Szerokopasmowe mobilne sieci dostępoweSzerokopasmowe mobilne sieci dostępowe

Bartosz Lewandowski

Poznańskie Centrum Superkomputerowo-Sieciowe

PlanPlan

• Sieci mobilne– 2 G - CSD/HSCSD– 2,5-2,75 G - GPRS/EDGE– 3G – UMTS (WCDMA)– 3,5G – HSPA– 3,9G/4G – LTE

• Sieci bezprzewodowe– 802.16 – WIMAX– 802.11 - WiFi– 802.11ad TG – Wireless Gigabit

Sieci mobilneSieci mobilne

GPRS/EDGEGPRS/EDGE

• General packet radio service, 3GPP

• Założenia– Rodzaje transmisji: punkt-

punkt,punkt-wielopunkt– Niezależna infrastruktura od

GSM, współdzielone pasmo radiowe

• Szczeliny czasowe używane tylko w przypadku transmisji danych, możliwość łączenia szczelin czasowych (maks. 4)

• 56-114 kbit/s • EDGE (Enhanced Data rates for

GSM Evolution, Enhanced GPRS)– Polepszone kodowanie i

modulacja sygnału radiowego– 250kbps

• Standard 3GPP (3rd Generation Partnership Project)

UMTS (WCDMA)UMTS (WCDMA)

• Universal Mobile Telecommunications System– 3GPP– Połączenia głosowe, wideorozmowy, wiadomości tekstowe,

przesyłanie danych– WCDMA (Wideband Code Division Multiple Access)– HSDPA (High Speed Downlink Packet Access), maks 14,4

Mbps, 7,2 MBps– HSUPA (High Speed Uplink Packet Access), maks 5,76

Mbps/1,46 Mbps

• Następca standardu GSM (3GPP)– Możliwość współpracy obu standardów

• Szkielet bez większych zmian, zmodyfikowana sieć radiowa (WCDMA)– Osobne maszty, nadajniki

LTELTE

• Long Term Evolution• Rozwijane przez 3rd Generation Partnership Project

(3GPP)• 4G, all-IP• Maks 100Mb/s downlink, 50Mb/s uplink• 1,4MHz-20MHz• Kodowanie (zamiast WCDMA)

– Downlink: OFDMA (Orthogonal Frequency Division Multiplexing)

– Uplink: SC-FDMA (Single Carrier-Frequency Division Multiple Access)

• Zwiększenie efektywności wykorzystania pasma radiowego

• LTE-Advanced: 1Gbps-fixed, 100Mbps-mobile– ITU 4G – 3.9G

Sieci bezprzewodoweSieci bezprzewodowe

WiMAXWiMAX

• Worldwide Interoperability for Microwave Access

• Oparty na 802.16, HiperMAN

• Szerokopasmowy radiowy dostęp na dużych obszarach

• Zasięg – Maks do 50km– 30km – w zasięgu linii

widoczności (Line of Sight)– 12 km

• <= 75Mb/s do 10km, 4Mb/s• 2001• WiMAX Forum

WiMAX - standardyWiMAX - standardy

• 802.16– 10 do 66GHz– 2001– LoS

• 802.16a,16b,16c– 2 do 11 GHz– NLoS– 2003

• 802.16d– 2004– „fixed Wimax”

• 802.16e– Mobilny dostęp do

60km/h– 2007

WiFiWiFi

• Standardy– IEEE 802.11 - 1Mb/s lub 2 Mb/s, 2.4

GHz– IEEE 802.11a - 54 Mb/s (108Mbps), 5

GHz (WiFi5)– IEEE 802.11b - 11Mb/s, 2.4 GHz– IEEE 802.11g - 54Mb/s , 2.4 GHz– IEEE 802.11n - 108MBps, 5GHz ?– IEEE 802.11s - „Wireless Mesh”

802.11 B802.11 B

• Najstarsze rozszerzenie, doskonale wspierane, stabilne i tanie, pracujące w paśmie 2.4 GHz (potencjalne zakłócenia: kuchenki mikrofalowe, telefony DECT, etc)

• Ograniczenia ilość AP w obszarze do trzech• Zdefiniowane 14 kanałów z czego:• Japonia: kanał 14• USA: kanały 1-11• Europa: kanały 1-13• Używa technologii direct-sequence spread-spectrum

technology• IEEE 802.11B+• Nie standardowe rozwiązanie,w paśmie 2.4 GHz• Zgodne z 802.11b, o teoretycznej prędkości 1 do 22 Mbps,

rzeczywiście ok.. 6 Mbps max• Inna technika modulacji

21 3 4 5 6 7 8 9 10 11

2.412 2.417 2.422 2.427 2.432 2.437 2.442 2.447 2.452 2.457 2.462

Kanał

Średnia częst. (GHz)

