warstwa aplikacji warstwa prezentacji warstwa sesji warstwa transportu (segmenty TCP/UDP)

Transkrypt

1 Porównanie modelu TCP/IP z modelem OSI: Model TCP/IP warstwa aplikacji warstwa transportu warstwa Internetu warstwa interfejsu sieciowego Model OSI warstwa aplikacji warstwa prezentacji warstwa sesji warstwa transportu (segmenty TCP/UDP) warstwa sieci (pakiety IP) warstwa łącza danych (ramki MAC) warstwa fizyczna Algorytmy szyfrujące: Symetryczne Algorytmy symetryczne wykorzystują do szyfrowania i deszyfrowania informacji ten sam klucz. Popularne algorytmy symetryczne DES, AES, IDEA, Blowfish. Problem dystrybucja klucza z zachowaniem tajności Asymetryczne Algorytm wykorzystuje parę kluczy. Jeden z kluczy jest kluczem jawnym, drugi tajnym. Klucz jawny jest udostępniany. Przykłady RSA, DSS(DSA), Diffiego-Hellman a Funkcja skrótu to funkcja, która przyporządkowuje dowolnie dużej liczbie będącej parametrem wejściowym (wiadomością krótką), zwykle posiadająca stały rozmiar wartośd określaną jako skrót wiadomości. Kolizja funkcji skrótu H to taka para różnych wiadomości m1, m2, że mają one taką samą wartośd skrótu, tj H(m1) = H(m2). Cechy dobrej funkcji haszującej: - nieznana kolizja - niemożliwośd łatwego generowania nowych kolizji - niemożliwośd znalezienia, dla danego m1 takiego m2, że H(m1) = H(m2) - niemożliwośd znalezienia, dla danego h takiego m, że H(m) = h Kryptografia i urodziny: atak urodzinowy prawdopodobieostwo znalezienia kolizji > 0,5 czyli m1 i m2 takie, że H(m1) = H(m2) 2 n/2 Np. dla 128 bit MD5 -> tylko (?) 2 128/2 = 2 64 losowych możliwości MD5 (Message-Digest Algorithm 5): - funkcja generująca z wiadomości 128-bitowy skrót - w 2004 roku opublikowano analityczny algorytm ataku podrobienie podpisu w 1h - algorytm stosowany np. do weryfikacji oryginalności danych DES (Data Encryption Standard) - stworzony przez IBM, zmodyfikowany przez amerykaoską National Security Agency (NSA) - 16 cykli, klucz do szyfrowania 56 bitów - obecne deszyfrowanie około 30 minut - 3DES (3 x DES) 3 klucze = 168 bitów - atak ze znanym jawnym tekstem (Meet in the middle) siła klucza DESX modyfikacja DES

2 AES (Advanced Encryption Standard) - nazywany również Rijndael, symetryczny szyfr blokowy przyjęty przez NIST w wyniku konkursu ogłoszonego w roku 1997, następca DES a - obsługuje klucze: 128 bitowe (10 rund szyfrujących), 192 bitowe (12 rund szyfrujących), 256 bitowe (14 rund szyfrujących) - operuje na blokach 128 bitowych - odporny na ataki? WEP (Wired Equivalent Privacy) - określa klucze 40- i 104- bitowe, do których w procesie wysyłania ramki dołączany jest wektor inicjujący (IV) o długości 24 bitów. (64- i 128- bitowych kluczy WEP). Możliwe są również dłuższe klucze np. klucze o długości 232 bitów (256 bitów) słabośd doboru (IV) Słabości standardu WEP: - rozwiązanie IEEE szkielet protokołów uwierzytelniających 802.1x, który umożliwia dobór mechanizmów uwierzytelniania i szyfrowania, a następnie i, w którym określono m.in. szyfrowanie ramek algorytmem AES i dodanie mechanizmów MIC i TKIP - rozwiązanie Wi-Fi Alliance dwa tymczasowe rozwiązania w postaci WPA i WPA2, rozszerzenie mechanizmu zabezpieczeo dla sieci bezprzewodowych standardu *W 2007 roku złamano 104 bitowy WEP w mniej niż 60 sekund. Atak na WEP ARP. Adresy MAC nie są kryptowane. Niebezpieczny IPv6: Potencjalny atak komputer w sieci może wysład pakiet Router Advertisement (AD) i przekierowad ruch wskazując siebie jako bramę. Automatyczna konfiguracja hosta IPv6 przy użyciu protokołu Neighbor Discovery poprzez Internet Control Message Protocol w wersji 6 (ICMPv6). SLAAC Stateless address autoconfiguration Host wysyła pakiet link-local Router Solicitation wnioskując o podanie parametrów konfiguracyjnych. Router odpowiada na taki wniosek Standardy i Organizacje: WiFi Certified, WLANA, IETF, FCC, ANSI, ISO, IEEE, ETSI, ITU, UL Technologia WLAN RF: - przesyłanie danych drogą radiową - komunikacja dwustronna (half-duplex) - wysyłanie i odbieranie przy użyciu tej samej częstotliwości - wykorzystanie nielicencjonowanego pasma Wireless Personal Area Network (WPAN) bluetooth - pasmo mikrofalowe MHz, trzy klasy: (klasa mw, 20 dbm, zasięg ~ 100 metrów) (klasa mw, 4 dbm, zasięg ~ 10 metrów) (klasa 3 1 mw, 0 dbm, zasięg ~ 1 metr)

