BY HORNET

Wireless tehnologija

Uvod u Wireless Svet

Posljednjih godina svedoci smo naglog širenja tržišta mobilnih usluga i uređaja. Najsvetliji primer sigurno je tržište mobilne telefonije o čijoj rasprostranjenosti najbolje govori činjenica da se danas teško može pronaći osoba koja ne poseduje mobilni telefon. Pojava ručnih računara (engl. handheld) i pad cene prenosnih računara obećava da bi se isto moglo dogoditi i na tržištu mobilne računarske opreme. Zapravo pogledamo li prednosti ovakvih uređaja to je i neizbežno. Zašto imati jedan računar na poslu, jedan kući, jedan u drugom gradu kada sve to može zameniti mobilnim računarom. A da ne govorimo o podacima koji trebaju biti sinhronizovani na svim tim računarima. Uz to pogledamo li unutar zidova našeg doma mnogi od nas u radnoj sobi imaju metre i metre kabla. Iza stolova, ispod tepiha, po zidovima. Nabavimo li novi uređaj vrlo je verovatno da će njegov "kablovski sastav" prolaziti istim onim putem kuda i drugi, a želimo li sve to nekako držati uredno imaćemo dosta posla. A šta je sa onim uređajima koji moraju biti udaljeni od našeg centralnog mesta? Povezati ga sa 100 metara kabla može biti veliki problem. Tu su i uređaji za koje nam se danas čini ugodnije, sutra dva metra iza, prekosutra levo. Ako vam se to nikada nije desilo onda očigledno niste gledali filmove na kompjuteru, možda slušali muziku itd. Nije li lakše, i ugodnije, jednostavno uzeti tastaturu metar dva iza sebe do nekog u tom trenu prikladnijeg mesta. Imamo li već uređen stan bez provučenih mrežnih kablova i nabavimo računare koja trebaju internet,printer sharing a nalaze se u različitim prostorijama što onda? Bušenje zidova, postavljanje i provođenje kablova je skupo želimo li zadržati prvobitan izgled prostorije. Na sva ova pitanja postoji jednostavan odgovor, wireless tehnologija. Ovaj seminarski je usmeren na wireless mrežne tehnologije i njihovu zaštitu. U njemu će biti govora o wireless mrežnim protokolima, WLAN Security protokolima, Wireless pretnjama i na kraju o implementaciji svega ovog spomenutog u našu mrežu.

1

Wireless tehnologija

Wireless Network Protocols Uvod
Zbog brzog razvoja wireless tehnologije danas imamo celi niz proizvoda i protokola dostupnih kako kućnoj tako i profesionalnoj upotrebi. Da to ne bi bilo tako jednostavno svaka ta tehnologija ima svoje specifično tržište, a tako i uređaje. Uz to stvari komplikuje i tolika masa samih uređaja na tržištu koji imaju svoj hardware, svoje protokole i svoj softwar sto na kraju dovodi do nekompatibilnosti između njih, a još gore i do interferencije. U nastavku sledi kratak uvod u danas najraširenije wireless network protokole na području potrošačke elektronike, a i šire.
Raznovrsnostt wireless okoline

2

Wireless tehnologija

O samom 802.11 standardu
802.11 standard definiše protokol koji se tiče svih ethernet uređaja okrenutim wireless prometu. No unutar samog standarda postoje pod standardi koji se takmiče za svoje mesto na tržištu.

Arhitektura WLAN-a
Za izradu WLAN-a je potrebno imati pristupnu tačku (engl. access point-AP) i jednog ili više klijenata. AP povezuje više klijenata u zajedničku grupu i služi za povezivanje sa žičanom mrežom ili sa drugim bežičnim mrežama. Dva ili više AP-a mogu raditi zajedno u WDS (engl.wireless distribution system) načinu rada. Za povezivanje sa drugim mrežama koristi se bežični usmerivač (engl. wireless router) koji u sebi objedinjuje pristupnu tačku i mrežni usmerivač. Čest je slučaj da bežični usmerivač, posebno za male korisnike, ima ugrađen više-pristupni prekidač (engl. switch) sa jednom ili više spojnih tačaka, te na taj način može služiti i za povezivanje delova žičane mreže sa bežičnom mrežom. Prvenstvena namena bežičnog usmerivača je komunikacija sa WAN mrežom što se ostvaruje pomoću sporijih linija kao: Frame Relay, ISDN, DSL, mikrovalnim vezama ili nekim drugim WLAN tehnologijama. Kod WLAN veza razlikujemo "ad hoc" i "infrastrukturne" veze. Ad hoc veze su veze dva računara ili drugih uređaja koji imaju ugrađene module za WLAN komunikaciju. Dodatni uređaji nisu potrebni. Kod infrastrukturnih veza postoji dodatna infrastruktura. To je obično bežični usmerivač (engl. wireless router), koji preko internet modema povezuje internet sa lokalnom mrežom. Međutim bežični usmerivač može biti upotrebljen i za povezivanje pojedinih WLAN učesnika i/ili celih lokalnih mreža i u primenama kada lokalna mreža nije spojena s internetom.

3

Wireless tehnologija

LAN i IEEE

Puno pre nego sto su wireless mreže izašle na svetlo dana, IEEE (Institute of Electrical and Electronics Engineers) je napravio sistem po kojem se nove tehnologije mogu sertifikovati. IEEE sertifikat osigurava da neka tehnologije može biti kompatibilna sa dugim proizvodom koristeći istu sertifikovanu tehnologiju. Naravno jedna od mnogih tehnologija koja je prošla kroz taj postupak sertifikacije je Local Area Network. LAN je jednostavno lokalna grupa spojenih računara uz naravno hardware i software koji omogućuje komunikaciju između njih. Kako god, ima mnogo pravila i specifikacija koje su potrebne da bi proizvod bio proglašen LAN kompatibilan. Iz tog razloga IEEE je napravio 802 grupu, koja je odgovorna za ispitivanje kako starih tako i novih mrežnih tehnologija da bi osigurao njihov pouzdan rad, a i takođe rad bez konflikata. Kada dođe nova tehnologija na sertifikovanje, grupa je pomno istraži i ispita uz naravno dosta testova koje mora proći da bi dokazala da stvarno zaslužuje sertifikat. 802 sertifikat sadrži i mnoge pod grupe, koje predstavljaju pojedina "odeljenja" mreže. 802.3 primera radi je standard koji definiše kako Ethernet radi. Ako će se neki proizvod smatrati ethernet, on mora ispunjavati sve zahteve specifikovane u 802.3. Ovo nas na kraju vodi i do wireless etherneta, koji je klasifikovan i kontrolisan sa strane 802.11grupe.

802.3 mreže
Uz dodatak tome 802.11 je opet razdeljen u vise manjih specifičnih sertifikata, kao npr. 802.11b, 802.11g. Svaka ta grupa definiše metodu za omogućavanje wireless etherneta. Svaki taj protokol navodi razne aspekte prenosa podataka koji ih dalje razlikuju od druge grupe.

4

Wireless tehnologija

Razumevanje CSMA/CD
Jedan od najpopularnijih standarda postavljenih od 802 grupe je 802.3 standard. To je sertifikat koji dobijaju ethernet ready uređaji. Tako svaki ethernet proizvod mora imati tehnologiju poznatu pod CSMA/CD (Carrier Sense Multiple Access/Collision Detection). CSMA/CD nije ništa drugo nego podizanje ruke u učionici. Kada se prepolovi ta cela reč na delove CS znači da samo jedan uređaj može pričati u isto vreme. MA je tehnički rečeno da ima više uređaja koji slušaju. Da se vratim na učionicu. Svi čuju šta drugi pričaju no obraća li se neko određenoj osobi za nas je to potpuno nebitno i možemo to ignorisati. Sada nam jos ostaje CD. To označava da svaki ethernet može primetiti da su dva uređaja počela pričati u isto vreme. Kada se to desi oboje zaćute na tren (random broj). Uređaj sa manjim vremenom čekanja počinje prvi. U wireless svetu dosta se često koristi CA (collision avoidance). To je najava nekoga da će početi sa pričom pa tako neće doći do istovremenog rada dva uređaja.
RTS - Request to Send CTS - Clear to Send

5

Wireless tehnologija

Frekvencije

Svi 802.11x standardi koriste ISM (Industrial, Science, and Medical) frekvencije, postavljene sa strane FCC (Federal Communications Commission). Te su otvorene frekvencije i može ih koristiti bilo ko. To su 900 MHz, 2,5GHz i 5GHz. Nakon što je IEEE prihvatio 802.11, 1997, tri su tehnologije postale glavne za prenos podataka u wireless svetu. To su FHSS (frequency -hopping spread spectrum), DSSS (direct sequence spread sequence) i IrDA.

