Szerokopasmowe (bezprzewodowe) sieci dostępowe
description
Transcript of Szerokopasmowe (bezprzewodowe) sieci dostępowe
Szerokopasmowe mobilne sieci dostępoweSzerokopasmowe mobilne sieci dostępowe
Bartosz Lewandowski
Poznańskie Centrum Superkomputerowo-Sieciowe
PlanPlan
• Sieci mobilne– 2 G - CSD/HSCSD– 2,5-2,75 G - GPRS/EDGE– 3G – UMTS (WCDMA)– 3,5G – HSPA– 3,9G/4G – LTE
• Sieci bezprzewodowe– 802.16 – WIMAX– 802.11 - WiFi– 802.11ad TG – Wireless Gigabit
Sieci mobilneSieci mobilne
GPRS/EDGEGPRS/EDGE
• General packet radio service, 3GPP
• Założenia– Rodzaje transmisji: punkt-
punkt,punkt-wielopunkt– Niezależna infrastruktura od
GSM, współdzielone pasmo radiowe
• Szczeliny czasowe używane tylko w przypadku transmisji danych, możliwość łączenia szczelin czasowych (maks. 4)
• 56-114 kbit/s • EDGE (Enhanced Data rates for
GSM Evolution, Enhanced GPRS)– Polepszone kodowanie i
modulacja sygnału radiowego– 250kbps
• Standard 3GPP (3rd Generation Partnership Project)
UMTS (WCDMA)UMTS (WCDMA)
• Universal Mobile Telecommunications System– 3GPP– Połączenia głosowe, wideorozmowy, wiadomości tekstowe,
przesyłanie danych– WCDMA (Wideband Code Division Multiple Access)– HSDPA (High Speed Downlink Packet Access), maks 14,4
Mbps, 7,2 MBps– HSUPA (High Speed Uplink Packet Access), maks 5,76
Mbps/1,46 Mbps
• Następca standardu GSM (3GPP)– Możliwość współpracy obu standardów
• Szkielet bez większych zmian, zmodyfikowana sieć radiowa (WCDMA)– Osobne maszty, nadajniki
LTELTE
• Long Term Evolution• Rozwijane przez 3rd Generation Partnership Project
(3GPP)• 4G, all-IP• Maks 100Mb/s downlink, 50Mb/s uplink• 1,4MHz-20MHz• Kodowanie (zamiast WCDMA)
– Downlink: OFDMA (Orthogonal Frequency Division Multiplexing)
– Uplink: SC-FDMA (Single Carrier-Frequency Division Multiple Access)
• Zwiększenie efektywności wykorzystania pasma radiowego
• LTE-Advanced: 1Gbps-fixed, 100Mbps-mobile– ITU 4G – 3.9G
Sieci bezprzewodoweSieci bezprzewodowe
WiMAXWiMAX
• Worldwide Interoperability for Microwave Access
• Oparty na 802.16, HiperMAN
• Szerokopasmowy radiowy dostęp na dużych obszarach
• Zasięg – Maks do 50km– 30km – w zasięgu linii
widoczności (Line of Sight)– 12 km
• <= 75Mb/s do 10km, 4Mb/s• 2001• WiMAX Forum
WiMAX - standardyWiMAX - standardy
• 802.16– 10 do 66GHz– 2001– LoS
• 802.16a,16b,16c– 2 do 11 GHz– NLoS– 2003
• 802.16d– 2004– „fixed Wimax”
• 802.16e– Mobilny dostęp do
60km/h– 2007
WiFiWiFi
• Standardy– IEEE 802.11 - 1Mb/s lub 2 Mb/s, 2.4
GHz– IEEE 802.11a - 54 Mb/s (108Mbps), 5
GHz (WiFi5)– IEEE 802.11b - 11Mb/s, 2.4 GHz– IEEE 802.11g - 54Mb/s , 2.4 GHz– IEEE 802.11n - 108MBps, 5GHz ?– IEEE 802.11s - „Wireless Mesh”
802.11 B802.11 B
• Najstarsze rozszerzenie, doskonale wspierane, stabilne i tanie, pracujące w paśmie 2.4 GHz (potencjalne zakłócenia: kuchenki mikrofalowe, telefony DECT, etc)
• Ograniczenia ilość AP w obszarze do trzech• Zdefiniowane 14 kanałów z czego:• Japonia: kanał 14• USA: kanały 1-11• Europa: kanały 1-13• Używa technologii direct-sequence spread-spectrum
technology• IEEE 802.11B+• Nie standardowe rozwiązanie,w paśmie 2.4 GHz• Zgodne z 802.11b, o teoretycznej prędkości 1 do 22 Mbps,
rzeczywiście ok.. 6 Mbps max• Inna technika modulacji
21 3 4 5 6 7 8 9 10 11
2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462
Kanał
Średnia częst. (GHz)
5 MHz
802.11 A802.11 A
