Sie sind auf Seite 1von 27

Srednja kola 28.

juni
Istono Sarajevo






Maturski rad iz predmeta: Raunarske mree

Tema: Wireless Internet





















Profesor: Uenik:
Dragan Vlai ore Sparavalo, IV-2
Istono Sarajevo, jun 2010. godina

[MATURSKI RAD] 2010 god.

2 Wireless Internet

Sadraj

1. Uvod ................................................................................................................................................ 4
2. Wireless Network Protocols ............................................................................................................. 5
2.1 O samom 802.11 standardu...................................................................................................... 5
2.2 Arhitektura WLAN-a ................................................................................................................. 6
2.3 LAN i IEEE ................................................................................................................................. 6
2.4 802.3 mree ............................................................................................................................. 6
2.5 Razumjevanje CSMA/CD ........................................................................................................... 7
3. Frekvencije ...................................................................................................................................... 8
3.1 2,4 GHz..................................................................................................................................... 8
3.2 802.11a .................................................................................................................................... 8
3.3 5GHz ........................................................................................................................................ 8
3.4 OFDM (Orthogonal Frequency Division Multiplexing) ............................................................... 8
3.5 802.11g .................................................................................................................................... 8
3.6 HomeRF ................................................................................................................................... 9
3.7 FHSS (Frequency Hopping Spread Spectrum) ............................................................................ 9
4. Beini sistemi ............................................................................................................................... 10
4.1 Beini 4G sistemi ................................................................................................................... 10
5. Napadi na Wireless ........................................................................................................................ 12
5.1 Sniffing ................................................................................................................................... 12
5.2 Spoofing and Session Hijacking ............................................................................................... 12
5.3 Buffer Overflows .................................................................................................................... 12
5.4 Denial of Service Napad (DoS) ................................................................................................ 13
5.5 Lociranje wireless mrea......................................................................................................... 13
6. Wireless Security Metode .............................................................................................................. 15
6.1 Kriptografija ........................................................................................................................... 15
6.2 Simetrina enkripcija .............................................................................................................. 15
6.3 Asimetrina enkripcija ............................................................................................................ 15
6.4 RC4 ........................................................................................................................................ 15
6.5 WEP ....................................................................................................................................... 17
[MATURSKI RAD] 2010 god.

3 Wireless Internet

6.6 WEP algoritmu ....................................................................................................................... 17
6.7 IEEE 802.1X ............................................................................................................................ 18
6.8 Kako radi IEEE 802.1X ............................................................................................................. 19
6.9 IEEE 802.11i ............................................................................................................................ 19
6.10 WPA ....................................................................................................................................... 20
6.11 TKIP ........................................................................................................................................ 20
6.12 AES ......................................................................................................................................... 20
7. Osiguranje wireless mreze ............................................................................................................. 22
7.1 WEP ....................................................................................................................................... 22
7.2 MAC Filtriranje ....................................................................................................................... 22
7.3 Dell TrueMobile MAC kartica .................................................................................................. 22
7.4 Zatita Kontrolom Radijacijske Zone ....................................................................................... 23
7.5 Zatita pomou DMZ a .......................................................................................................... 24
7.6 VPN (Virtual Private Network) ................................................................................................ 24
8. Zakljuak ........................................................................................................................................ 26
9. Literatura ....................................................................................................................................... 27













[MATURSKI RAD] 2010 god.

4 Wireless Internet

1. Uvod
Posljednjih godina svjedoci smo naglog irenja trita mobilnih usluga i ureaja. Najsvjetliji primjer
sigurno je trite mobilne telefonije o ijoj rasprostranjenosti najbolje govori injenica da se danas teko
moe pronai osoba koja ne posjeduje mobilni telefon. Pojava runih raunara (engl. handheld) i pad
cjene prenosnih raunara obeava da bi se isto moglo dogodit i i na tritu mobilne raunarske opreme.
Zapravo pogledamo li prednost i ovakvih ureaja to je i neizbjeno. Zato imati jedan raunar na poslu,
jedan kui, jedan u drugom gradu kada sve to moe zamjeniti mobilnim raunarom. A da ne govorimo o
podacima koji trebaju biti sinhronizovani na svim tim raunarima. Uz to pogledamo li unutar zidova
naeg doma mnogi od nas u radnoj sobi imaju metre i metre kabla. Iza stolova, ispod tepiha, po
zidovima. Na bavimo li novi ureaj vrlo je verovatno da e njegov "kablovski sastav" prolaziti istim onim
putem kuda i drugi, a elimo li sve to nekako drati uredno imaemo dosta posla. A ta je sa onim
ureajima koji moraju biti udaljeni od naeg centralnog mjesta? Povezati ga sa 100 metara kabla moe
biti veliki problem. Tu su i ureaji za koje nam se danas ini ugodnije, sutra dva metra iza, prekosutra
lijevo. Ako vam se to nikada nije desilo onda oigledno niste gledali filmove na kompjuteru, moda
sluali muziku itd. Nije li lake, i ugodnije, jednostavno uzeti tastaturu metar dva iza sebe do nekog u
tom trenu prikladnijeg mjesta. Imamo li ve ureen stan bez provuenih mrenih kablova i nabavimo
raunare koja trebaju internet,printer sharing a nalaze se u razliitim prostorijama to onda? Buenje
zidova, postavljanje i provoenje kablova je skupo elimo li zadrati prvobitan izgled prostorije. Na sva
ova pitanja postoji jednostavan odgovor, wireless tehnologija. Ovaj maturski je usmeren na wireless
mrene tehnologije i njihovu zatitu. U njemu e biti govora o wireless mrenim protokolima, WLAN
Security protokolima, Wireless pretnjama i na kraju o implementaciji svega ovog spomenutog u nau
mreu.










[MATURSKI RAD] 2010 god.

5 Wireless Internet

2. Wireless Network Protocols
Zbog brzog razvoja wireless tehnologije danas imamo cijeli niz proizvoda i protokola dostupnih kako
kunoj tako i profesionalnoj upotrebi. Da to ne bi bilo tako jednostavno svaka ta tehnologija ima svoje
specifino trite, a tako i ureaje. Uz to stvari komplikuje i tolika masa samih ureaja na tritu koji
imaju svoj hardware, svoje protokole i svoj software sto na kraju dovodi do nekompatibilnosti izmeu
njih, a jo gore i do interferencije. U nastavku slijedi kratak uvod u danas najrairenije wireless network
protokole na podruju potroake elektronike, a i ire.


2.1 O samom 802.11 standardu
802.11 standard definie protokol koji se tie svih ethernet ureaja okrenutim wireless prometu. No
unutar samog standarda postoje pod standardi koji se takmie za svoje mjesto na tritu.

[MATURSKI RAD] 2010 god.

