Wi-Fi sítě a jejich zabezpečení

Rozměr: px
Začít zobrazení ze stránky:

Download "Wi-Fi sítě a jejich zabezpečení"

Transkript

1 Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Wi-Fi sítě a jejich zabezpečení Bakalářská práce Autor: Ondřej Trajer, DiS. Informační technologie, SIS Vedoucí práce: Ing. Daniela Krupičková Praha červen, 2010

2 Prohlášení Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a s pouţitím uvedené literatury. V Českých Budějovicích dne Ondřej Trajer, DiS.

3 Poděkování Tímto bych chtěl poděkovat paní Ing. Daniele Krupičkové za vedení mé bakalářské práce.

4 Anotace Tato bakalářská práce se zaměřuje na problematiku bezdrátových sítí Wi-Fi a jejich zabezpečení. Nejprve je pozornost věnována klasifikaci bezdrátových sítí, jak ze stránky hardwaru, tak ze stránky standardů a protokolů. Poté jsou zde rozebrány jednotlivé bezpečností prvky bezdrátových sítí a je zde poukázáno na nedostatky, které mají. Moţnosti prolomení zabezpečení jsou ukázány na praktické ukázce. Na konec je v práci uveden seznam doporučení, která přispívají k vyšší bezpečnosti bezdrátových sítí. Annotation This thesis focuses on Wi-Fi networks and security. First, attention is paid to the classification of wireless networks, both from the hardware side and the side of standards and protocols. Then there are discussed the various security features of wireless networks and their weaknesses are pointed out. Possibilities of security breaches are shown in the practical demonstration. At the end of the thesis there is a list of recommendations which contribute to a better wireless networks security.

5 Obsah 1 Úvod Cíl práce Historie bezdrátové technologie Od elektromagnetismu k počítačovým sítím Hardware pro Wi-Fi sítě Antény Ztráty signálu Fresnelova zóna Wi-Fi IEEE Standard IEEE MAC podvrstva Fyzická podvrstva Technologie přenosu signálu v sítích FHSS DSSS OFDM IEEE IEEE b IEEE a IEEE g IEEE n Součásti bezdrátové sítě Reţimy provozu u IEEE Bezpečnost bezdrátových sítí standardu IEEE Vlastnosti bezpečné komunikace v bezdrátových sítích Autentizace Symetrické šifrování Asymetrické šifrování Integrita dat Wired Equivalent Privacy (WEP) Kryptografie protokolu WEP Stupně nastavení WEP Integrita dat u WEP Slabiny WEP

6 7.3 IEEE 802.1X RADIUS server Standard 802.1X WPA Dynamické generování klíčů (TKIP) Integrita dat - MIC i (WPA2) Moţné útoky na bezdrátové sítě Útoky na WEP Útoky na WPA Zranitelnost EAP-MD5 a LEAP Útoky na WPA Odposlech sítě Falešná zařízení Rogue AP Man-In-The-Middle DoS Denial of Service Wardriving Osvědčené postupy Filtrování MAC adres Schování SSID WEP WPA WPA Praktická ukázka prolomení WEP Závěr a doporučení Seznam pouţité literatury Seznam pouţitých zkratek

7 1 Úvod Jako jedna z prvních otázek při zvaţování vyuţití bezdrátové technologie můţe být: Proč bezdrátově? Hlavní výhodou je samozřejmě mobilita. Uţivatel se můţe v prostředí bezdrátové sítě volně pohybovat, zatímco je připojen. Majitel mobilního telefonu můţe ujet velkou vzdálenost v průběhu jednoho hovoru, protoţe jeho telefon je připojen do sítě prostřednictvím vysílačů. Rychlý vývoj v této oblasti srazil ceny mobilní telefonie, takţe je nyní dostupná všem těm, kteří chtějí být dosaţitelní kdekoliv nebo je to prostě v jejich pracovní náplni. Stejně tak bezdrátové datové sítě osvobozují uţivatele počítačů od kabelů na pracovním stole. Člověk si můţe vzít svůj přenosný počítač sebou například do kavárny, kde můţe prostřednictvím jejich sítě být online a vyřídit si elektronickou poštu, ať uţ pracovní či soukromou. Pokud je například celý areál univerzity pokryt bezdrátovým signálem, můţe student pracovat na svém notebooku kdekoliv v tomto prostoru a být stále připojen k bezdrátové síti, jejímţ prostřednictvím je připojen k Internetu. Bezdrátové sítě mají také velkou přizpůsobivost ve smyslu rychlosti instalace. Tyto sítě pouţívají takzvané bezdrátové přístupové body, coţ jsou základnové stanice, které propojují uţivatele s existující sítí. Toto zařízení můţe být podobné zařízení jako je přepínač nebo směrovač, které existují v drátových sítích Ethernet, a navíc má v sobě bezdrátovou vysílací část s příslušnou anténou. Existence těchto přístupových bodů je další výhoda, protoţe jakmile jsou rozmístěny v poţadovaném prostoru, není nutné později do této infrastruktury zasahovat. Při připojení dalšího uţivatele totiţ není nutné natahovat další kabely, dělat novou zásuvku pro Ethernetový kabel. Je to pouze záleţitost autorizace, tedy povolení k přístupu do sítě. Infrastruktura bezdrátových AP musí být samozřejmě nastavena tak, aby rozpoznala nového uţivatelé a poskytla mu sluţby, které má tato síť poskytovat. Proto je poskytování bezdrátového přístupu k internetu například na letištích, autobusových nádraţích či v kavárnách pouze otázkou výstavby přístupových bodů. Odpadá tedy problematické tahání kabelů ke kaţdému uţivateli, coţ by bylo samozřejmě nejen časově náročné, ale také náročné finančně. Dále také nelze opomenout výhody pokrytí budov bezdrátovým signálem, coţ většinou můţe zamezit vrtání do zdí či jakýmkoli velkým rekonstrukcím spojených s nataţením síťových kabelů, vytvořením zásuvek atd. 7

8 Jako jedna z dalších otázek můţe být: A je to bezpečné? V této práci si ukáţeme, ţe to moţné je. Při správném nastavení této technologie a poučenými uţivateli, můţe být tako technologie dostatečně bezpečná i pro přenos citlivých dat. 2 Cíl práce Cílem této bakalářské práce je seznámení se současnými standardy technologie bezdrátových sítí Wi-Fi, s moţnými způsoby zabezpečení přenosu dat a šifrování citlivých dat tak, aby je nemohl zneuţít případný útočník, který odposlouchává naši bezdrátovou síť. Největší přínos mé práce vidím v analýze bezpečnostních slabin této technologie a v navrţených doporučeních, jak postupovat při navrhování a uţívání bezdrátových sítích Wi-Fi. 8

9 3 Historie bezdrátové technologie Bezdrátová technologie jako metoda přenosu dat z jednoho bodu do druhého bez uţití drátů existuje více neţ 150 let. Běţné bezdrátové sítě dneška mají původ v mnoha vývojových stupních, kterými tato technologie prošla, a to včetně telegrafu nebo rozhlasu. Ačkoliv některé objevy se datují do počátku 19. století, největší vývoj byl zaznamenán aţ s příchodem elektřiny a byl ovlivněn jak moderní ekonomikou, tak objevy ve fyzice. 3.1 Od elektromagnetismu k počítačovým sítím V roce 1820 dánský fyzik a filozof Hans Christian Oersted, v té době profesor Kodaňské univerzity, připojil během výuky drát k baterii. Shodou náhod se blízko nacházel kompas a profesor si všiml, ţe jehla kompasu se protočila. Takto objevil souvislost mezi elektřinou a magnetismem. Oestedův výzkum ovlivnil jeho současníky Faradaye a Josepha Henryho. Michael Faraday byl zabraný do magnetů a účinků, jeţ měly. Aby otestoval jeho teorii, ţe změna magnetického pole indukuje proud v blízkém elektrickém obvodu, omotal papírový válec drátem, připojil vzniklou cívku ke galvanometru a potom pohyboval magnetem v papírovém válci tam a zpět. Ručička galvanometru se při pohybu magnetu pohnula. Faraday nejenom ţe objevil indukci, ale také vytvořil první generátor elektrického proudu. Joseph Henry, mezitím na druhé straně Atlantického oceánu, v USA, se stal prvním člověkem, který prakticky přenášel elektromagnetický signál. Byl prvním, kdo omotal zaizolované dráty kolem ţelezného jádra, čímţ vytvořil elektromagnet. Část jeho experimentování také obsahovala jednoduchou signalizaci. V roce 1832 četl Samuel Morse o Faradayovu objevu induktance, který mu pomohl vytvořit jeho nápady ohledně nové technologie zvané telegraf. Joseph Henry mu pomohl sestrojit opakovač, který dovolil telegrafickým signálům překonat velkou vzdálenost. V roce 1838 Morse představil tuto technologii a nechal si patentovat Morseovu abecedu. Po těchto významných objevech a po Morseově objevení vodivosti roku 1842 se vědci pokoušeli uplatnit tyto objevy v praxi. Němec Heinrich Hertz dokázal roku 1887, ţe elektromagnetické vlny mohou cestovat vzduchem. Vědci z celého světa ověřily jeho nálezy a tím byl svět připraven na nový věk rozhlasu. Italský vynálezce Guglielmo Marconi, kterého zaujaly Hetzovy výsledky, měl patentováno rozhlasové zařízení, které bylo schopno přenášet zprávy do vzdálenosti přes deset mil 9

10 bezdrátově. V roce 1901 Marconi postavil na ostrově Nový Foundland, s pomocí jeho asistenta, bezdrátový přijímač, kterým byli schopni zachytit signál písmene S v Morseově abecedě, který vysílal jeho kolega na druhé straně Atlantického oceánu v Anglii. V dalších desetiletích došlo k vytvoření vlnového pásma pro lidský hlas, uţ tedy bylo moţné vysílat nejenom telegrafní signály. Roku 1935 představil Edwin Howard Armstrong frekvenční modulaci (FM), která dovolila nejenom zvýšení celkové kvality bezdrátového přenosu, ale také významné zmenšení vysílacího zařízení. V roce 1942 byl v Bellově Laboratořích vyvinut telefon, zařízení pro obousměrnou komunikaci. Během druhé světové války došlo ještě k rychlejšímu vývoji FM technologie a ke zmenšování vysílacího zařízení a to i díky vynálezu desky plošných spojů, která změnila svět elektroniky všeho druhu, včetně rozvoje počítačů. 4 Hardware pro Wi-Fi sítě Bezdrátový přístupový bod (wireless access point AP) propojuje skupinu bezdrátových zařízení k přilehlé kabelové síti LAN. Funguje jako rozbočovač, který předává data mezi připojenými bezdrátovými zařízeními (např. klienty) spolu s předáváním dat s kabelovými zařízeními, jako je Ethernet přepínač nebo rozbočovač a koncová PC. Obrázek č. 1 - Bezdrátový přístupový bod [15] Bezdrátový adaptér umoţňuje připojit zařízení k bezdrátové síti. Tyto adaptéry jsou k zařízení připojeny různými způsoby, jako je PCI, MiniPCI, USB, ExpressCard, PC Card. V současnosti je naprostá většina přenosných počítačů vybavena interně nainstalovanými bezdrátovými adaptéry. 10

11 Obrázek č. 2 - MiniPCI bezdrátový modul [11] Bezdrátový přepínač (router) slučuje AP, Ethernetový přepínač interní firmware, který řídí směrování (IP Routing), překládání adres z vnitřní na vnější síť a naopak (Network Address Translation NAT) a přeposílání DNS (Domain Name System) prostřednictvím integrovaného bezdrátového adaptéru. Bezdrátový přepínač umoţňuje kabelové nebo bezdrátové připojení zařízení k jednomu WAN (Wide Area Netowork) zařízení, jako můţe být například xdsl nebo kabelový modem. [39][37] Obrázek č. 3 - Bezdrátový router [26] 4.2 Antény Antény jsou významnou součástí bezdrátových sítí a hrají také významnou úlohu při jejich zabezpečení. Obecně se odlišují antény dvěma charakteristikami ziskem, coţ je zesílení výkonu měřené v dbi, v db vztaţených k abstraktnímu izotropickému vyzařovači ve všech směrech (více viz kapitola 6.3.1), a šířkou paprsku (beamwidth), který tvaruje zónu pokrytí anténou a můţe být trojrozměrný jak horizontální, tak vertikální. Vyzařovací diagram kaţdé antény je velice důleţitý, protoţe alespoň přibliţně naznačí boční či zpětné paprsky, které z hodnoty šířky nelze odvodit. 11

12 Základní typy antén se děli na: Všesměrové mají úhel horizontálního pokrytí 360 Částečně směrové úhel ve směru vyzařování, jsou to tzv. patch antény, panelové, sektorové, Yagi Vysoce směrové mají vyzařovací úhel v jednotkách stupňů, jsou to antény parabolické nebo mříţkové Obrázek č. 4 Parabolická anténa s límcem a vyzařovací diagramy (v horizontální a vertikální rovině [16] Obrázek č. 5 Panelová anténa a její vyzařovací diagramy [17] Polarizace antény je dalším významným prvkem, který lze v některých případech ovlivnit změnou pozice antény. [31] 12

13 4.2.1 Ztráty signálu Ztráta, kterou signál získá na cestě volným prostorem (Free Space Loss FSL), tvoří hlavní sloţku energetických ztrát v bezdrátových sítích. Způsobuje ji rozšiřování čela rádiové vlny a rozptyl přenášeného signálu. Signál samozřejmě ještě více utlumují překáţky v jeho cestě. I skleněné okno sniţuje sílu signálu v pásmu 2,4 GHz o přibliţně 2 dbm. Vliv na útlum signálu můţe mít také počasí nebo rušení dalšími rádiovými signály. [31] Fresnelova zóna Jednou z nutných podmínek v pásmu 2,4 GHz i 5 GHz je přímá viditelnost mezi přijímací a vysílací anténou. Pro kvalitní přenos musí být volná, bez překáţek, tzv. Fresnelova zóna, tedy určitý prostor (nekonečný počet elipsoid) kolem spojnice těchto bodů. [5] Obrázek č. 6 - Fresnelova zóna [10] Na obrázku č. 6 vidíme Fresnelovu zónu. Vzdálenost d je vzdálenost mezi vysílačem a přijímačem bezdrátového signálu. Písmeno b zde značí průměr Fresnelovy zóny. Bezpečnost a spolehlivost bezdrátových spojů ovlivňují atmosférické podmínky (elektrické výboje při bouřce, hustý déšť a sníh či extrémní teploty způsobují zvýšenou chybovost nebo krátkodobé výpadky). Nově postavená výšková budova nebo stavební jeřáb na trase má pro spoj fatální následky. [28] 13

14 5 Wi-Fi Wi-Fi je obchodní značka organizace Wi-Fi Alliance (dříve WECA Wireless Ethernet Compatibility Alliance), kterou mohou výrobci pouţít k označení certifikovaných výrobků, které patří do třídy zařízení pro bezdrátové sítě WLAN (Wireless Local Area Network) a jsou zaloţeny na standardech IEEE Je to právě díky tomuto blízkému vztahu certifikace a samotných výrobků, ţe Wi-Fi je často uţíváno jako synonymum pro technologii IEEE Wi-Fi je tedy pouze jakási nálepka, známka, která je udělována produktům, které vyhovují standardům a splňují poţadavky na vzájemnou kompatibilitu. Známka není udělována automaticky, dostanou jí ty produkty, které jejich výrobci přihlásí do příslušného testování, a tím úspěšně projdou. Výrobci těchto zařízení tak mohou zůstat konkurenceschopní a zákazníci (uţivatelé) si mohou být jisti, ţe zařízení s touto známkou bude fungovat s ostatními zařízeními tohoto druhu. [25] Termín Wi-Fi bývá povaţován za zkratku slov Wireless Fidelity, je tu zřejmá podobnost se zkratkou Hi-Fi (High Fidelity). Wi-Fi Alliance často tuto větu pouţívala ve svých tiskových prohlášeních, avšak podle tvrzení Phila Belangera (zakládající člen organizace Wi-Fi Alliance) neznamená termín Wi-Fi nic, ţe šlo pouze hru se slovy. [8][13] Nejnovější podoba známky certifikace Wi-Fi je na obrázku č. 7. Obrázek č. 7 Známka certifikace Wi-Fi [38] 6 IEEE Pod zkratkou IEEE se skrývá název Institute of Electrical and Electronics Engineers, tedy Institut pro elektrotechnické a elektronické inţenýrství. Podle oficiálních stránek této organizace (ieee.org) jde o na světě největší vůdčí profesionální sdruţení pro rozvoj technologie. Pracuje pro ní více jak členů ve více jak 160 zemích světa. [19] Sloţení IEEE formuluje cíle organizace jako vědecké a vzdělávací, směřující k pokroku v oblasti teorie a praxe, v elektrotechnice, elektronice, komunikacích a výpočetní technice, stejně jako v informatice a příbuzných odvětvích techniky a souvisejících vědních oborech. [21] 14

15 Existence pracovní skupiny IEEE se datuje od roku 1884, kdyţ byl ve městě New York vytvořen Americký institut elektrotechnického inţenýrství (American Institute of Electrical Engineers - AIEE). Tento institut hrál aktivní roli ve vývoji standardů v elektrotechnickém průmyslu, který se primárně zaměřoval na komunikaci po kabelech, světelné a napájecí systémy. 1. ledna roku 1961 se AIEE spojila s IRE, Institutem pro rádiové inţenýrství, který vznikl začátkem dvacátého století, a vytvořili společnou instituci IEEE. To z důvodu společných cílů a směřování ve velmi podobných odvětvích průmyslu. [22] 6.1 Standard IEEE IEEE je průmyslový standard pro sdílené bezdrátové sítě, který definuje fyzickou vrstvu a MAC podvrstvu sedmivrstvého referenčního modelu ISO/OSI. Komise IEEE LAN/MAN vznikla roku 1980 a navrhla standardy pro sítě LAN. Nejpouţívanější síťové standardy (Ethernet, CSMA/CD) a (Token Ring) byly vyvinuty právě komisí IEEE. Existuje 17 různých pracovních skupin, které pracují pod IEEE LAN/MAN, a jsou onačeny číselnou hodnotou podle standardu, na který je kaţdá zaměřena. Pracovní skupina IEEE pracuje na standardech pro bezdrátové sítě. [7][22] Obrázek č. 8 - Rodina standardů IEEE 802 v relaci k OSI modelu [12] Na obrázku č. 8 vidíme zařazení standardů v rodině standardů je standard pro Ethernet, je standard pro Token Ring. Standardy jsou popsány v kapitole

16 6.1.1 MAC podvrstva MAC (Media Access Control) je podvrstva druhé vrstvy ISO/OSI, vrstvy linkové, někdy označované spojová vrstva (anglicky Data Link Layer). Jde o vrstvu, která řídí přístup k přenosovému médiu. Na této vrstvě všechny standardy IEEE pouţívají protokol CSMA/CA. Z anglického názvu Carrier Sense Multiple Access with Collision Avoidance vyplývá, ţe jde o metodu s vícenásobným přístupem a nasloucháním nosné s předcházením kolizí, na rozdíl od protokolu CSMA/CD, který zjišťuje kolize. Kdyţ chce bezdrátová stanice vyslat rámec, tak nejprve poslouchá na své frekvenci, aby zjistila, zda jiná stanice ve stejnou chvíli nevysílá (naslouchání nosné). Pokud ano, tak bezdrátová stanice čeká náhodně dlouhou dobu. Po této prodlevě stanice naslouchá znovu a případně je zahájeno exponenciální čekání. Exponenciální čekání znamená odloţený pokus o vysílání. Stanice si náhodně vybere dobu z intervalu, jehoţ velikost se během opakovaných pokusů zdvojnásobuje. [6] Náhodně vybraná hodnota z postupně rostoucího intervalu je zde z toho důvodu, aby se více stanic nepokoušelo vysílat za stejný čas (předcházení kolizí). CSMA/CA nemůţe předejít všem kolizím a je obtíţné pro vysílací stanici zjistit, ţe kolize nastala. Umístění bezdrátového přístupového bodu a klientů, vzdálenost nebo samotná frekvence můţe zabránit bezdrátovému klientu zjistit, zda jiný bezdrátový bod vysílá. Jde o tzv. problém skryté stanice. Z důvodu lepšího zjišťování kolizí a vyřešení problému skryté stanice pouţívá IEEE rámce ACK (Acknowledgement), RTS (Request to Send) a CTS (Clear to Send). [7] Rámec ACK signalizuje úspěšné doručení bezdrátového rámce. Pokud chce stanice vyslat rámec, vyšle RTS zprávu, která říká, kolik času potřebuje na poslání onoho rámce. CTS zprávu posílá bezdrátová vysílací stanice všem stanicím, ţe poskytuje povolení poţadované stanici a informuje všechny ostatní stanice, ţe nemají povoleno vysílat po čas rezervovaný RTS zprávou. Výměna RTS a CTS zpráv eliminuje kolize jinak způsobené skrytými stanicemi Fyzická podvrstva Ve fyzické vrstvě (PHY) definuje IEEE řadu schémat pro modulaci a přenos bezdrátové komunikace, z nichţ nejvíce převládající bude FHSS, DSSS, OFDM a MIMO (viz obrázek č. 8). 16

