Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních sluţeb. Bakalářská práce Timur Nigmatullin

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních sluţeb Bakalářská práce 2010 Timur Nigmatullin

2 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních sluţeb Timur Nigmatullin Realizace a zabezpečení domácí ad hoc Wi-fi sítě Bakalářská práce 2010

3 Prohlášení Prohlašuji, ţe jsem bakalářskou práci na téma Realizace a zabezpečení domácí ad hoc Wi-fi sítě zpracoval samostatně a ţe jsem uvedl všechny pouţité prameny a literaturu, ze kterých jsem čerpal. V Praze dne Podpis

4 Poděkování Rád bych touto cestou poděkoval své rodině za morální a psychickou podporu, kterou jsem dostal při psaní této bakalářské práce.

5 Abstrakt Bakalářská práce se zabývá realizaci a zabečení domácí ad hoc Wi-fi. Pro napsání mé bakalářské práce jsem pouţíval odbornou literaturu, časopisy, informace na internetu a dříve napsaných bakalářských prácí. Bakalářská práce se rozděluje na 2 části: teoretickou a praktickou. V teoretické části obecně popisuji Wi-fi: jejich principech, technologii a hardwarových prvcích moderních Wi-fi sítí. Také se pokouším zaměřit na souvislost Wi-fi sítí a referenčního modelu OSI ISO. V praktické části realizuji vlastní ad hoc síť v domácím prostředí, poté pomocí vhodného softwaru analyzuji zabezpečení přístupového bodu. Abstract This diploma work deals with creation and bleating home ad hoc Wi-fi. I used professional literature, magazines, internet resources and information from earlier written diplomas. The diploma is divided into 2 parts: theoretical and practical. In theoretical part of my diploma I generally describe Wi-fi: its fundamentals, technology and some hardware elements of modern Wi-fi network. I am also trying to concentrate on a relevance of Wi-fi network and reference model OSI ISO. In practical part of my diploma I am implementing proper ad hoc network in home area, then with the help of proper software I will analyze the ensuring of the access point.

6 Obsah Obsah... 5 Úvod... 7 TEORETICKÁ ČÁST Osnova sítě Wi-fi Součásti sítě Distribuční systém, co a jak? Co je to přístupový bod? Je libo bezdrátové médium? Stanice ve wi-fi Shrnutí Technologie bezdrátových sítí dnes a zítra Standard Standard aneb Bluetooth Co to má společného s Wi-fi? Komponenty Wi-fi sítě Model OSI Vrstvení OSI PHY vrstva MAC vrstva Druhy sítí Ad hoc sítě Technologie ad hoc Wi-fi sítě Vyuţívání ad hoc sítí Nedostatky ad hoc sítí Ad hoc síť a internetová brána Technické vybavení pro Wi-fi sítě Komponenty přístupového bodu Radiostanice Spojíme se? Přístupnost internetu, síťové spouštění a jeho správa Je libo internet? DHCP server Ochrana v podobě firewallu Činnost směrovače a mostu Síťové adaptery a rozhrání Jaké máme síťové adaptery? Operační systémy a jejich kooperace s Wi-fi Windows a Wi-fi Bezpečnost Wi-fi sítí Bezpečné vrstvy Ověření sdíleným klíčem Přenášení SSID Selekce MAC adres Šifrování WEP Slabé strany protokolu WEP Základy bezpečného hesla Zásady pro kaţdého Zadávání hesel aneb čím se řídit PRAKTICKÁ ČÁST

7 Úvod do problematiky Vytváření Wi-fi sítě prostřednícím ad hoc připojení Software pro zjištění signálu / pokrytí Inssider WirelessNetView Software pro schéma bytu Analýza bezpečnosti provozu sítě Vlastní dílčí výsledky Závěr Seznam pouţité literatury a zdrojů

8 Úvod Mnohé podniky přecházejí od kabelového připojení k bezdrátové komunikaci, protoţe bezdrátové sítě mají hodně výhod oproti kabelovým. Nálepky Wi-fi jsou obvyklé v kaţdodenním ţivotě. V této práci jsem se zaměřil na seznámení posluchače s technologii Wi-fi sítě. Protoţe je to technologie, která zjednodušuje náš ţivot. Podle mého názoru, je hojně uţívána a zajímavá pro mnoho lidí. Kdyţ navštívíte kavárnu, posilovnu, jste mimo domov, čekáte na autobus, vlak nebo letadlo a uvidíte na výlohách nálepku Wi-Fi, znamená to pro vás, ţe jste ve spojení s celým světem a neunikne vám ţádná informace. Toto vám dává jistotu a umoţňuje cítit se dobře. Na celém světě je vysoký výskyt Ethernet sítí. Je-li v domě jen jeden počítač, problémy s kabelem obvykle nevznikají. Ale kdyţ mate touhu připojit se na internet z počítače, notebooku a PDA s bezdrátovým připojením, začínáte přemýšlet o tom, jak to všechno správně provést. Rozdělit jeden Internet kanál pro všechny domácnosti nám pomáhají multifunkční směrovače. Potřebu vytvářet domácí osobní sítě Wi-Fi zaţije pravděpodobně kaţdý majitel notebooku nebo PDA. Samozřejmě, můţete si koupit přístupový bod a přes něj si zařídit bezdrátový přístup k síti. Ale výhodnější je mít zařízení vše v jednom, protoţe směrovače zvládají tuto funkcí lepe neţ přístupové body. Hlavní věc, které stojí věnovat pozornost, jsou podporované standardy Wi-fi. V současné fázi vývoje síťových technologií je bezdrátová síťová technologie Wi-Fi nejpohodlnější v podmínkách, které vyţadují přenositelnost, snadnost instalace a pouţití. Wi-Fi (z angličtiny. Wireless Fidelity bezdrátové spojení ) je standardem pro širokopásmové bezdrátové spojení , vyvinutý v roce Wi-Fi je technologie pouţívaná pro zřízení bezdrátových lokálních sítí, stejně jako vytváření takzvaných hot-spotů pro vysokorychlostní přístup na internet. Bezdrátové síťové technologie se rozdělují do třech typů, které se liší v rozsahu pouţití jejich rádiových systémů. Tyto sítě můţeme především nalézt v podnikové sféře ale i v domácnosti. PAN (Personal Area Networks) sítě s dosahem do deseti metrů, které spojují počítače a další zařízení - PDA, mobilní telefony, tiskárny, atd. Pomocí těchto sítí je prováděna jednoduchá synchronizace dat, odstraňuje se problém se spoustou kabelů v kancelářích, provádí se jednoduchá výměna informací v malých pracovních skupinách. Nejslibnější standard pro PAN je Bluetooth. WLAN (Wireless Local Area Network) - dosah aţ 100 m. S jejich pomocí se provádí bezdrátový přístup k interním sítím organizaci, aniţ bychom museli být uvnitř budovy, v studentských 7

9 kolejích atd. Obvykle se tyto sítě pouţívají pro prodlouţení kabelových firemních LAN. V malých podnicích, můţe WLAN zcela nahradit kabelové připojení. Základní standard pro WLAN WWAN (Wireless Wide Area Network) - bezdrátové připojení, které poskytuje mobilním uţivatelům přístup k jejich podnikové síti a Internetu. Ovšem neobsahuje ţádný dominantní standard. Technologie GPRS je dnes aktivně podporována téměř všude nejrychleji v Evropě a s určitým zpoţděním ve Spojených státech. Cílem této bakalářské práce je návrh a implementace domácí Wi-fi sítě a prověření kvality zabezpečení přístupového bodu. V teoretické části popíšu principy, technologie a hardwarové prvky moderních Wi-fi sítí. Zaměřím se také na souvislosti Wi-fi sítí a referenčního modelu OSI ISO. V praktické části popíšu realizaci vlastní ad hoc wi-fi sítě a pomocí vhodného softwaru analyzuji zabezpečení přístupového bodu. 8

10 TEORETICKÁ ČÁST 9

11 1 Osnova sítě Wi-fi V této kapitole vás seznámím se základními komponenty bezdrátové technologii Wi-fi. Podrobně zde popíšu jednotlivé části, ze kterých se Wi-fi technologie skládá. Dále vás seznámím se současnými a budoucími technologiemi bezdrátových síti. Jaké normy obsahují a k čemu tyto normy slouţí. Na konec kapitoly vám povím o referenčním modelu OSI respektive o vrstvách, které ten model obsahuje. 1.1 Součásti sítě Podle [15] jsem zjistil, ţe kaţdá z počítačových sítí, zaloţená na principu bezdrátového přenosu informací, obsahuje několik základních fyzických komponent, ze kterých se skládá. Těmito komponentami jsou: Distribuční systém Přístupový bod (Access Point) Bezdrátové medium Stanice Podrobněji si o těchto jednotlivých sloţkách systému povíme v následujících odstavcích této práce Distribuční systém, co a jak? Ve zdroji [15] jsem dozvěděl, ţe první komponentou v řadě, kaţdé bezdrátové sítě je právě distribuční systém. Tato část začíná fungovat v okamţiku, kdy chceme, aby více přístupových bodů utvořilo rozsáhlejší síť. Předpokládáme, ţe tyto jednotlivé body spolu musí nějakým způsobem komunikovat a vyměňovat si informace o pohybu mobilních stanic, které se pokouší připojit anebo jsou právě připojeny k některému z bodů přístupu. Distribuční systém je v řadách odborníků, označován téţ jako logická komponenta standardu , jeţ se pouţívá k přesměrování datového toku na konkrétní stanici dle jejího skutečného určení v závislosti na aktuální poloze v síti. Na druhou stranu standard prozatím přímo neurčuje konkrétní technologii distribučního systému. Proto komerční produkty obvykle řeší tento problém dle svých moţností a většinou je tak není moţné při stavbě sítě kombinovat, za předpokladu ţe je zde vznesen poţadavek na mobilitu za provozu. Proto lze říci, ţe v naprosté většině takovýchto komerčních systémů bývá distribuční systém řešen jako kombinace tzv. bridge (síťového mostu) a distribučního média, jímţ bývá páteřní síť obvykle pouţívaná k přenášení dat mezi jednotlivými přístupovými body. Jen ve výjimečných případech není touto páteřní sítí Ethernet. 10

12 1.1.2 Co je to přístupový bod? Druhým v řadě síťových komponentů bezdrátové sítě je Access point, nebo téţ česky Přístupový bod. Tato část sítě představuje právě onen pomyslný most, který spojuje síť kabelovou se sítí bezdrátovou. A ačkoliv přístupový bod nabízí i celou řadu dalších funkcí, tak jako spojení dvou technologicky odlišně konstruovaných sítí jsou ostatní nabízené funkce zanedbatelné Je libo bezdrátové médium? Bezdrátové médium je pro sítě standardu podobný, jako kabeláţ pro sítě kabelové. Bezdrátové médium slouţí jako nosič datových informací při přesunu dat od jedné stanice k jiné. Bezdrátovým médiem v dnešní době rozumíme dvě frekvence, na kterých tento přenos funguje. V ČR pouţíváme frekvenci 2,4 GHz a v jiných zemích se můţeme setkat se zavedeným standardem na úrovni 5 GHz. Jen ve výjimečných případech se můţeme setkat s infračerveným přenosem Stanice ve wi-fi Bezdrátové sítě existují proto, aby přenášela data mezi dvěma a víc stanicemi. Stanicí můţe být jakékoliv zařízení, například notebook, mobilní telefon a další. Avšak stanice vyuţívající bezdrátových sítí nemusí být výhradně mobilní, ale jsou i sítě WLAN, které propojují počítače, které se třeba vzhledem ke své velikosti nemohou tak snadno přenášet, nemohou být spojeny obvyklou kabeláţí či třeba jen proto, ţe dotyčnou síť chceme vyuţívat jen dočasně. V takto fungujících sítích pak odpadají některé z problému, které se při kabelovém propojení mohou vyskytovat Shrnutí Tyto čtyři komponenty, o kterých jsem dozvěděl v [15], se v praxi shrnují do dvou nebo tří, protoţe bezdrátové médium slouţící jako stanice, tak i jako přístupový bod. Co se tyče distribučního systému, tak ten slouţí jenom k zajištění komunikace mezi bezdrátově připojenými stanicemi 1.2 Technologie bezdrátových sítí dnes a zítra Radiokomunikační bezdrátové sítě jsou vytvářené v několika podobách. Většina technologií, které dnes uţ tak běţně pouţíváme, mají několik společných charakteristických vlastnosti včetně pouţívání frekvenčních pásem 2,4 GHz nebo 5 GHz a technologie rozprostřeného spektra. Můţeme povětšinou i říci, ţe jejich síťové topologie bývají obdobné. U většiny bezdrátových 11

