Bezdrátové sítě
1
Bezdrátové sítě Proč vznikly bezdrátové sítě? neomezují pohyb uživatelů jsou prakticky jediným řešením pro různá přenosná mini zařízení využívají „levné“ přenosové médium Co znamená pojem WiFi? Wireless Fidelity Fidelity - věrnost, loajalita - spolupracujících zařízení zavedeno WECA (Wireless Ethernet Compatibility Alliance)
Co je dobré si uvědomit: přenosová rychlost není nijak garantována v prostoru nejsme sami přenos je poloduplexní 2
Geneze 802.11 Standard 802.11 pochází z roku 1997 předpokládal přenosové rychlosti: 1 Mb/s a 2 Mb/s
a využití tří alternativních přenosových prostředí: frekvenčně rozprostřeného spektra (FHSS) v pásmu ISM 2,4 GHz, kódově rozprostřeného spektra (DSSS) v pásmu ISM 2,4 GHz a pulzně-kódové modulace v krátkovlnném infračerveném pásmu.
dosažitelná přenosová rychlost však byla, ve srovnání s lokálními sítěmi s metalickou kabeláží, poněkud nízká postupem času tedy došlo k dalšímu vývoji směrem k vyšším rychlostem 3
Bezdrátové sítě 802.11 Standard 802.11 definuje: přenos pomocí infračerveného světla 850-950nm, většinou pro sítě malého dosahu (jednotky m) existují ale i větší projekty: http://ronja.twibright.com/
radiový přenos probíhá v tzv. bezlicenčních pásmech Industrial Scientific Medical Band (ISM) 2,4 - 2,4835 GHz maximální povolený vyzářený výkon je 100mW (20dBm) 802.11b 2,4 - 2,485GHz 11Mb/s DSSS 802.11g 2,4 - 2,485GHz 54Mb/s OFDM/DSSS 802.11a 5,1 - 5,3GHz a 5,725 - 5,825GHz 54Mb/s OFDM to přináší riziko vzájemného ovlivňování a rušení Jakým způsobem zabezpečit vysílání v uvolněném pásmu?
Výrobci neustále chrlí různé mezistupně: n: 270Mbit/s MIMO:240Mbit/s Super-G: 108Mbit/s
4
Techniky přenosu - FHSS FHSS - Frequency Hopping Spread Spectrum základní metoda, pouze pro nižší přenosové rychlosti do 1-2 Mb/s frekvenční modulace, vyšší režie na přeskoky → nižší rychlost celkem 78 kanálů po 1MHz
5
Techniky přenosu - DSSS I. DSSS - Direct Sequence Spread Spectrum nejpoužívanější v 802.11 frekvenční pásmo 2,412GHz - 2,484 GHz je rozděleno na 14 kanálů šířka kanálu je 22MHz odstup je ale pouze 5MHz - kanály se překrývají ( s vyjímkou 3)
1
2
3
4
5
6
7
8
9
10
11
12
13
kanály
vysílač komunikuje s přijímačem na jedné zvolené frekvenci pásmo ISM není ve všech zemích stejné např. v ČR je možné používat pouze kanály 1-13 6
Techniky přenosu - DSSS II. DSSS - Direct Sequence Spread Spectrum Každý bit informace je zakódován do 11 bitové sekvence tzv. chipu 1bit inf. → 11bitů pattern
výsledkem je tzv. bitový řez sloužící dále jako modulační signál výsledkem je značná redundance informace - signál je rozprostřen do větší šíře spektra - je méně citlivý vůči úzkopásmovému rušení redundance je tedy využita pro dekódování signálů v systému s překrývajícími se kmitočty
ostatním účastníkům se přeslech jeví jako šum
7
Techniky přenosu - DSSS III. Systém modulace je závislý na zvoleném kmitočtu pro rychlosti 1Mbit/s a 2Mbity/s se používají BPSK a QPSK BPSK - Binary Phase Shift Keying QPSK - Quadrature (Quaternary) Phase Shift Keying
nově se používají i další modulace
8
Techniky přenosu - OFDM Protokol 802.11a již nepoužívá DSSS ale OFDM - Orthogonal frequency-division multiplexing
Základní myšlenka: pásmo 2,412 až 2,484 rozděleno na 4 nepřekrývající se pásma v každém pásmu 52 podkanálů (nosných odstupňovaných o 300 kHz) 4 řídící 48 datových s modulací BPSK (6Mbit/s) až 64-QAM (54Mbit/s)
