Chystáte se zahodit dráty?

Internet | 01.09.04

Připojení "bezdrátem" je skvělé! Nejste k ničemu připoutaní, Wi-Fi je uždostupné na letištích, v hotelech, restauracích a konferenčních místnostech. Sestavení domácí sítě je hra...





Připojení "bezdrátem" je skvělé! Nejste k ničemu připoutaní, Wi-Fi je už
dostupné na letištích, v hotelech, restauracích a konferenčních místnostech.
Sestavení domácí sítě je hračka a stojí to stejně jako s dráty. Prostě jasná
volba. Ale prý je to nebezpečné, kdekdo může komunikaci odposlechnout. A také
to prý není až tak rychlé, jak bychom potřebovali.
Je to všechno pravda?

Pokud dnes říkáme, že používáme bezdrátové připojení, většinou bezděčně
směšujeme širokou škálu technologií s různou využitelností, dostupností a
technologickým zázemím. Než se pustíme do podrobnějšího výkladu, je žádoucí si
ve věci udělat jasno a zřetelně vymezit hřiště, po němž se v tomto článku
budeme pohybovat.
V případě komunikace na nejkratší vzdálenost většinou používáme řešení, jež
bývají sdružována mezi tzv. "osobní sítě" (Personal Area Networks, PAN). Jejich
působnost bývá měřena na vzdálenost v řádu desítek centimetrů či několika málo
metrů a využití bezdrátového přenosu je nasnadě, neboť natahování drátů pro
tyto účely je prostě otravné. Jednou z nejproslulejších, prakticky dostupných
technologií je Bluetooth, neboli "Modrý zub", kompletní technologie postavená
na využívání rádiových vln (podobně jako dále probírané Wi-Fi). Komunikačním
portem tohoto druhu se dnes může pochlubit řada mobilních telefonů a přenosných
či kapesních počítačů a odpovídající adaptér snadno zakoupíte i pro pracovní
stanici, například pro rozhraní USB. Obdobným řešením je dále známý
"infračervený" přenos, realizovaný ve shodě s názvem pomocí elektromagnetického
vlnění z oblasti spektra, jemuž běžně říkáme infračervené. I pro tento typ
komunikace, zavedený pod označením IrDA, existuje slušně zavedené a rozšířené
kompletní technologické řešení, takže se jedná o běžný typ přenosu například
mezi notebooky či mobilními telefony. Přestože tyto komunikační kanály jsou
zajímavé a splňují podmínky "bezdrátovosti", nejedná se o řešení problematiky
lokálních sítí v pravém smyslu slova, a proto jej dále do naší pracovní
definice bezdrátových sítí nebudeme zahrnovat.
Na opačném konci stojí z hlediska dosahu využití bezdrátové konektivity k
řešení problému tzv. poslední míle, tedy připojení účastnických stanic, resp.
počítačů, k sítím poskytovatelů internetových služeb. I zde se přenos pomocí
rádiových vln (opět viz dále Wi-Fi) prosadil, a to z rozličných důvodů:
umožňuje poměrně svobodné budování i rozsáhlejších sítí, jejichž sestavení
pomocí kabeláže by bylo finančně neúnosné (u nás např. CZFree.Net, jinak obecně
tzv. komunitní sítě), ale též umožňuje komerčním poskytovatelům internetových
přípojek překlenout poslední metry ke svému zákazníkovi tam, kde to prostě
kabelem či telefonní přípojkou není možné (hádejte, proč je to u nás tak
populární metoda...). Ani tato tématika, byť velmi zajímavá a dobrodružná,
nebude tentokráte naším cílem, neboť jde často vlastně o druhotné využití
technologií původně navržených pro lokální sítě.
Povídat si tedy budeme o komunikaci, jež svým dosahem zůstala "někde
uprostřed": v následujících kapitolách se zaměříme na současné možnosti a
komplikace spojené s bezdrátovými lokálními sítěmi s typickými "dosahovými"
vzdálenostmi mezi řádově metry a desítkami metrů. Budeme tedy hovořit o
řešeních, jež se snaží nahradit drtivě převládající ethernetovou technologii
realizovanou pomocí kabeláže ve zhruba shodných dosazích (cca kolem stovky
metrů) jinými slovy, zaměříme se na praktické otázky kolem sítí typu Wi-Fi v
úzkém slova smyslu. Pro účely tohoto článku tedy považujte za bezdrátovou síť
tento typ komunikace, jenž v posledních letech zažil nebývalý rozmach.

Co přesně řeší samotné Wi-Fi?

