LICEUL TEHNOLOGIC DIMITRIE LEONIDACONSTANAAleea Pelicanului
nr.8, 9000138Tel / Fax: 0341 427 401E-mail: [email protected]
PROIECT
PENTRU EXAMENUL DE CERTIFICARE ACALIFICRII ABSOLVENILOR
NVMNTULUI LICEAL
FILIERA TEHNOLOGICNIVEL 4PROFIL TEHNICCALIFICARE: TEHNICIAN
OPERATOR TEHNICDE CALCUL
ndrumtor: Prof. Turda Ana-MariaElev: Surugiu Alexandru
MarianClasa: aXII-a D
2015
LICEUL TEHNOLOGIC DIMITRIE LEONIDACONSTANAAleea Pelicanului
nr.8, 9000138Tel / Fax: 0341 427 401E-mail: [email protected]
Tema proiectului
Securizarea reelelor wireless
ndrumtor: Prof. Turda Ana-MariaElev: Surugiu AlexandruClasa:
aXII-a D
2015
Cuprins
Argument31.Noiuni de securitate a reelelor de
calculatoare51.1.Noiuni generale51.2.Descriere, context i
obiective.61.3.Forme i surse de atac a reelelor82.Metode de
securizare a reelelor wireless92.1. Standarde de securitate pentru
reelele wireless92.2. Reele wireless122.3. Tehnici de securitate
pentru reelele wireless143.Configurarea unei reele wireless163.1.
Selectarea strategiei de securitate potrivite163.2. Prezentarea
schemei practice i a dispozitivelor folosite173.3. Realizarea
practic18Concluzii26Bibliografie27
2
Argument
Dezvoltarea extraordinar pe care a cunoscut-o industria
calculatoarelor a fost nsoit pas cu pas de apariia i extinderea
reelelor. n aproximativ 30 de ani realizrile sunt uimitoare:
calculatoarele au dimensiuni reduse i performane greu de bnuit cu
ani n urm, iar reelele, dup ani de ncercri n care s-au elaborat
diverse modele, standarde, n care s-au experimentat diverse
proiecte care au disprut sau care s-au unificat se prezint astzi
ntr-o form destul de avansat. Totodat, a crescut numrul aplicaiilor
care necesit o reea de calculatoare. Secolul nostru a generat
dependena de informaie: oameni care au nevoie s fie n permanena
conectai. Pentru aceti utilizatori mobili, cablul torsadat, cablul
coaxial i fibrele optice nu sunt de nici un folos. Ei au nevoie de
date pentru calculatoarele lor portabile, de buzunar, fr a fi legai
de infrastructura comunicaiilor terestre. Pentru aceti utilizatori,
rspunsul l constituie comunicaiile fr fir.Reelele wireless sau mai
simplu WLAN au aprut ca o alternativ la reeaua LAN prin cablu
reprezentnd un sistem flexibil de comunicaii de date, folosit ca o
extensie sau o alternativ la reelelor cablate, ntr-o cldire sau un
grup de cldiri apropiate. Folosind undele electromagnetice,
dispozitivele WLAN transmit i primesc date prin aer, eliminnd
necesitatea cablurilor i transformnd reeaua ntr-un LAN mobil.
Astfel, dac o firm are un WLAN, la mutarea n alt sediu nu este
nevoie de cablri i guriri n perei plafoane pe care acestea le
presupun, ci pur i simplu se mut calculatoarele i reeaua poate
funciona imediat. Ce-i drept, n general reelele WLAN se folosesc
mpreun cu LAN-urile clasice, mai ales pentru partea de tiprire n
reea pentru legtura la server.Produsele fr fir, de la comanda la
distan a televizoarelor i nchiderii uilor automobilelor la
telefonia celular, utilizeaz o form de energie cunoscut ca radiaie
electromagnetic pentru a transporta semnalele. n ultimi ani
comunicaiile fr fir i cele mobile au cunoscut o cretere exploziv n
ceea ce privete numrul de servicii asigurate i tipurile de
tehnologii devenite disponibile. Tehnologia celular, transmiterea
de date n reele mobile i serviciile multimedia sunt ntr-o
dezvoltare rapid, utilizatorii mobili avnd acces la servicii precum
e-mail, telefonie, video, e-banking,etc.De civa ani, reelele de
calculatoare sunt folosite pentru a interconecta calculatoare
personale i servere n firme, universiti i orae, ns n ultimii ani a
avut o evoluie rapid n direcia folosirii reelelor fr fir. De fapt,
n prezent sunt disponibile interfee fr fir pentru utilizarea
serviciilor de reea care ne permit s folosim pota electronic i s
navigm pe Internet aproape din orice loc ne-am afla.Sistemele fr
fir ofer beneficiul mobilitii utilizatorilor i o desfurare flexibil
a unei reele ntr-o anumit arie. Mobilitatea utilizatorilor i
permite unui client al reelei s se mite n diferite locaii ale
reelei fr s-i piard conexiunea la reea. Reelele fr fir ofer
deasemenea avantajul c adugarea unui nod la reea se poate face fr
prea mult planificare sau costuri suplimentare de recablare.
Aceasta face ca viitoare dezvoltri ale reelei s fi uoare i ieftine.
Creterea rapid a folosirii laptopurilor i PDA-urilor a condus de
asemenea la creterea dependenei de reelele fr fir datorit faptului
c reelele radio pot face mai uor fa creterii dinamice a
utilizatorilor unei reele.Ca orice tehnologie relativ nou,reelele
fr fir reprezint un mediu de comunicaie susceptibil la ameninri ce
in nu numai de aciuni din exteriorul mediului, dar uneori lipsa
unei documentri puternice asupra capabilitilor unui astfel de mediu
se traduce n probleme de securitate.Tema acestui proiect l
reprezint studiul de caz asupra reelelor fr fir i mai ales a
cerinelor de securitate pe care le presupune o astfel de reea,cu
aplicaii practice n realizare unei reele WLAN care s ndeplineasc
cerinele unei reele sigure din punct de vedere a securitii att a
accesului la reea ct i a datelor vehiculate n cadrul reelei.
1. Noiuni de securitate a reelelor de calculatoare
1.1. Noiuni generale
Criptografia este tiina scrierilor secrete. Ea st la baza multor
servicii i mecanisme de securitate folosite n internet, folosind
metode matematice pentru transformarea datelor, n intenia de a
ascunde coninutul lor sau de a le proteja mpotriva modificrii.
Criptografia are o lung istorie, confidenialitatea comunicrii fiind
o cerin a tuturor timpurilor. Dac ar trebui s alegem un singur
exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar,
nu att datorit celebritii mpratului roman de care se leag folosirea
lui, ci pentru c principiul su de baza, al substituiei, s-a meninut
nealterat aproape dou milenii.Scopul de baz al criptografiei:1.
Confidenialitate asigurarea c nimeni nu poate citi mesajul cu
excepia destinatarului.2. Integritatea datelor realizeaz protejarea
datelor la alterare sau manipularea de ctre persoane neautorizate.
