Přístupový bod
Author
Albert FloresWireless access point Ubiquiti Networks Přístupový bod ( zkratka AP) k bezdrátové Wi-Fi síti je zařízení, ke kterému se klienti připojují. Klienti spolu nekomunikují přímo, ale prostřednictvím přístupového bodu, takže mohou být jednodušší a nemusejí být ve vzájemném rádiovém spojení. Centralizovaný způsob komunikace též umožňuje použití směrových antén, které zvyšují dosah rádiového signálu. Tento typ uspořádání nazýváme infrastrukturní síť. Opakem jsou ad-hoc sítě, kde jsou dva nebo více klientů ve vzájemném přímém rádiovém spojení (bez existence prostředníka).
Přístupový bod je obvykle realizován malým jednoúčelovým zařízením (viz obrázek), ale s potřebnou softwarovou výbavou se jím může stát i jakýkoliv počítač s bezdrátovým Wi-Fi zařízením. Některá z těchto jednoúčelových zařízení využívají jako základ operační systém Linux.
Názvy standardů
Zařízení jsou označována názvy standardů, které určují jejich maximální přenosové rychlosti. Reálně je dosahováno nižší rychlosti (viz tabulka):
Standard | Frekvence | Max. propustnost | Typ. +more propustnost | Dosah (uvnitř) | Dosah (venku) |
---|---|---|---|---|---|
IEEE 802. 11a | 5 GHz | 54 Mbit/s | 23 Mbit/s | ~35 m | ~120 m |
IEEE 802. 11b | 2,4 GHz | 11 Mbit/s | 4,3 Mbit/s | ~38 m | ~140 m |
IEEE 802. 11g | 2,4 GHz | 54 Mbit/s | 19 Mbit/s | ~38 m | ~140 m |
IEEE 802. 11ac | 2,4 nebo 5 GHz | 270 Mbit/s (duálně) | 74 Mbit/s | ~70 m | ~250 m |
IEEE 802. 11y | 3,7 GHz | 54 Mbit/s | 23 Mbit/s | ~50 m | ~5000 m |
Zařízení může poskytovat vlastní DHCP server, možnost NAT (překladač veřejných ip na soukromé a opačně - maškaráda), předávání portů do vnitřní sítě (port forwarding), autentizace klientů proti RADIUS serveru, různé úrovně šifrování (viz níže) a podobně. Některé chybějící vlastnosti lze nahradit vhodně umístěným doplňujícím počítačem nebo dalším jednoúčelovým zařízením (router).
Role přístupových bodů
Přístupové body vystupují v několika různých rolích, které jsou dány nejen požadavky na strukturu sítě, ale i schopnostmi těchto zařízení. I když jsou schopnosti bezdrátových zařízení snadno rozšiřitelné pomocí změny softwarového vybavení, většina výrobců ji neumožňuje. +more Naopak hardwarově identická zařízení se mohou cenově několikanásobně lišit jen díky existenci jednoduchého softwarového doplňku.
# bridge - bezdrátová síť je součástí sítě LAN #* bridge odděluje síťový provoz, ale #* # router - bezdrátová síť je samostatnou podsítí #* router odděluje síťový provoz a nepropouští lokální broadcasty #* vyžaduje konfiguraci IP adres zařízení a nastavení směrování
Pokud je v bezdrátovém zařízení (AP) zabudována bezdrátová část dvakrát, označuje se jako point-to-multipoint, protože dokáže např. bezdrátový signál dálkově přijímat a zároveň ho distribuovat dalším bezdrátovým klientům v blízkém okolí. +more Takto jsou konstruovány bezdrátové přípojné body poskytovatelů internetového připojení (providerů), kteří však někdy kvůli ceně používají dvě samostatná bezdrátová zařízení.
Specifickým typem jsou WDS sítě (Wireless Distribution System), kdy všechny přístupové body vysílají na stejném kanálu, navzájem spolu komunikují a jeví se tak klientům jako jedna síť. Výhodou je, že jen jeden AP musí být připojen k mateřské síti a jednotlivé AP nemusejí mít dvě samostatné bezdrátové části jako u point-to-multipoint. +more Nevýhodou je pak snižování propustnosti sítě v závislosti na počtu skoků, než se signál přes jednotlivé AP dostane do mateřské sítě, protože veškerý provoz se šíří po celé bezdrátové síti na stejném kanálu.
Připojení k přístupovému bodu
Klienti se k přístupovému bodu připojují (asociují se), přičemž mohou být vůči nim uplatněna omezení a přístup odepřen. Komunikace mezi klienty probíhá prostřednictvím přístupového bodu, tj. +more minimálně dva skoky (nejprve na přístupový bod a z něj pak na příslušnou protistanici). Klient tak udržuje spojení jen s přístupovým bodem a nemusí mít cílovou stanici ani v přímém rádiovém dosahu. Přístupový bod může rozpoznat, zda klient přešel do úsporného režimu a do jeho probuzení dočasně uchovat přicházející data, což může vést k úsporám výdrže baterií klienta.
Bezpečnost
Bezdrátové sítě jsou často podceňovány a vznikají tak bezpečnostní rizika pro zbytek LAN, ve které se nezabezpečený přístupový bod nachází. Nejčastější chybou je:
# podcenění dosahu rádiového signálu #* pro dálkový příjem stačí, aby jen jedna strana disponovala kvalitní směrovou anténou nebo citlivým přijímačem # neznalost možností nastavení šifrování #* většina zařízení je prodávána v nastavení, kdy není použito žádné zabezpečení # použití zastaralého šifrování WEP #* WEP je snadno prolomitelný, je nutné použít WPA nebo lépe WPA2 # vypnutí DHCP serveru nebo filtr MAC adres #* nejen, že si stále mnoho lidí myslí, že mít otevřenou síť s filtrem MAC adres je bezpečné, ale tyto naprosto scestné teze předávají dále bez jakékoliv znalosti problematiky. +more Pro domácí užití je nejrychlejší a nejpohodlnější nastavit šifrování WPA2 s vynuceným AES (TKIP ukázal nedostatky) a dát tam alespoň 14 místné heslo kombinující velká a malá písmena, čísla a alespoň jeden speciální znak (jako třeba čárka "," - výborný článek v angličtině [url=https://web. archive. org/web/20110723145714/http://www. grc. com/haystack. htm]zde[/url]). Nejen MAC adresa se dá jednoduše podvrhnout, ale i statická adresa (při vypnutém DHCP). Proto filtr MAC adres a vypnutí DHCP serveru bude pouze obtěžovat majitele a útočníka prakticky vůbec nezpomalí.
Nevýhody technologie
kvalita spojení výrazně klesá při ztrátě přímé viditelnosti klienta na přístupový bod * omezený počet nepřekrývajících se kanálů způsobuje rušení komunikace u sousedních přístupových bodů * připojení klienti se dělí o dostupnou šířku pásma, takže s jejich zvyšujícím se počtem klesá i datová propustnost * vyšší přenosové rychlosti se dosahuje typicky ve směru ke klientovi - pokud klient vysílá, snižuje se dosažitelná propustnost kolizemi, které vznikají na přístupovém bodu, přičemž jejich minimalizaci se snaží zajistit protokol CSMA/CA