VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY
FAKULTA ELEKTROTECHNIKY A KOMUNIKACNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ FACULTY OF ELECTRICAL ENGINEERING AND COMMUNICATION DEPARTMENT OF TELECOMMUNICATIONS
OPTIMALIZACE WIFI SÍTÍ PROTI NAPADENÍ OPTIMIZATION OF WIRELESS NETWORKS AGAINST ATTACKS
BAKALÁŘSKÁ PRÁCE BACHELOR‘S THESIS
AUTOR PRÁCE
MARTIN ŘEZNÍČEK
AUTHOR
VEDOUCÍ PRÁCE SUPERVISOR
BRNO 2009
DOC. ING. VLADISLAV ŠKORPIL, CSC.
Anotace Práce se zabývá návrhem bezdrátové sítěa problémůtýkající se této technologie. V teoretické části se zabývá seznámení se sítí, použ ité technologie bezpečnosti a návrhu bezdrátové sítě . V praktické č ásti je popsána simulace a změř ení síly signálu a rovněžzajiš tě ní bezpečnosti pomocí WPA, autentizace Radius, š ifrování dat TKIP a mož nosti prolomení do sítě . V dalš ích kapitolách je ř eš eno př ipojení už ivatelůdo sítě(domény), uplatnění VOIP telefonie na této síti. Poslední č ást popisuje rozš íř ení sítěa problémy s tím spojené. Klíč ová slova: bezpečnost, bezdrátová komunikace, Cisco, VOIP telefonie, optimalizace, odolnost proti naruš ení,
Abstract The work describes the design of wireless networks and the problems relating to this technology. In the theoretical part it deals with the learning network, the security technology and design wireless network. In the practical part it describes the simulation and measure of the signal strength. The ensuring of the safety by aid WPA as well as Radius authentication, TKIP data encryption and the possibility of breaking into the network. The following chapters deal with the connection of the users to the network (domain) and with the application of VOIP telephony on the network. The last part describes the extension of the network and the associated problems. Keywords: Security, wireless communications, Cisco, VOIP telephony, optimize, resistance to disturbance,
Citace práce ŘEZNÍČEK, M. Optimalizace bezdrátových sítí proti napadení. Brno: Vysoké uč ení technické v Brně, Fakulta elektrotechniky a komunikač ních technologií, 2009. 48 s. Vedoucí bakalář ské práce doc. Ing. Vladislav Škorpil, CSc.
Prohláš ení Prohlaš uji, ž e svou bakalář skou práci na téma Optimalizace WiFi sítí proti napadení jsem vypracoval samostatněpod vedením vedoucího semestrálního projektu a s použitím odborné literatury a dalš ích informač ních zdrojů, které jsou vš echny citovány v práci a uvedeny v seznamu literatury na konci práce. Jako autor uvedeného semestrálního projektu dále prohlaš uji, ž e v souvislosti s vytvoř ením tohoto projektu jsem neporuš il autorská práva tř etích osob, zejména jsem nezasáhl nedovoleným způsobem do cizích autorských práv osobnostních a jsem si plněvědom následků poruš ení ustanovení § 11 a následujících autorského zákona č. 121/2000 Sb., včetněmožných trestně právních důsledkůvyplývajících z ustanovení § 152 trestního zákona č. 140/1961 Sb. V Brnědne ...............
............................................ (podpis autora)
Podě kování Děkuji vedoucímu bakalář ské práce doc. Ing. Vladislavovi Škorpilovi, CSc., za velmi užiteč nou pomoc a cenné rady př i zpracování bakalář ské práce. V Brnědne ………………………
…………………………… (podpis autora)
Obsah Úvod 2. Seznámení s firemní sítí 2.1 Informace o síti 2.2 Popis VLAN pro bezdrátovou síť 3. Část firemní sítě-Wi-Fi 3.1 Historie Wi-Fi 3.2 Ochrana sítě 3.2.1 Řízení př ístupu do sítě(ově ř ení v síti) 3.2.2 Šifrování př enosu 3.3 Návrh podnikové sítěčásti Wi-Fi 3.3.1. Použité prvky 3.3.2 Konfigurace prvkův bezdrátové síti 3.4 Mě ř ení síly signálu 3.4.1 Simulace a mě ř ení 3.4.2 Zhodnocení simulace a mě ř ení 4. Ochrana proti napadení 4.1 Optimalizace 4.1.1 Tř i body vš eobecné bezpeč nost 4.2.2 Optimalizace WLAN 4.2.3 Způsoby útoku na WLAN 5. Př ipojení bezdrátových prvků 5.1 Př ipojení klientů 5.2 VoIP telefonie 5.2.1 Základy VoIP 5.2.2 Test provozu VoIP telefonie 6. Rozš íř ení sítě 7. Závě r Seznam použité literatury Seznam zkratek Př ílohy
-7-8-8-9- 10 - 10 - 11 - 11 - 12 - 13 - 13 - 15 - 19 - 19 - 28 - 29 - 30 - 30 - 31 - 32 - 34 - 34 - 35 - 35 - 36 - 39 - 40 - 42 - 43 - 44 -
Seznam obrázků Obrázek 1 Skutečná síťhlavní prvky sítě............................................................................. - 8 Obrázek 2 Access Point AP1242AG ................................................................................... - 13 Obrázek 3 Kontrolér WLC2106 .......................................................................................... - 13 Obrázek 4 WCS úvodní obrazovka ..................................................................................... - 14 Obrázek 5 Př íklad zapojení bezdrátových prvků................................................................ - 14 Obrázek 6 Program IPSU .................................................................................................... - 15 Obrázek 7 Program Upgrade Tool ...................................................................................... - 15 Obrázek 8 Př íklad nastavení AP.......................................................................................... - 16 Obrázek 9 Seznam WLAN ve WCS ................................................................................... - 17 Obrázek 10 Př idání WLANy............................................................................................... - 18 Obrázek 11 Vytvoř ení WLANy .......................................................................................... - 18 Obrázek 12 Legenda síly signálu k simulaci a mě ř ení ........................................................ - 19 Obrázek 13 Simulace B03 tř etí patro .................................................................................. - 20 Obrázek 14 Mě ř ení B03 tř etí patro ..................................................................................... - 20 Obrázek 15 Simulace B03 druhé patro ............................................................................... - 21 Obrázek 16 Mě ř ení B03 druhé patro ................................................................................... - 21 Obrázek 17 Simulace B07 první patro ................................................................................ - 22 Obrázek 18 Mě ř ení B07 první patro ................................................................................... - 22 Obrázek 19 Simulace B07 tř etí patro .................................................................................. - 23 Obrázek 20 Mě ř ení B07 tř etí patro ..................................................................................... - 23 Obrázek 21 Simulace B09 první patro ................................................................................ - 24 Obrázek 22 Mě ř ení B09 první patro ................................................................................... - 24 Obrázek 23 Simulace B09 druhé patro ............................................................................... - 25 Obrázek 24 Mě ř ení B09 druhé patro ................................................................................... - 25 Obrázek 25 Simulace B09 tř etí patro .................................................................................. - 26 Obrázek 26 Mě ř ení B09 tř etí patro ..................................................................................... - 26 Obrázek 27 Mě ř ení budovy B02 druhé patro ...................................................................... - 27 Obrázek 28 Mě ř ení budovy B11 první patro ...................................................................... - 27 Obrázek 29 Mě ř ení budovy B11 č tvrté patro ...................................................................... - 28 Obrázek 30 Nastavení bezpeč nosti v síti Kratoods ............................................................. - 29 Obrázek 31 Nastavení bezpeč nosti v síti Kratoods ............................................................. - 29 Obrázek 32 Nastavení př ipojení .......................................................................................... - 34 Obrázek 33 Nastavení př ipojení .......................................................................................... - 35 Obrázek 34 Telefonní ústř edna př i hovoru. ........................................................................ - 37 -
Seznam tabulek Tabulka 1 Seznam VLAN ......................................................................................................- 9 Tabulka 2 Seznam WLAN ...................................................................................................- 16 -
Úvod Bezdrátová technologie je stále více ž ádaná jak do domácností, tak i do soukromých firem. Její rozkvě t zač al nabírat na obrátkách po vyř eš ení problému s bezpečností, která jak se ukázalo, doposud nebyla prolomena jinak, nežza pomoci hrubé síly. Imaginární firma Kratoods s.r.o. se taktéžrozhodla zač ít využ ívat Wi-Fi pro zlepš ení a zrychlení výroby svých produktů. Např íklad u kontroly gramáže výrobkůpouž ívá speciální váhy (Garvens) umístě né u automatických linek. Tyto váhy byly dř íve př ipojeny pevným rozhraním (ethernet) do sítěa jejich jakákoliv manipulace u linek a mezi linkami byla nároč ná. Nevýhodou taktéžbylo neustále opravování utrž ených a poš kozených konektorů. Po rozhodnutí se zač ala vytvář et Wi-Fi síťa mezi velkými výrobci (3Com, CISCO, DLink, HP) byla vybrána firma CISCO. Využití Wi-Fi sítěnení, pouze zajiš tě ní komunikace s váhami, ale také pokrytí signálu pro servisní pracovníky (př ístup s notebookem), využ ití signálu pro VoIP telefonii ( Voice over Internet Protocol) a využít signálu pro př ipojení tiskáren. V této práci popisuji a ukazuji skuteč né zapojení Wi-Fi sítěve výrobním závoděfirmy. Popis zač íná s firemní síti a zmiňuje č ásti související s Wi-Fi proto, aby se dal vytvoř it ucelený obraz o propojení LAN a WLAN sítě . Dalš í kapitola se jižvěnuje pouze Wi-Fi a to jejímu nastavení a nejdůležitějš ím č ástem simulace a taky mě ř ení síly signálu v programu Ekahau Site Survey. Simulace urč uje teoretické umístě ní př ístupových bodů. Mě ř ením chci dokázat, popř ípaděvyvrátit výsledek simulace. Pokrytí signálem je důležité, ale pokud se klient či bezdrátové zař ízení nedokáže př ipojit do sítě , je to věc nepodstatná. Proto uvádím ř eš ení př ipojení klientů. Avš ak hlavním kritériem sítěje zhodnocení zabezpeč ení př ístupu do této sítě(sítí), zajistit př ípadné nedostatky opravit je a v př ípaděbezpečnost ješ těvylepš it. Žádné ř eš ení není koneč né a kaž dá síťse může rozš iř ovat, cožjsem př iložil jako poslední krok v této práci.
