Documente Academic
Documente Profesional
Documente Cultură
Grupa SNZ
1.Introducere
2. Notiuni generale
Criptografia este ştiinţa scrierilor secrete. Ea stă la baza multor servicii şi mecanisme
de securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în
intenţia de a ascunde conţinutul lor sau de a le proteja împotriva modificării. Criptografia are
o lungă istorie, confidenţialitatea comunicării fiind o cerinţă a tuturor timpurilor. Dacă ar
trebui să alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu
atât datorită celebrităţii împăratului roman de care se leagă folosirea lui, ci pentru că
principiul său de baza, al substituţiei, s-a menţinut nealterat aproape două milenii.
Scopul de bază al criptografiei:
1. Confidenţialitate – asigurarea că nimeni nu poate citi mesajul cu excepţia
destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de
către persoane neautorizate. Prin manipularea datelor înţelegem procese cum ar fi inserţii,
întârzieri sau substituiri.
3. Autentificarea – presupune posibilitatea de identificare a sursei informaţiei şi a
entităţii (o persoană, un terminal de computer, o carte de credit).
4. Non-repudierea – care previne negarea unor angajamente sau acţiuni anterioare.
Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace
sunt menite să garanteze că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu
a fost manipulată de persoane neautorizate.
Tehnica identificării sau autentificării identităţilor asigură că ambii participanţi (prin
probe coroborate sau dobândite) implicaţi au într-adevăr identitatea pe care o pretind. Acest
lucru se realizează prin transmiterea de date necesare pentru a identifica părţile care participă
la comunicaţie, ambii participanţi fiind activi în această comunicaţie oferind astfel
oportunitatea unei garanţii.
2
Enache Andreea Catalina
Grupa SNZ
Este important a înţelege importanţa autentificării. Într-un canal de comunicaţii cu un
sistem ideal de criptografie cu chei publice teoretic cele două părţi pot comunica prin
intermediul canalului fără a resimţi nevoia schimbării de chei. Ori un adversar activ poate
înfrânge sistemul (să decripteze mesajele menite să le recepţioneze cea de-a doua entitate)
fără a „sparge” sistemul de criptografie.
Tehnica autentificării entităţilor se poate împărţi în trei mari categorii, în funcţie de
tipul de securitate:
- ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru
obţinerea de chei simetrice) Numere Personale de Identificare (PIN-uri) şi chei private, care
prin protocoale provocare-răspuns, se dovedeşte cunoaşterea lor.
- ceva posedat. Acest aspect se referă mai mult la accesorii fizice un fel de paşaport
încă valabil. Exemple sunt card-urile smart (card-uri de mărimea unuia de credit cu un
microprocesor încorporat sau cu un circuit integrat).
- ceva moştenit(pentru o persoană). Această categorie include metode care fac uz de
caracteristici fizice şi de acţiuni involuntare cum ar fi semnătura, amprente digitale, vocea,
modelul retinei, geometria mâinii precum şi caracteristicile dinamice ale tastatului. Însă
acestea sunt tehnici non-criptografice.
Încă din momentul în care Gugliemo Marconi a realizat legătura între un vapor şi un
punct de pe coastă folosind telegraful fără fir şi codul Morse (punctele şi linile sunt în
definitiv binare) în anul 1901, tehnologia wireless a modificat modul în care oamenii
comunică şi transmit informaţii. De la modulaţia în amplitudine (AM) a undelor radio din
1920 şi pâna la multitudinea de dispozitive wireless a secolulului XX, tehnologia wireless s-a
dezvoltat dramatic, definind noi industrii dând naştere unui set nou de produse şi servicii.
Comunicaţiile wireless au înregistrat o puternică dezvoltare în ultimele zeci de ani. De
la telecomanda televizorului la sisteme ce comunică via satelit, comunicaţiile wireless au
schimbat modul în care trăim. Diferitele dispozitive conectate prin intermediul legăturilor
wireless conferă o mobilitate ridicată şi solicită o infrastructură mult mai simplă decât
obişnuitele reţele cablate. Folosind undele electromagnetice, reţelele wireless transmit şi
primesc date prin atmosferă, minimizând nevoia de reţele cablate. Cu ajutorul tehnolgiei de
azi reţelele wireless sunt foarte accesibile, sigure şi uşor de implementat.
