Documente Academic
Documente Profesional
Documente Cultură
Cuprins
1. Introducere........................................................................................................................3
2. Noțiuni generale……………….…………………………………………………………4
3. Rețelele wireless………………………………………………………………………….9
6. Concluzii…………………………………………………………………………………25
7. Anexe…………………………………………………………………………………….26
8. Biliografie ……………………………………………………………………………….27
1. Introducere
Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită
pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare:
calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele,
după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat
diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de
avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare. Secolul
nostru a generat dependenţa de informaţie : oameni care au nevoie să fie în permanenţa conectaţi.
Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi fibrele optice nu sunt de nici un
folos. Ei au nevoie de date pentru calculatoarele lor portabile, de buzunar, fără a fi legaţi de
infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori, răspunsul îl constituie
comunicaţiile fără fir.
Reţelele wireless sau mai simplu WLAN au apărut ca o alternativă la reţeaua LAN prin
cablu reprezentând un sistem flexibil de comunicatii de date , folosit ca o extensie sau o
alternativă la reţelelor cablate , într-o clădire sau un grup de clădiri apropiate . Folosind undele
electromagnetice , dispozitivele WLAN transmit şi primesc date prin aer , eliminând necesitatea
cablurilor şi transformând reţeaua într-un LAN mobil . Astfel , dacă o firmă are un WLAN , la
mutarea în alt sediu nu este nevoie de cablări şi găuriri în pereţi plafoane pe care acestea le
presupun , ci pur şi simplu se mută calculatoarele şi reţeaua poate funcţiona imediat . Ce-i drept ,
în general reţelele WLAN se folosesc împreună cu LAN-urile clasice , mai ales pentru partea de
tipărire în reţea pentru legătura la server .
Tema acestui proiect îl reprezintă studiul de caz asupra reţelelor fără fir şi mai ales a
cerinţelor de securitate pe care le presupune o astfel de reţea ,cu aplicaţii practice în realizare
unei reţele WLAN care să îndeplinească cerinţele unei reţele sigure din punct de vedere a
securităţii atât a accesului la reţea cât şi a datelor vehiculate în cadrul reţelei. Următorul proiect
urmăreşte identificarea elementelor de securitate deja existente în cadrul unei reţele fără fir ,
posibilităţi de securizare oferite de dipozitive de securizare ale reţelei iar parte practică se
constituie într-un ghid practic ce va puncta configurări şi măsuri de securitate pentu un mediu de
comunicaţie cât mai sigur.
Produsele fără fir, de la comanda la distanţă a televizoarelor şi închiderii uşilor
automobilelor la telefonia celulară , utilizează o formă de energie cunoscută ca radiaţie
electromagnetică pentru a transporta semnalele. În ultimi ani comunicaţiile fără fir şi cele mobile
au cunoscut o creştere explozivă în ceea ce priveşte numărul de servicii asigurate şi tipurile de
tehnologii devenite disponibile .Tehnologia celulară , transimiterea de date în reţele mobile şi
serviciile multimedia sunt într-o dezvoltare rapidă , utilizatorii mobili având acces la servicii
precum e-mail , telefonie , video , e-banking ,etc.
Sistemele fără fir oferă beneficiul mobilităţii utilizatorilor şi o desfăşurare flexibilă a unei
reţele într-o anumită arie. Mobilitatea utilizatorilor îi permite unui client al reţelei să se mişte în
2
diferite locaţii ale reţelei fără să-şi piardă conexiunea la reţea .Reţelele fără fir oferă deasemenea
avantajul că adăugarea unui nod la reţea se poate face fără prea multă planificare sau costuri
suplimentare de reclabare. Aceasta face ca viitoare dezvoltări ale reţelei să fi uşoare şi ieftine .
Creşterea rapidă a folosirii laptoupurilor şi PDA-urilor a condus de asemenea la creşterea
dependenţei de reţelele fără fir datorită faptului că reţelele radio pot face mai uşor faţă creşterii
dinamice a utilizatorilor unei reţele.
Ca orice tehnologie relativ nouă , reţelele fără fir reprezintă un mediu de comunicaţie
susceptibil la ameninţări ce ţin nu numai de acţiuni din exteriorul mediului ,dar uneori lipsa unei
documentări puternice asupra capabilităţilor unui astfel de mediu se traduce în probleme de
securitate.
Provocările oferite de reţelele fără fir pot fi detaliate pe mai multe planuri.
Deficitul lăţimii de bandă face ca pentru reţelele radio divizarea lăţimii de bandă
să fie esenţială , de vreme ce spectrul radio nu numai că este destul de scump , dar
este totodată şi limitat.
Accesul multiplu , adică succesul unei tranmisii nu este independent de alte
transmisii . Pentru a face o transmisie reuşită trebuie evitată interferenţa sau cel
puţin ţinută sub control. Pe de altă parte transmisiile multiple pot duce la coliziuni
sau la semnale deformate.
Direcţiile multiple de transmisie produc erori variabile de transmisie care por
conduce la o conectivitate intemitentă.
Mobilitate , securitatea şi calitatea servicului.
Următoarea lucrare se va baza în special pe acest ultim deziderat al unei reţele WLAN şi
pe aplicaţiile ce rezidă din necesitatea unei conexiuni tot mai sigure şi mai de calitate în cadrul
unei reţele fără fir.
