Пропустить команды ленты
Пропустить до основного контента
English Version
Вход
Перейти вверх
Wi-Fi: совместимость, безопасность, производительность
 
Алексей, инженер сетевых решений компании TechExpert
Киев, август 2013 г.
 
Весьма часто при работе с беспроводными сетями приходится сталкиваться с определенными проблемами – какое-то устройство не подключается, «не видит» беспроводную сеть, работает нестабильно и т.д. В большинстве случаев «виноваты»  оба устройства сразу – проблемы с драйвером на клиенте и специфика работы точки доступа, но, на самом деле, большинство похожих проблем можно решить правильной конфигурацией. В этой статье я попытаюсь поделиться своими знаниями и опытом и рассказать о том, как настроить беспроводное оборудование таким образом, чтобы максимально достигались три заявленных критерия – совместимость, безопасность и производительность. Я буду стараться писать максимально простым языком, чтобы даже человек не слишком знакомый с Wi-Fi сетями смог извлечь из прочтения пользу, буквально зайти на свою точку доступа и несколькими кликами мышки «сделать, чтобы было хорошо». Надеюсь, что для технических специалистов статья также будет интересна. Я понимаю, что в контексте появления стандарта 802.11ac данная статья немного теряет свою актуальность, но, как показывает практика, у многих людей еще стоят точки доступа g стандарта и до широкого распространения 802.11ac еще далеко.
 
Совместимость
 
Прежде всего, я хочу поговорить о совместимости. Думаю, большинство из нас сталкивались с проблемой, когда какое-либо новое устройство не подключается к уже существующей беспроводной сети. И все было бы ничего, если для вас это не есть критичным, но что делать в случае, если у вас дома не работает, к примеру, планшет или ноутбук, а очень хочется? Или когда ваш начальник требует, чтобы его смартфон подключался к беспроводной корпоративной сети, но он «не хочет» и всё? Тут стоит подробнее взглянуть на настройки беспроводной сети. 
 
Как известно, нам доступны следующие стандарты  WPA и WPA2. При этом нам доступны следующие протоколы шифрования: TKIP и CCMP/AES. (WEP я намеренно не упоминаю, как крайне устаревший и небезопасный).
Сравнивая WPA и WPA2, мы имеем следующее:
  1. WPA для своей работы требует поддержку TKIP, поддержка AES опциональна
  2. WPA2 требует AES и поддерживает TKIP для обратной совместимости
  3. WPA поддерживает AES
  4. С WPA2 точки доступа могут кэшировать ключи (речь идет о 802.1X), с целью бесшовного роуминга клиентов (например, в терминологии HP – “opportunistic key caching”)
Что мы получаем – изначально WPA был приспособлен для использования с TKIP, WPA2 – с AES. В итоге, «нестандартное» сочетание WPA-AES или WPA2-TKIP будет работать на большинстве клиентского оборудования – но многое железо может неправильно работать с таким сочетанием. В итоге , первое, что можно сказать на счет совместимости – по возможности используйте только комбинации WPA-TKIP и WPA2-AES. Большинство современных точек доступа поддерживают режим совместимости WPA+WPA2. Но здесь есть небольшой нюанс – к примеру, точки доступа Cisco или HP в режиме совместимости подключают клиента  только комбинациями WPA-TKIP и WPA2-AES, в зависимости от того, что поддерживает клиентская станция. Но мне приходилось встречаться с точками доступа других вендоров, которые в режиме совместимости, при отсутствии у клиента поддержки WPA2, подключали его на WPA-AES, что приводило во многих случаях к сбоям и нестабильной работе беспроводной сети (у этого конкретного клиента). Суть в том, что большинство старого оборудования, которое была произведено под WPA можно  программно «научить» использовать AES. Но некоторое оборудование не работает с AES, и изменить это можно только его заменой. Примеров достаточно, потому если выбирать самую совместимую конфигурацию, то:
  1. WPA+WPA2 Mixed Mode – большинство клиентов будут работать в более безопасном и современном WPA2-AES, остальные смогут подключиться используя WPA-TKIP. Такой режим стоит на первом месте в списке «для совместимости», но нужно учитывать, что не все точки доступа поддерживают подобную конфигурацию.
  2. WPA-TKIP – второй, на мой взгляд, выбор, если приоритетом для нас является совместимость. Еще раз обращаю внимание – это далеко не идеальный, просто наиболее совместимый режим работы. Про найденные уязвимости в TKIP и работу TKIP с 802.11n мы поговорим позже в данной статье.
  3. WPA2-AES – все устройства с заявленной поддержкой WPA2 будут работать – шифрование AES является требованием стандарта WPA2. Если в вашей беспроводной сети присутствуют старые устройства, вполне вероятно, что они не смогут подключиться.
  4. WPA-AES, WPA2-TKIP – «нестандартные»  конфигурации, показывают наименьшую надежность.
Также, хочу обратить внимание на необходимость обновлять прошивку на точках доступа/драйвера на клиентских устройствах при возникновении проблем – производители оборудования выпускают обновления, в которых многие известные ошибки со временем исправляются, что дает нам более стабильную работу беспроводной сети.
 