Prin manipularea datelor nelegem procese cum ar fi inserii,
ntrzieri sau substituiri.3. Autentificarea presupune posibilitatea
de identificare a sursei informaiei i a entitii (o persoan, un
terminal de computer, o carte de credit).4. Non-repudierea care
previne negarea unor angajamente sau aciuni
anterioare.Autentificarea desemneaz un termen folosit pentru a
desemna c anumite mijloace sunt menite s garanteze c entitile
participante sunt ceea ce pretind a fi sau c informaia nu a fost
manipulat de persoane neautorizate.Tehnica identificrii sau
autentificrii identitilor asigur c ambii participani (prin probe
coroborate sau dobndite) implicai au ntr-adevr identitatea pe care
o pretind. Acest lucru se realizeaz prin transmiterea de date
necesare pentru a identifica prile care particip la comunicaie,
ambii participani fiind activi n aceast comunicaie oferind astfel
oportunitatea unei garanii.Este important a nelege importana
autentificrii. ntr-un canal de comunicaii cu un sistem ideal de
criptografie cu chei publice teoretic cele dou pri pot comunica
prin intermediul canalului fr a resimi nevoia schimbrii de chei.
Ori un adversar activ poate nfrnge sistemul (s decripteze mesajele
menite s le recepioneze cea de-a doua entitate) fr a sparge
sistemul de criptografie.Tehnica autentificrii entitilor se poate
mpri n trei mari categorii, n funcie de tipul de securitate:- ceva
cunoscut. Astfel de exemple includ parolele standard (uneori
folosite pentru obinerea de chei simetrice) Numere Personale de
Identificare (PIN-uri) i chei private, care prin protocoale
provocare-rspuns, se dovedete cunoaterea lor.- ceva posedat. Acest
aspect se refer mai mult la accesorii fizice un fel de paaport nc
valabil. Exemple sunt card-urile smart (card-uri de mrimea unuia de
credit cu un microprocesor ncorporat sau cu un circuit integrat).-
ceva motenit(pentru o persoan). Aceast categorie include metode
care fac uz de caracteristici fizice i de aciuni involuntare cum ar
fi semntura, amprente digitale, vocea, modelul retinei, geometria
minii precum i caracteristicile dinamice ale tastatului. ns acestea
sunt tehnici non-criptografice.
1.2. Descriere, context i obiective.
nc din momentul n care Gugliemo Marconi a realizat legtura ntre
un vapor i un punct de pe coast folosind telegraful fr fir i codul
Morse (punctele i liniile sunt n definitiv binare) n anul 1901,
tehnologia wireless a modificat modul n care oamenii comunic i
transmit informaii. De la modulaia n amplitudine (AM) a undelor
radio din 1920 i pn la multitudinea de dispozitive wireless a
secolului XX, tehnologia wireless s-a dezvoltat dramatic, definind
noi industrii dnd natere unui set nou de produse i
servicii.Comunicaiile wireless au nregistrat o puternic dezvoltare
n ultimele zeci de ani. De la telecomanda televizorului la sisteme
ce comunic via satelit, comunicaiile wireless au schimbat modul n
care trim. Diferitele dispozitive conectate prin intermediul
legturilor wireless confer o mobilitate ridicat i solicit o
infrastructur mult mai simpl dect obinuitele reele cablate.
Folosind undele electromagnetice, reelele wireless transmit i
primesc date prin atmosfer, minimiznd nevoia de reele cablate. Cu
ajutorul tehnolgiei de azi reelele wireless sunt foarte accesibile,
sigure i uor de implementat.Reelele wireless au ctigat o
popularitate semnificativ printre utilizatorii foarte mobili i de
asemeni printre cei care fac parte din mici grupuri aa numitele
SoHo (Small Office Home Office). Reelele wireless ofer
posibilitatea utilizatorilor mobili s aib acces la informaii n timp
real. O reea de calculatoare poate fi realizat att ca o reea de
sine stttoare folosind ca mijloc de comunicaie doar legturile
wireless, ca o reea de tip enterprise-reea la scar mare nglobnd
sute de calculatoare, ca o extensie la o reea cablat sau ca un
nlocuitor pentru o reea cablat.Reele wireless ad-hoc sunt o colecie
de host-uri care formeaz o reea temporar fr o structur centralizat
sau administrare. Topologia reelei se modific n mod constant ca
rezultat al faptului c nodurile se altur sau ies din reea.
naintarea pachetelor, rutarea sau alte operaii sunt realizate de
noduri.Creterea popularitii reelelor wireless a determinat o scdere
rapid a preului echipamentelor wireless concomitent cu o accentuat
mbuntire a performanelor tehnice ale acestora. O infrastructur
wireless poate fi realizat astzi cu cheltuieli mult mai mici dect
una tradiional pe cablu. n acest fel, apar premizele realizrii
accesului ieftin i uor la Internet membrilor comunitilor locale, cu
toate beneficiile ce rezult de aici. Accesul la informaia global
constituie o surs de bogie la scar local, prin creterea
productivitii muncii bazate pe accesul la cvasitotalitatea
informaiilor disponibile n lume n legtur cu activitatea prestat.
Totodat, reeaua devine mai valoroas pe msur ce tot mai muli oameni
se leag la ea.
Figura 1: Tipuri de reele wireless
Chiar i fr accesul la Internet comunitile legate la reele
wireless se bucur de avantaje - pot colabora la diferite proiecte
cu ntindere geografic mare folosind comunicaii vocale, e-mailuri i
transmisii de date cu costuri foarte mici. n ultim instan, oamenii
neleg c aceste reele sunt realizate pentru a intra mai uor n legtur
unii cu alii.O reea, fie c este cablat sau wireless, este creat
pentru a transporta date ntre doi sau mai muli clieni. Tipul
datelor poate avea un caracter public sau confidenial. Dac pentru
datele de tip neconfidenial securitatea conexiunii nu este o
problem chiar aa de important, pentru cele confideniale,
securitatea datelor este critic.Securitatea reelelor wireless este
cu att mai greu de obinut mai ales datorit vulnerabilitii
legturilor, proteciei fizice limitate a fiecrui dintre noduri,
conectivitii sporadice, topologiei care se schimb dinamic, absena
autoritii de certificare i lipsa unei monitorizri centralizate sau
unui punct de management.1.3. Forme i surse de atac a reelelor
Orice reea conectat n Internet are un potenial ridicat de
vulnerabilitate n faa unor atacuri sau aciuni cu efecte distructive
pentru resursele informatice din acea reea.Natura atacurilor ce
pndesc o reea de calculatoare se mpart n trei mari categorii:
confidenialitate, disponibilitate i confidenialitate. ntre acestea
exist o interdependen foarte strns, evideniindu-se faptul c
disponibilitatea i confidenialitatea sunt efectiv legate de
integritate.Reelele i resursele ataate de acestea sunt expuse
diferitor tipuri de atacuri poteniale, cum ar fi: atacuri la
integritate (atacuri la autentificare, furtul sesiunilor, atacuri
de protocol, tehnici de manipulare social engineering, tehnici de
manipulare neglijente, abuz de privilegii explorarea uilor din
spate backdoors), atacuri la confidenialitate (divulgarea
neglijent, interceptarea informaiei, acumularea informaiilor) i
atacuri la disponibilitate (interferene, supresii, furnizarea de
informaii neateptate).Numrul de incidente raportate pe tema
securitii n reele informatice urmeaz un trend cresctor, un nivel
ngrortor atingnd atacurile venite din domeniu public (Internet).