13 systémů je síť konstruována tak, ţe připojením radiovysílače k počítačům, PDA či ostatním zařízením a poté pouţijeme centrální přístupový bod pro řízení sítě. Lze také sestavit bezdrátovou síť bez jakéhokoliv centrálního přístupového bodu. Následné odstavce věnuji výčtu hlavních norem, uţívaných při stavbě bezdrátových sítí Standard Podle [2] institut inţenýrů elektrotechniky a elektroniky (IEEE) vyvíjí a schvaluje normy pro širokou řadu počítačových technologií. Tato organice vytváří pracovní skupiny technologických expertů zastupujících dodavatele a vědecké / inţenýrské kruhy za účelem studia, přezkoumání a schválení navrhovaných norem, na kterých pak mohou být zaloţeny nové výrobky. [4] uvádí, ţe v rámci schématu IEEE se číslo 802 pouţívá k označování místních sítí a metropolitních neboli rozlehlých sítí. Normy pro bezdrátové sítě tvořící podskupinu norem 802 jsou označovány číslem 11. Z tohoto důvodu spadají normy IEEE pro bezdrátové sítě pod označení Pro zajímavost, [2] uvádí, ţe ethernet je uváděn pod číslem První bezdrátová norma IEEE přijatá v roce 1997 byla jednoduše nazvána IEEE Jednalo se o rádiovou normu pracující ve frekvenčním pásmu 2,4 GHz s maximální propustnosti 2 Mbit/s. Pro srovnání uvedu, ţe kabelový Ethernet pracuje s propustností 10 Mbit/s a více. Revize dané normy byla původně nazývána High Rate pro svou vyšší rychlost. V roce 1999 došlo k přejmenování normy High Rate na b a byla přidána norma pro ještě vyšší rychlost a pouţívající odlišnou metodu rozprostřeného spektra a pracuje na frekvenčním pásmu 5 GHz. V roce 2002 se ke schváleným normám pro bezdrátovou komunikaci připojila g. Kromě těchto tří současných síťových norem zahrnuje IEEE tematické skupiny, které pracují na normách, jeţ budou po schválení a realizaci doplňovat a, b, a g. Například IEEE i je zaměřena na vylepšení zabezpečení bezdrátových sítí, zatímco e je orientována na otázky kvality sluţeb (QoS), které jsou důleţité u velkých bezdrátových sítí. Jakmile budou tyto normy přijaty, mohou být buď zkonsolidovány do jednoho ze síťových protokolů, nebo mohou být jednoduše dány k dispozici dodavatelům, kteří budou chtít přidat nějaké funkční charakteristiky ke svým výrobkům podle norem a, b nebo g. Norma b Jak jiţ bylo uvedeno výše, je norma b aktualizovanou a vylepšenou verzí původní normy IEEE [2] uvádí, ţe v současné době jiţ nejsou k dispozici ţádné komerční výrobky zaloţené na staré normě Ve skutečnosti se prodávalo jen velmi málo výrobků podle normy Firma Apple Computer zavedla první široce dostupné výrobky zaloţené na normě 12

14 802.11b v roce 1999 a uváděla je pod názvem Air-Port. Tato výrobní řada sestává z bezdrátového přístupového bodu (v terminologii Apple se nazývá základnou stanicí) a PC karty pro notebooky Macintosh. Firma Apple nevynalezla normu b, ale byla první společností, která zpopularizovala danou technologii u zákazníků nakupujících počítače. Většina současných výrobků pro bezdrátovou síťovou komunikaci je zaloţena na normě b. Sítě b pracují s maximální rychlostí 11 Mbit/s, coţ je o něco vyšší rychlost neţ v případě 10-BASE-T Ethernet a zhruba pětinásobné navýšení ve srovnání s původní specifikací [4]. Norma podporovala pouţívání metod rozprostřeného spektra DSSS a FHSS. V případě b se pouţívá metoda DSSS. Norma a Podle [4] norma IEEE a, která byla schválena brzy po normě b, pracuje ve frekvenčním pásmu 5 GHz a poskytuje rychlosti aţ do 54 Mbit/s. Norma a pouţívá metodu rozprostřeného spektra OFDM. Zatímco se výrobky vyrobené na základě normy b objevily krátce poté, co norma získala schválení do IEEE, začala se zařízení vyrobená na základě normy a objevovat aţ v roce Provedeme-li porovnání s přeplněným frekvenčním pásmem 2,4 GHz, ve kterém pracují další normy , je frekvenční pásmo 5 GHz pouţívané normou a širokým otevřeným pásmem, ve kterém jen několik málo dalších aplikací usiluje o přístup. Toto širší pásmo poskytuje více kanálů a větší šířku pásma pro bezdrátovou komunikaci. Ačkoliv úspěšnost bezdrátové komunikace podle normy a je v současné době nejasná, budou pravděpodobně velké společnosti a organizace aplikovat tuto technologii ve větší míře, neţ tomu bude u drobných podnikatelů a spotřebitelů. Skutečností je, ţe norma b má skvělou výchozí pozici, neboť na trhu je k dispozici mnoho zařízení za rozumné ceny. Dalším důleţitým faktorem je to, ţe norma a není kompatibilní s b, a proto nelze pouţít stávající notebook vybavený na základě normy b pro napojení na síť podle normy a. I kdyţ podpora pro starší zařízení není důleţitá pokud začínáte sestavovat síť od nuly zařízení vycházející z normy a jsou a pravděpodobně zůstanou draţší neţ jiné moţnosti. Norma g V roce 2002 schválila tematická skupina g třetí síťovou normu IEEE, k čemuţ došlo po velké bitvě mezi podporovateli dvou vzájemně soupeřících návrhů. Norma g má tak, jak je schválena, maximální rychlost 54 Mbit/s. Pouţívá stejnou technologii rozprostřeného spektra OFDM jako norma a, s moţností, která dovoluje dodavatelům poskytovat kromě základní konfigurace téţ zdokonalenou verzi OFDM. Obdobně jako norma b, pracuje i norma 13

15 802.11g ve frekvenčním pásmu 2,4 GHz a je zpětně kompatibilní se starší normou. Vzhledem k tomu, ţe normy b, a, g mohou pracovat společně, bude příští generace výrobků bezdrátové síťové komunikace určených pro spotřebitele a malé podniky pravděpodobně pouţívat g nebo kombinaci b, a, g [2]. Norma n O nedávno schválené normě umoţňující výrazně rychlejší přenos dat přes Wi-Fi toho bylo jiţ napsáno mnoho, mimo jiné proto, ţe n draft je na trhu nějakou tu dobu. Norma n se vyvíjí jiţ hodně dlouhou dobu a její hlavní cíl je zvýšení rychlosti na Wi-Fi. K tomu v sobě implementuje snad všechny dostupné poznatky a technologie bezdrátového přenosu dat. Rychlost, kterou zařízení komunikují v normě n určují tzv. Modulační a kódová schémata MSC. Těchto je definováno celkem 31 a také záleţí na šířce pásma, kterou zařízení pouţívá. Standardní šířka pásma u Wi-Fi je 20 MHz, coţ je jeden kanál. Nová norma umoţňuje 40 MHz šířku pásma tedy 2 sousedící kanály. Proto se u zařízení pouţívajících tuto normu objevuje i moţnost volby, zda se má k takzvanému řídícímu kanálu připojit niţší nebo vyšší kanál Standard aneb Bluetooth Před vznikem výše zmiňované normy , existovala technologie datového přenosu Bluetooth. Tato technologie byla ve svém prvopočátku prezentována velkými firmami, kterými byli kupříkladu IBM, Intel, Ericsson, jako technologie, která zprostředkuje bezdrátovou komunikace do všech domácností a většiny podniků. Bluetooth ovšem není duchovním dítkem IEEE, jelikoţ za podpory ze strany svých prosazovatelů byla tato specifikace vyvinuta zvláštní zájmovou skupinou Bluetooth SIG. Jak uţ z náznaků vyplývá je technologie Bluetooth stejně jako normy b, a, g technologií radiokomunikační, pracující v pásmu 2,4 GHz a uţívající rozprostřené spektrum s přeskakováním mezi frekvencemi (zkráceně FHSS). Nejvyšší rychlost dosahovaná za pomoci technologie Bluetooth je 1 Mbit/s s maximálním dosahem rovnajícím se 15 metrů. I přes tato zmiňovaná omezení a vedoucí postavení normy IEEE , nelze označit technologii Bluetooth za mrtvou. Místo prosazování Bluetooth jako normy pro lokální sítě (LAN), kdy by byla vyuţívána především ke komunikaci mezi počítači od sebe vzdálených v řádech i desítek metrů, je dnes uváděna spíše jako tzv. osobní síť (PAN), která slouţí ke zprostředkování toku dat mezi počítači a periferními zařízeními, nacházejícími se ve vzájemné blízkosti, či pro synchronizaci a PDA s koncovými zařízeními. Hudbou budoucna můţe být i představa vyuţití technologie Bluetooth jako způsob komunikace mezi drobnými periferiemi uţívanými v domácnosti. Kupříkladu uţití v bezdrátových klávesnicích, monitorech či automatizovanými 14

16 zařízeními v domácnosti. Nepatrnou zmínkou v jedné z odborných knih, zabývajících se budoucností Bluetooth technologie, byla i zmínka o informaci z počátku roku 2002, kdy firmy jako Apple, Microsoft a další nadnárodní giganti na poli technologie, zveřejnili, ţe hodlají zavést podporu tohoto typu datového přenosu do svých produktů. Dnes s odstupem času si můţeme myslím všichni zodpovědět otázku, zda je bluetooth i dnes aktuální technologií Co to má společného s Wi-fi? Co mají normy a, b a g společného s wi-fi technologií. Ve skutečnosti se jedná o technologie téhoţ druhu. [2] uvádí, ţe kolem roku 2001 se termín,,wi-fi stal v počítačovém tisku oblíbenou náhradou za méně praktický termín IEEE Aliance pro kompatibilnost bezdrátového ethernetu (WECA) přijala wi-fi jako snadno pochopitelnou značku pro všechny produkty splňující normu b. Alianci WECA zaloţili dodavatele výrobků za účelem podpory IEEE 802 a vývoje certifikačního programu určeného pro zajištění toho, aby bezdrátové výrobky v plném rozsahu splňovaly normu Aliance WECA provádí zkoušky a certifikaci výrobků a poskytuje dodavatelům, jejichţ výrobky splňují dané poţadavky, svolení k pouţívání wi-fi loga na jejich zařízení a marketingových materiálech. WECA oznámila svůj záměr rozšířit wi-fi certifikaci na a. V době oznámení této informace široké veřejnosti se očekávalo, ţe výrobky vycházející z normy g budou moci obdrţet wi-fi certifikace krátce poté, co IEEE konečně přistoupí k ratifikaci dané normy. Vzhledem k tomu, ţe wi-fi certifikace se v současné době vztahuje pouze na normu b a norma b má dominantní postavení v bezdrátovém světě sítí typu LAN zejména pokud jde o spotřebitele a malé podniky. 1.3 Komponenty Wi-fi sítě Můţeme bez obav říci, ţe všechny wi-fi sítě obsahují stanice, tj. obvyklé síťové adaptéry (USB adaptér, PC karta) nainstalované v počítačích či k počítačům jinak připojené. Síťový adaptér vyţadovaný pro kaţdé zařízení na síti obsahuje radiovysílač/radiopřijímač a povětšinou i radioanténu pro zesílení přijímaného signálu. Většina, avšak ne všechny jak jsem se jiţ zmínil v kapitole 3.1, wi-fi sítí obsahuje minimálně jeden přístupový bod (Access Point) slouţící k prodlouţení dosahu sítě a k jejímu řízení. Obdobně jako wi-fi stanice i AP obsahuje rádiové zařízení a má obvykle externí anténu. Řídicí programové vybavení umoţňuje přístupovému bodu provádět autentizaci síťových uţivatelů, poskytovat zabezpečení a sdílet zdroje na síti. Wi-fi stanice a její přístupové body mohou spolu komunikovat jen za předpokladu, ţe všechny splňují tutéţ normu bezdrátové komunikace (viz normy v kapitole 3.3). Celý tento proces začíná u radiového zařízení. Všechna radiová zařízení komunikující v jedné síti, musejí pracovat na 15

17 stejné frekvenci a to jak pro vysílání tak pro příjímání signálu. Aby docházelo k převodu radiového signálu na počítačové jednotky informací v podobě paketů, musejí rovněţ splňovat stejné normy pro bezdrátovou komunikaci, specifikující frekvence, na nichţ rádiová zařízení komunikují a mnoho dalších poţadavků na komunikaci mezi nimi. 1.4 Model OSI Referenční model OSI je všeobecně znám jako sedmivrstvý rámec popisující strukturu sítě a průběh komunikace od fyzické sítě, coţ je nejniţší vrstva celého rámce aţ po specifické programové aplikace, které představují pomyslnou nejvyšší vrstvu [15]. Obrázek 1: Referenční model OSI A tak jako u obvyklých kabelových sítí i v tomto případě wi-fi vyuţívá tohoto referenčního modelu. OSI model je nejvhodnější variantou, která nám dává uvaţovat o síťové struktuře, jelikoţ pochopení toho, jak se ta která funkce vztahuje k jednotlivým síťovým činnostem, bývá snazší a pro osoby více či méně seznámené s problematikou síťové komunikace tak pochopitelnější. Tento model je ze své podstaty hierarchický. Základní síťové funkce, kterými jsou kupříkladu stanovování fyzického média pouţívaného sítí nebo dekódování radiových signálů, probíhají v nejniţších vrstvách. Na druhou stranu vyšší vrstvy se zabývají způsoby, jak provádět transakce dat či jakým způsobem stanovit pravidla pro konkrétní síťové aplikace. Tedy kupříkladu pravidla pro sdílení souborů, pravidla tisku a mnoho dalších. Ovšem ne všechny síťové normy či 16

