Методы передачи сигнала Wi-Fi

Размещено на http://www.allbest.ru

Методы передачи сигнала Wi-Fi

Первая спецификация Wi-Fi - 802.11 предусматривала передачу сигнала на выбор тремя различными способами. В двух из них использовались радиочастоты в диапазоне от 2400 МГц до 2483 МГц, в частности, один основывался на методе частотных скачков FHSS (Frequency Hopping Spread Spectrum), а другой - на методе прямой последовательности DSSS (Direct Sequence Spread Spectrum). В третьем же задействовался инфракрасный диапазон, причем между точкой доступа и клиентами не требовалось прямой видимости, так как сигнал должен был передаваться отраженным от потолка! wi-fi беспроводной радиоэфир шифрование

Еще одной особенностью Wi-Fi является то, что весь спектр используемых частот условно разделяется на несколько каналов (узких полос частот), частично перекрывающих друг друга. Однако для нормальной работы сети необходимо, чтобы разные каналы не использовали общие частоты, поэтому одновременно в одном месте может работать не более трех каналов в сети 802.11b/g и не более восьми каналов в сети 802.11a.

Кстати, далеко не во всех странах разрешается использовать Wi-Fi на безлицензионной основе - иногда для установки Wi-Fi точки требуется получить соответствующее разрешение, а в некоторых странах и вовсе запрещается занимать определенные частоты, поэтому для этих стран выпускается оборудование Wi-Fi с урезанным диапазоном.

Для всех Wi-Fi спецификаций 802.11 максимальное расстояние уверенного приема сигнала находится в районе 300-400 метров для открытых помещений, и 90 метров - для закрытых. Данное ограничение не является строгим, и при использовании направленных антенн, в случае прямой видимости, возможно поймать сигнал на расстоянии порядка нескольких километров. Впрочем, не стоит рассчитывать на то, что максимальная скорость передачи данных будет обеспечиваться на любом расстоянии - при отдалении от точки доступа пропускная способность снижается пропорционально расстоянию. Кстати, электромагнитные волны в диапазоне 2.4 ГГц весьма болезненно реагируют на прохождение через различные препятствия, поэтому в сильно заставленных помещениях с большим количеством перегородок зона охвата точек доступа резко снижается. В диапазоне 5 ГГц дела обстоят заметно хуже, поэтому для покрытия того же помещения приходится или увеличивать количество точек доступа, или стараться подбирать им оптимальное размещение, например, ближе к потолку, а также оборудовать качественными антеннами. Еще одним фактором, мешающим работе беспроводной сети Wi-Fi, может оказаться другое оборудование, работающее в том же диапазоне частот. Самым ярким примером служат микроволновые печи, которые излучают электромагнитные волны как раз с частотой порядка 2.4 ГГц - на которой и работает большинство приёмо-передатчиков Wi-Fi сетей (802.11a и 802.11b). 

Wi-Fi и телефоны сотовой связи

Некоторые считают, что Wi-Fi и подобные ему технологии со временем могут заменить сотовые сети, такие как GSM. Препятствиями для такого развития событий в ближайшем будущем являются отсутствие роуминга и возможностей аутентификации (см. 802.1x, SIM-карты и RADIUS), ограниченность частотного диапазона и сильно ограниченный радиус действия Wi-Fi. Более правильным выглядит сравнение Wi-Fi с другими стандартами сотовых сетей, таких как UMTS или CDMA.

В настоящий момент непосредственное сравнение Wi-Fi и сотовых сетей нецелесообразно. Телефоны, использующие только Wi-Fi, имеют очень ограниченный радиус действия, поэтому развёртывание таких сетей обходится очень дорого. Тем не менее, развёртывание таких сетей может быть наилучшим решением для локального использования, например, в корпоративных сетях. Однако устройства, поддерживающие несколько стандартов, могут занять значительную долю рынка.

Скорости

Скорость подключения зависит от соотношения сигнал/шум (SNR). Если, скажем, 54 Мбит/с требует SNR в 25 dB, а 2 Мбит/с требует 6 dB, то кадры, отправленные на скорости 2 Мбит/с «пролетят» дальше, т.е. их можно декодировать с большего расстояния, чем более скоростные кадры. Также все служебные кадры , а также бродкасты, отправляются на самой нижней скорости. Это означает, что сеть будет видно на значительном расстоянии. Если в сети, где все работают на определённой скорости (офис территориально ограничен и скорости подключения у пользователей примерно одинаковые) появляется подключение на 1-2 Мбит/с - скорее всего это нарушитель. Также можно отключить низкие скорости, тем самым повысив скорость передачи информации в сети.

