Sieci bezprzewodowe

Wi-Fi

WiMax

Technologie

Architectura

Elementy sieci

Zasada działania

Topologie sieci

Konfiguracja

Zastosowania

Bezpieczeństwo

Zalety i wady

Technologie bezprzewodowe stanowią alternatywę dla sieci opartych na połączeniach kablowych. Wi-Fi (Wireless Fidelity) to ogólny termin odnoszący się do standardu IEEE802.11 opisującego bezprzewodowe sieci lokalne (WLAN). Wi-Fi umożliwia połączenie komputerów między sobą, łączność z Internetem a także jest dołączalna do sieci przewodowej .

Standardy Wi-Fi

• IEEE 802.11b

• IEEE 802.11a

• IEEE 802.11g

• IEEE 802.11n

IEEE 802.11b

• Zatwierdzony pod koniec 1999

• Pracuje w paśmie 2,4 GHz

• 11 Mbps (prędkość teoretyczna) – dla odległości do

30m

• 4-6 Mbps (przeciętna prędkość transmisji)

• Zasięg max.: 45m w pomieszczeniu, ~100m na

zewnątrz

• Interferencje z sygnałem z telefonów komórkowych i

urządzeń Bluetooth obniżają szybkość transmisji.

IEEE 802.11a

• Zatwierdzony pod koniec 1999, wdrożony w 2001

• Pasmo pracy - 5 GHz

• 54 Mbps (szybkość teoretyczna)

• 15-20 Mbps (szybkość efektywna)

• Zasięg: 20 – 35m

• Urządzenia droższe od urządzeń 802.11b

• Niekombatybilny z 802.11b

IEEE 802.11g

• Wdrożony w 2003

• Połączenie dwóch poprzednich standardów (a-

prędkość,b-pasmo pracy)

• Zasięg jak w standardzie b (wynika z pasma pracy)

• 54 Mbps prędkość efektywna

• Pasmo pracy - 2.4 GHz

• Kompatybilny w „dół” z 802.11b

• Dostępne urządzenia w standardzie „Super G”

IEEE 802.11n

• Zatwierdzony – wrzesień 2009

• Max prędkość teoretyczna 300Mbps

(dostępna 100Mbps)

• Pasmo pracy - 2.4 lub 5,0GHz

• Zasięg 70 do ~200m

Warstwa fizyczna 802.11

Warstwa fizyczna składa się z trzech podwarstw (trzy metody transmisji):

• Direct Sequence Spread Spectrum (DSSS)-bezpośrednie modulowanie nośnej sekwencją kodową.

• Frequency Hoping Spread Spectrum (FHSS)-”skakanie sygnału po częstotliwościach w kolejnych odstępach czasu”.

• Diffused Infrared (DFIR) – fale elektromagnetyczne z zakresu podczerwieni

Pasmo transmisji podzielone jest na 11 kanałów o szerokości 22MHz każdy.

Warstwa łącza danych 802.11

• Logical Link Control (LLC) – „sterowanie połączeniem logicznym”. Wyższa podwarstwa warstwy łącza danych modelu OSI. Identyczna dla różnych fizycznych mediów wymiany danych.

• Media Access Control (MAC) – „kontrola dostępem do medium”. Niższa podwarstwa warstwy łącza danych modelu OSI.

Elementy sieci Wi-Fi

Access Point (AP) – punkt dostępowy. Urządzenie zapewniające stacjom bezprzewodowym dostęp do zasobów sieci za pomocą bezprzewodowego medium transmisyjnego.

Karty Wi-Fi – bezprzewodowe karty sieciowe (np. standard PCMCIA do notbook’ów lub PCI komputerów stacjonarnych).

Zabezpieczenia – firewall’e i antywirusy oprogramowanie zabezpieczające przed nieautoryzowanym dostępem do zasobów sieci i zapewniające bezpieczeństwo informacji.

Jak działa sieć WiFi

Podstawowa koncepcja jest oparta o zasadę działania „krótkofalówek”.

Wi-Fi hotspot jest tworzony poprzez dołączenie AP do sieci internet.

