Kryteria bezpiecznego dostępu do sieci WLAN

Transkrypt

1 Paweł RYGIELSKI, Dariusz LASKOWSKI Wydział Elektroniki, Wojskowa Akademia Techniczna, E mail: pawelryg@gmail.com, dariusz.laskowski@wel.wat.edu.pl Kryteria bezpiecznego dostępu do sieci WLAN Streszczenie: W przedstawionym artykule zaprezentowano przykładową architekturę połączonych standardów sieci bezprzewodowych i Cała sieć została przygotowana na podstawie wcześniej przeprowadzanych badań i symulacji. Następnie wszystkie urządzenia zostały skonfigurowane tak, by również można było przeprowadzić same testy tych łączy. Przeprowadzenie ich było ważnym punktem pracy, ponieważ dzięki nim można było potwierdzić zarówno poprawność przeprowadzonych testów, ale także zbadać rzeczywiste parametry dostępu do sieci radiowych, a także jakość realizowanych usług. Na postawie tych danych została stworzona koncepcja architektury sieci, z uwzględnieniem wszystkich wyników symulacji i badań. 1. Wprowadzenie do sieci WLAN Zarówno w sieciach konwencjonalnych, jak i w sieciach radiowych, ważnym parametrem podczas użytkowania jest bezpieczeństwo przesyłania danych. W przypadku sieci radiowych bezpieczeństwo jest bardzo szerokim zagadnieniem, które ze względu na medium transmisji jest bardzo podatne na zagrożenia. W dzisiejszych czasach, głównymi standardami, które są wykorzystywane do rozpowszechniania Internetu są: standard (WI-FI) i (WiMax). Głównymi elementami struktury sieci dostępowej są stacje bazowe (BS) oraz stacje klienckie (CPE). Zadaniem stacji bazowej jest zapewnienie odpowiedniej łączności ze stacją kliencką, aby taka łączność została nawiązana oba elementy sieci muszą przejść przez proces zestawiania połączenia. Sam proces rejestracji stacji w sieci Wi- MAX to głównie elementy podobne do standardu Tak jak i w poprzednio opisanej strukturze, pierwszym etapem jest skanowanie przez stację kliencką ośrodka radiowego i poszukiwanie stacji bazowej o najsilniejszej mocy sygnału. Etap rejestracji stacji CPE obejmuje również przeszukiwanie kanałów radiowych, które są obsługiwane przez dane urządzenie WiMAX, następnie synchronizację i określenie parametrów tego kanału. W szczegółowy sposób określane są poprawne parametry warstwy PHY, na podstawie których w kolejnym kroku jest ustawiany podstawowy kanał zarządzający. Jego zadaniem jest negocjacja, a także uwierzytelnianie i zarządzanie kluczami. Ostatnim etapem w procesie zestawiania połączenia, jest uruchomienie drugiego połączenia zarządzającego, poprzez które są przesyłane standardowe komunikaty zarządzające siecią takie jak: pakiety DHCP lub TFTP. 84

2 Szyfrowanie danych Wymiana kluczy Uwierzytelnianie Rys. 1. Bezpieczeństwo WLAN 2. Bezpieczeństwo sieci WLAN Dostęp do medium sieciowego w systemach WiMAX jest zorientowany na połączenia. W architekturze systemu możemy wyróżnić dwa rodzaje połączeń do zarządzania, a także do samej transmisji danych. Połączenia zarządzające: Proste tworzone są do komunikacji z każdą stacją kliencką podczas jej podłączenia do sieci. Jest ono używane głównie do przesyłania w krótkim czasie małych wiadomości zarządzających. Podstawowe również połączenie tego typu jest zestawiane na początku podłączenia się stacji klienckiej do sieci WiMAX, ale używane jest do przesyłania dużo większych wiadomości zarządzających, które są bardziej odporne na opóźnienia w medium radiowym. Zapasowe tego typu kanał zarządzający jest używany do opakowania wiadomości zarządzających IP, takich jak: TFTP, SNMP, DHCP. Do zabezpieczania transmisji danych do różnych klientów końcowych w sieci WiMAX używane są powiązania bezpieczeństwa (SA Security Association). Każda z nich określa dokładnie parametry bezpieczeństwa dla danego typu połączenia: algorytmy szyfrowania oraz klucze wykorzystywane w połączeniu. Takie mechanizmy są wykorzystywane do zabezpieczania łączności zapasowej, natomiast połączenia postawowe i proste ze względu na swoją funkcję są pozbawione mechanizmów bezpieczeństwa. Możemy rozróżnić trzy główne typy powiązań bezpieczeństwa: podstawowy, statyczny i dynamiczny. Wszystkie zawierają wybrany rodzaj algorytmu szyfrującego dane, sam klucz szyfrujący (TEK), a także wektor inicjujący, który jest używany do tworzenia klucza TEK. Każdy SA jest tworzony w innych okolicznościach, podstawowy jest tworzony podczas inicjacji połączenia klienta końcowego do stacji bazowej, statyczny jest tworzony na stałe do połączenia pomiędzy stacją bazową a stacją kliencką, natomiast dynamiczny jest tworzony przy każdym nowym przepływie danych. W standardzie dodatkowo istnieją grupowe powiązania, które służą do zabezpieczania połączeń ze stacji bazowej do wielu końcowych użytkowników. Przykładowym zastosowaniem 85

