surugiu alexandru marian.docx
TRANSCRIPT
LICEUL TEHNOLOGIC DIMITRIE LEONIDACONSTANAAleea Pelicanului nr.8, 9000138Tel / Fax: 0341 427 401E-mail: [email protected]
PROIECT
PENTRU EXAMENUL DE CERTIFICARE ACALIFICRII ABSOLVENILOR NVMNTULUI LICEAL
FILIERA TEHNOLOGICNIVEL 4PROFIL TEHNICCALIFICARE: TEHNICIAN OPERATOR TEHNICDE CALCUL
ndrumtor: Prof. Turda Ana-MariaElev: Surugiu Alexandru MarianClasa: aXII-a D
2015
LICEUL TEHNOLOGIC DIMITRIE LEONIDACONSTANAAleea Pelicanului nr.8, 9000138Tel / Fax: 0341 427 401E-mail: [email protected]
Tema proiectului
Securizarea reelelor wireless
ndrumtor: Prof. Turda Ana-MariaElev: Surugiu AlexandruClasa: aXII-a D
2015
Cuprins
Argument31.Noiuni de securitate a reelelor de calculatoare51.1.Noiuni generale51.2.Descriere, context i obiective.61.3.Forme i surse de atac a reelelor82.Metode de securizare a reelelor wireless92.1. Standarde de securitate pentru reelele wireless92.2. Reele wireless122.3. Tehnici de securitate pentru reelele wireless143.Configurarea unei reele wireless163.1. Selectarea strategiei de securitate potrivite163.2. Prezentarea schemei practice i a dispozitivelor folosite173.3. Realizarea practic18Concluzii26Bibliografie27
2
Argument
Dezvoltarea extraordinar pe care a cunoscut-o industria calculatoarelor a fost nsoit pas cu pas de apariia i extinderea reelelor. n aproximativ 30 de ani realizrile sunt uimitoare: calculatoarele au dimensiuni reduse i performane greu de bnuit cu ani n urm, iar reelele, dup ani de ncercri n care s-au elaborat diverse modele, standarde, n care s-au experimentat diverse proiecte care au disprut sau care s-au unificat se prezint astzi ntr-o form destul de avansat. Totodat, a crescut numrul aplicaiilor care necesit o reea de calculatoare. Secolul nostru a generat dependena de informaie: oameni care au nevoie s fie n permanena conectai. Pentru aceti utilizatori mobili, cablul torsadat, cablul coaxial i fibrele optice nu sunt de nici un folos. Ei au nevoie de date pentru calculatoarele lor portabile, de buzunar, fr a fi legai de infrastructura comunicaiilor terestre. Pentru aceti utilizatori, rspunsul l constituie comunicaiile fr fir.Reelele wireless sau mai simplu WLAN au aprut ca o alternativ la reeaua LAN prin cablu reprezentnd un sistem flexibil de comunicaii de date, folosit ca o extensie sau o alternativ la reelelor cablate, ntr-o cldire sau un grup de cldiri apropiate. Folosind undele electromagnetice, dispozitivele WLAN transmit i primesc date prin aer, eliminnd necesitatea cablurilor i transformnd reeaua ntr-un LAN mobil. Astfel, dac o firm are un WLAN, la mutarea n alt sediu nu este nevoie de cablri i guriri n perei plafoane pe care acestea le presupun, ci pur i simplu se mut calculatoarele i reeaua poate funciona imediat. Ce-i drept, n general reelele WLAN se folosesc mpreun cu LAN-urile clasice, mai ales pentru partea de tiprire n reea pentru legtura la server.Produsele fr fir, de la comanda la distan a televizoarelor i nchiderii uilor automobilelor la telefonia celular, utilizeaz o form de energie cunoscut ca radiaie electromagnetic pentru a transporta semnalele. n ultimi ani comunicaiile fr fir i cele mobile au cunoscut o cretere exploziv n ceea ce privete numrul de servicii asigurate i tipurile de tehnologii devenite disponibile. Tehnologia celular, transmiterea de date n reele mobile i serviciile multimedia sunt ntr-o dezvoltare rapid, utilizatorii mobili avnd acces la servicii precum e-mail, telefonie, video, e-banking,etc.De civa ani, reelele de calculatoare sunt folosite pentru a interconecta calculatoare personale i servere n firme, universiti i orae, ns n ultimii ani a avut o evoluie rapid n direcia folosirii reelelor fr fir. De fapt, n prezent sunt disponibile interfee fr fir pentru utilizarea serviciilor de reea care ne permit s folosim pota electronic i s navigm pe Internet aproape din orice loc ne-am afla.Sistemele fr fir ofer beneficiul mobilitii utilizatorilor i o desfurare flexibil a unei reele ntr-o anumit arie. Mobilitatea utilizatorilor i permite unui client al reelei s se mite n diferite locaii ale reelei fr s-i piard conexiunea la reea. Reelele fr fir ofer deasemenea avantajul c adugarea unui nod la reea se poate face fr prea mult planificare sau costuri suplimentare de recablare. Aceasta face ca viitoare dezvoltri ale reelei s fi uoare i ieftine. Creterea rapid a folosirii laptopurilor i PDA-urilor a condus de asemenea la creterea dependenei de reelele fr fir datorit faptului c reelele radio pot face mai uor fa creterii dinamice a utilizatorilor unei reele.Ca orice tehnologie relativ nou,reelele fr fir reprezint un mediu de comunicaie susceptibil la ameninri ce in nu numai de aciuni din exteriorul mediului, dar uneori lipsa unei documentri puternice asupra capabilitilor unui astfel de mediu se traduce n probleme de securitate.Tema acestui proiect l reprezint studiul de caz asupra reelelor fr fir i mai ales a cerinelor de securitate pe care le presupune o astfel de reea,cu aplicaii practice n realizare unei reele WLAN care s ndeplineasc cerinele unei reele sigure din punct de vedere a securitii att a accesului la reea ct i a datelor vehiculate n cadrul reelei.