17 6.2 Technologie přenosu signálu v sítích FHSS FHSS (Frequency-Hopping Spread Spectrum) je jedna ze specifikovaných metod rozprostřeného spektra pro fyzickou vrstvu standardu Pracuje tak, ţe vysílá jeden nebo více datových paketů po jednom kmitočtu (pásmo je rozděleno do 79 podkanálů), pak přeskočí na jiný kmitočet a vysílá dál. Rušení se tak minimalizuje na krátkou dobu, po kterou systém vysílá na daném kmitočtu (dwell time) minimálně 2,5x za sekundu se změní kmitočet, takţe je málo pravděpodobné, ţe by došlo ke kolizi. Navíc jenom oprávněný příjemce zná posloupnost kmitočtů, na nichţ se vysílá. [31] DSSS U druhé metody rozprostřeného spektra, DSSS (Direct Sequence Spread Spectrum), vysílač přeměňuje tok dat (bitů) na tok symbolů, kde kaţdý symbol reprezentuje skupinu jednoho nebo více bitů. Za pouţití modulační techniky QPSK (Quadrature Phase Shift Keying) vysílač moduluje nebo násobí kaţdý symbol pseudonáhodnou šumovou frekvencí na tzv. čip, pouţívá se 11čipový Barkerův kód. Metoda rozprostřeného spektra je schopna odolat odposlechu, ale pouze za předpokladu, ţe čipový kód nebo posloupnost přeskakování mezi kmitočty útočník nezná. Tyto parametry jsou však naneštěstí součástí normy pro WLAN, takţe jsou veřejně známé. Metoda modulace je také specifikovaná, takţe útočník můţe snadno zachytávat přenášené signály a dekódovat ty, které nejsou chráněny. V rámci jedné bezdrátové sítě je tedy kódování na fyzické vrstvě stejné pro všechny uţivatele, nelze tedy hovořit o ţádném mechanismu utajení vysílání. Snadná moţnost odposlouchávat vysílání bezdrátové sítě opravňuje, či spíše nutí, k implementaci sloţitějších a draţších způsobů zajištění důvěrnosti přenášených informací. Proto se pouţívá ochrana prostřednictvím šifrování na podvrstvě MAC. Technologie rozprostřeného spektra je také náchylná na útočné rušení (jamming), které můţe znehodnotit přijatý signál a vnášet chyby do přenosu. FHSS je v tomto směru lepší technologií, protoţe v případě úzkopásmového rušení se znehodnotí jen malá část signálu díky přeskakování mezi kmitočty. U DSSS dojde k narušení všech kódů. [31] 17

18 6.2.3 OFDM Pro dosaţení vyšší rychlosti se pouţívá ortogonální multiplex s kmitočtovým dělením OFDM (Orthogonal Frequency Division Multiplex), kdy data k vyslání se nejprve rozdělí do několika paralelních toků bitů o mnohem niţší bitové rychlosti. Kaţdý z toků se pouţívá pro modulaci jiné nosné. Jednotlivé nosné frekvence jsou vzájemně ortogonální, takţe maximum kaţdé nosné frekvence se nepřekrývá s minimem sousední nosné frekvencí. Datový tok celého kanálu se tak dělí na stovky dílčích datových toků jednotlivých nosných frekvencí. Způsobem paralelního vysílání se OFDM účinně brání zkreslení při přenosu signálu různými cestami (multipath distortion), protoţe kaţdý přenášený symbol trvá na dílčí nosné déle, takţe se prakticky vyloučí nepříznivý dopad na zpoţdění signálu delší cestou. [31] 6.3 IEEE Bitová rychlost pro původní IEEE standard jsou 2 a 1 Mbps při pouţití FHSS modulace (přenosového schématu) ve frekvenčním rozsahu vysílání mezi 2,4 a 2,5 GHz IEEE b Ke zlepšení oproti původnímu standardu došlo u nástupce, b, a to standardizací fyzické vrstvy pro vyšší bitovou rychlost. Nabízí dvě další rychlosti přenosu dat, a to 5,5 Mbps a 11 Mbps, vyšší rychlost je pouţita v ideálních podmínkách. Pro dosaţení vyšších rychlostí je zde pouţita modulace DSSS. Tento i ostatní standardy pracující ve frekvenčním pásmu 2,4 GHz, coţ je stejné pásmo, jako se pouţívá v mikrovlnných troubách, bezšňůrových telefonech DECT, dětských vysílačkách, bezdrátových kamerách i zařízeních Bluetooth. Z toho samozřejmě vyplývá nebezpečí rušení bezdrátového přenosu těmito ostatními zařízeními. Konkrétně pracuje v rozsahu 2,400 2,4835 GHz, tedy ve frekvenčním pásmu širokém 83,5 MHz. Jde o bezlicenční pásmo, coţ znamená, ţe ten, kdo chce tyto frekvence vyuţívat, nepotřebuje ţádné individuální oprávnění (licenci). Správce kmitočtového spektra vydá tzv. všeobecné oprávnění (dříve generální licence) a v něm stanoví podmínky uţívání těchto frekvencí. Nejvýznamnější podmínkou, podle rozhodnutí regulátora (ČTÚ), je tzv. vyzářený výkon. Ten v pásmu 2,4 GHz, přesněji v rozsahu 2,400 2,4835 GHZ, nesmí překročit 100 mw EIRP (Effective Isotropical Radiated Power efektivní izotropický vyzářený výkon). Jde o výkon výzářený do prostoru bodovou anténou, která vyzařuje do 18

19 všech směrů a stejně. Taková v praxi neexistuje, reálné antény vyzařují v některých směrech více, v některých méně. Tam, kde vyzařuje více neţ ideální bodová anténa, hovoříme o jejich zisku. Tento zisk nesmí překročit mezní hodnotu stanovenou ve všeobecném oprávnění. [27][7] IEEE a Roku 1999 byl schválen dodatek k IEEE , a to a. Tento standard pracuje s bitovou rychlostí aţ 54 Mbps a pracuje v bezlicenčním frekvenčním pásmu 5 GHz, specifikace uvádí frekvence 5,12 5,25; 5,25 5,35; 5,47 5,725 a 5,725 5,825 GHz [20]. Místo modulace DSSS je zde uţita OFDM, která dovoluje vysílání dat paralelně prostřednictvím sub-frekvencí a poskytuje větší odolnost proti rušení a větší datovou propustnost, a to i díky tomu, ţe v tomto pásmu nepracují jiná zařízení, jako jsou například bezšňůrové telefony. Díky větším rychlostem je moţno provozovat aplikace jako přenášení ţivého videa. Obrázek č. 9 Povolené výkony v pásmu 5 GHz [18] IEEE g V lednu roku 2003 se začaly na trhu objevovat bezdrátová zařízení podporující standard g, a to ještě před samotným schválením tohoto standardu. Tento pracuje ve stejném pásmu jako b, ale díky pouţité modulaci OFDM je zde dosahováno rychlostí aţ 54 Mbps a je zpětně kompatibilní se standardem b při pouţití modulace DSSS. Toto 19

20 je veliká výhoda, protoţe starší bezdrátové stanice, které mohou pracovat pouze se standardem b, se mohou připojit k bezdrátovému AP pracujícím ve standardu g a naopak. V tomto případě jde tedy o zpětnou kompatibilitu, v obou směrech, protoţe i stanice g se můţe připojit na starší bezdrátový AP pracující se standardem b. Při této komunikaci nového zařízení se starým a naopak se pouţívá modulace toho staršího, tedy DSSS IEEE n IEEE n-2009 je dodatek standardu pro zlepšení propustnosti sítě oproti dvěma předchozím standardům a a g. Došlo k významnému zvýšení maximální rychlosti z 54 Mbit/s na 600 Mbit/s při pouţití čtyř proudů dat a šířky pásma 40 MHz na jeden kanál. Od roku 2007 certifikovala Wi-Fi Alliance součinost produktů označovaných jako draft-n, tedy návrh standardu N, které byly zaloţeny na návrhu číslo 2 specifikace n. Tato verze návrhu byla ještě dále zaktualizována a byly přidány testy kompatibility. Bylo potvrzeno, ţe produkty certifikované jako draft-n zůstanou kompatibilní s produkty, které odpovídají konečnému standardu. Tento standard je postaven na předchozích a přidává technologii MIMO (multiple-input multiple-output), viz obrázek č. 10, k fyzické vrstvě (PHY) 40 MHz kanál a agregaci rámců ve vrstvě MAC (posílání dvou a více rámců během jednoho přenosu, čímţ se sníţí objem reţijní informace [overhead]). Obrázek č Technologie MIMO [3] Technologie MIMO vyuţívá vícero přijímacích a vysílacích antén pro příjem více informací najednou neţ by bylo moţné s jednou anténou. Jedním ze způsobů je SDM (Spatial Division Multiplexing), kde je multiplexováno více nezávislých proudů dat a jsou přenášeny současně jedním kanálem, viz obrázek č

21 Obrázek č Spatial Multiplexing [3] MHz kanál Další vlastností konečné verze standardu n je moţnost zdvojnásobení šířky pásma kanálu na 40 MHz, coţ zdvojnásobí rychlost průtoku dat, viz obrázek č. 12. Můţe být pouţito v reţimu 5 GHz, v reţimu 2,4 GHz pouze pokud víme, ţe toto nebude rušit ostatní zařízení vysílající na této frekvenci v okolí. Obrázek č. 12 Maska spektra pro 40 MHz kanál použitý v n [3] Starší zařízení standardu pouţívají kanály, které jsou přibliţně 20 MHz široké, mají tedy v pásmu 2,4 GHz pouze tři kanály ze třinácti (v EU je povoleno 13 kanálů v pásmu 2,4 GHz, v Japonsku 14, v USA pouze 11), které se nepřekrývají (kanály 1, 6 a 11), viz obrázek č

22 Obrázek č. 13 Maska spektra pro 20 MHz kanál a překrývání kanálů [3] Kdyţ zařízení b/g vysílá, modulovaný signál má sníţit svoji energii ve vzdálenosti 11 MHz z obou stran středové frekvence kanálu. Část energie ovšem zasahuje aţ 30 MHz od středové frekvence kanálu, viz obrázek č. 13. Proto, kdyţ například bezdrátová stanice vysílá na kanálu 6, způsobuje významné rušení na kanálech 5 a 7, a částečné rušení na kanálech 4 a 8. Zůstávají tedy pouze 3 nepřekrývající se kanály. Vysílání 40 MHz širokých kanálů v pásmu 2,4 GHz by tedy ještě více zhoršilo tento nedostatek překrytím 8 kanálů po obou stranách střední frekvence kanálu dohromady. Zařízení standardu a pracující v pásmu 5 GHz mohou globálně pouţít jeden ze čtyřiadvaceti nepřekrývajících se 20 MHz širokých kanálů. [2][3] 22

23 Tabulka č. 1 Přehled protokolů Protokol Uvedeno Pásmo [GHz] Šířka kanálu [MHz] Rychlost na jeden tok dat [Mbit/s] Možných MIMO toků Modulace Přibližný dosah uvnitř [m] Přibližný dosah venku [m] červenec ,4 20 1, 2 1 DSSS , 9, 12, 18, a září , , 36, 48, 54 1 OFDM b září ,4 20 1, 2, 5.5, 11 1 DSSS g červen ,4 20 1, 2, 6, 9, 12, 18, 24, 36, 48, 54 1 OFDM, DSSS , 14.4, , 28.9, 43.3, 57.8, n září ,4 / 5 65, OFDM 40 15, 30, 45, 60, 90, 120, 135, Součásti bezdrátové sítě Bezdrátové sítě ve standardu IEEE se nejčastěji skládají z bezdrátových stanic, z bezdrátových přístupových bodů (více viz kapitola 4) a portů. Port je logický kanál zařízení, které podporuje jedno spojení bod-bod (point-to-point). Pro IEEE je port jakési přidruţení logická entita, prostřednictvím kterého se jedno bezdrátové spojení uskuteční. Typický bezdrátový klient nebo bezdrátové AP má mnoho portů, které mohou poskytnout mnoho bezdrátových spojení současně. 23

24 Logické spojení mezi portem bezdrátového klienta a portem bezdrátového AP je přemostěný segment sítě LAN, podobně jako u sítí Ethernet, kde je klient připojen k Ethernet přepínači kabelem. Veškeré rámce, které jsou poslány bezdrátovým klientem, ať uţ je to unicast, multicast nebo broadcast rámec, jsou poslány tímto LAN segmentem přímo k bezdrátovému AP. Unicast rámce poslané bezdrátovým AP bezdrátovým klientům jsou poslány přímo přes tento LAN segment, multicast a broadcast rámce jsou poslány všem bezdrátovým klientům současně. 6.5 Režimy provozu u IEEE Bez ohledu na provozní reţim, bezdrátovou síť identifikuje jméno sítě, tzv. SSID (Service Set Identifier). SSID je v reţimu infrastructure nastaveno v bezdrátovém AP, v reţimu ad-hoc je to ustavující klient. SSID je periodicky vysíláno bezdrátovým AP nebo ustavujícím klientem prostřednictvím řídícího rámce podvrstvy MAC, tzv. beacon (z anglického slova pro maják). V reţimu infrastructure je v sítí minimálně jedno bezdrátové AP a jeden bezdrátový klient. Ten vyuţívá bezdrátové AP pro přístup k běţné kabelové síti, ať uţ je to intranet nebo Internet. Jedno bezdrátové AP poskytující sluţby jednomu nebo více bezdrátovým klientům se také nazývá BSS (Basic Service Set). Dvě a více bezdrátových AP připojených do stejné kabelové sítě definují logický segment sítě a jsou známy jako ESS (Extended Service Set). Distribuční systém je kabelová síť, která spojuje bezdrátový AP v ESS dohromady k rozsáhlejší kabelové síti. ESS je vidět na obrázku č. 14. Obrázek č. 14 Režim infrastructure a ESS [7] 24

25 Po zapnutí bezdrátového adaptéru klienta začne klient prohledávat spektrum frekvencí, které má určeny, a hledá bezdrátová AP a ostatní bezdrátové klienty. Při tomto prohledávání vysílá adaptér bezdrátového klienta speciální rámce, tzv. Probe-Request, na všech dostupných kanálech a naslouchá tzv. Probe-Response rámcům od okolních AP a klientů. Po prohledání sítě se můţe bezdrátový adaptér klienta asociovat s jedním z bezdrátových AP, coţ je dáno nastavením klienta, zda má pouţité SSID bezdrátového AP ve svém seznamu jako známé nebo upřednostňované a také dává přednost AP, které má silnější signál (ten je dán poměrem signál/šum). Poté si klient s AP vyjedná pouţití určitého logického bezdrátového portu. Tomuto procesu se říká asociace. To, zda se klient připojí k stí typu infrastructure nebo ad-hoc záleţí na jeho nastavení. Operační systém Windows většinou upřednostňuje sítě typu infrastructure. Pokud po připojení signál příliš nízký, je vysoká chybovost nebo po příkazu operačního systému, klient prohledá bezdrátové spektrum, aby zjistil, jestli nemůţe jiné AP poskytnout silnější signál pro stejnou bezdrátovou síť. Pokud ano, klient si vyjedná spojení s tím AP, které splňuje onu podmínku. Například ve Windows XP nebo Windows Server 2003 to je kaţdých 60 sekund, kdy systém instruuje bezdrátový adaptér zahájit toto vyhledávání. Tomuto procesu se říká re-asociace. Re-asociace můţe nastat v různých případech, například kdyţ signál slábne z důvodu vzdalování se klienta od AP nebo pokud je AP zahlceno provozem ostatních klientů. Toto automatické přepínání klientů k méně zahlceným AP pomáhá rozloţit zátěţ mezi dostupná AP ve stejné síti a pomáhá tak celkovému zlepšení výkonu všech klientů. Při takovémto přemisťování klienta z jednoho místa na druhé (například po vícepatrové budově, kde na kaţdém patře jsou dvě AP a všechna jsou připojena k jedné kabelové síti), dochází k asociacím a re-asociacím z jednoho AP na další, a klient si přitom neustále udrţuje spojení. Pro síť rodiny protokolů TCP/IP má klient po připojení k prvnímu AP přiřazenu IP adresu. Při pohybu klienta v rámci ESS (tzv. roaming) si vytváří spojení s ostatními AP a přitom si udrţuje tu samou IP adresu, protoţe všechna AP jsou na stejné podsíti. Pokud se ale klient přemístí do oblasti pokryté jinou ESS, nastavená IP adresa jiţ není déle platná a například u systému Windows dojde k události odpojení/připojení k médiu, dojde tedy k přerušení spojení. Tato událost vytvoří v systému volání po obnově IP adresy z DHCP serveru. To znamená, ţe v rámci jedné ESS dojde při re-asociaci pouze k obnovení té samé IP adresy pomocí DHCP serveru, ale při překročení hranice ESS do jiné dojde u klienta při obnovovacím procesu k nastavení jiné IP adresy a to takové, která je platná v rámci podsítě té ESS, do které se klient přemístil. 25

26 V reţimu ad-hoc komunikuje klient přímo s ostatními klienty bez pouţití prostředníka, tedy bezdrátového AP, viz obrázek č. 15. Obrázek č Bezdrátoví klienti v režimu ad-hoc [7] Tento reţim se také nazývá rovný s rovným (peer-to-peer), a klienti si v tomto reţimu vytváří tzv. Independent Basic Service Set (IBSS). První klient v IBSS přebírá některé funkce, které jinak nabízí AP. Mezi těmito funkcemi je periodické vysílání signálu beacon a také autentizace nových členů sítě ad-hoc. Klient ale nepůsobí jako přemostění (bridge) komunikace mezi klienty. Tento reţim se tedy pouţívá, pokud není v okolí ţádné AP nebo není moţné ţádné dostupné AP pouţít pro komunikaci. Klient musí být většinou do tohoto reţimu nastaven, protoţe tento není reţimem výchozím. Také vzdálenost klientů spolu komunikujících by neměla přesáhnout 10 metrů. Síť ad-hoc tedy přestane existovat, pokud se ustavující klient vzdálí z dosahu ostatních klientů. Sdílení internetu je v tomto reţimu samozřejmě moţné, pouze je potřeba patřičně nastavit operační systém klienta, který má k Internetu přístup a chce ho sdílet s ostatními. [27][7] 7 Bezpečnost bezdrátových sítí standardu IEEE Bezdrátové sítě vysílají data prostřednictvím rádiových vln. Proto na rozdíl od kabelových síťových technologií, jako je např. Ethernet, je těţší mít kontrolu nad tím, kdo se do sítě připojí. U kabelových sítí je nutné mít fyzický přístup k zařízení této sítě, např. router nebo 26

