Hálózati technológiák és alkalmazások. Vida Rolland

Hálózati technológiák és alkalmazások

Vida Rolland 2012.04.12.

1

DCF vs. PCF n

Két másik megoldás: ¡

DCF – Distributed Coordination Function n n

¡

Nem használ központi vezérlést Minden megvalósításnak támogatnia kell

PCF – Point Coordination Function n n

A bázisállomás segítségével vezényel minden tevékenységet a cellában Támogatása opcionális


2

2012.04.12.

Mindemellett a legtöbb rádió fél-duplex, azaz nem képes egyidejűleg ugyanazon a frekvencián adni és zajlöketeket is venni, azaz nem képes a fellépő ütközéseket detektálni. Ezen problémák miatt a 802.11 az Ethernettől eltérően nem használja a CSMA/CD mechanizmust. Ehelyett két másik megoldás került kidolgozásra. A DCF (Distributed Coordination Function – elosztott koordinációs funkció) mechanizmus nem használ központi vezérlést, a PCF (Point Coordination Function – pont koordinációs funkció) megoldás viszont a bázisállomás segítségével vezényel minden tevékenységet a cellában. A DCF-et minden megvalósításnak támogatnia kell, a PCF támogatása viszont opcionális.

2

802.11 DCF

n

CSMA/CA-t használ ¡

Carrier Sense Multiple Access with Collision Avoidance n

CSMA ütközéselkerüléssel


3

2012.04.12.

A DCF mechanizmus CSMA/CA-t (Carrier Sense Multiple Access with Collision Avoidance – CSMA ütközéselkerüléssel) használ, azaz az ütközéseket nem érzékelni, hanem elkerülni, megelőzni akarja. Mindehhez kétféle működési módot támogat. Az első mód a fizikai csatornaérzékelésre épít. Ha egy állomás adni akar, belehallgat a csatornába, és ha az szabad, elkezd adni. Az adó nem figyeli a csatornát adás közben, hanem csak leadja a teljes keretet, ami lehet, hogy interferencia miatt a vevőnél megsemmisül. Ha viszont foglalt a csatorna, megvárja míg az szabad lesz és akkor kezd el adni.

3

MACAW n

Multiple Access with Collision Avoidance for Wireless ¡

n

Virtuális csatornaérzékelés

A szeretne küldeni B-nek ¡ ¡

C az A állomás vételkörzetében van D a B állomás vételkörzetében, de az A vételkörzetén kívül A rádiójának hatósugara

C Hálózati technológiák és alkalmazások

B rádiójának hatósugara

A

B 4

D 2008.04.15.

A CSMA/CA másik működési módja a MACAW (Multiple Access with Collision Avoidance for Wireless) mechanizmuson alapszik, és virtuális csatornaérzékelést használ. A MACAW működését egy példán érzékeltetjük. Legyen 4 állomásunk, az ábrán látható módon elhelyezve. A C és a B állomások az A állomás vételkörzetében vannak, a D állomás azon kívül. Ugyanakkor az A és a D állomások a B állomás vételkörzetében vannak, de a C állomás azon kívül. A megoldandó feladat: az A állomás csomagot szeretne küldeni a B állomásnak.

4

MACAW n

A egy RTS keretet küld B-nek, és engedélyt kér egy adatkeret küldésére

n

Ha B megadja az engedélyt, visszaküld egy CTS keretet

n

A elküldi a keretet és elindít egy ACK időzítőt

¡

¡

¡ ¡

Request To Send Clear To Send Ha B megkapja rendben az adatokat, válaszol egy ACK kerettel Ha az A időzítője lejár mielőtt megkapná az ACK-ot, újból kezdődik az egész Adat

RTS

C Hálózati technológiák és alkalmazások

A

B

CTS 5

ACK

D 2008.04.15.

Először az A állomás egy RTS (Request To Send) keretet küld a B állomásnak, és engedélyt kér egy adatkeret küldésére. Ha B úgy dönt, hogy megadja az engedélyt akkor visszaküld egy CTS (Clear To Send) keretet. A CTS vétele után az A állomás elküldi az adatkeretét és elindít egy ACK időzítőt. Ha a B állomás megkapja rendben az adatokat, válaszol egy ACK kerettel, ezzel véget vetve az üzenetváltásnak. Ha az A állomás időzítője lejár mielőtt megkapná az ACK keretet, akkor az egész eljárás újból kezdődik.

5

MACAW n

C hallja A-t, megkaphatja az RTS keretet ¡

Rájön, hogy nemsokára valaki adatokat fog küldeni Eláll adatküldési szándékától, amíg az üzenetváltás véget nem ér

¡

Foglaltra állít magának egy virtuális csatornát

¡

n

n

Hogy mikor lesz vége tudja az ACK időzítőből NAV – Network Allocation Vector

n

D nem hallja az RTS-t, de a CTS-t igen

n

A NAV belső emlékeztető hogy csendben kell lenni, nem küldik el

¡

Ő is beállítja magának a NAV-ot NAV

C A

RTS

B

Adat CTS

ACK NAV

D Hálózati technológiák és alkalmazások

Idő

6

2008.04.15.

Nézzük most az A és a B állomások közötti üzenetváltást a c és a D állomások szemszögéből. A C állomás az A állomás rádiósugarán belül van, így megkaphatja az RTS keretet. Ha ez történik rájön, hogy nemsokára valaki adatokat fog küldeni. Így aztán mindenki érdekében eláll adatküldési szándékától, amíg az üzenetváltás véget nem ér. Az erre vonatkozó információkat (például az ACK időzítő értékét) az RTS keretből ki tudja nyerni. A C állomás úgy szabályozza saját adatküldését, hogy foglaltra állít magának egy egyfajta virtuális csatornát, melyet NAV-nak (Network Allocation Vector – hálózatkiosztási vektor) hívunk. A C állomástól eltérően a D állomás nem hallja az RTS keretet, de a válaszként küldött CTS keretet igen. Így ő is beállítja magának a NAV-ot, az ACK időzítő lejártáig. Meg kell jegeyzeni, hogy ezeket a NAV jeleket az állomások nem adják le, azok csak belső emlékeztetőként szolgálnak, hogy bizonyos ideig csendben kell maradni.

6

Fragment burst n

Vezeték nélküli hálózatokban nagy zaj, nagy csomagvesztés

n

A kereteket fel lehet darabolni

¡

¡

Minél nagyobb egy keret, annál nagyobb a valószínűsége a hibának Ha RTS/CTS-el megszerzi a csatornát, több részt küldhet egymás után n

¡

n ¡

Fragment burst - részlöket

Nő az átbocsátóképesség Ha hiba van, nem kell a teljes keretet újraküldeni

A NAV eljárás csak az első részre kerüli el az ütközést n

Más megoldásokkal egy teljes részlöket átküldhető ütközés nélkül

A

Részlöket

NAV

C RTS

B

1. rész CTS

ACK

3. rész ACK

ACK

NAV

D Hálózati technológiák és alkalmazások

2. rész

Idő

7

2008.04.15.

