Was ist FunkLAN ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme
Motive ...: Internet muß flächendeckend verfügbar sein Laptop als mobiler Arbeitsplatz Lokale Netzdienste (z.B. GWDG) sind (mobil) erreichbar Online-Recherchen in Bibliotheken wie z.B. SUB Netzanbindung der via Kabel unzugänglichen Gebäude Vernetzung in denkmalgeschützten Gebäuden FunkLAN als Medium für weitere Dienste wie Telefonie (VoIP)
Zahlen & Fakten ...: FunkLAN Standards: - IEEE 802.11b - IEEE 802.11x, mit Authentification (nicht nur bei Funk) Funklan enstand zunächst aus dem IEEE802.11 Standard, mit 2 Mbit Übertragungskapazität Jetzt IEEE 802.11b mit 11/5.5/2/1 Mbit/s Zukünftig ggf. IEEE 802.11a, 54 Mbit/s im 5 GHz Bereich (Antennenwechsel !) Frequenzbereich: 2,4 GHz (13 cm Band) Mikrowelle!, 13 Kanäle (11 in Deutschland) (22 MHz Abstand, teilweise überlappend, bis auf Kanal 1,6,11) Leistung an der Karte: 0,035W, an der Antenne 0,1W (1/10 – 1/60 des Handy). - short range: 35 mW - long range: 7 mW, abhängig v. d. Antenne Modulation: Spread Spectrum, relativ unempfindlich gegenüber schmalbandigen Störungen (DSSS = Direct Sequence Spread Spectrum) Geräte selbst heißen i.d.R. AP (Accesspoints)
Zahlen & Fakten ...: Typische Reichweiten: - im Gebäude: sehr stark abhängig v.d. Art des Gebäude ca. 20-40 m - bei Antennen >> 10dbi Gewinn bis zu 10 km - im freien Gelände: ca. 200-300 m Send/Empfangsqualität wesentlich abhängig von: - Gebäudebeschaffenheit - Antennen, Sendeleistung an der Karte - Antennenkabel/Länge, Stecker etc. Qualität - Interferenzen mit anderen Funksystemen (FunkLAN/BlueTooth) Übertragunsleistung: - brutto: 11 Mbit /shared - netto: 5-6 Mbit/s shared - neuere Systeme mit brutto 22 Mbit/s sowie 54 Mbit/s (bei 5 GHz!) 2 Bekannte Hersteller: - 3COM, ARTEM, BreezeCOM, CISCO, Lucent (Orinoco) 1 1) http://wiss.informatik.uni-rostock.de/hersteller/ 2) http://www.intersil.com/pressroom/20010619_PRISM_Indigo_German.asp
Einschubkarte für den Notebook Geräte & Reichweiten...: Reichweiten in Abhängigkeit der verwendeten Antennen Datenrate 14 dBi 12 dBi 10 dBi 7 dBi 1 Mbit/s 6.4 km 6.3 km 5.2 km 3.7 km 2 Mbit/s 4.8 km 4.7 km 2.6 km 5.5 Mbit/s 3.4 km 3.3 km 1.9 km 11 Mbit/s 2.4 km 2.3 km 1.2 km Access Point (Übergang zum LAN) Einschubkarte für den Notebook Antenne (Rangeextender)
Einige Standorte in GoeMobile Ziel: Hohe Funkabdeckung in Göttingen wird erreicht durch funk auf exponierten Gebäuden und Kooperationen wie z.B. Stadt Rathaus
FunkBox der GWDG Wetterbeständig Anschluss von bis zu 4 Antennen Integrierter 4 Port Switch LWL-Konverter Blitzschutz
Göttinger FunkLAN GoeMobile in Zahlen Gerätetyp und Hersteller Aufgrund der Ergebnisse lokaler Tests, haben wir uns für die Geräte von Lucent (Orinoco) entschieden. - Es werden 100 Accesspoints in Göttingen eingesetzt. - 70 AP-1000, mit jeweils zwei Antennenanschlüssen - 30 AP-500, mit jeweils einem Antennenanschluß Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 4 km bei freier Sicht, erreicht. Überdies werden Rundstrahlantennen des Typs, 7 dbi, 10 dbi , abhängig von der Umgebung des Einsatzortes, verwendet. Z.Zt. sind ca. 50 AP´s in Betrieb (Ziel mind. 100) Funkkarten Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen Anreiz schaffen zum Selbstkauf der Funk-Karten
Sicherheit ? im Funklan (Gefahren) Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netz ( vgl. Switches) Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern der direkte Netzverkehr zwischen zwei Stationen Direkter Zugang über Gebäudegrenzen hinweg, nicht nur für „Institutsangehörige !“ Die Funk-Reichweite ist oft schwer einzuschätzen Ausspähen von FunkSystemen mit Tools ist ein „Kindenspiel“ (war floaters) FunkLAN Managementprogramme via SNMP sind ein Angriffspunkt (Community!)