Punkt dostępowy stanowi stację bazową dla połączeń bezprzewodowych.

W chwili gdy klient Wi-Fi zlokalizuje punkt dostępowy możliwe jest ustanowienie połączenia.

Wiele AP może być połączonych ze sobą kablem Ethernetowym tworząc siatkę (mesch) Wi-Fi.

Topologie sieci Wi-Fi

• Topologia AP-based topologia (tryb Infrastructure) • Topologia peer-to-peer (Ad-hoc Mode) • Topologia „mostu” - Point-to-multipoint

Tryb Infrastructure

• Klienci komunikują się poprzez AP. • AP zapewniają dostęp do sieci. • Struktura zawiera co najmniej 2 AP. • Zasięg sąsiadujących „komórek” AP powinny pokrywać się w

10-15%.

Topologia peer-to-peer

AP nie jest wymagany. Urządzenia w obrębie „komórki” mogą komunikować się ze

sobą bezpośrednio. Jest łatwa i szybka do utworzenia. Jest bardzo podatna na nieautoryzowany dostęp

Point-to-multipoint

Topologia pozwalająca łączyć ze sobą „odległe” sieci lokalne. Jeden punkt stanowi rodzaj „koncentratora” z dostępem do Internetu. Pozostałe punkty łączą się z nim na zasadzie wielu-do-jednego

Zagrożenia sieci Wi-Fi

Technologie Wi-Fi są narażone na wszystkie niebezpieczeństwa znane z wcześniejszych technologii. Dodatkowo sieci Wi-Fi są podatne na ataki typu:

Eavesdropping (podsłuchiwanie)

Man-in-the-middle

Denial of Service

Wyposażenie do podsłuchu bluetooth na odległość 1 mili (~1,6km)

Podsłuchiwanie transmisji

Łatwe w realizacji, niemal niemożliwe do wykrycia.

Domyślnie cała transmisja jest niekodowana: nazwa użytkownika, hasła, zawartość przekazu, domyślnie nie ma kodowania w warstwie fizycznej.

Istnieje cała gama narzędzi do realizacji podsłuchu:

sniffer’y sieciowe, analizatory protokołów, itp., słowniki haseł.

Z odpowiednim wyposażeniem transmisję Wi-Fi można

podsłuchiwać z odległości kilku kilometrów.

Atak MItM

Atakujący przechwytuje pakiety

ofiary, blokując transmisję

Ofiara nie mogąc wykonać

transmisji poszukuje

najbliższego AP

Atakujący podszywa się pod AP

Atakujący używając identyfikacji

ofiary łączy się z właściwym AP

Atak DoS

Atak na pasmo fizyczne wprowadzenie częstotliwości zakłócających (frequency jamming) metoda nie wyrafinowana ale skuteczna.

Atak na warstwę MAC

fałszowanie danych w transmitowanych ramkach (spoofing), możliwość ataku określonego użytkownika.

Atak na protokoły wyższych warst

SYN flooding

Zabezpieczanie sieci Wi-Fi

Uwierzytelnienie: - po stronie użytkownika - po stronie serwera Prywatność

Uwierzytelnienie

Nie pozwala na nieautoryzowany dostęp do sieci Uwierzytelnienie po stronie użytkownika: - wymagany jest serwer uwierzytelniający, - nazwa użytkownika i hasło. Zagrożenia:

- nazwa użytkownika i hasło są przesyłane przed nawiązaniem bezpiecznego połączenia,

- łatwe do przechwycenia poprzez podsłuch sieci. Rozwiązanie: - nawiązanie bezpiecznego połączenia przed

logowaniem użytkownika

Uwierzytelnienie cd.

