Сертификация wifi сети это что
В наши дни сложно найти человека, не пользующегося преимуществами Wi-Fi. Почти у каждого дома имеется собственный Wi-Fi роутер, а в телефоне сохранена как минимум пара-тройка других сетей из мест регулярного посещения. Стандарты Wi-Fi развиваются с регулярной скоростью, а производители роутеров год от года выпускают новые девайсы и заманивают обывателей обещаниями невиданной ранее скорости и зоны покрытия. Но далеко не каждый сможет разобраться в странных кодировках “802.11a/b/g/n/ac/ax” при выборе в магазине, так что приходится уповать на толковых консультантов и всё те же рекламные статьи и «честные обзоры» от самих производителей, подчистую написанные маркетологами без какой-либо привязки к реальному миру. Как быть при выборе? Да и стоит ли вообще гнаться за прогрессом, или же вы ничего не получите от апгрейда? А может и вовсе можно «подшаманить» имеющееся оборудование и добиться лучшего качества связи? Давайте попытаемся разобраться.
Но для начала отвечу на потенциальный вопрос: «А кто ты вообще такой и почему я должен тебя слушать?» Тут всё просто – я занимаюсь дизайном и траблшутингом корпоративных Wi-Fi сетей с 2014 года и имею парочку сертификатов компании Cisco, согласно которым я, якобы, являюсь профессионалом в этой сфере (нет, не являюсь, они всё врут). На написание статьи сподвигло желание доступным языком объяснить другим принципы работы Wi-Fi и его основные моменты, дабы повысить общую грамотность по теме и уберечь от создания проблем для себя и, особенно, окружающих. К чему и приступим.
О домашних Wi-Fi роутерах
То, что мы привыкли называть Wi-Fi роутером, на самом деле является составным устройством – роутером (или маршрутизатором) с функцией точки доступа Wi-Fi. Зачем это знать? Да просто, чтобы отделять тёплое от мягкого и понимать, что сам роутер отвечает за подключение к провайдеру, выдачу вашим домашним устройствам IP-адресов и, собственно, вашу связь с интернетом. А функция очки Wi-Fi ограничивается тем, чтобы связать ваш смартфон с самим роутером. То есть, банальная замена тому же кабелю, идущему от роутера к ПК.
А теперь вопрос: какова скорость работы вашего провайдера? Та самая, за которую вы платите абонентскую плату? 10 мбит/с? 50? 100? Вряд ли больше. А теперь ещё более интересный вопрос: если ваша точка Wi-Fi будет выдавать обещанные маркетологами (но недостижимые) 6 Гбит/c, то повысит ли это скорость соединения с интернетом? Ответ: нет, ни капли, ведь вы так же продолжаете платить за свои 10 мбит/c. На деле точка Wi-Fi всего лишь влияет на скорость между вашим смартфоном, роутером и другими устройствами в домашней сети. Для справки, при подключении проводом вы получаете гарантированные 100 мбит/c или 1Гбит/c в зависимости от типа кабеля и портов на маршрутизаторе и вашем ПК. А следовательно, дальнейшее наращивание скорости за пределами интернет-соединения будет иметь смысл лишь для общения с локальным хранилищем, если таковое имеется.
О принципах передачи данных по воздуху
До разговора о стандартах Wi-Fi и скоростях давайте разберёмся с тем, как вообще устроена передача данных по воздуху.
Чтобы понять разницу между кабелем и Wi-Fi, достаточно представить себе совещание в маленькой комнате, плотно набитой парами людей, где каждый должен доложить своему начальнику о проделанной за день работе. При попытке общения все станут друг друга перебивать, и на фоне общего шума будет крайне сложно вести беседу. Следовательно, наилучшим вариантом будет говорить по очереди, а все остальные будут слушать, хотя им абсолютно наплевать – ведь информация предназначена не для них, она и вовсе пройдёт белым шумом. Среди этой толпы обязательно попадётся кто-то крайне говорливый, и его объём болтовни с лёгкостью превысит отчёт 5 других человек. Такого индивидуума будут время от времени прерывать, чтобы он отдышался и сформулировал следующую тираду, а за это время кто-то другой успеет выдать: «Я весь день писал статью» и спокойно пойти по своим делам. Остальным же придётся грустно смотреть ему вслед и ждать своей очереди. Поздравляю, вы только что поняли, как работает Wi-Fi.
