GoeMobile als Basistechnologie für die NBU 3/2003, Andreas Ißleiber Göttinger FunkLAN „GoeMobile“ im Überblick Weitere Dienste im FunkLAN, VoIP Sicherheit im FunkLAN Die Gefahren Moderne Sicherheitsmechanismen im WLAN Bausteine des Sicherheitsmodells im GoeMobile Praxisnahe Probleme beim WLAN-Einsatz GoeMobile im Kontext „NBU“ Fazit ... Ausblick ... Erweiterungen ...
Göttinger FunkLAN „GoeMobile“ im Überblick Zahlen und Statistiken Erste Inbetriebnahme (Testbetrieb) 11/2000 Ca. 1200 reale Benutzer, 25.000 mögliche! Benutzer Benutzergruppen des GoeMobile Anteil [%] - Universitätsangehörige 32% - Studierende 61% - Max-Planck-Institute 4% - lokale Forschungseinrichtungen (DPZ, IWF) 2% - Gäste bei Tagungen über „Kurzzeitaccounts“ 1% Gleichzeitig im FunkLAN angemeldete Benutzer: 180, Stand 2/2003
„GoeMobile“ im Überblick Eingesetzte Geräte AccessPoints von Lucent/Orinoco (mittlerweile AGERE) Seit 11/2002 sind zusätzlich moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme) - Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr! Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht. Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit. Funkkarten Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen Anreiz schaffen zum Eigenerwerb von Funk-Karten Ein „Funk-Laden“ hat in Göttingen eröffnet, der die Benutzer lokal mit Geräten versorgt
FunkBox der GWDG Wetterbeständig Anschluss von bis zu 4 Antennen Integrierter 4 Port Switch LWL-Konverter Blitzschutz
Einige Standorte in GoeMobile Ziel: Hohe Funkabdeckung in Göttingen wird erreicht durch exponierte Gebäude und Kooperationen wie z.B. Stadt Rathaus
„GoeMobile“ in der Praxis Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s. http://www.goemobile.de/ Statistiken werden auch für die Benutzer zugänglich via WEB zur Verfügung gestellt
Weitere Dienste im FunkLAN Digitalisierte Sprache sind „Daten“! GWDG setzt Voice over IP im WLAN ein (ausschließlich für interne Nutzung) www.spectralink.com (VoIP-Handy auf 802.11b-Basis) Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen: wozu DECT? Die Mittel aus Telefonetat für das Datennetz nutzen !
Engagment unserer Benutzer im GoeMobile Die Erreichbarkeit hängst stark von den verwendeten Antennen ab Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“ Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung
Sicherheit im FunkLAN
Sicherheit im Funklan (die Gefahren) 3/2003, Andreas Ißleiber Sicherheit im Funklan (die Gefahren) Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netzen( vgl. Switches) Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern auch der direkte Netzverkehr zwischen zwei Stationen Zugang, teilweise weit über Gebäudegrenzen hinweg. Die Reichweite ist oft schwer einzuschätzen und variabel ! Ausspähen von WLANs mit fertigen Tools ist ein „Kindenspiel“ (war drivers) FunkLAN Managementprogramme via SNMP sind weitere Angriffspunkte
Überblick über diverse Sicherheitsmechanismen im WLAN 3/2003, Andreas Ißleiber Überblick über diverse Sicherheitsmechanismen im WLAN Klassische Sicherheitsmechanismen WEB, WEB+ MAC-Adressen Authentifikation SSID VPN mit: - PPTP - MS-PPTP - IPSec EAP-TLS & TTLS (Extensible Authentication Protocol - Transport Layer Security) PEAP (Protected EAP) LEAP (Lightweight EAP) Moderne Sicherheitsmechanismen als Alternativen zum VPN
Moderne Sicherheitsmechanismen im WLAN 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen im WLAN EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security) + Basiert auf existierendem 802.1x (portbasierte Authentifizierung) + Vielversprechender Ansatz, da anbieterunabhängig - Integration in bestehende Umgebungen etwas komplex +/- WLAN Systeme und Authentifizierungssysteme (RADIUS-Server) müssen EAP/-TLS fähig sein - Ältere Betriebssysteme beherrschen kein EAP-TLS (Windows XP und W2K zum Teil schon) + Wird in Kürze von der GWDG als Alternative parallel! zum VPN eingesetzt + Hohe Performance gegenüber IPSec (dyn. WEP-Verschlüsselung)
