Vezeték nélküli hálózat otthon - I.– III. rész
http://www.pdamania.hu/content/4543/
Vezeték nélküli hálózat otthon - I. rész Szerzı: Hipszki Márton
| Dátum: 2005-10-14 22:08
Bevezetı Manapság a "vezeték nélküli" kifejezést már szinte mindenki hallotta valahol. A vezeték nélküli kapcsolat esetében azonban több technológiára is asszociálhatunk: infravörös, Bluetooth, WLAN (Wireless LAN, azaz vezeték nélküli hálózat, közismerten WiFi - Wireless Fidelity) és hosszan sorolhatnám még, de ebben a cikksorozatban konkrétan a WiFi kapcsolattal, hálózattal fogunk ismerkedni. Az elsı részben megismerkedünk a vezeték nélküli hálózatok alapjaival és szabványaival, hogy kiismerhessük magunkat a manapság kapható rengeteg WiFi termék között, ha saját vezeték nélküli hálózatot szeretnénk kiépíteni otthonunkban vagy irodánkban. Kiderül az is, hogyan használhatjuk ki WLAN képes PDA-nkon ennek a modern technológiának adott lehetıségeit. A cikkekben szándékosan használom az eredeti angol kifejezéseket, megkönnyítve ezzel azok dolgát, akik az itt közzétett információk és tapasztaltok alapján szeretnék összeállítani saját vezeték nélküli hálózatukat, mivel pontosan ezekkel a kifejezésekkel fognak találkozni az eszközök konfigurálása során.
A vezeték nélküli kapcsolatról Ahogy a bevezetıben is említettem, vezeték nélküli kapcsolat többféle módon is létesíthetı két vagy több eszköz között. A felsorolt technológiák alapja azonban közös, mind valamilyen rádiófrekvencia felhasználásával továbbítják és fogadják az adatokat. Az egyetlen kivétel az infravörös adatátvitel, mely esetében bizonyos hullámhosszú fény segítségével jön létre a kapcsolat. A Bluetooth 2,4 GigaHertz-es (gigahertz: GHz), a WiFi pedig 2,4 / 5 GHz -es rádiófrekvenciát használ az adatátvitelhez. Ezek a paraméterek alapvetıen meghatározzák a technológia felhasználásának lehetıségeit: az infravörös kapcsolat csak két egymást tökéletesen "látó" készülék esetén mőködik, mivel egy irányban terjedı fényrıl van szó. A Bluetooth és a WiFi segítségével azonban képesek vagyunk egymást fizikailag nem "látó" készülékek között is kapcsolatot teremteni, mivel a rádió hullámok áthatolnak a szilárd anyagokon is, bár ekkor erısségük, hatótávolságuk jócskán lecsökkenhet. A mobil operátorok hálózatait -GSM, CDMA, stb.- most tudatosan nem említjük, mivel a helyi -lakásban, irodában- kiépíthetı vezeték nélküli technológiákat vesszük sorra. A továbbiakban a vezeték nélküli kapcsolaton ezért WiFi minısített, WLAN kapcsolatot értek. A vezeték nélküli kapcsolatra képes eszközök valamely gyártó által készített rádió adót/vevıt tartalmaznak, amellyel képesek adatokat küldeni és fogadni. Szerencsére ezzel nem kell sokat foglalkoznunk, az operációs rendszer elfedi elılünk a részleteket: a szokásos meghajtó progam telepítése után elvileg már használhatjuk is WiFi eszközünket.
Vezetékes és vezeték nélküli hálózatok A vezetékes hálózatokat már jó harminc éve használjuk, a "vezeték nélküliség" viszont csak néhány éve került be a köztudatba, kecsegtetı lehetıségei azonban rendkívüli ütemben növelik ismertségét és alkalmazását. Ma már rengeteg olyan termék van, amellyel olcsón kiépíthetjük akár otthoni vezeték nélküli hálózatunkat is, tehát ez a technológia már nem csak a nagy cégek, kormányzati és oktatási intézmények sajátja, hanem bárki által elérhetı! — 1 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
A vezetékes hálózat hátránya a vezeték nélkülivel szemben, hogy ha kapcsolódni akarunk hozzá, mindenképpen valamilyen kábeles összeköttetés kell létrehoznunk, ami igen csak korlátozza a mozgásunkat, vagy mai divatos kifejezéssel élve a mobilitásunkat. Vezeték nélküli hálózat esetében azonban nincs szükségünk kábelekre, készülékeink hatósugarán belül bárhol kapcsolatot létesíthetünk más eszközökkel. Kompromisszumot pedig igazán nem kell kötnünk WiFi hálózat használata esetén a vezetékes hálózatokhoz képest, kizárólag a maximum átviteli sebességet tekintve, de errıl a késıbbiekben még szót ejtünk.
A vezeték nélküli hálózat lehetıségei A vezeték nélküli hálózatok lehetıségei szinte korlátlanok, sorra jelennek meg hétköznapi eszközök, amelyek rendelkeznek WiFi kapcsolat-teremtési képességgel (telefonok, DVD lejátszók, asztali PC-k, notebook-ok, fényképezıgépek, éjjellátó kamerák, egyéb szórakoztató elektronikai eszközök és természetesen PDA-k). Vezeték nélküli eszközök használatával megszabadulhatunk az idegesítı kábelrengetegtıl, kényelmesebb, rendezettebb környezetet teremtve magunk körül. A WiFi lehetıségeit elsısorban az internet elérésében élvezhetjük. Itt kell szót ejteni az ún. Hotspot -okról, azaz "vezeték nélküli internet elérési pontokról". Ezek száma napról napra rohamosan növekszik, találkozhatunk velük éttermekben, szállodákban, kávézókban, oktatási intézményekben, céges székházakban, de akár közterületeken is. Ezt a szolgáltatást ingyen vagy fizetés ellenében vehetjük igénybe, szolgáltatótól függıen. Ennek az új technológiának illetve a hotspot-ok segítségével hozzáférhetünk adatainkhoz, email-einkhez, kedvenc internetes oldalainkhoz, különféle multimédiás anyagainkhoz, sıt még céges adatbázisunkhoz is, kényelmesen és bárhol, ahol ilyen jellegő kapcsolatot tudunk teremteni. Cégünknél, ha például egy megbeszélésre tartunk irodánkból a tárgyalóba, megszakítás nélkül kapcsolatban maradhat a PDA-nk vagy notebookunk és azonnal kezdhetjük prezentációnkat anélkül, hogy megvárakoztatnánk ügyfeleinket.
Vezeték nélküli kapcsolat létesítése - topológia Tegyünk most egy apró lépést technikai irányba és nézzük meg, hogyan "beszélgetnek" egymással a WLAN képes eszközök a valóságban.
Ad-Hoc kapcsolat A WiFi világában alapvetıen két módon létesíthetünk kapcsolatot. Az egyik, egyszerőbb eset az ún. Ad-Hoc vagy pont-pont topológia, amikor néhány WiFi képes eszköz közvetlenül egymással kommunikál. Ez a módszer - nevébıl adódóan - alkalomszerő, azaz olyan esetben érdemes használni, amikor gyorsan, rövid idıre kell összekapcsolnunk két eszközt, vagy ez a legolcsóbb módja a kommunikációnak (vezetékes kapcsolattól eltekintve), például át szeretnénk másolni néhány fájlt, vagy kedvenc játékunk többjátékos üzemmódjában szeretnénk játszani ismerısünkkel.
Infrastructure mód A másik - komolyabb - lehetıség az Infrastructure (infrastrukturális) mód. Az elnevezésbıl azonnal kiderül, itt már egy bonyolultabb összeállításról van szó, ettıl függetlenül azonban nem kell megrémülnünk, ez sem ördöngısség, a cikksorozat végére - reményeim szerint - minden olvasó rendelkezni fog a megfelelı információkkal, amely ennek a rendszernek az összeállításához szükséges. — 2 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
Access Point Az Infrasctructure mód esetében vezeték nélküli eszközeink nem közvetlen egymással kapcsolódnak, hanem egy ún. Access Point (hozzáférési pont) segítségével. Ez az eszköz rendszerint vezetékes és vezeték nélküli hálózatunk között teremt kapcsolatot, mintegy hídként (Bridge) funkcionálva. Egy Access Point több eszközzel is képes egyidejőleg kommunikálni, hogy pontosan mennyivel, azt megtudhatjuk a készülék felhasználói kézikönyvébıl, de általában mindegyik bıven elegendı számú kliens (kapcsolódó) eszközt tud kiszolgálni. Egy fontos szempontot azonban figyelembe kell vennünk: minél több eszköz kapcsolódik és kommunikál egyszerre egy Access Point -tal, annál keskenyebb sávszélesség jut egy-egy eszközre, azaz annál lassabbnak érzékeljük hálózatunk sebességét az egyes eszközökön. Ez természetesen elmondható minden hálózatról, vezetékesrıl és vezeték nélkülirıl egyaránt, azonban míg egy vezetékes hálózaton elegendı a sávszélesség mondjuk 100 felhasználó számára, hogy egyidejőleg digitális filmet nézzen, addig egy átlag vezeték nélküli hálózat egyetlen Access Point -jához kapcsolódó 5 felhasználó képes ugyanerre.
A sávszélesség kérdése A vezeték nélküli hálózat szokásos felhasználása azonban rendszerint az internet megosztás a vezeték nélküli kliens eszközök számára. Egy DSL kapcsolat néhányszáz KiloBit/másodperc sávszélességét ennél jóval több kliens között oszthatjuk meg, és tekintve az internet illetve email használatunk "löket szerő" szokásait (letöltjük az oldalt, emailt, majd egy darabig olvasgatjuk, azaz nem generálunk folyamatos hálózati forgalmat, nem terheljük a hálózatot: nem foglaljuk a sávszélességet), a hálózat egyetlen felhasználója sem fog jelentıs lassulást tapasztalni a kommunikációban, tehát mindenki boldogan internetezhet. Ebbıl következtethetünk arra, hogy az Acces Point -ok dinamikusan kezelik, hogy kinek mennyi sávszélességet biztosítanak éppen, az aktuális kívánalmaknak megfelelıen. Ezek a hálózati eszközök, az Access Point -ok, tehát pontosan úgy viselkednek mint vezetékes társaik, a különbség csak annyi, hogy itt nem kell a kábelekkel veszıdnünk és sokkal mobilabbak vagyunk. Ha már szó esett a sávszélességrıl, azaz a hálózat áteresztı képességérıl, vagy sebességérıl, lássuk mi az, amit ebben a tekintetben elvárhatunk a különbözı és széles választékban rendelkezésünkre álló vezeték nélküli eszközöktıl!