Printre cele mai utilizate mloace de a produce daune atunci cnd
este vizat o reea sunt atacuri de tip DoS -Denial of Service (o
reea este inundat cu un ux de date generate de atacator pentru a
mpiedica tracul legitim de date s ajung la destinaie n acea reea),
atacuri prin e-mail sau accesul neautorizat pe anumite servere ce
conin date condeniale sau aplicaii de tip critic pentru activitatea
unei companii.SANS Institute a relevat printr-un studiu efectuat n
2002 pe un numr de 400 companii din 30 de ri, c ntr-o sptmn s-au
nregistrat o medie de 32 de atacuri. i asta era n 2002, de atunci
aceste atacuri au luat o amploare incredibil.Atacurile i au
originea nu numai din exteriorul reelei, dar i din interior de
vreme ce parteneri de afaceri sau angajai ai companiei se pot
conecta n reea de la distan i tot mai multe aplicaii se bazeaz pe
tehnologii de tip wireless pentru acces n reea. Mobilitatea i
accesul la distan sunt la fel de necesare n modul nostru de lucru
la fel ns i condenialitatea informaiilor, intimitatea personal i
stabilitatea n reea ca mediu de lucru utilizat la schimbul de
informaii n timpul activitii.
2. Metode de securizare a reelelor wireless
2.1. Standarde de securitate pentru reelele wireless
Prima reea wireless a fost pus n funciune n 1971 la
Universitatea din Hawai sub forma unui proiect de cercetare numit
ALOHANET. Topologia folosit era de tip stea bidirecional i avea ca
noduri constituente un numr de apte calculatoare mprtiate pe patru
insule din arhipelag ce comunicau cu un nod central aflat pe insula
Oahu doar prin legturi radio. Iniial, echipamentele WLAN erau
destul de scumpe, fiind folosite doar acolo unde amplasarea de
cabluri ar fi fost tehnic imposibil. Ca i n alte cazuri din istoria
tehnicii de calcul, primele soluii produse pe scar larg au fost
cele proprietare (nestandard) i orientate pe diverse nie de pia,
dar odat cu sfritul anilor 90 acestea au fost nlocuite de cele
standard i generice cum ar fi cele descrise de familia de standarde
802.11 emise de IEEE. Versiunea iniial a standardului IEEE 802.11
lansat n 1997 prevedea dou viteze (1 i 2 Mbps) de transfer a
datelor peste infrarou sau unde radio. Transmisia prin infrarou
rmne pn astzi o parte valid a standardului, far a avea ns
implementri practice. Au aprut atunci cel puin ase implementri
diferite, relativ interoperabile i de calitate comercial, de la
companii precum Alvarion (PRO.11 i BreezeAccess-II), BreezeCom,
Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus i
AirSurfer Pro), Symbol Technologies (Spectrum24) i Proxim
(OpenAir). Un punct slab al acestei specificaii era c permitea o
varietate mare a designului, astfel nct interoperabilitatea era
mereu o problem. 802.11 a fost rapid nlocuit (i popularizat) de
802.11b n 1999 ce aducea, pe lng multe mbuntiri n redactare, i o
vitez crescut de transmisie a datelor de pn la 11Mbps. Adoptarea pe
scar larg a reelelor 802.11 a avut loc numai dup ce 802.11b a fost
ratificat ca standard, iar produsele diverilor productori au
devenit interoperabile. Cam n aceeai perioad (1999) a aprut i
802.11a, o versiune pentru banda de 5GHz a aceluiai protocol.
Acesta a fost urmat de 802.11g, n iulie 2003, ce aducea performane
sporite, att n ceea ce privete viteza de transmisie (ce urca la
54Mbps), ct i distana de acoperire n jurul antenei. Standardul
aflat n prezent n elaborare de ctre IEEE este 802.11n acesta aduce
i el mbuntiri, cum ar fi o vitez teoretic de transmisie de
270Mbps.Deci, pentru securizarea reelelor wireless au fost definite
suita de protocoale IEEE 802.11 a/b/g/n cunoscute ca i Wi-Fi
(Wireless Fidelity) i 802.16 cunoscut i ca WiMax (Worldwide
Interoperability for Microwave Access).
Tabel 1. Informaii despre standardele reelelor wireless
StandardRata de transferBandaSecuritateaPro i contra
informaii
IEEE 802.11Pn la 2 Mbps n banda de 2.4 GHzOpereaz n banda de
frecvene ISM (Industrie, tiin, Medicin)WEP i WPAAcest standard a
fost extins la 802.11 b
IEEE 802.11a (Wi-Fi)Pn la 54 Mbps n banda de 5GHzOpereaz n banda
ISM ntre 5,745 i 5,805 GHz i n banda UNII (Unlicensed National
Information Infrastructure) ntre 5,170 i 5,320 GHz.
WEP i WPARatificat la 16 septembrie 1999Se folosesc opt
canalePosibilitatea de interferen mai mic dect 802.11 b i gsuport
mai bine multimedia voce i video n aplicaii cu mai muli
utilizatoriraza de operativitate mai micnu este interoperabil cu
802.11 b
IEEE 802.11b (Wi-Fi)Pn la 11Mbps n banda de 2.4 GHzOpereaz n
banda de frecvene ISM (Industrie, tiin, Medicin)
WEP i WPAratificat n 16 septembrie 1999;putere la ieire de pn la
1 watt;Are nevoie de mai puine puncte de acces dect 802.11a pentru
acoperirea unor arii largi;Ofer acces de vitez mare pn la distana
de 300 picioareSunt disponibile 14 canale n banda de 2.4 GHz
(dintre care numai 11 se pot folosi n U.S. datorit reglementrilor
FCC)
IEEE 802.11g (Wi-Fi)Pn la 54Mbps n banda de 2.4 GHzBanda ISMWEP
i WPARatificat n iunie 2003Poate nlocui 802.11bCapabiliti de
securitate sporit
IEEE 802.16 (WiMAX)n banda de 10 la 66 GHzDou benzi liceniate:
3,3 3,8 GHz i 2,3 2,7 GHz;Band neliceniat: 5,725 5,85 GHz.
DES i AESRatificat n 2004;Poate s utilizeze mai multe benzi de
frecvene, liceniate i neliceniate, alocate de ITU;Definete un
standard pentru reele de band larg wireless metropolitane
IEEE 802.16aSuport pentru gama de la 2 la 11 GHz2 la 11 GHzDES3
i AES
BluetoothPn la 2 Mbpsbanda de 2.45GHzPPTP, SSL sau VPNNu suport
TCP/IP sau wireless LAN;Utilizat mai cu seam pentru conectarea
PDA-urilor, telefoanelor mobile i PC ntr-o arie mic.
Prin folosirea acestor metode de securizare se asigur controlul
de acces la reea i confidenialitatea datelor care trec prin
aceasta.ntr-o reea wireless deschis (numit i Open System), oricine
se afl n aria de acoperire se poate conecta, chiar i utilizatorii
nedorii. De aici se ajunge la diverse probleme cum ar fi irosirea
limii de band (folosit de intrui), introducerea de programe cu
caracter maliios n reeaua privat, sau aa numitul eavesdropping
(interceptarea i citirea mesajelor sau a oricrui tip de date).
