Wprowadzenie do sieci bezprzewodowych
Historia
Zaczątki sieci bezprzewodowych powstały w roku 1994, lecz koszt stworzenia sieci w tamtych czasach był o wiele wyższy dlatego projekt zarzucono. Odkurzono go dopiero około roku 1997 kiedy to organizacja Institute of Electrical and Electronics Engineers (IEEE) stworzyło standard WLAN. Nazwano go 802.11 i nadano mu pasmo 2.4Ghz. W pierwszej fazie prędkości były bardzo małe- 1 do 2 Mb/s co stanowczo niezadowało nikogo. Wraz z nadejściem roku 1999 wprowadzono standard 802.11b, który oferował prędkość przesyłania danych aż do 11Mb/s. Wtedy zainteresowały się technologią wielkie firmy takie jak Cisco. Nie trzeba było czekać długo i pojawił się nowy standard- 802.11a. Różnił się on bardzo wieloma rzeczami- częstotliwość została zmieniona na 5Ghz, prędkość została podniesiona do aż 54Mb/s, ale bardzo powaznym mankamentem było brak komplatybilności ze standardem 802.11b co w ostateczności doprowadziło do odsunięcia technologi "a" na dalszą stronę. Dzisiaj jednak możemy spotkać urządzenia, które obsługują obydwa standardy.
Ostatnim krokiem, który doprowadził do odsunięcia standardku 802.11a na bok było w 2003 roku zaakceptowanie przez IEEE standardu 802.11g, który pozwalał na przesyłanie danych z prędkością 54Mb/s i zasięgiem podobnym do standardu "b", ważną cechą była pełna zgodność z już pracującymi urządzeniami w standardzie "b". W późniejszym czasie narodziły się nowe standardy, poniżej skrót dostępnych technologii: 802.11 to grupa standardów IEEE dotyczących sieci bezprzewodowych sporządzonych przez grupę 11 z IEEE 802. Rodzina 802.11 obejmuje tak naprawdę trzy zupełnie niezależnie protokoły skupiające się na kodowaniu (a, b, g). Obecnie za bezpieczeństwo odpowiadają oddzielne standardy jak np. 802.11i. Pozostałe standardy jak c-f, h-j oraz n to rozszerzenia usług czy poprawki w innych standardów z rodziny. Zakres częstotliwości fal radiowych wykorzystywany w 802.11 nie podlega koncesjonowaniu i dlatego można bez żadnych zezwoleń instalować sieci tego typu. Jednak w paśmie tym występują znaczne zakłócenia np. pochodzące od kuchenek mikrofalowych.
Standardy występujące w siechach WLAN
802.11
Opublikowany w roku 1997, pierwszy standard sieci IEEE 802.11, dzisiaj oznaczamy go jako 802.1y. Standard ten pozwalał na transmisje danych dwoma prędkościami- 1 lub 2 Mb/s. Pierwsze założeniem standardu był przesył danych promianiami podczerwonymi, ale konkurencja ze standardem IrDA doprowadził do zmiany koncepcji. Urządzenia wykorzystywały częstotliwość 2.4Ghz.
802.11a
Urządzenia były dostosowane do przekazu danych z prędkością sięgającą do 54Mb/s, ale praktyka pokazała, że prędkość połączenia wykonosi w granicach 20-30Mb/s. Urządzenia pozwalały na łączenie się z mniejszymi prędkościami, takimi jak- 48, 36,34, 18, 12, 9 oraz 6Mb/s. Standard 802.11a pozwala na pracę w 12 kanałach, gdzie 8 jest przeznaczonych do pracy w budynkach a 4 do pracy między dwoma punktami sieci (pint-to-point). Urządzenia wykorzystywały częstotliwość 5Ghz. Niektóre kraje próbowały uregulować ten zakres częstotliwości, ale jednak do dziś większość państw pozwala na darmowe wykorzystanie pasma dla sieci radiowych w standardzie "a". Specyfikację 802.11a wprowadzono w roku 1999, lecz urządzenia weszły do produkcji dopiero w roku 2001. Nie wykorzystuje się go szerzej, ponieważ stwierdzono proby z zasięgiem oraz większy pobór mocy.
