SECURIZAREA RE ȚELELOR WLAN LA NIVEL DE CAMPUS DE [616893]

1 | 12

ACADEMIA FOR ȚELOR TERESTRE
“NICOLAE B ĂLCESCU ”

LUCRARE PRACTICĂ

TEMA: “SECURIZAREA RE ȚELELOR WLAN LA NIVEL DE CAMPUS DE
INSTRUIRE ”

CONDUCĂTOR ȘTIINȚIFIC
Lt. col.
GHEORGHE GOIA

CURSANT

OPREA Liviu -Dan

2 | 12

CUPRINS

1. INTRODUCERE 3
2. VULNERABILITĂȚI ASOC IATE CU INFRASTRUCTU RILE RADIO WIFI 3
2.1. CONECTAREA NEAUTORIZA TĂ LA REȚEA 3
2.2. INTERCEPTAREA TRAFICU LUI DE DATE 4
2.3. COMPROMITEREA DATELOR 4
2.4. LIMITAREA ACCESULUI 4
3. IDENTIFICATORII UNEI RETELE WIFI 4
3.1. DESCRIPTORI 4
3.2. CANALE 5
3.3. CRIPTARE 6
4. ATACURI ASUPRA REȚEL ELOR WIFI 6
4.1. IDENTIFICAREA PAROLEI 6
4.2. OBȚINEREA CREDENȚIALE LOR 7
5. SECURIZAREA REȚELELOR WLAN 7
5.1. SERVERUL RADIUS 8
5.2. MONITORIZAREA REȚELEI UTILIZÂND SOLUȚII IDS 10
6. CONCLUZII 11
BIBLIOGRAFIE 11

3 | 12

1. INTRODUCERE

Dezvoltarea fără precedent a societății contemporane, sub toate a spectele
acesteia, a condus la diversificarea mijloacelor de comunicare și implicit la o
creștere explozivă a volumelor de date vehiculate și stocate , fiecare aspect al
vieții noastre fiind , într-un fel sau altu l, atins de nevoia de a fi permanent
conectați cu ceilalți . Accesul câ t mai facil la rețeaua globală I nternet, cu
costuri cât mai reduse și cu vitez e din ce în ce mai ridicate , reprezintă o
provocare la care participă o lungă serie de entități. De la Comisia Europe ană,
până la proiecte ambițioase, de mare anvergură precum Stalink, proiect
derulat de Elon Musk , cu scopul declarat de a furni za internet liber pe ntru un
procent cât mai mare dintre locuitorii planetei . Comunicarea este esen țială,
indiferent de domeniul la ca re facem referire. Totul este guvernat de
informație. De la medicină și biologie, la învățământ și apărare, de la
agricultură și transporturi până la domeniul bancar, navigație aeriană și
cercetarea spațiului c osmic, toate acestea sunt guvernate de necesit atea
funcționării fluxurilor rapide de date, vehiculate prin re țelele de calculatoare.
Odată cu toate acestea, a crescut permanent numărul obiectelor conectate la
rețea, Internetul lucrurilor fiind acum implicat inclusiv în fenomenul rețelelor
sociale. Astfel , pe lângă actori văz uți ca entități umane, acum, obiectele au o
implicare de rang egal, în rețelele de socializare. Analizând toate aceste
aspecte ale dezvoltării societății informaționale, se desprinde , fără echivoc ,
un aspect determinat de nevoia de mobilitate a unei bune părți dintre entitățile
conectate la rețeaua Internet. Această mobilitate este asigurată, în mare
măsură , de infrastruct urile fără fir, de tipul WLAN.
Odat ă cu aceste creșteri , fără prece dent, ale datelor transferate , au apărut
și o serie de riscuri asociate . O parte dintre acestea materializându -se,
valorificate de autori cu scopuri ilicite , prin orchestrarea unor atacuri
informatice țintite , în vederea obținerii de informații din domenii cât se poate
de variate: d ate bancare, date personale ale utiliz atorilor, date din rețele ce
deservesc infrastructuri critice etc.

