View
108
Download
0
Category
Preview:
Citation preview
1
Göttinger FunkLAN GoeMobile ?Warum FunkLAN?
Wie funktioniert es ?Diverse Technologien
Göttinger FunkLAN GoeMobileStandards
ErweiterungenProbleme
Göttinger FunkLAN GoeMobile ?Warum FunkLAN?
Wie funktioniert es ?Diverse Technologien
Göttinger FunkLAN GoeMobileStandards
ErweiterungenProbleme
2
Einige Standorte in GoeMobile
Ziel: Hohe Funkabdeckungin Göttingen wird erreicht durchfunk auf exponierten Gebäudenund Kooperationen wiez.B. Stadt Rathaus
3
FunkBox der GWDG
WetterbeständigAnschluss von bis zu 4 AntennenIntegrierter 4 Port SwitchLWL-KonverterBlitzschutz
4
Göttinger FunkLAN GoeMobile in Zahlen Gerätetyp und Hersteller
Aufgrund der Ergebnisse lokaler Tests, haben wir uns für die Geräte von Lucent (Orinoco) entschieden.
Seit 11/2002 sind moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme)
Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS
Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr!
Antennen
Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht.
Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit.
Funkkarten
Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen
Anreiz schaffen zum Eigenerwerb von Funk-Karten
5
Sicherheit ? im Funklan (Gefahren)
Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar
Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netz ( vgl. Switches)
Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern der direkte Netzverkehr zwischen zwei Stationen
Direkter Zugang über Gebäudegrenzen hinweg, nicht nur für „Institutsangehörige !“
Die Funk-Reichweite ist oft schwer einzuschätzen
Ausspähen von FunkSystemen mit Tools ist ein „Kindenspiel“(war floaters)
FunkLAN Managementprogramme via SNMP sind ein Angriffspunkt (Community!)
6
Zentrales Management
Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s.http://www.goemobile.de/
Göttinger FunkLAN GoeMobile in der Praxis
7
Weitere Dienste im FunkLAN: Digitalisierte Sprache sind „Daten“!
GWDG setzt Voice over IP im WLAN ein
Handy selber bauen??? www.spectralink.com (VoIP-Handy auf 802.11b-Basis)
Wird in der GWDG bereits als Testsystem betrieben Damit stellen sich die Fragen:
wozu DECT?Die Mittel aus Telefonetat für das Datennetz nutzen !
8
GoeMobile in der Praxis:
Die Erreichbarkeit hängst stark von denverwendeten Antennen ab
Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“
Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung
9
Security im FunkLANSecurity im FunkLAN
GWDG, Niklas Neumann, Andreas Ißleiber
10
Wired Equivalent Privacy (WEP) Allgemeines
• Bestandteil des Standards 802.11b• Benutzt den RC4 Algorithmus von RSA Security Inc.• Schlüsselstärken 40-Bit (Standard) und 104-Bit• 24-Bit Initialisierungsvektor
Nachteile von WEP• Manuelle Schlüsselverwaltung• Keine Benutzerauthentifizierung• 40-Bit Schlüssel gelten als nicht sicher• RC4-Algorithmus hat Designschwächen
Vorteile von WEP• In jedem 802.11b Gerät verfügbar• Hardwareunterstützt• Softwareunabhängig
11
Wired Equivalent Privacy (WEP) IEEE 802.11i
• Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr Sicherheit zu gewährleisten
• WEP2 mit stärkerer Verschlüsselung• Benutzerauthentifikation
Fazit• WEP ist besser als keine Verschlüsselung• WEP ist anfällig gegen Kryptoanalyse und gilt als
nicht sicher1)
• WEP ist nicht zukunftssicher
1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
12
