Основы Ethernet технологий

  Как уже  написано выше, стандарт 802.11 предусматривал работу на скоростях 1, 2 Мбит/с. Соответственно и вся служебная информация передавалась на этих скоростях. И именно на этих скоростях передающие станции сообщали другим станциям, что с момента времени X до момента времени Y станция занимает радиоэфир и будет передавать свои данные. Другие станции в это время молчат, чтобы не создавать помехи станции, занявшей эфир.

  Прежде  чем начать подробно рассказывать, стоит отметить, что стандарт 802.11b предусматривал совместную работу со стандартом 802.11 и учитывал, что для того, чтобы рядом работающее устройство стандарта 802.11 поняло его намерение передавать данные с момента времени X до момента времени Y, 802.11b устройство должно дать в эфир служебные данные, которые были бы понятны устройству 802.11 - это значило, что устройство 802.11b вынуждено передавать служебные данные со скоростью 1 или 2 Мбит/с. В противном случае, рядом работающее устройство 802.11 стало бы считать, что рядом нет никакого 802.11b и приняло бы решение о передаче своих данных.

  Базовый алгоритм соединения для передачи данных содержит два действия: передачу пакета данных от источника и передачу подтверждения приёма (ACKnowledge, ACK) от получателя источнику сообщения. Для повышения надёжности передачи данных имеется алгоритм с обменом четырьмя пакетами. Здесь AC-источник передаёт пакет запроса передачи (Request to Send, RTS) и тем самым оповещает все АС в зоне радио-видимости о том, что происходит обмен информацией. Все станции, принявшие пакет RTS, воздерживаются от передачи для исключения конфликтов. AC-получатель отвечает AC-источнику пакетом готовности к приёму (Clear to Send, CTS). После приёма пакета CTS AC-источник передаёт пакет данных, а AC-получатель после приёма пакета данных передаёт пакет подтверждения приёма (ACK)

  После того, как среда освободилась, станция 1 ждёт интервал DIFS (DCF inter-frame space) и включает таймер отката. Таймер отсчитывает  случайное число, выбранное в  пределах окна состязания CW (contention windows) и начинает передачу. Если станция 2 или станция 3 сгенерирует случайное число равное числу, сгенерированного станцией 1 – станции попытаются одновременно начать передачу и создадут коллизию, в результате которой данные всех станций переданы не будут. После того, как значение таймера стало равным нулю, станция 1 посылает фрейм RTS. Станция 2, получив пакет от станции 1, ждёт интервал SIFS (short interframe space) и посылает фрейм готовности CTS. Приняв CTS, станция 1 также ждёт интервал SIFS и начинает передачу информации. В итоге станция 2 подтверждает приём пакета данных пакетом ACK.

  В сети Wi-Fi передачу может вести одновременно только одна станция. Поэтому, когда  в сети ведут передачу сразу несколько  станций, пропускная способность сети делится на количество этих передающих станций.

  Если  в вашей сети два компьютера передают данные третьему, то скорость передачи на каждом компьютере будет лишь 1/2 от пропускной способности.

  Если  станция 1 будет передавать данные станции 2, а станция 2 будет передавать данные станции 3, то скорость на каждом компьютере будет 1/2 от пропускной способности сети. Это происходит потому, что у сети Wi-Fi единая среда передачи - фактически воздух. Я это к тому, что некоторые считают, что репитер (repeater – англ. «повторитель»), который может использоваться в сети Wi-Fi - это не станция, а что-то особенное. Некоторые не хотят признать, что при ретрансляции скорость упадёт в двое - потому что в один момент времени повторитель будет принимать данные, а в другой момент времени передавать их дальше.

  Были  когда-то в продаже устройства, созданные  на чипе PRISM 2, при соединении в режиме Ad-Hoc, они могли работать без передачи кадра ACK, что позволяло работать с большей скоростью. Правда, эти устройства плохо дружили с иными им подобными, вернее не дружили совсем. Так как те, другие, что работали по стандартам, не начинали отправку пакета данных без получения пакета о подтверждении готовности к получению (ну а раз ты не готов, то и пакета данных не получишь J).

