Pojmem Wi-Fi (Wireless Fidelity) se dnes zjednodušeně
označují bezdrátová zařízení pracující v bezlicenčním pásmu 2,4GHz a 5GHz
dle standardu IEEE 802.11a/b/g (zkráceně jen 802.11a, 802.11b, 802.11g).
Wi-Fi = certifikát interoperability (vzájemná zaměnitelnost produktů mezi
jednotlivými výrobci – různé produkty různých výrobců s Wi-Fi certifikací
budou mezi sebou fungovat. Bez problémů.). Není to standard, přesto se
mnohdy zjednodušeně zařízení nazývají jako Wi-Fi. Uděluje organizace Wi-Fi
Aliance, dříve WECA (Wireless Ethernet Compatibility Alliance)
www.wi-fi.org

Rychlost
U bezdrátových zařízení, ale nejen u nich, je vždy
uváděna fyzická rychlost (bitová), která je samozřejmě vzhledem k režii
vyšších protokolů (TCP/IP apod.) vyšší, než reálná.

Přenosová rychlost se automaticky přizpůsobuje konkrétnímu prostředí,
automaticky se snaží využívat max. rychlost, ale v případě nepříznivých
přenosových podmínek je automaticky snižována, např. pro 802.11b z 11Mb/s na
5,5Mb/s, případně na 2Mb/s až 1Mb/s, pak už bez signálu. U bezdrátových
produktů lze zpravidla tzv. natvrdo nastavit např. nižší rychlost.
Přenosové rychlosti 802.11 produktů (bitová rychlost) a použitá modulace:
802.11b: 11Mb/s CCK, 5,5Mb/s CCK, 2Mb/s QPSK a 1Mb/s BPSK
802.11a/g/h: 54Mb/s OFDM, 48Mb/s OFDM, 36Mb/s OFDM, 24Mb/s OFDM, 18Mb/s OFDM,
12Mb/s OFDM, 11Mb/s CCK, 9Mb/s OFDM, 6Mb/s OFDM, 5,5Mb/s CCK, 2Mb/s QPSK a
1Mb/s BPSK
Dosah závisí obecně na:
- vysílacím výkonu zařízení
- citlivosti přijímače
- prostředí
- použitém frekvenčním pásmu (s vyšší frekvencí klesá dosah)
Vyzářený výkon a legislativa
Hodnotu vyzářeného výkonu opět naleznete v dokumentaci zařízení. Pro
802.11b/g produkty se pohybuje na cca 12-17dBm bez použití externích antén.
V ČR, obdobně v Evropě, USA, apod., upravuje max. vyzářený výkon včetně
použití externích antén příslušná Generální licence. Je nutné si uvědomit,
že uvedený max. vyzářený výkon je výkon celé anténní soustavy, nejen např.
PCMCIA karty, ale i připojené externí antény ponížené o útlum kabelu.
Max. povolený vyzářený výkon pro 802.11b/g dle GL 12/R/2000: max. 100mW EIRP
= 20dBm
Max. povolený vyzářený výkon pro 5 725 - 5 875 MHz pásmo dle GL-30/R/2000:
max. 25 mW EIRP = 14dBm
Max. povolený vyzářený výkon pro 802.11h dle návrhu GL: max. 200mW EIRP =
23dBm (5 150 – 5 350 MHz); max. 1 W EIRP = 30dBm
(5 470 – 5 725 MHz)
Kanály v 802.11
Důležitým parametrem při budování bezdrátových sítí je nejen propustnost
vlastní komunikace, ale i koexistence jiných bezdrátových sítí v jedné
lokalitě. A nemusí se vždy jednat o cizí sítě, ale klidně o vlastní síť, kdy
pokrytí většího prostoru je realizováno více Access Pointy (přístupovými
body), kdy každý sousední je naladěn na jiný kanál. Důvodem je předejít
rušení se navzájem. Proto je dobré si uvědomit, jak to s kanály doopravdy
je.
V 2,4GHz pásmu, standardy 802.11b i 802.11g, disponují max. 3
nepřekrývajícími kanály. Což znamená, že na v jedné lokalitě mohou pracovat
až 3 sítě vzájemně se nerušící, např. naladěné na kanály 1, 6 a 11 zároveň
nebo 2, 7 a 12, … Použití 2 sítí v jedné lokalitě naladěných např. na kanály
1 a 3 nebude tedy možné, bude docházet k velkému vzájemnému rušení v lepším
případě (důsledkem bude nižší přenosová rychlost), v tom horším k vypadávání
signálu resp. k úplnému výpadku.

Režimy komunikace
Standard 802.11 definuje 2 druhy komunikace: režim peer-to-peer a client-server:
peer-to-peer (AdHoc)
- komunikace mezi několika stanicemi bez nutnosti použití přístupového bodu
(Access Point)
- v tomto režimu zpravidla nelze zjistit sílu signálu ani použít vyšší
bezpečnost jako WPA
client-server (Access Point nebo Infrastructure)
- komunikace stanic prostřednictvím přístupového bodu (Access Point),
který zabezpečuje komunikaci mezi stanicemi, jejich roaming, spojení do LAN
sítě převážně do sítí Ethernet
Pozn: Access Point plní hlavně základní funkci, a to připojení
bezdrátových zařízení k LAN síti. Access Point = bezdrátový hub.
Wi-Fi a bezpečnost
Bezpečnost klasických LAN sítí byla, je a bude přeci jen jednodušší než
u bezdrátových sítí. Důvodem ani není tak typem použitého přenosového
protokolu, ale hlavně v tom, že přístup ke klasické LAN síti mají jen
zaměstnanci, kdežto u bezdrátových sítí všichni ti, kteří jsou v dosahu
bezdrátové sítě. Což jsou nejen zaměstnanci, ale bezprostřední okolí firmy,
což může být veřejné parkoviště, s určitými prostředky i velmi vzdálená
místa (použitím antén s velkým ziskem.
Zabezpečení bezdrátových sítí není jen o WEP či WPA (WPA2) šifrování. Ve
standardu 802.11 je několik mechanismů, kdy některé z nich plní funkci
bezpečnostního mechanismu, jiné jsem zmínil z důvodu celistvého pohledu na
bezpečnost bezdrátových sítí. Jsou to:
- autentizace bezdrátového klienta na Access Point – nejedná se o 802.1x
apod., ale o bezdrátové připojení k Access Pointu při zahájení komunikace (Open
System Authentication a Shared Key Authentication - z bezpečnostních důvodů
nepoužívat !)
- SSID identifikátor – každá bezdrátová síť musí mít v režimu Infrastructure
(client-server) svůj název
- ověřování pomocí MAC adresy (není přímo v 802.11)
SSID
Každá bezdrátová síť musí mít v režimu Infrastructure (klient-server) svůj
název. To děje pomocí SSID identifikátoru, s jehož pomocí je možno
rozdělovat bezdrátové sítě na logické celky. SSID není možno považovat za
prvek nahrazující jiné autentizační metody už proto, že SSID se šíří v plain
textu (nešifrován), tak jak mu to ukládá definice standardu 802.11.
Informace o hodnotě SSID je šířena standardně Access Pointem pomocí tzv.
beacon zpráv, takže klient automaticky získá seznam dostupných bezdrátových
sítí při svém spuštění. Hodnotu SSID lze zjistit i v případě, kdy vypnete
jeho broadcast vysílání.
WEP šifrování
WEP byl definován standardem 802.11 k ochraně dat přenášených v bezdrátových
sítích. V prvotní implementaci byl WEP pouze 64 bitový (24 bit.
inicializační vektor IV a 40 bit. klíč), dnes již většina výrobců podporuje
WEP 128 bitový (24 bit. IV a 104 bit. klíč). Standard 802.11 definuje pouze
funkcionalitu, ale nezabývá se jeho distribucí. Neexistuje mechanizmus
snadné distribuce WEPu a proto se musí zpravidla ručně zadávat v nastavení
klientů i Access Pointů. Z toho plyne problém možnosti chybného zadání klíče
a pracnost změny v případě jeho prozrazení – musíte změnit nastavení WEP
klíče na všech bezdrátových zařízeních ručně.
WEP je založen na symetrických klíčích a používá šifrování založené na RC4
standardu. WEP používá tzv. inicializačního vektoru (IV) o délce 24 bitů,
který se přenáší v průběhu komunikace v plain textu (nezašifrovaný) a mění
se každým rámcem -> výsledná šifra je poté jedinečná pro každý jednotlivý
rámec.
Hlavní problémy WEP šifrování je:
1) statický WEP klíč
2) implementace inicializačního vektoru IV (24 bitů)
Dnes WEP šifrování je již překonané, nahrazeno bezpečnějším WPA, či WPA2
šifrováním.
WPA
V cca 10/2002 byl schválen bezpečnostní doplněk WPA (Wi-Fi Protected Access)
pro 802.11 bezdrátové sítě. WPA, mezičlánek k 802.11i (WPA2), nezaměňuje RC4
algoritmus šifrování, ale zlepšuje jeho implementaci a změnu klíčů.
WPA přináší 4 nová vylepšení:
1) inicializační vektor délky 48 bitů – prevence „IV replay“ útoku
2) MIC (Message Integrity Check) – prevence proti falšování rámců. Je v
podstatě digitální podpis nesený v každém rámci. Tím je odstraněna možnost
útoku nazývaného "man-in-the-middle", tedy takového útoku, kdy útočník
zachytává pakety od vysílajícího, modifikuje je a posílá příjemci. ICV u WEP
šifrování je délky 24 bitů, kdežto MIC je délky 8 bytů (64 bitů) a je
umístěn před ICV v rámci. MIC je počítán ze zdrojové a cílové MAC adresy a „plain-textu“
(nešifrovaného textu)
3) odvození a distribuce klíčů
4) TKIP (Temporal Key Integrity Protocol) - umožňuje změnu klíče pro každý
rámec. Tím je odstraněna slabina standardní definice WEP, jež pracuje se
statickým klíčem, který se během spojení nemění
WPA2 (802.11i) přináší oproti WPA nová zlepšení:
- namísto TKIP použito šifrování AES (Advanced Encryption Standard)
- WPA2 je zpětně kompatibilní s WPA
- při použití WPA2 šifrování by nemělo být možné používat kombinovaný režim
s WPA2 a WEP klienty v jedné síti. V případě WPA umožňují výrobci
kombinovaný režim klientů s WPA a WEP šifrováním (bezpečnost celé sítě ale
spadá na úroveň WEP šifrování).
- namísto algoritmu pro kontroluje integrita zpráv MIC je použit režim CCM
protokolu CCMP (Counter-mode CBC (Cipher Block Chaining) MAC (Message
Authentication Code) Protocol)
Varianty WPA
WPA-PSK (Pre-Shared Key) = TKIP + MIC nebo WPA-PSK = AES + CCM
(pro Small Office/Home Office)
WPA = 802.1x + EAP + TKIP + MIC nebo WPA = 802.1x + EAP + AES
+ CCM (pro Enterprise)

