Securitatea retelelor wireless. Elemente de criptografie si protocoale de securitate Memoriu justificativ Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare: calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele, după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare. Secolul nostru a generat dependenţa de informaţie : oameni care au nevoie să fie în permanenţa conectaţi. Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi fibrele optice nu sunt de nici un folos. Ei au nevoie de date pentru calculatoarele lor portabile, de buzunar, fără a fi legaţi de infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori, răspunsul îl constituie comunicaţiile fără fir. Reţelele wireless sau mai simplu WLAN au apărut ca o alternativă la reţeaua LAN prin cablu reprezentând un sistem flexibil de comunicatii de date , folosit ca o extensie sau o alternativă la reţelelor cablate , într-o clădire sau un grup de clădiri apropiate . Folosind undele electromagnetice , dispozitivele WLAN transmit şi primesc date prin aer , eliminând necesitatea cablurilor şi transformând reţeaua într-un LAN mobil . Astfel , dacă o firmă are un WLAN , la mutarea în alt sediu nu este nevoie de cablări şi găuriri în pereţi plafoane pe care acestea le presupun , ci pur şi simplu se mută calculatoarele şi reţeaua poate funcţiona imediat . Ce-i drept , în general reţelele WLAN se folosesc împreună cu LAN-urile clasice , mai ales pentru partea de tipărire în reţea pentru legătura la server . Tema acestui proiect îl reprezintă studiul de caz asupra reţelelor fără fir şi mai ales a cerinţelor de securitate pe care le presupune o astfel de reţea ,cu aplicaţii practice în realizare unei reţele WLAN care să îndeplinească cerinţele unei reţele sigure din punct de vedere a securităţii atât a accesului la reţea cât şi a datelor vehiculate în cadrul reţelei. Următorul proiect urmăreşte identificarea elementelor de securitate deja existente în cadrul unei reţele fără fir , posibilităţi de securizare oferite de dipozitive de securizare ale reţelei iar parte practică se Pagina 1 din 146
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Securitatea retelelor wireless. Elemente de criptografie si protocoale
de securitate
Memoriu justificativ
Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită
pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare:
calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele,
după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat
diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de
avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare. Secolul
nostru a generat dependenţa de informaţie : oameni care au nevoie să fie în permanenţa
conectaţi. Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi fibrele optice nu sunt
de nici un folos. Ei au nevoie de date pentru calculatoarele lor portabile, de buzunar, fără a fi
legaţi de infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori, răspunsul îl constituie
comunicaţiile fără fir.
Reţelele wireless sau mai simplu WLAN au apărut ca o alternativă la reţeaua LAN prin
cablu reprezentând un sistem flexibil de comunicatii de date , folosit ca o extensie sau o
alternativă la reţelelor cablate , într-o clădire sau un grup de clădiri apropiate . Folosind undele
electromagnetice , dispozitivele WLAN transmit şi primesc date prin aer , eliminând
necesitatea cablurilor şi transformând reţeaua într-un LAN mobil . Astfel , dacă o firmă are un
WLAN , la mutarea în alt sediu nu este nevoie de cablări şi găuriri în pereţi plafoane pe care
acestea le presupun , ci pur şi simplu se mută calculatoarele şi reţeaua poate funcţiona imediat .
Ce-i drept , în general reţelele WLAN se folosesc împreună cu LAN-urile clasice , mai ales pentru partea de tipărire în reţea pentru legătura la server .
Tema acestui proiect îl reprezintă studiul de caz asupra reţelelor fără fir şi mai ales a
cerinţelor de securitate pe care le presupune o astfel de reţea ,cu aplicaţii practice în realizare
unei reţele WLAN care să îndeplinească cerinţele unei reţele sigure din punct de vedere a
securităţii atât a accesului la reţea cât şi a datelor vehiculate în cadrul reţelei. Următorul proiect
urmăreşte identificarea elementelor de securitate deja existente în cadrul unei reţele fără fir ,
posibilităţi de securizare oferite de dipozitive de securizare ale reţelei iar parte practică se
constituie într-un ghid practic ce va puncta sonfigurări şi măsuri de securitate pentu un mediu
de comunicaţie cât mai sigur.
Introducere
Produsele fără fir, de la comanda la distanţă a televizoarelor şi închiderii uşilor automobilelor la telefonia celulară , utilizează o formă de energie cunoscută ca radiaţie
electromagnetică pentru a transporta semnalele. În ultimi ani comunicaţiile fără fir şi cele
mobile au cunoscut o creştere explozivă în ceea ce priveşte numărul de servicii asigurate şi
tipurile de tehnologii devenite disponibile .Tehnologia celulară , transimiterea de date în reţele
mobile şi serviciile multimedia sunt într-o dezvoltare rapidă , utilizatorii mobili având acces la
servicii precum e-mail , telefonie , video , e-banking ,etc.
De câţiva ani , reţelele de calculatoare sunt folosite pentru a interconecta calculatoare
pesonale şi servere în firme , universitaţi şi oraşe , însă în ultimii ani a avut o evoluţie rapidă în
direcţia folosirii reţelelor fără fir . De fapt, în prezent sunt disponibile interfeţe fără fir pentru
utilizarea serviciilor de reţea care ne permit să folosim poşta electronică şi să navigăm pe
Internet aproape din orice loc ne-am afla .
Sistemele fără fir oferă beneficiul mobilităţii utilizatorilor şi o desfăşurare flexibilă a
unei reţele într-o anumită arie. Mobilitatea utilizatorilor îi permite unui client al reţelei să se
mişte în diferite locaţii ale reţelei fără să-şi piardă conexiunea la reţea .Reţelele fără fir oferă
deasemenea avantajul că adăugarea unui nod la reţea se poate face fără prea multă planificare
sau costuri suplimentare de reclabare. Aceasta face ca viitoare dezvoltări ale reţelei să fi uşoare
şi ieftine . Creşterea rapidă a folosirii laptoupurilor şi PDA-urilor a condus de asemenea la
creşterea dependenţei de reţelele fără fir datorită faptului că reţelele radio pot face mai uşor faţă
creşterii dinamice a utilizatorilor unei reţele.
Ca orice tehnologie relativ nouă ,reţelele fără fir reprezintă un mediu de comunicaţie
susceptibil la ameninţări ce ţin nu numai de acţiuni din exteriorul mediului ,dar uneori lipsa
unei documentări puternice asupra capabilităţilor unui astfel de mediu se traduce în probleme
de securitate
Provocările oferite de reţelele fără fir pot fi detaliate pe mai multe planuri.
Deficitul lăţimii de bandă face ca pentru reţelele radio divizarea lăţimii de bandă să fie
esenţială , de vreme ce spectrul radio nu numai că este destul de scump , dar este totodată şi
limitat.
Accesul multiplu , adică succesul unie tranmisii nu este independent de alte transmisii .
Pentru a face o transmisie reuşită trebuie evitată interferenţa sau cel puţin ţinută sub control. Pede altă parte transmisiile multiple pot duce la coliziuni sau la semnale deformate.
Direcţiile multiple de transmisie produc erori variabile de transmisie care por conduce
la o conectivitate intemitentă.
Mobilitate , securitatea şi calitatea servicului.
Următoarea lucrare se va baza în special pe acest ultim deziderat al unei reţele WLANşi pe aplicaţiile ce rezidă din necesitatea unei conexiuni tot mai sigure şi mai de calitate în
cadrul unei reţele fără fir.Pentru aceasta este nevoie de cunoaşterea unor elemente minime ce se
referă la metodele de criptare a datelor vehiculate în cadrul reţelei.
Criptografia este ştiinţa scrierilor secrete. Ea stă la baza multor servicii şi mecanisme de
securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în
intenţia de a ascunde conţinutul lor sau de a le proteja împotriva modificării. Criptografia are o
lungă istorie, confidenţialitatea comunicării fiind o cerinţă a tuturor timpurilor. Dacă ar trebui
să alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu atât
datorită celebrităţii împăratului roman de care se leagă folosirea lui, ci pentru că principiul său
de baza, al substituţiei, s-a menţinut nealterat aproape două milenii.
Scopul de bază al criptografiei
1. Confidenţialitate – asigurarea că nimeni nu poate citi mesajul cu excepţia
destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către
persoane neautorizate. Prin manipularea datelor înţelegem procese cum ar fi inserţii, întârzieri
sau substituiri.
3. Autentificarea – presupune posibilitatea de identificare a sursei informaţiei şi a
entităţii (o persoană, un terminal de computer, o carte de credit).
4. Non-repudierea – care previne negarea unor angajamente sau acţiuni anterioare.
Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace
sunt menite să garanteze că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu
a fost manipulată de persoane neautorizate.
Tehnica identificării sau autentificării identităţilor asigură că ambii participanţi (prin
probe coroborate sau dobândite) implicaţi au într-adevăr identitatea pe care o pretind. Acest
lucru se realizează prin transmiterea de date necesare pentru a identifica părţile care participă la
comunicaţie, ambii participanţi fiind activi în această comunicaţie oferind astfel oportunitatea
unei garanţii.
Este important a înţelege importanţa autentificării. Într-un canal de comunicaţii cu un
sistem ideal de criptografie cu chei publice teoretic cele două părţi pot comunica prinintermediul canalului fără a resimţi nevoia schimbării de chei. Ori un adversar activ poate
enterprise-reţea la scară mare înglobând sute de calculatoare-, ca o extensie la o reţea cablată
sau ca un înlocuitor pentru o reţea cablată.
Reţele wireless ad-hoc sunt o colecţie de host-uri care formează o reţea temporară fără
o structură centralizată sau administrare. Topologia reţelei se modifică în mod constant carezultat al faptului că nodurile se alătură sau ies din reţea. Înaintarea pachetelor, rutarea sau alte
operaţii sunt realizate de noduri.
Creşterea popularităţii reţelelor wireless a determinat o scădere rapidă a preţului
echipamentelor wireless concomitent cu o accentuată îmbunătăţire a performanţelor tehnice ale
acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici decât una
tradiţională pe cablu. În acest fel, apar premizele realizării accesului ieftin şi uşor la Internet
membrilor comunităţilor locale, cu toate beneficiile ce rezultă de aici. Accesul la informaţia
globală constituie o sursă de bogăţie la scară locală, prin creşterea productivităţii muncii bazate
pe accesul la cvasitotalitatea informaţiilor disponibile în lume în legătură cu activitatea prestată.
Totodată, reţeaua devine mai valoroasă pe măsură ce tot mai mulţi oameni se leagă la ea.
Chiar şi fără accesul la Internet comunităţile legate la reţele wireless se bucură de
avantaje - pot colabora la diferite proiecte cu întindere geografică mare folosind comunicaţiivocale, e-mail–uri şi transmisii de date cu costuri foarte mici. În ultimă instanţă, oamenii
înţeleg că aceste reţele sunt realizate pentru a intra mai uşor în legătură unii cu alţii.
O reţea, fie că este cablată sau wireless, este creată pentru a transporta date între doi sau
mai mulţi clienţi. Tipul datelor poate avea un caracter public sau confidenţial. Dacă pentru
datele de tip neconfidenţial securitatea conexiunii nu este o problemă chiar aşa de importantă,
pentru cele confidenţiale, securitatea datelor este critică.
Securitatea reţelelor wireless este cu atât mai greu de obţinut mai ales datorită
vulnerabilităţii legăturilor, protecţiei fizice limitate a fiecărui dintre noduri, conectivităţii
sporadice, topologiei care se schimbă dinamic, absenţa autorităţii de certificare şi lipsa unei
monitorizări centralizate sau unui punct de management.
Pentru securizarea reţelelor wireless au fost definite suita de protocoale IEEE 802.11
a/b/g/n cunoscute ca şi Wi-Fi (
Wireless Fidelity) şi 802.16 cunoscut şi ca WiMax (
Worldwide
Interoperability for Microwave Access).
Figure 1.2 : Acoperirea cu semnal de la un punct de acces
Într-o reţea wireless deschisă (numită şi Open System), oricine se află în aria de
acoperire se poate conecta, chiar şi utilizatorii nedoriţi. De aici se ajunge la diverse probleme
cum ar fi irosirea lăţimii de bandă (folosită de intruşi), introducerea de programe cu caracter
maliţios în reţeaua privată, sau aşa numitul eavesdropping (interceptarea şi citirea mesajelor sau a oricărui tip de date). Lipsa de securitate a reţelelor Open System poate duce la
simplificarea muncii celor ce fac spionaj industrial sau a celor care consideră intruziunea într-o
reţea wireless privată o distracţie.
Situaţia este diferită în cazul reţelelor securizate, utilizatorii, pentru a avea acces la
reţea, trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât
reţeaua cât şi utilizatorii sunt protejaţi de pericolele prezentate mai sus. În caz de nevoie
utilizatorii pot fi separaţi între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele
VPN, sau alte modalităţi.
Puncte slabe ale reţelelor fără fir: Ca la orice altă tehnologie nouă, şi în acest caz a fost
dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să
decurgă cât mai simplu şi mai confortabil. După ce interesul pentru avantajele noii tehnologii a
fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea
rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi câteva breşe
de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulţi
administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea şi administrarea
reţelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că tehnologia
WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul
securităţii trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse ulterior în
WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au
dovedit a fi nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri şi de
aşa-numiţii war driveri. Marele minus al tehnologiei constă în lipsa protecţiei fizice a datelor de
transferat, care există în reţelele pe cablu. Pachetele de date sunt prea puţin protejate la
transferul prin unde radio şi se distribuie aproape incontrolabil în mediul ambiant. Aşadar, ele
pot fi de exemplu recepţionate de către terţi, înregistrate, evaluate sau chiar manipulate. în
special monitorizarea traficului de reţea, aşa numitul sniffing, este unul dintre cele mai mari
pericole în WLAN.
2. Reţele wireless
Calculatoarele mobile, aşa cum sunt blocnotesurile sau asistenţii personali digitali
(PDA-urile), reprezintă segmentul din industria tehnicii de calcul cu dezvoltarea cea mairapidă. Mulţi posesori ai acestor calculatoare au la birou sisteme legate la LAN-uri şi WAN-uri
şi vor să se conecteze la acestea, chiar şi atunci când se află în locuri depărtate de casă sau pe
drum. Deoarece legăturile prin fir sunt imposibile în maşini şi avioane, interesul pentru reţelele
radio este foarte puternic. În această secţiune vom face o scurtă introducere în acest subiect
prezentând mai în detaliu principiile teoretice ce stau la baza funcţionării unei mediu fără fir.Comunicaţiile digitale fără fir nu reprezintă, de fapt, o idee nouă. încă din 1901,
fizicianul italian Guglielmo Marconi a realizat legătura între un vapor şi un punct de pe coastă
folosind telegraful fără fir şi codul Morse (punctele şi liniile sunt, în definitiv, binare).
Sistemele radio moderne au performanţe mai bune, dar ideea fundamentală a rămas aceeaşi.
Reţelele radio au numeroase utilizări. Biroul portabil reprezintă una dintre ele. Oamenii
aflaţi pe drum doresc adesea să folosească echipamentele lor electronice portabile pentru a
trimite şi primi faxuri şi poştă electronică, pentru a citi fişiere aflate la distanţă, pentru a se
conecta la distanţă şi aşa mai departe. Şi doresc să facă aşa ceva din orice loc de pe uscat, apă
sau aer. Reţelele radio sunt de mare importanţă pentru parcurile de camioane, taxiuri şi
autobuze, ca şi pentru echipele de intervenţie care trebuie să menţină contactul cu baza.
Reţelele radio pot fi de asemenea utile pentru echipele de intervenţie în locuri de dezastru
(incendii, inundaţii, cutremure etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse
la faţa locului pot să trimită mesaje, să înregistreze informaţii şi aşa mai departe.
În sfârşit, reţelele radio sunt importante pentru armată. Dacă trebuie să faci faţă în cel
mai scurt timp unui război care se poate desfăşura oriunde în lume, atunci probabil că nu este o
idee bună să te bazezi pe infrastructura de reţele existentă la faţa locului. Este mai bine să-ţi
aduci propria reţea.
Fără fir Mobil Aplicaţii Nu Nu Staţii de lucru staţionare într-un birou Nu
Da
Da
Nu
Folosirea unui calculator portabil într-un hotel sau pentru
inspecţia trenurilor
LAN-uri instalate în clădiri mai vechi, fără fireDa Da Birouri mobile; PDA-uri pentru inventarierea magaziei
Tabel 2:Combinaţii de reţele fără fir şi tehnică de calcul mobilă.
Deşi reţelele fără fir şi echipamentele de calcul mobile sunt adesea înrudite, ele nu sunt
identice (a se vedea tabelul alăturat). Calculatoarele portabile comunică uneori cu ajutorul
firelor. Dacă într-un hotel un turist racordează un calculator mobil la mufa de telefon, acesta
este un exemplu de mobilitate fără reţea radio. Un alt exemplu se referă la o persoană care
poartă cu sine un calculator mobil în timp ce inspectează, pentru probleme tehnice, un tren. în
acest caz, în spatele calculatorului poate foarte bine să atârne un fir lung (ca la aspirator).
Figure1.3:Moduri de realizare a unei reţele fără fir
Pentru o bună inţelegere a modului de realizare şi a facilităţilor oferite de reţelele
wireless trebuie mai întâi să înţelegem elementele de bază şi modul de realizare a reţelelor cablate.
2.1 Reţele de calculatoare
În ultimii zece ani reţelele de calculatoare au devenit o parte integrantă a vieţii noastre
zi cu zi. De la Internet care este o reţea de reţele, la reţelele de la locul de muncă, magazinele
de alimente, bănci sau spitale, aproape fiecare pare a fi conectat la o reţea de calculatoare. O
reţea de calculatoare este formată din cel puţin două calculatoare care sunt conectate pentru a
partaja resurse sau pentru a comunica pentru diverse motive. De exemplu o reţea decalculatoare dintr-o companie interconectează mai multe calculatoare pentru a facilita legăturile
între angajaţi prin partajarea fişierelor, serviciul de email sau managementul informaţiilor.
Băncile folosesc reţelelele de calculatoare pentru a realiza servicii de management a conturilor
unde datele cât mai exacte sunt foarte importante.Timpul de realizare a tuturor acestor task-uri
de un singur calculator ar fi imens, însa partajarea puterii de prelucrare a calculatoarelor dintr-o
reţea face ca acest timp sa fie extrem de redus.
Calculatoarele care sunt doar interconectate spunem că lucrează într-o reţea locală de
calculatoare-LAN. Deseori aceste reţele sunt conectate cu alte reţele sau sunt conectate la
Internet pentru a furniza acces imediat la informaţii. Uneori, din motive de securitate reţelele
locale de calculatoare sunt restricţionate la accese locale sau private.
Elemente fundamentale de interconectare a calculatoarelor
O dată cu extinderea domeniilor de aplicare a calculatoarelor, a crescut şi numărul
utilizatorilor ce doreau să facă schimb de date sau să prelucreze informaţiile comune. De
exemplu, zeci de angajaţi ai unei intreprinderi lucrează împreună la elaborarea bugetului,
fiecare din ei fiind responsabil de un anumit compartiment. În cadrul unei companii de
datorită terenului comunicaţia fără fir este preferabilă. Este de remarcat faptul că sistemele de
comunicaţie digitală fără fir au apărut în Insulele Hawaii, unde utilizatorii erau despărţiţi de
întinderi mari de ape , sistemul telefonic fiind inadecvat. Din cauza mediului uneori foarte
“neprietenos” tehnologia reţelelor fără fir a reprezentat soluţia ideală la locul potrivit întrucât oastfel de reţea poate trece peste inconveniente ce privesc mediul de desfăşurare a utilizatorilor
sau mediul de transmitere a datelor.
Spectrul electromagnetic
Atunci când electronii se află în mişcare, ei creează unde electromagneticecare ce se pot
propaga în spaţiu (chiar şi în vid). Aceste unde au fost prezise de fizicianul britanic James
Clerk Maxwell în 1865 şi au fost produse şi observate pentru prima dată de fizicianul Heinrich
Hertz în 1887. Numărul de oscilaţii pe secundă este numit frecvenţă, f , şi este măsurată în în
Hz. Distanţa dintre două maxime (sau minime) consecutive este numită lungime de undă
notaţia universală fiind λ (lambda).
Prin ataşarea unei antene corespunzătoare unui circuit, undele electromagnetice pot fi
difuzate eficient şi interceptate de un receptor, aflat la o anumită distanţă . Toate comunicaţiile
fără fir se bazează pe acest principiu.
În vid toate undele electromagmetice se transmit cu aceeaşi viteză, indferent de
frecvenţă. Această viteză, de obicei numită viteza luminii, c, este de aproximativ 3 x1010 msec,
sau aproape i picior pe secunda (30 cm) pe nanosecundă. În cupru sau în fibră viteza scade la
aproape 2/3 din această valoare şi devine uşor dependentă de frecvenţă. Viteza luminii este
viteza maximă care se poate atinge.
Relaţia fumdamentală dintre, f, λ si c ( în vid ) este:
λf=c
Spectru electromagentic este prezentat în imaginea următoare . Domeniile
corespunzătoare undelor radio, microundelor, undelor infraroşii şi luminii vizibile din spectru
pot fi folosite pentru transmiterea informaţiei prin modularea amplitudinii, frecvenţei, sau fazei
undelor. Lumina ultravioletă, razele X şi razele gama ar fi chiar mai performante datorită
frecvenţei lor mai înalte, dar ele sunt greu de produs şi modulat, nu se propagă bine prin clădiri
medii, undele radio se propagă la sol, după cum este prezentat în figura următoare . Aceste
unde pot fi detectate până la aproximativ 1000 Km pentru frecvenţe joase şi mai puţin pentru
cele mai înalte. Difuzarea undelor radio AM foloseşte banda MF, acesta fiind motivul pentru
care staţia radio AM din Boston nu poate fi auzită cu uşurinţă în New York ca un exemplu.Undele radio în această bandă trec uşor prin clădiri, fiind astfel posibilă utilizarea radiourilor
portabile în spaţii interioare. Problema principală care apare la comunicarea de date la aceste
frecvenţe este lărgimea relativ mică a benzii pe care o oferă.
În benzile înalte şi foarte înalte, undele de la sol tind să fie absorbite de pământ.Oricum, undele
care ating ionosfera, un strat de particule care învelesc atmosfera la o înălţime de 100 până la
500 Km, sunt refractate de aceasta şi trimise înapoi spre pământ. În anumite condiţii
atmosferice, semnalele pot parcurge acest drum de mai multe ori.
Transmisia prin microunde
Peste 100 MHz, undele se propagă în linii drepte şi pot fi, din acest motiv, direcţionate.
Concentrând toată energia într-un fascicol îngust, cu ajutorul unei antene parabolice (ca oantenă de satelit obişnuită) rezultă o valoare mult mai ridicată a ratei de semnal-zgomot, dar
antenele care transmit şi cele care recepţionează trebuie să fie aliniate cu precizie una cu alta. în
plus, faptul că aceste unde sunt orientate permite ca mai multe transmiţătoare să fie aliniate şi
să comunice cu mai multe receptoare fără interferenţe. înaintea fibrelor optice, microundele au
format, timp de decenii, inima sistemului telefonic de comunicaţie pe distanţe mari. De fapt,
numele companiei MCI provenea de la Compania de Comunicaţii prin Microunde (Microwave
Communication Inc.), deoarece întregul ei sistem a fost iniţial construit pe bază de turnuri demicrounde (de atunci cea mai mare parte a fost trecută la reţea cu fibră).
Pagina 20 din 146
Figure2.4:(a)În benzile VLF , VF şi MF , undele radio urmăresc curbura pământului
Datorită faptului că microundele se propagă în linii drepte, dacă turnurile sunt foarte
depărtate, atunci stă în cale pământul. De asemenea sunt necesare, periodic, repetoare. Cu cât
turnurile sunt mai înalte, cu atât repetoarele se pot afla la distanţe mai mari. Distanţa dintre
repetoare creşte aproximativ cu radicalul înălţimii turnului. Pentru turnuri cu o înălţime de 100m, repetoarele se pot afla la distanţe de 80 Km. Spre deosebire de undele radio la frecvenţe
joase, microundele nu trec bine prin clădiri. în plus cu toate că unda poate fi bine direcţionată la
transmiţător, apare o divergenţă în spaţiu. Unele unde pot fi reflectactate de straturile
atmosferice joase şi pot întârzia mai mult decât undele directe. Undele întârziate pot sosi
defazate faţă de unda directă, anulând astfel semnalul. Acest efect este numit re multi-căi
(multipath fading) şi constituie deseori o problemă serioasă. Este dependentă şi de frecvenţă.
Unii operatori păstrează nefolosit un procent de 10 la sută din canalul propriu neutru a putea
comuta pe acesta atunci când atenuarea multi-căi anulează temporar anumite benzi de
frecvenţă.
Cererea de spectre din ce în ce mai larg contribuie la îmbunătăţirea tehnologiilor, astfel
încât transmisia poate folosi frecvenţe şi mai înalte. Benzi de până la 10 GHz sunt acum uzuale,
dar la aproape 8 GHz apare o nouă problemă: absorbţia de către apă. Aceste unde sunt doar de
câţiva centimetri lungime şi sunt absorbite de ploaie. Acest efect ar fi fost potrivit pentru cineva
care ar încerca să construiască un imens cuptor cu microunde în aer liber, dar pentru
comunicaţii este o problemă dificilă. La fel ca şi în cazul atenuării multi-căi, singura soluţie
posibilă este de a întrerupe legăturile acolo unde plouă şi să se găsească o altă rută.
Comunicaţiile cu microunde sunt atât de larg folosite de telefonia pe distanţe mari,
telefoanele celulare, televiziune şi altele, încât a apărut o criză în ceea ce priveşte spectrul.
Microundele au mai multe avantaje semnificative faţă de fibră. Cel mai important avantaj este
că nu sunt necesare drepturi de acces la drum, cumpărând un mic teren la fiecare 50 Km şi
montând un turn pe el, se poate ocoli sistemul telefonic şi se poate realiza o comunicare directă.
Astfel a reuşit MCI să pornească atât de rapid ca o companie de telefoane pe distanţe mari.
(Sprint a aplicat o altă tactică: a fost formată de Southern Pacific Railroad (căile feroviare
sudice), care deja deţinea destule drepturi de acces şi tot ce a avut de făcut a fost să îngroape
fibra lângă şine.)
Comunicaţiile cu microunde, prin comparaţie cu alte medii de transmisie, sunt ieftine.
