Procedura testowa
Początkowo urządzenia będziemy testować w parach, tz.: karta oraz punkt dostępowy należący do tego samego producenta. W testach nie podajemy wyników "mieszanych" zestawów, gdyż przez dłuższy okres testowania niejednokrotnie zestawiane były połączenia w których występowały dwa różne standardy oraz dwaj różni producenci, lecz ani razu nie zauważyliśmy jakichkolwiek kłopotów z połączeniem, autoryzacją czy transferem. Odnośnie porzucanych czy błędnych pakietów przy jakości połączenia powyżej 80%, nie warto się zastanawiać, gdyż z naszych obserwacji wynika, iż są to ilości bardzo znikome. Połączenia będą zestawiane w czterech różnych miejscach, różniących się nie tylko odległością od punktu dostępowego ale i występującymi przeszkodami. Ogólny pogląd na obszar testowy obrazuje ten schemacik:
Punkt dostępowy został ulokowany w punkcie 1. Natomiast komputer wyposażony w kartę Wi-Fi (lub adapter USB) wędrował po punktach 2, 3, 4 i 5.
Jeszcze słów kilka o konfiguracji testowej. Jest to najbardziej typowy komputer jaki można znaleźć w biurach (gdyż wszystkie testy wykonywałem w pracy):
- procesor AMD Athlon XP 1700+
- płyta główna: ECS K7S5A - okryta złą sławą ;)
- pamięć: 128 MB DDR266
- system: Windows 98SE
Pozostałe parametry wydają się nam nieistotne w przypadku naszych testów. Taka konfiguracja ma charakter typowego biurowego komputera. Zintegrowana karta sieciowa, w którą wyposażony jest komputer, została na czas testów wyłączona. Wyłączone zostały również inne programy, które korzystają z sieci (np. komunikatory, aktualizacje itp).
Do pomiarów wykorzystano program - LanSpeed2, który w sposób graficzny zaprezentuje nam transfery pomiędzy urządzeniami. Jako podstawowe rozgraniczenie zastosowany został protokół bezpieczeństwa WEP (klucz 64 bitowy).
Każdy test (i z szyfrowaniem i bez) został podzielony na trzy kolejne: odczyt z serwera FTP, zapis do serwera FTP oraz tradycyjne kopiowanie pomiędzy komputerami (np. otoczenie sieciowe).
Serwer oparty jest na systemie Linux (Fedora Core 1) i na czas testów był "fizycznie" odłączany od Internetu aby nic nie zakłóciło naszych wyników. Do serwera bezpośrednio podłączony jest switch (przełącznik), a następnie nasz punkt dostępowy.
Już na początku zaznaczam, iż serwer FTP nie posiada żadnych ograniczeń dotyczących transferu. Test przepustowości kopiowania (np. przez otoczenie sieciowe) może wydawać się niepotrzebny, jednak my wykorzystamy go jako dodatkowe źródło pomiarowe.
Do kopiowania będziemy wykorzystywać Total Commander (v.6.01) oraz plik o rozmiarze powyżej 200 MB. Równocześnie będzie uruchamiany program LanSpeed2, który obliczy nam średnią przepustowość oraz przedstawi to w sposób graficzny. Warto nadmienić, iż wyników tych nie należy traktować jako 100% oddających rzeczywiste transfery, gdyż niejednokrotnie powtarzając dany test uzyskiwaliśmy wynik różniący się od poprzedniego (średni odchył wynosi ok. 2%).
TESTY: 4 metry bez przeszkód
Pierwszy test wykonujemy pomiędzy komputerem wyposażonym w kartę DWL-520+ a punktem dostępowym DWL-900AP+ a odległość pomiędzy nimi wynosi 4 metry. Pomiędzy nimi nie ma żadnych przeszkód terenowych a ich anteny "widzą się".
