Rețelele wireless

Cuprins

1. Introducere........................................................................................................................3

2. Noțiuni generale……………….…………………………………………………………4

3. Rețelele wireless………………………………………………………………………….9

4. APLICAŢIE - Selectarea strategiei de securitate potrivite ……………………………..11

5. Probă practică - Server RADIUS cu protocol EAP……………………………………. 18

6. Concluzii…………………………………………………………………………………25

7. Anexe…………………………………………………………………………………….26

8. Biliografie ……………………………………………………………………………….27
 1. Introducere
Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită
pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare:
calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele,
după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat
diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de
avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare. Secolul
nostru a generat dependenţa de informaţie : oameni care au nevoie să fie în permanenţa conectaţi.
Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi fibrele optice nu sunt de nici un
folos. Ei au nevoie de date pentru calculatoarele lor portabile, de buzunar, fără a fi legaţi de
infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori, răspunsul îl constituie
comunicaţiile fără fir.
Reţelele wireless sau mai simplu WLAN au apărut ca o alternativă la reţeaua LAN prin
cablu reprezentând un sistem flexibil de comunicatii de date , folosit ca o extensie sau o
alternativă la reţelelor cablate , într-o clădire sau un grup de clădiri apropiate . Folosind undele
electromagnetice , dispozitivele WLAN transmit şi primesc date prin aer , eliminând necesitatea
cablurilor şi transformând reţeaua într-un LAN mobil . Astfel , dacă o firmă are un WLAN , la
mutarea în alt sediu nu este nevoie de cablări şi găuriri în pereţi plafoane pe care acestea le
presupun , ci pur şi simplu se mută calculatoarele şi reţeaua poate funcţiona imediat . Ce-i drept ,
în general reţelele WLAN se folosesc împreună cu LAN-urile clasice , mai ales pentru partea de
tipărire în reţea pentru legătura la server .
Tema acestui proiect îl reprezintă studiul de caz asupra reţelelor fără fir şi mai ales a
cerinţelor de securitate pe care le presupune o astfel de reţea ,cu aplicaţii practice în realizare
unei reţele WLAN care să îndeplinească cerinţele unei reţele sigure din punct de vedere a
securităţii atât a accesului la reţea cât şi a datelor vehiculate în cadrul reţelei. Următorul proiect
urmăreşte identificarea elementelor de securitate deja existente în cadrul unei reţele fără fir ,
posibilităţi de securizare oferite de dipozitive de securizare ale reţelei iar parte practică se
constituie într-un ghid practic ce va puncta configurări şi măsuri de securitate pentu un mediu de
comunicaţie cât mai sigur.
Produsele fără fir, de la comanda la distanţă a televizoarelor şi închiderii uşilor
automobilelor la telefonia celulară , utilizează o formă de energie cunoscută ca radiaţie
electromagnetică pentru a transporta semnalele. În ultimi ani comunicaţiile fără fir şi cele mobile
au cunoscut o creştere explozivă în ceea ce priveşte numărul de servicii asigurate şi tipurile de
tehnologii devenite disponibile .Tehnologia celulară , transimiterea de date în reţele mobile şi
serviciile multimedia sunt într-o dezvoltare rapidă , utilizatorii mobili având acces la servicii
precum e-mail , telefonie , video , e-banking ,etc.
Sistemele fără fir oferă beneficiul mobilităţii utilizatorilor şi o desfăşurare flexibilă a unei
reţele într-o anumită arie. Mobilitatea utilizatorilor îi permite unui client al reţelei să se mişte în

2
diferite locaţii ale reţelei fără să-şi piardă conexiunea la reţea .Reţelele fără fir oferă deasemenea
avantajul că adăugarea unui nod la reţea se poate face fără prea multă planificare sau costuri
suplimentare de reclabare. Aceasta face ca viitoare dezvoltări ale reţelei să fi uşoare şi ieftine .
Creşterea rapidă a folosirii laptoupurilor şi PDA-urilor a condus de asemenea la creşterea
dependenţei de reţelele fără fir datorită faptului că reţelele radio pot face mai uşor faţă creşterii
dinamice a utilizatorilor unei reţele.
Ca orice tehnologie relativ nouă , reţelele fără fir reprezintă un mediu de comunicaţie
susceptibil la ameninţări ce ţin nu numai de acţiuni din exteriorul mediului ,dar uneori lipsa unei
documentări puternice asupra capabilităţilor unui astfel de mediu se traduce în probleme de
securitate.
Provocările oferite de reţelele fără fir pot fi detaliate pe mai multe planuri.
 Deficitul lăţimii de bandă face ca pentru reţelele radio divizarea lăţimii de bandă
să fie esenţială , de vreme ce spectrul radio nu numai că este destul de scump , dar
este totodată şi limitat.
 Accesul multiplu , adică succesul unei tranmisii nu este independent de alte
transmisii . Pentru a face o transmisie reuşită trebuie evitată interferenţa sau cel
puţin ţinută sub control. Pe de altă parte transmisiile multiple pot duce la coliziuni
sau la semnale deformate.
 Direcţiile multiple de transmisie produc erori variabile de transmisie care por
conduce la o conectivitate intemitentă.
 Mobilitate , securitatea şi calitatea servicului.
Următoarea lucrare se va baza în special pe acest ultim deziderat al unei reţele WLAN şi
pe aplicaţiile ce rezidă din necesitatea unei conexiuni tot mai sigure şi mai de calitate în cadrul
unei reţele fără fir.

2. Notiuni generale
Criptografia este ştiinţa scrierilor secrete. Ea stă la baza multor servicii şi mecanisme de
securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în
intenţia de a ascunde conţinutul lor sau de a le proteja împotriva modificării. Criptografia are o
lungă istorie, confidenţialitatea comunicării fiind o cerinţă a tuturor timpurilor. Dacă ar trebui să
alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu atât datorită
celebrităţii împăratului roman de care se leagă folosirea lui, ci pentru că principiul său de baza, al
substituţiei, s-a menţinut nealterat aproape două milenii.
Scopul de bază al criptografiei:
1. Confidenţialitate – asigurarea că nimeni nu poate citi mesajul cu excepţia
destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către
persoane neautorizate. Prin manipularea datelor înţelegem procese cum ar fi inserţii, întârzieri
sau substituiri.
3. Autentificarea – presupune posibilitatea de identificare a sursei informaţiei şi a entităţii
(o persoană, un terminal de computer, o carte de credit).
4. Non-repudierea – care previne negarea unor angajamente sau acţiuni anterioare.
Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace sunt
menite să garanteze că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu a fost
manipulată de persoane neautorizate.