-7-
2. Seznámení s firemní sítí 2.1 Informace o síti Zde se zmíním pouze o č ástech, která jsou důležitá pro funkč nost bezdrátové sítě . Hlavní páteř ní síťje tvoř ena optickými rozvody a je zdvojena pro zajiš tě ní funkč nosti př i výpadku př eruš ení hlavního okruhu. Hlavní okruh má kapacitu 1 gigabit dalš í prvky jsou př ipojeny do sítě100Mb. Vš echny př epínače jsou od firmy CISCO a jsou série Catalyst 2960. Na obrázku poř ízeného z programu CISCO Network Administrator vidíme jak je síť ve skutečnosti propojena a kolik prvkůje použito. Jedná se pouze o výrobní č ást, proto zde neř eš ím př ipojení do internetu ani ž ádný firewall apd.
Obrázek 1 Skutečná síťhlavní prvky sítě Nejdůlež itě jš íč ásti, která se dotýká i bezdrátové sítěje vytvoř ení VLAN [5]. Aplikace VLAN se využívá kvůli bezpeč nosti, nastavení práv na danou VLANu (např íklad př ístup do internetu) a také pro oddělení př ístupu nežádoucích hostů.
-8-
Zde jsou informace o nejdůlež itě jš ích VLANách: Tabulka 1 Seznam VLAN VLAN
Subnet
Subnet mask
IP first address IP last adress
VLAN1 VLAN101 VLAN102 VLAN152 VLAN150 VLAN153 VLAN192 VLAN151 VLAN185 VLAN200 VLAN191 VLAN180
10.143.150.x 10.143.151.x 10.143.151.y 10.143.152.x 10.143.154.x 10.143.153.x 192.168.0.x 10.143.154.y 10.143.155.x 10.143.158.0 192.168.1.x 10.143.155.0
255.255.255.0 255.255.255.128 255.255.255.128 255.255.255.0 255.255.255.128 255.255.255.0 255.255.255.0 255.255.255.128 255.255.255.128 255.255.255.192 255.255.255.0 255.255.255.128
10.143.150.1 10.143.151.1 10.143.151.129 10.143.152.1 10.143.154.1 10.143.153.1 192.168.0.1 10.143.154.129 10.143.155.128 10.143.158.1 192.168.1.1 10.143.155.1
10.143.150.254 10.143.151.128 10.143.151.254 10.143.152.254 10.143.154.128 10.143.153.254 192.168.0.254 10.143.154.254 10.143.155.254 10.143.158.63 192.168.1.254 10.143.155.125
2.2 Popis VLAN pro bezdrátovou síť Pro bezdrátovou síťjsou použ ity č erveněvyznačeny VLANy. Význam VLAN a jejih popis pro bezdrátovou síť : VLAN152 (vahy) VLAN nutná pro výrobu do které jsou př ipojeny prvky na vážení jak bezdrátové tak s pevným př ipojením. VLAN 150 Po př ipojení a ově ř ení na RADIUS serveru dostanou př ístup do této sítěuživatelé, kteř í nejsou zaměstnanci firmy, ale pracují externěpro firmu. Uživatel má př ístup do internetu, ale ne do výrobní sítě. VLAN 192 Důlež itá VLANa do které jsou zahrnuty vš echny prvky CISCO (switche, kontroléry, bridge). Slouž í pro ř ízení CISCO prvkůa jejich vzdálenou správu. VLAN 151 (management) Př iř azením do této VLANy dostává už ivatel právo administrace a př ístup do okolních VLAN. VLAN 200 (voip) VLANa vytvoř ena za úč elem př ipojení bezdrátových prvkůtypu VoIP jako jsou telefony, videotelefony apd. VLAN 191 VLANa funkč ní pouze za úč elem propojení LAP (Lightweight Access Point) a kontrolérů. VLAN 180 (freenet) VLANa umožňující př ístup do internetu.
-9-
3. Část firemní sítě -Wi-Fi V této č ásti se zamě ř ím na bezdrátovou lokální síťWi-Fi, která nahrazuje kabelové př ipojení a skrývá zatím nedoceně né možnosti. Ažv posledních letech si Wi-Fi získává stále větš í prostor v domácnostech či ve firmách, které zjiš ť uji výhody, ale i nemalé problémy tohoto př ipojení různých prvků. Ješ těpř ed tím, nežse pustím do popisu firemní č ásti sítě s technologii Wi-Fi , ř eknu ně co o historii bezdrátové technologie.
3.1 Historie Wi-Fi Wi-Fi (používá se také Wi-fi, WiFi, Wifi, wifi ) je standart pro lokální bezdrátové technologie a vychází se specifikace IEEE 802.11. Zkratka IEEE označ uje Institute of Electrical and Electronics Engineers [7] (v př ekladu, Institut pro elektrotechnické a elektronické inž enýrství) cožje mezinárodní nezisková organizace usilující o vzestup technologie se zamě ř ením na elektrotechniku. Hlavní odliš nost bezdrátových Wi-Fi sítí od jiných druhůbezdrátových (např . GSM) tkví v používaném frekvenč ním pásmu. Vě tš ina ostatních bezdrátových sítí jsou tzv. licencované sítě, cožznamená, že každá taková síťmá př idě lenou frekvenci a pásmo, na kterou musí mít provozovatel licenci vydávanou regulačními orgány. Kromě tě chto licencovaných pásem existuje ale i pásmo veř ejné. Pásmo ISM (Industrial Scientific and Medical) toto pásmo využ ívají kroměvě deckých, průmyslových a lékař ských organizací také např . mikrovlnné trouby. Pásmo ISM je vymezeno na frekvenci 2,4 GHz v Evropěregulač ní organizací ETSI a v USA regulátorem FCC. V roce 1997 vznikl společ ný standard pro bezdrátové sítěv pásmu ISM. Tento standard vytvoř ený institutem IEEE je znám pod označením 802.11 a umož ňuje komunikovat o maximální rychlosti 2 Mb/s. Nekompatibilnost výrobkůodrazovala zájemce a proto vznikla společnost WECA, která zkoumala kompatibilnost různých výrobkůa udě lovala vyhovujícím logo WiFi (Wireless Fidelity). Od roku 2003 se firma WECA př ejmenovala na WiFi V dneš ní době , pokud mluvíme o Wi-Fi sítích, máme na mysli př edevš ím sítěstandardu 802.11abg a jeho dalš í varianty. Vzpomeneme jenom tř i základní standardy[7]: IEE 802.11a Tento standard využ ívá WiFi v pásmu 5Ghz. Použ ívá modulaci OFDM. Oproti standardu IEEE 802.11b/IEEE 802.11g je tento stabilnějš í a vyspělejš í. Má větš í povolený vyzař ovací výkon oproti 802.11b/g, tím ho lze požívat na delš í vzdálenosti. IEEE 802.11b Tento standard je jedním z doplňkůnorem IEEE 802.11 zabývajících se definicí bezdrátového komunikač ního standardu známým pod komerč ním názvem Wi-Fi. Byl schválen v roce 1999 a oproti původnímu standardu navyš uje př enosovou rychlost na 11 Mbit/s v př enosovém pásmu 2,4 GHz.
- 10 -
IEEE 802.11g Je WiFi standard rozš iř ující IEEE 802.11b. Je zpě tněkompatibilní, vysílá ve stejném frekvenč ním pásmu 2400 - 2485 MHz, ale maximální nominální rychlost je 54 Mbit/s, což odpovídá př enosům př ibližněo rychlosti 25 Mbit/s.Použité modulač ní schéma je OFDM pro rychlosti 6, 9, 12, 18, 24, 36, 48 a 54 Mbit/s, př ič emžpro rychlosti 1, 2, 5.5 a 11 Mbit/s je použito stejné schéma jako ve standardu IEEE 802.11b. Vysílací výkon je snížen oproti IEEE 802.11b z 200 mW na 65 mW.
