Wi-Fi Wireless LAN

Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wifi) je standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Název Wi-Fi je slovní hříčka vůči Hi-Fi (tzn. analogicky k high fidelity – „vysoká věrnost“ by se dala chápat jako zkratka k wireless fidelity – „bezdrátová věrnost“.

Datové spojení je realizováno pomocí rádiového vysílání v bezlicenčním pásmu.

Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokalní (např. firemní) sítě LAN. S postupem času však začal být silný potenciál této technologie využíván i k bezdrátovému připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv. hotspotů. Pomalé počáteční rozšiřování Wi-Fi technologie bylo prudce akcelerováno její integrací do mobilní platformy Centrino společnosti Intel. Nejen díky ní se tak Wi-Fi stala standardní součástí mobilních počítačů a i některých mobilních telefonů. Současné široké rozšíření Wi-Fi technologie však přináší i své negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále častých bezpečnostních incidentů.

Částečnou evolucí a pokračováním Wi-Fi měla být bezdrátová technologie WiMAX, která měla sloužit především k poskytování bezdrátového připojení k síti Internet v rámci rozsáhlých městských lokalit. Nyní je tato technologie prakticky opuštěná.

Zabezpečení sítě

Problém bezpečnosti bezdrátových sítí vyplývá zejména z toho, že jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov, což si mnoho uživatelů neuvědomuje. Dalším problémem je fakt, že bezdrátová zařízení se prodávají s nastavením bez jakéhokoliv zabezpečení, aby po zakoupení fungovala ihned po zapojení do zásuvky.
Nezvaný host se může snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i když druhá strana výkonnou anténu nemá. Navíc většina nejčastěji používaných zabezpečení bezdrátových sítí má jen omezenou účinnost a dá se snadno obejít.
Různé typy zabezpečení se vyvíjely postupně a proto starší zařízení poskytují jen omezené nebo žádné možnosti zabezpečení bezdrátové sítě. Právě kvůli starším zařízením jsou bezdrátové sítě někdy zabezpečeny jen málo. V takových případech je vhodné použít zabezpečení na vyšší síťové vrstvě, například virtuální privátní síť.

Zablokování vysílání SSID

Zablokování vysílání SSID sice porušuje standard, ale je nejjednodušším zabezpečením bezdrátové sítě pomocí jejího zdánlivého skrytí. Klienti síť nezobrazí v seznamu dostupných bezdrátových sítí, protože nepřijímají broadcasty se SSID. Bohužel při připojování klienta k přípojnému bodu je SSID přenášen v otevřené podobě a lze ho tak snadno zachytit. Při zachytávání SSID při asociaci klienta s přípojným bodem se používá i provokací, kdy útočník do bezdrátové sítě vysílá rámce, které přinutí klienty, aby se znovu asociovaly.

Kontrola MAC adres

Přípojný bod bezdrátové sítě má k dispozici seznam MAC adres klientů, kterým je dovoleno se připojit. Útočník se může vydávat za stanici, která je již do bezdrátové sítě připojena pomocí nastavení stejné MAC adresy.

WEP

Šifrování komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy) symetrické šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Díky nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou klíč relativně snadno získat. Pro získání klíčů existují specializované programy.

WPA

Kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které jsou ale dynamicky bezpečným způsobem měněny. K tomu slouží speciální doprovodný program (WPA suplikant). Z tohoto důvodu je možné i starší zařízení WPA vybavit.
Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-Shared Key – obě strany používají stejnou dostatečně dlouhou heslovou frázi) nebo RADIUS (Remote Authentication Dial In User Service – ověřování přihlašovacím jménem a heslem proti RADIUS serveru).

Pro eliminaci slabých míst byl vyvinut protokol TKIP (Temporal Key Integrity Protocol), který dočasně odstranil problém s inicializačními vektory a zavedl dynamickou správu šifrovacích klíčů, které jsou pomocí něj mezi klientem a přístupovým bodem bezpečně přenášeny nejen na začátku komunikace, ale i během ní. Na straně klienta (počítače připojujícího se k bezdrátové síti) je nasazen tzv. suplikant (prosebník), což je univerzální démon běžící v pozadí na hlavním procesoru počítače a zajišťující autentizaci klienta a správu šifrovacích klíčů pomocí TKIP.
Pro starší klientská zařízení (tj. bezdrátové síťové karty v počítačích) bylo možné provést aktualizaci obslužného software (typicky ovladač, firmware a obsluha bezdrátových zařízení v operačním systému spolu s výše zmíněným suplikantem) pro zařízení vyrobená po roce 1999. Na straně přístupových bodů (AP) byla možná aktualizace software pro WPA až pro zařízení vyráběná po roce 2003 (z důvodu větší náročnosti na jejich výpočetní výkon pro implementaci TKIP).

