Enache Andreea Catalina

Grupa SNZ

Securitatea retelelor wireless

1.Introducere

Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită

pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt
uimitoare: calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă,
iar reţelele, după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au
experimentat diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o
formă destul de avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de
calculatoare. Secolul nostru a generat dependenţa de informaţie : oameni care au nevoie să fie
în permanenţa conectaţi. Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi
fibrele optice nu sunt de nici un folos. Ei au nevoie de date pentru calculatoarele lor portabile,
de buzunar, fără a fi legaţi de infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori,
răspunsul îl constituie comunicaţiile fără fir.
Reţelele wireless sau mai simplu WLAN au apărut ca o alternativă la reţeaua LAN
prin cablu reprezentând un sistem flexibil de comunicatii de date , folosit ca o extensie sau o
alternativă la reţelelor cablate , într-o clădire sau un grup de clădiri apropiate . Folosind
undele electromagnetice , dispozitivele WLAN transmit şi primesc date prin aer , eliminând
necesitatea cablurilor şi transformând reţeaua într-un LAN mobil . Astfel , dacă o firmă are un
WLAN , la mutarea în alt sediu nu este nevoie de cablări şi găuriri în pereţi plafoane pe care
acestea le presupun , ci pur şi simplu se mută calculatoarele şi reţeaua poate funcţiona imediat
. Ce-i drept , în general reţelele WLAN se folosesc împreună cu LAN-urile clasice , mai ales
pentru partea de tipărire în reţea pentru legătura la server .
Tema acestui proiect îl reprezintă studiul de caz asupra reţelelor fără fir şi mai ales a
cerinţelor de securitate pe care le presupune o astfel de reţea ,cu aplicaţii practice în realizare
unei reţele WLAN care să îndeplinească cerinţele unei reţele sigure din punct de vedere a
securităţii atât a accesului la reţea cât şi a datelor vehiculate în cadrul reţelei. Următorul
proiect urmăreşte identificarea elementelor de securitate deja existente în cadrul unei reţele
fără fir , posibilităţi de securizare oferite de dipozitive de securizare ale reţelei iar parte
practică se constituie într-un ghid practic ce va puncta configurări şi măsuri de securitate
pentu un mediu de comunicaţie cât mai sigur.
Produsele fără fir, de la comanda la distanţă a televizoarelor şi închiderii uşilor
automobilelor la telefonia celulară , utilizează o formă de energie cunoscută ca radiaţie
electromagnetică pentru a transporta semnalele. În ultimi ani comunicaţiile fără fir şi cele
mobile au cunoscut o creştere explozivă în ceea ce priveşte numărul de servicii asigurate şi
tipurile de tehnologii devenite disponibile .Tehnologia celulară , transimiterea de date în reţele
mobile şi serviciile multimedia sunt într-o dezvoltare rapidă , utilizatorii mobili având acces la
servicii precum e-mail , telefonie , video , e-banking ,etc.
De câţiva ani , reţelele de calculatoare sunt folosite pentru a interconecta calculatoare
pesonale şi servere în firme , universitaţi şi oraşe , însă în ultimii ani a avut o evoluţie rapidă
în direcţia folosirii reţelelor fără fir . De fapt, în prezent sunt disponibile interfeţe fără fir
pentru utilizarea serviciilor de reţea care ne permit să folosim poşta electronică şi să navigăm
pe Internet aproape din orice loc ne-am afla .
Sistemele fără fir oferă beneficiul mobilităţii utilizatorilor şi o desfăşurare flexibilă a
unei reţele într-o anumită arie. Mobilitatea utilizatorilor îi permite unui client al reţelei să se
mişte în diferite locaţii ale reţelei fără să-şi piardă conexiunea la reţea .Reţelele fără fir oferă
deasemenea avantajul că adăugarea unui nod la reţea se poate face fără prea multă planificare
1
Enache Andreea Catalina
Grupa SNZ
sau costuri suplimentare de reclabare. Aceasta face ca viitoare dezvoltări ale reţelei să fi
uşoare şi ieftine . Creşterea rapidă a folosirii laptoupurilor şi PDA-urilor a condus de
asemenea la creşterea dependenţei de reţelele fără fir datorită faptului că reţelele radio pot
face mai uşor faţă creşterii dinamice a utilizatorilor unei reţele.
Ca orice tehnologie relativ nouă , reţelele fără fir reprezintă un mediu de comunicaţie
susceptibil la ameninţări ce ţin nu numai de acţiuni din exteriorul mediului ,dar uneori lipsa
unei documentări puternice asupra capabilităţilor unui astfel de mediu se traduce în probleme
de securitate.
Provocările oferite de reţelele fără fir pot fi detaliate pe mai multe planuri.
 Deficitul lăţimii de bandă face ca pentru reţelele radio divizarea lăţimii de
bandă să fie esenţială , de vreme ce spectrul radio nu numai că este destul de
scump , dar este totodată şi limitat.
 Accesul multiplu , adică succesul unei tranmisii nu este independent de alte
transmisii . Pentru a face o transmisie reuşită trebuie evitată interferenţa sau cel
puţin ţinută sub control. Pe de altă parte transmisiile multiple pot duce la
coliziuni sau la semnale deformate.
 Direcţiile multiple de transmisie produc erori variabile de transmisie care por
conduce la o conectivitate intemitentă.
 Mobilitate , securitatea şi calitatea servicului.
Următoarea lucrare se va baza în special pe acest ultim deziderat al unei reţele WLAN
şi pe aplicaţiile ce rezidă din necesitatea unei conexiuni tot mai sigure şi mai de calitate în
cadrul unei reţele fără fir.

2. Notiuni generale

Criptografia este ştiinţa scrierilor secrete. Ea stă la baza multor servicii şi mecanisme
de securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în
intenţia de a ascunde conţinutul lor sau de a le proteja împotriva modificării. Criptografia are
o lungă istorie, confidenţialitatea comunicării fiind o cerinţă a tuturor timpurilor. Dacă ar
trebui să alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu
atât datorită celebrităţii împăratului roman de care se leagă folosirea lui, ci pentru că
principiul său de baza, al substituţiei, s-a menţinut nealterat aproape două milenii.
Scopul de bază al criptografiei:
1. Confidenţialitate – asigurarea că nimeni nu poate citi mesajul cu excepţia
destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de
către persoane neautorizate. Prin manipularea datelor înţelegem procese cum ar fi inserţii,
întârzieri sau substituiri.
3. Autentificarea – presupune posibilitatea de identificare a sursei informaţiei şi a
entităţii (o persoană, un terminal de computer, o carte de credit).
4. Non-repudierea – care previne negarea unor angajamente sau acţiuni anterioare.
Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace
sunt menite să garanteze că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu
a fost manipulată de persoane neautorizate.
Tehnica identificării sau autentificării identităţilor asigură că ambii participanţi (prin
probe coroborate sau dobândite) implicaţi au într-adevăr identitatea pe care o pretind. Acest
lucru se realizează prin transmiterea de date necesare pentru a identifica părţile care participă
la comunicaţie, ambii participanţi fiind activi în această comunicaţie oferind astfel
oportunitatea unei garanţii.

