Część 3: Warstwa 2 OSI w sieciach WLAN

Wprowadzenie do warstwy łącza danych

Witam Państwa na naszym trzecim spotkaniu.
Na poprzednim wykładzie zgłębiliśmy tajniki warstwy fizycznej w sieciach WLAN, zajmując się falami radiowymi, modulacją i wyzwaniami związanymi z medium bezprzewodowym.
Dzisiaj wchodzimy o poziom wyżej w modelu OSI, do warstwy 2, czyli warstwy łącza danych.
To właśnie tutaj chaos fal radiowych i strumieni bitów zamienia się w zorganizowaną, uporządkowaną komunikację.
Dowiemy się, jak urządzenia identyfikują się w sieci, jak dane są pakowane w ramki i jak zarządzany jest dostęp do medium, aby umożliwić setkom urządzeń "kulturalną rozmowę" w eterze.

Most między światem fizyki a logiki

Warstwa łącza danych pełni rolę kluczowego pośrednika.
Odbiera ona pakiety z warstwy sieciowej (warstwy 3) i "pakuje" je w struktury zwane ramkami (frames), dodając do nich fizyczne adresy (adresy MAC) oraz informacje kontrolne.
Jej głównym zadaniem jest zapewnienie niezawodnej transmisji danych w obrębie jednego segmentu sieci lokalnej, czyli między urządzeniami, które "słyszą się" nawzajem bezpośrednio lub przez punkt dostępowy.
Odpowiada również za kontrolę dostępu do medium (kto i kiedy może nadawać), a także za podstawową detekcję błędów, które mogły powstać w warstwie fizycznej.
To mózg operacji w każdej sieci LAN.

Podział obowiązków w warstwie 2

Standard IEEE dzieli warstwę łącza danych na dwie podwarstwy, aby lepiej zorganizować jej funkcje.
Pierwsza, wyższa podwarstwa to LLC (Logical Link Control).
Jej zadaniem jest utrzymanie jednego, spójnego interfejsu dla warstwy sieciowej, niezależnie od tego, jaka technologia fizyczna jest używana poniżej (czy to Ethernet, Wi-Fi, czy Token Ring).
Druga, niższa i znacznie bardziej złożona w kontekście WLAN, to podwarstwa MAC (Media Access Control).
To ona jest "sercem" Wi-Fi w warstwie 2.
Odpowiada za wszystko, co związane z medium: adresowanie za pomocą adresów MAC, implementację protokołu CSMA/CA, ramkowanie danych oraz szyfrowanie i deszyfrowanie.

"Dowód osobisty" karty sieciowej

Podobnie jak w przewodowym Ethernecie, podstawowym identyfikatorem urządzenia w sieci Wi-Fi jest jego adres MAC (Media Access Control).
Jest to 48-bitowy, unikalny numer przypisany na stałe do interfejsu sieciowego przez producenta.
Każde urządzenie zdolne do komunikacji w sieci Wi-Fi – laptop, smartfon, telewizor czy nawet inteligentna żarówka – posiada swój własny adres MAC.
To właśnie ten adres jest używany w warstwie 2 do kierowania ramek do konkretnego odbiorcy w tej samej sieci lokalnej.
Bez adresów MAC komunikacja w sieci Wi-Fi byłaby niemożliwa, gdyż nie byłoby wiadomo, kto jest nadawcą, a kto docelowym odbiorcą przesyłanych danych.

"Koperta" dla danych bezprzewodowych

O ile koncepcja ramki jest taka sama jak w Ethernecie, o tyle jej struktura w standardzie 802.11 (Wi-Fi) jest znacznie bardziej skomplikowana.
Wynika to z natury medium bezprzewodowego.
Ramka Wi-Fi musi zawierać o wiele więcej informacji kontrolnych, aby poradzić sobie z takimi problemami, jak konieczność potwierdzania odbioru, zarządzanie połączeniem, obsługa trybu oszczędzania energii czy roaming.
Nagłówek ramki 802.11 jest znacznie większy i bardziej rozbudowany niż w prostej ramce ethernetowej.
Zrozumienie jego budowy jest kluczowe do zrozumienia, jak naprawdę działa Wi-Fi na niskim poziomie.

Anatomia ramki Wi-Fi

Każda ramka 802.11 składa się z trzech głównych części.
Pierwszą jest nagłówek MAC, który jest najbardziej rozbudowany.
Zawiera on pole kontrolne (Frame Control) definiujące typ i funkcję ramki, pole Duration/ID używane przez mechanizm CSMA/CA, a także kilka pól adresowych.
Drugą częścią jest ciało ramki (Frame Body), które przenosi właściwe dane – albo dane użytkownika z wyższych warstw, albo informacje zarządcze.
Trzecią i ostatnią częścią jest suma kontrolna (Frame Check Sequence - FCS), czyli 32-bitowa wartość, która pozwala odbiornikowi sprawdzić, czy ramka nie została uszkodzona podczas transmisji.

"Mózg" ramki

Pierwsze dwa bajty nagłówka MAC to pole Frame Control.
Jest to zbiór flag i małych pól, które definiują, czym jest dana ramka i jak należy ją traktować.
Znajdziemy tu między innymi wersję protokołu.
Najważniejsze są jednak pola Type i Subtype, które razem określają dokładny rodzaj ramki.
To one mówią nam, czy jest to ramka z danymi, ramka kontrolna (np. potwierdzenie ACK), czy może ramka zarządcza (np. Beacon).
Inne flagi w tym polu informują na przykład o tym, czy ramka jest fragmentem większej całości, czy będzie retransmitowana, czy klient jest w trybie oszczędzania energii, a także czy dane są szyfrowane (flaga Protected Frame).

Dane, kontrola i zarządzanie

Na podstawie pól Type i Subtype, wszystkie ramki Wi-Fi dzielimy na trzy podstawowe kategorie, z których każda pełni zupełnie inną rolę w sieci.

Ramki zarządcze (Management Frames): Służą do budowania i utrzymywania połączeń. To one odpowiadają za odnajdywanie sieci, przyłączanie i odłączanie klientów. Przykłady to ramki Beacon, Probe Request/Response czy Association Request.
Ramki kontrolne (Control Frames): Pomagają w dostarczaniu danych i zarządzaniu dostępem do medium. Są zazwyczaj bardzo krótkie i służą głównie do potwierdzania odbioru (ACK) lub rezerwacji kanału (RTS/CTS).
Ramki danych (Data Frames): To one przenoszą właściwy ładunek (payload) użytkownika z wyższych warstw modelu OSI, czyli fragmenty stron internetowych, e-maili czy rozmów wideo.

