Тенденции внедрения протоколов шифрования и аутентификации Wi-Fi технологий.

Аннотация

В статье приведены результаты эксперимента по определению мощностей и активности оборудования точек беспроводного доступа (ТБД) и клиентов Wi-Fi сетей с помощью внешнего мониторинга. Определена динамика распространения современных средств шифрования и изменения в протоколах шифрования ведущих производителей оборудования для ТБД. Приведенный пример диаграммы распределения ТБД по расстоянию по направлению мониторинга. Систематизированы факторы, влияющие на скорость передачи данных и рассмотрены тенденции развития Wi-Fi сетей: мощность оборудования, производителей, распространение и динамику в изменении методов защиты, законодательную базу.

Основная часть

На сегодня продолжается стремительный рост количества мобильных устройств, а также количества принимающих и передающих узлов в системах мобильной связи. Такой рост приводит к увеличению провайдеров беспроводных технологий, поощряется производителями и поставщиками устройств. Пользователям прежде всего нужны надежность и стабильность передачи и приема информации. К тому же в мире наблюдается тенденция увеличения компактных устройств (планшетных компьютеров и так называемых нетбуков, или мини-лэптопов).

Через легкость применения и доступность аппаратного обеспечения развитие и распространение беспроводных сетей в нескольких следующих лет будут оставаться актуальными. По данным некоммерческой организации Wi-Fi Alliance, которая занимается сертификацией оборудования для Wi-Fi сетей, в мире уже распространено приблизительно 1 миллиард устройств с Wi-Fi модулями и отдельных Wi-Fi модулей [1]. А по статистическим данным компании ABI Research, которая исследует тенденции в телекоммуникациях и новейших технологиях, развитие мирового рынка Wi-Fi на период до 2014 года характеризуется ежегодным увеличением реализации Wi-Fi оборудования на 100 миллионов устройств в год [2, 3].

Кроме того в настоящее время Wi-Fi Alliance вместе с Wireless Gigabit Alliance занимаются разработкой новых стандартов для устройств со скорость на порядок больше существующие аналоги (технология WiGig) [4, 5], а вместе с ZigBee Alliance - экономических методов передачи данных в беспроводных сетях (технология Smart Grid) [6]. Такое широкое распространение, заинтересованность производителей аппаратного обеспечения мирового масштаба и инвестиции в разработки новых Wi-Fi технологий означает, что в ближайшее время следует ожидать появление новых стандартов передачи и улучшения существующих.

В [7] рассматривались общие вопросы защищенности Wi-Fi сетей, а в данной статье сделана попытка подробно рассмотреть протоколы шифрования и авторизации, изменения в способах шифрования ТБД в отличие от 2008 года, с целью совершенствования защищенности Wi-Fi сетей.

Для анализа эксперимент внешнего мониторинга (см. [8], рис 3), в эксперименте информация получена с помощью встроенного Wi-Fi приемника на микросхеме серии RaLink RT2860. Прием и анализ данных проводился с помощью Wi-Fi драйвера rt2800pci (ОС Gentoo Linux, версия ядра 2.6.34-r1) и анализатора пакетов Aircrack-ng версии 1.0. Во время эксперимента была получена информация от 1906 уникальных ТБД и от 540 клиентских машин. Координаты принимаемых сигналов получено с помощью GPS-приемника на микросхеме SiRFstar III через последовательный интерфейс PXA-serial версия ядра ОС Gentoo Linux 2.6.27 [9].

Стабильность сигнала зависит от многих факторов, влияющих на зону приема и скорость передачи данных. Важным показателем стабильности работы Wi-Fi сетей является пропускная способность канала, которая определяется:

  • Максимально возможной скоростью работы ТБД (в данном случае скорость 11 Мбит / с по стандарту 802.11b поддерживают 1,8% и 54 Мбит / с по стандарту 802.11g - 97,6%);
  • Зависимостью мощности передатчика к скорости передачи;
  • Зависимостью чувствительности приемника к скорости приема;
  • Мощностью работы ТБД и клиентов, так на рисунке 1 изображены распределения мощностей для ТБД черной кривой и клиентов пунктирной кривой, первый максимум мощности в обеих кривых приходится на -72 dBm (63 ПВД), а второй - на -70 dBm (100 ПВД);
  • Конфигурацией антенны и наличием дополнительного усилителя;
  • Присутствием или отсутствием шифрования;
  • Удаленностью клиентов от ТБД (принцип «последней мили»);
  • Препятствиями, которые приводят к потере пакетов и потребности в их повторном пересылке;
  • Активностью клиентов, которую сложно спрогнозировать.

