Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Wi - Fi Referát 16.11.2005 Martin Krištof.

Podobné prezentace


Prezentace na téma: "Wi - Fi Referát 16.11.2005 Martin Krištof."— Transkript prezentace:

1 Wi - Fi Referát Martin Krištof

2 Trocha historie Samotný pojem Wi-Fi (Wireless Fidelity) byl založen společností WECA (Wireless Ethernet Compatibility Alliance) a jedná se o bezdrátovou komunikaci v bezlicenčním nekoordinovaném pásmu o frekvenci 2,4GHz. Celé tyto sítě byly založeny na protokolu b jež označuje teoretickou rychlost komunikace 11Mbps. První byla však komunikace na základě rozprostřeného infračerveného paprsku DfIR (diffuse infrared). Bohužel rychlost byla pouze 2Mbit a možnost připojit se maximálně na vzdálenost jednoho metru byla také značně limitující. Později přišly na trh dva produkty, jež pracovaly v pásmu 2,4GHz a již tomu tak zůstalo. Rychlost však byla pouze 2Mbit a tak se hned začalo pracovat na jejím navýšení. V roce 1999 konečně ve své práci postoupili a dali tak vzniknout protokolu b. Toto označení znamená, že se jedná o teoretickou rychlost 11Mbit a tento protokol se využívá dodnes. Martin Krištof

3 Frekvenční pásmo Je třeba si ale uvědomit, že v pásmu 2,4GHz nepracují pouze Wi-Fi. Tím, že je toto pásmo bezlicencové, provádí v něm komunikaci mnoho dalších zařízení. Ať už se jedná o Wi-Fi a nebo o Bluetooth, některé bezdrátové telefony či počítačové periferie. K dispozici je tedy celkem 14 kanálu. Ovšem pásmu 2,4Ghz není celosvětově všude stejné. ČR dodržující konvenci ETSI má k dispozici největší počet kanálů 13. Bohužel to neznamená že k dispozici je 13 plnohodnotných frekvencí! Wi-Fi totiž používá technologii rozprostřeného spektra. To znamená že WI-fi vysílá do frekvenčního rozsahu 22Mhz Jenže odstup mezi kanály je pouze 5Mhz. Pokud chcete provozovat 2 přístupové body tak, aby se jejich signál nerušil, musíte je nastavit minimálně o 5 kanálu od sebe. Ve skutečnosti tedy máme pouze 3 samostatné navzájem se nerušící frekvence Kanál Kmitočet (GHz) 1 2,412 2 2,417 3 2,422 4 2,427 5 2,432 6 2,437 7 2,442 8 2,447 9 2,452 10 2,457 11 2,462 12 2,467 13 2,472 14 2,484 Martin Krištof

4 Technologie rozprostřeného spektra
Spread Spectrum (rozprostřené spektrum). Rozprostřené spektrum rozptyluje rádiový signál přes určitý počet přidělených frekvencí ve specifikovaném pásmu. Všechna wi-fi zařízení používají pro komunikaci jednu ze tří metod rozprostřeného spektra. FHSS, FH (frequency hopping, frekvenční poskoky) Vysílač skáče v pseudonáhodném pořadí po jednotlivých frekvenčních pásmech a na každém vysílá krátký datový proud. Dostupná frekvenční šířka je rozdělena do 79 kanálu o šířce 1Mhz. Zbylých 4,5 Mhz slouží jako ochranné pásmo proti interferencím. Rádiový signál vystřídá každých 30 sec. Alespoň 75 kanálů a na každém vysílá max. 400ms. Výhodou je vyšší počet systému pracujících najednou v pásmu 2,4Ghz teoreticky až 26, prakticky kolem 15 AP. DSSS, DS (direct sequence, přímá skevence) Systémy používající přímé sekvence rozprostřou po 22Mhz širokém frekvenčním pásmu vysílanou informaci za použití matematického kódování. Celkem jsou k dispozici 3 takováto pásma OFDM (orthogonaly frequency division multiplex, Ortogonální frekvenční multiplex) Rožděluje přenosové pásmo na velké množství úzkých kanálů. Data se v každém kanálu přenášejí relativně pomalu a signál je tak mnohem robustnější. Ve výsledku je rychlost přenosu dána součtem všech kanálů. Martin Krištof

5 Typy sítí Ad-Hoc Infrastructure
Tento mód funguje jako obyčejná LAN síť. Každý počítač komunikuje s jiným na stejné úrovni - jako by si byli sobě rovni. Podstatnou výhodou tohoto typu je jeho rychlá instalace a velmi nízká cena. Umožňuje sdílení souborů a internetu, tisk přes síť a ostatní věci, které jsou běžné u klasických LAN sítí. Nevýhodou na druhou stranu je fakt, že všechna připojená zařízení musí mít v dosahu ty, s kterými chce komunikovat - každý musí vidět každého. Infrastructure klientské počítače se připojují na server neboli Access Point (AP) a veškerou komunikaci provádí skrze něj. Hlavním rysem tohoto typu je to, že se všichni klienti nenapojují jeden na druhého ale přímo na AP, jež zajišťuje veškerou společnou komunikaci. Martin Krištof

