Securitatea Retelelor Wireless. Elemente de Criptografie Si Protocoale de Securitate
Securitatea rețelelor wireless. Elemente de criptografie și protocoale de securitate
Abstract
The extraordinary development that the computer industry has seen, was accompanied step by step by the emergence and extension. In about 30 years the achievements are amazing: the computers are small and have hard to guess performance, and the networks, after years of attempts of developing various models, standards, which have experienced various projects are today in a fairly advanced form. However, the number of applications that require a computer network has increased. Our century has generated the addiction of information: people need to be constantly connected. For these mobile users, twisted cable, coaxial cable and optical fibers are of no avail. They need data to their laptops, pocket-pcs without being tied to terrestrial communications infrastructure. For these users, the answer is the wireless communications. Wireless networks or simply WLAN appeared as an alternative to wired LAN representing a flexible data communication used as an extension or alternative to wired networks, in a building or group of buildings nearby. Using electromagnetic waves, WLAN devices transmit and receive data through the air, eliminating the need for network cables and turning into a mobile LAN. Thus, if a company has a WLAN, moving to another office does not require drilling in walls, ceilings and wiring which they assume, simply move the computers and network can operate immediately. True, WLANs are generally used together with conventional LANs, especially for the printing network for connection to the server.
The theme of this project is case study on wireless networks and especially the security requirements posed by such a network, with a practical application: network security by a firewall solution.
Cuprins
Memoriu justificativ
1. Introducere
1.1. Descriere context și obiective
2. Rețele wireless
2.1 Rețele de calculatoare
2.1.1. Elemente fundamentale de interconectare a calculatoarelor
2.1.1.1.Modelul de referință OSI
2.1.1.2.Modelul de referință TCP/IP
3. Securitatea rețelelor wireless
3.1. Vulnerabilitatea rețelelor wireless
3.2 Protocoale de securitate
3.2.1. SSL/TLS
3.2.2. Terminal Access and File Transfer
3.2.3. Port Forwarding
3.2.4 SSH Tunnel
3.2.5 WTLS
3.2.6 WEP
3.2.7 Protocolul 802.1x
3.2.8 Protocolul 802.1x cu EAP
3.2.9 TKIP
3.2.10 IP Security
3.2.11 WPA2/AES
3.2.12 Ierarhia cheilor în cadrul standardului 802.11i
3.2.13 Standardul IEEE 802.11i și AES
3.2.14 Elemente de securizare pentru rețele WLAN și Ad-Hoc
3.2.15 Probleme de securitate în WEP
3.2.16 802.11i
3.2.17. TKIP și AES-CCMP
3.2.18. Pericole și riscuri pentru WLAN
3.2.19. Instalare comodă în detrimentul securității
3.2.20 WEP – protecție cu puncte slabe
3.3. Guideline pentru realizarea unei rețele sigure
4. Administrarea rețelelor WLAN
4.1. Ethereal
4.2. IDS-AirSnare
4.3. Airopeek
5. Aplicație
6. Concluzii
7. Bibliografie
Introducere
Produsele fără fir, de la comanda la distanță a televizoarelor și închiderii ușilor automobilelor la telefonia celulară, utilizează o formă de energie cunoscută ca radiație electromagnetică pentru a transporta semnalele. În ultimi ani comunicațiile fără fir și cele mobile au cunoscut o creștere explozivă în ceea ce privește numărul de servicii asigurate și tipurile de tehnologii devenite disponibile. Tehnologia celulară, transimiterea de date în rețele mobile și serviciile multimedia sunt într-o dezvoltare rapidă, utilizatorii mobili având acces la servicii precum e-mail, telefonie, video, e-banking, etc.
De câțiva ani, rețelele de calculatoare sunt folosite pentru a interconecta calculatoare pesonale și servere în firme, universitați și orașe, însă în ultimii ani a avut o evoluție rapidă în direcția folosirii rețelelor fără fir. De fapt, în prezent sunt disponibile interfețe fără fir pentru utilizarea serviciilor de rețea care ne permit să folosim poșta electronică și să navigăm pe Internet aproape din orice loc ne-am afla.
Sistemele fără fir oferă beneficiul mobilității utilizatorilor și o desfășurare flexibilă a unei rețele într-o anumită arie. Mobilitatea utilizatorilor îi permite unui client al rețelei să se miște în diferite locații ale rețelei fără să-și piardă conexiunea la rețea. Rețelele fără fir oferă deasemenea avantajul că adăugarea unui nod la rețea se poate face fără prea multă planificare sau costuri suplimentare de reclabare. Aceasta face ca viitoare dezvoltări ale rețelei să fi ușoare și ieftine. Creșterea rapidă a folosirii laptoupurilor și PDA-urilor a condus de asemenea la creșterea dependenței de rețelele fără fir datorită faptului că rețelele radio pot face mai ușor față creșterii dinamice a utilizatorilor unei rețele.
Ca orice tehnologie relativ nouă, rețelele fără fir reprezintă un mediu de comunicație susceptibil la amenințări ce țin nu numai de acțiuni din exteriorul mediului, dar uneori lipsa unei documentări puternice asupra capabilităților unui astfel de mediu se traduce în probleme de securitate. Provocările oferite de rețelele fără fir pot fi detaliate pe mai multe planuri.
Deficitul lățimii de bandă face ca pentru rețelele radio divizarea lățimii de bandă să fie esențială, de vreme ce spectrul radio nu numai că este destul de scump, dar este totodată și limitat.
Accesul multiplu, adică succesul unei transmisii nu este independent de alte transmisii. Pentru a face o transmisie reușită trebuie evitată interferența sau cel puțin ținută sub control. Pe de altă parte transmisiile multiple pot duce la coliziuni sau la semnale deformate. Direcțiile multiple de transmisie produc erori variabile de transmisie care pot conduce la o conectivitate intermitentă.
Următoarea lucrare se va baza în special pe acest ultim deziderat al unei rețele WLAN și pe aplicațiile ce rezidă din necesitatea unei conexiuni tot mai sigure și mai de calitate în cadrul unei rețele fără fir. Pentru aceasta este nevoie de cunoașterea unor elemente minime ce se referă la metodele de criptare a datelor vehiculate în cadrul rețelei.
Criptografia este știința scrierilor secrete. Ea stă la baza multor servicii și mecanisme de securitate folosite în internet, folosind metode matematice pentru transformarea datelor, în intenția de a ascunde conținutul lor sau de a le proteja împotriva modificării. Criptografia are o lungă istorie, confidențialitatea comunicării fiind o cerință a tuturor timpurilor. Dacă ar trebui să alegem un singur exemplu al criptografiei "clasice", acesta ar fi cifrul lui Cezar, nu atât datorită celebrității împăratului roman de care se leagă folosirea lui, ci pentru că principiul său de baza, al substituției, s-a menținut nealterat aproape două milenii. Scopul de bază al criptografiei:
1. Confidențialitate – asigurarea că nimeni nu poate citi mesajul cu excepția destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către persoane neautorizate. Prin manipularea datelor înțelegem procese cum ar fi inserții, întârzieri sau substituiri.
3. Autentificarea – presupune posibilitatea de identificare a sursei informației și a entității (o persoană, un terminal de computer, o carte de credit).
4. Non-repudierea – care previne negarea unor angajamente sau acțiuni anterioare.
Autentificarea desemnează un termen folosit pentru a desemna că anumite mijloace sunt menite să garanteze că entitățile participante sunt ceea ce pretind a fi sau că informația nu a fost manipulată de persoane neautorizate.
Tehnica identificării sau autentificării identităților asigură că ambii participanți (prin probe coroborate sau dobândite) implicați au într-adevăr identitatea pe care o pretind. Acest lucru se realizează prin transmiterea de date necesare pentru a identifica părțile care participă la comunicație, ambii participanți fiind activi în această comunicație oferind astfel oportunitatea unei garanții.
Este important a înțelege importanța autentificării. Într-un canal de comunicații cu un sistem ideal de criptografie cu chei publice teoretic cele două părți pot comunica prin intermediul canalului fără a resimți nevoia schimbării de chei. Ori un adversar activ poate înfrânge sistemul (să decripteze mesajele menite să le recepționeze cea de-a doua entitate) fără a „sparge” sistemul de criptografie. Tehnica autentificării entităților se poate împărți în trei mari categorii, în funcție de tipul de securitate:
ceva cunoscut. Astfel de exemple includ parolele standard (uneori folosite pentru obținerea de chei simetrice) Numere Personale de Identificare (PIN-uri) și chei private, care prin protocoale provocare-răspuns, se dovedește cunoașterea lor.
ceva posedat. Acest aspect se referă mai mult la accesorii fizice un fel de pașaport încă valabil. Exemple sunt card-urile smart (card-uri de mărimea unuia de credit cu un microprocesor încorporat sau cu un circuit integrat).
ceva moștenit(pentru o persoană). Această categorie include metode care fac uz de caracteristici fizice și de acțiuni involuntare cum ar fi semnătura, amprente digitale, vocea, modelul retinei, geometria mâinii precum și caracteristicile dinamice ale tastatului. Însă acestea sunt tehnici non-criptografice.
Descriere context și obiective
Comunicațiile wireless au înregistrat o puternică dezvoltare în ultimele zeci de ani. De la telecomanda televizorului la sisteme ce comunică via satelit, comunicațiile wireless au schimbat modul în care trăim. Diferitele dispozitive conectate prin intermediul legăturilor wireless conferă o mobilitate ridicată și solicită o infrastructură mult mai simplă decât obișnuitele rețele cablate. Folosind undele electromagnetice, rețelele wireless transmit și primesc date prin atmosferă, minimizând nevoia de rețele cablate. Cu ajutorul tehnolgiei de azi rețelele wireless sunt foarte accesibile, sigure și ușor de implementat.
Rețelele wireless au câștigat o popularitate semnificativă printre utilizatorii foarte mobili și deasemeni printre cei care fac parte din mici grupuri așa numitele SoHo (Small Office – Home Office). Rețelele wireless ofera posibilitatea utilizatorilor mobili să aibă acces la informații în timp real. O rețea de calculatoare poate fi realizată atât ca o rețea de sine stătătoare folosind ca mijloc de comunicație doar legăturile wireless, ca o rețea de tip enterprise-rețea la scară mare înglobând sute de calculatoare-, ca o extensie la o rețea cablată sau ca un înlocuitor pentru o rețea cablată.
Rețelele wireless ad-hoc sunt o colecție de host-uri care formează o rețea temporară fără o structură centralizată sau administrare. Topologia rețelei se modifică în mod constant ca rezultat al faptului că nodurile se alătură sau ies din rețea. Înaintarea pachetelor, rutarea sau alte operații sunt realizate de noduri.
Creșterea popularității rețelelor wireless a determinat o scădere rapidă a prețului echipamentelor wireless concomitent cu o accentuată îmbunătățire a performanțelor tehnice ale acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici decât una tradițională pe cablu. În acest fel, apar premizele realizării accesului ieftin și ușor la Internet membrilor comunităților locale, cu toate beneficiile ce rezultă de aici. Accesul la informația globală constituie o sursă de bogăție la scară locală, prin creșterea productivității muncii bazate pe accesul la cvasitotalitatea informațiilor disponibile în lume în legătură cu activitatea prestată. Totodată, rețeaua devine mai valoroasă pe măsură ce tot mai mulți oameni se leagă la ea.
Tipuri de rețele wireless
Chiar și fără accesul la Internet comunitățile legate la rețele wireless se bucură de avantaje – pot colabora la diferite proiecte cu întindere geografică mare folosind comunicații vocale, e-mail–uri și transmisii de date cu costuri foarte mici. În ultimă instanță, oamenii înțeleg că aceste rețele sunt realizate pentru a intra mai ușor în legătură unii cu alții. O rețea, fie că este cablată sau wlelor wireless a determinat o scădere rapidă a prețului echipamentelor wireless concomitent cu o accentuată îmbunătățire a performanțelor tehnice ale acestora. O infrastructură wireless poate fi realizată astăzi cu cheltuieli mult mai mici decât una tradițională pe cablu. În acest fel, apar premizele realizării accesului ieftin și ușor la Internet membrilor comunităților locale, cu toate beneficiile ce rezultă de aici. Accesul la informația globală constituie o sursă de bogăție la scară locală, prin creșterea productivității muncii bazate pe accesul la cvasitotalitatea informațiilor disponibile în lume în legătură cu activitatea prestată. Totodată, rețeaua devine mai valoroasă pe măsură ce tot mai mulți oameni se leagă la ea.
Tipuri de rețele wireless
Chiar și fără accesul la Internet comunitățile legate la rețele wireless se bucură de avantaje – pot colabora la diferite proiecte cu întindere geografică mare folosind comunicații vocale, e-mail–uri și transmisii de date cu costuri foarte mici. În ultimă instanță, oamenii înțeleg că aceste rețele sunt realizate pentru a intra mai ușor în legătură unii cu alții. O rețea, fie că este cablată sau wireless, este creată pentru a transporta date între doi sau mai mulți clienți. Tipul datelor poate avea un caracter public sau confidențial. Dacă pentru datele de tip neconfidențial securitatea conexiunii nu este o problemă chiar așa de importantă, pentru cele confidențiale, securitatea datelor este critică.
Securitatea rețelelor wireless este cu atât mai greu de obținut mai ales datorită vulnerabilității legăturilor, protecției fizice limitate a fiecărui dintre noduri, conectivității sporadice, topologiei care se schimbă dinamic, absența autorității de certificare și lipsa unei monitorizări centralizate sau unui punct de management. Prin folosirea acestor metode de securizare se asigură controlul de acces la rețea și confidențialitatea datelor care trec prin aceasta. Într-o rețea wireless deschisă (numită și Open System), oricine se află în aria de acoperire se poate conecta, chiar și utilizatorii nedoriți. De aici se ajunge la diverse probleme cum ar fi irosirea lățimii de bandă (folosită de intruși), introducerea de programe cu caracter malițios în rețeaua privată, sau așa numitul eavesdropping (interceptarea și citirea mesajelor sau a oricărui tip de date). Lipsa de securitate a rețelelor Open System poate duce la simplificarea muncii celor ce fac spionaj industrial sau a celor care consideră intruziunea într-o rețea wireless privată o distracție.
Situația este diferită în cazul rețelelor securizate, utilizatorii, pentru a avea acces la rețea, trebuie să se autentifice întâi iar conexiunea (transferul datelor) este criptată. Astfel, atât rețeaua cât și utilizatorii sunt protejați de pericolele prezentate mai sus. În caz de nevoie utilizatorii pot fi separați între ei, sau pe grupuri (departamente, etc) prin folosirea de tunele VPN, sau alte modalități.
