Wi-Fi
Vyřazená velká satelitní anténa použitá pro Wi-Fi spoj na dlouhou vzdálenost
Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wi-fi, wifi) je vinformatice označení pro několik standardů IEEE 802.11 popisujících bezdrátovou komunikaci vpočítačových sítích (též Wireless LAN, WLAN). Samotný název WiFi vytvořilo Wireless Ethernet Compatibility Aliance. Tato technologie využívá bezlicenčního frekvenčního pásma, proto je ideální pro budování levné, ale výkonné sítě bez nutnosti pokládky kabelů. Název původně neměl znamenat nic,[1] ale časem se z něj stala slovní hříčkawireless fidelity (bezdrátová věrnost) analogicky kHi-Fi (high fidelity – vysoká věrnost).
Vývoj
Wi-fi jako takový není zcela nový standard. Je založen na principu rozprostřeného spektra, který si roku 1942 nechali patentovat hudební skladatel George Antheil a herečka rakouského původu Hedy Lamarr. Němci se tehdy zabývali rádiově řízenými torpédy, ale toto rádiové ovládání mohl nepřítel rušit. Výše zmínění vymysleli ideu, jak by náhodná změna vysílacích kanálů snížila riziko nepřátelského rušení. Roku 1962 elektronický děrný pás umožnil přenos rádiové komunikace mezi americkými loděmi. Mezi 60. a 80. rokem se tato technologie využívala výhradně pro vojenské účely a na začátku 80. let byla uvolněna i pro civilní využití.
Ke každé bezdrátové síti musí mít provozovatel patřičnou licenci pro vysílání v určité frekvenci. Této frekvenci se říká licencované pásmo. Frekvencí není nekonečné množství, proto tato pásma jsou zpoplatněna vysokou částkou. Majitelé licencí si samozřejmě svá pásma chrání, aby v nich nikdo jiný nevysílal. Protože rádiové vysílaní mají i některé přístroje v domácnosti (např. mikrovlnná trouba), vzniklo bezlicenční pásmo ISM (2,4 GHz), které bylo vyhrazené pro průmyslové, vědecké a lékařské účely. Později se však o toto pásmo začali zajímat i výrobci bezdrátových sítí. Zpočátku každý měl vlastní technologie, ale časem zjistili, že mít jednotný standard je výhodnější. A tak v roce 1997 publikoval mezinárodní standardizační institut IEEE specifikaci standardu bezdrátové sítě pracující v pásmu ISM pod číslem 802.11. V roce 1999 se tento standard rozšířil o 2 kvalitnější specifikace a to 802.11a 802.11b. Dnes asi nejpoužívanější revize přišla v roce 2003 pod označením 802.11g. Rychlost byla zvýšena na 54 Mb/s v pásmu 2,4 GHz.
Nejnovější standard 802.11n vznikl v roce 2008. Podporuje MIMO zařízení (Multiple Input, Multiple Output – mnohonásobný vstup i výstup). Používá více vysílačů a přijímačů, aby se zlepšil signál. Abyste měli jistotu, že své zařízení bude možno vždy propojit s ostatními, vznikla tzv. Wifi aliance. Tato aliance testuje zařízení pracující ve standardu 802.11 a těm co vyhovují kritériím propůjčí logo, které ujišťuje kupujícího, že jeho zařízení je schopno komunikovat s ostatními wifi zařízeními s tímto logem. Jelikož Wi-Fi sítě s jednotným standardem mají mnoho výhod, rychle se rozšířily a zlevnily.
Charakteristika
Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokální (např. firemní) sítě LAN. S postupem času začala být využívána i k bezdrátovému připojení do sítěInternet v rámci rozsáhlejších lokalit a tzv. hotspotů. Wi-Fi zařízení jsou dnes prakticky ve všech přenosných počítačích a i v některých mobilních telefonech. Úspěch Wi-Fi přineslo využívání bezlicenčního pásma, což má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále častých bezpečnostních incidentů. Následníkem Wi-Fi by měla být bezdrátová technologie WiMAX, která se zaměřuje na zlepšení přenosu signálu na větší vzdálenosti.
