Realizace wifi sítě ve středně velké firmě

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze

Radek Pich

Realizace wifi sítě ve středně velké firmě Bakalářská práce

2010

Prohlašuji, že jsem bakalářskou práci na téma „Realizace wifi sítě ve středně velké firmě― zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury.

V Praze dne

Podpis

2

Abstrakt

Bakalářská práce se zabývá realizací wifi sítě ve středně velké firmě. Pro napsání své bakalářské práce jsem používal odbornou literaturu a informace na internetu. Bakalářská práce se rozděluje na 2 části: teoretickou a praktickou. V teoretické části obecně popisuji bezdrátovou síť, její realizaci, hardwarovou koncepci, bezpečnost a topologii. Také se zaměřím na budoucnost Wi-fi sítí. V praktické části vymodeluji síť s konfigurací a zabezpečením přístupového bodu. Pro výběr přístupového bodu jsem použil vícekriteriální rozhodování. Dále nastavím stanice pro připojení k vytvořené síti. V závěru otestuji funkcionalitu a sílu signálu nainstalovaných zařízení. .

Abstrakt

This diploma paper deals with the implementation of the WiFi network in a midsize company. To write my diploma, I used the professional literature, information on the Internet and the previously diploma papers. The diploma paper is divided into 2 parts: theoretical and practical. In the theoretical part I describe wireless network technology, implementation, hardware design, security and the future of Wi-Fi networks. In the practical part I design network configurations and security access point. To select the access point I used multicriteria decision. In addition, I set up to connect station to the network created. Finally, I test the functionality and signal strength of equipment have installed.

3

Obsah Obsah ...................................................................................................................................... 5 Úvod ........................................................................................................................................ 7 TEORETICKÁ ČÁST .......................................................................................................... 8 1. Bezdrátová síť ………....................................................................................................... 9 1.1. Definice wi-fi.............................................................................................................. 9 1.2. Proč volit wi-fi ........................................................................................................... 10 2. Technologie........................................................................................................................ 11 2.1. Standardy ................................................................................................................... 11 2.2. Frekvence.................................................................................................................... 13 2.3. Spektrum..................................................................................................................... 14 2.4. Referenční model OSI................................................................................................. 16 3. Realizace bezdrátové sítě................................................................................................... 18 3.1. Typy sítí….................................................................................................................. 18 3.1.1. Ad-hoc sítě………………………………………........................................... 18 3.1.2. Infrastrukturální sítě........................................................................................ 19 3.1.3. Rozšířená oblast služeb.................................................................................... 20 3.2. Komponenty sítě......................................................................................................... 21 3.2.1. Distribuční systém............................................................................................ 21 3.2.2. Přístupový bod................................................................................................. 21 3.2.3. Bezdrátové médium.......................................................................................... 22 3.2.4. Stanice............................................................................................................... 22 4. Hardwarová koncepce......................................................................................................... 22 4.1. Plánování......................................................................................................................22 4.1.1. Shromáždění požadavků................................................................................... 22 4.1.2. Průzkum místa.................................................................................................. 23 4.1.3. Návrh sítě.......................................................................................................... 24 4.1.4. Sumarizace všech faktorů................................................................................. 25 4.2. Výstavba sítě............................................................................................................... 25 4.2.1. Možnosti přístupu na internet........................................................................... 25 4.2.2. Výběr acces pointu........................................................................................... 26 4.2.3. Antény.............................................................................................................. 27 5. Bezpečnost......................................................................................................................... 29 5.1. Důležitost zabezpečení............................................................................................... 29

5.2. Metody ochrany sítí protokolem WEP........................................................................ 29 5.2.1. Autentizace....................................................................................................... 30 5.2.2. Utajení.............................................................................................................. 30 5.2.3. Integrita............................................................................................................ 31 5.2.4. Bezpečnost s WPA…………………………………………………………… 31 5.3. Ochrana pomocí firewallu........................................................................................... 32 5.4. Filtrování adres............................................................................................................ 32 5.5. Maximalizace bezpečnosti………………………………………………………….. 32 6.

Budoucnost wifi sítí......................................................................................................... 33

PRAKTICKÁ ČÁST.............................................................................................................. 34 7. Seznámení s praktickou částí.............................................................................................. 35 8. Vícekriteriální rozhodování................................................................................................ 35 8.1. Jednotlivá kritéria........................................................................................................ 35 8.2. Alternativy hardwaru.................................................................................................. 36 8.3. Řešení……………………………………………………………………………….. 39 9. Návrh řešení struktury sítě………………………………………………………………. 41 10. Nastavení a konfigurace AP……………………………………………………………… 42 10.1. Nastavení přístupu k internetu……………………………………………………… 44 10.2. Nastavení bezdrátového vysílání…………………………………………………… 45 10.3. Nastavení DHCP servru……………………………………………………………. 46 11. Konfigurace AP – Bridge………………………………………………………………… 47 12. Zabezpečení……………………………………………………………………………… 48 12.1. Protokol WEP………………………………………………………………………. 48 12.2. Filtrace adres............................................................................................................... 49 13. Připojení stanice k síti......................................................................................................... 50 14. Testování funkcionality....................................................................................................... 51 14.1. Kontrola zabezpečení sítě…………………………………………………………... 51 14.2. Ověření filtrování MAC adresy…………………………………………………….. 51 14.3. Síla signálu - Program Net Stumbler......................................................................... 52 15. Závěr.................................................................................................................................. 54 16. Seznam použité literatury………………………………………………………………... 55

5

Úvod Pro mnoho podniků je v dnešní době velkým problémem připojit se k síti pomoci kabelového připojení. Tyto podniky se nacházejí buď v historických budovách, kde není možnost připojení pomoci kabelových síti, nebo se nacházejí na nepřístupných místech, kam by přivedení internetu pomoci kabelů bylo velmi finančně náročné. Dalším důvodem, proč se podniky rozhodují pro bezdrátové připojení, je i možnost připojení zaměstnanců, kteří pracují z domova nebo na cestách. Bezdrátové připojení dává volnost jak zaměstnancům, tak i vedoucím pracovníkům, pokud si potřebují se svými kolegy vyměňovat informace, komunikovat s úřady nebo bankami, protože pro připojení k internetu nepotřebují žádný modem, kabel ani jiný pevný spojovací prostředek, který by jim bránil opustit pevné připojení u stolu a tím ztratit spojení s internetem. V dnešní době, kdy mnoho lidí začíná používat pro svoji práci notebooky, je vytváření bezdrátové sítě ještě přínosnější, neboť tím umožňuje komunikaci i v místech, která by dříve nebyla dostupná, protože vybudování kabelové sítě by bylo velmi nákladné. Tyto a mnoho jiných důvodů mě vedlo k tomu, abych se v této práci zaměřil na vybudování bezdrátové sítě pro středně velkou firmu.

Cílem mé práce je seznámit firmy i jiné uživatele s vybudováním bezdrátové sítě pro všechny, kteří mají zájem se bezdrátově připojit k internetové síti, a tím jim umožnit komunikaci jak pro soukromé tak i pro své pracovní činnosti. Seznámím Vás s tím, co jsou to bezdrátové sítě, a proč jsou tak úžasné. Proč si zvolit Wi-fi síť a jaké technologie můžete použít. Dále Vás seznámím s tím, jak si naplánovat Vaši bezdrátovou síť. Cílem mé práce je zaměřit se na celkové zpracování bezdrátové sítě od plánu až po realizaci. Předložím Vám návrh několika hardwarových koncepcí a doporučím Vám nastavení HW.

6

Teoretická část

7

1 Bezdrátová síť Když se řekne bezdrátová síť, každého okamžitě napadne slovíčko wi-fi. Často lidé wi-fi používají téměř jako ekvivalent pro bezdrátovou síť. I přestože je Wifi (Wireless Fidelity) pouze komerční název, vytvořený organizací WECA (Western Electrical Contractors Association) pro bezdrátovou technologii v bezlicenčním nekoordinovaném pásmu. Už název napovídá, že se bude jednat o takové sítě, ve které je absence kabelů a drátů. K přenosu tedy není potřeba ethernetových kabelů či modemů, ale vše funguje bezdrátově pomocí elektromagnetických vln. V poslední době se bezdrátové sítě dostaly do popředí, a to hlavně díky hlavním pilířům této technologie, což je mobilita a flexibilita.