Puncte slabe ale rețelelor fără fir: Ca la orice altă tehnologie nouă, și în acest caz a fost dezvoltată mai întâi funcționalitatea. Configurarea și utilizarea rețelelor WLAN trebuia să decurgă cât mai simplu și mai confortabil. După ce interesul pentru avantajele noii tehnologii a fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea rapidă a rețelelor radio nu a avut numai consecințe pozitive: numeroase bug-uri și câteva breșe de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulți administratori au evitat utilizarea rețelelor wireless. La planificarea, instalarea și administrarea rețelei dumneavoastră wireless trebuie să avut întotdeauna în vedere faptul că tehnologia WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul securității trebuie tratat cu maximă seriozitate. Chiar și funcțiile de securitate incluse ulterior în WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi nesigure ușor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri și de așa-numiții war driveri. Marele minus al tehnologiei constă în lipsa protecției fizice a datelor de transferat, care există în rețelele pe cablu. Pachetele de date sunt prea puțin protejate la transferul prin unde radio și se distribuie aproape incontrolabil în mediul ambiant. Așadar, ele pot fi de exemplu recepționate de către terți, înregistrate, evaluate sau chiar manipulate. în special monitorizarea traficului de rețea, așa numitul sniffing, este unul dintre cele mai mari pericole în WLAN.
Rețele wireless
Calculatoarele mobile, așa cum sunt blocnotesurile sau asistenții personali digitali (PDA-urile), reprezintă segmentul din industria tehnicii de calcul cu dezvoltarea cea mai rapidă. Mulți posesori ai acestor calculatoare au la birou sisteme legate la LAN-uri și WAN-uri și vor să se conecteze la acestea, chiar și atunci când se află în locuri depărtate de casă sau pe drum. Deoarece legăturile prin fir sunt imposibile în mașini și avioane, interesul pentru rețelele radio este foarte puternic. În această secțiune vom face o scurtă introducere în acest subiect prezentând mai în detaliu principiile teoretice ce stau la baza funcționării unei mediu fără fir.
Comunicațiile digitale fără fir nu reprezintă, de fapt, o idee nouă. încă din 1901, fizicianul italian Guglielmo Marconi a realizat legătura între un vapor și un punct de pe coastă folosind telegraful fără fir și codul Morse (punctele și liniile sunt, în definitiv, binare). Sistemele radio moderne au performanțe mai bune, dar ideea fundamentală a rămas aceeași. Rețelele radio au numeroase utilizări. Biroul portabil reprezintă una dintre ele. Oamenii aflați pe drum doresc adesea să folosească echipamentele lor electronice portabile pentru a trimite și primi faxuri și poștă electronică, pentru a citi fișiere aflate la distanță, pentru a se conecta la distanță și așa mai departe. Și doresc să facă așa ceva din orice loc de pe uscat, apă sau aer. Rețelele radio sunt de mare importanță pentru parcurile de camioane, taxiuri și autobuze, ca și pentru echipele de intervenție care trebuie să mențină contactul cu baza. Rețelele radio pot fi de asemenea utile pentru echipele de intervenție în locuri de dezastru (incendii, inundații, cutremure etc.) unde sistemul telefonic a fost distrus. Calculatoarele aduse la fața locului pot să trimită mesaje, să înregistreze informații și așa mai departe.
Deși LAN-urile fără fir sunt ușor de instalat, ele au și unele dezavantaje. Capacitatea lor tipică este de 1-2 Mbps, ceea ce este mult mai puțin decât în cazul LAN-urilor cu fir. De asemenea, rata de erori este adesea mai mare, iar transmisiile între diferite calculatoare pot interfera unele cu altele.
Wireless LAN reprezintă, mai precis, rețele de calculatoare ce comunică între ele prin legături definite de standardele 802.11b sau 802.11g. Conform acestor standarde, comunicarea se face pe banda de frecvență de 2.4Ghz pe un număr de maxim 14 canale. La noi în țara pot fi utilizate 13 canale fără nici o autorizație prealabilă dacă nu se depășește puterea maximă admisă pentru această frecvență.
Există două moduri de realizare a unei rețele fără fir:
• Ad-hoc – Se conectează între ele mai multe calculatoare. Nu există conectivitate cu o rețea cu fir sau conectarea cu rețeaua cu fir se face prin intermediul unui calculator cu o aplicație software dedicată. Se pretează în general pentru un număr redus de calculatoare aflate pe o suprafață mică. Fiecare calculator se conectează cu celălalt fără a fi nevoie de un alt echipament.
• Infrastructure – Comunicarea se face prin intermediul unui echipament activ numit access point (AP). O legătură între 2 calculatoare se face prin intermediul access point-ului la care sunt conectate fiecare dintre ele. Acest mod de lucru permite o rază mare de acoperire prin utilizarea mai multor access point-uri conectate intre ele. De asemenea, e modul de lucru preferat dacă se dorește interconectarea unei rețele cu fir cu o rețea fără fir sau legătura între un număr mare de clienți fără fir.
Pentru o bună ințelegere a modului de realizare și a facilităților oferite de rețelele wireless trebuie mai întâi să înțelegem elementele de bază și modul de realizare a rețelelor cablate.
Rețele de calculatoare
În ultimii zece ani rețelele de calculatoare au devenit o parte integrantă a vieții noastre zi cu zi. De la Internet care este o rețea de rețele, la rețelele de la locul de muncă, magazinele de alimente, bănci sau spitale, aproape fiecare pare a fi conectat la o rețea de calculatoare. O rețea de calculatoare este formată din cel puțin două calculatoare care sunt conectate pentru a partaja resurse sau pentru a comunica pentru diverse motive. De exemplu o rețea de calculatoare dintr-o companie interconectează mai multe calculatoare pentru a facilita legăturile între angajați prin partajarea fișierelor, serviciul de email sau managementul informațiilor. Băncile folosesc rețelelele de calculatoare pentru a realiza servicii de management a conturilor unde datele cât mai exacte sunt foarte importante.Timpul de realizare a tuturor acestor task-uri de un singur calculator ar fi imens, însa partajarea puterii de prelucrare a calculatoarelor dintr-o rețea face ca acest timp sa fie extrem de redus. Calculatoarele care sunt doar interconectate spunem că lucrează într-o rețea locală de calculatoare-LAN. Deseori aceste rețele sunt conectate cu alte rețele sau sunt conectate la Internet pentru a furniza acces imediat la informații. Uneori, din motive de securitate rețelele locale de calculatoare sunt restricționate la accese locale sau private.
Elemente fundamentale de interconectare a calculatoarelor
O dată cu extinderea domeniilor de aplicare a calculatoarelor, a crescut și numărul utilizatorilor ce doreau să facă schimb de date sau să prelucreze informațiile comune. De exemplu, zeci de angajați ai unei intreprinderi lucrează împreună la elaborarea bugetului, fiecare din ei fiind responsabil de un anumit compartiment. În cadrul unei companii de transporturi aeriene biletele la una și aceiași cursă pot fi vîndute de mai multe agenții, care evident, se află în orașe diferite. Pentru a soluționa astfel de probleme, au fost elaborate mijloace tehnice care permit calculatoarelor să comunice între ele. Numim rețea, o mulțime de calculatoare ce pot schimba informații prin intermediul unei structuri de comunicații.
Modelul de referință OSI
Modelul de referința OSI se bazează pe o propunere dezvoltată de către Organizația Internațională de Standardizare (International Standards Organization – OSI) ca un prim pas către standardizarea internațională a protocoalelor folosite pe diferite niveluri (Day și Zimmerman, 1983). Modelul se numește ISO OSI (Open Systems Interconection – Interconectarea sistemelor deschise), pentru că el se ocupă de conectarea sistemelor deschise – adică de sisteme deschise comunicării cu alte sisteme. Modelul OSI cuprinde șapte niveluri. Principiile aplicate pentru a se ajunge la cele șapte niveluri sunt următoarele:
Un nivel trebuie creat atunci când este nevoie de un nivel de abstractizare diferit.
Fiecare nivel trebuie să îndeplinească un rol bine definit.
Funcția fiecărui nivel trebuie aleasă acordându-se atenție definirii, de protocoale standardizate pe plan internațional.
Delimitarea nivelurilor trebuie făcută astfel încât să se minimizeze fluxul de informații prin interfețe. Numărul de niveluri trebuie să fie suficient de mare pentru a nu fi nevoie să se introducă în același nivel funcții diferite și suficient de mic pentru ca arhitectura să rămână funcțională.
Modelul OSI nu reprezintă în sine o arhitectură de rețea, pentru că nu specifică serviciile și protocoalele utilizate la fiecare nivel. ISO a produs de asemenea, standarde pentru fiecare nivel, însă aceste standarde nu fac parte din modelul de referință propriu-zis. Fiecare din standardele respective a fost publicat ca un standard internațional separat. Trei concepte sunt esențiale pentru modelul OSI:
Servicii
Interfețe
Protocoale
Probabil că cea mai mare contribuție a modelului OSI este că a făcut explicită diferența între aceste trei concepte. Fiecare nivel realizează niște servicii pentru nivelul situat deasupra sa. Definiția serviciului spune ce face nivelul, nu cum îl folosesc entitățile de deasupra sa sau cum funcționează nivelul. Interfața unui nivel spune proceselor aflate deasupra sa cum să facă accesul. Interfața precizează ce reprezintă parametrii și ce rezultat se obține. Nici interfața nu spune nimic despre funcționarea internă a nivelului. Protocoalele pereche folosite într-un nivel reprezintă problema personală a nivelului. Nivelul poate folosi orice protocol dorește, cu condiția ca acesta să funcționeze (adică să îndeplinească serviciul oferit). Nivelul poate de asemenea să schimbe protocoalele după cum vrea, fără ca acest lucru să afecteze programele din nivelurile superioare.
Modelul de referință OSI a fost conceput înainte să fi inventate protocoalele. Ordinea respectivă semnifică faptul că modelul nu a fost orientat către un set specific de protocoale, fiind prin urmare destul de general. Reversul este că proiectanții nu au avut multă experiență în ceea ce privește acest subiect și nu au avut o idee coerentă despre împărțirea funcțiilor pe niveluri.
Modelul de referință TCP/IP
TCP/IP este o suită de protocoale, dintre care cele mai importante sunt TCP și IP, care a fost transformat în standard pentru Internet de către Secretariatul pentru Apărare al Statelor Unite, și care permite comunicația între rețele eterogene (interconectarea rețelelor). Modelul de referință ISO/OSI definește șapte nivele pentru proiectarea rețelelor, pe când modelul TCP/IP utilizează numai patru din cele șapte nivele, după cum se vede din figura alăturată.
Comparație OSI -TCP/IP
Familia de protocoale TCP/IP are o parte stabilă, dată de nivelul Internet (rețea) și nivelul transport, și o parte mai puțin stabilă, nivelul aplicație, deoarece aplicațiile standard se diverșifică mereu. În ceea ce privește nivelul gazdă la rețea (echivalentul nivelul fizic și legătura de date din modelul OSI), cel mai de jos nivel din cele patru, acesta este mai puțin dependent de TCP/IP și mai mult de driverele de rețea și al plăcilor de rețea. Acest nivel face ca funcționarea nivelului imediat superior, nivelul Internet, să nu depindă de rețeaua fizica utilizată pentru comunicații și de tipul legăturii de date.
Protocoalele din familia TCP/IP tratează toate rețelele la fel. De aici rezultă un concept fundamental pentru rețelele TCP/IP, și anume acela că, din punct de vedere al unei rețele globale, orice sistem de comunicații capabil să transfere date contează ca o singura rețea, indiferent de caracteristicile sale.
Nivelul Internet are rolul de a transmite pachetele de la sistemul sursă la sistemul destinație, utilizând funcțiile de rutare. La acest nivel se pot utiliza mai multe protocoale, dar cel mai cunoscut este protocolul Internet IP. Nivelul transport are rolul de a asigura comunicația între programele de aplicație. Nivelul aplicație asigură utilizatorilor o gamă larga de servicii, prin intermediul programelor de aplicații. La acest nivel sunt utilizate multe protocoale, datorita multitudinii de aplicații existente, și care sunt în continua creștere.
Tipuri de rețele
Rețelele de calculatoare se clasifică, după dimensiunile ariei geografice pe care sunt răspândiți utilizatorii, dar și după soluțiile tehnice de implementare ce rezultă din acest fapt în:
rețele de arie largă (WAN ) – destinate conectării unor calculatoare aflate la distanțe geografice considerabile, deci din cadrul unor orașe, țări sau continente. Acestea folosesc pentru interconectare legături ce oferă o viteză de transmisie și o fiabilitate mare, închiriate de la companiile de telecomunicații publice și având o ierarhizare detaliată a comunicațiilor din rețea. Rețeaua Internet este cea mai mare rețea WAN și este compusă din mii de rețele răspândite în întreaga lume;
rețele locale ( LAN ) – destinate conectării unor calculatoare (precum și a altor dispozitive programabile) situate la distanțe relativ mici (de la câțiva metri până la 5 [km], deci amplasate într-o aceeași clădire sau într-un grup de clădiri învecinate), folosind legături dedicate (proprietate a utilizatorilor) de viteze mari de transmisie și cu o fiabilitate adecvată. LAN-urile sunt necomutate (adică nu au rutere); WAN-urile sunt comutate.
rețele metropolitane (MAN) – reprezintă o extensie a rețelelor LAN și utilizează în mod normal tehnologii șimilare cu acestea. Aceste rețele pot fi atât private cât și publice. O rețea MAN conține numai un cablu sau două, fără să conțină elemente de comutare care dirijează pachetele pe una dintre cele câteva posibile linii de ieșire. Un aspect important al acestui tip de rețea este prezența unui mediu de difuzare la care sunt atașate toate calculatoarele. Aceste rețele funcționează, în general, la nivel de oraș.
Securitatea rețelelor wireless
Datorită flexibilității sale, numărului mare de dispozitive mobile de buzunar, precum și ratelor de transfer din ce în ce mai crescute, comunicarea wireless se bucură de tot mai mare popularitate. În special WLAN se bucură este o soluție extrem de adoptată în ceea ce privește rețelistica privată sau de tip enterprise. Rețeaua wireless reprezintă, mai ales în cadrul firmelor de mari dimensiuni, o alternativă la arhitecturile pe cablu extinse și implicit foarte scumpe. Rețelele pe cablu au avut până deunăzi granițe fizice clare, rețeaua având aproape fără excepție drept limită maximă peretele exterior al clădirii în care a fost implementată. Datorită tehnologiei wireless este astăzi posibil transferul datelor chiar și la distanțe mai mari sau și în ciuda obstacolelor (ca de exemplu pereții camerelor sau ai clădirilor). În cadrul unei firme angajații trebuie să fie extrem de flexibili în ceea ce privește lucrul cu calculatorul.Astfel aceștia se pot afla adesea în deplasare cu notebook-ul la purtător, necesitând acces securizat la datele din rețeaua firmei. În acest scop ei se folosesc de Acces Point-uri instalate în hoteluri, gări, aeroporturi, restaurante sau la parteneri de afaceri. Utilizează apoi WLAN-ul pentru a se conecta remote la rețeaua firmei.
