KVANTIFIKACIJA UTICAJA ŠIFARSKIH ALGORITAMA NA PROPUSNI OPSEG BEŽIČNIH MREŽA

Zbornik radova 56. Konferencije za ETRAN, Zlatibor, 11-14. juna 2012. Proc. 56th ETRAN Conference, Zlatibor, June 11-14, 2012 KVANTIFIKACIJA UTICAJA ŠIFARSKIH ALGORITAMA NA PROPUSNI OPSEG BEŽIČNIH MREŽA Dejan Tepšić, Univezitet Singidunum, Beograd, dejan.tepsic.10@singimail.rs Mladen Veinović, Univezitet Singidunum, Beograd, mveinovic@singidunum.ac.rs Sadržaj – Ovaj rad istražuje i kvantifikuje uticaj različitih šifarskih algoritama na propusni opseg IEEE 802.11 bežičnih mreža. Eksperimenti su izvedeni u laboratorijskim uslovima na bežičnoj mrežnoj infrastrukturi, a dobijeni rezultati analiziraju propusni opseg u različitim sigurnosnim scenarijima. Analizirani su TCP i UDP transportni tokovi generisani sa tri različite brzine prenosa paketa. Efekat zagušenja bežičnog radio kanala takođe je kvantifikovan. Rezultati merenja pokazuju da nema značajne degradacije propusnog opsega bežičnih mreža kada je uključen neki od šifarskih algoritama. isti bežični medijum. Isto važi i za povećanje stepena sigurnosti. 3. BEŽIČNO MREŽNO OKRUŽENJE Bežično mrežno okruženje korišćeno u istraživanju sastoji se od jedne pristupne tačke i dva bežična mrežna klijenta. Ista merenja urađena su sa pristupnom tačkom različitih proizvođača i karakteristika, Cisco i TP-Link, i dva Toshiba laptop računara sa bežičnim mrežnim adapterima, kao što je prikazano na slikama 1, 2. 1. UVOD Zavisnost o bežičnim mrežama u svim sferama života stvorila je potrebu za povećanjem pouzdanosti i sigurnost tih mreža. Sigurnosni rizici u bežičnim mrežama su višestruko veći od onih u ožičenim mrežama, s obzirom na prirodu bežičnih radio talasa koji se emituju na zajedničkom bežičnom medijumu. Kako bi se sigurnosni rizici smanjili na podnošljiv nivo snažniji šifarski algoritmi moraju biti istraženi i usvojeni. Pored sigurnosti, performanse su drugi veliki problem bežičnih mreža. Ovi problemi su razmatrani gotovo isključivo zasebno. Mali broj radova postoji u području razumevanja odnosa između ta dva problema [1]. Cilj ovog istraživanja je razumevanje i kvantifikovanje odnosa između šifrovanja i propusnog opsega u bežičnim računarskim mrežama. Za sprovođenje ovog istraživanja izvedeni su eksperimenti u bežičnom mrežnom okruženju. Korišćeni su sigurnosni protokoli WEP, WPA i WPA2 za šifrovanje TCP i UDP saobraćaja pri brzinama prenosa podataka od 2 Mbit/s, 5 Mbit/s i 12 Mbit/s. Da bi se kvantifikovao uticaj šifarskih aloritama eksperimenti su sprovedeni i za slučaj kada se ne koristi šifrovanje. Slika 1. Bežično mrežno okruženje (Cisco pristupna tačka) 2. PREGLED POSTOJEĆIH RADOVA Motivacija iza ovog istraživanja je potreba za uvek jačom sigurnošću i većim propusnim opsegom u bežičnim računarskim mrežama. Odnos između dva faktora treba proučavati. Postojeći radovi u ovoj oblasti delimično su to i učinili i pokazali su različite rezultate [3], [6], [8]. Razmotren je uticaj različitih alogiratama za šifrovanje saobraćaja koji sadrži kombinovane pakete: podatke i govor [3]. Rezultati ne pokazuju veliki pad propusnog opsega pri prenosu podataka prilikom korišćenja različitih tehnika šifrovanja. Međutim, za govorne pakete, rezultati pokazuju znatno povećanje neravnomernosti (jitter) i kašnjenja prilikom prijema paketa. Analiziran je uticaj WEP sigurnosnog protokola na propusni opseg u ad-hoc mrežama [6]. Rezultati su pokazali smanjenje količine propuštenog