Sib wykład#5 29.03.2010

Rodzaje WPA:

• personal – nie dzieli kluczy na poszczególnych uzytkowników, wszystkie podłączone stace wykorzystują jeden klucz dzielony (), który trzeba ręcznie dystrybuować. PSK ma format 32 cyfr hexa i tworzony jest na podstawie wprowadzonej przez uzytkownika frazy

• enterprise – korzysta z serwera np RADIUS ktory przydziela rozne klucze do kazdego uzytkownika

WPA = 802.1x(EAP) + TKIP (RC4) + MIC

802.1x oparty o EAP standard IEEE kontroli dostepu do sieci przewodowych i bezprzewodowych. Umożliwia wykorzystanie różnego typu metod uwierzytelniania uzytkownikow oraz urządzeń.

Schemat współpracy w ramach 802.1x

KLIENT -> AUTHENTICATOR (AP albo SWITCH) ->SERWER (autoryzacja)

Protokół EAP posiada wbudowane mechanizmy pozwalające na eliminację poawiających się duplikatów pakietów i ponowną retrasmisję zagubionych pakietów. Za retransmisję pakietów odpowiedzialny jest autentykator.

Obowiązkowe metody uwierzytelniania w EAP:

• MD5 Challange – czesto wykorzystywana; wydajna i bezpieczna;

• One Time Password

• Generic Token Card

Oprócz wyzej wymienionych metod istnieje wiele innych ktore są opisane w odrebnych dokumentach np:

• EAP – TLS

• EAP – TTLS

• EAP – IKEv2

Przykładowa wymiana ramek przy uwierzytelnianiu EAP

serwer klient

1. <-request/identify

2. ->response/identify

3. <-request/MD5 challenge

4. ->response/NAK

5. <-request/generic token card

6. ->response/generic token card

7. <-request/generic token card

8. ->response/generic token card(wlasciwe dane)

9. <-succes

Zalety protokołu EAP

• moze pracowac w roli posrednika, mozliwe jest wdrozenie nowej metody uwierzytelniania bez ingerowania w jego konfigurację – wymagana jest jedynie aktualizacja oprogramowania po stronie suplikatna i zewnetrznego serwea uwierzytelniania

• separacja pomiedzy urządzenie dostepowym a zewnetrznym serwerem uwierzytelniania ułatwia zarządzanie danymi pufnymi takimi jak no nazwy logowania ihasła uzytkownikow

• wsparcie dla różnorodnych metod uwierzytelniania. Istnieje możliwość negocjacji uzywanej metody uwierzytelniania.

Wadą rozwiazania 802.1x jest brak gwarancji autentycznosci i integralnosci dla wszystkich ramek oraz brak weryfikacji AP, inaczej mowiąc nie przeciwdziała instalacji dałszywych (dzikich) AP.

Cechy pozytywne WPA:

• klucze szyfrowania mają długość 128 bitów

• klucze szyfrowania są regularnie automatycznie zamienianne

• IV ma dl 48 bitow jest wiec 281 trylionow roznych IV

• posiada mechanizm wzajemnego uwierzytelniania co zabezpiecza m.in,. przed atakiem man in the middle,

• posiada mechanizm sprawdzania integralności przesyłanych danych (MIC),

Wady WPA:

• nie działa w srodowisku "ad hoc"

• bezpieczenstwo WPA zalezy od dlugości frazy służącej do generowania kluczy (max 63 znaki). krótie frazy powodują wygenerowanie kluczy podatnych na złamanie. Zalecana jest fraza o dl min 40 znakow co skutecznie chroni przed jej odgadnieciem przy pomocy ataków slownikowych.

• stosuje mechanizm wyłączania AP w przypadku gdy wiecej niż dwa razy w ciągu 60 s MIC da wynik negatywny. Może zostać to wykorzystane do ataku DoS.

WPA v2(802.11i)

• implementuje w sobie 802.1x oraz CCMP/AES. Został zatwierdzony w polowie 2004

• najważniejszą różnicą pomiedzy WPA a WPA2 jest używana metoda szyfrowania. Podczas gdy WPA wersji pierwszej korzysta głównie z TKIP/RC4, WPA2 wykorzystuje CCMP/AES

• counter mode with cipher block chaining message authentication code protocol (CCMP) – protokół szyfrujący oparty na AES, wymagany przez certyfikację WPA w wersji 2.

