Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

16.11.2005Martin Krištof Wi - Fi Referát. 16.11.2005 Martin Krištof Trocha historie  Samotný pojem Wi-Fi (Wireless Fidelity) byl založen společností.

Podobné prezentace


Prezentace na téma: "16.11.2005Martin Krištof Wi - Fi Referát. 16.11.2005 Martin Krištof Trocha historie  Samotný pojem Wi-Fi (Wireless Fidelity) byl založen společností."— Transkript prezentace:

1 Martin Krištof Wi - Fi Referát

2 Martin Krištof Trocha historie  Samotný pojem Wi-Fi (Wireless Fidelity) byl založen společností WECA (Wireless Ethernet Compatibility Alliance) a jedná se o bezdrátovou komunikaci v bezlicenčním nekoordinovaném pásmu o frekvenci 2,4GHz. Celé tyto sítě byly založeny na protokolu b jež označuje teoretickou rychlost komunikace 11Mbps. První byla však komunikace na základě rozprostřeného infračerveného paprsku DfIR (diffuse infrared). Bohužel rychlost byla pouze 2Mbit a možnost připojit se maximálně na vzdálenost jednoho metru byla také značně limitující.  Později přišly na trh dva produkty, jež pracovaly v pásmu 2,4GHz a již tomu tak zůstalo. Rychlost však byla pouze 2Mbit a tak se hned začalo pracovat na jejím navýšení. V roce 1999 konečně ve své práci postoupili a dali tak vzniknout protokolu b. Toto označení znamená, že se jedná o teoretickou rychlost 11Mbit a tento protokol se využívá dodnes.

3 Martin Krištof Frekvenční pásmo  Je třeba si ale uvědomit, že v pásmu 2,4GHz nepracují pouze Wi-Fi. Tím, že je toto pásmo bezlicencové, provádí v něm komunikaci mnoho dalších zařízení. Ať už se jedná o Wi-Fi a nebo o Bluetooth, některé bezdrátové telefony či počítačové periferie.  K dispozici je tedy celkem 14 kanálu. Ovšem pásmu 2,4Ghz není celosvětově všude stejné. ČR dodržující konvenci ETSI má k dispozici největší počet kanálů 13. Bohužel to neznamená že k dispozici je 13 plnohodnotných frekvencí! Wi-Fi totiž používá technologii rozprostřeného spektra. To znamená že WI-fi vysílá do frekvenčního rozsahu 22Mhz Jenže odstup mezi kanály je pouze 5Mhz. Pokud chcete provozovat 2 přístupové body tak, aby se jejich signál nerušil, musíte je nastavit minimálně o 5 kanálu od sebe.  Ve skutečnosti tedy máme pouze 3 samostatné navzájem se nerušící frekvence KanálKmitočet (GHz) 12,412 22,417 32,422 42,427 52,432 62,437 72,442 82,447 92, , , , , ,484

4 Martin Krištof Technologie rozprostřeného spektra  Spread Spectrum (rozprostřené spektrum). Rozprostřené spektrum rozptyluje rádiový signál přes určitý počet přidělených frekvencí ve specifikovaném pásmu. Všechna wi-fi zařízení používají pro komunikaci jednu ze tří metod rozprostřeného spektra.  FHSS, FH (frequency hopping, frekvenční poskoky)  Vysílač skáče v pseudonáhodném pořadí po jednotlivých frekvenčních pásmech a na každém vysílá krátký datový proud. Dostupná frekvenční šířka je rozdělena do 79 kanálu o šířce 1Mhz. Zbylých 4,5 Mhz slouží jako ochranné pásmo proti interferencím. Rádiový signál vystřídá každých 30 sec. Alespoň 75 kanálů a na každém vysílá max. 400ms. Výhodou je vyšší počet systému pracujících najednou v pásmu 2,4Ghz teoreticky až 26, prakticky kolem 15 AP.  DSSS, DS (direct sequence, přímá skevence)  Systémy používající přímé sekvence rozprostřou po 22Mhz širokém frekvenčním pásmu vysílanou informaci za použití matematického kódování. Celkem jsou k dispozici 3 takováto pásma  OFDM (orthogonaly frequency division multiplex, Ortogonální frekvenční multiplex)  Rožděluje přenosové pásmo na velké množství úzkých kanálů. Data se v každém kanálu přenášejí relativně pomalu a signál je tak mnohem robustnější. Ve výsledku je rychlost přenosu dána součtem všech kanálů.