Preţul ridicării a două turnuri simple (doi stâlpi înalţi asiguraţi cu patru cabluri) şi de montare a
unei antene pe fiecare turn, poate fi mai mic decât preţul îngropării a 50 de Km de fibră într-o
zonă urbană foarte populată sau peste un munte şi poate fi mai mic decât costul închirierii fibreide la o companie telefonică, mai ales atunci când acestea nu au plătit încă integral cuprul care a
fost înlocuit cu fibră. În afară de utilizarea pentru transmisia pe distanţe mari, microundele mai
au o altă aplicaţie importantă şi anume benzile industriale, ştiinţifice şi medicale. Aceste benzi
sunt o excepţie de la regula acordării licenţelor: transmitătoarele care folosesc aceste benzi nu
necesită licenţe de la guvern. Este alocată global o singură bandă: 2.400-2.484 GHz. În plus înStatele Unite şi Canada, există benzi între 902-928 MHz şi între 5.725 - 5.850 GHz. Aceste
benzi sunt folosite de telefoanele fără fir, uşile de garaj cu telecomandă, boxe Hi-Fi fără fire,
porţi securizate etc. Banda de la 900 MHz funcţionează cel mai bine, dar este suprasolicitată,
iar echipamentul care o utilizează poate fi folosit numai în America de Nord. Benzile mai largi
necesită un echipament electronic mai scump şi sunt supuse la interferenţe datorate cuptoarelor
cu microunde şi instalaţiilor radar. Nu mai puţin adevărat este faptul că aceste benzi sunt foarte
uzuale pentru diferite forme de reţele fără fir pe arii restrânse, deoarece nu necesită procurarea
unei licenţe.
Undele infraroşii şi milimetrice
Undele infrarosii şi milimetrice sunt larg folosite pentru comunicaţiile pe distanţe
reduse. Telecomenzile pentru televizoare, aparatele video şi stereo folosesc comunicaţiile în
infrarosu. Ele sunt relativ direcţionale, ieftine şi uşor de construit, dar au un dezavantaj major:
nu penetrează obiectele solide . În general, cum ne deplasăm de la undele radio lungi către
lumina vizibilă, undele se comportă din ce în ce mai mult ca lumina şi din ce în ce mai puţin ca
unde radio.
Pe de altă parte, faptul că razele infraroşii nu trec prin obiecte constituie un avantaj.
Aceasta înseamnă că un sistem cu infraroşii dintr-o cameră a unei clădiri nu va interfera cu un
sistem similar situat în camerele adiacente. Mai mult, protecţia sistemelor cu infraroşii
împotriva interceptărilor este mult mai bună decât sistemele radiofonice, exact din acest motiv.
Datorită acestor motive, pentru operarea unui sistem cu infraroşii nu este necesară procurarea
unei licenţe, spre deosebire de sistemele radiofonice, care trebuie să deţină o licenţă.
Aceste proprietăţi au făcut din undele infraroşii un candidat demn de luat în seamă
pentru LAN-urile interioare fără fir. De exemplu, calculatoarele şi birourile dintr-o clădire pot
fi echipate cu transmiţătoare şi receptoare infraroşii relativ nedirecţionate (adică oarecum
omnidirecţionale). în acest fel, calculatoarele portabile cu posibilităţi de comunicare prin
infrarosu pot face parte din reţeaua locală fără a fi nevoie să se conecteze fizic la ea. Atunci
când mai mulţi oameni se prezintă la o întâlnire cu calculatoarele lor portabile, ei pot sta într-o
sală de conferinţe şi să fie total conectaţi fără a întinde cabluri. Comunicaţiile cu infraroşii nu
pot fi folosite în exterior, deoarece soarele emite tot atâtea raze infraroşii cât unde în spectrulvizibil.
Semnalele optice neghidate au fost folosite secole întregi. înaintea faimoasei lui
călătorii, Paul Revere a folosit semnale optice binare de la Old North Church. O aplicaţie mai
modernă este conectarea reţelei locale în două clădiri prin intermediul laserului montat peacoperişul lor. Semnalizarea optică folosind laserul este inerent unidirecţională, deci fiecare
clădire are nevoie de propriul ei laser şi de propria ei fotodiodă. Această schemă oferă o bandă
foarte largă la un cost foarte redus. De asemenea, este uşor de instalat şi, spre deosebire de
microunde, nu necesită o licenţă FCC(Federal Communications Commission).
Puterea laserului, un fascicol foarte îngust, este aici o slăbiciune. îndreptarea unui
fascicol de lumină de l mm lăţime către o ţintă de 1 mm lăţime aflată la 500 de metri depărtare
necesită o tehnică de vârf. De obicei, sunt introduse lentile pentru a defocaliza uşor fascicolul.
Un dezavantaj este că fascicolul laser nu penetrează ploaia şi ceaţa groasă, dar în mod normal
ele funcţionează bine în zilele însorite. Oricum, autorul a participat odată într-un hotel modern
din Europa la o conferinţă la care organizatorii conferinţei s-au gândit să pună la dispoziţie o
cameră plină cu terminale, în care participanţii să-şi poată citi poşta electronică în timpul
prezentărilor plictisitoare. Deoarece PTT-ul local nu dorea să instaleze un număr mare de linii
telefonice doar pentru 3 zile, organizatorii au montat pe acoperiş un laser orientat către clădirea
departamentului de calculatoare al universităţii de calculatoare aflată la o distanţa de câţiva
kilometri. Ei l-au testat cu o noapte înainte şi totul a decurs perfect. La ora 9, dimineaţa
următoare, într-o zi însorită, legătura a căzut si a rămas asa toata ziua. Seara, organizatorii au
testat-o din nou cu atenţie si a funcţionat încă o dată perfect. Acelaşi lucru s-a întâmplat timp
de două zile consecutiv. După conferinţă, organizatorii au descoperit problema. Căldura
datorată soarelui din timpul zilei a determinat naşterea unor curenţi de convecţie din acoperişul
clădirii. Acest aer turbulent a deviat fascicolul şi 1-a făcut să oscileze în jurul detectorului.
Această „vedere" atmosferică face ca stelele să pâlpâie (acesta este motivul pentru care
astronomii îşi pun telescoapele pe vârful munţilor - să fie cât se poate de mult deasupra
atmosferei). Efectul respectiv este responsabil şi pentru „tremurul" şoselei într-o zi însorită şi a
imaginii în Valuri' deasupra unui radiator fierbinte.
2.3 Standarde WLAN 802.11 a, b , g...
2.3.1 Introducere - standardul corect pentru reţea
Standardele radio pentru WLAN sunt specificate de organizaţia IEEE (Institute of
Electrical and Electronical Engineers). în multe state, începutul a aparţinut standardului IEEE
802.11b Teoretic, acesta promite viteza de 11 Mbps, practica demonstrând însă că în condiţiioptime se pot obţine rate de transfer de doar 2 până la 5 Mbps (echivalentul a aproximativ 0,5
MB/s). Această viteză este suficientă doar pentru navigarea pe internet sau la rularea fişierelor
MP3. între timp lucrurile evoluând actualmente fiind disponibile aproape exclusiv routere
compatibile cu mai rapidul standard 802. llg. Acesta oferă viteze de până la 54 Mbps, valorile
reale limitându-se însă la 20 Mbps (echivalentul a aproximativ 2,5 MB/s). În aceste condiţiieste deja posibil transferul filmelor la calitate DVD. Ca o comparaţiei reţeaua pe cablu Fast
Ethernet de 100 Mbps atinge în practică circa 64 Mbps , adică 8 MB/s.
Deopotrivă aparatele pe standard b şi g funcţionează într-o bandă de frecvenţe cuprinsă
între 2,4 şi 2,5 GHz, interval cu specificaţii unice: toate materialele care conţin apă absorb
maximul de energie rezultată din undele electromagnetice. Microundele, care lucrează de
regulă cu o frecvenţă de 2,45 GHz, utilizează acest efect pentru încălzirea alimentelor. Pentru
undele radio ale unui router WLAN, pereţii umezi (în special structurile din rigips, de pildă)
reprezintă bariere insurmontabile. Mai mult, în majoritatea ţărilor puterea semnalului reţelelor
WLAN b/g este limitată la maxim 100 miliwaţi, pe de altă parte însă telefoanele mobile şi apa-
ratele DECT (Digital Enhanced (formerly European) Cordless Telecommunications) emit cu
până la 2 waţi .Totuşi, de cele mai multe ori sunt disponibile 13 canale –diviziuni de de bandă
ale intervalului 2.4 – 2.5 GHz . Numărul mare de canale este benefic pentru aria de acoperire ,
deaorece dispozitivele pot trece pe alt canal în caz de interferenţe pe cel current . În altă ordine
de idei în SUA sunt disponibile 11 canale iar în Franţa numai opt . La noi , încă pot fi folosite
toate cele 13 canale aceasta numai în cazul în care AP –ul o permite .
Patru standarde concurente
Semnalele audio şi video pot fi transferate atât prin cablu, cât şi pe unde radio. în cazul
unei reţele pe cablu, siguranţa este considerabil mai mare. Dacă totuşi computerele nu se află în
aceeaşi încăpere sau se găsesc chiar la etaje diferite, această soluţie ieftină şi performantă îşi
dezvăluie marele dezavantaj: fie cablurile traversează întreaga locuinţă, fie trebuie făcute găuri
în pereţi şi tavan pentru a găsi o cale cât mai scurtă. Alternativa este o reţea radio, deşi aceasta
este bineînţeles mai scumpă şi mai complicată decât sistemul cu fir. înainte de a lua decizia în
favoarea unui standard sau altul, trebuie cunoscute deopotrivă avantajele şi dezavantajele
fiecărei tehnologii WLAN existente. Patru standarde concurează în prezent în lumea wireless.
IEEE 802.11b (IEEE este acronimul pentru Institute of Electri-cal and Electronical Engineers)
este mai degrabă conceput pentru firme şi oferă o acoperire bună a birourilor spaţioase. 802.1la
oferă o lăţime de bandă mai mare .şi mai puţine probleme de interferenţă, însă raza de acţiune
este mai mică. Bluetooth este destinat transmisiilor pe raze scurte de acţiune sau pentru
conectarea sălilor de conferinţe şi de curs. Cel mai nou membru al tehnologiei wireless este802.1 lg, un standard recunoscut oficial în 2003. 802.1lg combină raza mare de acţiune a lui
802.11b cu fluxul mai mare de date al lui 802.11a. Un alt avantaj: tehnologia este perfect
compatibilă cu 802.11b. În tabelul următor pot fi observate caracteristicile standandardelor
actuale din domeniul reţelelor fără fir::
Standard Rată
transfer(net)
Rază
acţiune
Frecvenţă Acces
hotspot
Perdere
semnal
Interferenţă Costuri
802.11b 5Mbps cca 30
m
2.4 Ghz foarte
bun
scăzută ridicată scăzute
802.11g 20Mbps cca 50
m
2.4 GHz foarte
bun
scăzută ridicată medii
802.11a 22Mbps cca 30
m
5.0 GHz slab ridicată scăzută ridicate
Bluetooth 500kbps cca 10
m
2.4 GHz slab scăzută ridicată medii
Table 3:Cele patru standarde radio pentru reţeaua privată
802.11g mult timp considerat urmaşul puternic al lui 802.11b, a fost ratificat în iunie
2003, însă producătorii au lansat (cu multe luni înainte) pe piaţă serii întregi de produse bazate
pe standardul încă neoficializat. Rezultatul: un imens update de firmware, pentru ca
dispozitivele să se ridice la înălţimea specificaţiilor de ultim moment. 802.1lg are două
caracteristici remarcabile, responsabile pentru poziţia sa dominantă în lumea wireless: ratamare de transfer, efectivă, de 22 Mbps şi compatibilitatea în jos, cu 802.11b. Versiunea g a
standardului operează pe aceeaşi bandă de frecvenţă ca şi b-ul. Aceste avantaje fac din 802.llg
prima opţiune, nu doar la realizarea de la zero a unui WLAN, ci şi pentru extinderea unei reţele
wireless existente. Singurul minus al standardului este utilizarea domeniului de frecvente de 2,4
GHz, interval destul de aglomerat de aparate de monitorizare pentru bebeluşi, telefoane fără fir,
Bluetooth şi cuptoare cu microunde.
În ceea ce priveşte transferul de date, tehnicile wireless nu pot ţine pasul cu o reţeaEthernet, din cauză că viteza scade de îndată ce între doi participanţi la comunicarea radio
intervine un obstacol (un perete, de exemplu). De aceea, în practică ratele de transfer efective
(nete) sunt aproape întotdeauna mai mici faţă de valorile no
minale. Din cauza inevitabilelor
pierderi de semnal, reflexii, interferenţe şi alte per
turbări, ratele de transfer reale află, în medie,
undeva pe la 50% din valoarea teoretic posibilă (brută). În cazul distanţelor crescânde,
conexiunea nu se întrerupe la fiecare perturbare apărută, ci devine mai lentă coborând la nivelul
anterior de performanţă (fallback rate ), datorită programelor de corectare a erorilor.
O mai amplă discuţie asupra modului de funcţionare si a caracteristicilor diferitelor
standarde folosite în cadrul reţelelor fără fir va fi realizată in continuare.
2.3.2 Tehnologii wireless
IrDAUna din primele soluţii destinate comunicării wireless între calculatoare a fost
tehnologia IrDA (prin infraroşu , asemănător principiului pe care funcţionează
telecomenzile) .Standardele acestei tehnologii sunt gestionate de Infrared Data Association ,
organizaţie fondată în 1993 . Avantajul unei implementări ieftine şi usoare este umbrit însă de
dificultăţile tehnice de comunicare (deoarece necesită o linie dreaptă între senzori , fără
obstacole ) şi rate mici de transfer de maxim 115.2 kb/s . Din aceste motive tehnologia IrDA nu
poate fi luată în considerare decât în comunicaţia calculatorului cu perifericele ( imprimanta ,
tastatura , mouse , telecomanda s.a. ) şi în nici un caz pentru realizarea unei reţele.
Bluetooth - Dintele Albastru
În 1998 , IBM , Nokia , Intel şi Toshiba au format Bluetooth Special Interest Group ce a
dezvoltat şi susţinut tehnologia Bluetooth . Ea are specificaţii accesibile tuturor ( open
standard ) şi este destinat transmisiunilor de date şi voce între dispozitivele mobile – telefon
mobil , notebook , PDA , hands-free - pe distanţă nu mai mare de 10 metri . Suportă aplicaţii
care comunică cu două sau mai multe dispozitive şi oferă o rată de transfer de până la 720
kb/s . Interferenţele cu alte frecvenţe cauzează o scădere a vitezei de transfer, dar comunicaţia
nu este încă întreruptă . Nu necesită o linie dreaptă între senzori , iar cu amplificatoare speciale
distanţa de comunicare poate fi mărită până la 100 de metri . Bluetooth foloseşte unde radio
omnidirecţionale în banda de 2.4 GHz ce se pot transmite prin pereţi sau alte obstacole ce nu
sunt din metal . Iniţial aproape numeni nu a pus la îndoială succesul acestei tehnologii datorită
marilor nume implicate în proiect . Din tendinţa mondială se poate anticipa o reuşită cu mult
sub aşteptările iniţiale ale tehnologiei Bluetooth .
În 1997 , a apărut standardul de comunicaţie 802.11 destinat dezvoltării echipamentelor
de reţea care să permită transferuri de date folosind banda de radio frecvenţă nelicenţiată de 2,4
GHz şi la scurt timp varianta 802.11b a aceluiaşi standard , care permite rate de transfer de
până la 11 Mbps. Ca o consecinţă firească furnizorii au început să producă puncte de acces şi
plăci de reţea conforme acestui standard . Din cauza cererii scăzânde a utilizatorului final faţă
de noile servicii şi aplicaţii care rulează pe Internet (sunet , imagine , video , reţele de stocare,
etc.) şi a necesarului din ce în ce mai mare faţă de lăţimea de bandă s-a impus definirea unuinou standard pentru reţelele de radiofrecvenţă care să facă faţă acestor noi cerinţe . Ca urmare ,
Tehnica DSSS multiplică mesajul limitat al benzii, înainte de a fi trimis de către
transmiţător, cu un semnal cu o lăţime a benzii mai mare, care este de obicei un cod
pseudoaleator. Aceasta duce la mărirea spectrului. Trăsăturile esenţiale ale DSSS sunt:
Operează în banda de 2,4 GHz, la o rată de transmisie de 1 sau 2 Mbps.Pentru a lucra la diverse viteze sunt utilizate tehnici de modulare de tip PSK (Phase
Shift Key)
Pentru a împrăştia datele, înainte de a le transmite, sunt folosite 11 fragmente de cadre
de tip Barker.
DSSS foloseşte întreg spectrul odată.
Principiul DSSS este de a împrăştia semnalul pe o bandă mai largă prin multiplexarea
lui cu o semnătură (codul) pentru a minimiza interferenţa localizată şi zgomotul de fundal.
FHSS - Împrăştierea spectrului prin saltul în frecvenţă (FHSS-Frequency Hopping
Spread Spectrum)
FHSS foloseşte un set de canale înguste pe care le schimbă succesiv. De exemplu,
banda ISM la 2,4 GHz este împărţită în 79 de canale de 1 MHz. în mod periodic (de obicei de
la fiecare 20 la 400 ms), sistemul 'sare' la un nou canal, urmând un model ciclic de salturi,
predeterminat.
FHSS are un uşor avantaj faţă de DSSS şi anume în cazul unei interferenţe foarte
înguste prezentă pe bandă, FHSS va pierde unele "salturi" dar va avea alte salturi pe frecvenţele
bune. De asemenea, dacă zgomotul este mai puternic decât semnalul recepţionat sistemul DSSS
nu poate recupera mesajul.
FHSS introduce mai multe complicaţii la subnivelul MAC şi anume: căutarea reţelei la
iniţializare (o ţintă în mişcare), păstrarea sincronizării nodurilor, dirijarea salturilor. Această
creştere a complexităţii subnivelului MAC necesită informaţie în plus şi duce ia scăderea
performanţei sistemului. Există o informaţie în plus de management folosită pentru a dirija
sincronizarea şi sunt câţiva timpi morţi în transmisie când sistemul realizează salturile în teorie,
acestea pot fi păstrate la minim.
Sistemul FHSS trebuie să insereze biţi de umplere în fiecare pachet (pentru a evita
şirurile lungi de 0 sau 1) adăugând mai multă informaţie în plus(overhead).
Tehnica FHSS poate acoperi mult mai multe sisteme independente, aflate în aceeaşi
zonă, decât tehnica DSSS, prin folosirea diferitelor modele de salt (de exemplu, până la 15
pentru Range Lan2). Pe de altă parte, modelele diferite de salt ale FHSS pot coliziona pe
aceeaşi frecvenţă (sau adiacente) din timp în timp. Coliziunea modelelor FHSS poate să reducă
debitul util(throughput-ul) în mod semnificativ. De asemenea, sistemele colizionând pe aceeaşi
frecvenţă (sau adiacentă) vor trebui să împartă lăţimea de bandă între ele.
OFDM - Tehnica de modulare ortogonală cu divizarea frecvenţei
Standardul 802.11a foloseşte tehnica de modulare OFDM (Orthogonal FrequencyDivision Multiplexing ) , care asigură mai multe canale independente de comunicaţie şi rate de
transfer mai ridicate , faţă de transmisia în spectru împrăştiat ( Direct Sequencing Spread
Spectrum ) , care este folosită de standardul 802.11b . Rata de transfer ridicată se obţine prin
combinarea mai multor subcanale cu viteze scăzute într-un singur canal de comunicaţie cu
viteza ridicată . Datorită schemei OFDM , sunt definite în cadrul primelor două domenii 8
canale a câte 20 MHz fiecare , acestea fiind divizate la rândul lor în 52 de subcanale cu lăţimea
aproximativă de 300 KHz .
O purtătoare de semnal OFDM este o sumă de sub-purtătoare ortogonale, cu banda de
bază, pe fiecare sub-purtătoare modulată independent, de obicei prin utilizarea unei modulaţii
cuadratură în amplitudine (QAM) sau modulaţie cu salt în fază (PSK). Acest semnal compozit
în banda de bază, este de obicei folosit pentru a modula o purtătoare RF.
O problemă care apare în mod special în cazul semnalelor de radiofrecvenţă care sunt
transmise în interiorul clădirilor este fenomenul de reflexie a semnalui de pe diferite obiecte ,
structuri , persoane , etc. Când semnalul iniţial este transmis de la emiţător acesta se propagă ,
ajungând să lovească obiectele din mediul înconjurător şi să se reflecte pe acestea ; există
posibilitatea ca la recepţie semnalul original să ajungă în acelaşi timp cu unul dintre semnalele
reflectate ; în functie de cum se suprapun semnalele recepţionate , acestea se pot anula sau
creşte în amplitudine , fenomen care nu este deloc benefic pentru calitatea semnalului care
trebuie recepţionat . Această problemă este rezolvată prin folosirea unui circuit care detectează
şi filtrează semnalele reflectate . Vitezele de transfer atinse pot fi de 6 , 12 , 24, 54 , sau chiar
100 Mbps , în funcţie de folosirea anumitor tehnici de modulaţie şi a diverselor tehnici
corectoare de eroare utilizate . Dacă din anumite considerente puterea semnalului radio scade
sub o anumită valoare , va scădea şi viteza de comunicaţie la o valoare inferioară .
Avantaje OFDM:
Eficienţă mare a spectrului
Rezistenţă la interferenţa
Înlăturare uşoară a zgomotului (dacă un şir de frecvenţe suferă interferente, purtătoarele
din acel şir, pot fi anulate sau pot fi incetinite)
Standardul 802.11a şi reglementările FCC în materie de spectru de frecvenţe sunt bine
fundamentate. O mare diferenţă în cazul lui 802.11a este aceea că operează în banda de
frecvenţă de 5 GHz, cu 12 canale de frecvenţă separate care nu se suprapun. Ca urmare, putem
avea până la 12 puncte de acces setate pe diferite canale în acelaşi spaţiu, fără ca ele săinterfereze. Acest lucru simplifică mult alocarea canalelor şi măreşte semnificativ traficul pe
care o reţea WLAN îl poate susţine pe o anumită arie de acoperire. În plus, interferenţa RF este
mult mai puţin probabilă şi din cauza faptului că banda de frecvenţă de 5 GHz este mai puţin
aglomerată.
Similar cu 802.11g, 802.11a oferă rate de transfer de până la 54 Mbps, care se pot chiar
extinde, prin combinarea canalelor. Din cauza frecvenţei mai mari, totuşi, aria de acoperire este
oarecum mai mică decât la sistemele care funcţionează pe frecvenţe mai mici ( 802.11b şi
802.11g). Acest lucru măreşte costurile globale de operare a reţelei, întrucât este nevoie de un
număr mai mare de puncte de acces, însă aria de acoperire mai mică permite şi un trafic mai
mare în arii restrânse, printr-o mai bună reutilizare a canalelor.
O problemă uriaşă a standardului 802.11a este aceea că nu este direct compatibil cu
reţelele 802.11b sau 802.11g. Cu alte cuvinte, un utilizator echipat cu un card radio 802.11b
sau 802.11g nu va putea interfaţa direct cu un punct de acces 802.11 apărând probleme de
interoperabilitate. Soluţia pentru această problemă va veni atunci când, eventual, cardurile
multimod vor deveni o normă pentru toţi producătorii.
O mică concluzie privind standardul de comunicare 802.11a e că el a reprezentat un pas
pentru reţelele locale de radiofrecvenţă , asigurând viteze de transfer de 54 Mbps sau chiar mai
mult . Din punct de vedere al ariei de acoperire 802.11a este aproape identic cu 802.11b însă
asigură viteze de transfer net superioare . Banda de frecvenţe de 5 GHz nu este încă
suprasaturată , lucru care nu se poate spune şi despre banda de 2,4 GHz în care operează
echipamentele conforme 802.11b , alături de o parte a dispozitivelor de comunicaţie şi/sau a
aparatelor electrocasnice ( telefoane celulare , cuptoare cu microunde , alte reţele radio , etc.) .
Tehologia 802.11a constituie o soluţie pentru cei care au nevoie de o conexiune în bandă largă
la o reţea locală sau la Internet prin radiofrecvenţă.
802.11b
Standardul 802.11b a fost elaborat de Institute of Electrical and Electronics Engineer
(IEEE) şi adoptat de Wireless Ethernet Compatibility Alliance (WECA). WECA testează
compatibilitatea şi interoperabilitatea produselor cu standardul 802.11b, certificându-le pe cele
WiMAX se bazează pe specificaţia IEEE 802.16. Acest standard de transmisie radio a
fost conceput în 2001 pentru aşa-numita Metropolitan Area Network (MAN) în scopul
transferului de date în oraşele mai mari prin intermediul unei conexiuni LOS (Line Of Sight).
Anul 2003 a pus pe tapet o nouă idee şi anume aceea de a implementa standardul şi laechipamentele portabile pentru end-useri. în această idee, sub oblăduirea celor de la Intel a
apărut entitatea WiMAX Forum, la care au aderat peste 200 de companii, printre care concerne
precum Siemens mobile, Fujitsu, AT&T, British Telecom şi Nokia. In acelaşi an, Forumul a
adoptat standardele 802.16a şi 802.16REVd. S-a născut astfel noua tehnologie cunoscută sub
numele de WiMAX. Ambele specificaţii au fost reunite, în iulie 2004, în standardul 802.16-
2004. Conexiunile NLOS (Non Line Of Sight) au fost nominalizate în premieră ca atare:
transmiterea datelor nu mai depindea de obstacolele existente, mai mult, antena receiver-ului
putând fi montată pe peretele exterior sau chiar în interiorul locuinţei.
Deosebirea fundamentală între WiMAX şi Wi-Fi este aceea că cele două tehnologii
sunt destinate unor aplicaţii diferite.
WiMAX - acronimul Worldwide Interoperability for Microwave Access şi numele
popular al standardului de reţea metropolitană wireless 802.16 - pare să fie viitorul
comunicaţiilor wireless.
WiMAX este un standard wireless de bandă largă care se bucură de un larg sprijin din
partea industriei calculatoarelor şi telecomunicaţiilor din întreaga lume, fapt pentru care această
tehnologie porneşte cu un atu important: accesibilitatea.
WiMAX este proiectat să aducă operatorilor şi utilizatorilor din diverse domenii
beneficii semnificative, atât pe termen scurt cât şi pe perioadă mai îndelungată.
Pentru a transfera pachetele de date în deplină siguranţă, WiMAX utilizează aşa-numita
modulare OFDM (Orthogonal Frequency Division Multiplexing). Astfel, modulaţia semnalului
se produce paralel şi nu serial, cum se întâmplă de obicei în cazul reţelelor wireless bazate pe
standardul 802.11b. Prin urmare, informaţia transportată de fiecare semnal individual paralel
este mai stabilă în aer decât în cazul unei proceduri seriale Single-Carrier.
