dom, kuća, okućnica

petak, 08.12.2006.

Bežični internet

1. Bežično umrežavanje

1.1. Cisco Aironet 1200 Access Point
Cisco Aironet 1200 Access Point predstavlja standard u enterprise rješenjima gdje su potrebne visoke performanse, sigurnost, upravljivost i potpuna fleksibilnost pri bežičnom umrežavanju. Modularan dizajn Cisco Aironet 1200 AP-a osigurava pojedinačnu ili dvostruku radio konfiguraciju za konekcije do 54 Mbps propusnosti u 2.4 i 5 GHz spektru, te je posve kompatibilan sa IEEE 802.11a, 802.11b i 802.11g standardima. Omogućivši brojne mogućnosti u konfiguraciji i nadogradnji, Cisco Aironet 1200 serija podržava raznolikost u odabiru bežičnih pristupnih korisnika.
Cisco Aironet 1200 AP serija u potpunosti iskorištava prednosti Cisco IOS operativnog sustava gdje se osigurava jednostavnost konfiguracije, uporabe i održavanja cjelokupne bežične mreže, te predstavlja okosnicu Cisco SWAN rješenja (Cisco Structured Wireless-Aware Network).



Slika 6.1 Cisco Access Point 1200


1.1.1. Modularnost

Cisco Aironet 1200 serija je posebno dizajnirana za zaštitu trenutnih i budućih ulaganja u mrežnu infrastrukturu. 802.11a radio podržava prijenos podataka do 54Mbps na 8 nepreklapajućih kanala. 802.11g radio podržava brzine do 54Mbps na 2.4GHz spektru, gdje se AP može konfigurirati isključivo za podršku 802.11g korisnika ili za istovremenu podršku 802.11b i 802.11g korisnika.
Cisco Aironet 1200 korisnicima omogućava fleksibilnost u brojnim mogućnostima nadogradnje uređaja prema korisničkim potrebama i nadolazećim novim tehnologijama. CardBus 802.11a moduli za nadogradnju se mogu jednostavno instalirati u Cisco Aironet 1200 seriju koja je originalno isporučena za 802.11b ili 802.11g standarde. Ujedno, 802.11b Mini-PCI radio modul instaliran u Aironet 1200 uređaje se može nadomjestiti sa 802.11g modulom za povećanje performansi.







1.1.2. Inteligentne mrežne mogućnosti za skalabilna, upravljiva rješenja

Cisco Aironet 1200 serija proširuje inteligentna mrežna rješenja za bežične pristupne točke. Cisco upravljačko sučelje (CLI – Command Line Interface) omogućava korisnicima da brzo i jednostavno implementiraju postojeća, te nadograđuju nova rješenja i mogućnosti Cisco IOS-a za bežične mreže. Korisnici pritom mogu upravljati i posve standardizirati svoju mrežu koristeći mogućnosti koje su već implementirali i razvili na svojim Cisco usmjernicima i preklopnicima.
Idealan izbor za enterprise rješenja, Cisco Aironet 1200 serija podržava virtualne LAN-ove (VLAN), kvalitetu usluga (QoS) i proxy mobile Internet Protocol. Cisco Aironet 1200 serija podržava do 16 potpuno upravljivih VLAN-ova bez obzira na odabrani način rada pristupne bežične točke. Time se korisnicima omogućava segmentacija LAN pravila i usluga, poput sigurnosti i QoS-a, prema različitim vrstama korisnika. VLAN-ovi mogu poslužiti za odvajanje korisničkog prometa od prometa gost-korisnika, te se tada još može napraviti daljnja podjelu prometa za npr. visoko prioritetni govorni promet (voice). Promet od i prema korisnicima može imati različite sigurnosne postavke koje se mogu podijeliti po različitim VLAN-ovima.



Na slijedećoj slici je dat prikaz Cisco Aironet 1200 rješenja za podršku 802.11b/g ili 802.11a standarda u jednom uređaju. Korisnici koji podržavaju različite 802.11 standarde mogu neometano međusobno komunicirati bez ikakvih prepreka, održavajući pritom pouzdan i nesmetan pristup svim mrežnim resursima.





