آموزش شبكه هاي بي سيم - Wireless Network

[Mohamad]

آموزش شبكه هاي بي سيم - Wireless Network >فصل سوم و چهارم
عناصر فعال شبکههای محلی بیسیم

در شبکههای محلی بیسیم معمولاً دو نوع عنصر فعال وجود دارد :

-ایستگاه بی سیم

ایستگاه یا مخدوم بیسیم به طور معمول یک کامپیوتر کیفی یا یک ایستگاه کاری ثابت است که توسط یک کارت شبکهی بیسیم به شبکهی محلی متصل میشود.

- نقطه ی دسترسی (access point )

نقاط دسترسی در شبکههای بیسیم، همانگونه که در قسمتهای پیش نیز در مورد آن صحبت شد، سخت افزارهای فعالی هستند که عملاً نقش سوییچ در شبکههای بیسیم را بازیکرده اند.

ايستگاه بي سيم

ایستگاه یا مخدوم بیسیم به طور معمول یک کامپیوتر کیفی یا یک ایستگاه کاری ثابت است که توسط یک کارت شبکهی بیسیم به شبکهی محلی متصل میشود. این ایستگاه میتواند از سوی دیگر یک کامپیوتر جیبی یا حتی یک پویش گر بارکد نیز باشد. در برخی از کاربردها برای اینکه استفاده از سیم در پایانههای رایانهیی برای طراح و مجری دردسرساز است، برای این پایانهها که معمولاً در داخل کیوسکهایی بههمین منظور تعبیه میشود، از امکان اتصال بیسیم به شبکهی محلی استفاده میکنند. در حال حاضر اکثر کامپیوترهای کیفی موجود در بازار به این امکان بهصورت سرخود مجهز هستند و نیازی به اضافهکردن یک کارت شبکهی بیسیم نیست.
کارتهای شبکهی بیسیم عموماً برای استفاده در چاکهای PCMCIA است. در صورت نیاز به استفاده از این کارتها برای کامپیوترهای رومیزی و شخصی، با استفاده از رابطی این کارتها را بر روی چاکهای گسترش PCI نصب میکنند.

نقطه ی دسترسی - access point

نقاط دسترسی در شبکههای بیسیم، همانگونه که در قسمتهای پیش نیز در مورد آن صحبت شد، سخت افزارهای فعالی هستند که عملاً نقش سوییچ در شبکههای بیسیم را بازیکرده، امکان اتصال به شبکه های سیمی را نیز دارند. در عمل ساختار بستر اصلی شبکه عموماً سیمی است و توسط این نقاط دسترسی، مخدومها و ایستگاههای بیسیم به شبکهی سیمی اصلی متصل میگردد.
.................................................. ...
دسترسی به رسانه

روش دسترسی به رسانه در اين استاندارد CSMA/CA است كه تاحدودی به روش دسترسی CSMA/CD شباهت دارد. در اين روش ايستگاههای كاری قبل از ارسال داده كانال راديويی را كنترل میكنند و در صورتی كه كانال آزاد باشد اقدام به ارسال میكنند. در صورتی كه كانال راديويی اشغال باشد با استفاده از الگوريتم خاصی به اندازه يك زمان تصادفی صبر كرده و مجدداً اقدام به كنترل كانال راديويی میكنند. در روش CSMA/CA ايستگاه فرستنده ابتدا كانال فركانسی را كنترل كرده و در صورتی كه رسانه به مدت خاصی موسوم به DIFS آزاد باشد اقدام به ارسال میكند. گيرنده فيلد كنترلی فريم يا همان CRC را چك میكند و سپس يك فريم تصديق میفرستد. دريافت تصديق به اين معنی است كه تصادمی بروز نكرده است. در صورتی كه فرستنده اين تصديق را دريافت نكند، مجدداً فريم را ارسال میكند. اين عمل تا زمانی ادامه میيابد كه فريم تصديق ارسالی از گيرنده توسط فرستنده دريافت شود يا تكرار ارسال فريمها به تعداد آستانهای مشخصی برسد كه پس از آن فرستنده فريم را دور میاندازد.

