Technologie
Architectura
Elementy sieci
Zasada działania
Topologie sieci
Konfiguracja
Zastosowania
Bezpieczeństwo
Zalety i wady
Technologie bezprzewodowe stanowią alternatywę dla sieci opartych na połączeniach kablowych. Wi-Fi (Wireless Fidelity) to ogólny termin odnoszący się do standardu IEEE802.11 opisującego bezprzewodowe sieci lokalne (WLAN). Wi-Fi umożliwia połączenie komputerów między sobą, łączność z Internetem a także jest dołączalna do sieci przewodowej .
IEEE 802.11b
• Zatwierdzony pod koniec 1999
• Pracuje w paśmie 2,4 GHz
• 11 Mbps (prędkość teoretyczna) – dla odległości do
30m
• 4-6 Mbps (przeciętna prędkość transmisji)
• Zasięg max.: 45m w pomieszczeniu, ~100m na
zewnątrz
• Interferencje z sygnałem z telefonów komórkowych i
urządzeń Bluetooth obniżają szybkość transmisji.
IEEE 802.11a
• Zatwierdzony pod koniec 1999, wdrożony w 2001
• Pasmo pracy - 5 GHz
• 54 Mbps (szybkość teoretyczna)
• 15-20 Mbps (szybkość efektywna)
• Zasięg: 20 – 35m
• Urządzenia droższe od urządzeń 802.11b
• Niekombatybilny z 802.11b
IEEE 802.11g
• Wdrożony w 2003
• Połączenie dwóch poprzednich standardów (a-
prędkość,b-pasmo pracy)
• Zasięg jak w standardzie b (wynika z pasma pracy)
• 54 Mbps prędkość efektywna
• Pasmo pracy - 2.4 GHz
• Kompatybilny w „dół” z 802.11b
• Dostępne urządzenia w standardzie „Super G”
IEEE 802.11n
• Zatwierdzony – wrzesień 2009
• Max prędkość teoretyczna 300Mbps
(dostępna 100Mbps)
• Pasmo pracy - 2.4 lub 5,0GHz
• Zasięg 70 do ~200m
Warstwa fizyczna 802.11
Warstwa fizyczna składa się z trzech podwarstw (trzy metody transmisji):
• Direct Sequence Spread Spectrum (DSSS)-bezpośrednie modulowanie nośnej sekwencją kodową.
• Frequency Hoping Spread Spectrum (FHSS)-”skakanie sygnału po częstotliwościach w kolejnych odstępach czasu”.
• Diffused Infrared (DFIR) – fale elektromagnetyczne z zakresu podczerwieni
Warstwa łącza danych 802.11
• Logical Link Control (LLC) – „sterowanie połączeniem logicznym”. Wyższa podwarstwa warstwy łącza danych modelu OSI. Identyczna dla różnych fizycznych mediów wymiany danych.
• Media Access Control (MAC) – „kontrola dostępem do medium”. Niższa podwarstwa warstwy łącza danych modelu OSI.
Elementy sieci Wi-Fi
Access Point (AP) – punkt dostępowy. Urządzenie zapewniające stacjom bezprzewodowym dostęp do zasobów sieci za pomocą bezprzewodowego medium transmisyjnego.
Karty Wi-Fi – bezprzewodowe karty sieciowe (np. standard PCMCIA do notbook’ów lub PCI komputerów stacjonarnych).
Zabezpieczenia – firewall’e i antywirusy oprogramowanie zabezpieczające przed nieautoryzowanym dostępem do zasobów sieci i zapewniające bezpieczeństwo informacji.
Jak działa sieć WiFi
Podstawowa koncepcja jest oparta o zasadę działania „krótkofalówek”.
Wi-Fi hotspot jest tworzony poprzez dołączenie AP do sieci internet.
Punkt dostępowy stanowi stację bazową dla połączeń bezprzewodowych.
W chwili gdy klient Wi-Fi zlokalizuje punkt dostępowy możliwe jest ustanowienie połączenia.
Wiele AP może być połączonych ze sobą kablem Ethernetowym tworząc siatkę (mesch) Wi-Fi.
Topologie sieci Wi-Fi
• Topologia AP-based topologia (tryb Infrastructure) • Topologia peer-to-peer (Ad-hoc Mode) • Topologia „mostu” - Point-to-multipoint
Tryb Infrastructure
• Klienci komunikują się poprzez AP. • AP zapewniają dostęp do sieci. • Struktura zawiera co najmniej 2 AP. • Zasięg sąsiadujących „komórek” AP powinny pokrywać się w
10-15%.
Topologia peer-to-peer
AP nie jest wymagany. Urządzenia w obrębie „komórki” mogą komunikować się ze
sobą bezpośrednio. Jest łatwa i szybka do utworzenia. Jest bardzo podatna na nieautoryzowany dostęp
Point-to-multipoint
Topologia pozwalająca łączyć ze sobą „odległe” sieci lokalne. Jeden punkt stanowi rodzaj „koncentratora” z dostępem do Internetu. Pozostałe punkty łączą się z nim na zasadzie wielu-do-jednego
Zagrożenia sieci Wi-Fi
Technologie Wi-Fi są narażone na wszystkie niebezpieczeństwa znane z wcześniejszych technologii. Dodatkowo sieci Wi-Fi są podatne na ataki typu:
Eavesdropping (podsłuchiwanie)
Man-in-the-middle
Denial of Service
Podsłuchiwanie transmisji
Łatwe w realizacji, niemal niemożliwe do wykrycia.
Domyślnie cała transmisja jest niekodowana: nazwa użytkownika, hasła, zawartość przekazu, domyślnie nie ma kodowania w warstwie fizycznej.
