Wi-Fi

Z Wikipedie, otevřené encyklopedie
Skočit na navigaci Skočit na vyhledávání
Často používané logo Wi-Fi

Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wi-fi, wifi) je v informatice označení pro několik standardů IEEE 802.11 popisujících bezdrátovou komunikaci v počítačových sítích (též Wireless LAN, WLAN). Samotný název WiFi vytvořilo Wireless Ethernet Compatibility Aliance. Tato technologie využívá tak zvaného „bezlicenčního frekvenčního pásma“,[1][2][3] proto je ideální pro budování levné, ale výkonné sítě bez nutnosti pokládky kabelů. Název původně neměl znamenat nic,[4] ale časem se z něj stala slovní hříčka wireless fidelity (bezdrátová věrnost) analogicky k Hi-Fi (high fidelity – vysoká věrnost).

Historie[editovat | editovat zdroj]

Wi-fi jako takový není zcela nový standard. Je založen na principu rozprostřeného spektra, který si roku 1942 nechali patentovat hudební skladatel George Antheil a herečka rakouského původu Hedy Lamarr. Němci se tehdy zabývali rádiově řízenými torpédy, ale toto rádiové ovládání mohl nepřítel rušit. Výše zmínění vymysleli ideu, jak by náhodná změna vysílacích kanálů snížila riziko nepřátelského rušení. Roku 1962 elektronický děrný pás umožnil přenos rádiové komunikace mezi americkými loděmi. Mezi 60. a 80. rokem se tato technologie využívala výhradně pro vojenské účely a na začátku 80. let byla uvolněna i pro civilní využití.

V roce 1997 publikoval mezinárodní standardizační institut IEEE (z angl. Institute of Electrical and Electronic Engineers) specifikaci standardu bezdrátové sítě pracující v pásmu ISM pod označením IEEE 802.11. V roce 1999 se tento standard rozšířil o další dvě specifikace 802.11a a 802.11b a byla založena organizace WECA (Wireless Ethernet Compatibility Alliance), v roce 2002 byla přejmenována na Wi-Fi Alliance. Aliance přiděluje po splnění podmínek logo, které ujišťuje kupujícího, že jeho zařízení je schopno komunikovat s ostatními zařízeními se stejným logem.

V roce 2014 je v prodávaných zařízeních nejčastěji podporován standard 802.11g z roku 2003, který zvýšil teoretickou rychlost v pásmu 2,4 GHz na 54 Mbit/s (reálné přenosové rychlosti jsou zhruba poloviční). Standard 802.11n z roku 2008 kromě zvýšení maximální rychlosti také podporuje kromě frekvence 2,4 GHz i pásmo 5 GHz (nepovinně) a přinesl technologii MIMO (Multiple-input multiple-output – mnohonásobný vstup i výstup), která umožňuje mezi zařízeními zároveň komunikovat na více frekvencích (podle počtu antén). V roce 2013 následoval standard 802.11ac a v roce 2014 pak 802.11ad. V roce 2020 obsahují běžně prodávaná mobilní zařízení podporu standardu 802.11ac.

Související informace naleznete také v článku IEEE 802.11.

Bezlicenční pásmo[editovat | editovat zdroj]

Ke každé bezdrátové síti musí mít provozovatel od státu patřičnou licenci pro vysílání v určité frekvenci, tzv. licencované pásmo. Frekvencí není nekonečné množství, proto je stát za vysoké částky pronajímá (licencuje) a nájemce pásma pak i chrání (před rušením nebo neoprávněným užíváním pásma). Protože je ale rádiové vysílaní na některých frekvencích pohlcováno například vodou při dešti (čehož využívá mikrovlnná trouba), nelze takové frekvence pronajímat (naopak je do těchto frekvencí směrováno rušení generované různými přístroji). Tato komerčně nevyužitelná frekvenční pásma byla uvolněna jako tzv. bezlicenční pásmo ISM (2,4 GHz) pro průmyslové, vědecké a lékařské využití,[1][2] je však v nich nutné dodržovat podmínky stanovené Českým telekomunikačním úřadem.[3] Toto pásmo začali využívat výrobci bezdrátových sítí, přičemž zpočátku měl každý výrobce vlastní technologie, ale časem se projevila výhodnost jednotných standardů (Wi-Fi, Bluetooth, WiMAX atp.).

