62666172 Securitatea Retelelor Wireless

Securitatea retelelor wireless. Elemente de criptografie si protocoale de securitate

Memoriu justificativ Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare: calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele, după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare. Secolul nostru a generat dependenţa de informaţie : oameni care au nevoie să fie în permanenţa conectaţi. Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi fibrele optice nu sunt de nici un folos. Ei au nevoie de date pentru calculatoarele lor portabile, de buzunar, fără a fi legaţi de infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori, răspunsul îl constituie comunicaţiile fără fir. Reţelele wireless sau mai simplu WLAN au apărut ca o alternativă la reţeaua LAN prin cablu reprezentând un sistem flexibil de comunicatii de date , folosit ca o extensie sau o alternativă la reţelelor cablate , într-o clădire sau un grup de clădiri apropiate . Folosind undele electromagnetice , dispozitivele WLAN transmit şi primesc date prin aer , eliminând necesitatea cablurilor şi transformând reţeaua într-un LAN mobil . Astfel , dacă o firmă are un WLAN , la mutarea în alt sediu nu este nevoie de cablări şi găuriri în pereţi plafoane pe care acestea le presupun , ci pur şi simplu se mută calculatoarele şi reţeaua poate funcţiona imediat . Ce-i drept , în general reţelele WLAN se folosesc împreună cu LAN-urile clasice , mai ales pentru partea de tipărire în reţea pentru legătura la server . Tema acestui proiect îl reprezintă studiul de caz asupra reţelelor fără fir şi mai ales a cerinţelor de securitate pe care le presupune o astfel de reţea ,cu aplicaţii practice în realizare unei reţele WLAN care să îndeplinească cerinţele unei reţele sigure din punct de vedere a securităţii atât a accesului la reţea cât şi a datelor vehiculate în cadrul reţelei. Următorul proiect urmăreşte identificarea elementelor de securitate deja existente în cadrul unei reţele fără fir , posibilităţi de securizare oferite de dipozitive de securizare ale reţelei iar parte practică se

Pagina 1 din 146

constituie într-un ghid practic ce va puncta sonfigurări şi măsuri de securitate pentu un mediu de comunicaţie cât mai sigur. Introducere Produsele fără fir, de la comanda la distanţă a televizoarelor şi închiderii uşilor automobilelor la telefonia celulară , utilizează o formă de energie cunoscută ca radiaţie electromagnetică pentru a transporta semnalele. În ultimi ani comunicaţiile fără fir şi cele mobile au cunoscut o creştere explozivă în ceea ce priveşte numărul de servicii asigurate şi tipurile de tehnologii devenite disponibile .Tehnologia celulară , transimiterea de date în reţele mobile şi serviciile multimedia sunt într-o dezvoltare rapidă , utilizatorii mobili având acces la servicii precum e-mail , telefonie , video , e-banking ,etc. De câţiva ani , reţelele de calculatoare sunt folosite pentru a interconecta calculatoare pesonale şi servere în firme , universitaţi şi oraşe , însă în ultimii ani a avut o evoluţie rapidă în direcţia folosirii reţelelor fără fir . De fapt, în prezent sunt disponibile interfeţe fără fir pentru utilizarea serviciilor de reţea care ne permit să folosim poşta electronică şi să navigăm pe Internet aproape din orice loc ne-am afla . Sistemele fără fir oferă beneficiul mobilităţii utilizatorilor şi o desfăşurare flexibilă a unei reţele într-o anumită arie. Mobilitatea utilizatorilor îi permite unui client al reţelei să se mişte în diferite locaţii ale reţelei fără să-şi piardă conexiunea la reţea .Reţelele fără fir oferă deasemenea avantajul că adăugarea unui nod la reţea se poate face fără prea multă planificare sau costuri suplimentare de reclabare. Aceasta face ca viitoare dezvoltări ale reţelei să fi uşoare şi ieftine . Creşterea rapidă a folosirii laptoupurilor şi PDA-urilor a condus de asemenea la creşterea dependenţei de reţelele fără fir datorită faptului că reţelele radio pot face mai uşor faţă creşterii dinamice a utilizatorilor unei reţele. Ca orice tehnologie relativ nouă ,reţelele fără fir reprezintă un mediu de comunicaţie susceptibil la ameninţări ce ţin nu numai de acţiuni din exteriorul mediului ,dar uneori lipsa unei documentări puternice asupra capabilităţilor unui astfel de mediu se traduce în probleme de securitate Provocările oferite de reţelele fără fir pot fi detaliate pe mai multe planuri. Deficitul lăţimii de bandă face ca pentru reţelele radio divizarea lăţimii de bandă să fie esenţială , de vreme ce spectrul radio nu numai că este destul de scump , dar este totodată şi limitat. Accesul multiplu , adică succesul unie tranmisii nu este independent de alte transmisii . Pentru a face o transmisie reuşită trebuie evitată interferenţa sau cel puţin ţinută sub control. Pe de altă parte transmisiile multiple pot duce la coliziuni sau la semnale deformate. Pagina 2 din 146

Direcţiile multiple de transmisie produc erori variabile de transmisie care por conduce la o conectivitate intemitentă. Mobilitate , securitatea şi calitatea servicului. Următoarea lucrare se va baza în special pe acest ultim deziderat al unei reţele WLAN şi pe aplicaţiile ce rezidă din necesitatea unei conexiuni tot mai sigure şi mai de calitate în cadrul unei reţele fără fir.Pentru aceasta este nevoie de cunoaşterea unor elemente minime ce se referă la metodele de criptare a datelor vehiculate în cadrul reţelei. Criptografia este ştiinţa scrierilor secrete. Ea stă la baza multor servicii şi mecanisme de securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în intenţia de a ascunde conţinutul lor sau de a le proteja împotriva modificării. Criptografia are o lungă istorie, confidenţialitatea comunicării fiind o cerinţă a tuturor timpurilor. Dacă ar trebui să alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu atât datorită celebrităţii împăratului roman de care se leagă folosirea lui, ci pentru că principiul său de baza, al substituţiei, s-a menţinut nealterat aproape două milenii. Scopul de bază al criptografiei 1. Confidenţialitate – asigurarea că nimeni nu poate citi mesajul cu excepţia destinatarului. 2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către persoane neautorizate. Prin manipularea datelor înţelegem procese cum ar fi inserţii, întârzieri sau substituiri. 3. Autentificarea – presupune posibilitatea de identificare a sursei informaţiei şi a entităţii (o persoană, un terminal de computer, o carte de credit). 4. Non-repudierea – care previne negarea unor angajamente sau acţiuni anterioare. Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace sunt menite să garanteze că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu a fost manipulată de persoane neautorizate. Tehnica identificării sau autentificării identităţilor asigură că ambii participanţi (prin probe coroborate sau dobândite) implicaţi au într-adevăr identitatea pe care o pretind. Acest lucru se realizează prin transmiterea de date necesare pentru a identifica părţile care participă la comunicaţie, ambii participanţi fiind activi în această comunicaţie oferind astfel oportunitatea unei garanţii. Este important a înţelege importanţa autentificării. Într-un canal de comunicaţii cu un sistem ideal de criptografie cu chei publice teoretic cele două părţi pot comunica prin intermediul canalului fără a resimţi nevoia schimbării de chei. Ori un adversar activ poate Pagina 3 din 146

înfrânge sistemul (să decripteze mesajele menite să le recepţioneze cea de-a doua entitate) fără a „sparge” sistemul de criptografie. Tehnica autentificării entităţilor se poate împărţi în trei mari categorii, în funcţie de tipul de securitate: ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru obţinerea de chei simetrice) Numere Personale de Identificare (PIN-uri) şi chei private, care prin protocoale provocare-răspuns, se dovedeşte cunoaşterea lor. ceva posedat. Acest aspect se referă mai mult la accesorii fizice un fel de paşaport încă valabil. Exemple sunt card-urile smart (card-uri de mărimea unuia de credit cu un microprocesor încorporat sau cu un circuit integrat). ceva moştenit(pentru o persoană). Această categorie include metode care fac uz de caracteristici fizice şi de acţiuni involuntare cum ar fi semnătura, amprente digitale, vocea, modelul retinei, geometria mâinii precum şi caracteristicile dinamice ale tastatului. Însă acestea sunt tehnici non-criptografice. Descriere context şi obiective Încă din momentul în care Gugliemo Marconi a realizat legătura între un vapor şi un punct de pe coastă folosind telegraful fără fir şi codul Morse (punctele şi linile sunt în definitiv binare) în anul 1901, tehnologia wireless a modificat modul în care oamenii comunică şi transmit informaţii. De la modulaţia în amplitudine (AM) a undelor radio din 1920 şi pâna la multitudinea de dispozitive wireless a secolulului XX, tehnologia wireless s-a dezvoltat dramatic, definind noi industrii dând naştere unui set nou de produse şi servicii. Comunicaţiile wireless au înregistrat o puternică dezvoltare în ultimele zeci de ani. De la telecomanda televizorului la sisteme ce comunică via satelit, comunicaţiile wireless au schimbat modul în care trăim. Diferitele dispozitive conectate prin intermediul legăturilor wireless conferă o mobilitate ridicată şi solicită o infrastructură mult mai simplă decât obişnuitele reţele cablate. Folosind undele electromagnetice, reţelele wireless transmit şi primesc date prin atmosferă, minimizând nevoia de reţele cablate. Cu ajutorul tehnolgiei de azi reţelele wireless sunt foarte accesibile, sigure şi uşor de implementat. Reţelele wireless au câştigat o popularitate semnificativă printre utilizatorii foarte mobili şi deasemeni printre cei care fac parte din mici grupuri aşa numitele SoHo (Small Office Home Office). Reţelele wireless ofera posibilitatea utilizatorilor mobili să aibă acces la informaţii în timp real. O reţea de calculatoare poate fi realizată atât ca o reţea de sine stătătoare folosind ca mijloc de comunicaţie doar legăturile wireless , ca o reţea de tip

Pagina 4 din 146

enterprise-reţea la scară mare înglobând sute de calculatoare-, ca o extensie la o reţea cablată sau ca un înlocuitor pentru o reţea cablată. Reţele wireless ad-hoc sunt o colecţie de host-uri care formează o reţea temporară fără o structură centralizată sau administrare. Topologia reţelei se modifică în mod constant ca rezultat al faptului că nodurile se alătură sau ies din reţea. Înaintarea pachetelor, rutarea sau alte operaţii sunt realizate de noduri. Creşterea popularităţii reţelelor wireless a determinat o scădere rapidă a preţului echipamentelor wireless concomitent cu o accentuată îmbunătăţire a performanţelor tehnice ale acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici decât una tradiţională pe cablu. În acest fel, apar premizele realizării accesului ieftin şi uşor la Internet membrilor comunităţilor locale, cu toate beneficiile ce rezultă de aici. Accesul la informaţia globală constituie o sursă de bogăţie la scară locală, prin creşterea productivităţii muncii bazate pe accesul la cvasitotalitatea informaţiilor disponibile în lume în legătură cu activitatea prestată. Totodată, reţeaua devine mai valoroasă pe măsură ce tot mai mulţi oameni se leagă la ea.

Pagina 5 din 146

Figura1.1:Tipuri de reţele wireless Chiar şi fără accesul la Internet comunităţile legate la reţele wireless se bucură de avantaje - pot colabora la diferite proiecte cu întindere geografică mare folosind comunicaţii vocale, e-mail–uri şi transmisii de date cu costuri foarte mici. În ultimă instanţă, oamenii înţeleg că aceste reţele sunt realizate pentru a intra mai uşor în legătură unii cu alţii. O reţea, fie că este cablată sau wireless, este creată pentru a transporta date între doi sau mai mulţi clienţi. Tipul datelor poate avea un caracter public sau confidenţial. Dacă pentru datele de tip neconfidenţial securitatea conexiunii nu este o problemă chiar aşa de importantă, pentru cele confidenţiale, securitatea datelor este critică. Securitatea reţelelor wireless este cu atât mai greu de obţinut mai ales datorită vulnerabilităţii legăturilor, protecţiei fizice limitate a fiecărui dintre noduri, conectivităţii sporadice, topologiei care se schimbă dinamic, absenţa autorităţii de certificare şi lipsa unei monitorizări centralizate sau unui punct de management. Pentru securizarea reţelelor wireless au fost definite suita de protocoale IEEE 802.11 a/b/g/n cunoscute ca şi Wi-Fi (Wireless Fidelity) şi 802.16 cunoscut şi ca WiMax (Worldwide Interoperability for Microwave Access).

Figure 1.2 : Acoperirea cu semnal de la un punct de acces

Pagina 6 din 146

Standa

Rata de

Banda

Tipul de

Securitatea

Pro şi contra – informaţii

rd IEEE

transfer Până la 2

Operează în

modulaţie FHSS sau

WEP şi

Acest standard a fost

802.11

Mbps în

banda de

DSSS

WPA

extins la 802.11 b

banda de

frecvenţe ISM

2.4 GHz

(Industrie,

OFDM

WEP şi

Ratificat la 16 septembrie

WPA

1999

Ştiinţă, Medicină) IEEE

Până la 54

802.11

Mbps în

Operează în

a (Wi-

banda de

banda ISM între

Se folosesc opt canale

Fi)

5GHz

5,745 şi 5,805

Posibilitatea de

GHz şi în banda

interferenţă mai mică

UNII

decât 802.11 b şi g

(Unlicensed

suportă mai bine

National

multimedia voce şi video

Information

în aplicaţii cu mai mulţi

Infrastructure)

utilizatori

între 5,170 şi

raza de operativitate mai

5,320 GHz.

mică nu este interoperabil cu WEP şi

802.11 b ratificat în 16 septembrie

WPA

1999;

IEEE

Până la

802.11

11Mbps în

Operează în

Modulaţiile

b (Wi-

banda de

banda de

numai de

putere la ieşire de până la

Fi)

2.4 GHz

frecvenţe ISM

tipul celor

1 watt;

(Industrie,

care au

Are nevoie de mai puţine

Ştiinţă,

dispersia

puncte de acces decât

Medicină)

spectrului

802.11a pentru acoperirea

cuprinsă

unor arii largi;

între 2,412

Oferă acces de viteză

şi 2,484

mare până la distanţa de

GHz:

300 picioare

DSSS cu

Sunt disponibile 14 canale

Pagina 7 din 146

CCK

în banda de 2.4 GHz (dintre care numai 11 se pot folosi în U.S. datorită

OFDM la

WEP şi

reglementărilor FCC) Ratificat în iunie 2003

54Mbps în

peste 20

WPA

Poate înlocui 802.11b

g (Wi-

banda de

Mbps,

Capabilităţi de securitate

Fi)

2.4 GHz

DSSS cu

sporită

IEEE

Până la

802.11

Banda ISM

CCK sub IEEE

În banda

802.16 de 10 la 66 (WiM

20 Mbps OFDM

GHz

AX)

IEEE

Suport

802.16

pentru

a

gama de la

Două benzi

DES şi

Ratificat în 2004;

AES

Poate să utilizeze mai

licenţiate: 3,3 –

multe benzi de frecvenţe,

3,8 GHz şi 2,3 –

licenţiate şi nelicenţiate,

2,7 GHz;

alocate de ITU;

Bandă

Defineşte un standard

nelicenţiată:

pentru reţele de bandă

5,725 – 5,85

largă wireless

GHz.

metropolitane

2 la 11 GHz

OFDM

DES3 şi AES

2 la 11 Blueto

GHz Până la 2

banda de

oth

Mbps

2.45GHz

FHSS

PPTP, SSL

Nu suportă TCP/IP sau

sau VPN

wireless LAN; Utilizat mai cu seamă pentru conectarea PDAurilor, telefoanelor mobile

şi PC într-o arie mică. Tabel 1 Informaţii despre standardele reţelelor wireless Prin folosirea acestor metode de securizare se asigură controlul de acces la reţea şi confidenţialitatea datelor care trec prin aceasta.

Pagina 8 din 146

Într-o reţea wireless deschisă (numită şi Open System), oricine se află în aria de acoperire se poate conecta, chiar şi utilizatorii nedoriţi. De aici se ajunge la diverse probleme cum ar fi irosirea lăţimii de bandă (folosită de intruşi), introducerea de programe cu caracter maliţios în reţeaua privată, sau aşa numitul eavesdropping (interceptarea şi citirea mesajelor sau a oricărui tip de date). Lipsa de securitate a reţelelor Open System poate duce la simplificarea muncii celor ce fac spionaj industrial sau a celor care consideră intruziunea într-o reţea wireless privată o distracţie. Situaţia este diferită în cazul reţelelor securizate, utilizatorii, pentru a avea acces la reţea, trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât reţeaua cât şi utilizatorii sunt protejaţi de pericolele prezentate mai sus. În caz de nevoie utilizatorii pot fi separaţi între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele VPN, sau alte modalităţi. Puncte slabe ale reţelelor fără fir: Ca la orice altă tehnologie nouă, şi în acest caz a fost dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să decurgă cât mai simplu şi mai confortabil. După ce interesul pentru avantajele noii tehnologii a fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi câteva breşe de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulţi administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea şi administrarea reţelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că tehnologia WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul securităţii trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse ulterior în WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri şi de aşa-numiţii war driveri. Marele minus al tehnologiei constă în lipsa protecţiei fizice a datelor de transferat, care există în reţelele pe cablu. Pachetele de date sunt prea puţin protejate la transferul prin unde radio şi se distribuie aproape incontrolabil în mediul ambiant. Aşadar, ele pot fi de exemplu recepţionate de către terţi, înregistrate, evaluate sau chiar manipulate. în special monitorizarea traficului de reţea, aşa numitul sniffing, este unul dintre cele mai mari pericole în WLAN. 2. Reţele wireless Calculatoarele mobile, aşa cum sunt blocnotesurile sau asistenţii personali digitali (PDA-urile), reprezintă segmentul din industria tehnicii de calcul cu dezvoltarea cea mai rapidă. Mulţi posesori ai acestor calculatoare au la birou sisteme legate la LAN-uri şi WAN-uri Pagina 9 din 146

şi vor să se conecteze la acestea, chiar şi atunci când se află în locuri depărtate de casă sau pe drum. Deoarece legăturile prin fir sunt imposibile în maşini şi avioane, interesul pentru reţelele radio este foarte puternic. În această secţiune vom face o scurtă introducere în acest subiect prezentând mai în detaliu principiile teoretice ce stau la baza funcţionării unei mediu fără fir. Comunicaţiile digitale fără fir nu reprezintă, de fapt, o idee nouă. încă din 1901, fizicianul italian Guglielmo Marconi a realizat legătura între un vapor şi un punct de pe coastă folosind telegraful fără fir şi codul Morse (punctele şi liniile sunt, în definitiv, binare). Sistemele radio moderne au performanţe mai bune, dar ideea fundamentală a rămas aceeaşi. Reţelele radio au numeroase utilizări. Biroul portabil reprezintă una dintre ele. Oamenii aflaţi pe drum doresc adesea să folosească echipamentele lor electronice portabile pentru a trimite şi primi faxuri şi poştă electronică, pentru a citi fişiere aflate la distanţă, pentru a se conecta la distanţă şi aşa mai departe. Şi doresc să facă aşa ceva din orice loc de pe uscat, apă sau aer. Reţelele radio sunt de mare importanţă pentru parcurile de camioane, taxiuri şi autobuze, ca şi pentru echipele de intervenţie care trebuie să menţină contactul cu baza. Reţelele radio pot fi de asemenea utile pentru echipele de intervenţie în locuri de dezastru (incendii, inundaţii, cutremure etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse la faţa locului pot să trimită mesaje, să înregistreze informaţii şi aşa mai departe. În sfârşit, reţelele radio sunt importante pentru armată. Dacă trebuie să faci faţă în cel mai scurt timp unui război care se poate desfăşura oriunde în lume, atunci probabil că nu este o idee bună să te bazezi pe infrastructura de reţele existentă la faţa locului. Este mai bine să-ţi aduci propria reţea. Fără fir Nu Nu

Mobil Nu Da

Aplicaţii Staţii de lucru staţionare într-un birou Folosirea unui calculator portabil într-un hotel sau pentru

Da

Nu

inspecţia trenurilor

Da

LAN-uri instalate în clădiri mai vechi, fără fire Da Birouri mobile; PDA-uri pentru inventarierea magaziei Tabel 2:Combinaţii de reţele fără fir şi tehnică de calcul mobilă.

Deşi reţelele fără fir şi echipamentele de calcul mobile sunt adesea înrudite, ele nu sunt identice (a se vedea tabelul alăturat). Calculatoarele portabile comunică uneori cu ajutorul firelor. Dacă într-un hotel un turist racordează un calculator mobil la mufa de telefon, acesta este un exemplu de mobilitate fără reţea radio. Un alt exemplu se referă la o persoană care poartă cu sine un calculator mobil în timp ce inspectează, pentru probleme tehnice, un tren. în acest caz, în spatele calculatorului poate foarte bine să atârne un fir lung (ca la aspirator).

Pagina 10 din 146

Deşi LAN-urile fără fir sunt uşor de instalat, ele au şi unele dezavantaje. Capacitatea lor tipică este de 1-2 Mbps, ceea ce este mult mai puţin decât în cazul LAN-urilor cu fir. De asemenea, rata de erori este adesea mai mare, iar transmisiile între diferite calculatoare pot interfera unele cu altele. Dar există, desigur, şi aplicaţii cu adevărat mobile, fără fir, începând cu biroul portabil şi terminând cu persoanele care fac inventarul unui magazin folosind PDA-uri. în multe aeroporttiri aglomerate, angajaţii companiilor de închiriat maşini lucrează în parcări cu calculatoare portabile fără fir. Ei introduc în calculator numărul de înmatriculare al fiecărei maşini returnate, iar portabilele lor, care au înglobată o imprimantă, apelează calculatorul central, primesc informaţii despre închirierea respectivei maşini şi eliberează factura de plată pe loc. Wireless LAN reprezintă, mai precis, reţele de calculatoare ce comunică între ele prin legături definite de standardele 802.11b sau 802.11g. Conform acestor standarde, comunicarea se face pe banda de frecvenţă de 2.4Ghz pe un număr de maxim 14 canale. La noi în ţara pot fi utilizate 13 canale fără nici o autorizaţie prealabilă dacă nu se depăşeşte puterea maximă admisă pentru această frecvenţă. Există două moduri de realizare a unei reţele fără fir: • Ad-hoc - Se conectează între ele mai multe calculatoare. Nu există conectivitate cu o reţea cu fir sau conectarea cu reţeaua cu fir se face prin intermediul unui calculator cu o aplicaţie software dedicată. Se pretează în general pentru un număr redus de calculatoare aflate pe o suprafaţă mică. Fiecare calculator se conectează cu celălalt fără a fi nevoie de un alt echipament. • Infrastructure - Comunicarea se face prin intermediul unui echipament activ numit access point (AP). O legătură între 2 calculatoare se face prin intermediul access point-ului la care sunt conectate fiecare dintre ele. Acest mod de lucru permite o rază mare de acoperire prin utilizarea mai multor access point-uri conectate intre ele. De asemenea, e modul de lucru preferat dacă se doreşte interconectarea unei reţele cu fir cu o reţea fără fir sau legătura între un număr mare de clienţi fără fir.

Pagina 11 din 146

Figure1.3:Moduri de realizare a unei reţele fără fir Pentru o bună inţelegere a modului de realizare şi a facilităţilor oferite de reţelele wireless trebuie mai întâi să înţelegem elementele de bază şi modul de realizare a reţelelor cablate. 2.1 Reţele de calculatoare În ultimii zece ani reţelele de calculatoare au devenit o parte integrantă a vieţii noastre zi cu zi. De la Internet care este o reţea de reţele, la reţelele de la locul de muncă, magazinele de alimente, bănci sau spitale, aproape fiecare pare a fi conectat la o reţea de calculatoare. O reţea de calculatoare este formată din cel puţin două calculatoare care sunt conectate pentru a partaja resurse sau pentru a comunica pentru diverse motive. De exemplu o reţea de calculatoare dintr-o companie interconectează mai multe calculatoare pentru a facilita legăturile între angajaţi prin partajarea fişierelor, serviciul de email sau managementul informaţiilor. Băncile folosesc reţelelele de calculatoare pentru a realiza servicii de management a conturilor unde datele cât mai exacte sunt foarte importante.Timpul de realizare a tuturor acestor task-uri de un singur calculator ar fi imens, însa partajarea puterii de prelucrare a calculatoarelor dintr-o reţea face ca acest timp sa fie extrem de redus. Calculatoarele care sunt doar interconectate spunem că lucrează într-o reţea locală de calculatoare-LAN. Deseori aceste reţele sunt conectate cu alte reţele sau sunt conectate la Internet pentru a furniza acces imediat la informaţii. Uneori, din motive de securitate reţelele locale de calculatoare sunt restricţionate la accese locale sau private. Elemente fundamentale de interconectare a calculatoarelor O dată cu extinderea domeniilor de aplicare a calculatoarelor, a crescut şi numărul utilizatorilor ce doreau să facă schimb de date sau să prelucreze informaţiile comune. De exemplu, zeci de angajaţi ai unei intreprinderi lucrează împreună la elaborarea bugetului, fiecare din ei fiind responsabil de un anumit compartiment. În cadrul unei companii de

Pagina 12 din 146

transporturi aeriene biletele la una şi aceiaşi cursă pot fi vîndute de mai multe agenţii, care evident, se află în oraşe diferite.Pentru a soluţiona astfel de probleme, au fost elaborate mijloace tehnice care permit calculatoarelor să comunice între ele. Numim reţea, o mulţime de calculatoare ce pot schimba informaţii prin intermediul unei structuri de comunicaţii. Modelul de referinţă OSI Modelul de referinţa OSI se bazează pe o propunere dezvoltată de către Organizaţia Internaţională de Standardizare (International Standards Organization - OSI) ca un prim pas către standardizarea internaţională a protocoalelor folosite pe diferite niveluri (Day şi Zimmerman, 1983). Modelul se numeşte ISO OSI (Open Systems Interconection Interconectarea sistemelor deschise), pentru că el se ocupă de conectarea sistemelor deschise adică de sisteme deschise comunicării cu alte sisteme. Modelul OSI cuprinde şapte niveluri. Principiile aplicate pentru a se ajunge la cele şapte niveluri sunt următoarele: Un nivel trebuie creat atunci când este nevoie de un nivel de abstractizare diferit. Fiecare nivel trebuie să îndeplinească un rol bine definit. Funcţia fiecărui nivel trebuie aleasă acordându-se atenţie definirii, de protocoale standardizate pe plan internaţional. Delimitarea nivelurilor trebuie făcută astfel încât să se minimizeze fluxul de informaţii prin interfeţe. Numărul de niveluri trebuie să fie suficient de mare pentru a nu fi nevoie să se introducă în acelaşi nivel funcţii diferite şi suficient de mic pentru ca arhitectura să rămână funcţională.

Pagina 13 din 146

Figura2.1:Modelul OSI Modelul OSI nu reprezintă în sine o arhitectură de reţea, pentru că nu specifică serviciile şi protocoalele utilizate la fiecare nivel. ISO a produs de asemenea, standarde pentru fiecare nivel, însă aceste standarde nu fac parte din modelul de referinţă propriu-zis. Fiecare din standardele respective a fost publicat ca un standard internaţional separat. Trei concepte sunt esenţiale pentru modelul OSI: Servicii Interfeţe Protocoale Probabil că cea mai mare contribuţie a modelului OSI este că a făcut explicită diferenţa între aceste trei concepte. Fiecare nivel realizează nişte servicii pentru nivelul situat deasupra sa. Definiţia serviciului spune ce face nivelul, nu cum îl folosesc entităţile de deasupra sa sau cum funcţionează nivelul. Interfaţa unui nivel spune proceselor aflate deasupra sa cum să facă accesul. Interfaţa precizează ce reprezintă parametrii şi ce rezultat se obţine. Nici interfaţa nu spune nimic despre funcţionarea internă a nivelului. Protocoalele pereche folosite într-un nivel reprezintă problema personală a nivelului. Nivelul poate folosi orice protocol doreşte, cu condiţia ca acesta să funcţioneze (adică să îndeplinească serviciul oferit). Nivelul poate de asemenea să schimbe protocoalele după cum vrea, fără ca acest lucru să afecteze programele din nivelurile superioare.

Pagina 14 din 146

Modelul de referinţă OSI a fost conceput înainte să fi inventate protocoalele. Ordinea respectivă semnifică faptul că modelul nu a fost orientat către un set specific de protocoale, fiind prin urmare destul de general. Reversul este că proiectanţii nu au avut multă experienţă în ceea ce priveşte acest subiect şi nu au avut o idee coerentă despre împărţirea funcţiilor pe niveluri. De exemplu, nivelul legătură de date se ocupa iniţial numai cu reţelele punct-la-punct. Atunci când au apărut reţelele cu difuzare a trebuit să fie introdus în model un subnivel nou. Când au început să se construiască reţele reale utilizând modelul OSI şi protocoalele existente, s-a descoperit că acestea nu se potriveau cu specificaţiile serviciului cerut astfel că a trebuit introdusă în model convergenţa subnivelurilor, ca să existe un loc pentru a glosa pe marginea diferenţelor. Comitetul se aştepta iniţial ca fiecare ţară să aibă câte o reţea care să fie în custodia guvernului şi să folosească protocoalele OSI, aşa că nu s-a dat nici o atenţie interconectării. Modelul de referinţă TCP/IP TCP/IP este o suită de protocoale, dintre care cele mai importante sunt TCP şi IP, care a fost transformat în standard pentru Internet de către Secretariatul pentru Apărare al Statelor Unite, şi care permite comunicaţia între reţele eterogene (interconectarea reţelelor). Modelul de referinţă ISO/OSI defineşte şapte nivele pentru proiectarea reţelelor, pe când modelul TCP/IP utilizează numai patru din cele şapte nivele, după cum se vede din figura 2.2.

Pagina 15 din 146

Figura 2.2: Comparaţie OSI -TCP/IP Familia de protocoale TCP/IP are o parte stabilă, dată de nivelul Internet (reţea) şi nivelul transport, şi o parte mai puţin stabilă, nivelul aplicaţie, deoarece aplicaţiile standard se diverşifică mereu. În ceea ce priveşte nivelul gazdă la reţea (echivalentul nivelul fizic şi legătura de date din modelul OSI), cel mai de jos nivel din cele patru, acesta este mai puţin dependent de TCP/IP şi mai mult de driverele de reţea şi al plăcilor de reţea. Acest nivel face ca funcţionarea nivelului imediat superior, nivelul Internet, să nu depindă de reţeaua fizica utilizată pentru comunicaţii şi de tipul legăturii de date. Protocoalele din familia TCP/IP tratează toate reţelele la fel. De aici rezultă un concept fundamental pentru reţelele TCP/IP, şi anume acela că, din punct de vedere al unei reţele globale, orice sistem de comunicaţii capabil să transfere date contează ca o singura reţea, indiferent de caracteristicile sale. Nivelul Internet are rolul de a transmite pachetele de la sistemul sursă la sistemul destinaţie, utilizând funcţiile de rutare. La acest nivel se pot utiliza mai multe protocoale, dar cel mai cunoscut este protocolul Internet IP. Nivelul transport are rolul de a asigura comunicaţia între programele de aplicaţie. Nivelul aplicaţie asigură utilizatorilor o gamă larga

Pagina 16 din 146

de servicii, prin intermediul programelor de aplicaţii. La acest nivel sunt utilizate multe protocoale, datorita multitudinii de aplicaţii existente, şi care sunt în continua creştere. Tipuri de reţele Reţelele de calculatoare se clasifică, după dimensiunile ariei geografice pe care sunt răspândiţi utilizatorii , dar şi după soluţiile tehnice de implementare ce rezultă din acest fapt în: reţele de arie largă (WAN1 ) - destinate conectării unor calculatoare aflate la distanţe geografice considerabile, deci din cadrul unor oraşe, ţări sau continente. Acestea folosesc pentru interconectare legături ce oferă o viteză de transmisie şi o fiabilitate mare, închiriate de la companiile de telecomunicaţii publice şi având o ierarhizare detaliată a comunicaţiilor din reţea. Reţeaua Internet este cea mai mare reţea WAN şi este compusă din mii de reţele răspândite în întreaga lume; reţele locale ( LAN ) - destinate conectării unor calculatoare (precum şi a altor dispozitive programabile) situate la distanţe relativ mici (de la câţiva metri până la 5 [km], deci amplasate într-o aceeaşi clădire sau într-un grup de clădiri învecinate), folosind legături dedicate (proprietate a utilizatorilor) de viteze mari de transmisie şi cu o fiabilitate adecvată. LAN-urile sunt necomutate (adică nu au rutere); WAN-urile sunt comutate. reţele metropolitane (MAN2) - reprezintă o extensie a reţelelor LAN şi utilizează în mod normal tehnologii şimilare cu acestea. Aceste reţele pot fi atât private cât şi publice. O reţea MAN conţine numai un cablu sau două, fără să conţină elemente de comutare care dirijează pachetele pe una dintre cele câteva posibile linii de ieşire. Un aspect important al acestui tip de reţea este prezenţa unui mediu de difuzare la care sunt ataşate toate calculatoarele. Aceste reţele funcţionează, în general, la nivel de oraş. 2.2

Tehnici de realizare a reţelelor wireless

Secolul nostru a generat dependenţa de informaţie: oameni care au nevoie să fie în permanenţă conectaţi. Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi fibrele optice nu sunt de nici un folos. A apărut nevoia de a avea date pentru calculatoare poratabile, de buzunar, fără a fi legaţi la infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori , răspunsul îl constituie comunicaţiile fără fir. Comunicaţia fără fir este avantajoasă chiar şi pentru echipamentele fixe în anumite înprejurări. De exemplu, în cazul în care conectarea unei clădiri cu ajutoul fibrei este dificilă 1

WAN - Wide Area Network MAN - Metropolitan Area Network

23

Pagina 17 din 146

datorită terenului comunicaţia fără fir este preferabilă. Este de remarcat faptul că sistemele de comunicaţie digitală fără fir au apărut în Insulele Hawaii, unde utilizatorii erau despărţiţi de întinderi mari de ape , sistemul telefonic fiind inadecvat. Din cauza mediului uneori foarte “neprietenos” tehnologia reţelelor fără fir a reprezentat soluţia ideală la locul potrivit întrucât o astfel de reţea poate trece peste inconveniente ce privesc mediul de desfăşurare a utilizatorilor sau mediul de transmitere a datelor. Spectrul electromagnetic Atunci când electronii se află în mişcare, ei creează unde electromagneticecare ce se pot propaga în spaţiu (chiar şi în vid). Aceste unde au fost prezise de fizicianul britanic James Clerk Maxwell în 1865 şi au fost produse şi observate pentru prima dată de fizicianul Heinrich Hertz în 1887. Numărul de oscilaţii pe secundă este numit frecvenţă, f , şi este măsurată în în Hz. Distanţa dintre două maxime (sau minime) consecutive este numită lungime de undă notaţia universală fiind λ (lambda). Prin ataşarea unei antene corespunzătoare unui circuit, undele electromagnetice pot fi difuzate eficient şi interceptate de un receptor, aflat la o anumită distanţă . Toate comunicaţiile fără fir se bazează pe acest principiu. În vid toate undele electromagmetice se transmit cu aceeaşi viteză, indferent de frecvenţă. Această viteză, de obicei numită viteza luminii, c, este de aproximativ 3 x1010 msec, sau aproape i picior pe secunda (30 cm) pe nanosecundă. În cupru sau în fibră viteza scade la aproape 2/3 din această valoare şi devine uşor dependentă de frecvenţă. Viteza luminii este viteza maximă care se poate atinge. Relaţia fumdamentală dintre, f, λ si c ( în vid ) este: λf=c Spectru electromagentic este prezentat în imaginea următoare . Domeniile corespunzătoare undelor radio, microundelor, undelor infraroşii şi luminii vizibile din spectru pot fi folosite pentru transmiterea informaţiei prin modularea amplitudinii, frecvenţei, sau fazei undelor. Lumina ultravioletă, razele X şi razele gama ar fi chiar mai performante datorită frecvenţei lor mai înalte, dar ele sunt greu de produs şi modulat, nu se propagă bine prin clădiri şi sunt periculoase fiinţelor vii.

Pagina 18 din 146

f(Hz) 100 102

104 106

108

Radio

1010 1012

1014

Microunde Infraroşu

1016 1018 1020 1022 1024 UV

Raze Gamma

Raze X

Lumină vizibilă 104

f(z)

105

106

107

108

109

Cablu torsadat

Radio

Radio

Maritim AM

LF

MF

1011

1012

1013

1014

Sateliţi Coax

Bandă

1010

1015 1016 Fibre optice

Microunde terestre

FM TV HF

VHF UHF SHF EHT

THF

Figure 2.3 Spectrul electromagnetic aşa cum este folosit în telecomunicaţii Cantitatea de informaţie pe care o undă electromagnetică o poate transporta este legată de lărgimea ei de bandă. Folosind tehnologia curentă, este posibil să codificăm câţiva biţi pe Hertz la frecvenţe joase şi deseori până la 40 biţi/Hz în anumite condiţii, la frecvenţe înalte, deci un cablu cu lărgime de bandă de 500 Mhz poate transporta mai mulţi gogabiţi/sec. Transmisia radio Undele radio sunt uşor de generat, pot parcurge distanţe mari, penetrează clădirile cu uşurinţă, fiind larg răspândite în comunicaţii, atât interioare cât şi exterioare. Undele radio sunt deasemenea omnidirecţionale, ceea ce înseamnă să pot propaga în orice direcţie de la sursă, deci nu este nevoie de o aliniere fizică a transmiţătorului şi a receptorului. Proprietăţile undelor radio sunt dependente de frecvenţe. La frecvenţe joase, undele radio se propagă bine prin obstacole, dar puterea semnalului scade mult odată cu distanţa de la sursă, aproximativ cu 1/r3 în aer. La frecvenţe înalte, undele radio tind să se se propage în linie dreaptă şi să sară peste obstacole. De asemenea, ele sunt absorbite de ploaie. Toate frecvenţele radio sunt supuse la interferenţe datorate motoarelor şi altor echipamente electrice. Datorită capacităţii undelor radio de a se propaga pe distanţe mari, interferenţa dintre utilizatori devine o problemă. Din acest motiv, toate guvernele acordă cu foarte mare atenţie licenţele pentru utilizatorii de transmiţătoare radio. În benzile de frecvenţă foarte joase, joase şi

Pagina 19 din 146

medii, undele radio se propagă la sol, după cum este prezentat în figura următoare . Aceste unde pot fi detectate până la aproximativ 1000 Km pentru frecvenţe joase şi mai puţin pentru cele mai înalte. Difuzarea undelor radio AM foloseşte banda MF, acesta fiind motivul pentru care staţia radio AM din Boston nu poate fi auzită cu uşurinţă în New York ca un exemplu. Undele radio în această bandă trec uşor prin clădiri, fiind astfel posibilă utilizarea radiourilor portabile în spaţii interioare. Problema principală care apare la comunicarea de date la aceste frecvenţe este lărgimea relativ mică a benzii pe care o oferă.

