Střední škola informatiky a spojů, Brno, Čichnova 23
Bezdrátové sítě Wi-Fi Ročníková práce
Brno 2009
Autor práce: Ivo Süss
Vedoucí práce: Jaroslav Tihlařík
Prohlášení Prohlašuji, že jsem ročníkovou práci zpracoval/a samostatně a použil/a jen prameny uvedené v seznamu literatury. Souhlasím, aby práce byla uložena na Střední škole informatiky a spojů, Brno, Čichnova 23 a zpřístupněna ke studijním účelům Brně dne 1.dubna 2009 Ivo Süss
Obsah 1. OMPONENTY SÍTĚ
1.1 Distribuční systém 1.2 Přístupový bod - Access point 1.3 Bezdrátové médium 1.4 Stanice 2. TYPY SÍTÍ
2.1 Ad-hoc 2.2 Infrastrukturní sítě 3. ASOCIACE S PŘÍSTUPOVÝM BODEM 4. HARDWARE
4.1 Point to Point (LAN to LAN) 4.2 Point to Multiopint (PTMP) 4.3 Bezdrátový opakovač (Repeater) 4.4 Master plus AP 5. ANTÉNY
5.1 Rozdělení dle směrovosti 5.1.1 Všesměrové 5.1.2 Směrové 5.1.3 Sektorové 5.2 Zisk
6. KABELY 7. KONEKTORY
7.1 Konektor N 7.2 Konektor SMA 7.3 Pigtail 8. BEZPEČNOST
8.1WEP - Wired Equivalent Privacy 8.1.1
RC4
8.2 Autentizace - řízení přístupu do sítě 8.2.1 OPEN-SYSTEM 8.2.2 SHARED-KEY 8.3 FILTROVÁNÍ ADRES 8.4 EAP - Extensible Authentication Protocol a 802.1x 8.5 WPA - Wifi Protected Access 8.6 WPA2 8.7 IEEE 802.11i
9. WIFI A ZDRAVÍ ZÁVĚR POUŽÍTÁ LITERATURA
Wi-Fi, WLAN, IEEE802.11 Je bezdrátový standart pro přenos informací. Původní myšlenka 802.11 byla možnost zřídit počítačové sítě tam kde je nemožné výstavbu klasických kabelových sítí. např. v historických budovách či rozsáhlých objektech. Později pro bezdrátový přistup do firemních sítí, dnes je hojně používám pro bezdrátový přístup na internet.Pracuje na frekvenci 2,4GHz a 5GHz, jedná se o bezlicenční pásmo, tudíž se tato technologie rychle ujala. V roce 1997 mezinárodní stadardizační institut IEEE vydal specifikaci 802.11. Tato specifikace dosahovala rychlost až 2Mb/s. Dále byla specifikace 802.11 rozšířena o: 1999
802.11b
2,4 Ghz 11 Mb/s
1999
802.11a
5Ghz 54Mb/s
2003
802.11g
2,4Ghz 54Mb/s
Záhy po vydání 1. standardu vznikla WECA - Certifikační firma, testující jednotlivá zařízení hlásící se ke standardu 802.11. Pokud výrobek projde úspěšně testem, propujčuje mu logo WiFi. toto logo kupujícího informuje o propojitelnosti zařízení označených tímto logem. V roce 2003 se WECA přejmenovala na WiFi Alliance. Frekvenční pásmo se dělí do 14 kanálů: Kanál 1 2 3 4 5 6 7 8 9 10 11 12 13 14
Frekvence (GHz) 2,412 2,417 2,422 2,427 2,432 2,437 2,442 2,447 2,452 2,457 2,462 2,467 2,472 2,477
Použití dle země: Země USA a Kanada Evropa mimo Francie a Španělska Francie Španělsko Japonsko
Kanály (frekvence GHz) 1-11 (2,412 - 2,462) 1-13 (2,412 - 2,472) 10-13 (2,457 - 2,472) 10-11 (2,457 - 2,462) 14 (2,477)
