Bezdrátové sítě s 802.11 "gé"

Ani neexistence konečného standardu nezabránila na jaře příchodu první úrody produktů pro bezdrátové síťové při...


Ani neexistence konečného standardu nezabránila na jaře příchodu první úrody
produktů pro bezdrátové síťové připojení 802.11g (54 Mb/s, frekvence 2,4 GHz)
na trh. Otestovali jsme celkem sedm přístupových bodů dostupných na našem trhu
a podívali jsme se jim na zoubek.
Výrobky, které vám v následujícím textu představíme, se orientují především na
trh malých firem, kanceláří a domácích sítí. Testovali jsme produkty
společností Apple, Belkin, Buffalo Technology, D-Link Systems, Linksys, Netgear
a SMC Networks.
Ale je kterýkoliv z těchto produktů připraven pro nasazení v reálném provozu?
Specifikace 802.11g je sice dokončena, avšak výrobci stále (vzhledem k novosti
standardu) pracují na vylepšování firmwarů. Všechny námi testované produkty
jsou ugradovatelné, ale je nesnadné říci, jak změny ovlivní výkonnost.
Produkty AirPlus Xtreme G Wireless Router DI-624 od D-Linku a 54g Wireless
Network Access Point od Belkinu dosáhly nejlepšího hodnocení a vysloužily si
redakční ocenění. DI-624 D-Linku zazářil, když z celého startovního pole
zaznamenal nejvyšší výkon, Belkin se naopak blýskl snadnou instalací i správou
a přitom slušným výkonem.

Rychlost a dosah
Jelikož standard 802.11g používá stejné rádiové spektrum a také poskytuje
volitelnou zpětnou kompatibilitu s 802.11b pohlíží se na něj jako na jeho
následníka. Specifikace stanovila rychlost přenosu dat na až 54 Mb/s, ale v
testech jsme naměřili průměrně kolem 14,97 Mb/s. Rozdíl mezi proklamovanou
rychlostí a našimi průměrnými výsledky je podobný rozdílům zjištěným u produktů
verzí 802.11a a 802.11b, což ukazuje, že režie pohlcuje velkou část výkonu
(přibližně více než jednu třetinu). Co je však důležité, rychlosti přenosu dat
dosahované s 802.11g jsou ve srovnání s 802.11b výrazně vyšší. D-Link dosahoval
ze všech testovaných produktů nejvyšších hodnot až 24,73 Mb/s.
Avšak zaznamenali jsme pokles výkonu, pokud zařízení 802.11g pracuje v duálním
módu 802.11b/g. Zde přístupový bod při spojení s jakýmkoliv zařízením 802.11b
nouzově přepíná na nižší přenosovou rychlost. Některá zařízení byla citlivější
na "nouzové" přenosové rychlosti, a tak se nakonec mohou jevit jako pomalejší.
Pro dosažení optimálních výsledků (a jako základnu pro posuzování výkonnosti)
jsme u produktů používali čistý režim 802.11g, pokud byl k dispozici. Když se v
blízkosti přístupového bodu používal klient 802.11b (různé 802.11b karty),
přenosové rychlosti klesaly na úroveň 802.11b. Rychlosti se budou pravděpodobně
měnit s příchodem nových firmwarů.
Geografické pokrytí bylo u všech výrobků v režimu 802.11g dost vyrovnané.
DI-624 D-Linku disponoval největším dosahem (104 m), naopak nejmenší rádiový
dosah (kolem 65 m) měl produkt společnosti Buffalo, který disponuje
integrovanou anténou. V režimu 802.11b/g měly všechny přístupové body nižší
dosah v průměru 85 m.

Zabezpečení 802.11g
Produkty, které jsme testovali poskytovali zabezpečení pouze prostřednictvím
WEP (Wired Equivalent Privacy) šifrování, s výjimkou Apple AirPort Extreme,
který podporoval RADIUS (Remote Authentication Dial-In User Service). Žádný z
nich dále nebyl vybaven bezpečnostní technologií WPA (Wi-Fi Protected Access),
která je navržena jako přemostění mezi standardy WEP a 802.11i.
Přicházející standard WPA např. obsahuje protokol TKIP (Temporal Key Integrity
Protocol) a přidává heslo pro kmenový přístupový bod. WPA také volitelně
připojuje klienty prostřednictvím protokolu Extensible Authentication Protocol
(EAP) k autentizátorovi podle 802.1X. Tím může být RADIUS server nebo jiná
komponenta síťové klíčové autentizační infrastruktury Apple AirPort Extreme byl
jediný přístupový bod, který může vyžadovat autentizaci RADIUS.

