Wybrane rozwiązania IEEE 802 (LMSC) Marek Kozłowski Wydział Matematyki i Nauk Informacyjnych Politechnika Warszawska Warszawa 2014/2015
Plan wykładu 1 LAN/MAN Standards Comitee 2 IEEE 802.3 CSMA/CD Sieci Ethernet 3 IEEE 802.11 CSMA/CA Sieci Wireless
IEEE Projekt 802 Zespół IEEE 802 tak formułuje stawiane sobie cele 1 : LMSC 2 (or IEEE Project 802) develops LAN and MAN standards, mainly for the lowest 2 layers of the Reference Model for Open Systems Interconnection (OSI). LMSC coordinates with other national and international standards groups, with some standards now published by ISO as international standards. Spotkania grup roboczych (WG) i grup doradztwa technicznego (TAG) wchodzących w skład projektu IEEE 802 odbywają się od 1980 roku. 1 http://grouper.ieee.org/groups/802/802\overview.pdf 2 LAN/MAN Standards Comitee
Aktywne grupy robocze IEEE 802 802.1 High Level Interface (HILI) 802.3 CSMA/CD 802.11 Wireless LAN (WLAN) 802.15 Wireless Personal Area Network (WPAN) 802.16 Broadband Wireless Access (BBWA) 802.17 Resilent Packet Ring (RPR) 802.18 Radio Regulatory Technical Advisory Group 802.19 Coexistence Technical Advisory Group 802.20 Mobile Wireless Access 802.21 Media Independent Handover
Nieaktywne i rozwiązane grupy robocze IEEE 802 802.2 nieaktywna Logical Link Control (LLC) 802.5 nieaktywna Token Ring 802.4 rozwiązana Token Bus 802.6 rozwiązana Metropolitan Area Network (MAN) 802.7 rozwiązana Broadband TAG (BBTAG) 802.8 rozwiązana Fiber Optics TAG (FOTAG) 802.9 rozwiązana Integrated Services LAN (ISLAN) 802.10 rozwiązana Standard for Interoperable LAN Security (SILS) 802.12 nieaktywna Demand Priority (100VG-AnyLAN) 802.14 rozwiązana Cable-TV Based Broadband Communication Network
Protokół CSMA/CD CSMA/CD (Carrier Sense Multiple Access With Collision Detection) jest protokołem synchronizacji dostępu do współdzielonego medium w sieci LAN opartej o cyfrową, synchroniczną transmisję. Schemat działania CSMA/CD: 1 przygotuj ramkę do wysłania, 2 poczekaj na brak sygnału w medium, 3 rozpocznij transmisję, 4 w przypadku stwierdzenia nałożenia sygnału przerwij nadawanie i wyślij sygnał wykrycia kolizji jam signal, 5 próba retransmisji ramki następuje po losowym czasie (backoff delay).
Carrier Sense Multiple Access With Collision Detection
CSMA/CD ograniczenia Retransmisja ramki jest możliwa tylko wówczas, jeśli powiadomienie o kolizji zostanie odebrane przed końcem jej nadawania. W tym celu wprowadza się ograniczenia na minimalną długość ramki i maksymalny rozmiar domeny kolizji CSMA/CD: minimalna długośc ramki to 64B, pomiędzy dowolnymi dwoma komputerami w domenie kolizji mogą być oddzielone maksymalnie 4 wzmacniakami sygnału, Liczba kolizji rośnie wraz ze wzrostem liczby transmitowanych ramek. Protokół CSMA/CD jest efektywny przy utylizacji nie przekraczającej 40%.
