REPUBLIKA E SHQIPERISE UNIVERSITETI USHTARAK SKENDERBEJ FAKULTETI TEKNIK DEGA ELEKTRONIKE

PROJEKT DIPLOME
Tema: Siguria e Rrjeteve Wireless

Punoi:
Tiran 2009

Arvit Varfaj

Tabela Permbajtjes
Hyrje Lista e Figurave dhe Tabelave 1. Teknologjia Wireless 1.1 Rrjetet Wireless 1.1.1 Wireless LAN 1.2 Standartet Wireless 1.2.1 IEEE 802.11 1.2.2 Bluetooth 1.3 Permbledhje 2. Projektimi i nje rrjeti WLAN 2.1 Rreziqet ne sigurine e rrjeteve wireless 2.3 Siguria e 802.11 WLAN 2.4 Konfigurimi i sherbimit WLAN ne Windows XP 2.5 Implementimi i nje rrjeti te sigurte 802.11b WLAN 2.5.1 Lidhja me nje rrjet WLAN 2.5.2 Instalimi i WLAN 2.5.3 Rreziqet ne sigurine e 802.11b WLAN 2.5.4 Mbrojtja e WLAN 2.5.5 VPN-te dhe siguria e WLAN 2.6 Permbledhje Perfundime Referencat Shkurtime termash Shpjegim termash

Hyrje
Per dekada te tera, njerezit kane perdorur rrjetet e kompjuterave per te nderlidhur kompjutera personale dhe servera ne kompani, kolegje dhe qytete. Nderkohe, nje evolucion ka ndodhur ne perdorimin e rrjeteve pa kabell. Ne fakt, nderfaqet e sotme wireless ofrojne sherbime qe na mundesojne perdorimin e e-mail, lundrimin ne web dhe Internet pothuaj kudo. Keto aplikime wireless kane ndikuar ne rritjen e perfitimeve dhe standartit te jetes ne shoqerine e sotme. Megjithese rrjetet wireless kane nje qellim te thjeshte; i cili eshte lidhja e perdoruesve dhe burimeve te informacionit pa kabell, disa koncepte kritike mbi rrjetet wireless duhen njohur perpara se te mund te projektohet dhe implementohet nje rrjet i tille. Keto dhe Bluetooth trajtohen ne kapitullin e pare te temes, ndersa kapitulli i dyte shtron problemin e sigurise te nje rrjeti Wireless LAN.

Lista e Figurave dhe Tabelave

Figura 1-1. Nje rrjet tipik Bluetooth Figura 1-2. Menyrat e sigurise ne Bluetooth Figura 3-1. Skema e enkriptimit WEP Figura 3-3. Nje skeme e WLAN qe perfshin VLAN, DHCP, VPN dhe serverin e identifikimit

Tabela 1-1. Permbledhje e standarteve 802.11 Tabela 1-2. Karakteristikat e teknologjise Bluetooth

1. Teknologjia Wireless
Ky kapitull paraqet nje hyreje ne rrjetet wireless, pajisjet, standartet dhe problemet e sigurise. Ka nje paragraf qe flet per 802.15 (bluetooth) ku shpjegohen edhe elementet e sigurise se ketij standarti .

1.1 Rrjetet Wireless

Komunikimet Wireless jane nje tip komunikimi ne te cilin sinjalet transmetohen nepermjet hapsires ne vend te kabellove fizike te zakonshem. Rjetet Wireless sherbejne si mekanizem transporti midis pajisjeve te ndryshme dhe ndermjet pajisjeve dhe rrjeteve tradicionale me kabello. Rjetet Wireless jane te shumta dhe te tipeve te ndryshme, por mund ti ndajme ne tre grupe ne varsi te hapsires se mbulimit: Wireless Wide Area Networks (WWAN), WLANs, dhe Wireless Personal Area Networks (WPAN). WWAN perfshin teknologjite me mbulim te gjere si celularet 2G apo GSM-ne. WLAN, perfaqson wireless local area networks rrjetet lokale wireless, perfshin 802.11, HiperLAN, dhe te tjere. WPAN, perfaqson teknologjite wireless personal area network, si Bluetooth dhe IR (InfraRed). Te gjitha keto teknologji marrin dhe transmetojne te dhena duke perdorur vale elektromagnetike. Teknologjite Wireless perdorin gjatesi vale nga brezi i frekuencave radio (RF) deri mbi brezin IR, ku vetem frekuencat radio mbulojne nje spekter te gjere nga 9kHz deri ne mijra GHz.

Standartet 802.11
Ne vijim jepet nje permbledhje e standarteve 802.11. Per secilin prej tyre behet nje pershkrim i shkurter rreth qellimeve te perdorimit te tij. Tabela 1-1. Permbledhje e standarteve 802.11

Variantet Pershkrim 802.11 802.11 Standart per operimet WLAN ne brezin 2.4 GHz me shpejtesi nga 1Mbps deri ne 2 Mbps 802.11a Standart per operimet WLAN ne brezin 5 GHz me shpejtesi deri ne 54Mbps. Performance e larte. Shpejtesia bie mjaft me rritjen e largesise

Variantet Pershkrim 802.11 802.11b Standart per operimet WLAN ne brezin 2.4 GHz me shpejtesi transmetimi deri ne 11Mbps. 802.11d 802.11e Permban specifikime qe mundesojne standartin 802.11 te operoje ne vende te cilat nuk mbulohen prej tij. Standart qe kerkon te rrise cilsine e sherbimit (QoS) te 802.11 MAC. Kjo do te mundesojne aplikime si ze, video, data, te transportohen mbi rrjetet wireless 802.11 Qellimi i ketij standarti eshte rritja e kompaitibilitetit ndermjet pajisjeve te pikave te aksesit (AP) te prodhuesve te ndryeshem. Ofron rritje te shpejtesise se standartit 802.11 duke qendruar kompatibel me te gjitha pajisjet qe punojne sipas ketij standarti. Qellimi eshte arritja e shpejtesive deri ne 20Mbps. Rrit performancen e 802.11 MAC dhe 802.11a per transmetimet ne brezin 5 GHz. Permireson duke futur MIMO (multiple-input multiple-output).
e punes 2.4 ose 5 GHz,shpejtesia 144 Mbps,rrezja 300m Frekuenca

802.11f 802.11g

802.11h 802.11n 802.1x 802.11i

Permireson sigurine e standartit 802.11b Rrit sigurine dhe mekanizmat e autentifikimit te standarteve 802.11 Gjithashtute njohhur si WPA dhe WPA 2

1.1.1 Wireless LAN

WLAN (Wireless Local Area Networks) lejon nje fleksibilitet me te madh se rrjetet tradicionale LAN. Nderkohe qe nje rrjet LAN tradicionale kerkon nje kabell per te lidhur kompjuterin e nje perdoruesi ne rrjet, nje WLAN lidh kompjutera dhe pjese te tjera ne rrjet duke perdorur nje pajisje me pike aksesi (access point device). Nje pike aksesi komunikon me pajisje te cilat permbajne nje karte rrjeti wireless; ajo lidhet me nje rrjet kabellor Ethernet LAN nepermjet portes RJ-45. Pajisjet me pike aksesi zakonisht mbulojne nje hapsire deri ne 100 metra. Kjo hapsire mbulimi quhet qelize ose rreze veprimi. Perdoruesit mund te levizin ne menyre te lire brenda kesaj qelize me laptop-et e tyre ose pajisje te tjera. Qelizat me

pike aksesi mund te lidhen ndermjet tyre, duke i lejuar perdoruesve te komunikojne ne largesi edhe me te medha. Nje rrjet lokal wireless perdore teknologjine e frekuencave radio (RF) per te transmetuar dhe marre te dhena permes ajrit. IEEE ka percaktuar per kete tip komunikimi standartin 802.11, qe eshte dhe standarti mbizoterues per WLAN. WLAN konsiston ne komponente te ngjashem me rrjetet kabellor tradicionale LAN. Ne fakt, protokollet e wireless LAN jane te ngjashme me ato te Ethernet-it. Ndryshimi qendron ne faktin se rrjetet wireless LAN nuk kerkojne kabello. Perfitimet kryesore nga perdorimi i WLAN jane: Levizshmeria perdoruesit Perdoruesit mund te aksesojne skedar, burimet e rrjetit dhe Internetin, pa qene nevoja te jene fizikisht te lidhur me te permes kabellove. Instalim i shpejte Koha e kerkuar per instalim reduktohet sepse lidhjet me rrjetin mund te behen pa levizur apo shtuar kabellot. Fleksibilitet Edhe perdorues te thjeshte mund te ndertojne nje rrjet WLAN per qellime te perkoheshme ne nje konference, mbledhje etj. Shkallezueshmeria Topologjite WLAN mund te konfigurohen lehte ne menyre qe te plotesojne kerkesa aplikimi specifike. Per keto arsye, tregu i rrjeteve WLAN eshte rritur ndjeshem ne vitet e fundit dhe do vazhdoje te fitoje popullaritet si alternative e rrjeteve tradicionale.

1.2.1 IEEE 802.11

IEEE projektoi 802.11 per te mbeshtetur rrjetet Ethernet apo aplikime te tjera me shpejtesi te larte ne transmetimin e te dhenave. 802.11 eshte standarti origjinal WLAN, projektuar per transmetimet wireless 1 Mbps dhe 2 Mbps. Me pas vijoi 802.11a, qe percaktoi nje standart WLAN te shpejtesive te larta per brezin 5 GHz dhe suporton deri ne 54 Mbps. Standarti 802.11b operon ne brezin 2.4-2.48 GHz dhe suporton 11 Mbps. Ky standart eshte tashme standarti dominues WLAN dhe ofron shpejtesi te mjaftueshme per pjesen me te madhe te aplikimeve te sotme. Adoptimi i gjere i ketij standarti ka vene ne dukje dhe dobsite ne sigurine e tij. Nje tjeter standart qe operon ne brezin 2.4GHz eshte 802.11g. Dy standarte te tjere te rendesishem te lidhur me funksione specifike te sigurise ne WLAN jane 802.1X dhe 802.11i.

1.2.2 Bluetooth (802.15)

Rrjetet Ad hoc si eshte Bluetooth jane rrjete te projektuara per te lidhur ne menyre dinamike pajisje remote, si celular, laptope dhe PDAs. Keto rrjete quhen ad hoc per shkak te topologjive te tyre vazhdimisht te ndryshueshme. Bluetooth eshte nje standart dhe per industrine e telekomunikimeve dhe pershkruan se si celularet, kompjuterat dhe PDA-te duhet te nderveprojne me njeri tjetrin ne lidhjet wireless me hapsire mbulimi te kufizuar. Aplikimet Bluetooth perfshijne sinkronizime wireless, e-mail/Internet/intranet akses. Standarti Bluetooth specifikon operime wireless ne brezin 2.4 GHz dhe suporton transmetime deri ne 720 kbps.

Figura 1-1. Nje rrjet tipik Bluetooth Figura e mesiperme me paraqet nje skenar ne nje rrjet Bluetooth : Laptop-e te perdoruesve te veante ne nje mbledhje qe shkembjne skedare dhe te dhena te tjera

Tabela 1-2. Karakteristikat e teknologjise Bluetooth Karakteristika Brezi frekuencave Shpejtesia transmetimit Siguria rrjetit dhe te dhenave Hapsira mbulimit Throughput Aspekte pozitive Aspekte negative Pershkrimi 2.4 2.4835 GHz 1 Mbps Enkriptim i informacionit, autentifikim, perdorim i elesave PIN. Rreth 10 metra. Mund te shtrihet deri ne 100 metra. Deri ne 720 kbps Mungesa e kabellove. Aftesia per te komunikuar pertej mureve dhe pengesave te tjera. Konsum i vogel energjie dhe hardware minimal. Mundesi interferimi me teknologji te tjera te brezit ISM. Shpejtesi transmetimi relativisht e ulet.

