Hálózati technológiák és alkalmazások Vida Rolland 2012.04.12. 1
DCF vs. PCF Két másik megoldás: DCF Distributed Coordination Function Nem használ központi vezérlést Minden megvalósításnak támogatnia kell PCF Point Coordination Function A bázisállomás segítségével vezényel minden tevékenységet a cellában Támogatása opcionális Hálózati technológiák és alkalmazások 2 2012.04.12. Mindemellett a legtöbb rádió fél-duplex, azaz nem képes egyidejűleg ugyanazon a frekvencián adni és zajlöketeket is venni, azaz nem képes a fellépő ütközéseket detektálni. Ezen problémák miatt a 802.11 az Ethernettől eltérően nem használja a CSMA/CD mechanizmust. Ehelyett két másik megoldás került kidolgozásra. A DCF (Distributed Coordination Function elosztott koordinációs funkció) mechanizmus nem használ központi vezérlést, a PCF (Point Coordination Function pont koordinációs funkció) megoldás viszont a bázisállomás segítségével vezényel minden tevékenységet a cellában. A DCF-et minden megvalósításnak támogatnia kell, a PCF támogatása viszont opcionális. 2
802.11 DCF CSMA/CA-t használ Carrier Sense Multiple Access with Collision Avoidance CSMA ütközéselkerüléssel Hálózati technológiák és alkalmazások 3 2012.04.12. A DCF mechanizmus CSMA/CA-t (Carrier Sense Multiple Access with Collision Avoidance CSMA ütközéselkerüléssel) használ, azaz az ütközéseket nem érzékelni, hanem elkerülni, megelőzni akarja. Mindehhez kétféle működési módot támogat. Az első mód a fizikai csatornaérzékelésre épít. Ha egy állomás adni akar, belehallgat a csatornába, és ha az szabad, elkezd adni. Az adó nem figyeli a csatornát adás közben, hanem csak leadja a teljes keretet, ami lehet, hogy interferencia miatt a vevőnél megsemmisül. Ha viszont foglalt a csatorna, megvárja míg az szabad lesz és akkor kezd el adni. 3
MACAW Multiple Access with Collision Avoidance for Wireless Virtuális csatornaérzékelés A szeretne küldeni B-nek C az A állomás vételkörzetében van D a B állomás vételkörzetében, de az A vételkörzetén kívül A rádiójának hatósugara B rádiójának hatósugara C A B D Hálózati technológiák és alkalmazások 4 2008.04.15. A CSMA/CA másik működési módja a MACAW (Multiple Access with Collision Avoidance for Wireless) mechanizmuson alapszik, és virtuális csatornaérzékelést használ. A MACAW működését egy példán érzékeltetjük. Legyen 4 állomásunk, az ábrán látható módon elhelyezve. A C és a B állomások az A állomás vételkörzetében vannak, a D állomás azon kívül. Ugyanakkor az A és a D állomások a B állomás vételkörzetében vannak, de a C állomás azon kívül. A megoldandó feladat: az A állomás csomagot szeretne küldeni a B állomásnak. 4
MACAW A egy RTS keretet küld B-nek, és engedélyt kér egy adatkeret küldésére Request To Send Ha B megadja az engedélyt, visszaküld egy CTS keretet Clear To Send A elküldi a keretet és elindít egy ACK időzítőt Ha B megkapja rendben az adatokat, válaszol egy ACK kerettel Ha az A időzítője lejár mielőtt megkapná az ACK-ot, újból kezdődik az egész Adat RTS C A CTS B D Hálózati technológiák és alkalmazások 5 2008.04.15. ACK Először az A állomás egy RTS (Request To Send) keretet küld a B állomásnak, és engedélyt kér egy adatkeret küldésére. Ha B úgy dönt, hogy megadja az engedélyt akkor visszaküld egy CTS (Clear To Send) keretet. A CTS vétele után az A állomás elküldi az adatkeretét és elindít egy ACK időzítőt. Ha a B állomás megkapja rendben az adatokat, válaszol egy ACK kerettel, ezzel véget vetve az üzenetváltásnak. Ha az A állomás időzítője lejár mielőtt megkapná az ACK keretet, akkor az egész eljárás újból kezdődik. 5
MACAW C hallja A-t, megkaphatja az RTS keretet Rájön, hogy nemsokára valaki adatokat fog küldeni Eláll adatküldési szándékától, amíg az üzenetváltás véget nem ér Hogy mikor lesz vége tudja az ACK időzítőből Foglaltra állít magának egy virtuális csatornát NAV Network Allocation Vector D nem hallja az RTS-t, de a CTS-t igen Ő is beállítja magának a NAV-ot A NAV belső emlékeztető hogy csendben kell lenni, nem küldik el C A RTS NAV Adat B CTS ACK NAV D Idő Hálózati technológiák és alkalmazások 6 2008.04.15. Nézzük most az A és a B állomások közötti üzenetváltást a c és a D állomások szemszögéből. A C állomás az A állomás rádiósugarán belül van, így megkaphatja az RTS keretet. Ha ez történik rájön, hogy nemsokára valaki adatokat fog küldeni. Így aztán mindenki érdekében eláll adatküldési szándékától, amíg az üzenetváltás véget nem ér. Az erre vonatkozó információkat (például az ACK időzítő értékét) az RTS keretből ki tudja nyerni. A C állomás úgy szabályozza saját adatküldését, hogy foglaltra állít magának egy egyfajta virtuális csatornát, melyet NAV-nak (Network Allocation Vector hálózatkiosztási vektor) hívunk. A C állomástól eltérően a D állomás nem hallja az RTS keretet, de a válaszként küldött CTS keretet igen. Így ő is beállítja magának a NAV-ot, az ACK időzítő lejártáig. Meg kell jegeyzeni, hogy ezeket a NAV jeleket az állomások nem adják le, azok csak belső emlékeztetőként szolgálnak, hogy bizonyos ideig csendben kell maradni. 6
Fragment burst Vezeték nélküli hálózatokban nagy zaj, nagy csomagvesztés Minél nagyobb egy keret, annál nagyobb a valószínűsége a hibának A kereteket fel lehet darabolni Ha RTS/CTS-el megszerzi a csatornát, több részt küldhet egymás után Fragment burst - részlöket Nő az átbocsátóképesség Ha hiba van, nem kell a teljes keretet újraküldeni A NAV eljárás csak az első részre kerüli el az ütközést C Más megoldásokkal egy teljes részlöket átküldhető ütközés nélkül Részlöket NAV A RTS 1. rész 2. rész 3. rész B CTS ACK ACK ACK NAV D Idő Hálózati technológiák és alkalmazások 7 2008.04.15. A vezetékes hálózatokkal ellentétben a vezeték nélküli hálózatok zajosak és viszonylag nagy a csomagvesztési arányuk. Ez nagyrészt az ISM sávban használt más eszközökkel való interferenciáknak köszönhető. Ebből kifolyólag, minél nagyobb egy keret, annál nagyobb a valószínűsége a hibának, ami újraküldést eredményez majd, pazarolva a sávszélességet. Éppen ezen zajos csatornák kezelésének érdekében a 802.11 szabvány lehetővé teszi, hogy a kereteket kisebb részekre darabolják, és minden résznek meglegyen a saját ellenőrző összege. A részeket egyenként számozzák és nyugtázzák, az adó nem küldi el a következő részt ameddig az előbbit nem nyugtázták. Célszerű azonban a csatornakiosztáshoz szükséges csomagok számát korlátozni. Ezért ha valaki RTS/CTS-el megszerezte a csatornát, több részt küldhet egymás után újabb RTS/CTS üzenetváltás nélkül. A részek ezen sorozatát részlöketnek (fragment burst) hívjuk. A részekre szabdalás által nő a csatorna átbocsátóképessége, hiszen ha egy hiba történik, nem kell a teljes keretet újraküldeni. A szabvány nem rögzíti a részek méretét, ezt minden cellában a bázisállomás állítja be. A NAV eljárás csak az első részre kerüli el az ütközést, más megoldásokkal azonban egy teljes részlöket is átküldhető ütközés nélkül. 7