IEEE 802.11b/a/g vezeték nélküli szabványok Tegyük fel elhatároztuk magunkat, hogy kiépítjük otthonunk vagy cégünk vezeték nélküli hálózatát engedve a kor követelményeinek és persze kényelmünknek. Elsı körben minden bizonnyal meglepetésként ér bennünket a kapható eszközök hatalmas választéka, itt aztán nem lesz egyszerő a választás! Hirtelen különbözı számokkal, betőkkel és ezek különbözı kombinációival találjuk szemeben magunkat, ami rendszerint jól elbizonytalanítja a vásárlót, legalábbis ha nincs megfelelıen felkészülve. A vezeték nélküli hálózatok az évek során több szabvánnyal is gazdagodtak. A mai hivatalos szabványok (az adatátviteli képességet, sávszélességet tekintve) az IEEE 802.11b, 802.11a, és 802.11g. Az IEEE (Institute of Electrical and Electronics Engineers) a nemzetközi szabványügyi szövetség, a 802.11 a WiFi szabványrendszert a B, A és G betők pedig a konkrét szabványt jelzik. Lássuk ezeket a szabványokat kicsit bıvebben.
802.11b Ez a szabvány a 2,4 GHz -es nyílt frekvenciatartományt használja, ahogy mikrohullámú sütınk, vezeték nélkül telefonunk és egyéb hétköznapi vezeték nélküli eszközeink is. Ennek — 3 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
megfelelıen a különbözı eszközök rádióhullámai interferálhatnak, magyarul zavarhatják egymást. Sávszélességét tekintve 11Mbit/másodperc (megabit: Mbit) elméleti maximum adatátviteli sebességre képes, ami a gyakorlatban 4-6Mbit -et jelent. Ez jóval gyorsabb, mint például DSL kapcsolatunk sebessége, azaz bıven elegendı több kliens egyidejő internet kiszolgálására, komolyabb adatforgalom esetén (zenehallgatás, filmnézés, fájl másolás stb.) azonban már kevés lehet. Elınye viszont, hogy manapság már nagyon elterjedt és nagyon olcsó, ezért találkozunk vele a legtöbb elektronikai eszközben (telefonokban, PDA-kban stb). Hatótávolsága 30-50 méter épületben, 1 km épületen kívül az Access Point-ra történı tiszta rálátás esetén.
802.11a A 802.11a szabvány szinte egyszerre jelent meg a 802.11b -vel, amelytıl azonban több aspektusban is eltér. Legfontosabb, hogy az 5GHz -es tartományban üzemel, tehát szokásos eszközeink, amelyek rádiófrekvenciás hullámokat bocsátanak ki, nem zavarják az adatforgalmunkat. A megemelt frekvenciából adódóan sávszélessége is növekedett, maximum 54Mbit/másodperc (a gyakorlatban 21-22Mbit), viszont a nagyobb frekvenciájú rádióhullámok tulajdonságainak köszönhetıen (könnyebben elakadnak a különbözı tárgyakban, falakon) hatótávolsága kisebb, mindössze 10-25 méter épületen belül. Ezt ellensúlyozza, hogy az 5GHz-es tartományban több, egymást nem átfedı "csatornát" vehetünk akár egyszerre is igénybe, azaz növelhetjük konkrét sávszélességünket, lehetıvé téve, hogy egyszerre több felhasználó nyugodtan nézhessen filmet (streaming) vagy másolhasson nagy fájlokat anélkül, hogy jelentıs sebességcsökkenést érzékelne.
802.11g A "legfrissebb" hivatalos IEEE vezeték nélküli szabvány, ugyanabban a tartományban üzemel, mint a 802.11b, azonban megnövelt, 54Mbit/másodperc sávszélességgel rendelkezik, ami gyakorlatilag 15-20Mbit -et jelent a valóságban, tehát az A változattal azonos képességő. Hatótávolsága viszont a B változatéval megegyezı, épületen belül 30-50 méter. Ez a szabvány visszafelé kompatibilis a B változattal, azaz egy G -s eszköz képes kommunikálni egy B -s Access Point -tal illetve egy B -s eszköz is egy G -s Access Point -tal.
De melyiket válasszam? Ma már vannak olyan termékek (például az Intel új Sonoma nevő Centrino chipkészlete), amelyek mindhárom szabványt ismerik. Ha vásárlásra kerül a sor, érdemes ezt az elınyt figyelembe vennünk, bár természetesen némileg drágábbak a sima b/g képes eszközöknél. A G változatok egyéb iránt alig kerülnek valamivel többe, mint a B -s termékek, ez a kis plusz kiadás tehát nagyon is megéri az árát.
Mire van szükségünk egy WiFi hálózat kiépítéséhez? Egy vezeték nélküli hálózat összeállításához, amelyen meg akarjuk osztani szélessávú internet kapcsolatunkat a következı dolgokra van szükségünk minimálisan: router, tőzfal, vezeték nélküli Access Point és vezeték nélküli hálózati kártya (WLAN kártya) az asztali gépünkbe, notebook-unkba illetve PDA-nkba, amennyiben az adott eszköz nem rendelkezik beépített WLAN rádióval. Szerencsére már elérhetı áron kaphatók olyan eszközök, amelyek a router, AP (Access Point) és tőzfal szolgáltatásokat egyben tartalmazzák, megkönnyítve a felhasználók / hálózat építık dolgát, különösen otthoni használat esetén. A hálózat megépítésének feladata összességében nagyon egyszerő: az internetszolgáltatónk által telepített kábel / DSL modem LAN portját és a vezeték nélküli routerünk WAN portját — 4 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
össze kell kötnünk egy hálózati (patch/lengı) kábellel, be kell konfigurálnunk a routert, annak vezeték nélküli részét illetve a tőzfalat, és máris kapcsolódhatunk WLAN képes eszközeinkkel, legyen az asztali PC, notebook vagy PDA a hálózathoz.
Milyen kiegészítıre van szükségünk WLAN kapcsolat létesítéséhez? A beépített WiFi rádiót tartalmazó eszközök száma ugyan rohamosan növekszik, de sokan használnak olyan számítógépet, notebook-ot vagy PDA-t, amely még nincs felkészítve erre a technológiára. Mit tehetnek ık, hogy használhassák WLAN hálózatukat? Szerencsére ma már sok-sok kiegészítı terméket lehet kapni, amelyekkel kibıvíthetjük már meglévı gépünket. Asztali gép esetében válaszhatunk USB csatlakozású vagy PCI csatoló felülető WLAN kártyákból, notebook esetén szintén szóba jöhet az USB-alapú a PCMCIA kártyák mellett, sıt vásárolhatunk Compact Flash (CF) alapú WLAN kártyát is egy PCMCIA - CF átalakítóval együtt. Ez akkor elınyös, ha PDA-nk is rendelkezik CF memória bıvítési lehetıséggel, de WLAN képességgel nem, tehát egy termék megvásárlásával két legyet ütünk egy csapásra, mert a CF WLAN kártyát mindkét gépben tudjuk használni (természetesen olyat kell választanunk, amelynek mindkét eszköz számára van megfelelı meghajtó programja!).
Asztali gép esetében Ha asztali gépünket szeretnénk bıvíteni WLAN képességgel, akkor a választás során döntenünk kell, USB vagy PCI kártya formájában akarjuk megvalósítani a bıvítést. Az USB elınye, hogy bárhol elhelyezhetı kb. 3 méteres távolságban a géptıl (ennyi ugyanis egy egyszerő USB hosszabbító kábel maximális hossza komolyabb jelveszteség nélkül), tehát úgy tudjuk elhelyezni az USB WLAN csatolót, hogy az a legjobb vétellel rendelkezzen, illetve egyszerően eltávolíthatjuk a gépbıl és felhasználhatjuk egy másik gépben, míg a PCI kártyát sokkal körülményesebben tudjuk beilletve kiszerelni. Van azonban elınye is a körülményességnek: illetéktelen személy az USB kártyát egy mozdulattal el tudja távolítani a gépbıl, míg a PCI kártyára ez nem igaz, van tehát biztonsági szempont is, ne feledjük! Hozzáteszem, hogy a PCI kártyák is rendelkeznek esetenként egy néhány méteres kábellel és külsı antennával, amit szintén oda helyezhetünk az íróasztalon, ahol a legjobbnak találjuk a vételt.
Notebook esetében A mai notebook-ok (még az olcsóbb kategória is) általában rendelkeznek beépített WLAN kártyával. Amennyiben mégsem, a PCMCIA felülető kártya talán jobb választásnak tőnhet az USB-vel szembern, ha azt a bıvítési lehetıséget másra nem használjuk, így marad plusz egy USB bıvítı helyünk. Létezik olyan megoldás is, amelyet "egyszerre" használhatunk asztali gépünkben illetve notebook-unkban is, bár ez inkább költségcsökkentı megoldás: kapható olyan csomag, amely egy PCI és egy PCMCIA kártyát is tartalmaz, a PCI kártya a PCMCIA eszközt képes fogadni, azaz PCMCIA kártyánkat egyaránt használhatjuk asztali és notebook számítógépünkben is (egyszerre persze nem).
PDA esetében PDA esetében már egy ideje megjelentek az SD foglalatba helyezhetı WLAN kártyák is a CF fogalalattal rendelkezık mellett, ha tehát gépünk csak SD bıvítıhellyel rendelkezik (ahogy manapság a legtöbb
— 5 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
kézigép), akkor is van megoldás. A mai PDA-k esetében ez már alapvetı képesség, de a régiek esetében még kérdéses lehet, hogy az SD foglalat I/O eszközök fogadására legyen képes. Ezért WLAN SD kártya vásárlása elıtt gyızıdjünk meg arról, hogy PDA-nk SD foglalata SDIO képes-e! Hamarosan kapható lesz mini- és microSD WLAN kártya is a gyártók ígéretei szerint, tehát a jövıben majd bıvíthetjük ilyen csatlakozó felülettel rendelkezı telefonos PDA-nkat vagy okostelefonunkat is. A memóra bıvítés elvesztéséért sem kell feltétlen aggódnunk, mert már vannak olyan WLAN bıvítıkártyák, amelyek egyben szabadon felhasználható flash memóriát is tartalmaznak, mint ahogy ezt a CF GPS vevık esetén is tapasztaltuk korábban.