3 Broadband Wireless Access (BBWA) WiMAX - zasięg do 50 km Line of Sight (LOS) > GHz Non Line of Sight (NLOS a) > < 11 GHz OFDM, licencjonowane pasmo w Polsce (Netia) 3.5 GHz ( GHz) SC (Single Carrier) modulacja z pojedynczą nośną OFDM (Orthogonal Frequency Division Multiplexing) modulacja OFDM z 256 nośnymi, oparta na dostępie TDMA (Time Division Multiple Access) OFDMA (Orthogonal Frequency Division Multiple Access) OFDM z 2048 nośnymi. Zwielokrotniony dostęp realizowany za pomocą podzestawu nośnych, jednak dalej powiązany z TDMA. Tryby dupleksu: - TDD (Time Division Duplex) - FDD (Frequency Division Duplex) - HFDD (Half Frequency Division Duplex) WiMAX modulacja adaptacyjna, inteligentne anteny, technika MIMO (wiele anten -> wiele torów nadawczych i odbiorczych), punkt-punkt, punkt-wielopunkt, mesh (każdy z każdym) Zabezpieczenia WiMAX: - autentyfikacja terminala (wymiana certyfikatów w celu uniemożliwienia wejścia do systemu podejrzanym urządzeniom) - autentyfikacja użytkownika (realizowana za pomocą protokołu EAP Extensible Authentication Protocol) - szyfrowanie danych (realizowane za pomocą protokołu DES (Data Encryption Standard) lub AES (Advanced Encryption Standard)) - szyfrowanie każdej usługi unikalnym kluczem prywatnym, asocjacja odmiennym systemem zabezpieczeo Kanały 2,4 GHz Zakresy kanałów: - maksima oddalone od siebie o 5 MHz - szerokośd kanału 22 MHz

4 Kanały 5 GHz Zakresy kanałów: - kanały zewnętrzne wymagają wsparcia przez stosowane urządzenia mechanizmu DFS (Dynamic Frequency Selection) HSDPA (ang. High Speed Downlink Packet Access) technologia używana w sieciach komórkowych budowanych w standardzie UMTS umożliwiająca przesyłanie danych z sieci w stronę terminala z teoretyczną przepływnością 21,6 Mbit/s (jest to wartośd maksymalna, występująca tylko w niektórych sieciach) HSPA+ (ang. Evolved High Speed Packet Access) standard bezprzewodowej komunikacji szerokopasmowej zdefiniowany przez konsorcjum 3GPP i opisany w zbiorze dokumentów oznaczonym jako Release 7. Technologia zapewnia mobilny dostęp do internetu z szybkością dosyłową do 42 Mb/s oraz wysyłanie do 11 Mb/s (wersja Dual- Cell HSPA+ wspiera odpowiednio 56Mb/s oraz 22Mb/s). HSPA+ jest ewolucją standardu HSPA, na HSPA składają się natomiast technologie HSUPA (High Speed Uplink Packet Access - szybka transmisja pakietów od klienta) oraz HSDPA (High Speed Downlink Packet Access - szybka transmisja pakietów do klienta). LTE (ang. Long Term Evolution) 1800 MHz standard bezprzewodowego przesyłu danych będący następcą systemów trzeciej generacji, rozwijany przez konsorcjum 3GPP. Głównymi celami nowego standardu jest zwiększenie możliwości telefonii komórkowej poprzez zwiększenie prędkości przesyłania danych, zmniejszenie opóźnieo, zwiększenie efektywności spektralnej łączy radiowych, zmniejszenie kosztów transmisji danych, uproszczenie architektury. Specyfikacja LTE (wg dokumentu 3GPP Release 8): maksymalna szybkośd w dół łącza w warstwie radiowej 100 Mb/s przy szerokości kanału 20 MHz rozwiązania 4x4 MIMO, szerokośd kanału 20 MHz maksymalna szybkośd w górę łącza 50 Mb/s przy szerokości kanału 20 MHz co najmniej 200 użytkowników w każdej komórce opóźnienie małych pakietów < 5 ms optymalny promieo komórki do 5 km praca w trybie FDD (Frequency Division Duplex) i TDD (Time Division Duplex) zachowanie wysokich parametrów dla użytkowników w ruchu do 120 km/h (funkcjonalnie do 350 km/h)

5 ANTENY dbm logarytmiczna jednostka miary mocy odniesiona do 1 mw. Moc wyrażona w dbm mówi, o ile decybeli moc ta jest większa (lub mniejsza) od mocy 1 mw zgodnie ze wzorem. [ ] ( [ ] [ ] ) W przypadku gdy nadajnik zarejestruje moc 1 mw, wartośd obliczonej mocy wyniesie 0 dbm. Dla maksymalnej mocy nadawczej nadajnika wynoszącej 100 mw otrzymamy wartośd: 10*log(100mW/1mW) = 10*log(100) = 10*2 = 20 [dbm] dbi skala logarytmiczna zysku anteny określonego w stosunku do anteny izotropowej. Zysk anteny wyrażony w dbi mówi, o tym ile decybeli poziom sygnału jest większy w stosunku do hipotetycznej anteny izotropowej. Antena o zysku 4 dbi nadaje sygnał 10 0,4 = 2.51 razy silniej od anteny izotropowej w ściśle określonym kierunku. EIRP (Effective Isotropical Radiated Power) równoważna (zastępcza / efektywna) moc promieniowania izotropowego. EIRP oznacza moc, jaką musiałaby wypromieniowad antena izotropowa (teoretyczna antena o zerowych wymiarach, która emituje fale elektromagnetyczne bez strat, jednakowo w każdym kierunku przestrzeni), aby otrzymad taki poziom sygnału w odbiorniku, jaki wystąpiłby przy użyciu do nadawania badanej anteny kierunkowej w kierunku jej maksymalnego promieniowania. Dla instalacji nadawczej złożonej z nadajnika, linii zasilającej i anteny, EIRP można obliczyd ze wzoru: EIRP = P - Tk + Gi gdzie EIRP i P (moc nadajnika) podane są w dbm, Tk (tłumienie kabla) w db, a Gi (zysk anteny w stosunku do anteny izotropowej) w db. Dla nadajnika o mocy 1 mw podłączonego bez strat do anteny izotropowej EIRP wynosiła by 0 dbm. Dla nadajnika o mocy 50 mw podłączonego do anteny o zysku 12 dbi kablem o tłumienności 0,55 db/m i o długości 18 metrów wynosi otrzymamy EIRP: EIRP = 10 * log10(50 mw/1 mw) - 18 * 0, EIRP = 10 * 1,70-9, = 19,1 [dbm] UWAGA!!! Wartośd EIRP według obowiązujących przepisów dla pasma 2,4GHz nie może przekroczyd 20 dbm.