Pokud prakticky nepoučenému uživateli sdělíte cosi o chystaném přechodu na
bezdrátovou síť, může to vyvolat všelijaké představy končící třeba obavou, že
vše budeme muset odteď dělat jinak: posílat e-maily, stahovat soubory... Dost
fantazie a hrůzy, popišme si přesně, co Wi-Fi vlastně zajišťuje.
Kolekce technologií a norem, zahrnutých pod více méně marketingové označení
mírně zavádějícího charakteru Wi-Fi (od Wireless Fidelity, asi jako paralela s
Hi-Fi) byla vyvinuta s jasným cílem nahradit kabeláž v oblasti lokálních
počítačových sítí, tedy typicky uvnitř budov v dosahu několika desítek metrů.
Cílem ani výsledkem v žádném případě není změnit způsob práce uživatelů, neboť
příslušné technologie řeší tzv. 1. a 2. vrstvu síťového modelu. Srozumitelněji
řečeno, Wi-Fi má nahradit kabeláž rádiovými vlnami tak, aby vše ostatní běhalo
normálně, tedy asi jako byste v případě ethernetu vyměnili starší koaxiální
kabely za nové v podobě kroucené dvojlinky. I proto se někdy Wi-Fi označuje
jako bezdrátový ethernet, což navíc souvisí i s hlubšími aspekty tohoto řešení.
Důsledkem uvedené skutečnosti je, že potřebujete zásadně odlišné síťové karty
(adaptéry), neboť ty právě řeší onu
"1. a 2. vrstvu", příslušné ovladače pro vás operační systém, ale jinak
aplikace pochopitelně běhají jako dosud.
Protože Wi-Fi síťový adaptér je vlastně vysílačem a přijímačem s
nezanedbatelným výkonem, je potřeba si ujasnit otázku licencování vysílacích
frekvencí, neboť ty podléhají státní kontrole. Obrovskou výhodou při vývoji
Wi-Fi byl fakt, že státní legislativa většiny zemí (včetně ČR) uvolnila pro
tuto technologii frekvenci kolem 2,4 GHz (jde o pásmo určité šíře) podle
speciální bezplatné generální licence: za využití se nic neplatí, ale nesmíte
překračovat povolený vysílací výkon, takže zařízení musejí mít homologaci a
měla by se chovat mravně. V mnoha mimoevropských zemích bylo pro stejný účel
uvolněno i pásmo kolem 5 GHz, takže jsou k mání i zařízení pro tyto frekvence,
ovšem zde se mějte na pozoru: evropská legislativa toto nepřipouští, neboť si
pásmo drží pro vlastní očekávaný standard HiperLAN, čili dnes je využití pásma
i u nás pro tento účel nepřípustné. Naštěstí se drtivá většina podobných
komponent na náš trh ani příliš nedováží, takže při koupi v tuzemsku zřejmě
nepochybíte.
Stručně řečeno, Wi-Fi technologie skutečně řeší nahrazení "kabelové" fyzické a
linkové vrstvy za vysílání víceméně volným prostorem, jež vám ušetří ono
připojování konektorů a natahování drátů. To, co běžně využíváte, funguje tak,
jak jste zvyklí.

Co je vlastně 802.11b a 802.11g?

Již výše jsme naznačili, že běžné označení Wi-Fi je víceméně průmyslovým či
marketingovým standardem, což by technologům samozřejmě nestačilo, i když v
praxi bylo založení stejnojmenné aliance pro rozvoj velmi zásadní. Řešení
typických lokálních bezdrátových sítí je tedy přesněji popsáno pomocí norem
standardizační organizace IEEE. Dvě výše zmíněná čísla označují dokumenty, jež
popisují dnes nejvíce rozšířené varianty, známé právě jako typické Wi-Fi. A
proč jsou vlastně dvě? Ve skutečnosti jsou alespoň tři... Ale postupně.
Norma 802.11b popisuje o něco starší standard, jenž je v podstatě první
prakticky realizovanou normou pro Wi-Fi zařízení. Vyznačuje se především
skutečností, že teoretická maximální přenosová rychlost je 11 Mb/s, což je
srovnatelné s nejpomalejší ethernetovou variantou po klasickém kabelu. Standard
existuje od roku 1999 a první zařízení Wi-Fi, jež jsou dodnes ve většině,
pracují právě podle něj. Nejen rychlost byla důvodem, proč se vývoj nezastavil:
v červnu 2003 byla schválena norma 802.11g, jež mimo jiné nabízí teoretickou
maximální rychlost 54 Mb/s, což je někde na půli cesty k dnes nejběžnějšímu
ethernetu, jehož rychlost je 100 Mb/s. I zařízení dle této normy jsou již běžně
dostupná, a co je veledůležité, většinou jsou zpětně kompatibilní s 802.11b
typy. Jenže, něco za něco: pokud se v síti s mnoha "géčkovými" kartami objeví
jedno "béčko", budou si sice rozumět, ale všechny "spadnou" na nižší normovanou
rychlost, což je škoda. Standard, který nemůžete v tuzemsku využít díky
nedostupnosti pásma kolem 5 GHz, je pak označován jako 802.11a: síťová zařízení
s tímto označením nekupujte, nemá to u nás smysl.
Již jsme naznačili, že IEEE norem je vlastně více. Ty další už neřeší námi
zmiňovaný problém, tedy přenos na úrovni fyzické a linkové vrstvy. Ale nebojte
se, dojde na ně dále. Důležitým závěrem je fakt, že při koupi síťových karet si
u nás momentálně můžete vybrat ze dvou standardů 802.11b a 802.11g a že oba dva
jsou ve fázi praktického, běžného využívání.
Jistou potíž však způsobuje fakt, že ačkoliv se výrobci snaží normy zavádět co
nejlépe, ne vždy se to bezezbytku podaří. Starší standard 802.11b je na trhu
přece jen delší dobu a je to rozhodně znát na vzájemné kompatibilitě hardwaru,
tedy karty a přípojné body (access pointy) různých výrobců jsou schopny spolu
často bez obtíží komunikovat. Znatelně větší dobrodružství nastává v případě
budování sítě podle novějšího standardu 802.11g. Ačkoliv výrobci dodávali na
trh zařízení již před rokem před definitivním schválením normalizační komisí, i
v současné době nelze než vřele před definitivním utracením peněz doporučit
důkladné otestování plánované sestavy. Nejsou výjimkou případy, že ani dvě
zařízení téhož výrobce si spolu pořádně nerozumí. Na druhou stranu, funkční
kombinace rozhodně nalézt lze a stojí to za námahu.