- Perfitimet dhe siguria e Bluetooth Bluetooth ofron pese perfitime kryesore per perdoruesit. Keto jane: Zevendesim i kabellove Teknologjia Bluetooth zevendeson kabellot ne lidhje te ndryshme. Ketu perfshihen pajisjet periferike (psh. mouse-i tastjera), USB 12 Mbps (USB 1.1) dhe USB 480 Mbps (USB 2.0), printera dhe modem, zakonisht ne 4Mbps, mikrofone etj. Lehtesi ne file sharing Bluetooth mundeson file sharing ndermjet pajsijeve me Bluetooth te inkorporuar. Sinkronizime wireless Bluetooth mundeson sinkronizim wireless automatik ndermjet pajisjeve me Bluetooth, PDA, laptope, celular etj. Aplikime wireless te automatizuara Ne dallim nga sinkronizimi qe ndodh lokalisht, keto aplikime komunikojne me rrjetet LAN dhe Internetin.

 Lidhje me Internetin Kjo eshte e mundur kur pajisje te ndryshme bashkeveprojne duke shfrytezuar cilsite e tyre. Per shembull, nje laptop nepermjet nje lidhje Bluetooth, i kerkon nje celulari te vendose nje lidhje dial-up, laptop-i me pas mund te aksesoje Internetin duke perdorur kete lidhje. Tre jane sherbimet keryesore te sigurise te specifikuara ne Bluetooth:

Identifikimi Nje nga qellimet e Bluetooth eshte verifikimi i identiteteve te pajisjeve komunikuese. Ky sherbim sigurie shtron pyetjen A e dime se me ke po komunikojme?. Ky sherbim ofron nje mekanizem aborti nese pajisja nuk arrin te identifikohet. Konfidencialiteti Mbajtja sekret e informacionit ose privacy eshte nje nder qellimet e tjera te Bluetooth. Ky sherbim zakonisht shtron pyetjen Vetem pajisjet e autorizuara lejohen te shikojne te dhenat e mia?.

Autorizimi Ky eshte nje sherbim sigurie projektuar per te lejuar kontrollin e burimeve. Ky sherbim shtron pyetjen A eshte e autorizuar kjo pajisje te perdore kete sherbim?. Bluetooth ka tre menyra te ndryshme sigurie. do pajisje Bluetooth mund te operoje vetem ne njeren prej ketyre menyrave ne nje ast te kohes. Keto tre meyra jane si vijon: Menyra e pare e sigurise Menyre jo e sigurte Menyra e dyte e sigurise Menyre e forte sigurie sherbim-nivel Menyra e trete e sigurise Menyre e forte sigurie link-nivel Ne menyren e pare te sigurise, nje pajisje nuk inicializon asnje procedure sigurie. Funksionet e sigurise (identifikimi, enkriptimi) tejkalohen perfundimisht. Kjo menyre perdoret per aplikime ku siguria nuk kerkohet. Ne menyre e dyte te sigurise, procedurat e sigurise inicializohen pas vendosjes se kanalit te komunikimit. Ne kete menyre ndodh dhe procesi i autorizimit, pra procesi qe percakton nese pajisja A lejohet te kete akses ne sherbimin X.

Ne menyren e trete te sigurise, nje pajisje Bluetooth inicializon procedura sigurie perpara vendosjes se kanalit te komunikimit. Kjo menyre suporton identifikim dhe enkriptim. Keto cilsi bazohen ne gjenerimin e nje elesi te perbashket qe ndahet ndermjet pajisjeve komunikuese. Te tre keto menyra pershkruhen ne figuren 1-5.

Figura 1-2. Menyrat e sigurise ne Bluetooth

1.3 Permbledhje Teknologjite wireless jane menyra me e thjeshte per te mundesuar komunikimin e pajisjeve pa lidhje fizike, pra pa perdorimin e kabellove te rrjetit. Teknologjite wireless perdorin transmetimet me frekuenca radio (RF) si mjet per transportimin e te dhenave, ashtu si teknlogjite e tjera perdoin kabellot. Aplikimi i teknologjive wireless varjon nga sisteme komplekse si rrjetet WLAN dhe celularet ne pajisje te thjeshta si jane mikrofonet, kufjet apo pajisje te tjera qe nuk perpunojne te dhena. Ne kete kapitull u diskutua per pajisje si pikat e aksesit, PDA-

te, celularet per standartet 802.11 dhe Bluetooth si dhe u trajtuan disa probleme ne lidhje me sigurine e ketyre rrjeteve.

2. Disa koncepte kriptografike

2.1 Kripa kriptografike

Koncepti kripe ne kriptografi, ka kuptimin e disa biteve te rastesishem qe perdoren si nje nga inputet tek funksioni i derivimit te celesit .Inputi tjeter zakonisht eshte nje fjalekalim . Outputi i funsionit te derivimit te celesave ruhet dhe enkriptohet dhe ky quhet versioni i enkriptuar i fjalekalimit . Kripa mund te perdoret si nje pjese e celesit si ne rastin e nje kriptekst ose ndonje algoritmi kriptografik tjeter. Funksioni i derivimit te celesit zakonisht perdor funksionet perzieres kriptografik , nganjehere perdor IV ( vektor inicializimi ) ku nje numer i gjeneruar me perpara perdoret si kripe . SHEMBULL. Supozojme se celesi sekret i nje perdoruesi (fjalekalimi i enkriptuar) vidhet dhe dihet qe eshte nje nga 200,000 fjalet e nje fjalori shqip eshte fjalekalimi . Sistemi perdor kripe 32-biteshe . Celesi i kriptuar eshte tani fjalekalimi origjinal i bashkengjitur kripes 32-biteshe . Per shkak te kripes, llogaritjet per funksionin perzieres te bera nga vjedhesi nuk kane vlere . Ai duhet te llogarise funksionin perzieres te cdo fjale dhe per cdo fjale duhet te krontolloje 2 mundesi per kripen e bashkengjitur deri ne castin kue te gjendet fjalkalimi . Numri total i inputeve te mundshem merret duke shumezuar numrin e fjaleve ne fjalor me numrin e mundshem te kripeve :

2 * 200000 = 8.589934592 * 1014

Qe te perfundohet nje sulm brute-force duhen llogaritur rreth 800 trillion fjale, ne vend te 200,000. Pra ,edhe pse fjalekalimi vete eshte i thjeshte , kripa sekrete ben thyerjen e fjalekalimit shume me te veshtire .

2.2 Nonce kriptografik

Koncepti i nonce kriptografik. Ne komunikimet tipike ndermjet klientit dhe serverit

gjate nje identifikimi te bazuar ne nonce eshte nje proces qe permban nje nonce nga serveri dhe nje nonce nga klienti .Ne inxhnierine e sigurise , nje nonce eshte nje numer i perdorur vetem njehere . Shpesh eshte nje numer i rastesishem ose pseudo i rastesishem qe perdoret ne nje protokoll identifikimi qe te siguroje mos perdorimin e komunikimeve te bera me perpara ne sulmet riperseritje. Nonce-et te ndryshme jane te ndryshme ne cdo kohe kur

vjen nje mesazh qe kerkon identifikim 401 dhe ne kete mesazh dhe eshte prezent kodi i pergjgjes . Gjate ketij identifikimi kerkesat e klienteve kane nje numer sekuence unik ,duke be re keshtu thuajse te pamundur sulmet e mesiperme dhe sulmet fjalor . Shume i referohen IV (initialization vectors) si nonce per arsyet e mesiperme .Per te siguruar qe nje nonce te perdoret vetem njehere , duhet te jete nje funksion me ndryshore kohen , ose gjeneruar mjaftueshem me bite te rastesishem per te siguruar nje probabilitet shume te vogel te perseritjes se nje vlere te meperparshme .

2.3 Funksionet hash kriptografik

Nje funksion hash kriptografik eshte nje procedure qe merr nje bllok arbitrar te te dhenave dhe kthen varg bitesh te nje madhesie te caktuar, vleren hash, te tilla qe nje ndryshim aksidentale ose i qellimshem i te dhenave do te ndryshoje vlera hash. Te dhenat qe do te kodohen shpesh jane quajtur "mesazh", dhe vlera hash eshte ndonje here quajtur mesazh i grumbulluar apo thjesht permbledhje. Funksioni ideal hash ka kater vecori kryesore: eshte eshte eshte eshte e lehte te llogaritet vlera e hash per nje mesazh dhene , e pamundur per te gjetur nje mesazh qe ka nje hash dhene , e pamundur per te ndryshuar nje mesazh pa ndryshuar hash e tij, e pamundur per te gjetur dy mesazhe te ndryshme me te njejtin hash.

Funksionet kriptografik hash kane aplikime te shumta ne sigurine e informacionit, sidomos ne nenshkrimet digjitale, kodet e mesazheve te identifikimit (MACs), dhe forma te tjera te identifikimit. Ata mund te perdoren gjithashtu si funksione hash te zakonshem, indeksimin e te dhenat ne tabelat hash; gjurme te gishtrinjve si, per te zbuluar te dhenat e kopjuar ose identifikojm fotografi; ose si kontrollet e shumave zbuluar gabimet aksidentale te te dhenave . Me te vertete , ne kontekstin e sigurimit te informacionit, vlerat kriptografike te hash jane nganjehere jane quajtur (dixhitale) gjurme te gishtrinjve, kontrolle shumash , apo vetem vlera hash, edhe pse te gjitha keto terma qendrojne per funksione me vecori dhe qe llime te ndryshme.

Shumica e funksioneve kriptografik hash jane te dizejnuar per te marre si input nje varg te nje gjatsie te cfaredoshme per te prodhuar nje gjate fikse te vleres hash. Nje funksion hash kriptografik duhet te jete ne gjendje te perballoje te gjitha llojet e njohura te sulmeve kriptoanalitke . Si minimum, ajo duhet te kete vecorit e me poshtme: Rezistenca paraimazh : jepet nje hash h ai duhet te jete e veshtire per te gjetur ndonje mesazh m te tille qe h = hash (m). Ky koncept ka te beje me funksionet e njeanshem . Funksioneve qe u mungon kjo vecori jane te pambrojtur ndaj sulmeve paraimazh. Rezistenca e dyte paraimazh : jepet nje nje input M1, duhet te jete e veshtire per te gjetur nje tjeter input m2 (jo te njejte me M1) te tille qe hash (M1) = hash (m2). Kjo vecori eshte nganjehere referuar si rezistence e dobet e perplasjes . Funksioneve qe u mungon kjo vecori jane te pambrojtur ndaj sulmeve te paraimazhit te dyte . Rezistenca ndaj perplasjeve : duhet te jete e veshtire per te gjetur dy mesazhe te ndryshme M1 dhe m2 te tille qe hash (M1) = hash (m2). Nje pale e tille quhet (ne kriptografi) perplsje e hash , dhe kjo vecori eshte nganjehere referuar si rezistence e forte ndaj perplasjeve . Kerkon nje vlere hash te pakten dy here me gjate se fare eshte e nevojshme si per rezistencen paraimazh , perndryshe mund te gjenden perplasje nga nje sulm i quajtur ditelindje.