Reţelele wireless au câştigat o popularitate semnificativă printre utilizatorii foarte
mobili şi deasemeni printre cei care fac parte din mici grupuri aşa numitele SoHo (Small
Office Home Office). Reţelele wireless ofera posibilitatea utilizatorilor mobili să aibă acces la
informaţii în timp real. O reţea de calculatoare poate fi realizată atât ca o reţea de sine
stătătoare folosind ca mijloc de comunicaţie doar legăturile wireless , ca o reţea de tip
enterprise-reţea la scară mare înglobând sute de calculatoare-, ca o extensie la o reţea cablată
sau ca un înlocuitor pentru o reţea cablată.
Reţele wireless ad-hoc sunt o colecţie de host-uri care formează o reţea temporară fără
o structură centralizată sau administrare. Topologia reţelei se modifică în mod constant ca
rezultat al faptului că nodurile se alătură sau ies din reţea. Înaintarea pachetelor, rutarea sau
alte operaţii sunt realizate de noduri.
Creşterea popularităţii reţelelor wireless a determinat o scădere rapidă a preţului
echipamentelor wireless concomitent cu o accentuată îmbunătăţire a performanţelor tehnice
ale acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici
decât una tradiţională pe cablu. În acest fel, apar premizele realizării accesului ieftin şi uşor la
Internet membrilor comunităţilor locale, cu toate beneficiile ce rezultă de aici. Accesul la
informaţia globală constituie o sursă de bogăţie la scară locală, prin creşterea productivităţii
3
Enache Andreea Catalina
Grupa SNZ
muncii bazate pe accesul la cvasitotalitatea informaţiilor disponibile în lume în legătură cu
activitatea prestată. Totodată, reţeaua devine mai valoroasă pe măsură ce tot mai mulţi oameni
se leagă la ea.
4
Enache Andreea Catalina
Grupa SNZ
Pentru securizarea reţelelor wireless au fost definite suita de protocoale IEEE 802.11
a/b/g/n cunoscute ca şi Wi-Fi (Wireless Fidelity) şi 802.16 cunoscut şi ca WiMax (Worldwide
Interoperability for Microwave Access).
5
Enache Andreea Catalina
Grupa SNZ
mică
nu este interoperabil cu
802.11 b
6
Enache Andreea Catalina
Grupa SNZ
sau a oricărui tip de date). Lipsa de securitate a reţelelor Open System poate duce la
simplificarea muncii celor ce fac spionaj industrial sau a celor care consideră intruziunea într-
o reţea wireless privată o distracţie.
Situaţia este diferită în cazul reţelelor securizate, utilizatorii, pentru a avea acces la
reţea, trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât
reţeaua cât şi utilizatorii sunt protejaţi de pericolele prezentate mai sus. În caz de nevoie
utilizatorii pot fi separaţi între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele
VPN, sau alte modalităţi.
Puncte slabe ale reţelelor fără fir: Ca la orice altă tehnologie nouă, şi în acest caz a fost
dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să
decurgă cât mai simplu şi mai confortabil. După ce interesul pentru avantajele noii tehnologii
a fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea,
dezvoltarea rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi
câteva breşe de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor
avantaje) mulţi administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea
şi administrarea reţelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că
tehnologia WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea,
aspectul securităţii trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse
ulterior în WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List
(ACL) s-au dovedit a fi nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de
hackeri şi de aşa-numiţii war driveri. Marele minus al tehnologiei constă în lipsa protecţiei
fizice a datelor de transferat, care există în reţelele pe cablu. Pachetele de date sunt prea puţin
protejate la transferul prin unde radio şi se distribuie aproape incontrolabil în mediul ambiant.
Aşadar, ele pot fi de exemplu recepţionate de către terţi, înregistrate, evaluate sau chiar
manipulate. în special monitorizarea traficului de reţea, aşa numitul sniffing, este unul dintre
cele mai mari pericole în WLAN.
