Kapitola 34. Bezdrátová komunikace

Obsah

34.1. Bezdrátové sítě
34.2. Bluetooth
34.3. IrDA — Infrared Data Association

Abstrakt

V linuxovém systému si můžete zvolit, jakým způsobem bude váš notebook komunikovat s ostatními počítači, mobilem nebo periferními zařízeními. Pro připojení počítače do sítě nejspíš zvolíte WLAN (Wireless LAN). Bluetooth slouží nejčastěji k připojení jednotlivých periferií (myš, klávesnice), mobilů, PDA a propojení počítačů. IrDA je nejčastěji používána při komunikaci s PDA nebo mobilním telefonem. V této kapitole najdete informace o základním nastavení všech tří možností.


34.1. Bezdrátové sítě

Bezdrátové sítě jsou významnou součástí mobilní výpočetní techniky. V současné době má velká část notebooků integrovanou WLAN kartu. Standard 802.11 bezdrátové komunikace WLAN karet byl připraven organizací IEEE. Původně umožňovat maximální rychlost 2  Mb/s. Prošel však řadou změn, které umožnily rychlost zvýšit. Tyto změny definují podrobnosti jako modulaci, přenosový výstup a rychlosti:

Tabulka 34.1. Přehled různých WLAN standardnů

Jméno

Pásmo (GHz)

Max. přenosová rychlost (Mb/s)

Poznámka

802.11

2.4

2

Zastaralý

802.11b

2.4

11

nejrozšířenější

802.11a

5

54

Méně obvyklý

802.11g

2.4

54

Zpětně kompatibilní s 11b

Dostupné jsou také proprietární variace 802.11b např. od společnosti Texas Instruments s maximální přenosovou rychlostí 22 Mb/s (standard někdy označovaný jako 802.11b+). Rozšíření těchto karet však není velké.

34.1.1. Hardware

Karty 802.11 nejsou systémem SUSE Linux podporovány. Podporována je ale většina karet používajících protokoly 802.11a, 802.11b a 802.11g. Nově karty obvykle podporují standard 802.11g, ale dostupné jsou také karty s podporou 802.11b. Podporovány jsou karty obsahující následující čipové sady:

  • Aironet 4500, 4800

  • Atheros 5210, 5211, 5212

  • Atmel at76c502, at76c503, at76c504, at76c506

  • Intel PRO/Wireless 2100, 2200BG, 2915ABG

  • Intersil Prism2/2.5/3

  • Intersil PrismGT

  • Lucent/Agere Hermes

  • Ralink RT2400, RT2500

  • Texas Instruments ACX100, ACX111

  • ZyDAS zd1201

Podporována je také řada již nevyráběných starších karet. Vyčerpávající seznam WLAN karet a čipových sad je dostupný na stránce AbsoluteValue Systems: http://www.linux-wlan.org/docs/wlan_adapters.html.gz. Seznam různých WLAN čipových sad najdete na stránce http://wiki.uni-konstanz.de/wiki/bin/view/Wireless/ListeChipsatz.

Některé karty vyžadují při zavádění ovladače nahrání obrazu s firmwarem. To je případ karet Intel PRO/Wireless 2100 (Centrino), Intersil PrismGT, Atmel a ACX100. Firmware lze snadno doinstalovat pomocí YaST online updatu. Více informací o této problematice najdete v souboru /usr/share/doc/packages/wireless-tools/README.firmware.

34.1.2. Funkce

Tato část popisuje základní aspekty bezdrátového síťování, operační režimy a způsoby ověřování a šifrování.

34.1.2.1. Operační režimy

Bezdrátové sítě lze označit jako spravované (managed) nebo ad-hoc sítě. Spravované sítě mají kontrolní bod označovaný obvykle jako přístupový bod. V tomto režimu (také označovaném jako infrastructure), jsou všechny stanice připojené přes přístupový bod, který zároveň slouží jako připojení k Ethernetu. Ad-hoc sítě žádný přístupový bod nemají. jednotlivé stanice komunikují přímo mezi sebou. Protože je v ad-hoc sítích výrazně omezený rozsah vysílání a počet stanic, je přístupový bod vhodnějším řešení. Jako přístupový bod lze použít naprostou většinu WLAN karet.

Protože je bezdrátovou síť snadnější odposlouchávat a kompromitovat než síť klasickou, řada standardů obsahuje ověřovací a šifrovací metody. V původní verzi standardu IEEE 802.11 jsou popsány pod termínem WEP. WEP však nebyl dostatečně bezpečný (viz. 34.1.5.2 – „Bezpečnost“) a tak WLAN výrobci(sdružení do skupiny známé jako Wi-Fi Alliance) definovali nové rozšíření WPA, které mělo odstranit slabiny WEP. Pozdější standard IEEE 802.11i (také nazývaný WPA2, protože WPA je založeno na 802.11i) obsahoval nejen WPA, ale také řadu dalších ověřovacích a šifrovacích metod.