6 TECHNOLOGIE WI-FI AP (ang. Access point) urządzenie zapewniające urządzeniom klienckim dostęp do sieci komputerowej za pomocą medium radiowego BSS (ang. Basic Service Set) według standardu IEEE jest to grupa logicznie powiązanych ze sobą urządzeo bezprzewodowych. BSS stanowi podstawową komórkę sieci bezprzewodowej, która składa się z przynajmniej jednego punktu dostępowego (AP) oraz urządzenia klienckiego (STA). BSSID (ang. Basic Service Set Identifier) 48-bitowy numer identyfikacyjny, w sieciach bezprzewodowych standardu IEEE nadawany punktom dostępowym, umożliwiający jednoznaczną identyfikację podstawowej komórki sieci bezprzewodowej (BSS). Jest on odpowiednikiem adresu MAC dla technologii Ethernet. DSSS (ang. Direct Sequence Spread Spectrum) technika rozpraszania widma w systemach szerokopasmowych przy pomocy ciągów kodowych EAP (ang. Extensible Authentication Protocol) framework autentykacyjny, pozwalający na wykorzystanie różnych algorytmów uwierzytelniania w ujednolicony sposób ESS (ang. Extended Service Set) rozszerzona komórka sieci bezprzewodowej składająca się z dwóch lub więcej komórek podstawowych (BSS), wykorzystująca tą samą nazwę sieci SSID, która w tym przypadku nazywana jest identyfikatorem rozszerzonej komórki (ESSID) FHSS (ang. Frequency-Hopping Spread Spectrum) metoda rozpraszania widma w systemach szerokopasmowych, polegająca na skokowych zmianach częstotliwości sygnału co określoną jednostkę czasu w obrębie kanału IEEE grupa standardów IEEE opisujących warstwę fizyczną i podwarstwę MAC (warstwa 2 Modelu OSI) bezprzewodowych sieci lokalnych Interferencja zjawisko powstawania nowego, przestrzennego rozkładu amplitudy fali (wzmocnienia i wygaszania) w wyniku nakładania się dwóch lub więcej fal OFDM (ang. Orthogonal Frequency-Division Multiplexing) metoda kodowania danych cyfrowych w oparciu o częstotliwości podnośne SSID (ang. Service Set Identifier) identyfikator sieci o długości do 32 znaków, dodawany do nagłówków pakietów wysyłanych przez bezprzewodową sied lokalną. Jest to identyfikator umożliwiający klientowi rozpoznanie rozgłaszanej sieci. STA (ang. Station) urządzenie posiadające możliwośd korzystania z sieci bezprzewodowej, tzw. Klient bezprzewodowy STAID (ang. Station Identifier) 48-bitowy numer identyfikacyjny w sieciach bezprzewodowych standardu IEEE nadawany interfejsom radiowym stacji klienckich, umożliwiający ich jednoznaczną identyfikację. Jest on odpowiednikiem adresu MAC dla technologii Ethernet. TKIP (ang. Temporal Key Integrity Protocol) wykorzystujący RC4 protokół używany w celu zabezpieczenia warstwy łącza danych w sieciach bezprzewodowych zgodnych ze standardem IEEE Obecnie niezalecany do stosowania. WEP (ang. Wired Equivalent Privacy) standard szyfrowania w sieciach bezprzewodowych, oparty na algorytmie RC4, z powodu powszechnie dostępnych algorytmów i programów umożliwiających jego uzyskanie z obserwowanych ramek obecnie niezalecany do stosowania. WPA (ang. Wi-Fi Protected Access) standard szyfrowania w sieciach bezprzewodowych, oparty o 802.1x, EAP, TKIP i MIC. Występuje w wersji Personal (hasło współdzielone) i Enterprise (współpraca z serwerem Radius). Obecnie niezalecany do stosowania. WPA2 (ang. Wi-Fi Protected Access II) następca WPA, wykorzystujący algorytm AES zamiast RC4. Podobnie jak WPA posiada wariant Personal i Enterprise.

