Ansätze für WLAN-Roaming Heute in Bremen, morgen in Europa WLAN: Was haben wir erreicht? Viele DFN-Mitglieder betreiben WLANs Netzplanung, EMVU, Bandbreitenmanagement, 38. DFN-Betriebstagung Berlin, 5. März 2003 Achilles-Ferse: Sicherheit Zugangskontrolle, Zurechenbarkeit Abhörsicherheit, Vertraulichkeit Carsten Bormann <cabo@tzi.de> Niels Pollem <np@tzi.de> 2 Drahtlose LANs: von b über g zu g/h als Variante von a 802.11b/g (2.4 GHz): Stand 1999: 802.11b: Weltweiter Standard (2.4 GHz) 802.11a: 5 GHz, 54 Mbit/s, in DE gerade legalisiert 2003: 802.11g: Hohe Geschwindigkeiten für 802.11b 802.11h: 802.11a in Europa legalisieren (DFS, TPC) Dual-Mode/Dual-Band 802.11g/h 11 Mbit/s = realer Durchsatz: 3-5 Mbit/s 3-4 Kanäle (13 überlappende) in Europa Access-Point bei Lidl für 150 Erste 802.11g-Features in Produkten CCK: 11 Mbit/s PBCC: 22 Mbit/s ( 802.11b+, 6-8 Mbit/s real) OFDM: 54 Mbit/s 802.11g (2003) 802.11g-Standard Mitte des Jahres Einsatz: 802.11b/g flächendeckend 3 4 802.11a/h (5 GHz): Stand Was noch? Linksys WAP51ab: Dual-Band-AP, $255 Frequenzzuteilung in Europa noch unklar RegTP: 4 Kanäle/30 mw indoor mit 802.11a TZI: Testlizenz; realer Durchsatz z.z. ca. 20 Mbit/s 802.11h bietet dann 19 Kanäle bei 200 mw/1w Auch Outdoor! Erste Dual-Band-Clients, warten auf g + a/h Einsatz: 802.11a/h in stark frequentierten Räumen (Hörsäle etc.) Empfehlung für Studierende: Dual-Band-Karte g + a/h Bluetooth, 2.4 GHz 1 Mbit/s, Personal Area Network (10m) Cable Replacement Background: Mobiltelefone/Headsets ZigBee (802.15.4), 2.4 GHz und 868 MHz 250 kbit/s, 30 m; 2 Jahre mit 2 AA-Zellen Heimsteuerung, Fernsteuerungen Einsatz: lokal, kein Bezug zu Campusnetzen 5 6
WLAN: Sicherheitsziele Standardeinstellung Vertraulichkeit: Wirksamer Schutz gegen Ausspähen Zurechenbarkeit: Aktionen lassen sich Personen zuordnen Zugangskontrolle (Authentisierung/Autorisierung): Nur berechtigte Personen haben Zugriff Sehr wenig Konfiguration Default-SSID versehentliche Benutzung möglich Auch bei Umkonfiguration: SSID ANY zulässig Offener Zugang Keine Verschlüsselung 7 8 Geschlossene Netze MAC- Authentisierung SSID umkonfigurieren; Default-SSID verbieten versehentliche Benutzung unmöglich Angabe der SSID erforderlich Keine Verschlüsselung SSID ist abhörbar Zugang nur mit konfigurierter MAC-Adresse Neuer Nutzer/neue Karte erfordert Konfiguration Keine Verschlüsselung S.o. Außerdem: MAC-Adressen abhörbar 9 10 WEP: Wired Equivalent Privacy WLAN-Security: von WEP zu VPN Verkehr wird verschlüsselt (shared key) Aber: Praktisch nur ein Key pro WLAN Machtlos gegen Insider-Angriffe; Managementproblem WEP ist geknackt ~1 Tag heftiger Verkehr nötig Besser als nichts! () Probleme durch die defekten 802.11-Mechanismen: komplett unsicheres, abhörbares Netz keine Nutzer-basierte Anmeldung möglich Lösung zumeist: Virtual Private Network (VPN) Funknetz vom weiteren Netz trennen Nutzer bauen verschlüsselten Tunnel auf VPN-Client bei vielen Nutzern vorhanden 11 12
