Niebezpieczeństwa sieci WIMAX

Niebezpieczeństwa sieci
WIMAX
Obrona
Paweł Baszkowski IT Studio
stopień trudności
Forum WIMAXa (Worldwide Interoperability for Microwave
Access) stworzono w czerwcu 2001, by promowało zgodność
i operatywność standardu sieciowego IEEE 802.16. Opisuje
ono WiMAX jako standardową technologię umożliwiającą
bezprzewodowy szerokopasmowy dostęp do sieci jako
alternatywę dla połączeń kablowych i DSL.
O
becny standard 802.16 to IEEE Std
802.16e-2005, zatwierdzony w grudniu 2005. Poprzednim standardem
był IEEE Std 802.16-2004, który zastąpił
802.16-2001, 802.16c-2002, i 802.16a-2003.
Standard IEEE 802.16-2004 (802.16d) może
być używany do adresowania jedynie stałych
systemów. 802.16e dodaje komponenty mobilne do charakterystyki standardu.
IEEE 802.16e-2005 (nazywany tak formalnie, choć wciąż lepiej znany jako 802.16e lub
Mobile WiMAX) zapewnia lepszą modulację
schematów określonych w oryginalnym (stałym) standardzie WiMAX. Umożliwia działanie stałym, bezprzewodowym i mobilnym
aplikacjom tzw. Non Line of Sight (NLOS) poprzez poprawę sygnału OFDMA (Orthogenal
Frequency Division Multiple Access). SOFDMA (Scalable OFDMA) poprawia OFDM256
dla aplikacji NLOS poprzez:
•
•
2
zwiększenie zasięgu NLOS dzięki utylizacji zaawansowanych schematów anten
hybrydowych – Automatic Retransmission
Request (hARQ),
zwiększenie mocy poprzez użycie subchannelization (pod-kanałów), a w konse-
hakin9 Nr 6/2007
kwencji tego polepszenie zasięgu wewnątrz
pomieszczeń,
dzięki wprowadzeniu wysokiej jakości technik kodujących, takich jak Turbo Coding i
Low-Density Parity Check (LDPC), następuje poprawa bezpieczeństwa i jakości NLOS,
wprowadzając podkanały do operacji downlink, udostępnia się tym samym administratorom wymianę zasięgu na pojemność
i na odwrót,
poprawa zasięgu przez wprowadzanie systemu anten adaptacyjnych (Adaptive Antenna Systems (AAS)) i technologii Multiple
Input Multiple Output (MIMO),
•
•
•
Z artykułu dowiesz się
•
•
•
•
o technologii WIMAX,
o standardzie IEEE 802.16.e,
o ograniczeniach zasięgu,
o niebezpieczeństwach konfiguracji.
Co powinieneś wiedzieć
•
•
www.hakin9.org
o technologiach sieciowych,
o technologiach bezprzewodowych.
Niebezpieczny WIMAX
•
•
eliminowanie zależności przepustowości danego kanału na
podwykonawczym
dzieleniu
kanału umożliwia równą wydajność dla dowolnego kanału RF
(radiowego) w zakresie 1.25-20
Mhz,
wzbogacony algorytm transformacji – Fast Fourier transform
(FFT) – może tolerować większe opóźnienia, zwiększając
oporność dla zależności wielościeżkowych.
Z drugiej strony, 802.16-2004 (WiMAX) oferuje korzyść dostępnych
produktów komercyjnych i implementację zoptymalizowaną dla
stałego dostępu. Stały WiMAX
jest popularnym standardem wśród
alternatywnych dostawców usług
i operatorów w rozwijaniu obszarów
ze względu na niski koszt rozmieszczenia zaawansowanej wydajności
w stałym środowisku. Stały WiMax
jest to również potencjalny standard dla bezprzewodowych stacji
bazowych, takich jak komórki, WiFi, a także przenośny WiMAX.
SOFDMA i OFDM256 nie są
kompatybilne, a więc większość
sprzętu musi być wymieniona. Jednak niektórzy producenci planują
zapewnić ścieżkę migracyjną dla
starszego wyposażenia kompatybilności SOFDMA, który mógłby
być użyteczny dla tych sieci, które
mają już poczynione inwestycje
w OFDM256. Niestety wpływa to
na małą liczbę użytkowników i operatorów.
