Перейти к содержанию

07. WiFI

Введение в WiFi

WiFi (Wireless Fidelity) – это технология беспроводной передачи данных, основанная на стандартах IEEE 802.11. Она позволяет устройствам подключаться к сети без использования проводного соединения, используя радиоволны.

WiFi широко используется в корпоративных и домашних сетях, общественных местах и промышленных средах. Развитие технологии сделало её неотъемлемой частью современной инфраструктуры связи.

Основы работы WiFi

Принцип работы

WiFi использует радиоволны для передачи данных между устройствами. Основные компоненты сети WiFi:

  • Точка доступа (AP – Access Point) – передаёт и принимает сигналы, соединяя беспроводные устройства с проводной сетью.
  • Клиентские устройства – ноутбуки, смартфоны, планшеты и другие устройства с WiFi-модулем.
  • Роутеры – комбинированные устройства, включающие точку доступа, маршрутизатор и коммутатор.

Процесс работы WiFi можно разделить на несколько этапов:

  1. Обнаружение сети (Scanning & Beacon Frames)
    • Точка доступа (AP) регулярно отправляет широковещательные Beacon Frames, содержащие информацию о SSID, поддерживаемых стандартах и параметрах безопасности.
    • Клиентские устройства могут активно искать доступные сети, отправляя Probe Requests, или просто ожидать Beacon Frames.
  2. Аутентификация (Authentication)
    • Клиент отправляет запрос на аутентификацию точке доступа.
    • В открытых сетях точка доступа сразу подтверждает аутентификацию.
    • В защищённых сетях (WPA2/WPA3) происходит процесс обмена ключами (4-Way Handshake для WPA2).
  3. Ассоциация (Association)
    • После успешной аутентификации клиент отправляет запрос на ассоциацию с точкой доступа.
    • Точка доступа отвечает подтверждением, после чего клиент становится частью сети.
  4. Назначение IP-адреса (DHCP или статическая конфигурация)
    • В большинстве случаев DHCP-сервер (чаще всего встроенный в маршрутизатор) выдаёт клиенту IP-адрес и другие параметры (шлюз, DNS).
    • Возможна также ручная настройка IP-адреса.
  5. Передача данных (Data Transmission)
    • Данные передаются в виде кадров (Frames) по стандарту 802.11.
    • Используются методы модуляции (OFDM, QAM, DSSS), чтобы оптимизировать передачу данных в зависимости от условий сети.
    • WiFi поддерживает MIMO (Multiple Input Multiple Output), позволяющий передавать данные параллельно несколькими антеннами для увеличения скорости и стабильности.
  6. Контроль потерь и коррекция ошибок
    • Используется ACK (Acknowledgement): при успешном приёме кадра принимающее устройство отправляет подтверждение.
    • Если подтверждение не получено, кадр отправляется заново.
    • Для уменьшения ошибок применяется FEC (Forward Error Correction) и другие механизмы контроля целостности данных.
  7. Отключение (Deauthentication & Disassociation)
    • Клиент может выйти из сети вручную или из-за потери сигнала.
    • Точка доступа может принудительно отключить клиента, отправив Deauthentication Frame.

Режим Дуплекса

WiFi работает в полудуплексном режиме (Half-Duplex). Это означает, что устройства в WiFi-сети могут либо отправлять, либо принимать данные в каждый момент времени, но не могут делать это одновременно.

Почему WiFi использует полудуплексный режим?

  1. Интерференция: В беспроводных сетях использование одного и того же канала для передачи и приёма данных может привести к интерференции, что ухудшает качество связи. Полудуплексный режим помогает избежать этого.
  2. Простота реализации: Полудуплексный режим проще в реализации и управлении, так как не требует сложных механизмов для синхронизации передачи и приёма данных.
  3. Совместимость: Большинство существующих WiFi-устройств и стандартов (например, 802.11a/b/g/n/ac) разработаны для работы в полудуплексном режиме, что обеспечивает совместимость и стабильность сети.

