Securitatea n reelele WI-FI

WI-FI (WIRELESS FIDELITY) este o tehnologie avansat de conectare ntr-o

reea WLAN, care utilizeaz undele radio i se bazeaz pe standardele de comunicaie
din familia IEEE 802.11.
IEEE (Institute of Electrical and Electronics Engineers)- Institutul Inginerilor
Electrotehniti i Electroniti
este cea mai mare organizaie de tehnicieni
profesioniti din lume, care sprijin evoluia tehnologiilor bazate pe electricitate.
802.11 este un standard de comunicaie n reelele locale, elaborat de IEEE n anul
1990 care n decursul timpului a fost mbuntit i a aprut n mai multe versiuni:
802.11 a aprut n 1997 (aceast standard astzi nu mai este utilizat).
802.11 a a aprut n anul 1999 ( nu este compatibil cu celelalte standarde
802.11 x, deoarece folosete alt band de frecven).
802.11 b a aprut n anul 1999.
802.11 g a aprut n anul 2003 (este cel mai utilizat standard la ora actual).
802.11 n a aprut n anul 2006, este n faz de proiect i urmeaz s fie
definitivat n anul 2010.

IEEE 802.11
Standardele din familia IEEE 802.11 descriu protocoalele de comunicaie aflate la
nivelul fizic (PHY) i la nivelul legturii de date (MAC) ale unei reelele locale
wireless. Stiva de protocoale IEEE 802.11 este prezentat n figura 1.1. Implementrile
IEEE 802.11 trebuie s primeasc pachetele de date de la protocoalele de la nivelul
reea i s se ocupe cu transmiterea lor evitnd eventualele coliziuni cu alte staii din
zon care emit. IEEE 802.11 este compatibil cu Ethernet-ul care este standardizat de
IEEE n seria de standarde 802.3.
NIVEL LEGTURI DE DATE
MAC

LLC (802.2)
DCF CSMA/CA MAC

PCF MAC
PLCP

NIVEL FIZIC
PHY

PMD
Infrarou

FHSS

DSSS

OFDM
()

HR-DSSS
(802.11 b)

802.11 n
MIMO

Figura 1.1 Stiva protocoalelor IEEE 802.11

WI-FI - NIVELUL FIZIC reprezint mediile de transmisie wireless a pachetelor de date
i include tehnologiile ce controleaz transmisia datelor. Nivelul fizic este format din
dou subnivele:
PMD (Physical medium dependent) Subnivelul dependent de mediul fizic
este echipat cu interfa de transmitere i recepie a pachetelor de date n
mediul wireless
PLCP (Physical layer convergence protocol) Subnivelul protocolului de
convergen a nivelului fizic este o interfa ctre subnivelul MAC (Media
Acces Control). Subnivelul MAC se ocup de modul cum primesc acces la date
calculatoarele din reea, reprezint conectivitatea fizic. Subnivelul PLCP
ndeplinete funcia de adaptare a capabilitilor subnivelului PMD la serviciul
care trebuie s-l ofere nivelul fizic. PLCP definete o metod de includere a
unitilor de date ale protocolului MAC ntr-un format de cadru adecvat pentru
transmiterea i recepia datelor de utilizator i a informaiei de administrare, ntre
dou sau mai multe staii, utiliznd subnivelul PMD.
Structura cadrelor PLCP este dependent de tipul transmisiei, care poate fi:
INFRAROU pachetele de date sunt transmise prin intermediul radiaiilor
electromagnetice din spectrul de lumin infrarou (vezi fia suport 1.3).
FHSS (Frequency-Hopping spread spectrum) Spectru mprtiat cu salturi
de frecven pachetele de date sunt transmise prin intermediul undelor radio
n banda de 2,4 GHz ISM (vezi fia support 1.2). Sunt utilizate 79 canale de
frecven, fiecare de 1 MHz. Pentru alocarea eficient a frecvenelor acestea se
schimb periodic (se sare de la o frecven la alta in mod aleator) n urma unor
numere pseudoaleatoare generate de staiile care comunic.
DSSS (Direct Sequence Spread Spectrum) Spectru mprtiat cu
frecven direct pachetele de date sunt transmise prin intermediul radio n
banda de 2,4 GHz ISM. Sunt utilizate 14 canale de frecven, fiecare de 5 MHz.
OFDM (Orthogonal Frequency Division Multiplexing) Multiplexare cu
divizare n frecvene ortogonale pachetele de date sunt transmise prin
intermediul undelor radio, simultan, n paralel, pe mai multe frecvene. Sunt
utilizate 52 de canale din care 48 de date i 4 de sincronizare. Pentru a nelege
sensul termenului de frecven ortogonal, se poate face o analogie ntre
transmiterea unui pachet de date i un jet de ap care curge print-un robinet(n