În benzile înalte şi foarte înalte, undele de la sol tind să fie absorbite de pământ.Oricum, undele care ating ionosfera, un strat de particule care învelesc atmosfera la o înălţime de 100 până la 500 Km, sunt refractate de aceasta şi trimise înapoi spre pământ. În anumite condiţii Figure2.4:(a)În benzile VLF , VF şi MF , undele radio urmăresc curbura pământului

atmosferice, semnalele pot parcurge acest drum de mai multe ori. (b)În banda HF undele revin din ionosferă

Transmisia prin microunde Peste 100 MHz, undele se propagă în linii drepte şi pot fi, din acest motiv, direcţionate. Concentrând toată energia într-un fascicol îngust, cu ajutorul unei antene parabolice (ca o antenă de satelit obişnuită) rezultă o valoare mult mai ridicată a ratei de semnal-zgomot, dar antenele care transmit şi cele care recepţionează trebuie să fie aliniate cu precizie una cu alta. în plus, faptul că aceste unde sunt orientate permite ca mai multe transmiţătoare să fie aliniate şi să comunice cu mai multe receptoare fără interferenţe. înaintea fibrelor optice, microundele au format, timp de decenii, inima sistemului telefonic de comunicaţie pe distanţe mari. De fapt, numele companiei MCI provenea de la Compania de Comunicaţii prin Microunde (Microwave Communication Inc.), deoarece întregul ei sistem a fost iniţial construit pe bază de turnuri de microunde (de atunci cea mai mare parte a fost trecută la reţea cu fibră). Pagina 20 din 146

Datorită faptului că microundele se propagă în linii drepte, dacă turnurile sunt foarte depărtate, atunci stă în cale pământul. De asemenea sunt necesare, periodic, repetoare. Cu cât turnurile sunt mai înalte, cu atât repetoarele se pot afla la distanţe mai mari. Distanţa dintre repetoare creşte aproximativ cu radicalul înălţimii turnului. Pentru turnuri cu o înălţime de 100 m, repetoarele se pot afla la distanţe de 80 Km. Spre deosebire de undele radio la frecvenţe joase, microundele nu trec bine prin clădiri. în plus cu toate că unda poate fi bine direcţionată la transmiţător, apare o divergenţă în spaţiu. Unele unde pot fi reflectactate de straturile atmosferice joase şi pot întârzia mai mult decât undele directe. Undele întârziate pot sosi defazate faţă de unda directă, anulând astfel semnalul. Acest efect este numit re multi-căi (multipath fading) şi constituie deseori o problemă serioasă. Este dependentă şi de frecvenţă. Unii operatori păstrează nefolosit un procent de 10 la sută din canalul propriu neutru a putea comuta pe acesta atunci când atenuarea multi-căi anulează temporar anumite benzi de frecvenţă. Cererea de spectre din ce în ce mai larg contribuie la îmbunătăţirea tehnologiilor, astfel încât transmisia poate folosi frecvenţe şi mai înalte. Benzi de până la 10 GHz sunt acum uzuale, dar la aproape 8 GHz apare o nouă problemă: absorbţia de către apă. Aceste unde sunt doar de câţiva centimetri lungime şi sunt absorbite de ploaie. Acest efect ar fi fost potrivit pentru cineva care ar încerca să construiască un imens cuptor cu microunde în aer liber, dar pentru comunicaţii este o problemă dificilă. La fel ca şi în cazul atenuării multi-căi, singura soluţie posibilă este de a întrerupe legăturile acolo unde plouă şi să se găsească o altă rută. Comunicaţiile cu microunde sunt atât de larg folosite de telefonia pe distanţe mari, telefoanele celulare, televiziune şi altele, încât a apărut o criză în ceea ce priveşte spectrul. Microundele au mai multe avantaje semnificative faţă de fibră. Cel mai important avantaj este că nu sunt necesare drepturi de acces la drum, cumpărând un mic teren la fiecare 50 Km şi montând un turn pe el, se poate ocoli sistemul telefonic şi se poate realiza o comunicare directă. Astfel a reuşit MCI să pornească atât de rapid ca o companie de telefoane pe distanţe mari. (Sprint a aplicat o altă tactică: a fost formată de Southern Pacific Railroad (căile feroviare sudice), care deja deţinea destule drepturi de acces şi tot ce a avut de făcut a fost să îngroape fibra lângă şine.) Comunicaţiile cu microunde, prin comparaţie cu alte medii de transmisie, sunt ieftine. Preţul ridicării a două turnuri simple (doi stâlpi înalţi asiguraţi cu patru cabluri) şi de montare a unei antene pe fiecare turn, poate fi mai mic decât preţul îngropării a 50 de Km de fibră într-o zonă urbană foarte populată sau peste un munte şi poate fi mai mic decât costul închirierii fibrei de la o companie telefonică, mai ales atunci când acestea nu au plătit încă integral cuprul care a Pagina 21 din 146

fost înlocuit cu fibră. În afară de utilizarea pentru transmisia pe distanţe mari, microundele mai au o altă aplicaţie importantă şi anume benzile industriale, ştiinţifice şi medicale. Aceste benzi sunt o excepţie de la regula acordării licenţelor: transmitătoarele care folosesc aceste benzi nu necesită licenţe de la guvern. Este alocată global o singură bandă: 2.400-2.484 GHz. În plus în Statele Unite şi Canada, există benzi între 902-928 MHz şi între 5.725 - 5.850 GHz. Aceste benzi sunt folosite de telefoanele fără fir, uşile de garaj cu telecomandă, boxe Hi-Fi fără fire, porţi securizate etc. Banda de la 900 MHz funcţionează cel mai bine, dar este suprasolicitată, iar echipamentul care o utilizează poate fi folosit numai în America de Nord. Benzile mai largi necesită un echipament electronic mai scump şi sunt supuse la interferenţe datorate cuptoarelor cu microunde şi instalaţiilor radar. Nu mai puţin adevărat este faptul că aceste benzi sunt foarte uzuale pentru diferite forme de reţele fără fir pe arii restrânse, deoarece nu necesită procurarea unei licenţe. Undele infraroşii şi milimetrice Undele infrarosii şi milimetrice sunt larg folosite pentru comunicaţiile pe distanţe reduse. Telecomenzile pentru televizoare, aparatele video şi stereo folosesc comunicaţiile în infrarosu. Ele sunt relativ direcţionale, ieftine şi uşor de construit, dar au un dezavantaj major: nu penetrează obiectele solide . În general, cum ne deplasăm de la undele radio lungi către lumina vizibilă, undele se comportă din ce în ce mai mult ca lumina şi din ce în ce mai puţin ca unde radio. Pe de altă parte, faptul că razele infraroşii nu trec prin obiecte constituie un avantaj. Aceasta înseamnă că un sistem cu infraroşii dintr-o cameră a unei clădiri nu va interfera cu un sistem similar situat în camerele adiacente. Mai mult, protecţia sistemelor cu infraroşii împotriva interceptărilor este mult mai bună decât sistemele radiofonice, exact din acest motiv. Datorită acestor motive, pentru operarea unui sistem cu infraroşii nu este necesară procurarea unei licenţe, spre deosebire de sistemele radiofonice, care trebuie să deţină o licenţă. Aceste proprietăţi au făcut din undele infraroşii un candidat demn de luat în seamă pentru LAN-urile interioare fără fir. De exemplu, calculatoarele şi birourile dintr-o clădire pot fi echipate cu transmiţătoare şi receptoare infraroşii relativ nedirecţionate (adică oarecum omnidirecţionale). în acest fel, calculatoarele portabile cu posibilităţi de comunicare prin infrarosu pot face parte din reţeaua locală fără a fi nevoie să se conecteze fizic la ea. Atunci când mai mulţi oameni se prezintă la o întâlnire cu calculatoarele lor portabile, ei pot sta într-o sală de conferinţe şi să fie total conectaţi fără a întinde cabluri. Comunicaţiile cu infraroşii nu pot fi folosite în exterior, deoarece soarele emite tot atâtea raze infraroşii cât unde în spectrul vizibil. Pagina 22 din 146

Transmisia undelor luminoase Semnalele optice neghidate au fost folosite secole întregi. înaintea faimoasei lui călătorii, Paul Revere a folosit semnale optice binare de la Old North Church. O aplicaţie mai modernă este conectarea reţelei locale în două clădiri prin intermediul laserului montat pe acoperişul lor. Semnalizarea optică folosind laserul este inerent unidirecţională, deci fiecare clădire are nevoie de propriul ei laser şi de propria ei fotodiodă. Această schemă oferă o bandă foarte largă la un cost foarte redus. De asemenea, este uşor de instalat şi, spre deosebire de microunde, nu necesită o licenţă FCC(Federal Communications Commission). Puterea laserului, un fascicol foarte îngust, este aici o slăbiciune. îndreptarea unui fascicol de lumină de l mm lăţime către o ţintă de 1 mm lăţime aflată la 500 de metri depărtare necesită o tehnică de vârf. De obicei, sunt introduse lentile pentru a defocaliza uşor fascicolul. Un dezavantaj este că fascicolul laser nu penetrează ploaia şi ceaţa groasă, dar în mod normal ele funcţionează bine în zilele însorite. Oricum, autorul a participat odată într-un hotel modern din Europa la o conferinţă la care organizatorii conferinţei s-au gândit să pună la dispoziţie o cameră plină cu terminale, în care participanţii să-şi poată citi poşta electronică în timpul prezentărilor plictisitoare. Deoarece PTT-ul local nu dorea să instaleze un număr mare de linii telefonice doar pentru 3 zile, organizatorii au montat pe acoperiş un laser orientat către clădirea departamentului de calculatoare al universităţii de calculatoare aflată la o distanţa de câţiva kilometri. Ei l-au testat cu o noapte înainte şi totul a decurs perfect. La ora 9, dimineaţa următoare, într-o zi însorită, legătura a căzut si a rămas asa toata ziua. Seara, organizatorii au testat-o din nou cu atenţie si a funcţionat încă o dată perfect. Acelaşi lucru s-a întâmplat timp de două zile consecutiv. După conferinţă, organizatorii au descoperit problema. Căldura datorată soarelui din timpul zilei a determinat naşterea unor curenţi de convecţie din acoperişul clădirii. Acest aer turbulent a deviat fascicolul şi 1-a făcut să oscileze în jurul detectorului. Această „vedere" atmosferică face ca stelele să pâlpâie (acesta este motivul pentru care astronomii îşi pun telescoapele pe vârful munţilor - să fie cât se poate de mult deasupra atmosferei). Efectul respectiv este responsabil şi pentru „tremurul" şoselei într-o zi însorită şi a imaginii în Valuri' deasupra unui radiator fierbinte. 2.3 Standarde WLAN 802.11 a, b , g... 2.3.1 Introducere - standardul corect pentru reţea Standardele radio pentru WLAN sunt specificate de organizaţia IEEE (Institute of Electrical and Electronical Engineers). în multe state, începutul a aparţinut standardului IEEE 802.11b Teoretic, acesta promite viteza de 11 Mbps, practica demonstrând însă că în condiţii optime se pot obţine rate de transfer de doar 2 până la 5 Mbps (echivalentul a aproximativ 0,5 Pagina 23 din 146

MB/s). Această viteză este suficientă doar pentru navigarea pe internet sau la rularea fişierelor MP3. între timp lucrurile evoluând actualmente fiind disponibile aproape exclusiv routere compatibile cu mai rapidul standard 802. llg. Acesta oferă viteze de până la 54 Mbps, valorile reale limitându-se însă la 20 Mbps (echivalentul a aproximativ 2,5 MB/s). În aceste condiţii este deja posibil transferul filmelor la calitate DVD. Ca o comparaţiei reţeaua pe cablu Fast Ethernet de 100 Mbps atinge în practică circa 64 Mbps , adică 8 MB/s. Deopotrivă aparatele pe standard b şi g funcţionează într-o bandă de frecvenţe cuprinsă între 2,4 şi 2,5 GHz, interval cu specificaţii unice: toate materialele care conţin apă absorb maximul de energie rezultată din undele electromagnetice. Microundele, care lucrează de regulă cu o frecvenţă de 2,45 GHz, utilizează acest efect pentru încălzirea alimentelor. Pentru undele radio ale unui router WLAN, pereţii umezi (în special structurile din rigips, de pildă) reprezintă bariere insurmontabile. Mai mult, în majoritatea ţărilor puterea semnalului reţelelor WLAN b/g este limitată la maxim 100 miliwaţi, pe de altă parte însă telefoanele mobile şi aparatele DECT (Digital Enhanced (formerly European) Cordless Telecommunications) emit cu până la 2 waţi .Totuşi, de cele mai multe ori sunt disponibile 13 canale –diviziuni de de bandă ale intervalului 2.4 – 2.5 GHz . Numărul mare de canale este benefic pentru aria de acoperire , deaorece dispozitivele pot trece pe alt canal în caz de interferenţe pe cel current . În altă ordine de idei în SUA sunt disponibile 11 canale iar în Franţa numai opt . La noi , încă pot fi folosite toate cele 13 canale aceasta numai în cazul în care AP –ul o permite . Patru standarde concurente Semnalele audio şi video pot fi transferate atât prin cablu, cât şi pe unde radio. în cazul unei reţele pe cablu, siguranţa este considerabil mai mare. Dacă totuşi computerele nu se află în aceeaşi încăpere sau se găsesc chiar la etaje diferite, această soluţie ieftină şi performantă îşi dezvăluie marele dezavantaj: fie cablurile traversează întreaga locuinţă, fie trebuie făcute găuri în pereţi şi tavan pentru a găsi o cale cât mai scurtă. Alternativa este o reţea radio, deşi aceasta este bineînţeles mai scumpă şi mai complicată decât sistemul cu fir. înainte de a lua decizia în favoarea unui standard sau altul, trebuie cunoscute deopotrivă avantajele şi dezavantajele fiecărei tehnologii WLAN existente. Patru standarde concurează în prezent în lumea wireless. IEEE 802.11b (IEEE este acronimul pentru Institute of Electri-cal and Electronical Engineers) este mai degrabă conceput pentru firme şi oferă o acoperire bună a birourilor spaţioase. 802.1la oferă o lăţime de bandă mai mare .şi mai puţine probleme de interferenţă, însă raza de acţiune este mai mică. Bluetooth este destinat transmisiilor pe raze scurte de acţiune sau pentru conectarea sălilor de conferinţe şi de curs. Cel mai nou membru al tehnologiei wireless este 802.1 lg, un standard recunoscut oficial în 2003. 802.1lg combină raza mare de acţiune a lui Pagina 24 din 146

802.11b cu fluxul mai mare de date al lui 802.11a. Un alt avantaj: tehnologia este perfect compatibilă cu 802.11b. În tabelul următor pot fi observate caracteristicile standandardelor actuale din domeniul reţelelor fără fir:: Standard

Rată

Rază

Frecvenţă

Acces

Perdere

Interferenţă

Costuri

802.11b

transfer(net) 5Mbps

acţiune cca 30

2.4 Ghz

hotspot foarte

semnal scăzută

ridicată

scăzute

20Mbps

m cca 50

2.4 GHz

bun foarte

802.11g

scăzută

ridicată

medii

802.11a

22Mbps

m cca 30

5.0 GHz

bun slab

ridicată

scăzută

ridicate

Bluetooth

500kbps

m cca 10

2.4 GHz

slab

scăzută

ridicată

medii

m Table 3:Cele patru standarde radio pentru reţeaua privată 802.11g mult timp considerat urmaşul puternic al lui 802.11b, a fost ratificat în iunie 2003, însă producătorii au lansat (cu multe luni înainte) pe piaţă serii întregi de produse bazate pe standardul încă neoficializat. Rezultatul: un imens update de firmware, pentru ca dispozitivele să se ridice la înălţimea specificaţiilor de ultim moment. 802.1lg are două caracteristici remarcabile, responsabile pentru poziţia sa dominantă în lumea wireless: rata mare de transfer, efectivă, de 22 Mbps şi compatibilitatea în jos, cu 802.11b. Versiunea g a standardului operează pe aceeaşi bandă de frecvenţă ca şi b-ul. Aceste avantaje fac din 802.llg prima opţiune, nu doar la realizarea de la zero a unui WLAN, ci şi pentru extinderea unei reţele wireless existente. Singurul minus al standardului este utilizarea domeniului de frecvente de 2,4 GHz, interval destul de aglomerat de aparate de monitorizare pentru bebeluşi, telefoane fără fir, Bluetooth şi cuptoare cu microunde. În ceea ce priveşte transferul de date, tehnicile wireless nu pot ţine pasul cu o reţea Ethernet, din cauză că viteza scade de îndată ce între doi participanţi la comunicarea radio intervine un obstacol (un perete, de exemplu). De aceea, în practică ratele de transfer efective (nete) sunt aproape întotdeauna mai mici faţă de valorile nominale. Din cauza inevitabilelor pierderi de semnal, reflexii, interferenţe şi alte perturbări, ratele de transfer reale află, în medie, undeva pe la 50% din valoarea teoretic posibilă (brută). În cazul distanţelor crescânde, conexiunea nu se întrerupe la fiecare perturbare apărută, ci devine mai lentă coborând la nivelul anterior de performanţă (fallback rate ), datorită programelor de corectare a erorilor.

Pagina 25 din 146

O mai amplă discuţie asupra modului de funcţionare si a caracteristicilor diferitelor standarde folosite în cadrul reţelelor fără fir va fi realizată in continuare. 2.3.2 Tehnologii wireless IrDA Una din primele soluţii destinate comunicării wireless între calculatoare a fost tehnologia IrDA (prin infraroşu , asemănător principiului pe care funcţionează telecomenzile) .Standardele acestei tehnologii sunt gestionate de Infrared Data Association , organizaţie fondată în 1993 . Avantajul unei implementări ieftine şi usoare este umbrit însă de dificultăţile tehnice de comunicare (deoarece necesită o linie dreaptă între senzori , fără obstacole ) şi rate mici de transfer de maxim 115.2 kb/s . Din aceste motive tehnologia IrDA nu poate fi luată în considerare decât în comunicaţia calculatorului cu perifericele ( imprimanta , tastatura , mouse , telecomanda s.a. ) şi în nici un caz pentru realizarea unei reţele. Bluetooth - Dintele Albastru În 1998 , IBM , Nokia , Intel şi Toshiba au format Bluetooth Special Interest Group ce a dezvoltat şi susţinut tehnologia Bluetooth . Ea are specificaţii accesibile tuturor ( open standard ) şi este destinat transmisiunilor de date şi voce între dispozitivele mobile – telefon mobil , notebook , PDA , hands-free - pe distanţă nu mai mare de 10 metri . Suportă aplicaţii care comunică cu două sau mai multe dispozitive şi oferă o rată de transfer de până la 720 kb/s . Interferenţele cu alte frecvenţe cauzează o scădere a vitezei de transfer, dar comunicaţia nu este încă întreruptă . Nu necesită o linie dreaptă între senzori , iar cu amplificatoare speciale distanţa de comunicare poate fi mărită până la 100 de metri . Bluetooth foloseşte unde radio omnidirecţionale în banda de 2.4 GHz ce se pot transmite prin pereţi sau alte obstacole ce nu sunt din metal . Iniţial aproape numeni nu a pus la îndoială succesul acestei tehnologii datorită marilor nume implicate în proiect . Din tendinţa mondială se poate anticipa o reuşită cu mult sub aşteptările iniţiale ale tehnologiei Bluetooth . În 1997 , a apărut standardul de comunicaţie 802.11 destinat dezvoltării echipamentelor de reţea care să permită transferuri de date folosind banda de radio frecvenţă nelicenţiată de 2,4 GHz şi la scurt timp varianta 802.11b a aceluiaşi standard , care permite rate de transfer de până la 11 Mbps. Ca o consecinţă firească furnizorii au început să producă puncte de acces şi plăci de reţea conforme acestui standard . Din cauza cererii scăzânde a utilizatorului final faţă de noile servicii şi aplicaţii care rulează pe Internet (sunet , imagine , video , reţele de stocare, etc.) şi a necesarului din ce în ce mai mare faţă de lăţimea de bandă s-a impus definirea unui nou standard pentru reţelele de radiofrecvenţă care să facă faţă acestor noi cerinţe . Ca urmare , Pagina 26 din 146

în 1999 a fost definitivat de către Internet Engeneering Task Force ( IETF ) standardul 802.11 a , care permite standarde de comunicare de până la 54 Mbps . 802.11 a,b,g.... Standardul pentru reţele radio 802.11b lucrează în banda de frecvenţă ISM ( Industrial , Scientific and Medical ) de 2,4 GHz , care în majoritatea ţărilor – nu necesită aprobări speciale pentru a putea fi folosită , din partea forurilor de alocare şi administrare a spectrului de frecvenţă . După ce au apărut echipamentele 802.11b , în mod firesc frecvenţa de 2,4 GHz a început să se aglomereze şi în anumite situaţii să nu mai facă faţă cerinţelor privind vitezele de transfer necesare . Standadul 802.11a operează în banda de frecvenţă UNII ( Unlicensed National Information Infrastructure ) de 5 GHz şi în loc să folosească tehnica de modulare în spectru impraştiat ( DSSS – Direct Sequencing Spread Spectrum ) caracteristică tehnologiei 802.11b , va folosi o tehnică mai nouă de modulare denumită multiplexare ortogonală cu divizarea frecvenţei ( OFDM – Orthogonal Frequency Division Multiplexing ) , care este mult mai bine adaptată lucrului în reţelele radio care funcţionează în spaţii închise ( apartamente , birouri , etc. ). Banda de frecvenţe din jurul valorii de 5 GHz este împărţită în trei domenii aşa cum este prezentat în figura alăturată.

Domeniu

5,15

Frecvenţa( Hz ) Putere emisie maximă

G

de

5,25

5,35

inferior

mediu

50mW

250mW

5,725

5,825

superior

1W

Figura 2.5 : Banda de frecvenţe alocată pentru standardul 802.11a Primul

Viteza de

Schema de

domeniu este

transmisie

modulare

Securitate

cuprins între

Pagina 27 din 146

Caracteristici

5,15 GHz si 5,25 GHz ; puterea de ieşire a echipamentelor care lucrează în acest domeniu de frecvenţe este restricţionată la maxim 50 mW . Al doilea domeniu de 100 MHz se întinde între 5,25 – 5,35 GHZ ; produsele din această bandă pot avea puteri de emisie de maxim 250 mW. Ultimul domeniu este cel cuprins între 5,725 GHz şi 5,825 GHz , iar produsele care se încadrează în această bandă pot emite maxim 1W . Chiar Pagina 28 din 146

dacă puterile de emisie maxime sunt cele enumerate mai inainte , majoritatea producatorilor preferă să folosească puteri mai reduse din pricina considerentelor care ţin de prelungirea duratei de funcţionare a bateriilor din echipamentele mobile şi de disipaţia de caldură . Din exemplul anterior se observă că spectrul alocat tehnologiei 802.11a acoperă o gamă totală de 300 MHz , pe când în cazul spectrului 802.11b nu Pagina 29 din 146

erau alocaţi decât 83 MHZ , ceea ce înseamnă o creştere de aproximativ patru ori a lăţimii de bandă disponibile . Standard Această specificaţie a IEEE 802.11

Peste 2Mbps

FHSS sau

în banda

DSSS

WEP & WPA

fost extinsă şi la 802.11b.

2.4GHz Produsele care aparţin acestui standard sunt considerate "Wi-Fi Certified." Opt canale IEEE 802.11a

Peste

OFDM

WEP & WPA

sunt valabile. Mai puţin

(Wi - Fi)

54Mbps în

potenţial pentru banda

banda 5GHz

de frecvenţă RF 802.11b si 802.11g. Mai bun decat 802.11b privind suportul aplicaţiilor multimedia de voce, video şi imagini de mare dimensiune des întâlnite în rândul utilzatorilor . Nu operează cu produse din gama 802.11b. Produsele care ţin de acest standard sunt

Pagina 30 din 146

considerate "Wi-Fi IEEE 802.11b

Peste

(Wi-Fi)

11Mbps în

Certified." Nu DSSS cu CCK

WEP & WPA

interoperează cu

banda

802.11a. Sunt necesare

2.4GHz

mai putine access point-uri decat la 802.11a pentru acoperirea unei arii mai mari . Oferă acces de mare viteză la date până la 150 metri. Banda de 2.4GHz asigură 14 canale (doar 11 pot fi folosite în U.S. după regulile FCC) cu numai 3 canale care se suprapun. Produsele care aparţin acestui standard sunt considerate "Wi-Fi

IEEE 802.11g

Peste

OFDM peste

WEP & WPA

Certified." Pot înlocui

(Wi-Fi)

54Mbps în

20Mbps, DSSS

802.11b . 802.11 are o

banda

cu CCK sub

securitate îmbunătăţită .

2.4GHz

20Mbps

Compatibilitatea cu 802.11b. Banda de 2.4GHz asigură 14 canale (doar 11 pot fi folosite în U.S. după regulile FCC) cu numai 3 canale care se suprapun. Nu există suport nativ pentru IP, deci nu

Peste 2Mbps

suportă TCP/IP aplicaţii

Pagina 31 din 146

Bluetooth

în banda

FHSS

PPTP, SSL sau

wireless LAN foarte

VPN

bine. Nu a fost creat

2.45GHz

original pentru a suporta LAN-uri wireless . În principal pentru PDAuri, telefoane celulare şi PC-uri în intervale scurte. Nota: HomeRF nu mai este suportat de nici un IP independent

integrator. Creat pentru

de reţea şi

uzul casnic, nu

adrese pentru

întreprinderi. Raza de

fiecare reţea .

acţiune este de doar 70

banda

viteza

de metri de la punctul

2.4GHZ

transmisiei e

de acces. Sunt ieftine şi

de 56-bit

uşor de întreţinut.

criptaţi.

Calitatea vocii este

Peste Home RF

10Mbps în

FHSS

întotdeauna bună datorită recepţionării continue a unei părţi din banda din lăţimea de banda chunk of bandwidth . Răspunde bine la interferenţe datorită tehnicii de modulare . Figura 4: Tehnologii fără fir Înainte de a discuta principalele standarde şi protocoale ale reţelelor fără fir să explicăm câţiva termeni cu privire la spectrul de frecvenţă folosit de reţelele şi aplicaţiile WLAN. DSSS lmprăştierea spectrului prin secvenţă directă(DSSS-Direct Sequence Spread Spectrum)

Pagina 32 din 146

Tehnica DSSS multiplică mesajul limitat al benzii, înainte de a fi trimis de către transmiţător, cu un semnal cu o lăţime a benzii mai mare, care este de obicei un cod pseudoaleator. Aceasta duce la mărirea spectrului. Trăsăturile esenţiale ale DSSS sunt: Operează în banda de 2,4 GHz, la o rată de transmisie de 1 sau 2 Mbps. Pentru a lucra la diverse viteze sunt utilizate tehnici de modulare de tip PSK (Phase Shift Key) Pentru a împrăştia datele, înainte de a le transmite, sunt folosite 11 fragmente de cadre de tip Barker. DSSS foloseşte întreg spectrul odată. Principiul DSSS este de a împrăştia semnalul pe o bandă mai largă prin multiplexarea lui cu o semnătură (codul) pentru a minimiza interferenţa localizată şi zgomotul de fundal. FHSS - Împrăştierea spectrului prin saltul în frecvenţă (FHSS-Frequency Hopping Spread Spectrum) FHSS foloseşte un set de canale înguste pe care le schimbă succesiv. De exemplu, banda ISM la 2,4 GHz este împărţită în 79 de canale de 1 MHz. în mod periodic (de obicei de la fiecare 20 la 400 ms), sistemul 'sare' la un nou canal, urmând un model ciclic de salturi, predeterminat. FHSS are un uşor avantaj faţă de DSSS şi anume în cazul unei interferenţe foarte înguste prezentă pe bandă, FHSS va pierde unele "salturi" dar va avea alte salturi pe frecvenţele bune. De asemenea, dacă zgomotul este mai puternic decât semnalul recepţionat sistemul DSSS nu poate recupera mesajul. FHSS introduce mai multe complicaţii la subnivelul MAC şi anume: căutarea reţelei la iniţializare (o ţintă în mişcare), păstrarea sincronizării nodurilor, dirijarea salturilor. Această creştere a complexităţii subnivelului MAC necesită informaţie în plus şi duce ia scăderea performanţei sistemului. Există o informaţie în plus de management folosită pentru a dirija sincronizarea şi sunt câţiva timpi morţi în transmisie când sistemul realizează salturile în teorie, acestea pot fi păstrate la minim. Sistemul FHSS trebuie să insereze biţi de umplere în fiecare pachet (pentru a evita şirurile lungi de 0 sau 1) adăugând mai multă informaţie în plus(overhead). Tehnica FHSS poate acoperi mult mai multe sisteme independente, aflate în aceeaşi zonă, decât tehnica DSSS, prin folosirea diferitelor modele de salt (de exemplu, până la 15 pentru Range Lan2). Pe de altă parte, modelele diferite de salt ale FHSS pot coliziona pe aceeaşi frecvenţă (sau adiacente) din timp în timp. Coliziunea modelelor FHSS poate să reducă

Pagina 33 din 146

debitul util(throughput-ul) în mod semnificativ. De asemenea, sistemele colizionând pe aceeaşi frecvenţă (sau adiacentă) vor trebui să împartă lăţimea de bandă între ele. OFDM - Tehnica de modulare ortogonală cu divizarea frecvenţei Standardul 802.11a foloseşte tehnica de modulare OFDM (Orthogonal Frequency Division Multiplexing ) , care asigură mai multe canale independente de comunicaţie şi rate de transfer mai ridicate , faţă de transmisia în spectru împrăştiat ( Direct Sequencing Spread Spectrum ) , care este folosită de standardul 802.11b . Rata de transfer ridicată se obţine prin combinarea mai multor subcanale cu viteze scăzute într-un singur canal de comunicaţie cu viteza ridicată . Datorită schemei OFDM , sunt definite în cadrul primelor două domenii 8 canale a câte 20 MHz fiecare , acestea fiind divizate la rândul lor în 52 de subcanale cu lăţimea aproximativă de 300 KHz . O purtătoare de semnal OFDM este o sumă de sub-purtătoare ortogonale, cu banda de bază, pe fiecare sub-purtătoare modulată independent, de obicei prin utilizarea unei modulaţii cuadratură în amplitudine (QAM) sau modulaţie cu salt în fază (PSK). Acest semnal compozit în banda de bază, este de obicei folosit pentru a modula o purtătoare RF. O problemă care apare în mod special în cazul semnalelor de radiofrecvenţă care sunt transmise în interiorul clădirilor este fenomenul de reflexie a semnalui de pe diferite obiecte , structuri , persoane , etc. Când semnalul iniţial este transmis de la emiţător acesta se propagă , ajungând să lovească obiectele din mediul înconjurător şi să se reflecte pe acestea ; există posibilitatea ca la recepţie semnalul original să ajungă în acelaşi timp cu unul dintre semnalele reflectate ; în functie de cum se suprapun semnalele recepţionate , acestea se pot anula sau creşte în amplitudine , fenomen care nu este deloc benefic pentru calitatea semnalului care trebuie recepţionat . Această problemă este rezolvată prin folosirea unui circuit care detectează şi filtrează semnalele reflectate . Vitezele de transfer atinse pot fi de 6 , 12 , 24, 54 , sau chiar 100 Mbps , în funcţie de folosirea anumitor tehnici de modulaţie şi a diverselor tehnici corectoare de eroare utilizate . Dacă din anumite considerente puterea semnalului radio scade sub o anumită valoare , va scădea şi viteza de comunicaţie la o valoare inferioară . Avantaje OFDM: Eficienţă mare a spectrului Rezistenţă la interferenţa Înlăturare uşoară a zgomotului (dacă un şir de frecvenţe suferă interferente, purtătoarele din acel şir, pot fi anulate sau pot fi incetinite) Dezavantaje OFDM:

Pagina 34 din 146

Imperfecţiunile de sincronizare în frecvenţă pot conduce la pierderi în ortogonalitate între subpurtătoare, rezultând degradări de performanţă Posibilitatea de apariţie a intermodulaţiei între subpurtătoare 802.11g 802.11g este o extensie a 802.11b, care stă la baza reţelelor wireless existente la ora actuală. 802.11g lărgeşte ratele de transfer de date ale 802.11b până la nivelul de 54 Mbps în interiorul benzii de frecvenţă 2.4 GHz, folosind tehnologia OFDM (orthogonal frequency division multiplexing). Din raţiuni de compatibilitate inversă, un card radio 802.11b va putea interfaţa direct cu un punct de acces 802.11g (şi vice versa) la 11 Mbps sau mai puţin, în funcţie de aria de acoperire. Pentru o bună funcţionare a noului standard în cadrul reţelei deja existente trebuie modernizate noile puncte de acces 802.11b pentru a fi compatibile cu 802.11g prin intermediul unor relativ simple actualizări firmware. Aria de acoperire pentru un transfer la 54 Mbps va fi probabil mai mică decât la punctele de acces 802.11b existente, care operează la 11 Mbps. Drept urmare, nu trebuie mizat doar pe un upgrade al punctelor de acces, care furnizează în prezent 11 Mbps în toată reţeaua. Pentru a realiza rate de transfer mai mari, trebuie mutarea mai aproape unul de celalalt şi eventual instalarea unor puncte de acces adiţionale. Similar cu 802.11b, 802.11g operează în banda de frecvenţă de 2,4 GHz, iar semnalul transmis utilizează aproximativ 30 MHz, care reprezintă o treime din banda de frecvenţă. Acest lucru limitează la trei numărul punctelor de acces 802.11g care nu se suprapun, la fel ca în cazul lui 802.11b. Asta înseamnă că vom avea aceleaşi dificultăţi în alocarea canalelor pentru 802.11g ca şi în cazul lui 802.11b, dacă intenţionăm să acoperim o arie mare, cu o mare densitate de utilizatori. Soluţia, desigur, este să diminuam puterea de emisie a fiecărui punct de acces, ceea ce ne permite să amplasăm punctele de acces mai aproape unul faţă de celălalt. O mare problemă a lui 802.11g, care se aplică şi în cazul lui 802.11b, este considerabilă interferenţă RF cu alte dispozitive care funcţionează în banda de 2,4 GHz, cum ar fi noile modele de telefoane cordless. Companiile se plâng deseori de limitările performanţelor WLAN atunci când cineva foloseşte telefoane fără fir pe raza de acoperire a reţelei wireless. Problema poate fi administrată prin limitarea surselor de interferenţă RF, totuşi, ea nu poate fi întotdeauna eliminată. 802.11a

Pagina 35 din 146

Standardul 802.11a şi reglementările FCC în materie de spectru de frecvenţe sunt bine fundamentate. O mare diferenţă în cazul lui 802.11a este aceea că operează în banda de frecvenţă de 5 GHz, cu 12 canale de frecvenţă separate care nu se suprapun. Ca urmare, putem avea până la 12 puncte de acces setate pe diferite canale în acelaşi spaţiu, fără ca ele să interfereze. Acest lucru simplifică mult alocarea canalelor şi măreşte semnificativ traficul pe care o reţea WLAN îl poate susţine pe o anumită arie de acoperire. În plus, interferenţa RF este mult mai puţin probabilă şi din cauza faptului că banda de frecvenţă de 5 GHz este mai puţin aglomerată. Similar cu 802.11g, 802.11a oferă rate de transfer de până la 54 Mbps, care se pot chiar extinde, prin combinarea canalelor. Din cauza frecvenţei mai mari, totuşi, aria de acoperire este oarecum mai mică decât la sistemele care funcţionează pe frecvenţe mai mici ( 802.11b şi 802.11g). Acest lucru măreşte costurile globale de operare a reţelei, întrucât este nevoie de un număr mai mare de puncte de acces, însă aria de acoperire mai mică permite şi un trafic mai mare în arii restrânse, printr-o mai bună reutilizare a canalelor. O problemă uriaşă a standardului 802.11a este aceea că nu este direct compatibil cu reţelele 802.11b sau 802.11g. Cu alte cuvinte, un utilizator echipat cu un card radio 802.11b sau 802.11g nu va putea interfaţa direct cu un punct de acces 802.11 apărând probleme de interoperabilitate. Soluţia pentru această problemă va veni atunci când, eventual, cardurile multimod vor deveni o normă pentru toţi producătorii. O mică concluzie privind standardul de comunicare 802.11a e că el a reprezentat un pas pentru reţelele locale de radiofrecvenţă , asigurând viteze de transfer de 54 Mbps sau chiar mai mult . Din punct de vedere al ariei de acoperire 802.11a este aproape identic cu 802.11b însă asigură viteze de transfer net superioare . Banda de frecvenţe de 5 GHz nu este încă suprasaturată , lucru care nu se poate spune şi despre banda de 2,4 GHz în care operează echipamentele conforme 802.11b , alături de o parte a dispozitivelor de comunicaţie şi/sau a aparatelor electrocasnice ( telefoane celulare , cuptoare cu microunde , alte reţele radio , etc.) . Tehologia 802.11a constituie o soluţie pentru cei care au nevoie de o conexiune în bandă largă la o reţea locală sau la Internet prin radiofrecvenţă. 802.11b Standardul 802.11b a fost elaborat de Institute of Electrical and Electronics Engineer (IEEE) şi adoptat de Wireless Ethernet Compatibility Alliance (WECA). WECA testează compatibilitatea şi interoperabilitatea produselor cu standardul 802.11b, certificându-le pe cele care trec toate testele cu eticheta Wi-Fi.

