1.Uvod u Wireless svijet

Posljednjih godina svjedoci smo naglog širenja tržišta mobilnih usluga i uređaja. Najsvetliji primer sigurno je tržište mobilne telefonije o čijoj rasprostranjenosti najbolje govori činjenica da se danas teško može pronaći osoba koja ne poseduje mobilni telefon. Pojava ručnih računara (engl. handheld) i pad cijene prenosnih računara obećava da bi se isto moglo dogoditi i na tržištumobilne računarske opreme. Zapravo pogledamo li prednosti ovakvih uređaja to je i neizbežno. Zašto imati jedan računar na poslu, jedan kući, jedan u drugom gradu kada sve to može zamjeniti mobilnim računarom. A da ne govorimo o podacima koji trebaju biti sinhronizovani na svim tim računarima. Uz to pogledamo li unutar zidova našeg doma mnogi od nas u radnoj sobi imaju metre i metre kabla. Iza stolova, ispod tepiha, po zidovima. Nabavimo li novi uređaj vrloje verovatno da će njegov "kablovski sastav" prolaziti istim onim putem kuda I drugi, a želimo li sve to nekako držati uredno imaćemo dosta posla. A šta je sa onim uređajima koji moraju biti udaljeni od našeg centralnog mesta? Povezati ga sa 100 metara kabla može biti veliki problem. Tu su i uređaji za koje nam se danas čini ugodnije, sutra dva metra iza, prekosutra levo. Ako vam se to nikada nije desilo onda očigledno niste gledali filmove na kompjuteru, možda slušalimuziku itd. Nije li lakše, i ugodnije, jednostavno uzeti tastaturu metar dva iza sebe do nekog u tom trenu prikladnijeg mesta. Imamo li već uređen stan bez provučenih mrežnih kablova i nabavimo računare koja trebaju internet,printer sharing a nalaze se u različitim prostorijama što onda? Bušenje zidova, postavljanje i provođenje kablova je skupo želimo li zadržati prvobitan izgled prostorije. Na sva ova pitanja postoji jednostavan odgovor, wireless tehnologija.Ovaj seminarski je usmeren na wireless mrežne tehnologije i njihovu zaštitu. U njemu će biti govora o wireless mrežnim protokolima, WLAN Security protokolima, Wireless pretnjama i na kraju o implementaciji svega ovog spomenutog u našu mrežu.

2. Wireless Network Protocols

2.1. Uvod

Zbog brzog razvoja wireless tehnologije danas imamo cijeli niz proizvoda I protokola dostupnih kako kućnoj tako i profesionalnoj upotrebi. Da to ne bi bilo tako jednostavno svaka ta tehnologija ima svoje specifično tržište, a tako i uređaje. Uz to stvari komplikuje i tolika masa samih uređaja na tržištu koji imaju svoj hardware, svoje protokole i svoj softwar sto na kraju dovodi do nekompatibilnosti između njih, a još gore i do interferencije. U nastavku sledikratak uvod u danas najraširenije wireless network protokole na području potrošačke elektronike, a i šire.

Slika 1: Raznovrsnost wireless okoline

2.2. Arhitektura WLAN-a

Za izradu WLAN-a je potrebno imati pristupnu tačku (engl. access point-AP) I jednog ili više klijenata. AP povezuje više klijenata u zajedničku grupu i služi za povezivanje sa žičanom mrežom ili sa drugim bežičnim mrežama. Dva ili vise AP-a mogu raditi zajedno u WDS (engl.wireless distribution system) načinu rada. Za povezivanje sa drugim mrežama koristi se bežični usmerivač (engl. Wireless router) koji u sebi objedinjuje pristupnu tačku i mrežni usmerivač. Čest je slučaj da bežični usmerivač, posebno za male korisnike, ima ugrađen više-pristupni prekidač (engl. switch) sa jednom ili više spojnih tačaka, te na taj način možeslužiti i za povezivanje delova žičane mreže sa bežičnom mrežom. Prvenstvena namena bežičnog usmerivača je komunikacija sa WAN mrežom što se ostvaruje pomoću sporijih linija kao: Frame Relay, ISDN, DSL, mikrovalnim vezama ili nekim drugim WLAN tehnologijama.Kod WLAN veza razlikujemo "ad hoc" i "infrastrukturne" veze. Ad hoc veze su veze dva računara ili drugih uređaja koji imaju ugrađene module za WLAN komunikaciju. Dodatni uređaji nisu potrebni. Kod infrastrukturnih veza postoji dodatna infrastruktura. To je obično bežični usmerivač (engl. wireless router), koji preko internet modema povezuje internet sa lokalnom mrežom. Međutim bežični usmerivač može biti upotrebljen i za povezivanje pojedinih WLAN učesnika i/ili celih lokalnih mreža i u primenama kada lokalna mreža nije spojena s internetom.

Slika 2. Princip rada Wirelessa

2.2.1 802.11 standard

802.11 standard definiše protokol koji se tiče svih ethernet uređaja okrenutim wireless prometu. No unutar samog standarda postoje pod standardi koji se takmiče za svoje mesto na tržištu.

2.3. LAN i IEEE

Puno pre nego sto su wireless mreže izašle na svetlo dana, IEEE (Institute of Electrical and Electronics Engineers) je napravio sistem po kojem se nove tehnologije mogu sertifikovati. IEEE sertifikat osigurava da neka tehnologije može biti kompatibilna sa dugim proizvodom koristeći istu sertifikovanu tehnologiju. Naravno jedna od mnogih tehnologija koja je prošla kroz taj postupak sertifikacije je Local Area Network. LAN je jednostavno lokalna grupa spojenihračunara uz naravno hardware i software koji omogućuje komunikaciju između njih. Kako god, ima mnogo pravila i specifikacija koje su potrebne da bi proizvod bio proglašen LAN kompatibilan. Iz tog razloga IEEE je napravio 802 grupu, koja je odgovorna za ispitivanje kako starih tako i novih mrežnih tehnologija da bi osigurao njihov pouzdan rad, a i takođe rad bez konflikata. Kada dođe nova tehnologija na sertifikovanje, grupa je pomno istraži i ispita uz naravno dosta testova koje mora proći da bi dokazala da stvarno zaslužuje sertifikat. 802 sertifikat sadrži i mnoge pod grupe, koje predstavljaju pojedina "odeljenja" mreže. 802.3 primera radi je standard koji definiše kako Ethernet radi. Ako će se neki proizvod smatrati ethernet, on mora ispunjavati sve zahteve specifikovane u 802.3. Ovo nas na kraju vodi i do wireless etherneta, koji je klasifikovan i kontrolisan sa strane 802.11grupe.

slika 3. Ethernet

2.3.1. 802.3 mrežeUz dodatak tome 802.11 je opet razdeljen u vise manjih specifičnih sertifikata, kao npr. 802.11b, 802.11g. Svaka ta grupa definiše metodu za omogućavanje wireless etherneta. Svaki taj protokol navodi razne aspekte prenosa podataka koji ih dalje razlikuju od druge grupe.

2.4. Razumevanje CSMA/CD

Jedan od najpopularnijih standarda postavljenih od 802 grupe je 802.3 standard.To je sertifikat koji dobijaju ethernet ready uređaji. Tako svaki ethernet proizvod mora imati tehnologiju poznatu pod CSMA/CD (Carrier Sense Multiple Access/Collision Detection). CSMA/CD nije ništa drugo nego podizanje ruke u učionici. Kada se prepolovi ta cela reč na delove CS znači da samo jedan uređaj može pričati u isto vreme. MA je tehnički rečeno da ima više uređaja koji slušaju. Da se vratim na učionicu. Svi čuju šta drugi pričaju no obraća li se neko određenoj osobi za nas je to potpuno nebitno i možemo to ignorisati. Sada nam jos ostaje CD. To označava da svaki ethernet može primetiti da su dva uređaja počela pričati u isto vreme. Kada se to desi oboje zaćute na tren (random broj). Uređaj sa manjim vremenom čekanja počinje prvi. U wireless svetu dosta se često koristi CA (collision avoidance). To je najava nekoga da će početi sa pričom pa tako neće doći do istovremenog rada dva uređaja.

