UNIVERZA V MARIBORU FAKULTETA ZA ORGANIZACIJSKE VEDE Organizacija in management informacijskih sistemov VARNOST PODATKOV V BREZŽIČNEM LOKALNEM OMREŽJU Mentor: doc. dr. Igor Bernik Kandidat: Tadej Levstik Kranj, maj 2009
ZAHVALA Zahvaljujem se mentorju dr. Igorju Berniku za vso pomoč, napotke in predloge pri izdelavi moje diplomske naloge. Hvala g. Marjanu Bohnecu iz podjetja za pomoč in nasvete pri izdelavi diplomskega dela. Posebna zahvala mojim staršem, ki sta me podpirala vsa leta študija. Diplomsko nalogo posvečam njima.
POVZETEK Diplomska naloga obravnava sodobni način povezovanja računalnikov v brezžična lokalna računalniška omrežja. Podrobneje je opisana zgodovina in razvoj standarda IEEE 802.11. Posebna pozornost je posvečena načinom zagotavljanja varnosti v brezžičnih lokalnih omrežjih. Opisana so najpomembnejša tveganja, ki se pojavljajo pri brezžičnih povezavah. Osrednja tema moje diplomske naloge je predstavitev brezžičnega omrežja v podjetju. Opisane so tehnologije in pripomočki, ki jih uporabljajo v podjetju za zagotavljanje varnega prenosa podatkov v brezžičnem lokalnem omrežju. KLJUČNE BESEDE - Brezžično lokalno omrežje - IEEE 802.11 - IEEE 802.1X - Varnost ABSTRACT Bachelor thesis deals with the modern way of connecting computers in local wireless computer networks. History and development of standard IEEE 802.11 is detailed described. Special attention is devoted to providing security in local wireless networks. I described the most important hazards which occur at wireless connections. Main theme of my dissertation is presentation of wireless network in the company. I described the technology and products, which are used in company for providing safe transfer of data in local wireless network. KEYWORDS - Wireless local area networks - IEEE 802.11 - IEEE 802.1X - Security
Kazalo 1 Uvod...1 2 Brezžična omrežja danes...2 2.1 Vrste brezžičnih omrežij...2 2.1.1 Osebno brezžično omrežje...3 2.1.2 Lokalno brezžično omrežje...4 2.1.3 Mestno brezžično omrežje...4 2.1.4 Prostorno brezžično omrežje...4 3 Načini povezovanja v brezžičnem omrežju...5 3.1 Ad-hoc...5 3.2 Infrastrukturni način...6 3.3 Brezžični most...6 3.4 Reapeter način...7 4 Zgodovina in razvoj standarda IEEE 802.11...8 4.1 Standardi na področju WLAN omrežij...8 4.2 Arhitektura standarda IEEE 802.11...9 4.2.1 Nivo LLC...9 4.2.2 Nivo MAC... 10 4.2.3 Nivo PHY... 10 4.3 Standard IEEE 802.11a... 12 4.4 Standard IEEE 802.11b... 12 4.5 Standard IEEE 802.11g... 13 5 Zagotavljanje varnosti v brezžičnih lokalnih omrežjih... 14 5.1 WEP... 14 5.2 WPA... 14 5.3 WPA2... 15 5.4 Overjanje na osnovi standarda 802.1X/EAP... 15 5.5 EAP razširljivi avtentikacijski protokol... 16 5.5.1 LEAP... 17 5.5.2 EAP-TLS... 17 5.5.3 EAP-FAST... 18 5.5.4 PEAP... 19 5.5.5 EAP SIM... 19 5.6 AAA avtentikacija, avtorizacija in obračunavanje... 19 5.6.1 Protokol RADIUS... 20 5.6.2 Protokol TACACS+... 20 5.7 Navidezno lokalno omrežje (VLAN)... 20 5.8 Seznami za nadzor dostopa... 21 5.9 Tipi nepooblaščenega dostopa v omrežje... 23 6 Predstavitev brezžičnega omrežja v podjetju... 25 6.1 Načrt brezžičnega omrežja... 25 6.2 Opis opreme... 26 6.2.1 Dostopna točka Cisco Aironet 1130AG IEEE 802.11 A/B/G... 26 6.2.2 Cisco Wirelless LAN controller Cisco WLC... 26 6.2.3 Stikalo... 27 6.2.3 Strežnik... 28 6.2.4 Cisco Wireless Control System Cisco WCS... 29 6.3 Predstavitev okolja... 29 6.4 Nastavitve brezžičnega lokalnega omrežja v podjetju... 31
6.5 Nadzor brezžičnega lokalnega omrežja v podjetju... 37 7 Varnostna politika... 41 7.1 Varnost informacijskih tehnologij... 41 7.1.1 Zaščita sistemskega prostora... 41 7.1.2 Zaščita komunikacijskih vozlišč... 42 7.1.3 Uporabniki... 42 7.1.4 Požarni zid in antivirusna zaščita... 42 8 Zaključek... 43 Literatura in viri... 47
1 Uvod Zaradi velikega porasta števila uporabnikov prenosnih računalnikov v zadnjih letih so se spremenile tudi zahteve po načinu dostopa v omrežje. V ta namen so se razvila brezžična lokalna omrežja, ki se od ožičenih razlikujejo v tem, da namesto optičnih vodov, koaksialnih kablov ali prepletenih vodov uporabljajo za prenos podatkov elektromagnetno valovanje. Od leta 1997, ko je bil predstavljen standard IEEE 802.11, so se brezžična lokalna omrežja zelo razširila, saj imajo kar nekaj prednosti pred žičnimi omrežji, dosegajo pa tudi že dovolj velike prenosne hitrosti. A tudi brezžična omrežja kot vsak sodoben komunikacijsko informacijski sistem zahtevajo določen nivo varnosti. Brezžične povezave je namreč lažje prestrezati ali jim prisluškovati, saj je medij, po katerem se prenašajo podatki, vsakomur dostopen brez večjih težav. Zato je nujno, da so brezžična lokalna omrežja ustrezno varovana pred grožnjami in da so kar se da neranljiva pred različnimi napadi, kajti le ob zagotovitvi teh pogojev lahko dosežemo popolno varnost podatkov v brezžičnem lokalnem omrežju. V zadnjih letih sta internet in intranet postala nepogrešljiva sestavna dela skoraj vsake strategije podjetja, del teh omrežij pa predstavljajo tudi brezžična omrežja. Kombinirana računalniška omrežja so postala centralni živčni sistem za vsakodnevno poslovanje, ne glede na velikost podjetja ali panogo, v kateri delujejo. Skoraj vsa podjetja so v položaju, ko se morajo zanesti na to, da imajo delujoč dostop do omrežnih aplikacij in podatkov v vsakem trenutku in na vsaki lokaciji, obenem pa morajo skrbeti tudi za varovanje svojih podatkov. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 1
2 Brezžična omrežja danes Povezovanje računalnikov v omrežja je staro približno 40 let, odkar so uspeli znanstveniki za raziskovalne namene med seboj z žicami povezati več računalnikov. Brezžično povezovanje pa ni dosti mlajše, saj so bile prve brezžične povezave vzpostavljene le nekaj let kasneje, ko je Norman Abramson leta 1970 na Havajih s pomočjo radijskih valov povezal več računalnikov na štirih otokih. Vseeno pa to omrežje ni bilo brezžično omrežje kot ga poznamo danes. Vsekakor pa so bila brezžična omrežja prava redkost, saj so bila izjemno draga, počasna in nezanesljiva ter tudi nezdružljiva med seboj. Z razvojem računalništva in tehnologij, povezanih z njim, so kasneje odkrili več različnih vrst brezžičnega povezovanja računalnikov, ki se uporabljajo še danes (npr. s pomočjo infrardečih žarkov ali s tehnologijo "bluetooth"). Najpomembnejša družina standardov, ki jo danes pri brezžičnem povezovanju računalnikov največ uporabljamo, pa je IEEE 802.11, ki definira povezovanje računalnikov v brezžična lokalna računalniška omrežja. Mednarodna organizacija IEEE (Institute of Electrical and Electronics Engineers) je leta 1997 izdala osnovni standard 802.11, kaj kmalu pa je bil ta posodobljen. Tako sta bili prvi posodobitvi (IEEE 802.11a in IEEE 802.11b) izdani že leta 1999. Po nekaj letih premora so standard spet posodobili (IEEE 802.11g) in je v uporabi še danes. Trenutno pripravljajo in usklajujejo novo posodobitev z oznako IEEE 802.11n. Standard IEEE 802.11n bo imel v primerjavi s prejšnjimi dodano tehnologijo MIMO (multiple input multiple output), ki omogoča večjo zmogljivost. Čeprav dokončna verzija še ni sprejeta, pa kar nekaj proizvajalcev že ponuja proizvode, ki podpirajo to različico standarda. Standard naj bi sprejeli konec leta 2009. Proizvajalci uporabljajo opisane oznake posodobitev standarda 802.11 pri označevanju združljivosti izdelkov in so tako za uporabnike prepoznavne, saj se na podlagi teh oznak odločajo za nakup izdelkov. 2.1 Vrste brezžičnih omrežij V današnjem času je na tržišču dosegljivih veliko različnih vrst brezžičnih tehnologij. Vsaka od teh tehnologij pa omogoča različno pokritost s signalom ter različne prenosne hitrosti. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 2
Slika 1: Prikaz brezžičnih tehnologij (Cisco Systems, 2008) Brezžična omrežja glede na uporabo delimo na štiri skupine: osebno brezžično omrežje (WPAN -Wireless Personal Area Network), lokalno brezžično omrežje (WLAN - Wireless Local Area Network), mestno brezžično omrežje (WMAN - Wireless Metropolitan Area Network), prostorno brezžično omrežje (WWAN - Wireless Wide Area Network). Slika 2: Brezžična omrežja razporejena po obsegu signala (Cisco Systems, 2008) 2.1.1 Osebno brezžično omrežje Osebno brezžično omrežje je omrežje, ki obstaja na relativno majhnem območju in med seboj povezuje elektronske naprave, kot so namizni računalniki, tiskalniki, skenerji, faksi, dlančniki (PDA) in prenosni računalniki. Omrežje ima doseg do 10 metrov ter največjo hitrost 1 Mbps. Glavna predstavnika osebnega brezžičnega omrežja sta tehnologiji Bluetooth in UWB. Brezžična osebna omrežja so nelicenčna, kar pomeni, da uporabnikom ni potrebno plačati za uporabo naprav v frekvenčnih območjih, to pa spodbuja razvoj naprav za to vrsto uporabe. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 3
2.1.2 Lokalno brezžično omrežje Lokalno brezžično omrežje je omrežje, ki ga predstavlja skupek različnih standardov, ki izkoriščajo spekter ISM (Industrial, Scientific, Medicine). Spekter ISM predstavlja nelicenčno frekvenčno območje 2,4 GHz, ki ga lahko vsakdo prosto uporablja. WLAN za komunikacijo med napravami v omejenem področju izkorišča spread-spectrum tehnologijo, kar omogoča uporabnikom, da so kljub premikanju znotraj območja pokritosti povezave še vedno povezani v omrežje. Lokalna brezžična omrežja danes temeljijo na standardu 802.11 ter podpirajo prenosne hitrosti do 54 Mb/s. 2.1.3 Mestno brezžično omrežje Mestno brezžično omrežje je brezžično komunikacijsko omrežje, ki zajema veliko geografsko območje, kot je mesto ali predmestje. Ta brezžična tehnologija se pogosto uporablja za povezavo oddaljenih območij ali v velikih kampusih. Danes je tehnologija za povezavo dveh oddaljenih lokacij dostopna vsakomur. Potrebujemo le dve napravi obrnjeni eno proti drugi namesto zapletene in drage žične infrastrukture. Doseg omrežja je do 50 km. Hitrost v tem omrežju se giblje okoli 22 Mbps, vendar se hitrost zmanjšuje glede na oddaljenost. 2.1.4 Prostorno brezžično omrežje Prostorno brezžično omrežje omogoča povezljivost na širokem geografskem območju. V ta segment uvrščamo vsa mobilna omrežja. Hitrost prenosa podatkov v tem omrežju je zaenkrat še relativno nizka, saj se giblje od 10 do 384 kbps. Standardi Hitrost Obseg WPAN WLAN WMAN WWAN IEEE 802.11 802.16 GSM, GPRS, Bluetooth a,b,g MMDS, LMDS CDMA, 3G < 1 Mbps 1-54+ Mbps 22+ Mbps 10-384 kbps Kratko Srednje Srednje-dolgo Dolgo Tabela 1: Lastnosti brezžičnih omrežij (Vidmar, 2002) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 4