A vezetékes hálózatokkal ellentétben a vezeték nélküli hálózatok zajosak és viszonylag nagy a csomagvesztési arányuk. Ez nagyrészt az ISM sávban használt más eszközökkel való interferenciáknak köszönhető. Ebből kifolyólag, minél nagyobb egy keret, annál nagyobb a valószínűsége a hibának, ami újraküldést eredményez majd, pazarolva a sávszélességet. Éppen ezen zajos csatornák kezelésének érdekében a 802.11 szabvány lehetővé teszi, hogy a kereteket kisebb részekre darabolják, és minden résznek meglegyen a saját ellenőrző összege. A részeket egyenként számozzák és nyugtázzák, az adó nem küldi el a következő részt ameddig az előbbit nem nyugtázták. Célszerű azonban a csatornakiosztáshoz szükséges csomagok számát korlátozni. Ezért ha valaki RTS/CTS-el megszerezte a csatornát, több részt küldhet egymás után újabb RTS/CTS üzenetváltás nélkül. A részek ezen sorozatát részlöketnek (fragment burst) hívjuk. A részekre szabdalás által nő a csatorna átbocsátóképessége, hiszen ha egy hiba történik, nem kell a teljes keretet újraküldeni. A szabvány nem rögzíti a részek méretét, ezt minden cellában a bázisállomás állítja be. A NAV eljárás csak az első részre kerüli el az ütközést, más megoldásokkal azonban egy teljes részlöket is átküldhető ütközés nélkül.

7

802.11 PCF n

A bázisállomás vezérli a kommunikációt ¡

n

Nincsenek ütközések

Körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük ¡

A szabvány csak a körbekérdezés menetét szabályozza n n

n

A bázisállomás periódikusan elküld egy beacon frame-et ¡ ¡

10-100 beacon/s Rendszerparamétereket tartalmaz n

¡

n

Nem szabja meg annak gyakoriságát, sorrendjét Nem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie

Ugrási sorozatok és tartózkodási idő (FHSS-nél), óraszinkronizáció, stb.

Ezzel hívja az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez

A bázisállomás utasíthatja az állomásokat, menjenek készenléti állapotba ¡

Addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket n

Kíméli az állomások akkumulátorát

A bázisállomás puffereli a készenléti állapotban lévőknek szánt kereteket

¡ Hálózati technológiák és alkalmazások

8

2008.04.15.

Eddig a 802.11 DCF üzemmódjáról beszéltünk, ahol nincs központi vezérlés, és az állomások versenyeznek a csatornáért, úgy mint az Etherneten. A másik lehetséges üzemmód a PCF (Point Coordination Function), melyben a bázisállomás vezérli a kommunikációt, ezzel elkerülvén az ütközések lehetőségét. A bázisállomás körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük. A szabvány csak a körbekérdezés menetét szabályozza, de nem szabja meg annak gyakoriságát vagy sorrendjét, és azt sem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie. A bázisállomás periódikusan (másodpercenként 10100 alkalommal) elküld egy speciális keretet, melyet beacon frame-nek hívunk. Ez a keret olyan rendszerparamétereket tartalmaz, mint például az ugrási sorozatok és tartózkodási idők (FHSS-nél), az óraszinkronizációhoz szükséges adatok, stb. Ezzel a kerettel hívja meg a bázisállomás az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez. Ha valaki feliratkozik a körbekérdezésre egy adott sebességgel, akkor gyakorlatilag garantáltan megkapja a sávszélesség egy adott hányadát, azaz szolgáltatásminőségi garanciákat is kaphat. Vezeték nélküli eszközöknél az akkumulátorok élettartama egy nagyon fontos szempont, ezért a 802.11 szabvány külön figyelmet fordított az energiahatékony mechanizmusok támogatására. A bázisállomás például utasíthatja az állomásokat, hogy menjenek készenléti állapotba, addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket, ezzel is kímélve az állomások akkumulátorát. Ez ugyanakkor azzal jár, hogy a bázisállomásnak pufferelnie kell a készenléti állapotban lévő állomásnak szánt kereteket. Ezeket majd egy későbbi időpontban fogja kézbesíteni.

8

PCF vs. DCF n

A PCF és a DCF egy cellán belül egyszerre is működhet ¡

Egyszerre elosztott és központosított vezérlés? n n

n

Gondosan definiálni kell a keretek közti időintervallumot Egy keret elküldése után kell egy holtidő, mielőtt bárki elkezdene küldeni valamit

Négy ilyen intervallumot rögzítettek ¡

SIFS – Short Inter-Frame Spacing n n n n

A legrövidebb intervallum, a rövid párbeszédet folytatókat részesíti előnyben A SIFS után a vevő küldhet egy CTS-t egy RTS-re Egy vevő küldhet egy ACK-ot egy részre vagy a teljes keretre A részlöket adója elküldheti az újabb részt, új RTS nélkül

SIFS

Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet

ACK Hálózati technológiák és alkalmazások

9

2012.04.12.

Idő

A PCF és a DCF egy cellán belül akár egyszerre is működhet. Elsőre ez furcsának tűnhet, hiszen az egyik az elosztott, a másik a központosított vezérlésre épül. Mégis lehet a kettőt párhuzamosan használni, mégpedig úgy, hogy gondosan definiálniuk kell a keretek közti időintervallumot. Az egyes keretek elküldése után egy bizonyos holtidőt iktatunk be, csak ennek lejártával kezdhet bárki is újabb kereteket küldeni. A 802.11 szabvány négy ilyen intervallumot rögzített. A legrövidebb intervallum a SIFS (Short Inter-Frame Spacing – rövid keretek közötti időköz). Ez az intervallum a rövid párbeszédet folytató állomásokat részesíti előnyben. Egy vevő aki egy RTS keretet kapott a SIFS lejárta után válaszolhat egy CTS kerettel. Ha viszont egy adatkeretet kapott, akkor a SIFS lejárta után egy az adott részre vagy a teljes részlöketre vonatkozó ACK keretet küldhet. Ugyanakkor a részlöket adója ha kap egy ilyen ACK keretet, akkor a keretet követő SIFS lejárta után elküldheti az újabb részt anélkül, hogy új RTS keretre szükség lenne.

9

PCF vs. DCF n

PIFS – PCF Inter-Frame Spacing ¡ ¡ ¡

PCF keretek közti időköz A SIFS után mindig egyvalaki adhat csak Ha ezt nem teszi meg a PIFS végéig, a bázisállomás elküldhet egy új beacon-t vagy egy lekérdező keretet n n

Az adatkeretet vagy részlöketet küldő nyugodtan befejezheti a keretet A bázisállomásnak is van alkalma magához ragadnia a csatornát ¡

Nem kell a mohó felhasználókkal versengenie érte

SIFS

Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet Itt lehet elküldeni a PCF kereteket PIFS


Idő

10

2012.04.12.

Egy SIFS intervallum után mindig egyvalaki adhat csak (a rövid párbeszédet folytató két állomás egyike). Ha ezt ez a bizonyos állomás nem teszi meg a PIFS (PCF Inter-Frame Spacing – PCF keretek közti időköz) intervallum végéig, az azt jelentheti, hogy befejezte az adott részlöket küldését. Ebben az esetben a bázisállomás megkapja a lehetőséget hogy elküldjön egy új beacon-t vagy egy lekérdező keretet. Az adatkeretet vagy részlöketet küldő állomásnak van tehát lehetősége nyugodtan a kerete végére érni, de ugyanakkor a bázisállomásnak is van alkalma magához ragadni a csatornát anélkül, hogy a mohó felhasználókkal versengenie kellene érte.