Slika 6.4 Modularnost Cisco Aironet 1200 serije


Uz podršku za IEEE 802.1p QoS, omogućava se postavljanje prioriteta za željenu vrstu prometa. Promet osjetljiv na kašnjenja, poput govornog i video prometa, može biti prioritiziran iznad podatkovnog prometa za unapređenje kvalitete govora i videa, te se na taj način ujedno ostvaruje optimalno iskorištavanje mrežnih resursa za različite servise.
Uz proxy mobile IP mogućnost, korisnici se mogu neometano kretati održavajući pritom konekciju prema mreži. Proxy mobile IP kreira tunel između usmjernika na udaljenoj mreži i usmjernika u korisničkoj mreži. Korisnici tako mogu konstantno zadržati svoju IP adresu i pristup svojoj mreži i u trenucima kad se kreću izvan svoje mreže, pritom korisnicima nije potrebno instalirati nikakav dodatni softver čime se postiže ušteda u troškovima.

1.2. Cisco Aironet 802.11a/b/g Cardbus adapter

Cisco Aironet IEEE 802.11a/b/g bežični CardBus adapter omogućava visoke performanse uz propusnost od 54Mbps na 2.4 i 5GHz spektru. Cisco CardBus adapter je moguće postaviti za podršku samo 802.11b, 802.11g, 802.11a, dvostrukog 802.11a/g ili trostrukog 802.11a/b/g standarda, gdje se korisnicima u svim slučajevima omogućava sloboda bežičnog pristupa uz odlične performanse, sigurnost i upravljivost.








Glavne mogućnosti uključuju:

• Odličan domet i propusnost
• Sigurna mrežna komunikacija uz implementirani Cisco Wireless Security Suite za Wi-Fi pristup
• Aplikaciju za fleksibilnu i jednostavnu konfiguraciju, upravljanje i nadzor
• Podršku za "World mode" za međunarodni roaming


1.3. Sigurnost u bežičnom okruženju

802.11 specifikacija ima dva mehanizma za autentikaciju bežičnih LAN korisnika: otvorenu (open) autentikaciju, te dijeljenu ili (shared) autentikaciju. Ujedno, postoji još autentikacija na osnovu SSID-a i MAC adresa.

SSID autentikacija se radi na osnovu vrijednosti SSID-a (Service Set Identifier). Da bi se korisnik mogao spojiti na AP, mora znati ispravan SSID da bi dobio pristup na mrežu. Ovakav način ne nudi nikakvu privatnost i sigurnost kod razmjene podataka, niti zapravo autenticira korisnika na AP-u.
Korištenje SSID-a za autentikaciju je najslabiji oblik sigurnosne zaštite. Pomoću sniffer paketa se lako može utvrditi vrijednost SSID-a zbog toga što AP odašilje SSID-eve u plain-text formatu. Cisco je na svojim AP omogućio opciju onemogućavanja broadcast prijenosa SSID vrijednosti, međutim SSID je i dalje moguće otkriti sa sniffer-om - snimanjem paketa koje AP šalje. Načelno, SSID nije dizajniran, niti mu je namjena da bude ikakav sigurnosni mehanizam, te ga Cisco kao takvog ne preporuča kao sigurnosnu postavku.

Open autentikacija dozvoljava svim korisnicima autentikaciju na AP-u i sastoji se od dvije poruke: authentication request i authentication response. Takav način autentikacije je dovoljan ako želimo brzu konekciju korisnika na mrežu, bez ikakvih sigurnosnih postavki.
Ako enkripcija na AP-u nije postavljena, svaki korisnik koji zna vrijednost SSID-a se može spojiti na lokalni LAN. Međutim, ako omogućimo na AP-u WEP enkripciju, korisnik se može autenticirati na AP, međutim ako nema ispravan WEP ključ nema mogućnost pristupa lokalnom LAN-u zbog enkripcije podataka.
Open autentikacija ne pruža način provjere na AP-u da se utvrdi vjerodostojnost korisnika, te ako pritom ne omogućimo WEP, svaki korisnik ima pristup mreži.