1. Noiuni de securitate a reelelor de calculatoare
1.1. Noiuni generale
Criptografia este tiina scrierilor secrete. Ea st la baza multor servicii i mecanisme de securitate folosite n internet, folosind metode matematice pentru transformarea datelor, n intenia de a ascunde coninutul lor sau de a le proteja mpotriva modificrii. Criptografia are o lung istorie, confidenialitatea comunicrii fiind o cerin a tuturor timpurilor. Dac ar trebui s alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu att datorit celebritii mpratului roman de care se leag folosirea lui, ci pentru c principiul su de baza, al substituiei, s-a meninut nealterat aproape dou milenii.Scopul de baz al criptografiei:1. Confidenialitate asigurarea c nimeni nu poate citi mesajul cu excepia destinatarului.2. Integritatea datelor realizeaz protejarea datelor la alterare sau manipularea de ctre persoane neautorizate. Prin manipularea datelor nelegem procese cum ar fi inserii, ntrzieri sau substituiri.3. Autentificarea presupune posibilitatea de identificare a sursei informaiei i a entitii (o persoan, un terminal de computer, o carte de credit).4. Non-repudierea care previne negarea unor angajamente sau aciuni anterioare.Autentificarea desemneaz un termen folosit pentru a desemna c anumite mijloace sunt menite s garanteze c entitile participante sunt ceea ce pretind a fi sau c informaia nu a fost manipulat de persoane neautorizate.Tehnica identificrii sau autentificrii identitilor asigur c ambii participani (prin probe coroborate sau dobndite) implicai au ntr-adevr identitatea pe care o pretind. Acest lucru se realizeaz prin transmiterea de date necesare pentru a identifica prile care particip la comunicaie, ambii participani fiind activi n aceast comunicaie oferind astfel oportunitatea unei garanii.Este important a nelege importana autentificrii. ntr-un canal de comunicaii cu un sistem ideal de criptografie cu chei publice teoretic cele dou pri pot comunica prin intermediul canalului fr a resimi nevoia schimbrii de chei. Ori un adversar activ poate nfrnge sistemul (s decripteze mesajele menite s le recepioneze cea de-a doua entitate) fr a sparge sistemul de criptografie.Tehnica autentificrii entitilor se poate mpri n trei mari categorii, n funcie de tipul de securitate:- ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru obinerea de chei simetrice) Numere Personale de Identificare (PIN-uri) i chei private, care prin protocoale provocare-rspuns, se dovedete cunoaterea lor.- ceva posedat. Acest aspect se refer mai mult la accesorii fizice un fel de paaport nc valabil. Exemple sunt card-urile smart (card-uri de mrimea unuia de credit cu un microprocesor ncorporat sau cu un circuit integrat).- ceva motenit(pentru o persoan). Aceast categorie include metode care fac uz de caracteristici fizice i de aciuni involuntare cum ar fi semntura, amprente digitale, vocea, modelul retinei, geometria minii precum i caracteristicile dinamice ale tastatului. ns acestea sunt tehnici non-criptografice.
1.2. Descriere, context i obiective.
nc din momentul n care Gugliemo Marconi a realizat legtura ntre un vapor i un punct de pe coast folosind telegraful fr fir i codul Morse (punctele i liniile sunt n definitiv binare) n anul 1901, tehnologia wireless a modificat modul n care oamenii comunic i transmit informaii. De la modulaia n amplitudine (AM) a undelor radio din 1920 i pn la multitudinea de dispozitive wireless a secolului XX, tehnologia wireless s-a dezvoltat dramatic, definind noi industrii dnd natere unui set nou de produse i servicii.Comunicaiile wireless au nregistrat o puternic dezvoltare n ultimele zeci de ani. De la telecomanda televizorului la sisteme ce comunic via satelit, comunicaiile wireless au schimbat modul n care trim. Diferitele dispozitive conectate prin intermediul legturilor wireless confer o mobilitate ridicat i solicit o infrastructur mult mai simpl dect obinuitele reele cablate. Folosind undele electromagnetice, reelele wireless transmit i primesc date prin atmosfer, minimiznd nevoia de reele cablate. Cu ajutorul tehnolgiei de azi reelele wireless sunt foarte accesibile, sigure i uor de implementat.Reelele wireless au ctigat o popularitate semnificativ printre utilizatorii foarte mobili i de asemeni printre cei care fac parte din mici grupuri aa numitele SoHo (Small Office Home Office). Reelele wireless ofer posibilitatea utilizatorilor mobili s aib acces la informaii n timp real. O reea de calculatoare poate fi realizat att ca o reea de sine stttoare folosind ca mijloc de comunicaie doar legturile wireless, ca o reea de tip enterprise-reea la scar mare nglobnd sute de calculatoare, ca o extensie la o reea cablat sau ca un nlocuitor pentru o reea cablat.Reele wireless ad-hoc sunt o colecie de host-uri care formeaz o reea temporar fr o structur centralizat sau administrare. Topologia reelei se modific n mod constant ca rezultat al faptului c nodurile se altur sau ies din reea. naintarea pachetelor, rutarea sau alte operaii sunt realizate de noduri.Creterea popularitii reelelor wireless a determinat o scdere rapid a preului echipamentelor wireless concomitent cu o accentuat mbuntire a performanelor tehnice ale acestora. O infrastructur wireless poate fi realizat astzi cu cheltuieli mult mai mici dect una tradiional pe cablu. n acest fel, apar premizele realizrii accesului ieftin i uor la Internet membrilor comunitilor locale, cu toate beneficiile ce rezult de aici. Accesul la informaia global constituie o surs de bogie la scar local, prin creterea productivitii muncii bazate pe accesul la cvasitotalitatea informaiilor disponibile n lume n legtur cu activitatea prestat. Totodat, reeaua devine mai valoroas pe msur ce tot mai muli oameni se leag la ea.
Figura 1: Tipuri de reele wireless
Chiar i fr accesul la Internet comunitile legate la reele wireless se bucur de avantaje - pot colabora la diferite proiecte cu ntindere geografic mare folosind comunicaii vocale, e-mailuri i transmisii de date cu costuri foarte mici. n ultim instan, oamenii neleg c aceste reele sunt realizate pentru a intra mai uor n legtur unii cu alii.O reea, fie c este cablat sau wireless, este creat pentru a transporta date ntre doi sau mai muli clieni. Tipul datelor poate avea un caracter public sau confidenial. Dac pentru datele de tip neconfidenial securitatea conexiunii nu este o problem chiar aa de important, pentru cele confideniale, securitatea datelor este critic.Securitatea reelelor wireless este cu att mai greu de obinut mai ales datorit vulnerabilitii legturilor, proteciei fizice limitate a fiecrui dintre noduri, conectivitii sporadice, topologiei care se schimb dinamic, absena autoritii de certificare i lipsa unei monitorizri centralizate sau unui punct de management.1.3. Forme i surse de atac a reelelor
Orice reea conectat n Internet are un potenial ridicat de vulnerabilitate n faa unor atacuri sau aciuni cu efecte distructive pentru resursele informatice din acea reea.Natura atacurilor ce pndesc o reea de calculatoare se mpart n trei mari categorii: confidenialitate, disponibilitate i confidenialitate. ntre acestea exist o interdependen foarte strns, evideniindu-se faptul c disponibilitatea i confidenialitatea sunt efectiv legate de integritate.Reelele i resursele ataate de acestea sunt expuse diferitor tipuri de atacuri poteniale, cum ar fi: atacuri la integritate (atacuri la autentificare, furtul sesiunilor, atacuri de protocol, tehnici de manipulare social engineering, tehnici de manipulare neglijente, abuz de privilegii explorarea uilor din spate backdoors), atacuri la confidenialitate (divulgarea neglijent, interceptarea informaiei, acumularea informaiilor) i atacuri la disponibilitate (interferene, supresii, furnizarea de informaii neateptate).Numrul de incidente raportate pe tema securitii n reele informatice urmeaz un trend cresctor, un nivel ngrortor atingnd atacurile venite din domeniu public (Internet). Printre cele mai utilizate mloace de a produce daune atunci cnd este vizat o reea sunt atacuri de tip DoS -Denial of Service (o reea este inundat cu un ux de date generate de atacator pentru a mpiedica tracul legitim de date s ajung la destinaie n acea reea), atacuri prin e-mail sau accesul neautorizat pe anumite servere ce conin date condeniale sau aplicaii de tip critic pentru activitatea unei companii.SANS Institute a relevat printr-un studiu efectuat n 2002 pe un numr de 400 companii din 30 de ri, c ntr-o sptmn s-au nregistrat o medie de 32 de atacuri. i asta era n 2002, de atunci aceste atacuri au luat o amploare incredibil.Atacurile i au originea nu numai din exteriorul reelei, dar i din interior de vreme ce parteneri de afaceri sau angajai ai companiei se pot conecta n reea de la distan i tot mai multe aplicaii se bazeaz pe tehnologii de tip wireless pentru acces n reea. Mobilitatea i accesul la distan sunt la fel de necesare n modul nostru de lucru la fel ns i condenialitatea informaiilor, intimitatea personal i stabilitatea n reea ca mediu de lucru utilizat la schimbul de informaii n timpul activitii.