27 switch, nebo k zásuvce, která je připojena k některému z těchto zařízení v síti. U bezdrátových sítí není ani nutné být ve stejné budově, jako je např. bezdrátové AP, stačí být naproti přes ulici nebo kdekoli jinde, kde je dostatečně silný signál bezdrátového AP. Rozdíly mezi kabelovou a bezdrátovou sítí jsou tedy: U kabelových sítí je přenosové médium neveřejné. Není nutné se zabývat tím, kdo se připojuje do sítě, protoţe předpokládáte, ţe neoprávněné osoby se nemohou dostat do blízkosti síťové přípojky. Také není třeba zajišťovat zabezpečení přenášených dat, protoţe data jsou přenášena po neveřejném kabelu, který by neměl být přístupný neoprávněným osobám. U bezdrátových sítí je přenosové médium veřejné. Kdokoli se se správným zařízením můţe připojit, pokud je v dostatečném dosahu této sítě. Přenášená data je potřeba zabezpečit, např. šifrováním, protoţe neoprávněná osoba můţe přijímat vysílané bezdrátové rámce, i kdyţ není ve fyzicky zabezpečených oblastech této sítě. Proto je u bezdrátových sítí bezpečnost poţadována jako základní součást této technologie a je na to třeba pamatovat při její implementaci a umisťování. 7.1 Vlastnosti bezpečné komunikace v bezdrátových sítích Autentizace Předtím, neţ je povolena komunikace a výměna dat s bezdrátovou sítí, klient se musí identifikovat a musí předloţit správné údaje o něm, které mohou být následně ověřeny (podle metody autentizace). Je tedy třeba ověřit a potvrdit totoţnost klientů, coţ je moţné udělat třemi způsoby. První způsob probíhá na základě znalostí, kdy je klient identifikován pomocí přístupového hesla. Jde o nejjednodušší způsob zabezpečení, ale je zde riziko zapomenutí hesla, zneuţití hesla neoprávněnou osobou, pokud je toto ukradeno nebo nějakým způsobem vystaveno na veřejnost. Pro efektivní bezpečnost je třeba často měnit heslo a tvořit taková hesla, která nejsou snadno uhodnutelná, nejde o slova ze slovníku, a které nijak nesouvisí s konkrétním uţivatelem. 27

28 Druhý způsob spočívá v identifikaci klienta podle vlastnictví určitého předmětu, např. klíč, čipová karta apod., nebo kombinace více předmětů. Jde opět o jednoduchou moţnost ověření identity, ale je zde riziko ztráty těchto předmětů, jejich okopírování neoprávněnou osobou nebo krádeţi. Třetí způsob je zaloţen na biometrické identifikaci osobnosti podle globálně jednoznačných ukazatelů, coţ můţe být otisk prstu, obraz sítnice, hlasová identifikace apod. Výhoda z hlediska bezpečnosti je zde zřejmá, je obtíţné úmyslně zaměnit takovouto informaci někým jiným, ale náklady na pořízení této technologie mohou být vyšší. Autentizace můţe být jednosměrná, kdy se ověřuje jen jedna strana vůči druhé, nebo obousměrná, kdy se autentizují obě strany vzájemně, a obě proto musí sdílet určitou tajnou informaci. U kaţdé dvojice komunikujících stran je tako informace samozřejmě odlišná. Vzhledem k narůstající potřebě autentizace komunikujících stran na Internetu můţe být tento způsob postupně stále častěji obtíţnější z hlediska tvorby, ukládání a přenosu těchto informací. Proto se stále častěji vyuţívá autentizace za pomoci třetí důvěryhodné strany, která můţe ověřovat identitu uţivatelů nebo můţe poskytovat informace potřebné pro autentizace, typicky PKI (Public Key Infrastructure)[31] Autorizace není součástí specifikace a musí se provádět externími mechanismy, např. mechanismus pro řízení přístupu 802.1x. [31][7] Otevřená autentizace (Open System Authentication) U tohoto schématu nejde o ţádnou autentizaci, pouze identifikaci pomocí fyzické adresy MAC. Pouţívá se, pokud není autentizace poţadována a probíhá následovně: 1. Klient ustavující autentizaci vyšle speciální poţadavek, tzv. Open System Authentication Request, který obsahuje jeho MAC adresu jako zdrojovou adresu v rámci Přijímající část, nejčastěji bezdrátové AP, odpoví zprávou Open System Authentication Response, která signalizuje buďto úspěch nebo neúspěch. V případě úspěchu je přihlašující se klient autentizován. Obrázek č. 16 Otevřená autentizace [7] 28

29 Většina dnes dostupných AP vám dovoluje nastavit seznam MAC adres těch klientů, kteří jsou autorizováni. Toto nastavení ale neposkytuje zabezpečení bezdrátové sítě, protoţe případný útočník snadno zachytí bezdrátové pakety, které obsahují MAC adresy autorizovaných klientů, a následně se můţe vydávat za jednoho z nich. Více viz kapitola Autentizace sdíleným klíčem Tento druh autentizace ověřuje, zda klient ustavující autentizaci zná sdílenou tajnou informaci. U standardu se předpokládá, ţe sdílená tajná informace se k připojujícím se klientům dostane jiným, bezpečným způsobem. V praxi je tato tajná informace heslo, které klient zadává při přihlašování se k AP a stejné heslo je uţ předem v AP nastaveno. Autentizace sdíleným klíčem probíhá následovně: 1. Klient ustavující autentizaci vyšle rámec se ţádostí, tzv. Shared Key Authentication Request. 2. Zařízení, ke kterému se klient pokouší připojit, např. AP, odpoví rámcem (Shared Key Authentication Response) obsahujícím náhodný text (challenge text). 3. Klient odpoví rámcem (Shared key Authentication Request), který obsahuje zašifrovaný tvar náhodného textu z předešlého rámce, ten je šifrován pomocí WEP a sdíleného autentizačního klíče. 4. AP dešifruje zašifrovaný náhodný text pomocí WEP a sdíleného autentizačního klíče. Pokud dešifrovaný text odpovídá textu, který AP původně odeslal, pošle klientovi rámec Shared Key Authentication Response jako odpověď, která signalizuje úspěšnou autentizaci. Jinak posílá rámec, který signalizuje chybnou autentizaci. Obrázek č. 17 Autentizace sdíleným klíčem [7] Protoţe se sdílená tajná informace, tedy heslo, musí sdělovat klasickou cestou, kdy musí být například někde napsané nebo musí být sděleno příslušným pracovníkem, není tato 29

30 metoda autentizace vhodná do prostředí velké sítě s mnoha uţivateli, například školní budovy, kavárny. A to proto, ţe od chvíle, kdy toto jediné heslo zná jiţ mnoho lidí, ztrácí toto zabezpečení smysl. Další problém s tímto způsobem autentizace spočívá v tom, ţe kvůli jednoduchosti nastavení je tento sdílený autentizační klíč totoţný s klíčem WEP, pomocí kterého se šifruje veškerá komunikace mezi klientem a AP Symetrické šifrování Existují dva základní přístupy k šifrování, jedním z nich je šifrování symetrické (symmetric-key encryption). U tohoto typu šifrování má kaţdý počítač (uţivatel) tajný klíč, který pouţije k zašifrování dat předtím, neţ jsou poslána na jiný počítač prostřednictvím sítě. To znamená, ţe obě strany musí znát tento tajný klíč, aby i strana přijímající zašifrovaná data mohla rozšifrovat pomocí tohoto klíče. Jedním z nejvíce pouţívaných šifrovacích algoritmů se stal algoritmus DES (Data Encryption Standard), který byl schválen roku Pouţívá 56bitový klíč na blok dat o délce 64 bitů (kaţdý osmý bit se pouţívá jako parita). V sedmdesátých letech byl počet moţných kombinací tedy 2 56 povaţován za dostatečný, s rychlým vývojem počítačů byl však v lednu 1999 klíč DES prolomen a to během 22 hodin a 15 minut. Algoritmus je povaţován za bezpečný ve formě 3DES Triple DES, tedy trojité pouţití klíče DES. DES byl nahrazen algoritmem AES (Advanced Encryption Standard), který pouţívá 128, 192 nebo 256 bitové klíče na bloky dat stejné velikosti jako je příslušná velikost klíče. Šifra Rijdael, která byla vybrána v soutěţi uspořádané Ministerstvem obchodu USA a úřadem NIST pro algoritmus AES, byla vyvinuta dvěma belgickými kryptografy, Joan Daemen a Vincent Rijmen. Název šifry je tedy slovní hříčkou jejich jmen. Blokové šifrovací algoritmy jako DES nebo AES mohou pracovat v různých reţimech. Reţim ECD (Electronic Code Book) je slabší, neboť stejný blok dat vede vţdy ke stejnému bloku šifrovaného textu. Dává se tedy přednost reţimu CBC (Cipher Block Chaining), ten pouţívá ještě tzv. inicializační vektor IV, coţ je posloupnost náhodných bitů pouţívaných jako vstup algoritmu spolu s daty. IV nemusí být tajný, ale měl by být nepředvídatelný. [30][31] 30

31 7.1.3 Asymetrické šifrování Asymetrické šifrování, také známé jako šifrování s veřejným klíčem (Public Key Encryption), funguje tak, ţe jsou pouţity dva klíče, veřejný a soukromý. Data jsou zašifrována jedním a následně rozšifrována druhým klíčem z jedinečného páru klíčů, které spolu vzájemně korespondují. Jeden klíč je přísně soukromý a druhý je pak veřejně dostupný. Asymetrické šifrování tedy neslouţí k autentizaci původce zprávy, pokud je pouţit dostupný veřejný klíč, ale k ochraně přenášených dat. Kaţdé dvě stanice mohou bezpečně komunikovat bez předchozího předávání klíčů dvojím šifrováním, soukromým a veřejným klíčem, a to v libovolném pořadí. Princip asymetrického šifrování je vyobrazen na obrázku č. 18. Obrázek č. 18 Asymetrické šifrování [30] První z algoritmů veřejného klíče byl publikován roku 1976 pány Whitfieldem Diffie a Martinem Hellmanem. Metoda Diffie-Hellman se pouţívá pro bezpečnou distribuci klíčů, které se následně pouţívají pro šifrování. Roku 1997 byl vyvinut algoritmus RSA (autoři Rivest, Shamir a Adleman), který je z prvních algoritmů pouţitelných pro autentizaci i šifrování. Jeho spolehlivost závisí na délce pouţitého klíče, s delším klíčem se zvyšuje. RSA má široké vyuţití v elektronické poště, digitálních podpisech nebo při budování virtuálních privátních sítí (VPN). Pouţívá se také pro webové zabezpečení prostřednictvím SSL/TLS (Secure Sockets Layer/Transport Layer Security). Velkou výhodou je relativně jednoduchá správa šifrovacích klíčů, protoţe pro distribuci veřejných klíčů není potřeba zabezpečená komunikace. Soukromý klíč je udrţován 31

32 v bezpečí v lokálním systému a sítí se nedistribuuje, nebo se generuje nový pár klíčů pro kaţdou novou relaci nebo transakci. Při změně soukromého klíče se vygeneruje odpovídající veřejný klíč, který se inzeruje místo původního veřejného klíče. Nevýhodou šifrování veřejným klíčem je sloţitost pouţitého algoritmu; šifrování soukromým klíčem je podstatně rychlejší. Proto se často přistupuje ke kombinovanému vyuţití obou metod, pomalejší asymetrické šifrování se pouţije na zašifrování a bezpečnou distribuci asymetrických klíčů, na jejichţ základě se pak efektivně šifrují data. [31][32] Integrita dat Další s vlastností bezpečné komunikace je zajištění integrity přenášených dat, tedy zajištění, ţe data nebyla při přenosu nebo během šifrování poškozena nebo zda nebyla změněna záměrně. Toto lze zajistit několika metodami, z nichţ nejstarší je kontrolní součet (checksum), tedy součet hodnot jednotlivých bytů paketu. Kontrolní součet také poskytuje jistou formu autentizace, protoţe při zjištění chybného kontrolního součtu můţeme předpokládat, ţe data byla nějakým způsobem kompromitována. Metoda CRC (Cyclic Redundancy Check) je podobná konceptu kontrolního součtu, pouţívá ale polynomiální dělení pro určení hodnoty CRC, který je obvykle 16 nebo 32 bitů dlouhý. CRC je velmi přesný, protoţe i při jediném nesprávném bitu se hodnota CRC neshoduje. Samotné tyto metody jsou vhodné pro předcházení náhodných chyb v přenosu, ale poskytují malou ochranu před úmyslým útokem. Symetrické a asymetrické šifrování je mnohem bezpečnější způsob. [35] 7.2 Wired Equivalent Privacy (WEP) Potřeba bezpečné komunikace byla uţ od počátku sítí standardu IEEE nabídlo tuto moţnost uvedením a začleněním do standardu pod názvem WEP. Z překladu anglického sousloví Wired Equivalent Privacy, tedy soukromí, bezpečnost srovnatelná s tím, která existuje na kabelových sítích LAN. I kdyţ byl WEP zpočátku uváděn a nabízen jako zabezpečení bezdrátové komunikace, avšak jeho návrh a provedení je plné nedostatků, coţ znemoţňuje jeho pouţití jako prostředek bezpečné komunikace po bezdrátových sítích. K prolomení šifrování pouţívaného protokolem WEP došlo jiţ ke konci roku 2001, pouhé čtyři roky po jeho uvedení na trh v roce

33 7.2.1 Kryptografie protokolu WEP Pro ochranu dat pouţívá WEP šifru RC4, kterou navrhl roku 1987 Ron Rivest, v té době pracující pro bezpečností společnost RSA Security v USA. Ačkoli je zkratka oficiálně označována jako Rivest Ciper 4, podle Rona Rivesta původně znamenala Ron s code, tedy Ronův kód. Tato šifra byla zvolena kvůli jednoduchosti implementace přímo do hardware síťového adaptéru, která má jen zanedbatelný dopad na výkonnost zařízení u většiny adaptérů. Jde o symetrickou proudovou šifru, tedy takovou, která pouţívá tajný klíč. Obecně řečeno, proudová šifra pouţívá proud bitů nazývaných proudový klíč (keystream). RC4 funguje jako generátor pseudonáhodných čísel (pseudorandom number generator PRNG) a jde o soustavu pravidel pouţívaných k rozšíření klíče na proudový klíč. Do PRNG generátoru vstupuje tajný klíč a inicializační vektor IV a na jeho výstupu je proudový klíč. Tento proudový klíč se sloučí se zprávou, kterou posíláme a poté vznikne zašifrovaný text (ciphertext). Pro zjištění původní zprávy přijímací strana dešifruje zašifrovaný text stejným proudovým klíčem. RC4 pouţívá pro slučování proudového klíče se zprávou funkci XOR (Exclusive OR) nebo-li exkluzivní logický součet [31][31] [12] Obrázek č. 19 WEP zabezpečení pomocí algoritmu RC4 [39] Většina proudových šifer funguje tak, ţe relativně krátký klíč rozšíří na pseudonáhodný proudový klíč stejné délky jako je zpráva. Pro dešifrování zprávy musí mít obě strany stejný tajný klíč a pouţít stejný algoritmus pro rozšíření klíče na pseudonáhodnou sekvenci. Protoţe bezpečnost proudové šifry zcela závisí na náhodnosti proudového klíče, postup rozšiřování klíče na proudový klíč je velice důleţitý. 33

34 Opravdu náhodný proudový klíč je nazýván tabulka na jedno pouţití (one-time pad) a je to jediný způsob šifrování, u kterého je matematicky dokázána ochrana před určitým typem útoků. Tabulka na jedno pouţití není běţně pouţívaná, protoţe proudový klíč musí být dokonale náhodný, se stejnou délkou jako je zpráva, kterou má chránit, a můţe se pouţít maximálně jednou. Proto by bylo nutné mít obrovské mnoţství takovýchto tabulek a jejich distribuce je v praxi velice problematická. Proudové šifry jsou tedy kompromisem mezi bezpečností a účelností. Dokonalá náhodnost a bezpečnost tabulek na jedno pouţití je lákavá, ale praktické obtíţe a náklady spojené s generováním a distribuováním tohoto materiálu mají cenu pouze pro krátké zprávy, které vyţadují nejvyšší zabezpečení, jako jsou například potvrzovací kódy pro odpalování střel z ponorek a podobně. Proudové šifry pouţívají méně náhodný klíč, ale takový, který ve většině případů stačí. Obrázek č. 20 Formát rámce MAC [31] Šifrování WEP je naznačeno v záhlaví MAC rámce, nastavením bitu Protected Frame v poli řízení rámce, viz obrázek č. 20. Šifrování přenášených dat mezi klientem a AP se provádí 64bitovým nebo 128bitovým klíčem, který je sloţen z uţivatelského (tajného) klíče v délce 40 respektive 104 bitů a dynamicky se měnícího inicializačního vektoru IV (Initialization Vector), vţdy v délce 24 bitů. IV generuje vysílající strana, pouţije jej pro vytvoření šifry a současně jej pošle v otevřené formě jako součást záhlaví kaţdého paketu. Příjemce pouţije IV přijatého rámce pro spojení se sdíleným WEP klíčem a provede dešifrování přijatých dat. IV tedy v rámci předchází datům a zašifrováno není, protoţe příjemce rámce musí být schopen IV pouţít pro dešifrování. 32bitové pole IV (viz obrázek č. 21) obsahuje dvoubitový identifikátor klíče (KeyID), který se pouţívá pro výběr jednoho z maximálně 34

35 čtyř implicitních klíčů WEP nakonfigurovaných na stanici (jeden můţe slouţit pro komunikaci v práci, jeden pro domácí síť apod.), sdílených v dané bezdrátové síti všemi ostatními klienty. Volitelným a bezpečnějším mechanizmem pro výběr klíče je tzv. mapování klíčů pro klíč sdílený pouze dvěma stanicemi. V případě nastavení WEP stačí nastavit jeden klíč, ostatní jsou volitelné. Dalších šest bitů pole IV se pouţívá výhradně jako výplň (padding), na vlastní vektor tedy zbývá pouhých 24 bitů. Obrázek č. 21 Zapouzdření s WEP [31] Vektor IV se pouţívá pro zmírnění statičnosti klíče WEP, kdy by stejná zpráva vedla neodvratitelně ke stejnému zašifrovanému textu, čímţ by útočník měl všechny podklady pro snadné a rychlé zjištění klíče. Mnoţina moţných IV se vyčerpá poměrně rychle, celkem jich můţe být 2 24, tj. necelých 17 miliónů. Norma ale nespecifikuje, jak se má IV měnit, ani zda se má měnit s kaţdým paketem (tato moţnost je v normě jako volitelná). Většina výrobců IV s kaţdým paketem mění, ale mnohdy je veřejně znám vzorec nastavení IV např. při inicializaci karty vţdy začít na nule a s kaţdým paketem IV zvyšovat o 1, coţ velice ulehčuje úročníkům práci. Norma nespecifikuje ani způsob přidělování a distribuce klíčů pro WEP, ani jak často se mají měnit za účelem zvýšení bezpečnosti. Klíč je principiálně statický, takţe záleţí na implementaci, jakým způsobem (manuálně či automaticky) a jak často se mění (manuálně, nikoli automaticky dynamicky). Klíče se musí distribuovat bezpečným kanálem, coţ v praxi často znamená manuální konfiguraci klíče (hesla) u kaţdého bezdrátového klienta. 35