Pagina 36 din 146

Comunicarea directă dintre un card radio 802.11 şi un punct de acces are loc pe un canal de frecvenţă comun şi asigură o lărgime de bandă de până la 11 Mbps. Acest canal este configurat în punctul de acces, iar cardul client va acorda automat transceiverul la frecvenţa punctului de acces cu cel mai puternic semnal. Apoi, cardul radio client va continua procesul de asociere şi de comunicare cu punctul de acces ales. Pentru a putea suporta caracteristica roaming, cardul radio scanează periodic toate punctele de acces şi se reasociază cu punctul de acces care are cel mai puternic semnal (dacă amplitudinea semnalului punctului de acces curent scade sub un anumit prag). Ca o regulă de proiectare, punctele de acces aflate reciproc în aria de acoperire, trebuie configurate pe canale de frecvenţă cu o minimă suprapunere. Altfel, roaming-ul nu va funcţiona cum trebuie, iar performanţele vor scădea din cauza interferenţelor dintre punctele de acces. Dar ce canale sunt disponibile? Standardul 802.11b defineşte un număr total de 14 canale de frecvenţă. În SUA, autoritatea în materie de comunicaţii radio - FCC - permite folosirea canalelor de la 1 la 11, în vreme ce pe majoritatea teritoriului Europei se pot folosi canalele de la 1 la 13. În Japonia există o singură opţiune, canalul 14. De notat un concept important în legătură cu alocarea canalelor şi anume faptul că acestea reprezintă de fapt frecvenţa centrală folosită de transceiverul din cardul radio client şi din punctul de acces (spre exemplu, 2,412 GHz pentru canalul 1 şi 2,417 GHz pentru canalul 2). Există o separaţie de numai 5 MHz între frecvenţele centrale, iar un semnal 802.11b ocupă aproximativ 30 MHz din spectrul de frecvenţe. Semnalul merge până la circa 15 MHz lateral faţă de frecvenţa centrală. Drept rezultat, un semnal 802.11b se suprapune cu mai multe canale de frecvenţă adiacente. Asta face ca numai trei canale de frecvenţă (în SUA 1, 6 şi 11) să poată fi folosite fără interferenţe între punctele de acces. 2.4Viitorul reţelelor fără fir WIMAX -----Super WLAN Reţelele WLAN actuale oferă o rată de transfer de 54 Mbps la o rază de acţiune maximă care nu depăşeşte 200 de metri. Mai noua tehnologie broadband WiMax promite transferuri de până la 75 Mbps la distnţe maxime de circa 50 de kilometri aria de funcţionare fiind dealtfel cam de 250 de ori mai mare decât a reţelelor WLAN. Datorită facilităţilor de transfer crescute WiMax nu este promovat doar ca şi competitor pentru WLAN, ci şi ca o alternativă pentru reţelele DSL , destul de costisitor de implementat în zonele izolate (din cauza cablării). WiMAX ----Dezvoltarea noului standard radio

Pagina 37 din 146

WiMAX se bazează pe specificaţia IEEE 802.16. Acest standard de transmisie radio a fost conceput în 2001 pentru aşa-numita Metropolitan Area Network (MAN) în scopul transferului de date în oraşele mai mari prin intermediul unei conexiuni LOS (Line Of Sight). Anul 2003 a pus pe tapet o nouă idee şi anume aceea de a implementa standardul şi la echipamentele portabile pentru end-useri. în această idee, sub oblăduirea celor de la Intel a apărut entitatea WiMAX Forum, la care au aderat peste 200 de companii, printre care concerne precum Siemens mobile, Fujitsu, AT&T, British Telecom şi Nokia. In acelaşi an, Forumul a adoptat standardele 802.16a şi 802.16REVd. S-a născut astfel noua tehnologie cunoscută sub numele de WiMAX. Ambele specificaţii au fost reunite, în iulie 2004, în standardul 802.162004. Conexiunile NLOS (Non Line Of Sight) au fost nominalizate în premieră ca atare: transmiterea datelor nu mai depindea de obstacolele existente, mai mult, antena receiver-ului putând fi montată pe peretele exterior sau chiar în interiorul locuinţei. Deosebirea fundamentală între WiMAX şi Wi-Fi este aceea că cele două tehnologii sunt destinate unor aplicaţii diferite. WiMAX - acronimul Worldwide Interoperability for Microwave Access şi numele popular al standardului de reţea metropolitană wireless 802.16 - pare să fie viitorul comunicaţiilor wireless. WiMAX este un standard wireless de bandă largă care se bucură de un larg sprijin din partea industriei calculatoarelor şi telecomunicaţiilor din întreaga lume, fapt pentru care această tehnologie porneşte cu un atu important: accesibilitatea. WiMAX este proiectat să aducă operatorilor şi utilizatorilor din diverse domenii beneficii semnificative, atât pe termen scurt cât şi pe perioadă mai îndelungată. Pentru a transfera pachetele de date în deplină siguranţă, WiMAX utilizează aşa-numita modulare OFDM (Orthogonal Frequency Division Multiplexing). Astfel, modulaţia semnalului se produce paralel şi nu serial, cum se întâmplă de obicei în cazul reţelelor wireless bazate pe standardul 802.11b. Prin urmare, informaţia transportată de fiecare semnal individual paralel este mai stabilă în aer decât în cazul unei proceduri seriale Single-Carrier.

Pagina 38 din 146

Procedura Single Carrier Mode

Procedura OFDM Amplitudine

Amplitudine

Frecvenţă Timp

S4

Pachetele de date S0 până la S4

S4

S3

S3

S2

S2

S1

Timp S1

S0

Pachetele de date sunt transferate paralel întrun anumit interval de timp

S0

Pachetele de date sunt transferate (serial) unul după celălalt întro unitate de timp

Frecvenţă

Pachetele de date S0 până la S4

Figura 2.6 Modulaţie OFDM:Dacă semnalul slăbeşte , eventual la interacţiunea cu pereţii clădirilor ,el poate fi recuperat cu uşurinţă graţie “valabilităţii” de lunga durată Pentru o mai bună comparaţie, ne putem închipui o autostradă cu mai multe benzi: dacă o bandă iese din circulaţie, traficul este direcţionat pe celelalte benzi libere. Pentru traficul de date acest lucru înseamnă că, dacă semnalul carrier slăbeşte în baza efectelor run-time (reflexii multiple sau caracteristică direcţională lipsă), OFDM pune la dispoziţie mai multe frecvenţe pe post de „benzi" libere, astfel încât traficul să rămână fluid. Aceasta se reflectă în raze de acţiune şi bitrate mai mari, lucru evidenţiat şi de standardele 802.11a şi g, care folosesc în prezent această modulare. Un sistem 802.16a este de regulă împărţit în cinci canale a câte 20 MHz, într-o bandă de frecvenţe de la 5,725 până la 5,825 GHz. Fiecare dintre aceste canale de 20 MHz echivalează cu lăţimi de bandă de circa 75 Mbps. Pentru a continua comparaţia, acest lucru corespunde unei autostrăzi cu cinci benzi. Capacitatea teoretică a întregii benzi de 100 MHz însumează aşadar 375 Mbps. Graţie aşa-numitei Adaptative Modulation, WiMAX dispune de o tehnologie cu ajutorul căreia, în funcţie de calitatea conexiunii, pot fi utilizate diferite scheme de modulaţie. Transmiţătorul trece (calitate bună) la procedura 64-QAM (6 biţi de informaţie per semnal carrier), iar la semnal slab utilizează procedurile BPSK (binary phase modulation) care garantează securitatea recepţionării la bitrate mic.

Pagina 39 din 146

Denumire

IEEE 802.16

IEEE

IEEE 802.16e

802.16a/Revd /2004

(WiMAX)

Banda de frecvenţe

10 până la 66 Ghz

(WiMAX) 2 până la 11 Ghz

0,7 până la 6 Ghz

Condiţii de transmisie

Direct Line of

Legătură directă sau

Legătură directă sau

Sight între emiţător

indirectă între

indirectă între

şi receptor (LOS)

emiţător şi

emiţător şi

Bitrate maxim

Variabil , mai mult

receptor(NLOS) 75 Mbps

receptor(NLOS) 15 Mbps

Tip de modulaţie

de 100 Mbps QPSK , 16 QAM şi

OFDM 256 ,

OFDM 256 ,

64 QAM

OFDMA 64 QAM,

OFDMA 64 QAM,

16 QAM, QPSK,

16 QAM, QPSK,

Fixă, amovibilă

BPSK Fixă şi restrâns

BPSK Fixă până la mobilă

Arie de acţiune

Variabilă , până la

mobilă Cca 50 km

Cca 5 km

Dispozitive/Disponibilitate

100 km Fără relevanţă

Staţii de bază ,

Telefoane mobile ,

pentru hardware-ul

System-on-a-

PDA-uri , notebook-

consumer –deja

chip/de la începutul

uri / de la începutul

Poziţia unităţii de recepţie

disponibile pe piaţă lui 2005 lui 2006 Tabel 5: Performanţele diferitelor standarde IEEE 802.16 Există numeroase scenarii de utilizare a standardului WiMAX, pe care le vom prezenta în continuare. Obiective Standardul WiMAX a fost proiectat şi dezvoltat având în vedere mai multe obiective, prezentate pe scurt mai jos: Arhitectură flexibilă - WiMAX suportă câteva arhitecturi de sistem, incluzând arhitecturile punct-la-punct, punct-multipunct şi acoperirea omniprezentă. Controlul accesului la mediu WiMAX suportă serviciul punct-multipunct prin rezervarea unui slot de timp fiecărei staţii abonat (Subscriber Station - SS). Dacă există doar o singură staţie abonat în reţea, staţia de bază (BS) WiMAX va comunica cu staţia abonat printr-un serviciu punct-la-punct. O staţie

Pagina 40 din 146

de bază dintr-o configuraţie punct-la-punct poate utiliza o antenă unidirecţională pentru a acoperi o distanţă mai mare. Securitate mare - WiMAX suportă standardele AES (Advanced Encryption Standard) şi 3DES (Triple DES, unde DES este abrevierea Data Encryption Standard). Prin criptarea legăturilor dintre staţia de bază şi staţiile abonat, WiMAX asigură abonaţilor intimitatea şi securitatea de-a lungul interfeţei wireless de bandă largă. De asemenea, securitatea oferă operatorilor o bună protecţie împotriva furturilor de serviciu. WiMAX mai înglobează suport VLAN, care asigură protecţia datelor transmise de diferiţi utilizatori care folosesc aceeaşi staţie de bază. Calitatea serviciului - WiMAX poate fi optimizat dinamic pentru mixarea traficului. Sunt suportate patru tipuri de servicii: Instalare rapidă - În comparaţie cu instalarea soluţiilor cablate, instalarea WiMAX nu necesită construcţii externe importante, cum sunt săpăturile pentru plasarea cablurilor. Operatorii care au obţinut deja licenţă pentru utilizarea benzilor alocate nu trebuie să ceară din nou licenţă de utilizare. O dată instalate antena, echipamentele de comunicaţie şi de alimentare cu energie electrică, WiMAX este gata de funcţionare. În majoritatea cazurilor, instalarea unei reţele WiMAX este o treabă de câteva ore, comparativ cu instalarea altor soluţii care pot dura luni de zile. Serviciu multinivel - Maniera de livrare a calităţii serviciului este în general bazată pe acordul dintre furnizorul de serviciu şi utilizatorul acestuia, Service Level Agreement (SLA). Un furnizor de servicii poate oferi diferite SLA-uri diverşilor abonaţi sau chiar utilizatorilor diferiţi ai aceleiaşi staţii abonat. Interoperabilitate - WiMAX se bazează pe standarde neutre, internaţionale. Prin urmare utilizatorii îşi pot transporta şi folosi cu uşurinţă staţiile abonat în diverse locaţii, conectaţi la diverşi furnizori de servicii. Interoperabilitatea protejează investiţiile operatorilor deoarece aceştia îşi pot alege echipamentele de la diverşi furnizori, achiziţiile făcute amortizându-se rapid pe măsură ce serviciile sunt consumate de tot mai mulţi abonaţi. Portabilitate - Ca şi actualele sisteme celulare, o staţie abonat WiMAX, o dată pusă în funcţiune, se identifică, determină caracteristicile legăturii cu staţia de bază şi dacă staţia abonat se află în baza de date a staţiei de bază, îşi negociază corespunzător caracteristicile de transmisie. Mobilitate - Amendamentul IEEE 802.16e a adus caracteristici cheie în sprijinul mobilităţii. Îmbunătăţirile au fost operate la nivelurile fizice OFDM şi OFDMA, oferindu-se suport echipamentelor şi serviciilor în medii mobile. Aceste îmbunătăţiri - care includ Pagina 41 din 146

Scaleable OFDMA, MIMO şi suportul pentru modurile idle/sleep şi hand-off - vor permite o mobilitate completă. Standardul WiMAX a moştenit performanţa superioară Non-Line Of Sight (NLOS - calea între staţia de bază şi staţia abonat este parţial sau în întregime obstrucţionată de diverse obstacole) a OFDM şi funcţionarea multi-cale, fiind astfel potrivit mediilor mobile. Preţ accesibil - WiMAX, bazat pe standarde deschise, internaţionale, va avea un grad ridicat de adopţie. Seturile de cipuri produse pe scară largă vor avea un cost scăzut, ceea ce va conduce la un preţ competitiv, atractiv atât pentru furnizori, cât şi pentru utilizatorii finali. Acoperire largă - WiMAX suportă dinamic multiple niveluri de modulaţie, incluzând BPSK, QPSK, 16-QAM, şi 64-QAM. Iar echipate cu un amplificator de putere mare şi operând la un nivel scăzut de modulaţie (de exemplu BPSK sau QPSK), sistemele WiMAX pot acoperi arii geografice mari atunci când nu există obstacole între staţia de bază şi staţia abonat. Operarea Non-Line-of-Sight - NLOS se referă la calea radio a cărei zonă Fresnel este complet blocată. Deoarece WiMAX foloseşte tehnologia OFDM, are capacitatea de a funcţiona şi în mediile obstrucţionate, asigurând o lăţime de bandă largă, chiar şi în astfel de medii unde alte produse wireless nu se pot descurca. Capacitate mare - Folosind o modulaţie superioară (64-QAM) şi o lăţime de bandă a canalului (momentan de 7 MHz, dar posibil mai mare în viitoarele standarde IEEE şi ETSI), sistemele WiMAX pot oferi utilizatorilor o bandă de transfer apreciabilă. Wi-Fi şi WiMAX O dată cu recunoaşterea potenţialului WiMAX, această tehnologie este justificat comparată cu Wi-Fi. Chiar dacă cele două tehnologii wireless au în comun anumite caracteristici tehnice, acestea abordează spaţiul radio din perspective complet diferite. Deosebirea fundamentală între WiMAX şi Wi-Fi este aceea că cele două tehnologii sunt destinate unor aplicaţii total diferite. Wi-Fi este o tehnologie de reţea locală care duce mobilitate reţelelor locale cablate. Pe de altă parte, WiMAX a fost gândită să ofere un serviciu de acces wireless pe arie metropolitană şi de bandă largă (BWA - broadband wireless access). Ideea din spatele accesului wireless de bandă largă este aceea de a oferi un serviciu de acces la Internet care să concureze cu alte servicii similare, prin cablu sau DSL. În timp ce Wi-Fi acoperă distanţe de maxim câteva sute de metri, sistemele WiMAX acoperă distanţe de până la 48 km. Pe lângă diferenţa privind aria de acoperire a transmisiei, există o serie de îmbunătăţiri ale legăturii radio ce diferenţiază WiMAX de Wi-Fi. Standardele de reţea wireless IEEE 802.11 Pagina 42 din 146

descriu patru interfeţe de legătură radio ce operează în benzile radio nelicenţiate de 2,4 GHz sau 5 GHz Standardele WiMAX includ o gamă mult mai mare de implementări posibile care să sprijine cerinţele de comunicaţie din întreaga lume. Versiunea originală a standardului 802.16, lansată în decembrie 2001, se adresa sistemelor care operau în banda de frecvenţă de 66GHz. Dar aceste frecvenţe înalte necesitau vizibilitate directă cu staţia de bază, ceea ce limita posibilităţile staţiei abonat. Mai mult, la adăugarea în reţea a unei noi celule, antenele client trebuiau reglate din nou. Versiunea 802.16a a standardului - care descrie sistemele cu operare între 2 GHz şi 11 GHz - a apărut în ianuarie 2003. Frecvenţele mai scăzute permit suportul pentru NLOS, eliminând necesitatea alinierii antenei client cu cea a staţiei de bază. În timp ce toate implementările Wi-Fi folosesc benzi de frecvenţă nelicenţiate, WiMAX poate opera atât în spectrul licenţiat, cât şi cel nelicenţiat. Date fiind vitezele suportate de canalul său de 25 MHz (de la 1 Mbps la 11 Mbps), 802.11b are o eficienţă a benzii de transfer între 0,04 şi 0,44 bps/Hertz. Transmisia la 54 Mbps pe canalul de 25 MHz a standardului 802.11a sau pe canalul de 20 MHz a versiunii 802.11g oferă o eficienţă a benzii de transfer cuprinsă între 0,24 şi 2,7 bps/Hertz. În cazul WiMAX, combinaţia dintre modulaţie şi schemele de codare asigură o eficienţă de până la 5 bps/Hertz.

Comparaţie între tehnologiile WiMAX şi Wi-Fi WiMax (802.16a) Wi-Fi Reţea

Broadband Wireless

Wi-Fi

(802.11b) Wireless

(802.11a/g) Wireless

LAN

LAN

2,4 GHz

2,4 GHz

ISM

ISM (g) 5 GHz U-

Aplicaţie Frecvenţe

Acces Licenţiate/nelicenţiate

Band

2 G - 11 GHz

Canal Lăţime de bandă Semiduplex/duplex

Ajustabil 1,25 M la 20 MHz Integral

25 MHz

NII (a) 20 MHz

Semi

Semi

integral Tehnologia radio

OFDM

Secvenţă

OFDM

(256-canale)

directă Spectru

(64-canale)

Pagina 43 din 146

Eficienţă Modulaţie

≤ 5 bps/Hz

împrăştiat ≤ 0,44

≤ 2,7

BPSK, QPSK, 16-,

bps/Hz QPSK

bps/Hz BPSK,

64-, 256-QAM

QPSK, 16-,

Obligatoriu - 3DES

Opţional -

64-QAM Opţional -

Opţional- AES

RC4 (AES

RC4 (AES

Protocol de acces

Cerere/permisiune

în 802.11i) CSMA/CA

în 802.11i) CSMA/CA

- Best Effort

Da

- Data Priority

Da

Da

802.11e

- Consistent

Da

802.11e

WME

WME

802.11e

802.11e

WSM

WSM -

-

Criptare

Mobilitate

Mobile WiMax

Da

(802.16e) 3. Securitatea reţelelor wireless Datorită flexibilităţii sale, numărului mare de dispozitive mobile de buzunar , precum şi ratelor de transfer din ce în ce mai crescute , comunicarea wireless se bucură de tot mai mare popularitate . În special WLAN se bucură este o soluţie extrem de adoptată în ceea ce priveşte reţelistica privată sau de tip enterprise. Reţeaua wireless reprezintă, mai ales în cadrul firmelor de mari dimensiuni , o alternativă la arhitecturile pe cablu extinse şi implicit foarte scumpe. Reţelele pe cablu au avut până deunăzi graniţe fizice clare , reţeaua având aproape fără excepţie drept limită maximă peretele exterior al clădirii în care a fost implementată. Datorită tehnologiei wireless este astăzi posibil transferul datelor chiar şi la distanţe mai mari sau şi în ciuda obstacolelor (ca de exemplu pereţii camerelor sau ai clădirilor). În cadrul unei firme angajaţii trebuie să fie extrem de flexibili în ceea ce priveşte lucrul cu calculatorul .Astfel aceştia se pot afla adesea în deplasare cu notebook-ul la purtător , necesitând acces securizat la datele din reţeaua firmei . În acest scop ei se folosesc de Acces Point-uri instalate în hoteluri, gări , aeroporturi , restaurante sau la parteneri de afaceri. Utilizează apoi WLAN-ul pentru a se conecta remote la reţeaua firmei. Ca la orice altă tehnologie nouă, şi în acest caz a fost dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să decurgă cât mai simplu şi mai

Pagina 44 din 146

confortabil. După ce interesul pentru avantajele noii tehnologii a fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe.Cu toate acestea, dezvoltarea rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi câteva breşe de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulţi administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea şi administrarea unei reţele wireless trebuie să avem întotdeauna în vedere faptul că tehnologia WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul securităţii trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse ulterior în WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri şi de aşa-numiţii war driveri. Marele minus al tehnologiei constă în lipsa protecţiei fizice a datelor de transferat, care există în reţelele pe cablu. Pachetele de date sunt prea puţin protejate la transferul prin unde radio şi se distribuie aproape incontrolabil în mediul ambiant. Aşadar, ele pot fi de exemplu recepţionate de către terţi, înregistrate, evaluate sau chiar manipulate. în special monitorizarea traficului de reţea, aşa-numitul sniffing, este unul dintre cele mai mari pericole în WLAN. Reţelele wireless sunt relativ mai puţin sigure decât cele cablate, datorită accesului mai facil la reţea al persoanelor neautorizate aflate în zonele de acoperire ale punctelor de acces. Există, implicit în implementarea reţelelor wireless, diferite bariere care formează aşa numita securitate de bază a reţelelor wireless, care împiedică accesul neintenţionat al persoanelor străine de reţea, aflate în aria de acoperire a unui punct de acces. Pentru persoane rău intenţionate, cu bună pregătire în domeniu, de tipul hackerilor, securitatea acestor reţele, ca de altfel şi a altora, este discutabilă. Barierele de securitate (securitatea de bază) care au fost prevăzute în protocoalele reţelelor Wi-Fi asigură un nivel relativ scăzut al securităţii acestor reţele, ceea ce le-a frânat întrucâtva dezvoltarea. În iunie 2004, s-a adoptat standardul 802.11i care îmbunătăţeşte securitatea reţelelor wireless 3.1 Vulnerabilitatea reţelelor wireless Aşa cum am mai precizat , ca la orice altă tehnologie nouă, în cazul reţelelor wireless a fost dezvoltată mai întâi funcţionalitatea ,configurarea şi utilizarea reţelelor WLAN trebuind să decurgă cât mai simplu. Ulterior o mai mare importanţă a fost acordată eliminării breşelor de securitate şi întăririi metodelor de comunicaţie din cadrul acestor reţele.

Pagina 45 din 146

Legǎturile dintre noduri sunt foarte susceptibile la atacuri care includ: eavesdroping pasiv(interceptarea şi citirea mesajelor sau a oricărui tip de date), „scurgerea” informaţiilor secrete, distorsiunea mesajelor, răspunderea la mesaje sau negarea acestui serviciu. Reţelele wireless nu au un nod specializat cum ar fi un server ceea ce ar face ca reţeaua să fie mult mai vulnerabilă. Pe de altã parte nu existǎ un punct care sǎ stabilească cheile. Dinamica reţelelor wireless poate crea probleme în ceea ce priveşte, de exemplu, managementul cheilor, dacă se foloseşte criptografie în protocolul de rutare. Standardele de securitate nu sunt suficiente în acest caz deoarece sunt în mare parte valabile pentru reţelele configurate static. Este de aceea nevoie ca soluţiile de securitate să se schimbe dinamic o dată cu topologia în schimbare şi mişcarea nodurilor în reţea şi din afara reţelei. În cele din urmă trebuie luat în calcul şi scalabilitatea reţelei, întrucât o reţea wireless poate conţine sute chiar mii de noduri. Trebuie avut în vedere servicii de securitate cum ar fi managementul cheilor din punctul de vedere al modificării scalabilităţii. Politicile de securitate tradiţionale ale reţelelor cu fir trebuie portate şi pe infrastructura wireless. Fără a fi partizanii unei anumite soluţii, observăm existenţa mai multor standarde de nivel enterprise, precum EAP (Extensible Authentication Protocol) , RADIUS(Remote Authentication Dial In User Service) şi VPN (virtual private network) , care sunt disponibile în oferta mai multor producători de echipamente. Soluţiile de securitate pot fi diferite, depinzând de tipul de control asupra cardurilor client. Securitatea de bază a reţelelor wireless este asigurată de următoarele funcţii implementate: SSID (Service Set Identifiers); WEP (Wired Equivalent Privacy); Verificarea adresei MAC (Media Acces Control). Utilizarea WPA în loc de WEP 3rd party device – soluţii de tip enterprise EAP, RADIUS, VPN Combinarea funcţiilor enumerate mai sus Vom enumera în continuare principalele ameninţări la adresa reţelelor wireless si breşele de securitate urmărite de eventuali atacatori asupra uneri reţele wireless. 1. Terenul necunoscut Marea diferenţă dintre reţelele cablate şi reţelele fără fir o reprezintă aria necunoscută şi necontrolată dintre puctele de acoperire a reţelei. În cadrul WAN (Wide Area Networks), mediul wireless nu poate fi controlat deloc .Tehnologiile wireless actuale oferă un control scăzut acupra ariei de acoperire a unei reţele wireless . Acest lucru a oferit posibilitatea Pagina 46 din 146

atacatorilor din imediata vecinătate a reţelei wirelss şă realizeze diferite atacuri care nu pot fi găsite în cadrul reţelelor cablate obişnuite . 2. Eavesdropping Cea mai răspândită şi mai cunoscută problemă a unui sistem de tip open şi necontrolat aşa cum este tehnologia wireless este aceea că este susceptibilă la atacuri anonime. Atacatorul anonim poate intercepta semnale radio şi să demoduleze aceste semnale pentru a obţine datele transmise . Testele recente au arătat că un atacator poate să se afle şi la o distanţă de 20 mile pentru şi tot poate recepţiona semnal şi implicit de a intercepta semnalul respectiv.

Figura 3.1 Eavesdropping Echipamentul necesar pentru e realiza eavesdropping asupra uner reţele poate fi la fel de simplu ca şi echipamentul necesar pentru a accesa reţeaua. Cu unele mici modificări dispozitivele pot fi configurate pentru a captura tot traficul din cadrul unui canal de comunicaţie sau frecvenţă. Atacatorul doar trebuie să fie poziţionat în apropierea transmiţătorului pentru a putea intercepta datele transmise. Folosirea de antene şi amplificatoare pot uşura munca de interceptare a atacatorului ne mai fiind necesară poziţionarea acestuia în apropierea sursei de semnal. Eavesdropping este folosit pentru a aduna informaţie din cadrul reţelei aflate sub atac. Scopurile principale sunt de a înţelege cine foloseşte reţeaua , ce este accesibil , care sunt capacităţile tehnice ale echipamentelor din cadrul reţelei , când este folosită mai mult sau mai puţin şi ce arie de acoperire are reţeaua respectivă. Aceste informaţii sunt necesare pentru a lansa un atac asupra reţelei. Multe protocoale transmit date importante cum sunt parole şi nume de utilizatori iar aceste date sunt de tip cleartext. Chiar şi o comunicaţie care foloseşte ca

Pagina 47 din 146

metodă de întărire a securităţii criptarea datelor , un hacker poate intercepta aceste date şi decifra pentru a obţine informaţiile de care are nevoie. Mulţi algoritmi de criptare aşa cum erau Microsoft NTLM pot fi uşor sparte. Eavesdropping-ul activ este posibil când un atacator se poate conecta la o reţea wireless. Eavesdropping-ul activ asupra unei reţele wireless LAN implică spoofing la nivel ARP (Address Resolution Protocol) . Această tehnică a fost dezvoltată pentru a testa şi scana reţele de switc uri. În esenţă acesta este de fapt un atac de tip MITM ( man in the middle ) la nivel de legătură de date . Atacatorul trimite o cerere ARP către staţiile ţintă din cadrul reţelei care acestea vor trimite ca răspuns tot traficul cătr atacator care apoi va redirecţiona pachetele către destinaţie după ce în prealabil a obţinut informaţiile de care avea nevoie . 3. Bruiajul comunicaţiilor Bruiajul apare în momentul în care o interferenţă intenţionată sau neintenţionată depăşeşte din punct de vedere al puterii semnalului destinatarul sau expeditorul din cadrul unei comunicaţii , făcând astfel legătura de comuiucaţie nefolositoare . Un atacator poate crea bruiajul în mai multe moduri. 4.Denial of Service (DoS) jamming Bruiajul întregii reţele poate cauza un atac de tip DoS (Denial of Service). Atât staţiile de bază cât şi clienţii sunt blocaţi din cauza volumului mare de semnale astfel încât comunicaţia devine inutilă . Majoritatea reţelelor wireless folosesc frecvenţe nelicenţiate fiind subiectul interferenţelor provocate de o multitudine de dispozitive electronice. 5.Inserarea şi modificare de date Atacurile de tip inserare de date apar în momentul în care un atacator injectează date în cadrul unei conexiuni deja existente cu scopul de a deturna conexiunea sau de a trimite informaţii eronate. Un atacator poate manipula measjele de control şi secvenţe de date inserând pachete sau comenzi către o staţie si vice versa. Atacurile de aceste tip pot fi folosite pentru DoS. Un atacator deasemenea poate bloca cu informaţii un acces point cu mesaje de conectare forţând acces point-ul să depăşească limita maximă permisă blocând accesul utilizatorilor autorizaţi la reţea. 6. Atacuri de tip Man in the Middle (MITM) Asemănătoaare cu atacurile de tip inserare de date , atacurile de tip MITM pot lua diferite forme şi au ca scop să deterioreze confidenţialitatea şi integritatea unei sesiuni de comunicaţie . Atacurile de tip MITM sunt mult mai sofisticate decât majoritatea atacurilor şi necesită destule informaţii despre reţea. Când o staţie “victimă” iniţiază o conexiune ,

Pagina 48 din 146

atacatorul va intercepta legătura ca apoi să o continue către sursă dar direcţionând informaţii către staţia proprie.

Figura 3.2: Atac de tip MITM În acest moment atacatorul este în situaţia de a injecta date , modifica date şi comuncicaţia sau eavesdropping asupra unei reţele pe care i-ar fi în mod normal dificil să o decodeze aşa cum sunt sesiunile criptate. 7. Rogue client După studierea unui client din cadrul unei reţele un atacator poate să aleagă fie să imite fie să cloneze identitatea unui client şi încearcă să câştige acees la reţea. Un mecanism de securitate obişnuit trebuie să folosească metode de control al accesului la nivel 2 pentru a limita accesul la resurse . Acest mecanism s-a dovedit a fi un eşec când a fost folosit de companiile de telefonie mobilă pentru a limita accesul la numerele de telefon folosind ESN (Electronic Serial Number). Apoi acest eşec a fost repetat de standardul 802.11 din cadrul reţelele wireless LAN prin intermediul MACs (Media Access Controls) care poate fi uşor păcălită de un bun atacator . 8. Atacurile de tip client – client Odată conectaţi la o reţea oricare client al reţelei poate fi atacat direct . Dacă atacul reuşeşte pot fi accesate permisiuni care să permită acces la alte domenii ale reţelei. Majoritatea administratorilor de reţea nu întăresc nivelul de securitate al staţiilor prin instalarea de software de tip firewall. Astfel atacurile asupra reţelelor wireless pot avea ca rezultat accesarea de data importante ca parole sau nume de utilizatori care pot fi folosite pentru a accesa resursele reţelei. 9. Atacuri asupra infrastructurii Echipamentul configurat incorect reprezintă prima sursă pe care atacatorii o pot accesa cu scopul de a obţine informaţii necesare accesului în cadrul reţelei. Dispozitivele de reţea aşa

Pagina 49 din 146

cum sunt routere , switch-uri , servere sunt primele ţinte ale unui atacator. Mulţi administratori de reţea se bazează pe securitatea furnizată de nivelul 2 de lagătură aşa cum sunt VLAN (virtual LAN) , pentru a seapara reţelele wireless de cele cablate. Există o mulţime de atacuri documentate care pot fi folosite pentrua păcăli securitatea furnizată de reţelele VLAN . Există mai multe atacuri aşa cum sunt : atacuri asupra switch-urilor atacuri asupra adresei MAC şi atacuri asupra routerelor. 10. Ameninţări criptografice Reţelele wireless de tip Ethernet ca şi reţelele CDMA sau reţelele celulare GSM folosesc mecanisme criptografice pentru a împiedica procesul de eavesdropping şi să oprească utilizarea reţelei fără permisiuni. Wired Equivalent Privacy (WEP) este un astfel de mecanism criptografic realizat pentru a oferi securitate reţelelor 802.11. Greşelile de implementare şi problemele de management a cheilor au demonstrat inutilitatea acestui mecanism. WEP a fost realizat cu o singură cheie statică care era folosită de majoritatea utilizatorilor. O examinare a implementării algoritmului RC4 în cadrul WEP a evidenţiat slăbiciuni care ofereau posibilitatea atacatorului să identifice cheia după ce captura o cantitate minimă de trafic. Unelte şi metode disponibile pe Internet oferă posibilitatea unui atacator să identifice cheia de acces la o reţea în câteva ore. De aceea WEP nu reprezintă o măsură de încredere care să ofere autentificare şi confidenţialitate unei reţele wireless. Totuşi folosirea acestor metode criptografice este o soluţie mai bună decât neutilizarea lor, dar datorită vulnerabilităţilor cunoscute de toţi sunt necesare metode suplimentare de întărire a WEP . Toate comunicaţiile wireless fac subiectul atacurilor de tip eavesdropping în faza de contact , de stabilire a conexiunii , de sesiune de comunicaţie sau de terminare a sesiunii de comunicaţie. Concluzie : Înţelegerea ameninţărilor care apar la adresa tehmologiilor wireless reprezintă primul pas în sensul securizării implementărilor wireless. Avantajul folosiri reţelelor wireless este imens. De aceea aceste ameninţări trebuie luata în considereare, dar acestea nu trebuie să oprească dezvoltarea tehnologiilor wireless. Doar adoptare unor simple măsuri de securitate poate reduce dramatic impactul pe care îl pot avea multe dintre atacurile obişnuite asupra unei reţele wireless. 3.2 Cerinţele securităţii 3.2.1. Disponibilitate Disponibilitatea înseamnă că serviciile asigurate de nod sunt asigurate chiar dacă au loc atacuri. Nodurile trebuie să fie disponibile în orice moment. 3.2.2 Autenticitate Pagina 50 din 146

Autentificarea se traduce prin confirmarea că părţile participante la comunicaţie sunt veritabile şi nu sunt impostori Confidenţialitate Un intrus nu ar trebui să aibă acces la informaţiile în tranzit între noduri. Pentru confidenţialitate este necesar pentru a preveni noduri intermediare sau neautorizate să înţeleagă pachetele care se transmit. Integritate Integritatea constă în garanţia că mesajul sau pachetul care e trimis nu a fost modificat în tranzit. Un mesaj poate fi corupt nu datorită atacurilor maliţioase ci mai datorită funcţionării proaste a propagării radio, dar există întotdeauna posibilitatea ca un adversar să modifice conţinutul datelor. Nonrepudiere Nonrepudierea constă în imposibilitatea unui expeditor nu poate refuza trimiterea informaţiilor şi destinatarul nu poate refuza recepţia. Acest lucru este folositor atunci când e nevoie pentru detectarea şi izolarea nodurilor compromise. Orice nod care primeşte un mesaj eronat poate acuza expeditorul şi să convingă şi alte noduri de nodul compromis. Ordonare Update-urile primite de la ruter sunt ordonate, iar dacă acest lucru nu se întâmplă poate fi afectat algoritmul de rutare. Mesajul nu reflectă statul real al reţelei şi poate propaga informaţii false. Atemporalitate Mesajele de update pot ajunge târziu s-ar putea să nu reflecte stadiul legăturilor şi ruterelor reţelei. Dacă un nod care distribuie informaţie intre două componente ale reţelei este raportat ca fiind „jos” atunci mari părţi ale reţelei devin inaccesibile. Izolare Izolarea necesită ca protocolul să fie capabil să identifice „buclucaşe” şi să le claseze incapabile să interfere în rutare. Protocolul de rutare ar trebui să fie imun la nodurile maliţioase. Pagina 51 din 146

Autorizare Unui nod autorizat sau un utilizator autorizat îi este emis un certificat imposibil de falsificat de către autoritatea de certificare. Aceste certificare conţin specificaţii în ceea ce priveşte privilegiile. Certificatele nu sunt folosite în protocolul de rutare a pachetelor şi fiecare pachet poate face modificări în tabela de rutare. Secretizarea locaţiei Protocolul de rutare ar trebui să păstreze secretă locaţia nodurilor şi structura reţelei. Autostabilizare Orice protocol de rutare ar trebui să fie capabil să se recupereze după orice problemă într-un timp limitat fără intervenţia umană. Robusteţe bizantină Un protocol de rutare trebuie să fie capabil să funcţioneze corect chiar dacă nodurile participante în rutare intenţionat bruiază această operaţiune. Robusteţea bizantină se poate interpreta ca o variată mai strictă de autostabilizare ceea ce înseamnă că un protocol de rutare nu trebuie numai să se refacă în urma unui atac, ci nu ar trebui să-şi oprească funcţionarea în timpul unui atac. Anonimatul Nici un nod mobil nu ar trebui să dezvăluie date care să permită sustragerea de informaţii în legătură cu proprietarul sau utilizatorul curent. Managementul cheilor Serviciul de management al cheilor trebuie să aibă următoarele proprietăţi: Modelul de încredere (câte elemente din reţea pot avea încredere unul în altul şi relaţiile de încredere între elementele reţelei) Criptosistemul Crearea cheilor Memorarea cheilor Distribuţia cheilor Pagina 52 din 146

Controlul accesului Controlul accesului se referă la managerierea modului în care utilizatori sau utilizatori virtuali cum ar fi procesele sistemelor de operare pot avea acces la date. Numai nodurile autorizate pot forma, distruge sau a se alătura grupurilor. Sunt mai multe concepţii în ceea ce priveşte controlul accesului: Discreionary Acces Control (DAC) oferă mijloace prin care se defineşte controlul accesului la utilizatori; Mandatory Acces Control (MAC) implică mecanisme centralizate care controlează accesul la obiecte cu poliţă de autorizaţie. Role Based Acces Control (RBAC) aplică conceptul de roluri în ceea ce priveşte subiectele şi obiectele.

