proiect wireless
TRANSCRIPT
-
7/30/2019 Proiect wireless
1/33
-
7/30/2019 Proiect wireless
2/33
-
7/30/2019 Proiect wireless
3/33
5
-
7/30/2019 Proiect wireless
4/33
2. Standardul IEEE 802.11
2.1 Aspecte generale
Blocul fundamantal n arhitectura standardului 802.11 este reprezentat
de Setul de Serviciu de Baz BSS. Acesta reprezint un grup de staii care
lucreaz conform uneia dintre funciile de coordonare: DCF (Distributed
Coordination Function) sau PCF (Point coordination Function).
Prima funcie, DCF, este destinat transferului asincron de date i este
similar organizrii din reelele de comutare de pachete. Cea de a doua
funcie, PCF, se bazeaz pe interogri controlate de punctul de acces (AP) i
este destinat transmisiunilor sensibile la ntrzieri.
n general, toate staiile dintr-o BSS pot comunica direct cu oricare alte
staii din BSS. Totui, fadingul (scdere temporara a unui semnal datorita
conditiilor de propagare i interferenele) care pot aprea ntre BSS vecine
care utilizeaz aceeai parametrii pentru nivelul fizic (frecven i cod de
mprtiere) pot face ca anumite staii s apar ascunse pentru celelalte staii.
Conform standardului 802.11 se disting dou tipuri de reele locale:
reele ad-hoc;
reele infrastructurale.
O reea ad-hoc (BSS independente) este o grupare a staiilor ntr-un
singur BSS (fig.4) cu scopul comunicrii inter-reele fr ajutorul unei reele
infrastructurale.
6
-
7/30/2019 Proiect wireless
5/33
n opoziie cu reelele ad-hoc, reelele infrastructurale au scopul s
serveasc utilizatori cu servicii specifice i cu extinderea zonei. Aceste reele
se constituie utilizndu-se un AP. AP permite extinderea zonei prin
conectarea ntre mai multe BSS formnd un Set de Serviciu Extins (ESS).ESS poate apare ca un BSS mai larg pentru subnivelul LLOC(Logical Link
Control) din fiecare staie. ESS const din mai multe BSS care pot coopera
utiliznd un sistem de distribuie (DS) implementat independent (poate fi
Ethernet LAN , token ring, LAN FDDI, MAN sau alt mediu fr fir IEEE
802.11).
Sistemul de distribuie este utilizat pentru transferul pachetelor ntre
diferite BSS. ESS poate oferi i accesul pentru utilizatorii reelei fr fir la o
reea cu fir cum ar fi Internetul. Aceasta se realizeaz printr-un dispozitiv
numit portalcare specific punctul de interconectare din DS unde reeaua
IEEE 802.11 interacioneaz cu o reea de alt tip. Dac noua reea este IEEE
802.X atunci portalul incorporeaz funcii similare cu un pod (bridge). n
figura 5 este dat un ESS realizat cu dou BSS, un DS i acces printr-un
portal la o reea LAN cu fir.
7
-
7/30/2019 Proiect wireless
6/33
2.2 Nivelul Fizic i subnivelul MAC
n figura 6 este prezentat standardul IEEE 802.11 n relaie cu nivelele
Fizic i Legturi de date ale modelului OSI. Acesta implic nivelul Fizic i
numai o parte a nivelului Legturi de date cunoscut ca Medium Access
Control (MAC). Nivelul Legturi de date este mprit n: MAC i Logical
Link Control (LLC).
8
-
7/30/2019 Proiect wireless
7/33
Fig. 6 Modelul OSI i IEEE 802.11
Specificaiile standardului IEEE 802.11 prevd trei variante de
implementare pentru nivelul fizic:
folosind spectru mprtiat cu salt de frecven (FHSS),
folosind spectru mprtiat cu secven direct (DSSS) i
folosind radiaii n infrarou (IR).Sistemele care au la baz FH-SS utilizeaz banda ISM
(Industrial,Scientific and Medical band) de 2,4GHz. In SUA sunt specificate
maxim 79 de canale pentru salturi de frecven. Primul canal are frecvena
central de 2,402 GHz iar celelalte canale sunt distanate cu 1 MHz.
Sunt precizate trei seturi de secvene de salt cu cte 26 de secvene pe
set. Aceasta permite coexistena mai multor BSS n aceeai zon geografic
ceea ce poate fi important pentru evitarea congestiilor i pentru maximizarea
transferului de date n BSS. Motivul pentru care sunt trei seturi diferite
const n evitarea perioadelor prelungite cu coliziuni ntre secvenele de salt
dintr-un set.
9
-
7/30/2019 Proiect wireless
8/33
Rata minim pentru saltul de frecven este de 2,5 salturi/s. Pentru rata
de transfer de 1 Mb/s se utilizeaz modulaia binar cu deplasarea frecvenei
GFSK (two-level Gaussian frequency shift keying) unde 1 se codeaz cu
Fc+f, iar 0 se codeaz cu Fc-f. Pentru creterea ratei la 2 Mb/s se utilizeaz omodulaie pe patru nivele GFSK prin codarea simultan a doi bii utilizndu-
se 4 frecvene.