Ca la orice altă tehnologie nouă, și în acest caz a fost dezvoltată mai întâi funcționalitatea. Configurarea și utilizarea rețelelor WLAN trebuia să decurgă cât mai simplu și mai confortabil. După ce interesul pentru avantajele noii tehnologii a fost trezit, a venit clipa eliminării bug-urilor sau a punctelor slabe. Cu toate acestea, dezvoltarea rapidă a rețelelor radio nu a avut numai consecințe pozitive: numeroase bug-uri și câteva breșe de securitate au dăunat imaginii WLAN, astfel încât (în ciuda multiplelor avantaje) mulți administratori au evitat utilizarea rețelelor wireless.
La planificarea, instalarea și administrarea unei rețele wireless trebuie să avem întotdeauna în vedere faptul că tehnologia WLAN nu a fost gândită ca mijloc de transport pentru date importante. De aceea, aspectul securității trebuie tratat cu maximă seriozitate. Chiar și funcțiile de securitate incluse ulterior în WLAN, ca de exemplu Wired Equivalent Privacy (WEP) sau Access Control List (ACL) s-au dovedit a fi nesigure ușor de ocolit cu ajutorul uneltelor sofisticate utilizate de hackeri și de așa-numiții war driveri. Marele minus al tehnologiei constă în lipsa protecției fizice a datelor de transferat, care există în rețelele pe cablu. Pachetele de date sunt prea puțin protejate la transferul prin unde radio și se distribuie aproape incontrolabil în mediul ambiant. Așadar, ele pot fi de exemplu recepționate de către terți, înregistrate, evaluate sau chiar manipulate. în special monitorizarea traficului de rețea, așa-numitul sniffing, este unul dintre cele mai mari pericole în WLAN. Rețelele wireless sunt relativ mai puțin sigure decât cele cablate, datorită accesului mai facil la rețea al persoanelor neautorizate aflate în zonele de acoperire ale punctelor de acces. Există, implicit în implementarea rețelelor wireless, diferite bariere care formează așa numita securitate de bază a rețelelor wireless, care împiedică accesul neintenționat al persoanelor străine de rețea, aflate în aria de acoperire a unui punct de acces. Pentru persoane rău intenționate, cu bună pregătire în domeniu, de tipul hackerilor, securitatea acestor rețele, ca de altfel și a altora, este discutabilă. Barierele de securitate (securitatea de bază) care au fost prevăzute în protocoalele rețelelor Wi-Fi asigură un nivel relativ scăzut al securității acestor rețele, ceea ce le-a frânat întrucâtva dezvoltarea. În iunie 2004, s-a adoptat standardul 802.11i care îmbunătățește securitatea rețelelor wireless
Vulnerabilitatea rețelelor wireless
Așa cum am mai precizat, ca la orice altă tehnologie nouă, în cazul rețelelor wireless a fost dezvoltată mai întâi funcționalitatea,configurarea și utilizarea rețelelor WLAN trebuind să decurgă cât mai simplu. Ulterior o mai mare importanță a fost acordată eliminării breșelor de securitate și întăririi metodelor de comunicație din cadrul acestor rețele. Legǎturile dintre noduri sunt foarte susceptibile la atacuri care includ: eavesdroping pasiv(interceptarea și citirea mesajelor sau a oricărui tip de date), „scurgerea” informațiilor secrete, distorsiunea mesajelor, răspunderea la mesaje sau negarea acestui serviciu. Rețelele wireless nu au un nod specializat cum ar fi un server ceea ce ar face ca rețeaua să fie mult mai vulnerabilă. Pe de altã parte nu existǎ un punct care sǎ stabilească cheile. Dinamica rețelelor wireless poate crea probleme în ceea ce privește, de exemplu, managementul cheilor, dacă se folosește criptografie în protocolul de rutare. Standardele de securitate nu sunt suficiente în acest caz deoarece sunt în mare parte valabile pentru rețelele configurate static. Este de aceea nevoie ca soluțiile de securitate să se schimbe dinamic o dată cu topologia în schimbare și mișcarea nodurilor în rețea și din afara rețelei.
În cele din urmă trebuie luat în calcul și scalabilitatea rețelei, întrucât o rețea wireless poate conține sute chiar mii de noduri. Trebuie avut în vedere servicii de securitate cum ar fi managementul cheilor din punctul de vedere al modificării scalabilității.
Politicile de securitate tradiționale ale rețelelor cu fir trebuie portate și pe infrastructura wireless. Fără a fi partizanii unei anumite soluții, observăm existența mai multor standarde de nivel enterprise, precum EAP (Extensible Authentication Protocol), RADIUS(Remote Authentication Dial In User Service) și VPN (virtual private network), care sunt disponibile în oferta mai multor producători de echipamente. Soluțiile de securitate pot fi diferite, depinzând de tipul de control asupra cardurilor client.
Securitatea de bază a rețelelor wireless este asigurată de următoarele funcții implementate:
SSID (Service Set Identifiers);
WEP (Wired Equivalent Privacy);
Verificarea adresei MAC (Media Acces Control).
Utilizarea WPA în loc de WEP
3rd party device – soluții de tip enterprise EAP, RADIUS, VPN
Combinarea funcțiilor enumerate mai sus
Vom enumera în continuare principalele amenințări la adresa rețelelor wireless si breșele de securitate urmărite de eventuali atacatori asupra uneri rețele wireless:
1. Terenul necunoscut
Marea diferență dintre rețelele cablate și rețelele fără fir o reprezintă aria necunoscută și necontrolată dintre puctele de acoperire a rețelei. În cadrul WAN (Wide Area Networks), mediul wireless nu poate fi controlat deloc.Tehnologiile wireless actuale oferă un control scăzut acupra ariei de acoperire a unei rețele wireless. Acest lucru a oferit posibilitatea atacatorilor din imediata vecinătate a rețelei wirelss șă realizeze diferite atacuri care nu pot fi găsite în cadrul rețelelor cablate obișnuite.
2. Bruiajul comunicațiilor
Bruiajul apare în momentul în care o interferență intenționată sau neintenționată depășește din punct de vedere al puterii semnalului destinatarul sau expeditorul din cadrul unei comunicații, făcând astfel legătura de comuiucație nefolositoare. Un atacator poate crea bruiajul în mai multe moduri.
3. Denial of Service (DoS) jamming
Bruiajul întregii rețele poate cauza un atac de tip DoS (Denial of Service). Atât stațiile de bază cât și clienții sunt blocați din cauza volumului mare de semnale astfel încât comunicația devine inutilă. Majoritatea rețelelor wireless folosesc frecvențe nelicențiate fiind subiectul interferențelor provocate de o multitudine de dispozitive electronice.
4.Inserarea și modificare de date
Atacurile de tip inserare de date apar în momentul în care un atacator injectează date în cadrul unei conexiuni deja existente cu scopul de a deturna conexiunea sau de a trimite informații eronate. Un atacator poate manipula measjele de control și secvențe de date inserând pachete sau comenzi către o stație si vice versa. Atacurile de aceste tip pot fi folosite pentru DoS. Un atacator deasemenea poate bloca cu informații un acces point cu mesaje de conectare forțând acces point-ul să depășească limita maximă permisă blocând accesul utilizatorilor autorizați la rețea.
5. Atacuri de tip Man in the Middle (MITM)
Asemănătoare cu atacurile de tip inserare de date, atacurile de tip MITM pot lua diferite forme și au ca scop să deterioreze confidențialitatea și integritatea unei sesiuni de comunicație. Atacurile de tip MITM sunt mult mai sofisticate decât majoritatea atacurilor și necesită destule informații despre rețea. Când o stație “victimă” inițiază o conexiune, atacatorul va intercepta legătura ca apoi să o continue către sursă dar direcționând informații către stația proprie.
Atac de tip MITM
În acest moment atacatorul este în situația de a injecta date, modifica date și comuncicația sau eavesdropping asupra unei rețele pe care i-ar fi în mod normal dificil să o decodeze așa cum sunt sesiunile criptate.
6. Rogue client
După studierea unui client din cadrul unei rețele un atacator poate să aleagă fie să imite fie să cloneze identitatea unui client și încearcă să câștige acees la rețea. Un mecanism de securitate obișnuit trebuie să folosească metode de control al accesului la nivel 2 pentru a limita accesul la resurse. Acest mecanism s-a dovedit a fi un eșec când a fost folosit de companiile de telefonie mobilă pentru a limita accesul la numerele de telefon folosind ESN (Electronic Serial Number). Apoi acest eșec a fost repetat de standardul 802.11 din cadrul rețelele wireless LAN prin intermediul MACs (Media Access Controls) care poate fi ușor păcălită de un bun atacator.
7. Atacurile de tip client – client
Odată conectați la o rețea oricare client al rețelei poate fi atacat direct. Dacă atacul reușește pot fi accesate permisiuni care să permită acces la alte domenii ale rețelei. Majoritatea administratorilor de rețea nu întăresc nivelul de securitate al stațiilor prin instalarea de software de tip firewall. Astfel atacurile asupra rețelelor wireless pot avea ca rezultat accesarea de data importante ca parole sau nume de utilizatori care pot fi folosite pentru a accesa resursele rețelei.
8. Atacuri asupra infrastructurii
Echipamentul configurat incorect reprezintă prima sursă pe care atacatorii o pot accesa cu scopul de a obține informații necesare accesului în cadrul rețelei. Dispozitivele de rețea așa cum sunt routere, switch-uri, servere sunt primele ținte ale unui atacator. Mulți administratori de rețea se bazează pe securitatea furnizată de nivelul 2 de legătură așa cum sunt VLAN (virtual LAN), pentru a seapara rețelele wireless de cele cablate. Există o mulțime de atacuri documentate care pot fi folosite pentrua păcăli securitatea furnizată de rețelele VLAN. Există mai multe atacuri așa cum sunt : atacuri asupra switch-urilor atacuri asupra adresei MAC și atacuri asupra routerelor.
9. Amenințări criptografice
Rețelele wireless de tip Ethernet ca și rețelele CDMA sau rețelele celulare GSM folosesc mecanisme criptografice pentru a împiedica procesul de eavesdropping și să oprească utilizarea rețelei fără permisiuni. Wired Equivalent Privacy (WEP) este un astfel de mecanism criptografic realizat pentru a oferi securitate rețelelor 802.11. Greșelile de implementare și problemele de management a cheilor au demonstrat inutilitatea acestui mecanism. WEP a fost realizat cu o singură cheie statică care era folosită de majoritatea utilizatorilor. O examinare a implementării algoritmului RC4 în cadrul WEP a evidențiat slăbiciuni care ofereau posibilitatea atacatorului să identifice cheia după ce captura o cantitate minimă de trafic. Unelte și metode disponibile pe Internet oferă posibilitatea unui atacator să identifice cheia de acces la o rețea în câteva ore. De aceea WEP nu reprezintă o măsură de încredere care să ofere autentificare și confidențialitate unei rețele wireless. Totuși folosirea acestor metode criptografice este o soluție mai bună decât neutilizarea lor, dar datorită vulnerabilităților cunoscute de toți sunt necesare metode suplimentare de întărire a WEP. Toate comunicațiile wireless fac subiectul atacurilor de tip eavesdropping în faza de contact, de stabilire a conexiunii, de sesiune de comunicație sau de terminare a sesiunii de comunicație.
Concluzie : Înțelegerea amenințărilor care apar la adresa tehmologiilor wireless reprezintă primul pas în sensul securizării implementărilor wireless. Avantajul folosiri rețelelor wireless este imens. De aceea aceste amenințări trebuie luata în considereare, dar acestea nu trebuie să oprească dezvoltarea tehnologiilor wireless. Doar adoptare unor simple măsuri de securitate poate reduce dramatic impactul pe care îl pot avea multe dintre atacurile obișnuite asupra unei rețele wireless.
Protocoale de securitate (elemente de criptografie și protocoale de securitate ale rețelelor wireless)
În dezvoltarea standardului 802.11 a fost urmărit ca model de bază modelul OSI. Ethernet-ul wireless a fost realizat ca o variantă care să înlocuiască Ethernet-ul implementat în cadrul rețelelor cablate. Din această cauză întregul protocol există pe legătura de date și legătura fizică a modelului OSI. Cu toate că sunt deja ani îndelungați de implementare a securității în cadrul rețelelor wireless, puține soluții au fost realizate la nivel de rețea. Ca rezultat nici un protocol de securitate nu a putut fi implementat la nivel fizic sau de legătură de date. De aceea noi mecanisme de securitate au fost create care să asigure o integritate și o confidențialitate sporită a datelor vehiculate în rețea. Expansiunea continuă a rețelelor fără fir a determinat o nevoie continuă de dezvoltare a măsurilor de securitate întrucât rețelele wireless eu devenit o soluție tot mai adoptată în domeniul rețelisticii.
Următorul capitol va discuta protocoalele de securitate adoptate în cadrul rețelelor WLAN folosite pentru a securiza aplicațiile wireless. Chiar dacă unele sunt perimate sau total depășite de progresul tehnologic din acest domeniu, trebuie totuși luate in discuție toate mecanismele de securitate folosite pentru a scoate în evidență progresul făcut de tehnologiile wireless în domeniul securității comunicațiilor.
Secure Sockets Layer/Transport Layer Security (SSL/TLS)
Secure Socket Layer (SSL) a fost inițial realizat pentru a rezolva problemele de securitate a serverelor web. La începutul dezvoltării Internetului, a fost realizată marea oportunitate comercială pe care o poate oferi, dar probleme de securitate pe care le implica transmiterea de date personale sub formă de text clar trebuiau rezolvate deoarece atacatorii putea interecepta imediat aceste informații. Netscape a fost primul browser care a oferit ca metodă de sporire a securității, SSL, făcând posibile tranzacțiile comerciale via web prin intermediul unui canal sigur de transmitere de date. SSL este transparent, asta însemnând că datele sosesc la destinație neschimbate de procesul de criptare / decriptare. De aceea SSL poate fi utilizat pentru multe aplicații. SSL ca și succesorul lui TSL (Transport Layer Security) sunt cele mai răspândite protocoale de securitate implementate în Internet. Implementat inițial de către Netsacape în anul 1994, SSL/TSL sunt implementate în majoritatea browser-elor sau a clienților de e-mail. SSL a reprezentat baza de dezvoltare pentru alte protocoale așa cum sunt Microsoft Private Communications Technology (PCT) Secure Transport Layer Protocol (STLP), sau Wireless Transport Layer Security (WTLS). Aplicația principală a SSL/TSL este pentru traficul web sau HTTP (Hypertext Transfer Protocol ). Procesul este foarte simplu. În comunicațiile de bază HTTP, se realizează o conexiune de tip TCP, o cerere a unui document este inițiată iar acesta este transmis. Cu o conexiune SSL/TLS – HTTP, conexiunea TCP este realizată la fel ca și conexiunea SSL/TLS ca apoi conexiunea HTTP se realizează cu ajutorul legăturii SSL/TSL. Pentru a împiedica crearea unei confuzii între serverele HTTP, HTTP pe conexiune SSL / TLS este de obicei implementată pe un port TCP diferit (443) decât portul HTTP standard (80). Multe dintre aplicațiile care folosesc SSL/TSL folosesc alte porturi decât protocoalele SSL / TLS standard.
