pr5 lokalne racunalne mreze

7/29/2019 PR5 Lokalne Racunalne Mreze

1/115

1

Lokalne raLokalne raunalne mreunalne mreee

mr.sc. Dramr.sc. Draen Tomien [email protected]@etfos.hr

Osijek, studeni 2009.Osijek, studeni 2009.

ElektrotehniElektrotehniki fakultet Osijekki fakultet Osijek


2/115

2

SadrSadraj (I)aj (I)LAN mreLAN mreee

mremreni modelini modeli tehnologije LAN mretehnologije LAN mreaa

osnovni mreosnovni mreni ureajini ureaji hijerarhijski modeli mrehijerarhijski modeli mreee

VLANVLAN--oviovi osnove mreosnove mrene sigurnostine sigurnosti


3/115

3

SadrSadraj (II)aj (II)WLAN mreWLAN mreee

usporedbausporedba iinih i benih i beiinih mrenih mreaa elektromagnetski spektarelektromagnetski spektar

vrste bevrste beiinih komunikacijanih komunikacija IEEE 802.11 standardIEEE 802.11 standard

struktura i tehnologijestruktura i tehnologijeWiFiWiFi mremreaa

metode pristupa medijumetode pristupa mediju sigurnostsigurnostWiFiWiFi mremreaa


4/115

4

MreMreni modelini modeli korikoritenje slojeva za opisivanje podatkovnetenje slojeva za opisivanje podatkovne

komunikacijekomunikacije modeli: OSI i TCP/IPmodeli: OSI i TCP/IP


5/115

5

OSI referentni mreOSI referentni mreni modelni model OSI (OSI (OpenOpen SystemSystem InterconnectionInterconnection))

1984. ISO (1984. ISO (

InternationInternation

OrganizationOrganization

forfor

StandardizationStandardization

))

7 razina komunikacije7 razina komunikacije aplikacijskaaplikacijska prezentacijskaprezentacijska sjednicasjednica prijenosnaprijenosna mremrenana podatkovnapodatkovna fizifizikaka

PrednostiPrednosti kompatibilnost razlikompatibilnost razliitih proizvoaitih proizvoaaa smanjuje kompleksnostsmanjuje kompleksnost standardizira sustandardizira sueljaelja

omoguomoguuje modularnostuje modularnost brbri razvoji razvoj


6/115

6

TCP/IP modelTCP/IP model 1973.1973. DoDDoD ((DepartmentDepartment ofofDefenseDefense))

4 sloja4 slojaaplikacijski slojaplikacijski sloj

prijenosni slojprijenosni slojsloj Internetasloj Interneta

sloj mresloj mrenog pristupanog pristupa


7/115

7

Usporedba OSI i TCP/IP modelaUsporedba OSI i TCP/IP modela


8/115

8

EnkapsulacijaEnkapsulacija


9/115

9

Signali i medijiSignali i mediji Prijenos signala iz jedne toPrijenos signala iz jedne toke u druguke u drugu

elektrielektrini signalni signalsvjetlosni signalsvjetlosni signal

radio,radio, infracrveniinfracrveni Prijenosni medijiPrijenosni medijibakreni kabeli (koaksijalni, parice)bakreni kabeli (koaksijalni, parice)

svjetlovodni kabelisvjetlovodni kabelizrakzrak


10/115

10

Tehnologije LAN mreTehnologije LAN mreaa EthernetEthernet (IEEE 802.3)(IEEE 802.3)

FastFast EthernetEthernet (IEEE 802.3u)(IEEE 802.3u) GigabitGigabit EthernetEthernet (IEEE 802.3z, 802.3ab)(IEEE 802.3z, 802.3ab)F/CF/C 1010 GbEGbE (IEEE 802.3ae,802.3an)(IEEE 802.3ae,802.3an)F/CF/C

FDDI/CDDI (F/C)FDDI/CDDI (F/C) ARCnetARCnetTokenToken BusBus 100BaseVG100BaseVGAnyLANAnyLAN

FibreChannelFibreChannel ATMATM WirelessWireless (802.11a,b,g,(802.11a,b,g, HiperLANHiperLAN))


11/115

11

TipoviTipovi EthernetaEtherneta


12/115

12

RaRaunalne mreunalne mreee LAN (LAN (LocalLocalAreaArea NetworkNetwork))

EthernetEthernet,,TokenToken Ring, FDDIRing, FDDICAN (CAN (CampusCampusAreaArea NetworkNetwork))

WAN (WAN (WideWideAreaArea NetworkNetwork))modemi, ISDN, DSL,modemi, ISDN, DSL, FrameFrame relayrelay, ATM, ATM

MAN (MAN (MetropolitanMetropolitanAreaArea NetworkNetwork))

bebeiine mrene mree, iznajmljene linijee, iznajmljene linije


13/115

13

LANLAN


14/115

14

WANWAN


15/115

15

MANMAN


16/115

16

RaRaunalne mreunalne mreee


17/115

17

Topologije mreTopologije mreaa sabirnicasabirnica

prstenprsten zvijezdazvijezda

proproirenairena

zvijezdazvijezda stablostablo

isprepletenaisprepletenamremreaa


18/115

18

Osnovni mreOsnovni mreni ureajini ure

aji (I)(I)


19/115

19

Osnovni mreOsnovni mreni ureajini ure

aji (II)(II)

GatewayGateway,, FirewallFirewall

RouterRouter

SwitchSwitch,, BridgeBridgeHubHub,, RepeaterRepeater


20/115

20

KoncentratorKoncentratorHubHub 10 i 10010 i 100 MbitMbit/s/s ureajiureaji

dijeljeni medijdijeljeni medijsharedshared medijamedija jedinstvena kolizijska domenajedinstvena kolizijska domena

internainterna sabirnisabirnikaka struktura kapaciteta 10 ili 100struktura kapaciteta 10 ili 100MbitMbit/s/s

simetrisimetrinini portoviportovi

repeaterrepeatersamo dva portasamo dva porta


21/115

21

Kolizijska domenaKolizijska domena ureaji razineureaji razine 1 pro1 proiruju kolizijsku domenuiruju kolizijsku domenu


22/115

22

PreklopnikPreklopnikswitchswitch (I)(I) mikrosegmentacijamikrosegmentacijadijeljenje kolizijske domenedijeljenje kolizijske domene


23/115

23

PreklopnikPreklopnikswitchswitch (II)(II) temeljem odreditemeljem odredine MAC adrese okvira donosi sene MAC adrese okvira donosi se

odluka gdje se proslje

ujeodluka gdje se proslje

uje ne prenosi kolizije i neispravne pakete, prenosine prenosi kolizije i neispravne pakete, prenosibroadcastbroadcast ii multicastmulticast porukeporuke

L2L2 switchswitch nije potrebno konfigurirati (plugnije potrebno konfigurirati (plug--nn--playplay)) L2+L2+ switcheviswitchevi imaju mnoimaju mnotvo dodatnih funkcija koje jetvo dodatnih funkcija koje jepotrebno konfiguriratipotrebno konfigurirati

fiksni i modularnifiksni i modularni bridgebridge(naj(najeee) dva porta, danae) dva porta, dananja upotreba:nja upotreba:wirelesswireless


24/115

24

Tri metode komunikacijeTri metode komunikacije


25/115

25

EfektEfekt broadcastingabroadcastinga na IPna IP hosthost


26/115

26

Dijeljenje kolizijske domeneDijeljenje kolizijske domene


27/115

27

Princip radaPrincip radapreklopnikapreklopnika


28/115

28

UsmjerivaUsmjeriva

routerrouter (I)(I) radi na razini mreradi na razini mrenog protokola (nog protokola (layerlayer 3)3)

prepoznaje razliprepoznaje razliite mreite mrene protokolene protokoleroutingroutingprotokoli (RIP, IGRP, EIGRP, OSPF, BGP)protokoli (RIP, IGRP, EIGRP, OSPF, BGP)routedrouted protokoli (TCP, IPX,protokoli (TCP, IPX,AppleTalkAppleTalk))

kontrolakontrola pritupapritupa ((accessaccess liste,liste, firewallfirewall),), QoSQoS,, loadloadbalancingbalancing

kontrolakontrola broadcastbroadcast ii multicastmulticast prometaprometadijeliteljdijelitelj broadcastbroadcast domenadomena prilagoavanje razliprilagoavanje razliitim medijima i protokolimaitim medijima i protokolima