Protocoale de securitate (elemente de criptografie şi protocoale de securitate ale reţelelor wireless) În dezvoltarea standardului 802.11 a fost urmărit ca model de bază modelul OSI. Ethernet-ul wireless a fost realizat ca o variantă care să înlocuiască Ethernet-ul implementat în cadrul reţelelor cablate. Din această cauză întregul protocol există pe legătura de date şi legătura fizică a modelului OSI. Cu toate că sunt deja ani îndelungaţi de implementare a securităţii în cadrul reţelelor wireless , puţine soluţii au fost realizate la nivel de reţea. Ca rezultat nici un protocol de securitate nu a putut fi implementat la nivel fizic sau de legătură de date. De aceea noi mecanisme de securitate au fost create care să asigure o integritate şi o confidenţialitate sporită a datelor vehiculate în reţea. Expansiunea continuă a reţelelor fără fir a determinat o nevoie continuă de dezvoltare a măsurilor de securitate întrucât reţelele wireless eu devenit o soluţie tot mai adoptată în domeniul reţelisticii. Următorul capitol va discuta protocoalele de securitate adoptate în cadrul reţelelor WLAN folosite pentru a securiza aplicaţiile wireless. Chiar dacă unele sunt perimate sau total depăşite de progresul tehnologic din acest domeniu , trebuie totuşi luate in discuţie toate mecanismele de securitate folosite pentru a scoate în evidenţă progresul făcut de tehnologiile wireless în domeniul securităţii comunicaţiilor. Secure Sockets Layer/Transport Layer Security (SSL/TLS) Secure Socket Layer (SSL) a fost iniţial realizat pentru a rezolva problemele de securitate a serverelor web . La începutul dezvoltării Internetului , a fost realizată marea Pagina 53 din 146

oportunitate comercială pe care o poate oferi, dar probleme de securitate pe care le implica transmiterea de date personale sub formă de text clar trebuiau rezolvate deoarece atacatorii putea interecepta imediat aceste informaţii. Netscape a fost primul browser care a oferit ca metodă de sporire a securităţii , SSL, făcând posibile tranzacţiile comerciale via web prin intermediul unui canal sigur de transmitere de date. SSL este transparent , asta însemnând că datele sosesc la destinaţie neschimbate de procesul de criptare / decriptare . De aceea SSL poate fi utilizat pentru multe aplicaţii. SSL ca şi succesorul lui TSL (Transport Layer Security) sunt cele mai răspândite protocoale de securitate implementate în Internet. Implementat iniţial de către Netsacape în anul 1994 , SSL/TSL sunt implementate în majoritatea browser-elor sau a clienţilor de e-mail. SSL a reprezentat baza de dezvoltare pentru alte protocoale aşa cum sunt Microsoft Private Communications Technology (PCT) Secure Transport Layer Protocol (STLP), sau Wireless Transport Layer Security (WTLS). Aplicaţia principală a SSL/TSL este pentru traficul web sau HTTP (Hypertext Transfer Protocol ). Procesul este foarte simplu . În comunicaţiile de bază HTTP , se realizează o conexiune de tip TCP , o cerere a unui document este iniţiată iar acesta este transmis. Cu o conexiune SSL/TLS - HTTP , conexiunea TCP este realizată la fel ca şi conexiunea SSL/TLS ca apoi conexiunea HTTP se realizează cu ajutorul legăturii SSL/TSL . Pentru a împiedica crearea unei confuzii între serverele HTTP , HTTP pe conexiune SSL / TLS este de obicei implementată pe un port TCP diferit (443) decât portul HTTP standard (80). Multe dintre aplicaţiile care folosesc SSL/TSL folosesc alte porturi decât protocoalele SSL / TLS standard . SSL/TLS este folosit penru a cripta şi autentifica o conexiune . Acest lucru este realizat prin utilizarea unei combinaţii dintre mai multe tehnologii ce folosesc algoritmi simetrici şi asimetrici. SSl/TLS oferă posibilitatea de a autentifica atât serverul cât şi clientul , dar numai autentificarea serverului este realizată. Autentificarea este realizată prin folosirea criptografiei cu chei publice şi este asmănătoare unei strângeri de mână (hand shake) . Comunicaţiile actuale ce folosesc SSL/TLS folosesc un algoritm de criptare simetric . SSL/ TLS poate fi utilizat pentru a securiza multe tipuri de comunicaţii . Cea mai comună implementare sunt bazate pe comunicaţiile TCP aşa cum sunt emailul , telnet sau FTP (File Transfer Protocol). În multe cazuri sunt folosite porturi diferite pentru comunicaţiile securizate cu ajutorul SSL/TLS. Terminal Access and File Transfer Cel mai probabil mod de a folosi SSH este acela de a înlocui telnet. Telnet este o aplicaţie utilizată pentru a gestiona utilizatorii din reţea. O sesiune telnet poate fi uşor interceptată fiind uşor susceptibilă la perderi de date importante sau pot fi introduse date în Pagina 54 din 146

reţea sub formă de comenzi ce pot fi ulterior executate . Implementată correct . SSH elimină aceste probleme de securitate . Multe dintre protocoalele de transport aşa cum sunt FTP , TFTP (Trivial File Tranfer Protocol ) sau CIFS (Common Internet File System) sunt foarte nesigure fiind expuse pericolelor de genul sniffing-ului sau injectării de date în reţea sub formă de comenzi. SSH oferă posibilitatea de a transfera fişiere prin intermediul unei sesiuni criptate şi autentificate. Port Forwarding De multe ori SSH nu poate fi folosit pentru a înlocui telnet sau FTP. În aceste situaţii SSH poate fi folosit pentru a securiza în alt mod aplicaţii nesigure aşa cum sunt telnet , TFP , POP (Post Office Protocol) sau chiar HTTP. Acest lucru poate fi realizat folosind capacitate de port – forwarding oferită de SSH.

Figura 3.3 :SSH tunnel În această figură firewall-ul este configurat doar pentru a permite traffic de la o conexiune nesigură către un server SSH . Nici un fel de traffic nu va fi permis a fi direcţiont către sau dinspre server-ul de e-mail către reţeaua nesigură. În plus la folosirea SSH pentru accesul teminal la server-ul SSH , port – forwarding poate fi folosit pentru a tunela traficul de e-mail prin reţeaua nesigură către server-ul SSH. Apoi server-ul SSH redirecţionează pachetele cître server-ul de e-mail. Din punctual de vedere al server-ului de e-mail , trficul ar trebui să vină dinspre serverul SSH iar pachetele ar trebui returnate tot către serverul SSH pentru a fi tunelate înapoi către utilizator. E-mail este doar unul dintre numeroasele protocoalele TCP care pot fi tunelate cu ajutorul SSH. Alte aplicaţii obişnuite pentru SSH sunt cele de securizare a

Pagina 55 din 146

transferului de fişiere (NFS – Network File System , FTP sau CIFS ) , aplicaţii web(HTTP) sau aplicaţii client ( Servere MS Terminal sau XWindows) . WTLS WTLS se bazează pe SSL/TLS. Este folosit de dispozitive de genul WAP (Wireless Aplication Protocol) aşa cum sunt telefoanele mobile sau PDA-uri (personal digital assistants). Principala diferenţă dintre SSL şi WTLS este la nivel transport. SSL se bazează pe TCP pentru funcţiile sale de încredere aşa cum ar fi retransmiterea pachetelor pierdute şau a celor de tip out-of-order. Dispozitivele ce folosesc WTLS nu pot utiliza aceste funcţii TCP deoarece folosesc UDP (User Datagram Protocol). UDP nu este un protocol orientat conexiune aşa că aceste funcţii au fost incluse în cadrul WTLS. Trei clase pot fi negociate în timpul unei sesiuni de „handshake” : WTLS class 1 No certificates WTLS class 2 Server certificate only WTLS class 3 Client and server certificates În clasa 1 nu are loc nici o autentificare iar protocolul este folosit doar pentru a realiza un canal criptat. În clasa 2 , de obicei un client autentifică serverul iar de obicei certificatele sunt incluse în firmware. În clasa 3 , atât clentul cât şi serverul sunt autentificaţi . Acest lucru implică în mod normal implementarea unui PKI. WTLS este similar cu SSL/TLS deoarece poate fi utilizat pentru a securiza alte protocoale aşa cum ar fi WML (Wireless Markup Language). WML este asemănător cu HTML , dar este creat special pentru dispozitive WAP aşa cum sunt telefoanele mobile sau PDA-uri. WEP Wired Equivalent Privacy (WEP) este mecanismul de securitate inclus în standardul 802.11 şi este folosit deoarece oferă servicii de confidenţialitate şi de autentificare. WEP este bazat pe algoritmul RC4 care se referă la un cifru pe bloc. Pachetele sunt criptate prin generarea unui stream RC4 care este o combinaţie de 24 de biţi care reprezintă vectorul de iniţializare (VI) şi o cheie publică . VI-ul este folosit pentru a face unic streamul RC4 generat diferit faţă de alte streamuri generate anterior. Datele sunt trecute printr-o operaţie XOR cu streamul generat şi transmis într-un cadru WEP cu VI-ul în header astfel încât cel care primeşte pachetele să poată genera acelaşi stream RC4 şi să îl treacă printr-o operaţie XOR pentru a realiza procesul de decriptare. Apar însă şi probleme cu implementarea WEP. WEP poate fi folosit ca pe o primă linie de apărare, dar nu ne putem baza pe el datorită problemelor de securitate ce au fost descoperite cu privire la compromiterea cheii. O reţea ce utilizează ca mijloc de protecţie WEP poate fi Pagina 56 din 146

penetrată momentan în decursul a catorva minute prin capturarea unui trafic suficient. WEP ,de asemeni , prezintă şi probleme de management a cheilor. O cheie WEP obişnuită este folosită de toţi utilizatorii unei reţele wireless , lucru care face aproape imposibilă protejarea cheii . Cheia WEP trebuie schimbată foarte frecvent . Angajaţii firmelor parăsesc locul de muncă sau pierd echipament sau laptopuri astfel încât această schimbare frecventă a cheii este inevitabilă. Unele din ultimele implementări ale WEP negociază o cheie la începutul sesiunii care are loc odată cu autentificarea interlocutorilor. Implentări avansate aşa cum ar fi procesul de “rekey” realizează schimbarea cheii chiar în momentul comunicaţiei. Acest lucru anulează problema WEP cu privire la cheia care ramâne neschimbată de-a lungul unei sesiuni. 802.1x 802.1x ca şi protocoalele sale asociate reprezintă o încercare de a creşte securitatea reţelelor înainte ca protocoalele de nivel 3 (aşa cum este IP) sunt configurate . Tehnologia nu este specifică pentru 802.1x şi poate fi folosită pentru Ethernet , Token Ring sau alte tipuri de conexiuni. Scopul priccipal al 802.1x este acela de a autentifica utilizatorii şi poate fi folosit opţional pentru a realiza chei de criptare . Când o conexiune este realizată doar traficul de tip 802.1x este acceptat în reţea. Acest lucru înseamnă că alte protocoale ca DHCP (Dynamic Host Configuration Protocol) , IP sau alte protocoale nu sunt permise. EAP (Extensible Authentification Protocol) este folosit pentru a autentifica utilizatorii. EAP a fost iniţial realizat pentru a rezolva probleme de securitate privind autentificarea în cadrul Point to point Protocol (PPP) ,dar utilizarea sa de bază a reprezentat-o rezolvarea problemelor de securitate din cadrul reţelelor wireless. Pachetele EAP de autentificare sunt transmise către acces point cu informaţiile de acces ale utilizatorului ,username şi parola . Acces point-ul poate autentifica utilizatorul după instrucţiunile specificate de proiectant indiferent care sunt acestea. În majoritatea cazurilor acest lucru se face via Remote Authentification Dial-in User Service (RADIUS) . Odată ce utilizatorul a fost autentificat şi criptarea , dacă există , a fost realizată , comunicaţia va fi realizată iar protocoale ca DHCP sunt permise în acest moment să acceseze comunicaţia. O imagine de nivel mai larg este ilustrată mai jos.

Pagina 57 din 146

Figura 3.4 : 802.1x cu EAP Autentificare 802.1x este un dialog deschis între un sistem care doreşte să se conecteze la serviciile reţelei şi reţea . Tocmai acest protocol foloseşte protocolul extensibil de autentificare EAP . Mai simplu imaginea de mai sus poate fi exemplificată astfel. Client

Autentificatorul Port acces la reţea(AP , switch)

Interfaţa hostului

Mesaje EAP încapsulate tipic pentru RADIUS Server AAA (orice server EAP de obicei RADIUS) Server autentificare

Pagina 58 din 146

Serverul de autentificare poate fi în acelaşi loc cu autentificatorul sau cele două pot fi în locuri diferite şi să se acceseze reciproc prin comunicaţie de la distanţă. Multe dintre funcţiile de autentificare sunt implementate la client şi la serverul de autentificare . Acest lucru este benefic pentru punctele de acces, deoarece ele au o memorie mică şi putere de procesare redusă. Dialogul de autorizare standard constă în : AP(punctele de acces) cere STA(staţiile) să se identidifice folosind EAPOL (EAP over LAN). STA îşi trimite identitatea la AP AP trimite mai departe identitatea STA la AS (server de autentificare), prin intermediul EAP Între AS şi STA are loc un dialog de autentificare Dacă dialogul este terminat cu success , STA şi AS partajează cheie de sesiune AS trimite cheia de sesiune la AP într-un atribut RADIUS precum şi o parte a mesajului de acceptare a RADIUS Metodele de autentificare 802.1x sunt dintre cele mai puternice şi greu de penetrate fiind indicată folosirea unei tehnologii EAP .În funcţie de cerinţele de securitate ale companiei , metoda EAP aleasă poate commplica utilizarea . Cele mai cunoscute tipurui de EAp sunt : EAP-MD5 EAP-TLS EAP-TTLS PEAP Cisco LEAP EAP-MD5 nu asigură o securitate la fel de bună precum celelalte metode EAP şi nu se recomandă folosirea acesteia pentru autentificare în reţelele fără fie . La capătul opus este EAPTLS , ca una dintre cele mai sigure metode de EAP . Această metodă necesită o certificare unică PKI pentru toate serverele de autentificare şi toţi clienţii fără fir. 802.1x cu EAP-TLS este sistemul de autentificare cel mai laborios de folosit şi de întreţinut . Soluţia de securitate aleasă influenţează în mod direct dispozitivele hard fără fie şi softul care va fi achiziţionat. 3.3.8 WPA (Wi – Fi protected access utilizând TKIP şi MIC) Până la ratificarea standardului IEEE 802.11i, alianţa WiFi a propus WiFi Protected Access(WPA) ca o soluţie interimară care să înlocuiască criptarea bazată pe WEP. Serviciile de securitate oferite de WPA sunt:

Pagina 59 din 146

Confidenţialitatea este realizată prin utilizarea protocolului TKIP cu metoda de criptare RC4; Autentificarea este disponibilă în două moduri. în modul 'întreprindere' (Entreprise) se utilizează autentificarea 802.1x şi EAP, în timp ce în modul 'consumator' se utilizează o cheie pre-partajată pentru a asigura autentificarea reţelei fără fir; Integritatea datelor este asigurată cu ajutorul MlC(Message Integrity Check), Aceasta asigură protecţie contra atacurilor de contrafacere(forgery) şi a celor de inversare a biţilor(bit flipping attacks). Cea mai importantă caracteristică a WPA este folosirea protocolului TKIP în locul protocolului WEP bazat pe RC4. WPA continuă să utilizeze RC4, dar într-un mod mult mai securizat decât WEP. Vectorul de iniţializare în TKIP este mărit. Este adăugată o caracteristică de mixare a cheilor per pachet, ceea ce-l face cu mult mai rezistent la atacuri. De asemenea, este adăugat MIC pentru confirmarea transmisiei, cu succes sau nu, a unui pachet. Protocolul TKIP necesită două chei diferite: una pe 128 biţi, care este utilizată la funcţia de mixare pentru a produce cheia de criptare per pachet şi una pe 64 biţi, pentru a asigura integritatea mesajului. Vectorul de iniţializare la TKIP a fost mărit la 48 biţi. Protocolul de integritate cu cheie temporară(TKlP) Protocolul de integritate cu cheie temporară(TKIP-Temporal Key Integrity Protocol) este folosit de WPA pentru recodificarea cheii de criptare a traficului unicast. Fiecare cadru de date transmis prin spaţiul fără fir este recodificat de către TKIP. TKIP sincronizează schimbul de chei între client şi AP. Cheia globală de criptare, pentru traficul multicast şi broadcast, este schimbată, printr-un anunţ făcut de WPA către toţi clienţii conectaţi. A fost proiectat pentru a permite unele soluţii pentru câteva probleme software şi firmware întâlnite în WEP. Schimbările majore în cadrul WEP sunt. un nou cod de integritate a mesajului (MIC ), generat cu algoritmul Michael. MIC este calculat cu datele primite de la nivelul superior (MSDU - MAC Service Data Unit), adresele sursă şi destinaţie şi câmpul de prioritate, înaintea fragmentării în cadre MAC(MPDU-MAC Protocol Data Unit). MIC asigură apărare împotriva atacurilor false; din cauza limitărilor algoritmului Michael, au fost implementate un set de contramăsuri. Din cauza limitărilor hard, a fost imposibilă folosirea unui algoritm mai puternic, dar totuşi această metodă alternativă reduce probabilitatea unui atac;

Pagina 60 din 146

TKIP extinde vectorul de iniţializare WEP(IV)( în principiu, este incrementat un numărător la fiecare trimitere a unui cadru) şi utilizează aceasta la MPDU ca un TSC(TKIP Sequence Counter); managementul de chei RSNA asigură o cheie temporară(TK-Temporal Key). Este aplicată o funcţie de mixare la TSC şi adresa de transmitere(TA ). Aceasta asigură nu numai o cheie nouă pentru fiecare secvenţă trimisă, dar previne şi utilizarea unor chei slabe, cu fluxul criptat, folosind RC4. 3.3.9 IP Security (IPSec) IP Security (IPSec) a fost dezvoltat de grupul de lucru IETF . Protocolul IPSec se găseşte la un nivel inferior faţă de SSL/TLS ,SSH sau WTLS în cadrul stivei de protocoale. Nivelul de securitate este implementat la nivel IP în cadrul modelului Internet. Cea mai frecventă implementare a IPSec include folosirea unui model de tunelare care face posibil ca traficul IP să fie criptat şi autentificat în cadrul aceleaşi sesiuni .IPSec reprezintă tehnologia pe care se bazează majoritatea reţelelor de tip VPN (Virtual Private Network) folosite în Internet. Datorită flexibilităţii crescute şi ariei largi de utilizare , IPSec reprezintă o metodă de securitate tot mai întălnită în corelaţie cu tehnologia wireless. IPSec poate fi utiliza pentru capacitatea de a oferi metode de criptare datorită EAP (Encapsulated Securitz Payload) sau de autentificare folosind AH (Authentification Header) . AH poate fi implementat fără a folosi neapărat ESP. Acest lucru nu oferă confidenţialitate împotriva sniffingului ,dar opreşte eventuale încercări de deteriorare a datelor pe parcursul sesiunii de transport. ESP poate fi implementat şi fără AH pentru a oferi confidenţialiatate şi elemente de autentificare ,dar majoritatea administratorilor aleg să folosescă atât ESP cât şi AH. IPSec oferă mai mulţi algoritmi criptografici care pot fi utilizaţi de către AH sau Esp . Cei mai frecvenţi algoritmi de criptare pentru ESP sunt DES (Data Encryption Standard) , TDES (Triple DES) şi AES (Advanced Encryption Standard) . AES reprezintă înlocuitorul pentru DES şi TDES iar IPSec foloseşte AES ca algoritm criptografic pentru implementările de IPSec . Cel mai des folosit algoritm de autentificare pentru AH este Message Digest 5 (MD5) şi SHA (Secure Hash Agorithm). Cea mai cunoscută implementare a IPSec se regăseşte în cadrul comunicaţiilor din cadrul unei reţele VPN . Oricând este folosită o reţea publică pentru realizarea unei reţele private putem numi acest lucru ca fiind o reţea VPN. Folosind această definiţie putem considera ATM (Asynchronous Transfer Mode) ,Frame Relay sau X.25 pot fi considerate VPN -uri ,dar de obicei astfel de reţele sunt considerate doar cele de tip tunel pe strcrura Internet. În Pagina 61 din 146

cazul acestei aplicaţii un gateway este instalat în cadrul reţelei firmei , aşa cum este ilustrat şi în figura alăturată . Accesul remote al utilizatorilor la reţea va realiza o conexiune de tip tunel către gateway cu ajutorul ESP şi AH.

Figura 3.5: IPSec VPNTunnel 3.3.10 WPA2/AES În iunie 2004 organizaţia IEEE a ratificat standardul 802.11i cunoscut şi ca WPA2. El defineşte confidenţialitatea datelor, autentificarea mutuală, integritatea datelor şi protocoale de management al cheilor pentru a creşte securitatea subnivelului MAC pentru reţelele fără fir. în timp ce WEP şi WPA folosesc algoritmul de criptare RC4, 802.11i utilizează algoritmul AES pe 128 biţi în modul CBC-MAC(CCM). înainte de 802.11i nu se utiliza autentificarea pe 4 căi. Acest set de protocoale defineşte o securitate robustă. Confidenţialitatea este asigurată prin folosirea a trei tipuri de algoritmi pentru protejarea datelor: WEP, TKIP şi CCMP(Counter-mode/CBC-MAC Protocol). WEP şi TKIP se bazează pe algoritmul RC4, iar CCMP se bazează pe AES. Autentificarea este realizată prin utilizarea EAP la autentificarea clienţilor şi server de autentificare. Managementul cheilor este asigurat prin generarea de chei noi utilizând protocoalele de 4 căi(4 Way handshacke) şi a cheilor de grup. Cheile sunt stabilite după ce s-a făcut autentificarea 802.1x, dar ele se pot schimba dacă este necesar sau s-a depăşit timpul şi deci au expirat. Integritatea datelor este realizată cu ajutorul protocolului CBC-MAC(Cipher Block Chaining Message Authentication Code) şi a MIC(Message Integrity Check). Îmbunătăţirea principală a 802.11i pentru WLAN-uri este definirea unor reţele cu servicii robuste de securitate(RSN-Robust Security Netwok). Standardul IEEE 802.11i urmăreşte rezolvarea deficienţelor asociate cu confidenţialitatea datelor în mediul fără fir. Pagina 62 din 146

O reţea RSN este o reţea sigură care permite crearea de asocieri în RSN (RSNA). O RSNA defineşte un număr de trăsături cum ar fi mecanisme de autentificare îmbunătăţite pentru staţii, algoritmi criptografici şi mecanisme de încorporare a datelor îmbunătăţite care asigură confidenţialitate crescută, numite CCMP şi opţionalul TKIP. lerarhia cheilor în cadrul standardului 802.11i În problemele de securitate un aspect important îl constituie cheile. Dacă aceste chei sunt compromise sau furate, nu mai putem vorbi de securitate. Pentru a creşte securitatea în reţele, prin utilizarea algoritmilor de criptare şi integritate trebuie obţinute cheile Cheia rădăcină de la care se obţin celelate chei este: fie cheia prepartajată(PSK-Pre Shared Key), care este o cheie statică livrată la AS şi STA folosind un mecanism înafara benzii, printr-un canal securizat, fie cheia furnizată de un server de autentificare numită şi cheie maşter (MK) care este livrată printr-un protocol EAP. Cheia PSK trebuie să fie cunoscută înaintea unei conexiuni de reţea, adică să fie introdusă manual când se instalează un periferic. Sistemul cu cheie prepartajă se foloseşte mai ales pentru reţele mici. Cheia pe bază de server este generată automat de o aplicaţie server, din serverul AAA. în cadrul standardului 802.11i există două ierarhii de chei derivate: Cheia pereche (Pairwise key), care protejează traficul între staţie şi punctul de acces; Cheia de grup(Group key) care protejează traficul broadcast sau multicast de la punctul de acces la clienţi. Procesul de generare a cheilor presupune că avem cheia prepartajată sau după ce autentificarea 802.1X e finalizată cu succes este deschis portul controlat şi STA partajează cu AP o cheie pereche master(PMK). Apoi este rulat un protocol în 4 faze ("4-way-handshake") pentru a crea un set de chei temporare. La început, amândouă părţile generează o secvenţă aleatoare. Autentificatorul trimite secvenţa sa la client folosind un cadru EAPOL. Clientul (care cunoaşte PMK) foloseşte o funcţie pseudo-aleatoare pentru a calcula cheia temporară pereche(PTK). Apoi creează o secvenţă nouă pe care o trimite la autentificator folosind o cheie EAPOL, conţinând secvenţa sa (a solicitantului), informaţia RSN de la cadrul de cerere de asociere şi codul de integritate al mesajului(MIC). Autentificatorul(AP-ul) poate acum crea PTK şi valida MIC. Autentificatorul(AP-ul) transmite alt cadru folosind o cheie EAPOL purtând secvenţa sa, informaţia RSN din mesajul de informare(beacon), un MIC, chei temporare de grup şi dacă să se instaleze cheile temporare. în final, clientul trimite confirmarea faptului că au fost instalate cheile. Standardul IEEE 802.11i şi AES

Pagina 63 din 146

O îmbunătăţire semnificativă în ceea ce priveşte confidenţialitatea datelor , inclusă în standardul 802.11i este AES (Advanced Encryption Standard) , dezvoltat de Departament NIST al U.S. Commerce. AES poate fi folosit în moduri diferite sau cu algoritmi diferiţi, iar implementarea IEEE 802.11i se bazează pe modul numărare a CCM şi este folosit pentru a asigura confidenţialitatea datelor şi integritatea acestora. AES este o tehnologie bazată pe un cifru bloc simetric iterativ şi foloseşte aceeaşi cheie atât pentru criptare cât şi pentru decriptare . Procesul de criptare folseşte treceri multiple asupra datelor din pachetul 802.11, iar datele în clar de tip text , sunt criptate în blocuri discrete , de lungime fixă. AES criptează datele folosind blocuri de 128 de biţi şi chei de criptare tot de 128 de biţi . AES are la bază îmbunătăţirile făcute de TKIP şi MIC şi foloseşte algoritmi similari , pentru a reuşi să ajungă la un nivel superior de protecţie a datelor. AES necesită un surplus de prelucrare care cere achiziţionare unor noi dispozitive hard (placă de reţea , AP , switch WLAN) care să suporte noile funcţionalităţi în materie de confidenţialitate a datelor ale 802.11i. Elemente de securizare pentru reţelele Wireless Local Area Network şi reţele Ad Hoc Arhitectura şi protocolul de securitate al 802.11 este WEP (Wired Equivalent Privacy) . WEP oferă autentificare , confidenţialitate şi integritatea datelor în cadrul reţelelor de tip 802.11 . La momentul apariţia WEP scopul acestuia a fost acelaşi de a oferi aceeaşi protecţie pe care le ofereau mecanismele de securitate din cadul reţelelor cablate. Totuşi comparaţia între aceste două metode de securitate nu poate fi realizată întrucât o reţea cablată se naşte cu mecanisme care să o protejeze din moment ce accesul la mediu de transmisie este restricţionat sau securizat. În cazul comunicaţiilor wireless acestea nu oferă nici un mod implicit de restricţie a accesului la mediu de transmisie. Astfel comparaţia s-a rezumat la ideea dacă WEP poate oferi aceleaşi elemente de securitate unei reţele wireless pe care le oferă restricţionarea accesului la mediu în cadrul unei reţele cablate. Totuşi unele scăpări de securitate ale WEP au demonstrat că protecţia oferită de WEP nu conferă unei reţele WLAN siguranţa unei comunicaţii sigure. În acest capitol vom privi în ansamblu mecanismele de securitate ale WEP , de ce nu oferă protecţia necesară unui flux de informaţii sigure şi deasemeni măsurile care au fost întreprinse în scopul remedierii scăpărilor de securitate care eu demonstrat ineficacitatea WEP. Vom analiza deasemeni şi să obţinem o comparaţie între arhitecturile de securitate ale unei reţele 802.11 şi structura de securitate ale unei reţele TWNs (Traditional Wireless Pagina 64 din 146

Networks ) . De menţionat că atât TWNs cât şi reţele bazate pe 802.11 folosesc mediul wireless doar în zona de acces la reţea aceasta reprezentând doar partea în care utilizatorii end-user se conectează la reţea . Totuşi există diferenţe majore între cele două arhitecturi. Scopul reţelelor tradiţionale a fost de a a permite unui utilizator wireless să comunice cu orice alt utilizator cablat sau wireless folosind acoperire de tip roaming pe arii largi . Scopul TWNs a depăşit astfel teritoriul reţelelor wireless atingând elemente de conectivitate ale reţelelor cablate. Scopul însă a reţelelor 802.11 priveşte doar securitatea reţelelor fără fir. 802.11 nu are în vedere conectivitatea de tip end to end . De fapt reţelele de date de tip IP (pentru care fost iniţial 802.11 creat ) nu lucrează cu conceptul de conectivitate end to end , fiecare pachet fiind independent routat. Aria de acoperire a unei reţele wireless este semnificativ redus faţă de o reţea TWN care poate oferi o acoperire geografică extinsă . În final 802.11 oferă in support scăzut pentru roaming. Din cauza acestor motive 802.11 este restricţionat doar la accesul în cadrul reţele wireless. Pe măsură ce vom discuta problemele din următorul capitol este bine de reţinut aceste similitudini, dar şi asemănările dintre reţelele TWN şi cele de tip 802.11. În secţiunea următoare sunt descrise schemele de securitate care au fost propuse în domeniul reţelelor wireless şi a reţelelor ad-hoc. The Resurrecting Duckling Această metodă se poate explica astfel: aşa cum o mică raţă consideră primul obiect care mişcă fiind mama lui, asemenea un echipament va recunoaşte prima entitate care îi trimite o cheie secretă ca fiind proprietarul lui. Când este necesar, proprietarul poate şterge ştanţa şi lăsa echipamentul să-şi schimbe proprietarul. Ştanţa – prin distribuirea cheilor – se face prin contact fizic. În cazul mai multor proprietari cu diferite drepturi de acces, ştanţarea poate fi făcută în momente diferite cu chei diferite. În acest fel se poate stabili o ierarhie a proprietarilor şi o prioritate a serviciilor. Trebuie subliniat unicitatea master-ului. Un slave are două stări ştanţat sau ştanţabil. Master-ul controlează slave-ul şi sunt legaţi printr-un secret distribuit iniţial de master pe un canal integrat non-wireless sau confidenţial. Această metodă „resurrecting duckling” poate fi extinsă pentru acoperirea interacţiunilor peer-to-peer. O altă extensie a acestei metode este aceea că master-ul nu trebuie să fie unic. Un alt master care are un certificat valid la acel slave poate ştanţa slave-ul. Slave-ul are un master principal dar poate primi ordine de la ceilalţi masteri. Pagina 65 din 146

Managementul cheilor Pentru a putea proteja nodurile de „eavesdropping” prin folosirea criptării, nodurile trebuie să aibă o înţelegere mutuală în legătură cu un secret distribuit sau cheile publice schimbate. Pentru reţelele ad-hoc în schimbare rapidă, schimbul cheilor pentru criptare trebuie să fie adresate la cerere, fără a presupune că au fost negociate anumite secrete apriori. Într-un mediu mai puţin dinamic, cheile pot fi configurate manual. Serviciul de distribuţie a cheilor asimetrice Într-un protocol de autentificare cu schimbarea cheilor se consideră părţile M şi S care împart un secret P. Scopul protocolului este acela de a stabili o cheie puternică K în locul unui secret slab P. Protocolul are următorii paşi: P1 : Master-ul trimite identificatorul său şi un secret slab slave-ului P(EM) P2 : slave-ul extrage cheia criptată pentru M, EM, şi generează un şir de caractere R. R este criptat cu EM şi trimis master-ului. P(EM(R)) P3 : Se extrage R şi se generează şirurile ProvocareM şi SM. Sunt criptate cu R şi trimise înapoi la slave. R(ProvocareaM , SM) P4 : Slave-ul extrage ProvocareaM şi calculează funcţia publică h(ProvocareM). Sunt generate şi criptate şirurile ProvocareS şi SS cu h(ProvocareM) şi R ca şi cheie. Sunt trimise la master. . R(h(ProvocareaM) , ProvocareaS , SS) P5 : Master-ul verifică h(ProvocareM). h(ProvocareaS) Protocolul poate fi extins la mai mulţi participanţi dacă se alege un lider. În acest caz funcţiile lui S sunt şi acelea de a genera chei puternice K. NTM – Schemă de negociere progresivă a încrederii Modelul NTM este divizat în două componente: componenta peer–to–peer şi componenta de la distanţă, deci sistemul de securitate este împărţit în două subnivele diferite: peer-to-peer NTM (PPNTM) şi Remote NTM (RNTM).

Pagina 66 din 146

Figura 3.5 Structura nivelului

RNTM realizează criptarea end-to-end şi de aceea este localizat deasupra nivelului de rutare. Ameninţarea unui atacator extern X, care se află în raza de interceptare între două noduri A şi B, este diminuată de nivelul PPNTM. Deoarece cheile simetrice trebuiesc negociate de vecini folosind Station-to-Station un nod nu poate „asculta” decât dacă se identifică. Formarea cheilor în schema NTM este prezentată în Figura 3.6, unde K1-4 sunt cheile peer-topeer şi K este cheia end-to-end între A şi D.

Figura 3.6 Formarea cheilor în NTM PPNTM foloseşte Certificare de adresare a reţelei care permit nodurilor să folosescă anumite adrese ale reţelei, iar RNTM foloseşte Certificate de identitate pentru ca utilizatorul să se poată mişca printre noduri far menţinându-şi credibilitatea. Certificatele trebuie atestate de o a treia parte.

Pagina 67 din 146

Metoda nedescoperirii Această metodă a fost introdusă ca soluţie la dorinţa de confidenţialitate a locaţiei a unui nod mobil. De aceea fiecare nod Agent de Securitate (SA) are o pereche de chei, una publică şi una privată. Când un emiţător A vrea să trimită un mesaj M destinatarului B, mesajul este trimis folosind ruta (A, SA1, SA2,….., SAn, B). Ruta este construită prin folosirea a n criptări E_SAi cu cheile publice ale nodurilor intermediare. Mesajul criptat M’ = E_SA1(SA2, E_SA2(SA3,…( SAn, E_SAn(B,M )))). Când A trimite mesajul criptat M’, primul agent de securitate SA1, decriptează mesajul şi descoperă doar locaţia următorului nod din rută. Nodurile nu pot determina unde sunt localizate în rută şi nici identitatea destinatarului B. A poate cripta mesajul M cu cheia publică a lui B şi în acest caz ultimul nod intermediar SAn va şti locaţia şi identitatea lui B, însă nu şi conţinutul mesajului M. Securizarea serviciile Ad-hoc bazate pe Jini Jini este o arhitectură open software care permite utilizatorilor să creeze reţele care sunt scalabile şi uşor adaptabile la schimbare. Jini foloseşte un model care permite mutarea codului între entităţi în reţeaua ad-hoc. Însă şi codul reprezintă o problemă de securitate. Dat fiind faptul că fiecare nod se află în posesia unei chei publice şi a unei chei private, nodurile folosesc cheile publice pentru realizarea autentificării şi astfel se realizează o comunicaţie sigură. De asemenea se pot utiliza protocoalele IPSec şi Transport-Layer Security pentru a putea securiza serviciul. Nu se presupune că server-ul şi clientul împart o număr mare de chei simetrice sau algoritmi MAC. S-a propus un protocol de distribuţie a creditelor care să minimizeze numărul de interacţiuni manuale necesare pentru stabilirea unui relaţii de încredere. CLIENT

g x mod p)

Verifică semnătura

SERVICE PROXY

SERVICE x

Semnătura = semn (etichetă + g mod p) , se m h et ă E ti c

ră năt u

Verifică semnătura k = (gx )y mod p

Eticheta, g x mod p, semnătura, cheia publică k = (gy )x mod p

Pagina 68 din 146

Figura 3.7 Protocol de distribuţie a protocolului, unde proxy-ul foloseşte protocolul Diffie-Hellman Un server care vrea să ofere o comunicaţie sigură are un proxy, care conţine algoritmii necesari pentru a face schimb cheilor autentificate cu server-ul şi de asemenea algoritmi de criptare care protejează datele schimbate în interacţiunea client-server. Serverul semnează digital proxy-ul cu cheia privată, ceea ce înseamnă că semnătura poate fi verificată de către client. Server-ul împachetează cu semnătura şi codul. Când un client găseşte un serviciu, downloadeză un proxy corespunzător serviciului împreună cu semnătura şi posibil anumite certificate incluse. Clientul poate verifica semnătura dacă are o cheie publică acreditată care corespunde semnăturii sau dacă clientul cunoaşte anumite chei publice din certificatele incluse. Proxy-ul execută un schimb de chei cu autentificare cu server-ul folosind un anume protocol. Detecţia intruziunii Un IDS (Intrusion Detection System) este implementat de obicei la gateway şi „capturează” şi examinează pachetele care sunt trimise prin interfaţa hardware a reţelei. Detecţia intruziunilor se face categoriseşte prin: detecţia abuzurilor şi detecţia anomaliilor. Detecţia abuzurilor se face prin folosirea unor şabloane ale atacurilor cunoscute sau punctelor slabe ale sistemului care pentru identificarea tipurilor de intruziuni cunoscute. Detecţia anomaliilor însemnează activităţile care deviază semnificativ de la comportamentul normal. Detecţia intruziunilor şi arhitectura de răspuns La această metodă fiecare nod este responsabil de detectarea semnelor de intruziune local şi independent dar vecinii pot colabora pentru a investiga pe o anumită rază, unde fiecare nod conţine un IDS, care monitorizează activităţile locale, detectează intruziunile şi generează un răspuns. Dacă se detectează o anomalie sau probele sunt neconcludente, agenţii IDS vecini vor coopera pentru detectarea intruziunii globale. Un IDS are structura ca în figura de mai jos :

Pagina 69 din 146

Apelurile sitemului , activtăţi de comunicare

Colectarea locală a datelor

Motor de detecţie locală

Răspuns local

Agenţii IDS vecini

Comunicaţie sigură cooperanţilor

Motor de detecţie

Răspuns global

Figura 3.8 Model conceptual al unui agent IDS Blocul de colecţionare a datelor este responsabil cu colectare a urmelor de ascultare şi jurnalului activităţilor. Motorul de detecţie foloseşte aceste date pentru detectarea de anomalii. Şi blocul de răspuns global şi local generează acţiuni de răspuns în cazul unei intruziuni, generatorul de răspuns local alertează utilizatorul local iar blocul de răspuns global nodurilor vecine, astfel încât agenţii IDS să aleagă un remediu. Modulul de comunicaţie asigură comunicaţii foarte sigure între agenţii IDS. Autentificarea Autentificarea desemnează modul prin care anumite mijloace garantează că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu a fost manipulată de persoane neautorizate. Există autentificarea la capătul canalului sau autentificarea expeditorului mesajului. Arhitectura de autentificare MANET Arhitectura de autentificare MANET propusă de Corson şi Jacobs are rolul de a construi o ierarhie a relaţiilor de încredere în scopul autentificării securitatea mesajelor Internet MANET Encapsulation Protocol (IMEP). Această schemă întâmpină anumite dificultăţi: necesită putere de calcul mare, care pe host-urile mobile este restricţionată, nu există o autoritate centrală şi autentificarea este utilă numai în cazul atacurilor externe. Autentificare, autorizare şi acontare (AAA) Autentificarea poate fi făcută cu chei publice după ce în prealabil s-a construit un sistem de managementul cheilor. Autorizarea este necesară pentru a evita ca host-urile maliţioase să intre în reţea. Acontarea face taxarea serviciilor nodurilor din reţea. Autentificarea şi autorizarea se poate face în cadrul reţelelor care sunt descentralizate prin

Pagina 70 din 146

folosirea unor protocoale precum Simple Authentication and Security Layer sau Internet Security Association and Key Management Protocol/Internet Key Exchange. Rutarea sigură Protocoalele de rutare sigură reprezintă o provocare. Protocoalele reţelelor cablate nu pot fi implementate întrucât reţelele wireless au nodurile mobile şi topologia reţelei este într-o continuă schimbare. Secure Routing Protocol (SRP) SRP eficientizează folosirea asocierilor de securitate între două noduri comunicante S şi T. Pachetele trimise pentru stabilirea rutei se propaga la destinaţie şi informaţiile despre rută se întorc la sursa strict pe aceeaşi ruta inversată, fiind acumulate în pachetele trimise iniţial. Similar mesaje de eroare ale rutei sunt generate de nodurile care sunt raportate ca fiind „stricate”. SRP determină explicit interacţiunea cu nivelul reţea. Caracteristicile pe care le oferă SRP necesită unui header SRP care este introdus în structura header-ului IP aşa cum este prezentat în figura de mai jos. 0

1

2

3

0 1 2 3 4 5 6 7 8 90 1 2 3 4 5 6 7 8 90 1 2 3 4 5 6 7 8 9 01

Header IP Pachet al protocolului de rutare de bază Header SRP Figura 3.9 SRP ca o extensie a protocolului de rutare reactive 0

1

2

3

0 1 2 3 4 5 6 7 8 90 1 2 3 4 5 6 7 8 90 1 2 3 4 5 6 7 8 9 01

Header IP

Rezervat Indentificator de query Numărul secvenţei de query MAC SRP

Figura 3.10 Header SRP

Pagina 71 din 146

Mecanisme de securitate în Layer 2 la 802.11x În această secţiune sunt prezentate soluţii de securitate pentru nivelul legăturii de date aplicabile în reţele MANET. Cele mai multe soluţii sunt mecanisme de securitate care funcţionează ca şi părţi integrate în specificaţiile pentru 802.11 şi Bluetooth. Wired Equivalent Privacy (WEP) Wired Equivalent Privacy este prima schemă de securitate specificată în standardele IEEE 802.11, în special în partea 802.11b Wi-Fi. WEP a fost iniţial creat pentru a asigura securitatea pentru reţele wireless locale, cu un nivel de protecţie similar celor cablate. Mecanismul de securitate WEP include criptarea şi integritatea datelor. Ambele mecanisme sunt manipulate simultan pentru fiecare frame aşa cum este ilustrat în figura de mai jos. A doua problemă abordată este aceea a autentificării staţiei mobile (STA) înainte de a permite conectarea la reţea. Autentificarea se face printr-un protocol provocare-răspuns constând în schimbarea a patru mesaje. P1. STA semnalizează că vrea să se autentifice. Cerere de autentificare P2. Punctul de acces (AP) generează o provocare şi o trimite lui STA. Răspuns de autentificare P3. STA criptează provocarea cu o cheie secretă cunoscută numai de AP şi STA şi o trimite lui AP. Răspuns de autentificare P4. Dacă AP poate decripta răspunsul lui STA atunci concluzionează că STA a dat răspunsul şi deci îl autentifică, altfel autentificarea va eşua. În funcţie de rezultatul autentificării AP îi permite accesul în reţea şi ăl informează pe STA de acest fapt. O dată autentificat STA comunică cu AP prin mesaje criptate. Cheia folosită pentru criptare este aceeaşi ca şi în cazul autentificării. Algoritmul de criptare folosit de WEP este un registru de deplasare RC4. Pentru producerea cadrului protejat, mai întâi se calculează Integrity Check Value (ICV) a conţinutului cadrului folosind o funcţie cyclic redundancy check (CRC). Textul în clar al payload-ului împreună cu ICV este apoi criptat printr-un sau exclusiv pe biţi cu un şir de lungimea payload+ICV generat de registrul de deplasare. La decriptare se face aceeaşi operaţie (XOR pe biţi) cu acelaşi şir. Cheia de criptare este considerată secvenţa cu care este iniţializat registrul de deplasare. Dacă s-ar folosi aceeaşi cheie, K, pentru criptarea a două cadre diferite M1şi M2,

Pagina 72 din 146

atunci duşmanul care ascultă ambele mesaje criptate M1 XOR K şi M2 XOR K poate decripta un mesaj prin intermediul altuia întrucât (M1 XOR K) XOR (M1 XOR K) = M1 XOR M2.