3 Načini povezovanja v brezžičnem omrežju Pri ožičenih omrežjih lahko računalnike med seboj povežemo na pet načinov in sicer v omrežje s topologijo zvezde, drevesa, vodila, obroča ali s topologijo vsak z vsakim. Danes je velika večina omrežnih računalnikov povezana v omrežje s topologijo zvezde in drevesa. Slika 3: Topologije ožičenih omrežij (Šolski center Novo mesto, 2009) Osnovna gradnika brezžičnih lokalnih omrežij sta dostopna točka (Access Point) in brezžični odjemalec (WLAN client). Brezžični odjemalci so prenosni računalniki, dlančniki in vse ostale naprave, ki imajo brezžično mrežno kartico. V brezžičnih lokalnih omrežjih poznamo tri topologije omrežij. Najenostavnejša so priložnostna ali ''ad hoc'' omrežja, v katerih postaje med seboj neposredno komunicirajo brez potrebe po dostopni točki. Druga topologija je osnovna postavitev omrežja, kjer imamo eno dostopno točko in poljubno število postaj. Takšno omrežje postavimo doma ali v manjših podjetjih. Pri taki postavitvi omrežja poteka vsa komunikacija med postajami preko dostopne točke Kadar uporabimo večje število dostopnih točk, povezanih med seboj, govorimo o razširjeni postavitvi omrežja. 3.1 Ad-hoc Če povezave z ožičenim omrežjem ne potrebujemo, lahko računalnike z brezžičnimi omrežnimi vmesniki povežemo v omrežje Ad-hoc - "vsak z vsakim". Ad-hoc povezava je znana tudi pod vzdevkom peer-to-peer povezava, vendar se ta besedna zveza uporablja v računalniškem svetu za poimenovanje drugih aktivnosti. Pri ad-hoc topologiji omrežja se omrežni vmesniki računalnikov med sabo povežejo v omrežje, vsaka naprava v omrežju pa ima dostop neposredno do vseh naprav v dosegu brezžičnega omrežnega vmesnika. Prednosti take postavitve omrežja je predvsem v nizkih začetnih stroških postavitve, saj nam ni treba kupiti dostopne točke. Ad-hoc omrežij ne moremo povezati z ožičenim omrežjem. Pri tej topologiji omrežja je število naprav omejeno zaradi trkov paketov. Slika 4: Ad-hoc povezovanje (HP, 2009) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 5
3.2 Infrastrukturni način Pri postavitvi brezžičnega omrežja s topologijo zvezde za prenos podatkov med računalniki v omrežju skrbi dostopna točka, ki deluje podobno kot stikalo pri ožičenih omrežjih. Odjemalci z brezžičnimi omrežnimi vmesniki se povežejo na dostopno točko, ki potem skrbi za prenos podatkov med odjemalci. Dostopna točka ponavadi omogoča tudi priklop na ožičeno omrežje in tako služi kot zveza med ožičenim in brezžičnim delom omrežja. Čeprav je ta sistem bolj zapleten kot enostavna ad-hoc omrežja so ta omrežja veliko bolj razširjena, saj omogočajo boljšo zaščito brezžičnega omrežja ter zmožnost povezave z ožičenim omrežjem. 1 Brezžične naprave 2 Brezžična dostopna točka 3 Računalniki na lokalnem omrežju Slika 5: Infrastrukturni način povezovanja v brezžično omrežje (HP, 2009) 3.3 Brezžični most Kadar imamo dve ožičeni omrežji na oddaljenih krajih in ju želimo povezati med seboj, lahko posežemo po daljši ožičeni povezavi med obema omrežjema. Ko pa to ni mogoče, lahko obe omrežji med seboj povežemo z brezžičnim mostom (Workgroup Brindge). Pri takšni topologiji omrežja imamo dve dostopni točki povezani neposredno med seboj, vsaka pa je povezana na eno izmed obeh ožičenih omrežij, ki ju želimo povezati. Obstaja pa tudi kombinacija, kjer ena naprava deluje kot dostopa točka na katero se lahko povezujejo brezžični odjemalci, na drugi strani pa imamo napravo, ki deluje kot brezžični most. Dostopni točki skrbita za promet med obema omrežjema. Kadar dostopna točka deluje kot most, navadno nanjo ne moremo priklopiti brezžičnih odjemalcev, tako da moramo poseči po dodatnih dostopnih točkah, če želimo v omrežje priključiti tudi naprave z brezžičnim omrežnim vmesnikom. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 6
3.4 Reapeter način Slika 6: Brezžični most (Šepetavc, 2004) V okolju, kjer ena dostopna točka ni dovolj, da bi pokrili želeno območje z dovolj močnim signalom, je potrebno poseči po več dostopnih točkah, ki povečajo doseg brezžičnega omrežja. Dostopno točko, ki skrbi za povezavo med "matično" dostopno točko in odjemalcem, z angleškim izrazom imenujemo repeater. Topologija zahteva, da je med matično dostopno točko in odjemalcem oz. repeaterjem vsaj 50% prekrivanja s signalom. Prav tako pa mora biti repeater nastavljen na isti kanal kot matična dostopna točka. Nekateri cenejši izdelki ne omogočajo takšnega povezovanja dostopnih točk, tako da je pri postavitvi takega omrežja ponavadi treba poseči po zmogljivejših in temu primerno dražjih napravah. Slika 7: Povezava več dostopnih točk v repeater načinu (Cisco Systems, 2008) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 7
4 Zgodovina in razvoj standarda IEEE 802.11 Standard IEEE 802.11 je nastal kot radijski podaljšek Ethernet 802.3 omrežij v začetku 90-ih let prejšnjega stoletja. V začetku je bil poimenovan kot OpenAir standard, z dodajanjem modulacije signala za radijski prenos. Za prenos je bil uporabljen razširjeni spekter s frekvenčnim skakanjem na frekvenčnem pasu 2.4 GHz. Ta spekter se uporabljen še danes. V začetku je bil kot tak zelo nezanesljiv, saj so se zaradi brezžičnosti kaj kmalu začele pojavljati težave, uporaba načina CSMA/CD (Carrier Sense Multiple Access/Collision Detection) namreč ni bila učinkovita, prihajalo je do prevelikega števila trkov (Collision Detection - CD), vedno bolj pa se je pojavljalo tudi vprašanje varnosti. Leta 1997 je bil razvit nov standard, IEEE 802.11, v katerem je bila specificirana enotna plast MAC (Medium Access Control ), ki je skrbela in uravnavala krmiljenje in nadzor dostopa do medija (določa tehniko za preprečevanje in ugotavljanje trkov, skrbi za kontrolo napak). Standard je omogočal dve prenosni hitrosti, 1 in 2 Mbit/s. (Brenner, 1997) Vendar pa je bil to le začetek razvoja standarda IEEE 802.11, kajti do danes poznamo že več kot deset različnih IEEE 802.11x standardov, od katerih je trenutno najbolj razvit, razširjen in uporabljan standard IEEE 802.11g. Slika 8: Razvoj standarda IEEE 802.11 (Cisco System, 2008) 4.1 Standardi na področju WLAN omrežij Na področju brezžičnih lokalnih omrežij prevladujeta dve družini standardov. Prva je družina standardov IEEE 802.11, druga pa je ETSI BRAN (Broadband Radio Access Networks) (K. Albreht in drugi WLAN brezžična omrežja) Osnovna razlika med obema družinama standardov je ta, da se delovne skupine IEEE 802.11 ukvarjajo s prenosom IP prometa, družina BRAN pa je bolj osredotočena na prenos ATM prometa preko brezžičnih lokalnih omrežij. (K. Albreht in drugi WLAN brezžična omrežja) Prvi standard iz družine IEEE 802.11 je bil izdan leta 1997, nastajal pa je približno sedem let. V osnovi definira tri različne sloje: razpršeni spekter s frekvenčnim skakanjem FHSS (Frequency Hopping Spread Spectrum) na frekvenčnem pasu 2.4 Ghz, razpršeni spekter z neposrednim zaporedjem DSSS (Direct Sequence Spread Spectrum) ) na frekvenčnem pasu 2.4 Ghz IR (infrared) (Brenner, 1997) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 8
Tabela 2: Protokolni sklad 802.11 (Brenner, 1997) Hitrosti prenosa na fizičnem sloju, ki ju standard zagotavlja, sta 1 Mbit/s in 2Mbit/s. Standard definira tudi kontrolo dostopa do fizičnega medija MAC (Medium Access Control). Glavna naloga tega sloja je dodeljevanje prenosnega medija postajam, skrbi pa tudi za avtentifikacijo in priključevanje postaj na dostopne točke ter nadzoruje porabo energije v mobilnih postajah. MAC sloj je praktično enak v vseh verzijah standarda 802.11x, do ključnih razlik pride v fizičnem sloju. (K. Albreht in drugi WLAN brezžična omrežja) 4.2 Arhitektura standarda IEEE 802.11 Standard IEEE 802.11 določa sledeče nivoje: nivo LLC (Logical Link Control), nivo MAC (Media Access Control), nivo PHY (Physical). Vsak izmed teh nivojev skrbi za nek določen segment pri prenosu podatkov iz omrežja do uporabnika in/ali obratno. Nivo LLC tako skrbi za logični prenos podatkov in nadzor napak, nivo MAC skrbi za določanje zaporedja postaj in za reševanje trkov paketov, nivo PHY pa zagotavlja radijski oz. optični prenos. Standard IEEE 802.11 je postavil temelje za vse ostale, kasneje razvite standarde. Prav tako je tudi arhitektura ostalih IEEE 802.x standardov bolj ali manj podobna. Raazlike se pojavljajo le pri uporabi različnih tehnik razpršenosti signala in v uporabljenem kodiranju. ( Brenner, 1997) 4.2.1 Nivo LLC Med njegove osnovne naloge spada izmenjava podatkov v lokalnem omrežju s souporabo spodnje MAC plasti. Obenem skrbi za naslavljanje in nadzor poteka podatkovne povezave. Storitve, ki jih ta nivo zagotavlja so: nepovezane storitve brez potrditve (brez nadzora napak in pretoka, za zanesljivost skrbijo višji sloji); povezano orientirane storitve (nadzor napak in pretoka s CRC, podpora le za unicast); nepovezane storitve s potrditvami (uporaba signala ACK). Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 9