Vezetékes hálózatunk bıvítése Visszatérve a WLAN hálózatunk összeállításához, meg kell említeni azt a szokványos esetet, amikor vezetékes hálózatunk már ki van építve, az internetcsatlakozásunk eleve megosztott egy vezetékes router segítségével, és egy vagy több asztali gépünk csatlakozik hozzá, azonban szeretnénk vezeték nélküli képességgel is bıvíteni ezt a már meglévı és beállított hálózatot. Ebben az esetben csupán egy Access Point-ra van szükségünk, az elıbb felvázolt Gateway (átjáró) jellegő eszközhöz képest, amely kevesebb szolgáltatást nyújt ugyan, de azokra nincs is szükségünk és egyben olcsóbb is, mint az említett mindent-egybe készülék. A megvásárolt Access Point segítségével hálózatunkat tehát kiegészíthetjük, felruházhatjuk vezeték nélküli képességgel, azaz olyan eszközt iktatunk be a hálózatba, amely lehetıséget ad vezeték nélküli eszközeinknek, hogy a már meglévı hálózatunkhoz csatlakozzanak, kábelrengeteg nélkül. Nincs más dolgunk, mint ezt az eszközt rádugni a vezetékes routerünk egyik LAN portjára, bekonfigurálni és a dolog már mőködik is.
Vigyázat, a rádió jeleket nem állítja meg a fal ! A feladat ennyiben viszont nem áll meg, pontosabban mi nem hagyhatjuk ennyiben a dolgot, ugyanis a vezeték nélküli hálózatoknak van egy nagyon védtelen pontjuk: összehasonlítva a vezetékes hálózattal, sokkal sérülékenyebbek (érzékenyebbek illetve védtelenek, amíg fel nem készítjük ıket megfelelıen) a nem kívánatos behatolásokkal, látogatókkal szemben, legalábbis ebben a kezdetleges összeállításban, amit az imént vázoltunk fel. Ennek van egy nagyon egyszerő oka: míg egy vezetékes hálózatnál csak és kizárólag az csatlakozhat rendszerünkhöz, akit konkrétan "rádugunk" a hálózatra, addig egy WiFi hálózatnál ezt nem tudjuk ilyen egyszerően kontrollálni. A rádióhullámok ugyanis nem állnak meg a helyiség ablakainál, de még a falainál sem. Érdemes kipróbálni egy WLAN képes PDA-val vagy notebook-kal, hogy kimegyünk a kertbe, udvarra, utcára és figyeljük mennyire tudunk eltávolodni az épülettıl, amíg meg nem szőnik a kapcsolat. Meglepı eredményre fogunk jutni! Sıt lakótelepi tömbházakban könnyen elképzelhetı, hogy Internet kapcsolatunkat és WLAN képes hálózatunk elınyeit a szomszédaink is élvezik! A cikksorozat következı részeiben bıvebben kitérünk azokra a biztonsági kérdésekre és megoldásokra, amelyeket felhasználhatunk hálózatunk védelmére, hogy biztonságban tudhassuk személyes és céges adatainkat, adatbázisainkat, dokumentumainkat és persze védhessük Internetes sávszélességünket.
Milyen messzire nyújtózkodhatunk? A jól ismert közmondásunk értemében: amíg a takarónk engedi. Itt azonban a hatótávolság nagyon sok befolyásoló tényezı függvénye. Ahogy azt a 802.11b/g szabvány esetében említettük, a 2,4GHz-es tartományt több általános elektronikai termék is használja, ezek tehát — 6 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
zavarhatják hálózatunkat, csökkentve annak sebességét. Beltérben a falak és fıleg a vasbentonba helyezett fémháló az (mintegy Faraday-kalitkaként funkcionálva), ami jelentısen csökkentheti Access Point -tunk illetve kliens eszközeink hatósugarát. Van azonban ennek elınye is, sıt vannak olyan (meglehetısen drága) technológiák, amelyekkel "leárnyékolhatjuk" otthonunkat, irodánkat annak érdekében, hogy vezeték nélküli hálózatunk csak a falakon belül legyen elérhetı. Errıl is szót ejtünk majd a következı, hálózati biztonsággal foglalkozó részben.
Hogyan élvezhetjük a WiFi örömeit a PDAnkon? Félretéve egyelıre a biztonság szerteágazó kérdéseit, lássuk mire is jó, ha van otthon, vagy vállalkozásunk telephelyén egy vezeték nélküli hálózat! Mint mondani szokás, a lehetıségek tárháza (szinte) kimeríthetetlen. Jómagam is rendelkezem otthon WLAN hálózattal és igyekszem kihasználni annak minden lehetıségét. Kezdjük a legkézenfekvıbbel: a WiFi hálózaton megosztott szélessávú internetet a lakás bármely pontján képes vagyok elérni WLAN képes PDA-mal, olvashatom kedvenc oldalaimat, letölthetem email-jeimet az ágyban, vagy akár reggelizés közben az étkezıben, de nézhetem a TV adásokat is online a Windows Media Player, vagy a TCPMP (korábban BetaPlayer) segítségével. Folytathatjuk még a sort szinte a végtelenségig: bármilyen, a hálózathoz csatlakoztatott asztali gépen megosztott erıforrást el tudok érni, legyen az digitális formában tárolt hanganyag vagy zene, dokumentum, családi fotók, egyszóval bármi, amit a PDA képes megjeleníteni, lejátszani, sıt még a hálózati nyomtatóra is tudok nyomtatni PDA-ról illetve különbözı csevegı / VoIP szoftvereket is használhatok, mint az MSN Messenger, az iCQ vagy a Skype, amit elıszeretettel használok telefonálásra a PDA-n, akár az udvaron kertészkedés közben! Szinkronizálhatom a PDA-mat az asztali gépemmel (Windows Mobile operációs rendszer esetében telepített ActiveSync 3.x esetén, a 4.x verzió sajnos már nem teszi ezt lehetıvé, illetve a Palm operációs rendszert futtató gépek HotSync szoftvere is képes erre). Többször elıfordult már, hogy éppen indultam volna egy megbeszélésre, de elfelejtettem szinkronizálni az adataimat, azonban a kocsiban ülve pillanatok alatt elvégeztem a szinkronizálást csatlakozva onnan WiFi hálózatomhoz és már indulhattam is, megkímélve magamat több percnyi késedelmetıl (nem kellett visszamennem a lakásba), így szerencsére nem késtem el. Összefoglalva, a lehetıségek száma végtelen, csupán az Access Point illetve a PDA WLAN rádiójának hatósugara szab határt az örömöknek! Ez utóbbit nagyon fontos kiemelni, mert két WLAN képes eszköz csak akkor tud kommunikálni, ha mindkettı egymás hatósugarán belül helyezkedik el, egy PDA vagy egy notebook WLAN rádiójának ereje nyilvánvalóan gyengébb, mint egy Access Point-é, azaz a hatósugara is kisebb, ezt ne felejtsük el! A cikksorozat következı részében a WLAN hálózatok biztonsági kérdéseire igyekszünk válaszokkal szolgálni!
Epilógus: a vezeték nélküli hálózatok történelme Befejezésképpen egy kis történelmi összefoglaló arról, hogyan alakult ki a vezeték nélküli hálózat mai szabványa az elmúlt évtizedek alatt.
— 7 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
1942 A zeneszerzı / zongoramővész George Antheil és a színésznı Hedy Lamarr szabadalmaztatja egy frekvencia-ugrásos rádió titkosító (késıbb "szórt-spektrumú"-nak elnevezett) technikát, majd felajánlotta az amerikai tengerészetnek (U.S. Navy), amely befogadta, de még nem találta használhatónak a II. Világháborúban. 1958 Az amerikai tengerészet kifejleszti az elsı rádió kommunikációs chipet, amely ezen a technológián alapult. 1985 Az amerikai tengerészet elérhetıvé teszi a civil szféra számára a technológiát. 1989 Az FCC (Federal Communications Commission - Amerikai Hírközlési Hatóság) engedélyezi a technológiát három szabad rádió sávra. 1990 Az IEEE megkezdi a vezeték nélküli kapcsolat szabványának kidolgozását az ISM (Industrial, Scientific and Medical - Ipari, Tudományos és Orvosi) spektrumban. 1997 Az IEEE ratifikálja a 802.11 "over-the-air vezeték nélküli kliensek és alap-állomások közötti interfész" -t, amely még nem garantálta a szabványok együttmőködését. Az FCC engedélyezi egy negyedik frekvencia sáv használatát is. 1999 Az IEEE ratifikálja a 802.11b és 802.11a szabványt. Megalakul a WECA (Wireless Ethernet Compatibility Alliance - vezeték nélküli Ethernet Kompatibilitás Szervezet) a 802.11 szabványban való együttmőködés összehangolására, megindítva globális elterjedését. Megkezdıdik a 802.11b szabványú termékek kiszállítása. 2000 A Microsoft kiadja a Windows 2000 -ret WLAN sniffer képességgel felvértezve. A WECA elindítja WiFi hitelesítı programját a 802.11b szabványt támogató termékekre. A Carlson Hotels Worldwide (a Country Inns & Suites, a Radisson Hotels és a Regent International Hotels tulajdonosa) bejelenti vezeték nélküli szolgáltatását. 2001 A Starbucks is elindítja vezeték nélküli hotspot szolgáltatását. Scott Fluhrer, Itsik Mantin, és Adi Shamir kutatók bejelentik, hogy a WEP (Wired Equivalent Privacy - Vezetékessel Egyenértékő Titkosítás), a 802.11 biztonsági megoldása bizonyítottan megbízhatatlannak minısült.
— 8 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
A 802.11a szabványú termékek megjelennek a piacon. 2002 A Lucent Technologies bemutatja, hogyan képesek a felhasználók a nélkül váltani a WiFi és 3G hálózatok között, hogy megszakadna internet kapcsolatuk. A WECA új szervezetté alakul, WiFi Alliance (WFA, WiFi szövetség) néven, elindítja a 802.11a hitelesítı tesztjeit illetve és bejelenti a WPA (WiFi Protected Access, WiFi védett hozzáférés) biztonsági módszert a WEP leváltására. 2003 A WFA elindítja WiFi ZONE programját publikus hotspotok hitelesítésére. Az Intel bemutatja a Centrino technológiát, amely hardveresen támogatja a vezeték nélküli kapcsolatokat. A McDonald's tíz hotspot-ot telepít Manhattan-ben és további 300-at igér az év végéig. Megjelennek az elsı, még nem véglegesített 802.11g szabványt támogató termékek. A WFA hitelesíti az elsı WPA-t támogató termékeket. Ekkor már több, mint 40 millió 802.11 szabványt támogató terméket adnak el világszerte, illetve megjelennek az elsı 802.11a és 802.11g szabványt egyszerre támogató termékek is. A Verzion 150 WiFi képes telefonfülkét telepít Manhattan-ben és további 1000-ret ígér az év végéig. Az IEEE ratifikálja a végleges 802.11g szabványt, hamarosan hitelesítik az elsı ilyen szabványú termékeket. Ekkor már 112 cég 865 terméke kapja meg a hivatalos WiFi hitelesítést 2000 óta. A WPA támogatását kötelezıvé teszik a WiFi hitelesítés folyamatában. 2005 Erre az évre fél milliárd (!) 802.11 szabványt támogató, hitelesített eszköz (Access Point, mobiltelefon, asztali PC, DVD lejátszó és felvevı, MP3 lejátszó, notebook, PDA és egyéb termék) eladását becsülik.