2.4 Ndertimi i funsionit hash Merkle-Damgrd.

Nje funksion hash duhet te jete ne gjendje te procesoje ne hyrje nje mesazh me gjatesi te ndryshme dhe ne dalje te kemi output me gjatesi te caktuar . Kjo mund te arrihet duke e ndare inputin ne nje seri blloqesh me madhesi te barabarte, dhe mbi ta veprojme ne menyre te njepasnjeshme funksionin e kompresimit te njeanshem . Funksioni i kompresimit mund te jete te dizejnuar posaerisht per hash ose te ndertohet nga nje bllok shifer (algoritem). Nje funksion hash i ndertuar me algoritmin Merkle-Damgrd eshte i qendrueshem ndaj perplasjeve aq sa eshte edhe funksioni i kompresmit ; cdo perplasje e funksionit te plote

hash mund te gjurmohet te kthehet ne nje konflikt per funksionin e kompresimit. Blloku i fundit i perpunuara, duhet shume i gjat; kjo eshte vendimtare per sigurine e ketij ndertimi. Ky ndertim eshte quajtur Merkle-Damgrd . Shumica funksioneve hash e perdorurin kete ndertim gjeresisht, duke perfshire SHA-1 dhe MD5, marrin kete forme .

2.5 Celesat publik

Celesat publik jane nje qasje kriptografike, te perdorur nga shume algoritma kriptografik dhe sisteme kriptimi , karakteristike dalluese e te cileve eshte perdorimi i algoritmave asimetrik te celesave ne vend te ose si shtese e algoritmave simetrik . Perdorimi i teknikave te celesave public dhe celesave privat kane zhvilluar shume metoda te cilat jane bere praktike per mbrojtjen te komunikimit ose identifikimin e mesazheve te panjohur. Keto metoda nuk kerkojne kembim te sigurt fillestar te nje ose me shume elesave sekret sic eshte e nevojshme kur perdoren algoritmat simetrik. Kjo metode mund te perdoret gjithashtu per te krijuar firma digjitale . Celesat publike jane nje teknologji e perdorur gjeresisht ne mbare boten, e cila eshte mbeshtetur ne standarde te tilla si TLS (Transport Layer Security qe eshte pasues i SSL), PGP dhe GPG. Dallimi kryesor i teknikes se perdorur (celesta publik-privat) eshte perdorimi i algoritmave te celesave asimetrik sepse celesi perdoret per te enkriptuar nje mesazh nuk eshte i njejte me celesin qe perdoret per ta dekriptuar ate. Cdo perdorues ka nje pale celesash kriptografik nje celes publike dhe nje privat . Celesi privat mbahet sekret, kurse celesi publik mund te shperndahet gjeresisht . Mesazhet enkriptohen nga marresit e celesit publik dhe mund te dekriptohen vetem nga celesi privat perkates. Celesat jane te lidhur matematikisht , por celesi privat nuk mund te (dmth., faktike ose te projektuara ne praktike) rrjedhin nga celesat publik . Ishte zbulimi i te tilla algoritmave te cilat revolucionarizuan praktiken e kriptografise ne mes te viteve 1970. Ne kontrast, algoritmat e celesave simetrik , variacionet e te cilave jane perdorur per disa mijra vjet, perdoret nje celes i vetem secret i shkembyer nga derguesi dhe marresi (i cili gjithashtu duhet te mbahet privat) per enkriptim dhe dekriptim . Per te perdorur nje skeme enkriptimi simetrik, i derguesit dhe marresi duhet te shkembejne nje celes te sigurte paraprakisht. Ngaqe algoritmat e celesave simetrik jane gati gjithnje shume me pak intensive ne llogaritje, eshte e zakonshme per te shkembyer nje celes duke perdorur algoritmin e kembimit te celesave per te transmetuar te dhenat duke perdorur kete celes dhe nje algoritem te celesave simetrik . PGP, dhe familja e skemave SSL / TLS e bejne kete, dhe per pasoje jane quajtur kriptosisteme hibride . Dy deget kryesore te cryptography kryesore publike jane:

 Celesat e enkriptimit publik - nje mesazh i enkriptuar me nje celes publik nuk mund te dekriptohet nga askush , pervec poseduesit tecelesit privat korrespondues . Kjo menyre eshte perdorur per fshehtesine e informacionit. Nenshkrimet digjitale - nje mesazh i nenshkruar me nje celes privat celesate mund te verifikohet nga kushdo qe ka akses tek celesi publik i derguesit , duke provuar keshtu se derguesi kishte akses tek celesi privat (dhe prandaj ka te ngjare qe te jete personi i lidhur me celesin publik te perdorur).

Nj numr i paparashikueshem (zakonisht nj numer i madh i zgjedhur rastsisht) sht prdorur pr t filluar gjenerimin e nj pal elsash t pranueshm dhe te prshtatshem pr t'u prdorur nga nj algoritem asimetrik .

N nj skem enkriptimi asimetrik elesash , dokush mund t enkriptoje mesazhe duke prdorur elesat publike, por vetm mbajtsi i elesit privat korrespondues mund te dekriptoje keto mesazhe . Vlefshmeria e kesaj metode te sigurimit varet nga fshehtsia e elesit privat .

N disa skema te lidhura me nnshkrimet digjtale , elesi privat sht prdorur pr t nnshkruar nj mesazh, por kushdo mund t kontrolloje nnshkrimin publik duke prdorur elesin publik . Vlefshmria varet nga sigurisa e elesit privat .

N skemn e kmbimit te elesave Diffie-Hellman , secili pjesemarres gjeneron nj eles publik dhe nje eles privat dhe shprndan elesin publik . Pas marrjes s nj kopje autentike t elsit publik t njeri-tjetrit , Alice dhe Bob mund llogarisin sekretin master te shkembyer . Sekreti master i shkembyer mund t prdoret si els pr nj algoritem simetrik (shifer) .

2.6 Vargu i celesave

Ne kriptografi , nje varg celesash eshte nje varg me karaktere te rastesishem ose pseudo te rastesishem te kombinuar me nje mesazh te shkruar ne tekst te thjeshte per te prodhuar nje mesazh te enkriptuar (kriptekst). "Karakteret" ne nje varg celesash mund te jene bite, byte, numra ose karaktere nga A-Z ne varasi te rastit te perdorimit .Zakonisht cdo karakter ne nje varg celesash mblidhet , zbritet ose behet nje XOR logjik me nje karakter te tekstit te thjeshte per te prodhuar kriptekst, duke perdorur matematiken moduluese . Vargu i celesave eshte perdorur ne algoritmin shifror njehere mbushje dhe ne shumicen e algoritmave shifror te vargjeve . Blloqet e numrave mund te perdoren gjithashtu per prodhimin e vargjeve te celesave . P.sh. menyra CTR eshte nje menyre

blloqesh qe ben nje bllok shifror te prodhoje nje varg celesash dhe keshtu pra kthen bllokun e shifrave ne nje varg varg shifrash .

Shembull
Ne kete shembull ne perdorim alfabetin Anglez me 26 karaktere nga a-z. Pra nuk mund te enkriptojme numra , presje, hapesira dhe simbole te tjera . Numrat e rastesishem ne nje varg celesash duhet detyrimisht te jene nga 0 ne 25. Per te enkriptuar mbledhim vargun e numrave me tekstin e thjeshte . Per te dekriptuar vetem zbresim me te njejtin varg numrash nga kripteksti per te marre tekstin e thjeshte . Nese nje numer i krptekstit behet me i madh se 25 e kufizojme ne nje vlere nga 025 . Pra 26 behet 0 dhe 27 behet 1 e keshtu me rradhe . (Ky kufizim quhet matematik moduluese.) Ne kete rast mesazhi i shkruar ne tekst te thjeshte "attack at dawn" kombinohet duke e mbledhur me vargun e celesave "kjcngmlhylyu" dhe prodhohet kripteksti "kcvniwlabluh".

3. Siguria ne rrjetin WLAN

Ne kete kapitull do shpjegohet nje menyre per implementimin e nje rrjeti te sigurte WLAN. Ne fillim do trajtohen disa aspekte te teknologjise 802.11 WLAN duke u perqendruar ne komponentet, standartet dhe arkitekturen e ketyre sistemeve.

3.1 Rreziqet ne sigurine e rrjeteve wireless

Disa nga shqetesimet ne sigurine e komunikimeve wireless jane, vjedhja pajisjeve, mohim i sherbimit, hacker-at, kode te ndryshme (viruses, trojan horses, worms), etj. Zakonisht jane perdoruesit e autorizuar ate qe mund te ndermarrin veprime te tilla duke qene se ata i njohin me mire burimet e sistemit dhe dobsite ne sigurine e tij. Sulemet qe mund te vijne nga kercenimet e mesiperme nese jane te suksesshme do te vene sistemin e nje kompanie dhe ajo qe eshte me e rendesishme te dhenat e saj ne rrezik. Rreziqet ne rrjetet wireless jane te barabarta me shumen e rreziqeve ne rrjetet kabellor, me ato qe vijne si pasoje e dobsive ne protokollet wireless. Eshte e rendesishme marrja e masave per te minimizuar keto rreziqe dhe sjellja e tyre ne nivele te menaxhueshme. Rreziqet ne sigurine e rrjeteve wireless mund ti permbledhim ne disa pika: Te gjitha rreziqet qe ekzistojne ne rrjetet kabellor teknologjite wireless. qendrojne edhe per

Subjektet keqdashes mund te marrin akses te paautorizuar ne kompjuterat e nje kompanie nepermjet lidhjeve wireless duke kapercyer dhe mbrojtjen me firewall. Informacinet e rendesishme te paenkriptuara qe transmetohen ndermjet dy pajisjeve wireless mund te interceptohen dhe lexohen.

Sulme DoS (Denial of service mohim i sherbimit) mund te ndermeren ndaj pajisjeve apo lidhjeve wireless. Subjekte keqdashes mund te marrin identitetin e perdorusve legjitim dhe te kompromentojne sistemin nepermjet tyre. Te dhena te rendesishme mund te korruptohen gjate sinkronizimeve te pasakta. Subjekte keqdashes mund te kompromentojne te dhenat private te perdorusve legjitim dhe te ndjekin levizjet e tyre ne sistem. Subjekte keqdashes duke kompromentuar pajisjet e klienteve mund te aksesojne te dhena te rendesishme.

 Te dhena mund te nxirren ne menyre te fshehte nga pajisje te konfiguruara ne menyre te papershtatshme. Viruset apo kode te tjere te demshem mund te korruptojne te dhena ne nje pajisje wireless, duke siguruar me pas akses edhe ne rrjete kabellor. Sulme mund te ndermeren nepermjet transmetimeve ad hoc.

3.2 Siguria e 802.11 WLAN

Specifikimet IEEE 802.11 implikojne sherbime te ndryshme per te siguruar nje mjedis te sigurte komunikimi. Sherbimet e sigurise implementohen ne pjesen me te madhe nga protokolli WEP, per mbrojtjen e te dhenave gjate transmetimit te tyre nga klientet tek pikat e aksesit. WEP nuk ofron siguri end-to-end por mbulon vetem pjesen wireless te komunikimit si tregohet ne figuren 2-6. Kjo eshte arsyeja e perdorimit te teknologjise VPN ne rrjetat WLAN, si ne figuren 2.7. Siguria dhe mbrojtja e 802.11 WLAN do trajtohen permes nje shembulli implementimi te nje rrjeti WLAN ne paragrafin 2.5 te kapitullit.

