-multipunct i acoperirea omniprezent. 0ontrolul
accesului la mediu *iM,A suport serviciul punct-multipunct prin rezervarea unui slot de
timp fiecrei staii a"onat 9%u"scri"er %tation - %%:. Dac exist doar o sin!ur staie a"onat
n reea# staia de "az 9G%: *iM,A va comunica cu staia a"onat printr-un serviciu punct-
la-punct. < staie de "az dintr-o confi!uraie punct-la-punct poate utiliza o anten
unidirecional pentru a acoperi o distan mai mare.
%ecuritate mare - *iM,A suport standardele ,'% 9,dvanced 'ncrEption %tandard:
i 3D'% 9$riple D'%# unde D'% este a"revierea Data 'ncrEption %tandard:. &rin criptarea
le!turilor dintre staia de "az i staiile a"onat# *iM,A asi!ur a"onailor intimitatea i
securitatea de-a lun!ul interfeei )ireless de "and lar!. De asemenea# securitatea ofer
operatorilor o "un protecie mpotriva furturilor de serviciu. *iM,A mai n!lo"eaz suport
M+,-# care asi!ur protecia datelor transmise de diferii utilizatori care folosesc aceeai
staie de "az.
0alitatea serviciului - *iM,A poate fi optimizat dinamic pentru mixarea traficului.
%unt suportate patru tipuri de servicii
3nstalare rapid - n comparaie cu instalarea soluiilor ca"late# instalarea *iM,A nu
necesit construcii externe importante# cum sunt spturile pentru plasarea ca"lurilor.
<peratorii care au o"inut deja licen pentru utilizarea "enzilor alocate nu tre"uie s cear
din nou licen de utilizare. < dat instalate antena# ec1ipamentele de comunicaie i de
alimentare cu ener!ie electric# *iM,A este !ata de funcionare. n majoritatea cazurilor#
instalarea unei reele *iM,A este o trea" de c.teva ore# comparativ cu instalarea altor
soluii care pot dura luni de zile.
%erviciu multinivel - Maniera de livrare a calitii serviciului este n !eneral "azat pe
acordul dintre furnizorul de serviciu i utilizatorul acestuia# %ervice +evel ,!reement 9%+,:.
2n furnizor de servicii poate oferi diferite %+,-uri diverilor a"onai sau c1iar utilizatorilor
diferii ai aceleiai staii a"onat.
Pagina 41 din 148
3nteropera"ilitate - *iM,A se "azeaz pe standarde neutre# internaionale. &rin
urmare utilizatorii i pot transporta i folosi cu uurin staiile a"onat n diverse locaii#
conectai la diveri furnizori de servicii. 3nteropera"ilitatea protejeaz investiiile operatorilor
deoarece acetia i pot ale!e ec1ipamentele de la diveri furnizori# ac1iziiile fcute
amortiz.ndu-se rapid pe msur ce serviciile sunt consumate de tot mai muli a"onai.
&orta"ilitate - 0a i actualele sisteme celulare# o staie a"onat *iM,A# o dat pus n
funciune# se identific# determin caracteristicile le!turii cu staia de "az i dac staia
a"onat se afl n "aza de date a staiei de "az# i ne!ociaz corespunztor caracteristicile de
transmisie.
Mo"ilitate - ,mendamentul 3''' C08.6Fe a adus caracteristici c1eie n sprijinul
mo"ilitii. m"untirile au fost operate la nivelurile fizice </DM i </DM,# oferindu-se
suport ec1ipamentelor i serviciilor n medii mo"ile. ,ceste m"untiri - care includ
%calea"le </DM,# M3M< i suportul pentru modurile idleDsleep i 1and-off - vor permite o
mo"ilitate complet. %tandardul *iM,A a motenit performana superioar -on-+ine <f
%i!1t 9-+<% - calea ntre staia de "az i staia a"onat este parial sau n ntre!ime
o"strucionat de diverse o"stacole: a </DM i funcionarea multi-cale# fiind astfel potrivit
mediilor mo"ile.
&re accesi"il - *iM,A# "azat pe standarde desc1ise# internaionale# va avea un !rad
ridicat de adopie. %eturile de cipuri produse pe scar lar! vor avea un cost sczut# ceea ce
va conduce la un pre competitiv# atractiv at.t pentru furnizori# c.t i pentru utilizatorii finali.
,coperire lar! - *iM,A suport dinamic multiple niveluri de modulaie# incluz.nd
G&%K# [&%K# 6F-[,M# i F;-[,M. 3ar ec1ipate cu un amplificator de putere mare i
oper.nd la un nivel sczut de modulaie 9de exemplu G&%K sau [&%K:# sistemele *iM,A
pot acoperi arii !eo!rafice mari atunci c.nd nu exist o"stacole ntre staia de "az i staia
a"onat.
<perarea -on-+ine-of-%i!1t - -+<% se refer la calea radio a crei zon /resnel este
complet "locat. Deoarece *iM,A folosete te1nolo!ia </DM# are capacitatea de a
funciona i n mediile o"strucionate# asi!ur.nd o lime de "and lar!# c1iar i n astfel de
medii unde alte produse )ireless nu se pot descurca.
0apacitate mare - /olosind o modulaie superioar 9F;-[,M: i o lime de "and a
canalului 9momentan de J MBz# dar posi"il mai mare n viitoarele standarde 3''' i '$%3:#
sistemele *iM,A pot oferi utilizatorilor o "and de transfer aprecia"il.
*i-/i i *iM,A
Pagina 42 din 148
< dat cu recunoaterea potenialului *iM,A# aceast te1nolo!ie este justificat
comparat cu *i-/i. 01iar dac cele dou te1nolo!ii )ireless au n comun anumite
caracteristici te1nice# acestea a"ordeaz spaiul radio din perspective complet diferite.
Deose"irea fundamental ntre *iM,A i *i-/i este aceea c cele dou te1nolo!ii
sunt destinate unor aplicaii total diferite. *i-/i este o te1nolo!ie de reea local care duce
mo"ilitate reelelor locale ca"late. &e de alt parte# *iM,A a fost !.ndit s ofere un
serviciu de acces )ireless pe arie metropolitan i de "and lar! 9G*, - "road"and )ireless
access:. 3deea din spatele accesului )ireless de "and lar! este aceea de a oferi un serviciu
de acces la 3nternet care s concureze cu alte servicii similare# prin ca"lu sau D%+. n timp ce
*i-/i acoper distane de maxim c.teva sute de metri# sistemele *iM,A acoper distane de
p.n la ;C 4m.
&e l.n! diferena privind aria de acoperire a transmisiei# exist o serie de
m"untiri ale le!turii radio ce difereniaz *iM,A de *i-/i. %tandardele de reea
)ireless 3''' C08.66 descriu patru interfee de le!tur radio ce opereaz n "enzile radio
neliceniate de 8#; ?Bz sau I ?Bz
%tandardele *iM,A includ o !am mult mai mare de implementri posi"ile care s
sprijine cerinele de comunicaie din ntrea!a lume. Mersiunea ori!inal a standardului
C08.6F# lansat n decem"rie 8006# se adresa sistemelor care operau n "anda de frecven de
FF?Bz. Dar aceste frecvene nalte necesitau vizi"ilitate direct cu staia de "az# ceea ce
limita posi"ilitile staiei a"onat. Mai mult# la adu!area n reea a unei noi celule# antenele
client tre"uiau re!late din nou.
Mersiunea C08.6Fa a standardului - care descrie sistemele cu operare ntre 8 ?Bz i 66
?Bz - a aprut n ianuarie 8003. /recvenele mai sczute permit suportul pentru -+<%#
elimin.nd necesitatea alinierii antenei client cu cea a staiei de "az.
n timp ce toate implementrile *i-/i folosesc "enzi de frecven neliceniate#
*iM,A poate opera at.t n spectrul liceniat# c.t i cel neliceniat.
Date fiind vitezele suportate de canalul su de 8I MBz 9de la 6 M"ps la 66 M"ps:#
C08.66" are o eficien a "enzii de transfer ntre 0#0; i 0#;; "psDBertz. $ransmisia la I;
M"ps pe canalul de 8I MBz a standardului C08.66a sau pe canalul de 80 MBz a versiunii
C08.66! ofer o eficien a "enzii de transfer cuprins ntre 0#8; i 8#J "psDBertz. n cazul
*iM,A# com"inaia dintre modulaie i sc1emele de codare asi!ur o eficien de p.n la I
"psDBertz.
Pagina 4 din 148
0omparaie ntre te1nolo!iile *iM,A i *i-/i
*iMax 9C08.6Fa: *i-/i
9C08.66":
*i-/i
9C08.66aD!:
(eea Groad"and *ireless *ireless
+,-
*ireless
+,-
,plicaie ,cces
/recvene +iceniateDneliceniate 8#; ?Bz
3%M
8#; ?Bz
3%M 9!:
Gand 8 ? - 66 ?Bz I ?Bz 2-
-33 9a:
0anal ,justa"il 8I MBz 80 MBz
+ime de "and 6#8I M la 80 MBz
%emiduplexDduplex
inte!ral
3nte!ral %emi %emi
$e1nolo!ia radio </DM %ecven
direct
</DM
98IF-canale: %pectru
mprtiat
9F;-canale:
'ficien ] I "psDBz ] 0#;;
"psDBz
] 8#J
"psDBz
Modulaie G&%K# [&%K# 6F-#
F;-# 8IF-[,M
[&%K G&%K#
[&%K# 6F-#
F;-[,M
0riptare <"li!atoriu - 3D'%
<pional- ,'%
<pional -
(0; 9,'%
n C08.66i:
<pional -
(0; 9,'%
n C08.66i:
&rotocol de acces
- Gest 'ffort
- Data &rioritE
- 0onsistent
0erereDpermisiune
Da
Da
Da
0%M,D0,
Da
C08.66e
*M'
C08.66e
*%M
0%M,D0,
Da
C08.66e
*M'
C08.66e
*%M
Mo"ilitate Mo"ile *iMax
9C08.6Fe:
- -
3. %ecuritatea reelelor )ireless
Datorit flexi"ilitii sale# numrului mare de dispozitive mo"ile de "uzunar # precum
i ratelor de transfer din ce n ce mai crescute # comunicarea )ireless se "ucur de tot mai
Pagina 44 din 148
mare popularitate . n special *+,- se "ucur este o soluie extrem de adoptat n ceea ce
privete reelistica privat sau de tip enterprise. (eeaua )ireless reprezint# mai ales n
cadrul firmelor de mari dimensiuni # o alternativ la ar1itecturile pe ca"lu extinse i implicit
foarte scumpe. (eelele pe ca"lu au avut p.n deunzi !ranie fizice clare # reeaua av.nd
aproape fr excepie drept limit maxim peretele exterior al cldirii n care a fost
implementat. Datorit te1nolo!iei )ireless este astzi posi"il transferul datelor c1iar i la
distane mai mari sau i n ciuda o"stacolelor 9ca de exemplu pereii camerelor sau ai
cldirilor:. n cadrul unei firme an!ajaii tre"uie s fie extrem de flexi"ili n ceea ce privete
lucrul cu calculatorul .,stfel acetia se pot afla adesea n deplasare cu note"oo4-ul la purttor
# necesit.nd acces securizat la datele din reeaua firmei . n acest scop ei se folosesc de ,cces
&oint-uri instalate n 1oteluri# !ri # aeroporturi # restaurante sau la parteneri de afaceri.
2tilizeaz apoi *+,--ul pentru a se conecta remote la reeaua firmei.
0a la orice alt te1nolo!ie nou# i n acest caz a fost dezvoltat mai nt.i func-
ionalitatea. 0onfi!urarea i utilizarea reelelor *+,- tre"uia s decur! c.t mai simplu i
mai conforta"il. Dup ce interesul pentru avantajele noii te1nolo!ii a fost trezit# a venit clipa
eliminrii "u!-urilor sau a punctelor sla"e.0u toate acestea# dezvoltarea rapid a reelelor
radio nu a avut numai consecine pozitive numeroase "u!-uri i c.teva "ree de securitate au
dunat ima!inii *+,-# astfel nc.t 9n ciuda multiplelor avantaje: muli administratori au
evitat utilizarea reelelor )ireless.
+a planificarea# instalarea i administrarea unei reele )ireless tre"uie s avem
ntotdeauna n vedere faptul c te1nolo!ia *+,- nu a fost !.ndit ca mijloc de transport
pentru date importante. De aceea# aspectul securitii tre"uie tratat cu maxim seriozitate.
01iar i funciile de securitate incluse ulterior n *+,-# ca de exemplu *ired 'Nuivalent
&rivacE 9*'&: sau ,ccess 0ontrol +ist 9,0+: s-au dovedit a fi nesi!ure uor de ocolit cu
ajutorul uneltelor sofisticate utilizate de 1ac4eri i de aa-numiii )ar driveri.
Marele minus al te1nolo!iei const n lipsa proteciei fizice a datelor de transferat#
care exist n reelele pe ca"lu. &ac1etele de date sunt prea puin protejate la transferul prin
unde radio i se distri"uie aproape incontrola"il n mediul am"iant. ,adar# ele pot fi de
exemplu recepionate de ctre teri# nre!istrate# evaluate sau c1iar manipulate. n special
monitorizarea traficului de reea# aa-numitul sniffin!# este unul dintre cele mai mari pericole
n *+,-.
(eelele )ireless sunt relativ mai puin si!ure dec.t cele ca"late# datorit accesului
mai facil la reea al persoanelor neautorizate aflate n zonele de acoperire ale punctelor de
acces. 'xist# implicit n implementarea reelelor )ireless# diferite "ariere care formeaz aa
Pagina 4! din 148
numita securitate de "az a reelelor )ireless# care mpiedic accesul neintenionat al
persoanelor strine de reea# aflate n aria de acoperire a unui punct de acces. &entru persoane
ru intenionate# cu "un pre!tire n domeniu# de tipul 1ac4erilor# securitatea acestor reele#
ca de altfel i a altora# este discuta"il.
Garierele de securitate 9securitatea de "az: care au fost prevzute n protocoalele
reelelor *i-/i asi!ur un nivel relativ sczut al securitii acestor reele# ceea ce le-a fr.nat
ntruc.tva dezvoltarea. n iunie 800;# s-a adoptat standardul C08.66i care m"untete
securitatea reelelor )ireless
3.6 Mulnera"ilitatea reelelor )ireless
,a cum am mai precizat # ca la orice alt te1nolo!ie nou# n cazul reelelor )ireless
a fost dezvoltat mai nt.i funcionalitatea #confi!urarea i utilizarea reelelor *+,-
tre"uind s decur! c.t mai simplu. 2lterior o mai mare importan a fost acordat eliminrii
"reelor de securitate i ntririi metodelor de comunicaie din cadrul acestor reele.
+e!^turile dintre noduri sunt foarte suscepti"ile la atacuri care includ eavesdropin!
pasiv9interceptarea i citirea mesajelor sau a oricrui tip de date:# =scur!erea> informaiilor
secrete# distorsiunea mesajelor# rspunderea la mesaje sau ne!area acestui serviciu.
(eelele )ireless nu au un nod specializat cum ar fi un server ceea ce ar face ca
reeaua s fie mult mai vulnera"il. &e de alt_ parte nu exist^ un punct care s^ sta"ileasc
c1eile.
Dinamica reelelor )ireless poate crea pro"leme n ceea ce privete# de exemplu#
mana!ementul c1eilor# dac se folosete cripto!rafie n protocolul de rutare. %tandardele de
securitate nu sunt suficiente n acest caz deoarece sunt n mare parte vala"ile pentru reelele
confi!urate static. 'ste de aceea nevoie ca soluiile de securitate s se sc1im"e dinamic o dat
cu topolo!ia n sc1im"are i micarea nodurilor n reea i din afara reelei.
n cele din urm tre"uie luat n calcul i scala"ilitatea reelei# ntruc.t o reea )ireless
poate conine sute c1iar mii de noduri. $re"uie avut n vedere servicii de securitate cum ar fi
mana!ementul c1eilor din punctul de vedere al modificrii scala"ilitii.
&oliticile de securitate tradiionale ale reelelor cu fir tre"uie portate i pe
infrastructura )ireless. /r a fi partizanii unei anumite soluii# o"servm existena mai
multor standarde de nivel enterprise# precum ',& 9'xtensi"le ,ut1entication &rotocol: #
(,D32%9(emote ,ut1entication Dial 3n 2ser %ervice: i M&- 9virtual private net)or4: #
care sunt disponi"ile n oferta mai multor productori de ec1ipamente. %oluiile de securitate
pot fi diferite# depinz.nd de tipul de control asupra cardurilor client.
Pagina 4" din 148
%ecuritatea de "az a reelelor )ireless este asi!urat de urmtoarele funcii
implementate
%%3D 9%ervice %et 3dentifiers:L
*'& 9*ired 'Nuivalent &rivacE:L
Merificarea adresei M,0 9Media ,cces 0ontrol:.
2tilizarea *&, n loc de *'&
3
rd
partE device 7 soluii de tip enterprise ',&# (,D32%# M&-
0om"inarea funciilor enumerate mai sus
Mom enumera n continuare principalele ameninri la adresa reelelor )ireless si
"reele de securitate urmrite de eventuali atacatori asupra uneri reele )ireless.
6. $erenul necunoscut
Marea diferen dintre reelele ca"late i reelele fr fir o reprezint aria necunoscut
i necontrolat dintre puctele de acoperire a reelei. n cadrul *,- 9*ide ,rea -et)or4s:#
mediul )ireless nu poate fi controlat deloc .$e1nolo!iile )ireless actuale ofer un control
sczut acupra ariei de acoperire a unei reele )ireless . ,cest lucru a oferit posi"ilitatea
atacatorilor din imediata vecintate a reelei )irelss realizeze diferite atacuri care nu pot fi
!site n cadrul reelelor ca"late o"inuite .
8. 'avesdroppin!
0ea mai rsp.ndit i mai cunoscut pro"lem a unui sistem de tip open i necontrolat
aa cum este te1nolo!ia )ireless este aceea c este suscepti"il la atacuri anonime. ,tacatorul
anonim poate intercepta semnale radio i s demoduleze aceste semnale pentru a o"ine
datele transmise . $estele recente au artat c un atacator poate s se afle i la o distan de 80
mile pentru i tot poate recepiona semnal i implicit de a intercepta semnalul respectiv.
Pagina 4# din 148
/i!ura 3.6 'avesdroppin!
'c1ipamentul necesar pentru e realiza eavesdroppin! asupra uner reele poate fi la fel
de simplu ca i ec1ipamentul necesar pentru a accesa reeaua. 0u unele mici modificri
dispozitivele pot fi confi!urate pentru a captura tot traficul din cadrul unui canal de
comunicaie sau frecven. ,tacatorul doar tre"uie s fie poziionat n apropierea
transmitorului pentru a putea intercepta datele transmise. /olosirea de antene i
amplificatoare pot uura munca de interceptare a atacatorului ne mai fiind necesar
poziionarea acestuia n apropierea sursei de semnal.
'avesdroppin! este folosit pentru a aduna informaie din cadrul reelei aflate su" atac.
%copurile principale sunt de a nele!e cine folosete reeaua # ce este accesi"il # care sunt
capacitile te1nice ale ec1ipamentelor din cadrul reelei # c.nd este folosit mai mult sau mai
puin i ce arie de acoperire are reeaua respectiv. ,ceste informaii sunt necesare pentru a
lansa un atac asupra reelei. Multe protocoale transmit date importante cum sunt parole i
nume de utilizatori iar aceste date sunt de tip cleartext. 01iar i o comunicaie care folosete
ca metod de ntrire a securitii criptarea datelor # un 1ac4er poate intercepta aceste date i
decifra pentru a o"ine informaiile de care are nevoie. Muli al!oritmi de criptare aa cum
erau Microsoft -$+M pot fi uor sparte.
'avesdroppin!-ul activ este posi"il c.nd un atacator se poate conecta la o reea
)ireless. 'avesdroppin!-ul activ asupra unei reele )ireless +,- implic spoofin! la nivel
,(& 9,ddress (esolution &rotocol: . ,ceast te1nic a fost dezvoltat pentru a testa i scana
reele de s)itc uri. n esen acesta este de fapt un atac de tip M3$M 9 man in t1e middle : la
nivel de le!tur de date . ,tacatorul trimite o cerere ,(& ctre staiile int din cadrul reelei
Pagina 48 din 148
care acestea vor trimite ca rspuns tot traficul ctr atacator care apoi va redireciona pac1etele
ctre destinaie dup ce n preala"il a o"inut informaiile de care avea nevoie .
3. Gruiajul comunicaiilor
Gruiajul apare n momentul n care o interferen intenionat sau neintenionat
depete din punct de vedere al puterii semnalului destinatarul sau expeditorul din cadrul
unei comunicaii # fc.nd astfel le!tura de comuiucaie nefolositoare . 2n atacator poate crea
"ruiajul n mai multe moduri.
;.Denial of %ervice 9Do%: jammin!
Gruiajul ntre!ii reele poate cauza un atac de tip Do% 9Denial of %ervice:. ,t.t staiile
de "az c.t i clienii sunt "locai din cauza volumului mare de semnale astfel nc.t
comunicaia devine inutil . Majoritatea reelelor )ireless folosesc frecvene neliceniate fiind
su"iectul interferenelor provocate de o multitudine de dispozitive electronice.
I.3nserarea i modificare de date
,tacurile de tip inserare de date apar n momentul n care un atacator injecteaz date
n cadrul unei conexiuni deja existente cu scopul de a deturna conexiunea sau de a trimite
informaii eronate. 2n atacator poate manipula measjele de control i secvene de date
inser.nd pac1ete sau comenzi ctre o staie si vice versa. ,tacurile de aceste tip pot fi folosite
pentru Do%. 2n atacator deasemenea poate "loca cu informaii un acces point cu mesaje de
conectare for.nd acces point-ul s depeasc limita maxim permis "loc.nd accesul
utilizatorilor autorizai la reea.
F. ,tacuri de tip Man in t1e Middle 9M3$M:
,semntoaare cu atacurile de tip inserare de date # atacurile de tip M3$M pot lua
diferite forme i au ca scop s deterioreze confidenialitatea i inte!ritatea unei sesiuni de
comunicaie . ,tacurile de tip M3$M sunt mult mai sofisticate dec.t majoritatea atacurilor i
necesit destule informaii despre reea. 0.nd o staie Svictim> iniiaz o conexiune #
atacatorul va intercepta le!tura ca apoi s o continue ctre surs dar direcion.nd informaii
ctre staia proprie.
Pagina 4$ din 148
/i!ura 3.8 ,tac de tip M3$M
n acest moment atacatorul este n situaia de a injecta date # modifica date i
comuncicaia sau eavesdroppin! asupra unei reele pe care i-ar fi n mod normal dificil s o
decodeze aa cum sunt sesiunile criptate.
J. (o!ue client
Dup studierea unui client din cadrul unei reele un atacator poate s alea! fie s
imite fie s cloneze identitatea unui client i ncearc s c.ti!e acees la reea. 2n mecanism
de securitate o"inuit tre"uie s foloseasc metode de control al accesului la nivel 8 pentru a
limita accesul la resurse . ,cest mecanism s-a dovedit a fi un eec c.nd a fost folosit de
companiile de telefonie mo"il pentru a limita accesul la numerele de telefon folosind '%-
9'lectronic %erial -um"er:. ,poi acest eec a fost repetat de standardul C08.66 din cadrul
reelele )ireless +,- prin intermediul M,0s 9Media ,ccess 0ontrols: care poate fi uor
pclit de un "un atacator .
C. ,tacurile de tip client 7 client
<dat conectai la o reea oricare client al reelei poate fi atacat direct . Dac atacul
reuete pot fi accesate permisiuni care s permit acces la alte domenii ale reelei.
Majoritatea administratorilor de reea nu ntresc nivelul de securitate al staiilor prin
instalarea de soft)are de tip fire)all. ,stfel atacurile asupra reelelor )ireless pot avea ca
rezultat accesarea de data importante ca parole sau nume de utilizatori care pot fi folosite
pentru a accesa resursele reelei.
@. ,tacuri asupra infrastructurii
'c1ipamentul confi!urat incorect reprezint prima surs pe care atacatorii o pot
accesa cu scopul de a o"ine informaii necesare accesului n cadrul reelei. Dispozitivele de
Pagina !% din 148
reea aa cum sunt routere # s)itc1-uri # servere sunt primele inte ale unui atacator. Muli
administratori de reea se "azeaz pe securitatea furnizat de nivelul 8 de la!tur aa cum
sunt M+,- 9virtual +,-: # pentru a seapara reelele )ireless de cele ca"late. 'xist o
mulime de atacuri documentate care pot fi folosite pentrua pcli securitatea furnizat de
reelele M+,- . 'xist mai multe atacuri aa cum sunt atacuri asupra s)itc1-urilor atacuri
asupra adresei M,0 i atacuri asupra routerelor.
60. ,meninri cripto!rafice
(eelele )ireless de tip 't1ernet ca i reelele 0DM, sau reelele celulare ?%M
folosesc mecanisme cripto!rafice pentru a mpiedica procesul de eavesdroppin! i s
opreasc utilizarea reelei fr permisiuni. *ired 'Nuivalent &rivacE 9*'&: este un astfel de
mecanism cripto!rafic realizat pentru a oferi securitate reelelor C08.66. ?reelile de
implementare i pro"lemele de mana!ement a c1eilor au demonstrat inutilitatea acestui
mecanism. *'& a fost realizat cu o sin!ur c1eie static care era folosit de majoritatea
utilizatorilor. < examinare a implementrii al!oritmului (0; n cadrul *'& a evideniat
sl"iciuni care ofereau posi"ilitatea atacatorului s identifice c1eia dup ce captura o cantitate
minim de trafic. 2nelte i metode disponi"ile pe 3nternet ofer posi"ilitatea unui atacator s
identifice c1eia de acces la o reea n c.teva ore. De aceea *'& nu reprezint o msur de
ncredere care s ofere autentificare i confidenialitate unei reele )ireless. $otui folosirea
acestor metode cripto!rafice este o soluie mai "un dec.t neutilizarea lor# dar datorit
vulnera"ilitilor cunoscute de toi sunt necesare metode suplimentare de ntrire a *'& .
$oate comunicaiile )ireless fac su"iectul atacurilor de tip eavesdroppin! n faza de contact #
de sta"ilire a conexiunii # de sesiune de comunicaie sau de terminare a sesiunii de
comunicaie.
0oncluzie nele!erea ameninrilor care apar la adresa te1molo!iilor )ireless
reprezint primul pas n sensul securizrii implementrilor )ireless. ,vantajul folosiri
reelelor )ireless este imens. De aceea aceste ameninri tre"uie luata n considereare# dar
acestea nu tre"uie s opreasc dezvoltarea te1nolo!iilor )ireless. Doar adoptare unor simple
msuri de securitate poate reduce dramatic impactul pe care l pot avea multe dintre atacurile
o"inuite asupra unei reele )ireless.
3.8 0erinele securitii
3.8.6. Disponi"ilitate
Disponi"ilitatea nseamn c serviciile asi!urate de nod sunt asi!urate c1iar dac au
loc atacuri. -odurile tre"uie s fie disponi"ile n orice moment.
Pagina !1 din 148
3.8.8 ,utenticitate
,utentificarea se traduce prin confirmarea c prile participante la comunicaie sunt
verita"ile i nu sunt impostori
0onfidenialitate
2n intrus nu ar tre"ui s ai" acces la informaiile n tranzit ntre noduri. &entru
confidenialitate este necesar pentru a preveni noduri intermediare sau neautorizate s
nelea! pac1etele care se transmit.
3nte!ritate
3nte!ritatea const n !arania c mesajul sau pac1etul care e trimis nu a fost modificat
n tranzit. 2n mesaj poate fi corupt nu datorit atacurilor maliioase ci mai datorit
funcionrii proaste a propa!rii radio# dar exist ntotdeauna posi"ilitatea ca un adversar s
modifice coninutul datelor.
-onrepudiere
-onrepudierea const n imposi"ilitatea unui expeditor nu poate refuza trimiterea
informaiilor i destinatarul nu poate refuza recepia. ,cest lucru este folositor atunci c.nd e
nevoie pentru detectarea i izolarea nodurilor compromise. <rice nod care primete un mesaj
eronat poate acuza expeditorul i s convin! i alte noduri de nodul compromis.
<rdonare
2pdate-urile primite de la ruter sunt ordonate# iar dac acest lucru nu se nt.mpl
poate fi afectat al!oritmul de rutare. Mesajul nu reflect statul real al reelei i poate propa!a
informaii false.
,temporalitate
Mesajele de update pot ajun!e t.rziu s-ar putea s nu reflecte stadiul le!turilor i
ruterelor reelei. Dac un nod care distri"uie informaie intre dou componente ale reelei este
raportat ca fiind =jos> atunci mari pri ale reelei devin inaccesi"ile.
3zolare
Pagina !2 din 148
3zolarea necesit ca protocolul s fie capa"il s identifice ="uclucae> i s le claseze
incapa"ile s interfere n rutare. &rotocolul de rutare ar tre"ui s fie imun la nodurile
maliioase.
,utorizare
2nui nod autorizat sau un utilizator autorizat i este emis un certificat imposi"il de
falsificat de ctre autoritatea de certificare. ,ceste certificare conin specificaii n ceea ce
privete privile!iile. 0ertificatele nu sunt folosite n protocolul de rutare a pac1etelor i
fiecare pac1et poate face modificri n ta"ela de rutare.
%ecretizarea locaiei
&rotocolul de rutare ar tre"ui s pstreze secret locaia nodurilor i structura reelei.
,utosta"ilizare
<rice protocol de rutare ar tre"ui s fie capa"il s se recupereze dup orice pro"lem
ntr-un timp limitat fr intervenia uman.
(o"ustee "izantin
2n protocol de rutare tre"uie s fie capa"il s funcioneze corect c1iar dac nodurile
participante n rutare intenionat "ruiaz aceast operaiune. (o"usteea "izantin se poate
interpreta ca o variat mai strict de autosta"ilizare ceea ce nseamn c un protocol de rutare
nu tre"uie numai s se refac n urma unui atac# ci nu ar tre"ui s-i opreasc funcionarea n
timpul unui atac.
,nonimatul
-ici un nod mo"il nu ar tre"ui s dezvluie date care s permit sustra!erea de
informaii n le!tur cu proprietarul sau utilizatorul curent.