2
Enache Andreea Catalina
Grupa SNZ
Este important a înţelege importanţa autentificării. Într-un canal de comunicaţii cu un
sistem ideal de criptografie cu chei publice teoretic cele două părţi pot comunica prin
intermediul canalului fără a resimţi nevoia schimbării de chei. Ori un adversar activ poate
înfrânge sistemul (să decripteze mesajele menite să le recepţioneze cea de-a doua entitate)
fără a „sparge” sistemul de criptografie.
Tehnica autentificării entităţilor se poate împărţi în trei mari categorii, în funcţie de
tipul de securitate:
- ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru
obţinerea de chei simetrice) Numere Personale de Identificare (PIN-uri) şi chei private, care
prin protocoale provocare-răspuns, se dovedeşte cunoaşterea lor.
- ceva posedat. Acest aspect se referă mai mult la accesorii fizice un fel de paşaport
încă valabil. Exemple sunt card-urile smart (card-uri de mărimea unuia de credit cu un
microprocesor încorporat sau cu un circuit integrat).
- ceva moştenit(pentru o persoană). Această categorie include metode care fac uz de
caracteristici fizice şi de acţiuni involuntare cum ar fi semnătura, amprente digitale, vocea,
modelul retinei, geometria mâinii precum şi caracteristicile dinamice ale tastatului. Însă
acestea sunt tehnici non-criptografice.

Descriere context şi obiective.

Încă din momentul în care Gugliemo Marconi a realizat legătura între un vapor şi un
punct de pe coastă folosind telegraful fără fir şi codul Morse (punctele şi linile sunt în
definitiv binare) în anul 1901, tehnologia wireless a modificat modul în care oamenii
comunică şi transmit informaţii. De la modulaţia în amplitudine (AM) a undelor radio din
1920 şi pâna la multitudinea de dispozitive wireless a secolulului XX, tehnologia wireless s-a
dezvoltat dramatic, definind noi industrii dând naştere unui set nou de produse şi servicii.
Comunicaţiile wireless au înregistrat o puternică dezvoltare în ultimele zeci de ani. De
la telecomanda televizorului la sisteme ce comunică via satelit, comunicaţiile wireless au
schimbat modul în care trăim. Diferitele dispozitive conectate prin intermediul legăturilor
wireless conferă o mobilitate ridicată şi solicită o infrastructură mult mai simplă decât
obişnuitele reţele cablate. Folosind undele electromagnetice, reţelele wireless transmit şi
primesc date prin atmosferă, minimizând nevoia de reţele cablate. Cu ajutorul tehnolgiei de
azi reţelele wireless sunt foarte accesibile, sigure şi uşor de implementat.
Reţelele wireless au câştigat o popularitate semnificativă printre utilizatorii foarte
mobili şi deasemeni printre cei care fac parte din mici grupuri aşa numitele SoHo (Small
Office Home Office). Reţelele wireless ofera posibilitatea utilizatorilor mobili să aibă acces la
informaţii în timp real. O reţea de calculatoare poate fi realizată atât ca o reţea de sine
stătătoare folosind ca mijloc de comunicaţie doar legăturile wireless , ca o reţea de tip
enterprise-reţea la scară mare înglobând sute de calculatoare-, ca o extensie la o reţea cablată
sau ca un înlocuitor pentru o reţea cablată.
Reţele wireless ad-hoc sunt o colecţie de host-uri care formează o reţea temporară fără
o structură centralizată sau administrare. Topologia reţelei se modifică în mod constant ca
rezultat al faptului că nodurile se alătură sau ies din reţea. Înaintarea pachetelor, rutarea sau
alte operaţii sunt realizate de noduri.
Creşterea popularităţii reţelelor wireless a determinat o scădere rapidă a preţului
echipamentelor wireless concomitent cu o accentuată îmbunătăţire a performanţelor tehnice
ale acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici
decât una tradiţională pe cablu. În acest fel, apar premizele realizării accesului ieftin şi uşor la
Internet membrilor comunităţilor locale, cu toate beneficiile ce rezultă de aici. Accesul la
informaţia globală constituie o sursă de bogăţie la scară locală, prin creşterea productivităţii

3
Enache Andreea Catalina
Grupa SNZ
muncii bazate pe accesul la cvasitotalitatea informaţiilor disponibile în lume în legătură cu
activitatea prestată. Totodată, reţeaua devine mai valoroasă pe măsură ce tot mai mulţi oameni
se leagă la ea.

Figura.11: Tipuri de reţele wireless

Chiar şi fără accesul la Internet comunităţile legate la reţele wireless se bucură de

avantaje - pot colabora la diferite proiecte cu întindere geografică mare folosind comunicaţii
vocale, e-mail–uri şi transmisii de date cu costuri foarte mici. În ultimă instanţă, oamenii
înţeleg că aceste reţele sunt realizate pentru a intra mai uşor în legătură unii cu alţii.
O reţea, fie că este cablată sau wireless, este creată pentru a transporta date între doi
sau mai mulţi clienţi. Tipul datelor poate avea un caracter public sau confidenţial. Dacă pentru
datele de tip neconfidenţial securitatea conexiunii nu este o problemă chiar aşa de importantă,
pentru cele confidenţiale, securitatea datelor este critică.
Securitatea reţelelor wireless este cu atât mai greu de obţinut mai ales datorită
vulnerabilităţii legăturilor, protecţiei fizice limitate a fiecărui dintre noduri, conectivităţii
sporadice, topologiei care se schimbă dinamic, absenţa autorităţii de certificare şi lipsa unei
monitorizări centralizate sau unui punct de management.

4
 Enache Andreea Catalina
Grupa SNZ
Pentru securizarea reţelelor wireless au fost definite suita de protocoale IEEE 802.11
a/b/g/n cunoscute ca şi Wi-Fi (Wireless Fidelity) şi 802.16 cunoscut şi ca WiMax (Worldwide
Interoperability for Microwave Access).

Figure 1.2 : Acoperirea cu semnal de la un punct de acces

Tabel 1. Informaţii despre standardele reţelelor wireless

Standard Rata de Banda Tipul de Securitate Pro şi contra – informaţii

transfer modulaţie a
IEEE Până la 2 Operează în banda de FHSS sau WEP şi Acest standard a fost extins
802.11 Mbps în frecvenţe ISM DSSS WPA la 802.11 b
banda de (Industrie, Ştiinţă,
2.4 GHz Medicină)
IEEE Până la 54 OFDM WEP şi Ratificat la 16 septembrie
802.11a Mbps în Operează în banda ISM WPA 1999
(Wi-Fi) banda de între 5,745 şi 5,805 Se folosesc opt canale
5GHz GHz şi în banda UNII Posibilitatea de interferenţă
(Unlicensed National mai mică decât 802.11 b şi g
Information suportă mai bine multimedia
Infrastructure) între voce şi video în aplicaţii cu
5,170 şi 5,320 GHz. mai mulţi utilizatori
raza de operativitate mai

5
 Enache Andreea Catalina
Grupa SNZ
mică
nu este interoperabil cu
802.11 b

IEEE Până la WEP şi ratificat în 16 septembrie

802.11b 11Mbps în Operează în banda de Modulaţiile WPA 1999;
(Wi-Fi) banda de frecvenţe ISM numai de putere la ieşire de până la 1
2.4 GHz (Industrie, Ştiinţă, tipul celor watt;
Medicină) care au Are nevoie de mai puţine
dispersia puncte de acces decât
spectrului 802.11a pentru acoperirea
cuprinsă între unor arii largi;
2,412 şi Oferă acces de viteză mare
2,484 GHz: până la distanţa de 300
DSSS cu picioare
CCK Sunt disponibile 14 canale în
banda de 2.4 GHz (dintre
care numai 11 se pot folosi în
U.S. datorită reglementărilor
FCC)
IEEE Până la Banda ISM OFDM la WEP şi Ratificat în iunie 2003
802.11g 54Mbps în peste 20 WPA Poate înlocui 802.11b
(Wi-Fi) banda de Mbps, DSSS Capabilităţi de securitate
2.4 GHz cu CCK sub sporită
20 Mbps
IEEE În banda de OFDM DES şi Ratificat în 2004;
802.16 10 la 66 Două benzi licenţiate: AES Poate să utilizeze mai multe
(WiMAX) GHz 3,3 – 3,8 GHz şi 2,3 – benzi de frecvenţe, licenţiate
2,7 GHz; şi nelicenţiate, alocate de
Bandă nelicenţiată: ITU;
5,725 – 5,85 GHz. Defineşte un standard pentru
reţele de bandă largă wireless
metropolitane
IEEE Suport 2 la 11 GHz OFDM DES3 şi
802.16a pentru AES
gama de la
2 la 11 GHz
Bluetooth Până la 2 banda de 2.45GHz FHSS PPTP, SSL Nu suportă TCP/IP sau
Mbps sau VPN wireless LAN;
Utilizat mai cu seamă pentru
conectarea PDA-urilor,
telefoanelor mobile şi PC
într-o arie mică.