Slika 9: LLC nivo (Kangas, 2004) 4.2.2 Nivo MAC Osnovna naloga MAC nivoja je nadzor dostopa do medija. Nivo MAC zagotavlja logični prehod zgoraj ležečih nivojev (enota PDU) do fizičnega medija, pri čemer pride do segmentacije na MAC enote - MSDU (MAC Service Data Unit). Za nadzor dostopa uporablja t.i. MAC naslov (oddaja identifikacijske opreme), ki uporabniku omogoča izvajanje avtentifikacije in zagotavlja zasebnost. V praksi pa se je izkazalo, da za avtentifikacijo ni tako zelo primeren, saj je identifikacijsko opremo moč prosto slišati in ponarediti. 4.2.3 Nivo PHY Gre za fizični nivo, ki ga predstavljajo različne tehnike prenosa preko fizičnega medija. Tehnike razprševanja signala: FHSS (Frequency Hopping Spread Spectrum) uporabljena pri standardu IEEE 802.11 DSSS (Direct Sequence Spread Spectrum) uporabljena pri standardu IEEE 802.11b OFDM (Orthogonal Frequency Division Multiplex) uporabljena pri standardu IEEE 802.11g FHSS (Frequency Hopping Spread Spectrum) Pri metodi FHSS je s pravili določeno minimalno število kanalov, ki se uporabljajo za skakanje (v Evropi 20, v ZDA 75). Določen je tudi minimalni razmik med dvema zaporedno izbranima frekvencama, ki znaša minimalno 6 kanalov. Zaporedje skakanja določa že standard IEEE 802.11. Logični kanal je v primeru FHSS algoritmov definiran z zaporedjem skakanja v primerjavi z binarno FSK, kjer imamo na voljo le dva frekvenčna nosilca, lahko tukaj z različnimi kombinacijami dosežemo tudi do 2*10^20 različnih možnih sekvenc. Frekvenčno skakanje je ob svoji vpeljavi prineslo tudi procesno ojačanje za 19 db. Takšno ojačanje zmanjšuje zahteve po razmerju signal/šum, zato lahko sistem kot tak deluje tudi v bolj spektralno onesnaženih okoljih. Tehnika razprševanja signala Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 10
FHSS se je izkazala kot izjemno učinkovita, saj zaradi lastnosti svojega delovanja zmanjšuje interferenco z ostalimi signali. Motnji ozkopasovnega nosilca je namreč podvržena le v primeru uporabe enake frekvence v istem trenutku. In vendar v primeru, da pride do interference na določenem kanalu, lahko oddajnik pošlje enako informacijo na naslednjem zaporednem skoku, ki se nahaja na drugi frekvenci. FHSS obenem nudi tudi boljšo varnost in izboljšano imunost proti šumu in motnjam kot DSSS, vendar je zaradi svoje specifike delovanja omejena na nižje prenosne hitrosti. Z vpeljavo novih postopkov razširjanja (DSSS, OFDM) je tehnika razpršenosti FHSS nekoliko izgubila na svojem pomenu. (IEEE Computer Society, 2008) DSSS (Direct Sequence Spread Spectrum) Širjenje kanala z uporabo DSSS se izvaja z množenjem radijskega nosilca in psevdo šuma (PN). Psevdo šum predstavlja generirano uravnoteženo zaporedje enk in ničel, lastno paru RX-TX. Postopek širitve osnovnega spektra poteka tako, da DSSS oddajnik pretvarja podatkovni niz v niz simbolov. Najprej se koda PN modulira na informacijski signal z uporabo modulacijskih tehnik. Zmoduliran signal se nato v mešalniku zmnoži z RF nosilcem fiksne frekvence. Ta proces povzroči nadomeščanje RF signala s signalom večje pasovne širine (podatki so na ta način razpršeni preko kanala pasovne širine 22 MHz), katerega spekter je enak spektru šumnega signala. V praksi to pomeni, da je v 2.4 GHz ISM pasu tako mogoč obstoj le treh neodvisnih uporabniških kanalov. Kljub prekrivanju pa je v Evropi definiranih 13, v ZDA 11 ter na Japonskem 14 frekvenčnih pasov (od 2.422 GHz do 2.462 GHz v razmaku po 5 MHz). Na ta način so bile do sedaj dosežene hitrosti med 1 Mb/s do 11 Mb/s (1, 2, 5.5, 11 Mb/s). (IEEE Computer Society, 2008) Slika 10: 2.4 GHz frekvenčno območje in kanali (Air-Stream, 2009) OFDM (Orthogonal Frequency Division Multiplex) Pri tehnični razpršenosti OFDM se za prenos signala uporablja več nosilcev hkrati. V idealnem kanalu je idealni odziv namreč pravokoten (ni frekvenčno odvisen), v dejanskem pa imajo robne frekvence manjše razmerje signal/šum in s tem tudi manjšo prenosno hitrost. OFDM tehnika razpršenosti pa izkorišča ravno to prednost; saj robne frekvence nosijo manjšo hitrost. Gre za tehniko seštevanja posameznih Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 11
diskretnih nosilcev, pri čemer prekrivanje posameznih frekvenčnih spektrov ne moti sprejemnika (frekvenčni vzorci se namreč ujemajo samo z vršnimi vrednostmi posameznih nosilcev). Ozkopasovne OFDM kanale poimenujemo tudi z oznako»toni«, OFDM modulacijo pa več tonalna modulacija. Uporablja se namreč 52 diskretnih tonov, od tega 48 za prenos podatkov in štirje za upravljanje. Vsak»ton«pa lahko pri OFDM tehnični razpršenosti za dosego različnih skupnih hitrosti uporablja različno modulacijo (BPSK, QPSK, 16-QAM ter 64-QAM). S tem so bile dosežene tudi večje hitrosti prenosa, kar do 54 MB/s. (IEEE Computer Society, 2008) 4.3 Standard IEEE 802.11a Standard IEEE 802.11a je ratificirala mednarodna organizacija IEEE, leta 1999. Standard omogoča prenosne hitrosti do 54 Mbit/s (6, 9, 12, 18, 24, 36, 48, 54 Mb/s) ter uporablja 5GHz pas. Prenosne hitrosti so odvisne od načina multipleksiranja in modulacije signala ter od nivoja vnaprejšnjega popravljanja napak (FEC - Forward Error Correction). Uporablja ortogonalni frekvenčni multipleks (OFDM - Orthogonal Frequency Division Multiplexing) in ne več FHSS ali DSSS. Delovanje v višjem frekvenčnem pasu, 5 GHz,standardu IEEE 802.11a zaradi večje pasovne širine omogoča višje prenosne hitrosti, kot jih ima standard IEEE 802.11b ter manjšo interferenco z ostalimi signali, saj je frekvenčni spekter tu še bolj neuporabljen. Vendar pa po drugi strani pomeni manjši doseg, večjo porabo moči ter zahtevnejšo in dražjo implementacijo. Ta standard se je močnejej uveljavil v ZDA. 4.4 Standard IEEE 802.11b Standard IEEE 802.11b je bil razvit skupaj s standardom IEEE 802.11a leta 1999. Standard omogoča prenosne hitrosti 1, 2, 5.5 ter 11 Mbit/s. Za svoje delovanje uporablja tehnično razpršenost DSSS ter modulacijo s komplementarno kodo CCK (Complementary Code Keying). Standard IEEE 802.11b je postal de facto standard za brezžično povezovanje. Za razliko od standarda IEEE 802.11, ki uporablja za svoje delovanje tehnično razpršenost tipa FHSS, standard IEEE 802.11b uporablja tehnično razpršenost DSSS. Za razliko od FHSS-a pa prenaša DSSS razširjen osnovni spekter, kar v praksi pomeni širitev kanala za vsaj desetkrat. Širjenje kanala se izvaja z množenjem radijskega nosilca in psevdo šuma (PN). Psevdo šum (PN) pa predstavlja generirano uravnoteženo zaporedje enic in ničel, lastno paru RX-TX. Standard deluje v 2.4 GHz frekvenčnem področju, kjer lahko uporabljamo le tri neodvisne uporabniške kanale (1, 6 in 11). V Evropi je Evropski inštitut za telekomunikacijske standarde (ETSI) standardiziral 13 kanalov. Tako je mogoče, da so v Evropi štirje neodvisni uporabniški kanali (1, 5, 9 in 13). Japonska ima dodaten kanal, ki se nahaja na koncu pasu. Tako imajo na Japonskem z uporaba tega kanala skupaj s tremi drugimi štiri neodvisne uporabniške kanale (1, 6, 11 in 14). Kanal 14 je uporaben samo na Japonskem in samo za standard 802.11b. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 12
Slika 11: Hitrosti prenosa podatkov standarda IEEE 802.11b (Cisco System, 2008) 4.5 Standard IEEE 802.11g Na principu iskanja kompromisa med hitrostjo prenosa podatkov, izbiro frekvenčnega pasu, varnostjo in robustnostjo so leta 2003 izdali novo različico standarda, standard IEEE 802.11g. Standard je kompatibilen s standardom 802.11b, saj uporablja isti frekvenčni pas 2,4 GHz ter ponuja enake prenosne hitrosti kot standard 802.11a (do 54 Mbit/s). Prav tako uporablja OFDM tehniko sodostopa, ki mu omogoči višje prenosne hitrosti. Za kompatibilnost s standardom 802.11b pa je poskrbljeno z uporabo CCK modulacije pri nižjih hitrostih. V nasprotju z standardom 802.11b, ki podpira samo štiri prenosne hitrosti, standard 802.11g podpira osem različnih prenosnih hitrosti z OFDM (6, 9, 12, 18, 24, 36, 48 in 54 Mbit/s) in štiri druge za DSSS (1, 2, 5.5 ter 11 Mbit/s). Zaradi svojih prednosti, predvsem pri prenosnih hitrostih, in z združljivostjo za nazaj je standard IEEE 802.11g povsem nadomestil različico standarda IEEE 802.11b. Slika 12: Hitrosti prenosa podatkov standarda IEEE 802.11g (Cisco Systems, 2008) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 13
5 Zagotavljanje varnosti v brezžičnih lokalnih omrežjih Značilnost radijskega valovanja je, da je razširjanje valov praktično nemogoče popolnoma omejiti na točno določen prostor. Te težave v svetu žičnih povezav ni, saj je dostop do omrežja na voljo le tam, kjer je možnost fizične priključitve vanj prek omrežne vtičnice. Priključki so ponavadi izključno v notranjosti prostorov in še to le tam, kjer to želimo in dopustimo. Zaklenjena vrata prostora tako onemogočijo nepooblaščeno priključevanje v omrežje v času, ko je prostor prazen. Vrata in okna pa niso velika ovira za radijske valove. Tako bosta nezaščitena dostopna točka ali brezžični usmerjevalnik v tem prostoru prav lepo pokrivala hodnik pred njim ter tudi dvorišče pred poslovno zgradbo. To je huda pomanjkljivost v sistemu varnosti omrežja, saj je v primeru nešifriranega signala moč enostavno prisluškovati prometu, ki se odvija v omrežju, hkrati pa je precej olajšan vdor v računalnike celotnega omrežja. Problema varnosti so se zavedali tudi snovalci standardov, ki so ob snovanju prvotnega standarda 802.11 uvedli kar nekaj zaščitnih mehanizmov. Eden bistvenih je šifriranje podatkov.(šimenc, 2005) V nadaljevanju bom opisal nekaj standardov, ki se nanašajo na zagotavljanje varnosti v WLAN omrežjih. 5.1 WEP Osnovni varnostni mehanizem standarda 802.11 pri zagotavljanju varnosti v brezžičnem omrežju je bil šifriran s protokolom WEP (Wired Equivalent Privacy). WEP naj bi zagotavljal varnost, primerljivo s tisto v ožičenih omrežjih. Poleg šifriranja vsebine, ki se prenaša prek radijskih valov, je WEP hkrati tudi orodje za nadzor dostopa do brezžičnega omrežja. Tako se lahko na točko/usmerjevalnik povežejo le tisti uporabniki, ki poznajo točen ključ WEP-a, drugim pa je dostop zavrnjen. Protokol WEP omogoča šifriranje podatkov s ključem, ki je lahko dolg 64 ali 128, pri nekaterih napravah pa celo 256 bitov. Vendar je delo s ključi WEP (gre za 64 ali 128 bitne ključe dolžine 10 oziroma 26 znakov v šestnajstiškem zapisu) nadvse neprimerno. Edini način je ročno vnašanje dolgega in zapletenega ključa v nastavitvah vsakega posameznega brezžičnega odjemalca posebej. To seveda pomeni, da je potrebno ob spremembi ključa celoten postopek ponoviti. Snovalci so na začetku zagotavljali, da je 128-bitna dolžina ključa pretrd oreh za odkrivanje ključa, vendar so že avgusta leta 2001 odkrili pomanjkljivosti šifriranja WEP. Del vsakega šifriranega paketa, ki se pošlje po brezžičnem omrežju, je tudi t. i. "Initialization Vector - IV", ki je dolg 24 bitov in se pošlje nešifriran, njegova naloga pa je zagotavljanje neponovljivosti vsakega poslanega paketa. Ti vektorji pa se v prometno bolj obremenjenih brezžičnih omrežjih zaradi razmeroma kratke dolžine kmalu začnejo ponavljati. To so izkoristili spretni hekerji, ki iz ponavljajočih se vzorcev zmorejo izluščiti dovolj ključnih bitov, da je izračun ali bolje rečeno, ugibanje pravega ključa WEP izvedljivo v dovolj kratkem času. Razsežnosti pomanjkljive enkripcije podatkov so se hitro zavedli tudi snovalci varnostnih sistemov. Predstavljena je bila rešitev, imenovana WPA. 5.2 WPA Leta 2003 je mednarodno neprofitno združenje Wi-Fi Alliance predstavilo nadomestilo za WEP protokol, imenovano WPA. Protokol WPA omogoča relativno visoko stopnjo zaščite uporabniških podatkov in omogoča dostop do omrežja le Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 14