3.2 Ochrana sítě Jelikožse data š íř í vš esmě rověnení problém je odposlechnout a získat tak, pokud není použito š ifrování, př ístup k už ivatelovu provozu na síti (př istup k heslům apd). Ochrana dat na síti je nutná a zajiš ťujeme ji š ifrováním př enosu a autentizaci do sítě. Zde jsou způsoby autentizace do sítě:
3.2.1 Řízení př ístupu do sítě(ově ř ení v síti) Ověř ení v síti neboli autentizace už ivatele je jedna z vě cí, která odrazuje náhodné klienty př ipojující se do sítěnebo útočníky. Ve standardu 802.11 [7] jsou zahrnuty tyto metody autentizace: Autentizace Open-systém (otevř ená) Zajiš tě ní bezpeč nosti je prakticky nulová jelikož , klient je ově ř en pouze na základěinformací jim zaslaných, které nejsou ale ově řovány. To znamená každý klient je ově ř en a je mu dovoleno se pohybovat v síti. Autentizace Shared-key (sdílená) Ověř ení pomoci sdíleného klíč e je ve standardu vyž adována pro vš echna zař ízení s podporou WEP. Zde probíhá ově ř ování tím, že pokud se chce klient př ipojit k síti, vyš le žádost o autentizaci. Př ístupový bod mu odpoví náhodněvygenerovaným textem. Klient tento text zaš ifruje algoritmem RC4 poš le jej zpě t. AP si tento text rozkóduje a zkontroluje, zda souhlasí s vyslaným. Pokud ano, data od klienta jsou dále propouš tě na do sítěa klient je informován o úspěš ném př ihláš ení. Využ ívá š ifrování WEP (Wired Equivalent Privacy) viz dále. Autentizace Standard 802.1x + EAP (WPA,WPA2) Standard 802.1x je společ ným standardem pro vš echny typy sítí a zahrnuje autentizaci, š ifrování zpráv i distribuci klíčů. Tento standard je založen na základěprotokolu EAP (Extensible Authentification Protocol). Př ístupový bod v bezdrátové síti na základěpož adavku klientůprovádí jejich ově ř ení. Ově ř ení probíhá na základěseznamu klientů, popř . pomocí speciálních autentizač ních serverůRadius (Remote Authentication Dial In User Service) nebo Kerberos. Autentizace zač íná tím, že stanice odeš le zprávu na př ístupový bod, který odpoví požadavkem na totožnost klienta. Na tento pož adavek klient odpoví svojí identifikací, jež poš le př ístupovému bodu. AP zprávu klienta poš le autentizač nímu serveru. Poté autentizační server odpoví př ístupovému bodu povolením nebo zákazem př ístupu klienta do sítě(AP zprá- 11 -
vu př epoš le klientské stanici). Využ ívá š ifrování AES (Advanced Encryption Standard) viz dále. Autentizace WPA-PSK,WPA2-PSK (př edsdílené heslo) Autentizace WPA (Wi-Fi Protected Access, č esky Wi-Fi chráněný př ístup) vznikl jako reakce na váž né bezpeč nostní nedostatky objevené v př edchozím systému, jímžbyl Wired Equivalent Privacy (WEP). Vznikl s cílem využ ít hardware podporující WEP, ale vhodnými doplňkovými mechanismy (př edevš ím prací s klíč i) eliminovat jeho slabá místa. Kaž dý už ivatel musí př ed vstupem do sítězadat heslo obsahující 8 až63 tisknutelných ASCII znakůnebo 64 š estnáctkových č íslic. Využ ívá š ifrování TKIP (Temporal Key Integrity Protocol) viz dále.
3.2.2 Šifrování př enosu Data jsou š ifrována za úč elem, aby př ípadný útoč ník př i odposlouchávání nezachytával data a nemohl je lehce dekódovat. Šifrování zálež í na použ ité metoděautentizace a uvádím zde od první metody ažpo nejnovějš í zatím neprolomenou metodu.
Šifrování WEP (Wired Equivalent Privacy ) Použ ívá k š ifrování zpráv symetrickou š ifru RC4 - princip spoč ívá v tom, ž e se odesílána zpráva na vysílač i zaš ifruje ně jakým klíč em, a př ijímačji stejným klíč em rozš ifruje. Tento klíčmusí být znám jak vysílající stanici, tak př ijímací (ve standardu se jedná o 40-bitový klíč ). Jedná se o š ifru lehce prolomitelnou a velmi zastaralou. Šifrování TKIP (Temporal Key Integrity Protocol) Využívá stejný š ifrovací algoritmus jako WEP, ale využívá standardně128-mi bitový klíča obsahuje dynamické doč asné klíč e. Pracuje s automatickým klíč ovým mechanismem, jenžmě ní dočasný klíčkaž dých 10 000 packetů. Dalš í výhodou je MIC ( Message Integrity Check) cožje kontrola integrity zpráv a dosahuje lepš ích výsledkůnežprozatímní CRC.
Šifrování AES (Advanced Encryption Standard) Využívá se v rámci autentizač ního rámce EAP je to symetrická bloková š ifra. Byla vyvinuta americkou vládou jako standard pro š ifrování svých dokumentů. Šifra využ ívá symetrického klíč e, to znamená stejný klíčje použit pro š ifrování i deš ifrování. Velikost klíče můž e být 128, 192 nebo 256 bitů. Metoda š ifruje data postupněv blocích s pevnou délkou 128 bitů. Šifra se vyznač uje vysokou rychlostí š ifrování a v dneš ní doběnení znám způsob jejího prolomení.
- 12 -
3.3 Návrh podnikové sítěč ásti Wi-Fi Uvaž uji realnou síťWi-Fi ve firmě(situač ní plán viz př íloha [1A]), která si př eje pokrýt už iteč ným signálem vyznač ené budovy a zajistit bezpeč nost dle platných firemních policy. Návrh sítěobsahuje 11 př ístupových bodů4 ř ídící prvky (kontrolery) a dále využ ívá servery, které jižjsou používány jako RADIUS[3] server, ACTIVE DIRECTORY, DOMAIN server. V dalš í části se budu vě novat popisu prvkův síti, jejich konfiguraci, návrhu, simulaci a mě ř ení síly signálu.
3.3.1. Použ ité prvky Hlavními č ástmi celé bezdrátové sítějsou prvky od firmy CISCO [5] a jsou to: - Př ístupové body (Access point,AP) typ AP1242AG (10ks) a AP1231G(1ks) - Řídící prvky (Kontrolér) typ WLC2106 (4ks) - software WCS Base (Wireless Control Systém) Access Points Jedná se o Acces Point AP1242AG v rež imu LAP (Lightweight Access Point). Tyto př ístupové body nejsou schopni v centralizované bezdrátové síti samostatné funkce, proto musí být ř ízeny kontrolérem. Každý Acces Point je vybaven č tyř mi dipólovými anténami (dvěpro kaž dé pásmo). Z toho plyne, ž e AP pracují v pásmech 2,4GHz i 5GHz dle daného standardu a homologace. Umístě ní AP ve firměviz př íloha [1B]. Obrázek 2 Access Point AP1242AG Řídící prvky (kontrolér) Kontrolér WLC2106 je prakticky srdcem celé sítě . Jeden kontrolér dokáže ř ídit š est LAP. Proto pro jedenáct LAP je nutno zapojit č tyř i kontroléry, aby byla vytvoř ena vzájemná záloha prvků. Kontroléry mimo základní funkce ř ízení AP umí sdílet informace o pokusu útoku na síťa zablokovat daného klienta, zajistit př ístup hostům do internetu př es webové rozhraní a také společ né ř ízení radiového vysílání. Jedna z mnoha výhod je funkce kdy klient př echází mezi LAP tak zůstává stále př ipojen se stejnou IP a se stejnými právy (něco jako př epínaní mezi buňkami u mobilního telefonu). Nevýhodou tě chto typu kontroléru jsou rychlosti portu (8 portů) o rychlosti Obrázek 3 Kontrolér WLC2106 10/100 Mb/s z nichžpouze dva umí napájení PoE (power over ethernet). Proto v komunikaci s bezdrátovou síti, lze využít pouze maximální rychlosti 100Mb/s. Do sítěje př ipojen v modu trunk. - 13 -
Software WCS (Wireless Control Systém) Base Program od firmy CISCO[1] zajiš ť ující centralizované ř ízení bezdrátové sítě běž ící na serveru. Administrátor se př ipojuje k programu př es webové rozhrání. Jestliže kontrolér je srdcem bezdrátové sítětak WCS je mozkem celé sítě . Jeho hlavní úlohou je monitorování sítě(informuje o problémech v síti, monitoruje Obrázek 4 WCS úvodní obrazovka klienty, informuje o útocích). Dalš ím úkolem je konfigurace sítě(vytvář ení nových SSID, jejich konfigurace, vytvář ení map umístě ných AP) tato konfigurace je poté aplikovaná na vš echny př ítomné kontroléry v síti a tím zajiš tě na stejná konfigurace na vš ech prvcích. WCS má neuvěř itelné mož nosti využití o čemžmluví i jeho manuál který je bezmála pě tiset stránkový. WCS má ně kolik dalš ích rozš íř ení které nejsou souč ásti základního balíčku ale je možno je př ikoupit (např íklad lokalizace klientůs př ibliž nou polohou-WLSE nebo jeho př esně jš í verze kde je ale potř eba speciální server). Zapojení prvkůdo sítěmůže vypadat následujícím způsobem (jedná se o př íklad, není to skuteč ný návrh).