7 Zalety n które wprowadził: - frame aggregation boostuje wydajnośd warstwy MAC, agregacja kilku ramek w jedną używając dwóch różnych technik, zwiększone wykorzystanie pasma - MIMO używanie kilku anten nadajnika i odbiornika. Przesyłane dane w ten sposób muszą byd kodowane za pomocą kodów przestrzennych STC(Space-Time Code), dzięki czemu odbiornik odczytuje dane z odebranego sygnału. - łączenie kanałów 40 MHz kanał zamiast 20 MHz, podwaja przepustowośd pasma i zdecydowanie zwiększa wydajnośd Beamforming formowanie sygnału w taki sposób, aby był jak najlepszej jakości u klienta Spatial multiplexing równoległe wykorzystanie kilku strumieni, ograniczone do najmniejszej z ilości anten (np. 2 nadawcze, 3 odbiorcze, czyli da to 2 anteny) Tryby pracy w sieci Wi-Fi ad-hoc sied o zdecentralizowanej strukturze, w której przyłączone mobilne urządzenia mogą pełnid funkcje zarówno klienta (terminala koocowego), jak i punktu dostępu. Do przekazywania danych nie jest wymagane istnienie żadnej infrastruktury sieciowej (brak punktów zarządzających), gdyż komunikacja między poszczególnymi jednostkami podsieci następuje w sposób bezpośredni: pakiety dostarczane są do odbiorcy bez potrzeby istnienia dodatkowych węzłów kierujących ruchem. Infrastructure W sieci takiej musimy wykorzystad punkt centralny, którym będzie Access Point. W konfiguracji AP dzielimy naszą sied lokalną, ustawiamy SSID i zabezpieczamy sied przed ewentualnymi próbami nieautoryzowanego dostępu. Następnie w każdej stacji z naszej sieci przestawiamy karty sieciowe w tryb "infrastructure" i podłączamy się do naszego AP za pomocą tego samego identyfikatora sieci SSID.

8 BSS (Basic Service Set) Samodzielny punkt dostępowy tzw. Fat AP Zaleta prosta obsługa, sprawdza się przy pojedynczych sieciach, Wady silne interferencje w przypadku użycia wielu AP na niewielkim obszarze problem rozłączania klientów przy zmianie AP brak jakiejkolwiek optymalizacji obciążenia trudności w zarządzaniu duża liczba AP potrzebna do zapewnienia pokrycia problemy z zapewnieniem pokrycia zwłaszcza dla pasma 2,4GHz ESS (Extended Service Set) Rozszerzona komórka sieci bezprzewodowej ESS. Kilka samodzielnych punktów dostępowych (Fat AP), które trzeba niezależnie skonfigurowad. Działają z tym samy SSID, ale na różnych kanałach. Samodzielne punkty dostępowe tzw. Fat AP Zaleta prosta obsługa, sprawdza się przy pojedynczych sieciach, Wady mogą pojawid się interferencje w przypadku pracy AP na sąsiednich kanałach bardzo odczuwalny problem rozłączania klientów przy zmianie AP brak jakiejkolwiek optymalizacji obciążenia trudności w zarządzaniu duża liczba AP potrzebna do zapewnienia pokrycia zmiana sieci wymaga konfiguracji wielu punktów dostępowych!!!

9 Wykorzystanie kontrolera Punkty dostępowe tzw. Thin Aps są zarządzane globalnie za pomocą kontrolera. Zaleta wygoda zarządzania, możliwe określanie pozycji klientów i autentykacja na podstawie pozycji, zwiększenie bezpieczeostwa brak plików konfiguracyjnych na AP, możliwośd zarządzania pasmem, możliwośd optymalizacji mocy APs Wady mogą pojawid się interferencje w przypadku pracy AP na sąsiednich kanałach odczuwalny problem rozłączania klientów przy zmianie AP bardzo zróżnicowany zakres centralizacji w zależności od producenta Przełączanie klienta między AP karta klienta stale kontroluje jakośd sygnału radiowego, gdy poziom sygnału spadnie poniżej dopuszczalnego poziomu, karta przechodzi w tryb skanowania i zaczyna wyszukiwad silniejsze źródło sygnału, po znalezieniu odpowiedniego sygnału decyduje o przełączeniu, następuje zerwanie połączenia, jeśli to konieczne, to zmiana kanału, a następnie podłączenie do nowego punktu dostępowego proces ten trwa od 50 do 3000 ms, co oznacza, iż pomimo uzyskania przez klienta tego samego adresu IP, częśd połączeo sieciowych zostanie w tym czasie rozłączonych. o momencie przełączenia pomiędzy punktami dostępowymi decyduje karta bezprzewodowa klienta a nie kontroler Meru Networks Nie istnieją punkty dostępowe tzw. Fat AP. Wszystkie punkty dostępowe muszą wykorzystywad kontroler (nawet tylko jeden) Zalety: wygodne zarządzanie łatwośd rozbudowy jednoczesna obsługa wielu SSID optymalizacja obciążenia możliwośd zarządzania klientami i przydziału im odpowiedniego czasu radiowego, a nie wielkości danych do przesłania automatyczna kontrola warunków radiowych zapewniająca optymalne pokrycie wbudowane zabezpieczenia przed zakłóceniami od własnej infrastruktury brak problemu interferencji przy pracy wielu AP na tym samym lub sąsiednich kanałach zarządzanie asocjacjami realizowane przez kontroler rozwiązanie wolne od problemu rozłączania klientów przy zmianie AP, wszystkie AP pracują na tym samym kanale i posiadają ten sam BSSID!!! AP są nierozróżnialne dla klienta - klient widzi ten sam BSSID danej sieci bez względu do którego AP jest podłączony