WPA používá 128bitový šifrovací klíč a 48bitový inicializační vektor (označován zkratkou IV), takže i když používá stejnou šifru jako WEP, odolává lépe útokům, jimiž je WEP napadán.
WPA vylepšuje kontrolu integrity dat (pro snadnou možnost vyřazení poškozených rámců). WEP používá algoritmus CRC-32, který je poměrně jednoduchý a navíc není kontrolní součet součástí zašifrovaných dat, takže je možné pozměnit zprávu a kontrolní součet bez znalosti WEP klíče. WPA používá lepší MAC (Message Authentication Code, konkrétně algoritmus nazvaný Michael), která je zde nazývána MIC (Message Integrity Code). MIC metoda použitá ve WPA zahrnuje počítadlo rámců, které chrání před útoky snažícími se zopakovat předchozí odposlouchanou komunikaci.

WPA2

Novější WPA2 přináší kvalitnější šifrování (šifra AES), která má však vyšší hardwarové nároky.
WPA2 implementuje všechny povinné prvky IEEE 802.11i. Konkrétně přidává k TKIP a algoritmu Michael nový algoritmus CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) založený na AES, který je považován za zcela bezpečný. Od 13. března 2006 je certifikace WPA2 povinná pro všechna nová zařízení, jež chtějí být certifikována jako Wi-Fi.

WPA3

V lednu 2018, Wi-Fi Alliance oznámila vydání WPA3 s několika vylepšeními zabezpečení oproti WPA2.
WPA3 přináší i nový oportunistický režim šifrování. Který zajišťuje šifrování mezi přístupovým bodem a klientem, i když se používá otevřená síť bez hesla. Použita je Diffieho–Hellmanova výměna klíčů založená na eliptických křivkách. Režim PSK je nahrazen pomocí SAE (Simultaneous Authentication of Equals), kdy se začne mezi klientem a přístupovým bodem šifrovat výrazně dříve. Toto vede k tomu, že útočník nezíská dostatečné množství vzorků komunikace k "offline" prolomení hesla. Kromě toho WPA3 přináší povinně podepsané managementové rámce, takže útočník nemůže snadno vytvářet vlastní zprávy a deasociovat klienty podle svých potřeb.

Stínění RF signálu

V některých případech je vhodné aplikovat specializovanou povrchovou úpravu na zdi a okenní fólie na místnosti či budovy k výraznému oslabení šíření wifi signálu. Toto zamezí, aby se signál šířil mimo vyhrazený prostor. Tato technika může výrazně zlepšit zabezpečení bezdrátové sítě, protože je pro hackery složité zachytit signál mimo regulované oblasti jakými jsou například parkoviště.

End-to-end šifrování

Nelze namítnout, že Fyzická vrstva a Linková (spojová) vrstva šifrovací metody nejsou dostatečné k ochraně cenných dat, jako jsou hesla a osobní emaily. Tyto technologie šifrují jenom části komunikační cesty, stále však umožňují sledovat provoz, pokud se někomu podaří získat přístup k ethernetové síti. Řešením může být šifrování a oprávnění v aplikační vrstvě za použití technologií, jako je SSL, SSH, GnuPG, PGP a podobné.
Nevýhodou end-to-end metody je, že nemusí pokrýt celkový provoz na síti. Při šifrování na úrovni routeru, nebo VPN, jeden switch šifruje veškerý provoz, dokonce i UDP a DNS vyhledávání. Na druhou stranu při end-to-end šifrování každá chráněná služba musí mít šifrování zapnuto a často také musí být každé připojení zapnuto odděleně. Pro odesílání emailů musí každý příjemce podporovat metodu šifrování, a musí správně vyměnit klíče. Ne všechny webové stránky nabízejí podporu protokolu https, a i v případě, že ano, prohlížeč odešle IP adresy ve formátu prostého textu.