Verficarea integri tăţii

Payload

ICV XOR

Cadru WEP

24 biţi

40 biţi

IV

Cheie

Header

RC4

IV

Payload +ICV Criptat

În clar

FCS În clar

Criptare Decriptare

IV

Cheie

RC4

XOR

Payload

ICV

Figura 3.11 Criptarea şi decriptarea în WEP De aceea WEP foloseşte pe lângă cheia secretă şi un vector de iniţializare IV, care se schimbă pentru fiecare mesaj. Destinatarul trebuie de asemenea să cunoască IV pentru a putea decripta mesajul. De aceea IV este trimis în clar o dată cu mesajul criptat, ceea ce nu reprezintă o problemă deoarece pentru decriptarea mesajului trebuie cunoscută şi cheia secretă. Probleme de securitate în WEP Autentificarea. Autentificarea în WEP are diverse probleme. 1.Prima dintre ele ar fi aceea că autentificarea nu este mutuală întrucât AP nu se autentifică la STA.

Pagina 73 din 146

2.Apoi autentificarea şi criptarea folosesc aceeaşi cheie, iar un adversar poate exploata atât punctele slabe ale autentificării cât şi ale criptării. 3.Autentificarea lui STA se face numai când încearcă să se conecteze la reţea. O dată ce STA este asociat lui AP, oricine poate trimite mesaje în numele lui STA prin copierea MACului. Iar faptul că nu cunoaşte cheia secretă pentru construirea unui frame WEP corect poate folosi mesajele criptate a altui STA înregistrat mai devreme. 4.A patra problemă constă în faptul că foloseşte RC4 în protocolul de autentificare pentru criptarea provocării aleatoare. Deoarece un atacator poate obţine uşor provocarea C şi provocarea criptată R=C XOR K, de unde poate calcula secvenţa pseudoaleatoare K. Faptul că se foloseşte IV nu constituie o problemă pentru că fiecare utilizator selectează singur IV, iar un adversar în acest caz poate selecta IV care a fost ataşat lui R. Deoarece în practică fiecare STA foloseşte aceeaşi cheie atacatorul se poate conecta în numele oricărui STA. Protecţia integrităţii. Protecţia integrităţii la WEP se bazează pe ataşarea unui ICV la mesaj, unde ICV este valoarea CRC calculată pentru mesaj, şi criptarea mesajului cu o cheie secretă. Matematic această operaţiune poate fi scrisă astfel : ( M || CRC ( M ) ) ⊕ K , unde M este mesajul clar, K este secvenţa pseudoaleatoare produsă de algoritmul RC4 din IV şi cheia secretă. CRC(.) reprezintă funcţia CRC şi ÂÂ concatenarea. Funcţia CRC este liniară în raport cu operaţia XOR deci CRC ( X ⊕ Y ) = CRC ( X ) ⊕ CRC (Y ) . Ştiind acestea se poate constata că un atacator poate manipula un mesaj prin inversarea biţilor între ei fără a avea acces la conţinutul mesajului după cum urmează. Fie ΔM schimbările pe care le face adversarul mesajului iniţial. Atacatorul vrea să obţină ( ( M ⊕ ∆M ) || CRC ( M ⊕ ∆M ) ) ⊕ K . Pentru a obţine aceasta este suficient să calculeze CRC(ΔM) şi apoi să facă XOR pe biţi cu ΔM || CRC (ΔM) mesajului original. Un al doilea defect de proiectare este acela că nu există un sistem de detecţie a replicilor, deci un hacker poate replica orice mesaj prealabil înregistrat şi care va fi acceptat de AP. Confidenţialitatea. La folosirea unui regitru de deplasare este esenţial ca fiecare mesaj că fie criptat cu altă secvenţă pseudoaleatoare. Acest lucru este rezolvat prin folosirea unui mecanism de IV. Problema este însă că IV este de lungime de 24 biţi, ceea ce înseamnă că sunt aproximativ 17 milioane de posibile valori pentru IV. Un echipament Wi-Fi poate transmite aproximativ 500 cadre de lungime, deci întreg spaţiul IV poate fi folosit în aproximativ 7 ore. Problema se agravează pentru că în multe reţele toate echipamentele folosesc aceleaşi chei

Pagina 74 din 146

secrete dar IV diferite, deci spaţiul IV se va utiliza şi mai repede: 7/n ore, unde n este numărul de echipamente. O altă problemă constă în faptul că în multe dintre implementări IV este iniţializat cu 0 şi apoi incrementat cu 1 după fiecare mesaj transmis. Ceea ce înseamnă că echipamentele care transmit în acelaşi timp vor folosi acelaşi IV şi implicit aceeaşi cheie, iar un atacator poate decripta astfel mult mai uşor mesajele. De asemenea cifrorul RC4 are o slăbiciune aşa numitele „chei slabe”, adică pentru o anumită cheia ieşirea lui RC4 este predictibilă. O soluţie ar fi lungirea ieşirii lui RC4 la 256 de biţi, însă această soluţie nu a fost acceptată la WEP. Această slăbiciune este de departe cea mai periculoasă deoarece a fost demonstrat că un hacker poate „sparge” cheia de 104 biţi după numai câteva milioane de mesaje. 802.11i Când defectele WEP au devenit evidente, IEEE a început să dezvolte o noua arhitectura de securitate pentru reţelele WiFi, care este descrisa in specificaţia 802.11i . Noul concept se numeşte RSN (Robust Security Network) pentru a putea fi distins de WEP. Acest concept include o noua metoda de autentificare şi control al accesului, care este bazat pe un model definit in standardul 802.1X. Mecanismul pentru protecţia integrităţii şi confidenţialităţii sunt de asemenea modificate, şi utilizează algoritmul de criptare AES (Advanced Encryption Standard) in locul algoritmului RC4. În orice caz, nu este posibilă trecerea de la WEP la RSN peste noapte. Din motiv de eficienţă, multe dispozitive WiFi (în principal cardurile de reţea WLAN), aplică algoritmul de criptare in hardware. Vechile dispozitive suporta RC4 şi nu AES. Aceasta problema nu poate fi rezolvata printr-o simpla updatare firmware; partea hardware trebuie schimbata, fapt care încetineşte dezvoltarea RSN. Acest lucru a fost realizat şi de către IEEE, şi ei au inclus un protocol opţional in specificaţia 802.11i, care foloseşte tot algoritmul de cifrare RC4, dar care rezolva neajunsurile WEP. Acest protocol se numeşte TKIP (Temporal Key Integrity Protocol). Producătorii au adoptat imediat TKIP, ca fiind o soluţie la problemele WEP fără a schimba partea de hardware. Nu au aşteptat până la finalizarea arhitecturii 802.11i, dar au elaborat propria specificaţie denumită WPA (WiFi Protected Access), care se bazează pe TKIP. Cu alte cuvinte, WPA este o specificaţie suportată de producătorii de WiFi, şi conţine un subset de RSN, care poate fi implementat şi pe sistemele vechi, care suportă doar criptarea RC4. Autentificarea şi controlul accesului, ca şi managementul cheilor sunt la fel şi în WPA şi în RSN, diferenţa între cele doua concepte fiind făcuta de mecanismul utilizat pentru protecţia integrităţii şi confidentialităţii. Pagina 75 din 146

În continuare vor fi prezentate controlul accesului şi autentificarea, in cazul 802.11i, şi procedurile de management al cheilor; acestea sunt la fel pentru WPA cat şi pentru RSN. Apoi se va face o scurta prezentare a operaţiunilor TKIP (utilizat in WPA), cat şi AES-CCMP (folosit in RSN). Autentificarea şi controlul accesului Modelul de autentificare şi controlul accesului in 802.11i a fost împrumutat din standardul 802.1X, care a fost elaborat pentru reţelele LAN cablate, dar s-a dovedit ca aceleaşi concepte pot fi folosite şi in LAN-urile wireless de asemeni (cu unele extensii). În modelul 802.1X se pot distinge trei entităţi in procedura de autentificare: cel care cere autentificare (terminalul conectat la reţea), autentificatorul şi serverul de autentificare. Terminalul ar dori să se conecteze la reţea, şi in acest scop ar dori să se autentifice faţă de aceasta. Autentificatorul controlează accesul la reţea. În acest model, acest lucru este reprezentat de starea unui port. Starea implicită a unui port este “închis”, ceea ce înseamnă ca traficul de date este inhibat. Autentificatorul poate “deschide” portul respective daca primeşte aprobarea de la serverul de autentificare. În cazul reţelelor WiFi, cel care face cererea de autentificare este terminalul mobil, şi autentificatorul este punctual de acces. Serverul de autentificare este un proces, care poate rula punctual de acces în cazul unei reţele mici, sau pe un server dedicat în cazul unei reţele mai mari. În WiFi, portul nu este un conector fizic, ci un control logic implementat în software care rulează pe punctul de acces. Într-un LAN cablat, un dispozitiv se autentifica o dată când este conectat fizic la reţea. Nu mai este nevoie de o altă autentificare (cel puţin din punct de vedere al accesului la reţea), pentru că portul utilizat de dispozitivul respective nu poate fi utilizat şi de altcineva; aceasta presupune iniţial deconectarea dispozitivului, care foloseşte portul, de la reţea, şi apoi portul va fi dezactivat . Situaţia este diferita in cazul WiFi deoarece nu exista o legătura fizica intre STA (staţie mobile autentificata) şi AP (punctual de acces). Astfel că, o dată ce STA se autentifică şi este asociată la AP, altcineva ar putea încerca să fure sesiunea prin înşelarea adresei fizice. Din acest motiv, 802.11i extinde 802.1X cu cerinţa de stabilire a unei chei de sesiune intre STA şi AP când STA cere accesul la reţea; aceasta cheie de sesiune este folosită pentru autentificarea comunicaţiilor viitoare intre STA şi AP. Procedura de autentificare din 802.11i foloseşte EAP (Extensible Authentication Protocol) pentru a transporta mesajele necesar de a fi schimbate intre STA şi serverul de autentificare. EAP este un protocol de transport, care nu asigura autentificarea propriu-zisa, dar Pagina 76 din 146

poate transporta mesaje pentru orice nivel de autentificare. De aceea este denumit “extensibil”. Felul în care mesajele protocoalelor de nivel înalt sunt împachetate în mesaje EAP trebuie specificat pentru fiecare protocol de nivel înalt. Asemenea specificaţii există deja pentru multe protocoale folosite la scară largă cum ar fi : TLS Handshake şi protocoalele de autentificare GSM. Sunt patru tipuri de mesaje in EAP: cerere, răspuns, succes, şi eşec. Cererea şi răspunsul EAP poarta mesajele protocolului de autentificare de la STA la server şi invers. Mesajele de succes şi eşec sunt folosite pentru a semnala rezultatul autentificării. Cum a fost indicat mai devreme, in 802.1X, terminalul de autentifica la serverul de autentificare. Aceasta înseamnă ca, in reţelele WiFi, protocolul EAP şi protocoalele de autentificare de nivel înalt sunt executate de dispozitivul mobil care face cererea către server. AP doar transmite mai departe mesajele fără a le interpreta. AP înţelege doar mesajele de succes sau eşec. Când primeşte un mesaj de succes, activează portul şi permite terminalului mobil conectarea la reţea. Mesajele EAP intre terminalul mobil şi EAP sunt transportate de EAPOL (EAP over LAN) protocol definit in 802.1X. Mesajele EAP intre AP şi serverul de autentificare sunt transportate de o varietate de protocoale. WPA foloseşte RADIUS (Remote Authentication Dial In User Service) din acest motiv, în timp ce RSN specifica RADIUS doar ca opţiune. În orice caz, RADIUS este deja dezvoltat la scară largă, deci, se aştepta să fie folosit des şi in

Pagina 77 din 146

RSN. Arhitectura protocolului descris este ilustrată în figura de mai jos.

Figure 3.12:Arhitectura protocolului EAP Cum am menţionat mai devreme, rezultatele procesului de autentificare în WiFi nu reprezintă doar autorizaţia terminalului mobil să se conecteze la reţea, ci reprezintă şi o cheie de sesiune pentru comunicaţiile viitoare între terminalul mobil şi AP. În orice caz, cum autentificarea are loc între terminalul mobil şi serverul de autentificare şi este stabilită între cele două, cheia de sesiune trebuie transmisă sigur către AP. Protocolul RADIUS face acest lucru posibil prin intermediul atributelor MS-MPPE-Recv-Key RADIUS, care au fost specificate pentru transferul cheilor. Cheia de sesiune este transferată criptat, folosind o cheie lungă împărţită intre AP şi serverul de autentificare. Aceasta cheie este de obicei instalată manual pe AP şi in severul RADIUS de către administratorul de sistem. Managementul cheilor

Pagina 78 din 146

Sesiunea stabilirii cheilor între terminalul mobil şi AP ca urmare a procedurii de autentificare se cheamă PMK (Pairwise Master Key). Este o cheie pairwise deoarece se cunoaşte doar de către terminalul mobil şi AP (şi de serverul de autentificare, care este considerat o entitate de încredere), şi este o cheie master, pentru că nu este folosită direct pentru criptare sau pentru protecţia integrităţii informaţiei, ci este folosită pentru a determina cheile de criptare şi integritate. Mai precis, şi terminalul mobil şi AP derivă patru chei din PMK: cheia de criptare a datelor, cheia de integritate a datelor, cheia de criptare a cheii, şi cheia de integritate a cheii. Aceste patru chei sunt denumite PTK (Pairwise Transient Key). Trebuie să punctăm faptul ca AES-CCMP foloseşte aceleaşi chei pentru criptare şi pentru protecţia integrităţii datelor, deci, în cazul AES-CCMP, PTK constă doar din trei chei. În plus PTK, derivaţia din PMK utilizează de asemeni ca date de intrare adresele fizice ale părţilor (terminalul mobil şi AP) şi două numere aleatoare generate de părţi. Acest fapt este ilustrat în figura de mai jos. PMK

Cheia de criptare a datelor

MAC(STA) Cheia de integritate a datelor MAC(AP)

Derivarea cheilor

PTK

Cheia criptare a cheilor

Pseudoaleator (STA)

Pseudoaleator (AP)

Cheia integritate a cheilor

Terminalul mobil şi AP schimbă numerele aleatoare folosind protocolul denumit fourway handshake. Acest protocol face dovada fiecărei parţi că cealaltă parte posedă PMK. Mesajele protocolului four-way handshake sunt transportate de protocolul EAPOL în mesaje de tip Cheie. Conţinutul mesajelor şi operaţiunea four-way handshake sunt descrise după cum urmează: În primul rând, AP trimite secvenţa pseudoaleatoare terminalului mobil. Când aceasta secvenţa este recepţionată , are totul necesar pentru derivaţia din PTK. De aici încolo, terminalul mobil procesează PTK. Pagina 79 din 146

Terminalul mobil trimite secvenţa sa la AP. Acest mesaj mai poarta şi Mesagge Integrity Code (MIC), care este procesat de terminalul mobil, folosind cheia de integritate a cheii derivată din PMK. După recepţia acestui mesaj, AP are tot ceea ce este necesar pentru obţinerea PTK. Apoi, AP procesează PTK, şi apoi foloseşte cheia de integritate a cheii pentru a verifica MIC. Daca verificarea are succes, AP crede ca terminalul mobil are PMK. AP trimite un mesaj care conţine un MIC către terminalul mobil. MIC este procesat utilizând cheia de integritate a cheii din PTK. Daca terminalul mobil poate verifica cu succes MIC-ul, atunci acesta crede ca şi AP poseda PMK. Acest mesaj mai conţine şi valoarea de început a secvenţei de numere ce va fi folosita pentru a numără pachetele transmise, detectând apoi eventualele atacuri. Acest mesaj semnalează terminalului mobil ca AP a instalat cheile şi este gata pentru a cripta toate pachetele de date care vor urma. In final, terminalul mobil confirma recepţia celui de-al treilea mesaj. Aceasta confirmare semnifica şi faptul ca terminalul mobil este pregătit să cripteze pachetele de date ce vor urma. O dată ce PTK este obţinut şi cheile sunt instalate, pachetele de date ce urmează a fi transmise între terminalul mobil şi AP sunt protejate prin chei de criptare şi de integritate a datelor. În orice caz, aceste chei nu pot proteja mesajele Broadcast trimise de AP. Aceste mesaje ar trebui protejate cu chei carr ar fi cunoscute de toate terminalele mobile şi de AP. Deci, AP generează o cheie adiţională denumită Group Transient Key (GTK). GTK conţine o cheie de criptare de grup şi o cheie de integritate de grup, care sunt trimise fiecărui terminal mobil separat criptate cu cheia de criptare a cheii, respective cu cheia de integritate a cheii. TKIP şi AES-CCMP Şi TKIP şi AES-CCMP sunt bazate pe ierarhia cheilor prezentată anterior. În particular, aceşti algoritmi folosesc chei de criptare a datelor şi de integritate a datelor pentru a proteja confidenţialitatea şi integritatea pachetelor de date trimise între terminalul mobil şi AP. În orice caz, folosesc algoritmi de criptare diferiti. TKIP, ca şi WEP, foloseste RC4, dar spre deosebire de WEP, asigură o securitate reală. Avantajul TKIP este că ruleaza şi pe suportul hardware WEP, vechi cu unele imbunătăţiri firmware. AES-CCMP are nevoie de un nou suport hardware care acceptă algoritmul AES, dar asigură o soluţie mult mai clară şi mai elegantă, decât TKIP. TKIP rezolvă defectele WEP astfel: Integritatea: TKIP introduce un nou mecanism de protecţie a integrităţii denumit Michael. Michael operează la nivelul SDU (ex: operează cu date recepţionate de nivelul MAC Pagina 80 din 146

de la nivele superioare înainte ca acele date să fie fragmentate). Acest lucru face posibil de implementat Michael in driverul dispozitivului, care permite introducerea Michael ca un upgrade de software. Pentru a detecta atacurile, TKIP foloseste IV ca o secvenţă de numere. Apoi, o dată iniţializat IV cu o valoare iniţială şi apoi incrementat după transmiterea fiecărui mesaj. Receptorul urmăreşte evoluţia IV după fiecare mesaj recepţionat. Dacă IV-ul pentru un mesaj abia recepţionat este mai mic decât cea mai mică valoare a lui IV înregistrată, atunci receptorul ignoră mesajul, iar dacă IV este mai mare decăt cea mai mare valoare a lui IV stocată, atunci receptorul păstrează mesajul şi updatează IV-ul stocat. Dacă valoarea IV-ului mesajului recepţionat se află între ce mai mică şi cea mai mare valoare a IV-ului stocat, atunci receptorul verifică dacă IV recepţionat este deja stocat; dacă da , atunci ignoră mesajul, iar dacă nu, pastrează mesajul şi stochează noul IV. Confidentialitate: Să reamintim că principala problemă a criptării WEP era că mărimea IV era prea mică şi existenţa cheilor slabe RC4 nu a fost luată în considerare. Pentru a rezolva prima problemă, în TKIP, mărimea IV creşte de la 24 de biţi la 48 de biţi. Aceasta pare o soluţie simplă, dar dificultatea constă în faptul că, hardware-ul WEP aşteaptă o valoare iniţială RC4 de 128 de biti. Deci, IV-ul de 48 de biti şi cheia de 104 biti trebuiesc comprimate în 128 de biti. Cât despre problema cheilor slabe, în TKIP, fiecare mesaj este criptat cu o cheie diferită. Prin urmare, atacatorul nu poate observa suficient de multe mesaje criptate cu aceeaşi cheie. Cheile de mesaj sunt generate din cheia de criptare a cheii din PTK. Mecanismele de securitate pentru Bluetooth Specificatiile Bluetooth includ un set de profile de securitate definite pentru nivelul aplicatie in asa-zisul nivel de serviciu al securitatii, si profile de securitate pentru nivelul legatura de date. Ambele tipuri de profile de bazeaza pe managementul cheilor, autentificare si sevicii de confidentialitate bazate pe mecanisme de securitate criptografica implementate la nivelul legatura de date.Fiecare dispozitiv Bluetooth este o parte independenta din punct de vedere al protocoalelor de securitate. In fiecare dispozitiv, mecanismele de securitate folosesc un set de componente de baza: Adresa dispozitivului (BD_ADDR): o adresa de 48 de biti definita de IEEE ca unica pentru fiecare dispozitiv Bluetooth; cheie de autentificare de 128 de biti; Pagina 81 din 146

cheie simetrica de criptare a datelor Un numar aleator (RAND) generat de un generator pseudoaleator sau aleator (fizic). Managementul cheilor Managementul cheilor pentru Bluetooth asigura fiecarui dispozitiv un set de chei de criptare simetrice necesare petntru initializarea unui canal secretizat cu un alt dispozitiv, pentru excutia unui protocol de autentificare si pentru schimbul de date secretizate cu alt dispozitiv. Ierarhia cheilor Ierarhia cheilor pentru Bluetooth, include doua tipuri de chei generice: Cheia de legatura, care este impartita in doua sau mai multe parti si folosita ca si cheie de criptare (KEK) pentru a cripta alte chei in timpul schimbului, sau ca valoare initiala, pentru a genera alte chei. Cheia de criptare, care este o cheie de criptare a datelor impartita (DEK). Atat cheia de legatura cat si cheia de criptare a datelor sunt chei simetrice de 128 de biti. Cheia de link poate fi clasificata ca si cheie de initializare, cheie de unitate, cheie de combinatie sau cheie master. Cand doua dispozitive au nevoie sa comunice utilizand securitatea la nivel fizic si neavand un angajament anterior, ei stabilesc un canal securizat bazat pe cheia de initializare. Acest canal este folosit apoi de dispozitivele care comunica pentru a stabili o cheie de legatura semipermanenta, care va fi folosita de cateva ori pentru a asigura urmatorul schimb de chei intre terminale. Cheia de initializare nu mai este folosita dupa primul schimb de chei. Fiecare terminal genereaza cheia de initializare, folosind un generator de numere pseudoaleatoare, care are valoarea initiala formata dintr-un numar personal de identificare (PIN) introdus de fiecare utilizator pe fiecare dispozitiv, si de valoarea RAND schimbata intre terminale. Pentru ca cele doua terminale sa genereze aceeasi valoare pentru cheia de initializare, aceleasi valori PIN trebuiesc introduse pe fiecare dispozitiv. Bazat pe generarea cheilor si capacitatea de stocare ale fiecarui terminal, cheia de legatura semipermanenta impartita poate fi o cheie de unitate sau o cheie de combinatie, in functie de generarea cheii si capabilitatile de stocare a terminalelor. Cheia de unitate este o Pagina 82 din 146

cheie specifica terminalului, si este generata la initializarea acestuia. Valoarea sa se schimba rar. Este generata folosind un generator de numere pseudoaleatoare, cu valorile initiale RAND si BD_ADDR (adresa fizica a terminalului). Cheia de combinatie este o cheie calculata de doua terminale actiune bazata pe chei specifice fiecaruia dintre ele. Pentru a calcula cheia de combinatie, in primul rand fiecare terminal genereaza chei proprii bazate pe RAND si BD_ADDR; cheile rezultate sunt apoi schimbate intre terminale folosind canalul securizat criptat cu cheia de initializare. Cheia de combinatie este derivata de fiecare dintre terminale, folosind simpla combinare a celor doua chei specifice celor doua terminale. Tipul cheii de lagatura intre perechea de terminale, este negociata in timpul stabilirii legaturii. Daca unul dintre terminale dispune de stocare restricionata, cheia de unitate a acestuia este folosita ca si cheie de stabilire a legaturii, cu neajunsul evident al dezvaluirii cheii semipermanente specifica fiecarui dispozitiv. Daca ambele terminale au suficienta putere de calcul (generare a cheilor), si capacitate de stocare, atunci aleg sa foloseasca o cheie de combinatie ca si cheie de legatura care are valori diferite pentru fiecare entitate. Intr-un scenariu master-slave, o cheie de legatura cu viata scurta, denumita cheia master, poate fi folosita intre terminalul master si cel slave. Durata de viata a cheii master este limitata la durata sesiunii master-slave. Cheia master este generata de dispozitivul master folosind un generator de numere pseudoaleatoare ce foloseste valorile initiale RAND si PIN. Cheia rezultata este distribuita pe un canal securizat cu cheia de initializare catre fiecare terminal slave cu care terminalul master vrea sa imparta cheia master. Cheia de criptare este generata de o pereche de dispozitive care impart o cheie de legatura folosind un generator de numere pseudoaleatoare initializat cu cheia de legatura, numarul pseudoaleator RAND, generat de unul dintre dispozitive si transmis celuilalt apriori pentru a cripta datele interschimbate, si un cifru secret denumit Authenticated Ciphering Offset (ACO) generat de fiecare dispozitiv in procesul de autentificare. Autentificarea Schema de autentificare pentru Bluetooth, este bazata pe un protocol provocare-raspuns (challenge-response), descris in figura de mai jos. Cand terminalul A vrea sa autentifice terminalul B utilizand acest protocol, A genereaza numarul RAND si il trimite lui B ca o provocare, apoi ambele terminale fac un calcul ce are ca rezultat SRES folosind algoritmul de autentificare E1 cu RAND, cheia de legatura, si adresa dispozitivului B. B trimite catre A rezultatul SRES, ca raspuns . Autentificarea lui B are succes daca SRES-ul calculat de B, Pagina 83 din 146

coincide cu cel calculat de A. In timpul autentificarii, fiecare terminal obtine de asemeni ACO generat de algoritmul de autentificare E1. Autentificarea disp . B de catre A

Device B

Device A

RAND BD_ADDR of Device B

E1

Link Key BD_ADDR of Device B

E1 ACO

Link Key

SRES’

ACO

SRES

SRES’=SRES ?

Figure 3.13Autentificare dispozitiv B de către A Valoarea ACO este folosita mai departe pentru a genera cheia de criptare a datelor, care va fi folosita intre terminale. Criptarea datelor Dispozitivele Bluetooth pot realiza criptarea datelor folosind un flux de cifrare bazat pe Linear Feedback Shift Register (LFSR). Fluxul de cifrare genereaza un flux de cheie care este folosit de emitator pentru a cripta campul de payload din fiecare pachet utilizand o tehnica onetime pad (textul cifrat este obtinut ca rezultat al operatiei sau exclusiv realizat intre payload si fluxul de cheie). Receptorul pachetelor decripteaza payload-ul criptat din fiecare pachet, generand local fluxul de cheie local si combinand-ul cu campul de payload print tehnica onetime. Cifrul de flux este initializat de ambele terminale cu adresa terminalului master, valoarea cheii de criptare, si ceasul terminalului master. Cifrarea fluxului este resincronizata pentru

Pagina 84 din 146

fiecare payload utilizand ceasul master. O noua cheie de flux este astfel generata pentru a cripta fiecare payload. Evaluarea securitatii Arhitectura de securitate pentru Bluetooth sufera din cauza unor slabiciuni ale schemei de management al cheilor. Marea framantare este reprezentata de slabiciunea procesului de generare a cheii pentru cheia de initializare. Cheia de initializare este derivata dintr-un numar aleator si un cod secret PIN, cu ajutorul caruia singurul secret este codul PIN. Datorita capacitatii limitate a memoriei umane, codul PIN este ales de obicei de maxim 6 digiti. Un secret de 6 digiti poate fi usor descoperit prin cautare exhaustiva. Alta modalitate de expunere este in cazul in care cheia de unitate a terminalului este folosita ca si cheie de legatura. Daca pentru un terminal cheia de unitate este folosita ca si cheie de legatura, in scopul comunicatiei paralele sau secventiale cu alte cateva dispozitive, cheia secreta de unitate a dispozitivului este diseminata care unele dispozitive care pot reprezenta potentiali intrusi. Diferitele tipuri de atacuri, care decurg din falsa identitate a proprietarului de drept ai cheii de unitate folosita la decriptarea traficului criptat de intrusi, devin fezabile prin cunoasterea cheii de unitate de catre acestia.

4.

Proiectarea şi realizarea unei reţele WLAN sigure ----guideline

Vorbind despre o reţea wireless implicit este decalanşată o discuţie despre problemele de securitate ce apar inerent . Cu toate că dispozitive fără fir sunt disponibile şi implicit accesibile oricărui utilizator de rând acest domeniu de la apariţia sa a reprezentat o nebuloasă, dar în acelaşi timp şi un subiect de vii controverse. O reţea wireless a fost întotdeauna privită ca o alternativă foarte flexibilă a unei reţele fixe şi implicit a declanşat interesul pentru implementarea unei astfel de legăturii în cadrul mai intâi a firmelor cu arie de acoperire greu accesibilă sau foarte răspâdită ca apoi sa reprezinte o soluţie şi pentru utilizatorii obisnuiţi. Elementele simple de interconectare şi flexibilitatea crescută au crescut de la an la an popularitatea reţelelor fără fir ,dar implementarea acestora şi mai ales de către utilizatori fără cunostinţe de reţelistică a scos la iveală problemele de securitate discutate în capitolele anterioare. Acest lucru a rezultat într-o popularitate tot mai scăzută a reţelelor fără fir şi la o sporire a neîncrederii în securitatea oferită de acestea.

Pagina 85 din 146

Întrucât orice problemă de securitate are şi o rezolvare următorul capitol işi propune să realizeze un ghid practic care să reprezinte atăt un guideline pentru realizarea unei reţele fără fir sigure ,dar şi un motiv pentru un utilizator obişnuit de a lua în calcul proiectarea unei reţele wireless în ciuda problemelor de securitate pe care acest capitol nu încearcă să le nege cât să le prevină. Pericole şi riscuri pentru WLAN Principalele tipuri de ameninţări la adresa securităţii reţelelor WI-FI sunt: monitorizarea pasivă; accesul neautorizat; atacurile de tip .blocare a serviciului.,DoS; atacurile de tipul omul-la-mijloc; punctele de acces neautorizate sau incorect configurate; abuzurile în reţea; limitări şi puncte slabe ale măsurilor de securitate pentru reţeaua fără fir; politicile de securitate. Monitorizarea pasivă constă în interceptarea pachetelor de date transmise prin reţele fără fir neprotejate şi explorarea informaţiei incluse cu ajutorul unor instrumente software adecvate.Se pot afla, în acest mod, identificatori (nume) de utilizatori şi parolele asociate (furt de identitate a unui utilizator autorizat), numere de cărţi de credit etc. Aplicaţiile de acest tip permit captarea pachetelor şi stocarea lor pentru examinare ulterioară. Prin analiza pachetelor este divulgat segmentul de date care, în funcţie de serviciile interceptate, pot furniza informaţii deosebit de valoroase. Accesul neautorizat. Într-o reţea Wi-Fi, neprotejată sau insuficient protejată, se poate integra. o staţie client pirat prin asociere cu una din staţiile de bază (puncte de acces) localizate in cadrul reţelei. În absenţa unor măsuri de securitate adecvate, această staţie poate accesa servere sau aplicaţii din reţea. Contracararea accesului neautorizat se face prin autentificare reciprocă între staţia client şi punctul de acces, autentificarea fiind operaţiunea de dovedire a identităţii dispozitivului. Blocarea serviciului poate afecta funcţionarea reţelei Wi-Fi sau o poate scoate total din funcţiune pentru o perioadă de timp nedefinită. Gravitatea unui atac DoS depinde de impactul pe care îl are inactivitatea reţelei. Atacurile DoS pot fi de următoarele tipuri: Pagina 86 din 146

Atac prin .forţă brută.. Se realizează prin inundarea reţelei cu un număr forte mare de pachete de date, care suprasolicită toate resursele reţelei şi o forţează să iasă din funcţiune. Utilizarea unui semnal radio puternic. Pentru un astfel de atac este necesar un emiţător puternic la mică distanţă de reţea, emiţător care poate fi detectat cu instrumente de localizare. Interferenţe neintenţionate. Constă în plasarea unui dispozitiv client, fictiv, între un client legitim şi reţeaua wireless. Pentru aceasta se foloseşte protocolul de conversie a adreselor, ARP, utilizat uzual de reţelele TCP/IP. Puncte de acces neautorizate sau incorect configurate. Pot deveni o breşă importantă în securitatea reţelelor wireless. Folosirea incorectă a unor identificatori, care pot fi interceptaţi, pe post de parole, permite accesul neautorizat la structuri de date sau servicii ale reţelei. Abuzuri în reţea. Acestea pot fi acţiuni neglijente ale unor utilizatori corecţi, sau acţiuni deliberate pentru a afecta securitatea şi performanţele reţelei. Sunt dificil de identificat şi de delimitat. Instalare comodă în detrimentul securităţii Pentru realizarea unei reţele wireless eforturturile de instalare sunt reduse la minin deoarece odată cu dispariţia cablurilor dispar si durerile de cap. Instalarea dispozitivelor wireless necesar este de regulă destul de simplă, procedeul fiind accesibil şi utilizatorilor fără cunoştinţe solide de reţelistică. Adesea este suficientă poziţionarea Access Point-ului undeva în reţeaua locală sau conectarea router-ului WLAN la internet. în cazul plăcilor de reţea wireless actuale lucrurile sunt similare, deoarece driverele şi utilitarele de configurare necesare sunt in mare parte integrate în Windows XP. Astfel, sistemul de operare recunoaşte automat placa WLAN. După instalare sistemul activează aparatul, iar placa începe să caute reţele aflate în raza sa de funcţionare. Deoarece majoritatea AP-urilor sunt dotate native cu un server DHCP activ, care atribuie o adresă IP fiecărui client conectat la reţea, placa de reţea abia instalată găseşte rapid şi Access Point-ul la care se poate conecta. Pentru mulţi utilizatori de reţele wireless configurarea se sfârşeşte în acest punct, ceea ce înseamnă că, evident, totul funcţionează după realizarea setărilor standard. Însă această instalare „comodă" are o mare problemă: pentru că dispozitivele instalate să se înţeleagă de la un bun început, toate setările relevante de securitate - cum ar fi codarea WEP sau filtrarea adreselor MAC - sunt dezactivate. În altă ordine de idei, majoritatea utilizatorilor se trezesc depăşiţi de setările adesea neclare, de driverele neprietenoase, de termenii tehnici incomprehensibili, de multitudinea opţiunilor şi de incompatibilitatea diverselor echipamente hardware, astfel încât renunţă la Pagina 87 din 146

măsurile de securitate şi utilizează reţeaua wireless doar cu setările standard ale producătorului. Aşa se întâmplă adesea că apar probleme încăt un utilizator neexperiementat nici măcar nu observă că placa sa WLAN s-a conectat la Access Point-ul vecinului. De aici şi probleme serioase de siguranţă întrucât pentru un atacator un astfel de acces gratuit la “resursele” reţelei nu poate fi refuzat. Access Point-uri communicative În mod implicit, un AP emite în permanenţă semnale, aşa-numitele Broadcast Beacons. Ele sunt transmise la intervale regulate, pentru a semnaliza clienţilor din apropiere că legătura realizată încă este activă, respectiv că în apropiere există o reţea fără fir. La unele reţele acest comportament este dorit, facilitând considerabil accesul la reţeaua WLAN a unei firme, de exemplu. Semnalele Beacon emise tot la câteva milisecunde conţin toate datele specifice reţelei, de care clientul are nevoie pentru realizarea unei simple conexiuni. Problema apare întrucât nu doar sistemele autorizate primesc acest mesaj, ci şi oaspeţii nepoftiţi - şi tocmai acest aspect este exploatat de aplicaţii precum Network Stumbler, Aerosol sau Kismet. Aceste programe caută voit astfel de pachete de date şi evaluează informaţiile transportate de ele.

