Securitatea retelelor wireless

1.Introducere

Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare: calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele, după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare. Secolul nostru a generat dependenţa de informaţie : oameni care au nevoie să fie în permanenţa conectaţi. Pentru aceşti utilizatori mobili, cablul torsadat, cablul coaxial şi fibrele optice nu sunt de nici un folos. Ei au nevoie de date pentru calculatoarele lor portabile, de buzunar, fără a fi legaţi de infrastructura comunicaţiilor terestre. Pentru aceşti utilizatori, răspunsul îl constituie comunicaţiile fără fir.

Reţelele wireless sau mai simplu WLAN au apărut ca o alternativă la reţeaua LAN prin cablu reprezentând un sistem flexibil de comunicatii de date , folosit ca o extensie sau o alternativă la reţelelor cablate , într-o clădire sau un grup de clădiri apropiate . Folosind undele electromagnetice , dispozitivele WLAN transmit şi primesc date prin aer , eliminând necesitatea cablurilor şi transformând reţeaua într-un LAN mobil . Astfel , dacă o firmă are un WLAN , la mutarea în alt sediu nu este nevoie de cablări şi găuriri în pereţi plafoane pe care acestea le presupun , ci pur şi simplu se mută calculatoarele şi reţeaua poate funcţiona imediat . Ce-i drept , în general reţelele WLAN se folosesc împreună cu LAN-urile clasice , mai ales pentru partea de tipărire în reţea pentru legătura la server .

Tema acestui proiect îl reprezintă studiul de caz asupra reţelelor fără fir şi mai ales a cerinţelor de securitate pe care le presupune o astfel de reţea ,cu aplicaţii practice în realizare unei reţele WLAN care să îndeplinească cerinţele unei reţele sigure din punct de vedere a securităţii atât a accesului la reţea cât şi a datelor vehiculate în cadrul reţelei. Următorul proiect urmăreşte identificarea elementelor de securitate deja existente în cadrul unei reţele fără fir , posibilităţi de securizare oferite de dipozitive de securizare ale reţelei iar parte practică se constituie într-un ghid practic ce va puncta configurări şi măsuri de securitate pentu un mediu de comunicaţie cât mai sigur.

Produsele fără fir, de la comanda la distanţă a televizoarelor şi închiderii uşilor automobilelor la telefonia celulară , utilizează o formă de energie cunoscută ca radiaţie electromagnetică pentru a transporta semnalele. În ultimi ani comunicaţiile fără fir şi cele mobile au cunoscut o creştere explozivă în ceea ce priveşte numărul de servicii asigurate şi tipurile de tehnologii devenite disponibile .Tehnologia celulară , transimiterea de date în reţele mobile şi serviciile multimedia sunt într-o dezvoltare rapidă , utilizatorii mobili având acces la servicii precum e-mail , telefonie , video , e-banking ,etc.

De câţiva ani , reţelele de calculatoare sunt folosite pentru a interconecta calculatoare pesonale şi servere în firme , universitaţi şi oraşe , însă în ultimii ani a avut o evoluţie rapidă în direcţia folosirii reţelelor fără fir . De fapt, în prezent sunt disponibile interfeţe fără fir pentru utilizarea serviciilor de reţea care ne permit să folosim poşta electronică şi să navigăm pe Internet aproape din orice loc ne-am afla .

Sistemele fără fir oferă beneficiul mobilităţii utilizatorilor şi o desfăşurare flexibilă a unei reţele într-o anumită arie. Mobilitatea utilizatorilor îi permite unui client al reţelei să se mişte în diferite locaţii ale reţelei fără să-şi piardă conexiunea la reţea .Reţelele fără fir oferă deasemenea avantajul că adăugarea unui nod la reţea se poate face fără prea multă planificare sau costuri suplimentare de reclabare. Aceasta face ca viitoare dezvoltări ale reţelei să fi uşoare şi ieftine . Creşterea rapidă a folosirii laptoupurilor şi PDA-urilor a condus de asemenea la creşterea

dependenţei de reţelele fără fir datorită faptului că reţelele radio pot face mai uşor faţă creşterii dinamice a utilizatorilor unei reţele.

Ca orice tehnologie relativ nouă , reţelele fără fir reprezintă un mediu de comunicaţie susceptibil la ameninţări ce ţin nu numai de acţiuni din exteriorul mediului ,dar uneori lipsa unei documentări puternice asupra capabilităţilor unui astfel de mediu se traduce în probleme de securitate.

Provocările oferite de reţelele fără fir pot fi detaliate pe mai multe planuri. Deficitul lăţimii de bandă face ca pentru reţelele radio divizarea lăţimii de bandă să

fie esenţială , de vreme ce spectrul radio nu numai că este destul de scump , dar este totodată şi limitat.

Accesul multiplu , adică succesul unei tranmisii nu este independent de alte transmisii . Pentru a face o transmisie reuşită trebuie evitată interferenţa sau cel puţin ţinută sub control. Pe de altă parte transmisiile multiple pot duce la coliziuni sau la semnale deformate.

Direcţiile multiple de transmisie produc erori variabile de transmisie care por conduce la o conectivitate intemitentă.

Mobilitate , securitatea şi calitatea servicului.Următoarea lucrare se va baza în special pe acest ultim deziderat al unei reţele WLAN şi pe

aplicaţiile ce rezidă din necesitatea unei conexiuni tot mai sigure şi mai de calitate în cadrul unei reţele fără fir.

2. Notiuni generale

Criptografia este ştiinţa scrierilor secrete. Ea stă la baza multor servicii şi mecanisme de securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în intenţia de a ascunde conţinutul lor sau de a le proteja împotriva modificării. Criptografia are o lungă istorie, confidenţialitatea comunicării fiind o cerinţă a tuturor timpurilor. Dacă ar trebui să alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu atât datorită celebrităţii împăratului roman de care se leagă folosirea lui, ci pentru că principiul său de baza, al substituţiei, s-a menţinut nealterat aproape două milenii.

Scopul de bază al criptografiei:1. Confidenţialitate – asigurarea că nimeni nu poate citi mesajul cu excepţia destinatarului.2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către

persoane neautorizate. Prin manipularea datelor înţelegem procese cum ar fi inserţii, întârzieri sau substituiri.

3. Autentificarea – presupune posibilitatea de identificare a sursei informaţiei şi a entităţii (o persoană, un terminal de computer, o carte de credit).

4. Non-repudierea – care previne negarea unor angajamente sau acţiuni anterioare.Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace sunt

menite să garanteze că entităţile participante sunt ceea ce pretind a fi sau că informaţia nu a fost manipulată de persoane neautorizate.

Tehnica identificării sau autentificării identităţilor asigură că ambii participanţi (prin probe coroborate sau dobândite) implicaţi au într-adevăr identitatea pe care o pretind. Acest lucru se realizează prin transmiterea de date necesare pentru a identifica părţile care participă la comunicaţie, ambii participanţi fiind activi în această comunicaţie oferind astfel oportunitatea unei garanţii.

Este important a înţelege importanţa autentificării. Într-un canal de comunicaţii cu un sistem ideal de criptografie cu chei publice teoretic cele două părţi pot comunica prin intermediul canalului fără a resimţi nevoia schimbării de chei. Ori un adversar activ poate înfrânge sistemul (să

decripteze mesajele menite să le recepţioneze cea de-a doua entitate) fără a „sparge” sistemul de criptografie.