Если же разбить все эти пары людей по разным комнатам, то каждый сможет отчитаться своему начальнику лично, никто больше его не услышит, да и ждать других не придётся. Так работает связь по кабелю. Чувствуете разницу?
Из этого можно сделать один максимально простой вывод: скорость, качество и защищённость проводной связи фундаментально всегда будет лучше беспроводной вне зависимости от того, сколько новых стандартов ещё успеют придумать. Выходит, главное и единственное преимущество Wi-Fi – мобильность и отсутствие проводов. А ещё есть второй, чуть менее очевидный вывод, о котором маркетологи предпочитают умалчивать: скорость Wi-Fi сети делится между всеми участниками, работающими на одном канале (то есть слышащими друг друга). Так что обещанные 6 Гбит/c внезапно превращаются в тыкву, если только у вас не единственная на всю деревню точка Wi-Fi с одним лишь подключенным (и очень крутым) клиентом. И даже в этом случае с реальной скоростью всё гораздо сложнее, но об этом лучше написать отдельно.
О радиодиапазонах и помехах
На этой слегка грустной ноте чуть углубимся в техническую часть и рассмотрим, как работает Wi-Fi с точки зрения радиосигнала. Для начала надо понимать, что Wi-Fi существует на одном из двух нелицензируемых радиодиапазонов. Наиболее часто для простоты их именуют 2.4 ГГц и 5 ГГц. Важный момент: что значит «нелицензируемые»? А то, что вам не требуется получать лицензию на вещание в этих частотах, если мощность передатчика ниже допустимой нормы (читай: можно ставить Wi-Fi точку дома), но вы обязаны мириться с потенциальными помехами от устройств основного назначения, a.k.a. ISM (Industrial, Scientific, Medical, куда входят метеорологические радары). На практике это также означает, что никто не запретит вам разработать собственную технологию беспроводной передачи данных и использовать её в диапазоне 2.4 ГГц. О каких устройствах речь? Всеми любимый Bluetooth и весь спектр имеющихся дома устройств: микроволновки (да-да), радиотелефоны, видео-няни, камеры, беспроводные клавиатуры, мыши, геймпады, наушники – всё это работает на 2.4 ГГц. Следовательно, создаёт помехи друг для друга и для Wi-Fi особенно. На 5 ГГц ситуация значительно лучше, но об этом чуть позже.
О частотах и каналах
Пора перейти непосредственно к самому сигналу. Так уж исторически сложилось, что первые массовые Wi-Fi устройства работали на 2.4 ГГц (хотя, на удивление, версия с 5 ГГц была разработана раньше). Как вы уже поняли, для Wi-Fi это не самая хорошая среда из-за вынужденного соседства с кучей других беспроводных девайсов, но в те времена никто не представлял масштабов потенциальной проблемы.
Из выбранного диапазона частот Wi-Fi точка выбирает один из доступных каналов и работает там вместе со всеми подключенными к ней клиентами. Всего в диапазоне 2.4 ГГц выделено 13 каналов Wi-Fi (плюс ещё 1 исключительно для Японии), но на деле должны использоваться лишь 3 из них: 1, 6, и 11. Почему? Каждый канал занимает 22 МГц, и лишь эти трое являются непересекающимися – то есть клиенты одного не услышат клиентов двух других и, соответственно, не будут друг другу мешать. Иными словами, лишь 3 Wi-Fi точки могут находиться по соседству и никак не замедлять работу других. Добавляете четвёртую – и вот уже она вынуждена делить канал (а вместе с ним и скорость передачи) с одной из других. А теперь вопрос: как часто вы видите лишь 4 Wi-Fi точки в радиусе подключения? То-то же.