6 Wireless Internet

2.2 Arhitektura WLAN-a
Za izradu WLAN-a je potrebno imati pristupnu taku (engl. access point-AP) i jednog ili vie klijenata. AP
povezuje vie klijenata u zajedniku grupu i slui za povezivanje sa ianom mreom ili sa drugim
beinim mreama. Dva ili vie AP-a mogu raditi zajedno u WDS (engl. wireless distribution system)
nainu rada. Za povezivanje sa drugim mreama koristi se beini usmjeriva (engl. wireless router) koji
u sebi objedinjuje pristupnu taku i mreni usmjeriva. est je sluaj da beini usmjeriva, posebno za
male korisnike, ima ugraen vie-pristupni prekida (engl. switch) sa jednom ili vie spojnih taaka, te na
taj nain moe sluiti i za povezivanje dijelova iane mree sa beinom mreom. Prvenstvena namena
beinog usmjerivaa je komunikacija sa WAN mreom to se ostvaruje pomou sporijih linija kao:
Frame Relay, ISDN, DSL, mikrovalnim vezama ili nekim drugim WLAN tehnologijama.Kod WLAN veza
razlikujemo "ad hoc" i "infrastrukturne" veze. Ad hoc veze su veze dva raunara ili drugih ureaja koji
imaju ugraene module za WLAN komunikaciju. Dodatni ureaji nisu potrebni. Kod infrastrukturnih veza
postoji dodatna infrastruktura. To je obino beini usmjeriva (engl. wireless router), koji preko internet
modema povezuje internet sa lokalnom mreom. Meutim beini usmjeriva moe biti upotrebljen i za
povezivanje pojedinih WLAN uesnika i/ili celih lokalnih mrea i u primjenama kada lokalna mrea nije
spojena s internetom.
2.3 LAN i IEEE
Puno prije nego sto su wireless mree izale na svjetlo dana, IEEE (Institute of Electrical and Electronics
Engineers) je napravio sistem po kojem se nove tehnologije mogu sertifikovati. IEEE sertifikat osigurava
da neka tehnologije moe biti kompatibilna sa dugim proizvodom koristei istu sertifikovanu tehnologiju.
Naravno jedna od mnogih tehnologija koja je prola kroz taj postupak sertifikacije je Local Area Network.
LAN je jednostavno lokalna grupa spojenih raunara uz naravno hardware i software koji omoguuje
komunikaciju izmeu njih. Kako god, ima mnogo pravila i specifikacija koje su potrebne da bi proizvod
bio proglaen LAN kompatibilan. Iz tog razloga IEEE je napravio 802 grupu, koja je odgovorna za
ispitivanje kako starih tako i novih mrenih tehnologija da bi osigurao njihov pouzdan rad, a i takoe rad
bez konflikata. Kada doe nova tehnologija na sertifikovanje, grupa je pomno istrai i ispita uz naravno
dosta testova koje mora proi da bi dokazala da stvarno zasluuje sertifikat. 802 sertifikat sadri i mnoge
pod grupe, koje predstavljaju pojedina "odeljenja" mree. 802.3 primjera radi je standard koji definie
kako Ethernet radi. Ako e se neki proizvod smatrati ethernet, on mora ispunjavati sve zahteve
specifikovane u 802.3. Ovo nas na kraju vodi i do wireless etherneta, koji je klasifikovan i kontrolisan sa
strane 802.11 grupe.
2.4 802.3 mree
Uz dodatak tome 802.11 je opet razdijeljen u vie manjih specifinih sertifikata, kao npr. 802.11b,
802.11g. Svaka ta grupa definie metodu za omoguavanje wireless etherneta. Svaki taj protokol navodi
razne aspekte prenosa podataka koji ih dalje razlikuju od druge grupe.

[MATURSKI RAD] 2010 god.

7 Wireless Internet

2.5 Razumjevanje CSMA/CD
Jedan od najpopularnijih standarda postavljenih od 802 grupe je 802.3 standard.To je sertifikat koji
dobijaju ethernet ready ureaji. Tako svaki ethernet proizvod mora imati tehnologiju poznatu pod
CSMA/CD (Carrier Sense Multiple Access/Collision Detection). CSMA/CD nije nita drugo nego podizanje
ruke u uionici. Kada se prepolovi ta cijela rije na dijelove CS znai da samo jedan ureaj moe priati u
isto vrijeme. MA je tehniki reeno da ima vie ureaja koji sluaju. Da se vratim na uionicu. Svi uju ta
drugi priaju no obraa li se neko odreenoj osobi za nas je to potpuno nebitno i moemo to ignorisati.
Sada nam jos ostaje CD. To oznaava da svaki ethernet moe primjetiti da su dva ureaja poela priati u
isto vreme. Kada se to desi oboje zaute na tren (random broj). Ureaj sa manjim vremenom ekanja
poinje prvi. U wireless svetu dosta se esto koristi CA (collision avoidance). To je najava nekoga da e
poeti sapriom pa tako nee doi do istovremenog rada dva ureaja.












[MATURSKI RAD] 2010 god.

8 Wireless Internet

3. Frekvencije
Svi 802.11x standardi koriste ISM (Industrial, Science, and Medical) frekvencije, postavljene sa strane
FCC (Federal Communications Commission). Te su otvorene frekvencije i moe ih koristiti bilo ko. To su
900 MHz, 2,5GHz i 5GHz. Nakon to je IEEE prihvatio 802.11, 1997, tri su tehnologije postale glavne za
prenos podataka u wireless svijetu. To su FHSS (frequency -hopping spread spectrum), DSSS (direct
sequence spread sequence) i IrDA.
3.1 2,4 GHz
2,4 GHz polje je otvoreno frekventno polje u kojem rade mnogi ureaji, ukljuujui telefone i
mikrovalne. FCC je otvorio takvo polje da bi omoguio proizvoaima da naprave ureaje koji ne trebaju
posebno FCC odobrenje. Tako bilo ko moe napraviti 2,4 GHz ureaj i sluiti se njime bez straha da e
upasti u radio Policije ili Hitne pomoi. To je na prvi pogled dobro reenje no toliko je ureaja danas u
ovome spektru, da emo pre ili kasnije naletiti na neke interferencije i smetnje. Mada e ureaj i dalje
raditi, moglo bi se desiti da 11Mbps postane 3Mbps.
3.2 802.11a
802.11a je zapravo prvi potvreni (prihvaeni) wireless standard mada je u komercijalnu upotrebu
zakasnio za b standardom. Moe prenositi do 54Mbps, to je otprilike 5x bre nego b ureaji. 802.11a
nije previe zaivio u svijetu, a glavni razlog je njegov 5GHz spektar. Njegova metoda za prenos takoe se
razlikuje. On koristi OFDM metodu koja je opisana u nastavku.
3.3 5GHz
Kao to smo rekli 2,4GHz polje je odavno pretrpano ureajima. 5GHz je recimo jo uvijek dosta
slobodan. Ovo duplo poveanje frekvencije je i preko 2 puta bre to uz promjenu prenosne metode
dovodi do oko 5 puta poveanja u brzini. No sve ima prednosti i mana. Cijena i smanjeni domet nisu ili
na ruku a standarda i danas se ova frekvencija jo uvijek ne koristi u tako irokoj primjeni kao 2,4GHz.
3.4 OFDM (Orthogonal Frequency Division Multiplexing)
802.11a koristi OFDM tako da uzme 5GHz i prepolovi ga u nekoliko preklapajuih frekvencija. Drugim
rijeima OFDM u jednom ciklusu moe prenijeti puno vie podataka. U nekom pogledu, 802.11a moe
slati podatke na frekvenciji od preko 15GHz. Slika ispod pokazuje primjer OFDM signala na kojoj se vidi
zapravo poluperioda pune frekvencije razdijeljena u vie manjih. To ne samo da ubrzava prenos nego i
spreava korozije wireless ureaja.
3.5 802.11g
[MATURSKI RAD] 2010 god.