10

PCF vs. DCF n

DIFS – DCF Inter-Frame Spacing ¡ ¡

DCF keretek közti időköz Ha a bázisállomásnak nincs mondanivalója, a DIFS elteltével bárki megpróbálhatja megszerezni a csatornát n n

n

Szokásos versengési szabályok Kettes exponenciális visszalépés ütközés esetén

EIFS – Extended Inter-Frame Spacing ¡

Olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni n

Legalacsonyabb prioritás

SIFS

Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet Itt lehet elküldeni a PCF kereteket PIFS

Itt lehet elküldeni a DCF kereteket

DIFS EIFS

Itt kezdődhet a hibás keretek javítása


Id ő

11

2008.04.15.

Ha a bázisállomásnak nincs mondanivalója, a DIFS (DCF Inter-Frame Spacing DCF keretek közti időköz) intervallum elteltével bárki megpróbálhatja megszerezni a csatornát egy új csomag elküldéséhez. Ilyenkor a szokásos versengési szabályok lépnek életbe és ütközés esetén a CSMA/CD-nél használt kettes exponenciális visszalépést alkalmazzák. Az utolsó időköz az EIFS (Extended Inter-Frame Spacing – kiterjesztett keretek közötti idő). Ezt olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni. Ennek az eseménynek a legalacsonyabb a prioritása, hiszen elképzelhető hogy egy új vevő pont most csatlakozott, és fogalma sincs mi történik körülötte. Ez esetben pedig célszerű ha egy ideig várakozik, hogy ne zavarjon még egy más állomások között folyó párbeszédet.

11

Hotspot n

Egy adott földrajzi terület, ahol egy hozzáférési pont segítségével publikus szélessávú internet hozzáférést biztosítanak mobil felhasználók számára egy WLAN-on keresztül ¡

Általában forgalmas helyeken n

¡

reptér, pályaudvar, bevásárlóközpont, könyvtár, szállodák, stb.

Viszonylag kis területek

Hotspot keresők


12

2008.04.15.

Hotspotnak hívunk egy olyan adott földrajzi területet, ahol egy hozzáférési pont (Access Point) segítségével publikus szélessávú internet hozzáférést biztosítanak mobil felhasználók számára, egy vezeték nélküli helyi hálózaton keresztül. Ezen hotspotok használata lehet ingyenes vagy fizetős, ha pedig fizetős akkor azon belül lehet havidíjas előfizetés alapú, vagy használhat forgalomtól függő térítést. A hotspotokat általában forgalmas helyeken szokták kiépíteni: reptereken, pályaudvarokon, bevásárlóközpontokban, könyvtárakban, szállodákban, stb. Ezek általános jellemzője hogy viszonylag kis területet fednek le. Mindemellett ma a nagyobb amerikai városokban, de már Budapesten is, néhol annyira sűrűek a hotspotok, hogy a lefedett területek összeérnek. Nagyon sok cég előállt már a piacon úgynevezett „hotspot keresőkkel”. Ezek olyan kisméretű, intelligens eszközök melyek képesek venni a különböző hozzáférési pontok jeleit; a felhasználó csak sétál a városban, vagy ül az autójában, és amint egy hotspot területére ér, a kereső jelzi azt neki.

12

Hotspot-ok Magyarországon n

Hotspotter.hu ¡

Magyarországi hotspot adatbázis n

¡ ¡ ¡

Budapest (567), Siófok (32), Sopron (32), Eger (28), stb. étterem (280), hotel (204), kávézó (113), üzlet/bevásárlóközpont (91) közterület (30), iskola/egyetem (20), stb. Nagyobb szolgáltatók: n n n

n

> 1100 hotspot, >120 városban

Fizetős: T-Com, Wiera, T-Mobile Ingyenes: HuWiCo FON hotspotok

HuWiCo – Hungarian Wireless Community ¡ ¡ ¡

Non-profit közösség Vezeték nélküli technológiák terjesztése, népszerűsítése Egy ingyenes Wi-Fi hálózat kiépítése (41 hotspot)


13

2012.04.12.

Magyarországon a hotspotok egyre inkább kezdenek elterjedni és népszerűvé válni. A Hotspotter.hu egy olyan on-line adatbázist tart karban, melyben megtalálható az ország területén működő összes hotspot. Ma (2006 április 3-án) Magyarországon 776 hotspot működik az ország 118 városában (vagy legalábbis ennyiről tud a Hotspotter). Ezeknek közel fele Budapesten működik (363), de több más nagyvárosban is jelentős számú hotspot található:Sopron (22), Eger (19), Pécs (19), stb. A hotspotok nagy része éttermeket (239) és szállodákat (178) fed le , de számos kávézóban (92), üzletben illetve bevásárlóközpont (86), közterületen (25), és iskolában/egyetemen (19) is elérhető hasonló szolgáltatás. A magyar piacon jelenleg a legnagyobb hotspot üzemeltető szolgáltatók (WISP – Wireless Internet Service Provider) a T-Com, Wiera, T-Mobile és a HuWiCo. Ezek közül az első három fizetős hozzáférést biztosít, az utolsó viszont ingyeneset. Más szolgáltatók viszont megszüntették hotspotjaikat (például a Vodafone a Sport Arénában), vagy nem fejlesztették tovább azokat (például a Pannon). Úgy tűnik, hogy Magyarországon a hotspotok üzemeltetését még nem tartják kifizetődő megoldásnak, és inkább a 3G-ben látják a gazdasági lehetőségeket. A Magyarországi WLAN rendszerekről azonban nem teljes a kép, ha nem szólunk pár szót kiemelten a HuWiCo-ról (Hungarian Wireless Community). Ez egy non-profit közösség, melynek célja a vezeték nélküli technológiák terjesztése, népszerűsítése, és egy minél nagyobb kiterjedésű ingyenes Wi-Fi hálózat kiépítése. Jelenleg több mint 30 ingyenes hotspottot üzemeltetnek az országban.

13

Hotspot-ok Budapesten


14

2012.04.12.

Ezen a térképen a Budapest belvárosában üzemelő hotspotokat tüntették fel. A sárga pöttyök az ingyenes, míg a a kék pöttyök a térítéses hotspotokat jelzik. A Hotspotter.hu honlapon az összes feltüntetett hotspotról részletes információt is megtudhat az érdeklődő.

14

WLAN rendszerek külföldön n

MobileStar ¡ ¡

1996-ban alapították Az egyik első hotspot üzemeltető n

¡ ¡

n

Az egész USA-ban kiterjedő hálózat

Wi-Fi hotspot-ok a Starbucks Coffee láncban 2001-ben megvásárolja a VoiceStream Wireless

Cometa Networks ¡ ¡

Az AT&T, az IBM és az Intel közös vállalkozása McDonalds éttermekben – 1 órás ingyenes hozzáférés minden menühöz n

2004-ben a McDonalds a Wayport-ot bízza meg egy WiFi hálózat kiépítésével ¡

A Cometa bezár


15

2012.04.12.

Wayport hálózat Több mint 12.000 hotspot, 35 országban


16

2008.04.15.


Boingo ¡ ¡

A világ (egyik) legnagyobb hotspot szolgáltatója Több mint 100.000 hotspot n n

¡

n

$21.95 korlátlan havi előfizetés

iPass ¡ ¡

n

Több mint 10.000 Angliában és Oroszországban Magyarországon 143

Több mint 90.000 hotspot, a világ 70 országában Több mint 40.000 Európában, 75 Budapesten

Rengeteg más szolgáltató nagy hotspot hálózattal ¡

Korea Telecom, Metronet, Netcheckin, NTT DoCoMo, SingTel, Sonera, Starhub, stb.


17

2008.04.15.