cazul tehnologiei FDM) sau printr-un du (n cazul tehnologiei OFDM). Aceast

tehnologie este folosit n banda de 5 GHz pentru 802.11 a i de 2,4 GHz pentru
802.11 g. Fiecare canal are 300 KHz, iar fiecare utillizator are disponibil 20 MHz.
Teoretic viteza de transmisie poate ajunge la 54 Mbps.
HR DSSS (High Rate - Direct Sequence Spread Spectrum) Spectru
mprtiat cu frecven direct i rat ridicat este asemntoare cu
tehnologia DSSS, dar cu o rat mai ridicat de transmitere a pachetelor n band
mai ngust. Viteza de transmisie ajunge pn la 11 Mbps.
802.11 g este un standard publicat n 2003 de IEEE, care combin banda
ngust a tehnologiei HR-DSSS cu tehnica de modulaie OFDM

802.11 n este un standard adoptat n 2006, care urmeaz a fi definitivat n

2010. Acesta utilizeaz tehnologia MIMO (Multiple Input Multiple Output), care
mparte un ir de date n mai multe iruri i le transmite simultan, cu vitez mare
i la distan mare, folosind mai multe antene. Dou iruri permit o vitez
teoretic de maxim 248 Mbps.
WI-FI - NIVELUL LEGTURII DE DATE reprezint tehnicile de acces ale staiilor la
mediul de transmisie wireless n standardul 802.11
DCF (Distributed Control Function) Funcie de Coordonare Distribuit
este tehnica prin care fiecare staie controleaz propriul acces la mediu,
constituind o reea wireless ad-hoc (vezi figura 1.2).
Realizarea controlului accesului la mediu se face prin tehnica CSMA/CA (Carrier
Sense Multiple Access/Collision Avoidance) Acces aleator cu evitarea
coliziunilor. Este o tehnic de control al accesului la mediu, care se utilizeaz n
reelele wireless pentru a evita coliziunile. n eter coliziunile sunt foarte greu de
detectat, de aceea pentru transmiterea datelor IEEE a recurs la aceast strategie de
control al accesului la mediu.
Staia care transmite cadre MAC ascult mediul de transmisie. Dac mediul este
ocupat, staia amn ncercarea de a transmite pn ce mediul devine liber. Dac
mediul este liber staia poate transmite . n primul moment al transmisiei staia trimite
un cadru RTS (Request To Send) i ateapt un rspuns la aceast cerere. Dac
destinatarul este liber, rspunde cu un CTS (Clear To Send). Dup primirea CTS
staia transmitoare trimite cadrul de date. Dup transmiterea cadrului se ateapt
o confirmarea pozitiv pentru a semnala recepia corect a cadrului. Dac nu se
semnaleaz confirmarea pozitiv, cadrul este retransmis. Dup o transmisie reuit
staia trebuie s aleag un interval de revenire aleatoriu i s decrementeze
controlul intervalului de revenire n timp ce mediul este liber.

Figura 1.2 Reea IBBS (Independent Basic Service Sets)

PCF (Point Coordination Function) Funcie de Coordonare Punctual
necesit o staie specializat numit punct de acces (AP) care gestioneaz
accesul la mediu (vezi figura 1.3). AP este punctul central al comunicaiei pentru
toate celelalte staii. Staiile nu pot comunica direct ntre ele, acestea vor
comunica doar cnd li se permite de ctre AP. Periodic, staia de baz (AP)
emite un cadru care conine setri privind conexiunea fizic i care cere staiilor
ce doresc s se conecteze s anune acest lucru.

Access Point

Figura 1.3 Infrastructura BSS (Basic Service Sets)

ESS (Extended Service Sets) cele dou funcii prezentate mai sus (PCF i
DCF), sunt utilizate simultan n aceeai reea. ESS este un set de dou sau mai
multe structuri BSS care lucreaz mpreun pentru a forma o singur reea (vezi
figura 1.4). Structurile BSS pot fi conectate cu ajutorul unei legturi uplink.
Interfaa uplink conecteaz structurile BSS la un sistem de distribuie, notat cu
DS. Legtura uplink ctre DS poate fi wired sau wireless.