Интерференция

Качество работы Wi-Fi сети как радиоэфира зависит от многих факторов. Один из них - интерференция радиосигналов, которая может значительно снизить пропускную способность сети и количество пользователей, вплоть до полной невозможности использования сети. В качестве источника может выступать любое устройство, излучающее на той же частоте сигнал достаточной мощности. Это могут быть как соседние точки доступа, так и микроволновки. Эту особенность могут  также использовать злоумышленники в качестве атаки отказа в обслуживании, или для подготовки атаки "человек посередине", заглушая легитимные точки доступа и оставляя свою с таким же SSID.

Связь

Существуют и другие особенности беспроводных сетей помимо интерференции. Неправильно настроенный клиент или сбоящая антенна могут ухудшить качество обслуживания всех остальных пользователей. Или вопрос стабильности связи. Не только сигнал точки доступа должен достичь клиента, но и сигнал клиента должен достичь точки. Обычно точки мощнее, и чтобы добиться симметрии, возможно придётся снизить мощность сигнала. Для 5 ГГц следует помнить, что надежно работают только 4 канала: 36/40/44/48 (для Европы, для США есть еще 5). На остальных включен режим сосуществования с радарами (DFS). В итоге, связь может периодически пропадать.

Методы аутентификации

Аутентификация - выдача определённых прав доступа абоненту на основе имеющегося у него идентификатора.

1. Открытая аутентификация (англ. Open Authentication):

Рабочая станция делает запрос аутентификации, в котором присутствует только MAC-адрес клиента. Точка доступа отвечает либо отказом, либо подтверждением аутентификации. Решение принимается на основе MAC-фильтрации, т.е. по сути это защита беспроводной Wi-Fi сети на основе ограничения доступа, что не безопасно.

Используемые шифры: без шифрования, статический WEP, CKIP.

2. Аутентификация с общим ключом (англ. Shared Key Authentication):

Необходимо настроить статический ключ шифрования алгоритма WEP (англ. Wired Equivalent Privacy). Клиент делает запрос у точки доступа на аутентификацию, на что получает подтверждение, которое содержит 128 байт случайной информации. Станция шифрует полученные данные алгоритмом WEP (проводится побитовое сложение по модулю 2 данных сообщения с последовательностью ключа) и отправляет зашифрованный текст вместе с запросом на ассоциацию. Точка доступа расшифровывает текст и сравнивает с исходными данными. В случае совпадения отсылается подтверждение ассоциации, и клиент считается подключенным к сети.

Схема аутентификации с общим ключом уязвима к атакам «Man in the middle». Алгоритм шифрования WEP - это простой XOR ключевой последовательности с полезной информацией, следовательно, прослушав трафик между станцией и точкой доступа, можно восстановить часть ключа.

Используемые шифры: без шифрования, динамический WEP, CKIP.

3. Аутентификация по MAC-адресу:

Данный метод не предусмотрен в IEEE 802.11, но поддерживается большинством производителей оборудования, например D-Link и Cisco. Происходит сравнение МАС-адреса клиента с таблицей разрешённых MAC-адресов, хранящейся на точке доступа, либо используется внешний сервер аутентификации. Используется как дополнительная мера защиты.

IEEE начал разработки нового стандарта IEEE 802.11i, но из-за трудностей утверждения, организация WECA (англ. Wi-Fi Alliance) совместно с IEEE анонсировали стандарт WPA (англ. Wi-Fi Protected Access). В WPA используется TKIP (англ. Temporal Key Integrity Protocol, протокол проверки целостности ключа), который использует усовершенствованный способ управления ключами и покадровое изменение ключа.

4. Wi-Fi Protected Access (WPA)

После первых успешных атак на WEP было принято разработать новый стандарт 801.11i. Но до него был выпущен “промежуточный” стандарт WPA, который включал в себя новую систему аутентификации на базе 801.1x и новый метод шифрования TKIP. Существуют два варианта аутентификации: с помощью RADIUS сервера(WPA-Enterprise) и с помощью предустановленного ключа (WPA-PSK)

Используемые шифры: TKIP (стандарт), AES-CCMP (расширение), WEP (в качестве обратной совместимости).

5. WI-FI Protected Access2 (WPA2, 801.11I)

WPA2 или стандарт 801.11i - это финальный вариант стандарта безопасности беспроводных сетей. В качестве основного шифра был выбран стойкий блочный шифр AES. Система аутентификации по сравнению с WPA претерпела минимальные изменения. Также как и в WPA, в WPA2 есть два варианта аутентификации WPA2-Enterprise с аутентификацией на RADIUS сервере и WPA2-PSK с предустановленным ключом.