Stavba sítě

Bezdrátová síť může být vybudována různými způsoby v závislosti na požadované funkci. Ve všech případech hraje klíčovou roli identifikátor SSID (Service Set Identifier), což je řetezec až 32 ASCII znaků, kterými se jednotlivé sítě rozlišují. SSID identifikátor je v pravidelných intervalech vysílán jako broadcast, takže všichni potenciální klienti si mohou snadno zobrazit dostupné bezdrátové sítě, ke kterým je možné se připojit (tzv. asociovat se s přístupovým bodem).

Ad-hoc sítě

V ad-hoc síti se navzájem spojují dva klienti, kteří jsou v rovnocenné pozici (peer-to-peer). Vzájemná identifikace probíhá pomocí SSID.

Infrastrukturní sítě

Typická infrastrukturní bezdrátová síť obsahuje jeden nebo více přístupových bodů (AP – Access Point), které vysílají své SSID. Klient si podle názvů sítí vybere, ke které se připojí. Několik přístupových bodů může mít stejný SSID identifikátor a je plně záležitostí klienta, ke kterému se připojí (může se například přepojovat v závislosti na síle signálu).
Přístupové body (AP) v počítačové síti vystupují v několika různých rolích (viz níže), které jsou dány nejen požadavky na strukturu sítě, ale i schopnostmi těchto zařízení. I když jsou schopnosti bezdrátových zařízení snadno rozšiřitelné pomocí změny softwarového vybavení, většina výrobců ji neumožňuje. Naopak stejně hardwarově vybavená zařízení se mohou cenově několikanásobně lišit jen díky zpřístupnění jednoduchého softwarového doplňku.
  • bridge – bezdrátová síť je součástí zbytku sítě
    • bridge odděluje síťový provoz, ale propouští broadcasty
    • není nutné konfigurovat
  • router – bezdrátová síť je samostatnou podsítí
    • router vyžaduje konfiguraci IP adresy a směrování
Pokud je v bezdrátovém zařízení (AP) zabudována bezdrátová část dvakrát, označuje se jako point-to-multipoint, protože dokáže bezdrátový signál přijímat a zároveň ho distribuovat dalším bezdrátovým klientům. Takto jsou například konstruovány bezdrátové přípojné body poskytovatelů internetového připojení (providerů), kteří však někdy kvůli ceně používají dvě samostatná zařízení.
Specifickým typem jsou WDS sítě (Wireless Distribution System), kdy všechny přístupové body vysílají na stejném kanálu, navzájem spolu komunikují a jeví se tak klientům jako jedna síť. Výhodou je, že jen jedno AP musí být připojeno k mateřské síti a jednotlivá AP nemusí mít dvě samostatné bezdrátové části, jako u point-to-multipoint. Nevýhodou je pak snižování propustnosti sítě v závislosti na počtu skoků, než se signál přes jednotlivá AP dostane do mateřské sítě, protože veškerý provoz se šíří po celé bezdrátové síti na stejném kanálu.

Kompatibilita

Kompatibilitu zařízení zaručuje certifikační proces; zařízení, která tuto certifikaci získala, bývají označena logem Wi-Fi aliance.

Logo Wi-Fi aliance

Logo Wi-Fi aliance

Přehled standardů IEEE 802.11

Standard (Označení) Pásmo [GHz] Maximální rychlost [Mbit/s] Fyzická vrstva
IEEE 802.11 původní 2,4 2 DSSS
IEEE 802.11a (Wi-Fi 1) 5 54 OFDM
IEEE 802.11b (Wi-Fi 2) 2,4 11 DSSS
IEEE 802.11g (Wi-Fi 3) 2,4 54 OFDM
IEEE 802.11n (Wi-Fi 4) 2,4 nebo 5 600 OFDM, MIMO
IEEE 802.11ac (Wi-Fi 5) 5 3 466.8 OFDM, MU-MIMO
IEEE 802.11ad 60 6 757 OFDM, MIMO
IEEE 802.11ax (Wi-Fi 6) 2,4 nebo 5 nebo 6 10 530 OFDMA, MU-MIMO

Základní nastavení přístupových bodů Wi-Fi

Přístupové body umožňují nastavení řady parametrů, které ovlivňují fungování bezdrátového spojení (zejména jeho stabilitu, rychlost a dosah). Jmenujme například číslo kanálu, interval vysílání Beacon frame, ... .