Безпровідна мережа Wi-Fi, її будування

Якщо для організації хот-спота або безпровідної мережі в малому офісі достатньо встановити одну безпровідну точку доступу, то при створенні крупних корпоративних мереж з великою кількістю клієнтів і базових станцій виникає необхідність у використанні більш складного обладнання.

Перераховані проблеми легко розв’язуються використанням безпровідних комутаторів або маршрутизаторів. В мережі, де встановлюється безпровідний комутатор, функції шифрування і аутентифікації переходять від точок доступу до комутатора і адмініструються централізовано. У підсумку задача точки доступу обмежується транзитом даних до користувача і від нього.

Ще одна важлива перевага мережі на базі безпровідного комутатора у тому, що користувач, знаходячись у ній, при переході від однієї точки доступу до іншої не втрачає з’єднання з мережею і аутентифікацію заново не проходить.

Внаслідок того, що більша частина точок доступу підтримує режим живлення PoE (Power over Ethernet), безпровідний комутатор, який може стати для них джерелом живлення, здатний виконувати ще й функції відслідковування ділянок мережі, що відмовили. Таким чином, він компенсує несправність ділянки мережі розширенням числа користувачів точок доступу шляхом збільшення їх потужності. В ідеалі безпровідний комутатор може ефективно розподіляти ще і завантаження каналів, виходячи з інформації про кількість користувачів, пропонуючи більш широку пропускну здатність сегментам мережі, де кількість користувачів у даний момент більша.

Для організації хот-спота або безпровідної мережі в малому офісі достатньо встановити одну безпровідну точку доступу. На рисунку 3.1 зображено архітектуру мережі з однією точкою доступу (АР).

Рисунок 3.1 – Архітектура мережі з однією точкою доступу

При створенні крупних корпоративних мереж з великою кількістю клієнтів і базових станцій виникає необхідність у використанні більш складного обладнання [3,9]. Кількість точок доступу необхідно збільшувати, для того щоб забезпечувати швидкість передачі даних не нижче 1 Мбіт/с. На рисунку 3.2 зображено архітектуру мережі з “n” точками доступу.

Рисунок 3.2 – Архітектура мережі з “n” точками доступу

3.1 Типи з'єднань Wi-Fi мереж

Існують такі типи та різновиди з'єднань[1,8]:

1) З'єднання Ad-Hoc (точка-точка).

Wi-Fi мережа типу Ad-hoc аналогічна звичайній дротяній локальній мережі з топологією "лінія", тобто одноранговій мережі, в якій перший комп'ютер сполучений з другим, другий з третім і так далі. Для організації з'єднання безпровідної мережі такого типу застосовуються вбудовані або встановлювані адаптери Wi-Fi, наявність якого необхідна кожному вхідному в мережу пристрою.

2) Інфраструктурне з'єднання (Infrastructure Mode).

У режимі Infrastructure Mode станції взаємодіють одна з одною не напряму, а через точку доступу (Access Point), яка виконує в безпровідній мережі роль своєрідного концентратора (аналогічно тому, як це відбувається у традиційних кабельних мережах).

3) Клієнтська точка.

У цьому режимі точка доступу працює як клієнт і може з'єднуватися з точкою доступу, яка працює в інфраструктурному режимі. Але до неї можна підключити тільки одну МАС-адресу. Тут завдання полягає в тому, щоб об'єднати тільки два комп'ютери. Два Wi-Fi-адаптера можуть працювати один з одним безпосередньо без центральних антен.

4) Мостове з'єднання.

Комп'ютери об'єднані в дротяну мережу. До кожної групи мереж підключені точки доступу, які з'єднуються один з одним по радіо каналу. Цей режим призначений для об'єднання двох і більше дротяних мереж. Підключення бездротових клієнтів до точки доступу, що працює в режимі моста неможливо.

5) Репітер.

Точка доступу просто розширює радіус дії іншої точки доступу, що працює в інфраструктурному режимі.

Чи безпечний Wi-Fi? Як і будь-яка комп'ютерна мережа, Wi-Fi – є джерелом підвищеного ризику несанкціонованого доступу. Крім того, проникнути в бездротову мережу значно простіше, ніж в звичайну, — не потрібно підключатися до проводів, досить опинитися в зоні прийому сигналу.

