Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Was ist FunkLAN ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme Was ist FunkLAN.

Ähnliche Präsentationen


Präsentation zum Thema: "1 Was ist FunkLAN ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme Was ist FunkLAN."—  Präsentation transkript:

1 1 Was ist FunkLAN ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme Was ist FunkLAN ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme

2 2 Motive...: Internet muß flächendeckend verfügbar sein Laptop als mobiler Arbeitsplatz Lokale Netzdienste (z.B. GWDG) sind (mobil) erreichbar Online-Recherchen in Bibliotheken wie z.B. SUB Netzanbindung der via Kabel unzugänglichen Gebäude Vernetzung in denkmalgeschützten Gebäuden FunkLAN als Medium für weitere Dienste wie Telefonie (VoIP)

3 3 Zahlen & Fakten...: FunkLAN Standards: - IEEE b - IEEE x, mit Authentification (nicht nur bei Funk) Funklan enstand zunächst aus dem IEEE Standard, mit 2 Mbit Übertragungskapazität Jetzt IEEE b mit 11/5.5/2/1 Mbit/s Zukünftig ggf. IEEE a, 54 Mbit/s im 5 GHz Bereich (Antennenwechsel !) Frequenzbereich: 2,4 GHz (13 cm Band) Mikrowelle!, 13 Kanäle (11 in Deutschland) (22 MHz Abstand, teilweise überlappend, bis auf Kanal 1,6,11) Leistung an der Karte: 0,035W, an der Antenne 0,1W (1/10 – 1/60 des Handy). - short range: 35 mW - long range: 7 mW, abhängig v. d. Antenne Modulation: Spread Spectrum, relativ unempfindlich gegenüber schmalbandigen Störungen (DSSS = Direct Sequence Spread Spectrum) Geräte selbst heißen i.d.R. AP (Accesspoints)

4 4 Zahlen & Fakten...: Typische Reichweiten: - im Gebäude: sehr stark abhängig v.d. Art des Gebäude ca m - bei Antennen >> 10dbi Gewinn bis zu 10 km - im freien Gelände: ca m Send/Empfangsqualität wesentlich abhängig von: - Gebäudebeschaffenheit - Antennen, Sendeleistung an der Karte - Antennenkabel/Länge, Stecker etc. Qualität - Interferenzen mit anderen Funksystemen (FunkLAN/BlueTooth) Übertragunsleistung: - brutto: 11 Mbit /shared - netto: 5-6 Mbit/s shared - neuere Systeme mit brutto 22 Mbit/s sowie 54 Mbit/s (bei 5 GHz!) 2 Bekannte Hersteller: - 3COM, ARTEM, BreezeCOM, CISCO, Lucent (Orinoco) 1 1) 2)

5 5 Geräte & Reichweiten...: Access Point (Übergang zum LAN) Einschubkarte für den Notebook Reichweiten in Abhängigkeit der verwendeten Antennen Datenrate14 dBi12 dBi10 dBi7 dBi 1 Mbit/s6.4 km6.3 km5.2 km3.7 km 2 Mbit/s4.8 km4.7 km3.7 km2.6 km 5.5 Mbit/s3.4 km3.3 km2.6 km1.9 km 11 Mbit/s2.4 km2.3 km1.9 km1.2 km Antenne (Rangeextender)

6 6 Einige Standorte in GoeMobile Ziel: Hohe Funkabdeckung in Göttingen wird erreicht durch funk auf exponierten Gebäuden und Kooperationen wie z.B. Stadt Rathaus

7 7 FunkBox der GWDG Wetterbeständig Anschluss von bis zu 4 Antennen Integrierter 4 Port Switch LWL-Konverter Blitzschutz

8 8 Göttinger FunkLAN GoeMobile in Zahlen Gerätetyp und Hersteller Aufgrund der Ergebnisse lokaler Tests, haben wir uns für die Geräte von Lucent (Orinoco) entschieden. - Es werden 100 Accesspoints in Göttingen eingesetzt AP-1000, mit jeweils zwei Antennenanschlüssen - 30 AP-500, mit jeweils einem Antennenanschluß Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 4 km bei freier Sicht, erreicht. Überdies werden Rundstrahlantennen des Typs, 7 dbi, 10 dbi, abhängig von der Umgebung des Einsatzortes, verwendet. Z.Zt. sind ca. 50 AP´s in Betrieb (Ziel mind. 100) Funkkarten Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen Anreiz schaffen zum Selbstkauf der Funk-Karten

9 9 Sicherheit ? im Funklan (Gefahren) Ohne weitere Maßnahmen sind die Daten für Jedemann/frau im Empfangsbereich sichtbar Einfacherer Zugriff für Hacker im Funklan als im kabelgebundenen Netz ( vgl. Switches) Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern der direkte Netzverkehr zwischen zwei Stationen Direkter Zugang über Gebäudegrenzen hinweg, nicht nur für Institutsangehörige ! Die Funk-Reichweite ist oft schwer einzuschätzen Ausspähen von FunkSystemen mit Tools ist ein Kindenspiel (war floaters)war floaters FunkLAN Managementprogramme via SNMP sind ein Angriffspunkt (Community!)Community!)