Obrázek 5 Př íklad zapojení bezdrátových prvků
- 14 -
3.3.2 Konfigurace prvkův bezdrátové síti Konfiguraci prvkůzač nu od základního stavebního prvku a to Access Pointu, který dle př edchozí informace pracuje pouze na principu LAP (Lightweight Access Point). Jeho nastavení se skrývá pouze nastavení IP adres a vytvoř ení certifikátu. Př edpokládám, ž e AP má nejnovějš í verzi IOSu (momentálněvyš š í než12.3(7)JA ). Poté jeho nastavení probíhá pouze programem Aironet IP setup utility (IPSU) č ímžnastavím, př ípadnězjistím IP adresu Access Pointu. Poté vytvoř ím textový soubor (př ípona souboru.txt) do ně hožjsou vlož eny informace o AP podle vzoru: AP-IP-adresa, jméno-už ivatele, heslo, enable-heslo (standardněje stejné jako heslo, už ivatel = cisco, heslo = Cisco)
Obrázek 6 Program IPSU Nyní spustím program Upgrade Tool (aktuální verze 3.4) v ně mžnač tu textový soubor vytvoř ený v př edchozím kroku, nač tu také image Autonomous To Lightweight Mode Upgrade Image (př ípona .tar) pokrač uji urč ením kontroléru jeho IP adresa v síti a loginem (pro př ístup administrace). Nastavení č asu zvolím tak aby byl př evzat z kontroléru. Urč ím DNS server a doménu. Spustím Start a č ekám na výpis a vytvoř ení certifikátu př ípadněna vypsání chybové hláš ky. Tak probě hne nastavení vš ech Access Pointu, po jejich př ipojení do sítě(napájení pomocí PoE) a po nastavení kontroléru je jejich ovládání pouze na kontrolérech.
Obrázek 7 Program Upgrade Tool - 15 -
Výsledek nastavení AP si můž u zkontrolovat poté ve WCS viz
Obrázek 8 Př íklad nastavení AP Nastavení kontroléru se znač něliš í, jelikožje to ř ídící prvek celé bezdrátové sítě . Př i nastavení postupuji v jednotlivých krocích. Př ipojím se na kontrolér a pomocí př íkazu nastavuji postupněnázev kontroléru, jméno a heslo pro správu, IP adresu pro správu (statickou DHCP vypnuto), VLANu pro správu, výstup na porty (jeden a to v modu trunk). Nyní ho můž u př ipojit do switche a portu, který je nakonfigurován jako trunk a jsou pro ně j zpř ístupněny VLANy, které pož adujeme do bezdrátové sítě , dále pokrač uji v nastavení pomocí Wireless LAN Controller. Ve WCS [1] postup konfigurace nastíním zbě žně , jelikožv dalš íč ásti (4) se budu zabývat zvláš ťnastavením bezpeč nosti. Ve WCS vytvoř ím různá SSID a k nim př iř adím, do které VLANy jsou zař azeny. Klienti znají pouze název SSID a o př iř azení do VLANy nevědí. To se děje automaticky pomocí dynamického př idě lovaní pomocí RADIUS dle pož adavků firmy a práva už ivatele. Pro lepš í roztř ídě ní mezi VLAN v lokální síti a vytvoř ených síti v bezdrátové síti se pro bezdrátové rozdě lení sítězavede znač ení WLAN. Seznam SSID (WLAN) jejich popis a př irazení do VLAN: Tabulka 2 Seznam WLAN SSID
Zabezpečení
Použitá VLAN
Kratoods Dadfree VoIP
WPA2(Auth 802.1X) WEB authentication WPA+WPA2 (PSK)
Radius FreeNet VoIP
Vahy
WPA2 (PSK)
Vahy
- 16 -
Kratoods Jedná se o WLANu, která je zabezpečena pomocí WPA2 a ově ř ování probíhá na RADIUS serveru, který je svázán s Active Directory. Podle práv už ivatele je př iř azen do VLAN. Nejdůlež itě jš í a nejvíc zabezpeč ena WLAN, jelikožpř i nabourání má útoč ník př ístup do výrobní sítěa muž e udělat nejvíc š kod. Dadfree Tato WLAN nemá ž ádné ově ř ování ani š ifrování po př ipojení je spuš těn pouze DHCP a př idělena adresa, aby fungovala síť , je tř eba spustit webový prohlíž eč . Zde je po nás vyž adováno jméno a heslo pro př ístup do sítě(internetu). Tato ochrana se nazývá Web Authentication VoIP WLAN nachystána pro provoz VoIP zař ízení. Bezpeč nost je zajiš těna pomocí př edsdíleného klíč eaš ifrování WPA+WPA2. Vahy WLAN v nichžjsou př ihláš eny bezdrátové prvky bridge (př ipojují váhy do sítě ). Důraz kladen na bezpeč nost (skrytá SSID). Šifrování AES a WPA2 ově ř ení certifikátem ulož eným na RADIUS Př íklad vytvoř ení WLANy ukážu na následujícím př íkladu.
Obrázek 9 Seznam WLAN ve WCS Př es zálož ku Configure a WLANs se dostanu do WLAN Template, zde v pravém rohu vyberu v rolovacím menu Add templates.
- 17 -
Obrázek 10 Př idání WLANy
Dostal jsem se do záložky vytvoř ení WLANy viz následující obrázek.
Obrázek 11 Vytvoř ení WLANy Vyplním pož adované informace: Guest Lan:nepouž ito Profil Name: Radius SSID: Kratoods Status: Enabled Security Policies: objeví se ažpo zvolení v zálož ce Security (ř eš eno v bodě4) Radio Policy: All Interface: management Broadcast SSID: Enabled Z názvu vyplývá, co vyplňuji a zapínám. Zvolím SAVE a po uložení se zobrazí Apply to Controllers cožznamená, že vš echny změ ny, které jsem provedl, uvedu do činnosti nahráním do kontroléru (vš ech č tyř ).
- 18 -
3.4 Mě ř ení síly signálu Změř it sílu signálu v zadaných budovách (Př íloha 1B) provádím pomocí programu Ekahau Site Survey 4.4.1. V programu je mož nost simulace a poté i reálné měř ení dostupnosti. Simulace je tvoř ena vložením mapky dané lokality urč ením mě ř ítka, dokreslením zdí oken, dveř í (př edem nadefinovány jejich útlumy) a umístě ním access pointu, který je použit ve skuteč nosti. Mě ř ení poté probíhá načtením mapky, urč ením mě ř ítka a poté urč uji místa na mapce, kde stojím v reálném č asu a konstantní rychlostí se pohybuji a klikám pouze př i změ něsmě ru či rychlosti. Po změ ř ení dojde k zobrazení mapky síly signálu vykreslený dle barvy.
3.4.1 Simulace a mě ř ení Simulace vš ech budov kroměbudovy B11(jedná se o silo na zelenou kávu), která nemá význam z důvodu, ž e nedokážu nasimulovat tak obrovské ruš ení v této železobetonové konstrukci. Útlum vš ech zdí je zvolen v rozmezí od 3dB do 12dB okna a dveř e maximálně3dB. Mě ř ení probíhá v jednotkách dB vztaž ených k výkonu 1mW (1mW = 0dBm). Na následujících stranách je vž dy simulace a mě ř ení vedle sebe kvůli zhodnocení výsledků. Legenda využ ita př i simulaci a mě ř ení:
Obrázek 12 Legenda síly signálu k simulaci a měř ení
- 19 -
Simulace budovy administrativy B03 tř etí patro:
Obrázek 13 Simulace B03 tř etí patro Mě ř ení budovy administrativy B03 tř etí patro:
Obrázek 14 Měř ení B03 tř etí patro
- 20 -
Simulace budovy administrativy B03 druhé patro:
Obrázek 15 Simulace B03 druhé patro Mě ř ení budovy administrativy B03 druhé patro:
Obrázek 16 Mě ř ení B03 druhé patro - 21 -
Porovnání simulace a měř ení u budovy B03 je patrné, ž e v druhém patř e je signál př i mě ř ení kvalitně jš í nežpř edpokládala simulace. Rozš iř ování nebo změ na umístění AP v tomto př ípaděnení nutná. Simulace budovy B07 první patro:
Obrázek 17 Simulace B07 první patro Mě ř ení budovy B07 první patro:
Obrázek 18 Měř ení B07 první patro U budovy B07 je nejdůlež itě jš í část a to výrobní linky pokryty kvalitním signálem což př edpokládala simulace a mě ř ení to jenom potvrzuje. Podle mě ř ení, ale nastává problém v místnostech Údrž by a Elektrodílny. Tyto místnosti signálem jsou pokryty velice š patněa zkouš ka př ipojení se povedla jenom v elektrodílně, kde síla signálu v nejsilnějš ím místědosahuje -73dBm co pro př ipojení a nejnutnějš í provoz dostač uje.