saobraćaja usled prisutnosti sigurnosnog protokola. Analizirane su performanse bežičnih računarskih mreža sa velikim brojem asociranih klijenata [8]. Rezultati pokazuju degradaciju performansi sa porastom broja klijenata koji dele Slika 2. Bežično mrežno okruženje (TP-Link pristupna tačka) Tehničke specifikacije korišćenih bežičnih mrežnih uređaja:  Cisco pristupna tačka sa sledećim karakteristikama: • Model: Aironet 1242AG podržava IEEE 802.11a/b/g standarde. • Poseduje 13 radio kanala u opsegu od 2,4 GHz i 19 kanala u opsegu od 5 GHz sa maksimalnom brzinom prenosa podataka do 54 Mbit/s, odnosno 108 Mbit/s ukoliko se istovremeno koriste oba radio frekventna opsega. • Podržava WEP sa dužinom ključa od 64 i 128 bita, WPA-TKIP i WPA2-AES protokol za šifrovanje. • Poseduje zaseban hardverski čip za podršku za WPA2-AES šifarski protokol. TE4.8-1-4  TP-Link pristupna tačka sa sledećim karakteristikama: • Model: TL-WR941ND podržava IEEE 802.11b/g/n standarde. • Poseduje 13 radio kanala u opsegu od 2,4 GHz sa maksimalnom brzinom prenosa podataka do 300 Mbit/s u slučaju korišćenja IEEE 802.11n standarda. • Podržava WEP sa dužinom ključa od 64 i 128 bita, WPA-TKIP i WPA2-AES protokol za šifrovanje. • WPA2-AES šifarski protokol obrađuje se u okviru hardvera na pristupnoj tačci.  Toshiba laptop računar sa bežičnim mrežnim adapterom: • Model: Toshiba Satellite sa Intel® Core™ i3 procesorom i Intel® PRO/Wireless 2200BG mrežnim adapterom. • Operativni sistem: Microsoft Windows 7 x64. Softver koji se koristi: • Wireshark, softver za snimanje i analizu mrežnog saobraćaja. • JPerf, softver za generisanje mrežnog saobraćaja (TCP i UDP) pri različitim brzinama prenosa podataka. • IP Traffic, napredni softverski paket za generisanje mrežnog saobraćaja (TCP i UDP) pri različitim brzinama prenosa podataka. 3.1. SIGURNOSNI SCENARIJI Eksperimenti su izvedeni u dva bežična mrežna okruženja za različite sigurnosne scenarije (Tabela 1) i tokove saobraćaja: • Bez sigurnosnog algoritma: u ovom scenariju klijenti komuniciraju bežičnim putem bez ikakve provere identiteta i šifrovanja saobraćaja. Dobijeni rezultati se koriste kao referenca za poređenje sa scenarijima gde je omogućen sigurnosni protokol. • WEP: u ovom scenariju uključeno je šifrovanje. Eksperimenti su izvedeni za dužine ključa od 64 i 128 bita. • WPA: u ovom scenariju eksperimenti se izvode uz korišćenje TKIP šifarskog algoritma. • WPA2: u ovom scenariju koristi se procesorski najzahtevniji algoritam za šifrovanje, AES. U eksperimetima su korišćeni TCP i UDP tokovi saobraćaja. UDP saobraćaj reprezentuje govorne i video podatke koji se prenose preko računarske mreže, dok TCP saobraćaj u velikoj meri predstavlja standardni mrežni saobraćaj kao što je protokol za prenos hiperteksta (Hyper Text Transfer Protocol, HTTP), protokol za prenos datoteka (File Transfer Protocol, FTP) i druge. Razlikovanje ove dve vrste saobraćaja od presudne je važnosti za razumevanje rezultata eksperimenata. UDP tok saobraćaja nam omogućuje da odredimo maksimalni propusni opseg bežične mreže, jer ne poseduje mehanizam za proveru prispeća poslatih paketa. Saobraćaj je generisan i priman pomoću JPerf softverskog alata, instaliranog na oba bežična klijenta. JPerf je besplatan softverski alat sa grafičkim interfejsom iz koga se zadaju parametri za generisanje TCP ili UDP toka saobraćaja. Sastoji se iz serverske komponente koja se pokreće na bežičnom klijentu koji šalje