Figure 4.1 Network Stumbler : Mulţi utilizatori folosesc SSID-ul implicit La evaluarea cu ajutorul acestor utilitare, aşa-numiţii war driveri află o informaţie deosebit de interesantă, şi anume Service Set Identifier (SSID) — mai bine zis numele reţelei. Acest SSID a fost dezvoltat original numai în scopul structurării logice, în eventualitatea în care două reţele wireless se vor fi suprapus. Realizarea unei legături este permisă de către WLAN numai dacă respectivul client care încearcă să se conecteze poate prezenta acelaşi SSID

Pagina 88 din 146

ca şi reţeaua. Access Point-urile sunt livrate de obicei cu SSID-uri standard. De pildă, CISCO utilizează „tsunami", Netgear „wireless" şi D-Link „wlan". SSID-urile altor producători pot fi găsite la www.cirt.net , prin accesarea link-ului Default Wireless SSIDs. Dacă un atacator găseşte reţele cu astfel de denumiri standard, acesta află imediat de la ce producător provine AP-ul. Cu această informaţie el îşi poate procura de pe diferitele pagini de internet materiale care îl vor ajuta să se familiarizeze cu firmware-ul utilizat. Chiar şi în cazul în care sunt utilizate în reţea măsurile de securitate WEP, WPA sau ACL, un SSID default trădează un administrator de reţea care nu pune mare accent pe siguranţă. De aceea, este obligatoriu dezactivarea funcţiei Broadcast a dispozitivului. Dezavantajul este că realizarea unei conexiuni nu mai este posibilă decât prin introducerea manuală a SSID-ului corect. Avantajul vine din faptul că reţeaua WLAN devine invizibilă pentru utilitarele hackerilor. Dacă aceştia nu identifică numele reţelei nu mai există pericolul iniţierii atacurilor asupra reţelei. De multe ori însă această funcţie de securitate nu este practicată în firmele mari, cu mulţi clienţi WLAN, din cauza efortului de administrare. Mai mult, nu opreşte decât war driverii aflaţi în trecere. Din cauza faptului că SSID-ul este ataşat header-ului fiecărui pachet de date , atacatorul potenţial trebuie doar să se posteze în apropiere cu un sniffer şi să aştepte un transfer de date dinspre reţea pentru a determina valoarea utilizată. Tocmai din acest motiv este imperativ să ţinem cont de alte câteva aspecte importante în ceea ce priveşte manipularea SSID-ului: tentativele de accesare a unei reţele wlan pot fi îngreunate şi prin modificarea SSID-ului imediat la punerea în funcţiune a Access Point-ului. Această funcţie poate fi privită ca o modalitate de control a accesului în WLAN şi poate reprezenta chiar o parolă. Denumiri precum „firma-xy.contabilitate. subsol" ar trebui evitate, deoarece pot oferi atacatorilor indicii clare asupra conţinutului datelor transferate, facilitându orientarea în reţeaua vizată. utilizarea unei combinaţii cât mai lungă de litere, cifre şi caractere speciale.Este recomandată folosirea de majuscule, cât şi de minuscule şi evitarea cuvintele incluse în dicţionare (acestea din urmă pot fi uşor identificate cu ajutorul aşa numitelor liste de cuvinte). Un SSID precum lyXq34*$56hrYvWdA78eE0Oijl2 ajută nu doar la protejarea SSID-ului împotriva atacurilor de tip Brute-Force, ci oferă şi o altă funcţie de securitate de maximă importanţă: programe precum WEP-Crack adună pachetele transmise de WLAN în scopul spargerii codării WEP. Dar, fiindcă driverele Wi-Fi din Linux nu întreprind nici un fel de verificare a datelor prin sume de control, iar caracterele speciale din SSID (conţinute de fiecare pachet) nu sunt lizibile pentru program, pachetele sunt declarate ca fiind defecte şi, implicit, Pagina 89 din 146

respinse. Cu alte cuvinte, pachetele de date necodate transmise de WLAN nu mai pot fi interceptate şi sparte. Parole standard simple Dacă reţeaua a fost depistată, atacatorul va încerca neîntârziat (prin diferite metode) să controleze sistemele disponibile în LAN sau în internet. De multe ori acest lucru nu este posibil, iar aceasta din cauza configuraţiei Access Point-ului (când este dezactivată funcţia DHCP, de exemplu). Pentru a evita căutarea îndelungată a adresei IP „corecte", mulţi atacatori se ocupă mai întâi cu identificarea punctelor slabe ale Access Point-ului. Configurarea şi administrarea acestuia are loc de regulă prin intermediul SNMP (Simple Network Management Protocol), disponibil împreună cu driverul corespunzător pe pagina de internet a producătorului şi uşor de executat via USB sau, şi mai comod, prin intermediul browser-ului, per interfaţă web. Pentru a evita utilizarea nepermisă, accesul la meniul de configurare este precedat de solicitarea parolei şi a numelui de utilizator. Nativ, aparatul este protejat doar printr-o parolă standard, aleasă de producător. Compania Netgear utilizează de exemplu parola nu prea originală „password", iar Cisco îşi „protejează" aparatele cu propriul său nume. Adesea nu mai există funcţia de securitate care obligă utilizatorul să modifice parola la prima utilizare. Din această cauză, mulţi utilizatori fără experienţă uită să treacă ulterior şi prin acest pas vital pentru siguranţa reţelei. Un atacator al unei reţele wireless descoperă eventuale posibilităţi de acces prin testarea integrităţii parolei introduse. Utilitare precum Network Stumbler sau Aerosol dispun de o bază de date cu numele tuturor producătorilor şi echipamentelor lor, cu ajutorul căreia aceste programe pot compara informaţia oferită de pachetele interceptate. Dacă producătorul este cunoscut, ajunge o simplă privire în manual sau pe pagina de asistenţă a companiei pentru a obţine, pe lângă datele despre produs, parola standard a aparatului.Pentru AP-urile foarte răspândite este suficientă de obicei consultarea bazelor de date gen www.cirt.net. Chiar şi atunci când parola a fost modificată în cursul procesului de instalare reţeaua nu devine sigură deoarece este susceptibilă unor atacuri de tip forţă brută care pot fi realizate cu programe gen BRUTUS , spargerea unor parole simple (compuse din mai puţine de şase caractere) este posibilă în scurt timp. Dacă atacul are success , hacker-ul poate începe să manipuleze configurare AP-ului pregătind terenul pentru a accesa reţeaua şi sistemele conectate la ea.

Pagina 90 din 146

Figure 4.2 La atacuri de tip Brute-force asupra AP-urilor , utilitare precum Brutus iniţiază nenumărate încercări de conectare Probleme de securitate pe care le accesează cu predilecţie un atacator sunt legate şi de bug-urile de firmware . El caută astfel puncte slabe ale AP care pot fi remediate doar printr-un update de firmware. Unele aparate reacţionează în mod cu totul neînţeles la reset, respectiv prin anularea setărilor şi/sau a configuraţiei aparatului la atacuri de tip Denial-of-Service (DoS). Cisco a anunţat, de exemplu, o eroare din firmware-ul IOS al AP1100, 1200 şi 1400, care permite unui atacator să forţeze un reboot printr-o cerere manipulată la serverul web al meniului de configurare fără a fi necesară o autentificare prealabilă. Alte sisteme, ca de exemplu Access Point-ul WLAN \VG602vl e la Netgear, au unele versiuni de firmware cu parole Maşter care s-au aflat datorită unor scurgeri de informaţii sau au fost depistate de hackeri inventivi. Aici numele de utilizator este „super", iar parola este numărul de telefon al unui furnizor din Taiwan :5777364. Versiunile incorecte de software intern al aparatelor se pot corecta printr-un update de firmware. 4.2

Sniffing - spionarea reţelelor WLAN

După cum am mai spus, aşa-numitul sniffing este unul dintre cele mai mari pericole în WLAN. Reţelele fără fir care transferă date în lipsa unei protecţii sunt cele mai susceptibile de astfel de atacuri. Hacker-ul trebuie doar să se afle la locul potrivit în momentul potrivit pentru a intercepta informaţii precum parolele, informaţiile de acces, documentele importante , informaţiile personale sau foarte sensibile. Pericolul de sniffing a datelor transmise prin reţeaua fără fir nu vine în acest caz atât de la war driverii care patrulează în căutarea de reţele, cât mai degrabă de la hackerii şi vecinii din imediata apropiere a WLAN-ului . Datorită faptului că, în

Pagina 91 din 146

funcţie de fluxul de date, aceste atacuri pot fi destul de greoaie, hackerii trebuie să dea dovadă de foarte multă răbdare. în plus, timing-ul este important pentru atacatori, în fond ei trebuind să intercepteze traficul atunci când trec prin reţea date cu adevărat importante pentru ei. Actualmente, sniffing-ul este foarte popular în centre orăşeneşti , la universităţi şi alte şcoli superioare, unde există numeroase hotspot-uri. Aceasta deoarece, pentru a permite utilizatorilor accesul uşor şi comod în reţeaua WLAN, unii administratori renunţă la orice fel de codare, în ciuda riscurilor de securitate binecunoscute. Cei mai mulţi utilizatori ai hotspot-urilor nici măcar nu îşi închipuie că datele lor sunt transmise „plain text" atunci când îşi accesează căsuţa poştală sau interfaţa web. Acest lucru înseamnă că oricine are posibilitatea să intercepteze parolele altor useri cu ajutorul unui sniffer WLAN. Funcţionare : Spre deosebire de reţelele fizice, adică legate prin cablu, în care mai este încă nevoie să avem acces local sau cel puţin remote la un sistem pentru a putea captura date din reţeaua internă, atacatorul unui WLAN trebuie doar sâ se afle în apropierea reţelei care îl interesează. Pentru a începe sniffing-ul, placa de reţea este setată de atacator în aşa-numitul Monitor Mode. În acest mod de lucru este posibilă o „ascultare" pasivă a reţelei, aşadar fără a fi transmite vreun pachet de date, ca să nu mai vorbim de autentificarea în reţeaua atacată. Tocmai acest avantaj face sniffing-ul atât de popular . Dacă un pachet de date transmis prin Access Point sau orice alt sistem participant la reţea trece prin interfaţa de reţea a hacker-ului, acesta este interceptat automat de placa de reţea. În esenţă, acest mod nici măcar nu era prevăzut la ratificarea standardului IEEE 802.11, ci mai degrabă servea unor producători ca mod de test pentru de-bugging şi analiza erorilor. Cu toate acestea, unele companii au integrat funcţia în chipset-urile unor plăci de reţea WLAN, printre acestea Prism2 şi Hermes. Dacă dorim să aflăm cât de sigură este reţeaua din punct de vedere al posibilităţilor de sniffing, trebuie doar verificat dacă placa de reţea dispune de unul din chipset-urile menţionate mai sus . O bună alegere reprezintă plăcile marca Orinoco sau Cisco (seria Aironet) , dar pe zi ce trece tot mai mulţi producători implementează această funcţie în chipset-urile placilor de reţea . Pe lângă placa potrivită, atacatorul mai are nevoie şi de un utilitar adecvat, care să analizeze şi să afişeze traficul interceptat. Foarte popular este, de exemplu, sniffer-ul gratuit open source Ethereal, cu ajutorul căruia se pot analiza pachetele individuale ale diferitelor protocoale. Ethereal este un sniffer gratuit de tip open source folosit de majoritatea administratorilor de reţea cât şi de atacatori ce doresc să captureze informaţii importante despre reţeaua de interes. Ca majoritatea sneffer-elor comerciale suportă o listă lungă de protocoale şi poate realiza capturi de la orice tip de placă de reţea. Pagina 92 din 146

Ethereal poate rula pe majoritatea platformelor de UNIX aşa cum poate fi rulat şi sub Windows. Codul sursă este disponibil atât pentru Windows cât şi Unix , dar modificări pot fi uşor realizate sub Unix întrucât există o multitudine de compilatoare care pot modifica mediul de lucru. Pe măsură ce 802.11 a devenit tot mai popular şi mai bine acceptat de Linux posibilitatea de analiză hardware a fost tot mai acceptată. Iniţial doar plăcile de reţea bazate pe chipset Prism erau suportate ,dar tot mai mulţi producători folosesc plăci WLAN suportate de Ethereal şi implicit sub Unix. Aşadar, pentru un atacator toate tipurile de parole sunt interesante. Acestea sunt interceptate de obicei atunci când utilizatorul se loghează la contul de mail sau la alte sisteme, parolele fiind transmise „plain text" în WLAN. Sniffer-ul insinuat în WLAN le va putea intercepta, fără probleme. Suplimentar, Ethereal dispune de o funcţie de filtrare, cu ajutorul căreia sunt recepţionate pachete de date trimise de clienţi sau AP-uri individuale în reţea, programul respingând protocoalele considerate neinteresante. Această proprietate a sniffer-ului esre importantă pentru atacator , pentru o mai bună monitorizare a traficului de date. La sniffing-ul fluxului de date sunt capturate şi adresele MAC valide transferate necriptat. Există o serie de utilitare care facilitează rescrierea adresei MAC, pentru a păcăli Acces Point-ului cu o pretinsă adresă MAC validă pentru reţea. Cu o adresă MAC astfel fabricată se poate ocoli restricţia ACL-ului, protecţia oferită de această funcţie fiind anulată. WEP – protecţie cu puncte slabe Pentru a proteja integritatea datelor de transferat, Institute of Electrical and Electronic Engineers (IEEE) a dezvoltat o procedură specială de codare, pe numele său Wired Equivalent Privacy (WEP). Este vorba despre unul dintre cele mai importante mecanisme de securitate pentru WLAN şi, din 1998, a fost integrat tuturor standardelor wireless. Deja WEP a ajuns subiect de discuţie de ceva timp din cauza problemelor de securitate documentate, cu toate că utilizarea sa este destul de eficientă pentru stoparea potenţialelor atacuri în WLAN. Capitolul anterior a discutat probleme tot mai dese de securitate întâlnite în reţelele WLAN ce folosesc WEP ca modalitate de protecţie a datelor transferate prin reţea. Pentru a compromite codarea WEP atacatorul are totuşi nevoie de timp pentru a trece de acest mecanism de protecţie aşa ca folosirea lui este încă reomandată. Ca metodă de codare, WEP utilizează o aşa-numită criptare Stream-Chipers, care codează datele individuale bit cu bit. în funcţie de hardware-ul instalat, lungimea cheii (WEPKey) poate fi de 64 până la 256 biţi. Cheia se compune dintr-un vector de iniţializare (un număr aleator care se modifică la fiecare pachet de date şi are o lungime de 24 biţi) şi din restul cheii, Pagina 93 din 146

cu o lungime de la 40 la 233 biţi, care este stabilită de utilizator prin introducerea cheilor WEP. La procedura de criptare WEP, codarea se limitează la datele utile transmise în pachetul de date, ceea ce înseamnă că header-ul IP nu este protejat. La criptarea datelor utile se calculează şi o sumă de control ce se ataşează pachetului. Acest lucru ar trebui să împiedice manipularea datelor de către terţi în timpul transferului. Aceste date sunt, aşadar, criptate de AP în baza cheii comune WEP şi decodate de client (reciproca este valabilă). Findcă pentru codare şi decodare este utilizată aceeaşi cheie, este necesar ca atât emiţătorul, cât şi receptorul să cunoască această cheie . Baza este formată întotdeauna de cheia identică utilizată de Access Point şi de clienţi la comunicare. Dacă un client doreşte să acceseze reţeaua fără fir, AP-ul îi solicită să genereze un vector de iniţializare, care este apoi combinat cu cheia WEP şi codat printr-un algoritm. Breşele de securitate din WEP Pentru generarea acestei chei, WEP utilizează algoritmul RC4. Acesta calculează, din WEP şi vectorul de iniţializare, o cheie potrivită. Dar tocmai acest algoritm de codare este una din cele mai mari probleme ale WEP. RC4 a fost dezvoltat în 1984 de către Ronald L. Rivest, un angajat al RSA. Din Rivest's Cipher 4 a derivat acronimul RC4. După ce timp de şapte ani acesta a fost catalogat drept strict secret şi a fost protejat ca atare, codul său sursă a ajuns să fie aflat, printr-o breşă de securitate rămasă necunoscută până astăzi. Astfel, hackerii au putut analiza pe îndelete algoritmul, pentru a-i depista eventualele puncte slabe. într-adevăr, după scurt timp s-a descoperit o posibilitate de spargere a datelor codate cu RC4, prin acţiuni de inversare. Dat fiind faptul că RC4 codează unele cifre mai bine decât altele, un potenţial atacator are posibilitatea de a reconstrui cheia WEP după re-ceptionarea unui număr suficient de pachete de date. O slăbiciune majoră a codării WEP este transferul necodat al vectorului de iniţializare în header-ul 802.11. De aceea, majoritatea atacurilor se bazează pe analiza vectorului de iniţializare în relaţie cu RC4-Output Byte. Atacatorul doreşte, aşadar, să reconstruiască cheia comună. În acest sens, cu ajutorul utilitarelor gen WEPCrack este exploatată o problemă la generarea vectorului de iniţializare de doar 24 biţi (cu ajutorul unui pseudo-generator WEP PRNG). La o lungime de 24 biţi există un număr limitat de combinaţii care ar putea fi utilizate drept variante de codare pentru RC4. Pentru cele aproximativ 16 milioane de combinaţii posibile, teoretic şi vectorul de iniţializare utilizat se repetă după tot atâtea pachete de date transferate. Utilitare precum AirSnort necesită de regulă, conform declaraţiilor autorilor, doar cinci până la 10 milioane de pachete pentru a determina cheia corectă, în funcţie de activitatea Pagina 94 din 146

clienţilor, în acest caz vorbim despre câteva ore, maxim zile. Dacă traficul de reţea necesar lipseşte, utilitarul agresorului poate memora înregistrările deja efectuate şi îşi reia activitatea ulterior ca şi cum nu ar fi existat acea întrerupere. Astfel, un hacker din vecinătate poate evalua pachetele disponibile pe parcursul câtorva săptămâni sau luni. în cazul reţelelor mari (cu trafic intens), capturarea numărului necesar de pachete este posibilă şi într-un timp mult mai scurt. Dacă se atinge această limită, aflarea cheii WEP cu ajutorul programului potrivit devine o chestiune de minute. Un alt punct slab al WEP rezidă în lipsa key managementului. Deoarece cheile dintr-o reţea trebuie distribuite manual tuturor sistemelor participante, în practică ele nu sunt înlocuite decât foarte rar, dacă nu deloc. Acest mod de distribuire a cheilor are drept consecinţă punerea în pericol a întregii reţele wireless, chiar şi atunci când doar o singură cheie nu mai este secretă. Mai mult, dimensiunea pachetelor creşte la codarea WEP, micşorând însă lăţimea de bandă la transferul datelor în WLAN. Acest lucru nu este pozitiv în ceea ce priveşte popularitatea codării WEP în rândul utilizatorilor care doresc să transfere volume mari de date în timp cât mai scurt. Astfel, majoritatea utilizatorilor decid să renunţe la WEP în detrimentul securităţii. Există totuşi o soluţie de compromis, care implică utilizarea mai multor Acces Point-uri. Rămâne însă problema compatibilităţii AP-urilor între ele, dar problema costurilor suplimentare. În pofida tuturor acestor probleme de securitate, codarea WEP nu este inutilă, pentru că este totuşi mai bine să utilizăm o protecţie vulnerabilă decât să nu avem niciuna. Tot ceea ce trebuie să ştim foarte clar este că WEP nu oferă prea multă siguranţă. După publicarea problemelor WEP şi, implicit, a riscurilor de securitate pentru utilizator, o serie de producători renumiţi s-au decis să dezvolte alte metode alternative de protecţie, însă, pentru ca aceste măsuri să fie puse în practică, utilizatorul trebuie să apeleze la hardware de la acelaşi producător, fiind aşadar dependent de acesta atunci când doreşte un upgrade al reţelei. WPA - alternativa sigură După ce mecanismul WEP s-a dovedit relativ nesigur, multe întreprinderi au ezitat să utilizeze tehnologia WLAN. Altele s-au orientat după soluţii de încredere, ca alternativă pentru WEP. Astfel, mulţi producători au întrezărit şansa să ofere propriile standarde de securitate WLAN. Totuşi, abundenţa de protocoale diferite a devenit o problemă în termeni de interoperabilitate pentru aparatele asemănătoare de la producători diferiţi. De aceea, IEEE a scos pe piaţă, la începutul lui 2004, un nou standard de securitate şi criptare cu denumirea Wi-Fi Protected Access (WPA), menit să schimbe situaţia în mod radical şi să elimine problemele principale ale predecesorului WEP. Pagina 95 din 146

Spre deosebire de WEP, WPA protejează datele cu o cheie dinamică, mai bine spus cu patru chei diferite pentru fiecare client WLAN. Cheia este utilizată numai la conectarea clientului în reţea şi este înlocuită ulterior printr-o cheie de sesiune. Noul management al cheilor WPA este ideal pentru reţelele wireless mari, aşa cum sunt ele utilizate în companii. Cu ajutorul unui server de autentificare, datele de acces ale utilizatorilor sunt administrate centralizat. Pentru reţelele mici, private, metoda de autentificare Pre-Shared-Key permite tuturor utilizatorilor să se conecteze cu aceeaşi parolă. Şi în WPA au fost găsite câteva puncte slabe . Cu toate că unele se bazează doar pe teorii aplicabile în practică şi nu sunt atât de mari ca în cazul WEP, ele trebuie avute totuşi în vedere la managementul cheilor. Mai ales cheia de grup, care trebuie să fie cunoscută tuturor staţiilor, este călcâiul lui Ahile pentru WPA. Dacă aceasta intră pe mâna unui utilizator neautorizat, acesta este în măsură să intercepteze schimbul iniţial de chei între client şi Access Point. Un alt punct slab al WPA este utilizarea unor parole prea scurte sau foarte uşor de ghicit. Din această cauză, furtul parolelor poate fi încununat de succes. Siguranţa este, prin urmare, strâns legată de calitatea respectivei parole. Grupul tinyPEAP (www.tinypeap.com) a scris, pe baza acestei probleme de securitate, un program bazat pe unix, numit WPA Cracker. Hacker-ul nu mai trebuie decât să înregistreze, cu un sniffer precum Ethereal, pachete individuale în timpul etapei de autentificare WPA. Utilitarul încearcă apoi să reconstruiască offline cheile de autentificare WPA, cu ajutorul unui atac de tip Brute-Force sau dictionary.

Figure 4.3:WPA Cracker

Pagina 96 din 146

Încă o problemă a standardului de securitate WPA a apărut în algoritmul integrat Message-Integrity-Check, care teoretic ar trebui să servească drept protecţie împotriva posibililor atacatori. A fost dezvoltat iniţial pentru a preîntâmpina atacuri de tip Brute-Force, la care reţeaua este atacată cu utilitare speciale, prin încercarea constantă de conectare cu ajutorul diferitelor parole. La utilizarea algoritmului Message-Integrity-Check sunt dezactivate toate legăturile (inclusiv AP-ul) pentru o anumită perioadă de timp, dacă în decurs de câteva secunde către Access Point este transmisă mai mult de o cheie falsă. Acest lucru este însă critic, fiindcă un utilizator dotat cu un PDA sau cu un telefon mobil trebuie să transmită doar câteva date de acces false pentru a paraliza destul de mult timp sistemul. Un alt dezavantaj deloc de ignorat este timpul de calcul mai mare necesar mai puternicului mecanism de criptare. Mai ales în cazul sistemelor vechi pot interveni probleme de performanţă. 4.5

Guideline pentru realizarea unei reţele sigure

Breşele de securitate în WLAN sunt mai mult decât suficiente pentru cineva interesat de a accesa resursele unei reţele , dar tot la fel de adevărat este că există şi o multitudine de metode de a stopa atacurile ce au ca scop fie modificarea şi manipularea informaţiilor din reţea sau doar simpla accesare a reţelei. O combinare iscusită a măsurilor de securitate oferă o securitate crescută reţelelor WLAN fiind nevoie doar de combinarea funcţiilor de securitate oferite aşa cum sunt : decuplarea funcţiilor Broadcast şi DHCP , criptarea datelor cu WEP , activarea WPA sau şi mai bine a standardului superior WPA2 ( corespunzător IEEE 802.11i ). Pot fi întreprinse dealtfel şi măsuri ce implică autentificarea clienţilor individuali cu ajutorul Acces Control List ( ACL ) prin intermediul adreselor MAC ale clienţilor. Fiecare dintre aceste măsuri de securitate are propriile puncte slabe , pentru a căror exploatare există de regulă numeroase utilitare gratuite . Totuşi volumul de lucru pe care o persoană trebuie să îl depună pentru depăsirea acestor obstacole va descuraja numeroase tentative de atac. Optimizarea criptării Din cauza publicării relativ tardive a breşelor de securitate din WEP, soluţia pentru acestea a venit mult prea târziu, deoarece standardul de criptare este deja utilizat în milioane de aparate compatibile 802.11. Cu toate acestea, nu este foarte greu de eficientizat această modalitate de codare. La achiziţia unui aparat wireless trebuie luat în calcul în primul rând ca lungimea maximă a cheii de criptare să fie de 128 sau chiar de 256 biţi. De asemenea aceasta trebuie să fie suportată deopotrivă de plăcile de reţea şi de Access Point. Pagina 97 din 146

Cheia de acces trebuie schimbată la intervale regulate. Unele aparate, ca de exemplu seria Aironet de la Cisco, suportă deja funcţia de înnoire automată a cheilor. Dacă AP-ul este compatibil WPA, această funcţie trebuie activată în locul criptării WEP. Pentru aparatele care nu cunosc decât mecanismul WEP, anumiţi producători oferă update-uri de firmware care instalează suportul WPA. În plus, este de studiat dacă am achiziţionat un echipament hardware RSN. RSN este acronimul pentru arhitectura de securitate Robust Security Net-work, introdusă cu standardul 802.1li şi care îmbunătăţeşte substanţial securitatea în WLAN. „I"-ul de după 802.11 este deosebit de important. Până la anteriorul 802.1 lh accentul a fost pus cu precădere pe standardizare, interoperabilitate şi viteză de transfer. începând cu 802.11i, în prim plan a fost adus un concept global de securitate. Au fost, aşadar, introduse protocoale de codare noi precum CCMP, în care sunt utilizate procedurile de criptare AES, de exemplu pentru WPA2. Cea mai sigură este, prin urmare, utilizarea WPA2, AES generând chei cu lungimi variabile de 128, 192 sau 256 biţi. O altă modalitate de criptare implică instalarea unui VPN (Virtual Private Network). în special în firmele care transferă in-house date foarte importante procedurile de codare WEP şi WPA sunt insuficiente şi chiar inacceptabile, iar aceasta din cauza deja cunoscutelor probleme de securitate ale acestora. Datorită managementului simplificat al cheilor VPN, efortul de administrare se menţine în limite rezonabile chiar şi în cazul existenţei unui număr mare de clienţi. Un maxim de securitate poate fi atins aşadar cu codarea standard oferită de VPN în combinaţie cu un certificat de securitate. Monitorizarea reţelei wireless Pentru a descoperi un eventual acces neautorizat în WLAN, anumite Access Point-uri oferă o funcţie de creare a unor fişiere jurnal (log files). Aici sunt păstrate informaţii despre ce clienţi s-au conectat la reţeaua fără fir dar astfel pot fi descoperite şi accesările nepermise. Faptul este însă posibil numai dacă atacul a avut deja loc, iar hacker-ul a pătruns adânc în reţea şi/sau în sistemele clienţilor acesteia. Programe precum Intrusion Detection System (IDS) AirSnare, bazat pe Windows, sau Airopeek de la WildPackets oferă posibilitatea analizării minuţioase a activităţii într-un WLAN, trăgând semnalul de alarmă înaintea producerii pagubelor permanente. Este vorba, de fapt, despre utilitare speciale de tip sniffer care analizează precis traficul de reţea în căutarea activităţilor şi a semnăturilor suspicioase.

Pagina 98 din 146

Figure 4.4 AIRSNARE În acest fel putem fi informaţi în timp real cu privire la inserarea AP-urilor neautorizate în WLAN şi aflăm dacă nu cumva s-au conectat clienţi străini reţelei sau cineva interceptează datele transferate. De pildă, dacă utilitarul AirSnare identifică o staţie a cărei adresă MAC nu îi este cunoscută, programul monitorizează traficul cauzat de aceasta şi trimite administratorului o avertizare prin e-mail, astfel încât acesta să reacţioneze imediat la pericolul apărut. Testarea reţelei proprii După ce reţeaua este configurată conform cu elementele de securitate stabilite iniţial cea mai bună metodă de a testa reţeaua e de a încerca spargerea acesteia pentru a putea exclude toate greşelile de proiecctarea care ar fi putut apare. Funcţionarea automată şi în parametrii doriţi ai mecanismelor de securitate nu înseamnă neapărat că toţi clienţii au contact cu staţia de bază. Ca ajutorul unor utilitare ca Network Stumbler , Kismet, Aerosol sau Wep Crack pot fi testate elemetele de securitate ale reţelei. Pentru a testa codarea este de preferat folosirea Ethereal care ajută la interceptarea datelor care tocmai trec prin reţea. Pentru o bună analiză trebuie să aibă loc conectarea şi cu un alt utilizator decât administrator iar în fişierul jurnal al snifferul-ui nu ar trebui să apară nici un fel de referinţă plain text. Un alt mod de atacare a reţelei este de a încerca inserarea unui nou utilizator în reţea , utilizator care nu deţine nici o adresă MAC certificată în ACL şi nici o cheie validă. Cu ajutorul unui utilitar de genul SMAC un atacator poate modifica după bunul plac adresa MAC a sistemului său singura problemă fiind de a intercepta datele din reţea pentru a dispune de o adresă MAC validă . Deşi într-o primă fază pare puţin probabil , dar şi pentru modificarea

Pagina 99 din 146

adreselor MAC există o soluţie. .Mai ales micile reţele atribuie clienţilor adrese IP standard 192.168.0.1 până la 192.168.2.255, deoarece şi echipamentele de reţea ale majorităţii producătorilor sunt livrate cu adrese implicite din acest domeniu. Utilizatorii păstrează aceste adrese şi de aici încep problemele: cu cât în ACL-ul AP-ului sunt înregistrate mai multe adrese care nu sunt conectate la momentul atacului, cu atât şansele atacatorului de a găsi o adresă MAC valabilă sunt mai mari. Astfel, dacă un client nu se află un timp mai îndelungat în reţea, adresa MAC a acestuia este ştearsă şi, la nevoie, reînregistrată. Pentru a testa codarea avem nevoie de un utilitar de tipul AirSnort sau Wep-Crack. Aceste programe pot filtra şi decripta cheile WEP din traficul de reţea curent, în acest scop, aplicaţiile menţionate nu au nevoie decât de timp pentru protocolarea unui număr suficient de pachete codate. Aceste programe funcţionează exclusiv cu plăci de reţea care dispun de un chipset Prism2 sau de un driver modificat şi care pot trece în modul de monitorizare (de exemplu Orinoco sau Cisco Aironet). Majoritatea uneltelor de spart parole WEP sunt folosite numai sub Linux, însă şi utilizatorii de Windows au posibilitatea de a decoda WEP, cu ajutorul lui AirSnort. Pentru folosirea lui AirSnort sub Windows trebuie instalat suplimentar GLIB şi GTK+ 1.3 (la fel şi sub Linux). Dacă însă placa lucrează deja cu acest SO, probabilitatea compatibilităţii sale totale şi nemijlocite cu AirSnort este foarte mare. Conform descrierii, programul are nevoie de cinci până la 10 milioane de pachete codate cu aceeaşi cheie pentru a filtra suficiente informaţii necesare decodării unui algoritm slab. În practică sunt necesare de două ori mai multe, însă, spre deosebire de un atacator adevărat, pentru testarea reţelei proprii nu trebuie decât să aşteptăm până când acestea sunt generate prin intermediul traficului uzual în reţea. Colectarea informaţiilor ar putea dura mai multe zile. Procesuil constă doar în a copia pur şi simplu cantităţi mari de date de la un client la celălalt şi AirSnort să lucreze. După câteva ore ne putem da seama cât de sigură este cheia folosită în reţea. Dacă rezultatul nu este mulţumitor, strategia de key management trebuie regândită , în mod normal fiind necesară utilizarea a cel puţin patru chei pe caree să le modificăm măcar o dată pe lună. în acest fel musafirii nepoftiţi având mai mult de lucru: chiar dacă reuşesc să spargă o cheie, trebuie să o ia de la capăt cu următoarea. Pentru decodarea WPA avem nevoie de mai puţine pachete, însă la fel de multă răbdare ca şi un atacator, pentru că în acest caz este vorba despre un atac offiine. Un sniffer precum Ethereal înregistrează doar faza de autentificare WPA, şi abia ulterior este iniţializat un atac de tip Brute-Force cu un cracker WPA asupra WLAN-ului. În funcţie de lungimea parolei (Pairwise Maşter Key) şi de performanţele procesorului acest lucru poate dura chiar şi câteva Pagina 100 din 146

săptămâni. Şi aici modificarea parolei la intervale regulate reprezintă o măsură de securitate înţeleaptă. În continuarea vom încerca să realizăm un ghid practic şi la îndemâna oricărui utilizator în momentul în care doreşte să păstreze reţeaua WLAN cât mai ferită de atacurile inerente ce pot apărea asupra reţelei. Pornirea în siguranţă a router-ului WLAN Principala problemă de securitate a reţelelor wireless constă în fapt în instalarea lor foarte uşoară. Router-ul WLAN odată pornit , aceste emite imediat semnale de identificare precizănd un nume şi cererea de clienţi pe care să îi conecteze. Placa de reţea WLAN instalată în notebook trebuie doar să recepţioneze acest semnal şi legătura este activă laptopul primind de la router chiar şi adresa IP necesară. De aceea la prima configurare router-ul trebuie configurat la reţea prin cablul de reţea. Acest lucru este în primul rând mai comod , dar şi nu mai pot fi transferate date confidenţiale prin reţeaua fără fir. Pornirea router-ului WLAN se face înaintea calculatorului , router-ul fiind şi sever DHCP pentru reţea , iar pornirea în această sucesiune face posibilă obţinerea automat a unei adrese IP. Parola de administrare implicită trebuie dezactivată deoarece liste cu astfel de parole standard pot fi uşor de găsit. Important de reţinut este că o parolă de acces protejează doar router-ul nu şi conexiunea radio. Mecanismele de criptare a reţelei tot în acest moment sunt activate , codarea WPA cu Preshared Key (WPAPKS) fiind cea implicită oferită de majoritatea dispozitivelor wireless disponibile pe piaţă. Deasemeni parola de acces trebuie modificată în aşa fel încât să fie sigură lucru ce presupune folosirea deopotrivă de litere , cifre şi caractere speciale. Utilizarea codării WEP Cel mai uzual mod de a asigura o reţea presupune criptarea datelor ce urmează a fi transferate . Terţii nu vor putea intercepta nimic din traficul de reţea şi nici nu se pot conecta fără parolă. . Răspânditul standard WEP (Wired Equivalent Privacy), care este utilizat în majoritatea reţelelor wireless, are însă câteva puncte slabe. Un pachet de date transferat prin WEP se compune dintr-un aşa-numit vector de iniţializare (VI) şi din datele criptate. Acestea din urmă conţin la rândul lor o sumă de control, pentru a putea descoperi eventualele manipulări. Principala slăbiciune a codării WEP este vectorul de iniţializare, el având întotdeauna 24 de biţi. Din acesta şi din cheia WEP un algoritm poate calcula codul criptat, care este transmis prin reţeaua radio. Din VI-ul transmis în original şi cheia WEP, receptorul va calcula datele originale. Problema: Standardul WEP recomandă ca fiecare pachet să aibă un alt vector de iniţializare. Din păcate, acest lucru nu este respectat de toţi producătorii şi nici nu prea există Pagina 101 din 146

referinţe despre cum se generează un vector de iniţializare. De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare. Consecinţa este că, mai devreme sau mai târziu, VIul ajunge să se repete. Un studiu realizat de Universitatea Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de pachete de date transmise în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI identic, acesta poate descoperi cheia WEP. Problema cea mai importantă se pare că o constituie faptul că pentru un atac asupra unei reţele WLAN un rău –voitor nu are nevoie de software complicat ,programe care pot sparge WEP sunt disponibile de exemplu la adrese ca wepcrack.sourceforge.net sau airsnort.shmoo.com . Totuşi aşa cum am precizat mai devreme un element de securtate desuet aşa cum este WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu alte metode de întărire a securităţii reţelei. 3. Minimizarea riscurilor criptării WEP Cel mai simplu este pentru atacatori atunci când pentru criptare sunt utilizate doar chei de 40 de biţi (64 biţi minus 24 biţi VI). Acestea sunt atât de scurte, încât combinaţiile pot fi încercate şi sparte în cel mai scurt timp posibil. Mai mult, cheile sunt schimbate foarte rar sau deloc, ceea ce înseamnă că atacatorii au adesea şanse de izbândă. Ulterior, reţeaua fără fir rămâne deschisă pentru mult timp. În cazul în care este folosită codarea WEP, este indicată folosirea măcar a unei chei lungi, de 104 biţi (128 biţi minus 24 biţi VI). 4.Utilizarea WPA în loc de WEP Pentru siguranţă eficientă o reţea WLAN ar trebui să utilizeze noul standard de securitate WPA (Wi-fi Protected Access), care foloseşte protocolul TKIP (Temporal Key Integrity Protocol). Îmbunătăţrea adusă de acest nou management al cheilor este că la începutul transferului, ambele staţii radio stabilesc o cheie individuală de start. Pentru aceasta, parola trebuie transmisă o singură dată. Pornind de la cheia iniţială, fiecare pachet de date transferat conţine o cheie individuală pentru codare. În cazul acestei proceduri este aproape imposibilă obţinerea codului original. Dezavantajul: WPA necesită mai mult timp de calcul şi produce un trafic mai mare, ceea ce înseamnă că nu putem transmite la fel de rapid ca la codarea WEP. 5.Hardware mai sigur În cazul router-elor WLAN, drumul către WPA trece printr-un update de firmware. Adaptoarele WLAN pentru PC au nevoie de drivere noi, compatibile WPA (disponibile adesea pe pagina producătorului). Şi Windows XP are nevoie de o actualizare pentru a se înţelege cu WPA. O primă cerinţă este existenţa a cel puţin Service Pack 1 în sistem. Suplimentar, trebuie Pagina 102 din 146

instalat patch-ul „Windows XP-Support patch for Wireless Protected Access", ce poate fi găsit la adresa microsoft.com/downloads/. După instalarea patch-ului, în proprietăţile reţelei, la Wireless Networks vom găsi SSID-ul reţelei. Clic pe Configure şi ajungeţi în următorul meniu vom selecta, la Network Authentication, înregistrarea WPA-PSK. Este posibil ca acolo să fie trecută o altă denumire, dar în orice caz aceasta trebuie să fie ceva de genul WPA şi Pre-Shared Key. 6. Ascunderea SSID-ului Dacă router-ul dispune de o opţiune pentru ascunderea identităţii reţelei (SSID),această opţiune trebuie activată. De asemenea, trebuie modificat numele reţelei, deoarece mai toate folosesc denumirea implicită. În locul acesteia este de preferat o descriere care să nu însemne nimic re-cognoscibil, în nici un caz numele proprii. Dacă SSID-ul este ascuns, hacker-ul trebuie să introducă numele reţelei manual, ca şi în cazul parolelor. Acest truc nu vă oferă însă siguranţă absolută, fiindcă utilitare precum Network Stumbler descoperă şi reţele ascunse. Filtrarea adreselor MAC Ca o măsură de siguranţă suplimentară împotriva intruşilor, în reţea ar trebui să aibă acces doar anumite adrese MAC. Adresele MAC sunt identificatori (gen serie de buletin) cu o lungime de 48 de biţi pentru adaptoarele de reţea. Setările din router-ul WLAN pot fi găsite într-un meniu numit de obicei MAC-Filter. Aici, sunt introduse într-o listă, adresele MAC ale clienţilor. Unele routere permit chiar preluarea în listă a clienţilor autentificaţi. În cazul în care acest lucru nu este posibil, obţineţi adresa MAC a clienţilor Windows în linie de comandă (Start-Run-cmd), prin introducerea comenzii ipconfig/all. Din păcate, adresele MAC pot fi falsificate. Chiar dacă din cauză că ca o adresă MAC poate fi uşor falsificată se recomandă evitarea folosirii acestei metode de securizare a reţelei, totuşi , ca şi în cazul criptării cu WEP existenţa acestei măsuri de securitate reprezintă un obstacol în plus pentru un eventual atacator al reţelei. Dezactivarea DHCP Şi dezactivarea serverului DHCP din router-ul wireless contribuie la un nivel mai mare de securitate, el fiind acela care atribuie automat o adresă IP fiecărui nou venit în reţea. Este indicată folosirea mai degrabă de adrese IP statice, pe care le introducem manual pentru fiecare client. Un categoric plus de siguranţă vom obţine dacă în locul adreselor IP comune (192.168.0.1) optăm pentru cele mai puţin uzuale, gen 192. 168.167.1. 3rd party security device ----firewall-uri şi dispozitive de monitorizare