Prin folosirea acestor metode de securizare se asigură controlul de acces la reţea şi

confidenţialitatea datelor care trec prin aceasta.
Într-o reţea wireless deschisă (numită şi Open System), oricine se află în aria de
acoperire se poate conecta, chiar şi utilizatorii nedoriţi. De aici se ajunge la diverse probleme
cum ar fi irosirea lăţimii de bandă (folosită de intruşi), introducerea de programe cu caracter
maliţios în reţeaua privată, sau aşa numitul eavesdropping (interceptarea şi citirea mesajelor

6
Enache Andreea Catalina
Grupa SNZ
sau a oricărui tip de date). Lipsa de securitate a reţelelor Open System poate duce la
simplificarea muncii celor ce fac spionaj industrial sau a celor care consideră intruziunea într-
o reţea wireless privată o distracţie.
Situaţia este diferită în cazul reţelelor securizate, utilizatorii, pentru a avea acces la
reţea, trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât
reţeaua cât şi utilizatorii sunt protejaţi de pericolele prezentate mai sus. În caz de nevoie
utilizatorii pot fi separaţi între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele
VPN, sau alte modalităţi.
Puncte slabe ale reţelelor fără fir: Ca la orice altă tehnologie nouă, şi în acest caz a fost
dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să
decurgă cât mai simplu şi mai confortabil. După ce interesul pentru avantajele noii tehnologii
a fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea,
dezvoltarea rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi
câteva breşe de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor
avantaje) mulţi administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea
şi administrarea reţelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că
tehnologia WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea,
aspectul securităţii trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse
ulterior în WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List
(ACL) s-au dovedit a fi nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de
hackeri şi de aşa-numiţii war driveri. Marele minus al tehnologiei constă în lipsa protecţiei
fizice a datelor de transferat, care există în reţelele pe cablu. Pachetele de date sunt prea puţin
protejate la transferul prin unde radio şi se distribuie aproape incontrolabil în mediul ambiant.
Aşadar, ele pot fi de exemplu recepţionate de către terţi, înregistrate, evaluate sau chiar
manipulate. în special monitorizarea traficului de reţea, aşa numitul sniffing, este unul dintre
cele mai mari pericole în WLAN.

3. Reţele wireless

Calculatoarele mobile reprezintă segmentul din industria tehnicii de calcul cu

dezvoltarea cea mai rapidă. Mulţi posesori ai acestor calculatoare au la birou sisteme legate la
LAN-uri şi WAN-uri şi vor să se conecteze la acestea, chiar şi atunci când se află în locuri
depărtate de casă sau pe drum. Deoarece legăturile prin fir sunt imposibile în maşini şi
avioane, interesul pentru reţelele radio este foarte puternic. În această secţiune vom face o
scurtă introducere în acest subiect prezentând mai în detaliu principiile teoretice ce stau la
baza funcţionării unei mediu fără fir.
Comunicaţiile digitale fără fir nu reprezintă, de fapt, o idee nouă. încă din 1901,
fizicianul italian Guglielmo Marconi a realizat legătura între un vapor şi un punct de pe coastă
folosind telegraful fără fir şi codul Morse (punctele şi liniile sunt, în definitiv, binare).
Sistemele radio moderne au performanţe mai bune, dar ideea fundamentală a rămas aceeaşi.
Reţelele radio au numeroase utilizări. Biroul portabil reprezintă una dintre ele.
Oamenii aflaţi pe drum doresc adesea să folosească echipamentele lor electronice portabile
pentru a trimite şi primi faxuri şi poştă electronică, pentru a citi fişiere aflate la distanţă,
pentru a se conecta la distanţă şi aşa mai departe. Şi doresc să facă aşa ceva din orice loc de pe
uscat, apă sau aer. Reţelele radio sunt de mare importanţă pentru parcurile de camioane,
taxiuri şi autobuze, ca şi pentru echipele de intervenţie care trebuie să menţină contactul cu
baza. Reţelele radio pot fi de asemenea utile pentru echipele de intervenţie în locuri de
dezastru (incendii, inundaţii, cutremure etc.) unde sistemul telefonic a fost distrus.
Calculatoarele aduse la faţa locului pot să trimită mesaje, să înregistreze informaţii şi aşa mai
departe.

7
Enache Andreea Catalina
Grupa SNZ
În sfârşit, reţelele radio sunt importante pentru armată. Dacă trebuie să faci faţă în cel
mai scurt timp unui război care se poate desfăşura oriunde în lume, atunci probabil că nu este
o idee bună să te bazezi pe infrastructura de reţele existentă la faţa locului. Este mai bine să-ţi
aduci propria reţea.

Tabel 2 : Combinaţii de reţele fără fir şi tehnică de calcul mobilă.

Fără fir Mobil Aplicaţii

Nu Nu Staţii de lucru staţionare într-un birou
Nu Da Folosirea unui calculator portabil într-un hotel sau pentru
Da Nu inspecţia trenurilor
LAN-uri instalate în clădiri mai vechi, fără fire
Da Da Birouri mobile; PDA-uri pentru inventarierea magaziei

Deşi reţelele fără fir şi echipamentele de calcul mobile sunt adesea înrudite, ele nu
sunt identice (a se vedea tabelul alăturat). Calculatoarele portabile comunică uneori cu
ajutorul firelor. Dacă într-un hotel un turist racordează un calculator mobil la mufa de telefon,
acesta este un exemplu de mobilitate fără reţea radio. Un alt exemplu se referă la o persoană
care poartă cu sine un calculator mobil în timp ce inspectează, pentru probleme tehnice, un
tren. în acest caz, în spatele calculatorului poate foarte bine să atârne un fir lung (ca la
aspirator).
Deşi LAN-urile fără fir sunt uşor de instalat, ele au şi unele dezavantaje. Capacitatea
lor tipică este de 1-2 Mbps, ceea ce este mult mai puţin decât în cazul LAN-urilor cu fir. De
asemenea, rata de erori este adesea mai mare, iar transmisiile între diferite calculatoare pot
interfera unele cu altele.
Dar există, desigur, şi aplicaţii cu adevărat mobile, fără fir, începând cu biroul portabil
şi terminând cu persoanele care fac inventarul unui magazin folosind PDA-uri. în multe
aeroporttiri aglomerate, angajaţii companiilor de închiriat maşini lucrează în parcări cu
calculatoare portabile fără fir. Ei introduc în calculator numărul de înmatriculare al fiecărei
maşini returnate, iar portabilele lor, care au înglobată o imprimantă, apelează calculatorul
central, primesc informaţii despre închirierea respectivei maşini şi eliberează factura de plată
pe loc.
Wireless LAN reprezintă, mai precis, reţele de calculatoare ce comunică între ele prin
legături definite de standardele 802.11b sau 802.11g. Conform acestor standarde,
comunicarea se face pe banda de frecvenţă de 2.4Ghz pe un număr de maxim 14 canale. La
noi în ţara pot fi utilizate 13 canale fără nici o autorizaţie prealabilă dacă nu se depăşeşte
puterea maximă admisă pentru această frecvenţă.