Figura 2.6 Modulaţie OFDM:Dacă semnalul slăbeşte , eventual la interacţiunea cu
pereţii clădirilor ,el poate fi recuperat cu uşurinţă graţie “valabilităţii” de lunga durată
Pentru o mai bună comparaţie, ne putem închipui o autostradă cu mai multe benzi: dacăo bandă iese din circulaţie, traficul este direcţionat pe celelalte benzi libere. Pentru traficul de
date acest lucru înseamnă că, dacă semnalul carrier slăbeşte în baza efectelor run-time (reflexii
multiple sau caracteristică direcţională lipsă), OFDM pune la dispoziţie mai multe frecvenţe pe
post de „benzi" libere, astfel încât traficul să rămână fluid. Aceasta se reflectă în raze de
acţiune şi bitrate mai mari, lucru evidenţiat şi de standardele 802.11a şi g, care folosesc în
prezent această modulare. Un sistem 802.16a este de re
gulă împărţit în cinci canale a câte 20
MHz, într-o bandă de frecvenţe de la 5,725 până la 5,825 GHz. Fiecare dintre aceste canale de20 MHz echivalează cu lăţimi de bandă de circa 75 Mbps. Pentru a continua comparaţia, acest
lucru corespunde unei autostrăzi cu cinci benzi. Capacitatea teoretică a întregii benzi de 100
MHz însumează aşadar 375 Mbps.
Graţie aşa-numitei Adaptative Modulation, WiMAX dispune de o tehnologie cu
ajutorul căreia, în funcţie de calitatea conexiunii, pot fi utilizate diferite scheme de modulaţie.
Transmiţătorul trece (calitate bună) la procedura 64-QAM (6 biţi de informaţie per semnal
carrier), iar la semnal slab utilizează procedurile BPSK (binary phase modulation) care
garantează securitatea recepţionării la bitrate mic.
de bază dintr-o configuraţie punct-la-punct poate utiliza o antenă unidirecţională pentru a
acoperi o distanţă mai mare.
Securitate mare - WiMAX suportă standardele AES (Advanced Encryption Standard) şi
3DES (Triple DES, unde DES este abrevierea Data Encryption Standard). Prin criptarealegăturilor dintre staţia de bază şi staţiile abonat, WiMAX asigură abonaţilor intimitatea şi
securitatea de-a lungul interfeţei wireless de bandă largă. De asemenea, securitatea oferă
operatorilor o bună protecţie împotriva furturilor de serviciu. WiMAX mai înglobează suport
VLAN, care asigură protecţia datelor transmise de diferiţi utilizatori care folosesc aceeaşi staţie
de bază.
Calitatea serviciului - WiMAX poate fi optimizat dinamic pentru mixarea traficului.
Sunt suportate patru tipuri de servicii:
Instalare rapidă - În comparaţie cu instalarea soluţiilor cablate, instalarea WiMAX nu
necesită construcţii externe importante, cum sunt săpăturile pentru plasarea cablurilor.
Operatorii care au obţinut deja licenţă pentru utilizarea benzilor alocate nu trebuie să ceară din
nou licenţă de utilizare. O dată instalate antena, echipamentele de comunicaţie şi de alimentare
cu energie electrică, WiMAX este gata de funcţionare. În majoritatea cazurilor, instalarea unei
reţele WiMAX este o treabă de câteva ore, comparativ cu instalarea altor soluţii care pot dura
luni de zile.
Serviciu multinivel - Maniera de livrare a calităţii serviciului este în general bazată pe
acordul dintre furnizorul de serviciu şi utilizatorul acestuia, Service Level Agreement (SLA).
Un furnizor de servicii poate oferi diferite SLA-uri diverşilor abonaţi sau chiar utilizatorilor
diferiţi ai aceleiaşi staţii abonat.
Interoperabilitate - WiMAX se bazează pe standarde neutre, internaţionale. Prin urmare
utilizatorii îşi pot transporta şi folosi cu uşurinţă staţiile abonat în diverse locaţii, conectaţi la
diverşi furnizori de servicii. Interoperabilitatea protejează investiţiile operatorilor deoarece
aceştia îşi pot alege echipamentele de la diverşi furnizori, achiziţiile făcute amortizându-se
rapid pe măsură ce serviciile sunt consumate de tot mai mulţi abonaţi.
Portabilitate - Ca şi actualele sisteme celulare, o staţie abonat WiMAX, o dată pusă în
funcţiune, se identifică, determină caracteristicile legăturii cu staţia de bază şi dacă staţia
abonat se află în baza de date a staţiei de bază, îşi negociază corespunzător caracteristicile de
transmisie.
Mobilitate - Amendamentul IEEE 802.16e a adus caracteristici cheie în sprijinul
mobilităţii. Îmbunătăţirile au fost operate la nivelurile fizice OFDM şi OFDMA, oferindu-sesuport echipamentelor şi serviciilor în medii mobile. Aceste îmbunătăţiri - care includ
BPSK, QPSK, 16-QAM, şi 64-QAM. Iar echipate cu un amplificator de putere mare şi operând
la un nivel scăzut de modulaţie (de exemplu BPSK sau QPSK), sistemele WiMAX pot acoperi
arii geografice mari atunci când nu există obstacole între staţia de bază şi staţia abonat.
Operarea Non-Line-of-Sight - NLOS se referă la calea radio a cărei zonă Fresnel este
complet blocată. Deoarece WiMAX foloseşte tehnologia OFDM, are capacitatea de a funcţiona
şi în mediile obstrucţionate, asigurând o lăţime de bandă largă, chiar şi în astfel de medii unde
alte produse wireless nu se pot descurca.
Capacitate mare - Folosind o modulaţie superioară (64-QAM) şi o lăţime de bandă a
canalului (momentan de 7 MHz, dar posibil mai mare în viitoarele standarde IEEE şi ETSI),
sistemele WiMAX pot oferi utilizatorilor o bandă de transfer apreciabilă.
Wi-Fi şi WiMAX
O dată cu recunoaşterea potenţialului WiMAX, această tehnologie este justificat
comparată cu Wi-Fi. Chiar dacă cele două tehnologii wireless au în comun anumite
caracteristici tehnice, acestea abordează spaţiul radio din perspective complet diferite.
Deosebirea fundamentală între WiMAX şi Wi-Fi este aceea că cele două tehnologii
sunt destinate unor aplicaţii total diferite. Wi-Fi este o tehnologie de reţea locală care duce
mobilitate reţelelor locale cablate. Pe de altă parte, WiMAX a fost gândită să ofere un serviciu
de acces wireless pe arie metropolitană şi de bandă largă (BWA - broadband wireless access).
Ideea din spatele accesului wireless de bandă largă este aceea de a oferi un serviciu de acces la
Internet care să concureze cu alte servicii similare, prin cablu sau DSL. În timp ce Wi-Fi
acoperă distanţe de maxim câteva sute de metri, sistemele WiMAX acoperă distanţe de până la
48 km.
Pe lângă diferenţa privind aria de acoperire a transmisiei, există o serie de îmbunătăţiriale legăturii radio ce diferenţiază WiMAX de Wi-Fi. Standardele de reţea wireless IEEE 802.11
descriu patru interfeţe de legătură radio ce operează în benzile radio nelicenţiate de 2,4 GHz
sau 5 GHz
Standardele WiMAX includ o gamă mult mai mare de implementări posibile care să
sprijine cerinţele de comunicaţie din întreaga lume. Versiunea originală a standardului 802.16,lansată în decembrie 2001, se adresa sistemelor care operau în banda de frecvenţă de 66GHz.
Dar aceste frecvenţe înalte necesitau vizibilitate directă cu staţia de bază, ceea ce limita
posibilităţile staţiei abonat. Mai mult, la adăugarea în reţea a unei noi celule, antenele client
trebuiau reglate din nou.
Versiunea 802.16a a standardului - care descrie sistemele cu operare între 2 GHz şi 11
GHz - a apărut în ianuarie 2003. Frecvenţele mai scăzute permit suportul pentru NLOS,
eliminând necesitatea alinierii antenei client cu cea a staţiei de bază.
În timp ce toate implementările Wi-Fi folosesc benzi de frecvenţă nelicenţiate, WiMAX
poate opera atât în spectrul licenţiat, cât şi cel nelicenţiat.
Date fiind vitezele suportate de canalul său de 25 MHz (de la 1 Mbps la 11 Mbps),
802.11b are o eficienţă a benzii de transfer între 0,04 şi 0,44 bps/Hertz. Transmisia la 54 Mbps
pe canalul de 25 MHz a standardului 802.11a sau pe canalul de 20 MHz a versiunii 802.11g
oferă o eficienţă a benzii de transfer cuprinsă între 0,24 şi 2,7 bps/Hertz. În cazul WiMAX,
combinaţia dintre modulaţie şi schemele de codare asigură o eficienţă de până la 5 bps/Hertz.
Comparaţie între tehnologiile WiMAX şi Wi-FiWiMax (802.16a) Wi-Fi
Legǎturile dintre noduri sunt foarte susceptibile la atacuri care includ: eavesdroping
pasiv(interceptarea şi citirea mesajelor sau a oricărui tip de date), „scurgerea” informaţiilor
secrete, distorsiunea mesajelor, răspunderea la mesaje sau negarea acestui serviciu.
Reţelele wireless nu au un nod specializat cum ar fi un server ceea ce ar face ca reţeauasă fie mult mai vulnerabilă. Pe de altã parte nu existǎ un punct care sǎ stabilească cheile.
Dinamica reţelelor wireless poate crea probleme în ceea ce priveşte, de exemplu,
managementul cheilor, dacă se foloseşte criptografie în protocolul de rutare. Standardele de
securitate nu sunt suficiente în acest caz deoarece sunt în mare parte valabile pentru reţelele
configurate static. Este de aceea nevoie ca soluţiile de securitate să se schimbe dinamic o dată
cu topologia în schimbare şi mişcarea nodurilor în reţea şi din afara reţelei.
În cele din urmă trebuie luat în calcul şi scalabilitatea reţelei, întrucât o reţea wireless
poate conţine sute chiar mii de noduri. Trebuie avut în vedere servicii de securitate cum ar fi
managementul cheilor din punctul de vedere al modificării scalabilităţii.
Politicile de securitate tradiţionale ale reţelelor cu fir trebuie portate şi pe infrastructura
wireless. Fără a fi partizanii unei anumite soluţii, observăm existenţa mai multor standarde de
nivel enterprise, precum EAP (Extensible Authentication Protocol) , RADIUS(Remote
Authentication Dial In User Service) şi VPN (
virtual private network) , care sunt disponibile în
oferta mai multor producători de echipamente. Soluţiile de securitate pot fi diferite, depinzând
de tipul de control asupra cardurilor client.
Securitatea de bază a reţelelor wireless este asigurată de următoarele funcţii
implementate:
SSID (Service Set Identifiers);
WEP (Wired Equivalent Privacy);
Verificarea adresei MAC (Media Acces Control).
Utilizarea WPA în loc de WEP
3rd party device – soluţii de tip enterprise EAP, RADIUS, VPN
Combinarea funcţiilor enumerate mai sus
Vom enumera în continuare principalele ameninţări la adresa reţelelor wireless si
breşele de securitate urmărite de eventuali atacatori asupra uneri reţele wireless.
1. Terenul necunoscut
Marea diferenţă dintre reţelele cablate şi reţelele fără fir o reprezintă aria necunoscută şi
necontrolată dintre puctele de acoperire a reţelei. În cadrul WAN (Wide Area Networks),
mediul wireless nu poate fi controlat deloc .Tehnologiile wireless actuale oferă un controlscăzut acupra ariei de acoperire a unei reţele wireless . Acest lucru a oferit posibilitatea
atacatorilor din imediata vecinătate a reţelei wirelss şă realizeze diferite atacuri care nu pot fi
găsite în cadrul reţelelor cablate obişnuite .
2. Eavesdropping
Cea mai răspândită şi mai cunoscută problemă a unui sistem de tip open şi necontrolataşa cum este tehnologia wireless este aceea că este susceptibilă la atacuri anonime. Atacatorul
anonim poate intercepta semnale radio şi să demoduleze aceste semnale pentru a obţine datele
transmise . Testele recente au arătat că un atacator poate să se afle şi la o distanţă de 20 mile
pentru şi tot poate recepţiona semnal şi implicit de a intercepta semnalul respectiv.
Figura 3.1 Eavesdropping
Echipamentul necesar pentru e realiza eavesdropping asupra uner reţele poate fi la fel
de simplu ca şi echipamentul necesar pentru a accesa reţeaua. Cu unele mici modificări
dispozitivele pot fi configurate pentru a captura tot traficul din cadrul unui canal de
comunicaţie sau frecvenţă. Atacatorul doar trebuie să fie poziţionat în apropierea
transmiţătorului pentru a putea intercepta datele transmise. Folosirea de antene şiamplificatoare pot uşura munca de interceptare a atacatorului ne mai fiind necesară
poziţionarea acestuia în apropierea sursei de semnal.
Eavesdropping este folosit pentru a aduna informaţie din cadrul reţelei aflate sub atac.
Scopurile principale sunt de a înţelege cine foloseşte reţeaua , ce este accesibil , care sunt
capacităţile tehnice ale echipamentelor din cadrul reţelei , când este folosită mai mult sau mai
puţin şi ce arie de acoperire are reţeaua respectivă. Aceste informaţii sunt necesare pentru a
lansa un atac asupra reţelei. Multe protocoale transmit date importante cum sunt parole şi nume
de utilizatori iar aceste date sunt de tip cleartext. Chiar şi o comunicaţie care foloseşte ca
metodă de întărire a securităţii criptarea datelor , un hacker poate intercepta aceste date şi
decifra pentru a obţine informaţiile de care are nevoie. Mulţi algoritmi de criptare aşa cum erau
Microsoft NTLM pot fi uşor sparte.
Eavesdropping-ul activ este posibil când un atacator se poate conecta la o reţeawireless. Eavesdropping-ul activ asupra unei reţele wireless LAN implică spoofing la nivel
ARP (Address Resolution Protocol) . Această tehnică a fost dezvoltată pentru a testa şi scana
reţele de switc uri. În esenţă acesta este de fapt un atac de tip MITM ( man in the middle ) la
nivel de legătură de date . Atacatorul trimite o cerere ARP către staţiile ţintă din cadrul reţelei
care acestea vor trimite ca răspuns tot traficul cătr atacator care apoi va redirecţiona pachetele
către destinaţie după ce în prealabil a obţinut informaţiile de care avea nevoie .
3. Bruiajul comunicaţiilor
Bruiajul apare în momentul în care o interferenţă intenţionată sau neintenţionată
depăşeşte din punct de vedere al puterii semnalului destinatarul sau expeditorul din cadrul unei
comunicaţii , făcând astfel legătura de comuiucaţie nefolositoare . Un atacator poate crea
bruiajul în mai multe moduri.
4.Denial of Service (DoS) jamming
Bruiajul întregii reţele poate cauza un atac de tip DoS (Denial of Service). Atât staţiile
de bază cât şi clienţii sunt blocaţi din cauza volumului mare de semnale astfel încât
comunicaţia devine inutilă . Majoritatea reţelelor wireless folosesc frecvenţe nelicenţiate fiind
subiectul interferenţelor provocate de o multitudine de dispozitive electronice.
5.Inserarea şi modificare de date
Atacurile de tip inserare de date apar în momentul în care un atacator injectează date în
cadrul unei conexiuni deja existente cu scopul de a deturna conexiunea sau de a trimite
informaţii eronate. Un atacator poate manipula measjele de control şi secvenţe de date inserând
pachete sau comenzi către o staţie si vice versa. Atacurile de aceste tip pot fi folosite pentru
DoS. Un atacator deasemenea poate bloca cu informaţii un acces point cu mesaje de conectare
cum sunt routere , switch-uri , servere sunt primele ţinte ale unui atacator. Mulţi administratori
de reţea se bazează pe securitatea furnizată de nivelul 2 de lagătură aşa cum sunt VLAN
(virtual LAN) , pentru a seapara reţelele wireless de cele cablate. Există o mulţime de atacuri
documentate care pot fi folosite pentrua păcăli securitatea furnizată de reţelele VLAN . Existămai multe atacuri aşa cum sunt : atacuri asupra switch-urilor atacuri asupra adresei MAC şi
atacuri asupra routerelor.
10. Ameninţări criptografice
Reţelele wireless de tip Ethernet ca şi reţelele CDMA sau reţelele celulare GSM
folosesc mecanisme criptografice pentru a împiedica procesul de eavesdropping şi să oprească
utilizarea reţelei fără permisiuni. Wired Equivalent Privacy (WEP) este un astfel de mecanism
criptografic realizat pentru a oferi securitate reţelelor 802.11. Greşelile de implementare şi
problemele de management a cheilor au demonstrat inutilitatea acestui mecanism. WEP a fost
realizat cu o singură cheie statică care era folosită de majoritatea utilizatorilor. O examinare a
implementării algoritmului RC4 în cadrul WEP a evidenţiat slăbiciuni care ofereau posibilitatea
atacatorului să identifice cheia după ce captura o cantitate minimă de trafic. Unelte şi metode
disponibile pe Internet oferă posibilitatea unui atacator să identifice cheia de acces la o reţea în
câteva ore. De aceea WEP nu reprezintă o măsură de încredere care să ofere autentificare şi
confidenţialitate unei reţele wireless. Totuşi folosirea acestor metode criptografice este o
soluţie mai bună decât neutilizarea lor, dar datorită vulnerabilităţilor cunoscute de toţi sunt
necesare metode suplimentare de întărire a WEP . Toate comunicaţiile wireless fac subiectul
atacurilor de tip eavesdropping în faza de contact , de stabilire a conexiunii , de sesiune de
comunicaţie sau de terminare a sesiunii de comunicaţie.
Concluzie : Înţelegerea ameninţărilor care apar la adresa tehmologiilor wireless
reprezintă primul pas în sensul securizării implementărilor wireless. Avantajul folosiri reţelelor
wireless este imens. De aceea aceste ameninţări trebuie luata în considereare, dar acestea nu
trebuie să oprească dezvoltarea tehnologiilor wireless. Doar adoptare unor simple măsuri de
securitate poate reduce dramatic impactul pe care îl pot avea multe dintre atacurile obişnuite
asupra unei reţele wireless.
3.2 Cerinţele securităţii
3.2.1. Disponibilitate
Disponibilitatea înseamnă că serviciile asigurate de nod sunt asigurate chiar dacă au loc
atacuri. Nodurile trebuie să fie disponibile în orice moment.3.2.2 Autenticitate
Autentificarea se traduce prin confirmarea că părţile participante la comunicaţie sunt
veritabile şi nu sunt impostori
Confidenţialitate
Un intrus nu ar trebui să aibă acces la informaţiile în tranzit între noduri. Pentru
confidenţialitate este necesar pentru a preveni noduri intermediare sau neautorizate să înţeleagă
pachetele care se transmit.
Integritate
Integritatea constă în garanţia că mesajul sau pachetul care e trimis nu a fost modificat
în tranzit. Un mesaj poate fi corupt nu datorită atacurilor maliţioase ci mai datorită funcţionării
proaste a propagării radio, dar există întotdeauna posibilitatea ca un adversar să modifice
conţinutul datelor.
Nonrepudiere
Nonrepudierea constă în imposibilitatea unui expeditor nu poate refuza trimiterea
informaţiilor şi destinatarul nu poate refuza recepţia. Acest lucru este folositor atunci când e
nevoie pentru detectarea şi izolarea nodurilor compromise. Orice nod care primeşte un mesaj
eronat poate acuza expeditorul şi să convingă şi alte noduri de nodul compromis.
Ordonare
Update-urile primite de la ruter sunt ordonate, iar dacă acest lucru nu se întâmplă poate
fi afectat algoritmul de rutare. Mesajul nu reflectă statul real al reţelei şi poate propaga
informaţii false.
Atemporalitate
Mesajele de update pot ajunge târziu s-ar putea să nu reflecte stadiul legăturilor şi
ruterelor reţelei. Dacă un nod care distribuie informaţie intre două componente ale reţelei este
raportat ca fiind „jos” atunci mari părţi ale reţelei devin inaccesibile.
Izolare
Izolarea necesită ca protocolul să fie capabil să identifice „buclucaşe” şi să le clasezeincapabile să interfere în rutare. Protocolul de rutare ar trebui să fie imun la nodurile maliţioase.
Unui nod autorizat sau un utilizator autorizat îi este emis un certificat imposibil defalsificat de către autoritatea de certificare. Aceste certificare conţin specificaţii în ceea ce
priveşte privilegiile. Certificatele nu sunt folosite în protocolul de rutare a pachetelor şi fiecare
pachet poate face modificări în tabela de rutare.
Secretizarea locaţiei
Protocolul de rutare ar trebui să păstreze secretă locaţia nodurilor şi structura reţelei.
Autostabilizare
Orice protocol de rutare ar trebui să fie capabil să se recupereze după orice problemă
într-un timp limitat fără intervenţia umană.
Robusteţe bizantină
Un protocol de rutare trebuie să fie capabil să funcţioneze corect chiar dacă nodurile
participante în rutare intenţionat bruiază această operaţiune. Robusteţea bizantină se poate
interpreta ca o variată mai strictă de autostabilizare ceea ce înseamnă că un protocol de rutare
nu trebuie numai să se refacă în urma unui atac, ci nu ar trebui să-şi oprească funcţionarea în
timpul unui atac.
Anonimatul
Nici un nod mobil nu ar trebui să dezvăluie date care să permită sustragerea de
informaţii în legătură cu proprietarul sau utilizatorul curent.
Managementul cheilor
Serviciul de management al cheilor trebuie să aibă următoarele proprietăţi:
Modelul de încredere (câte elemente din reţea pot avea încredere unul în altul şi relaţiile
Controlul accesului se referă la managerierea modului în care utilizatori sau utilizatori
virtuali cum ar fi procesele sistemelor de operare pot avea acces la date. Numai nodurileautorizate pot forma, distruge sau a se alătura grupurilor. Sunt mai multe concepţii în ceea ce
priveşte controlul accesului:
Discreionary Acces Control (DAC) oferă mijloace prin care se defineşte controlul
accesului la utilizatori;
Mandatory Acces Control (MAC) implică mecanisme centralizate care controlează
accesul la obiecte cu poliţă de autorizaţie.
Role Based Acces Control (RBAC) aplică conceptul de roluri în ceea ce priveşte
subiectele şi obiectele.
Protocoale de securitate (elemente de criptografie şi protocoale de securitate ale
reţelelor wireless)
În dezvoltarea standardului 802.11 a fost urmărit ca model de bază modelul OSI.
Ethernet-ul wireless a fost realizat ca o variantă care să înlocuiască Ethernet-ul implementat în
cadrul reţelelor cablate. Din această cauză întregul protocol există pe legătura de date şi
legătura fizică a modelului OSI. Cu toate că sunt deja ani îndelungaţi de implementare a
securităţii în cadrul reţelelor wireless , puţine soluţii au fost realizate la nivel de reţea. Ca
rezultat nici un protocol de securitate nu a putut fi implementat la nivel fizic sau de legătură de
date. De aceea noi mecanisme de securitate au fost create care să asigure o integritate şi o
confidenţialitate sporită a datelor vehiculate în reţea. Expansiunea continuă a reţelelor fără fir a
determinat o nevoie continuă de dezvoltare a măsurilor de securitate întrucât reţelele wireless
eu devenit o soluţie tot mai adoptată în domeniul reţelisticii.
Următorul capitol va discuta protocoalele de securitate adoptate în cadrul reţelelor
WLAN folosite pentru a securiza aplicaţiile wireless. Chiar dacă unele sunt perimate sau total
depăşite de progresul tehnologic din acest domeniu , trebuie totuşi luate in discuţie toate
mecanismele de securitate folosite pentru a scoate în evidenţă progresul făcut de tehnologiile
Secure Socket Layer (SSL) a fost iniţial realizat pentru a rezolva problemele desecuritate a serverelor web . La începutul dezvoltării Internetului , a fost realizată marea
oportunitate comercială pe care o poate oferi, dar probleme de securitate pe care le implica
transmiterea de date personale sub formă de text clar trebuiau rezolvate deoarece atacatorii
putea interecepta imediat aceste informaţii. Netscape a fost primul browser care a oferit ca
metodă de sporire a securităţii , SSL, făcând posibile tranzacţiile comerciale via web prinintermediul unui canal sigur de transmitere de date. SSL este transparent , asta însemnând că
datele sosesc la destinaţie neschimbate de procesul de criptare / decriptare . De aceea SSL poate
fi utilizat pentru multe aplicaţii. SSL ca şi succesorul lui TSL (Transport Layer Security) sunt
cele mai răspândite protocoale de securitate implementate în Internet.
Implementat iniţial de către Netsacape în anul 1994 , SSL/TSL sunt implementate în
majoritatea browser-elor sau a clienţilor de e-mail. SSL a reprezentat baza de dezvoltare pentru
alte protocoale aşa cum sunt Microsoft Private Communications Technology (PCT) Secure
Transport Layer Protocol (STLP), sau Wireless Transport Layer Security (WTLS).
Aplicaţia principală a SSL/TSL este pentru traficul web sau HTTP (Hypertext Transfer
Protocol ). Procesul este foarte simplu . În comunicaţiile de bază HTTP , se realizează o
conexiune de tip TCP , o cerere a unui document este iniţiată iar acesta este transmis. Cu o
conexiune SSL/TLS - HTTP , conexiunea TCP este realizată la fel ca şi conexiunea SSL/TLS
ca apoi conexiunea HTTP se realizează cu ajutorul legăturii SSL/TSL . Pentru a împiedica
crearea unei confuzii între serverele HTTP , HTTP pe conexiune SSL / TLS este de obicei
implementată pe un port TCP diferit (443) decât portul HTTP standard (80). Multe dintre
aplicaţiile care folosesc SSL/TSL folosesc alte porturi decât protocoalele SSL / TLS standard .
SSL/TLS este folosit penru a cripta şi autentifica o conexiune . Acest lucru este realizat
prin utilizarea unei combinaţii dintre mai multe tehnologii ce folosesc algoritmi simetrici şi
asimetrici. SSl/TLS oferă posibilitatea de a autentifica atât serverul cât şi clientul , dar numai
autentificarea serverului este realizată. Autentificarea este realizată prin folosirea criptografiei
cu chei publice şi este asmănătoare unei strângeri de mână (hand shake) . Comunicaţiile actuale
ce folosesc SSL/TLS folosesc un algoritm de criptare simetric .
SSL/ TLS poate fi utilizat pentru a securiza multe tipuri de comunicaţii . Cea mai
comună implementare sunt bazate pe comunicaţiile TCP aşa cum sunt emailul , telnet sau FTP
(File Transfer Protocol). În multe cazuri sunt folosite porturi diferite pentru comunicaţiile
securizate cu ajutorul SSL/TLS.