10 wirtualny port rozwinięcie koncepcji wirtualnej komórki w momencie podłączenia klienta do sieci tworzona jest dla klienta wirtualna sied radiowa, z własnym unikalnym BSSID-em, który jest stały dla danej stacji w obrębie całej sieci, bazujący na MAC u klienta. zapewnia separację klientów, co zwiększa bezpieczeostwo podczas korzystania z WPA umożliwia wydajniejsze zarządzanie pasmem, ramki Beacon wysyłane są tylko do konkretnego klienta zapewnia indywidualną optymalizację parametrów transmisji dla każdego z klientów ograniczeniem tego rozwiązania jest mniejsza maksymalna liczba jednocześnie obsługiwanych klientów Założenia technologii Ethernet sied działa w oparciu rozgłoszenia, urządzenia rozpoznawane są na podstawie adresu fizycznego MAC, wykorzystywany jest mechanizm zarządzania pasmem CSMA/CD implementowany na stacjach klienckich brak urządzenia zarządzającego klientami, transmisja jest jednokierunkowa (half-duplex), co oznacza, iż tylko jedna stacja może nadawad w określonym czasie, urządzenie może rozpocząd nadawanie po upewnieniu się, że medium nie jest wykorzystywane do transmisji, w przypadku nadawania dwóch stacji w tym samym czasie pojawi interferencja sygnałów, która będzie interpretowana przez stacje jako kolizja, stacja, która zauważy kolizję wysyła sygnał o kolizji (ang. jam signal), który informuje pozostałych użytkowników o konieczności zaprzestania nadawania, po otrzymaniu sygnału o kolizji, stacje wstrzymują nadawanie i losują czas, po którym będą ponownie mogły rozpocząd nadawanie, nie ma określonej kolejności nadawania przez poszczególne stacje, pojedyncza ramka wypełnia cały segment sieci,

11 pomiędzy wysyłanymi ramkami istnieje przerwa międzyramkowa IFG (ang. Inter Frame Gap) umożliwiająca innym użytkownikom skorzystanie z medium. Podstawowe założenia Wi-Fi w przypadku nadawania dwóch stacji w tym samym czasie pojawi interferencja sygnałów, która będzie prowadziła do błędów w transmisji kolejnośd nadawania przez poszczególne stacje jest określana przez punkt dostępowy pojedyncza ramka Wi-Fi niekoniecznie dociera do wszystkich zainteresowanych klientów (problem ukrytego klienta) stacja kliencka może mied przydzielony czas wykorzystania pasma lub możliwośd wysłania/odebrania konkretnej ilości danych, mechanizm ten jest bardzo istotny przy stacjach klienckich pracujących z różnymi prędkościami transmisji prędkośd transmisji jest negocjowana z punktem dostępowym na podstawie jakości sygnału funkcja DCF (ang. Distributed Coordination Function) pozwala na określenie priorytetu ruchu (ruch zarządzający jest ważniejszy od ruchu danych) oraz zapewnia wysyłanie potwierdzeo po każdej przesłanej ramce wysyłane dane wymagają przesłania potwierdzenia (ACK) Ze względu na niezbędny do prawidłowego funkcjonowania sieci bezprzewodowej ruch zarządzający, kontrolny, mechanizmy potwierdzenia otrzymania danych, szacuje się, że ostatecznie tylko 50% wynegocjowanego pasma może byd wykorzystane do przesyłania właściwych danych. Wyszukiwanie sieci Pasywne Stacja skanuje poszczególne kanały radiowe, oczekując ramki nawigacyjnej (beacon) rozsyłanej przez AP W ramce nawigacyjnej przesyłane są parametry sieci takie jak: SSID, nr kanału radiowego, wspierane prędkości transmisji danych Stacja wśród nazw SSID uzyskanych z odebranych ramek szuka zapamiętanej nazwy. W przypadku znalezienia takiej sieci, stacja podejmuje próbę połączenia się z zapamiętaną siecią Jeżeli stacja nie znajdzie zapamiętaj sieci, oczekuje na wybór użytkownika Aktywne Stacja wysyła ramkę typu Probe Request, zawierającą zapamiętany SSID sieci, z którą chce się połączyd, czasami stacja może wysład Broadcast SSID Po wysłaniu danych stacja kliencka oczekuje na odpowiedź Probe Response z punktu dostępowego Ukrycie sieci oznacza wyłączenie rozgłaszania SSID, a nie powoduje zaprzestania wysyłania ramek Beacon, puste pole SSID. Obsługa sieci W trybie pasywnym ramki nawigacyjne rozgłaszane są przez sied bezprzewodową z najmniejszą obsługiwaną prędkością transmisji!!! Działanie takie ma na celu zapewnienie tego, że zostaną one odebrane przez wszystkie urządzenia bez względu na obsługiwane prędkości transmisji. Rozwiązanie takie negatywnie wpływa na wydajnośd sieci ze względu na zajmowany przez te ramki czas radiowy. W celu optymalizacji sieci zalecane jest wyłączenie na punkcie dostępowym obsługi najmniejszych prędkości transmisji.