přenášená data jsou zabezpečena kódováním s možností rozsáhlé rekonstrukce chyb Rychlost [Mb/s] 6 9 12 18 24 36 48 54
Kódování BPSK BPSK 4-QAM 4-QAM 16-QAM 16-QAM 64-QAM 64-QAM
Poměr kódová ní 1/2 3/4 1/2 3/4 1/2 3/4 2/3 3/4 9
Rychlosti 802.11 Základní WiFi na 2,4GHz nabízí vzhledem ke kódování bitů na symbol celkem 4 rychlosti: 11Mb/s 5,5Mb/s 2Mb/s 1Mb/s
V případě OFDM je možné vzhledem k modulaci BPSK až 64-QAM využít celkem 54, 48, 36, 24Mb/s pro n-QAM 18, 12Mb/s pro QPSK 9, 6Mb/s pro BPSK další rychlosti jsou v souladu s pásmem 2,4 a vyžadují DSSS
Základní WiFi pracuje vždy v režimu poloduplexu
10
Koexistence 802.11 Dvě sítě na 2,4GHz - každá s jinou technologií 802.11g - OFDM 802.11b - FHSS / DSSS, OFDM nerozumí, jeví se jí jako šum
Řešení: 802.11g obsahuje ochranný mechanizmus pro koexistenci s nižšími sítěmi stochastické naslouchání nosné 802.11b – mechanizmus RTS/CTS to však zvyšuje režii přenosu, snižuje výkon
Kombinované sítě 802.11b a 802.11g jsou tedy pomalejší, než čisté řešení 802.11g uvádí se snížení rychlosti až o desítky % proto máte u většiny zařízení možnost navolit v SETUPu pouze čistou 802.11g síť
11
Linková vrstva WiFi - sdílené médium → nutné řízení přístupu DCF - Distributed Coordination Function distribuované řízení s CSMA/CA
PCF - Point Coordination Function centrální řízení - vhodné např. pro Real-Time aplikace. Dnes se téměř nepoužívá
DCF: pro předcházení kolize jsou definovány speciální rámce sloužící ke koordinovanému přístupu jednotlivých stanic ke sdílenému médiu
chce-li stanice vysílat: počká po uvolnění kanálu náhodně zvolenou dobu odešle rámec (RTS) s požadavkem na vysílání a délkou vysílání cílová stanice potvrdí svým rámcem (CTS) a nebyl li žádný rámec dosud poškozen stanice zahájí vysílání Ostatní stanice vědí z rámců RTS nebo CTS, jak dlouho budou čekat 12
Topologie sítě Základním prvkem protokolu rodiny 802.11 je: přístupový bod jedná se o analogii k rozbočovači na metalických sítích
Oblast, kterou přístupový bod pokrývá se nazývá: základní oblast služeb - Basic Service Area (BSA)
Dva a více uzlů, které se navzájem uznaly navázaly spolu komunikaci tvoří: Basic Service Set (BSS) jenž má svůj vlastní identifikátor, tzv. BSSID Jednotlivé stanice mezi sebou nekomunikují přímo, ale zprostředkovaně, právě pomocí přístupového bodu výjimku tvoří jen stanice propojené přímo mezi sebou metodou: ad-hoc
13
Topologie sítě Při budování sítí je tedy možné volit mezi dvěma topologickými režimy: prvním je síť s přístupovým bodem, tzv. „Infrastructure“ veškerá komunikace přes tzv. Access Point je většinou také gatewayem v topologii se dále používají: Klient - (WorkGroupBridge) opakovače nevýhodou je nižší propustnost
druhým režimem je síť každý s každým, tzv. „ad-hoc“ klienti komunikují přímo mezi sebou nevýhodou je obecně nižší dosah výhodou je vyšší propustnost a vyšší globální spolehlivost
14
Prvky tvořící WiFi WiFi zařízení existují v podobě zásuvných PCI karet tyto adaptéry se nejčastěji používají při připojení v budově a nebo pokud máme PC poblíž externí antény. vzdálenost samotné antény po Wi-Fi adaptér by totiž měla být pokud možno co nejkratší, neboť právě v koaxiálním kabelu dochází k velkému útlumu a ztrátě signálu jejich nedostatkem je, že nedokáží pracovat v režimu AP (až na několik výjimek a nebo při použití systému LINUX).