802.11 PCF A bázisállomás vezérli a kommunikációt Nincsenek ütközések Körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük A szabvány csak a körbekérdezés menetét szabályozza Nem szabja meg annak gyakoriságát, sorrendjét Nem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie A bázisállomás periódikusan elküld egy beacon frame-et 10-100 beacon/s Rendszerparamétereket tartalmaz Ugrási sorozatok és tartózkodási idő (FHSS-nél), óraszinkronizáció, stb. Ezzel hívja az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez A bázisállomás utasíthatja az állomásokat, menjenek készenléti állapotba Addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket Kíméli az állomások akkumulátorát A bázisállomás puffereli a készenléti állapotban lévőknek szánt kereteket Hálózati technológiák és alkalmazások 8 2008.04.15. Eddig a 802.11 DCF üzemmódjáról beszéltünk, ahol nincs központi vezérlés, és az állomások versenyeznek a csatornáért, úgy mint az Etherneten. A másik lehetséges üzemmód a PCF (Point Coordination Function), melyben a bázisállomás vezérli a kommunikációt, ezzel elkerülvén az ütközések lehetőségét. A bázisállomás körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük. A szabvány csak a körbekérdezés menetét szabályozza, de nem szabja meg annak gyakoriságát vagy sorrendjét, és azt sem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie. A bázisállomás periódikusan (másodpercenként 10-100 alkalommal) elküld egy speciális keretet, melyet beacon frame-nek hívunk. Ez a keret olyan rendszerparamétereket tartalmaz, mint például az ugrási sorozatok és tartózkodási idők (FHSS-nél), az óraszinkronizációhoz szükséges adatok, stb. Ezzel a kerettel hívja meg a bázisállomás az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez. Ha valaki feliratkozik a körbekérdezésre egy adott sebességgel, akkor gyakorlatilag garantáltan megkapja a sávszélesség egy adott hányadát, azaz szolgáltatásminőségi garanciákat is kaphat. Vezeték nélküli eszközöknél az akkumulátorok élettartama egy nagyon fontos szempont, ezért a 802.11 szabvány külön figyelmet fordított az energiahatékony mechanizmusok támogatására. A bázisállomás például utasíthatja az állomásokat, hogy menjenek készenléti állapotba, addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket, ezzel is kímélve az állomások akkumulátorát. Ez ugyanakkor azzal jár, hogy a bázisállomásnak pufferelnie kell a készenléti állapotban lévő állomásnak szánt kereteket. Ezeket majd egy későbbi időpontban fogja kézbesíteni. 8
PCF vs. DCF A PCF és a DCF egy cellán belül egyszerre is működhet Egyszerre elosztott és központosított vezérlés? Gondosan definiálni kell a keretek közti időintervallumot Egy keret elküldése után kell egy holtidő, mielőtt bárki elkezdene küldeni valamit Négy ilyen intervallumot rögzítettek SIFS Short Inter-Frame Spacing A legrövidebb intervallum, a rövid párbeszédet folytatókat részesíti előnyben A SIFS után a vevő küldhet egy CTS-t egy RTS-re Egy vevő küldhet egy ACK-ot egy részre vagy a teljes keretre A részlöket adója elküldheti az újabb részt, új RTS nélkül SIFS Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet ACK Hálózati technológiák és alkalmazások 9 2012.04.12. Idő A PCF és a DCF egy cellán belül akár egyszerre is működhet. Elsőre ez furcsának tűnhet, hiszen az egyik az elosztott, a másik a központosított vezérlésre épül. Mégis lehet a kettőt párhuzamosan használni, mégpedig úgy, hogy gondosan definiálniuk kell a keretek közti időintervallumot. Az egyes keretek elküldése után egy bizonyos holtidőt iktatunk be, csak ennek lejártával kezdhet bárki is újabb kereteket küldeni. A 802.11 szabvány négy ilyen intervallumot rögzített. A legrövidebb intervallum a SIFS (Short Inter-Frame Spacing rövid keretek közötti időköz). Ez az intervallum a rövid párbeszédet folytató állomásokat részesíti előnyben. Egy vevő aki egy RTS keretet kapott a SIFS lejárta után válaszolhat egy CTS kerettel. Ha viszont egy adatkeretet kapott, akkor a SIFS lejárta után egy az adott részre vagy a teljes részlöketre vonatkozó ACK keretet küldhet. Ugyanakkor a részlöket adója ha kap egy ilyen ACK keretet, akkor a keretet követő SIFS lejárta után elküldheti az újabb részt anélkül, hogy új RTS keretre szükség lenne. 9
PCF vs. DCF PIFS PCF Inter-Frame Spacing PCF keretek közti időköz A SIFS után mindig egyvalaki adhat csak Ha ezt nem teszi meg a PIFS végéig, a bázisállomás elküldhet egy új beacon-t vagy egy lekérdező keretet Az adatkeretet vagy részlöketet küldő nyugodtan befejezheti a keretet A bázisállomásnak is van alkalma magához ragadnia a csatornát Nem kell a mohó felhasználókkal versengenie érte SIFS Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet Itt lehet elküldeni a PCF kereteket PIFS ACK Hálózati technológiák és alkalmazások 10 2012.04.12. Idő Egy SIFS intervallum után mindig egyvalaki adhat csak (a rövid párbeszédet folytató két állomás egyike). Ha ezt ez a bizonyos állomás nem teszi meg a PIFS (PCF Inter-Frame Spacing PCF keretek közti időköz) intervallum végéig, az azt jelentheti, hogy befejezte az adott részlöket küldését. Ebben az esetben a bázisállomás megkapja a lehetőséget hogy elküldjön egy új beacon-t vagy egy lekérdező keretet. Az adatkeretet vagy részlöketet küldő állomásnak van tehát lehetősége nyugodtan a kerete végére érni, de ugyanakkor a bázisállomásnak is van alkalma magához ragadni a csatornát anélkül, hogy a mohó felhasználókkal versengenie kellene érte. 10