SSL/TLS este folosit pentru a cripta și autentifica o conexiune. Acest lucru este realizat prin utilizarea unei combinații dintre mai multe tehnologii ce folosesc algoritmi simetrici și asimetrici. SSL/TLS oferă posibilitatea de a autentifica atât serverul cât și clientul, dar numai autentificarea serverului este realizată. Autentificarea este realizată prin folosirea criptografiei cu chei publice și este asmănătoare unei strângeri de mână (hand shake). Comunicațiile actuale ce folosesc SSL/TLS folosesc un algoritm de criptare simetric. SSL/ TLS poate fi utilizat pentru a securiza multe tipuri de comunicații. Cea mai comună implementare sunt bazate pe comunicațiile TCP așa cum sunt emailul, telnet sau FTP (File Transfer Protocol). În multe cazuri sunt folosite porturi diferite pentru comunicațiile securizate cu ajutorul SSL/TLS.
Terminal Access and File Transfer
Cel mai probabil mod de a folosi SSH este acela de a înlocui telnet. Telnet este o aplicație utilizată pentru a gestiona utilizatorii din rețea. O sesiune telnet poate fi ușor interceptată fiind ușor susceptibilă la perderi de date importante sau pot fi introduse date în rețea sub formă de comenzi ce pot fi ulterior executate. Implementată correct. SSH elimină aceste probleme de securitate. Multe dintre protocoalele de transport așa cum sunt FTP, TFTP (Trivial File Tranfer Protocol ) sau CIFS (Common Internet File System) sunt foarte nesigure fiind expuse pericolelor de genul sniffing-ului sau injectării de date în rețea sub formă de comenzi. SSH oferă posibilitatea de a transfera fișiere prin intermediul unei sesiuni criptate și autentificate.
Port Forwarding
De multe ori SSH nu poate fi folosit pentru a înlocui telnet sau FTP. În aceste situații SSH poate fi folosit pentru a securiza în alt mod aplicații nesigure așa cum sunt telnet, TFP, POP (Post Office Protocol) sau chiar HTTP. Acest lucru poate fi realizat folosind capacitate de port – forwarding oferită de SSH.
SSH tunnel
În această figură firewall-ul este configurat doar pentru a permite trafic de la o conexiune nesigură către un server SSH. Nici un fel de trafic nu va fi permis a fi direcționt către sau dinspre server-ul de e-mail către rețeaua nesigură. În plus la folosirea SSH pentru accesul teminal la server-ul SSH, port – forwarding poate fi folosit pentru a tunela traficul de e-mail prin rețeaua nesigură către server-ul SSH. Apoi server-ul SSH redirecționează pachetele cître server-ul de e-mail. Din punctual de vedere al server-ului de e-mail, trficul ar trebui să vină dinspre serverul SSH iar pachetele ar trebui returnate tot către serverul SSH pentru a fi tunelate înapoi către utilizator. E-mail este doar unul dintre numeroasele protocoalele TCP care pot fi tunelate cu ajutorul SSH. Alte aplicații obișnuite pentru SSH sunt cele de securizare a transferului de fișiere (NFS – Network File System, FTP sau CIFS ), aplicații web(HTTP) sau aplicații client ( Servere MS Terminal sau XWindows).
WTLS
WTLS se bazează pe SSL/TLS. Este folosit de dispozitive de genul WAP (Wireless Aplication Protocol) așa cum sunt telefoanele mobile sau PDA-uri (personal digital assistants). Principala diferență dintre SSL și WTLS este la nivel transport. SSL se bazează pe TCP pentru funcțiile sale de încredere așa cum ar fi retransmiterea pachetelor pierdute șau a celor de tip out-of-order. Dispozitivele ce folosesc WTLS nu pot utiliza aceste funcții TCP deoarece folosesc UDP (User Datagram Protocol). UDP nu este un protocol orientat conexiune așa că aceste funcții au fost incluse în cadrul WTLS.
Trei clase pot fi negociate în timpul unei sesiuni de „handshake” :
WTLS class 1 No certificates
WTLS class 2 Server certificate only
WTLS class 3 Client and server certificates
În clasa 1 nu are loc nici o autentificare iar protocolul este folosit doar pentru a realiza un canal criptat. În clasa 2, de obicei un client autentifică serverul iar de obicei certificatele sunt incluse în firmware. În clasa 3, atât clentul cât și serverul sunt autentificați. Acest lucru implică în mod normal implementarea unui PKI. WTLS este similar cu SSL/TLS deoarece poate fi utilizat pentru a securiza alte protocoale așa cum ar fi WML (Wireless Markup Language). WML este asemănător cu HTML, dar este creat special pentru dispozitive WAP așa cum sunt telefoanele mobile sau PDA-uri.
WEP
Wired Equivalent Privacy (WEP) este mecanismul de securitate inclus în standardul 802.11 și este folosit deoarece oferă servicii de confidențialitate și de autentificare. WEP este bazat pe algoritmul RC4 care se referă la un cifru pe bloc. Pachetele sunt criptate prin generarea unui stream RC4 care este o combinație de 24 de biți care reprezintă vectorul de inițializare (VI) și o cheie publică. VI-ul este folosit pentru a face unic streamul RC4 generat diferit față de alte streamuri generate anterior. Datele sunt trecute printr-o operație XOR cu streamul generat și transmis într-un cadru WEP cu VI-ul în header astfel încât cel care primește pachetele să poată genera același stream RC4 și să îl treacă printr-o operație XOR pentru a realiza procesul de decriptare.
Apar însă și probleme cu implementarea WEP. WEP poate fi folosit ca pe o primă linie de apărare, dar nu ne putem baza pe el datorită problemelor de securitate ce au fost descoperite cu privire la compromiterea cheii. O rețea ce utilizează ca mijloc de protecție WEP poate fi penetrată momentan în decursul a catorva minute prin capturarea unui trafic suficient. WEP,de asemeni, prezintă și probleme de management a cheilor. O cheie WEP obișnuită este folosită de toți utilizatorii unei rețele wireless, lucru care face aproape imposibilă protejarea cheii. Cheia WEP trebuie schimbată foarte frecvent. Angajații firmelor parăsesc locul de muncă sau pierd echipament sau laptopuri astfel încât această schimbare frecventă a cheii este inevitabilă.
Unele din ultimele implementări ale WEP negociază o cheie la începutul sesiunii care are loc odată cu autentificarea interlocutorilor. Implentări avansate așa cum ar fi procesul de “rekey” realizează schimbarea cheii chiar în momentul comunicației. Acest lucru anulează problema WEP cu privire la cheia care ramâne neschimbată de-a lungul unei sesiuni.
Protocolul 802.1x
802.1x ca și protocoalele sale asociate reprezintă o încercare de a crește securitatea rețelelor înainte ca protocoalele de nivel 3 (așa cum este IP) sunt configurate. Tehnologia nu este specifică pentru 802.1x și poate fi folosită pentru Ethernet, Token Ring sau alte tipuri de conexiuni. Scopul priccipal al 802.1x este acela de a autentifica utilizatorii și poate fi folosit opțional pentru a realiza chei de criptare. Când o conexiune este realizată doar traficul de tip 802.1x este acceptat în rețea. Acest lucru înseamnă că alte protocoale ca DHCP (Dynamic Host Configuration Protocol), IP sau alte protocoale nu sunt permise. EAP (Extensible Authentification Protocol) este folosit pentru a autentifica utilizatorii. EAP a fost inițial realizat pentru a rezolva probleme de securitate privind autentificarea în cadrul Point to point Protocol (PPP),dar utilizarea sa de bază a reprezentat-o rezolvarea problemelor de securitate din cadrul rețelelor wireless. Pachetele EAP de autentificare sunt transmise către acces point cu informațiile de acces ale utilizatorului,username și parola. Acces point-ul poate autentifica utilizatorul după instrucțiunile specificate de proiectant indiferent care sunt acestea. În majoritatea cazurilor acest lucru se face via Remote Authentification Dial-in User Service (RADIUS). Odată ce utilizatorul a fost autentificat și criptarea, dacă există, a fost realizată, comunicația va fi realizată iar protocoale ca DHCP sunt permise în acest moment să acceseze comunicația. O imagine de nivel mai larg este ilustrată mai jos.
Protocolul 802.1x cu EAP
Autentificare 802.1x este un dialog deschis între un sistem care dorește să se conecteze la serviciile rețelei și rețea. Tocmai acest protocol folosește protocolul extensibil de autentificare EAP. Serverul de autentificare poate fi în același loc cu autentificatorul sau cele două pot fi în locuri diferite și să se acceseze reciproc prin comunicație de la distanță. Multe dintre funcțiile de autentificare sunt implementate la client și la serverul de autentificare. Acest lucru este benefic pentru punctele de acces, deoarece ele au o memorie mică și putere de procesare redusă. Metodele de autentificare 802.1x sunt dintre cele mai puternice și greu de penetrate fiind indicată folosirea unei tehnologii EAP.În funcție de cerințele de securitate ale companiei, metoda EAP aleasă poate complica utilizarea. Cele mai cunoscute tipuri de EAp sunt : EAP-MD5, EAP-TLS, EAP-TTLS, PEAP, Cisco LEAP.
EAP-MD5 nu asigură o securitate la fel de bună precum celelalte metode EAP și nu se recomandă folosirea acesteia pentru autentificare în rețelele fără fie. La capătul opus este EAP-TLS, ca una dintre cele mai sigure metode de EAP. Această metodă necesită o certificare unică PKI pentru toate serverele de autentificare și toți clienții fără fir. 802.1x cu EAP-TLS este sistemul de autentificare cel mai laborios de folosit și de întreținut. Soluția de securitate aleasă influențează în mod direct dispozitivele hard fără fie și softul care va fi achiziționat. Până la ratificarea standardului IEEE 802.11i, alianța WiFi a propus WiFi Protected Access(WPA) ca o soluție interimară care să înlocuiască criptarea bazată pe WEP. Serviciile de securitate oferite de WPA sunt:
Confidențialitatea – realizată prin utilizarea protocolului TKIP cu metoda de criptare RC4;
Autentificarea – disponibilă în două moduri. în modul 'întreprindere' (Entreprise) se utilizează autentificarea 802.1x și EAP, în timp ce în modul 'consumator' se utilizează o cheie pre-partajată pentru a asigura autentificarea rețelei fără fir; Integritatea datelor este asigurată cu ajutorul MlC(Message Integrity Check), Aceasta asigură protecție contra atacurilor de contrafacere(forgery) și a celor de inversare a biților(bit flipping attacks).
Cea mai importantă caracteristică a WPA este folosirea protocolului TKIP în locul protocolului WEP bazat pe RC4. WPA continuă să utilizeze RC4, dar într-un mod mult mai securizat decât WEP. Vectorul de inițializare în TKIP este mărit. Este adăugată o caracteristică de mixare a cheilor per pachet, ceea ce-l face cu mult mai rezistent la atacuri. De asemenea, este adăugat MIC pentru confirmarea transmisiei, cu succes sau nu, a unui pachet. Protocolul TKIP necesită două chei diferite: una pe 128 biți, care este utilizată la funcția de mixare pentru a produce cheia de criptare per pachet și una pe 64 biți, pentru a asigura integritatea mesajului. Vectorul de inițializare la TKIP a fost mărit la 48 biți.
Protocolul de integritate cu cheie temporară(TKlP)
Protocolul de integritate cu cheie temporară(TKIP-Temporal Key Integrity Protocol) este folosit de WPA pentru recodificarea cheii de criptare a traficului unicast. Fiecare cadru de date transmis prin spațiul fără fir este recodificat de către TKIP. TKIP sincronizează schimbul de chei între client și AP. Cheia globală de criptare, pentru traficul multicast și broadcast, este schimbată, printr-un anunț făcut de WPA către toți clienții conectați. A fost proiectat pentru a permite unele soluții pentru câteva probleme software și firmware întâlnite în WEP.
Schimbările majore în cadrul WEP sunt:
un nou cod de integritate a mesajului (MIC ), generat cu algoritmul Michael. MIC este calculat cu datele primite de la nivelul superior (MSDU – MAC Service Data Unit), adresele sursă și destinație și câmpul de prioritate, înaintea fragmentării în cadre MAC(MPDU-MAC Protocol Data Unit). MIC asigură apărare împotriva atacurilor false;
din cauza limitărilor algoritmului Michael, au fost implementate un set de contramăsuri. Din cauza limitărilor hard, a fost imposibilă folosirea unui algoritm mai puternic, dar totuși această metodă alternativă reduce probabilitatea unui atac;
TKIP extinde vectorul de inițializare WEP(IV)( în principiu, este incrementat un numărător la fiecare trimitere a unui cadru) și utilizează aceasta la MPDU ca un TSC(TKIP Sequence Counter);
managementul de chei RSNA asigură o cheie temporară(TK-Temporal Key). Este aplicată o funcție de mixare la TSC și adresa de transmitere(TA ). Aceasta asigură nu numai o cheie nouă pentru fiecare secvență trimisă, dar previne și utilizarea unor chei slabe, cu fluxul criptat, folosind RC4.
IP Security (IPSec)
IP Security (IPSec) a fost dezvoltat de grupul de lucru IETF. Protocolul IPSec se găsește la un nivel inferior față de SSL/TLS,SSH sau WTLS în cadrul stivei de protocoale. Nivelul de securitate este implementat la nivel IP în cadrul modelului Internet. Cea mai frecventă implementare a IPSec include folosirea unui model de tunelare care face posibil ca traficul IP să fie criptat și autentificat în cadrul aceleași sesiuni.IPSec reprezintă tehnologia pe care se bazează majoritatea rețelelor de tip VPN (Virtual Private Network) folosite în Internet. Datorită flexibilității crescute și ariei largi de utilizare, IPSec reprezintă o metodă de securitate tot mai întălnită în corelație cu tehnologia wireless. IPSec poate fi utiliza pentru capacitatea de a oferi metode de criptare datorită EAP (Encapsulated Securitz Payload) sau de autentificare folosind AH (Authentification Header). AH poate fi implementat fără a folosi neapărat ESP. Acest lucru nu oferă confidențialitate împotriva sniffingului,dar oprește eventuale încercări de deteriorare a datelor pe parcursul sesiunii de transport. ESP poate fi implementat și fără AH pentru a oferi confidențialiatate și elemente de autentificare,dar majoritatea administratorilor aleg să folosescă atât ESP cât și AH.