10 10 Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s. Test der Funkabdeckungsqualität Ein spezielles Programm (Eigenentwicklung) ermöglicht durch zusätzliche Nutzung eines GPS-Empfängers eine Erfassung der Funkabdeckungsqualität. Ortsinformationen des GPS und Verbindungsqualitätsdaten werden mit Zeitstempel in einer Tabelle festgehalten, die im Anschluss durch eine Datenbank ausgewertet werden kann. Dadurch ist eine qualitative, und vor allen Dingen rasche Aussage über die Funkausleuchtung möglich. Göttinger FunkLAN GoeMobile in der Praxis

11 11 Weitere Dienste im FunkLAN: Digitalisierte Sprache sind Daten! Auch wenn dies in der Gesellschaft noch nicht verinnerlicht ist! GWDG experimentiert mit Voice over IP Siemens-Lösung: Software-Lösung auf PCs VoIP-Gateway zur bestehenden Telefonanlage ist bereits installiert (richtiges!) Telefonieren mit dem PC über die zentrale Telefon-Anlage Handy selber bauen??? (VoIP-Handy auf b-Basis) Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen: wozu DECT? Besser die Mittel aus Telefonetat für das Datennetz nutzen ! Wozu UMTS ??? Angesichts der 100 Mrd. DM ist WaveLAN echt billig

12 12 GoeMobile in der Praxis: Die Erreichbarkeit hängst stark von den verwendeten Antennen ab Nicht zuletzt der persönliche Einsatz des Benutzers verspricht guten Empfang Funk ersetzt im professionellen Bereich NICHT! die herkömmliche Verkabelung

13 13 Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber

14 14 Wired Equivalent Privacy (WEP) Allgemeines Bestandteil des Standards b Benutzt den RC4 Algorithmus von RSA Security Inc. Schlüsselstärken 40-Bit (Standard) und 104-Bit 24-Bit Initialisierungsvektor Nachteile von WEP Manuelle Schlüsselverwaltung Keine Benutzerauthentifizierung 40-Bit Schlüssel gelten als nicht sicher RC4-Algorithmus hat Designschwächen Vorteile von WEP In jedem b Gerät verfügbar Hardwareunterstützt Softwareunabhängig

15 15 Wired Equivalent Privacy (WEP) IEEE i Ziel: Die aktuelle MAC zu verbessern um mehr Sicherheit zu gewährleisten WEP2 mit stärkerer Verschlüsselung Benutzerauthentifikation Fazit WEP ist besser als keine Verschlüsselung WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) WEP ist nicht zukunftssicher 1)

16 16 MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines Microsoftspezifische Implementierung des PPTP Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung Zwei Versionen: MS-CHAPv1 und MS-CHAPv2 Verschlüsselung Microsoft Point to Point Encryption (MPPE) Benutzt den RC4 Algorithmus von RSA Security Inc. 40-Bit oder 104-Bit Schlüssellängen Benutzerauthentifikation Benutzerauthentifikation notwendig Password Authentification Protocol (PAP) Challenge Handshake Protocol (CHAP)

17 17 MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP Auf allen gängigen MS-Betriebssystemen verfügbar Bietet Verschlüsselung und Benutzerauthentifizierung Fazit MS-PPTP ist besser als keine Verschlüsselung MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) MS-PPTP ist nicht zukunftssicher Nachteile von MS-PPTP 40-Bit Schlüssel gelten als nicht sicher MS-CHAPv1 hat schwere Sicherheitslücken Protokoll hat Designschwächen 1)

18 18 Internet Protocol Security (IPSec) Allgemeines Erweiterung der TCP/IP Protokollsuite Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit Integraler Bestandteil von IPv6 (IPnG) Transportmodus nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) Vorteil: geringer Overhead gegenüber IPv4 Nachteil: Jeder Teilnehmer muss IPSec beherrschen Tunnelmodus Komplettes IP-Paket wird verschlüsselt Tunnel zwischen zwei Netzen möglich Vorteil: Nur Tunnelenden müssen IPSec beherrschen Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