Shared key autentikacija je drugi način autentikacije specificiran u 802.11 standardu. Takav način autentikacije specificira konfiguriranje statičkog WEP ključa koji se koristi za enkripciju challenge teksta kojeg šalje AP. Međutim, proces razmjene challenge teksta se odvija u bežičnom okruženju te je vrlo osjetljiv na man-in-the-middle način napada gdje uljez može skinuti plain-text challenge poruku i cipher-text odgovor od AP-a. Zbog brojnih nedostataka Cisco ga ne preporuča kod implementacije.

MAC address autentikacija nije specificirana u 802.11 standardu, međutim Cisco je podržava. Autentikaciju po MAC adresi je moguće koristiti u sprezi sa open ili shared autentikacijom, gdje na AP-u ili RADIUS serveru specificiramo dozvoljene MAC adrese korisnika.
Po 802.11 specifikaciji MAC adrese se šalju u clear text formatu, rezultat toga je da uljez može pomoću sniffer-a pročitati MAC adresu korisnika, te je naknadno iskoristiti za neovlašteni pristup.

1.3.1. Glavni nedostaci WEP enkripcije i 802.11 standarda

WEP enkripcija se temelji na RC4 algoritmu (symmetric key stream cipher). Ključevi za WEP enkripciju moraju biti jednaki na obje strane da bi uspjela razmjena podataka između korisnika i AP-a.
Testiranjem su 2001. godine potvrđeni glavni nedostaci WEP enkripcije koji se temelje na KSA (key scheduling algorithm) algoritmu u RC4 stream cipher-u. Statističkom analizom je utvrđeno da je za probijanje 128-bitnog WEP ključa potrebno 4 miliona paketa između AP-a i korisnika. Za bežične mreže to znači da je uljezu potrebno otprilike 4 sata komunikacije između AP-a i korisnika da bi se otkrio definirani 128-bitni WEP ključ.
Korištenjem dinamičkih WEP ključeva se ovaj problem može izbjeći, međutim da bi u potpunosti eliminirali nedostatke WEP-a moramo koristiti nove sigurnosne mehanizme koji uklanjaju njegove nedostatke.
802.11 standard trenutno ne podržava mehanizme za dinamičku promjenu WEP ključeva. WEP je definiran za podršku statičkih ključeva, tzv. preshared key-eva. Iz razloga što 802.11 autentikacija autenticira korisnički uređaj, a ne samog korisnika, gubitak takvog uređaja donosi ozbiljan sigurnosni problem u mreži gdje bi trebalo promijeniti WEP ključeve kod svih korisnika.


1.3.2. EAP/802.1X – LEAP

Alternativni pristup sigurnosti u WLAN-u je usmjeren na razvijanju sustava u kojem će biti omogućena centralizirana autentikacija i dinamička distribucija ključeva. Cisco Systems, Microsoft i druge organizacije su predstavile rješenje koristeći 802.1X i Extensible Authentication Protocol (EAP), omogućivši time povećanje sigurnosti WLAN mreža.

Postoje dva glavna elementa:
• EAP omogućuje bežičnim korisnicima podršku za različite tipove autentikacije, te komunikaciju sa različitim serverima poput RADIUS-a (Remote Access Dial-In User Service)
• IEEE 802.1X je standard za mrežni pristup

Kada korisnik unese korisničko ime i lozinku, bežični korisnik i RADIUS server rade obostranu autentIkaciju, gdje se korisnik autenticira prema unesenom korisničkom imenu i lozinci. RADIUS server i AP tada daju specifični korisnički WEP ključ koji će korisnik imati za tu sesiju. Korisnička lozinka i ključ sesije se tako nikad ne odašilju u prazno, preko bežične veze.