2. Notiuni generale
Criptografia este ştiinţa scrierilor secrete. Ea stă la baza multor servicii şi mecanisme de
securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în
intenţia de a ascunde conţinutul lor sau de a le proteja împotriva modificării. Criptografia are o
lungă istorie, confidenţialitatea comunicării fiind o cerinţă a tuturor timpurilor. Dacă ar trebui să
alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu atât datorită
celebrităţii împăratului roman de care se leagă folosirea lui, ci pentru că principiul său de baza, al
substituţiei, s-a menţinut nealterat aproape două milenii.
Scopul de bază al criptografiei:
1. Confidenţialitate – asigurarea că nimeni nu poate citi mesajul cu excepţia
destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către
persoane neautorizate. Prin manipularea datelor înţelegem procese cum ar fi inserţii, întârzieri
sau substituiri.
3. Autentificarea – presupune posibilitatea de identificare a sursei informaţiei şi a entităţii
(o persoană, un terminal de computer, o carte de credit).
4. Non-repudierea – care previne negarea unor angajamente sau acţiuni anterioare.
Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace sunt
menite să garanteze că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu a fost
manipulată de persoane neautorizate.
3
Tehnica identificării sau autentificării identităţilor asigură că ambii participanţi (prin
probe coroborate sau dobândite) implicaţi au într-adevăr identitatea pe care o pretind. Acest lucru
se realizează prin transmiterea de date necesare pentru a identifica părţile care participă la
comunicaţie, ambii participanţi fiind activi în această comunicaţie oferind astfel oportunitatea
unei garanţii.
Este important a înţelege importanţa autentificării. Într-un canal de comunicaţii cu un
sistem ideal de criptografie cu chei publice teoretic cele două părţi pot comunica prin intermediul
canalului fără a resimţi nevoia schimbării de chei. Ori un adversar activ poate înfrânge sistemul
(să decripteze mesajele menite să le recepţioneze cea de-a doua entitate) fără a „sparge” sistemul
de criptografie.
Tehnica autentificării entităţilor se poate împărţi în trei mari categorii, în funcţie de tipul
de securitate:
- ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru
obţinerea de chei simetrice) Numere Personale de Identificare (PIN-uri) şi chei private, care prin
protocoale provocare-răspuns, se dovedeşte cunoaşterea lor.
- ceva posedat. Acest aspect se referă mai mult la accesorii fizice un fel de paşaport încă
valabil. Exemple sunt card-urile smart (card-uri de mărimea unuia de credit cu un microprocesor
încorporat sau cu un circuit integrat).
- ceva moştenit(pentru o persoană). Această categorie include metode care fac uz de
caracteristici fizice şi de acţiuni involuntare cum ar fi semnătura, amprente digitale, vocea,
modelul retinei, geometria mâinii precum şi caracteristicile dinamice ale tastatului. Însă acestea
sunt tehnici non-criptografice.
Reţele wireless ad-hoc sunt o colecţie de host-uri care formează o reţea temporară fără o
structură centralizată sau administrare. Topologia reţelei se modifică în mod constant ca rezultat
al faptului că nodurile se alătură sau ies din reţea. Înaintarea pachetelor, rutarea sau alte operaţii
sunt realizate de noduri.
Creşterea popularităţii reţelelor wireless a determinat o scădere rapidă a preţului
echipamentelor wireless concomitent cu o accentuată îmbunătăţire a performanţelor tehnice ale
acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici decât una
tradiţională pe cablu. În acest fel, apar premizele realizării accesului ieftin şi uşor la Internet
membrilor comunităţilor locale, cu toate beneficiile ce rezultă de aici. Accesul la informaţia
globală constituie o sursă de bogăţie la scară locală, prin creşterea productivităţii muncii bazate
pe accesul la cvasitotalitatea informaţiilor disponibile în lume în legătură cu activitatea prestată.
Totodată, reţeaua devine mai valoroasă pe măsură ce tot mai mulţi oameni se leagă la ea.
4
Figura.11: Tipuri de reţele wireless
5
Figure 1.2 : Acoperirea cu semnal de la un punct de acces
6
IEEE Până la WEP şi ratificat în 16 septembrie
802.11b 11Mbps în Operează în banda de Modulaţiile WPA 1999;
(Wi-Fi) banda de frecvenţe ISM numai de putere la ieşire de până la 1
2.4 GHz (Industrie, Ştiinţă, tipul celor watt;
Medicină) care au Are nevoie de mai puţine
dispersia puncte de acces decât
spectrului 802.11a pentru acoperirea
cuprinsă între unor arii largi;
2,412 şi Oferă acces de viteză mare
2,484 GHz: până la distanţa de 300
DSSS cu picioare
CCK Sunt disponibile 14 canale în
banda de 2.4 GHz (dintre
care numai 11 se pot folosi în
U.S. datorită reglementărilor
FCC)
IEEE Până la Banda ISM OFDM la WEP şi Ratificat în iunie 2003
802.11g 54Mbps în peste 20 WPA Poate înlocui 802.11b
(Wi-Fi) banda de Mbps, DSSS Capabilităţi de securitate
2.4 GHz cu CCK sub sporită
20 Mbps
IEEE În banda de OFDM DES şi Ratificat în 2004;
802.16 10 la 66 Două benzi licenţiate: AES Poate să utilizeze mai multe
(WiMAX) GHz 3,3 – 3,8 GHz şi 2,3 – benzi de frecvenţe, licenţiate
2,7 GHz; şi nelicenţiate, alocate de
Bandă nelicenţiată: ITU;
5,725 – 5,85 GHz. Defineşte un standard pentru
reţele de bandă largă wireless
metropolitane
IEEE Suport 2 la 11 GHz OFDM DES3 şi
802.16a pentru AES
gama de la
2 la 11 GHz
Bluetooth Până la 2 banda de 2.45GHz FHSS PPTP, SSL Nu suportă TCP/IP sau
Mbps sau VPN wireless LAN;
Utilizat mai cu seamă pentru
conectarea PDA-urilor,
telefoanelor mobile şi PC
într-o arie mică.
