Wi-Fi Wireless LAN

Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wifi) je standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Název Wi-Fi je slovní hříčka vůči Hi-Fi (tzn. analogicky k high fidelity – „vysoká věrnost“ by se dala chápat jako zkratka k wireless fidelity – „bezdrátová věrnost“.

Datové spojení je realizováno pomocí rádiového vysílání v belicenčním pásmu.

Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokalní (např. firemní) sítě LAN. S postupem času však začal být silný potenciál této technologie využíván i k bezdrátovému připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv. hotspotů. Pomalé počáteční rozšiřování Wi-Fi technologie bylo prudce akcelerováno její integrací do mobilní platformy Centrino společnosti Intel. Nejen díky ní se tak Wi-Fi stala standardní součástí mobilních počítačů a i některých mobilních telefonů. Současné široké rozšíření Wi-Fi technologie však přináší i své negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále častých bezpečnostních incidentů.

Částečnou evolucí a pokračováním Wi-Fi je budována bezdrátová technologie WiMAX, která bude sloužit především k poskytování bezdrátového připojení k síti Internet v rámci rozsáhlých městských lokalit.

Zabezpeční sítě

Problém bezpečnosti bezdrátových sítí vyplývá zejména z toho, že jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov, což si mnoho uživatelů neuvědomuje. Dalším problémem je fakt, že bezdrátová zařízení se prodávají s nastavením bez jakéhokoliv zabezpečení, aby po zakoupení fungovala ihned po zapojení do zásuvky.
Nezvaný host se může snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i když druhá strana výkonnou anténu nemá. Navíc většina nejčastěji používaných zabezpečení bezdrátových sítí má jen omezenou účinnost a dá se snadno obejít.
Různé typy zabezpečení se vyvíjely postupně a proto starší zařízení poskytují jen omezené nebo žádné možnosti zabezpečení bezdrátové sítě. Právě kvůli starším zařízením jsou bezdrátové sítě někdy zabezpečeny jen málo. V takových případech je vhodné použít zabezpečení na vyšší síťové vrstvě, například virtuální privátní síť.

Zablokování vysílání SSID

Zablokování vysílání SSID sice porušuje standard, ale je nejjednodušším zabezpečením bezdrátové sítě pomocí jejího zdánlivého skrytí. Klienti síť nezobrazí v seznamu dostupných bezdrátových sítí, protože nepřijímají broadcasty se SSID. Bohužel při připojování klienta k přípojnému bodu je SSID přenášen v otevřené podobě a lze ho tak snadno zachytit. Při zachytávání SSID při asociaci klienta s přípojným bodem se používá i provokací, kdy útočník do bezdrátové sítě vysílá rámce, které přinutí klienty, aby se znovu asociovaly.

Kontrola MAC adres

Přípojný bod bezdrátové sítě má k dispozici seznam MAC adres klientů, kterým je dovoleno se připojit. Útočník se může vydávat za stanici, která je již do bezdrátové sítě připojena pomocí nastavení stejné MAC adresy.

WEP

Šifrování komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy) symetrické šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Díky nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou klíč relativně snadno získat. Pro získání klíčů existují specializované programy.

WPA

Kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které jsou ale dynamicky bezpečným způsobem měněny. K tomu slouží speciální doprovodný program (WPA suplikant). Z tohoto důvodu je možné i starší zařízení WPA vybavit.
Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-Shared Key – obě strany používají stejnou dostatečně dlouhou heslovou frázi) nebo RADIUS (Remote Authentication Dial In User Service – ověřování přihlašovacím jménem a heslem proti RADIUS serveru).

WPA2

Novější WPA2 přináší kvalitnější šifrování (šifra AES), která má však vyšší hardwarové nároky. Pro Windows XP existuje jako samostatný doplněk, který si musí uživatel sám nainstalovat.

Stínění RF signálu

V některých případech je vhodné aplikovat specializovanou povrchovou úpravu na zdi a okenní fólie na místnosti či budovy k výraznému oslabení šíření wifi signálu. Toto zamezí, aby se signál šířil mimo vyhrazený prostor. Tato technika může výrazně zlepšit zabezpečení bezdrátové sítě, protože je pro hackery složité zachytit signál mimo regulované oblasti jakými jsou například parkoviště.