PCF vs. DCF DIFS DCF Inter-Frame Spacing DCF keretek közti időköz Ha a bázisállomásnak nincs mondanivalója, a DIFS elteltével bárki megpróbálhatja megszerezni a csatornát Szokásos versengési szabályok Kettes exponenciális visszalépés ütközés esetén EIFS Extended Inter-Frame Spacing Olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni Legalacsonyabb prioritás ACK SIFS Itt lehet elküldeni a vezérlőkeretet vagy a következő részkeretet Itt lehet elküldeni a PCF kereteket PIFS DIFS EIFS Itt lehet elküldeni a DCF kereteket Itt kezdődhet a hibás keretek javítása Id ő Hálózati technológiák és alkalmazások 11 2008.04.15. Ha a bázisállomásnak nincs mondanivalója, a DIFS (DCF Inter-Frame Spacing - DCF keretek közti időköz) intervallum elteltével bárki megpróbálhatja megszerezni a csatornát egy új csomag elküldéséhez. Ilyenkor a szokásos versengési szabályok lépnek életbe és ütközés esetén a CSMA/CD-nél használt kettes exponenciális visszalépést alkalmazzák. Az utolsó időköz az EIFS (Extended Inter-Frame Spacing kiterjesztett keretek közötti idő). Ezt olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni. Ennek az eseménynek a legalacsonyabb a prioritása, hiszen elképzelhető hogy egy új vevő pont most csatlakozott, és fogalma sincs mi történik körülötte. Ez esetben pedig célszerű ha egy ideig várakozik, hogy ne zavarjon még egy más állomások között folyó párbeszédet. 11
Hotspot Egy adott földrajzi terület, ahol egy hozzáférési pont segítségével publikus szélessávú internet hozzáférést biztosítanak mobil felhasználók számára egy WLAN-on keresztül Általában forgalmas helyeken reptér, pályaudvar, bevásárlóközpont, könyvtár, szállodák, stb. Viszonylag kis területek Hotspot keresők Hálózati technológiák és alkalmazások 12 2008.04.15. Hotspotnak hívunk egy olyan adott földrajzi területet, ahol egy hozzáférési pont (Access Point) segítségével publikus szélessávú internet hozzáférést biztosítanak mobil felhasználók számára, egy vezeték nélküli helyi hálózaton keresztül. Ezen hotspotok használata lehet ingyenes vagy fizetős, ha pedig fizetős akkor azon belül lehet havidíjas előfizetés alapú, vagy használhat forgalomtól függő térítést. A hotspotokat általában forgalmas helyeken szokták kiépíteni: reptereken, pályaudvarokon, bevásárlóközpontokban, könyvtárakban, szállodákban, stb. Ezek általános jellemzője hogy viszonylag kis területet fednek le. Mindemellett ma a nagyobb amerikai városokban, de már Budapesten is, néhol annyira sűrűek a hotspotok, hogy a lefedett területek összeérnek. Nagyon sok cég előállt már a piacon úgynevezett hotspot keresőkkel. Ezek olyan kisméretű, intelligens eszközök melyek képesek venni a különböző hozzáférési pontok jeleit; a felhasználó csak sétál a városban, vagy ül az autójában, és amint egy hotspot területére ér, a kereső jelzi azt neki. 12
Hotspot-ok Magyarországon Hotspotter.hu Magyarországi hotspot adatbázis > 1100 hotspot, >120 városban Budapest (567), Siófok (32), Sopron (32), Eger (28), stb. étterem (280), hotel (204), kávézó (113), üzlet/bevásárlóközpont (91) közterület (30), iskola/egyetem (20), stb. Nagyobb szolgáltatók: Fizetős: T-Com, Wiera, T-Mobile Ingyenes: HuWiCo FON hotspotok HuWiCo Hungarian Wireless Community Non-profit közösség Vezeték nélküli technológiák terjesztése, népszerűsítése Egy ingyenes Wi-Fi hálózat kiépítése (41 hotspot) Hálózati technológiák és alkalmazások 13 2012.04.12. Magyarországon a hotspotok egyre inkább kezdenek elterjedni és népszerűvé válni. A Hotspotter.hu egy olyan on-line adatbázist tart karban, melyben megtalálható az ország területén működő összes hotspot. Ma (2006 április 3-án) Magyarországon 776 hotspot működik az ország 118 városában (vagy legalábbis ennyiről tud a Hotspotter). Ezeknek közel fele Budapesten működik (363), de több más nagyvárosban is jelentős számú hotspot található:sopron (22), Eger (19), Pécs (19), stb. A hotspotok nagy része éttermeket (239) és szállodákat (178) fed le, de számos kávézóban (92), üzletben illetve bevásárlóközpont (86), közterületen (25), és iskolában/egyetemen (19) is elérhető hasonló szolgáltatás. A magyar piacon jelenleg a legnagyobb hotspot üzemeltető szolgáltatók (WISP Wireless Internet Service Provider) a T-Com, Wiera, T-Mobile és a HuWiCo. Ezek közül az első három fizetős hozzáférést biztosít, az utolsó viszont ingyeneset. Más szolgáltatók viszont megszüntették hotspotjaikat (például a Vodafone a Sport Arénában), vagy nem fejlesztették tovább azokat (például a Pannon). Úgy tűnik, hogy Magyarországon a hotspotok üzemeltetését még nem tartják kifizetődő megoldásnak, és inkább a 3G-ben látják a gazdasági lehetőségeket. A Magyarországi WLAN rendszerekről azonban nem teljes a kép, ha nem szólunk pár szót kiemelten a HuWiCo-ról (Hungarian Wireless Community). Ez egy non-profit közösség, melynek célja a vezeték nélküli technológiák terjesztése, népszerűsítése, és egy minél nagyobb kiterjedésű ingyenes Wi-Fi hálózat kiépítése. Jelenleg több mint 30 ingyenes hotspottot üzemeltetnek az országban. 13
Hotspot-ok Budapesten Hálózati technológiák és alkalmazások 14 2012.04.12. Ezen a térképen a Budapest belvárosában üzemelő hotspotokat tüntették fel. A sárga pöttyök az ingyenes, míg a a kék pöttyök a térítéses hotspotokat jelzik. A Hotspotter.hu honlapon az összes feltüntetett hotspotról részletes információt is megtudhat az érdeklődő. 14
WLAN rendszerek külföldön MobileStar 1996-ban alapították Az egyik első hotspot üzemeltető Az egész USA-ban kiterjedő hálózat Wi-Fi hotspot-ok a Starbucks Coffee láncban 2001-ben megvásárolja a VoiceStream Wireless Cometa Networks Az AT&T, az IBM és az Intel közös vállalkozása McDonalds éttermekben 1 órás ingyenes hozzáférés minden menühöz 2004-ben a McDonalds a Wayport-ot bízza meg egy WiFi hálózat kiépítésével A Cometa bezár Hálózati technológiák és alkalmazások 15 2012.04.12.
Wayport hálózat Több mint 12.000 hotspot, 35 országban Hálózati technológiák és alkalmazások 16 2008.04.15.
Boingo WLAN rendszerek külföldön A világ (egyik) legnagyobb hotspot szolgáltatója Több mint 100.000 hotspot Több mint 10.000 Angliában és Oroszországban Magyarországon 143 $21.95 korlátlan havi előfizetés ipass Több mint 90.000 hotspot, a világ 70 országában Több mint 40.000 Európában, 75 Budapesten Rengeteg más szolgáltató nagy hotspot hálózattal Korea Telecom, Metronet, Netcheckin, NTT DoCoMo, SingTel, Sonera, Starhub, stb. Hálózati technológiák és alkalmazások 17 2008.04.15.