7
reţeaua privată, sau aşa numitul eavesdropping (interceptarea şi citirea mesajelor sau a oricărui
tip de date). Lipsa de securitate a reţelelor Open System poate duce la simplificarea muncii celor
ce fac spionaj industrial sau a celor care consideră intruziunea într-o reţea wireless privată o
distracţie.
Situaţia este diferită în cazul reţelelor securizate, utilizatorii, pentru a avea acces la reţea,
trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât reţeaua
cât şi utilizatorii sunt protejaţi de pericolele prezentate mai sus. În caz de nevoie utilizatorii pot fi
separaţi între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele VPN, sau alte
modalităţi.
Puncte slabe ale reţelelor fără fir: Ca la orice altă tehnologie nouă, şi în acest caz a fost
dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să
decurgă cât mai simplu şi mai confortabil. După ce interesul pentru avantajele noii tehnologii a
fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea
rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi câteva breşe
de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulţi
administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea şi administrarea
reţelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că tehnologia WLAN
nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul securităţii
trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse ulterior în WLAN, ca
de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi
nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri şi de aşa-numiţii war
driveri. Marele minus al tehnologiei constă în lipsa protecţiei fizice a datelor de transferat, care
există în reţelele pe cablu. Pachetele de date sunt prea puţin protejate la transferul prin unde radio
şi se distribuie aproape incontrolabil în mediul ambiant. Aşadar, ele pot fi de exemplu
recepţionate de către terţi, înregistrate, evaluate sau chiar manipulate. în special monitorizarea
traficului de reţea, aşa numitul sniffing, este unul dintre cele mai mari pericole în WLAN.
3. Reţele wireless
Calculatoarele mobile reprezintă segmentul din industria tehnicii de calcul cu dezvoltarea
cea mai rapidă. Mulţi posesori ai acestor calculatoare au la birou sisteme legate la LAN-uri şi
WAN-uri şi vor să se conecteze la acestea, chiar şi atunci când se află în locuri depărtate de casă
sau pe drum. Deoarece legăturile prin fir sunt imposibile în maşini şi avioane, interesul pentru
reţelele radio este foarte puternic. În această secţiune vom face o scurtă introducere în acest
subiect prezentând mai în detaliu principiile teoretice ce stau la baza funcţionării unei mediu fără
fir.
Comunicaţiile digitale fără fir nu reprezintă, de fapt, o idee nouă. încă din 1901, fizicianul
italian Guglielmo Marconi a realizat legătura între un vapor şi un punct de pe coastă folosind
telegraful fără fir şi codul Morse (punctele şi liniile sunt, în definitiv, binare). Sistemele radio
moderne au performanţe mai bune, dar ideea fundamentală a rămas aceeaşi.
Reţelele radio au numeroase utilizări. Biroul portabil reprezintă una dintre ele. Oamenii
aflaţi pe drum doresc adesea să folosească echipamentele lor electronice portabile pentru a
trimite şi primi faxuri şi poştă electronică, pentru a citi fişiere aflate la distanţă, pentru a se
conecta la distanţă şi aşa mai departe. Şi doresc să facă aşa ceva din orice loc de pe uscat, apă sau
aer. Reţelele radio sunt de mare importanţă pentru parcurile de camioane, taxiuri şi autobuze,
ca şi pentru echipele de intervenţie care trebuie să menţină contactul cu baza. Reţelele radio pot
8
fi de asemenea utile pentru echipele de intervenţie în locuri de dezastru (incendii, inundaţii,
cutremure etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse la faţa locului pot să
trimită mesaje, să înregistreze informaţii şi aşa mai departe.
În sfârşit, reţelele radio sunt importante pentru armată. Dacă trebuie să faci faţă în cel mai
scurt timp unui război care se poate desfăşura oriunde în lume, atunci probabil că nu este o idee
bună să te bazezi pe infrastructura de reţele existentă la faţa locului. Este mai bine să-ţi aduci
propria reţea.
Deşi reţelele fără fir şi echipamentele de calcul mobile sunt adesea înrudite, ele nu sunt
identice (a se vedea tabelul alăturat). Calculatoarele portabile comunică uneori cu ajutorul firelor.
Dacă într-un hotel un turist racordează un calculator mobil la mufa de telefon, acesta este un
exemplu de mobilitate fără reţea radio. Un alt exemplu se referă la o persoană care poartă cu sine
un calculator mobil în timp ce inspectează, pentru probleme tehnice, un tren. în acest caz, în
spatele calculatorului poate foarte bine să atârne un fir lung (ca la aspirator).
Deşi LAN-urile fără fir sunt uşor de instalat, ele au şi unele dezavantaje. Capacitatea lor
tipică este de 1-2 Mbps, ceea ce este mult mai puţin decât în cazul LAN-urilor cu fir. De
asemenea, rata de erori este adesea mai mare, iar transmisiile între diferite calculatoare pot
interfera unele cu altele.