Rodzina standardów IEEE 802.3 IEEE 802.3 to rodzina rozwiązań na poziomie 1. i 2. warstwy modelu OSI opartych na metodzie dostępu do medium CSMA/CD. Powstały jako rozwinięcie opracowanej przez Roberta Metcalfa sieci Ethernet (1972, 1982); Terminy IEEE 802.3 i Ethernet używane są często wymiennie. Pierwotnie w sieciach Ethernet wykorzystano kable koncentryczne (współosiowe - ang. coaxial) i topologię szyny stacje robocze dołączane są bezpośrednio do głównego odcinka kabla. Późniejsze sieci Ethernet oraz wszystkie sieci FastEthernet, GigabitEthernet i szybsze wykorzystują kable skręcone (przeważnie nieekranowane ang. Unshielded Twisted Pair, UTP) lub światłowodowe i mają fizyczną topologię gwiazdy (stacje robocze dołączane są odcinkami kabla do portów urządzeń aktywnych).
Ethernet Rysunek dra Roberta M. Metcalfa przedstawiający sieć Ethernet (1976).
Topologie fizyczne sieci IEEE 802.3
Ethernet przełączany (1) W topologii gwiazdy każda para komputerów połączona jest poprzez urządzenie aktywne. Nowsze urządzenia Ethernet, przeważająca większość urządzeń FastEthernet i wszystkie urządzenia 1Gb i szybsze obsługują filtrowanie ramek (switching, bridging) w oparciu o adresy MAC odbiorcy. Urządzenia takie nazywane są switchami (bridge ami wieloportowymi). Switch uczy się, do którego portu dołączona jest karta z danym adresem MAC, przypisując źródłowe adresy MAC podane w ramkach do portów, z których przychodzą te ramki. Jeśli adres MAC odbiorcy jest nieznany, ramka retransmitowana jest na wszystkich portach.
Ethernet przełączany (2) Switch może pracować w jednym z 4 trybów: cut through (najszybszy) rozpoczyna przekazywanie po przeczytaniu pierwszych 6B ramki (MAC odbiorcy), store and-forward (najbardziej niezawodny) wczytuje ramkę, sprawdza CRC i dopiero retransmituje, fragment free mieszany, adaptive.
Switch
Zalety przełączanego Ethernetu Domeny kolizji zredukowane do pojedynczych portów wyeliminowanie kolizji. Dowolna liczba urządzeń aktywnych pomiędzy dwoma komputerami. Pewien rodzaj ochrony przeciw podsłuchowi (nie jest to zabezpieczenie niezawodne). Uwaga: Ograniczenie na minimalny rozmiar ramki (64B) dalej obowiązuje ze względu na wsteczną kompatybilność.
Ataki na przełączany Ethernet MAC flooding atak powoduje przepełnienie pamięci switcha poprzez wysyłanie dużej liczby ramek z różnymi adresami MAC nadawcy. ARP spoofing (lub ARP poisoning) protokół ARP służy do uzyskania adresu MAC odbiorcy w sieci przez nadawcę. Atak polega na przesyłaniu własnego adresu MAC jako adresu odbiorcy.
Zestawienie wybranych standardów IEEE 802.3 Najbardziej popularne standardy 10Mbps to: 10base5 (802.3, 1983 rok), 10base2 (802.3a, 1985 rok), 10baseT (802.3i, 1990 rok). IEEE 802.3u (1995 rok) określa standardy 100Mbps (FastEthernet): 100baseTX, 100baseT4, 100baseFX. Pod koniec lat 90. wprowadzono standardy 1Gbps (GigabitEthernet): 1000baseX (802.3z, 1998), 1000baseT (802.3ab, 1999). Standardy IEEE 802.3 tworzone po roku 2003 definiują sieci o przepustowości 10Gbps.
Ethernet hybrydowy Segmenty w różnych standardach Ethernet mogą być łączone. Urządzenia aktywne mogą posiadać porty dla różnych standardów. Szybsze standardy są generalnie wstecznie kompatybilne; urządzenia powinny obsługiwać tzw. auto-negocjację. Typowe karty NIC obsługują standardy: 10, 10/100, 10/100/1000,... (uwaga: istnieją wyjątki!)