PCMCIA karet tyto antény mají vyzařovací výkon zhruba 15dB v závislosti na jednotlivých modelech bohužel jen na málo kartách se nachází i konektor pro připojení externí antény v případě potřeby v dnešní době je však už možno i sehnat karty, jež podporují režim AP
15
Prvky tvořící WiFi WiFi zařízení existují v podobě USB zařízení zisk těchto adaptérů bývá přímo úměrný jejich velikosti a možnostem běžně se pohybuje v rozmezí od 3dB u malých "klíčenek" do 15dB u velkých USB prvků s těmito adaptéry je běžně možné se spojit na 10 - 100m v budově a 30 - 300m mimo budovu výhodou je napájení z USB a mnohdy snazší propojení USB kabelu než koaxiálu na vzdálenost do 25m
HW access pointy propojení s PC pomocí UTP kabelu – 100m konfigurace pomocí IP existují i AP s funkcí routerů, print serverů... používá se RSMA případně TNC konektor
16
Antény
Výkon se udává v dBm (decibel nad mW) P [dBm] = 10 log10 (P [mW]) př.: 39 dBm = 8W jinak řečeno o 3dB větší zisk = 2x více
Izotropní zářič
vyzařuje do všech směrů stejně
anténa s kulovou vyzařovací charakteristikou pouze teoretický pojem
Směrová charakteristika prostorová (plošná) charakteristika popisující vyzářený výkon v prostorových souřadnicích
Zisk antény - G poměr mezi maximální hustotou vyzařovaného výkonu v daném místě, oproti izotropnímu zářiči, který vyzařuje stejný celkový výkon jako daná anténa Polarizace směr vektoru E lineární: vertikální / horizontální nelineární: eliptická, kruhová pravotočivá / levotočivá... 17
Příklady antén
Jednotky udávající zisk k dipólu či izotropnímu zářiči dBi – decibel izotropní (zisk vůči iz. zářiči) dBd – decibel dipól (zisk oproti půlvlnému dipólu) zisk v dBi je o 2,16 > než v dBd
Směrové / sektorové antény izotropní zářič
vyzařovací charakteristika
skutečná charakteristika postranní laloky
svrchní pohled hlavní svazek
teoretická charakteristika
Všesměrové antény vyzařovací charakteristika boční pohled
skutečná charakteristika
teoretická charakteristika 18
Kabely Vždy se jedná o kabely koaxiální v tloušťkách od 4 mm do 12 mm rozhodujícími parametry jsou: útlum v dB / m charakteristická impedance v Ω
při větších vzdálenostech vychází levněji řešení s HWAP a UTP kabelem 19
Konektory V současné době jsou používány především: konektory N venkovní prostředí kabeláž 4 – 11 mm nejčastěji na anténách pak nutná redukce na RSMA / TNC
konektory RSMA určen pro montáž na malé kabely nejčastěji na WiFi kartách
konektory TNC především na zařízeních Linksys stále populárnější 20
Mechanismy zabezpečení dat WiFi síť nemá pevné hranice a pevné body je nutné odlišit vzájemně jednotlivé uživatele příslušející do různých sítí ve standardu 802.11 se o to starají dvě vrstvy: vrstva autentizační sloužící k omezení připojení k síti pouze pro oprávněné uživatele zabezpečení přenášených dat
21
Autentizační mechanismy Pro připojení stanice se používají dvě metody: obě metody pošlou na broadcast dotaz na existenci AP (Probe Request) pokud je v dosahu AP, tak na dotaz odpoví (Probe Response) metoda otevřeného systému (Open-system) jediná metoda vyžadovaná v 802.11 klient je autentizován na základě informací jím zaslaných, které nejsou nikde ověřovány AP tedy vždy autentizuje klienta