2,4 GHz
2,4 GHz polje je otvoreno frekventno polje u kojem rade mnogi uređaji, uključujući telefone i mikrovalne. FCC je otvorio takvo polje da bi omogućio proizvođačima da naprave uređaje koji ne trebaju posebno FCC odobrenje. Tako bilo ko može napraviti 2,4 GHz uređaj i služiti se njime bez straha da će upasti u radio Policije ili Hitne pomoći. To je na prvi pogled dobro rešenje no toliko je uređaja danas u ovome spektru, da ćemo pre ili kasnije naletiti na neke interferencije i smetnje. Mada će uređaj i dalje raditi, moglo bi se desiti da 11Mbps postane 3Mbps.

802.11a
802.11a je zapravo prvi potvrđeni (prihvaćeni) wireless standard mada je u komercijalnu upotrebu zakasnio za b standardom. Može prenositi do 54Mbps, što je otprilike 5x brže nego b uređaji. 802.11a nije previše zaživio u svetu, a glavni razlog je njegov 5GHz spektar. Njegova metoda za prenos takođe se razlikuje. On koristi OFDM metodu koja je opisana u nastavku.

5GHz
Kao što smo rekli 2,4GHz polje je odavno pretrpano uređajima. 5GHz je recimo još uvek dosta slobodan. Ovo duplo povećanje frekvencije je i preko 2 puta brže što uz promenu prenosne metode dovodi do oko 5 puta povećanja u brzini. No sve ima prednosti i mana. Cena i smanjeni domet nisu išli na ruku a standarda i danas se ova frekvencija još uvek ne koristi u tako širokoj primeni kao 2,4GHz.

6

Wireless tehnologija

OFDM (Orthogonal Frequency Division Multiplexing)
802.11a koristi OFDM tako da uzme 5GHz i prepolovi ga u nekoliko preklapajućih frekvencija. Drugim rečima OFDM u jednom ciklusu može preneti puno više podataka. U nekom pogledu, 802.11a može slati podatke na frekvenciji od preko15GHz. Slika ispod pokazuje primer OFDM signala na kojoj se vidi zapravo poluperioda pune frekvencije razdeljena u više manjih. To ne samo da ubrzava prenos nego i sprečava korozije wireless uređaja.

802.11g
Mada je sporiji od a standarda ima neke prednosti koje su mu doprinele tako veliku popularnost. Za razliku od a on ima stabilan signal na većim udaljenostima zbog duplo manje frekvencije pa i nižu cenu. Tu dolazi g standard. G radi takođe na 2,4GHz, a brzina mu je teoretski 54Mbps. Mada su se sada počeli pojavljivati i g uređaji sa teoretskom brzinom od 108 Mbps, tih 108 Mbps se ipak još uvek odnosi na korištenje istih uređaja i slično. G standard također koristi OFDM koja mu omogućuje povećanje brzine naspram b.

HomeRF
Otprilike kada je WECA odobrila 802.11 standard, nekoliko je tipova wireless tehnologije predstavljeno svetu. Mada je malo njih uopšte ušlo u PAN (Personal Area Network) tržište neke su tehnologije zamalo porazile 802.11. Jedna od tih je bila HomeRF. Koristeći Shared Wireless Access Protocol (SWAP), HomeRF je spojila FHSS sa 6 glasovnih kanala temeljenih na DECT –u (Digital Enhanced Cordless Telecommunications). Znači da HomeRF može prenositi kako dana tako i voice stream koji mogu raditi u isto vreme. Uz to ova tehnologija ne zahteva centralne tačke, ona sve radi sama.

7

Wireless tehnologija

FHSS (Frequency Hopping Spread Spectrum)
HomeRF koristi novu frequency control tehniku (standard) FHSS. Kada se koristi u kombinaciji sa 2,4GHz frekvencijom, signal može promeniti kanal 50 puta u sekundi. Ovo pomaže pri stabilnosti mreže, i uz neku drugu postojeću HomeRF mrežu. Koristeći celi frekvencijski spektar, više mreža mogu delovati u isto vreme bez straha od interferencija.

FHSS - Frequency Hopping Spread Spectrum Sam FHSS se koristio i kod prvih implementacija 802.11 standarda. Tada je HomeRF koristila napredniju verziju i mogla postići 1,6Mbps, za razliku od 802.11 koje je mogao 1Mbps. Ova se tehnologija nije dugo zadržala na tržištu zbog relativno niskog bandwidtha, a isto tako i dometa. Glavna prednost bila joj je niska cena ali i to kasnije, nakon pada cena 802.11 uređaja, nije previše značilo.

IrDA
IrDA je skraćenica od Infrared Data Association. To je standard kontrolisan od strane IrDA consortium –a. IrDA specifikacije obuhvataju i fizičke uređaje ali i protokole koje ih povezuju. IrDA je wireless tehologija koja se ugrađuje u uređaje koji zahtevaju bežični prenos malih količina podataka. Zbog relativno niske cene ove tehnologije ugrađuju se u mnoge satove, PDA, telefone, laptope, tastature, miševe itd. Mada je u zadnje vreme ugrožena sa strane Bluetooth tehnologije IrDA ne ide nigde još neko vreme. Primer IrDA okoline IrDA –ina snaga je u svestranosti. Ona je standard sam za sebe što rezultuje jednostavnu i jeftinu ugradnju u skoro bilo šta. Ali uz to ima i velike nedostatke što ga ograničava u funkcionalnošću. IrDA koristi vremenski pulsirajući snop svetla za prenos podataka. Paleći i gaseći ta svetla ona prenosi bit po bit tako sve do 4Mbps. Ovo je dovoljno za neke uređaje ali za mnoge nije jer se podaci od par MB prenose par minuta i sve to ako su jedan do drugoga.

8

Wireless tehnologija

IrDA kao prenosni medij koristi svetlo što znači da ništa ne sme sprečavati vidljivi pravac između dva uređaja. Isto tako zna se desiti da je osetljiva na jako osvetljene prostore zbog frekvencije treperenja diodica. Sve te stvari vrlo lako dovedu do grešaka u prenosu. Uz sve to udaljenost za normalan rad IrDA –e ne bi smeo prelaziti 1m. To su glavne prepreke daljeg velikoga razvoja IrDA –e.
IrDA izvor svetla

9

Wireless tehnologija

Pregled bežičnih sistema

Uvod

Ćelijski sistem upošljava drugačiji pristup dizajnu od većine komercijalnih, koje radio i televizijski sistemi koriste. Radio I televizijski sistemi tipično rade sa maksimalnom snagom I sa najvišim antenama koje dozvoljava regulatorna agencija neke zemlje. U ćelijskom sistemu područje usluga je podeljeno u ćelije. Transmiter je konstruisan da služi individualnu ćeliju.Sistem teži da efikasno iskoristi kanale koristeći transmitere slabe moći kako bi omogućili ponovno korišćenje frekvencije na manjim daljinama.POvećavajući broj puta korišćenja nekog kanala, predstavlja ključ efikasnog ćelijskog sistema. U proteklih trideset godina bilo je dosta promena u telekomunikacijskoj industriji.Bilo je neverovatnih aspekata u brzom napredovanju bežične komunikacije kao što možemo videti u brzom razvoju mobilne teklefonije.Bežični sistemi se sastoje od bežičnih mreža koje pokrivaju ogroman prostor (WWAN)tj.ćelijskih sistema,bežičnih lokalnih mreža (WLAN) 4, i bežičnih personalnih mreža(WPAN)-vidi figuru 1.1-17.Telefoni koji se koriste u ovim sistemima su veoma složeni ali isto tako i mali,troše malo energije,cena proizvodnje je mala a široko su korišceni.Skorašnja napredovanja u razvoju interneta je povećala njegovo korišćenje.to je imalo uticaja i na mobilne sisteme pa se javio i mobilni internet i on se dosta koristi.

Podaci koji su na dostuni preko bežičnih sistema evolviraju tako da nam udovolje što je više moguće pa je tako internet postao oruđe koje se svakodnevno upotrebljava i uslužuje široke mase.Više od ¾ korisnika interneta su bežični korisnici a i mobilni korisnik će 4 puta više koristiti internet od onoga ko nije korisnik.
10

Wireless tehnologija

Ovakvo interesovanje za obe industrije podstiče potrebu korisnika za promenjenim uslugama.Sa više od bilion korisnika interneta koji se očekuju tokom 2008.potencijalno tržište za bežične usluge je veoma veliko.