2. Metode de securizare a reelelor wireless
2.1. Standarde de securitate pentru reelele wireless
Prima reea wireless a fost pus n funciune n 1971 la Universitatea din Hawai sub forma unui proiect de cercetare numit ALOHANET. Topologia folosit era de tip stea bidirecional i avea ca noduri constituente un numr de apte calculatoare mprtiate pe patru insule din arhipelag ce comunicau cu un nod central aflat pe insula Oahu doar prin legturi radio. Iniial, echipamentele WLAN erau destul de scumpe, fiind folosite doar acolo unde amplasarea de cabluri ar fi fost tehnic imposibil. Ca i n alte cazuri din istoria tehnicii de calcul, primele soluii produse pe scar larg au fost cele proprietare (nestandard) i orientate pe diverse nie de pia, dar odat cu sfritul anilor 90 acestea au fost nlocuite de cele standard i generice cum ar fi cele descrise de familia de standarde 802.11 emise de IEEE. Versiunea iniial a standardului IEEE 802.11 lansat n 1997 prevedea dou viteze (1 i 2 Mbps) de transfer a datelor peste infrarou sau unde radio. Transmisia prin infrarou rmne pn astzi o parte valid a standardului, far a avea ns implementri practice. Au aprut atunci cel puin ase implementri diferite, relativ interoperabile i de calitate comercial, de la companii precum Alvarion (PRO.11 i BreezeAccess-II), BreezeCom, Digital/Cabletron, Lucent, Netwave Technologies (AirSurfer Plus i AirSurfer Pro), Symbol Technologies (Spectrum24) i Proxim (OpenAir). Un punct slab al acestei specificaii era c permitea o varietate mare a designului, astfel nct interoperabilitatea era mereu o problem. 802.11 a fost rapid nlocuit (i popularizat) de 802.11b n 1999 ce aducea, pe lng multe mbuntiri n redactare, i o vitez crescut de transmisie a datelor de pn la 11Mbps. Adoptarea pe scar larg a reelelor 802.11 a avut loc numai dup ce 802.11b a fost ratificat ca standard, iar produsele diverilor productori au devenit interoperabile. Cam n aceeai perioad (1999) a aprut i 802.11a, o versiune pentru banda de 5GHz a aceluiai protocol. Acesta a fost urmat de 802.11g, n iulie 2003, ce aducea performane sporite, att n ceea ce privete viteza de transmisie (ce urca la 54Mbps), ct i distana de acoperire n jurul antenei. Standardul aflat n prezent n elaborare de ctre IEEE este 802.11n acesta aduce i el mbuntiri, cum ar fi o vitez teoretic de transmisie de 270Mbps.Deci, pentru securizarea reelelor wireless au fost definite suita de protocoale IEEE 802.11 a/b/g/n cunoscute ca i Wi-Fi (Wireless Fidelity) i 802.16 cunoscut i ca WiMax (Worldwide Interoperability for Microwave Access).
Tabel 1. Informaii despre standardele reelelor wireless
StandardRata de transferBandaSecuritateaPro i contra informaii
IEEE 802.11Pn la 2 Mbps n banda de 2.4 GHzOpereaz n banda de frecvene ISM (Industrie, tiin, Medicin)WEP i WPAAcest standard a fost extins la 802.11 b
IEEE 802.11a (Wi-Fi)Pn la 54 Mbps n banda de 5GHzOpereaz n banda ISM ntre 5,745 i 5,805 GHz i n banda UNII (Unlicensed National Information Infrastructure) ntre 5,170 i 5,320 GHz.
WEP i WPARatificat la 16 septembrie 1999Se folosesc opt canalePosibilitatea de interferen mai mic dect 802.11 b i gsuport mai bine multimedia voce i video n aplicaii cu mai muli utilizatoriraza de operativitate mai micnu este interoperabil cu 802.11 b
IEEE 802.11b (Wi-Fi)Pn la 11Mbps n banda de 2.4 GHzOpereaz n banda de frecvene ISM (Industrie, tiin, Medicin)
WEP i WPAratificat n 16 septembrie 1999;putere la ieire de pn la 1 watt;Are nevoie de mai puine puncte de acces dect 802.11a pentru acoperirea unor arii largi;Ofer acces de vitez mare pn la distana de 300 picioareSunt disponibile 14 canale n banda de 2.4 GHz (dintre care numai 11 se pot folosi n U.S. datorit reglementrilor FCC)
IEEE 802.11g (Wi-Fi)Pn la 54Mbps n banda de 2.4 GHzBanda ISMWEP i WPARatificat n iunie 2003Poate nlocui 802.11bCapabiliti de securitate sporit
IEEE 802.16 (WiMAX)n banda de 10 la 66 GHzDou benzi liceniate: 3,3 3,8 GHz i 2,3 2,7 GHz;Band neliceniat: 5,725 5,85 GHz.
DES i AESRatificat n 2004;Poate s utilizeze mai multe benzi de frecvene, liceniate i neliceniate, alocate de ITU;Definete un standard pentru reele de band larg wireless metropolitane
IEEE 802.16aSuport pentru gama de la 2 la 11 GHz2 la 11 GHzDES3 i AES
BluetoothPn la 2 Mbpsbanda de 2.45GHzPPTP, SSL sau VPNNu suport TCP/IP sau wireless LAN;Utilizat mai cu seam pentru conectarea PDA-urilor, telefoanelor mobile i PC ntr-o arie mic.