Jak rychle to opravdu poběží?

Možnost volného pohybu s počítačem a plynulé připojování do sítě bez kabeláže
je výhoda, za níž je potřeba někde zaplatit. Jedním z kritických parametrů je
přístupová rychlost, kde stále přetrvává znatelný hendikep ve srovnání s
nataženými dráty. Jak jsme již uvedli výše, bývá zvykem uvádět maximální
teoreticky dosažitelnou rychlost u zařízení podle příslušné normy, což
obzvláště v případě "géčka" vyvolává dojem, že nejsme tak daleko třeba za
běžným ethernetem na 100 Mb/s. Je však potřeba se na věci podívat střízlivě a
říci na rovinu, že tak růžové to není.
V první řadě, u bezdrátových spojů vstupuje do hry fakt, jenž se u kabelových
variant běžně nevyskytuje: v případě horší dostupnosti signálu mezi rádiovými
stanicemi dojde k řízenému "přeskoku" na nižší přenosovou rychlost, jež je v
danou chvíli možná. V praxi to znamená, že při větší vzdálenosti (třeba přes 20
m) či při zastínění (stačí kvalitní kovová zárubeň) okamžitě maximální rychlost
v závislosti na oslabení signálu poklesne, a to dosti rapidně, třeba o polovinu
či čtvrtinu.
Druhou zásadní skutečností je způsob, jak uživatelé sdílejí rádiové pásmo.
Pokud je skupina příjemců připojena na stejný přístupový bod a nacházejí se tak
fyzicky na jednom síťovém segmentu, což je typický případ, musejí se o kapacitu
linky podělit stejně, jako tomu bylo v období raného ethernetu, jenž přežívá
dodnes v podobě sdílení linky pomocí obyčejného rozbočovače (hubu). Účastníci
komunikace se tedy vlastně přetlačují o vysílací prostor a při řešení vzniklých
kolizí tak dochází k dalšímu výraznému snížení přenosového výkonu, jako u
ethernetu bez přepínačů (switchů). Mezních hodnot lze tak dosahovat pouze při
bezprostředním přiblížení bezdrátových síťových karet a při komunikaci "jeden
na jednoho".
Třetí významnou skutečností, u níž se pozastavíme, je nezbytné vyplýtvání
přenosové kapacity na nutnou režii protokolů vyšších vrstev. Jednoduše řečeno,
když posíláte dopisy, i ta obálka něco váží a poštovní auto či letadlo musí
unést nejen vaše čisté myšlenky v podobě milostného psaní, ale též onen fyzický
nosič v podobě papíru, obálku, známku a třeba i velké poštovní pytle. Na první
pohled to vypadá zanedbatelně, ale ve skutečnosti ona režie na protokoly
vyšších vrstev představuje významnou poměrnou část a skutečná šíře pásma,
určená pro čistá data, tak opět povážlivě klesá.
Když si výše uvedené skutečnosti shrneme, je nasnadě, že teoretických
maximálních kapacit nelze dosáhnout. Počítejte v praxi s tím, že za velmi
dobrých podmínek se maximální šířka pásma pro užitečný datový náklad pohybuje
někde kolem poloviny nominálních hodnot, tedy asi 5 Mb/s u "béčka" a 25 Mb/s u
"géčka", při zhoršení podmínek (typicky stínění) bývá mnohem hůř! Připomeňme,
že při použití kabeláže lze dnes pomocí běžné výbavy pro "stovkový ethernet"
dosáhnout v přepínané síti, jež obsahuje switche, přenosy poměrně blízké
teoretickému maximu. A to především proto, že když na jeden drát připojíte na
každém konci jeden adaptér, tak vám zkrátka nikdo přenos narušovat nebude, což
v éteru nemáte šanci stoprocentně zařídit.

Je lepší používat přístupový bod?