Charakteristika[editovat | editovat zdroj]

Původním cílem Wi-Fi sítí bylo zajišťovat vzájemné bezdrátové propojení přenosných zařízení a dále jejich připojování na lokální (např. firemní) sítě LAN. S postupem času začala být využívána i k bezdrátovému připojení do sítě Internet v rámci rozsáhlejších lokalit a tzv. hotspotů. Wi-Fi zařízení jsou dnes prakticky ve všech přenosných počítačích a i v některých mobilních telefonech. Úspěch Wi-Fi přineslo využívání bezlicenčního pásma, což má negativní důsledky ve formě silného zarušení příslušného frekvenčního spektra.[1] Komerčním nástupcem Wi-Fi měla být bezdrátová technologie WiMAX zaměřená na zlepšení přenosu signálu na větší vzdálenosti, která se však u mobilních operátorů neujala.

Wi-Fi zajišťuje komunikaci na spojové vrstvě, zbytek je záležitost vyšších protokolů (na rozdíl od Bluetooth, který sám o sobě zajišťuje nejrůznější služby). Typicky se proto přenášejí zapouzdřené ethernetové rámce. Pro bezdrátovou komunikaci na sdíleném médiu (šíření elektromagnetického pole prostorem) je používán protokol CSMA/CA (Ethernet používá na vodičích CSMA/CD).

Bezpečnostní rizika[editovat | editovat zdroj]

Bezdrátové sítě nejsou omezeny budovou (do které lze omezit vstup) a jejich dosah tak umožňuje případnému útočníkovi nerušenou práci pro útok na domácí nebo podnikovou LAN. Útočník může využít dosah bezdrátové sítě a zaútočit z větší vzdálenosti, protože pro úspěšné připojení stačí aby jen jeden konec bezdrátové komunikace používal výkonnou směrovou anténu (může sledovat síťové přenosy, vytvářet je nebo je ovlivňovat).[5] Pro sledování bezdrátového provozu jsou určeny technologie Prevence narušení bezdrátových systémů (WIPS) nebo detekce narušení bezdrátových systémů (WIDS, například program Kismet). Proto je velmi důležité správné nastavení zabezpečení bezdrátové sítě (přístup s pomocí hesla, volba moderního zabezpečení) na přístupovém bodu (AP).

Přítomnost více vysílačů Wi-Fi signálu zvyšuje přesnost určení polohy, čehož využívají jak telefony se systémem Android, tak iOS.[6][7] Monitorování Wi-Fi signálu lze využít i ke sledování pohybu „za zdí“.[8]

Pro zjišťování podrobných informací o okolních bezdrátových sítí k dispozici program inSSIDer nebo NetStumbler (Microsoft Windows). Shromažďování informací o umístění bezdrátových sítí se nazývá „Warchalking“ nebo „Wardriving“. Pro analýzu bezdrátového síťového provozu slouží program Kismet (multiplatformní), na demonstraci slabých míst (zranitelností) lze použít nástroj Aircrack-ng.

Struktura bezdrátové sítě[editovat | editovat zdroj]

Bezdrátová síť může být vybudována různými způsoby v závislosti na požadované funkci. Ve všech případech hraje klíčovou roli identifikátor SSID (Service Set Identifier), což je řetězec až 32 ASCII znaků, kterými se jednotlivé sítě rozlišují. SSID identifikátor je v pravidelných intervalech vysílán jako broadcast, takže všichni potenciální klienti si mohou snadno zobrazit dostupné bezdrátové sítě, ke kterým je možné se připojit (tzv. asociovat se s přístupovým bodem). Nejjednodušším způsobem, jak bezdrátovou síť skrýt, je zamezit vysílání SSID. Připojující se klient pak musí SSID předem znát, jinak se nedokáže k druhé straně připojit. Protože je však SSID při připojování klienta přenášeno v čitelné podobě, lze ho snadno zachytit a skrytou síť odhalit.