2. VULNERABILITĂȚI ASOCIATE CU
INFRASTRUCTURILE RAD IO WIFI

2.1. Conectarea neautorizată la rețea

Conectarea neautori zată la rețea presupune utilizarea ilicită a datelor de
conectare. Acestea pot fi ob ținute prin dezvăluirea de către utilizatorii rețelei,
prin diseminarea accidentală sau prin obținerea acestora de către entități
interesate, prin compromiterea unuia dintr e echipamentele wifi conectate la

4 | 12
rețea. Pe lângă pericolul major reprez entat de imixtiunea unor terțe entități în
rețea, fapt ce poate avea repercusiuni cu atât mai grave , cu cât datele
vehiculate sunt mai „sensibile”, exist ă și posibilitatea nedorită de transformare
a rețelei WLAN vizate, din țintă, în avanpost de lansare a unor atacuri
informatice asupra altor ținte. Acest aspect poate fi avantajos pentru atacator ,
fie pentru utilizarea unor resurse avansate ale rețelei, fie pentru a ascunde
enititatea sau persoanele care orchestrea ză un astfel de atac informatic.

2.2. Interceptarea traficului de date

Interceptarea traficului de date vehiculate în rețea reprezintă un aspect
luat în considerare de către orice organizație care lucrează cu date importante,
indiferent că este vorba despre mediul academic, militar, financiar,
management al transporturilor, cercetare sau medicină.

2.3. Compromiterea datelor

Compromiterea datelor existente în rețea reprezintă un aspect de
securitate deosebit de importa nt, aceasta putând avea loc fără ca utilizatorii
legitimi să poată observa , în timp util , că datele au fot modificate în conținut
sau formă, sens în care funcționarea rețelei este aparent normală , iar aceștia
nu semnalează nici o modificare a parametrilor rețelei . O astfel de acțiune
poate fi cu atât mai periculoasă , cu cât rețeaua este mai apropiată de
managementul unor infrastructuri critice, precum celebrul STUXNET , ori
instituții în care se derulează mesaje strategice sau cu un puternic caracter
decizional leg at de securitate și apărare.

2.4. Limitarea accesului

Limita rea accesului la o astfel de rețea poate conduce la efecte grave
dacă datele vehiculate au im pact imediat asupra unor domeniului de activitate.
Traficul aerian sau rețelele informatice în care sunt conectate aparate
medicale de susținere a vieții reprezintă doar două domenii luate ca exemplu,
în care limitarea accesului unor echipamente la rețea poate avea consecințe
deosebit de grave, în timp real.

3. IDENTIFICATORII UNEI RETELE WIFI

3.1. Descriptori

SSID – Service Set Identifiers reprezintă un termen generic ce face
referire la numele rețelei Wireless. BSSID – Basic SSID reprezint ă adresa

5 | 12
MAC (un număr de 42 biți) a punctului de acces, ESSID – Extended ESSID
reprezint ă un nume aplicat unuia sau mai multor puncte de acces ce
furnizează aceleași servicii în cadrul rețelei LAN .

3.2. Canale

Canalele utilizate în spectrul de 2.4 GHz trebuie să fie configurate astfel
încât punctele de acces învecinate ale fiecărui punct de access s ă utilizeze
canale diferite în raport cu cel al punctului referință .

De asemenea , canalele adiacente , ca amplasare , nu trebuie să fie de
valori apropiate. Una dintre cele mai uzuale metode de configurare a canalelor
este prin stabilir ea acestora în seria 1, 6, 11.

Topografia canalelor radio WiFi

Acoperirea de bandă

6 | 12

3.3. Criptare

Criptarea reprezintă un element deosebit de important a l securității
rețelelor WiFi. În acest sens , evoluția de la re țelele OPEN la cele WEP și mai
apoi la cele WPA , a fost determinată , în principal , de nevoia de a păstra în
siguranță utilizatorii, rețeaua WLAN și datele acesteia.