А теперь представим интересную ситуацию: ваш сосед – доморощенный гуру Wi-Fi, который знает, как добиться отличного качества сигнала и избежать помех от точек на том же канале! Недолго думая, он ручками меняет канал, скажем, на 3. Казалось бы – отличное решение, ведь тот канал полностью свободен! На деле же это означает, что его Wi-Fi точка и все клиенты на ней теперь создают помехи и на первом канале, и на шестом. Поздравляю, Шарик, ты балбес!
Как же обстоят дела на 5 ГГц? Если кратко, то изрядно веселее – нет соседства с Bluetooth и иже с ним, число каналов больше, все они уже по умолчанию друг от друга удалены, так что нет возможности выбрать «не тот». Хотя и тут есть свои нюансы с реальным числом доступных каналов, о которых, впрочем, знать ни к чему. Если кратко, в России в диапазоне 5 ГГц доступно до 23-х каналов шириной 20 МГц, но с некоторых из них вас может автоматически выкинуть при обнаружении радарного сигнала. И, кстати, это ограничение самой технологии, а не юридические заморочки конкретной страны.
О стандартах Wi-Fi
Наконец выбрались за рамки абстрактного и подобрались к чему-то существенному. Итак, все стандарты Wi-Fi объединены в общую группу 802.11 и отличаются буквами в различной комбинации. Понимание тех самых букв поможет как при выборе домашнего роутера, так и при его настройке. Приступим:
О скептицизме
Рекламируя вам очередной новейший Wi-Fi роутер, маркетологи (умышленно или нет) предпочитают умалчивать об одной крайне важной детали – стандарт должен поддерживаться не только точкой Wi-Fi, но и самими клиентами, ведь общение происходит в обе стороны. Как думаете, сколько сейчас на рынке устройств, поддерживающих Wi-Fi 6? Осмелюсь предположить, что значительно меньше 1%. Быстрым поиском я нашёл около 15 моделей смартфонов, и все они были не самой бюджетной ценовой категории. А значит, не так уж мал шанс, что ваш новенький дорогущий роутер будет очень красиво пылиться на шкафу и работать в режиме совместимости с предыдущими стандартами. Кто-то очень оптимистично утверждает, что не надо быть частью проблемы, стоит вложиться в инфраструктуру прямо сейчас, а уж устройства за 2-3 года обновятся. По личному опыту скажу, что активные устройства полностью не обновляется даже за 7 лет, и всё равно найдётся куча девайсов без поддержки новых стандартов. А уж если говорить о производителях, то многие бюджетные смартфоны до сих пор не поддерживают даже 802.11a (которому, кстати, 20 лет) и вынуждены работать на 2.4 ГГц. Про IoT («интернет вещей») я вообще боюсь даже гадать – вряд ли они вообще в обозримом будущем полностью перелезут хотя бы на 5 ГГц, если только производство компонентов не станет дешевле, чем на 2.4 ГГц. Какой уж там Wi-Fi 6?
В заключение
На самом деле хотелось рассказать гораздо больше: о мощности сигнала, о его дальности и поглощении стенами, о ретрансляторах (избегайте их любой ценой), о правильном направлении антенн (просто запомните, строго вертикально и никак иначе), о «вреде от излучения Wi-Fi». Но так как сайт непрофильный, то проще смириться с потраченным временем на 4 страницы текста, нежели на 8, если вдруг админы не захотят пропускать. Если будет отклик от сообщества, то может и наскребу на вторую статью.
Если же у вас имеются какие-либо вопросы, то с радостью постараюсь на них ответить.
Подписывайтесь на наш Telegram канал, там мы публикуем то, что не попадает в новостную ленту, и следите за нами в сети:
В прошлой статье мини-цикла мы говорили о 802.11ac, в этой — поговорим о сертификации Voice Enterprise: что это такое, и зачем она нужна.
- Поддерживает ли инфраструктура все нужные технологии? Используются ли при этом стандартные или проприетарные механизмы?
- Тестировались ли стандартные механизмы на совместимость? Какие известны косяки?
- Будем ли мы использовать стандартные или проприетарные клиентские устройства?
- Поддерживают ли клиенты все нужные технологии? Где взять эту информацию? (Если для инфраструктуры Enterprise-класса, документация найдется всегда, то для всяких Android-трубок найти ее очень сложно.)
