Niebezpieczeństwa sieci WIMAX
Transkrypt
Niebezpieczeństwa sieci WIMAX
Niebezpieczeństwa sieci WIMAX Obrona Paweł Baszkowski IT Studio stopień trudności Forum WIMAXa (Worldwide Interoperability for Microwave Access) stworzono w czerwcu 2001, by promowało zgodność i operatywność standardu sieciowego IEEE 802.16. Opisuje ono WiMAX jako standardową technologię umożliwiającą bezprzewodowy szerokopasmowy dostęp do sieci jako alternatywę dla połączeń kablowych i DSL. O becny standard 802.16 to IEEE Std 802.16e-2005, zatwierdzony w grudniu 2005. Poprzednim standardem był IEEE Std 802.16-2004, który zastąpił 802.16-2001, 802.16c-2002, i 802.16a-2003. Standard IEEE 802.16-2004 (802.16d) może być używany do adresowania jedynie stałych systemów. 802.16e dodaje komponenty mobilne do charakterystyki standardu. IEEE 802.16e-2005 (nazywany tak formalnie, choć wciąż lepiej znany jako 802.16e lub Mobile WiMAX) zapewnia lepszą modulację schematów określonych w oryginalnym (stałym) standardzie WiMAX. Umożliwia działanie stałym, bezprzewodowym i mobilnym aplikacjom tzw. Non Line of Sight (NLOS) poprzez poprawę sygnału OFDMA (Orthogenal Frequency Division Multiple Access). SOFDMA (Scalable OFDMA) poprawia OFDM256 dla aplikacji NLOS poprzez: • • 2 zwiększenie zasięgu NLOS dzięki utylizacji zaawansowanych schematów anten hybrydowych – Automatic Retransmission Request (hARQ), zwiększenie mocy poprzez użycie subchannelization (pod-kanałów), a w konse- hakin9 Nr 6/2007 kwencji tego polepszenie zasięgu wewnątrz pomieszczeń, dzięki wprowadzeniu wysokiej jakości technik kodujących, takich jak Turbo Coding i Low-Density Parity Check (LDPC), następuje poprawa bezpieczeństwa i jakości NLOS, wprowadzając podkanały do operacji downlink, udostępnia się tym samym administratorom wymianę zasięgu na pojemność i na odwrót, poprawa zasięgu przez wprowadzanie systemu anten adaptacyjnych (Adaptive Antenna Systems (AAS)) i technologii Multiple Input Multiple Output (MIMO), • • • Z artykułu dowiesz się • • • • o technologii WIMAX, o standardzie IEEE 802.16.e, o ograniczeniach zasięgu, o niebezpieczeństwach konfiguracji. Co powinieneś wiedzieć • • www.hakin9.org o technologiach sieciowych, o technologiach bezprzewodowych. Niebezpieczny WIMAX • • eliminowanie zależności przepustowości danego kanału na podwykonawczym dzieleniu kanału umożliwia równą wydajność dla dowolnego kanału RF (radiowego) w zakresie 1.25-20 Mhz, wzbogacony algorytm transformacji – Fast Fourier transform (FFT) – może tolerować większe opóźnienia, zwiększając oporność dla zależności wielościeżkowych. Z drugiej strony, 802.16-2004 (WiMAX) oferuje korzyść dostępnych produktów komercyjnych i implementację zoptymalizowaną dla stałego dostępu. Stały WiMAX jest popularnym standardem wśród alternatywnych dostawców usług i operatorów w rozwijaniu obszarów ze względu na niski koszt rozmieszczenia zaawansowanej wydajności w stałym środowisku. Stały WiMax jest to również potencjalny standard dla bezprzewodowych stacji bazowych, takich jak komórki, WiFi, a także przenośny WiMAX. SOFDMA i OFDM256 nie są kompatybilne, a więc większość sprzętu musi być wymieniona. Jednak niektórzy producenci planują zapewnić ścieżkę migracyjną dla starszego wyposażenia kompatybilności SOFDMA, który mógłby być użyteczny dla tych sieci, które mają już poczynione inwestycje w OFDM256. Niestety wpływa to na małą liczbę użytkowników i operatorów. Użycie