Terminal Access and File Transfer
Cel mai probabil mod de a folosi SSH este acela de a înlocui telnet. Telnet este o
aplicaţie utilizată pentru a gestiona utilizatorii din reţea. O sesiune telnet poate fi uşor interceptată fiind uşor susceptibilă la perderi de date importante sau pot fi introduse date în
reţea sub formă de comenzi ce pot fi ulterior executate . Implementată correct . SSH elimină
aceste probleme de securitate .
Multe dintre protocoalele de transport aşa cum sunt FTP , TFTP (Trivial File Tranfer
Protocol ) sau CIFS (Common Internet File System) sunt foarte nesigure fiind expuse pericolelor de genul sniffing-ului sau injectării de date în reţea sub formă de comenzi. SSH
oferă posibilitatea de a transfera fişiere prin intermediul unei sesiuni criptate şi autentificate.
Port Forwarding
De multe ori SSH nu poate fi folosit pentru a înlocui telnet sau FTP. În aceste situaţii
SSH poate fi folosit pentru a securiza în alt mod aplicaţii nesigure aşa cum sunt telnet , TFP ,
POP (Post Office Protocol) sau chiar HTTP. Acest lucru poate fi realizat folosind capacitate de
port – forwarding oferită de SSH.
Figura 3.3 :SSH tunnel
În această figură firewall-ul este configurat doar pentru a permite traffic de la o
conexiune nesigură către un server SSH . Nici un fel de traffic nu va fi permis a fi direcţiont
către sau dinspre server-ul de e-mail către reţeaua nesigură. În plus la folosirea SSH pentru
accesul teminal la server-ul SSH , port – forwarding poate fi folosit pentru a tunela traficul de
e-mail prin reţeaua nesigură către server-ul SSH. Apoi server-ul SSH redirecţionează pachetele
cître server-ul de e-mail. Din punctual de vedere al server-ului de e-mail , trficul ar trebui să
vină dinspre serverul SSH iar pachetele ar trebui returnate tot către serverul SSH pentru a fi
tunelate înapoi către utilizator. E-mail este doar unul dintre numeroasele protocoalele TCP care
pot fi tunelate cu ajutorul SSH. Alte aplicaţii obişnuite pentru SSH sunt cele de securizare a
transferului de fişiere (NFS – Network File System , FTP sau CIFS ) , aplicaţii web(HTTP) sau
aplicaţii client ( Servere MS Terminal sau XWindows) .
WTLS
WTLS se bazează pe SSL/TLS. Este folosit de dispozitive de genul WAP (WirelessAplication Protocol) aşa cum sunt telefoanele mobile sau PDA-uri (personal digital assistants).
Principala diferenţă dintre SSL şi WTLS este la nivel transport. SSL se bazează pe TCP pentru
funcţiile sale de încredere aşa cum ar fi retransmiterea pachetelor pierdute şau a celor de tip
out-of-order. Dispozitivele ce folosesc WTLS nu pot utiliza aceste funcţii TCP deoarece
folosesc UDP (User Datagram Protocol). UDP nu este un protocol orientat conexiune aşa că
aceste funcţii au fost incluse în cadrul WTLS.
Trei clase pot fi negociate în timpul unei sesiuni de „handshake” :
WTLS class 1 No certificates
WTLS class 2 Server certificate only
WTLS class 3 Client and server certificates
În clasa 1 nu are loc nici o autentificare iar protocolul este folosit doar pentru a realiza
un canal criptat. În clasa 2 , de obicei un client autentifică serverul iar de obicei certificatele
sunt incluse în firmware. În clasa 3 , atât clentul cât şi serverul sunt autentificaţi . Acest lucru
implică în mod normal implementarea unui PKI. WTLS este similar cu SSL/TLS deoarece
poate fi utilizat pentru a securiza alte protocoale aşa cum ar fi WML (Wireless Markup
Language). WML este asemănător cu HTML , dar este creat special pentru dispozitive WAP
aşa cum sunt telefoanele mobile sau PDA-uri.
WEP
Wired Equivalent Privacy (WEP) este mecanismul de securitate inclus în standardul
802.11 şi este folosit deoarece oferă servicii de confidenţialitate şi de autentificare. WEP este
bazat pe algoritmul RC4 care se referă la un cifru pe bloc. Pachetele sunt criptate prin
generarea unui stream RC4 care este o combinaţie de 24 de biţi care reprezintă vectorul de
iniţializare (VI) şi o cheie publică . VI-ul este folosit pentru a face unic streamul RC4 generat
diferit faţă de alte streamuri generate anterior. Datele sunt trecute printr-o operaţie XOR cu
streamul generat şi transmis într-un cadru WEP cu VI-ul în header astfel încât cel care primeşte
pachetele să poată genera acelaşi stream RC4 şi să îl treacă printr-o operaţie XOR pentru a
realiza procesul de decriptare.
Apar însă şi probleme cu implementarea WEP. WEP poate fi folosit ca pe o primă linie
de apărare, dar nu ne putem baza pe el datorită problemelor de securitate ce au fost descoperitecu privire la compromiterea cheii. O reţea ce utilizează ca mijloc de protecţie WEP poate fi
penetrată momentan în decursul a catorva minute prin capturarea unui trafic suficient. WEP ,de
asemeni , prezintă şi probleme de management a cheilor. O cheie WEP obişnuită este folosită
de toţi utilizatorii unei reţele wireless , lucru care face aproape imposibilă protejarea cheii .
Cheia WEP trebuie schimbată foarte frecvent . Angajaţii firmelor parăsesc locul de muncă sau pierd echipament sau laptopuri astfel încât această schimbare frecventă a cheii este inevitabilă.
Unele din ultimele implementări ale WEP negociază o cheie la începutul sesiunii care
are loc odată cu autentificarea interlocutorilor. Implentări avansate aşa cum ar fi procesul de
“rekey” realizează schimbarea cheii chiar în momentul comunicaţiei. Acest lucru anulează
problema WEP cu privire la cheia care ramâne neschimbată de-a lungul unei sesiuni.
802.1x
802.1x ca şi protocoalele sale asociate reprezintă o încercare de a creşte securitatea
reţelelor înainte ca protocoalele de nivel 3 (aşa cum este IP) sunt configurate . Tehnologia nu
este specifică pentru 802.1x şi poate fi folosită pentru Ethernet , Token Ring sau alte tipuri de
conexiuni. Scopul priccipal al 802.1x este acela de a autentifica utilizatorii şi poate fi folosit
opţional pentru a realiza chei de criptare . Când o conexiune este realizată doar traficul de tip
802.1x este acceptat în reţea. Acest lucru înseamnă că alte protocoale ca DHCP (Dynamic Host
Configuration Protocol) , IP sau alte protocoale nu sunt permise. EAP (Extensible
Authentification Protocol) este folosit pentru a autentifica utilizatorii. EAP a fost iniţial realizat
pentru a rezolva probleme de securitate privind autentificarea în cadrul Point to point Protocol
(PPP) ,dar utilizarea sa de bază a reprezentat-o rezolvarea problemelor de securitate din cadrul
reţelelor wireless. Pachetele EAP de autentificare sunt transmise către acces point cu
informaţiile de acces ale utilizatorului ,username şi parola . Acces point-ul poate autentifica
utilizatorul după instrucţiunile specificate de proiectant indiferent care sunt acestea. În
majoritatea cazurilor acest lucru se face via Remote Authentification Dial-in User Service
(RADIUS) . Odată ce utilizatorul a fost autentificat şi criptarea , dacă există , a fost realizată ,
comunicaţia va fi realizată iar protocoale ca DHCP sunt permise în acest moment să acceseze
comunicaţia. O imagine de nivel mai larg este ilustrată mai jos.
Confidenţialitatea este realizată prin utilizarea protocolului TKIP cu metoda de criptare
RC4;
Autentificarea este disponibilă în două moduri. în modul 'întreprindere' (Entreprise) se
utilizează autentificarea 802.1x şi EAP, în timp ce în modul 'consumator' se utilizează o cheie pre-partajată pentru a asigura autentificarea reţelei fără fir;
Integritatea datelor este asigurată cu ajutorul MlC(Message Integrity Check), Aceasta
asigură protecţie contra atacurilor de contrafacere(forgery) şi a celor de inversare a biţilor(bit
flipping attacks).
Cea mai importantă caracteristică a WPA este folosirea protocolului TKIP în locul
protocolului WEP bazat pe RC4.
WPA continuă să utilizeze RC4, dar într-un mod mult mai securizat decât WEP.
Vectorul de iniţializare în TKIP este mărit. Este adăugată o caracteristică de mixare a cheilor
per pachet, ceea ce-l face cu mult mai rezistent la atacuri. De asemenea, este adăugat MIC
pentru confirmarea transmisiei, cu succes sau nu, a unui pachet. Protocolul TKIP necesită două
chei diferite: una pe 128 biţi, care este utilizată la funcţia de mixare pentru a produce cheia de
criptare per pachet şi una pe 64 biţi, pentru a asigura integritatea mesajului. Vectorul de
iniţializare la TKIP a fost mărit la 48 biţi.
Protocolul de integritate cu cheie temporară(TKlP)
Protocolul de integritate cu cheie temporară(TKIP-Temporal Key Integrity Protocol)
este folosit de WPA pentru recodificarea cheii de criptare a traficului unicast. Fiecare cadru de
date transmis prin spaţiul fără fir este recodificat de către TKIP. TKIP sincronizează schimbul
de chei între client şi AP. Cheia globală de criptare, pentru traficul multicast şi broadcast, este
schimbată, printr-un anunţ făcut de WPA către toţi clienţii conectaţi.
A fost proiectat pentru a permite unele soluţii pentru câteva probleme software şi
firmware întâlnite în WEP.
Schimbările majore în cadrul WEP sunt.
un nou cod de integritate a mesajului (MIC ), generat cu algoritmul Michael. MIC este
calculat cu datele primite de la nivelul superior (MSDU - MAC Service Data Unit), adresele
sursă şi destinaţie şi câmpul de prioritate, înaintea fragmentării în cadre MAC(MPDU-MAC
Protocol Data Unit). MIC asigură apărare împotriva atacurilor false;
din cauza limitărilor algoritmului Michael, au fost implementate un set de contramăsuri.
Din cauza limitărilor hard, a fost imposibilă folosirea unui algoritm mai puternic, dar totuşi
TKIP extinde vectorul de iniţializare WEP(IV)( în principiu, este incrementat un
numărător la fiecare trimitere a unui cadru) şi utilizează aceasta la MPDU ca un TSC(TKIP
Sequence Counter);
managementul de chei RSNA asigură o cheie temporară(TK-Temporal Key). Esteaplicată o funcţie de mixare la TSC şi adresa de transmitere(TA ). Aceasta asigură nu numai o
cheie nouă pentru fiecare secvenţă trimisă, dar previne şi utilizarea unor chei slabe, cu fluxul
criptat, folosind RC4.
3.3.9 IP Security (IPSec)
IP Security (IPSec) a fost dezvoltat de grupul de lucru IETF . Protocolul IPSec se
găseşte la un nivel inferior faţă de SSL/TLS ,SSH sau WTLS în cadrul stivei de protocoale.
Nivelul de securitate este implementat la nivel IP în cadrul modelului Internet. Cea mai
frecventă implementare a IPSec include folosirea unui model de tunelare care face posibil ca
traficul IP să fie criptat şi autentificat în cadrul aceleaşi sesiuni .IPSec reprezintă tehnologia pe
care se bazează majoritatea reţelelor de tip VPN (Virtual Private Network) folosite în Internet.
Datorită flexibilităţii crescute şi ariei largi de utilizare , IPSec reprezintă o metodă de securitate
tot mai întălnită în corelaţie cu tehnologia wireless. IPSec poate fi utiliza pentru capacitatea de
a oferi metode de criptare datorită EAP (Encapsulated Securitz Payload) sau de autentificare
folosind AH (Authentification Header) . AH poate fi implementat fără a folosi neapărat ESP.
Acest lucru nu oferă confidenţialitate împotriva sniffingului ,dar opreşte eventuale încercări de
deteriorare a datelor pe parcursul sesiunii de transport. ESP poate fi implementat şi fără AH
pentru a oferi confidenţialiatate şi elemente de autentificare ,dar majoritatea administratorilor
aleg să folosescă atât ESP cât şi AH.
IPSec oferă mai mulţi algoritmi criptografici care pot fi utilizaţi de către AH sau Esp .
Cei mai frecvenţi algoritmi de criptare pentru ESP sunt DES (Data Encryption Standard) ,
TDES (Triple DES) şi AES (Advanced Encryption Standard) . AES reprezintă înlocuitorul
pentru DES şi TDES iar IPSec foloseşte AES ca algoritm criptografic pentru implementările de
IPSec . Cel mai des folosit algoritm de autentificare pentru AH este Message Digest 5 (MD5) şi
SHA (Secure Hash Agorithm).
Cea mai cunoscută implementare a IPSec se regăseşte în cadrul comunicaţiilor din
cadrul unei reţele VPN . Oricând este folosită o reţea publică pentru realizarea unei reţele
private putem numi acest lucru ca fiind o reţea VPN. Folosind această definiţie putem
considera ATM (Asynchronous Transfer Mode) ,Frame Relay sau X.25 pot fi considerate VPN-uri ,dar de obicei astfel de reţele sunt considerate doar cele de tip tunel pe strcrura Internet. În
cazul acestei aplicaţii un gateway este instalat în cadrul reţelei firmei , aşa cum este ilustrat şi în
figura alăturată . Accesul remote al utilizatorilor la reţea va realiza o conexiune de tip tunel
către gateway cu ajutorul ESP şi AH.
Figura 3.5: IPSec VPNTunnel
3.3.10 WPA2/AES
În iunie 2004 organizaţia IEEE a ratificat standardul 802.11i cunoscut şi ca WPA2. El
defineşte confidenţialitatea datelor, autentificarea mutuală, integritatea datelor şi protocoale de
management al cheilor pentru a creşte securitatea subnivelului MAC pentru reţelele fără fir. în
timp ce WEP şi WPA folosesc algoritmul de criptare RC4, 802.11i utilizează algoritmul AES
pe 128 biţi în modul CBC-MAC(CCM). înainte de 802.11i nu se utiliza autentificarea pe 4 căi.
Acest set de protocoale defineşte o securitate robustă.
Confidenţialitatea este asigurată prin folosirea a trei tipuri de algoritmi pentru protejarea
datelor: WEP, TKIP şi CCMP(Counter-mode/CBC-MAC Protocol). WEP şi TKIP se bazează
pe algoritmul RC4, iar CCMP se bazează pe AES.
Autentificarea este realizată prin utilizarea EAP la autentificarea clienţilor şi server de
autentificare.
Managementul cheilor este asigurat prin generarea de chei noi utilizând protocoalele de
4 căi(4 Way handshacke) şi a cheilor de grup. Cheile sunt stabilite după ce s-a făcut
autentificarea 802.1x, dar ele se pot schimba dacă este necesar sau s-a depăşit timpul şi deci au
expirat.
Integritatea datelor este realizată cu ajutorul protocolului CBC-MAC(Cipher Block
Chaining Message Authentication Code) şi a MIC(Message Integrity Check).
Îmbunătăţirea principală a 802.11i pentru WLAN-uri este definirea unor reţele cu
servicii robuste de securitate(RSN-Robust Security Netwok). Standardul IEEE 802.11iurmăreşte rezolvarea deficienţelor asociate cu confidenţialitatea datelor în mediul fără fir.
O îmbunătăţire semnificativă în ceea ce priveşte confidenţialitatea datelor , inclusă în
standardul 802.11i este AES (Advanced Encryption Standard) , dezvoltat de Departament NIST
al U.S. Commerce. AES poate fi folosit în moduri diferite sau cu algoritmi diferiţi, iar
implementarea IEEE 802.11i se bazează pe modul numărare a CCM şi este folosit pentru aasigura confidenţialitatea datelor şi integritatea acestora.
AES este o tehnologie bazată pe un cifru bloc simetric iterativ şi foloseşte aceeaşi cheie
atât pentru criptare cât şi pentru decriptare . Procesul de criptare folseşte treceri multiple asupra
datelor din pachetul 802.11, iar datele în clar de tip text , sunt criptate în blocuri discrete , de
lungime fixă. AES criptează datele folosind blocuri de 128 de biţi şi chei de criptare tot de 128
de biţi . AES are la bază îmbunătăţirile făcute de TKIP şi MIC şi foloseşte algoritmi similari ,
pentru a reuşi să ajungă la un nivel superior de protecţie a datelor.
AES necesită un surplus de prelucrare care cere achiziţionare unor noi dispozitive hard
(placă de reţea , AP , switch WLAN) care să suporte noile funcţionalităţi în materie de
confidenţialitate a datelor ale 802.11i.
Elemente de securizare pentru reţelele Wireless Local Area Network şi reţele Ad Hoc
Arhitectura şi protocolul de securitate al 802.11 este WEP (Wired Equivalent Privacy) .
WEP oferă autentificare , confidenţialitate şi integritatea datelor în cadrul reţelelor de tip
802.11 . La momentul apariţia WEP scopul acestuia a fost acelaşi de a oferi aceeaşi protecţie pe
care le ofereau mecanismele de securitate din cadul reţelelor cablate. Totuşi comparaţia între
aceste două metode de securitate nu poate fi realizată întrucât o reţea cablată se naşte cu
mecanisme care să o protejeze din moment ce accesul la mediu de transmisie este restricţionat
sau securizat. În cazul comunicaţiilor wireless acestea nu oferă nici un mod implicit de
restricţie a accesului la mediu de transmisie. Astfel comparaţia s-a rezumat la ideea dacă WEP
poate oferi aceleaşi elemente de securitate unei reţele wireless pe care le oferă restricţionarea
accesului la mediu în cadrul unei reţele cablate. Totuşi unele scăpări de securitate ale WEP au
demonstrat că protecţia oferită de WEP nu conferă unei reţele WLAN siguranţa unei
comunicaţii sigure.
În acest capitol vom privi în ansamblu mecanismele de securitate ale WEP , de ce nu
oferă protecţia necesară unui flux de informaţii sigure şi deasemeni măsurile care au fost
întreprinse în scopul remedierii scăpărilor de securitate care eu demonstrat ineficacitatea WEP.
Vom analiza deasemeni şi să obţinem o comparaţie între arhitecturile de securitate aleunei reţele 802.11 şi structura de securitate ale unei reţele TWNs (Traditional Wireless
Networks ) . De menţionat că atât TWNs cât şi reţele bazate pe 802.11 folosesc mediul wireless
doar în zona de acces la reţea aceasta reprezentând doar partea în care utilizatorii end-user se
conectează la reţea . Totuşi există diferenţe majore între cele două arhitecturi.
Scopul reţelelor tradiţionale a fost de a a permite unui utilizator wireless să comunicecu orice alt utilizator cablat sau wireless folosind acoperire de tip roaming pe arii largi . Scopul
TWNs a depăşit astfel teritoriul reţelelor wireless atingând elemente de conectivitate ale
reţelelor cablate.
Scopul însă a reţelelor 802.11 priveşte doar securitatea reţelelor fără fir. 802.11 nu are
în vedere conectivitatea de tip end to end . De fapt reţelele de date de tip IP (pentru care fost
iniţial 802.11 creat ) nu lucrează cu conceptul de conectivitate end to end , fiecare pachet fiind
independent routat. Aria de acoperire a unei reţele wireless este semnificativ redus faţă de o
reţea TWN care poate oferi o acoperire geografică extinsă . În final 802.11 oferă in support
scăzut pentru roaming. Din cauza acestor motive 802.11 este restricţionat doar la accesul în
cadrul reţele wireless. Pe măsură ce vom discuta problemele din următorul capitol este bine de
reţinut aceste similitudini, dar şi asemănările dintre reţelele TWN şi cele de tip 802.11.
În secţiunea următoare sunt descrise schemele de securitate care au fost propuse în
domeniul reţelelor wireless şi a reţelelor ad-hoc.
The Resurrecting
Duckling
Această metodă se poate explica astfel: aşa cum o mică raţă consideră primul obiect
care mişcă fiind mama lui, asemenea un echipament va recunoaşte prima entitate care îi trimite
o cheie secretă ca fiind proprietarul lui. Când este necesar, proprietarul poate şterge ştanţa şi
lăsa echipamentul să-şi schimbe proprietarul. Ştanţa – prin distribuirea cheilor – se face prin
contact fizic. În cazul mai multor proprietari cu diferite drepturi de acces, ştanţarea poate fi
făcută în momente diferite cu chei diferite. În acest fel se poate stabili o ierarhie a proprietarilor
şi o prioritate a serviciilor.
Trebuie subliniat unicitatea master-ului. Un slave are două stări ştanţat sau ştanţabil.
Master-ul controlează slave-ul şi sunt legaţi printr-un secret distribuit iniţial de master pe un
canal integrat non-wireless sau confidenţial.
Această metodă „resurrecting duckling” poate fi extinsă pentru acoperirea
interacţiunilor peer-to-peer.
O altă extensie a acestei metode este aceea că master-ul nu trebuie să fie unic. Un alt
master care are un certificat valid la acel slave poate ştanţa slave-ul. Slave-ul are un master principal dar poate primi ordine de la ceilalţi masteri.
Pentru a putea proteja nodurile de „eavesdropping” prin folosirea criptării, nodurile
trebuie să aibă o înţelegere mutuală în legătură cu un secret distribuit sau cheile publiceschimbate. Pentru reţelele ad-hoc în schimbare rapidă, schimbul cheilor pentru criptare trebuie
să fie adresate la cerere, fără a presupune că au fost negociate anumite secrete apriori. Într-un
mediu mai puţin dinamic, cheile pot fi configurate manual.
Serviciul de distribuţie a cheilor asimetrice
Într-un protocol de autentificare cu schimbarea cheilor se consideră părţile M şi S care
împart un secret P. Scopul protocolului este acela de a stabili o cheie puternică K în locul unui
secret slab P.
Protocolul are următorii paşi:
P1 : Master-ul trimite identificatorul său şi un secret slab slave-ului P(E
M)
P2 : slave-ul extrage cheia criptată pentru M, E
M, şi generează un şir de caractere R. R
este criptat cu EM şi trimis master-ului. P(EM(R))
P3 : Se extrage R şi se generează şirurile ProvocareM şi SM. Sunt criptate cu R şi
trimise înapoi la slave. R(ProvocareaM , SM)
P4 : Slave-ul extrage ProvocareaM şi calculează funcţia publică h(ProvocareM). Sunt
generate şi criptate şirurile ProvocareS şi SS cu h(ProvocareM) şi R ca şi cheie. Sunt trimise la
Această metodă a fost introdusă ca soluţie la dorinţa de confidenţialitate a locaţiei a
unui nod mobil. De aceea fiecare nod Agent de Securitate (SA) are o pereche de chei, una
publică şi una privată. Când un emiţător A vrea să trimită un mesaj M destinatarului B, mesajuleste trimis folosind ruta (A, SA1, SA2,….., SAn, B). Ruta este construită prin folosirea a n
criptări E_SAi cu cheile publice ale nodurilor intermediare. Mesajul criptat M’ = E_SA1(SA2,
E_SA2(SA3,…( SAn, E_SAn(B,M )))). Când A trimite mesajul criptat M’, primul agent de
securitate SA1, decriptează mesajul şi descoperă doar locaţia următorului nod din rută.
Nodurile nu pot determina unde sunt localizate în rută şi nici identitatea destinatarului B. A
poate cripta mesajul M cu cheia publică a lui B şi în acest caz ultimul nod intermediar SAn va
şti locaţia şi identitatea lui B, însă nu şi conţinutul mesajului M.
Securizarea serviciile Ad-hoc bazate pe Jini
Jini este o arhitectură open software care permite utilizatorilor să creeze reţele care sunt
scalabile şi uşor adaptabile la schimbare. Jini foloseşte un model care permite mutarea codului
între entităţi în reţeaua ad-hoc. Însă şi codul reprezintă o problemă de securitate.
Dat fiind faptul că fiecare nod se află în posesia unei chei publice şi a unei chei private,
nodurile folosesc cheile publice pentru realizarea autentificării şi astfel se realizează o
comunicaţie sigură. De asemenea se pot utiliza protocoalele IPSec şi Transport-Layer Security
pentru a putea securiza serviciul.
Nu se presupune că server-ul şi clientul împart o număr mare de chei simetrice sau
algoritmi MAC. S-a propus un protocol de distribuţie a creditelor care să minimizeze numărul
de interacţiuni manuale necesare pentru stabilirea unui relaţii de încredere.
Figura 3.7 Protocol de distribuţie a protocolului, unde proxy-ul foloseşte protocolul
Diffie-Hellman
Un server care vrea să ofere o comunicaţie sigură are un proxy, care conţine algoritmii
necesari pentru a face schimb cheilor autentificate cu server-ul şi de asemenea algoritmi decriptare care protejează datele schimbate în interacţiunea client-server. Serverul semnează
digital proxy-ul cu cheia privată, ceea ce înseamnă că semnătura poate fi verificată de către
client. Server-ul împachetează cu semnătura şi codul. Când un client găseşte un serviciu,
downloadeză un proxy corespunzător serviciului împreună cu semnătura şi posibil anumite
certificate incluse. Clientul poate verifica semnătura dacă are o cheie publică acreditată care
corespunde semnăturii sau dacă clientul cunoaşte anumite chei publice din certificatele incluse.
Proxy-ul execută un schimb de chei cu autentificare cu server-ul folosind un anume protocol.
Detecţia intruziunii
Un IDS (Intrusion Detection System) este implementat de obicei la gateway şi
„capturează” şi examinează pachetele care sunt trimise prin interfaţa hardware a reţelei.
Detecţia intruziunilor se face categoriseşte prin: detecţia abuzurilor şi detecţia anomaliilor.
Detecţia abuzurilor se face prin folosirea unor şabloane ale atacurilor cunoscute sau punctelor
slabe ale sistemului care pentru identificarea tipurilor de intruziuni cunoscute. Detecţia
anomaliilor însemnează activităţile care deviază semnificativ de la comportamentul normal.
Detecţia intruziunilor şi arhitectura de răspuns
La această metodă fiecare nod este responsabil de detectarea semnelor de intruziune
local şi independent dar vecinii pot colabora pentru a investiga pe o anumită rază, unde fiecare
nod conţine un IDS, care monitorizează activităţile locale, detectează intruziunile şi generează
un răspuns. Dacă se detectează o anomalie sau probele sunt neconcludente, agenţii IDS vecini
vor coopera pentru detectarea intruziunii globale.
folosirea unor protocoale precum Simple Authentication and Security Layer sau Internet
Security Association and Key Management Protocol/Internet Key Exchange.
Rutarea sigură
Protocoalele de rutare sigură reprezintă o provocare. Protocoalele reţelelor cablate nu pot fi implementate întrucât reţelele wireless au nodurile mobile şi topologia reţelei este într-o
continuă schimbare.