Slika 4. RTS - Request to Send CTS - Clear to Send

3. Frekvencije

Svi 802.11x standardi koriste ISM (Industrial, Science, and Medical) frekvencije, postavljene sa strane FCC (Federal Communications Commission). Te su otvorene frekvencije i može ih koristiti bilo ko. To su 900 MHz, 2,5GHz i 5GHz. Nakon što je IEEE prihvatio 802.11, 1997, tri su tehnologije postale glavne za prenos podataka u wireless svetu. To su FHSS (frequency -hopping spread spectrum), DSSS (direct sequence spread sequence) i IrDA.

2,4 GHz

2,4 GHz polje je otvoreno frekventno polje u kojem rade mnogi uređaji, uključujući telefone i mikrovalne. FCC je otvorio takvo polje da bi omogućio proizvođačima da naprave uređaje koji ne trebaju posebno FCC odobrenje. Tako bilo ko može napraviti 2,4 GHz uređaj i služiti se njime bez straha da će upasti u radio Policije ili Hitne pomoći. To je na prvi pogled dobro rešenje no toliko je uređaja danas u ovome spektru, da ćemo pre ili kasnije naletiti na neke interferencije i smetnje. Mada će uređaj i dalje raditi, moglo bi se desiti da 11Mbps postane 3Mbps.

802.11a802.11a je zapravo prvi potvrđeni (prihvaćeni) wireless standard mada je ukomercijalnu upotrebu zakasnio za b standardom. Može prenositi do 54Mbps, štoje otprilike 5x brže nego b uređaji. 802.11a nije previše zaživio u svetu, a glavnirazlog je njegov 5GHz spektar. Njegova metoda za prenos takođe se razlikuje.On koristi OFDM metodu koja je opisana u nastavku.

5GHz

Kao što smo rekli 2,4GHz polje je odavno pretrpano uređajima. 5GHz je recimojoš uvek dosta slobodan. Ovo duplo povećanje frekvencije je i preko 2 puta bržešto uz promenu prenosne metode dovodi do oko 5 puta povećanja u brzini. Nosve ima prednosti i mana. Cena i smanjeni domet nisu išli na ruku a standarda idanas se ova frekvencija još uvek ne koristi u tako širokoj primeni kao 2,4GHz.

3.1. OFDM (Orthogonal Frequency Division Multiplexing)

802.11a koristi OFDM tako da uzme 5GHz i prepolovi ga u nekoliko preklapajućih frekvencija. Drugim rečima OFDM u jednom ciklusu može preneti puno više podataka. U nekom pogledu, 802.11a može slati podatke na frekvencijiod preko15GHz. Slika ispod pokazuje primer OFDM signala na kojoj se vidizapravo poluperioda pune frekvencije razdeljena u više manjih. To ne samo daubrzava prenos nego i sprečava korozije wireless uređaja.

Slika 5. Primjer OFDM signala

3.1.1 802.11g

Mada je sporiji od a standarda ima neke prednosti koje su mu doprinele takoveliku popularnost. Za razliku od a on ima stabilan signal na većim udaljenostimazbog duplo manje frekvencije pa i nižu cenu. Tu dolazi g standard. G radi takođena 2,4GHz, a brzina mu je teoretski 54Mbps. Mada su se sada počeli pojavljivati ig uređaji sa teoretskom brzinom od 108 Mbps, tih 108 Mbps se ipak još uvekodnosi na korištenje istih uređaja i slično. G standard također koristi OFDM kojamu omogućuje povećanje brzine naspram b.

5.2 HomeRF

Otprilike kada je WECA odobrila 802.11 standard, nekoliko je tipova wirelesstehnologije predstavljeno svetu. Mada je malo njih uopšte ušlo u PAN (PersonalArea Network) tržište neke su tehnologije zamalo porazile 802.11. Jedna od tih jebila HomeRF. Koristeći Shared Wireless Access Protocol (SWAP), HomeRF jespojila FHSS sa 6 glasovnih kanala temeljenih na DECT –u (Digital EnhancedCordless Telecommunications). Znači da HomeRF može prenositi kako danatako i voice stream koji mogu raditi u isto vreme. Uz to ova tehnologija nezahteva centralne tačke, ona sve radi sama.3.3. FHSS (Frequency Hopping Spread Spectrum)

HomeRF koristi novu frequency control tehniku (standard) FHSS. Kada se koristiu kombinaciji sa 2,4GHz frekvencijom, signal može promeniti kanal 50 puta usekundi. Ovo pomaže pri stabilnosti mreže, i uz neku drugu postojeću HomeRFmrežu. Koristeći celi frekvencijski spektar, više mreža mogu delovati u isto vremebez straha od interferencija.

Slika 6. HomeRF

FHSS - Frequency Hopping Spread Spectrum Sam FHSS se koristio i kod prvihimplementacija 802.11 standarda. Tada je HomeRF koristila napredniju verziju i

mogla postići 1,6Mbps, za razliku od 802.11 koje je mogao 1Mbps. Ova setehnologija nije dugo zadržala na tržištu zbog relativno niskog bandwidtha, a istotako i dometa. Glavna prednost bila joj je niska cena ali i to kasnije, nakon padacena 802.11 uređaja, nije previše značilo.

3.4. IrDA

IrDA je skraćenica od Infrared Data Association. To je standard kontrolisan odstrane IrDA consortium –a. IrDA specifikacije obuhvataju i fizičke uređaje ali iprotokole koje ih povezuju. IrDA je wireless tehologija koja se ugrađuje u uređajekoji zahtevaju bežični prenos malih količina podataka. Zbog relativno niske ceneove tehnologije ugrađuju se u mnoge satove, PDA, telefone, laptope, tastature,miševe itd. Mada je u zadnje vreme ugrožena sa strane Bluetooth tehnologijeIrDA ne ide nigde još neko vreme.Primer IrDA okoline IrDA –ina snaga je u svestranosti. Ona je standard sam zasebe što rezultuje jednostavnu i jeftinu ugradnju u skoro bilo šta. Ali uz to ima ivelike nedostatke što ga ograničava u funkcionalnošću. IrDA koristi vremenskipulsirajući snop svetla za prenos podataka. Paleći i gaseći ta svetla ona prenosibit po bit tako sve do 4Mbps.Ovo je dovoljno za neke uređaje ali za mnoge nije jer se podaci od par MB prenose par minuta i sve to ako su jedan do drugoga.

Slika 7. Princip rada IrDa

IrDA kao prenosni medij koristi svetlo što znači da ništa ne sme sprečavati vidljivipravac između dva uređaja. Isto tako zna se desiti da je osetljiva na jakoosvetljene prostore zbog frekvencije treperenja diodica. Sve te stvari vrlo lakodovedu do grešaka u prenosu. Uz sve to udaljenost za normalan rad IrDA –e nebi smeo prelaziti 1m. To su glavne prepreke daljeg velikoga razvoja IrDA –e.

4. Pregled bežičnih sistema

4.1. Uvod

Ćelijski sistem upošljava drugačiji pristup dizajnu od većinekomercijalnih, koje radio i televizijski sistemi koriste. Radio I televizijski sistemitipično rade sa maksimalnom snagom I sa najvišim antenama koje dozvoljavaregulatorna agencija neke zemlje. U ćelijskom sistemu područje usluga jepodeljeno u ćelije. Transmiter je konstruisan da služi individualnu ćeliju.Sistemteži da efikasno iskoristi kanale koristeći transmitere slabe moći kako biomogućili ponovno korišćenje frekvencije na manjim daljinama.POvećavajući brojputa korišćenja nekog kanala, predstavlja ključ efikasnog ćelijskog sistema.U proteklih trideset godina bilo je dosta promena u telekomunikacijskojindustriji.Bilo je neverovatnih aspekata u brzom napredovanju bežičnekomunikacije kao što možemo videti u brzom razvoju mobilne teklefonije.Bežičnisistemi se sastoje od bežičnih mreža koje pokrivaju ogroman prostor(WWAN)tj.ćelijskih sistema,bežičnih lokalnih mreža (WLAN) 4, i bežičnihpersonalnih mreža(WPAN)-vidi figuru 1.1-17.Telefoni koji se koriste u ovimsistemima su veoma složeni ali isto tako i mali,troše malo energije,cenaproizvodnje je mala a široko su korišceni.Skorašnja napredovanja u razvojuinterneta je povećala njegovo korišćenje.to je imalo uticaja i na mobilne sistemepa se javio i mobilni internet i on se dosta koristi.Podaci koji su na dostuni preko bežičnih sistema evolviraju tako da nam udovolješto je više moguće pa je tako internet postao oruđe koje se svakodnevnoupotrebljava i uslužuje široke mase.Više od ¾ korisnika interneta su bežični

korisnici a i mobilni korisnik će 4 puta više koristiti internet od onoga ko nijekorisnik.Ovakvo interesovanje za obe industrije podstiče potrebu korisnika zapromenjenim uslugama.Sa više od bilion korisnika interneta koji se očekujutokom 2008.potencijalno tržište za bežične usluge je veoma veliko.