9 Wireless Internet

Mada je sporiji od a standarda ima neke prednosti koje su mu doprinijele tako veliku popularnost. Za
razliku od a on ima stabilan signal na veim udaljenostima zbog duplo manje frekvencije pa i niu cijenu.
Tu dolazi g standard. G radi takoe na 2,4GHz, a brzina mu je teoretski 54Mbps. Mada su se sada poeli
pojavljivati i g ureaji sa teoretskom brzinom od 108 Mbps, tih 108 Mbps se ipak jo uvijek odnosi na
koritenje istih ureaja i slino. G standard takoer koristi OFDM koja mu omoguuje poveanje brzine
naspram b.
3.6 HomeRF
Otprilike kada je WECA odobrila 802.11 standard, nekoliko je tipova wireless tehnologije predstavljeno
svijetu. Mada je malo njih uopte ulo u PAN (Personal Area Network) trite neke su tehnologije zamalo
porazile 802.11. Jedna od tih je bila HomeRF. Koristei Shared Wireless Access Protocol (SWAP), HomeRF
je spojila FHSS sa 6 glasovnih kanala temeljenih na DECT u (Digital Enhanced Cordless
Telecommunications). Znai da HomeRF moe prenositi kako dana tako i voice stream koji mogu raditi u
isto vrijeme. Uz to ova tehnologija ne zahtjeva centralne take, ona sve radi sama.
3.7 FHSS (Frequency Hopping Spread Spectrum)
HomeRF koristi novu frequency control tehniku (standard) FHSS. Kada se koristi u kombinaciji sa 2,4GHz
frekvencijom, signal moe promjeniti kanal 50 puta u sekundi. Ovo pomae pri stabilnosti mree, i uz
neku drugu postojeu HomeRF mreu. Koristei celi frekvencijski spektar, vie mrea mogu dijelovati u
isto vrijeme bez straha od interferencija.


FHSS - Frequency Hopping Spread Spectrum Sam FHSS se koristio i kod prvih implementacija 802.11
standarda. Tada je HomeRF koristila napredniju verziju i mogla postii 1,6Mbps, za razliku od 802.11 koje
je mogao 1Mbps. Ova se tehnologija nije dugo zadrala na tritu zbog relativno niskog bandwidtha, a
isto tako i dometa. Glavna prednost bila joj je niska cijena ali i to kasnije, nakon pada cijena 802.11
ureaja, nije previe znailo.




[MATURSKI RAD] 2010 god.

10 Wireless Internet

4. Beini sistemi


4.1 Beini 4G sistemi
4G mree moemo definisati kao beine ad hoc ravnopravne mree sa velikom stopom iskorienosti i
globalnim roamingom,distribuisanim kompjuterisanjem,personalizacijom i multimedijalnom
podrkom.Ove mree e koristiti distribuisanu arhitekturu i end-to-end internet protokol (IP).Svaki
ureaj e biti u isto vrijeme i transmiter i ruter za druge ureaje u mrei eliminiui nedostatke 3G
sistema.Mrena pokrivenost/kapacitet e se dinamino mijenjati kako bi se prilagodila obrascima
korienja korisnika.Korisnici e automatski izbjegavati zaguene rute dozvoljavajui mrei da dinamino
i automatski se sama prilagodi.U skorije vrijeme nekoliko beinih tehnologija irokog spektra su se
razvile da dostignu visoke stope podataka i kvalitet usluga.
[MATURSKI RAD] 2010 god.

11 Wireless Internet

Navini Networks su razvili beini sistem zasnovan na TD-SCDMA. Sistem nazvan Ripwave-sjeka
talasa,koristi formiranje snopa-mlaza kako bi omoguili korisnicima u raznim sektorima simultano
korienje veine spektrovnog opsega.Mlazno formiranje dozvoljava spektru da bude efektivno korien
iznova i iznova u zaguenoj okolini bez upotrebe dodatnih sektora.Ripwave sistem varira izmeu QPSK
16 i 64 QAM koji dozvoljava sistemu da se rasproste do 9.6 Mbps koristei samo 1.6 MHz TDD
prenosnik(kerier).Trenutno ovaj sistem isprobavaju neke tele kompanije u Americi.Ripwave korisnika
oprema ima veliinu modema i sadranu antenu.Takoe su PC kartice za laptop postale dostupne
dozvoljavajui veu nosivost korisniku. I mnoge druge tehnologije su razvile svoje sisteme-Flarion
Technologies promovie svoju Flash-OFDM; tu je Beamreach, IPWireless, SOMA networks.Kako se dalje
razvijaju beini sistemi to e i kvalitet i ponuda usluga biti sve bolja i bolja.Korisnici e stalno biti
povezani sa mreom kroz sopstveni terminal po izboru.Beini sistemi posle 3G e se sastojati od
slojevite kombinacije razliitih tehnologiha pristupa:
Celularni sistemi(npr postojei 2G i 3G)
WLANs za odreenu aplikaciju kod kue (IEEE 812.11a, 812.11b, 812.11g)
iroka interoperabilnost za pristup mikrotalasa (WiMAX) (812.16) za mtropolitanska podruja
WPANs za aplikacije kratkog dometa i male mobolnosti kroz kancelariju ili kod kue-bluetooth
Ovi sistemi e biti povezani preko zajednike IP mree koja e se baviti i radom izmeu drugih sistema.
Srna mrea e omoguiti inter i intra pristup. Brzina 3G sistema je bila 10 puta vea od 2G i 2.5G
sistema. 4G sistemi e biti daleko bri od 3G sistema.Ii e u korak sa napretkom i razvojem 21 vijeka.









[MATURSKI RAD] 2010 god.

12 Wireless Internet

5. Napadi na Wireless
Wireless mrea je kao i svaka mrea dostupna raznim vrstama napada. Neki su isti kao i na
konvencionalne (iane) mree dok su neke nastale iskljuivo za wireless. Ovde u ukratko navesti
principe i pretnje s kojima se moemo susreti u wireless svetu.
5.1 Sniffing
Snifer je program koji prati cijelokupan rad na mrei. On vrlo lako odreuje odakle je paket doao, kome
je namjenjen i ta je uopte u tom paketu. Uz dobro podeene filtre moe posmatrati samo odreene
podatke npr. username i password, e-mail poruke, web stranice i slino. Neki sniferi idu ak toliko daleko
da mogu rebuild-ati poslate podatke u prvobitno stanje tako da osoba sa pokrenutim programom dobije
isto ono to je i user na drugom raunaru. Mada je snifer vrlo moan alat za sistem administratore isto
tako pa ak i vie koristi hackerima. On prua potpuni uvid u topologiju mree, ip adrese, podatke
poslane preko mree, passworde itd. Sniferi rade tako da NIC(network interface cards) prebacuju u
takozvani promiscuous mode. Kartica u tom modu prima sav rad preko mree bio on namijenjen njoj ili
ne. Kod wireless sastava stvar je jo komplikovanija. Potpuno je nepotrebno imati pristup mrei kao to
je to potrebno za preanji sluaj. Signal wireless-a je svugde oko nas i sve to trebamo je moda
okrenuti antenu u dobrom smijeru i pokrenuti wireless snifere u takozvanom monitor modu. Za taj mod
nije potrebno imati pristup mrei nego jednostavno pratiti to se deava na odreenim frekvencijama.
Zatita od monitor moda je nemogua poto takva WNIC kartica uopte ne komunicira sa naom
mreom ali protiv promiscuous mode-a postoji u obliku programa koji mogu to detektovati. Jedan takav
program je i Antisnif. Ali 100% sigurnost je vrlo teka pa je jedino sigurno rijeenje tuneliranje podataka.
5.2 Spoofing and Session Hijacking
Spoofing je naziv za in lairanja informacija poslanih nekom raunaru. Uz sam naziv esto se dodaje i
nain lairanja npr. MAC Spoofing i slino. Bilo kako bilo funkcija mu je uvek ista, maskirati napadaa.
Spoofing se esto izvodi uz neke druge napade, tipa DoS ili Flood mree, za skrivanje vlastitog identiteta.
Ali prava snaga mu se vidi u postupku zvanom Session Hijacking. Hacker se tu pretvara da je neko drugi
iz razloga da dobije podatke namijenjene upravo tom nekom drugom.
5.3 Buffer Overflows
Buffer Overflow je napredna hack tehnika. Ona je trenutno jedna od vodeih sigurnosnih ranjivosti
uopte. Ono to se zapravo njome moe uraditi je pokretanje malicioznog koda na napadaevom
raunaru. Uspenim napadom, meu ostalim, moemo dobiti potpunu kontrolu tog raunara. Ovaj
napad se izvodi tako da se programu koji kada se pokrene i smesti u svoj dio RAM prostora, dodijeljen
samo njemu, poalje vie podataka nego to on moe primiti. U tom trenu memorijski prostor tih
podataka prelazi u nedozvoljeno RAM podruje. U uspjenom napadu to prelevanje dovodi do itanja
nove instrukcije smjetenih u memoriji i daje hackeru ono to je zamislio. Mada je vrlo teko napraviti
uspean Buffer Overflow napad i neuspjeli moe biti opasan. Dobije li na program podatke koje nije
[MATURSKI RAD] 2010 god.