Tehnica autentificării entităţilor se poate împărţi în trei mari categorii, în funcţie de tipul de securitate:

- ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru obţinerea de chei simetrice) Numere Personale de Identificare (PIN-uri) şi chei private, care prin protocoale provocare-răspuns, se dovedeşte cunoaşterea lor.

- ceva posedat. Acest aspect se referă mai mult la accesorii fizice un fel de paşaport încă valabil. Exemple sunt card-urile smart (card-uri de mărimea unuia de credit cu un microprocesor încorporat sau cu un circuit integrat).

- ceva moştenit(pentru o persoană). Această categorie include metode care fac uz de caracteristici fizice şi de acţiuni involuntare cum ar fi semnătura, amprente digitale, vocea, modelul retinei, geometria mâinii precum şi caracteristicile dinamice ale tastatului. Însă acestea sunt tehnici non-criptografice.

Descriere context şi obiective.

Încă din momentul în care Gugliemo Marconi a realizat legătura între un vapor şi un punct de pe coastă folosind telegraful fără fir şi codul Morse (punctele şi linile sunt în definitiv binare) în anul 1901, tehnologia wireless a modificat modul în care oamenii comunică şi transmit informaţii. De la modulaţia în amplitudine (AM) a undelor radio din 1920 şi pâna la multitudinea de dispozitive wireless a secolulului XX, tehnologia wireless s-a dezvoltat dramatic, definind noi industrii dând naştere unui set nou de produse şi servicii.

Comunicaţiile wireless au înregistrat o puternică dezvoltare în ultimele zeci de ani. De la telecomanda televizorului la sisteme ce comunică via satelit, comunicaţiile wireless au schimbat modul în care trăim. Diferitele dispozitive conectate prin intermediul legăturilor wireless conferă o mobilitate ridicată şi solicită o infrastructură mult mai simplă decât obişnuitele reţele cablate. Folosind undele electromagnetice, reţelele wireless transmit şi primesc date prin atmosferă, minimizând nevoia de reţele cablate. Cu ajutorul tehnolgiei de azi reţelele wireless sunt foarte accesibile, sigure şi uşor de implementat.

Reţelele wireless au câştigat o popularitate semnificativă printre utilizatorii foarte mobili şi deasemeni printre cei care fac parte din mici grupuri aşa numitele SoHo (Small Office Home Office). Reţelele wireless ofera posibilitatea utilizatorilor mobili să aibă acces la informaţii în timp real. O reţea de calculatoare poate fi realizată atât ca o reţea de sine stătătoare folosind ca mijloc de comunicaţie doar legăturile wireless , ca o reţea de tip enterprise-reţea la scară mare înglobând sute de calculatoare-, ca o extensie la o reţea cablată sau ca un înlocuitor pentru o reţea cablată.

Reţele wireless ad-hoc sunt o colecţie de host-uri care formează o reţea temporară fără o structură centralizată sau administrare. Topologia reţelei se modifică în mod constant ca rezultat al faptului că nodurile se alătură sau ies din reţea. Înaintarea pachetelor, rutarea sau alte operaţii sunt realizate de noduri.

Creşterea popularităţii reţelelor wireless a determinat o scădere rapidă a preţului echipamentelor wireless concomitent cu o accentuată îmbunătăţire a performanţelor tehnice ale acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici decât una tradiţională pe cablu. În acest fel, apar premizele realizării accesului ieftin şi uşor la Internet membrilor comunităţilor locale, cu toate beneficiile ce rezultă de aici. Accesul la informaţia globală constituie o sursă de bogăţie la scară locală, prin creşterea productivităţii muncii bazate pe accesul la cvasitotalitatea informaţiilor disponibile în lume în legătură cu activitatea prestată. Totodată, reţeaua devine mai valoroasă pe măsură ce tot mai mulţi oameni se leagă la ea.

Figura.11: Tipuri de reţele wireless

Chiar şi fără accesul la Internet comunităţile legate la reţele wireless se bucură de avantaje - pot colabora la diferite proiecte cu întindere geografică mare folosind comunicaţii vocale, e-mail–uri şi transmisii de date cu costuri foarte mici. În ultimă instanţă, oamenii înţeleg că aceste reţele sunt realizate pentru a intra mai uşor în legătură unii cu alţii.

O reţea, fie că este cablată sau wireless, este creată pentru a transporta date între doi sau mai mulţi clienţi. Tipul datelor poate avea un caracter public sau confidenţial. Dacă pentru datele de tip neconfidenţial securitatea conexiunii nu este o problemă chiar aşa de importantă, pentru cele confidenţiale, securitatea datelor este critică.

Securitatea reţelelor wireless este cu atât mai greu de obţinut mai ales datorită vulnerabilităţii legăturilor, protecţiei fizice limitate a fiecărui dintre noduri, conectivităţii sporadice, topologiei care se schimbă dinamic, absenţa autorităţii de certificare şi lipsa unei monitorizări centralizate sau unui punct de management.

Pentru securizarea reţelelor wireless au fost definite suita de protocoale IEEE 802.11 a/b/g/n cunoscute ca şi Wi-Fi (Wireless Fidelity) şi 802.16 cunoscut şi ca WiMax (Worldwide Interoperability for Microwave Access).

Figure 1.2 : Acoperirea cu semnal de la un punct de acces

Tabel 1. Informaţii despre standardele reţelelor wireless

Standard Rata de transferBanda Tipul de modulaţieSecuritatea Pro şi contra – informaţiiIEEE 802.11

Până la 2 Mbps în banda de 2.4 GHz

Operează în banda de frecvenţe ISM (Industrie, Ştiinţă, Medicină)

FHSS sau DSSS WEP şi WPA Acest standard a fost extins la 802.11 b

IEEE 802.11a (Wi-Fi)

Până la 54 Mbps în banda de 5GHzOperează în banda ISM între

5,745 şi 5,805 GHz şi în banda UNII (Unlicensed National Information Infrastructure) între 5,170 şi 5,320 GHz.

OFDM WEP şi WPA Ratificat la 16 septembrie 1999Se folosesc opt canalePosibilitatea de interferenţă mai mică decât 802.11 b şi gsuportă mai bine multimedia voce şi video în aplicaţii cu mai mulţi utilizatoriraza de operativitate mai micănu este interoperabil cu 802.11 b

IEEE 802.11b (Wi-Fi)

Până la 11Mbps în banda de 2.4 GHzOperează în banda de frecvenţe

ISM (Industrie, Ştiinţă, Medicină)

Modulaţiile numai de tipul celor care au dispersia spectrului cuprinsă între 2,412 şi 2,484 GHz:DSSS cu CCK

WEP şi WPA ratificat în 16 septembrie 1999;putere la ieşire de până la 1 watt;Are nevoie de mai puţine puncte de acces decât 802.11a pentru acoperirea unor arii largi;Oferă acces de viteză mare până la distanţa de 300 picioareSunt disponibile 14 canale în banda de 2.4 GHz (dintre care numai 11 se pot folosi în U.S. datorită reglementărilor FCC)

IEEE Până la 54Mbps în Banda ISM OFDM la peste 20 WEP şi WPA Ratificat în iunie 2003

802.11g (Wi-Fi)

banda de 2.4 GHz Mbps, DSSS cu CCK sub 20 Mbps

Poate înlocui 802.11bCapabilităţi de securitate sporită

IEEE 802.16 (WiMAX)

În banda de 10 la 66 GHz Două benzi licenţiate: 3,3 – 3,8

GHz şi 2,3 – 2,7 GHz;Bandă nelicenţiată: 5,725 – 5,85 GHz.

