- Wi-Fi -
Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wi-fi, wifi) je v informatice označení pro několik standardů IEEE 802.11 popisujících bezdrátovou komunikaci v počítačových sítích (též Wireless LAN, WLAN). Samotný název WiFi vytvořilo Wireless Ethernet Compatibility Aliance. Tato technologie využívá bezlicenčního frekvenčního pásma, proto je ideální pro budování levné, ale výkonné sítě bez nutnosti pokládky kabelů. Název původně neměl znamenat nic,[1] ale časem se z něj stala slovní hříčka wireless fidelity (bezdrátová věrnost) analogicky k Hi-Fi (high fidelity – vysoká věrnost).
Vývoj
Wi-fi jako takový není zcela nový standard. Je založen na principu
rozprostřeného spektra, který si roku 1942 nechali patentovat hudební skladatel
George Antheil a herečka rakouského původu Hedy Lamarr. Němci se tehdy zabývali
rádiově řízenými torpédy, ale toto rádiové ovládání mohl nepřítel rušit. Výše
zmínění vymysleli ideu, jak by náhodná změna vysílacích kanálů snížila riziko
nepřátelského rušení. Roku 1962 elektronický děrný pás umožnil přenos rádiové
komunikace mezi americkými loděmi. Mezi 60. a 80. rokem se tato technologie
využívala výhradně pro vojenské účely a na začátku 80. let byla uvolněna i pro
civilní využití.
Ke každé bezdrátové síti musí mít provozovatel patřičnou licenci pro vysílání v určité frekvenci. Této frekvenci se říká licencované pásmo. Frekvencí není nekonečné množství, proto tato pásma jsou zpoplatněna vysokou částkou. Majitelé licencí si samozřejmě svá pásma chrání, aby v nich nikdo jiný nevysílal. Protože rádiové vysílaní mají i některé přístroje v domácnosti (např. mikrovlnná trouba), vzniklo bezlicenční pásmo ISM (2,4 GHz), které bylo vyhrazené pro průmyslové, vědecké a lékařské účely. Později se však o toto pásmo začali zajímat i výrobci bezdrátových sítí. Zpočátku každý měl vlastní technologie, ale časem zjistili, že mít jednotný standard je výhodnější. A tak v roce 1997 publikoval mezinárodní standardizační institut IEEE specifikaci standardu bezdrátové sítě pracující v pásmu ISM pod číslem 802.11. V roce 1999 se tento standard rozšířil o 2 kvalitnější specifikace a to 802.11a 802.11b. Dnes asi nejpoužívanější revize přišla v roce 2003 pod označením 802.11g. Rychlost byla zvýšena na 54 Mb/s v pásmu 2,4 GHz.
Nejnovější standard 802.11n vznikl v roce 2008. Podporuje MIMO zařízení (Multiple Input, Multiple Output – mnohonásobný vstup i výstup). Používá více vysílačů a přijímačů, aby se zlepšil signál. Abyste měli jistotu, že své zařízení bude možno vždy propojit s ostatními, vznikla tzv. Wifi aliance. Tato aliance testuje zařízení pracující ve standardu 802.11 a těm co vyhovují kritériím propůjčí logo, které ujišťuje kupujícího, že jeho zařízení je schopno komunikovat s ostatními wifi zařízeními s tímto logem. Jelikož Wi-Fi sítě s jednotným standardem mají mnoho výhod, rychle se rozšířily a zlevnily.
Charakteristika
Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové
propojení přenosných zařízení a dále jejich připojování na lokální (např.
firemní) sítě LAN. S postupem času začala být využívána i k bezdrátovému
připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv. hotspotů. Wi-Fi
zařízení jsou dnes prakticky ve všech přenosných počítačích a i v některých
mobilních telefonech. Úspěch Wi-Fi přineslo využívání bezlicenčního pásma, což
má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra
a dále častých bezpečnostních incidentů. Následníkem Wi-Fi by měla být
bezdrátová technologie WiMAX, která se zaměřuje na zlepšení přenosu signálu na
větší vzdálenosti.