1.1 Definice wi-fi Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wi-fi, wifi) je standard lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Název původně neměl znamenat nic, ale časem se z něj stala slovní hříčka vůči Hi-fi (tzn. analogicky k high fidelity – vysoká věrnost), která by se dala chápat jako zkratka k wireless fidelity (bezdrátová věrnost). Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokální sítě lan. S postupem času začala být využívána i k bezdrátovému připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv.hotspotů. Wi-Fi zařízení jsou dnes prakticky ve všech přenosných počítačích a i v některých mobilních mobilech.[1]

8

1.2 Proč volit wi-fi Každého určitě napadne, že největší výhoda této bezdrátové technologie je už zmiňovaná mobilita. Možnost volně se pohybovat a nebýt připoután k ethernetové (pevné) zásuvce je obrovská revoluce v tomto odvětví. Podívejme se trochu blíže na výhody bezdrátové sítě, které na první pohled nemusí být až tolik patrné: a) Finanční stránka – Díky otevření standardu 802.11 pro výrobní firmy, vznikla na trhu zdravá konkurence, která zapříčinila snížení pořizovacích nákladů. Proto si nyní bezdrátovou síť může dovolit téměř každý. Pořizovací cena je jedna věc, ale podívejme se na to ještě z druhého hlediska. Vybudování počítačové sítě za pomoci kabelů je velice náročné na lidskou práci a často konečná cena je vyšší než nainstalování wifi adaptérů a zprovoznění přístupového bodu. b) Flexibilita - připojení bezdrátových počítačů je možné kdekoliv, kam dosahuje signál bezdrátové sítě, umožňuje připojení 24 hodin denně, 7 dní v týdnu, vysokou rychlostí, s neomezeným množstvím přenášených dat. Být neustále on-line je nepochybnou výhodou této technologie. Dalším užitečným cílem je okamžité připojení do podnikové sítě hostům nebo zákazníkům např. při konferencích, kdy není nutno mít k dispozici kabel a dostatek ethernetových zásuvek. Dále umožňuje připojení z kteréhokoli místa ve firmě nebo mimo kancelář, volný pohyb v terénu, při práci, cestování i doma, umožňuje věnovat se úkolům pro firmu nezávisle na místě pobytu. c) Rozšiřitelnost - Jednoduché přidání dalších uživatelů je velice sympatické. Postačí pouze, aby stanice měla wifi adaptér nebo jakékoliv jiné zařízení pro příjem signálu a byla v dosahu přístupového bodu. Klady snadného rozšíření jsou jedny z důvodů volby bezdrátové sítě před kabelovou sítí.

9

2 Technologie Dnešní wi-fi produkty mohou dělat cokoliv od posílání emailů po streamování videa až po video konference v letadle ve výšce 3 kilometrů, nebo jednoduše na chodbě mezi kancelářemi. Všechny produkty pro tyto potřeby mají mnoho tvarů a forem a některé jsou jen za pár korun. Dostat se na místo, kde jsme teď, musíme vděčit spolupráci mezi tisíci firmami, výzkumnými pracovníky a konstruktéry. V polovině roku 1990, mezinárodní konsorcium strojírenských odborníků z mnoha technologických firem, začalo společně pracovat prostřednictvím organizace IEEE (Institute of Electrical and Electronics Engineers – nezisková organizace usilující o vzestup technologie související s elektrotechnikou) na rozvoji průmyslových standardů, které zabezpečovaly vzájemnou interoperabilitu mezi jednotlivými bezdrátovými produkty. [2]

2.1 Standardy IEEE standardy jsou používány po celém světě k napomáhání průmyslu a jednotlivým společnostem otvírají obchodní příležitosti, které na trhu zvyšují veřejnou důvěru zákazníků a zvyšují bezpečnost.

a) Standard IEEE 802.11 Ze zdroje[3] jsem se dozvěděl, že první bezdrátová norma IEEE byla přijatá v roce 1997 a byla jednoduše nazvána IEEE 802.11. Jednalo se o rádiovou normu pracující ve frekvenčním pásmu 2,4 GHz s maximální propustnosti 2 Mbit/s. (Pro srovnání uveďme, že kabelový ethernet pracuje s propustností 10 Mbit/s a více). Revize dané normy byla původně nazývána 802.11 High Rate pro svou vyšší rychlost (až do 11 Mbit/s).. V roce 1999 došlo k přejmenování normy 802.11 High Rate na 802.11b a byla přidána norma pro ještě vyšší rychlost 802.11a používající odlišnou metodu rozprostřeného spektra a pracuje na frekvenčním pásmu 5 GHz. V roce 2002 se ke schváleným normám pro bezdrátovou komunikaci připojila 802.11g.

Tyto normy jsou podrobně popsány v následujících

odstavcích. Například IEEE 802.11i je zaměřena na vylepšení zabezpečení bezdrátových sítí, zatímco 802.11e je orientována na otázky kvality služeb (QoS), které jsou důležité u velkých bezdrátových sítí. Jakmile budou tyto normy přijaty, mohou být buď zkonsolidovány do

10

jednoho ze síťových protokolů, nebo mohou být jednoduše dány k dispozici dodavatelům, kteří budou chtít přidat nějaké funkční charakteristiky ke svým výrobkům podle norem 802.11a, b nebo g.

b) Norma 802.11b Jak již bylo uvedeno výše, je norma 802.11b aktualizovanou a vylepšenou verzí původní normy IEEE 802.11. V současné době již nejsou k dispozici žádné komerční výrobky založené na staré normě 802.11.Ve skutečnosti se prodávalo jen velmi málo výrobků podle normy 802.11. K zpopularizování normy 802.11b má velkou zásluhu firma Apple Computer, která zavedla první široce dostupné výrobky založené na této normě. Sítě 802.11b pracují s maximální rychlostí 11 Mbit/s, což je o něco vyšší rychlost než v případě 10-BASE-T ethernet a zhruba pětinásobné navýšení ve srovnání s původní specifikací 802.11

c) Norma 802.11a Norma IEEE 802.11a, která byla schválena brzy po normě 802.11b, pracuje ve frekvenčním pásmu 5 GHz a poskytuje rychlosti až do 54 Mbit/s. Norma 802.11a používá metodu rozprostřeného spektra OFDM. Zatímco se výrobky vyrobené na základě normy 802.11b objevily krátce poté, co norma získala schválení od IEEE, začala se zařízení vyrobená na základě normy 802.11a objevovat až v roce 2002. Provedeme-li porovnání s přeplněným frekvenčním pásmem 2,4 GHz, ve kterém pracují další normy 802.11, je frekvenční pásmo 5 GHz používané normou 802.11a širokým otevřeným pásmem, ve kterém jen několik málo dalších aplikací usiluje o přístup. Toto širší pásmo poskytuje více kanálů a větší šířku pásma pro bezdrátovou komunikaci.

d) Norma 802.11g V roce 2002 schválila tematická skupina 802.11g třetí síťovou normu IEEE, k čemuž došlo po velké bitvě mezi podporovateli dvou vzájemně soupeřících návrhů. Norma 802.11g má tak, jak je schválena, maximální rychlost 54 Mbit/s. Používá stejnou technologii rozprostřeného spektra OFDM jako norma 802.11a, s možností, která dovoluje dodavatelům poskytovat kromě základní konfigurace též zdokonalenou verzi OFDM. Obdobně jako norma 802.11b,

11

pracuje i norma 802.11g ve frekvenčním pásmu 2,4 GHz a je zpětně kompatibilní se starší normou. Vzhledem k tomu, že normy 802.11b, a g mohou pracovat společně, bude příští generace výrobků bezdrátové síťové komunikace určených pro spotřebitele a malé podniky pravděpodobně používat 802.11g nebo kombinaci 802.11b, a g. e) Norma 802.11n Tato pozměňovací norma upravuje fyzickou vrstvu (PHY) a část linkové vrstvy, MAC podvrstvu tak, že významně zvyšuje maximální přenosovou rychlost bezdrátové sítě. Díky tomu lze dosáhnout zvýšení přenosové kapacity na fyzické vrstvě z minimální hodnotou 100 Mbit/s [4].

2.2 Frekvence Zařízení bezdrátových sítí pracují ve stanovených frekvencích. Použití rádio frekvenčních pásem podléhá regulaci prováděné státními úřady. Wifi sítě musejí pracovat v jedné ze dvou nelicencovaných oblastí spektra:

1.pásmo

2,4 – 2,4835 GHz

2.pásmo

5,15 – 5,825 GHz

Tyto frekvence patří mezi frekvence vyhrazené pro průmyslové, vědecké a lékařské aplikace. Vzhledem k tomu, že tyto oblasti spektra jsou vedle datových sítí přístupné pro širokou řadu aplikací , jsou některé oblasti, jako např. pásmo 2,4 GHz, kde pracují wifi sítě, poněkud přeplněny. Mezi dalšími uživateli frekvenčního pásma 2,4 Ghz jsou též mikrovlnné trouby. Použití pásma 5 GHz je definováno generální licencí č GL-30/R/2000 vydanou ČTU. Tyto frekvence jsou mnohem méně zaplněny než pásmo 2,4 Ghz.[4].

12

Tabulka 1: Přehled rádiových vln

SÍŤ Rádio UKW Televize VHF pásmo III Televize UHF pásmo IV/V Televize UHF pásmo V Mobilní GSM síť D Mobilní GSM síť E Mobilní GSM síť v USA IEEE 802.11b a odrůdy IEEE 802.11g a odrůdy IEEE 802.11a

Frekvenční pásmo 87,5 - 108 MHz 174 - 216 MHz 470 - 790 MHz 814 - 838 MHz 900 MHz 1800 MHz 1900 MHz 2400 MHz 2400 MHz 5000 MHz

2.3 Spektrum Přestože se ve frekvenčních pásmech 2,4 GHz a 5 GHz nepožaduje žádná licence, ČTU zavádí určitou regulaci používaných zařízení. Tato pravidla zajišťují, že bezdrátové přenosy nebudou používat nadměrnou šířku pásma a že zařízení nebudou způsobovat rušení s jinými uživateli daného pásma prostřednictvím příliš výkonného vysílání signálů. Vedle pravidel, jež se týkají výkonu a jsou určena k zabránění rušení v daném pásmu vyžaduje ČTU, aby bezdrátová síťová zařízení používala pro komunikaci s jinými zařízeními jednu ze tří technologií rozprostřeného spektra. Rozprostřené spektrum (spread specrum), jak už ze samotného názvu plyne, rozprostírá bezdrátové signály přes více frekvencí daného pásma, ve kterém síť pracuje, namísto vysílání v jediné frekvenci, jako u úzkopásmové komunikace. Rozprostřené spektrum používá větší šířku pásma než úzkopásmová komunikace a nabízí výhodu lepší spolehlivosti, zabezpečení a integrity dat [4].