Prin folosirea acestor metode de securizare se asigur controlul de acces la reea i confidenialitatea datelor care trec prin aceasta.ntr-o reea wireless deschis (numit i Open System), oricine se afl n aria de acoperire se poate conecta, chiar i utilizatorii nedorii. De aici se ajunge la diverse probleme cum ar fi irosirea limii de band (folosit de intrui), introducerea de programe cu caracter maliios n reeaua privat, sau aa numitul eavesdropping (interceptarea i citirea mesajelor sau a oricrui tip de date). Lipsa de securitate a reelelor Open System poate duce la simplificarea muncii celor ce fac spionaj industrial sau a celor care consider intruziunea ntr-o reea wireless privat o distracie.Situaia este diferit n cazul reelelor securizate, utilizatorii, pentru a avea acces la reea, trebuie s se autentifice nti iar conexiunea (transferul datelor) este criptat. Astfel, att reeaua ct i utilizatorii sunt protejai de pericolele prezentate mai sus. n caz de nevoie utilizatorii pot fi separai ntre ei, sau pe grupuri (departamente, etc) prin folosirea de tunele VPN, sau alte modaliti.Puncte slabe ale reelelor fr fir: Ca la orice alt tehnologie nou, i n acest caz a fost dezvoltat mai nti funcionalitatea. Configurarea i utilizarea reelelor WLAN trebuia s decurg ct mai simplu i mai confortabil. Dup ce interesul pentru avantajele noii tehnologii a fost trezit, a venit clipa eliminrii bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea rapid a reelelor radio nu a avut numai consecine pozitive: numeroase bug-uri i cteva bree de securitate au dunat imaginii WLAN, astfel nct (n ciuda multiplelor avantaje) muli administratori au evitat utilizarea reelelor wireless. La planificarea, instalarea i administrarea reelei dumneavoastr wireless trebuie s avut ntotdeauna n vedere faptul c tehnologia WLAN nu a fost gndit ca mijloc de transport pentru date importante. De aceea, aspectul securitii trebuie tratat cu maxim seriozitate. Chiar i funciile de securitate incluse ulterior n WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi nesigure uor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri i de aa-numiii war driveri. Marele minus al tehnologiei const n lipsa proteciei fizice a datelor de transferat, care exist n reelele pe cablu. Pachetele de date sunt prea puin protejate la transferul prin unde radio i se distribuie aproape incontrolabil n mediul ambiant. Aadar, ele pot fi de exemplu recepionate de ctre teri, nregistrate, evaluate sau chiar manipulate. n special monitorizarea traficului de reea, aa numitul sniffing, este unul dintre cele mai mari pericole n WLAN.2.2. Reele wireless
Calculatoarele mobile reprezint segmentul din industria tehnicii de calcul cu dezvoltarea cea mai rapid. Muli posesori ai acestor calculatoare au la birou sisteme legate la LAN-uri i WAN-uri i vor s se conecteze la acestea, chiar i atunci cnd se afl n locuri deprtate de cas sau pe drum. Deoarece legturile prin fir sunt imposibile n maini i avioane, interesul pentru reelele radio este foarte puternic. n aceast seciune vom face o scurt introducere n acest subiect prezentnd mai n detaliu principiile teoretice ce stau la baza funcionrii unei mediu fr fir.Comunicaiile digitale fr fir nu reprezint, de fapt, o idee nou. nc din 1901, fizicianul italian Guglielmo Marconi a realizat legtura ntre un vapor i un punct de pe coast folosind telegraful fr fir i codul Morse (punctele i liniile sunt, n definitiv, binare). Sistemele radio moderne au performane mai bune, dar ideea fundamental a rmas aceeai.Reelele radio au numeroase utilizri. Biroul portabil reprezint una dintre ele. Oamenii aflai pe drum doresc adesea s foloseasc echipamentele lor electronice portabile pentru a trimite i primi faxuri i pot electronic, pentru a citi fiiere aflate la distan, pentru a se conecta la distan i aa mai departe. i doresc s fac aa ceva din orice loc de pe uscat, ap sau aer. Reelele radio sunt de mare importan pentru parcurile de camioane, taxiuri i autobuze, ca i pentru echipele de intervenie care trebuie s menin contactul cu baza. Reelele radio pot fi de asemenea utile pentru echipele de intervenie n locuri de dezastru (incendii, inundaii, cutremure etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse la faa locului pot s trimit mesaje, s nregistreze informaii i aa mai departe.n sfrit, reelele radio sunt importante pentru armat. Dac trebuie s faci fa n cel mai scurt timp unui rzboi care se poate desfura oriunde n lume, atunci probabil c nu este o idee bun s te bazezi pe infrastructura de reele existent la faa locului. Este mai bine s-i aduci propria reea.
Tabel 2: Combinaii de reele fr fir i tehnic de calcul mobil.
Fr firMobilAplicaii
NuNuStaii de lucru staionare ntr-un birou
NuDaDaNuFolosirea unui calculator portabil ntr-un hotel sau pentru inspecia trenurilorLAN-uri instalate n cldiri mai vechi, fr fire
DaDaBirouri mobile; PDA-uri pentru inventarierea magaziei
Dei reelele fr fir i echipamentele de calcul mobile sunt adesea nrudite, ele nu sunt identice (a se vedea tabelul alturat). Calculatoarele portabile comunic uneori cu ajutorul firelor. Dac ntr-un hotel un turist racordeaz un calculator mobil la mufa de telefon, acesta este un exemplu de mobilitate fr reea radio. Un alt exemplu se refer la o persoan care poart cu sine un calculator mobil n timp ce inspecteaz, pentru probleme tehnice, un tren. n acest caz, n spatele calculatorului poate foarte bine s atrne un fir lung (ca la aspirator).Dei LAN-urile fr fir sunt uor de instalat, ele au i unele dezavantaje. Capacitatea lor tipic este de 1-2 Mbps, ceea ce este mult mai puin dect n cazul LAN-urilor cu fir. De asemenea, rata de erori este adesea mai mare, iar transmisiile ntre diferite calculatoare pot interfera unele cu altele.Dar exist, desigur, i aplicaii cu adevrat mobile, fr fir, ncepnd cu biroul portabil i terminnd cu persoanele care fac inventarul unui magazin folosind PDA-uri. n multe aeroporttiri aglomerate, angajaii companiilor de nchiriat maini lucreaz n parcri cu calculatoare portabile fr fir. Ei introduc n calculator numrul de nmatriculare al fiecrei maini returnate, iar portabilele lor, care au nglobat o imprimant, apeleaz calculatorul central, primesc informaii despre nchirierea respectivei maini i elibereaz factura de plat pe loc.Wireless LAN reprezint, mai precis, reele de calculatoare ce comunic ntre ele prin legturi definite de standardele 802.11b sau 802.11g.Conform acestor standarde, comunicarea se face pe banda de frecven de 2.4Ghz pe un numr de maxim 14 canale. La noi n ara pot fi utilizate 13 canale fr nici o autorizaie prealabil dac nu se depete puterea maxim admis pentru aceast frecven.
Exist dou moduri de realizare a unei reele fr fir: Ad-hoc - Se conecteaz ntre ele mai multe calculatoare. Nu exist conectivitate cu o reea cu fir sau conectarea cu reeaua cu fir se face prin intermediul unui calculator cu o aplicaie software dedicat. Se preteaz n general pentru un numr redus de calculatoare aflate pe o suprafa mic. Fiecare calculator se conecteaz cu cellalt fr a fi nevoie de un alt echipament. Infrastructure- Comunicarea se face prin intermediul unui echipament activ numit access point (AP). O legtur ntre 2 calculatoare se face prin intermediul access point-ului la care sunt conectate fiecare dintre ele. Acest mod de lucru permite o raz mare de acoperire prin utilizarea mai multor access point-uri conectate intre ele. De asemenea, e modul de lucru preferat dac se dorete interconectarea unei reele cu fir cu o reea fr fir sau legtura ntre un numr mare de clieni fr fir.
Figura 2.1: Moduri de realizare a unei reele fr fir
Pentru o bun nelegere a modului de realizare i a facilitilor oferite de reelele wireless trebuie mai nti s nelegem elementele de baz i modul de realizare a reelelor cablate.