Użycie
Pasmo i dostępność WiMAX są
wygodne dla następujących potencjalnych aplikacji:
•
•
•
podłączenia hotspotów Wi-Fi
pomiędzy sobą i z dostępem do
internetu,
zapewniając
bezprzewodową
alternatywę dla kabla i usług
DSL do ostatniego km szerokopasmowego dostępu,
zapewniając szybką prędkość
danych przenośnych i usług
telekomunikacyjnych,
•
•
zapewniając podzielny dostęp
do sieci Internet jako część
planu biznesowego ciągłości
pracy. To znaczy, w przypadku
posiadania stałego i bezprzewodowego internetu, szczególnie
od niezwiązanych dostawców,
bardzo rzadko następuje dostęp do usługi poprzez ten sam
zasięg serwisowy,
zapewniając połączenia tzw.
nomadic.
Dostęp
szerokopasmowy
Wiele firm szczegółowo zastanawia
się nad użyciem technologii WiMAX
jako last mile (połączenia punktwielopunkt) połączenie w drogich
opłatach za przesył danych. Spowodować może to obniżkę cen
zarówno dla klientów domowych,
jak i biznesowych.
W miejscach, gdzie brak kabli
lub sieci telefonicznych WiMAX
może stanowić ciekawą alternatywę
dla szerokopasmowego dostępu,
który byłby ekonomicznie niedostępny (zbyt drogi). Niezależnie od
WiMAX, wielu operatorów używa
stałych technologii bezprzewodowych dla usług szerokopasmowych.
Zestawy WiMAX są dostępne
zarówno do użytku wewnętrznego,
jak i zewnętrznego. Zestawy do
własnoręcznej instalacji wewnątrz
pomieszczeń są wygodne, ale użytkownik musi być bliżej stacji bazowej
WiMAX niż w przypadku profesjonalnie instalowanych zestawów.
Dodatkowo, wewnętrzne zestawy
instalacyjne wymagają kosztów
w bardziej złożoną infrastrukturę
sieciową, jak również kosztów operacyjnych (wynajem pomieszczeń,
obsługa) w związku z dużą ilością
stacji bazowych, wymaganych, by
pokryć dany obszar. Wewnętrzne
zestawy są porównywalne do modemu kablowego lub modemu DSL.
Na zewnątrz zestawy umożliwiają
użytkownikowi dużo większe odległości od stacji bazowych WiMAX
i z reguły wymagają profesjonalnej
instalacji. Instalacje zewnętrznych
zestawów są porównywalne do instalacji anten satelitarnych.
www.hakin9.org
Ograniczenia
Mówi się, że WiMAX dostarcza 70
Mbit/s na ponad 112 kilometrów.
Jest to prawdziwe stwierdzenie,
ale dzieje się tak przy idealnych
okolicznościach. W praktyce oznacza to, że tzw. środowisko line-ofsight, gdzie możesz dostarczyć
symetrycznie prędkość to 10Mb/s
dla 10km, a w wysoko zurbanizowanych środowiskach prawdopodobnie 30% instalacji może
nie być tzw. line-of-sight i dlatego
użytkownicy mogą otrzymać najwyżej 10Mbps dla 2km. WiMAX
ma pewne podobieństwa do DSL.
Przykładowo, można mieć albo
wysoką przepustowość łącza, albo
daleki zasięg, ale nigdy obu jednocześnie. Następna funkcja, jaką
warto wziąć pod uwagę, to fakt,
że WiMAX dzieli pasmo pomiędzy
użytkowników w danym zasięgu radiowym, a więc jeśli jest wielu użytkowników w pojedynczym sektorze,
każdy obniży przepustowość łącza.
Jednakże inaczej niż np. SDSL,
gdzie moc sygnalu jest bardzo zauważalna dla przełożenia 5:1 (dzieje się tak np. wtedy, gdy łącze jest
współdzielone z inną dużą firmą),
w odniesieniu do sieci WiMAX ten
problem nie występuje.
Standardowo każda komórka
ma całe 100Mbps, tak więc jest cała
moc sygnalu. W praktyce, wielu użytkowników będzie miało zakres usług
na poziomie 2-, 4-, 6-, 8- lub 10Mbps
i pasmo może być współdzielone.
Jeśli sieć staje się zajęta, model
biznesowy zaczyna być bardziej podobny do GSM lub UMTS niż DSL.