Tradiční sítě Wi-Fi nabízejí při svém provozu plně v souladu s původním návrhem
dva režimy propojení účastníků komunikace. První z nich je označován jako "ad
hoc" a jedná se vlastně o náhodné propojení typicky dvou komunikujících
počítačů pomocí Wi-Fi přenosu. Velkou výhodou je zde skutečnost, že
nepotřebujete kromě klientských síťových adaptérů žádný další hardware, spojení
mezi koncovými body vzniká velmi snadno (až nebezpečně snadno) a spojení i
rozpojení je podle potřeby snadné. Velmi jednoduše tak můžete například
pohotově přenášet soubory. Zásadní nevýhodou je skutečnost, že se takto můžete
"asociovat" do bezdrátového sbratření s kýmkoliv, kdo se vyskytne v dostatečné
blízkosti, aniž byste o to měli zájem, z čehož plyne poměrně vysoké riziko.
V zásadně odlišném režimu pracuje tzv. infrastrukturní mod, jenž právě vyžaduje
onu komponentu, označovanou jako "ápéčko", tedy přístupový bod neboli access
point. Ten pracuje jako prostředník, za jehož účasti komunikují všichni
přítomní tím, že přes něj proudí všechny datové toky mezi klienty sítě. Jeho
použití má především tu výhodu, že lze podle možností nastavení filtrovat či
kontrolovat provoz, včetně zpřístupnění sítě různým klientům. Na straně
uživatele pak dochází k přepnutí síťového rozhraní do tohoto režimu, což
zaručuje eliminaci náhodných pokusů o sestavení ad hoc spojení veškerý tok musí
směřovat na AP, což síť může zásadně ochránit.
Přístupový bod není rozhodně nutný, pokud považujete bezdrátové spojení
například za příležitostný mechanismus propojení dvou zařízení. Na druhou
stranu, budujete-li byť malou domácí síť s více než dvěma účastníky či hodláte
sdílet třeba internetovou konektivitu do prostoru domácnosti či malé kanceláře,
bez přístupového bodu se neobejdete a získáte tím značné možnosti zabezpečení.
V neposlední řadě ve prospěch přístupového bodu hovoří skutečnost, že tuto
funkci dnes řada výrobců slučuje do "krabiček", jež následně slouží také jako
router, přepínač pro kabelový ethernet a typicky též modem pro některé z
širokopásmových internetových připojení (ADSL, kabelový internet apod.).

Na kolik že taková síť přijde?

Pokud jste dosud žili v představě, že sestavení bezdrátové sítě je cosi
luxusního a v porovnání s klasickým ethernetem po drátu též nevkusně
rozmařilého, tak jste, s odpuštěním, zaspali dobu. Pořízení základních
dostatečně výkonných komponent je cenově srovnatelné s kabelovou variantou a
výběr je bohatý.
Koupě základního kamene, tedy síťové karty pro jeden počítač, vás přijde podle
provedení na necelých 1 000 Kč u nejlevnějších variant pro normu 802.11b. K
mání jsou varianty interní pro PCMCIA sloty či externí typicky pro USB rozhraní
a za 3 000-4 000 Kč již můžete získat špičkové karty pro rychlejší standard
802.11g. Budujete-li "pořádnou" síť, jež si žádá přístupový bod (AP), počítejte
podle výbavy s cenou od zhruba 2 000 Kč výše. V případě pořízení kombinovaného
zařízení, jež bude zahrnovat například router (směrovač) mezi sítěmi a také
přepínač pro zapojení další infrastruktury pomocí ethernetového kabelu,
očekávejte ceny mezi 2 000 a zhruba 6 000 Kč podle možností a výrobce. V
případě, že stávající možnosti potřebujete rozšířit, bude jednou z komponent
zřejmě externí anténa. Použitelné zařízení tohoto druhu pořídíte rovněž od
zhruba 2 000 Kč nahoru.
Z výše uvedených údajů je patrné, že sestavení bezdrátové sítě není ve srovnání
s kabelovými sourozenci nijak závratně drahé a jde o zcela srovnatelné řešení,
tedy alespoň z hlediska nákladů.

Je Wi-Fi náchylnější k útokům než ethernet?