Перспективы полнодуплексного режима

Хотя WiFi в основном работает в полудуплексном режиме, исследования и разработки в области полнодуплексных технологий продолжаются. Некоторые современные стандарты, такие как WiFi 6 и WiFi 7, включают технологии, которые могут улучшить эффективность использования канала и снизить задержки, приближаясь к полнодуплексному режиму. Однако на данный момент полнодуплексный режим не является стандартом для WiFi-сетей.

Диапазоны частот

WiFi работает в нескольких диапазонах:

  • 2.4 ГГц – больший радиус покрытия, но больше помех. 13 каналов, ширина полосы 20 МГц. Оптимальные каналы: 1, 6, 11.
  • 5 ГГц – меньше помех, выше скорость передачи данных, но меньший радиус. Каналы: 20/40/80/160 МГц.
  • 6 ГГц (WiFi 6E) – расширенный диапазон, более 60 каналов, выше скорость, поддержка современных устройств.

Стандарты WiFi

IEEE 802.11 включает в себя множество стандартов:

  • 802.11a – 5 ГГц, до 54 Мбит/с.
  • 802.11b – 2.4 ГГц, до 11 Мбит/с.
  • 802.11g – 2.4 ГГц, до 54 Мбит/с.
  • 802.11n (WiFi 4) – 2.4 и 5 ГГц, до 600 Мбит/с.
  • 802.11ac (WiFi 5) – 5 ГГц, до 6.9 Гбит/с.
  • 802.11ax (WiFi 6/6E) – 2.4, 5, 6 ГГц, до 9.6 Гбит/с, лучшее управление плотностью трафика.

Каналы и помехи

WiFi использует каналы внутри частотных диапазонов:

  • 2.4 ГГц: 13 каналов по 20 МГц (оптимальные – 1, 6, 11).
  • 5 ГГц: 24 канала (20/40/80/160 МГц).
  • 6 ГГц: более 60 каналов (WiFi 6E).

Факторы, вызывающие помехи:

  • Другие WiFi-сети – перекрытие каналов снижает скорость.
  • Бытовые приборы – микроволновки, Bluetooth, беспроводные телефоны.
  • Физические преграды – стены, мебель, зеркала поглощают сигнал.
  • Электромагнитные помехи – от электропроводки, радиоустройств.

Методы борьбы с помехами:

  • Выбор оптимального канала (1, 6, 11 в 2.4 ГГц, автоматический подбор в 5 ГГц).
  • Использование диапазона 5 ГГц или 6 ГГц.
  • Размещение точки доступа в открытом пространстве.
  • Использование направленных антенн и усилителей сигнала.

Механизмы предотвращения конфликтов сигналов от разных точек доступа

В беспроводных сетях WiFi часто работает несколько точек доступа (AP), особенно в офисах, торговых центрах, гостиницах и других местах с высокой плотностью клиентов. Чтобы избежать конфликтов сигналов и обеспечить стабильную связь, используются следующие механизмы:

Использование разных каналов

Каждый диапазон частот (2.4 ГГц, 5 ГГц, 6 ГГц) разделён на каналы. Например:

  • В диапазоне 2.4 ГГц – всего 13 (или 14) каналов, но из них только 1, 6 и 11 не перекрываются.
  • В диапазоне 5 ГГц – до 45 каналов, включая DFS (динамический выбор частоты).
  • В диапазоне 6 ГГц (WiFi 6E) – значительно больше каналов, что снижает вероятность помех.

Чтобы избежать интерференции, точки доступа автоматически (или вручную) настраиваются на неперекрывающиеся каналы.

CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance)

WiFi не использует метод CSMA/CD, как в Ethernet, так как невозможно контролировать коллизии в беспроводной среде. Вместо этого применяется CSMA/CA – метод множественного доступа с прослушиванием несущей и предотвращением коллизий:

  1. Устройство "слушает" эфир перед передачей данных.
  2. Если канал свободен, отправляется кадр.
  3. Если занят – запускается алгоритм задержки (Backoff).
  4. Получатель отправляет ACK (подтверждение), если данные дошли успешно.

