IDENTIFICAREA VULNERABILITILOR DE SECURITATE ALE REELELOR RADIO WI-FI.

Etapa 3: Soluii de minimizare a riscului de securitate i modele de definire i implementare a politicilor de securitate
Colectiv de elaborare etap: Dr. ing. tefan-Victor Nicolaescu1; Prof. dr. ing. Ion Marghescu4; Prof. dr. ing. Silviu Ciochin4; Prof. dr. ing. Ion Bogdan3; ef lucrri Ionel Dragu4; Conf. dr. ing. Luminia Scripcariu3; Ing. Ion Dumitracu2; Dr. ing. Florin Hrtescu2; Ing. Siegfried Cojocaru2; As. ing. Mihnea Udrea4; Ing. Florin Mocanu3, Tehn. Victor Cristescu1.
1. Institutul Naional de Studii i cercetri pentru Comunicaii I.N.S.C.C. (Coordonator proiect i partener 1); 2. Institutul Naional de Cercetare-Dezvoltare n Informatic I.C.I. (Partener 2); 3. Universitatea Tehnic Gheorghe Asachi Iai U.T.Iai (Partener 3); 4. Universitatea Politehnica Bucureti U.P.Buc. (Partener 4).

Coninutul documentaiei elaborate n cadrul etapei

1. Introducere Se prezint obiectivele generale ale proiectului, cele ale etapei 3 precum i modul n care s-a realizat diseminarea n cadrul etapei 3 a rezultatelor obinute pn n prezent. Acestea sunt prezentate n pagina web ce expune obiectivele generale ale proiectului, respectiv n pagina web care ofer evoluia proiectului. 2. Soluii tehnice destinate minimizrii riscului de securitate n reelele radio WiFi i n reelele mixte (radio Wi-Fi i cablate. Problemele de securitate din orice reea de calculatoare deriv dintr-o contradicie fundamental a Internetului i anume caracterul public dorit de utilizatori pentru orice resurs informaional i nevoia de securizare a informaiilor i a reelei n sine fa de atacurile persoanelor ru-intenionate care urmresc compromiterea, preluarea, modificarea sau distrugerea informaiilor ori ntreruperea funcionrii reelei. Comunicaiile wireless prezint un risc mai mare de atac n comparaie cu cele efectuate prin cablu ceea ce impune aplicarea unor msuri de securitate speciale pentru comunicaiile prin und radio, conform protocolului AAA (authentication, authorization, accounting). i reelele cablate sunt vulnerabile ca acces pasiv la nivelul echipamentelor de tip hub fiind necesare msuri de securitate aplicate pe serverele de reea. Cele mai mari riscuri de securitate apar n reelele Wi-Fi publice, de tip sistem deschis, n care accesul este liber iar securitatea trebuie asigurat la nivelul serverelor i al oricrui terminal, precum i difereniat pentru fiecare client acolo unde se impune confidenialitate. Totui i informaiile publice pot fi atacate n scopul inducerii n eroare a utilizatorilor prin modificarea datelor.

Etapele de securizare ale reelelor de comunicaii radio i mixte poate fi modelat conform modelelor de securitate multistratificat sau arborescent, reprezentate n figurile 1, respectiv 2.