OFDM DES şi AES Ratificat în 2004;Poate să utilizeze mai multe benzi de frecvenţe, licenţiate şi nelicenţiate, alocate de ITU;Defineşte un standard pentru reţele de bandă largă wireless metropolitane

IEEE 802.16a

Suport pentru gama de la 2 la 11 GHz

2 la 11 GHz OFDM DES3 şi AES

BluetoothPână la 2 Mbps banda de 2.45GHz FHSS PPTP, SSL sau VPN

Nu suportă TCP/IP sau wireless LAN;Utilizat mai cu seamă pentru conectarea PDA-urilor, telefoanelor mobile şi PC într-o arie mică.

Prin folosirea acestor metode de securizare se asigură controlul de acces la reţea şi confidenţialitatea datelor care trec prin aceasta.

Într-o reţea wireless deschisă (numită şi Open System), oricine se află în aria de acoperire se poate conecta, chiar şi utilizatorii nedoriţi. De aici se ajunge la diverse probleme cum ar fi irosirea lăţimii de bandă (folosită de intruşi), introducerea de programe cu caracter maliţios în reţeaua privată, sau aşa numitul eavesdropping (interceptarea şi citirea mesajelor sau a oricărui tip de date). Lipsa de securitate a reţelelor Open System poate duce la simplificarea muncii celor ce fac spionaj industrial sau a celor care consideră intruziunea într-o reţea wireless privată o distracţie.

Situaţia este diferită în cazul reţelelor securizate, utilizatorii, pentru a avea acces la reţea, trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât reţeaua cât şi utilizatorii sunt protejaţi de pericolele prezentate mai sus. În caz de nevoie utilizatorii pot fi separaţi între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele VPN, sau alte modalităţi.

Puncte slabe ale reţelelor fără fir: Ca la orice altă tehnologie nouă, şi în acest caz a fost dezvoltată mai întâi funcţionalitatea. Configurarea şi utilizarea reţelelor WLAN trebuia să decurgă cât mai simplu şi mai confortabil. După ce interesul pentru avantajele noii tehnologii a fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea rapidă a reţelelor radio nu a avut numai consecinţe pozitive: numeroase bug-uri şi câteva breşe de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulţi administratori au evitat utilizarea reţelelor wireless. La planificarea, instalarea şi administrarea reţelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că tehnologia WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul securităţii trebuie tratat cu maximă seriozitate. Chiar şi funcţiile de securitate incluse ulterior în WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi nesigure uşor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri şi de aşa-numiţii war driveri. Marele minus al tehnologiei constă în lipsa protecţiei fizice a datelor de transferat, care există în reţelele pe cablu. Pachetele de date sunt prea puţin protejate la transferul prin unde radio şi se distribuie aproape incontrolabil în mediul ambiant. Aşadar, ele pot fi de exemplu recepţionate de către terţi, înregistrate, evaluate sau chiar manipulate. în special monitorizarea traficului de reţea, aşa numitul sniffing, este unul dintre cele mai mari pericole în WLAN.

3. Reţele wireless

Calculatoarele mobile reprezintă segmentul din industria tehnicii de calcul cu dezvoltarea cea mai rapidă. Mulţi posesori ai acestor calculatoare au la birou sisteme legate la LAN-uri şi WAN-uri şi vor să se conecteze la acestea, chiar şi atunci când se află în locuri depărtate de casă sau pe drum. Deoarece legăturile prin fir sunt imposibile în maşini şi avioane, interesul pentru reţelele radio este foarte puternic. În această secţiune vom face o scurtă introducere în acest subiect prezentând mai în detaliu principiile teoretice ce stau la baza funcţionării unei mediu fără fir.

Comunicaţiile digitale fără fir nu reprezintă, de fapt, o idee nouă. încă din 1901, fizicianul italian Guglielmo Marconi a realizat legătura între un vapor şi un punct de pe coastă folosind telegraful fără fir şi codul Morse (punctele şi liniile sunt, în definitiv, binare). Sistemele radio moderne au performanţe mai bune, dar ideea fundamentală a rămas aceeaşi.

Reţelele radio au numeroase utilizări. Biroul portabil reprezintă una dintre ele. Oamenii aflaţi pe drum doresc adesea să folosească echipamentele lor electronice portabile pentru a trimite şi primi faxuri şi poştă electronică, pentru a citi fişiere aflate la distanţă, pentru a se conecta la distanţă şi aşa mai departe. Şi doresc să facă aşa ceva din orice loc de pe uscat, apă sau aer. Reţelele radio sunt de mare importanţă pentru parcurile de camioane, taxiuri şi autobuze, ca şi pentru echipele de intervenţie care trebuie să menţină contactul cu baza. Reţelele radio pot fi de asemenea utile pentru echipele de intervenţie în locuri de dezastru (incendii, inundaţii, cutremure etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse la faţa locului pot să trimită mesaje, să înregistreze informaţii şi aşa mai departe.

În sfârşit, reţelele radio sunt importante pentru armată. Dacă trebuie să faci faţă în cel mai scurt timp unui război care se poate desfăşura oriunde în lume, atunci probabil că nu este o idee bună să te bazezi pe infrastructura de reţele existentă la faţa locului. Este mai bine să-ţi aduci propria reţea.

Tabel 2 : Combinaţii de reţele fără fir şi tehnică de calcul mobilă.

Fără fir Mobil AplicaţiiNu Nu Staţii de lucru staţionare într-un birouNuDa

DaNu

Folosirea unui calculator portabil într-un hotel sau pentru inspecţia trenurilorLAN-uri instalate în clădiri mai vechi, fără fire

Da Da Birouri mobile; PDA-uri pentru inventarierea magaziei

Deşi reţelele fără fir şi echipamentele de calcul mobile sunt adesea înrudite, ele nu sunt identice (a se vedea tabelul alăturat). Calculatoarele portabile comunică uneori cu ajutorul firelor. Dacă într-un hotel un turist racordează un calculator mobil la mufa de telefon, acesta este un exemplu de mobilitate fără reţea radio. Un alt exemplu se referă la o persoană care poartă cu sine un calculator mobil în timp ce inspectează, pentru probleme tehnice, un tren. în acest caz, în spatele calculatorului poate foarte bine să atârne un fir lung (ca la aspirator).

Deşi LAN-urile fără fir sunt uşor de instalat, ele au şi unele dezavantaje. Capacitatea lor tipică este de 1-2 Mbps, ceea ce este mult mai puţin decât în cazul LAN-urilor cu fir. De asemenea, rata de erori este adesea mai mare, iar transmisiile între diferite calculatoare pot interfera unele cu altele.

Dar există, desigur, şi aplicaţii cu adevărat mobile, fără fir, începând cu biroul portabil şi terminând cu persoanele care fac inventarul unui magazin folosind PDA-uri. în multe aeroporttiri aglomerate, angajaţii companiilor de închiriat maşini lucrează în parcări cu calculatoare portabile fără fir. Ei introduc în calculator numărul de înmatriculare al fiecărei maşini returnate, iar

portabilele lor, care au înglobată o imprimantă, apelează calculatorul central, primesc informaţii despre închirierea respectivei maşini şi eliberează factura de plată pe loc.

