1

Göttinger FunkLAN GoeMobile ?Warum FunkLAN?

Wie funktioniert es ?Diverse Technologien

Göttinger FunkLAN GoeMobileStandards

ErweiterungenProbleme

Göttinger FunkLAN GoeMobile ?Warum FunkLAN?

Wie funktioniert es ?Diverse Technologien

Göttinger FunkLAN GoeMobileStandards

ErweiterungenProbleme

2

Einige Standorte in GoeMobile

Ziel: Hohe Funkabdeckungin Göttingen wird erreicht durchfunk auf exponierten Gebäudenund Kooperationen wiez.B. Stadt Rathaus

3

FunkBox der GWDG

WetterbeständigAnschluss von bis zu 4 AntennenIntegrierter 4 Port SwitchLWL-KonverterBlitzschutz

4

Göttinger FunkLAN GoeMobile in Zahlen Gerätetyp und Hersteller

Aufgrund der Ergebnisse lokaler Tests, haben wir uns für die Geräte von Lucent (Orinoco) entschieden.

Seit 11/2002 sind moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme)

Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS

Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr!

Antennen

Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht.

Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit.

Funkkarten

Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen

Anreiz schaffen zum Eigenerwerb von Funk-Karten

5

Sicherheit ? im Funklan (Gefahren)

Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar

Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netz ( vgl. Switches)

Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern der direkte Netzverkehr zwischen zwei Stationen

Direkter Zugang über Gebäudegrenzen hinweg, nicht nur für „Institutsangehörige !“

Die Funk-Reichweite ist oft schwer einzuschätzen

Ausspähen von FunkSystemen mit Tools ist ein „Kindenspiel“(war floaters)

FunkLAN Managementprogramme via SNMP sind ein Angriffspunkt (Community!)

6

Zentrales Management

Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s.http://www.goemobile.de/

Göttinger FunkLAN GoeMobile in der Praxis

7

Weitere Dienste im FunkLAN: Digitalisierte Sprache sind „Daten“!

GWDG setzt Voice over IP im WLAN ein

Handy selber bauen??? www.spectralink.com (VoIP-Handy auf 802.11b-Basis)

Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen:

wozu DECT?Die Mittel aus Telefonetat für das Datennetz nutzen !

8

GoeMobile in der Praxis:

Die Erreichbarkeit hängst stark von denverwendeten Antennen ab

Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“

Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung

9

Security im FunkLANSecurity im FunkLAN

GWDG, Niklas Neumann, Andreas Ißleiber

10

Wired Equivalent Privacy (WEP) Allgemeines

• Bestandteil des Standards 802.11b• Benutzt den RC4 Algorithmus von RSA Security Inc.• Schlüsselstärken 40-Bit (Standard) und 104-Bit• 24-Bit Initialisierungsvektor

Nachteile von WEP• Manuelle Schlüsselverwaltung• Keine Benutzerauthentifizierung• 40-Bit Schlüssel gelten als nicht sicher• RC4-Algorithmus hat Designschwächen

Vorteile von WEP• In jedem 802.11b Gerät verfügbar• Hardwareunterstützt• Softwareunabhängig

11

Wired Equivalent Privacy (WEP) IEEE 802.11i

• Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr Sicherheit zu gewährleisten

• WEP2 mit stärkerer Verschlüsselung• Benutzerauthentifikation

Fazit• WEP ist besser als keine Verschlüsselung• WEP ist anfällig gegen Kryptoanalyse und gilt als

nicht sicher1)

• WEP ist nicht zukunftssicher

1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

12

MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines

• Microsoftspezifische Implementierung des PPTP• Ermöglicht das Tunneln von Point-to-Point Protocol (PPP)

Verbindungen über TCP/IP über eine VPN-Verbindung• Zwei Versionen: MS-CHAPv1 und MS-CHAPv2

Verschlüsselung• Microsoft Point to Point Encryption (MPPE)• Benutzt den RC4 Algorithmus von RSA Security Inc.• 40-Bit oder 104-Bit Schlüssellängen