MS Point-to-Point Tunneling Protocol (MS-PPTP) Allgemeines
• Microsoftspezifische Implementierung des PPTP• Ermöglicht das Tunneln von Point-to-Point Protocol (PPP)
Verbindungen über TCP/IP über eine VPN-Verbindung• Zwei Versionen: MS-CHAPv1 und MS-CHAPv2
Verschlüsselung• Microsoft Point to Point Encryption (MPPE)• Benutzt den RC4 Algorithmus von RSA Security Inc.• 40-Bit oder 104-Bit Schlüssellängen
Benutzerauthentifikation• Benutzerauthentifikation notwendig• Password Authentification Protocol (PAP)• Challenge Handshake Protocol (CHAP)
13
MS Point-to-Point Tunneling Protocol (MS-PPTP) Vorteil von MS-PPTP
• Auf allen gängigen MS-Betriebssystemen verfügbar• Bietet Verschlüsselung und Benutzerauthentifizierung
Fazit• MS-PPTP ist besser als keine Verschlüsselung• MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als
nicht sicher1)
• MS-PPTP ist nicht zukunftssicher
Nachteile von MS-PPTP• 40-Bit Schlüssel gelten als nicht sicher• MS-CHAPv1 hat schwere Sicherheitslücken• Protokoll hat Designschwächen
1) http://www.counterpane.com/pptp.html
14
Internet Protocol Security (IPSec) Allgemeines
• Erweiterung der TCP/IP Protokollsuite• Paket von Protokollen für Authentifizierung, Datenintegrität,
Zugriffskontrolle und Vertraulichkeit• Integraler Bestandteil von IPv6 (IPnG)
Transportmodus• nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten)• Vorteil: geringer Overhead gegenüber IPv4• Nachteil: Jeder Teilnehmer muss IPSec beherrschen
Tunnelmodus• Komplettes IP-Paket wird verschlüsselt• Tunnel zwischen zwei Netzen möglich• Vorteil: Nur Tunnelenden müssen IPSec beherrschen• Nachteil: Nur Verschlüsselung zwischen den Tunnelenden
3/2003, Andreas Ißleiber
15
Internet Protocol Security (IPSec) Vorteile von IPSec
• Standard auf vielen Plattformen verfügbar• Keine festgelegten Algorithmen• Keine bekannten Designschwächen
Fazit• IPSec ist besser als keine Verschlüsselung• IPSec unterstützt als sicher geltende Algorithmen (z.B.
Blowfish, IDEA, MD5, SHA)• IPSec gilt als zukunftssicher • IPSec ist i.d.R eine gute Wahl
Nachteile von IPSec• Keine Benutzerauthentifikation• Clients müssen korrekt konfiguriert werden
3/2003, Andreas Ißleiber
16
Service Set Identifier (SSID) Allgemeines
• Identifier für Netzwerksegment• Muss für den Zugriff bekannt sein• Vergleichbar mit einem Passwort für das Netzwerksegment
Nachteile• Muss jedem Teilnehmer bekannt sein• Nur ein SSID pro AP• Lässt sich in großen Netzen nicht wirklich geheim halten• Kein korrekter Schutz vor „Sniffer“
Vorteile• Softwareunabhängig• Schnell und einfach einzurichten
17
Media Access Control (MAC) Address Filtering Allgemeines
• Filtern der MAC-Adressen der zugreifenden Clients • MAC-Adresslisten entweder lokal in den APs oder zentral
auf einem RADIUS-Server
Nachteile• Jede berechtigte Netzwerkkarte muss erfasst werden• MAC-Adressen lassen sich leicht fälschen• MAC-Adresslisten auf den APs lassen sich schwer warten
Vorteile• Software- & Clientunabhängig• Keine Aktion des Benutzers notwendig
18
Bausteine des Sicherheitsmodells im GoeMobile VLAN-Struktur
• Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2)
MAC-Address Filtering auf den APs• Die MAC-Adressen der Clients werden von den APs durch
einen zentralen RADIUS-Servers geprüft Einsatz eines speziellen IPSec-Gateways
• Nur IPSec-Verbindungen werden akzeptiert• Benutzerauthentifizierung gegen einen RADIUS-Server• Benutzeraccounting über einem RADIUS-Server