4.2 Bežični sistemi

Kratak domet: slabe jačine Velika razdaljina:velike jačine

Bežična personalna mreža Bežična mreža šireg područjaWPAN WWAN1. *Bluetooth (1Mbps) *2G2. *Ultra wideband (UWB) *GSM 9,6 kbps3. (>100 Mbps) *PDC4. *Senzorne mreže *GPRS (114 kbps)5. *IEEE 802.15.4, zigbi *PHS (64 kbps *3G (cdma2000

SREDNJEG DOMETA : srednje jačine

Bežična lokalna mreža WLAN

*Kuća RF (10 Mbps)*IEEE 802.11 abg (108 MBps) [802.11a 2x model]PDC- personalni digitalni telefon (Japan)GPRS-generalni džepni radio sistem uslugaPHS-personalni ručni tele sistem (Japan)

U ovom poglavlju ćemo ukratko govoriti o 1G,2G,2.5G i 3G ćelijskim sistemima iukazaćemo na trenutne standardne aktivnosti u Evropi,Severnoj Americi iJapanu.Takođe ćemo uvesti i šire sisteme(4G)-figura1.2 kojima je cilj integrisanjeWWAN,WLAN i WPAN.

4.3. Prva i druga generacija ćelijskih sistemaPrvu i drugu generaciju ovih sistema čini WWAN.Prvi javni ćelijski telefonskisistem(prva generacija 1G) nazvan Napredni mobilni telefonski sistem(AMPS)8,21- se pojavio 1979 godine u Americi.Tokom 1980 nekoliko inkompatibilnih

celularnih sistema (TACS,NMT,C450)se pojavilo u Zapadnoj Evropi.

Razvoj ovih sistema je doveo do kreiranja telefona za jedan sistem koji se nisu mogli koristiti u drugom sistemu,i roaming između mnogih zemalja Evrope nije bio moguć.Ovi prvi sistemi su bili dizajnirani za glasovne aplikacije.Analogna frekvencijska modulacija (FM) je korišćena za radio transmisiju.1982.godine ,glavno vladajuće telo evropske pošte,telefona i telegrafa (PTT), je stvorilo komitet poznat kao Group Special Mobile (GSM) koji je imao zadak da definiše mobilni sistem koji će biti uveden širom evrope 1990. GSM (kasnije nazvan Globalni sistem za mobilnu komunikaciju),je dao evroskoj komunikacijskoj industriji domaće tržište od oko 300 miliona korisnika a u isto vreme i određeni tehnički izazov.Rane godine GSM-a su uglavnom obeležene selekcijom radio tehnologija za air-vazdušni interfejs. Interfejsi,protokoli i interfejs skladišta su u skladu sa principima Open sistema interkonekcija (OSI). GSM arhitektura je otvorenog tipa što omogućava maksimalnu nezavisnost između mrežnih elemenatakao što je Base Station kontroler (BSC), mobilni centar prebacivanja (MSC) i kućni registar(HLR).GSM 900 (na 900 MHz) je usvojen u mnogim zemljama –veći deo Evrope,Severna Afrika,srednji Istok,neke azijske zemlje i Australija.U većini slučajeva aranžmani oko roaminga su utvrđeni kako bi omogućili svojim korisnicima komunikaciju kada putuju.

Naravno oni koriste svoj postojeći broj i račun.Kasnije se javio GSM 1800 pa 1900 tako šireći broj zemalja koji ga koriste.GSM 1900 se koristi u severnoj Americi.Svi ovi sistemi koriste neku vrstu roaminga poznatu kao roaming modula identiteta korisnika (SIM) između njih i drugih sistema zasnovanih na GSM.Korisnik iz bilo kog sistema može pristupiti telekomunikacijskim uslugama koristeći personalnu SIM karticu i telefon koji pokriva određena mreža.Ako korisnik ima telefon koji ima opciju više namenskog opsega onda ga može koristiti širom sveta. Ovakva globalizacija je omogućila GSM-u da postanu vodeći takmičari u pružanju digitalnih celularnih i Usluga personalne komunikacije (PCS). PCS sistemi nude multimedijalne usluge bilo kada i bilo gde.GSM 900,GSM1800 I GSM 1900 predstavljaju drugu generaciju sistema.Bežična telefonija 2 (CT2) takođe ripada ovoj generaciji koja se koristi u Evropi za nisku mobilnost.Dve digitalne tehnologije, Time Division Multiple Accsess (TDMA), i Code Division Multiple Accsess (CDMA) su proizašle iz PCS sistema.CDMA je digitalna tehnologija koja se najbrže razvija.Ona je napredna tehnologija koja može ponuditi 6-8 puta više kapaciteta analognih tehnologija (AMP) i 4 puta kapaciteta TDMA.

4.4. Celularna komunikacija od 1G do 3G

Mobilni sistemi su se menjali sa svakom novom generacijom na svakih deset godina ili manje.Telefoni prve generacije su bili veoma veliki,sve analogne komponente kao što su amplifajer jačine,sintetizer i antena su takođe bili nezgrapni.Smanjivanje mobilnih telefona se pojavilo nogo pre javljanja druge generacije.Telefoni 1G su davali loš kvalitet glasa,malo vremena za razgovor i malo stend by vremena-baterija slabo držala. 2G sistemi zasnovani na TDMA i CDMA su prvenstveno dizajnirani da poboljšaju kvalitet glasa i omoguće nove opcije.I za telefone 2G sistema su se javila tri ogromna problema-metod korišćenja kompresije glasa-koji metod upotrebiti? Da li koristiti linearnu ili nelinearnu šemu modulacije i kako tretirati kašnjenje

raprostranjivanja u više pravaca koje stvara rasprostranjivanje radio talasa u vise pravaca gde dolazi ne samo do preskakanja neke faze nego i vremenske razlike između direktnih i reflektovanih talasa.Na brzi razvoj Digitalnih Signalnih procesora (DSPs) je uticao razvoj glasovnih kodova mobilne okoline koji su se bavili greškama.Povećanje broja korisnika i briga oko širokog spektra izvora je dovelo do izbora linearnih modulacionih sistema. 3G mobilni sistemi su se bavili načinom kako učiniti mrežu ekonomičnijom i dizajnom radio transmisije koja će obezbediti neprestanu uslugu-bez prekida –iz perspektive korisnika.Ovi sistemi obezbeđuju neprekidan pristup fiksnoj mrežipodataka.3G sistemi su imali za cilj da obezbede multimedijalne usluge uključujući glas,podatke i video.Razlika između 2G i 3G sistema se sastoji u hijerarhijskoj ćelijskoj strukturi dizajniranoj da podrži širok opseg multimedijalnih usluga u okviru različitih tipova ćelija koristeći naprednu tehnologiju transmisije i protokola.2G sistemi večinom koriste ćeliju jedne vrste i ponovno korišćenje frekvencije u okviru okolnih ćelija na način atko da svaka predstavlja svoju radio zonu i kontrolu tradio kola u okviru mobilne mreže.Višeslojna struktura 3G sistema nastoji da prevaziđe ove probleme slažući ćelije jedne na druge.

