260 likes | 331 Views
Hozzáférési hálózatok. Vida Rolland 2005.12.01. Vizsgaalkalmak. Elővizsga December 15, csütörtök, 8.15 – 10 óra, IE 215 Vizsgák Terem: IE 218 Időpont: 8 – 12 óra 8.30-kor kezdünk Vizsganapok: dec. 22, jan. 12, jan. 26 , f ebr. 2. 802.11 PCF. Point Coordination Function
E N D
Hozzáférési hálózatok Vida Rolland 2005.12.01
Vizsgaalkalmak • Elővizsga • December 15, csütörtök, 8.15 – 10 óra, IE 215 • Vizsgák • Terem: IE 218 • Időpont: 8 – 12 óra • 8.30-kor kezdünk • Vizsganapok: dec. 22, jan. 12, jan. 26, febr. 2 2005.12.01
802.11 PCF • Point Coordination Function • A bázisállomás vezérli a kommunikációt • Nincsenek ütközések • Körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük • A szabvány csak a körbekérdezés menetét szabályozza • Nem szabja meg annak gyakoriságát, sorrendjét • Azt sem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie • A bázisállomás periódikusan elküld egy beacon frame-et • 10-100 beacon/s • Rendszerparamétereket tartalmaz • Ugrási sorozatok és tartózkodási idő (FHSS-nél), óraszinkronizáció, stb. • Ezzel hívja meg az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez • A bázisállomás utasíthatja az állomásokat, hogy menjenek készenléti állapotba • Addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket • Kíméli az állomások akkumulátorát • A bázisállomásnak pufferelnie kell a készenléti állapotban lévő állomásnak szánt kereteket 2005.12.01
PCF vs. DCF • A PCF és a DCF egy cellán belül egyszerre is működhet • Hogyan lehet egyszerre elosztott és köpontosított vezérlés? • Gondosan definiálni kell a keretek közti időintervallumot • Egy keret elküldése után kell egy holtidő, mielőtt bárki elkezdene küldeni valamit • Négy ilyen intervallumot rögzítettek • SIFS – Short Inter-Frame Spacing • A legrövidebb intervallum • Az SIFS után a vevő küldhet egy CTS-t vagy egy ACK-ot egy részre vagy a teljes keretre • A részlöket adója elküldheti az újabb részt, új RTS nélkül • PIFS – PCF Inter-Frame Spacing • PCF keretek közti időköz • Az SIFS után mindig egyvalaki adhat csak • Ha ezt nem teszi meg a PIFS végéig, a bázisállomás elküldhet egy új beacon-t vagy egy lekérdező keretet • Az adatkeretet vagy részlöketet küldő nyugodtan befejezheti a keretet • A bázisállomásnak is van alkalma magához ragadnia a csatornát • Nem kell a mohó felhasználókkal versengenie érte 2005.12.01
PCF vs. DCF • DIFS – DCF Inter-Frame Spacing • DCF keretek közti időköz • Ha a bázisállomásnak nincs mondanivalója, a DIFS elteltével bárki megpróbálhatja megszerezni a csatornát • Szokásos versengési szabályok • Kettes exponenciális visszalépés ütközés esetén • EIFS – Extended Inter-Frame Spacing • Olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni • Legalacsonyabb prioritás 2005.12.01
802.11 keretek • Három különböző keretosztály • Adatkeret • Vezérlőkeret • Menedzsmentkeret • Adatkeret: • Keretvezérlés (Frame Control) – 2 byte • Protokollverzió – ugyanabban a cellában több változat működhet • Tipus – adat, vezérlő vagy menedzsment • Altipus – RTS, CTS, stb. 2005.12.01
802.11 keretek • Keretvezérlés (Frame Control) – 2 byte • From-DS, To-DS – a keret egy cellák közti elosztó rendszer felé tart, vagy onnan jön • Intercell Distribution System, pl. Ethernet • Újraküldés (Retry) – egy előzőleg elküldött keret újraküldése • MF (More Fragments) – további részek következnek • Teljesítménygazdálkodás (Power Management) – a bázisállomás jelzi hogy egy állomás készenléti állapotba menjen, vagy lépjen ki onnan • Több (More) – az adónak további keretei vannak • W – WEP (Wired Equivalent Privacy) algoritmussal titkosított keret • O (In Order) – az ilyen bitet hordozó keretek sorozatát sorrendben kell feldolgozni 2005.12.01