Vezeték nélküli hálózat otthon - II. rész Szerzı: Hipszki Márton
| Dátum: 2005-11-07 11:42
Bevezetı Az elsı részben már megismerkedtünk a vezeték nélküli hálózatok alapjaival, betekintést nyertünk, hogyan mőködnek a vezeték nélküli eszközök és hálózatok, miben térnek el vezetékes rokonaiktól. Szó esett arról, milyen további lehetıségek rejlenek a vezetéknélküliségben, milyen szabványokat alakítottak ki az elmúlt évek, évtizedek során, hogy WLAN képes eszközeinkkel a világ bármely pontján csatlakozni tudjunk például egy nyilvános hotspot-hoz, ellenırizhessük email-jeinket vagy éppen MSN-en, Skype-on beszélgessünk ismerıseinkkel, megspórolva némi telefonköltséget.
— 9 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
Ebben a részben - amely a sorozat második cikke - otthoni hálózatunk kiépítésének részleteiben merülünk majd el. Megismerkedünk a szükséges vezeték nélküli eszközökkel, összeállítunk néhány vezeték nélküli konfigurációt, majd végigvesszük a szokásos beállításokat a biztonsági funkciók kivételével, ami a következı - harmadik - rész önálló témájának szántam. Beszélünk majd a router, Access Point, tőzfal és vezeték nélküli beállításokról, antennákról, bridge-ekrıl, erısítıkrıl, kábelekrıl, csillapításról és egyéb érdekes, a témához szervesen kapcsolódó eszközökrıl, fogalmakról is. Elsıként nézzük meg, mire lehet szükségünk otthoni, irodai WLAN hálózatunk felépítéséhez.
Szükséges eszközök Elızı cikkünkben már sorra vettük az alapvetı eszközöket, amelyek egy vezeték nélküli hálózat felállításához kellenek. Csak emlékeztetıül: új hálózat kiépítése esetén érdemes beszereznünk egy WLAN képes routert, meglévı hálózatunk bıvítése esetén pedig egy vagy több Access Point-ot. Különbözı eszközeinket is fel kell vértezni WLAN rádióval, ha gyárilag nem rendelkeznek vezeték nélküli képességgel. Asztali gép, notebook, PDA és okostelefon esetében is több választási lehetıségünk van, mind csatlakozási felület, mind pedig gyártó és típus szempontjából. A jelenlegi piaci helyzetet tekintve levontuk a következtetést, hogy érdemes a G (54Mbit/sec) változat mellett döntenünk, mivel alig kerül többe, mint a sima B szabványú változat, sebességben azonban a dupláját kapjuk némi plusz kiadásért cserébe.
Néhány szó arról, miért jó ha Routerrel osztjuk meg az internetet Bejövı internet kapcsolatunk megosztását megoldhatjuk egyetlen számítógéppel is. Vezeték nélküli hálózat kialakítását feltételezve - mivel ez a cikksorozat témája - több módon is megtehetjük ezt: további hálózati kártya és ahhoz kapcsolódó Access Point, vagy Access Point-ként mőködtethetı, USB portra köthetı WLAN csatoló telepítésével a számítógépbe. Ezzel számítógépünk válik hálózatunk routerévé, ami elsı ránézésre egyszerő, olcsó megoldás, azonban vannak nagyon komoly hátrányai is. Egyrészt gépünknek folyamatosan üzemelnie kell, különben a többi eszköz nem éri el az internetet, mivel számítógépünk mintegy átjáróként (Gateway) üzemel. Másrészt a teljes forgalom az asztali gépen keresztül folyik át, ami részben terheli a gépet, részben pedig nagy biztonsági kockázattal is jár. Neki kell megszőrnie a hálózati forgalmat és védenie a kialakított belsı hálózatot, szoftveres tőzfallal, amely természetesen nem ér fel egy hardveres tőzfallal, amelyet például egy mai, korszerő router tartalmaz. Mindezt számba véve - bár ez némi plusz kiadást jelent - jobban járunk ha az internet megosztásra és hálózati forgalmunk kezelésére egy routert vásárolunk. (Mi az a router? - A router egy olyan berendezés, ami a kifelé irányuló kéréseket - Internet esetében például egy weblap letöltésének kérése - azonosítóval látja el, tömöríti majd továbbítja a célkiszolgáló felé, a beérkezı hálózati forgalmat pedig a kéréseket indító géphez irányítja. A router segítségével a külvilág felé egy darab IP címmel kommunikál teljes otthoni hálózatunk. Hétköznapi nyelven a router feladata, hogy a külvilágból erre az egy címre érkezı adatcsomagokat az otthonunkban található megfelelı belsı címre - azaz az egyes számítógépekre - küldje tovább.)
Tervezés Ha vezeték nélküli router-t szeretnénk vásárolni, érdemes a nagyobb sávszélességért, terhelhetıségért több pénzt áldozni, pláne ha több eszköz kapcsolódik majd egyetlen WLAN
— 10 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
kiszolgálónkhoz. Ha olyan épületet szeretnénk lefedni vezeték nélküli hálózattal, amely több szintes (fıleg vasbeton födém esetén), nagy területő, vagy sok a közbülsı fal a helységek között, valószínőleg nem lesz elég egyetlen router vagy Access Point, mert hatósugaruk a távolsággal és a közbe esı akadályokkal egyre inkább csökken. Ez általában akkor derül ki, amikor már megvettük az elégségesnek gondolt eszközöket, majd szomorúan tapasztaljuk, hogy néhány közfallal, vagy egyetlen szintel távolabb már nem tudunk csatlakozni a hálózathoz. Nem kell azonban megijedni (legfeljebb a további kiadásokat illetıen), természetesen van mód a bıvítésre! Saját otthoni hálózatom kiépítésekor hasonló szituációval kerültem szembe. Az emeleten már nagyon gyenge volt a ház közepe táján elhelyezett router jele. Ilyenkor csupán egy megfelelı hosszabbítóra van szükség, ezzel helyezzük áram alá a routert vagy Access Point-ot és megkeressük a megfelelı helyeket a lakásban, ahol újabb vezeték nélküli állomásokat kell elhelyeznünk, közben persze ellenırizve az egyes helységekben a jelerısséget. Egy másik esetben az emelet vasbeton anyaga fogta meg a földszinten elhelyezett Access Point jeleit, ezért egy másikat is el kellett helyezni a második szinten, így azonban a teljes épület lefedettsége homogén lett.
Vásárlás Miután megterveztük, hány készülék csatlakozik majd WLAN hálózatunkhoz, mely helységekben szeretnénk megfelelı minıségő jelet kapni és mely eszközeinket kell bıvíteni vezeték nélküli kiegészítıkkel, megvásároljuk a szükséges eszközöket. Vásárláskor érdemes azonos márkájú illetve azonos típusú termékeket kiszemelnünk. Ez ugyan nem garantálja a tökéletes megvalósítást, azonban a konfigurálás során nagy segítségünkre lesz majd, ha nem veszünk el a különbözı gyártók azonos készülék-beállításai között, ugyanis ezeket elıszeretettel nevezik el saját szájízük szerint.
Alapvetı beállítások Ha már minden szükséges eszköz a rendelkezésünkre áll, végre összeállíthatjuk saját WLAN hálózatunkat. Korábbi cikkünkben röviden összefoglaltam, hogyan állítsuk össze fizikailag a hálózatot (DSL/kábel modem kapcsolat, Access Point összekapcsolása vezetékes hálózatunkkal). A vezeték nélküli hálózat eszközeinek összekapcsolása - a vezetéknélküliségbıl adódóan - azonban csak minimálisan jelent kábel dugdosást, sokkal inkább a telepítésen, konfiguráláson van a hangsúly. Kezdjük az asztali géppel, notebookkal, PDA-val és egyéb vezeték nélküli kliens eszközeinkkel. Itt az elsı lépés a WLAN kiegészítık megfelelı telepítése, majd a router, szükség szerint az Access Point-ok elhelyezése és konfigurálása után a kapcsolat beállítása. Miután kliens eszközeinket már felruháztuk WLAN képességgel, vegyük sorra hogyan készítsük fel vezeték nélküli router-ünket, Access Point-jainkat, hogy eszközeink képesek legyenek kapcsolódni hozzájuk, hogy megfelelıen ellássák a rájuk szabott feladatokat. Egy router vagy Access Point esetében rendszerint egy böngészın keresztül elérhetı webes felülettel találjuk magunkat szemben, itt adhatjuk meg a különbözı beállításokat. Minden eszköz gyári beállításokkal és felhasználói útmutatóval kerül a boltokba. Elsı feladatunk, hogy a telepített routert, Access Point-ot elérjük a hálózaton. Ehhez javasolt a fizikai, azaz kábeles kapcsolat létesítése egy patch kábel és egy számítógép segítségével. A felhasználói útmutatóban keressük meg milyen alapértelmezett IP címen, felhasználó névvel és jelszóval érhetı el az eszköz konfigurációs felülete. Ha ez meg van akkor egy böngészı szoftver segítségével (pl. Internet Explorer) beléphetünk a nyitó oldalon, majd általában a
— 11 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
konfigurációs felület felajánl nekünk egy gyors belállítást, varázslót (Wizard-ot), amelyben néhány lépésben használhatóvá tehetjük routerünket, Access Pointunkat. Vannak olyan eszközök, amelyek ezt a Varázslót a telepítı lemezükrıl futtatják, megkeresik az eszközt a vezetékes hálózaton ún. MAC cím alapján, majd közvetlen az Access Point-tal kommunikálva tárolják abban a beállításokat. Mindez teljesen gyártótól függ, ezért most az általánosan használt, legfontosabb beállításokat vesszük sorra, amelyek minden készülékben megtalálhatók.
Adminisztrációs jelszó (Password Settings) Router-ünk, Access Point-unk konfigurációs felületét csak a megadott jelszó ismeretében érhetjük el. Ez a jelszó gyárilag be van állítva, általában a felhasználói kézikönyvben találjuk, de sokszor magán a konfigurációs felület nyitó lapján is fel van tüntetve. Ez utóbbi nyíltan figyelmeztet minket, már elsı konfiguráláskor cseréljük le a gyári jelszót valami másra (lehetıleg ne a gyerek, vagy a kutya nevére!). Az, aki ezt a jelszót ismeri, bármilyen beállítást módosíthat a routerben, hozzáférhet adatainkhoz, akár ki is zárhat minket saját hálózatunkból, tehát ennek tudatában válasszuk meg és tartsuk titokban!
