REPUBLIKA E SHQIPERISE UNIVERSITETI USHTARAK SKENDERBEJ FAKULTETI TEKNIK DEGA ELEKTRONIKE
PROJEKT DIPLOME Tema: Siguria e Rrjeteve Wireless
Punoi: Arvit Arvit Varfaj Varfaj Tiranë 2009
Tabela Permbajtjes Hyrje Lista e Figurave dhe Tabelave 1. Teknologjia Wireless 1.1 Rrjetet Wireless 1.1.1 Wireless LAN 1.2 Standartet Wireless 1.2.1 IEEE 802.11 1.2.2 Bluetooth 1.3 Permbledhje 2. Projektimi i nje rrjeti WLAN 2.1 Rreziqet ne sigurine e rrjeteve wireless 2.3 Siguria e 802.11 802.11 WLAN WLAN 2.4 Konfigurimi Konfigurimi i sherbimit sherbimit WLAN ne Windows Windows XP 2.5 Implementimi Implementimi i nje rrjeti te sigurte sigurte 802.11b WLAN WLAN 2.5.1 Lidhja me me nje rrjet rrjet WLAN WLAN 2.5.2 Instalimi i WLAN 2.5.3 Rreziqet ne sigurine sigurine e 802.11b 802.11b WLAN WLAN 2.5.4 Mbrojtja e WLAN 2.5.5 VPN-te dhe dhe siguria e WLAN WLAN 2.6 Permbledhje Perfundime Referencat Shkurtime termash Shpjegim termash
Hyrje Per Per dekada dekada te tera, tera, njere njerezit zit kane kane perdo perdorur rur rrjet rrjetet et e komp kompjut juter erave ave per te nderl nderlidh idhur ur komp kompjut jutera era perso personal nalee dhe serve servera ra ne komp kompani ani,, koleg kolegje je dhe dhe qytete. Nderkohe, nje evolucion ka ndodhur ne perdorimin e rrjeteve pa kabe kabell ll.. Ne fakt, akt, nder nderfa faqe qett e sotm sotmee wire wirele less ss ofro ofrojn jnee sher sherbi bime me qe na mundesojne perdorimin e e-mail, lundrimin ne web dhe Internet pothuaj kudo. kudo. Ke Keto to aplik aplikim imee wirel wireless ess kane kane ndik ndikuar uar ne rritj rritjen en e perfit perfitime imeve ve dhe standartit te jetes ne shoqerine e sotme. Megjithese rrjetet wireless kane nje qell qellim im te thje thjesh shte te;; i cili cili esht eshtee lidh lidhja ja e perd perdor orue uesv svee dhe dhe buri burime meve ve te informac informacioni ionitt pa kabell, kabell, disa koncepte koncepte kritike kritike mbi rrjetet wireless wireless duhen duhen njohur perpara se te mund te projektohet dhe implementohet nje rrjet i tille. Keto dhe Bluetooth Bluetooth trajtohen ne kapitullin e pare pare te temes, ndersa ndersa kapitulli i dyte shtron problemin e sigurise te nje rrjeti Wireless LAN.
Lista e Figurave dhe Tabelave Figura 1-1. Nje rrjet tipik Bluetooth Figura 1-2. Menyrat e sigurise ne Bluetooth Figura 3-1. Skema e enkriptimit WEP Figura 3-3. Nje skeme e WLAN qe perfshin VLAN, DHCP, VPN dhe serverin e identifikimit
Tabela 1-1. Permbledhje e standarteve 802.11 Tabela 1-2. Karakteristikat e teknologjise Bluetooth
1. Teknologjia Wireless Wireless Ky kapitull paraqet nje hyreje ne rrjetet wireless, pajisjet, standartet dhe problemet problemet e sigurise sigurise.. Ka nje paragraf paragraf qe flet per 802.15 802.15 (bluetoo (bluetooth) th) ku shpjegohen shpjegohen edhe elementet e sigurise se ketij standarti .
1.1 Rrjetet Wireless Komunikimet Wireless jane nje tip komunikimi ne te cilin sinjalet transmetohen nepermjet hapsires ne vend te kabellove fizike te zakonshem. Rjetet Wireless sherbejne si mekanizem transporti midis pajisjeve te ndryshme dhe ndermjet pajisjeve dhe rrjeteve tradicionale me kabello. Rjetet Wireless jane te shumta dhe te tipeve te ndryshme, por mund ti ndajme ne tre grupe ne varsi te hapsires se mbulimit: Wireless Wide Area Networks (WWAN), WLANs, dhe Wireless Personal Area Networks (WPAN). WWAN perfshin teknologjite me mbulim te gjere si celularet 2G apo GSM-ne. WLAN, perfaqson “wireless local area networks” – rrjetet lokale wireless, perfshin 802.11, HiperLAN, dhe te tjere. WPAN, perfaqson teknologjite “wireless personal area network”, si Bluetooth dhe IR (InfraRed). Te gjitha keto teknologji marrin dhe transmetojne te dhena duke perdorur perdorur vale elektromagne elektromagnetike. tike. Teknologjite Teknologjite Wireless Wireless perdorin perdorin gjatesi vale nga brezi i frekuencave frekuencave radio (RF) deri mbi mbi brezin brezin IR, IR, ku vetem vetem frekuencat frekuencat radio radio mbulojne nje spekter te gjere nga 9kHz deri ne mijra GHz.
Standartet 802.11 Ne vijim jepet nje permbledhje permbledhje e standarteve standarteve 802.11. Per secilin secilin prej tyre behet nje pershkrim pershkrim i shkurter shkurter rreth rreth qellimev qellimevee te perdorimit perdorimit te tij.
Tabela 1-1. Permbledhje e standarteve standarteve 802.11
Variantet Pershkrim 802.11 802. 802.11 11 Stand Standar artt per per oper operim imet et WLAN WLAN ne brezi brezin n 2.4 2.4 GH GHzz me me shpe shpejt jtesi esi nga 1Mbps deri ne 2 Mbps 802.11a 802.11a
Standa Standart rt per per oper operime imett WLAN WLAN ne brezi brezin n 5 GHz GHz me shpej shpejtes tesii deri deri ne 54Mbps. Performance e larte. Shpejtesia bie mjaft me rritjen e largesise
Variantet Pershkrim 802.11 802.11b 802.11b Standa Standart rt per per operim operimet et WLA WLAN N ne brezin brezin 2.4 2.4 GHz GHz me shpejte shpejtesi si trans transmet metimi imi deri ne 11Mbps. 802.11d 802.11d
Permba Permban n specif specifiki ikime me qe mundes mundesojn ojnee standa standarti rtin n 802.11 802.11 te opero operoje je ne vende te cilat nuk mbulohen prej tij.
802.11e 802.11e
Standa Standart rt qe kerkon kerkon te rrise rrise cilsin cilsinee e sherbi sherbimit mit (QoS) (QoS) te te 802.11 802.11 MAC MAC.. Kjo do te mundesojne aplikime si ze, video, data, te transportohen mbi rrjetet wireless 802.11
802.11f 802.11f
Qellim Qellimii i ketij ketij standa standarti rti esht eshtee rritja rritja e kompai kompaitib tibili ilitet tetit it nderm ndermjet jet pajisje pajisjeve ve te pikave te aksesit aksesit (AP) (AP) te prodhuesve prodhuesve te te ndryeshem. ndryeshem.
802.11g 802.11g
Ofron Ofron rritj rritjee te shpejt shpejtesis esisee se standa standarti rtitt 802.11 802.11 duke duke qendr qendruar uar komp kompati atibel bel me te gjitha pajisjet qe punojne sipas ketij standarti. Qellimi eshte arritja e shpejtesive deri ne 20Mbps.
802.11h 802.11h
Rrit perfor performan mancen cen e 802.11 802.11 MAC MAC dhe 802.1 802.11a 1a per per trans transmet metime imett ne brez brezin in 5 GHz.
802. 802.11 11n n
multiple-output). Perm Permir ires eson on duke duke futu futurr MIM MIMO O (multiple-input multiple-output).
Frekuenca
e punes 2.4 ose 5 GHz,shpejtesia 144 Mbps,rrezja 300m
802. 802.1x 1x
Permi Permire reso son n sigur sigurine ine e stand standar arti titt 802. 802.11 11b b
802.11i 802.11i
Rrit sigurin sigurinee dhe dhe meka mekaniz nizmat mat e aute autentif ntifiki ikimit mit te standar standartev tevee 802.1 802.11 1 Gjithashtute njohhur si WPA dhe WPA 2
1.1.1 Wireless LAN WLAN (Wireless Local Area Networks) lejon nje fleksibilitet me te madh se rrjetet tradicionale LAN. Nderkohe qe nje rrjet LAN tradicionale kerkon nje kabell per te lidhur kompjuterin e nje perdoruesi ne rrjet, nje WLAN lidh kompjutera dhe pjese te tjera ne rrjet duke perdorur nje pajisje me pike aksesi (access point device). Nje pike aksesi komunikon me pajisje te cilat permbajne nje karte rrjeti wireless; ajo lidhet me nje rrjet kabellor Ethernet LAN nepermjet portes RJ-45. Pajisjet me pike aksesi zakonisht mbulojne nje hapsire deri ne 100 metra. Kjo hapsire mbulimi quhet qelize ose rreze veprimi. Perdoruesit mund te levizin ne menyre te lire brenda kesaj qelize me laptop-et e tyre ose pajisje te tjera. Qelizat me
pike aksesi aksesi mund mund te lidhen ndermjet ndermjet tyre, tyre, duke i lejuar lejuar perdoruesve perdoruesve te komunikoj komunikojne ne ne largesi edhe me te medha. Nje rrjet lokal wireless perdore teknologjine e frekuencave radio (RF) per te transmetuar dhe marre te dhena permes ajrit. IEEE ka percaktuar percaktuar per per kete tip komuniki komunikimi mi standart standartin in 802.11, 802.11, qe eshte dhe standarti standarti mbizoterues per WLAN. WLAN konsiston ne komponente te ngjashem me rrjetet kabellor tradicionale LAN. Ne fakt, protokollet e wireless LAN jane te ngjashme me ato te Ethernet-it. Ndryshimi qendron ne faktin se rrjetet wireless LAN nuk kerkojne kabello. Perfitimet kryesore nga perdorimi i WLAN jane: Levizshmeria perdoruesit – Perdoruesit mund te aksesojne skedar, burimet e rrjetit dhe Internetin, pa qene nevoja te jene fizikisht te lidhur me te permes kabellove. Instalim i shpejte – Koha e kerkuar per instalim instalim reduktohet sepse lidhjet me rrjetin mund te behen pa levizur apo shtuar kabellot. Fleksibilitet – Edhe perdorues te thjeshte mund te ndertojne nje rrjet WLAN per qellime te perkoheshme ne nje konference, mbledhje etj. Shkallezueshmeria – Topologjite WLAN mund te konfigurohen lehte ne menyre qe te plotesojne kerkesa aplikimi specifike. Per keto arsye, tregu i rrjeteve WLAN eshte rritur ndjeshem ne vitet e fundit dhe do vazhdoje te fitoje popullaritet si alternative e rrjeteve tradicionale.
1.2.1 IEEE 802.11 IEEE projektoi 802.11 per te mbeshtetur rrjetet Ethernet apo aplikime te tjera me shpejtesi te larte ne transmetimin e te dhenave. 802.11 eshte standarti origjinal WLAN, projektuar per transmetimet wireless wireless 1 Mbps dhe 2 Mbps. Me pas vijoi 802.11a, qe percaktoi nje standart WLAN te shpejtesive te larta per brezin 5 GHz dhe suporton deri ne 54 Mbps. Standarti 802.11b operon ne brezin 2.4-2.48 GHz dhe suporton 11 Mbps. Ky standart eshte tashme standarti dominues WLAN dhe ofron shpejtesi te mjaftueshme per pjesen me te madhe te aplikimeve te sotme. Adoptimi i gjere i ketij standarti ka vene ne dukje dhe dobsite ne sigurine e tij. Nje tjeter standart qe operon ne brezin 2.4GHz eshte 802.11g. Dy standarte te tjere te rendesishem te lidhur me funksione specifike te sigurise ne WLAN jane 802.1X dhe 802.11i.
1.2.2 Bluetooth (802.15) Rrjetet “Ad hoc” siç eshte Bluetooth jane rrjete te projektuara per te lidhur ne menyre dinamike pajisje remote, si celular, laptope dhe PDAs. Keto rrjete quhen “ad hoc” per shkak te topologjive te tyre vazhdimisht te ndryshueshme. Bluetooth eshte nje standart dhe per industrine e telekomunikimeve dhe pershkruan se si celularet, kompjuterat dhe PDA-te duhet te nderveprojne me njeri tjetrin ne lidhjet wireless me hapsire mbulimi te kufizuar. Aplikimet Bluetooth perfshijne sinkronizime wireless, e-mail/Internet/intranet akses. Standarti Bluetooth specifikon operime wireless ne brezin 2.4 GHz dhe suporton transmetime deri ne 720 kbps.