Závěr
Produkty založené na standardu 802.11g jsou určeny především pro domácí použití
a k nasazení v menších firmách a kancelářích, přičemž nekladou takový důraz na
bezpečnostní vlastnosti přístupových bodů, jaké vidíme u produktů zaměřených na
průmyslové a čistě firemní použití. Datové rychlosti od 15 do 25 Mb/s, jaké
nabízí 802.11g v našich testech, jsou daleko vyšší než rychlost 4 Mb/s u
802.11b. Je pravděpodobně bezpečné, aby první zájemci s vlastní autentizační
strukturou již začali podnikat první pokusy s 802.11g nárůst rychlosti je v
homogenních sítích založených na 802.11g okamžitý. Naopak ti, kteří budou
kombinovat prostředí 802.11b a 802.11g, zjistí, že přístupové body zatím
jednotně zpomalí, aby se přizpůsobily pomalejší rychlosti 802.11b.

Apple AirPort Extreme
AirPort Extreme jednoportová brána/směrovač se musí konfigurovat výhradně z
počítače Apple. Navíc nedisponuje rozhraním založeným na prohlížeči. Po
instalaci správcovské aplikace z přiloženého CD (na PowerBook G4 s OS X 10.2)
byl AirPort Extreme detekován a správně nakonfigurován v síti, k níž jsme byli
připojeni jeho WAN portem. Odhalili jsme přitom drobná omezení. AirPort Extreme
například omezuje svůj DHCP NAT rozsah na 10 adres mimo rozsah, který používáme
v naší laboratoři. DHCP lze jinak konfigurovat jako proxy pro DHCP připojení.
Bohužel na instalačním CD nenaleznete aplikaci pro firewall, i když AirPort
Extreme nabízí filtrování MAC adres.
AirPort Extreme také obsahoval volitelný modem, který může zajistit vytáčené
připojení k internetu, i když jej nelze nakonfigurovat tak, aby přešel na
vytáčené připojení, pokud selže spojení přes WAN. AirPort má také USB port pro
sdílená zařízení, jako jsou například tiskárny.
Jednou ze silných stránek AirPortu je jeho schopnost donutit klienta používat
Remote Authentication Dial-In User Service (RADIUS) server. Přestože to není
úplné autentizační zabezpečení podle 802.1X, je tento přidaný autentizační krok
vítaný a s naším laboratorním RADIUS serverem pracoval korektně. AirPort
Extreme vykazoval v našich testech dobrou výkonnost, ale jeho dosah byl lehce
pod průměrem. K dispozici je volitelně externí anténa, která by mohla dosah
zvýšit.

Belkin 54g Wireless Cable/DSL Gateway Router
Instalační procedura čtyřportového směrovače a přístupového bodu Belkin 54g nás
oslnila. Aplikace z CD neměla téměř žádné volby s výjimkou zatrhávacího políčka
pro vyjádření souhlasu s licenčními podmínkami. Možnosti nastavení byly
následně k dispozici při přístupu k hardwaru prostřednictvím rozhraní
internetového prohlížeče. Instalační aplikace přitom zmapovala síťovou
infrastrukturu naší laboratoře, našla směrovač, zjistila pro něj adresu DHCP,
spustila Network Address Translation (NAT) a plně oživila přístupový bod.
Jediným nedostatkem bylo, že rozhraní internetového prohlížeče nenabízí k
přihlášení standardní heslo nebo uživatelské jméno.
Konfigurace přístupového bodu zahrnuje nastavení vlastností firewallu a funkci
pro "rodičovskou kontrolu". 54g může pracovat ve dvou režimech buď jako
přístupový bod, nebo přístupový bod/směrovač. Všechny naše testy jsme prováděli
v režimu přístupový bod/ /směrovač. Zařízení lze také spravovat vzdáleně
prostřednictvím vyhrazené vzdálené IP adresy přes jeho WAN port. To je
potenciálně užitečné, ale kvůli slabému zabezpečení může být zařízení (vyžaduje
jen heslo) zranitelné při útoku, kdy se progresivně vysílají různá slova až do
prolomení hesla.
Příjemně nás překvapilo, když jsme zjistili, že přístupový bod dokáže
automaticky vyhledávat nové verze softwaru a nabízet je při příštím logování k
přístupovému bodu prostřednictvím prohlížeče. Tato vlastnost byla mezi
testovanými přístupovými body unikátní a s ohledem na vysokou frekvenci úprav
firmwaru je tato vlastnost velmi žádoucí.
Výkon zařízení co se týče propustnosti byl průměrný a vykazoval v distančním
testu lineární snižování rychlosti s rostoucí vzdáleností.