WLAN rendszerek külföldön Önkormányzati hálózatok Sok amerikai városban terveznek önkormányzati forrásokból a város teljes területét lefedő WiFi hálózatot létrehozni Los Angeles, Boston, Philadelphia, stb. Budapesten is? Sokan ellenzik az ötletet Sokba kerül, az adófizetők pénzéből Az önkormányzati források szűkösek, sok mást lehetne csinálni a pénzzel A technológia hamar elavulhat, anélkül hogy a befektetés megtérülne Rossz hatással lenne a helyi, kis szolgáltatókra Sokak szerint gazdasági fellendülést hozhat egy városnak a WiFi lefedettség A közvetlen kapcsolat nem bizonyított B. Cox, et. al, Not In The Public Interest - The Myths of Municipal Wi-Fi Wireless Networks, Why Municipal Schemes To Provide Wi-Fi BroadBand Services Are Ill-Advised, New Millennium Research Council, Wash. D.C. Feb. 2005. http://www.heartland.org/custom/semod_policybot/pdf/17737.pdf Hálózati technológiák és alkalmazások 18 A vezeték nélküli internet elérést biztosító minél szélesebb hálózat kiépítése egy olyan szolgáltatás, melyet sok országban fontos stratégiai célkitűzésként kezelnek. A Fessel Gfk osztrák cég 2005 decemberében nyilvánosságra hozott adatai szerint Macedónia például Európa egyik legelmaradottabb országa a rendszeres internetfelhasználók számát tekintve. Mindemellett ma az ország már azzal büszkélkedik, hogy sikerült Európa egyik legnagyobb WiFi hálózatot kiépíteniük, melynek segítségével a lakosság 95%-a hozzáférhet az Internethez. Mindezt számos WiFi hotspot kiépítésével és mesh hálózati technológiákat használva érték el. A sikerhez nagymértékben hozzájárult az is, hogy 2004 december 31-ével felszámolták az inkumbens szolgáltató, a MakTel monopóliumát, versenyhelyzetet teremtve ezzel az internetes hozzáférés piacán. A Fessel Gfk tanulmányáról beszélve meg kell említnünk azt is, hogy Magyarország is elég hátul helyezkedik el a rendszeres internetfelhasználók számát nézve, 29. helyen a vizsgált 37 ország között, és azon belül utolsó helyen az uniós tagállamok között. A tanulmány szerint Magyarországon a lakosság mindössze 33,2%-a használja legalább havi rendszerességgel az Internetet. A minél szélesebb körű vezetéknélküli internetelérési lehetőség mindenképp pozitív hatással lehet egy ország vagy egy város gazdasági fejlődésére. Minél több on-line információ és szolgáltatás válik minél egyszerűbben elérhetővé egy minél nagyobb felhasználói kör részére annál jelentősebb lehet az ezt biztosító technológia sikere, hatékonysága. Éppen ezért sok amerikai város vezetősége döntött úgy, vagy gondolkodik azon, hogy önkormányzati forrásokból a város teljes területét lefedő WiFi hálózatot hozzanak létre. Ilyen kezdeményezéseket megfogalmaztak Los Angelesben, Bostonban, Philadelphiában, stb. Az elgondolásnak azonban több ellenzője is van. A hivatkozott tanulmány szerzői szerint például egy önkormányzati hálózat kiépítése jelentősen megterhelné az adófizetőket, károsan hatna a hagyományos szolgáltatókkal folytatott versenyre, nehézzé tenné a technológia lecserélését ha az elavulttá válna és nincs garancia arra, hogy a befektetett tőke elég gyorsan megtérülne. 18
P2P alapú WiFi hálózat Központosított, egységes rendszer helyett bízzuk a felhasználókra Pl. a FON nevű spanyol cég kezdeményezése A Google és a Skype támogatásával (21.7 millió dollár, 2006 február) Miért fizess egy hotspot-os hozzáférésért, ha már otthon van egy előfizetésed? Speciális WiFi router (La Fonera) Kezdetben 5 $ vagy 5, ma már 29.95 Cserébe aktiválni kell a FON szolgáltatást Meg kell osztani a hozzáférést Hálózati technológiák és alkalmazások 19 A másik érdekes alternatív a peer-to-peer (P2P) alapú WiFi hálózatok létrehozása. Ennek a lényege az, hogy egy önkormányzat vagy egy szolgáltató központosított, egységes és általában drága rendszerei helyett bízzuk a felhasználókra egy széles körű WiFi hálózat kiépítését. Ilyen ötlettel ált elő például a FON nevű spanyol cég, a Google és a Skype több millió dolláros támogatásával, de Magyarországon is volt egy hasonló kezdeményezés. A megoldás viszonylag egyszerűnek tűnik. Minden felhasználó (peer) vesz egy wireless routert, melynek segítségével kibővíti a már meglévő saját vezetékes internet hozzáférését, létrehozva egy mini hotspotot. Ha a hozzáférést ehhez a saját hotspothoz megosztja másokkal, akkor ő is ingyenesen hozzáfér a többi peer hotspotjához, mindezt ingyen. Létezik persze annak a lehetősége is, hogy ha akar, pénzt kérjen a megosztásért. Ez esetben nyílván ő sem használhatja majd ingyen mások hozzáférését. Másrészről az alkalmi felhasználók is fizetnének a csatlakozásért. Az ötletnek az Internetszolgáltatók valószínűleg nem fognak örülni, hiszen a jelenlegi szabályozások és szerződések általában nem engedélyezik a hozzáférés megosztását. Lehet azonban, hogy mégis megérné a szolgáltatóknak ezt a megoldást támogatni, hiszen egyrészről részesülhetnének a bevétel egy részéből, másrészről pedig minden felhasználó (peer) amúgy is fizetne a vezetékes hozzáférésért amit megoszt. 19
FON Három fajta FON felhasználó Linus A saját vezetékes internet hozzáférését kibővíti egy mini hotspottal Ha azt megosztja, ő is ingyenesen hozzáfér a többi peer hotspotjához Alien Nem tudja/akarja megosztani a hozzáférését, de használni akarja a FON hálózatot Alkalmi felhasználó, fizetni fog Bill Olyan felhasználó, akit nem érdekel az ingyenes roamingolás Megosztja a hozzáférését, de roamingolás helyett pénzt kap cserébe Az ő hozzáférését használó Alien-ek által fizetett összeg felét Hálózati technológiák és alkalmazások 20
Hálózati technológiák és alkalmazások 21