 

График распределения мощности
Рисунок 1. График распределения мощности 

Из анализа факторов, влияющих на пропускную способность, можно сделать вывод, что для стабильной работы надо учитывать все указанные выше факторы и настроить сеть в соответствии с индивидуальными потребностями.

Из-за значительного количества параметров, от которых зависит загруженность канала, для каждого момента времени активность будет изменяться. Но при просмотре большого количества ТБД можно построить усредненный график активности (рис. 2), при построении которого не учитывались ECHO-пакеты, количество которых зависит только от настроек ТБД. Так условно можно разделить все ТБД на малоактивные (<1 пакет / с) и активные (> 2 пакет / с). Средний нормированный размер пакета составляет 1,5 кБайт.

 

График активности ТБД
Рисунок 2. График активности ТБД

 

По сравнению с 2008 годом [7] количество защищенных сетей увеличилась, а шифрования с WPA и WPA2 увеличилась на 13% (рис. 3).

Диаграмма шифрования ТБД в процентах за 2008 и 2010 гг
Рисунок 3. Диаграмма шифрования ТБД в процентах за 2008 и 2010 гг

Если рассмотреть четверку наиболее широко представленных на рынке производителей, то видно, что D-Link и Cisco остались фаворитами, а TP-Link и Asus заменили Motorola и ZyXEL. Данные получены с MAC-адресов ТБД по перечням: уникальных идентификаторов организаций OUI (Organizationally Unique Identifier) ​​[10] и индивидуальных блоков адресов IAB (Individual Address Block) [11]. В таблице 1 приведены данные об изменениях в протоколах шифрования. Видно, что увеличение доли WPA и WPA2 для лидеров рынка составляет в среднем 18,7%.

Все производители, входящие в четверку лидеров по 2008 и 2010 годы, является или спонсорами, или постоянными членами организации Wi-Fi Alliance.

На современных ТБД устанавливают функцию замены и клонирование MAC-адреса. Но такой функцией для построения беспроводных сетей пользуется незначительное количество администраторов (эта функция очень удобна при работе со стационарной сетью, когда надо заменить оборудование, вышедшее из строя или устарело, без изменения конфигурации сети). Погрешность составляет 4,2%.

Таблица 1. Производители ТБД, наиболее широко представлены на рынке

Спосіб шифрування

Частка від загальної кількості*, %

D-Link

Cisco

TP-Link

Asus

2010 р.

(717)**

2008 р.

(626)

2010 р.

(345)

2008 р.

(219)

2010 р.

(287)

2008 р.

(16)

2010 р.

(118)

2008 р.

(42)

WEP

↓ 29,15

43,29

↓ 21,74

29,22

↑ 53,31

50,00

↓ 13,56

40,48

WPA/WPA2

↑ 64,02

44,89

↑ 60,87

46,58

↑ 40,42

31,25

↑ 79,66

47,62

Без шифрування

6,83

11,82

17,39

24,20

6,27

18,75

6,78

11,90

* Стрелки ↑ и ↓ указывают на динамику по сравнению с предыдущим измерением.
** В скобках указано общее количество ТБД данного производителя за соответствующий год.

Если рассмотреть оборудования клиентов, то четверка наиболее распространенных производителей будет значительно отличаться от лидеров производителей оборудования для ТБД. Так из таблиц 1 и 2 видно, что в обе четверки входит лишь D-Link, это объясняется широким ассортиментом и сравнительно низкой ценой сетевых устройств D-Link на рынке (хотя стабильность работы устройств этого бренда вызывает нарекания у пользователей). Компания Hon Hai Precision (торговая марка Foxconn) производит модули и законченные устройства для компаний Apple, Dell и Hewlett Packard, поэтому трудно определить под каким именно брендом было продано оборудования. С другой стороны видно, что среди стационарных (десктопов) и мобильных устройств (ноутбуков) преобладает Intel, а среди портативных устройств - Apple.

Таблица 2. Производители клиентского оборудования, наиболее широко представлены на рынке

Виробник
клієнтського обладнання

Количество

абсолютна, шт.

відносна, %

Intel

111

20,6

Hon Hai Precision (Foxconn)

96

17,8

Apple

56

10,4

D-Link

56

10,4

При шифровании с помощью WPA и WPA2 используются два типа протоколов: шифрования и аутентификации. Подробнее протоколы описаны в [7] и [12].

Так протокол целостности временного ключа TKIP (Temporal Key Integrity Protocol) обычно используется для WPA, а протокол блочного шифрования CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) - для WPA2 как альтернатива TKIP, но спецификация позволяет использовать в WPA и WPA2 любой -какой протокол: TKIP или CCMP (а также и некоторые другие), или несколько одновременно в зависимости от клиентского обеспечения.