Poměrně velké publicity se dostalo sítím Wi-Fi v dosti nelichotivých
souvislostech, neboť již od počátku používání bylo zřejmé, že jsou poměrně
náchylné k řadě útoků a narušení bezpečnosti. Zde je na místě upozornit, že jde
částečně o nepochopení, v čem nebezpečí vězí, a proto se na problém podíváme
blíže.
Hlavním principem jak ethernetu, tak Wi-Fi zařízení je v zásadě sdílení
přenosového média. V případě kabelů je však mnohem obtížnější se k přenosové
lince dostat a "napíchnout" se za účelem odposlechu. Útočník by zkrátka musel
najít nechráněný port na rozbočovači (hubu), přepínači (switchi) či například v
kanceláři v podobě síťové zásuvky. A to je mnohem obtížnější než v případě
"bezdrátu", i když samozřejmě stále možné. U Wi-Fi přenosů není datový tok
vázán na pevný, spoutaný drát, a proto lze volně "ze vzduchu" přenosy vylovit a
pokusit se o odposlech. V zásadě je tedy nebezpečnost potenciálně stejná: když
se vám někdo dostane k ethernetové přípojce, může napáchat stejnou škodu jako
útočník proti Wi-Fi, neboť ethernet není ve své podstatě také nijak chráněn
proti odposlechu a ten lze rutinně provádět. U Wi-Fi přenosů tedy prostě nelze
spoléhat na to, že vás nikdo "nenapíchne", neboť "volné zásuvky" jsou všude ve
vzduchu kolem vašeho zařízení, a to při dobré anténě útočníka i ve vzdálenosti
několika stovek metrů.
Je třeba tedy říci, že bezdrátové sítě skutečně náchylnější na odposlech být
mohou, ovšem jen a pouze proto, že jejich tvůrci ignorují základní principy a
podceňují související nebezpečí.
Rozlišujte mezi autentizací a šifrováním
Jedním z problémů, jenž zůstává při budování bezpečných bezdrátových sítí často
nepochopen, je zabezpečení dvou v podstatě nezávislých mechanismů: ověření
účastníka komunikace (autentizace) a šifrování přenášených užitečných dat.
Možná způsobila zamlžení této problematiky samotná implementace první podoby
prakticky použitelného Wi-Fi, neboť tam se pro realizaci obou činností mimo
jiné používá mechanismus WEP. Protože se jedná o důležité funkce, pozastavíme
se u nich blíže.
Autentizace neboli ověření uživatele, resp. účastníka komunikace má zajistit,
že se ve vaší bezdrátové síti neobjeví nikdo, kdo tam nemá co dělat. Ačkoliv je
to velmi zásadní, řada uživatelů tento mechanismus podceňuje a vůbec nepoužívá,
případně ve velmi omezené podobě. Původní podoba Wi-Fi totiž nabízí dvě
možnosti, z nichž první, příznačně nazývaná open-system, v podstatě pracuje
podle hesla "přijď a snadno se k nám připoj". Druhá možnost využívá silnější
mechanismus v podobě vynucení tzv. sdíleného klíče (přesněji možná ověřovacího
tajemství či kódu), jehož podobu musejí znát obě komunikující strany, jinak k
asociaci (navázání spojení) mezi bezdrátovými adaptéry nedojde. Právě tato
silnější varianta je chráněna mechanismem WEP, jenž nabízí alespoň nějakou
šifru, ovšem pohříchu je využíván pramálo.
Za mnohem důležitější považují uživatelé obecně šifrování samotného obsahu
přenášených dat. Připojení nežádoucího účastníka se většinou nebojíme,
vyzrazení obsahu už ano. V základní variantě Wi-Fi je opět použit mechanismus
WEP, jenž nabízí pro tento účel mírně problematickou šifru RC4 s poměrně
krátkými klíči (40 či 104 bitů). Největší bolestí, jak si ještě řekneme dále,
je skutečnost, že klíče není možné automaticky během komunikace obměňovat na
obou stranách a uživatelé to musí provádět ručním nastavením. V současné době
byly možnosti šifrování dat posíleny díky implementaci standardu WPA (viz dále)
a také prodlužováním šifrovacích klíčů z iniciativy výrobců zařízení, takže lze
běžně použít například 256 bitový, průběžně automaticky vytvářený a dojednávaný
klíč.
Zásadním faktem zůstává, že procedury autentizace a šifrování obsahu jsou
nezávislé a je potřeba řešit oba problémy: do vaší sítě by se neměl připojovat
nikdo neoprávněný a rovněž citlivý obsah není ničím, co by měli cizí uživatelé
spatřit.

Lze klíče mechanismu WEP snadno rozluštit?

Jednou z často zmiňovaných slabin původního návrhu bezdrátových přenosů pomocí
technologie Wi-Fi je možnost šifrování pomocí postupu označovaného jako WEP
(Wireless Equivalent Privacy). Tato technologie byla navržena jako víceméně
provizorní ochranná výbava a poměrně brzy se přišlo na to, v čem spočívají její
zásadní slabiny, jichž je několik. U řady Wi-Fi zařízení je WEP dosud jediným
ochranným prostředkem a pokud nemáte na výběr jiný postup, je potřeba tuto
možnost využívat co nejlépe.
Z praktického hlediska nás budou zajímat pouze některé aspekty, jež můžeme
ovlivnit. Základní provedení šifrování WEP nabízí dvě délky klíčů, a proto je
potřeba vždy zvolit tu vyšší, abychom byli schopni lépe odolávat případným
pokusům o útok. Druhou zásadní okolností je fakt, že klíč (přesněji vámi
zvolená fráze) zůstává po zadání neměnný do té doby, než ho sami nezměníte, a
to na obou stranách zabezpečeného kanálu. A dlouhodobé používání stejného klíče
znamená smrt pro téměř každou šifru, tedy pro WEP určitě. Pokud bude chtít
potenciální útočník vaši šifru zlomit, velmi mu to usnadníte tím, že klíč
nebudete měnit. K definitivnímu průlomu je totiž potřeba odchytit dostatečné
množství dat, jež byla šifrována stejným klíčem, a to může trvat i desítky
hodin či několik dnů, kdy je nutně průběžně přenosy odposlouchávat. Pokud si
zvyknete jednou za dva až tři dny klíč k šifře WEP měnit, nesmírně tím zvýšíte
své šance na ochranu síťového přenosu. Pokud by se útočníkovi přece jen
podařilo klíč odhalit, bude mu po několika hodinách či málo dnech k ničemu,
pokud budete důslední.
Šifru WEP lze skutečně reálně prolomit, ovšem za příznivé souhry okolností.
Útočník musí být vybaven vyhovující bezdrátovou kartou, jež si rozumí s
potřebným softwarem (náklady cca
4 000-6 000 Kč), dále kvalitní anténu pro případný dálkový odposlech (kolem 5
000-6 000 Kč) a programem (bezplatně, open source), jenž vše zařídí. Ze strany
uživatelů je potřeba určité "vstřícnosti": velmi pomůže volba slabšího klíče
WEP s kratší délkou, jeho již zmíněná neměnnost po delší dobu a také silný
provoz, generující velké množství jednotek přenosu (paketů), neboť úspěšnost
prolomení závisí právě na počtu paketů, jež má útočník k dispozici. V praxi to
pak znamená několik hodin až málo dnů odposlechu, jež vás mohou ohrozit. Tedy
šifru úspěšně prolomit lze, ovšem je možné se tomu alespoň nějak účinně bránit.