Dar există, desigur, şi aplicaţii cu adevărat mobile, fără fir, începând cu biroul portabil şi
terminând cu persoanele care fac inventarul unui magazin folosind PDA-uri. în multe aeroporttiri
aglomerate, angajaţii companiilor de închiriat maşini lucrează în parcări cu calculatoare portabile
fără fir. Ei introduc în calculator numărul de înmatriculare al fiecărei maşini returnate, iar
portabilele lor, care au înglobată o imprimantă, apelează calculatorul central, primesc informaţii
despre închirierea respectivei maşini şi eliberează factura de plată pe loc.
Wireless LAN reprezintă, mai precis, reţele de calculatoare ce comunică între ele prin
legături definite de standardele 802.11b sau 802.11g. Conform acestor standarde, comunicarea se
face pe banda de frecvenţă de 2.4Ghz pe un număr de maxim 14 canale. La noi în ţara pot fi
utilizate 13 canale fără nici o autorizaţie prealabilă dacă nu se depăşeşte puterea maximă admisă
pentru această frecvenţă.
9
care sunt conectate fiecare dintre ele. Acest mod de lucru permite o rază mare de acoperire prin
utilizarea mai multor access point-uri conectate intre ele. De asemenea, e modul de lucru preferat
dacă se doreşte interconectarea unei reţele cu fir cu o reţea fără fir sau legătura între un număr
mare de clienţi fără fir.
Configuraţia reţelelor locale fără fir bazată pe standardele radio 802.11 poate părea
simplă la prima vedere. In cadrul unei reţele WLAN sunt necesare şi alte măsuri de prevedere şi
o planificare mai profundă.
Factori ce trebuie luaţi în considerare atunci când se proiectează o reţea WLAN:
Lărgimea benzii necesare pentru a suporta utilizatorii şi aplicaţiile fără fir.
Aria de lucru , niveluri de interferenţă pentru frecvenţele radio.
Tipul autentificării şi securităţii cerut de către politica de securitate a
beneficiarului.
Flexibilitate şi posibilitatea de a efectua upgrade-uri.
Preţul , seturile de caracteristici ale 802.11 , capacităţile de management şi abilitatea de a
integra reţeaua fără fir în cadrul reţelei cu fir deja existente.
Întrucât scopul lucrării de faţă este de a studia elementele de securitate disponibile în
cadrul reţelelor fără fir şi deasemeni posibilităţile de întărire a securităţii unei astfel de reţele,
vom discuta despre caracteristicile de securitate şi de autentificare ce trebuie luate în
calcul la dezvoltarea unei reţele fără fir .
10
Alegerea tipului autentificării, criptării datelor şi securităţii prin care se asigură
integritatea pachetelor pentru o reţea fără fir LAN depinde de o serie de factori. Politica de
securitate a companiei , tipul datelor pe care încercăm să le protejăm, complexitatea soluţiei de
securitate joacă un rol important în alegerea tipului de autentificare şi a schemei de criptare a
datelor . Ce dorim să protejăm şi cine ar trebui să primească acces la reaţea ? Îm al doilea rând
artrebui să înţelegem, pe deplin beneficiile fiecărui tip de autentificare şi ale fiecărei metode de
criptare a datelor şi informaţia suplimentară (overhead-ul) necesar pentur configurarea fiecărei
componente de securitate. Nu în ultimul rănd trebuie testate caracteristicile de securitate alese
pentru software-ul şi hardware-ul client , pentru a vedea dacă aceste satisfac nevoile reţelei.
Pentru securizare unei reţele fără fir avem la dispoziţie următoarele metode de
autentificare a accesului la reţea şi de criptare a datelor vehiculate în cadrul reţelei.Este bine de
precizat că numai o combinare eficientă a acestor metode va oferi soluţia portivită pentru fiecare
tip de reţea în parte.
Metode de autentificare:
Fără autentficare
Filtrarea adreselor MAC (MAC adress filtering)
Cheie WEP partajată (Shared WEP Key)
Cheie pre partajată (pre-shared key)
802.1x (tehnologii EAP )
Autentificare VPN
Fiecare din aceste metode de autentificare are avantaje şi dezavantaje . Cu cât este mai
puternică autentificare , cu atât sunt necesare mai multe echipamente hard şi aplicaţii soft iar
eforul depus pentru asigurarea funcţionării şi întreţinerii soluţiei de securitate este mai mare .
Există întotdeauna o discrepanţă între o securitate de nivel înalt şi utilitatea sau uşurinţa setării şi
utilzării.
După cum am observat , există mai multe variante pentru a asigura securitatea spaţiului
aferent fără fir . Întrucât nevoie de securitate creşte , complexitatea implementării şi utilizării
11
creşte de asemenea . Atunci când se aleg anumite caracteristici de securitate trebuie avuţi în
vedere şi clienţii fără fir deja existenţi şi dacă aceştia suportă aceste noi caracterisitic. Trebuie să
ne asigurăm se compatibilitatea deplină a clienţilor NIC cu securitatea furnizată de punctul de
acces sau de switc-ul WLAN.
În următorul tabel sunt prezentate cele mai cunoscute combinaţii de autentificare şi
securitate la nivel de întreprindere . Alegerea schemei potrivite depinde de cerinţele de securitate
, datele care trebuie protejate şi tipul serviciilor oferite de către reţeaua fără fir.