3.2.1 Cfare eshte WEP dhe WPA 3.2.1.1 WEP

WEP (Wired Eqiuvalent Protection) operon ne nenshtresen MAC (Media Access Control) qe eshte pjese e shtreses se Data Link ne modelin OSI (Open System Interconnect). Duke perdorur WEP vetem ata qe dine fjalekalimin mund te hyjne ne rrjet (te ndervepropje me Access Ponit-in) .WEP perdor nje pakete te vecante te enkriptuar dhe ia dergon klientit i cili kerkon hyrjen (log in) ne rrjet . Dekriptohet nga klienti i cili fut fjalekalimin dhe ia kthen kete pakete ,po te enkriptuar AP (Access Ponit). Lloji i enkriptimit behet nga nje algoritem i quajtur RC4. Kemi 2 lloje WEP: WEP 40 WEP 104 Ne llojin e pare kemi 40 bite per vendosjen e fjalekalimit dhe 24 bit IV

(Initialisation Vector) i cili eshte i rastesishem (random) . 40 bite : 8 bit per karakter = 5 karaktere . 40 bit fjalekalim + 24 bit IV = 64 bit te dhena ne paketen WEP. Ne llojin e dyte kemi po 24 bit IV por kemi 104 bit per fjalekalimin. 104 bit : 8 bite per karakter = 13 karaktere . Por lloji i dyte nuk eshte se permireson shume performancen e WEP .

Figura 3-1. Skema e enkriptimit WEP

3.2.1.2 WPA
WPA (Wi-Fi Protected Access) dhe WPA2 . Ky protokoll u krijua si pergjigje e disa dobesive serioze qe u gjeten ne sistemet parardhese si WEP . Protokolli implementon pjesen me te madhe te standartit IEEE 802.11i , dhe u mendua si nje mase e perkohshme qe te zevendesonte WEP deri kur 802.11i te ishte perfunduar . Ne vecanti TKIP (Temporal Key Integrity Protocol), u vendos ne WPA. Krijuesit kane zbuluar nje te mete ne TKIP qe mbeshtetej ne disa dobesi si marrja e celesit nga paketat e vogla te cilat mund te perdoren per ri-injektim per te derguar informacion te rreme . Certifikata WPA2 tregon pajtueshmerine me nje protokoll te avancuar qe implementon te gjithe standartet. Ky protokoll i avancuar nuk do te funksionoje ne kartat e vjetra te rrjetit . WPA2 implementon elementet e detyrueshem te 802.11i. Ne vecanti , paraqet nje algoritem te ri te bazuar tek AES (Advanced Encryption Standard) , CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), qe konsiderohet shume i sigurt .

3.2.1.2.1 Siguria me menyren e celesave te para-shkembyer (WPAPSK)

WPA-PSK (Pre-shared key) u projektua per rrjetet e shtepive ose zyrave te vogela ku nuk kerkohet kompleksiteti i nje serveri identifikimi 802.1X . Ne cdo rrjet wireless paisjet enkriptojne trafikun duke perdorur celesa 256 bit. Keto celesa mund te futen ne formen e nje stringu me 64 karaktere e numra hexadecimal , ose ne formen e nje fjalekalimi nga 8 ne 63 karaktere ASCII. Nese karakteret ASCII perdoren , atehere celesi 256 bitesh llogaritet duke aplikuar funksionin PBKDF2 per derivimin e celesit ne fjalekalim , perdoret SSID (Service set identifier) perdoret si kripe dhe 4096 perseritjet e HMAC-SHA1. WPA-PSK eshte i cenueshem ndaj sulmeve te thyerjes se fjalekalimit nese perdoret nje fjalekalim i dobet . Per tu mbrojtur nga sulmet brute force nje nje fjalekalim i rastesishem me 13 karaktere eshte i mjaftueshem . Ne gusht 2008, nje shkrim ne forumin Nvidia-CUDA shpalli mundesine e rritjes se performancees te nje sulmi brute force ndaj WPA-PSK me nje faktor 30 ose edhe me shume krahasuar me implementimet CPU te kesaj kohe. Llogaritja PBKDF2 e cila kerkon shume kohe i ngarkohet nje GPU (deri ne kete kohe i ngarkohej CPU) i cili mund te llogarise disa fjalekalime dhe celesat korrespondues te tyre ne paralel .Koha mesatare e sukesit te gjetjes se fjalekalimit eshte nga 2-3 dite duke perdorur kete metode .

3.2.1.2.2Dobesite e TKIP
Nje dobesi qe nuk u mbulua ne nentor te 2008 nga dy studiues gjerman te universiteteve teknike (TU Dresden dhe TU Darmstadt), Erik Tews dhe Martin Beck, te cilet u mbeshteten ne nje te mete te WEP qe mund te shfrytezohej vetem algoritmin TKIP ne WPA. Me kete te mete mund te dekriptohen vetem paketat e vogla me permbajtje te ditur , si p.sh. mesazhet ARP (Address Rsolution Protocol), dhe 802.11e, qe mundeson cilesine e sherbimit (Quality of Service) . Kjo e mete nuk con ne gjetjen e celesit por ne kapjen e nje celesi te enkriptuar te nje pakete te vecante i cila mund te riperdoret deri ne shtate here per te injektuar te dhena me gjatesi te se njejtes pakete drej nje klienti wireless . P.sh. kjo lejon te injektohen paketa ARP fallco te cilat me pas dergohen nga viktima ne internet .

3.2.1.2.3 Shtesat EAP per WPA dhe WPA2

Aleanca Wi-Fi shpalli perfshirjen e shtesave EAP (Extensible Authentication Protocol) ne programet e saj te certifikuara WPA dhe WPA2 . Kjo u be per te siguruar qe te dy produktet WPA te nderveprojne me njeri-tjetrin . Tipet EAP te perfshira ne certifikim : EAP-TLS (testuar)

EAP-TTLS/MSCHAPv2 PEAPv0/EAP-MSCHAPv2 PEAPv1/EAP-GTC EAP-SIM

3.2.1.2.4 CCMP
CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) eshte nje protokoll enkriptimi IEEE 802.11i krijuar qe te zevendesoje TKIP, protokollin e detyrueshem te WPA, dhe WEP. CCMP eshte nje protokoll i detyrueshem i standartit WPA2, nje opsion per standartin WPA , dhe nje opsion shume i kerkuar per RSN (Robust Security Network) . . CCMP perdor algoritmin AES , ndryshe nga menagjimi i celesave dhe integriteti i mesazhit tek TKIP qe behet nga nje perberes i vetem i ndertuar rreth AES dhe perdor celesa 128-bitesh dhe blloqe 128-bitesh. CCMP uses CCM me parametrat e meposhtem: M = 8 -tregon qe MIC ka 8 oktete, L = 2 - tregon qe fusha e gjatesise ka 2 oktete. Nje MPDU ( Medium Access Control Protocol Data Unit) CCMP ka pese seksionet e meposhtme: 1) koke e MAC (Medium Access Control) 2) koken CCMP , 3) Te dhenat , 4) Integriteti i kodit te mesazhit MIC (Message integrity code) , dhe 5) Kontrolli i sekuences se frame FCS (Frame check sequence) . Nga seksionet e mesiperme, vetem te dhenat dhe MIC jane te enkriptuara . Koka e CCMP ka 8 oktete dhe consiston ne fushat e meposhtme : Numri i Paketes (PN) IV (Initialization vector) Celesi i identifikimit PN eshte nje numer 48-bitesh i vendosur ne 6 oktete. Kodet PN jane ne dy oktetet e pare , dhe kater oktetet qe mbeten perdoren numerimin pra cdo pakete pasardhese kete numer e ka te rritur me nje . Ndermjet kodeve PN kemi nje oktet te rezervuar dhe nje oktet celes identifikimi . Okteti i celesit te identifikimit permban IV ( 5 bite ),celesin ID (6-7 bite), dhe nenfusha e rezervuar (0-4 bite). CCMP perdor keto vlera per te enkriptuar te dhenat dhe MIC. Kombinon adresen e dyte te MPDU dhe fushe e prioriteteve , dhe PN qe te krijoje nje nonce per algoritmin CCM . Me pas fut celesin e perkohshem , nonce te krijuar , nje informacion te caktuar te kokes , dhe te dhenat, tek krijuesi i CCM . Krijuesi i CCM originator kthen te dhenat e enkriptuara , dhe nje MIC, i cili kombinohet me koka te pa enkriptuar te CCMP dhe MAC dhe nje kontroll sekuence per transmetim.

3.3 Konfigurimi i sherbimit WEP ose WPA ne Windows XP

Sherbimi wireless eshte i integruar ne Windows XP dhe mund te konfigurohet shpejt mepermjet Windows XP automatic networking Setup. Ajo qe kerkohet eshte nje adapter wireless 802.11g ose 802.11b. (Konfigurimi do kryhet ne nje laptop me sistem operues Windows XP) Instalimi i nje Wireless Adapter 1. Vendosim adapter-in wireless 802.11b ne slot-in PCMCIA. 2. Ne menyre automatike fillon wireless configuration wizard 3. Pas perfundimit te tij, kompjuteri eshte gati te lidhet ne rrjet. Lidhja ne Rrjet Windows XP ne menyre automatike kerkon per pika aksesi te pranishme, meqense jemi pozicionuar brenda hapsires se mbulimit. Per te pasur nje siguri minimale perdoret nje eles WEP ndaj ky eles enkriptimi duhet konfiguruar ne menyre manuale tek klienti, pra laptop-i qe po perdorim. 1. Klikojme Start, Control Panel, Network Connections. Klikojme me te djathte tek Wireless Network Connection dhe zgjedhim Properties.(figura 1)

Figure 1 2. Klikojme tek tab-i Wireless Networks (figura 2)

Figure 2 3. Tek Preferred networks (rrjetet e preferuar) zgjedhim LUWLAN (emri i rrjetit - SSID), emer te cilin e kemi percaktuar ne fillim. Ne figuren 3, zgjedhim opsionin Data Encryption (WEP enabled). Tek opsioni Network Authentication percaktojme emrin e elesit te rrjetit, Network key.

Figure 3 Pas perfundimit te wizard kompjuteri eshte i gatshem te perdore sherbimin Wireless LAN.

3.4 Implementimi i nje rrjeti te sigurte 802.11b WLAN

Kemi zgjedhur standartin wireless 802.11b, sepse ofron cilsi te larte lidhjeje dhe premton te permisoje aksesin dhe sigurine ne keto rrjete. Zevendesimi i plote i nje rrjeti kabellor LAN me nje rrjet wireless nuk perben nje domosdoshmeri. Ajo qe sot shume kompani mund te bejne eshte ngritja e nje rrjeti dual, LAN dhe WLAN. Nje arsye per kete eshte throughput-i prej 11 Mbps i 802.11 WLAN, shume me i ulet se 100 Mbps i rrjeteve kabellor LAN.