Önkormányzati hálózatok ¡

Sok amerikai városban terveznek önkormányzati forrásokból a város teljes területét lefedő WiFi hálózatot létrehozni n n

¡

Sokan ellenzik az ötletet n n n n n

¡

Los Angeles, Boston, Philadelphia, stb. Budapesten is? Sokba kerül, az adófizetők pénzéből Az önkormányzati források szűkösek, sok mást lehetne csinálni a pénzzel A technológia hamar elavulhat, anélkül hogy a befektetés megtérülne Rossz hatással lenne a helyi, kis szolgáltatókra Sokak szerint gazdasági fellendülést hozhat egy városnak a WiFi lefedettség

¡ A közvetlen kapcsolat nem bizonyított B. Cox, et. al, “Not In The Public Interest - The Myths of Municipal Wi-Fi Wireless Networks, Why Municipal Schemes To Provide Wi-Fi BroadBand Services Are Ill-Advised, ” New Millennium Research Council, Wash. D.C. Feb. 2005. http://www.heartland.org/custom/semod_policybot/pdf/17737.pdf


18

2010.04.20.

A vezeték nélküli internet elérést biztosító minél szélesebb hálózat kiépítése egy olyan szolgáltatás, melyet sok országban fontos stratégiai célkitűzésként kezelnek. A Fessel Gfk osztrák cég 2005 decemberében nyilvánosságra hozott adatai szerint Macedónia például Európa egyik legelmaradottabb országa a rendszeres internetfelhasználók számát tekintve. Mindemellett ma az ország már azzal büszkélkedik, hogy sikerült Európa egyik legnagyobb WiFi hálózatot kiépíteniük, melynek segítségével a lakosság 95%-a hozzáférhet az Internethez. Mindezt számos WiFi hotspot kiépítésével és mesh hálózati technológiákat használva érték el. A sikerhez nagymértékben hozzájárult az is, hogy 2004 december 31-ével felszámolták az inkumbens szolgáltató, a MakTel monopóliumát, versenyhelyzetet teremtve ezzel az internetes hozzáférés piacán. A Fessel Gfk tanulmányáról beszélve meg kell említnünk azt is, hogy Magyarország is elég hátul helyezkedik el a rendszeres internetfelhasználók számát nézve, 29. helyen a vizsgált 37 ország között, és azon belül utolsó helyen az uniós tagállamok között. A tanulmány szerint Magyarországon a lakosság mindössze 33,2%-a használja legalább havi rendszerességgel az Internetet. A minél szélesebb körű vezetéknélküli internetelérési lehetőség mindenképp pozitív hatással lehet egy ország vagy egy város gazdasági fejlődésére. Minél több on-line információ és szolgáltatás válik minél egyszerűbben elérhetővé egy minél nagyobb felhasználói kör részére annál jelentősebb lehet az ezt biztosító technológia sikere, hatékonysága. Éppen ezért sok amerikai város vezetősége döntött úgy, vagy gondolkodik azon, hogy önkormányzati forrásokból a város teljes területét lefedő WiFi hálózatot hozzanak létre. Ilyen kezdeményezéseket megfogalmaztak Los Angelesben, Bostonban, Philadelphiában, stb. Az elgondolásnak azonban több ellenzője is van. A hivatkozott tanulmány szerzői szerint például egy önkormányzati hálózat kiépítése jelentősen megterhelné az adófizetőket, károsan hatna a hagyományos szolgáltatókkal folytatott versenyre, nehézzé tenné a technológia lecserélését ha az elavulttá válna és nincs garancia arra, hogy a befektetett tőke elég gyorsan megtérülne. 18

P2P alapú WiFi hálózat n

Központosított, egységes rendszer helyett bízzuk a felhasználókra ¡

Pl. a FON nevű spanyol cég kezdeményezése n

¡

n

A Google és a Skype támogatásával (21.7 millió dollár, 2006 február)

Miért fizess egy hotspot-os hozzáférésért, ha már otthon van egy előfizetésed ?

Speciális WiFi router (La Fonera) ¡ ¡

Kezdetben 5 $ vagy 5 €, ma már 29.95 € Cserébe aktiválni kell a FON szolgáltatást n

Meg kell osztani a hozzáférést


19

2010.04.20.

A másik érdekes alternatív a peer-to-peer (P2P) alapú WiFi hálózatok létrehozása. Ennek a lényege az, hogy egy önkormányzat vagy egy szolgáltató központosított, egységes és általában drága rendszerei helyett bízzuk a felhasználókra egy széles körű WiFi hálózat kiépítését. Ilyen ötlettel ált elő például a FON nevű spanyol cég, a Google és a Skype több millió dolláros támogatásával, de Magyarországon is volt egy hasonló kezdeményezés. A megoldás viszonylag egyszerűnek tűnik. Minden felhasználó (peer) vesz egy wireless routert, melynek segítségével kibővíti a már meglévő saját vezetékes internet hozzáférését, létrehozva egy mini hotspotot. Ha a hozzáférést ehhez a saját hotspothoz megosztja másokkal, akkor ő is ingyenesen hozzáfér a többi peer hotspotjához, mindezt ingyen. Létezik persze annak a lehetősége is, hogy ha akar, pénzt kérjen a megosztásért. Ez esetben nyílván ő sem használhatja majd ingyen mások hozzáférését. Másrészről az alkalmi felhasználók is fizetnének a csatlakozásért. Az ötletnek az Internetszolgáltatók valószínűleg nem fognak örülni, hiszen a jelenlegi szabályozások és szerződések általában nem engedélyezik a hozzáférés megosztását. Lehet azonban, hogy mégis megérné a szolgáltatóknak ezt a megoldást támogatni, hiszen egyrészről részesülhetnének a bevétel egy részéből, másrészről pedig minden felhasználó (peer) amúgy is fizetne a vezetékes hozzáférésért amit megoszt.

19

FON n

Három fajta FON felhasználó ¡

Linus n

A saját vezetékes internet hozzáférését kibővíti egy mini hotspottal ¡

¡

Alien n

Nem tudja/akarja megosztani a hozzáférését, de használni akarja a FON hálózatot ¡

¡

Ha azt megosztja, ő is ingyenesen hozzáfér a többi peer hotspotjához

Alkalmi felhasználó, fizetni fog

Bill n

Olyan felhasználó, akit nem érdekel az ingyenes roamingolás ¡ ¡

Megosztja a hozzáférését, de roamingolás helyett pénzt kap cserébe Az ő hozzáférését használó Alien-ek által fizetett összeg felét


20

2010.04.20.


21

2010.04.20.

P2P alapú WiFi hálózat n

Az Internet szolgáltatók nem fognak örülni ¡

Általában nem engedélyezik a megosztást n n

¡

Lehet hogy mégis megérné nekik n n n

¡

Ha megosztom a szomszédommal, elesnek egy potenciális előfizetőtől Még kevésbé szeretik ha valaki „viszonteladó” lesz (Bill) Kaphatnának egy részt a bevételből Minden peer amúgy is fizetne a vezetékes hozzáférésért amit megoszt Annál hatékonyabb, minél több előfizető – ma több mint 5 millió

Biztonsági kérdések n

Ki a felelős az esetleges illegális letöltésekért melyek a WiFi routeremen keresztül mennek? ¡

Két külön jel, az egyik saját, a másik publikus


22

2010.04.20.