802.11b
Urządzenia były dostosowane do przekazu danych z prędkością aż 11Mb/s co było dużym skokokiem w porównaniu z maksymalnie 2Mb/s w poprzednim standardzie. Deklarowano zasięg 46m w pomieszczeniach i 96m na otwartej przestrzeni. Częstym zjawiskiem było przełączanie się prędkości na 5.5Mb/s, ponieważ takie materiały jak woda, beron, metale, a nawet tapety i farby pochłaniały sygnały co powodowało zmniejszenie efektywności. W standardzie 802.11b zastosowano algorytmy do unikania kolizji przesyłanych danych oraz do wykrywania sygnałów zagłuszających. Niektórzy producenci, na przykład Planet, wprowadzili swoje ulepszenia standardu "b", pozwalając na transmisję danych z prędkościami 22, 33 a nawet 44Mb/s nazywając swój standard 802.11b+, lecz IEEE nigdy nie standaryzowało tych rozwiązań. Polacy jako jedyni wykonali połączenie na odległość 120km wykorzystując transmisję Wi-Fi. Standard pozwala na zmianę prędkości transmisji do nawet 1Mb/s w wypadku złych warunków. Spektrum sygnału 802.11b zostało podzielone na 14 kanałów transmisyjnych o szerokości 22Mhz. W Polsce można wykorzystywać jedynie 13 kanałów. Jednym z krajów gdzie wykorzystuje się wszystkie kanały jest Japonia. Urządzenia wykorzystywały częstotliwość 2.4Ghz.
802.11g
Urządzenia były dostosowane do przekazu danych z prędkością siegającą 54Mb/s. Standard wykorzystuje tę samą częstotliwość co standard "b" czyli 2,4Ghz. Dużą zaletą była kompatybilność ze starszymi urządzeniami, które wspierały tylko standard "b", jednak wykorzystywanie starszych urządzeń powoduje redukcję prędkości do 11Mb/s. Standard IEEE 802.11g został zaakceptowany przez IEEE w czerwcu 2003 roku, lecz wiele firm już przed wprowadzeniem standardu zaczęło sprzedawać karty i punkty dostępowe z literką "g". Tak samo jak w przypadku standardu "b" powstały mutacje standardu pozwalające na przesył danych z większymi prędkościami. Mutacja Super G osiągała prędkość 108Mb/s, którą udało się osiągnąć między innymi przez poprawę algorytmów zarządzającymi ruchem pakietów.
802.11n
Jest to standard nadal nie skończony, pracę nad nim ogłoszono w roku 2004, a planowanie zakończenie standaryzacji to koniec roku 2005. Standard ten wprowadzi technologię MIMO (Multiple Input, Multipe Output), czyli wykorzystanie wielu fizycznych kanałów do stworzenia jednego połączenia. Prędkości mają dochodzić do 100Mb/s a nawet 250Mb/s.
Pozostałe standardy:
IEEE 802.11c
Standaryzuje sposób działania mostów sieciowych.
IEEE 802.11d
Opisuje implementacje łączności bezprzewodowej w poszczególnych krajach. Stworzony po to by użytkownik laptopa w każdym kraju mógł się cieszyć możliwościami sieci Wi-Fi. Jest to standard opracowany w roku 2001.
IEEE 802.11e
Wprowadza QoS (m.in. przydzielanie pasma dla użytkowników końcowych) oraz inteligentne zarządzanie pakietami w standardach 801.11a, g i h.
IEEE 802.11f
Roaming w siechach 802.11a, g i h przy zastosowaniu protokołu IAPP.
IEEE 802.11h
Jest to standard pozwalający na przełączanie się między częstotliwościami aby nie zakłucać innych urządzeń lub stacji radarowych. Standard stworzony specjalnie dla Europy, modyfikacja standardu 802.11a.
IEEE 802.11i
Rozszerza bezpieczeństwo (WEP2) wykorzystując EAP, Radius, Kerberos, Rijnadel, AES i 802.1x
IEEE 802.11j
Japońska modyfikacja wprowadzająca kanały transmisyjne w częstotliwościach przewyższających 4,9Ghz.