DWL-520+ i DWL-900AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- DWL-G520 i DWL-2000AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- WUSB11 i WAP54G
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- Podsumowanie testu pierwszego:
Już w pierwszym teście widać, jak różnią się pomiędzy sobą przepustowości deklarowane a rzeczywiste (mimo odległości tylko 4 metrów). To co od razu "rzuciło się w oczy" to nierównomierna praca szybszego duetu D-linka (DWL-G520 i DWL-2000AP+). Objawiało się to ciągłymi skokami przepustowości. Można to zaobserwować na załączonych wykresach. Mimo, iż stosunek przepustowości rzeczywistej do deklarowanej tych urządzeń wypadł najsłabiej, osiągał on najlepszą przepustowość. Oczywiście jest to wynikiem używanego standardu 802.11g.
TESTY: 10 metrów + ściana
W drugim teście przeszliśmy do pokoju obok (224). Odległość pomiędzy urządzeniami wzrosła do ok. 10 metrów a pomiędzy pokojami jest podwójna, ceglana ściana o grubości ok. 30 cm. Urządzenia są ustawione w taki sposób, iż fale przechodzą przez ścianę pod kątem prostym.
DWL-520+ i DWL-900AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- DWL-G520 i DWL-2000AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- WUSB11 i WAP54G
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- Podsumowanie testu drugiego:
Mimo, iż na drodze pomiędzy urządzeniami pojawiła nam się przeszkoda w postaci ściany (ok. 30 cm) oraz wzrosła odległość (10 m), przepustowość w przypadku wszystkich urządzeń pozostała praktycznie nie zmieniona (w niektórych nawet odrobinę wzrosła). Oznacza to nic innego, iż przy tej odległości takie przeszkody nie stanowią dla sieci WLAN praktycznie żadnego problemu. Tutaj również możemy zaobserwować nierównomierną pracę standardu 802.11g, podczas gdy dwa pozostałe (802.11b i 802.11b+), utrzymują bardziej "stabilny" (mimo że niższy) transfer.
TESTY: 14 metrów + dwie ściany
Poszliśmy o krok dalej. Nasz komputer znajduje się w kolejnym pomieszczeniu a jego dokładne położenie zostało oznaczone na schemacie jako 4. Odległość między urządzeniami wynosi teraz około 14 metrów. Dodatkowo na drodze pojawiła się jeszcze jedna, pojedyncza ceglana ściana o grubości ok. 15 cm. Przystąpmy do testów:
DWL-520+ i DWL-900AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- DWL-G520 i DWL-2000AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
- WUSB11 i WAP54G
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
Podsumowanie testu trzeciego:
Odległość wzrosła o kolejne metry. Pojawiła się także dodatkowa ceglana ściana (ok. 15 cm). Co się okazuje, otóż najbardziej odczuł to duet pracujący w standardzie 802.11g, którego przepustowość spadła o ok. 7%, co zostało dokładnie przedstawione na wykresie. Pozostałe dwa zestawy utrzymały praktycznie ten sam poziom. Jednak patrząc na wykresy można zaobserwować już pierwsze wahania transferu.