Figura 1-1. Nje rrjet tipik Bluetooth
Figura e mesiperme me paraqet nje skenar ne nje rrjet Bluetooth : Laptop-e te perdoruesve perdoruesve te veçante veçante ne nje mbledhj mbledhjee qe shkembjne shkembjne skedare skedare dhe te dhena te tjera tjera
Tabela 1-2. Karakteristikat e teknologjise teknologjise Bluetooth Karakteristika Brezi frekuencave Shpejtesia transmetimit Siguria rrjetit dhe te dhenave Hapsira mbulimit “Throughput” Aspekte pozitive
Aspekte negative
Pershkrimi 2.4 – 2.4835 GHz 1 Mbps Enkriptim i informacionit, autentifikim, perdorim perdorim i çelesav çelesavee PIN. PIN. Rreth 10 10 me metra. Mu Mund te te sh shtrihet de deri ne ne 10 100 metra. Deri ne 720 kbps Mungesa e kabellove. Aftesia per te komunikuar pertej mureve dhe pengesave pengesave te tjera. Konsum i vogel energjie dhe hardware minimal. Mundesi Mundesi interfe interferim rimii me teknolo teknologji gji te tjera tjera te brezit ISM. Shpejtesi Shpejtesi transmetimi transmetimi relativisht relativisht e ulet.
- Perfitimet dhe siguria e Bluetooth Bluetooth ofron pese perfitime kryesore per perdoruesit. Keto jane: •
Zevendesim i kabellove – Teknologjia Bluetooth zevendeson kabellot ne lidhje te ndryshme. Ketu perfshihen pajisjet periferike (psh. mouse-i tastjera), USB 12 Mbps (USB 1.1) dhe USB 480 Mbps (USB 2.0), printera dhe modem, zakonisht ne 4Mbps, mikrofone etj.
•
Leht Lehtes esii ne “file “file shari sharing” ng” – Bluet Bluetoot ooth h mund mundes eson on file file shari sharing ng nderm ndermje jett pajsijeve pajsijeve me Bluetooth Bluetooth te inkorporuar. inkorporuar.
•
Sinkronizime wireless – Bluetooth mundeson sinkronizim wireless automatik ndermjet pajisjeve me Bluetooth, PDA, laptope, celular etj.
•
Aplikime wireless te automatizuara – Ne dallim nga sinkronizimi qe ndodh lokalisht, keto aplikime komunikojne me rrjetet LAN dhe Internetin.
•
Lidh Lidhje je me Inte Intern rnet etin in – Kjo Kjo esht eshtee e mund mundur ur kur kur paji pajisj sjee te ndry ndrysh shme me bashkeveproj bashkeveprojne ne duke shfrytezuar shfrytezuar cilsite e tyre. Per shembull, shembull, nje laptop nepermjet nje lidhje Bluetooth, i kerkon nje celulari te vendose nje lidhje dial-up, laptop-i me pas mund te aksesoje Internetin duke perdorur kete lidhje.
Tre jane sherbimet keryesore te sigurise te specifikuara ne Bluetooth: •
•
•
Identifikimi — Nje Nje nga qellimet qellimet e Bluetooth Bluetooth eshte eshte verifikimi verifikimi i identit identiteteve eteve te pajisjeve pajisjeve komunikuese. komunikuese. Ky sherbim sigurie shtron pyetjen “A e dime se me ke po komunikojme?”. Ky sherbim ofron nje mekanizem aborti nese pajisja nuk arrin te identifikohet. Konfidencialiteti — Mbajtja sekret e informacionit ose “privacy” eshte nje nder nder qellime qellimett e tjera tjera te Blueto Bluetooth oth.. Ky sherbim sherbim zakonisht zakonisht shtron pyetje pyetjen n “Vetem pajisjet e autorizuara lejohen te shikojne te dhenat e mia?”. Autorizimi — Ky eshte nje sherbim sigurie projektuar per te lejuar kontrollin e burimeve. Ky sherbim shtron pyetjen “A eshte e autorizuar kjo pajisje te perdore perdore kete sherbim?”. sherbim?”.
Bluetooth ka tre menyra te ndryshme sigurie. Çdo pajisje Bluetooth mund te operoje vetem ne njeren prej ketyre menyrave meny rave ne nje çast te kohes. Keto tre meyra jane si vijon: •
Menyra e pare e sigurise – Menyre jo e sigurte
•
Menyra e dyte e sigurise – Menyre e forte sigurie sherbim-nivel
•
Menyra e trete e sigurise – Menyre e forte sigurie link-nivel
Ne menyren menyren e pare te sigurise, sigurise, nje nje pajisje pajisje nuk nuk inicializo inicializon n asnje asnje procedure procedure sigurie. Funksionet e sigurise (identifikimi, enkriptimi) tejkalohen perfundimisht. Kjo menyre perdoret per aplikime ku siguria nuk kerkohet.
Ne menyre menyre e dyte te sigurise, sigurise, procedurat procedurat e sigurise inicializohe inicializohen n pas pas vendosjes se kanalit te komunikimit. Ne kete menyre ndodh dhe procesi i autorizimit, pra procesi qe percakton nese pajisja A lejohet te kete akses ne sherbimin X.
Ne menyren menyren e trete te sigurise, sigurise, nje nje pajisje pajisje Bluetoot Bluetooth h inicializon inicializon procedura procedura sigurie perpara vendosjes se kanalit te komunikimit. Kjo menyre suporton identifikim dhe enkriptim. Keto cilsi bazohen ne gjenerimin e nje çelesi te perbashket perbashket qe ndahet ndermjet ndermjet pajisjeve pajisjeve komunikuese komunikuese.. Te tre keto menyra pershkruhen ne figuren 1-5.
Figura 1-2. Menyrat e sigurise ne Bluetooth Bluetooth
1.3 Permbledhje Teknologjite wireless jane menyra me e thjeshte per te mundesuar komunikimin e pajisjeve pa lidhje fizike, pra pa perdorimin e kabellove te rrjetit. Teknologjite wireless perdorin transmetimet me frekuenca radio (RF) si mjet per transportimin e te dhenave, ashtu si teknlogjite e tjera perdoin kabellot. Aplikimi i teknologjive wireless varjon nga sisteme komplekse si rrjetet WLAN dhe celularet ne pajisje te thjeshta siç jane mikrofonet, kufjet apo pajisje te tjera qe nuk perpunojne perpunojne te dhena. Ne kete kete kapitull kapitull u diskutua diskutua per per pajisje pajisje si pikat e aksesit, aksesit, PDAPDA-
te, celularet per standartet 802.11 dhe Bluetooth si dhe u trajtuan disa probleme ne lidhje me sigurine e ketyre rrjeteve.
2. Disa koncepte kriptografike
2.1 “Kripa” kriptografike Koncepti “kripe” ne kriptografi kriptografi,, ka kuptimin e disa biteve te rastesishem qe perdoren si nje nga inputet tek funksioni i derivimit te celesit .Inputi tjeter zakonisht eshte nje fjalekalim . Outputi i funsionit te derivimit te celesave ruhet dhe enkriptohet dhe ky quhet versioni i enkriptuar i fjalekalimit . “Kripa” mund te perdoret si nje pjese e celesit si ne rastin e nje kriptekst ose ndonje algoritmi kriptografik tjeter . Funksioni i derivimit te celesit zakonisht perdor funksionet funksionet perziere perzieress kriptografik kriptografik , nganjehere nganjehere perdor IV IV ( vektor vektor inicializimi inicializimi ) ku ku nje numer i gjeneruar me perpara perdoret si “kripe” .
SHEMBULL. Supozojme se celesi sekret i nje perdoruesi (fjalekalimi i enkriptuar) vidhet dhe dihet qe eshte nje nga 200,000 fjalet e nje fjalori shqip eshte fjalekalimi . Sistemi perdor “kripe” 32-biteshe . Celesi i kriptuar eshte tani fjalekalimi origjinal i bashkengjitur bashkengjitur “kripes” “kripes” 32-biteshe 32-biteshe . Per shkak te “kripes”, “kripes”, llogaritjet llogaritjet per funksionin funksionin perzieres perzieres te bera nga nga vjedhesi nuk kane vlere vlere . Ai duhet te llogarise llogarise funksionin funksionin perzieres perzieres te cdo fjale dhe per cdo fjale duhet te krontolloje 2³² mundesi per “kripen” e bashkengjitur deri ne castin kue te gjendet fjalkalimi . Numri total i inputeve te mundshem merret duke shumezuar numrin e fjaleve ne fjalor me numrin e mundshem te “kripeve” :
2³² * 200000 = 8.589934592 * 10 14 Qe te perfundohet nje sulm brute-force duhen llogaritur rreth 800 trillion fjale, ne vend te 200,000. Pra ,edhe pse fjalekalimi vete eshte i thjeshte , “kripa” sekrete ben thyerjen e fjalekalimit shume me te veshtire .
2.2 Nonce kriptografik Koncepti i nonce kriptografik. Ne komunikimet tipi ke ndermjet klientit dhe serverit
gjate nje identifikimi te bazuar ne nonce eshte nje proces qe permban nje nonce nga serveri dhe nje nonce nga klienti .Ne inxhnierine e sigurise , nje nonce eshte nje numer i perdorur vetem njehere . Shpesh eshte nje numer i rastesishem ose pseudo i rastesishem qe perdoret ne nje protokoll identifikimi qe te siguroje mos perdorimin e komunikimeve te bera me perpara ne sulmet riperseritje. riperseritje. Nonce-et te ndryshme jane te ndryshme ne cdo kohe kur
vjen nje mesazh qe kerkon identifikim 401 dhe ne kete mesazh dhe eshte prezent kodi i pergjgjess . Gjate ketij identifikimi kerkesat e klienteve kane nje numer sekuence unik ,duke pergjgje be re keshtu keshtu thuajse te pamundur pamundur sulmet sulmet e mesiperme mesiperme dhe dhe sulmet fjalor . Shume i referohen IV (initialization (initialization vectors) si nonce per arsyet e mesiperme .Per te siguruar qe nje nonce te perdoret vetem njehere , duhet te jete nje funksion me ndryshore kohen , ose gjeneruar mjaftueshem me bite te rastesishem per te siguruar nje probabilitet shume te vogel te perseritjes se nje vlere te meperparshme .
2.3 Funksionet hash kriptografik
Nje funksion hash kriptografik kriptografik eshte nje procedure procedure qe merr nje bllok arbitrar arbitrar te te dhenave dhe kthen varg bitesh te nje madhesie te caktuar, vleren hash, te tilla qe nje ndryshim aksidentale ose i qellimshem i te dhenave do te ndryshoje vlera hash. Te dhenat qe do te kodohen shpesh jane quajtur "mesazh", "mesazh", dhe vlera hash eshte eshte ndonje here quajtur mesazh i grumbulluar apo thjesht permbledhje. Funksioni ideal hash ka kater vecori kryesore: • • • •
eshte shte eshte eshte eshte
e leht lehtee te llog llogar arit itet et vler vleraa e hash hash per per nje nje mesa mesazh zh dhe dhene , e pamundur per te gjetur nje mesazh qe ka nje hash dhene , e pamundur per te ndryshuar nje mesazh pa ndryshuar hash e tij, e pamundur per te gjetur dy mesazhe te ndryshme me te njejtin hash.
Funksionet kriptografik hash kane aplikime te shumta ne sigurine e informacionit, sidomos ne nenshkrimet digjitale, kodet e mesazheve te identifikimit (MACs), (MACs), dhe forma te tjera te identifikimit. Ata mund te perdoren gjithashtu si funksione funksione hash te zakonshem, indeksimin e te dhenat ne tabelat hash; gjurme te gishtrinjve si, per te zbuluar te dhenat e kopjuar ose identifikojm fotografi; ose si kontrollet e shumave zbuluar gabimet aksidentale te te dhenave . Me te vertete , ne kontekstin e sigurimit te informacionit, vlerat kriptografike te hash jane nganjehere jane quajtur (dixhitale) “gjurme te gishtrinjve”, kontrolle shumash , apo vetem vlera hash, edhe pse te gjitha keto terma qendrojne per funksione me vecori dhe qe llime te ndryshme.
Shumica e funksioneve kriptografik hash jane te dizejnuar per te marre si input nje varg te nje gjatėsie te cfaredoshme per te prodhuar nje gjate fikse te vleres hash. Nje funksion hash hash kriptografik kriptografik duhet duhet te jete ne gjendje te perballoje perballoje te gjitha llojet e njohura te sulmeve kriptoanalitke . Si minimum, ajo duhet te kete vecorit e me poshtme: • Rezistenca paraimazh : jepet nje hash h ai duhet te jete e veshtire per te gjetur ndonje mesazh m te tille tille qe h = hash (m). Ky koncept ka te beje me funksionet e njeanshem . Funksioneve qe u mungon mungon kjo vecori jane te pambrojtur ndaj sulmeve paraimazh. paraimazh. • Rezistenca e dyte paraimazh : jepet nje nje input M1, duhet te jete e veshtire per te gjetur nje tjeter input m2 (jo te njejte me M1) M1) te tille qe hash (M1) = hash (m2). Kjo vecori eshte nganjehere referuar si rezistence rezistence e dobet e perplasjes . Funksioneve qe u mungon kjo vecori jane te pambrojtur ndaj sulmeve te paraimazhit te dyte . • Rezistenca ndaj perplasjeve : duhet te jete e veshtire per te gjetur dy mesazhe te ndryshme M1 dhe m2 te tille qe hash (M1) = hash (m2). Nje pale e tille quhet quh et (ne kriptografi) perplsje e hash , dhe kjo vecori eshte nganjehere referuar si rezistence e forte ndaj perplasjeve . Kerkon nje vlere hash te pakten dy here me gjate se çfare eshte e nevojshme si per rezistencen rezistencen paraimazh , perndryshe mund te gjenden perplasje nga nje sulm i quajtur “ditelindje”.