Безопасность
 
Вторая критичная вещь в беспроводных сетях – безопасность. И, если мы говорим про домашние сети, то это не является слишком критичным – домашние сети не представляют слишком большого интереса в плане атак на них. Но, если мы говорим про корпоративную сеть, в которой передаются конфиденциальные данные, то необходимо четко понимать, какие приемы защиты и стандарты шифрования стоит использовать, а какие нет. Прежде всего – забудьте про WEP, если еще этого не сделали. Что у нас остается – стандарты шифрования TKIP и CCMP/AES. Я не буду вдаваться в подробности, как происходит само шифрование,  я просто рассмотрю некоторые преимущества/уязвимости каждого из этих стандартов, чтобы каждый мог выбрать необходимый и достаточный для себя уровень безопасности.
 
Я не буду здесь разбирать аутентификацию – Open, Network, Shared и описывать разные варианты EAP – возможно, как-нибудь позже. 
 
Сначала рассмотрим WPA/TKIP – как более старый стандарт. На сегодняшний день, он считается уже «сломанным» – но важно понимать, что понимают под этим словом в нашем конкретном случае. Привожу раздел Conclusion из описания наиболее успешной атаки на TKIP от ее создателей, выделяя наиболее важные места:
 
This paper has proposed a practical message falsification attack on any WPA implementation. Our attack is a method that applies the Beck-Tews attack to the MITM attack, and can falsify an encrypted short packet (e.g. ARP packet). We have given a strategy for the MITM attack and the method for reducing the execution time of the attack. As a result, the execution time of our attack becomes about one minute in the best case. Therefore, our attack can execute on any WPA implementation, practically. The future works are the demonstration experiment for our attack and the evaluation of the detailed execution time of our attack.
 
Кому интересно почитать, привожу ссылку: http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf
 
Также, в отличие от предыдущей, на которой она основана (атака Бека и Тьюза http://dl.aircrack-ng.org/breakingwepandwpa.pdf), эта атака использует не уязвимости, создаваемые использованием QoS, а атаку Man-In-The-Middle. В результате, атака будет успешной тогда, когда точка доступа и клиент не будут «слышать» друг друга.
wf1.png
Данная атака дает возможность подделать короткий пакет, например ARP, в случае если это будет большой пакет (до 2346 байт), то ни расшифровать его, ни подделать у злоумышленника не получится. Данная атака, в случае успеха дает возможность отравить ARP-кэш, делать прочие мелкие пакости в таком духе. То есть, в самом худшем варианте, наша Wi-Fi сеть будет работать нестабильно, но никаких утечек конфиденциальной информации не будет, ключ безопасности сети злоумышленник получить не может. Так же, определенными настройками точки доступа, как уменьшение время регенерации ключей точкой доступа, отключение отправки сообщений о неверном MIC можно значительно усложнить атакующему его задачу. Проблема здесь в том, что далеко не все точки доступа поддерживают настолько тонкую настройку.
 
Теперь рассмотрим WPA2/AES – более надежный вариант, чем WPA/TKIP. Из  уязвимостей можно отметить так называемую Hole 196. Эта уязвимость дает возможность подделать широковещательные пакеты внутри WPA2/AES-802.1X  сети - те, кто использует Pre-Shared key(пароль) могут спать спокойно. Атакующий может реализовать атаки ARP-Poisoning, Wireless DoS, MITM и т.д. изнутри сети – то есть он должен быть легально подключен. Не авторизированные пользователи атаку провести не могут. Как защищаться?
  1. Фаервол на клиентском устройстве
  2. Использование нескольких SSID – корпоративный скрытый, с использованием 802.1X, второй – гостевой с Pre-Shared Key 
  3. В большинстве современных точек доступа есть встроенный фаервол, который будет отбрасывать подозрительный трафик
В итоге, если приоритетом для нас является безопасность:
  1. Чистый WPA2/AES – “the best we have”. Если используется Pre-Shared Key, ключ для безопасности должен быть не менее 20 символов, для обеспечения надежной защиты.
  2. WPA/AES – как я описывал в предыдущем разделе – могут быть некоторые проблемы с совместимостью.
  3. WPA+WPA2 Mixed – даст возможность всем беспроводным клиентам с поддержкой WPA2/AES подключиться более безопасным способом, более старые клиенты подключатся с помощью WPA.
  4. WPA/TKIP – чуть менее безопасная конфигурация, но, как было показано, передаваемые данные все равно остаются недоступными для злоумышленника и, если вы используете его в домашних условиях, то волноваться, по сути, не о чем.
 