Istnieje cała gama narzędzi do realizacji podsłuchu:
sniffer’y sieciowe, analizatory protokołów, itp., słowniki haseł.
Z odpowiednim wyposażeniem transmisję Wi-Fi można
podsłuchiwać z odległości kilku kilometrów.
Atak MItM
Atakujący przechwytuje pakiety
ofiary, blokując transmisję
Ofiara nie mogąc wykonać
transmisji poszukuje
najbliższego AP
Atakujący podszywa się pod AP
Atakujący używając identyfikacji
ofiary łączy się z właściwym AP
Atak DoS
Atak na pasmo fizyczne wprowadzenie częstotliwości zakłócających (frequency jamming) metoda nie wyrafinowana ale skuteczna.
Atak na warstwę MAC
fałszowanie danych w transmitowanych ramkach (spoofing), możliwość ataku określonego użytkownika.
Atak na protokoły wyższych warst
SYN flooding
Zabezpieczanie sieci Wi-Fi
Uwierzytelnienie: - po stronie użytkownika - po stronie serwera Prywatność
Uwierzytelnienie
Nie pozwala na nieautoryzowany dostęp do sieci Uwierzytelnienie po stronie użytkownika: - wymagany jest serwer uwierzytelniający, - nazwa użytkownika i hasło. Zagrożenia:
- nazwa użytkownika i hasło są przesyłane przed nawiązaniem bezpiecznego połączenia,
- łatwe do przechwycenia poprzez podsłuch sieci. Rozwiązanie: - nawiązanie bezpiecznego połączenia przed
logowaniem użytkownika
Uwierzytelnienie cd.
Uwierzytelnianie po stronie serwera: - Użycie certyfikatów - Sprawdzenie poprawności certyfikatu odbywa się automatycznie w ramach oprogramowania klienckiego
Techniki zabezpieczenia Wi-Fi
• Service Set Identifier (SSID) – identyfikator sieci (max 32 znaki)
• Wired Equivalent Privacy (WEP)
• 802.1X Access Control
• Wireless Protected Access (WPA)
• IEEE 802.11i (WPA2)
Identyfikator sieci SSID
SSID (ang. Service Set IDentifier) – identyfikator sieci składający się maksymalnie z 32 znaków, dodawany do nagłówków pakietów wysyłanych przez bezprzewodową sieć lokalną. Pełni rolę hasła dostępowego przy próbie dostępu do punktów dostępu. Wszystkie urządzenia mające pracować w jednej sieci muszą używać tego samego SSID.
Szyfrowanie WEP
WEP (ang. Wired Equivalent Privacy) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE 802.11. Standard ten powstał w 1997 roku. Standard specyfikuje klucze 40- i 104-bitowe, do których w procesie wysyłania ramki dołączany jest wektor inicjujący (IV) o długości 24 bitów. Stąd popularnie mówi się o 64- i 128-bitowych kluczach WEP, ale nie jest to stwierdzenie poprawne technicznie. W rozszerzeniach firmowych tego standardu znaleźć można również klucze o długości 232 bitów (z IV daje to 256 bitów), które jednak z uwagi na znane słabości w doborze IV nie zwiększają w istotny sposób siły kryptograficznej całości rozwiązania.
Standard dostępu 802.1x
Mechanizm dostępu sieciowego ogólnego przeznaczenia (nie tylko dla sieci Wi-Fi).
Uwierzytelnia klienta podłączonego do AP lub przełącznika sieciowego.
Uwierzytelnianie odbywa się z wykorzystaniem serwera uwierzytelniającego, który stwierdza czy dany klient jest autentyczny czy nie.
Szyfrowanie WPA
WPA (ang. WiFi Protected Access) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE 802.11. WPA jest następcą mniej bezpiecznego standardu WEP. Standard WPA został prowadzony przez organizację WiFi. Pierwsza wersja profilu WPA została wprowadzona w kwietniu 2003 roku. WPA wykorzystuje protokoły TKIP (Temporal Key Integrity Protocol), 802.1x oraz uwierzytelnienie EAP.
WPA=802.1x+EAP+TKIP+MIC
Szyfrowanie WPA cd.
WPA dzieli się na: Enterprise – korzysta z serwera RADIUS, który przydziela różne klucze do każdego użytkownika. Personal - nie dzieli kluczy na poszczególnych użytkowników, wszystkie podłączone stacje wykorzystują jeden klucz dzielony (PSK - Pre-Shared Key).
Uwierzytelnienie w protokole WPA-PSK jest podatne na ataki słownikowe.
Szyfrowanie TKIP w WPA jest podatne na atak kryptoanalityczny o ograniczonym
zasięgu, dla którego opracowano również zoptymalizowaną wersję.
Bezpieczeństwo WPA
Dane są szyfrowane Zabezpieczenie przed podsłuchem i atakami typu
MItM
Ataki Dos Zabezpieczenie przed atakiem opartym na
fałszywych danych (fake messages) Jeżeli w określonym czasie nadejdą dwa
nieautoryzowane pakiety łączność zostaje zerwana na określony czas
Dwa niewłaściwe pakiety na minutę wystarczą do wstrzymania aktywności
802.11i (WPA2)
Protokół implementuje w sobie 802.1x i CCMP
Dąstępne są wersje: Personal i Enterprise
WPA2 jest kompatybilne wstecz z WPA
Podstawowa różnica pomiędzy WPA, a WPA2 jest w sposobie szyfrowania (odpowiednio RC4 i AES )
WPA i WPA2 są dużo bardziej bezpieczne niż WEP. Powinny być jak najczęściej stosowane w miarę możliwości.
Zalety
Mobilnośc
Łatwość instalacji
Elastyczność
Koszt
Niezawodność
Bezpieczeństwo
Używa nielicencjonowanego pasma radiowego
Roaming
Speed