- Поддерживают ли голосовые приложения все нужные технологии?
- И что это за «все нужные технологии» вообще?
История проблемы.
Решение
- Корректность реализации протоколов. Обеспечивает совместимость.
- RRM: части спецификации 802.11k. Обязательно для инфраструктуры и клиентов.
- FT: части спецификации 802.11r. Обязательно для инфраструктуры и клиентов.
- WNM: часть “BSS Transition Management” спецификации 802.11v. Опционально для инфраструктуры и клиентов. При наличии поддержки точка будет информировать клиента о своих соседях, позволяя тому заранее планировать, на какую точку роумиться дальше.
- Задержка (включая части роуминга): <50ms в одну сторону
- Джиттер: <50ms
- Потеря пакетов: <1%
- Последовательно потерянных пакетов: не более трех.
микрокомпьютер с Wi-Fi закрепленный на автопогрузчике
Почему-же «Ближайшее будущее»?
Итак, появилось решение довольно серьезной проблемы, позволяющее вывести VoWLAN из полуэкспериментальной фазы в мейнстрим, и доставить всем много
профитахорошего. Решение важное и нужное. Почему же «Ближайшее будущее»?
Как и у двух других ключевых спецификаций Wi-Fi — 802.11i и 802.11n — выход Voice Enterprise регулярно переносился. Изначально планировалось запуститься в Ноябре 2007. Однако, в результате разнообразных пертурбаций официальный пресс-релиз о запуске сертификации и «скором начале тестирования и выдаче сертификатов» вышел только в Мае 2012. И даже сейчас, год спустя, на сайте WFA весьма сложно найти сертифицированные продукты. На самом деле, большинство вендоров Enterprise WLAN первого и второго эшелона уже давно поддерживают все необходимые технологии, но, похоже, не спешат с «официальной» сертификацией (возможно, ресурсы переброшены на борьбу за лидерство в 802.11ac, пока горячо). Так что, пока что Voice Enterprise для нас — «ближайшее будущее».
Но, думаю, в следующем году (или даже в конце этого) «официальная» поддерка Voice Enterprise будет заявлена для большинства точек доступа, и, что самое главное, для клиентских устройств, и это позволит голосу прописаться в беспроводных сетях настолько же прочно, как и в проводных.В предыдущий раз мы рассмотрели настройку WPA шифрования в беспроводных сетях и аутентификацию клиентов в них с использованием FreeRADIUS. Аутентификация происходила по логину и паролю, база которых хранилась в файле /etc/raddb/users.
В этот раз мы будем настраивать аутентификацию с использованием цифровых сертификатов, то есть, используя протокол EAP-TLS.
- RADIUS-сервер — был использован FreeRadius сервер версии 1.0.5, работающий под операционной системой Gentoo Linux. (был использован пакет openssl-0.9.7g)
В этой части мы рассмотрим лишь создание собственного сертификационного центра и выдачу сертификатов клиентам и серверам, а также настройку FreeRADIUS для работы с EAP-TLS.
Пара слов о цифровых сертификатах, а точнее о PKI.
Public Key Infrastructure (PKI) — инфраструктура открытых ключей. PKI обеспечивает создание цифровых сертификатов (по заранее заданным политикам), управление ими, хранение, выдача их субъектам и отзыв (аннулирование). Кроме того, PKI обеспечивает возможность проверки валидности сертификатов. Инфраструктура базируется на криптографии с открытым ключом. А она, в свою очередь, дает возможность, имея на руках пару ключей (открытый и личный), шифровать информацию одним из этих ключей так, чтобы расшифровать ее можно было только другим ключом.
Все бы хорошо, но как удостоверится, что человек, владелец открытого ключа, именно тот, за кого себя выдает? Именно тут на помощь приходят цифровые сертификаты, тянущие за собой всю инфраструктуру PKI. Сертификаты содержат определенную информацию, позволяющую однозначно удостоверить личность владельца (точнее, подтверждение удостоверения личности приходит от третьей стороны)
Каждый субъект PKI (будь то обычный пользователь, веб-сервер, любой другой сервер или сетевое устройство) имеет личный сертификат (или несколько сертификатов), который содержит информацию, по которой его можно однозначно идентифицировать, и открытый ключ владельца.