- 22 -
Simulace budovy B07 tř etí patro:
Obrázek 19 Simulace B07 tř etí patro
Mě ř ení budovy B07 tř etí patro:
Obrázek 20 Mě ř ení B07 tř etí patro
Ve tř etím patř e dochází k malému ruš ení proto posunutí AP by bylo vhodné do stř edu místnosti, aby v pravém rohu (bránu z pohledu na půdorys) doš lo k pokrytí. Levý roh není zahrnut do plánu pokrytí. Pokud by doš lo k rozš iř ování sítěměl by být v tomto rohu př idán AP.
- 23 -
Simulace budovy B09 a B10 první patro:
Obrázek 21 Simulace B09 první patro Mě ř ení budovy B09 a B10 první patro:
Obrázek 22 Mě ř ení B09 první patro Porovnání simulace a mě ř ení budov B09 a 10 je v poř ádku dalo by se i ř íct ž e mě ř ení př ekvapilo s dosahem a sílou signálu.
- 24 -
Simulace budovy B09 a B10 druhé patro:
Obrázek 23 Simulace B09 druhé patro Mě ř ení budovy B09 a B10 druhé patro:
Obrázek 24 Měř ení B09 druhé patro U druhého patra, které je pokryto jenom z půlky jedním AP a pokrývá odpočinkovou místnost a výrobní č ást linek je síla signálu dostačující a pokrytí ve zbývající č ásti budovy je nepodstatné jelikožse jedná o místnosti sloužící k uskladně ní.
- 25 -
Simulace budovy B09 a B10 tř etí patro:
Obrázek 25 Simulace B09 tř etí patro
Mě ř ení budovy B09 a B10 tř etí patro:
Obrázek 26 Mě ř ení B09 tř etí patro
Skuteč ný signál v porovnání se simulací nepokrývá tak dokonale celý prostor, ale v tě chto místech to bylo oč ekáváno, proto jsou umístěny dva AP do různých míst. Po mě ř ení se uvaž uje a o př esunutí horního AP (opě t př i pohledu na půdorys)na opač nou stranu místnosti.
- 26 -
Mě ř ení budovy, které nebyly odsimulovány. Budova B02 druhé patro:
Obrázek 27 Mě ř ení budovy B02 druhé patro Budova B11 první patro:
Obrázek 28 Mě ř ení budovy B11 první patro U měř ení kde nebyla provedena simulace, bych chtěl poukázat, že signál byl měř en č asto ve š patněpř ístupných místech (Obrázek 28) a také ve venkovních prostorách, které jsou ovlivněny pově trnostními podmínky (Obrázek 29) a tím může být výsledek pozmě ně n.
- 27 -
Budova B11 č tvrté patro mě ř ení bylo provedeno pouze ve venkovních prostorách:
Obrázek 29 Mě ř ení budovy B11 č tvrté patro
3.4.2 Zhodnocení simulace a mě ř ení Simulace v tomto př ípadědokázala z velké č ásti př edpokládat sílu signálu v budovách a umístě ní AP podle simulace a následné mě ř ení těchto míst z vě tš íč ásti potvrdilo správné osazení AP. Pouze u budovy B09, B10 tř etí patro by podle mě ř ení mě lo dojít př emístě ní. Př i mě ř ení si program místa kam se nedalo dostat s měř ícím zař ízením, dopočítal podle mě ř ení okolních bodůcožje nejvíc patrné u Obrázek 28. V tomto místěbyl problém proházet př ímo a tak docházelo spíš e k mě ř ení bodovém nežjako u ostatních, kdy se měř ení provádě lo za chůze. Jelikožje měř ena pouze síla signálu může také docházet (např íklad venkovní část) k ruš ení od ostatních zař ízení v provozovaném pásmu 2,4GHz a 5GHz.
- 28 -
4. Ochrana proti napadení Důraz na bezpeč nost ve firemní síti klade velké nároky na to, aby síťnebyla napadnutelná př ípadně, pokud se ně kdo rozhodne o prolomení, aby nedoš lo k naruš ení sítě. Momentálněnejbezpeč ně jš í a nyní neprolomená metoda š ifrování[4] a př ihlaš ování je WPA2 se š ifrováním AES a využ ití serveru Radius. Postup nastavení ochrany ve WLANěKratoods pomocí WCS.
Obrázek 30 Nastavení bezpeč nosti v síti Kratoods Vytvoř ení WLAN jsem jižpopsal a teď se budu vě novat zajiš tě ní bezpečnosti. V záložce General nastavuji Radio Policy, které jsou nadefinovány od výrobce CISCO př ípadněupraveny. BroadCast SSID je zapnuto (lze vidět název sítěa lze ji naskenovat). Interface výstup do VLANy je nastaven na management (VLAN 151). Bezpeč nost tedy zajiš ť uje WPA2 se š ifrováním AES a využ ívá authentication (ově ř ení) 802.1x.
Obrázek 31 Nastavení bezpeč nosti v síti Kratoods
- 29 -
Zálož ky [1] Layer 2 a Layer 3 použ ívá CISCO[5] k označení míry a způsobu zabezpeč ení Layer 2 ř eš í př ipojení pomocí WPA a WPA2 a k nim př ísluš ná nastavení. Layer 3 ř eš í problém př ipojívání pomocí WEP a rozš iř uje jeho nabídku. Mnětedy zajímá záložka Layer 2 a nastavuji bezpeč nost dle Obrázek 31. Zabezpeč ení neoslabuji zapnutím WPA, ale pouze WPA2 (bohuž el pro starš í klienty je tato síťnedostupná z důvodu nekompatibility této metody). Zálož ka QoS (quality of service) ř eš í problém zajiš tění kvality signálu a CISCO jej dělí na Platinum (voice), Gold (video), Silver (best effort) nebo Bronze (background). V zálož ce Advanced nastavím jenom čas, jak dlouho poč ká systém na zadání autentizač ních údajů, nežuzavř e spojení. Ochrana proti napadení je tvoř ena samou koncepcí tvorby sítě . Využití RADIUS[3] serveru a WPA2 s AES splňuje podmínky a prolomení tohoto zabezpečení může probě hnout, ale urč itěne deš ifrováním nebo nabouráním do sítě. Nejvě tš ím problémem můž e být, získání útoč níkem př ihlaš ovací údaje klienta a ty využ ije k napadení sítě . Momentálněmetody, které jsou známy, k prolomení této sítěnestačí, aťužse jedná o podvrž ení serveru RADIUS nebo AP, kontroléry tyto útoky poznají a zamezí jim.
4.1 Optimalizace Pod pojmem optimalizace si můžeme př edstavit výbě r nejlepš í varianty z množství mož ných jevů. Z toho nám plyne zabezpeč ení sítěvybrat to nejlepš í, jaké máme k dispozici a aplikovat jej na bezdrátovou síť . V kapitole (3.3.2 Konfigurace prvkův bezdrátové síti) jsem vytvoř il WLANy a kaž dá má své zabezpečení (podle určení funkce WLANy) postupněsi rozebereme každou WLANu, ale teďprobereme jak zajistit bezpeč nost vš ech WLAN najednou[7].
4.1.1 Tř i body vš eobecné bezpeč nost 1) Signál, který nelze zachytit, nelze odposlouchávat a zneužít. Celá bezdrátová síťje navržena tak, aby už itečný signál byl co nejmíňvyř azován mimo areál firmy. Výkon antén, které jsou vš esmě rové (vyzař ování v úhlu 360˚horizontálního pokrytí) a nepř esahují hodnotu povolenou ČTÚ (20dBm) a ani se k ní př ílišnepř ibližují, protož e jsou umístě ny v uzavř ených místnostech v blízké vzdáleností od zaměstnanců. Vyzař ování signálu z areálu je v místech budovy B07 první patro u AP, který je umístěn na stě nědo ulice. První optimalizace sítětedy je vhodné odstínit, př emístit, změ nit vyzař ování AP umístě ného na stě nědo ulice. Z tě chto tř í variant je nejvhodně jš í pozmě nit způsob vyzař ování antény ze vš esmě rové na částeč něsmě rové (úhel 100-140˚ ve smě ru vyzař ování). Podobným způsobem lze omezit „únik“ signálu z areálu i u dalš ích AP vyzař ující š patným směrem. 2) Aktuální př ehled o bezdrátových zař ízeních. Pomocí WCS sledovat př ipojené už ivatele k síti. Kontrolovat vš echny AP. Zaznamenávat okolní bezdrátové sítě(potenciální útoč ník). Upgrade firmware AP, kontrolérůa softwaru WCS. WCS umož ňuje zablokovat př ístup pro př ístroje ztracené nebo ukradené a nasta- 30 -
vit vypsaní hláš ení (report) př i použití zcizeného př ístroje. Zde můž eme zahrnout i „fyzické zabezpeč ení“ to znamená umístě ní prvkůbezdrátové sítě(AP, kontrolér) tak aby se zabránilo neoprávně ným osobám manipulovat s tě mito prvky. 3) Už ivatelé a správa hesla Uživatelé bezdrátové sítěmusí být seznámení s použitím zař ízení př ipojující se do této sítěa zakazuje se použ ívat zař ízení neschválené správcem sítě. Volba uživatelského hesla (délka, styl) se volí tak aby minimalizovali možnosti útoku jak na základěslovníku (musí obsahovat alfanumerické znaky) tak hrubou silou (dostatečná délka). Špatné heslo
Správné heslo
mrkev Špatné heslo bývá tvoř eno: Správné heslo má být tvoř eno:
M8mt5i9p - vlastními jmény, rodnými č ísly, čísly domu apd. - nesmyslná kombinace znaků
První kroky optimalizace by se tedy mě li ř ídit tř emi zmíně nými body. V dalš íč ásti kapitoly 4 si rozebereme WLANy a zjistíme u které optimalizovat zabezpečení.