5 Martin Krištof Typy sítí  Ad-Hoc  Tento mód funguje jako obyčejná LAN síť. Každý počítač komunikuje s jiným na stejné úrovni - jako by si byli sobě rovni. Podstatnou výhodou tohoto typu je jeho rychlá instalace a velmi nízká cena. Umožňuje sdílení souborů a internetu, tisk přes síť a ostatní věci, které jsou běžné u klasických LAN sítí. Nevýhodou na druhou stranu je fakt, že všechna připojená zařízení musí mít v dosahu ty, s kterými chce komunikovat - každý musí vidět každého.  Infrastructure  klientské počítače se připojují na server neboli Access Point (AP) a veškerou komunikaci provádí skrze něj. Hlavním rysem tohoto typu je to, že se všichni klienti nenapojují jeden na druhého ale přímo na AP, jež zajišťuje veškerou společnou komunikaci.

6 Martin Krištof Rozdělení hardware  Karty typu PCI  Jsou to tedy Wi-Fi adaptéry, jež jsou montovány přímo do PCI slotu ve vašem PC. Tyto karty zpravidla obsahují malou anténku, kterou lze odšroubovat a připojit místo ní kteroukoliv jinou interní či externí anténu.  PCMCIA  Pro použití v přenosných zařízeních jako jsou notebooky či PDA. Tyto karty jsou zhruba velikosti kreditní karty a často obsahují malou anténu.  USB  Velmi levnou alternativou jsou Wi-Fi USB adaptéry. Ty se do PC zapojují pomocí USB kabelu, jež může mít délku i přes 5m a tudíž snadno dosáhnout na místo odkud je signál dostupný.  AP (ethernet)  Nejdražší ale také svými možnostmi nejlepší jsou pak hardwarové access pointy (dále HWAP). Ty umožňují napojení jiných klientů či uživatelů. Můžeme skrze ně sdílet s ostatními připojení k internetu a podobně. K PC se připojují pomocí metalické sítě (klasický UTP kabel s RJ45 konektorem) a obsahují port pro připojení antény. Moderní HWAP obsahují několik RJ45 portů a tudíž dokáží plnit funkci mostu mezi PC spojenými kabeláží a PC napojenými skrze Wi-Fi.

7 Martin Krištof Antény  Směrová  Nejčastěji se setkáte s klasickou směrovou anténou, jež vypadá jako síto z kovového drátu, které má uprostřed na tyčce ozařovač. Tato anténa je čistě směrová, což znamená, že vysílá a přijímá signál jen z jednoho bodu.  Sektorová  Používá se pro pokrytí signálem určitého sektoru.  Yagi  Další velice často používanou anténou je YAGI. Je výhodná z hlediska poměru cena / výkon. Běžně se prodává se ziskem dB. Příliš se však nehodí na spoje na delší vzdálenost, avšak pro napojení na AP na kratší vzdálenost je bohatě dostačující.  Všesměrová  Horizontální vyzařovací úhel 360  Ostatní  Je možné si anténu vyrobit i sám a to za velmi nízký finanční obnos, který však také odpovídá výsledné kvalitě a tomu, co od takovéto antény můžeme očekávat. Nejčastěji se lze setkat s anténou vyrobenou z plechovky, avšak možnosti jsou daleko větší. Tyto "home-made" antény pak běžně dosahují zisku od 5 do 15dB.