P2P alapú WiFi hálózat Az Internet szolgáltatók nem fognak örülni Általában nem engedélyezik a megosztást Ha megosztom a szomszédommal, elesnek egy potenciális előfizetőtől Még kevésbé szeretik ha valaki viszonteladó lesz (Bill) Lehet hogy mégis megérné nekik Kaphatnának egy részt a bevételből Minden peer amúgy is fizetne a vezetékes hozzáférésért amit megoszt Annál hatékonyabb, minél több előfizető ma több mint 5 millió Biztonsági kérdések Ki a felelős az esetleges illegális letöltésekért melyek a WiFi routeremen keresztül mennek? Két külön jel, az egyik saját, a másik publikus Hálózati technológiák és alkalmazások 22 A másik érdekes alternatív a peer-to-peer (P2P) alapú WiFi hálózatok létrehozása. Ennek a lényege az, hogy egy önkormányzat vagy egy szolgáltató központosított, egységes és általában drága rendszerei helyett bízzuk a felhasználókra egy széles körű WiFi hálózat kiépítését. Ilyen ötlettel ált elő például a FON nevű spanyol cég, a Google és a Skype több millió dolláros támogatásával, de Magyarországon is volt egy hasonló kezdeményezés. A megoldás viszonylag egyszerűnek tűnik. Minden felhasználó (peer) vesz egy wireless routert, melynek segítségével kibővíti a már meglévő saját vezetékes internet hozzáférését, létrehozva egy mini hotspotot. Ha a hozzáférést ehhez a saját hotspothoz megosztja másokkal, akkor ő is ingyenesen hozzáfér a többi peer hotspotjához, mindezt ingyen. Létezik persze annak a lehetősége is, hogy ha akar, pénzt kérjen a megosztásért. Ez esetben nyílván ő sem használhatja majd ingyen mások hozzáférését. Másrészről az alkalmi felhasználók is fizetnének a csatlakozásért. Az ötletnek az Internetszolgáltatók valószínűleg nem fognak örülni, hiszen a jelenlegi szabályozások és szerződések általában nem engedélyezik a hozzáférés megosztását. Lehet azonban, hogy mégis megérné a szolgáltatóknak ezt a megoldást támogatni, hiszen egyrészről részesülhetnének a bevétel egy részéből, másrészről pedig minden felhasználó (peer) amúgy is fizetne a vezetékes hozzáférésért amit megoszt. 22
A kaotikus hálózatépítés hátrányai Több kaotikus módon létrehozott hotspot összekötése Nem egy tervezett hálózat Néhol nagyon sűrű, máshol gyér Interferenciák a sűrűn lehelyezett AP-k között Az AP-kat nem konfigurálják ezek minimalizálására Nem egy menedzselt hálózat A hotspotok menedzselése, karbantartása nincs összehangolva SSID, biztonsági intézkedések, AP-k elhelyezése, teljesítményszabályozása Legtöbben az alapbeállításokat használják pl. a csatornaválasztásnál Legtöbb eszköz a 6-os csatornán Egy önmenedzselő megoldás nagyban javítaná a hozzáférés minőségét Hálózati technológiák és alkalmazások 23 Az úgynevezett kaotikus hálózatépítésnek is vannak viszont hátrányai. Egy kaotikus hálózaton először is egy több hotspot ad-hoc módú összekötésével létrejött hálózatot értünk, egy olyan hálózatot mely nem tervezett és nem menedzselt. Megfigyelhető, hogy ezekre a hálózatokra jellemző a heterogeneitás, néhol nagyon sok AP, nagyon sok hotspot van, máshol viszont gyér a hálózat. Az AP-k kvázi véletlenszerű, nem összehangolt lehelyezésének egyik legnagyobb hátránya nyílván az, hogy interferenciák léphetnek fel a sűrűn lehelyezett AP-k között. Ha figyelembe vesszük, hogy csak 2004 harmadik félévében 4.5 millió AP-t adtak el a világban, és hogy az eladások egyre csak növekednek, akkor világossá válik, hogy erre a problémára oda kell figyelni. Azt is fontos megjegyezni, hogy a felhasználók ritkán vagy egyáltalán nem szokták bekonfigurálni a hozzáférési pontjaikat kisebb teljesítményekre, még akkor sem ha a környezetükben nagyon sok, mások által használt AP van. A kaotikus hálózatok egyik másik fontos ismérve, hogy nem menedzseltek. A hotspotok menedzselése, karbantartása nincs összehangolva, a felhasználók nem tudnak vagy nem akarnak foglalkozni az olyan alapvető kérdésekkel sem mint az SSID-k (Service Set Identifier cella azonosító) beállítása, a legalapvetőbb biztonsági intézkedések betartása, az AP-k átgondolt elhelyezése, vagy teljesítményük szabályozása. A legtöbb felhasználó a gyári alapbeállításokat használják, például a csatornaválasztásnál a legtöbb eszköz a 6-os csatornán próbál majd kommunikálni. Több kutatási eredmény is bizonyítja azonban, hogy egy jól átgondolt és kidolgozott önmenedzselő megoldás nagyban javítaná a hozzáférés minőségét. 23
A kaotikus hálózatépítés hátrányai Tanulmány a kaotikus hálózatépítésről: Aditya Akella, Glenn Judd, Srinivsan Seshan, and Peter Steenkiste. Self-Management in Chaotic Wireless Deployments, Proc. of ACM Mobicom 2005. Aug. - Sept. 2005, Cologne, Germany Több amerikai városra vonatkozó AP adatbázis alapján GPS koordináták minden AP-ra 50 méteres interferencia határ Ha két AP ennél közelebb, akkor szomszédok Hálózati technológiák és alkalmazások 24 A Self-Management in Chaotic Wireless Deployments című tavaly megjelent tanulmány például pont ezzel a kérdéssel foglalkozik. Először is különböző mérési eredményeket közölnek, több amerikai városra vonatkozó AP adatbázis alapján, melyek tartalmazzák a hozzáférési pontok azonosítóit és a GPS koordinátáit. A szerzők egy 50 méteres interferencia határt vesznek alapul: ha két AP ennél közelebb, akkor szomszédok -nak tekintik őket. A táblázat azt mutatja, hogy a maximális szomszédossági index akár 80 felett is lehet, azaz Bostonban olyan AP-k is vannak lehelyezve, melyeknek több mint 80 másik AP van az 50 méteres környezetükben. Az interferenciák elkerülése ilyen esetben természetesen lehetetlen. A grafikon pedig azt mutatja, hogy habár az AP-k nagy rész kevés szomszéddal rendelkezik, nagyon nagy azon hozzáférési pontok száma ahol jelentős számú más AP van a közelben. Ha figyelembe vesszük azt, hogy az ISM sávban tulajdonképpen csak 3 DSSS csatorna fér el interferencia nélkül, akkor megállapíthatjuk hogy az AP-k jelentős része nagy interferenciára számíthat, hiszen jóval több mint 3 szomszédja van. 24
Egymást zavaró technológiák Nem csak a közeli 802.11b eszközök zavarják egymást A Bluetooth és a 802.11b ugyanazt a 2.4 GHz-es ISM sávot használja Az FHSS-t használó rendszerek (pl. Bluetooth) ki tudják szűrni a zavart frekvenciasávokat Úgy állítják be a frekvenciaugratást hogy ne legyen gond A DSSS-t használó megoldások (pl. 802.11b) érzékenyebbek Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz beugrik a frekvenciatartományba Az RTS/CTS sem zárja ki a zavarást Egy lefoglalt adósávba is beugorhat egy Bluetooth eszköz Mikrohullámú sütők, orvosi műszerek, stb. is az ISM sávban Hálózati technológiák és alkalmazások 25 De nem csak az egymáshoz közel álló 802.11b eszközök zavarják egymást, hanem a többi 2.4 GHz-es ISM sávot használó technológia is, mint például a Bluetooth. Érdekes különbség, hogy a Bluetooth-hoz hasonló FHSS-t használó rendszerek ki tudják szűrni a zavart frekvenciasávokat, hiszen úgy állítják be a frekvenciaugratást hogy ne legyen gond. A DSSS-t használó megoldások viszont (pl. 802.11b) érzékenyebbek. Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz beugrik a frekvenciatartományba. Ezt a zavarást az RTS/CTS mechanizmus sem zárja, hiszen egy lefoglalt adósávba is beugorhat egy Bluetooth eszköz. Különböző interferencia mérési eredmények alapján megállapítható, hogy ha egy Bluetooth eszköz 10 cm-nél közelebb van egy 802.11b eszközhöz, annak a 802.11b eszköznek teljesen megszakad a kiépített kapcsolata. Ha 1 méteren belül van a Bluetooth eszköz, akkor a zavarás gyengébb, de még ekkor is 50%-os csomagvesztést eredményez. Mindez fordítva is igaz, habár a Bluetooth jobban reagál a zavarásra, és képes jóval kisebb csomagvesztéssel működni. A Bluetooth eszközök mellett pedig meg kell említenünk a mikrohullámú sütőket is, és a különböző orvosi műszereket, melyek szintén az ISM sávban működnek, és jelentős interferenciát generálhatnak. 25