Je filtrování MAC adres dostatečné?

Protože ověřování účastníků připojujících se do bezdrátové infrastruktury bylo
dosti problematické, rozhodli se výrobci zařízení zavést zajímavý mechanismus,
jehož možnosti jsou s dílčími úspěchy využívány i jinde. Bývá označován jako
filtrování MAC adres a protože kolem něj panují některé nejasnosti, vysvětlíme
si jeho princip.
Vtip tohoto řešení spočívá ve faktu, že každý účastník komunikace v lokální
síti (nejen bezdrátové, ale i ethernetové) je vybaven jedinečnou informací,
jejíž použití je pro zdárný síťový přenos nezbytné. Číslo, označované jako MAC
adresa (Media Access Control), slouží ke vzájemné komunikaci síťových adaptérů
na linkové vrstvě, a to jak v případě Wi-Fi, tak na ethernetu (síťové IP adresy
či jména počítačů jsou využívána až druhotně pro jiné účely). Podle platných
dohod je MAC adresa jedinečné číslo (v celém vesmíru) a každý zakoupený adaptér
tedy bezděčně disponuje nezaměnitelným identifikátorem.
Filtrovací procedura spoléhá právě na fakt, že klient má svou MAC adresu pevně
přidělenu, neboť ta je typicky napevno "vypálena" v čipu adaptéru a při snaze o
datový přenos ji musí poskytnout. Při konfiguraci tedy zadáme na přístupovém
bodu bezdrátové sítě do tabulky povolené MAC adresy, příslušející oprávněným
počítačům, ostatní účastníci budou považováni za nežádoucí. Ačkoliv je takto
vše jasné a v praxi často i poměrně účinné, celá věc má háček, či spíše hák: s
MAC adresou při komunikaci pracuje operační systém a jeho prostřednictvím lze
svou MAC identifikaci záměrně změnit. Pomocí jednoduchého prográmku tedy může
útočník vnutit svému systému jiné MAC označení, čímž bude původní hodnota z
adaptéru potlačena, a vydávat se tak za legálního účastníka sítě.
Ačkoliv je tedy podvržení MAC adresy možné, doporučujeme používání jejich
filtrace. Sám o sobě je sice tento ochranný mechanismus napadnutelný a
prolomitelný, avšak v kombinaci s ostatními možnostmi alespoň mírně posiluje
ochranu. Útočník totiž musí při průzkumu sítě mimo jiné vhodné MAC adresy
vypátrat a případně vyzkoušet, což mu lze rovněž ztížit, a jakékoliv významné
zdržení představuje zisk pro legální uživatele.

Co dokáže ochrana pomocí WPA?

V předchozích odstavcích jsme se již pozastavili nad problémy, jež jsou spojeny
se snahou o zabezpečení bezdrátové komunikace. Zcela nové možnosti vnáší do
této oblasti implementace technologie WPA, s níž se již dnes můžete běžně
setkat, a proto si řekneme o jejích výhodách více.
Bezpečnostní řešení WPA neboli Wi-Fi Protected Access vzniklo jako reakce Wi-Fi
Aliance na známé bezpečnostní problémy, jež tížily uživatele a správce sítí, a
lze je víceméně označit jako "z nouze ctnost". Protože standardizační instituce
IEEE pracovala již dlouho na nové normě pro zásadní posílení bezpečnosti a
konec byl v nedohlednu, rozhodly se zúčastněné firmy pro zásadní krok: z nově
připravované komplexní normy si Wi-Fi Aliance vypůjčila některé užitečné části
a definovala "prozatímní" průmyslový standard, označený právě jako WPA, po němž
výrobci rychle sáhli a začali jej zavádět do svých zařízení, takže je dnes
téměř samozřejmostí. Pro úplnost dodejme, že schválení uvedené rozsáhlé
bezpečnostní normy IEEE 802.11i bylo v době psaní článku na spadnutí a ve
chvíli, kdy toto čtete, jde zřejmě již o schválenou normu.
Zavedení WPA řeší některé zásadní potíže původního návrhu Wi-Fi sítí. Velmi
zajímavou vymožeností je průběžná automatická výměna dynamicky vytvářených
klíčů pro šifrovací procedury, což řeší výše zmíněnou zásadní slabinu v podobě
zapisovaní statických klíčových frází. Pro tuto činnost je v rámci WPA použit
protokol TKIP (Temporal Key Integrity Protocol), jenž byl právě "zapůjčen" z
chystané normy 802.11i. Jeho práce je v zásadě prostá: v případě, že šifrujete
bezdrátový přenos, kontroluje počet zaslaných paketů s daty a po určitém počtu
provede z bezpečnostních důvodů výměnu nových klíčů mezi účastníky komunikace a
koloběh může pokračovat. Potenciálnímu útočníkovi tak chybí to nejdůležitější
dostatečné množství dat šifrovaných stejným způsobem, což jeho možnosti značně
oslabuje.
Druhým zajímavým vylepšením, s nímž při praktické implementaci WPA tvůrci
zařízení přišli, je zvětšení délky klíče pro používané šifrování na hodnotu až
256 bitů. Jedná se o řádově zcela jinou úroveň, než v případě původní
technologie WEP. Přínos pro zabezpečení je dosti zásadní.