8 Martin Krištof Antény - parametry  Zisk (gain)  Laicky řečeno čím vyšší ziskovost, tím vzdálenější signál je schopna anténa zachytit.  Udává se v dBi, nebo dBd. Hodnota v dBi je o 2,16 vyšší než hodnota v dBd  Polarizace  Lineární  Horizontální - je vhodná na delší spoje bod–bod  Vertikální - používá se na připojení klientů k přístupovému bodu  Kruhová - antény s touto polarizací se používají tam, kde kvůli velkému zarušení už není možno použít anténu lineární.  Pravotočívá  Levotičivá  Pro optimální provoz je nutné zajistit aby byla obě stanice vybaveny anténou se stejnou polarizací. Při přijmou lineárně polarizovanou anténou z antény kruhově polarizované je ztráta 3dB. V případě záměny směru polarizace(hor.-ver., prav.-lev.) je ztráta 16 až 24 dB.  Vyzařovací úhel  Horizontální  Vertikální  Vyzařovací diagram – zachycuje charakteristiku šíření signálu

9 Martin Krištof Antény

10 Martin Krištof Kabely, konektory Belden RLF10 - dvojité opletení omezí průnik rušivých signálů do kabelu Neznačkový kabel - průměr 5mm, útlum 0,45dB/m. Nyní se podíváme na zoubek kabeláži pro WiFi účely. Předem si ujasníme, že každý kabel pro připojení antény k WiFi adaptéru musí být koaxiální s impedancí 50ohm. Jeho detailní parametry se ale velmi podstatně liší podle typu nasazení. Jedním z nejpodstatnějších faktorů, na který při pořizování nahlížíme, je bezesporu útlum na metr. Tato hodnota udává, kolik dB ze signálu vysílaného z adaptéru se na každém metru kabelu ztratí. Optimální hodnota u moderní kabeláže se pohybuje v rozmezí od 0,22 do 0,5 dB/m. Každý si tedy dokáže snadno spočítat, že když má na výstupu řekněme 5dBm a má kabel délky 7m s útlumem 0,35dB/m, tak k anténě dorazí 2,55dBm. Z toho vyplývái fakt, že kabeláž mezi anténou a WiFi adaptérem by měla být pokud možno co nejkratší. U kabeláže platí několik zásad, které je třeba dodržet: - kabel musí být co nejkratší - pokud musí být delší, zvolit co možná nejkvalitnější provedení - neohýbat ho více, než je předepsáno (může dojít k poškození) - kabel by měl být s co nejmenším počtem spojů Konektor tvoří vodivé spojení mezi kabeláží a vstupem do antény nebo výstupem z WiFi adaptéru. Je tedy jasné, že pokud je tento spoj jakýmkoliv způsobem narušen, okamžitě dochází k nechtěnému snížení úrovně signálu či úplnému přerušení linky. Proto velmi doporučuji nechat si konektory na kabel nasadiit odborníkem - sice za to možná zaplatíte nějaké ty finance navíc, ve výsledku se vám to však několikanásobně vrátí. Bohužel na trhu se vyskytuje několik běžně používaných typů konektorů a tudíž je potřeba si předem zjistit, jaké budeme na každý konec kabelu potřebovat. Nezapomeňte se také ujistit, že si necháváte nakrimpovat správné provedení konektoru (samec vs. samice).

11 Martin Krištof Šíření signálu  Rušení jinými systémy ve stejném pásmu  Mikrovlnka, Breeze Net, Bluetooth  Nutná je přímá viditelnost  Vliv stromů

12 Martin Krištof Přenosová vzdálenost  Předepsaný vyzářený výkon  Generální licence ČTÚ 12/R/2000 předepisuje v pásmu 2,4 Ghz maximální vyzářený výkon 100mW (20dBm)  Ztráty ve vzduch  x log R(km).  Výpočet  Výkon na AP + výkon antény – ztráty na kabelu – ztráty ve vzduchu = potřebná citlivost