36 WEP pouţívá dva druhy sdílených klíčů: Relační klíč na ochranu jedinečně adresovaného provozu (unicast) mezi klientem a AP a současně na ochranu provozu skupinového a všeobecného (multicast a broadcast) od klienta směrem k AP. Skupinový / globální klíč na ochranu skupinového provozu od AP ke všem připojeným klientům. [31] Stupně nastavení WEP WEP je sice integrován ve všech zařízeních podle standardu , ale je na uţivateli, jak jej nastaví. Implicitně nebývá aktivován, takţe bez konfigurace ze strany uţivatele neprobíhá ţádná autentizace ani šifrování. Tento reţim není samozřejmě doporučovaný, i kdyţ se vyuţívá ve veřejných prostorách, např. kavárny, kdy se zabezpečení často odehrává aţ na vyšších vrstvách. Kromě této varianty nulového WEP můţe bezdrátové zařízení v závislosti na výrobci nabízet WEP s 64bitovým klíčem, případně silnější zabezpečení WEP ve formě 128 bitového šifrování. Pro tyto případy musí uţivatel vybraný reţim WEP jiţ na svém zařízení nastavit v konfiguračním prostředí. WEP klíč se zadává nejčastěji ve formátu 10 respektive 26 šestnáctkových znaků. V obou případech, 64 bitového a 128 bitového šifrování se ale prvních 24 bitů rovná inicializačnímu vektoru, který se přenáší v otevřené formě, takţe klíč je ve skutečnosti o 24 bitů kratší. Někteří výrobci tvrdí o svých produktech, ţe pouţívají 128bitové šifrování WEP, ve skutečnosti však jde o 104bitové šifrování. Někteří výrobci pouţívají 152bitový klíč, takţe plných 128 bitů je šifrovaných. Avšak slabiny WEP protokolu znamenají, ţe ať je klíč jakkoli dlouhý, vţdy je toto šifrování zranitelné Integrita dat u WEP Kromě funkce utajení dat nabízí WEP ještě zajištění integrity dat. Provádí kontrolní součet přes datovou část rámce, jehoţ výsledkem je hodnota kontroly integrity, tzv. ICV (Integrity Check Value), který se připojuje na konec rámce (viz obrázek č. 22). Spolu s daty je hodnota ICV zašifrována. Pokud u příjemce nesouhlasí po dešifrování ICV s uvedenou hodnotou v rámci, rámec se zahodí. Kontrolní součet (checksum) se provádí pomocí funkce cyklického kontrolního součtu (CRC-32). Tato funkce ovšem kvůli své lineární povaze (jde o lineární blokový kód) snadno 36

37 podlého útokům, které různými způsoby zamění bity v rámci, aniţ se kontrolní součet změnil. Proces šifrování a dešifrování u WEP probíhá následovně: 1. Vypočítá se hodnota ICV pro integritu dat rámce MAC. 2. ICV se připojí na konec rámce. 3. Inicializační vektor IV se připojí ke klíči WEP a tato kombinace se pouţije jako vstup pro generátor pseudonáhodných čísel pro generování posloupnosti bitů o délce odpovídající délce dat rámce a ICV. Na výsledné šifře a hodnotě dat se provede funkce XOR. 4. IV se předřadí před dohromady zašifrovaná data a ICV a rámec se zapouzdří, přidá se standardní záhlaví rámce protokolu Obrázek č. 22 Tvorba rámce s WEP a CRC-32 [14] Slabiny WEP WEP je náchylný k útokům typu replay, podvrţení/změny zprávy, ale zejména k odhalení klíče prostým odposlechem a hrubou silou, protoţe klíč a šifra RC4 jsou slabé. Bezpečnost sítě s WEP lze narušit snadno jak mechanicky (krádeţí jednoho z koncových zařízení s příslušnou bezdrátovou kartou), tak odposlechem. Na základě odposlechu lze klíče snadno prolomit pouze s pomocí přenosného počítače, bezdrátové karty pro a veřejně dostupného software. Jakmile dojde k narušení bezpečnosti krádeţí nebo odhalením klíče, musí se provést kompletní změna klíčů na všech zařízeních v dané síti sdílejících stejný klíč. Problém WEP není samotná šifra RC4 jako taková, ale délka pouţitého IV. Jeho délka, tedy 24 bitů, znamená, ţe se IV musí často opakovat, a protoţe je klíč statický, stačí útočníkovi čas v řádu jednotek minut nasbírat dostatek paketů a můţe šifru prolomit. Omezená délka IV je hlavní slabinou WEP, počet všech moţných IV je omezen na 2 24, tedy 37

38 přibliţně 16,7 miliónu. Při plném vytíţení bezdrátové sítě a krátkých rámcích musí nezbytně nutně dojít k opakování stejného IV, dojde k takzvané kolizi. [31] Řešením je implementovat buď jedinečný klíč pro kaţdou relaci nebo dokonce kaţdý paket a často automaticky klíče rotovat. To uplatňují novější bezpečnostní mechanismy pro bezdrátové sítě WPA i i implementují jak delší IV (48 bitový), tak dynamickou rotaci klíčů (více viz kapitola 7.5). Dalším slabým místem WEP je kontrola integrity dat. ICV je totiţ velice slabý mechanismus pro kontrolu integrity dat: vzájemná záměna bitů v datech nezmění hodnotu ICV. Tak můţe útočník podstrčit zprávu, která příjemci na vyšších vrstvách nedává smysl a vygeneruje chybovou zprávu (typicky ICMP chybové hlášení) zpět odesílateli. Útočník můţe odhadnout obsah zprávy a ze zašifrované podoby pak můţe odvodit WEP klíč platný pro daný IV. Útočník také můţe vyuţít známých, snadno odhadnutelných bitů v rámci , vzhledem k popularitě protokolu IP v sítích datové pole často obsahuje IP diagramy, jejichţ záhlaví obsahuje řadu konstantních posloupností bitů. Toto lze vyuţít při útoku Man-In- The-Middle na ICV (více viz kapitola 8.6). Přes rozvoj zabezpečovacích mechanismů a specifikací pro bezdrátové sítě se bude WEP ještě dlouho v bezdrátových sítích pouţívat, a to z mnoha důvodů: Je jednoduchý na nastavení a všechny produkty slučitelné s jej podporují. Stávající systémy v sítích nemusí být schopny podporovat vylepšené mechanismy zabezpečení, takţe pro ochranu stávajících investic se nebudou staré funkční produkty vyhazovat a nahrazovat novými. Nový hardware při spolupráci se staršími zařízeními bez podpory vyspělého zabezpečení sníţí úroveň svého zabezpečení, tedy na WEP. Nové bezpečnostní mechanismy znamenají větší nároky na personál a uţivatele z hlediska znalostí, času a nákladů. Implementace i/WPA2 vyţaduje většinou i upgrade hardware. [31] 7.3 IEEE 802.1X Pro poskytnutí lepšího zabezpečení pro bezdrátové sítě LAN a hlavně pro zlepšení zabezpečení WEP, bylo několik existujících řešení pouţívaných v kabelových sítích LAN upraveno tak, ţe mohou pracovat na bezdrátových sítích. Jde o technologii RADIUS (Remote Authentication and Dial-In User Service) (RFC 2865), která poskytuje centralizovanou autentizaci, autorizaci a účtování, a o technologii 802.1X, která poskytuje 38

39 metodu autentizace prostřednictvím portů, pomocí nichţ jsou uţivatelé připojeni k LAN v přepínaném síťovém prostředí. Tyto dvě sluţby jsou pouţívány v kombinaci s ostatními bezpečnostními mechanismy, jako například těmi, které poskytuje protokol EAP (Extensible Authentication Protocol), pro další zlepšení ochrany v bezdrátových sítích. Jako je tomu u filtrování MAC adres, 802.1X je implantována na druhé vrstvě OSI modelu, to znamená, ţe zamezí komunikaci na síti pouţívající vyšší vrstvy OSI modelu, pokud autentizace selţe na vrstvě MAC. Nicméně, na rozdíl od metody zabezpečení prostřednictvím filtrování MAC adres, je 802.1X velmi bezpečná, protoţe závisí na mechanismech, které jdou mnohem obtíţněji zkompromitovat neţ filtrování MAC adres, které lze překonat pouhou změnou MAC adresy na útočníkově stanici. [14] RADIUS server Internetová autentizační sluţba neboli IAS (Internet Authentication Service) od firmy Microsoft poskytuje RADIUS server jako sluţbu zaloţenou na standardech, nejde tedy o ţádnou proprietární technologii jako je tomu například u technologie LEAP od firmy Cisco nebo EAP-TTLS od společnosti Funk Software. Původně navrhovány jako prostředek centralizace autentizací, autorizací a účtování pro přihlašující se uţivatele, RADIUS servery jsou dnes vyuţívány pro poskytování těchto sluţeb pro ostatní druhy přístupů k síti, včetně virtuálních privátních sítí VPN (Virtual Private Network), autentizace prostřednictvím portů na přepínačích, a hlavně, pro tuto práci stěţejní, přístup k bezdrátovým sítím. IAS můţe být umístěn v Active Directory (adresářová sluţba firmy Microsoft pro nastavování politik, instalování programů na mnoho počítačů nebo aplikování kritických aktualizací v celé organizační struktuře, kde všechny informace a nastavení jsou uloţeny v centrální databázi) [4] a pouţívat databázi Active Directory pro centralizované řízení přístupů uţivatelů připojujících se prostřednictvím různých typů sítí. Navíc můţe být nainstalováno a nakonfigurováno více RADIUS serverů tak, ţe v případě selhání jednoho serveru se automaticky začne pouţívat druhý záloţní server. Ačkoli RADUS nemusí podporovat standard 802.1X, je to upřednostňovaný způsob poskytující autentizaci a autorizaci pro uţivatele a ostatní zařízení pokoušející se připojit k zařízení, které pouţívá standard 802.1X k řízení přístupů. [14] Standard 802.1X Tento standard byl vyvinut jako prostředek omezování přístupů prostřednictvím portů na síti Ethernet pro oprávněné uţivatele a zařízení. Kdyţ se počítač pokouší připojit na port síťového zařízení, jako je například přepínač, musí být úspěšně autentizován předtím, neţ 39

40 je mu dovoleno komunikovat se sítí prostřednictvím tohoto portu. Jinak řečeno, komunikace na síti není moţná bez předchozí úspěšné autentizace Autentizační porty 802.1X Pro autentizaci s 802.1X jsou vymezeny dva porty autentizátor (authenticator) a ţadatel (supplicant). Ţadatel je ten port, který ţádá přístup do sítě a autentizátor je ten, který povoluje nebo odepírá přístup k síti. Avšak autentizátor neprovádí samotnou autentizaci ţadatelovo poţadavku o přístup, tato autentizace je prováděna oddělenou sluţbou, umístěnou na odděleném serveru nebo je přímo implementována do samotného zařízení. Pokud autentizační sluţba úspěšně autentizuje ţadatele, sdělí tuto informaci autentizátorovi, coţ následně povolí přístup ţadatele do sítě. Zařízení kompatibilní se standardem 802.1X má dva logické porty přiřazené k jednomu fyzickému portu řízený (controlled) a neřízený (uncontrolled). Protoţe ţadatel musí nejprve komunikovat s autentizátorem ohledně ţádosti o přístup, toto zařízení pouţije neřízený port, prostřednictvím kterého můţe být ţádost vyslána. Pomocí tohoto neřízeného portu přepošle autentizátor ţádost autentizační sluţbě a pokud je ţádost úspěšná, autentizátor povolí komunikaci na síti LAN prostřednictvím logického řízeného portu. [14] Protokol EAP Protokol EAP (Extensible Authentication Protocol) se pouţívá k předávání ţádostí o autentizaci mezi ţadatelem a RADIUS serverem prostřednictvím autentizátora. EAP poskytuje moţnost pouţívat různé druhy autentizace spolu se standardními autentizačními mechanismy poskytovaných protokolem PPP (Point-to-Point Protocol). Uţívání protokolu EAP umoţňuje implementování silnějších autentizačních mechanismů v PPP, jako jsou například ty, které pouţívají veřejné klíče v souvislosti s čipovými kartami Smart Cards. Operační systém Windows podporuje dva druhy protokolu EAP: EAP MD-5 CHAP ten umoţňuje autentizaci zaloţenou na kombinaci jméno/heslo. S uţíváním tohoto druhu protokolu je spojeno několik nevýhod. První, i kdyţ je pouţívám jednocestný algoritmus (hash) v kombinaci s mechanismem ţádost/odpověď, kritická informace je stále posílána nešifrovaně, coţ jej činí zranitelným. Za druhé, tento druh protokolu neposkytuje vzájemnou autentizaci mezi klientem a serverem, pouze server autentizuje klienta. A za třetí, 40

41 neposkytuje mechanismus pro ustavení bezpečného kanálu mezi klientem a serverem. EAP-TLS je bezpečnostní mechanismus zaloţený na digitálních certifikátech standardu X.509, který je bezpečnější neţ EAP MD-5 CHAP. Certifikáty mohou být uloţeny v registrech nebo například na čipových kartách. Při pouţití toho typu autentizace ověřují klient a server jeden druhého výměnou certifikátů X.509 jako součást autentizace. Navíc poskytuje EAP-TLS bezpečný mechanismus pro výměnu klíčů k zaloţení šifrovaného kanálu. Přestoţe je pouţití tohoto druhu protokolu obtíţnější nakonfigurovat, protoţe je třeba implementovat infrastrukturu správy a distribuce veřejných klíčů PKI (Public Key Infrastructure), je EAP-TLS doporučován pro bezdrátovou autentizaci při 802.1X. [14] PEAP (Protected EAP) vytváří bezpečný tunel (relaci TLS), jehoţ prostřednictvím se uţivatel bezdrátových sítí můţe autentizovat s pouţitím stávajících metod autentizace (PEAP je podobně jako EAP-TTLS příkladem tunelovacího mechanismu). TLS se podobně jako u EAP-TLS pouţívá k autentizaci autentizačního serveru vůči stanici a klíč TLS chrání kanál mezi stanicí a autentizačním serverem. V posledním kroku se ale místo certifikátu pro autentizaci uţivatele pouţívá některá z metod EAP stanice vůči serveru, opět chráněná klíčem TLS. Např. PEAP můţe autentizovat uţivatelské jméno a heslo pro Windows vůči Windows 2000 Active Directory bez toho, aby se citlivé informace pouţité pro autentizaci mohly stát obětí odposlechu nebo útoku na adresář. PEAP není tedy tak administrativně náročná metoda jako EAP-TLS, ale přesto (podobně jako EAP-TTLS) musí mít autentizační server svůj certifikát, stanice musí mít tento certifikát ve své konfiguraci a musí být schopná ověřit jeho (ne)platnost. PEAP představuje silnější autentizační metodu neţ LEAP a je snadnější na implementaci neţ EAP-TLS, protoţe vyuţívá existující metody autentizace. Někdy ale potřebuje klienty třetí strany. PEAP sice podporují silní hráči na síťovém poli jako Microsoft, Cisco, ale kaţdý po svém, tedy neslučitelně. [31] Proces autentizace standardu 802.1X Pro správnou funkci autentizace standardem 802.1X na bezdrátové síti je třeba, aby AP mohlo bezpečně rozpoznat komunikaci přicházející od konkrétního klienta. Toto rozpoznávání je umoţněno pouţitím autentizačních klíčů, které jsou poslány na AP a klienta prostřednictvím serveru RADIUS. Kdyţ se klient (802.1X ţadatel) dostane do dosahu AP (802.1X autentizátor), nastává proces popsaný níţe a vyobrazen na obrázku č

42 1. AP vyšle, na základě detekce klienta, klientovi zprávu EAP REQUEST-ID. 2. Klient odpoví zprávou se svojí identifikací EAP RESPONSE-ID. 3. AP přepošle tuto identifikaci zapouzdřenou do paketu RADIUS ACCESS REQUEST serveru RADIUS prostřednictvím neřízeného portu. 4. Server RADIUS pošle ţádost klientovi prostřednictvím AP, která specifikuje pouţívaný autentizační mechanismus (například EAP-TLS). 5. Klient odpoví serveru RADIUS svými údaji o autentizaci. 6. RADIUS server pošle zašifrovaný autentizační klíč na AP, pokud jsou tyto údaje přijatelné. 7. AP vygeneruje tzv. multicast/globální autentizační klíč zašifrovaný klíčem jedinečného provozu (unicast) konkrétního klienta a pošle jej klientovi. Obrázek č. 23 Proces autentizace při 802.1X při použití EAP-TLS [14] Jakmile je proces autentizace úspěšně dokončen, klientovi je povolen přístup prostřednictvím řízeného portu v AP a komunikace po síti můţe začít. Většina komunikace ohledně zabezpečení v předchozích krocích probíhá přes neřízený port standardu 802.1X, který je pouţívám pouze za účelem přeposílání vyjednávání bezpečnosti mezi klientem a RADIUS serverem. Pro tento proces je zapotřebí bezpečnostní mechanismus EAP-TLS. Ten, na rozdíl od MD-5 CHAP, poskytuje mechanismus pro bezpečný přenos autentizačních klíčů z RADIUS serveru ke klientovi. 42

43 Významných výhod v pouţívání EAP-TLS v souvislosti s 802.1X je několik: Pouţívání digitálních certifikátů X.509 pro autentizaci a výměnu klíčů je velmi bezpečné. Mechanismus EAP-TLS poskytuje prostředky pro generování a pouţívání dynamicky přidělovaných WEP klíčů, klíčů generovaných pouze jednou, pro konkrétního uţivatele a pouze na dobu,po kterou je uţivatel připojen k síti. Z těchto důvodů pouţívání EAP-TLS při autentizaci s 802.1X odstraňuje většinu zranitelností protokolu WEP a poskytuje vysoký stupeň zajištění. [14] 7.4 WPA Historie Wi-Fi Protected Access (WPA) je zajímavá tím, jakým způsobem se stal standardem. Kdyţ byla bezpečnost standardu WEP prolomena, celé odvětví se obrátilo na IEEE s ţádostí o nápravu tohoto problému. IEEE odpovědělo tím, ţe vytvoří standard bezdrátové bezpečnosti i. Jeho vývoj se ale táhl a byl velice pomalý. Protoţe ratifikování tohoto standardu se stále oddalovalo, upadal prodej bezdrátových zařízení a to z důvodu neexistence bezpečného způsobu pouţívání bezdrátové sítě. Kvůli tomu začali výrobci těchto zařízení tlačit na IEEE a ostatní komise, aby ratifikovali něco, co by mohli pouţít v produkci produktů se standardem bezpečnosti. S oddalováním data uvedení i na trh se sdruţení Wi-Fi rozhodlo, ţe vytvoří jakousi podmnoţinu standardu i, a budou ho nazývat WPA, a bude obsahovat management klíčů a autentizační architekturu (802.1X). Toto sdruţení vytvořilo WPA z toho, co jiţ pracovní skupina i vytvořila, a zformovala to do standardu WPA. To znamenalo, ţe jakékoli velké budoucí změny standardu i by ovlivnily budoucí verze WPA. Toto jsme mohli vidět u WPA i u vzniku standardu WPA2. Od ratifikace bezpečnostního standardu i (24. června 2004) se výrazně sníţilo procento pouţití standardu WPA. [9][1] To, co zpracovalo sdruţení Wi-Fi do standardu WPA bez nutnosti výměny hardware za novější byl protokol TKIP (Temporal Key Integrity Protocol). Největší rozdíl mezi WPA a i, také známý jako WPA2, je ţe místo pouţívání standardu AES (Advanced Encryption Standard) je u WPA pouţit TKIP pro utajení a Michael (MIC Message Integrity Protocol) pro integritu dat. [5] TKIP byl vytvořen za účelem zalátovat díry protokolu WEP a současně být schopen fungovat na původních zařízeních. Většina zařízení standardu obsahuje 43

44 bezdrátový adaptér (WLAN NIC Wireless Local Area Network Network Interface Card), který umoţňuje přístup k sítím standardu Tento adaptér se obvykle skládá z mikroprocesoru, nějakého firmware, malé paměti a speciální řídící jednotky. Tato řídící jednotka je vyhrazena pro implementaci WEP, protoţe softwarová implementace WEP je příliš pomalá. Přesněji řečeno, zpracovávání šifrování WEP je implementováno přímo do hardware. Hardwarové šifrování zpracuje na vstupu IV, hlavní klíč a samotná data, a výstupem je šifra (ciphertext). Jedno z nejváţnějších omezení navrhovatelů protokolu TKIP byl právě fakt, ţe hardwarová řídící jednotka nemůţe být změněna. Dále je popsáno jak byly ošetřeny nedostatky protokolu WEP na hardware s těmito omezeními. [7][5] Dynamické generování klíčů (TKIP) Jeden z největších nedostatků protokolu WEP je, ţe nespecifikuje ţádné generování klíčů a závisí na koncepci předem sdíleného klíče, který si musí komunikující strany sdělit nějakým jiným způsobem před zahájením samotné komunikace. Šlo o problém samotné architektury systému, takţe k vyřešení tohoto problému byla potřeba podpora všech stran komunikace, tedy klientů, AP, autentizačních serverů. TKIP obsahuje funkce jako je dynamické regenerování klíčů, kontrola integrity zpráv a číslování paketů proti útokům typu replay (více viz kapitola 8.2). TKIP také prodluţuje délku zprávy zašifrované pomocí WEP o 12 bytů: 4 byty pro rozšířenou informaci IV a 8 bytů pro kód integrity zpráv (MIC). Rozdíly ve formátu a šifrování WPA oproti WEP a WPA2 je vyobrazen na obrázku č. 23. Obrázek č. 24 Šifrování WEP, WPA a i [31] 44