Pasmo i dostępność WiMAX są wygodne dla następujących potencjalnych aplikacji: • • • podłączenia hotspotów Wi-Fi pomiędzy sobą i z dostępem do internetu, zapewniając bezprzewodową alternatywę dla kabla i usług DSL do ostatniego km szerokopasmowego dostępu, zapewniając szybką prędkość danych przenośnych i usług telekomunikacyjnych, • • zapewniając podzielny dostęp do sieci Internet jako część planu biznesowego ciągłości pracy. To znaczy, w przypadku posiadania stałego i bezprzewodowego internetu, szczególnie od niezwiązanych dostawców, bardzo rzadko następuje dostęp do usługi poprzez ten sam zasięg serwisowy, zapewniając połączenia tzw. nomadic. Dostęp szerokopasmowy Wiele firm szczegółowo zastanawia się nad użyciem technologii WiMAX jako last mile (połączenia punktwielopunkt) połączenie w drogich opłatach za przesył danych. Spowodować może to obniżkę cen zarówno dla klientów domowych, jak i biznesowych. W miejscach, gdzie brak kabli lub sieci telefonicznych WiMAX może stanowić ciekawą alternatywę dla szerokopasmowego dostępu, który byłby ekonomicznie niedostępny (zbyt drogi). Niezależnie od WiMAX, wielu operatorów używa stałych technologii bezprzewodowych dla usług szerokopasmowych. Zestawy WiMAX są dostępne zarówno do użytku wewnętrznego, jak i zewnętrznego. Zestawy do własnoręcznej instalacji wewnątrz pomieszczeń są wygodne, ale użytkownik musi być bliżej stacji bazowej WiMAX niż w przypadku profesjonalnie instalowanych zestawów. Dodatkowo, wewnętrzne zestawy instalacyjne wymagają kosztów w bardziej złożoną infrastrukturę sieciową, jak również kosztów operacyjnych (wynajem pomieszczeń, obsługa) w związku z dużą ilością stacji bazowych, wymaganych, by pokryć dany obszar. Wewnętrzne zestawy są porównywalne do modemu kablowego lub modemu DSL. Na zewnątrz zestawy umożliwiają użytkownikowi dużo większe odległości od stacji bazowych WiMAX i z reguły wymagają profesjonalnej instalacji. Instalacje zewnętrznych zestawów są porównywalne do instalacji anten satelitarnych. www.hakin9.org Ograniczenia Mówi się, że WiMAX dostarcza 70 Mbit/s na ponad 112 kilometrów. Jest to prawdziwe stwierdzenie, ale dzieje się tak przy idealnych okolicznościach. W praktyce oznacza to, że tzw. środowisko line-ofsight, gdzie możesz dostarczyć symetrycznie prędkość to 10Mb/s dla 10km, a w wysoko zurbanizowanych środowiskach prawdopodobnie 30% instalacji może nie być tzw. line-of-sight i dlatego użytkownicy mogą otrzymać najwyżej 10Mbps dla 2km. WiMAX ma pewne podobieństwa do DSL. Przykładowo, można mieć albo wysoką przepustowość łącza, albo daleki zasięg, ale nigdy obu jednocześnie. Następna funkcja, jaką warto wziąć pod uwagę, to fakt, że WiMAX dzieli pasmo pomiędzy użytkowników w danym zasięgu radiowym, a więc jeśli jest wielu użytkowników w pojedynczym sektorze, każdy obniży przepustowość łącza. Jednakże inaczej niż np. SDSL, gdzie moc sygnalu jest bardzo zauważalna dla przełożenia 5:1 (dzieje się tak np. wtedy, gdy łącze jest współdzielone z inną dużą firmą), w odniesieniu do sieci WiMAX ten problem nie występuje. Standardowo każda komórka ma całe 100Mbps, tak więc jest cała moc sygnalu. W praktyce, wielu użytkowników będzie miało zakres usług na poziomie 2-, 4-, 6-, 8- lub 10Mbps i pasmo może być współdzielone. Jeśli sieć staje się zajęta, model biznesowy zaczyna być bardziej podobny do GSM lub UMTS niż DSL. Łatwo jest przewidzieć wymagania co do