4.5. Bežični 4G sistemi4G mreže možemo definisati kao bežične ad hoc ravnopravne mreže sa velikom stopomiskorišćenosti i globalnim roamingom,distribuisanim kompjuterisanjem,personalizacijom i multimedijalnom podrškom.Ove mreže će koristiti distribuisanu arhitekturu i end-to-end internet protokol (IP).Svaki uređaj će biti u isto vreme i transmiter i ruter za druge uređaje u mreži eliminišući nedostatke 3G sistema.Mrežna pokrivenost/kapacitet će se dinamično menjatikako bi se prilagodila obrascima korišćenja korisnika.Korisnici će automatski izbegavati zagušene rute dozvoljavajući mreži da dinamično i automatski se sama prilagodi.U skorije vreme nekoliko bežičnih tehnologija širokog spektra su se razvile da dostignu visoke stope podataka i kvalitet usluga.Navini Networks su razvili bežični sistem zasnovan na TD-SCDMA.sistem nazvan Ripwave-sekač talasa,koristi formiranje snopa-mlaza kako bi omogućili korisnicima u raznim sektorima simultano korišćenje većine spektrovnog opsega. Mlazno formiranje dozvoljava spektru da bude efektivno korišćen iznova i iznova u zagušenoj okolini bez upotrebe dodatnih sektora.Ripwave sistem varira između QPSK 16 i 64 QAM koji dozvoljava sistemu da se rasproste do 9.6 Mbpskoristeći samo 1.6 MHz TDD prenosnik(kerier).Trenutno ovaj sistem isprobavaju neke tele kompanije u Americi.Ripwave korisnička oprema ima veličinu modema i sadržanu antenu.Takođe su PC kartice za laptop postale dostupne dozvoljavajući veću nosivost korisniku.I mnoge druge tehnologije su razvile svoje sisteme-Flarion Technologies promoviše svoju Flash-OFDM; tu je Beamreach,IPWireless,SOMA networks.Kako se dalje razvijaju bežični sistemi to će i kvalitet i ponuda usluga biti sve bolja i bolja.Korisnici će stalno biti povezani sa mrežom kroz sopstveni terminal po izboru.Bežični sistemi posle 3G će se sastojati od slojevitekombinacije različitih tehnologiha pristupa:● celularni sistemi(npr postojeći 2G i 3G)●WLANs za određenu aplikaciju kod kuće (IEEE 812.11a, 812.11b, 812.11g)●Široka interoperabilnost za pristup mikrotalasa (WiMAX) (812.16) zamtropolitanska područja●WPANs za aplikacije kratkog dometa i male mobolnosti kroz kancelariju ili kodkuće-bluetooth

Ovi sistemi će biti povezani preko zajedničke IP mreže koja će se baviti i radom između drugih sistema.Sržna mreža će omogućiti inter i intra pristup.Brzina 3Gsistema je bila 10 puta veća od 2G i 2.5G sistema.4G sistemi će biti daleko bržiod 3G sistema.Ići će u korak sa napretkom i razvojem 21 veka.

4.6. Standardizovane aktivnosti za celularne sisteme

Standardizovane aktivnosti za PCS u Severnoj Americi su izvele zejednički tehnički komitet (JTC) zadužen za bežični pristup koji čine sopstvene grupe iz T1 komiteta-jedinicu Saveza za Telekomunikacijska Industrijska Rešenja (ATIS) i inžinjerskog komiteta (TR46)-jedinicu Telekomunikacijske Asocijacije (TIA). JTC je formiran novembra 1992 i njegov prvi zadatak je bio da razvije niz kriterijuma za PCS air interfejs.JTC je formirao sedam tehničkih ad hoc grupa (TAGs) marta 1994.jednu za svaki interfejs predlog. TAGs su načinile dokument specifikacija za određene interfejs tehnologije i vodile legalizovanje i verifikovanje kako bi osigurali doslednost sa kriterijumima koje je postavio JTC.To je praćeno glasanjem o svakom o standardu.Posle glasanja četiri od predloženih standarda su usvojena kao ANSI standardi:IS-136- based PCS,IS-95-based PCS, GSM 1900 i Personalni Akses-pristupni Komunikacijski sistem (PACS).Dva od predloženih standarda –skup CDMA/TDMA i Oki’s široki spektar CDMA –su usvojena kao probni standardi ATIS-a i u međuvremenu kao standardi TIA.Tabela 1.4 nam daje pregledpoređenja sedam tehnologija koristeći set parametara koji uključuju metode pristupa,duplex metode,širinu spektra po kanalu,prolaz kroz kanale,maksimalnu snagu outputa po jedinici pretplatnika-korisnika,vocoder i minimalni i maksimalni opseg ćelija.3G sistemi su standardizovani pod okriljem Internacionalne Telekomunikacijske Unije (ITU).Glavni predlozi ITU Internacionalnoj Mobilnoj Telekomunikaciji 2000 (IMT 2000)su:ETSI-UMTS Terrestrial Radio pristup (UTRA),ARIB WCDMATIA cdma2000 i TD-SCDMA. Ovi sistemi treće generacije će obezbediti potreban kvalitet multimedijalne komunikacije.Zahtevi IMT -2000 su :384kbps za celokupnu pokrivenost (144kbps za brza vozila koja se kreću između 120 i 500km/h) i 2Mbps za lokalnu pokrivenost.ETSI je prihvatio WCDMA rešenje koristeći FDD modul.U Japanu ovo rešenje je prihvaćeno i za TDD i FDD module.U Koreji dva različita CDMA rešenja su ponuđena-jedno zasnovano na WCDMA slično onome u Evropi i Japanu i drugo slično cdma2000 u Severnoj Americi.Nekoliko grupa koje su radile na sličnim tehnologijama je udružilo svoje izvore.To je dovelo do stvaranja dve grupe standarda-partnerski projekat trećegeneracije-3GPP i 3GPP2.3GPP radi na UMTS koji je baziran na WCDMA a 3 GPP2 radi na cdma2000.IEE standard komitet 802.11je odgovoran za WLAN.Postoje dva IEE komiteta koja odlučuju o sertifikovanju bežičnih tehnologija.802.16x je fokusiran na bežičnu metropolitan mrežu (WMAN) koristeći CDMA i OFDM tehnologije.802.16x dozvoljava nosivost i brzinu podataka od 1Mbps.Novoformirani 802.20 komitet se fokusira na mobilnu mrežu (MWAN).Worldwide Interoperability for Microwave Access (WiMAX) Forum jeneprofitna vladina organizacija koja radi na olakšavanju pokretanja bežičnih mreža širokog spektra zasnovanim na 802.16e standardima. U ovom poglavlju smo govorili o bežičnim mrežama i 1G,2G/2.5G,3G sistemima. Prednost bežične mreže je evidentna.Korisnici nisu ograničeni na mesto povezivanja nego imaju veću mobilnost što odgovara zahtevima današnjice.Pričali smo i o WPAN,WLAN iWAN.

5. Wireless Pretnje

5.1. Uvod

Wireless mreža je kao i svaka mreža dostupna raznim vrstama napada. Neki su isti kao i na konvencionalne (žičane) mreže dok su neke nastale isključivo za wireless. Ovde ću ukratko navesti principe i pretnje s kojima se možemo susreti u wireless svetu.

5.1.1. Sniffing

Snifer je program koji prati celokupan rad na mreži. On vrlo lako određuje odakleje paket došao, kome je namenjen i šta je uopšte u tom paketu. Uz dobro podešene filtre može posmatrati samo određene podatke npr. username i password, e-mail poruke, web stranice i slično. Neki sniferi idu čak toliko daleko da mogu rebuild -ati poslate podatke u prvobitno stanje tako da osoba sa pokrenutim programom dobije isto ono što je i user na drugom računaru. Mada je snifer vrlo moćan alat za sistem administratore isto tako pa čak i više koristi hackerima. On pruža potpuni uvid u topologiju mreže, ip adrese, podatke poslane preko mreže, passworde itd.Sniferi rade tako da NIC(network interface cards) prebacuju u takozvani promiscuous mode. Kartica u tom modu prima sav rad preko mreže bio on namenjen njoj ili ne. Kod wireless sastava stvar je još komplikovanija. Potpuno je nepotrebno imati pristup mreži kao što je to potrebno za pređašnji slučaj. Signal wireless –a je svugde oko nas i sve što trebamo je možda okrenuti antenu u dobrom smeru i pokrenuti wireless snifere u takozvanom monitor modu. Za taj mod nije potrebno imati pristup mreži nego jednostavno pratiti što se dešava na određenim frekvencijama. Zaštita od monitor moda je nemoguća pošto takva WNIC kartica uopšte ne komunicira sa našom mrežom ali protiv promiscuous mode –a postoji u obliku programa koji mogu to detektovati. Jedan takav program je i Antisnif. Ali 100% sigurnost je vrlo teška pa je jedino sigurno rešene tuneliranje podataka. Na slici primer je jednog od najpoznatijih mrežnih snifera na delu. U njemu se može videti sve od ARP request –a do samih podataka koji su prošli mrežom.