Benutzerauthentifikation• Benutzerauthentifikation notwendig• Password Authentification Protocol (PAP)• Challenge Handshake Protocol (CHAP)

13

MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP

• Auf allen gängigen MS-Betriebssystemen verfügbar• Bietet Verschlüsselung und Benutzerauthentifizierung

Fazit• MS-PPTP ist besser als keine Verschlüsselung• MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als

nicht sicher1)

• MS-PPTP ist nicht zukunftssicher

Nachteile von MS-PPTP• 40-Bit Schlüssel gelten als nicht sicher• MS-CHAPv1 hat schwere Sicherheitslücken• Protokoll hat Designschwächen

1) http://www.counterpane.com/pptp.html

14

Internet Protocol Security (IPSec) Allgemeines

• Erweiterung der TCP/IP Protokollsuite• Paket von Protokollen für Authentifizierung, Datenintegrität,

Zugriffskontrolle und Vertraulichkeit• Integraler Bestandteil von IPv6 (IPnG)

Transportmodus• nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten)• Vorteil: geringer Overhead gegenüber IPv4• Nachteil: Jeder Teilnehmer muss IPSec beherrschen

Tunnelmodus• Komplettes IP-Paket wird verschlüsselt• Tunnel zwischen zwei Netzen möglich• Vorteil: Nur Tunnelenden müssen IPSec beherrschen• Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

3/2003, Andreas Ißleiber

15

Internet Protocol Security (IPSec) Vorteile von IPSec

• Standard auf vielen Plattformen verfügbar• Keine festgelegten Algorithmen• Keine bekannten Designschwächen

Fazit• IPSec ist besser als keine Verschlüsselung• IPSec unterstützt als sicher geltende Algorithmen (z.B.

Blowfish, IDEA, MD5, SHA)• IPSec gilt als zukunftssicher • IPSec ist i.d.R eine gute Wahl

Nachteile von IPSec• Keine Benutzerauthentifikation• Clients müssen korrekt konfiguriert werden

3/2003, Andreas Ißleiber

16

Service Set Identifier (SSID) Allgemeines

• Identifier für Netzwerksegment• Muss für den Zugriff bekannt sein• Vergleichbar mit einem Passwort für das Netzwerksegment

Nachteile• Muss jedem Teilnehmer bekannt sein• Nur ein SSID pro AP• Lässt sich in großen Netzen nicht wirklich geheim halten• Kein korrekter Schutz vor „Sniffer“

Vorteile• Softwareunabhängig• Schnell und einfach einzurichten

17

Media Access Control (MAC) Address Filtering Allgemeines

• Filtern der MAC-Adressen der zugreifenden Clients • MAC-Adresslisten entweder lokal in den APs oder zentral

auf einem RADIUS-Server

Nachteile• Jede berechtigte Netzwerkkarte muss erfasst werden• MAC-Adressen lassen sich leicht fälschen• MAC-Adresslisten auf den APs lassen sich schwer warten

Vorteile• Software- & Clientunabhängig• Keine Aktion des Benutzers notwendig

18

Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur

• Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2)

MAC-Address Filtering auf den APs• Die MAC-Adressen der Clients werden von den APs durch

einen zentralen RADIUS-Servers geprüft Einsatz eines speziellen IPSec-Gateways

• Nur IPSec-Verbindungen werden akzeptiert• Benutzerauthentifizierung gegen einen RADIUS-Server• Benutzeraccounting über einem RADIUS-Server

Zentrale Benutzerverwaltung• Verwendung der regulären Benutzeraccounts für die

Authentifizierung über den RADIUS-Server• Webinterface ermöglicht den Benutzern ihre Benutzerprofile

selbst zu verwalten in zentraler DB Closed User Group

• SSID nicht unmittelbar für „alle“ sichtbar

19

Beteiligte Systeme im GoeMobile

hochverfügbares VPN-Gateway• Cisco VPN 3030• Hardwareunterstützte IPSec-Verschlüsselung• Unterstützung für Hochgeschwindigkeitsnetze• Benutzer-Authentifizierung gegen RADIUS