Dlaczego więcej niż w Ethernecie?

Jedną z najbardziej mylących różnic w stosunku do Ethernetu jest system adresowania.
Podczas gdy ramka ethernetowa ma tylko dwa adresy MAC (źródłowy i docelowy), ramka 802.11 ma miejsce aż na cztery adresy MAC (Address 1, 2, 3, 4).
Dlaczego? Wynika to z faktu, że w sieci Wi-Fi nadawca i odbiorca nie zawsze komunikują się ze sobą bezpośrednio.
Komunikacja niemal zawsze przechodzi przez pośrednika – punkt dostępowy (AP).
Potrzebujemy więc adresów nie tylko oryginalnego nadawcy i ostatecznego odbiorcy, ale także urządzeń, które bezpośrednio uczestniczą w transmisji radiowej.

Kto jest kim w komunikacji?

Aby zrozumieć znaczenie czterech pól adresowych, musimy zdefiniować pięć ról, jakie adresy MAC mogą pełnić w transmisji Wi-Fi.

DA (Destination Address): Adres MAC ostatecznego odbiorcy pakietu.
SA (Source Address): Adres MAC pierwotnego nadawcy pakietu.
RA (Receiver Address): Adres MAC urządzenia, które fizycznie odbiera ramkę radiową.
TA (Transmitter Address): Adres MAC urządzenia, które fizycznie nadaje ramkę radiową.
BSSID (Basic Service Set Identifier): Adres MAC punktu dostępowego, który identyfikuje daną sieć bezprzewodową (BSS).

To, która rola jest przypisana do którego pola (Address 1, 2, 3, 4), zależy od kierunku transmisji, co określają flagi ToDS i FromDS w polu Frame Control.

Ramka w drodze do sieci przewodowej

Rozważmy najczęstszy przypadek: klient Wi-Fi wysyła dane do serwera w sieci przewodowej.
Flagi w polu Frame Control będą ustawione na ToDS=1 (ramka idzie DO Distribution System, czyli do sieci przewodowej przez AP) i FromDS=0 (nie idzie OD sieci przewodowej).
W tym scenariuszu trzy pola adresowe są używane następująco:
Address 1 (RA): Adres MAC punktu dostępowego, bo to on odbiera falę radiową.
Address 2 (TA): Adres MAC klienta, bo to on nadaje falę radiową.
Address 3 (DA): Adres MAC serwera docelowego w sieci przewodowej.
W tym przypadku pole Address 4 nie jest używane.

Ramka z sieci przewodowej do klienta

Teraz sytuacja odwrotna: serwer z sieci przewodowej wysyła dane do klienta Wi-Fi.
Ramka radiowa jest generowana przez punkt dostępowy.
Flagi będą ustawione na ToDS=0 (ramka nie idzie DO sieci przewodowej) i FromDS=1 (idzie OD sieci przewodowej).
Pola adresowe mają następujące znaczenie:
Address 1 (RA): Adres MAC klienta, bo to on jest docelowym odbiorcą fali radiowej.
Address 2 (TA): Adres MAC punktu dostępowego, bo to on fizycznie nadaje ramkę.
Address 3 (SA): Adres MAC serwera, czyli pierwotnego nadawcy danych.
Ponownie, pole Address 4 nie jest używane.
Zauważmy, że Address 2 (TA) pełni tu również rolę BSSID.

Podstawowy klocek sieci Wi-Fi

Podstawową jednostką organizacyjną w sieci Wi-Fi jest BSS (Basic Service Set).
Jest to zbiór stacji bezprzewodowych (klientów), które komunikują się ze sobą.
W najpopularniejszym trybie, zwanym trybem infrastruktury, BSS składa się z jednego punktu dostępowego (AP) oraz wszystkich klientów z nim skojarzonych.
AP działa jako centralny koordynator, zarządzając całą komunikacją wewnątrz BSS.
Wszystkie ramki wymieniane między klientami w tym samym BSS muszą przejść przez AP.
Każdy BSS jest unikalnie identyfikowany przez swój BSSID, który w trybie infrastruktury jest po prostu adresem MAC punktu dostępowego.

Nazwa sieci a jej "numer rejestracyjny"

Często mylone pojęcia SSID i BSSID pełnią zupełnie inne role.
SSID (Service Set Identifier) to po prostu tekstowa nazwa sieci, którą widzimy na liście dostępnych sieci Wi-Fi (np. "Dom", "Kawiarnia_WiFi").
Jest to nazwa przyjazna dla człowieka.
Natomiast BSSID (Basic Service Set Identifier) to unikalny, 48-bitowy identyfikator danego BSS, który ma format adresu MAC.
W sieciach z jednym AP, BSSID jest równy adresowi MAC tego AP.
W większych sieciach, gdzie wiele punktów dostępowych rozgłasza tę samą nazwę SSID (np. na uczelni), każdy AP tworzy osobny BSS z własnym, unikalnym BSSID.
To właśnie BSSID, a nie SSID, jest używany przez urządzenia do jednoznacznej identyfikacji sieci na poziomie warstwy 2.

Budowanie dużych sieci Wi-Fi

Gdy chcemy pokryć zasięgiem większy obszar, np. cały budynek biurowy lub kampus uniwersytecki, jeden punkt dostępowy nie wystarczy.
Wtedy tworzymy ESS (Extended Service Set).
ESS to zbiór dwóch lub więcej BSS (czyli wielu punktów dostępowych), które są ze sobą połączone siecią przewodową (zwaną Systemem Dystrybucyjnym - DS) i rozgłaszają tę samą nazwę sieci (SSID).
Z perspektywy klienta, cała sieć ESS wygląda jak jedna, duża sieć.
Umożliwia to użytkownikom przemieszczanie się po całym obszarze i płynne przełączanie się między punktami dostępowymi bez utraty połączenia.
Proces ten nazywamy roamingiem.

Jak powstaje połączenie?