Buffalo AirStation WBR-G54
Buffalo AirStation bylo první zařízení 802.11g, které jsme obdrželi, přičemž v
průběhu tříměsíčního testování jsme měli k dispozici tři verze firmwaru.
AirStation lze konfigurovat z přiloženého CD a po instalaci obslužných programů
lze zařízení spravovat i prostřednictvím webového prohlížeče.
K testování jsme měli k dispozici model WBR-54 hybridní přístupový bod/brána/
směrovač/přepínač (se 4 porty), který nabízí volby pro DSL, kabel nebo tzv.
"pokročilé" nastavení. Pokročilé nastavení lze použít pro změnu standardní IP
adresy na jinou. Nová IP adresa zde zůstává jako odkaz na stránce, takže když
přístupový bod restartujeme, lze snadno navolit novu adresu přístupového bodu.
Další užitečnou funkcí je automatické rozpoznání WAN portu, který může být
připojen ke směrovači nebo rozbočovači zjistí rozdíl a přizpůsobí se v cca
třech sekundách správné elektrické kabeláži.
AirStation vykazoval v našem distančním testu nelineární degradaci výkonnosti,
jako kdyby rychlost skákala dopředu a dozadu v pokusech přizpůsobit se vyšší a
nižší úrovni signálu. Spojení v režimech 802.11b i 802.11g jsme ztratili asi po
30 metrech. K dispozici je zdířka pro externí anténu, ale tuhle vlastnost jsme
netestovali. Celková výkonnost v obou režimech byla průměrná.

D-Link AirPlus Xtreme G DI-624
D-Link AirPlus Xtreme G je přístupový bod a čtyřportový směrovač, který lze
nastavit prostřednictvím internetového prohlížeče nebo z CD. Lze zvolit
nastavení s pomocí průvodce pro netechnické uživatele nebo jiný způsob s
pokročilými parametry. AirPlus Xtreme G měl nejrychlejší propustnost ze všech
přístupových bodů, které jsme testovali v průměru okolo 24,73 Mb/s, se špičkou
26 Mb/s (i když s klientskou kartou BuffaloWL1-CB-G54).
Bezpečnost není nejsilnější stránkou na seznamu vlastností tohoto zařízení,
přestože zahrnuje WEP 64a 128bitové šifrování, filtraci uživatelů řízením
přístupu podle MAC adres nebo podle IP adres, blokování portů, přístup v
určeném čase řízený podle MAC adres nebo podle IP adres nebo blokování URL a
domén. Lze také použít základní "firewall" pro vytvoření pravidel pro povolení
či odmítnutí přístupu na základě vyhodnocování provozu, avšak postrádá stavovou
inspekci paketů a přednastavené firewallové aplikace založené na pravidlech.
AirPlusXtremeG měl v čistém režimu 802.11g největší použitelný radiální
prostorový dosah za všech testovaných přístupových bodů, ale nebyl nejrychlejší
ve smíšeném režimu 802.11b/g při měření s klienty 802.11b. Nicméně zaznamenal
vysokou nativní rychlost a dosah oboje velmi žádoucí charakteristiky.

Linksys Wireless-G WRT54G
Přístupový bod a čtyřportový přepínač/ /směrovač Linksys WRT54G lze nastavit
buď prostřednictvím průvodce z instalačního CD nebo webového prohlížeče.
Průvodce byl dobrý a "uhodl" síťovou infrastrukturu naší laboratoře, ale
nevyrovnal se průvodci Belkinu. Nicméně uživatelé si jím pravděpodobně
"neublíží".
WRT54G neobsahuje silné firewallové funkce. Bezpečnost sestává z WEP šifrování,
seznamu přístupových práv založeném na MAC adresách, filtrovaní portů, časového
řízení přístupu na bázi MAC a průchozí VPN podpory pro Point-to-Point Tunneling
Protocol a zabezpečení pro LAN založené na IP Security.
Zařízení se dostalo v několika sekundách na svůj výkon, který byl stálý ve
všech našich testech, přičemž ve smíšeném režimu (802.11b/g) byl jeho výkon
nejvyšší.