3. Reţele wireless
7
Enache Andreea Catalina
Grupa SNZ
În sfârşit, reţelele radio sunt importante pentru armată. Dacă trebuie să faci faţă în cel
mai scurt timp unui război care se poate desfăşura oriunde în lume, atunci probabil că nu este
o idee bună să te bazezi pe infrastructura de reţele existentă la faţa locului. Este mai bine să-ţi
aduci propria reţea.
Deşi reţelele fără fir şi echipamentele de calcul mobile sunt adesea înrudite, ele nu
sunt identice (a se vedea tabelul alăturat). Calculatoarele portabile comunică uneori cu
ajutorul firelor. Dacă într-un hotel un turist racordează un calculator mobil la mufa de telefon,
acesta este un exemplu de mobilitate fără reţea radio. Un alt exemplu se referă la o persoană
care poartă cu sine un calculator mobil în timp ce inspectează, pentru probleme tehnice, un
tren. în acest caz, în spatele calculatorului poate foarte bine să atârne un fir lung (ca la
aspirator).
Deşi LAN-urile fără fir sunt uşor de instalat, ele au şi unele dezavantaje. Capacitatea
lor tipică este de 1-2 Mbps, ceea ce este mult mai puţin decât în cazul LAN-urilor cu fir. De
asemenea, rata de erori este adesea mai mare, iar transmisiile între diferite calculatoare pot
interfera unele cu altele.
Dar există, desigur, şi aplicaţii cu adevărat mobile, fără fir, începând cu biroul portabil
şi terminând cu persoanele care fac inventarul unui magazin folosind PDA-uri. în multe
aeroporttiri aglomerate, angajaţii companiilor de închiriat maşini lucrează în parcări cu
calculatoare portabile fără fir. Ei introduc în calculator numărul de înmatriculare al fiecărei
maşini returnate, iar portabilele lor, care au înglobată o imprimantă, apelează calculatorul
central, primesc informaţii despre închirierea respectivei maşini şi eliberează factura de plată
pe loc.
Wireless LAN reprezintă, mai precis, reţele de calculatoare ce comunică între ele prin
legături definite de standardele 802.11b sau 802.11g. Conform acestor standarde,
comunicarea se face pe banda de frecvenţă de 2.4Ghz pe un număr de maxim 14 canale. La
noi în ţara pot fi utilizate 13 canale fără nici o autorizaţie prealabilă dacă nu se depăşeşte
puterea maximă admisă pentru această frecvenţă.
8
Enache Andreea Catalina
Grupa SNZ
Configuraţia reţelelor locale fără fir bazată pe standardele radio 802.11 poate părea
simplă la prima vedere. In cadrul unei reţele WLAN sunt necesare şi alte măsuri de prevedere
şi o planificare mai profundă.
Factori ce trebuie luaţi în considerare atunci când se proiectează o reţea WLAN:
Lărgimea benzii necesare pentru a suporta utilizatorii şi aplicaţiile fără fir.
Aria de lucru , niveluri de interferenţă pentru frecvenţele radio.
Tipul autentificării şi securităţii cerut de către politica de securitate a
beneficiarului.
Flexibilitate şi posibilitatea de a efectua upgrade-uri.
Preţul , seturile de caracteristici ale 802.11 , capacităţile de management şi abilitatea
de a integra reţeaua fără fir în cadrul reţelei cu fir deja existente.
Întrucât scopul lucrării de faţă este de a studia elementele de securitate disponibile în
cadrul reţelelor fără fir şi deasemeni posibilităţile de întărire a securităţii unei astfel de reţele,
vom discuta despre caracteristicile de securitate şi de autentificare ce trebuie luate în
calcul la dezvoltarea unei reţele fără fir .
9
Enache Andreea Catalina
Grupa SNZ
metode de criptare a datelor şi informaţia suplimentară (overhead-ul) necesar pentur
configurarea fiecărei componente de securitate. Nu în ultimul rănd trebuie testate
caracteristicile de securitate alese pentru software-ul şi hardware-ul client , pentru a vedea
dacă aceste satisfac nevoile reţelei.
