Sunteți pe pagina 1din 12

IDENTIFICAREA VULNERABILITILOR DE SECURITATE ALE REELELOR RADIO WI-FI.

Etapa 4: Concluzii i diseminarea rezultatelor Colectiv de elaborare etap: Dr. ing. tefan-Victor Nicolaescu1; Prof. dr. ing. Ion Marghescu4; Prof. dr. ing. Ion Bogdan3; ef lucrri Ionel Dragu4; Conf. dr. ing. Luminia Scripcariu3; Ing. Ion Dumitracu2; Dr. ing. Florin Hrtescu2; Ing. Siegfried Cojocaru2; As. ing. Mihnea Udrea4; Ing. Florin Mocanu3, Tehn. Victor Cristescu1.
1. Institutul Naional de Studii i cercetri pentru Comunicaii I.N.S.C.C. (Coordonator proiect i partener 1); 2. Institutul Naional de Cercetare-Dezvoltare n Informatic I.C.I. (Partener 2); 3. Universitatea Tehnic Gheorghe Asachi Iai U.T.Iai (Partener 3); 4. Universitatea Politehnica Bucureti U.P.Buc. (Partener 4).

1 INTRODUCERE 1.1 Obiectivele generale ale proiectului i ale etapei 4 Proiectul a avut ca obiectiv general proiectarea i implementarea la parteneri a unor platforme experimentale de comunicaii de date avnd ca suport reele pe suport radio i cablri structurate, bazate pe Ethernet i pe protocoalele specificate prin seria de standarde IEEE 802.11 (Wi-Fi). care sunt folosite pentru realizarea unor teste privind vulnerabilitile de securitate ale reelelor Wi-Fi i a soluiilor propuse Scopul a fost evaluarea i minimizarea riscului de securitate n infrastructurile reelelor de mic ntindere, LAN. Platformele realizate au fost folosite i pentru evidenierea efectelor globale asupra securitii reelelor mixte, radio Wi-Fi i cablate, ca suport pentru dezvoltarea soluiilor potrivite de reducere a acestui risc. Proiectul a generat rezultate cu utilitate imediat pentru utilizatorii finali ai aplicaiilor susinute de reelele radio Wi-Fi i pentru administratorii de reea i specialitii n securitate ai diverselor companii i organizaii ce folosesc astfel de tehnologii de comunicaii. Obiectivele msurabile ale proiectului sunt: a. set de soluii de minimizare a riscului de securitate pn la un nivel acceptabil, pentru diverse categorii de aplicaii i reele, precum i un raport cu privire la performanele soluiilor de securitate dezvoltate n cadrul proiectului, b. set de modele care s ajute utilizatorii n definirea i implementarea politicilor de securitate destinate reelelor i organizaiilor ce utilizeaz reele bazate total sau parial pe Wi-Fi. Aceste modele sunt adaptate la nevoile specifice ale diverselor categorii de utilizatori, aplicaii i organizaii, c. model detaliat de evaluare a riscului de securitate, cu etape clar definite i cu exemple adaptate pentru diverse categorii de reele i aplicaii, d. lista vulnerabilitilor de securitate, clar explicate, care privesc reelele de date ce folosesc total sau parial tehnologii Wi-Fi, e. raport cu privire la diversele moduri de materializare a ameninrilor de securitate n reelele Wi-Fi, inclusiv aspectele care privesc uneltele i modurile de lucru folosite n cadrul atacurilor ntreprinse asupra acestui gen de reele, f. CD-ROM cu prezentarea rezultatelor proiectului precum i alte aciuni de diseminare a rezultatelor, g. publicarea unei cri de specialitate avnd ca subiect securitatea n reelele Wi-Fi. Obiectivele etapei 4 a proiectului sunt: 1. Proiectarea unui model general de definire i implementare a unei politici de securitate destinate reelelor radio Wi-Fi i utilizatorilor acestor reele. 2. Definirea i implementarea unor politici de securitate n cadrul platformelor experimentale. 3. Raport cuprinznd concluziile n legtur cu modelele posibile de aplicare a rezultatelor proiectului. 4. Publicarea unei cri de specialitate avnd ca subiect securitatea n reelele Wi-Fi. 5. Realizarea unui CD-ROM de prezentare a rezultatelor proiectului. 6. Alte activiti de diseminare: definitivarea paginii web a proiectului, publicarea de articole n reviste de specialitate.
INSCC+ICI+UPB+UTI iunie 2008