Kable i złącza Ethernet Skrętka: zazwyczaj: 4-parowa skrętka nieekranowana 5. kategorii (UTP cat.5 EIA/TIA-568), 8-pinowe złącza RJ-45 (schemat EIA/TIA-568B), maksymalna długość kabla: 100 (90) m., słaba odporność na zakłócenia, umiarkowana odporność mechaniczna, b. niski koszt. Światłowód: zazwyczaj: światłowód dupleksowy o średnicach 62.5/125 (62.5/125 MMF duplex), nie ma standardu złącz; ST (bagnet), SC (zatrzask), FC (gwint) i in., maksymalna długość kabla: 412 m., dobra odporność na zakłócenia, niska odporność mechaniczna, wysokie koszty montażu złącz.
Skrętka UTP
Schemat TIA568A/B
Złącza światłowodowe SC i ST
Ethernet na skrętce (10baseT) 10baseT: 10 10Mbps, base baseband, T twisted pair, 10baseT bazuje na starszym standardzie StarLAN (1base5, IEEE 802.3e). 10baseT używa okablowania UTP kat.3 i złącz RJ-45, jednak wykorzystywane są tylko dwie pary pinów: 1 i 2 (transmit) oraz 3 i 6 (receive). Komputery podłącza się do koncentratorów (hubów, repeaterów wieloportowych). Między dwoma komputerami mogą być nie więcej niż 4 huby (tzw. reguła 5-4). Domeny kolizji oddziela się switchami lub urządzeniami 3. warstwy.
Standardy FastEhernet 100baseTX jest rozszerzeniem 10baseT wymagającym okablowania UTP kat.5 (EIA/TIA568 5e). W przeciwieństwie do 10baseT nie należy przekraczać limitu 90 m. Domena kolizji może zawierać maksymalnie 2 huby, dlatego w FastEthernet generalnie używa się switchów. 100baseFX wykorzystuje kable 62.5/125 MMF i złącza ST, SC lub FC. Ze względu na większe maksymalne odległości (412 m.) i wyższe koszta mocowanie złącz standard 100baseFX stosowany jest głównie w segmentach szkieletowych LAN. 100baseT4 (b. rzadki) wykorzystuje okablowanie UTP kat.3. W przeciwieństwie do 100baseTX wszystkie 8 pinów jest wykorzystywanych.
GigabitEthernet IEEE 802.3 specyfikuje dwa standardy Ethernet 1000Mbps: IEEE 802.3ab (1000baseT) UTP cat. 5e, IEEE 802.3z (1000baseX) światłowód. Urządzenia 1000baseT powinny obsługiwać także standardy 100baseTX i 10baseT; 1000baseX standard 100baseFX.
Słowniczek patch cord elastyczny kabel UTP do połączeń: gniazdko port/nic, kabel krosowany patch cord zgodny ze schematem EIA/TIA-568B/A do bezpośredniego łączenia dwóch kart (z zamianą wejście/wyjście), okablowanie strukturalne: gniazdka, okablowanie odporniejsze na uszkodzenia mechaniczne niż patch cordy (drut vs linka), panel krosowniczy lub patch panel połączony drutem z gniazdkami. Urządzenia aktywne podłącza się do portów patch cordami, szafa krosownicza zawiera patch panele i urządzenie aktywne.
Protokół CSMA/CA Carrier Sense Multiple Access With Collision Avoidance jest protokołem synchronizacji dostępu do medium w sieciach Wireless. Hidden node problem: hosty korzystające z jednego access pointa mogą być zbyt oddalone od siebie, aby wzajemnie bezpośrednio odbierać sygnał. Wysłanie ramki poprzedza wymiana pakietów RTS/CTS (Request to Send/Clear to Send), rezerwujących medium na czas jej transmisji. Odebranie (i sprawdzenie poprawności CRC) ramki potwierdzane jest pakietem ACK.
Wireless Komunikacja Wireless może odbywać się w jednym z dwóch trybów: point-to-point lub point-to-multipoint (za pośrednictwem urządzeń access point). Popularne standardy sieci Wireless, to: 802.11b (11 Mbps, 2.4 GHz, 1999 rok), 802.11b+ (22 Mbps, standard promowany przez firmę D-Link), 802.11g (54 Mbps, 2.4 GHz, 2003 rok) kompatybilny z urządzeniami 802.11b, 802.11g+ (108 Mbps, standard promowany przez firmę D-Link), 802.11a (54 Mbps, 5 GHz, 1999/2001 rok).