2.4 Ndertimi i funsionit hash Merkle-Damgård.
Nje funksion funksion hash duhet duhet te jete jete ne gjendje gjendje te procesoje procesoje ne hyrje hyrje nje mesazh me me gjatesi gjatesi te ndryshme dhe ne dalje te kemi output me gjatesi te caktuar . Kjo mund te arrihet duke e ndare inputin ne nje seri blloqesh me madhesi te barabarte, dhe mbi ta veprojme ne menyre te njepasnjeshme funksionin e kompresimit te njeanshem . Funksioni i kompresimit mund te jete te dizejnuar posaçerisht per hash ose te ndertohet nga nje bllok shifer (algoritem). Nje funksion funksion hash i ndertuar ndertuar me algoritmi algoritmin n Merkle-Damg Merkle-Damgård ård eshte i qendrueshem qendrueshem ndaj perplasjeve perplasjeve aq sa eshte edhe funksioni funksioni i kompresmi kompresmitt ; cdo perplasje perplasje e funksionit funksionit te plote plote
hash mund te gjurmohet te kthehet ne nje konflikt per funksionin e kompresimit. Blloku i fundit i perpunuara, duhet shume i gjatė; kjo eshte vendimtare per sigurine e ketij ndertimi. Ky ndertim eshte quajtur Merkle-Damgård . Shumica funksioneve hash e perdorurin perdorurin kete ndertim ndertim gjeresisht, gjeresisht, duke perfshire perfshire SHA-1 SHA-1 dhe MD5, MD5, marrin marrin kete forme forme .
2.5 Celesat publik Celesat publik jane nje qasje kriptografike, te perdorur nga shume algoritma kriptografik dhe sisteme kriptimi , karakteristike dalluese e te cileve eshte perdorimi i algoritmave asimetrik te celesave ne vend te ose si shtese e algoritmave simetrik . Perdorimi i teknikave te celesave public dhe celesave privat kane zhvilluar shume metoda te cilat jane bere praktike per mbrojtjen te komunikimit ose identifikimin e mesazheve te panjohur. Keto metoda metoda nuk kerkojne kerkojne kembim kembim te te sigurt fillest fillestar ar te nje ose ose me shume shume çelesave sekret sic eshte e nevojshme kur perdoren algoritmat simetrik. Kjo metode mund te perdoret gjithashtu per te krijuar firma digjitale . Celesat publike jane nje teknologji e perdorur gjeresisht ne mbare boten, e cila eshte mbeshtetur ne standarde te tilla si TLS (Transport Layer Security qe eshte pasues i SSL), PGP dhe GPG. Dallimi kryesor i teknikes se perdorur (celesta publik-privat) eshte perdorimi i algoritmave te celesave asimetrik sepse celesi perdoret per te enkriptuar nje mesazh nuk eshte i njejte me celesin qe perdoret per ta dekriptuar ate. Cdo perdorues ka nje pale celesash kriptografik nje celes publike dhe nje privat . Celesi privat mbahet sekret, kurse celesi publik mund te shperndahet gjeresisht . Mesazhet enkriptohen nga marresit e celesit publik dhe mund te dekriptohe dekriptohen n vetem nga nga celesi privat privat perkates. perkates. Celesat Celesat jane te lidhur matematikisht , por celesi privat nuk mund te (dmth., faktike ose te projektuara ne praktike) rrjedhin nga celesat publik . Ishte zbulimi i te tilla algoritmave te cilat revolucionarizuan praktiken praktiken e kriptografise kriptografise ne mes te viteve viteve 1970. 1970. Ne kontrast, kontrast, algoritmat algoritmat e celesave simetrik simetrik , variacionet variacionet e te cilave cilave jane perdorur per disa mijra vjet, perdoret nje celes i vetem secret i shkembyer nga derguesi dhe marresi (i cili gjithashtu duhet te mbahet privat) per enkriptim dhe dekriptim . Per te perdorur nje skeme enkriptimi simetrik, i derguesit dhe marresi duhet te shkembejne nje celes te sigurte paraprakisht. paraprakisht. Ngaqe algoritm algoritmat at e celesave celesave simetrik simetrik jane gati gjithnje gjithnje shume shume me pak intensive ne llogaritje, eshte e zakonshme per te shkembyer nje celes duke perdorur algoritmin e kembimit te celesave per te transmetuar te dhenat duke perdorur kete celes dhe nje algoritem te celesave simetrik . PGP, dhe familja e skemave SSL / TLS e bejne kete, dhe per pasoje jane quajtur quajtur kriptosiste kriptosisteme me hibride hibride . Dy deget kryesore te cryptography kryesore publike jane:
• Celesat e enkriptimit publik - nje mesazh i enkriptuar me nje celes publik nuk mund te dekriptohet nga askush , pervec poseduesit tecelesit privat korrespondues . Kjo menyre eshte perdorur per fshehtesine e informacionit. • Nenshkrimet digjitale - nje mesazh i nenshkruar me nje celes privat celesate mund te verifikohet nga kushdo qe ka akses tek celesi publik i derguesit , duke provuar keshtu se derguesi kishte akses tek celesi privat (dhe prandaj ka te ngjare qe te jete personi i lidhur me celesin publik te perdorur).
Një numër numër i paparashikueshe paparashikueshem m (zakonisht (zakonisht një numer i madh i zgjedhur rastësisht) është përdorur përdorur për të filluar filluar gjenerimin gjenerimin e një palë çelësash të pranueshëm dhe te përshtatshem për t'u përdorur nga një algoritem asimetrik .
Në një skemë skemë enkriptimi enkriptimi asimetr asimetrik ik çelesash çelesash , çdokush mund të enkriptoje mesazhe duke përdorur përdorur çelesat çelesat publike, publike, por vetëm vetëm mbajtësi mbajtësi i çelesit privat korrespondues mund te dekriptoje keto mesazhe . Vlefshmeria e kesaj metode te sigurimit varet nga fshehtësia e çelesit privat .
Në disa skema skema te lidhura lidhura me me nënshkrimet nënshkrimet digjtale digjtale , çelesi çelesi privat privat është përdorur përdorur për për të nënshkruar një mesazh, por kushdo mund të kontrolloje nėnshkrimin publik duke përdorur çelesin publik publik . Vlefshmër Vlefshmëria ia varet nga nga sigurisa sigurisa e çelesit çelesit privat .
Në skemën skemën e këmbimit këmbimit te çelesave Diffie-Hellman , secili pjesemarres gjeneron një çeles publik dhe nje çeles privat dhe shpërndan çelesin publik . Pas marrjes së një kopje autentike të çelësit publik të njeri-tjetrit , Alice dhe Bob mund llogarisin sekretin master te shkembyer . Sekreti master i shkembyer mund të përdoret si çelës për një algoritem simetrik (shifer) .
2.6 Vargu i celesave Ne kriptografi kriptografi , nje varg celesash eshte nje varg me karaktere te rastesishem ose pseudo te rastesishe rastesishem m te kombinuar kombinuar me me nje mesazh mesazh te shkruar shkruar ne tekst tekst te thjeshte thjeshte per te te prodhuar nje mesazh mesazh te enkriptuar enkriptuar (kripte (kriptekst). kst). "Karakteret" ne nje varg celesash mund te jene bite, byte, numra ose karaktere nga A-Z ne varasi te rastit te perdorimit .Zakonisht cdo karakter ne nje varg celesash mblidhet , zbritet ose behet nje XOR logjik me nje karakter te tekstit te thjeshte per te prodhuar kriptekst, duke perdorur matematiken moduluese . Vargu i celesave eshte perdorur ne algoritmin shifror njehere shifror njehere mbushje dhe ne shumicen e algoritmave shifror te shifror te vargjeve . Blloqet e numrave mund te perdoren gjithashtu per prodhimin e vargjeve te celesave . P.sh. menyra CTR eshte nje menyre
blloqesh qe ben nje bllok bllok shifror shifror te prodhoje prodhoje nje varg celesash celesash dhe keshtu keshtu pra kthen kthen bllokun bllokun e shifrave ne nje varg varg shifrash .
Shembull Ne kete kete shembull ne perdorim perdorim alfabetin alfabetin Anglez Anglez me 26 karaktere karaktere nga a-z. a-z. Pra nuk mund te enkriptojme numra , presje, hapesira dhe simbole te tjera . Numrat e rastesishem ne nje varg celesash duhet detyrimisht te jene nga 0 ne 25. Per te enkriptuar mbledhim vargun e numrave me tekstin e thjeshte . Per te dekriptuar vetem zbresim me te njejtin varg numrash nga kripteksti per te marre tekstin e thjeshte . Nese nje numer numer i krptekst krptekstit it behet me me i madh se 25 e kufizojme kufizojme ne nje vlere vlere nga 025 . Pra 26 behet 0 dhe 27 behet 1 e keshtu me rradhe . (Ky (Ky kufizim quhet matematik moduluese.) Ne kete kete rast mesazhi mesazhi i shkruar shkruar ne tekst tekst te thjeshte thjeshte "attack "attack at dawn" dawn" kombinohet kombinohet duke e mbledhur me vargun e celesave "kjcngmlhylyu" dhe prodhohet kripteksti "kcvniwlabluh".
3. Siguria ne rrjetin WLAN WLAN Ne kete kete kapitull kapitull do shpjegohet shpjegohet nje menyre menyre per per implement implementimin imin e nje rrjeti te sigurte WLAN. Ne fillim do trajtohen disa aspekte te teknologjise 802.11 WLAN duke u perqendruar ne komponentet, standartet dhe arkitekturen e ketyre sistemeve.
3.1 Rreziqet ne sigurine e rrjeteve wireless Disa nga shqetesimet ne sigurine e komunikimeve wireless jane, vjedhja pajisjeve, pajisjeve, mohim mohim i sherbimit, sherbimit, hacker-at, hacker-at, kode kode te te ndryshme ndryshme (viruses, (viruses, trojan horses, worms), etj. Zakonisht jane perdoruesit e autorizuar ate qe mund te ndermarrin veprime te tilla duke qene se ata i njohin me mire burimet e sistemit dhe dobsite ne sigurine e tij. Sulemet qe mund te vijne nga kercenimet e mesiperme nese jane te suksesshme do te vene sistemin e nje kompanie dhe ajo qe eshte me e rendesishme te dhenat e saj ne rrezik. Rreziqet ne rrjetet wireless jane te barabarta me shumen e rreziqeve ne rrjetet kabellor, me ato qe vijne si pasoje e dobsive ne protokollet wireless. Eshte e rendesishme marrja e masave per te minimizuar keto rreziqe dhe sjellja e tyre ne nivele te menaxhueshme. Rreziqet ne sigurine e rrjeteve wireless mund ti permbledhim ne disa pika: •
Te gjitha rreziq rreziqet et qe ekzisto ekzistojne jne ne rrjetet rrjetet kabell kabellor or teknologjite wireless.
•
Subjektet keqdashes mund te marrin akses te paautorizuar ne kompjuterat e nje kompanie nepermjet lidhjeve wireless duke kapercyer dhe mbrojtjen me firewall.
•
qendroj qendrojne ne edhe per
Informacinet e rendesishme te paenkriptuara qe transmetohen ndermjet dy pajisjeve pajisjeve wireless wireless mund te intercept interceptohen ohen dhe lexohen. lexohen.
•
Sulme DoS (Denial of service – mohim i sherbimit) mund te ndermeren ndaj pajisjeve pajisjeve apo apo lidhjeve lidhjeve wireless. wireless.
•
Subjekte keqdashes mund te marrin identitetin e perdorusve legjitim dhe te kompromentojne sistemin nepermjet tyre.
•
Te dhena dhena te rendesis rendesishme hme mund te korrupt korruptohe ohen n gjate gjate sinkron sinkronizi izimev mevee te pasakta. pasakta.
•
Subjekte keqdashes mund te kompromentojne te dhenat private te perdorusve legjitim dhe te ndjekin levizjet e tyre ne sistem.
•
Subjekt Subjektee keqdas keqdashes hes duke kompro kompromen mentua tuarr pajisjet pajisjet e kliente klienteve ve mund mund te aksesojne te dhena te rendesishme.
•
Te dhena mund te nxirren ne menyre te fshehte nga pajisje te konfiguruara ne menyre te papershtatshme.
•
Viruset apo kode te tjere te demshem mund te korruptojne te dhena ne nje pajisje wireless, wireless, duke duke siguruar siguruar me pas akses edhe edhe ne rrjete kabellor. kabellor.
•
Sulme mund te ndermeren nepermjet transmetimeve ad hoc.
