1 / 26

Hozzáférési hálózatok

Hozzáférési hálózatok. Vida Rolland 2005.12.01. Vizsgaalkalmak. Elővizsga December 15, csütörtök, 8.15 – 10 óra, IE 215 Vizsgák Terem: IE 218 Időpont: 8 – 12 óra 8.30-kor kezdünk Vizsganapok: dec. 22, jan. 12, jan. 26 , f ebr. 2. 802.11 PCF. Point Coordination Function

virote
Download Presentation

Hozzáférési hálózatok

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hozzáférési hálózatok Vida Rolland 2005.12.01

  2. Vizsgaalkalmak • Elővizsga • December 15, csütörtök, 8.15 – 10 óra, IE 215 • Vizsgák • Terem: IE 218 • Időpont: 8 – 12 óra • 8.30-kor kezdünk • Vizsganapok: dec. 22, jan. 12, jan. 26, febr. 2 2005.12.01

  3. 802.11 PCF • Point Coordination Function • A bázisállomás vezérli a kommunikációt • Nincsenek ütközések • Körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük • A szabvány csak a körbekérdezés menetét szabályozza • Nem szabja meg annak gyakoriságát, sorrendjét • Azt sem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie • A bázisállomás periódikusan elküld egy beacon frame-et • 10-100 beacon/s • Rendszerparamétereket tartalmaz • Ugrási sorozatok és tartózkodási idő (FHSS-nél), óraszinkronizáció, stb. • Ezzel hívja meg az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez • A bázisállomás utasíthatja az állomásokat, hogy menjenek készenléti állapotba • Addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket • Kíméli az állomások akkumulátorát • A bázisállomásnak pufferelnie kell a készenléti állapotban lévő állomásnak szánt kereteket 2005.12.01

  4. PCF vs. DCF • A PCF és a DCF egy cellán belül egyszerre is működhet • Hogyan lehet egyszerre elosztott és köpontosított vezérlés? • Gondosan definiálni kell a keretek közti időintervallumot • Egy keret elküldése után kell egy holtidő, mielőtt bárki elkezdene küldeni valamit • Négy ilyen intervallumot rögzítettek • SIFS – Short Inter-Frame Spacing • A legrövidebb intervallum • Az SIFS után a vevő küldhet egy CTS-t vagy egy ACK-ot egy részre vagy a teljes keretre • A részlöket adója elküldheti az újabb részt, új RTS nélkül • PIFS – PCF Inter-Frame Spacing • PCF keretek közti időköz • Az SIFS után mindig egyvalaki adhat csak • Ha ezt nem teszi meg a PIFS végéig, a bázisállomás elküldhet egy új beacon-t vagy egy lekérdező keretet • Az adatkeretet vagy részlöketet küldő nyugodtan befejezheti a keretet • A bázisállomásnak is van alkalma magához ragadnia a csatornát • Nem kell a mohó felhasználókkal versengenie érte 2005.12.01

  5. PCF vs. DCF • DIFS – DCF Inter-Frame Spacing • DCF keretek közti időköz • Ha a bázisállomásnak nincs mondanivalója, a DIFS elteltével bárki megpróbálhatja megszerezni a csatornát • Szokásos versengési szabályok • Kettes exponenciális visszalépés ütközés esetén • EIFS – Extended Inter-Frame Spacing • Olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni • Legalacsonyabb prioritás 2005.12.01

  6. 802.11 keretek • Három különböző keretosztály • Adatkeret • Vezérlőkeret • Menedzsmentkeret • Adatkeret: • Keretvezérlés (Frame Control) – 2 byte • Protokollverzió – ugyanabban a cellában több változat működhet • Tipus – adat, vezérlő vagy menedzsment • Altipus – RTS, CTS, stb. 2005.12.01

  7. 802.11 keretek • Keretvezérlés (Frame Control) – 2 byte • From-DS, To-DS – a keret egy cellák közti elosztó rendszer felé tart, vagy onnan jön • Intercell Distribution System, pl. Ethernet • Újraküldés (Retry) – egy előzőleg elküldött keret újraküldése • MF (More Fragments) – további részek következnek • Teljesítménygazdálkodás (Power Management) – a bázisállomás jelzi hogy egy állomás készenléti állapotba menjen, vagy lépjen ki onnan • Több (More) – az adónak további keretei vannak • W – WEP (Wired Equivalent Privacy) algoritmussal titkosított keret • O (In Order) – az ilyen bitet hordozó keretek sorozatát sorrendben kell feldolgozni 2005.12.01

