1 Hozzáférési hálózatok Vida Rolland 2005.12.01. Hozzáférési hálózatok2005.12.012 Vizsgaalkalmak Elővizsga  December 15, csütörtök, 8.15 – 10 óra, IE.

Slides:



Advertisements
Hasonló előadás
Takács Béla  Legyen decentralizált, azaz ne egy központi géptől függjön minden!  Legyen csomagkapcsolt, hogy többen is tudják használni a hálózatot!
Advertisements

A hálózat működése 1. A DHCP és az APIPA
FDDI (Fiber Distributed Data Interface, Száloptikai adatátviteli interface)
Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Készítette: Nagy Márton
Kliens-szerver architektúra
Hálózati és Internet ismeretek
Aruba Instant vállalati vezeték nélküli megoldások
Nagy Tamás.  Nincsenek akadályozó, „megtörő” kábelek  Költséghatékony  Akár másodlagos hálózatként is használható  Folyamatosan fejlődik, gyorsul,
SZÁMÍTÓGÉP- HÁLÓZAT.
Vezeték nélküli technológiák
Hálózati architektúrák
1 Hálózati technológiák és alkalmazások Vida Rolland
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Hálózati alapismeretek
Csatlakozás BRAIN rádiós hozzáférési rendszerhez mozgó ad-hoc hálózaton keresztül Konzulensek: Vajda Lóránt Török Attila Simon Csaba Távközlési és Telematikai.
Sávszélesség és adatátvitel
ZigBee alapú adatgyűjtő hálózat tervezése
Sándor Laki (C) Számítógépes hálózatok I. 1 Számítógépes hálózatok 3.gyakorlat Fizikai réteg Kódolások, moduláció, CDMA Laki Sándor
OSI Modell.
Adatátvitel. ISMERTETŐ 1. Mutassa be az üzenet és csomagkapcsolást! Mi köztük az alapvető különbség? 2. Melyek a fizikailag összekötött és össze nem kötött.
Address Resolution Protocol (ARP)
Vezeték nélküli helyi hálózatok
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
Vezeték nélküli technológiák
Hálózatkezelési újdonságok Windows 7 / R2
Hálózati és Internet ismeretek
Ethernet – bevezetés.
Ethernet technológiák A 10 Mbit/s sebességű Ethernet.
A protokollok határozzák meg a kapcsolattartás módját.
Hálózati eszközök.
UDP protokollok User datagram protocol- Felhasználói datagrammprotokoll.
Vezetéknélküli hálózatok biztonsága
Mobil eszközök biztonsági problémái
DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.
Hálózati réteg.
Hálózati architektúrák
modul 3.0 tananyagegység Hálózatok
Adatkapcsolati réteg.
, levelezés … kérdések - válaszok Takács Béla 2008.
Hálózati technológiák és alkalmazások
Hálózati ismeretek ismétlés.
Handover vizsgálata WLAN hálózatokban Kersch Péter Konzulensek: zVajda Lóránt zTörök Attila.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
Vezeték nélküli hálózatok védelme
Speciális Technológiák
Speciális Technológiák
Kapcsolatok ellenőrzése
Számítógép hálózatok.
Számítógép- hálózatok
A fizikai réteg. Az OSI modell első, avagy legalsó rétege Feladata a bitek kommunikációs csatornára való juttatása Ez a réteg határozza meg az eszközökkel.
Hálózatok a mai világban
Az IPv4 alhálózati maszk
HEFOP 3.3.1–P /1.0A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. 1 Számítógép- hálózatok dr. Herdon.
IP alapú hálózatok tervezése és üzemeltetése
Mobil adatátvitel.
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
Tűzfal (firewall).
Biztonság kábelek nélkül Magyar Dénes május 19.
A szállítási réteg az OSI modell 4. rétege. Feladata megbízható adatátvitel megvalósítása két hoszt között. Ezt úgy kell megoldani, hogy az független.
IP címzés Gubó Gergely Konzulens: Piedl Péter Neumann János Számítástechnikai Szakközépiskola Cím: 1144 Budapest Kerepesi út 124.
Hálózatos programok készítése
Kommunikáció a hálózaton
vezeték nélküli átviteli közegek
Hálózatkezelés Java-ban
WLAN-ok biztonsága.
Hálózatok.
Hálózati struktúrák, jogosultságok
Mobilkommunikáció Eszközök és hálózatok
Előadás másolata:

1 Hozzáférési hálózatok Vida Rolland

Hozzáférési hálózatok Vizsgaalkalmak Elővizsga  December 15, csütörtök, 8.15 – 10 óra, IE 215 Vizsgák  Terem: IE 218  Időpont: 8 – 12 óra 8.30-kor kezdünk  Vizsganapok: dec. 22, jan. 12, jan. 26, febr. 2

Hozzáférési hálózatok PCF Point Coordination Function  A bázisállomás vezérli a kommunikációt Nincsenek ütközések  Körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük A szabvány csak a körbekérdezés menetét szabályozza  Nem szabja meg annak gyakoriságát, sorrendjét  Azt sem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie  A bázisállomás periódikusan elküld egy beacon frame-et beacon/s Rendszerparamétereket tartalmaz  Ugrási sorozatok és tartózkodási idő (FHSS-nél), óraszinkronizáció, stb. Ezzel hívja meg az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez  A bázisállomás utasíthatja az állomásokat, hogy menjenek készenléti állapotba Addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket  Kíméli az állomások akkumulátorát A bázisállomásnak pufferelnie kell a készenléti állapotban lévő állomásnak szánt kereteket

Hozzáférési hálózatok PCF vs. DCF A PCF és a DCF egy cellán belül egyszerre is működhet  Hogyan lehet egyszerre elosztott és köpontosított vezérlés?  Gondosan definiálni kell a keretek közti időintervallumot Egy keret elküldése után kell egy holtidő, mielőtt bárki elkezdene küldeni valamit Négy ilyen intervallumot rögzítettek  SIFS – Short Inter-Frame Spacing A legrövidebb intervallum Az SIFS után a vevő küldhet egy CTS-t vagy egy ACK-ot egy részre vagy a teljes keretre A részlöket adója elküldheti az újabb részt, új RTS nélkül  PIFS – PCF Inter-Frame Spacing PCF keretek közti időköz Az SIFS után mindig egyvalaki adhat csak Ha ezt nem teszi meg a PIFS végéig, a bázisállomás elküldhet egy új beacon-t vagy egy lekérdező keretet  Az adatkeretet vagy részlöketet küldő nyugodtan befejezheti a keretet  A bázisállomásnak is van alkalma magához ragadnia a csatornát Nem kell a mohó felhasználókkal versengenie érte

Hozzáférési hálózatok PCF vs. DCF DIFS – DCF Inter-Frame Spacing  DCF keretek közti időköz  Ha a bázisállomásnak nincs mondanivalója, a DIFS elteltével bárki megpróbálhatja megszerezni a csatornát Szokásos versengési szabályok Kettes exponenciális visszalépés ütközés esetén EIFS – Extended Inter-Frame Spacing  Olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni  Legalacsonyabb prioritás

Hozzáférési hálózatok keretek Három különböző keretosztály  Adatkeret  Vezérlőkeret  Menedzsmentkeret Adatkeret:  Keretvezérlés (Frame Control) – 2 byte Protokollverzió – ugyanabban a cellában több változat működhet Tipus – adat, vezérlő vagy menedzsment Altipus – RTS, CTS, stb.

Hozzáférési hálózatok keretek Keretvezérlés (Frame Control) – 2 byte  From-DS, To-DS – a keret egy cellák közti elosztó rendszer felé tart, vagy onnan jön Intercell Distribution System, pl. Ethernet  Újraküldés (Retry) – egy előzőleg elküldött keret újraküldése  MF (More Fragments) – további részek következnek  Teljesítménygazdálkodás (Power Management) – a bázisállomás jelzi hogy egy állomás készenléti állapotba menjen, vagy lépjen ki onnan  Több (More) – az adónak további keretei vannak  W – WEP (Wired Equivalent Privacy) algoritmussal titkosított keret  O (In Order) – az ilyen bitet hordozó keretek sorozatát sorrendben kell feldolgozni

