Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

GoeMobile als Basistechnologie für die NBU

Ähnliche Präsentationen


Präsentation zum Thema: "GoeMobile als Basistechnologie für die NBU"—  Präsentation transkript:

1 GoeMobile als Basistechnologie für die NBU
3/2003, Andreas Ißleiber Göttinger FunkLAN „GoeMobile“ im Überblick Weitere Dienste im FunkLAN, VoIP Sicherheit im FunkLAN Die Gefahren Moderne Sicherheitsmechanismen im WLAN Bausteine des Sicherheitsmodells im GoeMobile Praxisnahe Probleme beim WLAN-Einsatz GoeMobile im Kontext „NBU“ Fazit ... Ausblick ... Erweiterungen ...

2 Göttinger FunkLAN „GoeMobile“ im Überblick
Zahlen und Statistiken Erste Inbetriebnahme (Testbetrieb) 11/2000 Ca reale Benutzer, mögliche! Benutzer Benutzergruppen des GoeMobile Anteil [%] - Universitätsangehörige % - Studierende % - Max-Planck-Institute % - lokale Forschungseinrichtungen (DPZ, IWF) 2% - Gäste bei Tagungen über „Kurzzeitaccounts“ 1% Gleichzeitig im FunkLAN angemeldete Benutzer: 180, Stand 2/2003

3 „GoeMobile“ im Überblick
Eingesetzte Geräte AccessPoints von Lucent/Orinoco (mittlerweile AGERE) Seit 11/2002 sind zusätzlich moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme) - Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr! Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht. Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit. Funkkarten Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen Anreiz schaffen zum Eigenerwerb von Funk-Karten Ein „Funk-Laden“ hat in Göttingen eröffnet, der die Benutzer lokal mit Geräten versorgt

4 FunkBox der GWDG Wetterbeständig Anschluss von bis zu 4 Antennen
Integrierter 4 Port Switch LWL-Konverter Blitzschutz

5 Einige Standorte in GoeMobile
Ziel: Hohe Funkabdeckung in Göttingen wird erreicht durch exponierte Gebäude und Kooperationen wie z.B. Stadt Rathaus

6 „GoeMobile“ in der Praxis
Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s. Statistiken werden auch für die Benutzer zugänglich via WEB zur Verfügung gestellt

7 Weitere Dienste im FunkLAN
Digitalisierte Sprache sind „Daten“! GWDG setzt Voice over IP im WLAN ein (ausschließlich für interne Nutzung) (VoIP-Handy auf b-Basis) Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen: wozu DECT? Die Mittel aus Telefonetat für das Datennetz nutzen !

8 Engagment unserer Benutzer im GoeMobile
Die Erreichbarkeit hängst stark von den verwendeten Antennen ab Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“ Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung

9 Sicherheit im FunkLAN

10 Sicherheit im Funklan (die Gefahren)
3/2003, Andreas Ißleiber Sicherheit im Funklan (die Gefahren) Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netzen( vgl. Switches) Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern auch der direkte Netzverkehr zwischen zwei Stationen Zugang, teilweise weit über Gebäudegrenzen hinweg. Die Reichweite ist oft schwer einzuschätzen und variabel ! Ausspähen von WLANs mit fertigen Tools ist ein „Kindenspiel“ (war drivers) FunkLAN Managementprogramme via SNMP sind weitere Angriffspunkte

11 Überblick über diverse Sicherheitsmechanismen im WLAN
3/2003, Andreas Ißleiber Überblick über diverse Sicherheitsmechanismen im WLAN Klassische Sicherheitsmechanismen WEB, WEB+ MAC-Adressen Authentifikation SSID VPN mit: - PPTP - MS-PPTP - IPSec EAP-TLS & TTLS (Extensible Authentication Protocol - Transport Layer Security) PEAP (Protected EAP) LEAP (Lightweight EAP) Moderne Sicherheitsmechanismen als Alternativen zum VPN

12 Moderne Sicherheitsmechanismen im WLAN
3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen im WLAN EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security) + Basiert auf existierendem 802.1x (portbasierte Authentifizierung) + Vielversprechender Ansatz, da anbieterunabhängig - Integration in bestehende Umgebungen etwas komplex +/- WLAN Systeme und Authentifizierungssysteme (RADIUS-Server) müssen EAP/-TLS fähig sein - Ältere Betriebssysteme beherrschen kein EAP-TLS (Windows XP und W2K zum Teil schon) + Wird in Kürze von der GWDG als Alternative parallel! zum VPN eingesetzt + Hohe Performance gegenüber IPSec (dyn. WEP-Verschlüsselung)

13 Moderne Sicherheitsmechanismen im WLAN
3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen im WLAN PEAP (Protected EAP) + PEAP wurde von Microsoft, Cisco und RSA Security entwickelt + In einigen MS-Betriebssystemem enthalten + Kann als „Container“ für diverse Verschlüsselungsprotokolle dienen LEAP (Lightweight EAP) +/- LEAP wurde von Cisco entwickelt + In Verbindung mit CISCO-APs und AAA von CISCO sinnvolles Verfahren - Starke Abhängigkeit zum Hersteller Vergleicht man alle modernen Verfahren, so kann es (noch) keine klare Präferenz geben