Există două moduri de realizare a unei reţele fără fir:

• Ad-hoc - Se conectează între ele mai multe calculatoare. Nu există conectivitate cu o
reţea cu fir sau conectarea cu reţeaua cu fir se face prin intermediul unui calculator cu o
aplicaţie software dedicată. Se pretează în general pentru un număr redus de calculatoare
aflate pe o suprafaţă mică. Fiecare calculator se conectează cu celălalt fără a fi nevoie de un
alt echipament.
• Infrastructure - Comunicarea se face prin intermediul unui echipament activ numit
access point (AP). O legătură între 2 calculatoare se face prin intermediul access point-ului la
care sunt conectate fiecare dintre ele. Acest mod de lucru permite o rază mare de acoperire
prin utilizarea mai multor access point-uri conectate intre ele. De asemenea, e modul de lucru
preferat dacă se doreşte interconectarea unei reţele cu fir cu o reţea fără fir sau legătura între
un număr mare de clienţi fără fir.

8
Enache Andreea Catalina
Grupa SNZ

Figure1.3:Moduri de realizare a unei reţele fără fir

Pentru o bună inţelegere a modului de realizare şi a facilităţilor oferite de reţelele

wireless trebuie mai întâi să înţelegem elementele de bază şi modul de realizare a reţelelor
cablate.

APLICAŢIE - Selectarea strategiei de securitate potrivite

Configuraţia reţelelor locale fără fir bazată pe standardele radio 802.11 poate părea
simplă la prima vedere. In cadrul unei reţele WLAN sunt necesare şi alte măsuri de prevedere
şi o planificare mai profundă.
Factori ce trebuie luaţi în considerare atunci când se proiectează o reţea WLAN:
 Lărgimea benzii necesare pentru a suporta utilizatorii şi aplicaţiile fără fir.
 Aria de lucru , niveluri de interferenţă pentru frecvenţele radio.
 Tipul autentificării şi securităţii cerut de către politica de securitate a
beneficiarului.
 Flexibilitate şi posibilitatea de a efectua upgrade-uri.
Preţul , seturile de caracteristici ale 802.11 , capacităţile de management şi abilitatea
de a integra reţeaua fără fir în cadrul reţelei cu fir deja existente.
Întrucât scopul lucrării de faţă este de a studia elementele de securitate disponibile în
cadrul reţelelor fără fir şi deasemeni posibilităţile de întărire a securităţii unei astfel de reţele,
vom discuta despre caracteristicile de securitate şi de autentificare ce trebuie luate în
calcul la dezvoltarea unei reţele fără fir .

1.Selectarea strategiei de securitate potrivite

Alegerea tipului autentificării, criptării datelor şi securităţii prin care se asigură

integritatea pachetelor pentru o reţea fără fir LAN depinde de o serie de factori. Politica de
securitate a companiei , tipul datelor pe care încercăm să le protejăm, complexitatea soluţiei
de securitate joacă un rol important în alegerea tipului de autentificare şi a schemei de criptare
a datelor . Ce dorim să protejăm şi cine ar trebui să primească acces la reaţea ? Îm al doilea
rând artrebui să înţelegem, pe deplin beneficiile fiecărui tip de autentificare şi ale fiecărei

9
Enache Andreea Catalina
Grupa SNZ
metode de criptare a datelor şi informaţia suplimentară (overhead-ul) necesar pentur
configurarea fiecărei componente de securitate. Nu în ultimul rănd trebuie testate
caracteristicile de securitate alese pentru software-ul şi hardware-ul client , pentru a vedea
dacă aceste satisfac nevoile reţelei.
Pentru securizare unei reţele fără fir avem la dispoziţie următoarele metode de
autentificare a accesului la reţea şi de criptare a datelor vehiculate în cadrul reţelei.Este bine
de precizat că numai o combinare eficientă a acestor metode va oferi soluţia portivită pentru
fiecare tip de reţea în parte.

Metode de autentificare:
 Fără autentficare
 Filtrarea adreselor MAC (MAC adress filtering)
 Cheie WEP partajată (Shared WEP Key)
 Cheie pre partajată (pre-shared key)
 802.1x (tehnologii EAP )
 Autentificare VPN
Fiecare din aceste metode de autentificare are avantaje şi dezavantaje . Cu cât este mai
puternică autentificare , cu atât sunt necesare mai multe echipamente hard şi aplicaţii soft iar
eforul depus pentru asigurarea funcţionării şi întreţinerii soluţiei de securitate este mai mare .
Există întotdeauna o discrepanţă între o securitate de nivel înalt şi utilitatea sau uşurinţa setării
şi utilzării.

Metode de criptare a datelor:

 Fără criptare
 WEP static
 WEP dinamic (WEP rotativ)
 Acces protejat WIFI (WPA cu TKIP şi AES-CCM)
 Criptarea VPN printr-un terţ (3rd party VPN Encryption)
După selectarea unei metode de autentificare pentru reţeaua WLAN , se trece la
selectarea unei scheme de criptare a datelor pentru protejarea pachetelor de date care circulă
în aer liber. Unele din aceste scheme d criptare pot fi folosite doar cu metode de autentificare
specifice.
Pentru soluţii de securitate la nivel de întreprindere , standardul minim de securitate
car trebuie ales este Dinamyc WEP . Dinamyc WEP foloseşte 802.1x pentru a asigura p
autentificare puternică şi generează dinamic o cheie WEP unică pentru fiecare utilizator al
reţelei.
Combinaţii ale metodelor de securizare ale reţelelor fără fir.

După cum am observat , există mai multe variante pentru a asigura securitatea
spaţiului aferent fără fir . Întrucât nevoie de securitate creşte , complexitatea implementării şi
utilizării creşte de asemenea . Atunci când se aleg anumite caracteristici de securitate trebuie
avuţi în vedere şi clienţii fără fir deja existenţi şi dacă aceştia suportă aceste noi caracterisitic.
Trebuie să ne asigurăm se compatibilitatea deplină a clienţilor NIC cu securitatea furnizată de
punctul de acces sau de switc-ul WLAN.
În următorul tabel sunt prezentate cele mai cunoscute combinaţii de autentificare şi
securitate la nivel de întreprindere . Alegerea schemei potrivite depinde de cerinţele de
securitate , datele care trebuie protejate şi tipul serviciilor oferite de către reţeaua fără fir.