1-1

1.2 Diseminarea rezultatelor i actualizarea paginii web a proiectului 1.2.1 Articole, comunicri tiinifice la simpozioane, conferine Au fost realizate aciuni de diseminare a rezultatelor obinute n cadrul proiectului: a. a fost publicat n editura AGIR cartea cu titlul "Securitatea n reelele Wi-Fi", iar n editura Casa Venus din Iai cartea cu titlul "Securitatea n reele de comunicaii wireless"; b. a fost realizat un CD de prezentare a proiectului i a rezultatelor obinute; c. CD-ul realizat a fost diseminat n cadrul simpozionului organizat de MCTI n cadrul "Zilei Telecomunicaiilor", la CERF, 8 mai 2008; d. A fost susinut comunicarea On 802.11 Standard and the WiFi Network Security, publicat n Proc 3rd European Conference on the Use of Modern Information and Comunication Technologies ECUMICT 2008, Gent, Belgium, March 13/14 2008, pp 89-93. 1.2.2 Actualizarea paginii web a proiectului n cadrul Etapei 4 s-a realizat o actualizare a paginii web a proiectului. Aceasta a constat n mbuntirea structurii paginilor web principal i a celor care se deschid din aceasta. 2 PROIECTAREA UNUI MODEL GENERAL DE DEFINIRE I IMPLEMENTARE A UNEI POLITICI DE SECURITATE DESTINATE REELELOR RADIO WI-FI I UTILIZATORILOR ACESTORA 2.1 Introducere Nevoia de securitate este tot mai acut, n reeaua Internet i n reelele private, pe msur ce aplicaiile online se dezvolt ntr-un ritm exponenial (comer electronic, tranzacii financiare, servicii bancare, instruire online, pot electronic, divertisment .a.m.d.). Costurile serviciilor de securitate depind de mai muli factori: 1. mediul fizic de transmisie, 2. performanele echipamentelor din reea, 3. performanele pachetelor software folosite: aplicaii i sisteme de operare, 4. nivelul de securizare a datelor propriu-zise prin criptare. Alegerea strategiei eficiente de securizare a unei reele trebuie s aib n vedere riscurile la care este expus aceasta i punctele ei vulnerabile pentru soluii de securitate adaptate la specificul reelei i pentru a reduce costurile, att pe termen scurt, ct i pe termen lung. Alegerea unui serviciu de securitate este condiionat de natura informaiilor care trebuie protejate i de costurile acceptate pentru aceast operaie. Modelul prezentat este general i are ca scop elaborarea unei politici de securitate pentru reeaua wireless a unei organizaii. n cele ce urmeaz, fiecare seciune conine instruciuni sau sugestii pentru coninutul acesteia lista fiind cuprinztoare pentru a se alege din ea. Politica terbuie reconsiderat atunci cnd sunt descoperite vulnerabiliti noi sau dac apar noi soluii de securitate. 2.2 Politica general Aceast seciune este utilizat pentru a prezenta motivul (scopul) pentru care organizaia adaug o seciune wireless n politica de securitate a organizaiei i rolul acestei politici n pstrarea siguranei reelei fa de intruziuni. Chiar dac organizaia nu are capaciti wireless, o politic de securitate este necesar pentru depistarea echipamentelor pirat. 2.3 Seciunea introductiv Cuprinde elementele la care se refer Politica general i instruciuni de aplicare a acestora n organizaie. Atribuirea autoritii Definete autoritatea care va pune n practic aceast politic. Include lista echipei executive cu informaiile corespunztoare de contact, precum i componena echipei de urgen. Organizaiile mari au o astfel de echip care rspunde pentru urgene att n domeniul reelei ct i al celorlalte faciliti, cu informaiile respective de contact. Fixarea auditoriului Stabilete cui se adreseaz (aplic) aceast politic, incluznd angajaii, vizitatorii i beneficiarii. O versiune mai redus poate fi redactat i sub forma unei liste simplu de citit cuprinznd Ce este permis i Ce este interzis.