3.2 Siguria e 802.11 802.11 WLAN WLAN Specifikimet IEEE 802.11 implikojne sherbime te ndryshme per te siguruar nje mjedis te sigurte komunikimi. Sherbimet e sigurise implementohen ne pjesen me te madhe nga protokolli WEP, per mbrojtjen e te dhenave gjate transmetimit te tyre nga klientet tek pikat e aksesit. WEP nuk ofron siguri end-to-end por mbulon vetem pjesen wireless wireless te komunik komunikimit imit siç tregohet tregohet ne figuren figuren 2-6. 2-6. Kjo eshte arsyeja e perdorimit perdorimit te te teknologji teknologjise se VPN VPN ne rrjetat WLAN, WLAN, si ne figuren 2.7. Siguria Siguria dhe mbrojtja e 802.11 WLAN do trajtohen permes nje shembulli implementimi te nje rrjeti WLAN ne paragrafin 2.5 te kapitullit.
3.2.1 Cfare eshte WEP dhe WPA 3.2.1.1 WEP WEP (Wired Eqiuvalent Protection) operon ne nenshtresen MAC (Media Access Control) qe eshte pjese e shtreses se Data Link ne modelin OSI (Open System Interconnect). Duke perdorur WEP vetem ata qe dine fjalekalimin mund te hyjne ne rrjet (te ndervepropje me Access Ponit-in) .WEP perdor nje pakete te vecante te enkriptuar dhe ia dergon klientit i cili kerkon hyrjen (log in) ne rrjet . Dekriptohet nga klienti i cili fut fjalekalimin dhe ia kthen kete pakete ,po te enkriptuar AP (Access Ponit). Lloji i enkriptimit behet nga nje algoritem i quajtur RC4. Kemi 2 lloje WEP: WEP 40 WEP 104 Ne llojin llojin e pare kemi 40 bite per vendosje vendosjen n e fjalekali fjalekalimit mit dhe dhe 24 bit IV • •
(Initialisation Vector) i cili eshte i rastesishem (random) (random) . 40 bite : 8 bit per karakter = 5 karaktere . 40 bit fjalekalim + 24 bit IV = 64 bit te dhena ne paketen WEP. Ne llojin e dyte kemi po 24 bit IV por kemi 104 bit per fjalekalimin. 104 bit : 8 bite per karakter = 13 karaktere . Por lloji i dyte nuk eshte se permireson shume performancen e WEP .
Figura 3-1. 3-1. Skema e enkriptimit WEP WEP
3.2.1.2 WPA WPA (Wi-Fi Protected Access) dhe WPA2 . Ky protokoll u krijua si pergjigje pergjigje e disa disa dobesive dobesive serioze qe u gjeten gjeten ne ne sistemet sistemet parardhes parardhesee si WEP WEP . Protokolli implementon pjesen me te madhe te standartit IEEE 802.11i , dhe u mendua si nje mase e perkohshme qe te zevendesonte WEP deri kur 802.11i te ishte perfunduar perfunduar . Ne vecanti vecanti TKIP (Temporal (Temporal Key Integri Integrity ty Protocol) Protocol),, u vendos vendos ne WPA. Krijuesit kane zbuluar nje te mete ne TKIP qe mbeshtetej ne disa dobesi si marrja e celesit nga paketat e vogla te cilat mund te perdoren per ri-injektim per te derguar informacion te rreme . Certifikata WPA2 tregon pajtueshmerine me nje protokoll te avancuar qe implementon te gjithe standartet. Ky protokoll i avancuar avancuar nuk do te funksionoje ne kartat e vjetra te rrjetit . WPA2 implementon elementet e detyrueshem te 802.11i. Ne vecanti vecanti , paraqet paraqet nje algoritem algoritem te ri te bazuar tek AES tek AES (Advanced Encryption Standard) , CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) Protocol), qe konsiderohet shume i sigurt .
3.2.1.2.1 Siguria me menyren menyren e celesave celesave te para-shkembyer para-shkembyer (WPAPSK)
WPA-PSK (Pre-shared key) u projektua per rrjetet e shtepive ose zyrave te vogela ku nuk kerkohet kompleksiteti i nje serveri identifikimi 802.1X . Ne cdo rrjet wireless paisjet enkriptojne trafikun duke perdorur celesa 256 bit. Keto celesa mund te futen ne formen e nje stringu me 64 karaktere e numra hexadecimal , ose ne formen e nje fjalekalimi nga 8 ne 63 karaktere ASCII. Nese karakteret ASCII perdoren perdoren , atehere atehere celesi celesi 256 bitesh bitesh llogarite llogaritett duke duke aplikuar aplikuar funksioni funksionin n PBKDF2 per derivimin e celesit ne fjalekalim , perdoret SSID (Service set identifier ) perdoret si “kripe” dhe 4096 perseritjet e HMACHMAC-SHA1. SHA1. WPA-PSK eshte i cenueshem ndaj sulmeve te thyerjes se fjalekalimit nese perdoret nje fjalekalim i dobet . Per tu mbrojtur nga sulmet brute sulmet brute force nje nje fjalekalim i rastesishem me 13 karaktere eshte i mjaftueshem . Ne gusht gusht 2008, 2008, nje shkrim ne forumin forumin NvidiaNvidia-CUDA shpalli mundesine e rritjes se performancees te nje sulmi brute force ndaj WPA-PSK me nje faktor 30 ose edhe me shume krahasuar me implementimet CPU te kesaj kohe. Llogaritja PBKDF2 e cila kerkon shume kohe i ngarkohet nje GPU (deri ne kete kohe i ngarkohej CPU) i cili mund te llogarise disa fjalekalime dhe celesat korrespondues te tyre ne paralel .Koha mesatare e sukesit te gjetjes se fjalekalimit eshte nga 2-3 dite duke perdorur kete metode .
3.2.1.2.2Dobesite e TKIP Nje dobesi dobesi qe nuk u mbulua mbulua ne nentor te 2008 nga dy studiues studiues gjerman gjerman te universiteteve teknike (TU (TU Dresden dhe TU Darmstadt), Darmstadt), Erik Tews dhe Martin Beck, te cilet u mbeshteten ne nje te mete te WEP qe mund te shfrytezohej vetem algoritmin TKIP ne WPA. Me kete te mete mund te dekriptohen vetem paketat e vogla me permbajtje te ditur , si p.sh. mesazhet ARP (Address Rsolution Protocol), dhe 802.11e, 802.11e, qe mundeson cilesine e sherbimit (Quality (Quality of Service) . Kjo e mete nuk con ne gjetjen e celesit por ne kapjen e nje celesi te enkriptuar te nje pakete te vecante i cila mund te riperdoret deri ne shtate here per te injektuar te dhena me gjatesi te se njejtes pakete drej nje klienti wireless . P.sh. kjo lejon te injektohen paketa ARP fallco te cilat cilat me pas dergohen dergohen nga viktima viktima ne internet internet .
3.2.1.2.3 Shtesat EAP per WPA dhe WPA2 Aleanca Wi-Fi shpalli perfshirjen e shtesave EAP (Extensible ( Extensible Authentication Protocol) Protocol) ne programet e saj te certifikuara certifikuara WPA dhe WPA2 WPA2 . Kjo u be per te te siguruar qe te dy produktet WPA te nderveprojne me njeri-tjetrin . Tipet EAP te perfshira ne certifikim : EAP-TLS (testuar) •
• •
• •
EAP-TTLS/MSCHAPv2 EAP-TTLS/MSCHAPv2 PEAPv0/EAP-MSCHAPv2 PEAPv0/EAP-MSCHAPv2 PEAPv1/EAP-GTC EAP-SIM
3.2.1.2.4 CCMP CCMP (Counter Mode with Cipher Block Chaining Message Authentication Protocol) eshte nje protokoll enkriptimi IEEE 802.11i krijuar qe te Code Protocol) zevendesoje TKIP, TKIP, protokollin e detyrueshem te WPA, dhe WEP. WEP. CCMP eshte nje protokoll i detyrueshem i standartit WPA2, WPA2, nje opsion per standartin WPA , dhe nje opsion shume i kerkuar per RSN (Robust Security Network) . . CCMP perdor algoritmin AES , ndryshe nga menagjimi i celesave dhe integriteti i mesazhit tek TKIP tek TKIP qe behet nga nje perberes i vetem i ndertuar rreth AES dhe perdor celesa 128-bitesh 128-bitesh dhe blloqe 128-bitesh. 128-bitesh. CCMP uses CCM me parametrat e meposhtem: M = 8 -tregon qe MIC ka 8 oktete, L = 2 - tregon qe fusha e gjatesise ka 2 oktete. Nje MPDU MPDU ( Medium Medium Access Access Control Control Protocol Protocol Data Unit) CCMP ka pese pese seksionet seksionet e meposhtme: 1) koke e MAC (Medium Access Control) 2) koken CCMP , 3) T Tee dhenat , 4) Integriteti i kodit te mesazhit MIC (Message integrity code) , dhe 5) Kontrolli i sekuences se frame FCS (Frame check sequence) . Nga seksionet e mesiperme, vetem te dhenat dhe MIC jane te enkriptuara . • •
Koka e CCMP ka 8 oktete dhe consiston ne fushat e meposhtme : Numri i Paketes Paketes (PN) IV (Initialization vector) Celesi i identifikimit PN eshte nje numer 48-bitesh i vendosur ne 6 oktete. Kodet PN jane ne dy oktetet e pare , dhe dhe kater kater oktetet oktetet qe qe mbeten mbeten perdoren perdoren numerimin numerimin pra cdo cdo pakete pakete pasardhes pasardhesee kete numer e ka te rritur me nje . Ndermjet kodeve PN kemi nje oktet te rezervuar dhe nje oktet celes identifikimi . Okteti i celesit te identifikimit permban IV ( 5 bite ),celesin ),celesin ID (6-7 (6-7 bite), bite), dhe nenfusha nenfusha e rezervuar rezervuar (0-4 bite). bite). CCMP perdor keto vlera per te enkriptuar te dhenat dhe MIC. Kombinon adresen e dyte te MPDU dhe fushe e prioriteteve , dhe PN qe te krijoje nje “nonce” per algoritmin CCM . Me pas fut celesin e perkohshem , ”nonce” te krijuar , nje informacion te caktuar te kokes , dhe te dhenat, tek krijuesi i CCM . Krijuesi i CCM originator kthen te dhenat e enkriptuara , dhe nje MIC, i cili kombinohet me koka te pa enkriptuar enkriptuarââ te CCMP CCMP dhe MAC MAC dhe nje kontroll kontroll sekuence sekuence per transmetim. transmetim. • • •
3.3 Konfigurimi i sherbimit WEP ose ose WPA ne Windows Windows XP Sherbimi wireless eshte i integruar ne Windows XP dhe mund te konfigurohet shpejt mepermjet “Windows XP automatic networking Setup”. Ajo qe kerkohet eshte nje adapter wireless 802.11g ose 802.11b. (Konfigurimi do kryhet ne nje laptop me sistem operues Windows XP) Instalimi i nje “Wireless Adapter” 1. Vendosim adapter-in adapter-in wireless 802.11b ne slot-in PCMCIA. PCMCIA. 2. Ne menyre automatike fillon “wireless configuration wizard” 3. Pas perfundimit te tij, kompjuteri eshte gati te lidhet ne rrjet. Lidhja ne Rrjet Windows XP ne menyre automatike kerkon per pika aksesi te pranishme, meqense jemi pozicionuar brenda hapsires se mbulimit. Per te pasur nje siguri minimale perdoret nje çeles WEP ndaj ky çeles enkriptimi duhet konfiguruar ne menyre manuale tek klienti, pra laptop-i qe po perdorim. 1. Klikojme Start, Control Panel, Network Connections. Klikojme me te djathte tek “Wireless Network Connection” dhe zgjedhim Properties.(figura 1)
Figure 1 2. Klikojme tek tab-i “Wireless Networks” (figura 2)
Figure 2 3. Tek “Preferred networks” (rrjetet e preferuar) zgjedhim LUWLAN (emri i rrjetit - SSID), emer te cilin e kemi percaktuar ne fillim. Ne figuren 3, zgjedhim opsionin “Data Encryption” (WEP enabled). Tek opsioni “Network Authentication” percaktojme percaktojme emrin e çelesit çelesit te rrjetit, rrjetit, “Network “Network key”.
Figure 3 Pas perfundimit te wizard kompjuteri eshte i gatshem te perdore sherbimin Wireless LAN.
3.4 Implementimi i nje nje rrjeti te sigurte 802.11b WLAN Kemi zgjedhur standartin wireless 802.11b, sepse ofron cilsi te larte lidhjeje dhe premton te permisoje aksesin dhe sigurine ne keto rrjete. Zevendesimi i plote i nje rrjeti kabellor LAN me nje rrjet wireless nuk perben nje domosdoshmeri. Ajo qe sot shume kompani mund te bejne eshte ngritja e nje rrjeti dual, LAN dhe WLAN. Nje arsye per kete eshte throughput-i throughput-i prej 11 Mbps i 802.11 WLAN, shume me i ulet se 100 Mbps i rrjeteve kabellor LAN.
3.4.1 Instalimi i WLAN te sigurt Per te pasur rezultate sa me te kenaqshme do te ndjekim nje strategji qe konsiston ne inspektimin e hapsires se mbulimit, perzgjedhjen e tipit te pikave te aksesit dhe lidhjen me rrjetin kabellor.