Slijed događaja je slijedeći:

• Bežični korisnik se asocira na pristupnu točku (AP)
• Pristupna točka blokira sve pokušaje korisnika da dobije pristup mrežnim resursima, sve dok korisnik ne unese svoje korisničko ime i lozinku
• Korisnik upisuje svoje korisničko ime i lozinku
• Koristeći 802.1X i EAP, bežični korisnik i RADIUS server na LAN-u provode obostranu autentikaciju preko pristupne točke. Može se koristiti više vrsta autentikacije. Jedna od njih je Cisco LEAP autentikacija, gdje RADIUS server šalje poziv za autentikaciju bežičnom korisniku. Korisnik tada koristi jednosmjerni hash algoritam korisničke lozinke, da bi odgovorio na zahtjev RADIUS servera. Koristeći svoju bazu podataka, RADIUS server kreira svoj vlastiti hash algoritam i uspoređuje dobiveni podatak sa korisničkom lozinkom. Kad RADIUS autenticira korisnika, proces se ponavlja unatrag, omogućivši time autentikaciju korisnika na RADIUS serveru
• Kada se obostrana autentikacija uspješno završi, RADIUS server i korisnik utvrđuju WEP ključ koji je različit za svakog korisnika. Korisnik tada koristi WEP ključ i priprema se uspostaviti sesiju
• RADIUS server šalje WEP ključ, koji se naziva ključ sesije, preko LAN-a na pristupnu točku (AP)
• Pristupna točka enkriptira svoj broadcast ključ sa tim ključem sesije i šalje enkriptirani ključ korisniku, koji koristi svoj ključ sesije za dekripciju
• Bežični korisnik i pristupna točka aktiviraju WEP i koriste ključ sesije i broadcast WEP ključ za svu komunikaciju do završetka te sesije
• Ključ sesije i broadcast ključ se mijenjaju u određenim intervalima definiranim u RADIUS serveru






LEAP omogućava dvije važne značajke koje su bolje od običnog WEP-a. Prva je obostrana autentikacija koja je gore opisana. Time se uspješno eliminira mogućnost man-in-the-middle
napada koji mogu biti ostvareni preko lažnih pristupnih točaka i RADIUS servera. Druga značajka je centralizirano upravljanje i distribucija enkripcijskih ključeva koje koristi WEP.



1.3.3. Poboljšanja WEP-a

Raspršivanje WEP ključa (WEP key hashing)
Kako su napadi na WEP uglavnom bili temeljeni na razbijanju slabih inicijalizacijskih vektora (IV) u enkriptiranom prometu koristeći jedan isti ključ, korištenje različitih ključeva po paketu je jedan od načina da se onemogući taj problem. Taj način onemogućava upotrebu slabosti inicijalizacijskog vektora za dobivanje WEP ključa, jer se u ovom slučaju koriste različiti ključevi. Da bi se spriječio napad za vrijeme kolizija inicijalizacijskog vektora, bazni ključ bi se trebao promijeniti prije nego se IV ponove. Pošto se inicijalizacijski vektori u opterećenim mrežama ponavljaju satima, mehanizam poput LEAP-a bi se trebao koristiti za promjenu ključeva.

Provjera integriteta poruke (Message Integrity Check)
Drugi nedostatak WEP-a je u njegovoj slabosti na izmjenu sadržaja poruke. Provjera integriteta poruke (MIC) štiti WEP okvir od izmjena. MIC se temelji na seed vrijednosti, odredišnoj i izvornoj MAC adresi, i teretu (koji mora ostati nepromijenjen, jer promjene u njegovoj veličini utječu na MIC vrijednost). MIC koristi algoritam raspršivanja za dobivanje željene vrijednosti, što je poboljšanje u odnosu na standardni CRC koji se obavljao u klasičnom WEP-u. Kad se koristi Cyclic Redundancy Check (CRC) moguće je neprimjetno promijeniti sadržaj korisnog tereta u okviru. Time je moguće izračunati razliku između bitova u dva CRC-a čija se vrijednost temelji na razlici bitova u porukama. Drugim riječima, okretanjem n bitova u poruci dobivamo deterministički skup bitova u CRC-u koji mora biti okrenut da bi se dobio ispravan CRC promijenjene poruke.
Pošto se okretanje bitova obavlja nakon RC4 dekripcije, to omogućava napadačima da okrenu važne bitove u enkriptiranoj poruci i ispravno namjeste CRC da bi prikazali izmijenjenu poruku vjerodostojnom.