INSCC+ICI+UPB+UTI iunie 2008

2-2

Procedurile de sancionare O parte a politicii de securitate trebuie s se refere la sanciuni. Cnd politica nu este respectat, trebuie prevzute ce msuri ia organizaia mpotriva celor care violeaz directivele politicii. Definete i descrie ce trebuie fcut pentru a ntri directivele politicii. 2.4 Evaluarea riscurilor a. Ce trebuie protejat Informaii sensibile List cuprinznd proprietatea intelectual, secrete comerciale, informaii de identitate, date despre carduri, informaii medicale, baze de date cu cumprtorii i orice alte date care pot fi preluate n urma compromiterii reelei wireless. Servicii de reea Lista cu descrierea serviciului de e-mail, fiiere, baze de date, directoare, servicii de aplicaii ale utilizatorilor, conectivitate Internet, aplicaii cu suport web, servicii de dectare virusuri i intruziuni care pot fi compromise prin infiltrarea reelei. b. Prevenirea ameninrilor Explic paii necesari pentru reducerea sau prevenirea ameninrilor asupra reelei wireless, cum ar fi: a. Atacurile DoS, b. deteriorarea sau sustragerea echipamentului, c. accesul neautorizat n reea, d. fraude cu crile de credit, e. sutragerea datelor de identitate, f. furtul secretelor organizaiei, g. expunerea informaiilor personale, h. inserarea de informaii false. c. Obligaii legale Documentarea obligaiilor legale care pot fi create n urma compromiterii reelei wireless i cum trebuie reacionat n fiecare situaie care poate apare. d. Costuri Managementul trebuie sa ia n considerare costurile care implic personalul, instruirea, i echipamentul pentru implementarea soluiilor de securitate. Asigurarea calitii personalului care nelege integral reeaua i vulnerabilitile ei este deosebit de important. Instruirea continu este necesar pentru instalarea i configurarea sarcinilor. Instruirea este imperativ pentru meninerea operabilitii reelei i perfecionarea capabilitilor i soluiilor de securitate. e. Analiza impactului O analiz de impact ar trebui realizat astfel nct administraia s evalueze pierderile poteniale consecin a compromiterii reelei. Urmtoarele articole, ca un minim, trebuie considerate in cadrul analizei de impact: a. Pierderi financiare, b. pierderi de date, c. pierderi de confidenialitate ale clienilor, d. afectarea reputaiei, e. efecte de reglementare. f. Auditul securitii - testarea independent Verificrile de securitate se fac de evaluatori (consultani) independeni. Testele stabilite pentru a fi realizate de consultani ar trebui s fie documentate i clarificate prin canale legale interne. Orice vulnerabiliti anticipate sau limite ale soluiilor de securitate ar trebui documentate nainte ca auditorul s nceap orice test. g. Sursele de informare Sunt identificate modalitile prin care se pot procura informaiile pentru infiltrarea reelei: a. Descoperirea reelei wireless, b. capturarea i decriptarea parolelor, c. controlul i managementul reelei,
INSCC+ICI+UPB+UTI iunie 2008

2-3

analizoarele de protocol wireless, defecte de fabricaie, antene WLAN, scanarea porturilor, analizoare ale nivelului aplicaie, utilitare de reea, instrumente de descoperirea reelelor, instrumente de capturare a radio frecvenelor, instrumente pentru decriptare WEP, instrumente de explorare a sistemelor de operare. 2.5 Politica funcional linii directoare de baz a. Elementele eseniale a. Modificarea politicii (control i revizuire). b. Contacte i responsabiliti. c. Include contactele specifice i responsabilitile lor pentru managementul modificrii politicii. d. Procedurile de management ale modificrii. e. Listeaz procedurile specifice pentru a face modificri n politica organizaiei. f. Controlul modificrii. g. Descrie procedurile utilizate pentru controlul modificrilor impuse politicii organizaiei. b. Politica pentru parole Indicaii: Conine indicaii n sprijinul utilizatorilor pentru implementarea parolelor puternice i ajut administratorii s imbunteasc politica de parolare. Implementarea parolelor: Dac parolele sunt utilizate ca un mecanism de securitate, se stabilesc politici de parolare pentru urmtoarele dispozitive: a. Puncte de acces radio (AP), b. software client wireless, c. alte dispozitive wireless de infrasctructur, d. platformele windows, e. platformele Unix / Linux, f. soluii VPN, g. aplicaii. c. Cerine pentru instruirea personalului reelei i a utilizatorilor Personalul reelei Expune cerinele de instruire pentru personalul de exploatare a reelei. Utilizatori Prezint cerine minimale de instruire pentru utilizatorii reelei. d. Accesul wireless pentru personalul din afara organizaiei Vizitatori Sunt prezentate restriciile pentru vizitatori. Consultani Se prezint restriciile pentru consultani. e. Politica utilizrii acceptate Utilizare acceptat Explic utilizarea acceptat pentru reeaua wireless. Utilizare inacceptabil Prezint utilizrile care nu sunt acceptate pentru reeaua wireless. f. Proceduri de planificare, implementare i management Descrie procedurile care vor fi utilizate pentru a se menine consistena cnd se planific i se implementeaz dispozitive wireless. Aceste proceduri trebuie s fie disponibile i actualizate cnd sunt utilizate de personalul de ntreinere pentru managementul echipamentelor. Aceast seciune poate include
INSCC+ICI+UPB+UTI iunie 2008

d. e. f. g. h. i. j. k. l. m.