Biológiai kockázatok A WLAN új technológia Legfejlettebb helyeken is csak 98 után terjedt el A távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett nem tesztelték A 2.4 GHz-es tartomány biológiailag veszélyes Nagy teljesítményen koagulálja az emberben is lévő fehérjéket Így működik a mikrohullámú sütő, de nagyságrendekkel nagyobb teljesítménnyel (750-800 W) A teljesítményt szabályozzák Az USA-ban 1000 mw max sugárzási teljesítmény Európában 100 mw Hálózati technológiák és alkalmazások 26 Végül essék szó a vezetéknélküli megoldások biológiai kockázatairól is. A kérdés nem teljesen tisztázott, többek között azért, mert a WLAN egy viszonylag új technológia, a legfejlettebb helyeken is csak 98 után terjedt el, így mélyremenő és hosszú távú hatásvizsgálatokat még nem tudtak végezni a kutatók. Másrészről a távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett, mint amilyen a WLAN eszközökre jellemző, még nem tesztelték. Igaz persze, hogy a 2.4 GHz-es tartomány biológiailag veszélyes, hiszen a nagy teljesítményen kibocsátott hullámok koagulálják az emberben is lévő fehérjéket. Ilyen alapon működik maga a mikrohullámú sütő is, de nagyságrendekkel nagyobb teljesítménnyel (750-800 W). Ezzel szemben a WLAN rendszerek teljesítményét erősen szabályozzák: az USA-ban 1000 mw a maximális sugárzási teljesítmény, Európában 100 mw, Japánban még ennél is kisebb. 26
Vezetéknélküli és vezetékes biztonság A vezetéknélküli hálózatok lehetőséget adnak Észrevétlen lehallgatásokra Csomagok észrevétlen beszúrására Éppen ezért kiemelten fontos: Hozzáférés-védelem (hitelesítés) Adatkapcsolat titkosítása A vezetékes hálózaton fizikai hozzáférés is kell a támadáshoz A biztonsági célok hasonlóak, de a fizikai hozzáférés hiánya miatt kevesebbet törődünk vele Hálózati technológiák és alkalmazások 27 A vezetéknélküli biztonság leginkább abban tér el a vezetékes biztonságtól, hogy magához a rádiós közeghez a vezetékes közeggel ellentétben észrevétlenül és viszonylag egyszerű módon hozzá lehet férni. A hozzáféréssel lehetőség nyílik csomagok lehallgatására és akár meghamisított csomagok beszúrására is. Mivel így a fizikai réteg nem biztosít hozzáférés védelmet, sem titkosítást ezért ezeket a funkciókat a biztonság érdekében a felsőbb rétegekben kell megoldani. A vezetékes hálózatok esetén a kábelezés már megold egy alapvető hozzáférés védelmet, azonban önmagában ez sem tekinthető biztonságosak. Megfigyelhető, hogy a pl. a 802.1X hozzáférés védelemi megoldás (lásd később részletesen) is megjelenik vezetékes környezetben, azonban gyakorlati alkalmazása inkább csak a vezetéknélküli hálózatok esetében van. 27
A vezetéknélküli hálózatok ellenségei Wardriving Behatolás idegen hálózatokba Autóból WLAN vadászat Rácsatlakozás a szomszédra Ingyen Internet az utcán Szolgálatmegtagadás Frekvenciatartomány zavarása (jamming) DoS támadás Evil Twin Hamis AP felállítása Felhasználók adatainak gyűjtése Visszaélés más személyiségével A támadó visszatereli a forgalmat az eredeti hálózatba A felhasználó nem érzékeli Lehallgatás Hálózati technológiák és alkalmazások 28 A vezetéknélküli hálózatokat több támadás is érheti. Ezen támadások közül a legnépszerűbbek külön nevet is kaptak. Wardriving A wardriving során a támadó célja, hogy behatoljon egy vezetéknélküli hálózatba és ott kihasználva a hálózat esetleges Internet csatlakozását, ő maga ingyen Internethez juthasson. A támadásokat legtöbbször leparkoló gépkocsiból ülve indítják, innen ered az elnevezés. A gépkocsi belső terében található egy WLAN képes laptop és egy jelerősítésre szolgáló antenna. Evil twin Az evil twin a gonosz iker. A támadó célja, hogy megtévessze a felhasználókat és ők így az eredeti hozzáférési pont helyett a támadóhoz csatlakozzanak. A támadó ezért felveszi a megtámadott hozzáférési pont azonosítóját. A támadás során a támadó visszatereli az eredeti hálózatba a forgalmat, annak érdekében, hogy a felhasználó semmit se vegyen észre, azonban a forgalom-továbbítás során ellopja a felhasználó értékes adatait, amelyek segítségével a későbbiekben megszemélyesítheti a felhasználót. A támadások közé tarozik még a szolgálatmegtagadás, amikor a hozzáférési pontot megbénítják. A megbénítás történhet a fizikai rétegen keresztül zavarással (jamming), de akár magasabb rétegeket is kihasználhat a támadó. A lehallgatás során a támadó belehallgat a hálózatba és próbál mások kommunikációjából értékes adatokat szerezni. 28
Fizikai korlátozás A támadónak hozzáférés szükséges a hálózathoz Ha a vezetéknélküli hálózatot be lehet határolni, akkor a támadókat ki lehet zárni Gyakorlatban kerítés vagy vastag betonfal Nem biztonságos! A támadó bejuthat a hálózat területére Nagyobb antennát alkalmazhat Hálózati technológiák és alkalmazások 29 A hozzáférés-védelem egyik megoldása, amikor fizikailag korlátozzák a vezetéknélküli hálózatok kiterjedését. A korlátozás során a támadó távol kerül a hálózattól, így nem képes a forgalomba belehallgatni vagy beleavatkozni. Kültéri használat esetén a hálózat határa körülbelül egy 100 m sugarú kör, beltérben és tereptárgyak hatására ez a távolság csökken. A megoldás nem tekinthető önmagában teljesen biztonságosnak, hiszen a támadó, amennyiben komoly érdeke fűződik bejuthat a hálózat területére. A támadó bizonyos esetekben úgy is célt érhet, hogy antennát használ a rádiós jel erősítésére. Az átviteli világrekord erősítetlen WiFi esetben 125 mérföld! 29