Бездротові мережі відрізняються від кабельних тільки на перших двох - фізичному (Phy) і частково канальному (MAC) - рівнях семирівневої моделі взаємодії відкритих систем. Вищі рівні реалізуються в дротяних мережах, а реальна безпека мереж забезпечується саме на цих рівнях. Тому різниця в безпеці тих і інших мереж зводиться до різниці в безпеці фізичного і MAC - рівнів. Якщо налаштуванню мережі не приділити належної уваги зловмисник може:

-  дістати доступ до ресурсів і дисків користувачів Wi-Fi-мережі, а через неї і до - ресурсів LAN;

-  підслуховувати трафік, витягувати з нього конфіденційну інформацію;

-  спотворювати інформацію, що проходить в мережі;

-  скористатися інтернет-трафіком;

-  атакувати ПК користувачів і сервери мережі;

-  упроваджувати підроблені точки доступу;

-  розсилати спам, і здійснювати інші протиправні дії від імені вашої мережі.

3.2 Безпека передачі даних в мережах Wi-Fi

Для захисту мереж 802.11 передбачений комплекс заходів безпеки передачі даних.

На ранньому етапі використання Wi-Fi мереж таким був пароль SSID (Server Set ID) для доступу в локальну мережу, але з часом виявилось, що дана технологія не може забезпечити надійний захист.

Головним же захистом довгий час було використання цифрових ключів шифрування потоків даних за допомогою функції Wired Equivalent Privacy (WEP). Самі ключі вдають із себе звичайні паролі з довжиною від 5 до 13 символів ASCII. Дані шифруються ключем з розрядністю від 40 до 104 бітів. Але це не цілий ключ, а тільки його статична складова. Для посилення захисту застосовується так званий вектор ініціалізації Initialization Vector (IV), який призначений для рандомізації додаткової частини ключа, що забезпечує різні варіації шифру для різних пакетів даних. Даний вектор є 24-бітовим. Таким чином, в результаті ми отримуємо загальне шифрування з розрядністю від 64 (40+24) до 128 (104+24) бітів, в результаті при шифруванні ми оперуємо і постійними, і випадково підібраними символами.

Як показав час, WEP теж виявилася не найнадійнішою технологією захисту. IEEE 802.1X — це новий стандарт, який виявився ключовим для розвитку індустрії бездротових мереж в цілому. За основу узято виправлення недоліків технологій безпеки, вживаних в 802.11, зокрема, можливість злому WEP, залежність від технологій виробника і тому подібне. Стандарт IEEE 802.1X використовує варіант динамічних 128-розрядних ключів шифрування, тобто ключі, які періодично змінюються в часі. Таким чином, користувачі мережі працюють сеансами, після закінчення яких їм присилається новий ключ. Всі ключі є 128-розрядними за замовчанням.

В кінці 2003 року був упроваджений стандарт Wi-Fi Protected Access (WPA), який суміщає переваги динамічного оновлення ключів IEEE 802.1X з кодуванням протоколу інтеграції тимчасового ключа TKIP, протоколом розширеної аутентифікації (EAP) і технологією перевірки цілісності повідомлень MIC. WPA — це тимчасовий стандарт, про який домовилися виробники устаткування, поки не набув чинності IEEE 802.11i. По суті, WPA = 802.1X + EAP + TKIP + MIC, де:

WPA — технологія захищеного доступу до бездротових мереж

EAP — протокол розширеної аутентифікації (Extensible Authentication Protocol)

TKIP — протокол інтеграції тимчасового ключа (Temporal Key Integrity Protocol)

MIC — технологія перевірки цілісності повідомлень (Message Integrity Check).

Стандарт TKIP використовує автоматично підібрані 128-бітові ключі, які створюються непередбачуваним способом і загальне число варіацій яких досягає 500 мільярдів. Складна ієрархічна система алгоритму підбору ключів і динамічна їх заміна через кожних 10 кбайт (10 тис. переданих пакетів) роблять систему максимально захищеною.