13 Wireless Internet

oekivao odnosno koje jednostavno ne zna obraditi moe se zamrznuti i sruiti. Mada je to mali problem
na desktop raunarima na serverskim bi moglo predstavljati vee probleme. Postoje gotovi programi,
koje i dijeca mogu pokrenuti, za izvoenje ovakvih napada. Tako da ovaj napad predstavlja jo vei
problem jer ga bilo ko moe izvesti.
5.4 Denial of Service Napad (DoS)
Hacker moe biti opasan i uopte ne ulazei u na raunar. On moe vrlo uspjeno ugasiti na raunar ili
jednostavno ometati mu rad izvan. Najpoznatiji takav napad je takozvani DoS ili u prevodu uskraivanje
servisa (usluge). Izvodi se najee Floo-ovanjem ili Buffer Overflow tehnikama s ciljem ruenja sistema.
Najpoznatiji DoS napadi su SYN Flooding, Smurf Attacks te System Overloads napadi. SYN napad
iskoriava TCP/IP handshaking protokol. Svaki raunar ima odreeni broj omoguen za spajanje
klijenata. Ovo se moe iskoristiti tako da se sa vie raunara u isti as poalje SYN paket sa lanom
povratnom adresom. Napadnuti raunar odgovara na SYN sa SYN ACK i eka odgovor nazad. Taj odgovor
nikada nee doi zbog lane povratne adrese.I dok on eka na odgovor dobija novi talas SYN paketa i
tako u krug. Smurf Attacks iskoriava broadcast komunikaciju tako to poalje nekoliko hiljada paketa
sa, naravno, pogrenom povratnom adresom na koje e svaki raunar odgovoriti jer je to broadcast
paket. Od jednom 1000 paketa postaje nekoliko stotina hiljada paketa. I dou li ti svi paketi na neku
odreenu adresu zaguenje ili pad tog raunara je neizbjean. Za ovaj napad mora se imati pristup mrei
poto broadcast paketi ne mogu biti poslati preko vanjske mree. System Overloads je napad na
program pokrenut na raunaru. Ako napada poznaje odreeni program i zna za neki nug on moe vrlo
brzo sruiti na raunar. Poznat je ovakav napad na web servere koji su padali u roku od dvije sekunde
zbog odreenih http zahtijeva. Ovaj se napad esto izvodi Buffer Overflow tehnikama kome je cilj
ruenje sistema. Ovo je zato mnogo laki napad nego puni Buffer Overflow.
5.5 Lociranje wireless mrea
Ovo samo po sebi i nije napad ali vrlo lako kasnije moe dovesti do napada. Da bi neko mogao napasti
wireless mreu prvo mora saznati da ta mrea uopte postoji i gdje se nalazi. Za to pronalaenje i
lociranje mree postoje sada ve profesionalni ureaji veliine privezaka. Sve to moe se i postii dobrim
starim nainima kao irom otvorene oi. Da bi neko opravdano posumnjao da je tu neka wireless mrea
dovoljno je videti Ap ili antene koje bi mogle sugerisati na postojanje wireless opreme.
[MATURSKI RAD] 2010 god.

14 Wireless Internet


Ova slika slikana je na jednom eljeznikom kolosijeku. Ta je mrea moda javna ali moda i nije pa to
moe dovesti do nepotrebnih izlaganja opasnosti. Uz ovaj nain postoje i malo sofisticiraniji naini kao
skeniranje podruja alatima poput NetStumblera ili War Driving tehnika. Od svih tehnika daleko je
najjai War Driving. War Driving je spoj obinog skeniranja podruja sa recimo NetStumblerom i
prevoznog sredstva. S tom tehnikom se moe skenirati podruje cijelog grada u vrlo kratkom roku.
Napredni War Driver-i danas ve koriste i GPS pa se tako pronaeni rezultati automatski ucrtavaju u
kartu. Mnogi rezultati uploadaju se na Internet pa je i razmijena podataka vrlo lako izvodljiva. Ove
tehnike potpuno su legalne i ne moemo ih nikome zabraniti ali postoji rijeenje koje radi sa alatima
poput NetStumblera. Iskljuivanje Beacon signala na naem AP-u Stumbler nas nee otkriti a nai e se
korisnici i dalje moi spajati. Ovo je dobro reenje za odreene vrste alata koji rade na otkrivanju AP-a
pomou beacon frameova,ali postoje i alati koji pasivno prislukuju frekvencijski spektar i protiv njih ovo
ne bi radilo.









[MATURSKI RAD] 2010 god.