pakete i klijentske komponente koja se pokreće na bežičnom klijentu koji prima pakete. Jednostavnom promenom parametara na oba bežična klijenta moguće je generisati saobraćaj u obrnutom smeru. Takođe, za generisanje i primanje TCP/UDP saobraćaja korišćen je i IP Traffic softverski alat, instaliran na oba bežična klijenta. IP Traffic je napredni softverski alat sa grafičkim interfejsom iz koga se zadaju parametri za generisanje TCP, UDP ili oba tipa saobraćaja istovremeno. Sastoji se iz serverske komponente koja se pokreće na bežičnom klijentu koji šalje pakete i klijentske komponente koja se pokreće na bežičnom klijentu koji prima pakete. Jednostavnom promenom parametara na oba bežična klijenta moguće je generisati saobraćaj u suprotnom smeru. Obe pristupne tačke korišćene u ovim eksperimentima podržavaju brzine prenosa podataka do 54 Mbit/s kada se koristi IEEE 802.11g standard. Za razliku od Cisco pristupne tačke, TP-Link pristupna tačka omogućuje i veće brzine prenosa podataka do teoretskih 300 Mbit/s u slučaju kada se koristi IEEE 802.11n standard. S obzirom da Cisco pristupna tačka ne poseduje podršku za IEEE 802.11n standard, radi uniformnosti rezultata u eksperimentima je korišćen IEEE 802.11g standard podržan na obe pristupne tačke. Brzina prenosa podataka na pristupnoj tačci, odnosno propusni opseg po bežičnom radio kanalu, je fiksiran na 11 Mbit/s. Izabrane brzine generisanja saobraćaja sa izvornog Tabela 1. Pregled korišćenih sigurnosnih scenarija klijenta su 2 Mbit/s, 5 Mbit/s i 12 Mbit/s. Ove vrednosti su izabrane kako bi se simulirao scenario prenosa podataka u Sigurnosni Naziv Opis nezagušenoj i zagušenoj bežičnoj računarskoj mreži. S scenario Bez sigurnosnog Bez provere identiteta i šifrovanja obzirom da je brzina prenosa podataka na pristupnoj tačci S1-Cisco algoritma saobraćaja fiksirana na 11 Mbit/s, generisanje saobraćaja od 2 Mbit/s Bez sigurnosnog Bez provere identiteta i šifrovanja S1-TP-Link reprezentuje nezagušenu mrežu, dok 12 Mbit/s generisanog algoritma saobraćaja saobraćaja oponaša zagušenu mrežu. Generisani saobraćaj od WEP-64 S2-Cisco WEP protokol sa 64-bitnim ključem 5 Mbit/s služi kao srednja vrednost između ova dva slučaja. WEP-64 S2-TP-Link WEP protokol sa 64-bitnim ključem WEP-128 WEP-128 S3-Cisco S3-TP-Link WPA-TKIP S4-Cisco WPA-TKIP S4-TP-Link WPA2-AES S5-Cisco WPA2-AES S5-TP-Link WEP protokol sa 128-bitnim ključem WEP protokol sa 128-bitnim ključem Za šifrovanje se koristi TKIP algoritam. Majklov algoritam se korsti za računanje kontrolne vrednosti integriteta. Provera identiteta se obavlja na osnovu poznavanja zajedničkog ključa. Za šifrovanje se koristi TKIP algoritam. Majklov algoritam se korsti za računanje kontrolne vrednosti integriteta. Provera identiteta se obavlja na osnovu poznavanja zajedničkog ključa. AES algoritam se koristi za šifrovanje i računanje kontrolne vrednosti integriteta. Provera identiteta se obavlja na osnovu poznavanja zajedničkog ključa. AES algoritam se koristi za šifrovanje i računanje kontrolne vrednosti integriteta. Provera identiteta se obavlja na osnovu poznavanja zajedničkog ključa. 3.2. PRIKUPLJANJE PODATAKA Transportni tokovi u različitim eksperimentima generisani su pomoću JPerf ili IP Traffic softverskog paketa, a celokupni saobraćaj snimljen je pomoću Wireshark softverskog alata. Prilikom prikupljanja podataka korišćena su sledeća pravila: • Da bi se bežično mrežno okruženje stabilizovalo, odbacuju se prva dva merenja. • Svaki eksperiment je izveden minimalno 5 puta zbog pouzdanosti podataka. • Merenja su beležena samo onda kada su rezultati iz dva različita pokušaja bili slični najmanje devedeset procenata. 