Potřebuji k něčemu protokol 802.1x?

Při popisu použití novější bezpečnostní technologie WPA jsme se zmínili rovněž
o protokolu 802.1x, jeho význam je pro bezpečné provozování bezdrátových sítí
zcela zásadní. Na jedné straně se jedná o dobrou možnost, jak bezpečnost síťové
infrastruktury celkově výrazně zvýšit, na straně druhé jej není jednoduché
nasadit, neboť je pro to potřeba zajistit odpovídající podmínky. Podívejme se
blíže, co nám nabízí a co od nás jeho zavádění žádá.
Protokol 802.1x byl definován již dříve a se samotným bouřlivým vývojem Wi-Fi
sítí není nijak těsně spjat. Tvůrci pokročilých bezdrátových řešení však v
pravou chvíli rozpoznali jeho potenciál pro komunikaci v éteru a přijali jej
takřka za svůj. Jedním z úkolů protokolu je umožnit ověření (autentizaci)
připojujícího se klienta, a to v zásadě v jakékoliv lokální síti (ethernet,
Wi-Fi) na úrovni tzv. linkové vrstvy. Jednoduše řečeno to znamená, že pokud se
pomocí bezdrátové či ethernetové síťové karty budete snažit připojit do
stávající infrastruktury, jako první reakci obdržíte výzvu pro zaslání
ověřovací informace. Pokud tak učiníte a budete rozpoznáni jako oprávnění
uživatelé, kabelem či éterem vám bude umožněna komunikace a zapojení do
síťových struktur. Pakliže se prokázat nedokážete, dojde k zablokování síťového
přístupu, a to právě na úrovni oné linkové vrstvy, což je zcela zásadní: v
praxi to znamená totéž, jako by vás někdo odpojil od síťové zástrčky nebo
odstínil od přístupového bodu, protože s neověřenými klienty se nekomunikuje a
přístupový port se jim fakticky uzavře. Zůstává jediná možnost: zaslat platné
přihlášení a pak se připojit.
Kromě popsané schopnosti dokáže protokol 802.1x realizovat i další důležitý
úkol, kterým je distribuce klíčů pro šifrování síťového provozu. O nebezpečí
statického, v čase neměnného klíče jsme se zmínili již v části o WEPu, takže je
zřejmé, jak je pravidelná automatická distribuce šifrovacích klíčů důležitá. V
rozsáhlejším prostředí je prakticky vyloučeno, aby administrátoři zajistili v
dostatečně krátkých intervalech pravidelnou obměnu ručně zadávaných klíčů a
jejich dynamická výměna znamená pro mnoho typů útoků principiální bariéru. I
tato funkce protokolu 802.1x je tedy dobrým argumentem pro jeho nasazení.
Význam použití protokolu 802.1x byl velmi rychle doceněn, a proto byl
implementován do průmyslových výrobků mimo jiné jako součást či podmnožina
technologie WPA, o níž byla výše řeč. Jeho použití však vyžaduje pokročilejší
síťovou infrastrukturu, takže nasazení je téměř výhradně myslitelné ve větších,
typicky firemních sítích. Onou zásadní podmínkou, jíž musíte splňovat, je
dosažitelnost funkčního serveru služby RADIUS. Drobný problém spočívá totiž v
tom, že protokol 802.1x dokáže přenášet od klientů ověřovací informace a vracet
jim rozhodnutí, ale sám se nedokáže nikoho přímo zeptat, zda ten či onen
uživatel do sítě patří. To za něj právě musí udělat služba RADIUS: je to její
specialita, takže to umí velmi dobře, navíc dokáže zajistit i další služby
kromě ověřování. Zprovoznění služby RADIUS rozhodně není začátečnické téma a
navíc s sebou nese potřebu provozování síťového serveru a případně další
dodatečné náklady, takže se vyplatí spíše v rozsáhlejším prostředí. Přestože by
se nám protokol 802.1x hodil i v malých sítích, s jeho jednoduchým použitím z
výše uvedených důvodů příliš nepočítejte. Naopak v rozsáhlejších sítích jej lze
považovat za velmi významný prvek ochrany.