• podobnie jak w TKIP w CCMP zastosowano 48 bitowy wektor IV

• CCMP wykorzystuje ten sam klucz zarówno dla szyfowania danych jak i tworzenia sumy kontrolnej. Wykorzystywana w CCMP suma kontrolna integralności komunikatu jest uważana za znacznie silniejszą niż kod Michael, zastosowany w TKIP.

Projektowanie sieci WLAN

• strefa fresnela

• R=17,3*pierwiastek(d1km*d2km/dkm*fGHz)

• R to promien I strefy liczony w metrach

• d(km) = d1km + d2km jest to odleglosc miedzy antenami liczona w km

• d1(km) - odleglosc od pierwszej anteny w km

• d2(km) - odleglosc od drugiej anteny w km

W praktyce zapenienie czystosci 60% I strefy fresnela gwarantuje minimalne straty mocy.

Krzywizna ziemi

W przypadku dystansów wynoszących klilka kilometrow i wiecej nalezy uwzgledniac krzywizne ziemi. Dla 5 km wysokosci przeszkod w sodku lacza wzrasta o 1 m a dla dystansu 10 km juz o 4 m. Anteny powinny byc zawieszone na wysokosci spelniającej warunek:

zawieszenie anteny = wysokosc najwyzszej przszkody na torze + ...

Model FSL i tłumienie w wolnej przestrzeni

Model FSL to model propagacji w wolnej przestrzeni ktory zakłada że:

• miedzy nadajnikiem a odbiornikiem nie ma przeszkod

• do odbiornika nie dochodza fale odbite

• nie jest przysłonięta 1 strefa Fresnela

• model nie uwzglednia...

FSL dla czestotliowsci 2,4 GHz dane jest wzorem:

Lp(dB) = 100 + 20log10 D, gdzie D – odległość w km

FSL dla czestotliowsci 5 GHz dane jest wzorem:

Lp(dB) = 106 + 20log10 D, gdzie D – odległość w km

Reguła 6dB mowi ze dwukrotny przyrost odleglosci powoduje wzrost tłumienia sygnału o 6dB a dwukrotny spadek odleglosci powoduje spadek tłumienia sygnału o 6 dB

Tłumienie w 2,4 Ghz na 1 km wynosi 100 dB.

Czyli po zastosowanie reguły 6dB 2, 4 8km otrzymuje się wartości tłumienia: 106, 112, 118 dB.

Bilans łącza radiowego

RSL(dBm) = TSL – CLT + GT – FSL + GR – CLR

• TSLdBm – poziom sygnału na zaciskach nadajnia

• RSLdBm - poziom sygnału na wejsciu odbiornika

• FSLdBm – straty sygnalu na wolnej przestrzeni

• GT, GR(dBi) – zysk anteny nadawczej i odbiorczej

• CLT, CLR – straty sygnalu w przewodzie i w złączach

dBm to jednostka miary mocy odniesiona do 1 mW. Moc wyrazona w dBm mowi o ile decybeli moc ta jest wieksza od mocy 1 mW

10 * log10(P/1mW)

Aby uodpornić się na zjawisko chwilowego spadku mocy sygnału wprowadza sie do obliczeń parametr e, tj margines na zanik. Typowa jego wartość wynosi 10 dB

Poprzez dobór anten dązy sie do tego aby uzyskć przez większość czasu wymagany poziom sygnału – 80 dB. Wiekszośc urządzeń bezprzewodowych WLAN pracuje wtedy z największa prędkością.

Kable koncentryczne

Najczesciej stosowane typy kabli do pasma 2,4 GHz:

• H-155 o tłumienności 49,6dB/100m

• H-1000 o tłumienności 21,5dB/100m

Przyklad

chcemy zestawic łącze na odlegl 2 km i uzyskac mozliwie najlepsze parametry polaczenia. Dysponujemy urządzenia promieniującymi z mocami 18 dBm. Dl kabla H-1000 7 km

-80dBm = 18dBm-106,4 dB-1,505dB-1,505dB-10dB+GTdB+GRdB

GTdB+GRdB=21,5dB

Wyliczony zysk anten nie powinien byc mniejszy od 21,5.