Wireless cd. Urządzenia 802.11b/g pracują w zbliżonym paśmie częstotliwości do kuchenek mikrofalowych, telefonów i in., są więc podatne na zakłócenia. Wadą standardu 802.11a jest szybkie zanikanie sygnału wraz ze wzrostem odległości. Standard 802.11a jest niekompatybilny z 802.11b/g, jednakże istnieją urządzenia dwuzakresowe. Szybkość transferu w sieciach 802.11 zależna jest od siły sygnału (ang. Adaptive Rate Selection). Przykładowo: komunikacja w standardzie 802.11b może odbywać się z prędkościami 11, 5.5, 2 lub 1 Mbps.
2.4 GHz Wi-fi Channels Standardy 802.11b/g dzielą pasmo na 14, częściowo pokrywających się kanałów. Kanały 1-11 dostępne sa we wszystkich krajach, natomiast 12, 13 i 14 zależnie od kraju. Instalując kilka sieci w bliskim sąsiedztwie należy używać kanałów: 1, 6, 11 i 14 (jeśli jest dostępny). 1 2.412 2 2.417 3 2.422 4 2.427 5 2.432 6 2.437 7 2.442 8 2.447 9 2.452 10 2.457 11 2.462 12 2.467 13 2.472 14 Channel 2.484 Center Frequency (GHz) 22 MHz
Szyfrowanie danych w sieciach Wireless Sieci Wireless narażone są podobnie jak Ethernet (zwłaszcza nie switchowany) na podsłuch. WEP (Wired Equivalent Privacy), to szyfrowanie transmisji w sieciach Wireless w oparciu o algorytm RC4 i ustaloną (statyczną) parę kluczy, oraz sumę kontrolną CRC. W 2001 roku wykazano (Fluhrer, Mantin i Shamir) słabość protokołu WEP. W 2005 roku zespół FBI zademonstrował złamanie szyfru WEP w ciągu 3 minut przy wykorzystaniu publicznie dostepnych narzędzi. Protokół WPA (Wifi Protected Access) podobnie jak WEP wykorzystuje algorytm RC4, lecz roszerzony jest m.in o dynamiczne zarządzanie kluczami (Temporal Key Integrity Protocol) i inny algorytm kontroli integralności Michael. WPA powstał jako rozwiązanie tymczasowe w oparciu o fragmenty przygotowywanego standardu IEEE 802.11i.
Szyfrowanie danych w sieciach Wireless cd. WPA2 to protokół bezpiecznego transferu w sieciach Wireless w oparciu o standard IEEE 802.11i. WPA2 wykorzystuje protokół CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) implementujący algorytm AES (Advanced Encryption Standard). Wszystkie urządzenia Wi-Fi Certified wyprodukowane po 1 marca 2006 muszą wspierać WPA2. W zastosowaniach SOHO (Small Office Home Office) przeważnie korzystamy z trybu WPA-PSK (WPA with Pre-Shared Key), tj. z predefiniowanym kluczem (hasłem). Długość PSK wynosi od 8 do 63 znaków; bezpieczeństwo WPA-PSK jest silnie uzależnione od jakości PSK. Rozwiązania klasy enterprise wymagają uwierzytelnienia (serwer radius; FLOSS: freeradius).
Szyfrowanie danych w sieciach Wireless cd. Możliwe jest skonfigurowanie dostępu do AP w oparciu o adres MAC (podobną opcję można ustawić w konfiguracji bardziej zaawansowanych switchów ethernet). Rozwiązanie taki jest jednak rozwiązaniem naiwnym, ponieważ adres MAC większości kart łatwo jest zmienić na MAC innego, autoryzowanego urządzenia: # ifconfig eth0 hw ether 00:aa:bb:cc:dd:ee