Mobilita, jak byla prezentována v předchozím článku, se implicitně týkala především globálního pohybu, tedy možnosti elektronické práce (sdílení souborů, čtení pošty, ...) v podstatě z kteréhokoliv místa na světě. V poslední době však roste i zájem o podporu lokální mobility - mobility "v malém" - možnosti být trvale a plnohodnotně připojen i při v podstatě neomezeném pohybu, ovšem v ohraničeném prostoru. Tuto možnost dnes nabízí využití bezdrátového protokolu IEEE 802.11b, v podstatě analogie Ethernetu, ovšem přenášeného radiovými vlnami.
Protokol používá nelicencované přenosové pásmo 2,4GHz, které funguje formou sdíleného média, tedy jednotlivé "připojené" stanice se musí při vysílání synchronizovat, obdobně jako v případě Ethernetu. Nad vlastním radiovým médiem je implementován protokol IP, takže vzhledem k počítači se příslušné rozhraní chová identicky jako Ethernet. Pro počítače jsou dnes k dispozici rozšiřující karty pro přenosné počítače, které využívají rozhraní PCMCIA I (zabírají tedy jeden slot), případně existují i rozšiřující karty pro ISA sběrnici stolních počítačů a serverů. PCMCIA karty s protokolem IEEE 802.11b jsou dnes k dispozici od celé řady výrobců (Cabletron, Lucent, 3Com, ...), vzájemně kompatibilní karty se označují jako Wi-Fi (analogie Hi-Fi, v tomto případě tedy Wireless Fidelity). V poslední době se objevují i přenosné počítače, které je možno dovybavit interní kartou komunikující protokolem IEEE 802.11b. Hlavní výhodou tohoto řešení je kompaktnost - klasické PCMCIA karty svým anténním rozšířením přesahují půdorys počítače (při manipulaci pak hrozí nebezpečí ulomení, kartu je nutno vždy vyjmout a znovu nasadit), interní karty mají anténu zabudovánu do kostry počítače a nenarušují tak kompaktní provedení přenosných počítačů (jako příklad počítačů připravených pro vestavěnou kartu s protokolem IEEE 802.11b můžeme uvést počítače Dell Latitude C600 a C800, některé modely IBM, Vaio od Sony a další).
Topologicky je možno počítače komunikující protokolem IEEE 802.11b uspořádat dvěma různými způsoby: jako ad-hoc síť a s režimem hlavní stanice (master point). První uspořádání je vhodné pro vytvoření omezené sítě bez vnějšího připojení - potřebujeme-li např. synchronizovat data na třech počítačích vybavených rozhraním IEEE 802.11b, můžeme v ad-hoc režimu vytvořit síť, která právě tyto tři počítače (a nic dalšího) propojí. V ad-hoc sítích jsou všechny komunikující body rovnocenné, síť se vytváří "dle potřeby" (ad hoc) a komunikace je omezena jen na přímé účastníky takové sítě.
Hlavní přednost protokolu IEEE 802.11b však vyvstane při využití v režimu s hlavní stanicí. V tomto případě jsou všechny komunikující počítače podřízeny hlavní stanici, která zprostředkovává přístup do externí sítě. Hlavní stanice (označovaná též jako přístupová stanice, access point) je v podstatě můstek (bridge) mezi klasickým Ethernetem a jeho bezdrátovou variantou. Sdílený charakter bezdrátového přenosového média umožňuje přístupové stanici komunikovat s větším počtem (až několik desítek) podřízených počítačů - přiblíží-li se počítač s příslušnou kartou na dostatečnou vzdálenost k přístupové stanici, je zaregistrován a může zahájit komunikaci (o bezpečnosti viz dále). Je vidět zřetelná analogie se starým dobrým Ethernetem na koaxiálním kabelu, kdy bylo rovněž možno připojit nový počítač prostým "vmezeřením" (realizovaným rozříznutím kabelu). Podpora mobility však nekončí jen pohybem v blízkosti přístupového bodu. Jsou-li přístupové body ve vhodné vzdálenosti od sebe a jsou-li připojeny na stejnou ("drátovou") IP síť, umožňuje protokol IEEE 802.11b i roaming, známý z prostředí mobilních telefonů. Pohybuje-li se komunikující počítač v takto vytvořeném prostředí, dochází k automatické přeregistraci vždy na nejbližší stanici (resp. na stanici s nejsilnějším signálem) a data za takto se pohybujícím počítačem automaticky "putují" - z pohledu uživatele je zajištěna plnohodnotná vysokorychlostní komunikace i při pohybu po poměrně rozsáhlých prostorách.