Недостатки  в защите WiFi-соединения

  Защита  беспроводных соединений обеспечивается использованием протоколов WPA и WEP, осуществляющих контроль за аутентификацией пользователей  и кодированием сетевого трафика. Кроме  шифрации трафика 40 , 64 или даже 128 битным ключом, в беспроводных сетях возможен выбор полос частоты, в которых работают устройства передачи данных. В сетях WLAN используется особая технология Direct Sequence Spread Spectrum, обеспечивающая высокую устойчивость ко всем видам искажениям и помехам в радиоэфире. Разработчики ведут постоянную работу по совершенствованию защиты беспроводных сетей.

  Низкая  надежность. Одной из главных проблем  беспроводных сетей является сегодня  их недостаточная, по современным меркам, безопасность. Злоумышленник, имея ноутбук с адаптером Wi-Fi и находясь рядом с помещением (а при использовании антенн - и со зданием), в котором имеется беспроводная сеть, может без особого труда проникнуть в нее (со всеми вытекающими из этого последствиями). При этом факт прослушивания беспроводной сети, в отличие от традиционных атак по Интернету, практически невозможно зафиксировать, ведь привычный Firewall в данных условиях ничем не поможет.

  К услугам  хакеров на рынке предлагаются всевозможные WiFi шпионы - определители хот-спотов (Wireless Network Finder/Locator/Detector). Цена таких устройств невысока (≈10-30 долл.), но с их помощью можно, например, объезжая на автомобиле окрестности, быстро определить местонахождение «халявных» хотспотов или открытых клиентов. Установив наличие точки доступа достаточной мощности, можно припарковать где-нибудь поблизости автомобиль и получить неограниченный выход в Интернет для скачивания информации большого объема. А с использованием активной антенны можно найти подходящую точку доступа и не выходя из дома. Причем провайдером Интернета в этом случае может стать ничего не подозревающий сосед ловкого хакера. Кстати, недавно появились Wi-Fi-детекторы нового поколения, которые не только определяют наличие хот-спота и его мощность, но и направление на точку доступа, чтобы можно было задействовать направленную антенну для усиления сигнала.

  Начиная с IEEE 802.11b, предусматривается поддержка механизма шифрования WEP (Wired Equivalent Privacy), но он защищает только пакет данных, а не заголовки физического уровня. В результате другие станции, находящиеся в данный момент в сети, могут перехватывать информацию, необходимую для ее управления. Для контроля доступа в каждую точку (Wireless access points) помещается так называемый Service Set Identifier (SSID), без знания которого мобильная станция не сможет подключиться к этой точке доступа. Он представляет собой уникальное имя сети, включаемое в заголовок пакетов данных и управления IEEE 802.11 . Таким образом, пользователь не сможет обратиться к точке доступа, не имея правильного SSID. Дополнительно точка доступа может хранить список разрешенных MAC-адресов, называемый списком контроля доступа ACL (Access Control List), и открывать доступ только тем клиентам, чьи MAC-адреса есть в списке. Точно так же и клиентский ПК должен знать адрес точки доступа. Однако механизм WEP не обеспечивает должного уровня защиты сетей Wi-Fi. Например, 64-битное шифрование можно взломать в считанные минуты, а 104-битное, хотя эта схема гораздо устойчивее, при должном старании также может быть взломано, пусть хакеру и придется потратить на это больше времени. Впрочем, домашние пользователи могут спать спокойно, поскольку стоимость оборудования и программного обеспечения, необходимого для вскрытия домашней сети, значительно превышает ее ценность. Но если механизм WEP подходит для домашних сетей, то он абсолютно неприемлем для корпоративного применения.

  Впрочем, на смену стандарту WEP пришел более продвинутый WPA (Wi-Fi Protected Access), использующий не только шифрование с динамически изменяемыми ключами, но и двустороннюю аутентификацию пользователей. WPA является составной частью стандарта безопасности беспроводных сетей 802.11i. В этом случае процедура аутентификации привязана к имени и паролю пользователя, а не к общему ключу, как при WEP, и предполагает участие в ней трех сторон - вызывающей (клиента), вызываемой (точки доступа) и специального сервера аутентификации (как правило, сервера Remote Authentication Dial-In User Service, RADIUS), который подтверждает сертификат подлинности. Это удобно в первую очередь для системных администраторов сети Wi-Fi, поскольку для подключения новых и удаления старых абонентов достаточно модифицировать учетные записи этих абонентов в базе данных сервера RADIUS. Таким образом, данный стандарт способен обеспечить надежное шифрование передаваемых данных, а также аутентификацию пользователей и устройств сети.