13

Rozprostřené spektrum, které využívá wifi, používá tři typy komunikace [5]: a) FHSS – Technika frekvenčních proskoků má vojenský původ. Vysílač skáče v pseunáhodném pořadí po jednotlivých frekvenčních pásmech a na každém vysílá krátký datový proud. Dostupná frekvenční šířka 83,5 MHz (platí pro většinu zemí) je rozdělena do 79 (nebo 75) kanálů o šířce 1 MHz. Zbylých cca 4,5 MHz slouží jako „ochranné pásmo― proti interferencím ze sousedního frekvenčního pásma. Rádiový signál pak skáče v pseudonáhodném pořadí po těchto kanálech, přičemž každých 30 vteřin vystřídá alespoň 75 kanálů a na každém vysílá maximálně 400 milivteřin. Podstatnou výhodou frekvenčních proskoků je větší počet systémů pracujících najednou v pásmu 2,4 GHz – teoreticky je to kolem 26, prakticky kolem 15 přístupových bodů.

b) DSSS – Systémy používající přímé sekvence rozprostřou po 22 MHz širokém frekvenčním pásu vysílanou informaci za použití matematického kódování. Celkem jsou k dispozici tři taková široká pásma. Přijímač inverzním postupem signál dekóduje. Původní standard 802.11 definuje fyzickou vrstvu DS o rychlosti 2Mb/s, standard 802.11b pak přináší přímou sekvenci o vysoké rychlosti (HR/DSSS PHY) až do 11 Mb/s.

c) OFDM – Systémy s ortogonálním frekvenčním multiplexem rozdělí přenosové pásmo na velké množství úzkých kanálů, data se v každém kanálu přenášejí relativně pomalu a signál je tak mnohem robustnější. Ve výsledku je ale rychlost přenosu dat součtem všech kanálů až 54 megabitů za sekundu. OTEM byla přijata jako standard IEEE 802.11a, tedy pásmo ISM 5 GHz, v roce 2003 byla ale také adaptována pro pásmo ISM 2,4 Ghz jako IEEE 802.11g.

14

2.4 Referenční model ISO/OSI Složitost problémů, se kterými se setkáváme při propojování počítačů do počítačových sítí, vyžaduje použití vhodných modelů, které umožní vytvoření standardizovaných prvku a usnadní jejich použití v praktických implementacích. Na síťové, technické a programové vybavení, jsme zvyklí se dívat jako na systém funkčních vrstev, ve kterém každá vyšší vrstva rozšiřuje možnosti vrstvy nižší. Pro přepojovací počítačové sítě, ze kterých se na počátku osmdesátých let vyvinuly dnes provozované veřejné datové sítě, byl vytvořen standardní model síťové architektury označovaný jako ISO/OSI (ISO Open Systems Interconnection). Stejně jako ostatní sítě, jsou i wifi sítě založeny na referenčním modelu propojení otevřených systémů (referenční model OSI), což je sedmivrstvý rámec popisující strukturu sítě a průběh komunikace od nejnižší vrstvy po nejvyšší [6].

DATA V R S T V Y

Data

Data

S Data T R O J Segmenty E V R Pakety S T V Y Rámce M É D I A

Bity

VRSTVY (účel vrstvy) Aplikační (síťový proces aplikací) Prezentační (reprezentace dat a krytování) Relační (komunikace mezi stroji) Transportní (END-to-END spojení a spolehlivost) Síťová (logické adresování) Spojová (MAC a LLC) Fyzická (médium, signál binární přenos)

Obrázek 1:Referenční model OSI

15

a) Fyzická vrstva definuje fyzické propojení mezi prvky sítě, jeho mechanické vlastnosti (konektory, typ média), elektrické vlastnosti (napěťové úrovně, způsob kódování a modulace) a u lokálních sítí i způsob propojení jednotlivých počítačů a metodu přístupu k přenosovému médiu. b) Linková vrstva zajišťuje data proti chybám při přenosu. Zprávy jsou sítí přenášeny v pevně definovaných rámcích, rámce dovolují chránit předávaná data proti chybám. Struktura rámce často limituje délku bloku dat sítové vrstvy — mluvíme o tzv. paketech. c) Sítová vrstva definuje způsob, jakým se pakety pohybují sítí, jak si je jednotlivé prvky sítě předávají na jejich cestě od odesílatele k adresátovi. Mechanismy vrstvy se konečně starají i o ochranu sítě proti nadměrné zátěži. d) Transportní vrstva umožňuje komunikaci aplikačních programu v síti, zajišťuje vytváření dočasných komunikačních spojení mezi nimi a konečně i rozklad zpráv do paketu a skládání paketu do zpráv. e) Relační vrstva (vrstva sezení) doplňuje logické rozhraní pro aplikační programy o funkce jakými jsou podpora poloduplexu a vkládání synchronizačních bodu. Zjednodušuje komunikaci programu i uživatelský pohled na komunikační kanál. f) Presentační vrstva transformuje přenášená data – zajišťuje převody kódu a formátu dat pro nekompatibilní počítače, kompresi přenášených dat a konečně i utajování přenášených dat. g) Aplikační vrstva je konečně vrstvou standardních aplikací a vrstvou rozhraní, která zjednodušují programování jednoúčelových aplikací. Model OSI se stal základem pro standardy v oblasti rozlehlých přepojovacích sítí. V oblasti lokálních sítí jsou nejdůležitější doporučení vytvářená pracovními skupinami IEEE. Tyto normy (IEEE 802.x) pokrývají nižší vrstvy (fyzickou a linkovou) architektury lokálních sítí (Ethernet, Token Ring, HFC, Wireless LANs).

16

3 Realizace bezdrátové sítě 3.1 Typy sítí Topologie sítě je uspořádání a struktura komponentů dané sítě. Wifi sítě se v topologii rozdělují na dvě části, základní soubor služeb (BSS, Basic Service Set) pro sítě ve které jsou všechna zařízení ve vzájemném dosahu nebo v dosahu jednoho přístupového bodu. Druhá část jsou sítě s rozšířeným souborem služeb (ESS, Extended Servise Set) umožňují překrývání většího počtu přístupových bodů, což značně rozšiřuje dosah jedné sítě. Základní soubor služeb(Basic Service Set) můžeme rozdělit na dva typy. První a jednodušší způsob zapojení je tzv. AD-hoc a druhý jsou sítě s infrastrukturou.

3.1.1 AD-hoc sítě Jedná se o propojení počítačů peer-to-peer, kdy počítače jsou na stejné úrovni a není zde žádný server. Výhodou propojení pomocí AD-hoc je v rychlosti a jednoduchosti, které se hodí na krátkodobé navázaní spojení s ostatními počítači např. k přenosu dat či hraní her. K delšímu využívání tohoto propojení se nedoporučuje kvůli nestabilitě, krátkému dosahu a rychlosti přenosu.

Obrázek 2:Schéma AD-hoc sítě Obrázek 2 znázorňuje nevýhodu propojení pomocí AD-hoc sítě. Kruhy u jednotlivých notebooků představují maximální dosah wifi adaptéru. Notebooky 1,3,4 po vytvoření AD-hoc sítě nemají žádný problém s komunikací mezi sebou. Avšak notebook 2 už do této sítě nespadá. Jediná možnost pro spojení má s notebookem č 4.

17

3.1.2 Infrastrukturální sítě Druhý, používanější typ BSS je infrastrukturální síť, která má přesně stanovenou strukturu. Hlavní rozdíl oproti AD-hoc sítí je v přístupovém bodu, který je jakýsi spojovací článek stanic a veškerá komunikace mezi stanicemi probíhá přes tento přístupový bod. Aby stanice byla připojena k síti, musí se nacházet v dosahu přístupového bodu a být přizpůsobena ke komunikaci s ním.

Obrázek 3: Schéma infrastrukturální sítě

Obrázek 3 nám vystihuje zřejmou výhodu sítě s infrastrukturou oproti AD-hoc sítí. Díky přístupovému bodu i notebook 2 může komunikovat s ostatními počítači, i přestože není v dosahu ostatních počítačů.

18

3.1.3 Rozšířená oblast služeb Rozšířená oblast služeb (ESS – Extended Servise Set) se skládá minimálně ze dvou BSS, která rozšíří oblast pokrytí bezdrátové sítě na velkou plochu. Hlavní výhodou této topologie je neustálé připojení na síť. Uživatel připojený na síť, může libovolně procházet jednotlivými oblasti BSS bez toho, aby ztratil signál. Pro vytvoření ESS musí síť splňovat následující podmínky: a) Všechny přístupové body musí být na stejném distribučním systému b) Přístupové body musí podporovat protokol IAPP (Inter Access Point Protocol) c) Dosah pokrytí jednotlivých přístupových bodů se musí překrývat d) Každý přístupový bod musí vysílat na stejném kanále e) SSID všech přístupových bodů musí být stejné

Obrázek 4: Rozšířená oblast služeb – ESS Jednoznačná výhoda této topologie je neustále připojení na bezdrátovou síť. Při pohybu mezi jednotlivými sektory přístupových bodů odpadá doba potřebná k autentizaci, přidělení IP adresy a dalších věcí spojených s připojením k síti a uživatel je neustále připojen na síť bez výpadků signálu(Roaming).

