Upload
betlinde-lauser
View
108
Download
5
Embed Size (px)
Citation preview
1
1) Göttinger FunkLAN „GoeMobile“ im Überblick2) Weitere Dienste im FunkLAN, VoIP3) Sicherheit im FunkLAN4) Die Gefahren5) Moderne Sicherheitsmechanismen im WLAN6) Bausteine des Sicherheitsmodells im GoeMobile7) Praxisnahe Probleme beim WLAN-Einsatz8) GoeMobile im Kontext „NBU“9) Fazit ... Ausblick ... Erweiterungen ...
3/2003, Andreas Ißleiber
GoeMobile als Basistechnologie für die
NBU
GoeMobile als Basistechnologie für die
NBU
2
Göttinger FunkLAN „GoeMobile“ im Überblick
Zahlen und Statistiken
Erste Inbetriebnahme (Testbetrieb) 11/2000
Ca. 1200 reale Benutzer, 25.000 mögliche! Benutzer
Benutzergruppen des GoeMobile Anteil [%]- Universitätsangehörige 32%- Studierende 61%- Max-Planck-Institute 4%- lokale Forschungseinrichtungen (DPZ, IWF) 2%- Gäste bei Tagungen über „Kurzzeitaccounts“ 1%
Gleichzeitig im FunkLAN angemeldete Benutzer: 180, Stand 2/2003
3
„GoeMobile“ im Überblick Eingesetzte Geräte
AccessPoints von Lucent/Orinoco (mittlerweile AGERE)
Seit 11/2002 sind zusätzlich moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme)- Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS
Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr!
Antennen
Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht.
Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit.
Funkkarten
Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen
Anreiz schaffen zum Eigenerwerb von Funk-Karten
Ein „Funk-Laden“ hat in Göttingen eröffnet, der die Benutzer lokal mit Geräten versorgt
4
FunkBox der GWDG
WetterbeständigAnschluss von bis zu 4 AntennenIntegrierter 4 Port SwitchLWL-KonverterBlitzschutz
5
Einige Standorte in GoeMobile
Ziel: Hohe Funkabdeckungin Göttingen wird erreicht durch exponierte Gebäudeund Kooperationen wiez.B. Stadt Rathaus
6
Zentrales Management
Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s.http://www.goemobile.de/
Statistiken werden auch für die Benutzer zugänglich via WEB zur Verfügung gestellt
„GoeMobile“ in der Praxis
7
Weitere Dienste im FunkLAN Digitalisierte Sprache sind „Daten“!
GWDG setzt Voice over IP im WLAN ein(ausschließlich für interne Nutzung)
www.spectralink.com (VoIP-Handy auf 802.11b-Basis)Wird in der GWDG bereits als Testsystem betrieben
Damit stellen sich die Fragen: wozu DECT? Die Mittel aus Telefonetat für das Datennetz nutzen !
8
Engagment unserer Benutzer im GoeMobile
Die Erreichbarkeit hängst stark von denverwendeten Antennen ab
Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“
Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung
9
Sicherheit im FunkLANSicherheit im FunkLAN
10
Sicherheit im Funklan (die Gefahren)
Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar
Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netzen( vgl. Switches)
Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern auch der direkte Netzverkehr zwischen zwei Stationen
Zugang, teilweise weit über Gebäudegrenzen hinweg.Die Reichweite ist oft schwer einzuschätzen und variabel !
Ausspähen von WLANs mit fertigen Tools ist ein „Kindenspiel“(war drivers)
FunkLAN Managementprogramme via SNMP sind weitere Angriffspunkte
3/2003, Andreas Ißleiber
11
Überblick über diverse Sicherheitsmechanismen im WLAN
WEB, WEB+
MAC-Adressen Authentifikation
SSID
VPN mit:- PPTP- MS-PPTP
- IPSec
EAP-TLS & TTLS (Extensible Authentication Protocol - Transport Layer Security)
PEAP (Protected EAP)
LEAP (Lightweight EAP)
3/2003, Andreas Ißleiber
Moderne Sicherheitsmechanismenals Alternativen zum VPNModerne Sicherheitsmechanismenals Alternativen zum VPN
Klassische SicherheitsmechanismenKlassische Sicherheitsmechanismen
12
Moderne Sicherheitsmechanismen im WLAN EAP-TLS & 802.1X: (Extensible Authentication Protocol - Transport Layer Security)
3/2003, Andreas Ißleiber
+ Basiert auf existierendem 802.1x (portbasierte Authentifizierung)
+ Vielversprechender Ansatz, da anbieterunabhängig
- Integration in bestehende Umgebungen etwas komplex
+/- WLAN Systeme und Authentifizierungssysteme (RADIUS-Server) müssen EAP/-TLS fähig sein
- Ältere Betriebssysteme beherrschen kein EAP-TLS (Windows XP und W2K zum Teil schon)
+ Wird in Kürze von der GWDG als Alternative parallel! zum VPN eingesetzt
+ Hohe Performance gegenüber IPSec (dyn. WEP-Verschlüsselung)
13
Moderne Sicherheitsmechanismen im WLAN PEAP (Protected EAP)
3/2003, Andreas Ißleiber