2.3. Tehnici de securitate pentru reelele wireless
Tehnicile de generaia nti (WEP)Prima tehnic de securitate pentru reele 802.11 ce a fost cuprins n standard (implementat de marea majoritate a productorilor de echipamente) a fost WEP - Wired Equivalent Privacy. Aceast tehnic a fost conceput pentru a aduce reelele radio cel puin la gradul de protecie pe care l ofer reelele cablate un element important n aceast direcie este faptul c, ntr-o reea 802.11 WEP, participanii la trafic nu sunt protejai unul de cellalt, sau, altfel spus, c odat intrat n reea, un nod are acces la tot traficul ce trece prin ea. Prin metodele din prezent, o celul 802.11 WEP ce folosete o cheie de 104 bii lungime poate fi spart n aproximativ 3 secunde de un procesor la 1,7GHz. Filtrarea MACO alt form primar de securitate este i filtrarea dup adresa MAC (Media Access Control address), cunoscut sub denumiri diverse precum Ethernet hardware address (adres hardware Ethernet), adres hardware, adresa adaptorului de reea (adaptor - sinonim pentru placa de reea), BIA - built-in address sau adresa fizic, i este definit ca fiind un identificator unic asignat plcilor de reea de ctre toi productorii. O form des utilizat de securizare a unei reele wireless rmne i aceast filtrare dup adresa MAC. Aceast politic de securitate se bazeaz pe faptul c fiecare adresa MAC este unic i aadar se pot identifica clar persoanele (sistemele) care vor trebui s aib acces. Dac ntr-o prim faz aceast adres era fixat, noile adrese se pot modifica, astfel aceast form de securizare i pierde din valabilitate. Totui dei exist riscul ca prin aflarea unui MAC valid din cadrul unei reele, folosind un program de tip snnifer, i schimbndu-i MAC-ul n cel nou, atacatorul va putea avea acces legitim, muli administratori folosesc n continuare aceasta form de securizare, datorit formei foarte simple de implementare. De aceea, aceast form de parolare este necesar s se completeze i cu alte securizri enunate mai sus.Tehnicile de generaia a doua (WPA, WPA2)Avnd n vedere eecul nregistrat cu tehnica WEP, IEEE a elaborat standardul numit 802.11i, a crui parte ce trateaz securitatea accesului la reea este cunoscut n practic i ca WPA (Wi-Fi Protected Access). WPA poate folosi certificate, chei publice i private, mesaje cu cod de autentificare (MAC), precum i metode extensibile de autentificare, cum ar fi protocoalele de autentificare EAP sau RADIUS. Pentru a veni n ntmpinarea utilizatorilor casnici sau de arie restrns, IEEE a dezvoltat i o variant mai simpl a standardului i anume WPA-PSK (< Pre-Shared Key mode). n acest mod, n loc de un certificat i o pereche de chei (public i privat), se folosete o singur cheie sub forma unei parole care trebuie cunoscut de toi membrii reelei.
3. Configurarea unei reele wireless
Configuraia reelelor locale fr fir bazat pe standardele radio 802.11 poate prea simpl la prima vedere. In cadrul unei reele WLAN sunt necesare i alte msuri de prevedere i o planificare mai profund.Factori ce trebuie luai n considerare atunci cnd se proiecteaz o reea WLAN: Lrgimea benzii necesare pentru a suporta utilizatorii i aplicaiile fr fir. Aria de lucru, niveluri de interferen pentru frecvenele radio. Tipul autentificrii i securitii cerut de ctre politica de securitate a beneficiarului. Flexibilitate i posibilitatea de a efectua upgrade-uri.Preul, seturile de caracteristici ale 802.11, capacitile de management i abilitatea de a integra reeaua fr fir n cadrul reelei cu fir deja existente.ntruct scopul lucrrii de fa este de a studia elementele de securitate disponibile n cadrul reelelor fr fir i deasemeni posibilitile de ntrire a securitii unei astfel de reele, vom discuta despre caracteristicile de securitate i de autentificare ce trebuie luate n calcul la dezvoltarea unei reele fr fir.
3.1.Selectarea strategiei de securitate potrivite
Alegerea tipului autentificrii, criptrii datelor i securitii prin care se asigur integritatea pachetelor pentru o reea fr fir LAN depinde de o serie de factori:politica de securitate a companiei, tipul datelor pe care ncercm s le protejm, complexitatea soluiei de securitate joac un rol important n alegerea tipului de autentificare i a schemei de criptare a datelor. Ce dorim s protejm i cine ar trebui s primeasc acces la reea ? Pentru securizare unei reele fr fir avem la dispoziie urmtoarele metode de autentificare a accesului la reea i de criptare a datelor vehiculate n cadrul reelei.Este bine de precizat c numai o combinare eficient a acestor metode va oferi soluia potrivit pentru fiecare tip de reea n parte.
Metode de autentificare: Fr autentificare Filtrarea adreselor MAC (MAC adress filtering) Cheie WEP partajat (Shared WEP Key) Cheie pre partajat (pre-shared key) 802.1x (tehnologii EAP ) Autentificare VPNFiecare din aceste metode de autentificare are avantaje i dezavantaje. Cu ct este mai puternic autentificare, cu att sunt necesare mai multe echipamente hard i aplicaii soft iar eforul depus pentru asigurarea funcionrii i ntreinerii soluiei de securitate este mai mare.
Metode de criptare a datelor: Fr criptare WEP static WEP dinamic (WEP rotativ) Acces protejat WIFI (WPA cu TKIP i AES-CCM) Criptarea VPN printr-un ter (3rd party VPN Encryption)Dup selectarea unei metode de autentificare pentru reeaua WLAN, se trece la selectarea unei scheme de criptare a datelor pentru protejarea pachetelor de date care circul n aer liber. Unele din aceste scheme de criptare pot fi folosite doar cu metode de autentificare specifice.Pentru soluii de securitate la nivel de ntreprindere, standardul minim de securitate car trebuie ales este Dinamyc WEP. Dinamyc WEP folosete 802.1x pentru a asigura p autentificare puternic i genereaz dinamic o cheie WEP unic pentru fiecare utilizator al reelei.
Combinaii ale metodelor de securizare ale reelelor fr fir.
Dup cum am observat, exist mai multe variante pentru a asigura securitatea spaiului aferent fr fir. ntruct nevoie de securitate crete, complexitatea implementrii i utilizrii crete de asemenea. Atunci cnd se aleg anumite caracteristici de securitate trebuie avui n vedere i clienii fr fir deja existeni i dac acetia suport aceste noi caracteristic. Trebuie s ne asigurm se compatibilitatea deplin a clienilor NIC cu securitatea furnizat de punctul de acces sau de switch-ul WLAN.n urmtorul tabel sunt prezentate cele mai cunoscute combinaii de autentificare i securitate la nivel de ntreprindere. Alegerea schemei potrivite depinde de cerinele de securitate, datele care trebuie protejate i tipul serviciilor oferite de ctre reeaua fr fir.