Zanim jakakolwiek ramka z danymi zostanie wysłana, urządzenia muszą najpierw znaleźć sieć i nawiązać połączenie.
Cały ten proces jest obsługiwany przez ramki zarządcze (Management Frames).
Są one wymieniane między klientem a punktem dostępowym w postaci jawnego tekstu i nie są szyfrowane (nawet w zabezpieczonych sieciach, z wyjątkiem najnowszych standardów).
To właśnie te ramki pozwalają na odkrywanie sieci, negocjowanie parametrów połączenia, uwierzytelnianie i kojarzenie (asocjację).
Bez nich sieć Wi-Fi po prostu by nie działała.
Przeanalizujmy najważniejsze z nich.

"Latarnia morska" sieci Wi-Fi

Ramka Beacon jest najważniejszą ramką zarządczą.
Jest ona okresowo (domyślnie 10 razy na sekundę) rozgłaszana przez punkt dostępowy, aby informować o istnieniu sieci i jej parametrach.
Działa jak latarnia morska, która mówi wszystkim w okolicy: "Tu jestem, nazywam się tak i tak, i oferuję takie usługi".
Ramka Beacon zawiera mnóstwo informacji, m.in. nazwę sieci (SSID), BSSID, obsługiwane prędkości, numer kanału, na którym działa sieć, a także informacje o wymaganych zabezpieczeniach (np. czy sieć używa WPA2/WPA3).
Dzięki ramkom Beacon nasze urządzenia mogą pasywnie skanować otoczenie i budować listę dostępnych sieci bez potrzeby aktywnego wysyłania zapytań.

Jak klient znajduje sieć?

Urządzenie klienckie może znaleźć dostępne sieci na dwa sposoby.
Pierwszy to skanowanie pasywne, które polega po prostu na nasłuchiwaniu na każdym kanale przez pewien czas w oczekiwaniu na ramki Beacon od punktów dostępowych.
Jest to metoda energooszczędna, ale wolniejsza.
Drugi sposób to skanowanie aktywne.
Klient nie czeka na Beacon, lecz sam wysyła na każdym kanale ramkę zarządczą typu Probe Request ("Czy jest tu jakaś sieć?").
Punkty dostępowe, które odbiorą to zapytanie, odpowiadają ramką Probe Response, która zawiera te same informacje, co ramka Beacon.
Skanowanie aktywne jest szybsze, ale zużywa więcej energii.

"Czy mogę z tobą rozmawiać?"

Po znalezieniu sieci, pierwszym krokiem do nawiązania połączenia jest uwierzytelnienie (authentication).
Jest to proces, w którym klient i punkt dostępowy formalnie "przedstawiają się" sobie.
Warto podkreślić, że w historycznym ujęciu standardu 802.11, ten etap nie miał nic wspólnego z podawaniem hasła!
Domyślną i powszechnie stosowaną metodą było tzw. uwierzytelnienie otwarte (Open System Authentication), które polegało na prostej wymianie dwóch ramek: klient wysyłał "Authentication Request", a AP niemal zawsze odpowiadał "Authentication Success".
Prawdziwa weryfikacja tożsamości (np. za pomocą hasła) odbywa się dopiero na późniejszych etapach, w ramach procedur bezpieczeństwa takich jak WPA2/WPA3.

"Czy mogę dołączyć do twojej sieci?"

Po pomyślnym uwierzytelnieniu następuje kluczowy proces asocjacji (association).
Klient wysyła do punktu dostępowego ramkę Association Request.
W tej ramce klient informuje AP o swoich możliwościach, np. jakie prędkości i standardy obsługuje.
Punkt dostępowy, po otrzymaniu takiej prośby, decyduje, czy przyjąć klienta.
Jeśli tak, rezerwuje dla niego zasoby (np. pamięć) i odpowiada ramką Association Response ze statusem "Success".
W odpowiedzi AP przydziela klientowi unikalny numer identyfikacyjny, zwany AID (Association ID).
Dopiero od tego momentu klient jest w pełni członkiem sieci (BSS) i może zacząć wysyłać i odbierać ramki danych.

Potwierdzenia w zawodnym medium

Medium radiowe jest z natury zawodne – ramki mogą zostać uszkodzone przez zakłócenia lub nie dotrzeć do celu z powodu przeszkód.
Dlatego, w przeciwieństwie do przewodowego Ethernetu, w Wi-Fi niemal każda wysłana ramka unicast (do jednego odbiorcy) musi zostać jawnie potwierdzona.
Do tego służą ramki kontrolne (Control Frames).
Są one bardzo krótkie i mają najwyższy priorytet w dostępie do medium.
Najważniejszą z nich jest ramka ACK (Acknowledgement).
Gdy stacja odbierze poprawną ramkę danych lub zarządczą, natychmiast odsyła nadawcy krótką ramkę ACK.
Jeśli nadawca nie otrzyma ACK w określonym czasie, zakłada, że ramka zaginęła i próbuje ją wysłać ponownie (retransmisja).

Rezerwacja czasu antenowego

Jak pamiętamy z poprzedniego wykładu, w sieciach Wi-Fi występuje problem ukrytej stacji.
Aby mu zaradzić, warstwa 2 implementuje opcjonalny mechanizm oparty na dwóch ramkach kontrolnych: RTS (Request to Send) i CTS (Clear to Send).
Stacja, która chce wysłać dużą ramkę danych, może najpierw wysłać do AP krótką ramkę RTS, "pytając o pozwolenie na nadawanie".
AP, jeśli medium jest wolne, odpowiada ramką CTS, którą rozgłasza do wszystkich w swoim zasięgu.
Wszystkie stacje, które usłyszą CTS (nawet te "ukryte" dla pierwotnego nadawcy), wiedzą, że muszą zamilknąć na czas określony w ramce, rezerwując w ten sposób kanał dla transmisji danych.

Transport właściwego ładunku

Wreszcie dochodzimy do ramek, dla których istnieje cała ta skomplikowana maszyneria – ramek danych (Data Frames).
Ich głównym zadaniem jest przenoszenie ładunku z warstw wyższych, czyli pakietów IP.
Najprostsza ramka danych po prostu zawiera pakiet i jest wysyłana do odbiorcy.
Jednak standard 802.11 definiuje wiele podtypów ramek danych, które obsługują dodatkowe funkcje.
Na przykład, istnieją specjalne ramki danych z obsługą QoS (Quality of Service), które niosą informacje o priorytecie ruchu (np. dla VoIP).
Inne podtypy służą do obsługi fragmentacji lub są używane w bardziej zaawansowanych topologiach sieciowych.