29/115

29

UsmjerivaUsmjeriva

routerrouter (II)(II)


30/115

30

PreklopniciPreklopnici razine 3razine 3 uu preklopnikepreklopnike se integriraju i funkcijese integriraju i funkcije

usmjeravanja (usmjeravanja (routingrouting)) postipostiu bolje performanse od zasebnihu bolje performanse od zasebnihusmjerivausmjerivaa ali imaju manji broj protokola ia ali imaju manji broj protokola i

funkcijafunkcija osnovneosnovne LayerLayer 3 funkcije: ASIC, napredne:3 funkcije: ASIC, napredne:

programskiprogramski

Pravilo: preklapati gdje je moguPravilo: preklapati gdje je mogue (LAN),e (LAN),usmjeravati gdje se mora (WAN)usmjeravati gdje se mora (WAN)


31/115

31

PropousnostPropousnost ((bandwidthbandwidth))


32/115

32

BandwidthBandwidth -- ThrougputThrougput


33/115

33

Faktori koji utjeFaktori koji utje

u na performanseu na performanse mremreni prometni promet (congestion)(congestion)

Multitasking desktopMultitasking desktop opeoperacijski sustaviracijski sustavi (Windows,(Windows,UNIX, Mac)UNIX, Mac) dopudoputaju simultane mretaju simultane mrene transakcijene transakcije

brbri operativni sustavi dopui operativni sustavi doputaju brtaju bru mreu mrenunu

komunikacijukomunikaciju povepoveani brojani broj client/serverclient/server aplikacijaaplikacija


34/115

34

KaKanjenje na mrenjenje na mreiiKanjenje (Latency/Delay) je vrijeme potrebno da

okvir ili paket stigne od izvorita do odredita


35/115

35

Dizajniranje LANDizajniranje LAN--aa vrsta i kolivrsta i koliina servisa i njihova svojstvaina servisa i njihova svojstva

propusnost komunikacijskog kanalapropusnost komunikacijskog kanala kolikoliina prenesenih podatakaina prenesenih podataka vremenski period dostupnosti servisavremenski period dostupnosti servisa raspoloraspoloivost i pouzdanost mreivost i pouzdanost mrene vezene veze

redudantniredudantni linkovilinkovi

kvaliteta uslugekvaliteta usluge sigurnost komunikacijskog linkasigurnost komunikacijskog linka


36/115

36

Hijerarhijski model mreHijerarhijski model mreee jednoslojni,jednoslojni, dvoslojnidvoslojni ii trojslojnitrojslojni model mremodel mreee

pravilnim postavljanjem mrepravilnim postavljanjem mrenih servisa nanih servisa nahijerarhijskom modelu mrehijerarhijskom modelu mree moe moe se znae se znaajno utjecatiajno utjecatina optimizaciju prometa na mrena optimizaciju prometa na mreii

QoSQoSna svim slojevimana svim slojevima


37/115

37

Pristupni slojPristupni sloj dijeljena ili preklopljena propusnostdijeljena ili preklopljena propusnost

MACMAC layerlayer filtriranjefiltriranje mikrosegmentacijamikrosegmentacija

smjesmjetajtajworkgroupworkgroup posluposluiteljaitelja


38/115

38

Distribucijski slojDistribucijski sloj spajanje mrespajanje mrenih konekcija pristupnog slojanih konekcija pristupnog sloja

definicijadefinicija broadcastbroadcast//multicastmulticast domenadomena VLANVLAN routingrouting

spajanje razlispajanje razliitih vrsta medijaitih vrsta medija

sigurnostsigurnost smjesmjetajtaj enterpriseenterprise

posluposluiteljaitelja


39/115

39

JezgreniJezgreni slojslojCore layer je brzi switching backbone, dizanira se za

preklapa paketa to je bre mogu

e

R j LA l ij fi ik


40/115

40

Razvoj LAN topologijeRazvoj LAN topologijefizifizikaka

topologijatopologija

R j LA l ijR j LAN l ij l il ikk


41/115

41

Razvoj LAN topologijeRazvoj LAN topologijelogilogikaka

topologijatopologija


42/115

42

LAN segmentacija saLAN segmentacija sapreklopnicimapreklopnicima


43/115

43

LAN segmentacija sa usmjerivaLAN segmentacija sa usmjeriva

imaima


44/115

44

BroadcastBroadcast stormstorm


45/115

45

SpanningSpanning--treetreeprotokolprotokol Spanning Tree Protocol, IEEE 802.1D

Rapid Spanning Tree Protocol, IEEE 802.1w


46/115

46

Virtualni LAN (VLAN)Virtualni LAN (VLAN) VLAN je logiVLAN je logika podjela mreka podjela mree na vie na viee

podmrepodmreaamomoe se dinamie se dinamiki mijenjatiki mijenjati

nije ovisna o fizinije ovisna o fizikoj topologijikoj topologiji

razmjenarazmjena unicastunicast,, multicastmulticast ii broadcastbroadcast porukaporukasamo unutar VLANsamo unutar VLAN--aa

implementacija na OSI razinama 2 i 3implementacija na OSI razinama 2 i 3 promet izmeu VLANpromet izmeu VLAN--ova se mora usmjeravatiova se mora usmjeravati


47/115

47

Tradicionalna mreTradicionalna mreaa mremrea bez VLANa bez VLAN--ovaova

cilj: u istim odjelima imati zasebne grupecilj: u istim odjelima imati zasebne gruperaraunalaunala

rjerje

enje: fizienje: fizi

ki razdvojiti grupeki razdvojiti grupe

raraunala/korisnikaunala/korisnika


48/115

48

MreMrea sa VLANa sa VLAN--ovimaovima cilj: u istim odjelima imati zasebne grupecilj: u istim odjelima imati zasebne grupe

raraunalaunala rjerjeenje: logienje: logiki razdvojiti grupeki razdvojiti grupe

raraunala/korisnikaunala/korisnika


49/115

49

VLANVLAN podjelapodjela preklopnikapreklopnika na vina vie dijelova (e dijelova (VLANVLAN--

ova)ova) direktna komunikacija izmeu njih nije mogudirektna komunikacija izmeu njih nije moguaa

svaki VLAN mora imati vlastitu IP (pod)mresvaki VLAN mora imati vlastitu IP (pod)mre

uu


50/115

50

PridruPridruivanje VLANivanje VLAN--uu povezivanje korisnika s VLANpovezivanje korisnika s VLAN--om:om:

portport preklopnikapreklopnikaMAC adresa mreMAC adresa mrenog ureajanog ureaja

identifikatoridentifikator mremrene razine (IP adresa)ne razine (IP adresa)

korisnikovkorisnikovidentifikatoridentifikator (lozinka)(lozinka)


51/115

51

VLANVLAN trunkingtrunking trunkingtrunkingprotokoliprotokoli

IEEE 802.1QIEEE 802.1QCisco ISL (Cisco ISL (InterInter--SwitchSwitch link)link)


