|
A W-LAN
TECHNOLÓGIA
Cégünk több éve
foglalkozik vezeték nélküli megoldások kiépítésével,
elsősorban 802.11-es szabványú WLAN hálózatokkal. Az
alábbi leírás reméljük nagyban hozzájárul ahhoz,
hogy látogatóink és leendő megrendelőink is kicsit
jobban megismerhessék ezeket a technológiákat,
illetve azok alkalmazási területeit.
A
WLAN-technikát eredetileg arra fejlesztették
ki, hogy a meglévő vezetékes LAN-hálózatok
bővítéseként megjelenhessen néhány újabb kliens a
strukturált kábelezés további bővítése nélkül. Ezzel
persze a hordozhatóság kritériuma is teljesült, ha a
hozzáférési pontok helye és frekvenciasávja
megfelelően lett kiválasztva a telepítésnél. Ma már
azonban ennél jóval szélesebb az alkalmazási kör.
Teljes értékű WLAN- hálózatok építhetők ki órák
alatt egy konferenciát szervező szállodában,
egyetemi campusban vagy akár a szabad ég alatt. Az
internet-hozzáférés mindennapossá válása további
igényt hozott a felszínre: megjelentek a
forgalmasabb tereket, épületeket, repülőtereket,
konferencia-központokat lefedő nyilvános
WLAN-rendszerek, melyek elsődleges feladata a
világhálóhoz való hozzáférés nyújtása a várakozók
számára. Természetesen ekkor már fokozottan
jelentkeznek a hozzáférési jogosultság és a
számlázás kérdései, a megoldást be kell illeszteni a
nyilvános szolgáltatások körébe. Erre egyre több
városban vannak példák. Látszik tehát, hogy a
WLAN-rendszerek szerepe már a közeli jövőben
jelentőssé válhat.
A számítógépek elterjedését hamar követte az a
felismerés, hogy a vállalati ügyintézés, a közös
adatbázisok elérése, a cég erőforrásainak
kihasználása szempontjából az az ideális, ha a gépek
egy közös hálózatba kapcsolódnak. Az igényt a
szabványosított LAN- hálózatok segítségével sikerült
kielégíteni, s mára már teljes mértékben ezen az
alapon működnek együtt az intézményeken, cégeken
belül a számítógépek. Az elv oly mértékben bevált,
hogy egyre több területen felmerült az igény a helyi
hálózati együttműködésre. Ezek egy részét pl.
szállodákban, nagyobb konferencia központokban
sikerült ugyan kielégíteni az épület
bekábelezésével, más részük azonban nem volt
gazdaságosan megoldható a vezetékes LAN-hálózatok
segítségével. A néhány napos rendezvények, kisebb
összejövetelek ellátására pedig az alkalmi kábelezés
teljesen megoldhatatlan feladatot jelentett.
Érthetően merült fel tehát az igény, hogy egységes
megoldás szülessen a LAN-hálózatokra való
felkapcsolódásra vezeték nélkül is. Ahhoz azonban,
hogy valóban használható megoldás szülessen,
szabványos interfészt kellett létrehozni, az egyedi
megoldások ugyanis nem tudták volna tetszőleges
gépek, notebookok csatlakozását megvalósítani.
A feladat megoldásának az IEEE (Institute of
Electrical and Electronics Engineers) égisze alatt
álltak neki a mérnökök a kilencvenes évek első
felében. Az IEEE 802-es szabványosítási bizottsága
már korábban sok helyi hálózati szabvány
kidolgozásában vett részt, nevükhöz fűződik a 802.3
(Ethernet), a 802.5 (Token Ring) és a 802.3z (Fast
Ethernet) szabvány is. Mivel a vezeték nélküli
elérésre több technológia is alkalmasnak
mutatkozott, olyan szabványt igyekeztek létrehozni,
amely mindegyik megoldást magában foglalja. Hétéves
munka után így született meg 1997-ben az IEEE
802.11, majd 1999-ben a továbbfejlesztett IEEE
802.11b és az ezt követő 802.11g szabvány. A mai
napig ezen a szabványon alapulnak a WLAN-rendszerek.