IEEE 802.11k
Protokół wymiany informacjami pomiędzy puntami dostępowymi, między innymi na temat użytkowników.
IEEE 802.11r
Służy do przełączania użytkownika, wraz ze schematami bezpieczeństwa z jednego punktu dostępowego do innego.
IEEE 802.11s
Sieci kratowe- tak zwane sieci odporne na awarie- czego nie można powiedzieć o obecnych. Standard podczas opracowywania.
IEEE 802.11xx
Inteligentne zarządzanie pakietami- XXJE2R.
Topologie
Infrastructure - sieć musi składać się z conajmniej jednego punktu dostępowego (Access Point), z którym komunikują się stacje robocze. Transmisja pomiędzy kartami WLAN przechodzi w całości przez Access Pointa. Punkt dostępowy może być urządzeniem stojącym na styku innej sieci, wtedy takie urządzenie możemy nazwać routerem, który przesyła dane pomiędzy dwoma sieciami.
Ad-hoc - pozwala na stworzenie sieci bez uczestnictwa punktu dostępowego. Tryb ten pozwala na połączenie stacji roboczych w obrębie pomieszczeń, w miejscach gdzie jest potrzebna bezprzewodowa komunikacja a nie ma Access Pointa. Podczas transmisji Ad-hoc należy liczyć się z dużą ilości błędów w transmisji poniważ komunikacja nie jest zarządzana w żaden sposób.
Bezpieczeństwo
Kiedy specjaliści tworzyli standard 802.11- czyli defakto to co dziś nazywamy sieciami radiowymi nie myśleli nad bezpieczeństwem. Neleży pamiętać, że o ile kabel naszej sieci LAN mozemy dobrze ukryć i cieszyć się jakimś bezpieczeństwem to przy sieciach radiowych sprawa się komplikuje. Sygnał radiowy ma tendencje do wychodzenia poza obszar pracy, też poza obszar biura czy domu. Sygnał radiowy może być podsłuchany przez każdą osobę znajdującą się dostatecznie blisko, co rodzi niebezpieczeństwo poufności danych.
WEP
Specjaliści stworzyli bardzo szybko, bardzo zachwalany system szyfrowania- nazwa WEP. WEP (ang. Wired Equivalent Privacy), zapewniał szyfrowanie przesyłanych danych między urządzeniami wykorzystując symetryczny klucz RC4 PRNG (ang. Ron's Code 4 Pseudo Random Number Generator). Kiedy urządzenie dostępowe (Access Point) używa tego samego klucza WEP co stacja robocza jest możliwe nawiązanie prawidłowej komunikacja, czyli szyfrowanie i deszyfrowanie pakietów. Klucz WEP musi być wpisany ręcznie do urządzenia dostępowego oraz do oprogramowania kart WLAN, jest stały. Niejednokrotnie producenci sprzętu sieciowego przyciągają nas informacją że dane mogą być szyfrowane kluczem 64 lub 128 bitowym. Jest to wprowadzanie w błąd klientów. WEP wykorzystuje tak naprawdę klucz 40 lub 104 bitowy uprzednio ustawiony ręcznie przez użytkownika. Klucz WEP można podać w kodach HEX (system szestnastkowy) lub ASCII (system znakowy). Wartości pudełkowe osiągamy dopiero, kiedy dodamy do 40, 104 bitów wektor inijujący, który ma 24 bity. Wektor inijujący nie jest faktycznie szyfrowany podczas transmisji co daje nam nadal szyfrowanie na poziomie 40 lub 104bitów. Działanie szyfrowania WEP opiera się na trzypoziomowym etapie.Szyfrowanie RC4 wykorzystując klucz WEP oraz 24 bitowy wektor inicjujący generuje strumień kluczy. W tym samym czasie obliczane są bity nadmiarowe CRC32, które pozwalają na sprawdzenie integralności pakietu. Następnie funkcja logiczna XOR łączy dane ze strumieniem kluczy co powoduje ich zaszyfrowanie. Przed wysłaniem do zaszyfrowanych informacji dołączany jest w postaci jawnej wektor inicjujący. Odbiorca znając klucz WEP oraz wektor inicjujący może odzyskać strumień kluczy i przy pomocy funkcji XOR odszyfrować dane.
