UNIVERISTETI I PRISHTINS

FAKULTETI I INXHINIERIS ELEKTRIKE DHE KOMPJUTRIKE

Departamenti i Telekomunkiacionit-Studimet Master

WLAN Security
Arian Halimi & Premton Fetahu

Abstrakti
Ky punim prshkruan me fjal t shkurtra WLAN Security. WLAN dhe aplikacionet Wireles jan duke u rritur dita dits n mas t madhe dhe jan duke u br mjaft popullore. Ato jan mjaft t prdorshme dhe shum t fuqishme, por sa i prket siguris ato jan akoma larg nivelit t optimumit. Problemi WLAN Security vazhdon q t jet therra kryesore e implementimit t tij. N vazhdim t ktij punimi do t jepen disa informacione lidhur me sigurin e rrjetave WLAN. Me theks t veant sht shpjeguar pr protokollin 802.11x si nivel i siguris dhe WPA-n.

Hyrje
Rrjetat WLAN apo standardi 802.11x e kan zanafilln kah fundi i viteve 70-ta dhe fillimi i viteve 80-ta, kur edhe filloi zhvillimi i modemeve wireless [Wikipedia]. Kta modem fillimisht kishin shpejtsi shume t ulet prafrsisht rreth (9.6 kbps) dhe distance t vogl transmetimi. Performancat e ksaj teknologjie filluan t prmirsohen me prdorimin e teknologjive t ndryshme moduluese si ishte spread spectrum (gjenerata e dyte e modemeve wirless). Kurse gjenerata e tret e modemeve arrin shpejtsin disa Mbps. Me WLAN nnkuptohet komunikimin n mes t shfrytzuesve pa tela prmes mediumit transmetues, ajrit (valt elektromagnetike). Aplikimi i WLAN n mjedise t ndryshme si shtpi, zyra, kamupse, universitete etj i ka prparsit, por gjithashtu edhe mangsit e veta. Prparsit

e prdorimit t WLAN jan: shfrytzuesve i mundsohet qasje n resurse t ndryshme (Internet, intranet) pa tela, mundsin e lvizshmris npr zonn ku mbulohet me WLAN dhe nuk nevojite q t shtrihen kabllo pr kyje me ka ulet edhe kostoja e shpenzimeve etj. Njeri nga disavantazht e WLAN-it sht siguria e tij. Prderisa te rrjetat me kabllo informacionet nga mediumi transmetues nuk mund te komprimiohen pa pasur qasje fizike, n WLAN kjo mund t ndodh pr shkak se informacionet barten prmes valve. Pr rreziqet si dhe masat preventive q duhet t merren pr sigurin e WLAN do t diskutohet n vazhdim. Mungesa e lidhjes fizike n mes nyjeve ka mundsuar q lidhja pa tela t jet e pa sigurt. Pr t pasur nj nivel t siguris t prafrt me rrejta ma kabllo standarti IEEE 802.11 ka definuar protokollin WEP (Wired Equivalent Privacy) pr t cilin gjithashtu do t bhet fjal n vazhdim. Por fillimisht do t prshkruhet me pak fjal pr Security WLAN me shrbime t certifikuara. Security WLAN me shrbime t ertifikuara Shum organizata kan provuar q t implementojn WLAN, por n fakt nuk kan qen t suksesshme n implementimin e tij. Pavarsisht nga produktiviteti dhe shum beneficione q WLAN ofron, siguria e pamjaftueshme ka ndaluar q nj numr i madh i organizatave ta ndalojn implementimin e rrjetave WLAN. Organizata t ndryshme kan zbatuar protokollin WLAN 802.11 duke prdorur gjithashtu siguri me karakteristika t kufizuara ose nuk kan prdorur siguri [1] . Por organizata dhe kompani t mdha botrore si sht p.sh Microsoft kan dhn platforma dhe zgjidhje pr implementimin e WLAN security duke e ndar kt platform n tri blloqe krysore; planifikimi, ndrtimi dhe operimi, Figura 1. Ky bllok i planifikimit prshkruan hap pas hapi implementimin e WLAN security dhe t gjitha nn blloqet jan t certifikuara p.sh PKI (Public Key Infrastructure) sht i bazuar n platformn Microsoft Windows Server 2003, infrastruktura e RADIUS sht e bazuar n Microsoft Internet Authentication Service dhe informacionet se si jan t konfiguruar wireless access point. Pr m shum lexuesi mund ti referohet [1]