1. KOMPONENTY SÍTĚ Většina sítí 802.11 obasahuje čtyři hlavní druhy fyzických komponent: 1.1 Distribuční systém Když má síť více přístupových bodů a tvoří rozsáhlou síť je potřeba aby si přístupové body vyměňovali informace o pohybu mobilních stanic. Většinou jde o ethernet. 1.2 Přístupový bod - Access point představuje přemostění mezi kabelovou a bezdrátovou sítí.Může obsahovat DHCP server pro automatické přidělení IP adres. přístupový bod rozděluje přenosové pásmo mezi všechny účastníky, ovšem pokud např. jedna bezdrátová stanice začne stahovat z internetu velký soubor, zbývající stanice jsou "utlačovýny" a jejich rychlost připojení k internetu je minimální až nulová. 1.3 Bezdrátové médium Je nosičem dat mezi stanicemi. Můžeme říci, že je to vzduch, což je nesmysl, protože WLAN sítě fungují i ve vzduchoprázdnu. Bezdrátovým médiem jsou dvě radiové frekvence 2,4 a 5 GHz. 1.4 Stanice Jakékoliv zařízení: počítač, notebook, PDA. Stanice nemusí být mobilní, může to být i nepřenosné počítače.
2. TYPY SÍTÍ Základní stavební blok je BSS (Basic Service Set) - základní soubor služeb - jde o skupinu stanic, které spolu komunikují. Tato komunikace probíhá v území vymezeném radiovým dosahem těchto stanic. toto území se nazývá BSA (Basic Service Area). BSS může tvořit málou síť třeba v kanceláří, ale pokrytí velkých prostor nemůže nabídnout. To se řeší spojením více BSS do větší sítě zvané ESS (Extended Service Set) skrze páteřní síť např. ethernet a vzniklé území se nazývá ESA (Extended service Area). Při vytváření ESS musí být páteřní síť v jedné doménové vrstvě, je tedy nutno přístupové body připojovat do jednoho segmentu sítě (na stejný přepínač nebo rozbočovač). Díky ESS může uživatel procházet rozsáhlou bezdrátovou sítí bez nutnosti měnit konfiguraci síťové karty. 2.1 Ad-hoc Neboli nezávislé sítě. Jednotlivé stanice spolu komunikují přímo, bez použití přístupového bodu. Tyto stanice musí být ve vzájemném radiovém dosahu. Většinou se propojení Ad-hoc používá pro propojení počítačů na omezený čas - hraní her (LAN party), nárazová výměna dat,... Nevýhoda těchto sítí je složitost vytvoření spoje, je nutné manuálně nakonfigurovat nastavení sítě.
2.2 Infrastrukturní sítě Jednotlivé počítače nekomunikují přímo mezi sebou, ale komunikují s AP a ten předává jejich komunikaci dále. Každé stanici tedy stačí, aby měla ve svém dosahu alespoň jeden access point. Následující obrázek znázorňuje již složitější síť, kde jak vidíte “páteř” tvoří pevně vedený ethernet, ten propojuje jednotlivé access pointy a teprve z nich se šíří signál WiFi sítě k notebookům. Do této sítě bychom mohli zahrnout roaming, tedy možnost plynulého přechodu z jednoho access pointu k druhému bez nutnosti změny nastavení sítě.
3. ASOCIACE S PŘÍSTUPOVÝM BODEM V infrastrukturní síti se musí stanice asociovat s přístupovým bodem.Asociační proces vždy iniciuje mobilní stanice a přístuopvý bod připojení k sobě umožní nebo zamítne. Mobilní stanice se asociuje vždy pouze s jedním přístupovým bodem. Většina cenově dostupných přístupových bodů zvláden obsluhovat až 253 najednou připojených stanic.
