| Blahoželáme! | Bardejov 

Wi-fi

Wi-Fi (Wi-fi, WiFi, Wifi, wifi)

je sada štandardov pre bezdrôtové lokálne siete LAN (WLAN) v súčasnosti založených na špecifikácii IEEE 802.11. Wi-Fi bolo navrhnuté pre bezdrôtovéwifi zariadenia a lokálne siete, hoci dnes sa používa na pripojenie k internetu. Osobe so zariadením s bezdrôtovým adaptérom (PC, notebook, PDA) umožňuje pripojenie k internetu v blízkosti prístupového bodu (access point). Geografická oblasť pokrytá jedným alebo niekoľkými prístupovými bodmi sa nazýva hotspot. Certifikované produkty môžu používať oficiálne logo Wi-Fi, ktoré označuje produkty spolupracujúce s iným certifikovaným produktom.
Pojem Wi-Fi je slovná hračka ku „Hi-Fi“ (high fidelity – „vysoká vernosť“), čo sa dá aplikovať ako skratka ku wireless fidelity – „bezdrôtová vernosť“, názov skratkou nie je.

História
Wi-Fi bolo vynájdené v roku 1991 vo firme NCR Corporation/AT&T (neskôr Lucent & Agere Systems) v meste Nieuwegein, Holandsko. Prvé bezdrôtové produkty (pôvodne pre pokladničné systémy) boli uvedené na trh pod názvom WaveLAN s rýchlosťami 1 Mbps/2 Mbps. Vic Hayes (vynálezca Wi-Fi, nazývaný „otec Wi-Fi“) sa so svojím tímom podieľal na návrhu štandardov IEEE 802.11b, 802.11a a 802.11g. V roku 2003 Vic odišiel z Agere Systems do dôchodku. Agere Systems bol pod silným tlakom konkurencie, hoci ich produkty boli špičkovej kvality, zákazníci požadovali lacnejšie Wi-Fi riešenia. Chipset 802.11abg all-in-one od Agere (kódové označenie: WARP) na trhu neuspel. Agere Systems sa rozhodli opustiť Wi-Fi trh na konci roka 2004.

Ako funguje
Typická Wi-Fi zostava obsahuje jeden, príp. viac prístupových bodov (AP z anglického slovného spojenia „access point“) a jedného, príp. viacerých klientov. AP vysiela prostredníctvom paketov nazývaných beacons (signály, majáky) svoj SSID (Service Set Identifier, sieťové meno), ktoré sú prenášané každých 100 ms rýchlosťou 1 Mbps (najnižšia rýchlosť Wi-Fi). To zaručuje klientovi to, že prijímajúci signál z AP môže komunikovať rýchlosťou aspoň 1 Mbps. Na základe nastavení (podľa SSID) sa klient rozhodne, či sa k AP pripojí alebo nie. Napr. ak sú dva prístupové body s rovnakým SSID v dosahu klienta, klient sa podľa sily signálu môže rozhodnúť, ku ktorému AP sa pripojí. Wi-Fi štandard ponecháva pripojovacie kritériá a roaming (prechod medzi hotspotmi) úplne na klienta. To predstavuje silu Wi-Fi. Znamená to, že jeden bezdrôtový adaptér môže dosiahnuť podstatne lepší výkon ako druhý. Aj napriek tomu, že sa Wi-Fi prenáša vzduchom, má rovnaké vlastnosti ako neprepínaný ethernet. Môžu sa objaviť aj kolízie ako v neprepínaných ethernetových sieťach.

Zabezpečenie WiFi

V súčasnosti je problémom WiFi jeho nekontrolované masové rozšírenie. Komerční operátori ponúkajú smerovače so vstavaným WiFi, ale vo väčšine prípadov je Wifi v zariadení povolené a nezaheslované. Neskúsení používatelia nedokážu prístroj nastaviť a postačuje im, keď pripoja internet do svojho stolného počítača. Ich pozornosti unikne, že je aktívna anténa. Poskytujú tým prístup k svojim počítačom a internetu každému v dosahu WiFi. Signál prechádza stenami budov. V prípade, že má účastník zariadenie na vyššom poschodí, je signál zachytiteľný až do kilometra. Preto nie je problém nájsť na sídliskách množstvo nezabezpečených WiFi sietí. Každé WiFi zariadenie poskytuje možnosť nastaviť rôzny stupeň ochrany.