4. ATACURI ASUPRA REȚEL ELOR WIF I

4.1. Identificarea parolei

Atacuri le realizate în vederea obținerii par olei de acces sunt facilitate de
elementul de vulnerabilitate constituit din utilizarea unor parole nesigure.
Astfel, actor ii interesați pot obține pachetele de date necesare asocierii în
rețea, ale unui dispozitiv, ca mai apoi să utilizeze un mecanism de tipul
„bruteforce ”, în care se verific ă toate posibilitățile de aranjare a unei mulțimi
de caractere date, prin derivarea cuvintelor formate și compararea acesto ra cu
derivata tuplului de două elemente format din identificator SSID și parolă. În
vederea concretizării acestui scop, un atacator poate utiliza servicii online de
bruteforce, unele dintre aceste a utilizând pe lângă bruteforce , dicționare cu
parole (cloud cracking) .
Autentificarea WPA2

7 | 12
4.2. Obținerea credențialelor

Un al doilea tip de atac vizează în primă fază clientul WiFi , obținându -se
de la acesta, prin intermediul transmiterii unor tehnici de furnizare a unor
formular e de autentificare nelegitime, datele de acces în rețea ua vizată ,
ulterior fiind desfășurată o a doua etapă a atacului, respectiv cea asupra
rețelei . Acest tip de atac se realizează prin instalarea , în proximitatea rețelei
țintă, într -o poziție avantajoasă , a unui punct de a cces ce emul ează
caracteristicile celor ce deservesc rețeaua țintă, echipamentele utilizatorilor
putând fi forțate să se conecteze la acest punct de acces. După obținerea
parolei, atacatorul se interpune în conexiunea radio, între punctul de acces
legitim și utilizato r.

5. SECURIZAREA REȚELELO R WLAN

Securizarea rețelelor , la nivel de campus de instruire , trebuie să țină
seama de caracteristicile organizației deservită de acest tip de rețea, de
numărul de utilizatori și de sensibilitatea datelor vehiculate. Având în vedere
acest deziderat și luând în considerare avantajele și dezavantajele fiecărui tip
de rețea W iFi, este necesară utililizarea unei configurații de rețea WLAN cu o
serie de parametri specifici de securizare precum și prin adoptarea unor
măsuri suplimentare astfel :
 Utilizar ea unui server RADIUS
 Utilizarea unor parole complexe
 Utilizarea unei rețele separate pentru vizitatori (Guest network)
Evil Twin

8 | 12
 Monitorizarea spectrului radio pentru detectarea unor puncte de acces
nelegitime instalate în apropierea rețelei WLAN .

5.1. Server ul RADIUS

Avantajul deosebit , furnizat de acest tip de abordare , constă în alocarea
datelor de acces, separat pentru fiecare utilizator , gestionarea fiecărei
conexiuni și evaluarea în timp real a traficului de date generat de fiecare
client.

Serverul RADIUS utilizează protocolul 802.1x caracterizat prin accesul
separat al utilizator ilor, fiecare având , practic , propriul nume de utilizator și
propria parolă . Un server RADIUS primește de la clinetul WiFi o solicitar e de
autentificare. Dacă utili zatorul furni zează cre dențialele corecte, atunci
serverul trimite către punctu l de acces un răspuns de autoriz are, iar punctul de
acces îl trimite mai departe clientulu i. În sensul utilizării acestui tip de
securiz are al rețelei WLAN sunt disponibile o serie de soluții, configurații de
sisteme de operare și echipamente ce au implementate acest tip de
autentificare. Există versiuni atât pentru Windows , cât și pentru Linux. De
asemenea , sunt diponibile versiuni care rulează în mașini virtuale precum și
pachete de instalar e ce pot fi executate în clou d.