Mana!ementul c1eilor
%erviciul de mana!ement al c1eilor tre"uie s ai" urmtoarele proprieti
Modelul de ncredere 9c.te elemente din reea pot avea ncredere unul n altul i
relaiile de ncredere ntre elementele reelei:
0riptosistemul
Pagina ! din 148
0rearea c1eilor
Memorarea c1eilor
Distri"uia c1eilor
0ontrolul accesului
0ontrolul accesului se refer la mana!erierea modului n care utilizatori sau utilizatori
virtuali cum ar fi procesele sistemelor de operare pot avea acces la date. -umai nodurile
autorizate pot forma# distru!e sau a se altura !rupurilor. %unt mai multe concepii n ceea ce
privete controlul accesului
DiscreionarE ,cces 0ontrol 9D,0: ofer mijloace prin care se definete controlul
accesului la utilizatoriL
MandatorE ,cces 0ontrol 9M,0: implic mecanisme centralizate care controleaz
accesul la o"iecte cu poli de autorizaie.
(ole Gased ,cces 0ontrol 9(G,0: aplic conceptul de roluri n ceea ce privete
su"iectele i o"iectele.
&rotocoale de securitate 9elemente de cripto!rafie i protocoale de securitate ale
reelelor )ireless:
n dezvoltarea standardului C08.66 a fost urmrit ca model de "az modelul <%3.
't1ernet-ul )ireless a fost realizat ca o variant care s nlocuiasc 't1ernet-ul implementat
n cadrul reelelor ca"late. Din aceast cauz ntre!ul protocol exist pe le!tura de date i
le!tura fizic a modelului <%3. 0u toate c sunt deja ani ndelun!ai de implementare a
securitii n cadrul reelelor )ireless # puine soluii au fost realizate la nivel de reea. 0a
rezultat nici un protocol de securitate nu a putut fi implementat la nivel fizic sau de le!tur
de date. De aceea noi mecanisme de securitate au fost create care s asi!ure o inte!ritate i o
confidenialitate sporit a datelor ve1iculate n reea. 'xpansiunea continu a reelelor fr fir
a determinat o nevoie continu de dezvoltare a msurilor de securitate ntruc.t reelele
)ireless eu devenit o soluie tot mai adoptat n domeniul reelisticii.
2rmtorul capitol va discuta protocoalele de securitate adoptate n cadrul reelelor
*+,- folosite pentru a securiza aplicaiile )ireless. 01iar dac unele sunt perimate sau total
depite de pro!resul te1nolo!ic din acest domeniu # tre"uie totui luate in discuie toate
mecanismele de securitate folosite pentru a scoate n eviden pro!resul fcut de te1nolo!iile
)ireless n domeniul securitii comunicaiilor.
Pagina !4 din 148
%ecure %oc4ets +aEerD$ransport +aEer %ecuritE 9%%+D$+%:
%ecure %oc4et +aEer 9%%+: a fost iniial realizat pentru a rezolva pro"lemele de
securitate a serverelor )e" . +a nceputul dezvoltrii 3nternetului # a fost realizat marea
oportunitate comercial pe care o poate oferi# dar pro"leme de securitate pe care le
implica transmiterea de date personale su" form de text clar tre"uiau rezolvate deoarece
atacatorii putea interecepta imediat aceste informaii. -etscape a fost primul "ro)ser care a
oferit ca metod de sporire a securitii # %%+# fc.nd posi"ile tranzaciile comerciale via )e"
prin intermediul unui canal si!ur de transmitere de date. %%+ este transparent # asta
nsemn.nd c datele sosesc la destinaie nesc1im"ate de procesul de criptare D decriptare . De
aceea %%+ poate fi utilizat pentru multe aplicaii. %%+ ca i succesorul lui $%+ 9$ransport
+aEer %ecuritE: sunt cele mai rsp.ndite protocoale de securitate implementate n 3nternet.
3mplementat iniial de ctre -etsacape n anul 6@@; # %%+D$%+ sunt implementate n
majoritatea "ro)ser-elor sau a clienilor de e-mail. %%+ a reprezentat "aza de dezvoltare
pentru alte protocoale aa cum sunt Microsoft &rivate 0ommunications $ec1nolo!E 9&0$:
%ecure $ransport +aEer &rotocol 9%$+&:# sau *ireless $ransport +aEer %ecuritE 9*$+%:.
,plicaia principal a %%+D$%+ este pentru traficul )e" sau B$$& 9BEpertext
$ransfer &rotocol :. &rocesul este foarte simplu . n comunicaiile de "az B$$& # se
realizeaz o conexiune de tip $0& # o cerere a unui document este iniiat iar acesta este
transmis. 0u o conexiune %%+D$+% - B$$& # conexiunea $0& este realizat la fel ca i
conexiunea %%+D$+% ca apoi conexiunea B$$& se realizeaz cu ajutorul le!turii %%+D$%+ .
&entru a mpiedica crearea unei confuzii ntre serverele B$$& # B$$& pe conexiune %%+ D
$+% este de o"icei implementat pe un port $0& diferit 9;;3: dec.t portul B$$& standard
9C0:. Multe dintre aplicaiile care folosesc %%+D$%+ folosesc alte porturi dec.t protocoalele
%%+ D $+% standard .
%%+D$+% este folosit penru a cripta i autentifica o conexiune . ,cest lucru este
realizat prin utilizarea unei com"inaii dintre mai multe te1nolo!ii ce folosesc al!oritmi
simetrici i asimetrici. %%lD$+% ofer posi"ilitatea de a autentifica at.t serverul c.t i clientul #
dar numai autentificarea serverului este realizat. ,utentificarea este realizat prin folosirea
cripto!rafiei cu c1ei pu"lice i este asmntoare unei str.n!eri de m.n 91and s1a4e: .
0omunicaiile actuale ce folosesc %%+D$+% folosesc un al!oritm de criptare simetric .
%%+D $+% poate fi utilizat pentru a securiza multe tipuri de comunicaii . 0ea mai
comun implementare sunt "azate pe comunicaiile $0& aa cum sunt emailul # telnet sau
/$& 9/ile $ransfer &rotocol:. n multe cazuri sunt folosite porturi diferite pentru
comunicaiile securizate cu ajutorul %%+D$+%.
Pagina !! din 148
$erminal ,ccess and /ile $ransfer
0el mai pro"a"il mod de a folosi %%B este acela de a nlocui telnet. $elnet este o
aplicaie utilizat pentru a !estiona utilizatorii din reea. < sesiune telnet poate fi uor
interceptat fiind uor suscepti"il la perderi de date importante sau pot fi introduse date n
reea su" form de comenzi ce pot fi ulterior executate . 3mplementat correct . %%B elimin
aceste pro"leme de securitate .
Multe dintre protocoalele de transport aa cum sunt /$& # $/$& 9$rivial /ile $ranfer
&rotocol : sau 03/% 90ommon 3nternet /ile %Estem: sunt foarte nesi!ure fiind expuse
pericolelor de !enul sniffin!-ului sau injectrii de date n reea su" form de comenzi. %%B
ofer posi"ilitatea de a transfera fiiere prin intermediul unei sesiuni criptate i autentificate.
&ort /or)ardin!
De multe ori %%B nu poate fi folosit pentru a nlocui telnet sau /$&. n aceste situaii
%%B poate fi folosit pentru a securiza n alt mod aplicaii nesi!ure aa cum sunt telnet # $/& #
&<& 9&ost <ffice &rotocol: sau c1iar B$$&. ,cest lucru poate fi realizat folosind capacitate
de port 7 for)ardin! oferit de %%B.
/i!ura 3.3 %%B tunnel
n aceast fi!ur fire)all-ul este confi!urat doar pentru a permite traffic de la o
conexiune nesi!ur ctre un server %%B . -ici un fel de traffic nu va fi permis a fi direciont
ctre sau dinspre server-ul de e-mail ctre reeaua nesi!ur. n plus la folosirea %%B pentru
accesul teminal la server-ul %%B # port 7 for)ardin! poate fi folosit pentru a tunela traficul de
e-mail prin reeaua nesi!ur ctre server-ul %%B. ,poi server-ul %%B redirecioneaz
pac1etele ctre server-ul de e-mail. Din punctual de vedere al server-ului de e-mail # trficul ar
Pagina !" din 148
tre"ui s vin dinspre serverul %%B iar pac1etele ar tre"ui returnate tot ctre serverul %%B
pentru a fi tunelate napoi ctre utilizator. '-mail este doar unul dintre numeroasele
protocoalele $0& care pot fi tunelate cu ajutorul %%B. ,lte aplicaii o"inuite pentru %%B
sunt cele de securizare a transferului de fiiere 9-/% 7 -et)or4 /ile %Estem # /$& sau 03/% :
# aplicaii )e"9B$$&: sau aplicaii client 9 %ervere M% $erminal sau A*indo)s: .
*$+%
*$+% se "azeaz pe %%+D$+%. 'ste folosit de dispozitive de !enul *,& 9*ireless
,plication &rotocol: aa cum sunt telefoanele mo"ile sau &D,-uri 9personal di!ital
assistants:. &rincipala diferen dintre %%+ i *$+% este la nivel transport. %%+ se "azeaz
pe $0& pentru funciile sale de ncredere aa cum ar fi retransmiterea pac1etelor pierdute au
a celor de tip out-of-order. Dispozitivele ce folosesc *$+% nu pot utiliza aceste funcii $0&
deoarece folosesc 2D& 92ser Data!ram &rotocol:. 2D& nu este un protocol orientat
conexiune aa c aceste funcii au fost incluse n cadrul *$+%.
$rei clase pot fi ne!ociate n timpul unei sesiuni de =1ands1a4e>
*$+% class 6 -o certificates
*$+% class 8 %erver certificate onlE
*$+% class 3 0lient and server certificates
n clasa 6 nu are loc nici o autentificare iar protocolul este folosit doar pentru a realiza
un canal criptat. n clasa 8 # de o"icei un client autentific serverul iar de o"icei certificatele
sunt incluse n firm)are. n clasa 3 # at.t clentul c.t i serverul sunt autentificai . ,cest lucru
implic n mod normal implementarea unui &K3. *$+% este similar cu %%+D$+% deoarece
poate fi utilizat pentru a securiza alte protocoale aa cum ar fi *M+ 9*ireless Mar4up
+an!ua!e:. *M+ este asemntor cu B$M+ # dar este creat special pentru dispozitive *,&
aa cum sunt telefoanele mo"ile sau &D,-uri.
*'&
*ired 'Nuivalent &rivacE 9*'&: este mecanismul de securitate inclus n standardul
C08.66 i este folosit deoarece ofer servicii de confidenialitate i de autentificare. *'& este
"azat pe al!oritmul (0; care se refer la un cifru pe "loc. &ac1etele sunt criptate prin
!enerarea unui stream (0; care este o com"inaie de 8; de "ii care reprezint vectorul de
iniializare 9M3: i o c1eie pu"lic . M3-ul este folosit pentru a face unic streamul (0; !enerat
diferit fa de alte streamuri !enerate anterior. Datele sunt trecute printr-o operaie A<( cu
streamul !enerat i transmis ntr-un cadru *'& cu M3-ul n 1eader astfel nc.t cel care
primete pac1etele s poat !enera acelai stream (0; i s l treac printr-o operaie A<(
pentru a realiza procesul de decriptare.
Pagina !# din 148
,par ns i pro"leme cu implementarea *'&. *'& poate fi folosit ca pe o prim
linie de aprare# dar nu ne putem "aza pe el datorit pro"lemelor de securitate ce au fost
descoperite cu privire la compromiterea c1eii. < reea ce utilizeaz ca mijloc de protecie
*'& poate fi penetrat momentan n decursul a catorva minute prin capturarea unui trafic
suficient. *'& #de asemeni # prezint i pro"leme de mana!ement a c1eilor. < c1eie *'&
o"inuit este folosit de toi utilizatorii unei reele )ireless # lucru care face aproape
imposi"il protejarea c1eii . 01eia *'& tre"uie sc1im"at foarte frecvent . ,n!ajaii firmelor
parsesc locul de munc sau pierd ec1ipament sau laptopuri astfel nc.t aceast sc1im"are
frecvent a c1eii este inevita"il.
2nele din ultimele implementri ale *'& ne!ociaz o c1eie la nceputul sesiunii care
are loc odat cu autentificarea interlocutorilor. 3mplentri avansate aa cum ar fi procesul de
Sre4eE> realizeaz sc1im"area c1eii c1iar n momentul comunicaiei. ,cest lucru anuleaz
pro"lema *'& cu privire la c1eia care ram.ne nesc1im"at de-a lun!ul unei sesiuni.
C08.6x
C08.6x ca i protocoalele sale asociate reprezint o ncercare de a crete securitatea
reelelor nainte ca protocoalele de nivel 3 9aa cum este 3&: sunt confi!urate . $e1nolo!ia nu
este specific pentru C08.6x i poate fi folosit pentru 't1ernet # $o4en (in! sau alte tipuri de
conexiuni. %copul priccipal al C08.6x este acela de a autentifica utilizatorii i poate fi folosit
opional pentru a realiza c1ei de criptare . 0.nd o conexiune este realizat doar traficul de tip
C08.6x este acceptat n reea. ,cest lucru nseamn c alte protocoale ca DB0& 9DEnamic
Bost 0onfi!uration &rotocol: # 3& sau alte protocoale nu sunt permise. ',& 9'xtensi"le
,ut1entification &rotocol: este folosit pentru a autentifica utilizatorii. ',& a fost iniial
realizat pentru a rezolva pro"leme de securitate privind autentificarea n cadrul &oint to point
&rotocol 9&&&: #dar utilizarea sa de "az a reprezentat-o rezolvarea pro"lemelor de securitate
din cadrul reelelor )ireless. &ac1etele ',& de autentificare sunt transmise ctre acces point
cu informaiile de acces ale utilizatorului #username i parola . ,cces point-ul poate
autentifica utilizatorul dup instruciunile specificate de proiectant indiferent care sunt
acestea. n majoritatea cazurilor acest lucru se face via (emote ,ut1entification Dial-in 2ser
%ervice 9(,D32%: . <dat ce utilizatorul a fost autentificat i criptarea # dac exist # a fost
realizat # comunicaia va fi realizat iar protocoale ca DB0& sunt permise n acest moment
s acceseze comunicaia. < ima!ine de nivel mai lar! este ilustrat mai jos.
Pagina !8 din 148
/i!ura 3.; C08.6x cu ',&
,utentificare C08.6x este un dialo! desc1is ntre un sistem care dorete s se
conecteze la serviciile reelei i reea . $ocmai acest protocol folosete protocolul extensi"il
de autentificare ',& . Mai simplu ima!inea de mai sus poate fi exemplificat astfel.
Pagina !$ din 148
0lient
3nterfaa 1ostului
&ort acces la
reea9,& # s)itc1:
%erver ,,, 9orice
server ',& de
o"icei (,D32%:
%erver
autentificare
Mesaje ',&
ncapsulate tipic
pentru (,D32%
,utentificatorul
%erverul de autentificare poate fi n acelai loc cu autentificatorul sau cele dou pot fi
n locuri diferite i s se acceseze reciproc prin comunicaie de la distan. Multe dintre
funciile de autentificare sunt implementate la client i la serverul de autentificare . ,cest
lucru este "enefic pentru punctele de acces# deoarece ele au o memorie mic i putere de
procesare redus.
Dialo!ul de autorizare standard const n
,&9punctele de acces: cere %$,9staiile: s se identidifice folosind ',&<+ 9',&
over +,-:.
%$, i trimite identitatea la ,&
,& trimite mai departe identitatea %$, la ,% 9server de autentificare:# prin
intermediul ',&
ntre ,% i %$, are loc un dialo! de autentificare
Dac dialo!ul este terminat cu success # %$, i ,% partajeaz c1eie de sesiune
,% trimite c1eia de sesiune la ,& ntr-un atri"ut (,D32% precum i o parte a
mesajului de acceptare a (,D32%
Metodele de autentificare C08.6x sunt dintre cele mai puternice i !reu de penetrate
fiind indicat folosirea unei te1nolo!ii ',& .n funcie de cerinele de securitate ale
companiei # metoda ',& aleas poate commplica utilizarea . 0ele mai cunoscute tipurui de
',p sunt
',&-MDI
',&-$+%
',&-$$+%
&',&
0isco +',&
',&-MDI nu asi!ur o securitate la fel de "un precum celelalte metode ',& i nu
se recomand folosirea acesteia pentru autentificare n reelele fr fie . +a captul opus este
',&-$+% # ca una dintre cele mai si!ure metode de ',& . ,ceast metod necesit o
certificare unic &K3 pentru toate serverele de autentificare i toi clienii fr fir. C08.6x cu
',&-$+% este sistemul de autentificare cel mai la"orios de folosit i de ntreinut . %oluia de
securitate aleas influeneaz n mod direct dispozitivele 1ard fr fie i softul care va fi
ac1iziionat.
3.3.C *&, 9*i 7 /i protected access utiliz.nd $K3& i M30:
Pagina "% din 148
&.n la ratificarea standardului 3''' C08.66i# aliana *i/i a propus *i/i &rotected
,ccess9*&,: ca o soluie interimar care s nlocuiasc criptarea "azat pe *'&. %erviciile
de securitate oferite de *&, sunt
0onfidenialitatea este realizat prin utilizarea protocolului $K3& cu metoda de
criptare (0;L
,utentificarea este disponi"il n dou moduri. n modul XntreprindereX 9'ntreprise: se
utilizeaz autentificarea C08.6x i ',&# n timp ce n modul XconsumatorX se utilizeaz o c1eie
pre-partajat pentru a asi!ura autentificarea reelei fr firL
3nte!ritatea datelor este asi!urat cu ajutorul Ml09Messa!e 3nte!ritE 01ec4:# ,ceasta
asi!ur protecie contra atacurilor de contrafacere9for!erE: i a celor de inversare a "iilor9"it
flippin! attac4s:.
0ea mai important caracteristic a *&, este folosirea protocolului $K3& n locul
protocolului *'& "azat pe (0;.
*&, continu s utilizeze (0;# dar ntr-un mod mult mai securizat dec.t *'&.
Mectorul de iniializare n $K3& este mrit. 'ste adu!at o caracteristic de mixare a c1eilor
per pac1et# ceea ce-l face cu mult mai rezistent la atacuri. De asemenea# este adu!at M30
pentru confirmarea transmisiei# cu succes sau nu# a unui pac1et. &rotocolul $K3& necesit
dou c1ei diferite una pe 68C "ii# care este utilizat la funcia de mixare pentru a produce
c1eia de criptare per pac1et i una pe F; "ii# pentru a asi!ura inte!ritatea mesajului. Mectorul
de iniializare la $K3& a fost mrit la ;C "ii.
&rotocolul de inte!ritate cu c1eie temporar9$Kl&:
&rotocolul de inte!ritate cu c1eie temporar9$K3&-$emporal KeE 3nte!ritE &rotocol:
este folosit de *&, pentru recodificarea c1eii de criptare a traficului unicast. /iecare cadru
de date transmis prin spaiul fr fir este recodificat de ctre $K3&. $K3& sincronizeaz
sc1im"ul de c1ei ntre client i ,&. 01eia !lo"al de criptare# pentru traficul multicast i
"roadcast# este sc1im"at# printr-un anun fcut de *&, ctre toi clienii conectai.
, fost proiectat pentru a permite unele soluii pentru c.teva pro"leme soft)are i
firm)are nt.lnite n *'&.
%c1im"rile majore n cadrul *'& sunt.
un nou cod de inte!ritate a mesajului 9M30 :# !enerat cu al!oritmul Mic1ael. M30 este
calculat cu datele primite de la nivelul superior 9M%D2 - M,0 %ervice Data 2nit:# adresele
surs i destinaie i c.mpul de prioritate# naintea fra!mentrii n cadre M,09M&D2-M,0
&rotocol Data 2nit:. M30 asi!ur aprare mpotriva atacurilor falseL
Pagina "1 din 148
din cauza limitrilor al!oritmului Mic1ael# au fost implementate un set de
contramsuri. Din cauza limitrilor 1ard# a fost imposi"il folosirea unui al!oritm mai
puternic# dar totui aceast metod alternativ reduce pro"a"ilitatea unui atacL
$K3& extinde vectorul de iniializare *'&93M:9 n principiu# este incrementat un
numrtor la fiecare trimitere a unui cadru: i utilizeaz aceasta la M&D2 ca un $%09$K3&
%eNuence 0ounter:L
mana!ementul de c1ei (%-, asi!ur o c1eie temporar9$K-$emporal KeE:. 'ste
aplicat o funcie de mixare la $%0 i adresa de transmitere9$, :. ,ceasta asi!ur nu numai
o c1eie nou pentru fiecare secven trimis# dar previne i utilizarea unor c1ei sla"e# cu
fluxul criptat# folosind (0;.
3.3.@ 3& %ecuritE 93&%ec:
3& %ecuritE 93&%ec: a fost dezvoltat de !rupul de lucru 3'$/ . &rotocolul 3&%ec se
!sete la un nivel inferior fa de %%+D$+% #%%B sau *$+% n cadrul stivei de protocoale.
-ivelul de securitate este implementat la nivel 3& n cadrul modelului 3nternet. 0ea mai
frecvent implementare a 3&%ec include folosirea unui model de tunelare care face posi"il ca
traficul 3& s fie criptat i autentificat n cadrul aceleai sesiuni .3&%ec reprezint te1nolo!ia
pe care se "azeaz majoritatea reelelor de tip M&- 9Mirtual &rivate -et)or4: folosite n
3nternet. Datorit flexi"ilitii crescute i ariei lar!i de utilizare # 3&%ec reprezint o metod de
securitate tot mai ntlnit n corelaie cu te1nolo!ia )ireless. 3&%ec poate fi utiliza pentru
capacitatea de a oferi metode de criptare datorit ',& 9'ncapsulated %ecuritz &aEload: sau
de autentificare folosind ,B 9,ut1entification Beader: . ,B poate fi implementat fr a
folosi neaprat '%&. ,cest lucru nu ofer confidenialitate mpotriva sniffin!ului #dar oprete
eventuale ncercri de deteriorare a datelor pe parcursul sesiunii de transport. '%& poate fi
implementat i fr ,B pentru a oferi confidenialiatate i elemente de autentificare #dar
majoritatea administratorilor ale! s folosesc at.t '%& c.t i ,B.
3&%ec ofer mai muli al!oritmi cripto!rafici care pot fi utilizai de ctre ,B sau 'sp .
0ei mai frecveni al!oritmi de criptare pentru '%& sunt D'% 9Data 'ncrEption %tandard: #
$D'% 9$riple D'%: i ,'% 9,dvanced 'ncrEption %tandard: . ,'% reprezint nlocuitorul
pentru D'% i $D'% iar 3&%ec folosete ,'% ca al!oritm cripto!rafic pentru implementrile
de 3&%ec . 0el mai des folosit al!oritm de autentificare pentru ,B este Messa!e Di!est I
9MDI: i %B, 9%ecure Bas1 ,!orit1m:.
0ea mai cunoscut implementare a 3&%ec se re!sete n cadrul comunicaiilor din
cadrul unei reele M&- . <ric.nd este folosit o reea pu"lic pentru realizarea unei reele
Pagina "2 din 148
private putem numi acest lucru ca fiind o reea M&-. /olosind aceast definiie putem
considera ,$M 9,sEnc1ronous $ransfer Mode: #/rame (elaE sau A.8I pot fi considerate
M&- -uri #dar de o"icei astfel de reele sunt considerate doar cele de tip tunel pe strcrura
3nternet. n cazul acestei aplicaii un !ate)aE este instalat n cadrul reelei firmei # aa cum
este ilustrat i n fi!ura alturat . ,ccesul remote al utilizatorilor la reea va realiza o
conexiune de tip tunel ctre !ate)aE cu ajutorul '%& i ,B.
/i!ura 3.I 3&%ec M&-$unnel
3.3.60 *&,8D,'%
n iunie 800; or!anizaia 3''' a ratificat standardul C08.66i cunoscut i ca *&,8. 'l
definete confidenialitatea datelor# autentificarea mutual# inte!ritatea datelor i protocoale
de mana!ement al c1eilor pentru a crete securitatea su"nivelului M,0 pentru reelele fr
fir. n timp ce *'& i *&, folosesc al!oritmul de criptare (0;# C08.66i utilizeaz
al!oritmul ,'% pe 68C "ii n modul 0G0-M,0900M:. nainte de C08.66i nu se utiliza
autentificarea pe ; ci. ,cest set de protocoale definete o securitate ro"ust.
0onfidenialitatea este asi!urat prin folosirea a trei tipuri de al!oritmi pentru
protejarea datelor *'&# $K3& i 00M&90ounter-modeD0G0-M,0 &rotocol:. *'& i $K3&
se "azeaz pe al!oritmul (0;# iar 00M& se "azeaz pe ,'%.
,utentificarea este realizat prin utilizarea ',& la autentificarea clienilor i server de
autentificare.
Mana!ementul c1eilor este asi!urat prin !enerarea de c1ei noi utiliz.nd protocoalele
de ; ci9; *aE 1ands1ac4e: i a c1eilor de !rup. 01eile sunt sta"ilite dup ce s-a fcut
autentificarea C08.6x# dar ele se pot sc1im"a dac este necesar sau s-a depit timpul i deci
au expirat.
3nte!ritatea datelor este realizat cu ajutorul protocolului 0G0-M,090ip1er Gloc4
01ainin! Messa!e ,ut1entication 0ode: i a M309Messa!e 3nte!ritE 01ec4:.
Pagina " din 148
m"untirea principal a C08.66i pentru *+,--uri este definirea unor reele cu
servicii ro"uste de securitate9(%--(o"ust %ecuritE -et)o4:. %tandardul 3''' C08.66i
urmrete rezolvarea deficienelor asociate cu confidenialitatea datelor n mediul fr fir.
< reea (%- este o reea si!ur care permite crearea de asocieri n (%- 9(%-,:. <
(%-, definete un numr de trsturi cum ar fi mecanisme de autentificare m"untite
pentru staii# al!oritmi cripto!rafici i mecanisme de ncorporare a datelor m"untite care
asi!ur confidenialitate crescut# numite 00M& i opionalul $K3&.
lerar1ia c1eilor n cadrul standardului C08.66i
n pro"lemele de securitate un aspect important l constituie c1eile. Dac aceste c1ei
sunt compromise sau furate# nu mai putem vor"i de securitate.
&entru a crete securitatea n reele# prin utilizarea al!oritmilor de criptare i
inte!ritate tre"uie o"inute c1eile 01eia rdcin de la care se o"in celelate c1ei este fie
c1eia prepartajat9&%K-&re %1ared KeE:# care este o c1eie static livrat la ,% i %$,
folosind un mecanism nafara "enzii# printr-un canal securizat# fie c1eia furnizat de un
server de autentificare numit i c1eie mater 9MK: care este livrat printr-un protocol ',&.
01eia &%K tre"uie s fie cunoscut naintea unei conexiuni de reea# adic s fie introdus
manual c.nd se instaleaz un periferic. %istemul cu c1eie prepartaj se folosete mai ales
pentru reele mici. 01eia pe "az de server este !enerat automat de o aplicaie server# din
serverul ,,,. n cadrul standardului C08.66i exist dou ierar1ii de c1ei derivate
01eia perec1e 9&air)ise 4eE:# care protejeaz traficul ntre staie i punctul de accesL
01eia de !rup9?roup 4eE: care protejeaz traficul "roadcast sau multicast de la
punctul de acces la clieni.
&rocesul de !enerare a c1eilor presupune c avem c1eia prepartajat sau dup ce
autentificarea C08.6A e finalizat cu succes este desc1is portul controlat i %$, partajeaz cu
,& o c1eie perec1e master9&MK:. ,poi este rulat un protocol n ; faze 95;-)aE-1ands1a4e5:
pentru a crea un set de c1ei temporare. +a nceput# am.ndou prile !enereaz o secven
aleatoare. ,utentificatorul trimite secvena sa la client folosind un cadru ',&<+. 0lientul
9care cunoate &MK: folosete o funcie pseudo-aleatoare pentru a calcula c1eia temporar
perec1e9&$K:. ,poi creeaz o secven nou pe care o trimite la autentificator folosind o
c1eie ',&<+# conin.nd secvena sa 9a solicitantului:# informaia (%- de la cadrul de cerere
de asociere i codul de inte!ritate al mesajului9M30:. ,utentificatorul9,&-ul: poate acum
crea &$K i valida M30. ,utentificatorul9,&-ul: transmite alt cadru folosind o c1eie ',&<+
purt.nd secvena sa# informaia (%- din mesajul de informare9"eacon:# un M30# c1ei
Pagina "4 din 148
temporare de !rup i dac s se instaleze c1eile temporare. n final# clientul trimite
confirmarea faptului c au fost instalate c1eile.
%tandardul 3''' C08.66i i ,'%
< m"untire semnificativ n ceea ce privete confidenialitatea datelor # inclus n
standardul C08.66i este ,'% 9,dvanced 'ncrEption %tandard: # dezvoltat de Departament
-3%$ al 2.%. 0ommerce. ,'% poate fi folosit n moduri diferite sau cu al!oritmi diferii# iar
implementarea 3''' C08.66i se "azeaz pe modul numrare a 00M i este folosit pentru a
asi!ura confidenialitatea datelor i inte!ritatea acestora.
,'% este o te1nolo!ie "azat pe un cifru "loc simetric iterativ i folosete aceeai
c1eie at.t pentru criptare c.t i pentru decriptare . &rocesul de criptare folsete treceri
multiple asupra datelor din pac1etul C08.66# iar datele n clar de tip text # sunt criptate n
"locuri discrete # de lun!ime fix. ,'% cripteaz datele folosind "locuri de 68C de "ii i c1ei
de criptare tot de 68C de "ii . ,'% are la "az m"untirile fcute de $K3& i M30 i
folosete al!oritmi similari # pentru a reui s ajun! la un nivel superior de protecie a
datelor.
,'% necesit un surplus de prelucrare care cere ac1iziionare unor noi dispozitive
1ard 9plac de reea # ,& # s)itc1 *+,-: care s suporte noile funcionaliti n materie de
confidenialitate a datelor ale C08.66i.