Access Point 1

Sistem de distribuie
DS

Access Point 2

Figura 1.4 Infrastructur ESS

LLC (Logical Link Control) Nivelul logic al legturii este subnivelul care se ocup
cu controlul fluxului de date. IEEE a standardizat LLC sub numele de 802.2 cu mult
inainte de elaborarea standardului 802.11. Standardul IEEE 802.2 este utilizat n reelele
Ethernet. Folosirea de ctre IEEE 802.11 a subnivelului LLC are drept scop realizarea
unei tehnologii wireless compatibil cu tehnologia Ethernet.

SECURITATE WI-FI
Spre deosebire de reelele cablate, reelele wireless sunt mai expuse din punct de
vedere al vulnerabilutii la interceptri neautorizate. La nivel fizic securitatea este greu
de asigurat deoarece la acest nivel o reea wireless este foarte uor de accesat. Pentru
a obine un nivel de securitate acceptabil, ntr-o reea wireless, datele trebuie criptate i
este obligatoriu controlul accesului la nivelurile superioare ale reelei. Barierele de
securitate (securitatea de baz) care au fost prevzute iniial n protocoalele reelelor
Wi-Fi, asigur un nivel sczut al securitii acestor reele.
1. Securitate de baz const n controlarea accesului la reea prin utilizarea unor
tehnici simple, suficiente pentru a ndeprta unele intruziuni ocazionale. Tehnicile simple
de control al accesului la o reea wireless sunt:
Filtrarea adreselor MAC (Media Acces Control). Adresa MAC, este un numr
ntreg pe 6 octei (48 bii), care reprezint adresa fizic (unic pentru fiecare
dispozitiv de acces la o reea) prin intermediul creia orice dispozitiv de acces la
o reea se poate identifica. Prin filtrarea adreselor MAC, un punct de acces n
reea este configurat cu adresele MAC ale clienilor crora le este permis accesul
n reea. Aceast tehnic este ineficient deoarece un intrus poate afla i falsifica
adresa MAC a unei staii, apoi se poate conecta n reea sub identitatea staiei
respective.
Stoparea transmiterii publice a SSID-ului unui punct de acces. SSID-ul
(Service Set Identifier) este un cod care definete apartenena la un anumit
punct de acces wireless. Toate dispozitivele wireless care vor s comunice ntr-o
reea trebuie s aib SSID-ul propriu, setat la aceeai valoare cu valoarea SSIDului punctului de acces pentru a se realiza conectivitatea. n mod normal un
punct de acces i transmite SSID-ul la fiecare cteva secunde. Oprirea
transmiterii acestui semnal ascunde prezena reelei fa de un atacator
superficial, dar permite staiilor care cunosc SSID-ul punctului de acces s se
conecteze la reea. Deoarece SSID-ul este inclus n beacon-ul oricrei secvene
wireless, orice hacker dotat cu echipament de monitorizare poate s-i descopere

valoarea i s se conecteze la reea. Beacon-ul este un mic pachet de date

transmis continuu de un punct de acces pentru a asigura managementul reelei.
Utilizarea algoritmului WEP (Wired Equivalent Privacy). WEP amelioreaz
transmiterea continu a SSID-ului prin criptarea traficului dintre clienii wireless i
punctul de acces.
WEP folosete un cifru secvenial RC4 pentru confidenialitate i un CRC32
pentru integritate n dou variante:

64 bit WEP- folosete o cheie de 40 bii care este concatenat cu un

vector de iniializare de 24 bii pentru a forma cheia RC4.

128 bit WEP- folosete o cheie de 104 bii care este concatenat cu un
vector de iniializare de 24 bii, care este introdus de utilizator ca un ir
hexazecimal format din 26 caractere.

Aceast tehnic de criptare (vezi fig.1.5) a fost folosit din anul 1997 pn n
anul 2001 cnd a fost spart i nu a mai fost considerat sigur. n iunie 2004,
IEEE a adoptat standardul 802.11i care mbuntete securitatea reelelor
wireless.