10
 Enache Andreea Catalina
Grupa SNZ

Tabel : Scheme de securizare

Metoda de Metoda de criptare Descriere

autentificare a datelor
Nici una Nici una Reţeaua wireless e folosită ca o reţea de nivel secundar,
fără securitate. Poate fi folosită pentru punctele de acces
gratuite , reţele pentru clienţi cu trafic VLAN către
reţelele externe împreună cu o soluţie de securitate VPN.
Cheie partajată WEP static Securitatea datelor nu este prioritară şi abilitatea scalării
soluţiei nu este necesară . Aleasă pentru uşurinţa
implementării în detrimentul securităţii datelor şi
complexităţii autentificării. Se pretează pentru reţele
destinate clienţilor sau reţele cu securitate scăzută.
802.1x WEP Autentificare utilizatorului pe un server RADIUS şi chei
de criptare unice generate aleator pentru fiecare utilizator
şi fiecare sesiune. Cheltuielile pentru setare sunt mai
mari ,însă oferă o securitate de nivel înalt. Majoritatea
softurilor client şi a cartelelor NIC fără fir suportă această
metodă. Complexitatea implementării deoinde de tipul de
EAP selectat.
Cheie WPA Criptarea puternică a datelor este asigurată prin WPA
prepartajată folosind TKIP şi AES. Autentificarea este simplificată
însă folosirea cheilor pre distribuite duce la
compromiterea scalabilităţii.Se foloseşte în general , în
reţele de dimensiuni mai mici unde simplicitatea
autentificării este dorită mai mult decât folosirea unei unui
server RADIUS şi a clienţilor 802.1x.
802.1x WPA Soluţie de securitate foarte înaltă care foloseşte un server
RADIUS pentru autentificarea fiecărui utilizator şi WPA
cu TKIP sau AES pentru criptarea datelor . Cardurile NIC
şi driverele client trebuie să suporte WPA şi clienţi 802.1x
, fiind necesară folosirea unui server RADIUS compatibil
cu 802.1x. Este potrivit pentru reţelele fără fir la nivel de
întreprindere care necesită autenificare puternică a
utilizatorilor fără fir şi o criptare puternică a
datelor.Complexitatea implementării depinde de tipul de
EAP folosit.
Filtrarea opţional Filtrarea adreselor MAC este o schemă separată de
adreselor MAC autentificare care poate fi aplicată la oricare din
combinaţiile de securitate menţionate. Ea adaugă
complexitate în întreţinere , printr-p listă a adreselor MAC
a clienţilor care trebuie întreţinută. Filtrarea adreselor
MAC a clienţilor poate fi ocolită de către hackeri . În
general e utilizată cu scheme la nivel inferior ca să
asigure o extrasecuritate.

11
Enache Andreea Catalina
Grupa SNZ

Prezentarea schemei practice şi a dispozitivelor folosite:

 Ruter TRENDNET TEW-432BRP
Pentru realizarea schemei practice am folosit un router wireless TRENDNET , un
laptop şi un PC care va fi folosit pentru a asigura operaţiunile de administrare a reţelei şi
deasemeni pe care a fost instalat Windows Server 2003 pentru realizarea server-ului RADIUS
folosit ulterior pentru administrarea utilizatorilor.
Date tehnice:
Compatibil cu dispozitive ce folosesc protocoale wireless 802.1g sau 802.1b şi
protocoale din cadrul reţelelor cablate :
 IEEE 802.3 (!0BASE-T) , IEEE 802.3u(100BASE-TX); ANSI/IEEE 802.3
Auto Negotiation;
 4 porturi lan încorporate de tip 10/100Mbps
 1 port 10/100 Mbps de tip WAN (Internet)
 Suportă modem-uri cable/dsl ce poate folosi IP dinamic , IP static , PPoE sau
L2TP;
 Server DHCP ce poate aloca până la 253 adrese client;
 Criptare WEP(Wired Equivalent Privacy) pe 64/128 biţi ;
 802.1x/WPA, WPA-PSK, TKIP/AES pentru securitatea sporită;
 Suportă filtrarea după adrese MAC sau adrese IP;
 Controlul traficului cu ajutorul unui sever virtual sau prin crearea unei zone de
tip DMZ(demilitarized zone);
 Oferă securitate crscută cu ajutorul unui firewall SPI/NAT ;
 Suportă routarea dinamică şi statică;
 Suportă IPSEC sau tehnologii VPN;
 Flash memory pentru operaţiuni de firmware;
 Compatibil cu Windows 95/98/2000/XP sau Linux ;
 Management uşor via Web Browser(HTTP) sau remote management;
 Aria de acoperire : interior 30 -50 metri exterior : 50-200 metri ;
 Frecvenţa : 2.412 – 2.484 GHz (Banda ISM );
 Tehnica de modulare : 802.11b : CCK, DQPSK, DBPSK
 802.11g: OFDM
 Rate de transfer: 802.11b : 11Mbps, 5.5 Mbps, 2Mbps şi 1 Mbps;
 802.11g : 54 Mbps, 48 Mbps, 36 Mbps, 24Mbps,18 Mbps,12Mbps, 9Mbps şi
6Mbps;
 Canale: 11 canale (US), 13 canale (EU);

12
Enache Andreea Catalina
Grupa SNZ

Configuraţia de principiu a platformei folosite pentru implementarea practică a

proiectului :

Realizarea practică:

1. Setarea parametrilor de lucru ai routerului

Aşa cum se poate observa şi din configuraţia de principiu a schemei de funcţionare
pentru interconectarea routerului cu laptopul client din reţea am folosit un adaptor wireless
TRENDNET TEW-412PC care a fost configurat pe calculatorul client conform cu
instrucţiunile furnizate de driver-ul de instalare.
Router-ul TRENDNET TEW-432BRP a fost configurat conform cu wizard-ul implicit
furnizat de driver-ul aferent router-ului pe un PC cu sistem de operare Windows XP care
ulterior va reprezenta şi platforma pentru serverul RADIUS folosit pentru autentificarea de
nivel înalt a utilizatorilor.
Acest wizard este utilizat pentru setarea informaţiilor primare cu privire la
caracteristicile router-ului cum sunt :
1 . parola administrator
2. time zone
 conexiune LAN şi server-ul DHCP. În cadrul acestui pas se setează automat
IP-ul server-ului default este //192.168.1.1 . Tot în cadrul acestui pas se setează
server-ul DHCP care va furniza clienţilor adrese IP cuprinse într-un anumit
interval server-ul DHCP putând furniza până la 253 de adrese IP.
 conexiunea Internet. În cadrul acestui pas alegem tipul de conexiune pe care o
vom folosi pentru conexiunea la WAN. Putem alege
 Obtain IP automatically (DHCP client): în cazul în care server-ul DHCP a fost
setat să administreze adresele IP din reţea această opţiune va fi asigurată de
server-ul DHCP furnizat implicit de router.