Wi-Fi zajišťuje komunikaci na spojové vrstvě, zbytek je záležitost vyšších protokolů (na rozdíl od Bluetooth, který sám o sobě zajišťuje nejrůznější služby). Typicky se proto přenášejí zapouzdřené ethernetové rámce. Pro bezdrátovou komunikaci na sdíleném médiu (šíření elektromagnetického pole prostorem) je používán protokol CSMA/CA (Ethernet používá na vodičích CSMA/CD).
Struktura bezdrátové sítě
Bezdrátová síť může být vybudována různými způsoby
v závislosti na požadované funkci. Ve všech případech hraje klíčovou roli
identifikátor SSID (Service Set Identifier), což je řetězec až 32 ASCII znaků,
kterými se jednotlivé sítě rozlišují. SSID identifikátor je v pravidelných
intervalech vysílán jako broadcast, takže všichni potenciální klienti si mohou
snadno zobrazit dostupné bezdrátové sítě, ke kterým je možné se připojit (tzv.
asociovat se s přístupovým bodem).
Aby mezi sebou mohla komunikovat zařízení různých výrobců i různých platforem, existují mezinárodní standardy. Jejich specifikací se zabývá institut IEEE (z angl. Institute of Electrical and Electronic Engineers) - specifikace standardů bezdrátových lokálních sítí jsou publikovány pod číslem 802.11. Tento dokument dále obsahuje užší specifikace rozlišené revizními písmeny: např. 802.11b a 802.11g. Oba tyto nejčastěji se vyskytující standardy definují bezdrátové sítě pracující ve volném pásmu 2,4 GHz, liší se maximální dosažitelnou rychlostí (u standardu 802.11b je nejvyšší dosažitelnou rychlostí 11 Mb/s, u 802.11g je to až 54 Mb/s).
Nejjednodušším způsobem, jak bezdrátovou síť skrýt, je zamezit vysílání SSID. Připojující se klient pak musí SSID předem znát, jinak se nedokáže k druhé straně připojit. Protože je však SSID při připojování klienta přenášeno v čitelné podobě, lze ho snadno zachytit a skrytou síť odhalit.
Související informace naleznete také v článku SSID.
Ad-hoc sítě
V ad-hoc
síti se navzájem spojují dva klienti, kteří jsou v rovnocenné pozici
(peer-to-peer). Vzájemná identifikace probíhá pomocí SSID. Obě strany musí být v
přímém rádiovém dosahu, což je typické pro malou síť nebo příležitostné spojení,
kdy jsou počítače ve vzdálenosti několika metrů.
Infrastrukturní sítě
Typická infrastrukturní bezdrátová síť obsahuje jeden
nebo více přístupových bodů (AP – Access Point), které vysílají své SSID. Klient
si podle názvů sítí vybere, ke které se připojí. Několik přístupových bodů může
mít stejný SSID identifikátor a je plně záležitostí klienta, ke kterému se
připojí. Může se například přepojovat v závislosti na síle signálu a umožňovat
tak klientovi volný pohyb ve větší síti (tzv. roaming).
Související informace naleznete také v článku Access point.
Pojmy vztahující
se k Wi-Fi
Access Point
Přístupový bod (AP) řídí komunikaci mezi wi-fi
zařízeními, která jsou zapojena v infrastrukturním režimu. Přístupové body je
možné použít pro poskytování různých služeb pro lokální síť a připojení k
internetu.
Firewall
Firewall chrání lokální síť před narušiteli tím, že omezuje přístup na počítač
nebo síť. Různé firewally poskytují různé typy a úrovně ochrany včetně blokování
portů používaných internetovými aplikacemi pro připojení k jiným počítačům,
zabránění přenosům na základě jejich původu a analýzy a odmítnutí pokusů o
proniknutí na základě určitých modelů podezřelých přístupů. Většina přístupových
bodů obsahuje firewall. Většinu firewallu můžete nakonfigurovat tak, aby
umožňovaly přístup ke specifickým částem vaší sítě nebo aby odepřely veškerý
přístup zvnějšku.