Bežični sistemi

Kratak domet: slabe jačine

Velika razdaljina:velike jačine

Bežična personalna mreža WPAN 1. 2. 3. 4. 5.

Bežična mreža šireg područja WWAN *2G *GSM 9,6 kbps *PDC *GPRS (114 kbps) *PHS (64 kbps do 128 kbps)

*Bluetooth (1Mbps) *Ultra wideband (UWB) (>100 Mbps) *Senzorne mreže *IEEE 802.15.4, zigbi *3G (cdma2000 WCDMA384kbps do 2Mbps)

SREDNJEG DOMETA : srednje jačine Bežična lokalna mreža WLAN

*Kuća RF (10 Mbps) *IEEE 802.11 abg (108 MBps) [802.11a 2x model] PDC- personalni digitalni telefon (Japan) GPRS-generalni džepni radio sistem usluga PHS-personalni ručni tele sistem (Japan)

11

Wireless tehnologija

U ovom poglavlju ćemo ukratko govoriti o 1G,2G,2.5G i 3G ćelijskim sistemima i ukazaćemo na trenutne standardne aktivnosti u Evropi,Severnoj Americi i Japanu.Takođe ćemo uvesti i šire sisteme(4G)-figura1.2 kojima je cilj integrisanje WWAN,WLAN i WPAN.

Prva i druga generacija ćelijskih sistema

Prvu i drugu generaciju ovih sistema čini WWAN.Prvi javni ćelijski telefonski sistem(prva generacija 1G) nazvan Napredni mobilni telefonski sistem(AMPS) 8,21- se pojavio 1979 godine u Americi.Tokom 1980 nekoliko inkompatibilnih celularnih sistema (TACS,NMT,C450)se pojavilo u Zapadnoj Evropi.Razvoj ovih sistema je doveo do kreiranja telefona za jedan sistem koji se nisu mogli koristiti u drugom sistemu,i roaming između mnogih zemalja Evrope nije bio moguć.Ovi prvi sistemi su bili dizajnirani za glasovne aplikacije.Analogna frekvencijska modulacija (FM) je korišćena za radio transmisiju.1982.godine ,glavno vladajuće telo evropske pošte,telefona i telegrafa (PTT), je stvorilo komitet poznat kao Group Special Mobile (GSM) koji je imao zadak da definiše mobilni sistem koji će biti uveden širom evrope 1990. GSM (kasnije nazvan Globalni sistem za mobilnu komunikaciju),je dao evroskoj komunikacijskoj industriji domaće tržište od oko 300 miliona korisnika a u isto vreme i određeni tehnički izazov.Rane godine GSM-a su uglavnom obeležene selekcijom radio tehnologija za air-vazdušni interfejs. Interfejsi,protokoli i interfejs skladišta su u skladu sa principima Open sistema interkonekcija (OSI). GSM arhitektura je otvorenog tipa što omogućava maksimalnu nezavisnost između mrežnih elemenatakao što je Base Station kontroler (BSC), mobilni centar prebacivanja (MSC) i kućni registar(HLR).GSM 900 (na 900 MHz) je usvojen u mnogim zemljama –veći deo Evrope,severna Afrika,srednji Istok,neke azijske zemlje i Australija.U većini slučajeva aranžmani oko roaminga su utvrđeni kako bi omogućili svojim korisnicima komunikaciju kada putuju.
12

Wireless tehnologija

Naravno oni koriste svoj postojeći broj i račun.Kasnije se javio GSM 1800 pa 1900 tako šireći broj zemalja koji ga koriste.GSM 1900 se koristi u severnoj Americi. Svi ovi sistemi koriste neku vrstu roaminga poznatu kao roaming modula identiteta korisnika (SIM) između njih i drugih sistema zasnovanih na GSM.Korisnik iz bilo kog sistema može pristupiti telekomunikacijskim uslugama koristeći personalnu SIM karticu i telefon koji pokriva određena mreža.Ako korisnik ima telefon koji ima opciju više namenskog opsega onda ga može koristiti širom sveta. Ovakva globalizacija je omogućila GSM-u da postanu vodeći takmičari u pružanju digitalnih celularnih i Usluga personalne komunikacije (PCS). PCS sistemi nude multimedijalne usluge bilo kada i bilo gde.GSM 900,GSM1800 i GSM 1900 predstavljaju drugu generaciju sistema.Bežična telefonija 2 (CT2) takođe ripada ovoj generaciji koja se koristi u Evropi za nisku mobilnost.Dve digitalne tehnologije, Time Division Multiple Accsess (TDMA), i Code Division Multiple Accsess (CDMA) su proizašle iz PCS sistema.CDMA je digitalna tehnologija koja se najbrže razvija.Ona je napredna tehnologija koja može ponuditi 6-8 puta više kapaciteta analognih tehnologija (AMP) i 4 puta kapaciteta TDMA.

Celularna komunikacija od 1G do 3G

Mobilni sistemi su se menjali sa svakom novom generacijom na svakih deset godina ili manje.Telefoni prve generacije su bili veoma veliki,sve analogne komponente kao što su amplifajer jačine,sintetizer i antena su takođe bili nezgrapni.Smanjivanje mobilnih telefona se pojavilo nogo pre javljanja druge generacije.Telefoni 1G su davali loš kvalitet glasa,malo vremena za razgovor i malo stend by vremena-baterija slabo držala. 2G sistemi zasnovani na TDMA i CDMA su prvenstveno dizajnirani da poboljšaju kvalitet glasa i omoguće nove opcije.I za telefone 2G sistema su se javila tri ogromna problema-metod korišćenja kompresije glasa-koji metod upotrebiti?

13

Wireless tehnologija

Da li koristiti linearnu ili nelinearnu šemu modulacije i kako tretirati kašnjenje raprostranjivanja u više pravaca koje stvara rasprostranjivanje radio talasa u više pravaca gde dolazi ne samo do preskakanja neke faze nego i vremenske razlike između direktnih i reflektovanih talasa.Na brzi razvoj Digitalnih Signalnih procesora (DSPs) je uticao razvoj glasovnih kodova mobilne okoline koji su se bavili greškama.Povećanje broja korisnika i briga oko širokog spektra izvora je dovelo do izbora linearnih modulacionih sistema.

3G mobilni sistemi su se bavili načinom kako učiniti mrežu ekonomičnijom i dizajnom radio transmisije koja će obezbediti neprestanu uslugu-bez prekida –iz perspektive korisnika.Ovi sistemi obezbeđuju neprekidan pristup fiksnoj mreži podataka.3G sistemi su imali za cilj da obezbede multimedijalne usluge uključujući glas,podatke i video.Razlika između 2G i 3G sistema se sastoji u hijerarhijskoj ćelijskoj strukturi dizajniranoj da podrži širok opseg multimedijalnih usluga u okviru različitih tipova ćelija koristeći naprednu tehnologiju transmisije i protokola.2G sistemi večinom koriste ćeliju jedne vrste i ponovno korišćenje frekvencije u okviru okolnih ćelija na način atko da svaka predstavlja svoju radio zonu i kontrolu tradio kola u okviru mobilne mreže.Višeslojna struktura 3G sistema nastoji da prevaziđe ove probleme slažući ćelije jedne na druge.

Bežični 4G sistemi

4G mreže možemo definisati kao bežične ad hoc ravnopravne mreže sa velikom stopom iskorišćenosti i globalnim roamingom,distribuisanim kompjuterisanjem,personalizacijom i multimedijalnom podrškom.Ove mreže će koristiti distribuisanu arhitekturu i end-to-end internet protokol (IP).Svaki uređaj će biti u isto vreme i transmiter i ruter za druge uređaje u mreži eliminišući nedostatke 3G sistema.Mrežna pokrivenost/kapacitet će se dinamično menjati kako bi se prilagodila obrascima korišćenja korisnika.Korisnici će automatski izbegavati zagušene rute dozvoljavajući mreži da dinamično i automatski se sama prilagodi.U skorije vreme nekoliko bežičnih tehnologija širokog spektra su se razvile da dostignu visoke stope podataka i kvalitet usluga.