Аутентификация производится по предварительно распределенными ключами PSK (pre-shared keys), где на клиент и ТБД предварительно устанавливают ключи, которые позже используются для соединения или через выделенный сервер аутентификации 802.1x или RADIUS-сервер (Remote Authentication in Dial-In User Service) [13].

В исследовании было выявлено 1077 ТБД с WPA или WPA2 (некоторые точки доступа могут поддерживать одновременно два способа, но для упрощения учитывается только протокол по которым проводилась передача данных в момент приема). Как видно из предыдущей диаграммы (рис. 3) разница в использовании WPA и WPA2 составляет 1%. В таблице 3 приведены сведения о протоколах, используемых для шифрования и аутентификации. Так из таблицы видно, что TKIP чаще всего используется в WPA, а CCMP - в WPA2, также поздний WPA2 в 2,6 раза чаще поддерживает оба протокола шифрования. Для аутентификации в большинстве случаев используются протокол по предварительно распределенными ключами (> 96%).

Таблица 3. Распределение протоколов шифрования и аутентификации для WPA и WPA2

 

Спосіб шифрування

WPA

WPA2

Кількість ТБД з протоколами шифрування, шт.

TKIP

386

}110

56

}286

CCMP

39

192

Інші

8

 

0

 

Кількість ТБД з протоколами аутентифікації, шт.

PSK

526

525

802.1x

17

9

Всього:

543

534

По полученным координатам ТБД можно построить интегральную диаграмму распределения согласно расстояния. Суммарное расстояние исследования составила почти 45 км, а точность измерения составляет 1 м за ограничений GPS-системы общего пользования. Также не удалось определить верные координаты для примерно 1% ТБД через препятствия: дома, деревья и т.д., такие ТБД не учтены на диаграмме (рис. 4). На диаграмме отдельно показаны распределения для открытых ТБД (рис. 4a), с WEP (рис. 4б) и WPA/WPA2 (рис. 4в) шифрованием. Диаграмма с интегральной мощностью позволяет получить представление о плотности покрытия.

Плотность потока мощности определяется по следующей формуле [14]:

FORMULA

где - мощность [Вт] - коэффициент полезного действия антенны, - площадь охвата антенны [м2], - ширина канала [МГц]. Тогда для конкретного случая плотность потока мощности для каждого протокола шифрования, где коэффициент полезного действия не учитывается, так как мощность уже измерена с учетом КПД, равный:

FORMULA

где - количество ТБД с заданным типом шифрования, а мощности измеряется в dBm.

Для нашего случая (площадь контура вокруг 8,9-дюймового монитора) и (для стандарта 802.11b ширину канала составляет 22 МГц, а для 802.11g - 20 МГц, как показано ранее, второй стандарт используют 97,6% ТБД, поэтому выбираем соответствующую ширину канала). Тогда плотности потоков мощности составляют:

FORMULA

разница между которыми не превышает значения погрешности измерения для всех протоколов шифрования средний уровень плотности потоков мощности один и тот же. А также из расчета видно, что значения не превышают нормы (мощность ТБД должна быть меньше 100 мВт, находиться исключительно внутри зданий и плотность потока мощности на расстоянии 100 м от внешних фасадных стен зданий не превышает -110 дБВт / (м2 · МГц)) [15].

Из диаграммы видно, что максимумы открытых сетей соответствуют минимумам сетей с WEP шифрованием. Что объясняется устаревшим оборудованием, которое поддерживает выбор только этих двух режимов и одновременно несерьезным отношением пользователей к вопросам защищенности сетей, так как в большинстве случаев можно установить проигранную реализацию WPA/WPA2 шифрования. Погрешность вносит присутствие намеренно открытых сетей, например, в заведениях общественного питания. С другой стороны закрытые сети с WPA/WPA2 шифрованием распределяются равномерно.

 

Диаграмма распределения ТБД согласно расстоянии
Рисунок 4. Диаграмма распределения ТБД согласно расстоянии

Выводы

По результатам исследования видно, что большинство ТБД и клиентов работают на оптимальной мощности - (70 ÷ 72) dBm, а подавляющее большинство устройств поддерживает стандарт 802.11g (современный стандарт передачи данных). Большинство ТБД находится в режиме ожидания. Хотя количество открытых сетей и уменьшается в процентном эквиваленте, но абсолютное число растет за счет растущей популярности мобильных устройств.

Законодательная инициатива государства способствует распространению Wi-Fi сетей, так разрешено использовать стандарты 802.11b/g/n, чего достаточно для реализации беспроводных сетей в пределах офиса и дома [15]. Кроме того Украинским государственным центром радиочастот разрешено ввозить [16, 17] и реализовывать [18] Wi-Fi оборудование.

