Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme

Einige Standorte in GoeMobile Ziel: Hohe Funkabdeckung in Göttingen wird erreicht durch funk auf exponierten Gebäuden und Kooperationen wie z.B. Stadt Rathaus

FunkBox der GWDG Wetterbeständig Anschluss von bis zu 4 Antennen Integrierter 4 Port Switch LWL-Konverter Blitzschutz

Göttinger FunkLAN GoeMobile in Zahlen Gerätetyp und Hersteller Aufgrund der Ergebnisse lokaler Tests, haben wir uns für die Geräte von Lucent (Orinoco) entschieden. Seit 11/2002 sind moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme) Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr! Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht. Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit. Funkkarten Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen Anreiz schaffen zum Eigenerwerb von Funk-Karten

Sicherheit ? im Funklan (Gefahren) Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netz ( vgl. Switches) Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern der direkte Netzverkehr zwischen zwei Stationen Direkter Zugang über Gebäudegrenzen hinweg, nicht nur für „Institutsangehörige !“ Die Funk-Reichweite ist oft schwer einzuschätzen Ausspähen von FunkSystemen mit Tools ist ein „Kindenspiel“ (war floaters) FunkLAN Managementprogramme via SNMP sind ein Angriffspunkt (Community!)

Göttinger FunkLAN GoeMobile in der Praxis Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s. http://www.goemobile.de/

Weitere Dienste im FunkLAN: Digitalisierte Sprache sind „Daten“! GWDG setzt Voice over IP im WLAN ein Handy selber bauen??? www.spectralink.com (VoIP-Handy auf 802.11b-Basis) Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen: wozu DECT? Die Mittel aus Telefonetat für das Datennetz nutzen !

GoeMobile in der Praxis: Die Erreichbarkeit hängst stark von den verwendeten Antennen ab Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“ Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung

Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber

Wired Equivalent Privacy (WEP) Allgemeines Bestandteil des Standards 802.11b Benutzt den RC4 Algorithmus von RSA Security Inc. Schlüsselstärken 40-Bit (Standard) und 104-Bit 24-Bit Initialisierungsvektor Vorteile von WEP In jedem 802.11b Gerät verfügbar Hardwareunterstützt Softwareunabhängig Nachteile von WEP Manuelle Schlüsselverwaltung Keine Benutzerauthentifizierung 40-Bit Schlüssel gelten als nicht sicher RC4-Algorithmus hat Designschwächen

Wired Equivalent Privacy (WEP) IEEE 802.11i Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr Sicherheit zu gewährleisten WEP2 mit stärkerer Verschlüsselung Benutzerauthentifikation Fazit WEP ist besser als keine Verschlüsselung WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) WEP ist nicht zukunftssicher 1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines Microsoftspezifische Implementierung des PPTP Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung Zwei Versionen: MS-CHAPv1 und MS-CHAPv2 Benutzerauthentifikation Benutzerauthentifikation notwendig Password Authentification Protocol (PAP) Challenge Handshake Protocol (CHAP) Verschlüsselung Microsoft Point to Point Encryption (MPPE) Benutzt den RC4 Algorithmus von RSA Security Inc. 40-Bit oder 104-Bit Schlüssellängen

MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP Auf allen gängigen MS-Betriebssystemen verfügbar Bietet Verschlüsselung und Benutzerauthentifizierung Nachteile von MS-PPTP 40-Bit Schlüssel gelten als nicht sicher MS-CHAPv1 hat schwere Sicherheitslücken Protokoll hat Designschwächen Fazit MS-PPTP ist besser als keine Verschlüsselung MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) MS-PPTP ist nicht zukunftssicher 1) http://www.counterpane.com/pptp.html

Internet Protocol Security (IPSec) 3/2003, Andreas Ißleiber Internet Protocol Security (IPSec) Allgemeines Erweiterung der TCP/IP Protokollsuite Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit Integraler Bestandteil von IPv6 (IPnG) Transportmodus nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) Vorteil: geringer Overhead gegenüber IPv4 Nachteil: Jeder Teilnehmer muss IPSec beherrschen Tunnelmodus Komplettes IP-Paket wird verschlüsselt Tunnel zwischen zwei Netzen möglich Vorteil: Nur Tunnelenden müssen IPSec beherrschen Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

Internet Protocol Security (IPSec) 3/2003, Andreas Ißleiber Internet Protocol Security (IPSec) Vorteile von IPSec Standard auf vielen Plattformen verfügbar Keine festgelegten Algorithmen Keine bekannten Designschwächen Nachteile von IPSec Keine Benutzerauthentifikation Clients müssen korrekt konfiguriert werden Fazit IPSec ist besser als keine Verschlüsselung IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) IPSec gilt als zukunftssicher IPSec ist i.d.R eine gute Wahl

Service Set Identifier (SSID) Allgemeines Identifier für Netzwerksegment Muss für den Zugriff bekannt sein Vergleichbar mit einem Passwort für das Netzwerksegment Vorteile Softwareunabhängig Schnell und einfach einzurichten Nachteile Muss jedem Teilnehmer bekannt sein Nur ein SSID pro AP Lässt sich in großen Netzen nicht wirklich geheim halten Kein korrekter Schutz vor „Sniffer“