avtoriziranim uporabnikom. WPA temelji na šifrirnem algoritmu TKIP (Temporal Key Integrity Protocol) in avtentikaciji po standardu 802.1X. WPA ponuja tudi omejeno podporo za algoritem AES-CCMP (AES-Counter Mode CBC-MAC Protocol), ki je v popolnosti podprta v protokolu WPA2. V manjših okoljih, kjer ni na razpolago overjanje RADIUS (Remote Authentication Dial In User Service), lahko specifikacijo 802.1X nadomestimo z WEP-u podobno overitvijo, znano kot način PSK (Preshared Key). To seveda pomeni, da je sistem bolj ranljiv, vendar kljub temu omogoča relativno visok nivo varnosti za majhne uporabnike Kriptirni algoritem TKIP (Temporal Key Integrity Protocol) je bil razvit kot izboljšava za WEP, ki bi se lahko kot firmware naložila na že obstoječe naprave 802.11. TKIP je odgovoren za generiranje šifrirnega ključa, šifriranje sporočil in preverjanje njihove integritete. Čeprav se šifriranje tako kot pri WEP izvaja z algoritmom RC4 Cipher, pa vsebuje razširitve za močnejši šifrirni ključ ter zagotavlja, da se ključ z vsakim paketom spremeni in je tako unikaten za vsakega odjemalca. Šifrirni ključi TKIP so močnejši kot pri WEP-u, ker so 256-bitni in jih tvorimo z bolj dodelano metodo. TKIP dodaja oznako MAC (Media Access Control) oddajnika k vhodnim podatkom, kar pomeni, da bodo imeli vsi odjemalci različne šifrirne ključe. Poleg tega je IV (Initialization Vector) dvakrat daljši kot pri WEP-u, 48-biten in je implementiran s števcem. Takšna dolžina IV zagotavlja, da se isti IV ne bo pojavil kmalu. Dolžina deljenega skrivnega ključa je obvezno 128 bitov, TKIP samodejno spremeni ta ključ na vsakih deset tisoč paketov. Originalni deljeni skrivni ključ se imenuje PMK (Pairwise Master Key), glavni ključ za par, medtem ko se ključi, ki nastanejo s periodičnim spreminjanjem PMK ključa imenujejo začasni ključi (Temporal Keys). (Verdonik, 2005) 5.3 WPA2 Leta 2004 je organizacija IEEE izdala standard IEEE 802.11, imenovan tudi WPA2. Šifriranje TKIP, avtentikacija 802.1X/EAP in tehnologija vnaprej razdeljenih ključev so lastnosti protokola WPA, ki jih vključuje tudi protokol WPA2. WPA2 vsebuje šifrirni algoriem AES (Advance Encryption Standard). Algoritem AES uporablja ključe spremenljive dolžine (128, 192, in 256 bitov). AES-CCMP vključuje dve visoko razviti kriptografski tehniki (counter mode in CBC-MAC) za zagotavljanje zanesljive varnosti protokola med odjemalcem in dostopno točko. Protokol WPA2 je tako kot WPA, namenjen zagotavljanju varnosti v napravah IEEE 802.11, vključujoč 802.11a, 802.11b in 802.11g. Za prehod na standard WPA je potrebna zgolj programska nadgradnja dostopnih točk in WLAN postaj, za prehod na WPA2 pa je potrebna tudi zamenjava strojne opreme. WPA2 zaenkrat označujejo kot končno varnostno rešitev za brezžična omrežja. 5.4 Overjanje na osnovi standarda 802.1X/EAP Slabost v originalni IEEE 802.11 varnosti modela je, da zagotovi en sam ključ za vse uporabnike v celici. Če je nekdo ugotovil ta ključ, potem brezžično lokalno omrežje ni bilo več zaščiteno. Ločevanje overjanja in šifriranja je ključni element za izboljšanje varnosti. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 15
IEEE 802.1X je protokol 2. plasti OSI referenčnega modela in določa nadzorovan dostop do omrežja zasnovan na ravni vrat. Dejanska uveljavitev protokola 802.1X je bila dosežena z nadzorovanim dostopom do omrežja na ravni vrat, ki temelji na mehanizmu nadzorovanega porta ter na filtriranju MAC naslovov. Sam protokol 802.1X ne zagotavlja overjanja, overjanje uporabnikov in naprav se izvaja s protokolom EAP. Protokol 802.1X pri tem poskrbi za prenos EAP avtentikacijskih sporočil med odjemalcem in overiteljem v omrežjih IEEE 802 (ethernet, brezžični ethernet, obroč z žetonom itd.). Tako moramo na protokola 802.1X in EAP gledati kot na celoto, saj se med seboj dopolnjujeta. Standard IEEE 802.1X določa naslednje gradnike: odjemalca (supplicant), napravo, ki želi dostopati v omrežje; overitelja (authenticator), LAN port, ki uporabnikom in napravam, ki želijo dostopati do omrežnih resursov preko tega porta, vsiljuje predhodno overjanje. V brezžičnem lokalnem omrežju je overitelj brezžična dostopna točka. Strežnik za overjanje oz. avtentikacijski strežnik, overja poverilnice odjemalca, ki jih posreduje overitelj, in nato odgovori overitelju, ali ima odjemalec pooblastilo za dostop do overiteljskih storitev. Avtentikacijski strežnik se lahko nahaja na overitelju (brezžična dostopna točka, stikalo) ali pa je ločena enota (samostojni AAA/RADIUS avtentikacijski strežnik). V slednjem primeru overitelj posreduje odjemalčevo zahtevo po overjanju do avtentikacijskega strežnika. (Modrijan, 2006) V lokalnem brezžičnem omrežju avtentikacija po protokolu 802.1X poteka v štirih korakih (slika 13): 1. Brezžični odjemalec (Client) pošlje sporočilo dostopni točki (Access Point), ki zahteva identifikacijo odjemalca. 2. Brezžični odjemalec odgovori s paketom, v katerem je njegova identiteta. Dostopna točka pošlje ta paket avtentikacijskemu strežniku (Authentication server). 3. Strežnik za overjanje pošlje odobritev dostopni točki. 4. Dostopna točka odobri zahtevek brezžičnemu odjemalcu in mu tako dovoli pot do omrežja. Slika 13: Overjanje na osnovi standarda 802.1X (802.1X Authentication, 2009) 5.5 EAP razširljivi avtentikacijski protokol EAP je zelo nazorno predstavljen v literaturi (Modrijan, 2006), zato je nadaljevanje tega podpoglavja povzeto po njeni vsebini. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 16
Extensible Authentication Protocol (EAP) je standardiziran razširljiv avtentikacijski protokol, ki je bil sprva namenjen razširjenemu overjanju v protokolu PPP (Point-to- Point Protocol: protokol točka-točka). Ob vedno večji potrebi po overjanju naprav in uporabnikov v lokalnih ethernet omrežjih je bil EAP izbran za avtentikacijski mehanizem protokola 802.1X. Vzrok za to se skriva v njegovi prožnosti, ki se kaže v prenosu poljubnih avtentikacijskih informacij. EAP tako ni omejen zgolj na današnje metode overjanja (gesla, certifikati, biometrika itd.) ampak se lahko zlahka prilagodi prihodnjim potrebam. Sam protokol EAP zagotavlja le standardiziran format za prenos EAP avtentikacijskih sporočil. Pri razširjenem avtentikacijskem protokolu EAP je zato potrebno izbrati tudi metodo EAP overjanja. V brezžičnih lokalnih omrežjih so največkrat uporabljene metode: LEAP, PEAP, EAP-TLS in EAP-FAST. 5.5.1 LEAP Slika 14: Metode EAP overjanja (Modrijan, 2006) V pomanjkanju primernih standardiziranih pristopov, ki bi olajšali težave v zvezi z varnostjo v omrežjih 802.11, je podjetje Cisco Systems leta 2000 predstavilo LEAP (Lightweight Extended Authentication Protocol). LEAP ne podpira TLS sheme, namesto tega ponuja močno avtentikacijo (močnejšo od EAP-MD5), vendar ji še vedno primanjkuje TLS podpora za zaščito med koncema. To pomeni, da so avtentikacijske poverilnice podvržene napadom z uporabo slovarja. Poleg tega LEAP odjemalec ne overi avtentikacijskega strežnika, kar ima lahko za posledico prijavljanje na sleparko brezžično dostopno točko oz. sleparsko omrežje. LEAP je še vedno v uporabi tam, kjer imajo naprave, ki podpirajo samo standard 802.11b. 5.5.2 EAP-TLS Metoda overjanja EAP-TLS temelji na overjanju z digitalnimi certifikati. Izmenjava avtentikacijskih sporočil na podlagi protokola EAP-TLS zagotavlja medsebojno overjanje (mutual authentication), celovitost prenesenih sporočil in varno izmenjavo zasebnih ključev. EAP-TLS omogoča najmočnejšo metodo overjanja. V praksi se najpogosteje uporablja različica protokola EAP-TLS, ki za overjanje uporablja uporabniške in računalniške digitalne certifikate, shranjene v registru računalnika (registry-based). Prednosti takega načina overjanja so naslednje: overjanje uporabnikov in naprav poteka avtomatično in je za uporabnike praktično nevidno, Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 17
izognemo se vpisovanju uporabniških gesel, uporaba digitalnih certifikatov velja za trenutno izredno močno avtentikacijsko shemo, EAP-TLS temelji na kriptografiji javnega ključa in ni ranljiv na napade uganjevanja gesel (dictionary attacks), V EAP-TLS avtentikacijskem procesu se medsebojno določi potreben material za generiranje ključev potrebnih, za šifriranje podatkov, in digitalno podpisovanje. Postopek overjanja pri protokolu 802.1X/EAP-TLS je opisan v nadaljevanju (slika X). Brezžični odjemalec pošlje»start«paket dostopni točki. Dostopna točka vrne zahtevo po identifikaciji odjemalca, odjemalec pa nato pošlje svojo identiteto. Avtentikacijski strežnik nato pošlje svoj digitalni certifikat, ki izkazuje njegovo identiteto, prav tako pa to stori tudi brezžični odjemalec, ki odgovori s svojim lastnim digitalnim certifikatom. Na tej stopnji sta tako brezžični odjemalec kot avtentikacijski strežnik dokazala svojo identiteto in si lahko pričneta izmenjavati šifrirana sporočila. V praksi se največ uporabljajo naslednji šifrirni protokoli: Wired Equivalent Privacy (WEP) in Wi-Fi Protected Access (WPA/WPA2). Vsi šifrirni mehanizmi so že opisani na začetku tega poglavja. Katerokoli šifriranje že izberemo, avtentikacijksi strežnik bo vedno posredoval glavni ključ (master key) brezžični dostopni točki, s katero ima vzpostavljeno varno povezavo. Šifriranje bo potem potekalo med brezžičnim odjemalcem in brezžično dostopno točko. Slika 15: Avtentikacijski proces 802.1X: EAP-TLS (EAP-TLS Authentication, 2009) 5.5.3 EAP-FAST EAP-FAST (Flexible Authentication via Secure Tunneling) protokol je razvilo podjetje Cisco Systems kot zamenjavo za LEAP protokol. Protokol EAP-FAST poskrbi za enak nivo varnosti kot protokol EAP-TLS, toda brez prisotnosti Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 18
