Реферат: Безпровідна мережа Wi-Fi, її будування

--PAGE_BREAK--2.
ОПИС ЕФІРНОГО ІНТЕРФЕЙСУ СТАНДАРТУ Wi-Fi
Стандарт IEEE 802.11 визначає порядок організації бездротових мереж на рівні управління доступом до середовища (MAC- Medium Access Control) і фізичному (PHY – Physical Transport protocol) рівні. Фізичний рівень поділяється на два таких підрівня:

— PLCP (Physical Layer Convergence Protocol – конвергентний протокол фізичного рівня);

— PMD (Physical Medium Dependent – залежний від фізичного носія). На рисунку 2.1 показана протокольна архітектура стандарту 802.11 [4].

Основними задачами керування рівнем PHY є настройка каналів.
2.1 МАС-рівень стандартів IEEE 802.11b та 802.11g
СтандартиIEEE 802.11b та 802.11g визначають один тип протоколу доступу до середовища MAC-рівня і три різних протоколи для фізичних (PHY) каналів.

Кожен з фізичних рівнів (PHY layer) має свої переваги, що дозволяє користувачам обирати оптимальну для свого випадку реалізацію безпроводової мережі у межах стандарту. Недолікомнаявності різних фізичних рівнів вIEEE 802.11 є те, що користувачі повинні додатково погоджувати тип і швидкість своїх мережних засобів, щоб досягти сумісності.

Стандарт IEEE 802.11 передбачає передачу сигналу одним з двох методів — прямої послідовності (Direct Sequence Spread Spectrum, DSSS) і частотних стрибків (Frequency Hopping Spread Spectrum, FHSS), які розрізняються способом модуляції, але використовують одну і ту ж технологію розширення спектру. Основний принцип технології розширення спектру (Spread Spectrum, SS) полягає в тому, щоб від вузькосмугового спектру сигналу, що виникає при звичайному потенційному кодуванні, перейти до широкосмугового спектру, що дозволяє значно підвищити завадостійкість переданих даних.

Метод FHSS передбачає зміну несучої частоти сигналу при передачі інформації. Для підвищення завадостійкості потрібно збільшити спектр переданого сигналу, для чого несуча частота міняється по псевдовипадковому закону, і кожен пакет даних передається на своїй несучій частоті. При використанні FHSS конструкція приймача виходить дуже простою, але цей метод застосовний тільки якщо пропускна спроможність не перевищує 2 Мбіт/с, так що в доповненні IEEE 802.11b залишився один DSSS. З цього виходить, що спільно з пристроями IEEE 802.11b може застосовуватися тільки те устаткування стандарту IEEE 802.11, яке підтримує DSSS, при цьому швидкість передачі не перевищить максимальної швидкості в «вузькому місці» (2 Мбіт/с)[5].

В основі методу DSSS лежить принцип фазової маніпуляції (тобто передачі інформації стрибкоподібною зміною початкової фази сигналу). Для розширення спектру переданого сигналу застосовується перетворення переданої інформації в так званий код Баркера, що є псевдовипадковою послідовністю. При передачі інформації цим методом у мережі IEEE 802.11 розширення досягається за допомогою послідовності (+1, -1, -1, +1, -1, +1, +1, +1, -1, -1, -1), що називається кодом Баркера. На кожен переданий біт виділяється 11 біт в послідовності Баркера. Розрізняють пряму і інверсну послідовності Баркера. Одиничні біти передаються прямим кодом Баркера, а нульові — інверсним. Найголовнішою особливістю даного методу є стійкість до завад і нечутливість до багатопроменевого розповсюдження [5].

Під бездротові комп'ютерні мережі в діапазоні 2,4 ГГц відведений досить вузький «коридор» шириною 83 МГц, розділений на 14 каналів. Для виключення взаємних перешкод між каналами необхідно, щоб їх смуги стояли один від одного на 25 МГц. Нескладний підрахунок показує, що в одній зоні одночасно можуть використовуватися тільки три канали. У таких умовах неможливо вирішити проблему відбудови від перешкод автоматичною зміною частоти, от чому в бездротових локальних мережах використовується кодування з високою надмірністю. При ситуації, коли і цей метод не дозволяє забезпечити задану достовірність передачі, швидкість з максимального значення 11 Мбіт/с послідовно знижується до одного з наступних фіксованих значень: 5,5; 2; 1 Мбіт/с. Зниження швидкості відбувається не тільки при високому рівні перешкод, але і якщо відстань між елементами бездротової мережі достатньо велика.
Таблиця 2.1 — Порівняння методів DSSS и FHSS[6]