12
EAP folosit.
Filtrarea opţional Filtrarea adreselor MAC este o schemă separată de
adreselor MAC autentificare care poate fi aplicată la oricare din
combinaţiile de securitate menţionate. Ea adaugă
complexitate în întreţinere , printr-p listă a adreselor MAC
a clienţilor care trebuie întreţinută. Filtrarea adreselor
MAC a clienţilor poate fi ocolită de către hackeri . În
general e utilizată cu scheme la nivel inferior ca să
asigure o extrasecuritate.
13
Canale: 11 canale (US), 13 canale (EU);
Realizarea practică:
15
Pentru ilustrarea acestei măsuri de securitate am configurat în cadrul domeniului de
configurare a router-ului un SSID de forma : 1yXq34*$56hrYvWdA78 iar funcţia de “SSID
Broadcast ” a fost oprită din meniul cu setari ale reţelei WLAN. Un astfel de identificator al
reţelei ajuta nu numai la protejarea SSID-ului de atacuri de tip Brute-Force , ci oferă şi o funcţie
de securitate importantă: programe gen WEP Crack adună pachetele transmise de WLAN în
scopul spargerii codării WEP .Dar, fiindcă driverele WI-Fi din Linux nu întreprind nici un fel de
verificare a datelor prin sume de control , iar caracterele speciale din SSID (conţinute de fiecare
pachet ) nu sunt lizibile pentru program , pachetele sunt declarate ca fiind defecte şi implicit
respinse. Cu alte cuvinte pachetele de date necodate transmise de WLAN nu mai pot fi
interceptate şi sparte.
Pentru conectarea clienţilor reţelei va trebui introdus manual numele reţelei adică
1yXq34*$56hrYvWdA78 iar astfel reţeaua va fi recunoscută imediat ce clientul se află în aria de
acoperire a reţelei.
2. Aşa cum am precizat anterior o reţea care doar are dezactivată funcţia de SSID
broadcast este cu siguranţă susceptibilă unor atacuri de tip MITM întrucât un acces neautorizat
poate fi realizat foarte simplu prin folosirea unei interfeţe de reaţea ce poate lucra în modul
promiscous şi care poate folosi Network Stumbler pentru a intercepta traficul din reţea şi implicit
şi numele SSID al reţealei. Din această cauză o măsură suplimentară de securitate oferită de
majoritatea dispozitivelor fără fir este activarea autentificării WEP.
Router-ul dispune de posibilitatea setării unei autentificări WEP fie de tip Open System
fie de tip cheie partajată. Open sistem permite accesul deschis via reţea wireless la router însă
tipul de autentificare cu cheie partajată se bazează pe o cheie cunoscută de toţi utilizatorii din
reţea . Router-ul permite setarea unei chei maxime de 128 de biţi în format fie heza zecimal fie în
format ASCII. Deasemeni se pot seta un număr de 4 chei WEP care vor putea fi folosite pentru
securizare reţelei.
Problema standardului WEP dată de vectorul de iniţializare.Se recomandăca acest vector
de iniţializare să se repete pentru a nu fi interceptat. Din păcate, acest lucru nu este respectat de
toţi producătorii şi nici nu prea există referinţe despre cum se generează un vector de iniţializare.
De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare. Consecinţa este
că, mai devreme sau mai târziu, VI-ul ajunge să se repete. Un studiu realizat de Universitatea
Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de pachete de date transmise
în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI identic, acesta poate descoperi
cheia WEP. Problema cea mai importantă se pare că o constituie faptul că pentru un atac asupra
unei reţele WLAN un rău –voitor nu are nevoie de software complicat ,programe care pot sparge
WEP sunt disponibile de exemplu la adrese ca wepcrack.sourceforge.net sau airsnort.shmoo.com
.
Totuşi aşa cum am precizat mai devreme un element de securitate desuet aşa cum este
WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu alte
metode de întărire a securităţii reţelei.
Deasemenea router-ul dispune de autentificare WPA şi WPA-PSK care vor fi discutate
ulterior fiind o soluţie de securitate mult mai avansată decât simpla folosire a WEP.
3. Router-ul oferă ,ca şi un grad crescut de securitate, două moduri de expediere a
datelor : static sau dinamic. În cadrul rutării statice pot fi stabilite parametrii de rutare a datelor în
cazul în care utilizatorul are o adresă IP statică. Deasemeni este oferită şi posibilitatea unei rutări
dinamice acest tip de rutare încercând să rezolve problema unei rute prin folosire unor tabele de
16
rutare automate. Rutarea adreselor poate fi folosită în combinaţie cu o zonă DMZ pentru a
direcţiona traficul din reţea către această zonă.
