Vlákno názorů k článku Bezdrátové lokální sítě WLAN podle IEEE od MK - Nemyslim zadnou konkretni sit :-)

Nemyslim zadnou konkretni sit :-)

Pojmy PRED a ZA jsou zavisle na smeru pohledu ... ;-)

A pokud nahodou mas na mysli nejakou konkretni sit, pak pripominam, ze ja jeji zrizeni nedoporucil, nicmene, jelikoz platici odberatel na svem pozadavku trval, tak ji dostal - a tohle mohu rict, ackoliv treba nevim, kterou konkretni sit myslis ... ;-)

No myslim, ze idealni je provozovat bezdratovou sit PRED firewallem, nikoliv za nim :-)

Nazor na ty, kteri ji provozuji za nim, nemam prilis lichotivy :-))))

V idealnim pripade by samozrejme admin mel byt "dobry" - ale u "dratu" se lepe ztrati, kdyz, preci jen, neni ...

Co se tyce nezabezpecenosti hesel - myslim, ze v praxi preci jen zasadni rozdil mezi povedomosti laiku o nutnosti zabezpecit vnitrofiremni komunikaci a komunikaci "ven". Ackoliv detailum nerozumi laik ani v jednom pripade, u site pripojene "ven" a "ven" komunikujici je jiz dostatecne naockovan katastrofickymi zpravami na Nove a vi, ze tam bezpecnostni riziko nejake je (a zrejne se tedy bude zajimat o to, co ma udelat, aby nebyl totalne napadnutelny). U vnitrofiremni komunikace (i v pripade site, ktera je napojena "ven") je ale zadne riziko pbvykle ani nenapadne. Chci tim rict, ze nemalo firem ma prisna pravidla co se tyce komunikace "ven" - protokoly zasadne sifrovane, autentizace prinejmensim systemem challenge-response, ale vnitrofiremni komunikai ma klidne nesifrovanym bezdratem ...

Nicmene, myslim, ze so rozumime a muzeme konstatovat naprostou shodu - mimochodem, ja nerikal, ze bezdrat je nutne z bezpecnostnich duvodu uplne zavrhnout - ja rikal, ze v typickem pripade jsou bezpecnostni duvody duvodem PROTI zavedeni bezdratove site, coz ale neznamena, ze duvody PRO nemohou prevazit, obzvlaste v pripade, kdy je zakaznik schopen uzposobit svuj provoz tak, aby nebezpeci plynouci z "bezdratovosti" minimalizoval (a abych take nezapomel na dolozku o nezaujatosti :-) - tak ja se montovanim siti uz nekolik let nezivim vubec, i kdyz, pravda, zcela vyjimecne obcas nekomu pomohu udelat i dnes - a uz jsem delal draty i bezdraty) ...

Divim se, ze ETSI vubec poskytuje svoje normy zdarma. Kdyz jsem v ETSI v Sophia Antipolis pred 9 lety pracovala, byl prodej norem (a dalsich "deliverables") jeden z velmi vyznamnych zdroju prostredku pro to udrzet administrativni aparat institutu a expertni skupiny (projektove tymy) pri zivote. Nu, clenske prispevky se zvysuji a sponzoru take neubyva ... zejmena, pokud maji prilezitost prosadit sva reseni.

jo sorry za tu češtinu, admin by se sice taky měl "mýt" ale tam bylo myšleno spíše "mít" ;-)