IPSec oferă mai mulți algoritmi criptografici care pot fi utilizați de către AH sau Esp. Cei mai frecvenți algoritmi de criptare pentru ESP sunt DES (Data Encryption Standard), TDES (Triple DES) și AES (Advanced Encryption Standard). AES reprezintă înlocuitorul pentru DES și TDES iar IPSec folosește AES ca algoritm criptografic pentru implementările de IPSec. Cel mai des folosit algoritm de autentificare pentru AH este Message Digest 5 (MD5) și SHA (Secure Hash Agorithm). Cea mai cunoscută implementare a IPSec se regăsește în cadrul comunicațiilor din cadrul unei rețele VPN. Oricând este folosită o rețea publică pentru realizarea unei rețele private putem numi acest lucru ca fiind o rețea VPN. Folosind această definiție putem considera ATM (Asynchronous Transfer Mode),Frame Relay sau X.25 pot fi considerate VPN -uri,dar de obicei astfel de rețele sunt considerate doar cele de tip tunel pe strcrura Internet. În cazul acestei aplicații un gateway este instalat în cadrul rețelei firmei, așa cum este ilustrat și în figura alăturată. Accesul remote al utilizatorilor la rețea va realiza o conexiune de tip tunel către gateway cu ajutorul ESP și AH.
WPA2/AES
În iunie 2004 organizația IEEE a ratificat standardul 802.11i cunoscut și ca WPA2. El definește confidențialitatea datelor, autentificarea mutuală, integritatea datelor și protocoale de management al cheilor pentru a crește securitatea subnivelului MAC pentru rețelele fără fir. în timp ce WEP și WPA folosesc algoritmul de criptare RC4, 802.11i utilizează algoritmul AES pe 128 biți în modul CBC-MAC(CCM). înainte de 802.11i nu se utiliza autentificarea pe 4 căi. Acest set de protocoale definește o securitate robustă. Confidențialitatea este asigurată prin folosirea a trei tipuri de algoritmi pentru protejarea datelor: WEP, TKIP și CCMP(Counter-mode/CBC-MAC Protocol). WEP și TKIP se bazează pe algoritmul RC4, iar CCMP se bazează pe AES. Autentificarea este realizată prin utilizarea EAP la autentificarea clienților și server de autentificare.
Managementul cheilor este asigurat prin generarea de chei noi utilizând protocoalele de 4 căi(4 Way handshacke) și a cheilor de grup. Cheile sunt stabilite după ce s-a făcut autentificarea 802.1x, dar ele se pot schimba dacă este necesar sau s-a depășit timpul și deci au expirat. Integritatea datelor este realizată cu ajutorul protocolului CBC-MAC(Cipher Block Chaining Message Authentication Code) și a MIC(Message Integrity Check).
Îmbunătățirea principală a 802.11i pentru WLAN-uri este definirea unor rețele cu servicii robuste de securitate(RSN-Robust Security Netwok). Standardul IEEE 802.11i urmărește rezolvarea deficiențelor asociate cu confidențialitatea datelor în mediul fără fir.
O rețea RSN este o rețea sigură care permite crearea de asocieri în RSN (RSNA). O RSNA definește un număr de trăsături cum ar fi mecanisme de autentificare îmbunătățite pentru stații, algoritmi criptografici și mecanisme de încorporare a datelor îmbunătățite care asigură confidențialitate crescută, numite CCMP și opționalul TKIP.
lerarhia cheilor în cadrul standardului 802.11i
În problemele de securitate un aspect important îl constituie cheile. Dacă aceste chei sunt compromise sau furate, nu mai putem vorbi de securitate.
Pentru a crește securitatea în rețele, prin utilizarea algoritmilor de criptare și integritate trebuie obținute cheile Cheia rădăcină de la care se obțin celelate chei este: fie cheia prepartajată(PSK-Pre Shared Key), care este o cheie statică livrată la AS și STA folosind un mecanism înafara benzii, printr-un canal securizat, fie cheia furnizată de un server de autentificare numită și cheie master (MK) care este livrată printr-un protocol EAP. Cheia PSK trebuie să fie cunoscută înaintea unei conexiuni de rețea, adică să fie introdusă manual când se instalează un periferic. Sistemul cu cheie prepartajă se folosește mai ales pentru rețele mici. Cheia pe bază de server este generată automat de o aplicație server, din serverul AAA. în cadrul standardului 802.11i există două ierarhii de chei derivate:
Cheia pereche (Pairwise key), care protejează traficul între stație și punctul de acces;
Cheia de grup(Group key) care protejează traficul broadcast sau multicast de la punctul de acces la clienți.
Procesul de generare a cheilor presupune că avem cheia prepartajată sau după ce autentificarea 802.1X e finalizată cu succes este deschis portul controlat și STA partajează cu AP o cheie pereche master(PMK). Apoi este rulat un protocol în 4 faze ("4-way-handshake") pentru a crea un set de chei temporare. La început, amândouă părțile generează o secvență aleatoare. Autentificatorul trimite secvența sa la client folosind un cadru EAPOL. Clientul (care cunoaște PMK) folosește o funcție pseudo-aleatoare pentru a calcula cheia temporară pereche(PTK). Apoi creează o secvență nouă pe care o trimite la autentificator folosind o cheie EAPOL, conținând secvența sa (a solicitantului), informația RSN de la cadrul de cerere de asociere și codul de integritate al mesajului(MIC). Autentificatorul(AP-ul) poate acum crea PTK și valida MIC. Autentificatorul(AP-ul) transmite alt cadru folosind o cheie EAPOL purtând secvența sa, informația RSN din mesajul de informare(beacon), un MIC, chei temporare de grup și dacă să se instaleze cheile temporare. în final, clientul trimite confirmarea faptului că au fost instalate cheile.
Standardul IEEE 802.11i și AES
O îmbunătățire semnificativă în ceea ce privește confidențialitatea datelor, inclusă în standardul 802.11i este AES (Advanced Encryption Standard), dezvoltat de Departament NIST al U.S. Commerce. AES poate fi folosit în moduri diferite sau cu algoritmi diferiți, iar implementarea IEEE 802.11i se bazează pe modul numărare a CCM și este folosit pentru a asigura confidențialitatea datelor și integritatea acestora.
AES este o tehnologie bazată pe un cifru bloc simetric iterativ și folosește aceeași cheie atât pentru criptare cât și pentru decriptare. Procesul de criptare folsește treceri multiple asupra datelor din pachetul 802.11, iar datele în clar de tip text, sunt criptate în blocuri discrete, de lungime fixă. AES criptează datele folosind blocuri de 128 de biți și chei de criptare tot de 128 de biți. AES are la bază îmbunătățirile făcute de TKIP și MIC și folosește algoritmi similari, pentru a reuși să ajungă la un nivel superior de protecție a datelor. AES necesită un surplus de prelucrare care cere achiziționare unor noi dispozitive hard (placă de rețea, AP, switch WLAN) care să suporte noile funcționalități în materie de confidențialitate a datelor ale 802.11i.
Elemente de securizare pentru rețelele Wireless Local Area Network și rețele Ad Hoc
Arhitectura și protocolul de securitate al 802.11 este WEP (Wired Equivalent Privacy). WEP oferă autentificare, confidențialitate și integritatea datelor în cadrul rețelelor de tip 802.11. La momentul apariția WEP scopul acestuia a fost același de a oferi aceeași protecție pe care le ofereau mecanismele de securitate din cadul rețelelor cablate. Totuși comparația între aceste două metode de securitate nu poate fi realizată întrucât o rețea cablată se naște cu mecanisme care să o protejeze din moment ce accesul la mediu de transmisie este restricționat sau securizat. În cazul comunicațiilor wireless acestea nu oferă nici un mod implicit de restricție a accesului la mediu de transmisie. Astfel comparația s-a rezumat la ideea dacă WEP poate oferi aceleași elemente de securitate unei rețele wireless pe care le oferă restricționarea accesului la mediu în cadrul unei rețele cablate. Totuși unele scăpări de securitate ale WEP au demonstrat că protecția oferită de WEP nu conferă unei rețele WLAN siguranța unei comunicații sigure.
Scopul rețelelor 802.11 privește doar securitatea rețelelor fără fir. 802.11 nu are în vedere conectivitatea de tip end to end. De fapt rețelele de date de tip IP (pentru care fost inițial 802.11 creat ) nu lucrează cu conceptul de conectivitate end to end, fiecare pachet fiind independent routat. Aria de acoperire a unei rețele wireless este semnificativ redus față de o rețea TWN care poate oferi o acoperire geografică extinsă. În final 802.11 oferă in support scăzut pentru roaming. Din cauza acestor motive 802.11 este restricționat doar la accesul în cadrul rețele wireless. Pe măsură ce vom discuta problemele din următorul capitol este bine de reținut aceste similitudini, dar și asemănările dintre rețelele TWN și cele de tip 802.11.
Probleme de securitate în WEP
Autentificarea. Autentificarea în WEP are diverse probleme.
1. Autentificarea nu este mutuală întrucât AP nu se autentifică la STA.
2. Autentificarea și criptarea folosesc aceeași cheie, iar un adversar poate exploata atât punctele slabe ale autentificării cât și ale criptării.
3. Autentificarea lui STA se face numai când încearcă să se conecteze la rețea. O dată ce STA este asociat lui AP, oricine poate trimite mesaje în numele lui STA prin copierea MAC-ului. Iar faptul că nu cunoaște cheia secretă pentru construirea unui frame WEP corect poate folosi mesajele criptate a altui STA înregistrat mai devreme.
4. A patra problemă constă în faptul că folosește RC4 în protocolul de autentificare pentru criptarea provocării aleatoare. Deoarece un atacator poate obține ușor provocarea C și provocarea criptată R=C XOR K, de unde poate calcula secvența pseudoaleatoare K. Faptul că se folosește IV nu constituie o problemă pentru că fiecare utilizator selectează singur IV, iar un adversar în acest caz poate selecta IV care a fost atașat lui R. Deoarece în practică fiecare STA folosește aceeași cheie atacatorul se poate conecta în numele oricărui STA.
Protecția integrității. Protecția integrității la WEP se bazează pe atașarea unui ICV la mesaj, unde ICV este valoarea CRC calculată pentru mesaj, și criptarea mesajului cu o cheie secretă. Matematic această operațiune poate fi scrisă astfel : , unde M este mesajul clar, K este secvența pseudoaleatoare produsă de algoritmul RC4 din IV și cheia secretă. CRC(.) reprezintă funcția CRC și ÂÂ concatenarea. Funcția CRC este liniară în raport cu operația XOR deci . Știind acestea se poate constata că un atacator poate manipula un mesaj prin inversarea biților între ei fără a avea acces la conținutul mesajului după cum urmează. Fie ΔM schimbările pe care le face adversarul mesajului inițial. Atacatorul vrea să obțină . Pentru a obține aceasta este suficient să calculeze CRC(ΔM) și apoi să facă XOR pe biți cu ΔM || CRC (ΔM) mesajului original.
Un al doilea defect de proiectare este acela că nu există un sistem de detecție a replicilor, deci un hacker poate replica orice mesaj prealabil înregistrat și care va fi acceptat de AP.
Confidențialitatea. La folosirea unui regitru de deplasare este esențial ca fiecare mesaj că fie criptat cu altă secvență pseudoaleatoare. Acest lucru este rezolvat prin folosirea unui mecanism de IV. Problema este însă că IV este de lungime de 24 biți, ceea ce înseamnă că sunt aproximativ 17 milioane de posibile valori pentru IV. Un echipament Wi-Fi poate transmite aproximativ 500 cadre de lungime, deci întreg spațiul IV poate fi folosit în aproximativ 7 ore. Problema se agravează pentru că în multe rețele toate echipamentele folosesc aceleași chei secrete dar IV diferite, deci spațiul IV se va utiliza și mai repede: 7/n ore, unde n este numărul de echipamente. O altă problemă constă în faptul că în multe dintre implementări IV este inițializat cu 0 și apoi incrementat cu 1 după fiecare mesaj transmis. Ceea ce înseamnă că echipamentele care transmit în același timp vor folosi același IV și implicit aceeași cheie, iar un atacator poate decripta astfel mult mai ușor mesajele. De asemenea cifrorul RC4 are o slăbiciune așa numitele „chei slabe”, adică pentru o anumită cheia ieșirea lui RC4 este predictibilă. O soluție ar fi lungirea ieșirii lui RC4 la 256 de biți, însă această soluție nu a fost acceptată la WEP. Această slăbiciune este de departe cea mai periculoasă deoarece a fost demonstrat că un hacker poate „sparge” cheia de 104 biți după numai câteva milioane de mesaje.
802.11i
Când defectele WEP au devenit evidente, IEEE a început să dezvolte o noua arhitectura de securitate pentru rețelele WiFi, care este descrisa in specificația 802.11i. Noul concept se numește RSN (Robust Security Network) pentru a putea fi distins de WEP. Acest concept include o noua metoda de autentificare și control al accesului, care este bazat pe un model definit in standardul 802.1X. Mecanismul pentru protecția integrității și confidențialității sunt de asemenea modificate, și utilizează algoritmul de criptare AES (Advanced Encryption Standard) in locul algoritmului RC4. În orice caz, nu este posibilă trecerea de la WEP la RSN peste noapte. Din motiv de eficiență, multe dispozitive WiFi (în principal cardurile de rețea WLAN), aplică algoritmul de criptare in hardware. Vechile dispozitive suporta RC4 și nu AES. Aceasta problema nu poate fi rezolvata printr-o simpla updatare firmware; partea hardware trebuie schimbata, fapt care încetinește dezvoltarea RSN. Acest lucru a fost realizat și de către IEEE, și ei au inclus un protocol opțional in specificația 802.11i, care folosește tot algoritmul de cifrare RC4, dar care rezolva neajunsurile WEP. Acest protocol se numește TKIP (Temporal Key Integrity Protocol). Producătorii au adoptat imediat TKIP, ca fiind o soluție la problemele WEP fără a schimba partea de hardware. Nu au așteptat până la finalizarea arhitecturii 802.11i, dar au elaborat propria specificație denumită WPA (WiFi Protected Access), care se bazează pe TKIP. Cu alte cuvinte, WPA este o specificație suportată de producătorii de WiFi, și conține un subset de RSN, care poate fi implementat și pe sistemele vechi, care suportă doar criptarea RC4. Autentificarea și controlul accesului, ca și managementul cheilor sunt la fel și în WPA și în RSN, diferența între cele doua concepte fiind făcuta de mecanismul utilizat pentru protecția integrității și confidentialității.