TESTY: 17 metrów + trzy ściany
Ostatnim miejsce do którego powędrowaliśmy z komputerem było pomieszczenie po drugiej stronie korytarza. W tym przypadku odległość pomiędzy urządzeniami wzrosła już do 17 metrów. Dodatkowo, jak widać to na schemacie, sygnał musi przechodzić przez kilka ścian i to praktycznie wszystkie pod pewnym kątem, co jak wspominałem wcześniej, ma swój zgubny wpływ na jakość i siłę połączenia. Tak oto wyglądały wyniki:
DWL-520+ i DWL-900AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
DWL-G520 i DWL-2000AP+
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
WUSB11 i WAP54G
a) z szyfrowaniem WEP, klucz 64 bitowy:
b) bez szyfrowania:
Podsumowanie testu czwartego:
Jak się okazuje, jest to miejsce w którym nasze urządzenia maja poważne kłopoty z nawiązaniem połączenia. Praca na wszystkich trzech zestawach była bardzo utrudniona. Karta DWL-G520 po uruchomieniu komputera miała problemy z automatycznym nawiązaniem połączeniem, podobnie zresztą jak model - DWL-520+. Zestaw firmy Linksys mimo automatycznego nawiązania połączenia, działał trochę niestabilnie ale najgorzej jednak wypadł model DWL-520+, który praktycznie co kilka sekund zrywał połączenie. Wyniki w tym teście należy traktować tylko jako orientacyjne, gdyż praktycznie przy każdym powtórzonym teście tego samego urządzenia otrzymywaliśmy całkowicie odmienne wyniki (średni odchył wynosił ok. 4%). Praca przy takiej jakości połączenia jest absolutnie niemożliwa. W takiej sytuacji jedynym rozwiązaniem może być wzmocnienie sygnału, jednak jest to już zagadnienie na osobny artykuł.
TESTY: zakłócenia z innych sieci 2.4GHz
Tutaj zajmiemy się negatywnym wpływem innych, sąsiednich sieci, które również korzystają z tego pasma, czyli 2.4 GHz. Zestawiamy połączenie składające się z karty DWL-G520 oraz AP DWL-2000AP+, czyli z naszego najszybszego zestawu. Podczas jego pracy włączyliśmy również komputer wyposażony w kartę DWL-520+. Jak wiemy karta ta oferuje niższą przepustowość i korzysta z innego typu modulacji. Dla potwierdzenia tego testu, zamiast komputera z kartą DWL-520+, włączaliśmy również w pobliżu AP DWL-900AP+. Co ważne, w teście tym były ustawione kanały sąsiadujące (6 i 7). Efekt jest bardzo dobrze widoczny na wykresie:
strzałką zaznaczone zakłócenia z innej sieci
Po wyłączeniu AP pracującego w standardzie 802.11b+, jak widać na wykresie, transfer wrócił do stanu początkowego. Jest to ważna zaleta, gdyż spotkałem się z urządzeniami Wi-Fi, które po takim "zabiegu" nie potrafią automatycznie powrócić do poprzedniego stanu. Po odseparowaniu tych dwóch sieci na bezpieczną odległość (w paśmie), czyli na kanały 6 i 12, wykres wyglądał następująco:
wpływa zakłóceń po zmianie kanału
Jak widać połączenie uległo znacznej poprawie (choć nie idealnie). Dlatego przed przystąpieniem do montażu sieci bezprzewodowych warto dowiedzieć się czy czasem w naszej okolicy nie znajdują się inne sieci, które mogłyby skutecznie zakłócać nasze połączenie. Alternatywnym ale i nieco droższym rozwiązaniem mógłby być standard 802.11a, który pracuje w paśmie powyżej 5 GHz.