45 Hodnota IV u TKIP se zde dělí na dvě části 16bitová hodnota se doplní do 24 bitů pro klasické IV a 32bitová část zaznamenává pořadové číslo paketu a pouţívá se pro kombinování klíčů pro jednotlivé pakety (PPK Per Packet Keying). V prvním kroku se smíchá 32 bitů IV, dočasný klíč relace a MAC adresa. Vstupem druhého kroku je výstup kroku prvního, ten se smíchá s 16bitovou částí IV a dočasným klíčem relace. Pouţije se zde jednocestná funkce hash (one-way hash), která vţdy určuje jedinečný klíč (viz obrázek č. 25). Dočasný klíč relace a kód MIC se odvozují z klíče PMK (Pairwise Master Key), který je vytvořen z hlavního klíče v rámci 802.1X. [31][14][1] Obrázek č. 25 Generování klíče v TKIP [31] U TKIP je nově v implementaci TKIP sekvenční počítadlo. Hodnota IV se díky němu zvyšuje postupně a pakety s hodnotou IV mimo tuto posloupnost se zničí, čímţ se zabrání útokům typu replay, který je proveditelný u protokolu WEP. Díky metodě potvrzování paketů, která je implementována v protokolu CSMA/CA, a následnému opakovanému vyslání určitého chybějícího paketu si TKIP ukládá posledních 16 přijatých hodnot IV a můţe tak kontrolovat, zda opakovaně vyslaný rámec zapadá do předchozí sekvence hodnot. Pokud ano a není dosud potvrzeno přijetí, je tento přijat. Bez tohoto mechanismu by kvůli sekvenčnímu počítadlu TKIP nemohly být ztracené rámce opakovaně vyslány. S kaţdým paketem se u TKIP mění 128bitový klíč, coţ je opět oprava slabiny protokolu WEP. Je zde pouţita stejná proudová šifra jako u WEP, tedy RC4, ale jiţ je implementována správně a nemůţe tak dojít k odhalení zašifrovaných dat monitorováním provozu z důvodu pouţití dočasných klíčů. Pro správce sítě je umoţněno měnit a rotovat klíče jak pro individuální provoz (unicast), tak na AP pro šifrování vysílání skupinového (multicast) a všeobecného (broadcast). [31] 45

46 Po úspěšné autentizaci získáme hlavní klíč PMK, ze kterého se dále odvozují další, celkem je to pět přechodných klíčů (PTK, Pairwise Temporal Key) 128bitový EAPOL šifrovací klíč, 128bitový EAPOL-MIC klíč, 128bitový šifrovací klíč a dva 64bitové MIC klíče. Tyto jsou určeny pro unicast provoz, pro multicast provoz generuje AP skupinový hlavní klíč (GMK, Group Master Key), z něhoţ se generují tři klíče dočasné 128bitový dočasný šifrovací klíč a dva 64bitové klíče MIC. Proces autentizace a managementu klíčů je naznačen na obrázku č. 25. Obrázek č. 26 WPA autentizace a management klíčů [31] Pokud se ale nepouţije protokol 802.1X, dynamické klíče se nahradí sdíleným klíčem PSK (Pre-Shared Key). Většinou jde o jediný PSK klíč na ESSID (Extended Service Set IDentifier), nikoli tedy na klienta, podobně jako je tomu u šifrování WEP. PSK se zde ale nepouţívá pro šifrování provozu, ale na jeho základě se generují párové klíče (PTK, Pairwise Transient Key) pro kaţdé spojení chráněné protokolem TKIP. Tyto klíče se distribuují prostřednictvím tzv. four-way handshake (čtyřcestná výměna paketů), která obsahuje PSK a adresy MAC komunikujících klientů. Tyto pakety podobně jako adresy MAC lze ale zjistit odposlechem, takţe lze poměrně snadno odvodit pouţité PTK pro průnik do sítě. Úvodní four-way handshake lze přitom uměle vyvolat útokem, tzv. de-autentizací (více viz kapitola 8.6) Integrita dat - MIC U protokolu WEP bylo pouţito CRC-32 ke kontrole integrity dat. Avšak tato funkce je lineární, proto je moţné změnit obsah zprávy, aniţ by se změnila hodnota kontroly 46

47 CRC-32, proto toto není kryptograficky bezpečný způsob kontroly integrity dat. Cílem TKIP je specifikovat kryptograficky bezpečný protokol kontroly integrity dat a zároveň, jako tomu je u WEP, nebyl náročný na výpočetní výkon a mohl tak být pouţit na jiţ existujícím WEP hardware, který má nízký výkon. Problémem je fakt, ţe většina nejznámějších protokolů pro výpočet MIC (Message Integrity Check) obsahuje mnoho operací násobení a tyto jsou náročné na výpočetní výkon. Proto TKIP pouţívá nový MIC protokol, přezdívaný Michael, ve kterém jsou obsaţeny pouze početní operace posunu a sčítání. Tyto operace jiţ nepoţadují tak vysoký výpočetní výkon, proto můţe být MIC implementován na existující hardware bez sníţení výkonu. Hodnota MIC je přidávána do rámce MAC jako dodatek k ICV, který je výsledkem funkce CRC-32. Protoţe Michael je jakýsi kompromis mezi kryptografickou bezpečností a náročností na výpočty, jeho tvůrci do něj zabudovali ochranný mechanismus v případě, ţe by byl zkompromitován. Pokud implementace TKIP přijde na dvě falešné hodnoty MIC během jedné sekundy (dva pakety, kde se vypočítaná hodnota MIC neshoduje se stejnou hodnotou zapsanou v paketu), klient předpokládá, ţe je pod útokem a jako protiopatření vymaţe své klíče, odpojí se, čeká minutu a znovu se připojí. I kdyţ to zní jako tvrdé opatření, protoţe při něm dojde k přerušení spojení, předejde se tím útokům s podvrţenými pakety. Dalším vylepšením u TKIP je, ţe vybírá a pouţívá inicializační vektor IV jako sekvenční počítadlo. U WEP nebylo specifikováno, jak generovat IV pro kaţdý paket, ani ţe by se IV vůbec měl s pakety měnit. TKIP výslovně vyţaduje, aby klient během jedné session (doba asociace klienta s AP) začal pouţívat IV od hodnoty 0 a zvyšoval tuto hodnotu o 1 s kaţdým dalším paketem. Z tohoto důvodu je moţné pouţít IV jako tzv. TKIP Sequence Counter, TSC, tedy sekvenční počítadlo. Díky tomu je moţné zabránit tzv. replay útoku, na který je protokol WEP náchylný. [31][5] i (WPA2) WPA bylo navrţeno organizací Wi-Fi Alliance s hlavním cílem zvýšení bezpečnosti existujících sítí standardu tak, aby mohlo být dodáno do existujících zařízení prostřednictvím aktualizace softwaru, ne výměnou hardwaru. Ten se stal základním kamenem pro konečné řešení vytvořené pracovní skupinou IEEE i. Toto bezpečnostní řešení se nazývá RSN (Robust Security Network). Wi-Fi Alliance zakomponovala toto řešení do jejich návrhu a nazvala ho WPA2. Management klíčů a autentizace zůstala stejná jako u WPA. Samotné šifrování bylo ale změněno. Protokol WEP pouţíval proudovou šifru RC4, coţ byla jeho nevýhoda pramenící 47

48 z jejího pouţití v prostředí, kde je sloţité zajistit bezztrátový synchronní přenos. Z tohoto důvodu pracovní skupina IEEE i stanovila, ţe bude pouţita bloková šifra. Zjevný kandidát byla šifra AES, která ve své době (a stále je) povaţována za nejbezpečnější blokovou šifru. Aby mohl protokol i poskytnout bezpečnost, je šifra AES je zde pouţita jako v reţimu počítadlo (couter mode). Tento reţim vlastně pouţívá blokovou šifru jako proudovou, čímţ kombinuje bezpečnost blokové šifry s jednoduchým uţitím šifry proudové. Počítadlo počítá od předem určeného libovolného čísla a načítá se specifickým způsobem. Šifra AES je poté pouţita na zašifrování počítadla, čímţ se vytvoří proudový klíč. Původní zpráva je rozdělena na bloky po 128 bitech a na kaţdém bloku je provedena funkce XOR s odpovídajícími 128 bity vygenerovaného proudového klíče, z čehoţ vznikne zašifrovaná zpráva. Počítadlo AES poskytuje utajení, ale neposkytuje integritu zprávy. Pracovní skupina IEEE i rozšířila reţim počítadla tak, aby obsahoval operaci řetězení blokových šifer (Cipher Block Chaining [CBC]-MAC). Z toho i vyplývá název protokolu AES-CCMP, kde CCMP znamená Counter-mode CBC-MAC protocol. Obrázek č AES CBC-MAC [5] Jak je vidět na obrázku č. 27, CBC-MAC pouţije funkci XOR na blok holého textu a předchozí zašifrovaný blok předtím, neţ je zašifrován. To zajišťuje, ţe jakékoli změny provedené v bloku šifrované zprávy (například úmyslně útočníkem) změní dešifrovaný výstup posledního bloku, čímţ se změní zbytek. CCMP tedy najednou zajišťuje utajení, autenticitu, kontrolu integrity zpráv a číslování paketů na ochranu proti útokům typu replay. CCMP prodluţuje datový rámec o 16 bytů 48

49 (viz obrázek č. 24), mimo jiné o 48bitové počítadlo PN (Packet Number), které je zde pouţito jako inicializační vektor IV. Jeho délka (48 bitů) je jiţ dostatečná a nedochází tak k opětovnému pouţití stejného IV, coţ je významná slabina protokolu WEP. [5] 8 Možné útoky na bezdrátové sítě 8.1 Útoky na WEP Protokol WEP nemá ţádný management klíčů, ty musí být šířeny nějakou jinou cestou. Další problém je v samotné implementaci šifry RC4 a slabých inicializačních vektorů IV v tomto protokolu. Pokud útočník odposlechne dostatek dat komunikace, můţe pomocí volně dostupných nástrojů (například aircrack-ng, airsnort, chopchop) rozluštit WEP klíč během několika minut při tzv. off-line útoku. Při něm si útočník data ukládá do svého počítače a poté má dostatek času na rozluštění hesla útokem hrubou silou (brute-force attack). Tato slabina protokolu WEP byla poprvé zdokumentována v roce 2001 pány Fluherem, Mantinem a Shamirem, později znám jako FMS útok. Další moţný útok je tzv. injekce paketu (packet injection). Tento druh útoku je moţný díky tomu, ţe standard nevyţaduje změnu inicializačního vektoru IV u kaţdého paketu. Pokud tedy známe nešifrovaný text nějakého šifrovaného paketu, můţeme odvodit šifrovací sekvenci. Pomocí této šifrovací sekvence zašifrujeme náš text, který poté bude dešifrován jako platný. [24][36] 8.2 Útoky na WPA Oproti WEP byl protokol WPA vylepšen z hlediska bezpečnosti, hlavně o TKIP protokol (viz kapitola 7.4). V podnikové sféře (WPA Enterprise) můţe být pouţit RADIUS server pro autentizaci klientů. WPA Personal pouţívá předem sdílený klíč PSK, který můţe mít 8 aţ 63 znaků dlouhé heslo. Slabá hesla mohou být prolomena prostřednictvím off-line slovníkového útoku (dictionary attack). To znamená, ţe slova běţně pouţívaná v řeči se budou ve slovníku nacházet a budou odhalena. Protokol TKIP (Temporal Key Integrity Protocol) obsahuje dynamické generování klíčů a současně i kontrolu integrity dat (MIC). Navíc zajišťuje obranu proti útoku replay (přeposlání) pomocí číslování jednotlivých paketů. TKIP mění dynamicky klíče pro kaţdý 49

50 jednotlivý paket a tak útočník nemá moţnost odposlechnout dostatek paketů se stejným šifrovací klíčem, aby je mohl následně pouţít k rozluštění tohoto klíče tak, jako tomu bylo u protokolu WEP. Konkrétně opravuje slabiny protokolu WEP jako je útok opakováním (replay) opakované vyuţití inicializačního vektoru IV, podvrţení paketu a útoky zaloţené na kolizích. [24][36] 8.3 Zranitelnost EAP-MD5 a LEAP EAP-MD5 a LEAP jsou metody šifrované autentizace v sítích standardu 802.1X. Větší zranitelnost je u EAP-MD5, protoţe nemá podporu dynamicky generovaných WEP klíčů pro kaţdou relaci. Obě metody trpí náchylností ke slovníkovým útokům, pokud uţivatel nepouţije dostatečně silné heslo. LEAP, na rozdíl od PEAP (Protected Extensible Authentication Protocol), nevytváří šifrovaný tunel mezi klientem a autentizačním serverem. Z toho vyplývá, ţe LEAP přenáší autentizační informace v nezašifrovaném formátu. Technologie LEAP dále v kombinaci s autentizací dle MAC adres na jednom RADIUS serveru, je dírou do systému. Útočníkovi totiţ stačí pouţít MAC adresu místo přihlašovacích údajů a přístup je povolen. [33] 8.4 Útoky na WPA2 V případě pouţití kompletní WPA2 čili včetně autentizačního serveru RADIUS, jsou útoky na WPA2 spíš otázkou konfigurace jednotlivých komponent sítě, neţ útokem na WPA2 jako takové. Je například snadnější najít chybu v konfiguraci autentizačního serveru neţ se snaţit o průnik do sítě přes WPA2. Jiná situace je při pouţití PSK, kde dochází často k pouţití slabého hesla, které můţe být snadno terčem slovníkové útoku. Moţnosti útoků na WPA a WPA2 se takřka překrývají.[24][36] 8.5 Odposlech sítě Provádí se přepnutím NIC útočícího stroje do tzv. promiskuitního módu. V normálním provozu operačním systém zpracuje pouze pakety, které se týkají hostitelského stroje. To znamená ty, které mají cílovou MAC adresu hostitelovy NIC. Dále zpracuje pakety, které jsou zaslány na broadcastovou adresu. Stále hovoříme o komunikaci na vrstvě linkové. Přepnutí NIC do promiskuitního módu způsobí, ţe operační systém předá ke zpracování 50

51 všechny pakety linkové vrstvy, které NIC zaslechne. Samozřejmě nad operačním systémem běţí program, který přijatou komunikaci zpracuje. Protoţe NIC v promiskuitním módu je pasivní forma útoku, nelze jí běţně detekovat např. aktivními prvky sítě. Přesto je moţné tento stav NIC detekovat. NIC totiţ reaguje jinak na pakety, které jí nepřísluší a kterých si v normálním provozu nevšímá. Lze tedy zaslat paket, který má cílovou MAC adresu testované NIC, ale cílová ip adresa patří někomu jinému. Pokud testovaná NIC neodpoví zprávou REJECT, běţí s největší pravděpodobností v reţimu promiskuitním módu. Způsob zpracování a odpovědi závisí na operačním systému a jsou zde rozdíly mezi implementací MS Windows a Linux. Útočník takto můţe získat zajímavá data ostatních uţivatelů sítě i představu o síťové infrastruktuře. [34] 8.6 Falešná zařízení Rogue AP Z hlediska bezdrátové sítě jsou velice nebezpečná neautorizovaná, falešná zařízení (Rogue AP), kterými mohou být AP, ale také počítače (jak hardware, tak software). Falešný AP je jakýkoli neautorizovaný AP v organizaci. A můţe se jednat o dobré i špatné úmysly, protoţe mnohdy zaměstnanci přinesou svůj AP bez přemýšlení. Zejména malá AP jsou nebezpečné pro podnikové sítě, protoţe negenerují ţádnou komunikaci s jinými AP, takţe je lze jen obtíţně detekovat (i na Ethernetu). Je důleţité si uvědomit, ţe neautorizovaný AP můţe a nemusí být připojen v podnikové síti, aby napáchal škody. Falešný AP vně budovy můţe nezabezpečeného uţivatele přimět v přihlášení se do této sítě, a narušitel se tak můţe dostat k důleţitým datům. Připojení AP k podnikové síti uţ vyţaduje porušení i dalších bezpečnostních pravidel, třeba fyzického přístupu, proto se toho spíše dopouštějí sami zaměstnanci neţ útočníci zvenčí. 8.7 Man-In-The-Middle Útok typu MITM, tedy Man-In-The-Middle, je pouţíván narušiteli pro únos relací a pro implantování vlastního provozu do sítě. Umístění mezi dvěma bezdrátovými klienty dává útočníkům moţnost pouţít příkazy a nebezpečný software (malware). U bezdrátových sítí se tento typ útoku provádí podobnými metodami jako u kabelových sítí, ale útočník můţe v tomto případě být od vlastní bezdrátové sítě značně daleko. Tento typ útoku lze provádět na fyzické nebo spojové vrstvě OSI modelu. Na fyzické vrstvě se jedná o tzv. jamming, neboli zarušení kanálu buď pomocí speciálního zařízení, nebo 51

52 zahlcením přístupového bodu zbytečným provozem. Falešný AP můţe pouţít vyšší neţ povolený výkon. V prvním případě lze tento útok odhalit pomocí kmitočtového analyzátoru, protoţe tradiční systémy IDS (Intrusion Detection System) moc nepomohou. K útokům na fyzické vrstvě jsou klienti náchylnější v případě přesunu mezi dvěma sítěmi (roaming). Útok na druhé vrstvě (spojové) je zaloţený na falešném odhlášení od sítě (deassociation nebo deauthentication), kdy jsou příslušné rámce podsunuty cílovému uzlu jakoby od právoplatného přístupového bodu. Takový útok je zpravidla účinnější neţ jamming. Falešný přístupový bod má šanci tehdy, pokud klienti nemají přednastavený kmitočet, na kterém pracují. Specifickým vyuţitím útoku je falešný přístupový bod pro útok na jednosměrný autentizační systém na bázi 802.1X s EAP-MD5. Takový neautorizovaný bod se musí vydávat současně za RADIUS server, coţ není nijak sloţité prostřednictvím jednoho laptopu útočníka. Proto se jiţ od pouţívání EAP-MD5 odstoupilo a pouţívá se PEAP. Při útoku MITM se typicky útočník postaví mezi autorizovaný přístupový bod a klienta. Pouţije k tomu odposlech jejich komunikace ke zjištění jejich MAC adres. Následně rozbije jejich spojení a zfalšuje své MAC adresy. Ošálí tak přístupový bod, tváří se vůči němu jako autorizovaný klient, a ošálí také důvěřivého klienta, ţe je autorizovaný přístupový bod. Pak můţe útočník nerušeně veškerý provoz mezi klientem a přístupovým bodem odposlouchávat, aniţ by to autorizovaná zařízení věděla. Jednou z moţností ukradení relací je pouţít tzv. ARP útok, kdy prostřednictvím změny v ARP (Address Resolution Protocol) tabulce (ta mapuje IP adresy a MAC adresy zařízení, s nimiţ chce klient komunikovat) vytipovaného zařízení útočník donutí síť, aby přenášela data přes jeho bezdrátovou stanici. [31] Problém tohoto útoku je ten, ţe je velice účinný a jediná ochrana je si být naprosto jistý v okamţiku připojování se k AP, ţe je to opravdu to AP, ke kterému se chceme připojit. 8.8 DoS Denial of Service Bezdrátové sítě jsou z principu velice náchylné k útokům vedoucím k odmítnutí sluţby (DoS). DoS můţe velice zpomalit komunikaci v síti, a často ji i úplně znemoţnit. To je samozřejmě nepříjemné pro jednotlivé uţivatele, ale pro aplikace citlivé na zpoţdění a důleţité z hlediska dostupnosti (např. bezdrátové bezpečností kamery, bezdrátové platební terminály), je to situace kritická. Proti DoS útoku neexistuje ţádné efektivní protiopatření. 52