Protokol IEEE 802.11b umožňuje spojení s kapacitou až 11Mb/s, podporovány jsou však i nižší rychlosti 2 a 1Mb/s. Protože intenzita signálu klesá se čtvercem vzdálenosti, nejvyšší rychlost je dostupná pouze v omezeném rozsahu, cca 100m v nestíněném prostoru (přímá viditelnost) a 25-50m v prostoru s překážkami (např. uvnitř budov). Spojení na rychlosti 1Mb/s může být funkční až do vzdálenosti několika set metrů ve volném prostoru, v místech s překážkami je to samozřejmě opět výrazně méně.
Výrazné zvýšení dosahu je možné pomocí vhodných antén, za ideálních podmínek lze na rychlosti 11Mb/s komunikovat do vzdálenosti až několika kilometrů (to ovšem vyžaduje antény na obou stranách). Využitelnost a dosah ovlivňují emisní charakteristiky antén a při vnitřní instalaci je vždy vhodné udělat (resp. nechat vhodnou firmou proměřit) mapu šíření 2,4GHz radiových vln, z níž pak vyplyne rozmístění a hustota přístupových bodů - velmi rušivým elementem jsou např. výtahové šachty.
Jak je z uvedeného patrné, je skutečně využitelná kapacita funkcí jednak hustoty signálu v daném místě, jednak množství kolizí, tj. de facto počtu současně komunikujících stanic. Vzhledem ke statistickému charakteru se protokol chová poměrně decentně k rostoucímu počtu počítačů registrovaných na jednom přístupovém bodě - opět obdobně jako u Ethernetu záleží na skutečné míře komunikace a ne přímo na počtu zaregistrovaných stanic (bude-li pět uživatelů současně stahovat velké objemy dat, budou se muset, obdobně jako u nepřepínaného Ethernetu, o kapacitu podělit; pokud však jejich komunikace bude mít spíše nárazový charakter, je vysoce pravděpodobné, že v každém konkrétním okamžiku bude vyžadovat komunikaci s přístupovým bodem pouze jediný počítač a bude tak mít k dispozici plnou kapacitu 11Mb/s).
Zatímco hustotu signálu je možno ovlivnit vhodnou volbou antény, celkové zvýšení kapacity je možné jedině přidáním dalších přístupových bodů. Ve skutečnosti nové typy přístupových bodů mají již prostor pro dvě PCMCIA karty, takže zdvojnásobení kapacity je pak možno realizovat pouhým přidáním vhodné karty. Obecně je situace analogická podmínkám, za nichž pracují mobilní operátoři: zvýšení kapacity přípojných bodů a lepší pokrytí je dosaženo kombinací počtu a rozmístění přístupových bodů a výběrem antén.
Plošné pokrytí určité oblasti bezdrátovým signálem přináší samozřejmě netriviální bezpečnostní rizika. Pokud je přístupový bod přímo připojen na lokální síť (čemuž z technického hlediska nic nebrání), pak jsou tím otevřena "vrata" (zde již nelze mluvit ani o vrátkách nebo něčem podobně malém) do vnitřní sítě organizace. Protokol IEEE 802.11b má několik bezpečnostních prvků, které se snaží toto nebezpečí minimalizovat.
První bezpečnostním prvkem je použití jména bezdrátové sítě. Každý přístupový bod registruje pouze počítače, které se prokáží odpovídajícím jménem. Nevýhodou je však fakt, že toto jméno se volně přenáší v otevřené podobě a lze je triviálním způsobem odposlechnout1. Navíc toto jméno musí znát všichni potenciální uživatelé bezdrátové sítě a nelze je tedy brát jako významný bezpečnostní prvek.