34.1.2.2. Ověřování

Aby bylo zajištěno, že dojde pouze k ověřeným připojením, obsahují spravované sítě několik ověřovacích mechanizmů:

Otevřený

Otevřený (anglicky open) systém nevyžaduje ověření. Do sítě se může připojit každá stanice, ale může být použito WEP šifrování (viz. 34.1.2.3 – „Šifrování“).

Sdílený klíč (podle IEEE 802.11)

Při této proceduře je používán pro ověření WEP klíč. Tento postup však není doporučován, protože je poměrně náchylný na útoky zvenčí. Vše, co potencionální útočník potřebuje k úspěšnému průniku, je naslouchat komunikaci. Během ověřovacího procesu si obě strany vyměňují stejné informace. Jednou v šifrované a jednou v nešifrované formě. Tak je poměrně jednoduché s pomocí příslušných nástrojů rekonstruovat použitý klíč. Vzhledem k použití klíče pro ověřování i šifrování není tato metoda zvýšení bezpečnosti sítě. Stanice se správným WEP klíčem se může přihlásit do sítě a šifrovat a dešifrovat provoz. Stanice bez klíče nemůže dešifrovat příchozí pakety ani komunikovat.

WPA-PSK (podle IEEE 802.1x)

WPA-PSK (PSK je zkratka z Pre-Shared Key) pracuje podobně jako sdílený klíč. Stanice i přístupový bod používají jeden klíč. Klíč má 256 bitů a obvykle je zadáván jako heslo. tento systém nepotřebuje komplexní správu klíčů jako WPA-EAP a je vhodný pro běžné domácí používání. Proto se někdy o WPA-PSK mluví jako o WPA home nebo-li domácím WPA.

WPA-EAP (podle IEEE 802.1x)

WPA-EAP ve skutečnosti není ověřovací systém ale protokol transportu ověřovacích informací. WPA-EAP je používán v podnikovém prostředí. V domácím prostředí je používán zřídka. Z toho důvodu se o WPA-EAP mluví jako o WPA Enterprise nebo-li podnikovém WPA.

WPA-EAP vyžaduje k ověřování uživatelů Radius server. EAP pak nabízí tři různé způsoby připojení a ověření k tomuto serveru: TLS (Transport Layer Security), TTLS (Tunneled Transport Layer Security), a PEAP (Protected Extensible Authentication Protocol). Jejich princip je následující:

EAP-TLS

TLS ověřování je založeno na výměně certifikátů mezi klientem a serverem. TSL ověřování vyžaduje funkční správu certifikátů v síti a jen jen zřídka k vidění v malých domácích sítích.

EAP-TTLS a PEAP

TTLS a PEAP jsou dvouúrovňové protokoly. V první úrovni je navázáno bezpečné připojení a v druhé dochází k výměněn ověřovacích dat. Tento způsob ověřování je na rozdíl od TLS jen minimálně zatěžován potřebou správy certifikátů.

34.1.2.3. Šifrování

Existuje řada šifrovacích metod, které se používají k zamezení čtení datových paketů neautorizovanými osobami a přístupu do sítě. Nejdůležitější jsou tyto:

WEP (definován v IEEE 802.11)

Tento standard používá šifrovací mechanizmus RC4 původně s délkou klíče 40 bitů, později s 104 bity. Zda je délka deklarována jako 64 bitů nebo 128 bitů často závisí na tom, zda je zahrnut také 24 bitový inicializační vektor. Tento standard má řadu slabin a klíče mohou být cílem případného útoku. Přesto je WEP vždy lepší než žádné šifrování.

TKIP (definován v WPA/IEEE 802.11i)

Tento protokol správy klíčů definovaný v standardu WEP používá stejný šifrovací algoritmus jako WEP, ale neobsahuje jeho chyby. Nový klíč je generován pro každý datový paket, což výrazně snižuje pravděpodobnost úspěšného útoku. TKIP se používá současně s WPA-PSK.

CCMP (definován v IEEE 802.11i)

CCMP popisuje správu klíčů. Obvykle je používán současně s WPA-EAP, ale lze jej používat také s WPA-PSK. Šifrování se řídí podle AES a je silnější než RC4 nebo WEP standard.