53 Kvůli návrhu a charakteru přenosového prostředí nelze bezdrátové sítě chránit proti útokům typu DoS na fyzické vrstvě a některým útokům DoS na vrstvě spojové. Mezi útoky patří: Jamming zahlcení sítě neuţitečnými rámci, případně silné zarušení sítě (specifické zařízení můţe být zaloţeno na bázi mikrovlnné trouby). Záplava rámců pro odpojení ze sítě rozšířený útok můţe vést k obtíţnému opětovnému přidruţení k síti. Falešné chybové autentizační rámce klient můţe mít následně problém s opětovným přihlášením k síti. Chybějící šifrování a ochrana integrity pro rámce managementu (platí i pro i) umoţňuje útočníkovi podvrhnout rámce typu deasociace nebo deautentizace klientovi nebo AP, a tím zablokovat nebo zpozdit legitimní pakety. Přeplnění mezipaměti (bufferu) AP pro rámce pro přihlášení a autentizaci hrozí přetečení vyrovnávací paměti u AP a spadnutí AP při velkém mnoţství ustavených spojení nebo poţadavků na autentizaci. [31] 8.9 Wardriving Roku 2000 bezpečnostní expert Peter Shipley započal svůj projekt, kterým chtěl systematicky upozorňovat na bezpečnostní rizika bezdrátových sítí. Pojmem wardriving označujeme hledání bezdrátových sítí (WLAN mapping). Spočívá v tom, ţe útočník prochází (projíţdí) městem a vyhledává bezdrátové sítě. Toto je stále naprosto v pořádku, není však výjimkou, ţe takovýto wardriver najde síť s nízkou mírou zabezpečení. Pak jiţ záleţí pouze na jeho morálních zásadách, jak s touto informací naloţí. Jsou popsány i techniky warflyingu, kdy útočník letí letadlem velmi nízko nad obydlenou oblastí a vyhledává sítě. V dnešní době se stal wardriving se všemi svými variacemi stal moderním sportem a existují celé online mapy, které mapují existenci bezdrátových sítí. K pojmu wardrivingu se velice úzce váţe warchalking. Warchalking je způsob jakým mohou wardriveři upozornit na existenci nezabezpečeného AP v této oblasti. Existuje určitá skupina symbolů, které se obvykle kreslí na zeď nebo na chodník. Tyto symboly dávají ostatním lidem znát, jaká je tu k dispozici síť a jaké jsou v této síti aktivovány bezpečnostní mechanismy. Pokud tento symbol najdete poblíţ svého domu nebo firmy pak stojí za zváţení, zda nestojí za to provést audit zabezpečení vaší sítě. [31][24] 53

54 8.10 Osvědčené postupy Filtrování MAC adres Většina bezdrátových AP obsahuje nějaký druh filtrování MAC adres, coţ umoţňuje administrátorovi sítě povolit přístup pouze počítačům s určitými MAC adresami. Bohuţel MAC adresa bezdrátového adaptéru můţe být změněna v prostředí operačního systému. To znamená, ţe útočníkovi stačí odposlechnout přenos dat, který probíhá mezi AP a klientem, a nastavit si stejnou adresu, jako má tento klient. Zabezpečení sítě prostřednictvím této metody je tedy nedostatečné, pouze případný útok oddálí, ale nepředejde mu. [36] Schování SSID SSID neboli název sítě je moţné veřejně vysílat (rámec Beacon), popřípadě jej schovat, takţe se připojí automaticky jen ten, kdo jej zná. Nejedná se ve skutečnosti o ţádné seriózní zabezpečení, protoţe SSID můţe útočník snadno odhalit v okamţiku, kdy se legitimní klient přihlašuje do sítě. V poţadavku o přihlášení (Associate Request) klient posílá SSID v nezašifrované podobě, takţe kdokoli naslouchající (sniffing) v okolí zachytí tato data a název sítě tak jednoduše zjistí. [36] WEP Jak jiţ bylo zmíněno, WEP není vhodný pro opravdové zabezpečení, případný přístup útočníka do sítě pouze oddálí. Znamená to, ţe pouţitím tohoto protokolu nedosáhneme dostatečně zabezpečené síti, pouze můţe odradit málo zkušené útočníky. [36] WPA S tímto protokolem je nutné pouţívat hesla, která jsou nejen dostatečně dlouhá (alespoň 14 znaků), ale také musí obsahovat náhodně uspořádaná velká a malá písmena, číslice a speciální znaky. Při pouţití hesla s maximální délkou 63 znaků a výše doporučeného postupu jeho tvorby, je heslo prakticky neprolomitelné (se současnou výkonem výpočetní techniky). [36] 54

55 WPA2 Stejně jako předchozí protokol podporuje WPA2 jak metodu PSK, tak i RADIUS server pro autentizaci klientů. Hlavní vylepšení oproti WPA je zařazení AES-CCMP algoritmu jako povinné vlastnosti protokolu WPA2. Stejně jako u pouţití předchozího protokolu, je i zde nutné mít pro opravdové zabezpečení dlouhé silné heslo. Lámání hesel je exponenciální. Kaţdý znak navíc udělá heslo 100x obtíţnější prolomit za předpokladu pouţití malých a velkých písmen, číslic a speciálních znaků. Pouţití protokolu WPA2 v kombinaci se šifrováním AES a autentizačním serverem RADIUS se v současné povaţuje za nejvyšší moţné zabezpečení. [36] 8.11 Praktická ukázka prolomení WEP V této ukázce si ukáţeme, jak snadné je prolomit protokol WEP a získat klíč pouze s pouţitím veřejně dostupných nástrojů. V tomto konkrétním případě je pouţita linuxová distribuce BackTrack 4 beta, která mimo jiné obsahuje balík nástrojů aircrack-ng. Pro získání WEP klíče je tedy nejenom potřeba mít například tyto nástroje, ale je i potřeba být fyzicky dostatečně blízko k AP, které nás zajímá. A to z toho důvodu, ţe nejenom ţe potřebujeme přijímat data od AP, ale také je potřebujeme vysílat na AP, proto je důleţitá fyzická blízkost nebo dostatečný výkon bezdrátového adaptéru laptopu, který budeme pouţívat při tomto útoku. Dále je ve většině případů zapotřebí, aby k AP byl připojen alespoň jeden klient a byl aktivní, to z toho důvodu, ţe tato metoda prolomení WEP závisí na paketech ARP typu Request. Bezdrátový adaptér v laptopu musí být moţno přepnout do reţimu monitor (monitor mode) a musí být schopen provádět injekci paketů (packet injection). Adaptér se nám hlásí jako wlan0. Do reţimu monitor přepneme adaptér následujícím příkazem: sudo airmon-ng start wlan0 Ţe je adaptér v reţimu monitor zjistíme příkazem: iwconfig Pokud ano, bude výpis obsahovat Mode:Monitor 55

56 Dále provedeme kontrolu funkce injekce paketů tímto příkazem: aireplay-ng -9 wlan0 Pokud vypadá odpověď takto, injekce funguje: 16:29:41 wlan0 channel: 9 16:29:41 Trying broadcast probe requests... 16:29:41 Injection is working! Máme vše připravené a dalším krokem tak bude průzkum dostupných sítí v okolí a nalezení cíle. Ten provedeme následujícím příkazem: sudo airodump-ng wlan0 Obrázek č. 28 Výstup z airodump-ng [40] Uvidíme seznam dostupných bezdrátových sítí (viz obrázek č. 28), kanálů, na kterých vysílají, včetně MAC adres přístupových bodů a jak jsou jednotlivé sítě zabezpečeny (WEP, WPA, OPN atd.). Dalším krokem by mohla být změna MAC adresy našeho adaptéru, avšak námi vybraný přístupový bod není zabezpečen filtrováním MAC adres. 56

57 Teď uţ bychom měli mít vše potřebné o našem cílovém AP (jméno, MAC adresu, kanál, na kterém vysílá atd.). Nyní začneme zachytávat všechny nové unikátní inicializační vektory IV, které jsou obsaţeny v paketech opouštějící přístupový bod. To provedeme následujícím příkazem s parametry našeho cílového AP v novém terminálovém okně: sudo airodump-ng -c 11 --bssid 00:0E:2E:45:D7:E4 -w wepvektory -i wlan0 V parametru w určujeme název souboru, do kterého se ukládají inicializační vektory, parametrem i zajistíme, ţe se budou ukládat pouze inicializační vektory, ostatní data budou zahozena. Parametr c je číslo kanálu, na kterém AP vysílá a bssid je jeho MAC adresa. Nyní je potřeba se falešně přihlásit (fake authentication) do naší cílové sítě. Proto, aby AP přijímal naše pakety, musí být naše MAC adresa (zdrojová) asociovaná. Pokud by nebyla, AP by ignoroval jemu poslaná data a odpovídal by pakety se zprávou DeAuthentiacation pět. Otevřeme nové terminálové okno a zadáme tento příkaz: sudo aireplay-ng e Gazacafe -a 00:0E:2E:45:D7:E4 -h 00:13:CE:EC:45:20 wlan0 Kde parametr -1 znamená falešnou autentizaci, 0 je doba reasociace v sekundách, -e je název sítě, -a je MAC adresa AP a h je MAC adresa našeho adaptéru. Výstup by měl vypadat takto: 16:30:12 Sending Authentication Request 16:30:12 Authentication successful 16:30:12 Sending Association Request 16:30:13 Association successful :-) Pro prolomení WEP a nalezení klíče je potřeba nashromáţdit velké mnoţství inicializačních vektorů, ideálně kolem Běţný síťový provoz ale negeneruje inicializační vektory dostatečně rychle. Proto pouţijeme techniku injekce paketů pro zrychlení tohoto procesu. Injekcí způsobíme, ţe AP bude posílat znovu a znovu vybrané ARP pakety (ty, které obsahují IV) velmi rychle za sebou. To nám umoţní zachytit velké mnoţství IV za krátký čas. Záměrem dalšího kroku je tedy spuštění aireplay-ng v reţimu, který naslouchá poţadavkům ARP protokolu (ARP Request) a následně je injektuje zpět do sítě. V novém terminálovém okně spustíme tento příkaz: sudo aireplay-ng -3 -b 00:0E:2E:45:D7:E4 -h 00:13:CE:EC:45:20 wlan0 57

58 Parametr b je MAC adresa AP, -h je naše MAC adresa. Tímto příkazem jsme tedy spustili naslouchání paketů s ARP poţadavkem, a pokud nějaký zaznamená, aireplay-ng ho okamţitě začne injektovat do sítě. Můţeme také zkusit vygenerovat pakety s ARP poţadavkem příkazem ping na ostatní, jiţ asociované, klienty. Pokud injekce funguje, měli bychom vidět hodnotu data paketů stoupat velice rychle (v terminálovém okně, kde nám běţí zachytávání paketů do souboru). Rychlost by se měla pohybovat kolem 350 data paketů za sekundu. Nyní uţ můţeme v novém terminálovém okně spustit samotný program aircrack-ng a nechat počítač pracovat na prolomení WEP a nalezení klíče. Program spustíme s parametry a, ten značí pouţití statistického útoku FMS/KoreK, -b je MAC adresa přístupového bodu a posledním parametrem je název souboru, do kterého se nám ukládají zachycené inicializační vektory. Tento útok můţeme spustit, i kdyţ soubor ještě není dostatečně naplněn, program si sám bude načítat nová data uloţená do tohoto souboru. aircrack-ng a b 00:0E:2E:45:D7:E4 wepvektory*.cap Po úspěšném nalezení WEP klíče uvidíme výstup podobný tomu na obrázku č. 29. Obrázek č Výstup programu aircrack-ng [40] 58

59 Jak bylo ukázáno v této praktické ukázce, nalezení klíče WEP je v ideálním případě otázkou několika málo minut. Všechny potřebné nástroje jsou dostupné na Internetu včetně návodů a ostatních dokumentů, takţe prakticky kdokoliv se můţe stát útočníkem na sítě zabezpečené protokolem WEP. Tato ukázka tedy poukazuje na to, ţe zabezpečení protokolem WEP nemá ţádnou váhu a proto se jako bezpečnostní mechanismus vůbec nedoporučuje. 59

60 9 Závěr a doporučení Bezpečnost komunikace bývá téma číslo jedna, nejinak je tomu i v bezdrátových sítích Wi-Fi. U nich je třeba počítat s často snadným odposlechem, takţe je potřeba zabezpečit, zašifrovat, komunikaci v těchto sítích tak, aby případné rozšifrování činilo útočníkovi co největší problémy. Proto nelze komunikaci prostřednictvím bezdrátové sítě a její bezpečnost nelze brát jako dvě odlišné záleţitosti, je třeba ještě přihlédnout k dalším aspektům, jako jsou pevné kabelové sítě a protokoly vyšších vrstev apod. Myslím, ţe v prostředí domácnosti stále není zabezpečení bezdrátových sítí bráno dostatečně váţně. Při stále zvyšující se všudypřítomnosti bezdrátového připojení k Internetu je ale třeba nebrat zabezpečení na lehkou váhu a to z důvodu vyuţívání těchto sítí například pro nákupy on-line, kdy zadáváme číslo své bankovní karty, nebo kdyţ se přihlašujeme do své banky kvůli převodu finančních prostředků apod. I v prostředí menších firem se zajisté vyskytují nedostatky zabezpečení. Důvodem můţe být neznalost nebo nekvalifikovaný přístup, coţ je často dáno snahou ušetřit finanční prostředky. Proto je doporučováno instalovat technologii bezdrátových sítí kvalifikovanou osobou, stejně tak by měla být vyčleněna kvalifikovaná a kompetentní osoba na provoz a monitorování těchto sítí. Shrnul jsem do několika bodů následující doporučení pro zabezpečenou bezdrátovou síť Wi-Fi: Šifrování a autentizace o Pouţívat AES-CCMP přejít na tento protokol z protokolu TKIP o Nikdy nepouţívat protokol WEP o Pro autentizaci pouţívat PEAP, TLS nebo TTLS vyhnout se pouţívání sdíleného klíče PSK (co je sdílené, není bezpečné); pokud musíte z nějakého důvodu pouţívat PSK, vyberte jedinečný název sítě (SSID) a pouţijte sloţité heslo (alespoň 14 znaků velká, malá písmena, číslice, speciální znaky) Zesílení infrastruktury o Aktualizovat firmware v bezdrátových zařízeních, záplatovat autentizační servery (nainstalovat poslední service pack do IAS (Windows Internet Authentication Service) o Ujistit se, ţe není pouţívána MD5 verze protokolu EAP o Zabránit nezabezpečeným klientům pouţívání bezdrátové sítě o Oddělit vnitřní síť od bezdrátové, např. firewallem 60

61 Zváţení nasazení bezdrátového IDS (Intrusion Detection System) o Detekce útoků falešného odhlášení ze sítě (deauthentication) o Detekce falešného AP (rogue AP) o Pamatovat na fakt, ţe jde pouze o detekční systém, ne o systém prevence Zabezpečení klientů o Poţadovat dlouhá a sloţitá hesla o Okamţitá aplikace záplat systému (včetně záplat firmwarů bezdrátových adaptérů) o Pouţívat antivirus a udrţovat ho aktualizovaný o Přihlašovat uţivatele s ne-administrátorským oprávněním o Šifrovat citlivá data na disku o Zapnout a správně nakonfigurovat osobní firewall o Zrušit pouţívání sítí typu ad-hoc 61

62 11 Seznam použité literatury [1] i In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , [cit ]. Dostupné z WWW: < [2] n. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , last modified on [cit ]. Dostupné z WWW: < [3] n Primer [online]. USA : AirMagnet Inc., 2008 [cit ]. Dostupné z WWW: < [4] Active Directory In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , [cit ]. Dostupné z WWW: < [5] CHANDRA, Praphul, et al. Wireless Security : know it all. UK : Newnes publications, s. ISBN [6] CSMA In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , [cit ]. Dostupné z WWW: < [7] DAVIES, Joseph. Deploying Secure Wireless Networks With Microsoft Windows. USA : Microsoft Press, s. ISBN [8] DOCTOROW, Cory. WiFi isn't short for "Wireless Fidelity" [online] [cit ]. Boingboing. Dostupné z WWW: < 62

63 [9] EARLE, Aaron E. Wireless Security Handbook. USA : Auerbach Publications, s. ISBN [10] Fresnel zone. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , last modified on [cit ]. Dostupné z WWW: < [11] FrontierPC.com [online] [cit ]. FrontierPC. Dostupné z WWW: < [12] GAST, Matthew Wireless Networks : The Definitive Guide. First edition. USA : O'Reilly, s. ISBN [13] GRAYCHASE, Naomi. Wi-Fi Planet [online] [cit ]. 'Wireless Fidelity' Debunked. Dostupné z WWW: < [14] HURLEY, Chris, et al. How to cheat at securing a wireless network : Essential knowledge for multitasked managers. Rockland (Massachusetts) : Syngress Publishing, s. ISBN [15] I4wifi [online] [cit ]. I4wifi. Dostupné z WWW: < [16] I4wifi [online] [cit ]. I4wifi. Dostupné z WWW: < [17] I4wifi [online] [cit ]. I4wifi. Dostupné z WWW: < [18] I4wifi a.s. [online] [cit ]. Podrobné informace k provozu bezdrátových sítí v pásmech 5 GHz. Dostupné z WWW: < 63

64 [19] IEEE [online] [cit ]. IEEE Today. Dostupné z WWW: < [20] IEEE Std a-1999(R2003). Supplement to IEEE Standard for Information technology : Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications. Piscataway, NJ, USA : Institute of Electrical and Electronics Engineers, Inc., s. Dostupné z WWW: < [21] Institute of Electrical and Electronics Engineers In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , [cit ]. Dostupné z WWW: < [22] KHAN, Jahanzeb; KHWAJA, Anis. Building Secure Wireless Networks with Indianapolis (Indiana) : Wiley Publishing, s. ISBN [23] MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking bez tajemství. 3. Brno : Computer Press, s. ISBN [24] PATEJL. Soom.cz [online] [cit ]. Zabezpečení wifi sítí. Dostupné z WWW: < [25] PETERKA, Jiří. E-Archiv.cz : Bezdrátový Ethernet [online] [cit ]. Počítačové sítě, verze 3.4. Dostupné z WWW: < [26] Prepaid-wireless-guide [online] [cit ]. Take Back Your Freedom - Go Prepaid Wireless!. Dostupné z WWW: < 64

65 [27] PREPPERNAU, Joan; COX, Joyce. Microsoft TechNet Magazine [online] [cit ]. Create an Ad Hoc Wireless Network. Dostupné z WWW: < [28] PRÜMMER, Ivo. Technologie připojení k internetu. Connect , 1, s [30] Public-key cryptography. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , last modified on [cit ]. Dostupné z WWW: < [31] PUŢMANOVÁ, Rita. Bezpečnost bezdrátové komunikace : Jak zabezpečit Wi-Fi, Bluetooth, GPRS či 3G. Brno : CP Books, a.s., s. ISBN [32] RSA. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , last modified on [cit ]. Dostupné z WWW: < [33] Security-Portal.cz [online] [cit ]. WiFi sítě a jejich slabiny. Dostupné z WWW: < [34] ŠEVČÍK, Martin. Technický portál [online] [cit ]. Hackerské metody - Některé metody útoků. Dostupné z WWW: < [35] TYSON, Jeff. How stuff works [online] [cit ]. How Encryption Works. Dostupné z WWW: < [36] Wireless security. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , last modified on [cit ]. Dostupné z WWW: < 65

66 [37] Wi-Fi. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , last modified on [cit ]. Dostupné z WWW: < [38] Wi-Fi Alliance [online] [cit ]. Certification. Dostupné z WWW: < [39] ZANDL, Patrik. Bezdrátové sítě Wi-Fi : Praktický průvodce. Brno : Computer Press, s. ISBN [40] vlastní snapshot,