A másik érdekes alternatív a peer-to-peer (P2P) alapú WiFi hálózatok létrehozása. Ennek a lényege az, hogy egy önkormányzat vagy egy szolgáltató központosított, egységes és általában drága rendszerei helyett bízzuk a felhasználókra egy széles körű WiFi hálózat kiépítését. Ilyen ötlettel ált elő például a FON nevű spanyol cég, a Google és a Skype több millió dolláros támogatásával, de Magyarországon is volt egy hasonló kezdeményezés. A megoldás viszonylag egyszerűnek tűnik. Minden felhasználó (peer) vesz egy wireless routert, melynek segítségével kibővíti a már meglévő saját vezetékes internet hozzáférését, létrehozva egy mini hotspotot. Ha a hozzáférést ehhez a saját hotspothoz megosztja másokkal, akkor ő is ingyenesen hozzáfér a többi peer hotspotjához, mindezt ingyen. Létezik persze annak a lehetősége is, hogy ha akar, pénzt kérjen a megosztásért. Ez esetben nyílván ő sem használhatja majd ingyen mások hozzáférését. Másrészről az alkalmi felhasználók is fizetnének a csatlakozásért. Az ötletnek az Internetszolgáltatók valószínűleg nem fognak örülni, hiszen a jelenlegi szabályozások és szerződések általában nem engedélyezik a hozzáférés megosztását. Lehet azonban, hogy mégis megérné a szolgáltatóknak ezt a megoldást támogatni, hiszen egyrészről részesülhetnének a bevétel egy részéből, másrészről pedig minden felhasználó (peer) amúgy is fizetne a vezetékes hozzáférésért amit megoszt.

22

A kaotikus hálózatépítés hátrányai n

Több „kaotikus” módon létrehozott hotspot összekötése ¡

Nem egy tervezett hálózat n

Néhol nagyon sűrű, máshol gyér ¡ ¡

¡

Nem egy menedzselt hálózat n

A hotspotok menedzselése, karbantartása nincs összehangolva

n

Legtöbben az alapbeállításokat használják pl. a csatornaválasztásnál

¡

¡

¡

Interferenciák a sűrűn lehelyezett AP-k között Az AP-kat nem konfigurálják ezek minimalizálására

SSID, biztonsági intézkedések, AP-k elhelyezése, teljesítményszabályozása Legtöbb eszköz a 6-os csatornán

Egy önmenedzselő megoldás nagyban javítaná a hozzáférés minőségét


23

2010.04.20.

Az úgynevezett „kaotikus” hálózatépítésnek is vannak viszont hátrányai. Egy kaotikus hálózaton először is egy több hotspot ad-hoc módú összekötésével létrejött hálózatot értünk, egy olyan hálózatot mely nem tervezett és nem menedzselt. Megfigyelhető, hogy ezekre a hálózatokra jellemző a heterogeneitás, néhol nagyon sok AP, nagyon sok hotspot van, máshol viszont gyér a hálózat. Az AP-k kvázi véletlenszerű, nem összehangolt lehelyezésének egyik legnagyobb hátránya nyílván az, hogy interferenciák léphetnek fel a sűrűn lehelyezett AP-k között. Ha figyelembe vesszük, hogy csak 2004 harmadik félévében 4.5 millió AP-t adtak el a világban, és hogy az eladások egyre csak növekednek, akkor világossá válik, hogy erre a problémára oda kell figyelni. Azt is fontos megjegyezni, hogy a felhasználók ritkán vagy egyáltalán nem szokták bekonfigurálni a hozzáférési pontjaikat kisebb teljesítményekre, még akkor sem ha a környezetükben nagyon sok, mások által használt AP van. A kaotikus hálózatok egyik másik fontos ismérve, hogy nem menedzseltek. A hotspotok menedzselése, karbantartása nincs összehangolva, a felhasználók nem tudnak vagy nem akarnak foglalkozni az olyan alapvető kérdésekkel sem mint az SSID-k (Service Set Identifier – cella azonosító) beállítása, a legalapvetőbb biztonsági intézkedések betartása, az AP-k átgondolt elhelyezése, vagy teljesítményük szabályozása. A legtöbb felhasználó a gyári alapbeállításokat használják, például a csatornaválasztásnál a legtöbb eszköz a 6-os csatornán próbál majd kommunikálni. Több kutatási eredmény is bizonyítja azonban, hogy egy jól átgondolt és kidolgozott önmenedzselő megoldás nagyban javítaná a hozzáférés minőségét.

23

A kaotikus hálózatépítés hátrányai n

Tanulmány a kaotikus hálózatépítésről: n

n

Aditya Akella, Glenn Judd, Srinivsan Seshan, and Peter Steenkiste. „Self-Management in Chaotic Wireless Deployments”, Proc. of ACM Mobicom 2005. Aug. - Sept. 2005, Cologne, Germany

Több amerikai városra vonatkozó AP adatbázis alapján ¡ ¡

GPS koordináták minden AP-ra 50 méteres interferencia határ n

Ha két AP ennél közelebb, akkor „szomszédok”


24

2010.04.20.

A Self-Management in Chaotic Wireless Deployments” című tavaly megjelent tanulmány például pont ezzel a kérdéssel foglalkozik. Először is különböző mérési eredményeket közölnek, több amerikai városra vonatkozó AP adatbázis alapján, melyek tartalmazzák a hozzáférési pontok azonosítóit és a GPS koordinátáit. A szerzők egy 50 méteres interferencia határt vesznek alapul: ha két AP ennél közelebb, akkor „szomszédok”-nak tekintik őket. A táblázat azt mutatja, hogy a maximális szomszédossági index akár 80 felett is lehet, azaz Bostonban olyan AP-k is vannak lehelyezve, melyeknek több mint 80 másik AP van az 50 méteres környezetükben. Az interferenciák elkerülése ilyen esetben természetesen lehetetlen. A grafikon pedig azt mutatja, hogy habár az AP-k nagy rész kevés szomszéddal rendelkezik, nagyon nagy azon hozzáférési pontok száma ahol jelentős számú más AP van a közelben. Ha figyelembe vesszük azt, hogy az ISM sávban tulajdonképpen csak 3 DSSS csatorna fér el interferencia nélkül, akkor megállapíthatjuk hogy az AP-k jelentős része nagy interferenciára számíthat, hiszen jóval több mint 3 szomszédja van.

24

Egymást zavaró technológiák n n

Nem csak a közeli 802.11b eszközök zavarják egymást A Bluetooth és a 802.11b ugyanazt a 2.4 GHz-es ISM sávot használja ¡

Az FHSS-t használó rendszerek (pl. Bluetooth) ki tudják szűrni a zavart frekvenciasávokat n

¡

Úgy állítják be a frekvenciaugratást hogy ne legyen gond

A DSSS-t használó megoldások (pl. 802.11b) érzékenyebbek n n

Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz „beugrik” a frekvenciatartományba Az RTS/CTS sem zárja ki a zavarást ¡

n

Egy lefoglalt adósávba is „beugorhat” egy Bluetooth eszköz

Mikrohullámú sütők, orvosi műszerek, stb. is az ISM sávban


25

2010.04.20.