TKIP și AES-CCMP
Și TKIP și AES-CCMP sunt bazate pe ierarhia cheilor prezentată anterior. În particular, acești algoritmi folosesc chei de criptare a datelor și de integritate a datelor pentru a proteja confidențialitatea și integritatea pachetelor de date trimise între terminalul mobil și AP. În orice caz, folosesc algoritmi de criptare diferiti. TKIP, ca și WEP, foloseste RC4, dar spre deosebire de WEP, asigură o securitate reală. Avantajul TKIP este că ruleaza și pe suportul hardware WEP, vechi cu unele imbunătățiri firmware. AES-CCMP are nevoie de un nou suport hardware care acceptă algoritmul AES, dar asigură o soluție mult mai clară și mai elegantă, decât TKIP. TKIP rezolvă defectele WEP astfel:
Integritatea: TKIP introduce un nou mecanism de protecție a integrității denumit Michael. Michael operează la nivelul SDU (ex: operează cu date recepționate de nivelul MAC de la nivele superioare înainte ca acele date să fie fragmentate). Acest lucru face posibil de implementat Michael in driverul dispozitivului, care permite introducerea Michael ca un upgrade de software.
Pentru a detecta atacurile, TKIP foloseste IV ca o secvență de numere. Apoi, o dată inițializat IV cu o valoare inițială și apoi incrementat după transmiterea fiecărui mesaj. Receptorul urmărește evoluția IV după fiecare mesaj recepționat. Dacă IV-ul pentru un mesaj abia recepționat este mai mic decât cea mai mică valoare a lui IV înregistrată, atunci receptorul ignoră mesajul, iar dacă IV este mai mare decăt cea mai mare valoare a lui IV stocată, atunci receptorul păstrează mesajul și updatează IV-ul stocat. Dacă valoarea IV-ului mesajului recepționat se află între ce mai mică și cea mai mare valoare a IV-ului stocat, atunci receptorul verifică dacă IV recepționat este deja stocat; dacă da, atunci ignoră mesajul, iar dacă nu, pastrează mesajul și stochează noul IV.
Confidentialitate: Să reamintim că principala problemă a criptării WEP era că mărimea IV era prea mică și existența cheilor slabe RC4 nu a fost luată în considerare. Pentru a rezolva prima problemă, în TKIP, mărimea IV crește de la 24 de biți la 48 de biți. Aceasta pare o soluție simplă, dar dificultatea constă în faptul că, hardware-ul WEP așteaptă o valoare inițială RC4 de 128 de biti. Deci, IV-ul de 48 de biti și cheia de 104 biti trebuiesc comprimate în 128 de biti. Cât despre problema cheilor slabe, în TKIP, fiecare mesaj este criptat cu o cheie diferită. Prin urmare, atacatorul nu poate observa suficient de multe mesaje criptate cu aceeași cheie. Cheile de mesaj sunt generate din cheia de criptare a cheii din PTK.
Pericole și riscuri pentru WLAN
Principalele tipuri de amenințări la adresa securității rețelelor WI-FI sunt:
monitorizarea pasivă;
accesul neautorizat;
atacurile de tip blocare a serviciului DoS;
atacurile de tipul omul-la-mijloc;
punctele de acces neautorizate sau incorect configurate;
abuzurile în rețea;
limitări și puncte slabe ale măsurilor de securitate pentru rețeaua fără fir;
politicile de securitate.
Monitorizarea pasivă constă în interceptarea pachetelor de date transmise prin rețele fără fir neprotejate și explorarea informației incluse cu ajutorul unor instrumente software adecvate.Se pot afla, în acest mod, identificatori (nume) de utilizatori și parolele asociate (furt de identitate a unui utilizator autorizat), numere de cărți de credit etc. Aplicațiile de acest tip permit captarea pachetelor și stocarea lor pentru examinare ulterioară. Prin analiza pachetelor este divulgat segmentul de date care, în funcție de serviciile interceptate, pot furniza informații deosebit de valoroase.
Accesul neautorizat. Într-o rețea Wi-Fi, neprotejată sau insuficient protejată, se poate integra. o stație client pirat prin asociere cu una din stațiile de bază (puncte de acces) localizate in cadrul rețelei. În absența unor măsuri de securitate adecvate, această stație poate accesa servere sau aplicații din rețea. Contracararea accesului neautorizat se face prin autentificare reciprocă între stația client și punctul de acces, autentificarea fiind operațiunea de dovedire a identității dispozitivului.
Blocarea serviciului poate afecta funcționarea rețelei Wi-Fi sau o poate scoate total din funcțiune pentru o perioadă de timp nedefinită. Gravitatea unui atac DoS depinde de impactul pe care îl are inactivitatea rețelei. Atacurile DoS pot fi de următoarele tipuri:
Atac prin forță brută. Se realizează prin inundarea rețelei cu un număr forte mare de pachete de date, care suprasolicită toate resursele rețelei și o forțează să iasă din funcțiune.
Utilizarea unui semnal radio puternic. Pentru un astfel de atac este necesar un emițător puternic la mică distanță de rețea, emițător care poate fi detectat cu instrumente de localizare.
Interferențe neintenționate. Constă în plasarea unui dispozitiv client, fictiv, între un client legitim și rețeaua wireless. Pentru aceasta se folosește protocolul de conversie a adreselor, ARP, utilizat uzual de rețelele TCP/IP.
Puncte de acces neautorizate sau incorect configurate. Pot deveni o breșă importantă în securitatea rețelelor wireless. Folosirea incorectă a unor identificatori, care pot fi interceptați, pe post de parole, permite accesul neautorizat la structuri de date sau servicii ale rețelei.
Instalare comodă în detrimentul securității
Pentru realizarea unei rețele wireless eforturturile de instalare sunt reduse la minin deoarece odată cu dispariția cablurilor dispar si durerile de cap. Instalarea dispozitivelor wireless necesar este de regulă destul de simplă, procedeul fiind accesibil și utilizatorilor fără cunoștințe solide de rețelistică. Adesea este suficientă poziționarea Access Point-ului undeva în rețeaua locală sau conectarea router-ului WLAN la internet. în cazul plăcilor de rețea wireless actuale lucrurile sunt similare, deoarece driverele și utilitarele de configurare necesare sunt in mare parte integrate în Windows XP. Astfel, sistemul de operare recunoaște automat placa WLAN. După instalare sistemul activează aparatul, iar placa începe să caute rețele aflate în raza sa de funcționare. Deoarece majoritatea AP-urilor sunt dotate native cu un server DHCP activ, care atribuie o adresă IP fiecărui client conectat la rețea, placa de rețea abia instalată găsește rapid și Access Point-ul la care se poate conecta.
Pentru mulți utilizatori de rețele wireless configurarea se sfârșește în acest punct, ceea ce înseamnă că, evident, totul funcționează după realizarea setărilor standard. Însă această instalare „comodă" are o mare problemă: pentru că dispozitivele instalate să se înțeleagă de la un bun început, toate setările relevante de securitate – cum ar fi codarea WEP sau filtrarea adreselor MAC – sunt dezactivate.
În altă ordine de idei, majoritatea utilizatorilor se trezesc depășiți de setările adesea neclare, de driverele neprietenoase, de termenii tehnici incomprehensibili, de multitudinea opțiunilor și de incompatibilitatea diverselor echipamente hardware, astfel încât renunță la măsurile de securitate și utilizează rețeaua wireless doar cu setările standard ale producătorului. Așa se întâmplă adesea că apar probleme încăt un utilizator neexperiementat nici măcar nu observă că placa sa WLAN s-a conectat la Access Point-ul vecinului. De aici și probleme serioase de siguranță întrucât pentru un atacator, un astfel de acces gratuit la “resursele” rețelei nu poate fi refuzat. În mod implicit, un AP emite în permanență semnale, așa-numitele Broadcast Beacons. Ele sunt transmise la intervale regulate, pentru a semnaliza clienților din apropiere că legătura realizată încă este activă, respectiv că în apropiere există o rețea fără fir. La unele rețele acest comportament este dorit, facilitând considerabil accesul la rețeaua WLAN a unei firme, de exemplu. Semnalele Beacon emise tot la câteva milisecunde conțin toate datele specifice rețelei, de care clientul are nevoie pentru realizarea unei simple conexiuni.
Problema apare întrucât nu doar sistemele autorizate primesc acest mesaj, ci și oaspeții nepoftiți – și tocmai acest aspect este exploatat de aplicații precum Network Stumbler, Aerosol sau Kismet. Aceste programe caută voit astfel de pachete de date și evaluează informațiile transportate de ele. Dacă rețeaua a fost depistată, atacatorul va încerca neîntârziat (prin diferite metode) să controleze sistemele disponibile în LAN sau în internet. De multe ori acest lucru nu este posibil, iar aceasta din cauza configurației Access Point-ului (când este dezactivată funcția DHCP, de exemplu). Pentru a evita căutarea îndelungată a adresei IP „corecte", mulți atacatori se ocupă mai întâi cu identificarea punctelor slabe ale Access Point-ului. Configurarea și administrarea acestuia are loc de regulă prin intermediul SNMP (Simple Network Management Protocol), disponibil împreună cu driverul corespunzător pe pagina de internet a producătorului și ușor de executat via USB sau, și mai comod, prin intermediul browser-ului, per interfață web. Pentru a evita utilizarea nepermisă, accesul la meniul de configurare este precedat de solicitarea parolei și a numelui de utilizator. Nativ, aparatul este protejat doar printr-o parolă standard, aleasă de producător. Compania Netgear utilizează de exemplu parola nu prea originală „password", iar Cisco își „protejează" aparatele cu propriul său nume. Adesea nu mai există funcția de securitate care obligă utilizatorul să modifice parola la prima utilizare. Din această cauză, mulți utilizatori fără experiență uită să treacă ulterior și prin acest pas vital pentru siguranța rețelei. Un atacator al unei rețele wireless descoperă eventuale posibilități de acces prin testarea integrității parolei introduse. Utilitare precum Network Stumbler sau Aerosol dispun de o bază de date cu numele tuturor producătorilor și echipamentelor lor, cu ajutorul căreia aceste programe pot compara informația oferită de pachetele interceptate. Dacă producătorul este cunoscut, ajunge o simplă privire în manual sau pe pagina de asistență a companiei pentru a obține, pe lângă datele despre produs, parola standard a aparatului. Pentru AP-urile foarte răspândite este suficientă de obicei consultarea bazelor de date gen www.cirt.net.
Chiar și atunci când parola a fost modificată în cursul procesului de instalare rețeaua nu devine sigură deoarece este susceptibilă unor atacuri de tip forță brută care pot fi realizate cu programe gen BRUTUS, spargerea unor parole simple (compuse din mai puține de șase caractere) este posibilă în scurt timp. Dacă atacul are success, hacker-ul poate începe să manipuleze configurare AP-ului pregătind terenul pentru a accesa rețeaua și sistemele conectate la ea.
Probleme de securitate pe care le accesează cu predilecție un atacator sunt legate și de bug-urile de firmware. El caută astfel puncte slabe ale AP care pot fi remediate doar printr-un update de firmware. Unele aparate reacționează în mod cu totul neînțeles la reset, respectiv prin anularea setărilor și/sau a configurației aparatului la atacuri de tip Denial-of-Service (DoS). Cisco a anunțat, de exemplu, o eroare din firmware-ul IOS al AP1100, 1200 și 1400, care permite unui atacator să forțeze un reboot printr-o cerere manipulată la serverul web al meniului de configurare fără a fi necesară o autentificare prealabilă.
Alte sisteme, ca de exemplu Access Point-ul WLAN \VG602vl e la Netgear, au unele versiuni de firmware cu parole Mașter care s-au aflat datorită unor scurgeri de informații sau au fost depistate de hackeri inventivi. Aici numele de utilizator este „super", iar parola este numărul de telefon al unui furnizor din Taiwan :5777364. Versiunile incorecte de software intern al aparatelor se pot corecta printr-un update de firmware.
După cum am mai spus, așa-numitul sniffing este unul dintre cele mai mari pericole în WLAN. Rețelele fără fir care transferă date în lipsa unei protecții sunt cele mai susceptibile de astfel de atacuri. Hacker-ul trebuie doar să se afle la locul potrivit în momentul potrivit pentru a intercepta informații precum parolele, informațiile de acces, documentele importante, informațiile personale sau foarte sensibile. Pericolul de sniffing a datelor transmise prin rețeaua fără fir nu vine în acest caz atât de la war driverii care patrulează în căutarea de rețele, cât mai degrabă de la hackerii și vecinii din imediata apropiere a WLAN-ului. Datorită faptului că, în funcție de fluxul de date, aceste atacuri pot fi destul de greoaie, hackerii trebuie să dea dovadă de foarte multă răbdare. în plus, timing-ul este important pentru atacatori, în fond ei trebuind să intercepteze traficul atunci când trec prin rețea date cu adevărat importante pentru ei. Actualmente, sniffing-ul este foarte popular în centre orășenești, la universități și alte școli superioare, unde există numeroase hotspot-uri. Aceasta deoarece, pentru a permite utilizatorilor accesul ușor și comod în rețeaua WLAN, unii administratori renunță la orice fel de codare, în ciuda riscurilor de securitate binecunoscute. Cei mai mulți utilizatori ai hotspot-urilor nici măcar nu își închipuie că datele lor sunt transmise „plain text" atunci când își accesează căsuța poștală sau interfața web. Acest lucru înseamnă că oricine are posibilitatea să intercepteze parolele altor useri cu ajutorul unui sniffer WLAN.
Funcționare :
Spre deosebire de rețelele fizice, adică legate prin cablu, în care mai este încă nevoie să avem acces local sau cel puțin remote la un sistem pentru a putea captura date din rețeaua internă, atacatorul unui WLAN trebuie doar sâ se afle în apropierea rețelei care îl interesează. Pentru a începe sniffing-ul, placa de rețea este setată de atacator în așa-numitul Monitor Mode. În acest mod de lucru este posibilă o „ascultare" pasivă a rețelei, așadar fără a fi transmite vreun pachet de date, ca să nu mai vorbim de autentificarea în rețeaua atacată. Tocmai acest avantaj face sniffing-ul atât de popular. Dacă un pachet de date transmis prin Access Point sau orice alt sistem participant la rețea trece prin interfața de rețea a hacker-ului, acesta este interceptat automat de placa de rețea. În esență, acest mod nici măcar nu era prevăzut la ratificarea standardului IEEE 802.11, ci mai degrabă servea unor producători ca mod de test pentru de-bugging și analiza erorilor. Cu toate acestea, unele companii au integrat funcția în chipset-urile unor plăci de rețea WLAN, printre acestea Prism2 și Hermes.
Dacă dorim să aflăm cât de sigură este rețeaua din punct de vedere al posibilităților de sniffing, trebuie doar verificat dacă placa de rețea dispune de unul din chipset-urile menționate mai sus. O bună alegere reprezintă plăcile marca Orinoco sau Cisco (seria Aironet), dar pe zi ce trece tot mai mulți producători implementează această funcție în chipset-urile placilor de rețea. Pe lângă placa potrivită, atacatorul mai are nevoie și de un utilitar adecvat, care să analizeze și să afișeze traficul interceptat. Foarte popular este, de exemplu, sniffer-ul gratuit open source Ethereal, cu ajutorul căruia se pot analiza pachetele individuale ale diferitelor protocoale. Ethereal este un sniffer gratuit de tip open source folosit de majoritatea administratorilor de rețea cât și de atacatori ce doresc să captureze informații importante despre rețeaua de interes. Ca majoritatea sneffer-elor comerciale suportă o listă lungă de protocoale și poate realiza capturi de la orice tip de placă de rețea.