Figura 1 Pamja e siguris s rrjetit WLAN me ertifakat (platforma e Microsoftit)

Transferimi i informacioneve t modifikuara do t thot q nj pjes e mesazheve sht ndryshuar ose vonuar, dhe nuk i duron dot q ti lejoj funksionet e pa dshiruara dhe t pa autorizuara. Preventivat totale ose parciale t shrbimeve e bjn prdorimin e rrjetit t vshtir. Kto sulme tentojn q ta ndrprejn lidhjen e komunikimit ose ta mbingarkojn rrjetin me shum mesazhe pr ta zvogluar throughput-in. N vazhdim jan paraqitur disa nga masat preventive q e mbrojn rrjetin Wirelesst. Firewall- e mbron rrjetin nga prdoruesit e jashtm, t cilt tentojn t qasen nga rrjeti me tela. N oft se firewall-i sht perfekt ather metodat tjera t implementuara mund t gjurmojn dhe detektojn passworda-t, pra t userave t jashtm t trafikut WLAN. Por megjithat nuk sht kaq leht sa duket n shikim t par. Dmtimi m i madh i nj kompanie t rrjets vjen nga vet kompania. Pa masat e duhura t siguris ndonjri prej shfrytzuesve t regjistruar t kompanis, dhe i cili nuk ka m pun me t njjtn kompani mund tu qaset t dhnave dhe rrjetit. Ish i punsuari ka ditur se si ti lexoj dhe ti shprndaj t dhnat e kompanis [2]. Password-i i rrjetit- kontrolli i rrjetit me password duhet q t implementohet n rastin e rrjetit pa tela. Passwordat duhet t jen nn nj kontroll t fort dhe t ndryshuar her pas here. Meqense rrjeti WLAN mund ti prshtat prdoruesit mobil, t cilt tentojn ti lvizin lap-topt e tyre prej nj vendi n nj vend tjetr, policia strikte e passwordave e jep edhe nj shtres m tepr pr siguri [2]. MAC adresimi- prdoret pr autentifikimin e MAC adress ose paswordat e prdorur. Pr ti prdorur kto adresime n rrjetn me shum vizitor do t duhej t krkohej shum fuqi n helpdesk pr ti mbajtur t gjitha kto t dhna [2].

Izolimi- shfrytzuesit e rrjetit WLAN duhet t dijn radio domenin, kanalet, nn kanalet, security ID-n dhe paswordin. N nj rrjet Wireless LAN access point-i funksionon si bridge dhe prdorimi i rrjetit n formn e izoluar sht i paaft q ti detektoj paketat e rrjetit back bone [2].

1. WEP (Wired Equivalent Privatcy)

WEP-bn enkriptimin ndrmjet access point-it wireless dhe klientit wireless. WEP siguron dy shtje kryesore n sigurin e rrjetave wireless; autentifikimin dhe konfidencialitetin. Pr ti mbrojtur t dhnat WEP-i prdor RC4 chiperin i cili prdor nj varg bitash, t quajtur key streams dhe i kombinon kt me mesazhin pr t krijuar chiper tekstin. elsi RC4 i cili zakonisht sht 64 bitsh prbhet prej dy pjesve: 40 bit els sekret dhe 24 bita vektor t inicializimit (Inicialization Vector). Ky vektor i inicializimit sht nj numr i q ndryshon n vazhdimsi dhe prdoret pr ti parandaluar sekuencn e tekstit q sht e njjt me sekuencn paraprake prej krijimit te chipertekstit t njjt kur t enkriptohet. Pr ta pranuar marrsi sinjalin duhet ta procesoj chipertekstin me nj keystream te njjt si n dhns[12]. Hapi i par q bhet sht gjenerimi i WEP elsit. Pasi t jet gjeneruar kjo vler ajo vendoset n AP. N mnyr q t sigurohet se secili shfrytzues mund t pranoj dhe deenkriptoj sinjalin, ky els duhet vendosur secilit shfrytzues.. Kur t dhnat jan t gatshme pr transmetim elsi WEP dhe vektori i inicializimit kombinohen, pastaj duke prdorur chiperin RC4, elsi dhe vektori i

inicializimit prdorin shprehjen logjike XOSE me t dhnat IVC pr t krijuar frame-at e enkriptuar Figura 2 [7]. Standardi 802.11 specifikon elsat 40 bitsh, sidoqoft shumica e prodhuesve kan implementuar elsa 104 bitsh pr siguri m t lart [3,4].