13
Enache Andreea Catalina
Grupa SNZ
 Fixed IP Address: în cazul în care provider-ul de Internet asignează o adresă IP
fixă , vor fi introduse adresa IP , masca de subreţea , IP-ul gateway şi IP-ul
serverului DNS pentru roterul broadband
 PPPoE cu adresă IP automată: în cazul utilizării unei conexiuni de tip PPPoE
cu ajutorul unui modem dial-ul sau xDSL iar furnizorul de internet va oferi
automat o adresă IP şi apoi un user name şi o parolă pentru a crea conexiunea.
 PPPoE cu adresă fixă: aceeaşi situaţie ca în cazul precedent numai că pe lângă
user name şi password adresa IP va fi prestabilită .
 PPTP: (point to point tunneling protocol): acest protocol este folosit în cazul în
care se implementează o soluţie de tip VPN sau remote acces.
 L2TP: (layer 2 tunneling protocol) o versiune avansată a PPTP .
 wireless LAN connection: acest pas este necesar pentru crearea unei reţele
WLAN. La crearea acestei reţele va fi necesar stabilirea unui nume SSID
pentru reaţeaua viitoare şi deasemeni un canal de comunicaţie , date care
trebuie să fie aceleaşi pentru toate dispozitivele wireless din cadrul reţelei nou
create.
 Restart
Acest wizard reprezintă o metoda foarte simplă şi foarte la îndemâna unui utilizator
obişnuit de a crea , cu ajutorul dispozitivelor potrivite, o reţea fără fir. În acest moment pentru
mulţi utilizatori instalarea unei reţele WLAN se opreşte aici uşurinţa configurării luând locul
lipsei totale de securizare a reţelei. În momentul acesta router-ul va transmite datele sale de
identificare către toate dispozitivele wireless din aria sa de acoperire , reteaua astfel creată
comportându-se ca un teritoriu fără nici un fel de restricţii.
În continuare vom urmări gradual metodele de securizare a unei reţele fără fir aşa cum
au fost prezentate anterior urmând ca în final să furnizăm o soluţie de securizare a reţelei
folosind o combinaţie între autentificarea conform protocolului 802.1x ce foloseşte o criptare
WEP a datelor vehiculate în cadrul reţelei.
Reţeaua astfel creată se află în stadiul unu de securitate a unei reţele, orice utilzator
putând avea acces la resursele reţelei fără fir. Astfel de reţele sunt folosite de obicei pentru
accesul la internet în cadrul campusurilo universitare , pentru punctele de acces gratuite unde
securitate nu esti un deziderat principal întrucât se presupune că datele vehiculate în reţea nu
necesită protecţie suplimentară.
În continuare vom prezenta facilităţile furnizate de router pentru securizarea reţelei
nou create.
1. Un prim pas care poate fi făcut pentru a securiza reţeaua nou creată este acela de a
dezactiva transmiterea de către router a semnalelor de tip beacon prin care acesta furnizează
clienţilor din aria sa de acoperire numele reţelei dată de SSID-ul implicit stabilit în sesiunea
precedentă de personalizare a reţelei. În cazul în care router-ul dispune de o opţiune pentru
ascunderea identităţii reţelei (SSID),această opţiune trebuie activată. De asemenea, trebuie
modificat numele reţelei, deoarece mai toate folosesc denumirea implicită. În locul acesteia
este de preferat o descriere care să nu însemne nimic re-cognoscibil, în nici un caz numele
proprii. Dacă SSID-ul este ascuns, hacker-ul trebuie să introducă numele reţelei manual, ca şi
în cazul parolelor. Acest truc nu ne oferă însă siguranţă absolută, fiindcă utilitare precum
Network Stumbler descoperă şi reţele ascunse.
Pentru ilustrarea acestei măsuri de securitate am configurat în cadrul domeniului de
configurare a router-ului un SSID de forma : 1yXq34*$56hrYvWdA78 iar funcţia de “SSID
Broadcast ” a fost oprită din meniul cu setari ale reţelei WLAN. Un astfel de identificator al
reţelei ajuta nu numai la protejarea SSID-ului de atacuri de tip Brute-Force , ci oferă şi o
funcţie de securitate importantă: programe gen WEP Crack adună pachetele transmise de
WLAN în scopul spargerii codării WEP .Dar, fiindcă driverele WI-Fi din Linux nu întreprind

14
Enache Andreea Catalina
Grupa SNZ
nici un fel de verificare a datelor prin sume de control , iar caracterele speciale din SSID
(conţinute de fiecare pachet ) nu sunt lizibile pentru program , pachetele sunt declarate ca
fiind defecte şi implicit respinse. Cu alte cuvinte pachetele de date necodate transmise de
WLAN nu mai pot fi interceptate şi sparte.
Pentru conectarea clienţilor reţelei va trebui introdus manual numele reţelei adică
1yXq34*$56hrYvWdA78 iar astfel reţeaua va fi recunoscută imediat ce clientul se află în aria
de acoperire a reţelei.
2. Aşa cum am precizat anterior o reţea care doar are dezactivată funcţia de SSID
broadcast este cu siguranţă susceptibilă unor atacuri de tip MITM întrucât un acces
neautorizat poate fi realizat foarte simplu prin folosirea unei interfeţe de reaţea ce poate lucra
în modul promiscous şi care poate folosi Network Stumbler pentru a intercepta traficul din
reţea şi implicit şi numele SSID al reţealei. Din această cauză o măsură suplimentară de
securitate oferită de majoritatea dispozitivelor fără fir este activarea autentificării WEP.
Router-ul dispune de posibilitatea setării unei autentificări WEP fie de tip Open
System fie de tip cheie partajată. Open sistem permite accesul deschis via reţea wireless la
router însă tipul de autentificare cu cheie partajată se bazează pe o cheie cunoscută de toţi
utilizatorii din reţea . Router-ul permite setarea unei chei maxime de 128 de biţi în format fie
heza zecimal fie în format ASCII. Deasemeni se pot seta un număr de 4 chei WEP care vor
putea fi folosite pentru securizare reţelei.
Problema standardului WEP dată de vectorul de iniţializare.Se recomandăca acest
vector de iniţializare să se repete pentru a nu fi interceptat. Din păcate, acest lucru nu este res-
pectat de toţi producătorii şi nici nu prea există referinţe despre cum se generează un vector de
iniţializare. De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare.
Consecinţa este că, mai devreme sau mai târziu, VI-ul ajunge să se repete. Un studiu realizat
de Universitatea Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de
pachete de date transmise în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI
identic, acesta poate descoperi cheia WEP. Problema cea mai importantă se pare că o
constituie faptul că pentru un atac asupra unei reţele WLAN un rău –voitor nu are nevoie de
software complicat ,programe care pot sparge WEP sunt disponibile de exemplu la adrese ca
wepcrack.sourceforge.net sau airsnort.shmoo.com .
Totuşi aşa cum am precizat mai devreme un element de securitate desuet aşa cum este
WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu
alte metode de întărire a securităţii reţelei.
Deasemenea router-ul dispune de autentificare WPA şi WPA-PSK care vor fi discutate
ulterior fiind o soluţie de securitate mult mai avansată decât simpla folosire a WEP.
3. Router-ul oferă ,ca şi un grad crescut de securitate, două moduri de expediere a
datelor : static sau dinamic. În cadrul rutării statice pot fi stabilite parametrii de rutare a
datelor în cazul în care utilizatorul are o adresă IP statică. Deasemeni este oferită şi
posibilitatea unei rutări dinamice acest tip de rutare încercând să rezolve problema unei rute
prin folosire unor tabele de rutare automate. Rutarea adreselor poate fi folosită în combinaţie
cu o zonă DMZ pentru a direcţiona traficul din reţea către această zonă.
4. În opţiunea de acces la facilităţile ruterului putem utiliza mai multe căi de
restricţionare a accesului la reţeaua WLAN.
a). Filtrarea MAC: această metodă de filtrare a accesului poate fi folosită în conjuncţie
cu orice altă schmă de securitate. Ea adaugă complexitate în întreţinere , printr-o listă a
adreselor MAC a clienţilor care au drepturi de acces. Totuşi această soluţie nu poate fi
considerată o măsură suficintă de a asigura securitate reţelei întrucât chiar şi ruterul folosit în
cadrul acestui proiect dispunde de posibilitatea clonării adresei MAC astfel că o astfel de
măsură poate fi uşor compromisă.

15
Enache Andreea Catalina
Grupa SNZ
b). Filtrarea accesului pe baza protocolului folosit de client . O listă de profile sunt
disponibile şi conform cu caracteristicile acestor protocoale pot fi restrricţionate anumite
porturi de acces la Internet.
c). IP filter- cu ajutorul acestei opţiuni poate fi restricţionat acesul adreselor IP aflate
într-un anumit interval.
d). Virtual Server: cu ajutorul acestei setări putem direcţiona accesul către un server
local din cadrul reţelei.
e). DMZ – zonă tampon pentru clienţii care nu pot avea acces la internet prin
intermediul ruterului datorită elementelor de securitate pe care nu le îndeplines .Calculatorul a
cărei adresă IP este folosită pentru a indica această zonă DMZ va oferi acces nelimitat la
Internet. De obicei acest tip de zone de acces la Internet sunt folosite în cadrul hot spoturilor
gratuite în care informaţiile vehiculate nu sunt importante.
f).Firewall Rule
Aceste setari definesc toate facilităţile puse la dispoziţia unui administrator de a
reglementa anumite permisiuni valabile utilizatorilor reţelei sau celor care doresc să acceseze
reţeaua WLAN. Cu ajutorul acestor opţiuni sunt posibile implementarea schemelor de
securitate prezentate în tabelul de mai sus care nu au nevoie ca metodă de autentificare
folosirea unui server RADIUS şi implicit a unei autentificări conform standardului EAP.