14

Wireless tehnologija

Navini Networks su razvili bežični sistem zasnovan na TD-SCDMA.sistem nazvan Ripwave-sekač talasa,koristi formiranje snopa-mlaza kako bi omogućili korisnicima u raznim sektorima simultano korišćenje većine spektrovnog opsega. Mlazno formiranje dozvoljava spektru da bude efektivno korišćen iznova i iznova u zagušenoj okolini bez upotrebe dodatnih sektora.Ripwave sistem varira između QPSK 16 i 64 QAM koji dozvoljava sistemu da se rasproste do 9.6 Mbps koristeći samo 1.6 MHz TDD prenosnik(kerier).Trenutno ovaj sistem isprobavaju neke tele kompanije u Americi.Ripwave korisnička oprema ima veličinu modema i sadržanu antenu. Takođe su PC kartice za laptop postale dostupne dozvoljavajući veću nosivost korisniku.I mnoge druge tehnologije su razvile svoje sisteme-Flarion Technologies promoviše svoju Flash-OFDM; tu je Beamreach,IPWireless,SOMA networks.Kako se dalje razvijaju bežični sistemi to će i kvalitet i ponuda usluga biti sve bolja i bolja.Korisnici će stalno biti povezani sa mrežom kroz sopstveni terminal po izboru.Bežični sistemi posle 3G će se sastojati od slojevite kombinacije različitih tehnologiha pristupa:

● celularni sistemi(npr postojeći 2G i 3G) ●WLANs za određenu aplikaciju kod kuće (IEEE 812.11a, 812.11b, 812.11g) ●Široka interoperabilnost za pristup mikrotalasa (WiMAX) (812.16) za mtropolitanska područja ●WPANs za aplikacije kratkog dometa i male mobolnosti kroz kancelariju ili kod kuće-bluetooth

Ovi sistemi će biti povezani preko zajedničke IP mreže koja će se baviti i radom između drugih sistema.Sržna mreža će omogućiti inter i intra pristup.Brzina 3G sistema je bila 10 puta veća od 2G i 2.5G sistema.4G sistemi će biti daleko brži od 3G sistema.Ići će u korak sa napretkom i razvojem 21 veka.

15

Wireless tehnologija

Standardizovane aktivnosti za celularne sisteme

Standardizovane aktivnosti za PCS u Severnoj Americi su izvele zejednički tehnički komitet (JTC) zadužen za bežični pristup koji čine sopstvene grupe iz T1 komiteta-jedinicu Saveza za Telekomunikacijska Industrijska Rešenja (ATIS) i inžinjerskog komiteta (TR46)-jedinicu Telekomunikacijske Asocijacije (TIA). JTC je formiran novembra 1992 i njegov prvi zadatak je bio da razvije niz kriterijuma za PCS air interfejs.JTC je formirao sedam tehničkih ad hoc grupa (TAGs) marta 1994.jednu za svaki interfejs predlog. TAGs su načinile dokument specifikacija za određene interfejs tehnologije i vodile legalizovanje i verifikovanje kako bi osigurali doslednost sa kriterijumima koje je postavio JTC.To je praćeno glasanjem o svakom o standardu.Posle glasanja četiri od predloženih standarda su usvojena kao ANSI standardi:IS-136based PCS,IS-95-based PCS, GSM 1900 i Personalni Akses-pristupni Komunikacijski sistem (PACS).Dva od predloženih standarda –skup CDMA/TDMA i Oki’s široki spektar CDMA –su usvojena kao probni standardi ATIS-a i u međuvremenu kao standardi TIA.Tabela 1.4 nam daje pregled poređenja sedam tehnologija koristeći set parametara koji uključuju metode pristupa,duplex metode,širinu spektra po kanalu,prolaz kroz kanale,maksimalnu snagu outputa po jedinici pretplatnika-korisnika,vocoder i minimalni i maksimalni opseg ćelija.3G sistemi su standardizovani pod okriljem Internacionalne Telekomunikacijske Unije (ITU).Glavni predlozi ITU Internacionalnoj Mobilnoj Telekomunikaciji 2000 (IMT 2000)su:ETSI-UMTS Terrestrial Radio pristup (UTRA),ARIB WCDMATIA cdma2000 i TD-SCDMA.

Ovi sistemi treće generacije će obezbediti potreban kvalitet multimedijalne komunikacije.Zahtevi IMT -2000 su :384kbps za celokupnu pokrivenost (144kbps za brza vozila koja se kreću između 120 i 500km/h) i 2Mbps za lokalnu pokrivenost.ETSI je prihvatio WCDMA rešenje koristeći FDD modul.U japanu ovo rešenje je prihvaćeno i za TDD i FDD module.U Koreji dva različita CDMA rešenja su ponuđena-jedno zasnovano na WCDMA slično onome u Evropi i Japanu i drugo slično cdma2000 u Severnoj Americi.Nekoliko grupa koje su radile na sličnim tehnologijama je udružilo svoje izvore.

16

Wireless tehnologija

To je dovelo do stvaranja dve grupe standarda-partnerski projekat treće generacije-3GPP i 3GPP2.3GPP radi na UMTS koji je baziran na WCDMA a 3 GPP2 radi na cdma2000.IEE standard komitet 802.11je odgovoran za WLAN.Postoje dva IEE komiteta koja odlučuju o sertifikovanju bežičnih tehnologija.802.16x je fokusiran na bežičnu metropolitan mrežu (WMAN) koristeći CDMA i OFDM tehnologije.802.16x dozvoljava nosivost i brzinu podataka od 1Mbps.Novoformirani 802.20 komitet se fokusira na mobilnu mrežu (MWAN).Worldwide Interoperability for Microwave Access (WiMAX) Forum je neprofitna vladina organizacija koja radi na olakšavanju pokretanja bežičnih mreža širokog spektra zasnovanim na 802.16e standardima. U ovom poglavlju smo govorili o bežičnim mrežama i 1G,2G/2.5G,3G sistemima. Prednost bežične mreže je evidentna.Korisnici nisu ograničeni na mesto povezivanja nego imaju veću mobilnost što odgovara zahtevima današnjice.Pričali smo i o WPAN,WLAN i WAN.

Wireless Pretnje

Uvod
Wireless mreža je kao i svaka mreža dostupna raznim vrstama napada. Neki su isti kao i na konvencionalne (žičane) mreže dok su neke nastale isključivo za wireless. Ovde ću ukratko navesti principe i pretnje s kojima se možemo susreti u wireless svetu.

Sniffing
Snifer je program koji prati celokupan rad na mreži. On vrlo lako određuje odakle je paket došao, kome je namenjen i šta je uopšte u tom paketu. Uz dobro podešene filtre može posmatrati samo određene podatke npr. username i password, e-mail poruke, web stranice i slično. Neki sniferi idu čak toliko daleko da mogu rebuild -ati poslate podatke u prvobitno stanje tako da osoba sa pokrenutim programom dobije isto ono što je i user na drugom računaru. Mada je snifer vrlo moćan alat za sistem administratore isto tako pa čak i više koristi hackerima. On pruža potpuni uvid u topologiju mreže, ip adrese, podatke poslane preko mreže, passworde itd.
17

Wireless tehnologija

Sniferi rade tako da NIC(network interface cards) prebacuju u takozvani promiscuous mode. Kartica u tom modu prima sav rad preko mreže bio on namenjen njoj ili ne. Kod wireless sastava stvar je još komplikovanija. Potpuno je nepotrebno imati pristup mreži kao što je to potrebno za pređašnji slučaj. Signal wireless –a je svugde oko nas i sve što trebamo je možda okrenuti antenu u dobrom smeru i pokrenuti wireless snifere u takozvanom monitor modu. Za taj mod nije potrebno imati pristup mreži nego jednostavno pratiti što se dešava na određenim frekvencijama. Zaštita od monitor moda je nemoguća pošto takva WNIC kartica uopšte ne komunicira sa našom mrežom ali protiv promiscuous mode –a postoji u obliku programa koji mogu to detektovati. Jedan takav program je i Antisnif. Ali 100% sigurnost je vrlo teška pa je jedino sigurno rešene tuneliranje podataka. Na slici primer je jednog od najpoznatijih mrežnih snifera na delu. U njemu se može videti sve od ARP request –a do samih podataka koji su prošli mrežom.

Spoofing and Session Hijacking
Spoofing je naziv za čin lažiranja informacija poslanih nekom računaru. Uz sam naziv često se dodaje i način lažiranja npr. MAC Spoofing i slično. Bilo kako bilo funkcija mu je uvek ista, maskirati napadača.
18

Wireless tehnologija

Spoofing se često izvodi uz neke druge napade, tipa DoS ili Flood mreže, za skrivanje vlastitog identiteta. Ali prava snaga mu se vidi u postupku zvanom Session Hijacking. Hacker se tu pretvara da je neko drugi iz razloga da dobije podatke namenjene upravo tom nekom drugom.