acces date nivel logic acces din reea nivel fizic

Fig. 1 Model de securitate multistratificat centrat pe subiect

Fig. 2 Model de securitate arborescent folosit pentru sisteme informaionale

Modelul de securitate multistratificat poate fi aplicat n orice nod de reea indiferent de tipul acesteia, pentru protecia informaiei reprezentat ca nucleu al acestui model i conine: Accesul fizic la reea - securitatea fizic reprezint nivelul exterior al modelului de securitate i const, n general, n restricionarea accesului fizic al personalului neautorizat la echipamentele informatice (din diverse cldiri, ncperi, dulapuri, rackuri etc.), precum i asigurarea pazei i monitorizarea accesului. Accesul logic la reea - securitatea accesului poate fi realizat prin restricii de tip cont de utilizator (nume de utilizator, parol), de timp (intervale orare, zile), de locaie (identificarea terminalului pe baza adresei fizice MAC sau a celei logice ca adres de reea cu posibilitate de filtrare), de tip drepturi de utilizator (prin definirea i administrarea grupurilor de utilizatori i a drepturilor de acces la fiiere de tip read-write-execute citire, scriere, execuie - cu posibilitatea citirii, modificrii, tergerii sau execuiei lor). Accesul la servicii - securitatea serviciilor controleaz accesul la serviciile oferite de componentele sistemului (terminal, echipament de reea de tip multiport hub, switch, echipament de comunicaie n reea de tip switch L3, router, punct de acces, echipament de securitate de tip firewall) i stabilesc drepturile la servicii, definite de administratorii de reea. Accesul n reea trebuie s se fac prin toate aceste niveluri de securitate, de la exterior la interior, fr s permit ocolirea vreunuia dintre ele. Fiecare strat de acces al modelului de securitate prezentat poate fi divizat la rndul su pe mai multe subniveluri, n vederea ordonrii metodelor de securitate care urmeaz a fi aplicate conform politicii adoptate i a gradului de securitate dorit sau impus prin limitarea costurilor. Dup stabilirea conexiunii logice, subsistemul de securitate a accesului valideaz contul de acces. Subsistemul de securitate a serviciilor monitorizeaz activitatea utilizatorului i ia msuri n cazurile n care cererile acestuia depesc drepturile specificate n profilul utilizatorului sau al grupului de utilizatori respectiv.

Pentru a reduce riscul de securitate n situaia n care toate msurile de acces au fost depite de un eventual atacator, este necesar protecia informaiilor din nucleul modelului, prin criptare. Securizarea coninutului informaional al datelor asigur protecia informaiei pentru un anumit interval de timp, n cazul interceptrii pachetelor de date. Durata necesar de atac criptografic depinde de performanele tehnicii criptografice folosite, precum i de mecanismele de generare, transmitere i gestionare a cheilor de criptare. Modelul de securitate de tip arbore se aplic dac se acceseaz resurse distribuite pe mai multe servere din reea. Informaiile sunt transferate de la nodul-surs la nodul-destinaie prin intermediul mai multor noduri de reea i pe diverse ci fizice de comunicaie, cu sau fr fir. Gradul de securitate oferit unui proces de transfer de date n reea va fi dat de cel mai slab segment al cii de transfer (nod sau canal de comunicaie). De aceea, pentru reducerea riscurilor de securitate din reea, este necesar securizarea tuturor segmentelor implicate n procesul de comunicaie la gradul de securitate dorit pentru fiecare mesaj. Att n reeaua public Internet, ct i n reelele private, nevoia de securitate este tot mai acut pe msur ce aplicaiile online se dezvolt ntr-un ritm exponenial (comer electronic, tranzacii financiare, servicii bancare, instruire online, pot electronic, divertisment .a.m.d.). Costurile serviciilor de securitate depind de mai muli factori: 1. 2. 3. 4. mediul fizic de transmisie, performanele echipamentelor din reea, performanele pachetelor software folosite: aplicaii i sisteme de operare, nivelul de securizare a datelor propriu-zise prin criptare.

Alegerea unei strategii eficiente de securizare a unei reele trebuie s aib n vedere riscurile la care este expus aceasta i punctele vulnerabile pentru a adapta soluia de securitate la nevoile fiecrei reele i a reduce costurile, att pe termen scurt, ct i pe termen lung, precum i clasificarea informaiilor transmise prin reea pe diferite criterii (proprietate, domeniu de importan, localizrii, domeniului de utilizare etc.). n acelai timp, alegerea unui anumit serviciu de securitate este condiionat de natura informaiilor care trebuie protejate i de costurile acceptate pentru aceast operaie. Standardele de firm cu caracter secret, nepublicate i deci nestudiate de persoane din afara firmelor, asigur o bun protecie. Exist totui riscul spionajului prin care documentaiile acestora pot fi preluate i studiate n vederea dezvoltrii metodelor de atac. n reelele wireless, autentificarea se realizeaz n dou moduri: a. n sistem deschis (open system authentication), b. cu cheie de transmisie (shared-key authentication). Cerinele de securizare a reelelor wireless la un nivel echivalent celui oferit de comunicaiile prin cablu au condus la crearea mecanismului WEP, n standardul IEEE 802.11b n banda de 2,4 GHz, care include operaii de control al accesului pe substratul MAC prin autentificarea utilizatorilor pentru a accesa un punct de acces, AP i de criptare a datelor pentru securizarea informaiilor transferate la distan prin mediul radio, cu chei de criptare secrete de 40 pn la 104 bii, folosind algoritmul simetric RC4 bazat pe generatoare de numere pseudoaleatoare, PRNG, cu un vector de iniializare IV de 24 de bii transmis n clar.