Lipsa de securitate a reelelor Open System poate duce la
simplificarea muncii celor ce fac spionaj industrial sau a celor
care consider intruziunea ntr-o reea wireless privat o
distracie.Situaia este diferit n cazul reelelor securizate,
utilizatorii, pentru a avea acces la reea, trebuie s se autentifice
nti iar conexiunea (transferul datelor) este criptat. Astfel, att
reeaua ct i utilizatorii sunt protejai de pericolele prezentate mai
sus. n caz de nevoie utilizatorii pot fi separai ntre ei, sau pe
grupuri (departamente, etc) prin folosirea de tunele VPN, sau alte
modaliti.Puncte slabe ale reelelor fr fir: Ca la orice alt
tehnologie nou, i n acest caz a fost dezvoltat mai nti
funcionalitatea. Configurarea i utilizarea reelelor WLAN trebuia s
decurg ct mai simplu i mai confortabil. Dup ce interesul pentru
avantajele noii tehnologii a fost trezit, a venit clipa eliminrii
bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea
rapid a reelelor radio nu a avut numai consecine pozitive:
numeroase bug-uri i cteva bree de securitate au dunat imaginii
WLAN, astfel nct (n ciuda multiplelor avantaje) muli administratori
au evitat utilizarea reelelor wireless. La planificarea, instalarea
i administrarea reelei dumneavoastr wireless trebuie s avut
ntotdeauna n vedere faptul c tehnologia WLAN nu a fost gndit ca
mijloc de transport pentru date importante. De aceea, aspectul
securitii trebuie tratat cu maxim seriozitate. Chiar i funciile de
securitate incluse ulterior n WLAN, ca de exemplu Wired Equivalent
Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi
nesigure uor de ocolit cu ajutorul uneltelor sofisticate utilizate
de hackeri i de aa-numiii war driveri. Marele minus al tehnologiei
const n lipsa proteciei fizice a datelor de transferat, care exist
n reelele pe cablu. Pachetele de date sunt prea puin protejate la
transferul prin unde radio i se distribuie aproape incontrolabil n
mediul ambiant. Aadar, ele pot fi de exemplu recepionate de ctre
teri, nregistrate, evaluate sau chiar manipulate. n special
monitorizarea traficului de reea, aa numitul sniffing, este unul
dintre cele mai mari pericole n WLAN.2.2. Reele wireless
Calculatoarele mobile reprezint segmentul din industria tehnicii
de calcul cu dezvoltarea cea mai rapid. Muli posesori ai acestor
calculatoare au la birou sisteme legate la LAN-uri i WAN-uri i vor
s se conecteze la acestea, chiar i atunci cnd se afl n locuri
deprtate de cas sau pe drum. Deoarece legturile prin fir sunt
imposibile n maini i avioane, interesul pentru reelele radio este
foarte puternic. n aceast seciune vom face o scurt introducere n
acest subiect prezentnd mai n detaliu principiile teoretice ce stau
la baza funcionrii unei mediu fr fir.Comunicaiile digitale fr fir
nu reprezint, de fapt, o idee nou. nc din 1901, fizicianul italian
Guglielmo Marconi a realizat legtura ntre un vapor i un punct de pe
coast folosind telegraful fr fir i codul Morse (punctele i liniile
sunt, n definitiv, binare). Sistemele radio moderne au performane
mai bune, dar ideea fundamental a rmas aceeai.Reelele radio au
numeroase utilizri. Biroul portabil reprezint una dintre ele.
Oamenii aflai pe drum doresc adesea s foloseasc echipamentele lor
electronice portabile pentru a trimite i primi faxuri i pot
electronic, pentru a citi fiiere aflate la distan, pentru a se
conecta la distan i aa mai departe. i doresc s fac aa ceva din
orice loc de pe uscat, ap sau aer. Reelele radio sunt de mare
importan pentru parcurile de camioane, taxiuri i autobuze, ca i
pentru echipele de intervenie care trebuie s menin contactul cu
baza. Reelele radio pot fi de asemenea utile pentru echipele de
intervenie n locuri de dezastru (incendii, inundaii, cutremure
etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse
la faa locului pot s trimit mesaje, s nregistreze informaii i aa
mai departe.n sfrit, reelele radio sunt importante pentru armat.
Dac trebuie s faci fa n cel mai scurt timp unui rzboi care se poate
desfura oriunde n lume, atunci probabil c nu este o idee bun s te
bazezi pe infrastructura de reele existent la faa locului. Este mai
bine s-i aduci propria reea.
Tabel 2: Combinaii de reele fr fir i tehnic de calcul mobil.
Fr firMobilAplicaii
NuNuStaii de lucru staionare ntr-un birou
NuDaDaNuFolosirea unui calculator portabil ntr-un hotel sau
pentru inspecia trenurilorLAN-uri instalate n cldiri mai vechi, fr
fire
DaDaBirouri mobile; PDA-uri pentru inventarierea magaziei
Dei reelele fr fir i echipamentele de calcul mobile sunt adesea
nrudite, ele nu sunt identice (a se vedea tabelul alturat).
Calculatoarele portabile comunic uneori cu ajutorul firelor. Dac
ntr-un hotel un turist racordeaz un calculator mobil la mufa de
telefon, acesta este un exemplu de mobilitate fr reea radio. Un alt
exemplu se refer la o persoan care poart cu sine un calculator
mobil n timp ce inspecteaz, pentru probleme tehnice, un tren. n
acest caz, n spatele calculatorului poate foarte bine s atrne un
fir lung (ca la aspirator).Dei LAN-urile fr fir sunt uor de
instalat, ele au i unele dezavantaje. Capacitatea lor tipic este de
1-2 Mbps, ceea ce este mult mai puin dect n cazul LAN-urilor cu
fir. De asemenea, rata de erori este adesea mai mare, iar
transmisiile ntre diferite calculatoare pot interfera unele cu
altele.Dar exist, desigur, i aplicaii cu adevrat mobile, fr fir,
ncepnd cu biroul portabil i terminnd cu persoanele care fac
inventarul unui magazin folosind PDA-uri. n multe aeroporttiri
aglomerate, angajaii companiilor de nchiriat maini lucreaz n parcri
cu calculatoare portabile fr fir. Ei introduc n calculator numrul
de nmatriculare al fiecrei maini returnate, iar portabilele lor,
care au nglobat o imprimant, apeleaz calculatorul central, primesc
informaii despre nchirierea respectivei maini i elibereaz factura
de plat pe loc.Wireless LAN reprezint, mai precis, reele de
calculatoare ce comunic ntre ele prin legturi definite de
standardele 802.11b sau 802.11g.Conform acestor standarde,
comunicarea se face pe banda de frecven de 2.4Ghz pe un numr de
maxim 14 canale. La noi n ara pot fi utilizate 13 canale fr nici o
autorizaie prealabil dac nu se depete puterea maxim admis pentru
aceast frecven.
Exist dou moduri de realizare a unei reele fr fir: Ad-hoc - Se
conecteaz ntre ele mai multe calculatoare. Nu exist conectivitate
cu o reea cu fir sau conectarea cu reeaua cu fir se face prin
intermediul unui calculator cu o aplicaie software dedicat. Se
preteaz n general pentru un numr redus de calculatoare aflate pe o
suprafa mic. Fiecare calculator se conecteaz cu cellalt fr a fi
nevoie de un alt echipament. Infrastructure- Comunicarea se face
prin intermediul unui echipament activ numit access point (AP). O
legtur ntre 2 calculatoare se face prin intermediul access
point-ului la care sunt conectate fiecare dintre ele. Acest mod de
lucru permite o raz mare de acoperire prin utilizarea mai multor
access point-uri conectate intre ele. De asemenea, e modul de lucru
preferat dac se dorete interconectarea unei reele cu fir cu o reea
fr fir sau legtura ntre un numr mare de clieni fr fir.
Figura 2.1: Moduri de realizare a unei reele fr fir
Pentru o bun nelegere a modului de realizare i a facilitilor
oferite de reelele wireless trebuie mai nti s nelegem elementele de
baz i modul de realizare a reelelor cablate.