Sažetak poboljšanja WEP-a
Za postizanje odgovarajuće razine sigurnosti na bežičnim mrežama je potrebno implementirati IPSec ili EAP/802.1X (LEAP), ali ne oboje. LEAP je jednostavniji za implementaciju i upravljanje od IPSec-a, te bi se trebao koristiti na mjestima gdje je poželjan visok i pouzdan stupanj sigurnosti.






1.3.4. Unapređivanje 802.11 standarda pomoću Cisco Wireless Security mehanizama

Cisco Wireless Security mehanizam se sastoji od nekoliko sigurnosnih postavki koje unapređuju postojeći 802.11 standard kod autentikacije korisnika i enkripcije podataka. Čitav mehanizam se sastoji od tri komponente:
• Autentikacijski framework
• Autentikacijski algoritam
• Privatnost podataka i algoritam za enkripciju podataka

Cisco je implementirao slijedeće sigurnosne postavke za pojedine komponente:

• 802.1X autentikacijski framework – IEEE 802.1X standard omogućava dobru podlogu za više vrsta autentikacija na mrežnom sloju
• Extensible Authentication Protocol (EAP) je Cisco autentikacijski algoritam – EAP Cisco Wireless vrsta autentikacije, poznatija kao Cisco LEAP (Light EAP), nudi podršku za centraliziranu, korisničku autentikaciju uz mogućnost generiranja dinamičkih WEP ključeva
• Temporal Key Integrity Protocol (TKIP) – Cisco je implementirao dvije komponente za unapređenje WEP enkripcije:
o Message Integrity Check (MIC) – funkcija MIC-a je efikasna autentikacija okvira za uklanjanje man-in-the-middle načina napada
o Per-Packet Keying – omogućava se enkripciju svakog okvira sa jedinstvenim dinamičkim WEP ključem gdje se uklanja mogućnost derivacije WEP ključeva
o Broadcast Key Rotation – dinamička rotacija ključeva za broadcast i multicast promet


1.3.5. Prikaz dodatnih mogućnosti sa implementacijom Cisco IOS-a

• Wireless domain services (WDS) – predstavlja skup Cisco IOS postavki koje unapređuju mobilnost WLAN korisnika i pojednostavljuju instalaciju i upravljanje WLAN-ima.
• Fast secure roaming – Cisco ili Cisco kompatibilni uređaji sada imaju podršku za fast secure roaming korištenjem Cisco Centralized Key Management (CCKM) protokola. Uz CCKM, autenticirani korisnik može jednostavno prelaziti na druge AP-e bez ikakvog kašnjenja u prijenosu podataka radi ponovne autentikacije. Fast secure roaming podržava aplikacije osjetljive na latenciju u mreži poput wireless voice over IP, enterprise resource planning, ili Citrix-based rješenja. Fast secure roaming je jedna od komponenti WDS-a.
• IEEE 802.1X usluga lokalne autentikacije – Cisco Aironet AP mogu biti konfigurirani kao lokalni RADIUS (Remote Authentication Dial-In User Service) server za autentikaciju korisnika kada primarni AAA (Authentication, Authorization and Accounting) server nije dostupan. Lokalni server omogućava:
o Autentikacijske usluge za udaljene WLAN-e bez RADIUS servera
o Usluge backup autentikacije kod kvara primarnog RADIUS servera
Ovim načinom se omogućava ispravan rad udaljenih lokacija (Remote site survivability) pomoću lokalne IEEE 802.1X autentikacije na AP-u. AP pritom koristi IEEE 802.1X RADIUS Server koji podržava sve EAP (Extensible Authentication Protocol) tipove autentikacije koji rade na klasičnom Cisco IOS softveru. IEEE 802.1X usluga lokalne autentikacije je komponenta WDS-a.
• Wi-Fi Protected Access (WPA) – Cisco Aironet AP-i sa Cisco IOS-om imaju podršku za novu Wi-Fi Alliance specifikaciju za novi sigurnosni Wireless LAN standard. WPA se temelji na predloženom IEEE 802.11i sigurnosnom standardu koji bi se uskoro trebao ratificirati. WPA koristi IEEE 802.1X autentikaciju i TKIP enkripciju podataka.
• Cisco Wireless Security Suite za Cisco Aironet seriju uređaja podržava sve vrste IEEE 802.1X autentikacije uključujući: Cisco LEAP, Protected-EAP (PEAP), EAP-Transport Layer Security (EAP-TLS), i druge.
• Podrška za više ne-enkriptiranih SSID-eva – Nova verzija IOS-a ima podršku za konfiguraciju različitih SSID-eva sa različitim sigurnosnim postavkama, i različitim WVLAN-ima. Svaki AP ima podršku za jedan broadcast SSID koji se može koristiti za guest pristup korisnika.