در شبكههای بیسيم بر خلاف اِتِرنت امكان شناسايی و آشكار سازی تصادم به دو علت وجود ندارد:

پياده سازی مكانيزم آشكار سازی تصادم به روش ارسال راديويی دوطرفه نياز دارد كه با استفاده از آن ايستگاه سيّار بتواند در حين ارسال، سيگنال را دريافت كند كه اين امر باعث افزايش قابل توجه هزينه میشود.
در يك شبكه بیسيم، بر خلاف شبكههای سيمی، نمیتوان فرض كرد كه تمام ايستگاههای سيّار امواج يكديگر را دريافت میكنند. در واقع در محيط بیسيم حالاتی قابل تصور است كه به آنها نقاط پنهان میگوييم. در شكل زير ايستگاههای كاری "A" و "B" هر دو در محدوده تحت پوشش نقطه دسترسی هستند ولی در محدوده يكديگر قرار ندارند.

برای غلبه بر اين مشكل، استاندارد 802.11 از تكنيكی موسوم به اجتناب از تصادم و مكانيزم تصديق استفاده میكند. همچنين با توجه به احتمال بروز روزنههای پنهان و نيز به منظور كاهش احتمال تصادم در اين استاندارد از روشی موسوم به شنود مجازی رسانه يا VCS استفاده میشود. در اين روش ايستگاه فرستنده ابتدا يك بسته كنترلی موسوم به تقاضای ارسال حاوی نشانی فرستنده، نشانی گيرنده، و زمان مورد نياز برای اشغال كانال راديويی را میفرستد. هنگامی كه گيرنده اين فريم را دريافت میكند، رسانه را كنترل میكند و در صورتی كه رسانه آزاد باشد فريم كنترلی CTS را به نشانی فرستنده ارسال میكند. تمام ايستگاههايی كه فريمهای كنترلی RTS/CTS را دريافت میكنند وضعيت كنترل رسانه خود موسوم به شاخصNAV را تنظيم میكنند. در صورتی كه ساير ايستگاهها بخواهند فريمی را ارسال كنند علاوه بر كنترل فيزيكی رسانه (كانال راديويی) به پارامتر NAV خود مراجعه میكنند كه مرتباً به صورت پويا تغيير میكند. به اين ترتيب مشكل روزنههای پنهان حل شده و تصادمها نيز به حداقل مقدار میرسند.
.................................
برد و سطح پوشش

شعاع پوشش شبکهی بیسیم بر اساس استاندارد 802.11 به فاکتورهای بسیاری بستهگی دارد که برخی از آنها به شرح زیر هستند :

- پهنای باند مورد استفاده
- منابع امواج ارسالی و محل قرارگیری فرستندهها و گیرندهها
- مشخصات فضای قرارگیری و نصب تجهیزات شبکهی بیسیم
- قدرت امواج
- نوع و مدل آنتن

شعاع پوشش از نظر تئوری بین ۲۹متر (برای فضاهای بستهی داخلی) و ۴۸۵متر (برای فضاهای باز) در استاندارد 802.11b متغیر است. با اینوجود این مقادیر، مقادیری متوسط هستند و در حال حاضر با توجه به گیرندهها و فرستندههای نسبتاً قدرتمندی که مورد استفاده قرار میگیرند، امکان استفاده از این پروتکل و گیرندهها و فرستندههای آن، تا چند کیلومتر هم وجود دارد که نمونههای عملی آن فراواناند.
با این وجود شعاع کلییی که برای استفاده از این پروتکل (802.11b) ذکر میشود چیزی میان ۵۰ تا ۱۰۰متر است. این شعاع عملکرد مقداریست که برای محلهای بسته و ساختمانهای چند طبقه نیز معتبر بوده و میتواند مورد استناد قرار گیرد.