18 protokoly musí nutně vyuţívat kompletní škály všech vrstev OSI struktury. Vezměme si například takovou smlouvu mezi kupujícím a prodávajícím nějaké nemovitosti. Tato smlouva bude muset mít jistě nějaké charakteristiky, jakými jsou třeba finanční podmínky dané transakce, časový průběh a podmínky, za kterých se daný prodej uskuteční. Avšak takováto smlouva na koupi nemovitosti se uţ nebude zabývat tím, jakým způsobem se kupující a prodávající dostaví k uzavření takovéto smlouvy. Doprava na místo podpisu smlouvy o koupi, je sice pro jednotlivé strany detailem klíčovým, avšak nerelevantní pro uvedení smlouvy v platnost. Různé druhy síťových aplikací a procesů pouţívají různé vrstvy modelu OSI podle toho, kde síťové zařízení nebo aplikace potřebuje komunikovat se svými protějšky. Proto všechny normy IEEE 802 pracují jen a pouze na vrstvě fyzické a spojovací. Tedy norma IEEE je běţně uţívána v síti typu ethernet spec, norma v síti kruhové, norma je standardem pro bezdrátový protokol a pro všechny je právě společným atributem komunikace ve dvou výše zmíněných vrstvách. Protokoly na vyšších vrstvách referenčního modelu, jako například TCP/IP, NetBIOS a AppleTek, abychom jich uvedli alespoň několik, jsou zcela nezávislé na těchto niţších vrstvách. Protokoly vyšších vrstev jednoduše pouţívají dané niţší vrstvy jako platformu, na které pracují Vrstvení OSI Valná většina standardů, normu IEEE nevyjímaje, umoţňují pouţití různých verzí nějaké konkrétní vrstvy v rámci OSI. Tato skutečnost dává vzniknout celé plejádě variant jedné normy, které se navzájem od sebe liší v jistých drobnostech, ale zároveň si zachovávají kontinuitu se svými mírně odlišnými variantami. Pro usnadnění pochopení této myšlenky si vše vysvětlíme na příkladu. Tedy Norma b krom jiného přidává novou vysokorychlostní fyzickou vrstvu k vrstvám jiţ uvedeným v předchozí původní specifikaci Typy několika vrstev v rámci téţe vrstvy jsou obvykle při vizuálním popisu struktury OSI protokolu vyjadřovány horizontálním způsobem. Kaţdá z vrstev tohoto síťového modelu, má v rámci svého hierarchického umístění své specifické úkoly. Tyto úkoly jsou v některých případech pro snazší práci s nimi, rozděleny do podvrstev, kde kaţdá z těchto sekcí nabude zodpovědnosti za určitý úsek práce vrstvy, pod kterou spadá. Podle [2], podvrstvy předávají informace z niţší vrstvy na následující podvrstvu a dále pak na vyšší vrstvy. Komunikace mezi jednotlivými segmenty probíhá obousměrně, tedy laicky řečeno z kaţdé z vyšších vrstev jdou data do vrstev niţších, z niţších případně do podvrstev a zase opačně. Podvrstvy posílají svá data svým nadřízeným niţším vrstvám a ty je dále zprostředkovávají vrstvám vyšším. Moţnost dělení vrstev na podvrstvy nám umoţňuje i to, ţe pokud sítě mají některou z podvrstev společnou, ale obecně jsou navzájem odlišné, tak ji mohou bez větších problémů vzájemně uţívat. Příkladem si uveďme fakt, ţe všechny sítě IEEE 802 vyuţívají společnou podvrstvu řízení datového spoje, 17

19 která se nazývá podvrstva řízení logického spoje (LLC, Logical Link Control), IEEE Úkolem této podvrstvy je zapouzdřování paketů přijímaných z niţších vrstev sítě pro přenos na vyšší vrstvy. Součástí podvrstvy 802 LLC je další podvrstva řízení přístupu k médiu (MAC) [2]. Úkolem této podvrstvy - podvrstvy je řízení přístupu k síťovému médiu. Kaţdá norma řady 802 obsahuje vlastní MAC. Podvrstva MAC řady je zaloţena na frekvenční modulaci poskytované fyzickou vrstvou, řízení komunikace mezi bezdrátovými zařízeními přístupovými body a stanicemi. MAC spojované s protokoly kabelových sítí nemají ţádnou odpovědnost za rádiové přenosy, ale obdobně jako v případě MAC řady regulují přístup na síť PHY vrstva Fyzická vrstva (PHY) leţí v referenčním modelu OSI nejníţe. PHY určují způsob komunikace v rámci sítě. Struktura této vrstvy řady se skládá ze dvou podvrstev: protokolu konvergence fyzické vrstvy (PLCP, Physical Layer Convergence Procedure) a podvrstvy, která je závislá na fyzickém médiu (PMD, Physical Medium Dependent). Podvrstva PLCP funguje jako přechodová mezi vrstvou řízení datového spoje (MAC) a fyzickou vrstvou. PLPC přeposílá data z rádiového zařízení na síť. Podvrstva PMD přenáší data z PLCP do prostoru. Originální specifikace uváděla tři fyzické vrstvy, které byly vzájemně samostatné: jednu pro DSSS a FHSS a poslední pro rozptýlené infračervené přenosy. Původní specifikace stanovila nejvyšší moţnou rychlost přenosu dat 2 Mbit/s pro DSSS a 1 Mbit/s pro FHSS. Implementací fyzické vrstvy specifické pro daný typ rozprostřeného spektra byla tematická skupina schopna dosáhnout výrazného nárůstu rychlosti, kdyţ došlo k přijetí norem a a b. V normě b podporuje nová vrstva vysokorychlostní (HR, High Rate) DSSS, přičemţ a vyuţívá sluţeb vrstvy OFDM MAC vrstva Vrstva MAC provádí naslouchání nosné a přenos / příjem rámců. Zatímco normy zaloţené na pouţívají různé fyzické podvrstvy, MAC vykazuje stejné charakteristiky pro úplně všechny verze dané normy. Ačkoli vrstvy MAC pouţívané wi-fi technologií nejsou totoţné, mají velmi podobnou strukturu jako ty, které pouţívá ethernet, ovšem s jedinečnými vlastnostmi, které splňují nároky, jeţ jsou typické pro bezdrátovou komunikaci. Obdobně jako v případě ethernetu pouţívá vrstva MAC u wi-fi mnohonásobný přístup s nasloucháním nosné (CSMA) jako přístupovou technologii pro přenosové médium. Tam, kde ethernet pouţívá technologii CSMA/CD (tzn. s detekcí kolize), pouţívá namísto toho wi-fi technologie CSMA/CA, tedy takové, jeţ zabraňující kolizi signálu ve vzduchu. Základní algoritmus metody CSMA/CD ve formě vývojového diagramu je znázorněn na obrázku: 18

20 Obrázek 2: Technologie CSMA/CD Proces Ethernet pouţívá detekci kolizí, protoţe tyto kolize lze na kabelové síti, nehledě na jejich nepříjemnost, zvládnout. Na druhé straně odeslání a příjem přenosů z téţe rádiové stanice současně moţné není, a proto pouţívá CA jako nástroj na prevenci kolizí. Tedy dříve, neţ k nim vůbec dojde. Vrstva MAC vykonává celou řadu sluţeb stanice a distribuce. Sluţby stanice jsou odvislé od způsobu, kterým bezdrátová zařízení spolu vzájemně komunikují. Distribuční sluţby se váţou komunikaci řízené přístupovými body. Podle [2] sluţby stanice v normě jsou: Autentizace. Bezdrátové zařízení, které usiluje o sdruţení s jednou z dosaţitelných stanic nebo přístupovým bodem musí před vpuštěním na síť u tohoto druhého zařízení provést svoji autentizaci. Mnoho přístupových bodů je nakonfigurováno tak, aby pouţívaly otevřenou formu ověření, coţ má za následek autentizace kteréhokoli zařízení, které usiluje o připojení k síti. Dalším moţným způsobem je autentizace se sdíleným klíčem, která nejdříve poţaduje, aby stanice přístupovému bodu poskytla sdílený klíč (heslo). Klíč přechází na přijímající stanici svým vlastním zabezpečeným komunikačním kanálem. Tato metoda od obou stanic vyţaduje, aby pouţívaly protokol WEP. Sluţba utajení popsaná v tomto oddíle je zaloţena na sluţbě autentizace. 19

21 Deautentizace. Sluţba deautentizace provede přerušení daného spojení v momentě, kdy bude zařízení usilovat o odpojení od sítě. Utajení. Účelem WEP je emulace úrovně zabezpečení v kabelové síti, kde ten, kdo chce na síť proniknout, musí mít pro získání přístupu k datům fyzické připojení k síti. U bezdrátové sítě jsou data přenášena vzduchem a mohla by tedy být lehce zachycena někým, kdo se nachází v dosahu dané sítě a pouţívá wi-fi rádiové zařízení. Při vyuţívání protokolu WEP jsou data putující mezi bezdrátovými zařízeními zašifrována a pouţívají buď 64bitový, 128bitový nebo 256bitový klíč. Pro dešifrování těchto dat musí být uţivatel právoplatným členem sítě a navíc musí obdrţet poţadovaný přístupový klíč. Jak vyplyne z následujících kapitol, WEP má ke skutečnému zabezpečení daleko, coţ je dáno především tím, ţe šifrovací algoritmus pouţívaný pro generování sdílených klíčů WEP je moţno lehce pouţít pro vyhledávání a pouţití těchto klíčů pro získání přístupu do sítě, ve které WEP pracuje. Předání MSDU. Sluţba datové jednotky sluţby MAC (MSDU) má na starosti zajištění toho, aby data dorazila k zamýšlenému příjemci. Distribuční sluţby MAC jsou: Přidružení. Aby některé z bezdrátových zařízení bylo schopno komunikovat s přístupovým bodem a dalšími stanicemi na síti, musí být přidruţeno k nějakému přístupovému bodu. V případě sítě, ve které se vyskytuje větší počet přístupových bodů, mohou zařízení komunikovat se zařízeními přidruţenými k několika přístupovým bodům, avšak konkrétní zařízení smí být přiřazeno jen k jednomu z přístupových bodů. Přístupový bod přeposílá informace o přiřazení na další části sítě. Odpojení. Kdyţ zařízení opustí danou síť, protoţe se dostane mimo dosah přístupového bodu, nebo z důvodu ukončení spojení přístupovým bodem, provádí se odpojení zařízení od sítě. Nové přidružení. Jestliţe zařízení změní své přidruţení, poskytuje sluţba nového přidruţení informace o dané změně. Nejdůleţitější funkcí této resuscitační sluţby je umoţnění přechodu mobilních zařízení od jednoho přístupového bodu na jiný. Distribuce. Distribuční sluţba zajišťuje, aby kdyţ se ve wi-fi síti posílají informace z jedné stanice na druhou, data dosáhnou zamýšleného cíle. Integrace. Prostřednictvím portálů mohou wi-fi zařízení komunikovat s kabelovými sítěmi nebo dalšími sítěmi jiného typu neţ Integrační sluţba vede spolu s distribuční sluţbou data přes daný portál a na příslušný cíl mimo wi-fi síť. 20

22 2 Druhy sítí V této kapitole si podrobně popíšeme typy síti, zastavíme se u technologie ad hoc, ve které se pokusím vystihnout kompletní technologickou stránku té technologii, její pouţití ale i nevýhody. Také se zaměřím na vyuţití této technologie k přístupu k internetu. Podle [15] typy sítí rozdělujeme na dva hlavní v závislosti na tom, jak probíhá komunikace mezi členy BSS (Basic Service Set). BSS je označení pro základní stavební blok coţ je základní soubor sluţeb. Jedná se o vzájemně komunikující skupinu stanic ve vymezené oblasti. Konkrétní oblast je určena průnikem dosahu těchto stanic a nazývá se BSA (Basic Service Area) 2.1 Ad hoc sítě Ve zdroje [4] jsem zjistil, ţe ad hoc sítě můţeme nazývat také jako sítě nezávislé, protoţe mezi sebou komunikují přímo dle potřeb bez závislosti na zprostředkovateli. Pro komunikaci je však nutné, aby byly stanice ve stejném radiovém dosahu, coţ pro malé sítě s několika stanicemi vzdálených od sebe řádově několik metrů není těţké zajistit. Oproti tomu u větších sítí s více stanicemi a rozlehlejších prostorách je takový postup nemoţný. Sítě ad hoc se vyuţívají nejčastěji k propojení několika počítačů například na LAN party, pro nárazový přenos dat atd. Ad hoc sítě nepatří mezi nejvyuţívanější síti, jelikoţ jsou limitovány svou malou rozlohou a jejich vytvoření se neobejde bez správného nakonfigurování sítě, které můţe představovat pro neznalého uţivatele velice náročný úkol. S oblibou se tedy jednoduše řeší přenos dat pomocí médií (CD, DVD, Flash disk atd.), nebo připojením přes přístupový bod s DHCP serverem, který zajistí správné nastavení sítě bez zásahu uţivatele Technologie ad hoc Wi-fi sítě Ad hoc reţim, ve kterém síť neřídí ţádný přístupový bod je specifikován normou IEEE Takovéto síťové uspořádání se nazývá jako nezávislý základní soubor sluţeb (IBSS). IBSS je zjednodušeně BSS v ad hoc reţimu. IBSS jako nezávislý reţim nám umoţňuje vytvoření sítě bez přístupového bodu. Tyto sítě jsou ve většině případů označovány jako sítě v ad hoc reţimu na rozdíl od sítí v reţimu infrastrukturním. V prvotní verzi IEEE bylo pro ad hoc reţim vyţadováno, aby všechny počítače zahrnuté v IBSS vyuţívaly totoţný kanál wi-fi pásma 2,4 GHz. Následující verze nazývaná ad hoc reţim dle dodává poţadavek, ve kterém musí všechna zařízení vyuţívat stejné označení SSID. Takovýmto způsobem pak ad hoc reţim dle funguje jako infrastrukturní reţim. Ad hoc reţim podle vyuţívá většina moderních síťových adaptérů pro wi-fi sítě, ale mnoho z nich se na něj odvolává pouze jako na reţim rovnocenných uzlů (peer-to-peer), nebo jako ad hoc reţim. Uzavřeme tuto debatu tím, ţe 21