2.3. Tehnici de securitate pentru reelele wireless
Tehnicile de generaia nti (WEP)Prima tehnic de securitate pentru
reele 802.11 ce a fost cuprins n standard (implementat de marea
majoritate a productorilor de echipamente) a fost WEP - Wired
Equivalent Privacy. Aceast tehnic a fost conceput pentru a aduce
reelele radio cel puin la gradul de protecie pe care l ofer reelele
cablate un element important n aceast direcie este faptul c, ntr-o
reea 802.11 WEP, participanii la trafic nu sunt protejai unul de
cellalt, sau, altfel spus, c odat intrat n reea, un nod are acces
la tot traficul ce trece prin ea. Prin metodele din prezent, o
celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi
spart n aproximativ 3 secunde de un procesor la 1,7GHz. Filtrarea
MACO alt form primar de securitate este i filtrarea dup adresa MAC
(Media Access Control address), cunoscut sub denumiri diverse
precum Ethernet hardware address (adres hardware Ethernet), adres
hardware, adresa adaptorului de reea (adaptor - sinonim pentru
placa de reea), BIA - built-in address sau adresa fizic, i este
definit ca fiind un identificator unic asignat plcilor de reea de
ctre toi productorii. O form des utilizat de securizare a unei
reele wireless rmne i aceast filtrare dup adresa MAC. Aceast
politic de securitate se bazeaz pe faptul c fiecare adresa MAC este
unic i aadar se pot identifica clar persoanele (sistemele) care vor
trebui s aib acces. Dac ntr-o prim faz aceast adres era fixat,
noile adrese se pot modifica, astfel aceast form de securizare i
pierde din valabilitate. Totui dei exist riscul ca prin aflarea
unui MAC valid din cadrul unei reele, folosind un program de tip
snnifer, i schimbndu-i MAC-ul n cel nou, atacatorul va putea avea
acces legitim, muli administratori folosesc n continuare aceasta
form de securizare, datorit formei foarte simple de implementare.
De aceea, aceast form de parolare este necesar s se completeze i cu
alte securizri enunate mai sus.Tehnicile de generaia a doua (WPA,
WPA2)Avnd n vedere eecul nregistrat cu tehnica WEP, IEEE a elaborat
standardul numit 802.11i, a crui parte ce trateaz securitatea
accesului la reea este cunoscut n practic i ca WPA (Wi-Fi Protected
Access). WPA poate folosi certificate, chei publice i private,
mesaje cu cod de autentificare (MAC), precum i metode extensibile
de autentificare, cum ar fi protocoalele de autentificare EAP sau
RADIUS. Pentru a veni n ntmpinarea utilizatorilor casnici sau de
arie restrns, IEEE a dezvoltat i o variant mai simpl a standardului
i anume WPA-PSK (< Pre-Shared Key mode). n acest mod, n loc de
un certificat i o pereche de chei (public i privat), se folosete o
singur cheie sub forma unei parole care trebuie cunoscut de toi
membrii reelei.
3. Configurarea unei reele wireless
Configuraia reelelor locale fr fir bazat pe standardele radio
802.11 poate prea simpl la prima vedere. In cadrul unei reele WLAN
sunt necesare i alte msuri de prevedere i o planificare mai
profund.Factori ce trebuie luai n considerare atunci cnd se
proiecteaz o reea WLAN: Lrgimea benzii necesare pentru a suporta
utilizatorii i aplicaiile fr fir. Aria de lucru, niveluri de
interferen pentru frecvenele radio. Tipul autentificrii i securitii
cerut de ctre politica de securitate a beneficiarului.
Flexibilitate i posibilitatea de a efectua upgrade-uri.Preul,
seturile de caracteristici ale 802.11, capacitile de management i
abilitatea de a integra reeaua fr fir n cadrul reelei cu fir deja
existente.ntruct scopul lucrrii de fa este de a studia elementele
de securitate disponibile n cadrul reelelor fr fir i deasemeni
posibilitile de ntrire a securitii unei astfel de reele, vom
discuta despre caracteristicile de securitate i de autentificare ce
trebuie luate n calcul la dezvoltarea unei reele fr fir.
3.1.Selectarea strategiei de securitate potrivite
Alegerea tipului autentificrii, criptrii datelor i securitii
prin care se asigur integritatea pachetelor pentru o reea fr fir
LAN depinde de o serie de factori:politica de securitate a
companiei, tipul datelor pe care ncercm s le protejm, complexitatea
soluiei de securitate joac un rol important n alegerea tipului de
autentificare i a schemei de criptare a datelor. Ce dorim s protejm
i cine ar trebui s primeasc acces la reea ? Pentru securizare unei
reele fr fir avem la dispoziie urmtoarele metode de autentificare a
accesului la reea i de criptare a datelor vehiculate n cadrul
reelei.Este bine de precizat c numai o combinare eficient a acestor
metode va oferi soluia potrivit pentru fiecare tip de reea n
parte.
Metode de autentificare: Fr autentificare Filtrarea adreselor
MAC (MAC adress filtering) Cheie WEP partajat (Shared WEP Key)
Cheie pre partajat (pre-shared key) 802.1x (tehnologii EAP )
Autentificare VPNFiecare din aceste metode de autentificare are
avantaje i dezavantaje. Cu ct este mai puternic autentificare, cu
att sunt necesare mai multe echipamente hard i aplicaii soft iar
eforul depus pentru asigurarea funcionrii i ntreinerii soluiei de
securitate este mai mare.
Metode de criptare a datelor: Fr criptare WEP static WEP dinamic
(WEP rotativ) Acces protejat WIFI (WPA cu TKIP i AES-CCM) Criptarea
VPN printr-un ter (3rd party VPN Encryption)Dup selectarea unei
metode de autentificare pentru reeaua WLAN, se trece la selectarea
unei scheme de criptare a datelor pentru protejarea pachetelor de
date care circul n aer liber. Unele din aceste scheme de criptare
pot fi folosite doar cu metode de autentificare specifice.Pentru
soluii de securitate la nivel de ntreprindere, standardul minim de
securitate car trebuie ales este Dinamyc WEP. Dinamyc WEP folosete
802.1x pentru a asigura p autentificare puternic i genereaz dinamic
o cheie WEP unic pentru fiecare utilizator al reelei.
Combinaii ale metodelor de securizare ale reelelor fr fir.
Dup cum am observat, exist mai multe variante pentru a asigura
securitatea spaiului aferent fr fir. ntruct nevoie de securitate
crete, complexitatea implementrii i utilizrii crete de asemenea.
Atunci cnd se aleg anumite caracteristici de securitate trebuie
avui n vedere i clienii fr fir deja existeni i dac acetia suport
aceste noi caracteristic. Trebuie s ne asigurm se compatibilitatea
deplin a clienilor NIC cu securitatea furnizat de punctul de acces
sau de switch-ul WLAN.n urmtorul tabel sunt prezentate cele mai
cunoscute combinaii de autentificare i securitate la nivel de
ntreprindere. Alegerea schemei potrivite depinde de cerinele de
securitate, datele care trebuie protejate i tipul serviciilor
oferite de ctre reeaua fr fir.