4. În opţiunea de acces la facilităţile ruterului putem utiliza mai multe căi de
restricţionare a accesului la reţeaua WLAN.
a). Filtrarea MAC: această metodă de filtrare a accesului poate fi folosită în conjuncţie cu
orice altă schmă de securitate. Ea adaugă complexitate în întreţinere , printr-o listă a adreselor
MAC a clienţilor care au drepturi de acces. Totuşi această soluţie nu poate fi considerată o
măsură suficintă de a asigura securitate reţelei întrucât chiar şi ruterul folosit în cadrul acestui
proiect dispunde de posibilitatea clonării adresei MAC astfel că o astfel de măsură poate fi uşor
compromisă.
b). Filtrarea accesului pe baza protocolului folosit de client . O listă de profile sunt
disponibile şi conform cu caracteristicile acestor protocoale pot fi restrricţionate anumite porturi
de acces la Internet.
c). IP filter- cu ajutorul acestei opţiuni poate fi restricţionat acesul adreselor IP aflate într-
un anumit interval.
d). Virtual Server: cu ajutorul acestei setări putem direcţiona accesul către un server local
din cadrul reţelei.
e). DMZ – zonă tampon pentru clienţii care nu pot avea acces la internet prin intermediul
ruterului datorită elementelor de securitate pe care nu le îndeplines .Calculatorul a cărei adresă IP
este folosită pentru a indica această zonă DMZ va oferi acces nelimitat la Internet. De obicei
acest tip de zone de acces la Internet sunt folosite în cadrul hot spoturilor gratuite în care
informaţiile vehiculate nu sunt importante.
f).Firewall Rule
Aceste setari definesc toate facilităţile puse la dispoziţia unui administrator de a
reglementa anumite permisiuni valabile utilizatorilor reţelei sau celor care doresc să acceseze
reţeaua WLAN. Cu ajutorul acestor opţiuni sunt posibile implementarea schemelor de securitate
prezentate în tabelul de mai sus care nu au nevoie ca metodă de autentificare folosirea unui
server RADIUS şi implicit a unei autentificări conform standardului EAP.
17
Client Autentificatorul
EAPOL Port acces la
Interfaţa hostului reţea(AP , switch)
192.168.1.1
192.168.1.100
Mesaje EAP
încapsulate tipic
pentru RADIUS
Server autentificare
Server AAA (orice
server EAP de obicei
RADIUS)
192,168,1,,111
1
2.Protocolul de comunicaţie
Serverul de autentificare poate fi în acelaşi loc cu autentificatorul sau cele două pot fi în
locuridiferite şi să se acceseze reciproc prin comunicaţie de la distanţă. Multe dintre funcţiile de
autentificare sunt implementate la client şi la serverul de autentificare . Acest lucru este benefic
pentru punctele de acces, deoarece ele au o memorie mică şi putere de procesare redusă.
Dialogul de autorizare standard constă în :
AP (punctele de acces) cere STA(staţiile) să se identidifice folosind EAPOL
(EAP over LAN).
STA îşi trimite identitatea la AP
AP trimite mai departe identitatea STA la AS (server de autentificare), prin
intermediul EAP
Între AS şi STA are loc un dialog de autentificare
Dacă dialogul este terminat cu success , STA şi AS partajează cheie de sesiune
AS trimite cheia de sesiune la AP într-un atribut RADIUS precum şi o parte a
mesajului de acceptare a RADIUS
Clientul wireless încearcă să se autentifice la reţea prin intermediul ruterului , dar înaintea
autentificării este deschis numai un port necontrolat ce va permite doar mesaje de autentificare
18
de tip EAPOL. Aceste mesaje vor fi trimise către serverul RADIUS care va verifica credenţialele
clientului prin analiza conturilor din cadrul Active Directory.
Pentru realizarea practică am folosit configuraţia precedentă pe care am ilustrat
posibilităţile de securizare ale reţelei doar cu ajutorul funcţiilor oferite de ruter iar în plus pentru
realizarea configuraţiei de lucru pe calculatorul pe care am instalat ruterul am folosit Windows
Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de autentificare a
clienţilor wireless.
Active Directory
Active Directory este o implementare a serviciilor de directoare LDAP, folosită de
Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziţia
administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea
programelor, înnoirea securităţii. Toate aceste operaţiuni pot fi aplicate atât la reţele mici, cât şi
la reţele complexe.
Active Directory (AD) - este o ierarhie de câteva obiecte, unde obiectele se împart în trei
categorii: resurse (ex: imprimantă), servicii (ex: poşta electronică), resurse umane (ex: utilizatori,
grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziţie
informaţii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securităţii..
4. Implementare practică
a). Implementarea autentificatorului
La nivelul ruterului am redirecţionat tot traficul ce încerca să acceseze resursele reţelei
către serverul RADIUS . Pentru autentificarea clienţilor am folosit Wi-Fi protected Acces cu
TKIP toate cererile de accesare a reţelei fiind redirecţionate către serverul RADIUS indicat prin
adresa 192.168.1.111:1812. Deasemeni pentru comunicaţia dintre ruter-ul wireless şi server este
necesară stabilirea unei chei secrete de comunicare.
19
Figura 6.3 Implementare ruter
b).Implementarea serverului
Serverul va fi instalat pe un sistem de operare Windows Server 2003 indicat prin adresa
ţintă //192.168.1.111 iar portul de comunicaţie 1812 va fi deschis pentru comunicaţiile de tip
EAP-RADIUS dintre suplicant şi serverul RADIUS.