Uwierzytelnianie po stronie serwera: - Użycie certyfikatów - Sprawdzenie poprawności certyfikatu odbywa się automatycznie w ramach oprogramowania klienckiego

Techniki zabezpieczenia Wi-Fi

• Service Set Identifier (SSID) – identyfikator sieci (max 32 znaki)

• Wired Equivalent Privacy (WEP)

• 802.1X Access Control

• Wireless Protected Access (WPA)

• IEEE 802.11i (WPA2)

Identyfikator sieci SSID

SSID (ang. Service Set IDentifier) – identyfikator sieci składający się maksymalnie z 32 znaków, dodawany do nagłówków pakietów wysyłanych przez bezprzewodową sieć lokalną. Pełni rolę hasła dostępowego przy próbie dostępu do punktów dostępu. Wszystkie urządzenia mające pracować w jednej sieci muszą używać tego samego SSID.

Szyfrowanie WEP

WEP (ang. Wired Equivalent Privacy) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE 802.11. Standard ten powstał w 1997 roku. Standard specyfikuje klucze 40- i 104-bitowe, do których w procesie wysyłania ramki dołączany jest wektor inicjujący (IV) o długości 24 bitów. Stąd popularnie mówi się o 64- i 128-bitowych kluczach WEP, ale nie jest to stwierdzenie poprawne technicznie. W rozszerzeniach firmowych tego standardu znaleźć można również klucze o długości 232 bitów (z IV daje to 256 bitów), które jednak z uwagi na znane słabości w doborze IV nie zwiększają w istotny sposób siły kryptograficznej całości rozwiązania.

Standard dostępu 802.1x

Mechanizm dostępu sieciowego ogólnego przeznaczenia (nie tylko dla sieci Wi-Fi).

Uwierzytelnia klienta podłączonego do AP lub przełącznika sieciowego.

Uwierzytelnianie odbywa się z wykorzystaniem serwera uwierzytelniającego, który stwierdza czy dany klient jest autentyczny czy nie.

Szyfrowanie WPA

WPA (ang. WiFi Protected Access) to standard szyfrowania stosowany w sieciach bezprzewodowych standardu IEEE 802.11. WPA jest następcą mniej bezpiecznego standardu WEP. Standard WPA został prowadzony przez organizację WiFi. Pierwsza wersja profilu WPA została wprowadzona w kwietniu 2003 roku. WPA wykorzystuje protokoły TKIP (Temporal Key Integrity Protocol), 802.1x oraz uwierzytelnienie EAP.

WPA=802.1x+EAP+TKIP+MIC

Szyfrowanie WPA cd.

WPA dzieli się na: Enterprise – korzysta z serwera RADIUS, który przydziela różne klucze do każdego użytkownika. Personal - nie dzieli kluczy na poszczególnych użytkowników, wszystkie podłączone stacje wykorzystują jeden klucz dzielony (PSK - Pre-Shared Key).

Uwierzytelnienie w protokole WPA-PSK jest podatne na ataki słownikowe.

Szyfrowanie TKIP w WPA jest podatne na atak kryptoanalityczny o ograniczonym

zasięgu, dla którego opracowano również zoptymalizowaną wersję.

Bezpieczeństwo WPA

Dane są szyfrowane Zabezpieczenie przed podsłuchem i atakami typu

MItM

Ataki Dos Zabezpieczenie przed atakiem opartym na

fałszywych danych (fake messages) Jeżeli w określonym czasie nadejdą dwa

nieautoryzowane pakiety łączność zostaje zerwana na określony czas

Dwa niewłaściwe pakiety na minutę wystarczą do wstrzymania aktywności

802.11i (WPA2)

Protokół implementuje w sobie 802.1x i CCMP

Dąstępne są wersje: Personal i Enterprise

WPA2 jest kompatybilne wstecz z WPA

Podstawowa różnica pomiędzy WPA, a WPA2 jest w sposobie szyfrowania (odpowiednio RC4 i AES )

WPA i WPA2 są dużo bardziej bezpieczne niż WEP. Powinny być jak najczęściej stosowane w miarę możliwości.

Zalety

Mobilnośc

Łatwość instalacji

Elastyczność

Koszt

Niezawodność

Bezpieczeństwo

Używa nielicencjonowanego pasma radiowego

Roaming

Speed

Ograniczenia

Interferencje

Degradacja wydajności

Energochłonność

Ograniczony zasięg