+ PEAP wurde von Microsoft, Cisco und RSA Security entwickelt
+ In einigen MS-Betriebssystemem enthalten
+ Kann als „Container“ für diverse Verschlüsselungsprotokolle dienen
LEAP (Lightweight EAP)
+/- LEAP wurde von Cisco entwickelt
+ In Verbindung mit CISCO-APs und AAA von CISCO sinnvolles Verfahren
- Starke Abhängigkeit zum Hersteller
Vergleicht man alle modernen Verfahren, so kann es (noch) keine klare Präferenz geben
14
Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur
• Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2)
MAC-Address Filterung bereits bei den APs• Die MAC-Adressen der Clients werden von den APs durch
einen zentralen RADIUS-Servers geprüft Einsatz von VPN Gateways (IPSec/3DES)
• Nur IPSec-Verbindungen werden akzeptiert• Benutzerauthentifizierung gegen zentrale RADIUS-Server• Benutzeraccounting über RADIUS-Server
Zentrale Benutzerverwaltung• Verwendung der regulären, existierenden Benutzeraccounts
für die Authentifizierung• Webinterface ermöglicht den Benutzern ihre Benutzerprofile
selbst zu verwalten. (profile) Closed User Group
• SSID nicht unmittelbar für „alle“ sichtbar
3/2003, Andreas Ißleiber
15
Beteiligte Systeme im GoeMobile
hochverfügbares VPN-Gateway• Cisco VPN 3060• Hardwareunterstützte IPSec-Verschlüsselung• Unterstützung für Hochgeschwindigkeitsnetze• Benutzer-Authentifizierung gegen RADIUS
Wave02 (Web- und Datenbankserver)• Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1• Webinterface und Datenbank für Benutzerprofile• Failover für wave03
2 redundante RADIUS-Server• Pentium III (500 MHz, 512Mb RAM), SuSE Linux 8.1• Benutzerautentifikation (noch) gegen NIS-Server
Wave03• Dual Pentium III (850 MHz, 512Mb RAM), SuSE Linux 8.1• DHCP, DNS, Gateway für Nicht-IPSec-Clients
3/2003, Andreas Ißleiber
16
Übersicht „GoeMobile“
RouterInternet
Router/NAT
Richtfu
nkstr
ecke
IPSec
VPN-Gateway
wave02
wave03
IPSec
Ethernet VLAN
Funkverbindung
radius1, radius2MAC- undBenutzer-autentifikation
Webinterfaceund Datenbank
DHCP, DNSnon-IPSec-Gateway
3/2003, Andreas Ißleiber
17
Praxisnahe Probleme beim WLAN-Einsatz Benutzer erwarten gleichbleibende Funkqualität
Lösungen: - Einrichten, Forcieren von „Selbsthilfegruppen“ via Newslisten, Mailinglisten, Diskussionsforen, Infos über Web.- Verfahren der qualitativen Rückmeldung der Funkqualität der Benutzer mit zentraler (Ergebnis)Datenhaltung - Hotline einrichten (Zeiten beschränken und bekannt geben)
„Misbrauch“ des FunkLAN (Überbeanspruchung, Tauschbörsen)Lösungen:- TopTen Benutzer ermitteln- Accounten, Limits setzen, Benutzerordnung (juristisch)- Am Funk-Bedarf orientieren und entsprechend ausbauen oder reduzieren- Sperren einiger „Ports“
Elektrosmog DiskussionLösungen:- Einbeziehen unabhängiger Fachleute (Beispiel bei der GWDG: Die UNI Kassel (FB: HF-Messtechnik erstellt Gutachten für das GoeMobile in Göttingen)
3/2003, Andreas Ißleiber
18
GoeMobile im Kontext „NBU“ NBU stützt sich wesentlich auf eine WLAN Infrastruktur
• Ziele: • Ausbau der „HotSpots“ • Erweiterung der Hörsäle durch FunkLAN (Multimediahörsaal)• Einfachen Zugang zum Netz gewähren unter Beibehaltung der
Sicherheit
• Besondere Anforderungen im Hörsaal:- Hohe Dichte an Nutzern- Hohe Bandbreite -> „Video Streaming“, „Multicast“- einfacher Zugang zum Netz- Absicherung der Rechner untereinander- Netzzugänge einschränken (keine Tauschbörsen im Hörsaal)
3/2003, Andreas Ißleiber
19
Fazit ... Ausblick ... Erweiterungen ...
• 802.11a 54-MBit-Funknetz im 5-GHz-Band• 802.11b 11-MBit-Funknetz im 2,4-GHz-Band• 802.11e MAC Erweiterung für QoS• 802.11b-cor Soll Probleme bei der MIB beheben.• 802.11f Definition eines Interoperabilität zwischen APs unterschiedlicher Hersteller• 802.11g Erhöhung der Geschwindigkeit auf > 20 MBit/s • 802.11i Verbesserung von Verschlüsselung und Authentisierung
- GoeMobile ist in kürzester Zeit zu einem entscheidenen Zugangsweg ins Göttinger-Netz geworden
- Es konnten die teilweise hohen Erwartungen der Benutzer nicht überall und vollständig befriedigt werden (Stabilität, Erreichbarkeit)
- WLAN erfordert viel Systemkenntnisse bei Betreiber und! beim Benutzer
- In Göttingen wurde „parallel“ mit dem Aufbau von 54MBit/s Systemen begonnen -> NBU
- Diverse Standards erschweren die Entscheidung für die Zukunft des WLAN
20
Mehr zum Thema FunkLAN ...
http://www.goemobile.de
eMail: [email protected]
Vorträge unter ...
http://www.goemobile.de/vortraege/
Fragen & Diskussion !
Vielen Dank!