3.4.1 Instalimi i WLAN te sigurt

Per te pasur rezultate sa me te kenaqshme do te ndjekim nje strategji qe konsiston ne inspektimin e hapsires se mbulimit, perzgjedhjen e tipit te pikave te aksesit dhe lidhjen me rrjetin kabellor. Hapi 1: Inspektimi i hapsires se mbulimit

Askush nuk mund te percaktoje saktesisht se si rrjeti wireless do te operoje ne do situate, ndaj inspektimi i hapsires se mbulimit eshte i domosdoshem per nje implementim te sakte te WLAN. Kompleksiteti i ketij inspektimi varet nga natyra e rrjetit qe duhet projektuar dhe karakteristikat fizike te tij. Kanale te limituar. 802.11b ofron tre kanle qe nuk mbulojne njeri-tjetrin. Per te evituar nderhyrjet, dy pajisje AP te aferta nuk duhet te perdorin te njejtin kanal komunikimi. Pra inspektimi duhet te perfshije percataktimin e kanaleve te komunikimit per te gjitha pikat e aksesit, nese nuk ofrohet nje menyre per percaktimin automatik te tyre. Identifikimi i rreziqeve. Inspektimi yne duhet te shqyrtoje mundesine qe ata qe ndodhen jashte nderteses mund te aksesojne WLAN-in. Ne rrastin e rrjeteve wireless nje hacker majfton te ndodhet ne hapsiren qe mbulohet nga pikat e aksesit, per te kapur sinjalin WLAN. Perdorimi i antenave drejtuese mund te zvogeloje shperndarjen e radio-valeve dhe te minimizoje rrezikun, por nuk e eleminon tersisht ate. Kjo sepse hacker-at nga ana e tyre mund te perdorin antena te fuqishme per kapur sinjalet wireless. Nderfaqja RF (frekuence radio). Disa elemente te zakonshem te ndertesave mund te interferojne ne sinjalin e nje pike aksesi, ndaj shqyrtojme situatat e meposhtme qe krijojne probleme ne depertimin e valeve radio: - Dhomat me kondicionere me motorre te fuqishem - Furrat me mikrovale - Ashensoret - Metalet dhe materialet e tjera te ketij lloji

3.4.2 Mbrojtja e WLAN

Mbrojtja e WLAN bazohet ne metodat e meposhtme te cilat edhe pse nuk rezultojne efikase ne te gjitha situatat, perbejne nje fillim te mire. Nuk duhet t`ia besojme enkriptimin vetem WEP. WEP ofron mbrojtje te thjeshte kunder sulmeve te zakonshme. Per tu mbrojtur prej hackers, duhet te kombinojme WEP me VPN-te apo standarte te tjera enkriptimi gje qe rezulton ne nje mbrojtje me te forte.

Veojme rrjetin wireless. Nje WLAN nuk eshte po aq i sigurte sa nje LAN kabellor. Nuk duhet te lejojme paketat te kalojne direkt midis mjediseve wireless dhe kabellor, por duhet te vendosim firewall te brendshem ndermjet LAN dhe WLAN, dhe te kerkojme enkriptim dhe identifikim te forte perpara se te lejojme paketat te shkembehen ndermjet tyre. Nderrim i shpeshte i elesave te enkriptimit WEP. Kjo nuk i mbron elesat WEP sepse nje hacker mund ti zbuloje ato brenda disa oreve, por nderrrimi i shpeshte i tyre siguron qe nje rrjet i kompromentuar te mos qendroje i tille per nje kohe te gjate. Kjo zgjidhje eshte e veshtire sepse kerkon update te do pike aksesi dhe wireless NIC. Standarti WPA kujdeset per ndryshimin automatike te ketyre elesave. Kufizim i sinjalit jashte hapsire se sherbimt. Gjate vendosjes se pikave te aksesit brenda nje ndertese, duhet kujdesur qe sinjali te mbuloje gjithe zonen, por per aq sa eshte e mundur te pengohet edhe trafiku jashte saj. Ndryshimi i password-eve dhe adresave IP default. Ndryshimi i tyre eshte nje praktike e mire sepse pikat e aksesit permbajne web servera te inkorporuar me nderfaqe per administrimin e tyre. Nese nuk ndryshohen vlerat default, nje hacker mund te aksesoje nderfaqen e administrimit me ndihmen e nje web browser-i. Eleminimi i pikave te paautorizuara te aksesit. Me dedektimin e pikave te tilla duhet bere menjehere eleminimi i tyre nga rrjeti.

3.4.3 VPN-te dhe siguria e WLAN

Nje VPN (virtual private network) mundeson perdoruesit e nje rrjeti publik si eshte Interneti ose nje rrjeti WLAN, te vendosin lidhje te sigurta me nje rrjet privat. VPN mbron rrjetin wireless LAN permes krijimit te nje tuneli qe siguron te dhenat nga aksesimi i paautorizuar i tyre. VPN-te sigurojne nivel te larte besueshmerie permes perdorimit te teknologjive standarte te sigurise, si IPSec (Internet protocol security). IPSec perdore algoritme te forte per sigurimin e te dhenave dhe ertifikata dixhitale per verifikimin e elesave publik. Perdorimi i VPN-ve per minimizimin e rreziqeve te WLAN, do te vazhdoje derisa vete pikat e aksesit te sigurojne nje proes te besueshem identifikimi dhe enkriptimi. Kjo mund te ndodhe ne te ardhmen me implementimin e standarteve te tjere 802.11, si eshte standarti 802.11i me sistemin e enkriptimit te avancuar AES.

Autorizim dhe identifikim duke perdorur sherbimin RADIUS

Ne menyre qe identifikimi i klienteve WLAN te funksionoje, transmetimet e nje perdoruesi duhet te kalojne permes nje pike aksesi WLAN per te arritur ne serverin qe realizon identifikimin. Menyra standarte e veprimit ne WPA dhe 802.11i eshte perdorimi i identifikimit 802.1X ne nje server RADIUS. Si tregohet ne figuren 2-9, klienti kontakton piken e aksesit, e cila do komunikoje me pas me serverin RADIUS. Serveri RADIUS verifikon kredencialet e klientit per te percaktuar nese pajisja e tij duhet lejuar te lidhet me rrjetin. Nese pajisja e klientit pranohet, serveri RADIUS dergon te dhena, duke perfshire elesat e sigurise te pikes se aksesit per te mundesuar nje lidhje te sigurte me klientin.

Figura 3-2. Skema mesazheve per identifikimin e nje klienti

Figura 3-3. Rrjeti WLAN qe perfshin VLAN, DHCP, VPN dhe serverin e identifikimit

4. EAP-TLS (Transport Layer Security)

TLS (Transport Layer Security) eshte pasardhes i SSL (Secure Sockets Layer) , te cilet jane protokolle kriptografike per ruajtjen e integritetit te te dhenave per komunikimin ndermjet rrjetave si psh Interneti. TLS dhe SSL enkriptojne segmente te lidhjeve ne shtresen e transportit . Disa versione te protokollit jane perhapur nre aplikime te ndryshme si kerkuesit e web-it, posta elektronike,faksi elektronike, mesazhet direkte dhe voice-over-IP (VoIP).

Protokollet e Internetit
Shtresa e Aplikimit

BGP DHCP DNS FTP GTP HTTP IMAP IRC MGCP NNTP NTP POP RIP RPC RTP RTSP SDP SIP SMTP SNMP SOAP SSH Telnet TLS/SSL XMPP (etj)
Shtresa e Transportit

TCP UDP DCCP SCTP RSVP ECN (etj)

Shtresa e Internetit

IP (IPv4, IPv6) ICMP ICMPv6 IGMP IPsec (etj)

Shtresa e Linkut

ARP RARP NDP OSPF Tunnels (L2TP) PPP Media Access Control (Ethernet, MPLS, DSL, ISDN, FDDI) (etj)

4.1 Pershkrim i protokollit

Protkolli Point-to-Point (PPP) mundeson metoden standarte per transportimin datagrameve multi-protokoll nepermjet lijnave point-to-point. PPP percakton edhe nje zgjerim me emrin LCP (Link Control Protocol), qe perdoret per te shkembyer metodat e identifikimit, gjithashtu kemi edhe nje ECP (Encryption Control Protocol), qe perdoret per shkembimin e enkritimit te te dhenave, dhe nje CCP (Compression Control Protocol), qe perdoret per shkembimin e metodave te kompresimit. EAP (Extensible Authentication Protocol) eshte nje zgjerim i PPP qe mundeson disa metoda shtese per identifikimi brenda PPP. TLS (Transport Level Security) mundeson nje identifikim te ndersjellte, mbrojtjen e integritetit te shkembimit te setit te shifrave dhe shkembimit te celsave ndermjet klientit dhe serverit.

EAP (Extensible Authentication Protocol),mundeson nje mekanizem standart qe suporton metoda shtese brenda PPP.Nepermjet perdorimt te EAP mund te shtojme nje numer skemash identifikimi, duke perfshire kartat smart ,Kerberos, celesat Publik, Passwordet me nje mundesi, dhe te tjere. Ne ditet e sotme,metodat EAP jane fokusuar ne identifikimin e klientit tek nje server. Sidoqofte, identifikimi i ndersjellte mund te jete me i deshirueshem, duke presupozuar qe protokollet e mesiperme perdorin nje celes sesionesh , meqe eshte e volitshme te kemi nje mekanizem per vendosjen e celesave te sesioneve. perderisa synimi i protokolleve eshte menaxhimi i celesave te sigurise, eshte e deshirueshme shmangia e krijimit te mekanizmave te rinj. Protokolli EAP i pershkruar meposhte mundeson qe nje klient qe perdor PPP avantazhohet nga sherbime si,shkembimi i setit te shifrave ne menyre te mbrojtur, identifikimi te ndersjellte dhe menaxhimi i celesave,mundesi qe i shtohen nga protokolli TLS. Protokolli TLS mundeson qe aplikimet klient/server te komunikojne nepermjet nje rrjeti ne menyre te qe te parandaloje pergjimin, modifikimin dhe fallsifikimin e mesazheve. Ofron identifikimin e klientit dhe besueshmeri ne komunikimet e bera nepermjet Internetit duke perdorur kriptografine. Nje perdorim tipik eshte browseri i klientit, identifikimi TLS eshte unilateral: vetem serveri identifikohet (klienti merr identitetin e serverit), por nuk ndodh e anasjellta ( klienti mbetet i paidentifikuar ose anonym). Identifikimi i serverit do te thote disa gjera per browserin e klientit. Ne nivelin e browserit , kuptimi i vetem eshte verifikimi i certifikates se serverit ,p.sh. verifikon firmen digjitale te certificates se serverit duke perdorur zinxhirin-CA (zinxhiri i Autoriteteve te Certifikimit qe garantojne lidhjen e informacionit te identifikimit me celesat publike PKI (public key infrastructure)) . pasi eshte verifikuar, browseri shfaq nje ikone sigurie. Por verifikimi i thjeshte nuk identifikon serverin tek klienti . Per nje identifikim te vertete , ai mbeshtetet vetem tek klienti qe te jete i kujdesshem ne vezhgimin me kujdes te informacionit qe permbahet ne certifikaten e serverit . Ne vecanti ikona e sigurise tek browseri nuk ka lidhje me URL, DNS adresen IP te serverit. Lidhja mund te arrihet e sigurt vetem ne rastin kur URL, emri DNS ose adresa IP eshte e specifikuar ne certifikaten e serverit . Sitet fallco nuk mund te perdorin nje certificate te nje siti tjeter sepse nuk dine menyren e enkriptimit te transmetimeve ,per dekriptimin e te dhenave duhet te perdoret nje certificate e vlefshme . Meqe vetem nje CA e besushme mund te lidhet me nje URL ne certifikate, kjo siguron se vetem kontrolli i URL se shfaqur me URL e specifikuar ne certificate eshte nje menyre e vlefshme per te identifikuar sitin e vertete . TLS gjithasht suporton nje menyre me te sigurt te quajtur menyra e lidhjes bilaterale (zakonisht e perdorur ne aplikimet e ndermarrjeve te ndryshme ),Ne kete rast te dy bashkebiseduesit mund te sigurohen se me ke jane duke komunikuar . Kjo eshte e njhur si identifikim i dyfishte . Identifikimi i dyfishte kerkon qe pjesa e klientit

te permbaje nje certifikate (qe nuk eshte e zakonshme per klientet e nje browseri ). Vetem kur perdorim, TLS-PSK, protokollin SRP (Secure Remote Password) ose ndonje protokoll tjeter qe mundeson identifikim te dyfishte ne mungese te certifikatave . TLS perfshin 3 faza baze: Shkembimi me klientin per algoritmin qe suporton Shkembimin e celesave dhe identifikim Shifra simetrike per enkriptim dhe mesazhet e identifikimit

