Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Stan

1. Göttinger FunkLAN GoeMobile ? Warum FunkLAN? Wie funktioniert es ? Diverse Technologien Göttinger FunkLAN GoeMobile Standards Erweiterungen Probleme

2. Einige Standorte in GoeMobile Ziel: Hohe Funkabdeckungin Göttingen wird erreicht durchfunk auf exponierten Gebäudenund Kooperationen wie z.B. Stadt Rathaus

3. FunkBox der GWDG • Wetterbeständig • Anschluss von bis zu 4 Antennen • Integrierter 4 Port Switch • LWL-Konverter • Blitzschutz

4. Göttinger FunkLAN GoeMobile in Zahlen • Gerätetyp und Hersteller • Aufgrund der Ergebnisse lokaler Tests, haben wir uns für die Geräte von Lucent (Orinoco) entschieden. • Seit 11/2002 sind moderne CISCO AP´s im Einsatz (z.Zt. 10 Systeme) • Vorteile: 802.1x, automatische Leistungsanpassung, EAP/TLS • Z.Zt. sind ca. 82 AP´s in Betrieb (Ziel mind. 100) Bei NBU deutlich mehr! • Antennen • Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Entfernung bis hin zu 3 km bei freier Sicht, erreicht. • Einige Aktivantennen im Einsatz: Erreichen hohe Empfindlichkeit. • Funkkarten • Die GWDG hat z.Zt. 180 Funkkarten an Interessierte ausgeliehen • Anreiz schaffen zum Eigenerwerb von Funk-Karten

5. Sicherheit ? im Funklan (Gefahren) • Ohne weitere Maßnahmen sind die Daten für „Jedemann/frau“ im Empfangsbereich sichtbar • Einfacherer Zugriff für „Hacker“ im Funklan als im kabelgebundenen Netz ( vgl. Switches) • Nicht nur Broad-/Multicasts sind überall im Funkbereich sichtbar, sondern der direkte Netzverkehr zwischen zwei Stationen • Direkter Zugang über Gebäudegrenzen hinweg, nicht nur für „Institutsangehörige !“ • Die Funk-Reichweite ist oft schwer einzuschätzen • Ausspähen von FunkSystemen mit Tools ist ein „Kindenspiel“(war floaters) • FunkLAN Managementprogramme via SNMP sind ein Angriffspunkt (Community!)

6. Göttinger FunkLAN GoeMobile in der Praxis • Zentrales Management • Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage sowie zentrale Konfiguration der AP´s.http://www.goemobile.de/

7. Weitere Dienste im FunkLAN: • Digitalisierte Sprache sind „Daten“! • GWDG setzt Voice over IP im WLAN ein • Handy selber bauen??? • www.spectralink.com (VoIP-Handy auf 802.11b-Basis)Wird in der GWDG bereits als Testsystem betrieben • Damit stellen sich die Fragen: • wozu DECT? • Die Mittel aus Telefonetat für das Datennetz nutzen !

8. GoeMobile in der Praxis: • Die Erreichbarkeit hängst stark von denverwendeten Antennen ab • Nicht zuletzt der persönliche Einsatz des Benutzers verspricht „guten Empfang“ • Funk ersetzt aber im professionellen Bereich NICHT! die herkömmliche Verkabelung

9. Security im FunkLAN GWDG, Niklas Neumann, Andreas Ißleiber

10. Wired Equivalent Privacy (WEP) • Allgemeines • Bestandteil des Standards 802.11b • Benutzt den RC4 Algorithmus von RSA Security Inc. • Schlüsselstärken 40-Bit (Standard) und 104-Bit • 24-Bit Initialisierungsvektor • Vorteile von WEP • In jedem 802.11b Gerät verfügbar • Hardwareunterstützt • Softwareunabhängig • Nachteile von WEP • Manuelle Schlüsselverwaltung • Keine Benutzerauthentifizierung • 40-Bit Schlüssel gelten als nicht sicher • RC4-Algorithmus hat Designschwächen

11. Wired Equivalent Privacy (WEP) • IEEE 802.11i • Ziel: Die aktuelle 802.11 MAC zu verbessern um mehr Sicherheit zu gewährleisten • WEP2 mit stärkerer Verschlüsselung • Benutzerauthentifikation • Fazit • WEP ist besser als keine Verschlüsselung • WEP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) • WEP ist nicht zukunftssicher 1) http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