4. HARDWARE 4.1 Point to Point (LAN to LAN) Jde o bezdrátový most, kdy jsou spojeny 2 LAN sítě, např. dvě budovy, ale jenom v jedné je kabelová přípojka k internetu. Při spojení se zadá MAC adresa zařízení které budou spolu propojena, aby se zabránilo připojení jiné stanice. 4.2 Point to Multiopint (PTMP) Jde o obdobu PTP s tím rozdíle, že zde je možno připojit k jedbné sítí více dalších LAN sítí. Zde je lepší koupit všechyn díli do jedné značky. Např. u SMC musí být jedno zařízení nastaveno jako " Bridge MAster" a zařízení která se na nněj připojují musí být nastaveny jako "Bridge Slave". U ostatních výrobců jsou jiná řešení. 4.3 Bezdrátový opakovač (Repeater) Přístupové body potřebují ethernetový kabel, pokud chceme více přístuových bodů a rozšířit tak rozlohu bezdrátové sítě použijeme bezdrátový opakovač, který umožní propojit přístupové body mezi sebou bezdrátově a etherentová přípojka tak bude jenom u jednoho z nich. 4.4 Master plus AP Jde defacto o Point to Multipoint s možností připojení bezdrátových stanic, tuto vlastnost může použít pouzet hlavní jednotka (Bridge master) ostaní jednotky (Bridge slave) nemohou.
5. ANTÉNY Rozsáhlejší WIFI síť potřebuje kvalitní antény, antény dodávané k jednotlivým wifi prvkům většinou stačí na pokrytí pár místností v budově. 5.1 ROZDĚLENÍ DLE SMĚROVOSTI 5.1.1 Všesměrové - šíří signál do všech stran (360°), nejběžněji dodávané výrobcem k jednotlivým zařízením.
5.1.2 Sektorové - Vyzařují do určitého úhlu (např. 180°, 90°, 60°,.. ), používají se k pokrytí vymezené oblastni,např. do rohu budovy použijeme anténu s 90°vyzařováním aby jsme pokryli roh budovy, a signál se nedostal ven.
5.1.3 Směrové - je to podkapitola sektorových antém, Jde o směrové parabolické antény, tzv. síta nebo antény typu Yagi. Tyto antény jsou nejpoužívanější pro delší spoje, vyzařují signál pouze do jednoho bodu.
5.2 ZISK Čím vyšší zisk tím vzdálenější signál je anténa schopna zachytit. Zisk se udává v dBi (decibel na isotrop) nebo v dBd (decibel na dipól) podle toho k jakému typu natény je měření vztahováno. (Pro stejnou anténu je velikost zisku v dBi o 2,16 dB větší než údaj v dBd.)
6. KABELY Pro přenos wifi signálu (2,4GHz) jsou doporučené kabely s impedancí 50 ohmů. Kabel je veice důležitá část wifi antény, protože na jeho kvalitě se odráží kvalita přijmaného signálu. Každý kabel má "minimální poloměr ohynu" tzn tento minimální poloměr ohybu je hranicí, za kterou se při ohýbání kabelu nesmí jit, jinak horzí prudký vzrůst útlumu kabelu. Nejjčastější kabely jsou H155 a H1000.
7. KONEKTORY u vysokofrekvenčních kabelů jsou používány speciální konektory zejména různé typy SMA a konektor N. 7.1 Konektor N - jsou robustnější, používají se pro propojení kabelů a namáhaných dílů. Většinou jsou na anténách.
7.2 Konektor SMA - Jsou výrazně drobnější, nacházejí se na wifi zařízení jako PCI karty nebo přístupové body.
7.3 Pigtail - V překladu prasečí ocásek jde o kabel na jedné straně se SMA a na druhé s N konektroem, slouží jako redukce na tlustý VF kabel. Vyrábí se maximálně v délce 60cm.