MAC szűrés Minden hálózati csatolónak egyedi címe van MAC cím (6 bájt) Hozzáférés szűrése MAC címek alapján A hozzáférési pontnak listája van az engedélyezett csatlakozókról Esetleg tiltólista is lehet a kitiltott csatlakozókról Egyéb eszköz nem forgalmazhat a hálózaton (a csomagokat eldobja) Nagyon sok helyen ezt használják Csak kisebb hálózatok esetén használható Minden egyes MAC címet manuálisan kell beállítani az AP-ban A listát folyamatosan frissíteni kell Nagy adminisztrációs többletmunka Nem biztonságos! Az eszközök megszerzése már hozzáférést biztosít Nem a felhasználót azonosítja A MAC címek lehallgathatóak, egy másik eszköz is felvehet engedélyezett MAC címet Hálózati technológiák és alkalmazások 30 A hozzáférés-védelem megoldható úgy is, hogy a hozzáférési pont szűri a hozzá csatlakoztatható vezetéknélküli eszközöket. A szűrés alapja lehet a MAC (Media Access Control) azonosító, amely 6 bájtos egyedi cím minden hálózati csatoló eszközre. A hozzáférési pont listát vezethet az engedélyezett vagy kitiltott eszközökről. Amennyiben engedélyező listát vezet és az eszköz nem szerepel az engedélyezési listán, úgy a hozzáférési pont megtagadja az adatok továbbítását. Több hálózati pont adminisztrációja azonban már nem egyszerű. A megoldás nem biztonságos, hiszen a MAC címet a felhasználó megváltoztathatja a saját eszközén, eltérhet a gyári beállítástól. A támadó így ha figyeli a hálózati forgalmat, akkor megismerheti azokat a címeket, amelyek engedélyezve vannak és így ő is hozzáférést szerezhet a hálózathoz. 30
Hálózat elrejtése A hozzáférési pontot a neve azonosítja Service Set ID SSID Az SSID-t, valamint a hozzáférési pont képességeit időközönként broadcast hirdetik (beacon) A hozzáférési pont elrejtése A hozzáférési pont nem küld SSID-t a hirdetésekben, így a hálózat nem látszik Aki nem ismeri a hálózat SSID-t, az nem tud csatlakozni Nem biztonságos! A csatlakozókliensek nyíltan küldik az SSID-t A támadó a csatlakozás lehallgatással felderítheti az SSID-t Népszerűbb eszközök gyári SSID beállításai tsunami Cisco, 101 3Com, intel -Intel, linksys Linksys Manuális beállítás, körülményes frissítés Előbb-utóbb mindenki megismeri őket Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál Önmagában az elkülönítés semmilyen védelmet nem nyújt Bárki bármilyen SSID-jű hálózathoz hozzáférhet Hálózati technológiák és alkalmazások 31 A hozzáférés-védelem módszere lehet a hálózat elrejtése is. Nyílt hálózatok esetén a hozzáférési pont rövid időközönként broadcast hirdetést küld magáról management csomagok segítségével. A kiküldött információban megtalálható többek között Service Set ID (SSID), amely a hálózat neve és amelyet a csatlakozóknak meg kell jelölniük csatlakozáskor. Amikor a vezetéknélküli hálózatot elrejtik, akkor a hozzáférési pont már nem közli saját azonosítóját a hirdetésekben. Így csak az tud csatlakozni a hálózathoz, aki ismeri annak azonosítóját. Ez a módszer sem biztonságos, hiszen a a támadó megfigyelheti, hogy a legitim felhasználó milyen SSIDt használva csatlakozik a vezetéknélküli hálózathoz. A csatlakozáskor ez az adat titkosítás nélkül van a csomagban. A megfigyelt SSIDt felhasználva a támadó is tud csatlakozni a hálózathoz. Gyakran akad olyan elrejtett hálózat, amelynél a hozzáférési pont nevét meghagyják a gyári beállításnak. Ilyenkor a támadó próbálkozhat ezekkel az alapértelmezett nevekkel. 31
Felhasználó hitelesítés A vezeték nélküli hozzáféréshez a felhasználónak vagy gépének először hitelesítenie kell magát A hitelesítés nehézségei Nyílt hálózat, bárki hallgatózhat A kihívás-válasz alapú hitelesítés esetén a támadókönnyen megszerezheti a kihívást és a választ is Gyenge jelszavak esetén egyszerű a szótáras támadás Man-in-the-middle támadások Vezeték nélküli környezetben a támadókönnyen megszemélyesíthet egy másik eszközt A forgalom rajta keresztül folyik, így hozzájut a hitelesítési adatokhoz Legjobb a felhasználót hitelesíteni, nem az eszközét Felhasználói jelszavak (mindenkinek külön) Hálózati technológiák és alkalmazások 32 A hozzáférés-védelem legalkalmasabb és egyben biztonságos megoldása a felhasználó hitelesítése. Természetesen itt sem mindegy, hogy hogyan azonosítjuk a felhasználót. A rádiós közegben bárki hallgatózhat, így kihívás-válasz alapú protokoll és gyenge jelszavak esetén megszerezve egy kihívést és az arra adott választ, a jelszó feltörhető. Ugyancsak gondot okozhatnak a man-in-the-middle támadások. Ilyenkor a támadó észrevétlenül beékelődik a felhasználó és a hitelesítő közé és lehallgatja a hitelesítést. Sok hitelesítési eljárás csak a felhasználó eszközét hitelesíti és nem magát a felhasználót. Ilyenkor fenn áll a veszély, hogy az eszköz megszerzésével a támadó is csatlakozhat a hálózathoz. Ahol ez a veszély fennáll, ott célszerű tehát a felhasználót hitelesíteni. 32
Hitelesítés Captive portal Hitelesítés web felületen keresztül Egyszerű a felhasználónak A kliensen egy web browser kell hozzá A captive portal esetén a felhasználó első web kérését a hozzáférési pont a hitelesítéshez irányítja Semmilyen forgalmat nem továbbít amíg, nem hitelesített a felhasználó A felhasználó hitelesítés után folytathatja a böngészést A weblapon akár elő is fizethet a felhasználó a szolgáltatásra A legtöbb HOTSPOT ezt használja Nem igényel szakértelmet a használata Nem kell telepíteni vagy átállítani a felhasználó gépét Nem biztonságos! Nem nyújt védelmet a rádiós kapcsolaton és nem védi a felhasználó hitelesítésen túli adatforgalmát A felhasználó megtéveszthető hamis szolgáltatóval A támadó folytathatja a felhasználó nevében a hozzáférést Hálózati technológiák és alkalmazások 33 A felhasználó hitelesítés egyik formája az úgynevezett captive portal ok alkalmazása. Ebben az esetben a felhasználót web kapcsolaton keresztül hitelesítik, egy tanúsítvánnyal védett szerveren, titkosított hitelesítési kapcsolattal. A titkosításhoz a TLS (Transport Layer Security) protokollt használják, amely tanúsítványt igényel a szerver részéről. Hogy megkönnyítsék a hitelesítésnél a felhasználó dolgát, ezért a még hitelesítetlen felhasználó első web kérése van átirányítva a megadott hitelesítő web