52/115

52

VLAN povezivanjeVLAN povezivanje InterInter--VLAN komunikacijaVLAN komunikacija

mremreni ureaji u razlini ureaji u razliitim VLANitim VLAN--ovima ne moguovima ne mogumeusobno direktno komuniciratimeusobno direktno komunicirati

komunikacija pomokomunikacija pomou L3u L3 ureajaureaja


53/115

53

VLANVLANprednosti i nedostatciprednosti i nedostatci Prednosti:Prednosti:

povepoveanje performansi mreanje performansi mreeesmanjenjesmanjenje broadcastbroadcast prometaprometa

povepoveanje sigurnostianje sigurnostiodvajanje vaodvajanje vanih segmenata, pnih segmenata, promet izmeuromet izmeuVLANVLAN--ova ide preko L3 uova ide preko L3 ureajareaja, pove, poveana sigurnost unutar VLANana sigurnost unutar VLAN--aa

olakolakana administracija (dodavanje i premjeana administracija (dodavanje i premjetanje radnih stanica na LANtanje radnih stanica na LAN--u)u)

neovisnost o fizineovisnost o fizikoj topologiji, jednostavan promjena konfiguracijekoj topologiji, jednostavan promjena konfiguracijeLANLAN--aa

mogumogunostnost prioretizacijeprioretizacije prometaprometa

Nedostatci:Nedostatci:

oteoteana komunikacija izmeu razliana komunikacija izmeu razliitih VLANitih VLAN--ovaova kompleksnost VLANkompleksnost VLAN--ovaova L3L3 ureaj moureaj moe biti znae biti znaajno optereajno optereenen


54/115

54

Osnove mreOsnove mrene sigurnostine sigurnosti

Sigurnosni zahtjeviSigurnosni zahtjevi MreMrene prijetnjene prijetnje

ZaZatita mretita mreaaVatrozidVatrozid ((firewallfirewall))VPNVPN

Ostali oblici zaOstali oblici zatite mretite mreaa


55/115

55

Sigurnosni zahtjeviSigurnosni zahtjevi povjerljivostpovjerljivost

tajnosttajnostautentiautentinostnost

neporecivostneporecivost

integritetintegritet

dostupnostdostupnost


56/115

56

MreMrene prijetnjene prijetnje neautorizirani pristupneautorizirani pristup

prisluprislukivanje mrekivanje mrenog prometanog prometa presretanje mrepresretanje mrenog prometanog prometa

ukraukraivanje usluga i resursa (ivanje usluga i resursa (DenialDenial ofofServiceServiceDoSDoS))

preuzimanje kontrole nad ureajimapreuzimanje kontrole nad ureajima


57/115

57

MreMrena zana zatitatita vatrozidivatrozidi

VPNVPN VLAN segmentacijaVLAN segmentacija

IDS, IPSIDS, IPS kontrole pristupakontrole pristupa

nadzor mrenadzor mrea, servisa i ranjivostia, servisa i ranjivosti

specijalizirane tehnologijespecijalizirane tehnologije

V id


58/115

58

VatrozidVatrozid

sprespreava neovlaava neovlateni pristupteni pristup

kontrolira prometkontrolira promet blokira prometblokira promet

implementira sigurnosne kriterijeimplementira sigurnosne kriterije hardverski ili softverskihardverski ili softverski

osobni ili mreosobni ili mreni (sigurnosne zone: internani (sigurnosne zone: internamremrea, DMZ,a, DMZ, internetinternet))

M i id


59/115

59

MreMre

nini

vatrozidvatrozid

F k i l ti t id


60/115

60

FunkcionalnostiFunkcionalnosti

vatrozidavatrozida

filtriranje paketafiltriranje paketa statelessstateless (filtriranje prema tipu protokola, IP adresama,(filtriranje prema tipu protokola, IP adresama,

TCP/UDP portu; ne prati stanje konekcija, nemoguTCP/UDP portu; ne prati stanje konekcija, nemogunostnostprovjere sadrprovjere sadraja paketa)aja paketa)

statefullstatefull (prati se stanje konekcija, dopu(prati se stanje konekcija, doputa se uspostavljenita se uspostavljeni

prometpromet

stanje TCP zastavica SYN,stanje TCP zastavica SYN,

ACK,FINACK,FIN

,,

))

NAT (pretvorba privatnih IP adresa u javneNAT (pretvorba privatnih IP adresa u javneNAT,NAT,PAT)PAT)

proxyproxy

servis (servis (

proxyproxy

,,

securitysecurity

proxyproxy

))

VPNVPNVirtualVirtual PrivatePrivate NetworkingNetworking pregledavanje sadrpregledavanje sadraja (skeniranjeaja (skeniranje urlurl--ova, virusa,ova, virusa,))

N dz r r


61/115

61

Nadzor mreNadzor mre

ee

Osnovni nadzor mreOsnovni nadzor mree (aktivna rae (aktivna raunala,unala,

otvoreni servisi, inaotvoreni servisi, inaice OSice OS--evaeva i aplikacija),i aplikacija),primjer:primjer: nmapnmap

Sustavni nadzor mreSustavni nadzor mree (posebni moduli nae (posebni moduli na

promatranim sustavima koji generiraju izvjepromatranim sustavima koji generiraju izvjetajetajeCPU, memorija,CPU, memorija,), primjer:), primjer: nagiosnagios

provjera ranjivosti (otkrivanje ranjivosti,provjera ranjivosti (otkrivanje ranjivosti,jednostavnih zaporki,jednostavnih zaporki,), primjer:), primjer: NessusNessus

Sustavi za detekciju upada


62/115

62

Sustavi za detekciju upadaSustavi za detekciju upada

IDS (IDS (IntrusionIntrusion DetectionDetection SystemsSystems))

nadzire mrenadzire mreni promet i trani promet i trai sumnjive oblikei sumnjive oblikemremrenog prometanog prometa

detektira anomalije i potpisedetektira anomalije i potpise

pasivni oblik zapasivni oblik zatitetitealarm sustava (generiranjealarm sustava (generiranjeupozorenja za administratoreupozorenja za administratorelog,log, mailmail, SMS), SMS)

Sustavi za prevenciju upada


63/115

63

Sustavi za prevenciju upadaSustavi za prevenciju upada

IPS (IPS (IntrusionIntrusion PreventionPrevention SystemsSystems))

prosljeuje i kontrolira mreprosljeuje i kontrolira mreni prometni promet aktivni oblik zaaktivni oblik zatite (blokiranje sumnjivih oblikatite (blokiranje sumnjivih oblika

mremrenog prometa)nog prometa)

ograniograniena mreena mrena propusnostna propusnost

Kontrola pristupa


64/115

64

Kontrola pristupaKontrola pristupa

fizifizika sigurnost opremeka sigurnost opreme

Identifikacija iIdentifikacija i

autentikacijaautentikacija

zaporke, PINzaporke, PIN--ovi,ovi, tokentoken sustavi s jedinstvenom prijavom (SSO)sustavi s jedinstvenom prijavom (SSO)

korisnik se prijavljuje na sredikorisnik se prijavljuje na sredinji sustav jedinstvenomnji sustav jedinstvenomzaporkomzaporkom sredisredinji sustav dodjeljuje dozvole za pristup ostalimnji sustav dodjeljuje dozvole za pristup ostalim

uslugamauslugama

Kontrola pristupa mreKontrola pristupa mreii RADIUS, NACRADIUS, NAC--NAPNAP

NACNAC NAPNAP


65/115

65

NACNAC -- NAPNAP

sigurnost mresigurnost mree ovisi i o korisnie ovisi i o korisnikim rakim raunalimaunalima

u mreu mreii NAC (NAC (NetworkNetworkAddmissionAddmission ControlControl))CiscoCisco NAP (NAP (NetworkNetworkAccessAccess protectionprotection))MicrosoftMicrosoft

ograniograniavanje pristupa mreavanje pristupa mrei nesigurnimi nesigurnimraraunalima, politike pristupa zasnovane na:unalima, politike pristupa zasnovane na:posjedovanju sigurnosnih zakrpaposjedovanju sigurnosnih zakrpa

obnavljanju virusnih definicijaobnavljanju virusnih definicijapostojepostojeima aplikacijama,ima aplikacijama,