Zentrale Benutzerverwaltung• Verwendung der regulären Benutzeraccounts für die
Authentifizierung über den RADIUS-Server• Webinterface ermöglicht den Benutzern ihre Benutzerprofile
selbst zu verwalten in zentraler DB Closed User Group
• SSID nicht unmittelbar für „alle“ sichtbar
19
Beteiligte Systeme im GoeMobile
hochverfügbares VPN-Gateway• Cisco VPN 3030• Hardwareunterstützte IPSec-Verschlüsselung• Unterstützung für Hochgeschwindigkeitsnetze• Benutzer-Authentifizierung gegen RADIUS
Wave02 (Web- und Datenbankserver)• Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2• Webinterface und Datenbank für Benutzerprofile• Failover für wave03
2 redundante RADIUS-Server• Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2• Benutzerautentifikation gegen NIS-Server
Wave03• Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2• DHCP, DNS, Gateway für Nicht-IPSec-Clients
20
Übersicht „GoeMobile“
RouterInternet
Router/NAT
Richtfu
nkstr
ecke
IPSec
VPN-Gateway
wave02
wave03
IPSec
Ethernet VLAN
Funkverbindung
radius1, radius2MAC- undBenutzer-autentifikation
Webinterfaceund Datenbank
DHCP, DNSnon-IPSec-Gateway
21
Konkrete Vorschläge für den Einsatz von FunkLAN in MPI(nstituten): Einsatz von 802.11b Systemen mit 11 Mbit/s Rundstrahlantennen ~7 dbi/10dbi für Innnenbereich Verwenden des „closed user group mode“ im FunkLAN wenn möglich!, Aufbau eines eigenen VLAN´s (ggf. arbeitsintensiv) Einsatz einer zentralen Userdatenbank auf einen RADIUS-Server Als RADIUS-Server Cistron o. FreeRadius unter LINUX einsetzen MAC-Adressen-Authentifizierung über o.g. RADIUS-Server direkt vom AP.
Lediglich Funkkarten, die dort eingetragen wurden, haben Zugang Zusätzlich Verschlüsselung via PPTP P2TP (Authentifizierung) über PPPD
oder besser IPSec Einsatz eines DHCP Server (z.B. LINUX), der direkt auf die eingetragenen
MAC-Adressen die IP-Adresse vergibt (kein dynamischer IP-Pool) Durch DHCP vergebene IP-Adressen aus dem „private network“ Bereich nehmen. Der Zugang zum Internet ist durch das Gateway (Tunnel, NAT) möglich Verwendung eines eigenen FunkLAN-Namen, nicht ANY Erweitertes Logging aktivieren (i.d.R. auf RADIUS-Server) um schneller pot.
Eindringversuche zu erkennen Den „NetBIOS“ Dienst auf der Funkkarte bei Windows Clients deaktivieren,
wenn dieser nicht erforderlich ist
22
Mehr zum Thema FunkLAN ...
http://www.goemobile.de
eMail: info@goemobile.de
Vorträge unter ...
http://www.goemobile.de/vortraege/
Fragen & Diskussion !
23
Vorstellung im Rahmen des GWDG-VoIP-Projektes
Im grossen Seminarraum ist ...
VoIP von NK Networks (CISCO-VoIP)
... ausgestellt. NK Networks steht für Tests und Fragen zur Verfügung.
24
GoeMobile im Kontext „NBU“ NBU stützt sich wesentlich auf FunkLAN
• Ziele: • Ausbau der „HotSpots“ • Erweiterung der Hörsäle durch FunkLAN• Einfachen Zugang zum Netz gewähren unter Beibehaltung
der Sicherheit
3/2003, Andreas Ißleiber
25
Weiterführende Links und Quellen ...
Einfluß von BlueTooth und WLANhttp://www.teltarif.de/arch/2000/kw46/s3570.html
Sicherheit in drahtlosen Netzenhttp://www.networkworld.de/artikel/index.cfm?id=65705&pageid=400&pageart=detail
Hersteller von Funklan Gerätenhttp://wiss.informatik.uni-rostock.de/hersteller/
5 GHz Standards und Hiperlan/2http://www.mez.ruhr-uni-bochum.de/projekte/wlan/mecki_standards.html
54 MBit Chipshttp://www.intersil.com/pressroom/20010619_PRISM_Indigo_German.asp
Recommended