Pagina 103 din 146

Dispozitivele de acest tip sunt cele care au fost adăugate ulterior la configuraţia obişnuită a unei reţele wireless. Reprezintă un dispozitiv ce oferă securitate suplimentară şi sporită clienţilor şi datelor vehiculate în cadrul unei reţele wireless. Pot fi folosite astfel servere adiţionale de atutentificare , analizatoare de protocoale sau proxy servere. Companiile sunt sfătuite să adopte un concept holistic de securitate , compatibil cu măsurile de siguranţă pentru reţelele pe cablu (VPN ,Firewall, sisteme Intrusion Detection) . Este de asemenea important ca AP-urile să nu fie legate direct la reţeaua locală , ci să existe un firewall pe post de bridge – eventual sub forma unui gatewaz WLAN . Fiecare transfer de date în reţeaua radio trebuie codat cât de puternic posibil . Se recomandă o autentificare solidă a utilizatorilor , de pildă via Token cards sau certificate digitale . Cea mai mare preocupare, în ceea ce priveşte utilizarea tehnologiei fără fir în firme, este securitatea. Pentru a accesa şi "sparge" reţeaua fără fir, atacatorii nu trebuie să se afle în interiorul clădirilor. Din acest motiv, mulţi manageri responsabili cu securitatea îşi iau, încă din faza de proiectare, precauţii în plus în jurul reţelelor LAN fără fir. O parte dintre consideraţiile adiţionale de securitate includ: Reţelele fără fir ce se află(temporar) în afara firewall-ului, fie în DMZ, fie într-o altă subreţea externă dedicată să treacă sub controlul firewall-ului. Firewall-ul asigură inspectarea tuturor sesiunilor fără fir din cadrul reţelei spre deosebire de implementări ale unor politici utilizator care se bazează doar pe filtrarea pachetelor. Senzorii de detectare a intruziunilor şi de prevenire a acestora, IDS şi IPS (Intrusion Detection Sensors şi Intrusion Prevention Sensors), sunt folosiţi între reţeaua fără fir şi cea cablată, pentru a monitoriza activitatea. Monitorizarea regulată a locaţiei cu detectoare(sniffere) fără fir pentru detectarea APurilor străine - puncte de acces neautorizate pe care angajaţii le-au instalat în cadrul reţelei interne. Politicilor de securitate ale companiei le sunt adăugate noi politici de utilizare fără fir şi ghiduri de acceptare. Combinarea măsurilor de securitate Dacă folosiţi numai codarea WEP, ar trebui să activată în egală măsură filtrarea MAC şi să ascunderea SSID-ul reţelei. În acest mod reţeaua este considerabil mai rezistentă în faţa atacurilor. Totuşi, o bună soluţie o constituie utilizarea în loc de WEP, codarea WPA, desigur, în combinaţie cu alte metode. Pagina 104 din 146

Concluzii: Din punct de vedere al securităţii, la proiectarea unei reţele fără fir trebuie luate în considerare pe lângă elemente de securitate de bază care sunt furnizate implicit de producător şi metode suplimentare de criptare şi resticţionare a accesului neautorizat la datele vehiculate în reţea. În funcţie de mărimea reţelei , de nivelul de securitate dorit sau de importanţa datelor vehiculate în reţea metodele de securizare ale unei reţele pot fi diferite ,dar o soluţie de securitate înaltă ca de exemplu o soluţie ce foloseşte un server RADIUS pentru autentificarea fiecărui utilizator şi WPA pentru criptarea datelor determină şi un grad rificat de complexitate a reţelei şi implicit un efort suplimentar pentru administrarea reţelei. De aceea la realizarea unei reţele fără fir capitolul securitate suscită în continuare discuţii pentru cea mai bună, dar şi cea mai eficientă metodă de securizare..

5. Utilitare pentru testarea securităţii reţelelor wireless Nume Ethereal

Adresă www.ethereal.com

Funcţie Utilitar pentru analiza protocoalelor de reţea , capabil să salveze şi să evalueze datele unei reţele în timpul

IPDog

www.thbi.de/us

funcţionării. Program ce arată utilizatorului toate conexiunile care intră şi ies precum şi accesul la porturi. Pe lângă adresele sursă respectiv ţintă , sunt indicate şi numărul accesărilor şi al porturilor , mărimea pachetului şi

Pagina 105 din 146

protocolului utilizat. La listarea porturilor programul afişează suplimentar numele şi descrierile acestora , în cazul în care sunt NetSetMan

www.itecnix.com

cunoscute NetSetMan este un program de management al reţelei şi se adresează utilizatorilor de PC-uri

PCTEL

www.pctel.com

mobile. Utilitar pentru administrarea acceselor

AiroPeek

www.wildpackets.com

la reţelele Wi-fi Software pentru reţele 802.11b, compatibil cu protocoalele TCP/IP AppleTalk, NetBEUI şi IPX. Programul măsoară performanţa şi puterea semnalului şi oferă informaţii despre canalele şi breşele de

CESniffer

www.epiphan.com

securitate . Aplicaţie de analiză pentru Pocket Pc care furnizează informaţii despre starea şi

Network Stumbler

www.netstumbler.com

activitatea reţelei. Probabil cel mai cunoscut instrument pentru găsirea reţelelor wireless care determină

Pagina 106 din 146

SSID-ul , opţiunile WEP , canalele, puterea semnalului etc. În combinaţie cu GPS-ul poate identifica poziţia exactă a unuzi Acces StumbVerter

www.sonar-security.com

Point. Program de oferă posibilitate de a importa fişiere Network Stumbler în aplicaţia MapPoint de la Microsoft. Pot fi adăugate adrese MAC

AirTraf

http://airtraf.sourceforge.net/index.php

şi diverse notiţe AirTraf poate intercepta şi decoda pachete de date . În plus softul ajută la identificare Acces Point-urilo . Informaţiile recepţionate sunt stocate într-o bază de date care poate fi acesată cu ajutorul

Wireless AP-Utilities

ap-utils.polesye.net

anumitor aplicaţii. Utilitare pentru managementul acces point-urilor sub UNIX , Linux , FreeBSD şi AIX prin protocolul

FakeAP

www.blackalchemy.to/project/fakeap

SNMP. Program deosebit pentru mărirea siguranţei într-un

Pagina 107 din 146

WLAN . Prin FakeAp sunt simulate 53000 de acces point-uri .Astfel aplicaţiilor gen Network Stumbler le ia pur şi simplu prea mult timp să încerce toate Freeswan

www.freeswan.com

AP-urile disponibile. Ipsec sub Linux – probabil cea mai sigură modalitate de transfer a

Kismet

www.kismetwireless.net

datelo într-un WLAN. Sniffer care interceptează traficul reţelelor wireless

Mognet

www.node99.org/projects/mognet

802.11b. Aplicaţie open source dce sniffing şi analiză wireless , programată în Java .Iniţial concepută pentru Compaq iPAQ aceasta rulează şi pe

SSIDsniff

www.bastard.net/~kos/wifi

sistemele desktop. Mic utilitar pentru identificarea de Acces Point-uri şi pentru salvarea traficului de reţea cu script de configurare .Suportă plăcile de reţea Cisco Aironet şi diverse

WellenReiter

new.remote-exploit.org

modele Prism2 Program Perl care simplifică examinarea reţelelor 802.11b.

Pagina 108 din 146

Scanerul poate găsi Acces Point-uri , reţele şi sisteme ad-hoc. Reţelele broadcasting precum şi cele nonbroadcasting pot fi WEPCrack

wpcrack.sourceforge.net

detectate automat. Scripturi Perl pentru interceptarea şi spargerea cheilor WEP recomandate pentru testarea propriilor setări

Wireless

rsearchweb.watson.ibm.com/gsal/wsa

SecurityAuditor

de securitate. Utilitar din laboratorul IBM care rulează sub sistemul de operare Linux pentru iPAQ . Programl caută automat configurările slabe de securitate pentru a anunţa administratorii de reţea cu privire la

eventualele probleme . Table 5Utilitare de analiză şi diagnosticare Ca şi pentru reţele pe cablu şi în cazul WLAN-urilo există programe de diagnosticare care îndeplinesc funcţii de identificare a surselor de eroare , de indentificare a breşelor de securitate sau realizează măsurători pentru verificarea zonelor de alimentare.. Pe lângă instrumentele comerciale de diagnosticare şi care de obicei au un preţ destul de prohibitiv, există şi o serie de instrumente freeware şi shareware cu uimitor de multe funcţii . De altfel aceste utilitare aşa cum pentru un administrator al unei reţele WLAN poate reprezenta o bună metodă de administrare pentru un rău voitor acestea pot reprezenta în aceeaşi măsură unelte mai mult decât necesare pentru atacarea unei reţele WLAN. În următoarele rânduri vom realiza proiectul unei reţele WLAN ce va include totalitatea măsurilor de securitate pe care le poate suporta o reţea fără fir iar pentru a testa securitatea

Pagina 109 din 146

acestei reţele putem folosi utilitare de administrare şi monitorizare a a traficului într-o reţea fără fir ale căror caracteristici le vom detalia în rândurile ce urmează. Cu toate că banalele sniffere folosite doar pentru a intercepta traficul au fost iniţial concepute doar pentru a administrarea reţelei , corectarea erorilor sau operaţiuni de depanare momentan aceste utilitare reprezintă dispozitive tot mai frecvent folosite pentru accesarea sau modificarea datelor vehiculate în cadrul reţelei. Vom prezenta pe scurt şi în funcţie de utilizarea lor predilectă cele mai frecvent utilizate instrmente de analiză şi accesare a unei reţele wireless realizând în acelaşi timp şi clasificare a acestora . Administrarea reţelelor WLAN Ethereal Ethereal este program ce analizează pachetele de date transmise în cadrul unei reţele. Un analizator de astfel de pachete va încerca să ofere cât mai multe informaţii şi cât se poate de detaliate. Ethereal este unul dintre cele mai bune pachete de analiză de pachete de tip open source ce este disponibil pe piaţă. Acest utilitar poate fi folosit de administratori de reţea pentru rezolvarea problemelor ce pot apărea în cadrul unei reţele , de către programatori de securitate reprezentând o metodă eficientă de examinare a problemelor de securitate . Deasemeni poate fi folosit cu scopul de a studia diferitele protocoale de comunicaţie din cadrul unei reţea. Caractersitici  disponibil atât pentru UNIX cât şi Windows.  captură de pachete de date .  afişează pachetele de date cât mai detaliat cu informaţii despre fiecare protocol .  Import and Export pachete din sau spre alte programe de captură de date .  filtrează pachete după mai multe criterii.  realizează statistici pe baza datelor capturate. IDS-AirSnare AirSnare este un program de tipul Intrusion Detection System care monitorizează o reţea wireless şi detectează utilizatorii conectaţi fraudulos. Principiul de funcţionare se bazează pe detectarea şi clasificarea adreselor MAC ale plăcilor existente în reţea. Pentru cele considerate nelegitime, utilizatorul are posibilitatea detectării adreselor IP şi a porturilor folosite. AirSnare poate fi configurat în aşa fel încât să trimită un mail de notificare administratorului unei reţele prin care să îl înştiinţeze cu referire la accesarea reţelei de către un utilizator cu o adresă MAC necunoscută.

Pagina 110 din 146

Figura5.1 :AirSnare Airopeek Reprezintă un pachet de analiză complet pentru reţelele WLAN de tip 802.11. Scopul acestuia este de a identfica şi rezolva problemele apărute în cadrul unei reţele WLAN. Odată apărută o problemă de securitate , aceasta este izolată decodând în întregime protocoalele 802.11 sau analizând performanţele unei reţele identificând puterea semnalului sau ratele de transfer disponibile pe canalele din cadrul reţelei monitorizate. Pe lângă soluţia de analiză a pachetelor de date transferate în cadrul reţelei AiroPeek oferă ca şi funcţii suplimentare : Acces uşor la resusele reţelei wireless prin intermediul unor imagine real-time asupra datelor vehiculate în interiorul reţelei. Oferă un tunning al reţelei prin monitorizarea puterii semnalului sau a nivelului zgomotului din cadrul canalelor de comunicaţie Rapoarte , grafice şi statistici asupra reţelei şi a traficului din reţea. Reacţionează imediat la probleme apărute în cadru reţelei folosind alarme şi trigere predefinite specifice unei reţele wireless. Realizează analize asupra reţelei folosind un sistem GPS, prin măsurarea intensităţii semnalului sau a nivelului zgomotului din anumite canale ale reţelei . Caracteristici : WLAN View---determină rapid SSID-ul unei reţele , acces point-urile şi structura ierarhică a conexiunii la fel ca şi metodele de criptare şi de autentificare folosite. Pagina 111 din 146

Template pentru realizarea unui format de securitate- fitre şi alarme folosite pentru a securiza o reţea WLAN şi totodată de a identifica breşele de securitate din cadrul reţelei. Analize asupra puterii semnalului- folosite de obicei pentru a ajuta la implementarea unei reţele WLAN , pentru a determina locul şi modul de poziţionare al acces point-urilor. Scanarea canalelor- caută şi interceptează trafic 802.11 după anumiţi parmetrii definiţi de utilizator. Decodificarea protocoalelor WLAN- poate decodifica majoritatea protocoalelor 802.11 a/b/g sau alte protocoale de nivel mai înalt. Decriptarea WEP şi WPA- detectează încercări de accesare a reţelei prin decriptarea WEP sau WPA în timp real. Tabele de nume automate- atribuie automat nume tuturor nodurilor din reţea pentru o mai bună identificare a acestora şi deasemeni a sursei şi destinaţiei traficului din reţea. Suport GPS – include date oferite separate de un receiver GPS. Fiecare pachet conţine alături o coloană opţională ce conţine informaţii adiţionale cum ar fi latitudinea , altitudinea sau longitudinea la care se află un dispozitiv din retea.

Interceptare şi monitorizare trafic Network Stumbler NetStumbler poate fi utilizat pentru măsurarea ariei de acoperire a unei reţele WLAN şi analizează modul în care calitatea conexiunii se diminuează cu fiecare metru distanţă de la sursă. Acesta arată de asemenea întreruperile de conexiune şi le poate localiza prin utilizarea opţională a sistemului GPS. Este folosit pentru detectarea de reţele WLAN ce folosesc standarde 802.11a , b sau g şi poate rula pe platforme Windows începând cu Microsoft Windows 98 . O variantă mai uşoar este disponibilă pentru dispozitive de tip Pocket PC. Net Stumbler este folosit de obicei pentru : Wardriving Verificarea configuratiei unei reţele Găsirea locaţiilor dintr-o reţea cu semnal scăzut Detectarea interferenţelor apărute în cadrul unui WLAN Detectarea aceselor neautorizate la reţea Aerosol

Pagina 112 din 146

Aerosol este un utilitar cu ajutorul căruia pot fi descoperite reţele wirelees şi care rulează sub Windows. Suportă chipset-uri PRISM2 , ATMEL sau Orinoco. Este un utilitar scris în limbaj C fiind extrem de uşor de folosit. Pentru a rula Aerosol are nevoie de un driver de protocol cel mai des fiind folosit WinPCap . Kismet Kismet este un utilitar ce joacă rol de detector , sniffer şi sistem IDS (Intrusion Detectio System) pentru o reţea wireless. Kismet poate lucra cu orice tip de placă de reţea ce poate funcţiona în modul Monitor Mode cunoscut şi sub numele de Promiscuos Mode putând să intercepteze trafic de tip 802.11b , 802.11a, 802.11g. Kismet identifică o reţea prin colectarea pasivă de pachete detectând numele standard ale reţelelor, reţelele ascunse şi pătrunzând în cadrul reţelelor ce au sistemul de transmitere a semnalelor de tip beacon dezactivat folosind captura pasivă de trafic. Kismet [14] se comportă foarte bine ca analizator de reîea wireless. Acesta poate folosi aproape orice card WLAN. Acest lucru nu poate fi luat ca atare pe Linux sau Windows. Kismet poate monitoriza reţele 802.11b şi 802.11a deşi este restricţionat la carduri cu chipset-ul Ar5k pentru cel din urmă. Instrumentul localizează, sortează şi grupează reţelele wireless, foloseşte mai multe canale simultan (channel hopping) şi poate descoperi domeniile adreselor IP ale reţelelor monitorizate chiar dacă nu folosesc DHCP. Acesta salvează datele interceptate într-un format care permite procesarea de către programe cum ar fi Ethereal, Tcpdump, Snort sau Airsnort. Caracteristici: Compatibil cu rezultate obţinute de alte programe specializate în monitorizarea traficului din cadrul unei reţea wireless aşa cum este Ethereal. Detectează adresele IP ale dispozitivelor ce transmit datele vehiculate în reţea. Deblochează reţele cu SSID ascuns. Poate realiza grafice pe baza structurii unei reţele. Arhitectură client/server care permite mai multor clienţi să vizualizeze simultan serverul Kismet. Detectează configuraţiile default a unei liste de acces point-uri disponibile în baza de date proprie. Poate decodifica pachete criptate cu ajutorul WEP . Compatibilitate cu alte pachete de tip layer 3 IDS aşa cum este AirSnort. Pagina 113 din 146

Multiplexarea mai multor capturi de pachete de la mai multe surse pe un singur server Kismet. Rezultatele pot fi afişate în format XML . Aplicaţiile obişnuite pentru care este folosit Kismet sunt : Wardriving- detecţia mobilă de reţele wireless , modul lor de amplasare şi de folosire. Examinarea aplicaţiilor – monitorizarea şi afişarea sunb formă grafică a puterii semnalului şi distrubuţiei acestuia. Detecţia AP “rogue”- snuferre mobile sau staţionare pentru a întări politica de acces la reţea a unor puncte de acces. “Spargerea” reţelelor WLAN WepCrack WepCrack este un utilitar tip open source folosit pentru a aparge cheile secrete de tip WEP din cadrul unei reţele 802.11. Acest utilitar se bazează pe probleme de securitate pe care le prezintă algoritmul RC4 folosit de WEP întrucât pachetele de date criptate cu ajutorul WEP folosesc şi un vector de iniţializare VI care se repetă după un anumit număr de pachete transmise în reţea şi care este transmis necodat în header-ul 802.11. Spargerea RC4 se realizează prin operaţuini de inversare după capturarea unui număr suficient de pachete iar tehnologiile existente astăzi au demonstrat că spargerea unei chei WEP se măsoară în câteva minute. Caracteristici: Foloseşte capturi de pachete realizate cu utilitare gen Ethereal căutând slăbiciuni în traficul WEP. Bază de date MAC-urile şi SSID-uril mai multor AP-uri Determinarea dinamică dacă traficul tranzacţionat în reţea este criptat cu ajutorul RC4 şi implicit foloseşte WEP ca metodă de protecţie a reţelei Posibilităţi de spargere a cheilor WEP folosind metode de tip brute-force Compatibil cu Ethereal pentru a folosi posibilităţile sale de decriptare a cheilor WEP. Oferă posibilitatea unor programe gen Ethereal de a citi baza sa de date pentru a folosi cheia corectă pentru anumite adrese MAC pentru care WepCrack reuşit spargerea cheii WEP. Brutus sau Brute Force

Pagina 114 din 146

Brutus reprezintă un utilitar foarte rapid şi foarte flexibil apărut în octombrie 1998 care poate iniţia mai multe încercări de conectare la un AP în scopul spargerii parolelor simple compuse din mai puţin de saşe caractere. Protocoale suportate: HTTP POP3 FTP SMB Telnet IMAP, NNTP NetBus Caracterisitici Motor de autentificare structurat pe mai multe nivele Posibilitatea conectării la mai mult de 60 de ţinte simultan Moduri de accesare a securităţii unui AP ca brute force , combo list(user-password) sau listă de cuvinte.

AirSnort AirSnort este un utilitar WLAN care oferă posibilitatea de a recupera cheile de criptare. AirSnort operează prin monitorizarea pasivă deducând cheia de criptare după ce a fost capturat suficient trafic . AirSnort are nevoie să captureze aproximativ 5-10 milioane pachete de date pentru ca după ce această cantitate de trafic a fost capturată decriptarea WEP să se realizeze în cateva secunde.

SMAC Pagina 115 din 146

SMAC este un utilitar ce oferă posibilitatea schimbării adresei MAC a unui adaptor de reţea wireless. Acest lucru poate fi folosit pentru a accesa o reţea care are ca mod de protecţie ACL (Access Control List) pentru acest lucru fiind necesară cunoaşterea unei adrese MAC acceptată în cadrul reţelei. SMAC nu modifică adresa MAC de bază a unei plăci wireless iar această nouă adresă se va păstra şi la urmăroarele reporniri ale sistemului. Caracteristici: Activează imediat noua adresă MAC chiar după ce a fost utilizat utilitarul. Afişează adresa MAC originală a plăcii de reţea Afişează toate sau doar plăcile de reţea active Generează aleator orice adresă MAC sau bazăndu-se pe specificaţiile unui anumit producător Oferă informaţii despre adaptorul de reaţea propriu cum sunt: id-ul , status , descrierea plăcii de reţea, producătorul, statusul plăcii (modificat sau nu) , adresele MAC atât cea reală cât şi cea modificată, ID-ul hardware al plăcii de reţea etc. Generează rapoarte despre detaliile adaptorului de reţea.

Concluzie

Pagina 116 din 146

După cum se poate observa şi din descrierea fiecărui utilitar în parte, este destul de greu să facem o delimitare clară între scopurile de bază ale acestora. Daca multe dintre instrumentele de mentenanţa ale unei reţele WLAN au fost iniţial create pentru a susţine eforturile administratorilor de reţea de a supraveghea traficul sau să realizete operaţii de depanare , interesul crescut pentru tehnologia wireless a determinat o reorientare a acestor utilitare către partea de testare şi implicit de “spargere” a reţelelor WLAN. Capitolul următor va trata atât maniera în care paote fi realizată o reţea WLAN sigură cât şi metode de testare a securităţii acestora moment în care vom detalia şi caracteristicile acestor utilitare.

6.APLICAŢIE În continuare vom urmări să oferim un ghid pentru a ajuta utilizatorii unei soluţii de reţea fără fir şi să înţeleagă procedurile şi factorii care fac parte din fazele de planificare ale unei reţele LAN fără fie. Configuraţia reţelelor locale fără fir bazată pe standardele radio 802.11 poate părea simplă la prima vedere . Utilizatorii leagă ruterele fără fie lam legături cu bandă largă şi încep să le folosească fără alte setări. Totuşi, în cadrul unei reţele WLAN sunt necesare şi alte măsuri de prevedere şi o planificare mai profundă. Factori ce trebuie luaţi în considerare atunci când se proiectează o reţea WLAN: Lărgimea benzii necesare pentru a suporta utilizatorii şi aplicaţiile fără fir. Aria de lucru , niveluri de interferenţă pentru frecvenţele radio. Tipul autentificării şi securităţii cerut de către politica de securitate a beneficiarului. Flexibilitate şi posibilitatea de a efectua upgrade-uri. Preţul , seturile de caracteristici ale 802.11 , capacităţile de management şi abilitatea de a integra reţeaua fără fir în cadrul reţelei cu fir deja existente. Întrucât scopul lucrării de faţă este de a studia elementele de securitate disponibile în cadrul reţelelor fără fir şi deasemeni posibilităţile de întărire a securităţii unei astfel de reţele, vom discuta despre caracteristicile de securitate şi de autentificare ce trebuie luate în calcul la dezvoltarea unei reţele fără fir . 6.1

Selectarea strategiei de securitate potrivite

Alegerea tipului autentificării , criptării datelor şi securităţii prin care se asigură integritatea pachetelor pentru o reţea fără fir LAN depinde de o serie de factori. Politica de securitate a companiei , tipul datelor pe care încercăm să le protejăm, complexitatea soluţiei de Pagina 117 din 146

securitate joacă un rol important în alegerea tipului de autentificare şi a schemei de criptare a datelor . Ce dorim să protejăm şi cine ar trebui să primească acces la reaţea ? Îm al doilea rând artrebui să înţelegem, pe deplin beneficiile fiecărui tip de autentificare şi ale fiecărei metode de criptare a datelor şi informaţia suplimentară (overhead-ul) necesar pentur configurarea fiecărei componente de securitate. Nu în ultimul rănd trebuie testate caracteristicile de securitate alese pentru software-ul şi hardware-ul client , pentru a vedea dacă aceste satisfac nevoile reţelei. Pentru securizare unei reţele fără fir avem la dispoziţie următoarele metode de autentificare a accesului la reţea şi de criptare a datelor vehiculate în cadrul reţelei.Este bine de precizat că numai o combinare eficientă a acestor metode va oferi soluţia portivită pentru fiecare tip de reţea în parte. Metode de autentificare: Fără autentficare Filtrarea adreselor MAC (MAC adress filtering) Cheie WEP partajată (Shared WEP Key) Cheie pre partajată (pre-shared key) 802.1x (tehnologii EAP ) Autentificare VPN Fiecare din aceste metode de autentificare are avantaje şi dezavantaje . Cu cât este mai puternică autentificare , cu atât sunt necesare mai multe echipamente hard şi aplicaţii soft iar eforul depus pentru asigurarea funcţionării şi întreţinerii soluţiei de securitate este mai mare . Există întotdeauna o discrepanţă între o securitate de nivel înalt şi utilitatea sau uşurinţa setării şi utilzării. Metode de criptare a datelor: Fără criptare WEP static WEP dinamic (WEP rotativ) Acces protejat WIFI (WPA cu TKIP şi AES-CCM) Criptarea VPN ărintr-un terţ (3rd party VPN Encryption) După selectarea unei metode de autentificare pentru reţeaua WLAN , se trece la selectarea unei scheme de criptare a datelor pentru protejarea pachetelor de date care circulă în

Pagina 118 din 146

aer liber. Unele din aceste scheme d criptare pot fi folosite doar cu metode de autentificare specifice. Pentru soluţii de securitate la nivel de întreprindere , standardul minim de securitate car trebuie ales este Dinamyc WEP . Dinamyc WEP foloseşte 802.1x pentru a asigura p autentificare puternică şi generează dinamic o cheie WEP unică pentru fiecare utilizator al reţelei. Combinaţii ale metodelor de securizare ale reţelelor fără fir: După cum am observat , există mai multe variante pentru a asigura securitatea spaţiului aferent fără fir . Întrucât nevoie de securitate creşte , complexitatea implementării şi utilizării creşte de asemenea . Atunci când se aleg anumite caracteristici de securitate trebuie avuţi în vedere şi clienţii fără fir deja existenţi şi dacă aceştia suportă aceste noi caracterisitic. Trebuie să ne asigurăm se compatibilitatea deplină a clienţilor NIC cu securitatea furnizată de punctul de acces sau de switc-ul WLAN. În următorul tabel sunt prezentate cele mai cunoscute combinaţii de autentificare şi securitate la nivel de întreprindere . Alegerea schemei potrivite depinde de cerinţele de securitate , datele care trebuie protejate şi tipul serviciilor oferite de către reţeaua fără fir.

Metoda de

Metoda de

autentificare

criptare a

Nici una

datelor Nici una

Descriere

Reţeaua wireless e folosită ca o reţea de nivel secundar, fără securitate. Poate fi folosită pentru punctele de acces gratuite , reţele pentru clienţi cu trafic VLAN către reţelele

Cheie partajată

WEP static

externe împreună cu o soluţie de securitate VPN. Securitatea datelor nu este prioritară şi abilitatea scalării soluţiei nu este necesară . Aleasă pentru uşurinţa implementării în detrimentul securităţii datelor şi complexităţii autentificării. Se pretează pentru reţele

802.1x

WEP

destinate clienţilor sau reţele cu securitate scăzută. Autentificare utilizatorului pe un server RADIUS şi chei de criptare unice generate aleator pentru fiecare utilizator şi fiecare sesiune. Cheltuielile pentru setare sunt mai mari ,însă oferă o securitate de nivel înalt. Majoritatea softurilor

Pagina 119 din 146

client şi a cartelelor NIC fără fir suportă această metodă. Complexitatea implementării deoinde de tipul de EAP Cheie

WPA

prepartajată

selectat. Criptarea puternică a datelor este asigurată prin WPA folosind TKIP şi AES. Autentificarea este simplificată însă folosirea cheilor pre distribuite duce la compromiterea scalabilităţii.Se foloseşte în general , în reţele de dimensiuni mai mici unde simplicitatea autentificării este dorită mai mult decât folosirea unei unui server RADIUS şi

802.1x

WPA

a clienţilor 802.1x. Soluţie de securitate foarte înaltă care foloseşte un server RADIUS pentru autentificarea fiecărui utilizator şi WPA cu TKIP sau AES pentru criptarea datelor . Cardurile NIC şi driverele client trebuie să suporte WPA şi clienţi 802.1x , fiind necesară folosirea unui server RADIUS compatibil cu 802.1x. Este potrivit pentru reţelele fără fir la nivel de întreprindere care necesită autenificare puternică a utilizatorilor fără fir şi o criptare puternică a datelor.Complexitatea implementării depinde de tipul de

Filtrarea adreselor MAC

opţional

EAP folosit. Filtrarea adreselor MAC este o schemă separată de autentificare care poate fi aplicată la oricare din combinaţiile de securitate menţionate. Ea adaugă complexitate în întreţinere , printr-p listă a adreselor MAC a clienţilor care trebuie întreţinută. Filtrarea adreselor MAC a clienţilor poate fi ocolită de către hackeri . În general e utilizată cu scheme la nivel inferior ca să asigure o extrasecuritate. Tabel 6 : Scheme de securizare

Prezentarea schemei practice şi a dispozitivelor folosite Ruter TRENDNET TEW-432BRP Pentru realizarea schemei practice am folosit un router wireless TRENDNET , un laptop şi un PC care va fi folosit pentru a asigura operaţiunile de administrare a reţelei şi

Pagina 120 din 146

deasemeni pe care a fost instalat Windows Server 2003 pentru realizarea server-ului RADIUS folosit ulterior pentru administrarea utilizatorilor. Date tehnice: Compatibil cu dispozitive ce folosesc protocoale wireless 802.1g sau 802.1b şi protocoale din cadrul reţelelor cablate : IEEE 802.3 (!0BASE-T) , IEEE 802.3u(100BASETX); ANSI/IEEE 802.3 Auto Negotiation; 4 porturi lan încorporate de tip 10/100Mbps 1 port 10/100 Mbps de tip WAN (Internet) Suportă modem-uri cable/dsl ce poate folosi IP dinamic , IP static , PPoE sau L2TP; Server DHCP ce poate aloca până la 253 adrese client; Criptare WEP(Wired Equivalent Privacy) pe 64/128 biţi ; 802.1x/WPA, WPA-PSK, TKIP/AES pentru securitatea sporită; Suportă filtrarea după adrese MAC sau adrese IP; Controlul traficului cu ajutorul unui sever virtual sau prin crearea unei zone de tip DMZ(demilitarized zone); Oferă securitate crscută cu ajutorul unui firewall SPI/NAT ; Suportă routarea dinamică şi statică; Suportă IPSEC sau tehnologii VPN; Flash memory pentru operaţiuni de firmware; Compatibil cu Windows 95/98/2000/XP sau Linux ; Management uşor via Web Browser(HTTP) sau remote management; Aria de acoperire : interior 30 -50 metri exterior : 50-200 metri ; Frecvenţa : 2.412 – 2.484 GHz (Banda ISM ); Tehnica de modulare : 802.11b : CCK, DQPSK, DBPSK 802.11g: OFDM Rate de transfer: 802.11b : 11Mbps, 5.5 Mbps, 2Mbps şi 1 Mbps; 802.11g : 54 Mbps, 48 Mbps, 36 Mbps, 24Mbps,18 Mbps,12Mbps, 9Mbps şi 6Mbps; Canale: 11 canale (US), 13 canale (EU); Configuraţia de principiu a platformei folosite pentru implementarea practică a proiectului.

Pagina 121 din 146

Figura 6.1 Configuraţia de principiu a platformei folosite pentru implementarea practică a proiectului. Realizarea practică: 1. Setarea parametrilor de lucru ai routerului Aşa cum se poate observa şi din configuraţia de principiu a schemei de funcţionare pentru interconectarea routerului cu laptopul client din reţea am folosit un adaptor wireless TRENDNET TEW-412PC care a fost configurat pe calculatorul client conform cu instrucţiunile furnizate de driver-ul de instalare. Router-ul TRENDNET TEW-432BRP a fost configurat conform cu wizard-ul implicit furnizat de driver-ul aferent router-ului pe un PC cu sistem de operare Windows XP care ulterior va reprezenta şi platforma pentru serverul RADIUS folosit pentru autentificarea de nivel înalt a utilizatorilor. Acest wizard este utilizat pentru setarea informaţiilor primare cu privire la caracteristicile router-ului cum sunt : 1 . parola administrator 2. time zone conexiune LAN şi server-ul DHCP. În cadrul acestui pas se setează automat IP-ul server-ului default este //192.168.1.1 . Tot în cadrul acestui pas se setează server-ul DHCP care va furniza clienţilor adrese IP cuprinse într-un anumit interval server-ul DHCP putând furniza până la 253 de adrese IP.