digitalnega certifikata na strani brezžičnega odjemalca in avtentikacijskega strežnika. Protokol uporablja Protected Access Credential (PAC) na avtentikacijskem strežniku za vzpostavitev TLS tunela, v katerem se preveri verodostojnost odjemalca. EAP-FAST ima zelo močan avtentikacijski mehanizem. Njegova edina omejitev je, da potrebuje strežnik, ki je sposoben ustvarjati in upravljati s PAC, in seveda brezžične odjemalce, ki podpirajo EAP-FAST. 5.5.4 PEAP PEAP (Protected Enhanced Authentication Protocol) je ena izmed različic razširljivega avtentikacijskega protokola EAP. Protected EAP si lahko predstavljamo kot kompromis med EAP-TLS, ki uporablja izključno infrastrukturo digitalnih certifikatov, in med EAP-FAST, ki ne zahteva nobenega digitalnega certifikata med brezžičnim odjemalcem in avtentikacijskim strežnikom. Protokol PEAP zahteva delo z digitalnim certifikatom, vendar je ta potreben samo na avtentikacijskem strežniku. Značilnost protokola PEAP je vnaprejšnja vzpostavitev varnega kanala, ki zagotavlja šifriranje in celovitost podatkov med odjemalcem in avtentikacijskim strežnikom. Varen kanal je vzpostavljen po protokolu EAP-TLS. Razvoj protokola PEAP je bil v domeni treh podjetij, Cisco, Microsoft in RSA. Obstajata dve izvedbi PEAP protokola: PEAP-GTC: Generic Token Card PEAP-MSCHAPv2: Microsoft Challenge Handshake Authentication Protocol version 2 PEAP proces avtentikacije je sestavljen iz dveh faz: Faza1:Odjemalec najprej overi avtentikacijski strežnik, s tem se izogne povezovanju v t.i. sleparska omrežja (rogue networks). TLS vzpostavi robusten in šifriran kanal med odjemalcem in avtentikacijskim strežnikom. Faza2: TLS kanal ščiti izmenjavo avtentikacijskih sporočil med odjemalcem in avtentikacijskim strežnikom. PEAP-MSCHAPv2 je poleg EAP-TLS drugi najbolj podprt EAP standard na svetu, saj vsebuje pravšnjo kombinacijo varnosti, prožnosti in preprostosti izvedbe. 5.5.5 EAP SIM Standard vrste EAP SIM izvaja avtentifikacijo v brezžičnih lokalnih omrežjih s pomočjo SIM kartice. Ta vrsta avtentifikacije je uporabna predvsem v javnih WLAN omrežjih, še posebej pa bo dobila pomen, ko bo omogočeno prehajanje med WLAN omrežji in omrežji mobilne telefonije. 5.6 AAA avtentikacija, avtorizacija in obračunavanje V računalniški varnosti AAA pomeni authentication, authorization and accounting (avtentikacija, avtorizacija in obračunavanje). AAA je izraz za orodje, ki skrbi za inteligentno kontrolo dostopa do računalniških virov. Obenem skrbi za uveljavljanje varnostne politike in za zagotavljanje informacij o aktivnosti določenega administratorja na omrežni opremi. Poleg tega skrbi tudi za zagotavljanje informacij, ki so potrebne za zaračunavanje storitev končnega uporabnika. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 19
Avtentikacija predstavlja način identifikacije uporabnika, tipično z uporabniškim imenom in geslom ali digitalnim certifikatom. Postopek bazira na tem, da ima vsak uporabnik edinstveno predpisane kriterije za dostop. Avtenticirani pa so lahko tudi strežniki, usmerjevalniki, stikala in računalniki končnih uporabnikov. Postopek avtorizacije definira uporabnikom, skupinam uporabnikov, storitvam ali procesom pravice dostopa do različnih omrežnih naprav. Glavna naloga obračunavanja je beleženje oz. ugotavljanje, kdo ali kaj je izvedel določeno operacijo. 5.6.1 Protokol RADIUS Radius (Remote Authentication Dial-in User Service) je protokol, ki bazira na komunikaciji odjemalec-strežnik. Odjemalec je omrežni dostopovni strežnik-nas (Network Access Server), strežnikovi procesi pa večinoma tečejo na operacijskih sistemih kot sta UNIX ali Windows NT. Komunikacija med omrežnim dostopovnim strežnikom in RADIUS strežnikom bazira na nepovezavni storitvi UDP (User Datagram Protocol). Odjemalec pošlje uporabnikovo informacijo k določenemu RADIUS strežniku. Odjemalčevo obnašanje je v nadaljevanju odvisno od prejetega odgovora s strani RADIUS strežnika. Ko prejme RADIUS strežnik zahtevo po vzpostavitvi povezave, najprej avtenticira uporabnika, nato do odjemalca pošlje potrebne konfiguracijske informacije. Namen teh je nemoteno zagotavljanje storitev uporabniku. RADIUS šifrira v paketu le geslo za zahtevo dostopa, ki potuje od odjemalca do strežnika. Preostali del paketa ostaja nešifriran. 5.6.2 Protokol TACACS+ Protokol TACACS+ (Terminal Access Controller Access-Control System Plus) je lastniški protokol podjetja Cisco Systems. TACACS+ uporablja AAA arhitekturo, ki ločuje avtorizacijo, avtentikacijo in obračunavanje, medtem ko protokol RADIUS združuje le avtentikacijo in avtorizacijo. TACACS+ uporablja transportni protokol TCP, ki ima pred UDP protokolom, katerega uporablja RADIUS, kar nekaj prednosti. TACACS+ je protokol, ki omogoča dostopovno kontrolo, avtorizacijo in obračunavanje do množice omrežnih naprav preko enega samega strežnika. Največja prednost je torej to, da imamo centraliziran strežnik, na katerem imamo definirane uporabnike, ki jim dovolimo izvedbo točno določenih ukazov na usmerjevalnikih. Strežnik lahko vsebuje interno bazo, v kateri je tudi do 5000 uporabnikov. TACACS+ šifrira celotno telo paketa, vendar ohranja standardno TACACS+ glavo. Znotraj glave je polje, ki označuje, ali je telo paketa šifrirano ali nešifrirano. Pri namenu iskanja napak je koristno, če je telo paketa nešifrirano. Kljub temu se skoraj brez izjeme zaradi varnejše komunikacije telo paketa šifrira. 5.7 Navidezno lokalno omrežje (VLAN) Navidezno lokalno omrežje (Virtual LAN - VLAN) predstavlja logično ureditev omrežnih naprav v skupine. Te so lahko grupirane po funkciji, oddelku, itd., ne glede na fizično lokacijo uporabnikov. S tem vključujemo različne uporabnike v omrežje in jim omogočamo dostop do virov in sredstev omrežja, hkrati pa jim omogočamo popolno avtonomnost znotraj posameznih VLAN skupin (slika 17). Virtualna omrežja lahko izboljšajo nivo varnosti, poleg tega kontrolirajo razpršeno oddajo ( Broadcast) v sloju 3 OSI modela. V omrežjih, kjer visok odstotek prometa predstavlja razpršeno Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 20
oddajanje (broadcast) ali oddajanje več prejemnikom (multicast), lahko VLAN-i zmanjšajo potrebo po pošiljanju prometa k nepotrebnim destinacijam. Vse delovne postaje in strežnike, ki jih za svoje delo uporablja določena delovna skupina, je moč povezati v skupno VLAN omrežje, ne glede na njihovo fizično povezavo na omrežje in morebitno pomešanost te skupine z drugimi delovnimi skupinami. VLAN omrežje se vzpostavi s pomočjo programske opreme in ne s fizičnim preklapljanjem naprav ali povezav. Kadar želimo komunicirati med virtualnimi omrežji, to storimo z uporabo usmerjevalnika, ki nam poleg komunikacije ponuja tudi varnostne in filtrirne funkcije. Protokol, ki omogoča povezavo med VLAN i, se imenuje IEEE 802.1Q. (Passmore, 2009) Slika 16: Razčlenjenost omrežja na VLAN-e (Cisco System, 2009) VLAN zagotavlja varnost na dva načina: Ker so VLAN-i logično osnovane grupe, ki se obnašajo kot fizično ločene enote, poteka komunikacija med VLAN-i preko usmerjevalnika ali t.i. Layer 3 stikala. Ko pride do tovrstnega komuniciranja preko usmerjevalnika ali Layer 3 stikala, se lahko uporabijo vse varnostne in filtrirne funkcije, ki jih običajno nudijo usmerjevalniki, ker imajo le ti možnost vpogleda v informacije OSI L3 sloja. Uporabnike, ki potrebujejo visoko stopnjo varnosti podatkov, je moč združiti v samostojen VLAN in noben uporabnik zunaj tega VLAN-a ne more komunicirati z njimi. Seveda je za to potrebno pravilno definirati seznam za nadzor dostopa. Več o seznamu za nadzor dostopa pa je opisano v naslednjem podpoglavju. 5.8 Seznami za nadzor dostopa Seznami za nadzor dostopa (Access Control List - ACL) so seznami s točno določenimi pogoji za omrežni promet, ki potuje preko vmesnikov na usmerjevalniku. ACL povedo usmerjevalniku, kateri tip paketov lahko sprejme ali zavrne. Seznami za nadzor dostopa so lahko konfigurirani za različne tipe protokolov, različne storitve (vrata) ter smer prometa na vmesniku. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 21
Najbolj pogosti seznami za nadzor dostopa, ki jih uporabljajo naprave iz družine Cisco Systems so: standardni, razširjeni, imenski. Standardni so označeni z identifikacijsko številko 1-99 in 1300-1999 in promet filtrirajo le glede na izvorni IP naslov. Implementiramo jih na vmesnik, ki je najbliže ciljnemu naslovu. Razširjeni seznami za nadzor dostopa lahko preverjajo končni in izvorni naslov, protokole ter celo vrata, zato so tudi uporabljani pogosteje kot standardni. Označimo jih s številkami od 100-199 in 2000-2699 in jih postavimo na vrata čim bliže izvoru. Imenski seznami dostopa delujejo podobno kot razširjeni seznami, le da imajo namesto identifikacijske številke ime, oblikovano iz črk. Sezname dostopa moramo spisati za vsak vmesnik in vsako smer posebej. Za promet v omrežje in iz njega potrebujemo torej dva različna seznama dostopa. Usmerjevalnik sprejme odločitev o sprejemu ali zavrnitvi paketa na osnovi: izvornega naslova, ciljnega naslova, uporabljenega protokola, številke vrat (port number). (Cisco Systems, 2006) Z dostopnimi seznami lahko: Zagotovimo kontrolo pretoka podatkov. Zagotovimo osnovni nivo varnosti v omrežju. ACL i omogočajo dostop samo določenim uporabnikom v določen del omrežja, ter blokirajo vse ostale. Odločamo, kateri tip prometa bomo blokirali na vmesniku usmerjevalnika. Z ACL i lahko omogočimo elektronsko pošto, blokiramo pa Telnet promet. Določimo uporabnike, ki lahko dostopajo do točno določenih protokolov, kot sta FTP ali HTTP. (McIntire, 2009) Če sedaj ponovno pogledamo sliko 16 (Razčlenjenost omrežja na VLAN-e) v poglavju Navidezno lokalno omrežje (VLAN), vidimo, da sta v omrežju definirana dva VLAN-a (VLAN20 IN VLAN30). S seznamom za nadzor dostopa lahko onemogočimo uporabnikom iz VLAN-a 30 dostop do VLAN-a 20, hkrati pa dopustimo uporabnikom iz VLAN-a 20 dostop do VLAN-a 30. Navidezna lokalna omrežja v kombinaciji s seznamom za nadzor dostopa so še dodatni varnostni ukrep pri zagotavljanju varnosti in organiziranosti v lokalnih omrežjih. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 22