Łatwo jest przewidzieć wymagania
co do pojemności, jeśli doda się
klientów, dokładając dodatkowe karty radiowe w tym samym sektorze,
by zwiększyć pojemność.
Aplikacje mobilne
Niektóre firmy telekomunikacyjne
oferują WiMAX jako zwiększenie pasma dla różnych aplikacji. Dla przykładu, firma Sprint Nextel ogłosiła
mniej więcej w połowie roku 2006, że
będzie inwestować około 3 milionów
USD w budowę technologii WiMAX
w ciągu kilku najbliższych lat.
hakin9 Nr 6/2007
3
Obrona
Technologia ta może zapewniać
pasmo o dużej przepustowości dla
internetu lub telefonu komórkowego
ze zdalnych lokalizacji, z powrotem
do szkieletu internetu. Mimo faktu,
że wydajność względem kosztu
sieci WiMAX w zdalnej aplikacji będzie wyższa, nie ma ograniczeń co
do konkretnych aplikacji oraz może
być odpowiedzią na obniżanie
kosztów łącz T1/E1. W niektórych
krajach rozwijających się poprzez
ograniczenia w infrastrukturze
okablowania, koszty instalacji WiMAX w połączeniu z istniejącą
siecią telefonii komórkowej są
dużo mniejsze w porówaniu do
rozwijania rozwiązań kablowych.
Miejsca o niskim zagęszczeniu
i płaskim terenie są wymarzone dla
zasięgu sieci WiMAX. Dla krajów,
które opuściły strukturę kablową
ze względu na koszty i niekorzstne uwarunkowania geometryczne,
WiMAX może wzbogacić bezprzewodową infrastrukturę w niedrogi,
zdecentralizowany, wdrożeniowo
przyjazny i efektywny sposób.
Techniczne informacje
WiMAX to termin określający standard, jak wspominane wcześniej,
implementacji IEEE 802.16 sieci
bezprzewodowych, w podobny
sposób do Wi-Fi będącego implementacjami standardów sieci
bezprzewodowych (IEEE 802.11).
Jednak WiMAX jest zupełnie różny
od Wi-Fi w sposobie działania.
Funkcjonalność WiMax obejmuje nie tylko rozbudowaną warstwę
fizyczną standardu, rozszerza się
także na: konstrukcję protokołu
warstwy MAC, skalowalność (możliwości rozwoju), architekturę oraz
bezpieczeństwo.
Podstawową funkcją warstwy
MAC (Medium Access Control)
jest dostarczenie interfejsu niezależnego od medium dla warstwy
fizycznej. Warstwa fizyczna IEEE
802.16 ma charakter bezprzewodowy, dlatego też warstwa MAC
tego standardu odpowiada za
efektywne zarządzanie zasobami
radiowymi. Protokół warstwy MAC
został zaprojektowany głównie
4
hakin9 Nr 6/2007
dla architektur punkt-wielopunkt
i mesh.Główne cechy i zadania
protokołu warstwy MAC:
•
•
•
•
•
•
•
•
zorientowany połączeniowo,
zarządza korzystaniem z zasobów radiowych,
dostarcza mechanizmy rozróżniania usług QoS,
obsługuje funkcje ARQ (Automatic Repeat Request),
zarządza procesami wejścia i wyjścia użytkowników z systemu,
tworzy PDU (Protocol Data Unit),
wspiera
ATM
(Asynchronus
Transfer Mode), IP,
zaprojektowany dla bardzo wysokich przepustowości (do 268
Mb/s w każdą stronę) warstwy
fizycznej.
Bardzo ważną cechą systemu
opartego na standardzie 802.16
jest możliwość rozwijania istniejącej struktury sieci w celu spełnienia
przyszłych potrzeb użytkowników,
praktycznie bez żadnej ingerencji
w poziom dotychczas świadczonych usług. Możliwe jest to dzięki:
•
•
•
•
planowaniu komórek (cell planning) w sektorze i dzieleniu ich
na mikrokomórki,
możliwości wyboru odpowiedniej modulacji (w celu zwiększenia prędkości transferu),
możliwości stosowania różnych
metod dostępu (w celu zapewnienia stałej lub zmiennej przepływności bitowej),
optymalne, wielokrotne wykorzystanie tych samych częstotliwości (wzrost pojemności
systemu bez redukcji zasięgu).