Ethereal poate rula pe majoritatea platformelor de UNIX așa cum poate fi rulat și sub Windows. Codul sursă este disponibil atât pentru Windows cât și Unix, dar modificări pot fi ușor realizate sub Unix întrucât există o multitudine de compilatoare care pot modifica mediul de lucru. Pe măsură ce 802.11 a devenit tot mai popular și mai bine acceptat de Linux posibilitatea de analiză hardware a fost tot mai acceptată. Inițial doar plăcile de rețea bazate pe chipset Prism erau suportate,dar tot mai mulți producători folosesc plăci WLAN suportate de Ethereal și implicit sub Unix. Așadar, pentru un atacator toate tipurile de parole sunt interesante. Acestea sunt interceptate de obicei atunci când utilizatorul se loghează la contul de mail sau la alte sisteme, parolele fiind transmise „plain text" în WLAN. Sniffer-ul insinuat în WLAN le va putea intercepta, fără probleme. Suplimentar, Ethereal dispune de o funcție de filtrare, cu ajutorul căreia sunt recepționate pachete de date trimise de clienți sau AP-uri individuale în rețea, programul respingând protocoalele considerate neinteresante. Această proprietate a sniffer-ului esre importantă pentru atacator, pentru o mai bună monitorizare a traficului de date. La sniffing-ul fluxului de date sunt capturate și adresele MAC valide transferate necriptat. Există o serie de utilitare care facilitează rescrierea adresei MAC, pentru a păcăli Acces Point-ului cu o pretinsă adresă MAC validă pentru rețea. Cu o adresă MAC astfel fabricată se poate ocoli restricția ACL-ului, protecția oferită de această funcție fiind anulată.
WEP – protecție cu puncte slabe
Pentru a proteja integritatea datelor de transferat, Institute of Electrical and Electronic Engineers (IEEE) a dezvoltat o procedură specială de codare, pe numele său Wired Equivalent Privacy (WEP). Este vorba despre unul dintre cele mai importante mecanisme de securitate pentru WLAN și, din 1998, a fost integrat tuturor standardelor wireless. Deja WEP a ajuns subiect de discuție de ceva timp din cauza problemelor de securitate documentate, cu toate că utilizarea sa este destul de eficientă pentru stoparea potențialelor atacuri în WLAN. Capitolul anterior a discutat probleme tot mai dese de securitate întâlnite în rețelele WLAN ce folosesc WEP ca modalitate de protecție a datelor transferate prin rețea. Pentru a compromite codarea WEP atacatorul are totuși nevoie de timp pentru a trece de acest mecanism de protecție așa ca folosirea lui este încă reomandată.
Ca metodă de codare, WEP utilizează o așa-numită criptare Stream-Chipers, care codează datele individuale bit cu bit. în funcție de hardware-ul instalat, lungimea cheii (WEP-Key) poate fi de 64 până la 256 biți. Cheia se compune dintr-un vector de inițializare (un număr aleator care se modifică la fiecare pachet de date și are o lungime de 24 biți) și din restul cheii, cu o lungime de la 40 la 233 biți, care este stabilită de utilizator prin introducerea cheilor WEP. La procedura de criptare WEP, codarea se limitează la datele utile transmise în pachetul de date, ceea ce înseamnă că header-ul IP nu este protejat. La criptarea datelor utile se calculează și o sumă de control ce se atașează pachetului. Acest lucru ar trebui să împiedice manipularea datelor de către terți în timpul transferului. Aceste date sunt, așadar, criptate de AP în baza cheii comune WEP și decodate de client (reciproca este valabilă). Findcă pentru codare și decodare este utilizată aceeași cheie, este necesar ca atât emițătorul, cât și receptorul să cunoască această cheie. Baza este formată întotdeauna de cheia identică utilizată de Access Point și de clienți la comunicare. Dacă un client dorește să acceseze rețeaua fără fir, AP-ul îi solicită să genereze un vector de inițializare, care este apoi combinat cu cheia WEP și codat printr-un algoritm.
Breșele de securitate din WEP
Pentru generarea acestei chei, WEP utilizează algoritmul RC4. Acesta calculează, din WEP și vectorul de inițializare, o cheie potrivită. Dar tocmai acest algoritm de codare este una din cele mai mari probleme ale WEP.
RC4 a fost dezvoltat în 1984 de către Ronald L. Rivest, un angajat al RSA. Din Rivest's Cipher 4 a derivat acronimul RC4. După ce timp de șapte ani acesta a fost catalogat drept strict secret și a fost protejat ca atare, codul său sursă a ajuns să fie aflat, printr-o breșă de securitate rămasă necunoscută până astăzi. Astfel, hackerii au putut analiza pe îndelete algoritmul, pentru a-i depista eventualele puncte slabe. într-adevăr, după scurt timp s-a descoperit o posibilitate de spargere a datelor codate cu RC4, prin acțiuni de inversare. Dat fiind faptul că RC4 codează unele cifre mai bine decât altele, un potențial atacator are posibilitatea de a reconstrui cheia WEP după re-ceptionarea unui număr suficient de pachete de date.
O slăbiciune majoră a codării WEP este transferul necodat al vectorului de inițializare în header-ul 802.11. De aceea, majoritatea atacurilor se bazează pe analiza vectorului de inițializare în relație cu RC4-Output Byte. Atacatorul dorește, așadar, să reconstruiască cheia comună. În acest sens, cu ajutorul utilitarelor gen WEPCrack este exploatată o problemă la generarea vectorului de inițializare de doar 24 biți (cu ajutorul unui pseudo-generator WEP PRNG). La o lungime de 24 biți există un număr limitat de combinații care ar putea fi utilizate drept variante de codare pentru RC4. Pentru cele aproximativ 16 milioane de combinații posibile, teoretic și vectorul de inițializare utilizat se repetă după tot atâtea pachete de date transferate.
Utilitare precum AirSnort necesită de regulă, conform declarațiilor autorilor, doar cinci până la 10 milioane de pachete pentru a determina cheia corectă, în funcție de activitatea clienților, în acest caz vorbim despre câteva ore, maxim zile. Dacă traficul de rețea necesar lipsește, utilitarul agresorului poate memora înregistrările deja efectuate și își reia activitatea ulterior ca și cum nu ar fi existat acea întrerupere. Astfel, un hacker din vecinătate poate evalua pachetele disponibile pe parcursul câtorva săptămâni sau luni. în cazul rețelelor mari (cu trafic intens), capturarea numărului necesar de pachete este posibilă și într-un timp mult mai scurt. Dacă se atinge această limită, aflarea cheii WEP cu ajutorul programului potrivit devine o chestiune de minute.
Un alt punct slab al WEP rezidă în lipsa key managementului. Deoarece cheile dintr-o rețea trebuie distribuite manual tuturor sistemelor participante, în practică ele nu sunt înlocuite decât foarte rar, dacă nu deloc. Acest mod de distribuire a cheilor are drept consecință punerea în pericol a întregii rețele wireless, chiar și atunci când doar o singură cheie nu mai este secretă. Mai mult, dimensiunea pachetelor crește la codarea WEP, micșorând însă lățimea de bandă la transferul datelor în WLAN. Acest lucru nu este pozitiv în ceea ce privește popularitatea codării WEP în rândul utilizatorilor care doresc să transfere volume mari de date în timp cât mai scurt. Astfel, majoritatea utilizatorilor decid să renunțe la WEP în detrimentul securității. Există totuși o soluție de compromis, care implică utilizarea mai multor Acces Point-uri. Rămâne însă problema compatibilității AP-urilor între ele, dar problema costurilor suplimentare.
În pofida tuturor acestor probleme de securitate, codarea WEP nu este inutilă, pentru că este totuși mai bine să utilizăm o protecție vulnerabilă decât să nu avem niciuna. Tot ceea ce trebuie să știm foarte clar este că WEP nu oferă prea multă siguranță. După publicarea problemelor WEP și, implicit, a riscurilor de securitate pentru utilizator, o serie de producători renumiți s-au decis să dezvolte alte metode alternative de protecție, însă, pentru ca aceste măsuri să fie puse în practică, utilizatorul trebuie să apeleze la hardware de la același producător, fiind așadar dependent de acesta atunci când dorește un upgrade al rețelei.
WPA – alternativa sigură
După ce mecanismul WEP s-a dovedit relativ nesigur, multe întreprinderi au ezitat să utilizeze tehnologia WLAN. Altele s-au orientat după soluții de încredere, ca alternativă pentru WEP. Astfel, mulți producători au întrezărit șansa să ofere propriile standarde de securitate WLAN. Totuși, abundența de protocoale diferite a devenit o problemă în termeni de interoperabilitate pentru aparatele asemănătoare de la producători diferiți.
De aceea, IEEE a scos pe piață, la începutul lui 2004, un nou standard de securitate și criptare cu denumirea Wi-Fi Protected Access (WPA), menit să schimbe situația în mod radical și să elimine problemele principale ale predecesorului WEP.
Spre deosebire de WEP, WPA protejează datele cu o cheie dinamică, mai bine spus cu patru chei diferite pentru fiecare client WLAN. Cheia este utilizată numai la conectarea clientului în rețea și este înlocuită ulterior printr-o cheie de sesiune. Noul management al cheilor WPA este ideal pentru rețelele wireless mari, așa cum sunt ele utilizate în companii. Cu ajutorul unui server de autentificare, datele de acces ale utilizatorilor sunt administrate centralizat. Pentru rețelele mici, private, metoda de autentificare Pre-Shared-Key permite tuturor utilizatorilor să se conecteze cu aceeași parolă.
Și în WPA au fost găsite câteva puncte slabe. Cu toate că unele se bazează doar pe teorii aplicabile în practică și nu sunt atât de mari ca în cazul WEP, ele trebuie avute totuși în vedere la managementul cheilor. Mai ales cheia de grup, care trebuie să fie cunoscută tuturor stațiilor, este călcâiul lui Ahile pentru WPA. Dacă aceasta intră pe mâna unui utilizator neautorizat, acesta este în măsură să intercepteze schimbul inițial de chei între client și Access Point.
Guideline pentru realizarea unei rețele sigure
Breșele de securitate în WLAN sunt mai mult decât suficiente pentru cineva interesat de a accesa resursele unei rețele, dar tot la fel de adevărat este că există și o multitudine de metode de a stopa atacurile ce au ca scop fie modificarea și manipularea informațiilor din rețea sau doar simpla accesare a rețelei. O combinare iscusită a măsurilor de securitate oferă o securitate crescută rețelelor WLAN fiind nevoie doar de combinarea funcțiilor de securitate oferite așa cum sunt : decuplarea funcțiilor Broadcast și DHCP, criptarea datelor cu WEP, activarea WPA sau și mai bine a standardului superior WPA2 ( corespunzător IEEE 802.11i ). Pot fi întreprinse dealtfel și măsuri ce implică autentificarea clienților individuali cu ajutorul Acces Control List ( ACL ) prin intermediul adreselor MAC ale clienților. Fiecare dintre aceste măsuri de securitate are propriile puncte slabe, pentru a căror exploatare există de regulă numeroase utilitare gratuite. Totuși volumul de lucru pe care o persoană trebuie să îl depună pentru depăsirea acestor obstacole va descuraja numeroase tentative de atac.
Optimizarea criptării. Din cauza publicării relativ tardive a breșelor de securitate din WEP, soluția pentru acestea a venit mult prea târziu, deoarece standardul de criptare este deja utilizat în milioane de aparate compatibile 802.11. Cu toate acestea, nu este foarte greu de eficientizat această modalitate de codare. La achiziția unui aparat wireless trebuie luat în calcul în primul rând ca lungimea maximă a cheii de criptare să fie de 128 sau chiar de 256 biți. De asemenea aceasta trebuie să fie suportată deopotrivă de plăcile de rețea și de Access Point.
Cheia de acces trebuie schimbată la intervale regulate. Unele aparate, ca de exemplu seria Aironet de la Cisco, suportă deja funcția de înnoire automată a cheilor. Dacă AP-ul este compatibil WPA, această funcție trebuie activată în locul criptării WEP. Pentru aparatele care nu cunosc decât mecanismul WEP, anumiți producători oferă update-uri de firmware care instalează suportul WPA.
În plus, este de studiat dacă am achiziționat un echipament hardware RSN. RSN este acronimul pentru arhitectura de securitate Robust Security Net-work, introdusă cu standardul 802.1li și care îmbunătățește substanțial securitatea în WLAN. „I"-ul de după 802.11 este deosebit de important. Până la anteriorul 802.1 lh accentul a fost pus cu precădere pe standardizare, interoperabilitate și viteză de transfer. începând cu 802.11i, în prim plan a fost adus un concept global de securitate. Au fost, așadar, introduse protocoale de codare noi precum CCMP, în care sunt utilizate procedurile de criptare AES, de exemplu pentru WPA2.
Cea mai sigură este, prin urmare, utilizarea WPA2, AES generând chei cu lungimi variabile de 128, 192 sau 256 biți.
O altă modalitate de criptare implică instalarea unui VPN (Virtual Private Network). în special în firmele care transferă in-house date foarte importante procedurile de codare WEP și WPA sunt insuficiente și chiar inacceptabile, iar aceasta din cauza deja cunoscutelor probleme de securitate ale acestora. Datorită managementului simplificat al cheilor VPN, efortul de administrare se menține în limite rezonabile chiar și în cazul existenței unui număr mare de clienți. Un maxim de securitate poate fi atins așadar cu codarea standard oferită de VPN în combinație cu un certificat de securitate.
Ca și pentru rețele pe cablu și în cazul WLAN-urilor există programe de diagnosticare care îndeplinesc funcții de identificare a surselor de eroare, de indentificare a breșelor de securitate sau realizează măsurători pentru verificarea zonelor de alimentare.. Pe lângă instrumentele comerciale de diagnosticare și care de obicei au un preț destul de prohibitiv, există și o serie de instrumente freeware și shareware cu uimitor de multe funcții. De altfel aceste utilitare așa cum pentru un administrator al unei rețele WLAN poate reprezenta o bună metodă de administrare pentru un rău voitor acestea pot reprezenta în aceeași măsură unelte mai mult decât necesare pentru atacarea unei rețele WLAN.
În următoarele rânduri vom realiza proiectul unei rețele WLAN ce va include totalitatea măsurilor de securitate pe care le poate suporta o rețea fără fir iar pentru a testa securitatea acestei rețele putem folosi utilitare de administrare și monitorizare a a traficului într-o rețea fără fir ale căror caracteristici le vom detalia în rândurile ce urmează.