5.1.2. Spoofing and Session Hijacking

Spoofing je naziv za čin lažiranja informacija poslanih nekom računaru. Uz sam naziv često se dodaje i način lažiranja npr. MAC Spoofing i slično. Bilo kako bilo funkcija mu je uvek ista, maskirati napadača. Spoofing se često izvodi uz neke druge napade, tipa DoS ili Flood mreže, zaskrivanje vlastitog identiteta. Ali prava snaga mu se vidi u postupku zvanom Session Hijacking. Hacker se tu pretvara da je neko drugi iz razloga da dobije podatke namenjene upravo tom nekom drugom.

5.1.3. Buffer Overflows

Buffer Overflow je napredna hack tehnika. Ona je trenutno jedna od vodećih sigurnosnih ranjivosti uopšte. Ono što se zapravo njome može uraditi je pokretanje malicioznog koda na napadačevom računaru. Uspešnim napadom, među ostalim, možemo dobiti potpunu kontrolu tog računara. Ovaj napad se izvodi tako da se programu koji kada se pokrene i smesti u svoj deo RAM prostora, dodeljen samo njemu, pošalje više podataka nego što on može primiti. U tom trenu memorijski prostor tih podataka prelazi u nedozvoljeno RAM područje. U uspešnom napadu to prelevanje dovodi do čitanja nove instrukcije smeštenih u memoriji i daje hackeru ono što je zamislio. Mada je vrlo teško napraviti uspešan Buffer Overflow napad i neuspeli može biti opasan. Dobije li naš program podatke koje nije očekivao odnosno koje jednostavno ne znaobraditi može se zamrznuti i srušiti. Mada je to mali problem na desktop računarima na serverskim bi moglo predstavljati veće probleme. Postoje gotovi programi, koje i deca mogu pokrenuti, za izvođenje ovakvih napada. Tako da ovaj napad predstavlja još veći problem jer ga bilo ko može izvesti.

5.2. Denial of Service Napad (DoS)

Hacker može biti opasan i uopšte ne ulazeći u naš računar. On može vrlo uspešno ugasiti naš računar ili jednostavno ometati mu rad izvan. Najpoznatiji takav napad je takozvani DoS ili u prevodu uskraćivanje servisa (usluge). Izvodi se najčešće Flood –ovanjem ili Buffer Overflow tehnikama s ciljem rušenja sistema. Najpoznatiji DoS napadi su SYN Flooding, Smurf Attacks te System Overloads napadi. SYN napad iskorišćava TCP/IP handshaking protokol. Svakiračunar ima određeni broj omogućen za spajanje klijenata. Ovo se može iskoristiti tako da se sa više računara u isti čas pošalje SYN paket sa lažnom povratnom adresom. Napadnuti računar odgovara na SYN sa SYN ACK i čeka odgovor nazad. Taj odgovor nikada neće doći zbog lažne povratne adrese. I dok on čeka na odgovor dobija novi talas SYN paketa i tako u krug.Smurf Attacks iskorišćava broadcast komunikaciju tako što pošalje nekoliko hiljada paketa sa, naravno, pogrešnom povratnom adresom na koje će svaki računar odgovoriti jer je to broadcast paket. Od jednom 1000 paketa postaje nekoliko stotina hiljada paketa. I dođu li ti svi paketi na neku određenu adresu zagušenje ili pad tog računara je neizbežan. Za ovaj napad mora se imati pristup mreži pošto broadcast paketi ne mogu biti poslati preko vanjske mreže. System Overloads je napad na program pokrenut na računaru. Ako napadač poznaje određeni program i zna za neki nug on može vrlo brzo srušiti naš računar. Poznat je ovakav napad na web servere koji su padali u roku od dve sekunde zbog određenih http zahteva. Ovaj se napad često izvodi Buffer Overflow tehnikama kome je cilj rušenje sistema. Ovo je zato mnogo lakši napad negopuni Buffer Overflow.

5.3. Lociranje wireless mreža

Ovo samo po sebi i nije napad ali vrlo lako kasnije može dovesti do napada. Dabi neko mogao napasti wireless mrežu prvo mora saznati da ta mreža uopštepostoji i gdje se nalazi. Za to pronalaženje i lociranje mreže postoje sada već profesionalni uređaji veličine privezaka. Sve to može se i postići dobrim starim načinima kao širom otvorene oči. Da bi neko opravdano posumnjao da je tu neka wireless mreža dovoljno je videti Ap ili antene koje bi mogle sugerisati

na postojanje wireless opreme. Ova slika slikana je na jednom železničkom koloseku. Ta je mreža možda javna ali možda i nije pa to može dovesti do nepotrebnih izlaganja opasnosti. Uz ovaj način postoje i malo sofisticiraniji načini kao skeniranje područja alatima poput NetStumblera ili War Driving tehnika. Od svih tehnika daleko je najjači War Driving. War Driving je spoj običnog skeniranja područja sa recimo NetStumblerom i prevoznog sredstva. S tom tehnikom se može skeniratipodručje celog grada u vrlo kratkom roku. Napredni War Driver –i danas već koriste i GPS pa se tako pronađeni rezultati automatski ucrtavaju u kartu. Mnogi rezultati up-loadaju se na Internet pa je i razmena podataka vrlo lako izvodljiva. Ove tehnike potpuno su legalne i ne možemo ih nikome zabraniti ali postoji rešenje koje radi sa alatima poput NetStumblera. Isključivanje Beacon signala na našem AP –u Stumbler nas neće otkriti a naši će se korisnici i daljemoći spajati. Ovo je dobro rešenje za određene vrste alata koji rade na otkrivanju AP –a pomoću beacon frameova,ali postoje i alati koji pasivno prisluškuju frekvencijski spektar i protiv njih ovo ne bi radilo.

6. 802.11 Wireless Security Metode

6.1. UvodNakon svih tih nabrojanih pretnji i hacking metoda došlo je i vreme za zaštitne metode i protokole. Ovde ćemo ukratko opisati pozadinu svega toga, njihove prednosti i mane i slično. Poznavanje ovih metoda uveliko nam pomaže u kvalitetnom osiguranju wireless mreže.

6.2. KriptografijaPre nego što počnemo o samim metodama nešto o Kriptografiji. Kriptografija je nauka o algoritmima za enkripciju i dekripciju. Algoritam predstavlja set instrukcija koje treba napraviti da se dođe do nečega. On znači ima svoj početak i svoj kraj. Ekripcija je jednostavno dovođenje poruke u nerazumno stanje. Suprotno tome je dekripcija. Postoje dve glavne vrste enkripcije, simetrična i asimetrična. Svaka ima prednosti i mane te se stoga koriste na određenimpodručjima.

6.3. Simetrična enkripcijaU njoj su enkripcija i dekripcija obavljene koristeći isti ključ. One su puno brže od asimetričnih ali zavise o tome koliko je password dobro sakriven. Mada i o tome zavise i jedna i druga tu je to puno više izraženo. Jednom pronađeni password omogućuje dekripciju bilo koje sledeće enkriptirane reči.

6.4. Asimetrična enkripcijaOva je vrsta enkripcije puno kompleksnija, sigurnija je, ali je i puno sporija. Temelji se na dva ključa, takozvani privatni i javni ključevi. Privatni je poznat samo nama i njegovo kompromitovanje predstavlja potpun gubitak sigurnosti. Nemoguće ga je obnoviti ako se izgubi

jer jednostavno niko ne zna za taj ključ osim vas. Javni ključ se dobije iz privatnoga s time da je obrnuti postupak nemoguć. Ovaj ključ nam služi da bi ga javno objavili. Dakle svi ga mogu videti i on ne predstavlja nikakvu tajnu. Jednom enkriptirana poruka našim javnimključem može se dekriptirati jedino našim privatnim ključem i tu je snaga ovakve enkripcije.