19

3.2 Komponenty sítě Každá síť se skládá z jednotlivých komponentů, které jsou nezbytné pro správné fungování sítě. Jestliže mluvíme o bezdrátových sítích, je to právě distribuční systém, přístupový bod, bezdrátové médium a stanice, které tvoří komponenty sítě, bez kterých se bezdrátová síť neobejde.

Obrázek 5: Jednotlivé komponenty bezdrátové sítě

3.2.1 Distribuční systém Ze zdroje [5] jsem se dozvěděl, že distribuční systém je logická komponenta standardu 802.11, která slouží k přesměrování datového toku na stanici skutečného určení podle její aktuální polohy v síti. V naprosté většině bezdrátových komerčních systémů je distribuční systém řešen jako kombinace síťového mostu (bridge) a distribučního média, jímž je páteřní síť používaná pro přenášení dat mezi stanicemi. Páteřní sítí je v naprosté většině Ethernet, ale můžeme se setkat i s SDH (Synchronní Digitální Hierarchie - technologie vysokorychlostní přenosové sítě s optickými vlákny)

3.2.2 Přístupový bod V sítích s infrastrukturou se musí vždy nacházet přístupový bod, nebo-li Access point. Funkce přístupového bodu je přemostění mezi kabelovou a bezdrátovou sítí. Jednoduše řečeno, přístupový bod nám umožní připojit vytvořenou síť do internetového světa.

20

3.2.3 Bezdrátové médium Médium, nosič dat a informací je dalším stavebním prvkem bezdrátové sítě. U klasických kabelových sítí je médiem ethernetový kabel. U bezdrátových sítí to jsou rádiové frekvence a nikoli vzduch, jak mnohé napadne.

3.2.4 Stanice Stanice může být jakékoliv zařízení, které je vybaveno bezdrátovou technologií. Nejčastěji se setkáváme s notebookem, počítačem, tiskárnou, PDA, ale v poslední době i s mobilními telefony vybaveny wifi.

4 Hardwarová koncepce 4.1 Plánování Důležitým krokem před samostatnou výstavbou sítě je naplánování si jednotlivých kroků a požadavků. Samotné zamyšlení nad strukturou sítě nám otevře mnoho nových obzorů, které bychom jednoduše mohli opomenout, a v konečném důsledku by vybudovaná síť nesplňovala naše představy.

4.1.1 Shromáždění požadavků K vytvoření sítě nám pomůže sepsání požadavků a nároků na síť. Tento seznam nám poslouží k ulehčení a překonání problémů, na které bychom mohli narazit při výstavbě. Vyřešení těchto problému v průběhu budování sítě by bylo náročné z důvodů technických a finančních. Podívejme se na body, které jsou nezbytné pro sestavení správného plánu. a) Účel sítě – Otázka, co od sítě očekáváme je prvotní bod, na který musíme klást velký důraz. Odpovědi je vhodné hledat nejen ve svých vizích, ale zaměřit se i na uživatele, které v budoucnu budou ze sítí pracovat.

21

b) Prostředí – Zmonitorování oblasti výstavby sítě, zabezpečí podrobnější přehled o rozložení antén. Nejlepší způsob představy o zasíťování areálu je z plánu budovy. Díky informacím z projektu budovy máme lepší přehled o rozložení překážek, které by mohli sílu signálu rušit. c) Uživatelé – Kdo všechno bude wifi síť využívat? Je potřeba aby každý měl možnost k připojení? Bude propustnost sítě dostačující na počet uživatelů? d) Pokrytí – Odpovědí na pokrytí je asi jednoduchá: „Nejideálnější pokrytí je celého objektu.― Ale je to opravdu potřeba? Najdou se místa, kde pokrytí nemusí být a značně nám to ulehčí z rozpočtu na síť. Na druhou stranu se v organizaci najdou místa, kde akumulace uživatelů bude větší a tím se i nároky na síť zvýší. e) Rychlost – Další důležitou otázkou je, jak rychlá by síť měla být. Postačí, když síť bude zvládat nenáročné přenosy souborů či stahovaní e-mailů? Nebo se od sítě očekává minimální odezva? Odpověď závisí na účelu využívání sítě. f) Rozšiřitelnost – Je naivní myslet si, že postavená síť se nadále nebude rozšiřovat. Jedná-li se přímo o firmu, musíme počítat s nárůstem uživatelů. Proto je dobré už při prvotních plánech počítat s více uživateli nebo připravit síť na případnou expanzi. g) Bezpečnost – Kdo všechno bude mít přístup na síť. Budou moci zákazníci obchodní partneři sdílet naši síť? Vše je důležité si pečlivě rozmyslet, aby nedošlo k narušení bezpečnosti. h) Finance – Díky velkému rozmachu bezdrátových sítí a pokroků v těchto technologií se ceny dostaly na dostupnou hranici. Proto je na každém jednotlivci, kolik bude chtít investovat do jednotlivých komponentů. I zde platí čím vyšší cena, tím větší kvalita.

4.1.2 Průzkum místa Konečně můžeme odložit tužku a vydat se s požadavky na místo budoucí sítě. Vše už máme dobře promyšlené a můžeme se pustit do praktičtějšího plánování. V této části projektování je dobré mít s sebou seznam požadavků a zápisník, kde si zjištěné informace z terénu zapíšeme. Zaměříme se na fyzické překážky, které by mohly rušit signál.(Rámy dveří, silné stěny, železné sloupy,…). Vyznačíme si nejvhodnější umístění antén podle zjištěných informací.

22

4.1.3 Návrh sítě Návrh sítě, na rozdíl od topologie sítě, definuje proces konstrukce sítě, včetně fyzické i logické organizace jejich částí a toho, jak jsou vzájemně propojeny. Propojení sítě můžeme provést za použití kombinace bezdrátové a kabelové topologie. Podle [5] můžeme navržené sítě rozdělit do následujících modelů: a) Širokopásmové směrovače jsou vhodné pro vytvoření menších domácích sítí. Směrovač (router) pracuje na třetí vrstvě ISO/OSI modelu - logické adresování. Směruje data mezi vnitřní sítí a internetem. Router ve většině případů využívá protokol TCP/IP, ale může podporovat i jiné protokoly např. IPX / SPX, AppleTalk. Díky routru můžeme rozšířit domácí síť o několik počítačů a tím mít na všech počítačích přístup k internetu. Chceme-li využít bezdrátové pokrytí, stačí zakoupit router s podporou wifi. b) Point to point(PTP) je propojení dvou bodů,nejčastěji dvou LAN sítí, za pomoci wifi. Tento model se používá všude tam, kde máme dvě oddělené LAN sítě a například pouze u jedné je přípojka k Internetu. Aby obě sítě mohli využívat připojení k internetu, propojí se pomocí PTP. c) Point to multipoint (PTMP) díky této funkci, můžeme připojit k jedné síti více dalších LAN sítí. Jednotlivý výrobci mají odlišné nároky na nastavení jednotlivých zařízení, ale v celkovém výsledku princip je stejný. Máme zde jedno zařízení, které je centrální ( funkce hlavního mostu) a ostatní které jsou k němu podřízené. Podřízené zařízení mezi sebou nemohou komunikovat. d) Model s využitím bezdrátového opakovače je možné jednotlivé přístupové body mezi sebou propojit bezdrátově a ethernetouvou přípojku použít pouze pro jeden z nich. Tato metoda je velice praktická. Jedinou nevýhodou je cena

přístupových bodů

s podporou opakovače. e) Master plus AP je rozšířenou funkcí PTMP o fakt, že jednotka sloužící jako hlavní jednotka (master) s síti PTMP může k sobě kromě podřízených jednotek připojovat i bezdrátové klienty.

23

4.1.4 Sumarizace všech faktorů Dostali jsme se do posledního kroku plánování. V tomto bodě se zaměříme na vytvoření plánu implementace. Z abstraktních výkresů a plánů si vytvoříme instalační projekt, ve kterém budeme mít vyznačený přesný dosah přístupových bodů. Zamyslíme se i nad tím, jak klientům budou přiřazovány IP adresy, jestli využijí bezdrátové sítě nebo zůstanou na původních kabelech.