Utilizarea lungimii minime de 40 de bii a chei de criptare faciliteaz atacurile brute asupra datelor n vederea deduceri cheii. Programele software i performanele tehnicii de calcul actuale permit spargerea relativ rapid a cifrurilor de 40 de bii. De aceea se recomand folosirea unor chei de lungime mai mare, de exemplu de cel puin 80 de bii, pentru care timpul de deducere crete semnificativ fiind practic imposibil de procesat n timp util. Securizarea reelei presupune crearea unui sistem de comunicaii nchis (closed authentication) n care autentificarea se face pe baza listelor de control al accesului, ACL, care includ adresele MAC autorizate sau accesul este posibil numai pentru acele echipamente care dein cheia de criptare secret i folosesc mecanismul de criptare acceptat de AP (sharedkey). Folosirea unui identificator de reea, ESSID, setat la nivelul fiecrui AP este important pentru securizare. Un eventual intrus i poate configura placa de reea wireless astfel nct aceasta s lucreze n modul promiscuous care i permite detecia automat a ESSID-ului de reea. Pentru a evita aceast situaie, trebuie utilizate liste de control al accesului, ACL, pentru autorizarea accesului. n cazul reelelor constituite pe echipamente conforme 802.11g, soluia este introducerea WPA (Wi-Fi Protected Access), care folosete un subset al standardului 802.11i, fiind o soluie bun de interoperabilitate pe termen lung. Accesul prin WPA este autorizat doar dup autentificarea bazat pe informaii de utilizator, cu un protocol de autentificare extins, cu cheie de autentificare individualizat pentru fiecare staie. O analiz a reelelor actuale a pus n eviden tendina utilizatorilor dar i a productorilor de echipamente i de programe software de a nu folosi toate facilitile oferite de protocoalele de securitate, ceea ce face ca multe vulnerabiliti de securitate s poat fi exploatate prin atacuri asupra reelelor Wi-Fi sau mixte (Wi-Fi i cablate). n concluzie, creterea gradului de securitate al unei reele Wi-Fi se poate realiza prin: alegerea unei benzi de frecvene cu licen, folosirea antenelor directive, reducerea efectelor perturbaiilor din zona de acoperire a reelei, aplicarea msurilor de securizare a serverelor, terminalelor i a altor echipamente de comunicaie din reea, configurarea corespunztoare a firewall-urilor, activarea protocoalelor de autentificare extins, folosirea serverelor RADIUS sau DIAMETER, aplicarea tehnicilor avansate de criptare a informaiilor, folosirea unui sistem sigur de distribuie a cheilor n reea (ex. Kerberos), creterea lungimii cheilor de criptare, monitorizarea accesului n reea i filtrarea corespunztoare a traficului, definirea reelelor virtuale, folosirea metodelor de tunelare.

3. Implementarea soluiilor tehnice destinate minimizrii riscului de securitate n reelele platformelor experimentale Platformele pentru experimentri au fost realizate n cadrul etapei 2 a proiectului. Fiecare dintre parteneri i-a structurat reeaua n funcie de specificul local, de echipamentele de care dispunea i de cele pe care le-a procurat n cadrul proiectului. n cadrul capitolului se prezint structura realizat a reelei la fiecare dintre parteneri. De exemplu, figura 3 reprezint structura de principiu a reelei realizate la INSCC. Realizarea reelei wireless a fost realizat prin configurarea ruterului. Reelei i s-a atribuit un cod care definete apartenena la un anumit ruter wireless SSID. Toate dispozitivele wireless care vor s comunice ntr-o reea trebuie s aib SSID-ul propriu, setat ca fiind aceeai cu SSID-ului ruterului pentru a se realiza conexiunea. Configurarea LAN ncepe cu setarea adresei ruterului se stabilete numrul de adrese disponibile pentru reeaua local i acestea se atribuie echupamentelor care pot s lucreze n aceast reea. La configurarea reelei trebuie avut n vedere i alegerea canalului pe care emite ruterul astfel nct acesta s nu interfereze cu alte reele wireless ce emit n aceeai zon. Pentru o configurare WAN, i anume conexiunea la Internet, s-a ales opiunea de a se folosi o adres IP fix ceea ce a nsemnat alegerea unei adrese IP libere din clasa de adrese alocat utilizatorului de ctre un ISP. S-a introdus o masc corespunztoare. Gateway-ul a fost setat ca fiind IP-ul serverului reelei locale a institutului.