6.5. ZaključakŽelimo li osigurati naše podatke tako da ih niko ne može čitati enkripcija je jedini pravi izbor. Ovo se očitava upravo u wireless sastavima. Dok je za žičane mreže trebalo kako tako fizički doći do mreže, u wirelessu se dešava upravo obrnuto. Mreža je tu, doslovce došla u stan potencijalnog napadača. Pokretanje snifera je postupak od nekoliko sekundi i u tom trenu naši podatci postaju vidljivi bilo kome.

6.6. RC4RC4 je trenutno temelj wireless zaštita. To će i ostati dok AES ne uđe u široku primenu. Bilo kako bilo to je vrlo jak algoritam i sa trenutnom tehnologijom bi trebale godine da se probije kodirana poruka. Ono što je glavna prednost RC4 je velika brzina za relativno veliku sigurnost. RC4 algoritam razvio je Ron Rivest 1987. godine za RSA Data Security, Inc. Algoritam je bio tajan sve do 1994. godine kada je izvorni kod algoritma anonimno objavljen na Internetu.RC4 je simetrični znakovni (engl. stream) algoritam – svaka reč kodira i dekodira se posebno. Najčešće se koristi reč dužine jedan bajt. Ključ koji se pri tome koristi može biti dužine do 256 bajtova. Algoritam generiše niz pseudoslučajnih brojeva proizvoljne dužine . XOR mešanjem tog niza sa podacima dobija se kodirani niz.

WEP

Logično je da su wireless prenosi dostupni kako nama tako i nekome drugome.Širenje wireless signala vrlo je teško ograničiti na neko malo područje, pogotovopri većim udaljenostima. Upravo radi ovih razloga je 802.11 od samog početkauključivao jednu vrstu zaštite, tačnije rečeno uključivao je wep zaštitu.Wep (Wired Equivalent Privacy) definiše set instrukcija i pravila po kojima bežičnipodatci mogu putovati vazduhom na siguran način. Kada se tek pojavio verovalose da će wep pružati dosta veliku sigurnost naspram hackera. No sa rastompopularnosti wireless mreža one su se počele koristiti unutr škola. Tada su počeliglavni problemi. Walker 2000 (Walker, J. 2000. Unsafe at any key size; ananalysis of the WEP encapsulation. IEEE 802.11-00/362), Arbaugh 2001(Arbaugh, W. A., N. Shankar, and J. Wan. 2001. Your 802.11 network has no

clothes. In Proceedings of the First IEEE International Conference on WirelessLANs and Home Networks), Borisov 2001 (Borisov, N, I. Goldberg, and D.Wagner. 2001. Intercepting mobile communications: the insecurity of 802.11.In Proceedings of the Seventh Annual International Conference on MobileComputing and Networking) su pokazali da je wep potpuno podbacio. Pristvaranju wepa zbog brzine integracije vrlo je malo kriptografskih stručnjakasaradjivalo u njegovom stvaranju odnosno odobrenju. Upravo u tome mnogi viderazlog da wep ima tako ogromne propuste.O WEP algoritmuWEP kao osnovu koristi RC4 algoritam. Ključ kojim se inicijalizuje RC4 algoritamsastoji se od dva dela: inicijalizatorskog vektora (engl. IV – Initialization Vector) itajnog ključa. Tajni ključ (često nazivan WEP ključ) poznat je svim ovlašćenimkorisnicima mreže i jednak je za sve korisnike. Distribucija tajnog ključa nijedefinisana standardom i najčešće se obavlja “ručno”2. Inicijalizatorski vektorobično je različit za svaki okvir, dok je tajni ključ stalan. Posledica toga je da zaokvire sa različitim IV-om RC4 generiše različite nizove pseudoslučajnih brojeva.IV je dužine 3 bajta te se nakon nekog vremena nužno mora dogoditiponavljanje. Da bi prijemna strana mogla dekodirati sadržaj okvira, IV se šaljenekodiran u zaglavlju okvira. Radi zaštite okvira od izmena, za sadržaj okviraračuna se CRC32 suma (engl. ICV – Integrity Check Value) i kodira zajedno sapodacima. Prijemna strana nakon dekodiranja računa ICV za sadržaj okvira iupoređuje ga sa ICV-om dobijenim nakon dekodiranje okvira.Wireless tehnologija26Zaglavlje okvira sadrži i identifikator korišćenog tajnog ključa. Identifikator jedužine 2 bita pa je moguće istovremeno koristiti 4 različita tajna ključa. Ukoliko

se u mreži koristi više ključeva bitno je da na svim uređajima isti tajni ključevibudu pridruženi istim identifikatorima. Ako, na primer, uređaj A kodira okvir tajnimključem sa identifikatorom 2, tada uređaj B mora imati isti ključ pridruženidentifikatoru 2 da bi mogao ispravno dekodirati sadržaj okvira. Prema tome,identifikatori tajnog ključa predstavljaju indekse polja tajnih ključeva. Standard802.11 opisuje i korišćenje različitih WEP ključeva za različite MAC adrese. Tamogućnost obično nije dostupna preko uobičajenog Web sučelja pristupne tačke(eventualno samo preko SNMP-a), pa se retko koristi. WEP ključevi mogu bitidugi 40 bita (dodavanjem IV-a dobiva se 64 bitni RC4 ključ) ili 104 bita (128 bitniRC4 ključ).802.1XUvod802.1X koncept je zapravo vrlo jednostavan. Njegov je zadatak da implementiraaccess kontrolu u tački u kojoj korisnik pristupa mreži. Ta tačka se često naziva iport. Iako je ovaj standard nastao nakon 802.11 standarda, našao je širokuprimenu unutar naprednijih wireless sastava. Ubuduće 802.11i će još višedoprinieti raširenosti ovog standarda u wireless svetu.Wireless tehnologija27O IEEE 802.1XIEEE 802.1X standard, Port Based Network Access Control, definiše mehanizmeza portno orijentisanu kontrolu mrežnom pristupu te korišćenje fizičkog pristupakarakteristikama IEEE 802 LAN infrastrukture. On omogućava sredstva zaautentifikaciju i autorizaciju uređaja spojenih na LAN port koji ima karakteristikepoint-to-point veze. On takođe onemogućava pristup u slučaju u kojemautentifikacija i autorizacija nisu uspešno provedene. Ovaj standard je prvorazvijen za ožičene ethernet mreže, ali je kasnije prilagođen za korišćenje na

802.11 bežičnim mrežama (WLAN). Ovo uključuje mogućnost da pristupna tačkaWLAN-a distribuira ili dobije global key information za/od priključenih stanicapomoću EAPOLporuke s ključem. IEEE 802.1X definiše sljedeće pojmove: •Entitet za portni pristup ( Port access entity ) • Autentifikator • Pristupnik (Supplicant ) • Autentifikacijski server 1.1. Entitet za portni pristup Port accessentitiy (PAE), takođe znan i kao LAN port, je logički entitet koji podržava IEEE802.1X protokol koji je pridružen portu. LAN port može preuzeti uloguautentifikatora, pristupnika ili oboje. Svaki od portova komunicira jedan na jedansa portom na stanici. Autentifikator je LAN port koji prisiljava na izvođenjeautentifikacije pre dopuštanja pristupa uslugama kojima se pristupa preko porta.Autentifikator je odgovoran za komunikaciju sa pristupnikom te za prosleđivanjeinformacija dobijenih od pristupnika odgovarajućem autentifikacijskom serveru.Ovo omogućava verifikaciju pristupnikovih prava te određivanje stanja porta.Važno je primetiti da funkcionalnost autentifikatora ne zavisi o autentifikacijskojmetodi. On funkcioniše kao prolaz za izmenu autentifikacija. Za bežične mreže,autentifikator je logički LAN port na bežičnoj pristupnoj tački (access point - AP)kroz koju klijenti sa bežičnim pristupom deluju za dobijanje pristupa ožičenojmreži. Pristupnik je LAN port koji zahteva pristup uslugama kojima se pristupapreko autentifikatora. Pristupnik je odgovoran za odgovaranje na zahteveautentifikatora kojima traži informacije za potvrđivanje autentičnosti. Kod bežičnihmreža pristupnik je logički LAN port na bežičnom mrežnom adapteru koji zahtevapristup mreži. To radi prvo povezivanjem a autetifikatorom, a zatim iautentifikacijom.Bez obzira koristimo li ožičene ili bežične mreže, pristupnik i autentifikator sulogički ili fizički spojeni kao point-to-point LAN segment. Autentifikacijski server