Hozzáférési hálózatok keretek Időtartam (Duration) – a keret és a hozzá tartozó ACK meddig foglalja le a csatornát  Ezt a vezérlőkeretek is tartalmazzák  Ennek segítségével kezeli a többi állomás a NAV eljárást 4 db. IEEE 802 MAC cím  A forrás és a célállomás címe  A cellák közötti forgalomnál a forrás és cél bázisállomás címe Sorszám (Sequence) – a részek sorszámozására  12 bit a keretet, 4 bit a keretdarabot azonosítja Adat (Data) – legfeljebb 2312 byte hosszú Ellenőrző összeg (Checksum)

Hozzáférési hálózatok keretek Menedzsmentkeret  Hasonló az adatkeretekhez  Hiányzik egy bázisállomás-cím Csak cellán belül használhatók Vezérlőkeretek  Csak egy vagy két címet tartalmaznak  Nincs bennük sem Adat, sem Sorszám mező  Legfontosabb információ az Altipus mezőben Általában RTS, CTS vagy ACK

Hozzáférési hálózatok Infrastruktúra mód Cellás rendszer  Basic Service Set (BSS) – cella  Access Point (AP) Minden cellát egy AP vezérel A csomópontokat periódikusan lekérdezve (polling) a csomagküldést vezérli  Elosztó hálózat – Distribution System (DS) Az AP-kat egymáshoz kapcsoló vezetékes (Ethernet) vagy vezeték nélküli hálózat Több cella alkot egy kiterjesztett szolgáltatási hálózatot  Extended Service Set – ESS

Hozzáférési hálózatok b csatornák b a 2.4 GHz-es ISM sávban  Max. 14 csatorna Országonként változó szabályozás  Magyarországon és Európában általában az 1-13 csatornák  Spanyolországban csak a csatornák  Franciaországban csak a csatornák  Az USA-ban 1-11 csatornák  Japánban mind a 14 csatorna

Hozzáférési hálózatok b csatornák Frekvenciasávok szétosztása kétféleképpen lehetséges:  Egy AP-hoz hozzárendeljük az összes lehetséges frekvenciasávot Frekvenciaugratást alkalmazunk a zajok kiküszöbölésére Szükség van egy nagyteljesítményű körsugárzós antennára, az egész tér lefedésére  Drága megoldás  Kis cellákat alakítunk ki Minden szomszédos cella más-más frekvencián kommunikál A cellákban használt frekvenciák nem fedik egymást

Hozzáférési hálózatok b csatornák A csatornák az adóvevők által használt központi frekvenciát jelentik  Pl. 2,412 GHz az 1. csatorna, 2,417 GHz a 2. csatorna Csak 5 MHz eltérés a központi frekvenciák között  A b jel kb. 30 MHz-es spektrumot fed le A jel kb. 15 MHz-et foglal el a központi frekvencia mindkét oldalán Átfedés jön létre több szomszédos csatorna frekvenciasávja között  Cellás megoldásban a szomszédos cellák frekvenciatávolságának legalább 5 csatornának kell lennie Használhatjuk pl. az (1, 6, 11) kombinációt  Átfedés így is lehetséges, hisz egy erősebb adó jele szélesebb spektrumot is lefedhet

Hozzáférési hálózatok Csatlakozás egy új cellához Egy állomás csatlakozhat egy létező BSS-hez...  Bekapcsolás után  Alvó módból való kilépéskor  A BSS területére lépéskor Passive Scanning  Az állomás egy Beacon Frame-et vár az AP-tól  Az AP periódikusan küldi azt, szinkronizációs információt hordoz Active Scanning  Az állomás megpróbál egy AP-t találni magának  Probe Request Frame-eket küld  Probe Response választ vár az AP-któl Ha több AP válaszol, kiválasztja a „legjobbat”  Legjobb jel/zaj viszony SNR – Signal to Noise Ratio

Hozzáférési hálózatok Active Scanning

Hozzáférési hálózatok Csatlakozás egy új cellához Hitelesítés (Authentication)  Ha egy állomás megtalál egy AP és a hozzáa tartozó BSS- hez akar csatlakozni, elindul egy hitelesítési eljárás  Mindkét fél bizonyítja, hogy ismer egy adott jelszót Csatlakozási eljárás (Association Process)  Ha átesett a hitelesítésen, elkezdi a csatlakozást az AP-hoz  Az új AP egy azonosítót (ID) rendel az állomáshoz  IAPP-t használva az új AP értesíti a régi AP-t a váltásról A Distribution System-en keresztül