ST trimite o cerere de autentificare ctre AP

2

CLIENT
(ST)

ACCES POINT
(AP)

AP trimite un text de verificare ctre ST

ST cripteaz textul cu o cheie partajat 5

i l trimite napoi ctre AP

AP decripteaz textul i l compar cu cel original

Dac textele corespund, AP autentific ST

ST se conecteaz la reea

Figura 1.5 Paii autentificrii WEP

n figura 1.4.5 este prezentat autentificarea prin cheie partajat. Un alt tip de
autentificare pentru standardul IEEE 802.11 este autentificarea deschis.
Autentificarea deschis se realizeaz astfel:

Clientul trimite o cerere de autentificare care conine ID-ul staiei (de obicei
adresa MAC a plcii de reea)

Punctul de acces verific ID-ul staiei i trimite un rspuns de autentificare care

conine mesajul de succes sau de eec.

2. mbuntiri ale securitii reelelor wireless.

Wi-Fi Alliance produce n anul 2003 specificaia WPA (Wi-Fi Protected Access), care
este o soluie intermediar la criptare WEP.
IEEE a preluat specificaia WPA i a elaborat n anul 2004 standardul 802.11i, standard
care stabilete o tehnic de criptare cunoscut sub numele de WPA 2.
Algoritmul WPA suport att autentificare ct i criptare.
Pentru autentificare sunt utilizate dou metode:
o Autentificare EAP cu standardul 802.1x:
EAP (Extensible Authorization Protocol) este un cadru de autentificare , o
metod standard pentru autentificarea la o reea.
802.1x este un standard de control al accesului la reea bazat pe porturi, care
asigur per utilizator i per sesiune o autentificare mutual puternic. Pe baza
EAP, 802.1x permite punctului de acces (AP) i clienilor din reea s
foloseasc n comun i s schimbe chei de autentificare WEP n mod
automat i continuu. Punctul de acces (AP) acioneaz ca un proxy server,
efectund cea mai mare parte a calculelor necesare criptrii.
Dac un utilizator este autentificat prin 802.1x pentru accesul la reea, un port
virtul este deschis pe punctul de acces (AP) pentru a permite comunicarea.
Dac nu este autorizat cu succes, portul virtual nu este pus la dispoziie i
comunicarea este blocat. Aceast metod de autentificare este mai sigur
dect folosirea metodei de autentificare prin utilizarea cheilor pre-partajate.
o Autentificarea prin utilizarea cheilor pre-partajate:
Prin aceast metod, aceeai cheie este aplicat att la cliet ct i la punctul
de acces (AP). WPA folosete o metod care creaz o cheie unic pentru
fiecare client.
Pentru criptare, s-a pstrat algoritmul de criptare simetric RC4, dar s-a
introdus o tehnic de schimbare a cheii de criptare pe parcursul sesiunii de
lucru TKIP (Temporary Key Integrity Protocol) i s-a nlocuit algoritmul
de integrare CRC32, utilizat de WPE, cu un nou algoritm numit Michael, care
este un algoritm de cutare n iruri de caractere. Acest algoritm folosete
funciile hash pentru a gsi un subir al irului de cutat. Funciile hash,
numite i funcii de dispersie sau funcii de rezumat, sunt funcii definite pe
o mulime cu multe elemente (poate fi o mulime infinit) cu valori ntr-o
mulime cu un numr mai mic de elemente( un numr finit de elemente). Una
din cerinele fundamentale pentru o astfel de funcie este ca, modificnd un
singur bit la intrare, s produc o avalan de modificri n biii de la ieire.
Funciile hash sunt utilizate n criptografie, drept componente n schemele de

semntur digital, formnd o clas de algoritmi criptografici SHA (Secure

Hash Algoritm).
Algoritmul WPA 2 a fost elaborat n anul 2004 de catre IEEE pe baza
specificaiilor algoritmului WPA. n WPA 2 algoritmul de criptare RC4 este nlocuit
cu algoritmul AES (Advanced Encryption Standard) care este un algoritm
standardizat, pentru criptarea simetric, pe blocuri.
Algoritmul de integrare Michael este nlocuit cu mecanismul de criptare CCMP
(Counter Mode with Cipher-Block Chaining Message Authentication Code
Protocol) care este bazat pe cifrul AES. WPA2 conine mbuntiri care faciliteaz
roamingul rapid pentru clienii wireless aflai n micare. Acest algoritm permite o
preautentificare la punctul de acces spre care se deplaseaz clientul, meninnd n
acelai timp legtura cu punctul de acces de la care pleac.
Premisele autentificrii WPA 2:
o Punctul de acces AP trebuie s se autentifice clientului ST
o Trebuie generate chei de criptare
o EAP ofer o cheie de criptare permanent PMK (Pairwise Master Key)
o Cu un hash criptografic SHA (Secure Hash Algoritm) aplicat pe
concatenarea: PMK; APnonce; STnonce; AP_MAC; ST_MAC, este
generat cheia PTK (Pairwise Transient Key)
* nonce (number used once) un numr aleator folosit o singur dat
ntr-un protocol de autentificare