Wyniki
| Typ transmisji | FTP (odczyt) [MB/s] | FTP (zapis) [MB/s] | Otoczenie sieciowe [MB/s] | stosunek przepustowości rzeczywistej do deklarowanej |
| 4m bez przeszkód | ||||
| z szyfrowaniem (WEP-64 bit) | 1,08 | 0,95 | 1 | 40% |
| bez szyfrowania | 1,17 | 0,98 | 1,06 | 43% |
| 10m + ściana | ||||
| z szyfrowaniem (WEP-64 bit) | 1,07 | 0,94 | 1 | 39% |
| bez szyfrowania | 1,18 | 0,97 | 1,08 | 43% |
| 14m + 2 ściany | ||||
| z szyfrowaniem (WEP-64 bit) | 1,08 | 0,93 | 1 | 40% |
| bez szyfrowania | 1,17 | 0,98 | 1,07 | 43% |
| 17m + 3 ściany | ||||
| z szyfrowaniem (WEP-64 bit) | 0,15 | 0,14 | 0,13 | 5% |
| bez szyfrowania | 0,12 | 0,11 | 0,14 | 5% |
DWL-G520 i DWL-2000AP+
| Typ transmisji | FTP (odczyt) [MB/s] | FTP (zapis) [MB/s] | Otoczenie sieciowe [MB/s] | stosunek przepustowości rzeczywistej do deklarowanej |
| 4m bez przeszkód | ||||
| z szyfrowaniem (WEP-64 bit) | 2 | 1,72 | 2 | 30% |
| bez szyfrowania | 2,11 | 1,72 | 2,05 | 31% |
| 10m + ściana | ||||
| z szyfrowaniem (WEP-64 bit) | 2,03 | 1,68 | 1,6 | 30% |
| bez szyfrowania | 1,98 | 1,74 | 1,63 | 29% |
| 14m + 2 ściany | ||||
| z szyfrowaniem (WEP-64 bit) | 1,54 | 1,16 | 1,4 | 23% |
| bez szyfrowania | 1,57 | 1,27 | 1,4 | 23% |
| 17m + 3 ściany | ||||
| z szyfrowaniem (WEP-64 bit) | 0,34 | 0,24 | 0,32 | 5% |
| bez szyfrowania | 0,32 | 0,24 | 0,32 | 4% |
WUSB11 i WPA54G
| Typ transmisji | FTP (odczyt) [MB/s] | FTP (zapis) [MB/s] | Otoczenie sieciowe [MB/s] | stosunek przepustowości rzeczywistej do deklarowanej |
| 4m bez przeszkód | ||||
| z szyfrowaniem (WEP-64 bit) | 0,66 | 0,49 | 0,63 | 48% |
| bez szyfrowania | 0,67 | 0,5 | 0,63 | 49% |
| 10m + ściana | ||||
| z szyfrowaniem (WEP-64 bit) | 0,67 | 0,49 | 0,62 | 49% |
| bez szyfrowania | 0,66 | 0,5 | 0,63 | 48% |
| 14m + 2 ściany | ||||
| z szyfrowaniem (WEP-64 bit) | 0,65 | 0,47 | 0,61 | 47% |
| bez szyfrowania | 0,66 | 0,47 | 0,61 | 48% |
| 17m + 3 ściany | ||||
| z szyfrowaniem (WEP-64 bit) | 0,26 | 0,25 | 0,21 | 19% |
| bez szyfrowania | 0,24 | 0,33 | 0,24 | 17% |
Podsumowanie testów
Jak to dobrze widać po wynikach (i wykresach), do pewnej odległości spadek przepustowości był praktycznie nieodczuwalny. Jednak w naszym punkcie testowym numer 5 okazało się, że przeszkody (głównie ściany) stanowią zbyt dużą zaporę dla naszych fal radiowych. O ile karta DWL-G520 oraz adapter WUSB11 utrzymywały w miarę dobre połączenie (bardzo słabe, ale jednak) to karta DWL-520 nie nadawała się praktycznie do pracy. Połączenie trwało zazwyczaj od kilku do kilkunastu sekund, a następnie na kolejnych kilka sekund zrywało. Porównując wyniki jakie uzyskały poszczególne zestawy, można dojść do kilku wniosków:
- Standard 802.11g sprawdza się przy najbliższych odległościach i jest znacznie bardziej czuły na przeszkody;
- Szyfrowanie WEP nie ma praktycznie żadnego wpływu na spadek przepustowości (jest realizowane sprzętowo);
- W przypadku gdy posiadamy zintegrowaną kartę sieciową i dołączymy kartę bezprzewodową, należy sprawdzić czy między nimi nie występują konflikty. W naszym przypadku raz oba urządzenia miały przydzielone to samo przerwanie (IRQ) co było powodem nieprawidłowej pracy. Wyłączenie w BIOS-ie nie wykorzystywanych portów COM (IRQ 3 i 4), nasze karty uzyskały różne przerwania i nastąpił między nimi "rozejm";
- Wszystkie wyżej wymienione karty i punkty dostępowe współpracowały ze sobą bez najmniejszych problemów;
- Analizując statystyki dostępne w oprogramowaniu AP, można zauważyć, iż jeśli jakość połączenia nie spada poniżej 80% to porzucone pakiety praktycznie nie występują.