NACNAC


66/115

66

NACNAC

RaRaunala i mreunala i mree mamcie mamci


67/115

67

RaRaunala i mreunala i mree mamcie mamci

HoneypotsHoneypots,, HoneynetsHoneynets

mamcimamci cilj:cilj:

navesti napadanavesti napadaaanana krivi tragkrivi trag

identificirati napadaidentificirati napadaaa

pratit napad i upratit napad i uiti iz napadaiti iz napada

problem: izgraditiproblem: izgraditi to uvjerljiviji sustavto uvjerljiviji sustav


68/115

68

WLANWLAN

iinana vsvs bebeiina mrena mrea (I)a (I)


69/115

69

iinanavsvs. be. beiina mrena mrea (I)a (I)

iina mrena mreaa

bebeiina mrena mreaa

UTP kabel

Radio link

iinana vsvs be. beiina mrena mrea (II)a (II)


70/115

70

iinanavsvs. be. beiina mrena mrea (II)a (II)

--++sigurnostsigurnost--++brzinabrzina++--mobilnostmobilnost ++--

jednostavnostjednostavnost

bebeiinana mremreaaiinana mremreaa

iinana vsvs be. beiina mrena mrea (III)a (III)


71/115

71

iinanavsvs. be. beiina mrena mrea (III)a (III)

FiziFiziki sloj 802.11 standarda suki sloj 802.11 standarda sutinski je razlitinski je razliit od onogait od onogakoji se koristi ukoji se koristi u iianim medijima i karakteriziran je:anim medijima i karakteriziran je:

korikoritenjem medija koji nema niti apsolutnu ni jasno vidljivutenjem medija koji nema niti apsolutnu ni jasno vidljivugranicu izvan koje stanice nisu u mogugranicu izvan koje stanice nisu u mogunosti slati i primatinosti slati i primatimremrene okvirene okvire

mogumogunonou utjecaja vanjskih signalau utjecaja vanjskih signala

komunikacijom na mediju koji je u znakomunikacijom na mediju koji je u znaajnoj mjeri manjeajnoj mjeri manjepouzdan odpouzdan od iianog medijaanog medija dinamidinamikim topologijamakim topologijama mogumogunonou izostanka potpune konekcije: pretpostavka da svakau izostanka potpune konekcije: pretpostavka da svaka

radna stanica moradna stanica moee uti svaku drugu stanicu ne mora bitiuti svaku drugu stanicu ne mora bitiispunjena kod beispunjena kod beiinih mrenih mrea gdje stanice mogu biti sakrivenea gdje stanice mogu biti sakrivenejedna od drugejedna od druge

asimetriasimetrinim i vremenski promjenjivim parametrimanim i vremenski promjenjivim parametrima irenjairenja

signalasignala

Elektromagnetski spektarElektromagnetski spektar


72/115

72

Elektromagnetski spektarElektromagnetski spektar

visokofrekventno, kratkovalno, visokoenergetskovisokofrekventno, kratkovalno, visokoenergetskozrazraenjeenje

mikrovalovimikrovalovi

niskofrekventno, dugovalno, zraniskofrekventno, dugovalno, zraenje male snageenje male snage

ISM (ISM (IndustrialIndustrial,, ScientificalScientifical,,


73/115

73

MedicalMedical))pojasipojasi Ureaji sa snagom < 1W (u EU 100 mW)

mogu koristiti ISM podruja. 900 MHz zauzet, nije dostupan cijelom svijetu

2.4GHz - iroko dostupan, osjetljiv na presluavanje

5.7GHz - novo podruje, tek se poinje koristiti

Raspodjela EM spektraRaspodjela EM spektra


74/115

74

Raspodjela EM spektrap dj p

regulatornaregulatorna tijela reguliraju raspodjelu elektromagnetskog spektratijela reguliraju raspodjelu elektromagnetskog spektrana nacionalnom i internacionalnom nivou.na nacionalnom i internacionalnom nivou.

Na globalnom nivouNa globalnom nivou ITUITU--RRkoordinira dodjelu frekvencijskog spektrakoordinira dodjelu frekvencijskog spektra totosluslui kao temelj za nacionalna tijelai kao temelj za nacionalna tijela Nacionalna tijela dodjeljuju frekventni spektar za radNacionalna tijela dodjeljuju frekventni spektar za radioio ((srednjevalnosrednjevalno ii

UKV podruUKV podruje)je), TV,, TV, mobilmobilnunu telefoniju, posebne slutelefoniju, posebne slube, vojsku i dr.be, vojsku i dr. U SAD :U SAD : FCCFCC;; U Europi: ETSIU Europi: ETSI U Hrvatskoj: Agencija za telekomunikacijeU Hrvatskoj: Agencija za telekomunikacije

frekvencijska podrufrekvencijska podrujaja ija je uporaba slobodna i ne zahtijevaija je uporaba slobodna i ne zahtijevaposebne dozvole:posebne dozvole: ISM: Industrial, Scientific, and MedicalISM: Industrial, Scientific, and Medical KuKuni ureajini ureaji, be, beiini telefoni (DECT), naprave za daljinsku kontrolu,ni telefoni (DECT), naprave za daljinsku kontrolu,

Vrste beVrste beiinih komunikacija (I)nih komunikacija (I)


75/115

75

V s e be o u ac ja ( )j ( )

prema namjeni:prema namjeni: bebeiine komunikacije tone komunikacije tokaka--totokaka

FSO (FSO (FreeFree SpaceSpace OpticalOptical))svjetlosne direktne na udaljenostima nekolikosvjetlosne direktne na udaljenostima nekolikokm, mikrovalne veze u licenciranom spektru, nelicencirane veze tkm, mikrovalne veze u licenciranom spektru, nelicencirane veze tookakatotokaka ((WiWi--FiFi))

bebeiine mrene mree na malim udaljenostimae na malim udaljenostima InfraInfra Red (Red (IrDAIrDA),), BlueToothBlueTooth,, ZigBeeZigBee, RFID, RFID

bebeiine lokalne mrene lokalne mreee WirelessWireless LANLAN802.11x802.11x

bebeiine MAN mrene MAN mree i regionalne mree i regionalne mreee WirelessWireless MAN (802.11MAN (802.11WiMAXWiMAX, ETSI, ETSI HyperLANHyperLAN))

bebeiine digitalne privatne komunikacijene digitalne privatne komunikacije DEC mreDEC mreeeprijenosni telefoniprijenosni telefoniITUITU

bebeiine mobilnene mobilne celularnecelularne komunikacijekomunikacije GPRS, EDGE, UMTS, HSDPAGPRS, EDGE, UMTS, HSDPA

satelitske komunikacije i mresatelitske komunikacije i mreee

Vrste beVrste beiinih komunikacija (II)nih komunikacija (II)


76/115

76

j ( )j ( )

prema tehnologiji:prema tehnologiji: FSOFSOsvjetlosne direktne komunikacije na srednjimsvjetlosne direktne komunikacije na srednjim

udaljenostima (nekoliko km)udaljenostima (nekoliko km) InfraInfra Red (Red (IrDAIrDA))komunikacijekomunikacije infracrveniminfracrvenim svjetlom nasvjetlom namalim udaljenostimamalim udaljenostima

bebeiine radio komunikacijene radio komunikacijeIEEE 802, ETSIIEEE 802, ETSI

WirelessWireless PANPAN -- 802.15802.15 BlueToothBlueTooth WirelessWireless MANMAN802.11x be802.11x beiine mrene mreee WirelessWireless MANMAN802.16802.16WiMAXWiMAX, ETSI, ETSI HyperLANHyperLAN posebne primjeneposebne primjeneZigBeeZigBee, RFID mre, RFID mreee

DECT mreDECT mreeeprijenosni telefoniprijenosni telefoniITUITU GPRS, EDGE, UMTS, HSDPA mobilneGPRS, EDGE, UMTS, HSDPA mobilne celularnecelularne komunikacijekomunikacije satelitske komunikacije i mresatelitske komunikacije i mreee

Vrste beVrste beiinih komunikacija (III)nih komunikacija (III)


77/115

77

j ( )j ( )

prema dometu:prema dometu:

WPAN (WPAN (WirelessWireless PersonalPersonalAreaArea NetworkNetwork)


78/115

78

j ( )j ( )

IEEE 802.11 standard (I)IEEE 802.11 standard (I)


79/115

79

( )( )

DefiniranDefiniran zaza bebeiinnii LAN (WLAN)LAN (WLAN)

WLAN i OSI model:WLAN i OSI model: FiziFizikaka razinarazina PodatkovnaPodatkovna razinarazina (Media Access Control(Media Access Control -- MAC,MAC, sigurnostsigurnost))

mobilno raunalo

terminal

pristupna toka

Ethernet mrea

802.11 PHY802.11 PHY802.11 MAC802.11 MAC

IPIPTCPTCP

aplikacijaaplikacija

802.3 PHY802.3 PHY802.11 PHY802.11 PHY802.3 MAC802.3 MAC802.11 MAC802.11 MAC

802.3 PHY802.3 PHY802.3 MAC802.3 MAC

IPIPTCPTCP

aplikacijaaplikacija

IEEE 802.11 standard (II)IEEE 802.11 standard (II)


80/115

80

( )( )

802.11a802.11a 54Mbps, 80m, 5GHz, OFDM, 12 ne54Mbps, 80m, 5GHz, OFDM, 12 ne preklapajupreklapajuihih kanala,kanala,

slabo rasprostranjen, koristi se zaslabo rasprostranjen, koristi se za linkovelinkove 802.11b802.11b

11Mbps, 100m, 2.4GHz, DSSS, 13 kanala (samo 3 se ne11Mbps, 100m, 2.4GHz, DSSS, 13 kanala (samo 3 se ne

preklapaju), jopreklapaju), jo uvijek dobro rasprostranjenuvijek dobro rasprostranjen 802.11g802.11g

54Mbps, 150m, 2.4GHz, OFDM / DSSS, 13 kanala (3 se ne54Mbps, 150m, 2.4GHz, OFDM / DSSS, 13 kanala (3 se ne

preklapaju), najkoripreklapaju), najkoriteniji standardteniji standard 802.11g802.11gturboturbo (Super G): 108Mbps(Super G): 108Mbps

802.11n802.11n

MIMO, 600MIMO, 600 MBitMBit/s, 5/2.4/s, 5/2.4 GHzGHz, standard koji tek dolazi, standard koji tek dolazi

IEEE 802.11 standard (III)IEEE 802.11 standard (III)


81/115

81

( )

IEEE 802.11b/g frekvencijskoIEEE 802.11b/g frekvencijsko


82/115

82

podrupodruje (I)je (I)

IEEE 802.11b/g frekvencijskoIEEE 802.11b/g frekvencijsko


83/115

83

podrupodruje (II)je (II) Frekvencijsko podruFrekvencijsko podruje 802.11g standarda je identije 802.11g standarda je identinono

frekvencijskom podrufrekvencijskom podruju 802.11b standardaju 802.11b standarda

13 DS (13 DS (DirectDirect SequenceSequence) kanala u rasponu od 2.412) kanala u rasponu od 2.412 GHzGHz do 2.472do 2.472 GHzGHzza ETSIza ETSI regulatornoregulatorno podrupodruje (od ukupno 14 raspoloje (od ukupno 14 raspoloivih kanalaivih kanaladefiniranih prema standardu).definiranih prema standardu).

Svaki DS kanal jeSvaki DS kanal je irine 22irine 22 MHzMHz a razmak izmeu kanala je samoa razmak izmeu kanala je samo 55 MHzMHz

to dovodito dovodi dodo preklapanja kanala i mogupreklapanja kanala i mogunosti interferencije susjednihnosti interferencije susjednihkanala.kanala.

tritri nepreklapajunepreklapajuaa kananalakananala (1, 6 i 11)(1, 6 i 11)

IEEE 802.11 prijenosni medijIEEE 802.11 prijenosni medij


84/115

84

KaoKao to 802.3to 802.3 EthernetEthernet standard definira prijenos podatakastandard definira prijenos podatakarazlirazliitim tipovima medija tako i 802.11 standard dopuitim tipovima medija tako i 802.11 standard doputata

prijenos razliprijenos razliitim medijima:itim medijima: infracrvenoinfracrveno svjetlosvjetlo

tri tipa radio prijenosa unutar 2.4tri tipa radio prijenosa unutar 2.4 GHzGHz frekvencijskog podrufrekvencijskog podruja:ja: FrequencyFrequencyHoppingHoppingSpreadSpread SpectrumSpectrum (FHSS)(FHSS)

DirectDirect SequenceSequence SpreadSpread SpectrumSpectrum (DSSS)(DSSS) OrthogonalOrthogonal FrequencyFrequency--DivisionDivision MultiplexingMultiplexing(OFDM) za 802.11g(OFDM) za 802.11g

standardstandard

jedan tip radio prijenosa unutar 5jedan tip radio prijenosa unutar 5 GHzGHz frekvencijskog podrufrekvencijskog podruja:ja: OrthogonalOrthogonal FrequencyFrequency--DivisionDivision MultiplexingMultiplexing(OFDM) za 802.11a(OFDM) za 802.11a

standardstandard

IEEE 802.11 brzine prijenosa (I)IEEE 802.11 brzine prijenosa (I)


85/115

85

Prva bePrva beiina LAN tehnologija definirana 1997. godinena LAN tehnologija definirana 1997. godine802.11 standardom omogu802.11 standardom omoguavala je brzine prijenosa odavala je brzine prijenosa od

1 i 21 i 2 MbpsMbps 802.11b standardom iz 1999 godine omogu802.11b standardom iz 1999 godine omoguene suene subrzine bebrzine beiinog prijenosa od 11, 5.5, 2 i 1nog prijenosa od 11, 5.5, 2 i 1

Istovremeno sa 802.11b standardom objavljen je iIstovremeno sa 802.11b standardom objavljen je i802.11a standard s brzinama 54, 48, 36, 24, 18, 12, 9 i 6802.11a standard s brzinama 54, 48, 36, 24, 18, 12, 9 i 6MbpsMbps

IEEE 802.11g standardom iz 2003. ukljuIEEE 802.11g standardom iz 2003. ukljuene brzineene brzine

prijenosa definirane 802.11b i 802.11a standardima: 54,prijenosa definirane 802.11b i 802.11a standardima: 54,48, 36, 24, 18, 12, 11, 9, 6, 5.5, 2 i 148, 36, 24, 18, 12, 11, 9, 6, 5.5, 2 i 1 MbpsMbps

IEEE 802.11 brzine prijenosa (II)IEEE 802.11 brzine prijenosa (II)


86/115

86

EIRPEIRP


87/115

87

EIRP:EIRP: EquivalentEquivalent isotropicallyisotropicallyradiatedradiated powerpower iliiliEffectiveEffective isotropicisotropic radiatedradiated powerpower

ukupna efikasna snaga izraukupna efikasna snaga izraenaena iziz anteneantene EIRP = [Snaga odaEIRP = [Snaga odailjailjaa]a] -- [Gubitak kabela i[Gubitak kabela i

konektora] + [Dobitak antene]konektora] + [Dobitak antene]

100100 mWmWEIRPEIRP--a (+20dBm) za ETSI podrua (+20dBm) za ETSI podrujeje

802.11 centralizirane i802.11 centralizirane i adad hochoc mremreee


88/115

88

InfrastructureInfrastructure mode:mode:APAP vorivorite komunikacijete komunikacije

BasicBasic ServiceService Set (BSS), spoj naSet (BSS), spoj na DistributionDistribution SystemSystem (DS)(DS)

AdAd hochoc mode:mode:

meusobni rad klijenata bez APmeusobni rad klijenata bez AP--aa IBSS (IBSS (IndependentIndependent BasicBasic ServiceService Set)Set)