4. EKSPERIMENTALNI REZULTATI U ovom delu rada dati su eksperimenatalni rezultati izvedeni u bežičnom mrežnom okruženju. Podaci su prikazani tabelarno (Tabela 2) i grafički na slikama 3-5, i obrađuju prosečnu vrednost propusnog opsega za različite sigurnosne scenarije pri brzinama prenosa podataka od 2 Mbit/s, 5 Mbit/s i 12 Mbit/s. Na osnovu dobijenih rezultata uočeno je sledeće: • Ne postoji velika degradacija prosečne vrednosti propusnog opsega nakon uključivanja šifarskih algoritama WEP-64, WEP-128 i WPA2-AES. • Smanjenje propusnog opsega kod WPA-TKIP šifarskog algoritma je veće nego u drugim sigurnosnim scenarijima. To može biti posledica većeg broja računskih radnji koje su uključene u ovaj algoritam. • WPA2-AES pruža viši nivo sigurnosti i što je interesantno daje bolje rezultate od WPA-TKIP šifarskog algoritma usled činjenice da je AES računski učinkovitiji i hardverski podržan na testiranim bežičnim mrežnim uređajima. • Za scenarije generisanog saobraćaja od 2 Mbit/s i 5 Mbit/s, prosečna vrednost propusnog opsega je u neposrednoj blizini stope generisanog saobraćaja. Međutim, za scenario generisanog saobraćaja od 12 Mbit/s, prosečna vrednost propusnog opsega je mnogo manja od stope generisanog saobraćaja. Ovaj rezultat je posledica zagušenja bežičnog radio kanala, jer je maksimalna vrednost propusnog opsega radio kanala na pristupnoj tačci fiksirana na vrednost od 11 Mbit/s. Generisani saobraćaj brzine 2 Mbit/s Slika 3. Prosečna vrednost propusnog opsega za generisani saobraćaj brzine 2 Mbit/s Generisani saobraćaj brzine 5 Mbit/s Slika 4. Prosečna vrednost propusnog opsega za generisani saobraćaj brzine 5 Mbit/s Tabela 2. Prosečna vrednost propusnog opsega za generisani saobraćaj brzine 2 Mbit/s, 5 Mbit/s i 12 Mbit/s Sigurnosni scenario Naziv Prosečan propusni opseg (2 Mbit/s) Prosečan propusni opseg (5 Mbit/s) Prosečan propusni opseg (12 Mbit/s) TCP UDP TCP UDP TCP UDP 2,048 5,083 5,118 5,667 6,067 Bez sigurnosnog algoritma S1Cisco 2,048 Bez sigurnosnog algoritma S1-TPLink 2,047 WEP-64 S2Cisco 2,045 2,046 5,041 5,116 5,482 6,002 WEP-64 S2-TPLink 2,045 2,047 5,034 5,112 5,446 5,936 WEP-128 S3Cisco 2,047 2,048 5,033 5,118 5,472 6,009 WEP-128 S3-TPLink 2,047 2,047 5,030 5,117 5,469 5,986 WPA-TKIP S4Cisco 2,044 2,046 4,929 5,107 5,208 5,778 WPA-TKIP S4-TPLink 2,042 2,045 4,917 5,098 5,211 5,780 WPA2-AES S5Cisco 2,047 2,048 4,992 5,119 5,404 5,901 WPA2-AES S5-TPLink 2,046 2,046 4,965 5,115 5,381 5,882 Generisani saobraćaj brzine 12 Mbit/s Slika 5. Prosečna vrednost propusnog opsega za generisani saobraćaj brzine 12 Mbit/s 2,048 5,077 5,116 5,656 6,044 5. ANALIZA REZUTATA Rezultati eksperimenata jednoznačno pokazuju da WPATKIP ima lošije performanse od drugih šifarskih algoritama. Još važnije, dobijeni rezultati pokazuju da je WPA2-AES šifarski algoritam samo neznatno sporiji od osnovnog WEP algoritma. Važno pitanje je zašto se TKIP šifrovanje i dešifrovanje obavlja sporije od AES šifarskog algoritma. WPA2-AES šifrovanje u savremenim bežičnim mrežama obično se obavlja hardverski u okviru pristupne tačke i bežičnog klijenta, dok se TKIP obrađuje softverski, što bi mogao biti glavni uzrok smanjenja performansi kod TKIP šifarskog algoritma. To je posledica