pojemności, jeśli doda się klientów, dokładając dodatkowe karty radiowe w tym samym sektorze, by zwiększyć pojemność. Aplikacje mobilne Niektóre firmy telekomunikacyjne oferują WiMAX jako zwiększenie pasma dla różnych aplikacji. Dla przykładu, firma Sprint Nextel ogłosiła mniej więcej w połowie roku 2006, że będzie inwestować około 3 milionów USD w budowę technologii WiMAX w ciągu kilku najbliższych lat. hakin9 Nr 6/2007 3 Obrona Technologia ta może zapewniać pasmo o dużej przepustowości dla internetu lub telefonu komórkowego ze zdalnych lokalizacji, z powrotem do szkieletu internetu. Mimo faktu, że wydajność względem kosztu sieci WiMAX w zdalnej aplikacji będzie wyższa, nie ma ograniczeń co do konkretnych aplikacji oraz może być odpowiedzią na obniżanie kosztów łącz T1/E1. W niektórych krajach rozwijających się poprzez ograniczenia w infrastrukturze okablowania, koszty instalacji WiMAX w połączeniu z istniejącą siecią telefonii komórkowej są dużo mniejsze w porówaniu do rozwijania rozwiązań kablowych. Miejsca o niskim zagęszczeniu i płaskim terenie są wymarzone dla zasięgu sieci WiMAX. Dla krajów, które opuściły strukturę kablową ze względu na koszty i niekorzstne uwarunkowania geometryczne, WiMAX może wzbogacić bezprzewodową infrastrukturę w niedrogi, zdecentralizowany, wdrożeniowo przyjazny i efektywny sposób. Techniczne informacje WiMAX to termin określający standard, jak wspominane wcześniej, implementacji IEEE 802.16 sieci bezprzewodowych, w podobny sposób do Wi-Fi będącego implementacjami standardów sieci bezprzewodowych (IEEE 802.11). Jednak WiMAX jest zupełnie różny od Wi-Fi w sposobie działania. Funkcjonalność WiMax obejmuje nie tylko rozbudowaną warstwę fizyczną standardu, rozszerza się także na: konstrukcję protokołu warstwy MAC, skalowalność (możliwości rozwoju), architekturę oraz bezpieczeństwo. Podstawową funkcją warstwy MAC (Medium Access Control) jest dostarczenie interfejsu niezależnego od medium dla warstwy fizycznej. Warstwa fizyczna IEEE 802.16 ma charakter bezprzewodowy, dlatego też warstwa MAC tego standardu odpowiada za efektywne zarządzanie zasobami radiowymi. Protokół warstwy MAC został zaprojektowany głównie 4 hakin9 Nr 6/2007 dla architektur punkt-wielopunkt i mesh.Główne cechy i zadania protokołu warstwy MAC: • • • • • • • • zorientowany połączeniowo, zarządza korzystaniem z zasobów radiowych, dostarcza mechanizmy rozróżniania usług QoS, obsługuje funkcje ARQ (Automatic Repeat Request), zarządza procesami wejścia i wyjścia użytkowników z systemu, tworzy PDU (Protocol Data Unit), wspiera ATM (Asynchronus Transfer Mode), IP, zaprojektowany dla bardzo wysokich przepustowości (do 268 Mb/s w każdą stronę) warstwy fizycznej. Bardzo ważną cechą systemu opartego na standardzie 802.16 jest możliwość rozwijania istniejącej struktury sieci w celu spełnienia przyszłych potrzeb użytkowników, praktycznie bez żadnej ingerencji w poziom dotychczas świadczonych usług. Możliwe jest to dzięki: • • • • planowaniu komórek (cell planning) w sektorze i dzieleniu ich na mikrokomórki, możliwości wyboru odpowiedniej modulacji (w celu zwiększenia prędkości transferu), możliwości stosowania różnych metod dostępu (w celu zapewnienia stałej lub zmiennej przepływności bitowej), optymalne, wielokrotne wykorzystanie tych samych częstotliwości (wzrost pojemności systemu bez redukcji zasięgu). Jeśli operator posiada pasmo 20 MHz, to, aby