Obaj producenci na płytce CD dołączają wyłącznie sterowniki dla systemu spod znaku MS. Posiadaczy innego sytemu aniżeli Windows czeka trochę szukania z wykorzystaniem "googli";) Pomocne mogą być poniższe linki:
* www.linux-wlan.org/docs/wlan_adapters.html
* www.linuxdevcenter.com/pub/a/linux/2002/04/11/enterprise.html
* prism2.unixguru.raleigh.nc.us/v21-rh9-index.html
* freshmeat.net/search/?q=wlan§ion=projects
Bezpieczeństwo Wi-Fi
W przypadku sieci bezprzewodowych kwestię bezpieczeństwa należy rozpatrywać w zupełnie innym świetle. W rozdziale tym postaramy się nieco przybliżyć niektóre zagadnienia, bez zbytniego zagłębiania się w techniczne szczegóły, gdyż tematyka ta jest na tyle obszerna, iż z powodzeniem można jej poświecić cały osobny artykuł. Jeśli jednak wzbudzi ona zainteresowanie, wówczas opiszemy ją znacznie dokładniej.
W odróżnieniu od tradycyjnych sieci kablowych mamy tutaj do czynienia z zupełnie odmiennym medium transmisyjnym. Jest ono dla nas niewidoczne oraz może rozchodzić się w dowolnym kierunku (w zależności od zastosowanej anteny). Powyższe czynniki możemy rozpatrywać zarówno jako zalety, ale i również jako wady, które mogą poważnie wpływać na bezpieczeństwo takiej sieci. Za prostotą instalacji kryje się również prostota podsłuchu. Na problem bezpieczeństwa w sieciach bezprzewodowych składają się zasadniczo dwie kwestie, pierwsza dotyczy autentykacji dostępu a druga szyfrowania transmisji.
Omawiany przez nas standard 802.11 zaoferował dwa sposoby autentykacji:
- autentykacja otwarta (Open Authentication)
- autentykacja współdzielona (Shared-Key Authentication)
Pierwszy z nich tak naprawdę niczego nie sprawdza i niczego nie blokuje. Do naszej sieci może dołączyć się każdy, nawet nie znający identyfikatora połączenia SSID. Jednak wbrew pozorom ma to swoje zastosowanie. Mianowicie korzystają z tego typu autoryzacji niektóre publiczne punkty dostępowe (hot-spot), gdzie założeniem jest właśnie jak największa liczba użytkowników, którzy nie będą musieli wprowadzać żadnych parametrów dotyczących połączenia.
Drugi ze sposobów autentykacji (Shared-Key) wymaga już skonfigurowania protokołu WEP. Oznacza to, że przesyłane ramki będą już szyfrowane. Autentykacja ta opiera się na sprawdzaniu przez punkt dostępowy, czy klient posiada ten sam klucz WEP (czyli WEP może być wykorzystywany do autentykacji jak i do szyfracji połączenia). Z czasem autentykacja wzbogaciła się o nową metodę polegającą na filtracji adresów MAC klientów. Punkt dostępowy posiadał listę dostępową (Access List) na której były wprowadzone adresy MAC komputerów, które mogły uzyskać połączenie lub adresy MAC komputerów, które nie były mile widziane. Minusem tej metody jest fakt, że niektóre sterowniki dla kart sieciowych umożliwiają zmianę adresu sprzętowego, czego efektem może być dostęp do sieci osoby nie powołanej, która "podszyła" się pod autoryzowanego użytkownika. Przejdźmy teraz do krótkiego opisu protokołów bezpieczeństwa.
