TSSD Cursul 12 Wireless

802.11h, dynamic frequency selection and transmission power control. S-a propus crearea unui set de mesaje de gestiune pentru punctele de acces şi pentru clienţii din banda de frecvenţă europeană 5 GHz, care astfel să evite interferenţa cu dispozitivele radar şi cu comunicaţiile prin satelit care folosesc aceeaşi frecvenţă. Echipamentele WLAN selectează un canal de transmisie diferit şi doar ajustează puterea de ieşire, dacă este cazul. Datorită faptului că tot mai multe ţări folosesc frecvenţa de transmisie de 5 GHz, specialiştii apreciază că utilizarea standardului 802.11h va îmbunătăţi eficienţa WLAN. Acest standard a fost ratificat în faza finală în septembrie 2003. Se estimează că în curând vor apărea produse care să includă multe dintre aceste opţiuni. Unele dintre acestea au fost „transportate” în cadrul unui alt standard, 802.11k. Wi-Fi Alliance a certificat în anul 2005 atât standardul 11d, cât şi 11h.

WEP WEP = Wired Equivalent Privacy Atacuri 40-bit key (IEEE 802.11), extinsă la 104 Criptare simplă (RC4 = Rivest Cipher 4 ) Simplu = slab Criptare/decriptare în funcţie de o parolă (key) Problema: reutilizarea aceleaşi parole Nu criptează header-ul pachetului (L2) Atacuri Decriptare de trafic Atacuri după dicţionar

WPA WPA = Wi-Fi Protected Access (pre 802.11i) TKIP = WEP1.1 = WEP Key hashing Construieşte key-urile în mod diferit: 128 bit temporal key (shared) Adresă MAC 16 octet IV Protejează IV slabe TKIP schimbă 128 temporal key la 10.000 pachete Compatibilitate prin firmware patches / updates

Criptare AES AES = Advanced Encryption Standard (802.11i) = WPA2 Adoptat în Mai 2002 ca standard guv. 128, 192, 256 bit key Algoritmul Rijndael Necesită hardware adiţional 1s DES key = 149.000 mld ani AES 128bit Universul < 20 mld ani

WEP vs WPA vs WPA2 WEP WPA WPA2 Criptare RC4 AES Rotirea cheii None Chei dinamice per sesiune Distribuţia cheii Introducere manuală pe fiecare device Distribuţie automată posibilă Autentificare Cheia WEP ca şi autentificare Poate folosi 802.1x & EAP

Analiza metodelor de Wireless Security Wired Equivalent Privacy (WEP) este foarte slabă din punct de vedere al valorii, în cadrul multor produse şi nu o recomandăm spre folosire decât în cazuri de forţă majoră. Succesorul opţiunii WEP o constituie opţiunea WPA (WiFi Protected Access) şi reprezintă un pas înainte în condiţiile în care este combinată cu protocolul de autentificare 802.1X. Varianta finală a protocolului 802.11i oferă utilizatorului toate opţiunile necesare asigurării unei protecţii reale a reţelei WLAN. WEP prezintă şi dezavantaje unul dintre cele mai frecvente referindu-se la opţiunile de administrare. Fiecărui utilizator îi este asociată o cheie, un anumit cod de transmisie.

8021X - siguranţa autentificării În realizarea serviciului standard de autentificare pentru reţelele wireless, 802.1X are un efect pozitiv şi imediat, şi anume oferirea pentru fiecare utilizator a unei chei WEP pentru fiecare sesiune de conectare. În timp ce platformele WEP încă ridică semne de întrebare în legătură cu modul lor de configurare, 802.1X oferă soluţii practice esenţiale. În acest fel, timpul când fiecare client utiliza aceeaşi cheie WEP pentru perioade mari de timp, indiferent de timpul de conectare, a trecut de mult. În momentul de faţă, orice conectare autentificată prin 802.1X generează propria cheie WEP, care poate fi schimbată ori de câte ori administratorul de reţea WLAN doreşte sau consideră că este necesar. Un alt avantaj real al utilizării 802.1X este faptul că, practic în orice moment, se cunoaşte de către cine este utilizată reţeaua WLAN, acest lucru datorându-se faptului că utilizatorii trebuie să treacă printr-un adevărat filtru de autentificare înainte de conectarea propriu-zisă.