Pentru securizare unei reţele fără fir avem la dispoziţie următoarele metode de
autentificare a accesului la reţea şi de criptare a datelor vehiculate în cadrul reţelei.Este bine
de precizat că numai o combinare eficientă a acestor metode va oferi soluţia portivită pentru
fiecare tip de reţea în parte.
Metode de autentificare:
Fără autentficare
Filtrarea adreselor MAC (MAC adress filtering)
Cheie WEP partajată (Shared WEP Key)
Cheie pre partajată (pre-shared key)
802.1x (tehnologii EAP )
Autentificare VPN
Fiecare din aceste metode de autentificare are avantaje şi dezavantaje . Cu cât este mai
puternică autentificare , cu atât sunt necesare mai multe echipamente hard şi aplicaţii soft iar
eforul depus pentru asigurarea funcţionării şi întreţinerii soluţiei de securitate este mai mare .
Există întotdeauna o discrepanţă între o securitate de nivel înalt şi utilitatea sau uşurinţa setării
şi utilzării.
După cum am observat , există mai multe variante pentru a asigura securitatea
spaţiului aferent fără fir . Întrucât nevoie de securitate creşte , complexitatea implementării şi
utilizării creşte de asemenea . Atunci când se aleg anumite caracteristici de securitate trebuie
avuţi în vedere şi clienţii fără fir deja existenţi şi dacă aceştia suportă aceste noi caracterisitic.
Trebuie să ne asigurăm se compatibilitatea deplină a clienţilor NIC cu securitatea furnizată de
punctul de acces sau de switc-ul WLAN.
În următorul tabel sunt prezentate cele mai cunoscute combinaţii de autentificare şi
securitate la nivel de întreprindere . Alegerea schemei potrivite depinde de cerinţele de
securitate , datele care trebuie protejate şi tipul serviciilor oferite de către reţeaua fără fir.
10
Enache Andreea Catalina
Grupa SNZ
11
Enache Andreea Catalina
Grupa SNZ
12
Enache Andreea Catalina
Grupa SNZ
Realizarea practică:
13
Enache Andreea Catalina
Grupa SNZ
Fixed IP Address: în cazul în care provider-ul de Internet asignează o adresă IP
fixă , vor fi introduse adresa IP , masca de subreţea , IP-ul gateway şi IP-ul
serverului DNS pentru roterul broadband
PPPoE cu adresă IP automată: în cazul utilizării unei conexiuni de tip PPPoE
cu ajutorul unui modem dial-ul sau xDSL iar furnizorul de internet va oferi
automat o adresă IP şi apoi un user name şi o parolă pentru a crea conexiunea.
PPPoE cu adresă fixă: aceeaşi situaţie ca în cazul precedent numai că pe lângă
user name şi password adresa IP va fi prestabilită .
PPTP: (point to point tunneling protocol): acest protocol este folosit în cazul în
care se implementează o soluţie de tip VPN sau remote acces.
L2TP: (layer 2 tunneling protocol) o versiune avansată a PPTP .
wireless LAN connection: acest pas este necesar pentru crearea unei reţele
WLAN. La crearea acestei reţele va fi necesar stabilirea unui nume SSID
pentru reaţeaua viitoare şi deasemeni un canal de comunicaţie , date care
trebuie să fie aceleaşi pentru toate dispozitivele wireless din cadrul reţelei nou
create.
Restart
Acest wizard reprezintă o metoda foarte simplă şi foarte la îndemâna unui utilizator
obişnuit de a crea , cu ajutorul dispozitivelor potrivite, o reţea fără fir. În acest moment pentru
mulţi utilizatori instalarea unei reţele WLAN se opreşte aici uşurinţa configurării luând locul
lipsei totale de securizare a reţelei. În momentul acesta router-ul va transmite datele sale de
identificare către toate dispozitivele wireless din aria sa de acoperire , reteaua astfel creată
comportându-se ca un teritoriu fără nici un fel de restricţii.