12. MS Point-to-Point Tunneling Protocol (MS-PPTP) • Allgemeines • Microsoftspezifische Implementierung des PPTP • Ermöglicht das Tunneln von Point-to-Point Protocol (PPP) Verbindungen über TCP/IP über eine VPN-Verbindung • Zwei Versionen: MS-CHAPv1 und MS-CHAPv2 • Benutzerauthentifikation • Benutzerauthentifikation notwendig • Password Authentification Protocol (PAP) • Challenge Handshake Protocol (CHAP) • Verschlüsselung • Microsoft Point to Point Encryption (MPPE) • Benutzt den RC4 Algorithmus von RSA Security Inc. • 40-Bit oder 104-Bit Schlüssellängen

13. MS Point-to-Point Tunneling Protocol (MS-PPTP) • Vorteil von MS-PPTP • Auf allen gängigen MS-Betriebssystemen verfügbar • Bietet Verschlüsselung und Benutzerauthentifizierung • Nachteile von MS-PPTP • 40-Bit Schlüssel gelten als nicht sicher • MS-CHAPv1 hat schwere Sicherheitslücken • Protokoll hat Designschwächen • Fazit • MS-PPTP ist besser als keine Verschlüsselung • MS-PPTP ist anfällig gegen Kryptoanalyse und gilt als nicht sicher1) • MS-PPTP ist nicht zukunftssicher 1) http://www.counterpane.com/pptp.html

14. 3/2003, Andreas Ißleiber Internet Protocol Security (IPSec) • Allgemeines • Erweiterung der TCP/IP Protokollsuite • Paket von Protokollen für Authentifizierung, Datenintegrität, Zugriffskontrolle und Vertraulichkeit • Integraler Bestandteil von IPv6 (IPnG) • Transportmodus • nur Datenteil wird verschlüsselt (IP-Kopf bleibt erhalten) • Vorteil: geringer Overhead gegenüber IPv4 • Nachteil: Jeder Teilnehmer muss IPSec beherrschen • Tunnelmodus • Komplettes IP-Paket wird verschlüsselt • Tunnel zwischen zwei Netzen möglich • Vorteil: Nur Tunnelenden müssen IPSec beherrschen • Nachteil: Nur Verschlüsselung zwischen den Tunnelenden

15. 3/2003, Andreas Ißleiber Internet Protocol Security (IPSec) • Vorteile von IPSec • Standard auf vielen Plattformen verfügbar • Keine festgelegten Algorithmen • Keine bekannten Designschwächen • Nachteile von IPSec • Keine Benutzerauthentifikation • Clients müssen korrekt konfiguriert werden • Fazit • IPSec ist besser als keine Verschlüsselung • IPSec unterstützt als sicher geltende Algorithmen (z.B. Blowfish, IDEA, MD5, SHA) • IPSec gilt als zukunftssicher • IPSec ist i.d.R eine gute Wahl

16. Service Set Identifier (SSID) • Allgemeines • Identifier für Netzwerksegment • Muss für den Zugriff bekannt sein • Vergleichbar mit einem Passwort für das Netzwerksegment • Vorteile • Softwareunabhängig • Schnell und einfach einzurichten • Nachteile • Muss jedem Teilnehmer bekannt sein • Nur ein SSID pro AP • Lässt sich in großen Netzen nicht wirklich geheim halten • Kein korrekter Schutz vor „Sniffer“

17. Media Access Control (MAC) Address Filtering • Allgemeines • Filtern der MAC-Adressen der zugreifenden Clients • MAC-Adresslisten entweder lokal in den APs oder zentral auf einem RADIUS-Server • Vorteile • Software- & Clientunabhängig • Keine Aktion des Benutzers notwendig • Nachteile • Jede berechtigte Netzwerkkarte muss erfasst werden • MAC-Adressen lassen sich leicht fälschen • MAC-Adresslisten auf den APs lassen sich schwer warten

18. Bausteine des Sicherheitsmodells im GoeMobile • VLAN-Struktur • Quasiphysikalische Trennung des Funknetzes von anderen Netzen (auf Layer 2) • MAC-Address Filtering auf den APs • Die MAC-Adressen der Clients werden von den APs durch einen zentralen RADIUS-Servers geprüft • Einsatz eines speziellen IPSec-Gateways • Nur IPSec-Verbindungen werden akzeptiert • Benutzerauthentifizierung gegen einen RADIUS-Server • Benutzeraccounting über einem RADIUS-Server • Zentrale Benutzerverwaltung • Verwendung der regulären Benutzeraccounts für die Authentifizierung über den RADIUS-Server • Webinterface ermöglicht den Benutzern ihre Benutzerprofile selbst zu verwalten in zentraler DB • Closed User Group • SSID nicht unmittelbar für „alle“ sichtbar

