Documente Academic
Documente Profesional
Documente Cultură
IEEE 802.11
Standardele din familia IEEE 802.11 descriu protocoalele de comunicaie aflate la
nivelul fizic (PHY) i la nivelul legturii de date (MAC) ale unei reelele locale
wireless. Stiva de protocoale IEEE 802.11 este prezentat n figura 1.1. Implementrile
IEEE 802.11 trebuie s primeasc pachetele de date de la protocoalele de la nivelul
reea i s se ocupe cu transmiterea lor evitnd eventualele coliziuni cu alte staii din
zon care emit. IEEE 802.11 este compatibil cu Ethernet-ul care este standardizat de
IEEE n seria de standarde 802.3.
NIVEL LEGTURI DE DATE
MAC
LLC (802.2)
DCF CSMA/CA MAC
PCF MAC
PLCP
NIVEL FIZIC
PHY
PMD
Infrarou
FHSS
DSSS
OFDM
()
HR-DSSS
(802.11 b)
802.11 n
MIMO
Access Point
ESS (Extended Service Sets) cele dou funcii prezentate mai sus (PCF i
DCF), sunt utilizate simultan n aceeai reea. ESS este un set de dou sau mai
multe structuri BSS care lucreaz mpreun pentru a forma o singur reea (vezi
figura 1.4). Structurile BSS pot fi conectate cu ajutorul unei legturi uplink.
Interfaa uplink conecteaz structurile BSS la un sistem de distribuie, notat cu
DS. Legtura uplink ctre DS poate fi wired sau wireless.
Access Point 1
Sistem de distribuie
DS
Access Point 2
LLC (Logical Link Control) Nivelul logic al legturii este subnivelul care se ocup
cu controlul fluxului de date. IEEE a standardizat LLC sub numele de 802.2 cu mult
inainte de elaborarea standardului 802.11. Standardul IEEE 802.2 este utilizat n reelele
Ethernet. Folosirea de ctre IEEE 802.11 a subnivelului LLC are drept scop realizarea
unei tehnologii wireless compatibil cu tehnologia Ethernet.
SECURITATE WI-FI
Spre deosebire de reelele cablate, reelele wireless sunt mai expuse din punct de
vedere al vulnerabilutii la interceptri neautorizate. La nivel fizic securitatea este greu
de asigurat deoarece la acest nivel o reea wireless este foarte uor de accesat. Pentru
a obine un nivel de securitate acceptabil, ntr-o reea wireless, datele trebuie criptate i
este obligatoriu controlul accesului la nivelurile superioare ale reelei. Barierele de
securitate (securitatea de baz) care au fost prevzute iniial n protocoalele reelelor
Wi-Fi, asigur un nivel sczut al securitii acestor reele.
1. Securitate de baz const n controlarea accesului la reea prin utilizarea unor
tehnici simple, suficiente pentru a ndeprta unele intruziuni ocazionale. Tehnicile simple
de control al accesului la o reea wireless sunt:
Filtrarea adreselor MAC (Media Acces Control). Adresa MAC, este un numr
ntreg pe 6 octei (48 bii), care reprezint adresa fizic (unic pentru fiecare
dispozitiv de acces la o reea) prin intermediul creia orice dispozitiv de acces la
o reea se poate identifica. Prin filtrarea adreselor MAC, un punct de acces n
reea este configurat cu adresele MAC ale clienilor crora le este permis accesul
n reea. Aceast tehnic este ineficient deoarece un intrus poate afla i falsifica
adresa MAC a unei staii, apoi se poate conecta n reea sub identitatea staiei
respective.
Stoparea transmiterii publice a SSID-ului unui punct de acces. SSID-ul
(Service Set Identifier) este un cod care definete apartenena la un anumit
punct de acces wireless. Toate dispozitivele wireless care vor s comunice ntr-o
reea trebuie s aib SSID-ul propriu, setat la aceeai valoare cu valoarea SSIDului punctului de acces pentru a se realiza conectivitatea. n mod normal un
punct de acces i transmite SSID-ul la fiecare cteva secunde. Oprirea
transmiterii acestui semnal ascunde prezena reelei fa de un atacator
superficial, dar permite staiilor care cunosc SSID-ul punctului de acces s se
conecteze la reea. Deoarece SSID-ul este inclus n beacon-ul oricrei secvene
wireless, orice hacker dotat cu echipament de monitorizare poate s-i descopere
128 bit WEP- folosete o cheie de 104 bii care este concatenat cu un
vector de iniializare de 24 bii, care este introdus de utilizator ca un ir
hexazecimal format din 26 caractere.