2-4

liste de verificare, tipuri de interfee utilizate pentru management i modul n care va fi instalat infrastructura wireless. g. Audit i conformitate Verificri interne prin personalul de ntreinere Personalul de intreinere trebuie s fac n mod permanent verificri i rapoarte, scanarea vulnerabilitilor i evaluarea riscului. Auditul va urma politicile stabilite n seciunea de evaluare a riscurilor din politica de securitate a reelei wireless. Verificri periodice prin personal de specialitate independent Personalul de specialitate independent poate fi utilizat pentru realizarea de teste i rapoarte, scanarea vulnerabilitilor i evaluarea riscului. h. Instruciuni generale Lista verificrilor de securitate Se elaboreaz o list de verificri de securitate n spiritul politicii de securitate. Aceast list va fi utilizat n timpul planificrii, implementrii i managementului pentru a verifica corectitudinea configurrii parametrilor. Lista de verificri se va completa cu prevederile Practicilor de baz prezentate n continuare. Resursele disponibile ale reelei Definete restriciile pe care utilizatorii wireless le au comparativ cu utilizatorii reelei cablate, referitor la folosirea resurselor existente n reea. Nu este totdeaua necesar s se acorde utilizatorilor wireless aceleai drepturi de acces la resursele reelei, comparativ cu utilizatorii cablai. Managementul ameninrilor Descrie practicile pentru managementul ameninrilor i modul n care afecteaz acestea reeaua wireless. Aceasta poate include un software pentru detectarea i managementul intruziunilor sau instrumente similare. Include planificarea activitilor i echipa responsabil pentru planificare. Managementul schimbrilor Se prezint modul n care procedurile de managementul schimbrilor ar trebui s includ dispozitivele infrastructurii wireless. Ar trebui s fixeze paii de urmat pentru implementarea corespunztoare a schimbrilor n reeaua wireless n concordan cu toate seciunile acestei politici. Verificri Verificrile regulate au rolul de a preveni apariia punctelor de acces pirat sau a unor dispozitive similare i de a verifica conformitatea politicii. Utilizatorii i personalul reelei trebuie s fie rspunztori fa de politica organizaiei. Se stabilesc termene i proceduri pentru desfurarea verificrilor. 2.6 Practici de baz Stabilesc practicile de baz pentru a ajuta dezvoltarea procedurilor operaionale i implementarea listelor de verificare pentru echipamentele wireless i pentru securitate. Urmtoarele aspecte sunt de luat n considerare: a. Modificarea identificatorului (SSID) implicit al punctului de acces (AP). b. Filtrarea MAC. c. Utilizare WEP static. d. Modificarea configurrilor implicite ale AP. e. Actualizarea firmware-ului pentru echipamentele wireless. f. Echipamentele neautorizate. g. Securitatea punilor (bridge) cu exteriorul. h. Dimensionarea celulelor (radio) i plasamentul AP. i. Configurarea SNMP. j. Configurarea protocoalelor pentru descoperire. k. Configurarea accesului de la distan. l. Configurarea clienilor. m. Configurarea serviciilor IP. n. Conectivitatea AP in reea. o. Planificarea implementrii i testarea. p. Instalarea echipamentelor.