  8. 802.11 keretek • Időtartam (Duration) – a keret és a hozzá tartozó ACK meddig foglalja le a csatornát • Ezt a vezérlőkeretek is tartalmazzák • Ennek segítségével kezeli a többi állomás a NAV eljárást • 4 db. IEEE 802 MAC cím • A forrás és a célállomás címe • A cellák közötti forgalomnál a forrás és cél bázisállomás címe • Sorszám (Sequence) – a részek sorszámozására • 12 bit a keretet, 4 bit a keretdarabot azonosítja • Adat (Data) – legfeljebb 2312 byte hosszú • Ellenőrző összeg (Checksum) 2005.12.01

  9. 802.11 keretek • Menedzsmentkeret • Hasonló az adatkeretekhez • Hiányzik egy bázisállomás-cím • Csak cellán belül használhatók • Vezérlőkeretek • Csak egy vagy két címet tartalmaznak • Nincs bennük sem Adat, sem Sorszám mező • Legfontosabb információ az Altipus mezőben • Általában RTS, CTS vagy ACK 2005.12.01

  10. Infrastruktúra mód • Cellás rendszer • Basic Service Set (BSS) – cella • Access Point (AP) • Minden cellát egy AP vezérel • A csomópontokat periódikusan lekérdezve (polling) a csomagküldést vezérli • Elosztó hálózat – Distribution System (DS) • Az AP-kat egymáshoz kapcsoló vezetékes (Ethernet) vagy vezeték nélküli hálózat • Több cella alkot egy kiterjesztett szolgáltatási hálózatot • Extended Service Set – ESS 2005.12.01

  11. 802.11b csatornák • 802.11b a 2.4 GHz-es ISM sávban • Max. 14 csatorna • Országonként változó szabályozás • Magyarországon és Európában általában az 1-13 csatornák • Spanyolországban csak a 10-11 csatornák • Franciaországban csak a 10-13 csatornák • Az USA-ban 1-11 csatornák • Japánban mind a 14 csatorna 2005.12.01

  12. 802.11b csatornák • Frekvenciasávok szétosztása kétféleképpen lehetséges: • Egy AP-hoz hozzárendeljük az összes lehetséges frekvenciasávot • Frekvenciaugratást alkalmazunk a zajok kiküszöbölésére • Szükség van egy nagyteljesítményű körsugárzós antennára, az egész tér lefedésére • Drága megoldás • Kis cellákat alakítunk ki • Minden szomszédos cella más-más frekvencián kommunikál • A cellákban használt frekvenciák nem fedik egymást 2005.12.01

  13. 802.11b csatornák • A csatornák az adóvevők által használt központi frekvenciát jelentik • Pl. 2,412 GHz az 1. csatorna, 2,417 GHz a 2. csatorna • Csak 5 MHz eltérés a központi frekvenciák között • A 802.11b jel kb. 30 MHz-es spektrumot fed le • A jel kb. 15 MHz-et foglal el a központi frekvencia mindkét oldalán • Átfedés jön létre több szomszédos csatorna frekvenciasávja között • Cellás megoldásban a szomszédos cellák frekvenciatávolságának legalább 5 csatornának kell lennie • Használhatjuk pl. az (1, 6, 11) kombinációt • Átfedés így is lehetséges, hisz egy erősebb adó jele szélesebb spektrumot is lefedhet 2005.12.01

  14. Csatlakozás egy új cellához • Egy állomás csatlakozhat egy létező BSS-hez... • Bekapcsolás után • Alvó módból való kilépéskor • A BSS területére lépéskor • Passive Scanning • Az állomás egy Beacon Frame-et vár az AP-tól • Az AP periódikusan küldi azt, szinkronizációs információt hordoz • Active Scanning • Az állomás megpróbál egy AP-t találni magának • Probe Request Frame-eket küld • Probe Response választ vár az AP-któl • Ha több AP válaszol, kiválasztja a „legjobbat” • Legjobb jel/zaj viszony • SNR – Signal to Noise Ratio 2005.12.01