3.2. Prezentarea schemei practice i a dispozitivelor folosite
Ruter TRENDNET TEW-432BRPPentru realizarea schemei practice am folosit un router wireless TRENDNET, un laptop i un PC care va fi folosit pentru a asigura operaiunile de administrare a reelei i deasemeni pe care a fost instalat Windows Server 2003 pentru realizarea server-ului RADIUS folosit ulterior pentru administrarea utilizatorilor.Date tehnice:Compatibil cu dispozitive ce folosesc protocoale wireless 802.1g sau 802.1b i protocoale din cadrul reelelor cablate: IEEE 802.3 (10BASE-T), IEEE 802.3u(100BASE-TX); ANSI/IEEE 802.3 Auto Negotiation; 4 porturi lan ncorporate de tip 10/100Mbps 1 port 10/100 Mbps de tip WAN (Internet) Suport modem-uri cable/dsl ce poate folosi IP dinamic, IP static, PPoE sau L2TP; Server DHCP ce poate aloca pn la 253 adrese client; Criptare WEP(Wired Equivalent Privacy) pe 64/128 bii; 802.1x/WPA, WPA-PSK, TKIP/AES pentru securitatea sporit; Suport filtrarea dup adrese MAC sau adrese IP; Controlul traficului cu ajutorul unui sever virtual sau prin crearea unei zone de tip DMZ(demilitarized zone); Ofer securitate crscut cu ajutorul unui firewall SPI/NAT; Suport routarea dinamic i static; Suport IPSEC sau tehnologii VPN; Flash memory pentru operaiuni de firmware; Compatibil cu Windows 95/98/2000/XP sau Linux; Management uor via Web Browser(HTTP) sau remote management; Aria de acoperire: interior 30 -50 metri exterior: 50-200 metri; Frecvena: 2.412 2.484 GHz (Banda ISM ); Tehnica de modulare: 802.11b: CCK, DQPSK, DBPSK 802.11g: OFDM Rate de transfer: 802.11b: 11Mbps, 5.5 Mbps, 2Mbps i 1 Mbps; 802.11g: 54 Mbps, 48 Mbps, 36 Mbps, 24Mbps,18 Mbps,12Mbps, 9Mbps i 6Mbps; Canale: 11 canale (US), 13 canale (EU);
Configuraia de principiu a platformei folosite pentru implementarea practic a proiectului:
3.3. Realizarea practic
Setarea parametrilor de lucru ai routeruluiAa cum se poate observa i din configuraia de principiu a schemei de funcionare pentru interconectarea routerului cu laptopul client din reea am folosit un adaptor wireless TRENDNET TEW-412PC care a fost configurat pe calculatorul client conform cu instruciunile furnizate de driver-ul de instalare.Router-ul TRENDNET TEW-432BRP a fost configurat conform cu wizard-ul implicit furnizat de driver-ul aferent router-ului pe un PC cu sistem de operare Windows XP care ulterior va reprezenta i platforma pentru serverul RADIUS folosit pentru autentificarea de nivel nalt a utilizatorilor.Acest wizard este utilizat pentru setarea informaiilor primare cu privire la caracteristicile router-ului cum sunt:1. parola administrator2. time zone conexiune LAN i server-ul DHCP. n cadrul acestui pas se seteaz automat IP-ul server-ului default este //192.168.1.1. Tot n cadrul acestui pas se seteaz server-ul DHCP care va furniza clienilor adrese IP cuprinse ntr-un anumit interval server-ul DHCP putnd furniza pn la 253 de adrese IP. conexiunea Internet. n cadrul acestui pas alegem tipul de conexiune pe care o vom folosi pentru conexiunea la WAN. Putem alege Obtain IP automatically (DHCP client): n cazul n care server-ul DHCP a fost setat s administreze adresele IP din reea aceast opiune va fi asigurat de server-ul DHCP furnizat implicit de router. Fixed IP Address: n cazul n care provider-ul de Internet asigneaz o adres IP fix, vor fi introduse adresa IP, masca de subreea, IP-ul gateway i IP-ul serverului DNS pentru roterul broadband PPPoE cu adres IP automat: n cazul utilizrii unei conexiuni de tip PPPoE cu ajutorul unui modem dial-ul sau xDSL iar furnizorul de internet va oferi automat o adres IP i apoi un user name i o parol pentru a crea conexiunea. PPPoE cu adres fix: aceeai situaie ca n cazul precedent numai c pe lng user name i password adresa IP va fi prestabilit. PPTP: (point to point tunneling protocol): acest protocol este folosit n cazul n care se implementeaz o soluie de tip VPN sau remote acces. L2TP: (layer 2 tunneling protocol) o versiune avansat a PPTP. wireless LAN connection: acest pas este necesar pentru crearea unei reele WLAN. La crearea acestei reele va fi necesar stabilirea unui nume SSID pentru reaeaua viitoare i deasemeni un canal de comunicaie, date care trebuie s fie aceleai pentru toate dispozitivele wireless din cadrul reelei nou create. RestartAcest wizard reprezint o metoda foarte simpl i foarte la ndemna unui utilizator obinuit de a crea, cu ajutorul dispozitivelor potrivite, o reea fr fir. n acest moment pentru muli utilizatori instalarea unei reele WLAN se oprete aici uurina configurrii lund locul lipsei totale de securizare a reelei. n momentul acesta router-ul va transmite datele sale de identificare ctre toate dispozitivele wireless din aria sa de acoperire,reeaua astfel creat comportndu-se ca un teritoriu fr nici un fel de restricii.n continuare vom urmri gradual metodele de securizare a unei reele fr fir aa cum au fost prezentate anterior urmnd ca n final s furnizm o soluie de securizare a reelei folosind o combinaie ntre autentificarea conform protocolului 802.1x ce folosete o criptare WEP a datelor vehiculate n cadrul reelei.Reeaua astfel creat se afl n stadiul unu de securitate a unei reele, orice utilizator putnd avea acces la resursele reelei fr fir. Astfel de reele sunt folosite de obicei pentru accesul la internet n cadrul campusurilor universitare, pentru punctele de acces gratuite unde securitatea nu este un deziderat principal ntruct se presupune c datele vehiculate n reea nu necesit protecie suplimentar.n continuare voi prezenta facilitile furnizate de router pentru securizarea reelei nou create.1. Un prim pas care poate fi fcut pentru a securiza reeaua nou creat este acela de a dezactiva transmiterea de ctre router a semnalelor de tip beacon prin care acesta furnizeaz clienilor din aria sa de acoperire numele reelei dat de SSID-ul implicit stabilit n sesiunea precedent de personalizare a reelei. n cazul n care router-ul dispune de o opiune pentru ascunderea identitii reelei (SSID),aceast opiune trebuie activat. De asemenea, trebuie modificat numele reelei, deoarece mai toate folosesc denumirea implicit. n locul acesteia este de preferat o descriere care s nu nsemne nimic re-cognoscibil, n nici un caz numele proprii. Dac SSID-ul este ascuns, hacker-ul trebuie s introduc numele reelei manual, ca i n cazul parolelor. Acest truc nu ne ofer ns siguran absolut, fiindc utilitare precum Network Stumbler descoper i reele ascunse.Pentru ilustrarea acestei msuri de securitate am configurat n cadrul domeniului de configurare a router-ului un SSID de forma: 1yXq34*$56hrYvWdA78 iar funcia de SSID Broadcast a fost oprit din meniul cu setari ale reelei WLAN. Un astfel de identificator al reelei ajuta nu numai la protejarea SSID-ului de atacuri de tip Brute-Force, ci ofer i o funcie de securitate important: programe gen WEP Crack adun pachetele transmise de WLAN n scopul spargerii codrii WEP.Dar, fiindc driverele WI-Fi din Linux nu ntreprind nici un fel de verificare a datelor prin sume de control, iar caracterele speciale din SSID (coninute de fiecare pachet ) nu sunt lizibile pentru program, pachetele sunt declarate ca fiind defecte i implicit respinse. Cu alte cuvinte pachetele de date necodate