3.2. Prezentarea schemei practice i a dispozitivelor
folosite
Ruter TRENDNET TEW-432BRPPentru realizarea schemei practice am
folosit un router wireless TRENDNET, un laptop i un PC care va fi
folosit pentru a asigura operaiunile de administrare a reelei i
deasemeni pe care a fost instalat Windows Server 2003 pentru
realizarea server-ului RADIUS folosit ulterior pentru administrarea
utilizatorilor.Date tehnice:Compatibil cu dispozitive ce folosesc
protocoale wireless 802.1g sau 802.1b i protocoale din cadrul
reelelor cablate: IEEE 802.3 (10BASE-T), IEEE 802.3u(100BASE-TX);
ANSI/IEEE 802.3 Auto Negotiation; 4 porturi lan ncorporate de tip
10/100Mbps 1 port 10/100 Mbps de tip WAN (Internet) Suport
modem-uri cable/dsl ce poate folosi IP dinamic, IP static, PPoE sau
L2TP; Server DHCP ce poate aloca pn la 253 adrese client; Criptare
WEP(Wired Equivalent Privacy) pe 64/128 bii; 802.1x/WPA, WPA-PSK,
TKIP/AES pentru securitatea sporit; Suport filtrarea dup adrese MAC
sau adrese IP; Controlul traficului cu ajutorul unui sever virtual
sau prin crearea unei zone de tip DMZ(demilitarized zone); Ofer
securitate crscut cu ajutorul unui firewall SPI/NAT; Suport
routarea dinamic i static; Suport IPSEC sau tehnologii VPN; Flash
memory pentru operaiuni de firmware; Compatibil cu Windows
95/98/2000/XP sau Linux; Management uor via Web Browser(HTTP) sau
remote management; Aria de acoperire: interior 30 -50 metri
exterior: 50-200 metri; Frecvena: 2.412 2.484 GHz (Banda ISM );
Tehnica de modulare: 802.11b: CCK, DQPSK, DBPSK 802.11g: OFDM Rate
de transfer: 802.11b: 11Mbps, 5.5 Mbps, 2Mbps i 1 Mbps; 802.11g: 54
Mbps, 48 Mbps, 36 Mbps, 24Mbps,18 Mbps,12Mbps, 9Mbps i 6Mbps;
Canale: 11 canale (US), 13 canale (EU);
Configuraia de principiu a platformei folosite pentru
implementarea practic a proiectului:
3.3. Realizarea practic
Setarea parametrilor de lucru ai routeruluiAa cum se poate
observa i din configuraia de principiu a schemei de funcionare
pentru interconectarea routerului cu laptopul client din reea am
folosit un adaptor wireless TRENDNET TEW-412PC care a fost
configurat pe calculatorul client conform cu instruciunile
furnizate de driver-ul de instalare.Router-ul TRENDNET TEW-432BRP a
fost configurat conform cu wizard-ul implicit furnizat de driver-ul
aferent router-ului pe un PC cu sistem de operare Windows XP care
ulterior va reprezenta i platforma pentru serverul RADIUS folosit
pentru autentificarea de nivel nalt a utilizatorilor.Acest wizard
este utilizat pentru setarea informaiilor primare cu privire la
caracteristicile router-ului cum sunt:1. parola administrator2.
time zone conexiune LAN i server-ul DHCP. n cadrul acestui pas se
seteaz automat IP-ul server-ului default este //192.168.1.1. Tot n
cadrul acestui pas se seteaz server-ul DHCP care va furniza
clienilor adrese IP cuprinse ntr-un anumit interval server-ul DHCP
putnd furniza pn la 253 de adrese IP. conexiunea Internet. n cadrul
acestui pas alegem tipul de conexiune pe care o vom folosi pentru
conexiunea la WAN. Putem alege Obtain IP automatically (DHCP
client): n cazul n care server-ul DHCP a fost setat s administreze
adresele IP din reea aceast opiune va fi asigurat de server-ul DHCP
furnizat implicit de router. Fixed IP Address: n cazul n care
provider-ul de Internet asigneaz o adres IP fix, vor fi introduse
adresa IP, masca de subreea, IP-ul gateway i IP-ul serverului DNS
pentru roterul broadband PPPoE cu adres IP automat: n cazul
utilizrii unei conexiuni de tip PPPoE cu ajutorul unui modem
dial-ul sau xDSL iar furnizorul de internet va oferi automat o
adres IP i apoi un user name i o parol pentru a crea conexiunea.
PPPoE cu adres fix: aceeai situaie ca n cazul precedent numai c pe
lng user name i password adresa IP va fi prestabilit. PPTP: (point
to point tunneling protocol): acest protocol este folosit n cazul n
care se implementeaz o soluie de tip VPN sau remote acces. L2TP:
(layer 2 tunneling protocol) o versiune avansat a PPTP. wireless
LAN connection: acest pas este necesar pentru crearea unei reele
WLAN. La crearea acestei reele va fi necesar stabilirea unui nume
SSID pentru reaeaua viitoare i deasemeni un canal de comunicaie,
date care trebuie s fie aceleai pentru toate dispozitivele wireless
din cadrul reelei nou create. RestartAcest wizard reprezint o
metoda foarte simpl i foarte la ndemna unui utilizator obinuit de a
crea, cu ajutorul dispozitivelor potrivite, o reea fr fir. n acest
moment pentru muli utilizatori instalarea unei reele WLAN se oprete
aici uurina configurrii lund locul lipsei totale de securizare a
reelei. n momentul acesta router-ul va transmite datele sale de
identificare ctre toate dispozitivele wireless din aria sa de
acoperire,reeaua astfel creat comportndu-se ca un teritoriu fr nici
un fel de restricii.n continuare vom urmri gradual metodele de
securizare a unei reele fr fir aa cum au fost prezentate anterior
urmnd ca n final s furnizm o soluie de securizare a reelei folosind
o combinaie ntre autentificarea conform protocolului 802.1x ce
folosete o criptare WEP a datelor vehiculate n cadrul reelei.Reeaua
astfel creat se afl n stadiul unu de securitate a unei reele, orice
utilizator putnd avea acces la resursele reelei fr fir. Astfel de
reele sunt folosite de obicei pentru accesul la internet n cadrul
campusurilor universitare, pentru punctele de acces gratuite unde
securitatea nu este un deziderat principal ntruct se presupune c
datele vehiculate n reea nu necesit protecie suplimentar.n
continuare voi prezenta facilitile furnizate de router pentru
securizarea reelei nou create.1. Un prim pas care poate fi fcut
pentru a securiza reeaua nou creat este acela de a dezactiva
transmiterea de ctre router a semnalelor de tip beacon prin care
acesta furnizeaz clienilor din aria sa de acoperire numele reelei
dat de SSID-ul implicit stabilit n sesiunea precedent de
personalizare a reelei. n cazul n care router-ul dispune de o
opiune pentru ascunderea identitii reelei (SSID),aceast opiune
trebuie activat. De asemenea, trebuie modificat numele reelei,
deoarece mai toate folosesc denumirea implicit. n locul acesteia
este de preferat o descriere care s nu nsemne nimic re-cognoscibil,
n nici un caz numele proprii. Dac SSID-ul este ascuns, hacker-ul
trebuie s introduc numele reelei manual, ca i n cazul parolelor.