802.11 keretek • Időtartam (Duration) – a keret és a hozzá tartozó ACK meddig foglalja le a csatornát • Ezt a vezérlőkeretek is tartalmazzák • Ennek segítségével kezeli a többi állomás a NAV eljárást • 4 db. IEEE 802 MAC cím • A forrás és a célállomás címe • A cellák közötti forgalomnál a forrás és cél bázisállomás címe • Sorszám (Sequence) – a részek sorszámozására • 12 bit a keretet, 4 bit a keretdarabot azonosítja • Adat (Data) – legfeljebb 2312 byte hosszú • Ellenőrző összeg (Checksum) 2005.12.01
802.11 keretek • Menedzsmentkeret • Hasonló az adatkeretekhez • Hiányzik egy bázisállomás-cím • Csak cellán belül használhatók • Vezérlőkeretek • Csak egy vagy két címet tartalmaznak • Nincs bennük sem Adat, sem Sorszám mező • Legfontosabb információ az Altipus mezőben • Általában RTS, CTS vagy ACK 2005.12.01
Infrastruktúra mód • Cellás rendszer • Basic Service Set (BSS) – cella • Access Point (AP) • Minden cellát egy AP vezérel • A csomópontokat periódikusan lekérdezve (polling) a csomagküldést vezérli • Elosztó hálózat – Distribution System (DS) • Az AP-kat egymáshoz kapcsoló vezetékes (Ethernet) vagy vezeték nélküli hálózat • Több cella alkot egy kiterjesztett szolgáltatási hálózatot • Extended Service Set – ESS 2005.12.01
802.11b csatornák • 802.11b a 2.4 GHz-es ISM sávban • Max. 14 csatorna • Országonként változó szabályozás • Magyarországon és Európában általában az 1-13 csatornák • Spanyolországban csak a 10-11 csatornák • Franciaországban csak a 10-13 csatornák • Az USA-ban 1-11 csatornák • Japánban mind a 14 csatorna 2005.12.01
802.11b csatornák • Frekvenciasávok szétosztása kétféleképpen lehetséges: • Egy AP-hoz hozzárendeljük az összes lehetséges frekvenciasávot • Frekvenciaugratást alkalmazunk a zajok kiküszöbölésére • Szükség van egy nagyteljesítményű körsugárzós antennára, az egész tér lefedésére • Drága megoldás • Kis cellákat alakítunk ki • Minden szomszédos cella más-más frekvencián kommunikál • A cellákban használt frekvenciák nem fedik egymást 2005.12.01
802.11b csatornák • A csatornák az adóvevők által használt központi frekvenciát jelentik • Pl. 2,412 GHz az 1. csatorna, 2,417 GHz a 2. csatorna • Csak 5 MHz eltérés a központi frekvenciák között • A 802.11b jel kb. 30 MHz-es spektrumot fed le • A jel kb. 15 MHz-et foglal el a központi frekvencia mindkét oldalán • Átfedés jön létre több szomszédos csatorna frekvenciasávja között • Cellás megoldásban a szomszédos cellák frekvenciatávolságának legalább 5 csatornának kell lennie • Használhatjuk pl. az (1, 6, 11) kombinációt • Átfedés így is lehetséges, hisz egy erősebb adó jele szélesebb spektrumot is lefedhet 2005.12.01
Csatlakozás egy új cellához • Egy állomás csatlakozhat egy létező BSS-hez... • Bekapcsolás után • Alvó módból való kilépéskor • A BSS területére lépéskor • Passive Scanning • Az állomás egy Beacon Frame-et vár az AP-tól • Az AP periódikusan küldi azt, szinkronizációs információt hordoz • Active Scanning • Az állomás megpróbál egy AP-t találni magának • Probe Request Frame-eket küld • Probe Response választ vár az AP-któl • Ha több AP válaszol, kiválasztja a „legjobbat” • Legjobb jel/zaj viszony • SNR – Signal to Noise Ratio 2005.12.01
Active Scanning 2005.12.01
