Základy bezdrátového přenosu dat pro plzeňský kraj

Základy bezdrátového přenosu dat pro plzeňský kraj

Autor:

Dalibor Eliáš

Spoluautoři:

Petr Mojžíš

Praha, 8. července 2004 T:\PROROCTVI\WI-FI_PLZENSKY KRAJ\040730_ZAKLADY WI-FI PRO PLZENSKY KRAJ.DOC

ANECT a.s. Vinohradská 112 • 130 00 Praha 3 y +420 271 100 100 y Česká republika Vídeňská 125 y 619 00 Brno y +420 547 100 100 y Česká republika Tesťova 30 y 821 02 Bratislava y +421 743 429 979 y Slovenská republika


Prohlášení

Technické a obchodní informace uvedené v této nabídce jsou výhradním majetkem ANECT a.s. a musí být proto drženy v tajnosti. Tento dokument je vytvořen výhradně pro účely nabídky, a proto tento materiál ani informace v něm obsažené nesmí být poskytnuty nebo vyzrazeny jiné straně nebo použity pro jakékoliv jiné účely bez předchozího písemně potvrzeného souhlasu společnosti ANECT a.s. a plzeňského kraje. Nabídka je vyhotovena pouze v elektronické podobě ve formátu PDF zaslané zástupcům plzeňského kraje elektronickou poštou.

Copyright © 2004 ANECT a.s.

Číslo nabídky:040730_Wi-Fi_PK

Strana: 2


Obsah

Obsah: Obsah: ............................................................................................................................ 3 Seznam obrázků:............................................................................................................ 4 1. Manažerský souhrn ......................................................................................................... 5 2. Zadání ............................................................................................................................. 6 3. Základní popis principů budování bezdrátových komunikačních sítí .............................. 7 3.1. Wi-Fi standardy........................................................................................................ 7 3.2. Technologie pro budování bezdrátových komunikačních sítí .................................. 8 3.3. Anténní systémy ...................................................................................................... 9 3.3.1. Příklady antén................................................................................................ 9 3.4. Bezpečnost .............................................................................................................. 11 3.4.1. Standardní metody zabezpečení ................................................................... 11 3.4.2. Rozšířené metody zabezpečení .................................................................... 12



Strana: 3


Seznam obrázků

Seznam obrázků: Obrázek 1 Principiální schéma bezdrátového komunikačního systému .................................7 Obrázek 2 Access Point řady 1200 od výrobce Cisco Systems Inc........................................8 Obrázek 3 Wi-Fi klientské síťové karty od výrobce Cisco Systems Inc...................................8 Obrázek 4 Směrový diagram všesměrové antény AIR-ANT4941 .........................................10 Obrázek 5 Směrový diagram všesměrové antény AIR-ANT3213 .........................................10 Obrázek 6 Směrový diagram směrové antény AIR-ANT1729...............................................10 Obrázek 7 Směrový diagram směrové antény AIR-ANT1949...............................................11



Strana: 4


Manažerský souhrn

1. Manažerský souhrn Tento dokument popisuje základní principy nasazování bezdrátové komunikace, shrnuje praktické zkušenosti a metody pro implementaci bezdrátových komunikačních sítí a principy řešení bezpečnosti této komunikace.



Strana: 5


Zadání

2. Zadání Cílem tohoto dokumentu je provést základní seznámení a nástin technologického řešení implementace bezdrátové komunikace při budování počítačových sítí.



Strana: 6


Základní popis principů budování bezdrátových

3. Základní popis principů budování bezdrátových komunikačních sítí Bezdrátové datové sítě Wi-Fi umožňují připojení osobních počítačů, přenosných počítačů (notebook, laptop) i dalších zařízení do počítačové sítě. Umožňuje tak velmi pohodlný přístup k informacím uloženým v místní (lokální) síti a především vytvoření jednoduchého komunikačního systému pro přístup k Internetu. To vše bez nutnosti propojovat vlastní počítače s fyzickou síťovou infrastrukturou, tj. jakoukoli kabeláží. Jednoduchý náhled na principiální strukturu bezdrátové sítě ukazuje následující obrázek.