Wireless LAN reprezintă, mai precis, reţele de calculatoare ce comunică între ele prin legături definite de standardele 802.11b sau 802.11g. Conform acestor standarde, comunicarea se face pe banda de frecvenţă de 2.4Ghz pe un număr de maxim 14 canale. La noi în ţara pot fi utilizate 13 canale fără nici o autorizaţie prealabilă dacă nu se depăşeşte puterea maximă admisă pentru această frecvenţă.

Există două moduri de realizare a unei reţele fără fir:• Ad-hoc - Se conectează între ele mai multe calculatoare. Nu există conectivitate cu o

reţea cu fir sau conectarea cu reţeaua cu fir se face prin intermediul unui calculator cu o aplicaţie software dedicată. Se pretează în general pentru un număr redus de calculatoare aflate pe o suprafaţă mică. Fiecare calculator se conectează cu celălalt fără a fi nevoie de un alt echipament.

• Infrastructure - Comunicarea se face prin intermediul unui echipament activ numit access point (AP). O legătură între 2 calculatoare se face prin intermediul access point-ului la care sunt conectate fiecare dintre ele. Acest mod de lucru permite o rază mare de acoperire prin utilizarea mai multor access point-uri conectate intre ele. De asemenea, e modul de lucru preferat dacă se doreşte interconectarea unei reţele cu fir cu o reţea fără fir sau legătura între un număr mare de clienţi fără fir.

Figure1.3:Moduri de realizare a unei reţele fără fir

Pentru o bună inţelegere a modului de realizare şi a facilităţilor oferite de reţelele wireless trebuie mai întâi să înţelegem elementele de bază şi modul de realizare a reţelelor cablate.

APLICAŢIE - Selectarea strategiei de securitate potrivite

Configuraţia reţelelor locale fără fir bazată pe standardele radio 802.11 poate părea simplă la prima vedere. In cadrul unei reţele WLAN sunt necesare şi alte măsuri de prevedere şi o planificare mai profundă.

Factori ce trebuie luaţi în considerare atunci când se proiectează o reţea WLAN: Lărgimea benzii necesare pentru a suporta utilizatorii şi aplicaţiile fără fir. Aria de lucru , niveluri de interferenţă pentru frecvenţele radio.

Tipul autentificării şi securităţii cerut de către politica de securitate a beneficiarului. Flexibilitate şi posibilitatea de a efectua upgrade-uri.

Preţul , seturile de caracteristici ale 802.11 , capacităţile de management şi abilitatea de a integra reţeaua fără fir în cadrul reţelei cu fir deja existente.

Întrucât scopul lucrării de faţă este de a studia elementele de securitate disponibile în cadrul reţelelor fără fir şi deasemeni posibilităţile de întărire a securităţii unei astfel de reţele, vom discuta despre caracteristicile de securitate şi de autentificare ce trebuie luate în calcul la dezvoltarea unei reţele fără fir .

1.Selectarea strategiei de securitate potrivite

Alegerea tipului autentificării, criptării datelor şi securităţii prin care se asigură integritatea pachetelor pentru o reţea fără fir LAN depinde de o serie de factori. Politica de securitate a companiei , tipul datelor pe care încercăm să le protejăm, complexitatea soluţiei de securitate joacă un rol important în alegerea tipului de autentificare şi a schemei de criptare a datelor . Ce dorim să protejăm şi cine ar trebui să primească acces la reaţea ? Îm al doilea rând artrebui să înţelegem, pe deplin beneficiile fiecărui tip de autentificare şi ale fiecărei metode de criptare a datelor şi informaţia suplimentară (overhead-ul) necesar pentur configurarea fiecărei componente de securitate. Nu în ultimul rănd trebuie testate caracteristicile de securitate alese pentru software-ul şi hardware-ul client , pentru a vedea dacă aceste satisfac nevoile reţelei.

Pentru securizare unei reţele fără fir avem la dispoziţie următoarele metode de autentificare a accesului la reţea şi de criptare a datelor vehiculate în cadrul reţelei.Este bine de precizat că numai o combinare eficientă a acestor metode va oferi soluţia portivită pentru fiecare tip de reţea în parte.

Metode de autentificare: Fără autentficare Filtrarea adreselor MAC (MAC adress filtering) Cheie WEP partajată (Shared WEP Key) Cheie pre partajată (pre-shared key) 802.1x (tehnologii EAP ) Autentificare VPN

Fiecare din aceste metode de autentificare are avantaje şi dezavantaje . Cu cât este mai puternică autentificare , cu atât sunt necesare mai multe echipamente hard şi aplicaţii soft iar eforul depus pentru asigurarea funcţionării şi întreţinerii soluţiei de securitate este mai mare . Există întotdeauna o discrepanţă între o securitate de nivel înalt şi utilitatea sau uşurinţa setării şi utilzării.

Metode de criptare a datelor: Fără criptare WEP static WEP dinamic (WEP rotativ) Acces protejat WIFI (WPA cu TKIP şi AES-CCM) Criptarea VPN printr-un terţ (3rd party VPN Encryption)

După selectarea unei metode de autentificare pentru reţeaua WLAN , se trece la selectarea unei scheme de criptare a datelor pentru protejarea pachetelor de date care circulă în aer liber. Unele din aceste scheme d criptare pot fi folosite doar cu metode de autentificare specifice.

Pentru soluţii de securitate la nivel de întreprindere , standardul minim de securitate car trebuie ales este Dinamyc WEP . Dinamyc WEP foloseşte 802.1x pentru a asigura p autentificare puternică şi generează dinamic o cheie WEP unică pentru fiecare utilizator al reţelei.

Combinaţii ale metodelor de securizare ale reţelelor fără fir.

După cum am observat , există mai multe variante pentru a asigura securitatea spaţiului aferent fără fir . Întrucât nevoie de securitate creşte , complexitatea implementării şi utilizării creşte de asemenea . Atunci când se aleg anumite caracteristici de securitate trebuie avuţi în vedere şi clienţii fără fir deja existenţi şi dacă aceştia suportă aceste noi caracterisitic. Trebuie să ne asigurăm se compatibilitatea deplină a clienţilor NIC cu securitatea furnizată de punctul de acces sau de switc-ul WLAN.

În următorul tabel sunt prezentate cele mai cunoscute combinaţii de autentificare şi securitate la nivel de întreprindere . Alegerea schemei potrivite depinde de cerinţele de securitate , datele care trebuie protejate şi tipul serviciilor oferite de către reţeaua fără fir.

Tabel : Scheme de securizare

Metoda de autentificare

Metoda de criptare a datelor

Descriere

Nici una Nici una Reţeaua wireless e folosită ca o reţea de nivel secundar, fără securitate. Poate fi folosită pentru punctele de acces gratuite , reţele pentru clienţi cu trafic VLAN către reţelele externe împreună cu o soluţie de securitate VPN.

Cheie partajată WEP static Securitatea datelor nu este prioritară şi abilitatea scalării soluţiei nu este necesară . Aleasă pentru uşurinţa implementării în detrimentul securităţii datelor şi complexităţii autentificării. Se pretează pentru reţele destinate clienţilor sau reţele cu securitate scăzută.

802.1x WEP Autentificare utilizatorului pe un server RADIUS şi chei de criptare unice generate aleator pentru fiecare utilizator şi fiecare sesiune. Cheltuielile pentru setare sunt mai mari ,însă oferă o securitate de nivel înalt. Majoritatea softurilor client şi a cartelelor NIC fără fir suportă această metodă. Complexitatea implementării deoinde de tipul de EAP selectat.