34.1.3. Nastavení pomocí programu YaST

Bezdrátovou síťovou kartu nastavíte pomocí programu YaST v nabídce Síťová zařízení+Síťová karta. V části Konfigurace sítě, nastavte typ zařízení na Bezdrátová technologie a klikněte na tlačítko Další.

Obrázek 34.1. YaST: nastavení bezdrátové síťové karty

YaST: nastavení bezdrátové síťové karty

V dialogu nastavení bezdrátové síťové kartyna obr. 34.1 – „YaST: nastavení bezdrátové síťové karty“ provedete základní nastavení:

Operační režim

Stanici lze zařadit do sítě ve třech různých režimech. Zvolený režim je závislý na typu sítě: Ad-hoc (peer-to-peer bez přístupového bodu), Spravované (spravovaná síť s přístupovým bodem) nebo Master (karta je používána jako přístupový bod).

Jméno sítě (ESSID)

Aby mohly stanice v jedné síti spolu komunikovat, musí používat stejné ESSID. Pokud žádné nezvolí, karta automaticky nastaví některé z dostupných, to však nemusí být to, které chcete používat.

Režim ověřování

Zvolte vhodný režim ověřování pro svou síť: Otevřený, Sdílený klíč, nebo WPA-PSK. Pokud zvolíte WPA-PSK, musíte nastavit jméno sítě.

Expertní nastavení

Stisknutím tohoto tlačítka otevřete dialog expertního nastavení, ve kterém můžete provést podrobnější nastavení. Popis tohoto dialogu najdete níže.

Po provedení základního nastavení je síť připravená pro připojení do WLAN.

[Important]Bezpečnost v bezdrátových sítích

Ujistěte se, že svou síť chráníte některých ověřovacím a šifrovacím mechanizmem. Nešifrované WLAN připojení umožňuje třetím stranám zachytit vaše data. I slabá ochrana (WEP) je lepší než žádná. Více najdete v částech 34.1.2.3 – „Šifrování“ a 34.1.5.2 – „Bezpečnost“.

V závislosti na zvoleném režimu ověřování umožňuje YaST nastavení doladit. U režimu Otevřený nelze nic dalšího nastavit, jedná se o nešifrovaný provoz bez ověřování.

WEP klíče

Nastavte typ vstupu klíče. Na výběr máte z Passphrase, ASCII nebo Hexadecimal. Kliknutím na Vícenásobné klíče můžete nastavit až čtyři klíče. Délka klíče může být 128 bitů nebo 64 bitů. Výchozí nastavení je 128 bitů. Jeden ze čtyř klíčů v seznamu můžete označit a kliknutím na tlačítko Nastavit jako výchozí nastavit jako výchozí. Pokud žádný klíč jako výchozí nenastavíte, bude jako výchozí použit první vložený klíč v seznamu. Pokud výchozí klíč smažete, musíte jako výchozí označit jiný klíč. Kliknutím na tlačítko Upravit lze měnit již existující klíče nebo vytvářet nové. V dialogu úpravy budete mít k dispozici všechny typy zadání klíče (Passphrase, ASCII nebo Hexadecimal). Při výběru Passphrase zadejte slovo nebo řetězec znaků, ze kterých se má klíč vytvořit. U ASCII je vyžadováno zadání pěti znaků pro 64 bitový klíč, 13 znaků pro 64 bitový nebo 26 znaků pro 128 bitový. U Hexadecimal zadejte deset znaků pro 64 bitový klíč nebo 26 pro 128 bitový.

WPA-PSK

Pro WPA-PSK klíč zvolte vstupní metodu Passphrase nebo Hexadecimal. U režimu Passphrase zadejte 8 až 63 znaků, u režimu Hexadecimal 64 znaků.

WPA-EAP

Zadejte své přihlašovací údaje. U TLS zadejte Certifikát klienta a Certifikát serveru. TTLS a PEAP vyžadují Identitu a Heslo. Certifikát serveru je volitelný. YaST hledá certifikáty v adresáři /etc/cert, uložte proto své certifikáty zde a omezte přístupová práva k souborům na 0600 (čtení a zápis pouze pro vlastníka).

Základní nastavení opustíte kliknutím na Expertní nastavení. Volby expertního nastavení jsou následující:

Kanál

Nastavení kanálu WLAN karty je nutné pouze v režimech Ad-hoc a Master. Ve spravovaném režimu karta dostupné kanály automaticky vyhledá. V Master režimu nastavte, který kanál bude nabízet služby přístupového bodu. Výchozí nastavení je Automatický.

Přenosová rychlost

Podle výkonnosti vaší sítě můžete nastavit přenosovou rychlost mezi body. Ve výchozím nastavení Auto se systém pokusí použít nejvyšší možnou rychlost. Některé WLAn karty změnu přenosové rychlosti nepodporují.