Az IEEE 802.11 szabvány alapvetően két eszközt
definiál. Az egyik a vezeték nélküli állomás (wireless
station), ami a leggyakrabban egy vezeték nélküli
hálózati interfészkártyával kiegészített hordozható
vagy asztali számítógép. A másik elem a hozzáférési
pont (access point), amely a vezetékes
LAN-hálózathoz vagy más hálózathoz csatlakozik és a
vezeték nélküli állomásokkal kommunikál.
A "802"-es titkai:
A vezeték nélküli hálózatokra számos szabványt
dolgoztak ki. A 802 számmal kezdődő különböző
változatok közötti eligazodáshoz nyújt segítséget
következő összeállításunk.
802.11
A 802.11 az IEEE-nek a vezeték nélküli hálózatokra
vonatkozó eredeti specifikációja. Ez is a 2.4 GHz-es
ISM sávban működik, akárcsak a 802.11b, viszont csak
1Mbps és 2 Mbps sebességgel. Napjainkra a 802.11b
gyakorlatilag kiszorította.
802.11a
Az 5 GHz-es sávban működő WLAN szabvány. 54 Mbps a
maximálisan elérhető sebesség. Magyarországon
licenszdíj-köteles a frekvencia, így otthoni és
irodai felhasználásra kevésbé elterjedt, mint a
802.11b és g. OFDM modulációt alkalmaz, nyolc
csatornával bír, a 802.11b-nél a magasabb frekvencia
miatt rövidebb a hatótávolság.
802.11b
A 2.4 GHz-es ISM sávban működő WLAN szabvány. 11
Mbps a maximálisan elérhető sebesség elméletben, ez
a valóságban - mivel a legtöbb eszköz csak
half-duplex - körülbelül 5.5 Mbps. Modulációra
DSSS-t használ CCK-val; 14 csatornával bír, azonban
ezek közül csak három nem átlapolódó, valamint egyes
országok korlátozzák a használható csatornák számát.
802.11b+
A 802.11b-nek létezik egyes gyártók által házi
szabványként bevezetett kiterjesztése, a 802.11b+.
Ezek - gyártótól függően - 22, 33, 44 Mbps
sebességre képesek. Jellemzően csak ugyanazon gyártó
eszközei működnek együtt.
802.11e
2003 júniusa óta tervezett szabvány. QoS (Quality of
Service) erősítéseket definiálnak benne helyi
hálózaton futó alkalmazások számára. Ez a szabvány
mérföldkő a késleltetés-érzékeny alkalmazások
szempontjából, mint például Voice over (Wireless) IP
és a multimédiás alkalmazások.
802.11g
A 2.4 GHz-es ISM sávban működő WLAN szabvány. 54
Mbps a maximális elérhető sebesség elméletben. 20
Mbps felett OFDM modulációt, az alatt DSSS-t használ
CCK-val. A 802.11b-hez hasonlóan 14 csatornát
allokál, ebből három nem átlapolódó. Bizonyos
országok korlátozzák a felhasználható csatornák
számát.
802.11i
A 802.11 következő generációs titkosítási megoldása.
Két új kriptelési eljárást integráltak a szabványba:
Temporal Key Integrity Protocol (TKIP) és Advanced
Encryption Standard (AES). Az AES-nek új hardverre
lesz szüksége, ha elkészül.
802.11j
A japán megfelelője a 802.11a Amerikában használatos
szabványnak. 4.9-5.0 GHz között működik, 54 Mbps a
névleges sebesség.
802.11n
2004 januárban az IEEE bejelentette, hogy új WLAN
szabványt írnak. Az elérhető maximális sebesség 100
Mbps lesz. A szabványt 2005 végére ígérik.
A
teljesség igénye nélkül, csupán rövid leírással
szeretnénk segítséget nyújtani a WLAN kapcsolatok
egyéni tervezéséhez. Természetesen érdemes minden
esetben szakember véleményét is kikérni, a tervezett
hálózat pontos megvalósíthatóságát illetően.