nesouhlasím s tím, že cenu kvalitního admina je připočítat do ceny bezdrátů, protože stejně kvalitního admina byste měli mýt i na dráty. Nehledě na to, že na to, aby zapnul těch pár nastavení nemusí být admin génius, stačí aby si přečetl brožuru, klikl na otazníček, nebo prošel mým školením, které všem instalačním firmám zdarma poskytuju. Tady nejde o nějaké hrabání se v registrech či kýho výra.
Ale souhlasím s vámi (zde žádná neshoda nepanuje), že u naprosté většiny zákazníků JE bezpečnější drát, jenom z toho odmítám vinit bezdrát.
K vaší poznámce na konci - už jsem naznačoval, že nejde jen o šifrování. Vždyť i název WEP znamená Wired Equivalent Privacy - bezpečnost (pouze) srovnatelná s Ethernetem. Těch možností, které jsou standardní součástí bezdrátů je více (MAC tabulka, filtr protokolů, měnitelné šifrovací klíče, jméno sítě...). Záleží na kvalitě a provedení, jiné možnosti má bezdrát z bellových laboratoří, jiné možnosti má taiwanská srač.a.
Ale hlavně - stejně je to úplně jedno, protože veškeré zabezpeční končí na ethernetu přístupového bodu a co teče za tím je úplně jedno. Když se nebude zabezpečovat dále a na vyšších vrstvách, tak je to úplně jedno. Pro ty, kteří si posílají po síti nezašifrovaně hesla je úplně jedno, jakou formu přístupu používají. Když použijí FTP místo SFTP nebo HTTP míst HTTPS, tak jim stejně není pomoci. A jesli používají vevnitř nezabezpečený server, tak jakbysmet.
Co si budem povídat - než někde odchytávat pakety, investovat do lamačů kódů atd., je podstatně rychlejší, levnější (a často příjemnější) ošuk.t sekretářku ;-)
Když by někdo chtěl ale hodně zabezpečený bezdrát (který je i v některých bankách), pak doporučuji řešení Access Serveru - klienti autentifikovaní radius serverem, každý má vlastní klíče a nastavení, 128 b šifrování per session. Ale zase - i takto kvalitní bezpečnost končí na ethernetovém portu.
P.S.: aby jsem nebudil dojem, že prodávám bezdráty a tak hledám výmluvy - prodávám také dráty a switche, takže je mi jedno co si od nás koupíte ;-). Prostě není třeba bezdráty zavrhovat z bezpečnostních důvodů, možnosti tu jsou.

Mate pri dodavani takove site dve moznosti - bud jim rict, ze si musi sehnat admina s takovymi a takovymi vlastnostmi (a hlidat ho, aby si takove vlastnosti zachoval), jinak je ta site VELICE nebezpecna. Jen na okraj podotykam, ze cenu takoveho admina (respektive rozdil platu k soucasnemu adminovi) musite pripocitat k nakladum site - nevim, jestli pak stale jeste vyjde bezdrat lacineji. Druha moznost je, ze budete vychazet z toho, ze maji admina "obycejneho".

Kdyz dodavam zakaznikovi sit, je nutne posoudit realnou miru zabezpeceni - ne o teoretickou miru, ktere by mohlo byt dosazeno, za podminek, ktere ale odberatel neni schopen splnit (respektive dlouhodobe je plnit). Proto s vasim presvedcenim, ze bezdrat je bezpecnejsi, protoze MUZE byt bezpecnejsi souhlasit mohu - a presto trvam na svem, ze u naproste vetsiny zakazniku JE bezpecnejsi drat.

Mimochodem,, stale operujete defautnim nastavenim radiove site - ja ale (z duvodu, ktere jsem detailne popsal jiz drive) povazuji radiovou sit za mene bezpecnou i v pripade, ze je sifrovani zapnute.

souhlas, s tou připomínkou, že podle mě podle debility admina se nedá soudit bezpečnost systému. A že jako referenční je nutné brát maximální možné nastavení standardními nástroji a ne to defaultní, které jak jsem již poznamenal, musí být u bezdrátů velmi otevřené, aby jste např. když přijdete na konferenci mohli kliknout na jedno tlačítko a být v síti.