'lemente de securizare pentru reelele *ireless +ocal ,rea -et)or4 i reele ,d Boc
,r1itectura i protocolul de securitate al C08.66 este *'& 9*ired 'Nuivalent &rivacE:
. *'& ofer autentificare # confidenialitate i inte!ritatea datelor n cadrul reelelor de tip
C08.66 . +a momentul apariia *'& scopul acestuia a fost acelai de a oferi aceeai protecie
pe care le ofereau mecanismele de securitate din cadul reelelor ca"late. $otui comparaia
ntre aceste dou metode de securitate nu poate fi realizat ntruc.t o reea ca"lat se nate cu
mecanisme care s o protejeze din moment ce accesul la mediu de transmisie este
restricionat sau securizat. n cazul comunicaiilor )ireless acestea nu ofer nici un mod
implicit de restricie a accesului la mediu de transmisie. ,stfel comparaia s-a rezumat la
ideea dac *'& poate oferi aceleai elemente de securitate unei reele )ireless pe care le
ofer restricionarea accesului la mediu n cadrul unei reele ca"late. $otui unele scpri de
securitate ale *'& au demonstrat c protecia oferit de *'& nu confer unei reele *+,-
si!urana unei comunicaii si!ure.
Pagina "! din 148
n acest capitol vom privi n ansam"lu mecanismele de securitate ale *'& # de ce nu
ofer protecia necesar unui flux de informaii si!ure i deasemeni msurile care au fost
ntreprinse n scopul remedierii scprilor de securitate care eu demonstrat ineficacitatea
*'&.
Mom analiza deasemeni i s o"inem o comparaie ntre ar1itecturile de securitate ale
unei reele C08.66 i structura de securitate ale unei reele $*-s 9$raditional *ireless
-et)or4s : . De menionat c at.t $*-s c.t i reele "azate pe C08.66 folosesc mediul
)ireless doar n zona de acces la reea aceasta reprezent.nd doar partea n care utilizatorii
end-user se conecteaz la reea . $otui exist diferene majore ntre cele dou ar1itecturi.
%copul reelelor tradiionale a fost de a a permite unui utilizator )ireless s comunice
cu orice alt utilizator ca"lat sau )ireless folosind acoperire de tip roamin! pe arii lar!i .
%copul $*-s a depit astfel teritoriul reelelor )ireless atin!.nd elemente de conectivitate
ale reelelor ca"late.
%copul ns a reelelor C08.66 privete doar securitatea reelelor fr fir. C08.66 nu are
n vedere conectivitatea de tip end to end . De fapt reelele de date de tip 3& 9pentru care fost
iniial C08.66 creat : nu lucreaz cu conceptul de conectivitate end to end # fiecare pac1et
fiind independent routat. ,ria de acoperire a unei reele )ireless este semnificativ redus fa
de o reea $*- care poate oferi o acoperire !eo!rafic extins . n final C08.66 ofer in
support sczut pentru roamin!. Din cauza acestor motive C08.66 este restricionat doar la
accesul n cadrul reele )ireless. &e msur ce vom discuta pro"lemele din urmtorul capitol
este "ine de reinut aceste similitudini# dar i asemnrile dintre reelele $*- i cele de tip
C08.66.
n seciunea urmtoare sunt descrise sc1emele de securitate care au fost propuse n
domeniul reelelor )ireless i a reelelor ad-1oc.
$1e (esurrectin! Duc4lin!
,ceast metod se poate explica astfel aa cum o mic ra consider primul o"iect
care mic fiind mama lui# asemenea un ec1ipament va recunoate prima entitate care i
trimite o c1eie secret ca fiind proprietarul lui. 0.nd este necesar# proprietarul poate ter!e
tana i lsa ec1ipamentul s-i sc1im"e proprietarul. Htana 7 prin distri"uirea c1eilor 7 se
face prin contact fizic. n cazul mai multor proprietari cu diferite drepturi de acces# tanarea
poate fi fcut n momente diferite cu c1ei diferite. n acest fel se poate sta"ili o ierar1ie a
proprietarilor i o prioritate a serviciilor.
Pagina "" din 148
$re"uie su"liniat unicitatea master-ului. 2n slave are dou stri tanat sau tana"il.
Master-ul controleaz slave-ul i sunt le!ai printr-un secret distri"uit iniial de master pe un
canal inte!rat non-)ireless sau confidenial.
,ceast metod =resurrectin! duc4lin!> poate fi extins pentru acoperirea
interaciunilor peer-to-peer.
< alt extensie a acestei metode este aceea c master-ul nu tre"uie s fie unic. 2n alt
master care are un certificat valid la acel slave poate tana slave-ul. %lave-ul are un master
principal dar poate primi ordine de la ceilali masteri.
&entru a putea proteja nodurile de =eavesdroppin!> prin folosirea criptrii# nodurile
tre"uie s ai" o nele!ere mutual n le!tur cu un secret distri"uit sau c1eile pu"lice
sc1im"ate. &entru reelele ad-1oc n sc1im"are rapid# sc1im"ul c1eilor pentru criptare
tre"uie s fie adresate la cerere# fr a presupune c au fost ne!ociate anumite secrete apriori.
ntr-un mediu mai puin dinamic# c1eile pot fi confi!urate manual.
%erviciul de distri"uie a c1eilor asimetrice
ntr-un protocol de autentificare cu sc1im"area c1eilor se consider prile M i % care
mpart un secret &. %copul protocolului este acela de a sta"ili o c1eie puternic K n locul
unui secret sla" &.
&rotocolul are urmtorii pai
&6 Master-ul trimite identificatorul su i un secret sla" slave-ului &9'
M
:
&8 slave-ul extra!e c1eia criptat pentru M# '
M
# i !enereaz un ir de caractere (. (
este criptat cu '
M
i trimis master-ului. &9'
M
9(::
&3 %e extra!e ( i se !enereaz irurile &rovocareM i %M. %unt criptate cu ( i
trimise napoi la slave. (9&rovocareaM # %M:
&; %lave-ul extra!e &rovocareaM i calculeaz funcia pu"lic 19&rovocareM:. %unt
!enerate i criptate irurile &rovocare% i %% cu 19&rovocareM: i ( ca i c1eie. %unt trimise
la master. . (919&rovocareaM: # &rovocarea% # %%:
&I Master-ul verific 19&rovocare
M
:. 19&rovocarea
%
:
&rotocolul poate fi extins la mai muli participani dac se ale!e un lider. n acest caz
funciile lui % sunt i acelea de a !enera c1ei puternice K.
Pagina "# din 148
-$M 7 %c1em de ne!ociere pro!resiv a ncrederii
Modelul -$M este divizat n dou componente componenta peer7to7peer i
componenta de la distan# deci sistemul de securitate este mprit n dou su"nivele diferite
peer-to-peer -$M 9&&-$M: i (emote -$M 9(-$M:.
/i!ura 3.I %tructura nivelului
(-$M realizeaz criptarea end-to-end i de aceea este localizat deasupra nivelului de
rutare.
,meninarea unui atacator extern A# care se afl n raza de interceptare ntre dou
noduri , i G# este diminuat de nivelul &&-$M. Deoarece c1eile simetrice tre"uiesc
ne!ociate de vecini folosind %tation-to-%tation un nod nu poate =asculta> dec.t dac se
identific. /ormarea c1eilor n sc1ema -$M este prezentat n /i!ura 3.F# unde K6-; sunt
c1eile peer-to-peer i K este c1eia end-to-end ntre , i D.
Pagina "8 din 148
/i!ura 3.F /ormarea c1eilor n -$M
&&-$M folosete 0ertificare de adresare a reelei care permit nodurilor s folosesc
anumite adrese ale reelei# iar (-$M folosete 0ertificate de identitate pentru ca utilizatorul
s se poat mica printre noduri far menin.ndu-i credi"ilitatea. 0ertificatele tre"uie atestate
de o a treia parte.
Metoda nedescoperirii
,ceast metod a fost introdus ca soluie la dorina de confidenialitate a locaiei a
unui nod mo"il. De aceea fiecare nod ,!ent de %ecuritate 9%,: are o perec1e de c1ei# una
pu"lic i una privat. 0.nd un emitor , vrea s trimit un mesaj M destinatarului G#
mesajul este trimis folosind ruta 9,# %,6# %,8#`..# %,n# G:. (uta este construit prin
folosirea a n criptri 'a%,i cu c1eile pu"lice ale nodurilor intermediare. Mesajul criptat Mb V
'a%,69%,8# 'a%,89%,3#`9 %,n# 'a%,n9G#M ::::. 0.nd , trimite mesajul criptat Mb#
primul a!ent de securitate %,6# decripteaz mesajul i descoper doar locaia urmtorului
nod din rut. -odurile nu pot determina unde sunt localizate n rut i nici identitatea
destinatarului G. , poate cripta mesajul M cu c1eia pu"lic a lui G i n acest caz ultimul nod
intermediar %,n va ti locaia i identitatea lui G# ns nu i coninutul mesajului M.
%ecurizarea serviciile ,d-1oc "azate pe Tini
Tini este o ar1itectur open soft)are care permite utilizatorilor s creeze reele care
sunt scala"ile i uor adapta"ile la sc1im"are. Tini folosete un model care permite mutarea
codului ntre entiti n reeaua ad-1oc. ns i codul reprezint o pro"lem de securitate.
Dat fiind faptul c fiecare nod se afl n posesia unei c1ei pu"lice i a unei c1ei
private# nodurile folosesc c1eile pu"lice pentru realizarea autentificrii i astfel se realizeaz
o comunicaie si!ur. De asemenea se pot utiliza protocoalele 3&%ec i $ransport-+aEer
%ecuritE pentru a putea securiza serviciul.
-u se presupune c server-ul i clientul mpart o numr mare de c1ei simetrice sau
al!oritmi M,0. %-a propus un protocol de distri"uie a creditelor care s minimizeze numrul
de interaciuni manuale necesare pentru sta"ilirea unui relaii de ncredere.
Pagina "$ din 148
/i!ura 3.J &rotocol de distri"uie a protocolului# unde proxE-ul folosete protocolul
Diffie-Bellman
2n server care vrea s ofere o comunicaie si!ur are un proxE# care conine
al!oritmii necesari pentru a face sc1im" c1eilor autentificate cu server-ul i de asemenea
al!oritmi de criptare care protejeaz datele sc1im"ate n interaciunea client-server. %erverul
semneaz di!ital proxE-ul cu c1eia privat# ceea ce nseamn c semntura poate fi verificat
de ctre client. %erver-ul mpac1eteaz cu semntura i codul. 0.nd un client !sete un
serviciu# do)nloadez un proxE corespunztor serviciului mpreun cu semntura i posi"il
anumite certificate incluse. 0lientul poate verifica semntura dac are o c1eie pu"lic
acreditat care corespunde semnturii sau dac clientul cunoate anumite c1ei pu"lice din
certificatele incluse. &roxE-ul execut un sc1im" de c1ei cu autentificare cu server-ul folosind
un anume protocol.
Detecia intruziunii
2n 3D% 93ntrusion Detection %Estem: este implementat de o"icei la !ate)aE i
=captureaz> i examineaz pac1etele care sunt trimise prin interfaa 1ard)are a reelei.
Detecia intruziunilor se face cate!orisete prin detecia a"uzurilor i detecia anomaliilor.
Detecia a"uzurilor se face prin folosirea unor a"loane ale atacurilor cunoscute sau punctelor
sla"e ale sistemului care pentru identificarea tipurilor de intruziuni cunoscute. Detecia
anomaliilor nsemneaz activitile care deviaz semnificativ de la comportamentul normal.
Detecia intruziunilor i ar1itectura de rspuns
Pagina #% din 148
+a aceast metod fiecare nod este responsa"il de detectarea semnelor de intruziune
local i independent dar vecinii pot cola"ora pentru a investi!a pe o anumit raz# unde
fiecare nod conine un 3D%# care monitorizeaz activitile locale# detecteaz intruziunile i
!enereaz un rspuns. Dac se detecteaz o anomalie sau pro"ele sunt neconcludente# a!enii
3D% vecini vor coopera pentru detectarea intruziunii !lo"ale.
2n 3D% are structura ca n fi!ura de mai jos
/i!ura 3.C Model conceptual al unui a!ent 3D%
Glocul de colecionare a datelor este responsa"il cu colectare a urmelor de ascultare i
jurnalului activitilor. Motorul de detecie folosete aceste date pentru detectarea de
anomalii. Hi "locul de rspuns !lo"al i local !enereaz aciuni de rspuns n cazul unei
intruziuni# !eneratorul de rspuns local alerteaz utilizatorul local iar "locul de rspuns !lo"al
nodurilor vecine# astfel nc.t a!enii 3D% s alea! un remediu. Modulul de comunicaie
asi!ur comunicaii foarte si!ure ntre a!enii 3D%.
,utentificarea
,utentificarea desemneaz modul prin care anumite mijloace !aranteaz c entitile
participante sunt ceea ce pretind a fi sau c informaia nu a fost manipulat de persoane
neautorizate. 'xist autentificarea la captul canalului sau autentificarea expeditorului
mesajului.
,r1itectura de autentificare M,-'$
,r1itectura de autentificare M,-'$ propus de 0orson i Taco"s are rolul de a
construi o ierar1ie a relaiilor de ncredere n scopul autentificrii securitatea mesajelor
3nternet M,-'$ 'ncapsulation &rotocol 93M'&:. ,ceast sc1em nt.mpin anumite
dificulti necesit putere de calcul mare# care pe 1ost-urile mo"ile este restricionat# nu
exist o autoritate central i autentificarea este util numai n cazul atacurilor externe.
Pagina #1 din 148
,utentificare# autorizare i acontare 9,,,:
,utentificarea poate fi fcut cu c1ei pu"lice dup ce n preala"il s-a construit un
sistem de mana!ementul c1eilor. ,utorizarea este necesar pentru a evita ca 1ost-urile
maliioase s intre n reea. ,contarea face taxarea serviciilor nodurilor din reea.
,utentificarea i autorizarea se poate face n cadrul reelelor care sunt descentralizate prin
folosirea unor protocoale precum %imple ,ut1entication and %ecuritE +aEer sau 3nternet
%ecuritE ,ssociation and KeE Mana!ement &rotocolD3nternet KeE 'xc1an!e.
(utarea si!ur
&rotocoalele de rutare si!ur reprezint o provocare. &rotocoalele reelelor ca"late nu
pot fi implementate ntruc.t reelele )ireless au nodurile mo"ile i topolo!ia reelei este ntr-
o continu sc1im"are.
%ecure (outin! &rotocol 9%(&:
%(& eficientizeaz folosirea asocierilor de securitate ntre dou noduri comunicante %
i $. &ac1etele trimise pentru sta"ilirea rutei se propa!a la destinaie i informaiile despre
rut se ntorc la sursa strict pe aceeai ruta inversat# fiind acumulate n pac1etele trimise
iniial. %imilar mesaje de eroare ale rutei sunt !enerate de nodurile care sunt raportate ca fiind
=stricate>.
%(& determin explicit interaciunea cu nivelul reea. 0aracteristicile pe care le ofer
%(& necesit unui 1eader %(& care este introdus n structura 1eader-ului 3& aa cum este
prezentat n fi!ura de mai jos.

/i!ura 3.@ %(& ca o extensie a protocolului de rutare reactive
Pagina #2 din 148

/i!ura 3.60 Beader %(&
Mecanisme de securitate n +aEer 8 la C08.66x
n aceast seciune sunt prezentate soluii de securitate pentru nivelul le!turii de date
aplica"ile n reele M,-'$. 0ele mai multe soluii sunt mecanisme de securitate care
funcioneaz ca i pri inte!rate n specificaiile pentru C08.66 i Gluetoot1.
*ired 'Nuivalent &rivacE 9*'&:
*ired 'Nuivalent &rivacE este prima sc1em de securitate specificat n standardele
3''' C08.66# n special n partea C08.66" *i-/i. *'& a fost iniial creat pentru a asi!ura
securitatea pentru reele )ireless locale# cu un nivel de protecie similar celor ca"late.
Mecanismul de securitate *'& include criptarea i inte!ritatea datelor. ,m"ele
mecanisme sunt manipulate simultan pentru fiecare frame aa cum este ilustrat n fi!ura de
mai jos. , doua pro"lem a"ordat este aceea a autentificrii staiei mo"ile 9%$,: nainte de
a permite conectarea la reea.
,utentificarea se face printr-un protocol provocare-rspuns const.nd n sc1im"area a
patru mesaje.
&6. %$, semnalizeaz c vrea s se autentifice. 0erere de autentificare
&8. &unctul de acces 9,&: !enereaz o provocare i o trimite lui %$,. (spuns de
autentificare
&3. %$, cripteaz provocarea cu o c1eie secret cunoscut numai de ,& i %$, i o
trimite lui ,&. (spuns de autentificare
&;. Dac ,& poate decripta rspunsul lui %$, atunci concluzioneaz c %$, a dat
rspunsul i deci l autentific# altfel autentificarea va eua. n funcie de rezultatul
autentificrii ,& i permite accesul n reea i l informeaz pe %$, de acest fapt.
Pagina # din 148
< dat autentificat %$, comunic cu ,& prin mesaje criptate. 01eia folosit pentru
criptare este aceeai ca i n cazul autentificrii.
,l!oritmul de criptare folosit de *'& este un re!istru de deplasare (0;. &entru
producerea cadrului protejat# mai nt.i se calculeaz 3nte!ritE 01ec4 Malue 930M: a
coninutului cadrului folosind o funcie cEclic redundancE c1ec4 90(0:. $extul n clar al
paEload-ului mpreun cu 30M este apoi criptat printr-un sau exclusiv pe "ii cu un ir de
lun!imea paEloadc30M !enerat de re!istrul de deplasare. +a decriptare se face aceeai
operaie 9A<( pe "ii: cu acelai ir. 01eia de criptare este considerat secvena cu care este
iniializat re!istrul de deplasare. Dac s-ar folosi aceeai c1eie# K# pentru criptarea a dou
cadre diferite M
6
i M
8
# atunci dumanul care ascult am"ele mesaje criptate M
6
A<( K i M
8
A<( K poate decripta un mesaj prin intermediul altuia ntruc.t 9M
6
A<( K: A<( 9M
6
A<(
K: V M
6
A<( M
8
.
/i!ura 3.66 0riptarea i decriptarea n *'&
Pagina #4 din 148
De aceea *'& folosete pe l.n! c1eia secret i un vector de iniializare 3M# care se
sc1im" pentru fiecare mesaj. Destinatarul tre"uie de asemenea s cunoasc 3M pentru a
putea decripta mesajul. De aceea 3M este trimis n clar o dat cu mesajul criptat# ceea ce nu
reprezint o pro"lem deoarece pentru decriptarea mesajului tre"uie cunoscut i c1eia
secret.
&ro"leme de securitate n *'&
,utentificarea. ,utentificarea n *'& are diverse pro"leme.
6.&rima dintre ele ar fi aceea c autentificarea nu este mutual ntruc.t ,& nu se
autentific la %$,.
8.,poi autentificarea i criptarea folosesc aceeai c1eie# iar un adversar poate
exploata at.t punctele sla"e ale autentificrii c.t i ale criptrii.
3.,utentificarea lui %$, se face numai c.nd ncearc s se conecteze la reea. < dat
ce %$, este asociat lui ,&# oricine poate trimite mesaje n numele lui %$, prin copierea
M,0-ului. 3ar faptul c nu cunoate c1eia secret pentru construirea unui frame *'& corect
poate folosi mesajele criptate a altui %$, nre!istrat mai devreme.
;., patra pro"lem const n faptul c folosete (0; n protocolul de autentificare
pentru criptarea provocrii aleatoare. Deoarece un atacator poate o"ine uor provocarea 0 i
provocarea criptat (V0 A<( K# de unde poate calcula secvena pseudoaleatoare K. /aptul
c se folosete 3M nu constituie o pro"lem pentru c fiecare utilizator selecteaz sin!ur 3M#
iar un adversar n acest caz poate selecta 3M care a fost ataat lui (. Deoarece n practic
fiecare %$, folosete aceeai c1eie atacatorul se poate conecta n numele oricrui %$,.
&rotecia inte!ritii. &rotecia inte!ritii la *'& se "azeaz pe ataarea unui 30M la
mesaj# unde 30M este valoarea 0(0 calculat pentru mesaj# i criptarea mesajului cu o c1eie
secret. Matematic aceast operaiune poate fi scris astfel
( ) ( ) K M CRC M dd
# unde M
este mesajul clar# K este secvena pseudoaleatoare produs de al!oritmul (0; din 3M i c1eia
secret. 0(09.: reprezint funcia 0(0 i ee concatenarea. /uncia 0(0 este liniar n
raport cu operaia A<( deci
( ) ( ) : 9Y CRC X CRC Y X CRC =
. Htiind acestea se poate
constata c un atacator poate manipula un mesaj prin inversarea "iilor ntre ei fr a avea
acces la coninutul mesajului dup cum urmeaz. /ie fM sc1im"rile pe care le face
adversarul mesajului iniial. ,tacatorul vrea s o"in
( ) ( ) ( ) K M M CRC M M dd
.
&entru a o"ine aceasta este suficient s calculeze 0(09fM: i apoi s fac A<( pe "ii cu
fM dd 0(0 9fM: mesajului ori!inal.
Pagina #! din 148
2n al doilea defect de proiectare este acela c nu exist un sistem de detecie a
replicilor# deci un 1ac4er poate replica orice mesaj preala"il nre!istrat i care va fi acceptat
de ,&.
0onfidenialitatea. +a folosirea unui re!itru de deplasare este esenial ca fiecare mesaj
c fie criptat cu alt secven pseudoaleatoare. ,cest lucru este rezolvat prin folosirea unui
mecanism de 3M. &ro"lema este ns c 3M este de lun!ime de 8; "ii# ceea ce nseamn c
sunt aproximativ 6J milioane de posi"ile valori pentru 3M. 2n ec1ipament *i-/i poate
transmite aproximativ I00 cadre de lun!ime# deci ntre! spaiul 3M poate fi folosit n
aproximativ J ore. &ro"lema se a!raveaz pentru c n multe reele toate ec1ipamentele
folosesc aceleai c1ei secrete dar 3M diferite# deci spaiul 3M se va utiliza i mai repede JDn
ore# unde n este numrul de ec1ipamente. < alt pro"lem const n faptul c n multe dintre
implementri 3M este iniializat cu 0 i apoi incrementat cu 6 dup fiecare mesaj transmis.
0eea ce nseamn c ec1ipamentele care transmit n acelai timp vor folosi acelai 3M i
implicit aceeai c1eie# iar un atacator poate decripta astfel mult mai uor mesajele. De
asemenea cifrorul (0; are o sl"iciune aa numitele =c1ei sla"e># adic pentru o anumit
c1eia ieirea lui (0; este predicti"il. < soluie ar fi lun!irea ieirii lui (0; la 8IF de "ii#
ns aceast soluie nu a fost acceptat la *'&. ,ceast sl"iciune este de departe cea mai
periculoas deoarece a fost demonstrat c un 1ac4er poate =spar!e> c1eia de 60; "ii dup
numai c.teva milioane de mesaje.
C08.66i
0.nd defectele *'& au devenit evidente# 3''' a nceput s dezvolte o noua
ar1itectura de securitate pentru reelele *i/i# care este descrisa in specificaia C08.66i . -oul
concept se numete (%- 9(o"ust %ecuritE -et)or4: pentru a putea fi distins de *'&. ,cest
concept include o noua metoda de autentificare i control al accesului# care este "azat pe un
model definit in standardul C08.6A. Mecanismul pentru protecia inte!ritii i
confidenialitii sunt de asemenea modificate# i utilizeaz al!oritmul de criptare ,'%
9,dvanced 'ncrEption %tandard: in locul al!oritmului (0;.
n orice caz# nu este posi"il trecerea de la *'& la (%- peste noapte. Din motiv de
eficien# multe dispozitive *i/i 9n principal cardurile de reea *+,-:# aplic al!oritmul de
criptare in 1ard)are. Mec1ile dispozitive suporta (0; i nu ,'%. ,ceasta pro"lema nu poate
fi rezolvata printr-o simpla updatare firm)areL partea 1ard)are tre"uie sc1im"ata# fapt care
ncetinete dezvoltarea (%-.
Pagina #" din 148
,cest lucru a fost realizat i de ctre 3'''# i ei au inclus un protocol opional in
specificaia C08.66i# care folosete tot al!oritmul de cifrare (0;# dar care rezolva
neajunsurile *'&. ,cest protocol se numete $K3& 9$emporal KeE 3nte!ritE &rotocol:.
&roductorii au adoptat imediat $K3&# ca fiind o soluie la pro"lemele *'& fr a
sc1im"a partea de 1ard)are. -u au ateptat p.n la finalizarea ar1itecturii C08.66i# dar au
ela"orat propria specificaie denumit *&, 9*i/i &rotected ,ccess:# care se "azeaz pe
$K3&. 0u alte cuvinte# *&, este o specificaie suportat de productorii de *i/i# i conine
un su"set de (%-# care poate fi implementat i pe sistemele vec1i# care suport doar criptarea
(0;. ,utentificarea i controlul accesului# ca i mana!ementul c1eilor sunt la fel i n *&,
i n (%-# diferena ntre cele doua concepte fiind fcuta de mecanismul utilizat pentru
protecia inte!ritii i confidentialitii.
n continuare vor fi prezentate controlul accesului i autentificarea# in cazul C08.66i#
i procedurile de mana!ement al c1eilorL acestea sunt la fel pentru *&, cat i pentru (%-.
,poi se va face o scurta prezentare a operaiunilor $K3& 9utilizat in *&,:# cat i ,'%-00M&
9folosit in (%-:.
,utentificarea i controlul accesului
Modelul de autentificare i controlul accesului in C08.66i a fost mprumutat din
standardul C08.6A# care a fost ela"orat pentru reelele +,- ca"late# dar s-a dovedit ca
aceleai concepte pot fi folosite i in +,--urile )ireless de asemeni 9cu unele extensii:.
n modelul C08.6A se pot distin!e trei entiti in procedura de autentificare cel care
cere autentificare 9terminalul conectat la reea:# autentificatorul i serverul de autentificare.
$erminalul ar dori s se conecteze la reea# i in acest scop ar dori s se autentifice fa de
aceasta. ,utentificatorul controleaz accesul la reea. n acest model# acest lucru este
reprezentat de starea unui port. %tarea implicit a unui port este Snc1is># ceea ce nseamn ca
traficul de date este in1i"at. ,utentificatorul poate Sdesc1ide> portul respective daca primete
apro"area de la serverul de autentificare.
n cazul reelelor *i/i# cel care face cererea de autentificare este terminalul mo"il# i
autentificatorul este punctual de acces. %erverul de autentificare este un proces# care poate
rula punctual de acces n cazul unei reele mici# sau pe un server dedicat n cazul unei reele
mai mari. n *i/i# portul nu este un conector fizic# ci un control lo!ic implementat n
soft)are care ruleaz pe punctul de acces.
ntr-un +,- ca"lat# un dispozitiv se autentifica o dat c.nd este conectat fizic la reea.
-u mai este nevoie de o alt autentificare 9cel puin din punct de vedere al accesului la reea:#
Pagina ## din 148
pentru c portul utilizat de dispozitivul respective nu poate fi utilizat i de altcinevaL aceasta
presupune iniial deconectarea dispozitivului# care folosete portul# de la reea# i apoi portul
va fi dezactivat . %ituaia este diferita in cazul *i/i deoarece nu exista o le!tura fizica intre
%$, 9staie mo"ile autentificata: i ,& 9punctual de acces:. ,stfel c# o dat ce %$, se
autentific i este asociat la ,&# altcineva ar putea ncerca s fure sesiunea prin nelarea
adresei fizice. Din acest motiv# C08.66i extinde C08.6A cu cerina de sta"ilire a unei c1ei de
sesiune intre %$, i ,& c.nd %$, cere accesul la reeaL aceasta c1eie de sesiune este folosit
pentru autentificarea comunicaiilor viitoare intre %$, i ,&.
&rocedura de autentificare din C08.66i folosete ',& 9'xtensi"le ,ut1entication
&rotocol: pentru a transporta mesajele necesar de a fi sc1im"ate intre %$, i serverul de
autentificare. ',& este un protocol de transport# care nu asi!ura autentificarea propriu-zisa#
dar poate transporta mesaje pentru orice nivel de autentificare. De aceea este denumit
Sextensi"il>. /elul n care mesajele protocoalelor de nivel nalt sunt mpac1etate n mesaje
',& tre"uie specificat pentru fiecare protocol de nivel nalt. ,semenea specificaii exist
deja pentru multe protocoale folosite la scar lar! cum ar fi $+% Bands1a4e i protocoalele
de autentificare ?%M.
%unt patru tipuri de mesaje in ',& cerere# rspuns# succes# i eec. 0ererea i
rspunsul ',& poarta mesajele protocolului de autentificare de la %$, la server i invers.
Mesajele de succes i eec sunt folosite pentru a semnala rezultatul autentificrii.
0um a fost indicat mai devreme# in C08.6A# terminalul de autentifica la serverul de
autentificare. ,ceasta nseamn ca# in reelele *i/i# protocolul ',& i protocoalele de
autentificare de nivel nalt sunt executate de dispozitivul mo"il care face cererea ctre server.
,& doar transmite mai departe mesajele fr a le interpreta. ,& nele!e doar mesajele de
succes sau eec. 0.nd primete un mesaj de succes# activeaz portul i permite terminalului
mo"il conectarea la reea.
Mesajele ',& intre terminalul mo"il i ',& sunt transportate de ',&<+ 9',& over
+,-: protocol definit in C08.6A. Mesajele ',& intre ,& i serverul de autentificare sunt
transportate de o varietate de protocoale. *&, folosete (,D32% 9(emote ,ut1entication
Dial 3n 2ser %ervice: din acest motiv# n timp ce (%- specifica (,D32% doar ca opiune. n
orice caz# (,D32% este deja dezvoltat la scar lar!# deci# se atepta s fie folosit des i in
Pagina #8 din 148
(%-. ,r1itectura protocolului descris este ilustrat n fi!ura de mai jos.
/i!ure 3.68,r1itectura protocolului ',&
0um am menionat mai devreme# rezultatele procesului de autentificare n *i/i nu
reprezint doar autorizaia terminalului mo"il s se conecteze la reea# ci reprezint i o c1eie
de sesiune pentru comunicaiile viitoare ntre terminalul mo"il i ,&. n orice caz# cum
autentificarea are loc ntre terminalul mo"il i serverul de autentificare i este sta"ilit ntre
cele dou# c1eia de sesiune tre"uie transmis si!ur ctre ,&. &rotocolul (,D32% face acest
lucru posi"il prin intermediul atri"utelor M%-M&&'-(ecv-KeE (,D32%# care au fost
specificate pentru transferul c1eilor. 01eia de sesiune este transferat criptat# folosind o c1eie
lun! mprit intre ,& i serverul de autentificare. ,ceasta c1eie este de o"icei instalat
manual pe ,& i in severul (,D32% de ctre administratorul de sistem.