Cięcie i sklejanie dla wydajności

Warstwa MAC w Wi-Fi stosuje dwie przeciwstawne, ale równie ważne techniki optymalizacyjne.
Fragmentacja to proces dzielenia dużej ramki na mniejsze fragmenty, z których każdy jest wysyłany i potwierdzany osobno.
Robi się to w środowiskach o wysokim poziomie zakłóceń.
Prawdopodobieństwo, że mały fragment zostanie uszkodzony, jest mniejsze niż w przypadku dużej ramki.
W razie błędu trzeba retransmitować tylko mały fragment, a nie całość.
Agregacja, wprowadzona w nowszych standardach (802.11n/ac/ax), to proces odwrotny.
Polega na "sklejaniu" wielu małych ramek w jedną dużą transmisję, aby zminimalizować narzut związany z nagłówkami i procedurą dostępu do medium.

Potwierdzanie całej paczki naraz

Standardowy mechanizm potwierdzania każdej pojedynczej ramki z osobna (ramka -> ACK -> ramka -> ACK...) generuje ogromny narzut i jest nieefektywny przy wysokich prędkościach.
Dlatego standard 802.11n wprowadził mechanizm Block Acknowledgement.
Pozwala on nadawcy na wysłanie całej serii ramek (tzw. "burst") jedna po drugiej, z krótkimi przerwami.
Odbiorca, zamiast potwierdzać każdą ramkę z osobna, po odebraniu całej serii odsyła jedną ramkę kontrolną – Block Ack – która zawiera mapę bitową informującą, które ramki z serii dotarły poprawnie, a które nie.
Dzięki temu nadawca musi retransmitować tylko te brakujące.
To kluczowa optymalizacja dla nowoczesnego, szybkiego Wi-Fi.

Jak urządzenia mobilne oszczędzają baterię?

Urządzenia zasilane bateryjnie nie mogą sobie pozwolić na ciągłe nasłuchiwanie medium radiowego.
Warstwa MAC standardu 802.11 definiuje mechanizm Power Save Mode.
Klient, który chce przejść w tryb uśpienia, informuje o tym punkt dostępowy, ustawiając flagę "Power Mgt" w polu Frame Control.
Od tego momentu AP wie, że nie może wysyłać do tego klienta ramek w dowolnym momencie.
Zamiast tego buforuje je.
Klient okresowo wybudza się, aby nasłuchać ramek Beacon.
W ramce Beacon znajduje się specjalna mapa (TIM - Traffic Indication Map), która informuje uśpionych klientów, czy AP ma dla nich zbuforowane dane.
Jeśli tak, klient wybudza się całkowicie, aby je odebrać.

Ochrona otwartego medium

Ponieważ medium radiowe jest z natury otwarte dla wszystkich w zasięgu, zabezpieczenie komunikacji na poziomie warstwy 2 jest absolutnie kluczowe.
Bez tego każdy mógłby nie tylko podsłuchać całą naszą transmisję, ale również podłączyć się do naszej sieci i uzyskać dostęp do lokalnych zasobów.
Historia bezpieczeństwa Wi-Fi to historia ciągłego wyścigu zbrojeń między twórcami standardów a hakerami.
Zaczęło się od fatalnie zaprojektowanego standardu WEP, który dziś można złamać w kilka minut, a doszliśmy do silnego standardu WPA3, który oferuje solidną ochronę.
Wszystkie te mechanizmy działają w podwarstwie MAC.

Jak nie projektować bezpieczeństwa

Standard WEP (Wired Equivalent Privacy) był pierwszą próbą zabezpieczenia sieci Wi-Fi.
Jego celem było zapewnienie prywatności "równoważnej z siecią przewodową".
Niestety, jego projekt zawierał fundamentalne błędy kryptograficzne.
Używał on słabego, statycznego klucza oraz wadliwego algorytmu szyfrowania strumieniowego RC4.
Błędy te pozwalały na pasywne zbieranie ramek i, po przeanalizowaniu odpowiedniej ich liczby, odtworzenie klucza sieciowego w ciągu zaledwie kilku minut przy użyciu łatwo dostępnych narzędzi.
WEP jest dziś uważany za całkowicie złamany i jego używanie jest równoznaczne z posiadaniem otwartej, niezabezpieczonej sieci.

Nowe, lepsze standardy

W odpowiedzi na słabości WEP, opracowano standard WPA (Wi-Fi Protected Access).
Był on pomyślany jako tymczasowe rozwiązanie, które można było wdrożyć na istniejącym sprzęcie poprzez aktualizację oprogramowania.
Wprowadził on protokół TKIP (Temporal Key Integrity Protocol), który dynamicznie zmieniał klucze dla każdej ramki, łatając największe dziury WEP.
Krótko po nim pojawił się finalny, silny standard WPA2.
Wymagał on już nowego sprzętu, ponieważ wprowadzał znacznie bezpieczniejszy i bardziej wymagający obliczeniowo protokół CCMP, oparty na uznanym algorytmie szyfrowania AES (Advanced Encryption Standard).
WPA2 przez ponad dekadę był złotym standardem bezpieczeństwa w sieciach Wi-Fi.

Hasło dla wszystkich czy indywidualne loginy?

Zarówno WPA, jak i WPA2 działają w dwóch trybach.
Tryb Personal, znany też jako WPA-PSK (Pre-Shared Key), jest przeznaczony dla domów i małych biur.
Cała sieć jest zabezpieczona jednym, wspólnym hasłem, które znają wszyscy użytkownicy.
Jest to rozwiązanie proste w konfiguracji.
Tryb Enterprise, znany też jako WPA-802.1X, jest przeznaczony dla dużych organizacji.
Nie ma tu jednego wspólnego hasła.
Każdy użytkownik uwierzytelnia się za pomocą swoich indywidualnych poświadczeń (np. loginu i hasła lub certyfikatu), które są weryfikowane przez centralny serwer uwierzytelniający (RADIUS).
Daje to znacznie większą kontrolę i bezpieczeństwo.