3
 Tehnica identificării sau autentificării identităţilor asigură că ambii participanţi (prin
probe coroborate sau dobândite) implicaţi au într-adevăr identitatea pe care o pretind. Acest lucru
se realizează prin transmiterea de date necesare pentru a identifica părţile care participă la
comunicaţie, ambii participanţi fiind activi în această comunicaţie oferind astfel oportunitatea
unei garanţii.
Este important a înţelege importanţa autentificării. Într-un canal de comunicaţii cu un
sistem ideal de criptografie cu chei publice teoretic cele două părţi pot comunica prin intermediul
canalului fără a resimţi nevoia schimbării de chei. Ori un adversar activ poate înfrânge sistemul
(să decripteze mesajele menite să le recepţioneze cea de-a doua entitate) fără a „sparge” sistemul
de criptografie.
Tehnica autentificării entităţilor se poate împărţi în trei mari categorii, în funcţie de tipul
de securitate:
- ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru
obţinerea de chei simetrice) Numere Personale de Identificare (PIN-uri) şi chei private, care prin
protocoale provocare-răspuns, se dovedeşte cunoaşterea lor.
- ceva posedat. Acest aspect se referă mai mult la accesorii fizice un fel de paşaport încă
valabil. Exemple sunt card-urile smart (card-uri de mărimea unuia de credit cu un microprocesor
încorporat sau cu un circuit integrat).
- ceva moştenit(pentru o persoană). Această categorie include metode care fac uz de
caracteristici fizice şi de acţiuni involuntare cum ar fi semnătura, amprente digitale, vocea,
modelul retinei, geometria mâinii precum şi caracteristicile dinamice ale tastatului. Însă acestea
sunt tehnici non-criptografice.
Reţele wireless ad-hoc sunt o colecţie de host-uri care formează o reţea temporară fără o
structură centralizată sau administrare. Topologia reţelei se modifică în mod constant ca rezultat
al faptului că nodurile se alătură sau ies din reţea. Înaintarea pachetelor, rutarea sau alte operaţii
sunt realizate de noduri.
Creşterea popularităţii reţelelor wireless a determinat o scădere rapidă a preţului
echipamentelor wireless concomitent cu o accentuată îmbunătăţire a performanţelor tehnice ale
acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici decât una
tradiţională pe cablu. În acest fel, apar premizele realizării accesului ieftin şi uşor la Internet
membrilor comunităţilor locale, cu toate beneficiile ce rezultă de aici. Accesul la informaţia
globală constituie o sursă de bogăţie la scară locală, prin creşterea productivităţii muncii bazate
pe accesul la cvasitotalitatea informaţiilor disponibile în lume în legătură cu activitatea prestată.
Totodată, reţeaua devine mai valoroasă pe măsură ce tot mai mulţi oameni se leagă la ea.

4
 Figura.11: Tipuri de reţele wireless

Chiar şi fără accesul la Internet comunităţile legate la reţele wireless se bucură de

avantaje - pot colabora la diferite proiecte cu întindere geografică mare folosind comunicaţii
vocale, e-mail–uri şi transmisii de date cu costuri foarte mici. În ultimă instanţă, oamenii înţeleg
că aceste reţele sunt realizate pentru a intra mai uşor în legătură unii cu alţii.
O reţea, fie că este cablată sau wireless, este creată pentru a transporta date între doi sau
mai mulţi clienţi. Tipul datelor poate avea un caracter public sau confidenţial. Dacă pentru datele
de tip neconfidenţial securitatea conexiunii nu este o problemă chiar aşa de importantă, pentru
cele confidenţiale, securitatea datelor este critică.
Securitatea reţelelor wireless este cu atât mai greu de obţinut mai ales datorită
vulnerabilităţii legăturilor, protecţiei fizice limitate a fiecărui dintre noduri, conectivităţii
sporadice, topologiei care se schimbă dinamic, absenţa autorităţii de certificare şi lipsa unei
monitorizări centralizate sau unui punct de management.
Pentru securizarea reţelelor wireless au fost definite suita de protocoale IEEE 802.11
a/b/g/n cunoscute ca şi Wi-Fi (Wireless Fidelity) şi 802.16 cunoscut şi ca WiMax (Worldwide
Interoperability for Microwave Access).

5
 Figure 1.2 : Acoperirea cu semnal de la un punct de acces

Tabel 1. Informaţii despre standardele reţelelor wireless

Standard Rata de Banda Tipul de Securitate Pro şi contra – informaţii

transfer modulaţie a
IEEE Până la 2 Operează în banda de FHSS sau WEP şi Acest standard a fost extins
802.11 Mbps în frecvenţe ISM DSSS WPA la 802.11 b
banda de (Industrie, Ştiinţă,
2.4 GHz Medicină)
IEEE Până la 54 OFDM WEP şi Ratificat la 16 septembrie
802.11a Mbps în Operează în banda ISM WPA 1999
(Wi-Fi) banda de între 5,745 şi 5,805 Se folosesc opt canale
5GHz GHz şi în banda UNII Posibilitatea de interferenţă
(Unlicensed National mai mică decât 802.11 b şi g
Information suportă mai bine multimedia
Infrastructure) între voce şi video în aplicaţii cu
5,170 şi 5,320 GHz. mai mulţi utilizatori
raza de operativitate mai
mică
nu este interoperabil cu
802.11 b

6
IEEE Până la WEP şi ratificat în 16 septembrie
802.11b 11Mbps în Operează în banda de Modulaţiile WPA 1999;
(Wi-Fi) banda de frecvenţe ISM numai de putere la ieşire de până la 1
2.4 GHz (Industrie, Ştiinţă, tipul celor watt;
Medicină) care au Are nevoie de mai puţine
dispersia puncte de acces decât
spectrului 802.11a pentru acoperirea
cuprinsă între unor arii largi;
2,412 şi Oferă acces de viteză mare
2,484 GHz: până la distanţa de 300
DSSS cu picioare
CCK Sunt disponibile 14 canale în
banda de 2.4 GHz (dintre
care numai 11 se pot folosi în
U.S. datorită reglementărilor
FCC)
IEEE Până la Banda ISM OFDM la WEP şi Ratificat în iunie 2003
802.11g 54Mbps în peste 20 WPA Poate înlocui 802.11b
(Wi-Fi) banda de Mbps, DSSS Capabilităţi de securitate
2.4 GHz cu CCK sub sporită
20 Mbps
IEEE În banda de OFDM DES şi Ratificat în 2004;
802.16 10 la 66 Două benzi licenţiate: AES Poate să utilizeze mai multe
(WiMAX) GHz 3,3 – 3,8 GHz şi 2,3 – benzi de frecvenţe, licenţiate
2,7 GHz; şi nelicenţiate, alocate de
Bandă nelicenţiată: ITU;
5,725 – 5,85 GHz. Defineşte un standard pentru
reţele de bandă largă wireless
metropolitane
IEEE Suport 2 la 11 GHz OFDM DES3 şi
802.16a pentru AES
gama de la
2 la 11 GHz
Bluetooth Până la 2 banda de 2.45GHz FHSS PPTP, SSL Nu suportă TCP/IP sau
Mbps sau VPN wireless LAN;
Utilizat mai cu seamă pentru
conectarea PDA-urilor,
telefoanelor mobile şi PC
într-o arie mică.

Prin folosirea acestor metode de securizare se asigură controlul de acces la reţea şi

confidenţialitatea datelor care trec prin aceasta.
Într-o reţea wireless deschisă (numită şi Open System), oricine se află în aria de acoperire
se poate conecta, chiar şi utilizatorii nedoriţi. De aici se ajunge la diverse probleme cum ar fi
irosirea lăţimii de bandă (folosită de intruşi), introducerea de programe cu caracter maliţios în

7
reţeaua privată, sau aşa numitul eavesdropping (interceptarea şi citirea mesajelor sau a oricărui
tip de date). Lipsa de securitate a reţelelor Open System poate duce la simplificarea muncii celor
ce fac spionaj industrial sau a celor care consideră intruziunea într-o reţea wireless privată o
distracţie.
Situaţia este diferită în cazul reţelelor securizate, utilizatorii, pentru a avea acces la reţea,
trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât reţeaua
cât şi utilizatorii sunt protejaţi de pericolele prezentate mai sus. În caz de nevoie utilizatorii pot fi
separaţi între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele VPN, sau alte
modalităţi.
Puncte slabe ale reţelelor fără fir: Ca la orice altă tehnologie nouă, şi în acest caz a fost
dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să
decurgă cât mai simplu şi mai confortabil. După ce interesul pentru avantajele noii tehnologii a
fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea
rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi câteva breşe
de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulţi
administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea şi administrarea
reţelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că tehnologia WLAN
nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul securităţii
trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse ulterior în WLAN, ca
de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi
nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri şi de aşa-numiţii war
driveri. Marele minus al tehnologiei constă în lipsa protecţiei fizice a datelor de transferat, care
există în reţelele pe cablu. Pachetele de date sunt prea puţin protejate la transferul prin unde radio
şi se distribuie aproape incontrolabil în mediul ambiant. Aşadar, ele pot fi de exemplu
recepţionate de către terţi, înregistrate, evaluate sau chiar manipulate. în special monitorizarea
traficului de reţea, aşa numitul sniffing, este unul dintre cele mai mari pericole în WLAN.