Buffer Overflows
Buffer Overflow je napredna hack tehnika. Ona je trenutno jedna od vodećih sigurnosnih ranjivosti uopšte. Ono što se zapravo njome može uraditi je pokretanje malicioznog koda na napadačevom računaru. Uspešnim napadom, među ostalim, možemo dobiti potpunu kontrolu tog računara. Ovaj napad se izvodi tako da se programu koji kada se pokrene i smesti u svoj deo RAM prostora, dodeljen samo njemu, pošalje više podataka nego što on može primiti. U tom trenu memorijski prostor tih podataka prelazi u nedozvoljeno RAM područje. U uspešnom napadu to prelevanje dovodi do čitanja nove instrukcije smeštenih u memoriji i daje hackeru ono što je zamislio. Mada je vrlo teško napraviti uspešan Buffer Overflow napad i neuspeli može biti opasan. Dobije li naš program podatke koje nije očekivao odnosno koje jednostavno ne zna obraditi može se zamrznuti i srušiti. Mada je to mali problem na desktop računarima na serverskim bi moglo predstavljati veće probleme. Postoje gotovi programi, koje i deca mogu pokrenuti, za izvođenje ovakvih napada. Tako da ovaj napad predstavlja još veći problem jer ga bilo ko može izvesti.

Denial of Service Napad (DoS)
Hacker može biti opasan i uopšte ne ulazeći u naš računar. On može vrlo uspešno ugasiti naš računar ili jednostavno ometati mu rad izvan. Najpoznatiji takav napad je takozvani DoS ili u prevodu uskraćivanje servisa (usluge). Izvodi se najčešće Flood –ovanjem ili Buffer Overflow tehnikama s ciljem rušenja sistema. Najpoznatiji DoS napadi su SYN Flooding, Smurf Attacks te System Overloads napadi. SYN napad iskorišćava TCP/IP handshaking protokol. Svaki računar ima određeni broj omogućen za spajanje klijenata. Ovo se može iskoristiti tako da se sa više računara u isti čas pošalje SYN paket sa lažnom povratnom adresom. Napadnuti računar odgovara na SYN sa SYN ACK i čeka odgovor nazad. Taj odgovor nikada neće doći zbog lažne povratne adrese. I dok on čeka na odgovor dobija novi talas SYN paketa i tako u krug.

19

Wireless tehnologija

Smurf Attacks iskorišćava broadcast komunikaciju tako što pošalje nekoliko hiljada paketa sa, naravno, pogrešnom povratnom adresom na koje će svaki računar odgovoriti jer je to broadcast paket. Od jednom 1000 paketa postaje nekoliko stotina hiljada paketa. I dođu li ti svi paketi na neku određenu adresu zagušenje ili pad tog računara je neizbežan. Za ovaj napad mora se imati pristup mreži pošto broadcast paketi ne mogu biti poslati preko vanjske mreže. System Overloads je napad na program pokrenut na računaru. Ako napadač poznaje određeni program i zna za neki nug on može vrlo brzo srušiti naš računar. Poznat je ovakav napad na web servere koji su padali u roku od dve sekunde zbog određenih http zahteva. Ovaj se napad često izvodi Buffer Overflow tehnikama kome je cilj rušenje sistema. Ovo je zato mnogo lakši napad nego puni Buffer Overflow.

Lociranje wireless mreža
Ovo samo po sebi i nije napad ali vrlo lako kasnije može dovesti do napada. Da bi neko mogao napasti wireless mrežu prvo mora saznati da ta mreža uopšte postoji i gdje se nalazi. Za to pronalaženje i lociranje mreže postoje sada već profesionalni uređaji veličine privezaka. Sve to može se i postići dobrim starim načinima kao širom otvorene oči. Da bi neko opravdano posumnjao da je tu neka wireless mreža dovoljno je videti Ap ili antene koje bi mogle sugerisati na postojanje wireless opreme.

20

Wireless tehnologija

Ova slika slikana je na jednom železničkom koloseku. Ta je mreža možda javna ali možda i nije pa to može dovesti do nepotrebnih izlaganja opasnosti. Uz ovaj način postoje i malo sofisticiraniji načini kao skeniranje područja alatima poput NetStumblera ili War Driving tehnika. Od svih tehnika daleko je najjači War Driving. War Driving je spoj običnog skeniranja područja sa recimo NetStumblerom i prevoznog sredstva. S tom tehnikom se može skenirati područje celog grada u vrlo kratkom roku. Napredni War Driver –i danas već koriste i GPS pa se tako pronađeni rezultati automatski ucrtavaju u kartu. Mnogi rezultati up-loadaju se na Internet pa je i razmena podataka vrlo lako izvodljiva. Ove tehnike potpuno su legalne i ne možemo ih nikome zabraniti ali postoji rešenje koje radi sa alatima poput NetStumblera. Isključivanje Beacon signala na našem AP –u Stumbler nas neće otkriti a naši će se korisnici i dalje moći spajati. Ovo je dobro rešenje za određene vrste alata koji rade na otkrivanju AP –a pomoću beacon frameova,ali postoje i alati koji pasivno prisluškuju frekvencijski spektar i protiv njih ovo ne bi radilo.

21

Wireless tehnologija

802.11 Wireless Security Metode Uvod
Nakon svih tih nabrojanih pretnji i hacking metoda došlo je i vreme za zaštitne metode i protokole. Ovde ćemo ukratko opisati pozadinu svega toga, njihove prednosti i mane i slično. Poznavanje ovih metoda uveliko nam pomaže u kvalitetnom osiguranju wireless mreže.

Kriptografija
Pre nego što počnemo o samim metodama nešto o Kriptografiji. Kriptografija je nauka o algoritmima za enkripciju i dekripciju. Algoritam predstavlja set instrukcija koje treba napraviti da se dođe do nečega. On znači ima svoj početak i svoj kraj. Ekripcija je jednostavno dovođenje poruke u nerazumno stanje. Suprotno tome je dekripcija. Postoje dve glavne vrste enkripcije, simetrična i asimetrična. Svaka ima prednosti i mane te se stoga koriste na određenim područjima.

Simetrična enkripcija
U njoj su enkripcija i dekripcija obavljene koristeći isti ključ. One su puno brže od asimetričnih ali zavise o tome koliko je password dobro sakriven. Mada i o tome zavise i jedna i druga tu je to puno više izraženo. Jednom pronađeni password omogućuje dekripciju bilo koje sledeće enkriptirane reči.

Asimetrična enkripcija
Ova je vrsta enkripcije puno kompleksnija, sigurnija je, ali je i puno sporija. Temelji se na dva ključa, takozvani privatni i javni ključevi. Privatni je poznat samo nama i njegovo kompromitovanje predstavlja potpun gubitak sigurnosti. Nemoguće ga je obnoviti ako se izgubi jer jednostavno niko ne zna za taj ključ osim vas. Javni ključ se dobije iz privatnoga s time da je obrnuti postupak nemoguć. Ovaj ključ nam služi da bi ga javno objavili. Dakle svi ga mogu videti i on ne predstavlja nikakvu tajnu. Jednom enkriptirana poruka našim javnim ključem može se dekriptirati jedino našim privatnim ključem i tu je snaga ovakve enkripcije.

22

Wireless tehnologija

Zaključak
Želimo li osigurati naše podatke tako da ih niko ne može čitati enkripcija je jedini pravi izbor. Ovo se očitava upravo u wireless sastavima. Dok je za žičane mreže trebalo kako tako fizički doći do mreže, u wirelessu se dešava upravo obrnuto. Mreža je tu, doslovce došla u stan potencijalnog napadača. Pokretanje snifera je postupak od nekoliko sekundi i u tom trenu naši podatci postaju vidljivi bilo kome.

RC4
RC4 je trenutno temelj wireless zaštita. To će i ostati dok AES ne uđe u široku primenu. Bilo kako bilo to je vrlo jak algoritam i sa trenutnom tehnologijom bi trebale godine da se probije kodirana poruka. Ono što je glavna prednost RC4 je velika brzina za relativno veliku sigurnost. RC4 algoritam razvio je Ron Rivest 1987. godine za RSA Data Security, Inc. Algoritam je bio tajan sve do 1994. godine kada je izvorni kod algoritma anonimno objavljen na Internetu.

RC4 je simetrični znakovni (engl. stream) algoritam – svaka reč kodira i dekodira se posebno. Najčešće se koristi reč dužine jedan bajt. Ključ koji se pri tome koristi može biti dužine do 256 bajtova. Algoritam generiše niz pseudoslučajnih brojeva proizvoljne dužine . XOR mešanjem tog niza sa podacima dobija se kodirani niz. Na prdenjoj strani generiše se isti niz pseudoslučajnih brojeva (prednja strana koristi isti ključ) i XOR meša sa kodiranim nizom. Zbog svojstva (p XOR z) XOR z = p prednja strana nakon toga dobija izvorne podatke.