a metoda sdíleného klíče (Shared Key) je vyžadována pro všechna zařízení s podporou WEP
22
Metoda sdíleného klíče Shared Key autentizace klient usilující o připojení musí správně (správným klíčem) zašifrovat (RC4) zaslaný klíč (náhodně vygenerované číslo)
velkou nevýhodou je zasílání textu v nezašifrované a následně zašifrované podobě je tak možné díky slabinám šifry RC4 získat odposlechem šifrovací klíč
23
Další metody řízení přístupu SSID - Service Set ID nejnižší stupeň zabezpečení SSID je logický identifikaci konkrétní sítě (nastaven na AP) AP své SSID pravidelně prezentuje
při nastavování AP je možné zablokovat vysílání SSID síť se tak stane pro okolní klienty „neviditelnou“
Využíváno: UPASTUD
AP má ale za povinnost v případě dotazu na SSID odpovědět potenciální útočník tak SSID stejně získá
24
Další metody řízení přístupu Filtrování MAC adres v době uvedení standardu 802.11 perspektivní metoda asociovány budou pouze stanice z platného seznamu MAC adres útočník si může snadno změnit svou MAC adresu předpokládá se ale, že útočník neví, za jakou (na seznamu)
nevýhodou této metody je: seznam MAC adres je nutné vytvářet ručně (administrátor) filtrování MAC adres neumožňuje dynamickou změnu klientů pro MAC povolené MAC adresy je pouze omezený počet záznamů
mnohem větší nevýhodou je ale: přítomnost MAC adres klientů ve vysílaných paketech a to i v případě použití šifrování v nezašifrované podobě 25
Mechanismus WEP
u většiny zařízení implicitně vypnuto
WEP - Wired Equivalent Privacy – ochrana ekvivalentní kabelovému vedení volitelný doplněk k 802.11b pro řízení přístupu k síti a zabezpečení přenášených dat pomocí sdíleného klíče - je nutné ho nastavit na klientských stanicích
data jsou šifrována a dešifrována pomocí šifrovacího klíče: 40bit. WEP klíč (10 x hex znak) + 24 bit. inicializační vektor (IV) nebo 104bit. WEP (26 x hex znak) klíč + 24 bit. inicializační vektor (IV)
IV - inicializační vektor - mění se v každém paketu bohužel pouze z 224 možností Dalším problémem WEPu je existence statických klíčů -není nijak řešena redistribuce nových klíčů a posílání IV v nezašifrované podobě 26
WEP - použití I přes zjevné nevýhody WEPu: je třeba jej v některých případech použít např. u starších zařízení
v takovém případě je vhodné dodržet několik pravidel: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
používejte tabulku validních MAC adres zapněte WEP na 128bit. pravidelně WEP klíče měňte používejte statické přidělování IP adres nastavte úzký rozsah IP, nebo povolené IP zakažte prezentaci SSID znemožněte fyzický přístup k AP pravidelně kontrolujte síť i logy z AP omezte výkon na nejnižší akceptovatelný používejte VPN 27
Mechanismus 802.1Xi Mechanismus WEP již neposkytuje dostatečnou ochranu a je tak vhodný pouze pro starší zařízení, případně pro domácnosti...
Proto vznikl 802.1Xi obecný bezpečnostní rámec pro všechny typy LAN, zahrnující: autentizaci uživatelů integritu zpráv (šifrováním) distribuci klíčů
ověřování provádí přístupový bod na základě výzvy klienta pomocí externího autentizačního systému (např. RADIUS...)
