Präsentation
Transcrição
Präsentation
Virtual Access Points Michael Roßberg Übersicht • Einleitung • Definition und Motivation • 802.11 Management • Implementierungstechniken • Zusammenfassung • Quellen Einleitung • 802.11 einer der erfolgreichsten Standards der IEEE • alleine in den USA mehr als 10 Mio. Haushalte mit Funknetzwerken • neue Anwendungsgebiete erfordern Erweiterungen des Standards Grundlegende Abkürzungen • BSSID: eindeutige 6-Byte Nummer, analog zur MAC-Adresse • SSID das Netzwerk beschreibende Zeichenfolge (max. 32 Byte) AccessPPoint SSID: beispiel BSSID: 00:01:02:03:04:EE Definition & Motivation Definition: Virtual Access Point • logische Einheit in einem physischen Access Point Uni VPN Uni WPA Studentennetz • erscheint dem Benutzer wie verschiedenen real existierende Basisstationen realer Access Point Virtueller Access Point Anwendungsszenario “guest mode” Internet Provider 2 Provider 1 Virtueller Access Point Anwendungsszenario “mehrere ISPs” Netzwerk Firma 2 Netzwerk Firma 1 gemeinsame Konferenzräume Anwendungsszenario “Technologiezentrum” 802.11 Management Grundlegender Überblick control dur ati on control ID dur ati on ID Fixed Parameters DA DA SA SA BSSID BSSID Tagged Parameters Fixed Parameters Tagged Parameters Aufbau eines Management Frames ID Length Data Aufbau eines Tagged Parameter Beacon Frame • regelmässig vom AP gesendeter Broadcast • Stromspar- und Synchronistationsfunktion • erlaubt “passives” Finden von Netzwerken • Signalqualitätsbestimmung • muss SSID als “tagged parameter” enthalten Probe Request • aktives Suchen nach Netzwerken • von Klient zu Access Point • müssen SSID enthalten • Broadcast SSID erlaubt Probe Response • Antwort auf Probe Request • Struktur analog zum Beacon Authentication Request • Authentifizierung eines Klienten gegenüber ESS • Open & Shared Authentication möglich • Kann auch implizit später stattfinden (siehe 802.1x & 802.11i) Association Request • Anmeldung eines Klienten bei einer Basisstation • enthält SSID • erst nach Authentifizierung möglich Implementierungstechniken eine SSID & eine BSSID historisch mit interessanten Problemen Unterscheidung durch MAC-Adressen • werden mit allem Paketen mitgeschickt • simple Lösung • einfache Zuordnung auf VLANs möglich Nachteile • hoher Verwaltungsaufwand, keine Transparenz • allein auf MAC-Adressen basierende Zuordnung ist unsicher • statische Zuordnung • Multicast/Broadcast Probleme • Beaconstruktur kann nicht alle Informationen ausdrücken Unterscheidung durch Benutzeridentifikation • verschiedene Benutzer- und Gruppennamen • funktioniert nur mit 802.1x • Multi-/Broadcast Problem “behoben” für verschlüsselte Pakete eine BSSID & mehrere SSIDs nicht ganz konform, aber mit Vorteilen “guest mode” • mehrere SSIDs, aber nur eine announciert • auf Probes wird entsprechend den einzelnen SSIDs reagiert • Probleme: ähnlich dem MAC-Adress- Ansatz, Festkonfiguration mit geringer Transparenz Mehrere SSID Tags • SSIDs sind “Tagged Parameters” • 802.11 verbietet nicht mehrere Tags mit gleicher Bedeutung • Probleme: unflexibel, neue KlientenSoftware erforderlich SSID Listen von Cisco • properitäre Erweiterung von 802.11 (CCX) • basiert auf neuem “Tagged Element” in Beacons und Probe Responses • benötigt spezielle Klienten-Software • Elementstruktur durch Reverse Engineering bytes 1 1 3 1 2 variabel Element ID 0xDD Total Length OUI 0x0050F2 Type 0x05 SSID Element Count SSID Elements SSIDL Struktur bytes 5 1 variable Flags SSID Length SSID SSID Element Struktur Die Flags • Indikation von WPS und EAP • Keymanagement: WPA-PSK, WPA2- PSK, WPA-Enterprise, WPA2Enterprise, CCKM mit WEP, CCKM mit AES • CMIC, Per-Packet Rekeying, TKIP • WEP-40, WEP-128, AES • genaue Bitbelegung in der Ausarbeitung Verbleibende Probleme • Multi-/Broadcast Problem bleibt ungelöst • keine “Shared Key” Authentifizierung mehr möglich • keine Softwareunterstützung, durch fehlenden offenen Standard Mehrere BSSIDs & mehrere SSIDs eine vollständige Emulation mehrere BSSIDs & SSIDs • inzwischen bevorzugte Technik • vollständig kompatibel zu 802.11 • kein Zusammenhang zwischen VAPs einer Basisstation mehr erkennbar grundsätzliche Probleme • bei schlechten Verbindungen hin- und herwechseln zwischen Netzen eines Access Points möglich • Verschwendung von Funkresourcen, durch viele Beacons technische Hürden • Hardware ACKs nicht mehr problemlos möglich (betrifft nur AP) • durch viele Beacons hohe Interruptlast Zusammenfassung Zusammenfassung • Standardisierung wäre wünschenswert • bis dahin vollständige Emulation nötig • beim nächsten Standard an Virtualisierung denken Quellen Quellen •Cisco Systems. Cisco Compatible Extensions Program for Wireless LAN (WLAN) Devices http://www.cisco.com/en/US/partners/pr46/pr147/partners_pgm_concept_home.html •Sam Leffler. FreeBSD Wireless NetworkingFreeBSD Wireless Networking, 2005 http://people.freebsd.org/~sam/BSDCan2005.pdf •IEEE Std 802.11-1999 Information technology– Telecommunications and information exchange between systems– Local and metropolitan area networks– Specific requirements– Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, 1999 http://standards.ieee.org/getieee802/download/802.11-1999.pdf •IT Facts 10 mln US households have WLAN, 2005 http://www.itfacts.biz/index.php?id=P3062 •Graham Melville. Virtual Access Point Definition, 2004 http://www.drizzle.com/~aboba/IEEE/11-04-0238-00-0wng-definition-virtual-accesspoint.doc •Bernard Aboba. Virtual Access Points, 2003 http://www.drizzle.com/~aboba/IEEE/11-03-154r1-I-Virtual-Access-Points.doc •Matthew Gast. 802.11 Wireless Networks: The Definitive Guide Second Edition, O’Reilly, 2005 Vielen Dank für die Zeit!