Pagina #$ din 148
%esiunea sta"ilirii c1eilor ntre terminalul mo"il i ,& ca urmare a procedurii de
autentificare se c1eam &MK 9&air)ise Master KeE:. 'ste o c1eie pair)ise deoarece se
cunoate doar de ctre terminalul mo"il i ,& 9i de serverul de autentificare# care este
considerat o entitate de ncredere:# i este o c1eie master# pentru c nu este folosit direct
pentru criptare sau pentru protecia inte!ritii informaiei# ci este folosit pentru a determina
c1eile de criptare i inte!ritate. Mai precis# i terminalul mo"il i ,& deriv patru c1ei din
&MK c1eia de criptare a datelor# c1eia de inte!ritate a datelor# c1eia de criptare a c1eii# i
c1eia de inte!ritate a c1eii. ,ceste patru c1ei sunt denumite &$K 9&air)ise $ransient KeE:.
$re"uie s punctm faptul ca ,'%-00M& folosete aceleai c1ei pentru criptare i pentru
protecia inte!ritii datelor# deci# n cazul ,'%-00M&# &$K const doar din trei c1ei. n plus
&$K# derivaia din &MK utilizeaz de asemeni ca date de intrare adresele fizice ale prilor
9terminalul mo"il i ,&: i dou numere aleatoare !enerate de pri. ,cest fapt este ilustrat n
fi!ura de mai jos.
$erminalul mo"il i ,& sc1im" numerele aleatoare folosind protocolul denumit four-
)aE 1ands1a4e. ,cest protocol face dovada fiecrei pari c cealalt parte posed &MK.
Mesajele protocolului four-)aE 1ands1a4e sunt transportate de protocolul ',&<+ n mesaje
de tip 01eie. 0oninutul mesajelor i operaiunea four-)aE 1ands1a4e sunt descrise dup cum
urmeaz
n primul r.nd# ,& trimite secvena pseudoaleatoare terminalului mo"il. 0.nd aceasta
secvena este recepionat # are totul necesar pentru derivaia din &$K. De aici ncolo#
terminalul mo"il proceseaz &$K.
Pagina 8% din 148
$erminalul mo"il trimite secvena sa la ,&. ,cest mesaj mai poarta i Mesa!!e
3nte!ritE 0ode 9M30:# care este procesat de terminalul mo"il# folosind c1eia de inte!ritate a
c1eii derivat din &MK. Dup recepia acestui mesaj# ,& are tot ceea ce este necesar pentru
o"inerea &$K. ,poi# ,& proceseaz &$K# i apoi folosete c1eia de inte!ritate a c1eii pentru
a verifica M30. Daca verificarea are succes# ,& crede ca terminalul mo"il are &MK.
,& trimite un mesaj care conine un M30 ctre terminalul mo"il. M30 este procesat
utiliz.nd c1eia de inte!ritate a c1eii din &$K. Daca terminalul mo"il poate verifica cu succes
M30-ul# atunci acesta crede ca i ,& poseda &MK. ,cest mesaj mai conine i valoarea de
nceput a secvenei de numere ce va fi folosita pentru a numr pac1etele transmise#
detect.nd apoi eventualele atacuri. ,cest mesaj semnaleaz terminalului mo"il ca ,& a
instalat c1eile i este !ata pentru a cripta toate pac1etele de date care vor urma.
3n final# terminalul mo"il confirma recepia celui de-al treilea mesaj. ,ceasta
confirmare semnifica i faptul ca terminalul mo"il este pre!tit s cripteze pac1etele de date
ce vor urma.
< dat ce &$K este o"inut i c1eile sunt instalate# pac1etele de date ce urmeaz a fi
transmise ntre terminalul mo"il i ,& sunt protejate prin c1ei de criptare i de inte!ritate a
datelor. n orice caz# aceste c1ei nu pot proteja mesajele Groadcast trimise de ,&. ,ceste
mesaje ar tre"ui protejate cu c1ei carr ar fi cunoscute de toate terminalele mo"ile i de ,&.
Deci# ,& !enereaz o c1eie adiional denumit ?roup $ransient KeE 9?$K:. ?$K conine o
c1eie de criptare de !rup i o c1eie de inte!ritate de !rup# care sunt trimise fiecrui terminal
mo"il separat criptate cu c1eia de criptare a c1eii# respective cu c1eia de inte!ritate a c1eii.
$K3& i ,'%-00M&
Hi $K3& i ,'%-00M& sunt "azate pe ierar1ia c1eilor prezentat anterior. n
particular# aceti al!oritmi folosesc c1ei de criptare a datelor i de inte!ritate a datelor pentru
a proteja confidenialitatea i inte!ritatea pac1etelor de date trimise ntre terminalul mo"il i
,&. n orice caz# folosesc al!oritmi de criptare diferiti. $K3&# ca i *'&# foloseste (0;# dar
spre deose"ire de *'&# asi!ur o securitate real. ,vantajul $K3& este c ruleaza i pe
suportul 1ard)are *'&# vec1i cu unele im"untiri firm)are. ,'%-00M& are nevoie de un
nou suport 1ard)are care accept al!oritmul ,'%# dar asi!ur o soluie mult mai clar i mai
ele!ant# dec.t $K3&.
$K3& rezolv defectele *'& astfel
Pagina 81 din 148
3nte!ritatea $K3& introduce un nou mecanism de protecie a inte!ritii denumit
Mic1ael. Mic1ael opereaz la nivelul %D2 9ex opereaz cu date recepionate de nivelul
M,0 de la nivele superioare nainte ca acele date s fie fra!mentate:. ,cest lucru face posi"il
de implementat Mic1ael in driverul dispozitivului# care permite introducerea Mic1ael ca un
up!rade de soft)are.
&entru a detecta atacurile# $K3& foloseste 3M ca o secven de numere. ,poi# o dat
iniializat 3M cu o valoare iniial i apoi incrementat dup transmiterea fiecrui mesaj.
(eceptorul urmrete evoluia 3M dup fiecare mesaj recepionat. Dac 3M-ul pentru un mesaj
a"ia recepionat este mai mic dec.t cea mai mic valoare a lui 3M nre!istrat# atunci
receptorul i!nor mesajul# iar dac 3M este mai mare dect cea mai mare valoare a lui 3M
stocat# atunci receptorul pstreaz mesajul i updateaz 3M-ul stocat. Dac valoarea 3M-ului
mesajului recepionat se afl ntre ce mai mic i cea mai mare valoare a 3M-ului stocat#
atunci receptorul verific dac 3M recepionat este deja stocatL dac da # atunci i!nor mesajul#
iar dac nu# pastreaz mesajul i stoc1eaz noul 3M.
0onfidentialitate % reamintim c principala pro"lem a criptrii *'& era c
mrimea 3M era prea mic i existena c1eilor sla"e (0; nu a fost luat n considerare. &entru
a rezolva prima pro"lem# n $K3&# mrimea 3M crete de la 8; de "ii la ;C de "ii. ,ceasta
pare o soluie simpl# dar dificultatea const n faptul c# 1ard)are-ul *'& ateapt o valoare
iniial (0; de 68C de "iti. Deci# 3M-ul de ;C de "iti i c1eia de 60; "iti tre"uiesc comprimate
n 68C de "iti. 0.t despre pro"lema c1eilor sla"e# n $K3&# fiecare mesaj este criptat cu o
c1eie diferit. &rin urmare# atacatorul nu poate o"serva suficient de multe mesaje criptate cu
aceeai c1eie. 01eile de mesaj sunt !enerate din c1eia de criptare a c1eii din &$K.
Mecanismele de securitate pentru Gluetoot1
%pecificatiile Gluetoot1 includ un set de profile de securitate definite pentru nivelul
aplicatie in asa-zisul nivel de serviciu al securitatii# si profile de securitate pentru nivelul
le!atura de date. ,m"ele tipuri de profile de "azeaza pe mana!ementul c1eilor# autentificare
si sevicii de confidentialitate "azate pe mecanisme de securitate cripto!rafica implementate la
nivelul le!atura de date./iecare dispozitiv Gluetoot1 este o parte independenta din punct de
vedere al protocoalelor de securitate. 3n fiecare dispozitiv# mecanismele de securitate folosesc
un set de componente de "aza
Pagina 82 din 148
,dresa dispozitivului 9GDa,DD(: o adresa de ;C de "iti definita de 3''' ca unica
pentru fiecare dispozitiv Gluetoot1L
c1eie de autentificare de 68C de "itiL
c1eie simetrica de criptare a datelor
2n numar aleator 9(,-D: !enerat de un !enerator pseudoaleator sau aleator 9fizic:.
Mana!ementul c1eilor pentru Gluetoot1 asi!ura fiecarui dispozitiv un set de c1ei de
criptare simetrice necesare petntru initializarea unui canal secretizat cu un alt dispozitiv#
pentru excutia unui protocol de autentificare si pentru sc1im"ul de date secretizate cu alt
dispozitiv.
3erar1ia c1eilor
3erar1ia c1eilor pentru Gluetoot1# include doua tipuri de c1ei !enerice
01eia de le!atura# care este impartita in doua sau mai multe parti si folosita ca si c1eie
de criptare 9K'K: pentru a cripta alte c1ei in timpul sc1im"ului# sau ca valoare initiala#
pentru a !enera alte c1ei.
01eia de criptare# care este o c1eie de criptare a datelor impartita 9D'K:.
,tat c1eia de le!atura cat si c1eia de criptare a datelor sunt c1ei simetrice de 68C de
"iti. 01eia de lin4 poate fi clasificata ca si c1eie de initializare# c1eie de unitate# c1eie de
com"inatie sau c1eie master.
0and doua dispozitive au nevoie sa comunice utilizand securitatea la nivel fizic si
neavand un an!ajament anterior# ei sta"ilesc un canal securizat "azat pe c1eia de initializare.
,cest canal este folosit apoi de dispozitivele care comunica pentru a sta"ili o c1eie de
le!atura semipermanenta# care va fi folosita de cateva ori pentru a asi!ura urmatorul sc1im"
de c1ei intre terminale. 01eia de initializare nu mai este folosita dupa primul sc1im" de c1ei.
/iecare terminal !enereaza c1eia de initializare# folosind un !enerator de numere
pseudoaleatoare# care are valoarea initiala formata dintr-un numar personal de identificare
9&3-: introdus de fiecare utilizator pe fiecare dispozitiv# si de valoarea (,-D sc1im"ata
Pagina 8 din 148
intre terminale. &entru ca cele doua terminale sa !enereze aceeasi valoare pentru c1eia de
initializare# aceleasi valori &3- tre"uiesc introduse pe fiecare dispozitiv.
Gazat pe !enerarea c1eilor si capacitatea de stocare ale fiecarui terminal# c1eia de
le!atura semipermanenta impartita poate fi o c1eie de unitate sau o c1eie de com"inatie# in
functie de !enerarea c1eii si capa"ilitatile de stocare a terminalelor. 01eia de unitate este o
c1eie specifica terminalului# si este !enerata la initializarea acestuia. Maloarea sa se sc1im"a
rar. 'ste !enerata folosind un !enerator de numere pseudoaleatoare# cu valorile initiale
(,-D si GDa,DD( 9adresa fizica a terminalului:. 01eia de com"inatie este o c1eie
calculata de doua terminale actiune "azata pe c1ei specifice fiecaruia dintre ele. &entru a
calcula c1eia de com"inatie# in primul rand fiecare terminal !enereaza c1ei proprii "azate pe
(,-D si GDa,DD(L c1eile rezultate sunt apoi sc1im"ate intre terminale folosind canalul
securizat criptat cu c1eia de initializare. 01eia de com"inatie este derivata de fiecare dintre
terminale# folosind simpla com"inare a celor doua c1ei specifice celor doua terminale. $ipul
c1eii de la!atura intre perec1ea de terminale# este ne!ociata in timpul sta"ilirii le!aturii. Daca
unul dintre terminale dispune de stocare restricionata# c1eia de unitate a acestuia este folosita
ca si c1eie de sta"ilire a le!aturii# cu neajunsul evident al dezvaluirii c1eii semipermanente
specifica fiecarui dispozitiv. Daca am"ele terminale au suficienta putere de calcul 9!enerare a
c1eilor:# si capacitate de stocare# atunci ale! sa foloseasca o c1eie de com"inatie ca si c1eie
de le!atura care are valori diferite pentru fiecare entitate.
3ntr-un scenariu master-slave# o c1eie de le!atura cu viata scurta# denumita c1eia
master# poate fi folosita intre terminalul master si cel slave. Durata de viata a c1eii master
este limitata la durata sesiunii master-slave. 01eia master este !enerata de dispozitivul master
folosind un !enerator de numere pseudoaleatoare ce foloseste valorile initiale (,-D si &3-.
01eia rezultata este distri"uita pe un canal securizat cu c1eia de initializare catre fiecare
terminal slave cu care terminalul master vrea sa imparta c1eia master.
01eia de criptare este !enerata de o perec1e de dispozitive care impart o c1eie de
le!atura folosind un !enerator de numere pseudoaleatoare initializat cu c1eia de le!atura#
numarul pseudoaleator (,-D# !enerat de unul dintre dispozitive si transmis celuilalt apriori
pentru a cripta datele intersc1im"ate# si un cifru secret denumit ,ut1enticated 0ip1erin!
<ffset 9,0<: !enerat de fiecare dispozitiv in procesul de autentificare.
,utentificarea
Pagina 84 din 148
%c1ema de autentificare pentru Gluetoot1# este "azata pe un protocol provocare-
raspuns 9c1allen!e-response:# descris in fi!ura de mai jos. 0and terminalul , vrea sa
autentifice terminalul G utilizand acest protocol# , !enereaza numarul (,-D si il trimite lui
G ca o provocare# apoi am"ele terminale fac un calcul ce are ca rezultat %('% folosind
al!oritmul de autentificare '6 cu (,-D# c1eia de le!atura# si adresa dispozitivului G. G
trimite catre , rezultatul %('%# ca raspuns . ,utentificarea lui G are succes daca %('%-ul
calculat de G# coincide cu cel calculat de ,. 3n timpul autentificarii# fiecare terminal o"tine de
asemeni ,0< !enerat de al!oritmul de autentificare '6.
/i!ure 3.63,utentificare dispozitiv G de ctre ,
Maloarea ,0< este folosita mai departe pentru a !enera c1eia de criptare a datelor#
care va fi folosita intre terminale.
0riptarea datelor
Dispozitivele Gluetoot1 pot realiza criptarea datelor folosind un flux de cifrare "azat
pe +inear /eed"ac4 %1ift (e!ister 9+/%(:. /luxul de cifrare !enereaza un flux de c1eie care
Pagina 8! din 148
este folosit de emitator pentru a cripta campul de paEload din fiecare pac1et utilizand o
te1nica one-time pad 9textul cifrat este o"tinut ca rezultat al operatiei sau exclusiv realizat
intre paEload si fluxul de c1eie:. (eceptorul pac1etelor decripteaza paEload-ul criptat din
fiecare pac1et# !enerand local fluxul de c1eie local si com"inand-ul cu campul de paEload
print te1nica one-time. 0ifrul de flux este initializat de am"ele terminale cu adresa
terminalului master# valoarea c1eii de criptare# si ceasul terminalului master. 0ifrarea fluxului
este resincronizata pentru fiecare paEload utilizand ceasul master. < noua c1eie de flux este
astfel !enerata pentru a cripta fiecare paEload.
'valuarea securitatii
,r1itectura de securitate pentru Gluetoot1 sufera din cauza unor sla"iciuni ale
sc1emei de mana!ement al c1eilor. Marea framantare este reprezentata de sla"iciunea
procesului de !enerare a c1eii pentru c1eia de initializare. 01eia de initializare este derivata
dintr-un numar aleator si un cod secret &3-# cu ajutorul caruia sin!urul secret este codul &3-.
Datorita capacitatii limitate a memoriei umane# codul &3- este ales de o"icei de maxim F
di!iti. 2n secret de F di!iti poate fi usor descoperit prin cautare ex1austiva. ,lta modalitate
de expunere este in cazul in care c1eia de unitate a terminalului este folosita ca si c1eie de
le!atura. Daca pentru un terminal c1eia de unitate este folosita ca si c1eie de le!atura# in
scopul comunicatiei paralele sau secventiale cu alte cateva dispozitive# c1eia secreta de
unitate a dispozitivului este diseminata care unele dispozitive care pot reprezenta potentiali
intrusi. Diferitele tipuri de atacuri# care decur! din falsa identitate a proprietarului de drept ai
c1eii de unitate folosita la decriptarea traficului criptat de intrusi# devin feza"ile prin
cunoasterea c1eii de unitate de catre acestia.
;. &roiectarea i realizarea unei reele *+,- si!ure ----!uideline
Mor"ind despre o reea )ireless implicit este decalanat o discuie despre pro"lemele
de securitate ce apar inerent . 0u toate c dispozitive fr fir sunt disponi"ile i implicit
accesi"ile oricrui utilizator de r.nd acest domeniu de la apariia sa a reprezentat o ne"uloas#
dar n acelai timp i un su"iect de vii controverse. < reea )ireless a fost ntotdeauna privit
ca o alternativ foarte flexi"il a unei reele fixe i implicit a declanat interesul pentru
implementarea unei astfel de le!turii n cadrul mai int.i a firmelor cu arie de acoperire !reu
accesi"il sau foarte rsp.dit ca apoi sa reprezinte o soluie i pentru utilizatorii o"isnuii.
Pagina 8" din 148
'lementele simple de interconectare i flexi"ilitatea crescut au crescut de la an la an
popularitatea reelelor fr fir #dar implementarea acestora i mai ales de ctre utilizatori fr
cunostine de reelistic a scos la iveal pro"lemele de securitate discutate n capitolele
anterioare. ,cest lucru a rezultat ntr-o popularitate tot mai sczut a reelelor fr fir i la o
sporire a nencrederii n securitatea oferit de acestea.
ntruc.t orice pro"lem de securitate are i o rezolvare urmtorul capitol ii propune
s realizeze un !1id practic care s reprezinte att un !uideline pentru realizarea unei reele
fr fir si!ure #dar i un motiv pentru un utilizator o"inuit de a lua n calcul proiectarea unei
reele )ireless n ciuda pro"lemelor de securitate pe care acest capitol nu ncearc s le ne!e
c.t s le previn.
&ericole i riscuri pentru *+,-
&rincipalele tipuri de ameninri la adresa securitii reelelor *3-/3 sunt
monitorizarea pasivL
accesul neautorizatL
atacurile de tip ."locare a serviciului.#Do%L
atacurile de tipul omul-la-mijlocL
punctele de acces neautorizate sau incorect confi!urateL
a"uzurile n reeaL
limitri i puncte sla"e ale msurilor de securitate pentru reeaua fr firL
politicile de securitate.
Monitorizarea pasiv const n interceptarea pac1etelor de date transmise prin reele
fr fir neprotejate i explorarea informaiei incluse cu ajutorul unor instrumente soft)are
adecvate.%e pot afla# n acest mod# identificatori 9nume: de utilizatori i parolele asociate 9furt
de identitate a unui utilizator autorizat:# numere de cri de credit etc. ,plicaiile de acest tip
permit captarea pac1etelor i stocarea lor pentru examinare ulterioar. &rin analiza pac1etelor
este divul!at se!mentul de date care# n funcie de serviciile interceptate# pot furniza
informaii deose"it de valoroase.
,ccesul neautorizat. ntr-o reea *i-/i# neprotejat sau insuficient protejat# se poate
inte!ra. o staie client pirat prin asociere cu una din staiile de "az 9puncte de acces:
localizate in cadrul reelei. n a"sena unor msuri de securitate adecvate# aceast staie poate
accesa servere sau aplicaii din reea. 0ontracararea accesului neautorizat se face prin
Pagina 8# din 148
autentificare reciproc ntre staia client i punctul de acces# autentificarea fiind operaiunea
de dovedire a identitii dispozitivului.
Glocarea serviciului poate afecta funcionarea reelei *i-/i sau o poate scoate total
din funciune pentru o perioad de timp nedefinit. ?ravitatea unui atac Do% depinde de
impactul pe care l are inactivitatea reelei. ,tacurile Do% pot fi de urmtoarele tipuri
,tac prin .for "rut.. %e realizeaz prin inundarea reelei cu un numr forte mare de
pac1ete de date# care suprasolicit toate resursele reelei i o foreaz s ias din funciune.
2tilizarea unui semnal radio puternic. &entru un astfel de atac este necesar un emitor
puternic la mic distan de reea# emitor care poate fi detectat cu instrumente de localizare.
3nterferene neintenionate. 0onst n plasarea unui dispozitiv client# fictiv# ntre un
client le!itim i reeaua )ireless. &entru aceasta se folosete protocolul de conversie a
adreselor# ,(&# utilizat uzual de reelele $0&D3&.
&uncte de acces neautorizate sau incorect confi!urate. &ot deveni o "re important
n securitatea reelelor )ireless. /olosirea incorect a unor identificatori# care pot fi
interceptai# pe post de parole# permite accesul neautorizat la structuri de date sau servicii ale
reelei.
,"uzuri n reea. ,cestea pot fi aciuni ne!lijente ale unor utilizatori coreci# sau
aciuni deli"erate pentru a afecta securitatea i performanele reelei. %unt dificil de identificat
i de delimitat.
3nstalare comod n detrimentul securitii
&entru realizarea unei reele )ireless eforturturile de instalare sunt reduse la minin
deoarece odat cu dispariia ca"lurilor dispar si durerile de cap. 3nstalarea dispozitivelor
)ireless necesar este de re!ul destul de simpl# procedeul fiind accesi"il i utilizatorilor fr
cunotine solide de reelistic. ,desea este suficient poziionarea ,ccess &oint-ului undeva
n reeaua local sau conectarea router-ului *+,- la internet. n cazul plcilor de reea
)ireless actuale lucrurile sunt similare# deoarece driverele i utilitarele de confi!urare
necesare sunt in mare parte inte!rate n *indo)s A&. ,stfel# sistemul de operare recunoate
automat placa *+,-. Dup instalare sistemul activeaz aparatul# iar placa ncepe s caute
reele aflate n raza sa de funcionare. Deoarece majoritatea ,&-urilor sunt dotate native cu un
server DB0& activ# care atri"uie o adres 3& fiecrui client conectat la reea# placa de reea
a"ia instalat !sete rapid i ,ccess &oint-ul la care se poate conecta.
&entru muli utilizatori de reele )ireless confi!urarea se sf.rete n acest punct# ceea
ce nseamn c# evident# totul funcioneaz dup realizarea setrilor standard. ns aceast
Pagina 88 din 148
instalare =comod5 are o mare pro"lem pentru c dispozitivele instalate s se nelea! de la
un "un nceput# toate setrile relevante de securitate - cum ar fi codarea *'& sau filtrarea
adreselor M,0 - sunt dezactivate.
n alt ordine de idei# majoritatea utilizatorilor se trezesc depii de setrile adesea
neclare# de driverele neprietenoase# de termenii te1nici incompre1ensi"ili# de multitudinea
opiunilor i de incompati"ilitatea diverselor ec1ipamente 1ard)are# astfel nc.t renun la
msurile de securitate i utilizeaz reeaua )ireless doar cu setrile standard ale
productorului. ,a se nt.mpl adesea c apar pro"leme nct un utilizator neexperiementat
nici mcar nu o"serv c placa sa *+,- s-a conectat la ,ccess &oint-ul vecinului. De aici i
pro"leme serioase de si!uran ntruc.t pentru un atacator un astfel de acces !ratuit la
Sresursele> reelei nu poate fi refuzat.
,ccess &oint-uri communicative
n mod implicit# un ,& emite n permanen semnale# aa-numitele Groadcast
Geacons. 'le sunt transmise la intervale re!ulate# pentru a semnaliza clienilor din apropiere
c le!tura realizat nc este activ# respectiv c n apropiere exist o reea fr fir. +a unele
reele acest comportament este dorit# facilit.nd considera"il accesul la reeaua *+,- a unei
firme# de exemplu. %emnalele Geacon emise tot la c.teva milisecunde conin toate datele
specifice reelei# de care clientul are nevoie pentru realizarea unei simple conexiuni.
&ro"lema apare ntruc.t nu doar sistemele autorizate primesc acest mesaj# ci i
oaspeii nepoftii - i tocmai acest aspect este exploatat de aplicaii precum -et)or4
%tum"ler# ,erosol sau Kismet. ,ceste pro!rame caut voit astfel de pac1ete de date i
evalueaz informaiile transportate de ele.
Pagina 8$ din 148
/i!ure ;.6 -et)or4 %tum"ler Muli utilizatori folosesc %%3D-ul implicit
+a evaluarea cu ajutorul acestor utilitare# aa-numiii )ar driveri afl o informaie
deose"it de interesant# i anume %ervice %et 3dentifier 9%%3D: g mai "ine zis numele reelei.
,cest %%3D a fost dezvoltat ori!inal numai n scopul structurrii lo!ice# n eventualitatea n
care dou reele )ireless se vor fi suprapus. (ealizarea unei le!turi este permis de ctre
*+,- numai dac respectivul client care ncearc s se conecteze poate prezenta acelai
%%3D ca i reeaua. ,ccess &oint-urile sunt livrate de o"icei cu %%3D-uri standard. De pild#
03%0< utilizeaz =tsunami5# -et!ear =)ireless5 i D-+in4 =)lan5. %%3D-urile altor pro-
ductori pot fi !site la ))).cirt.net # prin accesarea lin4-ului Default *ireless %%3Ds. Dac
un atacator !sete reele cu astfel de denumiri standard# acesta afl imediat de la ce
productor provine ,&-ul. 0u aceast informaie el i poate procura de pe diferitele pa!ini de
internet materiale care l vor ajuta s se familiarizeze cu firm)are-ul utilizat. 01iar i n cazul
n care sunt utilizate n reea msurile de securitate *'&# *&, sau ,0+# un %%3D default
trdeaz un administrator de reea care nu pune mare accent pe si!uran.
De aceea# este o"li!atoriu dezactivarea funciei Groadcast a dispozitivului.
Dezavantajul este c realizarea unei conexiuni nu mai este posi"il dec.t prin introducerea
manual a %%3D-ului corect.
,vantajul vine din faptul c reeaua *+,- devine invizi"il pentru utilitarele
1ac4erilor. Dac acetia nu identific numele reelei nu mai exist pericolul iniierii atacurilor
asupra reelei. De multe ori ns aceast funcie de securitate nu este practicat n firmele
mari# cu muli clieni *+,-# din cauza efortului de administrare. Mai mult# nu oprete dec.t
)ar driverii aflai n trecere. Din cauza faptului c %%3D-ul este ataat 1eader-ului fiecrui
pac1et de date # atacatorul potenial tre"uie doar s se posteze n apropiere cu un sniffer i s
atepte un transfer de date dinspre reea pentru a determina valoarea utilizat. $ocmai din
acest motiv este imperativ s inem cont de alte c.teva aspecte importante n ceea ce privete
manipularea %%3D-ului
tentativele de accesare a unei reele )lan pot fi n!reunate i prin modificarea %%3D-
ului imediat la punerea n funciune a ,ccess &oint-ului. ,ceast funcie poate fi privit ca o
modalitate de control a accesului n *+,- i poate reprezenta c1iar o parol. Denumiri
precum =firma-xE.conta"ilitate. su"sol5 ar tre"ui evitate# deoarece pot oferi atacatorilor
indicii clare asupra coninutului datelor transferate# facilit.ndu orientarea n reeaua vizat.
utilizarea unei com"inaii c.t mai lun! de litere# cifre i caractere speciale.'ste
recomandat folosirea de majuscule# c.t i de minuscule i evitarea cuvintele incluse n
dicionare 9acestea din urm pot fi uor identificate cu ajutorul aa numitelor liste de cuvinte:.
Pagina $% din 148
2n %%3D precum lEAN3;hiIF1rWv*d,JCe'0<ijl8 ajut nu doar la protejarea %%3D-ului
mpotriva atacurilor de tip Grute-/orce# ci ofer i o alt funcie de securitate de maxim
importan pro!rame precum *'&-0rac4 adun pac1etele transmise de *+,- n scopul
spar!erii codrii *'&. Dar# fiindc driverele *i-/i din +inux nu ntreprind nici un fel de
verificare a datelor prin sume de control# iar caracterele speciale din %%3D 9coninute de
fiecare pac1et: nu sunt lizi"ile pentru pro!ram# pac1etele sunt declarate ca fiind defecte i#
implicit# respinse. 0u alte cuvinte# pac1etele de date necodate transmise de *+,- nu mai
pot fi interceptate i sparte.
&arole standard simple
Dac reeaua a fost depistat# atacatorul va ncerca nent.rziat 9prin diferite metode:
s controleze sistemele disponi"ile n +,- sau n internet. De multe ori acest lucru nu este
posi"il# iar aceasta din cauza confi!uraiei ,ccess &oint-ului 9c.nd este dezactivat funcia
DB0&# de exemplu:. &entru a evita cutarea ndelun!at a adresei 3& =corecte5# muli
atacatori se ocup mai nt.i cu identificarea punctelor sla"e ale ,ccess &oint-ului.
0onfi!urarea i administrarea acestuia are loc de re!ul prin intermediul %-M& 9%imple
-et)or4 Mana!ement &rotocol:# disponi"il mpreun cu driverul corespunztor pe pa!ina de
internet a productorului i uor de executat via 2%G sau# i mai comod# prin intermediul
"ro)ser-ului# per interfa )e". &entru a evita utilizarea nepermis# accesul la meniul de
confi!urare este precedat de solicitarea parolei i a numelui de utilizator. -ativ# aparatul este
protejat doar printr-o parol standard# aleas de productor. 0ompania -et!ear utilizeaz de
exemplu parola nu prea ori!inal =pass)ord5# iar 0isco i =protejeaz5 aparatele cu propriul
su nume. ,desea nu mai exist funcia de securitate care o"li! utilizatorul s modifice
parola la prima utilizare. Din aceast cauz# muli utilizatori fr experien uit s treac
ulterior i prin acest pas vital pentru si!urana reelei. 2n atacator al unei reele )ireless
descoper eventuale posi"iliti de acces prin testarea inte!ritii parolei introduse. 2tilitare
precum -et)or4 %tum"ler sau ,erosol dispun de o "az de date cu numele tuturor
productorilor i ec1ipamentelor lor# cu ajutorul creia aceste pro!rame pot compara
informaia oferit de pac1etele interceptate. Dac productorul este cunoscut# ajun!e o simpl
privire n manual sau pe pa!ina de asisten a companiei pentru a o"ine# pe l.n! datele
despre produs# parola standard a aparatului.&entru ,&-urile foarte rsp.ndite este suficient
de o"icei consultarea "azelor de date !en ))).cirt.net.