Internet

BSSID i SSIDBSSID i SSID


89/115

89

BSSID (BSSID (BasicBasic ServiceService SetSet IdentityIdentity)) 48 bitni broj koji identificira BSS i IBSS48 bitni broj koji identificira BSS i IBSS

infrastrukturniinfrastrukturni modmod: MAC adresa AP: MAC adresa AP--aa

AdAd HocHoc modmod: slu: sluajno generirani brojajno generirani broj

SSID (SSID (ServiceService Set ID)Set ID)

networknetworknamename koje jedinstveno identificira WLANkoje jedinstveno identificira WLAN do 32 znakado 32 znaka

svi APsvi AP--ovi i klijenti koji pristupaju pojedinom WLANovi i klijenti koji pristupaju pojedinom WLAN--uu

moraju koristiti SSID WLANmoraju koristiti SSID WLAN--aa

WiFiWiFi oblici spajanjaoblici spajanja


90/115

90

totokaka--totokaka((pointpoint--toto--pointpoint))

totokaka--vivie toe toakaaka((pointpoint--toto--multipointmultipoint))

802.11b802.11b FFiziizikaka razinarazina


91/115

91

Radi u nelicenciranom frekvencijskom pojasu naRadi u nelicenciranom frekvencijskom pojasu na2.4GHz2.4GHz

Definirano ukupno 14 kanala (samo tri se ne preklapaju)Definirano ukupno 14 kanala (samo tri se ne preklapaju) Koristi tehniku rasprKoristi tehniku rasprenog spektra (enog spektra (SpredSpred SpectrumSpectrum--SS)SS)

Poskakivanje frekvencije (Poskakivanje frekvencije (FrequencyFrequencyHoppingHoppingSS)SS)

PseudosluPseudosluajniajni rasprraspreni spektar (eni spektar (DirectDirect SequenceSequence SS)SS) ZaZatita od interferencije (ne aktivne)tita od interferencije (ne aktivne)

Kod za rasprKod za rasprivanje signala je javan i isti za sve kanaleivanje signala je javan i isti za sve kanale

Modulacijske metode definiraju maksimalnu brzinuModulacijske metode definiraju maksimalnu brzinu

komunikacije (1, 2, 5, 11komunikacije (1, 2, 5, 11 MbpsMbps))

podaci

kod za rasprivanje

raspreni signal

SigurnosniSigurnosniproblemiproblemi nana fizifizikojkoj


92/115

92

razinirazini DenialDenial--ofof--ServiceService ((DoSDoS) napadi ometanjem radio) napadi ometanjem radio

singalasingala (radio(radio jammingjamming))

Kod za rasprKod za rasprivanje signala je javan (dostupan napadaivanje signala je javan (dostupan napadau)u) NapadaNapada ometa radio kanal tako daometa radio kanal tako da transmitiratransmitira legitimnelegitimne

signale koristesignale koristei isti kod za raspri isti kod za rasprivanjeivanje

Da bi pojaDa bi pojaao efekt ometanja, napadaao efekt ometanja, napada

koristikoristi usmjeravajuusmjeravaju

eeanteneantene

IEEE 802.11 ne pruIEEE 802.11 ne prua zaa zatitu protiv aktivnog ometanja signalatitu protiv aktivnog ometanja signala

zatvorena

prostorija

napada

802.11b Media Access Control802.11b Media Access Control (I)(I)


93/115

93

MAC omoguMAC omoguava da viava da vie korisnika mogue korisnika mogu

transmitiratitransmitirati na istom kanalu (npr. spojiti se nana istom kanalu (npr. spojiti se naistu pristupnu toistu pristupnu toku)ku)

Osigurava pravednu (Osigurava pravednu (fairfair) raspodjelu) raspodjelu

raspoloraspoloivog kapaciteta kanalaivog kapaciteta kanala

Raunalo A

Raunalo B

AP

802.11b Media Access Control802.11b Media Access Control (II)(II)


94/115

94

DistributedDistributed CoordinationCoordination FunctionFunction (DCF)(DCF) osnovni protokol za pristup radio kanalu, obavezan za 802.11osnovni protokol za pristup radio kanalu, obavezan za 802.11

zasnovan nazasnovan na CarrierCarrier SenseSense MultipleMultipleAccessAccesswithwith CollisionCollisionAvoidanceAvoidance (CSMA/CA)(CSMA/CA) mehanizmumehanizmu

PrijePrije transmitiranjatransmitiranja paketa na kanalu, mobilno rapaketa na kanalu, mobilno raunalounaloosluoslukuje da li je kanal vekuje da li je kanal ve zauzetzauzet (npr., od strane drugog(npr., od strane drugograraunala)unala)

Izbjegavanje kolizija izmeu paketa dva ili viIzbjegavanje kolizija izmeu paketa dva ili vie rae raunalaunalaputemputem randomiziranograndomiziranogbackback--offoff mehanizmamehanizma

za rjeza rjeenje problema skrivenih stanica i smanjenje kolizijaenje problema skrivenih stanica i smanjenje kolizijakoristi se RTS/CTS mehanizamkoristi se RTS/CTS mehanizamstanice razmjenjujustanice razmjenjujuinformacije o trajanju prijenosainformacije o trajanju prijenosa

802.11b Media Access Control802.11b Media Access Control (III)(III)


95/115

95

PointPoint CoordinationCoordination FunctionFunction ((PPCF)CF)

ostvaruje ga AP, ograniostvaruje ga AP, ogranien naen na InfrastructureInfrastructure BSSBSSosiguranjeosiguranje contentioncontention--freefree uslugausluga

stanice mogu pristupiti kanalu samo kadastanice mogu pristupiti kanalu samo kada ipip dozvolidozvoli

PontPont CoordinatorCoordinator (AP)(AP)koristi se zajedno sa DCFkoristi se zajedno sa DCF

PCF nijePCF nije iroko rasprostranjen, neefikasan u velikimiroko rasprostranjen, neefikasan u velikim

mremreamaama

802.11b Media Access Control802.11b Media Access Control (IV)(IV)


96/115

96

DIFSDIFS:: DistributedDistributed InterInter--FrameFrame SpacingSpacing SIFSSIFS: Short Inter: Short Inter--FrameFrame SpacingSpacing BackoffBackoff:: slusluajanajan brojbroj iziz skupaskupa {1,2,{1,2,, CW}, CW} izraizraavaava se use u kratkimkratkim

vremenskimvremenskim intervalimaintervalima (time slot)(time slot) CWCW:: maksimalnomaksimalno trajanjetrajanje BackoffBackoff--aa NAVNAV: Network Allocation Vector: Network Allocation Vector

Raunalo A

Raunalo B

Pristupna toka

Podaci

Podaci

Backoff

DIFS

Backoff

Backoff

DIFS

SIFS

ACK

SIFS

ACK

B odgaa slanje

NAV

vrijeme

A zamrzava brojai odgaa slanje

NAV

MatematiMatematiki modeli praviki modeli pravinostinosti

dij lj j dijdij lj j dij


97/115

97

dijeljenja medijadijeljenja medija maxmax--min pravimin pravinostnost proporcionalna praviproporcionalna pravinostnost

balansirana pravibalansirana pravinostnost numerinumeriki izraki izraun performansi mreun performansi mree sa dijeljenim medijem zae sa dijeljenim medijem za iine ine i

bebeiine mrene mreee neosjetljivost na karakteristike tokova podataka u mreneosjetljivost na karakteristike tokova podataka u mrei, neovisnost oi, neovisnost o

detaljnim karakteristikama prometa kaodetaljnim karakteristikama prometa kao to su distribucija velito su distribucija veliine tokovaine tokovai njihovo trajanjei njihovo trajanje

ovisnost samo o topologiji mreovisnost samo o topologiji mree i propusnosti tokovae i propusnosti tokova distribucija aktivnih tokova i odistribucija aktivnih tokova i oekivanih raspoloekivanih raspoloivih propusnosti oviseivih propusnosti ovise

samo o prosjesamo o prosjenom prometu za svaku klasu tokovanom prometu za svaku klasu tokova mogumogunost primjene u dinaminost primjene u dinamikim slukim sluajevimaajevima

klasini modeli pravinosti

Balansirana praviBalansirana pravinostnost


98/115

98

Mrena konfiguracija oblika koncentracijsko stablo

Za stablo sa dvije grane:

2

2211

1

222

221

111

211 1111)(

zxzxz

z Czx

zxx

Czx

xzxx

++

+=

)()1(

)()1)((

2

0

2

210

G

C

CCC

GC

CC

i

iii

i

ii

i

+

= , i = 1,2 - raspoloiva propusnost

- balansiranafunkcija

Primjer:

Sigurnosni problemi na MAC raziniSigurnosni problemi na MAC razini

(I)(I)


99/115

99

(I)(I)

NAVNAV: Network Allocation Vector: Network Allocation Vector

Raunalo A

Raunalo B

Pristupna toka

PodaciBackoff

DIFS

SIFS

ACK

SIFS

ACK

vrijeme

DIFS

Backoff

B odgaa slanje

NAV

Podaci

NAV

B odgaa slanje


(II)(II)


100/115

100

(II)(II)

BackoffBackoff:: slusluajanajan brojbroj iziz skupaskupa {1,2,{1,2,, CW}, CW}

Raunalo A

Raunalo B

Pristupna toka

PodaciPodaciBackoff

Backoff

DIFS

SIFS

ACK

SIFS

ACK

vrijeme

DIFS

Backoff

Backoff

B zamrzava brojai odgaa slanje

NAV

B zamrzava brojai odgaa slanje

NAV


(III)(III)


101/115

101

(III)(III) manipulacijamanipulacija BackoffBackoffvrijednostimavrijednostima IEEE 802.11e saIEEE 802.11e sa QoSQoS podrpodrkom omogukom omoguava manipulacijuava manipulaciju

BackoffBackoff--a, DIFSa, DIFS--a, SIFSa, SIFS--aa Manipulacijom parametara protokola za pristup kanaluManipulacijom parametara protokola za pristup kanalu(CSMA/CA) mogu(CSMA/CA) mogue jee je zauzetizauzeti radio kanalradio kanal maliciozni napadamaliciozni napada momoe lako izvre lako izvritiiti DoSDoS napadnapad

pojedini korisnici mogu ostvariti vepojedini korisnici mogu ostvariti vei dio kapacitetai dio kapaciteta

Raunalo A

Raunalo B

AP

UDP

UDP

Raunalo ARaunalo B

CW (Backoff) raunala A

Brzinakomun

ikacije[Mbps]

802.11b/g: Sigurnosni ciljevi802.11b/g: Sigurnosni ciljevi


102/115

102

Osim funkcija fiziOsim funkcija fizike i MAC razine IEEE 802.11ke i MAC razine IEEE 802.11standard definira i implementira skup sigurnosnihstandard definira i implementira skup sigurnosnih

mehanizama s ciljem:mehanizama s ciljem: osiguranja privatnosti podataka (ekvivalentnoosiguranja privatnosti podataka (ekvivalentno iianimanim

mremreama)ama) simuliranja fizisimuliranja fizike kontrole pristupa neautoriziranih rake kontrole pristupa neautoriziranih raunalaunala

Inicijalni, IEEE 802.11b sigurnosni mehanizmiInicijalni, IEEE 802.11b sigurnosni mehanizmi Algoritam za zaAlgoritam za zatitu podataka:titu podataka:WiredWired EquivalentEquivalent PrivacyPrivacy(WEP)(WEP) Protokol zaProtokol za autentikacijuautentikaciju korisnika:korisnika: SharedShared KeyKeyAuthenticationAuthentication

jako lojako lo dizajndizajn RjeRjeenje: IEEE 802.11ienje: IEEE 802.11i

WEPWEP -- Wired Equivalent PrivacyWired Equivalent Privacy


103/115

103

WEP algoritamWEP algoritam -- slijednaslijedna ifra (ifra (streamstream chiperchiper))zasnovana na RC4 enkripcijskom algoritmuzasnovana na RC4 enkripcijskom algoritmu

cilj: tajnost i integritet podataka, kontrola pristupacilj: tajnost i integritet podataka, kontrola pristupa

802.11 hdr Podaci

inicijalizacijski vektor v

Dodaj CRC = CRC32(Podaci)

802.11 hdr Podaci CRC

RC4(k,v)802.11 hdr CRCv Podaci

802.11 hdr CRCv Podaci

RC4(k,v)802.11 hdr Podaci CRC

802.11 hdr Podaci

Provjeri CRC = CRC32(Podaci)

tajni klju k

WEP ne osigurava tajnost podatakaWEP ne osigurava tajnost podataka


104/115

104

Inicijalizacijski vektor (Inicijalizacijski vektor (vv) se mijenja za svaki) se mijenja za svaki transmitiranitransmitirani paketpaket AliAlivvjeje dugdug samo 24 bita (IEEE 802.11 standard)samo 24 bita (IEEE 802.11 standard)

Ako seAko se

vv

generira na slugenerira na slu

ajan naajan na

in, dva paketain, dva paketa

e imati istu vrijednoste imati istu vrijednost

nakon samo 5000 paketa (nakon samo 5000 paketa (birthdaybirthdayparadoxparadox)) Ako seAko sevvjednostavnojednostavno inkrementirainkrementira popoevevi od 0, dva rai od 0, dva raunala kojaunala koja

transmitirajutransmitiraju konstantnokonstantno e generirati pakete sa istom vrijednoe generirati pakete sa istom vrijednouuvv

NapadaNapada pohrani 2^24 parova (pohrani 2^24 parova (vvii, RC4(, RC4(k,k,vv

ii))))otprilike 24 GBotprilike 24 GB

Kada napadaKada napada vidividi ifrirani paket Cifrirani paket Cii, pogleda u memoriju (vrijednost, pogleda u memoriju (vrijednostvviinijenije enkriptiranaenkriptirana) i) i nae odgovarajunae odgovarajui par (i par (vvii, RC4(, RC4(k,k,vvii))))

PPii = C= Cii RC4(RC4(k,k,vvii)) RC4RC4 slabislabi kljukljuevi (evi (AirsnortAirsnort program pronalazi kljuprogram pronalazi klju u par sati)u par sati)

C1 C2 = (P1 RC4(k,v)) (P2 RC4(k,v)) = P1 P2C1 = P1 RC4(k,v)C2 = P2 RC4(k,v)

WEP ne osigurava integritetWEP ne osigurava integritet

podatakapodataka


105/115

105

podatakapodataka Za provjeru integriteta i autentiZa provjeru integriteta i autentinosti poruke, WEP koristinosti poruke, WEP koristiifrirani CRC (ifrirani CRC (checksumchecksum) ili) ili IntegrityIntegrityCheckCheckValueValue (IVC)(IVC)

CRC je linearna funkcija: CRC(PCRC je linearna funkcija: CRC(P11 PP22) = CRC() = CRC(PP11)) CRC(CRC(PP22)) NapadaNapada::

Posjeduje C =Posjeduje C = RC4(RC4(k,vk,v)) PP, CRC(P), CRC(P) (ne zna P i k)(ne zna P i k) eli generirati poruku Peli generirati poruku P = P= P , koju, koju ee prihvatiti AP kao autentiprihvatiti AP kao autentinunu Generira:Generira:

C = C , CRC()= RC4(k,v) P, CRC(P) , CRC()

= RC4(k,v) P , CRC(P) CRC()= RC4(k,v) P, CRC(P )= RC4(k,v) P, CRC(P)

802.11 hdr v Podaci CRC

WEP ne osiguravaWEP ne osigurava autentikacijuautentikaciju

korisnikakorisnika


106/115

106

korisnikakorisnika

Nova sigurnosna arhitekturaNova sigurnosna arhitektura


107/115

107

WPA (WPA (WiFiWiFi ProtectedProtectedAccess)Access) Prijelazno rjePrijelazno rjeenje, kompatibilno s postojeenje, kompatibilno s postojeim hardveromim hardverom

