Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme.

Ähnliche Präsentationen


Präsentation zum Thema: "1 Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme."—  Präsentation transkript:

1 1 Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme

2 2 Einige Standorte in GoeMobile Ziel: Hohe Funkabdeckung in Göttingen wird erreicht durch funk auf exponierten Gebäuden und Kooperationen wie z.B. Stadt Rathaus

3 3 FunkBox der GWDG Wetterbeständig Anschluss von bis zu 4 Antennen Integrierter 4 Port Switch LWL-Konverter Blitzschutz

4 4 Göttinger FunkLAN GoeMobile in Zahlen Gerätetyp und Hersteller Aufgrund der Ergebnisse lokaler Tests, haben wir uns für die Geräte von Lucent (Orinoco) entschieden. Seit 11/2002 sind moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme) Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr! Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht. Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit. Funkkarten Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen Anreiz schaffen zum Eigenerwerb von Funk-Karten

5 5 Sicherheit ? im Funklan (Gefahren) Ohne weitere Maßnahmen sind die Daten für Jedemann/frau im Empfangsbereich sichtbar Einfacherer Zugriff für Hacker im Funklan als im kabelgebundenen Netz ( vgl. Switches) Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern der direkte Netzverkehr zwischen zwei Stationen Direkter Zugang über Gebäudegrenzen hinweg, nicht nur für Institutsangehörige ! Die Funk-Reichweite ist oft schwer einzuschätzen Ausspähen von FunkSystemen mit Tools ist ein Kindenspiel (war floaters)war floaters FunkLAN Managementprogramme via SNMP sind ein Angriffspunkt (Community!)Community!)

6 6 Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s. Göttinger FunkLAN GoeMobile in der Praxis

7 7 Weitere Dienste im FunkLAN: Digitalisierte Sprache sind Daten! GWDG setzt Voice over IP im WLAN ein Handy selber bauen??? (VoIP-Handy auf b-Basis) Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen: wozu DECT? Die Mittel aus Telefonetat für das Datennetz nutzen !

8 8 GoeMobile in der Praxis: Die Erreichbarkeit hängst stark von den verwendeten Antennen ab Nicht zuletzt der persönliche Einsatz des Benutzers verspricht guten Empfang Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung

9 9 Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber

10 10 Wired Equivalent Privacy (WEP) Allgemeines Bestandteil des Standards b Benutzt den RC4 Algorithmus von RSA Security Inc. Schlüsselstärken 40-Bit (Standard) und 104-Bit 24-Bit Initialisierungsvektor Nachteile von WEP Manuelle Schlüsselverwaltung Keine Benutzerauthentifizierung 40-Bit Schlüssel gelten als nicht sicher RC4-Algorithmus hat Designschwächen Vorteile von WEP In jedem b Gerät verfügbar Hardwareunterstützt Softwareunabhängig

11 11 Wired Equivalent Privacy (WEP) IEEE i Ziel: Die aktuelle MAC zu verbessern um mehr Sicherheit zu gewährleisten WEP2 mit stärkerer Verschlüsselung Benutzerauthentifikation Fazit WEP ist besser als keine Verschlüsselung WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) WEP ist nicht zukunftssicher 1)

12 12 MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines Microsoftspezifische Implementierung des PPTP Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung Zwei Versionen: MS-CHAPv1 und MS-CHAPv2 Verschlüsselung Microsoft Point to Point Encryption (MPPE) Benutzt den RC4 Algorithmus von RSA Security Inc. 40-Bit oder 104-Bit Schlüssellängen Benutzerauthentifikation Benutzerauthentifikation notwendig Password Authentification Protocol (PAP) Challenge Handshake Protocol (CHAP)

13 13 MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP Auf allen gängigen MS-Betriebssystemen verfügbar Bietet Verschlüsselung und Benutzerauthentifizierung Fazit MS-PPTP ist besser als keine Verschlüsselung MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher 1) MS-PPTP ist nicht zukunftssicher Nachteile von MS-PPTP 40-Bit Schlüssel gelten als nicht sicher MS-CHAPv1 hat schwere Sicherheitslücken Protokoll hat Designschwächen 1)

14 14 Internet Protocol Security (IPSec) Allgemeines Erweiterung der TCP/IP Protokollsuite Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit Integraler Bestandteil von IPv6 (IPnG) Transportmodus nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) Vorteil: geringer Overhead gegenüber IPv4 Nachteil: Jeder Teilnehmer muss IPSec beherrschen Tunnelmodus Komplettes IP-Paket wird verschlüsselt Tunnel zwischen zwei Netzen möglich Vorteil: Nur Tunnelenden müssen IPSec beherrschen Nachteil: Nur Verschlüsselung zwischen den Tunnelenden 3/2003, Andreas Ißleiber

