Bezdrátové lokální sítě

Tento text byl zpracován jako maturitní otázka k ústní zkoušce z počítačových sítí, a tak může místy působit stručně. To však nic nemění na jeho informativní hodnotě a vzhledem k času, který jsem s jeho psaním strávil, jsem názoru, že by si zasloužil publikování.

Druhy bezdrátových sítí

Za bezdrátovou síť označujeme takový druh sítě, která jako své přenosové médium využívá vzduch a komunikuje za použití rádiových vln.

Wi-Fi

Standard, jehož vznik se datuje do roku 1997 pod názvem IEEE 802.11, svůj název získal jen náhodou – název Wi-Fi vznikl díky tomu, že se rýmoval s Hi-Fi. Později byl tomuto názvu reverzně přiřazen význam Wireless Fidelity – Bezdrátová věrnost. Tento standard specifikuje nejpoužívanější způsob bezdrátové komunikace v počítačových sítích, který se dnes využívá.

Bluetooth

Tam, kde není zapotřebí přenášet velká kvanta dat, ale naopak vytvořit velmi jednoduché spojení mezi dvěma zařízeními (spojení PAN – Personal Area Network), přichází na řadu Bluetooth. Za své masivní rozšíření vděčí éře mobilních telefonů z prvního desetiletí 21. století, které jej nabízely jako výchozí možnost při odesílání souborů na jiná zařízení. I v současné době se těší velkému využití, zejména při spojování zvukových zařízení (např. mobilní telefon – autorádio s handsfree), ale také u bezdrátových klávesnic a myší. Využívá stejné pásmo, jako Wi-Fi.

Rozdělení sítí podle struktury

Obecně můžeme bezdrátové sítě rozdělit na dvě velké skupiny: infrastrukturní sítě a sítě ad-hoc.

Infrastruktura

Tento typ sítí sdružuje všechna zúčastněná zařízení jedním centrálním bodem, tzv. access pointem. Přes něj prochází veškerý provoz, a tak může uplatňovat případná omezení a zvýhodnění. I když máme dvě zařízení hned vedle sebe, stejně veškerá komunikace mezi nimi bude procházet nejprve oním AP, nehledě na to, jak je od nich daleko. Typickým příkladem infrastrukturní sítě je Wi-Fi vysílaná běžným domácím routerem, na kterou jsou připojena další zařízení.

Ad-Hoc

Může se stát, že se octneme v situaci, kdy si potřebujeme provizorně vytvořit síť mezi několika zařízeními, ale nemáme k dispozici žádný vysílač. V takovém případě přichází na řadu improvizované vytvoření sítě Ad-Hoc. (z latinského „jen pro tento případ“) To nám umožní téměř každý pokročilý operační systém, ve Windows je tato možnost v Ovládacích panelech pod položkou Nastavit nové připojení k síti. Důležitým rozdílem oproti infrastrukturní síti je, že v síti Ad-Hoc komunikují účastníci vzájemně mezi sebou, komunikace neprochází žádným centrálním bodem.

Obecné informace o Wi-Fi

Wi-Fi je v současné době bezpochyby nejrozšířenějším a nejvyužívanějším standardem bezdrátové IP komunikace. Moduly pro práci s touto technologií obsahují dnes již všechny chytré telefony, notebooky a velmi často i stolní počítače. Wi-Fi je spravováno skupinou 802.11 spadající pod IEEE.