Від зовнішнього проникнення і зміни інформації також обороняє технологія перевірки цілісності повідомлень (Message Integrity Check). Достатньо складний математичний алгоритм дозволяє звіряти відправлені в одній точці і отримані в іншій дані. Якщо відмічені зміни і результат порівняння не сходиться, такі дані вважаються помилковими і викидаються.

Таким чином, на сьогоднішній день у звичайних користувачів і адміністраторів мереж є всі необхідні засоби для надійного захисту Wi-Fi, і за відсутності явних помилок завжди можна забезпечити рівень безпеки, відповідний цінності інформації, що знаходиться в такій мережі.

Сьогодні бездротову мережу вважають захищеною, якщо в ній функціонують три основних складових системи безпеки: аутентифікація користувача, конфіденційність і цілісність передачі даних. Для отримання достатнього рівня безпеки необхідно скористатися рядом правил при організації і настройці приватної Wi-Fi-мережі:

1)  шифрувати дані шляхом використання різних систем. Максимальний рівень безпеки забезпечить застосування VPN;

2)  використовувати протокол 802.1X;

3)  заборонити доступ до налаштувань точки доступу за допомогою бездротового підключення;

4)  управляти доступом клієнтів по MAC-адресам;

5)  заборонити трансляцію в ефір ідентифікатора SSID;

6)  розташовувати антени якнайдалі від вікон, зовнішніх стін будівлі, а також обмежувати потужність радіовипромінювання;

7)  використовувати максимально довгі ключі;

8)  змінювати статичні ключі і паролі;

9)  використовувати метод WEP-аутентификации "Shared Key" оскільки клієнтові для входу в мережу необхідно буде знати WEP-ключ;

10)  користуватися складним паролем для доступу до налаштувань точки доступу;

11)  по можливості не використовувати в бездротових мережах протокол TCP/IP для організації папок, файлів і принтерів загального доступу. Організація ресурсів, що розділяються засобами NETBEUI, в даному випадку безпечніша;

12)  не вирішувати гостьовий доступ до ресурсів загального доступу, використовувати довгі складні паролі;

13)  не використовувати в бездротовій мережі DHCP. Вручну розподілити статичні IP-адреса між легітимними клієнтами безпечніше;

Так само загрозу мережевій безпеці можуть представляти природні явища і технічні пристрої, проте тільки люди (незадоволені звільнені службовці, хакери, конкуренти) проникають в мережу для навмисного отримання або знищення інформації і саме вони представляють найбільшу загрозу.

4. СТРУКТУРА МОБІЛЬНОГО АПАРАТУ СТАНДАРТУ WI-Fi

Сучасний рівень, на який виходить мобільний телефон, смартфон, комунікатор може вже порівнятись з персональним комп’ютером, ноутбуком та іншими потужними електронними пристроями. В такому апараті обов’язково знайдеться місце і для Wi-Fi модуля. Wi-Fi в найближчому майбутньому стане стандартною функцією для будь-якого мобільного телефону, подібно до функцій SMS, GSM, GPRS, EDGE.

Мобільні апарати стандарту IEEE 802.11b/g мають подібну структуру, за функціональним призначенням, з будь-яким пристроєм рухомого зв’язку. На рисунку 4.1 зображено структуру передавальної частини адаптеру IEEE 802.11b/g[10].

Рисунок 4.1 – Структура передавальної частини мобільного апарату стандарту IEEE 802.11

Згідно даної структури, сигнал надходить на контролер USB (К USB) від пристрою шиною USB (Universal Serial Bus) і поступає на блок ПОС (процесор обробки сигналів), де здійснюється цифрова обробка сигналів (ЦОС). Далі сигнал надходить у радіокомутатор (РК), який комутує частотні канали. Керувальний пристрій (КП), в загальному, виконує функцію керування та слідкує за роботою РК та антенного комутатора (АК). Далі, в блоці ПКБ (попередній кодер Баркера) відбувається кодування на основі коду Баркера. Синтезатор частот (СЧ) є джерелом коливань носійної частоти і утворює дуплексне розділення по частоті. У блоці КФМ відбувається квадратурна фазова модуляція (КФМ). Завершується перетворення сигналів підсиленням сигналу у вихідному підсилювачі потужності (ВПП). Ці сигнали надходять до антенного комутатора (АК), де вони комутуються і, проходячи через смуговий фільтр, поступають у ефір на частотах 2,4 – 2,483 ГГц.