Související informace naleznete také v článku SSID.

Ad-hoc sítě[editovat | editovat zdroj]

V ad-hoc síti se navzájem spojují dva klienti, kteří jsou v rovnocenné pozici (peer-to-peer). Vzájemná identifikace probíhá pomocí SSID. Obě strany musí být v přímém rádiovém dosahu, což je typické pro malou síť nebo příležitostné spojení, kdy jsou počítače ve vzdálenosti několika metrů.

Infrastrukturní sítě[editovat | editovat zdroj]

Typická infrastrukturní bezdrátová síť obsahuje jeden nebo více přístupových bodů (AP – Access Point), které vysílají své SSID. Klient si podle názvů sítí vybere, ke které se připojí. Několik přístupových bodů může mít stejný SSID identifikátor a je plně záležitostí klienta, ke kterému se připojí. Může se například přepojovat v závislosti na síle signálu a umožňovat tak klientovi volný pohyb ve větší síti (tzv. roaming).

Související informace naleznete také v článku Access point.

Pojmy vztahující se k Wi-Fi[editovat | editovat zdroj]

Access Point[editovat | editovat zdroj]

Přístupový bod (AP) slouží k připojení klientů (notebook, mobilní telefon). AP řídí komunikaci mezi zařízeními, a proto se taková síť označuje jako infrastrukturní. AP obvykle vykonává funkci bridge (most) nebo routeru (brány).

Router[editovat | editovat zdroj]

Brána (gateway, router) je v počítačových sítích uzel, který spojuje dvě různé sítě. U Wi-Fi se tak označují zařízení, které zprostředkovávají přístup do lokální sítě (LAN) nebo Internetu (tj. jsou připojeny k poskytovateli internetového připojení) a zároveň poskytují úplně oddělení od bezdrátové sítě (LAN/poskytovatel používá jiné IP adresy, než bezdrátoví klienti a dochází k směrování nebo překladu síťového provozu). Někdy obsahuje funkci firewallu.

Bridge[editovat | editovat zdroj]

Bridge (most) je typ AP, které umožňuje propojit bezdrátovou síť a lokální síť (LAN) tak, že bezdrátoví klienti jsou ve stejné podsíti. Znamená to, že se bezdrátoví klienti chovají stejně, jako by byli připojeni k LAN přímo (kabelem), resp. pomocí bridge dojde k transparentnímu rozšíření LAN sítě na bezdrátové klienty (není potřeba jiné nastavení u LAN klientů a bezdrátových klientů). Nevýhodou je možné zahlcení bezdrátové sítě broadcasty.

WISP[editovat | editovat zdroj]

WISP režim (režim klient, anglicky Wireless Internet service provider) umožňuje přístupový bod (AP) bezdrátově připojit k poskytovateli internetového připojení (AP je v roli bezdrátového klienta) a do LAN konektorů připojit vlastní počítače (typicky se automaticky zapne překlad adres NAT). V tomto režimu tedy není možné v domácnosti bezdrátově připojit například mobilní telefon (bylo by potřeba druhé AP nebo by zařízení muselo mít dvě bezdrátové části, tzv. client-to-multiclient).

WPS[editovat | editovat zdroj]

Wi-Fi Protected Setup umožňuje po stisknutí tlačítka na přístupovém bodě automaticky připojit bezdrátového klienta (např. mobilní telefon).

Zabezpečení bezdrátové sítě[editovat | editovat zdroj]

Problém bezpečnosti bezdrátových sítí vyplývá zejména z toho, že jejich signál se šíří i mimo zabezpečený prostor bez ohledu na zdi budov, což si mnoho uživatelů neuvědomuje. Dalším problémem je fakt, že se dříve bezdrátová zařízení prodávaly s nastavením bez jakéhokoliv zabezpečení, aby po zakoupení fungovala ihned po zapojení do zásuvky. Nezvaný host se tak mohl snadno připojit i do velmi vzdálené bezdrátové sítě jen s pomocí směrové antény, i když druhá strana výkonnou anténu nemá. Starší zabezpečení bezdrátových sítí je možné obejít (např. WEP).