• Kompletnie różne od IEEE 802.11A/G• Elastyczne bo duże ilości kanałów mogą dać
dużą prędkość i dużą liczbę AP na małym obszarze
• Krótszy zasięg niż A/G• Działa w paśmie 5 GHz gdzie jest mniej
zakłócających urządzeń AGD• Zdefiniowane 12 channels• 8 kanałów nie zachodzących, o teoretycznej
prędkości 6 do 54 Mbps, i rzeczywistej ok.. 27 Mbps
• Używa technologii frequency division multiplexing technology
802.11 G802.11 G
• Rozszerzenie IEEE 802.11b, nie pozbawione jej wad (bezpieczeństwo i interferencje)
• Mniejszy zasięg niż 802.11b• Zgodne z 802.11b co pozwala na łatwą
migrację z B do G• Zaletą jest wyższa prędkość transmisji• Kanały jak B• Teoretyczna prędkość 54 Mbps, a
rzeczywista ok.. 20-25 Mbps i 14 Mbps dla dowiązania B
• Używa technologii frequency division multiplexing technology
802.11B/G vs. 802.11A802.11B/G vs. 802.11A
54 Mbps
48 Mbps36 Mbps
24 Mbps
12 Mbps2 Mbps
5.5 Mbps
11 Mbps
802.11a 802.11b
Zasięg Działania
802.11B/G vs. 802.11A802.11B/G vs. 802.11A
0
5
10
15
20
25
30
0 50 100 150 200 250
802.11a802.11b
~4.5x
~2.5x
0
5
10
15
20
25
30
0 50 100 150 200 250
802.11a802.11b
~4.5x
~2.5x
~4.5x
~2.5x
802.11B/G vs. 802.11A802.11B/G vs. 802.11A
WiFi – porównanieWiFi – porównanie
WiFi – porównanieWiFi – porównanie
Kanały w sieciach WiFiKanały w sieciach WiFi
• Access point cyklicznie wysyła ramkę BEACON (SSID, szybkość, etc.)
• Klient skanuje częstotliwości i znajduje AP na bazie SSID, wielkości sygnału, ...
• Klient przełącza się na przypisany kanał i dowiązuje do sieci (np.. Uwierzytelnia)
• SSID – do 32 znaków
Problemy – wielu użytkownikówProblemy – wielu użytkowników
• Negocjacja prędkości– Efektywna prędkość zależy od najwolniejszych klientów
dlatego ważne by przy projektowaniu sieci WiFi nie tylko posługiwać się wyznacznikiem zasięgu ale też pasma jakie pozostanie dla klientów
• Nakładanie (interferencja) kanałów– Długość fali 2.4GHz? – ok..12cm – Uwaga na AP pracujące
w swoim zasięgu na nakładająych się kanałach (np.. kanałach 6 i 8!!!)
• Pasmo użytkownika– Sieć WiFi jest architekturą typu HUB (nie SWITCH) o
dzielonym w kanale paśmie• Problem niewidocznego węzła
– Nie wszyscy uczestnicy sieci są we wzajemnym zasięgu
CBA
802.11 N802.11 N
• Pracuje w paśmie 5GHz– Zajętość kanału rzędu 20MHz
• Oczekiwana wydajność:– Teoretyczna rzędu 108Mbps– „Spektralna” rzędu 3bps/Hz
• Zgodność z:– IEEE 802.11A/B/G– IEEE 802.11E (QoS)
802.11 V – zarządzanie klientami802.11 V – zarządzanie klientami
• DZIŚ: Balansowanie obciążeń AP po stronie Klienta
• IEEE 802.11v – Kontroler informuje klienta który z AP jest dla niego najlepszy
Kwestie prawneKwestie prawne
• Rozporządzenie Min. Infrastruktury– 6 sierpnia 2002,
Aneks nr.3
• Bezpieczeństwo:– USA: odległość od
anteny min. 20cm
Zagrożenia w sieci WiFi (1)Zagrożenia w sieci WiFi (1)
• Obce punkty dostępu dołączone do naszego LANu
• Dostęp przez nieuprawnionych użytkowników
• Przejęcie, podsłuchiwanie i monitoring ruchu Wi-Fi– Podsłuchujący może być dla nas niewidoczny– Oprogramowanie dla włamywacza powszechnie
dostępne
• Zakłócenia radiowe – Pasma Wi-Fi są nielicencjonowane (nie są na wyłączność)
Zagrożenia w sieci WiFi (2)Zagrożenia w sieci WiFi (2)
• Nieświadome podłączenia klient do klienta (ad hoc)• Odmowa lub pogorszenie jakości serwisów
– Zalew błędnymi pakietami, żądania skojarzenia/uwierzytelnienia ...itd.