Secure Routing Protocol (SRP)
SRP eficientizează folosirea asocierilor de securitate între două noduri comunicante S şi
T. Pachetele trimise pentru stabilirea rutei se propaga la destinaţie şi informaţiile despre rută se
întorc la sursa strict pe aceeaşi ruta inversată, fiind acumulate în pachetele trimise iniţial.
Similar mesaje de eroare ale rutei sunt generate de nodurile care sunt raportate ca fiind
„stricate”.
SRP determină explicit interacţiunea cu nivelul reţea. Caracteristicile pe care le oferă
SRP necesită unui header SRP care este introdus în structura header-ului IP aşa cum este
În această secţiune sunt prezentate soluţii de securitate pentru nivelul legăturii de date
aplicabile în reţele MANET. Cele mai multe soluţii sunt mecanisme de securitate carefuncţionează ca şi părţi integrate în specificaţiile pentru 802.11 şi Bluetooth.
Wired Equivalent Privacy (WEP)
Wired Equivalent Privacy este prima schemă de securitate specificată în standardele
IEEE 802.11, în special în partea 802.11b Wi-Fi. WEP a fost iniţial creat pentru a asigura
securitatea pentru reţele wireless locale, cu un nivel de protecţie similar celor cablate.
Mecanismul de securitate WEP include criptarea şi integritatea datelor. Ambele
mecanisme sunt manipulate simultan pentru fiecare frame aşa cum este ilustrat în figura de mai
jos. A doua problemă abordată este aceea a autentificării staţiei mobile (STA) înainte de a
permite conectarea la reţea.
Autentificarea se face printr-un protocol provocare-răspuns constând în schimbarea a
patru mesaje.
P1. STA semnalizează că vrea să se autentifice. Cerere de autentificare
P2. Punctul de acces (AP) generează o provocare şi o trimite lui STA. Răspuns de
autentificare
P3. STA criptează provocarea cu o cheie secretă cunoscută numai de AP şi STA şi o
trimite lui AP. Răspuns de autentificare
P4. Dacă AP poate decripta răspunsul lui STA atunci concluzionează că STA a dat
răspunsul şi deci îl autentifică, altfel autentificarea va eşua. În funcţie de rezultatul
autentificării AP îi permite accesul în reţea şi ăl informează pe STA de acest fapt.
O dată autentificat STA comunică cu AP prin mesaje criptate. Cheia folosită pentru
criptare este aceeaşi ca şi în cazul autentificării.
Algoritmul de criptare folosit de WEP este un registru de deplasare RC4. Pentru
producerea cadrului protejat, mai întâi se calculează Integrity Check Value (ICV) a conţinutului
cadrului folosind o funcţie cyclic redundancy check (CRC). Textul în clar al payload-ului
împreună cu ICV este apoi criptat printr-un sau exclusiv pe biţi cu un şir de lungimea
payload+ICV generat de registrul de deplasare. La decriptare se face aceeaşi operaţie (XOR pe
biţi) cu acelaşi şir. Cheia de criptare este considerată secvenţa cu care este iniţializat registrul
de deplasare. Dacă s-ar folosi aceeaşi cheie, K, pentru criptarea a două cadre diferite M1şi M2,
atunci duşmanul care ascultă ambele mesaje criptate M1 XOR K şi M2 XOR K poate decripta
un mesaj prin intermediul altuia întrucât (M1 XOR K) XOR (M1 XOR K) = M1 XOR M2.
Verficareaintegri tăţii
Payload ICV
XOR
RC4CheieIV
24 biţi 40 biţi
Header IV Payload +ICV FCSCadruWEP
În clar Criptat În clar
Criptare
Decriptare
CheieIV RC4 XOR
Payload ICV
Figura 3.11 Criptarea şi decriptarea în WEP
De aceea WEP foloseşte pe lângă cheia secretă şi un vector de iniţializare IV, care se
schimbă pentru fiecare mesaj. Destinatarul trebuie de asemenea să cunoască IV pentru a puteadecripta mesajul. De aceea IV este trimis în clar o dată cu mesajul criptat, ceea ce nu reprezintă
o problemă deoarece pentru decriptarea mesajului trebuie cunoscută şi cheia secretă.
Probleme de securitate în WEP
Autentificarea. Autentificarea în WEP are diverse probleme.
1.Prima dintre ele ar fi aceea că autentificarea nu este mutuală întrucât AP nu se
2.Apoi autentificarea şi criptarea folosesc aceeaşi cheie, iar un adversar poate exploata
atât punctele slabe ale autentificării cât şi ale criptării.
3.Autentificarea lui STA se face numai când încearcă să se conecteze la reţea. O dată ce
STA este asociat lui AP, oricine poate trimite mesaje în numele lui STA prin copierea MAC-ului. Iar faptul că nu cunoaşte cheia secretă pentru construirea unui frame WEP corect poate
folosi mesajele criptate a altui STA înregistrat mai devreme.
4.A patra problemă constă în faptul că foloseşte RC4 în protocolul de autentificare
pentru criptarea provocării aleatoare. Deoarece un atacator poate obţine uşor provocarea C şi
provocarea criptată R=C XOR K, de unde poate calcula secvenţa pseudoaleatoare K. Faptul că
se foloseşte IV nu constituie o problemă pentru că fiecare utilizator selectează singur IV, iar un
adversar în acest caz poate selecta IV care a fost ataşat lui R. Deoarece în practică fiecare STA
foloseşte aceeaşi cheie atacatorul se poate conecta în numele oricărui STA.
Protecţia integrităţii. Protecţia integrităţii la WEP se bazează pe ataşarea unui ICV la
mesaj, unde ICV este valoarea CRC calculată pentru mesaj, şi criptarea mesajului cu o cheie
secretă. Matematic această operaţiune poate fi scrisă astfel : ( )( ) K M CRC M ⊕|| , unde M este
mesajul clar, K este secvenţa pseudoaleatoare produsă de algoritmul RC4 din IV şi cheia
secretă. CRC(.) reprezintă funcţia CRC şi ÂÂ concatenarea. Funcţia CRC este liniară în raport
cu operaţia XOR deci ( ) ( ) )(Y CRC X CRC Y X CRC ⊕=⊕ . Ştiind acestea se poate constata că
un atacator poate manipula un mesaj prin inversarea biţilor între ei fără a avea acces la
conţinutul mesajului după cum urmează. Fie ΔM schimbările pe care le face adversarul
mesajului iniţial. Atacatorul vrea să obţină ( ) ( )( ) K M M CRC M M ⊕∆⊕∆⊕ || . Pentru a
obţine aceasta este suficient să calculeze CRC(ΔM) şi apoi să facă XOR pe biţi cu ΔM || CRC
(ΔM) mesajului original.
Un al doilea defect de proiectare este acela că nu există un sistem de detecţie a
replicilor, deci un hacker poate replica orice mesaj prealabil înregistrat şi care va fi acceptat de
AP.
Confidenţialitatea. La folosirea unui regitru de deplasare este esenţial ca fiecare mesaj
că fie criptat cu altă secvenţă pseudoaleatoare. Acest lucru este rezolvat prin folosirea unui
mecanism de IV. Problema este însă că IV este de lungime de 24 biţi, ceea ce înseamnă că sunt
aproximativ 17 milioane de posibile valori pentru IV. Un echipament Wi-Fi poate transmite
aproximativ 500 cadre de lungime, deci întreg spaţiul IV poate fi folosit în aproximativ 7 ore.
Problema se agravează pentru că în multe reţele toate echipamentele folosesc aceleaşi chei
secrete dar IV diferite, deci spaţiul IV se va utiliza şi mai repede: 7/n ore, unde n este numărul
de echipamente. O altă problemă constă în faptul că în multe dintre implementări IV este
iniţializat cu 0 şi apoi incrementat cu 1 după fiecare mesaj transmis. Ceea ce înseamnă că
echipamentele care transmit în acelaşi timp vor folosi acelaşi IV şi implicit aceeaşi cheie, iar unatacator poate decripta astfel mult mai uşor mesajele. De asemenea cifrorul RC4 are o
slăbiciune aşa numitele „chei slabe”, adică pentru o anumită cheia ieşirea lui RC4 este
predictibilă. O soluţie ar fi lungirea ieşirii lui RC4 la 256 de biţi, însă această soluţie nu a fost
acceptată la WEP. Această slăbiciune este de departe cea mai periculoasă deoarece a fost
demonstrat că un hacker poate „sparge” cheia de 104 biţi după numai câteva milioane de
mesaje.
802.11i
Când defectele WEP au devenit evidente, IEEE a început să dezvolte o noua arhitectura
de securitate pentru reţelele WiFi, care este descrisa in specificaţia 802.11i . Noul concept se
numeşte RSN (Robust Security Network) pentru a putea fi distins de WEP. Acest concept
include o noua metoda de autentificare şi control al accesului, care este bazat pe un model
definit in standardul 802.1X. Mecanismul pentru protecţia integrităţii şi confidenţialităţii sunt
de asemenea modificate, şi utilizează algoritmul de criptare AES (Advanced Encryption
Standard) in locul algoritmului RC4.
În orice caz, nu este posibilă trecerea de la WEP la RSN peste noapte. Din motiv de
eficienţă, multe dispozitive WiFi (în principal cardurile de reţea WLAN), aplică algoritmul de
criptare in hardware. Vechile dispozitive suporta RC4 şi nu AES. Aceasta problema nu poate fi
rezolvata printr-o simpla updatare firmware; partea hardware trebuie schimbata, fapt care
încetineşte dezvoltarea RSN.
Acest lucru a fost realizat şi de către IEEE, şi ei au inclus un protocol opţional in
specificaţia 802.11i, care foloseşte tot algoritmul de cifrare RC4, dar care rezolva neajunsurile
WEP. Acest protocol se numeşte TKIP (Temporal Key Integrity Protocol).
Producătorii au adoptat imediat TKIP, ca fiind o soluţie la problemele WEP fără a
schimba partea de hardware. Nu au aşteptat până la finalizarea arhitecturii 802.11i, dar au
elaborat propria specificaţie denumită WPA (WiFi Protected Access), care se bazează pe TKIP.
Cu alte cuvinte, WPA este o specificaţie suportată de producătorii de WiFi, şi conţine un subset
de RSN, care poate fi implementat şi pe sistemele vechi, care suportă doar criptarea RC4.
Autentificarea şi controlul accesului, ca şi managementul cheilor sunt la fel şi în WPA şi în
RSN, diferenţa între cele doua concepte fiind făcuta de mecanismul utilizat pentru protecţiaintegrităţii şi confidentialităţii.
În continuare vor fi prezentate controlul accesului şi autentificarea, in cazul 802.11i, şi
procedurile de management al cheilor; acestea sunt la fel pentru WPA cat şi pentru RSN. Apoi
se va face o scurta prezentare a operaţiunilor TKIP (utilizat in WPA), cat şi AES-CCMP
(folosit in RSN).Autentificarea şi controlul accesului
Modelul de autentificare şi controlul accesului in 802.11i a fost împrumutat din
standardul 802.1X, care a fost elaborat pentru reţelele LAN cablate, dar s-a dovedit ca aceleaşi
concepte pot fi folosite şi in LAN-urile wireless de asemeni (cu unele extensii).
În modelul 802.1X se pot distinge trei entităţi in procedura de autentificare: cel care
cere autentificare (terminalul conectat la reţea), autentificatorul şi serverul de autentificare.
Terminalul ar dori să se conecteze la reţea, şi in acest scop ar dori să se autentifice faţă de
aceasta. Autentificatorul controlează accesul la reţea. În acest model, acest lucru este
reprezentat de starea unui port. Starea implicită a unui port este “închis”, ceea ce înseamnă ca
traficul de date este inhibat. Autentificatorul poate “deschide” portul respective daca primeşte
aprobarea de la serverul de autentificare.
În cazul reţelelor WiFi, cel care face cererea de autentificare este terminalul mobil, şi
autentificatorul este punctual de acces. Serverul de autentificare este un proces, care poate rula
punctual de acces în cazul unei reţele mici, sau pe un server dedicat în cazul unei reţele mai
mari. În WiFi, portul nu este un conector fizic, ci un control logic implementat în software care
rulează pe punctul de acces.
Într-un LAN cablat, un dispozitiv se autentifica o dată când este conectat fizic la reţea.
Nu mai este nevoie de o altă autentificare (cel puţin din punct de vedere al accesului la reţea),
pentru că portul utilizat de dispozitivul respective nu poate fi utilizat şi de altcineva; aceasta
presupune iniţial deconectarea dispozitivului, care foloseşte portul, de la reţea, şi apoi portul va
fi dezactivat . Situaţia este diferita in cazul WiFi deoarece nu exista o legătura fizica intre STA
(staţie mobile autentificata) şi AP (punctual de acces). Astfel că, o dată ce STA se autentifică şi
este asociată la AP, altcineva ar putea încerca să fure sesiunea prin înşelarea adresei fizice. Din
acest motiv, 802.11i extinde 802.1X cu cerinţa de stabilire a unei chei de sesiune intre STA şi
AP când STA cere accesul la reţea; aceasta cheie de sesiune este folosită pentru autentificarea
comunicaţiilor viitoare intre STA şi AP.
Procedura de autentificare din 802.11i foloseşte EAP (Extensible Authentication
Protocol) pentru a transporta mesajele necesar de a fi schimbate intre STA şi serverul deautentificare. EAP este un protocol de transport, care nu asigura autentificarea propriu-zisa, dar
Sesiunea stabilirii cheilor între terminalul mobil şi AP ca urmare a procedurii de
autentificare se cheamă PMK (Pairwise Master Key). Este o cheie pairwise deoarece se
cunoaşte doar de către terminalul mobil şi AP (şi de serverul de autentificare, care este
considerat o entitate de încredere), şi este o cheie master, pentru că nu este folosită direct pentru criptare sau pentru protecţia integrităţii informaţiei, ci este folosită pentru a determina
cheile de criptare şi integritate. Mai precis, şi terminalul mobil şi AP derivă patru chei din
PMK: cheia de criptare a datelor, cheia de integritate a datelor, cheia de criptare a cheii, şi cheia
de integritate a cheii. Aceste patru chei sunt denumite PTK (Pairwise Transient Key). Trebuie
să punctăm faptul ca AES-CCMP foloseşte aceleaşi chei pentru criptare şi pentru protecţia
integrităţii datelor, deci, în cazul AES-CCMP, PTK constă doar din trei chei. În plus PTK,
derivaţia din PMK utilizează de asemeni ca date de intrare adresele fizice ale părţilor
(terminalul mobil şi AP) şi două numere aleatoare generate de părţi. Acest fapt este ilustrat în
figura de mai jos.
Cheia de criptare a datelor PMK
MAC(STA)
MAC(AP)
Pseudoaleator (STA)
Pseudoaleator (AP)
Derivareacheilor
Cheia de integritate a datelor
Cheia criptare a cheilor
Cheia integritate a cheilor
PTK
Terminalul mobil şi AP schimbă numerele aleatoare folosind protocolul denumit four-
way handshake. Acest protocol face dovada fiecărei parţi că cealaltă parte posedă PMK.
Mesajele protocolului four-way handshake sunt transportate de protocolul EAPOL în mesaje de
tip Cheie. Conţinutul mesajelor şi operaţiunea four-way handshake sunt descrise după cum
urmează:
În primul rând, AP trimite secvenţa pseudoaleatoare terminalului mobil. Când aceasta
secvenţa este recepţionată , are totul necesar pentru derivaţia din PTK. De aici încolo,terminalul mobil procesează PTK.
Terminalul mobil trimite secvenţa sa la AP. Acest mesaj mai poarta şi Mesagge
Integrity Code (MIC), care este procesat de terminalul mobil, folosind cheia de integritate a
cheii derivată din PMK. După recepţia acestui mesaj, AP are tot ceea ce este necesar pentru
obţinerea PTK. Apoi, AP procesează PTK, şi apoi foloseşte cheia de integritate a cheii pentru averifica MIC. Daca verificarea are succes, AP crede ca terminalul mobil are PMK.
AP trimite un mesaj care conţine un MIC către terminalul mobil. MIC este procesat
utilizând cheia de integritate a cheii din PTK. Daca terminalul mobil poate verifica cu succes
MIC-ul, atunci acesta crede ca şi AP poseda PMK. Acest mesaj mai conţine şi valoarea de
început a secvenţei de numere ce va fi folosita pentru a numără pachetele transmise, detectând
apoi eventualele atacuri. Acest mesaj semnalează terminalului mobil ca AP a instalat cheile şi
este gata pentru a cripta toate pachetele de date care vor urma.
In final, terminalul mobil confirma recepţia celui de-al treilea mesaj. Aceasta
confirmare semnifica şi faptul ca terminalul mobil este pregătit să cripteze pachetele de date ce
vor urma.
O dată ce PTK este obţinut şi cheile sunt instalate, pachetele de date ce urmează a fi
transmise între terminalul mobil şi AP sunt protejate prin chei de criptare şi de integritate a
datelor. În orice caz, aceste chei nu pot proteja mesajele Broadcast trimise de AP. Aceste
mesaje ar trebui protejate cu chei carr ar fi cunoscute de toate terminalele mobile şi de AP.
Deci, AP generează o cheie adiţională denumită Group Transient Key (GTK). GTK conţine o
cheie de criptare de grup şi o cheie de integritate de grup, care sunt trimise fiecărui terminal
mobil separat criptate cu cheia de criptare a cheii, respective cu cheia de integritate a cheii.
TKIP şi AES-CCMP
Şi TKIP şi AES-CCMP sunt bazate pe ierarhia cheilor prezentată anterior. În particular,
aceşti algoritmi folosesc chei de criptare a datelor şi de integritate a datelor pentru a proteja
confidenţialitatea şi integritatea pachetelor de date trimise între terminalul mobil şi AP. În orice
caz, folosesc algoritmi de criptare diferiti. TKIP, ca şi WEP, foloseste RC4, dar spre deosebire
de WEP, asigură o securitate reală. Avantajul TKIP este că ruleaza şi pe suportul hardware
WEP, vechi cu unele imbunătăţiri firmware. AES-CCMP are nevoie de un nou suport hardware
care acceptă algoritmul AES, dar asigură o soluţie mult mai clară şi mai elegantă, decât TKIP.
TKIP rezolvă defectele WEP astfel:
Integritatea: TKIP introduce un nou mecanism de protecţie a integrităţii denumitMichael. Michael operează la nivelul SDU (ex: operează cu date recepţionate de nivelul MAC
Un numar aleator (RAND) generat de un generator pseudoaleator sau aleator (fizic).
Managementul cheilor
Managementul cheilor pentru Bluetooth asigura fiecarui dispozitiv un set de chei de
criptare simetrice necesare petntru initializarea unui canal secretizat cu un alt dispozitiv, pentru
excutia unui protocol de autentificare si pentru schimbul de date secretizate cu alt dispozitiv.
Ierarhia cheilor
Ierarhia cheilor pentru Bluetooth, include doua tipuri de chei generice:
Cheia de legatura, care este impartita in doua sau mai multe parti si folosita ca si cheie
de criptare (KEK) pentru a cripta alte chei in timpul schimbului, sau ca valoare initiala, pentru a
genera alte chei.
Cheia de criptare, care este o cheie de criptare a datelor impartita (DEK).
Atat cheia de legatura cat si cheia de criptare a datelor sunt chei simetrice de 128 de
biti. Cheia de link poate fi clasificata ca si cheie de initializare, cheie de unitate, cheie de
combinatie sau cheie master.
Cand doua dispozitive au nevoie sa comunice utilizand securitatea la nivel fizic si
neavand un angajament anterior, ei stabilesc un canal securizat bazat pe cheia de initializare.
Acest canal este folosit apoi de dispozitivele care comunica pentru a stabili o cheie de legatura
semipermanenta, care va fi folosita de cateva ori pentru a asigura urmatorul schimb de chei
intre terminale. Cheia de initializare nu mai este folosita dupa primul schimb de chei. Fiecare
terminal genereaza cheia de initializare, folosind un generator de numere pseudoaleatoare, care
are valoarea initiala formata dintr-un numar personal de identificare (PIN) introdus de fiecare
utilizator pe fiecare dispozitiv, si de valoarea RAND schimbata intre terminale. Pentru ca cele
doua terminale sa genereze aceeasi valoare pentru cheia de initializare, aceleasi valori PIN
trebuiesc introduse pe fiecare dispozitiv.
Bazat pe generarea cheilor si capacitatea de stocare ale fiecarui terminal, cheia de
legatura semipermanenta impartita poate fi o cheie de unitate sau o cheie de combinatie, infunctie de generarea cheii si capabilitatile de stocare a terminalelor. Cheia de unitate este o
cheie specifica terminalului, si este generata la initializarea acestuia. Valoarea sa se schimba
rar. Este generata folosind un generator de numere pseudoaleatoare, cu valorile initiale RAND
si BD_ADDR (adresa fizica a terminalului). Cheia de combinatie este o cheie calculata de doua
terminale actiune bazata pe chei specifice fiecaruia dintre ele. Pentru a calcula cheia decombinatie, in primul rand fiecare terminal genereaza chei proprii bazate pe RAND si
BD_ADDR; cheile rezultate sunt apoi schimbate intre terminale folosind canalul securizat
criptat cu cheia de initializare. Cheia de combinatie este derivata de fiecare dintre terminale,
folosind simpla combinare a celor doua chei specifice celor doua terminale. Tipul cheii de
lagatura intre perechea de terminale, este negociata in timpul stabilirii legaturii. Daca unul
dintre terminale dispune de stocare restricionata, cheia de unitate a acestuia este folosita ca si
cheie de stabilire a legaturii, cu neajunsul evident al dezvaluirii cheii semipermanente specifica
fiecarui dispozitiv. Daca ambele terminale au suficienta putere de calcul (generare a cheilor), si
capacitate de stocare, atunci aleg sa foloseasca o cheie de combinatie ca si cheie de legatura
care are valori diferite pentru fiecare entitate.
Intr-un scenariu master-slave, o cheie de legatura cu viata scurta, denumita cheia
master, poate fi folosita intre terminalul master si cel slave. Durata de viata a cheii master este
limitata la durata sesiunii master-slave. Cheia master este generata de dispozitivul master
folosind un generator de numere pseudoaleatoare ce foloseste valorile initiale RAND si PIN.
Cheia rezultata este distribuita pe un canal securizat cu cheia de initializare catre fiecare
terminal slave cu care terminalul master vrea sa imparta cheia master.
Cheia de criptare este generata de o pereche de dispozitive care impart o cheie de
legatura folosind un generator de numere pseudoaleatoare initializat cu cheia de legatura,
numarul pseudoaleator RAND, generat de unul dintre dispozitive si transmis celuilalt apriori
pentru a cripta datele interschimbate, si un cifru secret denumit Authenticated Ciphering Offset
(ACO) generat de fiecare dispozitiv in procesul de autentificare.
Autentificarea
Schema de autentificare pentru Bluetooth, este bazata pe un protocol provocare-raspuns
(challenge-response), descris in figura de mai jos. Cand terminalul A vrea sa autentifice
terminalul B utilizand acest protocol, A genereaza numarul RAND si il trimite lui B ca o
provocare, apoi ambele terminale fac un calcul ce are ca rezultat SRES folosind algoritmul de
autentificare E1 cu RAND, cheia de legatura, si adresa dispozitivului B. B trimite catre Arezultatul SRES, ca raspuns . Autentificarea lui B are succes daca SRES-ul calculat de B,
Întrucât orice problemă de securitate are şi o rezolvare următorul capitol işi propune să
realizeze un ghid practic care să reprezinte atăt un guideline pentru realizarea unei reţele fără fir
sigure ,dar şi un motiv pentru un utilizator obişnuit de a lua în calcul proiectarea unei reţele
wireless în ciuda problemelor de securitate pe care acest capitol nu încearcă să le nege cât să le prevină.
Pericole şi riscuri pentru WLAN
Principalele tipuri de ameninţări la adresa securităţii reţelelor WI-FI sunt:
monitorizarea pasivă;
accesul neautorizat;
atacurile de tip .blocare a serviciului.,DoS;
atacurile de tipul omul-la-mijloc;
punctele de acces neautorizate sau incorect configurate;
abuzurile în reţea;
limitări şi puncte slabe ale măsurilor de securitate pentru reţeaua fără fir;
politicile de securitate.
Monitorizarea pasivă constă în interceptarea pachetelor de date transmise prin reţele
fără fir neprotejate şi explorarea informaţiei incluse cu ajutorul unor instrumente software
adecvate.Se pot afla, în acest mod, identificatori (nume) de utilizatori şi parolele asociate (furt
de identitate a unui utilizator autorizat), numere de cărţi de credit etc. Aplicaţiile de acest tip
permit captarea pachetelor şi stocarea lor pentru examinare ulterioară. Prin analiza pachetelor
este divulgat segmentul de date care, în funcţie de serviciile interceptate, pot furniza informaţii
deosebit de valoroase.
Accesul neautorizat. Într-o reţea Wi-Fi, neprotejată sau insuficient protejată, se poate
integra. o staţie client pirat prin asociere cu una din staţiile de bază (puncte de acces) localizate
in cadrul reţelei. În absenţa unor măsuri de securitate adecvate, această staţie poate accesa
servere sau aplicaţii din reţea. Contracararea accesului neautorizat se face prin autentificare
reciprocă între staţia client şi punctul de acces, autentificarea fiind operaţiunea de dovedire a
identităţii dispozitivului.
Blocarea serviciului poate afecta funcţionarea reţelei Wi-Fi sau o poate scoate total din
funcţiune pentru o perioadă de timp nedefinită. Gravitatea unui atac DoS depinde de impactul pe care îl are inactivitatea reţelei. Atacurile DoS pot fi de următoarele tipuri:
Atac prin .forţă brută.. Se realizează prin inundarea reţelei cu un număr forte mare de
pachete de date, care suprasolicită toate resursele reţelei şi o forţează să iasă din funcţiune.
Utilizarea unui semnal radio puternic. Pentru un astfel de atac este necesar un emiţător
puternic la mică distanţă de reţea, emiţător care poate fi detectat cu instrumente de localizare.Interferenţe neintenţionate. Constă în plasarea unui dispozitiv client, fictiv, între un
client legitim şi reţeaua wireless. Pentru aceasta se foloseşte protocolul de conversie a
adreselor, ARP, utilizat uzual de reţelele TCP/IP.
Puncte de acces neautorizate sau incorect configurate. Pot deveni o breşă importantă în
securitatea reţelelor wireless. Folosirea incorectă a unor identificatori, care pot fi interceptaţi,
pe post de parole, permite accesul neautorizat la structuri de date sau servicii ale reţelei.
Abuzuri în reţea. Acestea pot fi acţiuni neglijente ale unor utilizatori corecţi, sau acţiuni
deliberate pentru a afecta securitatea şi performanţele reţelei. Sunt dificil de identificat şi de
delimitat.