Dalším bezpečnostním prvkem je kryptovací protokol WEP (neplést s protokolem WAP), který je přímo vestavěn do novějších verzí karet. WEP, neboli Wireless Encryption Protocol, je symetrický kryptovací protokol, kdy komunikující počítač i přístupový bod sdílejí heslo a veškerá komunikace mezi nimi je šifrována. Současné karty umí využít 40 bitový klíč (tzv. stříbrné karty) nebo 128 bitový klíč (tzv. zlaté karty). Bez znalosti klíče se nelze k přístupovému bodu zaregistrovat, nepomůže ani schopnost "naslouchání" bezdrátového provozu. Toto zdánlivě elegantní řešení má však bohužel celou řadu nedostatků. Počet různých klíčů na kartě je omezen (v současné době na 4), což znamená, že klíče nemohou být jedinečné a musí být sdíleny více uživateli - nebezpečí prozrazení takovéhoto klíče je poměrně značné (navíc klíče jsou v počítačích obvykle k dispozici v otevřené podobě). Šifrování znamená rovněž netriviální zátěž, vedoucí k výraznému snížení dosažitelné kapacity. Úzkým místem se stává přístupový bod, zejména musí-li zajistit komunikaci s více zaregistrovanými počítači. Last but not least, největším problémem je samotný protokol WEP: nebyl zveřejněn a o jeho kvalitě existuje v odborné literatuře značná pochybnost (mimo jiné 40 bitový klíč lze relativně snadno "rozlousknout").
Poslední možností je omezení přístupu pouze pro předem známé karty, charakterizované svou tzv. MAC adresou. Uživatel, který chce bezdrátovou síť využít, musí nejprve svou kartu zaregistrovat u správce, který ji zanese do příslušných seznamů všech přístupových bodů. Nevýhoda tohoto přístupu (mimo vlastní proces registrace, který vyžaduje v principu nežádoucí lidskou komunikaci) je jednak v omezené velikosti seznamů MAC adres, které současné přístupové body podporují (jedná se většinou pouze o několik set různých MAC adres), jednak v relativně snadném "zfalšování" MAC adresy (přitom MAC adresa je jednak přenášena v otevřené podobě, jednak je vytištěna na každé kartě, je tedy velmi jednoduché získat korektní MAC adresu s povoleným přístupem).
Skutečné zabezpečení bezdrátových sítí proto musí vycházet z jiných
principů. V současné době se používá kombinace omezení pomocí MAC adres
(s případnou automatickou registrací, kdy se uživatel autentizuje vůči
registračnímu systému - např. obdobně jako na MU vůči ISu - a zadá MAC
adresu své karty) s principem VPN (Virtual Private Network). V tomto
případě je celá bezdrátová síť
zcela nezávislá na lokální "drátové síti" (jejímž prostřednictvím se
napojuje na Internet) a je s ní propojena jednou nebo více bránami
(gateways), které zajišťují autentizaci a přístup do drátové sítě
povolí jen autentizovaným uživatelům. Konkrétně to pak vypadá tak, že
nejprve se uživatel zaregistruje na přístupovém bodě (za kontroly MAC adresy)
a následně si otevře zabezpečený komunikační kanál (např. SSL) na bránu.
Pokud autentizace vůči bráně uspěje, brána mu přidělí "permanentní"
IP adresu (buď předem alokovanou pro tohoto uživatele nebo přidělenou
protokolem DHCP či analogickým) a pro tuto IP adresu povolí směrování
paketů mezi bezdrátovou a drátovou sítí (Internetem). Uživatel i nadále
používá zabezpečené komunikační kanály (kromě zmíněného SSL např. tvořené
programem ssh
), čímž minimalizuje nebezpečí odposlechu na
bezdrátové síti - tyto komunikační kanály jsou přitom na rozdíl od WEP
protokolu tvořeny end-to-end a nezatěžují tedy bránu (ta plní pouze
funkci směrovače). Na růst počtu současně připojených uživatelů je možno
snadno
reagovat přidáním dalších bran, v případě potřeby (nedostatečná kapacita
přístupových bodů) je možno zcela vypnout úvodní kontrolu prostřednictvím
MAC adresy beze ztráty úrovně zajištění.