Generowanie kluczy do szyfrowania

Jak z jednego hasła (PSK) tworzone są klucze do szyfrowania każdej sesji?
Służy do tego proces zwany 4-Way Handshake, który odbywa się zaraz po asocjacji klienta.
Jest to wymiana czterech specjalnych ramek między klientem a punktem dostępowym.
W trakcie tego "uścisku dłoni", obie strony, używając hasła sieciowego (PSK) oraz losowo wygenerowanych liczb, niezależnie od siebie dochodzą do tego samego klucza sesji (PTK - Pairwise Transient Key).
Ten klucz jest unikalny dla każdej sesji i każdego klienta i to właśnie on jest używany do szyfrowania wszystkich danych przesyłanych między tym klientem a AP.
Dzięki temu, nawet jeśli dwie osoby znają hasło do sieci, ich transmisje są szyfrowane innymi kluczami.

Odpowiedź na współczesne zagrożenia

Standard WPA3, wprowadzony w 2018 roku, stanowi najważniejszą aktualizację bezpieczeństwa Wi-Fi od czasów WPA2.
W trybie Personal zastępuje on PSK nowym protokołem SAE (Simultaneous Authentication of Equals), znanym też jako Dragonfly.
SAE jest znacznie bardziej odporny na ataki słownikowe (offline dictionary attacks), które były główną słabością WPA2-PSK.
Nawet jeśli atakujący przechwyci proces "uścisku dłoni", nie jest w stanie odgadnąć hasła, próbując miliony kombinacji offline.
WPA3 wprowadza również inne ulepszenia, w tym silniejsze szyfrowanie dla sieci korporacyjnych oraz łatwiejsze i bezpieczniejsze konfigurowanie urządzeń bez wyświetlaczy (IoT).

Bezpieczeństwo w otwartych sieciach Wi-Fi

Jednym z największych zagrożeń zawsze były otwarte, niezabezpieczone sieci Wi-Fi, np. w kawiarniach czy na lotniskach.
Każdy w zasięgu mógł podsłuchać transmisję innych użytkowników.
WPA3 wprowadza rozwiązanie tego problemu, zwane Enhanced Open lub OWE (Opportunistic Wireless Encryption).
Z perspektywy użytkownika sieć nadal wygląda na otwartą – nie wymaga podawania hasła.
Jednak w tle, w sposób niewidoczny, klient i punkt dostępowy używają specjalnego mechanizmu (opartego na kryptografii krzywych eliptycznych), aby wynegocjować unikalny klucz i zaszyfrować całą komunikację między sobą.
Zapewnia to prywatność i chroni przed pasywnym podsłuchiwaniem, nawet w publicznych hotspotach.

Iluzja bezpieczeństwa

Jedną z często spotykanych, lecz w dużej mierze nieskutecznych, metod "zabezpieczania" sieci jest filtrowanie adresów MAC.
Polega ono na stworzeniu na punkcie dostępowym "białej listy" adresów MAC, którym wolno połączyć się z siecią.
Wszystkie inne urządzenia są blokowane.
Choć na pierwszy rzut oka wydaje się to rozsądne, w praktyce jest to bardzo słabe zabezpieczenie.
Adresy MAC są przesyłane w ramkach zarządczych w postaci jawnego tekstu.
Atakujący może łatwo nasłuchać ruchu, przechwycić adres MAC uprawnionego klienta, a następnie "sklonować" go (tzw. MAC spoofing) i bez problemu połączyć się z siecią.
Filtrowanie MAC może powstrzymać przypadkowego użytkownika, ale nie stanowi żadnej przeszkody dla zdeterminowanego intruza.

Kolejna iluzja bezpieczeństwa

Inną popularną, lecz również nieskuteczną metodą jest ukrywanie SSID.
Polega to na skonfigurowaniu punktu dostępowego tak, aby nie rozgłaszał nazwy sieci w ramkach Beacon.
Sieć staje się "niewidoczna" na standardowej liście dostępnych sieci.
Jednak, podobnie jak filtrowanie MAC, nie jest to prawdziwe zabezpieczenie.
Nazwa SSID wciąż jest przesyłana jawnym tekstem w innych ramkach zarządczych, np. w Probe Request od klientów próbujących połączyć się z ukrytą siecią oraz w Probe Response od AP.
Atakujący może pasywnie nasłuchiwać i bardzo szybko odkryć nazwę "ukrytej" sieci.
Co więcej, zmusza to urządzenia klienckie do ciągłego, aktywnego rozgłaszania nazw ukrytych sieci, z którymi kiedykolwiek się łączyły, co samo w sobie stanowi ryzyko dla prywatności.

Paraliżowanie sieci w warstwie 2

Jednym z najprostszych i najbardziej dotkliwych ataków na sieci Wi-Fi jest atak deautentykacyjny (deauthentication attack).
Wykorzystuje on fakt, że ramki zarządcze (w tym ramka Deauthentication) nie są w starszych standardach uwierzytelniane.
Atakujący może wysłać sfałszowaną ramkę Deauthentication do klienta, podszywając się pod punkt dostępowy (lub do AP, podszywając się pod klienta).
Urządzenie, które otrzyma taką ramkę, jest przekonane, że druga strona zerwała połączenie, i natychmiast się rozłącza.
Atakujący, wysyłając takie ramki w pętli, może permanentnie uniemożliwić klientom korzystanie z sieci.
Jest to bardzo skuteczny atak typu DoS (Denial of Service) na warstwę 2.
Standard WPA3 wprowadza ochronę przed tym atakiem.

Łączenie dwóch światów

Z perspektywy modelu OSI, punkt dostępowy (AP) działa jak zaawansowany most (bridge) warstwy 2.
Jego podstawowym zadaniem jest inteligentne przekazywanie ramek między dwoma różnymi mediami: bezprzewodowym (802.11) a przewodowym (802.3 Ethernet).
Gdy AP odbiera ramkę radiową od klienta, "rozpakowuje" ją z nagłówka 802.11, analizuje docelowy adres MAC, a następnie "przepakowuje" dane w ramkę ethernetową 802.3 i wysyła ją do sieci przewodowej.
Proces odwrotny zachodzi w drugą stronę.
AP utrzymuje tablicę adresów MAC, ucząc się, które klienci są z nim skojarzeni, aby wiedzieć, które ramki z sieci przewodowej przekazać do świata bezprzewodowego.