Oryginalna specyfikacja 802.11 definiowała tylko jeden protokół bezpieczeństwa - WEP (Wired Equivalent Privacy), który został opracowany w 1997 roku. Obecnie protokół WEP korzysta z 40- lub 104-bitowych kluczy oraz 24-bitowego wektora inicjującego (IV). W efekcie klucz kodujący ma długość 64, 128 lub nawet 256 bitów. Bazuje on na jednym, statycznym kluczu i musi go znać każdy użytkownik chcący dołączyć się do sieci. Jego zmiany dokonujemy ręcznie, czyli można przyjąć że najczęściej ... bardzo rzadko. Co gorsze, protokół ten jest dostępny opcjonalnie, znaczy to, że w wielu przypadkach czy to przez zapomnienie czy przez lenistwo może zostać całkowicie pominięty. Mimo, iż protokół ten został dość szybko skompromitowany, jest on lepszym rozwiązaniem, aniżeli pozostawienia sieci zupełnie bez ochrony (co zdarza się bardzo często).
W sierpniu 2001 roku, znani kryptografowie Scott Fluher, Itsik Mantin i Adi Shamir opublikowali artykuł, w którym dokładnie był opisany algorytm szyfrujący RC4 a szczególny nacisk położono na jego luki i słabości. Protokół WEP bazuje właśnie na RC4. W sierpniu 2001 roku, student Adam Stubblefield (Uniwersytetu Rice), oraz dwóm pracownikom firmy AT&T, Johnowi Ioannidisowi oraz Avielowi Rubinowi udało się w sposób praktyczy zaprezentować to co było głoszone w tych artykułach. Wcale nie musieli korzystać ze specjalistycznego sprzętu, wystarczył komputer PC wyposażony w bezprzewodową kartę sieciową oraz nieco zmodyfikowane sterowniki.
Konfiguracja tego protokołu jest bardzo prosta. W zależności od wybranej długości klucza szyfrującego (64, 128 lub 256 bitów) mamy możliwość wprowadzenia ciągu znaków w trybie szesnastkowych (HEX) lub alfanumerycznym (ASCII), który niestety jest trochę mniej bezpieczny. Zazwyczaj możemy skonfigurować do czterech różnych kluczy a następnie po uzgodnieniu z pozostałymi użytkownikami sieci, uaktywniamy jeden nich. W niektórych urządzeniach zamiast wpisywania trudnego do zapamiętania ciągu w trybie szesnastkowym, pomocna może być funkcja automatycznego generowania klucza na podstawie podanego wyrazu, którym może być jakiś dowolny, wymyślony przez nas i łatwy do zapamiętania wyraz.
Pierwszym przełomem okazał się w 2001 roku protokół LEAP (Lightweight Extensible Authentication Protocol), który to wprowadziła firma Cisco. Podnosił on znacznie bezpieczeństwo sieci. Jego odpowiednikiem w innych urządzeniach został protokół uwierzytelniania rozszerzonego (EAP) , który dodatkowo jest wspierany przez takie protokoły jak 802.1x (blokowanie logicznych portów) czy RADIUS (uwierzytelnianie użytkowników). W tym samym czasie rozpoczęto prace nad nowym standardem bezpieczeństwa 802.11i, czego efektem już w 2002 roku był standard TKIP (Temporal Key Integrity Protocol) będący rozszerzeniem standardu WEP. Pod koniec roku 2002 zatwierdzono protokół WPA (Wi-Fi Protected Access), który jest określany jako "przejściowy" protokół mający zwiększyć bezpieczeństwo do czasu zatwierdzenia standardu 802.11i (wstępnie mówi się o czerwcu 2004). Protokół WPA poprawia praktycznie wszystkie luki jakie posiadał protokół WEP. WPA automatycznie generuje okresowo (określony czas lub ilość pakietów) unikalny klucz szyfrujący dla każdego klienta oraz dla każdej ramki (802.11). W ten sposób można uniknąć zasadniczego błędu jakim jest pozostawianie tego samego klucza przez dłuższy okres czasu (np. tydzień, miesiąc) tak jak to było w przypadku WEP. Organizacja Wi-Fi Alliance, o której już pisaliśmy, od 2003 roku przyznaje urządzeniom również certyfikat wykorzystywania tegoż właśnie protokołu. Większość z producentów udostępniła już nowe wersje oprogramowania dla swoich produktów, dzięki którym na tych starszych urządzeniach będziemy mogli zastosować protokół WPA. (Łatka firmy Microsoft dla Windowsa XP korzystającego z protokołu WPA).