19. Beteiligte Systeme im GoeMobile • 2 redundante RADIUS-Server • Pentium III (500 MHz, 256Mb RAM), SuSE Linux 7.2 • Benutzerautentifikation gegen NIS-Server • hochverfügbaresVPN-Gateway • Cisco VPN 3030 • Hardwareunterstützte IPSec-Verschlüsselung • Unterstützung für Hochgeschwindigkeitsnetze • Benutzer-Authentifizierung gegen RADIUS • Wave02 (Web- und Datenbankserver) • Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 • Webinterface und Datenbank für Benutzerprofile • Failover für wave03 • Wave03 • Pentium III (850 MHz, 512Mb RAM), SuSE Linux 7.2 • DHCP, DNS, Gateway für Nicht-IPSec-Clients

20. Übersicht „GoeMobile“ Ethernet VLAN Funkverbindung Router Internet wave03 Webinterface und Datenbank Richtfunkstrecke radius1, radius2 IPSec wave02 MAC- und Benutzer- autentifikation DHCP, DNSnon-IPSec-Gateway VPN-Gateway Router/NAT IPSec

21. Konkrete Vorschläge für den Einsatz von FunkLAN in MPI(nstituten): • Einsatz von 802.11b Systemen mit 11 Mbit/s • Rundstrahlantennen ~7 dbi/10dbi für Innnenbereich • Verwenden des „closed user group mode“ im FunkLAN • wenn möglich!, Aufbau eines eigenen VLAN´s (ggf. arbeitsintensiv) • Einsatz einer zentralen Userdatenbank auf einen RADIUS-Server • Als RADIUS-Server Cistron o. FreeRadius unter LINUX einsetzen • MAC-Adressen-Authentifizierung über o.g. RADIUS-Server direkt vom AP.Lediglich Funkkarten, die dort eingetragen wurden, haben Zugang • Zusätzlich Verschlüsselung via PPTP P2TP (Authentifizierung) über PPPD oder besser IPSec • Einsatz eines DHCP Server (z.B. LINUX), der direkt auf die eingetragenen MAC-Adressen die IP-Adresse vergibt (kein dynamischer IP-Pool) • Durch DHCP vergebene IP-Adressen aus dem „private network“ Bereich nehmen. • Der Zugang zum Internet ist durch das Gateway (Tunnel, NAT) möglich • Verwendung eines eigenen FunkLAN-Namen, nicht ANY • Erweitertes Logging aktivieren (i.d.R. auf RADIUS-Server) um schneller pot. Eindringversuche zu erkennen • Den „NetBIOS“ Dienst auf der Funkkarte bei Windows Clients deaktivieren, wenn dieser nicht erforderlich ist

22. Mehr zum Thema FunkLAN ... http://www.goemobile.de eMail: info@goemobile.de Vorträge unter ... http://www.goemobile.de/vortraege/ Fragen & Diskussion !

23. Vorstellung im Rahmen des GWDG-VoIP-Projektes Im grossen Seminarraum ist ... VoIP von NK Networks (CISCO-VoIP) ... ausgestellt. NK Networks steht für Tests und Fragen zur Verfügung.

24. 3/2003, Andreas Ißleiber GoeMobile im Kontext „NBU“ • NBU stützt sich wesentlich auf FunkLAN • Ziele: • Ausbau der „HotSpots“ • Erweiterung der Hörsäle durch FunkLAN • Einfachen Zugang zum Netz gewähren unter Beibehaltung der Sicherheit

25. Weiterführende Links und Quellen ... Einfluß von BlueTooth und WLANhttp://www.teltarif.de/arch/2000/kw46/s3570.html Sicherheit in drahtlosen Netzen http://www.networkworld.de/artikel/index.cfm?id=65705&pageid=400&pageart=detail Hersteller von Funklan Geräten http://wiss.informatik.uni-rostock.de/hersteller/ 5 GHz Standards und Hiperlan/2 http://www.mez.ruhr-uni-bochum.de/projekte/wlan/mecki_standards.html 54 MBit Chips http://www.intersil.com/pressroom/20010619_PRISM_Indigo_German.asp