PC Desktop

Laptop

Internet

Server Reea cablat

Punct de acces Ruter Punct de acces

Utilizatori radio WiFi

Utilizatori radio WiFi

Fig. 3 Structura de principiu a reelei realizate la I.N.S.C.C

Reeaua realizat la U.T. Iai are o structur similar. Reeaua U.P. Bucuresti conine, pe lng echipamente conforme 802.11 i echipamente conforme 802.16, iar I.C.I pune la dispoziia proiectului o reea virtual, creat pe infrastructura existent. n vederea implementrii unei soluii pentru reducerea riscului de securitate s-au efectuat experimente pentru securitate wireless privind utilizarea WPA RADIUS (soluia cea mai bun) i WPA PSK (cu cheie partajat, soluie bun). Nu s-au efectuat experimente pentru criptarea WEP, soluia fiind considerat depit. Experimentarea utilizrii WPA PSK a inclus: Configurarea corespunztoare a ruterului; Configurarea specific pentru staiile client; Ataarea staiilor la punctul de acces i efectuarea unor activiti de comunicaie uzuale; Verificarea activitii folosind programe de monitorizare (NetStumbler i WirelessMon). Experimentarea utilizrii WPA RADIUS (WPA 2) este condiionat de existena unui server (de autentificare) RADIUS compatibil cu ruterul TEW-511BPR, deci capabil de autentificare EAP-TLS i PEAP. Au fost avute n vedere teste cu: ISA Server instalat pe Windows Server 2000 / 2003 n acest scop a fost instalat software-ul pe un Windows 2000 Server i este n curs configurarea acestuia pentru utilizare ntr-un WLAN; Serverul RADIUS ncorporat n ruterul ZyXEL G-200 Plus disponibil n reeaua experimental a INSCC i a UTI; acest ruter poate funciona ca AP i server RADIUS n acelai timp. Autentificarea posibil este PEAP i MD5, pe baza metodei simple nume / parol folosind o legtur securizat TLS. 4. Ghid de selectare a soluiilor tehnice destinate minimizrii riscului de securitate pentru diverse categorii de reele i aplicaii Baza de abordare a subiectului este dat de standardele ISO 17799 / 2005 (Cod de practici pentru managementul securitii informaiilor) i ISO 27001 / 2005 (Sisteme de management pentru securitatea informaiilor). Acestea furnizeaz bazele pentru dezvoltarea unui cadru eficient de management al securitii informaiilor, necesar gestionrii i protejrii resurselor informaionale importante i contribuie la reducerea riscurilor i la asigurarea c sistemul informaional este disponibil i operaional. n funcie de modul de utilizare, reelele Wi-Fi pot fi grupate pe categorii n:

a. Reele pentru asigurarea accesului la Internet n locuri publice (hotspots) (gri,

aeroporturi, hoteluri etc.), destinate unor utilizatori aflai temporar n spaiul public acoperit de reeaua respectiv.

b. Reele pentru asigurarea accesului la Internet (mod infrastructur) n locuri n care

cablarea este dificil de realizat sau este neeconomic (zone rurale, turistice, uneori ntreprinderi). Utilizatorii acestor reele sunt persoane fizice sau juridice care necesit o conectare permanent i care utilizeaz servicii i aplicaii ce solicit o securitate echivalent i uneori chiar superioar celei existente ntr-o conexiune cablat.

c. Reele mixte (combinaie de reea cablat i Wi-Fi) pentru asigurarea mobilitii unor
utilizatori (mod infrastructur).

Ameninrile sunt diferite pentru fiecare din aceste categorii de reele, n consecin difer i contramsurile (soluiile tehnice) recomandate pentru reducerea riscurilor de securitate la un nivel acceptabil. Pentru elaborarea ghidului de evaluare a riscurilor de securitate este necesar definirea termenilor cu care se opereaz i ncadrarea acestora pe categorii. n acest scop se definesc: A. RESURSELE (cu referire la IT) Informaii (documente, fiiere, baze de date). Echipamente (calculatoare, echipamente de comunicaie). Software (de baz, de aplicaie). Servicii. Persoane.