Pravdepodobnost, ze se "byvaly" zamestnanec dostane k platnemu heslu je ale pomerne vysoka - at uz jde o chybu ve sprave site (protoze je spousta prace prepsat ve vsech konfiguracich vsech karet na vsech pocitacich hesla - a tak se to proste neudela), nebo se k nemu dostane proste socialnim inzenyrstvim (ke kteremu ma jako byvaly zamestnanec skvele predpoklady). Souhlasim s tim, ze to je samozrejme problem laxnich adminu a nespolehlivych zamestnancu - jenze pokud site dodavate realnym zakaznikum, musite pocitat s realnym chovanim. Kdybych dodaval site teoreticky, pak bych mohl predpokladat idealni praci admina - a pak by bezdrat byl skutecne lepsi, tak jak tvrdite. Jde tedy presne o to, co rikate - takze muzeme konstatovat vlastne shodu. Bezdrat je teoreticky lepsi. Ale v naproste vetsine pripadu dosahnete lepsi realne bezpecnosti dratem (a to dokonce i kdyz na bezdratu budete sice sifrovat, ale nemate admina uplne nejpeclivejsiho) ...

Nemyslím si to. Právě odchytávání zašifrovaných WL paketů a jejich dekrypce je podle mě složitějsí než odchytávání paketů Ethernetu bez dekrypce. Jediné, co je potřeba navíc je alespoň chvilková fyzická přítomnost, což je právě u bývalých zaměstnanců, či dokonce současných, minimální problém.
Hlavní problém u bezdrátů a jejich bezpečnosti vidím v laksnosti adminů, kteří nechávají nezabezpečené sítě, nechají standardní heslo a šifrování nepoužívají. Pak opravdu není problém chodit po městě s notebookem, kartou a anténou a koukat se co má kdo na discích.
Když bych tedy srovnával defaultní nastavení bezdrátů a defaultní nastavení ethernetu, pak bezdráty propadají na plné čáře (což je schválně, protože defaultně se musí bez nějaké práce připojit ke všemu). Ale když srovnám maximální možné nastavení bez využití dalších placených softů a hardware (u ethernetu de-facto nenastavíte nic, u bezdrátů nastavíte tajné jméno sítě, šifrování s měnícími kódy, MAC tabulku, filtrování paketů atd.), pak zase vede bezdrát.

Nerad bych polemizoval na tema, zda je k datum lepsi pristup "ve dratech" nebo "ve vzduchu" - ja se nebavim o sofistikovanych odposlesich provadenych profesionalnimi zpravodajskymi sluzbami - pro ty je odposlouchani bezdratu zhruba stejn eslozite jako odposlouchavani dratu. Nejcastejsi utoku ovsem pochazeji od vlastnich vnitrnich zamestnancu, a to zejmena tech prave propustenych. A ja dvrdim, ze pro takove utocniku (a tech je skutecne nejvic) je pristup vzduchem podstatne jednodusi nez pristup k dratu.

Ač se to na první pohled nezdá, opravdu na tom závisí. Standard IEEE 802.11 (všechny), definuje dva přístupové protokoly - CSMA/CA a RTS/CTS
První - carrier sense, multiple access/collision avoidance funguje tak, že si klient poslechne sdílené (MA) médium (CS) jestli někdo nevysílá, a je-li volno, začne vysílat a tím se vyhne kolizím (CA). Problém ale je, že tento protokol vyžaduje aby se všichni klienti viděli a věděli tak jeden o druhém, že je volno. A to není případ venkovních sítí.
Tam se proto musí (jinak může velmi narůstat ztrátovost paketů - viděl jsem mnohde 60-80%) zapnout protokol RTS/CTS (request to send/clear to send) známý z drátových sítích. Tam je každé vysílání zahájeno žádostí (RTS), potvrzeno ze strany centrálního bodu (CTS) a tím zabráněno ostatním ve vysílání, a vše pak potvrzeno paketem ACK. Ztrátovost paketů se minimalizuje až eliminuje, ale naroste trafic, dá se to využívat tedy tak do 25% využití sítě.
Dalším rozdílem ve vnitřních sítích je možnost load-balancing (inteligentní roaming) pomocí více AP. Umí to jen některé bezdráty (nebudu si dělat reklamu ;-), a jde o to, že karta si nevybírá AP jenom podle síly signálu, ale zjišťuje i jak je volno, a když je moc plno, přepne raději na jiný.
A co se týče toho využití bezdrátů - u nás jsou velmi málo používány notebooky, ten rozdíl je pak jasný - k čemu je mobilní notebook, když musíte být někde ukotven abyste byl v síti, to je jako by byl bez baterky. Proto se u nás zatím instalují bezdráty skoro výhradně do továren a ředitelských kanceláří.
Co se týče šifrování - můj názor je, že citlivá data by se volně neměla pohybovat ani po drátech (tam je odposlouchávání podstatně jednodušší). Kdo chce bezpečnost, měl by stejně dělat VPN sítě a šifrování na prezentační vrstvě. Šifrování na nižších se stejně na nejbližším bodě (např. routeru) ztratí.