802.11 ŠTANDARD

WEP (Wired Equivalent Privacy)

Predstavuje pôvodné zabezpečenie WiFi siete, ktoré od roku 1999 je súčasťou IEEE 802.11. Cieľom WEP bolo zaistiť rovnakú ochranu ako pri drôtových sieťach. Informácie v bezdrôtových sieťach sa prenášajú vzduchom, preto je ľahké ich odposlúchať. Nie je potrebné fyzicky sa pripojiť drôtom k sieti. WEP využíva symetrickú streamovanú šifru RC4 pre utajenie informácii a pre overenie ich správnosti používa metódu CRC-32 kontrolného súčtu. Podstatou RC4 je, že sa šifruje odosielaná správa podľa nejakého kľúča a na cieľovom bode sa táto správa cez kľúč dešifruje. 64bitový WEP používa 40bitový kľúč, ku ktorému je pripojený 24bitový inicializačný vektor a spolu tak tvorí 64bitový RC4 kľúč. 128bitový WEP používa 104 bitový kľúč, ku ktorému je pripojený 24bitový inicializačný vektor a spolu tvoria 128bitový RC4 kľúč. V súčasnosti sa používa 128bitový - 256bitový WEP. Sťažuje prácu crackerom, pretože čím je dlhší, tým je lepší. Pre šifrovanie kľúča sa nepoužíva dĺžka bitov, ktorá je uvedená na obale od zariadenia, ale až 24bitov ostáva na inicializačný vektor. Tento typ kódovania je však už zastaraný. V roku 2005 skupina z FBI poskytla ukážku, ako sa dá prelomiť WEP ochrana pomocou verejne dostupných nástrojov za 3 minúty. WEP ochrana je lepšia ako žiadna, hoci nie je tak zaistená ako viac prepracovaná WPA-PSK.

WPA (Wi-Fi Protected Access)
WPA

Predstavuje softvérové – firmvérové vylepšenie WEP. Ide len o zmenu firmvéru, bežné WLAN zariadenia pracujúce s WEP môžu byť aktualizované, t.j. nie je potrebné kupovať nové zariadenia. WPA vytvorila Wi-Fi Alliance. Výhodou WPA bolo prijatie mechanizmov zo vznikajúceho štandardu 802.11i – šifrovanie komunikácie a riadenie prístupu do bezdrôtovej siete. Do ochrany bol pridaný TKIP šifrovací algoritmus, ktorý zabezpečil veľké zlepšenie bezpečnosti prenosu.

WPA Enterprise (WPA)

Používa RADIUS (Remote Authentication Dial In User Service), ktorý predstavuje užívateľskú vytáčanú službu pre vzdialenú autentizáciu (pozri EAP) Autentizačná metóda je 801.2 X/EAP so šifrovacím algoritmom TKIP alebo RC4.

WPA PSK (WPA Personal)

Používa zdieľaný kľuč PSK (Pre-shared key), ktorý pozostáva z frázy v rozmedzí znakov od 8 do 63. Táto fráza sa šifruje TKIP algoritmom. Autentizačná metóda PSK so šifrovacou metódou TKIP, šifra je len RC4.
Aj napriek tomu, že WPA a TKIP majú nespočetné výhody, uvažovalo sa s nimi len ako o dočasnom riešení, ktoré bolo užitočné do príchodu štandardu 802.11i. Operačný systém Windows XP pridal v apríli 2003 podporu WPA, ale boli aj certifikované prvé zariadenia používajúce WPA. WPA poskytuje základnú podporu pre AES-CCMP algoritmus, ktorý je preferovaný v štandarde 802.11i a v ochrane WPA2.

802.11i ŠTANDARD

Najnovší a najlepší spôsob ochrany WLAN je štandard 802.11 RSN. Využíva metódu ochrany WPA2, ktorá ale vyžaduje najnovší hardware, oproti staršej verzii WPA1.

WPA2 (WI-FI Protected access 2)

WPA2 implementuje povinné prvky IEEE 802.11i štandardu. Konkrétne pridáva k TKIP nový algoritmus CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) založený na AES, ktorý je považovaný za úplne bezpečný. Od 13. Marca 2006 je certifikácia WPA2 povinná pre všetky nové zariadenia, ktoré chcú byť certifikované ako Wi-Fi®.

WPA2 Enterprise (WPA2)

Používa RADIUS (Remote Authentication Dial In User Service) – užívateľská vytáčaná služba pre vzdialenú autentizáciu. Autentizačná metóda 802.1 X/EAP s predvolenou šifrovacou metódou AES (CCMP), podporuje aj TKIP, šifra je AES, voliteľné je aj RC4.

WPA2 Personal (WPA2-PSK)

Využíva zdieľaný kľuč PSK (Pre-shared key), ktorý pozostáva z frázy v rozmedzí znakov od 8 do 63. Táto fráza sa šifruje algoritmom TKIP alebo AES. Autentizačná metóda PSK (Pre-shared key) s predvolenou šifrovacou metódou AES (CCMP), šifra je AES, voliteľné je aj RC4.

