Puncte slabe ale securitatii in retelele wireless

Puncte slabe ale securitatii in retelele wireless

1 Securitatea informatiei , caracteristici si mecanisme

Securitatea informatiei si a retelei poate fi inteleasa ca abilitatea retelei sau a sistemului informatic de a rezista , cu un anumit nivel de siguranta , evenimentelor accidentale sau actiunilor malitioase care compromit disponibilitatea , autenticitatea , integritatea si confidentialitatea datelor stocate sau transmise si a serviciilor oferite sau accesibile prin aceste retele informatice. Pentru implementarea unor sisteme sigure de telecomunicatii se tine seama de:

-caracteristicile de securitatea considerate relevante pentru sistemul respective

-obiectivele de securitate in momentul proiectarii sistemului

-amenintarile posibile ce se adreseaza sistemului

-metodele si mijloacele de implementare / impunere a securitatii in cadrul sistemului.

Caracteristicile de securitate reprezinta mijloacele de nivel inalt folosite pentru contracararea amenintarilor de securitate . In cadrul unei retele de telecomunicatii sau in cadrul unui sistem informatic trebuie acoperite toate evenimentele care ameninta securitatea , nu numai cele cu caracter malitios. Astfel,din punct de vedere al utilizatorului, amenintari precum incidentele de mediu sau erorile umane care perturba reteaua au consecinte la fel de costisitoare ca si atacurile intentionate.Avem definite urmatoarele caracteristici de securitate:

-autentificarea

-confidentialitatea

-integritatea

-disponibilitatea , controlul acesului

-administrarea cheilor

-nerepudierea

-managementul securitatii.

Caracteristicile de securitate ale sistemului se implementeaza prin intermediul unor mecanisme de securitate. Un mecanism de securitate este definit ca o logica sau un algoritm ce implementeaza o functie particulara de securitate intr-un echipament fizic sau intr-un program. Prin mecanism de securitate se inteleg metodele folosite pentru a realiza anumite caracteristici de securitate. Deci, mecanismul de securitate poate fi privit ca un bloc component in procesul de constructie a unei caracteristici de securitate.In general exista mai multe variante de implementare a unui mecanism de securitate (de exemplu cifrarea pe bloc si cifrarea fluxurilor , pentru criptare)

2 Tipuri de atacuri asupra retelelor wireless

Amenintarile la adresa securitatii unei retele de calculatoare conectate prin cablu sau prin mijloace wireless, inclusive prin Wi-Fi ,pot avea urmatoarele origini:

-dezastre sau calamitati naturale

-defectari ale echipamentelor

-greseli umane de operare sau manipulare

-fraude.

Primele trei tipuri de amenintari sunt accidentale, in timp ce ultima este intentionata. In cadrul amenintarilor datorate actiunilor voite, se disting doua categorii principale de atacuri: pasive si active.

a) Atacuri pasive -sunt acelea in cadrul carora intrusul observa informatia ce trece-prin "canal", fara sa interfereze cu fluxul sau continutul mesajelor. Ca urmare , se face doar analiza traficului, prin citirea identitatii partilor care comunica si "invatand" lungimea si frecventa mesajelor vehiculate pe un anumit canal logic , chiar daca continutul acestora este neinteligibil.Atacurile pasive au urmatoarele caracteristici commune:

- nu cauzeaza pagube

- incalca regulile de confidentialitate

- obiectivul este de a "asculta" datele schimbate prin retea

- pot fi realizate intr-o varietate de metode, cum ar fi supravegherea legaturilor

telefonice sau radio, exploatarea radiatiilor electromagnetice emise, rutarea

datelor prin noduri aditionale mai putin protejate.

b) Atacuri active -sunt acelea in care intrusul se angajeaza in furtul mesajelor, fie in modificarea, reluarea sau inserarea de mesaje false . Aceasta inseamna ca el poate sterge , Intarzia sau modifica mesaje, poate sa faca inserarea unor mesaje false sau vechi, poate schimba ordinea mesajelor, fie pe o anumita directie, fie pe ambele directii ale unui canal logic. Aceste atacuri sunt serioase deoarece modifica starea sistemelor de calcul, a datelor sau a sistemelor de comunicatii.Exista urmatoarele tipuri de amenintari active:

● Mascarada -este un tip de atac in care o entitate pretinde a fi o alta entitate. De

exemplu, un utilizator incearca sa se substituie altuia sau un serviciu pretinde a

fi un alt serviciu, in intentia de a lua date secrete (numarul cartii de credit,

parola sau cheia de criptare). O "mascarada" este insotita de regula de o alta

amenintare activa, cum ar fi inlocuirea sau modificarea mesajelor

● Reluarea - se produce atunci cand un mesaj sau o parte a acestuia este reluata

(repetata), in intentia de a produce un efect neautorizat. De exemplu, este

posibila reutilizarea informatiei de autentificare a unui mesaj anterior.

● Modificarea mesajelor - face ca datele mesajului sa fie alterate prin

modificare sau stergere. Poate fi folosita pentru a se schimba beneficiarul unui

credit in transferul electronic de fonduri sau pentru a modifica valoarea acelui

credit.O alta utilizare poate fi modificarea campului destinatar/expeditor

al postei electronice.

Refuzul serviciului -se produce cand o entitate nu izbuteste sa indeplineasca

propria functie sau cand face actiuni care impiedica o alta entitate de la

indeplinirea propriei functii

Repudierea serviciului - se produce cand o entitatea refuza sa recunoasca un

serviciu executat. In aplicatiile de transfer electronic de fonduri este important

sa se evite repudirea serviciului atat de catre emitator, cat si de destinatar.

3 Lista de puncte vulnerabile specifice retelelor WI-FI

Principalele tipuri de amenintari la adresa securitatii retelelor Wi-Fi sunt:

● monitorizare pasiva;

● accesul neautorizat;

● atacurile de tip "blocare a serviciului", DoS (Denial-of-Service);

● atacurile de tip "omul-la-mijloc" , ( Man-in-the-Middle);

● puncte de acces neautorizate sau incorect configurate;

● abuzurile de retea;

● limitari si puncte slabe ale masurilor de securitatea pentru reteaua fara fir;

● politicile de securitate.

Monitorizarea pasiva consta in interceptarea pachetelor de date transmise prin retele fara fir neprotejate si exploarea informatiei incluse cu ajutorul unor instrumente software adecvate. Se pot afla, in acest mod, identificatori (nume) de utilizatori si parole asociate (furt de identitate a unui utilizator autorizat) , numere de carti de credit etc. Aplicatiile de acest tip permit captarea pachetelor si stocarea lor pentru examinare ulterioara. Pentru analiza pachetelor este divulgat segmental de date care, in functie de serviciile interceptate , pot furniza informatii deosebit de valoroase.

Accesul neautorizat. Intr-o retea Wi-Fi , neprotejata sau insuficient protejata, se poate "integra" o statie client pirate prin asociere cu una din statiile de baza (puncte de acces) localizate in cadrul retelei. In absenta unor masuri de securitate adecvate, aceasta statie poate accesa servere sau aplicatii din retea. Contracararea accesului neautorizat se face prin autentificare reciproca intre statia client si punctul de acces, autentificarea fiind operatiunea de dovedire a identitatii dispozitivului.

Blocarea serviciului poate afecta functionarea retelei Wi-Fi sau o poate scoate total din functiune pentru o perioada de timp nedefinita. Gravitatea unui atac DoS depinde de impactul pe care il are inactivitatea retelei.Atacurile DoS pot fi de urmatoarele tipuri:

- atac prin "forta bruta" :se realizeaza prin inundarea retelei cu un numar foarte mare de pachete de date, care suprasolicita toate resursele retelei si o forteaza sa iasa din functiune;

- utilizarea unui semnal radio puternic: pentru un astfel de atac este necesar un emitator puternic la mica distanta de retea, emitator care poate fi detectat cu instrumente de localizare;

- interferente neintentionate: consta in plasarea unui dispozitiv client , fictiv, intre un client legitim si reteaua wireless; pentru aceasta se foloseste protocolul de conversie a adreselor, ARP , utilizat de retelele TCP/IP

- puncte de acces neautorizate sau incorect configurate: pot deveni o bresa importanta in securitatea retelelor wireless; folosirea incorecta a unor identificatori , care pot fi interceptati, pe post de parole , permite accesul neautorizat la structuri de date sau servicii ale retelei;

- abuzuri in retea: acestea pot fi actiuni neglijente ale unor utilizatori corecti, sau actiuni deliberate pentru a afecta securitatea si performantele retelei;sunt dificil de identificat si delimitat.