În continuare vom urmări gradual metodele de securizare a unei reţele fără fir aşa cum
au fost prezentate anterior urmând ca în final să furnizăm o soluţie de securizare a reţelei
folosind o combinaţie între autentificarea conform protocolului 802.1x ce foloseşte o criptare
WEP a datelor vehiculate în cadrul reţelei.
Reţeaua astfel creată se află în stadiul unu de securitate a unei reţele, orice utilzator
putând avea acces la resursele reţelei fără fir. Astfel de reţele sunt folosite de obicei pentru
accesul la internet în cadrul campusurilo universitare , pentru punctele de acces gratuite unde
securitate nu esti un deziderat principal întrucât se presupune că datele vehiculate în reţea nu
necesită protecţie suplimentară.
În continuare vom prezenta facilităţile furnizate de router pentru securizarea reţelei
nou create.
1. Un prim pas care poate fi făcut pentru a securiza reţeaua nou creată este acela de a
dezactiva transmiterea de către router a semnalelor de tip beacon prin care acesta furnizează
clienţilor din aria sa de acoperire numele reţelei dată de SSID-ul implicit stabilit în sesiunea
precedentă de personalizare a reţelei. În cazul în care router-ul dispune de o opţiune pentru
ascunderea identităţii reţelei (SSID),această opţiune trebuie activată. De asemenea, trebuie
modificat numele reţelei, deoarece mai toate folosesc denumirea implicită. În locul acesteia
este de preferat o descriere care să nu însemne nimic re-cognoscibil, în nici un caz numele
proprii. Dacă SSID-ul este ascuns, hacker-ul trebuie să introducă numele reţelei manual, ca şi
în cazul parolelor. Acest truc nu ne oferă însă siguranţă absolută, fiindcă utilitare precum
Network Stumbler descoperă şi reţele ascunse.
Pentru ilustrarea acestei măsuri de securitate am configurat în cadrul domeniului de
configurare a router-ului un SSID de forma : 1yXq34*$56hrYvWdA78 iar funcţia de “SSID
Broadcast ” a fost oprită din meniul cu setari ale reţelei WLAN. Un astfel de identificator al
reţelei ajuta nu numai la protejarea SSID-ului de atacuri de tip Brute-Force , ci oferă şi o
funcţie de securitate importantă: programe gen WEP Crack adună pachetele transmise de
WLAN în scopul spargerii codării WEP .Dar, fiindcă driverele WI-Fi din Linux nu întreprind
14
Enache Andreea Catalina
Grupa SNZ
nici un fel de verificare a datelor prin sume de control , iar caracterele speciale din SSID
(conţinute de fiecare pachet ) nu sunt lizibile pentru program , pachetele sunt declarate ca
fiind defecte şi implicit respinse. Cu alte cuvinte pachetele de date necodate transmise de
WLAN nu mai pot fi interceptate şi sparte.
Pentru conectarea clienţilor reţelei va trebui introdus manual numele reţelei adică
1yXq34*$56hrYvWdA78 iar astfel reţeaua va fi recunoscută imediat ce clientul se află în aria
de acoperire a reţelei.
2. Aşa cum am precizat anterior o reţea care doar are dezactivată funcţia de SSID
broadcast este cu siguranţă susceptibilă unor atacuri de tip MITM întrucât un acces
neautorizat poate fi realizat foarte simplu prin folosirea unei interfeţe de reaţea ce poate lucra
în modul promiscous şi care poate folosi Network Stumbler pentru a intercepta traficul din
reţea şi implicit şi numele SSID al reţealei. Din această cauză o măsură suplimentară de
securitate oferită de majoritatea dispozitivelor fără fir este activarea autentificării WEP.
Router-ul dispune de posibilitatea setării unei autentificări WEP fie de tip Open
System fie de tip cheie partajată. Open sistem permite accesul deschis via reţea wireless la
router însă tipul de autentificare cu cheie partajată se bazează pe o cheie cunoscută de toţi
utilizatorii din reţea . Router-ul permite setarea unei chei maxime de 128 de biţi în format fie
heza zecimal fie în format ASCII. Deasemeni se pot seta un număr de 4 chei WEP care vor
putea fi folosite pentru securizare reţelei.