B. AMENINAREA Dispune de potenial pentru a cauza incidente nedorite care au ca rezultat pagube asupra unui sistem (organizaii) i resurselor sale. Tipuri de ameninri: Umane (deliberate / accidentale). De mediu. Caracteristicile ameninrilor: Sursa (intern / extern organizaiei). Motivaia (financiar, avantaj competiional, imagine). Frecvena de apariie. Severitatea (nivelul pagubelor provocate).

C. VULNERABILITATEA Reprezint punctul nevralgic al unei resurse, care poate fi exploatat de o ameninare. Vulnerabilitatea nu poate cauza ea nsi o pagub. Pentru aceasta Trebuie s existe condiiile care permit ameninrii s produc o pagub. Nu toate vulnerabilitile sunt susceptibile de ameninri. Vulnerabilitatea creia i corespunde o ameninare trebuie tratat. D. IMPACTUL Rezultatul unui incident nedorit, cauzat deliberat sau accidental, care afecteaz o resurs. Consecinele sunt distrugerea sau deteriorarea resurselor respective. Evaluarea impactului este important pentru evaluarea riscului i stabilirea msurilor de protecie (contramsuri)

E. RISCUL Posibilitatea ca o anumit ameninare s exploateze vulnerabiliti, cauznd pierderi sau pagube unei resurse sau unui grup de resurse aparinnd unei organizaii. Procesul de evaluare a riscului const n: Definirea abordrii evalurii riscului. Identificarea i evaluarea resurselor. Definirea abordrii evalurii riscului. Identificarea elementelor de securitate (ameninri, vulnerabiliti, cerine legale i de reglementare, cerine organizaionale i contractuale). Evaluarea probabilitii ameninrilor. Calcularea riscului rezultat. Selectarea opiunilor de tratare a riscului i a contramsurilor (msuri de securitate). Evaluarea riscului de vulnerabilitate poate fi exprimat ntr-o schem conform cu cea prezentat n tabelul 1, n care gradul de risc 13 este considerat ca fiind mic, gradul de risc 4, 5 este considerat ca fiind acceptabil iar gradul de risc 69 este considerat ca nepermis. Tabelul 1 Nivel ameninare Nivel vulnerabilitate / valoare resurs 1 2 3 4 5 Mic Mic 1 2 3 4 5 Mediu 2 3 4 5 6 Mare 3 4 5 6 7 Mic 2 3 4 5 6 Mediu Mediu 3 4 5 6 7 Mare 4 5 6 7 8 Mic 3 4 5 6 7 Mare Mediu 4 5 6 7 8 Mare 5 6 7 8 9

Reelele mixte, combin o reea cablat cu o parte wireless oferind mobilitate utilizatorilor proprii sau ocazionali (oaspei), pe segmentul wireless fiind necesar o securitate echivalent cu cea de pe segmentul cablat. O recomandarea esenial pentru acest tip de reele este segregarea (izolarea) segmentului wireless fa de partea cablat, pentru a se evita propagarea eventualelor probleme de securitate ale reelei wireless ctre segmentul cablat. Practic aceast izolare se realizeaz intercalnd dispozitive gateway/firewall ntre punctele de acces AP i reeaua cablat. n cazul n care utilizatorii mobili includ i utilizatori oaspei se recomand utilizarea de AP separate, pentru ca oaspeii s nu utilizeze elemente de securizare (parole, criptri) comune.

