Wireless (bežična) mreža je kompjuterska mreža koja nam omogućava da pristupimo mrežnim resursima bez potrebe da se fizički povežemo na mrežu (koristeći kablove). Ovaj modul opisuje kako se konfigurišu bežični mrežni elementi Windows Vista operativnog sistema koji su potrebni da bi moglo da se pristupa bežičnim mrežama. Modul takođe pokazuje na koji način mogu da se konfigurišu opcije za Offline fajlove u Windows Vista-i. Offline fajlovi omogućavaju korisnicima da rade na mrežnim fajlovima kada nisu konektovani na mrežu ili kada se nalazi izvan domašaja bežične mreže.


Windows Vista specijalista će možda morati da aisistira u predstavljanju i pružanju podrške bežičnoj mreži u organizaciji. Ova lekcija uključuje informacije koje su potrebne da bi se implementirale i podržale bežične mreže. Lekcija počinje diskusijom o začetku bežičnih mreža i nastavlja se opisivanjem različitih bežičnih tehnologija koje se danas koriste. Na kraju, lekcija pokriva sigurnosne opcije koje mogu da se iskoriste u organizaciji koja poseduje bežičnu mrežu.

 

Šta je bežična mreža (Wireless Network)?

Većina velikih poslovnih organizacija, kao i veliki broj kućnih i manjih poslovnih organizacija, danas koriste bežične mreže. Sa Wireless Local Srea Network (WAN) klijentski kompjuteri mogu da se konektuju na mrežu bez potrebe za fizičkim konektovanjem koristeći kablove. Bežična mreža koristi kratkotalasne radio signale između transmitera i prima i šalje mrežne pakete na isti način kao u kabliranim mrežama.

 

Poslovne (Business) prednosti

Glavna prednost korišćenja bežičnih mreža u organizaciji je povećana fleksibilnost i mobilnost koje bežične mreže nude zaposlenima u organizaciji. Zaposleni mogu da rade daleko od svojih stolova i mogu da budu moblini, a da se pritom ne diskonektuju sa mreže. Sledeća lista uključuje neke od primera ovih poslovnih prednosti korišćenja WLAN-a:

  • mobilni korisnici se pomeraju iz jedne kancelarije u drugu. Konekcija je dostupna sa bilo koje fizičke lokacije u kojoj se nalazi Wireless podrška. Korisnici ne moraju da pretražuju mrežne portove i kablove da bi se konektovali na mrežu,
  • mobilni korisnici mogu da pristupe informacijama u preduzeću dok se nalaze na putu korišćenjem Internet Hot Spotova ili javnih WLAN-ova. Internet Hot Spots veoma su popularni na glavnim aerodromima i u hotelima. Koristeći ove lokacije mobilni korisnici mogu da koriste javnu bežičnu mrežu za pristup informacijama u mreži organizacije i takođe osiguraju svoju koneciju korišćenjem VPN-a,
  • korisnici mogu da ostanu onlajn i da koriste i-mejl, elektronski kalendar i čet tehnologije čak i kada su na sastancima ili kada rade daleko od svojih radnih stolova,
  • novi pametni uređaji su u mogućnosti da koriste bežične mreže. Uređaji kao što su WiFi Enabled PDAs mogu da se implementiraju u organizaciji i samim tim učiniti da korisničke informacije budu dostupnije,
  • fleksibilnost organizacije je povećana. Zbog toga što korisnici nisu umreženi kablovima koje je inače potrebno razvlačiti po stolovima ili između njih, moguće je brzo pomeranje stolova čak i celih kancelarija.

 

Iako bežične mreže pružaju mogućnost menjanja mesta i uklanjaju kabaste žice sa mreže, one takođe kreiraju i probleme, kao što su mešanje, povećanje sigurnosnih rizika koje moramo da izbegnemo.