Złamanie klucza WEP
W styczniu 2001 roku naukowcy z Uniwersytetu California w Berkeley ujawnili dziurę w algorytmie szyfrowania wykorzystywanego w protokole WEP. Szyfrowanie WEP zostało stworzone po to aby zapobiedz podsłuchowi (sniffing), oraz po to by niepowołane osoby nie miały dostępu do sieci oraz nie można było zakłucić integralności przesyłanych danych. Praktyka pokazała niestety, że żaden z powyższych aspektów nie został spełniony, nastąpiła wada konstrukcyjna w implementacji wektora inicjującego.
Po wykryciu dziury w roku 2001 powstało wiele programów które potrafiły złamać klucz WEP, jednym z takich programów jest aircrack. Na poniższej ilustracji widzimy złamany klucz WEP programem AirCrack:
Działanie programów tego typu opera się na zbieraniu pakietów. Jeżeli program użyje funkcji XOR podstawiając dwa pakiety szyfrowane przez ten sam wektor inicjujący, to uzyska postać odszyfrowaną. Błąd konstrukcyjny polega między innymi na małym rozmiarze tego wektora, który wynosi 24 bity, co oznacza, że przy Access Poincie bardziej obciążonym istnieje prawdopodobieństwo bardzo szybkiego wystąpienia pakietów szyfrowanych przy pomocy tego samego wektora, a co doprowadza w konsekwencji do poznania przez intruza klucza WEP. Teoretycznie takie zabezpieczenie powinno zapewniać dostateczną ochronę dla naszej sieci, ale praktyka pokazuje, że klucz WEP można złamać nawet w 5-10 minut co pozwala na dostanie się do naszej sieci.
WPA
WPA (ang. Wi-Fi Protected Access), jest to mechanizm uwierzetelniający EAP, czyli standardowy WEP, ale z regularną zmianą kluczy przez protokół TKIP (Temporary Key Integrity Protocol) oraz ochroną integralności za pomocą algorytmu Michael Integrity Chec. Warto już dziś zainteresować się nowym standardem zabezpieczeń jakim jest WPA. Obecnie większość sprzedawanych Access Point'ów posiada wsparcie dla szyfrowania WPA, lecz nadal mało kart sieciowych spełnia ten standard. Przejście na standard enkrypcji WPA przeciągnie się napewno w czasie ze względu na brak wsparcia dla wszystkich kart sieciowych oraz przez trudności w ustawieniach punktów dostępowych.
SSID
SSID jest nazwą/ identyfikatorem, który przypisujemy każdemu urządzeniu dostępowemu (Access Point). Każdy użytkownik chcąc się podłączyć do sieci WLAN musi podać owy identyfikator. Obecnie każdy Access Point posiada możliwość modyfikowania funkcji Broadcast SSID. Funkcja ta odpowiada za wysyłanie tak zwanego "zaproszenia" do komputerów znajdujących się w zasięgu urządzenia dostępowego. Kiedy jakiś komputer przechwyci taki pakiet z zaproszeniem, system operacyjny wpisuje nazwę SSID urządzenia na liste dostępnych sieci. To pozwala na wybranie przez użytkownika sieci z którą chce się połączyć i ewentualnie później podania klucza WEP. Kiedy nadamy urządzeniu skomplikowaną nazwę, na przykład AP310252XV i wyłączymy Broadcast SSID żaden komputer nie będzie już miał na liście naszej sieci, a w konsekwencji nie będzie to przyciągać potencjalnych włamywaczy. Oczywiście w tej chwili też komputery, które powinny mieć dostęp do sieci nie widzą jej. Do każdej karty sieciowej jest dodawane oprogramowanie narzędziowe, które pozwala na tworzenie profili połączeń. W profilu połączeń należy wpisać naszą nazwę SSID, na przykład wyżej podaną AP310252XV i ewentualnie klucz WEP. Teraz mamy podwójną ochronę, ponieważ SSID tak samo jak WEP pełni funkcję hasła.