6 Rozdělení hardware Karty typu PCI PCMCIA USB AP (ethernet)
Jsou to tedy Wi-Fi adaptéry, jež jsou montovány přímo do PCI slotu ve vašem PC. Tyto karty zpravidla obsahují malou anténku, kterou lze odšroubovat a připojit místo ní kteroukoliv jinou interní či externí anténu . PCMCIA Pro použití v přenosných zařízeních jako jsou notebooky či PDA. Tyto karty jsou zhruba velikosti kreditní karty a často obsahují malou anténu. USB Velmi levnou alternativou jsou Wi-Fi USB adaptéry. Ty se do PC zapojují pomocí USB kabelu, jež může mít délku i přes 5m a tudíž snadno dosáhnout na místo odkud je signál dostupný. AP (ethernet) Nejdražší ale také svými možnostmi nejlepší jsou pak hardwarové access pointy (dále HWAP). Ty umožňují napojení jiných klientů či uživatelů. Můžeme skrze ně sdílet s ostatními připojení k internetu a podobně. K PC se připojují pomocí metalické sítě (klasický UTP kabel s RJ45 konektorem) a obsahují port pro připojení antény. Moderní HWAP obsahují několik RJ45 portů a tudíž dokáží plnit funkci mostu mezi PC spojenými kabeláží a PC napojenými skrze Wi-Fi. Martin Krištof

7 Antény Směrová Sektorová Yagi Všesměrová Ostatní
Nejčastěji se setkáte s klasickou směrovou anténou, jež vypadá jako síto z kovového drátu, které má uprostřed na tyčce ozařovač. Tato anténa je čistě směrová, což znamená, že vysílá a přijímá signál jen z jednoho bodu. Sektorová Používá se pro pokrytí signálem určitého sektoru. Yagi Další velice často používanou anténou je YAGI. Je výhodná z hlediska poměru cena / výkon. Běžně se prodává se ziskem dB. Příliš se však nehodí na spoje na delší vzdálenost, avšak pro napojení na AP na kratší vzdálenost je bohatě dostačující. Všesměrová Horizontální vyzařovací úhel 360 Ostatní Je možné si anténu vyrobit i sám a to za velmi nízký finanční obnos, který však také odpovídá výsledné kvalitě a tomu, co od takovéto antény můžeme očekávat. Nejčastěji se lze setkat s anténou vyrobenou z plechovky, avšak možnosti jsou daleko větší. Tyto "home-made" antény pak běžně dosahují zisku od 5 do 15dB . Martin Krištof

8 Antény - parametry Zisk (gain) Polarizace Vyzařovací úhel
Laicky řečeno čím vyšší ziskovost, tím vzdálenější signál je schopna anténa zachytit. Udává se v dBi, nebo dBd. Hodnota v dBi je o 2,16 vyšší než hodnota v dBd Polarizace Lineární Horizontální - je vhodná na delší spoje bod–bod Vertikální - používá se na připojení klientů k přístupovému bodu Kruhová - antény s touto polarizací se používají tam, kde kvůli velkému zarušení už není možno použít anténu lineární. Pravotočívá Levotičivá Pro optimální provoz je nutné zajistit aby byla obě stanice vybaveny anténou se stejnou polarizací. Při přijmou lineárně polarizovanou anténou z antény kruhově polarizované je ztráta 3dB. V případě záměny směru polarizace(hor.-ver., prav.-lev.) je ztráta 16 až 24 dB. Vyzařovací úhel Horizontální Vertikální Vyzařovací diagram – zachycuje charakteristiku šíření signálu Martin Krištof

