В проводных сетях, например, Ethernet существует 1 вид сервиса — это передача данных. Чтобы использовать сеть Ethernet необходимо подключиться к ней при помощи кабеля.
С Wi-Fi другая ситуация, передача данных происходит не по проводам, а благодаря радиоэфиру. Для организации стабильной, надежной работы сети и обеспечения защиты данных, в вайфай, кроме передачи данных используются доп. сервисы, их также называют услуги или службы.
Один из важнейших сервисов, это Ассоциация. Чтобы передать данные по беспроводной сети, сначала, нужно к ней подключиться. Следующий сервис это Аутентификация. Чтобы подключиться к сети, абоненту нужно представиться и доказать, что у него есть легальное право пользоваться данной сетью. Один из важнейших сервисов это передача данных. Из-за того, что данные в беспроводной сети доступны каждому, кто расположен в зоне действия передатчика, чтобы защитить информацию, её нужно зашифровать.
Базовый набор сервисов
Wifi предоставляет 2 набора сервисов. Базовый набор (Basic Serviced) и расширенный (Extended Serviced).
Базовый набор сервисов проще и применяется чаще. Есть 1 точка доступа (BSSID), которая используется сама по себе или подключена к распределительной системе, чтобы предоставить доступ потребителей wifi в сеть интернет.
В радиусе действия, как на картинке выше, точка доступа отправляет идентификаторы из своего набора сервисов. ID базового набора сервисов BSSID: это МАК-адрес точки доступа. Также отправляются ID набора сервисов в виде, понятном для человека, текстовой строки SSID. Эти идентификаторы мы видим в списке доступных сетей, когда подключаемся к wi-fi.
Первый шаг, который нужно сделать, чтобы подключиться к wi-fi — пройти аутентификацию. Другими словами, подтвердить, что ты действительно можешь использовать эту сетью. Для этого нужно выслать точке доступа, кадр управления специального вида, менеджмент Freim, запросом на аутентификацию. Если запрос на аутентификацию подошел точке доступа, она в ответ посылает кадр с положительным ответом.
Режимы аутентификации
В Wi-Fi есть 3 режима аутентификации:
- Первый, open аутентификация. Здесь, подключиться к сети можно без пароля, т.е. может подключиться любой человек. Главное помните, что при открытой аутентификации шифрование не используется и все, что вы передаете может быть перехвачено злоумышленниками.
- Подход № 2 — персональная (Personal) аутентификация. Для доступа ко всем устройствам используется один и тот же пароль. Этот способ удобно использовать у себя дома, где количество гаджетов ограничено.
- 3 подход Enterprise подходит для больших организаций. Каждый абонент сети имеет свой ID и password, которые хранятся на каком-либо сервере аутентификации, который работает по протоколу RADIUS или LDAP. Защищенность в таком методе наивысшая, но такой подход требует доп. инфраструктуры, которую необходимого развёртывать и поддерживать.
Ассоциация
После успешного подтверждения данных, пользователь высылает точке доступа запрос на ассоциацию. В данном запросе абонент передает данные wifi с которыми он может работать и если эти параметры подходят точке доступа, то она отправляет в ответ кадр с успешной ассоциацией.
Передача данных
Когда аутентификация и ассоциация пройдены, пользователь может отправлять данные в беспроводной сети через точку доступа. Если пользователь хочет передать данные другому человеку, который тоже находится в этой сети, данные все равно будут передаваться через точку доступа, чтобы упорядочить общение в разделяемом эфире.
Внешняя аутентификация
В таком случае, после ассоциации клиент подключается к сети, но у него нет прав передать данные.
Чтобы это исправить, ему надо пройти дополнительную аутентификацию, для которой используются какой-либо внешний сервис авторизации. Скорей всего, Вы часто попадали в ситуацию, когда подключались к wifi в аэропортах или кафешках. В таком случае сеть открытая и чтобы подключиться к ней, не нужно вводить пароль. Но после того, как Вы подключитесь к сети, открывается окно браузера, в котором нужно будет ввести какой-то пароль, который можно получить по sms, и если вы введёте номер своего смартфона.