Wi-Fi zajišťuje komunikaci na spojové vrstvě, zbytek je záležitost vyšších protokolů (na rozdíl od Bluetooth, který sám o sobě zajišťuje nejrůznější služby). Typicky se proto přenášejí zapouzdřené ethernetové rámce. Pro bezdrátovou komunikaci na sdíleném médiu (šíření elektromagnetického pole prostorem) je používán protokol CSMA/CA (Ethernet používá na vodičíchCSMA/CD).
Struktura bezdrátové sítě
Bezdrátová síť může být vybudována různými způsoby v závislosti na požadované funkci. Ve všech případech hraje klíčovou roli identifikátor SSID(Service Set Identifier), což je řetězec až 32 ASCII znaků, kterými se jednotlivé sítě rozlišují. SSID identifikátor je v pravidelných intervalech vysílán jakobroadcast, takže všichni potenciální klienti si mohou snadno zobrazit dostupné bezdrátové sítě, ke kterým je možné se připojit (tzv. asociovat se s přístupovým bodem).
Aby mezi sebou mohla komunikovat zařízení různých výrobců i různých platforem, existují mezinárodní standardy. Jejich specifikací se zabývá institut IEEE (z angl. Institute of Electrical and Electronic Engineers) - specifikace standardů bezdrátových lokálních sítí jsou publikovány pod číslem 802.11. Tento dokument dále obsahuje užší specifikace rozlišené revizními písmeny: např. 802.11b a 802.11g. Oba tyto nejčastěji se vyskytující standardy definují bezdrátové sítě pracující ve volném pásmu 2,4 GHz, liší se maximální dosažitelnou rychlostí (u standardu 802.11b je nejvyšší dosažitelnou rychlostí 11 Mb/s, u 802.11g je to až 54 Mb/s).
Nejjednodušším způsobem, jak bezdrátovou síť skrýt, je zamezit vysílání SSID. Připojující se klient pak musí SSID předem znát, jinak se nedokáže k druhé straně připojit. Protože je však SSID při připojování klienta přenášeno v čitelné podobě, lze ho snadno zachytit a skrytou síť odhalit.
Ad-hoc sítě
V ad-hoc síti se navzájem spojují dva klienti, kteří jsou v rovnocenné pozici (peer-to-peer). Vzájemná identifikace probíhá pomocí SSID. Obě strany musí být v přímém rádiovém dosahu, což je typické pro malou síť nebo příležitostné spojení, kdy jsou počítače ve vzdálenosti několika metrů.
Infrastrukturní sítě
Typická infrastrukturní bezdrátová síť obsahuje jeden nebo více přístupových bodů (AP – Access Point), které vysílají své SSID. Klient si podle názvů sítí vybere, ke které se připojí. Několik přístupových bodů může mít stejný SSID identifikátor a je plně záležitostí klienta, ke kterému se připojí. Může se například přepojovat v závislosti na síle signálu a umožňovat tak klientovi volný pohyb ve větší síti (tzv. roaming).
Pojmy vztahující se k Wi-Fi
Access Point
Přístupový bod (AP) řídí komunikaci mezi wi-fi zařízeními, která jsou zapojena v infrastrukturním režimu. Přístupové body je možné použít pro poskytování různých služeb pro lokální síť a připojení k internetu.
Firewall
Firewall chrání lokální síť před narušiteli tím, že omezuje přístup na počítač nebo síť. Různé firewally poskytují různé typy a úrovně ochrany včetně blokování portů používaných internetovými aplikacemi pro připojení k jiným počítačům, zabránění přenosům na základě jejich původu a analýzy a odmítnutí pokusů o proniknutí na základě určitých modelů podezřelých přístupů.
Většina přístupových bodů obsahuje firewall. Většinu firewallu můžete nakonfigurovat tak, aby umožňovaly přístup ke specifickým částem vaší sítě nebo aby odepřely veškerý přístup zvnějšku.
Home gateway
Brána (gateway) je v počítačových sítích uzel, který spojuje dvě různé sítě. Brána musí vykonávat i funkci směrovače (routeru) a proto ji řadíme v posloupnosti síťových zařízení výše.
WISP
Provozní režim WiFi zařízení, které umí kombinovat příjem dat přes WiFi část a nastavit ROUTER pro LAN výstupy.
Zabezpečení sítě
Problém bezpečnosti bezdrátových sítí vyplývá zejména z toho, že jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov, což si mnoho uživatelů neuvědomuje. Dalším problémem je fakt, že bezdrátová zařízení se prodávají s nastavením bez jakéhokoliv zabezpečení, aby po zakoupení fungovala ihned po zapojení do zásuvky.