23 pouţíváte ad hoc reţim podle bez ohledu na název jestliţe po vás ovladač vašeho síťového adaptéru poţaduje, abyste specifikovali jak SSID, tak kanál, na kterém bude vaše síť pracovat. Jestliţe máte starou wi-fi kartu, ujistěte se, ţe její firmware a ovladače jsou aktuální. Pro zbývající část této kapitoly platí, ţe síťové uspořádání typu IBSS se nazývá ad hoc reţimem. V ad hoc síti platí pro všechny počítače rovnocennost. Účelová síť, ke které se mohou ostatní uţivatelé připojit duplikací parametrů nastavení, jeţ bylo pouţito prvním počítačem, začíná existovat zadáním ad hoc reţimu a reţimu deklarací SSID. Nová síť bude vytvořena, pokud nějaký další počítač zvolí jiné označení SSID. Tento fakt způsobuje následující věc: jestliţe je tvůrčí počítač ad hoc sítě restartován, či vypnut, pak zůstává tato síť stále k dispozici ostatním připojeným uţivatelům. Kaţdá síť je označována mimo SSID také identifikátorem BSSID (Basic Service Set ID). V infrastrukturním reţimu sítí je BSSID zakládán na Mac adrese přístupového bodu. Za reţimu ad hoc sítě je konkrétní kód generován náhodně při spuštění sítě. Můţeme se setkat s wi-fi programy, které BSSID skrývají před zobrazením s výjimkou obrazovky s podrobnými parametry nastavení. Ostatní wi-fi programy tento identifikátor zobrazují. Toto je dobré vědět při řešení problémů v ad hoc síti, především pokud ve stejné oblasti působí hned několik BSSID. Pokud chceme v rámci ad hoc sítě komunikovat se širším světem, můţeme nastavit jeden počítač na síti jako bránu (gateway) pro přístup k internetu za pomocí softwaru nainstalovaného s operačním systémem, nebo za pomoci zakoupených/staţených nástrojů. Hostitelský počítač musí být připojený k internetu za pomoci klasického modemu anebo prostřednictvím širokopásmového připojení (broadband). Typické uspořádání představuje počítač připojený přes ethernet k ADSL modemu a wi-fi adaptér poskytující přístup k ad hoc síti. Software brány funguje obdobně jako v případě přístupového bodu. Provoz je směřuje z internetu na lokální síť a můţe zahrnovat DHCP server i firewall. Tato volba ve většině případů neposkytne veškeré funkce přístupového bodu a na velkých sítích způsobí problémy u hostitelského počítače. Z cenového hlediska je to však ideální řešení pro domácí uţivatele [2] Využívání ad hoc sítí Hlavním důvodem k zaloţení ad hoc sítě je její nenáročnost, především oproti nastavení přístupového bodu. U ad hoc sítě není potřeba vyuţívat ţádná další zařízení. Postačí pouze wi-fi adaptéry pro kaţdý připojený počítač do sítě. Z těchto důvodů je instalace sítě pro dočasné výměny souborů a jiných informací rychlá, snadná a hlavně finančně méně nákladná. Přístup k internetu lze sdílet přes ad hoc síť za předpokladu, ţe jeden z počítačů bude nakonfigurovaný tak, aby pracoval jako brána (gateway) pro přístup k internetu. Běţní uţivatelé vyuţijí ad hoc síť 22

24 například k hraní síťových her, nebo pro přenos souborů. Uţití ad hoc sítí se nachází také ve firmách, ve kterých zatím není nainstalovaná síť [5] Nedostatky ad hoc sítí Jednou z nevýhod ad hoc sítě je fakt, ţe jsou ochuzeny a značnou část řídících funkcí, jeţ jsou poskytovány přístupovými body. Takové funkce zahrnují funkce DHCP serveru, sdílení internetu, ochranu firewall, NAT, nebo řízení přístupu a přesměrování portu. Z toho vyplývá, ţe ad hoc sítě jsou sítě samostatné bez jakéhokoli přístupu ke zdrojům, které se nacházejí mimo danou síť. Pro přístup na internet z ad hoc sítě je zapotřebí přístup na kabelovou síť a internetovou bránu. Za další nevýhodu ad hoc sítí se dá povaţovat to, ţe neposkytují tak velké bezdrátové pokrytí jako přístupový bod, protoţe jsou odkázány na antény vestavěné do síťových adaptérů wi-fi sítí. Dosah sítě je samozřejmě moţné zvýšit pomocí externí antény k jednomu či více zařízením na dané síti, ale výrazně se to promítne na nákladech [2]. Mimo to antény síťových adaptéru neposkytnou optimální pokrytí z důvodu nevhodného umístění v budově Ad hoc síť a internetová brána Ad hoc síť uţivatelům umoţňuje sdílení připojení k internetu, ale je zapotřebí aby jeden z počítačů měl na síti připojení k internetu ze síťového rozhraní, nebo přes modem (mimo bezdrátové sítě). Dále musí jeden z počítačů také obsahovat software brány, jenţ můţe spojení s ostatními uţivateli sítě sdílet. Software brány směruje provoz na lokální síť a poskytuje IP adresy pomocí DHCP podobně jako přístupový bod a routek wi-fi sítě s tím rozdílem, ţe internetová brána neobsahuje ţádnou ochranu jako firewall, nebo řízení přístupu, NAT a vylepšené zabezpečení. Z toho plyne, ţe implementace brány v ad hoc síti bez připojení firewallu představuje větší riziko zneuţití sítě z internetu. Operační systémy w Windows XP společně s Windows 2000 obsahují software brány. Bránu lze vytvořit také v systému Linux, ale to se neobejde bez zkušeného zásahu do konfigurace Něco o málo bránách Postup pro vytvoření brány a připojení všech členů sítě k bráně je obdobný ve všech operačních systémech. Nejdříve je potřeba nastavit ad hoc síť. Pokud chceme přidat bránu ihned, pak není potřeba vytvářet statické IP adresy pro kaţdý počítač v síti. Brána můţe poskytovat DHCP server, který by měl udělovat kaţdému zařízení IP adresu ze stejné podsítě. Po nastavení brány je moţné vyzkoušet lokální připojení vytvořené sítě. Pokud daná ad hoc síť pracuje správně, můţeme 23

25 vybrat hostitelský počítač pro bránu, který musí mít připojení k internetu a podporovat software brány. Tento počítač by měl mít připojení k internetu stabilní, jestliţe chceme vyuţívat ad hoc bránu jako trvalou bezdrátovou síť. Postup vytvoření a nastavení brány vypadá následovně: Spuštění DHCP serveru IP směrování, aktivace firewallu a zajištění přístupu počítačů k bráně. Metoda přidělování IP adres pro kaţdý počítač by měla být dynamická, aby bylo umoţněno získání IP adresy z DHCP serveru. Po těchto změnách zbývá jen restartovat PC a poté otestovat spojení brány. 3 Technické vybavení pro Wi-fi sítě Tato kapitola nás seznámí s komponenty přístupového bodu, povíme si něco o sdíleném přístupu na internet, serverech DHCP, internetové bráně, funkcích směrovačů a mostů. Na konec kapitoly popíši druhy síťových adapterů, jejich výhody a nevýhody, které porovnám mezi sebou Při stavbě Wi-fi sítě se můţeme setkat s velice širokou nabídkou výrobků nejrůznějších značek. Současným trendem je přidávat Wi-fi i do výrobků spotřební elektroniky, takţe se můţe stát, ţe mimo klasických počítačových komponent narazíme třeba i na HiFi věţe nebo DVD přehrávače, které v sobě budou mít zabudovanou Wi-fi technologii. Taková zařízení dávají tušit jednoduché propojení a vzájemné sblíţení světa počítačů s jinými domácími multimédii, díky čemuţ si snadno můţeme přehrávat mp3 z věţe přes pořádný zesilovač, nebo svůj čerstvě ripnutý film přehrát na velkoplošné televizi. Nyní se ale Wi-fi spotřební elektronikou zaobírat nebudeme. Kromě toho, ţe stále ještě není moc rozšířená, neslouţí k opravdovému budování Wi-fi sítě a je tedy zatím spíše neobvyklým doplňkem a kuriozitou, ačkoli to se do budoucna určitě změní. 3.1 Komponenty přístupového bodu Přístupové body jsou většinou ve formě malé skříňky, která má jednu nebo antény, jeţ vyčnívají z jeho horní části. Několik firem, jako například Apple či Orinoco, zkonstruovalo velmi stylově vypadající přístupové body. Bez ohledu na design jsou ale tyto jednotky z hlediska vnitřního uspořádání v podstatě stejné. Všechny přístupové body wi-fi sítí totiţ obsahují alespoň jeden radiopřijímač / vysílač (pracující na frekvenci 2,4 GHz v případě b, 5 GHz v případě a), software pro řízení přístupového bodu a bezdrátové sítě a porty pro připojení k přípojce na internet a ke kabelové síti. Někdy je anténa skryta uvnitř pouzdra přístupového bodu, avšak většina jich má anténu externí. 24

26 3.1.1 Radiostanice Všechny přístupové body wi-fi sítě a síťové adaptéry komunikují přes radiostanice. Ta určuje, kterou normu bezdrátové komunikace (802.11b, a nebo g) dané zařízení podporuje. Tyto radiostanice se nacházejí v pouzdru přístupových bodů a obvykle je dodatečně nelze modernizovat, alespoň tedy ne v případě levnějších modelů. Jsou ale i přístupové body, např. modely FriendlyNet značky Asante, které obsahují PC slot, jenţ přijímá stejné síťové adaptéry, které se prodávají pro notebooky. Pak se můţe stát, ţe si budete muset k vašemu přístupovému bodu tuto kartu dodatečně koupit. Jestliţe váš přístupový bod má více těchto slotů, umoţní vám to přidání další radiostanice, díky níţ rozšíříte svoji síť. Prázdné sloty radiostanice také teoreticky umoţňují instalaci radiostanic za pouţití dvou různých bezdrátových norem v rámci jednoho přístupového bodu. To například můţe znamenat, ţe byste pouhým zasunutím nové radiostanice mohli přidat podporu g k současnému přístupovému bodu b. Wi-fi radiostanice se liší v tom, ţe jsou zaloţeny na jedné z několika čipových sad. Předními výrobci jsou Lucent, Intersil a Texas Instruments, kteří své čipy prodávají většině hlavních dodavatelů wi-fi zařízení. Čipy značky Lucent najdete v produktech od firem Orinoco, Apple, Compaq a IBM [2]. Základní funkce čipových sad jsou z pohledu uţivatele téměř totoţné, zde ovšem platí, ţe se vyplatí koupit přístupové body a síťové adaptéry, které pouţívají stejné čipové sady. Navzdory tomu, ţe všechny wi-fi čipové sady musí mít podporu normy b, dochází občas k poruchám z důvodu nekompatibility, které uţivatelům způsobují problémy s jejich konfigurací. Tomuto problému s nekompatibilitou se vyhnete, zakoupíte-li všechna vaše wi-fi zařízení u jednoho dodavatele, nehledě na pozdější výhody týkající se řešení případných technických problémů. Bezdrátové technologie se stanou normami IEEE, jakmile budou schváleny pracovní skupinou spojenou s danou technologií. Tyto skupiny vyhodnocují navrhované normy, včetně konkurujících si implementací, a hlasují o ratifikaci konečného výsledku poté, co se dohodnou na souboru specifikací. V případě specifikace g navrhly dvě společnosti Intersil a Texas Instrumenst (TI) pracovní skupině nekompatibilní verze specifikací. Společnost Intersil nabídla větší rychlost, ale bez zpětné kompatibilnosti s b, zatímco nabídka společnosti TI byla příznivá k wi-fi a pomalejší (22 Mbit/s). Obě společnosti doufaly, ţe získají dominantní postavení na trhu čipových sad pro budoucí radiostanice zaloţené na specifikaci g. Po zdlouhavé debatě se pracovní skupina dohodla na specifikaci g zaloţené na prvcích návrhů čipů obou společností se zpětnou kompatibilností a s potenciální propustnosti 54 Mbit/s. 25