Jeśli operator posiada pasmo 20
MHz, to, aby zaspokoić wymagania
swoich użytkowników, ma możliwość alokacji dwóch sektorów po 10
MHz każdy lub czterech po 5 MHz.
Ponadto w celu zwiększenia liczby
użytkowników, mogących korzystać z zasobów systemu, powinien
zwiększyć kierunkowość sektorów,
zachowując odpowiedni zasięg
i przepustowość. Dodatkowo możliwe jest wielokrotne wykorzystanie
www.hakin9.org
tego samego pasma częstotliwości,
poprzez odpowiednią separację anten stacji bazowych. W ten sposób
operator uzyskuje większy zasięg
swojego sygnału.
Operator telekomunikacyjny ma
możliwość zaprojektowania struktury
swojego systemu WiMax w różnoraki
sposób. Istnieją trzy podstawowe architektury sieci WiMax:
•
•
•
Punkt-Punkt,
Punkt-Wielopunkt,
Mesh (każdy z każdym).
Pierwsza wersja specyfikacji 802.16
została zaprojektowana dla szerokopasmowych, bezprzewodowych
aplikacji punkt-wielopunkt (Last
Mile Access). Standard wspiera
usługi o wysokiej przepustowości
i wysokich wymaganiach na QoS
oraz pozwala wielu użytkownikom
końcowym współdzielić terminal.
Podstawowa konfiguracja sieci WiMax składa się z wysoko położonej
stacji bazowej i stacji klienckich,
zlokalizowanych w domach lub biurach. Typowy promień komórki dla
takiej architektury osiąga 6-10 km
(w warunkach NLOS i optymalnej
przepustowości), co daje sieci WiMax w takiej infrastrukturze kilkadziesiąt kilometrów zasięgu.
Ponadto, aby podłączyć skupionych w jednej lokalizacji użytkowników do siebie nawzajem
oraz do stacji bazowej na długich dystansach stosuje się także
łącza punkt-punkt (backhaul).
Późniejsze wydania standardu
umożliwiają pokrycie większych
obszarów dostępowych, zalecając
architekturę oczkową typu mesh.
Pozwala ona użytkownikowi łączyć
się bezpośrednio z innym klientem
i w ten sposób uzyskiwać dostęp
do zasobów sieci WiMax. Pomimo
swojej dużej złożoności architektura
ta jest łatwo skalowalna, rozwiązuje także problem interferencji
w sieciach pracujących w paśmie
nielicencjonowanym.
Dodawanie
nowych łącz 802.16 jest stosunkowo proste i tanie, istnieją ścieżki zastępcze dla danej transmisji, dlatego
też cała komunikacja jest stabilna.
Niebezpieczny WIMAX
Z punktu widzenia użytkownika,
oprócz zapewnienia stabilności
usług, z których korzysta, priorytetem jest zabezpieczenie danych,
które planuje przesłać w sieci.
bezpieczniejszy od WiFi, ale do najbezpieczniejszych sieci nie należy.
Wspomniane kategorie błędów to:
Bezpieczeństwo
•
Standard WiMax, gwarantując
transmisję o wysokiej przepływności, zapewnia także bezpieczeństwo wymiany danych na wysokim
poziomie. Grupa IEEE 802.16 zaproponowała następujące mechanizmy zabezpieczania transmisji:
•
•
•
•
autentyfikacja terminala (wymiana certyfikatów w celu uniemożliwienia wejścia do systemu
podejrzanym urządzeniom),
autentyfikacja użytkownika (realizowana za pomocą protokołu
EAP –Extensible Authentication
Protocol),
szyfrowanie danych (realizowane za pomocą protokołu DES
–Data Encryption Standard lub
AES –Advanced Encryption
Standard),
szyfrowanie każdej usługi unikalnym kluczem prywatnym,
asocjacja odmiennym systemem zabezpieczeń.
Czy z bezpieczeństwem WiMAX
jest aż tak dobrze? Całkiem niekoniecznie. Portal prowadzony przez
firmę analityczną ABI Research
informuje, że gdy tylko ruszy pierwsza sieć WiMAX, od razu zaczniemy się dowiadywać o tym, jak wiele
jest w nich luk. Podzielono je już
nawet na kategorie.