Nezvaný host se může snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i když druhá strana výkonnou anténu nemá. Navíc většina nejčastěji používaných zabezpečení bezdrátových sítí má jen omezenou účinnost a dá se snadno obejít.
Různé typy zabezpečení se vyvíjely postupně a proto starší zařízení poskytují jen omezené nebo žádné možnosti zabezpečení bezdrátové sítě. Právě kvůli starším zařízením jsou bezdrátové sítě někdy zabezpečeny jen málo. V takových případech je vhodné použít zabezpečení na vyšší síťové vrstvě, například virtuální privátní síť.
Útočník vybavený směrovou anténou se může připojit do sítě vzdálené několik set metrů nebo dokonce několik kilometrů, i když síť sama o sobě má dosah pár desítek metrů. Různé typy zabezpečení se vyvíjely postupně, proto starší poskytují pouze omezené možnosti zabezpečení sítě, které se dají snadno prolomit. Neznalí uživatelé mohou také doplatit na to, že bezdrátové zařízení se prodávají bez nastaveného zabezpečení, nebo s nějakým výchozím nastavením, které je u všech zařízení daného typu stejné. Například heslo: „password“. Na internetu jsou databáze s tímto nastavením, proto takto zabezpečenou síť dokáže prolomit i běžný uživatel se schopností hledání na googlu.
Bezpečnost bezdrátových sítí můžeme rozdělit do dvou hlavních skupin:
· šifrování = zabezpečení přenášených dat před odposlechem
· autorizace = řízení přístupu oprávněných uživatelů
Zablokování vysílání SSID
Zablokování vysílání SSID sice porušuje standard, ale je nejjednodušším zabezpečením bezdrátové sítě pomocí jejího zdánlivého skrytí. Klienti síť nezobrazí v seznamu dostupných bezdrátových sítí, protože nepřijímají broadcasty se SSID. Ovšem při připojování klienta k přípojnému bodu je SSID přenášen v otevřené podobě a lze ho tak snadno zachytit. Při zachytávání SSID při asociaci klienta s přípojným bodem se používá i provokací, kdy útočník do bezdrátové sítě vysílá rámce, které přinutí klienty, aby se znovu asociovali.
Kontrola MAC adres
Přípojný bod bezdrátové sítě má k dispozici seznam MAC adres klientů, kterým je dovoleno se připojit (tzv. whitelist). Zrovna tak je možné nastavit blokování určitých MAC adres (blacklist). Útočník se může vydávat za stanici, která je již do bezdrátové sítě připojena pomocí nastavení stejné MAC adresy (pokud je na AP tato funkce aktivní).
802.1X
Přístupový bod vyžaduje autentizaci pomocí protokolu IEEE 802.1X. Pro ověření je používán na straně klienta program, který nazýváme prosebník (suplikant), kterému přístupový bod zprostředkuje komunikaci s třetí stranou, která ověření provede (například RADIUS server). Za pomoci 802.1X lze odstranit nedostatky zabezpečení pomocí WEP klíčů.
WEP
Šifrování komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy)symetrické šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Díky nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou klíč relativně snadno získat. Pro získání klíčů existují specializované programy.
WPA
Kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které jsou ale dynamicky bezpečným způsobem měněny. K tomu slouží speciální doprovodný program, který nazýváme prosebník (suplikant). Z tohoto důvodu je možné i starší zařízení WPA vybavit.
Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-Shared Key – obě strany používají stejnou dostatečně dlouhou heslovou frázi) nebo RADIUSserver (ověřování přihlašovacím jménem a heslem).
WPA2
Novější WPA2 přináší kvalitnější šifrování (šifra AES), která však vyžaduje větší výpočetní výkon a proto nelze WPA2 používat na starších zařízeních.
Kompatibilituzařízení zaručuje certifikační proces; zařízení, která tuto certifikaci získala, bývají označena logem Wi-Fi aliance.
802.11n - ve fázi Draft 2.0 (nyní v prodeji) - dle návrhu od skupiny TGn sync bude rychlost
· až 600 Mbit při 4X4 MIMO (4 streamy),
· až 450 Mbit při 3X3 MIMO (příklad implementace: Intel® WiFi Link 5300 Series),
· až 300 Mbit při 2X2 MIMO (např.: Intel® WiFi Link 5100 Series).