4.2 Výstavba sítě 4.2.1 Možnosti přístupu na internet a) ADSL (Asymetric Digital Subscriber Line) – je v současnosti nejvyužívanější širokopásmový přístup. K přenosu dat slouží telefonní linka, která má vyhrazenou frekvenci pro přenos dat. Důvod rozšíření tohoto přístupu je v přijatelné ceně a v asymetrickém připojení, kdy rychlost stahování dat (download) je vyšší, než zpětná rychlost (upload). Vyšší download ocení uživatelé běžných sítí, kdy stahování, sledování online filmů preferují například před sdílením dat a tím i většímu nároku na upload. Tabulka 2: Přehled výhod a nevýhod ADSL přístupu ADSL

+

-

rychlost spolehlivost dostupnost stabilita veřejná IP adresa

datové limity nízký upload platba měsíčního paušálu pevné linky

24

b) Kabelový přístup – širokopásmový přístup nabízejí společnosti provozující kabelové televize, které rozšířily svoji páteřní síť pomocí optických kabelů. Dostupnost kabelového přístupu je značný, díky rozšířené síti kabelové televize. V současné době je na trhu jediný poskytovatel tohoto připojení, společnost UPC. Tabulka 3: Přehled výhod a nevýhod kabelového přístupu Kabelový přístup

+

-

cena rychlost absence limitů veřejná IP adresa

rozdíl v rychlosti downloadu a uploadu dostupnost ( jen velká města )

c) Wifi – způsob, jak se připojit k bezdrátové síti je pomocí hotspotu( Přístupového bodu), který představuje vysílač signálu. Rozšířenost připojení je v České republice vyšší než ve zbylých zemí EU. Tabulka 4: Přehled výhod a nevýhod wifi přístupu Wifi

+

-

cena dostupnost variabilita

rychlost odezvy náchylnost na počasí nároky na HW

4.2.2 Výběr Acces pointu Výběr Access pointu bude záležet na tom, pro které cílové spotřebitele je určen. Těžko si domácnost nebo malá firma pořídí přístupový bod pohybující se v cenové hladině nad 10 000 Kč. A velké podniky nedají přednost klasickým bezdrátovým směrovačům, podporující základní možnosti správy. Přístupové body, zaměřené pro větší počet uživatelů obsahují v sobě profesionální funkce síťového managementu, podporují lepší bezpečnost a integritu s ostatními zařízeními.

25

Typy pro správný výběr přístupového bodu [5]: Výkon – množství maximálního počtu připojených uživatelů Možnost připojení externích antén – zlepšení dosahu signálu Vhodné rozhraní do kabelové sítě – možnost připojení tiskárny Způsob napájení – možnost napájení přes ethernetový kabel – power over Ethernet(PoE) Podpora DHCP serveru – automatické přidělování adres Možnost rozšíření radiostanic – vysílání na rozlišných frekvencích Zabezpečení Další podporované funkce – VPN, roaming, dynamické směrování Při výběru Access pointu je důležité se zamyslet, které funkce využijeme a nebo potřebujeme. Je zbytečné platit za nadstandard, který v průběhu používání sítě nebudeme mít možnost využít.

4.2.3 Antény Antény rozlišujeme podle toho, do kterých směrů signál distribuují: a) Všesměrové – signál šíří do všech stran, tedy vykrývají úhel 360°. Využívají se pro souvislé pokrytí a jsou nejběžnější výbavou dodávaných zařízení. Nevýhodou je nenasměrování maximálního signálu všem klientům. b) Sektorové – signál vyzařuje do určitého sektoru pod úhlem od 30° do 180°. Využívá se pro vykrytí specifických oblastí a zároveň k zabránění pronikání signálu na nechtěná místa. c) Směrové – tento typ antén vychází ze sektorových antén. Tyto antény mají vyzařovací diagram od 7° do 50° a využívají se pro klientské přijímače, nebo pro páteřní spoje sítě. Jedná se o směrové parabolické antény, takzvaná síta nebo antény typu Yagi.

26

Tabulka 5: Přehled typů antén Typ antény

Vyzařovací úhel

Zisk

Dosah signálu (max.)

Typy

Všesměrové Sektorové

360° 30° - 180°

do 15 dBi 9 - 16 dBi

500 m 300 m

Omni, Orinoco Biquad, Amos

7°- 50°

11 - 31 dBi

3 000 m

Yagi, Moxon

Směrové

Důležité parametry antén: Zisk (Gain) – Jedná se o poměr mezi intenzitou vyzařování v daném směru k intenzitě vyzařování, kterou bychom obdrželi, kdyby energie přijatá anténou byla vyzářena rovnoměrně do všech směrů, tedy takzvanou izotropní anténou. Čím vyšší ziskovost, tím vzdálenější signál je anténa schopna zachytit. Polarizace – Polarizace je vertikální a horizontální. Pro správnou funkci antén je důležité obě antény nastavit ve stejné polarizaci, jinak dochází k signálovému šumu. Vyzařovací úhel – popisuje anténu, do jakého směru a úhlu anténa vyzařuje

Obrázek 6: Všesměrová anténa

Obrázek 7: Sektorová anténa

Obrázek 8: Směrová anténa

27

5 Bezpečnost Nacházíme se ve světě, kde se počítače staly součástí každodenního života. Představit si den bez použití počítače jako pomocníka při práci nebo prostředníka v komunikaci s přáteli je téměř nemožné. Bohužel uživatelé často opomíjejí i nevýhody práce s počítačem napojeným na síť a to především nevýhodu v bezpečnosti. Před domem si zamkneme auto, peněženku nosíme na bezpečném místě, při použití občanského průkazu jsme nedůvěřivý, ale při práci na síti často zapomínáme na ochranu svých věcí. Zveřejnění osobních fotek, zachycení komunikace s druhou osobou a mnoho dalších nepříjemností je samozřejmě nepříjemné, ale podívejme se na problematiku z firemního pohledu.

5.1 Důležitost zabezpečení Jak už bylo řečeno, téměř vše se točí kolem počítačů. Informace o firmě ( finanční hospodaření, čísla účtů,...) vše je uloženo na počítačích a díky tomu, že jsou připojení k síti tak jsou vystavěny při nedostatečné zabezpečenosti i neoprávněným lidem. Zneužití informací není jediným problémem bezpečnosti wifi sítí, ale dobří hackři mohou způsobit kolaps sítě, odesílat za vás e-maily a způsobit mnoho dalších škod. Největším nebezpečím jsou tzv. war drivers. Tyto osoby projíždějí ve svých autech ulicemi měst a zjišťují možnost nabourání se do wifi-sítí. Často využívají i moderní antény pro zlepšení zachycení wifi signálů. Jak se tedy bránit vnějším útokům?

5.2 Metody ochrany sítí protokolem WEP Základní ochranou pro bezdrátové sítě a zabezpečením rádiové části sítě je pomocí standardu WEP (Wired Equivalent Privacy). Hlavním úkolem tohoto standardu je šifrovat jednotlivé toky dat mezi Wifi zařízeními. Pro šifrování informací se využívá šifra s tajným klíčem, RC4. Podle zdroje [3] protokol WEP obsahuje tři bezpečnostní služby.

28

5.2.1 Autentizace Bezdrátové zařízení pro navázaní připojení s nějakou stanicí nebo přístupovým bodem musí provést svoji autentizaci před vpuštěním na síť. Uživatel se může azutentizovat dvěma způsoby. První metoda je založena na použití šifrování, zatímco druhá šifrování nepoužívá. Postup využívající šifrování spočívá v elementární šifrovací technice, která neumožňuje vzájemnou autentizaci. Klient tedy neprovádí autentizaci přístupového bodu, a proto nemá k dispozici žádný způsob, jak se ujistit, že komunikuje s oprávněným přístupovým bodem. Pro lepší znázornění je autentizace zobrazena na obrázku.

Obrázek 9: Průběh procesu autentizace 1. Stanice žádá přístupový bod o navázaní spojení 2. Přístupový bod vyšle náhodně vygenerované číslo stanici 3. Stanice odpoví výzvou zašifrovanou podle šifrovacího klíče 4. Přístupový bod dešifruje odpověď od stanice a jestliže dešifrovaná hodnota odpovídá odeslané výzvě, povolí klientovi přístup

5.2.2 Utajení Pro utajení a důvěrnost se v protokolu WEP rovněž používá šifrovací technika RC4, která využívá buď 64, 128 nebo 256 –bitový klíč. K přenášeným datům se přidá klíčovaní tok a provádí šifrování celého paketu s výjimkou informací spojené vrstvy, které usnadňují komunikaci mezi bezdrátovým klientem a přístupovým bodem.

29

5.2.3 Integrita Cílem služby je při zjištění narušení bezpečnosti přenosu zprávy odmítnout onu zprávu. Tato služba využívá kontrolu CRC (Cyclic Redudancy Check) nebo FCM (Frame Check Seyuency). Před vysláním zprávy dojde k výpočtu CRC a jeho přidání. Příjemce obdrží zašifrovanou zprávu a vypočítá si vlastní CRC, při shodném výsledku s odeslanou hodnotou zprávu přijme.

5.2.4 Bezpečnost s WPA Protokol WEP je původním standardem zabezpečení sítě. Vznikl v roce 1999 jako součást normy 802.11. Už v prvních letech svého využívání se prokázala zranitelnost šifrovacího algoritmu RC4, který je vzhledem k délce klíče lehce překonatelnou ochranou. Získat klíč, použitím speciálních programů (airodump, aircrack, aireplay), zabere několik desítek minut. Konsorcium wifi muselo vyvinout lepší zabezpečení. V roce 2003 vypouští standard WPA, který by měl eliminovat nedostatky standardu WEP. Vylepšení spočívá v rozšířeném inicializačním vektorem (ochrana proti Weak Keys), technikou Re-Keying (automatická změna klíče WEP po připojení nového zařízení do sítě) a kontrolou integrity (Message Integrity Check), která má zabránit změně dat na cestě od odesílatele k příjemci [7]. Další novinkami ve WPA je Per Packet Miziny (měnící se pozice inicializačního vektoru v paketu) a protokol TKIP (Tempoval Key Integrity Protocol). TKIP je zodpovědný za zabezpečení šifrovacího klíče. U WEP existují pouze statické klíče používané k šifrování dat. Tyto klíče musí uživatel zadat. Naproti tomu protokol TKIP generuje vlastní šifrovací klíče. Nejprve uživatel zadá dočasný klíč k připojení s přístupovým bodem. Poté přístupový bod vygeneruje nový klíč a předá jej síti, který dále využívá. Díky tomu mechanismu zná klíč pouze přístupový bod a nikdo klíč nemůže zjistit.