Idızóna (Time Zone) Itt állíthatjuk be a router rendszeróráját. Ez fontos az ellenırzés szempontjából, ugyanis a különbözı eseményeket: bejelentkezés, kapcsolódás az internethez, behatolás észlelése stb. a router idıponttal együtt rögzíti egy listában, ezek az adatok azonban mit sem érnek pontos idı bélyeg (Timestamp) nélkül. Szokásos extra funkció több internetes idı szerver (Time Server) beállításának lehetısége, amelyrıl a router automatikusan lekérheti a pontos idıt, ha kapcsolódva van az internethez. Ebben az esetben csak az idızónát kell megadnunk, a router órája mindig a pontos helyi idıt fogja mutatni.
Távoli konfigurálás (Remote Management) Ennek segítségével saját, otthoni hálózatunk konfigurációs felületét elérhetjük az interneten keresztül kívülrıl, egy vagy több megadott IP címrıl. Szokásos esetben erre nincs szükségünk, így a funkciót ne is engedélyezzük, mivel bárkit, aki a beállított IP címrıl be akar lépni a rendszerünkbe, csak a jelszó ismerete korlátozza a belépésben.
Internet kapcsolatunk beállításai (WAN Settings) A WAN (Wide Area Netwok, vagy Nagy Kiterjedéső hálózat) itt az internet szolgáltatónk hálózatát jelenti. A kapcsolódási módoknak számos változata ismert, ezek használata és beállítása teljes mértékben szolgáltató függı, így ebben a cikkben nem szeretnék kitérni ezek mindegyikének részletezésére. Ilyen például a Dynamic IP, PPTP, L2TP, Static IP, PPPoE stb.
PPPoE Ez utóbbi, a PPPoE (PPP over Ethernet, Point-to-Point Protocol over Ethernet, azaz Pont-Pont Protokol Ethernet hálózaton), a hazai DSL szolgáltatók által leginkább használt, ezért ennek beállításait érdemes itt tárgyalni. A PPPoE egy olyan kapcsolódási mód, amely használatában a betárcsázós, modemes módszerhez nagyban hasonlít. Kapcsolódáskor meg kell adnunk felhasználó nevünket és jelszavunkat, ezzel hitelesít minket a rendszer és enged kapcsolatot teremteni.
— 12 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
Felhasználó név (User Name): a szolgáltatónknál regisztrált felhasználónév Jelszó (Password): felhasználó nevünkhez kapcsolódó jelszó Maximum üresjárati idı (Maximum Idle Time): Rendszerint percben határozhatjuk meg mennyi legyen az internethasználat nélküli idı, ami után a router kapcsolat fenntartásra alkalmas jelet küldd a szolgáltató felé, tulajdonképpen egyszerő hálózati forgalmat generál az interneten. A DSL kapcsolatot a szolgáltató általában 24 óra elteltével, vagy 30-60 perc üresjárat után bontja. Ez a funkció azt a célt szolgálja, hogy elkerüljük az üresjárat miatti kapcsolat bontást.
Automatikus újra csatlakozás (Auto-reconnect): Ha a szolgáltató mindenképp bontja a kapcsolatot egy idı után, vagy bármely más okból megszakad a kapcsolat, ennek a funkciónak a használatával a router mindig újra kapcsolódik az internethez.
Helyi hálózatunk beállításai (LAN settings) IP Address: routerünk, Access Point-unk hálózati IP címe. DHCP: Dynamic Host Control Protocol, azaz Dinamikus Kliens Vezérlı Protokol, amely a kapcsolódó eszközök számára ad dinamikusan generálódó IP címet az eszköz IP címtartományából (IP Address Pool) tartományából annak lejárati idejéig (Lease Time). Lease Time: A dinamikus címkiosztásra vonatkozó idı intervallum, megadja mennyi ideig érvényes egy-egy kiosztott belsı cím. Ha lejár az idı és egy kliens ismét kommunikálna a routerrel, ismét kap egy IP címet, ami nem feltétlenül különbözik az addig használt címtıl. IP Address Pool: A DHCP funkció által használható, belsı hálózati IP címek tartománya.
Vezeték nélküli beállítások (Wireless Settings) SSID: Service Set Identifier (Szolgáltatás Azonosító), routerünk, Access Point-unk neve, erre hivatkozhatnak a kapcsolódó eszközök, ezt látja például a PDA-ánk az elérhetı vezeték nélküli kapcsolatok listájában.
SSID Broadcast: Az SSID láthatóságának beállítása, ha bekapcsoljuk bármely WLAN képes eszköz látja hálózatunkat, ha nem akkor csak azok tudnak kapcsolódni, akik ismerik az SSID-t.
Wireless Mode: IEEE 802.11g eszközök esetében itt lehet választani, hogyan mőködjön a router WLAN rádiója: csak G, csak B vagy vegyes üzemmódban is dolgozzon.
Transmission Rate: azaz átviteli sebesség, itt állíthatjuk be a maximális sávszélességet, ami lehet automatikus, vagy 1 és az eszköz maximális sávszélessége (11 vagy 54Mbit/sec) közötti érték.
Channel: azaz csatorna, a router WLAN rádiójának a korábban említett 2,4GHz-es tartományból kiválasztott csatornája. Ezt a témát egy kicsit jobban ki kell fejteni a késıbbi problémák elkerülése érdekében. A 2,4GHz-en mőködı WLAN eszközök kommunikációjának tartománya az USA-ban 11, Európában 13 csatornára oszlik. Az egymás mellett lévı a csatornák (pl. 6-7-8) azonban - a szabvány kialakításából adódóan - fedik egymást, azaz átlapolódnak. Ezt egyszerően úgy képzelhetjük el, ha egymás mellé teszünk néhány papírlapot, majd széleiket egymásra csúsztatjuk. A technikai részleteket félre téve, az átlapolás miatt az egymás mellett lévı csatornákat használó eszközök tulajdon képpen — 13 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
zavarják egymás adását, azaz csökken a sávszélesség, csökken a sebesség. Ennek megfelelıen több, egymás hatósugarába esı Access Point csatorna beállításait megfelelı körültekintéssel kell elvégezni, legalább 2-3 csatornát kihagyva. Ez annyit jelent, hogy a 13-ból egy térben büntetlenül 4-5 csatornát használhatunk.
Biztonsági beállítások (Security Options) A biztonsági kérdésekrıl - a téma sokrétősége és komolysága miatt - a következı cikkben fogunk kitérni, ezért ennek tárgyalását itt kihagyjuk.
NAT - hálózati címfordítás A NAT (Network Addressing Translation, azaz Hálózati Cím Fordítás) nagyon hasznos szolgáltatást nyújt számunkra. Ez teszi lehetıvé, hogy a routerünkön keresztül az interneten található gépekkel minden, a hálózatunkhoz kapcsolódó eszköz önállóan tudjon kommunikálni, mintha saját, dedikált internet kapcsolattal rendelkezne. Maga a NAT azonban további funkciókat is ellát, például bizonyos szinten véd a külsı támadásokkal szemben is.
Virtual Server: A Virtual Server (Virtuális szerver) funkció segítségével belsı hálózatunk gépeinek bizonyos hálózati funkcióit érhetik el az internethez kapcsolódó számítógépek. Beállításához meg kell adnunk gépünk IP címét, a használt protokoll típusát, a gépünkön futó szolgáltatás port számát illetve azt a port számot, amelyen keresztül a router beengedi a külsı gépet. A Virtual Server tulajdonképpen átirányítja a szolgáltatótól kapott IP címünk általunk beállított portjának forgalmát a belsı gépünk megadott portjára. Online játékok, FTP és egyéb internet kapcsolaton keresztül kommunikáló alkalmazások csak ennek a szolgáltatásnak a használatával képesek megfelelıen mőködni.
Special Applications: Bizonyos alkalmazások, amelyek egyszerre több csatornán is beszélgetnek egymással az interneten keresztül (online játékok, chat programok stb.) nem tudnak kommunikálni a NAT mőködése esetén. Ezek számára beállíthatunk olyan belsı, illetve külsı (Trigger port, Public port) port-tartományokat és protokol típusokat, amelyek segítségével sikerül mőködésre bírnunk ıket.
Tőzfal beállítások (Firewall Settings) A routerek és Access Point-ok talán legfontosabb extra szolgáltatása a tőzfal. Ennek segítségével megvédhetjük magunkat a külsı támadásoktól.
MAC cím ellenırzés: (MAC Address Control, MAC Filter) Minden hálózati eszközünk rendelkezik egy egyedi azonosítóval, amit a gyártó rendel hozzájuk - ez a MAC cím. Ezzel a funkcióval, felhasználva eszközeink MAC címét, korlátozhatjuk a hálózathoz való hozzáférést, azaz csak azok az eszközök kapcsolódhatnak hálózatunkhoz, amelyek MAC címe szerepel az általunk feltöltött listában. Szerencsére nem kell minden gép címét egyenként beírnunk, ha a DHCP funkció be van kapcsolava, csatlakozott eszközeink MAC azonosítóját általában egy listából bemásolhatjuk a legális MAC címek közé.
Hozzáférés ellenırzés: (Access Control) A hálózatunkhoz csatlakozó gépek IP címeinek és különbözı (pl. web, FTP, email hozzáférés) szabályok, illetve idızítés megadásával korlátozhatjuk az internet hozzáférést. Jó példa erre egy irodai felhasználás esetén, hogy az említett szolgáltatásokat csak munkaidıben lehessen elérni számítógépeinkrıl alkalmazottaink egy csoportjának. Internet cím szőrés: (URL Blocking) Az itt felsorolt internet címek elérését a router nem engedélyezi hálózatunkhoz kapcsolódó eszközeink számára. Ha például megadjuk a listában a
— 14 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
PDAMánia URL címét, nem tudjuk majd elérni a PDAMániát, egyetlen géprıl sem. (De persze ilyet ne tegyünk! :) )
Betörés figyelés: (Intrusion Detection) Különbözı szokásos betörési kísérletek elhárítását szolgálja ez a funkció, mint például az IP Spoofing, Land Attack, Ping of Death, UDP Port Loopback, stb. Ezek ismertetésébe most nem mélyedünk el, azonban annyit érdemes megemlíteni, hogy bizonyos internetet szoftverek mőködését (pl. Skype) igen csak meg tudja nehezíteni néhány beállítás. Használata ennek ellenére javasolt. DMZ: (Demilitarized Zone) Vannak olyan, belsı hálózatunk gépein futó szoftverek, amelyek a NAT tőzfal funkciójának hála, sajnos képtelenek kommunikálni a routeren keresztül. A DMZ használatával ez a probléma kiküszöbölhetı, azonban nagyon óvatosan kell bánnunk vele. A DMZ bekapcsolása esetén meg kell adnunk helyi gépünk IP címét, amelyre a router automatikusan minden internetes forgalmat átirányít, kikerülve a tőzfalat. Ekkor nyilvánvalóan, gépünk teljesen ki van téve a betörési kísérleteknek, tulajdonképpen olyan, mintha közvetlen internet csatlakozása lenne, tehát nekünk kell gondoskodnunk a megfelelı szoftveres tőzfalról és egyéb védekezésrıl, amit különben a router tőzfala lát el normális esetben.