3 tego rodzaju techniki, jest przesyłanie mobile-tv do wielu użytkowników. Stwarza to nowe możliwości dla rozwoju tego rodzaju usług. Zgodnie ze standardem, każde urządzenie abonenckie w sieci WiMAX powinno posiacertyfikaty. Pierwszy certyfikat producenta, który umożliwia weryfikację autentyczności certyfikatu urządzenia. W skład opisu takiego certyfikatu powinny wchodzić: nazwa kraju oraz nazwa producenta oraz może on zostać podpisany przez produ- dać dwa centa stacji (Self-signeogólnie Certificate) lub też organizację poświadczającą, która jest znana. Skanowanie poszukiwanie kanału radiowego do klienta synchronizacja ze stacją bazową określenie parametrów kanału Ustanowienie połączenia zarządzającego ustawienie parametrów warstwy fizycznej ustawienie parametrów kanału zarządzającego Rejestracja Ustawienie drukiego kanału zarządzającego do przesyłanie pakietów np. DHCP oraz TFTP Ustanowienie połączenia transportowego Rys. 2. Proces zestawiania połączenia w WiMAX Poświadczenie przez organizację zewnętrzną daje możliwość niezależnego sprawdzenia autentyczności certyfikatu producenta stacji BS w fazie wstępnego uwierzytelniania stacji SS w sieci. Poza certyfikatem stacji BS występuje również indywidualny certyfikat stacji klienckiej SS, który powinien zostać wygenerowany podczas produkcji urzą- dzenia. Składa on się z nazwy producenta urządzenia, kraju produkcji oraz numeru seryjnego i adresu MAC stacji klienckiej. Cały proces zabezpieczania łączności w standardzie WiMAX podzielony jest na trzy główne etapy: uwierzytelnianie, wymianę kluczy oraz szyfrowanie przesyłanych da- nych. Pierwszy etap polega na uwierzytelnianiu stacji klienckiej CPE w stacji bazowej. W zabezpieczaniu tego procesu w standardzie bierze udział certyfikat X.509, który jest unikalnym identyfikatorem każdego urządzenia. Dzięki zastosowaniu tego mechanizmu znacznie utrudnia się atakującym podszycie pod stację kliencką przy uwie- 86