Wiele sieci z jednego pudełka

Nowoczesne punkty dostępowe potrafią tworzyć tzw. wirtualne AP, co jest realizowane przez funkcję Multiple BSSID.
Pozwala to jednemu fizycznemu urządzeniu na rozgłaszanie wielu niezależnych sieci Wi-Fi (SSID) jednocześnie.
Każda z tych wirtualnych sieci ma swój unikalny BSSID (zwykle tworzony przez zmianę kilku bitów w głównym adresie MAC AP) i może mieć zupełnie inne ustawienia, np. inną nazwę, inne zabezpieczenia (jedna sieć otwarta, druga z WPA3) czy przypisanie do innej sieci VLAN.
Z perspektywy klienta, każda z tych sieci wygląda jak osobny, niezależny punkt dostępowy.
Jest to niezwykle użyteczna funkcja do logicznego segmentowania użytkowników.

Segmentacja logiczna w sieci bezprzewodowej

Wirtualne sieci lokalne (VLAN) to mechanizm warstwy 2, który pozwala na podzielenie jednej fizycznej sieci na wiele logicznie odizolowanych podsieci.
W kontekście Wi-Fi, VLAN-y są nierozerwalnie związane z funkcją Multiple BSSID.
Najczęstszy scenariusz to przypisanie każdego wirtualnego SSID do innego numeru VLAN.
Gdy klient połączy się z SSID "Goscie" (przypisanym do VLAN 20), punkt dostępowy, przekazując jego ramki do sieci przewodowej, "otaguje" je znacznikiem 802.1Q z numerem VLAN 20.
Dzięki temu przełączniki w sieci przewodowej wiedzą, że ruch od tego klienta należy tylko do segmentu dla gości i jest odizolowany od wewnętrznej sieci firmowej (np. VLAN 10).

Płynne przechodzenie między AP

Roaming to proces, w którym klient Wi-Fi, przemieszczając się, przełącza się z jednego punktu dostępowego (BSS) do drugiego w ramach tej samej sieci (ESS).
Decyzja o roamingu, jak pamiętamy, jest podejmowana na podstawie metryk z warstwy 1 (spadek RSSI).
Jednak sam proces przełączenia to operacja czysto w warstwie 2.
Klient, po znalezieniu silniejszego AP, wysyła do niego ramkę Reassociation Request (zamiast zwykłej Association Request).
Nowy AP komunikuje się ze starym AP poprzez sieć przewodową, aby poinformować go o "przejęciu" klienta i pobrać ewentualne zbuforowane dla niego dane.
Celem jest, aby cały proces odbył się tak szybko i płynnie, aby użytkownik nie zauważył przerwy w łączności.

Usprawnianie roamingu

Standardowy proces roamingu może czasem trwać zbyt długo, powodując przerwy w aplikacjach wrażliwych na opóźnienia, jak rozmowy VoIP.
Aby temu zaradzić, wprowadzono zestaw poprawek do standardu 802.11, znanych jako 802.11k, 802.11r i 802.11v.
802.11k (Radio Resource Measurement): AP dostarcza klientowi listę sąsiednich AP i ich kanałów, dzięki czemu klient nie musi skanować wszystkich kanałów w poszukiwaniu kandydatów do roamingu.
802.11r (Fast BSS Transition): Upraszcza i przyspiesza proces uwierzytelniania z nowym AP, przechowując klucze w pamięci podręcznej.
802.11v (Wireless Network Management): Pozwala sieci "sugerować" klientowi, kiedy i do którego AP powinien się przełączyć, co umożliwia lepsze równoważenie obciążenia.

Priorytety w warstwie 2

Aby zapewnić jakość usług (QoS - Quality of Service) dla różnych typów ruchu, standard 802.11e wprowadził rozszerzenie WMM (Wi-Fi Multimedia).
Działa ono w warstwie MAC i dzieli ruch na cztery kategorie dostępu (Access Categories - AC).
Każda kategoria ma inne parametry dostępu do medium (CSMA/CA), co daje jej inny priorytet.
Ramki głosowe (AC_VO) mają najwyższy priorytet – używają krótszych przerw międzyramkowych i mniejszych okien rywalizacji, dzięki czemu mają większą szansę na szybsze uzyskanie dostępu do kanału niż ramki z danymi w tle (AC_BK).
To właśnie WMM sprawia, że rozmowy VoIP przez Wi-Fi działają płynnie nawet przy obciążonej sieci.

Koniec z atakami Deauth

Jedną z największych historycznych słabości Wi-Fi był brak ochrony ramek zarządczych, co umożliwiało m.in. ataki deautentykacyjne.
Poprawka do standardu 802.11w, znana jako Management Frame Protection (MFP) lub Protected Management Frames (PMF), rozwiązuje ten problem.
Wprowadza ona mechanizm, który kryptograficznie zabezpiecza najważniejsze ramki zarządcze (takie jak Disassociation i Deauthentication) po nawiązaniu bezpiecznego połączenia.
Dzięki temu klient lub AP może zweryfikować, czy otrzymana ramka deautentykacyjna faktycznie pochodzi od prawowitego nadawcy, a nie od podszywającego się atakującego.
Ochrona PMF jest obowiązkowa w standardzie WPA3.

Wszyscy w jednej domenie

Warto wrócić do pojęcia domeny kolizyjnej i porównać sieć Wi-Fi z nowoczesnym, przewodowym Ethernetem.
W sieci przewodowej opartej na przełącznikach (switchach), każdy port stanowi osobną, małą domenę kolizyjną.
Dzięki trybowi full-duplex, kolizje na tych portach w praktyce nie występują.
W sieci Wi-Fi jest zupełnie inaczej.
Wszystkie urządzenia skojarzone z jednym punktem dostępowym na danym kanale (czyli cały BSS) znajdują się w jednej, dużej domenie kolizyjnej.
Muszą one współdzielić medium i "walczyć" o czas antenowy za pomocą protokołu CSMA/CA.
To fundamentalna różnica, która tłumaczy, dlaczego przepustowość sieci Wi-Fi jest często niższa niż jej teoretyczne maksimum.