DDNS (Dynamic DNS, azaz Dinamikus DNS) A DDNS szolgáltatás arra való, hogy helyi hálózatunkat, routerünket kívülrıl, az interneten keresztül bármikor, ugyanolyan címzéssel lehessen elérni. Ennek akkor van jelentısége, ha dinamikusan kapunk IP címet az internet szolgáltatótól, statikus IP cím használata esetén nincs rá szükség. A szolgáltatás alapja, hogy routerünk bejelentjezik egy speciális DDNS kiszolgáló szerverre az interneten, megadja jelenlegi IP címét, majd a külsı számítógép amely el akarja érni hálózatunkat - ehhez a kiszolgálóhoz fordul, hogy megtaláljon minket (mintha csak egy telefonkönyvbıl, a nevünk alapján valaki kikeresné a hívószámunkat). A szerver pedig megadja az aktuális címünket, elérhetıséget biztosítva hálózatunkhoz.
UPnP (Universal Plug and Play) Az UPnP egy olyan funkció, amely peer-to-peer (pont-pont) kapcsolatot biztosít számítógépek és egyéb intelligens eszközök között hálózatunkban. Jelenleg ezek az eszközök még meglehetısen ritkák a piacon, így ezt a funkciót - fıként ismeretek hiányában - nem tárgyaljuk.
Adminisztrációs eszközök Az adminisztációs eszközök (Tools) használatával menthetjük, tölthetjük vissza routerünk beállításait, frissíthetjük szoftverét (Firmware), vagy indíthatjuk újra a konfigurációs felületen keresztül (Reboot).
Státusz ablak (Status) Ezen az oldalon áttekintést kapunk routerünk illetve az internet kapcsolat állapotáról. Itt találjuk publikus (szolgáltatótól kapott) IP címünket, a router adatait, szoftver verzióját, DHCP kliens listánkat illetve a rögzített események listáját (Security Log).
Antennák, erısítık, kábelek, csillapítás és további finomságok Elhagyva a routerek, Access Point-ok beállításainak labirintusait, evezzünk kicsit más vizekre. Elmesélem két, épületek közti kapcsolat létesítse során szerzett tapasztalataimat, — 15 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
mivel többünkkel elıfordulhat, hogy hasonló problémába ütközik, hátha segítségükre lesz majd a tervezés, kivitelezés során.
Gyakorlati példák Az elsı eset két, egymástól hozzávetılegesen 30 méterre fekvı épület közti WLAN kapcsolat kialakításáról szól. Az egyik épületben bekötött DSL kapcsolatot kellett átvinni a másik épületbe, ahol szintén ki kellett alakítani egy vezetékes és egyben vezeték nélküli hálózatot is. A DSL modemet egy routerbe csatlakoztattuk, amely kiszolgálta a helyi hálózatot. A két épület között a híd (Bridge) funkciót két Access Point segítségével valósítottuk meg, mindkét eszközt Bridge módba állítva, hogy csak és kizárólag egymással kommunikálhassanak, kihasználva a teljes sávszélességüket a két hálózat közti kommunikációra. A másik épületben egy azonos típusú routert helyeztünk el, ami az ottani hálózatot szolgálja ki. A két Access Point mindkét oldalon a routerekhez kapcsolódik vezetékesen, hidat alkotva így a két lokális hálózat között. A DSL oldali router DHCP szerverként mőködik IP címet kiosztva mindkét oldali kapcsolódó eszközöknek, az Access Point-ok és a másik oldali router viszont statikus IP címmel rendelkezik. Ez volt az elsı WLAN hálózat, amelyet még 2003 ıszén terveztünk. Annak idején a technológia még nem volt annyira elterjedt és ismert hazánkban, mint most, így olyan egyszerő hibákat is elkövettünk, hogy az Access Point-ok antennáit egymás felé állítottuk gondolván így jobb lesz a vétel - pedig a földhöz képest merılegesen felfelé kellett volna.
A másik eset hasonló megoldást igényelt, azonban itt - az elızıvel ellentétben, ahol a padláson helyeztük el az épületeket összekötı Access Pointokat - a tetıre kellett kis szögben sugárzó antennákat elhelyezni. Ebben az esetben két routerrel, két antennával és némi kábellel olcsóbban megvalósítottuk ugyanazt a funkciót, amelyhez korábban még két további Access Point-ra is szükség volt, mivel korábban az antennák ára kb. tízszerese volt a mainak illetve a routerek firmware-je nem támogatta a Bridge módot. A firmware (szoftver) frissítésnek hála, a routerek egyik antennájukkal a belsı, helyi hálózatot szolgálják ki, másik antenna csatlakozójukra a tetın elhelyezett, egymásra irányított antennákkal pedig a két épület közti kommunikációt valósítják meg. Sajnos ebben az esetben is találkoztunk problémákkal: az épületek elhelyezkedésébıl adódóan meglehetısen frekventált helyen vannak, legalább is WLAN szempontjából. Ez annyi jelent, hogy a 13 csatorna szinte mindegyike használatban volt a környéken, egy részük otthoni hálózatok, más részük internet szolgáltatók által, így meglehetısen nehéz volt az antennák közti megfelelıen zavarmentes csatorna kiválasztása. A választás során sávszélességet mértünk, az a csatorna nyert, amelyen a legnagyobb sávszélességet tudtuk elérni. A WLAN hálózatok terjedésével egyre többször ütközünk ebbe az akadályba, erre is van azonban megoldás: 5 GHz-es átalakítókkal kell felszerelni az egymással kommunikáló antennákat, mivel ez a tartomány még nem telített olyan mértékben, mint a szimpla 2,4 GHzes, így az alhálózatainkat (épületek) összekötı hidak (Bridge) zavartalanul kommunikálhatnak egymással.
Antenna és kábel választás Az antenna és a kábel választásakor mindenképp érdemes szaküzlethez fordulni tanácsért és ott vásárolni, ugyanis az antennák különbözı csatlakozóval szereltek, illetve a csillapítást is figyelembe kell venni az antenna hosszánál, továbbá a csatlakozókat precízen kell a kábel végére rögzíteni - mivel nagy frekvenciával dolgozunk - különben a jelveszteségeink jócskán
— 16 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
megnınek, azaz csökken a sávszélesség. A kiegészítık széles választékára és az egyéni igények különbözıségeire való tekintettel ebbe a témába nem kívánok belemélyedni, a WLAN hálózatokra és eszközökre szakosodott cégek, boltok minden bizonnyal szívesen adnak tanácsot, ahogy ezt jómagam is tapasztaltam már.
Erısítık Néhány szót ejtsünk még az erısítıkrıl is. A vezeték nélküli átvitel hatótávolsága megfelelı antennával (parabola jellegő stb.) és nagyon pontos irányítással több kilométerre is rúghat, itt azonban már erısítıre is szükségünk lesz a bázis állomásokon, mert párás, esıs, rossz idı esetén a jel annyira gyengülhet - pontos tervezésünk és kivitelezésünk dacára - hogy megszakad a kapcsolat, ilyenkor bizony jól jön az erısítı.
Kliens eszközök csatlakoztatása a hálózathoz Miután hálózatunk gerincét összállítottuk, bekonfiguráltuk, nincs más hátra, mint vezeték nélkül csatlakozni hozzá. Microsoft operációs rendszer esetén (asztali gépen, notebookon vagy pda-n) a WZC (Wireless Zero Configuration, azaz Vezeték nélküli Zéró Konfiguráció) beépített WLAN varázsló segítségével ezt néhány kattintással, tappintással megtehetjük. A WLAN rádiót bekapcsolva kapunk egy listát az elérhetı hálózatok SSID nevérıl. (Ha itt nem szerepelne a hálózatunk neve, akkor ellenırizzük az SSID Broadcasting beállítást, hogy ez be van-e kapcsolva!) Ha egyszer már sikerült csatlakoznunk egy WLAN hálózathoz, akkor a rendszer megırzi a kapcsolat beállításait, tehát legközelebb automatikusan tud majd kapcsolódni hozzá. Kapcsolódáskor csak a megfelelı SSID-t kell kiválasztanunk, illetve a titkosítás módját illetve a hozzá tartozó Network Key-t (hálózati kulcsot), ha az Access Pointon, routeren beállítottuk.
A biztonsági, titkosítási beállításokkal a következı cikkben foglalkozunk majd, megfelelı részletességgel és mélységgel ahhoz, hogy mindenki biztonságban tudhassa vezeték nélküli hálózatát és azon keresztül elérhetı adatait.
Vezeték nélküli hálózat otthon - III. rész Szerzı: Hipszki Márton
| Dátum: 2005-12-29 14:14
Cikksorozatunk elsı két részében megismerkedtünk a vezeték nélküli hálózatok alapjaival, összehasonlítottunk a vezetékes hálózatok adta lehetıségekkel, bemutattuk 802.11 szabványokat, ismertettük mire van szükség egy otthoni/irodai WLAN hálózat kiépítéséhez, mire használhatjuk vezeték nélküli hálózatunk képességeit, felsoroltuk mire érdemes figyelni vásárláskor, áttekintettük egy WLAN router alapvetı beállításait valamint néhány gyarkolati példát is megemlítettünk. Ebben a részben a biztonság nagyon fontos kérdését tárgyaljuk. Ismertetjük a WiFi hálózatok támadható pontjait, sérülékenységét valamint az illetéktelen felhasználás kivédésének lehetséges módszereit, technológiáit.