  15. Active Scanning 2005.12.01

  16. Csatlakozás egy új cellához • Hitelesítés (Authentication) • Ha egy állomás megtalál egy AP és a hozzáa tartozó BSS-hez akar csatlakozni, elindul egy hitelesítési eljárás • Mindkét fél bizonyítja, hogy ismer egy adott jelszót • Csatlakozási eljárás (Association Process) • Ha átesett a hitelesítésen, elkezdi a csatlakozást az AP-hoz • Az új AP egy azonosítót (ID) rendel az állomáshoz • IAPP-t használva az új AP értesíti a régi AP-t a váltásról • A Distribution System-en keresztül 2005.12.01

  17. WLAN Handover 2005.12.01

  18. Ad-hoc mód • Minden csomópont közvetlenül tud kommunikálni a hatósugarán belüli többi csomóponttal • Távolabbi csomópontok közötti kommunikáció ad-hoc útválasztás segítségével • AODV, DSR, DSDV, stb. • Minden állomás egyben router is • Többugrásos ad-hoc hálózatok • Nincs szükség AP-kra • Nagyon gyorsan fel lehet építeni egy ideiglenes hálózatot • Egy rendezvény vagy konferencia résztvevői között 2005.12.01

  19. A 802.11 technológiai kockázatai • Bilógiai kockázatok • A WLAN új technológia • Legfejlettebb helyeken is csak ’98 után terjedt el • A távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett nem tesztelték • A 2.4 GHz-es tartomány biológiailag veszélyes • Nagy teljesítményen koagulálja az emberben is lévő fehérjéket • Így működik a mikrohullámú sütő, de nagyságrendekkel nagyobb teljesítménnyel • A teljesítményt szabályozzák • Az USA-ban 1000 mW max sugárzási teljesítmény • Európában 100 mW 2005.12.01

  20. Egymást zavaró technológiák • A Bluetooth és a 802.11b ugyanazt a 2.4 GHz-es ISM sávot használja • Az FHSS-t használó rendszerek (pl. Bluetooth) ki tudják szűrni a zavart frekvenciasávokat • Úgy állítják be a frekvenciaugratást hogy ne legyen gond • A DSSS-t használó megoldások (pl. 802.11b) érzékenyebbek • Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz „beugrik” a frekvenciatartományba • Az RTS/CTS sem zárja ki a zavarást • Egy lefoglalt adósávba is „beugorhat” egy Bluetooth eszköz • Interferencia mérési eredmények • Ha egy Bluetooth eszköz 10 cm-nél közelebb van egy 802.11b eszközhöz, annak teljesen megszakad a kiépített kapcsolata • Ha 1 méteren belül, akkor 50%-os csomagvesztés • Fordítva is igaz, habár a Bluetooth jobban reagál a zavarásra • Mikrohullámú sütők, orvosi műszerek, stb. 2005.12.01

  21. Biztonsági kérdések • Vezetéknélküli környezetben sokkal nehezebb a biztonságot garantálni • Nem kell „betörni” a vonalra • Bárki hallhatja a kommunikációt ha elég „közel” van • A mobilitás egy plusz támadási felületet kínál • A mobilitás és a biztonság paradoxonja: • A biztonságos hálózatok nem mobilisak • Egy vezeték nélküli hálózat lehet biztonságos • Ki lehet osztani kulcsokat melyekkel vezeték nélküli eszközök egy adott AP-hoz csatlakozhatnak • A mobilitást nehéz kezelni • Ha egy másik AP körzetébe érnek, az ottani kulcsokat már nem ismerik • A mobil hálózatok nem biztonságosak • Vezetékes hálózatoknal a kliensek egy csatlakozási ponthoz rendelhetők • A csatlakozási ponthoz lehet hozzáférési jogokat rendelni • Egy vezeték nélküli, mobil hálózaton a felhasználó váltogatja a csatlakozási pontjait • Mindenhol ugyanazt a szolgáltatást kell neki biztosítani • A felhasználót magát kell azonosítani, hozzá kell rendelni ahozzáférési jogokat • Az AP-k is veszélyforrások lehetnek • Bárki számára elérhető helyre telepítik őket • Íroasztal, mennyezet, stb. • A lehető legkevesebb feladatot kell az AP-kra hagyni • A „vékony” AP (Thin AP) architektúra a megfelelő 2005.12.01