Aceast tehnic de criptare (vezi fig.1.5) a fost folosit din anul 1997 pn n
anul 2001 cnd a fost spart i nu a mai fost considerat sigur. n iunie 2004,
IEEE a adoptat standardul 802.11i care mbuntete securitatea reelelor
wireless.
CLIENT
(ST)
ACCES POINT
(AP)
ST se conecteaz la reea
n figura 1.4.5 este prezentat autentificarea prin cheie partajat. Un alt tip de
autentificare pentru standardul IEEE 802.11 este autentificarea deschis.
Autentificarea deschis se realizeaz astfel:
Clientul trimite o cerere de autentificare care conine ID-ul staiei (de obicei
adresa MAC a plcii de reea)
Wi-Fi Alliance produce n anul 2003 specificaia WPA (Wi-Fi Protected Access), care
este o soluie intermediar la criptare WEP.
IEEE a preluat specificaia WPA i a elaborat n anul 2004 standardul 802.11i, standard
care stabilete o tehnic de criptare cunoscut sub numele de WPA 2.
Algoritmul WPA suport att autentificare ct i criptare.
Pentru autentificare sunt utilizate dou metode:
o Autentificare EAP cu standardul 802.1x:
EAP (Extensible Authorization Protocol) este un cadru de autentificare , o
metod standard pentru autentificarea la o reea.
802.1x este un standard de control al accesului la reea bazat pe porturi, care
asigur per utilizator i per sesiune o autentificare mutual puternic. Pe baza
EAP, 802.1x permite punctului de acces (AP) i clienilor din reea s
foloseasc n comun i s schimbe chei de autentificare WEP n mod
automat i continuu. Punctul de acces (AP) acioneaz ca un proxy server,
efectund cea mai mare parte a calculelor necesare criptrii.
Dac un utilizator este autentificat prin 802.1x pentru accesul la reea, un port
virtul este deschis pe punctul de acces (AP) pentru a permite comunicarea.
Dac nu este autorizat cu succes, portul virtual nu este pus la dispoziie i
comunicarea este blocat. Aceast metod de autentificare este mai sigur
dect folosirea metodei de autentificare prin utilizarea cheilor pre-partajate.
o Autentificarea prin utilizarea cheilor pre-partajate:
Prin aceast metod, aceeai cheie este aplicat att la cliet ct i la punctul
de acces (AP). WPA folosete o metod care creaz o cheie unic pentru
fiecare client.
Pentru criptare, s-a pstrat algoritmul de criptare simetric RC4, dar s-a
introdus o tehnic de schimbare a cheii de criptare pe parcursul sesiunii de
lucru TKIP (Temporary Key Integrity Protocol) i s-a nlocuit algoritmul
de integrare CRC32, utilizat de WPE, cu un nou algoritm numit Michael, care
este un algoritm de cutare n iruri de caractere. Acest algoritm folosete
funciile hash pentru a gsi un subir al irului de cutat. Funciile hash,
numite i funcii de dispersie sau funcii de rezumat, sunt funcii definite pe
o mulime cu multe elemente (poate fi o mulime infinit) cu valori ntr-o
mulime cu un numr mai mic de elemente( un numr finit de elemente). Una
din cerinele fundamentale pentru o astfel de funcie este ca, modificnd un
singur bit la intrare, s produc o avalan de modificri n biii de la ieire.
Funciile hash sunt utilizate n criptografie, drept componente n schemele de
2
Generare
PTK
4
GTK + MIC
ACCES POINT
(AP)
STnonce + MIC
Generare
GTK
ACK
AUTENTIFICARE
CRIPTARE
FILTRARE
TRAFIC
802.11 b
802.11 g
802.11 n
2,4
2,4
2,4
Banda [GHz]
Modulaie
Viteza [Mbps]
OFDM
54
DSSS
11
DSSS
MIMO
OFDM
OFDM
11
248
54
(2 iruri)
Distana [m]
max 35
35
35
70
Anul eliberrii
1999
1999
2003
2006
Anten omnidirecional
Anten sectorial
Anten direcional
b
Figura 1.11 Accesorii wireless