67 11 Seznam použitých zkratek 3DES AES AP ARP BSS CBC CBC-MAC CCMP CRC CSMA/CA CSMA/CD DES DNS DoS DSSS EAP EAPOL EAP-TTLS ECD EIRP ESS ESS FHSS FSL GHz GMK IAS IBSS ICV IDS IEEE IV LAN LEAP MAC Triple Data Encryption Standard Advanced Encryption Standard Access Point Address Resolution Protocol Basic Service Set Cipher Block Chaining Cipher Block Chaining MAC Counter-mode CBC-MAC protocol Cyclic Redundancy Check Carrier Sense Multiple Access With Collision avoidance Carrier Sense Multiple Access With Collision detection Data Encryption Standard Domain Name System Denial of Service Direct-sequence spread spectrum Extensible Authentication Protocol EAP over LANs EAP-Tunneled Transport Layer Security Electronic Code Book Effective Isotropical Radiated Power Extended Service Set Extended Service Set Frequency-hopping spread spectrum Free Space Loss Gigahertz Group Master Key Internet Authentication Service Independent Basic Service Set Integrity Check Value Intrusion Detection System Institute of Electrical and Electronics Engineers Initialization vector Local Area Network Lightweight Extensible Authentication Protocol Media Access Control 67

68 MAN Maetropolitan Area Network MD5 Message-Digest algorithm 5 MHz Megahertz MIC Message Integrity Protocol MIMO Multiple-input and multiple-output MITM Man-In-The-Middle NAT Network Address Translation NIC Network Interface Card NIST National Institute of Standards and Technology OFDM Orthogonal frequency-division multiplexing OSI Open System Interconnection PC Personal Computer PEAP Protected Extensible Authentication Protocol PHY Physical Layer PKI Public Key Infrastructure PMK Pairwise Master Key PPK Per Packet Keying PPP Point-to-Point Protocol PRNG pseudorandom number generator PSK Pre-Shared Key PTK Pairwise Temporal Key QPSK Quadrature Phase Shift Keying RADIUS Remote Authentication and Dial-In User Service RC4 Rivest Cipher 4 RFC Request for Comments RSN Robust Security Network SSID Service set identifier SSL/TLS Secure Sockets Layer/Transport Layer Security TCP/IP Transmission Control Protocol / Internet Protocol TKIP Temporal Key Integrity Protocol VPN Virtual private network WAN Wide Area Network WECA Wireless Ethernet Compatibility Alliance WEP Wired Equivalent Privacy Wi-Fi známka Wi-Fi Alliance WLAN Wireless Local Area Network WPA Wi-Fi Protected Access 68

69 xdsl Digital Subscribers Line 69

70 WPA2 [5] Příloha č. 1

71 Příloha 2 Obrazovka programu inssider scan okolních sítí velké procento málo (WEP) nebo vůbec nezabezpečených sítí

Sítě IEEE 802.11 (WiFi)

Sítě IEEE 802.11 (WiFi) Sítě IEEE 802.11 (WiFi) Petr Grygárek rek 1 Sítě IEEE 802.11 Rádiové sítě provozované v nelicencovaném pásmu ISM (Instrumental-Scientific-Medicine) 2,4 GHz 5 GHz V Evropě požadavek dynamické volby kanálu

Více

Úspěch Wi-Fi přineslo využívání bezlicenčního pásma, což má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále

Úspěch Wi-Fi přineslo využívání bezlicenčního pásma, což má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra a dále WI-FI 1 CHARAKTERISTIKA Cílem Wi-Fi sítí je zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokální (např. firemní) sítě LAN. bezdrátovému připojení do sítě Internet

Více

IEEE802.11 Wi FI. Wi Fi

IEEE802.11 Wi FI. Wi Fi IEEE802.11 Wi FI Wi Fi 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy IEEE802.11 Wi Fi _ část IV. 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Obr.

Více

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS)

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS) Počítačové sítě Je to spojení dvou a více uzlů (uzel = počítač nebo další síť), za pomoci pasivních a aktivních prvků při čemž toto spojení nám umožňuje = sdílení technických prostředků, sdílení dat, vzdálenou

Více

Mini příručka pro WiFi bezdrátové sítě Jan Maštalíř - Informační technologie, Chuchelna 304, 513 01 Semily

Mini příručka pro WiFi bezdrátové sítě Jan Maštalíř - Informační technologie, Chuchelna 304, 513 01 Semily Mini příručka pro WiFi bezdrátové sítě Jan Maštalíř - Informační technologie, Chuchelna 304, 513 01 Semily Topologie bezdrátových sítí -se dělí na dvě základní, PtP (peer to peer) je to komunikace mezi

Více

WiFi standardy IEEE WLAN. J. Vrzal, verze 0.9

WiFi standardy IEEE WLAN. J. Vrzal, verze 0.9 WiFi standardy IEEE 802.11 WLAN J. Vrzal, verze 0.9 WiFi (Wireless Fidelity) WECA (Wireless Ethernet Compatibility Alliance), která stanovila standardy 802.11 2003 Wifi Alliance problémy s kompatibilitou

Více

Bezdrátový přenos dat

Bezdrátový přenos dat Obsah Počítačové systémy Bezdrátový přenos dat Miroslav Flídr Počítačové systémy LS 2007-1/21- Západočeská univerzita v Plzni Obsah Obsah přednášky 1 Úvod 2 IrDA 3 Bluetooth 4 ZigBee 5 Datové přenosy v

Více

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Bezdrátové sítě Wi-Fi Původním cíl: Dnes Bezdrátové sítě Nejrozšířenější je Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wifi) Standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Původním cíl: Zajišťovat vzájemné

Více

WAP-4033. LAN/WLAN AP/klient. Uživatelský manuál

WAP-4033. LAN/WLAN AP/klient. Uživatelský manuál WAP-4033 LAN/WLAN AP/klient Obsah: Kapitola 1: Úvod... 3 1.1 Celkový pohled... 3 1.2 Vlastnosti... 4 1.3 Obsah balení... 5 Kapitola 2: Popis zařízení... 5 2.1 Popis předního panelu... 5 2.2 Popis zadního

Více

Počítačové sítě internet

Počítačové sítě internet 1 Počítačové sítě internet Historie počítačových sítí 1969 ARPANET 1973 Vinton Cerf protokoly TCP, základ LAN 1977 ověření TCP a jeho využití 1983 rozdělení ARPANETU na vojenskou a civilní část - akademie,

Více

Bezdrátové sítě. Bezdrátové LAN dramaticky mění současnou strukturu sítí. Díky. Venku nebo uvnitř, pořád připojen. www.planet.com.

Bezdrátové sítě. Bezdrátové LAN dramaticky mění současnou strukturu sítí. Díky. Venku nebo uvnitř, pořád připojen. www.planet.com. Venku nebo uvnitř, pořád připojen Bezdrátové sítě Bezdrátové LAN dramaticky mění současnou strukturu sítí. Díky popularitě mobilních prostředků se již uživatelé nechtějí omezovat na kabelová připojení.

Více

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Projekt: ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Téma: MEIV - 2.1.1.1 Základní pojmy Bezdrátové sítě WI-FI Obor: Mechanik Elektronik Ročník: 4. Zpracoval(a): Bc. Martin Fojtík Střední průmyslová škola Uherský

Více

Simulace a plánování vnitřního pokrytí budov dle standardu IEEE 802.11 v prostředí softwarové aplikace I-Prop 1 část

Simulace a plánování vnitřního pokrytí budov dle standardu IEEE 802.11 v prostředí softwarové aplikace I-Prop 1 část Rok / Year: Svazek / Volume: Číslo / Number: 2011 13 4 Simulace a plánování vnitřního pokrytí budov dle standardu IEEE 802.11 v prostředí softwarové aplikace I-Prop 1 část Simulation and planning of indoor

Více

Jak na instalaci WLAN

Jak na instalaci WLAN Jak na instalaci WLAN Úvod WLAN (Wireless Local Area Network) je technologie, která umožňuje vybudovat bezdrátové datové sítě s uspokojivými parametry, relativně velkým dosahem a nízkými náklady. Další

Více

Počítačové sítě. Miloš Hrdý. 21. října 2007

Počítačové sítě. Miloš Hrdý. 21. října 2007 Počítačové sítě Miloš Hrdý 21. října 2007 Obsah 1 Pojmy 2 2 Rozdělení sítí 2 2.1 Podle rozlehlosti........................... 2 2.2 Podle topologie............................ 2 2.3 Podle přístupové metody.......................

Více

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks)

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks) Cisco Networking Accademy 7. Bezdrátové sítě (Wireless Networks) Elektromagnetické spektrum vlnová délka a frekvence vhodnost pro různé technologie licenční vs. bezlicenční použití zdravotní omezení IRF

Více

Přehled doplňků normy IEEE

Přehled doplňků normy IEEE Přehled doplňků normy IEEE 802.11 Úvod Před nástupem normy pro bezdrátové sítě IEEE 802.11 bylo nutné používat pro tvorbu bezdrátových sítí vždy zařízení od stejného výrobce. Proprietárních normy jednotlivých

Více

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Podpora laboratorní výuky bezdrátových sítí LAN Marcel Pašta

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Podpora laboratorní výuky bezdrátových sítí LAN Marcel Pašta UNIVERZITA PARDUBICE Fakulta elektrotechniky a informatiky Podpora laboratorní výuky bezdrátových sítí LAN Marcel Pašta Bakalářská práce 2012 Prohlášení autora Prohlašuji, ţe jsem tuto práci vypracoval

Více

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Základy práce s počítačovými sítěmi a jejich správou Hardware

Více

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou 802.11a/g. Příručka k rychlé instalaci

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou 802.11a/g. Příručka k rychlé instalaci P-334U Bezdrátový Wi-Fi router kompatibilní s normou 802.11a/g Příručka k rychlé instalaci Verze 3.60 1. vydání 5/2006 Přehled P-334U představuje bezdrátový širokopásmový router (podporující normy IEEE

Více

Univerzitní centrum podpory pro studenty se specifickými vzdělávacími potřebami CZ.1.07/2.2.00/29.0023 POČÍTAČOVÉ SÍTĚ I KI/PSI1

Univerzitní centrum podpory pro studenty se specifickými vzdělávacími potřebami CZ.1.07/2.2.00/29.0023 POČÍTAČOVÉ SÍTĚ I KI/PSI1 Univerzitní centrum podpory pro studenty se specifickými vzdělávacími potřebami CZ.1.07/2.2.00/29.0023 POČÍTAČOVÉ SÍTĚ I KI/PSI1 Václav Valenta Pavel Simr Ústí nad Labem 2015 Obor: Informační systémy,

Více

Fakulta Elektrotechnická

Fakulta Elektrotechnická Fakulta Elektrotechnická Předmět: 37MK Mobilní komunikace Úloha : Bezdrátové sítě jako řešení moderní komunikační služby Datum odevzdání: 25-05-2007 Jiří Šmukař Ročník/St.sk.: 5/18 1. Bezdrátové sítě Od

Více

PB169 Operační systémy a sítě

PB169 Operační systémy a sítě PB169 Operační systémy a sítě Architektura poč. sítí, model OSI Marek Kumpošt, Zdeněk Říha Úvod počítačová síť Počítačová síť skupina počítačů a síťových zařízení vzájemně spojených komunikačním médiem

Více

Počítačové sítě I. 4. Fyzická vrstva sítí. Miroslav Spousta, 2004

Počítačové sítě I. 4. Fyzická vrstva sítí. Miroslav Spousta, 2004 Počítačové sítě I 4. Fyzická vrstva sítí Miroslav Spousta, 2004 1 Fyzická vrstva Připomenutí: nejnižší vrstva modelu ISO/OSI kabeláž, kódování přístupové metody Aplikační Prezentační Relační Transportní

Více

Rychlá instalační příručka TP-LINK TL-WR741ND

Rychlá instalační příručka TP-LINK TL-WR741ND Rychlá instalační příručka TP-LINK TL-WR741ND Rychlá příručka Vám pomůže správně zapojit a zprovoznit Wi-Fi zařízení TP-LINK TL-WR741ND. Zařízení je nezávislé na použitém operačním systému. Postup zprovoznění

Více

-Wi-Fi- uděluje certifikát o kompatibilitě s ostatními zařízeními standardu Zařízení, která byla schválena WiFi alianci jsou opatřeny logem

-Wi-Fi- uděluje certifikát o kompatibilitě s ostatními zařízeními standardu Zařízení, která byla schválena WiFi alianci jsou opatřeny logem -Wi-Fi- Co je WiFi Typy sítí Architektury Síťový model Přenosová rychlost ISM Kódovací schémata Síťový model Koordinace přístupu k médiu Bezpečnost WiFi I Roaming Bezpečnost WiFi II Signál Antény Co je

Více

PROBLEMATIKA BEZDRÁTOVÝCH SÍTÍ

PROBLEMATIKA BEZDRÁTOVÝCH SÍTÍ VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY FACULTY OF BUSINESS AND MANAGEMENT INSTITUTE OF INFORMATICS PROBLEMATIKA BEZDRÁTOVÝCH SÍTÍ WIRELESS FIDELITY

Více

IEEE aneb WiFi

IEEE aneb WiFi IEEE 802.11 aneb WiFi bezdrátové sítě, v současnosti extrémně populární několik přenosových médií, nejpoužívanější jsou mikrovlny dva režimy práce: PCF (Point Coordination Function) činnost sítě řídí centrální

Více

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Základy práce s počítačovými sítěmi a jejich správou Hardware

Více

WIMAX. Obsah. Mobilní komunikace. Josef Nevrlý. 1 Úvod 2. 2 Využití technologie 3. 5 Pokrytí, dosah 6. 7 Situace v České Republice 7

WIMAX. Obsah. Mobilní komunikace. Josef Nevrlý. 1 Úvod 2. 2 Využití technologie 3. 5 Pokrytí, dosah 6. 7 Situace v České Republice 7 České vysoké učení technické v Praze, Fakulta elektrotechnická, Katedra radioelektroniky Mobilní komunikace WIMAX Stručný přehled technologie Josef Nevrlý Obsah 1 Úvod 2 2 Využití technologie 3 3 Rádiové

Více

LC500070 Sweex Wireless LAN PC Card 54 Mbps. Pokud by některá z výše uvedených částí chyběla, obraťte se na svého dodavatele.

LC500070 Sweex Wireless LAN PC Card 54 Mbps. Pokud by některá z výše uvedených částí chyběla, obraťte se na svého dodavatele. LC500070 Sweex Wireless LAN PC Card 54 Mbps Úvod Děkujeme vám za zakoupení této karty Sweex Wireless LAN PC Card 54 Mbps. Tato karta PC Card umožňuje snadno a bleskurychle nastavit bezdrátovou síť. Karta

Více

Síťové prvky seznámení s problematikou. s problematikou

Síťové prvky seznámení s problematikou. s problematikou Síťové prvky seznámení s problematikou s problematikou 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Seznámení s problematikou prvků sítí 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr

Více

NWA-3166. Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business

NWA-3166. Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business Dvoupásmový bezdrátový přístupový bod N třídy business Výchozí nastavení: IP adresa: http://192.168.1.2 Heslo: 1234 Příručka k rychlé instalaci Firmware v3.60 Vydání 4, Leden 2010 Copyright ZyXEL Communications

Více

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení.

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. 10. Bezdrátové sítě Studijní cíl Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. Doba nutná k nastudování 1,5 hodiny Bezdrátové komunikační technologie Uvedená kapitola

Více

DUM 11 téma: Bezdrátové sítě

DUM 11 téma: Bezdrátové sítě DUM 11 téma: Bezdrátové sítě ze sady: 3 tematický okruh sady: III. Ostatní služby internetu ze šablony: 8 - Internet určeno pro: 4. ročník vzdělávací obor: 26-41-M/01 Elektrotechnika - Elektronické počítačové

Více

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ Ing. Milan Grenar KRITICKÉ PARAMETRY PRO BEZDRÁTOVÉ SÍTĚ WIFI A WIMAX CRITICAL PARAMETERS FOR WIRELESS

Více

Smart Sensors and Wireless Networks Inteligentní senzory a bezdrátové sítě

Smart Sensors and Wireless Networks Inteligentní senzory a bezdrátové sítě XXX. ASR '2005 Seminar, Instruments and Control, Ostrava, April 29, 2005 519 Smart Sensors and Wireless Networks Inteligentní senzory a bezdrátové sítě WOJCIASZYK, Petr Ing., VŠB-TU Ostrava, FS, katedra

Více

EXPOZICE ELEKTROMAGNETICKÝM POLÍM V OKOLÍ VYSÍLAČŮ NOVÝCH TECHNOLOGIÍ. Pavel Buchar elmag@szu

EXPOZICE ELEKTROMAGNETICKÝM POLÍM V OKOLÍ VYSÍLAČŮ NOVÝCH TECHNOLOGIÍ. Pavel Buchar elmag@szu EXPOZICE ELEKTROMAGNETICKÝM POLÍM V OKOLÍ VYSÍLAČŮ NOVÝCH TECHNOLOGIÍ Pavel Buchar elmag@szu szu.cz Analogové x digitální modulace Definice EIRP WI-FI WIMAX BLUETOOTH RFID UWB ANALOGOVÉ x DIGITÁLNÍ MODULACE

Více

3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl

3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl 3. Linková vrstva Studijní cíl Představíme si funkci linkové vrstvy. Popíšeme její dvě podvrstvy, způsoby adresace, jednotlivé položky rámce. Doba nutná k nastudování 2 hodiny Linková (spojová) vrstva

Více

Protokoly vrstvy datových spojů LAN Specifikace IEEE 802 pokrývá :

Protokoly vrstvy datových spojů LAN Specifikace IEEE 802 pokrývá : Protokoly vrstvy datových spojů LAN Specifikace IEEE 802 pokrývá : vrstvu fyzickou (standardy xxbasexxxx např. 100BASE TX) vrstvu datových spojů: Definice logického rozhraní specifikace IEEE 802.2 Specifikace

Více

1. Základy bezdrátových sítí

1. Základy bezdrátových sítí 1. Základy bezdrátových sítí Bezdrátová síť (WLAN) Je to typ počítačové sítě, ve které je spojení mezi jednotlivými účastníky sítě uskutečňováno pomocí elektromagnetických vln. Z hlediska funkčnosti a

Více

Soudobé trendy v oblasti moderních

Soudobé trendy v oblasti moderních Technická zpráva CESNETu číslo 25/2005 Soudobé trendy v oblasti moderních bezdrátových spojů Miloš Wimmer, Jaroslav Čížek prosinec 2005 1 Úvod V oblasti vysokorychlostních sítí představuje realizace první

Více

Zpracování informací

Zpracování informací Ústav automatizace a informatiky Fakulta strojního inženýrství Vysoké učení technické v Brně Přednáška č. 2 z předmětu Zpracování informací Ing. Radek Poliščuk, Ph.D. Tato publikace vznikla jako součást

Více

... Default Gateway (Výchozí brána) DNS Address (DNS adresa) PPPoE User Name (Jméno uživatele) Password (Heslo) PPTP

... Default Gateway (Výchozí brána) DNS Address (DNS adresa) PPPoE User Name (Jméno uživatele) Password (Heslo) PPTP Máte-li uživatelům bez přístupového práva zabránit v přístupu přes váš širokopásmový router WLAN, doporučujeme vám, abyste využili bezpečnostní mechanismus jako třeba WEP či WPA nebo abyste nastavili ID

Více

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Základy práce s počítačovými sítěmi a jejich správou Hardware

Více

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická SEMESTRÁLNÍ PRÁCE Z PŘEDMĚTU SPECIÁLNÍ ČÍSLICOVÉ SYSTÉMY: Minisystémy Asus WL-500 a mikroprocesory MIPS firmy Broadcom Corporation. 2007 Zpracoval:

Více

Ethernet Historie Ethernetu Princip

Ethernet Historie Ethernetu Princip 11 Ethernet Ethernet je technologie, která je používaná v budování lokálních sítích (LAN). V referenčním modelu ISO/OSI realizuje fyzickou a spojovou vrstvu, v modelu TCP/IP pak vrstvu síťového rozhraní.

Více

Luděk Piskač Specifické charakteristiky sítí WLAN (fixní infrastruktura, pokrytí, provozní intenzita,...)