Cheie prepartajată WPA Criptarea puternică a datelor este asigurată prin WPA folosind TKIP şi AES. Autentificarea este simplificată însă folosirea cheilor pre distribuite duce la compromiterea scalabilităţii.Se foloseşte în general , în reţele de dimensiuni mai mici unde simplicitatea autentificării este dorită mai mult decât folosirea unei unui server RADIUS şi a clienţilor 802.1x.

802.1x WPA Soluţie de securitate foarte înaltă care foloseşte un server RADIUS pentru autentificarea fiecărui utilizator şi WPA cu TKIP sau AES pentru criptarea datelor . Cardurile NIC şi driverele client trebuie să suporte WPA şi clienţi 802.1x , fiind necesară folosirea unui server RADIUS compatibil cu 802.1x. Este potrivit pentru reţelele fără fir la nivel de întreprindere care necesită autenificare puternică a utilizatorilor fără fir şi o criptare puternică a datelor.Complexitatea implementării depinde de tipul de EAP folosit.

Filtrarea adreselor MAC

opţional Filtrarea adreselor MAC este o schemă separată de autentificare care poate fi aplicată la oricare din combinaţiile de securitate menţionate. Ea adaugă complexitate în întreţinere , printr-p listă a adreselor MAC a clienţilor care

trebuie întreţinută. Filtrarea adreselor MAC a clienţilor poate fi ocolită de către hackeri . În general e utilizată cu scheme la nivel inferior ca să asigure o extrasecuritate.

Prezentarea schemei practice şi a dispozitivelor folosite: Ruter TRENDNET TEW-432BRP

Pentru realizarea schemei practice am folosit un router wireless TRENDNET , un laptop şi un PC care va fi folosit pentru a asigura operaţiunile de administrare a reţelei şi deasemeni pe care a fost instalat Windows Server 2003 pentru realizarea server-ului RADIUS folosit ulterior pentru administrarea utilizatorilor.

Date tehnice:Compatibil cu dispozitive ce folosesc protocoale wireless 802.1g sau 802.1b şi protocoale

din cadrul reţelelor cablate : IEEE 802.3 (!0BASE-T) , IEEE 802.3u(100BASE-TX); ANSI/IEEE 802.3 Auto

Negotiation; 4 porturi lan încorporate de tip 10/100Mbps 1 port 10/100 Mbps de tip WAN (Internet) Suportă modem-uri cable/dsl ce poate folosi IP dinamic , IP static , PPoE sau L2TP; Server DHCP ce poate aloca până la 253 adrese client; Criptare WEP(Wired Equivalent Privacy) pe 64/128 biţi ; 802.1x/WPA, WPA-PSK, TKIP/AES pentru securitatea sporită; Suportă filtrarea după adrese MAC sau adrese IP; Controlul traficului cu ajutorul unui sever virtual sau prin crearea unei zone de tip

DMZ(demilitarized zone); Oferă securitate crscută cu ajutorul unui firewall SPI/NAT ; Suportă routarea dinamică şi statică; Suportă IPSEC sau tehnologii VPN; Flash memory pentru operaţiuni de firmware; Compatibil cu Windows 95/98/2000/XP sau Linux ; Management uşor via Web Browser(HTTP) sau remote management; Aria de acoperire : interior 30 -50 metri exterior : 50-200 metri ; Frecvenţa : 2.412 – 2.484 GHz (Banda ISM ); Tehnica de modulare : 802.11b : CCK, DQPSK, DBPSK 802.11g: OFDM Rate de transfer: 802.11b : 11Mbps, 5.5 Mbps, 2Mbps şi 1 Mbps; 802.11g : 54 Mbps, 48 Mbps, 36 Mbps, 24Mbps,18 Mbps,12Mbps, 9Mbps şi

6Mbps; Canale: 11 canale (US), 13 canale (EU);

Configuraţia de principiu a platformei folosite pentru implementarea practică a proiectului :

Realizarea practică:

1. Setarea parametrilor de lucru ai routeruluiAşa cum se poate observa şi din configuraţia de principiu a schemei de funcţionare pentru

interconectarea routerului cu laptopul client din reţea am folosit un adaptor wireless TRENDNET TEW-412PC care a fost configurat pe calculatorul client conform cu instrucţiunile furnizate de driver-ul de instalare.

Router-ul TRENDNET TEW-432BRP a fost configurat conform cu wizard-ul implicit furnizat de driver-ul aferent router-ului pe un PC cu sistem de operare Windows XP care ulterior va reprezenta şi platforma pentru serverul RADIUS folosit pentru autentificarea de nivel înalt a utilizatorilor.

Acest wizard este utilizat pentru setarea informaţiilor primare cu privire la caracteristicile router-ului cum sunt :

1 . parola administrator2. time zone

conexiune LAN şi server-ul DHCP. În cadrul acestui pas se setează automat IP-ul server-ului default este //192.168.1.1 . Tot în cadrul acestui pas se setează server-ul DHCP care va furniza clienţilor adrese IP cuprinse într-un anumit interval server-ul DHCP putând furniza până la 253 de adrese IP.

conexiunea Internet. În cadrul acestui pas alegem tipul de conexiune pe care o vom folosi pentru conexiunea la WAN. Putem alege

Obtain IP automatically (DHCP client): în cazul în care server-ul DHCP a fost setat să administreze adresele IP din reţea această opţiune va fi asigurată de server-ul DHCP furnizat implicit de router.

Fixed IP Address: în cazul în care provider-ul de Internet asignează o adresă IP fixă , vor fi introduse adresa IP , masca de subreţea , IP-ul gateway şi IP-ul serverului DNS pentru roterul broadband

PPPoE cu adresă IP automată: în cazul utilizării unei conexiuni de tip PPPoE cu ajutorul unui modem dial-ul sau xDSL iar furnizorul de internet va oferi automat o adresă IP şi apoi un user name şi o parolă pentru a crea conexiunea.

PPPoE cu adresă fixă: aceeaşi situaţie ca în cazul precedent numai că pe lângă user name şi password adresa IP va fi prestabilită .

PPTP: (point to point tunneling protocol): acest protocol este folosit în cazul în care se implementează o soluţie de tip VPN sau remote acces.

L2TP: (layer 2 tunneling protocol) o versiune avansată a PPTP . wireless LAN connection: acest pas este necesar pentru crearea unei reţele WLAN.

La crearea acestei reţele va fi necesar stabilirea unui nume SSID pentru reaţeaua viitoare şi deasemeni un canal de comunicaţie , date care trebuie să fie aceleaşi pentru toate dispozitivele wireless din cadrul reţelei nou create.

RestartAcest wizard reprezintă o metoda foarte simplă şi foarte la îndemâna unui utilizator

obişnuit de a crea , cu ajutorul dispozitivelor potrivite, o reţea fără fir. În acest moment pentru mulţi utilizatori instalarea unei reţele WLAN se opreşte aici uşurinţa configurării luând locul lipsei totale de securizare a reţelei. În momentul acesta router-ul va transmite datele sale de identificare către toate dispozitivele wireless din aria sa de acoperire , reteaua astfel creată comportându-se ca un teritoriu fără nici un fel de restricţii.

În continuare vom urmări gradual metodele de securizare a unei reţele fără fir aşa cum au fost prezentate anterior urmând ca în final să furnizăm o soluţie de securizare a reţelei folosind o combinaţie între autentificarea conform protocolului 802.1x ce foloseşte o criptare WEP a datelor vehiculate în cadrul reţelei.