3. Reţele wireless
Calculatoarele mobile reprezintă segmentul din industria tehnicii de calcul cu dezvoltarea
cea mai rapidă. Mulţi posesori ai acestor calculatoare au la birou sisteme legate la LAN-uri şi
WAN-uri şi vor să se conecteze la acestea, chiar şi atunci când se află în locuri depărtate de casă
sau pe drum. Deoarece legăturile prin fir sunt imposibile în maşini şi avioane, interesul pentru
reţelele radio este foarte puternic. În această secţiune vom face o scurtă introducere în acest
subiect prezentând mai în detaliu principiile teoretice ce stau la baza funcţionării unei mediu fără
fir.
Comunicaţiile digitale fără fir nu reprezintă, de fapt, o idee nouă. încă din 1901, fizicianul
italian Guglielmo Marconi a realizat legătura între un vapor şi un punct de pe coastă folosind
telegraful fără fir şi codul Morse (punctele şi liniile sunt, în definitiv, binare). Sistemele radio
moderne au performanţe mai bune, dar ideea fundamentală a rămas aceeaşi.
Reţelele radio au numeroase utilizări. Biroul portabil reprezintă una dintre ele. Oamenii
aflaţi pe drum doresc adesea să folosească echipamentele lor electronice portabile pentru a
trimite şi primi faxuri şi poştă electronică, pentru a citi fişiere aflate la distanţă, pentru a se
conecta la distanţă şi aşa mai departe. Şi doresc să facă aşa ceva din orice loc de pe uscat, apă sau
aer. Reţelele radio sunt de mare importanţă pentru parcurile de camioane, taxiuri şi autobuze,
ca şi pentru echipele de intervenţie care trebuie să menţină contactul cu baza. Reţelele radio pot

8
fi de asemenea utile pentru echipele de intervenţie în locuri de dezastru (incendii, inundaţii,
cutremure etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse la faţa locului pot să
trimită mesaje, să înregistreze informaţii şi aşa mai departe.
În sfârşit, reţelele radio sunt importante pentru armată. Dacă trebuie să faci faţă în cel mai
scurt timp unui război care se poate desfăşura oriunde în lume, atunci probabil că nu este o idee
bună să te bazezi pe infrastructura de reţele existentă la faţa locului. Este mai bine să-ţi aduci
propria reţea.

Tabel 2 : Combinaţii de reţele fără fir şi tehnică de calcul mobilă.

Fără fir Mobil Aplicaţii

Nu Nu Staţii de lucru staţionare într-un birou
Nu Da Folosirea unui calculator portabil într-un hotel sau pentru
Da Nu inspecţia trenurilor
LAN-uri instalate în clădiri mai vechi, fără fire
Da Da Birouri mobile; PDA-uri pentru inventarierea magaziei

Deşi reţelele fără fir şi echipamentele de calcul mobile sunt adesea înrudite, ele nu sunt
identice (a se vedea tabelul alăturat). Calculatoarele portabile comunică uneori cu ajutorul firelor.
Dacă într-un hotel un turist racordează un calculator mobil la mufa de telefon, acesta este un
exemplu de mobilitate fără reţea radio. Un alt exemplu se referă la o persoană care poartă cu sine
un calculator mobil în timp ce inspectează, pentru probleme tehnice, un tren. în acest caz, în
spatele calculatorului poate foarte bine să atârne un fir lung (ca la aspirator).
Deşi LAN-urile fără fir sunt uşor de instalat, ele au şi unele dezavantaje. Capacitatea lor
tipică este de 1-2 Mbps, ceea ce este mult mai puţin decât în cazul LAN-urilor cu fir. De
asemenea, rata de erori este adesea mai mare, iar transmisiile între diferite calculatoare pot
interfera unele cu altele.
Dar există, desigur, şi aplicaţii cu adevărat mobile, fără fir, începând cu biroul portabil şi
terminând cu persoanele care fac inventarul unui magazin folosind PDA-uri. în multe aeroporttiri
aglomerate, angajaţii companiilor de închiriat maşini lucrează în parcări cu calculatoare portabile
fără fir. Ei introduc în calculator numărul de înmatriculare al fiecărei maşini returnate, iar
portabilele lor, care au înglobată o imprimantă, apelează calculatorul central, primesc informaţii
despre închirierea respectivei maşini şi eliberează factura de plată pe loc.
Wireless LAN reprezintă, mai precis, reţele de calculatoare ce comunică între ele prin
legături definite de standardele 802.11b sau 802.11g. Conform acestor standarde, comunicarea se
face pe banda de frecvenţă de 2.4Ghz pe un număr de maxim 14 canale. La noi în ţara pot fi
utilizate 13 canale fără nici o autorizaţie prealabilă dacă nu se depăşeşte puterea maximă admisă
pentru această frecvenţă.

Există două moduri de realizare a unei reţele fără fir:

• Ad-hoc - Se conectează între ele mai multe calculatoare. Nu există conectivitate cu o
reţea cu fir sau conectarea cu reţeaua cu fir se face prin intermediul unui calculator cu o aplicaţie
software dedicată. Se pretează în general pentru un număr redus de calculatoare aflate pe o
suprafaţă mică. Fiecare calculator se conectează cu celălalt fără a fi nevoie de un alt echipament.
• Infrastructure - Comunicarea se face prin intermediul unui echipament activ numit
access point (AP). O legătură între 2 calculatoare se face prin intermediul access point-ului la

9
care sunt conectate fiecare dintre ele. Acest mod de lucru permite o rază mare de acoperire prin
utilizarea mai multor access point-uri conectate intre ele. De asemenea, e modul de lucru preferat
dacă se doreşte interconectarea unei reţele cu fir cu o reţea fără fir sau legătura între un număr
mare de clienţi fără fir.

Figure1.3:Moduri de realizare a unei reţele fără fir

Pentru o bună inţelegere a modului de realizare şi a facilităţilor oferite de reţelele wireless

trebuie mai întâi să înţelegem elementele de bază şi modul de realizare a reţelelor cablate.

4. APLICAŢIE - Selectarea strategiei de securitate potrivite

Configuraţia reţelelor locale fără fir bazată pe standardele radio 802.11 poate părea
simplă la prima vedere. In cadrul unei reţele WLAN sunt necesare şi alte măsuri de prevedere şi
o planificare mai profundă.
Factori ce trebuie luaţi în considerare atunci când se proiectează o reţea WLAN:
 Lărgimea benzii necesare pentru a suporta utilizatorii şi aplicaţiile fără fir.
 Aria de lucru , niveluri de interferenţă pentru frecvenţele radio.
 Tipul autentificării şi securităţii cerut de către politica de securitate a
beneficiarului.
 Flexibilitate şi posibilitatea de a efectua upgrade-uri.
Preţul , seturile de caracteristici ale 802.11 , capacităţile de management şi abilitatea de a
integra reţeaua fără fir în cadrul reţelei cu fir deja existente.
Întrucât scopul lucrării de faţă este de a studia elementele de securitate disponibile în
cadrul reţelelor fără fir şi deasemeni posibilităţile de întărire a securităţii unei astfel de reţele,
vom discuta despre caracteristicile de securitate şi de autentificare ce trebuie luate în
calcul la dezvoltarea unei reţele fără fir .