Filtrowanie adresów MAC
Dodatkowe zabezpieczenie to filtrowanie adresów MAC kart sieciowych. Adres MAC (ang. Media Access Control) jest unikatowym numerem przydzielonym każdemu urządzeniu sieciowemu. Jego długość to 48 bitów. Pierwsze 24 bity identyfikują producenta OUI (ang. Organizational Unique Identifier), a pozostałe 24 bity tworzą numer seryjny danego urządzenia. Adres MAC urządzenia przedstawiany jest w formie 12 cyfr szesnastkowych. Każdy obecnie sprzedawany Access Point posiada funkcję filtrowania użytkowników po adresach MAC ich urządzeń. Kiedy użytkownik będzie chciał się podłączyć do sieci WLAN, znając SSID i ewentualnie WEP, urządzenie dostępowe sprawdzi czy tablica adresów MAC posiada wpis dotyczący łączącej się osoby. Jeżeli taki wpis zostanie odnaleziony użytkownik jest wpinany do sieci, w przeciwnym wypadku połączenie zostaje odrzucone.
RADIUS
Każdemu administratorowi zależy na bezpieczęństwu sieci. Bardzo częstą i zalecaną praktyką jest wyłączenie szyfrowania WEP, które jak wyżej nie nadaje się do ochrony sieci, a włącznie autoryzacji użytkowników po adresach MAC urządzeń. Jest to dobre rozwiązanie, ale patrząc perspektywicznie na przedsiębiorstwo, które się rozrasta panowanie nad tablicami adresów MAC na więcej niż jednym urządzeniu może doprowadzić do nieładu. Dlatego warto zainwestować w scentralizowane zarządzanie zasobami oraz użytkownikami, którzy mają dostęp do sieci radiowej. Większość sprzedawanych dziś punktów dostępowych pozwala na zewnętrzną autoryzację użytkowników przez tak zwany serwer RADIUS. Daje to bardzo duże możliwości, ponieważ kiedy w naszej firmie znajduje się kilka access pointów i w każdym z nich ustawimy adres naszego serwera autoryzacji RADIUS będziemy mogli w jednym miejscu wpisać wszystkich użytkowników, hasła jak również adresy MAC ich maszyn. Pozwala to w późniejszym czasie na łączenie się klientów z dowolnymi punktami dostępowymi, mniej pracy naszej i większe bezpieczeństwo ponieważ autoryzacja odbywa się za pośrednictwem loginu i hasła. W praktyce wygląda to tak że Access Point (NAS) podczas próby podłączenia się klienta wysyła zapytanie do serwera RADIUS. W zapytaniu jest zawarty login, hasło oraz adres MAC klienta. Kiedy serwer RADIUS sprawdzi dane wysyła informację o autoryzowaniu lub braku autoryzacji dla klienta do urządzenia WLAN jakim tutaj jest punkt dostępowy.
Klasy adresów
Urządzenia takie jak Access Point posiadają standardowo włączony serwer DHCP dla klasy adresów 192.168.x.x lub 10.0.x.x . Zaleca się wyłączenie serwera DHCP odraz zmiana adresów IP na bardziej skomplikowane, na przykład 10.125.245.x lub 192.168.178.x . Jest to może trochę kłopotliwe, ponieważ musimy dla każdej ze stacji roboczych ustawić parametry ręcznie, ale potencjalnemu intruzowi może uniemożliwić zidentyfikowanie konfiguracji naszej sieci.
Podsumowanie
Sieci radiowe mają wiele zalet, ale jak się też można przekonać wad. Mobilność oraz elastyczność technologii czyni ją atraktycją alternatywą dla sieci kablowych, lecz warto pamiętać o poważnych brakach w bezpieczeństwie.
Wsród zalet to prostota instalacji, ponieważ nie trzeba martwić się o kable, a same urządzenia też są proste w konfiguracji. Można też dużo zaoszczędzić na kosztach ponieważ nie trzeba kopać i układać kabli.
Zapewne każdy z nas widzi swoje plusy i minusy, ja tylko chciałem zwrócić uwagę na zagadnienie sieci bezprzewodowych w trochę szerszym zakresie. Nie chodziło mi o to by was odstraszyć, ale uczulić na pewne wady, które w dzisiejszym świecie są poważnym zagrożeniem.