15 Wireless Internet

6. Wireless Security Metode
Nakon svih tih nabrojanih pretnji i hacking metoda dolo je i vrijeme za zatitne metode i protokole.
Ovde emo ukratko opisati pozadinu svega toga, njihove prednosti i mane i slino. Poznavanje ovih
metoda uveliko nam pomae u kvalitetnom osiguranju wireless mree.
6.1 Kriptografija
Prije nego to ponemo o samim metodama neto o Kriptografiji. Kriptografija je nauka o algoritmima za
enkripciju i dekripciju. Algoritam predstavlja set instrukcija koje treba napraviti da se doe do neega.
On znai ima svoj poetak i svoj kraj. Ekripcija je jednostavno dovoenje poruke u nerazumno stanje.
Suprotno tome je dekripcija. Postoje dvije glavne vrste enkripcije, simetrina i asimetrina. Svaka ima
prednosti i mane te se stoga koriste na odreenim podrujima.
6.2 Simetrina enkripcija
U njoj su enkripcija i dekripcija obavljene koristei isti klju. One su puno bre od asimetrinih ali zavise o
tome koliko je password dobro sakriven. Mada i o tome zavise i jedna i druga tu je to puno vie izraeno.
Jednom pronaeni password omoguuje dekripciju bilo koje sledee enkriptirane rijei.
6.3 Asimetrina enkripcija
Ova je vrsta enkripcije puno kompleksnija, sigurnija je, ali je i puno sporija. Temelji se na dva kljua,
takozvani privatni i javni kljuevi. Privatni je poznat samo nama i njegovo kompromitovanje predstavlja
potpun gubitak sigurnosti. Nemogue ga je obnoviti ako se izgubi jer jednostavno niko ne zna za taj klju
osim vas. Javni klju se dobije iz privatnoga s time da je obrnuti postupak nemogu. Ovaj klju nam slui
da bi ga javno objavili. Dakle svi ga mogu vidjeti i on ne predstavlja nikakvu tajnu. Jednom enkriptirana
poruka naim javnim kljuem moe se dekriptirati jedino naim privatnim kljuem i tu je snaga ovakve
enkripcije.
elimo li osigurati nae podatke tako da ih niko ne moe itati enkripcija je jedini pravi izbor. Ovo se
oitava upravo u wireless sastavima. Dok je za iane mree trebalo kako tako fiziki doi do mree, u
wirelessu se deava upravo obrnuto. Mrea je tu, doslovce dola u stan potencijalnog napadaa.
Pokretanje snifera je postupak od nekoliko sekundi i u tom trenu nai podatci postaju vidljivi bilo kome.
6.4 RC4
RC4 je trenutno temelj wireless zatita. To e i ostati dok AES ne ue u iroku primenu. Bilo kako bilo to
je vrlo jak algoritam i sa trenutnom tehnologijom bi trebale godine da se probije kodirana poruka. Ono
to je glavna prednost RC4 je velika brzina za relativno veliku sigurnost. RC4 algoritam razvio je Ron
Rivest 1987. godine za RSA Data Security, Inc. Algoritam je bio tajan sve do 1994. godine kada je izvorni
kod algoritma anonimno objavljen na Internetu.
[MATURSKI RAD] 2010 god.

16 Wireless Internet


RC4 je simetrini znakovni (engl. stream) algoritam svaka rije kodira i dekodira se posebno. Najee
se koristi re duine jedan bajt. Klju koji se pri tome koristi moe biti duine do 256 bajtova. Algoritam
generie niz pseudosluajnih brojeva proizvoljne duine . XOR mijeanjem tog niza sa podacima dobija se
kodirani niz. Na prednjoj strani generie se isti niz pseudosluajnih brojeva (prednja strana koristi isti
klju) i XOR mijea sa kodiranim nizom. Zbog svojstva (p XOR z) XOR z = p prednja strana nakon toga
dobija izvorne podatke.

Generisanje niza izvodi se u dva koraka. Prvi korak (engl. KSA-Key Scheduling Algorithm) inicijalizuje S-
kutiju. U drugom koraku (engl. PRGA-Pseudo Random Generation Algorithm) korienjem inicijalizirane
S-kutije generie se niz pseudosluajnih brojeva. Inicijalizacija S-kutije je parametrizirana kljuem
enkripcije prema sledeem algoritmu:KSA(K): Inicijalizacija: for i = 0 ... N-1 S[i] = i j=0 Mijeanje: for i = 0
... N-1 j = j + S[i] + K[i mod l] zamjeni(S[i], S[j])U prvom delu KSA algoritma S-kutija (koji predstavlja
permutaciju niza 0 ... N-1) se postavlja u poetno stanje identitet. S-kutija preslikava svaki broj u
samoga sebe. U drugom dijelu KSA algoritma korienjem dva brojaa (i,j) obavlja se mijeanje. Broja i
se pomjera linearno, dok se j menja pseudosluajno (zbog S[i]) i zavisno od kljua (zbog K[i mod l]). U
svakom koraku zamjenjuju se elementi S-kutije na koje pokazuju brojai. Vano je napomenuti da se sve
operacije sabiranja obavljaju modulom N. Ovaka inicijalizacija S-kutija koristi se za generisanje
pseudosluajnog niza u PRGA algoritmu:PRGA(S): Inicijalizacija: i=0 j=0 Generisanje pseudosluajnog
niza: i=i+1 j = j + S[i] zameni(S[i], S[j]) generii z = S[S[i] + S[j]]Prvi deo PRGA algoritma inicijalizuje
brojaena nulu. S-kutija je inicijalizuje u prethodnom koraku (KSA). Nakon toga brojai se poveavaju: i
[MATURSKI RAD] 2010 god.

17 Wireless Internet

linearno, j pseudosluajno. Vrednosti u S-kutiji na koje pokazuju se zamjenjuju i generie se jedna rije
pseudosluajnog niza (z). Tokom generisanja pseudosluajnog niza S-kutija se zbog zamjene elemenata i
dalje polako mijenja. Brojai i i j, te S-kutija predstavljaju stanje algoritma. Razliitih stanja ima N!N2
(broj razliitih permutacija S-kutije * broj razliitih vrijednost brojaa i * broj razliitih vrijednosti brojaa
j). Za n=8 (tj. N=256) postoji oko 21700 razliitih stanja. Zbog toga je otkrivanje stanja algoritma
korienjem grube sile neisplativo.
6.5 WEP
Logino je da su wireless prenosi dostupni kako nama tako i nekome drugome. irenje wireless signala
vrlo je teko ograniiti na neko malo podruje, pogotovo pri veim udaljenostima. Upravo radi ovih
razloga je 802.11 od samog poetka ukljuivao jednu vrstu zatite, tanije reeno ukljuivao je wep
zatitu. Wep (Wired Equivalent Privacy) definie set instrukcija i pravila po kojima beini podatci mogu
putovati vazduhom na siguran nain. Kada se tek pojavio vjerovalo se da e wep pruati dosta veliku
sigurnost naspram hackera. No sa rastom popularnosti wireless mrea one su se poele koristiti unutar
kola. Tada su poeli glavni problemi. Walker 2000 (Walker, J. 2000. Unsafe at any key size; an analysis
of the WEP encapsulation. IEEE 802.11-00/362), Arbaugh 2001 (Arbaugh, W. A., N. Shankar, and J. Wan.
2001. Your 802.11 network has no clothes. In Proceedings of the First IEEE International Conference on
Wireless LANs and Home Networks), Borisov 2001 (Borisov, N, I. Goldberg, and D. Wagner. 2001.
Intercepting mobile communications: the insecurity of 802.11. In Proceedings of the Seventh Annual
International Conference on Mobile Computing and Networking) su pokazali da je wep potpuno
podbacio. Pri stvaranju wepa zbog brzine integracije vrlo je malo kriptografskih strunjaka saradjivalo u
njegovom stvaranju odnosno odobrenju. Upravo u tome mnogi vide razlog da wep ima tako ogromne
propuste.
6.6 WEP algoritmu
WEP kao osnovu koristi RC4 algoritam. Klju kojim se inicijalizuje RC4 algoritam sastoji se od dva dijela:
inicijalizatorskog vektora (engl. IV Initialization Vector) i tajnog kljua. Tajni klju (esto nazivan WEP
klju) poznat je svim ovlaenim korisnicima mree i jednak je za sve korisnike. Distribucija tajnog kljua
nije definisana standardom i najee se obavlja runo2. Inicijalizatorski vektor obino je razliit za
svaki okvir, dok je tajni klju stalan. Posledica toga je da za okvire sa razliitim IV-om RC4 generie
razliite nizove pseudosluajnih brojeva. IV je duine 3 bajta te se nakon nekog vremena nuno mora
dogoditi ponavljanje. Da bi prijemna strana mogla dekodirati sadraj okvira, IV se alje nekodiran u
zaglavlju okvira. Radi zatite okvira od izmena, za sadraj okvira rauna se CRC32 suma (engl. ICV
Integrity Check Value) i kodira zajedno sa podacima. Prijemna strana nakon dekodiranja rauna ICV za
sadraj okvira i uporeuje ga sa ICV-om dobijenim nakon dekodiranje okvira.
[MATURSKI RAD] 2010 god.