činjenice da je TKIP razvijen kao softverska nadogradnja za WEP sigurnosni protokol uz zadržavanje kompatibilnosti sa postojećim hardverskim uređajima, bez potrebe za zamenom istih. AES šifarski algoritam je znatno sigurniji od prethodnih sigurnosnih mehanizama, a prema rezultatima eksperimenata samo neznatno sporiji od dokazano nesigurnog WEP-a. WPA2-AES šifarski algoritam zahteva veću procesorsku snagu u odnosu na WPA-TKIP i to može usporiti bežičnu mrežu ukoliko je izgrađena na hardveru koji nije usklađen. Dakle, ako se koriste stariji bežični mrežni uređaji koji AES šifarski algoritam obrađuju isključivo softverski, velike su šanse da WPA2-AES može usporiti mrežu. Ako se koriste novi bežični mrežni uređaji koji WPA2-AES šifarski algortam obrađuju hardverski smanjenje performansi će biti zanemarljivo. Merenja urađena na Cisco pristupnoj tačci sa snažnim procesorom sposobnim za brzo obavljanje procesa šifrovanja i dešifrovanja pokazuju donekle različite rezultate od onih koij su dobijeni na procesorski slabijoj pristupnoj tačci TPLink. Činjenica je da je Cisco pristupna tačka namenjena za rad u poslovnom okruženju uz asociranje većeg broja bežičnih klijenata. TP-Link pristupna tačka, iako hardverski slabija, podržava sve bežične standarde i šifarske algoritme kao i snažnija Cisco pristupna tačka. Stoga, TP-Link pristupna tačka se može pozicionirati u okruženju gde nema potrebe za asocijacijom velikog broja bežičnih klijenata. Rezultati eksperimenata pokazuju da ne postoji značajan pad prosečne vrednosti propusnog opsega usled korišćenja šifarskih algoritama u bežičnim mrežama. Za brzine generisanog saobraćaja od 2 Mbit/s i 5 Mbit/s nije primećen efekat zagušenja bežičnog kanala, jer je prosečna vrednost propusnog opsega gotovo identična brzini generisanog saobraćaja na izvornom klijentu. Međutim, rezultati dobijeni u scenariju gde se na izvornom klijentu generiše saobraćaj brzinom od 12 Mbit/s pokazuju da prosečna vrednost propusnog opsega iznosi svega 5,75 Mbit/s, što je daleko manja vrednost. Ovaj rezultat je posledica zagušenja na bežinom mrežnom kanalu izazvanom usled velike količine generisanog saobraćaja na izvornom klijentu, i daleko je manji od limitirane maksimalne vrednosti propusnog opsega bežičnog kanala od 11 Mbit/s. 6. ZAKLJUČAK U ovom radu kvantifikovan je uticaj šifarskih algoritama na propusni opseg u savremenim IEEE 802.11 bežičnim mrežama. Istraživanje je urađeno u mrežnom okruženju koje se sastoji od pristupne tačke i bežičnih mrežnih klijenata. Eksperimenti su izvedeni u nekoliko različitih sigurnosnih scenarija u kojima je prenošen TCP i UDP saobraćaj pri brzinama generisanja paketa od 2 Mbit/s, 5 Mbit/s i 12 Mbit/s na izvornom klijentu. Propusni opseg bežičnog kanala na pristupnoj tačci limitiran je na 11 Mbit/s, čime je simulirana nezagušena i zagušena bežična mreža. Sigurnosni algoritmi korišćeni u eksperimentima su osnovni WEP protokol sa dužinama ključa od 64 i 128 bita, njegov neposredni naslednik WPA-TKIP, i napredni WPA2 protokol uz korišćenje AES alogritma za šifrovanje. Za potrebe komparativne analize eksperimenti su izvedeni i u slučaju kada se ne koristi niti jedan sigurnosni algoritam. Rezultati pokazuju efikasnost šifarskih algoritmama korišćenih u bežičnim računarskim mrežama, kao i činjenicu da šifrovanje ne unosi znatnu degradaciju propusnog opsega bežičnih mreža. Vrednost propusnog opsega neznatno je oslabljena u odnosu na slučaj u kome