5.9 Tipi nepooblaščenega dostopa v omrežje Čeprav se žična in brezžična omrežja soočajo z isto vrsto groženj, se stopnje tveganja za določene nevarnosti razlikujejo. Pri brezžičnih napadih mora napadalec svojo napravo namestiti v bližino brezžičnega omrežja, medtem ko so napadi po žičnih sistemih lahko izvršeni na daljavo s katere koli lokacije. Vendar pa so mnogi WLAN-i nastavljeni tako, da sploh ne zahtevajo avtentikacije ali le šibko obliko, zaradi česar je napadalcem napad močno olajšan. Do nepooblaščenega dostopa v brezžično omrežje lahko pride na veliko načinov, z različnimi metodami in nameni. V tem poglavju bodo predstavljeni najbolj pogosti tipi nepooblaščenega dostopa v omrežje. Zlonamerna povezava Pri t.i. zlonamerni povezavi napadalec ustvari brezžično napravo, da se v omrežje poveže preko svojega prenosnega računalnika namesto preko omrežne dostopne točke. Te vrste prenosnikov so znane kot mehka dostopna točka in z različnimi programi dosežejo, da je njihova brezžična mrežna kartica videti kot dostopna točka. Ko napadalec dobi dostop do omrežja, lahko ukrade gesla, izvrši napad na običajno omrežje ali pa podtakne trojanskega konja. Naključna povezava Veliko privzetih orodij za povezovanje v brezžična omrežja v operacijskih sistemih se avtomatsko povezuje v brezžična omrežja v dosegu. Do naključne povezave pride, ko uporabnik prižge prenosni računalnik znotraj dosega signala brezžičnega omrežja. Uporabnik se tega najbrž niti ne zaveda, vendar če je računalnik takrat povezan tudi v lokalno omrežje preko lokalnega vmesnika, je to zelo resna varnostna grožnja, saj bi lahko napadalec izkoristil računalnik kot most do podjetja. Da bi preprečili takšne napade, bi morali na vseh brezžičnih odjemalcih nastaviti, da se ne povezujejo avtomatično na brezžične točke. Omrežja Ad-hoc Omrežja Ad-Hoc zaradi neposredne povezave med računalniki brez vmesnih dostopnih točk predstavljajo veliko varnostno grožnjo. Ena od nevarnosti je, da delavec v podjetju pusti brezžični vmesnik omogočen, hkrati pa je povezan v lokalno omrežje preko lokalne mrežne kartice. Pri tej grožnji lahko napadalec, ki je v bližini, dobi dostop do brezžičnega odjemalca. Napadalec ima potem prost dostop do lokalnega omrežja. Ker tovrstna omrežja navadno niso zaščitena, je priporočljiva uporaba metod za kriptiranje podatkov. Netradicionalna omrežja Tudi netradicionalna omrežja, kot je omrežje Bluetooth, niso varna pred napadi. Zaščito potrebujejo celo osebni organizatorji in brezžični omrežni tiskalniki in fotokopirni stroji. Ta netradicionalna omrežja so pogosto spregledana, saj se ljudje osredotočajo le na prenosne računalnike in dostopne točke. Kraja identitete Do kraje identitete pride, ko ima napadalec možnost opazovanja omrežnega prometa in identifikacije naslova MAC računalnika, ki ima v omrežju visoke privilegije. Večina brezžičnih sistemov omogoča filtriranje naslovov MAC, zato da Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 23
lahko le določeni računalniki dostopajo do nastavitev omrežja. Kljub temu pa se da s številnimi programi MAC naslov ponarediti, tako da lahko napadalec, če pozna MAC naslov privilegiranega računalnika, poljubno spreminja nastavitve omrežja. Denial of Service Napad Denial of Service (DoS) je ime za napad, pri katerem napadalec dostopne točke nenehoma obsipa z lažnimi zahtevami in ukazi. Tako početje drugim uporabnikom onemogoči dostop do omrežja, v določenih primerih pa povzroči celo sesutje omrežja. Tovrstni napadi se opirajo na zlorabo protokolov. Napad Man-In-The-Middle Napad Man-In-The-Middle je eden bolj izpopolnjenih napadov, ki jih uporabljajo napadalci. Vrti se okrog nezavarovanega računalnika, preko katerega se napadalec poveže na svoj računalnik, ki je nastavljen kot mehka dostopna točka. Ko je to opravljeno, se napadalec s pomočjo druge brezžične kartice, ki ponuja stabilen tok podatkov skozi transparenten računalnik, uporabljen za napad, poveže na pravo dostopno točko. Napadalec lahko nato prestreza uporabniška imena, gesla, številke kreditnih kartic itd. Network Injection Pri napadu Network Injection napadalec izkoristi dostopne točke, ki so izpostavljene filtriranemu prometu. Napadalec v promet vstavi lažne zahteve in ukaze, ki vplivajo na usmerjevalnike in stikala. S to metodo se lahko zruši celotno omrežje, zato je potreben ponovni zagon ali celo ponovno nastavljanje vseh omrežnih naprav. (Wikipedia: brezžično omrežje, 2009) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 24
6 Predstavitev brezžičnega omrežja v podjetju 6.1 Načrt brezžičnega omrežja Na spodnji sliki je prikazana preprosta shema brezžičnega omrežja v podjetju. Povezave med stikali so gigabitne, prav tako so gigabitne tudi povezave med strežniki. Povezave med stikali in dostopnimi točkami so 100-Mb, kar je trenutno največja hitrost, ki jo podpirajo dostopne točke. Slika 17: Shema brezžičnega omrežja v podjetju (vir: lastni) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 25
6.2 Opis opreme V tem poglavju bom predstavil del opreme, ki se uporablja za delovanje in nadzor brezžičnega lokalnega omrežja v podjetju. 6.2.1 Dostopna točka Cisco Aironet 1130AG IEEE 802.11 A/B/G Za brezžične dostopne točke v podjetju uporabljamo naprave Cisco Aironet 1130 AG. Dostopna točka zagotavlja visoko stopnjo zmogljivosti in varnosti, saj podpira vse varnostne in avtentikacijske mehanizme, ki so trenutno v uporabi. Dostopna točka ima vgrajen dvojni radio, kar pomeni, da podpira oba standarda IEEE a in IEEE g. Naprava ima vgrajene vsesmerne antene, ki poskrbijo za stabilen signal v podjetju. Naprava omogoča tehnologijo Power over Ethernet (PoE), kar pomeni, da dobi napajanje po UTP kablu. S tem si olajšamo delo, saj je potrebno do naprave potegniti samo en kabel namesto dveh. Cisco Aironet 1130 AG je na voljo v dveh verzijah: Lightweight (unified): dostopna točka deluje z Lightweight Access Point Protocol (LWAPP) in v povezavi s Ciscotovim brezžičnim LAN kontrolerjem. Dostopna točka dobi konfiguracijo iz kontrolerja in če se konfiguracija na kontrolerju spremeni, se avtomatsko spremeni tudi na dostopni točki. Standalone (autonomous): dostopna točka, deluje s Ciscotovim IOS sistemom. Vsako dostopno točko je potrebno nastaviti ročno, preko spletne strani ali konzolnega okna. Slika 18: Dostopna točka Cisco Aironet 1130AG (Cisco System, 2008) Kadar imamo malo dostopnih točk uporabimo standalone verzijo, čim pa se število dostopnih točk povzpne nad 10, je že smiselna uporaba Lightweight dostopnih točk. V podjetju zaradi večjega števila dostopnih točk uporabljamo Lightweight dostopne točke. Prednost pri uporabi kontrolerja in Lightweight dostopnih točk je pri konfiguraciji in nadzoru dostopnih točk, saj se vse nastavitve na dostopnih točkah nastavljajo preko kontrolerja. Vse dostopne točke so v svojem VLAN-u, dostop do njih je omogočen samo nekaterim osebam iz sektorja informatike. 6.2.2 Cisco Wirelless LAN controller Cisco WLC Za nadzor in konfiguracijo dostopnih točk v podjetju uporabljamo Cisco Wirelless LAN controller 4402, ki omogoča konfiguracijo in nadzor do 50 dostopnih točk. Z kontrolerjem je nadzor nad dostopnimi točkami poenostavljen, saj imamo pregled nad vsemi dostopnimi točkami na enem mestu. Prav tako je poenostavljena konfiguracija dostopnih točk. Komunikacija med dostopnimi točkami in kontrolerjem zagotavlja protokol LWAPP. LWAPP se uporablja za izmenjavo informacij med dostopnimi točkami in kontrolerjem Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 26
preko šifriranega kanala. Odjemalčevi podatki so oviti z LWAPP glavo, ki vsebuje podatke o odjemalčevi moči sprejetega signala (Signal Strength Indicator - RSSI) in šumu signala ( signal-to-noise ratio - SNR). Podatki so nato poslani kontrolerju. Dostopna točka in kontroler si izmenjata certifikate za medsebojno preverjanje pristnosti. S tem se odkrijejo vse lažne dostopne točke, ki niso sposobne upravljati s LWAPP protokolom, prav tako pa je potrebno nastaviti omrežje, da se vse dostopne točke overijo, preden se jim pošlje konfiguracijo. S tem se zmanjša tveganje, da bi neka tuja dostopna točka dobila konfiguracijo. Konfiguracija na dostopni točki je shranjena v RAM-u, tako da ne more biti pridobljena iz dostopne točke, če je le ta odstranjen iz omrežja. Slika 19: Prikaz konfiguracije dostopnih točk preko kontrolerja (Cisco System, 2008) Za dostop do kontrolerja uporabljamo HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) protokol, ki je zavarovana različica protokola HTTP (Hypertext Transfer Protocol). Za razliko od HTTP-ja uporablja HTTPS še SSL (Secure Socket Layer). SSL je protokol, ki zagotavlja zasebnost in zanesljivost med dvema komunicirajočima aplikacijama. Protokol deluje med TCP/IP in aplikacijskim slojem (pod višje ležečimi protokoli, kot so TELNET, FTP, HTTP itd). Zagotavlja šifriranje ter overjanje strežnika in odjemalca. 6.2.3 Stikalo Stikala so naprave, ki so namenjene povečanju prepustnosti znotraj lokalnega omrežja. Stikalo omogoča namensko povezavo do naprav, kar pomeni, da lahko več naprav, priključenih na stikalo, sočasno oddaja in sprejema podatke. Ko podatki pridejo do stikala, le-to pregleda informacije o prejemniku in pošiljatelju, ki so pripete v vsakem podatkovnem paketu. Iz te informacije stikalo izlušči cilj posameznega paketa, ustvari navidezno povezavo do cilja in tja pošlje paket. Učinkovitost in hitrost stikala je odvisna od algoritma in procesorja, ki ga krmili. Sama kompleksnost pa je določena s slojem OSI referenčnega modela, v katerem deluje stikalo. V podjetju uporabljamo Layer 2 in Layer 3 stikala: Layer 2 stikala so naprave, ki delujejo na 2. povezovalni plasti referenčnega modela OSI in operirajo z uporabo fizičnih omrežnih naslovov. Fizični naslovi oz. MAC naslovi enoznačno določajo posamezne naprave. Stikala na tem nivoju so zelo hitra, saj opravljajo večinoma le sortiranje MAC naslovov. Veliko L2 stikal podpira možnost inteligentnih storitev, kot so QoS (Quality of Service), določanje pasovne širine, VLAN. Layer 3 stikala so naprave, ki delujejo na 3. omrežni plasti referenčnega modela OSI in uporabljajo omrežje ali IP naslove za določanje lokacije v omrežju. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 27