Zapobieganie pętlom w warstwie 2

Protokół Spanning Tree (STP) to mechanizm używany w sieciach przewodowych do zapobiegania pętlom w warstwie 2, które mogłyby prowadzić do burz broadcastowych i paraliżu sieci.
Czy STP jest potrzebny w części bezprzewodowej?
Zasadniczo nie, ponieważ topologia między klientami a AP jest zawsze topologią gwiazdy, w której pętle nie mogą powstać.
Jednak STP odgrywa kluczową rolę w sieci szkieletowej (Systemie Dystrybucyjnym), do której podłączone są punkty dostępowe.
Jeśli AP są podłączone do przełączników w sposób redundantny (tworząc fizyczne pętle dla niezawodności), to właśnie STP na tych przełącznikach musi zablokować odpowiednie porty, aby zapobiec pętlom, jednocześnie pozwalając na komunikację bezprzewodową.

Komunikacja bez pośredników

Oprócz trybu infrastruktury, standard 802.11 definiuje również tryb Ad-Hoc, czyli IBSS (Independent Basic Service Set).
Jest to sieć typu peer-to-peer, w której nie ma centralnego punktu dostępowego.
Wszystkie urządzenia w sieci IBSS komunikują się bezpośrednio ze sobą.
Pierwsze urządzenie, które uruchamia sieć, zaczyna rozgłaszać ramki Beacon, a kolejne dołączają, synchronizując się z nim.
W sieci Ad-Hoc nie ma mostu do sieci przewodowej, a wszystkie stacje muszą same zarządzać dostępem do medium i synchronizacją.
Jest to tryb rzadko dziś używany, wyparty w dużej mierze przez bardziej zaawansowany standard Wi-Fi Direct.

Nowoczesny Ad-Hoc

Wi-Fi Direct to znacznie nowocześniejszy standard komunikacji peer-to-peer, który łączy prostotę sieci Ad-Hoc z zaawansowanymi funkcjami (takimi jak bezpieczeństwo WPA2) trybu infrastruktury.
W sieci Wi-Fi Direct urządzenia negocjują między sobą, które z nich przyjmie rolę "właściciela grupy" (Group Owner - GO), działającego jak tymczasowy, programowy punkt dostępowy.
Pozostałe urządzenia dołączają do GO tak, jakby łączyły się ze zwykłym AP.
Umożliwia to łatwe i bezpieczne tworzenie tymczasowych sieci do takich zadań, jak drukowanie, przesyłanie plików czy przesyłanie strumieniowe wideo (Miracast) bezpośrednio między urządzeniami, bez potrzeby korzystania z zewnętrznego routera.

Inteligentny routing ramek

Domowe systemy Wi-Fi Mesh to przykład zaawansowanego działania warstwy 2.
Składają się one z routera głównego i kilku satelitów (węzłów), które tworzą jedną, spójną sieć (ESS).
Kluczową rolę odgrywa tu komunikacja szkieletowa (backhaul) między węzłami.
Wiele systemów Mesh używa dedykowanego pasma radiowego do tej komunikacji.
Na poziomie warstwy 2, węzły te działają jak inteligentne, bezprzewodowe mosty.
Używają one specjalnych protokołów (często bazujących na standardzie 802.11s) do dynamicznego znajdowania najlepszej ścieżki dla ramek.
Jeśli bezpośrednia droga między satelitą a routerem jest słaba, ramka może zostać przekazana przez inny, pośredniczący satelita, który ma lepsze połączenie.

Złowrogi bliźniak Twojej sieci

Jeden z najgroźniejszych ataków wykorzystujących mechanizmy warstwy 2 to "Evil Twin".
Atakujący tworzy fałszywy punkt dostępowy, który rozgłasza dokładnie taką samą nazwę SSID (a czasem nawet klonuje adres BSSID) jak legalna sieć w pobliżu (np. sieć kawiarni).
Następnie, używając silniejszego sygnału lub przeprowadzając atak deautentykacyjny na legalny AP, skłania użytkowników do połączenia się z jego fałszywą siecią.
Od tego momentu cały ruch internetowy ofiary przechodzi przez komputer atakującego, co pozwala mu na podsłuchiwanie haseł, danych bankowych i innych wrażliwych informacji (atak Man-in-the-Middle).
Dlatego tak ważne jest unikanie łączenia się z nieznanymi sieciami i używanie VPN.

Wykrywanie nieautoryzowanych punktów dostępowych

W środowiskach korporacyjnych dużym zagrożeniem są tzw. Rogue AP, czyli nieautoryzowane punkty dostępowe podłączone do sieci firmowej (np. przez pracownika, który przyniósł własny router).
Taki AP tworzy "dziurę" w zabezpieczeniach sieci.
Profesjonalne systemy WLAN posiadają mechanizmy WIPS (Wireless Intrusion Prevention System), które potrafią wykrywać takie zagrożenia.
Legalne AP okresowo skanują otoczenie w poszukiwaniu innych sieci.
Jeśli wykryją AP, którego nie znają, a który jest podłączony do tej samej sieci przewodowej (co można sprawdzić, wysyłając specjalne ramki przez kabel), mogą podnieść alarm, a nawet aktywnie próbować zneutralizować intruza, wysyłając do jego klientów ramki deautentykacyjne.

Przewidywanie zajętości kanału

Wracając do CSMA/CA, warto przyjrzeć się bliżej mechanizmowi wirtualnego nasłuchiwania.
Każda ramka (poza ACK) zawiera pole Duration/ID.
Gdy stacja nadaje ramkę (np. RTS lub ramkę danych), wpisuje w to pole czas (w mikrosekundach), jaki będzie potrzebny na dokończenie całej transakcji (np. na przesłanie danych i odebranie ACK).
Każda inna stacja, która usłyszy tę ramkę, odczytuje wartość z pola Duration i ustawia swój wewnętrzny licznik, zwany NAV (Network Allocation Vector).
Stacja nie będzie próbowała uzyskać dostępu do medium, dopóki jej licznik NAV nie osiągnie zera.
To znacznie bardziej efektywne niż ciągłe, fizyczne nasłuchiwanie kanału.