28
WPA (Wi-Fi Protected Access) Vývoj: Než došlo ke schválení bezpečnostní normy 802.11i, přijala Wi-Fi Alliance dočasné bezpečnostní řešení: WPA - Wi-Fi Protected Access (podmnožina 802.11i) je zpětně slučitelné s WEP a předně slučitelné s 802.11i/WPA2 pokud se v síti sejdou produkty s podporou WPA a WEP, použije se slabší WEP
Pro autentizaci a management klíčů se používá 802.1x pro utajení dat protokol TKIP - Temporal Key Integrity Protocol používající dynamicky se měnící klíč pro každý paket prodlouženou délku vektoru IV (na 48 bitů) pro kontrolu integrity zpráv - mechanizmus MIC (Message-Integrity Check).
Předností WPA jsou: dynamické klíče (stále RC4) autentizace se serverem RADIUS v domácích sítích lze použít předem nastavené sdílené klíče (PSK, Pre-Shared Key). 29
WPA2 Konečné řešení 802.11i / WPA2 komerční název standardu 802.11i (2004) architektura označovaná jako RSN (Robust Security Network) podarchitektura 802.1X určená pro bezdrátové sítě vlastnosti: místo RC4 se používá nový standard AES velikost šifrovacího klíče 128b, 192b, 256b šifrovací klíče se mění automaticky
Postup autentizace stanice se autentizuje otevřenou metodou a domluví se na bezp. zásadách
následuje fáze komunikace s ověřovacím serverem je vygenerován společný hlavní klíč
30
WPA & WPA2 podpora Mechanismy WPA a WPA2 nepodporují všechna zařízen Praxe koncová stanice - klient: Windows Vista umí WPA2 od prvního vydání. Windows XP SP2 potřebuje pro WPA2 nainstalovat záplatu KB893357 z 29.4.2005. Windows Mobile 5 umí WPA, Windows Mobile 6 už umí i WPA2, záplata WPA2 pro WM5 - http://support.microsoft.com/kb/926260 problémy s EAP (Extensible Authentication Protocol) v současnosti více než 40 standardů LEAP – Cisco MS-CHAP – Microsoft EAP-TLS – open standard PEAP – Cisco & Microsoft...
31
RADIUS
32
Stručné shrnutí standardů 802.11
33
Bluetooth Zajímavou alternativou k běžným strukturovaným sítím jsou sítě Bluetooth Bluetooth pracuje v pásmu 2,4-2,4835GHz V tomto pásmu je 79 kanálů s odstupem 1MHz a šířkou pásma 220KHz Bluetooth používá také technologii rozprostřeného pásma je tak možná koexistence více sítí na omezeném prostoru
34
Bluetooth Bluetooth byl navržen pro komunikaci na krátkou vzdálenost tomu odpovídá i max. vyzářený výkon třída 1: 100mW - max. cca 100m na přímou viditelnost třída 2: 2,5mW třída 3: 1mW - max. cca 10m na přímou viditelnost
Systém je navržen pro převážně dvoubodová spojení ve spec. režimu „piconet“ je možné vytvářet sítě typu Master/Slave s až 7 aktivními podřízenými stanicemi a až 256 tzv. „zaparkovanými“ stanicemi
35
Přenosová rychlost Bluetooth Přenosová rychlost Bluetooth je cca. 1Mb/s (včetně režie) lze ji využít na vytvoření: 3 obousměrných synchronních kanálů 64kb/s zbylá kapacita se využije pro asynchronní přenos
u dvoubodového spojení je tak možné dosáhnout rychlosti: 433kb/s při symetrickém spojení 723kb/s při nesymetrickém spojení
v režimu „piconet“ se stanice o tuto kapacitu dělí
Z aplikačního hlediska se lze s konektivitou pomocí Bluetooth setkat zejména: v integrované podobě u mobilních zařízení (GSM, PDA...) případně ve formě modulů např. do USB rozhraní
36
Konec přednášky
37