Bezpečnost bezdrátových sítí můžeme rozdělit do dvou hlavních skupin:

  • šifrování = zabezpečení přenášených dat před odposlechem
  • autorizace = řízení přístupu oprávněných uživatelů

Zablokování vysílání SSID[editovat | editovat zdroj]

Zablokování vysílání SSID sice porušuje standard, ale je nejjednodušším zabezpečením bezdrátové sítě pomocí jejího zdánlivého skrytí. Klienti síť nezobrazí v seznamu dostupných bezdrátových sítí, protože nepřijímají broadcasty se SSID. Ovšem při připojování klienta k přípojnému bodu je SSID přenášen v otevřené podobě a lze ho tak snadno zachytit. Při zachytávání SSID při asociaci klienta s přípojným bodem se používá i provokací, kdy útočník do bezdrátové sítě vysílá rámce, které přinutí klienty, aby se znovu asociovali.

Kontrola MAC adres[editovat | editovat zdroj]

Přípojný bod bezdrátové sítě má k dispozici seznam MAC adres klientů, kterým je dovoleno se připojit (tzv. whitelist). Zrovna tak je možné nastavit blokování určitých MAC adres (blacklist). Útočník se může vydávat za stanici, která je již do bezdrátové sítě připojena pomocí nastavení stejné MAC adresy (pokud je na AP tato funkce aktivní).

802.1X[editovat | editovat zdroj]

Přístupový bod vyžaduje autentizaci pomocí protokolu IEEE 802.1X. Pro ověření je používán na straně klienta program, který nazýváme prosebník (suplikant), kterému přístupový bod zprostředkuje komunikaci s třetí stranou, která ověření provede (například RADIUS server). Za pomoci 802.1X lze odstranit nedostatky zabezpečení pomocí WEP klíčů.

Související informace naleznete také v článku IEEE 802.1X.

WEP[editovat | editovat zdroj]

Šifrování komunikace pomocí statických WEP klíčů (Wired Equivalent Privacy) symetrické šifry, které jsou ručně nastaveny na obou stranách bezdrátového spojení. Kvůli nedostatkům v protokolu lze zachycením specifických rámců a jejich analýzou lze klíč relativně snadno získat (programem Aircrack-ng). Autentizace přístupu do WPA sítě je prováděno pomocí PSK (Pre-shared key – obě strany používají stejnou dostatečně dlouhou heslovou frázi), RADIUS serverem (ověřování přihlašovacím jménem a heslem) nebo dalšími variantami EAP protokolu.

Související informace naleznete také v článku Wired Equivalent Privacy.

WPA[editovat | editovat zdroj]

Kvůli zpětné kompatibilitě využívá WPA (Wi-Fi Protected Access) WEP klíče, které jsou ale často dynamicky bezpečným způsobem měněny (protokoly TKIP, CCMP). Pro průběžnou změnu klíčů slouží speciální doprovodný program, který nazýváme prosebník (suplikant). Z tohoto důvodu bylo možné doplnit WPA i do staršího hardware a výrobci nemuseli uvádět na trh úplně nová zařízení. PSK klíč lze zjistit pouze slovníkovou metodou (tj. zkoušením různých hesel proti odposlechnuté variantě úspěšné autentizace).

Související informace naleznete také v článku Wi-Fi Protected Access.

WPA2[editovat | editovat zdroj]

Novější WPA2 přináší kvalitnější šifrování (šifra AES), která však vyžaduje větší výpočetní výkon, a proto nelze WPA2 používat na starších zařízeních.

Související informace naleznete také v článku IEEE 802.11i.