De nem csak az egymáshoz közel álló 802.11b eszközök zavarják egymást, hanem a többi 2.4 GHz-es ISM sávot használó technológia is, mint például a Bluetooth. Érdekes különbség, hogy a Bluetooth-hoz hasonló FHSS-t használó rendszerek ki tudják szűrni a zavart frekvenciasávokat, hiszen úgy állítják be a frekvenciaugratást hogy ne legyen gond. A DSSS-t használó megoldások viszont (pl. 802.11b) érzékenyebbek. Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz „beugrik” a frekvenciatartományba. Ezt a zavarást az RTS/CTS mechanizmus sem zárja, hiszen egy lefoglalt adósávba is „beugorhat” egy Bluetooth eszköz. Különböző interferencia mérési eredmények alapján megállapítható, hogy ha egy Bluetooth eszköz 10 cm-nél közelebb van egy 802.11b eszközhöz, annak a 802.11b eszköznek teljesen megszakad a kiépített kapcsolata. Ha 1 méteren belül van a Bluetooth eszköz, akkor a zavarás gyengébb, de még ekkor is 50%-os csomagvesztést eredményez. Mindez fordítva is igaz, habár a Bluetooth jobban reagál a zavarásra, és képes jóval kisebb csomagvesztéssel működni. A Bluetooth eszközök mellett pedig meg kell említenünk a mikrohullámú sütőket is, és a különböző orvosi műszereket, melyek szintén az ISM sávban működnek, és jelentős interferenciát generálhatnak.

25

Biológiai kockázatok n

A WLAN új technológia ¡ ¡

n

A 2.4 GHz-es tartomány biológiailag veszélyes ¡ ¡

n

Legfejlettebb helyeken is csak ’98 után terjedt el A távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett nem tesztelték

Nagy teljesítményen koagulálja az emberben is lévő fehérjéket Így működik a mikrohullámú sütő, de nagyságrendekkel nagyobb teljesítménnyel (750-800 W)

A teljesítményt szabályozzák ¡ ¡

Az USA-ban 1000 mW max sugárzási teljesítmény Európában 100 mW


26

2010.04.20.

Végül essék szó a vezetéknélküli megoldások biológiai kockázatairól is. A kérdés nem teljesen tisztázott, többek között azért, mert a WLAN egy viszonylag új technológia, a legfejlettebb helyeken is csak ’98 után terjedt el, így mélyremenő és hosszú távú hatásvizsgálatokat még nem tudtak végezni a kutatók. Másrészről a távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett, mint amilyen a WLAN eszközökre jellemző, még nem tesztelték. Igaz persze, hogy a 2.4 GHz-es tartomány biológiailag veszélyes, hiszen a nagy teljesítményen kibocsátott hullámok koagulálják az emberben is lévő fehérjéket. Ilyen alapon működik maga a mikrohullámú sütő is, de nagyságrendekkel nagyobb teljesítménnyel (750-800 W). Ezzel szemben a WLAN rendszerek teljesítményét erősen szabályozzák: az USA-ban 1000 mW a maximális sugárzási teljesítmény, Európában 100 mW, Japánban még ennél is kisebb.

26

Vezetéknélküli és vezetékes biztonság n

A vezetéknélküli hálózatok lehetőséget adnak ¡ ¡

n

Éppen ezért kiemelten fontos: ¡ ¡

n

Észrevétlen lehallgatásokra Csomagok észrevétlen beszúrására Hozzáférés-védelem (hitelesítés) Adatkapcsolat titkosítása

A vezetékes hálózaton fizikai hozzáférés is kell a támadáshoz ¡

A biztonsági célok hasonlóak, de a fizikai hozzáférés hiánya miatt kevesebbet törődünk vele


27

2010.04.20.

A vezetéknélküli biztonság leginkább abban tér el a vezetékes biztonságtól, hogy magához a rádiós közeghez a vezetékes közeggel ellentétben észrevétlenül és viszonylag egyszerű módon hozzá lehet férni. A hozzáféréssel lehetőség nyílik csomagok lehallgatására és akár meghamisított csomagok beszúrására is. Mivel így a fizikai réteg nem biztosít hozzáférés védelmet, sem titkosítást ezért ezeket a funkciókat a biztonság érdekében a felsőbb rétegekben kell megoldani. A vezetékes hálózatok esetén a kábelezés már megold egy alapvető hozzáférés védelmet, azonban önmagában ez sem tekinthető biztonságosak. Megfigyelhető, hogy a pl. a 802.1X hozzáférés védelemi megoldás (lásd később részletesen) is megjelenik vezetékes környezetben, azonban gyakorlati alkalmazása inkább csak a vezetéknélküli hálózatok esetében van.

27

A vezetéknélküli hálózatok ellenségei n

Wardriving – Behatolás idegen hálózatokba ¡ ¡ ¡

Autóból WLAN vadászat Rácsatlakozás a szomszédra Ingyen Internet az utcán

n

Evil Twin – Hamis AP felállítása ¡ ¡ ¡

n

Szolgálatmegtagadás ¡

¡

n

Frekvenciatartomány zavarása (jamming) DoS támadás


Felhasználók adatainak gyűjtése Visszaélés más személyiségével A támadó visszatereli a forgalmat az eredeti hálózatba

n

A felhasználó nem érzékeli

Lehallgatás

28

2010.04.20.

A vezetéknélküli hálózatokat több támadás is érheti. Ezen támadások közül a „legnépszerűbbek” külön nevet is kaptak. „Wardriving” A wardriving során a támadó célja, hogy behatoljon egy vezetéknélküli hálózatba és ott kihasználva a hálózat esetleges Internet csatlakozását, ő maga ingyen Internethez juthasson. A támadásokat legtöbbször leparkoló gépkocsiból ülve indítják, innen ered az elnevezés. A gépkocsi belső terében található egy WLAN képes laptop és egy jelerősítésre szolgáló antenna. „Evil twin” Az evil twin a gonosz iker. A támadó célja, hogy megtévessze a felhasználókat és ők így az eredeti hozzáférési pont helyett a támadóhoz csatlakozzanak. A támadó ezért felveszi a megtámadott hozzáférési pont azonosítóját. A támadás során a támadó visszatereli az eredeti hálózatba a forgalmat, annak érdekében, hogy a felhasználó semmit se vegyen észre, azonban a forgalom-továbbítás során ellopja a felhasználó értékes adatait, amelyek segítségével a későbbiekben megszemélyesítheti a felhasználót. A támadások közé tarozik még a szolgálatmegtagadás, amikor a hozzáférési pontot megbénítják. A megbénítás történhet a fizikai rétegen keresztül zavarással (jamming), de akár magasabb rétegeket is kihasználhat a támadó. A lehallgatás során a támadó belehallgat a hálózatba és próbál mások kommunikációjából értékes adatokat szerezni. 28

Fizikai korlátozás n

A támadónak hozzáférés szükséges a hálózathoz ¡

¡

n

Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni Gyakorlatban kerítés vagy vastag betonfal

Nem biztonságos! ¡ ¡

A támadó bejuthat a hálózat területére Nagyobb antennát alkalmazhat


29

2010.04.20.

A hozzáférés-védelem egyik megoldása, amikor fizikailag korlátozzák a vezetéknélküli hálózatok kiterjedését. A korlátozás során a támadó távol kerül a hálózattól, így nem képes a forgalomba belehallgatni vagy beleavatkozni. Kültéri használat esetén a hálózat határa körülbelül egy 100 m sugarú kör, beltérben és tereptárgyak hatására ez a távolság csökken. A megoldás nem tekinthető önmagában teljesen biztonságosnak, hiszen a támadó, amennyiben komoly érdeke fűződik bejuthat a hálózat területére. A támadó bizonyos esetekben úgy is célt érhet, hogy antennát használ a rádiós jel erősítésére. Az átviteli világrekord erősítetlen WiFi esetben 125 mérföld!