Acest truc nu ne ofer ns siguran absolut, fiindc utilitare precum
Network Stumbler descoper i reele ascunse.Pentru ilustrarea acestei
msuri de securitate am configurat n cadrul domeniului de
configurare a router-ului un SSID de forma: 1yXq34*$56hrYvWdA78 iar
funcia de SSID Broadcast a fost oprit din meniul cu setari ale
reelei WLAN. Un astfel de identificator al reelei ajuta nu numai la
protejarea SSID-ului de atacuri de tip Brute-Force, ci ofer i o
funcie de securitate important: programe gen WEP Crack adun
pachetele transmise de WLAN n scopul spargerii codrii WEP.Dar,
fiindc driverele WI-Fi din Linux nu ntreprind nici un fel de
verificare a datelor prin sume de control, iar caracterele speciale
din SSID (coninute de fiecare pachet ) nu sunt lizibile pentru
program, pachetele sunt declarate ca fiind defecte i implicit
respinse. Cu alte cuvinte pachetele de date necodate transmise de
WLAN nu mai pot fi interceptate i sparte.Pentru conectarea
clienilor reelei va trebui introdus manual numele reelei adic
1yXq34*$56hrYvWdA78 iar astfel reeaua va fi recunoscut imediat ce
clientul se afl n aria de acoperire a reelei.2. Aa cum am precizat
anterior o reea care doar are dezactivat funcia de SSID broadcast
este cu siguran susceptibil unor atacuri de tip MITM ntruct un
acces neautorizat poate fi realizat foarte simplu prin folosirea
unei interfee de reaea ce poate lucra n modul promiscous i care
poate folosi Network Stumbler pentru a intercepta traficul din reea
i implicit i numele SSID al reealei. Din aceast cauz o msur
suplimentar de securitate oferit de majoritatea dispozitivelor fr
fir este activarea autentificrii WEP.Router-ul dispune de
posibilitatea setrii unei autentificri WEP fie de tip Open System
fie de tip cheie partajat. Open sistem permite accesul deschis via
reea wireless la router ns tipul de autentificare cu cheie partajat
se bazeaz pe o cheie cunoscut de toi utilizatorii din reea.
Router-ul permite setarea unei chei maxime de 128 de bii n format
fie heza zecimal fie n format ASCII. Deasemeni se pot seta un numr
de 4 chei WEP care vor putea fi folosite pentru securizare
reelei.Problema standardului WEP dat de vectorul de iniializare.Se
recomandca acest vector de iniializare s se repete pentru a nu fi
interceptat. Din pcate, acest lucru nu este respectat de toi
productorii i nici nu prea exist referine despre cum se genereaz un
vector de iniializare. De regul, n acest sens este utilizat un
pseudo-generator de numere aleatoare. Consecina este c, mai devreme
sau mai trziu, VI-ul ajunge s se repete. Un studiu realizat de
Universitatea Berkley spune c vectorul de iniializare se repet dup
circa 5.000 de pachete de date transmise n reeaua wireless. Dac
hacker-ul descoper dou pachete cu VI identic, acesta poate
descoperi cheia WEP. Problema cea mai important se pare c o
constituie faptul c pentru un atac asupra unei reele WLAN un ru
voitor nu are nevoie de software complicat,programe care pot sparge
WEP sunt disponibile de exemplu la adrese ca
wepcrack.sourceforge.net sau airsnort.shmoo.com.Totui aa cum am
precizat mai devreme un element de securitate desuet aa cum este
WEP este mai bun dect nefolosirea aa ca este indicat utilizarea
acestuia n combinaie cu alte metode de ntrire a securitii
reelei.Deasemenea router-ul dispune de autentificare WPA i WPA-PSK
care vor fi discutate ulterior fiind o soluie de securitate mult
mai avansat dect simpla folosire a WEP.3. Router-ul ofer,ca i un
grad crescut de securitate, dou moduri de expediere a datelor:
static sau dinamic. n cadrul rutrii statice pot fi stabilite
parametrii de rutare a datelor n cazul n care utilizatorul are o
adres IP static. Deasemeni este oferit i posibilitatea unei rutri
dinamice acest tip de rutare ncercnd s rezolve problema unei rute
prin folosire unor tabele de rutare automate. Rutarea adreselor
poate fi folosit n combinaie cu o zon DMZ pentru a direciona
traficul din reea ctre aceast zon.4. n opiunea de acces la
facilitile ruterului putem utiliza mai multe ci de restricionare a
accesului la reeaua WLAN.a) Filtrarea MACb) Filtrarea accesului pe
baza protocolului folosit de client.c) IP filter- cu ajutorul
acestei opiuni poate fi restricionat acesul adreselor IP aflate
ntr-un anumit interval.d). Virtual Server: cu ajutorul acestei
setri putem direciona accesul ctre un server local din cadrul
reelei.e) DMZ zon tampon pentru clienii care nu pot avea acces la
internet prin intermediul ruterului datorit elementelor de
securitate pe care nu le ndeplines.f) Firewall RuleAceste setari
definesc toate facilitile puse la dispoziia unui administrator de a
reglementa anumite permisiuni valabile utilizatorilor reelei sau
celor care doresc s acceseze reeaua WLAN. Cu ajutorul acestor
opiuni sunt posibile implementarea schemelor de securitate
prezentate n tabelul de mai sus care nu au nevoie ca metod de
autentificare folosirea unui server RADIUS i implicit a unei
autentificri conform standardului EAP.
Server RADIUS cu protocol EAP.Desfurarea procesului de
autentificare, autorizare i actualizare a contului unui utilizator
wireless n cadrul reelei se va desfura conform cu dialogul standard
de autorizare la un server RADIUS iar participanii la dialogul de
autentificare trebuie s respecte aceleai caracteristici de
securitate.
1.Schema de principiu a montajului
Client Interfaa hostuluiPort acces la reea(AP, switch)Server AAA
(orice server EAP de obicei RADIUS)Server autentificareMesaje EAP
ncapsulate tipic pentru
RADIUSAutentificatorul192.168.1.100EAPOL192.168.1.1192,168,1,,1111
2.Protocolul de comunicaieServerul de autentificare poate fi n
acelai loc cu autentificatorul sau cele dou pot fi n locuridiferite
i s se acceseze reciproc prin comunicaie de la distan. Multe dintre
funciile de autentificare sunt implementate la client i la serverul
de autentificare. Acest lucru este benefic pentru punctele de
acces, deoarece ele au o memorie mic i putere de procesare redus.
Dialogul de autorizare standard const n: AP (punctele de acces)
cere STA(staiile) s se identidifice folosind EAPOL (EAP over LAN).
STA i trimite identitatea la AP AP trimite mai departe identitatea
STA la AS (server de autentificare), prin intermediul EAP ntre AS i
STA are loc un dialog de autentificare Dac dialogul este terminat
cu success, STA i AS partajeaz cheie de sesiune AS trimite cheia de
sesiune la AP ntr-un atribut RADIUS precum i o parte a mesajului de
acceptare a RADIUSClientul wireless ncearc s se autentifice la reea
prin intermediul ruterului, dar naintea autentificrii este deschis
numai un port necontrolat ce va permite doar mesaje de
autentificare de tip EAPOL. Aceste mesaje vor fi trimise ctre
serverul RADIUS care va verifica credenialele clientului prin
analiza conturilor din cadrul Active Directory.Pentru realizarea
practic am folosit configuraia precedent pe care am ilustrat
posibilitile de securizare ale reelei doar cu ajutorul funciilor
oferite de ruter iar n plus pentru realizarea configuraiei de lucru
pe calculatorul pe care am instalat ruterul am folosit Windows
Server 2003 pentru a configura un server RADIUS ce va servi ca
autoritate de autentificare a clienilor wireless.3. Elemente
software utilizate Windows Standard Server 2003Windows Standard
Server 2003 este un sistem de operare n reea sigur care ofer rapid
i uor soluii pentru firme. Acest server flexibil este alegerea
ideal pentru nevoile zilnice ale firmelor de toate mrimile. accept
partajarea fiierelor i imprimantelor. ofer conectivitate sigur la
Internet. permite desfurarea centralizat a aplicaiilor din spaiul
de lucru. ofer posibilitatea unei bogate colaborri ntre angajai,
parteneri i clieni accept multiprocesarea simetric cu dou ci i pn
la 4 gigaoctei (GO) de memorie. IASIAS (Internet Authentification
Service) este implementarea Microsoft a unui server RADIUS (Remote
Dial in User Service). Ca i server RADIUS, IAS realizeaz operaiuni
centralizate de autentificare, autorizare i nregistrare pentru mai
multe tipuri de conexiuni la reea aa cum sunt reelele VPN sau WLA,
conexiuni dial-up, remote acces sau conexiuni de tip
ruter-ruter.