یکی از عملکردهای نقاط دسترسی به عنوان سوییچهای بیسیم، عمل اتصال میان حوزههای بیسیم است. بهعبارت دیگر با استفاده از چند سوییچ بیسیم میتوان عملکردی مشابه Bridge برای شبکههای بیسیم را بهدست آورد.
اتصال میان نقاط دسترسی میتواند به صورت نقطهبهنقطه، برای ایجاد اتصال میان دو زیرشبکه به یکدیگر، یا به صورت نقطهیی به چند نقطه یا بالعکس برای ایجاد اتصال میان زیرشبکههای مختلف به یکدیگر بهصورت همزمان صورت گیرد.
نقاط دسترسییی که به عنوان پل ارتباطی میان شبکههای محلی با یکدیگر استفاده میشوند از قدرت بالاتری برای ارسال داده استفاده میکنند و این بهمعنای شعاع پوشش بالاتر است. این سختافزارها معمولاً برای ایجاد اتصال میان نقاط و ساختمانهایی بهکار میروند که فاصلهی آنها از یکدیگر بین ۱ تا ۵ کیلومتر است. البته باید توجه داشت که این فاصله، فاصلهیی متوسط بر اساس پروتکل 802.11b است. برای پروتکلهای دیگری چون 802.11a میتوان فواصل بیشتری را نیز بهدست آورد.


از دیگر استفادههای نقاط دسترسی با برد بالا میتوان به امکان توسعهی شعاع پوشش شبکه های بیسیم اشاره کرد. به عبارت دیگر برای بالابردن سطح تحت پوشش یک شبکهی بیسیم، میتوان از چند نقطهی دسترسی بیسیم بهصورت همزمان و پشت به پشت یکدیگر استفاده کرد. به عنوان نمونه در مثال بالا میتوان با استفاده از یک فرستندهی دیگر در بالای هریک از ساختمانها، سطح پوشش شبکه را تا ساختمانهای دیگر گسترش داد.
..........................................
خدمات توزيع

خدمات توزيع عملكرد لازم در همبندیهای مبتنی بر سيستم توزيع را مهيا میسازد. معمولاً خدمات توزيع توسط نقطه دسترسی فراهم میشوند. خدمات توزيع در اين استاندارد عبارتند از:

- پيوستن به شبكه
- خروج از شبكه بیسيم
- پيوستن مجدد
- توزيع
- مجتمع سازی

سرويس اول يك ارتباط منطقی ميان ايستگاه سيّار و نقطه دسترسی فراهم میكند. هر ايستگاه كاری قبل از ارسال داده میبايست با يك نقطه دسترسی برروی سيستم ميزبان مرتبط گردد. اين عضويت، به سيستم توزيع امكان میدهد كه فريمهای ارسال شده به سمت ايستگاه سيّار را به درستی در اختيارش قرار دهد. خروج از شبكه بیسيم هنگامی بكار میرود كه بخواهيم اجباراً ارتباط ايستگاه سيّار را از نقطه دسترسی قطع كنيم و يا هنگامی كه ايستگاه سيّار بخواهد خاتمه نيازش به نقطه دسترسی را اعلام كند. سرويس پيوستن مجدد هنگامی مورد نياز است كه ايستگاه سيّار بخواهد با نقطه دسترسی ديگری تماس بگيرد. اين سرويس مشابه "پيوستن به شبكه بیسيم" است با اين تفاوت كه در اين سرويس ايستگاه سيّار نقطه دسترسی قبلی خود را به نقطه دسترسی جديدی اعلام میكند كه قصد دارد به آن متصل شود. پيوستن مجدد با توجه به تحرك و سيّار بودن ايستگاه كاری امری ضروری و اجتناب ناپذير است. اين اطلاع، (اعلام نقطه دسترسی قبلی) به نقطه دسترسی جديد كمك میكند كه با نقطه دسترسی قبلی تماس گرفته و فريمهای بافر شده احتمالی را دريافت كند كه به مقصد اين ايستگاه سيّار فرستاده شدهاند. با استفاده از سرويس توزيع فريمهای لايه MAC به مقصد مورد نظرشان میرسند. مجتمع سازی سرويسی است كه شبكه محلی بیسيم را به ساير شبكههای محلی و يا يك يا چند شبكه محلی بیسيم ديگر متصل میكند. سرويس مجتمع سازی فريمهای 802.11 را به فريمهايی ترجمه میكند كه بتوانند در ساير شبكهها (به عنوان مثال 802.3) جاری شوند. اين عمل ترجمه دو طرفه است بدان معنی كه فريمهای ساير شبكهها نيز به فريمهای 802.11 ترجمه شده و از طريق امواج در اختيار ايستگاههای كاری سيّار قرار میگيرند.