19 19 Internet Protocol Security (IPSec) Vorteile von IPSec Standard auf vielen Plattformen verfügbar Keine festgelegten Algorithmen Keine bekannten Designschwächen Fazit IPSec ist besser als keine Verschlüsselung IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) IPSec gilt als zukunftssicher IPSec ist i.d.R eine gute Wahl Nachteile von IPSec Keine Benutzerauthentifikation Clients müssen korrekt konfiguriert werden

20 20 Service Set Identifier (SSID) Allgemeines Identifier für Netzwerksegment Muss für den Zugriff bekannt sein Vergleichbar mit einem Passwort für das Netzwerksegment Nachteile Muss jedem Teilnehmer bekannt sein Nur ein SSID pro AP Lässt sich in großen Netzen nicht wirklich geheim halten Kein korrekter Schutz vor SnifferSniffer Vorteile Softwareunabhängig Schnell und einfach einzurichten

21 21 Media Access Control (MAC) Address Filtering Allgemeines Filtern der MAC-Adressen der zugreifenden Clients MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server Nachteile Jede berechtigte Netzwerkkarte muss erfasst werden MAC-Adressen lassen sich leicht fälschen MAC-Adresslisten auf den APs lassen sich schwer warten Vorteile Software- & Clientunabhängig Keine Aktion des Benutzers notwendig

22 22 Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) MAC-Address Filtering auf den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz eines speziellen IPSec-Gateways Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen einen RADIUS-Server Benutzeraccounting über einem RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären Benutzeraccounts für die Authentifizierung über den RADIUS-Server Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten in zentraler DB Closed User Group SSID nicht unmittelbar für alle sichtbar

23 23 Beteiligte Systeme im GoeMobile hochverfügbares VPN-Gateway Cisco VPN 3030 Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzer-Authentifizierung gegen RADIUS Wave02 (Web- und Datenbankserver) Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 Webinterface und Datenbank für Benutzerprofile Failover für wave03 2 redundante RADIUS-Server Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2 Benutzerautentifikation gegen NIS-Server Wave03 Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 DHCP, DNS, Gateway für Nicht-IPSec-Clients

24 24 Übersicht über GoeMobile Router Internet Router/NAT Richtfunkstrecke IPSec VPN-Gateway wave02 wave03 IPSec Ethernet VLAN Funkverbindung radius1, radius2 MAC- und Benutzer- autentifikation Webinterface und Datenbank DHCP, DNS non-IPSec-Gateway

25 25 Konkrete Vorschläge für den Einsatz von FunkLAN in MPI(nstituten): Einsatz von b Systemen mit 11 Mbit/s Rundstrahlantennen ~7 dbi/10dbi für Innnenbereich Verwenden des closed user group mode im FunkLAN wenn möglich!, Aufbau eines eigenen VLAN´s (ggf. arbeitsintensiv) Einsatz einer zentralen Userdatenbank auf einen RADIUS-Server Als RADIUS-Server Cistron o. FreeRadius unter LINUX einsetzen MAC-Adressen-Authentifizierung über o.g. RADIUS-Server direkt vom AP. Lediglich Funkkarten, die dort eingetragen wurden, haben Zugang Zusätzlich Verschlüsselung via PPTP P2TP (Authentifizierung) über PPPD oder besser IPSec Einsatz eines DHCP Server (z.B. LINUX), der direkt auf die eingetragenen MAC-Adressen die IP-Adresse vergibt (kein dynamischer IP-Pool) Durch DHCP vergebene IP-Adressen aus dem private network Bereich nehmen. Der Zugang zum Internet ist durch das Gateway (Tunnel, NAT) möglich Verwendung eines eigenen FunkLAN-Namen, nicht ANY Erweitertes Logging aktivieren (i.d.R. auf RADIUS-Server) um schneller pot. Eindringversuche zu erkennen Den NetBIOS Dienst auf der Funkkarte bei Windows Clients deaktivieren, wenn dieser nicht erforderlich ist

26 26 Mehr zum Thema FunkLAN Vorträge unter... Fragen & Diskussion !

27 27 Vorstellung im Rahmen des GWDG-VoIP-Projektes Im grossen Seminarraum ist... VoIP von NK Networks (CISCO-VoIP)... ausgestellt. NK Networks steht für Tests und Fragen zur Verfügung.

28 28 Weiterführende Links und Quellen... Einfluß von BlueTooth und WLAN Sicherheit in drahtlosen Netzen Hersteller von Funklan Geräten 5 GHz Standards und Hiperlan/2 54 MBit Chips


Herunterladen ppt "1 Was ist FunkLAN ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme Was ist FunkLAN."

Ähnliche Präsentationen


Google-Anzeigen