Hozzáférési hálózatok WLAN Handover

Hozzáférési hálózatok Ad-hoc mód Minden csomópont közvetlenül tud kommunikálni a hatósugarán belüli többi csomóponttal Távolabbi csomópontok közötti kommunikáció ad- hoc útválasztás segítségével  AODV, DSR, DSDV, stb. Minden állomás egyben router is  Többugrásos ad-hoc hálózatok  Nincs szükség AP-kra Nagyon gyorsan fel lehet építeni egy ideiglenes hálózatot  Egy rendezvény vagy konferencia résztvevői között

Hozzáférési hálózatok A technológiai kockázatai Bilógiai kockázatok  A WLAN új technológia Legfejlettebb helyeken is csak ’98 után terjedt el A távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett nem tesztelték  A 2.4 GHz-es tartomány biológiailag veszélyes Nagy teljesítményen koagulálja az emberben is lévő fehérjéket Így működik a mikrohullámú sütő, de nagyságrendekkel nagyobb teljesítménnyel  A teljesítményt szabályozzák Az USA-ban 1000 mW max sugárzási teljesítmény Európában 100 mW

Hozzáférési hálózatok Egymást zavaró technológiák A Bluetooth és a b ugyanazt a 2.4 GHz-es ISM sávot használja  Az FHSS-t használó rendszerek (pl. Bluetooth) ki tudják szűrni a zavart frekvenciasávokat Úgy állítják be a frekvenciaugratást hogy ne legyen gond  A DSSS-t használó megoldások (pl b) érzékenyebbek Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz „beugrik” a frekvenciatartományba Az RTS/CTS sem zárja ki a zavarást  Egy lefoglalt adósávba is „beugorhat” egy Bluetooth eszköz Interferencia mérési eredmények  Ha egy Bluetooth eszköz 10 cm-nél közelebb van egy b eszközhöz, annak teljesen megszakad a kiépített kapcsolata  Ha 1 méteren belül, akkor 50%-os csomagvesztés  Fordítva is igaz, habár a Bluetooth jobban reagál a zavarásra Mikrohullámú sütők, orvosi műszerek, stb.

Hozzáférési hálózatok Biztonsági kérdések Vezetéknélküli környezetben sokkal nehezebb a biztonságot garantálni  Nem kell „betörni” a vonalra Bárki hallhatja a kommunikációt ha elég „közel” van  A mobilitás egy plusz támadási felületet kínál A mobilitás és a biztonság paradoxonja:  A biztonságos hálózatok nem mobilisak Egy vezeték nélküli hálózat lehet biztonságos  Ki lehet osztani kulcsokat melyekkel vezeték nélküli eszközök egy adott AP-hoz csatlakozhatnak A mobilitást nehéz kezelni  Ha egy másik AP körzetébe érnek, az ottani kulcsokat már nem ismerik  A mobil hálózatok nem biztonságosak Vezetékes hálózatoknal a kliensek egy csatlakozási ponthoz rendelhetők  A csatlakozási ponthoz lehet hozzáférési jogokat rendelni Egy vezeték nélküli, mobil hálózaton a felhasználó váltogatja a csatlakozási pontjait  Mindenhol ugyanazt a szolgáltatást kell neki biztosítani  A felhasználót magát kell azonosítani, hozzá kell rendelni ahozzáférési jogokat  Az AP-k is veszélyforrások lehetnek Bárki számára elérhető helyre telepítik őket  Íroasztal, mennyezet, stb. A lehető legkevesebb feladatot kell az AP-kra hagyni  A „vékony” AP (Thin AP) architektúra a megfelelő