20
Figura 3.2 Politici de securitate
Pentru clientul anterior format am creeat restricţii remote ce privesc tipul de autentificare
folosit. Astfel vom folosi pentru autentificare MS-CHAP v2 care este un protocol al Microsoft de
tip Challenge –handshake authentification protocol .MS-CHAP v2 este o versiune îmbunătăţită
de MS-CHAP, foarte utilizat de sistemele Windows şi cu suport criptografic mai bun decât
protocoalele anterioare. Este recomandată atunci când nu poate fi folosit EAP-TLS deoarece
aduce ca şi element de securitate suplimentar autentificarea mutuală. Este suportat de clienţii
care rulează sistem de operare Windows 98 Second Edition sau mai nou.Protocolul în
desfăşurarea sa respectă următorii pasi:
autentificatorul (serverul IAS) trimite un răspuns de încercare către clientul ce doreşte să
se conecteze remote care este reprezentat printr-un identificator de sesiune şi un pachet de date
arbitrar.
clientul ce doreşte să se conecteze remote trimite un răspuns ce va cuprinde : user
name/un pachet arbitrar de date de tip challenge/o criptare de tip one –way a pachetului de date
primit .
autentificatorul verifică răspunsul clientului şi răspunde furnizând : un răspuns ce indică
reuşita sau eşecul sesiuni de conectare, un răspuns de autentificare bazat pe pachetul de date
trimis de suplicant.
clientul verifică validitatea răspunsului de autentificare iar dacă aceasta e corectă
foloseşte conexiunea.
Pentru a putea genera un raport corespunzător cu privire la calitatea clienţilor ce doresc să
acceseze reţeaua am creat în cadrul Active Directory un grup de utilizatori ce va conţine toti
clienţii wireless ce se vor conecta la reţea, asupra fiecăruia stabilind condiţii de negociere a
autentificării. Vom folosi pentru autentificare protocolul PEAP . Spre deosebire de EAP-TLS ,
acest protocol se potriveşte mai mult reţelelor care au nevoie de o autentificare puternică însă
fără a utiliza cerificate mutuale.
Pentru ca, un utilizator să se poată conecta de la distanţă, este obligatoriu ca el să aibă un
cont de utilizator în cadrul domeniului sau grupului de lucru gestionat de server. În cazul nostru
21
există un grup de lucru în cadrul căruia creem un grup de utilizatori ”wireless”. Mai departe, în
cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distanţă, practic clienţii
WLAN.Astfel vom avea următorii utilizatori, cu nume generice: “George”, “ Daniel” , “Alina”
iar grupul de utilizatori poate fi extins în funcţie de cerinţe. La creearea utilizatorilor, se vor crea
practic conturi de acces în reţea. Aceste conturi se vor conforma politicilor de securitate stabilite
în Windows Server 2003. Este o autentificare bazată pe nume de utilizator şi parolă.
Pentru fiecare utilizator trebuiesc setate anumite proprietaţi, pentru a putea avea acces de
la distanţă. Asfel, la fiecare cont de utilizator se va merge la “Proprietaţi” şi apoi la butonul
“Dial-in”.
c).Implementarea suplicanţilor
Pentru fiecare client în parte vom stabili acessul de tip remote folosin ca şi metodă de
autentificare 802.1x PEAP cu protocolul MS-CHAP v2. . La proprietaţile conexiunii, putem seta
ce tip de conexiune se va iniţia (PPTP sau L2TP), nivelul de criptare pe care îl dorim, metoda de
autentificare folosită (MS-CHAP.v2, EAP), modul de autentificare (smart-card, certificate
digitale).
PEAP este o metodă de autentificare ce protejează negocierea de tip EAP, încriptând
conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless 802.11. PEAP poate fi
folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă autentificare mutuală aşa cum am
observat din detalierea paşilor pe care îi urmează procesul de autentificare. Sau EAP-TLS, care
este cea mai puternică şi necesită o infrastructură de chei publice PKI.
22
În funcţie de politica de securitate pe care am stabilit-o pe server, vom seta conexiunea în
felul următor:
-tip tunel: PPTP
-metoda de autentificare: PEAP în conjunţie cu MS-CHAP.v2
23
În momentul conectării la reţea după redirecţionarea accesului către server vom oferi
credenţialele proprii care vor fi comparate cu cele introduse pentru fiecare client în Active
Directory accesul la reţea şi implicit la resursele reţelei fiind permis decât după confruntarea
credenţialeleor introduse de utilizator cu cele stocate în cadrul grupului creat.
6. Concluzii
Reţelele fără fir furnizează noi provocări la adresa securităţii şi administratorilor, care nu
au fost întâlnite în reţelele cablate. Cele mai bune practici dictează o structurare cât mai adecvată
a nivelelor pentru securitatea reţelei. Ar trebui luată în considerare configurarea punctelor de
acces, firewall-urilor şi a VPN-urilor. Strategiile de securitate ar trebui definite pentru un nivel
acceptabil al performanţei. Sistemul de detectare a intruşilor în reţelele fără fir ar trebui să
elimine problemele de securitate şi să asigure că ceea ce credem că este securizat este, de fapt,
aşa.
După toate elementele de funcţionalităţile de securitate şi opţiunile menţionate până acum
în această lucrare, anumite puncte de configurare trebuie avute în vedere în cadrul proiectării
reţelelor fără fir de către administratorii unor astfel de reţele . Pe lângă metodele de securitate
mai sus detaliate sunt necesare anumite setări de siguranţă care să funcţioneze ca o primă barieră
în faţa posibililor atacatori.
7. Anexe
24
VPN---virtual private network (VPN) este o reţea de comunicaţie privată folosită de
obicei de organizaţii şi companii pentru a comunica date confidenţiale având ca suport o reţea
publică.Traficul VPN poate fi purtat de o infrastructură publică folosind protocoale specifice
reţelei sau cu ajutorul unei reţele private ce oferă un SLA (Service Level Agreement) într
furnizorul de serviciu VPN şi client.