9 Antény Martin Krištof

10 Kabely, konektory Nyní se podíváme na zoubek kabeláži pro WiFi účely. Předem si ujasníme, že každý kabel pro připojení antény k WiFi adaptéru musí být koaxiální s impedancí 50ohm. Jeho detailní parametry se ale velmi podstatně liší podle typu nasazení. Jedním z nejpodstatnějších faktorů, na který při pořizování nahlížíme, je bezesporu útlum na metr. Tato hodnota udává, kolik dB ze signálu vysílaného z adaptéru se na každém metru kabelu ztratí. Optimální hodnota u moderní kabeláže se pohybuje v rozmezí od 0,22 do 0,5 dB/m. Každý si tedy dokáže snadno spočítat, že když má na výstupu řekněme 5dBm a má kabel délky 7m s útlumem 0,35dB/m, tak k anténě dorazí 2,55dBm. Z toho vyplývái fakt, že kabeláž mezi anténou a WiFi adaptérem by měla být pokud možno co nejkratší. U kabeláže platí několik zásad, které je třeba dodržet: - kabel musí být co nejkratší - pokud musí být delší, zvolit co možná nejkvalitnější provedení - neohýbat ho více, než je předepsáno (může dojít k poškození) - kabel by měl být s co nejmenším počtem spojů Konektor tvoří vodivé spojení mezi kabeláží a vstupem do antény nebo výstupem z WiFi adaptéru. Je tedy jasné, že pokud je tento spoj jakýmkoliv způsobem narušen, okamžitě dochází k nechtěnému snížení úrovně signálu či úplnému přerušení linky. Proto velmi doporučuji nechat si konektory na kabel nasadiit odborníkem - sice za to možná zaplatíte nějaké ty finance navíc, ve výsledku se vám to však několikanásobně vrátí. Bohužel na trhu se vyskytuje několik běžně používaných typů konektorů a tudíž je potřeba si předem zjistit, jaké budeme na každý konec kabelu potřebovat. Nezapomeňte se také ujistit, že si necháváte nakrimpovat správné provedení konektoru (samec vs. samice). Neznačkový kabel - průměr 5mm, útlum 0,45dB/m. Belden RLF10 - dvojité opletení omezí průnik rušivých signálů do kabelu Martin Krištof

11 Šíření signálu Rušení jinými systémy ve stejném pásmu
Mikrovlnka, Breeze Net, Bluetooth Nutná je přímá viditelnost Vliv stromů Martin Krištof

12 Přenosová vzdálenost Předepsaný vyzářený výkon Ztráty ve vzduch
Generální licence ČTÚ 12/R/2000 předepisuje v pásmu 2,4 Ghz maximální vyzářený výkon 100mW (20dBm) Ztráty ve vzduch x log R(km). Výpočet Výkon na AP + výkon antény – ztráty na kabelu – ztráty ve vzduchu = potřebná citlivost Martin Krištof

13 Bezpečnost Bezdrátová síť má oproti síti kabelové jednu nevýhodu vycházející z její principu: nelze dostatečně přesně omezit prostor, kde je její signál k zachycení. Šifrování – zabezpečení přenášených dat před odposlechnutím Autorizace – řízení přístupu oprávněných uživatelů Martin Krištof

14 Šifrování - WEP WEP – standart pro zabezpečení rádiové části sítě
Používá symetricky streamovanou šifru RC4, tedy šifru s tajným klíčem. Odesílaná data se šifrují podle nějakého klíče a na cílovém, bodě, se podle tohoto klíče dešifruje. Klíč se expanduje v pseudonáhodný klíčovácí stream o stejné délce, jako má šifrovaná zpráva. Šifrování probíhá tak, že na šifrované hodnotě se provede XOR s klíčovacím streamem. Právě pravidla pro generátor pseudonáhodných čísel(PRNG) jsou velmi důležitá, protože klíč pro šifrování je relativně krátký. Z počátku byl popis „pseudonáhodnosti“ držen v tajnosti, jenže s volbou RC4 jako šifry se podařilo hackerům PRNG rozlousknout. Bezpečnost RC4 šifry záleží na délce klíče a četnosti jeho obměny. Martin Krištof

15 WEP – délka šifry 64bitů – WEP klíč – 40bitů, Inicializační vektor IV - 24bitů 128bitů – WEP klíč – 108bitů, Inicializační vektor IV - 24bitů Útoky na WEP Slabina tkví v přibližné známosti vzhledu inc. Vektoru IV Prodloužení nemá k délce jeho rozluštění lineární a nikoliv exponenciální závislost! Pro odhalení klíče(64b) je potřeba asi 5,5 mil. Paketů, což je ve síti vytížené na 30% asi sedm hodin Martin Krištof