Rytm komunikacji Wi-Fi

Aby zapewnić uporządkowany dostęp do medium i umożliwić działanie priorytetów (WMM), standard 802.11 definiuje zestaw precyzyjnie określonych przerw międzyramkowych.
Po zakończeniu każdej transmisji, wszystkie stacje muszą odczekać pewien czas, zanim zaczną rywalizację o kanał.
Długość tej przerwy zależy od kontekstu.
Najkrótsza jest SIFS (Short Interframe Space), używana przed wysłaniem ramki o najwyższym priorytecie, jak ACK.
Dłuższa jest DIFS (DCF Interframe Space), którą stacja musi odczekać, zanim zacznie wysyłać nowe dane.
Różne długości przerw tworzą "rytm", który pozwala na wplecenie krytycznych ramek (jak potwierdzenia) między zwykłe transmisje danych.

Losowe oczekiwanie w celu uniknięcia kolizji

Gdy stacja odczeka przerwę DIFS i stwierdzi, że kanał jest wolny, nie zaczyna nadawać od razu.
Aby zminimalizować ryzyko, że dwie stacje zaczną nadawać w tym samym momencie, każda z nich uruchamia dodatkowy, losowy licznik czasu, zwany procedurą backoff.
Stacja losuje liczbę z przedziału zwanego oknem rywalizacji (Contention Window - CW) i odlicza ten czas w dół.
Dopiero gdy licznik dojdzie do zera, stacja może zacząć nadawać.
Jeśli w trakcie odliczania usłyszy transmisję innej stacji, "zamraża" swój licznik i wznawia odliczanie po kolejnej przerwie DIFS.
W przypadku kolizji, okno rywalizacji jest podwajane, co zwiększa losowość i zmniejsza szansę na kolejną kolizję.

Ruch wewnątrz sieci vs. ruch na zewnątrz

Ważne jest, aby rozróżnić rolę punktu dostępowego (i przełącznika) od roli routera.
AP i switche to urządzenia warstwy 2.
Podejmują decyzje o przekazywaniu ramek na podstawie adresów MAC i działają w obrębie jednej sieci lokalnej.
Ich celem jest dostarczenie ramki do odpowiedniego portu lub klienta w tej samej podsieci.
Router to urządzenie warstwy 3.
Jego zadaniem jest przekazywanie pakietów między różnymi sieciami (np. między naszą siecią domową a internetem).
Router podejmuje decyzje na podstawie adresów IP, a nie adresów MAC.
Kiedy wysyłamy dane do serwera Google, AP (jako most) dostarcza naszą ramkę do routera, a dopiero router wysyła ją dalej w świat.

Ograniczenia wielkości "paczki"

Warstwa łącza danych narzuca maksymalny rozmiar ładunku, jaki może przenieść pojedyncza ramka.
Wartość ta jest znana jako MTU (Maximum Transmission Unit).
Dla standardu 802.11 maksymalny rozmiar ciała ramki to 2304 bajty.
Warstwa sieciowa (IP) również ma swoje MTU, które dla Ethernetu wynosi standardowo 1500 bajtów.
Jeśli warstwa IP chce wysłać pakiet większy niż MTU warstwy 2, musi go podzielić na mniejsze fragmenty.
Zwykle jednak MTU w całym torze komunikacji jest uzgadniane na najniższą wspólną wartość (1500 bajtów), aby unikać fragmentacji na poziomie IP, która jest nieefektywna.

Czy większe ramki mają sens w radiu?

W sieciach przewodowych Gigabit Ethernet popularne stały się tzw. "Jumbo Frames", czyli ramki o MTU zwiększonym do 9000 bajtów.
Pozwala to na zmniejszenie narzutu nagłówków i obciążenia procesorów przy przesyłaniu dużych ilości danych.
Czy ma to sens w Wi-Fi? Generalnie nie. Standard 802.11 nie obsługuje natywnie ramek jumbo.
Co ważniejsze, w zawodnym medium radiowym wysłanie tak dużej ramki jest bardzo ryzykowne.
Prawdopodobieństwo jej uszkodzenia przez chwilowe zakłócenie jest znacznie wyższe, a koszt retransmisji całej, ogromnej ramki byłby ogromny.
Zamiast tego, w Wi-Fi stawia się na mechanizmy agregacji (A-MPDU), które pozwalają na wydajną transmisję dużej ilości danych, ale z zachowaniem podziału na mniejsze, oddzielnie potwierdzane bloki.

Zorganizowany chaos

Warstwa łącza danych w sieciach Wi-Fi to niezwykle złożony i fascynujący mechanizm.
Przekształca ona zawodny, współdzielony kanał radiowy w uporządkowaną autostradę dla danych.
Jej podwarstwa MAC zarządza wszystkim: od identyfikacji urządzeń za pomocą adresów MAC, przez organizację sieci w struktury BSS i ESS, po skomplikowany taniec ramek zarządczych, kontrolnych i danych, które razem tworzą i podtrzymują połączenie.
Mechanizmy takie jak CSMA/CA, potwierdzenia ACK, tryb oszczędzania energii oraz zaawansowane protokoły bezpieczeństwa jak WPA3, to wszystko dzieje się właśnie tutaj.
Zrozumienie warstwy 2 jest kluczem do zrozumienia, jak naprawdę działa Wi-Fi.

Najważniejsze pojęcia z dzisiejszego wykładu:

Podwarstwy LLC i MAC: Dzielą zadania warstwy 2; MAC jest kluczowa dla Wi-Fi.
Ramka 802.11: Znacznie bardziej złożona niż ramka Ethernet, z wieloma polami kontrolnymi i aż 4 polami adresowymi.
Trzy typy ramek: Zarządcze (tworzenie połączeń), Kontrolne (potwierdzenia) i Danych (przenoszenie ładunku).
SSID vs BSSID: Nazwa sieci (dla ludzi) vs. unikalny identyfikator sieci (dla maszyn).
Proces połączenia: Skanowanie (aktywne/pasywne), Uwierzytelnienie (formalność) i Asocjacja (dołączenie do sieci).
Bezpieczeństwo: Ewolucja od złamanego WEP, przez WPA/WPA2, aż po nowoczesny i bezpieczny standard WPA3.
Rola AP: Działa jako most warstwy 2, "tłumacząc" ramki między światem bezprzewodowym a przewodowym.

Dziękuję Państwu za uwagę.
Na następnym wykładzie wejdziemy do warstwy trzeciej, aby zobaczyć, jak adresy IP i routing pozwalają na komunikację między różnymi sieciami i tworzą globalny Internet.