Instalare comodă în detrimentul securităţii
Pentru realizarea unei reţele wireless eforturturile de instalare sunt reduse la minin
deoarece odată cu dispariţia cablurilor dispar si durerile de cap. Instalarea dispozitivelor
wireless necesar este de regulă destul de simplă, procedeul fiind accesibil şi utilizatorilor fără
cunoştinţe solide de reţelistică. Adesea este suficientă poziţionarea Access Point-ului undeva în
reţeaua locală sau conectarea router-ului WLAN la internet. în cazul plăcilor de reţea wireless
actuale lucrurile sunt similare, deoarece driverele şi utilitarele de configurare necesare sunt in
mare parte integrate în Windows XP. Astfel, sistemul de operare recunoaşte automat placa
WLAN. După instalare sistemul activează aparatul, iar placa începe să caute reţele aflate în
raza sa de funcţionare. Deoarece majoritatea AP-urilor sunt dotate native cu un server DHCP
activ, care atribuie o adresă IP fiecărui client conectat la reţea, placa de reţea abia instalată
găseşte rapid şi Access Point-ul la care se poate conecta.
Pentru mulţi utilizatori de reţele wireless configurarea se sfârşeşte în acest punct, ceea
ce înseamnă că, evident, totul funcţionează după realizarea setărilor standard. Însă această
instalare „comodă" are o mare problemă: pentru că dispozitivele instalate să se înţeleagă de la
un bun început, toate setările relevante de securitate - cum ar fi codarea WEP sau filtrarea
adreselor MAC - sunt dezactivate.
În altă ordine de idei, majoritatea utilizatorilor se trezesc depăşiţi de setările adesea
neclare, de driverele neprietenoase, de termenii tehnici incomprehensibili, de multitudineaopţiunilor şi de incompatibilitatea diverselor echipamente hardware, astfel încât renunţă la
ca şi reţeaua. Access Point-urile sunt livrate de obicei cu SSID-uri standard. De pildă, CISCO
utilizează „tsunami", Netgear „wireless" şi D-Link „wlan". SSID-urile altor producători pot fi
găsite la www.cirt.net , prin accesarea link-ului Default Wireless SSIDs. Dacă un atacator
găseşte reţele cu astfel de denumiri standard, acesta află imediat de la ce producător provineAP-ul. Cu această informaţie el îşi poate procura de pe diferitele pagini de internet materiale
care îl vor ajuta să se familiarizeze cu firmware-ul utilizat. Chiar şi în cazul în care sunt
utilizate în reţea măsurile de securitate WEP, WPA sau ACL, un SSID default trădează un
administrator de reţea care nu pune mare accent pe siguranţă.
De aceea, este obligatoriu dezactivarea funcţiei Broadcast a dispozitivului.
Dezavantajul este că realizarea unei conexiuni nu mai este posibilă decât prin introducerea
manuală a SSID-ului corect.
Avantajul vine din faptul că reţeaua WLAN devine invizibilă pentru utilitarele
hackerilor. Dacă aceştia nu identifică numele reţelei nu mai există pericolul iniţierii atacurilor
asupra reţelei. De multe ori însă această funcţie de securitate nu este practicată în firmele mari,
cu mulţi clienţi WLAN, din cauza efortului de administrare. Mai mult, nu opreşte decât war
driverii aflaţi în trece
re. Din cauza faptului că SSID-ul este ataşat header-ului fiecărui pachet de
date , atacatorul potenţial trebuie doar să se posteze în apropiere cu un sniffer şi să aştepte un
transfer de date dinspre reţea pentru a determina valoarea utilizată. Tocmai din acest motiv este
imperativ să ţinem cont de alte câteva aspecte importante în ceea ce priveşte manipularea
SSID-ului:
tentativele de accesare a unei reţele wlan pot fi îngreunate şi prin modificarea SSID-ului
imediat la punerea în funcţiune a Access Point-ului. Această funcţie poate fi privită ca o
modalitate de control a accesului în WLAN şi poate reprezenta chiar o parolă. Denumiri
precum „firma-xy.contabilitate. subsol" ar trebui evitate, deoarece pot oferi atacatorilor indicii
clare asupra conţinutului datelor transferate, facilitându orientarea în reţeaua vizată.
utilizarea unei combinaţii cât mai lungă de litere, cifre şi caractere speciale.Este
recomandată folosirea de majuscule, cât şi de minuscule şi evitarea cuvintele incluse în
dicţionare (acestea din urmă pot fi uşor identificate cu ajutorul aşa numitelor liste de cuvinte).
Un SSID precum lyXq34*$56hrYvWdA78eE0Oijl2 ajută nu doar la protejarea SSID-ului
împotriva atacurilor de tip Brute-Force, ci oferă şi o altă funcţie de securitate de maximă
importanţă: programe precum WEP-Crack adună pachetele transmise de WLAN în scopul
spargerii codării WEP. Dar, fiindcă driverele Wi-Fi din Linux nu întreprind nici un fel de
verificare a datelor prin sume de control, iar caracterele speciale din SSID (conţinute de fiecare pachet) nu sunt lizibile pentru program, pachetele sunt declarate ca fiind defecte şi, implicit,
respinse. Cu alte cuvinte, pachetele de date necodate transmise de WLAN nu mai pot fi inter-
ceptate şi sparte.
Parole standard simple
Dacă reţeaua a fost depistată, atacatorul va încerca neîntârziat (prin diferite metode) săcontroleze sistemele disponibile în LAN sau în internet. De multe ori acest lucru nu este
posibil, iar aceasta din cauza configuraţiei Access Point-ului (când este dezactivată funcţia
DHCP, de exemplu). Pentru a evita căutarea îndelungată a adresei IP „corecte", mulţi atacatori
se ocupă mai întâi cu identificarea punctelor slabe ale Access Point-ului. Configurarea şi
administrarea acestuia are loc de regulă prin intermediul SNMP (Simple Network Management
Protocol), disponibil împreună cu driverul corespunzător pe pagina de internet a producătorului
şi uşor de executat via USB sau, şi mai comod, prin intermediul browser-ului, per interfaţă
web. Pentru a evita utilizarea nepermisă, accesul la meniul de configurare este precedat de
solicitarea parolei şi a numelui de utilizator. Nativ, aparatul este protejat doar printr-o parolă
standard, aleasă de producător. Compania Netgear utilizează de exemplu parola nu prea
originală „password", iar Cisco îşi „protejează" aparatele cu propriul său nume. Adesea nu mai
există funcţia de securitate care obligă utilizatorul să mo
difice parola la prima utilizare. Din
această cauză, mulţi utilizatori fără experienţă uită să treacă ulterior şi prin acest pas vital
pentru siguranţa reţelei. Un atacator al unei reţele wireless descoperă eventuale posibilităţi de
acces prin testarea integrităţii parolei introduse. Utilitare precum Network Stumbler sau
Aerosol dispun de o bază de date cu numele tuturor producătorilor şi echipamentelor lor, cu
ajutorul căreia aceste programe pot compara informaţia oferită de pachetele interceptate. Dacă
producătorul este cunoscut, ajunge o simplă privire în manual sau pe pagina de asistenţă a
companiei pentru a obţine, pe lângă datele despre produs, parola standard a aparatului.Pentru
AP-urile foarte răspândite este suficientă de obicei consultarea bazelor de date gen
www.cirt.net.
Chiar şi atunci când parola a fost modificată în cursul procesului de instalare reţeaua nu
devine sigură deoarece este susceptibilă unor atacuri de tip forţă brută care pot fi realizate cu
programe gen BRUTUS , spargerea unor parole simple (compuse din mai puţine de şase
caractere) este posibilă în scurt timp. Dacă atacul are success , hacker-ul poate începe să
manipuleze configurare AP-ului pregătind terenul pentru a accesa reţeaua şi sistemele conectate
Figure 4.2 La atacuri de tip Brute-force asupra AP-urilor , utilitare precum Brutusiniţiază nenumărate încercări de conectare
Probleme de securitate pe care le accesează cu predilecţie un atacator sunt legate şi de
bug-urile de firmware . El caută astfel puncte slabe ale AP care pot fi remediate doar printr-un
update de firmware. Unele aparate reacţionează în mod cu totul neînţeles la reset, respectiv prin
anularea setărilor şi/sau a configuraţiei aparatului la atacuri de tip Denial-of-Service (DoS).
Cisco a anunţat, de exemplu, o eroare din firmware-ul IOS al AP1100, 1200 şi 1400, care
permite unui atacator să forţeze un reboot printr-o cerere manipulată la serverul web almeniului de configurare fără a fi necesară o autentificare prealabilă.
Alte sisteme, ca de exemplu Access Point-ul WLAN \VG602vl e la Netgear, au unele
versiuni de firmware cu parole Maşter care s-au aflat datorită unor scurgeri de informaţii sau au
fost depistate de hackeri inventivi. Aici numele de utilizator este „super", iar parola este
numărul de telefon al unui furnizor din Taiwan :5777364. Versiunile incorecte de software
intern al aparatelor se pot corecta printr-un update de firmware.
4.2 Sniffing - spionarea reţelelor WLAN
După cum am mai spus, aşa-numitul sniffing este unul dintre cele mai mari pericole în
WLAN. Reţelele fără fir care transferă date în lipsa unei protecţii sunt cele mai susceptibile de
astfel de atacuri. Hacker-ul trebuie doar să se afle la locul potrivit în momentul potrivit pentru a
intercepta informaţii precum parolele, informaţiile de acces, documentele importante ,
informaţiile personale sau foarte sensibile. Pericolul de sniffing a datelor trans
mise prin reţeaua
fără fir nu vine în acest caz atât de la war driverii care patrulează în căutarea de reţele, cât mai
degrabă de la hackerii şi vecinii din imediata apro
funcţie de fluxul de date, aceste atacuri pot fi destul de greoaie, hackerii trebuie să dea dovadă
de foarte multă răbdare. în plus, timing-ul este important pentru atacatori, în fond ei trebuind să
intercepteze traficul atunci când trec prin reţea date cu adevărat importante pentru ei.
Actualmente, sniffing-ul este foarte popular în centre orăşeneşti , la universităţi şi alte şcolisuperioare, unde există numeroase hotspot-uri. Aceasta deoarece, pentru a permite utilizatorilor
accesul uşor şi comod în reţeaua WLAN, unii administratori renunţă la orice fel de codare, în
ciuda riscurilor de securitate binecunoscute. Cei mai mulţi utilizatori ai hotspot-urilor nici
măcar nu îşi închipuie că datele lor sunt trans
mise „plain text" atunci când îşi acce
sează căsuţa
poştală sau interfaţa web. Acest lucru înseamnă că oricine are posibilitatea să intercepteze
parolele altor useri cu ajutorul unui sniffer WLAN.
Funcţionare :
Spre deosebire de reţelele fizice, adică legate prin cablu, în care mai este încă nevoie să
avem acces local sau cel puţin remote la un sistem pentru a putea captura date din reţeaua
internă, atacatorul unui WLAN trebuie doar sâ se afle în apropierea reţelei care îl interesează.
Pentru a începe sniffing-ul, placa de reţea este setată de atacator în aşa-numitul Monitor Mode.
În acest mod de lucru este posibilă o „ascultare" pasivă a reţelei, aşadar fără a fi transmite
vreun pachet de date, ca să nu mai vorbim de autentificarea în reţeaua atacată. Tocmai acest
avantaj face sniffing-ul atât de popular . Dacă un pachet de date transmis prin Access Point sau
orice alt sistem participant la reţea trece prin interfaţa de reţea a hacker-ului, acesta este
interceptat automat de placa de reţea. În esenţă, acest mod nici măcar nu era prevăzut la
ratificarea standardului IEEE 802.11, ci mai degrabă servea unor producători ca mod de test
pentru de-bugging şi analiza erorilor. Cu toate acestea, unele companii au integrat funcţia în
chipset-urile unor plăci de reţea WLAN, printre acestea Prism2 şi Hermes.
Dacă dorim să aflăm cât de sigură este reţeaua din punct de vedere al posibilităţilor de
sniffing, trebuie doar verificat dacă placa de reţea dispune de unul din chipset-urile menţionate
mai sus . O bună alegere reprezintă plăcile marca Orinoco sau Cisco (seria Aironet) , dar pe zi
ce trece tot mai mulţi producători implementează această funcţie în chipset-urile placilor de
reţea . Pe lângă placa potrivită, atacatorul mai are nevoie şi de un utilitar adecvat, care să
analizeze şi să afişeze traficul interceptat. Foarte popular este, de exemplu, sniffer-ul gratuit
open source Ethereal, cu ajutorul căruia se pot analiza pachetele individuale ale diferitelor
protocoale. Ethereal este un sniffer gratuit de tip open source folosit de majoritatea
administratorilor de reţea cât şi de atacatori ce doresc să captureze informaţii importante despre
reţeaua de interes. Ca majoritatea sneffer-elor comerciale suportă o listă lungă de protocoale şi poate realiza capturi de la orice tip de placă de reţea.
Ethereal poate rula pe majoritatea platformelor de UNIX aşa cum poate fi rulat şi sub
Windows. Codul sursă este disponibil atât pentru Windows cât şi Unix , dar modificări pot fi
uşor realizate sub Unix întrucât există o multitudine de compilatoare care pot modifica mediul
de lucru. Pe măsură ce 802.11 a devenit tot mai popular şi mai bine acceptat de Linux posibilitatea de analiză hardware a fost tot mai acceptată. Iniţial doar plăcile de reţea bazate pe
chipset Prism erau suportate ,dar tot mai mulţi producători folosesc plăci WLAN suportate de
Ethereal şi implicit sub Unix.
Aşadar, pentru un atacator toate tipurile de parole sunt interesante. Acestea sunt
interceptate de obicei atunci când utilizatorul se loghează la contul de mail sau la alte sisteme,
parolele fiind transmise „plain text" în WLAN. Sniffer-ul insinuat în WLAN le va putea
intercepta, fără probleme.
Suplimentar, Ethereal dispune de o funcţie de filtrare, cu ajutorul căreia sunt
recepţionate pachete de date trimise de clienţi sau AP-uri individuale în reţea, programul
respingând protocoalele considerate neinteresante. Această proprietate a sniffer-ului esre
importantă pentru atacator , pentru o mai bună monitorizare a traficului de date.
La sniffing-ul fluxului de date sunt capturate şi adresele MAC valide transferate
necriptat. Există o serie de utilitare care facilitează rescrierea adresei MAC, pentru a păcăli
Acces Point-ului cu o pretinsă adresă MAC validă pentru reţea. Cu o adresă MAC astfel
fabricată se poate ocoli restricţia ACL-ului, protecţia oferită de această funcţie fiind anulată.
WEP – protecţie cu puncte slabe
Pentru a proteja integritatea datelor de transferat, Institute of Electrical and Electronic
Engineers (IEEE) a dezvoltat o procedură specială de codare, pe numele său Wired Equivalent
Privacy (WEP). Este vorba despre unul dintre cele mai importante mecanisme de securitate
pentru WLAN şi, din 1998, a fost integrat tuturor standardelor wireless. Deja WEP a ajuns
subiect de discuţie de ceva timp din cauza pro
blemelor de securitate documentate, cu toate că
utilizarea sa este destul de eficientă pentru stoparea potenţialelor atacuri în WLAN. Capitolul
anterior a discutat probleme tot mai dese de securitate întâlnite în reţelele WLAN ce folosesc
WEP ca modalitate de protecţie a datelor transferate prin reţea. Pentru a compromite codarea
WEP atacatorul are totuşi nevoie de timp pentru a trece de acest mecanism de protecţie aşa ca
folosirea lui este încă reomandată.
Ca metodă de codare, WEP utilizează o aşa-numită criptare Stream-Chipers, care
codează datele individuale bit cu bit. în funcţie de hardware-ul instalat, lungimea cheii (WEP-
Key) poate fi de 64 până la 256 biţi. Cheia se compune dintr-un vector de iniţializare (un număr aleator care se modifică la fiecare pachet de date şi are o lungime de 24 biţi) şi din restul cheii,
cu o lungime de la 40 la 233 biţi, care este stabilită de utilizator prin introducerea cheilor WEP.
La procedura de criptare WEP, codarea se limitează la datele utile transmise în pachetul de
date, ceea ce înseamnă că header-ul IP nu este protejat. La criptarea datelor utile se calculează
şi o sumă de control ce se ataşează pachetului. Acest lucru ar trebui să împiedice manipulareadatelor de către terţi în timpul transferului. Aceste date sunt, aşadar, criptate de AP în baza
cheii comune WEP şi decodate de client (reciproca este valabilă). Findcă pentru codare şi
decodare este utilizată aceeaşi cheie, este necesar ca atât emiţătorul, cât şi recepto
rul să
cunoască această cheie . Baza este formată întotdeauna de cheia identică utilizată de Access
Point şi de clienţi la comunicare. Dacă un client doreşte să acceseze reţeaua fără fir, AP-ul îi
solicită să genereze un vector de iniţializare, care este apoi combinat cu cheia WEP şi codat
printr-un algoritm.
Breşele de securitate din WEP
Pentru generarea acestei chei, WEP utilizează algoritmul RC4. Acesta calculează, din
WEP şi vectorul de iniţializare, o cheie potrivită. Dar tocmai acest algoritm de codare este una
din cele mai mari probleme ale WEP.
RC4 a fost dezvoltat în 1984 de către Ronald L. Rivest, un angajat al RSA. Din Rivest's
Cipher 4 a derivat acronimul RC4. După ce timp de şapte ani acesta a fost catalogat drept strict
secret şi a fost protejat ca atare, codul său sursă a ajuns să fie aflat, printr-o breşă de securitate
rămasă necunoscută până astăzi. Astfel, hackerii au putut analiza pe îndelete algoritmul, pentru
a-i depista eventualele puncte slabe. într-adevăr, după scurt timp s-a descoperit o posibilitate de
spargere a datelor codate cu RC4, prin acţiuni de inversare. Dat fiind faptul că RC4 codează
unele cifre mai bine decât altele, un potenţial atacator are posibilitatea de a reconstrui cheia
WEP după re-ceptionarea unui număr suficient de pachete de date.
O slăbiciune majoră a codării WEP este transferul necodat al vectorului de iniţializare
în header-ul 802.11. De aceea, majoritatea atacurilor se bazează pe analiza vectorului de
iniţializare în relaţie cu RC4-Output Byte. Atacatorul doreşte, aşadar, să reconstruiască cheia
comună. În acest sens, cu ajutorul utilitarelor gen WEPCrack este exploatată o problemă la
generarea vectorului de iniţializare de doar 24 biţi (cu ajutorul unui pseudo-generator WEP
PRNG). La o lungime de 24 biţi există un număr limitat de combinaţii care ar putea fi utilizate
drept variante de codare pentru RC4. Pentru cele aproximativ 16 milioane de combinaţii
posibile, teoretic şi vectorul de iniţializare utilizat se repetă după tot atâtea pachete de date
transferate.
Utilitare precum AirSnort necesită de regulă, conform declaraţiilor autorilor, doar cinci până la 10 milioane de pachete pentru a determina cheia corectă, în funcţie de activitatea
clienţilor, în acest caz vorbim despre câteva ore, maxim zile. Dacă traficul de reţea necesar
lipseşte, utilitarul agresorului poate memora înregistrările deja efectuate şi îşi reia activitatea
ulterior ca şi cum nu ar fi existat acea întrerupere. Astfel, un hacker din vecinătate poate evalua
pachetele disponibile pe parcursul câtorva săptămâni sau luni. în cazul reţelelor mari (cu traficintens), capturarea numărului necesar de pachete este posibilă şi într-un timp mult mai scurt.
Dacă se atinge această limită, aflarea cheii WEP cu ajutorul programului potrivit devine o
chestiune de minute.
Un alt punct slab al WEP rezidă în lipsa key managementului. Deoarece cheile dintr-o
reţea trebuie distribuite manual tuturor sistemelor participante, în practică ele nu sunt înlocuite
decât foarte rar, dacă nu deloc. Acest mod de distribuire a cheilor are drept consecinţă punerea
în pericol a întregii reţele wireless, chiar şi atunci când doar o singură cheie nu mai este secretă.
Mai mult, dimensiunea pachetelor creşte la codarea WEP, micşorând însă lăţimea de bandă la
transferul datelor în WLAN. Acest lucru nu este pozitiv în ceea ce priveşte popularitatea
codării WEP în rândul utilizatorilor care doresc să transfere volume mari de date în timp cât
mai scurt. Astfel, majoritatea utilizatorilor decid să renunţe la WEP în detrimentul securităţii.
Există totuşi o soluţie de compromis, care implică utilizarea mai multor Acces Point-uri.
Rămâne însă problema compatibilităţii AP-urilor între ele, dar problema cos
turilor
suplimentare.
În pofida tuturor acestor probleme de securitate, codarea WEP nu este inutilă, pentru că
este totuşi mai bine să utilizăm o protecţie vulnerabilă decât să nu avem niciuna. Tot ceea ce
trebuie să ştim foarte clar este că WEP nu oferă prea multă siguranţă. După publicarea pro
-
blemelor WEP şi, implicit, a riscurilor de securitate pentru utilizator, o serie de producători
renumiţi s-au decis să dezvolte alte metode alternative de pro
tecţie, însă, pentru ca aceste
măsuri să fie puse în practică, utilizatorul trebuie să apeleze la hardware de la acelaşi pro-
ducător, fiind aşadar dependent de acesta atunci când doreşte un upgrade al reţelei.
WPA - alternativa sigură
După ce mecanismul WEP s-a dovedit relativ nesigur, multe întreprinderi au ezitat să
utilizeze tehnologia WLAN. Altele s-au orientat după soluţii de încredere, ca alternativă pentru
WEP. Astfel, mulţi producători au întrezărit şansa să ofere propriile standarde de securitate
WLAN. Totuşi, abundenţa de protocoale diferite a devenit o problemă în termeni de
interoperabilitate pentru aparatele asemănătoare de la producători diferiţi.
De aceea, IEEE a scos pe piaţă, la începutul lui 2004, un nou standard de securitate şi
criptare cu denumirea Wi-Fi Protected Access (WPA), menit să schimbe situaţia în mod radicalşi să elimine problemele principale ale predecesorului WEP.
Spre deosebire de WEP, WPA protejează datele cu o cheie dinamică, mai bine spus cu
patru chei diferite pentru fie
care client WLAN. Cheia este utilizată numai la conectarea
clientului în reţea şi este înlocuită ulterior printr-o cheie de sesiune. Noul management al
cheilor WPA este ideal pentru reţelele wireless mari, aşa cum sunt ele utilizate în companii. Cuajutorul unui server de autentificare, datele de acces ale utilizatorilor sunt administrate
centralizat. Pentru reţelele mici, private, metoda de autentificare Pre-Shared-Key permite
tuturor utilizatorilor să se conecteze cu aceeaşi parolă.
Şi în WPA au fost găsite câteva puncte slabe . Cu toate că unele se bazează doar pe
teorii aplicabile în practică şi nu sunt atât de mari ca în cazul WEP, ele trebuie avute totuşi în
vedere la managementul cheilor. Mai ales cheia de grup, care trebuie să fie cunoscută tuturor
staţiilor, este călcâiul lui Ahile pentru WPA. Dacă aceasta intră pe mâna unui utilizator neauto-
rizat, acesta este în măsură să intercepteze schimbul iniţial de chei între client şi Access Point.
Un alt punct slab al WPA este utilizarea unor parole prea scurte sau foarte uşor de
ghicit. Din această cauză, furtul parolelor poate fi încununat de succes. Siguranţa este, prin
urmare, strâns le
gată de calitatea respectivei parole. Grupul tinyPEAP (www.tinypeap.com) a
scris, pe baza acestei probleme de securitate, un program bazat pe unix, numit WPA Cracker.
Hacker-ul nu mai trebuie decât să înregistreze, cu un sniffer precum Ethereal, pachete
individuale în timpul etapei de autentificare WPA. Utilitarul încearcă apoi să reconstruiască
offline cheile de autentificare WPA, cu ajutorul unui atac de tip Brute-Force sau dictionary.
Încă o problemă a standardului de securitate WPA a apărut în algoritmul integrat
Message-Integrity-Check, care teoretic ar trebui să servească drept protecţie împotriva posi-
bililor atacatori. A fost dezvoltat iniţial pentru a preîntâmpina atacuri de tip Brute-Force, la care
reţeaua este atacată cu utilitare speciale, prin încercarea constantă de conectare cu ajutorul di-feritelor parole. La utilizarea algoritmului Message-Integrity-Check sunt dezactivate toate
legăturile (inclusiv AP-ul) pentru o anumită perioadă de timp, dacă în decurs de câteva secunde
către Access Point este transmisă mai mult de o cheie falsă. Acest lucru este însă critic, fiindcă
un utilizator dotat cu un PDA sau cu un telefon mobil trebuie să transmită doar câteva date de
acces false pentru a paraliza destul de mult timp sistemul.
Un alt dezavantaj deloc de ignorat este timpul de calcul mai mare necesar mai
puternicului mecanism de criptare. Mai ales în cazul sistemelor vechi pot interveni probleme de
perfor
manţă.
4.5 Guideline pentru realizarea unei reţele sigure
Breşele de securitate în WLAN sunt mai mult decât suficiente pentru cineva interesat de
a accesa resursele unei reţele , dar tot la fel de adevărat este că există şi o multitudine de
metode de a stopa atacurile ce au ca scop fie modificarea şi manipularea informaţiilor din reţea
sau doar simpla accesare a reţelei. O combinare iscusită a măsurilor de securitate oferă o
securitate crescută reţelelor WLAN fiind nevoie doar de combinarea funcţiilor de securitate
oferite aşa cum sunt : decuplarea funcţiilor Broadcast şi DHCP , criptarea datelor cu WEP ,
activarea WPA sau şi mai bine a standardului superior WPA2 ( corespunzător IEEE 802.11i ).
Pot fi întreprinse dealtfel şi măsuri ce implică autentificarea clienţilor individuali cu ajutorul
Acces Control List ( ACL ) prin intermediul adreselor MAC ale clienţilor. Fiecare dintre aceste
măsuri de securitate are propriile puncte slabe , pentru a căror exploatare există de regulă
numeroase utilitare gratuite . Totuşi volumul de lucru pe care o persoană trebuie să îl depună
pentru depăsirea acestor obstacole va descuraja numeroase tentative de atac.
Optimizarea criptării
Din cauza publicării relativ tardive a breşelor de securitate din WEP, soluţia pentru
acestea a venit mult prea târziu, deoarece standardul de criptare este deja utilizat în milioane de
aparate compatibile 802.11.