Hozzáférési hálózatok AAA Authentication, Authorization, Accounting  Hitelesítés, engedélyezés, nyílvántartás Authentication  Azonos vezetékes és vezeték nélküli elérési módnál  Nincs szükség újbóli bejelentkezésre A két médium közötti váltásnál Az AP-k közötti barangolásnál  A felhasználók azonosításához szükséges adatokat az azonosító szerveren tárolják Fizikailag jól védhető módon elhelyezve Authorization  Lehetőség a barangolás (roaming) korlátozására  Csökkenti az illetéktelen hozzáférés lehetőségét  A hozzáférési jogok a felhasználóhoz rendelve Ugyanazok a szolgáltatások vezetékes és vezeték nélküli elérésen Accounting  A hálózat üzemeltetője figyelemmel kísérheti ki milyne szolgáltatást vesz igénybe Adatforgalom, időintervallum, stb.  Központilag nyílvántartott adatok Kicsi a visszaélés veszélye

Hozzáférési hálózatok SSID Service Set Identifier  Hozzárendelve egy AP-hez vagy egy AP csoporthoz  Aki be akar csatlakozni egy AP-hez ismernie kell az SSID-t Mint egy jelszó Nem biztonságos ha az AP SSID üzenetszóró módba van állítva  Mindenki megkapja az SSID-t az AP-tól Másodpercenként többször is, kódolatlanul Manuális beállítás, körülményes frissítés  Előbb-utóbb mindenki megismeri őket Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál  Önmagában az elkülönítés semmilyen védelmet nem nyújt  Bárki bármilyen SSID-jű hálózathoz hozzáférhet

Hozzáférési hálózatok MAC címszűrés A kliens gépeket az egyedi MAC címük azonosítja  Egy AP-nak megadható egy MAC címlista  Csak a listán levő eszközök csatlakozhatnak az AP-hoz Csak kisebb hálózatok esetén használható  Minden egyes MAC címet manuálisan kell beállítani az AP-ban  A listát folyamatosan frissíteni kell  Nagy adminisztrációs többletmunka

Hozzáférési hálózatok RADIUS Remote Authentication Dial-in User Service  Behívó felhasználó távoli azonosítása C. Rigney, W. Willats, and P. Calhoun, "RADIUS Extensions", RFC 2869, June J. Hill, "An Analysis of the RADIUS Authentication Protocol”, November 2001  A behívásos kapcsolattal rendelkező felhasználók azonosítására fejlesztették ki Virtuális magánhálózatokban és vezeték nélküli helyi hálózatokban is elkezdték használni Hitelesítés  A felhasználó elküldi az erőforrást kezelő kiszolgálóhoz a hitelesítési adatokat  A kiszolgáló hozzáférési kérelmet (Access Request, AReq) küld a RADIUS szervernek  A RADIUS szerver megkeresi a felhasználó adatait nyilvántartásában Ellenőrzi a jelszót és a hozzáférési kérelemben szereplő többi adatot Ha megfelelnek a tárolt feltételeknek, a RADIUS szerver hozzáférés engedélyezve (Access Accept, AA) üzenetettel válaszol Ha az adatok nem megfelelők, hozzáférés megtagadva (Access Reject, ARej) üzenet  A kiszolgáló nem engedélyezi az erőforrás használatát, a kapcsolatot megszakítja Engedélyezés  Ha a hozzáférés engedélyezve, a RADIUS szerver meghatározza a hozzáférés paramétereit, mértékét Pl. „csak a céges hálózat érhető el” Nyilvántartás  Engedélyezés után egy nyílvántartás indul (Accounting Start) bejegyzést a RADIUS szervernél  A kapcsolat megszakításakor nyílvántartás vége (Accounting Stop) bejegyzés

Hozzáférési hálózatok Diameter A RADIUS-t nem vezeték nélküli hálózatokra fejlesztették ki  Hiányoznak a meghibásodás kezelési algoritmusok a túl nagy várakozási idők kiküszöbölésére  A kommunikációs hibákból adódó lassú vagy hibás működés nincs kezelve  Hiányzik a biztonságos kommunikáció lehetősége  A RADIUS UDP csomagokat használ Nem garantalható célbaérésük Nincs definiálva semmilyen újraküldési eljárás Diameter  Nem rövidítés  TCP-t használ a kommunikációra  Szolgáltatás egyeztetés Capability Navigation Heterogén környezetben a kliens és a szerver lekérdezheti egymástól a támogatott funkciókat, a szükséges paramétereket  Hiba értesítés