Přístupový bod (Access Point) CI SCO AIRO NE T 1200

Počítačová síť

I WIRE LESS ACCESS POIN T

Osobní počítač

Internet

Notebook

Obrázek 1 Principiální schéma bezdrátového komunikačního systému

3.1. Wi-Fi standardy Bezdrátový přenos dat je realizován v nelicencovaném frekvenčním pásmu 2,4GHz kde lze v případě nasazení dle standardu 802.11b dosáhnout teoretické maximální přenosové rychlosti 11Mbps či v případě nasazení dle standardu 802.11g teoretické maximální přenosové rychlosti 54Mbps. Druhý jmenovaný stnadard má omezení hlavně co se týče dosahu užitného signálu od přístupového bodu. Standard 802.11a využívající pásmo 5GHz se v České Republice nevyužívá. Obecně je ovšem nutno zmínit, že konkrétní využitelná přenosová rychlost je velmi závislá na prostředí a vždy se jedná o přenos ve sdíleném pásmu (sdílené médium), tj. efektivní přenosová rychlost klesá nelineárně s počtem připojených klientů.



Strana: 7



3.2. Technologie pro budování bezdrátových komunikačních sítí Základními stavebními kameny bezdrátových počítačových sítí Wi-Fi jsou: •

Na straně sítě - přístupové body (Access Point, AP). Ty jsou zároveň posledním místem, kde končí fyzická kabeláž pevné sítě (označeno Počítačová síť). K jednomu přístupovému bodu je možno připojit několik jednotek až teoreticky několik desítek osobních počítačů (klientů).

•

Na straně klientů – bezdrátový přenos zajištěn Wi-Fi síťovou kartou, která je nutným vybavením počítače pro přístup k bezdrátové počítačové síti. V případě přenosných počítačů (notebooků) bývá již tato součástí standartní výbavy nebo je ji možno dokoupit jako PCMCIA kartu. U stolních počítačů je Wi-Fi síťová karta ve standartní výbavě spíše vyjímkou, počítač je v tomto případě nutno rozšířit o PCI kartu. PCI i PCMCIA karty jsou běžně dostupné v maloobchodní síti, jejich ceny se pohybují v řádech stovek Kč.

Na následujících obrázcích je zobrazena technologie používaná pro budování bezdrátových komunikačních systému od výrobce Cisco Systems Inc.

Obrázek 2 Access Point řady 1200 od výrobce Cisco Systems Inc.

Obrázek 3 Wi-Fi klientské síťové karty od výrobce Cisco Systems Inc.



Strana: 8



3.3. Anténní systémy Velmi důležitým prvkem pro budování bezdrátových komunikačních systémů je návrh a umístění anténního systému a to jak na straně síťové infrastruktury, tak i na straně klienta. Základní pravidla pro návrh anténních systémů vycházejí z principů a teorie šíření rádiového signálu. Je třeba si zde uvědomit, že pro kvalitní přenos rádiového signálu je třeba splnit základní podmínku – přímá viditelnost mezi přijímací a vysílací anténou. Tato podmínka nemusí být ve výjimečných situacích splněna, to za předpokladu, že se signál mezi vysílací a přijímací anténou šíří pomocí odrazu a kvalita signálu je dostatečná pro přenos dat. Lze obecně říci, že při šíření rádiového signálu se stává jakýkoliv předmět překážkou nebo odraznou plochou za podmínky, že velikost předmětu koresponduje s délkou vlnové délky přenášeného rádiového signálu. Dále je nutné brát v úvahu odrazy signálu a od různých překážek v terénu a možnost rušení přímého rádiového signálu jeho zpožděnými odrazy. Z těchto důvodů je nezbytné při návrhu anténních systémů provést i tzv. Site Survey – prohlídka a referenční měření podmínek šíření Wi-Fi signálu v daném místě. Při budování anténních systému, které jsou určeny pro šíření bezdrátové komunikace, jsou většinou používány následující typy anténních systémů : •

Všesměrové antény – výhodou je rovnoměrné pokrytí signálu v okruhu dosahu antény, nevýhodou je relativně malý dosah signálu

•

Směrové antény – výhodou je kvalitnější pokrytí signálem v daném směru a větší dosah signálu, nevýhodou je nutnost kombinace více směrových anténních systémů při požadavku rovnoměrného pokrytí v určeném rádius od vysílací stanice

Důležité parametry anténního systému jsou: •

Směrovost – vyzařovací charakteristika

•

Zisk, obvykle udávaný v dB

3.3.1. Příklady antén Pro ilustraci zde uvádíme pár příkladů antén a jejich charakteristiky. Všesměrová anténa 2.2dBi Dipole “Standard Rubber Duck” AIR-ANT4941



