1

1) Göttinger FunkLAN „GoeMobile“ im Überblick2) Weitere Dienste im FunkLAN, VoIP3) Sicherheit im FunkLAN4) Die Gefahren5) Moderne Sicherheitsmechanismen im WLAN6) Bausteine des Sicherheitsmodells im GoeMobile7) Praxisnahe Probleme beim WLAN-Einsatz8) GoeMobile im Kontext „NBU“9) Fazit ... Ausblick ... Erweiterungen ...

3/2003, Andreas Ißleiber

GoeMobile als Basistechnologie für die

NBU

GoeMobile als Basistechnologie für die

NBU

2

Göttinger FunkLAN „GoeMobile“ im Überblick

Zahlen und Statistiken

Erste Inbetriebnahme (Testbetrieb) 11/2000

Ca. 1200 reale Benutzer, 25.000 mögliche! Benutzer

Benutzergruppen des GoeMobile Anteil [%]- Universitätsangehörige 32%- Studierende 61%- Max-Planck-Institute 4%- lokale Forschungseinrichtungen (DPZ, IWF) 2%- Gäste bei Tagungen über „Kurzzeitaccounts“ 1%

Gleichzeitig im FunkLAN angemeldete Benutzer: 180, Stand 2/2003

3

„GoeMobile“ im Überblick Eingesetzte Geräte

AccessPoints von Lucent/Orinoco (mittlerweile AGERE)

Seit 11/2002 sind zusätzlich moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme)- Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS

Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr!

Antennen

Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht.

Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit.

Funkkarten

Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen

Anreiz schaffen zum Eigenerwerb von Funk-Karten

Ein „Funk-Laden“ hat in Göttingen eröffnet, der die Benutzer lokal mit Geräten versorgt

4

FunkBox der GWDG

WetterbeständigAnschluss von bis zu 4 AntennenIntegrierter 4 Port SwitchLWL-KonverterBlitzschutz

5

Einige Standorte in GoeMobile

Ziel: Hohe Funkabdeckungin Göttingen wird erreicht durch exponierte Gebäudeund Kooperationen wiez.B. Stadt Rathaus

6

Zentrales Management

Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s.http://www.goemobile.de/

Statistiken werden auch für die Benutzer zugänglich via WEB zur Verfügung gestellt

„GoeMobile“ in der Praxis

7

Weitere Dienste im FunkLAN Digitalisierte Sprache sind „Daten“!

GWDG setzt Voice over IP im WLAN ein(ausschließlich für interne Nutzung)

www.spectralink.com (VoIP-Handy auf 802.11b-Basis)Wird in der GWDG bereits als Testsystem betrieben

Damit stellen sich die Fragen: wozu DECT? Die Mittel aus Telefonetat für das Datennetz nutzen !

8

Engagment unserer Benutzer im GoeMobile

Die Erreichbarkeit hängst stark von denverwendeten Antennen ab

Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“

Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung

9

Sicherheit im FunkLANSicherheit im FunkLAN

10

Sicherheit im Funklan (die Gefahren)

Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar

Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netzen( vgl. Switches)

Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern auch der direkte Netzverkehr zwischen zwei Stationen

Zugang, teilweise weit über Gebäudegrenzen hinweg.Die Reichweite ist oft schwer einzuschätzen und variabel !

Ausspähen von WLANs mit fertigen Tools ist ein „Kindenspiel“(war drivers)

FunkLAN Managementprogramme via SNMP sind weitere Angriffspunkte

3/2003, Andreas Ißleiber

11

Überblick über diverse Sicherheitsmechanismen im WLAN

WEB, WEB+

MAC-Adressen Authentifikation

SSID

VPN mit:- PPTP- MS-PPTP

- IPSec

EAP-TLS & TTLS (Extensible Authentication Protocol - Transport Layer Security)

PEAP (Protected EAP)

LEAP (Lightweight EAP)

3/2003, Andreas Ißleiber

Moderne Sicherheitsmechanismenals Alternativen zum VPNModerne Sicherheitsmechanismenals Alternativen zum VPN

Klassische SicherheitsmechanismenKlassische Sicherheitsmechanismen

12

Moderne Sicherheitsmechanismen im WLAN EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security)

3/2003, Andreas Ißleiber

+ Basiert auf existierendem 802.1x (portbasierte Authentifizierung)

+ Vielversprechender Ansatz, da anbieterunabhängig

- Integration in bestehende Umgebungen etwas komplex

+/- WLAN Systeme und Authentifizierungssysteme (RADIUS-Server) müssen EAP/-TLS fähig sein

- Ältere Betriebssysteme beherrschen kein EAP-TLS (Windows XP und W2K zum Teil schon)

+ Wird in Kürze von der GWDG als Alternative parallel! zum VPN eingesetzt

+ Hohe Performance gegenüber IPSec (dyn. WEP-Verschlüsselung)

13

Moderne Sicherheitsmechanismen im WLAN PEAP (Protected EAP)

3/2003, Andreas Ißleiber

+ PEAP wurde von Microsoft, Cisco und RSA Security entwickelt

+ In einigen MS-Betriebssystemem enthalten

+ Kann als „Container“ für diverse Verschlüsselungsprotokolle dienen

LEAP (Lightweight EAP)