1.Selectarea strategiei de securitate potrivite

10
 Alegerea tipului autentificării, criptării datelor şi securităţii prin care se asigură
integritatea pachetelor pentru o reţea fără fir LAN depinde de o serie de factori. Politica de
securitate a companiei , tipul datelor pe care încercăm să le protejăm, complexitatea soluţiei de
securitate joacă un rol important în alegerea tipului de autentificare şi a schemei de criptare a
datelor . Ce dorim să protejăm şi cine ar trebui să primească acces la reaţea ? Îm al doilea rând
artrebui să înţelegem, pe deplin beneficiile fiecărui tip de autentificare şi ale fiecărei metode de
criptare a datelor şi informaţia suplimentară (overhead-ul) necesar pentur configurarea fiecărei
componente de securitate. Nu în ultimul rănd trebuie testate caracteristicile de securitate alese
pentru software-ul şi hardware-ul client , pentru a vedea dacă aceste satisfac nevoile reţelei.
Pentru securizare unei reţele fără fir avem la dispoziţie următoarele metode de
autentificare a accesului la reţea şi de criptare a datelor vehiculate în cadrul reţelei.Este bine de
precizat că numai o combinare eficientă a acestor metode va oferi soluţia portivită pentru fiecare
tip de reţea în parte.

Metode de autentificare:
 Fără autentficare
 Filtrarea adreselor MAC (MAC adress filtering)
 Cheie WEP partajată (Shared WEP Key)
 Cheie pre partajată (pre-shared key)
 802.1x (tehnologii EAP )
 Autentificare VPN
Fiecare din aceste metode de autentificare are avantaje şi dezavantaje . Cu cât este mai
puternică autentificare , cu atât sunt necesare mai multe echipamente hard şi aplicaţii soft iar
eforul depus pentru asigurarea funcţionării şi întreţinerii soluţiei de securitate este mai mare .
Există întotdeauna o discrepanţă între o securitate de nivel înalt şi utilitatea sau uşurinţa setării şi
utilzării.

Metode de criptare a datelor:

 Fără criptare
 WEP static
 WEP dinamic (WEP rotativ)
 Acces protejat WIFI (WPA cu TKIP şi AES-CCM)
 Criptarea VPN printr-un terţ (3rd party VPN Encryption)
După selectarea unei metode de autentificare pentru reţeaua WLAN , se trece la
selectarea unei scheme de criptare a datelor pentru protejarea pachetelor de date care circulă în
aer liber. Unele din aceste scheme d criptare pot fi folosite doar cu metode de autentificare
specifice.
Pentru soluţii de securitate la nivel de întreprindere , standardul minim de securitate car
trebuie ales este Dinamyc WEP . Dinamyc WEP foloseşte 802.1x pentru a asigura p autentificare
puternică şi generează dinamic o cheie WEP unică pentru fiecare utilizator al reţelei.

Combinaţii ale metodelor de securizare ale reţelelor fără fir.

După cum am observat , există mai multe variante pentru a asigura securitatea spaţiului
aferent fără fir . Întrucât nevoie de securitate creşte , complexitatea implementării şi utilizării

11
 creşte de asemenea . Atunci când se aleg anumite caracteristici de securitate trebuie avuţi în
vedere şi clienţii fără fir deja existenţi şi dacă aceştia suportă aceste noi caracterisitic. Trebuie să
ne asigurăm se compatibilitatea deplină a clienţilor NIC cu securitatea furnizată de punctul de
acces sau de switc-ul WLAN.
În următorul tabel sunt prezentate cele mai cunoscute combinaţii de autentificare şi
securitate la nivel de întreprindere . Alegerea schemei potrivite depinde de cerinţele de securitate
, datele care trebuie protejate şi tipul serviciilor oferite de către reţeaua fără fir.

Tabel : Scheme de securizare

Metoda de Metoda de criptare Descriere

autentificare a datelor
Nici una Nici una Reţeaua wireless e folosită ca o reţea de nivel secundar,
fără securitate. Poate fi folosită pentru punctele de acces
gratuite , reţele pentru clienţi cu trafic VLAN către
reţelele externe împreună cu o soluţie de securitate VPN.
Cheie partajată WEP static Securitatea datelor nu este prioritară şi abilitatea scalării
soluţiei nu este necesară . Aleasă pentru uşurinţa
implementării în detrimentul securităţii datelor şi
complexităţii autentificării. Se pretează pentru reţele
destinate clienţilor sau reţele cu securitate scăzută.
802.1x WEP Autentificare utilizatorului pe un server RADIUS şi chei
de criptare unice generate aleator pentru fiecare utilizator
şi fiecare sesiune. Cheltuielile pentru setare sunt mai
mari ,însă oferă o securitate de nivel înalt. Majoritatea
softurilor client şi a cartelelor NIC fără fir suportă această
metodă. Complexitatea implementării deoinde de tipul de
EAP selectat.
Cheie WPA Criptarea puternică a datelor este asigurată prin WPA
prepartajată folosind TKIP şi AES. Autentificarea este simplificată
însă folosirea cheilor pre distribuite duce la
compromiterea scalabilităţii.Se foloseşte în general , în
reţele de dimensiuni mai mici unde simplicitatea
autentificării este dorită mai mult decât folosirea unei unui
server RADIUS şi a clienţilor 802.1x.
802.1x WPA Soluţie de securitate foarte înaltă care foloseşte un server
RADIUS pentru autentificarea fiecărui utilizator şi WPA
cu TKIP sau AES pentru criptarea datelor . Cardurile NIC
şi driverele client trebuie să suporte WPA şi clienţi 802.1x
, fiind necesară folosirea unui server RADIUS compatibil
cu 802.1x. Este potrivit pentru reţelele fără fir la nivel de
întreprindere care necesită autenificare puternică a
utilizatorilor fără fir şi o criptare puternică a
datelor.Complexitatea implementării depinde de tipul de

12
 EAP folosit.
Filtrarea opţional Filtrarea adreselor MAC este o schemă separată de
adreselor MAC autentificare care poate fi aplicată la oricare din
combinaţiile de securitate menţionate. Ea adaugă
complexitate în întreţinere , printr-p listă a adreselor MAC
a clienţilor care trebuie întreţinută. Filtrarea adreselor
MAC a clienţilor poate fi ocolită de către hackeri . În
general e utilizată cu scheme la nivel inferior ca să
asigure o extrasecuritate.