Topologie WLAN RADIUS

9 | 12

Printre cele mai uz uale servere de tip RADIUS, se numără FreeRADIUS
și RADIUSdesk. Acestea permit evaluarea funcționării punctelor de acces, a
cantității de d ate vehiculate de fiecare utiliz ator și a intervalelor de timp în
care un client a utili zat rețeaua WLAN.
În ceea ce privește setările punctelor de acces, acestea trebuie
configurate în modul WPA /WPA2 – Enterprise, prin utilizarea unui
echipament compatibil, cu specificarea portului.

La momentul conectării la rețeaua WLAN, utilizatorului îi este solicit at
să introducă numele de utiliz ator și parola furnizată de către adminis tratorul
rețelei.

Autentificarea RADIUS
Configurație punct de acces

10 | 12

5.2. Monitorizarea reț elei utilizând soluții IDS

Ca suplimentare a măsurilor de asigurare a rețelei WLAN , împotriva
atacurilor informatice la care aceasta ar p utea fi supusă, este necesară
utiliz area sistemelor de tip IDS. Prin această măsură , de ordin tactic, se pot
pune în evidență o serie întreagă de amenințări informa tice, cele mai
importante dintre acestea fiind detectarea punctelor de acces nelegitime , de tip
Evil Twins sau semnalarea pachetelor de deautentificare , adresate unui anumit
utilizator , ori destinate unui punct de acces, cu efectul deautentificării tuturor
clienților punctului de acces viz at.

Conexiune Windows 10
Monitorizare IDS

11 | 12
6. CONCLUZII

 Utilizarea serverului de RADIUS constituie o soluție avantajoasă , din punct
de vedere al securității rețelelor WLAN , cu un număr mare de utilizator i în
care sunt vehiculate date de o mare importanță. Primul aspect ce
argumentează securitatea acestui tip de rețea este dat de caracterul de
unicitate al datelor de acces. Al doilea argume nt, în favoarea acestei soluții ,
este dat de posibilitatea evaluării evenimentelor de rețea generate de fiecare
utilizator în parte: volum de date vehiculat, statistici în timp real legate de
prezența în rețea și erorile de autenficare;

 Soluția unei rețele WLAN trebuie acompaniată de instal area unei soluții de
monitorizare a spectrului radio WiFi , din proximitatea obiectivului deservit
de WLAN, în vederea identificării unor amprente radio atipice sau a unor
atacuri ce vizează această rețea .

Glosar termeni :
STARLINK – Starlink este o constelație de sateliți construită de SpaceX
pentru a oferi acces la internet prin satelit.
STUXNET – virus multi zero -day identificat în 2010, îndreptat împotriva unor
facilități nucleare Iraniene
LAN – Local Area Network – Rețea locală
WPA – Wi-Fi Protected Access
OPEN – rețea radio WiFi cu acces liber
IDS – Sistem de detectare a intruziunilor ( Intrusion detection system )

BIBLIOGRAFIE

1. SANS Institute – Security 560 NEtwork Penetration Testing and Ethical
HAcking
2. Eset research Whitepaper – Februarie 2020
Miloš Čermák, ESET Malware Researcher
Štefan Svorenčík, ESET Head of Experimental Research and Detection
3. ICT Innovations 2019 – 11th International Conference, North Macedonia
Ivan Vasilevski8 and Irena Stojmenovska
4. Internet of Things in Healthcare :
Interoperatibility and Security Issues – Liane Margarida Rockenbach
Tarouco – Institute of Informatics Federal University of Rio Grande do
Sul (UFRGS) Porto Alegre, Brazil
5. A Survey on Internet of Things: Security and Privacy Issues – J. Sathish
Kumar Department of Computer Engineering, SVNIT, Surat, 395007,
India

12 | 12
Surse internet :
6. https://www.securew2.com/solutions/wpa2 -enterprise -and-802-1x-
simplified/#psk2
7. https://www.uscybersecurity.net/evil -twin/
8. https://networkradius.com/blog/security/wifi -security -with-radius/
9. http://xperiencetech.com/download/radius -free-download.asp
10. https://wifi4eu.ec.europa.eu/