Home
gateway
Brána (gateway) je v počítačových sítích uzel, který spojuje dvě
různé sítě. Brána musí vykonávat i funkci směrovače (routeru) a proto ji řadíme
v posloupnosti síťových zařízení výše.
WISP
Provozní režim WiFi zařízení, které umí kombinovat příjem dat přes WiFi
část a nastavit ROUTER pro LAN výstupy.
Mobilita výhodou
Bezdrátové sítě jsou velmi běžné, a to jak u organizací, tak
u jednotlivců. Mnoho notebooků má bezdrátové karty předinstalovány. Schopnost
vstoupit do sítě při přemísťování má velké výhody. Nicméně, bezdrátové sítě jsou
náchylné k některým bezpečnostním problémům. Hackeři už našli bezdrátové sítě
relativně snadno, aby do nich pronikli, a dokonce používají bezdrátové
technologie, aby se nabourali do kabelových sítí. Proto je velmi důležité, aby
podniky definovaly efektivní bezdrátovou bezpečnostní politiku, která ochrání
proti neoprávněnému přístupu k důležitým zdrojům. Prevence narušení bezdrátových
systémů (WIPS) nebo detekce narušení bezdrátových systémů (WIDS) se běžně
používají k uplatnění bezdrátové bezpečnostní politiky.
Podrobné objasnění
Kdokoliv v rámci geografického pásma otevřené sítě,
nešifrované bezdrátové sítě může "čichat" nebo zachytit a zaznamenat provoz,
získat neoprávněný přístup k interním síťovým zdrojům, stejně jako na internetu,
a pak použít informace a zdroje k provádění ničivých, nebo nelegálních aktů.
Takové porušení bezpečnosti se staly vážnými problémy jak pro podniky, tak
domácí sítě.
Pokud není zabezpečení routeru aktivní, nebo ho vlastník deaktivoval pro větší pohodlí, vytváří volný aktivní bod (hotspot). Moderní notebooky mají adaptér pro příjem bezdrátové sítě již zabudovaný (např. Intel “Centrino” technologie), a proto nepotřebují přídavný adaptér, jako například PCMCIA kartu nebo USB dongle. Vestavěné bezdrátové připojení k síti může být ve výchozím nastavení povolené, aniž by si to majitel uvědomoval, a tak vysílá notebook přístup k libovolnému počítači v okolí.
Moderní operační systémy, jako je Linux, Mac OS nebo Microsoft Windows se dají poměrně jednoduše nastavit, jako bezdrátové vysílací body, pomocí sdílení internetového připojení , a tak umožnit přístup k internetu ostatním počítačům v domácnosti přes hlavní počítač. Avšak, nedostatek znalostí u bežných uživatelů ohledně zabezpečení bezdrátových sítí často umožňuje ostatním snadný přístup k jejich připojení. Takového „ Piggybacking)“ je obvykle dosáhnuto bez povšimnutí vlastníka bezdrátové sítě, dokonce i samotný neoprávněný uživatel bezdrátové sítě si toho nemusí být vědom, pokud jeho počítač automaticky vybírá nejbližší nezabezpečené přístupové body.
Ohrožení
Zabezpečení bezdrátové sítě je pouze jedním z aspektů počítačové
bezpečnosti, nicméně organizace mohou být zvláště citlivé na narušení
bezpečnosti [2] způsobené podvodnými přístupovými body.
Pokud zaměstnanec (důvěryhodný subjekt) využívá bezdrátového routeru a zapojí nezabezpečený switchport, celá síť může být přístupná komukoli v dosahu signálu. Podobně, pokud zaměstnanec přidává bezdrátové rozhraní na počítači připojeném k síti přes otevřený port USB, mohou vytvořit průlom v zabezpečení sítě, který by umožnil přístup k důvěrným materiálům. Nicméně, existují efektivní protiopatření (např. zákaz otevřených switchportů během konfigurace vypínače (switch) VLAN pro omezení přístupu k síti), které jsou k dispozici, aby ochránily sítě i informace, které obsahuje, ale takové protiopatření musí být uplatňována jednotně na všech síťových zařízeních.