ETSI ma normy zdarma uz nekolik let, to vim jeste z doby, kdy sice byly zdarma, ale jen pro registrovane uzivatele (ale ziskat registraci nebyl problem, mel jsem ji) - a IEEE v te dobe urcite zdarma jeste nebylo. ANSI a ISO, pokud se neco nezmenilo v posledni dobe stale zdarma neni, ITU je skutecne omezeno - proste, pro studijni ucely jsou standardizacni organy spise k vzteku nez k uzitku ...

Nejsem si jist, jestli variabilita zpozdeni souvisi s indoorovosti, respektive outdoorovosti. Mam zato, ze varabilni zpozdeni vznika jako nasledek "nahodneho" pristupu k mediu - a cim je medium vytizenejsi, tim vetsi rozptyl zpozdeni lze cekat. Pripoustim, ze u rozsahlejsich siti je vetsi ruseni a mensi dosazitelna prenosova rychlost, takze u (v absolutnich cislech) stejne zatizene site je jeji relativni zavizeni (a tedy rozptyl zpozdeni) vetsi - a tedy do jiste miry to spolu souvisi, ale primarni pricinou IMHO je proste zatizeni site, ne jeji rozlehlost.

Co se tyce posledniho odstavce - musim pripustit, ze i ja budu radeji hodiny listovat nez kupovat par bezdratovych karet. Nerekl bych ale, ze je to tim, ze bych zanedbaval naklady na praci ci vzhled. Nemohu ale nevidet, ze bezdratove site proste maji pri srovnatelne cene (vcetne prace odvedene tak, aby byla estetika narusena jen malo) mensi kapacitu nez poctivy drat, poctivy drat daleko mene podleha ruseni, a v neposledni rade, moje paranoia rika, ze by se ma data nemela volne poflakovat po prostoru - a to ani tehdy, pokud karty provadeji sifrovani. Zrejme jsem v tomto ohledu ze stare skoly ...

Co se prioritniho vysilani a konkretne QoS tyka, situace je nasledujici: Ve svem zakladu 802.11 nabizi parametr priority: "The priority parameter specifies the priority desired for the data unit transfer. IEEE 802.11 allows two values: Contention or ContentionFree."

Zakladem prace 802.11 je Distributed coordination function (DCF) ve forme CSMA/CA. Volitelne lze navic pouzit jako nadstavbu pristupove metody funkci PCF (IEEE 802.11 s.70-): "The IEEE 802.11 MAC may also incorporate an optional access method called a PCF [Point coordination function], which is only usable on infrastructure network configurations. This access method uses a point coordinator (PC), which shall operate at the access point of the BSS, to determine which STA currently has the right to transmit. The oper-ation is essentially that of polling, with the PC performing the role of the polling master....The PCF uses a virtual carrier-sense mechanism aided by an access priority mechanism....The access priority provided by a PCF may be utilized to create a contention-free (CF) access method. The PC controls the frame transmissions of the STAs so as to eliminate contention for a limited period of time....The DCF and the PCF shall coexist in a manner that permits both to operate concurrently within the same BSS. When a PC is operating in a BSS, the two access methods alternate, with a contention-free period (CFP) followed by a contention period (CP)." PCF je podrobneji popsana v 9.3 normy.