Sistemele care folosesc DS-SS lucreaz de asemenea banda ISM de 2,4
GHz, caz n care pentru transmisiunile cu viteza de baz de 1Mb/s se
folosete modulaie diferenial binar cu comutarea fazei (DBPSK). Pentru
viteze de 2 Mb/s se folosete modulaie diferenial n cuadratur cu
comutarea fazei (DQPSK). Imprtierea este realizat prin mprirea benzii
disponibile n 11 subcanale, fiecare cu limea benzii de 11 MHz.
In cazul unor BSS adiacente sau suprapuse trebuie asigurat o separare
ntre frecvenele centrale pentru BSS diferite de 30 MHz. Aceast condiie
conduce la posibilitatea ca numai dou BSS s fie adiacente sau suprapuse
fr interferene.
Sistemele care folosesc IR lucreaz cu lungimi de und ntre 850 i
950 nm. Aceste sisteme se utilizeaz n interiorul cldirilor i opereaz cu
transmisiune nedirecional. Staiile pot recepiona transmisiuni n
vizibilitate direct sau reflectate. Pentru viteza de acces de baz de 1 Mb/s
se folosete tehnica demodulaie 16-PPM (Pulse Position Modulation) iar
pentru 2 Mb/s se utilizeaz 4-PPM.
Subnivelul MAC este responsabil pentru:procedurile de alocare a canalului,
adresarea unitilor de date de protocol (PDU),
formarea cadrelor, controlul erorilor,
fragmentarea i reasamblarea.
10
-
7/30/2019 Proiect wireless
9/33
Mediul de transmisiune poate opera n dou moduri:
modul concurenial CP (contend period), cnd staiile idisput
accesul la canal pentru fiecare pachet transmis, sau modul neconcurenial CFP, cnd utilizarea mediului este
controlat de AP.
IEEE 802.11 accept trei tipuri de cadre:
de management(pentru asocierea staiilor cu AP, sincronizare i
autentificare),
de control(pentru negocieri n timpul CP respectiv pentruconfirmri n timpul CP i spre sfritul CFP);
de date (pentru transmisie de date i date combinate cu interogri
i confirmri n timpul CFP).
Formatul cadrului (fig.7) cuprinde:
adrese MAC de 48 de bii pentru identificarea staiilor,
2 octei pentru specificarea duratei ct canalul va fi alocat pentru
transmiterea cu succes a unei MPDU (MAC Protocol Data Unit),
cmpul de date cu posibilitate de criptare dac protocolul opional
WEP (Wired Equivalent Privacy),
2 bii pentru tipul cadrului (de control, de management sau de
date)
un CRC de 32 de bii.
11
-
7/30/2019 Proiect wireless
10/33
Fig. 7 Formatul cadrului conform standardului IEEE 802.11
2.3 Straturile fizice IEEE 802.11
Deoarece versiunea FH-SS 802.11 are o vitez maxim de transmisie a
datelor de numai 2 Mbps, au aprut noi standarde IEEE 802.11. Acum sunt
disponibile LAN-uri fr fir mai rapide: 802.11a, 802.11b, 802.11g, 802.11
n. De asemenea, FH-SS nu interopereaz cu nici unul dintre celelalte
straturile fizice 802.11. ns, FH-SS ofer soluia necesar pentru sistemele
punct-la-multe-puncte, exterioare. Aceasta deoarece FH-SS este mai puin
sensibil la interferenele RF care pot fi prezente n mediile exterioare
cldirilor.
Reelele DS-SS 802.11 funcioneaz tot numai pn la 2 Mbps, darinteropereaz cu stratul fizic 802.11b.
12
-
7/30/2019 Proiect wireless
11/33
Fig.8 Standardele IEEE 802.11
802.11a funcioneaz n banda de 5 GHz i folosete multiplexare prin
divizarea ortogonal a frecvenei (OFMD) cu viteze de pn la 54 Mbps
avnd o raz de aciune de pn la 30 de metri (n funcie de viteza efectiv
de transmisie a datelor).
Un avantaj important al standardului 802.11a este acela c ofer ceamai mare capacitate datorit celor 12 canale separate, care nu se suprapun.
Acest lucru face ca reelele 802.11a s fie o bun alegere pentru asigurarea
unei concentrri mari de utilizatori i pentru realizarea unor aplicaii de
nalt performan, cum ar fi transmisia informaiei video n flux continuu.
Un alt avantaj al standardului 802.11a este acela c banda de 5GHz nu
este aglomerat, ceea ce permite utilizatorilor s ating nivele nalte de
performan.
Un dezvantaj al reelelor 802.11a este legat de raza de aciune limitat
(30 metri) datorit funcionrii ntr-o band de frecven nalt, cea de 5
13
-
7/30/2019 Proiect wireless
12/33
Ghz. Acest lucru necesit un numr mare de puncte de acces pentru
acoperirea complet a cldirii.