13 Martin Krištof Bezpečnost  Bezdrátová síť má oproti síti kabelové jednu nevýhodu vycházející z její principu: nelze dostatečně přesně omezit prostor, kde je její signál k zachycení.  Šifrování – zabezpečení přenášených dat před odposlechnutím  Autorizace – řízení přístupu oprávněných uživatelů

14 Martin Krištof Šifrování - WEP  WEP – standart pro zabezpečení rádiové části sítě  Používá symetricky streamovanou šifru RC4, tedy šifru s tajným klíčem. Odesílaná data se šifrují podle nějakého klíče a na cílovém, bodě, se podle tohoto klíče dešifruje.  Klíč se expanduje v pseudonáhodný klíčovácí stream o stejné délce, jako má šifrovaná zpráva.  Šifrování probíhá tak, že na šifrované hodnotě se provede XOR s klíčovacím streamem.  Právě pravidla pro generátor pseudonáhodných čísel(PRNG) jsou velmi důležitá, protože klíč pro šifrování je relativně krátký. Z počátku byl popis „pseudonáhodnosti“ držen v tajnosti, jenže s volbou RC4 jako šifry se podařilo hackerům PRNG rozlousknout.  Bezpečnost RC4 šifry záleží na délce klíče a četnosti jeho obměny.

15 Martin Krištof WEP – délka šifry  64bitů – WEP klíč – 40bitů, Inicializační vektor IV - 24bitů  128bitů – WEP klíč – 108bitů, Inicializační vektor IV - 24bitů  Útoky na WEP  Slabina tkví v přibližné známosti vzhledu inc. Vektoru IV  Prodloužení nemá k délce jeho rozluštění lineární a nikoliv exponenciální závislost!  Pro odhalení klíče(64b) je potřeba asi 5,5 mil. Paketů, což je ve síti vytížené na 30% asi sedm hodin

16 Martin Krištof WPA  WPA (Wi-Fi Protected Access), je zpětně slučitelné s WEP a předně slučitelné s i/WPA2. To ale také znamená, že pokud se v síti sejdou produkty s podporou WPA a WEP, použije se slabší WEP.  Pro autentizaci a management klíčů se používá 802.1x, pro utajení dat protokol TKIP (Temporal Key Integrity Protocol), používající pro silnější zabezpečení dynamicky se měnící klíč pro každý paket a prodlouženou délku vektoru IV (na 48 bitů). Pro kontrolu integrity zpráv se zavádí nový mechanizmus MIC (Message-Integrity Check).  Předností WPA jsou dynamické klíče, které jsou výhodné pro podnikové sítě, ale vyžadují složitější síťovou infrastrukturu se serverem RADIUS. Nezapomíná se ovšem ani na jednodušší implementace např. v domácích sítích, kde se používají předem nastavené sdílené klíče (PSK, Pre- Shared Key)  Komplexní zabezpečení pro všechny typy přinesla až vloni schválená norma i. Ta zahrnuje vzájemnou autentizaci na základě 802.1x a nový protokol CCMP pro silné šifrování pomocí AES (Advanced Encryption Standard). Volitelně se pro zpětnou slučitelnost s WPA používá protokol TKIP s šifrováním na základě RC4. CCMP (Counter-mode CBC – Cipher Block Chaining) MAC (Message Authentication Code) Protocol) používá dynamické regenerování 128bitových klíčů, kontrolu integrity zpráv (MIC, kontrolní pole má délku 64 bitů) a číslování paketů na ochranu proti útokům typu replay. Povinné prvky, podle nichž Wi-Fi Alliance certifikuje zařízení, se označují jako WPA2. Norma sama ovšem nabízí řadu dalších prvků volitelných, jako pre-authentication a key- caching Nová norma pro zabezpečení má za cíl minimalizovat útoky na bezpečnost WLAN. Dokáže již čelit útokům man-in-the-middle, ovšem stále nezabrání neautorizovaným přístupovým bodům. Navíc stále hrozí krádeže identity v souvislosti s krádežemi zařízení, kde jsou uloženy identifikační údaje v cache. AES je zatím nepokořený šifrovací algoritmus, takže utajení dat je vskutku spolehlivé.