szerverhez. A hitelesítés után a web kérés folytathatja útját és a későbbi kéréseket már nem térítik el. Számos előnyös tulajdonsága van ennek a módszernek. A felhasználó részéről nem igényli semmilyen program telepítését, nem kell a kapcsolat paramétereit beállítani. A titkosított hitelesítés teljesen biztonságos lehet, amennyiben a felhasználó ellenőrzi a tanúsítványt. Ezen előnyös tulajdonságai miatt a HOTPSOTokban általában captive portál van telepítve. Ilyen felhasználás esetén további előny, hogy a szolgáltató kijelölhet olyan web tartományokat, ahova nem szükséges a hitelesítés (pl. Ferihegyen a repülőtér saját publikus hálózata), valamint felkínálhat előfizetési lehetőséget is a bejelentkező weblapon, így az Internetezni vágyó felhasználók akár helyben is megvásárolhatják a szolgáltatást. Mindazonáltal a megoldás nem jelent teljes biztonságot. Megfelelő használat esetén ugyan a hitelesítési információk biztonságban vannak, azonban a kapcsolat későbbi része már titkosítatlanul folyik. A támadó a hiszékeny felhasználókat félrevezetheti és hamis hozzáférési pont felállításával (Evil twin) kicsalhatja a hitelesítési adatokat. A támadó emllett képes lehet arra is, hogy egy befejezett kapcsolatot folytasson, felvéve a felhasználó MAC és IP címét. 33
Adatkapcsolat biztonsága A hozzáférés-védelmen túl gondoskodni kell a felhasználó adatainak biztonságáról is Az adatokat titkosítani kell a hálózaton Csak az ismerhesse az adatokat, aki ismeri a titkosítás kulcsát A hitelesítéssel összehangolva mindenkinek egyedi kulcsa lehet WEP Wired Equivalent Privacy WPA WiFi Protected Access 802.11i 802.11 Enhanced security WPA2 nek is nevezik Hálózati technológiák és alkalmazások 34 Ha a vezetéknélküli hálózat hozzáférés-védelme megoldott, akkor már a támadók nem tudnak kapcsolódni a hálózathoz. Ugyanakkor továbbra is lehetőségük van a hálózaton hallgatózni. Hogy elkerüljük ezeket a támadásokat, a hálózatban zajló adatforgalmat titkosítani kell. A titkosításon belül célszerű arra is törekedni, hogy a legitim felhasználók ne láthassanak bele egymás adataiba sem. A legelső vezetéknélküli hálózaton használt titkosító protokoll a WEP (Wired Equivalent Privacy) protokoll volt. Számos hibája miatt új protokollok jelentek meg. A 802.11 szabványhoz tervezett biztonsággal foglalkozó protokoll a 802.11i (802.11 Enhanced Security) protokoll. 2004 ben jelent meg. A WEP után és a 802.11i megjelenése előtt is szükség volt egy jól működő titkosítása, ezt jelentette a WPA (WiFi Protected Access). A WPAt már úgy tervezték, hogy kompatibilis legyen a megjelenő 802.11i protokollal, ezért amikor az megjelent, a WPA2 nevet kapta. 34
WEP Wired Equivalent Privacy Az eredeti 802.11 biztonsági protokoll A felhasználók adatainak titkosítása a lehallgatás ellen Rendkívül alacsony biztonsági szint, könnyen feltörhető Az RC4 adatfolyam titkosító algoritmust használja A vezeték nélküli eszköz titkosítja mind az adatokat, mind a CRC-t Az átvitel során történő illetéktelen módosítást kívánja kiküszöbölni 40 vagy 128 bites (WEP2) közös kulcsot használ Mindkét félnek ismernie kell a kapcsolat létrejötte előtt A titkosításhoz egy inicializációs vektor-t (IV) használ A vektort minden keretben elküldik Az IV vektor és a k kulcs alapján egy (pseudo)véletlen titkosítási kulcsot generál Minden keret más generált kulccsal titkosítódik Két azonos tartalmú csomag másképp fog kinézni titkosítva Elég hosszú hallgatózással ez kijátszható Nincs semmilyen kulcsváltó algoritmus Manuális váltások, egy csere több napig is eltarthat Megkönnyíti a támadó dolgát Hálózati technológiák és alkalmazások 35
WEP működése Egy titkos k kulcs megosztva a kommunikáló felek között Egy csomag titkosítása: Ellenőrző összeg ICV készítése az M üzenetből Integrity Check Value A kettőt összemásoljuk P = <M,ICV> érthető (még nem titkositott) üzenetet Sem az ICV sem P nem függ a k kulcstól Titkosítás az RC4 algoritmussal: Egy v inicializáló vektort (IV) választunk Az RC4 egy hosszú kiterjesztett kulcsot generál RC4(v,k) A kiterjesztett kulcsot XOR müvelettel összemásoljuk az üzenettel Megkapjuk a C titkosított üzenetet, C = P xor RC4(v,k) Közvetítés: Az IV-t és a C-t átküldjük a csatornán Hálózati technológiák és alkalmazások 36
WEP működése A dekódoláshoz a vevő az algoritmust fordított sorrendben végzi el Legenerálja az RC4(v,k) kiterjesztett kulcsot XOR-ozza a titkosított szöveggel, megkapja az eredeti szöveget P = C xor RC4(v,k) = (P xor RC4(v,k)) xor RC4(v,k) = P Ellenőrzi az ellenőrző összeget Hálózati technológiák és alkalmazások 37
Támadások a WEP ellen Kiterjesztett kulcs újrahasználása Ha ugyanazzal a kulccsal és IV-vel titkosítunk két csomagot, a támadó infókat tudhat meg mindkét csomagról A 2 titkosított csomag XOR-ja megegyezik a 2 eredeti csomag XOR-jával Ha az egyik üzenetet ismerjük, a másikat vissza lehet fejteni Elég lehet a parciális ismerete is bizonyos érthető (P) üzeneteknek Pl. protokoll fejlécek A csomagonkénti IV jó védekezés, de... Az IV-ket kódolatlanul küldik a csomagokban A támadó gyűjtheti az IV-ket A kulcsokat nagyon ritkán változtatják Egy idő után előfordul majd IV ismétlés IV 24 biten, általában 0-tól indulva folyamatosan nő Egy AP 1500 byte-os csomagokkal, 5 Mb/s sebességgel fél nap alatt elhasználja az IV-ket Véletlen IV választással pár perc alatt kb. 5000 csomag után 50% a valószínüsége egy ismétlésnek Hálózati technológiák és alkalmazások 38
WPA, WPA2 és 802.11i WPA Wi-Fi Protected Access (2002) Wi-Fi Alliance szabványa Ideiglenes megoldás a WEP hibáinak kiküszöbölésére Hatékonyabb kulcs menedzsment Temporal Key Integrity Protocol TKIP Egy master kulcsból generál periódikusan új kulcsokat A WEP-nél manuális kulcsváltás Ugyancsak RC4 algoritmust használ, de 48 bit hosszú IV-vel IEEE 802.11i Sokáig váratott magára, 2004 nyarán fogadták el A 802.11 a, b és g-vel ellentétben egy biztonsági mechanizmust definiál A TKIP mellett egy új titkosítási szabványt is használ Advanced Encryption Standard AES WPA2 A Wi-Fi Alliance új szabványa Kompatibilis az IEEE 802.11i-vel Hálózati technológiák és alkalmazások 39
Többet a biztonságról Információ- és hálózatbiztonság, VITMM280, MSc köt.vál. tárgy Fehér Gábor, TMIT Hálózati technológiák és alkalmazások 40