29

MAC szűrés n

Minden hálózati csatolónak egyedi címe van

n

Hozzáférés szűrése MAC címek alapján

¡

¡

MAC cím (6 bájt) A hozzáférési pontnak listája van az engedélyezett csatlakozókról n

¡ ¡

n

Csak kisebb hálózatok esetén használható ¡

Minden egyes MAC címet manuálisan kell beállítani az AP-ban n

¡

n

Esetleg tiltólista is lehet a kitiltott csatlakozókról

Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja) Nagyon sok helyen ezt használják

A listát folyamatosan frissíteni kell

Nagy adminisztrációs többletmunka

Nem biztonságos! ¡

Az eszközök megszerzése már hozzáférést biztosít n

¡

Nem a felhasználót azonosítja

A MAC címek lehallgathatóak, egy másik eszköz is felvehet engedélyezett MAC címet


30

2010.04.20.

A hozzáférés-védelem megoldható úgy is, hogy a hozzáférési pont szűri a hozzá csatlakoztatható vezetéknélküli eszközöket. A szűrés alapja lehet a MAC (Media Access Control) azonosító, amely 6 bájtos egyedi cím minden hálózati csatoló eszközre. A hozzáférési pont listát vezethet az engedélyezett vagy kitiltott eszközökről. Amennyiben engedélyező listát vezet és az eszköz nem szerepel az engedélyezési listán, úgy a hozzáférési pont megtagadja az adatok továbbítását. Több hálózati pont adminisztrációja azonban már nem egyszerű. A megoldás nem biztonságos, hiszen a MAC címet a felhasználó megváltoztathatja a saját eszközén, eltérhet a gyári beállítástól. A támadó így ha figyeli a hálózati forgalmat, akkor megismerheti azokat a címeket, amelyek engedélyezve vannak és így ő is hozzáférést szerezhet a hálózathoz.

30

Hálózat elrejtése n

A hozzáférési pontot a „neve” azonosítja ¡ ¡

n

A hozzáférési pont elrejtése ¡ ¡

n

Service Set ID – SSID Az SSID-t, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon) A hozzáférési pont nem küld SSID-t a hirdetésekben, így a hálózat nem látszik Aki nem ismeri a hálózat SSID-t, az nem tud csatlakozni

Nem biztonságos! ¡ ¡ ¡

A csatlakozó kliensek nyíltan küldik az SSID-t A támadó a csatlakozás lehallgatással felderítheti az SSID-t Népszerűbb eszközök gyári SSID beállításai n

¡

n ¡

“tsunami” – Cisco, “101” – 3Com , “intel” - Intel , “linksys” – Linksys

Manuális beállítás, körülményes frissítés Előbb-utóbb mindenki megismeri őket

Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál n n

Önmagában az elkülönítés semmilyen védelmet nem nyújt Bárki bármilyen SSID-jű hálózathoz hozzáférhet


31

2010.04.20.

A hozzáférés-védelem módszere lehet a hálózat elrejtése is. Nyílt hálózatok esetén a hozzáférési pont rövid időközönként broadcast hirdetést küld magáról management csomagok segítségével. A kiküldött információban megtalálható többek között Service Set ID (SSID), amely a hálózat neve és amelyet a csatlakozóknak meg kell jelölniük csatlakozáskor. Amikor a vezetéknélküli hálózatot elrejtik, akkor a hozzáférési pont már nem közli saját azonosítóját a hirdetésekben. Így csak az tud csatlakozni a hálózathoz, aki ismeri annak azonosítóját. Ez a módszer sem biztonságos, hiszen a a támadó megfigyelheti, hogy a legitim felhasználó milyen SSIDt használva csatlakozik a vezetéknélküli hálózathoz. A csatlakozáskor ez az adat titkosítás nélkül van a csomagban. A megfigyelt SSIDt felhasználva a támadó is tud csatlakozni a hálózathoz. Gyakran akad olyan elrejtett hálózat, amelynél a hozzáférési pont nevét meghagyják a gyári beállításnak. Ilyenkor a támadó próbálkozhat ezekkel az alapértelmezett nevekkel.

31

Felhasználó hitelesítés n

n

A vezeték nélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát A hitelesítés nehézségei ¡

Nyílt hálózat, bárki hallgatózhat n

n

¡

Man-in-the-middle támadások n

n

¡

A kihívás-válasz alapú hitelesítés esetén a támadó könnyen megszerezheti a kihívást és a választ is Gyenge jelszavak esetén egyszerű a szótáras támadás Vezeték nélküli környezetben a támadó könnyen megszemélyesíthet egy másik eszközt A forgalom rajta keresztül folyik, így hozzájut a hitelesítési adatokhoz

Legjobb a felhasználót hitelesíteni, nem az eszközét n

Felhasználói jelszavak (mindenkinek külön)


32

2010.04.20.

A hozzáférés-védelem legalkalmasabb és egyben biztonságos megoldása a felhasználó hitelesítése. Természetesen itt sem mindegy, hogy hogyan azonosítjuk a felhasználót. A rádiós közegben bárki hallgatózhat, így kihívás-válasz alapú protokoll és gyenge jelszavak esetén megszerezve egy kihívést és az arra adott választ, a jelszó feltörhető. Ugyancsak gondot okozhatnak a man-in-the-middle támadások. Ilyenkor a támadó észrevétlenül beékelődik a felhasználó és a hitelesítő közé és lehallgatja a hitelesítést. Sok hitelesítési eljárás csak a felhasználó eszközét hitelesíti és nem magát a felhasználót. Ilyenkor fenn áll a veszély, hogy az eszköz megszerzésével a támadó is csatlakozhat a hálózathoz. Ahol ez a veszély fennáll, ott célszerű tehát a felhasználót hitelesíteni.

32

Hitelesítés – Captive portal n

Hitelesítés web felületen keresztül ¡ ¡

n

A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja ¡ ¡ ¡

n

Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó A felhasználó hitelesítés után folytathatja a böngészést A weblapon akár elő is fizethet a felhasználó a szolgáltatásra

A legtöbb HOTSPOT ezt használja ¡ ¡

n

Egyszerű a felhasználónak A kliensen egy web browser kell hozzá

Nem igényel szakértelmet a használata Nem kell telepíteni vagy átállítani a felhasználó gépét

Nem biztonságos! ¡ ¡ ¡

Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát A felhasználó megtéveszthető hamis szolgáltatóval A támadó folytathatja a felhasználó nevében a hozzáférést


33

2010.04.20.