30

5.3 Ochrana pomocí firewallu Další důležitou ochranou sítě je firewall. Firewallem může být implementován hardwarovým i softwarovým řešením, které umožňuje mnoho funkcí k ochraně vnějšího útoku. Firewall je umístěn na vstupu do sítě nebo mezi jednotlivými segmenty sítě. Firewally nejčastěji využívají tři metody pro pronikání toků informací v síti. a) Filtrování paketů (packet filtering) – metoda používá seznam filtrů, které jsou nastaveny správcem sítě. Pakety, které se dostaly k firewalu jsou zkontrolovány podle seznamu filtrů. Poté následují možnosti jak firewall s danými pakety operuje. Při splnění podmínek filtru jsou pakety propuštěny v druhém případě jsou zahozeny. b) Služba zástupce ( proxy ) – Služba využívá předstírání, že se jedná o koncový bod spojení. Stanice na internetu komunikuje s firewallem, který jedná jako zástupce klienta lokální sítě. Všechny informace projdou přes firewall, aniž by to klient věděl. c) Stavová inspekce (stateful inspection) – metoda stavové inspekce nekontroluje každý obsah paketů, který projde firewallem. Místo toho se určitá část paketů porovná s databází důvěryhodných informací, které podle kriterií vyhodnotí, co s daným paketem provést.

5.4 Filtrování adres Filtrování MAC adres umožňuje správci sítě vytvořit seznam MAC adres ( identifikace síťové karty), kterým povolí přístup na síť. Možnost filtrování MAC adres se liší podle jednotlivých výrobců. Nastavit filtrování se může přesným výčtem povolených adres nebo zakázáním jednotlivých adres k připojení. Další možností je nastavit čas povolení přístupu (velice užitečné při jednorázovém povolení přístupu).

5.5 Maximalizace bezpečnosti Pro vaši bezpečnost a bezpečnost dat často nepotřebujete nákladná hardwarová a softwarová řešení. Často postačí držet se jednotlivých zásad, která zefektivní celkové zabezpečení. Jednotlivá opatření postaví zdi mezi útočníkem a vaší síti, které díky časové náročnosti mohou útočníka odradit od nabourání se do vaší sítě [7].

31

Používejte nejlepší možné šifrování přenosu dat. V případě, že je to možné aktivujte WPA-TKIP. Každý týden obměňujte šifru při použití algoritmu WEP. Používejte komplikované šifrovací řetězce, např. G%9xH223t3!as. Používejte nejdelší možný šifrovací klíč ( 64, 128, 256 a více )u všech klientů sítě. Zabezpečte své sdílené soubory. Považujte vaší bezdrátovou síť za stejně nebezpečnou jako Internet – používejte firewall Pravidelně aktualizujte firmware a ovladače vašich bezdrátových zařízení. Využijte veškeré filtrační funkce přístupového bodu. Pravidelně měňte všechna hesla Vytvořte skupiny uživatelů se zásady, které jim umožní pouze přístup každé skupiny na povolené místa v síti.

6

Budoucnost wifi sítí

Náročnost uživatelů na požadavky bezdrátových sítí každým dnem stoupají. Je to především maximalizace pokrytí bezdrátových sítí, propustnost, mobilita a v neposlední řadě bezpečnost. Všechny tyto nároky dnešní wifi sítě splňují, ale zdaleka nejsou na maximálním stropu využití. Hlavní příčinou nevyužití maximální efektivnosti je ve struktuře topologie, která vychází z buňkové architektury.[9] Budoucnost bezdrátových sítí se vydá směrem ke sjednocení jednotlivých přístupových bodů a postupem času k maximálnímu pokrytí signálem. První kroky pro splnění této vize je v bezdrátových sítí 4. generace. Tato generace využívá architekturu blanketu, která všechny přístupové body váže na hlavní centrální prvek v síti. Snižuje to možnost napadnutí systému, protože veškerá komunikace probíhá přes tuto centrálu. Další výhodou je vysílání signálu na stejné úrovni kanálu, což zabraňuje výpadkům signálu při roamingu. Je jen otázkou času, kdy inženýři začnou rozvíjet tuto technologii a doženou ji ještě k lepší funkcionalitě, kdy se zvýší frekvence přenosu a tím i rychlost připojení a stabilita.

32

Praktická část

33

7 Seznámení s praktickou částí Ze zadání práce vyplývá, že mám vytvořit návrh několika hardwarových koncepcí, které umožní vytvoření bezdrátové sítě ve středně velké firmě. Bližší specifikaci požadavků jsem vytvořil na základě plánování výstavby sítě, popsané v teoretické části. Specifikace sítě jsem zvolil sám, jako výchozí bod pro přesnější modelaci sítě. Hodnoty jsou zanesené v tabulce.

Počet uživatelů Náklady na síť Bezpečnost Rychlost Pokrytí signálem

35 3 000 Kč Maximální 4 Mbit/s 2 patra

Pro výběr nejoptimálnějšího zařízení jsem použil portál www.alza.cz, kde jsem vybral nejprodávanější produkt od jednotlivých výrobců a posléze pomocí vícekriteriálního rozhodování vybral ten nejoptimálnější, který jsem použil pro modelaci budoucí sítě. Jako hlavní kritéria pro posouzení jednotlivých variant jsem vybral cenu, výkon, bezpečnost a spolehlivost. Domnívám se, že jsou to nejdůležitější parametry pro optimální výběr, avšak v praktickém výběru by záleželo na specifičtějších požadavků objednavatele.

8 Vícekriteriální rozhodování 8.1 Jednotlivá kritéria a) Cena – Důležité kritérium, které hraje velkou roli při výběru hardwaru. Budeme preferovat nižší cenu, aby celkové náklady na vytvořenou síť byly co nejnižší. Cena je uváděna v českých korunách. b) Výkon – Další neopominutelné kritérium je velikost výstupního výkonu. Výkon udává, jaký dosah bude mít dané zařízení. Čím vyšší výkon, tím vyšší dosah signálu. Výkon se uvádí v decibelech. c) Bezpečnost – Zabezpečení je pro firmu nepostradatelným aspektem. Bezdrátové zařízení podporující více bezpečnostních opatření budou atraktivnější před zařízeními, které útočník jednoduše prolomí.

34

Bezpečnost 1. WEP 2. WPA2 3. WPA2 - PSK 4. Filtrace MAC adres 5. IP filtring 6. NAT sharing Pro lepší orientaci v zabezpečení jednotlivých přístupových bodů je v tabulce seznam možných zabezpečení. Pokud zařízení splňuje dané zabezpečení, má písmeno A značící ANO. V případě absence zabezpečení je v tabulce N (Ne). d) Spolehlivost – Zkušenosti uživatelů s jednotlivými zařízeními jsem ohodnotil pomocí bodové stupnice od 1 do10, kde číslo 10 vyjadřuje nejlepší spolehlivost. Názory a zkušenosti uživatelů jsem zjišťoval z jednotlivých portálů.

8.2 Alternativy hardwaru a) TP-LINK TL-WR340GD

Cena Výkon Bezpečnost Spolehlivost

499 Kč 17dBm A,A,A,A,A,A 9/10

Popis zařízení: Kvalitní bezdrátový router od solečnosti TP-LINK nabízející možnost připojení až 4 počítaču pomocí LAN konektorů, nebo pomocí vestavěného bezdrátového vysílače podporující standardy IEEE 802,11g a 802,11b. Samozřejmostí je také podpora mnoha bezdrátových modulací, standardních operačních módů, jako je například bridge, gateway a jiné. Mezi bezpečnostními prvky samozřejmě také naleznete podporu šifrování a to, jak WPA, tak také WEP, dále filtraci MAC adres a skrývání SSID routeru.

35

b) GETNET GA-524WB

Cena Výkon Bezpečnost Spolehlivost

851 Kč 16 dBm A,A,A,A,A,N 7/10

Popis zařízení: Aktivní síťový prvek, který v sobě ukrývá několik zařízení naráz. Připojení k internetu přes existující telefonní linku zajistí funkce ADSL2+ .Sdílení internetu v domácnosti či malé firmě poté zajistí funkce bezdrátového WiFi routeru pracující v pásmech 802.11b/g/n. Pro rozvod kabelové sítě poslouží integrovaný switch se 4 LAN porty dovolující datový tok o rychlosti 10/100 Mbit/s. Nechybí Firewall, NAT, filtry MAC a IP adres a neprolomitelný WPA2-PSK

c) ASUS RT-N10 Cena Výkon Bezpečnost Spolehlivost

649 Kč 18 dBm A,A,A,A,A,A 8/10

Popis zařízení: Pokročilý router, který nabízí možnost klasického kabelového připojení až pro čtyři stanice i možnost bezdrátového Wi-Fi připojení. Samozřejmostí je pak možnost připojení ADSL či jiného modemu pro sdílení internetu. Přístroj obsahuje jednu PCB anténu a konektor pro připojení antény externí.. Samozřejmostí je celá řada bezpečnostních funkcí včetně firewallu.