23

Wireless tehnologija

Generisanje niza izvodi se u dva koraka. Prvi korak (engl. KSA – Key Scheduling Algorithm) inicijalizuje S-kutiju. U drugom koraku (engl. PRGA – Pseudo Random Generation Algorithm) korišćenjem inicijalizirane S-kutije generiše se niz pseudoslučajnih brojeva. Inicijalizacija S-kutije je parametrizirana ključem enkripcije prema sledećem algoritmu: KSA(K): Inicijalizacija: for i = 0 ... N-1 S[i] = i j=0 Mešanje: for i = 0 ... N-1 j = j + S[i] + K[i mod l] zameni(S[i], S[j]) U prvom delu KSA algoritma S-kutija (koji predstavlja permutaciju niza 0 ... N-1) se postavlja u početno stanje – identitet. S-kutija preslikava svaki broj u samoga sebe. U drugom delu KSA algoritma korišćenjem dva brojača (i,j) obavlja se mešanje. Brojač i se pomera linearno, dok se j menja pseudoslučajno (zbog S[i]) i zavisno od ključa (zbog K[i mod l]). U svakom koraku zamenjuju se elementi Skutije na koje pokazuju brojači. Važno je napomenuti da se sve operacije sabiranja obavljaju modulom N. Ovaka inicijalizacija S-kutija koristi se za generisanje pseudoslučajnog niza u PRGA algoritmu: PRGA(S): Inicijalizacija: i=0 j=0 Generisanje pseudoslučajnog niza: i=i+1 j = j + S[i] zameni(S[i], S[j]) generiši z = S[S[i] + S[j]] Prvi deo PRGA algoritma inicijalizuje brojače na nulu. S-kutija je inicijalizuje u prethodnom koraku (KSA). Nakon toga brojači se povećavaju: i linearno, j pseudoslučajno. Vrednosti u S-kutiji na koje pokazuju se zamenjuju i generiše se jedna reč pseudoslučajnog niza (z). Tokom generisanja pseudoslučajnog niza Skutija se zbog zamene elemenata i dalje polako menja. Brojači i i j, te S-kutija predstavljaju stanje algoritma. Različitih stanja ima N!N2 (broj različitih permutacija S-kutije * broj različitih vrednost brojača i * broj različitih vrednosti brojača j). Za n=8 (tj. N=256) postoji oko 21700 različitih stanja. Zbog toga je otkrivanje stanja algoritma korišćenjem grube sile neisplativo.

WEP

24

Wireless tehnologija

Logično je da su wireless prenosi dostupni kako nama tako i nekome drugome. Širenje wireless signala vrlo je teško ograničiti na neko malo područje, pogotovo pri većim udaljenostima. Upravo radi ovih razloga je 802.11 od samog početka uključivao jednu vrstu zaštite, tačnije rečeno uključivao je wep zaštitu. Wep (Wired Equivalent Privacy) definiše set instrukcija i pravila po kojima bežični podatci mogu putovati vazduhom na siguran način. Kada se tek pojavio verovalo se da će wep pružati dosta veliku sigurnost naspram hackera. No sa rastom popularnosti wireless mreža one su se počele koristiti unutr škola. Tada su počeli glavni problemi. Walker 2000 (Walker, J. 2000. Unsafe at any key size; an analysis of the WEP encapsulation. IEEE 802.11-00/362), Arbaugh 2001 (Arbaugh, W. A., N. Shankar, and J. Wan. 2001. Your 802.11 network has no clothes. In Proceedings of the First IEEE International Conference on Wireless LANs and Home Networks), Borisov 2001 (Borisov, N, I. Goldberg, and D. Wagner. 2001. Intercepting mobile communications: the insecurity of 802.11. In Proceedings of the Seventh Annual International Conference on Mobile Computing and Networking) su pokazali da je wep potpuno podbacio. Pri stvaranju wepa zbog brzine integracije vrlo je malo kriptografskih stručnjaka saradjivalo u njegovom stvaranju odnosno odobrenju. Upravo u tome mnogi vide razlog da wep ima tako ogromne propuste.

O WEP algoritmu
WEP kao osnovu koristi RC4 algoritam. Ključ kojim se inicijalizuje RC4 algoritam sastoji se od dva dela: inicijalizatorskog vektora (engl. IV – Initialization Vector) i tajnog ključa. Tajni ključ (često nazivan WEP ključ) poznat je svim ovlašćenim korisnicima mreže i jednak je za sve korisnike. Distribucija tajnog ključa nije definisana standardom i najčešće se obavlja “ručno”2. Inicijalizatorski vektor obično je različit za svaki okvir, dok je tajni ključ stalan. Posledica toga je da za okvire sa različitim IV-om RC4 generiše različite nizove pseudoslučajnih brojeva. IV je dužine 3 bajta te se nakon nekog vremena nužno mora dogoditi ponavljanje. Da bi prijemna strana mogla dekodirati sadržaj okvira, IV se šalje nekodiran u zaglavlju okvira. Radi zaštite okvira od izmena, za sadržaj okvira računa se CRC32 suma (engl. ICV – Integrity Check Value) i kodira zajedno sa podacima. Prijemna strana nakon dekodiranja računa ICV za sadržaj okvira i upoređuje ga sa ICV-om dobijenim nakon dekodiranje okvira.

25

Wireless tehnologija

Zaglavlje okvira sadrži i identifikator korišćenog tajnog ključa. Identifikator je dužine 2 bita pa je moguće istovremeno koristiti 4 različita tajna ključa. Ukoliko se u mreži koristi više ključeva bitno je da na svim uređajima isti tajni ključevi budu pridruženi istim identifikatorima. Ako, na primer, uređaj A kodira okvir tajnim ključem sa identifikatorom 2, tada uređaj B mora imati isti ključ pridružen identifikatoru 2 da bi mogao ispravno dekodirati sadržaj okvira. Prema tome, identifikatori tajnog ključa predstavljaju indekse polja tajnih ključeva. Standard 802.11 opisuje i korišćenje različitih WEP ključeva za različite MAC adrese. Ta mogućnost obično nije dostupna preko uobičajenog Web sučelja pristupne tačke (eventualno samo preko SNMP-a), pa se retko koristi. WEP ključevi mogu biti dugi 40 bita (dodavanjem IV-a dobiva se 64 bitni RC4 ključ) ili 104 bita (128 bitni RC4 ključ).

802.1X Uvod
802.1X koncept je zapravo vrlo jednostavan. Njegov je zadatak da implementira access kontrolu u tački u kojoj korisnik pristupa mreži. Ta tačka se često naziva i port. Iako je ovaj standard nastao nakon 802.11 standarda, našao je široku primenu unutar naprednijih wireless sastava. Ubuduće 802.11i će još više doprinieti raširenosti ovog standarda u wireless svetu.

26

Wireless tehnologija

O IEEE 802.1X
IEEE 802.1X standard, Port Based Network Access Control, definiše mehanizme za portno orijentisanu kontrolu mrežnom pristupu te korišćenje fizičkog pristupa karakteristikama IEEE 802 LAN infrastrukture. On omogućava sredstva za autentifikaciju i autorizaciju uređaja spojenih na LAN port koji ima karakteristike point-to-point veze. On takođe onemogućava pristup u slučaju u kojem autentifikacija i autorizacija nisu uspešno provedene. Ovaj standard je prvo razvijen za ožičene ethernet mreže, ali je kasnije prilagođen za korišćenje na 802.11 bežičnim mrežama (WLAN). Ovo uključuje mogućnost da pristupna tačka WLAN-a distribuira ili dobije global key information za/od priključenih stanica pomoću EAPOLporuke s ključem. IEEE 802.1X definiše sljedeće pojmove: • Entitet za portni pristup ( Port access entity ) • Autentifikator • Pristupnik ( Supplicant ) • Autentifikacijski server 1.1. Entitet za portni pristup Port access entitiy (PAE), takođe znan i kao LAN port, je logički entitet koji podržava IEEE 802.1X protokol koji je pridružen portu. LAN port može preuzeti ulogu autentifikatora, pristupnika ili oboje. Svaki od portova komunicira jedan na jedan sa portom na stanici. Autentifikator je LAN port koji prisiljava na izvođenje autentifikacije pre dopuštanja pristupa uslugama kojima se pristupa preko porta. Autentifikator je odgovoran za komunikaciju sa pristupnikom te za prosleđivanje informacija dobijenih od pristupnika odgovarajućem autentifikacijskom serveru. Ovo omogućava verifikaciju pristupnikovih prava te određivanje stanja porta. Važno je primetiti da funkcionalnost autentifikatora ne zavisi o autentifikacijskoj metodi. On funkcioniše kao prolaz za izmenu autentifikacija. Za bežične mreže, autentifikator je logički LAN port na bežičnoj pristupnoj tački (access point - AP) kroz koju klijenti sa bežičnim pristupom deluju za dobijanje pristupa ožičenoj mreži. Pristupnik je LAN port koji zahteva pristup uslugama kojima se pristupa preko autentifikatora. Pristupnik je odgovoran za odgovaranje na zahteve autentifikatora kojima traži informacije za potvrđivanje autentičnosti. Kod bežičnih mreža pristupnik je logički LAN port na bežičnom mrežnom adapteru koji zahteva pristup mreži. To radi prvo povezivanjem a autetifikatorom, a zatim i autentifikacijom. Bez obzira koristimo li ožičene ili bežične mreže, pristupnik i autentifikator su logički ili fizički spojeni kao point-to-point LAN segment. Autentifikacijski server Da bi potvrdili autentičnost pristupnika, autentifikator koristi autentifikacijski server. Autentifikacijski server proverava pristupnikova prava na pristup i odgovara autentifikatoru. Autentifikacijski server može biti: • komponenta pristupne točke (Access Point - AP). AP mora biti konfiguriran setom korisnikovih kredibiliteta koji odgovaraju klijentima koji se pokušavaju spojiti na mrežu.