Gjate fazes se pare klienti dhe serveri shkembejne kompletinipher e shifrave , te cilat percaktojne shifrat qe do te perdoren , shkembimi i celesave dhe algoritmat e identifikimit, gjithashtu edhe mesazhet e identifikimit te kodeve MAC (message authentication codes) . Shkembimi i celesave dhe algoritmave te identifikimit jane celesa publik algoritmik, ose ne TLS-PSK celesa te shkembyer perpara se te perdoren . MAC-et jane te bera nga perzierja e funksioneve kriptografik pra duke perdorur HMAC per ndertimin e TLS, nje funksion jo standart pseudo i rastesishem per SSL. Algoritmat me tipike jane: Per shkembimin e celesave: RSA, Diffie-Hellman, ECDH, SRP, PSK Per identifikim: RSA, DSA, ECDSA Shifrat simetrike: RC4, Triple DES, AES, IDEA, DES, ose Camellia. Ne versionet me te vjetera te SSL, perdorej RC2 . Per perzierjen e funksioneve kriptografike: HMAC-MD5 ose HMAC-SHA jane perdorur per TLS, MD5 dhe SHA per SSL, ndersa versione me te vjetra te SSL kane perdorur MD2 dhe MD4.

Zakonisht, informacioni i celesave dhe certifikatave te nevojshem per TLS jane vendosur ne formen e certifikates X.509 , qe pecakton fushat e kerkuara dhe formatet e te dhenave .

3. Shikim i pergjithshem i protocollit

3.1. Shikim i pergjithshem i transmetimeve EAP-TLS

Transmetimet EAP-TLS zakonisht fillojne me identifikuesin AP (Access Point) dhe klientin te cilet shkembejne paketa EAP. Identifikuesi do te dergoje nje pakete EAP-

kerkoj/identitet klientit, dhe klienti do te pergjigjet me nje pakete EAP-pergjigje/identitet identifikuesit, ku kjo pakete do te permbaje identitetin e klientit.

Qe nga ky cast e me tej, ku transmetimet EAP do te behen ndernjet serverit dhe klientit, identifikuesi luaje rolin e nje paisjeje kalimi te paketave EAP qe dergon klienti te cilat enkapsulohen per transmetim drejt nje serveri RADIUS ose nje serveri fundor qe ka per qellim sigurine. Ne pershkrimin qe do te bejme meposhte, ne do te perdorim termin "serveri EAP" qe te percaktojme serverin me te cilin klienti do te transmetoje. Pasi marrim identitetin e klientit, serveri EAP duhet te pergjigjet me nje pakete EAP-TLS/fillo , qe eshte nje pakete EAP-kerkoj EAP-Tip=EAP-TLS, bitin fillo 1 (S) dhe pa te dhena. Qe nga ky cast fillon "biseda" EAP-TLS , me klientin qe dergon nje pakete EAP-pergjigje dhe EAP-Tipi=EAP-TLS. Fusha e te dhenave e kesaj pakete do te enkapsuloje nje ose me shume rekorde TLS te cilat permbajne mesazhin TLS te fillimit te transmetimit te klientit. Shifra korrente e specifikuar per rekordet TLS do te jete TLS_NULL_WITH_NULL_NULL dhe pa compression. Kjo shifer korrente e specifikuar mbetet e tille deri ne mesazhin ndrysho_shifren_e_specifikuar. Mesazhi i fillimit te transmetimit i klientit permban numrin versionin te TLS , nje identifikim te sesionit , nje numer te rastesishem, dhe nje set shifrash qe suportohen nga klienti. Versioni i ofruar nga klienti duhet te korrespondoje te TLS v1.0 ose me te ri. Serveri EAP do te pergjigjet me nje pakete EAP-kerkoj me EAP-Tipi=EAP-TLS. Fusha e te dhenave e kesaj pakete do te enkapsuloje nje ose me shume rekorde TLS. Keto rekorde do te permbajne mesazhin TLS te fillimit te transmetimit te serverit, zakonisht e ndjekur nga certifikata TLS , shkembimi_i_celesit_te_serverit, kerkoj_certifikate, dhe/ose mesazhet per mbarimin e transmetimit te serverit, dhe/ose nje mesazh TLS ndrysho_shifren_e_specifikuar. Mesazhi i fillimit te transmetimit permban numrin e versionit TLS, nje tjeter numer i rastesishem, nje identifikim te sesionit,dhe nje set shifrash. Versioni i ofruar nga serveri duhet te korrespondoje te TLS v1.0 ose me te ri. Ne qofte se indentifikuesi i sesionit eshte 0 ose i panjohur nga serveri, serveri duhet te zgjedhe nje identifikues sesioni ne menyre qe te nise nje session i ri, perndryshe identifikuesi i sesionit jete i barabarte me ate te ofruar nga klienti, qe tregon rifillimin e nje sesioni te vendosur me perpara me ate identifikues sesioni. Serveri, gjithashtu do te zgjedhe setin e shifrave ndermjet atyre te ofruara nga klienti, por ne qofte se kemi rifillimin e nje sesioni te meperparshem, atehere seti i shifrave duhet te jete i barabarte me ate te shkembyer gjate sesionit te meperparshem. Qellimi i identifikuesit sesionit brenda protokollit TLS eshte qe te arrije nje efektshmeri te larte ne rastin kur nje klient kerkon ne menyre te perseritur te identifikohet nga nje server EAP brenda nje kohe te shkurter. Gjate zbulimit te ketij modeli per perdorimin per identifikim me ane te HTTP , gjithashtu kemi aplikacione per identifikimin me ane te PPP (p.sh. multilink). Si rezultat, lihet ne dore te klientit ne qofte se kerkoje te vazhdoje nje

sesion te meperparshem, duke shkurtuar "bisedat" TLS . Ne menyre tipike vendimi i klientit do te behet bazuar brenda nje kohe te caktuar duke ju referuar perpjekjes se fundit per tu identifikuar tek ai server EAP . Bazuar ne identifikuesin e sesionit te zgjedhur nga klienti, dhe koha e e kaluar qe nga identifikimi i i meperparshem, serveri EAP server do te vendose nese do te lejoje vazhdimin, apo apo do te zgjedhe krijimin e nje sesioni te ri. Ne rastin kur serveri EAP dhe identifikuesi jane ne te njejten paisje, atehere klienti mund te vazhdoje sesionin vetem ne rastin kur rilidhet me te njejtin server NAS ose tunel . A duhet qe keto paisje te lidhen ne topologjine ring apo round-robin atehere edhe klienti mund te mund te parashikoje se me cilin identifikues po lidhet , e keshtu pra edhe cilin identifikues sesioni po kerkon te riperdore . Si rezultat , mundesia me e madhe e kesaj metode eshte nje deshtim ne rastin kur duam te riperdorim sesionin e meperparshem . Ne rastin kur identifikuesi EAP eshte i larget (pra identifikuesi i vecuar nga serveri) vazhdimi i lidhjes ka shume mundesi te jete i sukseshem , meqe shume paisje NAS dhe servera tunel do te tejcojne identifikimet e tyre te i njejti server RADIUS . Nese serveri EAP eshte duke rifiluar nje sesion te vendosur me perpara , atehere duhet te perfshije mesazhin ndrysho_shifren_e_specifikuar dhe mesazhin per mbarimin e transmetimit pas mesazhit te fillimit te transmetimit . Mesazhi i mbarimit te transmetimit permban pergjigjen e serverit EAP tek klienti. Nese serveri EAP nuk eshte duke rifilluar nje sesion te me perparshem , atehere ai eshte i detyruar te perfshije mesazhin e certifikates_se_serverit dhe mesazhi i mbarimit te transmetimit duhet te jete mesazhi i fundit i enkapsuluar ne paketen EAP-kerko. Mesazhi i certifikates permban nje celes pulik ne formen e zinxhirit te certifikatave ose ne formen e shkembimit te celesave publik (si p.sh. RSA ose Diffie-Hellman shkembim i celesave publik) ose nje firme digjitale e celesit publik (si p.sh. RSA ose firmat e celesave publik DSS). Ne rastin e fundit , nje mesazh per shkembimin_e_celesit_te_serverit duhet te perfshihet ne menyre qe te behet shkembimi i celesave . Mesazhi kerkoj_certifikate eshte i perfshire kur serveri deshiron qe klienti te identifikoje vetveten nepermjet nje celesi publik . Ndersa serveri EAP mund te kerkoje kete lloj identifikimi klientit, por kjo nuk eshte e detyrueshme , meqe ekziston mundesia qe serveri te identifikoje klientin nepermjet menyrave te tjera . Klienti duhet ti pergjigjet kerkeses se serverit me nje pakete EAP-pergjigje . Fusha e te dhenave e kesaj pakete do te enkapsuloje nje ose me shume rekorde TLs te cilet permbajne mesazhin ndrysho_shifren_e_specifikuar dhe mesazhin e mbarimit te transmetimit , dhe ne disa raste edhe certifikaten e klientit , dhe mesazhet verifiko_certifikaten dhe/ose shkembe_celesin_e_klientit . Nese mesazhi i lartpermendur i fillimit te transmetimit i derguar nga serveri EAP ne paketen EAP-