27 3.1.2 Spojíme se? Přístupové body typu SOHO jsou obvykle instalovány mezi širokopásmové internetové připojení (pomocí kabelového nebo DSL modemu) a danou lokální kabelovou síť. Ethernetový port WAN sítě propojuje AP a širokopásmový modem. Jeden nebo více portů lokální sítě 10/100BASE-T poskytují místo pro připojení kabelem zapojených zařízení k síti. Pokud je zařízení AP vyšší třídy, obsahuje několik portů pro připojení lokální sítě, někdy také port určený pro specifický ethernetový rozbočovač. V kabelové síti jsou k ethernetovému rozbočovači připojeny všechny počítače a síťové tiskárny. Toto propojení umoţňuje vzájemnou komunikaci. Pokud pouţijeme switch místo rozbočovače vytvoříme tak rychlejší kabelovou síť. Switch obdobně jako rozbočovač usnadňuje komunikaci mezi síťovými zařízeními. Rozdíl je v komunikaci switch vyhrazuje přepínače pro jednotlivé datové kanály pro kaţdý přepnutý port a nenutí tak sdílení stejné síťové datové vedení. To vede k rychlejší komunikaci mezi zařízeními v síti. Ethernetové porty zařízení AP jsou většinou přepínacími porty vybaveny. Většina domácích uţivatelů propojí všechna stávající zařízení pomocí dvou aţ čtyř ethernetových portů přímo k přístupovému bodu. Tímto odpadá nutnost pořizovat samostatný ethernetový rozbočovač. Pokud je více zařízení neţ portů v přístupovém bodu, můţeme připojit ethernetový rozbočovač a tím rozšíříme danou síť [2]. Některé přístupové body obsahují také sériový port, který slouţí k připojení modemu. Pokud budeme přistupovat na internet pomocí vytáčeného spojení, je nutností aby přístupový bod obsahoval tento port. Některé modely AP poskytují modemový port pro záloţní přístup. Většina AP má pouze příslušný port, takţe bude za potřebí modem a modemový kabel. Pokud nevlastníme síťovou tiskárnu, měli bychom uvaţovat o přístupovém bodu, který obsahuje port pro připojení tiskárny nebo alespoň tiskového serveru. Výhodou tiskového serveru je moţnost přístupu k tiskárně i uţivatelům bezdrátové sítě. Tato situace se hodí při sdílení jedné tiskárny např. v domácnostech. 3.2 Přístupnost internetu, síťové spouštění a jeho správa Software umoţňující nastavení přístupového bodu poskytuje přístup na internet, konfiguraci sítě, moţnosti zabezpečení a nástroje pro správu zařízení. Mnoho přístupových bodů pouţívá webové rozhraní, ale např. Buffalo nabízí nástroje na bázi OS Windows. Správu pomocí příkazové řádky v OS Linux podporuje jen několik AP. 26

28 3.2.1 Je libo internet? Hlavní charakteristika bezdrátových přístupových bodu je moţnost sdílení internetového připojení. Přístupový bod si vyţádá spojení, poté poskytuje informace o síti a následně zajistí přístup na internet pro počítače v dané síti. Aby mohl přístupový bod pracovat s téměř jakýmkoliv širokopásmovým připojením, měl by obsahovat funkce podpory PPPoE a DHCP. Metodu PPPoE neboli dvoubodový protokol přes ethernet, pouţívají někteří poskytovatelé připojení k internetu pro připojení DSL nebo kabelových uţivatelů. Pokud váš poskytovatel internetu vyţaduje PPPoE, musí i váš přístupový bod tuto technologii podporovat. Naštěstí jiţ většina přístupových bodů tuto technologii podporuje. Podpora klienta protokolu dynamické konfigurace (DHCP) znamená, ţe přístupový bod můţe získat ID adresu pro sebe od ISP namísto pouţití statické adresy. Tuto funkci obsahují téměř všechny přístupové body orientované pro SOHO [2] DHCP server Kaţdý počítač připojený k internetu má svou IP adresu, číselnou adresu pro identifikaci počítače on-line. IP adresy rozdělujeme na adresy statické, které jsou pevně přidělené a dynamické, které se mění vţdy s připojením na internet [4]. Mnoho poskytovatelů internetu přiřazuje IP adresy dynamicky, zákazníci pak pouţívají vţdy jednu IP adresu. Pokud budeme chtít sdílet internetové připojení mezi počítači v síti, budeme potřebovat IP adresu pro kaţdý počítač. Přístupový bod umoţňuje pomocí vestavěného DHCP serveru přidělovat IP adresy, stejně jako je poskytuje poskytovatel internetu. DHCP server poskytuje počítačům v síti, připojeným kabelem i bezdrátovým spojením, přístup na síť přes protokol TCP/IP. Sdílení jedné IP adresy více zařízeními umoţňuje nástroj NAT, pro překlad síťových adres. Všechny počítače v síti tak mohou pouţívat jednu adresu přiřazenou od poskytovatele připojení k internetu. Všechny přístupové body obsahují DHCP server a většina nabízí rovněţ NAT. Některé modely přístupových bodů nabízejí uţivatelsky komfortnější prostředí pomocí nadstandardního příslušenství a poskytují také dokonalejší zabezpečení. Několik přístupových bodů umoţňuje nastavení časového limitu pro pronájem adres přidělených DHCP serverem. Po vypršení časového limitu se ztratí přístup na síť. Dále je moţné nastavit maximální počet připojených zařízení v jednom okamţiku. Tímto můţeme vyloučit odposlouchávání sítě, které je neţádoucí [2]. Pokud budeme pouţívat souborový nebo tiskový server, sdílet soubory nebo hrát počítačové hry, je uţitečné, aby zařízení měla stejnou IP adresu při kaţdém připojení k síti. Pokud by síť nebyla takto nastavena, obdrţí dostupnou adresu z DHCP serveru přístupového bodu. DHCP server 27

29 váţe přiřazenou IP adresu v závislosti na MAC adresu klientských zařízení, tím zajišťuje zkrácené povely. IP adresa slouţí k jednoznačné identifikaci počítače, nezáleţí, jestli je statická či dynamická. Veřejné adresy jsou na internetu rozpoznány a umoţní připojení k serverům, které pouţívají své veřejné adresy. V lokálních sítích se pouţívají zejména privátní IP adresy. Formát adresy je totoţný s formátem veřejné IP adresy, ale patří do skupiny adres na internetu nerozpoznávaných. Např. IP adresy nebo jsou adresy privátní. Číslo 192 na začátku IP adresy naznačuje, ţe je adresa privátní. Pouţití privátních IP adres je způsobem, jak vytvořit TCP/IP síť bez ohledu na propojitelnost s vnějškem nebo bez ohledu na to, zda máte dostatek veřejných IP adres pro vaši lokální síť. Privátní adresace je rovněţ bezpečná, jelikoţ vnější subjekty se nemohou připojit na síť, která pouţívá privátní adresy. Pokud budeme chtít, aby se všechny počítače v naší síti připojovaly k internetu z privátní sítě, bez nutnosti kupovat veřejnou IP adresu pro kaţdý počítač, musí síťová adresa obsahovat nějaký prostředek pro sdílení veřejné internetové adresy. Směrovací funkce přístupového bodu a NAT poskytují tuto moţnost pro wi-fi sítě. DHCP server přístupového bodu přiřadí privátní IP adresu kaţdému zařízení na síti a připojí se sám na internet za pouţití veřejné adresy. Internetové pakety jsou předávány z přístupového bodu lokálním počítačům. NAT zobrazuje jednu IP adresu vnějšímu světu jedná se právě o tu adresu, která je přiřazena vašemu přístupovému bodu Ochrana v podobě firewallu Firewall slouţí k zabezpečení soukromé sítě. Brání počítač před vnějším napadením a ostatními nevyţádanými pokusy o spojení z internetu. Firewall chrání počítač tak, ţe blokuje přístupy pro prostředky, kterými internetové aplikace přijímají a odesílají informace [15]. Aplikace typu elektronická pošta, web a FTP vyuţívají komunikační kanály, takzvané porty. Kaţdá aplikace má své číslo portu a to vyuţívá při transakci. Protokol k přenosu souborů (FTP) má například číslo portu 21 a WWW server vyuţívá port 80 [4]. Pokud je port na počítači připojeném k internetu otevřený, pak s ním mohou komunikovat všichni, kteří znají IP adresu daného počítače za pomoci komunikační aplikace daného portu, nebo jiného speciálního softwaru, který zjistí dostupné porty na počítači. S takovými nástroji, které slouţí k snímání portů, můţe útočník napadnout nechráněný počítač a poškodit ho. Hackeři s oblibou vyuţívají portu 80 (http), díky kterému mohou zneuţít nechráněný počítač. Firewall zablokuje všechny porty, které uţivatel nepotřebuje a tak zajistí, zabrání vniknutí útočníků. Firewall a jeho ochranné systémy udrţují klientské zařízení na lokální síti v bezpečí pomocí 28

30 blokování poţadavků k přístupu přicházejících z portů WAN. Počítače umístěné na lokální síti mezi sebou mohou volně komunikovat a připojit se k internetu. Jelikoţ patří firewall mezi standardní vlastnost přístupového bodu, bývá aktivován implicitně, ale nemá tolik funkcí pro řízení přístupu jako firewall softwarový. Firewall by neměl chybět všude tam, kde jsou očekávané útoky a kde je zapotřebí omezení přístupu k určitým serverům na lokální síti. Filtry na základě obsahu umoţňují uţivatelům firewallu řídit příchozí provoz na základě klíčových slov nebo URL. Programové balíčky určené k filtrování rušivého obsahu předtím, neţ dorazí na domovský počítač, jsou určitým druhem filtru na základě obsahu. Firewall je dále uţíván k prevenci ochozích přístupů z určitých počítačů nebo aplikací. U přístupového bodu firewall představuje základní izolant sítě před útočníky Činnost směrovače a mostu Jak uţ bylo zmíněno, tak přístupové body lze pro snazší představu přirovnávat k mostu. Tento most spojuje bezdrátovou síť se sítí kabelovou a veskrze způsobuje, ţe dva síťové segmenty pracují jako jedna síť. Lze připojit souborové servery nebo pouţívat síťové tiskárny z kteréhokoliv segmentu dané sítě. Aplikováním mostu umoţníme připojeni k několika vzdáleným sítím. Pro příklad si představme, ţe máme síť v kancelářské budově a rychlé připojení k internetu. Po připojení k internetu zatouţí některý z dalších uţivatelů této budovy. My se rozhodneme, zprostředkovat mu přístup k internetu skrze naši síť. Pak připojením bezdrátového mostu k vaší síti a dalšího k síti ţadatele o připojení můţeme poskytovat přístup na internet pro vzdálenou síť, aniţ bychom museli nějak zasahovat do stávajícího síťového nastavení, kterékoliv ze dvou jiţ existujících sítí. Za pomoci antén s dlouhým dosahem můţeme takto nabídnout internet i firmám, které jsou od nás vzdáleny v řádech stovek metrů aţ několika kilometrů. Coţ nám umoţní takto spojit i kupříkladu naši domovskou síť se sítí pracovní a zdarma si tak uţívat internetového připojení, placeného naším zaměstnavatelem. Ovšem ne všechny přístupové body mohou disponovat funkcí mostu a několik takovýchto přístupových bodů, jako např. WAP11 od firmy Linksys, je výslovně zákazníkům prodáváno jako čistě bezdrátové mosty. Proto si vyberme přístupový bod s funkcí mostu tehdy, pokud plánujeme kupříkladu poskytnout bezdrátové pokrytí pro více existujících síti, které jsou na sobě nezávislé [2]. Další přístupové body jsou prodávány jako routery či domácí brány. Jiţ z definice plyne, ţe potřebujete router nebo bránu pro sdílení přístupu na internet data směřující na internet a z internetu jsou směrována na vaši lokální síť. Realitou však je skutečnost, ţe naprostá většina produktů mající za cíl domácnosti, poskytují sdílení přístupu na internet. Produkty zaměřené 29

31 především na výkon jednoduše usnadňují činnost bezdrátových sítí a jsou uţívány a jsou spojení mostu s kabelovou sítí. Některá další zařízení označovaná svými výrobci jako routery poskytují dynamické nebo statické směrování. Kaţdá z těchto dvou funkcí bývají k uţitku jen tehdy, pokud je daný přístupový bod součástí skupiny sítí, které jiţ obsahují jiné routery. Statické směrování umoţní specifickou cestu, kterou data pouţívají pro pohyb mezi směrovanými sítěmi, zatímco dynamické směrování umoţňuje určení cesty v reálném čase na základě aktuálního uspořádání větší sítě. 3.3 Síťové adaptery a rozhrání Ačkoliv mnoho výkonných notebooků nyní obsahuje podporu pro wi-fi jako standardní vybavení, většina přenosných zařízení a PC je neobsahují. Bezdrátové systémy, obdobně jako dříve ethernet, budou v budoucnu všudypřítomné, nyní je však pravděpodobné, ţe budete zakoupit adaptéry pro wi-fi síť téţ známé jako karty síťového rozhraní (NIC) pro většinu počítačů, které budete chtít přidat k vaší síti. V této části se dozvíme o moţnostech výběru wi-fi adaptéru, včetně moţností, jeţ jsou k dispozici pro notebooky, PC a příruční zařízení. Vzhledem k tomu, ţe přístupové body wi-fi sítí mají mnoho společného s jinými zařízeními podle , existuje napříč spektrem síťových adaptérů vycházejících z normy více podobností neţ rozdílů Jaké máme síťové adaptery? Můţe být matoucí, ţe pro wi-fi zařízení je občas uţíváno označení síťový adaptér jindy karty síťového rozhraní. Vysvětlení je prosté. Zatímco všechna wi-fi zařízení obsahují radiostanici s PC kartou, tak pouze některá poţadují adaptér nebo zapojení do PC například skrze rozhraní USB. Jako uţivatel máme hned několikero moţností výběru wi-fi adaptéru, avšak ne všichni výrobci (dodavatelé) zaujímají stejný přístup. Proto jsem si sem dovolil vloţit tabulku, která je k nalezení v jedné z knih a která nám pomůţe při výběru nejlepšího moţného adaptéru pro ten, který počítač připojený do naší wi-fi sítě. Tabulka zohledňuje nejpouţívanější adaptéry volně dostupné na našem trhu. 30