Server RADIUS cu protocol EAP.

Desfăşurarea procesului de autentificare , autorizare şi actualizare a contului unui
utilizator wireless în cadrul reţelei se va desfăşura conform cu dialogul standard de autorizare
la un server RADIUS iar participanţii la dialogul de autentificare trebuie să respecte aceleaşi
caracteristici de securitate .

1.Schema de principiu a montajului

Client Autentificatorul
EAPOL Port acces la reţea(AP , switch)
Interfaţa hostului

192.168.1.1
192.168.1.100
Mesaje EAP încapsulate tipic pentru RADIUS

Server autentificare
Server AAA (orice server EAP de obicei RADIUS)

192,168,1,,111
1

16
Enache Andreea Catalina
Grupa SNZ

2.Protocolul de comunicaţie
Serverul de autentificare poate fi în acelaşi loc cu autentificatorul sau cele două pot fi
în locuridiferite şi să se acceseze reciproc prin comunicaţie de la distanţă. Multe dintre
funcţiile de autentificare sunt implementate la client şi la serverul de autentificare . Acest
lucru este benefic pentru punctele de acces, deoarece ele au o memorie mică şi putere de
procesare redusă.
 Dialogul de autorizare standard constă în :
 AP (punctele de acces) cere STA(staţiile) să se identidifice folosind EAPOL
(EAP over LAN).
 STA îşi trimite identitatea la AP
 AP trimite mai departe identitatea STA la AS (server de autentificare), prin
intermediul EAP
 Între AS şi STA are loc un dialog de autentificare
 Dacă dialogul este terminat cu success , STA şi AS partajează cheie de sesiune
 AS trimite cheia de sesiune la AP într-un atribut RADIUS precum şi o parte a
mesajului de acceptare a RADIUS
Clientul wireless încearcă să se autentifice la reţea prin intermediul ruterului , dar
înaintea autentificării este deschis numai un port necontrolat ce va permite doar mesaje de
autentificare de tip EAPOL. Aceste mesaje vor fi trimise către serverul RADIUS care va
verifica credenţialele clientului prin analiza conturilor din cadrul Active Directory.
Pentru realizarea practică am folosit configuraţia precedentă pe care am ilustrat
posibilităţile de securizare ale reţelei doar cu ajutorul funcţiilor oferite de ruter iar în plus
pentru realizarea configuraţiei de lucru pe calculatorul pe care am instalat ruterul am folosit
Windows Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de
autentificare a clienţilor wireless.

3. Elemente software utilizate

 Windows Standard Server 2003
Windows Standard Server 2003 este un sistem de operare în reţea sigur care oferă
rapid şi uşor soluţii pentru firme. Acest server flexibil este alegerea ideală pentru nevoile
zilnice ale firmelor de toate mărimile.
 acceptă partajarea fişierelor şi imprimantelor.
 oferă conectivitate sigură la Internet.
 permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru.
 oferă posibilitatea unei bogate colaborări între angajaţi, parteneri şi
 clienţi
 acceptă multiprocesarea simetrică cu două căi şi până la 4 gigaocteţi
 (GO) de memorie.
 IAS
IAS (Internet Authentification Service) este implementarea Microsoft a unui server
RADIUS (Remote Dial – in User Service) . Ca şi server RADIUS , IAS realizează operaţiuni
centralizate de autentificare, autorizare şi înregistrare pentru mai multe tipuri de conexiuni la
reţea aşa cum sunt reţelele VPN sau WLA , conexiuni dial-up, remote acces sau conexiuni de
tip ruter-ruter.

17
Enache Andreea Catalina
Grupa SNZ
 Active Directory
Active Directory este o implementare a serviciilor de directoare LDAP, folosită de
Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la
dispoziţia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor,
instalarea programelor, înnoirea securităţii. Toate aceste operaţiuni pot fi aplicate atât la reţele
mici, cât şi la reţele complexe.
Active Directory (AD) - este o ierarhie de câteva obiecte, unde obiectele se împart în
trei categorii: resurse (ex: imprimantă), servicii (ex: poşta electronică), resurse umane (ex:
utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la
dispoziţie informaţii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea
securităţii..
4. Implementare practică
a). Implementarea autentificatorului
La nivelul ruterului am redirecţionat tot traficul ce încerca să acceseze resursele reţelei
către serverul RADIUS . Pentru autentificarea clienţilor am folosit Wi-Fi protected Acces cu
TKIP toate cererile de accesare a reţelei fiind redirecţionate către serverul RADIUS indicat
prin adresa 192.168.1.111:1812. Deasemeni pentru comunicaţia dintre ruter-ul wireless şi
server este necesară stabilirea unei chei secrete de comunicare.

Figura 6.3 Implementare ruter

b).Implementarea serverului

Serverul va fi instalat pe un sistem de operare Windows Server 2003 indicat prin

adresa ţintă //192.168.1.111 iar portul de comunicaţie 1812 va fi deschis pentru comunicaţiile
de tip EAP-RADIUS dintre suplicant şi serverul RADIUS.

18
Enache Andreea Catalina
Grupa SNZ

Figura.3.1 Creare client IAS

Vom identifica ruterul folosit ca şi client al serverului de autentificare pentru care vom
forma politici de acces la disstanţa la domeniu, politici ce vor restricţiona accesul în funcţie de
caracteristicile clienţilor: adresa IP a clientului , restricţii în funcţie de momentul data şi ora
accesării , tipul de conexiune , tipul de protocol folosit pentru securizarea accesului sau după
grupul Windows căreia aparţine clientul.

Figura 3.2 Politici de securitate

Pentru clientul anterior format am creeat restricţii remote ce privesc tipul de

autentificare folosit. Astfel vom folosi pentru autentificare MS-CHAP v2 care este un
protocol al Microsoft de tip Challenge –handshake authentification protocol .MS-CHAP v2
este o versiune îmbunătăţită de MS-CHAP, foarte utilizat de sistemele Windows şi cu suport
criptografic mai bun decât protocoalele anterioare. Este recomandată atunci când nu poate fi
folosit EAP-TLS deoarece aduce ca şi element de securitate suplimentar autentificarea
mutuală. Este suportat de clienţii care rulează sistem de operare Windows 98 Second Edition
sau mai nou.Protocolul în desfăşurarea sa respectă următorii pasi:
autentificatorul (serverul IAS) trimite un răspuns de încercare către clientul ce doreşte
să se conecteze remote care este reprezentat printr-un identificator de sesiune şi un pachet de
date arbitrar.