Historie a nejpoužívanější standardy

V roce 1997 došlo k vytvoření první verze standardu Wi-Fi. Ta již komunikovala na frekvenci 2,4 GHz, neměla ještě žádné písmenné označení a rychlost se pohybovala okolo 2 Mb/s. Později došlo k zavedení prvního známého standardu 802.11b, jež sdílel pásmo se svým předchůdcem, ale rychlostí si polepšil až na teoretických 11 Mb/s. Postupem času došlo k zavedení několika dalších standardů, z nichž nejznámějšími jsou:

Rok zavedení Název standardu Maximální rychlost Pásmo
1999 802.11a 54 Mb/s 5 GHz
1999 802.11b 11 Mb/s 2,4 GHz
2003 802.11g 54 Mb/s 2,4 GHz
2009 802.11n 150-600 Mb/s 2,4 GHz, nebo 5 GHz
2013 802.11ac 1 Gb/s 5 GHz
2012 802.11ad 7 Gb/s 2,4, 5 a 60 GHz

V současné době je v místních sítích pro připojování přenosných zařízení nejvíce rozšířen standard 802.11n.

Pásmo

Jak bylo zmíněno výše, většina bezdrátových sítí komunikuje v bezlicenčním pásmu 2,4 GHz. (ve skutečnosti to není přesných 2,4, ale rozsah 2,412-2,462 GHz) Toto pásmo není vyhrazeno pouze pro Wi-Fi, komunikuje v něm mnoho dalších zařízení – např. Bluetooth, RC modely, nebo mikrovlnné trouby. Žádné médium nemá neomezenou kapacitu, a proto není divu, že je pásmo 2,4 GHz na mnoha místech již přetížené. To je jeden z důvodů, proč existují také Wi-Fi v dalších pásmech, např. 5 GHz, kde je možno dosáhnout vyšších rychlostí, dlužno však dodat, že za cenu výrazně nižší průchodnosti překážkami. Obecně, u rádiového přenosu platí, že čím vyšší frekvence, tím vyšší rychlost, ale také nižší průchodnost. 5 GHz Wi-Fi sítě však ještě nejsou na koncových bodech příliš rozšířeny, jelikož je mnoho zařízení nepodporuje.

Kanály


Kdybychom v jedné lokalitě vysílali více bezdrátových sítí na stejné frekvenci, brzy by došlo k úplnému zarušení a značnému zkomplikování komunikace. Aby toto bylo možné, disponuje standard Wi-Fi rozdělením na kanály. Evropské sítě Wi-Fi mají své pásmo 2,4 GHz rozdělené celkem na 11 kanálů po 20 MHz, z nichž se však pouze tři nepřekrývají. Sítě v pásmu 5 GHz jsou mají též své rozdělení na kanály, které jsou však širší. Při instalaci bezdrátové sítě je dobré nejprve provést sken okolí a instalovanou síť umístit na kanál, který je v dané lokalitě co nejméně zarušen a ideálně se nepřekrývá s kanálem žádné jiné sítě.

Vizualizace kanálů Wi-Fi 2,4 GHz

Způsob komunikace Wi-Fi

CSMA/CA

Přístupový bod umí v základu komunikovat v jednu chvíli jen s jedním zařízením. Dojem souběžné komunikace se všemi klienty se vytváří obdobně jako u procesoru s multitaskingem – rychle se střídá, s kým se zrovna komunikuje. To je zprostředkováno metodou CSMA/CA (Collision avoidance), jež pracuje následovně:

  1. Stanice, která se chystá vysílat, zjišťuje, zda je médium volné. (= zda nikdo jiný v daný moment nevysílá) Pokud ano, zahájí vysílání. Pokud však zjistí, že ne, zahájí čekání.
  2. Pro čekání si vybere náhodně dlouhý moment času, po jehož uplynutí znovu zkontroluje obsazenost média. Je-li stále obsazeno, čeká dvojnásobek původní doby a postup opakuje. (čekací časy by mohly jít řadou 1, 2, 4, 8…) Náhodná doba se vybírá pro snížení pravděpodobnosti, že kolidující stanice spolu budou při dalším pokusu kolidovat znovu.
  3. Ve chvíli, kdy zjistí, že je médium volné, odvysílá rámec. Pokud je vysílání neúspěšné (nevrátí se potvrzení o přijetí), opakuje se čekání. (bod 2)
  4. Je možno využít výměny RTS/CTS (RTS – Request To Send – Dotaz na vysílání, CTS – Clear To Send – Volno k odeslání). To způsobí, že stanice po průchodu testem zjištění volného média odešle na přístupový bod nejprve RTS a pouze po přijetí potvrzení CTS začne odesílat data.