Cum să realizăm securizarea reţelelor WLAN Primul pas îl constituie utilizarea unui echipament WPA standard de autentificare 802.1X, cu posibilitatea de migrare către 802.11i, în momentul în care infrastructura permite acest lucru. Utilizarea autentificării 802.1X nu presupune costuri suplimentare, acesta fiind gratuit încorporat în cadrul Windows XP şi Apple Mac OS/X. Ca o alternativă la criptarea oferită de WPA şi 802.11i în cadrul reţelelor WLAN, se poate folosi IPSec, mai ales dacă reţeaua include un echipament puternic IPSec remote access control. Implementarea unei tehnologii IPSec presupune însă alocarea unor costuri suplimentare. De asemenea, se poate folosi un protocol simplu VPN, cum ar fi Point to Point Tunneling Protocol (PTTP), pentru conectările wireless ce suportă WEP. Avantajele utilizării tehnologiei PTTP (sau a oricărui protocol VPN) sunt determinate de autentificarea unui al doilea layer al criptării.

Ce exista implementat intr-un ruter low cost (100USD) Tip autentificare None (Nici unul): nu este utilizat nici un tip de autentificare. Open System (Sistem deschis) (ad-hoc şi infrastructură) fără autentificare. Shared Key (Cheie partajată) (numai infrastructură): este necesară cheia WEP. WPA-PSK (numai infrastructură): WPA cu cheie pre-partajată: Protocolul de autentificare verifică identitatea utilizatorului sau a echipamentului înainte de a permite accesul în reţea, blocând accesul utilizatorilor neautorizaţi la resursele reţelei. Această metodă de securitate este utilizată frecvent în reţelele wireless. O reţea care utilizează autentificarea Open System (Sistem deschis) nu limitează accesul utilizatorilor pe baza identităţii acestora. Orice utilizator wireless poate avea acces din reţea. Totuşi, o asemenea reţea poate utiliza metoda de criptare WEP (Wired Equivalent Privacy) pentru a asigura un prim nivel de securitate.

Ce pune Windows la dispozitie RRAS (Routing and Remote Access Service ) combină serviciile de routare IP şi de dial-up/VPN. Pe partea de routare, RRAS suportă static, RIP v1 şi v2, OSPF, asignarea dinamică a adreselor de IP la clienţi VPN, conexiuni demand-dial către locaţii la distanţă. Ca server de VPN sunt oferite protocoalele PPTP – suportat doar de clienţii Windows şi folosit pentru compatibilitate cu sistemele de operare mai vechi - şi L2TP cu IPSec care este standardul de facto pentru VPN pe Internet. RRAS poate funcţiona ca şi client RADIUS în conjuncţie cu un server RADIUS pentru autentificarea accesului clienţilor la distanţă. Implementarea de server RADIUS din Windows Server 2003 poartă numele de Internet Authentication Services (IAS), poate folosi Active Directory pentru autentificarea utilizatorilor şi suportă EAP (Extensible Authentication Protocol) şi politici de acces.

Autentificare (802.1x / EAP) 802.1X parte din 802.11i Trebuie autentificaţi şi utilizatorii, nu numai device-urile Autentificare mutuală 802.1x Autentificare Key management EAP Modelul de autentificare

802.1x

IEEE 802.1x peste 802.11 Server de Client Access Point autentificare 802.11 Association Acces blocat EAPOL-Start EAP-Request/Identity EAP-Response/Identity RADIUS-Access-Request EAP-Request RADIUS-Access-Challenge EAP-Response (credentials) RADIUS-Access-Request EAP-Success RADIUS-Access-Accept EAPOL-Key (Key) Acces permis

EAP = Extensible Auth Protocol TLS MD5 PEAP MS-CHAPv2 TLS IKE GSS_API Kerberos metoda EAP EAP PPP 802.3 802.5 802.11 Altele… mediul

Mecanisme EAP EAP-OPEN EAP-FAST LEAP Uşurinţă în folosire PEAP EAP-MD5 EAP-TTLS EAP-TLS Securitate

Comparări de securitate WLAN Tip de securitate Nivel de siguranţă Instalare şi mentenanţă Integrare şi uşurinţă în utilizare WEP Static Mic Mare IEEE 802.1X PEAP Mediu IEEE 802.1x TLS Mica

Exemple de securitate Level 1: SOHO Level 2: Small Business Level 3: Medium - Large Business Level 4: Military