Hapi 1: Inspektimi i hapsires se mbulimit
Askush nuk mund te percaktoje saktesisht se si rrjeti wireless do te operoje ne çdo situate, ndaj inspektimi i hapsires se mbulimit eshte i domosdoshem per nje implementim te sakte te WLAN. Kompleksiteti i ketij inspektimi varet nga natyra e rrjetit qe duhet projektuar dhe karakteristikat fizike te tij. Kanale Kanale te limituar limituar . 802.11b ofron tre kanle qe nuk mbulojne njeri-tjetrin. Per te evituar nderhyrjet, dy pajisje AP te aferta nuk duhet te perdorin te njejtin kanal komuni komuniki kimi mi.. Pra Pra insp inspekt ektimi imi duhet duhet te perfs perfshij hijee perc percat atak akti timi min n e kana kanale leve ve te komuni komuniki kimi mitt per per te gjith gjithaa pikat pikat e akses aksesit it,, nese nese nuk ofro ofrohet het nje menyr menyree per per percaktimin percaktimin automatik automatik te tyre. Identifikim Identifikimii i rreziqeve rreziqeve.. Inspektimi yne duhet te shqyrtoje mundesine qe ata qe ndodhen jashte nderteses mund te aksesojne WLAN-in. Ne rrastin e rrjeteve wireless nje hacker majfton hacker majfton te ndodhet ne hapsiren qe mbulohet nga pikat e aksesit, per te kapur sinjalin sinjalin WLAN. WLAN. Perdorimi Perdorimi i antenave antenave drejtuese drejtuese mund te zvogeloje zvogeloje shperndarjen e radio-valeve dhe te minimizoje rrezikun, por nuk e eleminon tersisht ate. Kjo sepse hacker-at nga ana e tyre mund te perdorin antena te fuqishme per kapur sinjalet wireless. Nderfaqja Nderfaqja RF (frekuence RF (frekuence radio). Disa elemente te zakonshem te ndertesave mund mund te inter interfe fero rojn jnee ne sinj sinjali alin n e nje nje pike pike akse aksesi si,, ndaj ndaj shqyrt shqyrtoj ojme me situa situata tatt e meposhtme qe krijojne probleme ne depertimin e valeve radio: - Dhomat me kondicionere me motorre te fuqishem - Furrat me mikrovale - Ashensoret - Metalet dhe materialet e tjera te ketij lloji
3.4.2 Mbrojtja e WLAN Mbrojtja e WLAN bazohet ne metodat e meposhtme te cilat edhe pse nuk rezultojne efikase ne te gjitha situatat, perbejne nje fillim te mire. Nuk duhet t`ia besojme besojme enkriptim enkriptimin in vetem WEP WEP . WEP ofron mbrojtje te thjeshte kunder sulmeve te zakonshme. Per tu mbrojtur prej hackers, hackers, duhet te kombinojme WEP me VPN-te apo standarte te tjera enkriptimi gje qe rezulton ne nje mbrojtje me te forte.
Veçojme rrjetin wireless. wireless . Nje WLAN nuk eshte po aq i sigurte sa nje LAN kabellor. Nuk duhet te lejojme paketat te kalojne direkt midis mjediseve wireless dhe kabellor, por duhet te vendosim firew vendosim firewall te brendshem ndermjet LAN dhe all te WLAN, dhe te kerkojme enkriptim dhe identifikim te forte perpara se te lejojme paketat paketat te shkembeh shkembehen en ndermj ndermjet et tyre. tyre. Nderrim Nderrim i shpeshte shpeshte i çelesa çelesave ve te enkriptim enkriptimit it WEP WEP . Kjo nuk i mbron çelesat WEP sepse nje hacker mund hacker mund ti zbuloje ato brenda disa oreve, por nderrrimi i shpeshte i tyre siguron qe nje rrjet i kompromentuar te mos qendroje i tille per nje kohe te gjate. Kjo zgjidhje eshte e veshtire sepse kerkon update te çdo pike aksesi dhe wireless NIC. Standarti WPA kujdeset per ndryshimin automatike te ketyre çelesave. Kufizim Kufizim i sinjali sinjalitt jashte jashte hapsire hapsire se se sherbimt sherbimt . Gjate vendosjes se pikave te aksesit brenda nje ndertese, duhet kujdesur qe sinjali te mbuloje gjithe zonen, por per aq sa eshte eshte e mundur mundur te pengohet pengohet edhe trafiku jashte saj. Ndryshimi Ndryshimi i password-ev password-evee dhe adresave adresave IP default default . Ndryshimi i tyre eshte nje praktike e mire sepse pikat e aksesit permbajne web servera te inkorporuar me nderfaqe per administrimin e tyre. Nese nuk ndryshohen vlerat default, nje hacker mund te aksesoje nderfaqen e administrimit me ndihmen e nje web browser-i. Eleminim Eleminimii i pikave pikave te paautorizua paautorizuara ra te aksesit aksesit . Me dedektimin e pikave te tilla duhet bere menjehere eleminimi i tyre nga rrjeti.
3.4.3 VPN-te dhe siguria e WLAN Nje VPN VPN (virtual (virtual private network) network) mundeso mundeson n perdoruesit perdoruesit e nje rrjeti rrjeti publik siç eshte Interneti ose nje rrjeti WLAN, te vendosin lidhje te sigurta me nje rrjet privat. VPN mbron rrjetin wireless wireless LAN LAN permes permes krijimit krijimit te nje tuneli qe siguron siguron te dhenat nga aksesimi i paautorizuar i tyre. VPN-te sigurojne nivel te larte besueshmerie besueshmerie permes permes perdorimit perdorimit te teknologjive teknologjive standarte standarte te sigurise, sigurise, si IPSec IPSec (Internet protocol security). IPSec perdore algoritme te forte per sigurimin e te dhenave dhe çertifikata dixhitale per verifikimin e çelesave publik. Perdorimi i VPN-ve per minimizimin e rreziqeve te WLAN, do te vazhdoje derisa vete pikat e aksesit te sigurojne nje proçes te besueshem identifikimi dhe enkriptimi. Kjo mund te ndodhe ne te ardhmen me implementimin e standarteve te tjere 802.11, siç eshte standarti 802.11i me sistemin e enkriptimit te avancuar AES.
Autorizim dhe identifikim duke perdorur sherbimin RADIUS RADIUS Ne menyre menyre qe identifiki identifikimi mi i klientev klientevee WLAN WLAN te funksionoj funksionoje, e, transmeti transmetimet met e nje perdoruesi duhet te kalojne permes nje pike aksesi WLAN per te arritur ne serverin qe realizon identifikimin. Menyra standarte e veprimit ne WPA dhe 802.11i eshte perdorimi i identifikimit 802.1X ne nje server RADIUS. Siç tregohet ne figuren 2-9, klienti kontakton piken e aksesit, e cila do komunikoje me pas me serverin RADIUS. Serveri RADIUS verifikon kredencialet e klientit per te percaktuar percaktuar nese nese pajisja pajisja e tij duhet duhet lejuar lejuar te lidhet me rrjetin. rrjetin. Nese pajisja e klientit klientit pranohet, pranohet, serveri serveri RADIU RADIUS S dergon dergon te dhena, duke perfshire perfshire çelesat çelesat e sigurise te pikes se se aksesit aksesit per te mundesuar mundesuar nje lidhje lidhje te sigurte me klientin. klientin.
Figura 3-2. Skema mesazheve per per identifikimin e nje klienti
Figura 3-3. Rrjeti WLAN WLAN qe perfshin VLAN, VLAN, DHCP, VPN dhe serverin e identifikimit
4. EAP-TLS (Transport Layer Security) TLS (Transport Layer Security) eshte pasardhes i SSL (Secure Sockets Layer) , te cilet jane protokolle kriptografike per ruajtjen e integritetit te te dhenave per komunikimin ndermjet rrjetave si psh Internet Interneti. i. TLS dhe SSL enkriptojne segmente te lidhjeve ne shtresen e transportit . Disa versione te protokollit jane perhapur nre aplikime te ndryshme si kerkuesit e web-it, web-it, posta elektronike,faksi elektronike, mesazhet direkte dhe voice-over-IP (VoIP). (VoIP).
Protokollet e Internetit Shtresa e Aplikimit
BGP · DHCP · DNS · FTP · GTP · HTTP · IMAP · IRC · MGCP · NNTP · NTP · POP · RIP · RPC · RTP · RTSP · SDP · SIP · SMTP · SNMP · SOAP · SSH · Telnet · TLS/SSL · XMPP · (etj) Shtresa e Transportit
TCP · UDP · DCCP · SCTP · RSVP · ECN · (etj) Shtresa e Internetit
IP (IPv4, IPv6) · ICMP · ICMPv6 · IGMP · IPsec · (etj) Shtresa e Linkut
ARP · RARP · NDP · OSPF · Tunnels (L2TP) · PPP · Media Access Control (Ethernet, MPLS, DSL, ISDN, FDDI) · (etj)
4.1 Pershkrim i protokollit Protkolli Point-to-Point (PPP) mundeson metoden standarte per transportimin datagrameve multi-protokoll nepermjet lijnave point-to-point. PPP percakton edhe nje zgjerim me emrin LCP (Link Control Protocol), qe perdoret per te shkembyer metodat e identifikimit, gjithashtu kemi edhe nje ECP (Encryption Control Protocol), qe perdoret per shkembimin shkembimin e enkritimit enkritimit te te te dhenave, dhenave, dhe nje CCP CCP (Compression (Compression Control Control Protocol Protocol), ), qe perdoret per shkembimin e metodave metodave te kompresimit. EAP (Extensible Authentication Protocol) eshte nje zgjerim i PPP qe mundeson disa metoda shtese per identifikimi brenda PPP. TLS (Transport Level Security) mundeson nje identifikim te ndersjellte, mbrojtjen e integritetit te shkembimit te setit te shifrave dhe shkembimit te celsave ndermjet klientit dhe serverit.
EAP (Extensible Authentication Protocol),mundeson nje mekanizem standart qe suporton metoda shtese brenda PPP.Nepermjet perdorimt te EAP mund mund te shtojme nje numer skemash identifikimi, duke perfshire kartat smart ,Kerberos, celesat Publik, Passwordet me nje mundesi, dhe te tjere. Ne ditet e sotme,metodat EAP jane fokusuar ne identifikimin e klientit tek nje server. Sidoqofte, identifikimi i ndersjellte mund te jete me i deshirueshem, duke presupozuar presupozuar qe protokollet protokollet e mesiperme mesiperme perdorin perdorin nje celes celes sesionesh sesionesh , meqe eshte eshte e volitshme te kemi nje mekanizem per vendosjen e celesave te sesioneve. perderisa synimi i protokolleve protokolleve eshte menaxhimi menaxhimi i celesave celesave te sigurise, sigurise, eshte eshte e deshirueshme deshirueshme shmangia shmangia e krijimit te mekanizmave te rinj. Protokolli EAP i pershkruar meposhte mundeson qe nje klient qe perdor PPP avantazhohet nga sherbime si,shkembimi i setit te shifrave ne menyre te mbrojtur, identifikimi te ndersjellte dhe menaxhimi i celesave,mundesi qe i shtohen nga protokolli protokolli TLS. Protokolli TLS mundeson qe aplikimet klient/server te komunikojne nepermjet nje rrjeti ne menyre te qe te parandaloje pergjimin, modifikimin dhe fallsifikimin e mesazheve. Ofron identifikimin e klientit dhe besueshmeri ne komunikimet e bera nepermjet Internetit duke perdorur kriptografine. Nje perdorim perdorim tipik tipik eshte eshte browseri browseri i klientit, klientit, identifikim identifikimii TLS eshte eshte unilateral : vetem serveri identifikohet (klienti identifikohet (klienti merr identitetin e serverit), por nuk ndodh e anasjellta ( klienti mbetet i paidentifikuar ose anonym). Identifikimi i serverit do te thote disa gjera per browserin browserin e klientit. klientit. Ne Ne nivelin nivelin e browserit browserit , kuptimi kuptimi i vetem vetem eshte verifikim verifikimii i certifikates se serverit ,p.sh. verifikon firmen digjitale te certificates se serverit duke perdorur zinxhirin-CA zinxhirin-CA (zinxhir (zinxhirii i Autoritete Autoriteteve ve te Certifikim Certifikimit it qe garantojne garantojne lidhjen lidhjen e informacionit te identifikimit me celesat publike PKI ( public public key key infrastructu infrastructure re)) )) . pasi eshte verifikuar, browseri shfaq nje ikone sigurie. Por verifikimi i thjeshte nuk identifikon serverin tek klienti . Per nje identifikim te vertete , ai mbeshtetet vetem tek klienti qe te jete i kujdesshem kujdesshem ne vezhgimin vezhgimin me kujdes kujdes te informacio informacionit nit qe permbahet permbahet ne certifikaten certifikaten e serverit . Ne vecanti ikona e sigurise tek browseri nuk ka lidhje me URL, DNS DNS adresen IP te serverit. Lidhja mund te arrihet e sigurt vetem ne rastin kur URL, emri DNS ose adresa IP eshte e specifikuar ne certifikaten e serverit . Sitet fallco nuk mund te perdorin nje certificate te nje siti tjeter sepse nuk dine menyren e enkriptimit te transmetimeve ,per dekriptimin e te dhenave duhet te perdoret nje certificate e vlefshme . Meqe vetem nje CA e besushme mund te lidhet me nje URL ne certifikate, kjo siguron se vetem kontrolli i URL se shfaqur me URL e specifikuar ne certificate eshte nje menyre e vlefshme per te identifikuar sitin e vertete . TLS gjithasht suporton nje menyre me te sigurt te quajtur menyra e lidhjes bilaterale (zakonisht e perdorur ne aplikimet e ndermarrjeve te ndryshme ),Ne kete rast te dy “bashkebiseduesit” mund te sigurohen se me ke jane duke komunikuar . Kjo eshte e njhur si identifikim i dyfishte . Identifikimi i dyfishte kerkon qe pjesa e klientit
te permbaje nje certifikate (qe nuk eshte e zakonshme per klientet e nje browseri ). Vetem kur perdorim, TLS-PSK , protokollin SRP (Secure (Secure Remote Password) Password) ose ndonje protokoll tjeter qe mundeson identifikim te dyfishte ne mungese te certifikatave . TLS perfshin 3 faza baze: • • •
Shkembimi me klientin per algoritmin qe suporton Shkembimin e celesave dhe identifikim Shifra simetrike per enkriptim dhe mesazhet e identifikimit
Gjate fazes se pare klienti dhe serveri shkembejne kompletinipher e shifrave , te cilat percaktojne shifrat qe do te perdoren , shkembimi i celesave dhe algoritmat e identifikimit, gjithashtu edhe mesazhet e identifikimit te kodeve MAC (message (message authentication codes) codes) . Shkembimi i celesave dhe algoritmave te identifikimit jane celesa publik algoritmik, algoritmik, ose ne TLS-PSK celesa TLS-PSK celesa te shkembyer perpara se te perdoren . MAC-et jane te bera bera nga perzierja perzierja e funksioneve funksioneve kriptografik kriptografik pra duke perdorur perdorur HMAC per HMAC per ndertimin e TLS, nje funksion jo standart pseudo i rastesishem per SSL. Algoritmat me tipike jane: • • •
•
Per shkembimin e celesave: RSA, RSA, Diffie-Hellman, ECDH, ECDH, SRP, SRP, PSK Per identifikim: RSA, RSA, DSA DSA,, ECDSA Shifrat simetrike: RC4, RC4, Triple DES, AES, AES, IDEA, IDEA, DES, DES, ose Camellia. Camellia. Ne versionet me te vjetera te SSL, SSL, perdorej RC2 . Per perzierjen e funksioneve kriptografike: HMAC-MD5 ose HMAC-SHA jane perdorur per TLS, TLS, MD5 dhe SHA per SSL, ndersa versione me te vjetra te SSL kane perdorur MD2 perdorur MD2 dhe MD4. MD4.