Strana: 9



Obrázek 4 Směrový diagram všesměrové antény AIR-ANT4941 Všesměrová anténa 5.2dBi Pillar Mount Diversity AIR-ANT3213

Obrázek 5 Směrový diagram všesměrové antény AIR-ANT3213 Směrová anténa 6dBi Patch Antenna – 65 stupňů AIR-ANT1729

Obrázek 6 Směrový diagram směrové antény AIR-ANT1729



Strana: 10



Směrová antenna 13.5dBi Yagi Antenna – 2 5 stupňů AIR-ANT1949

Obrázek 7 Směrový diagram směrové antény AIR-ANT1949

3.4. Bezpečnost Klíčovou otázkou v oblasti Wi-Fi sítí je bezpečnost. Neexistuje-li zde totiž žádná fyzická kabeláž, nejsou ani žádné fyzické překážky jak znemožnit přístup do sítě osobám, které by jej mít neměli. Proto existuje velké množství principů, jak otázku bezpečnosti v bezdrátových sítích řešit. Nejedná se pouze o omezení přístupu neoprávněným osobám a zabezpečení vlastních přenášených dat, ale i o monitorování chování uživatelů, kteří oprávnění mají, a o účtování např. dle množství přenesených dat či doby připojení, které má velký význam v sítích veřejných. Všechny zmíněné otázky lze řešit správnou volbou odpovídajících technologií.

3.4.1. Standardní metody zabezpečení Pro zabezpečení bezdrátového přenosu dat lze použít mnoho metod, jak zamezit zneužití nebo neoprávněného přístupu k datům. Základní metody zabezpečení mohou být následující : •

Nepublikovat SSID Access Pointu – SSID je základní pojmenování každého AP, pomocí kterého se uživatel hlásí k danému AP. Pro zvýšení bezpečnosti lze u některých AP zakázat publikování SSID avšak pro oprávněné uživatele musí být SSID daného AP známo. Tato metoda zabezpečení se běžně nepoužívá.

•

Ověřování uživatele na základě MAC adresy – každé síťové zařízení se linkové vrstvě hlásí svojí originální, výrobcem stanovenou MAC adresou. Přístup uživatelů k AP lze autentizovat na základě známých MAC adres klientských stanic. V dnešní době však řada výrobců bezdrátových uživatelských karet umožňuje uživatelsky měnit MAC adresu síťové karty a tak lze bezdrátovou komunikaci odposlechnout a podvrhnout MAC adresu od neoprávněného uživatele.



Strana: 11


•


Šifrovaná komunikace mezi AP a klientem – WEP (Wireless Equivalent Privacy). Metoda šifrované komunikace s výměnou privátních statických nebo dynamických klíčů s délkou 40(64) nebo 128 bitů. Tato metoda zabezpečení bezdrátové komunikace byla donedávna považována za dostatečně bezpečnou, bohužel již došlo k prolomení této šifrované komunikace (algoritmus RC4) a zveřejnění metody výměny klíčů. Delším odposlechem bezdrátového signálu lze pomocí dešifrovací metody vysledovat jednotlivé klíče a tak simulovat neoprávněným uživatelem existující spojení.

3.4.2. Rozšířené metody zabezpečení Používají se pro zvýšení úrovně bezpečnosti veškerých komunikačních systémů včetně systémů používajících pro přenos rádiový signál. Tyto postupy jsou definovány mezinárodním standardem 802.1x a jsou to zejména tyto: •

EAP (Extensible Authentication Support) je navržen tak, aby umožnil využití autentizačních metod bez změn konfigurace AP a síťové karty klienta. Autentizace je prováděna podle hesla OTP (One-Time Password)a je dále podporována Smardcard autentizace – vylepšená autentizace uživatelů

•

Dynamické klíče – lze provádět šifrování pomocí dynamicky přidělovaných šifrovacích klíčů generovaných autentizačními software. Technologie AP musí podporovat tyto metody v návaznosti na komplexní síťové autentizační metody. Někteří výrobci AP toto nepodporují.

•

Centralizovaná správa uživatelů – souvisí s celkovou implementace autentizace uživatelů v dané komunikační síti.

úrovní

Celkové zabezpečení bezdrátové komunikační sítě je většinou kompromisní kombinací uvedených způsobů zabezpečení a závisí na požadované úrovni zabezpečení dané bezdrátové sítě.



Strana: 12

Základy bezdrátového přenosu dat pro plzeňský kraj

Recommend Documents