  Более усовершенствованным является стандарт безопасности WPA2. По словам разработчиков, в систему безопасности были внесены фундаментальные изменения, значительно улучшена криптозащищенность данных по WEP, а в состав WPA2 включен стандарт Advanced Encryption Standard, который поддерживает шифрование с длиной ключа 128 , 192 и 256 бит. Предыдущий стандарт WPA приобрел дурную славу именно из-за легкости взлома, но разработчики уверяют, что в WPA2 все слабые места устранены.

  Из  всех рассматриваемых в этой статье стандартов Wi-Fi на пару с Bluetooth является самым известным и распространенным. Свою популярность Wi-Fi обрел благодаря  ноутбукам. Сегодня даже самые дешевые модели оснащаются беспроводной сетевой картой. Но, как всегда, данная технология стала популярной совсем не сразу как была представлена. 

  Вообще  принцип разворачивания Wi-Fi довольно схож с сотовой сетью. В роли базовых  станций выступают точки доступа. Если их настроить соответствующим образом, то они будут поддерживать связь друг с другом, делая возможным обмен информацией между компьютерами, подключенными к любой из них. Если такой настройки не делать, то программа управления картой Wi-Fi предоставит возможность подключиться к одной из доступных сетей. 

  Но  чтобы подключиться к Wi-Fi сети иногда необходимо знать пароль, либо ключ доступа к ней. Все-таки через  сеть могут передаваться весьма важные данные, вроде паролей доступа  к денежным учетными записям различных сервисов, а радиопередачу перехватить куда проще, чем обычный обмен информацией по проводам. Для этого было внедрены несколько стандартов шифрования. 

  Первый  из них, WEP (Wired Equivalent Privacy), принятый в 2001 году, продержался совсем недолго. Он считается довольно слабой защитой от несанкционированного проникновения. Сегодня запросто можно найти программу, способную за короткое время взломать ключ, после чего станет возможно отслеживать все пакеты в сети. 

  В середине 2003 года на смену WEP был предложен новый алгоритм шифрования WPA (Wi-Fi Protected Access). Он базировался на черновом стандарте 802.11i. Позже последний был принят в июне 2004 года. При этом в качестве основного способа защиты он предлагал более совершенный алгоритм WPA2. Его взломать уже куда сложнее, поэтому настоятельно рекомендуется его использование. Конечно, прогресс не стоит на месте и уже предложены еще более совершенные возможности защиты, которые в будущем будут приняты в качестве стандартов. Один из таких — 802.11w. 

  Немного о необходимости защиты данных. Сегодня  довольно часто точка доступа  устанавливается в квартире для  объединения в сеть всех локальных  компьютеров (да и КПК с сотовыми телефонами, если они поддерживают Wi-Fi). При этом если вы обмениваетесь  только фильмами, музыкой и тому подобной информацией, то большой ценности ваша сеть не представляет. Тем не менее, ничто не помешает соседу за стенкой подключиться своим ноутбуком к вашей сети, особенно если она не защищена. К тому же в подобной сети нет нужды боятся всех и вся, поэтому вы можете открыть в полный свободный доступ те или иные разделы жестких дисков. Конечно, ничего кроме последней комедии и боевика там может не лежать, но всегда найдется желающие напакостить. Все равно не приятно, если только что скопированный фильм будет удален до просмотра. 

  А вот  другая ситуация. У вас дома Интернет подключен через ADSL-модем. Если у  вас несколько компьютеров, либо один ноутбук для удобства модем  может быть оснащен Wi-Fi точкой доступа. Согласитесь, удобно сидеть из любой точки квартиры в Сети. Если же должным образом Wi-Fi не защитить, то к вашему Интернету может получить доступ кто угодно. Теоретически даже с улицы можно, присев под окном на лавочке. Хорошо если у вас нелимитированный канал — вы просто почувствуете снижение скорости. А если трафик? Можно влететь на всю сумму, что лежит на счету. Так что защита локальной беспроводной сети имеет огромное значение. Причем не обязательно ограничиваться только WPA(2)-шифрованием. Если компьютеров всегда статическое число, каждому можно создать отдельный аккаунт, а заодно сделать идентификацию по MAC-адресу сетевой карты.