На МАС-рівні визначаються базові складові архітектури мережі і перелік послуг, що надаються цим рівнем. Він специфікує „правила доступу” до середовища і складається з декількох функціональних блоків. Вони складаються з механізмів для конкурентного (contention) і вільного від конкуренції (contention-free) доступу на різних фізичних середовищах. Функції, що виконуються у рамках МАС, не залежать від швидкості передачі даних або фізичних характеристик середовища передачі даних.

МАС є варіантом CSMA (carrіer sense multіple access – стандарт, що використовує єдине середовище передачі) множинного доступу з виявленням несучої і відомий під назвою – розподілена функція координації (DCF, dіstrіbuted coordіnatіon functіon). Стандартом запропоновано дві версії DCF: — основний доступ (basіc access), що базується на двосторонній процедурі встановлення зв'язку;

— доступ RTS/CTS (request-to-send/clear-to-send), що базується на чотирьохканальній процедурі встановлення зв'язку (рис. 1). При чому, ймовірність конфліктів для безпроводових вузлів мінімізується шляхом попередньої відправки всім вузлам короткого повідомлення (request to send, RTS) про адресат і тривалість передачі, що має відбутися. Вузли затримують передачу на час, рівний оголошеній тривалості повідомлення. Приймальна станція відповідає на RTS посилкою (CTS – clear to send), по якій передавальний вузол взнає, чи вільне середовище і чи готовий вузол до приймання. Після приймання пакету даних вузол передає підтвердження (АСК) безпомилкового приймання. Якщо АСК не отримано, пакет даних буде переданий повторно [8].

В обох випадках тільки перший пакет повинен боротися за середовище. Доступ станцій до середовища ґрунтується на двох періодах часу (часових інтервалах): перший – DІFS (DCF іnterframe space), тобто DCF міжкадровий інтервал, другий – SІFS (short іnterframe space), тобто короткий міжкадровий інтервал. DІFS – міжкадровий інтервал, що використовується, як мінімальна затримка для асинхрон-них кадрів, які змагаються за доступ. SІFS – мінімальний міжкадровий інтервал, що використовується для усіх негайних відповідей у каналі. Причому, SІFS< DІFS.
<img width=«398» height=«91» src=«ref-1_1282329020-4208.coolpic» v:shapes=«Рисунок_x0020_7»>

Рисунок 2.1 — Успішне встановлення зв'язку для методу RTS/CTS
Передбачена стандартом специфікація приписує розбиття даних на пакети, що містять контрольну і адресну інформацію. Стандарт рекомендує використовувати пакети довжиною 400 байт для фізичного каналу типу FHSS і 1500 або 2048 для каналу DSSS [].

На рисунку 2.2 представлений кадр фізичного рівня при використанні схеми DSSS. Кадр складається з наступних частин – PLPC (попередня комбінація бітів і заголовок) та корисне навантаження. Для передачі PLPC завжди використовується швидкість 1 Мбіт/с, корисне навантаження (тобто дані MAC) може передаватись на швидкості 1 або 2 Мбіт/с.
<img width=«431» height=«117» src=«ref-1_1282333228-1565.coolpic» v:shapes="_x0000_i1026">

Рисунок 2.2 – Формат кадру фізичного рівня IEEE 802.11 при використанні методу передачі DSSS
На рисунку зображений пакет рівня MAC в стандарті IEEE 802.11 [].
<img width=«444» height=«82» src=«ref-1_1282334793-1502.coolpic» v:shapes="_x0000_i1027">

Рисунок 2.3 – Структура пакету IEEE 802.11
— Керування кадром. Поле довжиною 2 байти складається з декількох підполей, що несуть інформацію про версію протоколу, тип кадру (керуючий, перевірний, дані), про фрагментацію пакету, що передається, інформацію про конфіденційність і 2-бітового поля системи розподілення (distribution system – DS), що вказує значення чотирьох адресних полів кадру.