Zakonisht, informacioni i celesave dhe certifikatave te nevojshem per TLS jane vendosur ne formen e certifikates X.509 , qe pecakton fushat e kerkuara dhe formatet e te dhenave .
3. Shikim i pergjithshem i protocollit
3.1. Shikim i pergjithshem i transmetimeve EAP-TLS Transmetimet EAP-TLS zakonisht fillojne me identifikuesin AP (Access Point) dhe klientin te cilet shkembejne paketa EAP. Identifikuesi do te dergoje nje pakete EAP-
kerkoj/identitet klientit, dhe klienti do te pergjigjet me nje pakete EAP-pergjigje/identitet identifikuesit, ku kjo pakete do te permbaje identitetin e klientit.
Qe nga ky cast e me tej, ku transmetimet EAP do te behen ndernjet serverit dhe klientit, identifikuesi luaje rolin e nje paisjeje kalimi te paketave EAP qe dergon klienti te cilat enkapsulohen per transmetim drejt nje serveri RADIUS ose nje serveri fundor qe ka per qellim qellim sigurine. sigurine. Ne pershkrim pershkrimin in qe do te te bejme meposhte, meposhte, ne do te perdorim perdorim termin termin "serveri EAP" qe te percaktojme serverin me te cilin klienti do te transmetoje. Pasi marrim identitetin e klientit, serveri EAP duhet te pergjigjet me nje pakete EAP-TLS/fillo , qe eshte nje pakete EAP-kerkoj EAP-Tip=EAP-TLS, bitin fillo 1 (S) dhe pa te dhena. dhena. Qe nga ky ky cast fillon fillon "biseda" "biseda" EAP-TLS EAP-TLS , me klientin klientin qe dergon dergon nje pakete pakete EAP-pergjigje dhe EAP-Tipi=EAP-TLS. Fusha e te dhenave e kesaj pakete do te enkapsuloje nje ose me shume rekorde TLS te cilat permbajne mesazhin TLS te fillimit te transmetimit te klientit. Shifra korrente e specifikuar per rekordet TLS do te jete TLS_NULL_WITH_NULL_NULL dhe pa compression. Kjo shifer korrente e specifikuar mbetet e tille deri ne mesazhin ndrysho_shifren_e_specifikuar. Mesazhi i fillimit fillimit te transmetimit i klientit permban numrin versionin versionin te TLS , nje identifikim te sesionit , nje numer te rastesishem, dhe nje set shifrash qe suportohen nga klienti. Versioni i ofruar nga klienti duhet te korrespondoje te TLS v1.0 ose me te ri. Serveri EAP do te pergjigjet me nje pakete EAP-kerkoj EAP-kerkoj me EAP-Tipi=EAP-TLS. Fusha e te dhenave e kesaj pakete do te enkapsuloje nje ose me shume rekorde TLS. Keto rekorde do te permbajne mesazhin TLS te fillimit te transmetimit te serverit, zakonisht e ndjekur nga certifikata TLS , shkembimi_i_celesit_te_serverit, kerkoj_certifikate, dhe/ose mesazhet per mbarimin e transmetimit te serverit, dhe/ose nje mesazh TLS ndrysho_shifren_e_specifikuar. Mesazhi i fillimit te transmetimit permban numrin e versionit TLS, nje tjeter numer i rastesishem, nje identifikim te sesionit,dhe nje set shifrash. Versioni i ofruar nga serveri duhet te korrespondoje te TLS v1.0 ose me te ri. Ne qofte qofte se indentifikue indentifikuesi si i sesionit eshte 0 ose ose i panjohur nga serveri, serveri, serveri duhet te zgjedhe nje identifikues sesioni ne menyre qe te nise nje session i ri, perndryshe identifikuesi i sesionit jete i barabarte me ate te ofruar nga klienti, qe tregon rifillimin e nje sesioni te vendosur me perpara me ate identifikues sesioni. Serveri, gjithashtu do te zgjedhe setin e shifrave ndermjet atyre atyre te ofruara nga klienti, por ne qofte se kemi rifillimin rifillimin e nje sesioni te meperparshem, atehere seti i shifrave duhet te jete i barabarte barabarte me ate te shkembyer shkembyer gjate sesionit sesionit te meperpar meperparshem. shem. Qellimi i identifikuesit sesionit brenda protokollit TLS eshte qe te arrije nje efektshmeri te larte ne rastin kur nje klient kerkon ne menyre menyre te perseritur te identifikohet nga nje server EAP brenda nje kohe te shkurter. Gjate zbulimit te ketij modeli per perdorimin perdorimin per identifi identifikim kim me ane ane te HTTP HTTP , gjithashtu gjithashtu kemi aplikacione aplikacione per identifikimin me ane te PPP (p.sh. multilink). Si rezultat, lihet ne dore te klientit ne qofte se kerkoje te vazhdoje nje
sesion te meperparshem, duke shkurtuar "bisedat" TLS . Ne menyre tipike vendimi i klientit do te behet bazuar brenda nje kohe te caktuar duke ju referuar perpjekjes se fundit per tu identifikuar tek ai server EAP . Bazuar ne identifikuesin e sesionit te zgjedhur nga klienti, dhe koha e e kaluar qe nga identifikimi i i meperparshem, serveri EAP server do te vendose nese do te lejoje vazhdimin, apo apo do te zgjedhe krijimin e nje sesioni te ri. Ne rastin rastin kur serveri serveri EAP dhe identifikue identifikuesi si jane ne te te njejten njejten paisje, atehere klienti mund te vazhdoje sesionin vetem ne rastin kur rilidhet me te njejtin server NAS ose tunel . A duhet qe keto paisje te lidhen ne topologjine ring apo round-robin atehere edhe klienti mund te mund te parashikoje se me cilin identifikues po lidhet , e keshtu pra edhe cilin identifikues sesioni po kerkon te riperdore . Si rezultat , mundesia me e madhe e kesaj metode eshte nje deshtim ne rastin kur duam te riperdorim sesionin e meperparshem . Ne rastin kur identifikuesi EAP eshte i larget (pra identifikuesi i vecuar nga serveri) vazhdimi i lidhjes ka shume mundesi te jete i sukseshem , meqe shume paisje NAS dhe servera tunel do te tejcojne identifikimet e tyre te i njejti server RADIUS . Nese serveri serveri EAP eshte duke duke rifiluar rifiluar nje sesion sesion te vendosur vendosur me perpara , atehere duhet te perfshije mesazhin ndrysho_shifren_e_specifikuar ndrysho_shifren_e_sp ecifikuar dhe mesazhin per mbarimin e transmetimit pas mesazhit te fillimit te te transmetimit . Mesazhi Mesazhi i mbarimit te transmetimit permban pergjigjen e serverit EAP tek klienti. Nese serveri EAP nuk eshte duke rifilluar nje sesion te me perparshem , atehere ai eshte i detyruar te perfshije mesazhin e certifikates_se_s certifikates_se_serverit erverit dhe dhe mesazhi mesazhi i mbarimit mbarimit te te transmetimit transmetimit duhet duhet te jete mesazhi i fundit i enkapsuluar ne paketen EAP-kerko. Mesazhi i certifikates permban nje celes pulik ne formen e zinxhirit te certifikatave ose ne formen e shkembimit te celesave publik (si p.sh. RSA ose Diffie-Hellman shkembim i celesave publik) ose nje firme digjitale e celesit publik (si p.sh. RSA ose firmat e celesave publik DSS). Ne rastin e fundit , nje mesazh per shkembimin_e_celesit_te_serverit duhet te perfshihet ne menyre qe te behet shkembimi i celesave . Mesazhi kerkoj_certifikate eshte i perfshire kur serveri deshiron qe klienti te identifikoje vetveten nepermjet nje celesi publik . Ndersa serveri EAP mund te kerkoje kete lloj identifikimi klientit, por kjo nuk eshte e detyrueshme , meqe ekziston mundesia qe serveri te identifikoje klientin nepermjet menyrave te tjera . Klienti duhet ti pergjigjet kerkeses se serverit me nje pakete EAP-pergjigje . Fusha e te dhenave e kesaj pakete do te enkapsuloje nje ose me shume rekorde TLs te cilet permbajne mesazhin ndrysho_shifren_e_specifikuar dhe mesazhin e mbarimit te transmetimit , dhe ne disa raste edhe certifikaten e klientit , dhe mesazhet verifiko_certifikaten dhe/ose shkembe_celesin_e_klientit . Nese mesazhi i lartpermendur i fillimit te transmetimit i derguar nga serveri EAP ne paketen EAP-
kerko tregon rifillimin e nje sesioni te meperparshem , atehere klienti duhet te dergoje vetem mesazhet ndrysho_shifren_e_specifikuar ndrysho_shifren_e_sp ecifikuar dhe mesazhin e mbarimit te transmetimit. Mesazhi i mbarimit te transmetimit permban identifikimin e klientit si pergjigje pergjigje per serverin serverin EAP EAP . Nese mesazhi mesazhi i lartperm lartpermendur endur i fillimi fillimitt te transmetim transmetimit it i derguar derguar nga serveri serveri EAP ne paketen EAP-kerko nuk tregon rifillimin e nje sesioni te me perparshem , atehere klienti duhet te dergoje, si shtese e mesazheve ndrysho_shifren_e_specifikuar dhe ate te mbarimit te transmetimit , nje mesazh shkembe_celesin_e_klientit ,i cili kompleton shkembimin e celesit master te shkembyer ndermjet klientit dhe serverit EAP . Nese serveri EAP dergon nje mesazh kerkoj_certifikate ne paketen EAP-kerko EAP-kerko te te lartpermendur, lartpermendur, atehere klienti klienti duhet duhet te dergoje dergoje shtese mesazhet e certifikates dhe verifiko_certifikaten. Formulari permban certifikaten e firmes se celesit publik te klientit, ndersa mesazhi i fundit permban pergjigjen e klientit per identifikimin tek serveri EAP . Pas marrjes se kesaj pakete serveri EAP do te verifikoje certifikaten dhe firmen digjitale te klientit, nese kerkohet . Nese identifiki identifikimi mi i klientit klientit nuk eshte i sukseshem sukseshem ,serveri ,serveri EAP EAP mund te te dergoje dergoje nje pakete EAP-kerko EAP-kerko packet , ne te cilen cilen enkapsulohet enkapsulohet nje rekord rekord TLS qe qe permban permban mesazhin me alarmin e duhur per kete rast . Serveri EAP mund te dergoje menjehere mesazhin alarmues me mire mire se te perfundoje menjehere menjehere "bashkebisedimin" ne menyre qe te lejoje klientin te informohet per shkakun e deshtimit dhe mundesisht te lejoje rifillimin e "bashkebisedimit" . Qe te sigurohet marrja e mesazhit te alarmit nga klienti , serveri EAP duhet te prese per pergjigjen pergjigjen e klientit klientit me nje pakete pakete EAP-pergj EAP-pergjigje igje . Paketa Paketa EAP-pergjigj EAP-pergjigjee e derguar derguar nga klienti mund te enkapsuloje nje rekord TLS qe permban mesazhin e fillimit te transmetimit te klientit , ne kete rast serveri EAP mund mund te lejoje bashkebisedimin qe te rifilloje , ose mund te permbaje nje pakete EAP-pergjigje pa te dhena , ne kete rast serveri EAP duhet te dergije nje pakete EAP-deshtim dhe te perfundoje bashkebisedimin Pra eshte ne dore te serverit EAP nese do te lejoje rifillimin , dhe nese kjo ndodh , sa here mund te rifillohet bashkebisedimi . Nje server EAP qe implementon mundesine e rifillimit te bashkebisedimit mund te vendose nje limit per numrin e rifillimeve , ne menyre qe te mbrohet nga sulmet DoS (denial of service) . Nese identifiki identifikimi mi i klientit klientit eshte eshte i sukseshem sukseshem , serveri serveri EAP duhet te pergjigjet pergjigjet me nje pakete EAP-kerk EAP-kerko o , e cila ne rastin e nje sesioni sesioni te ri permban permban nje nje ose me shume rekorde TLS qe permbajne mesazhet ndrysho_shifren_e_specifikuar dhe ate te mbarimit te transmetimit . Ne rastin e fundit permbahet pergjigjia e serverit per identifikimin klientin . Klienti me pas do te verifikoje funksionin perzieres ne menyre qe te identifikoje serverin EAP.