01iar i atunci c.nd parola a fost modificat n cursul procesului de instalare reeaua
nu devine si!ur deoarece este suscepti"il unor atacuri de tip for "rut care pot fi realizate
cu pro!rame !en G(2$2% # spar!erea unor parole simple 9compuse din mai puine de ase
Pagina $1 din 148
caractere: este posi"il n scurt timp. Dac atacul are success # 1ac4er-ul poate ncepe s
manipuleze confi!urare ,&-ului pre!tind terenul pentru a accesa reeaua i sistemele
conectate la ea.
/i!ure ;.8 +a atacuri de tip Grute-force asupra ,&-urilor # utilitare precum Grutus
iniiaz nenumrate ncercri de conectare
&ro"leme de securitate pe care le acceseaz cu predilecie un atacator sunt le!ate i de
"u!-urile de firm)are . 'l caut astfel puncte sla"e ale ,& care pot fi remediate doar printr-
un update de firm)are. 2nele aparate reacioneaz n mod cu totul neneles la reset#
respectiv prin anularea setrilor iDsau a confi!uraiei aparatului la atacuri de tip Denial-of-
%ervice 9Do%:. 0isco a anunat# de exemplu# o eroare din firm)are-ul 3<% al ,&6600# 6800 i
6;00# care permite unui atacator s foreze un re"oot printr-o cerere manipulat la serverul
)e" al meniului de confi!urare fr a fi necesar o autentificare preala"il.
,lte sisteme# ca de exemplu ,ccess &oint-ul *+,- jM?F08vl e la -et!ear# au unele
versiuni de firm)are cu parole Mater care s-au aflat datorit unor scur!eri de informaii sau
au fost depistate de 1ac4eri inventivi. ,ici numele de utilizator este =super5# iar parola este
numrul de telefon al unui furnizor din $ai)an IJJJ3F;. Mersiunile incorecte de soft)are
intern al aparatelor se pot corecta printr-un update de firm)are.
;.8 %niffin! - spionarea reelelor *+,-
Dup cum am mai spus# aa-numitul sniffin! este unul dintre cele mai mari pericole n
*+,-. (eelele fr fir care transfer date n lipsa unei protecii sunt cele mai suscepti"ile
de astfel de atacuri. Bac4er-ul tre"uie doar s se afle la locul potrivit n momentul potrivit
pentru a intercepta informaii precum parolele# informaiile de acces# documentele importante
Pagina $2 din 148
# informaiile personale sau foarte sensi"ile. &ericolul de sniffin! a datelor transmise prin
reeaua fr fir nu vine n acest caz at.t de la )ar driverii care patruleaz n cutarea de reele#
c.t mai de!ra" de la 1ac4erii i vecinii din imediata apropiere a *+,--ului . Datorit
faptului c# n funcie de fluxul de date# aceste atacuri pot fi destul de !reoaie# 1ac4erii tre"uie
s dea dovad de foarte mult r"dare. n plus# timin!-ul este important pentru atacatori# n
fond ei tre"uind s intercepteze traficul atunci c.nd trec prin reea date cu adevrat im-
portante pentru ei. ,ctualmente# sniffin!-ul este foarte popular n centre oreneti # la uni-
versiti i alte coli superioare# unde exist numeroase 1otspot-uri. ,ceasta deoarece# pentru
a permite utilizatorilor accesul uor i comod n reeaua *+,-# unii administratori renun la
orice fel de codare# n ciuda riscurilor de securitate "inecunoscute. 0ei mai muli utilizatori ai
1otspot-urilor nici mcar nu i nc1ipuie c datele lor sunt transmise =plain text5 atunci c.nd
i acceseaz csua potal sau interfaa )e". ,cest lucru nseamn c oricine are
posi"ilitatea s intercepteze parolele altor useri cu ajutorul unui sniffer *+,-.
/uncionare
%pre deose"ire de reelele fizice# adic le!ate prin ca"lu# n care mai este nc nevoie
s avem acces local sau cel puin remote la un sistem pentru a putea captura date din reeaua
intern# atacatorul unui *+,- tre"uie doar s. se afle n apropierea reelei care l intereseaz.
&entru a ncepe sniffin!-ul# placa de reea este setat de atacator n aa-numitul Monitor
Mode. n acest mod de lucru este posi"il o =ascultare5 pasiv a reelei# aadar fr a fi
transmite vreun pac1et de date# ca s nu mai vor"im de autentificarea n reeaua atacat.
$ocmai acest avantaj face sniffin!-ul at.t de popular . Dac un pac1et de date transmis prin
,ccess &oint sau orice alt sistem participant la reea trece prin interfaa de reea a 1ac4er-ului#
acesta este interceptat automat de placa de reea. n esen# acest mod nici mcar nu era
prevzut la ratificarea standardului 3''' C08.66# ci mai de!ra" servea unor productori ca
mod de test pentru de-"u!!in! i analiza erorilor. 0u toate acestea# unele companii au inte!rat
funcia n c1ipset-urile unor plci de reea *+,-# printre acestea &rism8 i Bermes.
Dac dorim s aflm c.t de si!ur este reeaua din punct de vedere al posi"ilitilor de
sniffin!# tre"uie doar verificat dac placa de reea dispune de unul din c1ipset-urile
menionate mai sus . < "un ale!ere reprezint plcile marca <rinoco sau 0isco 9seria
,ironet: # dar pe zi ce trece tot mai muli productori implementeaz aceast funcie n
c1ipset-urile placilor de reea . &e l.n! placa potrivit# atacatorul mai are nevoie i de un
utilitar adecvat# care s analizeze i s afieze traficul interceptat. /oarte popular este# de
exemplu# sniffer-ul !ratuit open source 't1ereal# cu ajutorul cruia se pot analiza pac1etele
individuale ale diferitelor protocoale. 't1ereal este un sniffer !ratuit de tip open source folosit
Pagina $ din 148
de majoritatea administratorilor de reea c.t i de atacatori ce doresc s captureze informaii
importante despre reeaua de interes. 0a majoritatea sneffer-elor comerciale suport o list
lun! de protocoale i poate realiza capturi de la orice tip de plac de reea.
't1ereal poate rula pe majoritatea platformelor de 2-3A aa cum poate fi rulat i su"
*indo)s. 0odul surs este disponi"il at.t pentru *indo)s c.t i 2nix # dar modificri pot fi
uor realizate su" 2nix ntruc.t exist o multitudine de compilatoare care pot modifica
mediul de lucru. &e msur ce C08.66 a devenit tot mai popular i mai "ine acceptat de +inux
posi"ilitatea de analiz 1ard)are a fost tot mai acceptat. 3niial doar plcile de reea "azate
pe c1ipset &rism erau suportate #dar tot mai muli productori folosesc plci *+,- suportate
de 't1ereal i implicit su" 2nix.
,adar# pentru un atacator toate tipurile de parole sunt interesante. ,cestea sunt
interceptate de o"icei atunci c.nd utilizatorul se lo!1eaz la contul de mail sau la alte sisteme#
parolele fiind transmise =plain text5 n *+,-. %niffer-ul insinuat n *+,- le va putea
intercepta# fr pro"leme.
%uplimentar# 't1ereal dispune de o funcie de filtrare# cu ajutorul creia sunt
recepionate pac1ete de date trimise de clieni sau ,&-uri individuale n reea# pro!ramul
respin!.nd protocoalele considerate neinteresante. ,ceast proprietate a sniffer-ului esre
important pentru atacator # pentru o mai "un monitorizare a traficului de date.
+a sniffin!-ul fluxului de date sunt capturate i adresele M,0 valide transferate
necriptat. 'xist o serie de utilitare care faciliteaz rescrierea adresei M,0# pentru a pcli
,cces &oint-ului cu o pretins adres M,0 valid pentru reea. 0u o adres M,0 astfel
fa"ricat se poate ocoli restricia ,0+-ului# protecia oferit de aceast funcie fiind anulat.
*'& 7 protecie cu puncte sla"e
&entru a proteja inte!ritatea datelor de transferat# 3nstitute of 'lectrical and 'lectronic
'n!ineers 93''': a dezvoltat o procedur special de codare# pe numele su *ired
'Nuivalent &rivacE 9*'&:. 'ste vor"a despre unul dintre cele mai importante mecanisme de
securitate pentru *+,- i# din 6@@C# a fost inte!rat tuturor standardelor )ireless. Deja *'&
a ajuns su"iect de discuie de ceva timp din cauza pro"lemelor de securitate documentate# cu
toate c utilizarea sa este destul de eficient pentru stoparea potenialelor atacuri n *+,-.
0apitolul anterior a discutat pro"leme tot mai dese de securitate nt.lnite n reelele *+,-
ce folosesc *'& ca modalitate de protecie a datelor transferate prin reea. &entru a com-
promite codarea *'& atacatorul are totui nevoie de timp pentru a trece de acest mecanism
de protecie aa ca folosirea lui este nc reomandat.
Pagina $4 din 148
0a metod de codare# *'& utilizeaz o aa-numit criptare %tream-01ipers# care
codeaz datele individuale "it cu "it. n funcie de 1ard)are-ul instalat# lun!imea c1eii 9*'&-
KeE: poate fi de F; p.n la 8IF "ii. 01eia se compune dintr-un vector de iniializare 9un nu-
mr aleator care se modific la fiecare pac1et de date i are o lun!ime de 8; "ii: i din restul
c1eii# cu o lun!ime de la ;0 la 833 "ii# care este sta"ilit de utilizator prin introducerea
c1eilor *'&. +a procedura de criptare *'&# codarea se limiteaz la datele utile transmise n
pac1etul de date# ceea ce nseamn c 1eader-ul 3& nu este protejat. +a criptarea datelor utile
se calculeaz i o sum de control ce se ataeaz pac1etului. ,cest lucru ar tre"ui s
mpiedice manipularea datelor de ctre teri n timpul transferului. ,ceste date sunt# aadar#
criptate de ,& n "aza c1eii comune *'& i decodate de client 9reciproca este vala"il:.
/indc pentru codare i decodare este utilizat aceeai c1eie# este necesar ca at.t emitorul#
c.t i receptorul s cunoasc aceast c1eie . Gaza este format ntotdeauna de c1eia identic
utilizat de ,ccess &oint i de clieni la comunicare. Dac un client dorete s acceseze
reeaua fr fir# ,&-ul i solicit s !enereze un vector de iniializare# care este apoi com"inat
cu c1eia *'& i codat printr-un al!oritm.
Greele de securitate din *'&
&entru !enerarea acestei c1ei# *'& utilizeaz al!oritmul (0;. ,cesta calculeaz# din
*'& i vectorul de iniializare# o c1eie potrivit. Dar tocmai acest al!oritm de codare este
una din cele mai mari pro"leme ale *'&.
(0; a fost dezvoltat n 6@C; de ctre (onald +. (ivest# un an!ajat al (%,. Din
(ivestXs 0ip1er ; a derivat acronimul (0;. Dup ce timp de apte ani acesta a fost catalo!at
drept strict secret i a fost protejat ca atare# codul su surs a ajuns s fie aflat# printr-o "re
de securitate rmas necunoscut p.n astzi. ,stfel# 1ac4erii au putut analiza pe ndelete al-
!oritmul# pentru a-i depista eventualele puncte sla"e. ntr-adevr# dup scurt timp s-a
descoperit o posi"ilitate de spar!ere a datelor codate cu (0;# prin aciuni de inversare. Dat
fiind faptul c (0; codeaz unele cifre mai "ine dec.t altele# un potenial atacator are
posi"ilitatea de a reconstrui c1eia *'& dup re-ceptionarea unui numr suficient de pac1ete
de date.
< sl"iciune major a codrii *'& este transferul necodat al vectorului de iniializare
n 1eader-ul C08.66. De aceea# majoritatea atacurilor se "azeaz pe analiza vectorului de
iniializare n relaie cu (0;-<utput GEte. ,tacatorul dorete# aadar# s reconstruiasc c1eia
comun. n acest sens# cu ajutorul utilitarelor !en *'&0rac4 este exploatat o pro"lem la
!enerarea vectorului de iniializare de doar 8; "ii 9cu ajutorul unui pseudo-!enerator *'&
&(-?:. +a o lun!ime de 8; "ii exist un numr limitat de com"inaii care ar putea fi utiliza-
Pagina $! din 148
te drept variante de codare pentru (0;. &entru cele aproximativ 6F milioane de com"inaii
posi"ile# teoretic i vectorul de iniializare utilizat se repet dup tot at.tea pac1ete de date
transferate.
2tilitare precum ,ir%nort necesit de re!ul# conform declaraiilor autorilor# doar
cinci p.n la 60 milioane de pac1ete pentru a determina c1eia corect# n funcie de
activitatea clienilor# n acest caz vor"im despre c.teva ore# maxim zile. Dac traficul de reea
necesar lipsete# utilitarul a!resorului poate memora nre!istrrile deja efectuate i i reia
activitatea ulterior ca i cum nu ar fi existat acea ntrerupere. ,stfel# un 1ac4er din vecintate
poate evalua pac1etele disponi"ile pe parcursul c.torva sptm.ni sau luni. n cazul reelelor
mari 9cu trafic intens:# capturarea numrului necesar de pac1ete este posi"il i ntr-un timp
mult mai scurt. Dac se atin!e aceast limit# aflarea c1eii *'& cu ajutorul pro!ramului
potrivit devine o c1estiune de minute.
2n alt punct sla" al *'& rezid n lipsa 4eE mana!ementului. Deoarece c1eile dintr-o
reea tre"uie distri"uite manual tuturor sistemelor participante# n practic ele nu sunt
nlocuite dec.t foarte rar# dac nu deloc. ,cest mod de distri"uire a c1eilor are drept
consecin punerea n pericol a ntre!ii reele )ireless# c1iar i atunci c.nd doar o sin!ur
c1eie nu mai este secret. Mai mult# dimensiunea pac1etelor crete la codarea *'&#
micor.nd ns limea de "and la transferul datelor n *+,-. ,cest lucru nu este pozitiv n
ceea ce privete popularitatea codrii *'& n r.ndul utilizatorilor care doresc s transfere
volume mari de date n timp c.t mai scurt. ,stfel# majoritatea utilizatorilor decid s renune la
*'& n detrimentul securitii. 'xist totui o soluie de compromis# care implic utilizarea
mai multor ,cces &oint-uri. (m.ne ns pro"lema compati"ilitii ,&-urilor ntre ele# dar
pro"lema costurilor suplimentare.
n pofida tuturor acestor pro"leme de securitate# codarea *'& nu este inutil# pentru
c este totui mai "ine s utilizm o protecie vulnera"il dec.t s nu avem niciuna. $ot ceea
ce tre"uie s tim foarte clar este c *'& nu ofer prea mult si!uran. Dup pu"licarea pro-
"lemelor *'& i# implicit# a riscurilor de securitate pentru utilizator# o serie de productori
renumii s-au decis s dezvolte alte metode alternative de protecie# ns# pentru ca aceste
msuri s fie puse n practic# utilizatorul tre"uie s apeleze la 1ard)are de la acelai pro-
ductor# fiind aadar dependent de acesta atunci c.nd dorete un up!rade al reelei.
*&, - alternativa si!ur
Dup ce mecanismul *'& s-a dovedit relativ nesi!ur# multe ntreprinderi au ezitat s
utilizeze te1nolo!ia *+,-. ,ltele s-au orientat dup soluii de ncredere# ca alternativ
pentru *'&. ,stfel# muli productori au ntrezrit ansa s ofere propriile standarde de
Pagina $" din 148
securitate *+,-. $otui# a"undena de protocoale diferite a devenit o pro"lem n termeni
de interopera"ilitate pentru aparatele asemntoare de la productori diferii.
De aceea# 3''' a scos pe pia# la nceputul lui 800;# un nou standard de securitate i
criptare cu denumirea *i-/i &rotected ,ccess 9*&,:# menit s sc1im"e situaia n mod
radical i s elimine pro"lemele principale ale predecesorului *'&.
%pre deose"ire de *'&# *&, protejeaz datele cu o c1eie dinamic# mai "ine spus cu
patru c1ei diferite pentru fiecare client *+,-. 01eia este utilizat numai la conectarea
clientului n reea i este nlocuit ulterior printr-o c1eie de sesiune. -oul mana!ement al
c1eilor *&, este ideal pentru reelele )ireless mari# aa cum sunt ele utilizate n companii.
0u ajutorul unui server de autentificare# datele de acces ale utilizatorilor sunt administrate
centralizat. &entru reelele mici# private# metoda de autentificare &re-%1ared-KeE permite
tuturor utilizatorilor s se conecteze cu aceeai parol.
Hi n *&, au fost !site c.teva puncte sla"e . 0u toate c unele se "azeaz doar pe
teorii aplica"ile n practic i nu sunt at.t de mari ca n cazul *'&# ele tre"uie avute totui n
vedere la mana!ementul c1eilor. Mai ales c1eia de !rup# care tre"uie s fie cunoscut tuturor
staiilor# este clc.iul lui ,1ile pentru *&,. Dac aceasta intr pe m.na unui utilizator
neautorizat# acesta este n msur s intercepteze sc1im"ul iniial de c1ei ntre client i
,ccess &oint.
2n alt punct sla" al *&, este utilizarea unor parole prea scurte sau foarte uor de
!1icit. Din aceast cauz# furtul parolelor poate fi ncununat de succes. %i!urana este# prin
urmare# str.ns le!at de calitatea respectivei parole. ?rupul tinE&',& 9))).tinEpeap.com: a
scris# pe "aza acestei pro"leme de securitate# un pro!ram "azat pe unix# numit *&, 0rac4er.
Bac4er-ul nu mai tre"uie dec.t s nre!istreze# cu un sniffer precum 't1ereal# pac1ete
individuale n timpul etapei de autentificare *&,. 2tilitarul ncearc apoi s reconstruiasc
offline c1eile de autentificare *&,# cu ajutorul unui atac de tip Grute-/orce sau dictionarE.
Pagina $# din 148
/i!ure ;.3*&, 0rac4er
nc o pro"lem a standardului de securitate *&, a aprut n al!oritmul inte!rat
Messa!e-3nte!ritE-01ec4# care teoretic ar tre"ui s serveasc drept protecie mpotriva posi-
"ililor atacatori. , fost dezvoltat iniial pentru a prent.mpina atacuri de tip Grute-/orce# la
care reeaua este atacat cu utilitare speciale# prin ncercarea constant de conectare cu
ajutorul diferitelor parole. +a utilizarea al!oritmului Messa!e-3nte!ritE-01ec4 sunt
dezactivate toate le!turile 9inclusiv ,&-ul: pentru o anumit perioad de timp# dac n
decurs de c.teva secunde ctre ,ccess &oint este transmis mai mult de o c1eie fals. ,cest
lucru este ns critic# fiindc un utilizator dotat cu un &D, sau cu un telefon mo"il tre"uie s
transmit doar c.teva date de acces false pentru a paraliza destul de mult timp sistemul.
2n alt dezavantaj deloc de i!norat este timpul de calcul mai mare necesar mai
puternicului mecanism de criptare. Mai ales n cazul sistemelor vec1i pot interveni pro"leme
de performan.
;.I ?uideline pentru realizarea unei reele si!ure
Greele de securitate n *+,- sunt mai mult dec.t suficiente pentru cineva interesat
de a accesa resursele unei reele # dar tot la fel de adevrat este c exist i o multitudine de
metode de a stopa atacurile ce au ca scop fie modificarea i manipularea informaiilor din
reea sau doar simpla accesare a reelei. < com"inare iscusit a msurilor de securitate ofer o
securitate crescut reelelor *+,- fiind nevoie doar de com"inarea funciilor de securitate
oferite aa cum sunt decuplarea funciilor Groadcast i DB0& # criptarea datelor cu *'& #
Pagina $8 din 148
activarea *&, sau i mai "ine a standardului superior *&,8 9 corespunztor 3'''
C08.66i :. &ot fi ntreprinse dealtfel i msuri ce implic autentificarea clienilor individuali
cu ajutorul ,cces 0ontrol +ist 9 ,0+ : prin intermediul adreselor M,0 ale clienilor. /iecare
dintre aceste msuri de securitate are propriile puncte sla"e # pentru a cror exploatare exist
de re!ul numeroase utilitare !ratuite . $otui volumul de lucru pe care o persoan tre"uie s
l depun pentru depsirea acestor o"stacole va descuraja numeroase tentative de atac.
<ptimizarea criptrii
Din cauza pu"licrii relativ tardive a "reelor de securitate din *'&# soluia pentru
acestea a venit mult prea t.rziu# deoarece standardul de criptare este deja utilizat n milioane
de aparate compati"ile C08.66.
0u toate acestea# nu este foarte !reu de eficientizat aceast modalitate de codare. +a
ac1iziia unui aparat )ireless tre"uie luat n calcul n primul r.nd ca lun!imea maxim a c1eii
de criptare s fie de 68C sau c1iar de 8IF "ii. De asemenea aceasta tre"uie s fie suportat
deopotriv de plcile de reea i de ,ccess &oint.
01eia de acces tre"uie sc1im"at la intervale re!ulate. 2nele aparate# ca de exemplu
seria ,ironet de la 0isco# suport deja funcia de nnoire automat a c1eilor. Dac ,&-ul este
compati"il *&,# aceast funcie tre"uie activat n locul criptrii *'&. &entru aparatele care
nu cunosc dec.t mecanismul *'&# anumii productori ofer update-uri de firm)are care
instaleaz suportul *&,.
n plus# este de studiat dac am ac1iziionat un ec1ipament 1ard)are (%-. (%- este
acronimul pentru ar1itectura de securitate (o"ust %ecuritE -et-)or4# introdus cu standardul
C08.6li i care m"untete su"stanial securitatea n *+,-. =35-ul de dup C08.66 este
deose"it de important. &.n la anteriorul C08.6 l1 accentul a fost pus cu precdere pe
standardizare# interopera"ilitate i vitez de transfer. ncep.nd cu C08.66i# n prim plan a fost
adus un concept !lo"al de securitate. ,u fost# aadar# introduse protocoale de codare noi
precum 00M&# n care sunt utilizate procedurile de criptare ,'%# de exemplu pentru *&,8.
0ea mai si!ur este# prin urmare# utilizarea *&,8# ,'% !ener.nd c1ei cu lun!imi
varia"ile de 68C# 6@8 sau 8IF "ii.
< alt modalitate de criptare implic instalarea unui M&- 9Mirtual &rivate -et)or4:.
n special n firmele care transfer in-1ouse date foarte importante procedurile de codare
*'& i *&, sunt insuficiente i c1iar inaccepta"ile# iar aceasta din cauza deja cunoscutelor
pro"leme de securitate ale acestora. Datorit mana!ementului simplificat al c1eilor M&-#
efortul de administrare se menine n limite rezona"ile c1iar i n cazul existenei unui numr
Pagina $$ din 148
mare de clieni. 2n maxim de securitate poate fi atins aadar cu codarea standard oferit de
M&- n com"inaie cu un certificat de securitate.
Monitorizarea reelei )ireless
&entru a descoperi un eventual acces neautorizat n *+,-# anumite ,ccess &oint-uri
ofer o funcie de creare a unor fiiere jurnal 9lo! files:. ,ici sunt pstrate informaii despre
ce clieni s-au conectat la reeaua fr fir dar astfel pot fi descoperite i accesrile nepermise.
/aptul este ns posi"il numai dac atacul a avut deja loc# iar 1ac4er-ul a ptruns ad.nc n
reea iDsau n sistemele clienilor acesteia. &ro!rame precum 3ntrusion Detection %Estem
93D%: ,ir%nare# "azat pe *indo)s# sau ,iropee4 de la *ild&ac4ets ofer posi"ilitatea
analizrii minuioase a activitii ntr-un *+,-# tr!.nd semnalul de alarm naintea
producerii pa!u"elor permanente. 'ste vor"a# de fapt# despre utilitare speciale de tip sniffer
care analizeaz precis traficul de reea n cutarea activitilor i a semnturilor suspicioase.
/i!ure ;.; ,3(%-,('
n acest fel putem fi informai n timp real cu privire la inserarea ,&-urilor neau-
torizate n *+,- i aflm dac nu cumva s-au conectat clieni strini reelei sau cineva
intercepteaz datele transferate. De pild# dac utilitarul ,ir%nare identific o staie a crei
adres M,0 nu i este cunoscut# pro!ramul monitorizeaz traficul cauzat de aceasta i
trimite administratorului o avertizare prin e-mail# astfel nc.t acesta s reacioneze imediat la
pericolul aprut.
$estarea reelei proprii
Pagina 1%% din 148
Dup ce reeaua este confi!urat conform cu elementele de securitate sta"ilite iniial
cea mai "un metod de a testa reeaua e de a ncerca spar!erea acesteia pentru a putea
exclude toate !reelile de proiecctarea care ar fi putut apare. /uncionarea automat i n
parametrii dorii ai mecanismelor de securitate nu nseamn neaprat c toi clienii au
contact cu staia de "az. 0a ajutorul unor utilitare ca -et)or4 %tum"ler # Kismet# ,erosol
sau *ep 0rac4 pot fi testate elemetele de securitate ale reelei. &entru a testa codarea este de
preferat folosirea 't1ereal care ajut la interceptarea datelor care tocmai trec prin reea.
&entru o "un analiz tre"uie s ai" loc conectarea i cu un alt utilizator dec.t administrator
iar n fiierul jurnal al snifferul-ui nu ar tre"ui s apar nici un fel de referin plain text.
2n alt mod de atacare a reelei este de a ncerca inserarea unui nou utilizator n reea #
utilizator care nu deine nici o adres M,0 certificat n ,0+ i nici o c1eie valid. 0u
ajutorul unui utilitar de !enul %M,0 un atacator poate modifica dup "unul plac adresa
M,0 a sistemului su sin!ura pro"lem fiind de a intercepta datele din reea pentru a dispune
de o adres M,0 valid . Dei ntr-o prim faz pare puin pro"a"il # dar i pentru
modificarea adreselor M,0 exist o soluie. .Mai ales micile reele atri"uie clienilor adrese
3& standard 6@8.6FC.0.6 p.n la 6@8.6FC.8.8II# deoarece i ec1ipamentele de reea ale
majoritii productorilor sunt livrate cu adrese implicite din acest domeniu. 2tilizatorii
pstreaz aceste adrese i de aici ncep pro"lemele cu c.t n ,0+-ul ,&-ului sunt nre!istrate
mai multe adrese care nu sunt conectate la momentul atacului# cu at.t ansele atacatorului de
a !si o adres M,0 vala"il sunt mai mari. ,stfel# dac un client nu se afl un timp mai
ndelun!at n reea# adresa M,0 a acestuia este tears i# la nevoie# renre!istrat.
&entru a testa codarea avem nevoie de un utilitar de tipul ,ir%nort sau *ep-0rac4.
,ceste pro!rame pot filtra i decripta c1eile *'& din traficul de reea curent# n acest scop#
aplicaiile menionate nu au nevoie dec.t de timp pentru protocolarea unui numr suficient de
pac1ete codate.
,ceste pro!rame funcioneaz exclusiv cu plci de reea care dispun de un c1ipset
&rism8 sau de un driver modificat i care pot trece n modul de monitorizare 9de exemplu
<rinoco sau 0isco ,ironet:. Majoritatea uneltelor de spart parole *'& sunt folosite numai
su" +inux# ns i utilizatorii de *indo)s au posi"ilitatea de a decoda *'&# cu ajutorul lui
,ir%nort. &entru folosirea lui ,ir%nort su" *indo)s tre"uie instalat suplimentar ?+3G i
?$Kc 6.3 9la fel i su" +inux:. Dac ns placa lucreaz deja cu acest %<# pro"a"ili tatea
compati"ilitii sale totale i nemijlocite cu ,ir%nort este foarte mare.
0onform descrierii# pro!ramul are nevoie de cinci p.n la 60 milioane de pac1ete
codate cu aceeai c1eie pentru a filtra suficiente informaii necesare decodrii unui al!oritm
Pagina 1%1 din 148
sla". n practic sunt necesare de dou ori mai multe# ns# spre deose"ire de un atacator
adevrat# pentru testarea reelei proprii nu tre"uie dec.t s ateptm p.n c.nd acestea sunt
!enerate prin intermediul traficului uzual n reea. 0olectarea informaiilor ar putea dura mai
multe zile. &rocesuil const doar n a copia pur i simplu cantiti mari de date de la un client
la cellalt i ,ir%nort s lucreze. Dup c.teva ore ne putem da seama c.t de si!ur este c1eia
folosit n reea. Dac rezultatul nu este mulumitor# strate!ia de 4eE mana!ement tre"uie
re!.ndit # n mod normal fiind necesar utilizarea a cel puin patru c1ei pe caree s le
modificm mcar o dat pe lun. n acest fel musafirii nepoftii av.nd mai mult de lucru
c1iar dac reuesc s spar! o c1eie# tre"uie s o ia de la capt cu urmtoarea.
&entru decodarea *&, avem nevoie de mai puine pac1ete# ns la fel de mult
r"dare ca i un atacator# pentru c n acest caz este vor"a despre un atac offiine. 2n sniffer
precum 't1ereal nre!istreaz doar faza de autentificare *&,# i a"ia ulterior este iniializat
un atac de tip Grute-/orce cu un crac4er *&, asupra *+,--ului. n funcie de lun!imea
parolei 9&air)ise Mater KeE: i de performanele procesorului acest lucru poate dura c1iar i
c.teva sptm.ni. Hi aici modificarea parolei la intervale re!ulate reprezint o msur de se-
curitate neleapt.
n continuarea vom ncerca s realizm un !1id practic i la ndem.na oricrui
utilizator n momentul n care dorete s pstreze reeaua *+,- c.t mai ferit de atacurile
inerente ce pot aprea asupra reelei.