zaspokoić wymagania swoich użytkowników, ma możliwość alokacji dwóch sektorów po 10 MHz każdy lub czterech po 5 MHz. Ponadto w celu zwiększenia liczby użytkowników, mogących korzystać z zasobów systemu, powinien zwiększyć kierunkowość sektorów, zachowując odpowiedni zasięg i przepustowość. Dodatkowo możliwe jest wielokrotne wykorzystanie www.hakin9.org tego samego pasma częstotliwości, poprzez odpowiednią separację anten stacji bazowych. W ten sposób operator uzyskuje większy zasięg swojego sygnału. Operator telekomunikacyjny ma możliwość zaprojektowania struktury swojego systemu WiMax w różnoraki sposób. Istnieją trzy podstawowe architektury sieci WiMax: • • • Punkt-Punkt, Punkt-Wielopunkt, Mesh (każdy z każdym). Pierwsza wersja specyfikacji 802.16 została zaprojektowana dla szerokopasmowych, bezprzewodowych aplikacji punkt-wielopunkt (Last Mile Access). Standard wspiera usługi o wysokiej przepustowości i wysokich wymaganiach na QoS oraz pozwala wielu użytkownikom końcowym współdzielić terminal. Podstawowa konfiguracja sieci WiMax składa się z wysoko położonej stacji bazowej i stacji klienckich, zlokalizowanych w domach lub biurach. Typowy promień komórki dla takiej architektury osiąga 6-10 km (w warunkach NLOS i optymalnej przepustowości), co daje sieci WiMax w takiej infrastrukturze kilkadziesiąt kilometrów zasięgu. Ponadto, aby podłączyć skupionych w jednej lokalizacji użytkowników do siebie nawzajem oraz do stacji bazowej na długich dystansach stosuje się także łącza punkt-punkt (backhaul). Późniejsze wydania standardu umożliwiają pokrycie większych obszarów dostępowych, zalecając architekturę oczkową typu mesh. Pozwala ona użytkownikowi łączyć się bezpośrednio z innym klientem i w ten sposób uzyskiwać dostęp do zasobów sieci WiMax. Pomimo swojej dużej złożoności architektura ta jest łatwo skalowalna, rozwiązuje także problem interferencji w sieciach pracujących w paśmie nielicencjonowanym. Dodawanie nowych łącz 802.16 jest stosunkowo proste i tanie, istnieją ścieżki zastępcze dla danej transmisji, dlatego też cała komunikacja jest stabilna. Niebezpieczny WIMAX Z punktu widzenia użytkownika, oprócz zapewnienia stabilności usług, z których korzysta, priorytetem jest zabezpieczenie danych, które planuje przesłać w sieci. bezpieczniejszy od WiFi, ale do najbezpieczniejszych sieci nie należy. Wspomniane kategorie błędów to: Bezpieczeństwo • Standard WiMax, gwarantując transmisję o wysokiej przepływności, zapewnia także bezpieczeństwo wymiany danych na wysokim poziomie. Grupa IEEE 802.16 zaproponowała następujące mechanizmy zabezpieczania transmisji: • • • • autentyfikacja terminala (wymiana certyfikatów w celu uniemożliwienia wejścia do systemu podejrzanym urządzeniom), autentyfikacja użytkownika (realizowana za pomocą protokołu EAP –Extensible Authentication Protocol), szyfrowanie danych (realizowane za pomocą protokołu DES –Data Encryption Standard lub AES –Advanced Encryption Standard), szyfrowanie każdej usługi unikalnym kluczem prywatnym, asocjacja odmiennym systemem zabezpieczeń. Czy z bezpieczeństwem WiMAX jest aż tak dobrze? Całkiem niekoniecznie. Portal prowadzony przez firmę analityczną ABI Research informuje, że gdy tylko ruszy pierwsza sieć WiMAX, od razu zaczniemy się dowiadywać o tym, jak wiele jest w nich luk. Podzielono je już nawet na kategorie. W Polsce WiMAX nie rozwija się zbyt szybko. Z pewnością jest O autorze