A WiFi hálózat védtelensége Korábban már szót ejtettünk arról, milyen kockázattal jár, ha vezeték nélküli képességgel ruházzuk fel vezetékes hálózatunkat, most pedig egy kicsit mélyebb betekintést szeretnénk nyújtani a WLAN hálózat elınyeivel együtt járó veszélyekbe. Emlékeztetıül: a vezetékes — 17 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
hálózat egyértelmő kontrollálhatóságával szemben (fizikailag kábellel kell csatlakoztatnunk egy számítógépet a hálózathoz) a WLAN hálózatok esetében megfelelı biztonsági módszerekkel tudjuk elérni, hogy csak azok kapcsolódhassanak hálózatunkhoz, akiknek ténylegesen megengedjük azt. Felvázolva a helyzet komolyságát, gondoljunk csak bele: frissen összeállított WiFi hálózatunk, amely még nincs felvértezve semmiféle biztonságtechnikai megoldással, bárki számára elérhetı, aki WLAN képes eszközzel rendelkezik, azaz bárki hozzáférhet a hálózaton megosztott erıforrásainkhoz, mappáinkhoz, dokumentumainkhoz, képeinkhez, email-jeinkhez és egyéb személyes adatainkhoz, amelyeket vezetékes hálózatunkban eddig biztonságban tudhattunk. Ki szeretné, ha akarata ellenére felkerülnének családi fotói az internetre, kitudódnának céges adatai vagy éppen folyamatban lévı üzleti projektjeinek titkos részletei egy illetéktelen, esetleg rosszindulatú személy munkálkodásának eredményeképpen, aki még egy vírust is elhelyezhet hálózatunkon, vagy egyszerően csak törölheti minden adatunkat, felbecsülhetetlen kárt okozva ezzel nekünk? Azt hiszem bıven elég ezt a néhány példát megemlíteni ahhoz, hogy megfelelı komolysággal álljunk a biztonsági kérdések figyelembevételéhez és a védelmet támogató technológiákkal való megismerkedéshez, majd azok alkalmazásához.
A védelem felépítése - biztonsági technológiák Lássuk, milyen lehetıségeink vannak, hogy megvédjük hálózatunkat és adatainkat a kíváncsiskodókkal és illetéktelenekkel szemben!
Access Pointok / Routerek elhelyezése Talán furcsa, de ez is a biztonsági kérdésekhez tartozik. Bárhol is helyezzük el WLAN állomásunkat (összefoglaló nevén base-station) a lakásban, irodában, valameylest mindenképp ki fognak jutni az általa kibocsátott jelek a falakon, ablakokon keresztül. Érdemes azonban úgy megválasztani a helyét, hogy az általunk fontosnak tartott pontokon, a kívánatos rálátás megırzése mellett, lehetıleg az épület közepe táján helyezkedjen el az Access Point, vagy Router. Így hatósugarának kültérre esı részét képesek vagyunk minimalizálni. Sokan egyszerően közvetlenül a kábel-, DSL modem mellett helyezik el, ami rendszerint nem egyezik az épület középpontjával. Ez a pont sokkal inkább a bejövı kábeltv vagy a telefonvonal mellett található, és inkább az épület valamelyik külsı falánál helyezkedik el. Ebben az esetben a lakás másik végén már meglehetısen gyenge lesz a jel, hála a közfalaknak, kívül az utcán pedig sokkalta erısebb annál, mint az kívánatos lenne. Ne felejtsük el, nem nyilvános internetelérést kívánunk szolgáltatni az arra járóknak!
Az adminisztráció jelszava Az Access Pointok és Routerek gyári SSID elnevezéssel és jelszóval kerülnek a boltokba, ez minden eszköz felhasználói kézikönyvében szerepel, sıt sokszor az adminisztrátori felület bejelentkezı oldalán is megjelenik a gyári beállítás jelszava, ami legtöbbször az "admin" szó. Nyilvánvaló, ha ezt nem változtatjuk meg, ingyen belépıt osztogatunk azoknak, akiket egyébként nem szeretnénk beengedni rendszerünkbe. Elsı dolgunk legyen a Router vagy Access Point beüzemelése után megváltoztatni az adminisztrátori jelszót! Hosszú (minimum 6 karakternyi), kis/nagybetők és számok kombinációjából álló kódszót adjunk meg. Létezik sok ingyenes jelszógeneráló kis alkalmazás, amely elérhetı az interneten, ilyen például az általam kedvelt PWGen is. — 18 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
SSID Ahogy az imént is említettük, minden vezeték nélküli Access Point és Router a gyári beállításokkal kerül a boltokba, ennek értelmében az egy gyártó által piacra dobott termékek ugyanazzal az SSID-val kerülnek ki a gyárból, az SMC például "smc" SSID-val adja ki termékeit, a LinkSys "linksys" SSID-val.
Szintén elsı teendıink között szerepeljen a gyári SSID megváltoztatása, azonban ezt is megfelelı körültekintéssel tegyük! Semmiképp ne válasszunk olyan szót, amely utal nevünkre, cégünk nevére, az utca nevére vagy bármilyen könnyen hozzánk kapcsolható információra, még a kutyánk nevére sem. Legjobb ha legalább 6-8 betőbıl és számokból álló kombinációt adunk meg, ahogy azt jelszó választáskor is tesszük. Az SSID minden egyes adatcsomagban utazik a hálózaton, hogy azonosítani lehessen melyik Access Pointtól származik a csomag, egy "krixkrax" SSID is nehezíti valamennyire a betörı dolgát!
SSID Broadcast Az SSID Broadcast funkció az SSID "szétkürtölését", szétszórását jelenti az Access Point hatótávolságában. Fontos, hogy a mi eszközeink sem fogják automatikusan megtalálni a hálózatot anélkül, hogy külön megadnánk nekik az SSID nevét, a továbbiakban viszont a kapcsolódás már gördülékeny lesz. A hálózat alapvetı funkcióinak beállítása után kapcsoljuk ki, így az átlag kíváncsiskodó nem is sejti majd, hogy WiFi hálózat van a közelben.
MAC cím szőrés Ahogy a Routerek beállításaiban általában találkozunk vele: MAC Address Filtering. A MAC (Media-access Control, Eszköz Hozzáférés Ellenırzés) szőrés annyit jelent, hogy csak azt engedjük a hálózathoz kapcsolódni, akinek az azonosítója szerepel a listánkban. Ez olyan, mintha csak névre szóló meghívóval mehetnénk be egy partyra. A MAC cím minden egyes termék esetében egyedi a világon, minden gyártó az általa gyártott termékekhez kap egy hivatalosan igényelt azonosító listát, amelyet "beleéget" az adott termékbe, hogy az egyedileg azonosítható legyen. Biztonsági intézkedéseink egyik könnyen alkalmazható és javasolt módszere ez, azonban nem jelent teljes védelmet: ügyes kalózok a MAC címet is tudják hamisítani, sıt több termék esetében mi is átállíthatjuk, megfelelı alkalmazások segítségével. Esetenként körülményes lehet ennek a funkciónak a használata, például ha egy barátunk gépét szeretnénk ideiglenesen beengedni a hálózatra, ha átugrik hozzánk néhány dokumentumért. Ilyenkor be kell lépnünk a Router adminisztrációs felületébe, ott rögzíteni a MAC listába a gép azonosítóját, majd ha már nincs rá szükség kitörölni onnan. Mindezek ellenére a MAC cím szőrést javasolt használni.
IP cím tartomány, IP kiosztás és DHCP A hálózatunkat alkotó eszközeinknek, legyenek azok Access Point-ok, Routerek vagy számítógépek, mindnek szüksége van egy-egy egyedi azonosítóra, amellyel hivatkozhatnak egymásra a kommunikáció során. Ez a szám az IP cím, amelyet négy, egyenként 0-255 intervallumból válaszott számmal adunk meg. A világ összes hálózatán minden egyes eszköz ezen a módon azonosítja magát. Az általunk vásárolt Routerek gyári alapbeállítása általában a 192.168.0.xxx, 192.168.1.xxx vagy a 192.168.2.xxx tartományra van állítva. — 19 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
Az IP cím tartomány kiválasztásának meg van a maga, szabvány által meghatározott módja, amire ebben a cikksorozatban nem kívánok kitérni, annyit azonban érdemes tudnunk, hogy az említett konkrét tartományok a "saját alhálózat" szabadon használható tartományai. Itt felvetıdik egy érdekes dilemma: elvileg nem változtathatjuk meg szabadon bármire ezt a tartományt, azonban ha változatlanul hagyjuk a gyári beállítást, leegyszerősítjük a betolakodó dolgát. Mit tegyünk hát? A 192.168.yyy.xxx tartomány 256x256 = 65536 számú eszköz azonosítására alkalmas, amibıl nekünk csak néhány számkombinációra lesz szükségünk eszközeink azonosításához. Továbbá figyelembe véve, hogy hálózatunk Router-hez kapcsolt gépei úgymond "rejtve" vannak az interneten lógó többi gép elıl (közvetlen nem férhetnek hozzájuk, csak a Router-en keresztül), azaz Router-ünkben a NAT (Network Adressing Translation, Hálózati Cím Fordítás) szolgáltatás végzi a címfordítást a publikus, külsı IP címünk (amivel az internet szolgáltatónk azonosít minket) és belsı eszközeink között: a belsı tartományt szinte bármire változtathatjuk. A két lehetıség között választhatjuk a középutat is: hagyjuk meg a 192.168 tagot az IP cím elején, a harmadik számot (yyy) adjuk meg tetszés szerint, majd a negyedik (xxx) számmal azonosítsuk egyenként eszközeinket. A Router rendszerint az 1-es sorszámot kapja (192.168.2.1), de amennyiben rendszerünk lehetıvé teszi, ezt is megváltoztathatjuk az 1-255 közötti értékek bármelyikére, ezzel is eltérve a jól ismert alapbeállításoktól, nehezítve a kalózkodók dolgát. Beszéljünk egy kicsit a DHCP (Dynamic Host Configuration Protocol, Dinamikus Kliens Konfiguráló Protokol) funkcióról. Ez egy nagyon hasznos szolgáltatás, amely minden Routerbe és sok Access Point-ba is integrálva van. Lényege, hogy egy kliens gép a hálózathoz kapcsolódás elején kérést küld a DHCP szolgáltatást futtató eszköznek: adja meg neki automatikusan a kapcsolódáshoz szükséges beállításokat (IP címet, alhálózati maszkot, átjáró (Gateway) és DNS címeket). Nagy számú hálózati eszköz esetén igen csak segítségünkre van ez a funkció (nem kell minden egyes eszközt egyenként konfigurálni, átkofigurálni), azonban otthoni / kisirodai használat esetén javasolt a kikapcsolása: ne kínáljuk tálcán a beállításokat, IP címet az illetéktelen behatolónak, miután esetleg sikerült átjutnia az egyéb biztonsági vonalakon.