&ornirea n si!uran a router-ului *+,-
&rincipala pro"lem de securitate a reelelor )ireless const n fapt n instalarea lor
foarte uoar. (outer-ul *+,- odat pornit # aceste emite imediat semnale de identificare
preciznd un nume i cererea de clieni pe care s i conecteze. &laca de reea *+,-
instalat n note"oo4 tre"uie doar s recepioneze acest semnal i le!tura este activ laptopul
primind de la router c1iar i adresa 3& necesar. De aceea la prima confi!urare router-ul
tre"uie confi!urat la reea prin ca"lul de reea. ,cest lucru este n primul r.nd mai comod #
dar i nu mai pot fi transferate date confideniale prin reeaua fr fir. &ornirea router-ului
*+,- se face naintea calculatorului # router-ul fiind i sever DB0& pentru reea # iar
pornirea n aceast sucesiune face posi"il o"inerea automat a unei adrese 3&. &arola de
administrare implicit tre"uie dezactivat deoarece liste cu astfel de parole standard pot fi
uor de !sit. 3mportant de reinut este c o parol de acces protejeaz doar router-ul nu i
conexiunea radio. Mecanismele de criptare a reelei tot n acest moment sunt activate #
codarea *&, cu &res1ared KeE 9*&,-&K%: fiind cea implicit oferit de majoritatea
dispozitivelor )ireless disponi"ile pe pia. Deasemeni parola de acces tre"uie modificat n
Pagina 1%2 din 148
aa fel nc.t s fie si!ur lucru ce presupune folosirea deopotriv de litere # cifre i caractere
speciale.
2tilizarea codrii *'&
0el mai uzual mod de a asi!ura o reea presupune criptarea datelor ce urmeaz a fi
transferate . $erii nu vor putea intercepta nimic din traficul de reea i nici nu se pot conecta
fr parol. . (sp.nditul standard *'& 9*ired 'Nuivalent &rivacE:# care este utilizat n
majoritatea reelelor )ireless# are ns c.teva puncte sla"e.
2n pac1et de date transferat prin *'& se compune dintr-un aa-numit vector de
iniializare 9M3: i din datele criptate. ,cestea din urm conin la r.ndul lor o sum de control#
pentru a putea descoperi eventualele manipulri. &rincipala sl"iciune a codrii *'& este
vectorul de iniializare# el av.nd ntotdeauna 8; de "ii. Din acesta i din c1eia *'& un
al!oritm poate calcula codul criptat# care este transmis prin reeaua radio. Din M3-ul transmis
n ori!inal i c1eia *'&# receptorul va calcula datele ori!inale.
&ro"lema %tandardul *'& recomand ca fiecare pac1et s ai" un alt vector de inii -
alizare. Din pcate# acest lucru nu este respectat de toi productorii i nici nu prea exist
referine despre cum se !enereaz un vector de iniializare. De re!ul# n acest sens este
utilizat un pseudo-!enerator de numere aleatoare. 0onsecina este c# mai devreme sau mai
t.rziu# M3-ul ajun!e s se repete. 2n studiu realizat de 2niversitatea Ger4leE spune c
vectorul de iniializare se repet dup circa I.000 de pac1ete de date transmise n reeaua
)ireless. Dac 1ac4er-ul descoper dou pac1ete cu M3 identic# acesta poate descoperi c1eia
*'&. &ro"lema cea mai important se pare c o constituie faptul c pentru un atac asupra
unei reele *+,- un ru 7voitor nu are nevoie de soft)are complicat #pro!rame care pot
spar!e *'& sunt disponi"ile de exemplu la adrese ca )epcrac4.sourcefor!e.net sau
airsnort.s1moo.com .
$otui aa cum am precizat mai devreme un element de securtate desuet aa cum este
*'& este mai "un dec.t nefolosirea aa ca este indicat utilizarea acestuia n com"inaie cu
alte metode de ntrire a securitii reelei.
3. Minimizarea riscurilor criptrii *'&
0el mai simplu este pentru atacatori atunci c.nd pentru criptare sunt utilizate doar
c1ei de ;0 de "ii 9F; "ii minus 8; "ii M3:. ,cestea sunt at.t de scurte# nc.t com"inaiile pot
fi ncercate i sparte n cel mai scurt timp posi"il. Mai mult# c1eile sunt sc1im"ate foarte rar
sau deloc# ceea ce nseamn c atacatorii au adesea anse de iz".nd. 2lterior# reeaua fr fir
Pagina 1% din 148
rm.ne desc1is pentru mult timp. n cazul n care este folosit codarea *'&# este indicat
folosirea mcar a unei c1ei lun!i# de 60; "ii 968C "ii minus 8; "ii M3:.
;.2tilizarea *&, n loc de *'&
&entru si!uran eficient o reea *+,- ar tre"ui s utilizeze noul standard de
securitate *&, 9*i-fi &rotected ,ccess:# care folosete protocolul $K3& 9$emporal KeE
3nte!ritE &rotocol:. m"untrea adus de acest nou mana!ement al c1eilor este c la
nceputul transferului# am"ele staii radio sta"ilesc o c1eie individual de start. &entru
aceasta# parola tre"uie transmis o sin!ur dat. &ornind de la c1eia iniial# fiecare pac1et de
date transferat conine o c1eie individual pentru codare. n cazul acestei proceduri este
aproape imposi"il o"inerea codului ori!inal. Dezavantajul *&, necesit mai mult timp de
calcul i produce un trafic mai mare# ceea ce nseamn c nu putem transmite la fel de rapid
ca la codarea *'&.
I.Bard)are mai si!ur
n cazul router-elor *+,-# drumul ctre *&, trece printr-un update de firm)are.
,daptoarele *+,- pentru &0 au nevoie de drivere noi# compati"ile *&, 9disponi"ile
adesea pe pa!ina productorului:. Hi *indo)s A& are nevoie de o actualizare pentru a se
nele!e cu *&,. < prim cerin este existena a cel puin %ervice &ac4 6 n sistem.
%uplimentar# tre"uie instalat patc1-ul =*indo)s A&-%upport patc1 for *ireless &rotected
,ccess5# ce poate fi !sit la adresa microsoft.comDdo)nloadsD.
Dup instalarea patc1-ului# n proprietile reelei# la *ireless -et)or4s vom !si
%%3D-ul reelei. 0lic pe 0onfi!ure i ajun!ei n urmtorul meniu vom selecta# la -et)or4
,ut1entication# nre!istrarea *&,-&%K. 'ste posi"il ca acolo s fie trecut o alt denumire#
dar n orice caz aceasta tre"uie s fie ceva de !enul *&, i &re-%1ared KeE.
F. ,scunderea %%3D-ului
Dac router-ul dispune de o opiune pentru ascunderea identitii reelei
9%%3D:#aceast opiune tre"uie activat. De asemenea# tre"uie modificat numele reelei#
deoarece mai toate folosesc denumirea implicit. n locul acesteia este de preferat o descriere
care s nu nsemne nimic re-co!nosci"il# n nici un caz numele proprii. Dac %%3D-ul este
ascuns# 1ac4er-ul tre"uie s introduc numele reelei manual# ca i n cazul parolelor. ,cest
truc nu v ofer ns si!uran a"solut# fiindc utilitare precum -et)or4 %tum"ler descoper
i reele ascunse.
/iltrarea adreselor M,0
Pagina 1%4 din 148
0a o msur de si!uran suplimentar mpotriva intruilor# n reea ar tre"ui s ai"
acces doar anumite adrese M,0. ,dresele M,0 sunt identificatori 9!en serie de "uletin: cu o
lun!ime de ;C de "ii pentru adaptoarele de reea. %etrile din router-ul *+,- pot fi !site
ntr-un meniu numit de o"icei M,0-/ilter. ,ici# sunt introduse ntr-o list# adresele M,0 ale
clienilor. 2nele routere permit c1iar preluarea n list a clienilor autentificai. n cazul n
care acest lucru nu este posi"il# o"inei adresa M,0 a clienilor *indo)s n linie de
comand 9%tart-(un-cmd:# prin introducerea comenzii ipconfi!Dall. Din pcate# adresele
M,0 pot fi falsificate. 01iar dac din cauz c ca o adres M,0 poate fi uor falsificat se
recomand evitarea folosirii acestei metode de securizare a reelei# totui # ca i n cazul
criptrii cu *'& existena acestei msuri de securitate reprezint un o"stacol n plus pentru
un eventual atacator al reelei.
Dezactivarea DB0&
Hi dezactivarea serverului DB0& din router-ul )ireless contri"uie la un nivel mai
mare de securitate# el fiind acela care atri"uie automat o adres 3& fiecrui nou venit n reea.
'ste indicat folosirea mai de!ra" de adrese 3& statice# pe care le introducem manual pentru
fiecare client. 2n cate!oric plus de si!uran vom o"ine dac n locul adreselor 3& comune
96@8.6FC.0.6: optm pentru cele mai puin uzuale# !en 6@8. 6FC.6FJ.6.
3rd partE securitE device ----fire)all-uri i dispozitive de monitorizare
Dispozitivele de acest tip sunt cele care au fost adu!ate ulterior la confi!uraia
o"inuit a unei reele )ireless. (eprezint un dispozitiv ce ofer securitate suplimentar i
sporit clienilor i datelor ve1iculate n cadrul unei reele )ireless. &ot fi folosite astfel
servere adiionale de atutentificare # analizatoare de protocoale sau proxE servere. 0ompaniile
sunt sftuite s adopte un concept 1olistic de securitate # compati"il cu msurile de si!uran
pentru reelele pe ca"lu 9M&- #/ire)all# sisteme 3ntrusion Detection: . 'ste de asemenea
important ca ,&-urile s nu fie le!ate direct la reeaua local # ci s existe un fire)all pe post
de "rid!e 7 eventual su" forma unui !ate)az *+,- . /iecare transfer de date n reeaua
radio tre"uie codat c.t de puternic posi"il . %e recomand o autentificare solid a utilizatorilor
# de pild via $o4en cards sau certificate di!itale .
0ea mai mare preocupare# n ceea ce privete utilizarea te1nolo!iei fr fir n firme#
este securitatea. &entru a accesa i 5spar!e5 reeaua fr fir# atacatorii nu tre"uie s se afle n
interiorul cldirilor. Din acest motiv# muli mana!eri responsa"ili cu securitatea i iau# nc
din faza de proiectare# precauii n plus n jurul reelelor +,- fr fir. < parte dintre
consideraiile adiionale de securitate includ
Pagina 1%! din 148
(eelele fr fir ce se afl9temporar: n afara fire)all-ului# fie n DMP# fie ntr-o alt
su"reea extern dedicat s treac su" controlul fire)all-ului.
/ire)all-ul asi!ur inspectarea tuturor sesiunilor fr fir din cadrul reelei spre
deose"ire de implementri ale unor politici utilizator care se "azeaz doar pe filtrarea
pac1etelor.
%enzorii de detectare a intruziunilor i de prevenire a acestora# 3D% i 3&% 93ntrusion
Detection %ensors i 3ntrusion &revention %ensors:# sunt folosii ntre reeaua fr fir i cea
ca"lat# pentru a monitoriza activitatea.
Monitorizarea re!ulat a locaiei cu detectoare9sniffere: fr fir pentru detectarea ,&-
urilor strine - puncte de acces neautorizate pe care an!ajaii le-au instalat n cadrul reelei
interne.
&oliticilor de securitate ale companiei le sunt adu!ate noi politici de utilizare fr fir
i !1iduri de acceptare.
0om"inarea msurilor de securitate
Dac folosii numai codarea *'&# ar tre"ui s activat n e!al msur filtrarea M,0
i s ascunderea %%3D-ul reelei. n acest mod reeaua este considera"il mai rezistent n faa
atacurilor. $otui# o "un soluie o constituie utilizarea n loc de *'&# codarea *&,#
desi!ur# n com"inaie cu alte metode.
0oncluzii
Din punct de vedere al securitii# la proiectarea unei reele fr fir tre"uie luate n
considerare pe l.n! elemente de securitate de "az care sunt furnizate implicit de productor
i metode suplimentare de criptare i resticionare a accesului neautorizat la datele ve1iculate
n reea. n funcie de mrimea reelei # de nivelul de securitate dorit sau de importana datelor
ve1iculate n reea metodele de securizare ale unei reele pot fi diferite #dar o soluie de
securitate nalt ca de exemplu o soluie ce folosete un server (,D32% pentru autentificarea
fiecrui utilizator i *&, pentru criptarea datelor determin i un !rad rificat de complexitate
a reelei i implicit un efort suplimentar pentru administrarea reelei. De aceea la realizarea
unei reele fr fir capitolul securitate suscit n continuare discuii pentru cea mai "un# dar
i cea mai eficient metod de securizare..
Pagina 1%" din 148
I. 2tilitare pentru testarea securitii reelelor )ireless
-ume ,dres /uncie
't1ereal ))).et1ereal.com 2tilitar pentru analiza
protocoalelor de reea #
capa"il s salveze i s
evalueze datele unei
reele n timpul
funcionrii.
3&Do! ))).t1"i.deDus &ro!ram ce arat
utilizatorului toate
conexiunile care intr
i ies precum i accesul
la porturi. &e l.n!
adresele surs respectiv
int # sunt indicate i
numrul accesrilor i
al porturilor # mrimea
pac1etului i
protocolului utilizat.
+a listarea porturilor
pro!ramul afieaz
suplimentar numele i
descrierile acestora # n
cazul n care sunt
cunoscute
-et%etMan ))).itecnix.com -et%etMan este un
pro!ram de
mana!ement al reelei
i se adreseaz
utilizatorilor de &0-uri
mo"ile.
&0$'+ ))).pctel.com 2tilitar pentru
administrarea acceselor
la reelele *i-fi
Pagina 1%# din 148
,iro&ee4 ))).)ildpac4ets.com %oft)are pentru reele
C08.66"# compati"il cu
protocoalele $0&D3&
,pple$al4# -etG'23
i 3&A. &ro!ramul
msoar performana i
puterea semnalului i
ofer informaii despre
canalele i "reele de
securitate .
0'%niffer ))).epip1an.com ,plicaie de analiz
pentru &oc4et &c care
furnizeaz informaii
despre starea i
activitatea reelei.
-et)or4 %tum"ler ))).netstum"ler.com &ro"a"il cel mai
cunoscut instrument
pentru !sirea reelelor
)ireless care determin
%%3D-ul # opiunile
*'& # canalele#
puterea semnalului etc.
n com"inaie cu ?&%-
ul poate identifica
poziia exact a unuzi
,cces &oint.
%tum"Merter ))).sonar-securitE.com &ro!ram de ofer
posi"ilitate de a
importa fiiere
-et)or4 %tum"ler n
aplicaia Map&oint de
la Microsoft. &ot fi
adu!ate adrese M,0
i diverse notie
,ir$raf 1ttpDDairtraf.sourcefor!e.netDindex.p1p ,ir$raf poate
Pagina 1%8 din 148
intercepta i decoda
pac1ete de date . n
plus softul ajut la
identificare ,cces
&oint-urilo .
3nformaiile
recepionate sunt
stocate ntr-o "az de
date care poate fi
acesat cu ajutorul
anumitor aplicaii.
*ireless ,&-2tilities ap-utils.polesEe.net 2tilitare pentru
mana!ementul acces
point-urilor su"
2-3A # +inux #
/reeG%D i ,3A prin
protocolul %-M&.
/a4e,& )))."lac4alc1emE.toDprojectDfa4eap &ro!ram deose"it
pentru mrirea
si!uranei ntr-un
*+,- . &rin /a4e,p
sunt simulate I3000 de
acces point-uri .,stfel
aplicaiilor !en
-et)or4 %tum"ler le
ia pur i simplu prea
mult timp s ncerce
toate ,&-urile
disponi"ile.
/rees)an ))).frees)an.com 3psec su" +inux 7
pro"a"il cea mai si!ur
modalitate de transfer a
datelo ntr-un *+,-.
Kismet ))).4ismet)ireless.net %niffer care
intercepteaz traficul
Pagina 1%$ din 148
reelelor )ireless
C08.66".
Mo!net ))).node@@.or!DprojectsDmo!net ,plicaie open source
dce sniffin! i analiz
)ireless # pro!ramat
n Tava .3niial
conceput pentru
0ompaN i&,[ aceasta
ruleaz i pe sistemele
des4top.
%%3Dsniff )))."astard.netDk4osD)ifi Mic utilitar pentru
identificarea de ,cces
&oint-uri i pentru
salvarea traficului de
reea cu script de
confi!urare .%uport
plcile de reea 0isco
,ironet i diverse
modele &rism8
*ellen(eiter ne).remote-exploit.or! &ro!ram &erl care
simplific examinarea
reelelor C08.66".
%canerul poate !si
,cces &oint-uri # reele
i sisteme ad-1oc.
(eelele "roadcastin!
precum i cele non-
"roadcastin! pot fi
detectate automat.
*'&0rac4 )pcrac4.sourcefor!e.net %cripturi &erl pentru
interceptarea i
spar!erea c1eilor *'&
recomandate pentru
testarea propriilor
setri de securitate.
Pagina 11% din 148
*ireless
%ecuritE,uditor
rsearc1)e".)atson.i"m.comD!salD)sa 2tilitar din la"oratorul
3GM care ruleaz su"
sistemul de operare
+inux pentru i&,[ .
&ro!raml caut
automat confi!urrile
sla"e de securitate
pentru a anuna
administratorii de reea
cu privire la
eventualele pro"leme .
$a"le I2tilitare de analiz i dia!nosticare
0a i pentru reele pe ca"lu i n cazul *+,--urilo exist pro!rame de dia!nosticare
care ndeplinesc funcii de identificare a surselor de eroare # de indentificare a "reelor de
securitate sau realizeaz msurtori pentru verificarea zonelor de alimentare.. &e l.n!
instrumentele comerciale de dia!nosticare i care de o"icei au un pre destul de pro1i"itiv#
exist i o serie de instrumente free)are i s1are)are cu uimitor de multe funcii . De altfel
aceste utilitare aa cum pentru un administrator al unei reele *+,- poate reprezenta o "un
metod de administrare pentru un ru voitor acestea pot reprezenta n aceeai msur unelte
mai mult dec.t necesare pentru atacarea unei reele *+,-.
n urmtoarele r.nduri vom realiza proiectul unei reele *+,- ce va include
totalitatea msurilor de securitate pe care le poate suporta o reea fr fir iar pentru a testa
securitatea acestei reele putem folosi utilitare de administrare i monitorizare a a traficului
ntr-o reea fr fir ale cror caracteristici le vom detalia n r.ndurile ce urmeaz.
0u toate c "analele sniffere folosite doar pentru a intercepta traficul au fost iniial
concepute doar pentru a administrarea reelei # corectarea erorilor sau operaiuni de depanare
momentan aceste utilitare reprezint dispozitive tot mai frecvent folosite pentru accesarea sau
modificarea datelor ve1iculate n cadrul reelei. Mom prezenta pe scurt i n funcie de
utilizarea lor predilect cele mai frecvent utilizate instrmente de analiz i accesare a unei
reele )ireless realiz.nd n acelai timp i clasificare a acestora .
,dministrarea reelelor *+,-
't1ereal
Pagina 111 din 148
't1ereal este pro!ram ce analizeaz pac1etele de date transmise n cadrul unei reele.
2n analizator de astfel de pac1ete va ncerca s ofere c.t mai multe informaii i c.t se poate
de detaliate.
't1ereal este unul dintre cele mai "une pac1ete de analiz de pac1ete de tip open
source ce este disponi"il pe pia. ,cest utilitar poate fi folosit de administratori de reea
pentru rezolvarea pro"lemelor ce pot aprea n cadrul unei reele # de ctre pro!ramatori de
securitate reprezent.nd o metod eficient de examinare a pro"lemelor de securitate .
Deasemeni poate fi folosit cu scopul de a studia diferitele protocoale de comunicaie din
cadrul unei reea.
0aractersitici
l disponi"il at.t pentru 2-3A c.t i *indo)s.
l captur de pac1ete de date .
l afieaz pac1etele de date c.t mai detaliat cu informaii despre fiecare protocol .
l 3mport and 'xport pac1ete din sau spre alte pro!rame de captur de date .
l filtreaz pac1ete dup mai multe criterii.
l realizeaz statistici pe "aza datelor capturate.
3D%-,ir%nare
,ir%nare este un pro!ram de tipul 3ntrusion Detection %Estem care monitorizeaz o
reea )ireless i detecteaz utilizatorii conectai fraudulos. &rincipiul de funcionare se
"azeaz pe detectarea i clasificarea adreselor M,0 ale plcilor existente n reea. &entru cele
considerate nele!itime# utilizatorul are posi"ilitatea detectrii adreselor 3& i a porturilor
folosite. ,ir%nare poate fi confi!urat n aa fel nc.t s trimit un mail de notificare
administratorului unei reele prin care s l ntiineze cu referire la accesarea reelei de ctre
un utilizator cu o adres M,0 necunoscut.
Pagina 112 din 148
/i!uraI.6 ,ir%nare
,iropee4
(eprezint un pac1et de analiz complet pentru reelele *+,- de tip C08.66. %copul
acestuia este de a identfica i rezolva pro"lemele aprute n cadrul unei reele *+,-. <dat
aprut o pro"lem de securitate # aceasta este izolat decod.nd n ntre!ime protocoalele
C08.66 sau analiz.nd performanele unei reele identific.nd puterea semnalului sau ratele de
transfer disponi"ile pe canalele din cadrul reelei monitorizate.
&e l.n! soluia de analiz a pac1etelor de date transferate n cadrul reelei ,iro&ee4
ofer ca i funcii suplimentare
,cces uor la resusele reelei )ireless prin intermediul unor ima!ine real-time asupra
datelor ve1iculate n interiorul reelei.
<fer un tunnin! al reelei prin monitorizarea puterii semnalului sau a nivelului
z!omotului din cadrul canalelor de comunicaie
(apoarte # !rafice i statistici asupra reelei i a traficului din reea.
(eacioneaz imediat la pro"leme aprute n cadru reelei folosind alarme i tri!ere
predefinite specifice unei reele )ireless.
(ealizeaz analize asupra reelei folosind un sistem ?&%# prin msurarea intensitii
semnalului sau a nivelului z!omotului din anumite canale ale reelei .
0aracteristici
*+,- Mie)---determin rapid %%3D-ul unei reele # acces point-urile i structura
ierar1ic a conexiunii la fel ca i metodele de criptare i de autentificare folosite.
Pagina 11 din 148
$emplate pentru realizarea unui format de securitate- fitre i alarme folosite pentru a
securiza o reea *+,- i totodat de a identifica "reele de securitate din cadrul reelei.
,nalize asupra puterii semnalului- folosite de o"icei pentru a ajuta la implementarea
unei reele *+,- # pentru a determina locul i modul de poziionare al acces point-urilor.
%canarea canalelor- caut i intercepteaz trafic C08.66 dup anumii parmetrii definii
de utilizator.
Decodificarea protocoalelor *+,-- poate decodifica majoritatea protocoalelor
C08.66 aD"D! sau alte protocoale de nivel mai nalt.
Decriptarea *'& i *&,- detecteaz ncercri de accesare a reelei prin decriptarea
*'& sau *&, n timp real.
$a"ele de nume automate- atri"uie automat nume tuturor nodurilor din reea pentru o
mai "un identificare a acestora i deasemeni a sursei i destinaiei traficului din reea.
%uport ?&% 7 include date oferite separate de un receiver ?&%. /iecare pac1et conine
alturi o coloan opional ce conine informaii adiionale cum ar fi latitudinea # altitudinea
sau lon!itudinea la care se afl un dispozitiv din retea.
3nterceptare i monitorizare trafic
-et)or4 %tum"ler
-et%tum"ler poate fi utilizat pentru msurarea ariei de acoperire a unei reele *+,-
i analizeaz modul n care calitatea conexiunii se diminueaz cu fiecare metru distan de la
surs. ,cesta arat de asemenea ntreruperile de conexiune i le poate localiza prin utilizarea
opional a sistemului ?&%.
'ste folosit pentru detectarea de reele *+,- ce folosesc standarde C08.66a # " sau !
i poate rula pe platforme *indo)s ncep.nd cu Microsoft *indo)s @C . < variant mai
uoar este disponi"il pentru dispozitive de tip &oc4et &0.
-et %tum"ler este folosit de o"icei pentru
*ardrivin!
Merificarea confi!uratiei unei reele
?sirea locaiilor dintr-o reea cu semnal sczut
Detectarea interferenelor aprute n cadrul unui *+,-
Detectarea aceselor neautorizate la reea
,erosol
Pagina 114 din 148
,erosol este un utilitar cu ajutorul cruia pot fi descoperite reele )irelees i care
ruleaz su" *indo)s. %uport c1ipset-uri &(3%M8 # ,$M'+ sau <rinoco. 'ste un utilitar
scris n lim"aj 0 fiind extrem de uor de folosit.
&entru a rula ,erosol are nevoie de un driver de protocol cel mai des fiind folosit
*in&0ap .
Kismet
Kismet este un utilitar ce joac rol de detector # sniffer i sistem 3D% 93ntrusion
Detectio %Estem: pentru o reea )ireless. Kismet poate lucra cu orice tip de plac de reea ce
poate funciona n modul Monitor Mode cunoscut i su" numele de &romiscuos Mode put.nd
s intercepteze trafic de tip C08.66" # C08.66a# C08.66!.
Kismet identific o reea prin colectarea pasiv de pac1ete detect.nd numele standard
ale reelelor# reelele ascunse i ptrunz.nd n cadrul reelelor ce au sistemul de transmitere a
semnalelor de tip "eacon dezactivat folosind captura pasiv de trafic.
Kismet Q6;R se comport foarte "ine ca analizator de reea )ireless. ,cesta poate
folosi aproape orice card *+,-. ,cest lucru nu poate fi luat ca atare pe +inux sau *indo)s.
Kismet poate monitoriza reele C08.66" i C08.66a dei este restricionat la carduri cu c1ipset-
ul ,rI4 pentru cel din urm.
3nstrumentul localizeaz# sorteaz i !rupeaz reelele )ireless# folosete mai multe
canale simultan 9c1annel 1oppin!: i poate descoperi domeniile adreselor 3& ale reelelor
monitorizate c1iar dac nu folosesc DB0&. ,cesta salveaz datele interceptate ntr-un format
care permite procesarea de ctre pro!rame cum ar fi 't1ereal# $cpdump# %nort sau ,irsnort.
0aracteristici
0ompati"il cu rezultate o"inute de alte pro!rame specializate n monitorizarea
traficului din cadrul unei reea )ireless aa cum este 't1ereal.
Detecteaz adresele 3& ale dispozitivelor ce transmit datele ve1iculate n reea.
De"loc1eaz reele cu %%3D ascuns.
&oate realiza !rafice pe "aza structurii unei reele.
,r1itectur clientDserver care permite mai multor clieni s vizualizeze simultan
serverul Kismet.
Detecteaz confi!uraiile default a unei liste de acces point-uri disponi"ile n "aza de
date proprie.
&oate decodifica pac1ete criptate cu ajutorul *'& .
0ompati"ilitate cu alte pac1ete de tip laEer 3 3D% aa cum este ,ir%nort.
Pagina 11! din 148
Multiplexarea mai multor capturi de pac1ete de la mai multe surse pe un sin!ur server
Kismet.
(ezultatele pot fi afiate n format AM+ .
,plicaiile o"inuite pentru care este folosit Kismet sunt
*ardrivin!- detecia mo"il de reele )ireless # modul lor de amplasare i de folosire.
'xaminarea aplicaiilor 7 monitorizarea i afiarea sun" form !rafic a puterii
semnalului i distru"uiei acestuia.
Detecia ,& Sro!ue>- snuferre mo"ile sau staionare pentru a ntri politica de acces la
reea a unor puncte de acces.
S%par!erea> reelelor *+,-
*ep0rac4
*ep0rac4 este un utilitar tip open source folosit pentru a apar!e c1eile secrete de tip
*'& din cadrul unei reele C08.66. ,cest utilitar se "azeaz pe pro"leme de securitate pe
care le prezint al!oritmul (0; folosit de *'& ntruc.t pac1etele de date criptate cu ajutorul
*'& folosesc i un vector de iniializare M3 care se repet dup un anumit numr de pac1ete
transmise n reea i care este transmis necodat n 1eader-ul C08.66. %par!erea (0; se
realizeaz prin operauini de inversare dup capturarea unui numr suficient de pac1ete iar
te1nolo!iile existente astzi au demonstrat c spar!erea unei c1ei *'& se msoar n c.teva
minute.
0aracteristici
/olosete capturi de pac1ete realizate cu utilitare !en 't1ereal cut.nd sl"iciuni n
traficul *'&.
Gaz de date M,0-urile i %%3D-uril mai multor ,&-uri
Determinarea dinamic dac traficul tranzacionat n reea este criptat cu ajutorul (0;
i implicit folosete *'& ca metod de protecie a reelei
&osi"iliti de spar!ere a c1eilor *'& folosind metode de tip "rute-force
0ompati"il cu 't1ereal pentru a folosi posi"ilitile sale de decriptare a c1eilor *'&.
<fer posi"ilitatea unor pro!rame !en 't1ereal de a citi "aza sa de date pentru a folosi c1eia
corect pentru anumite adrese M,0 pentru care *ep0rac4 reuit spar!erea c1eii *'&.
Grutus sau Grute /orce
Pagina 11" din 148
Grutus reprezint un utilitar foarte rapid i foarte flexi"il aprut n octom"rie 6@@C
care poate iniia mai multe ncercri de conectare la un ,& n scopul spar!erii parolelor
simple compuse din mai puin de sae caractere.
&rotocoale suportate
B$$&
&<&3
/$&
%MG
$elnet
3M,&# --$& -etGus
0aracterisitici
Motor de autentificare structurat pe mai multe nivele
&osi"ilitatea conectrii la mai mult de F0 de inte simultan
Moduri de accesare a securitii unui ,& ca "rute force # com"o list9user-pass)ord:
sau list de cuvinte.
,ir%nort
,ir%nort este un utilitar *+,- care ofer posi"ilitatea de a recupera c1eile de
criptare. ,ir%nort opereaz prin monitorizarea pasiv deduc.nd c1eia de criptare dup ce a
fost capturat suficient trafic . ,ir%nort are nevoie s captureze aproximativ I-60 milioane
pac1ete de date pentru ca dup ce aceast cantitate de trafic a fost capturat decriptarea *'&
s se realizeze n cateva secunde.