Используемые шифры: AES-CCMP (стандарт), TKIP (в качестве обратной совместимости).

Методы шифрования

WEP-шифрование (Wired Equivalent Privacy)

Аналог шифрования трафика в проводных сетях. Используется симметричный потоковый шифр RC4 (англ. Rivest Cipher 4), который достаточно быстро функционирует. На сегодняшний день WEP и RC4 не считаются криптостойкими. Есть два основных протокола WEP:

· 40-битный WEP (длина ключа 64 бита, 24 из которых - это вектор инициализации, который передается открытым текстом);

· 104-битный WEP (длина ключа 128 бит, 24 из которых - это тоже вектор инициализации); Вектор инициализации используется алгоритмом RC4. Увеличение длины ключа не приводит к увеличению надежности алгоритма.

Основные недостатки:

· использование для шифрования непосредственно пароля, введенного пользователем;

· недостаточная длина ключа шифрования;

· использование функции CRC32 для контроля целостности пакетов;

· повторное использование векторов инициализации и др. ^[5]

TKIP-шифрование (англ. Temporal Key Integrity Protocol)

Используется тот же симметричный потоковый шифр RC4, но является более криптостойким. Вектор инициализации составляет 48 бит. Учтены основные атаки на WEP. Используется протокол Message Integrity Check для проверки целостности сообщений, который блокирует станцию на 60 секунд, если были посланы в течение 60 секунд два сообщения не прошедших проверку целостности. С учетом всех доработок и усовершенствований TKIP все равно не считается криптостойким.

WPA-шифрование

Вместо уязвимого RC4, используется криптостойкий алгоритм шифрования AES (англ. Advanced Encryption Standard). Возможно использование EAP (англ.Extensible Authentication Protocol, расширяемый протокол аутентификации). Есть два режима:

· Pre-Shared Key (WPA-PSK) - каждый узел вводит пароль для доступа к сети;

· Enterprise - проверка осуществляется серверами RADIUS;

WPA2-шифрование (IEEE 802.11i)

Принят в 2004 году, с 2006 года WPA2 должно поддерживать все выпускаемое Wi-Fi оборудование. В данном протоколе применяется RSN (англ. Robust Security Network, сеть с повышенной безопасностью). Изначально в WPA2 используется протокол CCMP (англ. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счетчика). Основой является алгоритм AES. Для совместимости со старым оборудованием имеется поддержка TKIP и EAP (англ. Extensible Authentication Protocol) с некоторыми его дополнениями. Как и в WPA есть два режима работы: Pre-Shared Key и Enterprise.

WPA и WPA2 имеют следующие преимущества:

· ключи шифрования генерируются во время соединения, а не распределяются статически.

· для контроля целостности передаваемых сообщений используется алгоритм Michael.

· используется вектор инициализации существенно большей длины. ^[6]

· Назначение маски подсети[

· Маска назначается по следующей схеме  (для сетей класса C), где  -- количество компьютеров в подсети + 2,^[1] округленное до ближайшей большей степени двойки (эта формула справедлива для  ? 254, для  > 254 будет другая формула).

· Пример: В некой подсети класса C есть 30 компьютеров, маска для такой сети вычисляется следующим образом:

28 - 32 = 224 (0E0h) < = > 255.255.255.224 (0xFFFFFFE0)

· Структура 

IP-адрес состоит из четырех частей, записанных в виде десятичных чисел с точками (например, 192.168.1.1). Каждую из этих четырех частей называют октетом. Октет представляет собой восемь двоичных цифр (например, 11000000, или 192 в десятичном виде).
Таким образом, каждый октет может принимать в двоичном виде значения от 00000000 до 11111111, или от 0 до 255 в десятичном виде.
На следующем рисунке показан пример IP-адреса, в котором первые три октета (192.168.1) представляют собой номер сети, а четвертый октет (16) - идентификатор хоста.

Маска подсети используется для определения того, какие биты являются частью номера сети, а какие - частью идентификатора хоста (для этого применяется логическая операция конъюнкции - "И").

Маска подсети включает в себя 32 бита. Если бит в маске подсети равен "1", то соответствующий бит IP-адреса является частью номера сети. Если бит в маске подсети равен "0", то соответствующий бит IP-адреса является частью идентификатора хоста.

На следующем рисунке показана маска подсети, выделяющая номер сети (полужирным шрифтом) и идентификатор хоста в IP-адресе (который в десятичном виде записывается как 192.168.1.2).