5. Proiectarea unui model general de definire i implementare a unei politici de securitate destinate reelelor radio Wi-Fi i utilizatorilor acestor reele. Dei rspndirea reelelor WiFi a cunoscut o cretere spectaculoas, nu toate aspectele legate de reelele 802.11 WLAN au fost pozitive. n acest sens trebuie menionat faptul c au existat numeroase rapoarte i documente publicate ce au descris atacurile mpotriva reelelor wireless 802.11, atacuri ce au expus organizaiile ce utilizau WiFi unor riscuri de securitate. Exist i anumite organizaii care, avnd n vedere riscurile de securitate reelele wireless, au interzis pur i simplu, folosirea lor pentru nevoile proprii. n ultimii ani, au fost studiate cteva modele pentru analiza riscului de securitate al sistemelor i, ca rezultat, au fost propuse cteva standarde precum AS/NZS 4360, Standardul australian pentru managementul riscului i Standardul internaional ISO/IEC 17799, dar de asemenea au fost dezvoltate i programe cadru precum CORAS. Bazele documentaiei cadru de sistem pot fi constituite n conformitate cu lucrarea ISO/IEC 10746: Basic Reference Model for Open Distributed Processing (RM-ODP). Aici se definete un model de referin pentru arhitectura sistemelor distribuite, bazat pe tehnici orientate pe obiect. Pentru stabilirea unei metodologii de evaluare a riscurilor de securitate este necesar o analiz a sistemelor aflate n discuie. Se examineaz de asemenea ameninrile de securitate i vulnerabilitate asociate cu WLAN i ofer mijloace diverse de reducere a riscurilor i de a securiza mediile WLAN. Un mediu WLAN posed staii client wireless care utilizeaz modeme radio pentru a comunica cu un AP. Staiile client sunt echipate n general cu plci de reea wireless care sunt compuse dintr-un emitor-receptor radio i logic pentru a permite interaciunea dintre hardware i software. AP conine n esen acelai emitor-receptor i, n plus, o punte (bridge) conectat la nucleul reelei cablate. AP este un dispozitiv staionar ce face parte din reeaua LAN i este similar unei celule (staie de baz) n comunicaiile celulare. Toate comunicaiile dintre staiile client i dintre clieni i reelele cablate trec printr-un AP. Topologia de baz a unei WLAN este prezentat n figura 4. Ctre alte segmente ale reelei / Internet Switch / Hub

Staie

AP AP

Staie

Staie

Staie

Staie

Fig. 4 Topologia fundamental a unei reele WLAN 802.11

Utiliznd evalurile riscurilor, departamentul de securitate se concentreaz n general pe patru mari arii de contracarare a riscurilor: a. b. c. d. securitatea fizic, locaia AP-urilor, configuraia AP-urilor, politica de securitate. Arhitectura WLAN a unei organizaii are structura de principiu conform cu figura 5.

Autentificarea porii i terminarea IPSec

LAN cablat

Server RADIUS

Server

Fig. 5 Arhitectura WLAN a unei organizaii Un caz concret poate fi cel al unei organizaii care ia n calcul implementarea WLAN astfel nct angajaii s poat utiliza laptop-urile oriunde n interiorul cldirii. Pentru a se lua o asemenea decizie este necesar o analiz prealabil a riscurilor poteniale. Pentru aceasta este necesar ca s se identifice vulnerabilitile WLAN-ului i ameninrile poteniale. Se pornete de la ideea c sursele de ameninare vor ncerca s speculeze vulnerabilitile WLAN i se determin toate riscurile de operare a WLAN-ului precum i impactul pe care l-ar avea asupra organizaiei un atac finalizat cu succes. Managementul, pe baza evalurii riscurilor, decide dac beneficiile WLAN contrabalanseaz riscurile rmase dup contracararea ameninrilor. Pentru msurile de siguran o organizaie poate realiza un plan de aciuni care s conin: Adoptarea de unui sistem de identificare personal pentru controlul accesului fizic. Dezactivarea folosirii n comun a fiierelor i a directoarelor din PC. Asigurarea ca fiierele confideniale sunt protejate cu parol. Dezactivarea serviciilor care nu sunt necesare din AP. Dac este fezabil / practic, oprirea AP-urilor atunci cnd nu sunt n folosin.

10

Dac AP-urile au faciliti de audit (pot crea log-uri de evenimente), se activeaz i se verific cu regularitate. Configurare AP sigur dup cum urmeaz: Alegerea de parole robuste pentru asigurarea unui nivel corespunztor de securitate. Folosirea criptrii cu chei pe 128 bii. Crearea MAC ACL i activarea verificrii n AP-uri. Schimbarea SSID iniial (oprirea transmiterii SSID dac se consider oportun). Schimbarea cheilor WEP iniiale. Dezactivarea SNMP la distan. Cartografierea zonei i plasarea strategic a AP-urilor. Utilizarea VPN (client i poart) cu firewall integrat. Stabilirea politicilor exhaustive de securitate cu privire la utilizarea dispozitivelor wireless. Utilizarea firewall-urilor personale i a antiviruilor pentru clienii wireless. Alegerea produselor 802.11 cu cea mai bun strategie de securitate wireless pe termen lung i longevitate pe pia. Utilizarea produselor cu SNMPv3 (sau cu alte faciliti de management criptate) n AP-uri i a dispozitivelor firewall-VPN integrate. Cererea de asisten n efectuarea evalurilor de securitate dup implementarea reelei.