%M,0
Pagina 11# din 148
%M,0 este un utilitar ce ofer posi"ilitatea sc1im"rii adresei M,0 a unui adaptor
de reea )ireless. ,cest lucru poate fi folosit pentru a accesa o reea care are ca mod de
protecie ,0+ 9,ccess 0ontrol +ist: pentru acest lucru fiind necesar cunoaterea unei adrese
M,0 acceptat n cadrul reelei. %M,0 nu modific adresa M,0 de "az a unei plci
)ireless iar aceast nou adres se va pstra i la urmroarele reporniri ale sistemului.
0aracteristici
,ctiveaz imediat noua adres M,0 c1iar dup ce a fost utilizat utilitarul.
,fieaz adresa M,0 ori!inal a plcii de reea
,fieaz toate sau doar plcile de reea active
?enereaz aleator orice adres M,0 sau "azndu-se pe specificaiile unui anumit
productor
<fer informaii despre adaptorul de reaea propriu cum sunt id-ul # status # descrierea
plcii de reea# productorul# statusul plcii 9modificat sau nu: # adresele M,0 at.t cea real
c.t i cea modificat# 3D-ul 1ard)are al plcii de reea etc.
?enereaz rapoarte despre detaliile adaptorului de reea.
0oncluzie
Pagina 118 din 148
Dup cum se poate o"serva i din descrierea fiecrui utilitar n parte# este destul de
!reu s facem o delimitare clar ntre scopurile de "az ale acestora. Daca multe dintre
instrumentele de mentenana ale unei reele *+,- au fost iniial create pentru a susine
eforturile administratorilor de reea de a suprave!1ea traficul sau s realizete operaii de
depanare # interesul crescut pentru te1nolo!ia )ireless a determinat o reorientare a acestor
utilitare ctre partea de testare i implicit de Sspar!ere> a reelelor *+,-. 0apitolul urmtor
va trata at.t maniera n care paote fi realizat o reea *+,- si!ur c.t i metode de testare a
securitii acestora moment n care vom detalia i caracteristicile acestor utilitare.
F.,&+30,m3'
n continuare vom urmri s oferim un !1id pentru a ajuta utilizatorii unei soluii de
reea fr fir i s nelea! procedurile i factorii care fac parte din fazele de planificare ale
unei reele +,- fr fie.
0onfi!uraia reelelor locale fr fir "azat pe standardele radio C08.66 poate prea
simpl la prima vedere . 2tilizatorii lea! ruterele fr fie lam le!turi cu "and lar! i ncep
s le foloseasc fr alte setri. $otui# n cadrul unei reele *+,- sunt necesare i alte
msuri de prevedere i o planificare mai profund.
/actori ce tre"uie luai n considerare atunci c.nd se proiecteaz o reea *+,-
+r!imea "enzii necesare pentru a suporta utilizatorii i aplicaiile fr fir.
,ria de lucru # niveluri de interferen pentru frecvenele radio.
$ipul autentificrii i securitii cerut de ctre politica de securitate a "eneficiarului.
/lexi"ilitate i posi"ilitatea de a efectua up!rade-uri.
&reul # seturile de caracteristici ale C08.66 # capacitile de mana!ement i a"ilitatea
de a inte!ra reeaua fr fir n cadrul reelei cu fir deja existente.
ntruc.t scopul lucrrii de fa este de a studia elementele de securitate disponi"ile n
cadrul reelelor fr fir i deasemeni posi"ilitile de ntrire a securitii unei astfel de reele#
vom discuta despre caracteristicile de securitate i de autentificare ce tre"uie luate n
calcul la dezvoltarea unei reele fr fir .
F.6 %electarea strate!iei de securitate potrivite
,le!erea tipului autentificrii # criptrii datelor i securitii prin care se asi!ur
inte!ritatea pac1etelor pentru o reea fr fir +,- depinde de o serie de factori. &olitica de
securitate a companiei # tipul datelor pe care ncercm s le protejm# complexitatea soluiei
Pagina 11$ din 148
de securitate joac un rol important n ale!erea tipului de autentificare i a sc1emei de
criptare a datelor . 0e dorim s protejm i cine ar tre"ui s primeasc acces la reaea \ m al
doilea r.nd artre"ui s nele!em# pe deplin "eneficiile fiecrui tip de autentificare i ale
fiecrei metode de criptare a datelor i informaia suplimentar 9over1ead-ul: necesar pentur
confi!urarea fiecrei componente de securitate. -u n ultimul rnd tre"uie testate
caracteristicile de securitate alese pentru soft)are-ul i 1ard)are-ul client # pentru a vedea
dac aceste satisfac nevoile reelei.
&entru securizare unei reele fr fir avem la dispoziie urmtoarele metode de
autentificare a accesului la reea i de criptare a datelor ve1iculate n cadrul reelei.'ste "ine
de precizat c numai o com"inare eficient a acestor metode va oferi soluia portivit pentru
fiecare tip de reea n parte.
Metode de autentificare
/r autentficare
/iltrarea adreselor M,0 9M,0 adress filterin!:
01eie *'& partajat 9%1ared *'& KeE:
01eie pre partajat 9pre-s1ared 4eE:
C08.6x 9te1nolo!ii ',& :
,utentificare M&-
/iecare din aceste metode de autentificare are avantaje i dezavantaje . 0u c.t este
mai puternic autentificare # cu at.t sunt necesare mai multe ec1ipamente 1ard i aplicaii soft
iar eforul depus pentru asi!urarea funcionrii i ntreinerii soluiei de securitate este mai
mare . 'xist ntotdeauna o discrepan ntre o securitate de nivel nalt i utilitatea sau
uurina setrii i utilzrii.
Metode de criptare a datelor
/r criptare
*'& static
*'& dinamic 9*'& rotativ:
,cces protejat *3/3 9*&, cu $K3& i ,'%-00M:
0riptarea M&- rintr-un ter 93
rd
partE M&- 'ncrEption:
Dup selectarea unei metode de autentificare pentru reeaua *+,- # se trece la
selectarea unei sc1eme de criptare a datelor pentru protejarea pac1etelor de date care circul
Pagina 12% din 148
n aer li"er. 2nele din aceste sc1eme d criptare pot fi folosite doar cu metode de autentificare
specifice.
&entru soluii de securitate la nivel de ntreprindere # standardul minim de securitate
car tre"uie ales este DinamEc *'& . DinamEc *'& folosete C08.6x pentru a asi!ura p
autentificare puternic i !enereaz dinamic o c1eie *'& unic pentru fiecare utilizator al
reelei.
0om"inaii ale metodelor de securizare ale reelelor fr fir
Dup cum am o"servat # exist mai multe variante pentru a asi!ura securitatea
spaiului aferent fr fir . ntruc.t nevoie de securitate crete # complexitatea implementrii i
utilizrii crete de asemenea . ,tunci c.nd se ale! anumite caracteristici de securitate tre"uie
avui n vedere i clienii fr fir deja existeni i dac acetia suport aceste noi caracterisitic.
$re"uie s ne asi!urm se compati"ilitatea deplin a clienilor -30 cu securitatea furnizat de
punctul de acces sau de s)itc-ul *+,-.
n urmtorul ta"el sunt prezentate cele mai cunoscute com"inaii de autentificare i
securitate la nivel de ntreprindere . ,le!erea sc1emei potrivite depinde de cerinele de
securitate # datele care tre"uie protejate i tipul serviciilor oferite de ctre reeaua fr fir.
Metoda de
autentificare
Metoda de
criptare a
datelor
Descriere
-ici una -ici una (eeaua )ireless e folosit ca o reea de nivel secundar#
fr securitate. &oate fi folosit pentru punctele de acces
!ratuite # reele pentru clieni cu trafic M+,- ctre
reelele externe mpreun cu o soluie de securitate M&-.
01eie partajat *'& static %ecuritatea datelor nu este prioritar i a"ilitatea scalrii
soluiei nu este necesar . ,leas pentru uurina
implementrii n detrimentul securitii datelor i
complexitii autentificrii. %e preteaz pentru reele
destinate clienilor sau reele cu securitate sczut.
C08.6x *'& ,utentificare utilizatorului pe un server (,D32% i c1ei
de criptare unice !enerate aleator pentru fiecare utilizator
i fiecare sesiune. 01eltuielile pentru setare sunt mai
mari #ns ofer o securitate de nivel nalt. Majoritatea
Pagina 121 din 148
softurilor client i a cartelelor -30 fr fir suport aceast
metod. 0omplexitatea implementrii deoinde de tipul de
',& selectat.
01eie
prepartajat
*&, 0riptarea puternic a datelor este asi!urat prin *&,
folosind $K3& i ,'%. ,utentificarea este simplificat
ns folosirea c1eilor pre distri"uite duce la
compromiterea scala"ilitii.%e folosete n !eneral # n
reele de dimensiuni mai mici unde simplicitatea
autentificrii este dorit mai mult dec.t folosirea unei unui
server (,D32% i a clienilor C08.6x.
C08.6x *&, %oluie de securitate foarte nalt care folosete un server
(,D32% pentru autentificarea fiecrui utilizator i *&,
cu $K3& sau ,'% pentru criptarea datelor . 0ardurile -30
i driverele client tre"uie s suporte *&, i clieni C08.6x
# fiind necesar folosirea unui server (,D32% compati"il
cu C08.6x. 'ste potrivit pentru reelele fr fir la nivel de
ntreprindere care necesit autenificare puternic a
utilizatorilor fr fir i o criptare puternic a
datelor.0omplexitatea implementrii depinde de tipul de
',& folosit.
/iltrarea
adreselor M,0
opional /iltrarea adreselor M,0 este o sc1em separat de
autentificare care poate fi aplicat la oricare din
com"inaiile de securitate menionate. 'a adau!
complexitate n ntreinere # printr-p list a adreselor M,0
a clienilor care tre"uie ntreinut. /iltrarea adreselor
M,0 a clienilor poate fi ocolit de ctre 1ac4eri . n
!eneral e utilizat cu sc1eme la nivel inferior ca s
asi!ure o extrasecuritate.
$a"el F %c1eme de securizare
&rezentarea sc1emei practice i a dispozitivelor folosite
(uter $('-D-'$ $'*-;38G(&
&entru realizarea sc1emei practice am folosit un router )ireless $('-D-'$ # un
laptop i un &0 care va fi folosit pentru a asi!ura operaiunile de administrare a reelei i
Pagina 122 din 148
deasemeni pe care a fost instalat *indo)s %erver 8003 pentru realizarea server-ului (,D32%
folosit ulterior pentru administrarea utilizatorilor.
Date te1nice
0ompati"il cu dispozitive ce folosesc protocoale )ireless C08.6! sau C08.6" i
protocoale din cadrul reelelor ca"late 3''' C08.3 9n0G,%'-$: # 3''' C08.3u9600G,%'-
$A:L ,-%3D3''' C08.3 ,uto -e!otiationL
; porturi lan ncorporate de tip 60D600M"ps
6 port 60D600 M"ps de tip *,- 93nternet:
%uport modem-uri ca"leDdsl ce poate folosi 3& dinamic # 3& static # &&o' sau +8$&L
%erver DB0& ce poate aloca p.n la 8I3 adrese clientL
0riptare *'&9*ired 'Nuivalent &rivacE: pe F;D68C "ii L
C08.6xD*&,# *&,-&%K# $K3&D,'% pentru securitatea sporitL
%uport filtrarea dup adrese M,0 sau adrese 3&L
0ontrolul traficului cu ajutorul unui sever virtual sau prin crearea unei zone de tip
DMP9demilitarized zone:L
<fer securitate crscut cu ajutorul unui fire)all %&3D-,$ L
%uport routarea dinamic i staticL
%uport 3&%'0 sau te1nolo!ii M&-L
/las1 memorE pentru operaiuni de firm)areL
0ompati"il cu *indo)s @ID@CD8000DA& sau +inux L
Mana!ement uor via *e" Gro)ser9B$$&: sau remote mana!ementL
,ria de acoperire interior 30 -I0 metri exterior I0-800 metri L
/recvena 8.;68 7 8.;C; ?Bz 9Ganda 3%M :L
$e1nica de modulare C08.66" 00K# D[&%K# DG&%K
C08.66! </DM
(ate de transfer C08.66" 66M"ps# I.I M"ps# 8M"ps i 6 M"psL
C08.66! I; M"ps# ;C M"ps# 3F M"ps# 8;M"ps#6C M"ps#68M"ps# @M"ps i FM"psL
0anale 66 canale 92%:# 63 canale 9'2:L
0onfi!uraia de principiu a platformei folosite pentru implementarea practic a
proiectului.
Pagina 12 din 148
/i!ura F.6 0onfi!uraia de principiu a platformei folosite pentru implementarea
practic a proiectului.
(ealizarea practic:
1. Setarea parametrilor de lucru ai routerului
,a cum se poate o"serva i din confi!uraia de principiu a sc1emei de funcionare
pentru interconectarea routerului cu laptopul client din reea am folosit un adaptor )ireless
$('-D-'$ $'*-;68&0 care a fost confi!urat pe calculatorul client conform cu
instruciunile furnizate de driver-ul de instalare.
(outer-ul $('-D-'$ $'*-;38G(& a fost confi!urat conform cu )izard-ul implicit
furnizat de driver-ul aferent router-ului pe un &0 cu sistem de operare *indo)s A& care
ulterior va reprezenta i platforma pentru serverul (,D32% folosit pentru autentificarea de
nivel nalt a utilizatorilor.
,cest )izard este utilizat pentru setarea informaiilor primare cu privire la
caracteristicile router-ului cum sunt :
6 . parola administrator
8. time zone
conexiune +,- i server-ul DB0&. n cadrul acestui pas se seteaz automat 3&-ul
server-ului default este DD6@8.6FC.6.6 . $ot n cadrul acestui pas se seteaz server-ul DHC
care va furniza clien!ilor adrese " cuprinse ntr-un anumit interval server-ul DHC
put#nd furniza p#n la $%& de adrese ".
Pagina 124 din 148
cone'iunea "nternet. (n cadrul acestui pas alegem tipul de cone'iune pe care o
vom folosi pentru cone'iunea la )*+. utem alege
<"tain 3& automaticallE 9DB0& client: n cazul n care server-ul DB0& a fost setat s
administreze adresele 3& din reea aceast opiune va fi asi!urat de server-ul DB0& furnizat
implicit de router.
/ixed 3& ,ddress n cazul n care provider-ul de 3nternet asi!neaz o adres 3& fix #
vor fi introduse adresa 3& # masca de su"reea # 3&-ul !ate)aE i 3&-ul serverului D-% pentru
roterul "road"and
&&&o' cu adres 3& automat n cazul utilizrii unei conexiuni de tip &&&o' cu
ajutorul unui modem dial-ul sau xD%+ iar furnizorul de internet va oferi automat o adres 3&
i apoi un user name i o parol pentru a crea conexiunea.
&&&o' cu adres fix aceeai situaie ca n cazul precedent numai c pe l.n! user
name i pass)ord adresa 3& va fi presta"ilit .
&&$& 9point to point tunnelin! protocol: acest protocol este folosit n cazul n care se
implementeaz o soluie de tip M&- sau remote acces.
+8$& 9laEer 8 tunnelin! protocol: o versiune avansat a &&$& .
)ireless +,- connection acest pas este necesar pentru crearea unei reele *+,-. +a
crearea acestei reele va fi necesar sta"ilirea unui nume %%3D pentru reaeaua viitoare i
deasemeni un canal de comunicaie # date care tre"uie s fie aceleai pentru toate
dispozitivele )ireless din cadrul reelei nou create.
(estart
,cest )izard reprezint o metoda foarte simpl i foarte la ndem.na unui utilizator
o"inuit de a crea # cu ajutorul dispozitivelor potrivite# o reea fr fir. n acest moment pentru
muli utilizatori instalarea unei reele *+,- se oprete aici uurina confi!urrii lu.nd locul
lipsei totale de securizare a reelei. n momentul acesta router-ul va transmite datele sale de
identificare ctre toate dispozitivele )ireless din aria sa de acoperire # reteaua astfel creat
comport.ndu-se ca un teritoriu fr nici un fel de restricii.
n continuare vom urmri !radual metodele de securizare a unei reele fr fir aa cum
au fost prezentate n capitolul anterior urm.nd ca n final s furnizm o soluie de securizare a
reelei folosind o com"inaie ntre autentoficarea conform protocolului C08.6x ce folosete o
criptare *'& a datelor ve1iculate n cadrul reelei.
(eeaua astfel creat se afl n stadiul unu de securitate a unei reele# orice utilzator
put.nd avea acces la resursele reelei fr fir. ,stfel de reele sunt folosite de o"icei pentru
accesul la internet n cadrul campusurilo univeritare # pentru punctele de acces !ratuite unde
Pagina 12! din 148
securitate nu esti un deziderat principal ntruc.t se presupune c datele ve1iculate n reea nu
necesit protecie suplimentar.
n continuare vom prezenta facilitile furnizate de router pentru securizarea reelei
nou create.
6. 2n prim pas care poate fi fcut pentru a securiza reeaua nou creat este acela de a
dezactiva transmiterea de ctre router a semnalelor de tip "eacon prin care acesta furnizeaz
clienilor din aria sa de acoperire numele reelei dat de %%3D-ul implicit sta"ilit n sesiunea
precedent de personalizare a reelei. n cazul n care router-ul dispune de o opiune pentru
ascunderea identitii reelei 9%%3D:#aceast opiune tre"uie activat. De asemenea# tre"uie
modificat numele reelei# deoarece mai toate folosesc denumirea implicit. n locul acesteia
este de preferat o descriere care s nu nsemne nimic re-co!nosci"il# n nici un caz numele
proprii. Dac %%3D-ul este ascuns# 1ac4er-ul tre"uie s introduc numele reelei manual# ca i
n cazul parolelor. ,cest truc nu ne ofer ns si!uran a"solut# fiindc utilitare precum
-et)or4 %tum"ler descoper i reele ascunse.
&entru ilustrarea acestei msuri de securitate am confi!urat n cadrul domeniului de
confi!urare a router-ului un %%3D de forma 6EAN3;hiIF1rWv*d,JC iar funcia de S%%3D
Groadcast > a fost oprit din meniul cu setari ale reelei *+,-. 2n astfel de identificator al
reelei ajuta nu numai la protejarea %%3D-ului de atacuri de tip Grute-/orce # ci ofer i o
funcie de securitate important pro!rame !en *'& 0rac4 adun pac1etele transmise de
*+,- n scopul spar!erii codrii *'& .Dar# fiindc driverele *3-/i din +inux nu ntreprind
nici un fel de verificare a datelor prin sume de control # iar caracterele speciale din %%3D
9coninute de fiecare pac1et : nu sunt lizi"ile pentru pro!ram # pac1etele sunt declarate ca
fiind defecte i implicit respinse. 0u alte cuvinte pac1etele de date necodate transmise de
*+,- nu mai pot fi interceptate i sparte.
&entru conectarea clienilor reelei va tre"ui introdus manual numele reelei adic
6EAN3;hiIF1rWv*d,JC iar astfel reeaua va fi recunoscut imediat ce clientul se afl n
aria de acoperire a reelei.
8. ,a cum am precizat anterior o reea care doar are dezactivat funcia de %%3D
"roadcast este cu si!uran suscepti"il unor atacuri de tip M3$M ntruc.t un acces
neautorizat poate fi realizat foarte simplu prin folosirea unei interfee de reaea ce poate lucra
n modul promiscous i care poate folosi -et)or4 %tum"ler pentru a intercepta traficul din
reea i implicit i numele %%3D al reealei. Din aceast cauz o msur suplimentar de
securitate oferit de majoritatea dispozitivelor fr fir este activarea autentificrii *'&.
Pagina 12" din 148
(outer-ul dispune de posi"ilitatea setrii unei autentificri *'& fie de tip <pen
%Estem fie de tip c1eie partajat. <pen sistem permite accesul desc1is via reea )ireless la
router ns tipul de autentificare cu c1eie partajat se "azeaz pe o c1eie cunoscut de toi
utilizatorii din reea . (outer-ul permite setarea unei c1ei maxime de 68C de "ii n format fie
1eza zecimal fie n format ,%033. Deasemeni se pot seta un numr de ; c1ei *'& care vor
putea fi folosite pentru securizare reelei.
&ro"lema standardului *'& dat de vectorul de iniializare.%e recomandca acest
vector de iniializare s se repete pentru a nu fi interceptat. Din pcate# acest lucru nu este res-
pectat de toi productorii i nici nu prea exist referine despre cum se !enereaz un vector
de iniializare. De re!ul# n acest sens este utilizat un pseudo-!enerator de numere aleatoare.
0onsecina este c# mai devreme sau mai t.rziu# M3-ul ajun!e s se repete. 2n studiu realizat
de 2niversitatea Ger4leE spune c vectorul de iniializare se repet dup circa I.000 de
pac1ete de date transmise n reeaua )ireless. Dac 1ac4er-ul descoper dou pac1ete cu M3
identic# acesta poate descoperi c1eia *'&. &ro"lema cea mai important se pare c o
constituie faptul c pentru un atac asupra unei reele *+,- un ru 7voitor nu are nevoie de
soft)are complicat #pro!rame care pot spar!e *'& sunt disponi"ile de exemplu la adrese ca
)epcrac4.sourcefor!e.net sau airsnort.s1moo.com .
$otui aa cum am precizat mai devreme un element de securitate desuet aa cum este
*'& este mai "un dec.t nefolosirea aa ca este indicat utilizarea acestuia n com"inaie cu
alte metode de ntrire a securitii reelei.
Deasemenea router-ul dispune de autentificare *&, i *&,-&%K care vor fi
discutate ulterior fiind o soluie de securitate mult mai avansat dec.t simpla folosire a *'&.
3. (outer-ul ofer #ca i un !rad crescut de securitate# dou moduri de expediere a
datelor static sau dinamic. n cadrul rutrii statice pot fi sta"ilite parametrii de rutare a
datelor n cazul n care utilizatorul are o adres 3& static. Deasemeni este oferit i
posi"ilitatea unei rutri dinamice acest tip de rutare ncerc.nd s rezolve pro"lema unei rute
prin folosire unor ta"ele de rutare automate. (utarea adreselor poate fi folosit n com"inaie
cu o zon DMP pentru a direciona traficul din reea ctre aceast zon.
;. n opiunea de acces la facilitile ruterului putem utiliza mai multe ci de
restricionare a accesului la reeaua *+,-.
a:. /iltrarea M,0 aceast metod de filtrare a accesului poate fi folosit n conjuncie
cu orice alt sc1m de securitate. 'a adau! complexitate n ntreinere # printr-o list a
adreselor M,0 a clienilor care au drepturi de acces. $otui aceast soluie nu poate fi
considerat o msur suficint de a asi!ura securitate reelei ntruc.t c1iar i ruterul folosit n
Pagina 12# din 148
cadrul acestui proiect dispunde de posi"ilitatea clonrii adresei M,0 astfel c o astfel de
msur poate fi uor compromis.
":. /iltrarea accesului pe "aza protocolului folosit de client . < list de profile sunt
disponi"ile i conform cu caracteristicile acestor protocoale pot fi restrricionate anumite
porturi de acces la 3nternet.
c:. 3& filter- cu ajutorul acestei opiuni poate fi restricionat acesul adreselor 3& aflate
ntr-un anumit interval.
d:. Mirtual %erver cu ajutorul acestei setri putem direciona accesul ctre un server
local din cadrul reelei.
e:. DMP 7 zon tampon pentru clienii care nu pot avea acces la internet prin
intermediul ruterului datorit elementelor de securitate pe care nu le ndeplines .0alculatorul
a crei adres 3& este folosit pentru a indica aceast zon DMP va oferi acces nelimitat la
3nternet. De o"icei acest tip de zone de acces la 3nternet sunt folosite n cadrul 1ot spoturilor
!ratuite n care informaiile ve1iculate nu sunt importante.
f:./ire)all (ule
,ceste setari definesc toate facilitile puse la dispoziia unui administrator de a
re!lementa anumite permisiuni vala"ile utilizatorilor reelei sau celor care doresc s acceseze
reeaua *+,-. 0u ajutorul acestor opiuni sunt posi"ile implementarea sc1emelor de
securitate prezentate n ta"elul de mai sus care nu au nevoie ca metod de autentificare
folosirea unui server (,D32% i implicit a unei autentificri conform standardului ',&.
&entru o securitate crescut a mediului de transmisie i implicit a datelor ve1iculate n reea
vom prezenta n r.ndurile ce urmeaz o soluie de securitate sporit.
%erver (,D32% cu protocol ',&
Desfurarea procesului de autentificare # autorizare i actualizare a contului unui
utilizator )ireless n cadrul reelei se va desfura conform cu dialo!ul standard de autorizare
la un server (,D32% iar participanii la dialo!ul de autentificare tre"uie s respecte aceleai
caracteristici de securitate .
6.%c1ema de principiu a montajului
Pagina 128 din 148
/i!ura F.8 %c1ema de principiu a montajului
8.&rotocolul de comunicaie
%erverul de autentificare poate fi n acelai loc cu autentificatorul sau cele dou pot fi
n locuridiferite i s se acceseze reciproc prin comunicaie de la distan. Multe dintre
funciile de autentificare sunt implementate la client i la serverul de autentificare . ,cest
lucru este "enefic pentru punctele de acces# deoarece ele au o memorie mic i putere de
procesare redus.
Dialo!ul de autorizare standard const n
,& 9punctele de acces: cere %$,9staiile: s se identidifice folosind ',&<+ 9',&
over +,-:.
%$, i trimite identitatea la ,&
,& trimite mai departe identitatea %$, la ,% 9server de autentificare:# prin
intermediul ',&
ntre ,% i %$, are loc un dialo! de autentificare
Dac dialo!ul este terminat cu success # %$, i ,% partajeaz c1eie de sesiune
,% trimite c1eia de sesiune la ,& ntr-un atri"ut (,D32% precum i o parte a
mesajului de acceptare a (,D32%
0lientul )ireless ncearc s se autentifice la reea prin intermediul ruterului # dar
naintea autentificrii este desc1is numai un port necontrolat ce va permite doar mesaje de
Pagina 12$ din 148
0lient
3nterfaa 1ostului
&ort acces la
reea9,& # s)itc1:
%erver ,,, 9orice
server ',& de
o"icei (,D32%:
%erver autentificare
Mesaje ',&
ncapsulate tipic
pentru (,D32%
,utentificatorul
6@8.6FC.6.600
',&<+
6@8.6FC.6.6
6@8#6FC#6##666
6
autentificare de tip ',&<+. ,ceste mesaje vor fi trimise ctre serverul (,D32% care va
verifica credenialele clientului prin analiza conturilor din cadrul ,ctive DirectorE.
&entru realizarea practic am folosit confi!uraia precedent pe care am ilustrat
posi"ilitile de securizare ale reelei doar cu ajutorul funciilor oferite de ruter iar n plus
pentru realizarea confi!uraiei de lucru pe calculatorul pe care am instalat ruterul am folosit
*indo)s %erver 8003 pentru a confi!ura un server (,D32% ce va servi ca autoritate de
autentificare a clienilor )ireless.
3. 'lemente soft)are utilizate
*indo)s %tandard %erver 8003
*indo)s %tandard %erver 8003 este un sistem de operare n reea si!ur care ofer
rapid i uor soluii pentru firme. ,cest server flexi"il este ale!erea ideal pentru nevoile
zilnice ale firmelor de toate mrimile.
accept partajarea fiierelor i imprimantelor.
ofer conectivitate si!ur la 3nternet.
permite desfurarea centralizat a aplicaiilor din spaiul de lucru.
ofer posi"ilitatea unei "o!ate cola"orri ntre an!ajai# parteneri i
clieni
accept multiprocesarea simetric cu dou ci i p.n la ; !i!aoctei
9?<: de memorie.
3,%
3,% 93nternet ,ut1entification %ervice: este implementarea Microsoft a unui server
(,D32% 9(emote Dial 7 in 2ser %ervice: . 0a i server (,D32% # 3,% realizeaz operaiuni
centralizate de autentificare# autorizare i nre!istrare pentru mai multe tipuri de conexiuni la
reea aa cum sunt reelele M&- sau *+, # conexiuni dial-up# remote acces sau conexiuni de
tip ruter-ruter.
,ctive DirectorE
,ctive DirectorE este o implementare a serviciilor de directoare +D,&# folosit de
Microsoft n cadrul sistemelor de operare *indo)s. ,stfel 5,ctive DirectorE5 pune la
dispoziia administratorilor un mediu flexi"il cu efect !lo"al pentru asi!narea permisiunilor#
instalarea pro!ramelor# nnoirea securitii. $oate aceste operaiuni pot fi aplicate at.t la
reele mici# c.t i la reele complexe.
,ctive DirectorE 9,D: - este o ierar1ie de c.teva o"iecte# unde o"iectele se mpart n
trei cate!orii resurse 9ex imprimant:# servicii 9ex pota electronic:# resurse umane 9ex
Pagina 1% din 148
utilizatori# !rupe de utilizatori:. %copul te1nolo!iei 5,ctive DirectorE5 este de a pune la
dispoziie informaii despre aceste o"iecte# or!anizarea o"iectelor# controlul accesului# setarea
securitii..
;. 3mplementare practic
a. 3mplementarea autentificatorului
+a nivelul ruterului am redirecionat tot traficul ce ncerca s acceseze resursele
reelei ctre serverul (,D32% . &entru autentificarea clienilor am folosit *i-/i protected
,cces cu $K3& toate cererile de accesare a reelei fiind redirecionate ctre serverul (,D32%
indicat prin adresa 6@8.6FC.6.6666C68. Deasemeni pentru comunicaia dintre ruter-ul
)ireless i server este necesar sta"ilirea unei c1ei secrete de comunicare.
/i!ura F.3 3mplementare ruter
".3mplementarea serverului
%erverul va fi instalat pe un sistem de operare *indo)s %erver 8003 indicat prin
adresa int DD6@8.6FC.6.666 iar portul de comunicaie 6C68 va fi desc1is pentru comunicaiile
de tip ',&-(,D32% dintre suplicant i serverul (,D32%.
