Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 1)Göttinger FunkLAN GoeMobile im Überblick 2)Weitere Dienste im FunkLAN, VoIP 3)Sicherheit im FunkLAN 4)Die Gefahren 5)Moderne Sicherheitsmechanismen.

Ähnliche Präsentationen


Präsentation zum Thema: "1 1)Göttinger FunkLAN GoeMobile im Überblick 2)Weitere Dienste im FunkLAN, VoIP 3)Sicherheit im FunkLAN 4)Die Gefahren 5)Moderne Sicherheitsmechanismen."—  Präsentation transkript:

1 1 1)Göttinger FunkLAN GoeMobile im Überblick 2)Weitere Dienste im FunkLAN, VoIP 3)Sicherheit im FunkLAN 4)Die Gefahren 5)Moderne Sicherheitsmechanismen im WLAN 6)Bausteine des Sicherheitsmodells im GoeMobile 7)Praxisnahe Probleme beim WLAN-Einsatz 8)GoeMobile im Kontext NBU 9)Fazit... Ausblick... Erweiterungen... 3/2003, Andreas Ißleiber GoeMobile als Basistechnologie für die NBU GoeMobile als Basistechnologie für die NBU

2 2 Göttinger FunkLAN GoeMobile im Überblick Zahlen und Statistiken Erste Inbetriebnahme (Testbetrieb) 11/2000 Ca reale Benutzer, mögliche! Benutzer Benutzergruppen des GoeMobile Anteil [%] - Universitätsangehörige 32% - Studierende 61% - Max-Planck-Institute 4% - lokale Forschungseinrichtungen (DPZ, IWF) 2% - Gäste bei Tagungen über Kurzzeitaccounts 1% Gleichzeitig im FunkLAN angemeldete Benutzer: 180, Stand 2/2003

3 3 GoeMobile im Überblick Eingesetzte Geräte AccessPoints von Lucent/Orinoco (mittlerweile AGERE) Seit 11/2002 sind zusätzlich moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme) - Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr! Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht. Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit. Funkkarten Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen Anreiz schaffen zum Eigenerwerb von Funk-Karten Ein Funk-Laden hat in Göttingen eröffnet, der die Benutzer lokal mit Geräten versorgt

4 4 FunkBox der GWDG Wetterbeständig Anschluss von bis zu 4 Antennen Integrierter 4 Port Switch LWL-Konverter Blitzschutz

5 5 Einige Standorte in GoeMobile Ziel: Hohe Funkabdeckung in Göttingen wird erreicht durch exponierte Gebäude und Kooperationen wie z.B. Stadt Rathaus

6 6 Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s. Statistiken werden auch für die Benutzer zugänglich via WEB zur Verfügung gestellt GoeMobile in der Praxis

7 7 Weitere Dienste im FunkLAN Digitalisierte Sprache sind Daten! GWDG setzt Voice over IP im WLAN ein (ausschließlich für interne Nutzung) (VoIP-Handy auf b-Basis) Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen: wozu DECT? Die Mittel aus Telefonetat für das Datennetz nutzen !

8 8 Engagment unserer Benutzer im GoeMobile Die Erreichbarkeit hängst stark von den verwendeten Antennen ab Nicht zuletzt der persönliche Einsatz des Benutzers verspricht guten Empfang Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung

9 9 Sicherheit im FunkLAN

10 10 Sicherheit im Funklan (die Gefahren) Ohne weitere Maßnahmen sind die Daten für Jedemann/frau im Empfangsbereich sichtbar Einfacherer Zugriff für Hacker im Funklan als im kabelgebundenen Netzen( vgl. Switches) Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern auch der direkte Netzverkehr zwischen zwei Stationen Zugang, teilweise weit über Gebäudegrenzen hinweg. Die Reichweite ist oft schwer einzuschätzen und variabel ! Ausspähen von WLANs mit fertigen Tools ist ein Kindenspiel (war drivers) FunkLAN Managementprogramme via SNMP sind weitere Angriffspunkte 3/2003, Andreas Ißleiber

11 11 Überblick über diverse Sicherheitsmechanismen im WLAN WEB, WEB+ MAC-Adressen Authentifikation SSID VPN mit: - PPTP - MS-PPTP - IPSec EAP-TLS & TTLS (Extensible Authentication Protocol - Transport Layer Security) PEAP (Protected EAP) LEAP (Lightweight EAP) 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen als Alternativen zum VPN Moderne Sicherheitsmechanismen als Alternativen zum VPN Klassische Sicherheitsmechanismen

12 12 Moderne Sicherheitsmechanismen im WLAN EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security) 3/2003, Andreas Ißleiber + Basiert auf existierendem 802.1x (portbasierte Authentifizierung) + Vielversprechender Ansatz, da anbieterunabhängig - Integration in bestehende Umgebungen etwas komplex +/- WLAN Systeme und Authentifizierungssysteme (RADIUS-Server) müssen EAP/-TLS fähig sein - Ältere Betriebssysteme beherrschen kein EAP-TLS (Windows XP und W2K zum Teil schon) + Wird in Kürze von der GWDG als Alternative parallel! zum VPN eingesetzt + Hohe Performance gegenüber IPSec (dyn. WEP-Verschlüsselung)