18 Wireless Internet


Zaglavlje okvira sadri i identifikator korienog tajnog kljua. Identifikator je duine 2 bita pa je mogue
istovremeno koristiti 4 razliita tajna kljua. Ukoliko se u mrei koristi vie kljueva bitno je da na svim
ureajima isti tajni kljuevi budu pridrueni istim identifikatorima. Ako, na primjer, ureaj A kodira okvir
tajnim kljuem sa identifikatorom 2, tada ureaj B mora imati isti klju pridruen identifikatoru 2 da bi
mogao ispravno dekodirati sadraj okvira. Prema tome, identifikatori tajnog kljua predstavljaju indekse
polja tajnih kljueva. Standard 802.11 opisuje i korienje razliitih WEP kljueva za razliite MAC adrese.
Ta mogunost obino nije dostupna preko uobiajenog Web suelja pristupne take (eventualno samo
preko SNMP-a), pa se retko koristi. WEP kljuevi mogu biti dugi 40 bita (dodavanjem IV-a dobiva se 64
bitni RC4 klju) ili 104 bita (128 bitni RC4 klju).
6.7 IEEE 802.1X
IEEE 802.1X standard, Port Based Network Access Control, definie mehanizme za portno orijentisanu
kontrolu mrenom pristupu te korienje fizikog pristupa karakteristikama IEEE 802 LAN infrastrukture.
On omoguava sredstva za autentifikaciju i autorizaciju ureaja spojenih na LAN port koji ima
karakteristike point-to-point veze. On takoe onemoguava pristup u sluaju u kojem autentifikacija i
autorizacija nisu uspjeno provedene. Ovaj standard je prvo razvijen za oiene ethernet mree, ali je
kasnije prilagoen za korienje na 802.11 beinim mreama (WLAN). Ovo ukljuuje mogunost da
pristupna taka WLAN-a distribuira ili dobije global key information za/od prikljuenih stanica pomou
EAPOL poruke s kljuem. IEEE 802.1X definie sljedee pojmove: Entitet za portni pristup ( Port access
entity ) Autentifikator Pristupnik ( Supplicant ) Autentifikacijski server 1.1. Entitet za portni pristup
Port access entitiy (PAE), takoe znan i kao LAN port, je logiki entitet koji podrava IEEE 802.1X protokol
koji je pridruen portu. LAN port moe preuzeti ulogu autentifikatora, pristupnika ili oboje. Svaki od
portova komunicira jedan na jedan sa portom na stanici. Autentifikator je LAN port koji prisiljava na
izvoenje autentifikacije pre doputanja pristupa uslugama kojima se pristupa preko porta.
Autentifikator je odgovoran za komunikaciju sa pristupnikom te za prosleivanje informacija dobijenih
od pristupnika odgovarajuem autentifikacijskom serveru. Ovo omoguava verifikaciju pristupnikovih
[MATURSKI RAD] 2010 god.

19 Wireless Internet

prava te odreivanje stanja porta. Vano je primjetiti da funkcionalnost autentifikatora ne zavisi o
autentifikacijskoj metodi. On funkcionie kao prolaz za izmenu autentifikacija. Za beine mree,
autentifikator je logiki LAN port na beinoj pristupnoj taki (access point - AP) kroz koju klijenti sa
beinim pristupom dijeluju za dobijanje pristupa oienoj mrei. Pristupnik je LAN port koji zahteva
pristup uslugama kojima se pristupa preko autentifikatora. Pristupnik je odgovoran za odgovaranje na
zahtjeve autentifikatora kojima trai informacije za potvrivanje autentinosti. Kod beinih mrea
pristupnik je logiki LAN port na beinom mrenom adapteru koji zahteva pristup mrei. To radi prvo
povezivanjem a autetifikatorom, a zatim i autentifikacijom.
Bez obzira koristimo li oiene ili beine mree, pristupnik i autentifikator su logiki ili fiziki spojeni kao
point-to-point LAN segment. Autentifikacijski server da bi potvrdili autentinost pristupnika,
autentifikator koristi autentifikacijski server. Autentifikacijski server proverava pristupnikova prava na
pristup i odgovara autentifikatoru. Autentifikacijski server moe biti: komponenta pristupne take
(Access Point - AP). AP mora biti konfiguriran setom korisnikovih kredibiliteta koji odgovaraju klijentima
koji se pokuavaju spojiti na mreu.
Tipino, ovo se ne implementira kod beinih AP. posebni entitet. AP prosljedjuje kredibilitet od
pokuaja pristupa posebnom autentifikacjskom serveru. Tipino, beini AP koristi Remote
Authentication Dial-In User Server (RADIUS) protokol za slanje parametara pokuaja pristupa RADIUS-u.
6.8 Kako radi IEEE 802.1X
Princip rada 802.1X esto se usporeuje sa preklopnikom (en. Switch). Kada se neko spoji sklopka je
otvorena i on ne moe ui u mreu. Da pristupi mrei on mora traiti odobrenje. Ako ga dobije onda
moe ui u mreu.
Oito je da ako nema pristup mrei on ne moe nikoga ni pitati za taj pristup. Tu dolazi takozvani
Authenticator. On je zapravo posrednik izmeu user-a (Supplicant) i naeg centralnog mijesta koje zna
kome je ulaz doputen, takozvanog Authentication servera.
Mada to ne mora uvek izgledati tako, u veini sluajeva ovo vredi. Na drugoj slici spominje se PAE to
nije nita drugo nego skraenica od port access entity odnosno puno ime porta.
6.9 IEEE 802.11i
Sledea generacija wireless sigurnosti trebala bi biti definisana unutar ovog standarda. On jo uvek nije
dovren ali neke osnove se ve poznaju. 802.11i definie novu vrstu wireless mree nazvanu RSN (robust
security network). U nekim pogledima to je obina "wep" mrea no da bi postala RSN mora zadovoljavati
odreena zahteve. U istom RSN u acess point e doputati spajanje samo RSN ureaja. No mnogi e
ljudi, vrlo vjerovatno, htjeti upgrade-ati svoje ureaje kroz neko vreme pa 802.11i definiei TSN
(translation security network) u kojoj mogu i RSN i WEP sistemi raditi paralelno. Trenutno ne postoje
RSN na tritu zbog toga to 802.11i jo ne postoji u celosti. Dok se sve to promjeni proi e moda jo
[MATURSKI RAD] 2010 god.

20 Wireless Internet

dosta vremena, Ipak je neko mislio i na to i proizveo WPA. WPA (Wireless Protected Access) se moe
implementirati unutar trenutne mree kao firmware nadogradnja, a puno su sigurnije nego wep.