12 Etapy przyłączania klienta do sieci Wi-Fi: STA AP 1. Probe Request 2. Probe Response 3. Authentication Request 4. Authentication Response 5. Association Request 6. Association Response Autentykacja w Wi-Fi Weryfikowana jest zgodnośd urządzenia klienta z punktem. Wyróżnia się dwa warianty autentykacji: otwarta - brak weryfikacji klienta, może byd używana w połączeniu z autentykacją sieciową 802.1x/EAP. z kluczem współdzielonym wykorzystująca WEP, podczas której sprawdzana jest zgodnośd obu kluczy. Asocjacja w Wi-Fi Ma na celu uczynienie klienta pełnoprawnym członkiem BSS. Autentykacja następuje po wysłaniu przez klienta ramki Association Request. W przypadku zgody na podłączenie się do sieci klient otrzymuje ramkę Association Response z unikalnym numerem AID przypisywanym przez sied dla każdego podłączonego klienta. Dalsze etapy łączenia z siecią Wi-Fi Po obowiązkowych etapach przyłączenia do sieci, mogą (w zależności od konfiguracji sieci) nastąpid kolejne procesy np. realizujące autoryzację WPA2. Po pomyślnym zakooczeniu tych etapów, klient może rozpocząd procedurę automatycznej konfiguracji interfejsu sieciowego (DHCP). Po otrzymaniu niezbędnych danych konfiguracyjnych (adres IP, maska, brama), klient staje się pełnoprawnym członkiem sieci. Możliwe stany klienta na AP Unauthenticated and unassociated (brak autentykacji, brak podłączenia do sieci) Authenticated and unassociated (jest autentykacja i dlatego brak jest podłączenia do sieci) Authenticated and associated (jest autentykacja i jest podłączenie do sieci) Ograniczenia fal radiowych zakłócenia (szczególnie pasmo 2,4GHz) pochodzące od innych sieci Wi-Fi i urządzeo wykorzystujących to pasmo (alarmy, nadajniki AV itp.) ograniczona moc nadawania (100mW w paśmie 2,4GHz, 1W w paśmie 5GHz) tłumienie fal radiowych przez przeszkody, tym silniejsze, im wyższa częstotliwośd Czas radiowy dane zarządzające zajmują dużo czasu radiowego (do 50%!) wolni klienci zajmują dużo czasu radiowego ramki rozgłoszeniowe (beacony) są nadawane z najniższą obsługiwaną prędkością transmisji zwiększenie minimalnej obsługiwanej prędkości transmisji w celu poprawienia przepustowości ogranicza dostęp odległym klientom może wystąpid dyskryminacja grup klientów

13 Optymalizacja sieci Optymalne rozmieszenie AP z uwzględnieniem tłumienia fal radiowych i zakłóceo Wybór kanału możliwie najmniej obciążonego Likwidacja/ograniczenie źródeł zakłóceo Kompromis pomiędzy dostępnością sieci i wydajnością, rezygnacja z najniższych prędkości transmisji (w tym z obsługi standardu b) Dobór optymalnej topologii sieci WCS Dashboards Network Monitor automatyczne pasywne skanowanie pasma co 180 sekund wykrywanie obcych AP lokalizacja przeprowadzenie na nich ataku DDOS (rozłączenie użytkownika) monitorowanie lokalizacji użytkownika AirPcap adaptery działające w trybie pasywnym analiza danych z wielu punktów dostępowych (ang. Basic Service Set) używających tego samego kanału możliwośd równoległego użycia wielu kluczy (WEP, WPA2) - równoległa deszyfracja transmisji z wielu BSS ów równoległa analiza wielu kanałów (kilka adapterów USB) Multi-Channel Aggregator Technology - obsługa strumieni danych z wielu adapterów AirPcap, jako jednego wirtualnego interfejsu

14 Technologia z wieloma antenami, MIMO

15

16

17 Ramki Standard przewiduje wykorzystanie wielu typów ramek zarządzających i kontrolujących transmisję bezprzewodową oraz ramki danych. Wszystkie ramki zawierają pole kontrolne, informację o typie ramki oraz liczne wskaźniki (np. o kluczu WEP, zarządzaniu energią itp.) Ramki zawierają również adres MAC stacji nadawczej i odbiorczej, numer sekwencyjny oraz pole sumy kontrolnej. Frame Control (2 bajty) Version, wersja protokołu (2 bity), Type, typ ramki (2 bity) Subtype, podtyp ramki (4 bity), ToDs, FromDS, określenie rodzaju ruchu z lub do systemu dystrybucyjnego DS (1 bit), More Fragments, fragmentacja danych (1 bit), Retry, retransmisja, gdy pakiet jest ponownie wysyłany (1 bit), Power Management, zarządzanie mocą, wartośd 1 oznacza, iż po zakooczeniu transmisji interfejs przechodzi w stan oszczędzania energii (power save mode), 0 oznacza, iż interfejs będzie aktywny (1 bit), More Data, ustawiony na 1 gdy pakiet był buforowany i oczekiwał na dostarczenie WEP, ustawiony na 1 gdy wartośd danych została zaszyfrowana kluczem WEP, Order, ustawiony na 1 gdy pakiet musi byd specjalnie obsługiwany jak np. VoIP Duration ID (2 bajty) określa potrzebny do przesłania ramki AID pojawia się w ramkach kontrolnych określając identyfikator asocjacji stacji określony przez punkt dostępowy