O problem clar este aceea c standardele 802.11a i 802.11b/g/n nu
sunt compatibile. Productorii rezolv acest problem prin introducereaplcilor radio multimod, care implementeaz att 802.11a ct i 802.11b.
Standardul 802.11b prevede viteze de transfer de 11, 5.5, 2 i 1Mbps pe
o distana de 100 metri n majoritatea instalrilor interioare. Viteza de
conectare este fie prestabilit de ctre utilizatori, fie rezult n urma unei
negocieri ntre cele 2 echipamente fr fir. Datorit faptului c la fiecare
pachet recepionat se transmite un pachet de confirmare a recepiei
(acknowledge) - adic pentru un pachet de date transmis e nevoie de dou
pachete - viteza de transmisie se reduce la jumtate. Astfel, dac viteza de
conectare este de 11Mbps se pot transfera informaii la o vitez medie de
4.5Mbps.
Reelele 802.11b folosesc DSSS pentru a dispersa semnalul care
transmite un cadru de date pe o poriune de 22 MHz din banda de frecven
de 2,4GHz. Aceasta conduce la o mai mare imunitate la interferena RF, prin
comparaie cu semnalele de band ngust.
Standardul 802.11g are dou obiective majore: aducerea modulaiei
OFDM n banda de 2,4 GHz i compatibilitatea cu sistemele Wi-Fi deja
existente (respectiv 802.11b). Standardul utilizeaz OFDM (Orthogonal
Frequency Division Multiplexing) pentru rate de transfer ce depesc 20
Mbps i suport CCK (Complementary Code Keying) pentru a asiguracompatibilitatea cu standardul existent. Pe lng aceste elemente, exist i
dou elemente opionale. Un prim element const ntr-un hibrid ntre CCK i
OFDM, dedicat facilitrii utilizrii undelor OFDM n acelai timp cu
asigurarea compatibilitii cu echipamentele radio CCK existente. CCK va fi
14
-
7/30/2019 Proiect wireless
13/33
astfel utilizat pentru a transmite preambul/header-ul pachetului, n timp ce
pentru corpul acestuia se va utiliza OFDM. Acest ansamblu este cel ce va
suporta viteze de transmisie de pn la 54 Mbps. Al doilea element opional
este o soluie numit single carrier. i aceast und poate fi descris ca unhibrid, deoarece utilizeaz CCK pentru transmiterea poriunii
preambul/header a fiecrui pachet i PBCC pentru transmiterea corpului
pachetului. Trebuie spus c PBCC suport rate de transfer de pn la 33
Mbps.
Pachetul de date transmis din cadrul stratului fizic 802.11g este alctuit,
n general, din dou pri: preambul/header-ul i corpul. Preambul/header-ul
servete la alertarea echipamentelor ce mpart acelai canal asupra faptului
c a nceput o transmisie de date. Mai exact, acesta este o succesiune de 0 i
1 ce acord timp echipamentelor s se pregteasc a primi date. Odat
preambulul complet, receptorul trebuie s fie pregtit a primi date. Imediat
dup aceasta este transmis header-ul ce conine cteva informaii eseniale
despre pachet. Printre acestea se numr i lungimea corpului pachetului,
aspect important deoarece acesta informeaz tuturor receptorilor lungimea
transmisiei ce va urma. Alte echipamente nu vor ncepe a transmite n acest
timp i astfel se evit coliziunile n reea. Corpul pachetului poate varia ca
lungime, depinznd de rata de transfer i numrul de bii transmii. De cele
mai multe ori, pachetele (preambul/header+corp) sunt transmise folosind
acelai tip de modulaie (CCK, de exemplu). Dar exist i excepii. Deoarece
OFDM era un element obligatoriu al standardului, acesta a fost ales deconstructori, n detrimentul opionalelor PBCC sau CCK/OFDM.
Din cele 14 canale prevzute de standardele 802.11b i 802.11g, doar
13 pot fi folosite n Europa, iar din cele 13 doar trei nu se suprapun. Din
acest motiv se recomand folosirea canalelor 1, 6 i 11 pentru a nu aprea
15
-
7/30/2019 Proiect wireless
14/33
perturbaii ntre echipamentele de pe canale diferite. ntre dou Access Point
- uri care funcioneaz pe acelai canal, se recomand o distan minim de
300 metri. Unele Access Point - uri permit setarea puterii de emisie -
implicit a razei de acoperire - deci aceast raz poate s difere.
Viteza de conectare depinde de puterea
semnalului care ajunge la ambele
echipamente. Aceasta este dat, pe de o
parte de cele 2 antene - de la fiecare
echipament cte una - i de atenuarea
semnalului din cauza mediilor prin care
trece. Datorit specificului de propagare a
microundelor, comunicarea n banda de 2.4 GHz se face cel mai bine dac
exist vizibilitate direct ntre echipamente. La trecerea prin diferite medii
atenuarea undelor este mult mai mare dect prin aer. Astfel, metalul, apa,
copacii sau zidurile masive din beton constituie obstacole de netrecut pentru
microunde. Zidurile din rigips sau din BCA introduc atenuri destul de mici,dar oricum mai mari dect aerul.