802.11n - Skutečná rychlost, která bude zajímat většinu uživatelů, při 600Mbit na fyzické vrstvě (L1) je údajně až do 400Mbit na MAC (L2 - Layer2 - MAC) vrstvě.
Praktická rychlost bude nižší. Intel® WiFi Link 5100 v noteboocích běžně zvládá reálné rychlosti nad 100Mbit.
Radiační rizika Wi-Fi
Existuje podezření, že elektrosmog produkovaný Wi-Fi negativně ovlivňuje některé živé organismy.[2]
Útoky
Díky nárůstu počtu bezdrátových sítí se jich také čím dál více stává oběťmi útočníků. Vzhledem k lhostejnosti uživatelů WLAN sítí k zabezpečení, jsou některé „útoky“ pouze náhodné, jiné však účelné.
Útoky do WLAN se dělí na aktivní a pasivní. V případě pasivního útoku, na rozdíl od aktivního, útočník zachycená data nemodifikuje. Pasivní útoky, které popisují první dva uvedené způsoby, jsou ovšem ve většině případů nezjistitelné.
Skenování sítí, Warchalking a Wardriving
V operačním systému Windows je nejpoužívanějším programem pro odposlech dostupných sítí NetStumbler, v Linuxových distribucích je to aplikace Kismet. Tyto aplikace běží ve většině případů na notebooku, který buď nadšenci nosí po okolí, nebo detekují volně přístupné sítě při jízdě autem a tyto informace poté poskytující veřejně, pomocí databází s adresou a GPS pozicí (NetStumbler) nebo prostými značkami (viz Symboly užívané při Warchalkingu). Tzv. „lovení“ přístupových bodů se stalo známé jako „Warchalking“ nebo „Wardriving“. Jde ale spíše o nešťastný výraz, neboť samotná detekce AP není agresivní, ani se nejedná o žádný zákeřný čin.
Komponenty Wi-Fi
Access point je prvek, který umožňuje vysílat nebo přijímat data. AP jsou stěžejními prvky pro sítě WLAN. Hlavní AP vysílají pomocí všesměrových nebo směrových antén signál do širokého okolí a tento signál je přijímán AP jednotlivých uživatelů.
V mnoha případech je potřeba pro kvalitní příjem nutná anténa. Rozeznáváme všesměrové a směrové antény. Všesměrové antény jsou vhodné pro pokrytí velké oblasti WiFi signálem, zatímco pomocí směrových antén můžete přenášet WiFi signál na velké vzdálenosti.
WiFi router v sobě kombinuje funkci klasického routeru a AP. Většinou je takový router vybaven jedním portem WAN (Wide Area Network), několika ethernetovými porty a anténou nebo anténami pro bezdrátovou komunikaci. Pomocí WiFi routeru si můžete snadno vytvořit svou domácí bezdrátovou síť.
WiFi karta, ať už do PCI nebo do notebookového portu PCMCIA, slouží pro připojení počítače nebo notebooku k WiFi síti podobně jako síťová karta slouží k připojení na LAN. Mnoho notebooků, ale i přenosných zařízení jako jsou různé mobilní telefony a PDA mají zabudován WiFi modul.
Sítě 4. generace
Sítě 4. generace postavené na blanket technologii přináší průlomový zlom v plánování a výstavbě WiFi sítí. Jelikož jsou všechna AP provozována na stejném kanále, je velmi snadné nalézt alespoň jeden volný kanál i v zarušeném ISM pásmu. Blanket sítě mají vnitřní mechanismus, který brání rušení mezi vlastními AP, i když jsou všechny provozovány na jednom kanále.
Sítě 4. generace počítají s nejvyššími nároky na zabezpečení bezdrátového spojení a veškerých citlivých informací. Nutným základem je kvalitní hardware, podpora nejvyšších šifrovacích protokolů a metod, a to bez degradace přenosových parametrů a stability sítě. Díky tomu, že jde o unikátní blanket sítě bez nutnosti re-asociace klientů i při pohybu, je provoz i nejnáročnějších služeb s vysokým zabezpečením bez výpadků a bez snížení provozních parametrů.