Vlastnosti protokolu IEEE 802.11b a výhody bezdrátové komunikace přispívají k růstu pravděpodobnosti, že se s ním setkáme. Pro pracovníky z akademického prostředí je tím nejpravděpodobnějším místem mezinárodní konference, zejména koná-li se ve Spojených státech. Organizátoři, vědomi si důležitosti elektronické komunikace pro účastníky konference, nejen že poskytují "elektronické kavárny", tedy místnosti vybavené počítači s přístupem na Internet, případně s volnými kabely, kam si může účastník připojit svůj notebook, ale ve stále větší míře vybavují konferenční místnosti přístupovými body a zapůjčují účastníkům PCMCIA karty, případně jim umožňují využití jejich vlastních. Výhodou je podstatně vyšší počet "pokrytých" účastníků konference (stačí přitom méně dimenzovaná kabeláž) a také, že účastnící chodí na přednášky (přestože si na nich často vyřizují poštu, přinejmenším opticky to působí daleko lépe).
Dalším místem možného setkání jsou velká mezinárodní letiště, která tuto službu začínají zavádět. Zpřístupnění Internetu tímto způsobem je velmi atraktivní právě proto, že odpadá nutnost speciální kabeláže až ke koncovým uživatelům a rovněž počet současně připojených počítačů je mnohem flexibilnější - z obchodního hlediska nepůsobí dobře, pokud pro nového zákazníka již není k dispozici volná přípojka.
Zdaleka nejzajímavější jsou však rozsáhlé experimenty vysokých škol, které se snaží tímto způsobem pokrýt rozsáhlá území. Na Drexel University ve Filadelfii (USA) začali v roce 1997 s budováním bezdrátového přístupu v univerzitní knihovně. Projekt postupně přerostl do kompletního pokrytí celého kampusu a všech budov včetně studentských kolejí - celkem je pokryto 24ha. Na pokrytí celého areálu bylo použito 180 přístupových bodů, z toho 140 uvnitř budov a 40 na pokrytí vnějších ploch. Všichni zaměstnanci a studenti mohou tuto bezdrátovou síť volně používat (samozřejmě při dodržení bezpečnostních pravidel, využívajících autentizační brány popsané výše). Drexel University studentům jednak zprostředkovává nákup levnějších PCMCIA karet, jednak určité množství karet bezplatně zapůjčuje (podle informací za 3 roky došlo jen k několika poškozením a žádné ztrátě). Zpřístupněním bezdrátové sítě univerzita nejen výrazně zvýšila poskytovanou kvalitu připojení k Internetu, (studenti mají možnost práce s Internetem prakticky kdekoliv a kdykoliv) ale ušetřila i investice do počítačových studoven, jejichž další rozšiřování může být daleko pozvolnější.
Snad ještě ambicióznější projekt je realizován v Göttingenu v SRN, kde je cílem celoměstské pokrytí bezdrátovou sítí. Iniciátorem projektu je opět univerzita, která v tomto případě využila výjimečné situace, že vlastní dvě výškové budovy: na ně umístila všesměrové antény, jejichž signál pokrývá prakticky celé město. Při přímé viditelnosti se podařilo zajistit příjem signálu, umožňujícího přenos plnou rychlostí 11Mb/s, až do vzdálenosti 3 km. Studenti i zaměstnanci umisťují malé antény na střechy domů a jejich prostřednictvím připojují své domácí počítače. Zabezpečení je opět realizováno prostřednictvím autentizačních bran. Přestože primárním cílem je pokrytí univerzity a vytvoření celoměstské sítě je pouze "vedlejším" produktem, ukazuje i tento příklad možnosti, jaké bezdrátové technologie otevírají.
Zkušenosti s technologií IEEE 802.11b na MU jsou zatím poměrně omezené, první experimenty realizuje FI a ÚVT a naskýtá se nicméně otázka, zda by MU nemohla být první českou univerzitou s bezdrátovým pokrytím ...
1 | Zde je možná
na místě zmínit rozdíl mezi implementací ovladačů pro PCMCIA karty
v prostředí MS Windows 2000 a Linuxem. Zatímco v prostředí
MS Windows 2000 obyčejný uživatel nemá nástroje na odposlech
k dispozici - ovladače vyžadují explicitní zadání jména sítě uživatelem,
jinak registrace neuspěje -, v Linuxu standardní nastavení automaticky
naslouchá síti a s přístupovou stanicí se domluví na akceptovaném
jménu. Výsledkem je, že v Linuxovém prostředí se uživatel automaticky
zaregistruje na jinak nechráněné přístupové stanici, zatímco
v MS Windows 2000 nikoliv.
... zpět do textu |