Media Access Control (MAC) Address Filtering Allgemeines Filtern der MAC-Adressen der zugreifenden Clients MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server Vorteile Software- & Clientunabhängig Keine Aktion des Benutzers notwendig Nachteile Jede berechtigte Netzwerkkarte muss erfasst werden MAC-Adressen lassen sich leicht fälschen MAC-Adresslisten auf den APs lassen sich schwer warten

Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) MAC-Address Filtering auf den APs Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft Einsatz eines speziellen IPSec-Gateways Nur IPSec-Verbindungen werden akzeptiert Benutzerauthentifizierung gegen einen RADIUS-Server Benutzeraccounting über einem RADIUS-Server Zentrale Benutzerverwaltung Verwendung der regulären Benutzeraccounts für die Authentifizierung über den RADIUS-Server Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten in zentraler DB Closed User Group SSID nicht unmittelbar für „alle“ sichtbar

Beteiligte Systeme im GoeMobile 2 redundante RADIUS-Server Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2 Benutzerautentifikation gegen NIS-Server hochverfügbares VPN-Gateway Cisco VPN 3030 Hardwareunterstützte IPSec-Verschlüsselung Unterstützung für Hochgeschwindigkeitsnetze Benutzer-Authentifizierung gegen RADIUS Wave02 (Web- und Datenbankserver) Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 Webinterface und Datenbank für Benutzerprofile Failover für wave03 Wave03 Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 DHCP, DNS, Gateway für Nicht-IPSec-Clients

Übersicht „GoeMobile“ Ethernet VLAN Funkverbindung Router Internet wave03 Webinterface und Datenbank Richtfunkstrecke IPSec radius1, radius2 wave02 MAC- und Benutzer- autentifikation DHCP, DNS non-IPSec-Gateway VPN-Gateway Router/NAT IPSec

Konkrete Vorschläge für den Einsatz von FunkLAN in MPI(nstituten): Einsatz von 802.11b Systemen mit 11 Mbit/s Rundstrahlantennen ~7 dbi/10dbi für Innnenbereich Verwenden des „closed user group mode“ im FunkLAN wenn möglich!, Aufbau eines eigenen VLAN´s (ggf. arbeitsintensiv) Einsatz einer zentralen Userdatenbank auf einen RADIUS-Server Als RADIUS-Server Cistron o. FreeRadius unter LINUX einsetzen MAC-Adressen-Authentifizierung über o.g. RADIUS-Server direkt vom AP. Lediglich Funkkarten, die dort eingetragen wurden, haben Zugang Zusätzlich Verschlüsselung via PPTP P2TP (Authentifizierung) über PPPD oder besser IPSec Einsatz eines DHCP Server (z.B. LINUX), der direkt auf die eingetragenen MAC-Adressen die IP-Adresse vergibt (kein dynamischer IP-Pool) Durch DHCP vergebene IP-Adressen aus dem „private network“ Bereich nehmen. Der Zugang zum Internet ist durch das Gateway (Tunnel, NAT) möglich Verwendung eines eigenen FunkLAN-Namen, nicht ANY Erweitertes Logging aktivieren (i.d.R. auf RADIUS-Server) um schneller pot. Eindringversuche zu erkennen Den „NetBIOS“ Dienst auf der Funkkarte bei Windows Clients deaktivieren, wenn dieser nicht erforderlich ist

Fragen & Diskussion ! Mehr zum Thema FunkLAN ... http://www.goemobile.de eMail: info@goemobile.de Vorträge unter ... http://www.goemobile.de/vortraege/ Fragen & Diskussion !

VoIP von NK Networks (CISCO-VoIP) Vorstellung im Rahmen des GWDG-VoIP-Projektes Im grossen Seminarraum ist ... VoIP von NK Networks (CISCO-VoIP) ... ausgestellt. NK Networks steht für Tests und Fragen zur Verfügung.

GoeMobile im Kontext „NBU“ 3/2003, Andreas Ißleiber GoeMobile im Kontext „NBU“ NBU stützt sich wesentlich auf FunkLAN Ziele: Ausbau der „HotSpots“ Erweiterung der Hörsäle durch FunkLAN Einfachen Zugang zum Netz gewähren unter Beibehaltung der Sicherheit

Weiterführende Links und Quellen ... Einfluß von BlueTooth und WLAN http://www.teltarif.de/arch/2000/kw46/s3570.html Sicherheit in drahtlosen Netzen http://www.networkworld.de/artikel/index.cfm?id=65705&pageid=400&pageart=detail Hersteller von Funklan Geräten http://wiss.informatik.uni-rostock.de/hersteller/ 5 GHz Standards und Hiperlan/2 http://www.mez.ruhr-uni-bochum.de/projekte/wlan/mecki_standards.html 54 MBit Chips http://www.intersil.com/pressroom/20010619_PRISM_Indigo_German.asp