Ceea ce deosebete fundamental noul standard 802.11n de
predecesoarele sale este faptul c dispune de o varietate de moduri i
configuraii ce pot duce, n funcie de alegerea lor, la rate de transfer maxim
foarte diferite. Specificaiile 802.11n anun o cifr incredibil pentru
transferul de date pe calea aerului: cu toate opiunile posibile activate, datelear putea fi transmise cu viteze de pn la 600 Mbps. Echipamentele ce
suport acest standard nu trebuie neaprat s aib aceste opiuni activate
pentru a fi compatibile cu standardul. Din acest motiv, cele mai multe
Varianta de alocare a canalelorpentru extinderea ariei acoperite
16
-
7/30/2019 Proiect wireless
15/33
echipamente vor oferi probabil transmisii de date cu viteze de pn la 300
Mbps.
Prima cerin a standardului 802.11n este suportul pentru modulaia
OFDM n scopul asigurrii compatibilitii cu standardele 802.11a/g.Totodat ns, se utilizeaz o rat de codare maxim mai mare, precum i o
lime de band uor mai larg. Aceste adugiri asigur o rat maxim de
transfer a datelor de 65 Mbps, de la 54 n standardele actuale.
Standardului 802.11n utilizeaz MIMO (Multiple Input Multiple
Output). MIMO se bazeaz pe un fenomen al undelor radio numit
multipath: undele radio de la emitor sunt reflectate de perei, ui sau alte
obiecte, ajungnd la antena receptoare de mai multe ori, din mai multe
direcii i chiar la intervale diferite de timp. Necontrolate, acestea pot chiar
distorsiona recepia semnalului original i afecta performana reelei Wi-Fi.
Din aceast cauz, tehnologia MIMO a dezvoltat o tehnic numit space-
division multiplexing pentru a gestiona fenomenul multipath. n acest
tehnic, fluxul de date este mprit de echipamentul wireless n mai multe
pri, numite spatial streams, ce vor fi transmise fiecare prin cte o anten
separat ctre antena corespondent a echipamentului receptor. Standardul
802.11n prevede pn la patru astfel de spatial streams, dei nu este
necesar ca toate echipamentele ce suport acest standard s fie dotate cu att
de multe. Viteza de transmisie a datelor a unui astfel de echipament, n
funcie de numrul de spatial streams activate, conduce la creterea
proporional i a ratei de transmisie a datelor.Un dezavantaj al acestui strat fizic este creterea puterii consumate a
echipamentelor. Din acest motiv, standardul 802.11n prevede dotarea
obligatorie a echipamentelor cu un mod power-save pentru MIMO, cu
17
-
7/30/2019 Proiect wireless
16/33
ajutorul cruia transmisia multipath s fie activat doar atunci cnd
comunicarea are de ctigat de pe urma performanei aduse de aceasta.
Fig.9 Tehnologia MIMO
Dou sunt modurile n care MIMO sporete performana
echipamentelor wireless: beam-forming i diversity.
Beam-forming este o tehnic ce focalizeaz semnalul radio direct
ctre antena receptoare, mbuntind astfel distana de transmisie i limitndinterferenele. Diversity, n schimb, gestioneaz multiple antene,
combinnd sau selectnd cel mai bun mod n care antenele recepioneaz un
numr de spatial streams. Acest lucru este important, deoarece
specificaiile 802.11n prevd dotarea echipamentelor cu pn la patru
antene, ns acestea vor funciona n reea cu echipamente ce au mai puine
antene. Diversity nu este o tehnic specific noului standard 802.11n, ea
regsindu-se i n unele echipamente 802.11a, b, sau g prin utilizarea a dou
antene.
18
-
7/30/2019 Proiect wireless
17/33
Fig.10 Echipament bazat pe principiul MIMO
ntr-o reea care are implementat standardul 802.11n se poate folosi un
echipament cu dou antene (ex.NIC) i un access point cu trei antene. nacest caz doar dou antene spatial streams vor putea fi folosite n
comunicare, dei access point-ul este capabil a gestiona trei. n acest fel,
antenele n surplus pot fi utilizate n alte moduri, cum ar fi operarea la
distane mai lungi. Semnalul a dou antene poate fi combinat pentru a da
posibilitatea unui spatial stream s ajung la o distan mai mare.