Da bi potvrdili autentičnost pristupnika, autentifikator koristi autentifikacijskiserver. Autentifikacijski server proverava pristupnikova prava na pristup iodgovara autentifikatoru. Autentifikacijski server može biti: • komponentapristupne točke (Access Point - AP). AP mora biti konfiguriran setom korisnikovihkredibiliteta koji odgovaraju klijentima koji se pokušavaju spojiti na mrežu.Wireless tehnologija28Tipično, ovo se ne implementira kod bežičnih AP. • posebni entitet. APprosljedjuje kredibilitet od pokušaja pristupa posebnom autentifikacjskomserveru. Tipično, bežični AP koristi Remote Authentication Dial-In User Server(RADIUS) protokol za slanje parametara pokušaja pristupa RADIUS-u.Kako radi IEEE 802.1XPrincip rada 802.1X često se uspoređuje sa preklopnikom (en. Switch). Kada seneko spoji sklopka je otvorena i on ne može ući u mrežu. Da pristupi mreži onmora tražiti odobrenje. Ako ga dobije onda može uči u mrežu.Očito je da ako nema pristup mreži on ne može nikoga ni pitati za taj pristup. Tudolazi takozvani Authenticator. On je zapravo posrednik između user –a(Supplicant) i našeg centralnog mesta koje zna kome je ulaz dopušten,takozvanog Authentication servera.Posljednje slike 7 I i 8 prikazuju punu komunikaciju kako bi to izgledalo ustvarnom svetu.Wireless tehnologija29Mada to ne mora uvek izgledati tako, u većini slučajeva ovo vredi. Na drugoj slicispominje se PAE što nije ništa drugo nego skraćenica od port access entityodnosno puno ime porta.Nove Wireless Security MetodeIEEE 802.11iSledeća generacija wireless sigurnosti trebala bi biti definisana unutar ovogstandarda. On još uvek nije dovršen ali neke osnove se već poznaju. 802.11idefiniše novu vrstu wireless mreže nazvanu RSN (robust security network). Unekim pogledima to je obična "wep" mreža no da bi postala RSN morazadovoljavati određena zahteve. U čistom RSN –u acess point će dopuštati

spajanje samo RSN uređaja. No mnogi će ljudi, vrlo verovatno, hteti upgrade –atisvoje uređaje kroz neko vreme pa 802.11i definiše i TSN (translation securitynetwork) u kojoj mogu i RSN i WEP sistemi raditi paralelno. Trenutno ne postojeRSN na tržištu zbog toga što 802.11i još ne postoji u celosti. Dok se sve topromeni proći će možda još dosta vremena, Ipak je neko mislio i na to i proizveoWPA. WPA (Wireless Protected Access) se može implementirati unutar trenutnemreže kao firmware nadogradnja, a puno su sigurnije nego wep.WPAKada su se uočile greške wep –a Wi-Fi grupa je htela što pre izbaciti zamenu zanjega. No nije bila samo zamena bitna nego i to da malo ko je spreman odbaciticelokupni hardware koji je kupio tek nedavno. Radi toga su trebali naći rešenjekoje se može implementirati u postojeću infrastrukturu. To je dovelo TKIP(Temporal Key Integrity Protocol). Ovaj protokol će biti podržan i unutar 802.11iali tržište nije moglo čekati toliko pa je Wi-Fi alliance odobrila ovaj podsastavRSN –a nazvan WPA. RSN i WPA imaju isti pristup i arhitekturu. RSN je naravnonapredniji pa će podržavati i AES algoritam uz TKIP. TKIP je rađen tako da seintegriše unutar wep sastava, a AES je građen od početka bez ikakvihograničenja i veza na starije sastave. To ga čini i jačim. TKIP uzima sve staredelove wep -a i menja ih tako da postaju za sada dosta sigurni od napada. Timese postiglo to da se na već postojeće sastave samo nadogradi wpa i bezprevelike problema pričeka dovršetak 802.11i standarda.Wireless tehnologija30TKIPTemporal Key Integrity Protocol (TKIP) je jedna od najnovijih security metodaponuđenih od, danas, većine proizvođača wireless opreme. Napravljen je izrazloga da ispravi wep propuste i to je, za sada se čini, odradio je vrlo dobro.

Razvijali su ga, među ostalima, upravo oni koji su i našli probleme u wep –u štobi ga trebalo činiti i još jačim. Ovaj protokol i dalje koristi RC4 kao enkripcijskialgoritam, ali on uklanja problem oko wep ključa tako što svakih 10000 paketa tajključ promeni. U TKIP –u IV se povećava 32 bita te se ovaj put vodilo i računa otakozvanim weak keys tako sa se prvih 8 bitova odbacuje. TKIP takođe rešavaproblem oko verodostojnosti poruke tako što uključuje Message Integrity Checkkoji onemogućuje napadačevo menjanje poruke. Mada je zapravo ovo punonapredniji sastav od wep –a on je i dalje samo nadogradnja na wep. Pa se tako,u većini slučajeva, nudi kao jednostavno skidanje novih firmware –a za našeuređaje.AESAdvanced Encryption Standard je nova enkripcijska metoda odabrana od U.S.Goverment –a da zameni DES kao njihov standard. Ovaj je algoritam vrlo jak iverovatno će biti temelj 802.11i standarda. Mada još nije prihvaćen od šire straneWLAN proizvođača neki ga već ugrađuju u svoje uređaje. AES zapravo zakodiranje koristi algoritam poznat pod imenom Rijndael. Izumeli su ga JoanDeamen i Vincent Rijmen, te on ulazi u AES pobedivši pri odabiru RSA, IBM tejoš nekolicinu ponuđača. To takmičenje je organizovalo National Institute ofStandards and Technology radeći to za dobro nam znanu NSA (National SecurityAgency). Snaga AES –a se još mora pokazati ali veruje se da će ovo postatistandard za enkripciju i tako ostati podosta godina. Tehnologija koja je probilaDES, AES bi probijala ni manje ni više nego 149 triliona godina. Istina je da jeDES probijen pre dosta godina no i dalje ova brojka puno govori. Ali kao i svaka

enkripcija AES će se probiti jednom, u to ne treba sumnjati, no niko u ovomtrenutku ne veruje da bi se to moglo desiti u tako skoro vreme. Glavna manaAES –a je to da je puno komplikovani od primera RC4. To za sobom povlačipotrebu za većom procesorskom snagom. Za primer ću navesti to da bi se RC4napisao u proseku potrebno je oko 50 linija koda, dok je to god AES –a 350. Ovopokazuje da je AES – u potrebno više hardware –skih resursa no ništa previšeda ga današnja tehnika ne može podržati.Wireless tehnologija31Osiguranje wireless mrezeUvodOsiguranje wireless mreže se može podeliti u dve kategorije. Access Pointsecurity metode i Third Party Security metode. AP metode predstavljaju prvustepenicu ka cilju. AP se mora podesiti tako da služi kao prva crta obrane a nekao izvor problema. Third Party metode predstavljaju nastavak pošto su onekompleksnije i puno naprednije naspram AP metoda.AP Based Security MethodsWEPMada smo pre naveli wep kao veliki promašaj neko se može pitati čemu onda tono wep ima jednu veliku prednost. On je možda neučinkovit protiv nekogaupornog, s određenom ciljem i znanjem no za slučajne, pass by, napade je vrloučinkovit. Mnogi koji žele samo pronjuškati po diskovima i serverima vrlo će brzoodustati od mreže zaštićenom Wep –om. Ili jer nemaju znanja za probiti wep iliim se jednostavno ne da truditi se. Mada je osoba možda došla iz čiste znatiželjeta znatiželja može dovesti do pokretanja sniffera i krađe vrlo važnih informacija.Ako im je do čiste šetnje odabra će neku drugu mrežu bez zaštite koristeći većspomenuti NetStumbler. Drugim rečima ako omogućimo wep koji je potpuno