Wi-Fi (Wireless Fidelity) este un alt nume pentru standardul wireless 802.11b. Wi-Fi
Alliance este o asociaţie non-profit formată în 1999 cu scopul de a certifica interoperabilitatea
echipamentelor wireless LAN bazate pe specificaţiile IEEE 802.11. Wi-Fi Alliance are în prezent
183 companii afiliate si, din martie 2000, 698 de produse au primit certificarea Wi-Fi.
WIN (Wireless Intelligent Network) reprezintă informaţia si sistemul de control pentru
reţeaua de telefonie mobilă. Cuprinde infrastructura de procesare a tranzacţiilor pentru
sistemele wireless. Este cunoscut si sub denumirea de 15-41 si ANSI-41.
WIRELESS BRIDGE.Echipament utilizat pentru a primi şi transmite date pe frecvenţe
radio intre două reţele locale.
WIRELESS NETWORKING.Transmisiuni de date între calculatoare personale, servere,
staţii grafice sau alte dispozitive de reţea fără a utiliza cabluri de date.
WIRELESS GATEWAY.Dispozitiv utilizat pentru a oferi acces mai multor dispozitive
wireless la o singură conexiune .
WIRELESS PORTAL.Un site web compatibil cu aparatele telefonice mobile inteligente
(smart phones).
WIRELESS MODEM.Dispozitiv format dintr-un modem si o antenă ce recepţionează date.
În general acest tip de echipament suportă a serie de tehnologii cum ar fi: CDPD, ARDIS,
Mobitex, Ricochet,IEEE 802.11 si OpenAir şi sunt destinate utilizării impreună cu notebook-uri
sau PDA.
WISPR.Tehnologie destinată realizării de funcţii pentru wireless LAN asemănătoare celor
folosite în celulele pentru telefonia mobilă.
WPA--- WI-FI. Protected Access (WPA) este o variantă timpurie a standardului de
securitate 802.11i care a fost dezvoltat de WiFi Alliance cu scopul de a înlocui WEP.
Algoritmul de criptare TKIP a fost dezvoltat pentru WPA pentru a furniza îmbunătăţiri
vechiului standard WEP care poate fi considerat ca pe un element de firrmware a standardului
802.11. WPA deasemeni oferă suport opţional pentru algoritmul AES-CCMP care reprezintă
algoritmul preferat în cadrul 802.11i sau WPA2.
WPA2- reprezintă o versiune îmbunătăţită a standardului final 802.11i. Primul avantaj
adus de WPA2 este includerea algoritmului AES-CCMP ca un algoritm de bază a standardului.
Atât WPA cât şi WPA2 suportă autentificarea de tip EAP folosind servere RADIUS sau
elemente de securitate bazate pe PSK (preshared key) .
WPAN (Wireless Personal Area Network) reprezintă conceptul de interconectare
wireless a unor dispozitive ce află la o distanţă de maxim 10 metri unele de celelalte.
WLIF (Wireless LAN tnteroperability Forum) este o asociaţie formată cu scopul de a
certifica interoperabilitateaechipamentelor wireless cu cele mai importante standarde (printre
care si OpenAir, IEEE 802.11).
8. Bibliografie
25
1. Praphul Chandra -Bulletproof Wireless Security GSM , UMTS , 802.11 şi securitatea reţelelor
ad-hoc;
2. Rob Flickenger - Building Wireless Community Networks, Second Edition iunie 2003
3. Merritt Maxim , David Pollino - Wireless Security
4. Jahaanayeb Khan si Anis Khwaja - Building Secure Wireless Networks with 802.11
5. Aftab Ahmad- Wireless and mobile data networks;
6. Victor Valeriu Patriciu , Monica Ene Pietrosanu, Calin Vaduva , Ion Bica, Nicolae Voicu-
Securitatea comerţului elecrtronic
7. Boer, J. – Direct Sequence Spread Spectrum Physical Layer Specification IEEE 802.11, doc.
IEEE P802.11-96/49E;
8. Brenner, P. – A Technical Tutorial on the IEEE 802.11 Protocol, documentatie Internet,
www.sss-mag.com/pdf/802_11tut.pdf
9. Irvine, J., D. Harle – Data Communications and Networks, Ed. Wiley, Anglia, 2002.
10. Lough, D.L., T. K. Blankenship, K. J. Krizman – A Short Tutorial on Wireless LANs and
IEEE 802.11, Institutul Politehnic Bradley – Virginia.
11. Meel, J. – Spread Spectrum (SS) applications, © Institutul DE NAYER,
12. Miller, S.L. – Wireless Communication Systems, note de curs , ee.tamu.edu/~smiller
13. Mocanu, Şt. – Transmiterea datelor pe canale wireless, referat doctorat 2002, AII-215-03.
14. Prem, E.C. – Wireless Local Area Networks,
15. Şerbanescu, D. - Retele wireless: secrete mici, efecte mari, PC Magazine România, Iunie
2002
16. Andrew S. Tanembaum – Reţele de calculatoare;
Resurse Internet :
*** - http://www.agora.ro/
*** - http://www.hot-spot.ro/
*** - http://www.chip.ro/
*** - www.ieee.org
*** - http://www.wi-fiplanet.com/news/article.php/905461
*** - http://www.networkworld.ro/general.php
*** - http://www.internet-magazin.ro/articol.php
*** - http://www.ral.ro/php/produse.php?cid=44#GPRS-WLAN11B
26