Это помогает минимизировать вероятность одновременной передачи данных разными устройствами.

BSSID (Basic Service Set Identifier) – уникальный идентификатор AP

Хотя несколько точек доступа могут иметь одинаковое SSID (например, в корпоративной сети), каждое устройство идентифицируется по уникальному BSSID (обычно это MAC-адрес точки доступа). Клиентские устройства могут отличать разные AP даже при одинаковых SSID и выбирать наиболее подходящую точку доступа по уровню сигнала.

3Roaming и управляемый хендовер

Когда клиентское устройство перемещается, ему необходимо переключаться между точками доступа без потери соединения. В корпоративных сетях используется Fast Roaming (802.11r, 802.11k, 802.11v), который помогает устройству заранее выбирать оптимальную точку доступа и быстро переключаться между ними.

Управление мощностью сигнала

В зонах с высокой плотностью точек доступа часто снижают мощность передатчика, чтобы уменьшить перекрытие зон покрытия соседних точек и минимизировать интерференцию.

Безопасность WiFi

Протоколы шифрования

WEP (Wired Equivalent Privacy)

  • Год появления: 1999.
  • Цель: Обеспечить уровень безопасности, эквивалентный проводным сетям (отсюда и название).
  • Шифрование: Использует алгоритм RC4 (Rivest Cipher 4) с ключами длиной 64 или 128 бит (из которых 24 бита — это инициализирующий вектор, IV).
  • Слабости:
    • Уязвимость к атакам на повторное использование IV: короткий 24-битный вектор приводит к частым повторам, что позволяет злоумышленникам собрать данные для взлома.
    • Простота подбора ключа с помощью инструментов вроде Aircrack-ng, так как WEP не обеспечивает эффективной защиты от анализа трафика.
    • Отсутствие динамического управления ключами — один статический ключ используется всеми устройствами в сети.
  • Статус: Полностью устарел и не рекомендуется к использованию с начала 2000-х годов. Взлом занимает минуты даже с минимальными навыками.

WPA (Wi-Fi Protected Access)

  • Год появления: 2003.
  • Цель: Быстрая замена WEP для устранения его уязвимостей без необходимости замены оборудования.
  • Шифрование: Использует RC4 (как и WEP), но с улучшением — протокол TKIP (Temporal Key Integrity Protocol).
  • Особенности:
    • TKIP динамически генерирует новые ключи для каждого пакета данных, что усложняет атаки.
    • Добавлена проверка целостности сообщений (MIC) для защиты от подделки данных.
  • Слабости:
    • Хотя WPA значительно лучше WEP, TKIP всё ещё уязвим к определённым атакам (например, атака Бек-Тевса на повторное использование ключей).
    • Это был временный стандарт, разработанный как переходное решение до появления более надёжного WPA2.
  • Статус: Устарел, поддержка прекращена в современных устройствах после 2018 года.

WPA2

  • Год появления: 2004.
  • Цель: Стать полноценным стандартом безопасности Wi-Fi.
  • Шифрование: Использует алгоритм AES (Advanced Encryption Standard) с режимом CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), который обеспечивает как конфиденциальность, так и целостность данных.
  • Особенности:
    • AES — это блочный шифр, значительно более стойкий, чем потоковый RC4.
    • Длина ключа: 128 бит (в некоторых реализациях до 256 бит).
    • Поддерживает два режима:
      • Personal (PSK): Использует предварительно заданный ключ (пароль), общий для всех устройств.
      • Enterprise: Использует сервер аутентификации (например, RADIUS) для индивидуальных ключей.
  • Слабости:
    • Уязвимость KRACK (Key Reinstallation Attack) в 2017 году показала, что можно перехватить и подделать данные при определённых условиях, хотя это требует сложной реализации.
    • Если используется слабый пароль в режиме PSK, возможен подбор через brute-force.
  • Статус: До сих пор широко используется, но постепенно вытесняется WPA3.