Figura 2 Enkriptimi bazik i WEP-it

WEP ka treguar se ka disa dobsi, t cilat iu lejojn sulmuesve (hacker) q ti tejkalojn nivelet e caktuara t kontrollit t siguris 802.11. Ekzistojn disa software, t cilt deshifrojn elsat WEP, si jan Airsnort1 dhe Webcrack2, WEP dhe mund t thyhet pr 30 minuta ose n qofte se sht i bazuar n fjal t fjalorit, mund t thehet m pak se sa nj minut, informacioni i bazuar n nj publikimi shkencor n lidhje me algoritmin RC4 [8].

2. Autentifikimi
Siguria e rrjetave WLAN sht element mjaft i rndsishm pr ti br t besueshme dhe t prdorshme kto rrjeta, prandaj si theks i veant i ksaj sht edhe autentifikimi. Ekzistojn dy metoda pr autentifikimin n baze t standartit IEEE 802.11: Shared Key Authentication dhe Open System Authentication Open System Authentication mundson autentifkimin e t gjith shfrytzuesve, t cilt bjn krkes pr qasje n rrjet [2], rrjeti i autentifikon ata dhe i jep qasje, Figura 3. Shared Key Authentification sht e bazuar n ndarje t elsave. Shfrytzuesi i rrjetit wireless pyet pr autentifikim dhe ai ia drgon krkesn pr autentifikim access pointit. AP e drgon at prapa si tekst t rndomt. Ky tekst enkriptohet nga ana e shfrytzuesit dhe i drgohet AP. Nse teksti i enkriptuar sht i pranueshm prej access point-it ather shfrytzuesi i qaset rrjetit, Figura 4.

1 2

http://www.airsnorth.shmoo.com http://www.wepcrack.sourceforge.net

Figura 3 Shared key authentication

Figura 4. Open system authentication

3. SSID- Service Set Identification

SSID sht kod i cili i bashkngjitet t gjitha paketave n rrjetin wireless, pr ta identifikuar seciln pakete si pjes t atij rrjeti. NIC kartela e Wireless shfrytzuesit duhet t konfigurohet me SSID t njjt sikurse access pointi n mnyr q t ket qasje n rrjet. [6]. Ekzistojn dy lloje t SSID: tek rrejtet Ad-Hoc ku nuk kemi access pointa shfrytzuesit prdorin IBSSID (Indepedent basic serivece set ID) dhe rrjetet q kane access pointa ku prdoret ESSID (Extended SSID). SSID ndryshe njihet edhe si emri i rrjetit (Network Name) Administratoret e rrjetit zakonisht prdorin SSID publike, q vendosen npr access pointa dhe e shprndan n t gjitha pajisjet wirless [http://en.wikipedia.org/wiki/SSID]. 4. Standardi 802.1x/EAP (Extensible Authentication Protocol) Me prdorimin standardit IEEE 802.1X ofrohet nj strukture efektive pr autentifikimin dhe kontrollin e trafikut t shfrytzuesit n rrjetat e mbrojtura, si dhe ndryshimin e elsave n mnyr dinamike. 802.1x definon kontrollin e asjes t bazuar n portet e rrjets q prdorin protokollin EAP (Extensible Authentication Protocol) pr rrjeta me kabllo dhe Wireless dhe

prkrah metoda t ndryshme t autentifikimit si jan paswordat, ertifikatat, publik key authentication [10]. 802.1x prbehet prej tri elementeve: Shfrytezuesit i cili krkon q t autenifikohet dhe njihet si krkues (supplicant) Serverin i cili e bn autentifikimin, zakonisht sht RADIUS serverit dhe njihet si server i autentifikimit Dhe pajisja n mes shfrytzuesit dhe serverit q sht AP dhe njihet si autentifikator. Komunikimi realizohet ne kete menyre: Shfrytzuesi i paautentifikuar tenton ti qaset nj autentifikatori (AP). AP i prgjigjet duke i mundsuar nj Port pr ti kaluar vetm paketat e EAP prej klientit tek serveri i autentifikimit i cili gjendet n ann tjetr t rrjetit. AP e bllokon t gjith trafikun tjetr si p.sh HTTP, POP3, derisa AP ta verifikon identitetin e klientit duke prdorur serverin e autentifikimit (RADIUS serveri ). Pasi q t bhet autentfikimi AP i hap portin e klientit pr trafik tjetr [11]. . Protokolli 802.1x nuk e definon protokollin aktual t autentifikimit por e specifikon EAP-in, i cili i prkrah nj numr t protokolleve t autentifikimit si sht TLS ( Transport Layer Security), MD5, TTLS dhe PEAP etj. pr t cilt do t bhet fjal n vazhdim. Ndrkaq 802.1x/EAP siguron:

identifikimin e bazuar n ertifikata dhe passworda. autentifikim t dyanshem n mes t klientit dhe serverit t autentifikimit i gjith trafiku i cili nuk i takon 802.1x bllokohet prderisa shfrytzuesi autentifikohet me sukses ne rrjet.

EAP metodat e autentifikimit jan: EAP-MD5 sht i bazuar n metodn e autentifikimt me password dhe nuk rekomandohet pr rrjetat WLAN pr shkak t autentifikimit t njanshm etj. EAP-TLS prdoret n mjedise t bazuara n certifikata dhe ka siguri t lart. Shkmbyesi i mesazheve EAP-TLS siguron autentifikim t dyanshm, negocim n lidhje me metodn e enkriptimit dhe shkmbim t sigurt t elsave n mes t shfrytzuesit Wireless dhe rrjets. EAPTLS sht mekanizm, i cili siguron elsa t enkriptuar dinamik pr shfrytzues dhe pr sesione. Ky mekanizm prmirson sigurin dhe tejkalon shumicn e dobsive t rrjetave Wireless LAN. N Figurn 5 sht paraqitur metoda kur Wireless shfrytzuesi autentifikohet duke prdorur EAP-TLS. Dhe nevojiten dy ertifikata digjitale, njra n RADIUS Server (EAS) dhe tjetra n shfrytzuesin Wireless. Duhet cekur se qasja n rrjet sht e ndaluar derisa autentifikimi t bhet me sukses dhe t jen t vendosur elsat dinamik Web [5] EAP-TTLS and Protected EAP (PEAP) q te dyja jan metoda t autentifikimit si zgjerim i skems se EAP-TLS, t cilat eliminojn nevojn e prdorimit t certifikatave n ann e shfrytzuesit, por sigurojn autentifikim t dyanshm. Autentifikimi bhet n kt mnyre: Serverit ende i nevojitet nj ertifikat dhe kjo prdoret pr autentifikim me shfrytzuesin dhe krijimin e nj tuneli t enkriptuar.

Klienti tani n mnyr t sigurt autetifikohet n server duke prdorur njrn nga metodat p.sh password-at, ose edhe certifikatat mund t prdoren ende. Protokolli 802.1x i pranon krkesat nga EAP, i drgon ato tek radius serveri dhe pret prgjigje. N momentin kur e merr prgjigjen nga RADIUS server ai i lejon ose i ndalon qasjen ne rrjet. Shfrytzuesi e ka t instaluar paraprakisht ertfikatn e tij digjitale, sikurse edhe EAS-i. Shfrytzuesi komunikon me EAS-it nprmjet AP.

Figura 5 EAP-TLS autentifikimi [5]

5. WPA (Wi-Fi Protected Access)

Duke pare dobsit e WEP, industrit e WLAN kan reaguar kundr ktyre dobsive t WEP-it duke ofruar nj zgjidhje me t fort t siguris te quajtur WPA (Wi-Fi Protected Access). WPA e ka rritur nivelin e mbrojtjes s t dhnave dhe qasjen e kontrolluar t sistemeve WLAN nprmjet standardeve baz, ndroperimit dhe specifikacioneve t siguris. WPA sht i prcaktuar si nj nn bashksi e draft standardit 802.11i [2] . WPA ka nj numr prmirsimesh pr dallim nga WEP, duke cekur dy ndryshimet m t mdha dhe m t rndsishme t cilat jan br n skemn e enkriptimit. WPA ka br zgjerimin e gjatsis s vektorit t inicializimit nga 24 bita n 48 bita. Duke zvogluar n mas t madhe mundsit e dyfishimit t vektorit t inicializimit. Ky gjithashtu i shmanget mundsis s prdorimit t ashtuquajturs IV dobta t cilat jan shfrytzuar nga WEP sulmuesit. Kta dy faktor jan implementur brenda nj protokolli t ri t siguris t njohur si TKIP (Temporary Key