+/- LEAP wurde von Cisco entwickelt

+ In Verbindung mit CISCO-APs und AAA von CISCO sinnvolles Verfahren

- Starke Abhängigkeit zum Hersteller

Vergleicht man alle modernen Verfahren, so kann es (noch) keine klare Präferenz geben

14

Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur

• Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2)

MAC-Address Filterung bereits bei den APs• Die MAC-Adressen der Clients werden von den APs durch

einen zentralen RADIUS-Servers geprüft Einsatz von VPN Gateways (IPSec/3DES)

• Nur IPSec-Verbindungen werden akzeptiert• Benutzerauthentifizierung gegen zentrale RADIUS-Server• Benutzeraccounting über RADIUS-Server

Zentrale Benutzerverwaltung• Verwendung der regulären, existierenden Benutzeraccounts

für die Authentifizierung• Webinterface ermöglicht den Benutzern ihre Benutzerprofile

selbst zu verwalten. (profile) Closed User Group

• SSID nicht unmittelbar für „alle“ sichtbar

3/2003, Andreas Ißleiber

15

Beteiligte Systeme im GoeMobile

hochverfügbares VPN-Gateway• Cisco VPN 3060• Hardwareunterstützte IPSec-Verschlüsselung• Unterstützung für Hochgeschwindigkeitsnetze• Benutzer-Authentifizierung gegen RADIUS

Wave02 (Web- und Datenbankserver)• Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1• Webinterface und Datenbank für Benutzerprofile• Failover für wave03

2 redundante RADIUS-Server• Pentium III (500 MHz, 512Mb RAM), SuSE Linux 8.1• Benutzerautentifikation (noch) gegen NIS-Server

Wave03• Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1• DHCP, DNS, Gateway für Nicht-IPSec-Clients

3/2003, Andreas Ißleiber

16

Übersicht „GoeMobile“

RouterInternet

Router/NAT

Richtfu

nkstr

ecke

IPSec

VPN-Gateway

wave02

wave03

IPSec

Ethernet VLAN

Funkverbindung

radius1, radius2MAC- undBenutzer-autentifikation

Webinterfaceund Datenbank

DHCP, DNSnon-IPSec-Gateway

3/2003, Andreas Ißleiber

17

Praxisnahe Probleme beim WLAN-Einsatz Benutzer erwarten gleichbleibende Funkqualität

Lösungen: - Einrichten, Forcieren von „Selbsthilfegruppen“ via Newslisten, Mailinglisten, Diskussionsforen, Infos über Web.- Verfahren der qualitativen Rückmeldung der Funkqualität der Benutzer mit zentraler (Ergebnis)Datenhaltung - Hotline einrichten (Zeiten beschränken und bekannt geben)

„Misbrauch“ des FunkLAN (Überbeanspruchung, Tauschbörsen)Lösungen:- TopTen Benutzer ermitteln- Accounten, Limits setzen, Benutzerordnung (juristisch)- Am Funk-Bedarf orientieren und entsprechend ausbauen oder reduzieren- Sperren einiger „Ports“

Elektrosmog DiskussionLösungen:- Einbeziehen unabhängiger Fachleute (Beispiel bei der GWDG: Die UNI Kassel (FB: HF-Messtechnik erstellt Gutachten für das GoeMobile in Göttingen)

3/2003, Andreas Ißleiber

18

GoeMobile im Kontext „NBU“ NBU stützt sich wesentlich auf eine WLAN Infrastruktur

• Ziele: • Ausbau der „HotSpots“ • Erweiterung der Hörsäle durch FunkLAN (Multimediahörsaal)• Einfachen Zugang zum Netz gewähren unter Beibehaltung der

Sicherheit

• Besondere Anforderungen im Hörsaal:- Hohe Dichte an Nutzern- Hohe Bandbreite -> „Video Streaming“, „Multicast“- einfacher Zugang zum Netz- Absicherung der Rechner untereinander- Netzzugänge einschränken (keine Tauschbörsen im Hörsaal)

3/2003, Andreas Ißleiber

19

Fazit ... Ausblick ... Erweiterungen ...

• 802.11a 54-MBit-Funknetz im 5-GHz-Band• 802.11b 11-MBit-Funknetz im 2,4-GHz-Band• 802.11e MAC Erweiterung für QoS• 802.11b-cor Soll Probleme bei der MIB beheben.• 802.11f Definition eines Interoperabilität zwischen APs unterschiedlicher Hersteller• 802.11g Erhöhung der Geschwindigkeit auf > 20 MBit/s • 802.11i Verbesserung von Verschlüsselung und Authentisierung

- GoeMobile ist in kürzester Zeit zu einem entscheidenen Zugangsweg ins Göttinger-Netz geworden

- Es konnten die teilweise hohen Erwartungen der Benutzer nicht überall und vollständig befriedigt werden (Stabilität, Erreichbarkeit)

- WLAN erfordert viel Systemkenntnisse bei Betreiber und! beim Benutzer

- In Göttingen wurde „parallel“ mit dem Aufbau von 54MBit/s Systemen begonnen -> NBU

- Diverse Standards erschweren die Entscheidung für die Zukunft des WLAN

20

Mehr zum Thema FunkLAN ...

http://www.goemobile.de

eMail: info@goemobile.de

Vorträge unter ...

http://www.goemobile.de/vortraege/

Fragen & Diskussion !

Vielen Dank!