Cu toate acestea, nu este foarte greu de eficientizat această modalitate de codare. La
achiziţia unui aparat wireless trebuie luat în calcul în primul rând ca lungimea maximă a cheii
de criptare să fie de 128 sau chiar de 256 biţi. De asemenea aceasta trebuie să fie suportatădeopotrivă de plăcile de reţea şi de Access Point.
adreselor MAC există o soluţie. .Mai ales micile reţele atribuie clienţilor adrese IP standard
192.168.0.1 până la 192.168.2.255, deoarece şi echipamentele de reţea ale majorităţii
producătorilor sunt livrate cu adrese implicite din acest domeniu. Utilizatorii păstrează aceste
adrese şi de aici încep problemele: cu cât în ACL-ul AP-ului sunt înregistrate mai multe adresecare nu sunt conectate la momentul atacului, cu atât şansele atacatorului de a găsi o adresă
MAC valabilă sunt mai mari. Astfel, dacă un client nu se află un timp mai înde
lungat în reţea,
adresa MAC a acestuia este ştearsă şi, la nevoie, reînregistrată.
Pentru a testa codarea avem nevoie de un utilitar de tipul AirSnort sau Wep-Crack.
Aceste programe pot filtra şi decripta cheile WEP din traficul de reţea curent, în acest scop,
aplicaţiile menţionate nu au nevoie decât de timp pentru protocolarea unui număr suficient de
pachete codate.
Aceste programe funcţionează exclusiv cu plăci de reţea care dispun de un chipset
Prism2 sau de un driver modificat şi care pot trece în modul de monitorizare (de exemplu
Orinoco sau Cisco Aironet). Majoritatea uneltelor de spart parole WEP sunt folosite numai sub
Linux, însă şi utilizatorii de Windows au posibilitatea de a decoda WEP, cu ajutorul lui
AirSnort. Pentru folosirea lui AirSnort sub Windows trebuie instalat suplimentar GLIB şi
GTK+ 1.3 (la fel şi sub Linux). Dacă însă placa lucrează deja cu acest SO, probabilitatea
compatibilităţii sale totale şi nemijlocite cu AirSnort este foarte mare.
Conform descrierii, programul are nevoie de cinci până la 10 milioane de pachete
codate cu aceeaşi cheie pentru a filtra suficiente informaţii necesare decodării unui algoritm
slab. În practică sunt necesare de două ori mai multe, însă, spre deosebire de un atacator
adevărat, pentru testarea reţelei proprii nu trebuie decât să aşteptăm până când acestea sunt
generate prin intermediul traficului uzual în reţea. Colectarea informaţiilor ar putea dura mai
multe zile. Procesuil constă doar în a copia pur şi simplu cantităţi mari de date de la un client la
celălalt şi AirSnort să lucreze. După câteva ore ne putem da seama cât de sigură este cheia
folosită în reţea. Dacă rezultatul nu este mulţumitor, strategia de key management trebuie
regândită , în mod normal fiind necesară utilizarea a cel puţin patru chei pe caree să le
modificăm măcar o dată pe lună. în acest fel musafirii nepoftiţi având mai mult de lucru: chiar
dacă reuşesc să spargă o cheie, trebuie să o ia de la capăt cu următoarea.
Pentru decodarea WPA avem nevoie de mai puţine pachete, însă la fel de multă răbdare
ca şi un atacator, pentru că în acest caz este vorba despre un atac offiine. Un sniffer precum
Ethereal înregistrează doar faza de autentificare WPA, şi abia ulterior este iniţializat un atac de
tip Brute-Force cu un cracker WPA asupra WLAN-ului. În funcţie de lungimea parolei(Pairwise Maşter Key) şi de performanţele proceso
săptămâni. Şi aici modificarea parolei la intervale regulate reprezintă o măsură de se
curitate
înţeleaptă.
În continuarea vom încerca să realizăm un ghid practic şi la îndemâna oricărui utilizator
în momentul în care doreşte să păstreze reţeaua WLAN cât mai ferită de atacurile inerente ce pot apărea asupra reţelei.
Pornirea în siguranţă a router-ului WLAN
Principala problemă de securitate a reţelelor wireless constă în fapt în instalarea lor
foarte uşoară. Router-ul WLAN odată pornit , aceste emite imediat semnale de identificare
precizănd un nume şi cererea de clienţi pe care să îi conecteze. Placa de reţea WLAN instalată
în notebook trebuie doar să recepţioneze acest semnal şi legătura este activă laptopul primind
de la router chiar şi adresa IP necesară. De aceea la prima configurare router-ul trebuie
configurat la reţea prin cablul de reţea. Acest lucru este în primul rând mai comod , dar şi nu
mai pot fi transferate date confidenţiale prin reţeaua fără fir. Pornirea router-ului WLAN se
face înaintea calculatorului , router-ul fiind şi sever DHCP pentru reţea , iar pornirea în această
sucesiune face posibilă obţinerea automat a unei adrese IP. Parola de administrare implicită
trebuie dezactivată deoarece liste cu astfel de parole standard pot fi uşor de găsit. Important de
reţinut este că o parolă de acces protejează doar router-ul nu şi conexiunea radio. Mecanismele
de criptare a reţelei tot în acest moment sunt activate , codarea WPA cu Preshared Key (WPA-
PKS) fiind cea implicită oferită de majoritatea dispozitivelor wireless disponibile pe piaţă.
Deasemeni parola de acces trebuie modificată în aşa fel încât să fie sigură lucru ce presupune
folosirea deopotrivă de litere , cifre şi caractere speciale.
Utilizarea codării WEP
Cel mai uzual mod de a asigura o reţea presupune criptarea datelor ce urmează a fi
transferate . Terţii nu vor putea intercepta nimic din traficul de reţea şi nici nu se pot conecta
fără parolă. . Răspânditul standard WEP (Wired Equivalent Privacy), care este utilizat în
majoritatea reţelelor wireless, are însă câteva puncte slabe.
Un pachet de date transferat prin WEP se compune dintr-un aşa-numit vector de
iniţializare (VI) şi din datele criptate. Acestea din urmă conţin la rândul lor o sumă de control,
pentru a putea descoperi eventualele manipulări. Principala slăbiciune a codării WEP este
vectorul de iniţializare, el având întotdeauna 24 de biţi. Din acesta şi din cheia WEP un
algoritm poate calcula codul criptat, care este transmis prin reţeaua radio. Din VI-ul transmis în
original şi cheia WEP, re
ceptorul va calcula datele originale.
Problema: Standardul WEP recomandă ca fiecare pachet să aibă un alt vector de iniţi-alizare. Din păcate, acest lucru nu este respectat de toţi producătorii şi nici nu prea există
referinţe despre cum se generează un vector de iniţializare. De regulă, în acest sens este utilizat
un pseudo-generator de numere aleatoare. Consecinţa este că, mai devreme sau mai târziu, VI-
ul ajunge să se repete. Un studiu realizat de Universitatea Berkley spune că vectorul de
iniţializare se repetă după circa 5.000 de pachete de date transmise în reţeaua wireless. Dacăhacker-ul descoperă două pachete cu VI identic, acesta poate descoperi cheia WEP. Problema
cea mai importantă se pare că o constituie faptul că pentru un atac asupra unei reţele WLAN un
rău –voitor nu are nevoie de software complicat ,programe care pot sparge WEP sunt
disponibile de exemplu la adrese ca wepcrack.sourceforge.net sau airsnort.shmoo.com .
Totuşi aşa cum am precizat mai devreme un element de securtate desuet aşa cum este
WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu
alte metode de întărire a securităţii reţelei.
3. Minimizarea riscurilor criptării WEP
Cel mai simplu este pentru atacatori atunci când pentru criptare sunt utilizate doar chei
de 40 de biţi (64 biţi minus 24 biţi VI). Acestea sunt atât de scurte, încât combinaţiile pot fi
încercate şi sparte în cel mai scurt timp posibil. Mai mult, cheile sunt schimbate foarte rar sau
deloc, ceea ce înseamnă că atacatorii au adesea şanse de izbândă. Ulterior, reţeaua fără fir
rămâne deschisă pentru mult timp. În cazul în care este folosită co
darea WEP, este indicată
folosirea măcar a unei chei lungi, de 104 biţi (128 biţi minus 24 biţi VI).
4.Utilizarea WPA în loc de WEP
Pentru siguranţă eficientă o reţea WLAN ar trebui să utilizeze noul standard de
Integrity Protocol). Îmbunătăţrea adusă de acest nou management al cheilor este că la începutul
transferului, ambele staţii radio stabilesc o cheie individuală de start. Pentru aceasta, parola
trebuie transmisă o singură dată. Pornind de la cheia iniţială, fiecare pachet de date transferat
conţine o cheie individuală pentru codare. În cazul acestei proceduri este aproape imposibilă
obţinerea codului original. Dezavantajul: WPA necesită mai mult timp de calcul şi produce un
trafic mai mare, ceea ce înseamnă că nu putem transmite la fel de rapid ca la codarea WEP.
5.Hardware mai sigur
În cazul router-elor WLAN, drumul către WPA trece printr-un update de firmware.
Adaptoarele WLAN pentru PC au nevoie de drivere noi, compatibile WPA (disponibile adesea
pe pagina producătorului). Şi Windows XP are nevoie de o actualizare pentru a se înţelege cuWPA. O primă cerinţă este existenţa a cel puţin Service Pack 1 în sistem. Suplimentar, trebuie
instalat patch-ul „Windows XP-Support patch for Wireless Protected Access", ce poate fi găsit
la adresa microsoft.com/downloads/.
După instalarea patch-ului, în proprietăţile reţelei, la Wireless Networks vom găsi
SSID-ul reţelei. Clic pe Configure şi ajungeţi în următorul meniu vom selecta, la Network Authentication, înregistrarea WPA-PSK. Este posibil ca acolo să fie trecută o altă denumire,
dar în orice caz aceasta trebuie să fie ceva de genul WPA şi Pre-Shared Key.
6. Ascunderea SSID-ului
Dacă router-ul dispune de o opţiune pentru ascunderea identităţii reţelei (SSID),această
opţiune trebuie activată. De asemenea, trebuie modificat numele reţelei, deoarece mai toate
folosesc denumirea implicită. În locul acesteia este de preferat o descriere care să nu însemne
nimic re-cognoscibil, în nici un caz numele proprii. Dacă SSID-ul este ascuns, hacker-ul trebu-
ie să introducă numele reţelei manual, ca şi în cazul parolelor. Acest truc nu vă oferă însă
siguranţă absolută, fiindcă utilitare precum Network Stumbler descoperă şi reţele ascunse.
Filtrarea adreselor MAC
Ca o măsură de siguranţă suplimentară împotriva intruşilor, în reţea ar trebui să aibă
acces doar anumite adrese MAC. Adresele MAC sunt identificatori (gen serie de buletin) cu o
lungime de 48 de biţi pentru adaptoarele de reţea. Setările din router-ul WLAN pot fi găsite
într-un meniu numit de obicei MAC-Filter. Aici, sunt introduse într-o listă, adresele MAC ale
clienţilor. Unele routere permit chiar preluarea în listă a clienţilor autentificaţi. În cazul în care
acest lucru nu este posibil, obţineţi adresa MAC a clienţilor Windows în linie de comandă
(Start-Run-cmd), prin introducerea comenzii ipconfig/all. Din păcate, adresele MAC pot fi
falsificate. Chiar dacă din cauză că ca o adresă MAC poate fi uşor falsificată se recomandă
evitarea folosirii acestei metode de securizare a reţelei, totuşi , ca şi în cazul criptării cu WEP
existenţa acestei măsuri de securitate reprezintă un obstacol în plus pentru un eventual atacator
al reţelei.
Dezactivarea DHCP
Şi dezactivarea serverului DHCP din router-ul wireless contribuie la un nivel mai mare
de securitate, el fiind acela care atribuie automat o adresă IP fiecărui nou venit în reţea. Este
indicată folosirea mai degrabă de adrese IP statice, pe care le introducem manual pentru fiecare
client. Un categoric plus de siguranţă vom obţine dacă în locul adreselor IP comune
(192.168.0.1) optăm pentru cele mai puţin uzuale, gen 192. 168.167.1.
3rd party security device ----firewall-uri şi dispozitive de monitorizare
Dispozitivele de acest tip sunt cele care au fost adăugate ulterior la configuraţia
obişnuită a unei reţele wireless. Reprezintă un dispozitiv ce oferă securitate suplimentară şi
sporită clienţilor şi datelor vehiculate în cadrul unei reţele wireless. Pot fi folosite astfel servere
adiţionale de atutentificare , analizatoare de protocoale sau proxy servere. Companiile suntsfătuite să adopte un concept holistic de securitate , compatibil cu măsurile de siguranţă pentru
reţelele pe cablu (VPN ,Firewall, sisteme Intrusion Detection) . Este de asemenea important ca
AP-urile să nu fie legate direct la reţeaua locală , ci să existe un firewall pe post de bridge –
eventual sub forma unui gatewaz WLAN . Fiecare transfer de date în reţeaua radio trebuie
codat cât de puternic posibil . Se recomandă o autentificare solidă a utilizatorilor , de pildă via
Token cards sau certificate digitale .
Cea mai mare preocupare, în ceea ce priveşte utilizarea tehnologiei fără fir în firme,
este securitatea. Pentru a accesa şi "sparge" reţeaua fără fir, atacatorii nu trebuie să se afle în
interiorul clădirilor. Din acest motiv, mulţi manageri responsabili cu securitatea îşi iau, încă din
faza de proiectare, precauţii în plus în jurul reţelelor LAN fără fir. O parte dintre consideraţiile
adiţionale de securitate includ:
Reţelele fără fir ce se află(temporar) în afara firewall-ului, fie în DMZ, fie într-o altă
subreţea externă dedicată să treacă sub controlul firewall-ului.
Firewall-ul asigură inspectarea tuturor sesiunilor fără fir din cadrul reţelei spre
deosebire de implementări ale unor politici utilizator care se bazează doar pe filtrarea
pachetelor.
Senzorii de detectare a intruziunilor şi de prevenire a acestora, IDS şi IPS (Intrusion
Detection Sensors şi Intrusion Prevention Sensors), sunt folosiţi între reţeaua fără fir şi cea
cablată, pentru a monitoriza activitatea.
Monitorizarea regulată a locaţiei cu detectoare(sniffere) fără fir pentru detectarea AP-
urilor străine - puncte de acces neautorizate pe care angajaţii le-au instalat în cadrul reţelei
interne.
Politicilor de securitate ale companiei le sunt adăugate noi politici de utilizare fără fir şi
ghiduri de acceptare.
Combinarea măsurilor de securitate
Dacă folosiţi numai codarea WEP, ar trebui să activată în egală măsură filtrarea MAC
şi să ascunderea SSID-ul reţelei. În acest mod reţeaua este considerabil mai rezistentă în faţa
atacurilor. Totuşi, o bună soluţie o constituie utilizarea în loc de WEP, codarea WPA, desigur,în combinaţie cu alte metode.
Din punct de vedere al securităţii, la proiectarea unei reţele fără fir trebuie luate înconsiderare pe lângă elemente de securitate de bază care sunt furnizate implicit de producător şi
metode suplimentare de criptare şi resticţionare a accesului neautorizat la datele vehiculate în
reţea. În funcţie de mărimea reţelei , de nivelul de securitate dorit sau de importanţa datelor
vehiculate în reţea metodele de securizare ale unei reţele pot fi diferite ,dar o soluţie de
securitate înaltă ca de exemplu o soluţie ce foloseşte un server RADIUS pentru autentificarea
fiecărui utilizator şi WPA pentru criptarea datelor determină şi un grad rificat de complexitate a
reţelei şi implicit un efort suplimentar pentru administrarea reţelei. De aceea la realizarea unei
reţele fără fir capitolul securitate suscită în continuare discuţii pentru cea mai bună, dar şi cea
mai eficientă metodă de securizare..
5. Utilitare pentru testarea securităţii reţelelor wireless
Nume Adresă Funcţie
Ethereal www.ethereal.com Utilitar pentru analiza protocoalelor de reţea ,
acestei reţele putem folosi utilitare de administrare şi monitorizare a a traficului într-o reţea fără
fir ale căror caracteristici le vom detalia în rândurile ce urmează.
Cu toate că banalele sniffere folosite doar pentru a intercepta traficul au fost iniţial
concepute doar pentru a administrarea reţelei , corectarea erorilor sau operaţiuni de depanaremomentan aceste utilitare reprezintă dispozitive tot mai frecvent folosite pentru accesarea sau
modificarea datelor vehiculate în cadrul reţelei. Vom prezenta pe scurt şi în funcţie de utilizarea
lor predilectă cele mai frecvent utilizate instrmente de analiză şi accesare a unei reţele wireless
realizând în acelaşi timp şi clasificare a acestora .
Administrarea reţelelor WLAN
Ethereal
Ethereal este program ce analizează pachetele de date transmise în cadrul unei reţele.
Un analizator de astfel de pachete va încerca să ofere cât mai multe informaţii şi cât se poate de
detaliate.
Ethereal este unul dintre cele mai bune pachete de analiză de pachete de tip open source
ce este disponibil pe piaţă. Acest utilitar poate fi folosit de administratori de reţea pentru
rezolvarea problemelor ce pot apărea în cadrul unei reţele , de către programatori de securitate
reprezentând o metodă eficientă de examinare a problemelor de securitate . Deasemeni poate fi
folosit cu scopul de a studia diferitele protocoale de comunicaţie din cadrul unei reţea.
Caractersitici
disponibil atât pentru UNIX cât şi Windows.
captură de pachete de date .
afişează pachetele de date cât mai detaliat cu informaţii despre fiecare protocol .
Import and Export pachete din sau spre alte programe de captură de date .
filtrează pachete după mai multe criterii.
realizează statistici pe baza datelor capturate.
IDS-AirSnare
AirSnare este un program de tipul Intrusion Detection System care monitorizează o
reţea wireless şi detectează utilizatorii conectaţi fraudulos. Principiul de funcţionare se bazează
pe detectarea şi clasificarea adreselor MAC ale plăcilor existente în reţea. Pentru cele
considerate nelegitime, utilizatorul are posibilitatea detectării adreselor IP şi a porturilor
folosite. AirSnare poate fi configurat în aşa fel încât să trimită un mail de notificare
administratorului unei reţele prin care să îl înştiinţeze cu referire la accesarea reţelei de către un
Reprezintă un pachet de analiză complet pentru reţelele WLAN de tip 802.11. Scopul
acestuia este de a identfica şi rezolva problemele apărute în cadrul unei reţele WLAN. Odată
apărută o problemă de securitate , aceasta este izolată decodând în întregime protocoalele
802.11 sau analizând performanţele unei reţele identificând puterea semnalului sau ratele de
transfer disponibile pe canalele din cadrul reţelei monitorizate.
Pe lângă soluţia de analiză a pachetelor de date transferate în cadrul reţelei AiroPeek
oferă ca şi funcţii suplimentare :
Acces uşor la resusele reţelei wireless prin intermediul unor imagine real-time asupra
datelor vehiculate în interiorul reţelei.
Oferă un tunning al reţelei prin monitorizarea puterii semnalului sau a nivelului
zgomotului din cadrul canalelor de comunicaţie
Rapoarte , grafice şi statistici asupra reţelei şi a traficului din reţea.Reacţionează imediat la probleme apărute în cadru reţelei folosind alarme şi trigere
predefinite specifice unei reţele wireless.
Realizează analize asupra reţelei folosind un sistem GPS, prin măsurarea intensităţii
semnalului sau a nivelului zgomotului din anumite canale ale reţelei .
Caracteristici :
WLAN View---determină rapid SSID-ul unei reţele , acces point-urile şi structuraierarhică a conexiunii la fel ca şi metodele de criptare şi de autentificare folosite.
Template pentru realizarea unui format de securitate- fitre şi alarme folosite pentru a
securiza o reţea WLAN şi totodată de a identifica breşele de securitate din cadrul reţelei.
Analize asupra puterii semnalului- folosite de obicei pentru a ajuta la implementarea
unei reţele WLAN , pentru a determina locul şi modul de poziţionare al acces point-urilor.Scanarea canalelor- caută şi interceptează trafic 802.11 după anumiţi parmetrii definiţi
de utilizator.
Decodificarea protocoalelor WLAN- poate decodifica majoritatea protocoalelor 802.11
a/b/g sau alte protocoale de nivel mai înalt.
Decriptarea WEP şi WPA- detectează încercări de accesare a reţelei prin decriptarea
WEP sau WPA în timp real.
Tabele de nume automate- atribuie automat nume tuturor nodurilor din reţea pentru o
mai bună identificare a acestora şi deasemeni a sursei şi destinaţiei traficului din reţea.
Suport GPS – include date oferite separate de un receiver GPS. Fiecare pachet conţine
alături o coloană opţională ce conţine informaţii adiţionale cum ar fi latitudinea , altitudinea sau
longitudinea la care se află un dispozitiv din retea.
Interceptare şi monitorizare trafic
Network Stumbler
NetStumbler poate fi utilizat pentru măsurarea ariei de acoperire a unei reţele WLAN şi
analizează modul în care calitatea conexiunii se diminuează cu fiecare metru distanţă de la
sursă. Acesta arată de asemenea întreruperile de conexiune şi le poate localiza prin utilizarea
opţională a sistemului GPS.
Este folosit pentru detectarea de reţele WLAN ce folosesc standarde 802.11a , b sau g şi
poate rula pe platforme Windows începând cu Microsoft Windows 98 . O variantă mai uşoar
este disponibilă pentru dispozitive de tip Pocket PC.
Net Stumbler este folosit de obicei pentru :
Wardriving
Verificarea configuratiei unei reţele
Găsirea locaţiilor dintr-o reţea cu semnal scăzut
Detectarea interferenţelor apărute în cadrul unui WLAN
SMAC este un utilitar ce oferă posibilitatea schimbării adresei MAC a unui adaptor de
reţea wireless. Acest lucru poate fi folosit pentru a accesa o reţea care are ca mod de protecţie
ACL (Access Control List) pentru acest lucru fiind necesară cunoaşterea unei adrese MAC
acceptată în cadrul reţelei. SMAC nu modifică adresa MAC de bază a unei plăci wireless iar această nouă adresă se va păstra şi la urmăroarele reporniri ale sistemului.
Caracteristici:
Activează imediat noua adresă MAC chiar după ce a fost utilizat utilitarul.
Afişează adresa MAC originală a plăcii de reţea
Afişează toate sau doar plăcile de reţea active
Generează aleator orice adresă MAC sau bazăndu-se pe specificaţiile unui anumit
producător
Oferă informaţii despre adaptorul de reaţea propriu cum sunt: id-ul , status , descrierea
plăcii de reţea, producătorul, statusul plăcii (modificat sau nu) , adresele MAC atât cea reală cât
şi cea modificată, ID-ul hardware al plăcii de reţea etc.
Generează rapoarte despre detaliile adaptorului de reţea.
După cum se poate observa şi din descrierea fiecărui utilitar în parte, este destul de greu
să facem o delimitare clară între scopurile de bază ale acestora. Daca multe dintre instrumentele
de mentenanţa ale unei reţele WLAN au fost iniţial create pentru a susţine eforturile
administratorilor de reţea de a supraveghea traficul sau să realizete operaţii de depanare ,interesul crescut pentru tehnologia wireless a determinat o reorientare a acestor utilitare către
partea de testare şi implicit de “spargere” a reţelelor WLAN. Capitolul următor va trata atât
maniera în care paote fi realizată o reţea WLAN sigură cât şi metode de testare a securităţii
acestora moment în care vom detalia şi caracteristicile acestor utilitare.
6.APLICAŢIE
În continuare vom urmări să oferim un ghid pentru a ajuta utilizatorii unei soluţii de
reţea fără fir şi să înţeleagă procedurile şi factorii care fac parte din fazele de planificare ale
unei reţele LAN fără fie.
Configuraţia reţelelor locale fără fir bazată pe standardele radio 802.11 poate părea
simplă la prima vedere . Utilizatorii leagă ruterele fără fie lam legături cu bandă largă şi încep
să le folosească fără alte setări. Totuşi, în cadrul unei reţele WLAN sunt necesare şi alte măsuri
de prevedere şi o planificare mai profundă.
Factori ce trebuie luaţi în considerare atunci când se proiectează o reţea WLAN
:
Lărgimea benzii necesare pentru a suporta utilizatorii şi aplicaţiile fără fir.
Aria de lucru , niveluri de interferenţă pentru frecvenţele radio.
Tipul autentificării şi securităţii cerut de către politica de securitate a beneficiarului.
Flexibilitate şi posibilitatea de a efectua upgrade-uri.
Preţul , seturile de caracteristici ale 802.11 , capacităţile de management şi abilitatea de
a integra reţeaua fără fir în cadrul reţelei cu fir deja existente.
Întrucât scopul lucrării de faţă este de a studia elementele de securitate disponibile în
cadrul reţelelor fără fir şi deasemeni posibilităţile de întărire a securităţii unei astfel de reţele,
vom discuta despre caracteristicile de securitate şi de autentificare ce trebuie luate în calcul la
dezvoltarea unei reţele fără fir .
6.1 Selectarea strategiei de securitate potrivite
Alegerea tipului autentificării , criptării datelor şi securităţii prin care se asigură
integritatea pachetelor pentru o reţea fără fir LAN depinde de o serie de factori. Politica desecuritate a companiei , tipul datelor pe care încercăm să le protejăm, complexitatea soluţiei de
securitate joacă un rol important în alegerea tipului de autentificare şi a schemei de criptare a
datelor . Ce dorim să protejăm şi cine ar trebui să primească acces la reaţea ? Îm al doilea rând
artrebui să înţelegem, pe deplin beneficiile fiecărui tip de autentificare şi ale fiecărei metode de
criptare a datelor şi informaţia suplimentară (overhead-ul) necesar pentur configurarea fiecăreicomponente de securitate. Nu în ultimul rănd trebuie testate caracteristicile de securitate alese
pentru software-ul şi hardware-ul client , pentru a vedea dacă aceste satisfac nevoile reţelei.
Pentru securizare unei reţele fără fir avem la dispoziţie următoarele metode de
autentificare a accesului la reţea şi de criptare a datelor vehiculate în cadrul reţelei.Este bine de
precizat că numai o combinare eficientă a acestor metode va oferi soluţia portivită pentru
fiecare tip de reţea în parte.
Metode de autentificare:
Fără autentficare
Filtrarea adreselor MAC (MAC adress filtering)
Cheie WEP partajată (Shared WEP Key)
Cheie pre partajată (pre-shared key)
802.1x (tehnologii EAP )
Autentificare VPN
Fiecare din aceste metode de autentificare are avantaje şi dezavantaje . Cu cât este mai
puternică autentificare , cu atât sunt necesare mai multe echipamente hard şi aplicaţii soft iar
eforul depus pentru asigurarea funcţionării şi întreţinerii soluţiei de securitate este mai mare .