4.2.2 Optimalizace WLAN Tabulka 2 ukazuje seznam WLAN použ itých na síti a použ itá zabezpeč ení. Detailně rozeberu kaž dou WLAN zvláš ť . Kratoods Autentizaci zajiš ť uje RADIUS server, který k ověř ení už ivatele využívá Active Directory. Osoby př ihlaš ující se do této WLAN jsou autentizování metodou EAP (autentizace sítě PEAP, autentizace uživatele MS-CHAP) tedy autentizace pomocí jména a hesla. Bezpeč nost bezdrátové komunikace se zajiš ť uje WPA+WPA2 a š ifrování AES. Díky funkci kontroléru a RADIUS jsou autentizovaní uživatelé př iř azení do VLAN dle jejich zař azení do skupin (orahnization unit) v Active Directory (správce sítěmusí mít př ehled o umístě ní už ivatelůve skupinách, aby nedoš lo k nesprávnému umístě ní). Síť ové adresy jsou př idě lány DHCP serverm. Optimalizace bezpeč nosti této WLANy je možná v odebrání slabš ího zabezpeč ení WPA (nástupce WEP) a ponechání pouze WPA s AES a autentizace př es RADIUS. Jedna z možností by byla skrýt SSID, ale pro př ipojení už ivatelůby se tím zkomplikovalo proto pro lepš í uživatelskou př ístupnost SSID bude vysíláno. Toto zabezpeč ení př i dodržení tř í pravidel bezpečnosti je v dneš ní doběneprolomitelné a nejvhodně jš í pro podnikové sítě [7]. Vahy Př ipojují se pouze zař ízení ne osoby. Bezpeč nost je proto zajiš těna WPA2 PSK (př ednastavený klíč ) se š ifrováním AES a skrytým vysíláním SSID. Síť ové adresy jsou statické a DHCP server není v této VLANěpř ítomen. Optimalizace bezpeč nosti v této síti je mož ná a to v skrytém vysílání SSID změ nit název vahy na neucelené slovo a použ ít např íklad způsob názvu jako u správného hesla v 4.1.1 Tř i body vš eobecné bezpeč nost. - 31 -
Dadfree Jedná se o otevř enou síťbez jakéhokoliv š ifrování. Po př ipojení do této sítějediný protokol, který funguje je DHCP. Po př idě lení adresy a po zadání př ihlaš ovacího jména př es internetový prohlíž ečje př istup do internetu zprovozně n. Bezpeč nost tzv. WEB authentication běž ící na protokolu HTTPS by měla pouze zabránit neoprávně nému návš tě vníku k už ívání internetu. V př ípadězjiš tě ní př ihlaš ovacích údajůútoč níkem by nemělo dojít k jakémukoliv naruš ení sítě . Př ístup je pouze do VLAN s internetem odkud není mož né př istupovat do jakékoliv jiné č ásti provozní sítě . Optimalizace v tomto př ípaděje sporná. Mě la by být síťzabezpeč ená tak jako kratoods a vytvoř en už ivatel pouze pro př ístup do internetu a VLANy s internetem bez př ístupu do jiné č asti sítě ? Nároč nost nastavení př ihlaš ovacích údajůdo této sítěnení lehká a účel volného internetu pro návš tě vníky nesplňuje. Proto optimalizovat tuto WLANu by nepř ineslo ten správný efekt. Voip Zabezpečení této sítěje stejné jako u WLANy vahy s tím rozdílem že př ístup do jiné časti sítěnení mož ný. Optimalizace sítěse odvíjí od použ itých VOIP telefonu a jejich podpoř e zabezpeč ení.
4.2.3 Způsoby útoku na WLAN Seznam možných útokůpř icházejících v úvahu na bezdrátovou síť: 1. Útok typu man in the middle Tento typ útoku použ ívají naruš itele pro únos relací a pro implantaci vlastního provozu do sítě. Umístě ní mezi dvě ma bezdrátovými klienty dává útoč níkům možnost použít př íkazy a nebezpečný software. Útok na fyzické vrstvětzv. jamming provádí zaruš ení kanálu buď pomocí speciálního zař ízení nebo zahlcením př ístupového bodu zbytečným provozem. K tě mto útokům jsou klienti náchylně jš í v př ípaděroamingu mezi WLAN. Útok na druhé vrstvěje založený na faleš ném odhláš ení ze sítě , kdy př ísluš né rámce podsunuje cílovému uzlu jakoby od správného př ístupového bodu. Specifickým útokem je faleš ný př ístupový bod pro útok na jednosměrný autentizač ní systém na bázi 802.1x s EAP. Takový neautorizovaný bos se musí vydávat souč asněi za RADIUS server. 2. Útok s cílem odmítnutí služby:DoS DoS (Denial of service) můž e velice zpomalit komunikaci v síti a č asto ji úplněznemož nit. To je samozř ejměnepř íjemné pro jednotlivé uživatele, ale pro aplikace citlivé na zpoždě ní a důlež ité z hlediska dostupnosti (telefony, kamery), je to situace kritická. Proti DoS neexistuje ž ádné efektivní protiopatř ení. Mezi útoky patř í: - Jamming – zahlcení sítěneužiteč nými rámci - Záplava rámcůpro odpojení ze sítě - Faleš né chybové autentizač ní rámce
- 32 -
-
Př eplně ní bufferu AP pro rámce pro př idruž ení a autentizaci – hrozí př etečení vyrovnávací pamě ti u AP a spadnutí AP př i velkém množství pož adavkůna autentizaci.
- 33 -
5. Př ipojení bezdrátových prvků Př ipojení bezdrátových prvkůa klientůje odvíjena dle toho, do které WLAN je klient př ihlaš ován. Př íklad nastavení pro př ipojení osobního notebooku do WLANy KraftFoods.
5.1 Př ipojení klientů Nastavení př ihlaš ovacích údajůve Windows XP bez nějakých pomocných klientů(např íklad Asus Wireless control center). Ve vlastnostech bezdrátové karty v zálož ce Bezdrátové sítěkliknu na tlač ítko Přidat, zde vyplním SSID (Kratoods), Ově ř ení v síti (WPA2) a š ifrování dat (AES). V zálož ce Ově ř ování na stejné kartězvolím typ protokolu EAP (Protokol PEAP). Ve vlastnostech musím zruš it zatrž ení Ově ř it certifikát serveru. Poslední krok je zruš ení zatrž ení ve vlastnostech protokolu EAP MSCHAPv2, tím se ruš í automatické používání př ihlaš ovacího jména z Windows. Nyní po př ihláš ení do bezdrátové sítěKratoods vyskoč í př ihlaš ovací údaje, kde zadám úč et a heslo vytvoř ené správcem sítě .
Obrázek 32 Nastavení př ipojení Př ipojení klienta tím to způsobem má jeden závaž ný problém. Př ed tím nežse můž u př ihlásit do sítě , musím se př ihlásit místním úč tem na poč ítača to v př ípadě , kdy chceme, aby byla použita doména na poč ítači a pokud jej využívá více uživatelůje nepř íjemný problém. Řeš ení tohoto problému se dá vyř eš it programy př ímo od výrobce bezdrátových karet, ale ne každý výrobce tento problém ř eš í. Proto od firmy CISCO se dá koupit software Cisco Secure Services Client [1], který se konfiguruje př ímo na urč itý typ př ipojení.
- 34 -
Obrázek 33 Nastavení př ipojení
5.2 VoIP telefonie Př i projektování a konstrukci bezdrátové sítěse v závěreč né fázi zač alo uvaž ovat o využití VoIP (Voice over IP) v př esném př ekladu „hlas př es IP“, která nabízí v rámci uzavř ené sítěuskuteč ně ní telefonního hovoru zdarma. Možnost bezdrátového provozu by v tom př ípaděnabízelo dalš í výhodu a to ž ádné vodiče po zemi ani zbyteč né zásahy do zdí. Volnost pohybu s telefonem po firmě . Nyní se na trhu začínají objevovat softwarové ústř edny zdarma např íklad Asterisk (linux) nebo placená 3CX Phone Systém (Windows).