Informacije v paketih prebirajo bolj natančno kot L2 stikala in lahko določijo tako mrežno kot fizično lokacijo naprave. Lokacija je lahko LAN delovna postaja ali pa točna lokacija v računalniškem spominu. Stikala na tem sloju vključujejo tudi usmerjevalne funkcije, ki aktivno preračunavajo najboljšo pot za pošiljanje paketov do cilja. V podjetju uporabljamo tudi t.i. PoE stikala, na katera so priklopljene dostopne točke. PoE LAN stikala služijo za napajanje preko etherneta in omrežno povezljivost brezžičnih dostopnih točk. 6.2.3 Strežnik Za strežnik v podjetju uporabljamo aplikacijski strežnik IBM System x3350, ki zagotavlja izjemno zanesljivost, dostopnost in popoln nadzor nad delovanjem. Na njem je naložen operacijski sistem Microsoft Windows Server 2003. Strežnik uporabljamo kot DHCP (Dynamic Host Configuration Protocol - protokol za dinamično konfiguriranje gostiteljskih računalnikov) strežnik. DHCP strežnik je aplikacija, ki teče na strežniku in daje usluge odjemalcem. DHCP dinamično dodeljuje IP naslove iz določenega obsega, ki jih določi administrator. Ko je IP naslov dodeljen postaji, ne dovoli več dodeljevanja tega IP naslova drugi postaji. To preprečuje podvajanje IP naslovov. Strežnik uporabljamo tudi kot Certifiate Authority (CA) za delo z digitalnimi potrdili. Digitalno potrdilo je sodobna alternativa klasičnim identifikatorjem s specifičnim namenom zagotavljanja varnega in legitimnega elektronskega poslovanja. Digitalno potrdilo je predstavljeno kot računalniški zapis, ki vsebuje podatke o imetniku, njegov javni ključ, podatke o overitelju oz. izdajatelju digitalnega potrdila ter obdobje veljavnosti digitalnega potrdila, ki je digitalno podpisano z zasebnim ključem izdajatelja potrdila. Seveda mora za podatke v potrdilu in povezavo imetnika z javnim ključem jamčiti določena avtoriteta. Ta avtoriteta izdaja potrdila na podlagi zahtev uporabnikov in jih tudi digitalno podpiše, S tem zagotovi verodostojnost samega potrdila. Digitalno potrdilo lahko torej razumemo kot nekakšno osebno izkaznico, ki nas povezuje z osnovnimi kriptografskimi elementi in posledično z našo navidezno identiteto. Digitalna potrdila v podjetju na brezžične odjemalce namestijo v sektorju informatike. S tem se izognemo poplavi zahtevanih certifikatov. Digitalna potrdila uporabljajo asimetrični algoritem RSA, pri čemer je ključ 1024-bitni. Digitalna potrdila so nameščena na brezžičnem odjemalcu in jih ni mogoče izvoziti. S tem se izognemo, da bi prišlo do zlorabe digitalnih potrdil, saj mora imeti zaradi nadzora vsak brezžični odjemalec svoje unikatno digitalno potrdilo, s katerim se overi na avtentikacijskem strežniku. Na strežniku je naložena tudi programska oprema Cisco Secure Access Control Server 4.2. Cisco Secure Access Server (ACS) je razširljiv in zelo zmogljiv avtentikacijski strežnik, ki zagotavlja celovite rešitve v omrežjih. Cisco Secure ACS je osrednja točka nadzora nad uporabniki in napravami, ki dostopajo do omrežja. Cisco ACS podpira oba protokola za avtentikacijo, avtorizacijo in obračunavanje Radius in Tacas+. V podjetju uporabljamo protokol Radius. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 28
6.2.4 Cisco Wireless Control System Cisco WCS Cisco WCS je vodilna platforma za načrtovanje, konfiguracijo in upravljanje brezžičnega lokalnega omrežja. WCS omogoča načrtovanje, nadzor in spremljanje brezžičnega omrežja iz centralne lokacije, poenostavitev operacij in zmanjšanje skupnih stroškov lastništva. Cisco WCS je omrežna komponenta, ki deluje v povezavi s Cisco Aironet Lightweight Access Points in Cisco wireless LAN controllers. WCS omogoča omrežnim skrbnikom preprosto rešitev za načrtovanje pozicij dostopnih točk, sledenje in pregled nad uporabniki, povezanimi v brezžično omrežje, ter nadzor nad brezžičnim omrežjem. Grafični vmesnik poskrbi, za lažji pregled nad brezžičnim omrežjem. Cisco WCS vključuje orodja za brezžično lokalno omrežje, načrtovanje in projektiranje omrežja, RF upravljanje, Intrusion prevention System (IPS) ter sistemov za konfiguracijo, nadzor in upravljanje brezžičnega omrežja. Za dostop do WCS uporabljamo HTTPS protokol. 6.3 Predstavitev okolja Poslovna zgradba podjetja sodi med višje objekte v Ljubljani, v njej je zaposlenih nekaj več kot 400 ljudi. Stavba podjetja je sestavljena iz dveh delov, starega in novega. Stari del ima 16 nadstropij, novi del pa. V poslovni stavbi je trenutno nameščenih 35 brezžičnih dostopnih točk. V pritličju je nameščena samo ena brezžična točka, ker je s signalom potrebno prekriti samo govorilnice,v katerih potekajo predstavitve in srečanja z obiskovalci. Slika prikazuje pritlične prostore podjetja ter pokritost s signalom. V podjetju imamo tudi menzo, ki je v 16. nadstropju in je prav tako pokrita s signalom, za katerega poskrbi ena dostopna točka. Slika 20: Tloris pritličnih prostorov podjetja (vir: lastni) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 29
V vsakem nadstropju sta za potrebe brezžičnega dostopa nameščeni dve brezžični točki, vsaka v svojem delu. Brezžične točke so nameščene pod strop hodnika, kjer pa to ni bilo mogoče, so jih namestili v pisarne. Ker so nadstropja in razporeditev brezžičnih točk v podjetju skoraj enaka, bom predstavil samo eno nadstropje. Slika spodaj prikazuje tloris in moč signala dostopnih točk v 13. nadstropju. Iz slike je razvidno, da je s signalom pokrito celotno nadstropje v podjetju, razen dveh pisarn. Brezžični dostopni točki sta nameščeni pod stropom na hodniku. Slika 21: Tloris 13. nadstropja v podjetju (vir: lastni) V 7. nadstropju, kjer je največ brezžičnih odjemalcev, pa smo morali namestiti še dodatno brezžično točko, saj so se uporabniki pritoževali nad nihanjem signala. Ker pa je v 7. nadstropju tudi sejna soba, kjer potekajo pomembni sestanki in smo se hoteli izogniti kakršnemukoli izpadu signala, smo v tej sobi namestili še eno dodatno brezžično točko, ki pa v času nastanka slike ni delovala. Nedelujoča brezžična točka je označena z rdečim krogcem, vse delujoče pa z zelenim. S tem smo v celoti pokrili nadstropje s signalom, kar prikazuje spodnja slika. Slike so bile izdelane s programom Cisco Wireless Control System, ki ga uporabljamo za nadzor brezžičnega omrežja v podjetju. Več o Cisco WCS bom opisal v poglavju o nadzoru brezžičnega lokalnega omrežja v podjetju. Kljub nedelujoči brezžični točki uporabniki brezžičnega omrežja nimajo težav pri povezovanju v brezžično omrežje, saj dobivajo signal tudi iz dostopnih točk v spodnjem in zgornjem nadstropju. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 30
Slika 22: Tloris 7. nadstropja v podjetju (vir: lastni) 6.4 Nastavitve brezžičnega lokalnega omrežja v podjetju V podjetju imamo za zagotavljanje brezžičnega lokalnega omrežja trenutno 35 brezžičnih dostopnih točk, ki so nameščene po poslovni stavbi. Na oddaljenih lokacijah pa imamo postavljenih še 8 brezžičnih dostopnih točk. Kot sem omenil v prejšnjem poglavju, za konfiguracijo le teh uporabljamo Cisco Wirelless LAN controller. Kontroler je osrednja točka, t.i. možgani za brezžično lokalno omrežje. Na kontrolerju se nastavijo vsi varnostni parametri za vse brezžične odjemalce, nastavitve za DHCP strežnik ter parametri za kakovost storitve oz. QoS (quality of service). Kontroler upravlja z vsemi dostopnimi točkami, saj nadzira moč signala, kanal, na katerem je dostopna točka, ter določa, katera dostopna točka bo oddajala katere WLAN SSID-je (Service Set identifier). Service Set Identifier je ime brezžičnega lokalnega omrežja. V tem poglavju bom predstavil najpomembnejše nastavitve kontrolerja, ter nastavitve brezžičnih dostopnih točk. Kontroler in brezžične točke so v VLAN-u, ki ga imenujemo WLCmanagement. VLAN je v svojem podomrežju in uporablja 24-bitno masko, kar pomeni, da imamo na voljo 254 različnih IP-jev. V temu VLAN-u je omogočen tudi DHCP pool za 107 IP naslovov, saj dostopne točke nimajo statičnega IP-ja. Dostop do naprav, ki so v tem VLAN-u je odobren samo informatikom. Kontroler pa ima za razliko od dostopnih točk nastavljen statični IP, saj je s tem dostop do njega enostavnejši. Do kontrolerja se povezujemo preko spletne strani, ki od nas zahteva uporabniški ime in geslo, ki ga v tem trenutku poznajo samo tri osebe v podjetju. Na kontrolerju imamo definirane različne SSID-je, ki so namenjeni različnim skupinam ljudi. Definiranih imamo 4 različne ssid-je, ki pa imajo zaradi varnosti v diplomski nalogi drugačna imena. SSID-ji so: podjetje, brezžično lokalno omrežje, ki je namenjeno zaposlenim v poslovni stavbi. Podjetje_Gostje, brezžično lokalno omrežje, ki je namenjeno gostom podjetja. Omogočen imajo samo dostop do interneta. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 31