Există întotdeauna o discrepanţă între o securitate de nivel înalt şi utilitatea sau uşurinţa setării
şi utilzării.
Metode de criptare a datelor:
Fără criptare
WEP static
WEP dinamic (WEP rotativ)
Acces protejat WIFI (WPA cu TKIP şi AES-CCM)
Criptarea VPN ărintr-un terţ (3rd party VPN Encryption)
După selectarea unei metode de autentificare pentru reţeaua WLAN , se trece la
selectarea unei scheme de criptare a datelor pentru protejarea pachetelor de date care circulă în
aer liber. Unele din aceste scheme d criptare pot fi folosite doar cu metode de autentificare
specifice.
Pentru soluţii de securitate la nivel de întreprindere , standardul minim de securitate car
trebuie ales este Dinamyc WEP . Dinamyc WEP foloseşte 802.1x pentru a asigura pautentificare puternică şi generează dinamic o cheie WEP unică pentru fiecare utilizator al
reţelei.
Combinaţii ale metodelor de securizare ale reţelelor fără fir:
După cum am observat , există mai multe variante pentru a asigura securitatea spaţiului
aferent fără fir . Întrucât nevoie de securitate creşte , complexitatea implementării şi utilizării
creşte de asemenea . Atunci când se aleg anumite caracteristici de securitate trebuie avuţi în
vedere şi clienţii fără fir deja existenţi şi dacă aceştia suportă aceste noi caracterisitic. Trebuie
să ne asigurăm se compatibilitatea deplină a clienţilor NIC cu securitatea furnizată de punctul
de acces sau de switc-ul WLAN.
În următorul tabel sunt prezentate cele mai cunoscute combinaţii de autentificare şi
securitate la nivel de întreprindere . Alegerea schemei potrivite depinde de cerinţele de
securitate , datele care trebuie protejate şi tipul serviciilor oferite de către reţeaua fără fir.
Metoda de
autentificare
Metoda de
criptare a
datelor
Descriere
Nici una Nici una Reţeaua wireless e folosită ca o reţea de nivel secundar,
fără securitate. Poate fi folosită pentru punctele de acces
gratuite , reţele pentru clienţi cu trafic VLAN către reţelele
externe împreună cu o soluţie de securitate VPN.Cheie partajată WEP static Securitatea datelor nu este prioritară şi abilitatea scalării
soluţiei nu este necesară . Aleasă pentru uşurinţa
implementării în detrimentul securităţii datelor şi
complexităţii autentificării. Se pretează pentru reţele
destinate clienţilor sau reţele cu securitate scăzută.802.1x WEP Autentificare utilizatorului pe un server RADIUS şi chei de
criptare unice generate aleator pentru fiecare utilizator şi
fiecare sesiune. Cheltuielile pentru setare sunt mai mari
,însă oferă o securitate de nivel înalt. Majoritatea softurilor
client şi a cartelelor NIC fără fir suportă această metodă.
Complexitatea implementării deoinde de tipul de EAP
selectat.Cheie
prepartajată
WPA Criptarea puternică a datelor este asigurată prin WPA
folosind TKIP şi AES. Autentificarea este simplificată însă
folosirea cheilor pre distribuite duce la compromiterea
scalabilităţii.Se foloseşte în general , în reţele de
dimensiuni mai mici unde simplicitatea autentificării este
dorită mai mult decât folosirea unei unui server RADIUS şi
a clienţilor 802.1x.802.1x WPA Soluţie de securitate foarte înaltă care foloseşte un server
RADIUS pentru autentificarea fiecărui utilizator şi WPA cuTKIP sau AES pentru criptarea datelor . Cardurile NIC şi
driverele client trebuie să suporte WPA şi clienţi 802.1x ,
fiind necesară folosirea unui server RADIUS compatibil cu
802.1x. Este potrivit pentru reţelele fără fir la nivel de
întreprindere care necesită autenificare puternică a
utilizatorilor fără fir şi o criptare puternică a
datelor.Complexitatea implementării depinde de tipul deEAP folosit.
Filtrarea
adreselor MAC
opţional Filtrarea adreselor MAC este o schemă separată de
autentificare care poate fi aplicată la oricare din
combinaţiile de securitate menţionate. Ea adaugă
complexitate în întreţinere , printr-p listă a adreselor MAC
a clienţilor care trebuie întreţinută. Filtrarea adreselor MAC
a clienţilor poate fi ocolită de către hackeri . În general e
utilizată cu scheme la nivel inferior ca să asigure o
extrasecuritate.Tabel 6 : Scheme de securizare
Prezentarea schemei practice şi a dispozitivelor folosite
Ruter TRENDNET TEW-432BRP
Pentru realizarea schemei practice am folosit un router wireless TRENDNET , unlaptop şi un PC care va fi folosit pentru a asigura operaţiunile de administrare a reţelei şi
deasemeni pe care a fost instalat Windows Server 2003 pentru realizarea server-ului RADIUS
folosit ulterior pentru administrarea utilizatorilor.
Date tehnice
:
Compatibil cu dispozitive ce folosesc protocoale wireless 802.1g sau 802.1b şi protocoale din cadrul reţelelor cablate : IEEE 802.3 (!0BASE-T) , IEEE 802.3u(100BASE-
TX); ANSI/IEEE 802.3 Auto Negotiation;
4 porturi lan încorporate
de tip 10/100Mbps
1 port 10/100 Mbps de tip WAN (Internet)
Suport
ă modem-uri cable/dsl ce poate folosi IP dinamic , IP static , PPoE sau L2TP;
Server DHCP ce poate aloca până la 253 adrese client;
Criptare WEP(Wired Equivalent Privacy) pe 64/128 biţi ;
802.1x/WPA, WPA-PSK, TKIP/AES pentru securitatea sporită;
Suportă filtrarea după adrese MAC sau adrese IP;
Controlul traficului cu ajutorul unui sever virtual sau prin crearea unei zone de tip
DMZ(demilitarized zone);
Oferă securitate crscută cu ajutorul unui firewall SPI/NAT ;
Suportă routarea dinamică şi statică;
Suport
ă IPSEC sau tehnologii VPN
;
Flash memory pentru operaţiuni de firmware;
Compatibil cu Windows 95/98/2000/XP sau Linux ;
Management uşor via Web Browser(HTTP) sau remote management
;
Aria de acoperire : interior 30 -50 metri exterior : 50-200 metri ;
Frecvenţa : 2.412 – 2.484 GHz (Banda ISM );
Tehnica de modulare : 802.11b : CCK, DQPSK, DBPSK
802.11g: OFDM
Rate de transfer: 802.11b : 11Mbps, 5.5 Mbps, 2Mbps şi 1 Mbps;
conexiunea Internet. În cadrul acestui pas alegem tipul de conexiune pe care o vom
folosi pentru conexiunea la WAN. Putem alege
Obtain IP automatically (DHCP client): în cazul în care server-ul DHCP a fost setat să
administreze adresele IP din reţea această opţiune va fi asigurată de server-ul DHCP furnizatimplicit de router.
Fixed IP Address: în cazul în care provider-ul de Internet asignează o adresă IP fixă ,
vor fi introduse adresa IP , masca de subreţea , IP-ul gateway şi IP-ul serverului DNS pentru
roterul broadband
PPPoE cu adresă IP automată: în cazul utilizării unei conexiuni de tip PPPoE cu
ajutorul unui modem dial-ul sau xDSL iar furnizorul de internet va oferi automat o adresă IP şi
apoi un user name şi o parolă pentru a crea conexiunea.
PPPoE cu adresă fixă: aceeaşi situaţie ca în cazul precedent numai că pe lângă user
name şi password adresa IP va fi prestabilită .
PPTP: (point to point tunneling protocol): acest protocol este folosit în cazul în care se
implementează o soluţie de tip VPN sau remote acces.
L2TP: (layer 2 tunneling protocol) o versiune avansată a PPTP .
wireless LAN connection: acest pas este necesar pentru crearea unei reţele WLAN. La
crearea acestei reţele va fi necesar stabilirea unui nume SSID pentru reaţeaua viitoare şi
deasemeni un canal de comunicaţie , date care trebuie să fie aceleaşi pentru toate dispozitivele
wireless din cadrul reţelei nou create.
Restart
Acest wizard reprezintă o metoda foarte simplă şi foarte la îndemâna unui utilizator
obişnuit de a crea , cu ajutorul dispozitivelor potrivite, o reţea fără fir. În acest moment pentru
mulţi utilizatori instalarea unei reţele WLAN se opreşte aici uşurinţa configurării luând locul
lipsei totale de securizare a reţelei. În momentul acesta router-ul va transmite datele sale de
identificare către toate dispozitivele wireless din aria sa de acoperire , reteaua astfel creată
comportându-se ca un teritoriu fără nici un fel de restricţii.
În continuare vom urmări gradual metodele de securizare a unei reţele fără fir aşa cum
au fost prezentate în capitolul anterior urmând ca în final să furnizăm o soluţie de securizare a
reţelei folosind o combinaţie între autentoficarea conform protocolului 802.1x ce foloseşte o
criptare WEP a datelor vehiculate în cadrul reţelei.
Reţeaua astfel creată se află în stadiul unu de securitate a unei reţele, orice utilzator
putând avea acces la resursele reţelei fără fir. Astfel de reţele sunt folosite de obicei pentruaccesul la internet în cadrul campusurilo univeritare , pentru punctele de acces gratuite unde
Router-ul dispune de posibilitatea setării unei autentificări WEP fie de tip Open System
fie de tip cheie partajată. Open sistem permite accesul deschis via reţea wireless la router însă
tipul de autentificare cu cheie partajată se bazează pe o cheie cunoscută de toţi utilizatorii din
reţea . Router-ul permite setarea unei chei maxime de 128 de biţi în format fie heza zecimal fieîn format ASCII. Deasemeni se pot seta un număr de 4 chei WEP care vor putea fi folosite
pentru securizare reţelei.
Problema standardului WEP dată de vectorul de iniţializare.Se recomandăca acest
vector de iniţializare să se repete pentru a nu fi interceptat. Din păcate, acest lucru nu este res-
pectat de toţi producătorii şi nici nu prea există referinţe despre cum se generează un vector de
iniţializare. De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare.
Consecinţa este că, mai devreme sau mai târziu, VI-ul ajunge să se repete. Un studiu realizat de
Universitatea Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de pachete de
date transmise în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI identic, acesta
poate descoperi cheia WEP. Problema cea mai importantă se pare că o constituie faptul că
pentru un atac asupra unei reţele WLAN un rău –voitor nu are nevoie de software complicat
,programe care pot sparge WEP sunt disponibile de exemplu la adrese ca
wepcrack.sourceforge.net sau airsnort.shmoo.com .
Totuşi aşa cum am precizat mai devreme un element de securitate desuet aşa cum este
WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu
alte metode de întărire a securităţii reţelei.
Deasemenea router-ul dispune de autentificare WPA şi WPA-PSK care vor fi discutate
ulterior fiind o soluţie de securitate mult mai avansată decât simpla folosire a WEP.
3. Router-ul oferă ,ca şi un grad crescut de securitate, două moduri de expediere a
datelor : static sau dinamic. În cadrul rutării statice pot fi stabilite parametrii de rutare a datelor
în cazul în care utilizatorul are o adresă IP statică. Deasemeni este oferită şi posibilitatea unei
rutări dinamice acest tip de rutare încercând să rezolve problema unei rute prin folosire unor
tabele de rutare automate. Rutarea adreselor poate fi folosită în combinaţie cu o zonă DMZ
pentru a direcţiona traficul din reţea către această zonă.
4. În opţiunea de acces la facilităţile ruterului putem utiliza mai multe căi de
restricţionare a accesului la reţeaua WLAN.
a). Filtrarea MAC: această metodă de filtrare a accesului poate fi folosită în conjuncţie
cu orice altă schmă de securitate. Ea adaugă complexitate în întreţinere , printr-o listă a
adreselor MAC a clienţilor care au drepturi de acces. Totuşi această soluţie nu poate ficonsiderată o măsură suficintă de a asigura securitate reţelei întrucât chiar şi ruterul folosit în
autentificare de tip EAPOL. Aceste mesaje vor fi trimise către serverul RADIUS care va
verifica credenţialele clientului prin analiza conturilor din cadrul Active Directory.
Pentru realizarea practică am folosit configuraţia precedentă pe care am ilustrat
posibilităţile de securizare ale reţelei doar cu ajutorul funcţiilor oferite de ruter iar în plus pentru realizarea configuraţiei de lucru pe calculatorul pe care am instalat ruterul am folosit
Windows Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de
autentificare a clienţilor wireless.
3. Elemente software utilizate
Windows Standard Server 2003
Windows Standard Server 2003 este un sistem de operare în reţea sigur care oferă rapid
şi uşor soluţii pentru firme. Acest server flexibil este alegerea ideală pentru nevoile zilnice ale
firmelor de toate mărimile.
acceptă partajarea fişierelor şi imprimantelor.
oferă conectivitate sigură la Internet.
permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru.
oferă posibilitatea unei bogate colaborări între angajaţi, parteneri şi
clienţi
acceptă multiprocesarea simetrică cu două căi şi până la 4 gigaocteţi
(GO) de memorie.
IAS
IAS (Internet Authentification Service) este implementarea Microsoft a unui server
RADIUS (Remote Dial – in User Service) . Ca şi server RADIUS , IAS realizează operaţiuni
centralizate de autentificare, autorizare şi înregistrare pentru mai multe tipuri de conexiuni la
reţea aşa cum sunt reţelele VPN sau WLA , conexiuni dial-up, remote acces sau conexiuni de
tip ruter-ruter.
Active Directory
Active Directory este o implementare a serviciilor de directoare LDAP, folosită de
Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la
dispoziţia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor,
instalarea programelor, înnoirea securităţii. Toate aceste operaţiuni pot fi aplicate atât la reţele
mici, cât şi la reţele complexe.
Active Directory (AD) - este o ierarhie de câteva obiecte, unde obiectele se împart întrei categorii: resurse (ex: imprimantă), servicii (ex: poşta electronică), resurse umane (ex:
În momentul conectării la reţea după redirecţionarea accesului către server vom oferi
credenţialele proprii care vor fi comparate cu cele introduse pentru fiecare client în Active
Directory accesul la reţea şi implicit la resursele reţelei fiind permis decât după confruntarea
credenţialeleor introduse de utilizator cu cele stocate în cadrul grupului creat.
Figura 6.7 Conectare clienţi
Autentificarea se va face pe baza conturilor stabilite în Windows Server 2003. În
momentul de faţă, clienţii pot să trimită date în reţea şi să acceseze resursele de pecalculatoarele din wlan. Cât timp sunt în reţeaua publică, datele sunt protejate de utilizatorii
neautorizaţi atât prin criptare cât şi prin “tunelare”.
7.Concluzii
Reţelele fără fir furnizează noi provocări la adresa securităţii şi administratorilor, care
nu au fost întâlnite în reţelele cablate. Cele mai bune practici dictează o structurare cât maiadecvată a nivelelor pentru securitatea reţelei. Ar trebui luată în considerare configurarea
punctelor de acces, firewall-urilor şi a VPN-urilor. Strategiile de securitate ar trebui definite
pentru un nivel acceptabil al performanţei. Sistemul de detectare a intruşilor în reţelele fără fir
ar trebui să elimine problemele de securitate şi să asigure că ceea ce credem că este securizat
este, de fapt, aşa.
După toate elementele de funcţionalităţile de securitate şi opţiunile menţionate până
acum în această lucrare, anumite puncte de configurare trebuie avute în vedere în cadrul
proiectării reţelelor fără fir de către administratorii unor astfel de reţele . Pe lângă metodele de
securitate mai sus detaliate sunt necesare anumite setări de siguranţă care să funcţioneze ca o
primă barieră în faţa posibililor atacatori.
Sugestii pentru securitate
1.Schimbaţi cheile WEP implicite pentru fiecare punct de acces nou.2.Folosiţi cea mai lungă cheie WEP suportată de către AP şi de către clienţi. Folosiţi
chei WEP care nu pot fi ghicite uşor.
3.Alegeţi chei partajate greu de ghicit (dacă se folosesc).
4.Schimbaţi parola implicită pentru toate AP-urile şi switch-urile WLAN. Folosiţi
tehnici puternice de selectare a parolei.
5.Centralizaţi parolele punctelor de acces şi switch-urilor WLAN. Folosiţi
autentificarea AAA, dacă e suportată.
6.Folosiţi SSL, SNMP v3 şi SSH pentru a administra toate punctele de acces fără fir şi
switch-urile WLAN.
7.Numele SSID trebuie ales cu grijă. Nu se recomandă folosirea numelor companiei, ci
a unor nume unice, care nu atrag atenţia.
8.Folosiţi AP-uri separate pentru reţelele(domeniile) destinate oaspeţilor sau clienţilor
şi conectaţi-le direct la DMZ sau Extranet.
9.Dacă punctele de acces permit filtrarea porturilor, folosiţi această funcţiune pentru a
prescana traficul nedorit.
10.Exportaţi toate log-urile de la punctele de acces şi switch-urile WLAN într-un server
Syslog extern.
11.Dacă driverul NIC al clientului permite protejarea parolei, activaţi opţiunea pentru a
proteja setările driverului fără fir.
Sugestii pentru punctele de acces (AP) radio
1.Poziţionaţi punctele de acces acolo unde sunt localizaţi utilizatorii fără fir. Alegeţi
zone fără obstrucţii pentru amplasarea punctelor de acces (tavanul este de obicei cea mai bună
alegere).
2.Setaţi putere joasă pentru punctele de acces care sunt apropiate de pereţii exteriori
pentru a preveni scurgerea semnalului în afara clădirii.
3.Dacă punctele de acces suportă antene omni-direcţionale cu setări diverse, setaţi
modele radio pentru a evita, pe cât posibil, transmiterea semnalului în afara clădirilor.
4.Efectuaţi studii şi expertize ale locaţiei cu sniffere fără fir pentru a testa modelele de
scurgere a semnalului în afara clădirii şi corectarea acestora.
5.Selectaţi canalele AP care sunt depărtate între ele, pentu a evita interferenţa.
6.Poziţionaţi mai multe puncte de acces în locaţii cu mulţi utilizatori. Setaţi niveluri joase ale puterii, dacă punctele de acces sunt apropiate, pentru a reduce interferenţa. Folosiţi
întotdeauna cel mai scăzut nivel de putere necesar pentru a furniza o acoperire adecvată.
7.Dacă se folosesc AP-uri 802.11 g, înlocuiţi plăcile NIC 802.11b cu plăci 802.11g.
Orice soluţie de securitate în cadrul unei reţele wireless este binevenită mai ales datorită
mediului foarte instabil de transmitere a datelor. Totuşi măsurile de securitate adoptate în
cadrul reţelei trebuie să işi justifice rolul în primul rând în comparaţie cu gradul de securitate
cerut de datele vehiculate în reţeaua respectivă. Un studiu atent asupra specificului reţelei
trebuie realizat înaintea conceperii acesteia iar metodele de criptare a datelor şi de securizare a
accesului la reţea să reflecte întru totul importanţa comunicaţiei şi implicit a participanţilor la
Dispozitiv ce se conectează la un hub sau server si asigură accesul wireless al
utilizatorilor la reţea. Este un concept similar cu celulele utilizate în telefonia mobilă.
BACKBONEO porţiune a reţelei care suportă traficul cel mai intens. Este sistemul principal de
cabluri care asigură comunicaţia intre punctele de distribuţie.
BLUETOOTH
Standard pentru PAN (personal area network). Este folosit pentru comunicare wireless
casnică sau la birou si foloseşte banda de 2.4GHz la 720Kbps, Raza de acţiune este de
aproximativ 9.1-14 metri. Foloseşte banda de 2.4GHz la 720Kbs aproximativ 9 metri. În
general, telefoanele mobile folosesc acest tip notebook-uri. Interferenţele cu alte nu este
întreruptă. Nu necesită o linie dreaptă sau fără obstacole între senzori, iar cu ajutorul unor
amplificatoare speciale distanţa de comunicare poate fi ridicata la 100 de metri.
BROADBAND WIRELESS
Deoarece viteza comunicaţiilor în cazul folosirii cablurilor, vitezele de peste "IMbps se
pot considera broadband .
CCMP -------(Counter Mode with Cipher Block Chaining Message Authentication
Code Protocol) protocol de criptare a standardului IEEE 802.11i creat pentru a înlocui ,
împreună cu TKIP, un protocol nesigur aşa cum e WEP.
CDMA
(Code Division Multiple Access} Metoda de transmitere simultană a mai multor
semnale folosind o porţiune comună din spectru. Cele mai întâlnite aplicaţii ale tehnologiei
CDMA se găsesc în telefonia mobilă QUALCOMM ce operează in banda de 800MHz.
Telefonele mobile CDMA sun recunoscute pentru calitatea foarte bună a recepţiei.
DECT
(Digital Ennanced Cordless Telecommunications). Standard pentru telefonia fără fir. Se
bazează pe TDMA, lucrează în banda de 1.8 si 1,9GHz, utilizează Dynamic Channel Selection
Dynamic Channel Allocation (DCS/DCA) pentru a realiza conectarea mai multor utilizatori peaceeaşi frecvenţă. DECT asigură un transfer de 522kbps, iar în viitor se aşteaptă o creştere de
Încă din anii '80 sistemul de telefonie mobila a cunoscut o dezvoltare rapidă în Europa
(in special in Scandinavia si Marea Britanie dar ţi in Germania si Franţa). In 1982 Conference
of European Posts and Telegraphs (CEPT) a format un grup de studio Groupe Special Mobile(GSM). Astăzi standardele GSM au fost adoptate pe toate continentele şi acronimele au o nouă
semnificaţie: Global System for Mobile Communications.
HDML
Handeheld Device Markup Language
O versiune Speciala a formatului HTML creeată special pentru dispozitive mobile
(telefoane, PDA-uri, pagere) în scopul obţinerii de informaţii de pe paginile web. HDML a fost
elaborat de Phone.com, iar AT&T wireless a lansat primul serviciu HDML în 1996.
I-MODE
Serviciu ce oferă acces la Internet (web browsing si e-mail) pentru telefoanele mobile.
Taxarea se realizează pentru traficul de date şi nu in funcţie de timpul conectării.
IEEE
Este o asociaţie tehnică non-profit. Are 377.000 membri in 150 de ţări. Numele întreg
este Institute of Electrical and Electronics Engineers, Inc. Este un lider in computere,
biomedicinâ si telecomunicaţii până la energie electrică si aeronautică. Produce 30% din
publicaţiile tehnice din domeniul ingineriei electronice, calculatoarelor si controlul tehnologiei.
Deţine 900 de standarde active si incă 700 in dezvoltare.
IEEE 802.16A
Specificaţii pentru reţele wireless metropolitane in domeniul 2-11GHz.
IRDA
Standardele acestei tehnologii sunt gestionate de Infrared Data Association, organizaţie
fondată în 1993. Rata de transfer este de doar 115.2kbps (half-duptex), iar pentru realizarea
conexiunii trebuie să se asigure o linie dreaptă şi fără obstacole între senzorii IrDA.
Este un tip de reţea ad-hoc , o reţea care se configurează singură formată din routere
mobile (cu host-urile asociate) conectate prin legături wireless . Routerele îşi modifică
poziţionarea arbitrar astfel încât topologia reţealei se poate modifica rapid şi imprevizibil înacelaşi timp. “O reţea MANET poate fi definită ca o reţea de noduri (calculatoare) formată prin
poziţionarea arbitrară a acestora fără a avea o infrastructură predefinită. ”
MIC (Message Integrity Check)----este o parte a unui plan de lucru asupra standardului
802.11i. Message Integrity Check reprezintă un câmp adiţional de 8 biţi care se găseşte între
partea de data a unui cadru 802.11 şi vectorul de integritate (ICV) reprezentat printr-uncâmp de
4 biţi.
MBPS
Mbps (Megabits Per Second) indică numărul de grupuri de 1000 biţi de date care se
transmit prin reţea. Cu ajutorul acestor valori se aproximează „viteza' reţelei.
Message Digest 5 (MD5)----- este o funcţie criptografică de tip hash cu o valoare hash
de 128 de biţi. Ca şi stanadard al Internet , MD5a fost folosit în cadrul unor aplicaţii de
securitate fiind folosit cu predilecţie pentru a verifica integriatatea fişierelor. O funcţie hash de
tip MD5 este de obicei un număr hexazecimal de 32 de caractere.
MMS
(Multimedia Message Service Tehnologie care permite schimbul de fişiere grafice,
video sau audio, folosind telefonul mobil. Protocolul MMS este compatibil în urmă cu SMS şi
EMS.
PHOTO MESSAGING
Tehnologia de fotografiere cu telefonul mobil si trimiterea ei către un alt telefon sau
către o adresă de email. Dacă cel care primeşte fotografia nu are un mobil capabil să redea
imagini acesta este îndrumat către un web-site unde o poate viziona, folosind calculatorul. În
general telefoanele care pot fotografia au şi opţiunea de înregistrare audio.
RADIUS---Remote Authentication Dial In User Service (RADIUS) este un protocol detip AAA (authentication, authorization and accounting) folosit pentru accesul la reţea sau ce
Wardriving presupune căutarea activă de reţele wireless .
WI-FI
Wi-Fi (Wireless Fidelity) este un alt nume pentru standardul wireless 802.11b. Wi-FiAlliance este o asociaţie non-profit formată în 1999 cu scopul de a certifica interoperabilitatea
echipamentelor wireless LAN bazate pe specificaţiile IEEE 802.11. Wi-Fi Alliance are în
prezent 183 companii afiliate si, din martie 2000, 698 de produse au primit certificarea Wi-Fi®.
WIN
WIN (Wireless Intelligent Network) reprezintă informaţia si sistemul de control pentru
reţeaua de telefonie mobilă. Cuprinde infrastructura de procesare a tranzacţiilor pentru
sistemele wireless. Este cunoscut si sub denumirea de 15-41 si ANSI-41.
WIRELESS BRIDGE
Echipament utilizat pentru a primi şi transmite date pe frecvenţe radio intre două reţele
locale.
WIRELESS NETWORKING
Transmisiuni de date între calculatoare personale, servere, staţii grafice sau alte
dispozitive de reţea fără a utiliza cabluri de date.
WIRELESS GATEWAY
Dispozitiv utilizat pentru a oferi acces mai multor dispozitive wireless la o singură
conexiune .
WIRELESS PORTAL
Un site web compatibil cu aparatele telefonice mobile inteligente (smart phones).
WIRELESS MODEM
Dispozitiv format dintr-un modem si o antenă ce recepţionează date. În general acest tip
de echipament suportă a serie de tehnologii cum ar fi: CDPD, ARDIS, Mobitex, Ricochet,
IEEE 802.11 si OpenAir şi sunt destinate utilizării impreună cu notebook-uri sau PDA.