A felhasználó hitelesítés egyik formája az úgynevezett „captive portal” –ok alkalmazása. Ebben az esetben a felhasználót web kapcsolaton keresztül hitelesítik, egy tanúsítvánnyal védett szerveren, titkosított hitelesítési kapcsolattal. A titkosításhoz a TLS (Transport Layer Security) protokollt használják, amely tanúsítványt igényel a szerver részéről. Hogy megkönnyítsék a hitelesítésnél a felhasználó dolgát, ezért a még hitelesítetlen felhasználó első web kérése van átirányítva a megadott hitelesítő web szerverhez. A hitelesítés után a web kérés folytathatja útját és a későbbi kéréseket már nem térítik el. Számos előnyös tulajdonsága van ennek a módszernek. A felhasználó részéről nem igényli semmilyen program telepítését, nem kell a kapcsolat paramétereit beállítani. A titkosított hitelesítés teljesen biztonságos lehet, amennyiben a felhasználó ellenőrzi a tanúsítványt. Ezen előnyös tulajdonságai miatt a HOTPSOTokban általában captive portál van telepítve. Ilyen felhasználás esetén további előny, hogy a szolgáltató kijelölhet olyan web tartományokat, ahova nem szükséges a hitelesítés (pl. Ferihegyen a repülőtér saját publikus hálózata), valamint felkínálhat előfizetési lehetőséget is a bejelentkező weblapon, így az Internetezni vágyó felhasználók akár helyben is megvásárolhatják a szolgáltatást. Mindazonáltal a megoldás nem jelent teljes biztonságot. Megfelelő használat esetén ugyan a hitelesítési információk biztonságban vannak, azonban a kapcsolat későbbi része már titkosítatlanul folyik. A támadó a hiszékeny felhasználókat félrevezetheti és hamis hozzáférési pont felállításával (Evil twin) kicsalhatja a hitelesítési adatokat. A támadó emllett képes lehet arra is, hogy egy befejezett kapcsolatot folytasson, felvéve a felhasználó MAC és IP címét.

33

Adatkapcsolat biztonsága n

A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is ¡ ¡ ¡

n n n

Az adatokat titkosítani kell a hálózaton Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet

WEP – Wired Equivalent Privacy WPA – WiFi Protected Access 802.11i – 802.11 Enhanced security ¡

WPA2 –nek is nevezik


34

2010.04.20.

Ha a vezetéknélküli hálózat hozzáférés-védelme megoldott, akkor már a támadók nem tudnak kapcsolódni a hálózathoz. Ugyanakkor továbbra is lehetőségük van a hálózaton hallgatózni. Hogy elkerüljük ezeket a támadásokat, a hálózatban zajló adatforgalmat titkosítani kell. A titkosításon belül célszerű arra is törekedni, hogy a legitim felhasználók ne láthassanak bele egymás adataiba sem. A legelső vezetéknélküli hálózaton használt titkosító protokoll a WEP (Wired Equivalent Privacy) protokoll volt. Számos hibája miatt új protokollok jelentek meg. A 802.11 szabványhoz tervezett biztonsággal foglalkozó protokoll a 802.11i (802.11 Enhanced Security) protokoll. 2004 –ben jelent meg. A WEP után és a 802.11i megjelenése előtt is szükség volt egy jól működő titkosítása, ezt jelentette a WPA (WiFi Protected Access). A WPAt már úgy tervezték, hogy kompatibilis legyen a megjelenő 802.11i protokollal, ezért amikor az megjelent, a WPA2 nevet kapta.

34

WEP n

Wired Equivalent Privacy ¡ ¡

Az eredeti 802.11 biztonsági protokoll A felhasználók adatainak titkosítása a lehallgatás ellen n

n

Rendkívül alacsony biztonsági szint, könnyen feltörhető

Az RC4 adatfolyam titkosító algoritmust használja ¡

A vezeték nélküli eszköz titkosítja mind az adatokat, mind a CRC-t n

Az átvitel során történő illetéktelen módosítást kívánja kiküszöbölni

n

40 vagy 128 bites (WEP2) közös kulcsot használ

n

A titkosításhoz egy inicializációs vektor-t (IV) használ

¡

¡ ¡

Mindkét félnek ismernie kell a kapcsolat létrejötte előtt A vektort minden keretben elküldik Az IV vektor és a k kulcs alapján egy (pseudo)véletlen titkosítási kulcsot generál n n

¡

n

Minden keret más generált kulccsal titkosítódik Két azonos tartalmú csomag másképp fog kinézni titkosítva

Elég hosszú hallgatózással ez kijátszható

Nincs semmilyen kulcsváltó algoritmus ¡ ¡

Manuális váltások, egy csere több napig is eltarthat Megkönnyíti a támadó dolgát


35

2010.04.20.

WEP működése n n

Egy titkos k kulcs megosztva a kommunikáló felek között Egy csomag titkosítása: ¡

Ellenőrző összeg ICV készítése az M üzenetből n

¡

n n ¡

Integrity Check Value

A kettőt összemásoljuk P = <M,ICV> érthető (még nem titkositott) üzenetet Sem az ICV sem P nem függ a k kulcstól

Titkosítás az RC4 algoritmussal: n n n

Egy v inicializáló vektort (IV) választunk Az RC4 egy hosszú kiterjesztett kulcsot generál – RC4(v,k) A kiterjesztett kulcsot XOR müvelettel összemásoljuk az üzenettel ¡

¡

Megkapjuk a C titkosított üzenetet, C = P xor RC4(v,k)

Közvetítés: n

Az IV-t és a C-t átküldjük a csatornán


36

2010.04.20.

WEP működése n

A dekódoláshoz a vevő az algoritmust fordított sorrendben végzi el ¡ ¡

Legenerálja az RC4(v,k) kiterjesztett kulcsot XOR-ozza a titkosított szöveggel, megkapja az eredeti szöveget n

¡

P’ = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P

Ellenőrzi az ellenőrző összeget


37

2010.04.20.

Támadások a WEP ellen n

Kiterjesztett kulcs újrahasználása ¡

Ha ugyanazzal a kulccsal és IV-vel titkosítunk két csomagot, a támadó infókat tudhat meg mindkét csomagról n

A 2 titkosított csomag XOR-ja megegyezik a 2 eredeti csomag XOR-jával

n

Elég lehet a parciális ismerete is bizonyos érthető (P) üzeneteknek

¡ ¡

¡

Ha az egyik üzenetet ismerjük, a másikat vissza lehet fejteni Pl. protokoll fejlécek

A csomagonkénti IV jó védekezés, de... n

Az IV-ket kódolatlanul küldik a csomagokban

n

A kulcsokat nagyon ritkán változtatják Egy idő után előfordul majd IV ismétlés

¡

n

¡ ¡ ¡

A támadó gyűjtheti az IV-ket

IV 24 biten, általában 0-tól indulva folyamatosan nő Egy AP 1500 byte-os csomagokkal, 5 Mb/s sebességgel fél nap alatt elhasználja az IV-ket Véletlen IV választással pár perc alatt n kb. 5000 csomag után 50% a valószínüsége egy ismétlésnek


38

2010.04.20.

WPA, WPA2 és 802.11i n

WPA ¡

Wi-Fi Protected Access (2002) n

¡

Wi-Fi Alliance szabványa

Ideiglenes megoldás a WEP hibáinak kiküszöbölésére n

Hatékonyabb kulcs menedzsment ¡ ¡

n

n

Ugyancsak RC4 algoritmust használ, de 48 bit hosszú IV-vel

IEEE 802.11i ¡ ¡ ¡

Sokáig váratott magára, 2004 nyarán fogadták el A 802.11 a, b és g-vel ellentétben egy biztonsági mechanizmust definiál A TKIP mellett egy új titkosítási szabványt is használ n

n

Temporal Key Integrity Protocol – TKIP Egy master kulcsból generál periódikusan új kulcsokat n A WEP-nél manuális kulcsváltás

Advanced Encryption Standard – AES

WPA2 ¡ ¡

A Wi-Fi Alliance új szabványa Kompatibilis az IEEE 802.11i-vel


39

2010.04.20.

Többet a biztonságról…

n

„Információ- és hálózatbiztonság”, VITMM280, MSc köt.vál. tárgy ¡

Fehér Gábor, TMIT


40

2010.04.20.

Hálózati technológiák és alkalmazások. Vida Rolland

Recommend Documents