WPS[editovat | editovat zdroj]

Pro snadnější připojení do bezdrátové sítě je možné se připojit pomocí WPS. Na zařízení může být WPS tlačítko, kdy po jeho zmáčknutí lze se po omezený čas to bezdrátové sítě připojit bez autentizace. Místo tlačítka může být zadán osmimístný PIN (oba zppůsoby lze kombinovat). Číselný kód však lze v poměrně krátké době uhádnout zkoušením různých variant. Novější zařízení proto obsahují omezení počtu pokusů o připojení, případně lze WPS úplně vypnout.

Související informace naleznete také v článku Wi-Fi Protected Setup.

Šifrování[editovat | editovat zdroj]

Moderní metody zabezpečeného připojení k bezdrátové síti zajišťují šifrování veškerých přenášených dat. Pokud někdo odposlouchává, nemá tak možnost zjišťovat některé detaily o dotyčné síti nebo o příslušném síťovém provozu (např. analýzou MAC adres, IP adres, DNS dotazů, ARP, nešifrovaných hlaviček HTTPS atd.). Připojení k nešifrované bezdrátové síti však není přímým ohrožením sítě nebo uživatele, protože důležitý síťový provoz je v současnosti šifrován i sám o sobě (tj. přenosy webového obsahu pomocí HTTPS, SSH) nebo kontrolována integrita přenášených dat (DNSSEC, elektronický podpis atp.).

VPN[editovat | editovat zdroj]

Pomocí VPN lze rozdělit klienty bezdrátové sítě podle důvěryhodnosti a tím jim povolit nebo znemožnit přístup u určitým částem vnitřní sítě LAN.

RF stínění[editovat | editovat zdroj]

Pomocí speciální barvy na zdi a okenních fólií lze oslabit bezdrátový signál, což znesnadní případné neoprávněné připojování k bezdrátové síti.[9]

Vliv na zdraví[editovat | editovat zdroj]

Spekulace, že elektrosmog produkovaný Wi-Fi negativně ovlivňuje některé živé organismy[10] nebyly potvrzeny.

Reference[editovat | editovat zdroj]

  1. a b c ČÍŽEK, Jakub. Meteorologové varují: Bezdrátový internet nám ruší radary [online]. zive.cz, 2014-11-25 [cit. 2014-11-25]. Dostupné online. 
  2. a b Využívání vymezených rádiových kmitočtů [online]. Praha: Český telekomunikační úřad [cit. 2015-05-06]. Dostupné online. 
  3. a b Směrnice č. VO-R/12/09.2010-12 ze dne 29. září 2010, Všeobecné oprávnění č. VO-R/12/09.2010-12 k využívání rádiových kmitočtů a k provozování zařízení pro širokopásmový přenos dat v pásmech 2,4 GHz až 66 GHz (vydal Český telekomunikační úřad). [PDF, cit. 2015-05-06]. Dostupné online.
  4. http://boingboing.net/2005/11/08/wifi-isnt-short-for.html WiFi isn't short for "Wireless Fidelity"
  5. AXXXR. Bluetooth-cracking gun. Def Con [online]. 2004-08-06 [cit. 2020-09-28]. Dostupné online. 
  6. LAWSON, Stephen. Computer World [online]. 2013-10-12 [cit. 2020-09-28]. Dostupné online. 
  7. RAIS, Michael. WiFi lokalizace pro Android [online]. Masarykova univerzita, 2014 [cit. 2020-09-28]. Dostupné online. 
  8. CESNET CERTS. Postřehy z bezpečnosti: batmanův sonar v kapse. root.cz [online]. 2018-11-12 [cit. 2020-09-28]. Dostupné online. ISSN 1212-8309. 
  9. How to: Improve Wireless Security with Shielding [online]. [cit. 2013-09-29]. Dostupné online. 
  10. http://www.dailymail.co.uk/sciencetech/article-1332310/Is-Wi-Fi-killing-trees-Dutch-study-shows-leaves-dying-exposure-Wi-Fi-radiation.html

Související články[editovat | editovat zdroj]

Externí odkazy[editovat | editovat zdroj]