.................................................. .................................
.................................................. .................................................. .................................................. ....

امنیت و پروتکل WEP

از این قسمت بررسی روشها و استانداردهای امنسازی شبکههای محلی بیسیم مبتنی بر استاندارد IEEE 802.11 را آغاز میکنیم. با طرح قابلیتهای امنیتی این استاندارد، میتوان از محدودیتهای آن آگاه شد و این استاندارد و کاربرد را برای موارد خاص و مناسب مورد استفاده قرار داد. استاندارد 802.11 سرویسهای مجزا و مشخصی را برای تأمین یک محیط امن بیسیم در اختیار قرار میدهد. این سرویسها اغلب توسط پروتکل WEP (Wired Equivalent Privacy) تأمین میگردند و وظیفهی آنها امنسازی ارتباط میان مخدومها و نقاط دسترسی بیسیم است. درک لایهیی که این پروتکل به امنسازی آن میپردازد اهمیت ویژهیی دارد، به عبارت دیگر این پروتکل کل ارتباط را امن نکرده و به لایههای دیگر، غیر از لایهی ارتباطی بیسیم که مبتنی بر استاندارد 802.11 است، کاری ندارد. این بدان معنی است که استفاده از WEP در یک شبکهی بیسیم بهمعنی استفاده از قابلیت درونی استاندارد شبکههای محلی بیسیم است و ضامن امنیت کل ارتباط نیست زیرا امکان قصور از دیگر اصول امنیتی در سطوح بالاتر ارتباطی وجود دارد.
..................................................

قابلیتها و ابعاد امنیتی استاندارد 802.11

در حال حاضر عملاً تنها پروتکلی که امنیت اطلاعات و ارتباطات را در شبکههای بیسیم بر اساس استاندارد 802.11 فراهم میکند WEP است. این پروتکل با وجود قابلیتهایی که دارد، نوع استفاده از آن همواره امکان نفوذ به شبکههای بیسیم را به نحوی، ولو سخت و پیچیده، فراهم میکند. نکتهیی که باید بهخاطر داشت اینست که اغلب حملات موفق صورت گرفته در مورد شبکههای محلی بیسیم، ریشه در پیکربندی ناصحیح WEP در شبکه دارد. به عبارت دیگر این پروتکل در صورت پیکربندی صحیح درصد بالایی از حملات را ناکام میگذارد، هرچند که فینفسه دچار نواقص و ایرادهایی نیز هست.
بسیاری از حملاتی که بر روی شبکههای بیسیم انجام میگیرد از سویی است که نقاط دسترسی با شبکهی سیمی دارای اشتراک هستند. به عبارت دیگر نفوذگران بعضاً با استفاده از راههای ارتباطی دیگری که بر روی مخدومها و سختافزارهای بیسیم، خصوصاً مخدومهای بیسیم، وجود دارد، به شبکهی بیسیم نفوذ میکنند که این مقوله نشان دهندهی اشتراکی هرچند جزءیی میان امنیت در شبکههای سیمی و بیسیمییست که از نظر ساختاری و فیزیکی با یکدیگر اشتراک دارند.

سه قابلیت و سرویس پایه توسط IEEE برای شبکههای محلی بیسیم تعریف میگردد :

· Authentication
· Confidentiality
· Integrity

Authentication

هدف اصلی WEP ایجاد امکانی برای احراز هویت مخدوم بیسیم است. این عمل که در واقع کنترل دسترسی به شبکهی بیسیم است. این مکانیزم سعی دارد که امکان اتصال مخدومهایی را که مجاز نیستند به شبکه متصل شوند از بین ببرد.