IEEE 802.11i standard (ili WPA2)IEEE 802.11i standard (ili WPA2) DugoroDugorono rjeno rjeenje, ali zahtjeva promjenu hardveraenje, ali zahtjeva promjenu hardvera

IEEE 802.11i standardIEEE 802.11i standard

i i dbi


108/115

108

Novine u IEEE 802.11i u usporedbi sa WEPNovine u IEEE 802.11i u usporedbi sa WEP--omom Kontrola pristupa je zasnovana na IEEE 802.1X modeluKontrola pristupa je zasnovana na IEEE 802.1X modelu

FleksibilanFleksibilan autentikacijskiautentikacijski okvir (EAPokvir (EAPExtensibleExtensibleAuthenticationAuthentication ProtocolProtocol))AutentikacijaAutentikacija momoe koristiti provjerenee koristiti provjerene autentikacijskeautentikacijske

protokole (npr., TLSprotokole (npr., TLSTransportTransport LayerLayer SecuritySecurity))

AutentikacijskiAutentikacijski proces rezultiraproces rezultira sesijskimsesijskim tajnim kljutajnim kljuemem RazliRazliite funkcije (enkripcija, integritet) koriste razliite funkcije (enkripcija, integritet) koriste razliiteite

kljukljueve koji se izvodeeve koji se izvode iziz sesijskogsesijskogkljukljuaa Enkripcijska funkcija znaEnkripcijska funkcija znaajno poboljajno poboljana (AES, TKIP)ana (AES, TKIP)

ZaZatita integriteta poruka znatita integriteta poruka znaajno poboljajno poboljana (AESana (AES--MAC,MAC,TKIPTKIP--MIC)MIC)

IEEE 802.1X u 802.11IEEE 802.1X u 802.11

M bilni klij nt z htij prist p sl m (Mobilni klijent zahtijeva pristup uslugama ( li s sp jiti neli se spojiti na


109/115

109

Mobilni klijent zahtijeva pristup uslugama (Mobilni klijent zahtijeva pristup uslugama (eli se spojiti naeli se spojiti namremreu)u)

AP kontrolira pristup uslugama (kontroliraniAP kontrolira pristup uslugama (kontrolirani portport)) AutentikacijskiAutentikacijski server (AS)server (AS) Mobilni klijent i AS se meusobnoMobilni klijent i AS se meusobno autenticirajuautenticiraju

Ako jeAko je autentikacijaautentikacija uspjeuspjena, AS informira AP da mona, AS informira AP da moe otvoritie otvoriti

kontroliranikontrolirani portport mobilnom klijentumobilnom klijentu

Mobilni klijent

AP

LAN(Internet)

Autentikacijskiserver

Kontroliraniport

Slobodni

port

ArhitekturaArhitektura autentikacijskogautentikacijskog

protokolaprotokola


110/115

110

protokolaprotokola

ZaZatita podataka TKIPtita podataka TKIP--omom TKIPTKIP --TemporalTemporal KeyKeyIntegrityIntegrityProtocolProtocol


111/115

111

pp yy g yg y Radi sa postojeRadi sa postojeim hardverom (koji podrim hardverom (koji podrava RC4)ava RC4)

RjeRjeava sve sigurnosne probleme sa WEP protokolomava sve sigurnosne probleme sa WEP protokolom PovePoveava inicijalizacijski vektor (ava inicijalizacijski vektor (extextv) na 48 bitova (WEPv) na 48 bitova (WEP -- 24 bita), da bi24 bita), da bi

se izbjeglo ponavljanje istogse izbjeglo ponavljanje istoginitinit. vektora. vektora

Novi mehanizam za zaNovi mehanizam za zatitu integritetatitu integritetaMichaelMichael ((MessageMessage IntegrityIntegrityCodeCode))

Inicijalizacijski vektor kao brojaInicijalizacijski vektor kao broja sluslui za zai za zatitu odtitu od replayreplay napadanapada

RjeRjeava problemava problem slabihslabih RC4 kljuRC4 kljuevaeva

TKIPTKIP dizajndizajn

P ir iPairwise Tr n i ntTransient KKey (PTK) j d 512 bit(PTK) je dug 512 bitova


112/115

112

PairwisePairwiseTransientTransient KeyKey(PTK) je dug 512 bitova(PTK) je dug 512 bitova Enkripcijski kljuEnkripcijski klju = PTK bitovi 256= PTK bitovi 256--383 (128 bitova)383 (128 bitova) AutentikacijskiAutentikacijski kljuklju = PTK bitovi 384= PTK bitovi 384--511 (128 bitova)511 (128 bitova)

MessageMessage IntegrityIntegrityCodeCode (8(8 bytesbytes))

ZaZatita odtita od replayreplay napadanapada Za svaki paket inicijalizacijski vektor seZa svaki paket inicijalizacijski vektor se inkrementirainkrementira ( + 1 )( + 1 ) Odbacuje se paket koji je primljen izvan sekvence (Odbacuje se paket koji je primljen izvan sekvence (, n, n+1, n,, n, n+1, n, ))

MijeMijeanje enkripcijskog kljuanje enkripcijskog kljuaarjerjeavanjeavanje slabihslabih RC4 kljuRC4 kljuevaeva

Autentikacijski klju Michael algoritamMichael algoritam

MAC AdresaIzvora

MAC AdresaOdredita

Podaci MIC

SaSaetak o 802.11 sigurnostietak o 802.11 sigurnosti

Problem sigurnosti uProblem sigurnosti u WiFiWiFi mremreama teama tei nego ui nego u klasiklasiimim mremreamaama


113/115

113

Problem sigurnosti uProblem sigurnosti uWiFiWiFi mremreama teama tei nego ui nego u klasiklasiimim mremreamaama IEEE 802.11 ne rjeIEEE 802.11 ne rjeava sigurnosne probleme fiziava sigurnosne probleme fizike i MAC razineke i MAC razine

DoSDoS napadi radio ometanjemnapadi radio ometanjem

NepoNepotivanje procedure za pristup radio kanalu (tivanje procedure za pristup radio kanalu (backoffbackoff, NAV,, NAV,)) Rani pokuRani pokuaji rjeaji rjeavanja problema zaavanja problema zatite podataka i kontrole pristupatite podataka i kontrole pristupabaziranih na WEPbaziranih na WEP--uu Nisu postigli cilj (ozbiljni sigurnosni problemi)Nisu postigli cilj (ozbiljni sigurnosni problemi) NeNe proporuproporuujeuje se korise koritenje WEPtenje WEP--a (oko 70% zaa (oko 70% zatitienihenihWiFiWiFi mremrea i danasa i danas

koriste WEP)koriste WEP) Novi sigurnosni standard zaNovi sigurnosni standard zaWiFiWiFi je IEEE 802.11ije IEEE 802.11i Model kontrole pristupa je zasnovan na IEEE 802.1XModel kontrole pristupa je zasnovan na IEEE 802.1X FleksibilanFleksibilan autentikacijskiautentikacijski model zasnovan na EAP imodel zasnovan na EAP i autentikacijskimautentikacijskim protokolimaprotokolima

viviih razina (npr., TLS, GSMih razina (npr., TLS, GSM autentikacijaautentikacija))

PoboljPoboljano upravljanje kriptografskim kljuano upravljanje kriptografskim kljuevimaevima TKIPTKIP --> zasnovan na RC4 (WPA, WPA2)> zasnovan na RC4 (WPA, WPA2) Radi sa starim hardveromRadi sa starim hardverom RjeRjeava sigurnosne probleme WEPava sigurnosne probleme WEP--aa

AESAES --> zahtjeva novi hardver (WPA2)> zahtjeva novi hardver (WPA2)


114/115


115/115

115

Hvala na pozornosti!Hvala na pozornosti!

pr5 lokalne racunalne mreze

Documents