A link
megtervezése során alapvető feltételek vannak,
amelyek megléte - vagy hiánya - determinálja a
kapcsolat minőségét.
Elsődleges szempont a rálátás és a Fresnel-zóna
lehetőség szerint hiánytalan megléte.
A második az eszköz és az antenna közötti távolság,
amely meghatározza a csatlakozókon és a kábelen
keletkező veszteséget. A következő az adó és a vevő
teljesítménye illetve érzékenysége, valamint az
áthidalandó távolság. A tervezéshez és néhány
alapfogalomhoz nagyon jó link található a
http://www.swisswireless.org/wlan_calc_en.html
címen.
Nem elhanyagolható tényező a berendezések minősége
és teljesítménye sem, de a legnagyobb buktató és
legdominánsabb veszteségforrás mégis a kábel és a
csatlakozók. Ezek forrasztása, krimpelése házi
eszközökkel meglehetősen körülményes és nehézkes. A
túlzott tartalékok elsősorban az 5GHz-es
tartományban okozhatnak jelentős zavarokat a
kommunikációban. A reflexió és a rosszul felszerelt
antenna ugyancsak számos probléma forrása lehet.
Néhány esetben egy kisebb nyereségű antenna akár
jobb vételt is biztosíthat, mint egy nagyobb
nyereségű...
Minden esetben (de elsősorban Budapesten) célszerű
egy gyors, tájékoztató mérést végezni a telepítés
előtt, hogy mennyire foglaltak a sávok az adott
helyszínen.
Minden esetben célszerű a linkeket maximálisan
biztonságosra tervezni, a VPN-t, esetleg tűzfalat is
beleértve. A tűzfal, a MAC szűrés, a legalább 128
bites WEP, VPN nélkül ma már nem igazán illik (és
lehet) a WLAN frekvenciákon „mozogni”. Ha teljesen
„zsúfolt” a 2,4 GHz-es sáv, még mindig előttünk a
lehetőség, hogy akár egy konverterrel felmenjünk az
5,8 GHz-re.
A vezetéknélküli hálózatok biztonsága:
A vezetéknélküli hálózatok biztonsági szempontból
számos olyan gyenge pontot tartalmazhatnak, amelyek
révén teljes informatikai rendszerek válhatnak
kiszolgáltatottá a különböző támadásokkal szemben.
A vezetéknélküli (WLAN) hálózatok egyre népszerűbbek
az otthoni és a vállalati felhasználók körében is. A
piacon egyre többféle, vezetéknélküli hálózati
megoldásokat támogató eszköz jelenik meg. Az ezek
által kínált funkciók valamint szolgáltatások száma
és megbízhatósága folyamatosan nő, miközben az áruk
csökken. Így a népszerűségük is mind nagyobb a
vásárlók körében. De eközben a biztonsági kérdések
sokszor háttérbe szorulnak, pedig a vezetéknélküli
hálózatok komoly kockázatokat rejtenek. A megfelelő
szintű biztonság csak jól átgondolt, többrétegű
védelmi megoldásokkal biztosítható. A következőkben
őt pontban összefoglaljuk a WLAN hálózatok
biztonságos kialakításához és üzemeltetéséhez
szükséges védelmi intézkedések körét.
1. Fel kell fedni, és ki kell zárni a WLAN
hálózatokat illegálisan használó személyeket
A WLAN hálózatok esetében az illetéktelen
rendszerhozzáférések jelentik az egyik legkomolyabb
problémát. A vezetéknélküli hálózatok és eszközök
(beleértve a hozzáférési pontokat (Access Point, AP),
a WLAN kompatibilis notebookokat, a vezetéknélküli
vonalkódolvasókat, és nyomtatókat) komoly
fenyegetettséget jelenthetnek a vállalati hálózatok
számára, ugyanis szabad belépési pontokat adhatnak a
támadók és a rosszindulatú felhasználók kezébe. Sok
esetben elég lehet egy hozzáférési pont, valamint
egy WLAN kártya egy notebookba, és a jogosulatlan
hálózati hozzáférés máris megvalósítható.