Własciciel i założyciel IT Studio to inż. informatyk z wieloletnim doświadczeniem w branży IT. Zarządzał sieciami i telekomunikacją w logistyce i bankach. Kierował i uczestniczył w wielu wdrożeniach i projektach informatycznych. Kontakt z autorem: [email protected] (www.it-studio.pl). • • luki w komputerach użytkowników, problemy z systemem wykrywania włamań, dziury w innych urządzeniach podłączanych do sieci WiMax. ABI Research wspomina, że terminale wykorzystywane przez użytkowników muszą zostać wyposażone w systemy umożliwiające sprawne przetwarzanie kluczy szyfrujących AES, a producenci innych urządzeń sieciowych powinni dodać do nich sprzętowe i programowy systemy zabezpieczające i wykrywające włamania. Firma analityczna ABI Research ostrzega przed licznymi lukami w zabezpieczeniach technologii WiMax. Jeśli nie uczysz się na błędach przeszłości, będziesz musiał je powtórzyć - mówi wiceprezes ABI, Stan Schatt. Pierwsi użytkownicy sieci Wi-Fi żyli w złudnym poczuciu bezpieczeństwa do czasu, aż zaczęto odkrywać poważne błędy. WiMax Forum podkreśla, że technologia WiMax jest znacznie bardziej bezpieczna od Wi-Fi. W rezultacie użytkownicy WiMaksa mogą podobnie łudzić się, że są bezpieczni. Zdaniem Schatta, o poważnych dziurach w zabezpieczeniach zaczniemy dowiadywać się, gdy tylko ruszy pierwsza duża sieć WiMax. Błędy w tej technologii podzielono na trzy kategorie: luki w komputerach użytkowników, problemy z systemem wykrywania włamań oraz dziury w innych urządzeniach podłączanych do sieci WiMax. ABI podkreśla, że terminale wykorzystywane przez użytkowników muszą zostać wyposażone w systemy umożliwiające sprawne przetwarzanie kluczy szyfrujących AES, a producenci innych urządzeń sieciowych powinni dodać do nich sprzętowe i programowy systemy zabezpieczające i wykrywające włamania. www.hakin9.org Szczególnie niebezpieczny jest fakt, iż poza kilkoma wielkimi producentami sprzętu sieciowego jak Motorola, Nortel czy Alcatel, niewiele firm zainteresowanych technologią WiMax ma wiedzę i doświadczenie konieczne do zabezpieczenia sieci. Z drugiej jednak strony, braki te to idealna nisza rynkowa dla niewielkich firm specjalizujących się w zabezpieczeniach. Zdaniem analityków ABI istnieje więc pole do popisu dla firm takich jak Cavium Networks, AirTight Networks czy Redline Communications, które potrafią zadbać o bezpieczeństwo sieci. Muszą one jednak pamiętać, że, jak wskazują doświadczenia z sieciami Wi-Fi, dla klientów końcowych najbardziej atrakcyjne są rozwiązania zintegrowane, więc mniejsze firmy powinny oferować swoje produkty we współpracy z wymienionymi powyżej gigantami. Nowości Koncern Intel poinformował oukończeniu prac nad prototypem układu WiMAX, którego pierwsze egzemplarze zostaną zainstalowane w notebookach na początku 2008 roku jako komponent chipsetu WiMAX Connection 2300. Nowy chipset WiMAX firmy Intel został zaprezentowany na konferencji 3G World Congress and Mobility Marketplace wHongkongu. To krok naprzód w zakresie realizacji planu koncernu Intel, jakim jest stworzenie platformy komunikacyjnej, w całości opartej na technologii WiMAX, jaka ma szansę zdobyć większą popularność niż łączność Wi-Fi. Układ WiMAX Connection 2300 łączy zalety obydwu tych technologii. Kolejnym krokiem na ścieżce rozwoju technologii WiMAX będzie planowane roczne testowanie układów, tak aby w 2008 roku trafić mogły do konsumentów. l hakin9 Nr 6/2007 5