4 rzytelnianiu do stacji bazowej. Dodatkowo możliwe jest uruchomienie wsparcia protokołu EAP (Extensible Authentication Protocol), które w dodatkowy sposób zabezpiecza proces uwierzytelniania. Wszystkie te mechanizmy nie są w stanie w pełni zabezpieczyć przed atakami, wynika to głównie z charakterystyki samego ośrodka propagacji fal, a także z możliwych błędów w systemach uwierzytelniania i samych stacji bazowych. TEK KEK PKM Rys. 3. Mechanizmy bezpiecznego transportu danych W drugim etapie następuje wymiana kluczy poprzez protokół PKM v1 i v2 (wersja 2 jest przeznaczona głównie do zastosowań mobilnych e). Urządzenia w architekturze uwierzytelniania wykorzystują infrastrukturę klucza publicznego (AK Authorization Key). Na podstawie wygenerowanego klucza AK, następuje generowanie klucza KEK. Następnie na podstawie tego klucza sesyjnego, który służy do zaszyfrowania przesyłania pomiędzy stacjami i stacją bazową, następuje generacja klucza do zabezpieczenia transmisji danych TEK. Stacja bazowa uwierzytelnia cyfrowy identyfikator klienta jeszcze zanim umożliwi dostęp do warstwy fizycznej. Programowe zarządzanie zagrożeniami oraz rozwiązania bezpiecznego dostępu stanowią inteczęść systemu, współpracując z komponentami infrastruktury, np. firewall, VPNs, tunelami IKE czy systemami IPS. Każdy z etapów uwierzytelnienia realizowany jest przez protokół PKM (ang. Privacy gralną Key Management). Standard e-2005 definiuje nowa wersja protokołu PKMv2, która przewiduje możliwość uwierzytelniania stacji bazowych, co wiąże się z wygenerowaniem certyfikatów dla każdej stacji. Certyfikaty stacji bazowej powinny zawierać nazwę kraju, nazwę operatora oraz numer seryjny i unikalny w sieci operatora identyfikator stacji. Certyfikacja stacji bazowej uniemożliwi podszycie się atakującego pod stację bazową i przeprowadzenie ataków przechwytywania przez podmiot pośredniczący (ang. Man In The Middle). W standardzie e wprowadzono również możliwość wykorzystania głównego serwera przechowującego dane niezbędne do procesu autoryzacji serwera AAA (ang. Authentication Authorization Accounting). W końcowym etapie transmisji następuje szyfrowanie transmisji danych, należy zwrósą w ten sposób zabezpieczane. Wszystkie inne dane są prze- cić uwagę, że tylko dane 87

5 syłane normalnie, bez szyfrowania. Wraz z pojawieniem się standardu e dostępny jest mechanizm AES. Podobnie jak w specyfikacji ramki zarządzające nie są szyfrowane, więc umożliwiają atakującemu zbieranie informacji o stacjach klienckich. Dostępne algorytmy szyfrowania: Algorytmy kryptograficzne: Algorytmy symetryczne: - DES (ang. Data Encryption Standard), - 3DES (ang. Triple DES), - AES (ang. Advanced Encryption Standard), Algorytmy asymetryczne: - RSA (Rivest, Shamir, Adleman), WiMAX zapewnia podstawową ochronę niższych warstw modelu OSI na kilka sposobów: Zapewnia prywatność stacji CPE przesyłającej dane przez sieć bezprzewodową. Chroni przed nieautoryzowanym dostępem do usług transmisji danych. Implementuje szyfrowane połączenia pomiędzy stacją bazową a stacją kliencką. Wprowadza dodatkowe mechanizmy bezpieczeństwa: uwierzytelnianie, kontrolę dostępu, szyfrowanie wiadomości, kontrolę integralności wiadomości, zarządzanie kluczami. 3. Koncepcja sieci WLAN Przykładem zastosowania sieci WiMAX w łączności szerokopasmowej przedstawiono na rysunku poniżej. Rys. 4. Architektura sieci WLAN i WIMAX 88