Luděk Piskač Specifické charakteristiky sítí WLAN (fixní infrastruktura, pokrytí, provozní intenzita,...) Luděk Piskač Specifické charakteristiky sítí WLAN (fixní infrastruktura, pokrytí, provozní intenzita,...) Úvod WLAN (Wireless Local Area Network) je zkratka pro bezdrátovou místní síť. Tyto sítě se začali

Více

JAK ČÍST TUTO PREZENTACI

JAK ČÍST TUTO PREZENTACI PŘENOSOVÉ METODY V IP SÍTÍCH, S DŮRAZEM NA BEZPEČNOSTNÍ TECHNOLOGIE David Prachař, ABBAS a.s. JAK ČÍST TUTO PREZENTACI UŽIVATEL TECHNIK SPECIALISTA VÝZNAM POUŽÍVANÝCH TERMÍNŮ TERMÍN SWITCH ROUTER OSI

Více

Outdoorová klientská jednotka pro pásmo 5 GHz. GainMaster G1. Instalační příručka

Outdoorová klientská jednotka pro pásmo 5 GHz. GainMaster G1. Instalační příručka Outdoorová klientská jednotka pro pásmo 5 GHz GainMaster G1 Instalační příručka Základní charakteristika jednotky: Kompatibilní se specifikací IEEE 802.11a, IEEE 802.11n. 3 WiFi profily pro nastavení parametrů

Více

Semestrální práce-mobilní komunikace 2004/2005

Semestrální práce-mobilní komunikace 2004/2005 Václav Pecháček Semestrální práce-mobilní komunikace 2004/2005 Provozní parametry celulárních sítí Celulární systém -struktura založená na určitém obrazci, ve kterém je definované rozložení dostupného

Více

SOFTWARE A POČÍTAČOVÉ SÍTĚ. Alice Nguyenová

SOFTWARE A POČÍTAČOVÉ SÍTĚ. Alice Nguyenová SOFTWARE A POČÍTAČOVÉ SÍTĚ Alice Nguyenová SOFTWARE POČÍTAČE Operační systém Utility pomocné programy Ovladače Aplikační programové vybavení OPERAČNÍ SYSTÉM - OS - správce hardwarových prostředků - služby

Více

Skupina IEEE 802. Institute of Electrical and Electronics Engineers skupina 802: standardy pro lokální sítě. podvrstvy

Skupina IEEE 802. Institute of Electrical and Electronics Engineers skupina 802: standardy pro lokální sítě. podvrstvy Ethernet Vznik Ethernetu 1980 DIX konsorcium (Digital, Intel, Xerox) určen pro kancelářské aplikace sběrnicová topologie na koaxiálním kabelu přístup k médiu řízen CSMA/CD algoritmem přenosová rychlost

Více

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26) Technik PC a periferií (kód: 26-023-H) Autorizující orgán: Ministerstvo vnitra Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26) Týká se povolání: Technik PC a periférií Kvalifikační

Více

Standard IEEE

Standard IEEE Standard IEEE 802.11 Semestrální práce z předmětu Mobilní komunikace Jméno: Alena Křivská Datum: 15.5.2005 Standard IEEE 802.11 a jeho revize V roce 1997 publikoval mezinárodní standardizační institut

Více

Datové komunikace. Informační systémy 2

Datové komunikace. Informační systémy 2 Informační systémy 2 Informační systémy 2 Základní charakteristiky počítačových sítí Propojování počítačů, propojování sítí Přenosová média Přenosové protokoly Bezpečnost sítí IS2-14-08 1 2 Úroveň integrace

Více

WABOX 201 Příručka pro rychlou instalaci

WABOX 201 Příručka pro rychlou instalaci WABOX 201 Příručka pro rychlou instalaci revize 2.2 Chcete-li zabránit neoprávněným uživatelům v přístupu na váš WiFi Access Point WLAN - WABOX, doporučujeme vám, abyste použili bezpečnostní mechanismus

Více

DLNA- Průvodce instalací

DLNA- Průvodce instalací ČESKY DLNA- Průvodce instalací pro LAN přípojky Zažijte realitu AQUOS LCD-TV Jaro/Léto 2011 Strana - 1 - LE820 - LE822 - LE814 - LE824 - LE914 - LE925 Obsah: 1. Příprava PC (povolení multimediální složky)

Více

Přední panel SP3364 SP3367

Přední panel SP3364 SP3367 Představení Toto zařízení je kompatibilní s novými ADSL2+ standardy a zaručuje vysoký výkon a jednoduché použití. Poskytuje uživatelům rychlé a spolehlivé připojení k Internetu pomocí kabelového, ale i

Více

Bezdrátové sítě IEEE 802.11

Bezdrátové sítě IEEE 802.11 Bezdrátové sítě IEEE 802.11 Vlastnosti IEEE 802.11 velmi rychle se rozvíjejí přednosti: pokrytí plochy, podpora mobility umožňují propojení budov bez optických vláken zápory: pomalejší větší chybovost

Více

Další vlastnosti. Úvod. Specifikace karty Sweex Wireless LAN PCI Card 140 Nitro XM (LW142) Obsah balení. Další vlastnosti

Další vlastnosti. Úvod. Specifikace karty Sweex Wireless LAN PCI Card 140 Nitro XM (LW142) Obsah balení. Další vlastnosti LW141 Sweex Wireless LAN PC Card 140 Nitro XM LW142 Sweex Wireless LAN PCI Card 140 Nitro XM LW143 Sweex Wireless LAN USB 2.0 Adaptor 140 Nitro XM Úvod Děkujeme vám za zakoupení tohoto produktu společnosti

Více

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL Model: 065-1785 108 Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL UŽIVATELSKÝ MANUÁL Obsah Úvod 3 Rozhraní 4 Použití webovského rozhraní pro nastavení parametrů AP 5 Current Status 6 Configuration

Více

neomezují pohyb uživatelů jsou prakticky jediným řešením pro různá přenosná mini zařízení využívají levné přenosové médium

neomezují pohyb uživatelů jsou prakticky jediným řešením pro různá přenosná mini zařízení využívají levné přenosové médium Bezdrátové sítě 1 Bezdrátové sítě Proč vznikly bezdrátové sítě? neomezují pohyb uživatelů jsou prakticky jediným řešením pro různá přenosná mini zařízení využívají levné přenosové médium Co znamená pojem

Více

Rádiové sítě I pro integrovanou výuku VUT a VŠB-TUO

Rádiové sítě I pro integrovanou výuku VUT a VŠB-TUO VYSOKÁ ŠKOLA BÁŇSKÁ TECHNICKÁ UNIVERZITA OSTRAVA Fakulta elektrotechniky a informatiky Rádiové sítě I pro integrovanou výuku VUT a VŠB-TUO Garant předmětu: Roman Šebesta Autor textu: Roman Šebesta Marek

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

motivace WPAN (wireless( local area network): 802.11 personal area network): Bluetooth standardy techniky rozprostřen ené spektra

motivace WPAN (wireless( local area network): 802.11 personal area network): Bluetooth standardy techniky rozprostřen ené spektra Bezdrátov tové sítě Lukáš Patka, 12.12.2007 Dnešní přednáška motivace bezdrátov tové přenosy licenční, bezlicenční pásmo WLAN (wireless( local area network): 802.11 standardy techniky rozprostřen ené spektra

Více

Předmluva... 2 Popis panelu... 4 Obsah balení... 5 Instalace acces pointu... 5 Inicializace a nastavení acces pointu... 5 Řešení problémů...

Předmluva... 2 Popis panelu... 4 Obsah balení... 5 Instalace acces pointu... 5 Inicializace a nastavení acces pointu... 5 Řešení problémů... OBSAH 1 Předmluva... 2 1.1 Autorská práva... 2 1.2 Záruční a pozáruční servis... 2 1.3 Upgrade firmware a nástrojů... 2 1.4 Ochrana a bezpečnost při instalaci... 2 1.5 Záruka... 2 1.6 Ujištění... 2 1.7

Více

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen. 1 Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen. Bez jejich znalosti však jen stěží nastavíte směrovač tak,

Více

i4wifi a.s. produktové novinky Říjen 2012

i4wifi a.s. produktové novinky Říjen 2012 i4wifi a.s. produktové novinky Říjen 2012 SECURIFI: Almond - dotykový AP/router, 2x LAN, 1x WAN (2,4GHz, 802.11n) Revoluční dotykový AP/router. Nastavení routeru je nyní opravdu snadné. Přehledné menu

Více

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci 54Mbps bezdrátový router WRT-415 Návod pro rychlou instalaci 1 Obsah 1 Úvod... 1 1.1 Obsah balení 1 1.2 Systémové požadavky 1 1.3 Vlastnosti zařízení 1 2 Fyzická instalace... 2 2.1 Připojení hardwaru 2

Více

Přístupové systémy (WiFi, WiMAX)

Přístupové systémy (WiFi, WiMAX) Telekomunikační systémy Přístupové systémy (WiFi, WiMAX) 2009/2010 Martin Šrotýř srotyr@klfree.net Agenda Obsah: Klasifikace bezdrátových systémů WLAN - WiFi nosné standardy architektura doplňkové standardy

Více

Popis produktu. IP video vzduchem. web http://www.camibox.eu

Popis produktu. IP video vzduchem. web http://www.camibox.eu IP video vzduchem IP video vzduchem Popis produktu CamiBOX je profesionální stavebnicové řešení systému bezdrátového přenosu obrazu z IP CCTV kamer, v bezlicenčním pásmu, určené pro venkovní použití. Systém

Více

Počítačové sítě shrnutí

Počítačové sítě shrnutí Počítačové sítě shrnutí Ing. Jiří Peterka http://www.peterka.cz/jiri/ http://www.earchiv.cz/ (zkráceno z 20 částí) RNDr. E.Jablonská, Ing. J.Vaněk, PhD. 1 Vývoj výpočetního modelu dávkové zpracování host/terminál

Více

Stručný návod k obsluze Nainstalujte ovladač GW-7100PCI pro Windows 98, ME, 2000 and XP

Stručný návod k obsluze Nainstalujte ovladač GW-7100PCI pro Windows 98, ME, 2000 and XP 38 Česky 39 Česky Stručný návod k obsluze Tento Instalační návod Vás bezpečně provede instalací GW-7100PCI a programového vybavení. Pro zapojení do bezdrátové sítě musíte provést následující kroky: 1.

Více

PROBLEMATIKA BEZDRÁTOVÝCH SÍTÍ

PROBLEMATIKA BEZDRÁTOVÝCH SÍTÍ VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA PODNIKATELSKÁ ÚSTAV INFORMATIKY FACULTY OF BUSINESS AND MANAGEMENT INSTITUT OF INFORMATICS PROBLEMATIKA BEZDRÁTOVÝCH SÍTÍ WI-FI NETWORKS

Více

Aktivní prvky: síťové karty

Aktivní prvky: síťové karty Aktivní prvky: síťové karty 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Aktivní prvky Síťové karty (Network Interface Card) 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software:

Více

Bezdrátový router 150 Mbit/s Wireless N

Bezdrátový router 150 Mbit/s Wireless N Bezdrátový router 150 Mbit/s Wireless N TL-WR740N Hlavní znaky: Bezdrátový přenos dat rychlostí až 150 Mbit/s je ideální pro hraní online her, vysílání datového proudu videa a internetovou telefonii Snadné

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Dvoupásmový přístupový bod pro venkovní použití Návod k obsluze - EC-WA6202 (EC-WA6202M)

Dvoupásmový přístupový bod pro venkovní použití Návod k obsluze - EC-WA6202 (EC-WA6202M) Dvoupásmový venkovní přístupový bod / systém mostů poskytuje služby přístupového bodu nebo mostů prostřednictvím radiových rozhraní s frekvencí 5 GHz nebo 2,4 GHz. Bezdrátové přemosťovací jednotky lze

Více

Stručný návod k obsluze Instalace ovladače WLAN USB adaptéru GW- 7200U pro Windows 98SE, ME, 2000 a XP

Stručný návod k obsluze Instalace ovladače WLAN USB adaptéru GW- 7200U pro Windows 98SE, ME, 2000 a XP 82 83 Stručný návod k obsluze Tento stručný instalační návod vás provede instalací bezdrátového USB2.0 adaptéru GW-7200U a jeho programového vybavení. Pro zapojení do bezdrátové sítě musíte provést následující

Více

Bezdrátové sítě (WiFi, Bluetooth, ZigBee) a možnosti jejich implementace.

Bezdrátové sítě (WiFi, Bluetooth, ZigBee) a možnosti jejich implementace. Bezdrátové sítě (WiFi, Bluetooth, ZigBee) a možnosti jejich implementace. Využívají rádiový komunikační kanál: různé šíření signálu dle frekvenčního pásma, vícecestné šíření změny parametrů přenosové cesty

Více

Telekomunikační sítě Protokolové modely

Telekomunikační sítě Protokolové modely Fakulta elektrotechniky a informatiky, VŠB-TU Ostrava Telekomunikační sítě Protokolové modely Datum: 14.2.2012 Autor: Ing. Petr Machník, Ph.D. Kontakt: petr.machnik@vsb.cz Předmět: Telekomunikační sítě

Více

Optické sítě. Počítačové sítě a systémy. _ 3. a 4. ročník SŠ technické. Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0

Optické sítě. Počítačové sítě a systémy. _ 3. a 4. ročník SŠ technické. Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Optické sítě sítě 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Optické sítě _ 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Obr. 1 Síťové prvky

Více

POČÍTAČOVÉ SÍTĚ 1 Úvod

POČÍTAČOVÉ SÍTĚ 1 Úvod POČÍTAČOVÉ SÍTĚ 1 Úvod 1.1 Definice Pojmem počítačová síť se rozumí seskupení alespoň dvou počítačů, vzájemně sdílejících své zdroje, ke kterým patří jak hardware tak software. Předpokládá se sdílení inteligentní.

Více

Směrovací protokoly, propojování sítí

Směrovací protokoly, propojování sítí Směrovací protokoly, propojování sítí RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové

Více

Informační a komunikační technologie. 3. Počítačové sítě

Informační a komunikační technologie. 3. Počítačové sítě Informační a komunikační technologie 3. Počítačové sítě Studijní obor: Sociální činnost Ročník: 1 1. Základní vlastnosti 2. Technické prostředky 3. Síťová architektura 3.1. Peer-to-peer 3.2. Klient-server

Více

Informační a komunikační technologie. 1.7 Počítačové sítě

Informační a komunikační technologie. 1.7 Počítačové sítě Informační a komunikační technologie 1.7 Počítačové sítě Učební obor: Kadeřník, Kuchař - číšník Ročník: 1 1. Základní vlastnosti 2. Technické prostředky 3. Síťová architektura 1. Peer-to-peer 2. Klient-server

Více

Česká verze. Instalace hardwaru. Instalace ve Windows XP a Vista

Česká verze. Instalace hardwaru. Instalace ve Windows XP a Vista Česká verze Sweex LW312 - Bezdrátový LAN PCI adaptér 300 Mb/s Bezdrátový LAN PCI adaptér 300Mb/s nevystavujte nadměrným teplotám. Zařízení nenechávejte na přímém slunečním světle a v blízkosti topných

Více

NÁVOD K OBSLUZE ARC Wireless: SplitStation5 (+ iflex2 - vnitřní AP 2,4 GHz vč. 3 dbi antény)

NÁVOD K OBSLUZE ARC Wireless: SplitStation5 (+ iflex2 - vnitřní AP 2,4 GHz vč. 3 dbi antény) NÁVOD K OBSLUZE ARC Wireless: SplitStation5 (+ iflex2 - vnitřní AP 2,4 GHz vč. 3 dbi antény) 1. Popis produktu ARC FreeStation 5 je produkt, který přináší bezkonkurenční cenu v poměru s výkonem. Má integrovanou

Více

Instalace. Připojení zařízení. Jako modelový vzorek výrobku v tomto návodu slouží typ TL-WA701ND. Poznámka

Instalace. Připojení zařízení. Jako modelový vzorek výrobku v tomto návodu slouží typ TL-WA701ND. Poznámka Instalace Jako modelový vzorek výrobku v tomto návodu slouží typ TL-WA701ND. 1 Připojení zařízení Přiřaďte svému počítači statickou adresu IP 192.168.1.100. Bližší informace najdete v části T3 v kapitole

Více

HW DECT Family Funkční souprava DECT/FHSS RS232 "Unbuilt Kit" HW DECT Family Advanced Radio Telemetry

HW DECT Family Funkční souprava DECT/FHSS RS232 Unbuilt Kit HW DECT Family Advanced Radio Telemetry HW DECT Family Funkční souprava DECT/FHSS RS232 "Unbuilt Kit" Advanced Radio Telemetry Modulární funkční souprava pro zákaznické sestavení vícekanálového datového radiomodemu standardu DECT, pro obousměrný

Více

Návod k obsluze CC&C WA-6212-V2

Návod k obsluze CC&C WA-6212-V2 Návod k obsluze CC&C WA-6212-V2 Bezdrátový přístupový bod/klient/router Popis zařízení WA-6212-V2 je WiFi router s podporou přenosových rychlostí až 300 Mbps při 802.11n. Dále podporuje IPv6, je vybaven

Více

Návrh a realizace bezdrátových sítí Wireless System Design. Martin Vašek

Návrh a realizace bezdrátových sítí Wireless System Design. Martin Vašek Návrh a realizace bezdrátových sítí Wireless System Design Martin Vašek 1 2 3 4 Poděkování,motto Velké poděkování patří vedoucímu mé práce Mgr.Milanovi Adámkovi,Ph.D. a současně také konzultantu mé práce

Více

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Principy funkce bezdrátových sítí, jejich využití a bezpečnost Michal Mojžíš

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Principy funkce bezdrátových sítí, jejich využití a bezpečnost Michal Mojžíš UNIVERZITA PARDUBICE Fakulta elektrotechniky a informatiky Principy funkce bezdrátových sítí, jejich využití a bezpečnost Michal Mojžíš Bakalářská práce 2012 Prohlášení autora Prohlašuji, že jsem tuto

Více

Počítačové sítě Datový spoj

Počítačové sítě Datový spoj (Data Link) organizovaný komunikační kanál Datové jednotky rámce(frames) indikátory začátku a konce rámce režijní informace záhlaví event. zápatí rámce (identifikátor zdroje a cíle, řídící informace, informace

Více

Stručný návod k obsluze Instalace ovladače GW-7100U pod Windows 98, ME, 2000 a XP Instalace obslužného programu pod Windows 98, ME, 2000 and XP

Stručný návod k obsluze Instalace ovladače GW-7100U pod Windows 98, ME, 2000 a XP Instalace obslužného programu pod Windows 98, ME, 2000 and XP 57 Česky Stručný návod k obsluze Tento stručný instalační návod vás povede instalací adaptéru GW-7100U a jeho programovým vybavením. Pro zapojení do bezdrátové sítě musíte provést následující kroky: 1.

Více

SPARKLAN WX-7615A - návod k obsluze. Verze 1.2. 1 i4 Portfolio s.r.o.

SPARKLAN WX-7615A - návod k obsluze. Verze 1.2. 1 i4 Portfolio s.r.o. Bezdrátový 11ag AP router Příručka k rychlé instalaci (návod k obsluze) Verze 1.2 1 i4 Portfolio s.r.o. Obsah 1. Před instalací... 3 2. Instalace hardware... 4 3. Konfigurace nastavení TCP/IP vašeho počítače...

Více

POKUD JSOU PRACOVNÍCI SPOJENI DO SÍTĚ MOHOU SDÍLET: Data Zprávy Grafiku Tiskárny Faxové přístroje Modemy Další hardwarové zdroje

POKUD JSOU PRACOVNÍCI SPOJENI DO SÍTĚ MOHOU SDÍLET: Data Zprávy Grafiku Tiskárny Faxové přístroje Modemy Další hardwarové zdroje CO JE TO SÍŤ? Pojmem počítačová síť se rozumí zejména spojení dvou a více počítačů tak aby mohli navzájem sdílet své prostředky. Přitom je jedno zda se jedná o prostředky hardwarové nebo softwarové. Před

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

Rychlý postup k nastavení VoIP gatewaye ASUS VP100

Rychlý postup k nastavení VoIP gatewaye ASUS VP100 Rychlý postup k nastavení VoIP gatewaye ASUS VP100 Zapojení kabelů 1 Porty LINE1 a LINE2 připojte k telefonním přístrojům nebo faxu pomocí kabelu RJ-11 2 WAN port propojte ethernetovým kabelem RJ-45 s

Více