Ne qofte qofte se nuk arrihet arrihet identifiki identifikimi mi i serverit serverit , klienti klienti mund mund te dergoje dergoje nje pakete EAP-pergjigje qe permban nje mesazh alarmi duke treguar shkakun pse deshtoi identifikimi . Klienti mund te dergoje nje mesazh alarm me mire te perfundoje menjehere bashkebisedimin bashkebisedimin pra pra duke lejuar lejuar serverin serverin EAP qe te krontolloje krontolloje shkakun shkakun e gabimit gabimit ne menyre qe te analizohet nga administratori i sistemit . Qe te sigurohet marrja e mesazhit te alarmit nga serveri EAP , klienti duhet te prese per pergjigjen pergjigjen nga serveri serveri EAP EAP perpara perpara se te perfundoje perfundoje bashkebise bashkebisedimin dimin . Serveri Serveri EAP duhet te pergjigjet me nje pakete EAP-deshtim meqe deshtimi ne identifikim i serverit eshte nje kusht perfundimtar . Nese serveri serveri EAP identifikohet identifikohet ne menyre menyre te te sukseshme , atehere atehere klienti duhet te dergoje nje pakete EAP-pergjigje e tipit EAP-TLS dhe pa te dhena . Serveri EAP duhet te pergjigjet pergjigjet me nje mesazh EAP-Sukes EAP-Sukes .
3.2. Perseritja e paketave Si edhe ne protokollet e tjere ,serveri EAP eshte pergjegjes perseritjet e paketave. Kjo do te thote se kur serveri EAP nuk merr nje pergjigje nga klienti , atehere ai duhet te ridergoje paketen EAP-kerko per te cilen nuk kemi akoma marre nje pakete EAP pergjigje pergjigje . Sidoqofte Sidoqofte , klienti klienti nuk duhet duhet te ridergoj ridergojee paketen paketen EAP-pergjigje EAP-pergjigje packets packets pa u nxitur me pare nga serveri EAP . Per shembull , nese paketa EAP-TLS per fillimin e transmetimit e derguar nga serveri EAP do humbiste , atehere klienti nuk do te merrte kete pakete , dhe nuk do ti pergjigjej asaj . Si rezultat , paketa e fillimit te transmetimit do te ridergohet nga serveri EAP EAP . Njehere qe klienti merr merr kete pakete ,ai do te dergoje nje pakete EAP pergjigje pergjigje duke enkapsuluar enkapsuluar mesazhin mesazhin e fillimit fillimit te transmet transmetimit imit . Nese Nese paketa EAP pergjigje pergjigje do te humbiste humbiste , atehere atehere serveri serveri EAP EAP mund te ridergoje ridergoje paketen paketen e fillimit fillimit te transmetimit , dhe klienti do te ridergonte paketen EAP-pergjigje. Si rezultat , eshte e mundur qe klienti te marre paketen EAP-pergjigje te dubluar, dhe mund te dergoje paketen EAP-pergjigje te dubluar. Qe te te dy bashkebiseduesit bashkebiseduesit (klienti (klienti dhe serveri serveri EAP)duhet EAP)duhet te kene kene nje inxhinier inxhinier qe te te merret merret kete rast .
Protokolli i rekordeve TLS Ky eshte formati i pergjithshem per rekordet TLS.
+ Byte
Byte +0 Tipi i permbajtjes
Byte +1
Byte +2
Byte +3
me
0 Bytet 1..4 Bytes 5..(m-1) Bytes m..( p-1) Bytes p..( q-1)
Versioni (i avancuar)
Gjatesia ( i vjeter)
(bitet 15..8)
(bitet 7..0)
Mesazhet e Protokollit MAC (opsional) bllok qe perdoret perdoret vetem per shifrat
Tipi i permbajtjes Kjo fushe percakton tipin e protokollit te shtreses se rekordeve qe permbahet ne kete record . Tipi i permbajtjes Hex Dec Tipi 0x14 0x14 20 Ndry Ndrysh sho o shif shifre ren n e spec specif ifik ikua uar r 0x15 21 Alarm 0x16 22 Transm nsmetim 0x17 23 Aplikim Versioni Kjo fushe percakton versionin e TLS . Per mesazhin e fillimit te transmetimit klientit , ky numer duhet duhet te jete me i larti qe suporton klienti .
Versionet Version i Version Version Type avancuar i vjeter 3 0 SSLv3 3 1 TLS 1.0 3 2 TLS 1.1 3 3 TLS 1.2
Gjatesia Gjatesia e protokollit te te mesazheve , nuk duhet te kaloje 214 bytes (16 KiB). Protokolli i mesazhit Nje ose disa disa mesazhe mesazhe te percaktuar percaktuar nga nga fusha e protokoll protokollit it . Vini re se kjo fushe mund te enkriptohet ne varesi tegjendjes se lidhjes . MAC
te
Nje MAC( MAC( message authentication code) code) i llogaritur nepermjet protokollit te mesazhit, dhe shtese jane te perfshira materialet celes . Vini re se kjo fushe mund te enkriptohet , ose jo e perfshire komplet komplet , ne varesi te gjendjes se lidhjes . Asnje MAC nuk mund te jete prezent ne fund te rekordeve TLS perpara se te gjitha shifrat , algoritmat dhe parametrat te jene shkembyer , dhe me pas konfirmuar duke derguar mesazhin ndrysho_shifren_e_specifikuar , kjo per sinjalizimin e ketyre parametrave parametrave ne menyre menyre qe te ndikojne ndikojne ne rekodet rekodet qe do dergohen dergohen ne vazhdim nga i njejti klient.
Protokolli i fillimit dhe mbarimit te transmetimit Pjesa me e madhe e mesazheve te shkembyera gjate krijimit te sesionit TLS jane te bazuara ne kete rekord rekord , pervec pervec rastit kur kur dergohet dergohet nje gabim gabim ose nje nje alarm dhe sinjalizime sinjalizimett per kete rast rast behen nga protokolli protokolli i Alarme Alarmeve ve , ose menyra menyra e enkriptime enkriptimeve ve te sesionit sesionit modifikohet nga protokolli Ndrysho_Shifren_e_Specifikuar .
+ Byte 0 Bytet 1..4 Bytet 5..8 Bytet 9..(n-1) Bytet n..(n+3) Bytet (n+4)..
Byte +0
Byte +1
Byte +2
Byte +3
22 Versioni (i avancuar)
Tipi i Mesazhit
Gjatesia (i vjter)
(bitet 15..8)
(bitet 7..0)
Gjatesia e mesazhit (bitet 23..16)
(bitet 15..8)
(bitet 7..0)
Te dhenat e mesazhit Tipi i Mesazhit
Gjatesia e te dhenave te mesazhit (bitet 23..16)
(bitet 15..8)
Te dhenat e mesazhit
Message type This field identifies the Handshake message type. Tipi i Mesazhit Kodi Pershkrimi 0 KerkoHello 1 KlientHello 2 ServerHello 11 Certifikate 12 Server verShke hkembeCe eCelesat sat 13 KerkoCertifikate 14 ServerHelloMbaroi 15 Verifiko fikoC Certifika ikaten ten
(bitet 7..0)
16 20
Klient ientS Shke hkembeC beCeles elesat at Mbaroi
Gjatesia e te dhenave te mesazhit Kjo eshte nje fushe 3-byteshe qe tregon e te dhenave te mesazhit , duke mos perfshire perfshire koken e mesazhit mesazhit .
Protokolli i Alarmit Ky rekord nuk dergohet gjate nje bashkebisedimi normal apo gjate shkembimeve . Sidoqofte , ky mesazh mund te dergohet gjate te gjithe kohes se bshkebisedimit dhe gjate mbylljes se nje sesioni . Nese perdoret per te sijnalizuar nje gabim fatal , sesioni do te mbyllet menjehere mbas drgimit te ketij rekordi, pra ky rekord perdoret per te dhene nje arsye per mbylljen e sesionit . Kur niveli i alarmit eshte ne nivel lajmerimi , serveri mund te vendose te perfundoje sesionin ne rastin kur sesioni nuk eshte mjaftueshem i besueshem .
+ Byte 0 Bytet 1..4 Bytet 5..6 Bytet 7 .. ..( p-1) Bytet p..( q-1)
Byte +0
Byte +1
Byte +2
Byte +3
21 Versioni
Gjatesia
(i avancuar)
()
0
Niveli
Pershkrimi Pershkrimi
2
MAC (optional) Bllok vetem per shifrat
Niveli Kjo fushe percakton nivelin e alarmit . Nese niveli eshte fatal , derguesi duhet te perfundoje perfundoje sesionin menjehere menjehere . Perndryshe Perndryshe , marresi marresi mund mund te vendose vendose te perfundoje perfundoje sesionin vete , duke derguar alarmin alarmin fatal dhe dhe perfunduar perfunduar sesionin sesionin menjehere pas dergimit te tij. Perdorimi i rekordeve alarm eshte opsional, sidoqofte nese mungon perpara mbylljes se nje sesioni, sesioni mund te rifilloje automatikisht . Mbyllja normale e nje sesioni pas perfundimit aplikimi i klientit preferohet te lajmerohet me te pakten nje pakete Lajmer pakete Lajmero o Mbylljen Mbylljen e tipit Alarm (me nje nivel lajmerimi te thjeshte ) ne menyre qe te parandaloje rifillimin e nje sesioni te ri automatikisht . Sijnalizimi eshte menyra normale e mbylljes se nje sesioni te sigurt perpara se te mbyllet mbyllet realisht realisht shtresa shtresa e tij e transportit transportit perdoret perdoret per te parandaluar parandaluar sulme te mundeshme .
Tipet e Nivelit te alarmit
1
Tipi i nivelit lajmerim
2
fatal
Kodi
Gjendja e Lidhjes Lidhja ose siguria mund te jete e paqendrueshme. Lidhja ose siguria mund te jene kompromentuar , ose ka ndodhur nje gabim i pakthyeshem .
Pershkrim Kjo fushe se cfare tip alarmi po dergohet.
Kodi 0 10
20 21 22 30 40 41 42 43 44 45 46 47 48
Pershkrimi Lajmerim mbyllje Mesazh i papritur
Rekord i demtuar i MAC Dekriptimi deshtoi Rekord ov overflow Dekompresimi deshtoi Handshake de deshtoi
Alert description types Tipet e nivelit lajmerim or fatal
Shenime
fatal
fatal fatal fatal
Zakonisht nje implementim i keq i SSL se te dhenat jane modifikuar me p.sh. firewall FTP ne nje server FTPS. vetem TLS , rezervuar vetem TLS
fatal
fatal lajmerim Mungo ngon certifikata or fatal Certifikate e lajmerim demtuar or fatal Certifikate qe nuk lajmerim suportohet or fatal lajmerim Certifi ificat cate e anul anullluar or fatal lajmerim Certifikate e sk skaduar or fatal Certificate e lajmerim panjohur or fatal Parameter i palejuar fatal CA e panjohur fatal (Certificate
vetem SSL v3 , rezervuar
vetem TLS
49 50
authority) authority) Akses i mohuar Gabim dekodimi
fatal fatal lajmerim 51 Gabim dekriptimi or fatal 60 Export i kufizuar fatal 70 Version sionii i pro protokol kollit fatal Siguri e 71 fatal pamjaftueshme pamjaftueshme 80 Gabim i brendeshem fatal 90 Anulluar nga klienti fatal 100 Nuk Nuk ka rishk ishkem embi bim m lajmerim 110 Shte Shtese se e jo jo sup supor orttuar uar lajmerim
vetem TLS vetem TLS vetem TLS vetem TLS , rezervuar vetem TLS vetem TLS vetem vetem vetem vetem
TLS TLS TLS TLS
ChangeCipherSpec ChangeCipherSpec protocol + Byte 0 Bytet 1..4 Byte 5
Byte +0
Byte +1
Byte +2
Byte +3
20 Versioni (i avancuar)
Gjatesia (i vjeter)
0
1
Byte +1
Byte +2
Byte +3
Tipi i protokollit CCS
Tipi i protokollit CCS Deri me tani vetem 1.