 

Načini rada bežičnih mreža (Wireless Network Modes)

Možemo da startujemo WLAN mrežne adaptere u dva načina rada:

  • Ad hoc mode: WLAN klijentski mrežni adapter komunicira direktno sa drugim WLAN mrežnim adapterom. Koristeći ovaj način rada administrator omogućava Peer-to-Peer komunikaciju. Da bismo dosegli do Interneta ili do druge mreže, moramo da konfigurišemo jedan od hostova da bude ruter koji je konektovan na mrežu.
  • Infrasrtucture mode: Klijentski mrežni adapteri komuniciraju samo sa specijalinim radio mostovima (Radio Bridges) koji se nazivaju Wireless Access Points (WAPs) koji su direktno konektovani na bežičnu mrežu. Kada kreiramo konfederaciju između klijenta i WAP-a, mi konfigurišemo klijenta da koristi Service Set Identifier (SSID) Wireless Access Point-a. Da bismo izgradili infrastrukturni WLAN, jednostavno postavimo Wireless Access Point-e po celoj kompaniji. WLAN korisnici nakon toga mogu da se konektuju na mrežu sa svojih kompjutera, uključujući mobilne kompjutere, koristeći najbliži WAP.

 

Bežični mrežni standardi

Kao odgovor na sigurnosne slabosti u bežičnim mrežama, vodeći mrežni proizvođači su ponudili različite solucije. Jedna od solucija za implementaciju sigurne bežične mreže je korišćenje bežičnih mrežnih standarda. Bežični standardi su kreirali ljudi iz Institute of Electrical and Electronics Engineers (IEEE).

 

Od 802.11 do 802.11g

802.11 familija specifikacija uključuje sledeće standarde:

  • 802.11: Ovo je osnovni bežični mrežni standard koji definiše način stransfera podataka 1MB po sekundi (Mbps) i 2 Mbps i koristi radio frekvenciju od 2.45 GHz.
  • 802.11a: Ova modifikacija 802.11 standarda nudi brži način prenosa podataka do 54 Mbps, ali obično nudi konekcije na kraćim distancama od drugih bežičnih standarda.
  • 802.11b: Ovaj standard podržava dve dodatne brzine: 5.5 Mbps i 11 Mbps.
  • 802.11g: Ovaj standard je unapređeni 802.11b standard i kompatibilan je sa tim standardom kao is a 802.11 standardom.
  • 802.11i: Ovaj standard koji je takođe poznat pod nazivom WPA2 uspostavlja standardni autentifikacioni i enkripcioni process za bežične mreže. WPA2 nudi autentifikaciju koristeći IEEE 802.1X i EAP, ali takođe može da koristi i Preshared Keys za manje implementacije.

 

Kako WEP osigurava poverljivost podataka

WEP Protokol je dizajniran kao kombinacija kontrole pristupa, privatnosti linka i Message Integrity sistema za WLAN. Bežični ruteri i tačke pristupa koriste WEP sigurnost za šifrovanje podataka koji se šalju i primaju preko bežičnih uređaja.

WEP: WEP je protokol koji je usvojio 802.11 komitet i služi za zaštitu bežičnog saobraćaja. Postoje 3 tipa WEP ključeva za šifrovanje koje koriste Off-the-shelf bežični ruteri: 40-bit, 128-bit, 265-bit (RC4).

Kao dodatak WEP ključu, Service Set Identifier (SSID) treba da bude podešen na bežičnoj tački pristupa (Access Point). SSID identifikuje ime bežične mreže; ovaj iznos se emituje preko tačke pristupa u formi čistog teksta i može se dobiti korišćenjem prostog analizatora protokola u sekudama. Neke bežične tačke pristupa imaju mogućnost da zabrane emitovanje SSID, i samim time čine da maliciozni korisnici ne mogu lako da se konektuju.

 

Tipovi WEP-a

Dva WEP standarda se koriste i to su statički WEP i dinamički WEP:

  • Statistički WEP (Static WEP): Wired Equivalent Privacy (WEP) je prvi put predstavljen da asistira u kreiranju sigurnosti vazduha koja je jednaka sigurnosti u kablovima. Statični WEP ima nekoliko ograničenja i ona uključuju: teško je upravljati klijentskim WEP ključevima zato što svi klijenti dele isti statički WEP ključ, kompromitovanje ovog ključa može da ugrozi kompletnu komunikaciju; statički WEP ključevi obično se ne menjaju što rezultuje time da napadač ima više vremena da osmisli napad; WEP ključ može lako da se oporavi koristeći dostupne alatke.
  • Dinamički WEP (Dynamic WEP): Dinamički WEP je nestandardna tehnologija. Ona definiše samo postavke za šifrovanje podataka i integritet bežičnih mreža. Ovaj metod mora da bude spojen sa naprednom sigurnosnom solucijom koja uključuje jaku autentifikaciju i dinamičko ponovno dodeljivanje ključeva za šifrovanje (Re-keying). Iako je ovaj metod siguran u  praksi, administratori bi trebalo da budu upoznati sa sledećim problemima: Dinamički WEP koristi odvojeni statički ključ za globalno transmisiju kao što je emitovanje (Broadcast) paketa. Za razliku od individualnih korisničkih ključeva, globalni ključ se ne obnavlja. Korišćenje statičkih ključeva za globalni prenos podataka daje napadaču mogućnost otkrivanja informacija o mreži kao što su IP adrese i imena kompjutera; WEP Protected Network Frames daje slabu zaštitu integritetu. Koristeći kriptografske tehnike, napadač može da modifikuje informacije u WLAN frejmu i ažurira Frame Integrity Check iznos, a da onaj ko prima podatak, to ne primeti.

 

WEP proces šifrovanja

Sledeći koraci slede nakon omogućavanja WEP-a na Wireless Access Point-u i nakon što su i klijent i Wireless Access Point konfigurisani sa istim tajnim ključem (Secret Key):

  1. klijent uspostavlja konekciju sa Wireless Access Point-om,
  2. klijent kreira oznaku podataka koristeći Cyclic Redundancy Check-32 (CRC-32) algoritam i kači je na kraju frejma podatka,
  3. paket se šifruje sa RC4 algoritmom i šalje se preko bežične mreže,
  4. Wireless Access point prima paket i dešifruje ga koristeći tajni ključ,
  5. Wireless Access point proverava CRC-32 i šalje paket u LAN.

 

Kako WPA čuva poverljivost podataka

Da bi rešio poznate probleme sa WEP-om, IEEE je kreirao novi WLAN sigurnosni standard koji se naziva 802.11i kojeg su otpustili vodeći proizvođači Wi-Fi kao što je na primer Wi-Fi Protected Access (WPA).

 

Zašto je WPA sigurniji?

Jedan od problema WEP-a je taj da on ne nudi mehanizam koji menja tajni ključ za šifrovanje. WPA, zahteva ponovno kreiranje ključeva (Re-keying) koji se koriste za šifrovanje. Da bi odradio ponovno kreiranje ključeva, Temporal Key Integrity Protocol (TKIP) menja ključ za svakih 10KB podataka koje je poslao. I promena je sinhronizovana između Wireless klijenta i Wireless Access Point-a.

 

WPA i WPA2: WPA uključuje 2 moda

Jedan koristi 802.1X i RADIUS autentifikaciju (WPA), a drugi, prostu šemu za SOHO okruženje koristeći Preshared Key (WPA-PSK). WPA kombinuje rubusno šifrovanje sa jakim mehanizmom za autentifikaciju i autorizaciju 802.1X.

WPA2 je druga generacija WPA sigurnosti. WPA2 se zasniva na finalnom IEEE 802.11i poboljšanju 802.11 standarda i prikladan je za FIPS 140-2.

 

WPA-WPA2 zaštita podataka eliminiše poznate ranjivosti WEP-a:

  • promenom ključeva za šifrovanje za svaki frejm podataka. WPA2 nudi šifrovanje podataka kroz Advanced Encryption Standard (AES), dok za razliku od njega WPA koristi Temporal Key Integrity Protocol (TKIP). Možemo da odradimo migraciju sa WEP-a na WEP2 koristeći WEP2 Mixed Mode, koji podržava Secure Co-existence oba, i WPA i WPA2 klijentskih radnih stanica na mreži.
  • koristeći mnogo duži Initialization Vector, efektno duplirajući prostor dodavanjem dodatnih 128 bita ključu,
  • dodajući Signed Message-integrity proveru iznosa koja nije ranjiva na Tampering i Spoofing napade.