Active DirectoryActive Directory este o implementare a
serviciilor de directoare LDAP, folosit de Microsoft n cadrul
sistemelor de operare Windows. Astfel "Active Directory" pune la
dispoziia administratorilor un mediu flexibil cu efect global
pentru: asignarea permisiunilor, instalarea programelor, nnoirea
securitii. Toate aceste operaiuni pot fi aplicate att la reele
mici, ct i la reele complexe.Active Directory (AD) - este o
ierarhie de cteva obiecte, unde obiectele se mpart n trei
categorii: resurse (ex: imprimant), servicii (ex: pota electronic),
resurse umane (ex: utilizatori, grupe de utilizatori). Scopul
tehnologiei "Active Directory" este de a pune la dispoziie
informaii despre aceste obiecte, organizarea obiectelor, controlul
accesului, setarea securitii..4. Implementare practica).
Implementarea autentificatoruluiLa nivelul ruterului am
redirecionat tot traficul ce ncerca s acceseze resursele reelei
ctre serverul RADIUS. Pentru autentificarea clienilor am folosit
Wi-Fi protected Acces cu TKIP toate cererile de accesare a reelei
fiind redirecionate ctre serverul RADIUS indicat prin adresa
192.168.1.111:1812. Deasemeni pentru comunicaia dintre ruter-ul
wireless i server este necesar stabilirea unei chei secrete de
comunicare.
Figura 3.1. Implementare ruter
b).Implementarea serverului
Serverul va fi instalat pe un sistem de operare Windows Server
2003 indicat prin adresa int //192.168.1.111 iar portul de
comunicaie 1812 va fi deschis pentru comunicaiile de tip EAP-RADIUS
dintre suplicant i serverul RADIUS.
Figura.3.2 Creare client IAS
Vom identifica ruterul folosit ca i client al serverului de
autentificare pentru care vom forma politici de acces la disstana
la domeniu, politici ce vor restriciona accesul n funcie de
caracteristicile clienilor: adresa IP a clientului, restricii n
funcie de momentul data i ora accesrii, tipul de conexiune, tipul
de protocol folosit pentru securizarea accesului sau dup grupul
Windows creia aparine clientul.
Figura 3.3 Politici de securitate
Pentru clientul anterior format am creat restricii remote ce
privesc tipul de autentificare folosit. Astfel vom folosi pentru
autentificare MS-CHAP v2 care este un protocol al Microsoft de tip
Challenge handshake authentification protocol.MS-CHAP v2 este o
versiune mbuntit de MS-CHAP, foarte utilizat de sistemele Windows i
cu suport criptografic mai bun dect protocoalele anterioare. Pentru
ca, un utilizator s se poat conecta de la distan, este obligatoriu
ca el s aib un cont de utilizator n cadrul domeniului sau grupului
de lucru gestionat de server. n cazul nostru exist un grup de lucru
n cadrul cruia creem un grup de utilizatori wireless. Mai departe,
n cadrul grupului de utilizatori creem utilizatorii care se vor
conecta de la distan, practic clienii WLAN.Astfel vom avea urmtorii
utilizatori, cu nume generice: George, Daniel, Alina iar grupul de
utilizatori poate fi extins n funcie de cerine. La creearea
utilizatorilor, se vor crea practic conturi de acces n reea. Aceste
conturi se vor conforma politicilor de securitate stabilite n
Windows Server 2003. Este o autentificare bazat pe nume de
utilizator i parol.Pentru fiecare utilizator trebuiesc setate
anumite proprietai, pentru a putea avea acces de la distan. Asfel,
la fiecare cont de utilizator se va merge la Proprietai i apoi la
butonul Dial-in.
Figura 3.4 Drepturi acces client
Aici putem stabili dac utilizatorul respectiv are sau nu drept s
se conecteze la distan. Ca o msur suplimentar de securitate, se
poate seta opiunea Verify Caller ID, adic s se permit accesul,
numai daca se conecteaz de la un numr de telefon predefinit. n
cazul nostru, vom seta ca la toi utilizatorii s fie permis accesul
pe baza politicii de securitate a serverului de acces la
distan(Control access through Remote Access Policy).Aceasta va fi
configurat ulterior.c).Implementarea suplicanilorPentru fiecare
client n parte vom stabili acessul de tip remote folosin ca i metod
de autentificare 802.1x PEAP cu protocolul MS-CHAP v2.. La
proprietaile conexiunii, putem seta ce tip de conexiune se va iniia
(PPTP sau L2TP), nivelul de criptare pe care l dorim, metoda de
autentificare folosit (MS-CHAP.v2, EAP), modul de autentificare
(smart-card, certificate digitale).PEAP este o metod de
autentificare ce protejeaz negocierea de tip EAP, ncriptnd
coninutul cu TLS. Este cel mai frecvent folosit n reelele wireless
802.11. n momentul conectrii la reea dup redirecionarea accesului
ctre server vom oferi credenialele proprii care vor fi comparate cu
cele introduse pentru fiecare client n Active Directory accesul la
reea i implicit la resursele reelei fiind permis dect dup
confruntarea credenialeleor introduse de utilizator cu cele stocate
n cadrul grupului creat.
Figura 3.5 Conectare clieni
Autentificarea se va face pe baza conturilor stabilite n Windows
Server 2003. n momentul de fa, clienii pot s trimit date n reea i s
acceseze resursele de pe calculatoarele din wlan. Ct timp sunt n
reeaua public, datele sunt protejate de utilizatorii neautorizai
att prin criptare ct i prin tunelare.
Concluzii
Reelele fr fir furnizeaz noi provocri la adresa securitii i
administratorilor, care nu au fost ntlnite n reelele cablate. Cele
mai bune practici dicteaz o structurare ct mai adecvat a nivelelor
pentru securitatea reelei. Ar trebui luat n considerare
configurarea punctelor de acces, firewall-urilor i a VPN-urilor.
Strategiile de securitate ar trebui definite pentru un nivel
acceptabil al performanei. Sistemul de detectare a intruilor n
reelele fr fir ar trebui s elimine problemele de securitate i s
asigure c ceea ce credem c este securizat este, de fapt, aa.Dup
toate elementele de funcionalitile de securitate i opiunile
menionate pn acum n aceast lucrare, anumite puncte de configurare
trebuie avute n vedere n cadrul proiectrii reelelor fr fir de ctre
administratorii unor astfel de reele. Pe lng metodele de securitate
mai sus detaliate sunt necesare anumite setri de siguran care s
funcioneze ca o prim barier n faa posibililor atacatori.
Bibliografie
1. erbanescu, D. - Retele wireless: secrete mici, efecte mari,
PC Magazine Romnia, Iunie 20022. Mocanu, t. Transmiterea datelor pe
canale wireless, referat doctorat 2002, AII-215-03.3. Andrew S.
Tanembaum Reele de calculatoare;4. Szcs Andrs - Reele de
calculatoare, auxiliar curricular, 20095. Dabija George -
Securitatea sistemelor de calcul i a reelelor de calculatoare
partea I, auxiliar curricular, 20096. Mojzi Mihai - Securitatea
sistemelor de calcul i a reelelor de calculatoare partea I,
auxiliar curricular, 2009Resurse Internet:*** -
http://www.agora.ro/*** - http://www.chip.ro/*** - www.ieee.org***
- http://www.networkworld.ro/general.php