Prezentarea schemei practice şi a dispozitivelor folosite:

 Ruter TRENDNET TEW-432BRP
Pentru realizarea schemei practice am folosit un router wireless TRENDNET , un laptop
şi un PC care va fi folosit pentru a asigura operaţiunile de administrare a reţelei şi deasemeni pe
care a fost instalat Windows Server 2003 pentru realizarea server-ului RADIUS folosit ulterior
pentru administrarea utilizatorilor.
Date tehnice:
Compatibil cu dispozitive ce folosesc protocoale wireless 802.1g sau 802.1b şi protocoale
din cadrul reţelelor cablate :
 IEEE 802.3 (!0BASE-T) , IEEE 802.3u(100BASE-TX); ANSI/IEEE 802.3 Auto
Negotiation;
 4 porturi lan încorporate de tip 10/100Mbps
 1 port 10/100 Mbps de tip WAN (Internet)
 Suportă modem-uri cable/dsl ce poate folosi IP dinamic , IP static , PPoE sau
L2TP;
 Server DHCP ce poate aloca până la 253 adrese client;
 Criptare WEP(Wired Equivalent Privacy) pe 64/128 biţi ;
 802.1x/WPA, WPA-PSK, TKIP/AES pentru securitatea sporită;
 Suportă filtrarea după adrese MAC sau adrese IP;
 Controlul traficului cu ajutorul unui sever virtual sau prin crearea unei zone de tip
DMZ(demilitarized zone);
 Oferă securitate crscută cu ajutorul unui firewall SPI/NAT ;
 Suportă routarea dinamică şi statică;
 Suportă IPSEC sau tehnologii VPN;
 Flash memory pentru operaţiuni de firmware;
 Compatibil cu Windows 95/98/2000/XP sau Linux ;
 Management uşor via Web Browser(HTTP) sau remote management;
 Aria de acoperire : interior 30 -50 metri exterior : 50-200 metri ;
 Frecvenţa : 2.412 – 2.484 GHz (Banda ISM );
 Tehnica de modulare : 802.11b : CCK, DQPSK, DBPSK
 802.11g: OFDM
 Rate de transfer: 802.11b : 11Mbps, 5.5 Mbps, 2Mbps şi 1 Mbps;
 802.11g : 54 Mbps, 48 Mbps, 36 Mbps, 24Mbps,18 Mbps,12Mbps, 9Mbps şi
6Mbps;

13
  Canale: 11 canale (US), 13 canale (EU);

Configuraţia de principiu a platformei folosite pentru implementarea practică a

proiectului :

Realizarea practică:

1. Setarea parametrilor de lucru ai routerului

Aşa cum se poate observa şi din configuraţia de principiu a schemei de funcţionare pentru
interconectarea routerului cu laptopul client din reţea am folosit un adaptor wireless
TRENDNET TEW-412PC care a fost configurat pe calculatorul client conform cu instrucţiunile
furnizate de driver-ul de instalare.
Router-ul TRENDNET TEW-432BRP a fost configurat conform cu wizard-ul implicit
furnizat de driver-ul aferent router-ului pe un PC cu sistem de operare Windows XP care ulterior
va reprezenta şi platforma pentru serverul RADIUS folosit pentru autentificarea de nivel înalt a
utilizatorilor.
Acest wizard este utilizat pentru setarea informaţiilor primare cu privire la caracteristicile
router-ului cum sunt :
1 . parola administrator
2. time zone
 conexiune LAN şi server-ul DHCP. În cadrul acestui pas se setează automat IP-ul
server-ului default este //192.168.1.1 . Tot în cadrul acestui pas se setează server-
ul DHCP care va furniza clienţilor adrese IP cuprinse într-un anumit interval
server-ul DHCP putând furniza până la 253 de adrese IP.
 conexiunea Internet. În cadrul acestui pas alegem tipul de conexiune pe care o
vom folosi pentru conexiunea la WAN. Putem alege
14
  Obtain IP automatically (DHCP client): în cazul în care server-ul DHCP a fost
setat să administreze adresele IP din reţea această opţiune va fi asigurată de
server-ul DHCP furnizat implicit de router.
 Fixed IP Address: în cazul în care provider-ul de Internet asignează o adresă IP
fixă , vor fi introduse adresa IP , masca de subreţea , IP-ul gateway şi IP-ul
serverului DNS pentru roterul broadband
 PPPoE cu adresă IP automată: în cazul utilizării unei conexiuni de tip PPPoE cu
ajutorul unui modem dial-ul sau xDSL iar furnizorul de internet va oferi automat
o adresă IP şi apoi un user name şi o parolă pentru a crea conexiunea.
 PPPoE cu adresă fixă: aceeaşi situaţie ca în cazul precedent numai că pe lângă
user name şi password adresa IP va fi prestabilită .
 PPTP: (point to point tunneling protocol): acest protocol este folosit în cazul în
care se implementează o soluţie de tip VPN sau remote acces.
 L2TP: (layer 2 tunneling protocol) o versiune avansată a PPTP .
 wireless LAN connection: acest pas este necesar pentru crearea unei reţele
WLAN. La crearea acestei reţele va fi necesar stabilirea unui nume SSID pentru
reaţeaua viitoare şi deasemeni un canal de comunicaţie , date care trebuie să fie
aceleaşi pentru toate dispozitivele wireless din cadrul reţelei nou create.
 Restart
Acest wizard reprezintă o metoda foarte simplă şi foarte la îndemâna unui utilizator
obişnuit de a crea , cu ajutorul dispozitivelor potrivite, o reţea fără fir. În acest moment pentru
mulţi utilizatori instalarea unei reţele WLAN se opreşte aici uşurinţa configurării luând locul
lipsei totale de securizare a reţelei. În momentul acesta router-ul va transmite datele sale de
identificare către toate dispozitivele wireless din aria sa de acoperire , reteaua astfel creată
comportându-se ca un teritoriu fără nici un fel de restricţii.
În continuare vom urmări gradual metodele de securizare a unei reţele fără fir aşa cum au
fost prezentate anterior urmând ca în final să furnizăm o soluţie de securizare a reţelei folosind o
combinaţie între autentificarea conform protocolului 802.1x ce foloseşte o criptare WEP a
datelor vehiculate în cadrul reţelei.
Reţeaua astfel creată se află în stadiul unu de securitate a unei reţele, orice utilzator
putând avea acces la resursele reţelei fără fir. Astfel de reţele sunt folosite de obicei pentru
accesul la internet în cadrul campusurilo universitare , pentru punctele de acces gratuite unde
securitate nu esti un deziderat principal întrucât se presupune că datele vehiculate în reţea nu
necesită protecţie suplimentară.
În continuare vom prezenta facilităţile furnizate de router pentru securizarea reţelei nou
create.
1. Un prim pas care poate fi făcut pentru a securiza reţeaua nou creată este acela de a
dezactiva transmiterea de către router a semnalelor de tip beacon prin care acesta furnizează
clienţilor din aria sa de acoperire numele reţelei dată de SSID-ul implicit stabilit în sesiunea
precedentă de personalizare a reţelei. În cazul în care router-ul dispune de o opţiune pentru
ascunderea identităţii reţelei (SSID),această opţiune trebuie activată. De asemenea, trebuie
modificat numele reţelei, deoarece mai toate folosesc denumirea implicită. În locul acesteia este
de preferat o descriere care să nu însemne nimic re-cognoscibil, în nici un caz numele proprii.
Dacă SSID-ul este ascuns, hacker-ul trebuie să introducă numele reţelei manual, ca şi în cazul
parolelor. Acest truc nu ne oferă însă siguranţă absolută, fiindcă utilitare precum Network
Stumbler descoperă şi reţele ascunse.