802.11e se zabyva resenim doplnku QoS do ostatnich 802.11 WLAN specifikaci. Neni ale ve sve praci tak daleko, aby toho bylo prilis verejnosti k dispozici. Zatim zadny navrh neni ke stazeni z webu. Z diskusi podvyboru lze ziskat pouze kuse, verejne dostupne, informace (viz http://grouper.ieee.org/groups/802/11/Reports/tge_update.htm):

Definice: "QoS facility The set of enhanced functions, formats, frame exchange sequences and managed objects to support the selective handling of 16 traffic categories per direction per bilateral wireless link. The handling of MSDUs belonging to different traffic categories may vary based on the relative priority indicated for that MSDU, as well as the values of other parameters that may be provided by an external management entity in a queue state element for the particular traffic category, link and direction. "

- definice 16 hodnot pro indikaci priorit provozu a jejich parametru

- identifikace provozu a prirazeni provozu jednotlivym frontam

- pro kazdou frontu moznost specifikace typu zpracovani (min best effort, express)

Vyse uvedene je trba brat s rezervou, protoze rada veci se stale meni (napr. puv. 8 kategorii provozu se pred nedavnem rozsirilo na 16).

Mimochodem, tento serial mi udelal znova velkou radost, protoze jsem kvuli nemu zjistil, ze IEEE zpristupnilo cast standardu bezplatne verejnosti - zatim jen standardy rady 802.*, ale kdo vi, treba je to dobry zacatek neceho vetsiho ...

Dneska jsou krome RFC a IEEE 802.x k dispozici zdarma take normy ETSI, a mel by byt k dispozici i omezeny pocet ITU-T doporuceni ke stazeni (tak to fungovalo vloni, musim overit). Takze zbyva ANSI a ISO...

Není to neřešitelné, musíme samozřejmě uvažovat o 802.11 sítích jako o vnitřních sítích (nejsou navržené pro outdoor a ani se ve světě tako z 99% nepoužívají). Tam zpoždění není velké ani variabilní (pakety jsou krátké a všichni se vidí).
Řešení již dokonce dost dlouhou dobu existuje (bylo už při 2 Mb bezdrátech), jmenuje se Spectralink (výhradní distributor pro ČR je Anixter), které nabízí mobilní telefonii v tomto pásmu. Je to ale nestandardní
IEEE pracuje na protokolech (určitě se o tom bude povídat dále), které přidají celkem slušnou proveň QoS. Výhoda tohoto řešení je, že bude díky společné MAC vrstvě použitelné pro všechny typy 802.11 produktů - tedy 802.11a , b, g atd. tedy i na 5 GHz, které (doufejmě) koncem roku dorazí i do Evropy.
Češi ale mají stejně ve zvyku nepočítat náklady na práci či vzhled, tak stejně budou raději hodiny lištovat kabely v historických budovách, než by koupili pár bezdrátových karet po třech tisících.

To, ze site na bazi 802.11(b) jsou pomerne nezpusobile k prenosu hlasu je dano predevsim velmi variabilnim zpozdenim pri prenosu paketu - a to je vlastnost, ktera souvisi s CSMA/CA jako metodou rizeni pristupu. Pokud jeste neni slibene pokracovani zcela dokoncene, mohu doufat, ze se tam objevi alespon v hrubych obrysech popis toho, jak zmineny problem vyresili nebo obesli ?

Mimochodem, tento serial mi udelal znova velkou radost, protoze jsem kvuli nemu zjistil, ze IEEE zpristupnilo cast standardu bezplatne verejnosti - zatim jen standardy rady 802.*, ale kdo vi, treba je to dobry zacatek neceho vetsiho ...