Reţeaua astfel creată se află în stadiul unu de securitate a unei reţele, orice utilzator putând avea acces la resursele reţelei fără fir. Astfel de reţele sunt folosite de obicei pentru accesul la internet în cadrul campusurilo universitare , pentru punctele de acces gratuite unde securitate nu esti un deziderat principal întrucât se presupune că datele vehiculate în reţea nu necesită protecţie suplimentară.

În continuare vom prezenta facilităţile furnizate de router pentru securizarea reţelei nou create.

1. Un prim pas care poate fi făcut pentru a securiza reţeaua nou creată este acela de a dezactiva transmiterea de către router a semnalelor de tip beacon prin care acesta furnizează clienţilor din aria sa de acoperire numele reţelei dată de SSID-ul implicit stabilit în sesiunea precedentă de personalizare a reţelei. În cazul în care router-ul dispune de o opţiune pentru ascunderea identităţii reţelei (SSID),această opţiune trebuie activată. De asemenea, trebuie modificat numele reţelei, deoarece mai toate folosesc denumirea implicită. În locul acesteia este de preferat o descriere care să nu însemne nimic re-cognoscibil, în nici un caz numele proprii. Dacă SSID-ul este ascuns, hacker-ul trebuie să introducă numele reţelei manual, ca şi în cazul parolelor. Acest truc nu ne oferă însă siguranţă absolută, fiindcă utilitare precum Network Stumbler desco-peră şi reţele ascunse.

Pentru ilustrarea acestei măsuri de securitate am configurat în cadrul domeniului de configurare a router-ului un SSID de forma : 1yXq34*$56hrYvWdA78 iar funcţia de “SSID Broadcast ” a fost oprită din meniul cu setari ale reţelei WLAN. Un astfel de identificator al reţelei ajuta nu numai la protejarea SSID-ului de atacuri de tip Brute-Force , ci oferă şi o funcţie de securitate importantă: programe gen WEP Crack adună pachetele transmise de WLAN în scopul spargerii codării WEP .Dar, fiindcă driverele WI-Fi din Linux nu întreprind nici un fel de verificare a datelor prin sume de control , iar caracterele speciale din SSID (conţinute de fiecare pachet ) nu sunt lizibile pentru program , pachetele sunt declarate ca fiind defecte şi implicit respinse. Cu alte cuvinte pachetele de date necodate transmise de WLAN nu mai pot fi interceptate şi sparte.

Pentru conectarea clienţilor reţelei va trebui introdus manual numele reţelei adică 1yXq34*$56hrYvWdA78 iar astfel reţeaua va fi recunoscută imediat ce clientul se află în aria de acoperire a reţelei.

2. Aşa cum am precizat anterior o reţea care doar are dezactivată funcţia de SSID broadcast este cu siguranţă susceptibilă unor atacuri de tip MITM întrucât un acces neautorizat poate fi realizat foarte simplu prin folosirea unei interfeţe de reaţea ce poate lucra în modul promiscous şi care poate folosi Network Stumbler pentru a intercepta traficul din reţea şi implicit şi numele SSID al reţealei. Din această cauză o măsură suplimentară de securitate oferită de majoritatea dispozitivelor fără fir este activarea autentificării WEP.

Router-ul dispune de posibilitatea setării unei autentificări WEP fie de tip Open System fie de tip cheie partajată. Open sistem permite accesul deschis via reţea wireless la router însă tipul de autentificare cu cheie partajată se bazează pe o cheie cunoscută de toţi utilizatorii din reţea . Router-ul permite setarea unei chei maxime de 128 de biţi în format fie heza zecimal fie în format ASCII. Deasemeni se pot seta un număr de 4 chei WEP care vor putea fi folosite pentru securizare reţelei.

Problema standardului WEP dată de vectorul de iniţializare.Se recomandăca acest vector de iniţializare să se repete pentru a nu fi interceptat. Din păcate, acest lucru nu este respectat de toţi producătorii şi nici nu prea există referinţe despre cum se generează un vector de iniţializare. De regulă, în acest sens este utilizat un pseudo-generator de numere aleatoare. Consecinţa este că, mai devreme sau mai târziu, VI-ul ajunge să se repete. Un studiu realizat de Universitatea Berkley spune că vectorul de iniţializare se repetă după circa 5.000 de pachete de date transmise în reţeaua wireless. Dacă hacker-ul descoperă două pachete cu VI identic, acesta poate descoperi cheia WEP. Problema cea mai importantă se pare că o constituie faptul că pentru un atac asupra unei reţele WLAN un rău –voitor nu are nevoie de software complicat ,programe care pot sparge WEP sunt disponibile de exemplu la adrese ca wepcrack.sourceforge.net sau airsnort.shmoo.com .

Totuşi aşa cum am precizat mai devreme un element de securitate desuet aşa cum este WEP este mai bun decât nefolosirea aşa ca este indicată utilizarea acestuia în combinaţie cu alte metode de întărire a securităţii reţelei.

Deasemenea router-ul dispune de autentificare WPA şi WPA-PSK care vor fi discutate ulterior fiind o soluţie de securitate mult mai avansată decât simpla folosire a WEP.

3. Router-ul oferă ,ca şi un grad crescut de securitate, două moduri de expediere a datelor : static sau dinamic. În cadrul rutării statice pot fi stabilite parametrii de rutare a datelor în cazul în care utilizatorul are o adresă IP statică. Deasemeni este oferită şi posibilitatea unei rutări dinamice acest tip de rutare încercând să rezolve problema unei rute prin folosire unor tabele de rutare automate. Rutarea adreselor poate fi folosită în combinaţie cu o zonă DMZ pentru a direcţiona traficul din reţea către această zonă.

4. În opţiunea de acces la facilităţile ruterului putem utiliza mai multe căi de restricţionare a accesului la reţeaua WLAN.

a). Filtrarea MAC: această metodă de filtrare a accesului poate fi folosită în conjuncţie cu orice altă schmă de securitate. Ea adaugă complexitate în întreţinere , printr-o listă a adreselor MAC a clienţilor care au drepturi de acces. Totuşi această soluţie nu poate fi considerată o măsură suficintă de a asigura securitate reţelei întrucât chiar şi ruterul folosit în cadrul acestui proiect dispunde de posibilitatea clonării adresei MAC astfel că o astfel de măsură poate fi uşor compromisă.

b). Filtrarea accesului pe baza protocolului folosit de client . O listă de profile sunt disponibile şi conform cu caracteristicile acestor protocoale pot fi restrricţionate anumite porturi de acces la Internet.

c). IP filter- cu ajutorul acestei opţiuni poate fi restricţionat acesul adreselor IP aflate într-un anumit interval.

d). Virtual Server: cu ajutorul acestei setări putem direcţiona accesul către un server local din cadrul reţelei.

e). DMZ – zonă tampon pentru clienţii care nu pot avea acces la internet prin intermediul ruterului datorită elementelor de securitate pe care nu le îndeplines .Calculatorul a cărei adresă IP este folosită pentru a indica această zonă DMZ va oferi acces nelimitat la Internet. De obicei acest tip de zone de acces la Internet sunt folosite în cadrul hot spoturilor gratuite în care informaţiile vehiculate nu sunt importante.

f).Firewall RuleAceste setari definesc toate facilităţile puse la dispoziţia unui administrator de a reglementa

anumite permisiuni valabile utilizatorilor reţelei sau celor care doresc să acceseze reţeaua WLAN. Cu ajutorul acestor opţiuni sunt posibile implementarea schemelor de securitate prezentate în tabelul de mai sus care nu au nevoie ca metodă de autentificare folosirea unui server RADIUS şi implicit a unei autentificări conform standardului EAP.