kerko tregon rifillimin e nje sesioni te meperparshem , atehere klienti duhet te dergoje vetem mesazhet ndrysho_shifren_e_specifikuar dhe mesazhin e mbarimit te transmetimit. Mesazhi i mbarimit te transmetimit permban identifikimin e klientit si pergjigje per serverin EAP . Nese mesazhi i lartpermendur i fillimit te transmetimit i derguar nga serveri EAP ne paketen EAP-kerko nuk tregon rifillimin e nje sesioni te me perparshem , atehere klienti duhet te dergoje, si shtese e mesazheve ndrysho_shifren_e_specifikuar dhe ate te mbarimit te transmetimit , nje mesazh shkembe_celesin_e_klientit ,i cili kompleton shkembimin e celesit master te shkembyer ndermjet klientit dhe serverit EAP . Nese serveri EAP dergon nje mesazh kerkoj_certifikate ne paketen EAP-kerko te lartpermendur, atehere klienti duhet te dergoje shtese mesazhet e certifikates dhe verifiko_certifikaten. Formulari permban certifikaten e firmes se celesit publik te klientit, ndersa mesazhi i fundit permban pergjigjen e klientit per identifikimin tek serveri EAP . Pas marrjes se kesaj pakete serveri EAP do te verifikoje certifikaten dhe firmen digjitale te klientit, nese kerkohet . Nese identifikimi i klientit nuk eshte i sukseshem ,serveri EAP mund te dergoje nje pakete EAP-kerko packet , ne te cilen enkapsulohet nje rekord TLS qe permban mesazhin me alarmin e duhur per kete rast . Serveri EAP mund te dergoje menjehere mesazhin alarmues me mire se te perfundoje menjehere "bashkebisedimin" ne menyre qe te lejoje klientin te informohet per shkakun e deshtimit dhe mundesisht te lejoje rifillimin e "bashkebisedimit" . Qe te sigurohet marrja e mesazhit te alarmit nga klienti , serveri EAP duhet te prese per pergjigjen e klientit me nje pakete EAP-pergjigje . Paketa EAP-pergjigje e derguar nga klienti mund te enkapsuloje nje rekord TLS qe permban mesazhin e fillimit te transmetimit te klientit , ne kete rast serveri EAP mund te lejoje bashkebisedimin qe te rifilloje , ose mund te permbaje nje pakete EAP-pergjigje pa te dhena , ne kete rast serveri EAP duhet te dergije nje pakete EAP-deshtim dhe te perfundoje bashkebisedimin Pra eshte ne dore te serverit EAP nese do te lejoje rifillimin , dhe nese kjo ndodh , sa here mund te rifillohet bashkebisedimi . Nje server EAP qe implementon mundesine e rifillimit te bashkebisedimit mund te vendose nje limit per numrin e rifillimeve , ne menyre qe te mbrohet nga sulmet DoS (denial of service) . Nese identifikimi i klientit eshte i sukseshem , serveri EAP duhet te pergjigjet me nje pakete EAP-kerko , e cila ne rastin e nje sesioni te ri permban nje ose me shume rekorde TLS qe permbajne mesazhet ndrysho_shifren_e_specifikuar dhe ate te mbarimit te transmetimit . Ne rastin e fundit permbahet pergjigjia e serverit per identifikimin klientin . Klienti me pas do te verifikoje funksionin perzieres ne menyre qe te identifikoje serverin EAP.

Ne qofte se nuk arrihet identifikimi i serverit , klienti mund te dergoje nje pakete EAP-pergjigje qe permban nje mesazh alarmi duke treguar shkakun pse deshtoi identifikimi . Klienti mund te dergoje nje mesazh alarm me mire te perfundoje menjehere bashkebisedimin pra duke lejuar serverin EAP qe te krontolloje shkakun e gabimit ne menyre qe te analizohet nga administratori i sistemit . Qe te sigurohet marrja e mesazhit te alarmit nga serveri EAP , klienti duhet te prese per pergjigjen nga serveri EAP perpara se te perfundoje bashkebisedimin . Serveri EAP duhet te pergjigjet me nje pakete EAP-deshtim meqe deshtimi ne identifikim i serverit eshte nje kusht perfundimtar . Nese serveri EAP identifikohet ne menyre te sukseshme , atehere klienti duhet te dergoje nje pakete EAP-pergjigje e tipit EAP-TLS dhe pa te dhena . Serveri EAP duhet te pergjigjet me nje mesazh EAP-Sukes .

3.2. Perseritja e paketave

Si edhe ne protokollet e tjere ,serveri EAP eshte pergjegjes perseritjet e paketave. Kjo do te thote se kur serveri EAP nuk merr nje pergjigje nga klienti , atehere ai duhet te ridergoje paketen EAP-kerko per te cilen nuk kemi akoma marre nje pakete EAPpergjigje . Sidoqofte , klienti nuk duhet te ridergoje paketen EAP-pergjigje packets pa u nxitur me pare nga serveri EAP . Per shembull , nese paketa EAP-TLS per fillimin e transmetimit e derguar nga serveri EAP do humbiste , atehere klienti nuk do te merrte kete pakete , dhe nuk do ti pergjigjej asaj . Si rezultat , paketa e fillimit te transmetimit do te ridergohet nga serveri EAP . Njehere qe klienti merr kete pakete ,ai do te dergoje nje pakete EAPpergjigje duke enkapsuluar mesazhin e fillimit te transmetimit . Nese paketa EAPpergjigje do te humbiste , atehere serveri EAP mund te ridergoje paketen e fillimit te transmetimit , dhe klienti do te ridergonte paketen EAP-pergjigje. Si rezultat , eshte e mundur qe klienti te marre paketen EAP-pergjigje te dubluar, dhe mund te dergoje paketen EAP-pergjigje te dubluar. Qe te te dy bashkebiseduesit (klienti dhe serveri EAP)duhet te kene nje inxhinier qe te merret kete rast .

me

Protokolli i rekordeve TLS

Ky eshte formati i pergjithshem per rekordet TLS. + Byte Byte +0 Tipi i permbajtjes Byte +1 Byte +2 Byte +3

0 Bytet 1..4 Bytes 5..(m-1) Bytes m..(p-1) Bytes p..(q-1)

Versioni
(i avancuar) ( i vjeter) (bitet 15..8)

Gjatesia
(bitet 7..0)

Mesazhet e Protokollit MAC (opsional) bllok qe perdoret vetem per shifrat

Tipi i permbajtjes Kjo fushe percakton tipin e protokollit te shtreses se rekordeve qe permbahet ne kete record . Tipi i permbajtjes Hex Dec Tipi 0x14 20 Ndrysho shifren e specifikuar 0x15 21 Alarm 0x16 22 Transmetim 0x17 23 Aplikim Versioni Kjo fushe percakton versionin e TLS . Per mesazhin e fillimit te transmetimit klientit , ky numer duhet duhet te jete me i larti qe suporton klienti . Versionet Version i Version Version Type avancuar i vjeter 3 0 SSLv3 3 1 TLS 1.0 3 2 TLS 1.1 3 3 TLS 1.2 te

Gjatesia Gjatesia e protokollit te mesazheve , nuk duhet te kaloje 214 bytes (16 KiB). Protokolli i mesazhit Nje ose disa mesazhe te percaktuar nga fusha e protokollit . Vini re se kjo fushe mund te enkriptohet ne varesi tegjendjes se lidhjes . MAC

Nje MAC( message authentication code) i llogaritur nepermjet protokollit te mesazhit, dhe shtese jane te perfshira materialet celes . Vini re se kjo fushe mund te enkriptohet , ose jo e perfshire komplet , ne varesi te gjendjes se lidhjes . Asnje MAC nuk mund te jete prezent ne fund te rekordeve TLS perpara se te gjitha shifrat , algoritmat dhe parametrat te jene shkembyer , dhe me pas konfirmuar duke derguar mesazhin ndrysho_shifren_e_specifikuar , kjo per sinjalizimin e ketyre parametrave ne menyre qe te ndikojne ne rekodet qe do dergohen ne vazhdim nga i njejti klient.

Protokolli i fillimit dhe mbarimit te transmetimit

Pjesa me e madhe e mesazheve te shkembyera gjate krijimit te sesionit TLS jane te bazuara ne kete rekord , pervec rastit kur dergohet nje gabim ose nje alarm dhe sinjalizimet per kete rast behen nga protokolli i Alarmeve , ose menyra e enkriptimeve te sesionit modifikohet nga protokolli Ndrysho_Shifren_e_Specifikuar . + Byte 0 Bytet 1..4 Bytet 5..8 Bytet 9..(n-1) Bytet n..(n+3) Bytet (n+4).. Byte +0 22 Versioni
(i avancuar) (i vjter) (bitet 23..16) (bitet 15..8)

Byte +1

Byte +2

Byte +3

Gjatesia
(bitet 7..0) (bitet 7..0)

Tipi i Mesazhit

Gjatesia e mesazhit
(bitet 15..8)

Te dhenat e mesazhit Tipi i Mesazhit Gjatesia e te dhenave te mesazhit

(bitet 23..16) (bitet 15..8) (bitet 7..0)

Te dhenat e mesazhit

Message type This field identifies the Handshake message type. Tipi i Mesazhit Kodi Pershkrimi 0 KerkoHello 1 KlientHello 2 ServerHello 11 Certifikate 12 ServerShkembeCelesat 13 KerkoCertifikate 14 ServerHelloMbaroi 15 VerifikoCertifikaten

16 20

KlientShkembeCelesat Mbaroi

Gjatesia e te dhenave te mesazhit Kjo eshte nje fushe 3-byteshe qe tregon e te dhenave te mesazhit , duke mos perfshire koken e mesazhit .

Protokolli i Alarmit
Ky rekord nuk dergohet gjate nje bashkebisedimi normal apo gjate shkembimeve . Sidoqofte , ky mesazh mund te dergohet gjate te gjithe kohes se bshkebisedimit dhe gjate mbylljes se nje sesioni . Nese perdoret per te sijnalizuar nje gabim fatal , sesioni do te mbyllet menjehere mbas drgimit te ketij rekordi, pra ky rekord perdoret per te dhene nje arsye per mbylljen e sesionit . Kur niveli i alarmit eshte ne nivel lajmerimi , serveri mund te vendose te perfundoje sesionin ne rastin kur sesioni nuk eshte mjaftueshem i besueshem . + Byte 0 Bytet 1..4 Bytet 5..6 Bytet 7..(p-1) Bytet p..(q-1) Niveli Kjo fushe percakton nivelin e alarmit . Nese niveli eshte fatal , derguesi duhet te perfundoje sesionin menjehere . Perndryshe , marresi mund te vendose te perfundoje sesionin vete , duke derguar alarmin fatal dhe perfunduar sesionin menjehere pas dergimit te tij. Perdorimi i rekordeve alarm eshte opsional, sidoqofte nese mungon perpara mbylljes se nje sesioni, sesioni mund te rifilloje automatikisht . Mbyllja normale e nje sesioni pas perfundimit aplikimi i klientit preferohet te lajmerohet me te pakten nje pakete Lajmero Mbylljen e tipit Alarm (me nje nivel lajmerimi te thjeshte ) ne menyre qe te parandaloje rifillimin e nje sesioni te ri automatikisht . Sijnalizimi eshte menyra normale e mbylljes se nje sesioni te sigurt perpara se te mbyllet realisht shtresa e tij e transportit perdoret per te parandaluar sulme te mundeshme . Byte +0 21 Versioni
(i avancuar) () 0

Byte +1

Byte +2

Byte +3

Gjatesia
2

Niveli

Pershkrimi MAC (optional) Bllok vetem per shifrat

Tipet e Nivelit te alarmit Kodi 1 2 Pershkrim Kjo fushe se cfare tip alarmi po dergohet. Alert description types Tipet e nivelit lajmerim or fatal fatal fatal fatal fatal fatal Zakonisht nje implementim i keq i SSL se te dhenat jane modifikuar me p.sh. firewall FTP ne nje server FTPS. vetem TLS , rezervuar vetem TLS Tipi i nivelit lajmerim fatal Gjendja e Lidhjes Lidhja ose siguria mund te jete e paqendrueshme. Lidhja ose siguria mund te jene kompromentuar , ose ka ndodhur nje gabim i pakthyeshem .