27

Wireless tehnologija

Tipično, ovo se ne implementira kod bežičnih AP. • posebni entitet. AP prosljedjuje kredibilitet od pokušaja pristupa posebnom autentifikacjskom serveru. Tipično, bežični AP koristi Remote Authentication Dial-In User Server (RADIUS) protokol za slanje parametara pokušaja pristupa RADIUS-u.

Kako radi IEEE 802.1X
Princip rada 802.1X često se uspoređuje sa preklopnikom (en. Switch). Kada se neko spoji sklopka je otvorena i on ne može ući u mrežu. Da pristupi mreži on mora tražiti odobrenje. Ako ga dobije onda može uči u mrežu.

Očito je da ako nema pristup mreži on ne može nikoga ni pitati za taj pristup. Tu dolazi takozvani Authenticator. On je zapravo posrednik između user –a (Supplicant) i našeg centralnog mesta koje zna kome je ulaz dopušten, takozvanog Authentication servera.

Posljednje slike 7 I i 8 prikazuju punu komunikaciju kako bi to izgledalo u stvarnom svetu.
28

Wireless tehnologija

Mada to ne mora uvek izgledati tako, u većini slučajeva ovo vredi. Na drugoj slici spominje se PAE što nije ništa drugo nego skraćenica od port access entity odnosno puno ime porta.

Nove Wireless Security Metode IEEE 802.11i
Sledeća generacija wireless sigurnosti trebala bi biti definisana unutar ovog standarda. On još uvek nije dovršen ali neke osnove se već poznaju. 802.11i definiše novu vrstu wireless mreže nazvanu RSN (robust security network). U nekim pogledima to je obična "wep" mreža no da bi postala RSN mora zadovoljavati određena zahteve. U čistom RSN –u acess point će dopuštati spajanje samo RSN uređaja. No mnogi će ljudi, vrlo verovatno, hteti upgrade –ati svoje uređaje kroz neko vreme pa 802.11i definiše i TSN (translation security network) u kojoj mogu i RSN i WEP sistemi raditi paralelno. Trenutno ne postoje RSN na tržištu zbog toga što 802.11i još ne postoji u celosti. Dok se sve to promeni proći će možda još dosta vremena, Ipak je neko mislio i na to i proizveo WPA. WPA (Wireless Protected Access) se može implementirati unutar trenutne mreže kao firmware nadogradnja, a puno su sigurnije nego wep.

WPA
Kada su se uočile greške wep –a Wi-Fi grupa je htela što pre izbaciti zamenu za njega. No nije bila samo zamena bitna nego i to da malo ko je spreman odbaciti celokupni hardware koji je kupio tek nedavno. Radi toga su trebali naći rešenje koje se može implementirati u postojeću infrastrukturu. To je dovelo TKIP (Temporal Key Integrity Protocol). Ovaj protokol će biti podržan i unutar 802.11i ali tržište nije moglo čekati toliko pa je Wi-Fi alliance odobrila ovaj podsastav RSN –a nazvan WPA. RSN i WPA imaju isti pristup i arhitekturu. RSN je naravno napredniji pa će podržavati i AES algoritam uz TKIP. TKIP je rađen tako da se integriše unutar wep sastava, a AES je građen od početka bez ikakvih ograničenja i veza na starije sastave. To ga čini i jačim. TKIP uzima sve stare delove wep -a i menja ih tako da postaju za sada dosta sigurni od napada. Time se postiglo to da se na već postojeće sastave samo nadogradi wpa i bez prevelike problema pričeka dovršetak 802.11i standarda.

29

Wireless tehnologija

TKIP
Temporal Key Integrity Protocol (TKIP) je jedna od najnovijih security metoda ponuđenih od, danas, većine proizvođača wireless opreme. Napravljen je iz razloga da ispravi wep propuste i to je, za sada se čini, odradio je vrlo dobro. Razvijali su ga, među ostalima, upravo oni koji su i našli probleme u wep –u što bi ga trebalo činiti i još jačim. Ovaj protokol i dalje koristi RC4 kao enkripcijski algoritam, ali on uklanja problem oko wep ključa tako što svakih 10000 paketa taj ključ promeni. U TKIP –u IV se povećava 32 bita te se ovaj put vodilo i računa o takozvanim weak keys tako sa se prvih 8 bitova odbacuje. TKIP takođe rešava problem oko verodostojnosti poruke tako što uključuje Message Integrity Check koji onemogućuje napadačevo menjanje poruke. Mada je zapravo ovo puno napredniji sastav od wep –a on je i dalje samo nadogradnja na wep. Pa se tako, u većini slučajeva, nudi kao jednostavno skidanje novih firmware –a za naše uređaje.

AES
Advanced Encryption Standard je nova enkripcijska metoda odabrana od U.S. Goverment –a da zameni DES kao njihov standard. Ovaj je algoritam vrlo jak i verovatno će biti temelj 802.11i standarda. Mada još nije prihvaćen od šire strane WLAN proizvođača neki ga već ugrađuju u svoje uređaje. AES zapravo za kodiranje koristi algoritam poznat pod imenom Rijndael. Izumeli su ga Joan Deamen i Vincent Rijmen, te on ulazi u AES pobedivši pri odabiru RSA, IBM te još nekolicinu ponuđača. To takmičenje je organizovalo National Institute of Standards and Technology radeći to za dobro nam znanu NSA (National Security Agency). Snaga AES –a se još mora pokazati ali veruje se da će ovo postati standard za enkripciju i tako ostati podosta godina. Tehnologija koja je probila DES, AES bi probijala ni manje ni više nego 149 triliona godina. Istina je da je DES probijen pre dosta godina no i dalje ova brojka puno govori. Ali kao i svaka enkripcija AES će se probiti jednom, u to ne treba sumnjati, no niko u ovom trenutku ne veruje da bi se to moglo desiti u tako skoro vreme. Glavna mana AES –a je to da je puno komplikovani od primera RC4. To za sobom povlači potrebu za većom procesorskom snagom. Za primer ću navesti to da bi se RC4 napisao u proseku potrebno je oko 50 linija koda, dok je to god AES –a 350. Ovo pokazuje da je AES – u potrebno više hardware –skih resursa no ništa previše da ga današnja tehnika ne može podržati.
30

Wireless tehnologija

Osiguranje wireless mreze Uvod
Osiguranje wireless mreže se može podeliti u dve kategorije. Access Point security metode i Third Party Security metode. AP metode predstavljaju prvu stepenicu ka cilju. AP se mora podesiti tako da služi kao prva crta obrane a ne kao izvor problema. Third Party metode predstavljaju nastavak pošto su one kompleksnije i puno naprednije naspram AP metoda.