Server RADIUS cu protocol EAP.Desfăşurarea procesului de autentificare , autorizare şi actualizare a contului unui utilizator

wireless în cadrul reţelei se va desfăşura conform cu dialogul standard de autorizare la un server RADIUS iar participanţii la dialogul de autentificare trebuie să respecte aceleaşi caracteristici de securitate .

1.Schema de principiu a montajului

Client

Interfaţa hostului

Port acces la reţea(AP , switch)

Server AAA (orice server EAP de obicei RADIUS)

Server autentificare

Mesaje EAP încapsulate tipic pentru RADIUS

Autentificatorul

192.168.1.100

EAPOL

192.168.1.1

192,168,1,,111

1

2.Protocolul de comunicaţieServerul de autentificare poate fi în acelaşi loc cu autentificatorul sau cele două pot fi în

locuridiferite şi să se acceseze reciproc prin comunicaţie de la distanţă. Multe dintre funcţiile de autentificare sunt implementate la client şi la serverul de autentificare . Acest lucru este benefic pentru punctele de acces, deoarece ele au o memorie mică şi putere de procesare redusă.

Dialogul de autorizare standard constă în : AP (punctele de acces) cere STA(staţiile) să se identidifice folosind EAPOL (EAP

over LAN). STA îşi trimite identitatea la AP AP trimite mai departe identitatea STA la AS (server de autentificare), prin

intermediul EAP Între AS şi STA are loc un dialog de autentificare Dacă dialogul este terminat cu success , STA şi AS partajează cheie de sesiune AS trimite cheia de sesiune la AP într-un atribut RADIUS precum şi o parte a

mesajului de acceptare a RADIUSClientul wireless încearcă să se autentifice la reţea prin intermediul ruterului , dar înaintea

autentificării este deschis numai un port necontrolat ce va permite doar mesaje de autentificare de tip EAPOL. Aceste mesaje vor fi trimise către serverul RADIUS care va verifica credenţialele clientului prin analiza conturilor din cadrul Active Directory.

Pentru realizarea practică am folosit configuraţia precedentă pe care am ilustrat posibilităţile de securizare ale reţelei doar cu ajutorul funcţiilor oferite de ruter iar în plus pentru realizarea configuraţiei de lucru pe calculatorul pe care am instalat ruterul am folosit Windows Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de autentificare a clienţilor wireless.

3. Elemente software utilizate Windows Standard Server 2003Windows Standard Server 2003 este un sistem de operare în reţea sigur care oferă rapid şi

uşor soluţii pentru firme. Acest server flexibil este alegerea ideală pentru nevoile zilnice ale firmelor de toate mărimile.

acceptă partajarea fişierelor şi imprimantelor. oferă conectivitate sigură la Internet. permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru. oferă posibilitatea unei bogate colaborări între angajaţi, parteneri şi clienţi acceptă multiprocesarea simetrică cu două căi şi până la 4 gigaocteţi (GO) de memorie. IAS

IAS (Internet Authentification Service) este implementarea Microsoft a unui server RADIUS (Remote Dial – in User Service) . Ca şi server RADIUS , IAS realizează operaţiuni centralizate de autentificare, autorizare şi înregistrare pentru mai multe tipuri de conexiuni la reţea aşa cum sunt reţelele VPN sau WLA , conexiuni dial-up, remote acces sau conexiuni de tip ruter-ruter.

Active DirectoryActive Directory este o implementare a serviciilor de directoare LDAP, folosită de

Microsoft în cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziţia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea

programelor, înnoirea securităţii. Toate aceste operaţiuni pot fi aplicate atât la reţele mici, cât şi la reţele complexe.

Active Directory (AD) - este o ierarhie de câteva obiecte, unde obiectele se împart în trei categorii: resurse (ex: imprimantă), servicii (ex: poşta electronică), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziţie informaţii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securităţii..

4. Implementare practicăa). Implementarea autentificatoruluiLa nivelul ruterului am redirecţionat tot traficul ce încerca să acceseze resursele reţelei

către serverul RADIUS . Pentru autentificarea clienţilor am folosit Wi-Fi protected Acces cu TKIP toate cererile de accesare a reţelei fiind redirecţionate către serverul RADIUS indicat prin adresa 192.168.1.111:1812. Deasemeni pentru comunicaţia dintre ruter-ul wireless şi server este necesară stabilirea unei chei secrete de comunicare.

Figura 6.3 Implementare ruter

b).Implementarea serverului

Serverul va fi instalat pe un sistem de operare Windows Server 2003 indicat prin adresa ţintă //192.168.1.111 iar portul de comunicaţie 1812 va fi deschis pentru comunicaţiile de tip EAP-RADIUS dintre suplicant şi serverul RADIUS.

Figura.3.1 Creare client IAS

Vom identifica ruterul folosit ca şi client al serverului de autentificare pentru care vom forma politici de acces la disstanţa la domeniu, politici ce vor restricţiona accesul în funcţie de caracteristicile clienţilor: adresa IP a clientului , restricţii în funcţie de momentul data şi ora accesării , tipul de conexiune , tipul de protocol folosit pentru securizarea accesului sau după grupul Windows căreia aparţine clientul.

Figura 3.2 Politici de securitate

Pentru clientul anterior format am creeat restricţii remote ce privesc tipul de autentificare folosit. Astfel vom folosi pentru autentificare MS-CHAP v2 care este un protocol al Microsoft de tip Challenge –handshake authentification protocol .MS-CHAP v2 este o versiune îmbunătăţită de MS-CHAP, foarte utilizat de sistemele Windows şi cu suport criptografic mai bun decât protocoalele anterioare. Este recomandată atunci când nu poate fi folosit EAP-TLS deoarece aduce ca şi element de securitate suplimentar autentificarea mutuală. Este suportat de clienţii care rulează sistem de operare Windows 98 Second Edition sau mai nou.Protocolul în desfăşurarea sa respectă următorii pasi:

autentificatorul (serverul IAS) trimite un răspuns de încercare către clientul ce doreşte să se conecteze remote care este reprezentat printr-un identificator de sesiune şi un pachet de date arbitrar.

clientul ce doreşte să se conecteze remote trimite un răspuns ce va cuprinde : user name/un pachet arbitrar de date de tip challenge/o criptare de tip one –way a pachetului de date primit .

autentificatorul verifică răspunsul clientului şi răspunde furnizând : un răspuns ce indică reuşita sau eşecul sesiuni de conectare, un răspuns de autentificare bazat pe pachetul de date trimis de suplicant.

clientul verifică validitatea răspunsului de autentificare iar dacă aceasta e corectă foloseşte conexiunea.

Pentru a putea genera un raport corespunzător cu privire la calitatea clienţilor ce doresc să acceseze reţeaua am creat în cadrul Active Directory un grup de utilizatori ce va conţine toti clienţii wireless ce se vor conecta la reţea, asupra fiecăruia stabilind condiţii de negociere a autentificării. Vom folosi pentru autentificare protocolul PEAP . Spre deosebire de EAP-TLS , acest protocol se potriveşte mai mult reţelelor care au nevoie de o autentificare puternică însă fără a utiliza cerificate mutuale.