Problema standardului WEP dată de vectorul de iniţializare.Se recomandăca acest
vector de iniţializare să se repete pentru a nu fi interceptat. Din păcate, acest lucru nu este res-
pectat de toţi producătorii şi nici nu prea există referinţe despre cum se generează un vector de
iniţializare. De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare.
Consecinţa este că, mai devreme sau mai târziu, VI-ul ajunge să se repete. Un studiu realizat
de Universitatea Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de
pachete de date transmise în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI
identic, acesta poate descoperi cheia WEP. Problema cea mai importantă se pare că o
constituie faptul că pentru un atac asupra unei reţele WLAN un rău –voitor nu are nevoie de
software complicat ,programe care pot sparge WEP sunt disponibile de exemplu la adrese ca
wepcrack.sourceforge.net sau airsnort.shmoo.com .
Totuşi aşa cum am precizat mai devreme un element de securitate desuet aşa cum este
WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu
alte metode de întărire a securităţii reţelei.
Deasemenea router-ul dispune de autentificare WPA şi WPA-PSK care vor fi discutate
ulterior fiind o soluţie de securitate mult mai avansată decât simpla folosire a WEP.
3. Router-ul oferă ,ca şi un grad crescut de securitate, două moduri de expediere a
datelor : static sau dinamic. În cadrul rutării statice pot fi stabilite parametrii de rutare a
datelor în cazul în care utilizatorul are o adresă IP statică. Deasemeni este oferită şi
posibilitatea unei rutări dinamice acest tip de rutare încercând să rezolve problema unei rute
prin folosire unor tabele de rutare automate. Rutarea adreselor poate fi folosită în combinaţie
cu o zonă DMZ pentru a direcţiona traficul din reţea către această zonă.
4. În opţiunea de acces la facilităţile ruterului putem utiliza mai multe căi de
restricţionare a accesului la reţeaua WLAN.
a). Filtrarea MAC: această metodă de filtrare a accesului poate fi folosită în conjuncţie
cu orice altă schmă de securitate. Ea adaugă complexitate în întreţinere , printr-o listă a
adreselor MAC a clienţilor care au drepturi de acces. Totuşi această soluţie nu poate fi
considerată o măsură suficintă de a asigura securitate reţelei întrucât chiar şi ruterul folosit în
cadrul acestui proiect dispunde de posibilitatea clonării adresei MAC astfel că o astfel de
măsură poate fi uşor compromisă.
15
Enache Andreea Catalina
Grupa SNZ
b). Filtrarea accesului pe baza protocolului folosit de client . O listă de profile sunt
disponibile şi conform cu caracteristicile acestor protocoale pot fi restrricţionate anumite
porturi de acces la Internet.
c). IP filter- cu ajutorul acestei opţiuni poate fi restricţionat acesul adreselor IP aflate
într-un anumit interval.
d). Virtual Server: cu ajutorul acestei setări putem direcţiona accesul către un server
local din cadrul reţelei.
e). DMZ – zonă tampon pentru clienţii care nu pot avea acces la internet prin
intermediul ruterului datorită elementelor de securitate pe care nu le îndeplines .Calculatorul a
cărei adresă IP este folosită pentru a indica această zonă DMZ va oferi acces nelimitat la
Internet. De obicei acest tip de zone de acces la Internet sunt folosite în cadrul hot spoturilor
gratuite în care informaţiile vehiculate nu sunt importante.
f).Firewall Rule
Aceste setari definesc toate facilităţile puse la dispoziţia unui administrator de a
reglementa anumite permisiuni valabile utilizatorilor reţelei sau celor care doresc să acceseze
reţeaua WLAN. Cu ajutorul acestor opţiuni sunt posibile implementarea schemelor de
securitate prezentate în tabelul de mai sus care nu au nevoie ca metodă de autentificare
folosirea unui server RADIUS şi implicit a unei autentificări conform standardului EAP.