5 MHz

802.11 A802.11 A

• Kompletnie różne od IEEE 802.11A/G• Elastyczne bo duże ilości kanałów mogą dać

dużą prędkość i dużą liczbę AP na małym obszarze

• Krótszy zasięg niż A/G• Działa w paśmie 5 GHz gdzie jest mniej

zakłócających urządzeń AGD• Zdefiniowane 12 channels• 8 kanałów nie zachodzących, o teoretycznej

prędkości 6 do 54 Mbps, i rzeczywistej ok.. 27 Mbps

• Używa technologii frequency division multiplexing technology

802.11 G802.11 G

• Rozszerzenie IEEE 802.11b, nie pozbawione jej wad (bezpieczeństwo i interferencje)

• Mniejszy zasięg niż 802.11b• Zgodne z 802.11b co pozwala na łatwą

migrację z B do G• Zaletą jest wyższa prędkość transmisji• Kanały jak B• Teoretyczna prędkość 54 Mbps, a

rzeczywista ok.. 20-25 Mbps i 14 Mbps dla dowiązania B

• Używa technologii frequency division multiplexing technology

802.11B/G vs. 802.11A802.11B/G vs. 802.11A

54 Mbps

48 Mbps36 Mbps

24 Mbps

12 Mbps2 Mbps

5.5 Mbps

11 Mbps

802.11a 802.11b

Zasięg Działania

802.11B/G vs. 802.11A802.11B/G vs. 802.11A

0

5

10

15

20

25

30

0 50 100 150 200 250

802.11a802.11b

~4.5x

~2.5x

0

5

10

15

20

25

30

0 50 100 150 200 250

802.11a802.11b

~4.5x

~2.5x

~4.5x

~2.5x

802.11B/G vs. 802.11A802.11B/G vs. 802.11A

WiFi – porównanieWiFi – porównanie

WiFi – porównanieWiFi – porównanie

Kanały w sieciach WiFiKanały w sieciach WiFi

• Access point cyklicznie wysyła ramkę BEACON (SSID, szybkość, etc.)

• Klient skanuje częstotliwości i znajduje AP na bazie SSID, wielkości sygnału, ...

• Klient przełącza się na przypisany kanał i dowiązuje do sieci (np.. Uwierzytelnia)

• SSID – do 32 znaków

Problemy – wielu użytkownikówProblemy – wielu użytkowników

• Negocjacja prędkości– Efektywna prędkość zależy od najwolniejszych klientów

dlatego ważne by przy projektowaniu sieci WiFi nie tylko posługiwać się wyznacznikiem zasięgu ale też pasma jakie pozostanie dla klientów

• Nakładanie (interferencja) kanałów– Długość fali 2.4GHz? – ok..12cm – Uwaga na AP pracujące

w swoim zasięgu na nakładająych się kanałach (np.. kanałach 6 i 8!!!)

• Pasmo użytkownika– Sieć WiFi jest architekturą typu HUB (nie SWITCH) o

dzielonym w kanale paśmie• Problem niewidocznego węzła

– Nie wszyscy uczestnicy sieci są we wzajemnym zasięgu

CBA

802.11 N802.11 N

• Pracuje w paśmie 5GHz– Zajętość kanału rzędu 20MHz

• Oczekiwana wydajność:– Teoretyczna rzędu 108Mbps– „Spektralna” rzędu 3bps/Hz

• Zgodność z:– IEEE 802.11A/B/G– IEEE 802.11E (QoS)

802.11 V – zarządzanie klientami802.11 V – zarządzanie klientami

• DZIŚ: Balansowanie obciążeń AP po stronie Klienta

• IEEE 802.11v – Kontroler informuje klienta który z AP jest dla niego najlepszy

Kwestie prawneKwestie prawne

• Rozporządzenie Min. Infrastruktury– 6 sierpnia 2002,

Aneks nr.3

• Bezpieczeństwo:– USA: odległość od

anteny min. 20cm

Zagrożenia w sieci WiFi (1)Zagrożenia w sieci WiFi (1)

• Obce punkty dostępu dołączone do naszego LANu

• Dostęp przez nieuprawnionych użytkowników

• Przejęcie, podsłuchiwanie i monitoring ruchu Wi-Fi– Podsłuchujący może być dla nas niewidoczny– Oprogramowanie dla włamywacza powszechnie

dostępne

• Zakłócenia radiowe – Pasma Wi-Fi są nielicencjonowane (nie są na wyłączność)

Zagrożenia w sieci WiFi (2)Zagrożenia w sieci WiFi (2)

• Nieświadome podłączenia klient do klienta (ad hoc)• Odmowa lub pogorszenie jakości serwisów

– Zalew błędnymi pakietami, żądania skojarzenia/uwierzytelnienia ...itd.

