1. TSSD Cursul 12 Wireless

2. 802.11h, dynamic frequency selection and transmission power control.
S-a propus crearea unui set de mesaje de gestiune pentru punctele de acces şi pentru clienţii din banda de frecvenţă europeană 5 GHz, care astfel să evite interferenţa cu dispozitivele radar şi cu comunicaţiile prin satelit care folosesc aceeaşi frecvenţă.
Echipamentele WLAN selectează un canal de transmisie diferit şi doar ajustează puterea de ieşire, dacă este cazul.
Datorită faptului că tot mai multe ţări folosesc frecvenţa de transmisie de 5 GHz, specialiştii apreciază că utilizarea standardului h va îmbunătăţi eficienţa WLAN.
Acest standard a fost ratificat în faza finală în septembrie 2003.
Se estimează că în curând vor apărea produse care să includă multe dintre aceste opţiuni.
Unele dintre acestea au fost „transportate” în cadrul unui alt standard, k. Wi-Fi Alliance a certificat în anul 2005 atât standardul 11d, cât şi 11h.

3. WEP WEP = Wired Equivalent Privacy Atacuri
40-bit key (IEEE ), extinsă la 104
Criptare simplă (RC4 = Rivest Cipher 4 )
Simplu = slab
Criptare/decriptare în funcţie de o parolă (key)
Problema: reutilizarea aceleaşi parole
Nu criptează header-ul pachetului (L2)
Atacuri
Decriptare de trafic
Atacuri după dicţionar

4. WPA WPA = Wi-Fi Protected Access (pre 802.11i)
TKIP = WEP1.1 = WEP Key hashing
Construieşte key-urile în mod diferit:
128 bit temporal key (shared)
Adresă MAC
16 octet IV
Protejează IV slabe
TKIP schimbă 128 temporal key la pachete
Compatibilitate prin firmware patches / updates

5. Criptare AES AES = Advanced Encryption Standard (802.11i) = WPA2
Adoptat în Mai 2002 ca standard guv.
128, 192, 256 bit key
Algoritmul Rijndael
Necesită hardware adiţional
1s DES key = mld ani AES 128bit
Universul < 20 mld ani

6. WEP vs WPA vs WPA2 WEP WPA WPA2 Criptare RC4 AES Rotirea cheii None
Chei dinamice per sesiune
Distribuţia cheii
Introducere manuală pe fiecare device
Distribuţie automată posibilă
Autentificare
Cheia WEP ca şi autentificare
Poate folosi x & EAP

7. Analiza metodelor de Wireless Security
Wired Equivalent Privacy (WEP) este foarte slabă din punct de vedere al valorii, în cadrul multor produse şi nu o recomandăm spre folosire decât în cazuri de forţă majoră.
Succesorul opţiunii WEP o constituie opţiunea WPA (WiFi Protected Access) şi reprezintă un pas înainte în condiţiile în care este combinată cu protocolul de autentificare X.
Varianta finală a protocolului i oferă utilizatorului toate opţiunile necesare asigurării unei protecţii reale a reţelei WLAN.
WEP prezintă şi dezavantaje unul dintre cele mai frecvente referindu-se la opţiunile de administrare.
Fiecărui utilizator îi este asociată o cheie, un anumit cod de transmisie.

8. 8021X - siguranţa autentificării
În realizarea serviciului standard de autentificare pentru reţelele wireless, X are un efect pozitiv şi imediat, şi anume oferirea pentru fiecare utilizator a unei chei WEP pentru fiecare sesiune de conectare.
În timp ce platformele WEP încă ridică semne de întrebare în legătură cu modul lor de configurare, 802.1X oferă soluţii practice esenţiale.
În acest fel, timpul când fiecare client utiliza aceeaşi cheie WEP pentru perioade mari de timp, indiferent de timpul de conectare, a trecut de mult.
În momentul de faţă, orice conectare autentificată prin 802.1X generează propria cheie WEP, care poate fi schimbată ori de câte ori administratorul de reţea WLAN doreşte sau consideră că este necesar.
Un alt avantaj real al utilizării X este faptul că, practic în orice moment, se cunoaşte de către cine este utilizată reţeaua WLAN, acest lucru datorându-se faptului că utilizatorii trebuie să treacă printr-un adevărat filtru de autentificare înainte de conectarea propriu-zisă.