Над всем этим (в вершине пирамиды) стоит сертификационный центр, Certificate Authority (CA), который подписывает сертификаты субъектов, а также подтверждает валидность выданных сертификатов, то есть удостоверяет личности владельцев. CA доверяют все субъекты PKI, поэтому корневой сертификат (иными словами сертификат CA) должен быть в списке доверия у всех субъектов PKI.
Из всего вышеописанного вытекает еще один, неочевидный на первый взгляд, плюс. При подключении к беспроводной сети можно аутентифицировать не только пользователя, который подключается, но и сам подключающийся клиент может со своей стороны аутентифицировать сервер, к которому он подключается. Достаточно указать клиентскому софту проверять сертификат сервера (то есть сертификат, который выдается RADIUS-сервером в начальной стадии при подключении клиента). Таким образом, можно обезопасить себя от "чужих" точек доступа, маскирующихся под "свои".
Итак. Нам необходимо создать собственный сертификационный сервер, выдать сертификат FreeRADIUS-у и клиентам. Займемся этим.
1. Создание собственного сертификационного центра.
1.1 Создание приватного ключа CA
Для начала создадим корневой (самоподписанный) сертификат нашего личного центра сертификации. Переходим в директорию, где будет храниться база наших сертификатов, и начинаем генерацию.
На этапе создания надо ввести пасс-фразу, которой будет закрыт ключ (и подтвердить ее).
При этом опять придется ввести ключ.
1.2 Создание сертификата CA
На этапе генерации сертификата необходимо ключевую фразу, которой закрыт ключ CA, а после этого — заполнить необходимые поля (имя компании, емейл и т.д.), самым важным из них является Common Name — это уникальное имя сертификационного центра. В данном случае в качестве Common name было выбрано "tmp_org root CA".
2. Выдача сертификатов.
2.1 Скрипт генерации сертификатов.
Скрипт генерации сертификатов эти поля внутрь соответствующих сертификатов добавляет.
2.2 Создаем серверный сертификат (для RADIUS)
2.3 Создание клиентских сертификатов.
Приступаем к генерации персональных клиентских сертификатов, по которым пользователи будут аутентифицироваться при подключении к беспроводной сети.
Собственно, для импорта персонального сертификата в windows, нас интересует файл test_user.p12. Не помешает и test_user.crt (его тоже можно импортировать, но чуть сложнее, чем обычный клик мышкой на файле). Содержимое первого и второго файла — одинаково, просто разные форматы упаковки.
3. Настройка FreeRADIUS.
Для начала пакет FreeRadius надо установить в систему. Об этом было рассказано в предыдущей части.
А вот настройка конфигурационных файлов RADIUS-а в некоторых местах отличается от описываемых ранее.
Кроме конфигурационных файлов нужно подготовить еще кое-что.
После этого переходим непосредственно к настройке конфигурационных файлов FreeRADIUS.
3.1 Файл /etc/raddb/clients.conf
Настройка полностью аналогична ранее описанной.
3.2 Файл /etc/raddb/radiusd.conf
Этот файл не требует никаких настроек относительно стандартных.
3.3 Файл /etc/raddb/proxy.conf
Этот файл не требует никаких настроек относительно стандартных.
3.4 Файл /etc/raddb/users
Так как пользователи теперь аутентифицируются по персональным сертификатам, этот файл нам тоже не требуется.
3.5 Файл /etc/raddb/eap.conf
А вот в этот файл придется хорошенько отредактировать.
На этом настройка RADIUS-сервера завершена.
3.6 Права доступа к /etc/raddb/
3.7 Проверка конфигурации и запуск radiusd в режиме отладки
Эта процедура была описана в предыдущей статье.
Если radiusd стартует, значит, критических ошибок в конфигурации нет, сервер настроен, работает и готов принимать запросы.
Заключение.
Осталось настроить клиентов, так как перенастройка точки доступа не требуется.
О настройке клиентов (импортирование сертификатов, настройка профиля беспроводной сети) — в следующей статье.
Читайте также: