Bezpečnost bezdrátových technologií

Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií

Bezpečnost bezdrátových technologií Diplomová práce

Autor:

Richard Šváb Informační technologie a management

Vedoucí práce:

Praha

Ing. Vladimír Beneš

Duben 2012

Prohlášení: Prohlašuji, že jsem diplomovou práci zpracoval samostatně a v seznamu uvedla veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze dne 20. 4. 2012

Richard Šváb

Poděkování: Tímto bych chtěl poděkovat mému vedoucímu diplomové práce panu Ing. Vladimíru Benešovi za spolupráci, rady a cenné připomínky, které mi v průběhu psaní tohoto titulu poskytl.

Anotace Obsahem této diplomové práce je seznámení se s historií bezdrátové komunikace, pochopení fyzikálních zákonů souvisejících s fungováním bezdrátových sítí a popsání různých druhů bezdrátových sítí. Součástí diplomové práce jsou i protokoly bezdrátových 802.11 sítí a jejich zabezpečení. Cílem této práce je realizace bezdrátové sítě v cihlové zástavbě, jejího nastavení, zabezpečení a vyčíslení ekonomických nákladů. Dalším cílem je analýza bezpečnosti WiFi 2,4 GHz sítí v různých lokalitách Prahy. Klíčová slova: WiFi, bezdrátová síť, 802.11, bezpečnost, normy, WPA 2, WEP, WPA

Annotation The content of this thesis is the introduction of the history of wireless communication, understanding physical laws related to the operation of wireless networks and describe different types of wireless networks. The thesis also includes 802.11 wireless network standards and security. The aim of this work is to implement a wireless network in a brick building, its setting, security, and quantifying the economic costs. Another objective is to analyze the safety of WiFi 2.4 GHz networks at various locations in Prague. Keywords: WiFi, wireless, 802.11, security, standards, WPA 2, WEP, WPA

Obsah Úvod ........................................................................................................................................... 7 1

Historie bezdrátových technologií.................................................................................... 8

2

Typy a fyzikální principy bezdrátových technologií .................................................... 13

2.1 Typy bezdrátových sítí ...................................................................................................... 13 2.1.1

Optické sítě ........................................................................................................... 13

2.1.2

Radiové sítě .......................................................................................................... 15

2.1.3

WiMax .................................................................................................................. 15

2.1.4

Satelitní spoje ....................................................................................................... 16

2.1.5

Bluetooth .............................................................................................................. 16

2.1.6

Mobilní sítě ........................................................................................................... 16

2.1.7

WiFi ...................................................................................................................... 17

2.2 Fyzikální principy bezdrátových sítí ................................................................................. 17 2.2.1

3

Elektromagnetické vlnění ..................................................................................... 17

2.2.1.1

Rádiové vlny ............................................................................................. 19

2.2.1.2

Infračervené záření ................................................................................... 19

2.2.1.3

Viditelné světlo ......................................................................................... 20

2.2.1.4

Ultrafialové záření .................................................................................... 20

2.2.1.5

Rentgenové záření .................................................................................... 20

2.2.1.6

Gamma záření ............................................................................................... 20

2.2.2

Šíření elektromagnetických vln ............................................................................ 20

2.2.3

Fresnelova zóna .................................................................................................... 22

2.2.4

Faradayova klec .................................................................................................... 23

Protokoly bezdrátových sítí ............................................................................................ 25

3.1 IEEE organizace ................................................................................................................ 25 3.2 IEEE standardy .................................................................................................................. 26 4

Bezpečnost bezdrátových technologií ............................................................................ 31

4.1 SSID .................................................................................................................................. 31 4.2 Zabezpečení WEP ............................................................................................................. 31 4.3 Zabezpečení IEEE 802.1x ................................................................................................. 33 4.3.1

Komponenty autentizace 802.1x ...................................................................... 35

4.4 Zabezpečení WPA ............................................................................................................. 37 4.5 Volba hesla ........................................................................................................................ 40 5

4.6 Zabezpečení WPA 2 .......................................................................................................... 42 4.7 Zabezpečení WPS .............................................................................................................. 45 4.8 Zabezpečení pomocí filtrace adres .................................................................................... 46 4.9 Všeobecná doporučení zabezpečení bezdrátových sítí...................................................... 47 5

Metodologie ...................................................................................................................... 49

6

Aplikace bezdrátových technologií v cihlové zástavbě (případová studie) ................ 50

6.1 Hardware ........................................................................................................................... 51 6.2 Prostředí............................................................................................................................. 54 6.3 Antény ............................................................................................................................... 57 6.4 Měření kanálů .................................................................................................................... 58 6.5 Nastavení AP 1 .................................................................................................................. 62 6.6 Nastavení AP 2 .................................................................................................................. 65 6.7 Analýza bezpečnosti bezdrátových sítí v Praze................................................................. 66 7

Ekonomické náklady ....................................................................................................... 67

Závěr ........................................................................................................................................ 69 Seznam použité literatury ...................................................................................................... 70 Seznam obrázků, tabulek a grafů ......................................................................................... 73 Seznam příloh ......................................................................................................................... 74

6

Úvod Bezdrátové sítě se staly v posledních letech nedílnou součástí našeho světa a mají nám především usnadňovat život. V minulosti byly bezdrátové technologie využívány výhradně pro hlasovou komunikaci, avšak postupem času našly uplatnění i v komunikaci datové. Vymizela i počáteční nedůvěra, která panovala k tomuto způsobu přenosu dat a nyní dochází k masovému využití bezdrátového způsobu komunikace. Předpokládalo se, že tyto technologie budou využívány k zasíťování budov, kde je obtížné, velmi nákladné, nebo nemožné vést kabelové vedení. Požadavky uživatelů na mobilitu jednotlivých zařízení, byly další hybnou silou rozvoje této technologie. V současnosti jsou bezdrátová řešení nejpohodlnější a snadnost instalace i použití zapříčinily, rychlý rozvoj této technologie. Výměna dat je v dnešním světě nutností a v místech, kde není možné natáhnout kabelové vedení, nebo by ekonomické náklady převyšovaly únosnou mez, je využití bezdrátových sítí nejlepším a cenově nejdostupnějším řešením. Mnozí z nás si neuvědomují skrytá zákoutí bezdrátového světa. Je důležité porozumět pojmu zabezpečení bezdrátových sítí, neboť se výrazně liší od bezpečnosti sítí kabelových. Od počátku vzniku těchto sítí, vznikaly i bezpečnostní rizika, které mají na svědomí pomalejší rozmach použití těchto technologií. Po zdokonalení zabezpečení šifrováním a využití autentizačních serverů se stávají sítě použitelnými a těší se velké oblibě. Důkazem může být nespočet otevřených bezdrátových sítí WiFi1 ve městech, obchodech i v prostředcích hromadné dopravy. Z toho hlediska patří bezdrátové datové sítě mezi odvětví, které je velice rychle rozvíjeno a prakticky každý rok je představena nová technologie, nebo vylepšení technologií stávající. Cílem této diplomové práce je popsat typy a fyzikální principy, protokoly a bezpečnost bezdrátových technologií. V praktické části v rámci řešení atypické úlohy navrhnout komunikaci pomocí aplikace bezdrátových technologií. Součástí této práce je také analýza a vyhodnocení bezpečnosti bezdrátových sítí ve vybraných lokalitách Prahy.

1

Wireless Fidelity je označení bezdrátových sítí WLAN.

7

1

Historie bezdrátových technologií

Nejstarším a nejpoužívanějším druhem přenosu informace na dálku je verbální komunikace. Nevýhodou je, že tento způsob je vhodný pouze na krátké vzdálenosti. Přenášení informací fyzicky, neboli psanou formou má jiná omezení. Je jím právě zpracování, které je možné, až po jejím celém doručení, nikoliv po částech. Historicky dalším známým bezdrátovým způsobem přenosu informace na větší vzdálenost je pomocí světla a předmětů s odraznými plochami, formou záblesků. Dochované zprávy vypovídají, že ve starověkém Řecku byla tato signalizace využívána např. v boji o Thermopyly. Obdobou byla i kouřová signalizace, která byla použita již v roce 1184 před Kristem, při dobytí Tróje. Známý je též přenos informace pomocí bubnů vyrobených z vydlabaných kmenů stromů. Neopomínejme ani známou holubí poštu užívanou již Féničany na svých cestách po moři k zasílání rychlých zpráv. Námořnictvo vytvořilo vlastní signalizaci pomocí praporků a tato metoda přetrvala celá staletí. Na zemi bylo její použití komplikovanější, kvůli členitosti terénu. V roce 1790 je bratry Chappeovými navržen a realizován optický telegraf, později panelový s pěti panely a možností zobrazovat až 25 symbolů. Výrazného vylepšení se dočkal roku 1793, kdy byl telegraf přepracován na semaforový telegrafní systém. Jednalo se tak o napodobení signalizace pomocí praporků. Vznikají komunikační trasy mezi francouzskými městy, z nichž nejdelší byla mezi Paříží přes Dion do Lionu o délce 370km a zpráva mohla být doručena v řádu minut.

8

Obrázek 1: Semaforový telegrafní systém

Zdroj: http://ok1ike.c-a-v.com/soubory/bezdrat/bezdrat_html_1099cba5.png

Toto řešení se stalo postupem času nevyhovující z hlediska rychlosti i objemu přenášených zpráv a bylo zapotřebí najít vhodnější způsob bezdrátové komunikace. Dánský fyzik Hans Christian Ørsted objevuje souvislost mezi elektřinou a magnetizmem. Na tuto studii navazuje Francouzský fyzik André-Marie Ampère a formuluje první teorii magnetizmu. Do tohoto problému zasahuje i další známý fyzik Michael Farraday a snaží se zjistit, zda může vzniknout v uzavřeném elektrickém obvodu, pomocí magnetického pole, proud. I Samuelu Morseovi roku 1837 se povedl první bezdrátový přenos, když chtěl při ukázce dokázat, že i dráty pod vodou umí nést signál. Jedna z lodí svou kotvou během experimentu přerušila vedení, avšak signál se díky vodivosti vody přenesl. Vznikl tak první bezdrátový přenos. V této problematice se pohyboval i další známý fyzik Michael Farraday, který objevil magnetickou indukci a zasloužil se i o rozvoj přenosu dat. Fyzik James Clerk Maxwell, navázal na práce Michaela Farradaye a publikoval několik prací o magnetizmu, elektřině a dal vzniknout takzvané Maxwelově rovnici2. Pomocí těchto studií Heinrich Hertz, profesor fyziky vynalezl oscilátor, kterým dokázal vytvořit elektromagnetické vlny a změřit jejich rychlost i délku. Dokázal tedy vytvořit 2

Maxwelova rovnice – představuje soustavu čtyř rovnic popisující vzájemné působení elektrických a magnetických polí.

9

a přijmout elektromagnetické vlny, ale praktické využití nenašel, neboť nebyl vynalezen vysílač a přijímač, který by umožnil překonat větší vzdálenost. První osobou, která dokázala přenášet signál vzduchem, byl pravděpodobně zubař Mahlon Loomis, který se kolem roku 1860 začal zajímat o využití elektrických nábojů z horních vrstev atmosféry a za pomoci dvou papírových draků s kovovou konstrukcí, uměl vysílat a přijímat morseovku zakódovanou do různých hodnot elektrického proudu na vzdálenost až 23 kilometrů. Předběhl tak uznávaného vynálezce rádia Gugliema Marconiho. Roku 1895 Marconi zdokonaluje detektor elektromagnetických vln známého jako koherer a ukazuje veřejnosti princip bezdrátové telegrafie. Úspěch byl zaručen i díky jeho obchodnímu důvtipu. Po vylepšení svého vynálezu dokázal komunikovat ve vzdálenostech přes 1,6 kilometrů. Po dalších zdokonaleních, byla možná komunikace na vzdálenosti 29 kilometrů. Roku 1899 je realizováno komerční spojení mezi Francií a Anglií a o dva roky později je uskutečněn přenos mezi Amerikou a Evropou. Velké využití nachází rádiový přenos v lodní dopravě při vyměňování depeší s pevninou. Marconiho rádio dokázalo zachránit i mnoho lidských životů při katastrofě Titanicu. Při používání rádia na lodích bylo dále zjištěno, že rádiové vlny se šíří pomocí odrazů lépe v noci než přes den. V noci bylo možné dosáhnout délky až 2000 mil a ve dne 700 mil. Důležitou roli bezdrátového šíření vln hrálo rádio při přenosu časových signálů. Po tomto objevu bylo možné určovat například polohu lodí na moři a bylo nutné vystavit takzvané jiskrové stanice, které byly mezi sebou propojeny kabelem a vysílaly časové signály. Přesnost takového času byla čtvrt sekundy za den a v té době více než dostačující. Na zdokonalení rádia se nemuselo dlouho čekat a Carl Ferdinand Brown za to obdržel stejně jako Marconi Nobelovu cenu za fyziku. Vytvořil systém, kde byla anténa součástí napájecího obvodu a vyvinul resonanční obvody, umožňující ladění a zesílení signálu. Marconi se věnuje i vývoji vysílání na krátkých vlnách s vlnovou délkou 15 metrů a vytvořil tak systém směrových antén a využití nachází v první světové válce, kdy je minimalizováno riziko zachycení vysílání nepřítelem. Kanaďan a rádionadšenec Reginald Aubrey Fessenden usiluje o bezdrátový přenos hlasu a roku 1902 staví vysílací stanici Brant Rock.

10

Obrázek 2: Vysílací stanice Brant Rock

Zdroj: http://www.newsm.org/Wireless/Fessenden/Brant_Rock-1912.jpg

Na Štědrý den roku 1906 je odvysílán první rozhlasový pořad. Dosud bylo možné z přijímačů slýchat pouze šum a pípání, bylo tedy velké překvapení, když lidé na lodích plujících při pobřeží nové Anglie uslyšeli mužský hlas i hudbu. Kladné ohlasy, nadšené veřejnosti byly zřejmé a technologie se začala rozvíjet. Roku 1915 se uskutečnil první bezdrátový dálkový telefonní hovor, který dosahoval vzdálenosti 4022 kilometrů mezi San Franciskem a New Yorkem. Následovali další úspěšné pokusy například z Washingtonu do Honolulu ve vzdálenostech 7884 kilometrů. Na úspěchu se podíleli známé společnosti AT&T a Western Electric Company. John Logie Baird se kolem roku 1924 pokouší o přenos obrazu. Úspěšně je možné rozeznat na obrazovce objekty a o rok později i lidskou tvář. Vylepšení zařízení v roce 1926, umožnil i přes pouhý počet třiceti řádků v obrazu, jasně vysílání sledovat. Rok 1933 a Edwin Howard Armstrong získává patent na systém frekvenční modulace FM. Znamená to velké zvýšení kvality vysílání a větší odolnost proti rušení oproti amplitudové modulaci AM. Rozvoj rozhlasového vysílání má stále více příznivců a to nejen pasivních, ale i aktivních, kteří se začínají podílet na procesu sdělování informací. Jedná se o počátky radioamatérského vysílání. K užívání dostávají krátké vlny do jednoho kilometru a velkým překvapením bylo, 11

když se amatérům daří komunikovat i na velké vzdálenosti, jako například radioamatérovi Deloyovi z Nice do Austrálie a to s výkonem pouze sto wattů. Profesionální stanice pracovaly na středních a dlouhých vlnách a používaly desítky až stovky kilowatt. V New Yorku vzniká organizace Wireless Association of America a vydává knihu Wireless Blue Book, která obsahuje přehled používaných volacích znaků v USA a Kanadě, volací znaky lodí i znaky radioamatérů. V té době neexistoval žádný jiný dokument, či předpis stanovující pravidla a radioamatéři tak pracovali na nepoužitých vlnových délkách od 930 do 35 metrů. Rámcové předpisy byly vydány 13. 11. 1912. Pokusy se odehrávaly před vynálezem elektronky a pro komunikaci se užívali jiskrové stanice s výkonem od 250 wattů do 3 kilowatt. Místo výkonu byla udávána délka jiskry v palcích, kterou vyrobil rezonanční obvod. Bezdrátová komunikace v době války i po ní nabrala velké tempo a každou chvíli se objevila celá řada nových technologií i objevů. Bezdrátová telegrafie byla postupně nahrazena radiofonickými a telefonickými zprávami a zvyšovala se i přenosová rychlost. Vyvíjela se dál i tónová telegrafie umožňující rychlejší dopravování zpráv po jednom vedení a následná evoluce pokračovala přes dálnopis, telefax, telefonní modem, satelitní transpondéry, internet, až do dnešní doby.

12

2

Typy a fyzikální principy bezdrátových technologií

2.1 Typy bezdrátových sítí Bezdrátové sítě můžeme rozdělovat podle různých kritérií. Můžeme je například dělit na optické a radiové. Nejčastěji používané jsou ty radiové, neboť je možné je využít na větší vzdálenosti a nejsou tolik náchylné na povětrnostní podmínky.

2.1.1 Optické sítě Bezdrátové optické sítě pracují s technologií FSO3. Jejich výhodou je snadná výstavba, která zahrnuje jen instalaci zařízení a zaměření druhého. Podmínkou je nulové rušení. Výhodou tohoto systému je vysoká přenosová rychlost, která může u kvalitních spojů dosahovat až několika gigabajtů. Vzdálenost vysílačů může dosahovat nanejvýš deset kilometrů, avšak v praxi bývá použitelná vzdálenost pouze dva kilometry. Velkou nevýhodou tohoto řešení je závislost na počasí. Při sněhových i dešťových přeháňkách dochází k rozptýlení paprsku. Technologie je stále vylepšována a již některé moderní spoje odolávají hustému sněžení i dešti, avšak v mlze nelze toto řešení plně využívat.

3

FSO – Free Space Optics je technologie díky, které bezdrátové optické sítě dosahují podobných rychlostí jako klasické drátové optické sítě.

13

Obrázek 3: Free Space optics

Zdroj: http://img.tootoo.com/mytootoo/upload/56/562552/product/562552_377234305b1c680031910f24b8f3 d40c.jpg

Samotný přenos dat probíhá za pomoci pulsně modulovaných signálů na frekvenci mezi 100 a 1000 THz4. Spoj je vytvořen ze dvou jednotek, které jsou v přímé viditelnosti a skládá se z vysílače, přijímače a modulátoru potřebného pro převod signálu na srozumitelný kód pro počítače. Vysílač vyšle světelný signál za pomoci výkonné LED diody nebo laseru. Výhodnější je použití laseru, ale tato technologie je velmi drahá a je nutné diodu chladit, zaručí nám ale minimální divergenci a vyšší výkon. LED dioda je velmi levná a jednoduchá, používá se většinou u amatérských spojů známého jako Ronja5. U profesionálních spojů je využíván právě laser, který je zachycen přijímačem a usměrněn detektorem a používá rychlou lavinovou fotodiodu. Důležitou roli hraje i uchycení zařízení, neboť i sebemenší zachvění může způsobit metrové odchylky paprsku. Tyto systémy se využívají především ve velkých městech, na výškových mrakodrapech, kde je třeba počítat i s výkyvem celé budovy, které se pohybuje v řádech decimetrů. Špičkové optické spoje proto mívají systém aktivního zaměřování paprsku, a dokáží v reálném čase upravovat zaměření paprsku.

4

THz - Teraherz (anglicky T-rays nebo submillimeter radiation) je označení pro oblast elektromagnetického spektra ležící mezi mikrovlnným a infračerveným zářením. 5 Ronja je název optického zařízení, které umožňuje bezdrátově propojit dva body počítačové sítě až na vzdálenost až 1300 metrů při zachování konstantní přenosové rychlosti 10 Mb/s.

14

2.1.2 Radiové sítě Radiové sítě, nebo-li FWA6. Jedná se o síť typu point-to-multipoint. Základová stanice je napojena na páteřní síť a poskytuje data uživatelským terminálům. Roli zde hraje obdobně jako u bezdrátových optických sítí přímá viditelnost, která je pro kvalitní přenos podmínkou. Obrázek 4: Fixed Wireless Acces

Zdroj: http://www.planningni.gov.uk/dcan14-draft-fra-point-multipoint.gif

Výhodou těchto sítí je nízká cenová náročnost a jednoduchost instalace. V současné době roste počet providerů poskytujících tuto technologii a i přes expanzi těchto sítí nedochází k nežádoucímu rušení, neboť jsou používané frekvence licencované. 2.1.3 WiMax WiMax7 pracuje na frekvenci 2-11 GHz. Mimo velká města lze dosáhnout přenosových vzdáleností až 50 kilometrů a v hustých zástavbách tři až pět kilometrů. Maximální rychlosti se pohybují až 75 Mbit/s. Základna je tak schopna poskytnout připojení až 500 uživatelům v 15 kilometrovém okruhu. Technologie pracuje s normou IEEE 802.16 a je navržena tak, aby poskytla 99,999% spolehlivosti. Hlavním problémem této sítě je její nízké využití a její vývoj 6

FWA - Fixed Wireless Access jsou pevné bezdrátové sítě fungujících na širokém spektru frekvencí. Narrowband pracuje na frekvencích 1,8 GHz, 2,4 GHz, 3,5GHz, broadband 10,5 GHz, 26 GHz, 28 GHz, 40 GHz. 7 WiMax - Worldwide Interoperability for Microwave Access, technologie vzniklá v roce 2003 jako ekvivalent k DSL a její předností je nepotřebná přímá viditelnost.

15

trvá celou dekádu i přesto, že ji v roce 2010 Mezinárodní telekomunikační unie ITU-R zařadila mezi mobilní širokopásmové řešení budoucí generace.

2.1.4 Satelitní spoje Družice obíhající kolem Země ve výšce 36000 kilometrů můžeme dělit na aktivní a pasivní. Pasivní pouze odráží signál, avšak aktivní za pomoci transpordérů signál ze Země přijímají, modulují ho do jiného frekvenčního pásma a odesílají zpět. Podobně jako u pozemních spojů i satelity využívají různá pásma od 1 GHz do 30 GHz. Nejvyužívanější jsou C-Band 4-6 GHz, Ku 11-18 GHz a Ka 20-30 GHz. Rychlosti dosahují až desítek Mbit/s a umí se vyrovnat pozemním spojům. Poskytnout připojení je možné na jakékoliv místo na Zemi. Využití proto nacházejí u armády, nebo například vědeckými expedicemi. Nevýhodou je odezva, která činí až stovky milisekund.

2.1.5 Bluetooth Technologie je zaměřena na připojování menších zařízení jako například bezdrátových počítačových periferních zařízení, mobilních telefonů a mnoho dalších. Pracuje ve frekvenci 2,4 GHz stejně jako technologie WiFi. Přenosové rychlosti dosahují 1 Mbit/s. Přenos dat je zabezpečen 128 bitovým klíčem a k zašifrování je využívána relativně slabá šifra E0. Samotný klíč vzniká při inicializaci spojení a ve většině případů obsahuje čtyři čísla. Je možné, ale používat číslic až 16. Dosah Bluetooth je nízký v řádech metrů, avšak za pomoci výkonných antén je možné připojení i do vzdálenosti jednoho kilometru.

2.1.6 Mobilní sítě Rozdělit mobilní sítě lze do několika generací. První generace byla analogová a zaměřená pouze na přenos hlasu. Generace druhá je založena na standardu GSM a mimo přenos hlasu je možný i přenos dat rychlostí 14,4 kbit/s. Technologie GPRS umožňuje zvýšit rychlost na 115 kbit/s a EDGE 384kbit/s. Třetí generace mobilních sítí je založena na množství standardů, označující se UMTS. Přenosové rychlosti se pohybují v řádech megabajtů. Bezpečnost mobilních sítí je na velmi dobré úrovni a pro autentizaci se využívá mechanismus výzva-odpověď. Výpočet odpovědi provádí čipová karta SIM pomocí uloženého klíče, který není možné z karty přečíst bez speciálního hardware. Zranitelným místem GSM je malá délka

16

šifrovacího klíče, která je 64 bitů a autentizace pouze uživatele, nikoliv sítě, tedy jednostranně. UMTS se již tento problém netýká, neboť autentizace je vzájemná a klíč je 128 bitů dlouhý.

2.1.7 WiFi WiFi je bezdrátovou technologií, která splňuje normu IEEE 802.11. Norma obsahuje řadu variant s různými parametry a schopnostmi. Původní zaměření těchto sítí byla jako náhrada metalických rozvodů lokálních sítí, ale postupem času se stala technologie oblíbeným způsobem připojení k internetu. Typy propojení mohou být Point to Point, Bridge a nebo Point to Multipoint. Výhodou těchto sítí je jejich levná výstavba a cenová dostupnost zařízení. Z toho plynou další problémy a to je rušení. Díky expanzi sítí ve městech vzniká velké množství WiFi sítí a je zcela nemožné najít volný kanál. Pokud jej najdeme, neznamená to, že kanál budeme využívat pouze my, ale je pravděpodobné, že v budoucnu někdo další kanál využije a dojde tak k rušení.

2.2 Fyzikální principy bezdrátových sítí Odlišnost přenosu dat oproti drátovému typu komunikace je podstatný. Realizováno je pomocí elektromagnetických vln a záření. Rok 1865 a fyzik James Clerk Maxwell dokázal matematicky odvodit existenci elektromagnetických vln, které se šíří světelnou rychlostí. Zjistil, že světelný paprsek je postupná vlna tvořená magnetickým a elektrickým polem a že optika, studující viditelné světlo je součástí elektromagnetismu. V této době bylo již známé ultrafialové a infračervené světlo, které bylo jediným známým druhem elektromagnetických vln. Až Heinrich Hertz objevil rádiové vlny a dokázal určit, že se šíří stejnou rychlostí jako světlo.

2.2.1 Elektromagnetické vlnění Jde o proces, kdy se kmitání šíří ve všech látkových skupenstvích prostředím. Je přenášen určitý druh energie, nikoliv látky. Užívané základní veličiny jsou frekvence označované f, udávající počet vykonaných kmitů za jednu sekundu. Jednotky jsou známé jako hertz (Hz), kilohertz (kHz), megahertz (MHz) a další. Vedle frekvence je další veličinou rychlost vlnění, jakou se šíří rozruch od zdroje k dalším bodům prostředí s užívanými jednotkami metrů za sekundu (m/s), kilometrů za hodinu (km/h), kilometrů za sekundu (km/s) apod. Vlnová délka

17

určující vzdálenost dvou sousedních maxim, nebo minim s jednotkami vlnových délek metrů (m), centimetrů (cm), milimetrů (mm) je další užívanou základní veličinou. Graf 1: Vlnění

Zdroj: vlastní zpracování

Elektromagnetická vlna na obrázku číslo 5 je složena z elektrického (E) a magnetického (B) pole. Vektory těchto dvou základních složek jsou na sebe kolmé a kmity probíhají kolmo ve směru, kterým se šíří. S jednotkou času se mění. U elektromagnetických vln udáváme počet period za sekundu a frekvence je nepřímo úměrná délce vlny. Na obrázku č. 5 je znázorněno elektromagnetické vlnění, kde osa y je elektromagnetické pole, osa z je magnetické pole a osa x znázorňuje vlnění. Obrázek 5: Elektromagnetické vlnění elektrického pole

Zdroj: http://www.mundoeducacao.com.br/upload/conteudo_legenda/67fd72fde10f968427dd463ac985b946.j pg

Čím kratší vlnová délka je, tím vyšší je její kmitočet a obráceně. Elektromagnetické vlnění jako rádiové, mikrovlnné, světelné, rentgenové se může šířit v hmotném prostředí i ve vakuu 18

a podle Einsteinovy teorie relativity je vlnění ve vakuu nejvyšší dosažitelnou rychlostí ve vesmíru. Šíření vln závisí i na vlnové délce. Pokud je jejich délka velká, elektromagnetické vlny lehce pronikají překážkami. Příkladem jsou radiové vlny. Je-li naopak malá, vlna nedokáže proniknout za překážku a vytvoří stín. Pokud je vlnová délka malá, šíří se prakticky jako paprsek a můžeme jej nazývat zářením. Obrázek 6: Elektromagnetické spektrum

Zdroj: http://www.sciencelearn.org.nz/var/sciencelearn/storage/images/science-stories/harnessing-thesun/sci-media/animations-and-interactives/the-electromagnetic-spectrum/257526-1-eng-NZ/Theelectromagnetic-spectrum_full_size.jpg

2.2.1.1 Rádiové vlny Rádiové vlny dosahují vlnových délek v rozmezí kilometrů až milimetrů a slouží k přenosu zvukových, obrazových i jiných informací. U televizního vysílání jsou použity vlny s kratší délkou než u rozhlasu. Nejkratší vlnová délka 0,1 m až 1 mm je využívána radary, satelity, mobilními telefony, systémy GPS i mikrovlnnými troubami. 2.2.1.2 Infračervené záření Pro člověka je neviditelné a vnímat ho můžeme pouze jako tepelné záření. Je například součástí slunečného záření a jeho vlnová délka je větší, než viditelné světlo. V praxi se

19

používá například v přístrojích nočního vidění, tepelných detektorech, nebo v dálkových ovladačích. Délka vlny je od 0,1 nm do 790 nm. 2.2.1.3 Viditelné světlo I viditelné světlo je druhem elektromagnetického záření a můžeme jej vnímat přímo zrakem. Pomocí skleněného hranolu nebo optickou mřížkou je možné rozložit jej dle vlnových délek na jednotlivé barvy. Vlnová délka je od 790 nm do 390 nm. 2.2.1.4 Ultrafialové záření Přírodním zdrojem tohoto záření je Slunce, na Zemi nedopadá, neboť je zadrženo zemskou atmosférou. Vytvořit toto záření lze například pomocí výbojových trubic, kde záření vznikne průchodem elektrického proudu rtuťovými parami. Dělit jej můžeme na záření typu UVA s vlnovými délkami 400 do 315 nm, UVB 315 až 280 nm, UVC menší než 280 nm. 2.2.1.5 Rentgenové záření Vyznačuje se velkou pronikavostí do předmětů díky fotonům, které mají velkou energii. Před zářením z vesmíru jsme chráněni zemskou atmosférou a hlavní využití je ve zdravotnictví a v různých vědních oborech. Toto záření může být ve velkých dávkách nebezpečné. Vlnová délka je od 10 nm do 1 pm. 2.2.1.6 Gamma záření Gamma záření, je záření, které je vysoce energeticky náročné a vzniká při radioaktivních i dalších jaderných dějích. Toto záření má velkou pronikavost i ionizační účinek a velice dobře proniká do materiálu díky své vlnové délce, která je menší než 1 pm. Vlastnosti všech záření jsou různé, společnou mají pouze jednu vlastnost a tou je rychlost šíření ve vakuu c = 300000 kilometrů za sekundu. Ve vzduchu je jejich rychlost podobná, avšak v jiných prostředí se snižuje.

2.2.2 Šíření elektromagnetických vln Elektromagnetické vlny se v izotropním prostředí šíří přímočaře, avšak v anizotropním prostředí dochází k odrazům, pohlcení, ohybu vlny, nebo i útlumu. U odrazu je zřejmé, že pokud se vlna dostane k překážce a nedokáže jí proniknout, odrazí se a změní směr.

20

Příkladem může být odraz světla od zrcadlové plochy, či zvuku od stěny. U absorpce může být například energie vlny ve formě tepla zeslabena a postupně vytracena, pohlcena. Určité druhy vln, například zvukové, mohou být u malých překážek a velkých vlnových délkách ohýbány. U malých mikrovlnných nebo světelných délek, které se šíří přímočaře k ohybu nedochází. Skládání vln známého jako interference probíhá, pokud dojdou dvě vlnění do určitého bodu a spojí se tak v jediné. Důsledkem může být zesílení, nebo naopak zeslabení, avšak může dojít i k úplnému vyrušení. Mezi nejčastější problémy při šíření rádiového signálu patří: Rušení jinými systémy, pracující ve stejném pásmu, použití nekvalitního WiFi HW, špatně provedený anténní svody, nebo nekvalitně odrušené ostatní přístroje jako jsou například mikrovlnné trouby, jsou časté problémy spojované s útlumem rádiového signálu. Kvůli překrývání kanálů ve frekvenčním pásmu 2,4 GHz, může dojít k rušení u klientů, kteří jsou více vzdáleni od přístupového bodu. Rušení bývá často způsobeno zařízeními pracujícími ve stejném pásmu a použitou modulací FHSS. Řešením je zvolení jiného kanálu, nebo vhodnou volbou antény. Dalším problémem jsou vlivy počasí a přímá viditelnost, která pokud není dodržena, nastávají chyby a výpadky spojení. Dalším problémem jsou listnaté stromy, které například po dešti, dokáží utvořit nepřekonatelnou překážku, neboť voda, WiFi signál pohlcuje. Počasí není, ale takovým problémem jak si mnozí myslí. Výchylky a ztráty signálu způsobuje počasí jen minimálně a týká se až větších vzdáleností. Pásmo 2,4 GHz: -

prudký déšť (100 mm3/hod pokles signálu o 0,05 dB/km);

-

běžný déšť (pokles signálu o 0,02 dB/km).

Pásmo 5 GHz: -

prudký déšť (pokles signálu o 0,5 dB/km);

-

běžný déšť (pokles signálu o 0,07 dB/km).

Problém vícecestného šíření signálu lze odstranit vhodným rozmístěním stanic a použití vhodných vysílacích antén.

21

Ztráty ve volném prostoru, ke kterým dochází průchodem atmosférou, volným prostorem bez překážek dochází vždy a lze jej vypočítat následujícím vzorcem, kde L0 představuje ztráty ve volném prostoru v decibelech (dB), d určuje vzdálenost v kilometrech a λ určuje délku vlny.

L0 = 20 log

4.π .d

λ

2.2.3 Fresnelova zóna Přímou viditelností ovšem nezaručíme kvalitní přenos. Mnozí technici a správci opomínají při realizaci bezdrátové sítě na Fresnelovu zónu. Fresnelova zóna tvoří elipsoid, prostor okolo spojnice dvou bodů. Do této zóny by nemělo být zasahováno překážkami. Pro bližší představu Fresnelovy zóny, při délce spoje 100 metrů, průměr v nejširším bodě r činní 1,8 metru. Při délce spoje 1 kilometr je průměr 5,6 metru. Obrázek 7: Fresnelova zóna

Zdroj: http://www.racom.eu/images/ray/fresnel01_580.gif

Nedodržením této zóny se podstatně snižuje úroveň signálu. Vznikají odrazy od překážek a klesá kvalita přenášeného datového toku. V praxi se projevuje ztrátou paketů i vyššími latencemi. Pro fungující stabilní bezdrátový přenos je nutné udržet alespoň 60% průměru Fresnelovy zóny bez překážek, jinak dochází k výrazné degradaci kvality přenosu.

22

Modulace Modulace je nezbytný proces, kdy je signál přeložen do srozumitelného kódu pro přijímač, kterým může být například, rádio, televize, mobilní zařízení, satelitní přijímač, modem a další. Pro oboustrannou komunikaci je nutný i demodulátor, fungující opačně. Druhů modulací je celá řada a jsou rozlišovány. Známé jsou DSSS8, FHHS9, OFDM10.

2.2.4 Faradayova klec Je pojem známý od 19. století. Princip klece, kterou definoval známý Angličan chemik a fyzik Michael Faraday, není složitý. Je založen na elektrickém náboji, který je soustředěn na povrch vodiče a ne do jeho objemu. Uvnitř vodiče není žádné elektromagnetické pole. „Angličan Michael Faraday povšiml, jakožto pravděpodobně i jiní před ním, že náboj přivedený na dutý vodič je rozmístěn pouze na jeho vnější straně a že ten nemá žádný vliv na předměty umístěné uvnitř. A jelikož byl i výborným demonstrátorem a popularizátorem vědy, postavil velký krychlový dřevěný rám (o straně 12 stop) a ten celý pokryl vodivým materiálem. Do této konstrukce si pak při jedné ze svých večerních veřejných přednášek sedl a nechal ji nabít až natolik, že bylo patrné, jak z ní létají jiskry, on sám však přitom uvnitř žádný efekt elektrického pole nepocítil a na vnitřní straně klece žádný náboj nedetekoval.“11 Faradayova klec má kladné i záporné stránky. Lze ji využít tam, kde je třeba chránit elektronická zařízení, nebo osoby před určitým vlnovým zářením. Příkladem této klece může být i automobil, který po zasažení bleskem vede elektrický náboj vodivými částmi a nehrozí tak zranění posádky. Zápornou stránkou může být vznik přirozených klecí. Pokud se bavíme o bezdrátových WiFi sítích, ve většině případů požadujeme co nejvyšší dosah signálu. Tento signál dokáže relativně dobře procházet běžnými překážkami, avšak u železobetonových staveb nastává problém v tom, že jako celek tvoří Faradayovu klec. Vyslaný signál z vysílače umístěného vně, se tak nemůže v plné síle dostat do objektu a naopak. Tuto situaci lze využít i ve prospěch a to v bezpečnosti. Pokud rozsvítíme vysílač uvnitř objektu, signál bude minimálně pronikat z budovy. Minimalizujeme tak viditelnost a riziko útoku na síť. Pokud,

8

9 10 11

DSSS - Direct-sequence Spread Spectrum použitá v normě 802.11b, kdy se jeden bit kóduje do sekvence bitů. FHHS - Frequency Hopping Spread Spectrum, používaná v prvních verzích 802.11. OFDM - Orthogonal Frequency Division Multiplexing v 802.11g a 802.11a, modifikovaně v 802.11n. Citace z: VERKA. Faradayova klec [online]. Kdf.mff.cuni.cz, 2011 [cit. 2012-03-30]. Dostupné z WWW:

23

ale uvnitř tohoto objektu jsou zdi tvořeny stejným materiálem, vznikají další klece a to je stav nežádoucí. Řešením je poté implementace dalších vysílačů, nebo zvýšením výkonu antén. Obrázek 8: Možná podoba Faradayovy klece

Zdroj: http://www.nova-lab.cz/images/Faraday_csmall.jpg

24

3

Protokoly bezdrátových sítí

Dříve v dobách sálových počítačů nikdo neuvažoval o jiných možnostech přenosu dat než pomocí kabelů. Prvopočátky se ovšem datují od 40 let, kdy George Antheil, hudební skladatel, komponoval skladby pro mechanická piana za použití děrné pásky a rakouská herečka Hedy Lamarr se provdala za vysoce postaveného německého zbrojního magnáta Friedricha Mandla a díky němu získala kontakty v armádě, která toho času pracovala na vývoji torpéda, řízeného na dálku pomocí radiového vysílání. Tato nová technologie, měla celou řadu nedostatků. Hlavním problémem byl odposlech. Hedy tedy kontaktovala Antheila, aby ji pomohl nedostatky odstranit. Navrhla řešení, že radiové signály, můžou být distribuovány náhodně v čase napříč sérií frekvencí. Znamenalo to, že přenos byl velmi krátký, a datový tok bylo možné hůře odposlouchávat. Antheil teď musel vyřešit synchronizaci mezi vysílačem a přijímačem. Díky svým muzikantským znalostem navrhnul synchronizační mechanismus, využívajíc perforovanou roli papíru, obdobnou jako u jeho pián. Oba zmínění si nechali vynález patentovat a nabídli technologii americkému námořnictvu, kam Hedy utekla. Námořnictvo tento patent zpočátku nevyužilo, avšak počátkem 60. let, kdy byl děrovaný pás nahrazen elektronikou, začala jej armáda využívat k bezpečné komunikaci na moři. Tato technologie využívala modulaci FHHS a uvolněna pro civilní užití byla až v 80. letech. Do této doby ji měla v rukou pouze armáda, která ji používala hlavně ve válce ve Vietnamu.

3.1

IEEE organizace

IEEE je mezinárodní nezisková organizace mající na starost standardizaci různých oborů jako například informační, lékařské, telekomunikační technologie. Každý z oborů je označen a správa lokálních a metropolitních sítí nese označení IEEE 802 a známý termín 802.11 označuje bezdrátové lokální sítě. Tento standard obsahuje řadu modulací pro vysílání rádiového signálu. Rozlišovány jsou písmeny a, b, g, n a dalšími c-f, h, j, které jsou považovány za dodatky, opravující, nebo rozšiřující, předchozí specifikace. Každý z nich obsahuje jinou techniku modulace signálu, nebo jinou úpravu, či vylepšení.

25

3.2

IEEE standardy

Standard bezdrátové technologie je cílen na fungování v bezlicenčním pásmu známého jako ISM12. V tomto volném pásmu je možné se setkat i s jinými druhy bezdrátových technologií jako Bluetooth označovaný 802.15, nebo bezdrátové telefony DECT13. IEEE 802.11 V roce 1997 je organizací IEEE vydán první standard bezdrátových sítí označovaných 802.11. Tento původní standard byl vyvíjen již od přelomu 90. let a pokrývá fyzickou a spojovací vrstvu modelu OSI. Jsou zde určeny funkční požadavky, protokoly sloužící k přístupu k přenosovému médiu a vytyčená šířka pásma pro přenos dat. Ve fyzické vrstvě jsou určeny tři metody, FHSS, DSSS a infračervený přenos. U spojovací vrstvy je to autentizace, deautentizace, asociace, disasociace a šifrování WEP. Tento standard funguje v kmitočtovém pásmu 2,4 GHz s rychlostí dosahující 2 Mbit/s. Nedokonalosti jsou zřejmé a řešeny jsou v dalších letech. IEEE 802.11a Tento standard z roku 1999 je určen pro pásmo 5GHz, využívající ortogonální frekvenční multiplex OFDM a dosahující rychlostí 54 Mbit/s. Vývoj této začal dříve než na 802.11b a déle i trval. Důvodem byl složitý způsob přenosu dat na fyzické vrstvě. V porovnání s touto normou dosahuje především větších přenosových rychlostí. Rychlost 54 Mbit/s je ale teoretická a v praxi se pohybuje do maximálně 36 Mb/s. Použité vyšší kmitočtové pásmo 5 GHz je méně obsazeno a umožňuje využít více kanálů a eliminovat tak rušení. IEEE 802.11b V této normě taktéž z roku 1999 je odstraněna řada nedostatků z 802.11 a tou je především rychlost. Lze dosáhnout přenosových rychlostí 11Mbit/s v pásmu 2,4 GHz a navýšení rychlostí je dosaženo díky novým způsobům kódování CKK14. Na vrstvě fyzické, využívá modulační metodu DSSS. Přenosové rychlosti jsou dle rušení prostředí snižovány, nebo navyšovány v 1, 2, 5,5 Mbit/s do 11 Mbit/s. Zde se opět jedná o maximální teoretickou rychlost a dle rušení, vzdálenosti a kapacit přístupového bodu se reálně rychlost pohybuje

12

ISM - Industrial, Scientific, Medical, který je vyhrazen pro průmyslové, vědecké i lékařské obory. DECT - Digital Enhaced Cordless Telecommunications. 14 CKK - Complementary Code Keying. 13

26

okolo 6 Mbit/s. Dosah sítě závisí na oblasti, kde je provozována a reálně ji lze využít do 100 metrů. IEEE 802.11c Tento další standard pro WiFi již dokáže vytvářet mosty v bezdrátových zařízeních a doplňuje tak 802.11d o požadavky přemostění MAC15, která je podvrstvou vrstvy linkové. IEEE 802.11d 802.11d bývá často označován jako globální harmonizační standard a jeho užití je vhodné v zemích, kde nejsou povoleny systémy využívající jiné dodatky k 802.11. Obsahuje jiné frekvence i diferentní výkony a propustnost signálu. Standard je výhodný pro zařízení poskytující globální roaming, neboť zařízení vyšle do celé sítě ISO kód země, kde se nachází a klient upraví své frekvence, výkon a propustnost. IEEE 802.11e Tento doplněk původního standardu vylepšuje MAC podvrstvu vrstvy linkové a rozšiřuje podporu kvality služeb QoS16. Který má za úkol rezervovat a řídit datový tok tak, aby nedocházelo při zahlcení sítě ke snížení kvality a zpoždění u aplikací jako jsou například Voice over Wireless IP. IEEE 802.11F Norma z roku 2003 obsahuje pouze úpravu komunikace mezi jednotlivými přístupovými body a v březnu 2006 je stažen. IEEE 802.11g Tato specifikace uvedená v platnost roku 2003 se dá považovat za přepracovanou normu 802.11b a dosáhne rychlosti 54 Mbit/s a využívá metody OFDM jako je tomu u 802.11a. Pracuje v pásmu 2,4 MHz (2400 MHz – 2485 MHz). Dostupnost sítě je velmi podobná a činní kolem 100 metrů. Plnou rychlost je možné využít do 30 metrů od vysílače, pak se postupně snižuje. Zřejmou výhodou je zpětná kompatibilita s 802.11b a v jedné síti tak mohou pracovat klienti obou typů sítí. Na druhé straně, je ale nevýhodou, že k dispozici jsou pouze tři 15 16

MAC - Media Access Control. QoS - Quality of Service.

27

vzájemně se nepřekrývající kanály a vzniká rušení od jiných zařízení, která fungují ve stejném pásmu. Výkon takovéto bezdrátové sítě závisí především na skutečnosti, zda jsou v síti připojeni klienti pracující na 802.11b, který bere komunikaci OFDM jako šum. 802.11g má integrovaný ochranný mechanismus, který umožní společné fungovaní obou standard vedle sebe. Tento mechanismus se jmenuje RTS/CTS17. Skutečná propustnost činní 30 Mbit/s a pokud se vyskytuje v síti klient 802.11b klesá na 8 Mbit/s. IEEE 802.11h Tento doplněk u zařízení pracujících na kmitočtu 5 GHz vylepšuje řízení a využití kmitočtového spektra zahrnující vybraní kanálu a řízení vysílaného výkonu. Doplňuje 802.11a. IEEE 802.11i Norma 802.11i je dalším dodatkem ke standardům 802.11 a jedná se o šifrovací a autentizační algoritmus WPA2. Ke schválení dochází 24. června 2004 a úkolem je nahradit nedostačující zabezpečení WEP18. IEEE 802.11j Tento standard z roku 2004, v frekvenčním pásmu 4,9 - 5 GHz zahrnuje nová frekvenční pásma pro multimédia používaná v Japonsku. IEEE 802.11k Navazuje na 802.11j a definuje měření a správu spektra vzhledem k novým podmínkám. IEEE 802.11l Standard není použit a je rezervován. IEEE 802.11m V této normě se nachází pouze správa standardu upravující přenosové metody.

17 18

RTS/CTS - Request To Send/ Clear To Send. WEP - Wired Equivalent Privacy.

28

IEEE 802.11n Důležitá norma 802.11n byla přijata roku 2009, vychází z 802.11 a je doplněna o kódovací techniku MIMO19. Obsahuje též kanály s šířkou 40 MHz a rámcovou agregaci na MAC vrstvě. Modulaci signálu využívá BPSK, QPSK a 16,64-QAM. Díky těmto doplňkům je síť fungující na této normě schopna dosáhnout přenosových rychlostí až 600 Mbit/s pokud pracuje ve frekvenčním pásmu 5 GHz. V 2,4GHz pásmu jsou přenosové rychlosti menší. IEEE 802.11o Standard není použit a je rezervován. IEEE 802.11p Tato norma specifikuje vlastnosti bezdrátového přístupu pohyblivého prostředí, jakou jsou auta, vlaky a podobně. IEEE 802.11r Specifikuje standardizaci odklonů pro rychlý roaming mezi přístupovými body, včetně autentizačních klíčů, aby bylo možné podporovat vedle datového provozu v bezdrátové síti i provoz hlasový. IEEE 802.11s Standard pro tzv. samoorganizující se bezdrátové sítě. IEEE 802.11T 802.11t rozšiřuje WiFi o metriky, metodologie pro měření a podmínky pro testování zařízení. IEEE 802.11u 802.11u usiluje o harmonizaci a spolupráci sítí 802.11 a jiných sítí. IEEE 802.11v 802.11v má za úkol vytvořit jednotný management a konfiguraci Wi-Fi zařízení, aby jej zpřehlednil v rostoucím počtu funkcí. 19

MIMO - Multiple Input an Multiple Output, která využívá více vysílacích a přijímacích antén.

29

IEEE 802.11w rozšiřuje stávající MAC podvrstvy o mechanismy na podporu autenticity zdroje dat, utajení, integrity dat a ochrany před útoky typu replay pro vybrané rámce určené pro management. Cílem je tedy zvýšit zabezpečení rámců pro management včetně rámců pro deautentizaci a deasociaci. IEEE 802.11x Standard není použit a je rezervován. IEEE 802.11y 802.11y je cílen na veřejné pásmo v USA v rozsahu 3650 – 3700 MHz. IEEE 802.11ac Připravovaná norma, která by měla pracovat pouze v pásmu 5 GHz a má se stát nástupcem 802.11n. Dosahované rychlosti mají být 1 Gb/s s datovým tokem skrz jednu linku 500 Mb/s. Zařízení využívající 802.11ac budou muset být vybaveny více anténami. Tabulka 1: Přehled vybraných protokolů bezdrátových sítí

Rychlost

Fyzická

(Mbit/s)

vrstva

2,4

1- 2

DSSS, FHSS

1999

5

54

OFDM

802.11b

1999

2,4

11

DSSS

802.11g

2003

2,4

54

OFDM

802.11n

2009

2,4 a 5

600

802.11y

2008

3,7

54

802.11ac

2012 - 2013

5

1000

Standard IEEE

Rok vydání

Pásmo (GHz)

802.11

1997

802.11a


30

MIMO, OFDM OFDM MU-MIMO, OFDM

4

Bezpečnost bezdrátových technologií

Zabezpečit bezdrátovou síť je obtížný úkol. Vývoj bezpečnostních prvků pokračuje kontinuálně a dá se říct, že nikdy neskončí, neboť stále jsou nacházena slabá místa, která mohou být zneužita. Nedůvěra a strach, která panovala v začátcích bezdrátových sítí je postupně eliminována, avšak nás stále nutí zdokonalovat zabezpečení. Důležitou roli v zabezpečení hraje autentizace, integrita a šifrování.

4.1

SSID

Jedná se o identifikátor bezdrátové sítě, který přístupový bod vysílá v pravidelných intervalech. Tato hlavička nazývaná beacon obsahuje základní informace o přístupovém bodu. Jsou zde obsaženy informace jako SSID (Service Set Identifier), síla signálu, podporované rychlosti a další údaje. Pokud se klient potřebuje připojit do bezdrátové sítě, je nutné provést proces skenování a vyhledat tak dostupné bezdrátové sítě v dosahu. Tento SSID identifikátor je zobrazen oprávněným i neoprávněným uživatelům. Z bezpečnostního hlediska se doporučuje SSID skrývat.

4.2

Zabezpečení WEP

Tento volitelný doplněk určený pro WiFi 802.11 normu, má za úkol zabezpečit celou komunikaci v síti. Jeho použití v této normě není nutností, avšak je důrazně doporučováno. Tento druh zabezpečení slouží pro autentifikaci, nebo-li přístup oprávněného uživatele a umí také data šifrovat. Při vývoji tohoto bezpečnostního prvku WEP se věřilo, že zabezpečení nebude možné prolomit, ale s expanzí WiFi sítí byly zjištěny vážné nedostatky. Autentizace zabezpečení pomocí WEP Pro autentizaci, nebo-li ověření totožnosti je využíváno buď otevřeně open system, nebo za pomoci sdíleného klíče shared key. Obě tyto metody jsou již v dnešní době slabé a lze je poměrně rychle obejít. Autentizace u WEP je jednostranná a klient se tedy autentizuje k přístupovému bodu, ale nemá jistotu, zda se připojuje k autoriziovanému Access Pointu20. Při autentizaci je poté ověřováno samotné zařízení, nikoliv uživatel.

20

Access Point - Přístupový bod.

31

Šifrování zabezpečení pomocí WEP Šifrování je realizováno 64 a 128 bitovým klíčem, který je složený z inicializačního vektoru IV o délce 24 bitů a uživatelského klíče dlouhého 40 nebo 104 bitů, dle délky uživatelského hesla. Tento inicializační vektor je jedním ze vstupů generátoru tvořící symetrickou proudovou šifru. Vygenerován je druhou vysílací stranou a hodnota se dynamicky mění. Druhý vstup je hodnota uživatelského klíče, kterou si vytváří uživatel, nebo správce sítě. Pro dešifrování na druhé straně je využit také generátor, který vytvoří stejný dešifrovací klíč za podmínek, že na jeho vstup přijde stejný soukromý klíč s hodnotou IV, použitou na vysílací straně. Pro vytvoření šifrovacího klíče je užit mechanismus RC4, který je generátorem pseudonáhodných čísel PRNG21 a po kombinaci soukromého klíče a IV vzniká zmíněný šifrovací klíč využitelný pro přenos zprávy pomocí logické operace XOR. Důležitým požadavkem bezpečné šifry RC4 je, že šifra musí být vždy jedinečná. Hodnota uživatelské šifry je vždy stejná a je tedy nutné dynamicky měnit IV, který generuje vysílací strana. Inicializační vektor má určenou délku 24 bitů a může tedy vzniknout 224, což odpovídá 16,5 milionu kombinací. I když se může zdát, že celkový počet kombinací je dostačující, opak je pravdou. Kombinace jsou relativně rychle vyčerpány a dochází tak k porušení bezpečného šifry RC4. Tímto se útočníkovi naskýtá šance rozluštit kód. Integrita dat v zabezpečení WEP Zaručení neměnnosti dat při přenosu WEP ověřuje výpočtem kontrolního součtu datové části rámce CRC22. Výsledkem je ICV23, který je připojen ke konci příslušného rámce a data jsou společně s ICV zašifrována. Na druhé přijímací straně jsou dešifrována následně probíhá kontrola ICV a pokud nesouhlasí, jsou data zahozena. Tento druh zabezpečení je i v dnešní době stále využíván i přes velké nebezpečí napadení. Často ho můžeme najít v domácích bezdrátových sítí, neboť jeho nastavení zvládne i méně zkušený uživatel. Ve firmách je jeho použití výjimečné, neboť správci těchto sítí znají bezpečnostní trhliny tohoto šifrování a vědí, že i méně zkušení útočníci dokážou síť prolomit a odposlouchávat.

21

PRNG - Pseudo Random Number Generator. CRC - Cyclic Redundancy Check. 23 ICV - Integrity Check Value. 22

32

Bezpečnostní trhliny WEP Jednostranná autentizace – uživatel neví, s jakým přístupovým bodem zrovna komunikuje. Není autentifikován uživatel, ale hardwarové zařízení – pokud je hw odcizeno, útočník získává soukromý klíč a je nutná změna tohoto klíče. Autentizace se sdíleným klíčem – při autentifikaci se sdíleným klíčem může útočník v procesu výzva – odpověď, která je posílána otevřeně, zachytit tuto relaci a odvodit soukromý tajný klíč. Nemožnost měnit klíč – tento protokol neumí automaticky měnit klíče. Problémem je tedy jeho distribuce, kterou je nutné dělat manuálně, což může být problém ve velkých bezdrátových sítích s mnoho klienty, kde je nutné na všech nastavit klíč stejný. 24 bitová hodnota – v protokolu WEP není specifikováno, jakým způsobem se má 24 bitová hodnota IV měnit a z pravidla jednou dojde a v tomto okamžiku je útočník schopen klíč prolomit. CRC-32 algoritmus – používá se k výpočtu ICV a jeho úkolem je detekovat chyby v přenosu. Jelikož je tento algoritmus lineární, je možné jej využít k útokům typu Man In The Middle (MITM). Útok na zabezpečení WEP Útoky na tento druh zabezpečení patří k nejčastějším a to díky svým bezpečnostním nedostatkům, které jsou zde již od počátku. I přes postupné vylepšování zabezpečení, nebylo možné útoky eliminovat, neboť se vyvíjeli také.

4.3

Zabezpečení IEEE 802.1x

Z hlediska zabezpečení hraje roli i norma 802.1x schválena v roce 2001, týkající se přístupu do sítí pomocí autentizací na portech. Tento bezpečnostní prvek je primárně určen pro metalické sítě LAN, avšak je možné využít jej i pro zdokonalení bezpečnosti bezdrátových sítí 802.11. Jedním z bezpečnostních prvků je silná autentizace uživatele a kontrola integrity zpráv šifrováním, za pomoci šifrovacích mechanismů a distribucí klíčů. V praxi to znamená, že uživatelům, kteří nemají patřičná oprávnění, je zamezen vstup do sítě.

33

U bezdrátových sítí WLAN probíhá autentizace na úrovni logických portů access pointu a každá AP stanice komunikuje s jedním takovým logickým portem. Autentizace se provádí, že AP zprostředkuje spojení mezi klientem a autentizačním serverem (nejčastěji RADIUS), který rozhodne o výsledku autentizace za užití protokolu EAP24, který umí využít i více autentizačních mechanismů. Pro lepší pochopení je určen obrázek č.9. Obrázek 9: Základní prvky 802.1x


Klient – požaduje autentizaci pro přístup do bezdrátové sítě. Přístupový bod – tento autentizátor povoluje nebo blokuje komunikaci od klienta v závislosti na jeho ověření a je prostředníkem mezi klientem a autentizačním serverem. Autentizační server – v RADIUS serveru jsou obsaženy autentizační informace. K protokolu EAP v sítích LAN je využíván EAPOL25 a původně měl být EAP rozšířením protokolu PPP26 z důvodu podpory novějších autentizačních mechanismů. Práce EAPOL spočívá v zapouzdřování zpráv protokolu EAP do EAPOL rámců. Komunikace je řízena přístupovým bodem, který zakazuje využití všech síťových prostředků i služeb pro uživatele kromě autentizačního serveru. Pokud chce uživatel vstoupit do sítě, musí se nejprve autentizovat. K tomu jsou využívány modely dvou virtuálních portů: -

řízený

port

(controlled)

–

zde

je

blokován

veškerý

provoz,

nachází

se v neautorizovaném stavu. Po autentizaci je odblokován a je umožněn síťový provoz.

24

EAP - Extensible Authentication Protocol. EAPOL - EAP over LAN. 26 PPP - Point-to-Point Protocol. 25

34

-

neřízený port (uncontrolled) – i zde je blokován veškerý provoz, kromě rámců protokolu EAP, užívaný pro komunikaci s AP a autentizačního serveru. Dle výsledků této komunikace dochází k povolení, nebo blokování provozu uživatele v síti.

Autentizační komunikaci začíná klient, odesláním startovacího rámce přístupovému bodu. AP je tak upozorněn na existenci klienta a umožňuje mu komunikovat přes EAP, neřízený port. AP zasílá klientovi rámec s žádostí na identifikaci, na kterou uživatel odpoví svými identifikačními údaji. AP předává informaci autentizačnímu serveru a ten na základě identifikačních údajů odesílá k AP výzvu o zadání hesla. AP je přeposílá klientovi, který správně odpoví a odesílá zpět k AP. Přístupový bod ji opět přepošle autentizačnímu serveru a na základě odpovědi provádí server ověření správnosti a úspěšný, či neúspěšný výsledek zasílá k AP a ten na základě výsledku přepne řízený port do stavu autorizovaného, pokud byl výsledek správný.

4.3.1

Komponenty autentizace 802.1x

Protokol EAP využívaný u způsoby výměny autentizačních práv, nedefinuje bezpečnostní protokoly a mechanismy pro autentizační proces. Nejčastěji používané autentizační mechanismy jsou EAP-MD5, EAP-TLS, EAP-TTLS, LEAP a PEAP. EAP-MD5 Z bezpečnostního hlediska je MD5 považován za nejslabší proto, že autentizace uživatele je podmíněná heslem a je tak náchylná na slovníkové útoky. Nedochází zde ke vzájemné autentizaci, ale pouze k ověření klienta a uživatel tak nemá možnost ověřit si, že komunikuje se správným AP. Neumožňuje dynamické generování šifrovacích klíčů. EAP-TLS Silné zabezpečení realizované metodou TLS27. Zde je již možná vzájemná identifikace, za použití digitálních certifikátů podepsaných certifikační autoritou klienta a autentizačního serveru. Je zde využíváno veřejného klíče PKI28 a vzniká mezi klientem a autorizačním serverem šifrovaný tunel, přes který dochází k výměně autentizačních údajů. Problémem u tohoto druhu zabezpečení je distribuce certifikátů a v rozsáhlé síti je to podmínka špatně realizovatelná. Výhodou je díky šifrování ochrana před útoky typu MITM a odposlechu. 27 28

TLS - Transport Layer Security. PKI - Public Key Infrastructure.

35

EAP-TTLS Tunneled Transport Lyyer Security rozšiřuje autentizační mechanismus TLS a má za úkol umožnit snadněji implementaci. Principy zabezpečení jsou stejné jako u TLS, avšak digitální certifikát je využit pouze pro autentizaci autentizačního serveru vůči klientovi. Klienti pro autentizaci svoji použijí heslo. LEAP Lightweigt EAP je firemní řešení společnosti Cisco Systems, která jej vydala v roce 2000, avšak jeho užití bylo minimální, neboť fungovalo pouze na zařízeních Cisco. Toto řešení umí dynamicky generovat klíče WEP pro každou relaci a umožní vzájemnou autentizaci. PEAP Protected EAP je obdoba TTLS. Vzniká šifrovaný tunel a autentizační server se autentizuje příslušnému klientovi za pomoci digitálního certifikátu a následně pro autentizaci klienta je možné využít některé z dalších metod EAP, například výzvu MD5. Tabulka 2: Autentizační mechanismy

Metoda

Vzájemná autentizace

Zabezpečení

Náročnost

Typická

Implementace

implementace

MD5

Ne

Dostatečné

Nízká

TLS

Ano

Výborné

Vysoká

Heslo na výzvu Certifikáty na obou stranách Certifikát u

TTLS

Ano

Velmi dobré

Střední

autentizačního serveru, klient např. heslo

LEAP

Ano

Dobré

Střední

PEAP

Ano

Velmi dobré

střední


36

Na základě hesla Obdoba TTLS

4.4 Zabezpečení WPA Nedokonalosti zabezpečením doplňkem WEP, měli za následek, vytvoření doplňku nového WPA29. Bezpečnostní mechanismus WPA potlačuje všechny známé nedostatky protokolu WEP a vychází z IEEE 802.11i. Podmínkou vývoje WPA byl fakt, že musí umožnit použití současného hardwarového vybavení, který podporuje WEP a RC4 šifrování. WPA bylo možné distribuovat pouhou aktualizací obslužného SW a k šifrování využíval také RC4 mechanismus jako WEP. Bezpečnost WEP byla prolomena roku 2001 a ihned poté začaly práce právě na novém protokolu a bylo známé, že vývoj bude trvat několik let a sítě by byly prakticky nezabezpečeny. Proto je vydán v roce 2002 rozpracovaná verze standardu WPA. Kompletní 802.11i byla schválena roku 2004, označena jako WPA2. Autentizace – využívá autorizace na portech podle 802.1x s různými metodami autentizace EAP, nebo využívá přednastavené klíče PSK. Šifrování – zlepšeno za pomoci protokolu TKIP30, který používá dočasné klíče, číslování paketů a kontrolu jejich integrity. Integrita – pro kontrolu integrity je zde funkce MIC31. Tyto vylepšení jsou zpětně slučitelné s WEP i novým novějším WPA2. Využitím této kompatibility mohou nastat problémy v prostředích, kde je v kombinaci WPA a WEP, ve výsledku použit právě slabší WEP. Při tvorbě zabezpečení WPA byl brán zřetel i na rozdílnost implementací v domácím a firemním prostředí. Z ekonomického hlediska není v domácím prostředí výhodné používat služby autentizačního serveru. WPA tak umožňuje dvě řešení, jak realizovat zabezpečení.

29

WPA - WiFi Protected Access. TKIP - Temporal Key Integrity Protocol. 31 MIC - Massage Integrity Check. 30

37

Tabulka 3: Režimy WPA Režim

Autentizace

Šifrování

Enterprise Mode (firemní)

802.1x/EAP

TKIP/MIC

PSK

TKIP/MIC

Personal Mode (osobní)


Autentizace WPA Jednostranná autentizace vyskytující se v protokolu WEP, byla u WPA nahrazena autentizací vzájemnou, kdy se klient ověřuje v síti a ujišťuje se, že je připojen k síti požadované. Autentizace PSK u WPA Tento druh autentizace je alternativou k 802.1x EAP, které je možné používat v infrastruktuře bez autentizačního serveru v režimu Personal. Tato metoda je založena na klíči PSK, který se manuálně nastaví v přístupových bodech a stanicích. Tento klíč musí být utajen. PSK je 256 bitů dlouhý řetězec, nebo heslo PSW skládající se z 8 – 63 znaků a dle algoritmu se generuje řetězec PSK. Samotný algoritmus se skládá z hesla PSW, identifikátoru sítě SSID, délky SSIDlenght, který je 4096krát hašovaný a výsledkem je hodnota o délce 256 bitů. Autentizace 802.1x u WPA Použití autentizačního serveru zajišťuje větší bezpečnost, avšak náklady i realizace převyšují autentizace PSK. Tento druh zabezpečení je hojně využíván ve firmách (WPA Enterprise), kde se nachází velké množství klientských stanic. Ověřování jednotlivých uživatelů pak probíhá na základě centralizovaného autentizačního serveru. Výsledkem úspěšné autentizace je Master Key, ze kterého se odvozuje klíč PMK. Metoda EAP-TLS je nejbezpečnější, ale relativně drahá, neboť vyžaduje digitální certifikáty na obou stranách. V praxi je možné setkat se nejčastěji s metodou PEAP. Autentizace PEAP Principem autentizační metody je výměna EAP zpráv prostřednictvím soukromého šifrovaného tunelu. Je třeba rozlišovat pojmy soukromí (privacy) a ověření identity (authenticity). Soukromí představuje, že nežádoucí strana nedokáže porozumět komunikaci

38

a ověření identity znamená, že komunikující strany mohou prokázat svou identitu a mají přehled o tom, s kým komunikují. Ověření identity má za úkol EAP a PEAP má za úkol umožnit ověření identity v soukromí. Temporal Key Integrity Protocol Protokol TKIP je určen k řešení známých nedostatků spojených se zabezpečením WEP. Kvůli zpětné kompatibilitě i zde bylo využito mechanismu proudové šifry RC4. Implementace je více propracovaná a odstraňuje tak předchozí nedokonalosti. TKIP je možné použít na starších zařízeních podporující pouze WEP. Protokol do starších zařízení je možné získat aktualizací firmwaru, avšak je možné očekávat snížení výkonnosti o 10 – 15%. Mezi bezpečnostní prvky TKIP lze zařadit generování inicializačního vektoru, kontrolu integrity, mixování klíče pro každý paket, distribuce a správa klíčů. Do roku 2008 byl tento protokol považován za dostatečně bezpečný, poté byla uveřejněna dokumentace, týkající se proveditelného útoku. Zakládá se na doplňku 802.11e QoS32, využívaná pro datové toky s různými požadavky. Bezpečnost WPA WPA bylo po protokolu WEP považováno za bezpečné a uživatelé jej brali jako náhradu nedokonalého zabezpečení. Oproti WEP je mnohonásobně bezpečnější, avšak ani tento druh zabezpečení nelze považovat za plně bezpečný. Postupem času byla odhalena slabá místa, která ale nepředstavují tak vážná rizika jako u WEP a při dodržení několika bezpečnostních doporučení jsou minimalizována. Útoky na WPA Bez přítomnosti autentizačního serveru se může útočník pokusit použít sdílený klíč PSK, který slouží jako alternativa PMK. Pokud je odvozen PMK dochází k výpočtu PTK. Jedná se o odchycení zpráv v nezašifrovaném tvaru a je možné odhadovat jednotlivé hodnoty PSK, ze kterého je možné dle rovnice získat dočasné klíče PTK. Po získání těchto údajů je vypočítán MIC a provádí se porovnání hodnot. Pokud se hodnoty nerovnají a není dodržena integrita, dochází k odhadům dalším, dokud není nalezena shoda a nedojde k prolomení WPA. K získání hesla je tedy možné využít hrubou sílu, nebo slovníkový útok. Hrubá síla ovšem znamená neefektivní způsob útoku z důvodu výpočetní a časové náročnosti. 32

QoS - Quality of Services.

39

Slovníkový útok využívá soubor obsahující nejčastěji užívaná hesla, která se postupně zkoušejí. Pokud použité heslo zabezpečení ve slovníku chybí, nemůže dojít k získání PTK a odvození hesla. Zaručeným úspěchem prolomení hesla WPA je útok hrubou silou, avšak časová náročnost útoku je velká. Pokud je heslo vytvořeno pouze z malých písmen bez diakritiky a počítač zvládne útočit rychlostí 500 000 hesel za sekundu, rozluštění devítimístného hesla trvá 125 dnů, osmimístného hesla 116 hodin, šestimístného hesla 10 minut a při použití čtyřmístného hesla dochází k prolomení prakticky ihned.

4.5 Volba hesla Pro volbu hesla je dobré dodržovat doporučení, snižující riziko odhalení hesla slovníkovým útokem a vytvořit dostatečnou časovou náročnost pro případ útoku hrubou silou. Obecná doporučení nejen pro WiFi jsou následující: -

heslo by mělo obsahovat malá i velká písmena, čísla a speciální znaky,

-

heslo by se mělo pravidelně měnit,

-

heslo by nemělo být tvořeno známými slovy a jakoukoliv spojitostí s uživatelem jako jsou jména partnera, telefonní čísla, jména domácích mazlíčků a ani kombinace svého jména s číslem není vhodná,

-

nepoužívat obecně známá nejčastější hesla, jako jsou „qwerty, 123456, internet“. Tabulka 4: Nejpoužívanější hesla

Pořadí

Nejužívanější hesla ČR

Světově nejužívanější hesla

1.

123456

password

2.

123456789

123456

3.

martin

12345678

4.

pkDHTxmM

qwerty

5.

milacek

abc123

6.

maminka

monkey

40

7.

2345

1234567

8.

monika

letmein

9.

000000

trustno1

10.

veronika

dragon

11.

michal

baseball

12.

lucinka

111111

13.

beruska

iloveyou

14.

heslo

master

15.

nikola

sunshine

16.

martina

ashley

17.

nikolka

bailey

18.

patrik

passw0rd

19.

sparta

shadow

20.

tomasek

123123

21.

dominik

654321

22.

111111

superman

23.

1234

qazwsx

24.

seznam

Michael

25.

genius

football


41

„Podle průzkumu má nejvíce hesel délku šest znaků (každé čtvrté), což je stále výrazně méně, než doporučované minimum osmi různých znaků. Ty by zároveň měly sestávat nejen z písmen, ale také z čísel a pokud možno i ze speciálních znaků. Osm znaků je nicméně skutečné minimum a kdykoli je to možné, doporučuje se zaplnit 14 a více políček s využitím celé klávesnice.“33 Graf 2: Délka používaných hesel

Zdroj: http://data.tyinternety.cz/img/article/img/d1/5444ddb3ee9bd0107c4189f75bf016.jpg

4.6 Zabezpečení WPA 2 WPA2 je robustnější zabezpečení bezdrátových sítí WLAN svými metodami předčí WEP i WPA. S novým systémem přichází i větší náročnost na hardware a tento prvek není již možné používat na starších zařízeních. Předností WPA2 je nový šifrovací protokol CCMP, který umožňuje silnější šifrování s algoritmem AES, autentizaci a kontrolu integrity. Novým prvkem je i předběžná autentizace, která usnadňuje funkci sítím s QoS, protože poskytuje bezpečný roaming mezi přístupovými body s minimálním zpožděním. Při tvorbě 802.11i bylo přihlíženo i na existenci starších zařízeních, a proto vznikly dva typy architektur WPA2:

33

BEDNÁŘ, Vojta. Nejpoužívanější hesla světa a jak vytvořit to bezpečné [online]. Tyinternety.cz, 2011 [cit. 2012-03-30]. Dostupné z WWW:

42

-

Robust Security Network – RSN;

-

Transition Security Network – TSN.

Při použití architektury RSN vzniká spojení, kde komunikující strany provádí vzájemnou autentizaci a asociaci pro sestavení dočasných šifrovacích klíčů. RSNA (Robust Security Network Association). Pokud jsou v síti RSN zařízení, který nedokáží vykonat tento proces asociace, nebudou schopna fungovat. Proto byla specifikována architektura TSN, která dovoluje koexistenci starších typů asociace jako pre-RSNA34. Kompletní 802.11i bezdrátová síť umožňuje realizovat zabezpečení: Tabulka 5: WPA2

Režim

Autentizace

Šifrování

Enterprise Mode

802.1x/EAP

CCMP – AES

PSK

CCMP -AES

Personal Mode


Advanced Encrptyion Standard AES je šifrovací standard, jehož základem je algoritmus symetrické blokové šifry zvané Rijandael. Vznik tohoto názvu je kombinací jmen belgických autorů Joada Daemana a Vincenta Rijmena, kteří se svou šifrou přišli do soutěže o federální šifrovací algoritmus z roku 1997, a byly vybráni jako vítězové v roce 2001. Tato šifra patří mezi nejbezpečnější a svědčí o tom i použití v úřadu NSA35, pro nejtajnější dokumenty. Algoritmus je navržen tak, aby kombinoval klíč s nešifrovaným blokem dat, dle matematických a logických operací k vytvoření šifrovaného bloku dat. Umožňuje zvolit délku klíče a bloku dat v 128, 192 a 256 bitů. Algoritmus AES 1) Expandování klíče – odvození podklíče za pomoci Rijandel programu; 2) Inicializace - přidání podklíče;

34 35

pre RSNA - pre-Robust Security Network Association. NSA - Národní bezpečnostní agentura.

43

3) Iterace - záměna bytů – nelineární nahrazování, kde se každý byte nahradí jiným, dle vyhledávající tabulky; - prohození řádků – každý řádek je posunut o určený počet kroků; - kombinace sloupců – zkombinování čtyř bytů v každém z řádků; - přidání podklíče; 4) Závěr - záměna bytů; - prohození řádků; - přidání podklíčů. Bezpečnost AES Tento druh zabezpečení je považován za nejlepší a jediný úspěšný publikovaný útok, se podařil pomocí postranních kanálů implementace. Nelze však hovořit o útoku přímo na šifru, neboť je útočeno na její implementaci v daném systému. Systém používal OpenSSL, AES šifru a nastaven byl tak, aby poskytoval co nejvíce možných informací. Za těchto okolností bylo možné získat data. Útok hrubou silou je možný, avšak proti 256 bitovému klíči by útok trval déle, než je celkové stáří vesmíru.

44

Tabulka 6: Shrnutí zabezpečení 802.11

WEP

WPA - PSK

není

PSK

Šifrování

WEP – RC4

TKIP –RC4

TKIP – RC4

Firemní sítě

není vhodné

není vhodné

velmi dobré

Domácí

není vhodné

velmi vhodné

Autentizace

WPA2 -

WPA

PSK

802.1x -

PSK

PEAP

nevhodné (nutný AS)

CCMP AES Není vhodné

nejvhodnější

WPA2

802.1x PEAP

CCMP

Výborné Nevhodný (nutný AS)


4.7 Zabezpečení WPS WiFi Protected Setup slouží k jednoduchému automatickému vytvoření zabezpečené bezdrátové sítě se silným klíčem, kde mohou být další klienti jednoduše přidáváni na základě PIN kódu a nemusí se tak složitě nastavovat šifrování v utilitě pro správu bezdrátového adaptéru. WPS může fungovat ve dvou módech: 1) PBC V tomto módu se spojení realizuje pouhým stiskem tlačítka na bezdrátovém adaptéru a současně na Routeru. Tento mód je vhodnější pro domácí použití. 2) PIN V tomto módu jsou klienti autentizováni na základě vygenerování PIN kódu, který se vloží do routeru. Mód je vhodnější pro hotspot. Je nutné, aby funkci WPS podporovala obě zařízení jak AP, tak klient.

45

Bezpečnost WPS Tato technologie je dnes dostupná u většiny bezdrátových routrů. Jednoduchost přidávání nových klientů, má ale svá úskalí. Problémem je, že přístupový bod sděluje o PIN příliš informací. Pokud klient zadá špatný PIN, je odeslána zpráva, ze které je možné odhadnout, zda je první polovina kódu uvedena správně. Je známá také poslední číslice, která znamená kontrolní součet hesla. Tyto bezpečnostní chyby redukují počet nutných pokusů při útoku hrubou silou. Zatímco bez nich by bylo třeba vyzkoušet až 108 kombinaci, nyní jich stačí jen 104 + 103, což je jen 11 000 pokusů. Navíc routery neimplementují žádná pravidla pro omezení počtu pokusů v čase, takže je možné hádat velmi rychle za sebou. Některé routery navíc nesnesou takovou zátěž a havarují. Výhodou tohoto systému je jednoduchost výstavby bezdrátové sítě. Automatická konfigurace nastaví parametry SSID a hesla pro protokoly WPA – PSK, nebo WPA2 – PSK, které je nutné si zapamatovat. Nevýhodou je skutečnost, že všechna zařízení v síti musí mít WPS certifikaci a být tedy kompatibilní. WPS není považováno za nové zabezpečení, nýbrž za doplněk stávajících standardů.

4.8 Zabezpečení pomocí filtrace adres MAC adresa je unikátní identifikátor hardwarového síťového zařízení a je uložena v paměti zařízení. Přístupové body umožňují sestavit seznam MAC klientů a vybraným adresám povolit či zamezit vstup. Filtry adres MAC pracují na nižší úrovni než komunikační pravidla firewallu a jsou tak aplikována dříve. Filtr MAC adres může pracovat v jednom ze dvou režimů: 1)

Blokování počítačů s uvedenými MAC adresami.

Filtr bude blokovat pouze komunikaci počítačů (zařízení) s MAC adresami uvedenými na seznamu. Komunikace všech ostatních počítačů bude povolena. Tento režim lze využít k rychlému zablokování určitých MAC adres, nezabrání však připojení nových, dosud neznámých zařízení. Další nevýhodou je skutečnost, že řada systémů a zařízení umožňuje MAC adresu síťového adaptéru změnit.

46

2)

Povolení komunikace počítačů s uvedenými MAC adresami.

Filtr povolí pouze komunikaci počítačů s MAC adresami uvedenými na seznamu, komunikace všech ostatních počítačů bude blokována. Tento režim filtrování je velmi účinný, jsou blokovány všechny neznámé MAC adresy (v jedné fyzické síti nemohou být dvě zařízení se shodnou MAC adresou — zneužití povolené MAC adresy je proto velmi obtížné nebo dokonce nemožné. Při použití tohoto režimu je však nutné vytvořit a udržovat kompletní seznam MAC adres všech zařízení, jejichž komunikace má být povolena. U větších sítí vzniká poměrně náročný úkol. Z bezpečnostního hlediska, není samostatné použití filtrace MAC adres vhodnou volbou a doporučuje se jej užívat, jako doplněk jiného druhu zabezpečení. MAC adresy v zařízeních je dnes možné měnit a lze tak odposlouchávat komunikaci. Velkou nevýhodou tohoto druhu zabezpečení je údržba seznamu povolených, nebo zamítnutých MAC adres.

4.9 Všeobecná doporučení zabezpečení bezdrátových sítí -

aktualizace firmware;

-

aktivace WEP;

-

změna SSID;

-

zrušení vysílání SSID;

-

filtrace MAC adres;

-

vypnutí DHCP serveru;

-

změna hesel na AP;

-

používat WPA/WPA2;

-

fyzická bezpečnost;

-

hodiny na vypínání/zapínání AP;

-

pro konfiguraci AP používat HTTPS, SSH;

47

-

monitorování přístupových bodů;

-

minimalizace oblasti pokrytí na potřebné minimum;

-

použití sektorových antén.

48

5

Metodologie

Hlavními zdroji teoretické části této práce byly ověřené internetové servery, normy a zákony i odborná periodika. K praktické části diplomové práce zaměřené na realizaci WiFi sítě v cihlové zástavbě bylo využito internetových zdrojů a zkušeností mnohých uživatelů. Pro výběr hardware bylo využito portálů www.czc.cz a www.i4wifi.cz. Zvoleny byly tři základní požadavky, na základě kterých se vyhodnotil optimální hardware vhodný do této studie. Mezi zvolené požadavky patří: cena, výkon a spolehlivost. Pro tuto práci byl použit program Diagram Designer společnosti Meesoft, který je zdarma a posloužil k modelování diagramu aktivit. Při realizaci WiFi bylo využíváno měření výkonů sítě, za pomoci volně šiřitelného programu Inssider, který sloužil i k analýze bezpečnosti bezdrátových WiFi sítí ve vybraných lokalitách Prahy. Průzkum zabezpečení WiFi 2,4 GHz sítí probíhal v několika rozdílných lokalitách, který zahrnoval domácí i firemní sítě. K měření signálu a zjištění okolních sítí byl použit notebook Acer Aspire 5920G se síťovým adaptérem Intel(R) Wireless Wi-fi Link 4965AGN, podporující technologii SignalUp, která zvyšuje výkon antény a umožní odhalení i vzdálených bezdrátových sítí. Naměřené údaje se vztahují ke dni 20.4.2012. Programem byly filtrovány sítě WPA-Personal, Open, Adhoc,WPA2-Enterprise, WPA2Personal, WPA-Enterprise a na základě těchto výsledků, byla za pomoci MS Excel vytvořena tabulka s naměřenými hodnotami a následné vyjádření v procentech.

49

6

Aplikace bezdrátových technologií v cihlové zástavbě (případová studie)

Realizace malých domácích bezdrátových sítí, není náročný úkol, který zvládne mírně pokročilý uživatel. Největší náročnost je, při použití jednoho přístupového bodu, jeho konfigurace a následné připojení jednotlivých klientů. Důležitým momentem se stává nákup samotného zařízení. Výstavbu domácích sítí není nutné realizovat na drahých, profesionálních hardwarových zařízeních. Drahé stanice obsahují více možností konfigurace, které běžný uživatel ve většině případů nevyužije. Tento druh zařízení nakupují i malé firmy v domnění, že vyšší pořizovací náklady zajistí lepší zabezpečení bezdrátové sítě. Pro připojení několika klientských stanic a kvalitní zabezpečení postačí i ta nejlevnější řešení na trhu, avšak výstavba bezdrátové sítě je individuální záležitost, kterou nejde zobecnit a pro realizaci středních a větších sítí je vhodné vypracovat podrobnou studii. Tato studie se zabývá vytvořením bezdrátové 802.11 sítě s použitím nejnovějších dostupných technologií a ověřením funkčnosti. Hlavním úkolem této sítě je umožnit šířit internet a umožnit sdílení dat v několika bytových jednotkách ve dvoupatrovém domu. Materiály použité při výstavbě zděného domu z 50. let minulého století jsou pálené cihly, které mají dobrou propustnost radiového signálu, avšak mezipatra, jsou tvořeny armovacími železy a stropy některých bytových jednotek jsou tvořeny sádrokartonovými podhledy s hliníkovou konstrukcí. Pro zvolení optimálního poměru cena/výkon je nutné znát prostředí, kde má síť fungovat a znát přibližné propustnosti materiálů. Podle těchto kritérií je možné vybrat vhodný druh a výkon antény i přístupového bodu. Dalšími kritérii je cena, výkon, bezpečnost i spolehlivost. -

Cena – jedno z klíčových kritérií, které hraje roli při výběru zařízení. V tomto případě bude vybíráno z hardwaru spadající do nižší – střední cenové kategorie.

-

Výkon – kritérium, na kterém závisí stabilita, rychlost sítě a v nemalé míře i latence. Udáváno je v decibelech.

-

Spolehlivost – zkušenosti a informace o poruchovosti samotného hardware jsou dnes v mnohých obchodech dostupné a mohou hrát roli při výběru.

50

6.1 Hardware Díky vhodně zvolenému hardware je možné vyhovět individuálním požadavkům jednotlivých uživatelů jako například přesměrování, povolení žádaných portů, nastavení služeb QoS, sdílení médií a další. Dle výše uvedených kritérií, by měla být zvolena optimální rovnováha. Pro připojení realizované sítě do internetu je zde využíváno služeb internetového poskytovatele, který dodává vodotěsné zařízení MikroTik RouterBoard SXT 5HnD, který obsahuje dvě 16dBi antény umožňující fungovat v módu MIMO a pracující v pásmu 5 GHz. Tento systém obsahuje vodotěsný box, základní desku s čipovou sadou Atheros AR9280, integrované antény a POE injektor. Obrázek 10: MikroTik

Zdroj: http://i4wifi.cz/routerboard-sxt-5hnd-dualni-16-dbi-antena-mimo-2x2-nv2-l3-5ghz_d2154.html

Přístupové body Pro realizaci WiFi byl zvolen hardware od výrobce TP-Link, který disponuje všemi potřebnými funkcemi pro provoz 802.11 sítě. Tento 2,4 GHz prvek byl upřednostněn před výrobky 5 GHz, které mají horší průchodnosti přes překážky, neboť se signál o ně tříští. 5 GHz routry nacházejí uplatnění ve velkých otevřených prostorech, nebo tam, kde je 2,4 GHz pásmo kompletně obsazeno.

51

Obrázek 11: TP-LINK TL-WR842ND

Zdroj: http://shop.computershop.cz/eshop/tp-link-tl-wr842nd-wifi-n-router-300mbps-4-lanusb_ies1741968.jpg

Tento multifunkční bezdrátový prvek nabízí vysoké přenosové rychlosti, které zaručují plynulý streaming HD medií, rychlou odezvu pro online hraní her a VoIP komunikaci i rychlý přenos souborů z jednoho zařízení do druhého. Pomocí funkce FTP server umožňuje různé aplikace, jako je stahování osobních údajů z domova nebo zálohování souborů na HDD. Umožňuje bezdrátově sdílet tiskárnu v celé síti. Je zde i možnost více SSID pro bezdrátové sítě umožňuje snadnou izolaci klientů, tak aby byla zajištěna bezpečnost vašich dat a podpora VPN tunelů poskytuje vzdálené zabezpečené připojení.

52

Obrázek 12: Diagram aktivit


53

6.2 Prostředí Při řešení proveditelnosti v této studii je hlavním úkolem pokrýt signálem obě patra domu. Jeden přístupový bod umístěný uprostřed budovy v jednom z pater dokáže signál šířit i přes armovací železa ve stropech, avšak ne v požadované kvalitě. Vhodnějším řešením se tak stává použití minimálně dvou přístupových bodů. Způsob propojení samotných AP je v této situaci vhodné řešit ethernetovým kabelem LAN. V některých případech pro rozšíření signálu je možné využít funkci WDS36 při nastavení opakovače. Tento systém dokáže zachytit vysílaný signál, přeložit jej, zpracovat a poslat dál. Umožňuje tedy rozšířit bezdrátovou síť bez velkých nákladů, neboť není nutné provádět stavební zásahy do budov spojené s položením propojovacích kabelů. Nevýhodou toho řešení je, že při použití WDS se snižuje výkon o polovinu. Pokud tedy máme přenosovou rychlost 300 mbit/s, WDS opakovač dokáže šířit rychlost maximálně 150 mbit/s. Obrázek 13: Wireless Distribution System

Zdroj: http://www.cs.vsb.cz/grygarek/TPS/projekty/0405Z/WDS/parole_clip_image002.jpg

Jiným druhem řešení propojení samotných AP je využití ethernetových adapterů do elektrické zásuvky 230V, kde je možné dosáhnout výkonů obdobných jako u LAN spojeních. V této studii, není toto řešení vhodné, neboť je závislé na kvalitě elektroinstalace, která ve starších zástavbách bez rekonstrukcí není dobrá.

36

WDS - Wireless Distribution Systém.

54

Obrázek 14: Síťový rozvod přes elektrické vedení

Zdroj: http://7s.czc.cz/4tlrnps7j2guobat3rol7ua6f7/obrazek?size=7

Tato síť nemusí na každé elektroinstalaci fungovat, neboť určité spotřebiče zapojené poblíž mají odrušovací kondenzátory, které signál pohlcují, nebo dochází k jinému utlumení. Jediným vhodným řešením v případě této studie je propojení obou AP klasickým ethernetovým UTP kabelem, nejčastěji vedeného šachtou na kabely, nebo spolu se stoupacím potrubím. Propojení přístupových bodů je z hlediska fyzických úkonů nejnáročnější. Připojení přijímací antény MikroTik, její zaměření a nastavení provádí ISP37 poskytovatel. Jako kabel se využívá klasický ethernetový UTP u kterého jsou dvě žíly využity pro napájení zařízení za pomoci POE injektoru38. Díky tomuto řešení vede od Mikrotiku do injektoru pouze jeden kabel, který může být napájen až u AP, když není v půdních prostorách elektroinstalace.

37 38

ISP - Internet Service Provider. POE injektor - Power Over Ethernet.

55

Obrázek 15: Řešení implementace bezdrátové sítě


Umístění přístupových bodů je možné zvolit dle aktuálních možností, ale je nutné dodržet, aby každý z AP byl v jednom z pater. Samotná patra tvoří z části Faradayovu klec, což znemožňuje dobré šíření signálu. V tomto modelu bylo umístění stanic zvoleno diagonálně. Signál z AP, se za použití kvalitních všesměrových antén dokáže dobře šířit v jeho bezprostředním okolí a to v tomto případě znamená, že proniká i do části patra nad a pod ním. Dle dispozičních možností, je možné zvolit i umístění vysílačů uprostřed pater a nezbytným úkolem se stává změření výkonů sítě v různých částech budovy. Propustnosti materiálů jsou odlišné a jediným způsobem jak zjistit, zda bude síť dostatečně stabilní, je ji otestovat. V tabulce č. 7 jsou uvedeny přibližné hodnoty propustnosti jednotlivých materiálů.

56

Tabulka 7: Propustnost materiálu

Materiál

Propustnost

Vysvětlení

Dřevěná zeď

95 %

Pokud je zeď suchá, útlum je minimální

Hliník

90 %

Hliník netvoří velkou překážku

Sklo

75 %

Pevná skla obsahující kovy dokáže oslabit signál o čtvrtinu

Cihly

70 %

Beton

60 %

Sádrokarton

50 %

Pálená cihla sice neobsahuje vodu, ale ruší mnoho přechodů materiálů Železobeton dokáže skvěle izolovat. Voda a kov absorbují záření Obsah vody v tomto materiálu, velice pohlcuje 2,4 GHz signál Zdroj: vlastní zpracování

6.3 Antény Propustnost materiálu je možné zvýšit za pomoci výkonnějších antén. Ne všechny síťové prvky umožňují instalovat jiné antény. V posledních letech se stávají trendem zařízení s integrovanými anténami. Důvod je jednoduchý. Antény působí rušivě z hlediska designu a síťové prvky již nebývají ukryty v komorách, nebo speciálních prostor, ale stávají se i designovým doplňkem například bytu. Při výběru takovéhoto zařízení je nutné znát propustnosti prostor, kde má být síť provozována a zda bude zařízení bez antén dostačující, neboť dodatečná instalace antén není možná bez mechanického zásahu do zařízení. V tomto modelu byl zvolen AP s dvěma anténami, která zde hrají významnou roli. Postavení antén je velice důležitý aspekt a je často opomíjen. I když se jedná o všesměrové antény, signál, který z nich vychází je na ně kolmý a přímo nad a pod anténami vzniká tma. Správná funkce dvou antén vedle sebe je podmíněna minimálně jednou vlnovou délkou, která je u 2,4 GHz WiFi 12 centimetrů. Pokud by nastal případ, že antény jsou u sebe blíže, vznikne výrazná interference a rušení. Nutností je tedy nastavit antény i do správného úhlu. Zisk antén použitého prvku je 5 dbi, který je dostačující, ale z hlediska propustnosti pálených cihel je dobré výkon naddimenzovat 10 dbi anténami AirLive WAI-101. 57

6.4 Měření kanálů K vybrání vhodného kanálu je použit program Inssider, který je volně dostupný. Inssider je nástupcem známého již zaniklého programu NetStumbler. Pomocí tohoto programu je možné zjistit velké množství informací o sítích v okolí jako například SSID, rychlosti přístupových bodů a jejich frekvence a zabezpečení. Po instalaci a spuštění programu je zahájeno monitorování okolí a postupné načítání jednotlivých sítí. Z informací, které dokáže program zjistit, je pro tuto studii důležitý kanál a útlum signálu. Nejlepším, avšak ve většině případů nemožným řešením, je zvolení kanálu, který není použitý žádnou bezdrátovou sítí v okolí. Dnes většina moderních síťových prvků obsahuje funkci, která sama zjistí bezdrátové sítě v okolí a jejich frekvence a na základě těchto údajů nastaví nejvhodnější kanál. Toto řešení nefunguje vždy spolehlivě a je možné provést nastavení manuálně. Z obrázku číslo 16 je patrné, jaké informace vysílají bezdrátové prvky. Skenování sítí probíhalo na Praze 4 a i v této lokalitě je možné pozorovat velké množství 2,4 GHz sítí. Program umožňuje seřadit informace dle různých hodnot. V tomto přídě jsou bezdrátové sítě seřazeny dle RSSI39, tedy dle kvality signálu a díky tomuto nastavení zjistíme nejbližší přístupové body v okolí a pokusíme se vyhnout nastavení stejných kanálů. Obrázek 16: Nastavení kanálu

Zdroj: Vlastní zpracování

39

RSSI - Received Signal Strength Indication.

58

Obrázek 17: Skenování pomocí programu Inssider


59

Předností programu je i filtrace 2,4 a 5 GHz sítí a zobrazení útlumu pomocí grafů jak je tomu u obrázků č. 18 a 19. Je zřejmé, že síťové prvky 2,4 GHz převažují a jejich uplatnění je nacházeno hlavně v domácnostech a nabízí 13 kanálů, oproti technologii 5 GHz, kde je možné využívat desítky kanálů. Obrázek 18: 2,4 GHz sítě v okolí


60

Z obrázku 19 je patrné, že spoje jsou využívány především poskytovateli služeb internetu. Většina ISP providerů přechází na 10 GHz spoje, které používá na páteřních sítí z důvodu menšího rušení, neboť i kapacity 5 GHz jsou v mnoha místech přeplněny. Obrázek 19: 5GHz sítě v okolí


61

6.5 Nastavení AP 1 Nastavení WAN Nastavení WAN40 provádí poskytovatel internetu. Pokud tedy využíváme technologii DSL je zvolen protokol PPOE a jsou nastaveny veškeré požadované údaje. V tomto případě je použita pevná IP adresa a další nastavení jsou patrná z obrázku číslo 20. Obrázek 20: Nastavení WAN


Nastavení WiFi V tomto kroku je nastaven název sítě SSID, oblast kde je síť provozována, kanál a mód. U nastavení regionu je v každém případě nutné dodržet správnost nastavení země, kde bezdrátovou 802.11 síť provozujeme, neboť vysílač je po uložení konfigurován na frekvence, které jsou v dané zemi povolené. Mnoho bezdrátových síťových prvků má z tohoto důvodu továrně WiFi vysílač vypnutý a aktivovat ho lze přes webové rozhraní po propojení kabelem. Vysílání názvu sítě je zde povoleno, neboť uživatelům usnadňuje připojení klientů, bohužel na úkor bezpečnosti.

40

WAN - Wide Area Network.

62

Obrázek 21: Nastavení Wifi


Nastavení zabezpečení Jako zabezpečení byl zvolen WPA2-PSK s heslem o délce 22 znaků, kterými jsou velká, či malá písmena, číslice a znaky. Obnova skupinového klíče je nastavena na výchozí hodnotu. Obrázek 22: Nastavení zabezpečení


Nastavení LAN a DHCP Pro přístupový bod 1 je nastavena IP adresa třídy C: 192.168.1.1, maska podsítě je 255.255.255.0

a

rozsah

IP

adres,

které

192.168.1.100 – 192.168.1.199.

63

bude

DHCP

server

přidělovat

jsou

Obrázek 23: Nastavení LAN


Obrázek 24: Nastavení DHCP


Systémová a další nastavení Samozřejmostí po instalaci bezdrátového prvku by mělo být nastavení vlastního hesla pro přístup do administrace AP. Dle požadavků uživatelů může správce nastavit další služby, které tento prvek umožňuje. V administraci je možné konfigurovat pravidla firewallu, který je pro zvýšení bezpečnosti zapnutý, nastavit překlad síťových adres NAT, nebo povolit architekturu UPnP (Universal Plug and Play), která je využívána například u peer-to-peer sítí.

64

6.6 Nastavení AP 2 Po propojení obou prvků ethernetovým kabelem je nutné konfigurovat i druhý přístupový bod v přízemí. Na tomto síťovém prvku je použit stejný SSID sítě, stejné šifrování a zabezpečení. Rozdíl je v nastavení IP adresy AP 2, která je stejného řádu C:192.168.2.1 a vypnutým DHCP serverem. Toto řešení umožní, že všichni klienti mohou být připojeni v jedné síti a počítač si sám vybere zdroj signálu, který je v daném umístění výhodnější, který poskytne vyšší rychlost a kvalitu spojení. Klient po nalezení sítě a zadání správného hesla načítá IP adresu automaticky. Pokud by byly použity rozdílné standardy se stejným SSID, mohlo by docházet, připojování počítačů k rychlejšímu z nich, i přesto, že bude mít slabší signál. Z tohoto důvodu je vhodné používat hardware stejného výrobce i typu. Pokud by byl použit starší síťový prvek, umožňující například pouze zabezpečení WEP, nešlo by provozovat celou síť se stejným SSID na zabezpečení WPA2, ale museli by vzniknout sítě dvě, jedna s WPA2 a druhá s WEP. Obrázek 25: Přehled nastavení a připojování klientů

Zdroj: vlastní zpracování Po konfiguraci obou AP a následném softwarovém a hardwarovém restartu síťových prvků je možné provést změření výkonů v různých místech pomocí programu Inssider. V této studii neklesal výkon pod -60 dBm a v průměru se pohyboval na hranici -30 dB (obrázek č. 18), což zajistilo stabilní a rychlou bezdrátovou síť. Díky principu Faradayovi klece se signál ve velké míře nešířil do okolí a byla tak eliminována viditelnost sítě zvenčí.

65

6.7 Analýza bezpečnosti bezdrátových sítí v Praze Podle naměřených výsledků z různých částí Prahy je zřejmé, že nejslabší WEP zabezpečení je i přes bezpečnostní rizika využíváno ve 23 % sítí. V hustě osídlených oblastech, kde je velké množství 2,4 a 5 GHz sítí jako Vršovice a Žižkov vzniká i velké riziko útoku na síť a určitě je vhodnější využívat WPA2 jak je tomu v 54 %. Starší WPA zabezpečení je využíváno ve 24 %. Tabulka 8: Zabezpečení sítí ve vybraných lokalitách Zabezp.

Centrum

Karlín

WEP

9

3

WPA 2

13

WPA

5

Karlovo

Letná

Motol

Smíchov

Stodůlky

Vršovice

Žižkov

1

8

8

18

8

10

15

38

49

30

16

11

23

29

11

13

8

10

13

10

5

16

12

náměstí


Tabulka 9: Procentuální vyjádření zabezpečení sítí ve vybraných lokalitách Zabezp.