18 Sequence Control pozwala na filtrowanie ruchu i określenie poprawnej kolejności przesłanych danych np. podczas retransmisji, Network Data określa przesyłane dane wyższych warstw, FCS określa sumę kontrolną Ramki Ramki zarządzające (management frames) np. beacon, probe request, probe response, association, authentication Ramki kontrolne (control frames) ACK, RTS, CTS Ramki danych (data frames) Ramki zarządzające (management frames) Ramka autentykacji (authentication frame) Proces autentykacji określa czy punkt dostępowy zaakceptuje czy odrzuci identyfikację radiowego interfejsu sieciowego. Stacja nadawcza rozpoczyna proces wysyłając ramkę autentykacji zawierającą identyfikator interfejsu radiowego. W przypadku otwartej autentykacji interfejs radiowy wysyła ramkę autentykacji do punktu dostępowego, który odpowiada ramką autentykacji zawierającą akceptację lub odrzucenie żądania klienta. W przypadku współdzielonego klucza WEP, interfejs radiowy wysyła inicjującą ramkę autentykacji do punktu dostępowego. Punkt dostępowy odpowiada ramką autentykacji zawierającą tekst (challenge text), który musi zostad zakryptowany przez stację kliencką za pomocą posiadanego klucza WEP, a następnie wysłany do punktu dostępowego. Punkt dostępowy deszyfruje przesłany tekst przy pomocy swojego klucza WEP sprawdzając czy otrzymany ciąg znaków jest identyczny z wysłanym tekstem do stacji klienckiej. Na tej podstawie punkt dostępowy wysyła ramkę autentykacji informując klienta o wyniku procesu autentykacji. Ramki zarządzające (management frames) Ramka deautentykacji (deauthentication frame) Ramka deautentykacji wysyłana jest przez stację nadawczą do innej stacji (punktu dostępowego) w celu zakooczenia bezpiecznego połączenia. Ramka żądania przyłączenia (association request frame) Standard przewiduje możliwośd synchronizacji punktu dostępowego z obsługiwanym klientem radiowym oraz zarezerwowanie dla niego pewnych określonych zasobów. Proces takiego przyłączenia rozpoczyna się od wysłania przez interfejs radiowy do punktu dostępowego żądania przyłączenia. Ramka ta zawiera informacje o interfejsie radiowym (np. lista wspieranych prędkości) oraz identyfikator sieci (SSID), do której klient chce się przyłączyd. Po otrzymaniu żądania punkt dostępowy analizuje je i w przypadku akceptacji rezerwuje odpowiedni obszar pamięci przeznaczony do obsługi klienta oraz ustanawia dla niego identyfikator przyłączenia (association ID). Ramki zarządzające (management frames) Ramka odpowiedzi przyłączenia (association response frame) Punkt dostępowy wysyła ramkę odpowiedzi przyłączenia zawierającą odpowiedź na otrzymane żądanie klienta (akceptację lub odrzucenie). W przypadku akceptacji punkt dostępowy wysyła klientowi jego identyfikator przyłączenia (association ID) oraz listę wspieranych prędkości. Po otrzymaniu takich informacji klient radiowy może korzystad z punktu dostępowego w celu realizowania komunikacji z innymi hostami. Ramka żądania ponownego przyłączenia (reassociation request frame) W przypadku gdy interfejs radiowy znajduje się daleko od punktu dostępowego, do którego jest podłączony i odbierze ramkę nawigacyjną od innego punktu dostępowego z mocniejszym sygnałem, interfejs radiowy wyśle ramkę ponownego przyłączenia do nowego punktu dostępowego. Nowy punkt dostępowy może koordynowad przesyłanie danych znajdujących się w buforze poprzedniego punktu dostępowego czekającego na uruchomienie transmisji do stacji klienckiej.

19 Ramki zarządzające (management frames) Ramka odpowiedzi na żądanie ponownego przyłączenia (reassociation response frame) Punkt dostępowy wysyła ramkę odpowiedzi na żądanie ponownego przyłączenia otrzymane od klienta radiowego (akceptacja lub odrzucenie). Podobnie jak w procesie typowego przyłączenia ramka zawiera informacje takie jak wspierane prędkości transmisji danych oraz identyfikator przyłączenia (association ID). Ramka rozłączenia (disassociation frame) Stacja wysyła ramkę rozłączenia do innej stacji (punktu dostępowego) w przypadku gdy chce ona zakooczyd przyłączenie. Klient wyłączający swój interfejs radiowy może wysład ramkę rozłączenia do punktu dostępowego, który po jej otrzymaniu zwalnia przydzieloną dla klienta pamięd oraz usuwa go z tablicy asocjacyjnej. Ramki zarządzające (management frames) Ramka nawigacyjna (beacon frame) Punkt dostępowy cyklicznie wysyła ramkę nawigacyjną (typowo co 100 ms) w celu ogłoszenia informacji o obsługiwanej sieci (znaczniki czasowe, SSID oraz inne parametry). Interfejs radiowy klienta skanuje cyklicznie wszystkie kanały radiowe w celu rejestracji ramki nawigacyjnej. Ramka sondująca, żądanie (probe request frame) Stacja kliencka wysyła ramkę sondującą w przypadku gdy chce uzyskad informacje o obsługiwanej sieci przez inną stację (punkt dostępowy). Ramka sondująca, odpowiedź (probe response frame) Stacja (punkt dostępowy) odpowiada ramką probe response zawierającą informacje o obsługiwanej (np. wspierane prędkości transmisji). Ramki kontrolne (control frames) Pozwalają na kontrolę dostarczania ramek pomiędzy stacjami. Ramka żądanie wysłania (Request to Send (RTS)) Funkcja RTS/CTS jest opcjonalna i nie musi byd wykorzystywana, pozwala ona na ograniczenie kolizji występujących w przypadku pojawienia się problemu ukrytej stacji podłączonej do tego samego punktu dostępowego. Stacja wysyła ramkę RTS do drugiej stacji (punktu dostępowego), która jest pierwszym etapem dwu-stronnego nawiązania połączenia (two-way handshake), które musi zostad zrealizowane przed wysłaniem danych. Ramka gotowości do wysłania (Clear to Send (CTS)) Stacja odpowiada ramką CTS na otrzymaną ramkę RTS, zapewniając tym samym gotowośd (czystośd) kanału transmisyjnego dla żądającej stacji. Ramka CTS zawiera wartośd czasu, przez który pozostałe stacje (również ukryta) mają przerwad nadawanie. Czas ten jest potrzebny na wysłanie ramki z danymi przez stację, która uprzednio wysłała ramkę RTS. Rozwiązanie to wpływa zmniejszenie ilości kolizji spowodowanych wystąpieniem problemu ukrytych stacji, co powoduje zwiększenie efektywnego pasma klienta. Ramka potwierdzenia (Acknowledgement (ACK)) Po otrzymaniu ramki danych stacja odbiorcza sprawdza jej spójnośd i w przypadku braku wystąpienia błędów wysyła ramkę ACK do stacji nadawczej. Gdy pojawi się niezgodnośd obliczonej sumy kontrolnej z wartością znajdującą się w ramce potwierdzanie ACK nie jest wysyłane. Stacja nadawcza, która nie uzyska potwierdzenia odbioru ponownie wysyła tą samą ramkę. Ramki danych (data frames) Ramki danych (data frames) Służą do przenoszenia właściwych danych przesyłanych między klientami bezprzewodowymi.

