eNet System
O nás Řešení Technologie Support Reference
Odkazy
Bezdrátové sítě

Pojmem Wi-Fi (Wireless Fidelity) se dnes zjednodušeně označují bezdrátová zařízení pracující v bezlicenčním pásmu 2,4GHz a 5GHz dle standardu IEEE 802.11a/b/g (zkráceně jen 802.11a, 802.11b, 802.11g).

Wi-Fi = certifikát interoperability (vzájemná zaměnitelnost produktů mezi jednotlivými výrobci – různé produkty různých výrobců s Wi-Fi certifikací budou mezi sebou fungovat. Bez problémů.). Není to standard, přesto se mnohdy zjednodušeně zařízení nazývají jako Wi-Fi. Uděluje organizace Wi-Fi Aliance, dříve WECA (Wireless Ethernet Compatibility Alliance) www.wi-fi.org

Rychlost
U bezdrátových zařízení, ale nejen u nich, je vždy uváděna fyzická rychlost (bitová), která je samozřejmě vzhledem k režii vyšších protokolů (TCP/IP apod.) vyšší, než reálná.

Přenosová rychlost se automaticky přizpůsobuje konkrétnímu prostředí, automaticky se snaží využívat max. rychlost, ale v případě nepříznivých přenosových podmínek je automaticky snižována, např. pro 802.11b z 11Mb/s na 5,5Mb/s, případně na 2Mb/s až 1Mb/s, pak už bez signálu. U bezdrátových produktů lze zpravidla tzv. natvrdo nastavit např. nižší rychlost.

Přenosové rychlosti 802.11 produktů (bitová rychlost) a použitá modulace:
802.11b: 11Mb/s CCK, 5,5Mb/s CCK, 2Mb/s QPSK a 1Mb/s BPSK
802.11a/g/h: 54Mb/s OFDM, 48Mb/s OFDM, 36Mb/s OFDM, 24Mb/s OFDM, 18Mb/s OFDM, 12Mb/s OFDM, 11Mb/s CCK, 9Mb/s OFDM, 6Mb/s OFDM, 5,5Mb/s CCK, 2Mb/s QPSK a 1Mb/s BPSK

Dosah závisí obecně na:
- vysílacím výkonu zařízení
- citlivosti přijímače
- prostředí
- použitém frekvenčním pásmu (s vyšší frekvencí klesá dosah)

Vyzářený výkon a legislativa
Hodnotu vyzářeného výkonu opět naleznete v dokumentaci zařízení. Pro 802.11b/g produkty se pohybuje na cca 12-17dBm bez použití externích antén.
V ČR, obdobně v Evropě, USA, apod., upravuje max. vyzářený výkon včetně použití externích antén příslušná Generální licence. Je nutné si uvědomit, že uvedený max. vyzářený výkon je výkon celé anténní soustavy, nejen např. PCMCIA karty, ale i připojené externí antény ponížené o útlum kabelu.

Max. povolený vyzářený výkon pro 802.11b/g dle GL 12/R/2000: max. 100mW EIRP = 20dBm
Max. povolený vyzářený výkon pro 5 725 - 5 875 MHz pásmo dle GL-30/R/2000: max. 25 mW EIRP = 14dBm
Max. povolený vyzářený výkon pro 802.11h dle návrhu GL: max. 200mW EIRP = 23dBm (5 150 – 5 350 MHz); max. 1 W EIRP = 30dBm (5 470 – 5 725 MHz)

Kanály v 802.11
Důležitým parametrem při budování bezdrátových sítí je nejen propustnost vlastní komunikace, ale i koexistence jiných bezdrátových sítí v jedné lokalitě. A nemusí se vždy jednat o cizí sítě, ale klidně o vlastní síť, kdy pokrytí většího prostoru je realizováno více Access Pointy (přístupovými body), kdy každý sousední je naladěn na jiný kanál. Důvodem je předejít rušení se navzájem. Proto je dobré si uvědomit, jak to s kanály doopravdy je.