transmise de WLAN nu mai pot fi interceptate i sparte.Pentru conectarea clienilor reelei va trebui introdus manual numele reelei adic 1yXq34*$56hrYvWdA78 iar astfel reeaua va fi recunoscut imediat ce clientul se afl n aria de acoperire a reelei.2. Aa cum am precizat anterior o reea care doar are dezactivat funcia de SSID broadcast este cu siguran susceptibil unor atacuri de tip MITM ntruct un acces neautorizat poate fi realizat foarte simplu prin folosirea unei interfee de reaea ce poate lucra n modul promiscous i care poate folosi Network Stumbler pentru a intercepta traficul din reea i implicit i numele SSID al reealei. Din aceast cauz o msur suplimentar de securitate oferit de majoritatea dispozitivelor fr fir este activarea autentificrii WEP.Router-ul dispune de posibilitatea setrii unei autentificri WEP fie de tip Open System fie de tip cheie partajat. Open sistem permite accesul deschis via reea wireless la router ns tipul de autentificare cu cheie partajat se bazeaz pe o cheie cunoscut de toi utilizatorii din reea. Router-ul permite setarea unei chei maxime de 128 de bii n format fie heza zecimal fie n format ASCII. Deasemeni se pot seta un numr de 4 chei WEP care vor putea fi folosite pentru securizare reelei.Problema standardului WEP dat de vectorul de iniializare.Se recomandca acest vector de iniializare s se repete pentru a nu fi interceptat. Din pcate, acest lucru nu este respectat de toi productorii i nici nu prea exist referine despre cum se genereaz un vector de iniializare. De regul, n acest sens este utilizat un pseudo-generator de numere aleatoare. Consecina este c, mai devreme sau mai trziu, VI-ul ajunge s se repete. Un studiu realizat de Universitatea Berkley spune c vectorul de iniializare se repet dup circa 5.000 de pachete de date transmise n reeaua wireless. Dac hacker-ul descoper dou pachete cu VI identic, acesta poate descoperi cheia WEP. Problema cea mai important se pare c o constituie faptul c pentru un atac asupra unei reele WLAN un ru voitor nu are nevoie de software complicat,programe care pot sparge WEP sunt disponibile de exemplu la adrese ca wepcrack.sourceforge.net sau airsnort.shmoo.com.Totui aa cum am precizat mai devreme un element de securitate desuet aa cum este WEP este mai bun dect nefolosirea aa ca este indicat utilizarea acestuia n combinaie cu alte metode de ntrire a securitii reelei.Deasemenea router-ul dispune de autentificare WPA i WPA-PSK care vor fi discutate ulterior fiind o soluie de securitate mult mai avansat dect simpla folosire a WEP.3. Router-ul ofer,ca i un grad crescut de securitate, dou moduri de expediere a datelor: static sau dinamic. n cadrul rutrii statice pot fi stabilite parametrii de rutare a datelor n cazul n care utilizatorul are o adres IP static. Deasemeni este oferit i posibilitatea unei rutri dinamice acest tip de rutare ncercnd s rezolve problema unei rute prin folosire unor tabele de rutare automate. Rutarea adreselor poate fi folosit n combinaie cu o zon DMZ pentru a direciona traficul din reea ctre aceast zon.4. n opiunea de acces la facilitile ruterului putem utiliza mai multe ci de restricionare a accesului la reeaua WLAN.a) Filtrarea MACb) Filtrarea accesului pe baza protocolului folosit de client.c) IP filter- cu ajutorul acestei opiuni poate fi restricionat acesul adreselor IP aflate ntr-un anumit interval.d). Virtual Server: cu ajutorul acestei setri putem direciona accesul ctre un server local din cadrul reelei.e) DMZ zon tampon pentru clienii care nu pot avea acces la internet prin intermediul ruterului datorit elementelor de securitate pe care nu le ndeplines.f) Firewall RuleAceste setari definesc toate facilitile puse la dispoziia unui administrator de a reglementa anumite permisiuni valabile utilizatorilor reelei sau celor care doresc s acceseze reeaua WLAN. Cu ajutorul acestor opiuni sunt posibile implementarea schemelor de securitate prezentate n tabelul de mai sus care nu au nevoie ca metod de autentificare folosirea unui server RADIUS i implicit a unei autentificri conform standardului EAP.
Server RADIUS cu protocol EAP.Desfurarea procesului de autentificare, autorizare i actualizare a contului unui utilizator wireless n cadrul reelei se va desfura conform cu dialogul standard de autorizare la un server RADIUS iar participanii la dialogul de autentificare trebuie s respecte aceleai caracteristici de securitate.
1.Schema de principiu a montajului
Client Interfaa hostuluiPort acces la reea(AP, switch)Server AAA (orice server EAP de obicei RADIUS)Server autentificareMesaje EAP ncapsulate tipic pentru RADIUSAutentificatorul192.168.1.100EAPOL192.168.1.1192,168,1,,1111
2.Protocolul de comunicaieServerul de autentificare poate fi n acelai loc cu autentificatorul sau cele dou pot fi n locuridiferite i s se acceseze reciproc prin comunicaie de la distan. Multe dintre funciile de autentificare sunt implementate la client i la serverul de autentificare. Acest lucru este benefic pentru punctele de acces, deoarece ele au o memorie mic i putere de procesare redus. Dialogul de autorizare standard const n: AP (punctele de acces) cere STA(staiile) s se identidifice folosind EAPOL (EAP over LAN). STA i trimite identitatea la AP AP trimite mai departe identitatea STA la AS (server de autentificare), prin intermediul EAP ntre AS i STA are loc un dialog de autentificare Dac dialogul este terminat cu success, STA i AS partajeaz cheie de sesiune AS trimite cheia de sesiune la AP ntr-un atribut RADIUS precum i o parte a mesajului de acceptare a RADIUSClientul wireless ncearc s se autentifice la reea prin intermediul ruterului, dar naintea autentificrii este deschis numai un port necontrolat ce va permite doar mesaje de autentificare de tip EAPOL. Aceste mesaje vor fi trimise ctre serverul RADIUS care va verifica credenialele clientului prin analiza conturilor din cadrul Active Directory.Pentru realizarea practic am folosit configuraia precedent pe care am ilustrat posibilitile de securizare ale reelei doar cu ajutorul funciilor oferite de ruter iar n plus pentru realizarea configuraiei de lucru pe calculatorul pe care am instalat ruterul am folosit Windows Server 2003 pentru a configura un server RADIUS ce va servi ca autoritate de autentificare a clienilor wireless.3. Elemente software utilizate Windows Standard Server 2003Windows Standard Server 2003 este un sistem de operare n reea sigur care ofer rapid i uor soluii pentru firme. Acest server flexibil este alegerea ideal pentru nevoile zilnice ale firmelor de toate mrimile. accept partajarea fiierelor i imprimantelor. ofer conectivitate sigur la Internet. permite desfurarea centralizat a aplicaiilor din spaiul de lucru. ofer posibilitatea unei bogate colaborri ntre angajai, parteneri i clieni accept multiprocesarea simetric cu dou ci i pn la 4 gigaoctei (GO) de memorie. IASIAS (Internet Authentification Service) este implementarea Microsoft a unui server RADIUS (Remote Dial in User Service). Ca i server RADIUS, IAS realizeaz operaiuni centralizate de autentificare, autorizare i nregistrare pentru mai multe tipuri de conexiuni la reea aa cum sunt reelele VPN sau WLA, conexiuni dial-up, remote acces sau conexiuni de tip ruter-ruter.