Netgear WG602 Wireless Access Point
V jednoduchosti je někdy krása. Instalace WG602 od Netgearu byla jednou z
nejjednodušších ze všech testovaných jednotek, i když třeba jen proto, že nemá
mnoho funkcí a voleb k nastavení. Přístupový bod podporuje WEP, 64a 128bitové
šifrování. Jako jiné přístupové body Netgearu používá i WG602 rozhraní
internetového prohlížeče, protože to ale není produkt pro domácí použití,
instalace je zaměřena spíše na správce sítí. Nenašli jsme způsob, jak WG602
vnutit čistý režim 802.11g, nicméně když našel klienty 802.11b, nezaznamenali
jsme obvyklou kanibalizaci šířky pásma.
Mysleli jsme, že s WG602 poběží nejrychleji karty Netgear 802.11a/b/g, ale
nezvykle s ním nejvyššího výkonu dosahovala bezdrátová LAN karta SMC. WG602 měl
také lineární výkonnost v našem distančním testu a ve smíšeném režimu 802.11b/g
byl výkonově nadprůměrný (opět jsme si však nebyli jisti, zda se vůbec jedná o
čistý režim 802.11g).

SMC Barricade g SMC2804WBR
Společnost SMC "napěchovala" do svého přístupového bodu a čtyřportového
směrovače SMC2804WBR (je kompatibilní s 802.11b/g sítěmi pro Windows a Apple)
aplikace pro můstek (bridge), směrovač a firewall. 2804, známý také jako
Barricade g Cable/DSL Broadband Router, lze nastavit s pomocí průvodce (domácí
užití) nebo aplikací pro pokročilé. Pokročilé nastavení zahrnuje volby pro
nastavení systému a sítí WAN/LAN, bezdrátovou konfiguraci (Service Set
Identifier a volbu čistého režimu nebo smíšeného režimu 802.11b/g). Dvojité
antény umístěné na přístupovém bodu jsou odnímatelné a lze je nahradil jinými
bezdrátovými LAN anténami navrženými pro vybavení 802.11b.
Firewallová ochrana používá kombinaci řízení přístupu, spojenou s inspekcí
stavů. Lze také nastavit různé kombinace vlastností pro zvýšení bezpečnosti
prostřednictvím uživatelsky definované filtrovací tabulky, filtrování pomocí
MAC (povolování přístupu), specifického uživatelsky definovaného blokování URL,
časovaného přístupu a detekce průniku.
Základní nastavení byla adekvátní pro většinu uživatelů z oblasti SOHO
(domácnost a malé kanceláře). Rozhraní internetového prohlížeče nevyužívá
dostatečně rozměry obrazovky, což ztěžovalo sledování logů.
Výkon SMC byl v našem distančním testu lineární a jako v případě ostatních
testovaných jednotek se snižoval na rychlost 802.11b, když se k němu přiřadilo
zařízení tohoto standardu. V čistém režimu 802.11g se výkon blížil průměru.

D-Link AirPlusXtremeG Wireless Router DI-624,
Belkin 54g Wireless Cable/DSL Gateway Router
Produkty AirPlusXtremeG Wireless Router DI-624 od D-Linku a 54g Wireless
Network Access Point od Belkinu dosáhly nejlepších výsledků a vysloužily si
redakční ocenění. Instalace, správa a výkon Belkinu byly velice dobré, a DI-624
od D-Linku s ohledem na čistý výkon pozitivně zazářil. Dosáhl nejvyšší
optimalizované rychlosti 24,73 Mb/s.

Jak probíhalo testování
Produkty testovali naši kolegové z amerického Network Worldu na krátkou (3
metry) a dlouhou vzdálenost (20 metrů), na rychlost, na schopnost spojit se a
zalogovat s klienty 802.11b i 802.11g (pouze PC kartami) od každého ze sedmi
výrobců v testu. Také zaznamenávali schopnost karet různých výrobců snižovat
lineárně rychlost na čtyřech místech vzdálených 10, 20, 30 a 45 m od
přístupového bodu (tzv. distanční test).
Měření maximální propustnosti prováděli s klienty 802.11g a FTP aplikací. FTP
server (Compaq DL580 s operačním systémem SuSE Linux 8.1) doručoval testovací
soubor přes FTP ke klientovi z dočasné paměti. Pro určení výsledného
testovacího čísla brali v potaz průměr ze čtyř přenosů. Maximální propustnost u
všech přístupových bodů testovali v čistém režimu 802.11g. Pro každý test
propustnosti používali sedm síťových karet a vždy počítali průměr ze čtyř
přenosů a ty zprůměrovali. Šlo o karty Netgear WAG511, SMC 2835W, D-Link
DWLG650, Buffalo WLI-CB-G54, Belkin F5D7010, Linksys WPC54G a interní kartu
Apple PowerBook G5 AirPort Extreme.
Jako klientské stanice používali notebooky Compaq Presario 700s (900MHz Athlon,
CardBus, žádné jiné aplikace včetně antivirové ochrany nebyly aktivní) s
Windows XP Professional s aplikovaným Service Packem 1 a Apple PowerBook G4 s
interní bezdrátovou kartou Airport Extreme.