Centrum

Karlín

WEP %

33,3

5,6

WP2 %

48,1

WPA %

18,5

Karlovo

Letná

Motol

Smíchov

Stodůlky

Vršovice

Žižkov

1,7

16,7

21,6

46,2

22,2

18,2

39,5

70,4

84,5

62,5

43,2

28,2

63,9

52,7

28,9

24,1

13,8

20,8

35,1

25,6

13,9

29,1

31,6

náměstí


Dle výsledků analýzy lze soudit, že velké procento uživatelů si uvědomují bezpečnostní rizika zabezpečení WEP a využívají WPA 2 – Personal. Zabezpečení WPA 2 – Enterprise je využíváno méně a výskyt při tomto měření byl zaznamenán především na Karlově náměstí v sítích vfn, patřící Všeobecné fakultní nemocnici (příloha č. 3).

66

7

Ekonomické náklady

Náklady na výstavbu sítě jsou v dnešní době nízké a cenově dostupné v této studii byly použity dva bezdrátové přístupové body TP-Link, 4 externí antény, anténa MikroTik na příjem internetového signálu POE injektor, držák na zeď a nutná kabeláž. Tabulka 10: Ekonomické náklady

Cena bez

Cena s DPH v

DPH v Kč

Kč

1399

1679

279

335

Držák antény

235

282

TP-LINK TL-WR842ND

631

757

TP-LINK TL-WR842ND

631

757

Anténa AirLive WAI-101

287

344


287

344


287

344


287

344

UTP kabel cat.5

203

245

Celkem

4526

5431

Prvek

MIKROTIK: RouterBoard SXT 5HnD duální 16 dBi anténa TP-LINK: Aktivní PoE sada, splitter, injektor, výstup 12/9/5V

Zdroj: vlastní zpracování na základě údajů internetových obchodů www.czc.cz a www.i4wifi.cz

Celkové náklady na výstavbu kompletní sítě, nezahrnující práci, činí 5431 Kč s DPH. Zvolením alternativních přístupových bodů a použití dodávaných antén je možné náklady snížit, avšak kvalita spojení může být nižší. Hardware v této studii byl vybrán na základě

67

poměru cena/výkon. Přihlédnuto bylo i ke kritériu poruchovosti a bylo tak eliminováno riziko nefunkčnosti HW. Zvolením profesionálnějších síťových prvků například od společnosti LinkSys, nebylo v této studii nezbytné, neboť požadavkům uživatelům dostačují vybrané síťové prvky.S výrobky firmy Cisco Systems, by cena snadno přesáhla 10.000 Kč. Levnější varianty tohoto známého výrobce byly vyřazeny z důvodu absence externích antén a znemožnění instalace antén výkonnějších.

68

Závěr Bezdrátové sítě se zpočátku rozšiřovaly jen v soukromé sféře a firmy se jim vyhýbaly, neboť představovaly slabé místo. Uvedení nových druhů zabezpečení, která jsou srovnatelná, se sítěmi kabelovými, umožnily rozmach této technologie. I dnes je možné pozorovat bezdrátové sítě, které postrádají i základní zabezpečení WEP. Mnoho uživatelů odrazuje složitost nastavení a příliš velké množství odborných termínů. Vinnu nelze přičítat pouze uživatelům, ale i samotným výrobcům. V posledních letech se výrobci snaží ulehčit konfiguraci uživatelům, vysvětlením pojmů přímo v administraci, nebo vytvořením nových postupů zabezpečení, avšak ve většině případů stále chybí lokalizace jazyka, která je pro méně znalé uživatele velkým přínosem. Správci sítí ve velkých firmách si bezpečnostní rizika uvědomují a využívají nejlepší dostupná řešení zabezpečení. Nejrobustnější zabezpečení dosahuje účinnosti přibližně 90% a lze konstatovat, že je zde prakticky nulová možnost prolomení šifry, avšak né nemožná. Cílem této diplomové práce bylo seznámení se s historií, některými fyzikálními zákony, normami i zabezpečením a vytvoření plně funkční i stabilní bezdrátové síťe v cihlové zástavbě za ekonomicky optimálních podmínek. Dalším cílem byla rámcová analýza bezpečnosti bezdrátových WiFi sítích ve vybraných lokalitách města Prahy, která poukázala jaký druh zabezpečení je v současnosti využíván. Na základě analýzy serveru securityworld.cz z roku 2011 je zřejmé, že Praha nedosahuje v zabezpečení takové úrovně jako jiná evropská velkoměsta, kde je zabezpečeno 90% všech přístupových bodů. Podle průzkumu bezpečnosti bezdrátových sítí společnosti Ersnst & Young vyplývá, že v Praze dokonce i klesá počet uživatelů, kteří používají zabezpečení svých bezdrátových bodů. V dnešní době jde bezdrátová technologie velice rychle dopředu, roste jak kvalita zabezpečení, tak i přenosová rychlost, která se za optimálních podmínek přibližuje, nebo dokonce vyrovná sítím metalickým. Stejnou rychlostí, kterou se bezdrátový přenos dat vyvíjí, bohužel vznikají i nové bezpečnostní trhliny.

69

Seznam použité literatury Tištěné monografie: 1. PUŽMANOVÁ, Rita. Bezpečnost bezdrátové komunikace: Jak zabezpečit Wi-Fi, Bluetooth, GPRS či 3G. 1. vydání. Brno: CP Books, 2005. 179 s. ISBN 80-251-0791-4. 2. ZANDL, Patrick. Bezdrátové sítě WiFi. Praktický průvodce. 1. vydání. Brno: Computer Press, 2003. 204s. ISBN 80-7226-632-2. 3. OSTERHAGE, Wolfgang. Wireless Security. Frankfurt am Main: Science Publischer, 2011. 230s. ISBN 97-9781578087686.

Články odborných periodik: 1. DĚDIČEK, Dominik. Postavte si vlastní Wi-Fi síť. Jak na počítač. Číslo 7/2011. Str. 33-36. 2. HAVLAS, Aleš. Jak na domácí síť. Počítač pro každého. Číslo 8/2011. Str. 21-22. 3. HAVLAS, Aleš. Proč zabezpečit Wi-Fi síť. Jak zabezpečit Wi-Fi síť. Počítač pro každého Speciál. Číslo 2012. Str. 24-25. 4. JANEČEK, Vláďa. Bezdrátově pod obojím. Computer. Číslo 6/2011. Str. 116-125. 5. LUPTÁK, Rado. Jak na heslo Wi-Fi sítě. Jak na počítač. Číslo 12/2010. Str. 42-43. 6. NYGRÍN, Pavel. Síť pro celý byt. Jak na počítač. Číslo 12/2010. Str. 26-27.

Internetové zdroje: 1. BEDNÁŘ, Vojta. Nejpoužívanější hesla světa a jak vytvořit to bezpečné [online]. Tyinternety.cz,

2011

[cit.

2012-03-30].

Dostupné

z WWW:

.

70

2. HALVORSEN F., HAUGEN O. Cryptanalysis of IEEE 802.11i TKIP [online]. Wikifiles.aircrack-ng.org, 2009 [cit. 2012-03-30]. Dostupné z WWW: . 3. HE CH., MITCHEL J. Security Analysis and Improvements for IEEE 802.11i [online]. Isoc.org,

2008

[cit.

2012-03-30].

Dostupné

z WWW:

. 4. HOUSER, Pavel. Bezpečnost WiFi se v Praze i v Bratislavě zhoršila [online]. Securityworld.cz,

2011

[cit.

2012-03-30].

Dostupné

z WWW:

http://securityworld.cz/aktuality/bezpecnost-wifi-se-v-praze-i-v-bratislave-zhorsila3443 5. KLEGA, Vratislav. Jak bezpečná je vaše Wi-Fi síť [online]. Chip.cz, 2010 [cit. 201203-30].

Dostupné

z WWW:

bezpecna-je-vase-wi-fi-sit>. 6. KUCHAŘ, Martin. Bezdrátové technologie Wi-Fi zbavená rouška tajemství [online]. PCtuning.cz,

2005

[cit.

2012-03-30].

Dostupné

z WWW:

. 7. ODVÁRKA, Petr. Technologie pro zlepšení bezpečnosti datových sítí – základní charakteristika IEEE 802.1x (2) [online]. Světsítí.cz, 2004 [cit. 2012-03-30]. Dostupné z WWW: . 8. PLEXO. Srovnání vybraných wireless technologií 1/2 [online]. PCtuning.cz, 2008 [cit. 2012-03-30].

Dostupné

z WWW:

. 9. PLEXO. Srovnání vybraných wireless technologií 2/2 [online]. PCtuning.cz, 2008 [cit. 2012-03-30].

Dostupné

z WWW:

internet/11182-srovnani_vybranych_wireless_technologii_22?start=1>.

71

10. PROKEŠ, Aleš. Přenos dat [online]. Urel.feec.vutbr.cz, 2009 [cit. 2012-03-30]. Dostupné z WWW: . 11. PUŽMANOVÁ, Rita. Mobilní WiMax: management a politika bezpečnosti [online]. Wimax.cz,

2006

[cit.

2012-03-30].

Dostupné

z WWW:

. 12. PUŽMANOVÁ, Rita. Bezpečnost WiFi záleží jen na vás [online]. Lupa.cz, 2007 [cit. 2012-03-30]. Dostupné z WWW: < http://www.lupa.cz/clanky/bezpecnost-wifi-zalezijen-na-vas/>. 13. PUŽMANOVÁ, Rita. Bezpečnost WLAN podle IEEE [online]. Lupa.cz, 2002 [cit. 2012-03-30]. Dostupné z WWW: . 14. STRÁNSKÝ, Petr. Historie Wi-Fi: od FHSS k bezdrátu [online]. Světhardwaru.cz, 2009 [cit. 2012-03-30]. Dostupné z WWW: . 15. TUREK, Lukás. Jak funguje Wi-Fi aneb co jste chtěli vědět o Wi-Fi a nebylo se koho zeptat [online]. 8an.praha12.net, 2008 [cit. 2012-03-30]. Dostupné z WWW: . 16. www.absolventi.gymcheb.cz – server o bezdrátových sítích. 17. www.bajty.info – seznam dostupných standardů IEEE. 18. www.bcechomola.webnode.cz – server o bezdrátových technologiích. 19. www.czc.cz – prodejní server počítačů a elektroniky. 20. www.ctu.cz – server Českého telekomunikačního úřadu. 21. www.i4wifi.cz – prodejní server bezdrátových technologií. 22. www.ok1ike.c-a-v.com – server začínajících radioamatérů.

72

Seznam obrázků, tabulek a grafů Obrázek 1: Semaforový telegrafní systém ................................................................................. 9 Obrázek 2: Vysílací stanice Brant Rock ................................................................................... 11 Obrázek 3: Free Space optics ................................................................................................... 14 Obrázek 4: Fixed Wireless Acces............................................................................................. 15 Obrázek 5: Elektromagnetické vlnění elektrického pole.......................................................... 18 Obrázek 6: Elektromagnetické spektrum ................................................................................. 19 Obrázek 7: Fresnelova zóna ..................................................................................................... 22 Obrázek 8: Možná podoba Faradayovy klece .......................................................................... 24 Obrázek 9: Základní prvky 802.1x ........................................................................................... 34 Obrázek 10: MikroTik .............................................................................................................. 51 Obrázek 11: TP-LINK TL-WR842ND..................................................................................... 52 Obrázek 12: Diagram aktivit .................................................................................................... 53 Obrázek 13: Wireless Distribution System .............................................................................. 54 Obrázek 14: Síťový rozvod přes elektrické vedení .................................................................. 55 Obrázek 15: Řešení implementace bezdrátové sítě .................................................................. 56 Obrázek 16: Nastavení kanálu .................................................................................................. 58 Obrázek 17: Skenování pomocí programu Inssider ................................................................. 59 Obrázek 18: 2,4 GHz sítě v okolí ............................................................................................. 60 Obrázek 19: 5GHz sítě v okolí ................................................................................................. 61 Obrázek 20: Nastavení WAN ................................................................................................... 62 Obrázek 21: Nastavení Wifi ..................................................................................................... 63 Obrázek 22: Nastavení zabezpečení ......................................................................................... 63 Obrázek 23: Nastavení LAN .................................................................................................... 64 Obrázek 24: Nastavení DHCP .................................................................................................. 64 Obrázek 25: Přehled nastavení a připojování klientů ............................................................... 65

Tabulka 1: Přehled vybraných protokolů bezdrátových sítí ..................................................... 30 Tabulka 2: Autentizační mechanismy ...................................................................................... 36 Tabulka 3: Režimy WPA.......................................................................................................... 38 Tabulka 4: Nejpoužívanější hesla ............................................................................................. 40 Tabulka 5: WPA2 ..................................................................................................................... 43 Tabulka 6: Shrnutí zabezpečení 802.11.................................................................................... 45 Tabulka 7: Propustnost materiálu ............................................................................................. 57 Tabulka 8: Zabezpečení sítí ve vybraných lokalitách .............................................................. 66 Tabulka 9: Procentuální vyjádření zabezpečení sítí ve vybraných lokalitách .......................... 66 Tabulka 10: Ekonomické náklady ............................................................................................ 67

Graf 1: Vlnění ........................................................................................................................... 18 Graf 2: Délka používaných hesel ............................................................................................. 42

73

Seznam příloh Příloha 1: Měření centrum ........................................................................................................ 75 Příloha 2: Měření Karlín ........................................................................................................... 76 Příloha 3: Měření Karlovo náměstí .......................................................................................... 77 Příloha 4: Měření Letná ............................................................................................................ 78 Příloha 5: Měření Motol ........................................................................................................... 79 Příloha 6: Měření Smíchov ....................................................................................................... 80 Příloha 7: Měření Stodůlky ...................................................................................................... 81 Příloha 8: Měření Vršovice ...................................................................................................... 82 Příloha 9: Měření Žižkov.......................................................................................................... 83

74

Příloha 1 Měření centrum


75

Příloha 2 Měření Karlín


76

Příloha 3 Měření Karlovo náměstí


77

Příloha 4 Měření Letná


78

Příloha 5 Měření Motol


79

Příloha 6 Měření Smíchov


80

Příloha 7 Měření Stodůlky


81

Příloha 8 Měření Vršovice


82

Příloha 9 Měření Žižkov


83

Bezpečnost bezdrátových technologií

Recommend Documents