Active DirectoryActive Directory este o implementare a serviciilor de directoare LDAP, folosit de Microsoft n cadrul sistemelor de operare Windows. Astfel "Active Directory" pune la dispoziia administratorilor un mediu flexibil cu efect global pentru: asignarea permisiunilor, instalarea programelor, nnoirea securitii. Toate aceste operaiuni pot fi aplicate att la reele mici, ct i la reele complexe.Active Directory (AD) - este o ierarhie de cteva obiecte, unde obiectele se mpart n trei categorii: resurse (ex: imprimant), servicii (ex: pota electronic), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei "Active Directory" este de a pune la dispoziie informaii despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securitii..4. Implementare practica). Implementarea autentificatoruluiLa nivelul ruterului am redirecionat tot traficul ce ncerca s acceseze resursele reelei ctre serverul RADIUS. Pentru autentificarea clienilor am folosit Wi-Fi protected Acces cu TKIP toate cererile de accesare a reelei fiind redirecionate ctre serverul RADIUS indicat prin adresa 192.168.1.111:1812. Deasemeni pentru comunicaia dintre ruter-ul wireless i server este necesar stabilirea unei chei secrete de comunicare.
Figura 3.1. Implementare ruter
b).Implementarea serverului
Serverul va fi instalat pe un sistem de operare Windows Server 2003 indicat prin adresa int //192.168.1.111 iar portul de comunicaie 1812 va fi deschis pentru comunicaiile de tip EAP-RADIUS dintre suplicant i serverul RADIUS.
Figura.3.2 Creare client IAS
Vom identifica ruterul folosit ca i client al serverului de autentificare pentru care vom forma politici de acces la disstana la domeniu, politici ce vor restriciona accesul n funcie de caracteristicile clienilor: adresa IP a clientului, restricii n funcie de momentul data i ora accesrii, tipul de conexiune, tipul de protocol folosit pentru securizarea accesului sau dup grupul Windows creia aparine clientul.
Figura 3.3 Politici de securitate
Pentru clientul anterior format am creat restricii remote ce privesc tipul de autentificare folosit. Astfel vom folosi pentru autentificare MS-CHAP v2 care este un protocol al Microsoft de tip Challenge handshake authentification protocol.MS-CHAP v2 este o versiune mbuntit de MS-CHAP, foarte utilizat de sistemele Windows i cu suport criptografic mai bun dect protocoalele anterioare. Pentru ca, un utilizator s se poat conecta de la distan, este obligatoriu ca el s aib un cont de utilizator n cadrul domeniului sau grupului de lucru gestionat de server. n cazul nostru exist un grup de lucru n cadrul cruia creem un grup de utilizatori wireless. Mai departe, n cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distan, practic clienii WLAN.Astfel vom avea urmtorii utilizatori, cu nume generice: George, Daniel, Alina iar grupul de utilizatori poate fi extins n funcie de cerine. La creearea utilizatorilor, se vor crea practic conturi de acces n reea. Aceste conturi se vor conforma politicilor de securitate stabilite n Windows Server 2003. Este o autentificare bazat pe nume de utilizator i parol.Pentru fiecare utilizator trebuiesc setate anumite proprietai, pentru a putea avea acces de la distan. Asfel, la fiecare cont de utilizator se va merge la Proprietai i apoi la butonul Dial-in.
Figura 3.4 Drepturi acces client
Aici putem stabili dac utilizatorul respectiv are sau nu drept s se conecteze la distan. Ca o msur suplimentar de securitate, se poate seta opiunea Verify Caller ID, adic s se permit accesul, numai daca se conecteaz de la un numr de telefon predefinit. n cazul nostru, vom seta ca la toi utilizatorii s fie permis accesul pe baza politicii de securitate a serverului de acces la distan(Control access through Remote Access Policy).Aceasta va fi configurat ulterior.c).Implementarea suplicanilorPentru fiecare client n parte vom stabili acessul de tip remote folosin ca i metod de autentificare 802.1x PEAP cu protocolul MS-CHAP v2.. La proprietaile conexiunii, putem seta ce tip de conexiune se va iniia (PPTP sau L2TP), nivelul de criptare pe care l dorim, metoda de autentificare folosit (MS-CHAP.v2, EAP), modul de autentificare (smart-card, certificate digitale).PEAP este o metod de autentificare ce protejeaz negocierea de tip EAP, ncriptnd coninutul cu TLS. Este cel mai frecvent folosit n reelele wireless 802.11. n momentul conectrii la reea dup redirecionarea accesului ctre server vom oferi credenialele proprii care vor fi comparate cu cele introduse pentru fiecare client n Active Directory accesul la reea i implicit la resursele reelei fiind permis dect dup confruntarea credenialeleor introduse de utilizator cu cele stocate n cadrul grupului creat.
Figura 3.5 Conectare clieni
Autentificarea se va face pe baza conturilor stabilite n Windows Server 2003. n momentul de fa, clienii pot s trimit date n reea i s acceseze resursele de pe calculatoarele din wlan. Ct timp sunt n reeaua public, datele sunt protejate de utilizatorii neautorizai att prin criptare ct i prin tunelare.
Concluzii
Reelele fr fir furnizeaz noi provocri la adresa securitii i administratorilor, care nu au fost ntlnite n reelele cablate. Cele mai bune practici dicteaz o structurare ct mai adecvat a nivelelor pentru securitatea reelei. Ar trebui luat n considerare configurarea punctelor de acces, firewall-urilor i a VPN-urilor. Strategiile de securitate ar trebui definite pentru un nivel acceptabil al performanei. Sistemul de detectare a intruilor n reelele fr fir ar trebui s elimine problemele de securitate i s asigure c ceea ce credem c este securizat este, de fapt, aa.Dup toate elementele de funcionalitile de securitate i opiunile menionate pn acum n aceast lucrare, anumite puncte de configurare trebuie avute n vedere n cadrul proiectrii reelelor fr fir de ctre administratorii unor astfel de reele. Pe lng metodele de securitate mai sus detaliate sunt necesare anumite setri de siguran care s funcioneze ca o prim barier n faa posibililor atacatori.
Bibliografie
1. erbanescu, D. - Retele wireless: secrete mici, efecte mari, PC Magazine Romnia, Iunie 20022. Mocanu, t. Transmiterea datelor pe canale wireless, referat doctorat 2002, AII-215-03.3. Andrew S. Tanembaum Reele de calculatoare;4. Szcs Andrs - Reele de calculatoare, auxiliar curricular, 20095. Dabija George - Securitatea sistemelor de calcul i a reelelor de calculatoare partea I, auxiliar curricular, 20096. Mojzi Mihai - Securitatea sistemelor de calcul i a reelelor de calculatoare partea I, auxiliar curricular, 2009Resurse Internet:*** - http://www.agora.ro/*** - http://www.chip.ro/*** - www.ieee.org*** - http://www.networkworld.ro/general.php