W Polsce WiMAX nie rozwija
się zbyt szybko. Z pewnością jest
O autorze
Własciciel i założyciel IT Studio to inż.
informatyk z wieloletnim doświadczeniem w branży IT. Zarządzał sieciami
i telekomunikacją w logistyce i bankach. Kierował i uczestniczył w wielu
wdrożeniach i projektach informatycznych. Kontakt z autorem:
[email protected]
(www.it-studio.pl).
•
•
luki w komputerach użytkowników,
problemy z systemem wykrywania włamań,
dziury w innych urządzeniach
podłączanych do sieci WiMax.
ABI Research wspomina, że terminale
wykorzystywane
przez
użytkowników muszą zostać wyposażone w systemy umożliwiające sprawne przetwarzanie kluczy
szyfrujących AES, a producenci
innych urządzeń sieciowych powinni dodać do nich sprzętowe i programowy systemy zabezpieczające
i wykrywające włamania.
Firma analityczna ABI Research ostrzega przed licznymi lukami w zabezpieczeniach technologii
WiMax. Jeśli nie uczysz się na błędach przeszłości, będziesz musiał
je powtórzyć - mówi wiceprezes
ABI, Stan Schatt.
Pierwsi użytkownicy sieci Wi-Fi
żyli w złudnym poczuciu bezpieczeństwa do czasu, aż zaczęto odkrywać poważne błędy. WiMax Forum
podkreśla, że technologia WiMax
jest znacznie bardziej bezpieczna
od Wi-Fi. W rezultacie użytkownicy
WiMaksa mogą podobnie łudzić się,
że są bezpieczni.
Zdaniem Schatta, o poważnych
dziurach w zabezpieczeniach zaczniemy dowiadywać się, gdy tylko
ruszy pierwsza duża sieć WiMax.
Błędy w tej technologii podzielono na trzy kategorie: luki w komputerach użytkowników, problemy
z systemem wykrywania włamań
oraz dziury w innych urządzeniach
podłączanych do sieci WiMax.
ABI podkreśla, że terminale
wykorzystywane przez użytkowników muszą zostać wyposażone
w systemy umożliwiające sprawne
przetwarzanie kluczy szyfrujących
AES, a producenci innych urządzeń sieciowych powinni dodać
do nich sprzętowe i programowy
systemy zabezpieczające i wykrywające włamania.
www.hakin9.org
Szczególnie
niebezpieczny
jest fakt, iż poza kilkoma wielkimi
producentami sprzętu sieciowego
jak Motorola, Nortel czy Alcatel,
niewiele firm zainteresowanych
technologią WiMax ma wiedzę
i doświadczenie konieczne do
zabezpieczenia sieci. Z drugiej
jednak strony, braki te to idealna
nisza rynkowa dla niewielkich firm
specjalizujących się w zabezpieczeniach.
Zdaniem analityków ABI istnieje
więc pole do popisu dla firm takich
jak Cavium Networks, AirTight
Networks czy Redline Communications, które potrafią zadbać
o bezpieczeństwo sieci. Muszą one
jednak pamiętać, że, jak wskazują
doświadczenia z sieciami Wi-Fi,
dla klientów końcowych najbardziej atrakcyjne są rozwiązania
zintegrowane, więc mniejsze firmy
powinny oferować swoje produkty
we współpracy z wymienionymi
powyżej gigantami.
Nowości
Koncern
Intel
poinformował
oukończeniu prac nad prototypem
układu WiMAX, którego pierwsze
egzemplarze zostaną zainstalowane w notebookach na początku
2008 roku jako komponent chipsetu
WiMAX Connection 2300.
Nowy chipset WiMAX firmy Intel
został zaprezentowany na konferencji 3G World Congress and
Mobility Marketplace wHongkongu.
To krok naprzód w zakresie realizacji planu koncernu Intel, jakim jest
stworzenie platformy komunikacyjnej, w całości opartej na technologii WiMAX, jaka ma szansę zdobyć
większą popularność niż łączność
Wi-Fi. Układ WiMAX Connection
2300 łączy zalety obydwu tych
technologii.
Kolejnym krokiem na ścieżce
rozwoju technologii WiMAX będzie planowane roczne testowanie
układów, tak aby w 2008 roku trafić
mogły do konsumentów. l
hakin9 Nr 6/2007
5