Integrity Protocol). TKIP pasi q prdorin elsa t prkohshm dinamik, t cilt q t gjith nxirren nga master elsa e q jan n maje t hierarkis s TKIP elsave. Ky superioritet mund t vrehet leht n krahasim me WEP master elsat statik [9]. TKIP paketa prbehet prej tri elementeve: 1. elsa 128 bitsh q i ndahen edhe shfrytzuesit edhe AP 2. MAC adresa e pajisjes s shfrytzuesit 3. Vektori i Inicializimit 48 bitsh q prshkruan numrin e sekuencs s pakets. Ne mnyr q t jet kompatibil me pajisje tjera TKI prdor algoritmin e njjt t enkriptimit (RC4) sikurse WEP-i. Prmirsimet tjera q jan br n WPA prfshijn: Prmirsim n MIC (Message Integrity Check) duke ulur mundsit e ndrrimit t paketave n transit Prderisa elsi WEP statik ende nevojitet t futet n seciln pajisje ky els nuk prdoret direkt, por kombinohet me MAC adresat e shfrytzuesve dhe 48 bit IV3 pr ta gjeneruar elsin q do ti enkriptoj t dhnat. Kshtu q secila pajisje prdor keystreamin pr ti enkriptuar t dhnat WPA gjithashtu i mundson administartorit konfigurimin dhe ndryshimin e intervaleve t elsave [4]

Prfundimi
Nga fillimi i ktij punimi e deri n fund t tij, jemi munduar q sadopak t japim informacione lidhur me WLAN Security. Synimi ka qen q sa m shum t jepen t dhna rreth siguris s rrjetave Wireles LAN si komponente e domosdoshme dhe kruciale e ksaj lamie. Mbete edhe m tej q Institute t mdha botrore siq sht IEEE t punojn n drejtim t standardizimit t protokolleve Wireless pr tiu ofruar kompanive garantim t sigurt t shrbimeve, ndrsa shfrytzuesve ofrime t shrbimeve t shpejta dhe t sigurta. Ndrsa n vijim po japim 4 hapa q duhet t kihen parasysh domosdoshmrisht kur implementohet Wireless LAN 1. T aktivizohet siguria n shtresn fizike, prderisa WEP i ka dobsit e tij, TKIP specifikohet si pjes e WPA dhe prmban nivel baz t siguris. Ndrsa kur kombinohet me 801.11x ather ai prmban nj nivel edhe m t fort t siguris. 2. T mos shprndahet ose prdoret default SSID, duke e ndryshuar default SSID-n dhe duke e konfiguruar access point-in t mos transmetohet SSID 3. T prdoret 802.1X User Authentication, kur konfigurohet Access pointi q ta mbshtes 802.11X, shfrytzuesve nuk iu lejohet qasja n rrjet pa pasur kredibilitetet e duhura pra (user name/password ose certificates) 4. T implementohet Firewall-i personal, edhe nse ndonj haker sht i aft q ti qaset rrjets, Firewall-i personal do ti parandaloj ata n qasjen e fajllave apo n kompjuterin e shfrytzuesit, i cili e prdor t njjtn rrjet WLAN

IV (Incicialsation Vecctor)

Referencat
[1] www.microsoft.com/technet/security/prodtech/windowsserver2003/pkiwire/ swlan.mspx?mfr=true [2] Lasse Seppanen, skripta e dhn n ligjerata [3] IEEE 802.11 WLAN Security Performance Using Multiple Client [4] IEEE 802.11-00/362 [5] Madge WLAN Security White paper. [6] Testing on 801.11b networks, SANS Institute 2002 [7] Aaron E. Earle, Wireless Security Handbook, 2006 by Taylor & Francis Group, LLC [8] S. Fluhrer, I.Mantin, A.Shamir [9] http://ils.unc.edu/~bdoss/INLS187/WSecurity.htm [10] http://www.wi-fiplanet.com/tutorials/article.php/1041171 [11] http://www.networkworld.com/research/2002/0506whatisit.html [12] http://manageengine.adventnet.com/products/wifi-manager/weak-wep-iv-used.html