36

d) D-Link DIR-600

Cena Výkon Bezpečnost Spolehlivost

699 Kč 15 dBm A,A,N,A,A,N 9/10

Popis zařízení: Kompaktní bezdrátový přístupový bod k síti WiFi kombinovaný s routerem podporuje standardy 802.11b/g. Zařízení umožňuje sdílet připojení k síti nebo k internetu mezi až 253 uživateli, pro vyšší bezpečnost podporuje pokročilé funkce jako NAT, WPA2 a další. Obsahuje vestavěný DHCP server pro automatické přidělování IP adres.

e) OvisLink WL-5470POE

Cena Výkon Bezpečnost Spolehlivost

1 399 Kč 20 dBm A,A,A,A,A,N 9/10

Popis zařízení: Opravdu šikovný a všestranný bezdrátový přípojný bod, který má pět portů RJ45 a dokáže tak zprostředkovávat nebo koordinovat síťový provoz v osmi různých módech (most, brána, router, klient, atd.). Má pokročilé možnosti bezpečnostní ochrany a šifrování jako např. WPA2-PSK.

37

8.3 Řešení Pro výpočet vícekriteriálního rozhodování jsem použil metodu váženého součtu (WSA), která vychází z principu maximalizace užitku. Jednotlivé kritéria jsem zapsal do tabulky, z které pomocí maximalizace vytvořím normalizovanou kriteriální tabulku. Tabulka 6 : Výchozí kriteriální tabulka TP-LINK GETNET ASUS D-Link OvisLink

CENA 499 851 649 699 1399

VÝKON 17 16 18 15 20

BEZPEČNOST 6 5 6 4 5

SPOLEHLIVOST 9 7 8 9 9

Při maximalizaci minima (Cena) musím vzít největší prvek v daného sloupci a postupně odečíst všechny ostatní prvky.(1399 – 499 = 900) Tabulka 7: Maximalizační tabulka TP-LINK GETNET ASUS D-Link OvisLink

CENA 900 548 750 700 0

VÝKON 17 18 17 19 20

BEZPEČNOST 6 5 6 4 5

SPOLEHLIVOST 9 7 8 9 9

Nyní určím maximální (H) a minimální (D) hodnoty jednotlivých sloupců : H = (900;20;6;9) D = (0;17;4;7)

A následně pomocí transformačního vzorce[8] vytvořím normalizovanou kriteriální tabulku, jejíž prvky vyjadřují hodnoty užitku dané varianty podle určitého kritéria.

Tabulka 8: Normalizovaná kriteriální tabulka TP-LINK GETNET ASUS D-Link OvisLink

CENA

VÝKON

BEZPEČNOST

SPOLEHLIVOST

1 0,6 0,83 0,78 0

0 0,33 0 0,66 1

1 0,5 1 0 0,5

1 0 0,5 1 1

38

Pro výpočet vah kritérií jsem použil metodu Fullerova trojúhelníku, kde se postupně srovnávají každé dvě varianty. cena výkon

cena bezpečnost

cena spolehlivost

výkon bezpečnost

výkon spolehlivost bezpečnost spolehlivost

Následovně určím váhu jednotlivých kritérií, neboli důležitost jakou jim přisuzuji Tabulka 9: Váha kritérií KRITÉRIUM

BODY

VÁHA

Cena Výkon Bezpečnost Spolehlivost

2 0,5 0,5 3

0,34 0,08 0,08 0,50

Suma všech kritérií

1,00

Po provedení vícekriteriálního rozhodování jsem došel k výsledku, že podle zadaných kritérií je optimální hardware TP-LINK s nejvyšší hodnotou užitku 0,910. Tabulka 10: Vyhodnocení alternativ

TP-LINK GETNET ASUS D-Link OvisLink

CENA

VÝKON

BEZPEČNOST

SPOLEHLIVOST

VÝSLEDEK VARIANT

0,330 0,198 0,274 0,257 0,000

0,000 0,026 0,000 0,050 0,080

0,08 0,04 0,08 0,00 0,04

0,50 0,00 0,25 0,50 0,50

0,910 0,264 0,604 0,807 0,620

39

9 Návrh řešení struktury sítě Po důkladném prostudování požadavků na funkcionalitu a pokrytí bezdrátové sítě jsem namodeloval následující strukturu sítě, která by podle mého měla splňovat veškerá kritéria na požadovanou síť.

Obrázek 10: Model AP plus Bridging

Model, který jsem zvolil se nazývá AP plus Bridging. Princip a fungování jsem rozebral v teoretické části v kapitole 4.1.3. Návrh sítě. Nyní se na to podíváme z praktičtějšího pohledu.Výběr připojení k internetu nebudu blíže rozebírat, postačí nám informace, že vybraný ISP (Internet service provider) má předdefinovanou vnější síť (WAN: 172.16.7.175). Rovněž propojení klientského zařízení s naším AP má na starost ISP(ve většině případů k propojení volí ethernetový kabel). Síť je rozdělena na dva segmenty. První segment funguje jako výchozí brána, která zprostředkovává propojení vnitřní sítě (LAN: 192.168.1.1) s internetem. Další činností prvního segmentu je, že má na starost pokrytí signálu v přízemí budovy, kde jednotlivým

40

stanicím přiděluje IP adresy a tím jim umožňuje přístup k síti.Druhý segment je přiřazen k prvnímu za pomoci mostu ( BRIDGE ). K propojení jsem použil ethernetový kabel, pro zmenšení výskytu signálů jednotlivých antén a tím zmenšení případného rušení. Aby BRIDGE mohl komunikovat s prvním segmentem, má nastavenou statickou LAN adresu, která je v rozsahu přidělovaných adres DHCP serverem prvního přístupového bodu. Druhý segment má na starost pokrytí 1.patra a přiřazování IP adres v druhé LAN síti. Aby druhá síť mohla být propojena na Internet, musí být nastavena výchozí brána (v našem případě LAN adresa prvního přístupového bodu). Výhodou této topologie je rychlá komunikace mezi jednotlivými stanicemi. Veškeré interní informace posílané uvnitř firmy zůstávají na lokální síti, tím se zvýší propustnost sítě. Zároveň se zvyšuje bezpečnost interních dat.

10 Nastavení a konfigurace AP Začneme vypnutím všech zařízení, které máme v síti – bezdrátového routru a počítače. Následně propojíme ethernetový kabel z portu lokální sítě na přístupovém bodu k ethernetovému portu na počítači, který budeme používat pro konfiguraci přístupového bodu. Zapneme obě zařízení a na počítači nastavíme automatické přidělení IP adresy. Obě zařízení restartujeme. Po restartu počítač obdrží automaticky IP adresu od přístupového bodu, takže můžeme s přístupovým bodem komunikovat pomocí webového rozhraní.

41

Tabulka 11: Nabídka funkcionality routru

Zobrazí současný status Access Pointu a základní nastavení Možnost počátečního nastavení AP podle jednotlivých kroků Natavení funkce AP – Brána, Most, WISP Klient Možnost nastavení Wireless LAN – SSID, Frekvence, Typ AP Pokročilejší nastavení pro bezdrátovou síť Bezdrátové zabezpečení, možnost zapnutí WEP nebo WPA ochrany Nastavení přístupu na síť pomocí filtrace MAC adres Nastavení distribučního systému pro komunikaci s ostatními AP Nástroj pro skenování bezdrátové sítě s možností připojení Aktuální síla signálu Nastavení parametrů pro přímé připojení pomocí LAN k AP Možnost konfigurace parametrů k připojení k internetu Nastavení IP aliasů Vytvoření seznamu portů, které mohou projít ze sítě do internetu Vytvoření seznamu IP adres, které mohou projít ze sítě do internetu Filtrace za pomoci MAC adres Možnost přesměrování portů Filtrování pomocí specifických slov či spojení Statistika přijatých a odeslaných paketů Úprava etherových souborů Úprava osobního skriptovacího souboru Nastavení dynamické DNS Systémové příkazy Nástroj pro prozkoumání sítě Nastavení časové zóny Možnost nastavení logování Nahrání upgradu pro firmware Speciální software pro restartování systému při špatném pingu Nastavení interního webového portu Možnost uložení a nahrání nastavení AP Nastavení hesla pro přístup na AP Přeinstalování a vrácení nastavení do původního stavu

42

10.1 Nastavení přístupu k internetu Samotné nastavení WAN provádí ISP, od kterého si necháváme síť distribuovat. Samozřejmě je tu možnost změnění

IP adresy, masky a výchozí brány. Ovšem sám distributor

internetového připojení nedoporučuje měnit nastavení.

Dále nastavíme mód bezdrátového routru. Zde máme možnost z výběru GATEWAY, BRIDGE a WISP klient.V našem případě chceme, aby náš router tvořil bránu mezi vnitřní sítí a Internetem, proto zvolíme první možnost GATEWAY.

43

10.2 Nastavení bezdrátového vysílání V dalším kroku nastavíme frekvenci, na které bude router vysílat. Zvolili jsme frekvenci 2,4 GHz, která má lepší vlastnosti pro šíření signálů oproti 5 GHz, kdy signál se průchodem přes překážky tříští. Nastavíme název sítě (SSID) pro rozlišení a identifikaci sítě. Zvolili jsme název Prizemi. Důležitým bodem je správné nastavení kanálů. Při výskytu více přístupových bodů se stejným kanálem dochází k rušení signálů a tím jsou spojeny výpadky signálu.