13 13 Moderne Sicherheitsmechanismen im WLAN PEAP (Protected EAP) 3/2003, Andreas Ißleiber + PEAP wurde von Microsoft, Cisco und RSA Security entwickelt + In einigen MS-Betriebssystemem enthalten + Kann als Container für diverse Verschlüsselungsprotokolle dienen LEAP (Lightweight EAP) +/- LEAP wurde von Cisco entwickelt + In Verbindung mit CISCO-APs und AAA von CISCO sinnvolles Verfahren - Starke Abhängigkeit zum Hersteller Vergleicht man alle modernen Verfahren, so kann es (noch) keine klare Präferenz geben

14 14 Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) MAC-Address Filterung bereits bei den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz von VPN Gateways (IPSec/3DES) Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen zentrale RADIUS-Server Benutzeraccounting über RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären, existierenden Benutzeraccounts für die Authentifizierung Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten. (profile)(profile) Closed User Group SSID nicht unmittelbar für alle sichtbar 3/2003, Andreas Ißleiber

15 15 Beteiligte Systeme im GoeMobile hochverfügbares VPN-Gateway Cisco VPN 3060 Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzer-Authentifizierung gegen RADIUS Wave02 (Web- und Datenbankserver) Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1 Webinterface und Datenbank für Benutzerprofile Failover für wave03 2 redundante RADIUS-Server Pentium III (500 MHz, 512Mb RAM), SuSE Linux 8.1 Benutzerautentifikation (noch) gegen NIS-Server Wave03 Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1 DHCP, DNS, Gateway für Nicht-IPSec-Clients 3/2003, Andreas Ißleiber

16 16 Übersicht GoeMobile Router Internet Router/NAT Richtfunkstrecke IPSec VPN-Gateway wave02 wave03 IPSec Ethernet VLAN Funkverbindung radius1, radius2 MAC- und Benutzer- autentifikation Webinterface und Datenbank DHCP, DNS non-IPSec-Gateway 3/2003, Andreas Ißleiber

17 17 Praxisnahe Probleme beim WLAN-Einsatz Benutzer erwarten gleichbleibende Funkqualität Lösungen: - Einrichten, Forcieren von Selbsthilfegruppen via Newslisten, Mailinglisten, Diskussionsforen, Infos über Web. - Verfahren der qualitativen Rückmeldung der Funkqualität der Benutzer mit zentraler (Ergebnis)Datenhaltung - Hotline einrichten (Zeiten beschränken und bekannt geben) Misbrauch des FunkLAN (Überbeanspruchung, Tauschbörsen) Lösungen: - TopTen Benutzer ermitteln - Accounten, Limits setzen, Benutzerordnung (juristisch) - Am Funk-Bedarf orientieren und entsprechend ausbauen oder reduzieren - Sperren einiger Ports Elektrosmog Diskussion Lösungen: - Einbeziehen unabhängiger Fachleute (Beispiel bei der GWDG: Die UNI Kassel (FB: HF-Messtechnik erstellt Gutachten für das GoeMobile in Göttingen) 3/2003, Andreas Ißleiber

18 18 GoeMobile im Kontext NBU NBU stützt sich wesentlich auf eine WLAN Infrastruktur Ziele: Ausbau der HotSpots Erweiterung der Hörsäle durch FunkLAN (Multimediahörsaal) Einfachen Zugang zum Netz gewähren unter Beibehaltung der Sicherheit Besondere Anforderungen im Hörsaal: - Hohe Dichte an Nutzern - Hohe Bandbreite -> Video Streaming, Multicast - einfacher Zugang zum Netz - Absicherung der Rechner untereinander - Netzzugänge einschränken (keine Tauschbörsen im Hörsaal) 3/2003, Andreas Ißleiber

19 19 Fazit... Ausblick... Erweiterungen a 54-MBit-Funknetz im 5-GHz-Band b 11-MBit-Funknetz im 2,4-GHz-Band eMAC Erweiterung für QoS b-cor Soll Probleme bei der MIB beheben f Definition eines Interoperabilität zwischen APs unterschiedlicher Hersteller g Erhöhung der Geschwindigkeit auf > 20 MBit/s i Verbesserung von Verschlüsselung und Authentisierung - GoeMobile ist in kürzester Zeit zu einem entscheidenen Zugangsweg ins Göttinger-Netz geworden - Es konnten die teilweise hohen Erwartungen der Benutzer nicht überall und vollständig befriedigt werden (Stabilität, Erreichbarkeit) - WLAN erfordert viel Systemkenntnisse bei Betreiber und! beim Benutzer - In Göttingen wurde parallel mit dem Aufbau von 54MBit/s Systemen begonnen -> NBU - Diverse Standards erschweren die Entscheidung für die Zukunft des WLAN

20 20 Mehr zum Thema FunkLAN Vorträge unter... Fragen & Diskussion ! Vielen Dank!


Herunterladen ppt "1 1)Göttinger FunkLAN GoeMobile im Überblick 2)Weitere Dienste im FunkLAN, VoIP 3)Sicherheit im FunkLAN 4)Die Gefahren 5)Moderne Sicherheitsmechanismen."

Ähnliche Präsentationen


Google-Anzeigen