Производительность
 
О чем еще хотелось бы поговорить – производительность беспроводных сетей.
 
Прежде всего, стоит упомянуть стандарты 802.11 a/b/g/n. Мы не будем рассматривать их отличия «в глубину», нам будет достаточно сравнения максимальной пропускной способности, операционной частоты и некоторых ограничений каждого из стандартов.
 
Для любопытных даю ссылку на руководство для подготовки к Cisco CCNA Wireless. http://www.mediafire.com/download/f0bjy45v5wrs93s/CCNA+Wireless+Official+Exam+Certification+Guide.pdf
В 6 главе, страница 95-110 подробно описаны все стандарты. Вообще, в этом руководстве хорошо описаны основные принципы WiFi сетей, так что всем интересующимся – рекомендую.
 
Начнем:
  1. 802.11b – самый медленный стандарт, передача данных осуществляется со скоростью до 11 Мб/с. Частота – 2,4 ГГц.
  2. 802.11g – следующий широко используемый стандарт. Передача данных со скоростями до 54 Мб/с, рабочая частота – 2,4 ГГц.
  3. 802.11a – не настолько популярный стандарт, как 802.11g, по причине того, что работает на частоте 5ГГц. В последнее время, с появлением на рынке клиентских устройств с поддержкой частоты 5 ГГц, используется все больше. Скорость передачи данных – до 54 Мб/с.
  4. 802.11n – самый современный стандарт, скорости передачи данных – до 600 Мб/с. Чуть далее я поясню, от чего зависит эта скорость, и почему на разных 802.11n устройствах можно увидеть разные заявленные скорости – 150 Мб/с, 300 Мб/с, 450 Мб/с. Может использовать как частоту 2,4 ГГц так и 5 ГГц. Также, имеет возможность работать на расширенном канале в 40 МГц – что это такое объясню дальше.
Очевидно, что если мы хотим достичь максимальной производительности, необходимо использовать стандарт 802.11n. Но первое с чем мы сталкиваемся – несовместимость. Старые устройства не имеют поддержки стандарта 802.11n, поэтому для них приходится оставлять режимы совместимости – g+n, a+n. Любой режим совместимости негативно влияет на производительность, но чем-то приходится жертвовать, чтобы клиенты могли работать в беспроводной сети. 
 
Примечание: в домашних условиях, если все ваши устройства поддерживают 802.11n, есть смысл работать в «чистом» 802.11n
 
Отдельно стоит упомянуть режимы совместимости b/g и b/g/n. Наличие b-устройств в сети значительно снижает ее производительность, особенно при использовании 802.11n. В силу того, что на сегодняшний день устройств с поддержкой только 802.11b практически не осталось, то есть смыл отключить данный режим совместимости, дабы кто-то один (злоумышленник или пользователь с очень старым устройством) не снижал производительность всей сети.
 
Так же, стоит сказать по поводу скоростей, поддерживаемых точкой доступа. По умолчанию, multicast пакеты передаются на самой низкой базовой скорости – например, в режиме совместимости b/g/n – это будет 1 Мб/с, g/n – 6 Мб/с. Поэтому, имеет смысл отключать нижние скорости – задержка в сети уменьшится. Точки enterprise уровня позволяют переключать скорости не только на уровне режимов b/g/n или g/n, а и выбирать конкретные разрешенные рейты (скорости передачи данных). При отключении нижних рейтов, стоит учитывать, что чем выше самый низкий рейт – тем меньше покрытие сети (на самом деле, если отключать рейты без фанатизма, то это уменьшение практически незаметно). 
 