С дальнейшим повсеместным переходом на стандарт 802.11n с максимальной скоростью передачи 300 Мбит / с (хотя эта цифра и полученная в лабораторных условиях при соединении устройств коаксиальным кабелем с аттенюаторы и для реальной сети этот показатель будет ниже в несколько раз, но все равно значение скорости остается достаточным для большинства прикладных задач) можно прогнозировать стремительный переход провайдеров на беспроводные методы предоставления телекоммуникационных услуг.

Среди крупнейших производителей оборудования произошли изменения, указывающие на молодость рынка, изменения могут продолжаться. Но за два года ситуация с защитой каналов связи улучшилась: заметно увеличилась доля WPA и WPA2. С другой стороны в бизнес-центре почти не остается мест, где отсутствует (или очень слабое) излучения в Wi-Fi диапазоне, в целом негативно влияет на электромагнитное загрязнение окружающей среды.

Приведенный анализ позволяет сделать вывод о целесообразности адаптивного (до направления и расстояния до ТБД) использование открытых и защищенных сетей в соответствии с их функциональным применения. Практическое использование полученных результатов и методики их получения могут быть полезным для специалистов телекоммуникационных компаний и системных администраторов при планировании беспроводных сетей с учетом планировки помещений и расположения рабочих мест абонентов (см. также [19]).

Карта

Карта покрытия WiFi
Рисунок 5. Карта покрытия WiFi

Литература

  1. http://news.techworld.com/networking/3222952/wigig-alliance-promotes-faster-short-range-wifi/?olo=rss
  2. http://www.wi-fi.org/news_articles.php?f=media_news&news_id=795
  3. http://www.wi-fi.org/news_articles.php?f=media_news&news_id=969
  4. http://www.wi-fi.org/news_articles.php?f=media_news&news_id=984
  5. http://www.engadget.com/2010/05/10/wi-fi-alliance-and-wigig-sync-up-for-60ghz-wifi/
  6. http://www.wi-fi.org/news_articles.php?f=media_news&news_id=967
  7. Богуш В. В., Соколов В. Ю. Исследование защищенности Wi-Fi сетей / / Научно-производственный журнал администрации связи и радиочастот Украины «Связь». - № 4 (88), 2009. - С. 29-31.
  8. Соловьев В. Р., Богуш В. В., Соколов В. Ю., Соловьева Н. В. К вопросу о совершенствовании методики защиты информации от помех и вирусных атак в системах подвижной связи. Системный подход / / Научно-производственный журнал администрации связи и радиочастот Украины «Связь». - № 1 (89), 2010. - С. 54-61.
  9. http://www.kaa.org.ua/fayli/linux-asus-p525-535/
  10. http://standards.ieee.org/regauth/oui/oui.txt (от 10 июля 2010)
  11. http://standards.ieee.org/regauth/oui/iab.txt (от 10 июля 2010)
  12. Мартынюк И. В. Безопасность - это процесс / / Компьютерное обозрение. - № 26, 2005. - С. 30-33. (http://itc.ua/node/21244)
  13. http://www.aircrack-ng.org/doku.php?do=show&id=airodump-ng
  14. Белоцерковский Г. Б. Основы радиотехники и антенны. Ч. II. Антенны. - М.: «Советское радио», 1969. - 328 с.
  15. Решение № 914 «Об утверждении Перечня радиоэлектронных средств и излучающих устройств, для эксплуатации которых не нужны разрешения на эксплуатацию» от 6 сентября 2007 (http://www.ucrf.gov.ua/uk/doc/nkrz/1196068874/).
  16. Решение № 50 «Об утверждении Перечня товаров с указанием их кодов согласно УКТВЭД, на которые Государственным предприятием" Украинский государственный центр радиочастот "выдаются документы, необходимые для осуществления таможенного контроля и таможенного оформления товаров» от 4 февраля 2010 (http://www.ucrf.gov.ua/uk/doc/nkrz/1266052221/).
  17. Решение № 51 «Об утверждении Перечня радиоэлектронных средств и излучающих устройств, для ввоза которых, в том числе перемещения в международных почтовых отправлениях, международных экспресс-отправлениях, не нужны разрешения» от 4 февраля 2010 (http://www.ucrf.gov.ua/uk/doc/nkrz/1266052950/).
  18. Решением № 49 «Об утверждении Перемен в Порядок реализации в Украине радиоэлектронных средств и излучающих устройств" от 4 февралем 2010 (http://www.ucrf.gov.ua/uk/doc/nkrz/1266051607/).
  19. http://www.ekahau.com/products/ekahau-site-survey/overview.html