Słabym punktem protokołu WPA jest rozwiązanie noszące nazwę Pre-Shared Keys (PSK), które służy do uwierzytelniania użytkowników. Jest to sposób "rezerwowy" w stosunku do zewnętrznych serwerów uwierzytelniających. Jego zasada działania bazuje na kluczach PSK. Klienci sieci WLAN opartych na technologii PSK mogą używać haseł alfanumerycznych o długości od 8 do 63 bajtów ale niestety większość producentów sprzętu WLAN pozwala stosować w sieci tylko jeden klucz PSK. Ale jeśli myślimy, iż protokół WPA już daje całkowicie odetchnąć, to niestety jesteśmy w błędzie. Robert Moskowitz (dyrektor ISCA Labs) w dokumencie "Weakness in Passphrase Choice in WPA Interface" obrazuje niektóre słabości nowego protokołu, dzięki którym niepowołana osoba może przechwytywać wszelkie dane przesyłane wewnątrz sieci LAN. Według niego w niektórych sytuacjach nowy protokół jest nawet słabszy od poprzednika, czyli WEP.
Powracając do naszych urządzeń, implementacja protokołu WPA nie jest wcale skomplikowana. Zazwyczaj do dyspozycji dostajemy tryb oznaczony jako WPA-PSK, czyli tryb z współdzielonym kluczem, wymaga podania tylko jednego alfanumerycznego hasła. Po poprawnym zidentyfikowaniu użytkownik uzyskuje dostęp do sieci WLAN.
Jeśli natomiast chodzi o profilaktyczne zabezpieczenie naszej sieci, bardzo pomocny może okazać się mini-artykuł Pawła Krawczyka pochodzący z serwisu www.ipsec.pl. Oto przed Wami:
Dziesięć przykazań bezpiecznego WLAN
- Wyłącz rozgłaszanie ESSID na koncentratorze (AP). Dzięki temu przypadkowy podsłuchiwacz nie pozna od razu nazwy Twojej sieci, co odsieje większość przypadkowych ciekawskich.
- Włącz szyfrowanie WEP z kluczem 128 bitów. Zmusi to włamywacza do spędzenia od kilku do kilkuset godzin na łamaniu Twojego klucza i powstrzyma 99% przypadkowych podsłuchiwaczy przed grzebaniem w Twojej sieci.
- Korzystaj choćby z kluczy 40 bitowych, jeśli z powodów technicznych albo organizacyjnych nie możesz używać kluczy 128 bitowych. Rezultat będzie podobny, bo podsłuchiwacz nie wie czy używany jest długi czy krótki klucz.
- Włącz WEP dla wszystkich klientów. Jedno niezabezpieczone połączenie może ujawnić włamywaczowi wiele informacji.
- Traktuj ESSID jak hasło. Nawet jeśli masz wyłączone rozgłaszanie ESSID, jest wiele programów błyskawicznie zgadujących prosty ESSID na podstawie słownika. Przypadkowy ESSID (np. "Iey2ohgu") nie jest trudny do wpisania, a bardzo przedłuża zgadywanie albo w ogóle je uniemożliwia.