8. BEZPEČNOST Bezdrátová síť má oproti síti kabelové jednu nevýhodu. Pokud chceme odposlouchávat díť kabelovou musíme se fyzicky dostat ke kqabelům, pokud chceme odposlouchávat rádiovou síť stačí se dostat do místa kde lze chytit její signál. Bezpečnost bezdrátových sítí můžeme rozdělit do: 1) ŠIFROVÁNÍ - zabezpečení přenášených dat před odposlechnutím 2) AUTENTIZACE - řízení přístupu oprávněných uživatelů
8.1 WEP - Wired Equivalent Privacy Často se tato zkratka plete se šifrou, ale WEP je standard pro zabezpečení radiové sítě.Zabezpečuje komunikaci až na přístupový bod, od něj jsou data posílány dále do sítě internet ve formě v jaké vznikají na počítači, jenž je odeslal. 8.1.1 RC4 Jde o šifru, kterou používá standard WEP. Odesílaná zpráva se šifruje podle nějákého klíče (slova nebo sekvence znaků o velikosti 40 bitů) a na cílovém bodě se zase podle tohoto klíče dešifruje
8.2 Autentizace - řízení přístupu do sítě Stanice si musí o autentizaci do sítě žádat (aby se mohla připojit), zatímco síť se vůči stanicím autentizovat nemusí. 802.11 specifikuje dvě metody autentizace: 8.2.1 OPEN-SYSTEM Přístupový bod přijme klientské zařízení na základě údajů, které mu poskytne aniž by je ověřoval. Pokud přístupový bod své SSID vysílá, může každá stanice toto SSID přijmout a použít jej pro přístup do sítě. 8.2.2 SHARED-KEY Při autentizace sdíleným klíčem je nutno v síti také použít WEP. Při požadavku na autentizaci se zařízerní prokáže tímto klíčem, přistupový bod jej ověří a pokud souhalí je zařízení autentizováno. probíhá to následovně: Klientská stanice odešle náhodné číslo, zakódované algoritmem RC4, podle onoho klíče a přístupový bod jej dekóduje. Pokud se tyto dvě čísla rovnají je teprve zařízení autentizováno.
8.3 FILTROVÁNÍ ADRES Jde o seznam MAC adres klientských zařízení kterým je umožněn přístup na přístupový bod. Je možné sestavit seznam MAC adres které budou mít zakázaný přístup k AP, nebo budou časově omezena. Ale u většiny zařízení jde MAC adres pomocí utility změnit, takže se používá více seznam povolených MAC adres než zakázaných. 8.4 EAP - Extensible Authentication Protocol a 802.1x Tam kde nepostačuje vlastní zabezpečení 802.11 přichází na řadu pomocné standardy 802.1x s protokolem EAP a 802.11i.
802.1x
1) Klient odešle počáteční zprávu na přístupový bod, který odpoví zprávou EAP REQUEST-ID. 2) Klient odpoví zprávou EAP RESPONSE-ID, která obsahuje identifikační údaje uživatele, přistupový bod zapouzdří celou zprávu EAP RESPONSE-ID do packetu RADIUS ACCESS_REQUEST a pošle ji autorizačnímu serveru RADIUS. 3) Server RADIUS odpoví zprávou obsahující povolení/zákaz přístupu do sítě - RADIUS ACCESS_ACCEPT/DENY - , který v sobě obsahuje EAP SUCCESS/FAILURE, jenž přístupový bod přepošle klientovi. 4) V případě povolení (SUCCESS), je port na kterém autentizace probíhala otevřen a uživatel je považován za autentizovaného.
8.5 WPA - Wifi Protected Access Pro šifrování je používán TKIP. TKIP (Temporal Key Integrity Protocol) využívá stejný algorytmus jako WEP, standartně používá 128 bitový klíč, dále obsahuje dynamické dočasné klíče - TKIP pracuje s automatickým klíčovým mechanismem, který mění dačasný klíč každých 10,000 packetů. Dále používá MIC (Message Integrity Check), což je kontorla integrity zpráv, lepší zabezpečení než CRC.
8.6 WPA2 Implementuje povinné prvky IEEE 802.11i. Konkrétně přidává k TKIP a algoritmu Michael nový algoritmus CCMP - "Counter Mode with Cipher Block Chaining Message Authentication Code Protocol" založený na AES (Advanced Encryption Standart), který je považován za zcela bezpečný. Od 13. března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí být certifikována jako Wi-Fi.