Zabezpečení sítě
Problém bezpečnosti bezdrátových sítí vyplývá zejména z
toho, že jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi
budov, což si mnoho uživatelů neuvědomuje. Dalším problémem je fakt, že
bezdrátová zařízení se prodávají s nastavením bez jakéhokoliv zabezpečení, aby
po zakoupení fungovala ihned po zapojení do zásuvky.
Nezvaný host se může snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i když druhá strana výkonnou anténu nemá. Navíc většina nejčastěji používaných zabezpečení bezdrátových sítí má jen omezenou účinnost a dá se snadno obejít.
Různé typy zabezpečení se vyvíjely postupně a proto starší zařízení poskytují jen omezené nebo žádné možnosti zabezpečení bezdrátové sítě. Právě kvůli starším zařízením jsou bezdrátové sítě někdy zabezpečeny jen málo. V takových případech je vhodné použít zabezpečení na vyšší síťové vrstvě, například virtuální privátní síť.
Útočník vybavený směrovou anténou se může připojit do sítě vzdálené několik set metrů nebo dokonce několik kilometrů, i když síť sama o sobě má dosah pár desítek metrů. Různé typy zabezpečení se vyvíjely postupně, proto starší poskytují pouze omezené možnosti zabezpečení sítě, které se dají snadno prolomit. Neznalí uživatelé mohou také doplatit na to, že bezdrátové zařízení se prodávají bez nastaveného zabezpečení, nebo s nějakým výchozím nastavením, které je u všech zařízení daného typu stejné. Například heslo: „password“. Na internetu jsou databáze s tímto nastavením, proto takto zabezpečenou síť dokáže prolomit i běžný uživatel se schopností hledání na googlu.
Bezpečnost bezdrátových sítí můžeme rozdělit do dvou hlavních skupin:
šifrování = zabezpečení přenášených dat před odposlechem
autorizace = řízení
přístupu oprávněných uživatelů
Zablokování vysílání SSID
Zablokování
vysílání SSID sice porušuje standard, ale je nejjednodušším zabezpečením
bezdrátové sítě pomocí jejího zdánlivého skrytí. Klienti síť nezobrazí v seznamu
dostupných bezdrátových sítí, protože nepřijímají broadcasty se SSID. Ovšem při
připojování klienta k přípojnému bodu je SSID přenášen v otevřené podobě a lze
ho tak snadno zachytit. Při zachytávání SSID při asociaci klienta s přípojným
bodem se používá i provokací, kdy útočník do bezdrátové sítě vysílá rámce, které
přinutí klienty, aby se znovu asociovali.
Kontrola MAC adres
Přípojný bod bezdrátové sítě má k dispozici seznam MAC
adres klientů, kterým je dovoleno se připojit (tzv. whitelist). Zrovna tak je
možné nastavit blokování určitých MAC adres (blacklist). Útočník se může vydávat
za stanici, která je již do bezdrátové sítě připojena pomocí nastavení stejné
MAC adresy (pokud je na AP tato funkce aktivní).
802.1X
Přístupový bod vyžaduje autentizaci pomocí protokolu IEEE 802.1X. Pro
ověření je používán na straně klienta program, který nazýváme prosebník
(suplikant), kterému přístupový bod zprostředkuje komunikaci s třetí stranou,
která ověření provede (například RADIUS server). Za pomoci 802.1X lze odstranit
nedostatky zabezpečení pomocí WEP klíčů.
Související informace naleznete také v článku IEEE 802.1X.
WEP
Šifrování
komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy) symetrické
šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Díky
nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou klíč
relativně snadno získat. Pro získání klíčů existují specializované programy.
Související informace naleznete také v článku Wired Equivalent Privacy.