WPA i WPA-PSK používají každý 2 klíče pro šifrování přenášených dat:
- PMK: Pairwise Master Key pro unicast rámce (256 bitů)
- GMK: Group Master Key pro broadcast a multicast rámce (256 bitů)
(u WPA je PMK je jedinečný pro každého klienta, u WPA-PSK je PMK stejný pro
všechny klienty u 1 AP; GMK je stejný pro všechny klienty u 1 AP)
a navíc každý z těchto klíčů používá dočasné:
- PTK: Pairwise Transient Key pro unicast rámce (128 bitů)
- GTK: Group Transient Key pro broadcast a multicast rámce (128 bitů)

Bezdrátová asociace je společná pro obě varianty WPA-PSK i WPA. Je použita
vždy při zahájení samotné bezdrátové komunikace, po aktivaci bezdrátové
karty. Kromě samotného připojení klienta k Access Pointu proběhne i
dohodnutí konkrétní šifrovací metody, zde na následujícím obr. se klient a
Access Point dohodli na používání WPA s 802.1x. Po bezdrátové asociaci
proběhne 4-cestný / 2-cestný handshake u WPA-PSK a 802.1x autentizace
následovaná 4-cestným / 2-cestným handshakem u WPA.
Pozn.: tato asociace je používána jen v režimu Infrastructure (Access
Point).
|