bspet, profil, ki je namenjen zunanjim lokacijam. psipph, ssid, ki je namenjen VOIP telefoniji. Slika 23: Pregled definiranih SSID-jev na kontrolerju (vir: lastni) Na kontrolerju imamo definirane tudi tri skupine, v katere so dodeljeni zgornji SSID-ji. Te skupine so: Dunajska, dostopne točke v poslovni stavbi. OE, dostopne točke na bencinskih servisih. Vinjete, dostopne točke, ki so namenjene prodaji vinjet. Vse dostopne točke v poslovni stavbi so postavljene v skupino Dunajska, ki združuje naslednje tri SSID-je: podjetje, Podjetje_Gostje in psipph. To pomeni, da vse brezžične dostopne točke, ki so nameščene v poslovni stavbi in jih je trenutno 35, oddaja te tri profile. Prav tako pa je na tem mestu potrebno poudariti, da imamo za vsak SSID kreiran svoj dinamični vmesnik. Dinamični vmesniki so pravzaprav različni VLAN-i, ki so namenjeni ločevanju prometa med profili v brezžičnem lokalnem omrežju. Na kontrolerju je mogoče definirati do 512 različnih dinamičnih vmesnikov. Ker imamo v podjetju zaenkrat definirane samo 4 različne SSID profile, imamo v ta namen definirane samo 4 dinamične vmesnike. Vsak dinamični vmesnik vsebuje naslednje pomembne nastavitve: 1. Interface Name ime dinamičnega vmesnika. 2. VLAN Identifier številka VLAN-a. 3. IP Address, mask and gateway information nastavitve omrežja, kot so IP naslov, maska podomrežja in privzet prehod. 4. DHCP Information vpisati je potrebno IP naslov DHCP strežnika, če želimo, da bodo brezžični odjemalci samodejno pridobili IP naslov. DHCP strežnik je v brezžičnih lokalnih omrežjih zaželen, saj tako uporabnikom ni potrebno vnašati statičnih IP naslovov v svoje brezžične odjemalce. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 32
Slika 24: Pregled nastavitev dinamičnega vmesnika zaposleni_podjetje (vir: lastni) V nadaljevanju bom podrobneje opisal profil, ki je namenjen zaposlenim v poslovni stavbi. Kot sem že omenil, je za zaposlene v poslovni stavbi namenjeno brezžično omrežje z imenom podjetje. SSID podjetje je v VLAN-u, ki ga imenujemo zaposleni_podjetje. Ta VLAN ima definiran DHCP pool za 107 brezžičnih odjemalcev, kar je v sedanjih razmerah dovolj, saj zaenkrat nimamo toliko brezžičnih odjemalcev, da bi bili zasedeni vsi IP naslovi. Brezžične dostopne točke imajo vgrajen dvojni radio, kar pomeni, da podpirajo oba standarda IEEE a in IEEE g. V profilu podjetje sta omogočena oba radia. SSID podjetje ima onemogočeno oddajanje imena brezžičnega omrežja (SSID broadcast disable). Čeprav je tehnika skrivanja imena brezžičnega omrežja najmanj učinkovita iz vidika varnosti, pa omogoča, da se v omrežje ne more priključiti vsak naključni mimoidoči, saj mora za priklop poznati točno ime omrežja in ga vpisati v nastavitvah brezžičnega odjemalca. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 33
Slika 25: Glavne značilnosti SSID-ja podjetje (vir: lastni) Ločevanje overjanja in šifriranja je ključni element za izboljšanje varnosti v brezžičnih omrežjih. SSID podjetje uporablja overjanje po protokolu IEEE 802.1X, za šifriranje pa sta izbrana trenutno najmočnejša protokola WPA in WPA2. Pri obeh protokolih imamo omogočena oba šifrirna protokola, TKIP in AES. Za overjanje brezžičnih odjemalcev na strežniku uporabljamo protokol RADIUS. Čeprav je protokol WPA2 luč sveta ugledal že leta 2004, imamo v podjetju kar nekaj brezžičnih odjemalcev, ki ne podpirajo tega protokola. Prav zaradi njih imamo še omogočeno WPA šifriranje. Vsi novi brezžični odjemalci, ki že podpirajo protokol WPA2, imajo šifriranje nastavljeno na AES. Kontroler in brezžične dostopne točke nam omogočajo tudi nastavitev MAC filtra. Z omogočanjem varnosti preko preverjanja MAC naslovov lahko povečamo varnost našega brezžičnega lokalnega omrežja. V podjetju te funkcije nimamo omogočene, saj je potrebno za vsako fizično napravo, ki hoče dostopati do brezžičnega omrežja, vpisati fizični naslov mrežne kartice v kontroler, kar pa je pri velikem številu brezžičnih odjemalcev preveč zamudno. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 34
Slika 26: Varnostne nastavitve SSID-ja podjetje (vir: lastni) Zaradi zahtevnih nastavitev brezžičnega lokalnega omrežja brezžičnih odjemalcev ne nastavljajo uporabniki sami, ampak za to poskrbijo zaposleni v Sektorju informatika. Ker uporabljamo overjanje po protokolu 802.1X, je potrebno na vse brezžične odjemalce namestiti digitalna potrdila. Vsako digitalno potrdilo ima unikatno ime. Podjetje svojim zaposlenim zagotovi prenosne računalnike, če jih potrebujejo pri svojem delu. Vsi brezžični odjemalce, ki so last podjetja, imajo digitalne certifikate, katerih ime je enako inventarni številki naprave. Pred inventarno številko pa obvezno sledi tip brezžičnega odjemalca. Če gre za prenosni računalnik, se pred inventarno številko pripiše PC, če gre za dlančnik, pa PDA. Ker vsak prenosni računalnik pripada točno določeni osebi, ni potrebe, da bi se digitalna potrdila imenovala drugače. Na brezžične odjemalce, ki niso last podjetja, ne nameščamo digitalnih potrdil, saj v večini primerov le-ti nimajo ustrezne programske opreme za zaščito podatkov. Ker so digitalna potrdila ključnega pomena za varnost našega brezžičnega omrežja, jih na računalnike nameščajo v Sektorju informatika. Zahtevek za digitalno potrdilo se izvede na vsakem brezžičnem odjemalcu posebej. Zahteva za digitalno potrdilo se izvede preko spletne strani http://acs1/certsrv, ki predstavlja naš spletni strežnik z nameščenim Certifiate Authority. V obrazec za zahtevo certifikata je potrebno vnesti: 1. ime certifikata, 2. izbrati ustrezen tip certifikata, v našem primeru gre za Client Authentication Certificate, saj digitalno potrdilo nameščamo na odjemalce, 3. izbrati ustrezno moč kriptiranja, v našem primeru izberemo vrednost 1024, 4. obvezno pustiti prazno polje Mark keys as exportable, saj ne želimo, da bi bilo certifikat moč izvoziti. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 35
Slika 27: Obrazec za pridobitev digitalnega potrdila (vir: lastni) Po vnosu vseh potrebnih podatkov v obrazec oddamo zahtevo za pridobitev digitalnega potrdila. Zahtevek dobi status Certificate Pending. Administrator, ki je zadolžen za strežnik, na katerem je nameščena programska oprema CA, lahko zahtevo za pridobitev digitalnega potrdila odobri ali zavrne, če so vpisani napačni podatki. Če je zahtevek odobren, lahko digitalno potrdilo preko spletne strani http://acs1/certsrv/certckpn.asp namestimo na računalnik. Poleg odobritve certifikatov je potrebno uporabnike vnesti v Cisco Secure Access Control Server. V podjetju za overjanje brezžičnega odjemalca na avtentikacijskem strežniku uporabljamo protokol EAP-TLS, ki trenutno omogoča najmočnejšo metodo overjanja. V nastavitvah ACS imamo med vsemi protokoli izbran samo protokol EAP- TLS, saj drugih ne uporabljamo. Uporabnika je potrebno vnesti v bazo ACS z imenom, ki ga ima naše digitalno potrdilo. Izbrati je potrebno skupino, ki je namenjena brezžičnim odjemalcem in se imenuje wireless. Skupina wireless ima definiran seznam za nadzor dostopa, ki uporabnikom v tej skupini onemogoči dostop do določenih naslovov. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 36
Ko je uporabnik vnesen v ACS, je potrebno na brezžičnem odjemalcu kreirati brezžično povezavo. V brezžičnih povezavah je potrebno ustvariti nov profil podjetje s točno določenimi parametri, saj zaradi varnosti ne oddajamo imena brezžičnega omrežja. V profilu omogočimo, da se vzpostavi povezava, ko je omrežje v dometu, saj s tem olajšamo delo uporabnikom. Spodnja slika prikazuje nastavitve profila podjetje, kreiranega v Intel(R) PROSet/Wireless Software 12.0.4.0, saj ima prenosni računalnik, Intelovo brezžično kartico. Brezžična kartica podpira protokol WPA2, zato je izbrano šifriranje AES-CCMP, ki je trenutno najmočnejša oblika šifriranja podatkov v brezžičnih omrežjih. Izbrati je potrebno tudi pravilno obliko overjanja na avtentikacijskem strežniku, ki je v našem primeru TLS, ter izbrati digitalno potrdilo, s katerim se bomo prijavljali v brezžično omrežje. Slika 28: Varnostne nastavitve profila podjetje z uporabo programa PROSet/Wireless Software (vir: lastni) 6.5 Nadzor brezžičnega lokalnega omrežja v podjetju Upravljanje brezžičnega omrežja iz ene same točke je ključni element za učinkovitost in doslednost. V podjetju za načrtovanje, nadzor in spremljanje brezžičnega omrežja uporabljamo Cisco Wireless Control System. WCS je strežnik za nadzor in upravljanje brezžičnih storitev, ki nadzoruje in upravlja celotno omrežje. Med seboj povezuje kontrolno enoto in preko nje dostopne točke. Cisco WCS omogoča krmiljenje in nadzorovanje celotnega brezžičnega omrežja preko grafičnega vmesnika. Strežnik WCS nudi omrežnim administratorjem edinstveno rešitev, ki omogoča načrtovanje celotnega radijskega spektra, uveljavljanje politike dostopa v omrežje, optimizacijo brezžičnega omrežja, enostavno odkrivanje morebitnih težav ali izpadov v omrežju, Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 37
sledenje uporabnikom in napravam, nadzorovanje varnosti v omrežju ter sistemsko upravljanje celotnega brezžičnega omrežja. Z uporabo WCS omrežij administratorji ne potrebujejo neposredne povezave z WLAN kontrolerjem, saj se lahko konfiguracija brezžičnih točk izvede preko WCS. Prav tako kot do kontrolerja se tudi do WCS povezujemo preko varne spletne strani, ki od nas zahteva uporabniško ime in geslo. Uporabniško ime in geslo sta zaradi varnosti drugačnii kot na kontrolerju. Ob uspešni prijavi na WCS se nam odpre domača stran z najbolj pomembnimi podatki, kot so: število kontrolerjev, število delujočih in nedelujočih brezžičnih točk, število delujočih in nedelujočih 802.11 a radiev, število delujočih in nedelujočih 802.11 b/g/n radiev, število povezanih brezžičnih odjemalcev, lahko grafično ali v obliki tabele. Podatke lahko pregledujemo po dnevih, tednih, mesecih, letih, ; hitrost prenosa podatkov v brezžičnem omrežju, recent coverage holes, odkrite sleparske dostopne točke (Rogue Access Points); varnostna opozorila. Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 38
Slika 29: Domača stran WCS-a za nadzor brezžičnega omrežja (vir: lastni) Tadej Levstik: Varnost podatkov v brezžičnem lokalnem omrežju stran 39