32 Tabulka 1 druhy síťových adaptérů Typ karty Výhody Nevýhody Poznámky PC karta Snadno se instaluje, je levná, kompaktní a kompatibilní s větším Není přímo kompatibilní se Implicitní moţnost pro notebooky počtem notebooku, které nepracují na bázi Windows, neţ PCI nebo USB alternativy stolními PC PCI Poskytuje wi-fi přístup pro téměř všechna stolní PC, která provozují OS Windows, či Linux Vyţaduje instalaci; můţe dojít ke konfliktu Vybírejte adaptéry a radiostanice od jednoho dodavatele s ovladačem. ISA Jediná volba, kdyţ jsou všechny PCI sloty plné Problémy se kompatibilností, vyţaduje zvláštní IRQ, k dispozici je málo výrobků. Poněkud draţší. USB Přenosný, slučitelný s desktopy a notebooky, moţnosti flexibilního umístění zvyšují dosah bezdrátového spojení Většinou nemá výstup na externí anténu A co dnes? Dnes nejpouţívanějším a mezi uţivateli zdaleka nejoblíbenějším adaptérem je jednoznačně USB adaptér [9]. Oproti zastaralým PCI/ISA adaptérům je jeho výhodou, ţe po jeho připojeni nemusíme vůbec nic instalovat. Coţ nám ulehčí mnoho času a problémů. Navíc dnes je naprosto kaţdý notebook či stolní počítač vybaven větším či menším počtem USB portů a tak se z USB stává standard běţně uţívaný všemi. Pokud nám snad nevyhovuje signál přijímaný na místě našeho působení, není problém Wi-fi adaptér z USB zdířky jednoduše vytáhnout, přesunout se k silnějšímu signálu a znovu zapojit [4]. Tato mobilita je nedocenitelným faktorem, minimálně u všech uţivatelů notebooku. Jediným problémem, který se můţe vyskytnout, je varianta, kdy více zařízení připojených ke stejnému rozbočovači, jeţ uţívá wi-fi, můţe dotyčnou síť zpomalovat. Na druhou stranu tato opravdu 31

33 malicherná komplikace, nemůţe dle mého minimálně v dnešní době a několika příštích letech, ohrozit pozici USB adaptéru na trhu. 4 Operační systémy a jejich kooperace s Wi-fi Zde se budeme podrobně věnovat podpoře Wi-fi sítě v operačních systémech Microsoft Windows XP, 2000, Vista, 7. Rozdíl mezi bezdrátovým a kabelovým připojením do počítačové síti je minimální. Pro operační systém není důleţité, jestli je přenos dat pomocí kabelu nebo rádia. Wi-fi síť nepotřebuje ţádná specifika, pouţívá protokol TCP/IP který je dostupný v kaţdém moderním operačním systému. Pokud se rozhodneme postavit větší síť, budeme potřebovat podporu dynamických směrovacích protokolů nebo QoS coţ je kontrola kvality sluţby. Tyto sluţby jsou běţně dostupné pro aktuální operační systémy. Největším nedostatkem se tak mohou stát ovladače Wi-fi techniky, protoţe je nutnosti. Samotná technická instalace Wi-fi prvku do počítače je důkladně popsána v manuálu dodávaném se zakoupenou technikou, takţe se omezíme na obecné. 4.1 Windows a Wi-fi Operační systémy Windows společnosti Microsoft patří k nejrozšířenějším na trhu, proto podporují většinu zařízení. Menším problémem můţe byt společnost Apple, protoţe jejich zařízení nepodporují ovladače pro Windows. Operační systém Windows XP vyţaduje digitální podpis ovladačů, který některá zařízení nemají. Při instalaci budeme muset počítat s potvrzením výstrahy, ţe ovladač nebyl certifikován. Kvalita podpory bezdrátových sítí postupně klesá se stářím operačním systémem. Prakticky nejlepší podporu pro přímé připojení do bezdrátové sítě mají Windows XP, a u novějších operačních systémů je toto připojení samozřejmosti. Pokud bezdrátová síťová karta vyuţívá čipovou sadu Lucek/Agere nebo čipovou sadu podporující NDIS 5.1, bude ve Windows XP rozpoznána a nainstalována. U jiných Wi-fi karet je nutnosti doinstalovat ovladač. V operačním systému Windows XP je podporována funkce WPA zabezpečení a také autentizace 802.1x. Velkou výhodou Windows XP je funkce Zero Configuration. Jedná se o zjednodušení nastavení bez nutnosti manuální konfiguraci. Po připojení Wi-fi karty operační systém sám prohledá a nabídne dostupné sítě. V oznamovací oblasti se zobrazí ikonka dvou monitorů a symbolizuje připojení do bezdrátové sítě. Najetím myši na tuto ikonu se dozvíme základní informace o připojení, dvojklikem vyvoláme základní přehled o bezdrátové sítě a moţnost další konfigurace. V nastavení můţeme nastavit pořadí sítí, ke které se počítač připojí. K domovské síti se pak 32

34 počítač připojí automaticky, kdyţ je síť dostupná. Pro zjištění výkonu a měření kvality sítě je lepší pouţívat utility dodávané výrobcem. 5 Bezpečnost Wi-fi sítí Bezpečnost ve vrstvách je to, s čím se seznámíme v této kapitole. Dozvíme se, jak funguje autentizace sdíleným klíčem, podrobně se rozepíšu o protokolu WEP a jeho zranitelnosti. Na konec této kapitoly se seznámíme se základy tvorby a spravování co nejbezpečnějšího hesla. První a zároveň snad tou nejdůleţitější součástí jakékoliv počítačové sítě a to nejen bezdrátové je samotné zabezpečení. U bezdrátové sítě je ohroţení o to větší, ţe sledovat datové toky takové sítě můţe vesměs kdokoliv, kdo se nalézá v místech, které tato síť pokrývá a nepotřebuje k tomu vesměs nic jiného neţ běţný počítač a nějaký přijímač signálu. Odposlechem rozumíme, ţe daná osoba můţe nejen monitorovat naší komunikaci, ale i přistupovat k aplikacím na jednotlivých PC v síti či dokonce blokovat provoz sítě. Rozsah takovéhoto nebezpečí vzrůstá s počtem uţívaných bezdrátových sítí a tedy uţivatelů, kteří dané problematice rozumí a jsou schopni novými a neotřelými metodami překonávat stávající zabezpečení. Bezpečnost je poslední velká překáţka, kterou je nutné zdolat dříve, neţ budou moci IT manaţeři připustit integraci bezdrátové a metalické firemní sítě. Průmysl, výrobci i standardizační skupiny usilovně pracují na vývoji lepších bezpečnostních mechanismů. Bezpečnostním mechanismem rozumíme krom šifrování i autentizaci, nastavení zařízení, ale i bezpečnostní politika jsou základními kameny, na kterých stavíme problém bezpečného přenosu našich dat. A to ať uţ se jedná o malou, domácí síť anebo firemní síť, kde bezpečnostní otázka je snad o to více palčivější. 5.1 Bezpečné vrstvy V první řadě musíme chápat skutečnost, ţe bezpečnost nemůţeme nadefinovat v naprosto dokonalých hodnotách, jelikoţ tak jako mnoho jiného, neexistuje nic ani z daleka podobného něčemu jako je dokonale zabezpečený počítačový systém. I kdyţ mnoho lidí říká, ţe dokonalá bezpečnost v IT je pouze vypnutý počítač. Bohuţel uţ nedodávají, ţe takový počítač je nám uţitečný asi tak jako mrtvému zimník, jak praví známá lidová moudrost Autor jedné z knih pak ještě přidává otázku, zda je takto dokonale zabezpečený počítač chráněn i proti kladivu či řízené střele. Řešení této otázky zabezpečení PC nechám na vás a budu se věnovat běţnějšímu typu ohroţení. Ochrana bezdrátové sítě je podobná jako ochrana auta. Můţete si koupit zámek na volat. Anebo si můţete najmout nepřetrţitou ozbrojenou ochranku [1]. Pokud ale někdo bude mít dostatek času a energie, váš majetek je pořád v ohroţení. Nezapomínejte, ţe zabezpečení se vţdy provádí 33

35 ve vrstvách. To jestli je určitá funkce zapnuta, nebo vypnuta mnohdy napomáhá prolomení bezpečnosti vaší sítě. Proto se mnoho času při zabezpečování věnuje kalibraci a vyvaţování jednotlivých funkcionalit, tak aby výsledek byl pokud moţno co nejblíţe oné dokonalosti. Lze říci, ţe čím více bezpečnostních vrstev, tím větší bezpečnosti dosáhneme, ale na druhé straně stojí otázky, zda výsledná bezpečnost nebude celou komunikaci, příliš zpomalovat, nebo zda data, která si přejeme chránit, mají pro nás takovou hodnotu, ţe je potřebujeme chránit tím nejlepším. A nejlepším můţeme v dnešní době rozumět i nejdraţším. 5.2 Ověření sdíleným klíčem Dvě autentizační metody definovány v protokolu jsou Otevřený systém a Sdílený klíč. Otevřený systém lze definovat tím, ţe nepouţívá ţádného hesla a kde si klient ţádá o autentizaci a AP mu povoluje přístup. Toto řešení přístupu není vhodné pro interní firemní sítě, kde mohou téci citlivá data a mohl by se k nim tak dostat kdokoliv, ale je asi nejlepší volbou u veřejně přístupných bodů, kde právě neomezený přístup je tím čeho chceme dosáhnout. Sdílený klíč jako druhá z metod vyţaduje znalost WEPového klíče, který je nám znám z šifrování dat, kde slouţí k šifrování datového toku. Ovšem zde slouţí k autentizaci klienta u AP. Celá komunikace při uţití sdíleného klíče pak vypadá nějak takto: [1] Klient pošle na AP autentizací poţadavek AP pošle klientovi 128 bajtů dlouhou výzvu Klient zašifruje výzvu svým WEPovým klíčem a zašifrovaný text pošle zpátky na AP AP vyuţije svou znalost WEPového klíče a ověří, zda klientem odeslaná odpověď odpovídá původní výzvě AP klientovi oznámí úspěšnou autentizaci Přenášení SSID Kaţdé AP vysílá pravidelně administrativní signalizaci (beacon) a tím ohlašuje svou přítomnost. Tyto zprávy obsahují různorodé informace o AP, jako například podporované rychlosti, SSID nebo sílu signálu a lákají tím potencionálního klienta k připojení. Tato vlastnost se jeví jako naprosto ideální a např. v prostředí Windows XP je to výborná funkce. Kdyţ zadáte Zobrazit dostupné sítě, vygeneruje se seznam sítí podle přijatých signalizačních rámců. Jedná se o velmi uţitečnou funkci například v případě, kdy se nacházíme u 34

36 veřejného přístupového bodu, jelikoţ se díky této funkci snadno dozvíme SSID potřebné pro připojení k síti. Vysílání SSID je však nevýhodné z bezpečnostních důvodů, protoţe útočníci takto mohou naši síť snadno najít a identifikovat. Výrobci hardwaru vyřešili tento problém implementací proprietárního [12] řešení často nazývaného uzavřená síť. AP v tomto reţimu sice stále vysílá administrativní signalizaci, hodnota SSID je ale prázdná. Určité nástroje pro detekci AP, jako je například NetStumbler, o kterém se podrobně popsáno v [6], naši bezdrátovou síť neuvidí. Jestliţe však útočník komunikaci nějakým způsobem odposlouchává, zaznamená ostatní provoz v bezdrátové síti a neunikne mu přítomnost sítě. Smyslem potlačení vysílání SSID je, ţe se sníţí šance, ţe se k nám připojí náhodou klient jdoucí okolo, nebo pravděpodobnost detekce sítě některými,,war drivers. Potlačení vysílání SSID také znamená, ţe nezveřejňujeme název své sítě, který je potřebný pro asociaci se sítí. Pokud se ale útočníkovi podaří zachytit asociační výměnu oprávněného uţivatele, můţe si zjistit hodnotu SSID i v uzavřeném reţimu. Pomocí podvrţeného rámce, který si šikovný útočník vytvoří, můţe útočník přikázat klientovi se disasociovat a při jeho následujících opakovaných asociacích se útočníkovi můţe podařit zachytit hodnotu SSID. Většině útočníků se ale naštěstí v této situaci naši síť nepodaří odhalit a najdou si nějaký jednodušší cíl. V některém prostředí je vysílání SSID ţádoucí, v jiných má smysl vysílání SSID naopak potlačit. Správně nastavit SSID v konfiguraci AP i v konfiguraci klienta je poměrně jednoduché, ale problém je v tom, ţe jakmile odstraníte SSID z administrativních zpráv, připravíte klienta o moţnost roamingu mezi AP [8]. Klienti se na základě přijímaných zpráv mimo jiné rozhodují, zda nejsou blíţe jinému AP se silnějším signálem. Důleţité také je, ţe vypnutí vysílání SSID je zcela lokální volba a není součástí standardu a ne všechny AP tak musí umoţňovat, aby bylo vysílání vypnuto Selekce MAC adres Stejně jako klasické ethernetové karty, které mají výrobcem stanovenou MAC adresu, jinak nazývanou hardwarovou adresu, (například Media Access Control), i bezdrátové karty mají svou MAC adresu. Smysl filtrace MAC adres spočívá v tom, ţe v AP se udrţuje seznam autorizovaných MAC adres a provoz je povolován pouze kartám s těmito adresami. Značným rizikem je, ţe velké mnoţství bezdrátových karet má ovladač, pomocí nějţ můţe uţivatel změnit MAC adresu. Toho totiţ můţe útočník zneuţít a zfalšovat MAC adresy. Měnit MAC adresu lze i pomocí jiných nástrojů, například pomocí SpoofMAC. Problém je v tom, ţe se zdrojová a cílová MAC adresa posílají nešifrovaně, čehoţ útočník vyuţije a snadno odposlechne hodnoty povolených MAC adres. Následně svou bezdrátovou kartu nastaví tak, aby tuto platnou 35