 

WPA i WPA2 kriptografske karakteristike

WPA i WPA2 u mnogome povećavaju jačinu i kompleksnost šifrovanja na bežičnim mrežama. WPA i WPA2 nude sledeće kriptografske karakteristike:

  • šifrovanje podataka. Korišćenjem 802-1X-EAP autentifikaciju TKIP (WPA) ili AES (WPA2) uvećava se kompleksnost i komplikovanost dekodiranja podataka,
  • integritet podataka,
  • zaštita od ponovnog slanja (Reply Protection),
  • radi u Media Access Control (MAC) sloju.

 

Autentifikacione opcije za bežične mreže

Da bismo osigurali da samo autorizovani korisnici imaju pristup bežičnoj mreži, moramo da konfigurišemo metod autentifikacije. Imamo tri najčešće opcije za autentifikaciju koje možemo da iskoristimo:

 

802.1X with PEAP

Windows Server 2003 nudi podršku za korišćenje 802.1X sa još jednim tipom autentifikacije koji je poznat pod imenom Protected Extensible Authentication Protocol (PEAP). PEAP je dizajniran da se brine o EAP informacijama o autentifikaciji u kanalu koji je osiguran korišćenjem TLS-a. PEAP zahteva samo Server-based sertifikat i ne zahteva sertifikate na klijentskim kompjuterima. PEAP takođe dinamički generiše ključeve za šifrovanje bežičnog saobraćaja u toku procesa autentifikacije. Microsoft nudi podršku u Microsoft Windows operativnim sistemima za korišćenje Microsoft Challenge Authentication Protocol Version 2 (MS-CHAPv2) da bi odradio zaštitu autentifikacije lozinke unutar PEAP-a.

Ova opcija je dizajnirana za male i srednje organizacije koje ne koriste i kojima nisu potrebni sertifikati za svakog bežičnog klijenta. Ova solucija koristi prosta korisnička imena i lozinke prilikom autentifikacije korisnika u bežičnim mrežama. Da bi se zaštitio prenos podataka, ova opcija može da koristi ili WPA ili dinamički WEP.

 

802.1X with EAP-TLS

EAP-TLS koristi Certificate-based Transport Layer Security (TLS) za međusobnu autentifikaciju bežičnih klijenata i RADIUS-IAS servera koristeći jaku kriptografiju, i generisanje ključeva za šifrovanje koji se koriste za zaštitu bežičnog saobraćaja. Ovo je jedan od najpopularnijih i najsigurnijih EAP metoda za korišćenje za 802.1X. Ovaj metod zahteva korišćenje sertifikata javnih ključeva (Public Key Certificates) na klijentima i na RADIUS serveru za autentifikaciju. Ova solucija će koristeći EAP-TLS with 802.1x  međusobno autentifikovati klijente i servere i dinamički će generisati Wired Equivalent Privacy (WEP) ključeve za šifrovanje sa postavkama za WEP ponovno izdavanje ključeva.

Ova opcija je dizajnirana za velike organizacije koje mogu da izgrade i da upravljaju sertifikatima. Ova solucija koristi Public Key Certificates za autentifikaciju korisnika i kompjutera u bežičnoj mreži.

 

Wi-Fi Protected Access with Pre-shared keys (WPA-PSK)

Ova opcija je primarno dizajnirana za mala kancelarijska ili za kućna kancelarijska (SOHO) okruženja. WPA-PSK omogućava šifrovanje bežičnog saobraćaja u kojem su ključevi za šifrovanje automatski promenjeni nakon određenog vremenskog perioda ili nakon slanja određenog broja paketa. Ovaj metod koristi Shared Secret (tajnu reč) koja mora da se unese i na Wireless Access Point-u ili ruteru i na WPA klijentima. Shared Secret se koristi za autentifikovanje bežičnih uređaja i za sigurno pregovaranje o ključevima za šifrovanje kompletnog mrežnog saobraćaja. WPA-PSK nudi jaku zaštitu za Home-SOHO korisnike zato što prosek koji se koristi za generisanje ključeva za šifrovanje je veoma rigorozan i ponovno dodeljivanje ključeva se odrađuje veoma brzo.

Dodaj komentar Sviđa mi se - (1) Ne sviđa mi se - (0)    

  • Bežična mreža (Wireless Network) 1
  • Bežična mreža (Wireless Network) 2