Отключение клиента
Если пользователь принял решение отключиться от беспроводной сети, то он отправляет точке доступа запрос на деассоциацию и деаутентификацию. Точка доступа отправляет ответ и отключает абонента от сети.
Если пользователь вышел из зоны действия точки доступа (ТД) и не отправил запрос на деассоциацию или деаутентификацию, то ТД какое-то время помнит данные клиента, но через несколько минут, этот клиент отключается автоматически.
Расширенный набор сервисов
Этот набор сервисов полезен, когда необходимо создать сеть wifi на огромную территорию, которая больше, чем зона действия одной точки доступа (BSSID). Тогда используется несколько точек доступа, которые работают согласованно между собой с помощью внешнего контроллера. Эти точки доступа передают единый идентификатор набора сервисов (SSID). Сервисы ID в текстовом виде, на рисунке, в данном случае “SuperNet”. Но ID базового набора сервисов у этих точек доступа разный и он соответствует МАК адресу этой точки доступа.
Роуминг
Когда клиент подключился к одной точке доступа, обслуживающей сеть Wi-FI, он может перейти в зону действия другой точки доступа и продолжить работу. Когда вы проходите аутентификацию и ассоциацию с одной точкой доступа, данные сохраняются не только в это точке, но также в контроллере.
Реассоциация
Когда мы переходим в зону действия другой точки доступа, данные о пользователе уже есть в контроллере. Пользователь отправляет новой точке доступа запрос на реассоциацию, то есть повторное подключение. Точка доступа извлекает информацию об абоненте из контроллера и если всё прошло нормально, то пользователь продолжает работу с сетью с тем же самым ID, но через другую точку доступа.
Сканирование
Как клиент узнаёт какие существуют точки доступа и сети там, где он сейчас находится? Такой процесс называется сканированием и есть 2 вида: пассивное и активное.
Пассивное сканирование. Beacon
Все ТД постоянно рассылают специальный широковещательный кадр с данными о себе, так называемый Beacon Frame. Этот кадр содержит ID сети и ID набора базовых сервисов. При пассивном сканирование клиент принимает эти кадры от ТД и через какое-то время узнаёт о всех доступных сетях.
Активное сканирование. Probe
Если пользователю нужно быстро получить информацию о доступных сетях не дожидаясь рассылки широковещательных кадров от ТД, он может использовать активное сканирование. Для этого рассылается специальный широковещательный запрос Probe ко всем ТД. Приняв этот запрос, ТД пересылают инфу о сетях, которые они обслуживают.
Шифрование
Информацию, которую передают по беспроводной среде доступна всем. Ситуация аналогична концентраторам ethernet. Следовательно, если мы хотим защитить нужную для нас информацию, которую мы передаем по сети, например пароли к личным кабинетам или номера кредитных карт, то эту информацию нужно зашифровать.
В wifi применяется шифрование данных, но не заголовка, и для чтобы указать, что кадр зашифрован, используется специальный флаг заголовка Protection Frame (WEP). Wi-Fi поддерживает несколько видов шифрования, самый первый вид из первого варианта стандарта Wired Equivalent Privacy (WEP) сейчас на практике уже не применяется, потому что его не составит труда взломать.
Вместо WEP сейчас используются Wi-Fi Protected Access 2 (WPA2). Сейчас, данный метод предоставляет наилучшую защиту, которую до сих пор взломать не удалось. Когда вы в следующий раз будете подключаться к открытой сети wi-fi, где не используется шифрование, помните, что данные по такой сети передаются в открытом виде и кто-нибудь может их перехватить.
Заключение
Нами были рассмотрены сервисы wifi. Существуют 2 вида набора сервисов базовый и расширенный. Базовый набор предоставляется в рамках одной точки доступа, а расширенный несколькими точками доступа, которые действуют согласованно. Если было полезно, то делитесь статьей в социальных сетях.