Shrnutí

Bezdrátové sítě typu Wi-Fi dnes představují dobře zvládnutou technologii, jež
nabízí řadu zajímavých možností tam, kde nasazení klasické ethernetové kabeláže
není možné. Ačkoliv absolutní srovnání rychlosti přenosu prozatím jasně vyhrává
kabel, pokud jej nechcete, máte k dispozici spolehlivou a životaschopnou
alternativu, jíž se nemusíte obávat. Náklady na vybudování bezdrátové lokální
sítě nejsou oproti ethernetu nijak vyšší a možnosti zabezpečení je možné v
současné době označit za mírně uspokojivé se světlejší budoucností. Správa malé
domácí bezdrátové sítě rozhodně není nad síly přiměřeně pokročilých uživatelů a
jejího sestavení se není třeba obávat. V případě, že používáte běžně přenosné
počítače, je použití Wi-Fi více než vhodnou vymožeností.4 0363/FEL o

Pod pojmem bezdrátové připojení budeme v tomto článku chápat řešení, postavená
na technologickém standardu známém jako Wi-Fi, určeném pro lokální sítě malého
dosahu zhruba do 100 m. Podrobněji tuto problematiku řeší dále zmíněné normy
IEEE 802.11b, IEEE 802.11g a související. Pro úvodní seznámení je možno
navštívit stránky Wi-Fi Aliance na adrese http://www.wi-fi.com.
Standardy a technologie zahrnované pod průmyslové označení Wi-Fi se zaměřují na
řešení tzv. první a druhé vrstvy síťového přenosu. V praxi to znamená, že
jejich cílem je zastoupit provoz po kabelu, nikoliv však nahrazovat či měnit
práci se sítěmi např. typu TCP/IP. Na aplikace či způsob uživatelské práce nemá
zavedení bezdrátové infrastruktury v zásadě žádný významný vliv.Drtivá většina
v tuzemsku dostupných zařízení standardu Wi-Fi jsou homologována podle dvou
norem, 802.11b a 802.11g. Důležitou skutečností je, že novější "géčka" jsou
řádově pětkrát rychlejší a v případě potřeby zpětně kompatibilní s "béčky".
Tuzemská legislativa prozatím nedovoluje použití zařízení podle normy 802.11a,
takže je v zahraničí "výhodně" nenakupujte.
Normovaná maximální rychlost zůstává v reálných sítích spíše těžko dostižným
ideálem. Za běžných situací dochází k poměrně častému rušení signálu a režie
přenosu si také "vyžádá" svůj podíl, a proto je skutečná rychlost většinou
nejvýš poloviční oproti deklarovanému maximu, často bohužel i nižší. Významným
faktorem je zde samozřejmě počet současně připojených uživatelů.Někteří výrobci
a dodavatelé Wi-Fi zařízení
SMC http://www.compexdata.cz/produktsmc.
phtml
D-Link http://www.dlinknet.cz
Edimax http://www.edimax.com
Linksys http://www.linksys.com
Proxim http://www.proxim.com/products/wifi
U.S.Robotics http://www.usr-emea.com/products/p-networking-menu.asp?loc=czec
Belkin http://www.belkin.com
Planet http://www.planet.com.tw
Proximwww.proxim.cz

Zajímavé zdroje na internetu

Wi-Fi Alliance
http://www.wi-fi.com
Zdroj zajímavých materiálů
http://wireless.ittoolbox.com
Stránky s řadou zajímavých článků
http://www.wi-fiplanet.com
Stránky Microsoftu o Wi-Fi ve Windows
http://www.microsoft.com/wifi
Výborné univerzitní stránky s technickými informacemi
http://www.kjhole.com/Standards/Intro.html
Weblog Patricka Zandla
http://www.marigold.cz
Posílení zabezpečení pomocí protokolu 802.1x je dnes jednou z nejsilnějších
možností, jaké máme. Jeho nasazení má své opodstatnění, ovšem díky požadavku na
běžící službu RADIUS pro ověřování klientů je její místo především v
rozsáhlejších, většinou firemních sítích.

Právě proto, že se bezdrátová komunikace přenáší volně prostorem, je těžší ji
uhlídat použijeme-li analogii například ze světa ethernetových sítí, pak musíte
u Wi-Fi zkrátka k zabezpečení přistupovat tak, jako by mohl kdokoliv cizí
přijít a zapojit volně dostupný síťový kabel do svého počítače.
Procesy ověření uživatele a šifrování přenášených dat jsou dvě zcela odlišné
procedury, jež lze realizovat různými postupy. Ochranu přenášených informací
lze zajistit i zcela jinými technologiemi, než jaké nabízí Wi-Fi, třeba
klasickým aplikačním šifrováním (PGP, S/MIME, SSL) či na úrovni síťové vrstvy
(IPSec).
Mechanismus WEP, poskytující základní šifrování pro Wi-Fi, není kdovíjak silným
nástrojem. Zajištění maximální bezpečnosti vyžaduje velké administrátorské
úsilí a v rozsáhlejších sítích se jedná téměř o neřešitelný problém, pokud
nepoužijeme jiné pokročilejší možnosti.
Filtrace MAC či hardwarových adres je metoda, jež může mírně posílit
zabezpečení vaší infrastruktury, ovšem pouze v součinnosti s dalšími postupy.
Sama o sobě je poměrně bezzubým mechanismem, který lze snadno obejít.
Poměrně nový standard WPA dovoluje zásadně posílit bezpečnost bezdrátové
komunikace. Protože již přes rok je součástí např. klientských operačních
systémů Microsoftu, nesmlouvavě žádejte při koupi nových hardwarových komponent
tuto funkcionalitu a důsledně ji ihned při nasazení otestujte, obzvláště s
ohledem na kompatibilitu s dalšími strukturami v síti.












Komentáře

K tomuto článku není připojena žádná diskuze, nebo byla zakázána.