Fig.11 NIC wirelessStandardul 802.11n are i alte moduri opionale prevzute care s ajute
la sporirea ratelor de transfer a datelor dintre echipamentele wireless. Primul
dintre acestea este dublarea efectiv a limii de band a unui canal de
comunicare WLAN de la 20 la 40 MHz. Un dezavantaj al acestui aspect este
19
-
7/30/2019 Proiect wireless
18/33
urmtorul: canalele disponibile pentru alte echipamente reducndu-se n
consecin. n cazul reelelor n banda de 2,4 GHz exist destul loc pentru
trei canale de 20 MHz distincte. Un canal de 40 MHz nu va lsa, n acest
caz, prea mult loc altor echipamente s intre n reea sau s transmit date nacelai spaiu. Din aceast cauz a fost nevoie de dezvoltarea unui sistem de
management dinamic ce asigur mbuntirea performanelor WLAN prin
balansarea cerinelor unor clieni pentru o lime de band mrit cu nevoia
altor clieni de a rmne conectai la reea. Alte moduri opionale includ
high-throughput duplicate mode, pentru mrirea distanei la care
echipamentele pot transmite i recepiona date, precum i short guard
interval, ce mbuntete eficiena transmisiei limitnd gtuirile. Standardul
802.11n are nu mai puin de 576 de configuraii posibile, fa de cele doar
12 ale actualului standard 802.11g.
2.4 Compatibilitatea straturilelor fizice IEEE 802.11
Deoarece echipamentele 802.11b nu pot demodula transmisiile OFDM,
exist probleme n reeaua format din echipamente mixte. n condiii
normale, toate echipamentele ce folosesc acelai canal, mpart accesul la
comunicare dup mecanismul CSMA/CA (Carrier Sense Multiple
Access/Collision Avoidance) listen-before-talk. Mecanismul funcioneazastfel: fiecare echipament din reea ascult pentru a determina dac un
altul transmite. Nicio transmisie nu va ncepe dac o alta este n desfurare.
Astfel, echipamentele 802.11g vor putea recepiona transmisii att CCK, ct
20
-
7/30/2019 Proiect wireless
19/33
i OFDM, dar echipamentele Wi-Fi mai vechi nu le pot recepta dect pe cele
CCK.
Mecanismul CSMA/CA nu va putea funciona n condiiile n care
avem, n acelai canal, ambele echipamente. n condiii de operare normal,toate radiourile ce mpart acelai canal (inclusiv access-point-ul) se pot
auzi ntre ele. Exist ns i cazuri n care comunicarea cu access-point-ul
se poate face n timp ce echipamentele din dou noduri diferite nu pot
comunica direct. Evident, n aceste condiii mecanismul listen-before-talknu
poate funciona, deoarece echipamentele ar ncepe transmisia ctre access-
point n timp ce acesta ascult un alt echipament ascuns pentru cel n
cauz. Acest lucru este cunoscut ca problema nodului ascuns. n acest caz se
folosete un alt mecanism ce a fost introdus n standardul 802.11: Request-
To-Send/Clear-To-Send (RTS/CTS). Conform acestui mecanism, fiecare
nod trebuie s trimit un mesaj RTS la access-point i s primeasc un
rspuns CTS pentru a putea transmite. Situaia echipamentelor CCK i
OFDM ce opereaz n acelai canal este similar problemei nodului ascuns,
deoarece echipamentele CCK nu pot auzi transmisiile OFDM. Folosind
mecanismul RTS/CTS, echipamentele OFDM vor putea funciona n acelai
canal cu echipamentele Wi-Fi mai vechi, fr apariia coliziunilor. Un
incovenient al mecanismului RTS/CTS este aglomerarea reelei.
802.11a 802.11b 802.11g 802.11n
Aprobare Standard iul.99 iul.99 iun.03 -
Rata maxim detransfer
54 Mbps 11 Mbps 54 Mbps 600 Mbps
Modulare OFDMDSSS sau
CCK
DSSS sau CCK sau
OFDM
DSSS sau CCK sau
OFDM
Banda radio 5 GHz 2.4 GHz 2.4 GHz 2.4 GHz sau 5 GHz
21
-
7/30/2019 Proiect wireless
20/33
Numr de "spatialstreams"
1 1 1 1, 2, 3 sau 4
Lime de band percanal
20 MHz 20 MHz 20 MHz 20 MHz sau 40 MHz
Fig. 12 Tabel cu standardele 802.11
Problema compatibilitii noului standardul 802.11n iese n eviden
atunci cnd se folosesc echipamente 802.11b n reea. Acestea nu pot
recunoate semnalulul OFDM, cu ajutorul cruia funcioneaz standardele g
i n. Acest lucru scade drastic eficiena reelei, deoarece pachetele de date se
transmit mult mai rapid ntre clienii 802.11g i n dect n standardul
802.11b. Pentru a asigura depirea acestui impas i o compatibilitate
deplin cu vechile echipamente Wi-Fi, standardul 802.11n conine o soluie,
denumit aggregation. n loc de a transmite un singur calup de date, se vor
altura mai multe calupuri de date ntr-un singur cadru de transmis.
Compatibilitatea cu standardele 802.11a i g este pe deplin realizat
deoarece acestea utilizeaz OFDM ca mod de transmisie a datelor. Chiar i
aa, noul standard prevede i n acest caz unele specificaii pentru a crete
eficiena reelelor OFDM. O astfel de inovaie o reprezint Reduced
InterFrame Spacing sau RIFS, ce reduce semnificativ timpul dintre
transmisii.