MIMO

S příchodem 802.11n se u Wi-Fi objevila podpora technologie Multiple Input Multiple Output, která umožňuje použití více antén pro znásobení maximální teoretické rychlosti. Pokud máme na obou stranách (jak na AP, tak na notebooku) např. dvě antény, je možné dosáhnout až teoretického dvojnásobku maximální rychlosti, což by v případě Wireless N bylo 300 Mb/s. Se třetí anténou by to bylo již 450 a se čtvrtou 600 Mb/s. Stále však hovoříme o teoretických rychlostech, reálně dosažitelná rychlost bývá zpravidla poloviční.

Aby bylo dosaženo kýženého efektu násobení rychlostí, je nutná přítomnost vyššího počtu antén na obou stranách komunikace. Pokud bychom měli AP se čtyřmi anténami, ale notebook jen s jednou (nebo opačně), nepřesáhneme 150 Mb/s.

Mu-MIMO

Za zmínku též stojí rozšíření Multiple User, které díky více anténám dovoluje AP komunikovat s několika zařízeními souběžně. (např. Antény 1 a 2 komunikují s mobilem, antény 3 a 4 s notebookem.) Dochází tak k měřitelnému snížení latence a zvýšení rychlosti.

Identifikátory sítě

Každá síť Wi-Fi má své identifikátory:

  • BSSID – Fyzická (MAC) adresa vysílače dané sítě. Příklad: 2C:56:DC:D0:C7:50
  • ESSID – Název sítě, běžně reprezentován jen jako SSID. Jedná se o ASCII řetězec s maximální délkou 32 znaků. Příklad: eduroam

Přístupový bod tyto údaje šíří přes tzv. beacon frames, které v určitém intervalu (obvykle 100 ms, lze přenastavit) rozesílá do okolí.

Základní typy Wi-Fi zařízení

  • Wi-Fi Router – S tímto zařízením se asi nejčastěji setkáme v roli vysílače. Zpravidla se jedná o multifunkční zařízení, které krom vysílání Wi-Fi umí také NATovat, poskytovat DHCP služby aj.
  • Access Point – Pouhý vysílač, obvykle krabička s jedním ethernetovým portem, která jen vysílá síť. Ostatní náležitosti, jako přidělování adres, řeší v případě nejjednodušších AP již třetí strana.
  • Repeater – Zařízení, které dokáže přijatý Wi-Fi signál zesilovat jeho opětovným vysíláním a tím prodloužit jeho dosah. K tomu může využít technologii WDS.
  • Bridge – Přijímá/odesílá Wi-Fi a zprostředkovává prostředníka v připojení zařízením, které má za sebou.

Rozšiřování pokrytí sítě

V praxi se můžeme dostat do situace, kdy je zapotřebí pokrýt Wi-Fi takový prostor, který by jedno AP nemohlo ve všech místech kvalitně obsloužit. V takových případech je potřeba síť rozšiřovat, čehož lze docílit následujícími způsoby:

Repeatery

Můžeme vysílat síť z jednoho zařízení a v pokrývaném prostoru dále již jen rozmístit opakovače. Seč je tento postup z instalačního hlediska přívětivý, nese s sebou významný negativní důsledek: Kvůli opakování a přeposílání dochází k propadům na rychlosti a odezvě signálu. V současné době se toto řešení téměř nevyužívá.