Moderne Sicherheitsmechanismen im WLAN 3/2003, Andreas Ißleiber Moderne Sicherheitsmechanismen im WLAN PEAP (Protected EAP) + PEAP wurde von Microsoft, Cisco und RSA Security entwickelt + In einigen MS-Betriebssystemem enthalten + Kann als „Container“ für diverse Verschlüsselungsprotokolle dienen LEAP (Lightweight EAP) +/- LEAP wurde von Cisco entwickelt + In Verbindung mit CISCO-APs und AAA von CISCO sinnvolles Verfahren - Starke Abhängigkeit zum Hersteller Vergleicht man alle modernen Verfahren, so kann es (noch) keine klare Präferenz geben
Bausteine des Sicherheitsmodells im GoeMobile 3/2003, Andreas Ißleiber Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) MAC-Address Filterung bereits bei den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz von VPN Gateways (IPSec/3DES) Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen zentrale RADIUS-Server Benutzeraccounting über RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären, existierenden Benutzeraccounts für die Authentifizierung Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten. (profile) Closed User Group SSID nicht unmittelbar für „alle“ sichtbar
Beteiligte Systeme im GoeMobile 3/2003, Andreas Ißleiber Beteiligte Systeme im GoeMobile 2 redundante RADIUS-Server Pentium III (500 MHz, 512Mb RAM), SuSE Linux 8.1 Benutzerautentifikation (noch) gegen NIS-Server hochverfügbares VPN-Gateway Cisco VPN 3060 Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzer-Authentifizierung gegen RADIUS Wave02 (Web- und Datenbankserver) Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1 Webinterface und Datenbank für Benutzerprofile Failover für wave03 Wave03 Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1 DHCP, DNS, Gateway für Nicht-IPSec-Clients
Übersicht „GoeMobile“ 3/2003, Andreas Ißleiber Übersicht „GoeMobile“ Ethernet VLAN Funkverbindung Router Internet wave03 Webinterface und Datenbank Richtfunkstrecke IPSec radius1, radius2 wave02 MAC- und Benutzer- autentifikation DHCP, DNS non-IPSec-Gateway VPN-Gateway Router/NAT IPSec
Praxisnahe Probleme beim WLAN-Einsatz 3/2003, Andreas Ißleiber Praxisnahe Probleme beim WLAN-Einsatz Benutzer erwarten gleichbleibende Funkqualität Lösungen: - Einrichten, Forcieren von „Selbsthilfegruppen“ via Newslisten, Mailinglisten, Diskussionsforen, Infos über Web. - Verfahren der qualitativen Rückmeldung der Funkqualität der Benutzer mit zentraler (Ergebnis)Datenhaltung - Hotline einrichten (Zeiten beschränken und bekannt geben) „Misbrauch“ des FunkLAN (Überbeanspruchung, Tauschbörsen) Lösungen: - TopTen Benutzer ermitteln - Accounten, Limits setzen, Benutzerordnung (juristisch) - Am Funk-Bedarf orientieren und entsprechend ausbauen oder reduzieren - Sperren einiger „Ports“ Elektrosmog Diskussion Lösungen: - Einbeziehen unabhängiger Fachleute (Beispiel bei der GWDG: Die UNI Kassel (FB: HF-Messtechnik erstellt Gutachten für das GoeMobile in Göttingen)
GoeMobile im Kontext „NBU“ 3/2003, Andreas Ißleiber GoeMobile im Kontext „NBU“ NBU stützt sich wesentlich auf eine WLAN Infrastruktur Ziele: Ausbau der „HotSpots“ Erweiterung der Hörsäle durch FunkLAN (Multimediahörsaal) Einfachen Zugang zum Netz gewähren unter Beibehaltung der Sicherheit Besondere Anforderungen im Hörsaal: - Hohe Dichte an Nutzern - Hohe Bandbreite -> „Video Streaming“, „Multicast“ - einfacher Zugang zum Netz - Absicherung der Rechner untereinander - Netzzugänge einschränken (keine Tauschbörsen im Hörsaal)
Fazit ... Ausblick ... Erweiterungen ... GoeMobile ist in kürzester Zeit zu einem entscheidenen Zugangsweg ins Göttinger-Netz geworden Es konnten die teilweise hohen Erwartungen der Benutzer nicht überall und vollständig befriedigt werden (Stabilität, Erreichbarkeit) - WLAN erfordert viel Systemkenntnisse bei Betreiber und! beim Benutzer In Göttingen wurde „parallel“ mit dem Aufbau von 54MBit/s Systemen begonnen -> NBU Diverse Standards erschweren die Entscheidung für die Zukunft des WLAN 802.11a 54-MBit-Funknetz im 5-GHz-Band 802.11b 11-MBit-Funknetz im 2,4-GHz-Band 802.11e MAC Erweiterung für QoS 802.11b-cor Soll Probleme bei der MIB beheben. 802.11f Definition eines Interoperabilität zwischen APs unterschiedlicher Hersteller 802.11g Erhöhung der Geschwindigkeit auf > 20 MBit/s 802.11i Verbesserung von Verschlüsselung und Authentisierung
Vielen Dank! Mehr zum Thema FunkLAN ... http://www.goemobile.de eMail: info@goemobile.de Vorträge unter ... http://www.goemobile.de/vortraege/ Fragen & Diskussion !