3. Securitatea reelelor wireless
3.1 Mecanisme de securitate
22
-
7/30/2019 Proiect wireless
21/33
n general, dezvoltarea arhitecturii de securitate a unei reele wireless
este mult mai complicat dect a unei reele cu fir. Prin limea de band,
puterea de procesare, stocarea datelor i mobilitate, dispozitivele wireless
cer, n cele mai multe cazuri, s fie utilizate diferite mecanisme de securitate,precum autentificarea utilizatorului i criptarea datelor. De exemplu,
protocolul WTLS (Wireless Transport Layer Security) este utilizat la
criptarea datelor n multe reele wireless nlocuind SSL (Secure Socket
Layer).
Din punct de vedere al modelului OSI, mecanismele sistemului de
securitate a reelei wireless se afl n trei locaii. La nivelurilefizic/legturi
de date multe protocoale furnizeaz criptarea i identificarea dispozitivului.
Pentru WLAN-uri, protocolul WEP (Wired Equivalent Privacy), parte a
standardului IEEE 802.11, i protocolul WPA (Wi-Fi Protected Access)
ofer aceaste mecanisme de securitate.
Fig. 13 Modelul OSI
La nivelurile reea/transportmuli furnizori de reele wireless ofer VPN-uri
(Virtual Private Network). Acestea folosesc protocoale standard, cum ar fi
IPSEC (IP Security) sau protocoale dedicate. Aceste tuneluri virtuale
cripteaz toate datele ntre dispozitivele wireless i server-ul wireless
(gateway).
23
-
7/30/2019 Proiect wireless
22/33
Protocoalele VPN (Virtual Private Network) cripteaz i autentific
datele n Layer-ul IP (modelul TCP/IP). Un endpoint VPN accept datele, le
cripteaz i le semneaz i le transmite prin conexiune radio. Endpoint-ul
receiver-side dezarhiveaz pachetele primite.Un VPN folosete resursele WLAN-ului, dar, din punctul de vedere al
clientului arat ca o reea suplimentar o reea virtual. Figura 14 explic
principiul: laptop-ul i desktop-ul au o conexiune WLAN. Ambele pot fi
accesate pe IP-ul lor real prin reeaua wireless. VPN le aloc, laptop-ului i
desktopului, adrese IP adiionale. Datele adresate adresei virtuale sunt
preluate de VPN i trimise ctre IP-ul real al destinatarului. Destinatarul
dezarhiveaz datele i le trateaz ca i cum ar fi ajuns la destinaie prin
adresa virtual, crend astfel un tunnel ntre laptop i desktop.
Fig. 14 Virtual Private Network ruleaz printr-un tunnel,iar endpoint-urile acestuia sunt adresele IP reale ale laptop-ului i desktop-ului.Securitatea este prezent i la nivelurile prezentare i aplicaie unde
sunt oferite servicii de autentificare a utilizatorilor i criptare a datelor. Un
numr de protocoale standard i dedicate se folosesc pentru a oferi aceste
servicii de securitate incluznd SSL i WTLS. n plus, cteva soluii de
24
-
7/30/2019 Proiect wireless
23/33
securitate biometrice sunt valabile astzi cum ar fi fingerprint scanningi
signature recognition.
Securitatea de baz a reelelor wireless este asigurat de urmtoarele
funcii implementate:1 SSID (Service Set Identifiers);
2 WEP (Wired Equivalent Privacy);
3 Verificarea adresei MAC (Media Acces Control).
SSID este un cod care definete apartenena la un anumit punct de acces
wireless. Toate dispozitivele wireless care vor s comunice ntr-o reea
trebuie s aib SSID-ul propriu, setat la aceeai valoare cu valoarea SSID-
ului punctului de acces pentru a se realiza conectivitatea. n mod normal un
punct de acces i transmite SSID-ul la fiecare cteva secunde. Acest mod de
lucru poate fi stopat, astfel nct o persoan neautorizat s nu poat
descoperi automat SSID-ul i punctul de acces. Dar, deoarece SSID-ul este
inclus n beacon-ul (mici pachete de date transmise continuu de un punct de
acces pentru a-i face cunoscut prezena i pentru a asigura managementul
reelei) oricrei secvene wireless, este uor pentru un hacker dotat cu
echipament de monitorizare s-i descopere valoarea i s se lege n reea.
WEP poate fi folosit pentru a ameliora problema transmiterii continue
a SSID-ului prin criptarea traficului dintre clienii wireless i punctul de
acces. Se realizeaz prin aceasta o autentificare printr-o cheie (shared-key
authentication). Punctul de acces transmite clientului wireless o provocare
pe care acesta trebuie s-o returneze criptat. Dac punctul de acces poatedecripta rspunsul clientului, are dovada c acesta posed cheia valid i are
dreptul de a intra n reea. WEP dispune de dou posibiliti de criptare cu
cheie de 64 de bii sau de 128 de bii.