15
 Pentru ilustrarea acestei măsuri de securitate am configurat în cadrul domeniului de
configurare a router-ului un SSID de forma : 1yXq34*$56hrYvWdA78 iar funcţia de “SSID
Broadcast ” a fost oprită din meniul cu setari ale reţelei WLAN. Un astfel de identificator al
reţelei ajuta nu numai la protejarea SSID-ului de atacuri de tip Brute-Force , ci oferă şi o funcţie
de securitate importantă: programe gen WEP Crack adună pachetele transmise de WLAN în
scopul spargerii codării WEP .Dar, fiindcă driverele WI-Fi din Linux nu întreprind nici un fel de
verificare a datelor prin sume de control , iar caracterele speciale din SSID (conţinute de fiecare
pachet ) nu sunt lizibile pentru program , pachetele sunt declarate ca fiind defecte şi implicit
respinse. Cu alte cuvinte pachetele de date necodate transmise de WLAN nu mai pot fi
interceptate şi sparte.
Pentru conectarea clienţilor reţelei va trebui introdus manual numele reţelei adică
1yXq34*$56hrYvWdA78 iar astfel reţeaua va fi recunoscută imediat ce clientul se află în aria de
acoperire a reţelei.
2. Aşa cum am precizat anterior o reţea care doar are dezactivată funcţia de SSID
broadcast este cu siguranţă susceptibilă unor atacuri de tip MITM întrucât un acces neautorizat
poate fi realizat foarte simplu prin folosirea unei interfeţe de reaţea ce poate lucra în modul
promiscous şi care poate folosi Network Stumbler pentru a intercepta traficul din reţea şi implicit
şi numele SSID al reţealei. Din această cauză o măsură suplimentară de securitate oferită de
majoritatea dispozitivelor fără fir este activarea autentificării WEP.
Router-ul dispune de posibilitatea setării unei autentificări WEP fie de tip Open System
fie de tip cheie partajată. Open sistem permite accesul deschis via reţea wireless la router însă
tipul de autentificare cu cheie partajată se bazează pe o cheie cunoscută de toţi utilizatorii din
reţea . Router-ul permite setarea unei chei maxime de 128 de biţi în format fie heza zecimal fie în
format ASCII. Deasemeni se pot seta un număr de 4 chei WEP care vor putea fi folosite pentru
securizare reţelei.
Problema standardului WEP dată de vectorul de iniţializare.Se recomandăca acest vector
de iniţializare să se repete pentru a nu fi interceptat. Din păcate, acest lucru nu este respectat de
toţi producătorii şi nici nu prea există referinţe despre cum se generează un vector de iniţializare.
De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare. Consecinţa este
că, mai devreme sau mai târziu, VI-ul ajunge să se repete. Un studiu realizat de Universitatea
Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de pachete de date transmise
în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI identic, acesta poate descoperi
cheia WEP. Problema cea mai importantă se pare că o constituie faptul că pentru un atac asupra
unei reţele WLAN un rău –voitor nu are nevoie de software complicat ,programe care pot sparge
WEP sunt disponibile de exemplu la adrese ca wepcrack.sourceforge.net sau airsnort.shmoo.com
.
Totuşi aşa cum am precizat mai devreme un element de securitate desuet aşa cum este
WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu alte
metode de întărire a securităţii reţelei.
Deasemenea router-ul dispune de autentificare WPA şi WPA-PSK care vor fi discutate
ulterior fiind o soluţie de securitate mult mai avansată decât simpla folosire a WEP.
3. Router-ul oferă ,ca şi un grad crescut de securitate, două moduri de expediere a
datelor : static sau dinamic. În cadrul rutării statice pot fi stabilite parametrii de rutare a datelor în
cazul în care utilizatorul are o adresă IP statică. Deasemeni este oferită şi posibilitatea unei rutări
dinamice acest tip de rutare încercând să rezolve problema unei rute prin folosire unor tabele de

16
rutare automate. Rutarea adreselor poate fi folosită în combinaţie cu o zonă DMZ pentru a
direcţiona traficul din reţea către această zonă.
4. În opţiunea de acces la facilităţile ruterului putem utiliza mai multe căi de
restricţionare a accesului la reţeaua WLAN.
a). Filtrarea MAC: această metodă de filtrare a accesului poate fi folosită în conjuncţie cu
orice altă schmă de securitate. Ea adaugă complexitate în întreţinere , printr-o listă a adreselor
MAC a clienţilor care au drepturi de acces. Totuşi această soluţie nu poate fi considerată o
măsură suficintă de a asigura securitate reţelei întrucât chiar şi ruterul folosit în cadrul acestui
proiect dispunde de posibilitatea clonării adresei MAC astfel că o astfel de măsură poate fi uşor
compromisă.
b). Filtrarea accesului pe baza protocolului folosit de client . O listă de profile sunt
disponibile şi conform cu caracteristicile acestor protocoale pot fi restrricţionate anumite porturi
de acces la Internet.
c). IP filter- cu ajutorul acestei opţiuni poate fi restricţionat acesul adreselor IP aflate într-
un anumit interval.
d). Virtual Server: cu ajutorul acestei setări putem direcţiona accesul către un server local
din cadrul reţelei.
e). DMZ – zonă tampon pentru clienţii care nu pot avea acces la internet prin intermediul
ruterului datorită elementelor de securitate pe care nu le îndeplines .Calculatorul a cărei adresă IP
este folosită pentru a indica această zonă DMZ va oferi acces nelimitat la Internet. De obicei
acest tip de zone de acces la Internet sunt folosite în cadrul hot spoturilor gratuite în care
informaţiile vehiculate nu sunt importante.
f).Firewall Rule
Aceste setari definesc toate facilităţile puse la dispoziţia unui administrator de a
reglementa anumite permisiuni valabile utilizatorilor reţelei sau celor care doresc să acceseze
reţeaua WLAN. Cu ajutorul acestor opţiuni sunt posibile implementarea schemelor de securitate
prezentate în tabelul de mai sus care nu au nevoie ca metodă de autentificare folosirea unui
server RADIUS şi implicit a unei autentificări conform standardului EAP.

5. Server RADIUS cu protocol EAP

Desfăşurarea procesului de autentificare , autorizare şi actualizare a contului unui

utilizator wireless în cadrul reţelei se va desfăşura conform cu dialogul standard de autorizare la
un server RADIUS iar participanţii la dialogul de autentificare trebuie să respecte aceleaşi
caracteristici de securitate .

1.Schema de principiu a montajului

17
 Client Autentificatorul
EAPOL Port acces la
Interfaţa hostului reţea(AP , switch)

192.168.1.1
192.168.1.100
Mesaje EAP
încapsulate tipic
pentru RADIUS

Server autentificare
Server AAA (orice
server EAP de obicei
RADIUS)
192,168,1,,111
1

2.Protocolul de comunicaţie
Serverul de autentificare poate fi în acelaşi loc cu autentificatorul sau cele două pot fi în
locuridiferite şi să se acceseze reciproc prin comunicaţie de la distanţă. Multe dintre funcţiile de
autentificare sunt implementate la client şi la serverul de autentificare . Acest lucru este benefic
pentru punctele de acces, deoarece ele au o memorie mică şi putere de procesare redusă.
 Dialogul de autorizare standard constă în :
 AP (punctele de acces) cere STA(staţiile) să se identidifice folosind EAPOL
(EAP over LAN).
 STA îşi trimite identitatea la AP
 AP trimite mai departe identitatea STA la AS (server de autentificare), prin
intermediul EAP
 Între AS şi STA are loc un dialog de autentificare
 Dacă dialogul este terminat cu success , STA şi AS partajează cheie de sesiune
 AS trimite cheia de sesiune la AP într-un atribut RADIUS precum şi o parte a
mesajului de acceptare a RADIUS
Clientul wireless încearcă să se autentifice la reţea prin intermediul ruterului , dar înaintea
autentificării este deschis numai un port necontrolat ce va permite doar mesaje de autentificare

18
de tip EAPOL. Aceste mesaje vor fi trimise către serverul RADIUS care va verifica credenţialele
clientului prin analiza conturilor din cadrul Active Directory.
Pentru realizarea practică am folosit configuraţia precedentă pe care am ilustrat
posibilităţile de securizare ale reţelei doar cu ajutorul funcţiilor oferite de ruter iar în plus pentru
realizarea configuraţiei de lucru pe calculatorul pe care am instalat ruterul am folosit Windows
Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de autentificare a
clienţilor wireless.