Cu toate că banalele sniffere folosite doar pentru a intercepta traficul au fost inițial concepute doar pentru a administrarea rețelei, corectarea erorilor sau operațiuni de depanare momentan aceste utilitare reprezintă dispozitive tot mai frecvent folosite pentru accesarea sau modificarea datelor vehiculate în cadrul rețelei. Vom prezenta pe scurt și în funcție de utilizarea lor predilectă cele mai frecvent utilizate instrmente de analiză și accesare a unei rețele wireless realizând în același timp și clasificare a acestora.
Administrarea rețelelor WLAN
Ethereal
Ethereal este program ce analizează pachetele de date transmise în cadrul unei rețele. Un analizator de astfel de pachete va încerca să ofere cât mai multe informații și cât se poate de detaliate.
Ethereal este unul dintre cele mai bune pachete de analiză de pachete de tip open source ce este disponibil pe piață. Acest utilitar poate fi folosit de administratori de rețea pentru rezolvarea problemelor ce pot apărea în cadrul unei rețele, de către programatori de securitate reprezentând o metodă eficientă de examinare a problemelor de securitate. Deasemeni poate fi folosit cu scopul de a studia diferitele protocoale de comunicație din cadrul unei rețea.
Caractersitici
disponibil atât pentru UNIX cât și Windows.
captură de pachete de date.
afișează pachetele de date cât mai detaliat cu informații despre fiecare protocol.
Import and Export pachete din sau spre alte programe de captură de date.
filtrează pachete după mai multe criterii.
realizează statistici pe baza datelor capturate.
IDS-AirSnare
AirSnare este un program de tipul Intrusion Detection System care monitorizează o rețea wireless și detectează utilizatorii conectați fraudulos. Principiul de funcționare se bazează pe detectarea și clasificarea adreselor MAC ale plăcilor existente în rețea. Pentru cele considerate nelegitime, utilizatorul are posibilitatea detectării adreselor IP și a porturilor folosite. AirSnare poate fi configurat în așa fel încât să trimită un mail de notificare administratorului unei rețele prin care să îl înștiințeze cu referire la accesarea rețelei de către un utilizator cu o adresă MAC necunoscută.
Airopeek
Reprezintă un pachet de analiză complet pentru rețelele WLAN de tip 802.11. Scopul acestuia este de a identfica și rezolva problemele apărute în cadrul unei rețele WLAN. Odată apărută o problemă de securitate, aceasta este izolată decodând în întregime protocoalele 802.11 sau analizând performanțele unei rețele identificând puterea semnalului sau ratele de transfer disponibile pe canalele din cadrul rețelei monitorizate.
Pe lângă soluția de analiză a pachetelor de date transferate în cadrul rețelei AiroPeek oferă ca și funcții suplimentare :
Acces ușor la resusele rețelei wireless prin intermediul unor imagine real-time asupra datelor vehiculate în interiorul rețelei.
Oferă un tunning al rețelei prin monitorizarea puterii semnalului sau a nivelului zgomotului din cadrul canalelor de comunicație
Rapoarte, grafice și statistici asupra rețelei și a traficului din rețea.
Reacționează imediat la probleme apărute în cadru rețelei folosind alarme și trigere predefinite specifice unei rețele wireless.
Realizează analize asupra rețelei folosind un sistem GPS, prin măsurarea intensității semnalului sau a nivelului zgomotului din anumite canale ale rețelei.
Caracteristici :
WLAN View – determină rapid SSID-ul unei rețele, acces point-urile și structura ierarhică a conexiunii la fel ca și metodele de criptare și de autentificare folosite.
Template pentru realizarea unui format de securitate – fitre și alarme folosite pentru a securiza o rețea WLAN și totodată de a identifica breșele de securitate din cadrul rețelei.
Analize asupra puterii semnalului – folosite de obicei pentru a ajuta la implementarea unei rețele WLAN, pentru a determina locul și modul de poziționare al acces point-urilor.
Scanarea canalelor – caută și interceptează trafic 802.11 după anumiți parmetrii definiți de utilizator.
Decodificarea protocoalelor WLAN – poate decodifica majoritatea protocoalelor 802.11 a/b/g sau alte protocoale de nivel mai înalt.
Decriptarea WEP și WPA – detectează încercări de accesare a rețelei prin decriptarea WEP sau WPA în timp real.
Tabele de nume automate – atribuie automat nume tuturor nodurilor din rețea pentru o mai bună identificare a acestora și deasemeni a sursei și destinației traficului din rețea.
Suport GPS – include date oferite separate de un receiver GPS. Fiecare pachet conține alături o coloană opțională ce conține informații adiționale cum ar fi latitudinea, altitudinea sau longitudinea la care se află un dispozitiv din retea.
Aplicație
Ca și aplicație am realizat un firewall realizat in Visual C++ care are reguli de filtrare personalizate, se pot specifica adresele IP, porturile, și subnet mask-urile sursei și ale destinației, și de asemenea protocolul pentru care se poate opri activitatea rețelei.
Are opțiunea de a salva, și încărca o listă de reguli creată anterior, pentru a economisi timp.
În FirewallAppDoc.cpp se implementeaza clasa CfirewallAppDoc și se stochează regulile folosite de către firewall.
rules[nRules].sourceIp = srcIp; rules[nRules].sourceMask = srcMask; rules[nRules].sourcePort = srcPort; rules[nRules].destinationIp = dstIp; rules[nRules].destinationMask = dstMask; rules[nRules].destinationPort = dstPort; rules[nRules].protocol = protocol; rules[nRules].action = action;
În FirewallAppView.cpp se realizeaza interfața grafică, care este simplistă, pentru a facilita utilizarea firewall-ului de către orice tip de utilizator mai mult sau mai puțin pregătit in domeniu. Am creat fiecare câmp necesar, și am specificat poziția lui:
void CFirewallAppView::OnInitialUpdate()
{
CFormView::OnInitialUpdate();
GetParentFrame()->RecalcLayout();
ResizeParentToFit();
RECT rc;
m_rules.GetClientRect(&rc);
int width=rc.right-rc.left-110;
m_rules.InsertColumn(0, "Source IP",LVCFMT_LEFT , width/6, 0);
m_rules.InsertColumn(1, "Source Mask",LVCFMT_LEFT , width/6, 1);
m_rules.InsertColumn(2, "Source Port",LVCFMT_LEFT ,width/6, 2);
m_rules.InsertColumn(3, "Dest. IP",LVCFMT_LEFT , width/6, 3);
m_rules.InsertColumn(4, "Dest. Mask",LVCFMT_LEFT , width/6, 4);
m_rules.InsertColumn(5, "Dest. Port",LVCFMT_LEFT , width/6, 5);
m_rules.InsertColumn(6, "Protocol",LVCFMT_LEFT ,60, 6);
m_rules.InsertColumn(7, "Action",LVCFMT_LEFT , 50, 7);
m_rules.SetExtendedStyle(LVS_EX_FULLROWSELECT | LVS_EX_GRIDLINES);
}
În MainFrm.cpp am implementat clasa CMainFrame.
Am creat un constructor și un destructor:
CMainFrame::CMainFrame(){
started = FALSE;}
CMainFrame::~CMainFrame()
{
Am trimis regulile de filtrare tuturor IP-urilor locale, deoarece în reguli nu am indicat în ce interfață se va aplica regula.
for(i=0;i<doc->nRules;i++) { for(aux=pAdapterInfo;aux != NULL;aux=aux->Next){
for(localIp=&aux->IpAddressList;localIp!=NULL;localIp=localIp->Next){
pckFilter.AddFilter(CharToIp(localIp->IpAddress.String),
ANY_DIRECTION,
doc->rules[i].sourceIp,
doc->rules[i].sourceMask,
doc->rules[i].destinationIp,
doc->rules[i].destinationMask,
doc->rules[i].sourcePort,
doc->rules[i].destinationPort,
doc->rules[i].protocol);
}
}
}
SockUtil.cpp convertește un șir de rețea IP formatat. Ca și argumente primește ip(conține șirul ipString) și adresa(reprezintă adresa ip). Dacă șirul nu are formatul corect returneaza -1. Dacă numărul octeților este mai mic decât 0 sau mai mare decât 255, atunci se returnează adresa 0.0.0.0, în rest se returneaza valorile in formatul ip.ului de rețea. În variabila atoi se extrag caractere până la întâlnirea caracterului non-numeric(punct).
for(i = 0; i < 4; i++){
octets[i] = atoi(auxCad);
if(octets[i] < 0 || octets[i] > 255)
return -1;}
Același lucru se întâmplă și pentru porturi.
Aplicația are un meniu alcătuit din trei sub-meniuri: File, Reguli, Ajutor. Din meniul „File” se poate porni/opri filtrarea, se pot salva/încărca regulile de filtrare(cu extensia .rul) și se poate închide aplicația. Meniul „Reguli” are un nume foarte sugestiv, de aici se pot adăuga sau șterge reguli, sau seta regulile implicite, iar meniul „Ajutor” conține detalii legate de producător.
Concluzii
După cele prezentate mai sus, o primă concluzie este că un firewall poate securiza total un computer sau o rețea de computere conectate la internet. Această afirmație este eronată din două puncte de vedere. În primul rând un firewall este un filtru a cărui rezistență și compoziție depinde de setările efectuate de utilizator, iar în al doilea rând, programul nu poate împiedica accesul virușilor de tip troian, ce folosesc clientul de mail implicit, programele de chat sau browserul de internet utilizat. Dacă acești viruși au fost rulați, se pot pierde resurse și timp pentru devirusare, sau chiar o parte importantă din informațiile stocate pe harddisk. O educație bună a userului, blocarea anumitor porturi și stabilirea unor proceduri riguroase de control din partea administratorului de rețea sunt elemente ce duc, alături de un echipament firewall, la creșterea securității unei rețele conectate la internet, micșorând astfel riscul unor accese nedorite atât din exterior către interior cât și din interior spre exterior.
O rețea wireless nu trebuie concepută pentru transmiterea de date importante între utilizatori, întrucât orice persoana cu bune cunoștințe de hacking care se află în raza ei, poate sparge algoritmul de criptare, și astfel se poate conecta la ea, având acces la toate datele care se trimit între utilizatori.
Cu toate că mecanismul de securitate WEP este printre cele mai vulnerabile din cadrul securității rețelelor wireless, acesta este încă folosit de către un procent mare de utilizatori. Pentru a spori securitatea rețelei wireless personale, recomand folosirea mecanismului WPA2/AES, și consultarea periodica a logurilor create de router, sau de către o aplicație de monitorizare a rețelei, în care este specificat numărul, ora la care s-a conectat fiecare, traficul efectuat, și adresa MAC a fiecărui device conectat la Access Point, împreună cu o soluție firewall puternică.
Bibliografie
Praphul Chandra -Bulletproof Wireless Security GSM , UMTS , 802.11 și securitatea rețelelor ad-hoc;
Rob Flickenger – Building Wireless Community Networks, Second Edition iunie 2003
Merritt Maxim , David Pollino – Wireless Security
Jahaanayeb Khan si Anis Khwaja – Building Secure Wireless Networks with 802.11
Aftab Ahmad- Wireless and mobile data networks;
Victor Valeriu Patriciu , Monica Ene Pietrosanu, Calin Vaduva , Ion Bica, Nicolae Voicu- Securitatea comerțului elecrtronic
Boer, J. – Direct Sequence Spread Spectrum Physical Layer Specification IEEE 802.11, doc. IEEE P802.11-96/49E;
Brenner, P. – A Technical Tutorial on the IEEE 802.11 Protocol, documentatie Internet, www.sss-mag.com/pdf/802_11tut.pdf
Irvine, J., D. Harle – Data Communications and Networks, Ed. Wiley, Anglia, 2002.
Lough, D.L., T. K. Blankenship, K. J. Krizman – A Short Tutorial on Wireless LANs and IEEE 802.11, Institutul Politehnic Bradley – Virginia.
Meel, J. – Spread Spectrum (SS) applications, © Institutul DE NAYER,
Miller, S.L. – Wireless Communication Systems, note de curs , ee.tamu.edu/~smiller
Mocanu, Șt. – Transmiterea datelor pe canale wireless, referat doctorat 2002, AII-215-03.
Prem, E.C. – Wireless Local Area Networks,
Șerbanescu, D. – Retele wireless: secrete mici, efecte mari, PC Magazine România, Iunie 2002
Andrew S. Tanembaum – Rețele de calculatoare;
Resurse Internet :
*** – http://www.agora.ro/
*** – http://www.hot-spot.ro/
*** – http://www.chip.ro/
*** – www.ieee.org
*** – http://www.wi-fiplanet.com/news/article.php/905461
*** – http://www.networkworld.ro/general.php
*** – http://www.internet-magazin.ro/articol.php
*** – http://www.ral.ro/php/produse.php?cid=44#GPRS-WLAN11B
Bibliografie
Praphul Chandra -Bulletproof Wireless Security GSM , UMTS , 802.11 și securitatea rețelelor ad-hoc;
Rob Flickenger – Building Wireless Community Networks, Second Edition iunie 2003
Merritt Maxim , David Pollino – Wireless Security
Jahaanayeb Khan si Anis Khwaja – Building Secure Wireless Networks with 802.11
Aftab Ahmad- Wireless and mobile data networks;
Victor Valeriu Patriciu , Monica Ene Pietrosanu, Calin Vaduva , Ion Bica, Nicolae Voicu- Securitatea comerțului elecrtronic
Boer, J. – Direct Sequence Spread Spectrum Physical Layer Specification IEEE 802.11, doc. IEEE P802.11-96/49E;
Brenner, P. – A Technical Tutorial on the IEEE 802.11 Protocol, documentatie Internet, www.sss-mag.com/pdf/802_11tut.pdf
Irvine, J., D. Harle – Data Communications and Networks, Ed. Wiley, Anglia, 2002.
Lough, D.L., T. K. Blankenship, K. J. Krizman – A Short Tutorial on Wireless LANs and IEEE 802.11, Institutul Politehnic Bradley – Virginia.
Meel, J. – Spread Spectrum (SS) applications, © Institutul DE NAYER,
Miller, S.L. – Wireless Communication Systems, note de curs , ee.tamu.edu/~smiller
Mocanu, Șt. – Transmiterea datelor pe canale wireless, referat doctorat 2002, AII-215-03.
Prem, E.C. – Wireless Local Area Networks,
Șerbanescu, D. – Retele wireless: secrete mici, efecte mari, PC Magazine România, Iunie 2002
Andrew S. Tanembaum – Rețele de calculatoare;
Resurse Internet :
*** – http://www.agora.ro/
*** – http://www.hot-spot.ro/
*** – http://www.chip.ro/
*** – www.ieee.org
*** – http://www.wi-fiplanet.com/news/article.php/905461
*** – http://www.networkworld.ro/general.php
*** – http://www.internet-magazin.ro/articol.php
*** – http://www.ral.ro/php/produse.php?cid=44#GPRS-WLAN11B
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea Retelelor Wireless. Elemente de Criptografie Si Protocoale de Securitate (ID: 150427)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.