Pagina 11 din 148
/i!ure F.; 0reare client 3,%
Mom identifica ruterul folosit ca i client al serverului de autentificare pentru care
vom forma politici de acces la disstana la domeniu# politici ce vor restriciona accesul n
funcie de caracteristicile clienilor adresa 3& a clientului # restricii n funcie de momentul
data i ora accesrii # tipul de conexiune # tipul de protocol folosit pentru securizarea
accesului sau dup !rupul *indo)s creia aparine clientul.
/i!ura F.I &olitici de securitate
&entru clientul anterior format am creeat restricii remote ce privesc tipul de
autentificare folosit. ,stfel vom folosi pentru autentificare M%-0B,& v8 care este un
protocol al Microsoft de tip 01allen!e 71ands1a4e aut1entification protocol .M%-0B,& v8
Pagina 12 din 148
este o versiune m"untit de M%-0B,&# foarte utilizat de sistemele *indo)s i cu suport
cripto!rafic mai "un dec.t protocoalele anterioare. 'ste recomandat atunci c.nd nu poate fi
folosit ',&-$+% deoarece aduce ca i element de securitate suplimentar autentificarea
mutual. 'ste suportat de clienii care ruleaz sistem de operare *indo)s @C %econd 'dition
sau mai nou.&rotocolul n desfurarea sa respect urmtorii pasi
autentificatorul 9serverul 3,%: trimite un rspuns de ncercare ctre clientul ce dorete
s se conecteze remote care este reprezentat printr-un identificator de sesiune i un pac1et de
date ar"itrar.
clientul ce dorete s se conecteze remote trimite un rspuns ce va cuprinde user
nameDun pac1et ar"itrar de date de tip c1allen!eDo criptare de tip one 7)aE a pac1etului de
date primit .
autentificatorul verific rspunsul clientului i rspunde furniz.nd un rspuns ce
indic reuita sau eecul sesiuni de conectare# un rspuns de autentificare "azat pe pac1etul
de date trimis de suplicant.
clientul verific validitatea rspunsului de autentificare iar dac aceasta e corect
folosete conexiunea.
&entru a putea !enera un raport corespunztor cu privire la calitatea clienilor ce
doresc s acceseze reeaua am creat n cadrul ,ctive DirectorE un !rup de utilizatori ce va
conine toti clienii )ireless ce se vor conecta la reea# asupra fiecruia sta"ilind condiii de
ne!ociere a autentificrii. Mom folosi pentru autentificare protocolul &',& . %pre deose"ire
de ',&-$+% # acest protocol se potrivete mai mult reelelor care au nevoie de o autentificare
puternic ns fr a utiliza cerificate mutuale.
&entru ca# un utilizator s se poat conecta de la distan# este o"li!atoriu ca el s ai"
un cont de utilizator n cadrul domeniului sau !rupului de lucru !estionat de server. n cazul
nostru exist un !rup de lucru n cadrul cruia creem un !rup de utilizatori >)ireless>. Mai
departe# n cadrul !rupului de utilizatori creem utilizatorii care se vor conecta de la distan#
practic clienii *+,-.,stfel vom avea urmtorii utilizatori# cu nume !enerice S?eor!e># S
Daniel> # S,lina> iar !rupul de utilizatori poate fi extins n funcie de cerine. +a creearea
utilizatorilor# se vor crea practic conturi de acces n reea. ,ceste conturi se vor conforma
politicilor de securitate sta"ilite n *indo)s %erver 8003. 'ste o autentificare "azat pe nume
de utilizator i parol.
&entru fiecare utilizator tre"uiesc setate anumite proprietai# pentru a putea avea acces
de la distan. ,sfel# la fiecare cont de utilizator se va mer!e la S&roprietai> i apoi la
"utonul SDial-in>.
Pagina 1 din 148
/i!ura F.F Drepturi acces client
,ici putem sta"ili dac utilizatorul respectiv are sau nu drept s se conecteze la
distan. 0a o msur suplimentar de securitate# se poate seta opiunea SMerifE 0aller 3D>#
adic s se permit accesul# numai daca se conecteaz de la un numr de telefon predefinit. n
cazul nostru# vom seta ca la toi utilizatorii s fie permis accesul pe "aza politicii de securitate
a serverului de acces la distan9S0ontrol access t1rou!1 (emote ,ccess &olicE>:.,ceasta va
fi confi!urat ulterior.
c.3mplementarea suplicanilor
&entru fiecare client n parte vom sta"ili acessul de tip remote folosin ca i metod de
autentificare C08.6x &',& cu protocolul M%-0B,& v8. . +a proprietaile conexiunii# putem
seta ce tip de conexiune se va iniia 9&&$& sau +8$&:# nivelul de criptare pe care l dorim#
metoda de autentificare folosit 9M%-0B,&.v8# ',&:# modul de autentificare 9smart-card#
certificate di!itale:.
&',& este o metod de autentificare ce protejeaz ne!ocierea de tip ',&# ncript.nd
coninutul cu $+%. 'ste cel mai frecvent folosit n reelele )ireless C08.66. &',& poate fi
folosit n conjuncie cu ',&-M%-0B,&-v8# care adau! autentificare mutual aa cum am
o"servat din detalierea pailor pe care i urmeaz procesul de autentificare. %au ',&-$+%#
care este cea mai puternic i necesit o infrastructur de c1ei pu"lice &K3.
n funcie de politica de securitate pe care am sta"ilit-o pe server# vom seta
conexiunea n felul urmtor
-tip tunel &&$&
-metoda de autentificare &',& n conjunie cu M%-0B,&.v8
Pagina 14 din 148
-puterea de criptare %tron! encrEption 68C-"it

/i!ura F.F 3mplemetare suplicani
Pagina 1! din 148
n momentul conectrii la reea dup redirecionarea accesului ctre server vom oferi
credenialele proprii care vor fi comparate cu cele introduse pentru fiecare client n ,ctive
DirectorE accesul la reea i implicit la resursele reelei fiind permis dec.t dup confruntarea
credenialeleor introduse de utilizator cu cele stocate n cadrul !rupului creat.
/i!ura F.J 0onectare clieni
,utentificarea se va face pe "aza conturilor sta"ilite n *indo)s %erver 8003. n
momentul de fa# clienii pot s trimit date n reea i s acceseze resursele de pe
calculatoarele din )lan. 0.t timp sunt n reeaua pu"lic# datele sunt protejate de utilizatorii
neautorizai at.t prin criptare c.t i prin Stunelare>.
J.0oncluzii
(eelele fr fir furnizeaz noi provocri la adresa securitii i administratorilor# care
nu au fost nt.lnite n reelele ca"late. 0ele mai "une practici dicteaz o structurare c.t mai
adecvat a nivelelor pentru securitatea reelei. ,r tre"ui luat n considerare confi!urarea
punctelor de acces# fire)all-urilor i a M&--urilor. %trate!iile de securitate ar tre"ui definite
pentru un nivel accepta"il al performanei. %istemul de detectare a intruilor n reelele fr
fir ar tre"ui s elimine pro"lemele de securitate i s asi!ure c ceea ce credem c este
securizat este# de fapt# aa.
Dup toate elementele de funcionalitile de securitate i opiunile menionate p.n
acum n aceast lucrare# anumite puncte de confi!urare tre"uie avute n vedere n cadrul
proiectrii reelelor fr fir de ctre administratorii unor astfel de reele . &e l.n! metodele
Pagina 1" din 148
de securitate mai sus detaliate sunt necesare anumite setri de si!uran care s funcioneze ca
o prim "arier n faa posi"ililor atacatori.
%u!estii pentru securitate
6.%c1im"ai c1eile *'& implicite pentru fiecare punct de acces nou.
8./olosii cea mai lun! c1eie *'& suportat de ctre ,& i de ctre clieni. /olosii
c1ei *'& care nu pot fi !1icite uor.
3.,le!ei c1ei partajate !reu de !1icit 9dac se folosesc:.
;.%c1im"ai parola implicit pentru toate ,&-urile i s)itc1-urile *+,-. /olosii
te1nici puternice de selectare a parolei.
I.0entralizai parolele punctelor de acces i s)itc1-urilor *+,-. /olosii
autentificarea ,,,# dac e suportat.
F./olosii %%+# %-M& v3 i %%B pentru a administra toate punctele de acces fr fir i
s)itc1-urile *+,-.
J.-umele %%3D tre"uie ales cu !rij. -u se recomand folosirea numelor companiei#
ci a unor nume unice# care nu atra! atenia.
C./olosii ,&-uri separate pentru reelele9domeniile: destinate oaspeilor sau clienilor
i conectai-le direct la DMP sau 'xtranet.
@.Dac punctele de acces permit filtrarea porturilor# folosii aceast funciune pentru a
prescana traficul nedorit.
60.'xportai toate lo!-urile de la punctele de acces i s)itc1-urile *+,- ntr-un
server %Eslo! extern.
66.Dac driverul -30 al clientului permite protejarea parolei# activai opiunea pentru
a proteja setrile driverului fr fir.
%u!estii pentru punctele de acces 9,&: radio
6.&oziionai punctele de acces acolo unde sunt localizai utilizatorii fr fir. ,le!ei
zone fr o"strucii pentru amplasarea punctelor de acces 9tavanul este de o"icei cea mai
"un ale!ere:.
8.%etai putere joas pentru punctele de acces care sunt apropiate de pereii exteriori
pentru a preveni scur!erea semnalului n afara cldirii.
3.Dac punctele de acces suport antene omni-direcionale cu setri diverse# setai
modele radio pentru a evita# pe c.t posi"il# transmiterea semnalului n afara cldirilor.
Pagina 1# din 148
;.'fectuai studii i expertize ale locaiei cu sniffere fr fir pentru a testa modelele de
scur!ere a semnalului n afara cldirii i corectarea acestora.
I.%electai canalele ,& care sunt deprtate ntre ele# pentu a evita interferena.
F.&oziionai mai multe puncte de acces n locaii cu muli utilizatori. %etai niveluri
joase ale puterii# dac punctele de acces sunt apropiate# pentru a reduce interferena. /olosii
ntotdeauna cel mai sczut nivel de putere necesar pentru a furniza o acoperire adecvat.
J.Dac se folosesc ,&-uri C08.66 !# nlocuii plcile -30 C08.66" cu plci C08.66!.
<rice soluie de securitate n cadrul unei reele )ireless este "inevenit mai ales
datorit mediului foarte insta"il de transmitere a datelor. $otui msurile de securitate
adoptate n cadrul reelei tre"uie s ii justifice rolul n primul r.nd n comparaie cu !radul
de securitate cerut de datele ve1iculate n reeaua respectiv. 2n studiu atent asupra
specificului reelei tre"uie realizat naintea conceperii acesteia iar metodele de criptare a
datelor i de securizare a accesului la reea s reflecte ntru totul importana comunicaiei i
implicit a participanilor la reea i a datelor ve1iculate.
,-'A'
,-'A, 6
Dicionar
Pagina 18 din 148
,00'%% &<3-$
Dispozitiv ce se conecteaz la un 1u" sau server si asi!ur accesul )ireless al
utilizatorilor la reea. 'ste un concept similar cu celulele utilizate n telefonia mo"il.
G,0KG<-'
< poriune a reelei care suport traficul cel mai intens. 'ste sistemul principal de
ca"luri care asi!ur comunicaia intre punctele de distri"uie.
G+2'$<<$B
%tandard pentru &,- 9personal area net)or4:. 'ste folosit pentru comunicare
)ireless casnic sau la "irou si folosete "anda de 8.;?Bz la J80K"ps# (aza de aciune este
de aproximativ @.6-6; metri. /olosete "anda de 8.;?Bz la J80K"s aproximativ @ metri. n
!eneral# telefoanele mo"ile folosesc acest tip note"oo4-uri. 3nterferenele cu alte nu este
ntrerupt. -u necesit o linie dreapt sau fr o"stacole ntre senzori# iar cu ajutorul unor
amplificatoare speciale distana de comunicare poate fi ridicata la 600 de metri.
G(<,DG,-D *3('+'%%
Deoarece viteza comunicaiilor n cazul folosirii ca"lurilor# vitezele de peste 53M"ps
se pot considera "road"and .
00M& -------90ounter Mode )it1 0ip1er Gloc4 01ainin! Messa!e ,ut1entication
0ode &rotocol: protocol de criptare a standardului 3''' C08.66i creat pentru a nlocui #
mpreun cu $K3&# un protocol nesi!ur aa cum e *'&.
0DM,
90ode Division Multiple ,ccesso Metoda de transmitere simultan a mai multor
semnale folosind o poriune comun din spectru. 0ele mai nt.lnite aplicaii ale te1nolo!iei
0DM, se !sesc n telefonia mo"il [2,+0<MM ce opereaz in "anda de C00MBz.
$elefonele mo"ile 0DM, sun recunoscute pentru calitatea foarte "un a recepiei.
D'0$
9Di!ital 'nnanced 0ordless $elecommunications:. %tandard pentru telefonia fr fir.
%e "azeaz pe $DM,# lucreaz n "anda de 6.C si 6#@?Bz# utilizeaz DEnamic 01annel
%election DEnamic 01annel ,llocation 9D0%DD0,: pentru a realiza conectarea mai multor
utilizatori pe aceeai frecven. D'0$ asi!ur un transfer de I884"ps# iar n viitor se ateapt
Pagina 1$ din 148
o cretere de p.n la 8M"ps. 'ste utilizat in special n 'uropa pentru realizarea unor reele
interne de mici dimensiuni. ,tlas $elecom (om.nia a implementat o astfel de reea la nivelul
oraului <radea 9denumit i telefonie cu mo"ilitate limitat:.
DB0& 9DEnamic Bost 0onfi!uration &rotocol: ---- este un set de re!uli folosite de
dispozitivele de comunicaie aa cum sunt caclulatoarele # routerele sau adaptoarele de reea
pentru a permite unui dispozitiv s o"in o adres 3& de la un server care are o list de adrese
disponi"ile pentru a fi distri"uite.
',&-----'xtensi"le ,ut1entication &rotocol# or ',&# este un protocol universal de
autentificare folosit de o"icei n reelele )ireless sau conexiuni de tip point-to 7point.
Dealtfel ',& nu este limitat doar la reelele )ireless put.nd fi utilizat deopotriv i pentru
autentificarea n cadrul reelelor ca"late. (ecent # *&, i *&,8 au adoptat oficial cinci
tipuri de ',& ca mecanisme oficiale de autentificare.
'MI
9'n1anced Messa!e %ervice: 'xtensie a protocolului %M% ce adau! posi"ilitatea de
trimitere a mesajelor ce conin text formatat# animaii si tonuri de apel. ,cest te1nolo!ie a
fost introdus n vara anului 8008 de ,lcatel# 'ricsson# Motorola i %iemens.
/irm)are------ soft)are inclus n cadrul unui dispoziticv 1ard)are. 'ste de o"icei
furnizat pe memorii flas1 (<M sau ca o ima!ine "inar care poate fi ncrcat pe un
dispozitiv 1ard)are. < caracteristic a unui firm)are este acela c poate fi adu!at ulterior
fa"ricrii propriu zise # fie electronic #fie nlocuind un dispozitiv de stocare aa cum ar fi un
c1ip de memorie.
?&(%
9?eneral &ac4et (adio %ervice: $e1nolo!ie care permite sistemului de comunicaie
mo"il ?%M s suporte pac1ete de date. ?&(% ofer un sc1im" continuu de pac1ete de date
transfer de date sau navi!are )e".
Pagina 14% din 148
?%M
nc din anii XC0 sistemul de telefonie mo"ila a cunoscut o dezvoltare rapid n 'uropa
9in special in %candinavia si Marea Gritanie dar i in ?ermania si /rana:. 3n 6@C8 0onference
of 'uropean &osts and $ele!rap1s 90'&$: a format un !rup de studio ?roupe %pecial Mo"ile
9?%M:. ,stzi standardele ?%M au fost adoptate pe toate continentele i acronimele au o
nou semnificaie ?lo"al %Estem for Mo"ile 0ommunications.
BDM+
Bande1eld Device Mar4up +an!ua!e
< versiune %peciala a formatului B$M+ creeat special pentru dispozitive mo"ile
9telefoane# &D,-uri# pa!ere: n scopul o"inerii de informaii de pe pa!inile )e". BDM+ a
fost ela"orat de &1one.com# iar ,$Z$ )ireless a lansat primul serviciu BDM+ n 6@@F.
3-M<D'
%erviciu ce ofer acces la 3nternet 9)e" "ro)sin! si e-mail: pentru telefoanele mo"ile.
$axarea se realizeaz pentru traficul de date i nu in funcie de timpul conectrii.
3'''
'ste o asociaie te1nic non-profit. ,re 3JJ.000 mem"ri in 6I0 de ri. -umele ntre!
este 3nstitute of 'lectrical and 'lectronics 'n!ineers# 3nc. 'ste un lider in computere#
"iomedicin. si telecomunicaii p.n la ener!ie electric si aeronautic. &roduce 30Y din
pu"licaiile te1nice din domeniul in!ineriei electronice# calculatoarelor si controlul
te1nolo!iei. Deine @00 de standarde active si inc J00 in dezvoltare.
3''' C08.6F,
%pecificaii pentru reele )ireless metropolitane in domeniul 8-66?Bz.
3(D,
%tandardele acestei te1nolo!ii sunt !estionate de 3nfrared Data ,ssociation#
or!anizaie fondat n 6@@3. (ata de transfer este de doar 66I.84"ps 91alf-duptex:# iar pentru
realizarea conexiunii tre"uie s se asi!ure o linie dreapt i fr o"stacole ntre senzorii 3rD,.
Pagina 141 din 148
M,-'$ ------ , mo"ile ad-1oc net)or4 9M,-et:
'ste un tip de reea ad-1oc # o reea care se confi!ureaz sin!ur format din routere
mo"ile 9cu 1ost-urile asociate: conectate prin le!turi )ireless . (outerele i modific
poziionarea ar"itrar astfel nc.t topolo!ia reealei se poate modifica rapid i imprevizi"il n
acelai timp. S< reea M,-'$ poate fi definit ca o reea de noduri 9calculatoare: format
prin poziionarea ar"itrar a acestora fr a avea o infrastructur predefinit. >
M30 9Messa!e 3nte!ritE 01ec4:----este o parte a unui plan de lucru asupra
standardului C08.66i. Messa!e 3nte!ritE 01ec4 reprezint un c.mp adiional de C "ii care se
!sete ntre partea de data a unui cadru C08.66 i vectorul de inte!ritate 930M: reprezentat
printr-unc.mp de ; "ii.
MG&%
M"ps 9Me!a"its &er %econd: indic numrul de !rupuri de 6000 "ii de date care se
transmit prin reea. 0u ajutorul acestor valori se aproximeaz =vitezaX reelei.
Messa!e Di!est I 9MDI:----- este o funcie cripto!rafic de tip 1as1 cu o valoare 1as1
de 68C de "ii. 0a i stanadard al 3nternet # MDIa fost folosit n cadrul unor aplicaii de
securitate fiind folosit cu predilecie pentru a verifica inte!riatatea fiierelor. < funcie 1as1
de tip MDI este de o"icei un numr 1exazecimal de 38 de caractere.
MM%
9Multimedia Messa!e %ervice $e1nolo!ie care permite sc1im"ul de fiiere !rafice#
video sau audio# folosind telefonul mo"il. &rotocolul MM% este compati"il n urm cu %M%
i 'M%.
&B<$< M'%%,?3-?
$e1nolo!ia de foto!rafiere cu telefonul mo"il si trimiterea ei ctre un alt telefon sau
ctre o adres de email. Dac cel care primete foto!rafia nu are un mo"il capa"il s redea
ima!ini acesta este ndrumat ctre un )e"-site unde o poate viziona# folosind calculatorul. n
!eneral telefoanele care pot foto!rafia au i opiunea de nre!istrare audio.
(,D32%---(emote ,ut1entication Dial 3n 2ser %ervice 9(,D32%: este un protocol
de tip ,,, 9aut1entication# aut1orization and accountin!: folosit pentru accesul la reea sau
Pagina 142 din 148
ce privete mo"ilitatea unei adrese 3&. 'ste proiectat s lucreze at.t n situaii locale c.t i
situaii de roamin!.
%B, 9%ecure Bas1 ,!orit1m:------
%M%
9%1ort Messa!e %ervice:
%erviciu care permite sc1im"ul de mesaje text ntre telefoanele mo"ile. $extul poate
conine ntre 6;0 si 6F0 caractere. ,ceast te1nolo!ie a fost introdusa n sistemele ?%M i a
fost imediat adoptat i de celelalte reele di!itale de comunicaii mo"ile. %imilar cu e-mail-
ul# mesajele %M% sunt trimise mai nt.i la centrul %M% pe un canal separat de cel de voce: de
unde sunt tre"uia s recepioneze mesajul nu este n zona de acoperire sau are telefonul nc1is
atunci centrul %M% va ncerca ulterior retrimiterea %M%-ului.
2D& 92ser Data!ram &rotocol:---- protocol de "az din suita protocoalelor folosite n
3nternet. /olosind 2D& calculatoarele dintr-o reea pot trimite mesaje numite data!rame .
,cronimul 2D& reprezint 2niversal Data!ram &rotocol sau 2nrelia"le Data!ram &rotocol.
M&----virtual private net)or4 9M&-: este o reea de comunicaie privat folosit de
o"icei de or!anizaii i companii pentru a comunica date confideniale av.nd ca suport o reea
pu"lic.$raficul M&- poate fi purtat de o infrastructur pu"lic folosind protocoale specifice
reelei sau cu ajutorul unei reele private ce ofer un %+, 9%ervice +evel ,!reement: ntr
furnizorul de serviciu M&- i client.
*,&
*,& 9*ireless ,ccess &rotocol: este un protocol de comunicare prin intermediul
cruia se ofer date din 3nternet telefoanelor mo"ile ce au implementat aceast facilitate.
(adio transmisiuni de date intre telefoane# calculatoare personale# servere# staii
!rafice sau alte dispozitive fr a se utiliza ca"luri
*,(D(3M3-?
Pagina 14 din 148
*ardrivin! presupune cutarea activ de reele )ireless .
*3-/3
*i-/i 9*ireless /idelitE: este un alt nume pentru standardul )ireless C08.66". *i-/i
,lliance este o asociaie non-profit format n 6@@@ cu scopul de a certifica
interopera"ilitatea ec1ipamentelor )ireless +,- "azate pe specificaiile 3''' C08.66. *i-/i
,lliance are n prezent 6C3 companii afiliate si# din martie 8000# F@C de produse au primit
certificarea *i-/ip.
*3-
*3- 9*ireless 3ntelli!ent -et)or4: reprezint informaia si sistemul de control
pentru reeaua de telefonie mo"il. 0uprinde infrastructura de procesare a tranzaciilor pentru
sistemele )ireless. 'ste cunoscut si su" denumirea de 6I-;6 si ,-%3-;6.
*3('+'%% G(3D?'
'c1ipament utilizat pentru a primi i transmite date pe frecvene radio intre dou
reele locale.
*3('+'%% -'$*<(K3-?
$ransmisiuni de date ntre calculatoare personale# servere# staii !rafice sau alte
dispozitive de reea fr a utiliza ca"luri de date.
*3('+'%% ?,$'*,W
Dispozitiv utilizat pentru a oferi acces mai multor dispozitive )ireless la o sin!ur
conexiune .
*3('+'%% &<($,+
2n site )e" compati"il cu aparatele telefonice mo"ile inteli!ente 9smart p1ones:.
*3('+'%% M<D'M
Dispozitiv format dintr-un modem si o anten ce recepioneaz date. n !eneral acest
tip de ec1ipament suport a serie de te1nolo!ii cum ar fi 0D&D# ,(D3%# Mo"itex# (icoc1et#
3''' C08.66 si <pen,ir i sunt destinate utilizrii impreun cu note"oo4-uri sau &D,.
Pagina 144 din 148
*3%&(
$e1nolo!ie destinat realizrii de funcii pentru )ireless +,- asemntoare celor
folosite n celulele pentru telefonia mo"il.
*&,--- *3-/3 &rotected ,ccess 9*&,: este o variant timpurie a standardului de
securitate C08.66i care a fost dezvoltat de *i/i ,lliance cu scopul de a nlocui *'&.
,l!oritmul de criptare $K3& a fost dezvoltat pentru *&, pentru a furniza m"untiri
vec1iului standard *'& care poate fi considerat ca pe un element de firrm)are a standardului
C08.66. *&, deasemeni ofer suport opional pentru al!oritmul ,'%-00M& care reprezint
al!oritmul preferat n cadrul C08.66i sau *&,8.
*&,8- reprezint o versiune m"untit a standardului final C08.66i. &rimul avantaj
adus de *&,8 este includerea al!oritmului ,'%-00M& ca un al!oritm de "az a
standardului. ,t.t *&, c.t i *&,8 suport autentificarea de tip ',& folosind servere
(,D32% sau elemente de securitate "azate pe &%K 9pres1ared 4eE: .
*&,-
*&,- 9*ireless &ersonal ,rea -et)or4: reprezint conceptul de interconectare
)ireless a unor dispozitive ce afl la o distan de maxim 60 metri unele de celelalte.
*+3/
*+3/ 9*ireless +,- tnteropera"ilitE /orum: este o asociaie format cu scopul de a
certifica interopera"ilitateaec1ipamentelor )ireless cu cele mai importante standarde 9printre
care si <pen,ir# 3''' C08.66:.
Pagina 14! din 148
,-'A, 8
*ireless $ools
,erosol 1ttpDD))).stolens1oes.netDsnip1Daerosol.1tml
,irfart 1ttpDDairfart.sourcefor!e.netD
,irTac4 1ttpDDC08.66ninja.netDairjac4D
,irscannerMo"ile %niffer
1ttpDD))).airscanner.comDdo)nloadsDsnifferDsniffer.1tml
,ir%narf 1ttpDDairsnarf.s1moo.comD
,ir%nort 1ttpDDairsnort.s1moo.comD
,ir$raf 1ttpDD))).elixar.comDcorporateD1istorEDairtraf-
6.0D
,n)rap
1ttpDD))).securiteam.comDtoolsDF<00&80F03.1tml
,& Bopper 1ttpDDap1opper.sourcefor!e.netD
,& (adar 1ttpDDapradar.sourcefor!e.netD
,&1unter 1ttpDD))).mat1.ucla.eduD
YJ'jimcDmat1netadDdo)nload.1tml
,&%niff 1ttpDD)))."retmounet.comD,p%niffD
,&$ools 1ttpDD)infin!erprint.sourcefor!e.netDaptools.p1p
,sleap 1ttpDDasleap.sourcefor!e.netD
G%D-,ir$ools 1ttpDD))).dac1"0den.comDprojectsD"sd-airtools.1tml
0lassic%tum"ler 1ttpDD1omepa!e.mac.comDal4Dclassicstum"ler.1tml
DMP%-0arte 1ttpDD))).dmzs.comDtoolsDfilesD)ireless.p1tml
Dstum"ler 1ttpDD))).dac1"0den.comDprojectsDdstum"ler.1tml
D)eputils 1ttpDD))).dac1"0den.comDprojectsDd)eputils.1tml
't1ereal 1ttpDD))).et1ereal.comD
/a4e,& 1ttpDD)))."lac4alc1emE.toDprojectDfa4eapD
?psd 1ttpDDfres1meat.netDprojectsD!psdD
Botspotter 1ttpDD))).remote-exploit.or!Dcodes.1tml
i%tum"ler 1ttpDD))).istum"ler.netD
KisM,0
1ttpDD)))."inaervarianz.deDproje4teDpro!rammierenD4ismacD
Kismet 1ttpDD))).4ismet)ireless.netD
Pagina 14" din 148
+i"(adiate 1ttpDD))).pac4etfactorE.netDprojectsDli"radiateD
+i"*net 1ttpDD))).dac1"0den.comDusersD164ariD)or4D.0-
daED"atD
+ucentD<rinoco (e!istrE 'ncr.DDecr. 1ttpDD))).cNure.netDtools.jsp\idV3
Mac%tum"ler 1ttpDD))).macstum"ler.comD
Mini%tum"ler 1ttpDD))).netstum"ler.comDdo)nload.p1p\
opVvie)do)nloadZcidV6
Mo!net 1ttpDD))).node@@.or!DprojectsDmo!netD
-et01aser 1ttpDD)))."itsn"olts.comDnetc1aser.1tml
-et%tum"ler 1ttpDD))).netstum"ler.comDdo)nload.p1p\
opVvie)do)nloadZcidV6
&oc4et*arrior 1ttpDD))).poc4et)arrior.or!D DD&on!
&rism%tum"ler 1ttpDDprismstum"ler.sourcefor!e.netD
%%3Dsniff 1ttpDD)))."astard.netDYJ'4osD)ifiD
%tumMerter 1ttpDD))).sonar-securitE.comD DD$B0-+',&crac4er
Moid66 1ttpDD))).)lsec.netDvoid66D
*ar?lue 1ttpDDsourcefor!e.netDprojectsD)ar!lue
*ar+inux 1ttpDDsourcefor!e.netDprojectsD)arlinuxD
*avelan$ools 1 1ttpDDsourcefor!e.netDprojectsD)avelan-toolsD
*aveMon 1ttpDDfres1meat.netDprojectsD)avemonD
*ave%tum"ler 1ttpDD))).cNure.netDtools.jsp\idV0C
*ellen(eiter 1ttpDD))).)ellenreiter.netD DD*ep,ttac4
*'&0rac4 1ttpDDsourcefor!e.netDprojectsD)epcrac4D
*epla" 1ttpDDsourcefor!e.netDprojectsD)epla"
*'&*ed!ie 1ttpDDsourcefor!e.netDprojectsD)ep)ed!ieD
*'&a$ools9)epacrac4D)epadecrEpt: 1ttpDD))).lava.netD
YJ'ne)s1amD)lanD)epatools.t!z
*i-/ind 1ttpDDevvl.rusted1alo.netDprojectsD)i-findD
*ifi%canner 1ttpDD)ifiscanner.sourcefor!e.netD
*inDump 1ttpDD)indump.polito.itD
*i%tum"ler
1ttpDD))).!on!on.comDpersonsDise4iD)istum"lerDindex.1tml
*scan 1ttpDD))).cs.pdx.eduDresearc1D%M-D
Pagina 14# din 148
Pagina 148 din 148

Diploma

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Diploma

Încărcat de

Drepturi de autor:

Formate disponibile

Vizitati www.tocilar.ro ! Arhiva online cu diplome, cursuri si referate postate de utilizatori.

Securitatea retelelor wireless. Elemente de criptografie si protocoale

S-ar putea să vă placă și