3. Elemente software utilizate

 Windows Standard Server 2003
Windows Standard Server 2003 este un sistem de operare în reţea sigur care oferă rapid şi
uşor soluţii pentru firme. Acest server flexibil este alegerea ideală pentru nevoile zilnice ale
firmelor de toate mărimile.
 acceptă partajarea fişierelor şi imprimantelor.
 oferă conectivitate sigură la Internet.
 permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru.
 oferă posibilitatea unei bogate colaborări între angajaţi, parteneri şi
 clienţi
 acceptă multiprocesarea simetrică cu două căi şi până la 4 gigaocteţi
 (GO) de memorie.
 IAS
IAS (Internet Authentification Service) este implementarea Microsoft a unui server
RADIUS (Remote Dial – in User Service) . Ca şi server RADIUS , IAS realizează operaţiuni
centralizate de autentificare, autorizare şi înregistrare pentru mai multe tipuri de conexiuni la
reţea aşa cum sunt reţelele VPN sau WLA , conexiuni dial-up, remote acces sau conexiuni de tip
ruter-ruter.

 Active Directory
Active Directory este o implementare a serviciilor de directoare LDAP, folosită de
Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziţia
administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea
programelor, înnoirea securităţii. Toate aceste operaţiuni pot fi aplicate atât la reţele mici, cât şi
la reţele complexe.
Active Directory (AD) - este o ierarhie de câteva obiecte, unde obiectele se împart în trei
categorii: resurse (ex: imprimantă), servicii (ex: poşta electronică), resurse umane (ex: utilizatori,
grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziţie
informaţii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securităţii..
4. Implementare practică
a). Implementarea autentificatorului
La nivelul ruterului am redirecţionat tot traficul ce încerca să acceseze resursele reţelei
către serverul RADIUS . Pentru autentificarea clienţilor am folosit Wi-Fi protected Acces cu
TKIP toate cererile de accesare a reţelei fiind redirecţionate către serverul RADIUS indicat prin
adresa 192.168.1.111:1812. Deasemeni pentru comunicaţia dintre ruter-ul wireless şi server este
necesară stabilirea unei chei secrete de comunicare.

19
 Figura 6.3 Implementare ruter

b).Implementarea serverului

Serverul va fi instalat pe un sistem de operare Windows Server 2003 indicat prin adresa
ţintă //192.168.1.111 iar portul de comunicaţie 1812 va fi deschis pentru comunicaţiile de tip
EAP-RADIUS dintre suplicant şi serverul RADIUS.

Figura.3.1 Creare client IAS

Vom identifica ruterul folosit ca şi client al serverului de autentificare pentru care vom
forma politici de acces la disstanţa la domeniu, politici ce vor restricţiona accesul în funcţie de
caracteristicile clienţilor: adresa IP a clientului , restricţii în funcţie de momentul data şi ora
accesării , tipul de conexiune , tipul de protocol folosit pentru securizarea accesului sau după
grupul Windows căreia aparţine clientul.

20
 Figura 3.2 Politici de securitate

Pentru clientul anterior format am creeat restricţii remote ce privesc tipul de autentificare
folosit. Astfel vom folosi pentru autentificare MS-CHAP v2 care este un protocol al Microsoft de
tip Challenge –handshake authentification protocol .MS-CHAP v2 este o versiune îmbunătăţită
de MS-CHAP, foarte utilizat de sistemele Windows şi cu suport criptografic mai bun decât
protocoalele anterioare. Este recomandată atunci când nu poate fi folosit EAP-TLS deoarece
aduce ca şi element de securitate suplimentar autentificarea mutuală. Este suportat de clienţii
care rulează sistem de operare Windows 98 Second Edition sau mai nou.Protocolul în
desfăşurarea sa respectă următorii pasi:
autentificatorul (serverul IAS) trimite un răspuns de încercare către clientul ce doreşte să
se conecteze remote care este reprezentat printr-un identificator de sesiune şi un pachet de date
arbitrar.
clientul ce doreşte să se conecteze remote trimite un răspuns ce va cuprinde : user
name/un pachet arbitrar de date de tip challenge/o criptare de tip one –way a pachetului de date
primit .
autentificatorul verifică răspunsul clientului şi răspunde furnizând : un răspuns ce indică
reuşita sau eşecul sesiuni de conectare, un răspuns de autentificare bazat pe pachetul de date
trimis de suplicant.
clientul verifică validitatea răspunsului de autentificare iar dacă aceasta e corectă
foloseşte conexiunea.
Pentru a putea genera un raport corespunzător cu privire la calitatea clienţilor ce doresc să
acceseze reţeaua am creat în cadrul Active Directory un grup de utilizatori ce va conţine toti
clienţii wireless ce se vor conecta la reţea, asupra fiecăruia stabilind condiţii de negociere a
autentificării. Vom folosi pentru autentificare protocolul PEAP . Spre deosebire de EAP-TLS ,
acest protocol se potriveşte mai mult reţelelor care au nevoie de o autentificare puternică însă
fără a utiliza cerificate mutuale.
Pentru ca, un utilizator să se poată conecta de la distanţă, este obligatoriu ca el să aibă un
cont de utilizator în cadrul domeniului sau grupului de lucru gestionat de server. În cazul nostru

21
există un grup de lucru în cadrul căruia creem un grup de utilizatori ”wireless”. Mai departe, în
cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distanţă, practic clienţii
WLAN.Astfel vom avea următorii utilizatori, cu nume generice: “George”, “ Daniel” , “Alina”
iar grupul de utilizatori poate fi extins în funcţie de cerinţe. La creearea utilizatorilor, se vor crea
practic conturi de acces în reţea. Aceste conturi se vor conforma politicilor de securitate stabilite
în Windows Server 2003. Este o autentificare bazată pe nume de utilizator şi parolă.
Pentru fiecare utilizator trebuiesc setate anumite proprietaţi, pentru a putea avea acces de
la distanţă. Asfel, la fiecare cont de utilizator se va merge la “Proprietaţi” şi apoi la butonul
“Dial-in”.

Figura 3.3 Drepturi acces client

Aici putem stabili dacă utilizatorul respectiv are sau nu drept să se conecteze la distanţă.
Ca o măsură suplimentară de securitate, se poate seta opţiunea “Verify Caller ID”, adică să se
permită accesul, numai daca se conectează de la un număr de telefon predefinit. În cazul nostru,
vom seta ca la toţi utilizatorii să fie permis accesul pe baza politicii de securitate a serverului de
acces la distanţă(“Control access through Remote Access Policy”).Aceasta va fi configurată
ulterior.

c).Implementarea suplicanţilor
Pentru fiecare client în parte vom stabili acessul de tip remote folosin ca şi metodă de
autentificare 802.1x PEAP cu protocolul MS-CHAP v2. . La proprietaţile conexiunii, putem seta
ce tip de conexiune se va iniţia (PPTP sau L2TP), nivelul de criptare pe care îl dorim, metoda de
autentificare folosită (MS-CHAP.v2, EAP), modul de autentificare (smart-card, certificate
digitale).
PEAP este o metodă de autentificare ce protejează negocierea de tip EAP, încriptând
conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless 802.11. PEAP poate fi
folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă autentificare mutuală aşa cum am
observat din detalierea paşilor pe care îi urmează procesul de autentificare. Sau EAP-TLS, care
este cea mai puternică şi necesită o infrastructură de chei publice PKI.