25
-
7/30/2019 Proiect wireless
24/33
Desigur, WEP nu asigur o securitate prea mare. Hackerul dotat cu
echipament de monitorizare poate recepiona i nregistra nti provocarea
plecat de la punctul de acces apoi rspunsul criptat al clientului i, pe baza
unor procesri se poate determina cheia pe care apoi o poate folosi pentru aintra n reea.
Fig.15 Airsnort poate sparge criptarea WEP dup interceptareaunui numr suficient de mare de pachete.
Se poate spori securitatea reelei, dac administratorul de reea
utilizeaz filtrarea adreselor MAC, adic punctul de acces este configurat cu
adresele MAC ale clienilor crora le este permis accesul n reea.
Din nefericire, nici aceast metod nu asigur o securitate prea mare.
Un hacker poate s nregistreze secvene din trafic i, n urma unor analize,
poate s extrag o adres MAC pe care ulterior o poate folosi pentru a intra
n reea.
802.1x este un standard de control al accesului n reea bazat pe
porturi. El asigur per utilizator i per sesiune o autentificare mutual
puternic. n funcie de metoda de autentificare utilizat 802.1x poate
asigura i criptarea. Pe baza IEEE Extensible Authorization Protocol (EAP),
802.1x permite punctului de acces i clienilor din reea s foloseasc n
comun i s schimbe chei de criptare WEP n mod automat i continuu.
26
-
7/30/2019 Proiect wireless
25/33
Punctul de acces acioneaz ca un proxy server, efectund cea mai mare
parte a calculelor necesare criptrii. Standardul 802.1x suport
managementul centralizat al cheilor de criptare din reea.
WPA (Wi-Fi Protected Acces) a fost introdus ca o soluie intermediarla criptarea WEP dup ce standardul IEEE 802.11i a fost ratificat. Cnd
WPA este implementat, punctul de acces permite numai accesul clienilor
care dispun de fraza de trecere corect. Cu toate c WPA este mai sigur
dect WEP, atunci cnd cheile sunt memorate i la clieni, furtul unui
dispozitiv-client poate permite hoului accesul n reea.
WPA suport att autentificarea ct i criptarea. Autentificarea realizat
cu ajutorul cheilor prestabilite este cunoscut ca WPA Personal. Cnd este
realizat conform standardului 802.1x, este cunoscut ca autentificare WPA
Enterprise. WPA ofer ca algoritm de criptare TKIP (Temporal Key
Integrity Protocol), precum i noul algoritm de integritate numit Michael.
WPA face parte din standardul 802.11i.
n iunie 2004 IEEE a ratificat elementele de baz ale standardului
802.11i cunoscut i ca WPA2. Standardul 802.11i nlocuiete formal WEP i
toate celelalte proceduri de securitate ale standardului 802.11(a,b,g). WPA2
este o certificare de produs pentru echipamentele wireless compatibile cu
standardul 802.11i. Aceast certificare asigur suport i pentru proceduri de
securizare suplimentare ale standardului 802.11i care nu sunt incluse n
WPA. WPA2 ca i WPA suport procedeele de autentificare Personal i
Enterprise. WPA2 conine mbuntiri care faciliteaz roamingul rapidpentru clienii wireless aflai n micare. Permite o preautentificare la
punctul de acces ctre care se deplaseaz clientul, meninnd nc legtura
cu punctul de acces de la care pleac.
27
-
7/30/2019 Proiect wireless
26/33
3.2 Configurarea unui router wireless
Toate ruterele sunt configurate n aproape acela mod. n paginile de
configurare se vor gsi urmtorii pai:
Wireless Network Mode - stabilirea standardului wireless al reelei (tip b, tip
g, amndou sau dezactivat).
SSID (Wireless Network Name) - numele reelei wireless care trebuie folosit
la setarea tuturor echipamentelor radio (router, UCP, AP etc.) din reea.
Wireless Broadcast SSID - daca este Enable parametrul SSID poate fi
anunat (broadcast) in reea.
Wireless Channel- canalul radio folosit de toate echipamentele wireless dinreea.
Wireless MAC Filters - permite sau blocheaz accesul in reeaua wireless
funcie de adresa MAC.
Wireless Security - metode folosite: WEP si WPA.
- WEP cu criptare pe 64 sau 128 bii. Cheia putnd fi introdus manual sau
generata automat folosind Passphrase- WPA folosete doua metode de criptare: TKIP si AES folosind chei de
criptare dinamice cu 8-63 caractere
Authentification Type - Open System sau Shared Key. In varianta Open
System nici emitorul nici receptorul nu folosesc chei WEP pentru
autentificare, spre deosebire de varianta Shared Key unde, ambii, folosesc
chei WEP.
28
-
7/30/2019 Proiect wireless
27/33
Fig.16 Configurare router
3.3 Politici de securitate
Unul din primii pai n asigurarea securitii reelei fr fir const n
formularea de politici eficente i de procese de ntrire a securitaii care s
corespund acestora. Trebuiesc analizate cu atenie cerinele de securitate i
aplicate nivelurile de protecie adecvate. De exemplu, criptarea trebuie s fie
coninut n toate implementrile de reele fr fir. Criptarea WEP poate fi
bun pentru reele fr fir de mici dimensiuni (firme mici), dar trebuiesc
folosite metode mai bune cum ar fi WPA- pentru aplicaii de corporaie.