37 adresu pouţívala. AP bude přitom přesvědčeno, ţe se jedná o legitimní provoz, protoţe karta bude vypadat jako karta s povolenou MAC adresou. Dalším problémem je, ţe se administrace seznamu autorizovaných adres stává ve větších sítích neudrţitelnou. Udrţování aktualizované evidence MAC adres všech karet, ať uţ pořizovaných nebo vyřazovaných, je ve společnosti s větším počtem klientů velmi pracné, nemluvě o údrţbě aktualizovaného seznamu na všech AP. V domácím prostředí, v malé kanceláři či malé skupince klientů se filtrace MAC adres implementuje velmi snadno z důvodu nízkého a většinou konstantního počtu klientů. Tento druh ochrany těţí ze skutečnosti, ţe se útočník pravděpodobně nebude namáhat s falšováním své MAC adresy a raději se zaměří na jiný cíl, který je méně chráněný. 5.3 Šifrování WEP Ačkoliv média často popisují protokol WEP jako zranitelný, je WEP z pohledu malé společnosti nebo domácnosti hodnotným nástrojem a představuje způsob, jak ostatním oznámit, ţe je tato síť privátní. Uţivatelé znají pouze jediný údaj - SSID. Zapne-li uţivatel WEP, vystaví tím nad sítí velkou pomyslnou ceduli Nerušit. Takovéto nastavení můţe mít z právního hlediska zásadní význam. Jestliţe uţivatel má zapnutý WEP, neautorizovaný uţivatel pak nemůţe tvrdit, ţe se připojil k vaší síti omylem [1]. Kryptologové často a rádi pouţívají absolutní termíny, takţe šifrování je podle nich buď dokonalé anebo špatné. Protokol WEP nepochybně má jisté známé slabé stránky. Odborníci ho přesto doporučují pouţít, pokud nemáme jinou moţnost [14]. Pro provedení většiny útoků, o kterých se níţe podrobněji zmíním, je nutné nejprve odposlechnout velký objem provozu. U domácnosti a malých společností se generuje tak málo provozu, ţe by útočníkovi trvalo několik dní či dokonce týdnů, neţ by získal dostatečné mnoţství údajů potřebných k provedení útoku. Existují ovšem určité techniky, s jejichţ pomocí lze vygenerovat dostatek provozu, aby klíč bylo moţné rozluštit třeba za hodinu. Největší slabinou implementace protokolu WEP ve standardu je to, ţe tento standard neřeší správu klíčů. Sdílené tajné heslo je třeba distribuovat všem uţivatelům, avšak protokol nám bohuţel neudává způsob, jak to má provést. Měl by být uţivatelům zaslán s ţádostí, aby si klienta nastavili samostatně? Nebo by jim měla být nechána zpráva na záznamníku, či jim pracovník napíše klíč na papír? Neexistuje totiţ ţádná metodika jak správně řídit distribuce klíčů. U malé skupiny klientů to nevadí, jak to ale řešit ve velké organizaci? Tento problém ještě navíc komplikuje fakt, ţe klíče je třeba pravidelně obměňovat. Můţeme to přirovnat k zámku na vchodových dveřích, který je také nutné vyměnit a všem dát nový klíč, pokud se někdo odstěhuje. V případě Wi-fi by klíče měly být změněny vţdy, kdyţ ze společnosti 36

38 odejde nějaký zaměstnanec. I v případě ztráty anebo krádeţe notebooku bychom měli předpokládat, ţe mohlo dojít ke kompromitaci klíče [13] Slabé strany protokolu WEP Proces šifrování vţdy začíná u nešifrovaného textu, který si chceme ochránit. Nejdříve WEP vypočítá z textu 32bitový CRC, coţ je kontrolní součet pro ověření integrity dat. Tento kontrolní součet se poté připojí za přenášenou zprávu. Dále se připojí tajný klíč k inicializačnímu vektoru (IV). Kombinaci IV a tajného klíče předáme do generátoru pseudonáhodných čísel RC4 (PRNG) a výstupem bude šifrovací klíč. Šifrovací klíč je sekvence nul a jedniček stejně dlouhá jako původní zpráva plus kontrolní součet. Následně mezi textem spojeným s kontrolním součtem a šifrovacím klíčem provedeme logický výhradní součet (XOR). Výsledkem pak bude šifrovaný text, před který připojíme hodnotu inicializačního vektoru a tento výsledek nakonec přenášíme. Dešifrování probíhá stejně jako šifrování, ovšem obráceně. Vezmeme inicializační vektor, připojíme k němu tajný klíč a výsledek předáme generátoru RC4, který znovu vytvoří sekvenci šifrovacího klíče. Mezi tímto klíčem a zašifrovanou zprávou provedeme operaci XOR, čímţ dostaneme původní hodnotu. Znovu si pro ni vypočítáme kontrolní součet a porovnáme jej se součtem, který jsme přijali. Pokud by kontrolní součty nesouhlasily, předpokládáme poškození zprávy a zahodíme ji [1]. Jednou z moţných chyb v protokolu WEP je fakt, ţe není určeno, jak se má generovat inicializační vektor. IV je 24bitová hodnota přidávaná před tajný klíč, a tato kombinace slouţí k nastavení generátoru RC4. Důvodem, proč se IV pouţívá je skutečnost, ţe potřebujeme zajistit různorodou inicializační hodnotu generátoru. Základním poţadavkem šifry RC4 je, aby se za ţádných okolností nepouţila znovu ta samá inicializační hodnota. Problém protokolu WEP ovšem spočívá v tom, jak iniciační vektor generovat toto není řečeno Srozumění s operací XOR Operace XOR je ekvivalentní tvrzení,,je to pravda, pokud je jedna hodnota jiná neţ druhá (tedy, jedna z nich je jednička a druha z nich je nula) a není to pravda, pokud jsou obě hodnoty stejné (tedy, dvě nuly nebo dvě jedničky). Pokud znáte dvě z hodnot, které se k operaci XOR vztahují, můţete odvodit tu třetí. Jinak řečeno, pokud víte, ţe nějaká hodnota XORováno nulou dává nulu, pak víte, ţe ta hodnota musí být nula (protoţe 0 XOR 0 = 0). Podobně pokud víte, ţe nula XOR něco dává jedničku, pak to něco musí být jednička (protoţe 0 XOR 1 = 1) [1]. 37

39 Těžkosti s řízením klíče WEP pouţívá šifrovací mechanismus se sdíleným klíčem, coţ znamená, ţe pro šifrování i dešifrování se pouţívá stejná tajná hodnota (klíč). Odesílatel i příjemce musí hodnotu klíče znát. Jedním z problému protokolu je to, ţe neřeší problém správy klíče: Jak se má klíč distribuovat mezi uţivateli? Nevypadá to jako problém, pokud WEP pouţíváte v prostředí se třemi notebooky, jak ale budete implementovat WEP v síti s tisícovkou počítačů? Kaţdý uţivatel musí klíč znát a musí jej udrţet v tajnosti. Co kdyţ některý zaměstnanec opustí společnost nebo dojde ke krádeţi notebooku? Kaţdému klientovi musíte sdělit nový klíč a on si jej musí ve své konfiguraci nastavit. Pokud se navíc útočníkovi z nějaké relace podaří klíč zjistit, stejným klíčem můţe rozluštit kteroukoliv jinou relaci, protoţe všichni pouţívají stejný klíč [1] Proudová šifra RC4 Protokol WEP pouţívá proudovou šifru RC4 společnosti RSA. Jde o stejnou šifru, jaká se pouţívá i v jiných kryptografických systémech, například v SSL (Secure Sockets Layer), coţ je základ protokolu HTTPS Problém WEPu spočívá v tom, ţe protokol neřeší, jak má být implementováno generování inicializačního vektoru. Jak uţ bylo řečeno, pro inicializaci šifry RC4 se pouţívá kombinace inicializačního vektoru a tajného klíče. IV je 24bitové číslo. Řada výrobců říká, ţe pouţívá 64bitový nebo 128bitový WEP tento údaj je ale poněkud zavádějící, protoţe 24 bitů tohoto klíče je inicializační vektor a ten se přenáší nešifrovaně. Přísně vzato je délka tajné části klíče pouze 40 nebo 104 bitů. Problém WEPu není v pouţití šifry RC4, ale v tom, jak je její pouţití implementováno [1] Kolize inicializačního vektoru Jakmile dojde k opakovanému pouţití stejného inicializačního vektoru říkáme, ţe došlo ke kolizi. Kdyţ nastane kolize, kombinace sdíleného tajného klíče a opakovaného inicializačního vektoru vede k tomu, ţe se generuje stejná sekvence šifrovacího klíče. Protoţe se IV přenáší nešifrovaně, útočník odposlouchávající provoz můţe poznat, ţe ke kolizi došlo. Na základě odhalení kolizi IV je moţné provést několik různých útoků. Útok na šifrovací sekvenci je metoda, kdy na základě analýzy dvou paketů odvozených od stejného IV zjistíme sekvenci šifrovacího klíče. Stručně řečeno XOR dvou zašifrovaných textů a XOR dvou původních textů dává stejný výsledek. Samozřejmě se naskýtá otázka jak zjistit jeden přímý text, abychom pak mohli odvodit druhý přímý text. Jsou dvě moţnosti. Pokud je cílový počítač viditelný z Internetu, můţeme na tento počítač poslat nějaký paket. A protoţe ten paket posíláme my, jeho obsah známe. Svůj paket 38

40 můţete identifikovat podle toho, ţe například pouţijete nějakou neobvyklou velikost a v zachycených datech pak budete paket této velikosti hledat. Druhá metoda jak přímý text zjistit je prostě hádat. Řada protokolů rodiny TCP/IP pouţívá známé komunikační procedury. Pakety protokolu DHCP, ARP a dalších všesměrových protokolů například mají známé dobře dokumentované charakteristiky [1]. Útok na šifrovací sekvenci je moţný samozřejmě jen v případě, ţe dojde k opakování inicializačního vektoru. To je právě hlavní slabina návrhu protokolu WEP. Protoţe standard nijak nedefinuje, jak má být generování IV implementováno, dochází k jeho opakování často a opakované pouţití standardu nijak neodporuje. Pokud má AP vyhovovat standardu, dokonce musí akceptovat opakovaně pouţívaný inicializační vektor, Tím se ovšem porušuje hlavní poţadavek šifry RC4: opakované pouţití téhoţ klíče je riskantní. Stejný klíč nemá být nikdy pouţit dvakrát Zavádění zprávy Jakmile útočník zjistí šifrovací sekvenci, můţe sestrojit libovolnou novou zprávu. Vezme nový přímý text, provede XOR se známou sekvencí a vytvoří tak nový šifrovaný text. Protoţe standard nevyţaduje změnu IV u kaţdého odesílaného paketu, jakékoliv zařízení musí akceptovat opakovaně pouţívaný IV. Při znalosti šifrovací sekvence můţeme vzít nový přímý text a pomocí šifrovací sekvence vytvořit podvrţenou zašifrovanou zprávu. Vzniklý paket pak můţeme vyslat do sítě a příjemce jej dešifruje jako platná data [1] Neprává autentizace Jinou variantou útoku na šifrovací sekvenci je podvrţená autentizace. Problém tohoto mechanismu spočívá ve skutečnosti, ţe pokud se útočníkovi podaří zachytit tuto autentizací sekvenci, zjistí jak přímý text (výzvu), tak odpovídající zašifrovaný text (odpověď). Stejným postupem jako u injekce paketů pak útočník můţe zjistit šifrovací sekvenci, vyţádat si autentizaci a k zašifrování výzvu, kterou od AP obdrţí, pouţije zjištěnou šifrovací sekvenci a vytvoří tak platnou odpověď. Útočníkovi se tak můţe podařit platná autentizace, přestoţe WEPový klíč nezná. Útok je moţný díky tomu, ţe výzva je vţdy dlouhá 128 bajtů a samozřejmě díky tomu, ţe inicializační vektor lze pouţívat opakovaně [1]. 5.4 Základy bezpečného hesla Hesla jsou tak zvanou,,obrannou linii uţivatelských účtů, proto je velmi důleţité, jaké heslo se vytváříme. Zvolíme-li příliš jednoduché heslo, koledujeme si tak o narušení bezpečnosti celé 39