6. Definirea i implementarea unor politici de securitate n cadrul platformelor experimentale n cadrul proiectului este realizat politica de securitate pentru o platform experimental Wi-Fi. Pentru reducerea riscurilor de securitate la un nivel acceptabil i limitarea eventualelor prejudicii, este necesar s fie definit, experimentat i implementat o politic de securitate specific platformei. Politica de securitate trebuie s in seama de principiile analizate n cadrul modelului general analizat. n cazul proiectului, noiunea de politic se aplic platformelor experimentale realizate i are ca principal obiectiv limitarea propagrii riscurilor de securitate ctre reeaua organizaiei (institutului), urmnd ca, n funcie de rezultate, aceasta s poat fi folosit i pentru alte platforme sau extins n cadrul platformelor realizate La baza unei evaluri a riscurilor de securitate stau urmtoarele considerente: Platforma este destinat exclusiv activitilor experimentale, desfurate pe intervale de timp limitate, in afara acestora echipamentele fiind scoase din funciune; Platforma este integrat in reeaua institutului, n care se afl un numr mare de sisteme (staii de lucru / servere) cu securizare neomogen (unele foarte bine protejate, altele practic fr protecie); n raza de acoperire a platformei experimentale se afl i alte puncte de acces, care uneori pot fi numeroase.

Atta timp ct reeaua wireless a unui partener funcioneaz ca o reea individual, neconectat la Internet, atacarea acestea reprezint pentru experimente chiar un fenomen pozitiv, deoarece permite testarea unor metode i proceduri pentru asigurarea securitii n condiii reale.

11

Situaia se schimb atunci cnd dou sau mai multe reele wireless ale partenerilor se interconecteaz n cadrul unei platforme complexe, care folosete ca suport de transmisie ntre acestea o reea magistral cablat, de exemplu reeaua Internet. Aceasta presupune folosirea serverului de reea al partenerului, avnd n vedere faptul c nu exist servere speciale, dedicate configurrii acestor reele. i n aceast situaie, una sau mai multe dintre reelele wireless pot s fie inta unor atacuri care s exploateze n final vulnerabilitile unor sisteme (neprotejate sau insuficient protejate) din reeaua partenerului i s le provoace prejudicii. Deci orice conectare a reelei wireless la reeaua cablat a instituiei, deci i la Internet, trebuie realizat doar cu acordul i sub supravegherea administratorului reelei. Pentru a le prentmpina se pot lua o serie de msuri referitoare la prevenirea unor ameninri poteniale i anume: Blocarea atacurilor DoS prin configurarea corespunztoare a ruterului. Protecia fizic a ruterului (punctului de acces) plasare ntr-un spaiu cu acces controlat. Interzicerea accesului neautorizat n reea prin folosirea criptrii WPA PSK i filtrarea pe baza adresei fizice MAC, folosirea adreselor IP de tip static (dezactivarea DHCP). Prevenirea furtului de identitate stabilirea unor parole puternice. Anexele la documentaia de etap sunt: Anexa A conine acronimele folosite n cadrul lucrrii; Anexele B i C prezint rezumatul etapei 2, n limbile romn, respectiv englez, care au fost postate pe Internet, n pagina web a proiectului; Anexa D prezint softul de configurare a serverului RADIUS, adaptat la necesitile proiectului. Rezultate i concluzii Prin structurarea prezentrii rezultatelor etapei pe cele 6 capitole n care se analizeaz modul de ndeplinire a obiectivele etapei, la care se adaug o bibliografie cuprinztoare, ca i prin anexele corespunztoare, au fost realizate toate obiectivele etapei. n concluzie, n cadrul etapei s-au realizat un raport de cercetare i studii documentare, toate acestea fiind coninute n volumul de documentaie tehnic realizat ca urmare a ndeplinirii etapei trei a proiectului i anume: Un studiu documentar cu tema Cercetare documentar privind soluiile tehnice destinate minimizrii riscului de securitate n reelele radio Wi-Fi i n reelele mixte (radio Wi-Fi i cablate). Un raport de implementare a soluiilor intitulat: Implementarea soluiilor tehnice destinate minimizrii riscurilor de securitate n reelele platformelor experimentale. Un ghid de selectare a soluiilor de securitate intitulat: Ghid de selectare a soluiilor tehnice destinate minimizrii riscului de securitate pentru diverse categorii i aplicaii. Un model generic de implementare a politicilor de securitate intitulat: Proiectarea unui model general de definire i implementare a unei politici de securitate destinate reelelor radio Wi-Fi i utilizatorilor acestor reele.