15 15 Internet Protocol Security (IPSec) Vorteile von IPSec Standard auf vielen Plattformen verfügbar Keine festgelegten Algorithmen Keine bekannten Designschwächen Fazit IPSec ist besser als keine Verschlüsselung IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) IPSec gilt als zukunftssicher IPSec ist i.d.R eine gute Wahl Nachteile von IPSec Keine Benutzerauthentifikation Clients müssen korrekt konfiguriert werden 3/2003, Andreas Ißleiber

16 16 Service Set Identifier (SSID) Allgemeines Identifier für Netzwerksegment Muss für den Zugriff bekannt sein Vergleichbar mit einem Passwort für das Netzwerksegment Nachteile Muss jedem Teilnehmer bekannt sein Nur ein SSID pro AP Lässt sich in großen Netzen nicht wirklich geheim halten Kein korrekter Schutz vor SnifferSniffer Vorteile Softwareunabhängig Schnell und einfach einzurichten

17 17 Media Access Control (MAC) Address Filtering Allgemeines Filtern der MAC-Adressen der zugreifenden Clients MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server Nachteile Jede berechtigte Netzwerkkarte muss erfasst werden MAC-Adressen lassen sich leicht fälschen MAC-Adresslisten auf den APs lassen sich schwer warten Vorteile Software- & Clientunabhängig Keine Aktion des Benutzers notwendig

18 18 Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) MAC-Address Filtering auf den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz eines speziellen IPSec-Gateways Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen einen RADIUS-Server Benutzeraccounting über einem RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären Benutzeraccounts für die Authentifizierung über den RADIUS-Server Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten in zentraler DB Closed User Group SSID nicht unmittelbar für alle sichtbar

19 19 Beteiligte Systeme im GoeMobile hochverfügbares VPN-Gateway Cisco VPN 3030 Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzer-Authentifizierung gegen RADIUS Wave02 (Web- und Datenbankserver) Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 Webinterface und Datenbank für Benutzerprofile Failover für wave03 2 redundante RADIUS-Server Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2 Benutzerautentifikation gegen NIS-Server Wave03 Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 DHCP, DNS, Gateway für Nicht-IPSec-Clients

20 20 Übersicht GoeMobile Router Internet Router/NAT Richtfunkstrecke IPSec VPN-Gateway wave02 wave03 IPSec Ethernet VLAN Funkverbindung radius1, radius2 MAC- und Benutzer- autentifikation Webinterface und Datenbank DHCP, DNS non-IPSec-Gateway

21 21 Konkrete Vorschläge für den Einsatz von FunkLAN in MPI(nstituten): Einsatz von b Systemen mit 11 Mbit/s Rundstrahlantennen ~7 dbi/10dbi für Innnenbereich Verwenden des closed user group mode im FunkLAN wenn möglich!, Aufbau eines eigenen VLAN´s (ggf. arbeitsintensiv) Einsatz einer zentralen Userdatenbank auf einen RADIUS-Server Als RADIUS-Server Cistron o. FreeRadius unter LINUX einsetzen MAC-Adressen-Authentifizierung über o.g. RADIUS-Server direkt vom AP. Lediglich Funkkarten, die dort eingetragen wurden, haben Zugang Zusätzlich Verschlüsselung via PPTP P2TP (Authentifizierung) über PPPD oder besser IPSec Einsatz eines DHCP Server (z.B. LINUX), der direkt auf die eingetragenen MAC-Adressen die IP-Adresse vergibt (kein dynamischer IP-Pool) Durch DHCP vergebene IP-Adressen aus dem private network Bereich nehmen. Der Zugang zum Internet ist durch das Gateway (Tunnel, NAT) möglich Verwendung eines eigenen FunkLAN-Namen, nicht ANY Erweitertes Logging aktivieren (i.d.R. auf RADIUS-Server) um schneller pot. Eindringversuche zu erkennen Den NetBIOS Dienst auf der Funkkarte bei Windows Clients deaktivieren, wenn dieser nicht erforderlich ist

22 22 Mehr zum Thema FunkLAN Vorträge unter... Fragen & Diskussion !

23 23 Vorstellung im Rahmen des GWDG-VoIP-Projektes Im grossen Seminarraum ist... VoIP von NK Networks (CISCO-VoIP)... ausgestellt. NK Networks steht für Tests und Fragen zur Verfügung.

24 24 GoeMobile im Kontext NBU NBU stützt sich wesentlich auf FunkLAN Ziele: Ausbau der HotSpots Erweiterung der Hörsäle durch FunkLAN Einfachen Zugang zum Netz gewähren unter Beibehaltung der Sicherheit 3/2003, Andreas Ißleiber

25 25 Weiterführende Links und Quellen... Einfluß von BlueTooth und WLAN Sicherheit in drahtlosen Netzen Hersteller von Funklan Geräten 5 GHz Standards und Hiperlan/2 54 MBit Chips


Herunterladen ppt "1 Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme."

Ähnliche Präsentationen


Google-Anzeigen