На рисунку 4.2 зображено структуру приймальної частини адаптера IEEE 802.11.

У приймальній частині виконується зворотне перетворення сигналів. Сигнали, які надходять з ефіру на приймальний антенний підсилювач (АП), де здійснюється попереднє підсилення сигналу, поступають у смуговий фільтр зі смугою 2,4 – 2,483 ГГц.

Рисунок 4.2 – Структура приймальної частини мобільного апарату стандарту IEEE 802.11

Послабленні сигнали спочатку підсилюються високочастотним підсилювачем (ВПЧ). У першому і другому трактах проміжної частоти (ПЧ) відбувається перенесення сигналів з високочастотного діапазону на проміжні частоти з підсиленням. Супергетеродинна схема приймача з вхідним підсилювачем та двійним перетворенням частоти забезпечує високу чутливість та вибірність за сусіднім і дзеркальним каналами. Далі отриманий сигнал демодулюється в демодуляторі (ДМ) та декодується відповідно у квадратурно-фазовому демодуляторі та у декодері Баркера (ДК). Отримані сигнали підлягають обробці за алгоритмами ЦОС і через контролер USB (К USB) надходять до пристрою абонента[10].

Звичайно, як і будь-якому пристрою оснащеним Wi-Fi модулем, необхідною умовою використання Wi-Fi на мобільному телефоні є точка доступу. Якщо ж говорити про кількість хот-спотів у світі, то цифри надзвичайно відрізняються і залежать часто навіть не від рівня життя тієї чи іншої країни, а від рівня її відвідуваності іноземцями. На сьогоднішній день у світі налічується майже 200 тисяч «гарячих плям», в зоні дії яких ви з упевненістю зможете скористатися своїм мобільним Wi-Fi модулем. Лідером за кількістю хот-спотів в світі є Лондон і Токіо. Тут їх кількість вже кілька років тому перевищила 1500, в Москві більше 500. А ось в Україні всього приблизно нараховується 500-600 хот-спотів. Проте, зростання кількості хот-спотів настільки велике, що ці дані вже завтра можуть стати неактуальними. Варто зауважити, що мова тут йшла про загальну кількість хот-спотів, а не тільки про точки доступу для мобільної мережі Wi-Fi.

Однак у контексті практично будь-якої теми існує і так звані «темні» сторони. Наприклад, користувачі смартфонів і комунікаторів неодноразово заявляли про те, що використання Wi-Fi модуля в їх апараті надзвичайно швидко «з'їдає» заряд акумуляторної батареї. Причиною тому стало недосконалість самих модулів, особливо це стосується тих мобільних пристроїв, що працюють на базі операційної системи Windows Mobile. На показники енергоспоживання вбудованого Wi-Fi в телефоні впливає також функціональна спрямованість. Наприклад, Nokia запропонувала найостанніші моделі комунікаторів, в які вбудовані Wi-Fi чіпи, що кардинально відрізняються від «архітектури» традиційних модулів. Це значно знижує показник енергоспоживання.

Другий момент негативного сприйняття мобільного Wi-Fi - вигода. Те, що вигідно одній стороні, часом зовсім невигідно іншій. Аналогічна ситуація і з впровадженням мобільного Wi-Fi. Склалася ситуація, коли стільникові оператори стали побоюватися того, що мобільні телефони з підтримкою Wi-Fi знизять доходи від голосового зв'язку і передачі даних внаслідок того, що користувачі стануть менше користуватися стільниковими мережами. У цих побоюваннях, безумовно, є раціональне зерно Але ринок диктує свої умови, і оператори змушені йти на зустріч своїм клієнтам. До того ж за законом збереження грошових ресурсів - вивільнення вільних фінансів в одній сфері призводять до їх притоку в іншій.