Virtual Access Points Michael Roßberg

Virtual Access Points Michael Roßberg

Übersicht Einleitung Definition und Motivation 802.11 Management Implementierungstechniken Zusammenfassung Quellen

Einleitung 802.11 einer der erfolgreichsten Standards der IEEE alleine in den USA mehr als 10 Mio. Haushalte mit Funknetzwerken neue Anwendungsgebiete erfordern Erweiterungen des Standards

Grundlegende Abkürzungen BSSID: eindeutige 6-Byte Nummer, analog zur MAC-Adresse SSID das Netzwerk beschreibende Zeichenfolge (max. 32 Byte) AccessPPoint SSID: beispiel BSSID: 00:01:02:03:04:EE

Definition & Motivation

Definition: Virtual Access Point logische Einheit in einem physischen Access Point erscheint dem Benutzer wie verschiedenen real existierende Basisstationen realer Access Point Uni VPN Uni WPA Studentennetz

Virtueller Access Point Anwendungsszenario guest mode

Internet Provider 2 Provider 1 Virtueller Access Point Anwendungsszenario mehrere ISPs

Netzwerk Firma 2 Netzwerk Firma 1 gemeinsame Konferenzräume Anwendungsszenario Technologiezentrum

802.11 Management Grundlegender Überblick

control dur ati on control dur ati on ID DA SA BSSID ID DA SA BSSID Fixed Parameters Fixed Parameters Tagged Parameters Tagged Parameters Aufbau eines Management Frames

ID Length Data Aufbau eines Tagged Parameter

Beacon Frame regelmässig vom AP gesendeter Broadcast Stromspar- und Synchronistationsfunktion erlaubt passives Finden von Netzwerken Signalqualitätsbestimmung muss SSID als tagged parameter enthalten

Probe Request aktives Suchen nach Netzwerken von Klient zu Access Point müssen SSID enthalten Broadcast SSID erlaubt

Probe Response Antwort auf Probe Request Struktur analog zum Beacon

Authentication Request Authentifizierung eines Klienten gegenüber ESS Open & Shared Authentication möglich Kann auch implizit später stattfinden (siehe 802.1x & 802.11i)

Association Request Anmeldung eines Klienten bei einer Basisstation enthält SSID erst nach Authentifizierung möglich

Implementierungstechniken

eine SSID & eine BSSID historisch mit interessanten Problemen

Unterscheidung durch MAC-Adressen werden mit allem Paketen mitgeschickt simple Lösung einfache Zuordnung auf VLANs möglich

Nachteile hoher Verwaltungsaufwand, keine Transparenz allein auf MAC-Adressen basierende Zuordnung ist unsicher statische Zuordnung Multicast/Broadcast Probleme Beaconstruktur kann nicht alle Informationen ausdrücken

Unterscheidung durch Benutzeridentifikation verschiedene Benutzer- und Gruppennamen funktioniert nur mit 802.1x Multi-/Broadcast Problem behoben für verschlüsselte Pakete

eine BSSID & mehrere SSIDs nicht ganz konform, aber mit Vorteilen

guest mode mehrere SSIDs, aber nur eine announciert auf Probes wird entsprechend den einzelnen SSIDs reagiert Probleme: ähnlich dem MAC-Adress- Ansatz, Festkonfiguration mit geringer Transparenz

Mehrere SSID Tags SSIDs sind Tagged Parameters 802.11 verbietet nicht mehrere Tags mit gleicher Bedeutung Probleme: unflexibel, neue KlientenSoftware erforderlich

SSID Listen von Cisco properitäre Erweiterung von 802.11 (CCX) basiert auf neuem Tagged Element in Beacons und Probe Responses benötigt spezielle Klienten-Software Elementstruktur durch Reverse Engineering

bytes 1 1 3 1 2 variabel Element ID 0xDD Total Length OUI 0x0050F2 Type 0x05 SSID Element Count SSID Elements SSIDL Struktur

bytes 5 1 variable Flags SSID Length SSID SSID Element Struktur

Die Flags Indikation von WPS und EAP Keymanagement: WPA-PSK, WPA2- PSK, WPA-Enterprise, WPA2Enterprise, CCKM mit WEP, CCKM mit AES CMIC, Per-Packet Rekeying, TKIP WEP-40, WEP-128, AES genaue Bitbelegung in der Ausarbeitung

Verbleibende Probleme Multi-/Broadcast Problem bleibt ungelöst keine Shared Key Authentifizierung mehr möglich keine Softwareunterstützung, durch fehlenden offenen Standard

Mehrere BSSIDs & mehrere SSIDs eine vollständige Emulation

mehrere BSSIDs & SSIDs inzwischen bevorzugte Technik vollständig kompatibel zu 802.11 kein Zusammenhang zwischen VAPs einer Basisstation mehr erkennbar

grundsätzliche Probleme bei schlechten Verbindungen hin- und herwechseln zwischen Netzen eines Access Points möglich Verschwendung von Funkresourcen, durch viele Beacons

technische Hürden Hardware ACKs nicht mehr problemlos möglich (betrifft nur AP) durch viele Beacons hohe Interruptlast

Zusammenfassung

Zusammenfassung Standardisierung wäre wünschenswert bis dahin vollständige Emulation nötig beim nächsten Standard an Virtualisierung denken

Quellen

Quellen Cisco Systems. Cisco Compatible Extensions Program for Wireless LAN (WLAN) Devices http://www.cisco.com/en/us/partners/pr46/pr147/partners_pgm_concept_home.html Sam Leffler. FreeBSD Wireless NetworkingFreeBSD Wireless Networking, 2005 http://people.freebsd.org/~sam/bsdcan2005.pdf IEEE Std 802.11-1999 Information technology Telecommunications and information exchange between systems Local and metropolitan area networks Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, 1999 http://standards.ieee.org/getieee802/download/802.11-1999.pdf IT Facts 10 mln US households have WLAN, 2005 http://www.itfacts.biz/index.php?id=p3062 Graham Melville. Virtual Access Point Definition, 2004 http://www.drizzle.com/~aboba/ieee/11-04-0238-00-0wng-definition-virtual-accesspoint.doc Bernard Aboba. Virtual Access Points, 2003 http://www.drizzle.com/~aboba/ieee/11-03-154r1-i-virtual-access-points.doc Matthew Gast. 802.11 Wireless Networks: The Definitive Guide Second Edition, O Reilly, 2005

Vielen Dank für die Zeit!