Złącza SMA R/P i TNC R/P

Projektowanie sieci Wi-Fi

W jakich miejscach uzytkownicy powinni miec dostęp do sieci Wi-Fi?

Uli uzytkowników równocześnie będzie korzystało z sieci Wi-Fi?

Czy zamawiający posiada urządzenia bezprzewodowe jeśli tak to jakie i czy koniczne jest ich dalsze wspieranie...

Jaki będzie wykorzystywany standard transmisji?

Ile punktów dostępu jest potrzebne? Jakie powinny posiadać anteny i funkcje (most, NAT,ruting)?

Jaki rodzaj współpracy pomiędzy AP (centralizacja czy zarządzany indywidualnie)?

jaki charakter pokrywanego zasięgiem terenu? orzykładem jest hala magazynowa w ktorej czesto zmienia sie zajetosc poszczegolnych sektorow, co wymusza stosowanie anten kierunkowych precyzyjnie pokrywających alejki komunikacyjne/

Czy wymagany jest roaming? jeśli tak to jaki – w warstiwe 2 czy 3?

Jakimi funduszami dysponujemy?

Wskazówki dotyczące instalacji Wi-Fi

• warto oprzeć się na jednym producencie i jednym standardzie – nie łączyć 802.11g i Super G

• Jeśli występuje konieczność łączenia technologii (np. 802.11 g i a) to warto zainstalować dwa AP na potrzeby poszczególnych technologii

• rzeczywista prędkość wynosi ok 40 % prędkości max danego standardu

• istnieje bardzo ogólna zasada tzw "4 scian, 2 stropów" czyli można przypuszczać ze punkty dostępowe należałoby instalować na co trzecim piętrze w co piątym pomieszczeniu.

• Przy 5 lub większej liczbie uzytkownikow korzytajacych z jednego Ap zaleca sie standardy A lub G ktore dobrze działają nawet z 12-15 – ma klientami

• najlepszym sposobem na wlasciwe pokrycie terenu sygnalem jest wstepne, teoretyczne wyznaczenie miejsc instalacji AP następnie testowe ich zainstalowanie sprawdzenie rzeczywistego pokrycia i wprowadzenie korekt. Ze względu na przeszkody bardzo rzadko obszar pokrycia odpowiada kształtem kołu lub elipsie

• Antena dookólna nie powinna byc zamocowana zbyt wysoko lub nisko ze wzgledu na kąt połowy mocy w pionie wynoszący 25 stopni.

• względy estetyczne

Pytania zwiazane z okresleniem oczekiwanego poziou ochrony sieci:

• czy istnieje jeśli tak to co zawiera polityka bezpieczenstwa? Czy wytyczne można odnieść do sieci WLAN?

• Czy uzytkownicy powinni zostać podzieleni na gr ktore bedą posiadac różne uprawnienia do korzystania z WLAN

• Czy istnieje podział na aplikacje które w różny sposób mają mieć możliwość korzystania z WLAN

• Czy występuje potrzeba uwierzytelniania? Jeslu tak to jaki rodzaj uwierzytelniania powinien zostac zasotowany?

• Czy przy zarządzaniu AP isnieje możliwośćc odseparowania teg oruchu do innych transmisji np. poprzez zastosowanie technologii VLAN?

Uwagi praktyczne do tej częsci projektu

• wybrac metody ochrony dostepu i transmisji odekwatne do wrazliwosci przesylanych danych oraz sprzetu

• tam gdzie to możliwe stosowac scentralizowane uwierzytelnianie i zarządzanie AP. Zapewnia to łatwiejszą...

• stosować szyfrowane protokoły słuzące do zarządzania AP, np. SSH, zamiast Telnetu.

• sprawdzic opcje konfiguracyjne AP, np. SNMP(domyslne hasła) i w razie potrzeby zmienic je. dezaktywowac niepotrzebne usługi.