Paii autentificrii WPA 2 (vezi figura 1.6):

1. Punctul de acces AP trimite ctre clientul ST un APnonce;
2. Clientul ST genereaz cheia PTK;
3. Clientul ST trimite punctului de acces AP un STnonce mpreun cu un
cod de intergritate a mesajului (MIC) ce include autentificarea;
4. Punctul de acces AP genereaz cheia GTK;
5. Punctul de acces AP trimite clientului ST cheia GTK utilizat pentru
decriptarea traficului multicast sau broadcast i un alt MIC;

6. Clientul CT trimite napoi ctre AP un mesaj de confirmare ACK.

APnonce
CLIENT
(ST)

2
Generare
PTK

4
GTK + MIC

ACCES POINT
(AP)

STnonce + MIC

Generare
GTK

ACK

Figura 1.6 Paii autentificrii WPA 2

Rezumatul msurilor de securitate Wi-Fi este prezentat n figura 1.7

AUTENTIFICARE

CRIPTARE

FILTRARE
TRAFIC

transmitere SSID MODIFIC

FILTRARE adreseSTOPARE
MAC
valori implicite SSID

Figura 1.4.7 Msuri de securitate Wi-Fi

COMPARAIE NTRE STANDARDELE 802.11

802.11 a

802.11 b

802.11 g

802.11 n

2,4

2,4

2,4

Banda [GHz]

Modulaie

Viteza [Mbps]

OFDM

54

DSSS

11

DSSS

MIMO

OFDM

OFDM

11

248

54

(2 iruri)

Distana [m]

max 35

35

35

70

Anul eliberrii

1999

1999

2003

2006

TABEL 1.1 Standarde 802.11

ECHIPAMENTE Wi-Fi
ACCESS POINT (figura 1.8) este un transceiver care transmite i recepioneaz date
prin intermediul undelor radio. Acesta permite conectarea dispozitivelor mobile ntre ele
ntr-o reea wireless sau poate servii ca punct de interconexiune dintre o reea wireless i
o reea LAN. Este prevzut cu unul sau mai multe conectoare pentru anten i un port
LAN.

Figura 1.8 Access Point

ROUTER WIRELESS (figura 1.9) este un dispozitiv de reea care realizeaz funcia
unui router wireless care include i funciile unui access point. Este prevzut cu un port
WAN, 4 porturi LAN i 2 antene wireless.

Figura 1.9 Router wireless

ANTENE WIRELESS (figura 1.10) sunt dispozitive utilizate pentru acoperirea
unei anumite zone cu un semnal radio mai puternic. Sunt mai multe tipuri de
antene wireless dar cele mai utilizate sunt:
o Antene omnidirecionale emit undele radio n toate direciile (sfer) i
pot acoperii o suprafa cu o raz de 4 5 Km. Avantajul acestei antene
const n faptul ca antena clientului nu trebuie precis orientat, acesta
trebuie doar s se afle n aria de acoperire a antenei staiei care emite.
Dezavantajul acestei antene este securitatea sczut datorit riscului
ridicat de interceptare a undelor radio.
o Antene sectoriale sunt antene omnidirecionale cu suprafa de
acoperire mare
o Antene direcionale emit i concentreaz undele radio pe o anumit
direcie n funcie de orientarea antenei. Cu ct unghiul de emisie este mai
mic, cu att distana de emisie este mai mare. Avantajul acestei antene

este riscul sczut de interceptare a undelor radio. Dezavantajul acestei

antene este c antena clientului trebuie foarte precis acordat i orientat.
o
o

Anten omnidirecional

Anten sectorial

Anten direcional

Figura 1.10 Antene wireless

Splitter (figura 1.11 a) este un conector utilizat pentru conectarea la un access

point a doua antene
Pig tail (figura 1.11 b) este un cablu care conecteaz dou echipamente
wireless i care are conectori diferii la ambele capete. Se poate utiliza pentru
conectarea unei placi wireless la o anten.
Surge protector (figura 1.11 c) este un dispozitiv care protejeaz AP cnd un
fulger lovete antena. Acest dispozitiv trebuie conectat la pmnt.

b
Figura 1.11 Accesorii wireless