További problémát jelent, hogy általában a
vezetéknélküli hálózatokhoz kapcsolódó eszközök
alapértelmezésként olyan beállításokkal működnek,
amelyek csekély biztonságot nyújtanak, és ezért
könnyen felhasználhatók különböző támadásokhoz.
Ugyancsak veszélyesek lehetnek az egymáshoz közel
lévő vezetéknélküli hálózatok, ugyanis megvan annak
a kockázata, hogy nem megfelelő konfigurációk esetén
a két hálózat "összeakad".
Több olyan megoldás is létezik, amelyek segítenek
kiszűrni a jogosulatlan hozzáférési pontokat, és a
hálózati sérülékenységeket. A sebezhetőségek
felderítésére léteznek kereskedelmi alkalmazások is,
de az ingyenes szoftverek is hatékonyak lehetnek.
Ezek közé tartozik például a NetStumbler és a Kismet
is. John Girard, a Gartner egyik biztonsági
szakértője szerint jó megoldás a sebezhetőségek
kiszűrésére, hogy egy kézi "sniffer" eszközzel végig
kell járni a hálózat határait, és felderíteni az
illetéktelen hálózati hozzáféréseket.
Sok biztonsági szakértő szerint a legjobb megoldást
a folyamatos hálózatfigyelés jelenti. Ebből azonnal
kiderül, hogy a felhasználók az adott hozzáférési
ponton keresztül mikor csatlakoztak a hálózathoz, és
mennyi adatot forgalmaztak. Ezek mellett az
adatforgalom is valós időben monitorozható. John
Girard a vezetéknélküli IDS (Intrusion Detection
Sensors) érzékelők bevezetését is javasolja.
2.
Hozzáférési pontok felügyelete
A vezetéknélküli hálózatok esetében is figyelmet
kell fordítani a határvédelem megfelelő
kivitelezésére. A hordozható számítógépeket olyan
szoftverekkel kell ellátni, amelyek az esetleges
sérülékenységeket felismerik, és értesítést küldenek
ezekről a notebook felhasználójának valamint a
vállalat IT szakembereinek. Az ilyen szoftvereknek a
vállalati biztonsági szabályok betartatását is elő
kell segíteniük. A könnyebb kezelhetőség, és a
nagyobb biztonság érdekében érdemes vállalati szintű
hozzáférési pontokat telepíteni.
A hozzáférési pontok SSID (Service Set Identifiers)
azonosítóját lehetőleg meg kell változtatni, ugyanis
minden gyártó cég saját azonosítót használ, amelyek
felhívhatják a támadók figyelmét a vezetéknélküli
hálózat gyenge biztonsági szintjére. Néhány SSID:
Cisco - "tsunami"
Linksys - "linksys"
Intel és Symbol - "101".
Fontos, hogy az új SSID-t úgy válasszuk meg, hogy az
ne közöljön információkat a hálózat helyéről és
egyéb paramétereiről, mert ebből a támadók értékes
adatokhoz juthatnak.
A vállalati szintű elérési pontok többsége lehetővé
teszi a MAC címek alapján történő hozzáférés
szabályozást. Ezt érdemes használni, hiszen egy
olyan alap segédeszközt nyújt, amellyel jól
behatárolható a WLAN-hoz kapcsolódó számítógépek
köre. A módszer egyik hátránya, hogy nagyobb
hálózatok esetében ennek kezelése nem egyszerű
feladat, és sokkal komplexebb szűrési módszereket
kell bevezetni.
Egyes hozzáférési pontok olyan funkcióval is
rendelkeznek, amely csak akkor engedélyezi a
hálózathoz való kapcsolódást, ha az adatátviteli
sebesség elér egy meghatározott értéket. Ezt
felhasználhatjuk arra, hogy a távolabbról (pl.
parkoló autóból vagy egy másik emeletről)
hálózatunkhoz kapcsolódni próbáló (a távolság miatt
alacsonyabb sávszélességgel rendelkező) támadót
kizárjuk.