Csatlakozás egy új cellához • Hitelesítés (Authentication) • Ha egy állomás megtalál egy AP és a hozzáa tartozó BSS-hez akar csatlakozni, elindul egy hitelesítési eljárás • Mindkét fél bizonyítja, hogy ismer egy adott jelszót • Csatlakozási eljárás (Association Process) • Ha átesett a hitelesítésen, elkezdi a csatlakozást az AP-hoz • Az új AP egy azonosítót (ID) rendel az állomáshoz • IAPP-t használva az új AP értesíti a régi AP-t a váltásról • A Distribution System-en keresztül 2005.12.01
WLAN Handover 2005.12.01
Ad-hoc mód • Minden csomópont közvetlenül tud kommunikálni a hatósugarán belüli többi csomóponttal • Távolabbi csomópontok közötti kommunikáció ad-hoc útválasztás segítségével • AODV, DSR, DSDV, stb. • Minden állomás egyben router is • Többugrásos ad-hoc hálózatok • Nincs szükség AP-kra • Nagyon gyorsan fel lehet építeni egy ideiglenes hálózatot • Egy rendezvény vagy konferencia résztvevői között 2005.12.01
A 802.11 technológiai kockázatai • Bilógiai kockázatok • A WLAN új technológia • Legfejlettebb helyeken is csak ’98 után terjedt el • A távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett nem tesztelték • A 2.4 GHz-es tartomány biológiailag veszélyes • Nagy teljesítményen koagulálja az emberben is lévő fehérjéket • Így működik a mikrohullámú sütő, de nagyságrendekkel nagyobb teljesítménnyel • A teljesítményt szabályozzák • Az USA-ban 1000 mW max sugárzási teljesítmény • Európában 100 mW 2005.12.01
Egymást zavaró technológiák • A Bluetooth és a 802.11b ugyanazt a 2.4 GHz-es ISM sávot használja • Az FHSS-t használó rendszerek (pl. Bluetooth) ki tudják szűrni a zavart frekvenciasávokat • Úgy állítják be a frekvenciaugratást hogy ne legyen gond • A DSSS-t használó megoldások (pl. 802.11b) érzékenyebbek • Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz „beugrik” a frekvenciatartományba • Az RTS/CTS sem zárja ki a zavarást • Egy lefoglalt adósávba is „beugorhat” egy Bluetooth eszköz • Interferencia mérési eredmények • Ha egy Bluetooth eszköz 10 cm-nél közelebb van egy 802.11b eszközhöz, annak teljesen megszakad a kiépített kapcsolata • Ha 1 méteren belül, akkor 50%-os csomagvesztés • Fordítva is igaz, habár a Bluetooth jobban reagál a zavarásra • Mikrohullámú sütők, orvosi műszerek, stb. 2005.12.01
Biztonsági kérdések • Vezetéknélküli környezetben sokkal nehezebb a biztonságot garantálni • Nem kell „betörni” a vonalra • Bárki hallhatja a kommunikációt ha elég „közel” van • A mobilitás egy plusz támadási felületet kínál • A mobilitás és a biztonság paradoxonja: • A biztonságos hálózatok nem mobilisak • Egy vezeték nélküli hálózat lehet biztonságos • Ki lehet osztani kulcsokat melyekkel vezeték nélküli eszközök egy adott AP-hoz csatlakozhatnak • A mobilitást nehéz kezelni • Ha egy másik AP körzetébe érnek, az ottani kulcsokat már nem ismerik • A mobil hálózatok nem biztonságosak • Vezetékes hálózatoknal a kliensek egy csatlakozási ponthoz rendelhetők • A csatlakozási ponthoz lehet hozzáférési jogokat rendelni • Egy vezeték nélküli, mobil hálózaton a felhasználó váltogatja a csatlakozási pontjait • Mindenhol ugyanazt a szolgáltatást kell neki biztosítani • A felhasználót magát kell azonosítani, hozzá kell rendelni ahozzáférési jogokat • Az AP-k is veszélyforrások lehetnek • Bárki számára elérhető helyre telepítik őket • Íroasztal, mennyezet, stb. • A lehető legkevesebb feladatot kell az AP-kra hagyni • A „vékony” AP (Thin AP) architektúra a megfelelő 2005.12.01