Wave02 (Web- und Datenbankserver)• Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2• Webinterface und Datenbank für Benutzerprofile• Failover für wave03

2 redundante RADIUS-Server• Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2• Benutzerautentifikation gegen NIS-Server

Wave03• Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2• DHCP, DNS, Gateway für Nicht-IPSec-Clients

20

Übersicht „GoeMobile“

RouterInternet

Router/NAT

Richtfu

nkstr

ecke

IPSec

VPN-Gateway

wave02

wave03

IPSec

Ethernet VLAN

Funkverbindung

radius1, radius2MAC- undBenutzer-autentifikation

Webinterfaceund Datenbank

DHCP, DNSnon-IPSec-Gateway

21

Konkrete Vorschläge für den Einsatz von FunkLAN in MPI(nstituten): Einsatz von 802.11b Systemen mit 11 Mbit/s Rundstrahlantennen ~7 dbi/10dbi für Innnenbereich Verwenden des „closed user group mode“ im FunkLAN wenn möglich!, Aufbau eines eigenen VLAN´s (ggf. arbeitsintensiv) Einsatz einer zentralen Userdatenbank auf einen RADIUS-Server Als RADIUS-Server Cistron o. FreeRadius unter LINUX einsetzen MAC-Adressen-Authentifizierung über o.g. RADIUS-Server direkt vom AP.

Lediglich Funkkarten, die dort eingetragen wurden, haben Zugang Zusätzlich Verschlüsselung via PPTP P2TP (Authentifizierung) über PPPD

oder besser IPSec Einsatz eines DHCP Server (z.B. LINUX), der direkt auf die eingetragenen

MAC-Adressen die IP-Adresse vergibt (kein dynamischer IP-Pool) Durch DHCP vergebene IP-Adressen aus dem „private network“ Bereich nehmen. Der Zugang zum Internet ist durch das Gateway (Tunnel, NAT) möglich Verwendung eines eigenen FunkLAN-Namen, nicht ANY Erweitertes Logging aktivieren (i.d.R. auf RADIUS-Server) um schneller pot.

Eindringversuche zu erkennen Den „NetBIOS“ Dienst auf der Funkkarte bei Windows Clients deaktivieren,

wenn dieser nicht erforderlich ist

22

Mehr zum Thema FunkLAN ...

http://www.goemobile.de

eMail: info@goemobile.de

Vorträge unter ...

http://www.goemobile.de/vortraege/

Fragen & Diskussion !

23

Vorstellung im Rahmen des GWDG-VoIP-Projektes

Im grossen Seminarraum ist ...

VoIP von NK Networks (CISCO-VoIP)

... ausgestellt. NK Networks steht für Tests und Fragen zur Verfügung.

24

GoeMobile im Kontext „NBU“ NBU stützt sich wesentlich auf FunkLAN

• Ziele: • Ausbau der „HotSpots“ • Erweiterung der Hörsäle durch FunkLAN• Einfachen Zugang zum Netz gewähren unter Beibehaltung

der Sicherheit

3/2003, Andreas Ißleiber

25

Weiterführende Links und Quellen ...

Einfluß von BlueTooth und WLANhttp://www.teltarif.de/arch/2000/kw46/s3570.html

Sicherheit in drahtlosen Netzenhttp://www.networkworld.de/artikel/index.cfm?id=65705&pageid=400&pageart=detail

Hersteller von Funklan Gerätenhttp://wiss.informatik.uni-rostock.de/hersteller/

5 GHz Standards und Hiperlan/2http://www.mez.ruhr-uni-bochum.de/projekte/wlan/mecki_standards.html

54 MBit Chipshttp://www.intersil.com/pressroom/20010619_PRISM_Indigo_German.asp