6.10 WPA
Kada su se uoile greke wep-a Wi-Fi grupa je htela to pre izbaciti zamjenu za njega. No nije bila samo
zamjena bitna nego i to da malo ko je spreman odbaciti cijelokupni hardware koji je kupio tek nedavno.
Radi toga su trebali nai reenje koje se moe implementirati u postojeu infrastrukturu. To je dovelo
TKIP (Temporal Key Integrity Protocol). Ovaj protokol e biti podran i unutar 802.11i ali trite nije
moglo ekati toliko pa je Wi-Fi alliance odobrila ovaj podsastav RSN a nazvan WPA. RSN i WPA imaju isti
pristup i arhitekturu. RSN je naravno napredniji pa e podravati i AES algoritam uz TKIP. TKIP je raen
tako da se integrie unutar wep sastava, a AES je graen od poetka bez ikakvih ogranienja i veza na
starije sastave. To ga ini i jaim. TKIP uzima sve stare dijelove wep -a i mjenja ih tako da postaju za sada
dosta sigurni od napada. Time se postiglo to da se na ve postojee sastave samo nadogradi wpa i bez
prevelike problema prieka dovretak 802.11i standarda.
6.11 TKIP
Temporal Key Integrity Protocol (TKIP) je jedna od najnovijih security metoda ponuenih, od danas,
veine proizvoaa wireless opreme. Napravljen je iz razloga da ispravi wep propuste i to je, za sada se
ini, odradio je vrlo dobro. Razvijali su ga, meu ostalima, upravo oni koji su i nali probleme u wep-u to
bi ga trebalo initi i jo jaim. Ovaj protokol i dalje koristi RC4 kao enkripcijski algoritam, ali on uklanja
problem oko wep kljua tako to svakih 10000 paketa taj klju promeni. U TKIP-u IV se poveava 32 bita
te se ovaj put vodilo i rauna o takozvanim weak keys tako sa se prvih 8 bitova odbacuje. TKIP takoe
rjeava problem oko vjerodostojnosti poruke tako to ukljuuje Message Integrity Checkkoji
onemoguuje napadaevo mjenjanje poruke. Mada je zapravo ovo puno napredniji sastav od wep-a on
je i dalje samo nadogradnja na wep. Pa se tako, u veini sluajeva, nudi kao jednostavno skidanje novih
firmware-a za nae ureaje.
6.12 AES
Advanced Encryption Standard je nova enkripcijska metoda odabrana od U.S. Goverment a da zamjeni
DES kao njihov standard. Ovaj je algoritam vrlo jak i vjerovatno e biti temelj 802.11i standarda. Mada
jo nije prihvaen od ire strane WLAN proizvoaa neki ga ve ugrauju u svoje ureaje. AES zapravo za
kodiranje koristi algoritam poznat pod imenom Rijndael. Izumjeli su ga Joan Deamen i Vincent Rijmen, te
on ulazi u AES pobjedivi pri odabiru RSA, IBM te jo nekolicinu ponuaa. To takmienje je organizovalo
National Institute of Standards and Technology radei to za dobro nam znanu NSA (National Security
Agency). Snaga AES a se jo mora pokazati ali vjeruje se da e ovo postati standard za enkripciju i tako
ostati podosta godina. Tehnologija koja je probila DES, AES bi probijala ni manje ni vie nego 149 triliona
godina. Istina je da je DES probijen pre dosta godina no i dalje ova brojka puno govori. Ali kao i svaka
[MATURSKI RAD] 2010 god.

21 Wireless Internet

enkripcija AES e se probiti jednom, u to ne treba sumnjati, no niko u ovom trenutku ne vjeruje da bi se
to moglo desiti u tako skoro vreme. Glavna mana AES-a je to da je puno komplikovani od primjera RC4.
To za sobom povlai potrebu zaveom procesorskom snagom. Za primjer u navesti to da bi se RC4
napisao u prosijeku potrebno je oko 50 linija koda, dok je to god AES-a 350. Ovo pokazuje da je AES-u
potrebno vie hardware-skih resursa no nita previe da ga dananja tehnika ne moe podrati.

[MATURSKI RAD] 2010 god.

22 Wireless Internet

7. Osiguranje wireless mreze
Osiguranje wireless mree se moe podijeliti u dvije kategorije. Access Point security metode i Third
Party Security metode. AP metode predstavljaju prvu stepenicu ka cilju. AP se mora podesiti tako da
slui kao prva crta obrane a ne kao izvor problema. Third Party metode predstavljaju nastavak poto su
one kompleksnije i puno naprednije naspram AP metoda.
7.1 WEP
Mada smo prije naveli wep kao veliki promaaj neko se moe pitati emu onda to no wep ima jednu
veliku prednost. On je moda neuinkovit protiv nekoga upornog, s odreenom ciljem i znanjem no za
sluajne, pass by, napade je vrlo uinkovit. Mnogi koji ele samo pronjukati po diskovima i serverima
vrlo e brzo odustati od mree zatienom Wep-om. Ili jer nemaju znanja za probiti wep ili im se
jednostavno ne da truditi se. Mada je osoba moda dola iz iste znatielje ta znatielja moe dovesti do
pokretanja sniffera i krae vrlo vanih informacija. Ako im je do iste etnje odabra e neku drugu mreu
bez zatite koristei ve spomenuti NetStumbler. Drugim rijeima ako omoguimo wep koji je potpuno
nepovjerljiv eliminisaemo emo 99% prijetnji. Wep je zapravo vrlo slian blokadi volana u autu. Lopov
koji doe onako u prolazu do vaeg auta primeti li da va auto ima zatitu ukrase e onaj do vas bez
zatite. No ako lopov ima razlog iz kojeg oe ba va auto, blokadu volana skoro da nee ni primetiti.
7.2 MAC Filtriranje
Svaki ureaj na mrei, po defaultu, ima jedinstvenu adresu koja koristi da bi se razlikovao jedan NIC od
drugoga. Ta adresa se zove MAC (media access control) adresa. Po toj teoriji da svaki NIC ima svoj
jedinstveni broj koji mu je dodijelio proizvoa, na AP se moe postaviti da proputa odreenu listu
MAC-ova. Naravno ovo su prepoznali proizvoai wireless opreme i ugradili to u svoje ureaje. Da bi ovo
sve funkcioniralo administrator mora imati listu MAC-ova to i nije neki problem jer MAC adresa nije
tajna. Veina Windows OS-a to pokazuje naredbom ipconfig, a i linux nije nita drugaiji. Znai kada se
skupi lista svih MAC-ova moemo ukljuiti filtriranje.MAC filtirranje na D-Linku.
Odreene postavke odbie sve MAC adrese osim onih koji se nalaze na listi. Pokua li neko ui sa
nedozvoljenim MAC-om to emo vidjeti u Log-u. Deny Log file.Ali teorija i praksa su uvek bile dosta
razliite pa tako i ovde nije sve bajno. Sve bi bilo super da ne postoji jedna sitnica, a to je da se MAC
adrese mogu menjati. Nekada su MAC adrese bile dodeljene hardwareskim postavkama jumpera, no
danas se veinom smjetajuu flash memorijama i mogu se menjati ak i proizvoaevim software-ima.
7.3 Dell TrueMobile MAC kartica
Uz to neki OS-ovi spremaju te informacije u njihove sistemske datoteke koje se mogu promjeniti, a tako i
na laki nain doi do eljenog rezultata, neovlatenog ulaz u mreu. Iz razloga to mjenjanje MAC-ova
moe pomoi administratoru u rijeavanju nekih problema. No to je puno rjee nego spoofanje MAC-
[MATURSKI RAD] 2010 god.