1.3.6. Pogled u budućnost

Poznate su već sve slabosti WEP enkripcije i 802.11 autentikacije. IEEE unapređuje WEP sa TKIP-om i omogućava robusnu autentikaciju korištenjem 802.1X standarda da bi se postigla potpuna sigurnost 802.11 bežičnih mreža. IEEE organizacija je prihvatila korištenje jačih enkripcijskih mehanizama poput AES-a (Advanced Encryption Standard) koji je predložen za korištenje u nadolazećem 802.11i standardu. AES predstavlja enkripcijski algoritam najnovije generacije koji je odabran od strane NIST-a (National Institute of Standards and Technology) te će omogućiti 128 i 256 bitnu enkripciju pri prijenosu podataka. Trenutna su predviđanja da AES 256-bitni standard neće biti moguće probiti ni pojavom kvantnih računala.

Donedavno se Cisco LEAP smatrao najboljom opcijom sigurnosne implementacije u bežičnim mrežama. Cisco LEAP je dvostrani autentikacijski algoritam koji podržava dinamičku derivaciju sesijskih ključeva. Uz Cisco LEAP, dvostrana autentikacija se temelji na shared secret informaciji, korisničkom pristupnom šifrom – koja je poznata korisniku i mreži, a koristi se kao odgovor na zahtjev između korisnika i RADIUS servera.
Poput mnogih autentikacijskih algoritama koji se temelje ne šiframa ili zaporkama, Cisco LEAP je osjetljiv na dictionary napade gdje uljez pokušava nasilni upad u mrežu velikim brojem pokušaja različitih riječi ili znakova. Sigurnost ovdje uvelike ovisi o pravilnom izboru šifre koja ne bi smjela biti manja od 8 znakova, sa uporabom malih i velikih slova, brojeva, te specijalnih znakova. Ispravnom politikom postavljanja sigurnosnih zaporki se uvelike može onemogućiti mogućnost dictionary napada na korisničke mreže.

Cisco je radi toga nedavno omogućio uporabu EAP Flexible Authentication via Secure Tunneling (EAP-FAST) protokola za korisnike koji žele implementirati 802.1X EAP protokol koji ne zahtijeva digitalne certifikate, te koji nije osjetljiv na oblik dictionary napada.
- 09:30 - Komentari (1) - Isprintaj - #

<< Arhiva >>

< prosinac, 2006 >
P U S Č P S N
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31


Dnevnik.hr
Gol.hr
Zadovoljna.hr
Novaplus.hr
NovaTV.hr
DomaTV.hr
Mojamini.tv

Opis bloga

  • lamentacije, halucinacije, rekreacije..

Linkovi





  • frontpage hit counter