AP Based Security Methods WEP
Mada smo pre naveli wep kao veliki promašaj neko se može pitati čemu onda to no wep ima jednu veliku prednost. On je možda neučinkovit protiv nekoga upornog, s određenom ciljem i znanjem no za slučajne, pass by, napade je vrlo učinkovit. Mnogi koji žele samo pronjuškati po diskovima i serverima vrlo će brzo odustati od mreže zaštićenom Wep –om. Ili jer nemaju znanja za probiti wep ili im se jednostavno ne da truditi se. Mada je osoba možda došla iz čiste znatiželje ta znatiželja može dovesti do pokretanja sniffera i krađe vrlo važnih informacija. Ako im je do čiste šetnje odabra će neku drugu mrežu bez zaštite koristeći već spomenuti NetStumbler. Drugim rečima ako omogućimo wep koji je potpuno nepoverljiv eliminisaćemo ćemo 99% pretnji. Wep je zapravo vrlo sličan blokadi volana u autu. Lopov koji dođe onako u prolazu do vašeg auta primeti li da vaš auto ima zaštitu ukrasće će onaj do vas bez zaštite. No ako lopov ima razlog iz kojeg oće baš vaš auto, blokadu volana skoro da neće ni primetiti.

MAC Filtriranje
Svaki uređaj na mreži, po defaultu, ima jedinstvenu adresu koja koristi da bi se razlikovao jedan NIC od drugoga. Ta adresa se zove MAC (media access control) adresa. Po toj teoriji da svaki NIC ima svoj jedinstveni broj koji mu je dodelio proizvođač, na AP se može postaviti da propušta određenu listu MAC – ova. Naravno ovo su prepoznali proizvođači wireless opreme i ugradili to u svoje uređaje. Da bi ovo sve funkcioniralo administrator mora imati listu MAC –ova što i nije neki problem jer MAC adresa nije tajna. Većina Windows OS –a to pokazuje naredbom ipconfig, a i linux nije ništa drugačiji. Znači kada se skupi lista svih MAC –ova možemo uključiti filtriranje.MAC filtirranje na D-Linku.

31

Wireless tehnologija

Ovaj postavke odbiće sve MAC adrese osim onih koji se nalaze na listi. Pokuša li neko ući sa nedozvoljenim MAC –om to ćemo vidjeti u Log –u. Deny Log file. Ali teorija i praksa su uvek bile dosta različite pa tako i ovde nije sve bajno. Sve bi bilo super da ne postoji jedna sitnica, a to je da se MAC adrese mogu menjati. Nekada su MAC adrese bile dodeljene hardwareskim postavkama jumpera, no danas se većinom smeštaju u flash memorijama i mogu se menjati čak i proizvođačevim softwareima.

Dell TrueMobile MAC kartica
Uz to neki OS –ovi spremaju te informacije u njihove sistemske datoteke koje se mogu promeniti, a tako i na lakši način doći do željenog rezultata, neovlaštenog ulaz u mrežu. Iz razloga što menjanje MAC –ova može pomoći administratoru u rešavanju nekih problema. No po meni to je puno rjeđe nego spoofanje MAC – ova za ulaz u mreže. To nas opet vraća na ono ako neko oće ući, ući će ali velika većina okrenu će se i preči na neku drugu mrežu.

Zaštita Kontrolom Radijacijske Zone
Dok je wireless mreža u funkciji ona odašilje RF (radi frequency) signale. Oni su nosioci podataka između AP –a i ostalih WNIC –a. Bila to ad-hock mreža ili mreža PDA uređaja i dalje sve je to RF signal. Kada god mi nešto odašiljemo uvek je pitanje koliki je domet. Zbog prepreka svih mogućih vrsta pa čak i vazduha smanjuje se domet WiFi uređaja.

32

Wireless tehnologija

Ono što je zanimljivo je to da radijacijsko polje može biti dosta veliko zavisno od samih uređaja i antene koje se koriste. Mada potporni zidovi, metalne površine, električne instalacije umanjuju domet on je u većini slučajeva veći nego što dokumentacija kaže. Ako je nekoga ikada zanimao domet bežičnog telefona pa se udaljavao dok ne ostane bez signala vrlo je verojatno da je došao do istoga zaključka kao i mi. Pri tome high gain antena može povećati domet na nekoliko desetaka kilometara pa mi možemo tražiti, kroz prozor, do mile volje nekoga ko nam je srušio server. Štoviše signal se u gradskom okruženju može toliko izodbijati na sve strane pa je moguće da nam je zapravo uljez iza leđa.

Curenje W-lana zbog pozicije AP na strani zgrade

Ali na sreću za ovo postoji rešenje. Prvo i najjednostavnije je odrediti poziciju APa. Ako je AP u uglu sobe puno će više signala "iscuriti" izvan nego što bi to bio slučaj da je u centru sobe. Ako se treba postaviti više AP –a trebamo paziti da su što bliže centru zgrade, a ne uz vanjski zid ili još gore uz prozor.

Ispravljena pozicija AP –a

33

Wireless tehnologija

U ovom primeru vidi se da pozicija AP –a može značiti jako puno u velikim zgradama. Mada su kružnice i dalje izvan zgrade, najuža i najjača je unutar kuće što je velika prednost. S ovim smo dobili bolji signal u samoj kući i oduzeli dobar signal mogućem uljezu. Ovo nije jednini način kontrole odaslanog signala. Većina proizvođača uključuju opciju kontrole izlazne snage. Neki čak daju opciju uključivanja i isključivanja signala sa leve ili desne strane. To je vrlo korisno kod eliminisanj i restrikcije nepotrebnog signala. Primer Linksys rešenja za levu i desnu antenu te D-Link –ov za kontrolu izlazne snage. Sa ovim antenama managment tehnikama možemo dakle kontrolisati domet našeg wlan-a. U visokim zgradama ovo može biti vrlo važno zbog interferencije i "glasnih" suseda. S time da isključimo jednu antenu, smanjimo snagu ili promijenimo njenu poziciju možemo vrlo dobro stisnuti signal unutar potrebnih nam dimenzija.

Zaštita pomoću DMZ –a
DMZ ili Demilitarized Zone je zapravo koncept a ne konkretni proizvod (rešenje). DMZ predstavlja način organizacije računara (servera) koji mogu predstavljati rizik za mrežu. To dopušta bilo kojem Internet korisniku da pristupi tom serveru no desi li se da server dođe pod neovlaštene ruke to se računalo neće moči koristiti za pristup ostatku mreže. Mada je logično da će sam server biti pod firewall –om taj firewall mora ignorisati dosta prometa jer, server služi da bi mu se pristupilo. To ga naravno čini ranjivim. Da bi se ograničilo pristupanje servera mreži firewall hardware (software) konfiguriše se tako da ima posebne portove samo za DMZ. Većinom to izgleda tako da postoje 3 porta. Za Internet, za LAN i za DMZ. U te portove tada idu switchevi i u njih računar koliko želimo. Tako mi možemo i naš AP staviti tu u DMZ što rešava problem ulaska u mrežu iza firewall-a no wireless korisnici (klijent računara) tu ostaju kratkih rukava. Ovo se ne odnosi na njih pošto su i oni i potencijalni uljez stavljeni u isti koš pa oni ostaju bez zaštite DMZ –a.

34

Wireless tehnologija

Primer DMZ -a

VPN (Virtual Private Network)
Kad pričamo o firewall -u treba spomenuti i VPN. VPN je virtualna, kriptirana mreža koja je podignuta na postojeću mrežu. Ovaj sistem je poznat pod tunneling, jer je kriptirani data tok poslan preko obične mreže tj. unutar kriptiranog tunela. VPN produljuje sigurnu lokalnu mrežu do korisnika izvan nje. Pa tako wireless korisnik može biti unutar wireless mreže ali ga VPN spaja na siguran način u internu mrežu. Na slici uz VPN se vidi i firewall. On je tu zato što ta dva proizvode često dolaze zajedno. Uljez možda ne vidi što mi šaljemo ali ga to ne sprječava da skenira mrežu i vidi potencijalne ulaze, pa na kraju i da napadne mrežu. Zato nam je i dalje firewall potreban. Paralelno s time mi na firewall –u možemo zabraniti sve što želi proći a nije naš VPN. Kao što smo pre rekli wep enkripcija nije nikakva velika zaštita. Nakon što neko probije wep on može jednostavno videti sve što putuje mrežom. Tu spadaju i password –i, e-mail, dokumenti itd. No uključimo li VPN na sam wep stvari se dosta menjaju. Da bi sada neko "pročitao" našu mrežu mora probiti dva sloja. Prvo wep pa zatim VPN. VPN enkripcija je robusna enkripcija i nije je lako probiti, dapače vrlo se teško probijaju. E sada kada god negde uložimo više resursa negde smo ih oduzeli. Ovaj put to je u bandwidth -u. Kada bi uključili wep enkripciju nad VPN –om bandwidth bi na pao za otprilike 70-80%.

35