Šifrovacie algoritmy

TKIP

Bol zostrojený pre jednoduché vloženie do nových firmvérov pre zariadenia siete 802.11. Používa rovnaký šifrovací algoritmus ako WEP. Štandardne používa 128bitový kľúč a oproti WEP zahŕňa dynamické dočasné kľúče. TKIP pracuje s automatickým kľúčovým mechanizmom, ktorý modifikuje dočasný kľúč každých 10 000 paketov. Výhodou TKIP je Message Integrity Check (MIC), t.j. kontrola integrity správ. MIC je lepšie zabezpečenie integrity správ ako kontrolný súčet CRC. MIC útočníkom znemožňuje zmeniť správy po prenose.

AES (CCMP)

Šifra používa symetrický kľúč. Ten istý kľúč sa používa aj pre dešifrovanie. Dĺžka kľúča je v rozmedzí znakov 128, 192 alebo 256 bitov. Metóda šifruje dáta postupne v blokoch s pevnou dĺžkou 128 bitov. Šifra sa vyznačuje vysokou rýchlosťou šifrovania. V poslednej dobe nebol uverejnený prípad prelomenia tejto metódy ochrany dát.

EAP (Extensible Authentication Protocol)

Roozširujúci autentifikačný protokol. Protokol, pri ktorom sa na autentifikáciu používa digitálny certifikát, ktorý sa musí predinštalovať na klientsky PC. Typicky sa používa s RADIUS serverom na autentifikáciu používateľov pri veľkých podnikových sieťach. EAP protokol je používaný v štandardoch 802.1X a v ochranách WPA Enterprise a WPA2 Enterprise.

LEAP (Lightweight EAP)

LEAP protokol vyvinula firma Cisco, je zostavený na 802.1X a pri použití s WEP minimalizuje bezpečnostné chyby. Táto verzia EAP je bezpečnejšia ako EAP-MD5. Na autentizáciu využíva MAC adresy. Tento protokol nie je bezpečný pred crackermi. V súčasnosti firma CISCO odporúča používateľom, aby využívali novšie verzie EAP, napr. EAP-FAST, PEAP alebo EAP-TLS.

PEAP (Protected EAP)

PEAP nie je šifrovací protokol. PEAP autentifikuje klientov v sieti. Na autentizáciu využíva verejné kľúčové certifikáty. Následne sa vytvára šifrovaný SSL/TLS tunel medzi klientom a autentizačným serverom. Metóda bola vytvorená v spolupráci Cisco, Microsoft a RSA Security.

PEAPV0/EAP-MSCHAPV2

Je najčastejšie používaná forma PEAP. Vnútro autentizácie tvorí Microsoft's Challenge Handshake Authentication Protocol. Je druhý široko podporovaný EAP štandard na svete.

PEAPV1/EAP-GTC

Vytvorila spoločnosť Cisco. Microsoft nikdy nepridala podporu pre PEAPV1 do svojho operačného systému. Využíva sa len zriedka.

EAP-TLS (EAP – Transport Layer Security)

Bezpečnosť TLS (neoficiálne SSL – Secure Sockets Layer) protokolu je veľmi silná. Používa tzv. PKI (Public key infrastructure – infraštruktúru verejných kľúčov) na ochranu komunikácie pre RADIUS autentizačný server. Protokol je zriedka rozšírený, hoci je považovaný za jeden z najbezpečnejších štandardov EAP. Je univerzálne podporovaný všetkými výrobcami wireless hardvéru, ako aj Microsoftom.

EAP-TTLS/MSCHAPV2 (EAP – Tunneled Transport Layer Security)

Je to EAP protokol, ktorý rozšíril EAP-TLS. Vytvorili ho firmy Funk Software a Certicom. Od operačného systému Microsoft Windows nie je natívna podpora, ale je široko podporovaný cez všetky platformy. Na používanie je potrebné nainštalovať malý program, napr. SecureW2. EAP-TTLS ponúka veľmi dobrú ochranu. Klientsky počítač nepotrebuje byť autentifikovaný cez certifikačnú autoritu - prihlásenie s PKI certifikátom na server, postačuje klasické spojenie server – klient. Zjednodušilo to procedúry nastavovania, pretože v tomto prípade nie je potrebné, aby boli nainštalované certifikáty na každom klientovi.

EAP-SIM

Predstavuje špecifický mechanizmus pre vzájomnú autentizáciu a prijatie kľúčového spojenia pri používaní GSM-SIM alebo GSM-based mobilných telefónnych sietí.

Wi-Fi špecifikácie

Špecifikácia

Rýchlosť

Frekvencia / Pásmo

Kompatibilita

802.11b

11 Mbit/s

2,4 GHz

b

802.11a

54 Mbit/s

5 GHz

a

802.11g

54 Mbit/s

2,4 GHz

b,g

802.11n

300 Mbit/s

2,4 GHz

a,b,g,n