INSCC+ICI+UPB+UTI iunie 2008

2-5

2.7 Politica funcional proiectare i implementare a. Interoperabilitatea Documenteaz modul n care interoperabilitatea afecteaz deciziile de achiziie. De exemplu, dac soluia de securitate este WEP pe 128 bii i exist mai multe surse de achiziie a echipamentului, nainte de a se achiziiona o cantitate mare de echipament trebuie realizate teste de interoperabilitate. b. Stratificarea Dac sunt utilizate niveluri diferite ale modelului OSI, este necesar o documentare riguroas asupra tipurilor de soluii ce vor fi utilizate, pentru a fi siguri c au fost testate mpreun. Un astfel de exemplu este utilizarea soluiei 802.1x/EAP (nivelul 2) cu IPSec (nivelul 3). Se definete politica pentru implementarea soluiilor de securitate pe niveluri. c. Segmentarea & VLANs (LAN virtual) Reelele wireless pot fi segmentate fa de reeaua backbone cablat prin soluii corespunztoare de securitate. Reelele VLAN (wireless i cablate) ofer metoda de segmentare a utilizatorilor i reelelor. Aici se prezint importana segmentrii i soluiile capabile s asigure o securitate corespunztoare a reelei. Facilitile necesare pentru mobilitate i securitate trebuie documentate aici. d. Autentificarea i criptarea Sunt selectate i documentate tipurile de autentificare i criptare bazate pe implementrile existente, sensibilitatatea datelor, scalabilitatea, disponibilitatea i controlul accesului. Implementri existente Se ia n considerare integrarea sistemului de autentificare cu bazele de date, cu utilizatorii i sistemele de autentificare existente, cu specificaiile de securitate i suportul pentru standardele ulterioare. Echipamentul existent poate s nu suporte ultimele tehnici de criptare disponibile, deci este necesar o evaluare a nivelului de securitate furnizat de acestea. Descrie i documenteaz nivelul curent de criptare pe sistemele i dispozitivele existente. Sensibilitatea datelor Definete i documenteaz soluiile de autentificare i criptare care suport nivelul cerut de securitate. Se consider c n general sistemele de autentificare nu asigur i criptarea datelor. n cele mai multe cazuri, autentificarea i criptarea trebuie asigurate prin mecanisme diferite. Scalabilitate & disponibilitate Soluiile de securitate trebuie s fie scalabile i s asigure un nalt nivel de disponibilitate pentru utilizatori. Reelele wireless permit salariailor s fie mobili, ceea ce nseamn c vor fi gsite noi modaliti de utilizare a reelei. Aceasta se transform intr-o utilizare mai intens a reelei i o dependen mai mare fa de aceasta. Proiectarea reelei trebuie s asigure o extindere simpl a acesteia la un cost rezonabil. Definete i descrie nivelurile de scalabilitate i disponibilitate necesare pentru reeaua wireless. Controlul accesului Gama larg de dispozitive permite flexibilitate n alegerea soluiilor de securitate, care pot guverna controlul accesului pentru o varietate de tipuri de dispozitive wireless, de fabricani i sisteme de operare. Soluiile includ aplicaii software client i server care ruleaz pe sisteme de operare diferite, aplicaii pentru autentificare i criptare i o varietate de dispozitive de infrastructur: puncte de acces, puni de legtur ntre grupuri de lucru puni wireless. Accesul controleaz prin reguli, grupuri, tipuri de dispozitive etc. Definete i documenteaz diferite niveluri de control al accesului pentru a fi implementate pe segmentul reelei wireless. 2.8 Politica funcional monitorizare i rspuns a. Securitatea fizic Accesul fizic i securitatea infrastructurii wireless sunt importante n prevenirea introducerii dispozitivelor frauduloase n reea, oprirea abuziv a unor echipamente sau accesarea neautorizat a consolelor i echipamentelor. Definete i descrie facilitile pentru securitatea fizic necesare n urma introducerii reelei wireless. Se adreseaz vizitatorilor neautorizai n viziunea politicii de securitate fizic a facilitilor. b. Puncte de acces neautorizate i reele Ad-Hoc Previne introducerea punctelor de acces pirat i a reelelor Ad-Hoc n aria de lucru a organizaiei. O politic de securitate corect definit poate ajuta n prevenirea celor mai multe instalri de puncte de acces de ctre personalul propriu sau de intrui. Scanarea pentru detectarea echipamentelor neautorizate se face
INSCC+ICI+UPB+UTI iunie 2008

2-6

periodic manual sau prin plasarea unui dispozitiv IDS. Definete i descrie reglementrile i aciunile pentru prevenirea i detectarea echipamentelor wireless neautorizate. c. Blocarea RF Blocarea RF trebuie astfel abordat inct administratorii reelei s ineleag cum s recunoasc i cum s reacioneze la blocajul neintenionat sau intenionat de orice tip. Explic cum se produce blocajul RF i explic paii corespunztori pentru prevenire sau reacie. d. Inundarea cu date D utilizatorilor o definiie clar a ceea ce nseamn s fie un utilizator corect al reelei wireless. Utilizatorii pot sufoca involuntar reeaua atunci cnd ncarc fiiere prea mari. Explic utilizatorilor ce pot i ce nu pot s fac pe o reea wireless. Prezint activitile de baz care trebuie realizate de administratorul reelei i precizeaz parametrii care trebuie meninui n timp i pe msur ce se schimb. Explic felul n care parametrii de baz sunt instrument de comparare pentru identificarea atacurilor n reea. Explic cum se produce fenomenul de inundare i prezint msurile preventive. e. Ingineria social Se asigur instruirea salariailor cu privire la datele care sunt puse la dispoziia altora i ce pot face hackerii cu ceea ce afl din aceste date. Instruiete utilizatorii n manevrarea tacticilor de inginerie social, cum sunt: a. Captarea bunvoinei. b. Apeluri telefonice. c. E-mailuri. d. Mesageria instant. e. Vizitele la sediu. f. Prevenirea Instruiete salariaii cum s previn tentativele de intruziune prin verificarea identitii, utilizarea metodelor de comunicare sigure, raportarea activitilor suspecte, stabilete proceduri i documente. Definete procedurile destinate salariailor pentru raportare sau rspunds la diferite tipuri de atacuri. g. Auditul Angajaz consultani externi pentru a realiza periodic auditul i tentative de inginerie social pentru a testa securitatea salariailor i a reelei. Stabilete periodicitatea auditului efectuat de consultani externi. 2.9 Raportarea Pregtete proceduri clare pentru responsabilul cu generarea rapoartelor i stabilete persoana (persoanele) care verific rapoartele. Punctualitatea, acurateea i inteligibilitatea rapoartelor este esenial n prevenirea viitoarelor atacuri i blocarea activitii hackerilor. Definete i descrie tipuri de rapoarte, nivelul de detaliere al unui raport i arhivarea tuturor rapoartelor pentru referine istorice. 2.10 Procedurile de rspuns Definete paii care sunt parcuri dup ce a fost identificat o intruziune. Recomand paii care ar trebui s includ ca un minim urmtoarele: a. Identificarea pozitiv. b. Confirmarea atacului. c. Aciunea imediat. d. Documentarea. e. Raportarea. DEFINIREA I IMPLEMENTAREA UNOR POLITICI DE SECURITATE N CADRUL PLATFORMELOR EXPERIMENTALE 3.1 Introducere Securitatea informaiei i a reelei poate fi neleas ca abilitatea reelei sau a sistemului informatic de a rezista, la un anumit nivel de siguran, evenimentelor accidentale sau aciunilor maliioase care compromit disponibilitatea, autenticitatea, integritatea i confidenialitatea datelor stocate sau transmise i a serviciilor oferite sau accesibile prin aceste reele i sisteme informatice. Pentru implementarea unor sisteme sigure de telecomunicaii se ine seama de: a. caracteristicile de securitate considerate relevante pentru sistemul respectiv, b. obiectivele de securitate n momentul proiectrii sistemului,
INSCC+ICI+UPB+UTI iunie 2008