12

Un raport de implementare a politicilor de securitate n platformele experimentale intitulat: Definirea i implementarea unor politici de securitate n cadrul platformelor experimentale. De asemenea, n cadrul etapei s-a realizat actualizarea paginii web a proiectului i au fost publicate articole i comunicri. Bibliografie [1] *** Soluii pentru evaluarea i minimizarea riscului de securitate n reelele radio bazate pe tehnologii Wi-Fi. Etapa 2: Realizarea platformelor experimentale i a testelor de securitate i elaborarea modelelor de evaluare a riscului de securitate, iunie 2007. [2] *** Australian Standard (1999). Risk management, AS/NZS 4360:1999. [3] *** CORAS: A platform for risk analysis of security critical systems IST-2000-25031, 2000. (http://www.nr.no/coras/). [4] *** Information technology Code of practice for information security management, ISO/IEC 17799:2000. [5] *** 1995 Basic reference model for open distributed processing ISO/IEC 10746 series. [6] Krutchten, P. The Rational unified process, an introduction Ed. Addison-Wesley, 1999. [7] An Introduction to Computer Security National Institute of Standards and Technology, Special Publication 800-12, The NIST Handbook [8] *** Special Publication 800-30, Risk Management Guide for Information Technology, National Institute of Standards and Technology Systems. [9] *** Wireless Network Security: 802.11, Bluetooth and Handheld Devices, National Institute of Standards and Technology, Special Publication 800-48. [10] *** Applying Security Patches, NIST Special Publication 800-400. [11] *** Intrusion Detection Systems, NIST Special Publication 800-21. [12] *** Guideline on Network Security Testing, NIST Special Publication 800-42. [13] *** An Introduction to IPsec (Internet Protocol Security), NIST ITL Bulletin March 2001. [14] Dave Molta, WLAN Security On the Rise, http://www.networkcomputing.com. [15] *** Introduction and Applicability Statements for Internet-Standard Management Framework, RFC3410, http://www.ietf.org/internet-drafts/draft-ietf-snmpv3-rfc2570bis03.txt [16] *** 1989 Information processing systems -- Open Systems Interconnection -- Basic Reference Model, ISO/IEC 7498-2

13

[17] Tyson Macaulay, Hardening IEEE 802.11 Wireless Networks., Feb 18, 2002, http://magnoliaroad.net/downloads/hardening_802.11.pdf [18] *** Security Technical Implementation Guides (STIGs) DRAFT Joint Wireless Administrator Checklist http://iase.disa.mil [19] *** Certified Wireless Network Professional Wireless LAN Security Policy Template http://www.owne.com [20] *** Security Focus Wireless Network Policy Development http://www.securityfocus.com [21] *** ZyXEL G-2000 Plus Userss Guide, http://us.zyxel.com/upload/download_library/G-2000_Plus_v2_qsg_1.pdf [22] *** Adaptor wireless PCI TEW-603PI Users Guide http://www.trendnet.com/products/TEW-603PI.htm [23] BLACK U.D., TCP/IP and Related Protocols, McGraw-Hill, 1995 [24] COMER D.E., The Internet Book, Prentice-Hall, 1995 [25] MILLER S., Wi-Fi Security, McGraw-Hill, 2003 [26] SCHNEIER B, Applied cryptography, second edition, NY: John Wiley & Sons, Inc., 1996 [27] TANENBAUM A. S., Computer Networks, Prentice-Hall, 1996 [28] SCRIPCARIU L., BOGDAN I., FRUNZ M.D., Modelling Computer Network Security, Revista de Telecomunicaii, Bucureti, 2007 [29] ***, RFC 2865 - Remote Authentication Dial In User Service (RADIUS), http://tools.ietf.org/html/rfc2865 [30] *** RFC 2866 - RADIUS Accounting, http://tools.ietf.org/html/rfc2866 [31] http://www.openssl.org [32]http://ospkibook.sourceforge.net/docs/OSPKI-2.4.6/OSPKI/pkix-overview.htm

14