V 2,4GHz pásmu, standardy 802.11b i 802.11g, disponují max. 3 nepřekrývajícími kanály. Což znamená, že na v jedné lokalitě mohou pracovat až 3 sítě vzájemně se nerušící, např. naladěné na kanály 1, 6 a 11 zároveň nebo 2, 7 a 12, … Použití 2 sítí v jedné lokalitě naladěných např. na kanály 1 a 3 nebude tedy možné, bude docházet k velkému vzájemnému rušení v lepším případě (důsledkem bude nižší přenosová rychlost), v tom horším k vypadávání signálu resp. k úplnému výpadku.

Režimy komunikace
Standard 802.11 definuje 2 druhy komunikace: režim peer-to-peer a client-server:
peer-to-peer (AdHoc)
- komunikace mezi několika stanicemi bez nutnosti použití přístupového bodu (Access Point)
- v tomto režimu zpravidla nelze zjistit sílu signálu ani použít vyšší bezpečnost jako WPA
client-server (Access Point nebo Infrastructure)
- komunikace stanic prostřednictvím přístupového bodu (Access Point), který zabezpečuje komunikaci mezi stanicemi, jejich roaming, spojení do LAN sítě převážně do sítí Ethernet

Pozn: Access Point plní hlavně základní funkci, a to připojení bezdrátových zařízení k LAN síti. Access Point = bezdrátový hub.

Wi-Fi a bezpečnost
Bezpečnost klasických LAN sítí byla, je a bude přeci jen jednodušší než u bezdrátových sítí. Důvodem ani není tak typem použitého přenosového protokolu, ale hlavně v tom, že přístup ke klasické LAN síti mají jen zaměstnanci, kdežto u bezdrátových sítí všichni ti, kteří jsou v dosahu bezdrátové sítě. Což jsou nejen zaměstnanci, ale bezprostřední okolí firmy, což může být veřejné parkoviště, s určitými prostředky i velmi vzdálená místa (použitím antén s velkým ziskem.

Zabezpečení bezdrátových sítí není jen o WEP či WPA (WPA2) šifrování. Ve standardu 802.11 je několik mechanismů, kdy některé z nich plní funkci bezpečnostního mechanismu, jiné jsem zmínil z důvodu celistvého pohledu na bezpečnost bezdrátových sítí. Jsou to:
- autentizace bezdrátového klienta na Access Point – nejedná se o 802.1x apod., ale o bezdrátové připojení k Access Pointu při zahájení komunikace (Open System Authentication a Shared Key Authentication - z bezpečnostních důvodů nepoužívat !)
- SSID identifikátor – každá bezdrátová síť musí mít v režimu Infrastructure (client-server) svůj název
- ověřování pomocí MAC adresy (není přímo v 802.11)

SSID
Každá bezdrátová síť musí mít v režimu Infrastructure (klient-server) svůj název. To děje pomocí SSID identifikátoru, s jehož pomocí je možno rozdělovat bezdrátové sítě na logické celky. SSID není možno považovat za prvek nahrazující jiné autentizační metody už proto, že SSID se šíří v plain textu (nešifrován), tak jak mu to ukládá definice standardu 802.11. Informace o hodnotě SSID je šířena standardně Access Pointem pomocí tzv. beacon zpráv, takže klient automaticky získá seznam dostupných bezdrátových sítí při svém spuštění. Hodnotu SSID lze zjistit i v případě, kdy vypnete jeho broadcast vysílání.

WEP šifrování
WEP byl definován standardem 802.11 k ochraně dat přenášených v bezdrátových sítích. V prvotní implementaci byl WEP pouze 64 bitový (24 bit. inicializační vektor IV a 40 bit. klíč), dnes již většina výrobců podporuje WEP 128 bitový (24 bit. IV a 104 bit. klíč). Standard 802.11 definuje pouze funkcionalitu, ale nezabývá se jeho distribucí. Neexistuje mechanizmus snadné distribuce WEPu a proto se musí zpravidla ručně zadávat v nastavení klientů i Access Pointů. Z toho plyne problém možnosti chybného zadání klíče a pracnost změny v případě jeho prozrazení – musíte změnit nastavení WEP klíče na všech bezdrátových zařízeních ručně.
WEP je založen na symetrických klíčích a používá šifrování založené na RC4 standardu. WEP používá tzv. inicializačního vektoru (IV) o délce 24 bitů, který se přenáší v průběhu komunikace v plain textu (nezašifrovaný) a mění se každým rámcem -> výsledná šifra je poté jedinečná pro každý jednotlivý rámec.