— Ідентифікатор тривалості. Поле використовується для схеми віртуального резервування каналу з використанням RTS/CTS і містить значення, що вказує період планованого зайняття середовища.

— Адресні поля. Чотири адресних поля довжиною 48 біт кожне.

— Керування почерговістю. Може статися так, що кадр буде продубльований (внаслідок використання механізму підтвердження приймання). Таким чином, дане поле призначене для виявлення і відсіву дублюючих фрагментів.

— Поле даних. Кадр MAC може містити довільні дані (до 2312 байт), що передаються від відправника одержувачу (одержувачам).

— Контрольна сума (CRC). 32-бітовий код CRC для перевірки безпомилкової передачі пакету. Кадри рівня MAC можуть передаватися між мобільними станціями, між мобільними станціями і між точкою доступу і точками доступу.


3.
ОСНОВНІ ПРИНЦИПИ ПОБУДОВИ МЕРЕЖІ Wi-Fi
Для стандартів IEEE 802.11b та IEEE 802.11g доступно використання всенаправлених і вузьконаправлених антен. Всенаправлена антена гарантує зв’язок для відстаней до 50 метрів, а вузьконаправлена – до 45 км. При швидкості 1 Мбіт/с відстань надійного зв’язку може досягати декілька сотень метрів. Гранично можлива швидкість обміну визначається автоматично. Одночасно може обслуговуватись до декількох сотень клієнтів. Швидкість, яка буде доступна абонентам буде обернено-пропорційна їх кількості. Важливою особливістю є можливість роботи з мобільними клієнтами[9].

Типологічно локальні мережі IEEE 802.11b/g будуються навколо базової станції. Але можливі і схеми з декількома базовими станціями. Базові станції можуть працювати на одних і тих же або на різних частотних діапазонах. Для організації сумісної роботи базових станцій використовуються сигнальні кадри (beacon), які слугують для цілей синхронізації.

Якщо для організації хот-спота або безпровідної мережі в малому офісі достатньо встановити одну безпровідну точку доступу, то при створенні крупних корпоративних мереж з великою кількістю клієнтів і базових станцій виникає необхідність у використанні більш складного обладнання.

Перераховані проблеми легко розв’язуються використанням безпровідних комутаторів або маршрутизаторів. В мережі, де встановлюється безпровідний комутатор, функції шифрування і аутентифікації переходять від точок доступу до комутатора і адмініструються централізовано. У підсумку задача точки доступу обмежується транзитом даних до користувача і від нього.

Ще одна важлива перевага мережі на базі безпровідного комутатора у тому, що користувач, знаходячись у ній, при переході від однієї точки доступу до іншої не втрачає з’єднання з мережею і аутентифікацію заново не проходить.

Внаслідок того, що більша частина точок доступу підтримує режим живлення PoE (Power over Ethernet), безпровідний комутатор, який може стати для них джерелом живлення, здатний виконувати ще й функції відслідковування ділянок мережі, що відмовили. Таким чином, він компенсує несправність ділянки мережі розширенням числа користувачів точок доступу шляхом збільшення їх потужності. В ідеалі безпровідний комутатор може ефективно розподіляти ще і завантаження каналів, виходячи з інформації про кількість користувачів, пропонуючи більш широку пропускну здатність сегментам мережі, де кількість користувачів у даний момент більша.

Для організації хот-спота або безпровідної мережі в малому офісі достатньо встановити одну безпровідну точку доступу. На рисунку 3.1 зображено архітектуру мережі з однією точкою доступу (АР).
<img width=«336» height=«242» src=«ref-1_1282336295-1396.coolpic» v:shapes="_x0000_i1028">

Рисунок 3.1 – Архітектура мережі з однією точкою доступу
При створенні крупних корпоративних мереж з великою кількістю клієнтів і базових станцій виникає необхідність у використанні більш складного обладнання [3,9]. Кількість точок доступу необхідно збільшувати, для того щоб забезпечувати швидкість передачі даних не нижче 1 Мбіт/с. На рисунку 3.2 зображено архітектуру мережі з “n” точками доступу.


<img width=«440» height=«249» src=«ref-1_1282337691-2783.coolpic» v:shapes="_x0000_i1029">

Рисунок 3.2 – Архітектура мережі з “n” точками доступу
3.1 Типи з'єднань Wi-Fi мереж
Існують такі типи та різновиди з'єднань[1,8]:


1) З'єднання Ad-Hoc (точка-точка).