Nastavíme IP protokol na fixní, nebo-li statický. Díky fixnímu nastavení IP adresy odebereme náročnost požadavků na router a správci sítě to umožní lepší orientaci v přidělování IP adres jednotlivým klientům.

Volbu IP adresy volte z vyhrazených adres. Já jsem zvolil adresu ze třídy C: 192.168.1.1 Nastavíme rozsah IP adres, které bude DHCP server přidělovat: 192.168.1.30 – 192.168.1.200

44

10.3 Nastavení DHCP serveru Nastavíme IP protokol na fixní, nebo-li statický. Díky fixnímu nastavení IP adresy odebereme náročnost požadavků na router a správci sítě to umožní lepší orientaci v přidělování IP adres jednotlivým klientům.

Volbu IP adresy volte z vyhrazených adres. Já jsem zvolil adresu ze třídy C: 192.168.1.1 Nastavíme rozsah IP adres, které bude DHCP server přidělovat: 192.168.1.30 – 192.168.1.200

45

11 Konfigurace AP – Bridge Druhé bezdrátové zařízení bude stejné značky, jako přístupový bod prvního segmentu. Smysl použití stejného produktu je ve zvýšení interoperability mezi přístroji. Postup nastavení mostu bude podobné jako u prvního zařízení. 1.krok – Nastavíme operační mód na bridge

2.krok – Nakonfigurujeme parametry pro vytvoření 2.vnitřní sítě.

46

12 Zabezpečení Zásada ochrany sítě je zabezpečení přístupu na přístupový bod. Uživatel se znalostí sítí jednoduše zjistí IP adresu přístupového bodu. Bez loginu a hesla na přístupový bod bude mít přístup ke všem možnostem nastavení AP. Jak zjistit IP adresu přístupového bodu a připojit se na interface AP? Příkaz TRACERT v příkazovém řádku vypíše IP adresy, kterým paket prochází. První adresa na cestě paketu je v našem případě Access point. Poté stačí zadat IP adresu do webového prohlížeče a při nezadaném heslu je interface zpřístupněn komukoliv kdo je připojen na síť .

12.1 Protokol WEP Prvním zabezpečením sítě, které si ukážeme je za pomoci protokolu WEP. Je to první překážka k odrazení potenciálního útočníka k zneužití sítě. Ve složce Wireless najedeme na možnost Security. Zde je možnost výběru ochrany pomocí protokolů WEP, WPA, WPA2. Volil jsem ochranu pomocí WEP, protože jsem předpokládal, že uživatelé budou mít i starší operační systémy, které nepodporují modernější šifrování. Pro začátek postačí 64-bitový klíč, který je dostačující na upozornění, že je síť zabezpečena. V kolonce Encryption Key 1 vyplníme námi zvolené heslo: 12345. Potvrdíme tlačítkem Apply Changes.

47

12.2 Filtrace adres Filtrace MAC adres umožní připojení bezdrátové stanice jen tehdy, pokud MAC adresa (fyzický popis bezdrátové stanice) souhlasí s vytvořeným seznamem MAC adres. Zabrání nám to k neoprávněnému připojení stanice, která nepatří do podnikové sítě. Jak zjistíme MAC adresu zařízení? V příkazovém řádku zadáme příkaz IPCONFIG /ALL. Nalezneme kolonku „Adaptér bezdrátové sítě LAN Bezdrátové připojení k síti― a opíšeme fyzickou adresu

Máme zjištěnou MAC adresu počítače, kterému chceme povolit přístup na firemní síť. Vybereme MOD: Allow Listed a zadáme získanou MAC adresu. V kolonce Comment vyplníme popis adresy, kterou jsme zpřístupnili. Ulehčí nám to lepší orientaci v seznamu uživatelů s oprávněním k připojení.

Potvrdíme kliknutím na tlačítko Apply Changes a adresa se přidá do seznamu.

48

13 Připojení stanice k síti Síť je nastavena a teď už jen stačí, připojit jednotlivé stanice k síti. Pro náš model jsem použil notebook LEO, s operačním systémem WINDOWN XP Profesional a notebook TOSHIBA s operačním systémem WINDOWS 7. Zapneme počítač, který se nachází v dosahu první sítě: Prizemi. Po spuštění operačního systému manuálně zapneme wifi adaptér ( většinou se nachází na boku notebooku). Přes ovládací panel najedeme na ikonu „Bezdrátové připojení k síti― a v následující nabídce klikneme na „Aktualizace sítí―. Pokud jsme správně nastavili AP měla by se naše vytvořená síť v seznamu zobrazit.

Z okna bezdrátové sítě vyčteme název sítě ( SSID Access pointu), sílu signálu a jestli je síť zabezpečena. Po kliknutí na zvolenou síť musíme zadat heslo, které jsme zadali v konfiguraci AP. Po zadání hesla stačí kliknout na ikonu Připojit.

Po krátké chvíli, při které probíhá ověření hesla a přidělení IP adresy, by měla být síť připojena.

49

14 Testování funkcionality 14.1 Kontrola zabezpečení sítě Ověření fungování ochrany pomocí šifrování je snadné. Stačí při požadavku k zadání síťového klíče špatně vyplnit heslo. Jak víme, naše heslo je 12345 proto zadáme jiné, například 12121.

14.2 Ověření filtrování MAC adresy Zkusíme připojit k síti počítač, jehož MAC adresa je 00-21-63-AE-8E-A8 a nenachází se v našem seznamu přístupných adres.

Po chvíli Windows 7 zobrazí chybovou hlášku, že počítač nemůže být připojen k síti Prizemi.

50

14.3 Síla signálu – Program Net Stumbler Program Network stumbler je volně dostupný nástroj využívaný Windowsem 98- XP, který slouží k detekci bezdrátových sítí a změření kvality bezdrátového spojení. V testovací fázi program využijeme pro následující akce: Ověření, zda jednotlivé AP vysílají signál a mají správné nastavení frekvenčního kanálu

Barva zeleného kruhu nám orientačně ukazuje sílu signálu. Čím je barva sytější, tím je signál lepší. Ve sloupci Chan vidíme, na kterém kanálu jednotlivé přístupové body vysílají. Sílu signálů jednotlivých AP – graf pokrytí v závislosti na pozici stanice 1.případ: Měřil jsem sílu signálu v jednotlivých prostorách, kde byl požadavek na pokrytí signálem.

51

Obrázek 11: Kvalitní síla signálu Červená čára určuje kritickou hranici síly signálu ( - 85 dBm). Zjistil jsem, že síla signálu v prostorách na požadavek pokrytí je vynikající bez jakýkoliv výrazných výkyvů. 2.případ: Při vzdálení od prostorů, kde nebyl požadavek na dosah sítě (venkovní prostory), vidíme pokles síly signálu pod kritickou hranici.

Obrázek 12: Špatná síla signálu

52

15 Závěr Cílem mé bakalářské práce bylo seznámit čtenáře, jak by měla vypadat realizace wifi sítě ve středně velké firmě. V teoretické části jsem se snažil vysvětlit základní pojmy spjaté s bezdrátovou technologií, které podle mého názoru jsou nezbytné pro pochopení fungování wifi sítí. Naznačil jsem překážky, které by mohly nastat při budování bezdrátové sítě a snažil jsem se je v jednotlivých kapitolách popsat. V praktické části jsem vymodeloval jednu z možných variant výstavby sítě. Model AD plus bridging je častou bezdrátovou topologií ve středně velkých podnicích, což byl jeden z důvodů, proč jsem se rozhodl právě pro tento model, který by mohl napomoci vytvořit si síť bez pomoci odborníků. Bezdrátové sítě prochází vývojem a je neuvěřitelné, kam se za poslední desetiletí dostaly. Je to především ve výhodách, které jsem popsal v teoretické části. Je bezpochyby jasné, že díky masivnímu rozšíření bezdrátových sítí se budou snažit inženýři vyvinout technologie, které splní požadavky spotřebitelů.

53

16 Seznam použité literatury a zdrojů

[1] Wifi. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, 25. 10. 2006 [cit. 2010-12-19]. Dostupné z WWW: . [2] Wi-fi.org [online]. c2010 [cit. 2010-12-19]. Wi-Fi Alliance: Discover and Learn. Dostupné z WWW: . [3] BRISBIN, Shelly. Wi-fi : postavte si svou vlatní wi-fi síť. Praha : Neocortex, 2003. 248 s. ISBN 80-86330-13-3. [4] IEEE standard Association [online]. 2009 [cit. 2010-12-19]. Ieee.org. Dostupné z WWW: . [5] ZANDL, Patrick. Bezdrátové sítě WiFi : Praktický průvodce. Brno : Computer Press, 2003. 190 s. ISBN 80-7226-632-2. [6] JANEČEK, Jan Distribuované systémy. In Distribuované systémy. Praha : [s.n.], 2000. s. 164. Dostupné z WWW: . [7] KOHRE, Thomas. Stavíme si bezdrátovou síť WI-Fi. Brno : Computer Press, 2004. 295 s. ISBN 80-251-0391-9. [8] RAMÍK, Jaroslav. Vícekriteriální rozhodování : Analytický hierarchický proces (AHP). Vyd.1. Karviná : Slezská univerzita v Opavě. 1999. 216 s., ISBN 80-7248-047-2

54