Virtual Private Network (VPN) R Corporate Intranet (Site A) Internet Unsafe WLAN Virtual Private Network R Wireless VPN Client Corporate Intranet (Site B) WLAN-VLAN Uni-Bremen DHCP, DNS, free Web VPN-Gateways Intranet X Internet Campus-Netz 13 14 WLAN: Standard-Architektur VPN-Techniken alle Access Points in einem Layer-2-Netz (VLAN, Bridges) Netz aus RFC1918 (10/8 o.ä.), kein Routing über SSID wie Uni-Bremen explizit zu betreten jeweils VPN-Gateway in die zu erreichenden Netze Campus-Netz, einzelne AGs, ggf. mit Firewalls sehr wenig Infrastruktur im WLAN-VLAN-Zugangsnetz DHCP, DNS, freie Dienste (internes Web) an deutschen Hochschulen umfassend im Einsatz VPN = *) sichere Übertragung über unsichere Netze Transport Layer: (SSL), SSH Tunneling von SMTP, IMAP/POP, HTTP-Proxy Internet Layer: PPTP/L2TP, IPsec alle IP-basierten Dienste realisierbar (Oops: Multicast) nicht: Security bezogen auf den einzelnen Client *) hier 15 16 WLAN: VPN-Lösungen Point-to-Point Tunneling Protocol (PPTP) MPPE (Microsoft Point-to-Point Encryption) MS-CHAPv2 (Challenge-Handshake Auth. Protocol) zunehmend angreifbar, aber breit verfügbar: Es läuft. Clients für Windows (built-in),, MacOS 8.6, 9.x, X IP Security (IPSec) IETF-standardisiert, transparent in Layer 3 integriert ggf. parallel zu PPTP durch eigenes Gateway anbieten Realisierung: spezielle VPN-Produkte vs. Bremen: One State Five Universities Universität Bremen shared programs Hochschule für Künste Hochschule Bremen Hochschule Bremerhaven International University Bremen Students and faculty want to roam freely 17 18
TERENA TF Mobility: Requirements for inter- NREN roaming TERENA TF Mobility 2003-02-10 Jürgen Rauschenbach, jrau@dfn.de Carsten Bormann, cabo@tzi.de Niels Pollem, np@tzi.de High-level requirements Objective: Enable NREN users to use Internet (WLAN and wired) everywhere in Europe with minimal administrative overhead (per roaming) with good usability maintaining required security for all partners 20 Minimize admin overhead Very little admin work to enable roaming per user (preferably none) both for home network and even more so for visited network No admin work required per roaming occurrence Minimize the complexity of additional systems required (consider architecture at the involved institutions) must integrate with existing AAA systems, e.g., no n 2 work required when scaling system No regulatory entanglement Good usability Available to most current WLAN (and wired) users standards-based; low-cost No additional software required to enable roaming (software may be required for local use beforehand) consider both Laptop and PDA usage Enable all work IPv4 and IPv6 Access to home institution networks Enable use of home addresses while roaming Enable local work in visited network SLP, authorization issues/user classes? 21 22 Security requirements Security non-requirements Allow use only for approved [by who] NREN users Legal binding to some common terms of use Provide accountability Nice to have: Provide reasonable basic ( like in wired access ) security for individual user [cannot fulfill in all environments] Confidentiality of traffic (not necessarily with respect to current position!) Integrity/guard against data manipulation and session hijacking Allow real security (e2e) on top (e.g., highlight the limitations of NATs) No need to protect WLAN ISM spectrum can t be protected anyway Hard to reliably conceal positioning information Don t aggravate security issues of visited networks 23 24