WEP A WEP (Wired Equivalent Privacy, Vezetékessel Egyenértékő Titkosítás) a kezdeti WiFi szabványok biztonsági technológiája. A WEP-et eredetileg WLAN kapcsolatunk titkosítására találták ki. Az RSA által kifejlesztett RC4 titkosítást használja, szimmetrikus 64 illetve 128 bites, változó hosszúságú kulcsot használva. Ezt a kulcsot, mint sima szöveget küldik oda vissza a hálózaton a kommunikációban résztvevı eszközök, ráadásul mindegyik eszköz ugyanazt az egyetlen kulcsot használja, ezért megszerzése sajnos elég egyszerő. A 64 bites WEP kulcsszó visszafejtése a mai számítógépek segítségével alig néhány óra, nagyjából 20 000 adatcsomag vizsglata elegendı hozzá. Sajnos már bizonyítottan, 2002 óta nem megfelelı technika hálózatunk védelmére, ennek használata önmagában tehát nem javasolt. Számos könnyen elérhetı szoftver van, amely alkalmas a WEP kulcsok megfejtésére (AirSnort, WEPCrack). Kísérletezı kedvő olvasóknak érdemes kipróbálni valamelyiket és megbizonyosodni a WEP említett hiányosságairól és gyengeségérıl saját hálózatuk esetében.
— 20 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
WPA A WPA (Wireless Protected Access, Vezeték nélküli Védett Hozzáférés) a 802.11i biztonsági szabvány része, amely 802.11x hitelesítést és TKIP (Temporal Key Integrity Protocol, Ideiglenes Kulcs Integritás Protokol) kulcskiosztást használ. A WEP leváltása céljából fejlesztették ki, tanulva annak hiányosságaiból. Az IEEE 802.11i a WLAN hálózatok biztonsági szabványa, amelynek fı komponensei a 802.11x hitelesítés, a TKIP protokol és az AES (Advanced Encryption Standard, Továbbfejlesztett Titkosítási Szabvány) titkosító algoritmus. A legújabb készülékek illetve több korábbi termék új firmware frissítése is támogatja már ezt a fontos szabványt, vásárláskor érdemes erre is figyelni! A TKIP a kulcs disztribúcióért (elosztásért) felelıs protokol, amely ellenırzi az üzenetek integritását is. A már 802.11x módszerrel hitelesített eszközök esetében, a forgalmazott adatcsomagokban dinamikusan képes váltogatni a titkosítást szolgáló kulcsokat, azaz hiába szerzi meg a támadó az éppen használt kulcsot a forgalom lehallgatásával összegyőjtött adatokból, a TKIP-nek elég 5 percenként változtatni a kulcson, a kalóz már kezdheti is elölrıl munkáját, sıt a TKIP adatcsomagonként is képes új kulcsot generálni. A WPA két mőködési módban alkalmazható. Az egyik a Pre-Shared Key mode (Megosztott kulcs mód), amely otthonra és kisvállalkozások számára ideális megoldás. A titkos kulcsot az Access Point adminisztrációs felületén kell megadnunk, ahogy az egyes klienseknél is. Ez elsı pillantásra megegyezik a WEP módszerével, a WPA azonban a kapcsolódást követıen folyamatosan változtatja a titkos kulcsot, így szinte lehetetlen az éppen érvényben lévıt megfejteni. Újabb kapcsolódás esetén ismét az eredeti kulcsot kell megadni, tehát csak arra kell figyelnünk, hogy titkos kulcsunkat senki ne ismerje meg rajtunk kívül. Aki korábban már ismerkedett a WLAN hálózatokkal és azok biztonsági kérdéseivel, bizonyára ismerısen cseng neki a RADIUS szerver, pontosabban RADIUS alapú hitelesítı szerver megnevezés. Ez a WPA másik mőködési módja (Enterprise mode) nagyvállalatok számára nyújt biztonságos megoldást, otthoni implementálása meglehetısen körülményes. EAP protokolt (Extensible Authentication Protokol, Kiterjeszthetı Hitelesítési Protokol) használ a kliensek azonosítására és 802.11x biztonsági szabványt a kliens eszközökön. Az Enterprise mode továbbá alkalmas többszintő felhasználói jogosultság kezelésére is, azaz (leegyszerősítve) meghatározható, hogy a hálózaton ki milyen erıforrásokhoz fér hozzá, például ki éri el csak az internetet és ki érhet el egyéb információkat is. Otthon tehát, saját kis WLAN hálózatunk esetében válasszuk a WPA Pre-Shared Key módot az Access Pointunk adminisztrációs felületén, ekkor nincs szükségünk külön RADIUS szerver konfigurálására a hitelesítéshez. Ezután válasszuk a TKIP vagy AES algoritmust a titkosításhoz, de elıtte gyızıdjünk meg arról, hogy eszközeink melyik algoritmust támogatják! Majd adjunk meg egy hosszú, kis/nagybetőkbıl és számokból álló kulcsot, amit majd a kliens gépek konfigurálásakor is meg kell adnunk. Utolsó beállításként pedig határozzuk meg, milyen idıközönként cserélje le az érvényben lévı kulcsot az Access Point. A kliens kofigurálás esetén a lényeg, hogy azonos beállításokat válasszunk, mint az Access Point-on. Meg kell adnunk az SSID-t, a WPA-PSK (WPA Pre-Shared Key) biztonsági módszert és a választott (TKIP vagy AES) titkosítást, végül a titkos kulcsot (Network Key). Ezek után már biztonságosan kapcsolódhatunk vezeték nélküli hálózatunkhoz.
WPA2 A WPA tulajdonképpen még a 802.11i biztonsági szabvány végelegesítése elıtt jött létre, utódja WPA2 néven már a ratifikált 802.11i szabvány szerves részeként vált ismerté, amely — 21 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
kötelezıen tartalmazza az erısebb AES (másnéven CCMP) titkosítási módszert is, lecserélve a WPA elsı verziója által alkalmazott (gyengébb) RC4 titkosítási algoritmust (amit a WEP is használ).
Firmware frissítés Minden Access Point és Router, továbbá kliens eszközeink is beépített szoftvert tartalmaznak, amely a hardver lehetıségeit használva valósítja meg a kommunikációt más eszközökkel. Mivel szoftverrıl van szó, amelyet emberek, programozók készítettek, természetesen elıfordul, hogy valamilyen hibát, biztonsági rést hagytak benne, amelyet kijavítva, illetve egyéb új funkciókkal, szabványokkal kiegészítve a késıbbiekben ki szokott adni a gyártó. Ez a firmware frissítés, amit rendszerint letölthetünk a Router vagy Access Point gyártójának honlapjáról és egyszerően telepíthetjük eszközünkre. Az említett biztonsági rések, hibák miatt a frissítéseket rendszeresen kell ellenırizni és ha újabb jelent meg, mielıbb feltelepíteni, mert az ismert hibákat kihasználva a rosszindulatú behatolók bejuthatnak rendszerünkbe, hiába vérteztük fel hálózatunkat a többi ismertetett biztonsági technikával.
Veszélyes HotSpotok A hotspot-ok száma rohamosan növekszik, ennek általában nagyon örülünk: egyre több publikus helyen (éttermekben, kávézókban, intézményekben, stb.) férhetünk hozzá ingyen vagy minimális összeg ellenében az internethez. Óvatosságra kell, hogy intsen azonban minket a tudat: ezek a vezeték nélküli elérési pontok rendszerint nélkülöznek mindennemő biztonsági óvintézkedést az egyszerő tőzfal beállításokon kívül (sıt sokszor még azt is), hogy felhasználóik minél egyszerőbben, problémamentesen kapcsolódhassanak a telepített Access Point-hoz. Van néhány fontos óvintézkedés, amit érdemes betartanunk, ha hotspot vadászatra indulunk. Mindenképp telepítsünk gépünkre valamilyen tőzfal programot, tiltsunk le minden nyomtatóés fájlmegosztást a csatlakozás elıtt, és ne feledjük: az adatforgalmunk valószínőleg teljesen titkosítás mentes, tehát ha egy szakavatott "kukkoló" lehallgatja forgalmunkat, abból értékes információkat, bejelentkezési azonosítókat, jelszavakat szerezhet. Amennyiben lehetséges használjunk VPN (Virtual Private Network, Virtuális Magán Hálózat) szoftvert a távoli kapcsolat létrehozására céges hálózatunkhoz. Legyünk tehát rendkívül óvatosak!
Melyiket válasszam? Az igazat megvallva nem az a kérdés, hogy melyik lehetıséget válasszuk, hanem az, hogy mely lehetıségek kombinációival éljünk WiFi hálózatunk védelme érdekében. Hiába használjuk önmagában például az imént ismertetett WEP technikát a titkosításhoz, ha az illetéktelen behatoló az adatforgalom elemzésével megtalálja a bejelentkezéshez szükséges adatokat. Hiába kapcsoljuk ki az SSID Broadcast-ot, ha nem változtatjuk meg az Access Point gyári elnevezését, mert egy kiváncsiskodó elsı próbálkozása valószínőleg pont a gyári nevek végigpróbálgatása lesz, és így tovább. Általánosságban elmondható, hogy minél több rétegő a védelmünk, annál nehezebb dolga van annak, aki illetéktelenül szeretné használni hálózatunkat és annak erıforrásait.
Összefoglalva, ha betartjuk a következı felsorolt elıírásokat, biztonságban tudhatjuk vezeték nélküli hálózatunkon elérhetı adatainkat: ●
helyezzük el a lakás megfelelı pontján Access Pointunkat
— 22 / 23 —
Vezeték nélküli hálózat otthon - I.– III. rész
●
frissítsük Access Pointunk, Routerünk és egyéb WLAN képességgel rendelkezı eszközünk firmware -jét
●
változtassuk meg az Access Pointunk adminisztrációs felületéhez tartozó jelszót nehezen kitalálható, megfelelıen hosszú kulcsszóra
●
változtassuk meg hálózatunk SSID-ját nehezen kitalálható, megfelelıen hosszú kulcsszóra
●
kapcsoljuk ki az SSID Broadcast-ot, hogy ne láthassa illetéktelen az Access Point -unkat
●
állítsunk be MAC cím szőrést, megadva a listában eszközeink MAC címét
●
kapcsoljuk ki a DHCP szolgáltatást a Routeren és konfiguráljuk be vezeték nélküli eszközeinket, adjunk mindnek fix IP címet
●
kapcsoljuk be a WPA biztonsági szolgáltatást, válasszuk a TKIP titkosítást és adjunk meg nehezen kitalálható, megfelelıen hosszú titkos kulcsszót
Ne feledjük: önmagában egyetlen biztonsági technológia sem nyújt elegendı védelmet, azonban egyetlen egy alkalmazása is több a semminél!
— 23 / 23 —