WPA3

  • Год появления: 2018.
  • Цель: Устранить недостатки WPA2 и повысить безопасность в условиях современных угроз.
  • Шифрование: Основан на AES с CCMP, но добавляет новые механизмы защиты.
  • Особенности:
    • SAE (Simultaneous Authentication of Equals): Замена PSK на протокол Dragonfly Key Exchange, который защищает от атак перебором паролей даже при слабых паролях. Это достигается за счёт устойчивости к оффлайн-атакам.
    • Прямой секрет (Perfect Forward Secrecy): Каждый сеанс шифруется уникальным ключом, поэтому компрометация одного ключа не раскрывает прошлые или будущие данные.
    • Защита открытых сетей: Опция Opportunistic Wireless Encryption (OWE) шифрует трафик даже в публичных Wi-Fi без пароля.
    • Увеличенная длина ключа (до 192 бит в Enterprise-режиме).
  • Слабости:
    • Пока не обнаружено критических уязвимостей, но внедрение идёт медленно из-за необходимости поддержки на уровне оборудования.
    • Некоторые атаки (например, Dragonblood) выявили мелкие недочёты в ранних версиях SAE, но они были быстро исправлены.
  • Статус: Актуальный стандарт, рекомендованный для всех новых устройств с 2020 года.

Сравнение и выводы

  • WEP: Не используйте никогда — это как замок из бумаги.
  • WPA: Переходный этап, сейчас неактуален.
  • WPA2: Надёжен для большинства случаев, но требует сильных паролей и обновлений для защиты от KRACK.
  • WPA3: Будущее Wi-Fi, обеспечивает максимальную защиту, особенно в публичных сетях и при слабых паролях.

Аутентификация

PSK (Pre-Shared Key)

  • Описание: Метод аутентификации, при котором все устройства в сети используют один общий ключ (пароль), заранее заданный администратором.
  • Применение: Стандарт для домашних сетей и небольших офисов (режим WPA2-Personal или WPA3-Personal).
  • Как работает:
    • Пользователь вводит пароль на устройстве.
    • Устройство и точка доступа используют этот пароль для создания временных ключей шифрования через процесс, называемый 4-сторонним рукопожатием (4-way handshake).
    • Если пароль совпадает, устройство подключается, и начинается зашифрованный обмен данными.
  • Преимущества:
    • Простота настройки: нужен только один пароль, не требуется дополнительное оборудование.
    • Подходит для большинства бытовых маршрутизаторов.
  • Недостатки:
    • Безопасность зависит от сложности пароля. Короткий или предсказуемый пароль (например, "12345678") легко подобрать с помощью brute-force или словарных атак.
    • Если пароль скомпрометирован (например, кто-то узнал его), вся сеть становится уязвимой.
    • Нет индивидуальной аутентификации — все устройства с паролем имеют равный доступ.
  • Уязвимости:
    • В WPA2 с PSK возможен перехват рукопожатия и оффлайн-подбор пароля, если он слабый.
    • WPA3 с SAE (Dragonfly) решает эту проблему, делая подбор пароля практически невозможным даже оффлайн.
  • Вывод: Отличный выбор для дома, если использовать длинный и сложный пароль (20+ символов, включая буквы, цифры и знаки).