Wbone: VPN-based solution(s) Security (for 802.11): VPN-based (local) solution widely adopted in Germany interconnect requires routing, address space coordination Bremen: create early user experience by chance, different RFC 1918 networks used so, simply connect them via state s backbone users can connect to home gateway from any site Wbone interconnecting access networks PPTP HfK HS Bremen 172.25/16 IPSec HS Brhv. 10.28.64/18 AWI R Briteline IPSec IPSec Cisco extend to other sites... PPTP IPSec/PPTP/SSH Uni Bremen 172.21/16 PPTP PPTP Cisco Cisco 25 26 WLAN-VLAN DHCP, DNS, free Web VPN-Gateways G-WiN Campus Network Intranet X WLAN-VLAN Wbone G-WiN VPN-Gateways G-WiN Campus Network Wbone: the user experience is there... no need for users to change their configuration that s the way it s supposed to be staff and students can roam freely, 1500 registered now, make it scale address coordination, DNS GRE, OSPF, VRF discuss routable addresses vs. RFC 1918 TF-Deliverable E ff. Every day! Intranet X Interconnect access networks. Clients DHCP, DNS, leave through home network/gateway. free Web (see past meeting) 27 28 Roaming-Ansätze für andere Zugangskontrollverfahren 802.1X Web-basierte Zugangskontrolle WLAN-Roaming: 802.1X/ 802.1X: Echte Authentisierung auf Layer 2 Sicherheit an der Grenze, nicht tiefer im Netz Kein eigenes kryptographisches Protokoll Träger für geeignete -Varianten Können dynamische WEP-Schlüssel liefern Client-Software erforderlich (Windows XP) Keine flexiblen Sicherheitsdomänen (aber: SSID/VLANs) 30
802.1X: Protokollarchitektur PAP PAP CHAP CHAP 802.1X: als backend Ethernet switch or Wireless Access Point i.e. LDAP Laptop OL over server or PDA MD5 TLS TTLS P MS- CHAPv2 User DB Network 802.1X Bild: E. Dobbelsteijn, SURFnet PPP 802.11 signalling data Bild: E. Dobbelsteijn, SURFnet 31 32 Laptop or PDA 802.1X: als backend OL Ethernet switch or Wireless Access Point connection to network or specific VLAN is made, IP connection can now be set up over server i.e. LDAP User DB Network 802.1X: Stand 802.1X ist Standard Abbildung auf 802.11 weitgehend klar -Varianten im Fluss L: Cisco-proprietär Sicherheitsprobleme mit z.b. -MD5 -TLS besser, aber erfordert PKI P (MS/Cisco) und -TTLS arbeiten mit Nutzer/Passwort signalling data Bild: E. Dobbelsteijn, SURFnet 33 34 Roaming mit 802.1X WLAN-Roaming: Web-basiert (1) Policy Decision Points sind die -Server Zusammenschaltung von -Servern in Hierarchie erprobt (dialup, DSL, ) Relativ einfach übertragbar Idee: keine Software beim Client voraussetzen Parameter festlegen: TERENA TF Mobility 35 36
WLAN-Roaming: Web-basiert (2) Aufgaben für TERENA TF Mobility Problem: keine Vertraulichkeit, begrenzte Sicherheit Roaming: ebenfalls Zusammenschaltung der Backends über Parameter: TERENA TF Mobility Beratung zu den lokalen WLAN-Entwicklungen Tests von Geräten, Best practice Europaweite Koordination des Roaming (Inter-NREN) Wbone 802.1X/ Web-basiert/ Best practice für Sites mit mehreren Zugangskontrollverfahren 37 38 Aufgaben für den DFN-Verein Beratung zu den lokalen WLAN-Entwicklungen Best practice Software-Auswahl (Open-Source) DFN-weite Koordination des Roaming Best practice, Informationen für Nutzer Wbone 802.1X/? 39 http://campus-wlan.org wlan@tzi.de Das Campus-WLAN der Universität Bremen http://www.terena.nl/mobility Task Force für europaweites Roaming zwischen den NRENs Fragen?