14 Bausteine des Sicherheitsmodells im GoeMobile
3/2003, Andreas Ißleiber Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) MAC-Address Filterung bereits bei den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz von VPN Gateways (IPSec/3DES) Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen zentrale RADIUS-Server Benutzeraccounting über RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären, existierenden Benutzeraccounts für die Authentifizierung Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten. (profile) Closed User Group SSID nicht unmittelbar für „alle“ sichtbar

15 Beteiligte Systeme im GoeMobile
3/2003, Andreas Ißleiber Beteiligte Systeme im GoeMobile 2 redundante RADIUS-Server Pentium III (500 MHz, 512Mb RAM), SuSE Linux 8.1 Benutzerautentifikation (noch) gegen NIS-Server hochverfügbares VPN-Gateway Cisco VPN 3060 Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzer-Authentifizierung gegen RADIUS Wave02 (Web- und Datenbankserver) Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1 Webinterface und Datenbank für Benutzerprofile Failover für wave03 Wave03 Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1 DHCP, DNS, Gateway für Nicht-IPSec-Clients

16 Übersicht „GoeMobile“
3/2003, Andreas Ißleiber Übersicht „GoeMobile“ Ethernet VLAN Funkverbindung Router Internet wave03 Webinterface und Datenbank Richtfunkstrecke IPSec radius1, radius2 wave02 MAC- und Benutzer- autentifikation DHCP, DNS non-IPSec-Gateway VPN-Gateway Router/NAT IPSec

17 Praxisnahe Probleme beim WLAN-Einsatz
3/2003, Andreas Ißleiber Praxisnahe Probleme beim WLAN-Einsatz Benutzer erwarten gleichbleibende Funkqualität Lösungen: - Einrichten, Forcieren von „Selbsthilfegruppen“ via Newslisten, Mailinglisten, Diskussionsforen, Infos über Web. - Verfahren der qualitativen Rückmeldung der Funkqualität der Benutzer mit zentraler (Ergebnis)Datenhaltung - Hotline einrichten (Zeiten beschränken und bekannt geben) „Misbrauch“ des FunkLAN (Überbeanspruchung, Tauschbörsen) Lösungen: - TopTen Benutzer ermitteln - Accounten, Limits setzen, Benutzerordnung (juristisch) - Am Funk-Bedarf orientieren und entsprechend ausbauen oder reduzieren - Sperren einiger „Ports“ Elektrosmog Diskussion Lösungen: - Einbeziehen unabhängiger Fachleute (Beispiel bei der GWDG: Die UNI Kassel (FB: HF-Messtechnik erstellt Gutachten für das GoeMobile in Göttingen)

18 GoeMobile im Kontext „NBU“
3/2003, Andreas Ißleiber GoeMobile im Kontext „NBU“ NBU stützt sich wesentlich auf eine WLAN Infrastruktur Ziele: Ausbau der „HotSpots“ Erweiterung der Hörsäle durch FunkLAN (Multimediahörsaal) Einfachen Zugang zum Netz gewähren unter Beibehaltung der Sicherheit Besondere Anforderungen im Hörsaal: - Hohe Dichte an Nutzern - Hohe Bandbreite -> „Video Streaming“, „Multicast“ - einfacher Zugang zum Netz - Absicherung der Rechner untereinander - Netzzugänge einschränken (keine Tauschbörsen im Hörsaal)

19 Fazit ... Ausblick ... Erweiterungen ...
GoeMobile ist in kürzester Zeit zu einem entscheidenen Zugangsweg ins Göttinger-Netz geworden Es konnten die teilweise hohen Erwartungen der Benutzer nicht überall und vollständig befriedigt werden (Stabilität, Erreichbarkeit) - WLAN erfordert viel Systemkenntnisse bei Betreiber und! beim Benutzer In Göttingen wurde „parallel“ mit dem Aufbau von MBit/s Systemen begonnen -> NBU Diverse Standards erschweren die Entscheidung für die Zukunft des WLAN 802.11a 54-MBit-Funknetz im 5-GHz-Band 802.11b 11-MBit-Funknetz im 2,4-GHz-Band 802.11e MAC Erweiterung für QoS 802.11b-cor Soll Probleme bei der MIB beheben. 802.11f Definition eines Interoperabilität zwischen APs unterschiedlicher Hersteller 802.11g Erhöhung der Geschwindigkeit auf > 20 MBit/s 802.11i Verbesserung von Verschlüsselung und Authentisierung

20 Vielen Dank! Mehr zum Thema FunkLAN ... http://www.goemobile.de
Vorträge unter ... Fragen & Diskussion !


Herunterladen ppt "GoeMobile als Basistechnologie für die NBU"

Ähnliche Präsentationen


Google-Anzeigen