Wi-Fi мережа типу Ad-hoc аналогічна звичайній дротяній локальній мережі з топологією «лінія», тобто одноранговій мережі, в якій перший комп'ютер сполучений з другим, другий з третім і так далі. Для організації з'єднання безпровідної мережі такого типу застосовуються вбудовані або встановлювані адаптери Wi-Fi, наявність якого необхідна кожному вхідному в мережу пристрою.

2) Інфраструктурне з'єднання (Infrastructure Mode).

У режимі Infrastructure Mode станції взаємодіють одна з одною не напряму, а через точку доступу (Access Point), яка виконує в безпровідній мережі роль своєрідного концентратора (аналогічно тому, як це відбувається у традиційних кабельних мережах).

3) Клієнтська точка.

У цьому режимі точка доступу працює як клієнт і може з'єднуватися з точкою доступу, яка працює в інфраструктурному режимі. Але до неї можна підключити тільки одну МАС-адресу. Тут завдання полягає в тому, щоб об'єднати тільки два комп'ютери. Два Wi-Fi-адаптера можуть працювати один з одним безпосередньо без центральних антен.

4) Мостове з'єднання.

Комп'ютери об'єднані в дротяну мережу. До кожної групи мереж підключені точки доступу, які з'єднуються один з одним по радіо каналу. Цей режим призначений для об'єднання двох і більше дротяних мереж. Підключення бездротових клієнтів до точки доступу, що працює в режимі моста неможливо.

5) Репітер.

Точка доступу просто розширює радіус дії іншої точки доступу, що працює в інфраструктурному режимі.

Чи безпечний Wi-Fi? Як і будь-яка комп'ютерна мережа, Wi-Fi – є джерелом підвищеного ризику несанкціонованого доступу. Крім того, проникнути в бездротову мережу значно простіше, ніж в звичайну, — не потрібно підключатися до проводів, досить опинитися в зоні прийому сигналу.

Бездротові мережі відрізняються від кабельних тільки на перших двох — фізичному (Phy) і частково канальному (MAC) — рівнях семирівневої моделі взаємодії відкритих систем. Вищі рівні реалізуються в дротяних мережах, а реальна безпека мереж забезпечується саме на цих рівнях. Тому різниця в безпеці тих і інших мереж зводиться до різниці в безпеці фізичного і MAC — рівнів. Якщо налаштуванню мережі не приділити належної уваги зловмисник може:

-                     дістати доступ до ресурсів і дисків користувачів Wi-Fi-мережі, а через неї і до — ресурсів LAN;

-                     підслуховувати трафік, витягувати з нього конфіденційну інформацію;

-                     спотворювати інформацію, що проходить в мережі;

-                     скористатися інтернет-трафіком;

-                     атакувати ПК користувачів і сервери мережі;

-                     упроваджувати підроблені точки доступу;

-                     розсилати спам, і здійснювати інші протиправні дії від імені вашої мережі.
3.2 Безпека передачі даних в мережах Wi-Fi
Для захисту мереж 802.11 передбачений комплекс заходів безпеки передачі даних.

На ранньому етапі використання Wi-Fi мереж таким був пароль SSID (Server Set ID) для доступу в локальну мережу, але з часом виявилось, що дана технологія не може забезпечити надійний захист.

Головним же захистом довгий час було використання цифрових ключів шифрування потоків даних за допомогою функції Wired Equivalent Privacy (WEP). Самі ключі вдають із себе звичайні паролі з довжиною від 5 до 13 символів ASCII. Дані шифруються ключем з розрядністю від 40 до 104 бітів. Але це не цілий ключ, а тільки його статична складова. Для посилення захисту застосовується так званий вектор ініціалізації Initialization Vector (IV), який призначений для рандомізації додаткової частини ключа, що забезпечує різні варіації шифру для різних пакетів даних. Даний вектор є 24-бітовим. Таким чином, в результаті ми отримуємо загальне шифрування з розрядністю від 64 (40+24) до 128 (104+24) бітів, в результаті при шифруванні ми оперуємо і постійними, і випадково підібраними символами.