Также, важным фактором является количество радиошума в радиусе действия ваших устройств. Что такое канал? Это определенный диапазон частот, на котором устройство передает/принимает данные (в отличие от использованных мною выше 2,4 и 5 ГГц, это «поддиапазоны»  т.е., 2,412 ГГц, 5,180 ГГц и другие). Устройства, работающие на смежных каналах и т.д. засоряют ваш эфир – представьте себе, что вы находитесь в комнате с большим количеством людей, которые одновременно начинают говорить. В итоге, чтобы вам услышать вашего собеседника, ему приходится повторять одно  то же несколько раз. По сути, то же самое происходит в радиосетях. Одновременно может быть три непересекающихся канала – с шагом минимум пять - 1, 6 и 11, 1 -6 -13 и т.д. (на самом деле, они тоже немного пересекаются, но это совсем другая история).Связано это с тем, что полоса передачи, которая используется – 22 МГц, а расстояние между центральными частотами каналов – всего 5МГц.
 
Канал
Центральная частота (ГГц)
1
2,412
2
2,417
3
2,422
4
2,427
5
2,432
6
2,437
7
2,442
8
2,447
9
2,452
10
2,457
11
2,462
12
2,467
13
2,472
14
2,484
 
wf2.png

В США разрешены для использования каналы с 1 по 11, в Европе (включая Украину и Россию) – с 1 по 13, в Японии – с 1 по 14. Лично я доверяю точке доступа самой выбирать наименее зашумленный канал – режим выбора канала «Авто». Если предпочитаете выбирать самостоятельно – учитывайте количество шума на выбранном вами канале и периодически мониторьте – вдруг появился какой-нибудь новый сосед, который сильно зашумляет выбранный вами канал, и есть смысл переключиться на другой.
 
В случае 5 ГГц, можно тоже выбирать режим «Авто», но есть одна проблема – некоторые каналы 5 ГГц пересекаются с военными частотами, и, если точка услышит сигнал от военных радаров, то она в срочном порядке переключится на другой канал, в результате чего в работе беспроводной сети могут периодически наблюдаться небольшие сбои. Каналы, которые можно использовать спокойно, на которые не распространяются данные ограничения – 36, 40, 44, 48. Если они не зашумлены, то есть смысл выставить их вручную.
 
Так же, в контексте n-стандарта, нужно сказать про выбор ширины канала 20/40 МГц. Для частоты 2,4 ГГц я рекомендую ставить 20 – ведь большинство клиентских устройств все равно не поддерживает 40 МГц ширину канала, но при этом будет падать скорость за счет зашумленного эфира и режима совместимости 20/40 МГц. Для  5 ГГц можно выставить режим совместимости 20/40 МГц. 
 
Как и обещал, поясню, почему на разных точках доступа написаны разные скорости при том, что на них же написано “802.11n”. Во-первых, все слышали про MIMO 2x2, 3x3 и т.д. Что это значит – допустим, MIMO 3x3 – значит, что передача ведется с 3 антенн и прием происходит тоже на трех антеннах сразу. MIMO 2x3 – соответственно, передача с 2, прием на 3. На пальцах – чем больше, тем лучше. Но, есть еще один важный фактор – так называемые spatial streams (пространственные потоки). Это разные потоки данных, передаваемые одновременно. Их максимальное количество не может быть меньше количества антенн на прием или передачу – т.е., если у вас MIMO 2x3, то больше 2 spatial streams не будет никак.
 
Собственно, благодаря им и множится скорость: 1 пространственный поток – 150 Мб/с, 2 пространственных потока – 300 Мб/с, 3 – 450 Мб/с. Большинство «простеньких» точек доступа поддерживает 1-2 пространственных потока. Кроме того, улучшение точки доступа не принесет никакой пользы, если беспроводной адаптер клиента не поддерживает этих улучшений. К примеру – точка доступа 3х3:3 MIMO – то есть по 3 антенны на прием/передачу, 3 пространственных потока, а у клиента, к примеру, 1х2:1, тогда связь между ними все равно будет происходить по единственному поддерживаемому клиентом пространственному потоку. Срабатывает классическое правило, что пропускная способность сети равняется пропускной способности самого узкого ее участка.
 
И последнее, что хотелось бы сказать – это использование TKIP с 802.11n. 802.11n поддерживает только шифрование CCMP/AES или никакого. Режим совместимости с TKIP присутствует, но, по требованиям стандарта, при использовании TKIP, отключаются высокие рейты 802.11n, остаются только рейты a/g – до 54 Мб/с. Логично, что если вы хотите использовать 802.11n, необходимо использовать шифрование CCMP/AES и полностью отказаться от TKIP.
 