Kodi 0 10 20 21 22 30 40 41 42 43 44 45 46 47 48

Pershkrimi Lajmerim mbyllje Mesazh i papritur Rekord i demtuar i MAC Dekriptimi deshtoi Rekord overflow Dekompresimi deshtoi Handshake deshtoi

Shenime

fatal lajmerim Mungon certifikata or fatal Certifikate e lajmerim demtuar or fatal Certifikate qe nuk lajmerim suportohet or fatal lajmerim Certificate e anulluar or fatal lajmerim Certifikate e skaduar or fatal Certificate e lajmerim panjohur or fatal Parameter i palejuar fatal CA e panjohur fatal (Certificate

vetem SSL v3 , rezervuar

vetem TLS

49 50

fatal fatal lajmerim 51 Gabim dekriptimi or fatal 60 Export i kufizuar fatal 70 Versioni i protokollit fatal Siguri e 71 fatal pamjaftueshme 80 Gabim i brendeshem fatal 90 Anulluar nga klienti fatal 100 Nuk ka rishkembim lajmerim 110 Shtese e jo suportuar lajmerim

authority) Akses i mohuar Gabim dekodimi

vetem TLS vetem TLS vetem TLS vetem TLS , rezervuar vetem TLS vetem TLS vetem vetem vetem vetem TLS TLS TLS TLS

ChangeCipherSpec protocol
+ Byte 0 Bytet 1..4 Byte 5 Byte +0 20 Versioni
(i avancuar) (i vjeter) 0

Byte +1

Byte +2

Byte +3

Gjatesia
1

Tipi i protokollit CCS

Tipi i protokollit CCS Deri me tani vetem 1.

Protokolli i aplikimit
+ Byte 0 Bytet 1..4 Bytet 5..(m-1) Bytet m..(p-1) Bytet p..(q-1) Gjatesia Byte +0 23 Versioni
(i avancuar) (i vjeter) (bits 15..8)

Byte +1

Byte +2

Byte +3

Gjatesia
(bits 7..0)

Te dhenat e aplikimit MAC (opsional) Bllok vetem per shifrat

Gjatesia e te dhenave te aplikimit (duke perjashtuar koken e protokollit , MAC dhe bishtin) MAC 20 byte per SHA-1-bazuar ne HMAC, 16 byte per MD5-bazuar ne HMAC. Shifrat Gjatesi e ndryshueshme ; byte i fundit permban gjatesine e bllokut .

2.6 Permbledhje
Projektimi i nje rrjeti wireless nuk eshte nje detyre e thjeshte. Shume atribute te teknologjise wireless duhet te konsiderohen pergjate ketij proesi. Duhet reflektuar mbi faktin se brenda rrjeteve wireless, atribute si levizshmeria dhe thjeshtesia aksesimit mund te ndikojne ne rrjet per sa i perket kostove dhe funksionimit. Komponentet e nevojshem per implementimin e nje rrjeti WLAN jane; pikat e aksesit, router-at, perseritesit, antenat etj. Keto rrjete mund te kene nje pike te vetme aksesi si ne rastin e zyrave te vogla, deri ne qindra te tilla per mbulimin e nje hapsire gjeografike te gjere.

Perfundime
Komunikimet wireless i ofrojne organizatave dhe perdoruesve, perfitime te ndryshme si levizshmeri, fleksibilitet, rritje produktiviteti dhe kosto te reduktuar instalimi. Pajisjet WLAN, per shembull, lejojne perdoruesit qe te levizin me laptopet e tyre brenda ambjenteve te punes pa kabllo dhe pa humbur lidhjen me rrjetin. Rjetet Ad hoc, si eshte Bluetooth, lejojne sinkronizim te dhenash dhe shkembime te dhenash. Pajisje te tjera si PDA-te dhe celularet lejojne perdorues remote te sinkronizojne te dhena dhe sigurojne akses ne sherbime si e-mail, akses Interneti etj. Megjithate rreziqet do jene perhere te pranishme. Disa prej ketyre rreziqeve jane te ngjashme me ato te rrjeteve kabllor, disa jane te reja dhe disa perkeqsohen nga vete teknologjia wireless. Projektimi dhe implementimi i nje rrjeti wireless kerkon: Njohjen e principeve te komunikimit wireless Njohjen e fizikes qe mundeson komunikimet wireless Percaktimin e komponenteve perberes te nje rrjeti wireless Njohjen e modeleve te rrjetit OSI dhe TCP/IP Metodologjite e perdorura per projektim dhe implementim

Ne dhjete vitet e fundit, impakti i komunikimeve wireless ne menyren se si njerzit jetojne dhe bejne biznes eshte tejkaluar vetem nga Interneti. Por komunikimet wireless jane akoma ne hapat e pare dhe hapat e metejshem do te konsistojne ne zevendesimin e infrastruktures tradicionale te kabelluar dhe implementimin e infrastrukturave te rrjetit, te cilat me pare vetem mund te imagjinoheshin. Si do teknologji e re edhe wireless nuk ofron nje nivel te pershtatshem sigurie, ndaj siguria perben nje sfide per te ardhmen. Kujdes duhet patur qe ne hapat e pare te projektimit te nje rrjeti wireless sepse nje rrjet i projektuar mire eshte nje rrjet me i sigurte. Ne te njejten kohe, sfide per te ardhmen do perbej ulja e kostove te implementimit dhe rritja e bandwith-it.

Referencat Bibliografia
Ne punimin e kesaj teme diplome ishte i vlefshem konsultimi i publikimeve te meposhtme.

Christian Barnes, Tony Bautts, Donald Lloyd, Eric Ouellet, Jeffrey Posluns David M. Zendzian, Neal OFarrell Hack Proofing Your Wireless Network Jeffrey Wheat, Randy Hiser, Jackie Tucker, Alicia Neely, Andy McCullough Designing A Wireless Network Jim Geier

Wireless Networks First-Step Tara M. Swaminatha, Charles R. Elden Wireless Security and Privacy, Best Practices and Design Techniques Dr. Eric Cole, Dr. Ronald Krutz, and James W. Conley Network Security Bible 2005 Rob Flickenger Building Wireless Community Networks Frank Ohrtman, Konrad Roeder Building 802.11b wireless networks ROMAN KIKTA, AL FISHER, MICHAEL P. COURTNEY Wireless Internet Crash Course

Adresa Interneti
http://www.wireless.gr/wireless-links.htm

Liste adresash te ndryshme rreth rrjeteve wireless

http://www.wi-fiplanet.com/

Website mbi teknologjine Wi-Fi

http://www.wirelessdevnet.com/

Probleme dhe zgjidhje mbi teknologjine wireless

http://www.intel.com/solutions/wireless/

Intel - Wireless solutions

http://howto.gp.mines.edu/HOWTO/Wireless-HOWTO/

Nje trajtim praktike i aspekteve kryesore te teknologjise wireless.

http://www.cnp-wireless.com/

Informacione teknike rreth standarteve dhe teknologjise wireless.

http://www.tech-faq.com/wireless-networks.shtml

Informacione rreth aplikacioneve wireless dhe perdorimit te tyre ne te ardhmen.

http://www.informationweek.com/

Informacion mbi rrjetet dhe komunikimet wireless ne forme artikujsh dhe dokumentash te tjera.
http://80211b.weblogger.com/

Cilsite dhe te dhena te tjera mbi standartin 802.11b .

http://standards.ieee.org/getieee802

Link mbi standartet IEEE 802.11

http://www.itsecurity.com/

Trajton probleme te sigurise lidhur me teknologjine wireless, Internetin etj.

http://www.bluetooth.org

Informacion mbi teknologjine Bluetooth

Shkurtime termash
2G 3G AP AES DHCP DoS EDGE EM GHz GSM HTML HTTP IEEE IP IPsec IR ISM ISO Kbps KHz LAN MAC Mbps MHz NIC OSI PC PCMCIA PDA PIN QoS RADIUS RF SNMP SSID Second Generation Third Generation Access Point Advanced Encryption Standard Dynamic Host Control Protocol Denial of Service Enhanced Data GSM Environment Electromagnetic Gigahertz Global System for Mobile Communications HyperText Markup Language HyperText Transfer Protocol Institute of Electrical and Electronics Engineers Internet Protocol Internet Protocol Security Infrared Industrial, Scientific, and Medical International Organization for Standardization Kilobits per second Kilohertz Local Area Network Medium Access Control Megabits per second Megahertz Network Interface Card Open Systems Interconnection Personal Computer Personal Computer Memory Card International Association Personal Digital Assistant Personal Identification Number Quality of Service Remote Authentication Dial-in User Service Radio Frequency Simple Network Management Protocol Service Set Identifier

TCP VPN WEP WI-FI WLAN WML WWAN WPAN

Transmission Control Protocol Virtual Private Network Wired Equivalent Privacy Wireless Fidelity Wireless Local Area Network Wireless Markup Language Wireless Wide Area Network Wireless Personal Area Networks

Shpjegim termash
Dynamic Host Configuration Protocol (DHCP) Protoklli i perdorur per percaktimin e adresave IP dinamike per te gjitha pajisjet apo nyjet e rrjetit. Nepermjet adresimit dinamik do pajisje do te kete IP te ndryshme sa here lidhet ne rrjet. Industrial, Scientific, and Medical (ISM) Band Brezi ISM i referohet gjersive 2.450 0.50 GHz dhe 5.8 0.75 GHz. Infrared (IR) Nje brez i padukshem rezatimi ne fund te spektrit elektromagnetik. Perdoret per transmetime wireless ndermjet pajisjeve kompjuterike atyre sterio, video etj. Institute of Electrical and Electronics Engineers (IEEE) Nje shoqate profesionale per inxhinieret elektronike dhe elektike qe percakton standarte per aplikimet kompjuterike dhe ato te telekomunikacionit. International Organization for Standardization (ISO) Nje organizate pergjegjese per krijimin e standarteve nderkombetare ne shume fusha, duke perfshire kompjuterat dhe komunikimet. Local Area Network (LAN) Nje rrjet qe bashkon kompjutera ne largesi te aferta, zakonisht ne te njejten ndertese, nepermjet nje kabelloje rrjeti. Medium Access Control (MAC)

Nje nenshtrese e shtreses Data Link, e cila kontrollon cila pajisje ka te drejte te komunikoje ne nje ast te caktuar.

Open Systems Interconnection (OSI) Nje model i shtresezuar per rrjetet e kompjuterave, projektuar nga ISO per te lejuar sistemet kompjuterike te prodhuesve te ndryshem te komunikojne me njeri-tjetrin. Personal Digital Assistant (PDA) Nje kompjuter dore qe sherben si menaxhues per te dhenat personale. Zakonisht perfshin nje database emer-adrese dhe nje mbajtes shenimesh. Permban nje ekran dhe nje lapes per te operuar ne te. Te dhenat mund te sinkronizohen me nje laptop nepermjet nje transmetimi me kabell ose wireless. Service Set Identifier (SSID) SSID eshte nje eles sekret qe percaktohet nga administratori i rrjetit. Virtual Private Network (VPN) VPN eshte nje rrjet privat qe perdore rrjetin publik (zakonisht Internetin) per te lidhur bashke remote sites apo perdorues. Ne vend te perdorimit te nje lidhje te dedikuar, nje VPN perdore lidhje virtuale te realizueshme nepermjet Internetit, nga rrjeti privat i kompanise te nje remote site apo punonjes i saj. Wireless Application Protocol (WAP) Nje standart i projektuar per te rritur sigurine e pajisjeve wireless. Nje nga cilsite qe ofron WAP eshte WML, nje version i minimizuar i HTML-se per pajisjet me ekran te vogel. WAP perdore gjithashtu WMLScript, nje gjuhe kompakte JavaScript qe punon ne memorje te kufizuara. Mund te aplikohet ne te gjithe variantet kryesore te rrjeteve wireless. Wired Equivalent Privacy (WEP) WEP eshte nje protokoll sigurie, specifikuar ne standartin IEEE Wi-Fi, 802.11, dhe eshte projektuar per t`i dhene rrjeteve WLAN nje nivel sigurie te ngjashem me ate te rrjeteve kabellor LAN.