AAA • Authentication, Authorization, Accounting • Hitelesítés, engedélyezés, nyílvántartás • Authentication • Azonos vezetékes és vezeték nélküli elérési módnál • Nincs szükség újbóli bejelentkezésre • A két médium közötti váltásnál • Az AP-k közötti barangolásnál • A felhasználók azonosításához szükséges adatokat az azonosító szerveren tárolják • Fizikailag jól védhető módon elhelyezve • Authorization • Lehetőség a barangolás (roaming) korlátozására • Csökkenti az illetéktelen hozzáférés lehetőségét • A hozzáférési jogok a felhasználóhoz rendelve • Ugyanazok a szolgáltatások vezetékes és vezeték nélküli elérésen • Accounting • A hálózat üzemeltetője figyelemmel kísérheti ki milyne szolgáltatást vesz igénybe • Adatforgalom, időintervallum, stb. • Központilag nyílvántartott adatok • Kicsi a visszaélés veszélye 2005.12.01
SSID • Service Set Identifier • Hozzárendelve egy AP-hez vagy egy AP csoporthoz • Aki be akar csatlakozni egy AP-hez ismernie kell az SSID-t • Mint egy jelszó • Nem biztonságos ha az AP SSID üzenetszóró módba van állítva • Mindenki megkapja az SSID-t az AP-tól • Másodpercenként többször is, kódolatlanul • Manuális beállítás, körülményes frissítés • Előbb-utóbb mindenki megismeri őket • Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál • Önmagában az elkülönítés semmilyen védelmet nem nyújt • Bárki bármilyen SSID-jű hálózathoz hozzáférhet 2005.12.01
MAC címszűrés • A kliens gépeket az egyedi 802.11 MAC címük azonosítja • Egy AP-nak megadható egy MAC címlista • Csak a listán levő eszközök csatlakozhatnak az AP-hoz • Csak kisebb hálózatok esetén használható • Minden egyes MAC címet manuálisan kell beállítani az AP-ban • A listát folyamatosan frissíteni kell • Nagy adminisztrációs többletmunka 2005.12.01
RADIUS • Remote Authentication Dial-in User Service • Behívó felhasználó távoli azonosítása • C. Rigney, W. Willats, and P. Calhoun, "RADIUS Extensions", RFC 2869, June 2000. • J. Hill, "An Analysis of the RADIUS Authentication Protocol”, November 2001 • A behívásos kapcsolattal rendelkező felhasználók azonosítására fejlesztették ki • Virtuális magánhálózatokban és vezeték nélküli helyi hálózatokban is elkezdték használni • Hitelesítés • A felhasználó elküldi az erőforrást kezelő kiszolgálóhoz a hitelesítési adatokat • A kiszolgáló hozzáférési kérelmet (Access Request, AReq) küld a RADIUS szervernek • A RADIUS szerver megkeresi a felhasználó adatait nyilvántartásában • Ellenőrzi a jelszót és a hozzáférési kérelemben szereplő többi adatot • Ha megfelelnek a tárolt feltételeknek, a RADIUS szerver hozzáférés engedélyezve (Access Accept, AA) üzenetettel válaszol • Ha az adatok nem megfelelők, hozzáférés megtagadva (Access Reject, ARej) üzenet • A kiszolgáló nem engedélyezi az erőforrás használatát, a kapcsolatot megszakítja • Engedélyezés • Ha a hozzáférés engedélyezve, a RADIUS szerver meghatározza a hozzáférés paramétereit, mértékét • Pl. „csak a céges hálózat érhető el” • Nyilvántartás • Engedélyezés után egy nyílvántartás indul (Accounting Start) bejegyzést a RADIUS szervernél • A kapcsolat megszakításakor nyílvántartás vége (Accounting Stop) bejegyzés 2005.12.01
Diameter • A RADIUS-t nem vezeték nélküli hálózatokra fejlesztették ki • Hiányoznak a meghibásodás kezelési algoritmusok a túl nagy várakozási idők kiküszöbölésére • A kommunikációs hibákból adódó lassú vagy hibás működés nincs kezelve • Hiányzik a biztonságos kommunikáció lehetősége • A RADIUS UDP csomagokat használ • Nem garantalható célbaérésük • Nincs definiálva semmilyen újraküldési eljárás • Diameter • Nem rövidítés • TCP-t használ a kommunikációra • Szolgáltatás egyeztetés • Capability Navigation • Heterogén környezetben a kliens és a szerver lekérdezheti egymástól a támogatott funkciókat, a szükséges paramétereket • Hiba értesítés 2005.12.01