В итоге, в параметре производительности мои рекомендации таковы:
  1. Прежде всего – подбирайте оборудование правильно, такое, которое соответствовало бы друг другу по возможностям. Иначе, покупка новой точки доступа, при использовании старого ноутбука, может не дать абсолютно никакого повышения производительности. И важный момент – уточняйте, в каких режимах может работать точка доступа, дабы она максимально отвечала вашим потребностям.
  2. По максимуму отключайте режимы совместимости – они весьма и весьма серьезно влияют на производительность сети, вследствие того, что включаются механизмы защиты от коллизий, интерференции и т.д.
  3. Отключать низкие скорости передачи данных – если их отключение не будет критичным для покрытия беспроводной сетью.
  4. Логично, по возможности использовать 802.11n стандарт – особенно частоту 5 ГГц – на ней, как правило, работает значительно меньше  клиентов, плюс в частоте 5 ГГц каналы не пересекаются.
  5. Не использовать TKIP с 802.11n.
Подводя итог статьи, хотел бы сказать, что при выборе конфигурации беспроводной сети следует учитывать наиболее критичные потребности. К примеру, если у вас нет точек доступа стандарта 802.11n, то вполне можно использовать TKIP для повышения совместимости, если у вас очень высокие требования к безопасности, то TKIP отпадает и т.д. Я приведу, на мой взгляд, наиболее оптимальные варианты конфигураций, которые мне часто приходится использовать.
 
Для корпоративной сети:
  1. Если точки 802.11nWPA2/AES только. Режим совместимости – 802.11g/n (Самые низкие (802.11b) рейты отключатся автоматически). 
  2. Если точки доступа 802.11gWPA+WPA2 Mixed. Совместимость возрастет без потерь скорости. Режим работы – 802.11g only. 802.11b клиенты сейчас, по сути, не встречаются, тогда нет смысла терять производительность. (Тут стоит упомянуть, что не все точки доступа поддерживают Mixed Mode, в этом случае руководствуйтесь тем, что для вас важнее – совместимость или безопасность).
    И, в любом случае, при наличии двух радиоинтерфейсов на точке доступа, рекомендую включать оба – многие современные устройства поддерживают как 2,4ГГц, так и 5 ГГц, что позволит разгрузить радиоэфир и повысить производительность.
Для домашних сетей TKIP-а в плане безопасности будет более чем достаточно (если у вас, конечно, нет паранойи). Поэтому руководствуйтесь в своем выборе совместимостью и производительностью. Чаще всего я использовал:
  1. WPA+TKIP, 802.11g only – конфигурация на совместимость, помогает «подружить» с точкой доступа даже самые упрямые железки.
  2. WPA+WPA2 Mixed, не зависимо от того, точка 802.11n или 802.11g. В принципе, конфигурация нацелена «на все и сразу» - если все клиенты будут поддерживать CCMP/AES шифрование, то 802.11g клиенты смогут подключиться к сети, а 802.11n клиенты будут работать на высоких скоростях.
  3. Если же вам повезло, у вас все устройства новые и точка доступа тоже, то включайте 802.11n only и WPA2/AES – быстро, безопасно ну и вообще хорошо.
Еще один важный момент, особенно для домашних сетей. Ваша скорость доступа к интернету будет равняться пропускной способности самого «узкого места» сети. Если, к примеру, точка доступа дает вам 54 Мб/с, а интернет-провайдер всего 15, то общая скорость доступа в интернет не будет превышать этих самых 15 Мб/с. Поэтому, при выборе беспроводного оборудования продумывайте, а получите ли вы выигрыш от покупки более дорогого и производительного оборудования – ведь какое-то другое «узкое место» может свести все ваши старания на нет.
 
Полезные/интересные ссылки:
  1. http://www.mediafire.com/download/f0bjy45v5wrs93s/CCNA+Wireless+Official+Exam+Certification+Guide.pdf - Гайд для подготовки к CCNA Wireless. Очень много про основы Wi-Fi сетей, про стандарты и т.д.
  2. http://dl.aircrack-ng.org/breakingwepandwpa.pdf - Описание атаки Бека-Тьюза на TKIP
  3. http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf - атака Toshihiro Ohigashi1 and Masakatu Morii, основанная на атаке Бека-Тьюза
  4. http://download.aircrack-ng.org/wiki-files/doc/enhanced_tkip_michael.pdf - еще одна атака
  5. http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access - википедия про WPA
  6. http://en.wikipedia.org/wiki/List_of_WLAN_channels - подробнее про каналы