se ne koristi niti jedan sigurnosni algoritam. Stoga, ne postoji opravdan razlog za nezaštićeni prenos podataka u bežičnim mrežama. Sa aspekta visokog stepena sigurnosti nameće se korišćenje WPA2-AES šifarskog algoritma. Svakako, dobijene rezultate u ovom radu treba uzeti sa određenom rezervom usled činjenice da su eksperimenti ograničeni na korišćenje jedne pristupne tačke i dva bežična mrežna klijenta, dok je efekat zagušenja simuliran generisanjem saobraćaja većeg protoka od vrednosti propusnog opsega bežičnog kanala. Eksperimentalno bežično mrežno okruženje kreirano je unutar zatvornog prostora, tako da smetnje prisutne u atmosferskim uslovima, i smetnje koje nastaju usled zračenja drugih bežičnih uređaja koji rade u bliskom frekventnom opsegu nisu uzete u obzir. Radi doslednosti rezultata dobijenih u različitim scenarijima, bežična pristupna tačka i klijenti su postavljeni na fiksna mesta, a samim time i efekat mobilnosti nije razmotren. Postoji nekoliko pravaca istraživanja u oblasti. U ovom radu razmatran je uticaj različitih sigurnosnih protokola i algoritama za šifrovanje. Nisu razmatrani noviji algoritmi koji se planiraju za buduću primenu. Takođe, efekat autentifikacije bežičnih klijenata na pristupnu tačku nije kvantifikovan. LITERATURA [1] [2] [3] [4] [5] [6] [7] [8] Gh. R. Begh and A. H. Mir, “Quantification of the Effect of Security on Performance in Wireless LANs”, Third International Conference on Emerging Security Information, Systems and Technologies, pp. 57-62, 2009. M. U. Naru, U. Nauman and K. Hussain, “Performance Analysis of Wireless Local Area Networks”, International Journal of Computer Theory and Engineering, vol. 1, no. 2, pp. 140-145, June 2009. M. Boulmalf, E. Barka and A. Lakas, “Analysis of the Effect of Security on Data and Voice Traffic in WLAN”, Computer Communications, vol. 30, pp. 2468-2477, September 2007. H. L. McCarter, “Analyzing Wireless LAN Security Overhead”, Faculty of the Virginia Polytechnic Institute and State University, Falls Church, Virginia, 2006. A. S. Tanenbaum and D. J. Wetherall, “Computer Networks”, 5th Edition, Prentice Hall, 2010. M. Saleh and I. Al Khatib, “Throughput Analysis of WEP Security in Ad Hoc Sensor Networks”, The Second International Conference on Innovations in Information Technology, Dubai, 2005. A. E. Earle, “Wireless Security Handbook”, Taylor & Francis Group, New York, USA, 2006. N. Baghaei and R. Hunt, “IEEE 802.11 Wireless LAN Security Performance Using Multiple Clients”, The 12th IEEE International Conference on Networks (ICON2004), Singapore, November 2004. Rad je podržan od strane Ministarstva za nauku i tehnološki razvoj Republike Srbije kroz projekte TR32054 i ON174008. Abstract – This paper explores and quantifies impact of different encryption algorithms on throughput in IEEE 802.11 wireless networks. Experiments were conducted under laboratory conditions on a wireless network infrastructure. Obtained data analysis throughput in different security scenarios. This paper analyzed the TCP and UDP transport flows generated at three different packet transmission speeds. The effect of the wireless radio channel congestion is also quantified. Results of measurements show that there is no significant degradation of throughput in wireless networks when encryption algorithms are used. QUANTIFICATION OF THE IMPACT OF ENCRYPTION ALGORITHMS ON THROUGHPUT IN WIRELESS NETWORKS Dejan Tepšić, Mladen Veinović