Přístupový bod

V prostředí s více přístupovými body lze jeden zvolit zadáním MAC adresy.

Použít správu napájení

Pokud jste na cestách, je zvýšíte výdrž baterií použitím správy napájení. Více informací o správě napájení najdete v kapitole 33 – „Správa napájení.

34.1.4. Dostupné programy

hostap (balíček hostap) je používán k nastavení WLAN karty jako přístupového bodu. Více informací o tomto programu najdete na domovské stránce jeho projektu (http://hostap.epitest.fi/).

kismet (balíček kismet) je nástroj pro analýzu WLAN provozu. Tento nástroj vám může pomoci také při odhalování pokusů o průnik do sítě. Více informací najdete na stránce http://www.kismetwireless.net/ a v manuálové stránce.

34.1.5. Tipy a triky nastavení WLAN

Při nastavování bezdrátové sítě se vám může hodit některý z následujících tipů:

34.1.5.1. Stabilita a rychlost

Výkon a rychlost bezdrátové sítě závisí na čistotě signálu. překážky jako např. zdi výrazně snižují kvalitu signálu. Se slábnutím signálu se snižuje přenosová rychlost. Sílu signálu můžete překontrolovat pomocí nástroje iwconfig na příkazové řádce nebo pomocí kwifimanager v prostředí KDE. Pokud máte s kvalitou signálu problémy, proveďte nastavení na jiné zařízení nebo se pokuste nasměrovat anténu vašeho přístupového bodu. Přídavné antény lze připojit k řadě PCMCIA WLAN karet. Přenosová rychlost specifikovaná výrobcem (např. 54 Mb/s) je maximální teoretická hodnota. V praxi obvykle získáte něco přes polovinu této hodnoty.

34.1.5.2. Bezpečnost

Pokud nastavujete bezdrátovou síť, uvědomte si, že každý v dosahu vysílání může, pokud nepoužíváte šifrování, bez problémů zachytit váš signál. Všechny karty a přístupové body podporují WEP šifrování. Tato metoda ochrany však není naprosto bezpečná a obsahuje možná slabá místa připravená pro potencionální útočníky. WEP je obvykle dostatečná metoda ochrany pro běžné domácí používání. Mnohem bezpečnější je metoda WPA-PSK, která však není dostupná na přístupových bodech a routerech. Na některých zařízeních jí lze použít po updatu firmwaru, nicméně řada zařízení WPA v Linuxu vůbec nepodporuje. Během psaní tohoto článku bylo WPA možné používat pouze s kartami založenými na čipech Atheros nebo Prism2/2.5/3. WPA pracovalo pouze s ovladačem hostap (viz. 34.1.6.2 – „Problémy s kartami Prism2“). Pokud není WPA k dispozici, je WEP lepší než žádné šifrování. V podnikové sféře s vysokými nároky na bezpečnost by bezdrátová síť měla používat WPA.

34.1.6. Možné problémy

Pokud WLAN karta neodpovídá, překontrolujte, zda máte potřebný firmware. Více o této problematice najdete v části 34.1.1 – „Hardware“.

34.1.6.1. Více síťových zařízení

Moderní notebooky mívají síťovou i wlan kartu. Pokud obě zařízení nastavíte na DHCP (automatické přiřazení adresy), může dojít k problémům při přiřazování výchozí brány a resolvování jmen. Problém s resolvováním odhalíte snadno tak, že sice můžete poslat ping na adresu routeru, ale nemůžete brouzdat po internetu.

34.1.6.2. Problémy s kartami Prism2

Pro zařízení s čipovou sadou Prism2 je k dispozici několik ovladačů. Kombinace různých ovladačů a různých karet vedou k různé kvalitě příjmu. WPA je dostupné pouze s ovladačem hostap. Pokud vaše karta nepracuje správně nebo chcete používat WPA, přečtěte si /usr/share/doc/packages/wireless-tools/README.prism2.

34.1.6.3. WPA

Podpora WPA byla poprvé implementována v systému SUSE Linux. Protože je linuxová podpora WPA stále ve vývoji, podporuje YaST pouze nastavení WPA-PSK. S řadou karet WPA stále nepracuje. Některé karty potřebují pro podporu WPA update firmwaru. Pokud chcete WPA používat, prostudujte si /usr/share/doc/packages/wireless-tools/README.wpa.

34.1.7. Další informace

Řadu informací o bezdrátových sítích najdete na stránce Jeana Tourrilhes, který vytvořil linuxové nástroje nástroje pro práci s bezdrátovými sítěmi (Wireless Tools), na adrese http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html.