Зависимость маски сети от мак адреса

Как уже говорилось ранее, IP-адрес состоит из 4-х байт и обычно представлен в формате наподобие 260.260.260.5; однако, этот адрес сам по себе означает не так уже и много. Для указания сегмента адреса, определяющего сеть, необходима маска подсети. Она позволяет выделить из IP-адреса идентификатор сети и идентификатор компьютера, расположенный в этой сети.

Маска подсети используется при организации сетевого взаимодействия двух компьютеров. Если оба компьютера расположены в одной подсети, то компьютер А может “общаться” непосредственно с компьютером B. Если компьютер B располагаться в другой подсети, то компьютер А должен использовать шлюз для связи с компьютером B. Для определения наличия компьютера B в локальной подсети, компьютеру А понадобится маска подсети

Если в данном случае компьютер А пытается связаться с компьютером В, то окажется, что обе системы расположены в подсети 200.200.200 и могут взаимодействовать друг с другом без посредников. Если же компьютер А станет подключаться к компьютеру С, выяснится, что обе системы расположены в разных подсетях -- 200.200.200 и 200.200.199, поэтому компьютеру А для отправки пакетов данных системе C понадобится шлюз.

Интернет шлюз - это как правило, программное обеспечение способное обеспечить передачу трафика из одной сети в другую. Например, из сети локальной в глобальную, и наоборот (в определённой мере). Это программное обеспечение просто конвертирует пакеты одной сети и отправляет их в другую от своего имени. В состав интернет шлюза может входить  шейпер, межсетевой экран, прокси-сервер, почтовый сервер, антивирус, фаерволл и многие другие инструменты. Программный интернет шлюз может быть в реализации отдельного приложения или в реализации операционной системы с нужным программным обеспечением. Интернет шлюз, так же может быть в аппаратной реализации, то есть устройство с определённой прошивкой /ОС, ПО которого и выполняет функции шлюза. Под понятием интернет шлюза, так же понимают IP адрес интернет шлюза.

Стандарты WiFi

Стандарт 802.11b был первым сертифицированным стандартом Wi-Fi. Все устройства, совместимые с 801.11b, должны иметь соответствующую наклейку с надписью Wi-Fi. Основные характеристики 801.11b выглядят следующим образом:

§ скорость передачи данных до 11 Мбит/с;

§ радиус действия до 50 м;

§ частота 2,4 ГГц (совпадает с частотой некоторых радиотелефонов и микроволновых печей);

§ устройства 802.11b обладают наименьшей, по сравнению с другими устройствами Wi-Fi, ценой.

Основное преимущество 801.11b - всеобщая доступность и низкая цена. Есть и существенные недостатки, такие как низкая скорость передачи данных (практически в 9 раз меньше, чем скорость в сети 100BASE-TX) и использование радиочастоты, совпадающей с частотой радиоизлучения некоторых бытовых устройств.

Стандарт 802.11a был разработан для решения проблемы низкой пропускной способности сетей 801.11b. Характеристики 801.11a представлены ниже:

§ скорость передачи данных до 54 Мбит/с;

§ радиус действия до 30 м;

§ частота 5 ГГц;

§ несовместимость с 802.11b;

§ более высокая цена устройств, по сравнению с 802.11b.

Преимущества очевидны - скорость передачи данных до 54 Мбит/с и рабочая частота, не используемая в бытовой технике, однако достигается это за счет более низкого радиуса действия и отсутствия совместимости с популярным стандартом 802.11b.

Третий стандарт, 802.11g, постепенно обрел большую популярность за счет скорости передачи данных и совместимости с 802.11b. Характеристики этого стандарта следующие:

§ скорость передачи данных до 54 Мбит/с;

§ радиус действия до 50 м;

§ частота 2,4 ГГц;

§ полная совместимость с 802.11b;

§ цена практически сравнялась с ценой устройств 802.11b.

Устройства стандарта 802.11g можно рекомендовать для создания беспроводной домашней сети. Скорости передачи данных 54 Мбит/с и радиуса действия до 50 м от точки доступа будет достаточно для любой квартиры, однако для более крупного помещения использование беспроводной связи данного стандарта может оказаться неприемлемым.

Скажем и о стандарте 802.11n, который совсем скоро вытеснит три других стандарта.

§ скорость передачи данных до 200 Мбит/с (а в теории- и до 480 Мбит/с);

§ радиус действия до 100 метров;

§ частота 2,4 или 5 Ггц;

§ совместимость с 802.11b/g и 802.11a;

§ цена стремительно снижается.

Размещено на Allbest.ru