802.1X + RADIUS

  • Описание: Корпоративный метод аутентификации, использующий стандарт IEEE 802.1X и сервер RADIUS (Remote Authentication Dial-In User Service) для проверки пользователей или устройств.
  • Применение: Используется в крупных сетях (WPA2-Enterprise, WPA3-Enterprise), таких как офисы, университеты, предприятия.
  • Как работает:
    • 802.1X: Это стандарт управления доступом к сети. Устройство (супplicant) обращается к точке доступа (аутентикатору), который перенаправляет запрос на сервер RADIUS (сервер аутентификации).
    • Клиент предоставляет учетные данные (логин/пароль, сертификат и т.д.).
    • RADIUS проверяет их в базе данных (например, Active Directory) и выдаёт разрешение или отказ.
    • После успешной аутентификации устройство получает уникальный ключ шифрования, независимый от других пользователей.
  • Преимущества:
    • Индивидуальная аутентификация: каждый пользователь или устройство имеет свои учетные данные.
    • Высокая безопасность: компрометация одного пользователя не затрагивает остальных.
    • Гибкость: поддерживает разные методы (пароли, сертификаты, смарт-карты).
    • Централизованное управление через сервер RADIUS.
  • Недостатки:
    • Сложность настройки: требуется сервер RADIUS и инфраструктура (сертификаты, базы данных).
    • Затраты на оборудование и администрирование выше, чем у PSK.
  • Уязвимости:
    • Если сервер RADIUS скомпрометирован, сеть становится уязвимой.
    • Возможны атаки типа "человек посередине" (MitM), если не используются сертификаты или TLS для защиты соединения.
  • Вывод: Идеально для организаций, где важны контроль доступа и безопасность, но требует квалифицированного обслуживания.

MAC-фильтрация

  • Описание: Метод ограничения доступа к сети на основе MAC-адреса (Media Access Control) — уникального идентификатора сетевого устройства.
  • Применение: Используется как дополнительная мера в домашних или небольших сетях, часто в сочетании с PSK.
  • Как работает:
    • Администратор вносит MAC-адреса разрешённых устройств в список на маршрутизаторе.
    • Точка доступа проверяет MAC-адрес каждого подключающегося устройства и либо разрешает, либо блокирует доступ.
  • Преимущества:
    • Простота реализации: большинство маршрутизаторов поддерживают эту функцию.
    • Может ограничить случайные подключения (например, соседей, знающих пароль).
  • Недостатки:
    • Спуфинг MAC-адресов: Злоумышленник может подменить свой MAC-адрес на разрешённый, просто узнав его из трафика (например, с помощью Wireshark).
    • Не масштабируется: в больших сетях вручную добавлять сотни устройств в список неудобно.
    • Не обеспечивает шифрования или защиты данных — это только фильтр доступа.
  • Уязвимости:
    • MAC-адреса передаются в открытом виде до подключения, что делает их легко доступными для перехвата.
    • Обходится за секунды с минимальными техническими знаниями.
  • Вывод: Полезна как дополнительный барьер, но не заменяет настоящую аутентификацию или шифрование. Сама по себе MAC-фильтрация — слабая защита.

Сравнение и рекомендации

  • PSK: Простота и удобство для дома, но требует сильного пароля. WPA3 делает его ещё безопаснее.
  • 802.1X + RADIUS: Максимальная безопасность и контроль для корпоративных сред, но сложнее в реализации.
  • MAC-фильтрация: Не самостоятельный метод, а лишь дополнение. Легко обходится, поэтому не стоит полагаться только на неё.

Угрозы безопасности и атаки на WiFi

  1. Атака "Злой двойник" (Evil Twin)
    • Злоумышленник создаёт поддельную точку доступа с тем же SSID, что и легитимная сеть, перехватывая данные пользователей.
    • Защита: включение защиты WPA3, использование VPN и проверка сертификатов HTTPS.
  2. Перехват трафика (Man-in-the-Middle, MITM)
    • Атакующий внедряется в канал связи, перехватывая данные между пользователем и точкой доступа.
    • Защита: использование шифрования WPA2/WPA3, VPN и HTTPS.
  3. Brute-force атака на WPA/WPA2
    • Подбор пароля WiFi-сети с использованием программ вроде Aircrack-ng.
    • Защита: сложные пароли (от 12 символов), включение WPA3 SAE (Simultaneous Authentication of Equals).
  4. Deauthentication-атака
    • Отправка поддельных кадров деаутентификации, разрывающих соединение клиентов с точкой доступа.
    • Защита: включение Protected Management Frames (PMF) в настройках WPA2/WPA3.
  5. Атака KRACK (Key Reinstallation Attack)
    • Уязвимость в WPA2, позволяющая перехватить трафик путем повторной установки ключей шифрования.
    • Защита: обновление прошивок устройств, использование WPA3.
  6. Атака через IoT-устройства
    • Уязвимые устройства умного дома могут быть использованы как точка входа в сеть.
    • Защита: сегментирование сети (гостевая сеть для IoT), обновление прошивок.