Göttinger FunkLAN GoeMobile in der Praxis Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s. http://www.gwdg.de/~goenet1 Test der Funkabdeckungsqualität Ein spezielles Programm (Eigenentwicklung) ermöglicht durch zusätzliche Nutzung eines GPS-Empfängers eine Erfassung der Funkabdeckungsqualität. Ortsinformationen des GPS und Verbindungsqualitätsdaten werden mit Zeitstempel in einer Tabelle festgehalten, die im Anschluss durch eine Datenbank ausgewertet werden kann. Dadurch ist eine qualitative, und vor allen Dingen rasche Aussage über die Funkausleuchtung möglich.
Weitere Dienste im FunkLAN: Digitalisierte Sprache sind „Daten“! Auch wenn dies in der Gesellschaft noch nicht verinnerlicht ist! GWDG experimentiert mit Voice over IP Siemens-Lösung: Software-Lösung auf PCs VoIP-Gateway zur bestehenden Telefonanlage ist bereits installiert (richtiges!) Telefonieren mit dem PC über die zentrale Telefon-Anlage Handy selber bauen??? www.spectralink.com (VoIP-Handy auf 802.11b-Basis) Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen: wozu DECT? Besser die Mittel aus Telefonetat für das Datennetz nutzen ! Wozu UMTS ??? Angesichts der 100 Mrd. DM ist WaveLAN echt billig
GoeMobile in der Praxis: Die Erreichbarkeit hängst stark von den verwendeten Antennen ab Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“ Funk ersetzt im professionellen Bereich NICHT! die herkömmliche Verkabelung
Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber
Wired Equivalent Privacy (WEP) Allgemeines Bestandteil des Standards 802.11b Benutzt den RC4 Algorithmus von RSA Security Inc. Schlüsselstärken 40-Bit (Standard) und 104-Bit 24-Bit Initialisierungsvektor Vorteile von WEP In jedem 802.11b Gerät verfügbar Hardwareunterstützt Softwareunabhängig Nachteile von WEP Manuelle Schlüsselverwaltung Keine Benutzerauthentifizierung 40-Bit Schlüssel gelten als nicht sicher RC4-Algorithmus hat Designschwächen
Wired Equivalent Privacy (WEP) IEEE 802.11i Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr Sicherheit zu gewährleisten WEP2 mit stärkerer Verschlüsselung Benutzerauthentifikation Fazit WEP ist besser als keine Verschlüsselung WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) WEP ist nicht zukunftssicher 1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines Microsoftspezifische Implementierung des PPTP Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung Zwei Versionen: MS-CHAPv1 und MS-CHAPv2 Benutzerauthentifikation Benutzerauthentifikation notwendig Password Authentification Protocol (PAP) Challenge Handshake Protocol (CHAP) Verschlüsselung Microsoft Point to Point Encryption (MPPE) Benutzt den RC4 Algorithmus von RSA Security Inc. 40-Bit oder 104-Bit Schlüssellängen
MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP Auf allen gängigen MS-Betriebssystemen verfügbar Bietet Verschlüsselung und Benutzerauthentifizierung Nachteile von MS-PPTP 40-Bit Schlüssel gelten als nicht sicher MS-CHAPv1 hat schwere Sicherheitslücken Protokoll hat Designschwächen Fazit MS-PPTP ist besser als keine Verschlüsselung MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) MS-PPTP ist nicht zukunftssicher 1) http://www.counterpane.com/pptp.html
Internet Protocol Security (IPSec) Allgemeines Erweiterung der TCP/IP Protokollsuite Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit Integraler Bestandteil von IPv6 (IPnG) Transportmodus nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) Vorteil: geringer Overhead gegenüber IPv4 Nachteil: Jeder Teilnehmer muss IPSec beherrschen Tunnelmodus Komplettes IP-Paket wird verschlüsselt Tunnel zwischen zwei Netzen möglich Vorteil: Nur Tunnelenden müssen IPSec beherrschen Nachteil: Nur Verschlüsselung zwischen den Tunnelenden
Internet Protocol Security (IPSec) Vorteile von IPSec Standard auf vielen Plattformen verfügbar Keine festgelegten Algorithmen Keine bekannten Designschwächen Nachteile von IPSec Keine Benutzerauthentifikation Clients müssen korrekt konfiguriert werden Fazit IPSec ist besser als keine Verschlüsselung IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) IPSec gilt als zukunftssicher IPSec ist i.d.R eine gute Wahl