3-7

c. ameninrile posibile ce se adreseaz sistemului, d. metodele i mijloacele de implementare/ impunere a securitii n cadrul sistemului. Definirea politicilor de securitate n cadrul platformelor experimentale a fost coordonat ntre parteneri, astfel nct msurile adoptate au fost similare. Pentru reducrea riscurilor de securitate la un nivel acceptabil i limitarea prejudiciilor a fost definit i implementat o politic de securitate specific platformei experimentale. Prezenta politic se aplic platformei experimentale i are ca principal obiectiv limitarea propagrii riscurilor de securitate ctre reeaua organizaiei (institutului). Proiectul Wifisec fiind dezvoltat pe o durat limit de timp, nu se preconizeaz introducerea acestei politici n politica general de securitate a institutului, aa cum a fost dezvoltat n cadrul proiectului dar se intenioneaz ca, pe baza rezultatelor obinute i a procedurilor stabilite, s se dezvolte msurile de securitate pentru viitoare platforme experimentale ca i pentru reeaua wireless a partenerului. Fiecare dintre parteneri i-a structurat reeaua n funcie de specificul local, de echipamentele de care dispune i de cele pe care le-a procurat n cadrul proiectului. Structura de principiu a reelei wireless realizate la INSCC respectiv la UTI este aceeai, fiind realizat ntr-o singur cldire, deosebirile fiind date de numrul i de dispunerea echipamentelor. Reeaua ICI a fost compus, de asemenea, doar din echipamente Wi-Fi. Reeaua UPBuc este mai cuprinztoare, deoarece conine att echipamente Wi-Fi ct i echipamente WiMAX i acoper o arie mai mare. 3.2 Msuri de securitate adoptate n cadrul proiectului a. Delegarea autoritii Punerea n practic a acestei politici a revenit responsabilului local de proiect (WIFISEC). b. Cui se aplic Audiena vizat este format din membrii colectivului de proiect i administratorii de reea din institut care sunt informai de existena i funcionarea reelei experimentale. c. Violarea directivelor politicii Msurile care se iau n cazul violrii directivelor politicii sunt stabilite de responsabilul de proiect n colaborare cu administratorii reelei wireless din institut i constau n atenionare i, dac violarea directivelor se repet cu bun tiin, n interzicerea accesului la platform. De menionat ns c, n cadrul proiectului au trebuit create i condiii pentru violarea cu bun tiin a directivelor politicii, tocmai pentru a verifica performanele msurilor de securitate. Aceste aciuni se consider experimente ce decurg din natura preocuprilor proiectului. d. Evaluarea riscurilor pentru platforma experimental La baza unei evaluri (orientative) a riscurilor de securitate au stat urmtoarele considerente: 1. Platforma este destinat exclusiv activitilor experimentale, desfurate pe intervale de timp limitate, (n afara acestora echipamentele sunt scoase din funciune); 2. Platforma este integrat n reeaua institutului, care conecteaz sisteme (staii de lucru / servere) cu securizare neomogen (unele foarte bine protejate, altele practic fr protecie); n raza de acoperire a platformei experimentale se afl numeroase puncte de acces dup cum se poate vedea n exemplul din figura 1 n cazul ICI. n condiiile de mai sus se poate aprecia c sunt riscuri reale ca platforma experimental (cu o securitate necorespunztoare) s poat fi inta unor atacuri care s exploateze n final vulnerabilitile unor sisteme (neprotejate sau insuficient protejate) din reeaua institutului i s le provoace prejudicii.