22
 În funcţie de politica de securitate pe care am stabilit-o pe server, vom seta conexiunea în
felul următor:
-tip tunel: PPTP
-metoda de autentificare: PEAP în conjunţie cu MS-CHAP.v2

-puterea de criptare: Strong encryption 128-bit

Figura 3.3 Implemetare suplicanţi

23
 În momentul conectării la reţea după redirecţionarea accesului către server vom oferi
credenţialele proprii care vor fi comparate cu cele introduse pentru fiecare client în Active
Directory accesul la reţea şi implicit la resursele reţelei fiind permis decât după confruntarea
credenţialeleor introduse de utilizator cu cele stocate în cadrul grupului creat.

Figura 3.4 Conectare clienţi

Autentificarea se va face pe baza conturilor stabilite în Windows Server 2003. În

momentul de faţă, clienţii pot să trimită date în reţea şi să acceseze resursele de pe calculatoarele
din wlan. Cât timp sunt în reţeaua publică, datele sunt protejate de utilizatorii neautorizaţi atât
prin criptare cât şi prin “tunelare”.

6. Concluzii
Reţelele fără fir furnizează noi provocări la adresa securităţii şi administratorilor, care nu
au fost întâlnite în reţelele cablate. Cele mai bune practici dictează o structurare cât mai adecvată
a nivelelor pentru securitatea reţelei. Ar trebui luată în considerare configurarea punctelor de
acces, firewall-urilor şi a VPN-urilor. Strategiile de securitate ar trebui definite pentru un nivel
acceptabil al performanţei. Sistemul de detectare a intruşilor în reţelele fără fir ar trebui să
elimine problemele de securitate şi să asigure că ceea ce credem că este securizat este, de fapt,
aşa.
După toate elementele de funcţionalităţile de securitate şi opţiunile menţionate până acum
în această lucrare, anumite puncte de configurare trebuie avute în vedere în cadrul proiectării
reţelelor fără fir de către administratorii unor astfel de reţele . Pe lângă metodele de securitate
mai sus detaliate sunt necesare anumite setări de siguranţă care să funcţioneze ca o primă barieră
în faţa posibililor atacatori.

7. Anexe
24
 VPN---virtual private network (VPN) este o reţea de comunicaţie privată folosită de
obicei de organizaţii şi companii pentru a comunica date confidenţiale având ca suport o reţea
publică.Traficul VPN poate fi purtat de o infrastructură publică folosind protocoale specifice
reţelei sau cu ajutorul unei reţele private ce oferă un SLA (Service Level Agreement) într
furnizorul de serviciu VPN şi client.
Wi-Fi (Wireless Fidelity) este un alt nume pentru standardul wireless 802.11b. Wi-Fi
Alliance este o asociaţie non-profit formată în 1999 cu scopul de a certifica interoperabilitatea
echipamentelor wireless LAN bazate pe specificaţiile IEEE 802.11. Wi-Fi Alliance are în prezent
183 companii afiliate si, din martie 2000, 698 de produse au primit certificarea Wi-Fi.
WIN (Wireless Intelligent Network) reprezintă informaţia si sistemul de control pentru
reţeaua de telefonie mobilă. Cuprinde infrastructura de procesare a tranzacţiilor pentru
sistemele wireless. Este cunoscut si sub denumirea de 15-41 si ANSI-41.
WIRELESS BRIDGE.Echipament utilizat pentru a primi şi transmite date pe frecvenţe
radio intre două reţele locale.
WIRELESS NETWORKING.Transmisiuni de date între calculatoare personale, servere,
staţii grafice sau alte dispozitive de reţea fără a utiliza cabluri de date.
WIRELESS GATEWAY.Dispozitiv utilizat pentru a oferi acces mai multor dispozitive
wireless la o singură conexiune .
WIRELESS PORTAL.Un site web compatibil cu aparatele telefonice mobile inteligente
(smart phones).
WIRELESS MODEM.Dispozitiv format dintr-un modem si o antenă ce recepţionează date.
În general acest tip de echipament suportă a serie de tehnologii cum ar fi: CDPD, ARDIS,
Mobitex, Ricochet,IEEE 802.11 si OpenAir şi sunt destinate utilizării impreună cu notebook-uri
sau PDA.
WISPR.Tehnologie destinată realizării de funcţii pentru wireless LAN asemănătoare celor
folosite în celulele pentru telefonia mobilă.
WPA--- WI-FI. Protected Access (WPA) este o variantă timpurie a standardului de
securitate 802.11i care a fost dezvoltat de WiFi Alliance cu scopul de a înlocui WEP.
Algoritmul de criptare TKIP a fost dezvoltat pentru WPA pentru a furniza îmbunătăţiri
vechiului standard WEP care poate fi considerat ca pe un element de firrmware a standardului
802.11. WPA deasemeni oferă suport opţional pentru algoritmul AES-CCMP care reprezintă
algoritmul preferat în cadrul 802.11i sau WPA2.
WPA2- reprezintă o versiune îmbunătăţită a standardului final 802.11i. Primul avantaj
adus de WPA2 este includerea algoritmului AES-CCMP ca un algoritm de bază a standardului.
Atât WPA cât şi WPA2 suportă autentificarea de tip EAP folosind servere RADIUS sau
elemente de securitate bazate pe PSK (preshared key) .
WPAN (Wireless Personal Area Network) reprezintă conceptul de interconectare
wireless a unor dispozitive ce află la o distanţă de maxim 10 metri unele de celelalte.
WLIF (Wireless LAN tnteroperability Forum) este o asociaţie formată cu scopul de a
certifica interoperabilitateaechipamentelor wireless cu cele mai importante standarde (printre
care si OpenAir, IEEE 802.11).

8. Bibliografie
25
1. Praphul Chandra -Bulletproof Wireless Security GSM , UMTS , 802.11 şi securitatea reţelelor
ad-hoc;
2. Rob Flickenger - Building Wireless Community Networks, Second Edition iunie 2003
3. Merritt Maxim , David Pollino - Wireless Security
4. Jahaanayeb Khan si Anis Khwaja - Building Secure Wireless Networks with 802.11
5. Aftab Ahmad- Wireless and mobile data networks;
6. Victor Valeriu Patriciu , Monica Ene Pietrosanu, Calin Vaduva , Ion Bica, Nicolae Voicu-
Securitatea comerţului elecrtronic
7. Boer, J. – Direct Sequence Spread Spectrum Physical Layer Specification IEEE 802.11, doc.
IEEE P802.11-96/49E;
8. Brenner, P. – A Technical Tutorial on the IEEE 802.11 Protocol, documentatie Internet,
www.sss-mag.com/pdf/802_11tut.pdf
9. Irvine, J., D. Harle – Data Communications and Networks, Ed. Wiley, Anglia, 2002.
10. Lough, D.L., T. K. Blankenship, K. J. Krizman – A Short Tutorial on Wireless LANs and
IEEE 802.11, Institutul Politehnic Bradley – Virginia.
11. Meel, J. – Spread Spectrum (SS) applications, © Institutul DE NAYER,
12. Miller, S.L. – Wireless Communication Systems, note de curs , ee.tamu.edu/~smiller
13. Mocanu, Şt. – Transmiterea datelor pe canale wireless, referat doctorat 2002, AII-215-03.
14. Prem, E.C. – Wireless Local Area Networks,
15. Şerbanescu, D. - Retele wireless: secrete mici, efecte mari, PC Magazine România, Iunie
2002
16. Andrew S. Tanembaum – Reţele de calculatoare;
Resurse Internet :
*** - http://www.agora.ro/
*** - http://www.hot-spot.ro/
*** - http://www.chip.ro/
*** - www.ieee.org
*** - http://www.wi-fiplanet.com/news/article.php/905461
*** - http://www.networkworld.ro/general.php
*** - http://www.internet-magazin.ro/articol.php
*** - http://www.ral.ro/php/produse.php?cid=44#GPRS-WLAN11B

26