Service Set Identifier (SSID) Allgemeines Identifier für Netzwerksegment Muss für den Zugriff bekannt sein Vergleichbar mit einem Passwort für das Netzwerksegment Vorteile Softwareunabhängig Schnell und einfach einzurichten Nachteile Muss jedem Teilnehmer bekannt sein Nur ein SSID pro AP Lässt sich in großen Netzen nicht wirklich geheim halten Kein korrekter Schutz vor „Sniffer“
Media Access Control (MAC) Address Filtering Allgemeines Filtern der MAC-Adressen der zugreifenden Clients MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server Vorteile Software- & Clientunabhängig Keine Aktion des Benutzers notwendig Nachteile Jede berechtigte Netzwerkkarte muss erfasst werden MAC-Adressen lassen sich leicht fälschen MAC-Adresslisten auf den APs lassen sich schwer warten
Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) MAC-Address Filtering auf den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz eines speziellen IPSec-Gateways Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen einen RADIUS-Server Benutzeraccounting über einem RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären Benutzeraccounts für die Authentifizierung über den RADIUS-Server Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten in zentraler DB Closed User Group SSID nicht unmittelbar für „alle“ sichtbar
Beteiligte Systeme im GoeMobile 2 redundante RADIUS-Server Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2 Benutzerautentifikation gegen NIS-Server hochverfügbares VPN-Gateway Cisco VPN 3030 Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzer-Authentifizierung gegen RADIUS Wave02 (Web- und Datenbankserver) Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 Webinterface und Datenbank für Benutzerprofile Failover für wave03 Wave03 Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 DHCP, DNS, Gateway für Nicht-IPSec-Clients
Übersicht über GoeMobile Ethernet VLAN Funkverbindung Router Internet wave03 Webinterface und Datenbank Richtfunkstrecke IPSec radius1, radius2 wave02 MAC- und Benutzer- autentifikation DHCP, DNS non-IPSec-Gateway VPN-Gateway Router/NAT IPSec
Konkrete Vorschläge für den Einsatz von FunkLAN in MPI(nstituten): Einsatz von 802.11b Systemen mit 11 Mbit/s Rundstrahlantennen ~7 dbi/10dbi für Innnenbereich Verwenden des „closed user group mode“ im FunkLAN wenn möglich!, Aufbau eines eigenen VLAN´s (ggf. arbeitsintensiv) Einsatz einer zentralen Userdatenbank auf einen RADIUS-Server Als RADIUS-Server Cistron o. FreeRadius unter LINUX einsetzen MAC-Adressen-Authentifizierung über o.g. RADIUS-Server direkt vom AP. Lediglich Funkkarten, die dort eingetragen wurden, haben Zugang Zusätzlich Verschlüsselung via PPTP P2TP (Authentifizierung) über PPPD oder besser IPSec Einsatz eines DHCP Server (z.B. LINUX), der direkt auf die eingetragenen MAC-Adressen die IP-Adresse vergibt (kein dynamischer IP-Pool) Durch DHCP vergebene IP-Adressen aus dem „private network“ Bereich nehmen. Der Zugang zum Internet ist durch das Gateway (Tunnel, NAT) möglich Verwendung eines eigenen FunkLAN-Namen, nicht ANY Erweitertes Logging aktivieren (i.d.R. auf RADIUS-Server) um schneller pot. Eindringversuche zu erkennen Den „NetBIOS“ Dienst auf der Funkkarte bei Windows Clients deaktivieren, wenn dieser nicht erforderlich ist
Fragen & Diskussion ! Mehr zum Thema FunkLAN ... http://www.goemobile.de eMail: info@goemobile.de Vorträge unter ... http://www.goemobile.de/vortraege/ Fragen & Diskussion !
VoIP von NK Networks (CISCO-VoIP) Vorstellung im Rahmen des GWDG-VoIP-Projektes Im grossen Seminarraum ist ... VoIP von NK Networks (CISCO-VoIP) ... ausgestellt. NK Networks steht für Tests und Fragen zur Verfügung.
Weiterführende Links und Quellen ... Einfluß von BlueTooth und WLAN http://www.teltarif.de/arch/2000/kw46/s3570.html Sicherheit in drahtlosen Netzen http://www.networkworld.de/artikel/index.cfm?id=65705&pageid=400&pageart=detail Hersteller von Funklan Geräten http://wiss.informatik.uni-rostock.de/hersteller/ 5 GHz Standards und Hiperlan/2 http://www.mez.ruhr-uni-bochum.de/projekte/wlan/mecki_standards.html 54 MBit Chips http://www.intersil.com/pressroom/20010619_PRISM_Indigo_German.asp