29
-
7/30/2019 Proiect wireless
28/33
Politicile de securitate implementate de o organizaie trebuie s fie
urmtoarele:
- evaluarea periodic a securitii reelei pentru a se asigura c
modificrile aprute nu fac sistemul vulnerabil la hackeri;- revizuirea politicilor de securitate existente periodic;
- revizuirea sistemului existent determinarea unui defect de
proiectare a reelei fr fir care s constituie slbiciuni pe care un
hacker le poate exploata pentru a intra n sistem;
- discuii cu utilizatorii pentru a determina dac acetea cunosc
politicile de securitate care i privesc;
- verificarea configuraiilor dispozitivelor fr fir folosirea unui
instrument software pentru a capta configuraiile acestora;
- identificarea staiilor de baz pirat scanarea periodic cu un
instrument de monitorizare a reelei fr fir pentru a depista staii de
baz pirat;
- realizarea de teste de penetrare a sistemului;
- plasarea utilizatorilor fr fir n exteriorul unui parafoc realizarea
unei zone demilitarizate fr fir prin plasarea unui parafoc (firewall)
ntre reeaua fr fir i reeaua organizaiei;
- utilizarea unei criptri eficente folosirea n reeaua fr fir a
echipamentelor care accept o form de criptare WPA2 (schimbarea
frecvent a cheilor);
- actualizarea soft i hard a stailor de baz;- protejarea fizic a staiilor de baz;
- atribuirea de parole puternice pentru staile de baz i schimbarea
acestora periodic;
30
-
7/30/2019 Proiect wireless
29/33
- evitarea difuzrii SSID-urilor dezactivarea difuzrii SSID face ca
staia de baz s nu mai includ SSID-ul n cadru;
- limitarea propagrii undelor radio folosirea antenelor direcionale
limiteaz propagarea undelor radio la o zon la care hackerii nu auacces fizic;
- implementarea de parafocuri personale.
4. Concluzii
Reelele wireless sunt relativ mai puin sigure dect cele cablate,
datorit accesului mai facil la reea al persoanelor neautorizate aflate n
zonele de acoperire ale punctelor de acces. Exist, implicit n implementarea
reelelor wireless, diferite bariere care formeaz aa numita securitate de
baz a reelelor wireless, care impiedic accesul neintenionat al persoanelor
strine de reea, aflate n aria de acoperire a unui punct de acces. Pentrupersoane ru intenionate, cu bun pregtire n domeniu, de tipul hackerilor,
securitatea acestor reele, ca de altfel i a altora, este discutabil.
Securitatea este unul dintre cele mai importante i complexe aspecte ale
reelelor fr fir. Posibilitatea unui hacker de a monitoriza traficul, de a
obine accesul neautorizat la resursele valoroase i de a realiza atacuri negare
de serviciu ntr-o reea fr fir, sunt elemente ce trebuiesc luate n
consideraie. Prin folosirea unei autentificri i a unei criptri eficente se
reduc semnificativ ameninrile la adresa securitii.
31
-
7/30/2019 Proiect wireless
30/33
5. Bibliografie
1. Jim Geier Primii pai n reele fr fir, Editura Corint 20052. Adrian Munteanu, Gabriel Cristescu Reele Windows. Servere i
clieni. Exemple practice. Editura Polirom 2004
3. Adrian Munteanu, Valeric Greavu erban Reele locale de
calculatoare Editura Polirom 2003
4. www.zapp.ro
5. www.lamit.ro
6. www.networkworld.ro
7. www.stilxxi.ro
8. www.wifiglobal.biz
9. www.apple.ro
10.www.agora.ro
11.www.insoft.ro
12.www.scop.ro
32
http://www.zapp.ro/http://www.lamit./http://www.lamit./http://www.fas.org/http://www.stilxxi.ro/http://www.wifiglobal.biz/http://www.apple.ro/http://www.agora.ro/http://www.insoft.ro/http://www.scop.ro/http://www.zapp.ro/http://www.lamit./http://www.fas.org/http://www.stilxxi.ro/http://www.wifiglobal.biz/http://www.apple.ro/http://www.agora.ro/http://www.insoft.ro/http://www.scop.ro/ -
7/30/2019 Proiect wireless
31/33
UNIVERSITATEA TITU MAIORESCUFACULTATEA STIINTA SI TEHNOLOGIA
INFORMATIEISPECIALIZAREA INFORMATICA
LUCRARE DE LICEN
IMPLEMENTAREA UNUI LAN FOLOSINDTEHNOLOGIEI ETHERNET I WIRELESS
COORDONATOR STIINTIFIC:Prof. /Conf. Univ. Dr. Ing. Iosif Praoveanu
Absolvent: BELCIU IONEL
SESIUNEA IULIE2009
33
-
7/30/2019 Proiect wireless
32/33
34
-
7/30/2019 Proiect wireless
33/33