Protokolli i aplikimit + Byte 0 Bytet 1..4 Bytet 5..(m-1) Bytet m..( p-1) Bytet p..( q-1) Gjatesia
Byte +0 23 Versioni (i avancuar)
Gjatesia (i vjeter)
(bits 15..8)
Te dhenat e aplikimit MAC (opsional) Bllok vetem per shifrat
(bits 7..0)
Gjatesia e te dhenave te aplikimit (duke perjashtuar koken e protokollit , MAC MAC dhe bishtin) MAC 20 byte per SHA-1 per SHA-1-bazuar -bazuar ne HMAC HMAC,, 16 byte per MD5 per MD5-bazuar -bazuar ne HMAC. Shifrat Gjatesi e ndryshueshme ; byte i fundit permban gjatesine e bllokut .
2.6 Permbledhje Projektimi i nje rrjeti wireless nuk eshte nje detyre e thjeshte. Shume atribute te teknologjise wireless duhet te konsiderohen pergjate ketij proçesi. Duhet reflektuar mbi faktin se brenda rrjeteve wireless, atribute si levizshmeria dhe thjeshtesia aksesimit mund te ndikojne ne rrjet per sa i perket kostove dhe funksionimit. Komponentet e nevojshem per implementimin e nje rrjeti WLAN jane; pikat e aksesit, router-at, perseritesit, antenat etj. Keto rrjete mund te kene nje pike te vetme aksesi si ne rastin e zyrave te vogla, deri ne qindra te tilla per mbulimin e nje hapsire gjeografike te gjere.
Perfundime Komunikimet wireless i ofrojne organizatave dhe perdoruesve, perfitime te ndryshme si levizshmeri, fleksibilitet, rritje produktiviteti dhe kosto te reduktuar instalimi. Pajisjet WLAN, per shembull, lejojne perdoruesit qe te levizin me laptopet e tyre brenda ambjenteve te punes pa kabllo dhe pa humbur lidhjen me rrjetin. Rjetet Ad hoc, siç eshte Bluetooth, lejojne sinkronizim te dhenash dhe shkembime te dhenash. Pajisje te tjera si PDA-te dhe celularet lejojne perdorues remote te sinkronizojne te dhena dhe sigurojne akses ne sherbime si e-mail, akses Interneti etj. Megjithate rreziqet do jene perhere te pranishme. Disa prej ketyre rreziqeve jane te ngjashme me ato te rrjeteve kabllor, disa jane te reja dhe disa perkeqsohen perkeqsohen nga vete vete teknologjia teknologjia wireless. wireless.
Projektimi dhe implementimi i nje rrjeti wireless kerkon: • • • • •
Njohjen Njohjen e principe principeve ve te te komunikimi komunikimitt wireless wireless Njohjen Njohjen e fizikes fizikes qe mundeson mundeson komunik komunikimet imet wireless wireless Percaktimin e komponenteve perberes te nje rrjeti wireless Njohjen Njohjen e modele modeleve ve te rrjetit OSI dhe dhe TCP/IP TCP/IP Metodologjite e perdorura per projektim dhe implementim
Ne dhjete vitet e fundit, impakti i komunikimev komunikimevee wireless ne menyren menyren se si njerzit njerzit jetojne dhe bejne biznes eshte tejkaluar tejkaluar vetem nga Interneti. Interneti. Por komunikimet komunikimet wireless jane akoma ne hapat e pare dhe hapat e metejshem do te konsistojne ne zevende zevendesim simin in e infrastr infrastrukt ukture uress tradic tradicion ionale ale te kabellu kabelluar ar dhe impleme implementi ntimin min e infrastrukturave te rrjetit, te cilat me pare vetem mund te imagjinoheshin. Si çdo teknologji teknologji e re edhe wireless wireless nuk ofron nje nivel te pershtatshem pershtatshem sigurie, sigurie, ndaj siguria perben nje sfide per te ardhmen. Kujdes duhet patur qe ne hapat e pare te projektimit te nje rrjeti wireless sepse nje rrjet i projektuar mire eshte nje rrjet me i sigurte. Ne te njejten kohe, sfide per te ardhmen do perbej ulja e kostove te implementimit dhe rritja e bandwith-it.
Referencat Bibliografia Ne punimin punimin e kesaj teme diplome ishte i vlefshem vlefshem konsultimi konsultimi i publikimeve publikimeve te meposhtme.
Christian Barnes, Tony Bautts, Donald Lloyd, Eric Ouellet, Jeffrey Posluns David M. Zendzian, Zendzian, Neal O’Farrell O’Farrell Hack Proofing Your Wireless Network Jeffrey Wheat, Randy Hiser, Jackie Tucker, Tucker, Alicia Alicia Neely, Neely, Andy Andy McCullo McCullough ugh Designing A Wireless Network Jim Geier Geier
Wireless Networks First-Step Tara M. Swaminatha, Charles R. Elden Wireless Security and Privacy, Best Practices and Design Techniques
Dr. Eric Cole, Dr. Ronald Krutz, and James W. Conley Network Security Security Bible 2005 Rob Flickeng Flickenger er Building Wireless Community Networks Frank Ohrtman, Ohrtman, Konrad Konrad Roeder Roeder Building 802.11b wireless networks ROMAN KIKTA, AL FISHER, FISHER, MICHAEL MICHAEL P. COURTNEY COURTNEY Wireless Internet Crash Course
Adresa Interneti http://www.wireless.gr/wireless-links.htm
Liste adresash te ndryshme rreth rrjeteve wireless http://www.wi-fiplanet.com/
Website mbi teknologjine Wi-Fi http://www.wirelessdevnet.com/
Probleme dhe zgjidhje mbi teknologjine wireless http://www.intel.com/solutions/wireless/
“Intel - Wireless solutions” http://howto.gp.mines.edu/HOWTO/Wireless-HOWTO/
Nje trajtim trajtim praktike praktike i aspektev aspektevee kryesore kryesore te teknologji teknologjise se wireless. wireless.
http://www.cnp-wireless.com/
Informacione teknike rreth standarteve dhe teknologjise wireless. http://www.tech-faq.com/wireless-networks.shtml
Informacione rreth aplikacioneve wireless dhe perdorimit te tyre ne te ardhmen. http://www.informationweek.com/
Infor Informa maci cion on mbi rrjet rrjetet et dhe dhe komu komuni niki kime mett wire wirele less ss ne forme forme artik artikuj ujsh sh dhe dhe dokumentash te tjera. http://80211b.weblogger.com/
Cilsite dhe te dhena te tjera mbi standartin 802.11b . http://standards.ieee.org/getieee802
Link mbi standartet IEEE 802.11 http://www.itsecurity.com/
Trajton probleme te sigurise lidhur me teknologjine wireless, Internetin etj. http://www.bluetooth.org
Informacion mbi teknologjine Bluetooth
Shkurtime termash 2G 3G AP AES DHCP DoS EDGE EM GHz GSM HTML HTTP IEEE IP IPsec IR ISM ISO Kbps KHz LAN MAC Mbps MHz NIC OSI PC PCMCIA PDA PIN QoS RADIUS RF SNMP SSID
Second Generation Third Generation Access Point Advanced Encryption Standard Dynamic Host Control Protocol Denial of Service Enhanced Data GSM Environment Electromagnetic Gigahertz Global System for Mo Mobile Co Communications HyperText Markup Language HyperText Transfer Protocol Institute of Electrical and Electronics Engineers Internet Protocol Internet Protocol Security Infrared Industrial, Scientific, an and Medical International Organization for Standardization Kilobits per second Kilohertz Local Area Network Medium Access Control Megabits per second Megahertz Network Network Interfac Interfacee Card Open Systems Interconnection Personal Computer Personal Computer Memory Card International Association Personal Digital Assistant Personal Identification Number Quality of Service Remote Authentication Dial-in User Service Radio Frequency Simple Network Management Protocol Service Set Identifier
TCP VPN WEP WI-FI WLAN WML WWAN WPAN
Transmission Control Protocol Virtual Private Network Wired Equivalent Privacy Wireless Fidelity Wireless Local Area Network Wireless Markup Language Wireless Wide Area Network Wireless Personal Area Networks
Shpjegim termash Dynamic Dynamic Host Host Configur Configuration ation Protoc Protocol ol (DHCP) (DHCP) Protoklli i perdorur per percaktimin e adresave IP dinamike per te gjitha pajisjet apo nyjet e rrjetit. Nepermjet adresimit dinamik çdo pajisje do te kete IP te ndryshme sa here lidhet ne rrjet. Industrial, Industrial, Scientific, Scientific, and and Medica Medicall (ISM) (ISM) Band Brezi ISM i referohet gjersive 2.450 ± 0.50 GHz dhe 5.8 ± 0.75 GHz. Infrared Infrared (IR) (IR) Nje brez i padukshem padukshem rezatimi rezatimi ne fund te spektrit spektrit elektromagne elektromagnetik. tik. Perdoret Perdoret per transmetime wireless ndermjet pajisjeve kompjuterike atyre sterio, video etj. Institute Institute of Electrical Electrical and Electro Electronics nics Engine Engineers ers (IEEE) (IEEE) Nje shoqate profesionale profesionale per inxhinieret inxhinieret elektronike elektronike dhe elektike elektike qe percakton percakton standarte per aplikimet kompjuterike dhe ato te telekomunikacionit. Internationa Internationall Organizat Organization ion for for Standardi Standardization zation (ISO) (ISO) Nje organizate organizate pergjegjese pergjegjese per krijimin krijimin e standarteve standarteve nderkombetare nderkombetare ne shume fusha, duke perfshire kompjuterat dhe komunikimet. Local Area Network Network (LAN) (LAN) Nje rrjet rrjet qe bashkon bashkon kompjutera kompjutera ne largesi largesi te aferta, aferta, zakonisht zakonisht ne te njejten njejten ndertese, ndertese, nepermjet nje kabelloje rrjeti. Medium Medium Access Access Control Control (MAC) (MAC)
Nje nenshtrese nenshtrese e shtreses shtreses Data Link, e cila kontrollon kontrollon cila pajisje ka te drejte te komunikoje ne nje çast te caktuar.
Open Systems Interconnection (OSI) Nje model i shtresezuar shtresezuar per rrjetet rrjetet e kompjuterav kompjuterave, e, projektuar projektuar nga ISO per te lejuar sistemet kompjuterike te prodhuesve te ndryshem te komunikojne me njeri-tjetrin. Personal Personal Digital Digital Assist Assistant ant (PDA) (PDA) Nje kompjuter kompjuter dore qe sherben si menaxhues menaxhues per te dhenat personale. personale. Zakonisht Zakonisht perfshin nje database database emer-adrese emer-adrese dhe nje mbajtes mbajtes shenimesh. shenimesh. Permban Permban nje ekran dhe nje lapes per te operuar ne te. Te dhenat mund te sinkronizohen me nje laptop nepermjet nje transmetimi me kabell ose wireless. Service Set Identifier (SSID) SSID eshte nje çeles sekret qe percaktohet nga administratori i rrjetit. Virtual Private Network (VPN) VPN eshte nje rrjet privat qe perdore rrjetin publik (zakonisht Internetin) per te lidhur bashke “remote sites” apo perdorues. Ne vend te perdorimit te nje lidhje te dedikuar, nje VPN perdore lidhje virtuale te realizueshme nepermjet Internetit, nga rrjeti privat i kompanise te nje “remote site” apo punonjes i saj. Wireless Application Protocol (WAP) Nje standart standart i projektuar projektuar per te rritur rritur sigurine sigurine e pajisjeve pajisjeve wireless. wireless. Nje nga cilsite qe qe ofron WAP eshte WML, nje version i minimizuar i HTML-se per pajisjet me ekran te vogel. WAP perdore perdore gjithashtu WMLScr WMLScript, ipt, nje gjuhe kompakte kompakte JavaScript JavaScript qe punon ne memorje memorje te kufizuara. kufizuara. Mund Mund te aplikohet aplikohet ne te gjithe variantet variantet kryesore kryesore te rrjeteve wireless. Wired Equivalent Privacy (WEP) WEP eshte nje protokoll sigurie, specifikuar ne standartin IEEE Wi-Fi, 802.11, dhe eshte projektuar per t`i dhene rrjeteve WLAN nje nivel sigurie te ngjashem me ate te rrjeteve kabellor LAN.