Více AP

Mnohem populárnějším řešením je instalovat po celém prostoru více přístupových bodů, které budou vysílat stejnou síť, jež k nim bude přivedena ethernetovým kabelem. Obvykle se toto řešení aplikuje následovně:

  1. Zvolí se jedno centrální AP, často výkonnější Wi-Fi router. Na něm se ponechá spuštěné DHCP, nastaví se mu SSID a kanál.
  2. Ostatní AP se ethernetem zapojí do stejné sítě, v níž figuruje i jejich centrální kolega. Nastaví se na nich shodné SSID s centrálním AP, avšak odlišné číslo kanálu a DHCP služba se vypne.

Klienti ve finále stále uvidí jen jednu síť. Toto řešení slouží dobře, ale s běžnými, neřízenými AP, která nejsou pro tento provoz přímo určena, přináší drobnou obtíž: Klientské zařízení se obvykle drží zuby-nehty toho AP, ke kterému je připojeno a dokud úplně neztratí jeho signál, nepřipojí se na jiné, i kdyby bylo přímo vedle něj.

Řízené AP

Pro eliminaci výše zmíněného problému je možné použít některé ze speciálních, řízených AP. Např. Ubiquiti nabízí vlastní řešení UniFi, kde nad jejich přístupovými body drží dohled softwarový ovladač, který se stará o plynulé předávání klientů mezi jednotlivými AP.

Bezpečnost Wi-Fi sítí

Bezdrátové sítě s sebou, kromě pohodlí, přinášejí také obrovský problém ve ztrátě kontroly nad cestou, kterou se data ubírají a ve sdílení přenosového média s dalšími sítěmi. Proto je nezbytně nutné všechny sítě patřičně zabezpečovat.

Prvotní nastavení

V každém novém zařízení by se jako první mělo změnit SSID, heslo a přístupové údaje do webové administrace. Tím zamezíme útokům od náhodných útočníků, kteří by mohli tyto údaje snadno uhádnout.

Nastavení šifrování, „zaheslování“ sítě

WEP


Wired Equivalent Privacy je nejstarším (1997) a nejméně bezpečným způsobem zabezpečení Wi-Fi sítí. Používá šifru RC4. Problém je, že šifrovací klíč, kterým se zabezpečuje veškerá komunikace ve WEP-Protected síti, se skládá ze dvou částí: Klíč pro přístup a inicializační vektor, na který bohužel zbylo pouze 24 bitů. (z celkových 64, nebo 128) Navíc na něm lze vypozorovat, že se v určitém intervalu opakuje, a tak je jeho prolomení otázkou krátkého časového intervalu.

Grafické znázornění WEP klíče

Tuto slabinu prokázal v roce 2001 útok FMS. Hned poté se začal vyvíjet standard WPA2.

WPA

Jelikož však tehdejší bezdrátová zařízení nebyla na hardwarově náročnější WPA2 připravena, došlo k vytvoření jakéhosi mezistupně, který by byl hardwarově zvladatelný i staršími zařízeními designovanými pro WEP, ale zároveň by nebyl tak nebezpečný. Tím byl WPA – Wi-Fi Protected Access, který využíval protokol TKIP, jímž zajišťoval obměnu šifrovacího klíče pro každý rámec. Stále se využívala proudová šifra RC4.

WPA2

V roce 2006 došlo ke standardizaci WPA2 ve standardu 802.11i. Každé zařízení, které bylo vyrobeno po tomto roce a má na sobě symbol Wi-Fi, musí umět tuto metodu zabezpečení. WPA2 již nevyužívá RC4, ale symetrickou šifru AES. (resp. na ní založený CCMP) Při použití dostatečně silného přístupového klíče lze považovat WPA2 síť za neprolomitelnou. Provozovat v současnosti (2019), kdy se již připravuje WPA3, cokoli jiného, než WPA2, je bezpečnostní riziko.

Módy přihlašování k síti

U bezdrátových sítí obecně existují tři módy přihlašování, z nichž lze dva považovat za bezpečné.