WPA utěsňuje díry
První pokus odvětví bezdrátových sítí LAN o bezpečnost 802.11 Wired Equivalent
Privacy (WEP) byl po právu diskreditován. WEP je tak snadné prolomit, že je to,
jako byste na dveřích kanceláře měli plastikový zámek.
V minulých letech se používala efektivní řešení bezpečnosti bezdrátových sítí,
jako je například Lightweight Extensible Authentication Protocol (LEAP)
společnosti Cisco, ale ta poskytují omezenou interoperabilitu. Ke konci
minulého roku Wireless Fidelity (Wi-Fi) Aliance ohlásila Wi-Fi Protected Access
(WPA), bezpečnostní mechanismus založený na standardech, jež eliminuje většinu
bezpečnostních problémů sítí 802.11.

Základy WPA


WPA je založen na současném stavu standardu 802.11i, který se stále ještě
vyvíjí a jehož ratifikace IEEE se neočekává dříve než koncem tohoto roku.
Jednou z výhod WPA je, že umožňuje implementaci bezpečnosti do otevřených
bezdrátových sítí na veřejných místech a na univerzitách, když tyto veřejné a
akademické sítě nebyly schopny využívat základní WEP.
Klíčovou vadou WEPu je to, že šifrovací klíče jsou místo dynamických statické.
To znamená, že při jejich aktualizaci musí pracovník IT oddělení navštívit
každý počítač, což není myslitelné v akademickém prostředí a vůbec ne ve
veřejné síti. Alternativou je ponechat klíče beze změn, což vás ovšem vystavuje
útokům hackerů.
WPA naproti tomu poskytuje efektivní distribuci klíčů a umožňuje použití na
bezdrátových kartách od často různých dodavatelů.
Aby zabezpečila, že WPA bude brán vážně, Wi-Fi Aliance stanovila, že ke konci
roku bude bezpečnostní mechanismus vyžadován pro všechny nové certifikace Wi-Fi.

Jak WPA pracuje
WPA zahrnuje jak mechanismus Temporal Key Integrity Protocol (TKIP), tak
mechanismus 802.1x, které společně poskytují dynamické šifrovací klíče a
oboustrannou autentizaci pro mobilní klienty. WPA tak odrazuje hackery
periodickým generováním unikátních šifrovacích klíčů pro každého klienta. TKIP
do WPA zavádí nový algoritmus, který zahrnuje rozšířené 48bitové inicializační
vektory a s tím spojená sekvencovací pravidla, funkci pro odvozování a
distribuci klíčů a kód pro integritu zpráv (nazývaný "Michael").
Ve společnostech se WPA může dále propojit s autentizačním serverem, jako je
například Remote Authentication Dial-In User Service (RADIUS), využívající
802.1x a protokol EAP. Tato funkce umožňuje efektivní řízení autentizace a
integraci do existujících informačních systémů.
Implementace WPA v malých a domácích kancelářích nicméně nevyžadují
autentizační server díky schopnosti operovat v módu "předsdílených klíčů".
Podobně jako u WEPu předsdílený klíč klienta (často nazývaný "přístupová
fráze") se musí shodovat s klíčem uloženým v přístupovém bodu. Přístupový bod
používá tuto frázi pro autentizaci. Když se fráze shodují, klient dostane
přístup k síťové straně přístupového bodu.
WPA řeší všechny známé problémy WEPu s výjimkou útoků typu DoS
(Denial-of-Service) odmítnutí síťových služeb. Hacker tak snadno dokáže
způsobit pád sítě chráněné WPA posíláním alespoň dvou paketů se špatným klíčem
každou sekundu. Pokud tento problém nastane, přístupový bod předpokládá, že se
hacker pokouší o přístup do sítě. Přístupový bod odpojí všechna připojení na 1
minutu, aby zabránil možnému ohrožení zdrojů v síti. Takže souvislý tok
neautorizovaných dat může udržovat síť mimo provoz nekonečně dlouho, což
znamená, že pro kritické aplikace byste měli mít připravený záložní proces.

Implementační úvahy
WPA je primárně řešení pro existující zařízení, protože můžete WPA instalovat
prostřednictvím jednoduchých aktualizací softwaru na existující přístupové body
s certifikací Wi-Fi. WPA bude zachovávat dopřednou kompatibilitu se standardem
802.11i. Eventuální standard 802.11i bude jako volbu zahrnovat Advanced
Encryption Standard (AES), který je silnější než RC4. Ale problémem je, že AES
bude pravděpodobně vyžadovat výměnu starších přístupových bodů kvůli požadavku
na výkonnější procesor. 802.11i se tedy bude orientovat na nová zařízení.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.