23 Wireless Internet

ova za ulaz u mree. To nas opet vraa na ono ako neko oe ui, ui e ali velika veina okrenu e se i
prei na neku drugu mreu.
7.4 Zatita Kontrolom Radijacijske Zone
Dok je wireless mrea u funkciji ona odailje RF (radi frequency) signale. Oni su nosioci podataka izmeu
AP-a i ostalih WNIC-a. Bila to ad-hock mrea ili mrea PDA ureaja i dalje sve je to RF signal. Kada god mi
neto odailjemo uvek je pitanje koliki je domet. Zbog prepreka svih moguih vrsta pa ak i vazduha
smanjuje se domet WiFi ureaja. Ono to je zanimljivo je to da radijacijsko polje moe biti dosta veliko
zavisno od samih ureaja i antene koje se koriste. Mada potporni zidovi, metalne povrine, elektrine
instalacije umanjuju domet on je u veini sluajeva vei nego to dokumentacija kae. Ako je nekoga
ikada zanimao domet beinog telefona pa se udaljavao dok ne ostane bez signala vrlo je verojatno da je
doao do istoga zakljuka kao i mi. Pri tome high gain antena moe poveati domet na nekoliko desetaka
kilometara pa mi moemo traiti, kroz prozor, do mile volje nekoga ko nam je sruio server. tovie
signal se u gradskom okruenju moe toliko izodbijati na sve strane pa je mogue da nam je zapravo
uljez iza lea.

Ali na sreu za ovo postoji rijeenje. Prvo i najjednostavnije je odrediti poziciju AP-a. Ako je AP u uglu
sobe puno e vie signala "iscuriti" izvan nego to bi to bio sluaj da je u centru sobe. Ako se treba
postaviti vie AP-a trebamo paziti da su to blie centru zgrade, a ne uz vanjski zid ili jo gore uz prozor.
[MATURSKI RAD] 2010 god.

24 Wireless Internet



U ovom primjeru vidi se da pozicija AP a moe znaiti jako puno u velikim zgradama. Mada su krunice i
dalje izvan zgrade, najua i najjaa je unutar kue to je velika prednost. S ovim smo dobili bolji signal u
samoj kui i oduzeli dobar signal moguem uljezu. Ovo nije jednini nain kontrole odaslanog signala.
Veina proizvoaa ukljuuju opciju kontrole izlazne snage. Neki ak daju opciju ukljuivanja i
iskljuivanja signala sa lijeve ili desne strane. To je vrlo korisno kod eliminisanja i restrikcije nepotrebnog
signala. Primjer Linksys reenja za lijevu i desnu antenu te D-Link-ov za kontrolu izlazne snage.Sa ovim
antenama managment tehnikama moemo dakle kontrolisati domet naeg wlan-a. U visokim zgradama
ovo moe biti vrlo vano zbog interferencije i "glasnih" susjeda. S time da iskljuimo jednu antenu,
smanjimo snagu ili promijenimo njenu poziciju moemo vrlo dobro stisnuti signal unutar potrebnih nam
dimenzija.
7.5 Zatita pomou DMZ a
DMZ ili Demilitarized Zone je zapravo koncept a ne konkretni proizvod (reenje). DMZ predstavlja nain
organizacije raunara (servera) koji mogu predstavljati rizik za mreu. To doputa bilo kojem Internet
korisniku da pristupi tom serveru no desi li se da server doe pod neovlatene ruke to se raunalo nee
moi koristiti za pristup ostatku mree. Mada je logino da e sam server biti pod firewall-om taj firewall
mora ignorisati dosta prometa jer, server slui da bi mu se pristupilo. To ga naravno ini ranjivim. Da bi
se ograniilo pristupanje servera mrei firewall hardware (software) konfigurie se tako da ima posebne
portove samo za DMZ. Veinom to izgleda tako da postoje 3 porta. Za Internet, za LAN i za DMZ. U te
portove tada idu switchevi i u njih raunar koliko elimo. Tako mi moemo i na AP staviti tu u DMZ to
rijeava problem ulaska u mreu iza firewall-a no wireless korisnici (klijent raunara) tu ostaju kratkih
rukava. Ovo se ne odnosi na njih poto su i oni i potencijalni uljez stavljeni u isti ko pa oni ostaju bez
zatite DMZ -a.
7.6 VPN (Virtual Private Network)
[MATURSKI RAD] 2010 god.

25 Wireless Internet

Kad priamo o firewall-u treba spomenuti i VPN. VPN je virtualna, kriptirana mrea koja je podignuta na
postojeu mreu. Ovaj sistem je poznat pod tunneling, jer je kriptirani data tok poslan preko obine
mree tj. unutar kriptiranog tunela. VPN produljuje sigurnu lokalnu mreu do korisnika izvan nje. Pa tako
wireless korisnik moe biti unutar wireless mree ali ga VPN spaja na siguran nain u internu mreu.Na
slici uz VPN se vidi i firewall. On je tu zato to ta dva proizvode esto dolaze zajedno. Uljez moda ne vidi
to mi aljemo ali ga to ne sprjeava da skenira mreu i vidi potencijalne ulaze, pa na kraju i da napadne
mreu. Zato nam je i dalje firewall potreban. Paralelno s time mi na firewall-u moemo zabraniti sve to
eli proi a nije na VPN. Kao to smo prije rekli wep enkripcija nije nikakva velika zatita. Nakon to neko
probije wep on moe jednostavno videti sve to putuje mreom. Tu spadaju i password-i, e-mail,
dokumenti itd. No ukljuimo li VPN na sam wep stvari se dosta mjenjaju. Da bi sada neko "proitao"
nau mreu mora probiti dva sloja. Prvo wep pa zatim VPN. VPN enkripcija je robusna enkripcija i nije je
lako probiti, dapae vrlo se teko probijaju. E sada kada god negde uloimo vie resursa negde smo ih
oduzeli. Ovaj put to je u bandwidth-u. Kada bi ukljuili wep enkripciju nad VPN-om bandwidth bi na pao
za otprilike 70-80%.
















[MATURSKI RAD] 2010 god.

26 Wireless Internet

8. Zakljuak
Beina tehnologija je trenutno jo uvijek u stanju razvoja. Niko ne zna kako e se dalje razvijati, i ta e
postati. Uz pretpostavku da je ova tehnologija ne postane mainstream sigurno je za oekivati da emo
kroz nekoliko godina vidjeti neke velike antivirusne kompanije sa novim software-ima za wireless
platiforme.
Jedno je sigurno, beine tehnologije su trenutno irom otvorena za brojne vrste napada. Kao to je
korienje ovih tehnologija postaje iroko rasprostranjeno, tako i veliki broj korisnika postaje sve vie
pouzdaniji u njih, samim tim sve vie i vie informacija od kljunog znaaja je kanaliu kroz njih,a to e
morati da se menja.
Svaka od prethodno navedenih solucija za zatitu ima svoje prednosti i mane. Svaku od njih treba dobro
izvagati i isplanirati prije poetka nabavke opreme.

[MATURSKI RAD] 2010 god.

27 Wireless Internet

9. Literatura
1. Wireless networks first-step, Cisco press
2. Building Wireless Community Networks, 2nd edition, O'Reilly
3. http://www.scribd.com/