INSCC+ICI+UPB+UTI iunie 2008

3-8

Fig. 1 Puncte de acces aflate n raza de acoperire a reelei experimentale WIFISEC-ICI n cazul unei eventuale infiltrri n reeaua institutului pot fi compromise servicii de reea i structuri de date operate n cadrul reelei: 1. servicii de pot electronic a. al institututului b. pentru clieni (serviciu comercial) 2. servere WEB a. al institutului b. pentru proiecte de cercetare n derulare c. pentru clieni (comercial) 3. servere proiecte de cercetare 4. servere clieni (servicii comerciale machine hosting) 5. servicii de conectivitate Internet e. Prevenirea ameninrilor Msurile pentru prevenirea ameninrilor constau n: 1. Blocarea atacurilor DoS prin configurarea corespunztoare a ruterului. 2. Protecia fizic a ruterului (punctului de acces) plasare ntr-un spaiu cu acces controlat. 3. Interzicerea accesului neautorizat n reea prin folosirea criptrii WPA PSK i filtrarea pe baza adresei fizice MAC, folosirea adreselor IP de tip static (dezactivarea DHCP). 4. Prevenirea furtului de identitate parole puternice. Reglementri legale Conform cu relementrile legale n domeniul cercetrii. Costuri Nu sunt prevzute costuri speciale pentru personal, instruire i echipamente pentru implementarea soluiilor de securitate, cu excepia celor care decurg din activitatea proiectului. f. Analiza impactului Se realizeaz cu referire la pierderile poteniale n cazul compromiterii reelei: 1. Pierderi financiare pot fi cuantificate (eventual) doar n cazul serviciilor comerciale. 2. Pierderi de date pot fi importante att n cazul serviciilor comerciale ct i n cazul activitii de cercetare-proiectare ducnd la compromiterea sau ntrzierea unor teme sau proiecte. 3. Afectarea reputaiei cu efecte pentru activitatatea comercial i pentru proiectele internaionale. 4. Efecte de reglementare pot determina modificri n reglementrile interne. g. Auditul securitii Testarea independent la nivelul platformei experimentale Wifisec nu se pune problema unei activiti de testare cu consultani de specialitate din afara organizaiei. Raportarea
INSCC+ICI+UPB+UTI iunie 2008

3-9

Nu au fost prevzute proceduri pentru generarea de rapoarte i verificarea acestora, dar funcionarea platformei a fost urmrit pe ntreaga durat de funcionare a acesteia, inndu-se de fiecare dat seama de observaiile realizate, n scopul mbuntirii securitii. Proceduri de rspuns La identificarea unui atac nu au fost prevzute proceduri standard, acestea rmnnd la latitudinea echipei proiectului. Pe durata proiectului nu s-au constatat atacuri, cu excepia celor simulate. Cerine privind instruirea echipei proiectului i a utilizatorilor Nu a fost prevzut o activitate de acest tip, dat fiind caracterul experimental, ndreptat tocmai pentru depistarea unor msuri de securitate ct mai eficiente. Acces wireless pentru ali utilizatori Nu a fost admis accesul wireless pentru alte persoane n afara celor din echipa proiectului. h. Utilizarea Pe durata proiectului: 1. platforma WIFISEC este utilizabil doar pentru activiti cu caracter experimental n domeniul proiectului; 2. nu sunt acceptate activiti cu caracter comercial sau pentru persoane din afara colectivului de proiect. i. Practici de baz 1. Modificarea SSID implicit pentru punctul de acces. 2. Utilizarea filtrului de adrese MAC. 3. Utilizare WPA PSK. 4. Modificarea configurrilor implicite pentru punctul de acces. 5. Actualizare firmware pentru toate echipamentele. 6. Configurarea accesului de la distan. 7. Configurarea staiilor client. 8. Verificare naintea punerii n funciune. 9. Instalarea echipamentelor. j. Proiectare i implementare 1. S-a asigurat interoperabilitatea cu reelele partenerilor. 2. Extensiile platformei experimentale au fost aliniate la standardele echipamentelor existente. 3. S-a realizat structurare pe niveluri. 4. S-a realizat segmentarea (segregarea reelei). 5. Plarforma experimental Wifisec a fost izolat de reeaua backbone prin o soluie adecvat de securitate. 3.3 Msuri concrete pentru asigurarea securitii reelelor Wi-Fi a. Adoptarea de unui sistem de identificare personal pentru controlul accesului fizic. b. Dezactivarea folosirii partajate a fiierelor i a directoarelor din PC. c. Asigurarea ca fiierele confideniale sunt protejate cu parol. d. Dezactivarea serviciilor care nu sunt necesare din AP. e. Dac este fezabil / practic, oprirea AP-urilor atunci cnd nu sunt n folosin. f. Dac AP-urile au faciliti de audit (pot crea loguri de evenimente), se activeaz i se verific cu regularitate. g. Configurare AP sigur dup cum urmeaz: 1. Alegerea de parole robuste pentru asigurarea unui nivel corespunztor de securitate 2. Folosirea criptrii cu chei pe 128 bii 3. Crearea MAC ACL i activarea verificrii n AP-uri 4. Schimbarea SSID iniial (oprirea transmiterii SSID dac se consider oportun) 5. Schimbarea cheilor WEP iniiale 6. Dezactivarea SNMP remote h. Cartografierea zonei i plasarea strategic a AP-urilor. i. Utilizarea VPN (client i gateway) cu firewall integrat. j. Stabilirea politicilor exhaustive de securitate cu privire la utilizarea dispozitivelor wireless. k. Utilizarea firewall-urilor personale i a antiviruilor pentru clienii wireless.
INSCC+ICI+UPB+UTI iunie 2008