20 Problem ukrytego klienta (hidden node) STA1 ze względu na tłumienie sygnału nie obserwuje transmisji z STA2 i vice versa. Stacje STA1 i STA2 są podłączone do tego samego punktu dostępowego AP. Stacje STA1 i STA2 nie widząc swoich komunikacji mogą wysyład dane w tym samym czasie powodując kolizje obserwowane przez punkt dostępowy AP. Punkt dostępowy ze względu na błędy transmisji (kolizje) nie odpowiada ramką ACK, co zmusza stacje STA1 i STA2 na ponowne przesyłanie danych. W wyniku takiej sytuacji następuje wiele kolizji i retransmisji, które wpływają na znaczne zmniejszenie efektywnego pasma transmisji. Funkcja RTS/CTS (Request to Send/Clear to Send) Stacja nadawcza wysyła ramkę RTS do punktu dostępowego podając wartośd czasu niezbędną do przesłania ramki. Punkt dostępowy wysyła ramkę CTS do wszystkich klientów informując o czasie przez który stacje mają wstrzymad się od wysyłania informacji. Informacja ta trafia również do tzw. ukrytych klientów. Stacja nadawcza może wysład właściwą ramkę dopiero po uzyskaniu ramki CTS czyli nawiązaniu dwu-stronnego połączenia pozwalającego na kontrolę dostępu do wspólnego medium. Po odbiorze ramki stacja docelowa (punkt dostępowy) wysyła ramkę potwierdzenia ACK.

21 Głównym zastosowaniem funkcji RTS/CTS jest zminimalizowanie kolizji wynikających z obecności ukrytych klientów. Technika wykorzystywana w droższych urządzeniach. W przypadku braku problemu ukrytej stacji włączenie funkcji RTS/CTS zwiększa ilośd wysyłanych kontrolnych danych przez co obniża wartośd pasma przeznaczonego dla klienta. Funkcja jest uruchomiona na stacji klienckiej, ale nie musi byd uruchomiona na punkcie dostępowym, który analizuje wszystkie transmisje. Stacja kliencka stosuje funkcję RTS/CTS do wszystkich przesyłanych pakietów. Po aktywacji RTS/CTS warto przetestowad dostępne pasmo, w przypadku znacznego jego ograniczenia należy wyłączyd funkcję RTS/CTS nawet w sytuacji gdy obserwowane są kolizje. Uruchomienie funkcji RTS/CTS dotyczy tylko pakietów większych niż zadeklarowana wielkośd (typowo 2347 bajtów). Rozwiązanie to ma zapewnid czystośd kanału radiowego dla przesyłanych dużych ilości danych (dużych pakietów), których transmisja zajmuje dłuższy czas zwiększając prawdopodobieostwo wystąpienia kolizji. DTIM Interval (określenie okna transmisji dla ramek typu broadcast i multicast) CTS Protection Mode (automatyczne włączenie CTS w przypadku pojawienia się problemów, lub dużego ruchu) Fragmentation Threshold (określenie poziomu fragmentacji ramek) RTS Threshold (określenie poziomu stosowania funkcji RTS/CTS)

22

23

24

25

26 Typy autoryzacji: - otwarta, WEP, WPA, WPA2 (Personal/Enterprise) 5GHz mamy w pasmach 5,150 5,350 GHz oraz 5,470 5,725 GHz, utworzono kilkanaście kanałów każdy o szerokości 20 MHz. Sieci działające na poszczególnych kanałach nie zakłócają się więc wzajemnie.

27 Pytania: STA ma zapamięta kilka SSID sieci, kilka jest jednocześnie dostępnych. Z którą automatycznie połączy się STA? Najlepszy sygnał czy w zależności od kolejności skanowania z pierwszą? Stacja wysyła ramkę typu Probe Request, zawierającą zapamiętany SSID sieci, z którą chce się połączyd czy wysyła to na jakimś konkretnym kanale lub wszystkich czy nie robi to różnicy na jakim kanale? 7. Sprawdzid dostępne komendy w tym trybie za pomocą znaku?. Spróbuj wyświetlid zawartośd pliku runningconfig będąc zalogowanym jako gośd. Czy jest to możliwe?