9. Cum să realizăm securizarea reţelelor WLAN
Primul pas îl constituie utilizarea unui echipament WPA standard de autentificare 802.1X, cu posibilitatea de migrare către i, în momentul în care infrastructura permite acest lucru.
Utilizarea autentificării 802.1X nu presupune costuri suplimentare, acesta fiind gratuit încorporat în cadrul Windows XP şi Apple Mac OS/X.
Ca o alternativă la criptarea oferită de WPA şi i în cadrul reţelelor WLAN, se poate folosi IPSec, mai ales dacă reţeaua include un echipament puternic IPSec remote access control. Implementarea unei tehnologii IPSec presupune însă alocarea unor costuri suplimentare.
De asemenea, se poate folosi un protocol simplu VPN, cum ar fi Point to Point Tunneling Protocol (PTTP), pentru conectările wireless ce suportă WEP.
Avantajele utilizării tehnologiei PTTP (sau a oricărui protocol VPN) sunt determinate de autentificarea unui al doilea layer al criptării.

10. Ce exista implementat intr-un ruter low cost (100USD)
Tip autentificare
None (Nici unul): nu este utilizat nici un tip de autentificare.
Open System (Sistem deschis) (ad-hoc şi infrastructură) fără autentificare.
Shared Key (Cheie partajată) (numai infrastructură): este necesară cheia WEP.
WPA-PSK (numai infrastructură): WPA cu cheie pre-partajată:
Protocolul de autentificare verifică identitatea utilizatorului sau a echipamentului înainte de a permite accesul în reţea, blocând accesul utilizatorilor neautorizaţi la resursele reţelei.
Această metodă de securitate este utilizată frecvent în reţelele wireless.
O reţea care utilizează autentificarea Open System (Sistem deschis) nu limitează accesul utilizatorilor pe baza identităţii acestora.
Orice utilizator wireless poate avea acces din reţea.
Totuşi, o asemenea reţea poate utiliza metoda de criptare WEP (Wired Equivalent Privacy) pentru a asigura un prim nivel de securitate.

11. Ce pune Windows la dispozitie
RRAS (Routing and Remote Access Service ) combină serviciile de routare IP şi de dial-up/VPN.
Pe partea de routare, RRAS suportă static, RIP v1 şi v2, OSPF, asignarea dinamică a adreselor de IP la clienţi VPN, conexiuni demand-dial către locaţii la distanţă.
Ca server de VPN sunt oferite protocoalele PPTP – suportat doar de clienţii Windows şi folosit pentru compatibilitate cu sistemele de operare mai vechi - şi L2TP cu IPSec care este standardul de facto pentru VPN pe Internet.
RRAS poate funcţiona ca şi client RADIUS în conjuncţie cu un server RADIUS pentru autentificarea accesului clienţilor la distanţă.
Implementarea de server RADIUS din Windows Server 2003 poartă numele de Internet Authentication Services (IAS), poate folosi Active Directory pentru autentificarea utilizatorilor şi suportă EAP (Extensible Authentication Protocol) şi politici de acces.

12. Autentificare (802.1x / EAP)
802.1X parte din i
Trebuie autentificaţi şi utilizatorii, nu numai device-urile
Autentificare mutuală
802.1x
Autentificare
Key management
EAP
Modelul de autentificare

13. 802.1x

14. IEEE 802.1x peste 802.11 Server de Client Access Point autentificare
Association
Acces blocat
EAPOL-Start
EAP-Request/Identity
EAP-Response/Identity
RADIUS-Access-Request
EAP-Request
RADIUS-Access-Challenge
EAP-Response (credentials)
RADIUS-Access-Request
EAP-Success
RADIUS-Access-Accept
EAPOL-Key (Key)
Acces permis

15. EAP = Extensible Auth Protocol
TLS
MD5
PEAP
MS-CHAPv2
TLS
IKE
GSS_API
Kerberos
metoda
EAP
EAP
PPP
802.3
802.5
802.11
Altele…
mediul

16. Mecanisme EAP EAP-OPEN EAP-FAST LEAP Uşurinţă în folosire PEAP EAP-MD5
EAP-TTLS
EAP-TLS
Securitate

17. Comparări de securitate WLAN
Tip de securitate
Nivel de siguranţă
Instalare şi mentenanţă
Integrare şi uşurinţă în utilizare
WEP Static
Mic
Mare
IEEE 802.1X PEAP
Mediu
IEEE 802.1x TLS
Mica

18. Exemple de securitate Level 1: SOHO Level 2: Small Business
Level 3: Medium - Large Business
Level 4: Military