- Stosuj trudne do zgadnięcia hasła WEP. Zgadywanie dotyczy również klucza WEP. Teoretycznie hasło dla 40-bitowego WEP powinno mieć około 20 znaków, a dla 128-bitowego - niemal 85 znaków (wiele urządzeń dopuszczan nawet hasła do 128 znaków), stosuj minimum hasła 10-znakowe.
- Nie zapomnij o zabezpieczeniu koncentratora WLAN. Większość AP przychodzi z domyślnymi hasłami lub w ogóle bez haseł na telnet, SNMP czy zarządzanie po WWW. Pozwala to włamywaczowi bez wysiłku poznać hasła WEP i konfigurację sieci.
- Od czasu do czasu testuj bezpieczeństwo swojej sieci. Sprawdzaj czy nie pojawiły się nieautoryzowane stacje, czy w sieci nie pojawiają się nieszyfrowane pakiety i czy ESSID nie "wycieka" przez którąś ze stacji roboczych lub AP.
- Postaw AP za firewallem. Nie podłączaj AP bezpośrednio do okablowania strukturalnego lub serwera. Postaw go za firewallem, stosując choćby minimalne filtrowanie ruchu generowanego przez stacje, które - w razie włamania do WLAN - będą przecież należeć do włamywacza.
- Do ochrony poważnych danych stosuj poważne protokoły takie jak IPSec. WEP zawsze będzie zabezpieczeniem słabym, a do tego powoduje spadek wydajności WLAN. Jeśli w Twojej sieci przesyłane są ważne dane technologiczne lub biznesowe, rsozważ skorzystanie z IPSec.
Rada na koniec: korzystaj ze wszystkich dostępnych zabezpieczeń na które możesz sobie pozwolić, choćby i najprostszych. Zabezpieczenie proste lub słabe jest zawsze lepsze niż żadne. Pamiętaj, że 90% skutecznych włamań do sieci WLAN jest rezultatem braku jakichkolwiek zabezpieczeń.
Zakończenie
Co do przyszłości rozwiązań bezprzewodowych to możemy być spokojni, gdyż w najbliższych miesiącach i latach nie zanosi się na choćby najmniejszy zastój w tej dziedzinie. Z dnia na dzień rośnie liczba "hot-spotów" oferująca użytkownikom dostęp do Internetu w najróżniejszych miejscach. Ciągły rozwój powoduje również systematyczny spadek cen tych urządzeń. Jednak wiele osób może zastanawiać się nad funkcjonalnością sieci opartej na urządzeniach bezprzewodowych. Czy lepiej zainwestować w sieć kablową, czy może lepiej w bezprzewodową?. W tym miejscu trzeba sobie odpowiedzieć, gdzie i do jakich zastosowań będzie wykorzystywana taka sieć. Jeśli jedynym wymogiem ma być maksymalizacja przepustowości, z pewnością szala przechyla się na stronę sieci kablowych. Jeśli natomiast głównym priorytetem jest mobilność lub zakłada się częstą zmianę topologii, wówczas warto zainwestować w sieć bezprzewodową.
Kolejny aspekt, którego nie wolno pominąć i który ostatnio jest przytaczany jako jedyny "hamulec" rozwoju sieci WLAN, to bezpieczeństwo. Wiele firm, instytucji czy nawet użytkowników indywidualnych powstrzymuje się przed inwestycjami związanymi z dostępem bezprzewodowym właśnie z tego względu. Rozwiązaniem tego problemu może okazać się długo zapowiadana, nowa specyfikacja 802.11i (AES, WEP+, WPA), o której pisaliśmy w podrozdziale bezpieczeństwo. Zapowiadane są również zmiany dotyczące przepustowości. Przykładowo standard 802.11n ma już oferować transfer rzędu 108 Mb/s (dochodzący nawet do 320 Mb/s).