End-to-end šifrování

Nelze namítnout, že Fyzická vrstva a Linková (spojová) vrstva šifrovací metody nejsou dostatečné k ochraně cenných dat, jako jsou hesla a osobní emaily. Tyto technologie šifrují jenom části komunikační cesty, stále však umožňují sledovat provoz, pokud se někomu podaří získat přístup k ethernetové síti. Řešením může být šifrování a oprávnění v aplikační vrstvě za použití technologií, jako je SSL, SSH, GnuPG, PGP a podobné.
Nevýhodou end-to-end metody je, že nemusí pokrýt celkový provoz na síti. Při šifrování na úrovni routeru, nebo VPN, jeden switch šifruje veškerý provoz, dokonce i UDP a DNS vyhledávání. Na druhou stranu při end-to-end šifrování každá chráněná služba musí mít šifrování zapnuto a často také musí být každé připojení zapnuto odděleně. Pro odesílání emailů musí každý příjemce podporovat metodu šifrování, a musí správně vyměnit klíče. Ne všechny webové stránky nabízejí podporu protokolu https, a i v případě, že ano, prohlížeč odešle IP adresy ve formátu prostého textu.

Stavba sítě

Bezdrátová síť může být vybudována různými způsoby v závislosti na požadované funkci. Ve všech případech hraje klíčovou roli identifikátor SSID (Service Set Identifier), což je řetezec až 32 ASCII znaků, kterými se jednotlivé sítě rozlišují. SSID identifikátor je v pravidelných intervalech vysílán jako broadcast, takže všichni potenciální klienti si mohou snadno zobrazit dostupné bezdrátové sítě, ke kterým je možné se připojit (tzv. asociovat se s přístupovým bodem).

Ad-hoc sítě

V ad-hoc síti se navzájem spojují dva klienti, kteří jsou v rovnocenné pozici (peer-to-peer). Vzájemná identifikace probíhá pomocí SSID.

Infrastrukturní sítě

Typická infrastrukturní bezdrátová síť obsahuje jeden nebo více přístupových bodů (AP – Access Point), které vysílají své SSID. Klient si podle názvů sítí vybere, ke které se připojí. Několik přístupových bodů může mít stejný SSID identifikátor a je plně záležitostí klienta, ke kterému se připojí (může se například přepojovat v závislosti na síle signálu).
Přístupové body (AP) v počítačové síti vystupují v několika různých rolích (viz níže), které jsou dány nejen požadavky na strukturu sítě, ale i schopnostmi těchto zařízení. I když jsou schopnosti bezdrátových zařízení snadno rozšiřitelné pomocí změny softwarového vybavení, většina výrobců ji neumožňuje. Naopak stejně hardwarově vybavená zařízení se mohou cenově několikanásobně lišit jen díky zpřístupnění jednoduchého softwarového doplňku.
  • bridge – bezdrátová síť je součástí zbytku sítě
    • bridge odděluje síťový provoz, ale propouští broadcasty
    • není nutné konfigurovat
  • router – bezdrátová síť je samostatnou podsítí
    • router vyžaduje konfiguraci IP adresy a směrování
Pokud je v bezdrátovém zařízení (AP) zabudována bezdrátová část dvakrát, označuje se jako point-to-multipoint, protože dokáže bezdrátový signál přijímat a zároveň ho distribuovat dalším bezdrátovým klientům. Takto jsou například konstruovány bezdrátové přípojné body poskytovatelů internetového připojení (providerů), kteří však někdy kvůli ceně používají dvě samostatná zařízení.
Specifickým typem jsou WDS sítě (Wireless Distribution System), kdy všechny přístupové body vysílají na stejném kanálu, navzájem spolu komunikují a jeví se tak klientům jako jedna síť. Výhodou je, že jen jedno AP musí být připojeno k mateřské síti a jednotlivá AP nemusí mít dvě samostatné bezdrátové části, jako u point-to-multipoint. Nevýhodou je pak snižování propustnosti sítě v závislosti na počtu skoků, než se signál přes jednotlivá AP dostane do mateřské sítě, protože veškerý provoz se šíří po celé bezdrátové síti na stejném kanálu.

Kompatibilita

Kompatibilitu zařízení zaručuje certifikační proces; zařízení, která tuto certifikaci získala, bývají označena logem Wi-Fi aliance.

Logo Wi-Fi aliance

Logo Wi-Fi aliance

Přehled standardů IEEE 802.11

Standard Pásmo [GHz] Maximální rychlost [Mbit/s] Fyzická vrstva
IEEE 802.11 původní 2,4 2 DSSS
IEEE 802.11a 5 54 OFDM
IEEE 802.11b 2,4 11 DSSS
IEEE 802.11g 2,4 54 OFDM
IEEE 802.11n 2,4 nebo 5 600 OFDM, MIMO
IEEE 802.11ac 2,4 nebo 5 1800 OFDM, MIMO

Základní nastavení přístupových bodů Wi-Fi

Přístupové body umožňují nastavení řady parametrů, které ovlivňují fungování bezdrátového spojení (zejména jeho stabilitu, rychlost a dosah). Jmenujme například číslo kanálu, interval vysílání Beacon frame, ... .