Präsentation

Virtual Access Points
Michael Roßberg
Übersicht
• Einleitung
• Definition und Motivation
• 802.11 Management
• Implementierungstechniken
• Zusammenfassung
• Quellen
Einleitung
• 802.11 einer der erfolgreichsten
Standards der IEEE
• alleine in den USA mehr als 10 Mio.
Haushalte mit Funknetzwerken
• neue Anwendungsgebiete erfordern
Erweiterungen des Standards
Grundlegende
Abkürzungen
• BSSID:
eindeutige 6-Byte
Nummer, analog zur
MAC-Adresse
• SSID
das Netzwerk
beschreibende
Zeichenfolge
(max. 32 Byte)
AccessPPoint
SSID: beispiel
BSSID: 00:01:02:03:04:EE
Definition &
Motivation
Definition:
Virtual Access Point
• logische Einheit in
einem physischen
Access Point
Uni VPN
Uni WPA
Studentennetz
• erscheint dem
Benutzer wie
verschiedenen real
existierende
Basisstationen
realer Access Point
Virtueller Access Point
Anwendungsszenario
“guest mode”
Internet
Provider 2
Provider 1
Virtueller Access Point
Anwendungsszenario
“mehrere ISPs”
Netzwerk
Firma 2
Netzwerk
Firma 1
gemeinsame
Konferenzräume
Anwendungsszenario
“Technologiezentrum”
802.11 Management
Grundlegender Überblick
control
dur
ati
on
control
ID
dur
ati
on
ID
Fixed Parameters
DA
DA
SA
SA
BSSID
BSSID
Tagged Parameters
Fixed Parameters
Tagged Parameters
Aufbau eines
Management Frames
ID
Length
Data
Aufbau eines
Tagged Parameter
Beacon Frame
• regelmässig vom AP gesendeter
Broadcast
• Stromspar- und
Synchronistationsfunktion
• erlaubt “passives” Finden von
Netzwerken
• Signalqualitätsbestimmung
• muss SSID als “tagged parameter”
enthalten
Probe Request
• aktives Suchen nach Netzwerken
• von Klient zu Access Point
• müssen SSID enthalten
• Broadcast SSID erlaubt
Probe Response
• Antwort auf Probe Request
• Struktur analog zum Beacon
Authentication Request
• Authentifizierung eines Klienten
gegenüber ESS
• Open & Shared Authentication möglich
• Kann auch implizit später stattfinden
(siehe 802.1x & 802.11i)
Association Request
• Anmeldung eines Klienten bei einer
Basisstation
• enthält SSID
• erst nach Authentifizierung möglich
Implementierungstechniken
eine SSID & eine
BSSID
historisch mit interessanten Problemen
Unterscheidung durch
MAC-Adressen
• werden mit allem Paketen
mitgeschickt
• simple Lösung
• einfache Zuordnung auf VLANs
möglich
Nachteile
• hoher Verwaltungsaufwand, keine
Transparenz
• allein auf MAC-Adressen basierende
Zuordnung ist unsicher
• statische Zuordnung
• Multicast/Broadcast Probleme
• Beaconstruktur kann nicht alle
Informationen ausdrücken
Unterscheidung durch
Benutzeridentifikation
• verschiedene Benutzer- und
Gruppennamen
• funktioniert nur mit 802.1x
• Multi-/Broadcast Problem “behoben”
für verschlüsselte Pakete
eine BSSID &
mehrere SSIDs
nicht ganz konform, aber mit Vorteilen
“guest mode”
• mehrere SSIDs, aber nur eine
announciert
• auf Probes wird entsprechend den
einzelnen SSIDs reagiert
• Probleme: ähnlich dem MAC-Adress-
Ansatz, Festkonfiguration mit geringer
Transparenz
Mehrere SSID Tags
• SSIDs sind “Tagged Parameters”
• 802.11 verbietet nicht mehrere Tags
mit gleicher Bedeutung
• Probleme: unflexibel, neue KlientenSoftware erforderlich
SSID Listen von Cisco
• properitäre Erweiterung von 802.11
(CCX)
• basiert auf neuem “Tagged Element” in
Beacons und Probe Responses
• benötigt spezielle Klienten-Software
• Elementstruktur durch Reverse
Engineering
bytes
1
1
3
1
2
variabel
Element
ID
0xDD
Total
Length
OUI
0x0050F2
Type
0x05
SSID
Element Count
SSID Elements
SSIDL Struktur
bytes
5
1
variable
Flags
SSID
Length
SSID
SSID Element
Struktur
Die Flags
• Indikation von WPS und EAP
• Keymanagement: WPA-PSK, WPA2-
PSK, WPA-Enterprise, WPA2Enterprise, CCKM mit WEP, CCKM mit
AES
• CMIC, Per-Packet Rekeying, TKIP
• WEP-40, WEP-128, AES
• genaue Bitbelegung in der
Ausarbeitung
Verbleibende Probleme
• Multi-/Broadcast Problem bleibt
ungelöst
• keine “Shared Key” Authentifizierung
mehr möglich
• keine Softwareunterstützung, durch
fehlenden offenen Standard
Mehrere BSSIDs
& mehrere SSIDs
eine vollständige Emulation
mehrere BSSIDs & SSIDs
• inzwischen bevorzugte Technik
• vollständig kompatibel zu 802.11
• kein Zusammenhang zwischen VAPs
einer Basisstation mehr erkennbar
grundsätzliche Probleme
• bei schlechten Verbindungen hin- und
herwechseln zwischen Netzen eines
Access Points möglich
• Verschwendung von Funkresourcen,
durch viele Beacons
technische Hürden
• Hardware ACKs nicht mehr problemlos
möglich (betrifft nur AP)
• durch viele Beacons hohe Interruptlast
Zusammenfassung
Zusammenfassung
• Standardisierung wäre
wünschenswert
• bis dahin vollständige Emulation nötig
• beim nächsten Standard an
Virtualisierung denken
Quellen
Quellen
•Cisco Systems.
Cisco Compatible Extensions Program for Wireless LAN (WLAN) Devices
http://www.cisco.com/en/US/partners/pr46/pr147/partners_pgm_concept_home.html
•Sam Leffler.
FreeBSD Wireless NetworkingFreeBSD Wireless Networking, 2005
http://people.freebsd.org/~sam/BSDCan2005.pdf
•IEEE Std 802.11-1999
Information technology– Telecommunications and information exchange between systems–
Local and metropolitan area networks– Specific requirements– Part 11: Wireless LAN
Medium Access Control (MAC) and Physical Layer (PHY) Specifications, 1999
http://standards.ieee.org/getieee802/download/802.11-1999.pdf
•IT Facts
10 mln US households have WLAN, 2005
http://www.itfacts.biz/index.php?id=P3062
•Graham Melville.
Virtual Access Point Definition, 2004
http://www.drizzle.com/~aboba/IEEE/11-04-0238-00-0wng-definition-virtual-accesspoint.doc
•Bernard Aboba.
Virtual Access Points, 2003
http://www.drizzle.com/~aboba/IEEE/11-03-154r1-I-Virtual-Access-Points.doc
•Matthew Gast.
802.11 Wireless Networks: The Definitive Guide
Second Edition, O’Reilly, 2005
Vielen Dank für die
Zeit!