Pagina 122 din 146

conexiunea Internet. În cadrul acestui pas alegem tipul de conexiune pe care o vom folosi pentru conexiunea la WAN. Putem alege Obtain IP automatically (DHCP client): în cazul în care server-ul DHCP a fost setat să administreze adresele IP din reţea această opţiune va fi asigurată de server-ul DHCP furnizat implicit de router. Fixed IP Address: în cazul în care provider-ul de Internet asignează o adresă IP fixă , vor fi introduse adresa IP , masca de subreţea , IP-ul gateway şi IP-ul serverului DNS pentru roterul broadband PPPoE cu adresă IP automată: în cazul utilizării unei conexiuni de tip PPPoE cu ajutorul unui modem dial-ul sau xDSL iar furnizorul de internet va oferi automat o adresă IP şi apoi un user name şi o parolă pentru a crea conexiunea. PPPoE cu adresă fixă: aceeaşi situaţie ca în cazul precedent numai că pe lângă user name şi password adresa IP va fi prestabilită . PPTP: (point to point tunneling protocol): acest protocol este folosit în cazul în care se implementează o soluţie de tip VPN sau remote acces. L2TP: (layer 2 tunneling protocol) o versiune avansată a PPTP . wireless LAN connection: acest pas este necesar pentru crearea unei reţele WLAN. La crearea acestei reţele va fi necesar stabilirea unui nume SSID pentru reaţeaua viitoare şi deasemeni un canal de comunicaţie , date care trebuie să fie aceleaşi pentru toate dispozitivele wireless din cadrul reţelei nou create. Restart Acest wizard reprezintă o metoda foarte simplă şi foarte la îndemâna unui utilizator obişnuit de a crea , cu ajutorul dispozitivelor potrivite, o reţea fără fir. În acest moment pentru mulţi utilizatori instalarea unei reţele WLAN se opreşte aici uşurinţa configurării luând locul lipsei totale de securizare a reţelei. În momentul acesta router-ul va transmite datele sale de identificare către toate dispozitivele wireless din aria sa de acoperire , reteaua astfel creată comportându-se ca un teritoriu fără nici un fel de restricţii. În continuare vom urmări gradual metodele de securizare a unei reţele fără fir aşa cum au fost prezentate în capitolul anterior urmând ca în final să furnizăm o soluţie de securizare a reţelei folosind o combinaţie între autentoficarea conform protocolului 802.1x ce foloseşte o criptare WEP a datelor vehiculate în cadrul reţelei. Reţeaua astfel creată se află în stadiul unu de securitate a unei reţele, orice utilzator putând avea acces la resursele reţelei fără fir. Astfel de reţele sunt folosite de obicei pentru accesul la internet în cadrul campusurilo univeritare , pentru punctele de acces gratuite unde Pagina 123 din 146

securitate nu esti un deziderat principal întrucât se presupune că datele vehiculate în reţea nu necesită protecţie suplimentară. În continuare vom prezenta facilităţile furnizate de router pentru securizarea reţelei nou create. 1. Un prim pas care poate fi făcut pentru a securiza reţeaua nou creată este acela de a dezactiva transmiterea de către router a semnalelor de tip beacon prin care acesta furnizează clienţilor din aria sa de acoperire numele reţelei dată de SSID-ul implicit stabilit în sesiunea precedentă de personalizare a reţelei. În cazul în care router-ul dispune de o opţiune pentru ascunderea identităţii reţelei (SSID),această opţiune trebuie activată. De asemenea, trebuie modificat numele reţelei, deoarece mai toate folosesc denumirea implicită. În locul acesteia este de preferat o descriere care să nu însemne nimic re-cognoscibil, în nici un caz numele proprii. Dacă SSID-ul este ascuns, hacker-ul trebuie să introducă numele reţelei manual, ca şi în cazul parolelor. Acest truc nu ne oferă însă siguranţă absolută, fiindcă utilitare precum Network Stumbler descoperă şi reţele ascunse. Pentru ilustrarea acestei măsuri de securitate am configurat în cadrul domeniului de configurare a router-ului un SSID de forma : 1yXq34*$56hrYvWdA78 iar funcţia de “SSID Broadcast ” a fost oprită din meniul cu setari ale reţelei WLAN. Un astfel de identificator al reţelei ajuta nu numai la protejarea SSID-ului de atacuri de tip Brute-Force , ci oferă şi o funcţie de securitate importantă: programe gen WEP Crack adună pachetele transmise de WLAN în scopul spargerii codării WEP .Dar, fiindcă driverele WI-Fi din Linux nu întreprind nici un fel de verificare a datelor prin sume de control , iar caracterele speciale din SSID (conţinute de fiecare pachet ) nu sunt lizibile pentru program , pachetele sunt declarate ca fiind defecte şi implicit respinse. Cu alte cuvinte pachetele de date necodate transmise de WLAN nu mai pot fi interceptate şi sparte. Pentru conectarea clienţilor reţelei va trebui introdus manual numele reţelei adică 1yXq34*$56hrYvWdA78 iar astfel reţeaua va fi recunoscută imediat ce clientul se află în aria de acoperire a reţelei. 2. Aşa cum am precizat anterior o reţea care doar are dezactivată funcţia de SSID broadcast este cu siguranţă susceptibilă unor atacuri de tip MITM întrucât un acces neautorizat poate fi realizat foarte simplu prin folosirea unei interfeţe de reaţea ce poate lucra în modul promiscous şi care poate folosi Network Stumbler pentru a intercepta traficul din reţea şi implicit şi numele SSID al reţealei. Din această cauză o măsură suplimentară de securitate oferită de majoritatea dispozitivelor fără fir este activarea autentificării WEP.

Pagina 124 din 146

Router-ul dispune de posibilitatea setării unei autentificări WEP fie de tip Open System fie de tip cheie partajată. Open sistem permite accesul deschis via reţea wireless la router însă tipul de autentificare cu cheie partajată se bazează pe o cheie cunoscută de toţi utilizatorii din reţea . Router-ul permite setarea unei chei maxime de 128 de biţi în format fie heza zecimal fie în format ASCII. Deasemeni se pot seta un număr de 4 chei WEP care vor putea fi folosite pentru securizare reţelei. Problema standardului WEP dată de vectorul de iniţializare.Se recomandăca acest vector de iniţializare să se repete pentru a nu fi interceptat. Din păcate, acest lucru nu este respectat de toţi producătorii şi nici nu prea există referinţe despre cum se generează un vector de iniţializare. De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare. Consecinţa este că, mai devreme sau mai târziu, VI-ul ajunge să se repete. Un studiu realizat de Universitatea Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de pachete de date transmise în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI identic, acesta poate descoperi cheia WEP. Problema cea mai importantă se pare că o constituie faptul că pentru un atac asupra unei reţele WLAN un rău –voitor nu are nevoie de software complicat ,programe care pot sparge WEP sunt disponibile de exemplu la adrese ca wepcrack.sourceforge.net sau airsnort.shmoo.com . Totuşi aşa cum am precizat mai devreme un element de securitate desuet aşa cum este WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu alte metode de întărire a securităţii reţelei. Deasemenea router-ul dispune de autentificare WPA şi WPA-PSK care vor fi discutate ulterior fiind o soluţie de securitate mult mai avansată decât simpla folosire a WEP. 3. Router-ul oferă ,ca şi un grad crescut de securitate, două moduri de expediere a datelor : static sau dinamic. În cadrul rutării statice pot fi stabilite parametrii de rutare a datelor în cazul în care utilizatorul are o adresă IP statică. Deasemeni este oferită şi posibilitatea unei rutări dinamice acest tip de rutare încercând să rezolve problema unei rute prin folosire unor tabele de rutare automate. Rutarea adreselor poate fi folosită în combinaţie cu o zonă DMZ pentru a direcţiona traficul din reţea către această zonă. 4. În opţiunea de acces la facilităţile ruterului putem utiliza mai multe căi de restricţionare a accesului la reţeaua WLAN. a). Filtrarea MAC: această metodă de filtrare a accesului poate fi folosită în conjuncţie cu orice altă schmă de securitate. Ea adaugă complexitate în întreţinere , printr-o listă a adreselor MAC a clienţilor care au drepturi de acces. Totuşi această soluţie nu poate fi considerată o măsură suficintă de a asigura securitate reţelei întrucât chiar şi ruterul folosit în Pagina 125 din 146

cadrul acestui proiect dispunde de posibilitatea clonării adresei MAC astfel că o astfel de măsură poate fi uşor compromisă. b). Filtrarea accesului pe baza protocolului folosit de client . O listă de profile sunt disponibile şi conform cu caracteristicile acestor protocoale pot fi restrricţionate anumite porturi de acces la Internet. c). IP filter- cu ajutorul acestei opţiuni poate fi restricţionat acesul adreselor IP aflate într-un anumit interval. d). Virtual Server: cu ajutorul acestei setări putem direcţiona accesul către un server local din cadrul reţelei. e). DMZ – zonă tampon pentru clienţii care nu pot avea acces la internet prin intermediul ruterului datorită elementelor de securitate pe care nu le îndeplines .Calculatorul a cărei adresă IP este folosită pentru a indica această zonă DMZ va oferi acces nelimitat la Internet. De obicei acest tip de zone de acces la Internet sunt folosite în cadrul hot spoturilor gratuite în care informaţiile vehiculate nu sunt importante. f).Firewall Rule Aceste setari definesc toate facilităţile puse la dispoziţia unui administrator de a reglementa anumite permisiuni valabile utilizatorilor reţelei sau celor care doresc să acceseze reţeaua WLAN. Cu ajutorul acestor opţiuni sunt posibile implementarea schemelor de securitate prezentate în tabelul de mai sus care nu au nevoie ca metodă de autentificare folosirea unui server RADIUS şi implicit a unei autentificări conform standardului EAP. Pentru o securitate crescută a mediului de transmisie şi implicit a datelor vehiculate în reţea vom prezenta în rândurile ce urmează o soluţie de securitate sporită. Server RADIUS cu protocol EAP Desfăşurarea procesului de autentificare , autorizare şi actualizare a contului unui utilizator wireless în cadrul reţelei se va desfăşura conform cu dialogul standard de autorizare la un server RADIUS iar participanţii la dialogul de autentificare trebuie să respecte aceleaşi caracteristici de securitate . 1.Schema de principiu a montajului

Pagina 126 din 146

Client EAPOL

Interfaţa hostului 192.168.1.100

Autentificatorul Port acces la reţea(AP , switch) 192.168. 1.1 Mesaje EAP încapsulate tipic pentru RADIUS Server Server AAA autentificare (orice server EAP de obicei 192,168,1,,111 RADIUS) 1

Figura 6.2 Schema de principiu a montajului 2.Protocolul de comunicaţie Serverul de autentificare poate fi în acelaşi loc cu autentificatorul sau cele două pot fi în locuridiferite şi să se acceseze reciproc prin comunicaţie de la distanţă. Multe dintre funcţiile de autentificare sunt implementate la client şi la serverul de autentificare . Acest lucru este benefic pentru punctele de acces, deoarece ele au o memorie mică şi putere de procesare redusă. Dialogul de autorizare standard constă în : AP (punctele de acces) cere STA(staţiile) să se identidifice folosind EAPOL (EAP over LAN). STA îşi trimite identitatea la AP AP trimite mai departe identitatea STA la AS (server de autentificare), prin intermediul EAP Între AS şi STA are loc un dialog de autentificare Dacă dialogul este terminat cu success , STA şi AS partajează cheie de sesiune AS trimite cheia de sesiune la AP într-un atribut RADIUS precum şi o parte a mesajului de acceptare a RADIUS Clientul wireless încearcă să se autentifice la reţea prin intermediul ruterului , dar înaintea autentificării este deschis numai un port necontrolat ce va permite doar mesaje de

Pagina 127 din 146

autentificare de tip EAPOL. Aceste mesaje vor fi trimise către serverul RADIUS care va verifica credenţialele clientului prin analiza conturilor din cadrul Active Directory. Pentru realizarea practică am folosit configuraţia precedentă pe care am ilustrat posibilităţile de securizare ale reţelei doar cu ajutorul funcţiilor oferite de ruter iar în plus pentru realizarea configuraţiei de lucru pe calculatorul pe care am instalat ruterul am folosit Windows Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de autentificare a clienţilor wireless. 3. Elemente software utilizate Windows Standard Server 2003 Windows Standard Server 2003 este un sistem de operare în reţea sigur care oferă rapid şi uşor soluţii pentru firme. Acest server flexibil este alegerea ideală pentru nevoile zilnice ale firmelor de toate mărimile. acceptă partajarea fişierelor şi imprimantelor. oferă conectivitate sigură la Internet. permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru. oferă posibilitatea unei bogate colaborări între angajaţi, parteneri şi clienţi acceptă multiprocesarea simetrică cu două căi şi până la 4 gigaocteţi (GO) de memorie. IAS IAS (Internet Authentification Service) este implementarea Microsoft a unui server RADIUS (Remote Dial – in User Service) . Ca şi server RADIUS , IAS realizează operaţiuni centralizate de autentificare, autorizare şi înregistrare pentru mai multe tipuri de conexiuni la reţea aşa cum sunt reţelele VPN sau WLA , conexiuni dial-up, remote acces sau conexiuni de tip ruter-ruter. Active Directory Active Directory este o implementare a serviciilor de directoare LDAP, folosită de Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziţia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea programelor, înnoirea securităţii. Toate aceste operaţiuni pot fi aplicate atât la reţele mici, cât şi la reţele complexe. Active Directory (AD) - este o ierarhie de câteva obiecte, unde obiectele se împart în trei categorii: resurse (ex: imprimantă), servicii (ex: poşta electronică), resurse umane (ex: Pagina 128 din 146

utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziţie informaţii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securităţii.. 4. Implementare practică a. Implementarea autentificatorului La nivelul ruterului am redirecţionat tot traficul ce încerca să acceseze resursele reţelei către serverul RADIUS . Pentru autentificarea clienţilor am folosit Wi-Fi protected Acces cu TKIP toate cererile de accesare a reţelei fiind redirecţionate către serverul RADIUS indicat prin adresa 192.168.1.111:1812. Deasemeni pentru comunicaţia dintre ruter-ul wireless şi server este necesară stabilirea unei chei secrete de comunicare.

Figura 6.3 Implementare ruter b.Implementarea serverului Serverul va fi instalat pe un sistem de operare Windows Server 2003 indicat prin adresa ţintă //192.168.1.111 iar portul de comunicaţie 1812 va fi deschis pentru comunicaţiile de tip EAP-RADIUS dintre suplicant şi serverul RADIUS.

Pagina 129 din 146

Figure 6.4 Creare client IAS Vom identifica ruterul folosit ca şi client al serverului de autentificare pentru care vom forma politici de acces la disstanţa la domeniu, politici ce vor restricţiona accesul în funcţie de caracteristicile clienţilor: adresa IP a clientului , restricţii în funcţie de momentul data şi ora accesării , tipul de conexiune , tipul de protocol folosit pentru securizarea accesului sau după grupul Windows căreia aparţine clientul.

Figura 6.5 Politici de securitate Pentru clientul anterior format am creeat restricţii remote ce privesc tipul de autentificare folosit. Astfel vom folosi pentru autentificare MS-CHAP v2 care este un protocol al Microsoft de tip Challenge –handshake authentification protocol .MS-CHAP v2 este o

Pagina 130 din 146

versiune îmbunătăţită de MS-CHAP, foarte utilizat de sistemele Windows şi cu suport criptografic mai bun decât protocoalele anterioare. Este recomandată atunci când nu poate fi folosit EAP-TLS deoarece aduce ca şi element de securitate suplimentar autentificarea mutuală. Este suportat de clienţii care rulează sistem de operare Windows 98 Second Edition sau mai nou.Protocolul în desfăşurarea sa respectă următorii pasi: autentificatorul (serverul IAS) trimite un răspuns de încercare către clientul ce doreşte să se conecteze remote care este reprezentat printr-un identificator de sesiune şi un pachet de date arbitrar. clientul ce doreşte să se conecteze remote trimite un răspuns ce va cuprinde : user name/un pachet arbitrar de date de tip challenge/o criptare de tip one –way a pachetului de date primit . autentificatorul verifică răspunsul clientului şi răspunde furnizând : un răspuns ce indică reuşita sau eşecul sesiuni de conectare, un răspuns de autentificare bazat pe pachetul de date trimis de suplicant. clientul verifică validitatea răspunsului de autentificare iar dacă aceasta e corectă foloseşte conexiunea. Pentru a putea genera un raport corespunzător cu privire la calitatea clienţilor ce doresc să acceseze reţeaua am creat în cadrul Active Directory un grup de utilizatori ce va conţine toti clienţii wireless ce se vor conecta la reţea, asupra fiecăruia stabilind condiţii de negociere a autentificării. Vom folosi pentru autentificare protocolul PEAP . Spre deosebire de EAP-TLS , acest protocol se potriveşte mai mult reţelelor care au nevoie de o autentificare puternică însă fără a utiliza cerificate mutuale. Pentru ca, un utilizator să se poată conecta de la distanţă, este obligatoriu ca el să aibă un cont de utilizator în cadrul domeniului sau grupului de lucru gestionat de server. În cazul nostru există un grup de lucru în cadrul căruia creem un grup de utilizatori ”wireless”. Mai departe, în cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distanţă, practic clienţii WLAN.Astfel vom avea următorii utilizatori, cu nume generice: “George”, “ Daniel” , “Alina” iar grupul de utilizatori poate fi extins în funcţie de cerinţe. La creearea utilizatorilor, se vor crea practic conturi de acces în reţea. Aceste conturi se vor conforma politicilor de securitate stabilite în Windows Server 2003. Este o autentificare bazată pe nume de utilizator şi parolă. Pentru fiecare utilizator trebuiesc setate anumite proprietaţi, pentru a putea avea acces de la distanţă. Asfel, la fiecare cont de utilizator se va merge la “Proprietaţi” şi apoi la butonul “Dial-in”. Pagina 131 din 146

Figura 6.6 Drepturi acces client Aici putem stabili dacă utilizatorul respectiv are sau nu drept să se conecteze la distanţă. Ca o măsură suplimentară de securitate, se poate seta opţiunea “Verify Caller ID”, adică să se permită accesul, numai daca se conectează de la un număr de telefon predefinit. În cazul nostru, vom seta ca la toţi utilizatorii să fie permis accesul pe baza politicii de securitate a serverului de acces la distanţă(“Control access through Remote Access Policy”).Aceasta va fi configurată ulterior. c.Implementarea suplicanţilor Pentru fiecare client în parte vom stabili acessul de tip remote folosin ca şi metodă de autentificare 802.1x PEAP cu protocolul MS-CHAP v2. . La proprietaţile conexiunii, putem seta ce tip de conexiune se va iniţia (PPTP sau L2TP), nivelul de criptare pe care îl dorim, metoda de autentificare folosită (MS-CHAP.v2, EAP), modul de autentificare (smart-card, certificate digitale). PEAP este o metodă de autentificare ce protejează negocierea de tip EAP, încriptând conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless 802.11. PEAP poate fi folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă autentificare mutuală aşa cum am observat din detalierea paşilor pe care îi urmează procesul de autentificare. Sau EAP-TLS, care este cea mai puternică şi necesită o infrastructură de chei publice PKI. În funcţie de politica de securitate pe care am stabilit-o pe server, vom seta conexiunea în felul următor: -tip tunel: PPTP -metoda de autentificare: PEAP în conjunţie cu MS-CHAP.v2

Pagina 132 din 146

-puterea de criptare: Strong encryption 128-bit

Figura 6.6 Implemetare suplicanţi

Pagina 133 din 146

În momentul conectării la reţea după redirecţionarea accesului către server vom oferi credenţialele proprii care vor fi comparate cu cele introduse pentru fiecare client în Active Directory accesul la reţea şi implicit la resursele reţelei fiind permis decât după confruntarea credenţialeleor introduse de utilizator cu cele stocate în cadrul grupului creat.

Figura 6.7 Conectare clienţi Autentificarea se va face pe baza conturilor stabilite în Windows Server 2003. În momentul de faţă, clienţii pot să trimită date în reţea şi să acceseze resursele de pe calculatoarele din wlan. Cât timp sunt în reţeaua publică, datele sunt protejate de utilizatorii neautorizaţi atât prin criptare cât şi prin “tunelare”.

7.Concluzii Reţelele fără fir furnizează noi provocări la adresa securităţii şi administratorilor, care nu au fost întâlnite în reţelele cablate. Cele mai bune practici dictează o structurare cât mai adecvată a nivelelor pentru securitatea reţelei. Ar trebui luată în considerare configurarea punctelor de acces, firewall-urilor şi a VPN-urilor. Strategiile de securitate ar trebui definite pentru un nivel acceptabil al performanţei. Sistemul de detectare a intruşilor în reţelele fără fir ar trebui să elimine problemele de securitate şi să asigure că ceea ce credem că este securizat este, de fapt, aşa. După toate elementele de funcţionalităţile de securitate şi opţiunile menţionate până acum în această lucrare, anumite puncte de configurare trebuie avute în vedere în cadrul proiectării reţelelor fără fir de către administratorii unor astfel de reţele . Pe lângă metodele de

Pagina 134 din 146

securitate mai sus detaliate sunt necesare anumite setări de siguranţă care să funcţioneze ca o primă barieră în faţa posibililor atacatori. Sugestii pentru securitate 1.Schimbaţi cheile WEP implicite pentru fiecare punct de acces nou. 2.Folosiţi cea mai lungă cheie WEP suportată de către AP şi de către clienţi. Folosiţi chei WEP care nu pot fi ghicite uşor. 3.Alegeţi chei partajate greu de ghicit (dacă se folosesc). 4.Schimbaţi parola implicită pentru toate AP-urile şi switch-urile WLAN. Folosiţi tehnici puternice de selectare a parolei. 5.Centralizaţi parolele punctelor de acces şi switch-urilor WLAN. Folosiţi autentificarea AAA, dacă e suportată. 6.Folosiţi SSL, SNMP v3 şi SSH pentru a administra toate punctele de acces fără fir şi switch-urile WLAN. 7.Numele SSID trebuie ales cu grijă. Nu se recomandă folosirea numelor companiei, ci a unor nume unice, care nu atrag atenţia. 8.Folosiţi AP-uri separate pentru reţelele(domeniile) destinate oaspeţilor sau clienţilor şi conectaţi-le direct la DMZ sau Extranet. 9.Dacă punctele de acces permit filtrarea porturilor, folosiţi această funcţiune pentru a prescana traficul nedorit. 10.Exportaţi toate log-urile de la punctele de acces şi switch-urile WLAN într-un server Syslog extern. 11.Dacă driverul NIC al clientului permite protejarea parolei, activaţi opţiunea pentru a proteja setările driverului fără fir.

Sugestii pentru punctele de acces (AP) radio 1.Poziţionaţi punctele de acces acolo unde sunt localizaţi utilizatorii fără fir. Alegeţi zone fără obstrucţii pentru amplasarea punctelor de acces (tavanul este de obicei cea mai bună alegere). 2.Setaţi putere joasă pentru punctele de acces care sunt apropiate de pereţii exteriori pentru a preveni scurgerea semnalului în afara clădirii. 3.Dacă punctele de acces suportă antene omni-direcţionale cu setări diverse, setaţi modele radio pentru a evita, pe cât posibil, transmiterea semnalului în afara clădirilor.

Pagina 135 din 146

4.Efectuaţi studii şi expertize ale locaţiei cu sniffere fără fir pentru a testa modelele de scurgere a semnalului în afara clădirii şi corectarea acestora. 5.Selectaţi canalele AP care sunt depărtate între ele, pentu a evita interferenţa. 6.Poziţionaţi mai multe puncte de acces în locaţii cu mulţi utilizatori. Setaţi niveluri joase ale puterii, dacă punctele de acces sunt apropiate, pentru a reduce interferenţa. Folosiţi întotdeauna cel mai scăzut nivel de putere necesar pentru a furniza o acoperire adecvată. 7.Dacă se folosesc AP-uri 802.11 g, înlocuiţi plăcile NIC 802.11b cu plăci 802.11g. Orice soluţie de securitate în cadrul unei reţele wireless este binevenită mai ales datorită mediului foarte instabil de transmitere a datelor. Totuşi măsurile de securitate adoptate în cadrul reţelei trebuie să işi justifice rolul în primul rând în comparaţie cu gradul de securitate cerut de datele vehiculate în reţeaua respectivă. Un studiu atent asupra specificului reţelei trebuie realizat înaintea conceperii acesteia iar metodele de criptare a datelor şi de securizare a accesului la reţea să reflecte întru totul importanţa comunicaţiei şi implicit a participanţilor la reţea şi a datelor vehiculate.

ANEXE ANEXA 1 Dicţionar

Pagina 136 din 146

ACCESS POINT Dispozitiv ce se conectează la un hub sau server si asigură accesul wireless al utilizatorilor la reţea. Este un concept similar cu celulele utilizate în telefonia mobilă. BACKBONE O porţiune a reţelei care suportă traficul cel mai intens. Este sistemul principal de cabluri care asigură comunicaţia intre punctele de distribuţie. BLUETOOTH Standard pentru PAN (personal area network). Este folosit pentru comunicare wireless casnică sau la birou si foloseşte banda de 2.4GHz la 720Kbps, Raza de acţiune este de aproximativ 9.1-14 metri. Foloseşte banda de 2.4GHz la 720Kbs aproximativ 9 metri. În general, telefoanele mobile folosesc acest tip notebook-uri. Interferenţele cu alte nu este întreruptă. Nu necesită o linie dreaptă sau fără obstacole între senzori, iar cu ajutorul unor amplificatoare speciale distanţa de comunicare poate fi ridicata la 100 de metri. BROADBAND WIRELESS Deoarece viteza comunicaţiilor în cazul folosirii cablurilor, vitezele de peste "IMbps se pot considera broadband .

CCMP -------(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) protocol de criptare a standardului IEEE 802.11i creat pentru a înlocui , împreună cu TKIP, un protocol nesigur aşa cum e WEP. CDMA (Code Division Multiple Access} Metoda de transmitere simultană a mai multor semnale folosind o porţiune comună din spectru. Cele mai întâlnite aplicaţii ale tehnologiei CDMA se găsesc în telefonia mobilă QUALCOMM ce operează in banda de 800MHz. Telefonele mobile CDMA sun recunoscute pentru calitatea foarte bună a recepţiei. DECT (Digital Ennanced Cordless Telecommunications). Standard pentru telefonia fără fir. Se bazează pe TDMA, lucrează în banda de 1.8 si 1,9GHz, utilizează Dynamic Channel Selection Dynamic Channel Allocation (DCS/DCA) pentru a realiza conectarea mai multor utilizatori pe aceeaşi frecvenţă. DECT asigură un transfer de 522kbps, iar în viitor se aşteaptă o creştere de Pagina 137 din 146

până la 2Mbps. Este utilizată in special în Europa pentru realizarea unor reţele interne de mici dimensiuni. Atlas Telecom România a implementat o astfel de reţea la nivelul oraşului Oradea (denumită şi telefonie cu mobilitate limitată). DHCP (Dynamic Host Configuration Protocol) ---- este un set de reguli folosite de dispozitivele de comunicaţie aşa cum sunt caclulatoarele , routerele sau adaptoarele de reţea pentru a permite unui dispozitiv să obţină o adresă IP de la un server care are o listă de adrese disponibile pentru a fi distribuite.

EAP-----Extensible Authentication Protocol, or EAP, este un protocol universal de autentificare folosit de obicei în reţelele wireless sau conexiuni de tip point-to –point. Dealtfel EAP nu este limitat doar la reţelele wireless putând fi utilizat deopotrivă şi pentru autentificarea în cadrul reţelelor cablate. Recent , WPA şi WPA2 au adoptat oficial cinci tipuri de EAP ca mecanisme oficiale de autentificare. EM5 (Enhanced Message Service) Extensie a protocolului SMS ce adaugă posibilitatea de trimitere a mesajelor ce conţin text formatat, animaţii si tonuri de apel. Acestă tehnologie a fost introdusă în vara anului 2002 de Alcatel, Ericsson, Motorola şi Siemens. Firmware------ software inclus în cadrul unui dispoziticv hardware. Este de obicei furnizat pe memorii flash ROM sau ca o imagine binară care poate fi încărcată pe un dispozitiv hardware. O caracteristică a unui firmware este acela că poate fi adăugat ulterior fabricării propriu zise , fie electronic ,fie înlocuind un dispozitiv de stocare aşa cum ar fi un chip de memorie.

GPRS (General Packet Radio Service) Tehnologie care permite sistemului de comunicaţie mobilă GSM să suporte pachete de date. GPRS oferă un schimb continuu de pachete de date transfer de date sau navigare web.

Pagina 138 din 146

GSM Încă din anii '80 sistemul de telefonie mobila a cunoscut o dezvoltare rapidă în Europa (in special in Scandinavia si Marea Britanie dar ţi in Germania si Franţa). In 1982 Conference of European Posts and Telegraphs (CEPT) a format un grup de studio Groupe Special Mobile (GSM). Astăzi standardele GSM au fost adoptate pe toate continentele şi acronimele au o nouă semnificaţie: Global System for Mobile Communications. HDML Handeheld Device Markup Language O versiune Speciala a formatului HTML creeată special pentru dispozitive mobile (telefoane, PDA-uri, pagere) în scopul obţinerii de informaţii de pe paginile web. HDML a fost elaborat de Phone.com, iar AT&T wireless a lansat primul serviciu HDML în 1996.

I-MODE Serviciu ce oferă acces la Internet (web browsing si e-mail) pentru telefoanele mobile. Taxarea se realizează pentru traficul de date şi nu in funcţie de timpul conectării.

IEEE Este o asociaţie tehnică non-profit. Are 377.000 membri in 150 de ţări. Numele întreg este Institute of Electrical and Electronics Engineers, Inc. Este un lider in computere, biomedicinâ si telecomunicaţii până la energie electrică si aeronautică. Produce 30% din publicaţiile tehnice din domeniul ingineriei electronice, calculatoarelor si controlul tehnologiei. Deţine 900 de standarde active si incă 700 in dezvoltare. IEEE 802.16A Specificaţii pentru reţele wireless metropolitane in domeniul 2-11GHz. IRDA Standardele acestei tehnologii sunt gestionate de Infrared Data Association, organizaţie fondată în 1993. Rata de transfer este de doar 115.2kbps (half-duptex), iar pentru realizarea conexiunii trebuie să se asigure o linie dreaptă şi fără obstacole între senzorii IrDA.

Pagina 139 din 146

MANET ------ A mobile ad-hoc network (MANet) Este un tip de reţea ad-hoc , o reţea care se configurează singură formată din routere mobile (cu host-urile asociate) conectate prin legături wireless . Routerele îşi modifică poziţionarea arbitrar astfel încât topologia reţealei se poate modifica rapid şi imprevizibil în acelaşi timp. “O reţea MANET poate fi definită ca o reţea de noduri (calculatoare) formată prin poziţionarea arbitrară a acestora fără a avea o infrastructură predefinită. ” MIC (Message Integrity Check)----este o parte a unui plan de lucru asupra standardului 802.11i. Message Integrity Check reprezintă un câmp adiţional de 8 biţi care se găseşte între partea de data a unui cadru 802.11 şi vectorul de integritate (ICV) reprezentat printr-uncâmp de 4 biţi. MBPS Mbps (Megabits Per Second) indică numărul de grupuri de 1000 biţi de date care se transmit prin reţea. Cu ajutorul acestor valori se aproximează „viteza' reţelei. Message Digest 5 (MD5)----- este o funcţie criptografică de tip hash cu o valoare hash de 128 de biţi. Ca şi stanadard al Internet , MD5a fost folosit în cadrul unor aplicaţii de securitate fiind folosit cu predilecţie pentru a verifica integriatatea fişierelor. O funcţie hash de tip MD5 este de obicei un număr hexazecimal de 32 de caractere. MMS (Multimedia Message Service Tehnologie care permite schimbul de fişiere grafice, video sau audio, folosind telefonul mobil. Protocolul MMS este compatibil în urmă cu SMS şi EMS. PHOTO MESSAGING Tehnologia de fotografiere cu telefonul mobil si trimiterea ei către un alt telefon sau către o adresă de email. Dacă cel care primeşte fotografia nu are un mobil capabil să redea imagini acesta este îndrumat către un web-site unde o poate viziona, folosind calculatorul. În general telefoanele care pot fotografia au şi opţiunea de înregistrare audio.

RADIUS---Remote Authentication Dial In User Service (RADIUS) este un protocol de tip AAA (authentication, authorization and accounting) folosit pentru accesul la reţea sau ce Pagina 140 din 146

priveşte mobilitatea unei adrese IP. Este proiectat să lucreze atât în situaţii locale cât şi situaţii de roaming. SHA (Secure Hash Agorithm)------

SMS (Short Message Service) Serviciu care permite schimbul de mesaje text între telefoanele mobile. Textul poate conţine între 140 si 160 caractere. Această tehnologie a fost introdusa în sistemele GSM şi a fost imediat adoptată şi de celelalte reţele digitale de comunicaţii mobile. Similar cu e-mail-ul, mesajele SMS sunt trimise mai întâi la centrul SMS pe un canal separat de cel de voce) de unde sunt trebuia să recepţioneze mesajul nu este în zona de acoperire sau are telefonul închis atunci centrul SMS va încerca ulterior retrimiterea SMS-ului. UDP (User Datagram Protocol)---- protocol de bază din suita protocoalelor folosite în Internet. Folosind UDP calculatoarele dintr-o reţea pot trimite mesaje numite datagrame . Acronimul UDP reprezintă Universal Datagram Protocol sau Unreliable Datagram Protocol.

VPN---virtual private network (VPN) este o reţea de comunicaţie privată folosită de obicei de organizaţii şi companii pentru a comunica date confidenţiale având ca suport o reţea publică.Traficul VPN poate fi purtat de o infrastructură publică folosind protocoale specifice reţelei sau cu ajutorul unei reţele private ce oferă un SLA (Service Level Agreement) într furnizorul de serviciu VPN şi client.

WAP WAP (Wireless Access Protocol) este un protocol de comunicare prin intermediul căruia se oferă date din Internet telefoanelor mobile ce au implementată această facilitate. Radio transmisiuni de date intre telefoane, calculatoare personale, servere, staţii grafice sau alte dispozitive fără a se utiliza cabluri WARDRIVING Pagina 141 din 146

Wardriving presupune căutarea activă de reţele wireless . WI-FI Wi-Fi (Wireless Fidelity) este un alt nume pentru standardul wireless 802.11b. Wi-Fi Alliance este o asociaţie non-profit formată în 1999 cu scopul de a certifica interoperabilitatea echipamentelor wireless LAN bazate pe specificaţiile IEEE 802.11. Wi-Fi Alliance are în prezent 183 companii afiliate si, din martie 2000, 698 de produse au primit certificarea Wi-Fi®. WIN WIN (Wireless Intelligent Network) reprezintă informaţia si sistemul de control pentru reţeaua de telefonie mobilă. Cuprinde infrastructura de procesare a tranzacţiilor pentru sistemele wireless. Este cunoscut si sub denumirea de 15-41 si ANSI-41. WIRELESS BRIDGE Echipament utilizat pentru a primi şi transmite date pe frecvenţe radio intre două reţele locale. WIRELESS NETWORKING Transmisiuni de date între calculatoare personale, servere, staţii grafice sau alte dispozitive de reţea fără a utiliza cabluri de date. WIRELESS GATEWAY Dispozitiv utilizat pentru a oferi acces mai multor dispozitive wireless la o singură conexiune . WIRELESS PORTAL Un site web compatibil cu aparatele telefonice mobile inteligente (smart phones). WIRELESS MODEM Dispozitiv format dintr-un modem si o antenă ce recepţionează date. În general acest tip de echipament suportă a serie de tehnologii cum ar fi: CDPD, ARDIS, Mobitex, Ricochet, IEEE 802.11 si OpenAir şi sunt destinate utilizării impreună cu notebook-uri sau PDA. WISPR Pagina 142 din 146

Tehnologie destinată realizării de funcţii pentru wireless LAN asemănătoare celor folosite în celulele pentru telefonia mobilă.

WPA--- WI-FI Protected Access (WPA) este o variantă timpurie a standardului de securitate 802.11i care a fost dezvoltat de WiFi Alliance cu scopul de a înlocui WEP. Algoritmul de criptare TKIP a fost dezvoltat pentru WPA pentru a furniza îmbunătăţiri vechiului standard WEP care poate fi considerat ca pe un element de firrmware a standardului 802.11. WPA deasemeni oferă suport opţional pentru algoritmul AES-CCMP care reprezintă algoritmul preferat în cadrul 802.11i sau WPA2. WPA2- reprezintă o versiune îmbunătăţită a standardului final 802.11i. Primul avantaj adus de WPA2 este includerea algoritmului AES-CCMP ca un algoritm de bază a standardului. Atât WPA cât şi WPA2 suportă autentificarea de tip EAP folosind servere RADIUS sau elemente de securitate bazate pe PSK (preshared key) . WPAN WPAN (Wireless Personal Area Network) reprezintă conceptul de interconectare wireless a unor dispozitive ce află la o distanţă de maxim 10 metri unele de celelalte.

WLIF WLIF (Wireless LAN tnteroperability Forum) este o asociaţie formată cu scopul de a certifica interoperabilitateaechipamentelor wireless cu cele mai importante standarde (printre care si OpenAir, IEEE 802.11).

Pagina 143 din 146

ANEXA 2 Wireless Tools Aerosol

http://www.stolenshoes.net/sniph/aerosol.html Airfart

http://airfart.sourceforge.net/

AirJack

http://802.11ninja.net/airjack/ AirscannerMobile Sniffer

http://www.airscanner.com/downloads/sniffer/sniffer.html AirSnarf

http://airsnarf.shmoo.com/

AirSnort

http://airsnort.shmoo.com/

AirTraf

http://www.elixar.com/corporate/history/airtraf-1.0/ Anwrap http://www.securiteam.com/tools/6O00P2060I.html AP Hopper

http://aphopper.sourceforge.net/

AP Radar

http://apradar.sourceforge.net/

APhunter

http://www.math.ucla.edu/

%7Ejimc/mathnet_d/download.html APSniff

http://www.bretmounet.com/ApSniff/

APTools

http://winfingerprint.sourceforge.net/aptools.php Asleap

BSD-AirTools

http://asleap.sourceforge.net/ http://www.dachb0den.com/projects/bsd-airtools.html

ClassicStumbler

http://homepage.mac.com/alk/classicstumbler.html

DMZS-Carte

http://www.dmzs.com/tools/files/wireless.phtml

Dstumbler

http://www.dachb0den.com/projects/dstumbler.html

Dweputils

http://www.dachb0den.com/projects/dweputils.html Ethereal

FakeAP

http://www.ethereal.com/ http://www.blackalchemy.to/project/fakeap/

Gpsd Hotspotter

http://freshmeat.net/projects/gpsd/ http://www.remote-exploit.org/codes.html

iStumbler

http://www.istumbler.net/ KisMAC

http://www.binaervarianz.de/projekte/programmieren/kismac/ Kismet LibRadiate

http://www.kismetwireless.net/ http://www.packetfactory.net/projects/libradiate/ Pagina 144 din 146

LibWnet

http://www.dachb0den.com/users/h1kari/work/.0day/bat/

Lucent/Orinoco Registry Encr./Decr. http://www.cqure.net/tools.jsp?id=3 MacStumbler MiniStumbler

http://www.macstumbler.com/ http://www.netstumbler.com/download.php? op=viewdownload&cid=1

Mognet

http://www.node99.org/projects/mognet/

NetChaser

http://www.bitsnbolts.com/netchaser.html

NetStumbler

http://www.netstumbler.com/download.php? op=viewdownload&cid=1

PocketWarrior

http://www.pocketwarrior.org/ //Pong

PrismStumbler

http://prismstumbler.sourceforge.net/

SSIDsniff

http://www.bastard.net/%7Ekos/wifi/

StumVerter

http://www.sonar-security.com/ //THC-LEAPcracker

Void11

http://www.wlsec.net/void11/

WarGlue

http://sourceforge.net/projects/warglue

WarLinux

http://sourceforge.net/projects/warlinux/

WavelanTools h

http://sourceforge.net/projects/wavelan-tools/

WaveMon

http://freshmeat.net/projects/wavemon/

WaveStumbler

http://www.cqure.net/tools.jsp?id=08

WellenReiter

http://www.wellenreiter.net/ //WepAttack

WEPCrack

http://sourceforge.net/projects/wepcrack/

Weplab

http://sourceforge.net/projects/weplab

WEPWedgie

http://sourceforge.net/projects/wepwedgie/

WEP_Tools(wep_crack/wep_decrypt) http://www.lava.net/ %7Enewsham/wlan/wep_tools.tgz Wi-Find

http://evvl.rustedhalo.net/projects/wi-find/

WifiScanner

http://wifiscanner.sourceforge.net/

WinDump

http://windump.polito.it/ WiStumbler

http://www.gongon.com/persons/iseki/wistumbler/index.html Wscan

http://www.cs.pdx.edu/research/SMN/

Pagina 145 din 146

Pagina 146 din 146