3. Titkosítás és autentikáció
A titkosítás és az autentikáció a vezetéknélküli
hálózatok biztonságának alapkövei. Több módszer is
elterjedt ezek megvalósítására, de az
alkalmazásukkor nagyon körültekintőnek kell lenni.
2001-ben a kutatók és a hackerek is bemutattak olyan
módszereket, amelyek a 802.11-es előírásoknak
megfelelő WLAN hálózatokhoz tartozó WEP (Wired
Equivalency Policy ) titkosítást hatástalanították.
A hackerek az Interneten olyan szoftvereket is
közzétettek, amelyekkel szintén a WEP titkosítást
lehet feltörni. A WEP könnyű feltörhetőségének
bebizonyítása után sok fejlesztő cégnél megrendült a
bizalom a WEP iránt, így a vezetéknélkül megoldások
még védtelenebbé váltak. Mindezek ellenére a WLAN
hálózatok esetében is lehet alkalmazni hatásos
biztonsági megoldásokat. Ezek közé tartozik a RADIUS
szerverek használata, és a VPN (Virtual Private
Network) alkalmazása is. A VPN segítségével
biztonságos kapcsolat építhető fel a végponti eszköz
és a szerver vagy a tűzfal között. A RADIUS
szerverek pedig az autentikációt támogatják annak
érdekében, hogy a hálózati erőforrások elérése minél
biztonságosabb legyen.
4. A vezetéknélküli hálózatok használatának
szabályozása
Napjainkban a cégeknél már szükség van megfelelően
összeállított biztonsági szabályzatokra. Ezeknek
természetesen a vezetéknélküli hálózatok használati
módjára is ki kell terjedniük. A szabályzatoknak
tartalmaznia kell a WLAN eszközök biztonságára
vonatkozó utasításokat, és a kezelésükkel valamint a
karbantartásukkal kapcsolatos követelményeket. Az
összeállításuknál azonban arra is ügyelni kell, hogy
ne hozzunk olyan szükségtelen intézkedéseket,
amelyek a hálózat hatékonyságát feleslegesen
csökkentik.
A WLAN-hoz kapcsolódó szabályok közül a
legfontosabbaknak a hozzáférési pontok használatával
kell foglalkozniuk. Ezekben a szabályokban meg kell
határozni, hogy ki veheti igénybe a hozzáférési
pontokat, és ki, milyen beállításokat végezhet el
azokon. Gondoskodni kell arról, hogy csak az arra
kijelölt személyek módosíthassák a konfigurációkban
szereplő WEP, SSID, VPN, stb. beállításokat.
Szabályozni kell, hogy ki, milyen sebességű WLAN
csatornához férhet hozzá, és milyen időpontokban
használhatja azt. Természetesen ebben az esetben is
igaz, hogy a leírt szabályok nem érnek semmit, ha
azok betartatásával senki sem foglalkozik.
5. Behatolás érzékelés és behatolás megelőzés
A behatolás érzékelés és megelőzés nemcsak a
vezetékes hálózatok esetében nagyon fontos. A WLAN
hálózatokhoz is hatékonyan használhatók, és a
segítségükkel a támadások még azelőtt kiszűrhetők
még mielőtt azok elérnék a vezetékes helyi
hálózatokat.
Az IDS megoldások a WLAN hálózatok esetében is 24
órás monitorozó funkciót látnak el, és használhatók
a 802.11a/b/g protokollok esetében is. A folyamatos
hálózatfigyelés révén nemcsak megakadályozhatók a
támadások, hanem ki is elemezhetők. Protokoll
analízisek, statisztikák és szabálymegsértési
jelentések is készíthetők a segítségükkel.
Összefoglalva elmondható, hogy a vezetéknélküli
hálózatok bevezetése és üzemeltetése kellő
odafigyelés hiányában meglehetősen nagy kockázatot
jelenthet a vállalatok informatikai
infrastruktúrájára. Azonban megfelelő, többszintű
biztonsági intézkedésekkel hatékony és
kockázatarányos védelem valósítható meg.
|