192.168.1.1
192.168.1.100
Mesaje EAP încapsulate tipic pentru RADIUS
Server autentificare
Server AAA (orice server EAP de obicei RADIUS)
192,168,1,,111
1
16
Enache Andreea Catalina
Grupa SNZ
2.Protocolul de comunicaţie
Serverul de autentificare poate fi în acelaşi loc cu autentificatorul sau cele două pot fi
în locuridiferite şi să se acceseze reciproc prin comunicaţie de la distanţă. Multe dintre
funcţiile de autentificare sunt implementate la client şi la serverul de autentificare . Acest
lucru este benefic pentru punctele de acces, deoarece ele au o memorie mică şi putere de
procesare redusă.
Dialogul de autorizare standard constă în :
AP (punctele de acces) cere STA(staţiile) să se identidifice folosind EAPOL
(EAP over LAN).
STA îşi trimite identitatea la AP
AP trimite mai departe identitatea STA la AS (server de autentificare), prin
intermediul EAP
Între AS şi STA are loc un dialog de autentificare
Dacă dialogul este terminat cu success , STA şi AS partajează cheie de sesiune
AS trimite cheia de sesiune la AP într-un atribut RADIUS precum şi o parte a
mesajului de acceptare a RADIUS
Clientul wireless încearcă să se autentifice la reţea prin intermediul ruterului , dar
înaintea autentificării este deschis numai un port necontrolat ce va permite doar mesaje de
autentificare de tip EAPOL. Aceste mesaje vor fi trimise către serverul RADIUS care va
verifica credenţialele clientului prin analiza conturilor din cadrul Active Directory.
Pentru realizarea practică am folosit configuraţia precedentă pe care am ilustrat
posibilităţile de securizare ale reţelei doar cu ajutorul funcţiilor oferite de ruter iar în plus
pentru realizarea configuraţiei de lucru pe calculatorul pe care am instalat ruterul am folosit
Windows Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de
autentificare a clienţilor wireless.
17
Enache Andreea Catalina
Grupa SNZ
Active Directory
Active Directory este o implementare a serviciilor de directoare LDAP, folosită de
Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la
dispoziţia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor,
instalarea programelor, înnoirea securităţii. Toate aceste operaţiuni pot fi aplicate atât la reţele
mici, cât şi la reţele complexe.
Active Directory (AD) - este o ierarhie de câteva obiecte, unde obiectele se împart în
trei categorii: resurse (ex: imprimantă), servicii (ex: poşta electronică), resurse umane (ex:
utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la
dispoziţie informaţii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea
securităţii..
4. Implementare practică
a). Implementarea autentificatorului
La nivelul ruterului am redirecţionat tot traficul ce încerca să acceseze resursele reţelei
către serverul RADIUS . Pentru autentificarea clienţilor am folosit Wi-Fi protected Acces cu
TKIP toate cererile de accesare a reţelei fiind redirecţionate către serverul RADIUS indicat
prin adresa 192.168.1.111:1812. Deasemeni pentru comunicaţia dintre ruter-ul wireless şi
server este necesară stabilirea unei chei secrete de comunicare.
b).Implementarea serverului
18
Enache Andreea Catalina
Grupa SNZ
19
Enache Andreea Catalina
Grupa SNZ
clientul ce doreşte să se conecteze remote trimite un răspuns ce va cuprinde : user
name/un pachet arbitrar de date de tip challenge/o criptare de tip one –way a pachetului de
date primit .
autentificatorul verifică răspunsul clientului şi răspunde furnizând : un răspuns ce
indică reuşita sau eşecul sesiuni de conectare, un răspuns de autentificare bazat pe pachetul de
date trimis de suplicant.
clientul verifică validitatea răspunsului de autentificare iar dacă aceasta e corectă
foloseşte conexiunea.