16 WPA WPA (Wi-Fi Protected Access), je zpětně slučitelné s WEP a předně slučitelné s i/WPA2. To ale také znamená, že pokud se v síti sejdou produkty s podporou WPA a WEP, použije se slabší WEP. Pro autentizaci a management klíčů se používá 802.1x, pro utajení dat protokol TKIP (Temporal Key Integrity Protocol), používající pro silnější zabezpečení dynamicky se měnící klíč pro každý paket a prodlouženou délku vektoru IV (na 48 bitů). Pro kontrolu integrity zpráv se zavádí nový mechanizmus MIC (Message-Integrity Check). Předností WPA jsou dynamické klíče, které jsou výhodné pro podnikové sítě, ale vyžadují složitější síťovou infrastrukturu se serverem RADIUS. Nezapomíná se ovšem ani na jednodušší implementace např. v domácích sítích, kde se používají předem nastavené sdílené klíče (PSK, Pre-Shared Key) Komplexní zabezpečení pro všechny typy přinesla až vloni schválená norma i. Ta zahrnuje vzájemnou autentizaci na základě 802.1x a nový protokol CCMP pro silné šifrování pomocí AES (Advanced Encryption Standard). Volitelně se pro zpětnou slučitelnost s WPA používá protokol TKIP s šifrováním na základě RC4. CCMP (Counter-mode CBC – Cipher Block Chaining) MAC (Message Authentication Code) Protocol) používá dynamické regenerování 128bitových klíčů, kontrolu integrity zpráv (MIC, kontrolní pole má délku 64 bitů) a číslování paketů na ochranu proti útokům typu replay. Povinné prvky, podle nichž Wi-Fi Alliance certifikuje zařízení, se označují jako WPA2. Norma sama ovšem nabízí řadu dalších prvků volitelných, jako pre-authentication a key-caching Nová norma pro zabezpečení má za cíl minimalizovat útoky na bezpečnost WLAN. Dokáže již čelit útokům man-in-the-middle, ovšem stále nezabrání neautorizovaným přístupovým bodům. Navíc stále hrozí krádeže identity v souvislosti s krádežemi zařízení, kde jsou uloženy identifikační údaje v cache. AES je zatím nepokořený šifrovací algoritmus, takže utajení dat je vskutku spolehlivé. Martin Krištof

17 Jiná zabezpečení Autentizace – řízení přístupu do sítě
Open-systém autentizace AP přijme klienta na základě údajů, které mu klient poskytne, aniž by je ověřoval. Klient vyšle SSID AP Shared-key autentizace Při použití je nutné použít také šifrování. Spočívá v klíči který zná každé zařízení. Zařízení se při autentizaci tímto klíčem prokáže. Filtrováni MAC adres Umožňuje na základě MAC adresy povolit, zakázat přístup k AP, případně, pomocí MAC nastavit parametry pro daného uživatele(časově omezený přístup, omezit šířku pásma) MAC adresa (zkratka "media access control") je jedinečný identifikátor síťového zařízení a používá ji mnoho síťových protokolů druhé vrstvy OSI. Je přiřazována při výrobě, ale dnes ji lze na spoustě zařízení dodatečně změnit. Ethernetová MAC adresa má 48 bitů a podle standardu by se měla zapisovat jako tři skupiny čtyř hexadecimálních čísel (např ab), mnohem častěji se ale píše jako šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např ab nebo 01:23:45:67:89:ab). Martin Krištof

18 Typy útoku na Wi-Fi Rozluštění WEP Zjištění MAC adresy
Za pomoci AirSnort, WEPCrack Obrana: použít další šifrovací a autentizační mechanismy Zjištění MAC adresy Stačí vyhledat si hlavičku MAC a přečíst si ji Obrana: použít autentizační mechanismy a zbezepčení na bázi VPN Man-in-the-Middle Hacker vstoupí mezi přístupový bod a klienta Obrana: prakticky neexistuje, jedině kontrolovat vysílání neznámých AP Dictionary attacks(slovní útok) Snaží se uhádnout přihlašovací jméno a heslo z Wordlistu Obrana: nevolit stupidní hesla Session Hijacking Hacker může odesílat klientovi vlastní tada Obrana: prakicky neexistuje, VPN Denial of Service (DoS) Zahcení AP nesmyslnými požadavky, časta předchází útoku M-i-t-M Obrana: Flitrování MAC Martin Krištof

19 Zařízení používající Wi-Fi
Zařízení pro Wi-Fi sítě (AP, bridge, klient) Telefony(klasické bezdrátové, mobilní) Handsfree Bezdrátové zařízení pro zabezpečení objektů Bezdrátové HDD Bezdrátový přenos obrazu a zvuku Martin Krištof

20 Zdroje informací Bezdrátová technologie Wi-Fi zbavená roušky tajemství
Bezdrátové sítě WiFi praktický průvodce, Patrick zandl Stavíme si bezdrátovou síť Wi-Fi , Thomas Kohre Průvodce výběrem správné antény na Wi-Fi připojení Jak na bezpečnost Wi-Fi? 3.díl seriálu - jak zapojíme síť. Tentokrát o sítích bezdrátových Martin Krištof

21 Diskuze Pokud máte nějaké dotazy, tak se ptejte.
Ke stažení na: Martin Krištof


Stáhnout ppt "Wi - Fi Referát 16.11.2005 Martin Krištof."

Podobné prezentace


Reklamy Google