Confidentiality

محرمانهگی هدف دیگر WEP است. این بُعد از سرویسها و خدمات WEP با هدف ایجاد امنیتی در حدود سطوح شبکههای سیمی طراحی شده است. ---------- این بخش از WEP جلوگیری از سرقت اطلاعات در حال انتقال بر روی شبکهی محلی بیسیم است.

Integrity

هدف سوم از سرویسها و قابلیتهای WEP طراحی سیاستی است که تضمین کند پیامها و اطلاعات در حال تبادل در شبکه، خصوصاً میان مخدومهای بیسیم و نقاط دسترسی، در حین انتقال دچار تغییر نمیگردند. این قابلیت در تمامی استانداردها، بسترها و شبکههای ارتباطاتی دیگر نیز کموبیش وجود دارد.
.................................................. .
خدمات ايستگاهی

بر اساس اين استاندارد خدمات خاصی در ايستگاههای كاری پيادهسازی میشوند. در حقيقت تمام ايستگاههای كاری موجود در يك شبكه محلی مبتنی بر 802.11 و نيز نقاط دسترسی موظف هستند كه خدمات ايستگاهی را فراهم نمايند. با توجه به اينكه امنيت فيزيكی به منظور جلوگيری از دسترسی غير مجاز بر خلاف شبكههای سيمی، در شبكههای بیسيم قابل اعمال نيست استاندارد 802.11 خدمات هويت سنجی را به منظور كنترل دسترسی به شبكه تعريف مینمايد. سرويس هويت سنجی به ايستگاه كاری امكان میدهد كه ايستگاه ديگری را شناسايی نمايد. قبل از اثبات هويت ايستگاه كاری، آن ايستگاه مجاز نيست كه از شبكه بیسيم برای تبادل داده استفاده نمايد. در يك تقسيم بندی كلی 802.11 دو گونه خدمت هويت سنجی را تعريف میكند:

- Open System Authentication
- Shared Key Authentication

روش اول، متد پيش فرض است و يك فرآيند دو مرحلهای است. در ابتدا ايستگاهی كه میخواهد توسط ايستگاه ديگر شناسايی و هويت سنجی شود يك فريم مديريتی هويت سنجی شامل شناسه ايستگاه فرستنده، ارسال میكند. ايستگاه گيرنده نيز فريمی در پاسخ میفرستد كه آيا فرستنده را میشناسد يا خير. روش دوم كمی پيچيدهتر است و فرض میكند كه هر ايستگاه از طريق يك كانال مستقل و امن، يك كليد مشترك سّری دريافت كرده است. ايستگاههای كاری با استفاده از اين كليد مشترك و با بهرهگيری از پروتكلی موسوم به WEP اقدام به هويت سنجی يكديگر مینمايند. يكی ديگر از خدمات ايستگاهی خاتمه ارتباط يا خاتمه هويت سنجی است. با استفاده از اين خدمت، دسترسی ايستگاهی كه سابقاً مجاز به استفاده از شبكه بوده است، قطع میگردد.
در يك شبكه بیسيم، تمام ايستگاههای كاری و ساير تجهيزات قادر هستند ترافيك دادهای را "بشنوند" – در واقع ترافيك در بستر امواج مبادله میشود كه توسط تمام ايستگاههای كاری قابل دريافت است. اين ويژگی سطح امنيتی يك ارتباط بیسيم را تحت تأثير قرار میدهد. به همين دليل در استاندارد 802.11 پروتكلی موسوم به WEP تعبيه شده است كه برروی تمام فريمهای داده و برخی فريمهای مديريتی و هويت سنجی اعمال میشود. اين استاندارد در پی آن است تا با استفاده از اين الگوريتم سطح اختفاء وپوشش را معادل با شبكههای سيمی نمايد.