Pentru ca, un utilizator să se poată conecta de la distanţă, este obligatoriu ca el să aibă un cont de utilizator în cadrul domeniului sau grupului de lucru gestionat de server. În cazul nostru

există un grup de lucru în cadrul căruia creem un grup de utilizatori ”wireless”. Mai departe, în cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distanţă, practic clienţii WLAN.Astfel vom avea următorii utilizatori, cu nume generice: “George”, “ Daniel” , “Alina” iar grupul de utilizatori poate fi extins în funcţie de cerinţe. La creearea utilizatorilor, se vor crea practic conturi de acces în reţea. Aceste conturi se vor conforma politicilor de securitate stabilite în Windows Server 2003. Este o autentificare bazată pe nume de utilizator şi parolă.

Pentru fiecare utilizator trebuiesc setate anumite proprietaţi, pentru a putea avea acces de la distanţă. Asfel, la fiecare cont de utilizator se va merge la “Proprietaţi” şi apoi la butonul “Dial-in”.

Figura 3.3 Drepturi acces clientAici putem stabili dacă utilizatorul respectiv are sau nu drept să se conecteze la distanţă. Ca

o măsură suplimentară de securitate, se poate seta opţiunea “Verify Caller ID”, adică să se permită accesul, numai daca se conectează de la un număr de telefon predefinit. În cazul nostru, vom seta ca la toţi utilizatorii să fie permis accesul pe baza politicii de securitate a serverului de acces la distanţă(“Control access through Remote Access Policy”).Aceasta va fi configurată ulterior.

c).Implementarea suplicanţilorPentru fiecare client în parte vom stabili acessul de tip remote folosin ca şi metodă de

autentificare 802.1x PEAP cu protocolul MS-CHAP v2. . La proprietaţile conexiunii, putem seta ce tip de conexiune se va iniţia (PPTP sau L2TP), nivelul de criptare pe care îl dorim, metoda de autentificare folosită (MS-CHAP.v2, EAP), modul de autentificare (smart-card, certificate digitale).

PEAP este o metodă de autentificare ce protejează negocierea de tip EAP, încriptând conţinutul cu TLS. Este cel mai frecvent folosită în reţelele wireless 802.11. PEAP poate fi folosit în conjuncţie cu EAP-MS-CHAP-v2, care adaugă autentificare mutuală aşa cum am observat din detalierea paşilor pe care îi urmează procesul de autentificare. Sau EAP-TLS, care este cea mai puternică şi necesită o infrastructură de chei publice PKI.

În funcţie de politica de securitate pe care am stabilit-o pe server, vom seta conexiunea în felul următor:

-tip tunel: PPTP-metoda de autentificare: PEAP în conjunţie cu MS-CHAP.v2

-puterea de criptare: Strong encryption 128-bit

Figura 3.3 Implemetare suplicanţi

În momentul conectării la reţea după redirecţionarea accesului către server vom oferi credenţialele proprii care vor fi comparate cu cele introduse pentru fiecare client în Active Directory accesul la reţea şi implicit la resursele reţelei fiind permis decât după confruntarea credenţialeleor introduse de utilizator cu cele stocate în cadrul grupului creat.

Figura 3.4 Conectare clienţi

Autentificarea se va face pe baza conturilor stabilite în Windows Server 2003. În momentul de faţă, clienţii pot să trimită date în reţea şi să acceseze resursele de pe calculatoarele din wlan. Cât timp sunt în reţeaua publică, datele sunt protejate de utilizatorii neautorizaţi atât prin criptare cât şi prin “tunelare”.

Concluzii

Reţelele fără fir furnizează noi provocări la adresa securităţii şi administratorilor, care nu au fost întâlnite în reţelele cablate. Cele mai bune practici dictează o structurare cât mai adecvată a nivelelor pentru securitatea reţelei. Ar trebui luată în considerare configurarea punctelor de acces, firewall-urilor şi a VPN-urilor. Strategiile de securitate ar trebui definite pentru un nivel acceptabil al performanţei. Sistemul de detectare a intruşilor în reţelele fără fir ar trebui să elimine problemele de securitate şi să asigure că ceea ce credem că este securizat este, de fapt, aşa.

După toate elementele de funcţionalităţile de securitate şi opţiunile menţionate până acum în această lucrare, anumite puncte de configurare trebuie avute în vedere în cadrul proiectării reţelelor fără fir de către administratorii unor astfel de reţele . Pe lângă metodele de securitate mai sus detaliate sunt necesare anumite setări de siguranţă care să funcţioneze ca o primă barieră în faţa posibililor atacatori.

Bibliografie

1. Praphul Chandra -Bulletproof Wireless Security GSM , UMTS , 802.11 şi securitatea reţelelor ad-hoc;

2. Rob Flickenger - Building Wireless Community Networks, Second Edition iunie 20033. Merritt Maxim , David Pollino - Wireless Security4. Jahaanayeb Khan si Anis Khwaja - Building Secure Wireless Networks with 802.115. Aftab Ahmad- Wireless and mobile data networks;6. Victor Valeriu Patriciu , Monica Ene Pietrosanu, Calin Vaduva , Ion Bica, Nicolae Voicu-

Securitatea comerţului elecrtronic7. Boer, J. – Direct Sequence Spread Spectrum Physical Layer Specification IEEE 802.11, doc.

IEEE P802.11-96/49E;8. Brenner, P. – A Technical Tutorial on the IEEE 802.11 Protocol, documentatie Internet,

www.sss-mag.com/pdf/802_11tut.pdf9. Irvine, J., D. Harle – Data Communications and Networks, Ed. Wiley, Anglia, 2002.10. Lough, D.L., T. K. Blankenship, K. J. Krizman – A Short Tutorial on Wireless LANs and

IEEE 802.11, Institutul Politehnic Bradley – Virginia.11. Meel, J. – Spread Spectrum (SS) applications, © Institutul DE NAYER,12. Miller, S.L. – Wireless Communication Systems, note de curs , ee.tamu.edu/~smiller13. Mocanu, Şt. – Transmiterea datelor pe canale wireless, referat doctorat 2002, AII-215-03.14. Prem, E.C. – Wireless Local Area Networks,15. Şerbanescu, D. - Retele wireless: secrete mici, efecte mari, PC Magazine România, Iunie 200216. Andrew S. Tanembaum – Reţele de calculatoare;

Resurse Internet :*** - http://www.agora.ro/*** - http://www.hot-spot.ro/*** - http://www.chip.ro/*** - www.ieee.org*** - http://www.wi-fiplanet.com/news/article.php/905461*** - http://www.networkworld.ro/general.php*** - http://www.internet-magazin.ro/articol.php*** - http://www.ral.ro/php/produse.php?cid=44#GPRS-WLAN11B

Ministerul Învăţămîntului al Republicii Moldova

Universitatea Tehnică a MoldoveiFacultatea Inginerie şi Management în Electronica şi

TelecomunicaţiiCatedra Telecomunicaţii

Dare de SeamaLucrarea de laborator nr.3

La disciplina: “Protecţia informaţiei”Tema: “Securitatea informației in rețelele Wireless (Wi-Fi)”

A efectuat:std. gr. TLC-102 Procopciuc V.

A vereficat: Conf. dr. Ciobanu M.

Chişinău 2013