Лучшие практики безопасности WiFi

  • Использование WPA3 – новейший стандарт защиты.
  • Сложные пароли – минимум 12 символов, включая цифры и символы.
  • Отключение WPS (WiFi Protected Setup) – уязвимый механизм подключения.
  • Включение MAC-фильтрации – ограничение доступа устройств по MAC-адресам.
  • Скрытие SSID – предотвращение автоматического обнаружения сети.
  • Использование VPN – защита передаваемых данных.
  • Регулярное обновление прошивок точек доступа – закрытие уязвимостей.
  • Анализ сети – мониторинг подозрительных устройств и активности.

Настройка и управление WiFi

Планирование покрытия

  • Использование heatmap-анализаторов (Ekahau, NetSpot).
  • Оптимальное расположение точек доступа.
  • Уменьшение перекрытия частот.

Конфигурирование точки доступа

  • Выбор оптимального канала.
  • Ограничение мощности сигнала.
  • Включение QoS (Quality of Service) для приоритезации трафика.

Мониторинг и диагностика

  • Использование SNMP, NetFlow, Wireshark для анализа трафика.
  • Логирование аутентификации (RADIUS, Syslog).
  • Анализ логов и выявление подозрительной активности.

Настройка и использование WiFi в Cisco Packet Tracer

Для практического изучения WiFi в среде симуляции можно использовать Cisco Packet Tracer. В нём доступны точки доступа, беспроводные маршрутизаторы и клиентские устройства с WiFi.

Настройка WiFi в Cisco Packet Tracer: шаг за шагом

Добавление оборудования

  1. Откройте Cisco Packet Tracer.
  2. Перейдите во вкладку "End Devices" и выберите:
    • Laptop (ноутбук) или Smartphone (смартфон).
  3. Перейдите во вкладку "Network Devices" → "Wireless Devices" и выберите:
    • Wireless Router (например, "Linksys WRT300N") или
    • Access Point (например, "Access Point-PT").
  4. Разместите устройства на рабочем поле.

Настройка беспроводного маршрутизатора (WiFi Router)

  1. Дважды кликните на Wireless Router.
  2. Перейдите во вкладку ConfigWireless.
  3. Установите параметры:
    • SSID – имя сети (например, "MyWiFi").
    • Channel – выбираем 1, 6 или 11 (для 2.4 ГГц).
    • Authentication – WPA2-PSK или WPA3-PSK.
    • Passphrase – задаем пароль (например, "SecurePass123").
  4. Перейдите во вкладку Config → DHCP и включите DHCP-сервер.

Подключение клиентского устройства к WiFi

  1. Дважды кликните на Laptop.
  2. Перейдите в Config → Wireless.
  3. Включите Wireless0 (встроенный WiFi-адаптер).
  4. Выберите SSID сети (например, "MyWiFi").
  5. Введите пароль и нажмите Connect.

Современные тренды и будущее WiFi

WiFi 6 и WiFi 7

  • Улучшенная плотность клиентов.
  • Использование OFDMA для оптимального использования спектра.
  • Поддержка MU-MIMO (многопользовательский MIMO).

IoT и WiFi

  • WiFi HaLow (802.11ah) – оптимизирован для интернета вещей.
  • Энергосбережение для беспроводных сенсоров.

5G vs WiFi

  • Комплементарные технологии.
  • WiFi – для локальных сетей, 5G – для глобальной связи.

Заключение

WiFi – ключевая технология современных сетей. Знание стандартов, настройки, безопасности и администрирования позволяет сетевому администратору строить стабильные, безопасные и эффективные беспроводные сети.