3-10

l. Alegerea produselor 802.11 cu cea mai bun strategie de securitate wireless pe termen lung i longevitate pe pia. m. Utilizarea produselor cu SNMPv3 (sau cu alte faciliti de management criptate) n AP-uri i a dispozitivelor firewall-VPN integrate. RAPORT CUPRINZND CONCLUZIILE N LEGTUR CU MODURILE POSIBILE DE APLICARE A REZULTATELOR PROIECTULUI Proiectul a generat rezultate cu utilitate imediat att pentru utilizatorii finali ai aplicaiilor susinute de reelele radio Wi-Fi ct i pentru administratorii de reea i specialitii n securitate. Aceste rezultate constau n: 1. proceduri de evaluare i minimizare a riscului de securitate, 2. proceduri de definire a politicilor de securitate la nivelul reelelor i organizaiilor, 3. liste de vulnerabiliti acompaniate de descrieri detaliate ale acestora, 4. liste de tipuri de ameninri i atacuri, care vor putea fi contracarate prin msurile de securitate propuse n proiect. Aplicarea rezultatelor proiectului se poate face prin valorificarea experienei acumulate de participanii la proiect prin: 1. Activitatea de diseminare know-how, prin: a. Difuzarea crii realizate prin proiect. b. Difuzarea CD-ului realizat n cadrul Zilei Telecomunicaiilor. c. Comunicri la manifestri stiinifice de profil. d. Prezentri la diverse manifestri. 2. Activiti de instruire: a. Cursuri universitare / postuniversitare ale institutelor de nvmnt superior participante la proiect pentru studeni / master, n activitatea didactic curent. b. Cursuri de iniiere / specializare ale institutelor de cercetare participante pentru beneficiari din administraia public, IMM, n condiii contractuale. 3. Activiti de consultan pentru beneficiari din administraia public, IMM, etc., referitor la: a. Expertizare reele wireless. b. Segmentare reele. c. Evaluare (independent) de oferte. d. Audit pentru securitatea reelelor wireless. 4. Implementare reele wireles pentru beneficiari, prin activiti de: a. Proiectare reele Wi-Fi. b. Asisten penrtu achiziiile de echipamente specifice. c. Punere n funciune reele Wi-Fi. d. Administrare reele wireless. 5. Valorificare n activiti de: a. Asigurarea securitii aplicaiilor informatice. b. Asigurarea securitii comunicaiilor informatice. 6. Folosirea cunotinelor acumulate pentru propunerea de proiecte noi depuse la competiia din cadrul Planului Naional de Cercetare sau n programele UE. Rezultatele proiectului pot folosi, direct sau indirect, urmtoarelor tipuri de utilizatori: a. utilizatori rezideniali, care instaleaz i opereaz o reea Wi-Fi la domiciliu, n principal pentru asigurarea accesului la Internet pentru mai multe staii de lucru rspndite prin locuin; b. furnizori de servicii de acces la reele i furnizori de servicii Internet, care opereaz reele radio WiFi pentru a putea asigura accesul uor pentru abonai concentrai geografic (un grup de apartamente, de exemplu), pentru a furniza i pentru a putea opri uor furnizarea de servicii ctre utilizatori temporari, pentru acoperirea eficient a locurilor publice, cum sunt grile, autogrile aeroporturile etc.; c. companii comerciale de orice fel, dar n special cele interesate de o soluie radio pentru propriile reele, datorit mutrii frecvente a sediilor sau a altor faciliti;
INSCC+ICI+UPB+UTI iunie 2008

4-11

d. coli i universiti care folosesc reele de date n administraie i n cadrul proceselor de nvmnt / instruire; e. instituii ale administraiei publice locale sau centrale; f. organizaii i instituii financiare i bancare; g. instituii ale statului cum sunt poliia, pompierii, armata, serviciile de urgen; h. spitale i alte instituii medicale, pentru aplicaii de telemedicin sau de alt tip, cum sunt cele folosite n ngrijirea la domiciliu a pacienilor cu dizabiliti; i. fabrici i alte entiti de producie, care folosesc supravegherea i controlul de la distan al sistemelor.

INSCC+ICI+UPB+UTI iunie 2008

4-12