– Świadoma zmiana konfiguracji urządzeń– Brak szyfrowania– Słabe hasła użytkowników– Niezabezpieczone klucze i hasła na maszynach
użytkowników– Brak lub słabe zabezpieczenia punktów dostępowych
• Kradzież urządzeń– Access Point z konfiguracją
• Śledzenie użytkowników i ich mobilności
Zabezpieczenia sieci WiFiZabezpieczenia sieci WiFi
• Otwarty• Otwarty- WebAAA• Kontrola dostępu w oparciu o adresy L2 • Shared - Mechanizm WEP– Wireless Equivalent Privacy
• 802.1x (EAP, EAPoL) – Uwierzytelnianie klienta
• WPA– Wi-Fi Protected Access
• WPA2 • 802.11i
Zabezpieczenia sieci WiFi: Otwarty i Otwarty WebAAAZabezpieczenia sieci WiFi: Otwarty i Otwarty WebAAA
• Open– Wada: Brak mechanizmów
uwierzytelnienia (można tylko ukryć „SSID_Name”), autoryzacji i szyfrowania
– Zaleta: Trywialność konfiguracji• Open – Web AAA
– Powszechnie spotykany mechanizm w sieciach internetowych, płatnych HotSpot
– Wada: Brak mechanizmów autoryzacji i szyfrowania
– Zaleta: Łatwe uwierzytelnienie przez strony www
Captive portal• Klient dowiązuje się do sieci WiFI Open• Klient wysyła DHCP Discover. WSS przekazuje je do
DHCP Server. Klient otrzymuje adres IP. WSS jest default gateway’em.
• Wireless Gateway przekierowuje wszystkie pakiety z SSID-Public do Captive Portal
• Użytkownik otwiera dowolna stronę , np. http://www.poznan.pl
• Klient szuka adresu IP/DNS www.poznan.pl (WSS przekazuje zapytanie w systyemu DNS)i zwraca adres IP www.poznan.pl
• Klient inicjalizuje połączenie ip/tcp na port 80: TCP Syn na port 80 (http)
• Captive Portal = enabled, firewall na WSS przechwytuje TCP Syn packet na port 80 (http) z Source IP który nie jest jeszcze uwierzytelniony, i przesyła do wewnętrznego serwera www WSS.
• Serwer Web WSS podstawia stronę www: http redirect 302 na https://gateway.poznan.pl
• Klient wysyła żądanie: DNS lookup, dla serwera gateway.poznan.pl i otrzymuje adres IP z WSS
• Klient inicjalizuje połączenie http do gateway.poznan.pl• WSS Firewall przesyła wszystkie pakiety do
wewnętrznego serwera www.• Użytkownik widzi stronę logowania: WSS Login Page i
formularz login/hasło/regulamin• Po pozytywnym uwierzytelnieniu serwer przydziela
unikalne cookies klientowi• Firewall WSS jest auto-rekonfigurowany dopuszczając
całość ruchu z danego adresu IP uwierzytelnionego klienta
• Użytkownik widzi portal i następnie przekierowanie do pierwotnej strony www.poznan.pl
Zabezpieczenia sieci WiFi: Listy L2Zabezpieczenia sieci WiFi: Listy L2
• Statyczna definicja, które stacje mogą podłączyć się do AP
• Kłopotliwe administrowanie w dużych środowiskach• Nie gwarantują wysokiego poziomu bezpieczeństwa• Powinny być używane jako uzupełnienie
pozostałych mechanizmów bezpieczeństwa
Zabezpieczenia sieci WiFi: Shared – Wireless Equivalent PrivacyZabezpieczenia sieci WiFi: Shared – Wireless Equivalent Privacy
• Najstarszy sposób zabezpieczeń Wi-Fi– Oparty o statyczne klucze WEP– Używa algorytmu szyfrowania RC4– Zapewnia podstawową kontrolę spójności
CRC
• Mechanizm prosty do złamania– Nie daje wysokiego poziomu bezpieczeństwa– Zanim klient będzie mógł transmitować dane
musi powiązać się z AP– Oparte na współdzielonych kluczach
Zabezpieczenia sieci WiFi: WEP - problemyZabezpieczenia sieci WiFi: WEP - problemy
• Klucze szyfrowania są statycznie dystrybuowane
• Klucze nie zmieniają się w czasie• Ten sam klucz dla wszystkich klientów i
AP• Wektor IV (Initialization Vector) nie jest
szyfrowany i może być użyty ponownie dla ponownego procesu szyfrowania
• Brak mechanizmów pewnego uwierzytelniać
Zabezpieczenia sieci WiFi: WEP - WPAZabezpieczenia sieci WiFi: WEP - WPA
• WPA – Wi-Fi Protected Access• Element standardu 802.11i• Zgodność „ w przód” z 802.11i• Dwa tryby pracy: – Enterprise – Personal (Pre-shared key PSK )
Zabezpieczenia sieci WiFi: …Zabezpieczenia sieci WiFi: …
Wireless Gigabit (short range wi-fi)Wireless Gigabit (short range wi-fi)
• Wireless Gigabit Alliance (Intel, Broadcom and Atheros, Cisco)– Współpraca z Wi-Fi Alliance– IEEE 802.11ad TG
• Pasmo 60 GHz– „a single Wi-Fi adapter in the future would handle
2.4 GHz for compatibility and range, 5 GHz for performance and reduced interference, and 60 GHz for short-range super-fast data transfers”
• Do 7Gbps• Do 10m
Zamiast podsumowaniaZamiast podsumowania