5.2.1 Základy VoIP Internetová (intranetová) telefonie [2]využívá techniky př epínání paketů, datových blokůpř enáš ených sítí. Po lince tak můž e být př enáš eno větš í množ ství dat různých už ivatelů a různých programů. Hlas se př evede do binárního systému ten je zpracován a vyslán k druhému úč astníku. Jakmile dorazí, poskládají se do správného poř adí, př evede na hlas a zazní z reproduktoru. Volaní pomocí IP můž e mít spoustu podob samozř ejměpodle použ itých technologií, koncových zař ízení a celé ř ady dalš ích parametrů. My se budeme zabývat spojením: telefon/telefon př ípadnětelefon/poč ítač. Jak to funguje? Data hlasu se př enáš ejí v digitalizované podoběv tě le paketůprotokolůUDP/TCP/IP[4]. Př enáš ejí se na tř etí vrstvěOSI modelu (IP) a na č tvrté vrstvě(UDP). Hlas př evedený do digitální podoby se zpracovává kodeky (pro menš í velikost dat) např íklad G.711 a G729. KroměUDP datagramůzahrnuje VoIP ješ těpakety jako ICMP a TCP. Dalš í pátá vrstva obsahuje datagramy protokolu RTP (Real Time Protocol). Protokoly které zajiš ť u- 35 -
jí VoIP jsou i např íklad H.323[6] cožje nejbě ž nějš í protokol, ale momentálnějej vytlač uje protokol SIP pro nás my mohl být v pozdě jš í doběuž iteč ný IAX2 který spolupracuje s ústř ednou Asterisk. Vzhledem k tomu, že UDP neposkytuje mechanismus, který by zabezpeč il, ž e datové pakety budou doruč eny ve správném poř adí, nebo poskytl garanci kvality služby (Quality of Service)[6] tak zavedení VoIP čelí problémům s latencí (zpoždě ním) a jitterem (kolísaním zpoždě ní). To je obzvláš ťcitelné př i spojeních, kde č ást trasy probíhá př es vytíž enou linku. Př ijímací uzel se potýká se ztrátou, př ehazováním č i se zpoždě ním jednotlivých paketů, př esto vš ak musí zabezpeč it co nejlepš í kvalitu výsledného hlasového toku. Proto využívá vyrovnávací paměť(buffer), díky č emužpř ijímané pakety nejdou na výstup hned, ale zapisují se nejdř íve do paměti, ze které se potom můž ou číst ve správném poř adí, cožvš ak dále zvyš uje zpoždě ní. Řekli jsme si tedy, jak to vypadá s VoIP telefonii její problémy výhody použ ité protokoly. Nyní zkusíme aplikovat VoIP telefonii na bezdrátovou síťa to př esněpř ihláš ení do WLANy voipwifi.
5.2.2 Test provozu VoIP telefonie Pro zkuš ební provoz IP telefonie použ ijeme WLANu voipwifi kterou jsem jižvytvoř il, pomocí systému WCS zkontroluji nastavené hodnoty: General SSID:
voipwifi
Status:
Enabled
Security Policies:
WPA+WPA2 (PSK)
Radio Policy:
All
Interface:
voip
Broadcast SSID:
Enabled
DHCP:
vypnuto
QoS:
Nastaveno Platinum Voice
WLAN je nastavena, bezpeč nost zajiš ť uje př edsdílený klíča př enos hlasu tedy kvalitního hlasu bez poruch by měl zajistit QoS který je nastaven podle výrobce. Pro test VoIP byla vybrána ústř edna 3CX Phone Systém (Windows) která pracuje na protokolu SIP. Nyní vzniká problém v části bezdrátové sítěje nastaveno QoS, ale ve VLANěvoip po které komunikujeme po pevné síti je nastaveno pouze na routerech (CISCO), ale na switchiích je tř eba je zapnout. Na každém switchi tedy spouš tím Auto QoS a mě lo by se automaticky nastavit vš e potř ebné. Za dalš í problém můž eme považovat to, ž e CISCO si pro komunikaci VoIP vytvoř ilo svůj protokol SCCP (Skinny Call Control Protocol) i kdyžv dneš ní doběužpotvrdili, že SIP protokol bude také podporovat (a užpodporuje). Problém rozliš ení a zajiš tě ní paketůQoS pro protokol SIP na zař ízeních CISCO by snad tedy nemě l být váž ný problém.
- 36 -
Pro test byly zapůjč eny dva telefony Linksys WIP310-G2 podporující WPA2 s PSK. Instalace ústř edny proběhla na poč ítačWindows XP PROF př ipojený do VLANy voip nastavena adresa 10.143.158.10, SIP port 5060, maska 255.255.255.192. Instalace byla bezproblémová a konfigurace př es webové rozhraní ukazuje velké možnosti nastavení. Od př ipojení k VoIP poskytovateli nebo dalš í ústř edně , př ipojení k PSTN (Public Switched Telephone Network), vytvoř ení digitální operátorky, ale toto jsou funkce, které pro test nejsou potř eba. Zajímá mněvytvoř ení uživatele jeho konfigurace př ihláš ení do ústř edny a uskuteč nění hovoru. Kontrola spojení vytvoř eného telefonního úč tu je patrná na Obrázek 34. Pokud jsou účty př ipojeny jejich barva je zelená př i uskutečně ní hovoru dostanou oranž ovou barvu.
Obrázek 34 Telefonní ústř edna př i hovoru.
Číslo úč tu (telefonu) tvoř í identifikátor tř í místné č íslo zavináča IP adresa telefonního př ístroje např íklad
[email protected]. Probírat detailněVoIP telefonii není cílem této práce, ale hlavní je otestovat zda by mohla fungovat na vybudované bezdrátové síti. Týdenní testovací provoz na síti byl zklamáním. Pokrytí signálu není vš ude, jak jsem si ověř il př i mě ř ení, ale pro funkč nost provozu telefonu jsem oč ekával, ž e důlež itá místa pro hovory budou stačit. Př i uskutečně ní telefonu v budovách B09, B10, B11 a mezi budovami B02 a B03 docházelo k výpadkům a ztrátám hovorů(př ípadněke ztiš ení) z důvodu pohybu mezi železnými konstrukcemi a tím sníž ením datového toku (dostačující š íř ka pro hovor je 64kb/s až128kb/s). Dalš í problém nastal u uskutečně ní hovoru př i př ipojení více zař ízení (i dvou telefonů) na stejném AP. Zpož dě ní signálu mezi telefony a místy výpadky hovoru. Opatř ení QoS nejspíšnedokáž e pracovat správnějak má spolupráce mezi bezdrátovým spojením a LAN síti. Momentální stav sítětýkající se pokrytí pro VoIP telefonii není vhodný. Aktualizace sítěpro VoIP a nákup telefonůza stávající (GSM) př ípadněinvestice do ústř edny je velmi nákladná. Návratnost investice č istějenom v materiální hodnotěby nebyla brzká a je vůbec otázkou zda VoIP telefonie (IPv4) má v dneš ní doběsmysl budovat (z důvodu vyčerpání IP adres).
- 37 -
Závěr testu hodnotím tak že se povedla bezproblémová př ihláš ení k bezdrátovému př ipojení a k ústř edněna druhou stranu velice š patná komunikace výpadky signálu způsobené místy nekvalitním spojením a nefunkč ností QoS. Můžu ř íct, že tato síťnení vhodná pro VoIP telefonii.
- 38 -
6. Rozš íř ení sítě Rozš íř ením sítěmyslíme zvě tš ení sítěč ili zvě tš it prostor pokrytí. Výsledky mě ř ení potvrzují výsledky simulace, které ukazují hluchá místa, která by mě la být pokryta. Řeš ení se můž e zdát jednoduché, př idáním př ístupových bodůna hluchá místa dojde k pokrytí potř ebných míst. Ovš em naskýtá se váž ný problém, č tyř i kontroléry jsou schopny provozovat 24 př ístupových bodů, ale bez zálohy. Síťve firměje ale tvoř ena tak, aby př i výpadku dvou kontroléru doš lo k př evzetí ř ízení na zbývající. Pokud tedy budu chtít rozš iř ovat síť, můž u př idat jeden př ístupový bod, č ímžstále splňuji podmínku zajiš tě ní zálohy (poč et př ístupových bodů bude 12). Př i jakémkoliv dalš ím navýš ení musím navýš it i poč et kontrolérů. Rozš íř ení sítěpokrytím signálem se má cenu zabývat v př ípaděkdy by doš lo na aplikaci VoIP telefonie. Momentální síťje dostač ující pro výrobní č ást i pro obsluž nou. Př i rozhodnutí použ ití bezdrátových Wi-fi telefonůby doš lo ke změ něcelé koncepce sítě , co se týká rozpoložení AP a použ ití kontrolérů. Př edpokládaný nárůst AP z 12 kusu od 10 dalš ích a tedy i minimálně2 dalš í kontroléry (bez zálohy) je z hlediska ceny hardware dvakrát 40 000Kčza kontroléry a desetkrát 15 000Kčza AP je 230 000Kča dalš í náklady skrývá nákup IP telefonů stávající v hodnotěcca 120 000Kč. Bez započ ítání nákladu na práci užje jenom rozpočet za hardware 350 000Kč . V dneš ní doběto nejsou nízké náklady, ale podmě tem této práce není ř eš it finanč ní stránku. Rozš íř ení sítěse netýká jenom zkvalitnění pokrytí, ale i softwarem např íklad na sledování pohybu už ivatelůpř ipojených k síti. Př ipojení společných tiskáren na bezdrátovou síťa následné jejich př idělení už ivatelům podle práva. Zvětš ování bezdrátové sítěje běh na delš í traťa v dneš ní doběkdy technologie bezdrátové komunikace se stále vyvíjí a př ináš í stále č astěji závratné novinky, není ž ádné bezdrátové ř eš ení koneč né. Proto prohlásit ž e tato bezdrátová síťje koneč ným ř eš ením a finálnězpracována si nebudeme nikdy dovolit. Spíš eř íct dostal jsem se do stádia kdy tato síťje dostač ující pro podmínky této firmy, a proto dalš í rozš iř ování momentálněnepř inese nic závratného. Ale takové prohláš ení v brzké dobějistěnepř ijde.