WPA
Kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které
jsou ale dynamicky bezpečným způsobem měněny. K tomu slouží speciální doprovodný
program, který nazýváme prosebník (suplikant). Z tohoto důvodu je možné i starší
zařízení WPA vybavit.
Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-Shared Key – obě strany používají stejnou dostatečně dlouhou heslovou frázi) nebo RADIUS server (ověřování přihlašovacím jménem a heslem).
Související informace naleznete také v článku Wi-Fi Protected Access.
WPA2
Novější WPA2 přináší kvalitnější šifrování (šifra AES), která však vyžaduje
větší výpočetní výkon a proto nelze WPA2 používat na starších zařízeních.
Související informace naleznete také v článku IEEE 802.11i.
RF stínění
V
některých případech je vhodné aplikovat specializovanou barvu na zdi a okenní
fólii na místnosti či budovy k výraznému oslabení bezdrátového signálu. Toto
zamezí, aby byl signál propagován mimo podnik. Tato technika může výrazně
zlepšit zabezpečení bezdrátové sítě, protože je pro hackery složité zachytit
signál mimo regulované oblasti podniku jakými jsou například parkoviště. [3]
Navzdory bezpečnostním opatřením jako je šifrování, mohou být hackeři stále schopni tyto sítě prolomit. Toho docílí pomocí rozličných technik a nástrojů.
Pro uzavřené sítě (domácí uživatelé a organizace) je nejčastějším způsobem konfigurace přístupových omezení v přístupových bodech. Tyto omezení mohou obsahovat šiforávní a kontroly MAC adresy. Další možností je zakázat vysílání ESSID, címž se přístupový bod stane hůře detekovatelný pro neznámého člověka. Bezdrátové systémy prevence narušení (WIPS) mohou být použity k poskytnutí zabezpečení bezdrátové LAN sítě v tomto síťovém modelu.
Pro komerční poskytovatele, hotspoty a rozsáhlé organizace je často upřednostňovaným řešením mít otevřenou a nešifrovanou, leč naprosto izolovanou bezdrátovou síť. Uživatelé zprvu nemají přístup k Internetu ani k jakýmkoli prostředkům na místní síti. Komerční poskytovalé obvykle směřují veškerý webový provoz do určeného portálu, který se postará o autorizaci či poplatek. Druhým řešením je požadovat, aby se uživatelé pomocí zabezpečeného připojení spojili s privilegovanou síti použitím VPN. Bezdrátové sítě jsou méně zabezpečené než ty drátové. V množství kanceláří mohou útočníci snadno navštívit a připojit svůj počítač k drátové síti bez problémů, čímž získají přístup k síti. Často je také možné, že útočníci získají příštup k síti na dálku pomocí 'zadních vrátek' jako například Back Orifice. Jedním obecným řešením by mohlo být end-to-end šifrování s nezávislou autentizací všech prostředků, které by neměly být přístupné veřejně.
End-to-end
šifrování
Lze namítnout, že Fyzická vrstva a Linková (spojová) vrstva
šifrovací metody nejsou dostatečné k ochraně cenných dat, jako jsou hesla a
osobní emaily. Tyto technologie šifrují jenom části komunikační cesty, stále
však umožňují sledovat provoz, pokud se někomu podaří získat přístup k
ethernetové síti. Řešením může být šifrování a oprávnění v aplikační vrstvě za
použití technologií, jako je SSL, SSH, GnuPG, PGP a podobné.
Nevýhodou end-to-end metody je, že nemusí pokrýt celkový provoz na síti. Při šifrování na úrovni routeru, nebo VPN, jeden switch šifruje veškerý provoz, dokonce i UDP a DNS vyhledávání. Na druhou stranu při end-to-end šifrování každá chráněná služba musí mít šifrování zapnuto a často také musí být každé připojení zapnuto odděleně. Pro odesílání emailů musí každý příjemce podporovat metodu šifrování, a musí správně vyměnit klíče. Ne všechny webové stránky nabízejí podporu protokolu https, a i v případě, že ano, prohlížeč odešle IP adresy ve formátu prostého textu.