19
Enache Andreea Catalina
Grupa SNZ
clientul ce doreşte să se conecteze remote trimite un răspuns ce va cuprinde : user
name/un pachet arbitrar de date de tip challenge/o criptare de tip one –way a pachetului de
date primit .
autentificatorul verifică răspunsul clientului şi răspunde furnizând : un răspuns ce
indică reuşita sau eşecul sesiuni de conectare, un răspuns de autentificare bazat pe pachetul de
date trimis de suplicant.
clientul verifică validitatea răspunsului de autentificare iar dacă aceasta e corectă
foloseşte conexiunea.
Pentru a putea genera un raport corespunzător cu privire la calitatea clienţilor ce
doresc să acceseze reţeaua am creat în cadrul Active Directory un grup de utilizatori ce va
conţine toti clienţii wireless ce se vor conecta la reţea, asupra fiecăruia stabilind condiţii de
negociere a autentificării. Vom folosi pentru autentificare protocolul PEAP . Spre deosebire
de EAP-TLS , acest protocol se potriveşte mai mult reţelelor care au nevoie de o autentificare
puternică însă fără a utiliza cerificate mutuale.
Pentru ca, un utilizator să se poată conecta de la distanţă, este obligatoriu ca el să aibă
un cont de utilizator în cadrul domeniului sau grupului de lucru gestionat de server. În cazul
nostru există un grup de lucru în cadrul căruia creem un grup de utilizatori ”wireless”. Mai
departe, în cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distanţă,
practic clienţii WLAN.Astfel vom avea următorii utilizatori, cu nume generice: “George”, “
Daniel” , “Alina” iar grupul de utilizatori poate fi extins în funcţie de cerinţe. La creearea
utilizatorilor, se vor crea practic conturi de acces în reţea. Aceste conturi se vor conforma
politicilor de securitate stabilite în Windows Server 2003. Este o autentificare bazată pe nume
de utilizator şi parolă.
Pentru fiecare utilizator trebuiesc setate anumite proprietaţi, pentru a putea avea acces
de la distanţă. Asfel, la fiecare cont de utilizator se va merge la “Proprietaţi” şi apoi la butonul
“Dial-in”.

Figura 3.3 Drepturi acces client

Aici putem stabili dacă utilizatorul respectiv are sau nu drept să se conecteze la
distanţă. Ca o măsură suplimentară de securitate, se poate seta opţiunea “Verify Caller ID”,
adică să se permită accesul, numai daca se conectează de la un număr de telefon predefinit. În
cazul nostru, vom seta ca la toţi utilizatorii să fie permis accesul pe baza politicii de securitate
a serverului de acces la distanţă(“Control access through Remote Access Policy”).Aceasta va
fi configurată ulterior.

20
Enache Andreea Catalina
Grupa SNZ

c).Implementarea suplicanţilor
Pentru fiecare client în parte vom stabili acessul de tip remote folosin ca şi metodă de
autentificare 802.1x PEAP cu protocolul MS-CHAP v2. . La proprietaţile conexiunii, putem
seta ce tip de conexiune se va iniţia (PPTP sau L2TP), nivelul de criptare pe care îl dorim,
metoda de autentificare folosită (MS-CHAP.v2, EAP), modul de autentificare (smart-card,
certificate digitale).
PEAP este o metodă de autentificare ce protejează negocierea de tip EAP, încriptând
conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless 802.11. PEAP poate fi
folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă autentificare mutuală aşa cum am
observat din detalierea paşilor pe care îi urmează procesul de autentificare. Sau EAP-TLS,
care este cea mai puternică şi necesită o infrastructură de chei publice PKI.
În funcţie de politica de securitate pe care am stabilit-o pe server, vom seta conexiunea
în felul următor:
-tip tunel: PPTP
-metoda de autentificare: PEAP în conjunţie cu MS-CHAP.v2

-puterea de criptare: Strong encryption 128-bit

21
Enache Andreea Catalina
Grupa SNZ

Figura 3.3 Implemetare suplicanţi

În momentul conectării la reţea după redirecţionarea accesului către server vom oferi
credenţialele proprii care vor fi comparate cu cele introduse pentru fiecare client în Active
Directory accesul la reţea şi implicit la resursele reţelei fiind permis decât după confruntarea
credenţialeleor introduse de utilizator cu cele stocate în cadrul grupului creat.

22
Enache Andreea Catalina
Grupa SNZ

Figura 3.4 Conectare clienţi

Autentificarea se va face pe baza conturilor stabilite în Windows Server 2003. În

momentul de faţă, clienţii pot să trimită date în reţea şi să acceseze resursele de pe
calculatoarele din wlan. Cât timp sunt în reţeaua publică, datele sunt protejate de utilizatorii
neautorizaţi atât prin criptare cât şi prin “tunelare”.

Concluzii

Reţelele fără fir furnizează noi provocări la adresa securităţii şi administratorilor, care
nu au fost întâlnite în reţelele cablate. Cele mai bune practici dictează o structurare cât mai
adecvată a nivelelor pentru securitatea reţelei. Ar trebui luată în considerare configurarea
punctelor de acces, firewall-urilor şi a VPN-urilor. Strategiile de securitate ar trebui definite
pentru un nivel acceptabil al performanţei. Sistemul de detectare a intruşilor în reţelele fără fir
ar trebui să elimine problemele de securitate şi să asigure că ceea ce credem că este securizat
este, de fapt, aşa.
După toate elementele de funcţionalităţile de securitate şi opţiunile menţionate până
acum în această lucrare, anumite puncte de configurare trebuie avute în vedere în cadrul
proiectării reţelelor fără fir de către administratorii unor astfel de reţele . Pe lângă metodele de
securitate mai sus detaliate sunt necesare anumite setări de siguranţă care să funcţioneze ca o
primă barieră în faţa posibililor atacatori.

23
Enache Andreea Catalina
Grupa SNZ

Bibliografie

1. Praphul Chandra -Bulletproof Wireless Security GSM , UMTS , 802.11 şi securitatea

reţelelor ad-hoc;
2. Rob Flickenger - Building Wireless Community Networks, Second Edition iunie 2003
3. Merritt Maxim , David Pollino - Wireless Security
4. Jahaanayeb Khan si Anis Khwaja - Building Secure Wireless Networks with 802.11
5. Aftab Ahmad- Wireless and mobile data networks;
6. Victor Valeriu Patriciu , Monica Ene Pietrosanu, Calin Vaduva , Ion Bica, Nicolae Voicu-
Securitatea comerţului elecrtronic
7. Boer, J. – Direct Sequence Spread Spectrum Physical Layer Specification IEEE 802.11,
doc. IEEE P802.11-96/49E;
8. Brenner, P. – A Technical Tutorial on the IEEE 802.11 Protocol, documentatie Internet,
www.sss-mag.com/pdf/802_11tut.pdf
9. Irvine, J., D. Harle – Data Communications and Networks, Ed. Wiley, Anglia, 2002.
10. Lough, D.L., T. K. Blankenship, K. J. Krizman – A Short Tutorial on Wireless LANs and
IEEE 802.11, Institutul Politehnic Bradley – Virginia.
11. Meel, J. – Spread Spectrum (SS) applications, © Institutul DE NAYER,
12. Miller, S.L. – Wireless Communication Systems, note de curs , ee.tamu.edu/~smiller
13. Mocanu, Şt. – Transmiterea datelor pe canale wireless, referat doctorat 2002, AII-215-03.
14. Prem, E.C. – Wireless Local Area Networks,
15. Şerbanescu, D. - Retele wireless: secrete mici, efecte mari, PC Magazine România, Iunie
2002
16. Andrew S. Tanembaum – Reţele de calculatoare;
Resurse Internet :
*** - http://www.agora.ro/
*** - http://www.hot-spot.ro/
*** - http://www.chip.ro/
*** - www.ieee.org
*** - http://www.wi-fiplanet.com/news/article.php/905461
*** - http://www.networkworld.ro/general.php
*** - http://www.internet-magazin.ro/articol.php
*** - http://www.ral.ro/php/produse.php?cid=44#GPRS-WLAN11B

24