- 39 -
7. Závě r Bezdrátová technologie se stala nepostradatelnou pro mnoho firem a domácností. V bakalář ské práci jsem chtě l poukázat na problémy bezdrátové technologie a to pokrytí signálu, bezpeč nost a použití VoIP telefonie. V projektu jsem se snažil popsat vytvoř ení takové sítěa propojení pevné sítěs bezdrátovou. V první č ásti se zabývám praktickým př edstavením LAN sítěa rozdě lením na její VLAN pro ucelení př edstavy jak dochází k následnému propojení s WLAN v bezdrátové síti. Bez tohoto vytvoř ení virtuálních lokálních sítí by následná bezpeč nost v bezdrátové síti byla degradována na pomyslném žebř íčku o několik stupňůníž. V dalš í kapitole se teoreticky vě nuji historii bezdrátové komunikaci ažpo dneš ní dobu a zajiš tě ní bezpeč nosti vztahující se k této práci tedy použ ití autentizace a š ifrování Aktivní prvky v síti, které rozebírám v následující podkapitole, tvoř í základní kameny sítě . Konfigurace prvkův síti je mož ná několika způsoby, pokouš el jsem se vybrat efektivní způsob, cožvzhledem k malé č asové náročnosti provedení se povedlo. Instalace software WCS není náležitosti práce, proto zde není popsána, vě nuji se pouze podrobněažprogramu samotnému (o nějžse stále zabývám a studuji ho) a jeho pomocí nastavení kontrolérů. Konfigurace kontrolérůse vztahuje od vytvoř ení zabezpeč ení, tvorbu samostatných WLAN ažpo kontrolu sítě . Simulace a mě ř ení síly signálu odvedl program od finských programátorůEkahau Site Survey. Simulace pokrytí signálu a následné mě ř ení nepotvrdilo kromějedné budovy (B11) př ílišvelké ruš ení. I kdyžpř emístit nebo posunout některé př ístupové body by bylo vhodné (B10 tř etí patro). Spíš e se ale potvrdilo př edpokládané pokrytí a ukázala se místa, kde př i rozš íř ení sítěpř ijde umístit př ístupový bod. To ž e měř ení profesionálním př ístrojem a softwarem můž e př inést odliš né výsledky je možné, jelikožmě ř ení ESS je spíš e pro zjiš tě ní, kde signál vhodný ješ těvysílán je nežzmě ř it př esné číselné hodnoty. Ochrana proti napadení popisuje vytvoř ení bezpeč né a odolné proti známým útokům bezdrátové sítě , které dokazují, ž e i kdyžby se útok mohl povést, rozhodněse o ně m administrátor ihned dozví. Optimalizovat síťjde i př esto vž dy a zmíně né informace k tomu napomáhají Dva mož né útoky „man in the middle a odmítnutí služ by DoS“ teoreticky nemají š anci na úspě ch, ale z důvodu praktické neotestování sítěje nemůž eme zavrhnout a zmínit alespoň jejich existenci je důlež ité. Bezdrátová síťa samotné př ipojení k různým typům sítí by obsáhlo samotnou práci. Snažím se poukázat, ž e př ipojení do sítěs nejlepš ím zabezpečení bez znalosti potř ebných k administraci není lehké. Ukázka př ipojení do sítěpomocí klasického „windows klienta“ se rychle dostane do podvě domí, ale bohuž el neř eš í nejvě tš í problém a to např íklad u notebooku př ímo po zapnutí př ihláš ení do domény. Ně kteř í výrobci bezdrátových karet jiždodávají software, který problém ř eš í, ale není to komplexní ř eš ení. To by mohl př inést program Cisco Secure Services Client, který mněbyl př islíben v brzké dobědodán na testování. Provoz VoIP telefonie na síti nebyla od počátku návrhu sítězamýš lena. Př i zprovoznění bezdrátové sítěbyla postupněvytvoř ena WLAN pro zkouš ky této technologie. Výsledkem použ ití telefonůWi-fi jsem byl zklamán. Konstrukce sítězcela jistěnení vhodná pro telefonii, ale docházelo k výpadkům hlasu i s plným signálem. Problém nebyl př esnědefinován, ale kombinace zař ízení, které bě ží na protokolu SIP a zař ízení CISCO používající svůj vlastní - 40 -
protokol asi nebude př ílišsprávné. VoIP telefonie na této bezdrátové síti je tedy zatím otázkou budoucnosti. Zpracování problému s bezdrátovými tiskárnami se měv bakalář ské práci nepovedlo zpracovat. Př iř eš ení tohoto problému jsem se zastavil hned na zač átku a to u př ihláš ení bezdrátového tiskového bridge (print serveru), který se do sítěpř ihlásil, ale sám se automaticky během páru minut odpojil. Tento problém jsem nevyř eš il a do práce jsem to nezahrnul. Bakalář ská práce snad pomůž e dalš ím správcům síti př i návrhu zabezpeč ení a dalš ích problémův bezdrátové síti.
- 41 -
Seznam použ ité literatury [1]
[2]
CISCO. Cisco Wireless Control Systém, Configuration Guide. In Cisco. 20.7.2008. Dostupné na internetu:
Číka, P. Multimediální služ by: skripta. Brno: FEKT VUT v Brně, 2007. 106 s.
[3]
DOSTÁLEK, L. a kol. Velký průvodce protokoly TCP\IP, bezpeč nost. Odpově dný redaktor Libor Pácl. Druhé aktualizované vydání. Praha: Computer Press, 2003. 572 s. ISBN 80-7226-849-X
[4]
DOSTÁLEK, L. a KABELOVÁ. A. Velký průvodce protokoly TCP\IP a systém DNS. Odpovědný redaktor Libor Pácl. Tř etí vydání. Brno: CP Books, 2005. 542 s. ISBN 807226-675-6
[5]
NORTHCUTT, S; ZELSTER, L.; WINTERS, S.; FREDERICK, K. K.; RITCHEY, W. R. Bezpeč nost poč ítač ových sítí. Odpovědný redaktor Miroslav Hausknecht. První vydání. Brno: CP Books, 2005. 581 s. ISBN 80-251-0697-7
[6]
Novotný, I. Účastnická koncová zař ízení:skripta. Brno:FEKT VUT v Brně, 2002. 122 s.
[7]
PUŽMANOVÁ, R. Bezpečnost bezdrátové komunikace. Odpovědný redaktor Jindř ich Jonák. První vydání. Praha: Computer Press, 2005. 181 s. ISBN 80-251-0791-4
- 42 -
Seznam zkratek AAA AES AP CHAP ČTÚ DHCP DNS DoS EAP ESS ICMP IOS IP LAP MAC PEAP PoE PSK PSK PSTN PWLAN QoS RADIUS SCCP SIP SNR SSID TCP TKIP MS-CHAP UDP VLAN VoWLAN WCS WEP Wi-Fi WLAN WPA
Authentication, Authorization and Accounting Advanced Encryption Standard Access Point Challenge Authentication Protocol Česky Telekomunikač ní Úř ad Dynamic Host Configuration Protocol Domain Name System Denial of Service Extensible Authentication Protocol Ekahau Site Survey Internet Control Message Protocol Cisco's Internetwork Operating System Internet Protocol Lightweight Access Point Media Access Control Protected EAP Power of Ethernet Phase Shift Keying Pre-Shared Key Public Switched Telephone Network Public WLAN Quality of Service Remote Authentication Dial-In User Service Skinny Call Control Protocol Session Initiation Protocol Signal to Noise Ratio Service Set Identifier Transmission Control Protocol Temporal Key Integrity Protocol Microsoft CHAP User Datagram Protocol Virtual Lan Voice over WLAN Wireless Control System Wired Equivalentv Privacy Wireless Fidelity Wireless Local Area Network Wi-Fi Protected Access
- 43 -
Př ílohy Př íloha 1A Situač ní plán areálu Areál imaginární firmy Kratoods.
Obr. Př íloha 1.0A
1
Př íloha 1B Situač ní plán areálu s vyznač eným pož adovaným pokrytím wi-fi signálu. Areál firmy Kratoods.
Obr. Př íloha 1.0B
Jsou vyznačeny budovy s označením: B03(administrativa III), B02(administrativa II), B07(kávové speciality), B09(výroba kávy), B10(balírna kávy), B11(Silo) 2
Př íloha 1C Umístě ní př ístupových bodů
Označ ení umístě ní př ístupového bodu Budova B07 první patro (kávové speciality).
Obr. Př íloha 1.0C
Budova B07 tř etí patro (kávové speciality).
Obr. Př íloha 1.1C
Budova B09 první patro (výroba kávy).
Obr. Př íloha 1.2C
3
Budova B09 druhé patro (výroba kávy).
Obr. Př íloha 1.3C
Budova B09 tř etí patro (výroba kávy).
Obr. Př íloha 1.4C
4
Budova B11 první patro (silo, green cofey).
Obr. Př íloha 1.5C
Budova B02 druhé patro (Administrativa).
Obr. Př íloha 1.6C
5
Budova B03 tř etí patro (Administrativa).
Obr. Př íloha 1.7C
6