Hlavní problémy WEP šifrování je:
1) statický WEP klíč
2) implementace inicializačního vektoru IV (24 bitů)
Dnes WEP šifrování je již překonané, nahrazeno bezpečnějším WPA, či WPA2 šifrováním.

WPA
V cca 10/2002 byl schválen bezpečnostní doplněk WPA (Wi-Fi Protected Access) pro 802.11 bezdrátové sítě. WPA, mezičlánek k 802.11i (WPA2), nezaměňuje RC4 algoritmus šifrování, ale zlepšuje jeho implementaci a změnu klíčů.

WPA přináší 4 nová vylepšení:
1) inicializační vektor délky 48 bitů – prevence „IV replay“ útoku
2) MIC (Message Integrity Check) – prevence proti falšování rámců. Je v podstatě digitální podpis nesený v každém rámci. Tím je odstraněna možnost útoku nazývaného "man-in-the-middle", tedy takového útoku, kdy útočník zachytává pakety od vysílajícího, modifikuje je a posílá příjemci. ICV u WEP šifrování je délky 24 bitů, kdežto MIC je délky 8 bytů (64 bitů) a je umístěn před ICV v rámci. MIC je počítán ze zdrojové a cílové MAC adresy a „plain-textu“ (nešifrovaného textu)
3) odvození a distribuce klíčů
4) TKIP (Temporal Key Integrity Protocol) - umožňuje změnu klíče pro každý rámec. Tím je odstraněna slabina standardní definice WEP, jež pracuje se statickým klíčem, který se během spojení nemění

WPA2 (802.11i) přináší oproti WPA nová zlepšení:
- namísto TKIP použito šifrování AES (Advanced Encryption Standard)
- WPA2 je zpětně kompatibilní s WPA
- při použití WPA2 šifrování by nemělo být možné používat kombinovaný režim s WPA2 a WEP klienty v jedné síti. V případě WPA umožňují výrobci kombinovaný režim klientů s WPA a WEP šifrováním (bezpečnost celé sítě ale spadá na úroveň WEP šifrování).
- namísto algoritmu pro kontroluje integrita zpráv MIC je použit režim CCM protokolu CCMP (Counter-mode CBC (Cipher Block Chaining) MAC (Message Authentication Code) Protocol)

Varianty WPA
WPA-PSK (Pre-Shared Key) = TKIP + MIC nebo WPA-PSK = AES + CCM (pro Small Office/Home Office)
WPA = 802.1x + EAP + TKIP + MIC nebo WPA = 802.1x + EAP + AES + CCM (pro Enterprise)

WPA i WPA-PSK používají každý 2 klíče pro šifrování přenášených dat:
- PMK: Pairwise Master Key pro unicast rámce (256 bitů)
- GMK: Group Master Key pro broadcast a multicast rámce (256 bitů)
(u WPA je PMK je jedinečný pro každého klienta, u WPA-PSK je PMK stejný pro všechny klienty u 1 AP; GMK je stejný pro všechny klienty u 1 AP)
a navíc každý z těchto klíčů používá dočasné:
- PTK: Pairwise Transient Key pro unicast rámce (128 bitů)
- GTK: Group Transient Key pro broadcast a multicast rámce (128 bitů)

Bezdrátová asociace je společná pro obě varianty WPA-PSK i WPA. Je použita vždy při zahájení samotné bezdrátové komunikace, po aktivaci bezdrátové karty. Kromě samotného připojení klienta k Access Pointu proběhne i dohodnutí konkrétní šifrovací metody, zde na následujícím obr. se klient a Access Point dohodli na používání WPA s 802.1x. Po bezdrátové asociaci proběhne 4-cestný / 2-cestný handshake u WPA-PSK a 802.1x autentizace následovaná 4-cestným / 2-cestným handshakem u WPA.
Pozn.: tato asociace je používána jen v režimu Infrastructure (Access Point).