  22. AAA • Authentication, Authorization, Accounting • Hitelesítés, engedélyezés, nyílvántartás • Authentication • Azonos vezetékes és vezeték nélküli elérési módnál • Nincs szükség újbóli bejelentkezésre • A két médium közötti váltásnál • Az AP-k közötti barangolásnál • A felhasználók azonosításához szükséges adatokat az azonosító szerveren tárolják • Fizikailag jól védhető módon elhelyezve • Authorization • Lehetőség a barangolás (roaming) korlátozására • Csökkenti az illetéktelen hozzáférés lehetőségét • A hozzáférési jogok a felhasználóhoz rendelve • Ugyanazok a szolgáltatások vezetékes és vezeték nélküli elérésen • Accounting • A hálózat üzemeltetője figyelemmel kísérheti ki milyne szolgáltatást vesz igénybe • Adatforgalom, időintervallum, stb. • Központilag nyílvántartott adatok • Kicsi a visszaélés veszélye 2005.12.01

  23. SSID • Service Set Identifier • Hozzárendelve egy AP-hez vagy egy AP csoporthoz • Aki be akar csatlakozni egy AP-hez ismernie kell az SSID-t • Mint egy jelszó • Nem biztonságos ha az AP SSID üzenetszóró módba van állítva • Mindenki megkapja az SSID-t az AP-tól • Másodpercenként többször is, kódolatlanul • Manuális beállítás, körülményes frissítés • Előbb-utóbb mindenki megismeri őket • Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál • Önmagában az elkülönítés semmilyen védelmet nem nyújt • Bárki bármilyen SSID-jű hálózathoz hozzáférhet 2005.12.01

  24. MAC címszűrés • A kliens gépeket az egyedi 802.11 MAC címük azonosítja • Egy AP-nak megadható egy MAC címlista • Csak a listán levő eszközök csatlakozhatnak az AP-hoz • Csak kisebb hálózatok esetén használható • Minden egyes MAC címet manuálisan kell beállítani az AP-ban • A listát folyamatosan frissíteni kell • Nagy adminisztrációs többletmunka 2005.12.01

  25. RADIUS • Remote Authentication Dial-in User Service • Behívó felhasználó távoli azonosítása • C. Rigney, W. Willats, and P. Calhoun, "RADIUS Extensions", RFC 2869, June 2000. • J. Hill, "An Analysis of the RADIUS Authentication Protocol”, November 2001 • A behívásos kapcsolattal rendelkező felhasználók azonosítására fejlesztették ki • Virtuális magánhálózatokban és vezeték nélküli helyi hálózatokban is elkezdték használni • Hitelesítés • A felhasználó elküldi az erőforrást kezelő kiszolgálóhoz a hitelesítési adatokat • A kiszolgáló hozzáférési kérelmet (Access Request, AReq) küld a RADIUS szervernek • A RADIUS szerver megkeresi a felhasználó adatait nyilvántartásában • Ellenőrzi a jelszót és a hozzáférési kérelemben szereplő többi adatot • Ha megfelelnek a tárolt feltételeknek, a RADIUS szerver hozzáférés engedélyezve (Access Accept, AA) üzenetettel válaszol • Ha az adatok nem megfelelők, hozzáférés megtagadva (Access Reject, ARej) üzenet • A kiszolgáló nem engedélyezi az erőforrás használatát, a kapcsolatot megszakítja • Engedélyezés • Ha a hozzáférés engedélyezve, a RADIUS szerver meghatározza a hozzáférés paramétereit, mértékét • Pl. „csak a céges hálózat érhető el” • Nyilvántartás • Engedélyezés után egy nyílvántartás indul (Accounting Start) bejegyzést a RADIUS szervernél • A kapcsolat megszakításakor nyílvántartás vége (Accounting Stop) bejegyzés 2005.12.01

  26. Diameter • A RADIUS-t nem vezeték nélküli hálózatokra fejlesztették ki • Hiányoznak a meghibásodás kezelési algoritmusok a túl nagy várakozási idők kiküszöbölésére • A kommunikációs hibákból adódó lassú vagy hibás működés nincs kezelve • Hiányzik a biztonságos kommunikáció lehetősége • A RADIUS UDP csomagokat használ • Nem garantalható célbaérésük • Nincs definiálva semmilyen újraküldési eljárás • Diameter • Nem rövidítés  • TCP-t használ a kommunikációra • Szolgáltatás egyeztetés • Capability Navigation • Heterogén környezetben a kliens és a szerver lekérdezheti egymástól a támogatott funkciókat, a szükséges paramétereket • Hiba értesítés 2005.12.01

More Related