nepoverljiv eliminisaćemo ćemo 99% pretnji. Wep je zapravo vrlo sličan blokadivolana u autu. Lopov koji dođe onako u prolazu do vašeg auta primeti li da vašauto ima zaštitu ukrasće će onaj do vas bez zaštite. No ako lopov ima razlog izkojeg oće baš vaš auto, blokadu volana skoro da neće ni primetiti.MAC FiltriranjeSvaki uređaj na mreži, po defaultu, ima jedinstvenu adresu koja koristi da bi serazlikovao jedan NIC od drugoga. Ta adresa se zove MAC (media accesscontrol) adresa. Po toj teoriji da svaki NIC ima svoj jedinstveni broj koji mu jedodelio proizvođač, na AP se može postaviti da propušta određenu listu MAC –ova. Naravno ovo su prepoznali proizvođači wireless opreme i ugradili to u svojeuređaje. Da bi ovo sve funkcioniralo administrator mora imati listu MAC –ova što inije neki problem jer MAC adresa nije tajna. Većina Windows OS –a to pokazujenaredbom ipconfig, a i linux nije ništa drugačiji. Znači kada se skupi lista svihMAC –ova možemo uključiti filtriranje.MAC filtirranje na D-Linku.Wireless tehnologija32Ovaj postavke odbiće sve MAC adrese osim onih koji se nalaze na listi. Pokušali neko ući sa nedozvoljenim MAC –om to ćemo vidjeti u Log –u. Deny Log file.Ali teorija i praksa su uvek bile dosta različite pa tako i ovde nije sve bajno. Svebi bilo super da ne postoji jedna sitnica, a to je da se MAC adrese mogu menjati.Nekada su MAC adrese bile dodeljene hardwareskim postavkama jumpera, nodanas se većinom smeštaju u flash memorijama i mogu se menjati čak iproizvođačevim softwareima.Dell TrueMobile MAC karticaUz to neki OS –ovi spremaju te informacije u njihove sistemske datoteke koje semogu promeniti, a tako i na lakši način doći do željenog rezultata, neovlaštenog

ulaz u mrežu. Iz razloga što menjanje MAC –ova može pomoći administratoru urešavanju nekih problema. No po meni to je puno rjeđe nego spoofanje MAC –ova za ulaz u mreže. To nas opet vraća na ono ako neko oće ući, ući će ali velikavećina okrenu će se i preči na neku drugu mrežu.Zaštita Kontrolom Radijacijske ZoneDok je wireless mreža u funkciji ona odašilje RF (radi frequency) signale. Oni sunosioci podataka između AP –a i ostalih WNIC –a. Bila to ad-hock mreža ilimreža PDA uređaja i dalje sve je to RF signal. Kada god mi nešto odašiljemouvek je pitanje koliki je domet. Zbog prepreka svih mogućih vrsta pa čak ivazduha smanjuje se domet WiFi uređaja.Wireless tehnologija33Ono što je zanimljivo je to da radijacijsko polje može biti dosta veliko zavisno odsamih uređaja i antene koje se koriste. Mada potporni zidovi, metalne površine,električne instalacije umanjuju domet on je u većini slučajeva veći nego štodokumentacija kaže.Ako je nekoga ikada zanimao domet bežičnog telefona pa se udaljavao dok neostane bez signala vrlo je verojatno da je došao do istoga zaključka kao i mi. Pritome high gain antena može povećati domet na nekoliko desetaka kilometara pami možemo tražiti, kroz prozor, do mile volje nekoga ko nam je srušio server.Štoviše signal se u gradskom okruženju može toliko izodbijati na sve strane pa jemoguće da nam je zapravo uljez iza leđa.Curenje W-lana zbog pozicije AP na strani zgradeAli na sreću za ovo postoji rešenje. Prvo i najjednostavnije je odrediti poziciju APa.Ako je AP u uglu sobe puno će više signala "iscuriti" izvan nego što bi to bioslučaj da je u centru sobe. Ako se treba postaviti više AP –a trebamo paziti da sušto bliže centru zgrade, a ne uz vanjski zid ili još gore uz prozor.Ispravljena pozicija AP –aWireless tehnologija

34U ovom primeru vidi se da pozicija AP –a može značiti jako puno u velikimzgradama. Mada su kružnice i dalje izvan zgrade, najuža i najjača je unutar kućešto je velika prednost. S ovim smo dobili bolji signal u samoj kući i oduzeli dobarsignal mogućem uljezu. Ovo nije jednini način kontrole odaslanog signala.Većina proizvođača uključuju opciju kontrole izlazne snage. Neki čak daju opcijuuključivanja i isključivanja signala sa leve ili desne strane. To je vrlo korisno kodeliminisanj i restrikcije nepotrebnog signala. Primer Linksys rešenja za levu idesnu antenu te D-Link –ov za kontrolu izlazne snage.Sa ovim antenama managment tehnikama možemo dakle kontrolisati dometnašeg wlan-a. U visokim zgradama ovo može biti vrlo važno zbog interferencije i"glasnih" suseda. S time da isključimo jednu antenu, smanjimo snagu ilipromijenimo njenu poziciju možemo vrlo dobro stisnuti signal unutar potrebnihnam dimenzija.Zaštita pomoću DMZ –aDMZ ili Demilitarized Zone je zapravo koncept a ne konkretni proizvod (rešenje).DMZ predstavlja način organizacije računara (servera) koji mogu predstavljatirizik za mrežu. To dopušta bilo kojem Internet korisniku da pristupi tom serveruno desi li se da server dođe pod neovlaštene ruke to se računalo neće močikoristiti za pristup ostatku mreže. Mada je logično da će sam server biti podfirewall –om taj firewall mora ignorisati dosta prometa jer, server služi da bi muse pristupilo. To ga naravno čini ranjivim. Da bi se ograničilo pristupanje serveramreži firewall hardware (software) konfiguriše se tako da ima posebne portovesamo za DMZ. Većinom to izgleda tako da postoje 3 porta. Za Internet, za LAN iza DMZ. U te portove tada idu switchevi i u njih računar koliko želimo. Tako mimožemo i naš AP staviti tu u DMZ što rešava problem ulaska u mrežu iza

firewall-a no wireless korisnici (klijent računara) tu ostaju kratkih rukava. Ovo sene odnosi na njih pošto su i oni i potencijalni uljez stavljeni u isti koš pa oni ostajubez zaštite DMZ –a.Wireless tehnologija35Primer DMZ -aVPN (Virtual Private Network)Kad pričamo o firewall -u treba spomenuti i VPN. VPN je virtualna, kriptiranamreža koja je podignuta na postojeću mrežu. Ovaj sistem je poznat podtunneling, jer je kriptirani data tok poslan preko obične mreže tj. unutarkriptiranog tunela. VPN produljuje sigurnu lokalnu mrežu do korisnika izvan nje.Pa tako wireless korisnik može biti unutar wireless mreže ali ga VPN spaja nasiguran način u internu mrežu.Na slici uz VPN se vidi i firewall. On je tu zato što ta dva proizvode često dolazezajedno. Uljez možda ne vidi što mi šaljemo ali ga to ne sprječava da skeniramrežu i vidi potencijalne ulaze, pa na kraju i da napadne mrežu. Zato nam je idalje firewall potreban. Paralelno s time mi na firewall –u možemo zabraniti svešto želi proći a nije naš VPN. Kao što smo pre rekli wep enkripcija nije nikakvavelika zaštita. Nakon što neko probije wep on može jednostavno videti sve štoputuje mrežom. Tu spadaju i password –i, e-mail, dokumenti itd. No uključimo liVPN na sam wep stvari se dosta menjaju. Da bi sada neko "pročitao" našumrežu mora probiti dva sloja. Prvo wep pa zatim VPN. VPN enkripcija je robusnaenkripcija i nije je lako probiti, dapače vrlo se teško probijaju. E sada kada godnegde uložimo više resursa negde smo ih oduzeli. Ovaj put to je u bandwidth -u.Kada bi uključili wep enkripciju nad VPN –om bandwidth bi na pao za otprilike70-80%.__