– Świadoma zmiana konfiguracji urządzeń– Brak szyfrowania– Słabe hasła użytkowników– Niezabezpieczone klucze i hasła na maszynach

użytkowników– Brak lub słabe zabezpieczenia punktów dostępowych

• Kradzież urządzeń– Access Point z konfiguracją

• Śledzenie użytkowników i ich mobilności

Zabezpieczenia sieci WiFiZabezpieczenia sieci WiFi

• Otwarty• Otwarty- WebAAA• Kontrola dostępu w oparciu o adresy L2 • Shared - Mechanizm WEP– Wireless Equivalent Privacy

• 802.1x (EAP, EAPoL) – Uwierzytelnianie klienta

• WPA– Wi-Fi Protected Access

• WPA2 • 802.11i

Zabezpieczenia sieci WiFi: Otwarty i Otwarty WebAAAZabezpieczenia sieci WiFi: Otwarty i Otwarty WebAAA

• Open– Wada: Brak mechanizmów

uwierzytelnienia (można tylko ukryć „SSID_Name”), autoryzacji i szyfrowania

– Zaleta: Trywialność konfiguracji• Open – Web AAA

– Powszechnie spotykany mechanizm w sieciach internetowych, płatnych HotSpot

– Wada: Brak mechanizmów autoryzacji i szyfrowania

– Zaleta: Łatwe uwierzytelnienie przez strony www

Captive portal• Klient dowiązuje się do sieci WiFI Open• Klient wysyła DHCP Discover. WSS przekazuje je do

DHCP Server. Klient otrzymuje adres IP. WSS jest default gateway’em.

• Wireless Gateway przekierowuje wszystkie pakiety z SSID-Public do Captive Portal

• Użytkownik otwiera dowolna stronę , np. http://www.poznan.pl

• Klient szuka adresu IP/DNS www.poznan.pl (WSS przekazuje zapytanie w systyemu DNS)i zwraca adres IP www.poznan.pl

• Klient inicjalizuje połączenie ip/tcp na port 80: TCP Syn na port 80 (http)

• Captive Portal = enabled, firewall na WSS przechwytuje TCP Syn packet na port 80 (http) z Source IP który nie jest jeszcze uwierzytelniony, i przesyła do wewnętrznego serwera www WSS.

• Serwer Web WSS podstawia stronę www: http redirect 302 na https://gateway.poznan.pl

• Klient wysyła żądanie: DNS lookup, dla serwera gateway.poznan.pl i otrzymuje adres IP z WSS

• Klient inicjalizuje połączenie http do gateway.poznan.pl• WSS Firewall przesyła wszystkie pakiety do

wewnętrznego serwera www.• Użytkownik widzi stronę logowania: WSS Login Page i

formularz login/hasło/regulamin• Po pozytywnym uwierzytelnieniu serwer przydziela

unikalne cookies klientowi• Firewall WSS jest auto-rekonfigurowany dopuszczając

całość ruchu z danego adresu IP uwierzytelnionego klienta

• Użytkownik widzi portal i następnie przekierowanie do pierwotnej strony www.poznan.pl

Zabezpieczenia sieci WiFi: Listy L2Zabezpieczenia sieci WiFi: Listy L2

• Statyczna definicja, które stacje mogą podłączyć się do AP

• Kłopotliwe administrowanie w dużych środowiskach• Nie gwarantują wysokiego poziomu bezpieczeństwa• Powinny być używane jako uzupełnienie

pozostałych mechanizmów bezpieczeństwa

Zabezpieczenia sieci WiFi: Shared – Wireless Equivalent PrivacyZabezpieczenia sieci WiFi: Shared – Wireless Equivalent Privacy

• Najstarszy sposób zabezpieczeń Wi-Fi– Oparty o statyczne klucze WEP– Używa algorytmu szyfrowania RC4– Zapewnia podstawową kontrolę spójności

CRC

• Mechanizm prosty do złamania– Nie daje wysokiego poziomu bezpieczeństwa– Zanim klient będzie mógł transmitować dane

musi powiązać się z AP– Oparte na współdzielonych kluczach

Zabezpieczenia sieci WiFi: WEP - problemyZabezpieczenia sieci WiFi: WEP - problemy

• Klucze szyfrowania są statycznie dystrybuowane

• Klucze nie zmieniają się w czasie• Ten sam klucz dla wszystkich klientów i

AP• Wektor IV (Initialization Vector) nie jest

szyfrowany i może być użyty ponownie dla ponownego procesu szyfrowania

• Brak mechanizmów pewnego uwierzytelniać

Zabezpieczenia sieci WiFi: WEP - WPAZabezpieczenia sieci WiFi: WEP - WPA

• WPA – Wi-Fi Protected Access• Element standardu 802.11i• Zgodność „ w przód” z 802.11i• Dwa tryby pracy: – Enterprise – Personal (Pre-shared key PSK )

Zabezpieczenia sieci WiFi: …Zabezpieczenia sieci WiFi: …

Wireless Gigabit (short range wi-fi)Wireless Gigabit (short range wi-fi)

• Wireless Gigabit Alliance (Intel, Broadcom and Atheros, Cisco)– Współpraca z Wi-Fi Alliance– IEEE 802.11ad TG

• Pasmo 60 GHz– „a single Wi-Fi adapter in the future would handle

2.4 GHz for compatibility and range, 5 GHz for performance and reduced interference, and 60 GHz for short-range super-fast data transfers”

• Do 7Gbps• Do 10m

Zamiast podsumowaniaZamiast podsumowania

Dziękuję.Dziękuję.

bartosz.lewandowski@man.poznan.pl