Otevřená síť

Můžete nastavit, aby pro přístup do Vaší sítě nebylo vyžadováno zadání žádného hesla. Tento způsob je užitečný u velkých veřejných sítí.  Je však potřeba mít na paměti, že v tomto případě se nevyužívá žádný z výše zmíněných bezpečnostních standardů a data létají vzduchem nešifrována. Přihlášení se na stránce bez HTTPS se v takové síti dá přirovnat k vyřčení hesla nahlas na celou místnost.

Osobní mód

Personal mode, nebo také někdy PSK (Pre-shared key) je mód sítě, se kterým se nejčastěji setkáme v domácnostech a menších prostředích, kde síť nevyužívá mnoho uživatelů a není zapotřebí síťové události podrobně logovat. Přihlašování k takové síti je založeno na zadání předsdíleného klíče, při připojení zadáváme „heslo“, které známe jen my a AP.

Podnikový mód

K síti v Enterprise módu se přihlašujeme pomocí uživatelského jména a hesla, které jsou ověřeny protokolem 802.1X vůči databázi uživatelských účtů RADIUS serveru v síti. Popis činnosti přihlášení je následující:

  1. Klient se připojí k AP, které od něj zatím akceptuje pouze autentizační rámce.
  2. Klient odešle přes AP své přihlašovací údaje, to je dále předá RADIUS serveru a vyřídí s ním žádost o připojení k síti.
  3. V závislosti na správnosti údajů informuje RADIUS server dotyčné AP, zda má žadateli dovolit přístup do sítě.

Při správně nastaveném logování je v podnikové síti velmi snadné zjistit, v jakou chvíli kdo prohlížel jaké stránky, nebo s jakými IP adresami komunikoval, a to s přesností na konkrétního uživatele. To významně usnadňuje pátrání po vinících případných incidentů.

Vypnutí trvalého WPS

Pro snadné nastavení připojení k Wi-Fi byla vyvinuta funkce Wi-Fi Protected Setup. Ta umožňuje uživateli po zadání PINu (obvykle osmimístné číslo napsané na spodní straně routeru) snadné připojení bez nutnosti složitého nastavování.

Bohužel, ukázalo se, že WPS je z bezpečnostního hlediska velmi nedokonalé. Osmičíselný PIN sice pro útočníka představuje sto miliónů různých kombinací, jenže pokud routeru pošlete špatný kód, odpoví, že první, či druhá půlka byla správně, a tím výrazně snižuje počet potřebných kombinací. Dalším zjednodušením je také to, že poslední číslo tvoří pouze kontrolní součet předchozích sedmi.

Filtrování MAC adres

Je možné jasně definovat, které fyzické adresy v naší síti smějí komunikovat (white-listing), nebo naopak nesmějí. (black-listing) Toto je dobrý bezpečnostní ústupek, pokud z nějakého důvodu (např. nutnost připojení primitivního IoT zařízení bez podpory šifrování) musíme otevřít síť bez hesla. Jelikož si ale jde nasloucháním snadno zjistit, které MAC adresy v síti již komunikují a následně si jednu z nich naklonovat, lze tento způsob považovat maximálně za další úroveň bezpečnosti.

Skrytí SSID

Můžeme nastavit, aby naše AP nevysílala svůj identifikátor (SSID), který je nutný pro přístup do ni. Bude se pak klientům zobrazovat buď jako Skrytá síť, nebo se nebude zobrazovat vůbec. Jelikož se však při každém připojení do sítě odešle od klienta k AP SSID v plain textu, nelze tuto možnost považovat za bezpečnostní funkci, ale spíš za způsob utajení sítě, který odradí namátkové útočníky.

Vypnutí DHCP a nastavení netradičního oboru adres

Pokud chceme přidat další vrstvu bezpečnosti, můžeme si pro síť nastavit neobvyklý obor adres (např. 192.168.77.128/25) a vypnout DHCP. Pokud by se útočník do sítě dostal, musel by ještě zjišťovat, jakou adresu si má pro správnou komunikaci v síti nastavit.