17 Martin Krištof Jiná zabezpečení  Autentizace – řízení přístupu do sítě  Open-systém autentizace  AP přijme klienta na základě údajů, které mu klient poskytne, aniž by je ověřoval.  Klient vyšle SSID AP  Shared-key autentizace  Při použití je nutné použít také šifrování.  Spočívá v klíči který zná každé zařízení. Zařízení se při autentizaci tímto klíčem prokáže.  Filtrováni MAC adres  Umožňuje na základě MAC adresy povolit, zakázat přístup k AP, případně, pomocí MAC nastavit parametry pro daného uživatele(časově omezený přístup, omezit šířku pásma) MAC adresa (zkratka "media access control") je jedinečný identifikátor síťového zařízení a používá ji mnoho síťových protokolů druhé vrstvy OSI. Je přiřazována při výrobě, ale dnes ji lze na spoustě zařízení dodatečně změnit. Ethernetová MAC adresa má 48 bitů a podle standardu by se měla zapisovat jako tři skupiny čtyř hexadecimálních čísel (např ab), mnohem častěji se ale píše jako šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např ab nebo 01:23:45:67:89:ab).

18 Martin Krištof Typy útoku na Wi-Fi  Rozluštění WEP  Za pomoci AirSnort, WEPCrack  Obrana: použít další šifrovací a autentizační mechanismy  Zjištění MAC adresy  Stačí vyhledat si hlavičku MAC a přečíst si ji  Obrana: použít autentizační mechanismy a zbezepčení na bázi VPN  Man-in-the-Middle  Hacker vstoupí mezi přístupový bod a klienta  Obrana: prakticky neexistuje, jedině kontrolovat vysílání neznámých AP  Dictionary attacks(slovní útok)  Snaží se uhádnout přihlašovací jméno a heslo z Wordlistu  Obrana: nevolit stupidní hesla  Session Hijacking  Hacker může odesílat klientovi vlastní tada  Obrana: prakicky neexistuje, VPN  Denial of Service (DoS)  Zahcení AP nesmyslnými požadavky, časta předchází útoku M-i-t-M  Obrana: Flitrování MAC

19 Martin Krištof Zařízení používající Wi-Fi  Zařízení pro Wi-Fi sítě (AP, bridge, klient)  Telefony(klasické bezdrátové, mobilní)  Handsfree  Bezdrátové zařízení pro zabezpečení objektů  Bezdrátové HDD  Bezdrátový přenos obrazu a zvuku

20 Martin Krištof Zdroje informací Bezdrátová technologie Wi-Fi zbavená roušky tajemství mit=1&limitstart=0 Bezdrátové sítě WiFi praktický průvodce, Patrick zandl Stavíme si bezdrátovou síť Wi-Fi, Thomas Kohre Průvodce výběrem správné antény na Wi-Fi připojeníhttp://www.zive.cz/h/Uzivatel/AR.asp?ARI=125652&CAI=2104 Jak na bezpečnost Wi-Fi?http://www.zive.cz/h/Uzivatel/Ar.asp?ARI=123761&CHID=1&EXPS=&EXPA= 3.díl seriálu - jak zapojíme síť. Tentokrát o sítích bezdrátovýchhttp://www.svethardware.cz/art_doc-A90E51371D93722FC12570A AB.html

21 Martin Krištof Diskuze  Pokud máte nějaké dotazy, tak se ptejte.  Ke stažení na:


Stáhnout ppt "16.11.2005Martin Krištof Wi - Fi Referát. 16.11.2005 Martin Krištof Trocha historie  Samotný pojem Wi-Fi (Wireless Fidelity) byl založen společností."

Podobné prezentace


Reklamy Google