8.7 IEEE 802.11i Také známý jako WPA2, používá blokovou šifru AES, zatímco dřívější WEP a WPA používají proudovou šifru RC4.
9. WIFI A ZDRAVÍ Wifi je radiové záření, prakticky skoro stejné jako v mikrovlné troubě, což může způsobovat zdravotní potíže, zatím se bohužel výskumníci neshodly zda Wifi/mobilní sítě způsopbují zdravotní potíže, nebo ne. Tzv Eletrosmog - zamořování měst elektromagnetickými poli má za následek, že u některým lidí se vyvinula alergie na elektřinu (elektrická hypersenzitiva). Ta se v blízkosti elektrických přístrojů, stožárů elektrického vedení či mobilních vysílačů(wifi prvky/mobilní telefony) projevuje zvracením, závratěmi, nespavostí a ztrátou koncentrace. Na severu Evropy – ve švédském okresu Nassjo byla dokonce vybudována radiací nepostižená zóna, která je určena pro nemocné lidi trpící alergií na radiové signály. Myslím si že radiové záření má negativní účinek na lidské zdraví, ale jaké jsou přesné účinky se dozvíme až časem.
10.
ZÁVĚR
Technologie WiFi se neustále vyvíjí, postupně přichází standart IEEE802.11n který má teoretickou rychlost až 600Mb/s. Dále se pracuje na: IEEE 802.11ac - Troughtput* - Zvýíšení propustnosti přes 802.11n poměrem 2 ku 1. Mělo by pracovat na 5GHz. V roce 2012. IEEE 802.11ad – Troughtput* - Zvíšení propustnosti přes 802.11n poměrem 10 ku 1. Mělo by pracovat na 60GHz. V roce 2012. IEEE 802.11s - síť mesh - Povoluje zařízení např. mobilní telefony, laptopy jako mesh body, každé zařízení by komunuikovalo s každým (mohlo by se asociovat s více přístupovými body a stanicemi). V roce 2010. IEEE 802.11u – Bezpečnost - Povoluje bezpečné připojení pro Wifi zařízení založené na bezpečnostních protokolech externí sítě, kde jsou zařízení používána. V roce 2010. IEEE 802.11z - síť ad-hoc - Povoluje dvě Wifi zařízení k bezpečnému spojení k ostatním dvěma v peer-to-peer modu používající síťové pověření přístupového bodu ve velké síti. V roce 2010. *Troughtput - průměrná míra úspěšného doručení zprávy přes komunikační kanál.
Sítě Wifi budou neustále přibívat, což způsobí zahlcení pásma takže bude muset vzniknout nový standard s více kanály, protože časem už žádné volné nebudou. Neustále budou také přibívat volné přístupové body tak aby bylo možno se kdekoliv připojit do internetu. Dnes jsou volné přístupové body v některých restauracích, knihovnách, na veřejných místech(nádraží, letiště, apod.),… Důležitá součást je také zabezpečení, nejlepší je používat kombinaci všech dostupných zabezpečení. Např. Zakázat vysílání SSID, vytvořit seznam povolených MAC adres, používat nejnovější šifry (WPA2) a složitá hesla, která se budou často měnit. Dále zmapovat pokrytí oblasti a pomocí směrovosti a zisku antén ji omezit jen na oblast kterou potřebujeme.
POUŽITÁ LITERATURA ZANDL, Patrick. Bezdrátové sítě WiFi Praktický průvodce. Computer press, 2003, 197s. ISBN 807226-632-2. PC Magazine, Ziff Davis Media Inc. April 2009, ISSN 0888-8507. http://cs.wikipedia.org/wiki/Wi-Fi http://images.google.cz http://ericsson_a2618s.sweb.cz/vyzarovani.htm http://gnosis9.net/view.php?cisloclanku=2006050010