Як показав час, WEP теж виявилася не найнадійнішою технологією захисту. IEEE 802.1X — це новий стандарт, який виявився ключовим для розвитку індустрії бездротових мереж в цілому. За основу узято виправлення недоліків технологій безпеки, вживаних в 802.11, зокрема, можливість злому WEP, залежність від технологій виробника і тому подібне. Стандарт IEEE 802.1X використовує варіант динамічних 128-розрядних ключів шифрування, тобто ключі, які періодично змінюються в часі. Таким чином, користувачі мережі працюють сеансами, після закінчення яких їм присилається новий ключ. Всі ключі є 128-розрядними за замовчанням.

В кінці 2003 року був упроваджений стандарт Wi-Fi Protected Access (WPA), який суміщає переваги динамічного оновлення ключів IEEE 802.1X з кодуванням протоколу інтеграції тимчасового ключа TKIP, протоколом розширеної аутентифікації (EAP) і технологією перевірки цілісності повідомлень MIC. WPA — це тимчасовий стандарт, про який домовилися виробники устаткування, поки не набув чинності IEEE 802.11i. По суті, WPA = 802.1X + EAP + TKIP + MIC, де:

WPA — технологія захищеного доступу до бездротових мереж

EAP — протокол розширеної аутентифікації (Extensible Authentication Protocol)

TKIP — протокол інтеграції тимчасового ключа (Temporal Key Integrity Protocol)

MIC — технологія перевірки цілісності повідомлень (Message Integrity Check).

Стандарт TKIP використовує автоматично підібрані 128-бітові ключі, які створюються непередбачуваним способом і загальне число варіацій яких досягає 500 мільярдів. Складна ієрархічна система алгоритму підбору ключів і динамічна їх заміна через кожних 10 кбайт (10 тис. переданих пакетів) роблять систему максимально захищеною.

Від зовнішнього проникнення і зміни інформації також обороняє технологія перевірки цілісності повідомлень (Message Integrity Check). Достатньо складний математичний алгоритм дозволяє звіряти відправлені в одній точці і отримані в іншій дані. Якщо відмічені зміни і результат порівняння не сходиться, такі дані вважаються помилковими і викидаються.

Таким чином, на сьогоднішній день у звичайних користувачів і адміністраторів мереж є всі необхідні засоби для надійного захисту Wi-Fi, і за відсутності явних помилок завжди можна забезпечити рівень безпеки, відповідний цінності інформації, що знаходиться в такій мережі.

Сьогодні бездротову мережу вважають захищеною, якщо в ній функціонують три основних складових системи безпеки: аутентифікація користувача, конфіденційність і цілісність передачі даних. Для отримання достатнього рівня безпеки необхідно скористатися рядом правил при організації і настройці приватної Wi-Fi-мережі:

1)                шифрувати дані шляхом використання різних систем. Максимальний рівень безпеки забезпечить застосування VPN;

2)                використовувати протокол 802.1X;

3)                заборонити доступ до налаштувань точки доступу за допомогою бездротового підключення;

4)                управляти доступом клієнтів по MAC-адресам;

5)                заборонити трансляцію в ефір ідентифікатора SSID;

6)                розташовувати антени якнайдалі від вікон, зовнішніх стін будівлі, а також обмежувати потужність радіовипромінювання;

7)                використовувати максимально довгі ключі;

8)                змінювати статичні ключі і паролі;

9)                використовувати метод WEP-аутентификации «Shared Key» оскільки клієнтові для входу в мережу необхідно буде знати WEP-ключ;

10)            користуватися складним паролем для доступу до налаштувань точки доступу;

11)            по можливості не використовувати в бездротових мережах протокол TCP/IP для організації папок, файлів і принтерів загального доступу. Організація ресурсів, що розділяються засобами NETBEUI, в даному випадку безпечніша;

12)            не вирішувати гостьовий доступ до ресурсів загального доступу, використовувати довгі складні паролі;

13)            не використовувати в бездротовій мережі DHCP. Вручну розподілити статичні IP-адреса між легітимними клієнтами безпечніше;

Так само загрозу мережевій безпеці можуть представляти природні явища і технічні пристрої, проте тільки люди (незадоволені звільнені службовці, хакери, конкуренти) проникають в мережу для навмисного отримання або знищення інформації і саме вони представляють найбільшу загрозу.


    продолжение
--PAGE_BREAK--