Pentru a putea genera un raport corespunzător cu privire la calitatea clienţilor ce
doresc să acceseze reţeaua am creat în cadrul Active Directory un grup de utilizatori ce va
conţine toti clienţii wireless ce se vor conecta la reţea, asupra fiecăruia stabilind condiţii de
negociere a autentificării. Vom folosi pentru autentificare protocolul PEAP . Spre deosebire
de EAP-TLS , acest protocol se potriveşte mai mult reţelelor care au nevoie de o autentificare
puternică însă fără a utiliza cerificate mutuale.
Pentru ca, un utilizator să se poată conecta de la distanţă, este obligatoriu ca el să aibă
un cont de utilizator în cadrul domeniului sau grupului de lucru gestionat de server. În cazul
nostru există un grup de lucru în cadrul căruia creem un grup de utilizatori ”wireless”. Mai
departe, în cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distanţă,
practic clienţii WLAN.Astfel vom avea următorii utilizatori, cu nume generice: “George”, “
Daniel” , “Alina” iar grupul de utilizatori poate fi extins în funcţie de cerinţe. La creearea
utilizatorilor, se vor crea practic conturi de acces în reţea. Aceste conturi se vor conforma
politicilor de securitate stabilite în Windows Server 2003. Este o autentificare bazată pe nume
de utilizator şi parolă.
Pentru fiecare utilizator trebuiesc setate anumite proprietaţi, pentru a putea avea acces
de la distanţă. Asfel, la fiecare cont de utilizator se va merge la “Proprietaţi” şi apoi la butonul
“Dial-in”.
20
Enache Andreea Catalina
Grupa SNZ
c).Implementarea suplicanţilor
Pentru fiecare client în parte vom stabili acessul de tip remote folosin ca şi metodă de
autentificare 802.1x PEAP cu protocolul MS-CHAP v2. . La proprietaţile conexiunii, putem
seta ce tip de conexiune se va iniţia (PPTP sau L2TP), nivelul de criptare pe care îl dorim,
metoda de autentificare folosită (MS-CHAP.v2, EAP), modul de autentificare (smart-card,
certificate digitale).
PEAP este o metodă de autentificare ce protejează negocierea de tip EAP, încriptând
conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless 802.11. PEAP poate fi
folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă autentificare mutuală aşa cum am
observat din detalierea paşilor pe care îi urmează procesul de autentificare. Sau EAP-TLS,
care este cea mai puternică şi necesită o infrastructură de chei publice PKI.
În funcţie de politica de securitate pe care am stabilit-o pe server, vom seta conexiunea
în felul următor:
-tip tunel: PPTP
-metoda de autentificare: PEAP în conjunţie cu MS-CHAP.v2
21
Enache Andreea Catalina
Grupa SNZ
În momentul conectării la reţea după redirecţionarea accesului către server vom oferi
credenţialele proprii care vor fi comparate cu cele introduse pentru fiecare client în Active
Directory accesul la reţea şi implicit la resursele reţelei fiind permis decât după confruntarea
credenţialeleor introduse de utilizator cu cele stocate în cadrul grupului creat.
22
Enache Andreea Catalina
Grupa SNZ
Concluzii
Reţelele fără fir furnizează noi provocări la adresa securităţii şi administratorilor, care
nu au fost întâlnite în reţelele cablate. Cele mai bune practici dictează o structurare cât mai
adecvată a nivelelor pentru securitatea reţelei. Ar trebui luată în considerare configurarea
punctelor de acces, firewall-urilor şi a VPN-urilor. Strategiile de securitate ar trebui definite
pentru un nivel acceptabil al performanţei. Sistemul de detectare a intruşilor în reţelele fără fir
ar trebui să elimine problemele de securitate şi să asigure că ceea ce credem că este securizat
este, de fapt, aşa.
După toate elementele de funcţionalităţile de securitate şi opţiunile menţionate până
acum în această lucrare, anumite puncte de configurare trebuie avute în vedere în cadrul
proiectării reţelelor fără fir de către administratorii unor astfel de reţele . Pe lângă metodele de
securitate mai sus detaliate sunt necesare anumite setări de siguranţă care să funcţioneze ca o
primă barieră în faţa posibililor atacatori.
23
Enache Andreea Catalina
Grupa SNZ
Bibliografie
24