41 podnikové síti. Proto jsou všichni zaměstnanci odpovědni za výběr a uschování hesel. Důleţitou součásti je vytvořit tzv. standard, který určuje nezlomitelnost hesel a periodicitu nutnou pro jejich změnu. Především pravidelné měnění hesel je velice důleţité, protoţe útočnicí se neustále pokouší tyto hesla prolomit. Většina systému nutí uţivatele po uplynuti určité doby aby heslo změnil a zároveň mu nedovolí aby nové vytvořené heslo bylo příliš jednoduché nebo ho bylo moţné nalézt ve slovníku [11] Zásady pro každého Jednou za čtvrtletí je potřeba změnit veškera systémová hesla (například účty root, enable. Administrator ve Windows NT, účty pro správu aplikací apod.). Všechna provozní systémová hesla vedena týmem podnikové bezpečnosti musí spadat pod globální databázi správy hesel. Jednou za půl roku by uţivatele měli změnit přístupová hesla k u, k Webu, ke stolním počítačům apod. Tento interval se ovšem doporučený měnit jednou za čtyři měsíce. Výjimkou jsou uţivatele jako administrator a root, kteří mají oprávnění systémové úrovně a byli jim uţivatelské účty předělený pomocí členství uţivatele ve skupinách či pomocí jiných programů, tyto uţivateli musí mít tzv. jedinečné heslo odlišné od všech ostatních účtů. Jednou z hlavních zásad je nikdy nezapisovat hesla do elektronické pošty ani do jiné elektronické komunikace. Uţivatele nesmí své heslo bez výjimek prozradit nikomu a to ani v případě, jednali se o kolegu s vyššími kompetencemi. Dojde-li ovšem k ţádosti o sdělení hesla, měl by se uţivatel vţdy spojit s týmem podnikové bezpečnosti. Veškera systémová a uţivatelská hesla musí odpovídat zásadám [11] Zadávání hesel aneb čím se řídit Hesla pouţíváme pro zabezpečení ových účtů, webových účtů, uţivatelských účtů, k hlasové poště a pro místní přihlášení ke směrovačům. Kaţdý uţivatel se musí zvolit dostatečné silné heslo, protoţe jen málo, který systém podporuje jednorázové tokeny (neboli dynamická hesla s jednorázovou platností). Jak poznáme zcela nevhodné heslo: Heslo je moţné najít ve slovnících (anglickém, českém či jiném) Zcela nevhodné je heslo kratší neţ osm znaků Heslo je příliš jednoduché v případě ţe: 40

42 o Jsme pouţili jméno partnera, spolupracovníka, domácího mazlíčka, značky našeho auta nebo název námi nejčtenější knihy či oblíbeného filmu, jména fotbalových nebo hokejových klubů jejich hráčů apod. o Názvy jako software, hardware, samotné firmy, kde pracujeme a názvy z oblasti počítačů, nebo podnikatelské činnosti. o Nevhodné jsou téţ jednoduché čísla na kombinace například 12345, , nebo kombinace písmen aaabbb [11]. Opravdu silná, neodhalitelná hesla můţeme charakterizovat takto: Obsahují interpunkční znaménka nebo číslice (například 0-9,!@#$%^&*()_+ ~-) Jsou sloţená z velkých i malých písmen Jsou delší neţ osm alfanumerických znaků Nejsou tvořena z našeho slovníku, tím je myšleno dialekt, slang apod [11]. Hesla se za ţádných okolnosti nesmí ukládat v ţádné elektronické podobě ani zapisovat na papír. Proto je vhodné vymyslet si takové heslo, které splňuje určitou frázi, například:,,libí se mi skupina Sum 41 protoţe je fakt dobra skupina 9, ze které vytvoříme heslo:,,lsmss41pjfds9 41

43 PRAKTICKÁ ČÁST 42

44 Úvod do problematiky V praktické časti, mé bakalářské práce vás nejprve seznámím s hardwarem, který jsem pří vypracovávání tohoto problému pouţil. Dále vás pak hodlám seznámit se základními vlastnostmi ad hoc sítě, jejím nastavením a dalšími podrobnostmi týkající se zprovoznění takovéhoto spojení dvou počítačů. V další části této práce vás seznámím s některým softwarovým vybavením, které slouţí k monitorování signálů pokrytí touto sítí, ke grafickému znázornění prostor ve kterých jsem prováděl příslušná měření. V posledním bodu této praktické části mé diplomové práce se můţete seznámit se zabezpečením počítačových bezdrátových sítí a jejich náchylnosti k odposlechu. Pro praktickou část jsem pouţil notebook HP Pavilion dv9000 jehoţ parametry naleznete v tabulce pod tímto textem. Pod hardwarovým profilem notebooku dále uvádím přehledně vypsaný software instalovaný na jeho harddisku. Tabulka 2: Hardwarový profil Hardware Hodnota Procesor Intel Core(TM)2 Duo CPU T GHz Základní deska Quanta 30CB Grafická karta NVIDIA GeForce 8600M GS (128MB DDR2, PCIe 1.00 x16) Pevný disk FUJITSU MHW2120BH 250GB (SATA150, 8MB Cash) Operační paměť 2GB DDR2 Rozvodná síť Realtek RTL8168B/8111B Family PCI-E GBE NIC (Ethernet) Bezdrátový systém Intel(R) Wireless Wi-fi Link 4965AGN Tabulka 3: Použitý software Software Windows Vista Premium Microsoft Office Visio Inssider PovRay WirelessNetView CommView for Wi-fi Aircrack-ng Funkce Konfigurace ad hoc sítí, připojení na cizí wi-fi přístupový bod Vytváření schéma sítí Monitoring Wi-Fi sítí a okolí Vytváření schématu bytu Zkoumání signálu sítí Analýza příchozích a odchozích paketů v přístupových bodech Generování WEP-klíčů 43

45 Operační systém Windows Vista jsem pouţil, protoţe jsem ho měl nainstalovaný, kdyţ jsem kupoval svůj notebook. V době nákupu svého notebooku byl operační systém Windows Vista novinkou na trhu. S programem Microsoft Office Visio jsem se seznámil na hodinách počítačových sítí, kdyţ jsme se učili schémata sítí. V tomto programu je moţné kreslit přehledná schémata a stručné diagramy. A z tohoto důvodu jsem pouţil tento program pro kreslení schématu sítí ve svém bytu. Program Inssider jsem pouţil pro monitoring sítí okolí mého bytu. S tímto programem jsem přišel do styku na internetu, kdyţ jsem se snaţil sehnat program NetStumbler. Bohuţel jsem zápětí zjistil, ţe NetStumbler nepodporuje práci v operačním systému Windows Vista a je tedy pro mě zbytečný. S programem PovRay jsem seznámil na hodinách aplikované počítačové grafiky. Na tomto předmětu jsme kreslili 2D, 3D modely. Jedním z úkolů na vytváření 3D modelu bylo nakreslit schéma svého bytu. Právě toho jsem vyuţil a toto schéma zúročil do své bakalářské práci. O WirelessNetView jsem dozvěděl od spoluţáka, který tento spolehlivý program pouţívá ve své práci. Je to jednoduchý program, pro zjišťování přístupových bodů v okolí. S programem CommView for Wi-fi jsem se seznámil, kdyţ jsem hledal vhodný software pro analýzu příchozích a odchozích paketů. Tento program je uţitečný, z důvodu ţe dává kompletní informaci o přístupovém bodu a umoţňuje odchytávat pakety. O programu Aircrack-ng jsem dozvěděl při četbě zdroje [10]. Tento program jsem zvolil právě z důvodu, ţe pomocí něho jsem se seznámil se zranitelnosti protokolu WEP. 6 Vytváření Wi-fi sítě prostřednícím ad hoc připojení Tato kapitola se zabývá vytvářením Wi-Fi sítě v reţimu ad hoc. Vybral jsem tento reţim kvůli tomu, ţe představuje jednoduchý způsob propojení dvou počítačů, kdyţ nemáme zrovna po ruce kabel a potřebujeme sdílet některá data mezi počítači nebo rychlý přístup na internet. Pro vytváření wi-fi síti v reţimu ad hoc doma nebudeme potřebovat ţádný extra hardware či software. Stačí, kdyţ máme k dispozici 2 počítače mající wi-fi karty. Proces konfigurace ad hoc připojení vám ukáţu na vývojovém diagramu umístěném pod tímto textem. 44

46 Obrázek 3: Diagram aktivit Proces připojení mezi dvěma PC 45

47 Jako první musíme zapnout reţim ad hoc na jednom ze dvou počítačů, k tomu budeme potřebovat konfigurační nástroje obsaţené v operačním systému Windows. Obrátíme se na ovládací panely. V ovládacích panelech vybereme Centrum sítí a sdílení, dále stiskneme poloţku Spravovat bezdrátové sítě, která nás navede na seznam viditelných bezdrátových sítí, kde stiskneme ikonu Přidat. Potom se nám objeví okno, ve kterém musíme zvolit typ připojení, které budeme potřebovat. V našem případě je to ad hoc síť. Obrázek 4: Zapnutí režimu ad hoc Obrázek 5: Vytváření názvu sítě, šifrování a hesla 46

48 Poté vybereme název pro naši nově vytvářenou síť, vybrat způsob šifrování a zvolit si bezpečné heslo. Šifrování zajišťuje bezpečnost sítě. Heslo by mělo byt dostatečně sloţité, aby nikdo jiný krom nás, se nemohl k této síti připojit. Pro příklad nazveme naši síť test, z nabízených moţností šifrování zvolíme WEP a heslo si určíme kupříkladu takovéto LsmsS41pjfds9. Obrázek 6: Ad hoc režim zapnut Potom povolíme sdílení internetu mezi dvěma počítači a ukončíme instalaci. Teď nám běţí internetové spojení mezi dvěma počítači a nyní si tyto stanice mohou mezi sebou vyměňovat informace. Kdyţ do jednoho počítače připojíme ethernetový kabel, bude nám běţet internet na obou počítačích. Pro lepší pochopení obecné struktury ad hoc sítě vám ho přehledně znázorním na schématu vytvořeném za pomocí programu Microsoft Office Visio. 47

49 Obrázek 7: Schéma sítě v mém domově Pro snazší porozumění schématu vám jej zde podrobněji popíšu. Zprostředkovatelem mého internetu je společnost Telefónica O2 Czech Republic, a.s. díky níţ vyuţívám jimi nabízeného základního balíčku sluţeb pro připojení na internet. Skrze jejich sluţby mi je přidělena statická IP adresa Zde za pomocí technologie NAT, ADSL router přeloţí tuto veřejnou IP 48

50 adresu na adresu privátní. V našem případě je to adresa , která je výchozí bránou pro naše další připojené počítače. Poté mi rozbočovač poskytne tuto adresu pro PC, skrze které budou mít ostatní počítače moţnost vyuţívat internetového připojení. Nyní se za pomoci kabelového připojení budu moci připojit do sítě internetu, kde mi DHCP server přidělí interní adresu pro mé konkrétní PC ( ). Teď skrze nástroj konfigurace přístupového bodu k ad hoc síti vytvořím spojení, díky kterému se bude moci připojit další uţivatel schopný vyuţívat mého připojení k internetu. V průběhu vytváření přístupového bodu mi je přidělena další IP adresa ( ), tentokrát určující mé umístění v bezdrátové síti. Uţivatel druhého PC se nyní můţe připojit k tomuto mnou vytvořenému přístupovému bodu a to tak, ţe mu DHCP server přidělí IP adresu kupříkladu v této podobě Nyní PC2 můţe operovat v počítačové síti, vymezené adresou x. Celá komunikace mezi těmito dvěma počítači funguje stručně řečeno nějak takto: PC-2 pošle svůj poţadavek do PC-1 (chce se připojit na stránky PC-1 ve funkci NAT přeloţí IP adresu (PC-2) na PC-1 poţadavek zpracuje a odešle ho na ADSL router Poţadavek od PC-1 se dostane k ADSL routeru na adresu ADSL router se svojí vlastní NAT funkcí přeloţí adresu na Poţadavek PC-2 je nyní realizovaný a uţivateli (PC-2) se zobrazí stránka 7 Software pro zjištění signálu / pokrytí 7.1 Inssider Tento program vyuţijeme pro monitoring Wi-Fi sítí v okolí mého domova. Tento program je volně dostupný na internetu, vzhledem k jeho volně šiřitelné licenci. Vlastnosti tohoto programu: Program Inssider byl vytvořen z důvodu, ţe předchozímu programu s názvem NetStumbler byl ukončen vývoj a tak vzhledem k jeho zastaralosti nepodporoval práce v operačních systémech Windows XP x64 a Windows Vista. V tomto programu se dá najít hodně důleţitých informací o Wi-Fi sítích, které jsou dostupné v mém okolí. Můţeme tady sledovat takzvané SSID (Service Set Identifier), coţ je identifikátorem bezdrátové sítě. Všechny počítače v síti musí znát a mít stejne SSID, aby se mohli k síti připojit. Za pomocí tohoto všestranného programu můţeme také prohlíţet MAC adresu, poznat jestli se jedná o přístupový bod anebo ad hoc připojení. Tento program nám 49

51 umoţňuje podrobně zkoumat signál kaţdé wi-fi sítě za pomocí 2 přehledných grafů. Program dovoluje vyuţívat GPS technologie, se kterou můţeme případně nalézt souřadnice počítače s přístupovým bodem. Program má moţnost exportovat svá data do staršího programu NetStumbler a také KML logy pro program Google Earth. Dále můţeme v tomto programu prohlíţet maximální rychlost jednotlivých přístupových bodů. A to z důvodu zda se jedná o novější nebo starší Wi-fi kartu. Program téţ ukazuje, jaké šifrování vyuţívá kaţdá ze sítí. Nejprve program spustíme. Stiskneme Start Scanning. Objeví se nám seznám dostupných přístupových bodů. U kaţdého tohoto bodu můţeme se prohlíţet MAC adresu, SSID, jaké mají šifrování, typ připojení (jestli se jedná o ad hoc síť nebo přístupový bod). Můţeme také prohlíţet 2 grafy, které ukazují silu signálu tohoto přístupového bodu. Vypneme všechny přístupové body a necháme jenom jeden přístupový bod, který potřebujeme. Pote, vezmeme notebook a budeme testovat změnu signálu v jednotlivých pokojích. Fungování tohoto programu je přehledně znázorněno na vývojovém diagramu nacházejícím se pod tímto textem. 50

52 Obrázek 8: Diagram aktivit Fungování programu Inssider 51