6 Struktura przedstawia połączenie dwóch odległych od siebie budynków (Wydziału Elektroniki i Instytutu Telekomunikacji), w których zostały uruchomione oddzielne domeny złożone z sieci WI-FI. Przykład takiej architektury sieciowej jest zastosowany w wielu przedsiębiorstwach, a także na uczelniach. Zasoby Użytkownicy Poczta Drukarka sieciowa Baza danych Materiały edukacyjne Serwery aplikacji Strony W W W Administrator Pracownik Student Gość Rys. 5. Charakterystyka dostępu do zasobów dla grup użytkowników Pomiędzy budynkami zestawiony został kanał radiowy oparty na standardzie , natomiast w samych budynkach zostały rozstawione punkty dostępowe standardu n. Przedstawiona architektura została skonfigurowana, w celu przeprowadzenia badań zarówno pod względem współpracy obu standardów, jak także jakości oferowanych usług w tej sieci. W zależności od grupy do jakiej należą dani użytkownicy, skonfigurowany został różnorodny dostęp. Zarówno sami administratorzy, a także pracownicy posiadają maksymalny dostęp zarówno do Internetu, a także do poczty i innych serwerów wydziałowych. Natomiast grupa studenci, posiada dostęp ograniczony tylko do Internetu i serwerów z materiałami edukacyjnymi. Ostatnią grupą są goście, czyli osoby zewnętrzne, które mogą według uprawnień skorzystać tylko z Internetu (dostęp do stron WWW). W ramach konfiguracji sieci, dokonaliśmy uruchomienia całego laboratorium wraz z uruchomieniem podstawowych usług, które są udostępnione w sieci: serwer FTP, dostęp do Internetu i stron WWW, telefony VoIP i video konferencje. Sami pracownicy mają również bezpośredni dostęp do serwera pocztowego uczelni. W celu zabezpieczenia łącza przed nieuprawnionym dostępem, skonfigurowane zostały następujące mechanizmy: Dla pracowników i administratorów dostęp do sieci jest zabezpieczony przez algorytm WPA2 Personal (AES). Każdy z użytkowników chcąc podłączyć się do sieci, musi wprowadzić wspólny klucz. Dla studentów został uruchomiony i skonfigurowany serwer RADIUS WPA2 Enterprise. Użytkownicy chcąc zalogować się do sieci muszą podać login i hasło. Dla gości zostaną skonfigurowane dwa konta, które będą ograniczone ze względu na dostępną przepustowość kanału, a także na ograniczony dostęp do farmy serwerów. 89

7 4. Wnioski Cały proces tworzenia sieci radiowych, rozpoczęty został od zapoznania się z literaturą, standardami i zaleceniami. Ważnym celem na tym etapie było krytyczne podejście do materiałów naukowych, celem określenia podstawowych parametrów jakimi miała charakteryzować się tworzona architektura. W kolejnym etapie został stworzony model symulacyjny sieci radiowych, celem wykonania badań i pomiarów. Dzięki przeprowadzeniu symulacji połączonych standardów WI-Fi i WiMAX w programie opnet, została wybrana najodpowiedniejsza architektura sieci, która po tym etapie została zaimplementowana pomiędzy budynkami. Na podstawie przedstawionych wyników, zostały wprowadzone niewielkie korekty zarówno w samej konfiguracji urządzeń , a także uruchomienie pomiędzy urządzeniami w budynkach usługi mobilności. Polega ona na możliwości poruszania się użytkownika końcowego pomiędzy dostępnymi Access Point (AP) w obrębie danego budynku. Dzięki temu każdy kto chce przemieścić się np. w instytucie może przemieszczać się, bez konieczności uwierzytelnienia się w kolejnych AP. Oczywiście przestawiony projekt sieci może dalej ewoluować. Poprzez dostawienie urządzeń sieci WiMAX możliwe jest podłączenie do istniejącej struktury kolejnych jednostek organizacyjnych, a także powiększenie samego zasięgu dla tej technologii. Dodatkowo standard e wspiera mobilnych użytkowników, którzy poruszają się ze znaczną prędkością. W związku z rozwojem tej technologii, możliwe jest uruchomienie obsługi mobilności użytkowników również w samym standardzie Dzięki temu osoby które posiadają telefony VoIP, będą mogły w obrębie samych budynków, jak również poruszając się pomiędzy nimi zestawić połączenie tego typu. Opracowanie dokonano w ramach programu badawczego PBZ MNiSW DBO 02/I/2007, Zaawansowane metody i techniki tworzenia świadomości sytuacyjnej w działaniach sieciocentrycznych. Literatura 1. P. Copeland (TNO), M. Winkler, Analysis of NATO Communications Standards For The NNEC, NC3A, May NATO Network Enabled Capability, Feasibility Study, vol.2, ver.2.0, NC3A, P. Copeland (TNO), M. Winkler: Analysis of NATO Communications Standards For The NNEC, NC3A, May Implementing , , and Wireless Networks, Ron Olexa. 7. ENIGMA XI Krajowa Konferencja. 8. Program badawczy zamawiany nr PBZ MNiSW DBO 02/I/2007, Zadanie badawcze 16XXX. 90