1 Hozzáférési hálózatok Vida Rolland

Hozzáférési hálózatok Vizsgaalkalmak Elővizsga  December 15, csütörtök, 8.15 – 10 óra, IE 215 Vizsgák  Terem: IE 218  Időpont: 8 – 12 óra 8.30-kor kezdünk  Vizsganapok: dec. 22, jan. 12, jan. 26, febr. 2

Hozzáférési hálózatok PCF Point Coordination Function  A bázisállomás vezérli a kommunikációt Nincsenek ütközések  Körbekérdezi a többi állomást, hogy van-e elküldésre váró keretük A szabvány csak a körbekérdezés menetét szabályozza  Nem szabja meg annak gyakoriságát, sorrendjét  Azt sem írja elő, hogy minden állomásnak egyenlő kiszolgálásban kell részesülnie  A bázisállomás periódikusan elküld egy beacon frame-et beacon/s Rendszerparamétereket tartalmaz  Ugrási sorozatok és tartózkodási idő (FHSS-nél), óraszinkronizáció, stb. Ezzel hívja meg az új állomásokat is, hogy csatlakozzanak a körbekérdezéshez  A bázisállomás utasíthatja az állomásokat, hogy menjenek készenléti állapotba Addig amíg a bázisállomás vagy a felhasználó fel nem ébreszti őket  Kíméli az állomások akkumulátorát A bázisállomásnak pufferelnie kell a készenléti állapotban lévő állomásnak szánt kereteket

Hozzáférési hálózatok PCF vs. DCF A PCF és a DCF egy cellán belül egyszerre is működhet  Hogyan lehet egyszerre elosztott és köpontosított vezérlés?  Gondosan definiálni kell a keretek közti időintervallumot Egy keret elküldése után kell egy holtidő, mielőtt bárki elkezdene küldeni valamit Négy ilyen intervallumot rögzítettek  SIFS – Short Inter-Frame Spacing A legrövidebb intervallum Az SIFS után a vevő küldhet egy CTS-t vagy egy ACK-ot egy részre vagy a teljes keretre A részlöket adója elküldheti az újabb részt, új RTS nélkül  PIFS – PCF Inter-Frame Spacing PCF keretek közti időköz Az SIFS után mindig egyvalaki adhat csak Ha ezt nem teszi meg a PIFS végéig, a bázisállomás elküldhet egy új beacon-t vagy egy lekérdező keretet  Az adatkeretet vagy részlöketet küldő nyugodtan befejezheti a keretet  A bázisállomásnak is van alkalma magához ragadnia a csatornát Nem kell a mohó felhasználókkal versengenie érte

Hozzáférési hálózatok PCF vs. DCF DIFS – DCF Inter-Frame Spacing  DCF keretek közti időköz  Ha a bázisállomásnak nincs mondanivalója, a DIFS elteltével bárki megpróbálhatja megszerezni a csatornát Szokásos versengési szabályok Kettes exponenciális visszalépés ütközés esetén EIFS – Extended Inter-Frame Spacing  Olyan állomások használják, akik egy hibás vagy ismeretlen keretet vettek, és ezt próbálják jelenteni  Legalacsonyabb prioritás

Hozzáférési hálózatok keretek Három különböző keretosztály  Adatkeret  Vezérlőkeret  Menedzsmentkeret Adatkeret:  Keretvezérlés (Frame Control) – 2 byte Protokollverzió – ugyanabban a cellában több változat működhet Tipus – adat, vezérlő vagy menedzsment Altipus – RTS, CTS, stb.

Hozzáférési hálózatok keretek Keretvezérlés (Frame Control) – 2 byte  From-DS, To-DS – a keret egy cellák közti elosztó rendszer felé tart, vagy onnan jön Intercell Distribution System, pl. Ethernet  Újraküldés (Retry) – egy előzőleg elküldött keret újraküldése  MF (More Fragments) – további részek következnek  Teljesítménygazdálkodás (Power Management) – a bázisállomás jelzi hogy egy állomás készenléti állapotba menjen, vagy lépjen ki onnan  Több (More) – az adónak további keretei vannak  W – WEP (Wired Equivalent Privacy) algoritmussal titkosított keret  O (In Order) – az ilyen bitet hordozó keretek sorozatát sorrendben kell feldolgozni

Hozzáférési hálózatok keretek Időtartam (Duration) – a keret és a hozzá tartozó ACK meddig foglalja le a csatornát  Ezt a vezérlőkeretek is tartalmazzák  Ennek segítségével kezeli a többi állomás a NAV eljárást 4 db. IEEE 802 MAC cím  A forrás és a célállomás címe  A cellák közötti forgalomnál a forrás és cél bázisállomás címe Sorszám (Sequence) – a részek sorszámozására  12 bit a keretet, 4 bit a keretdarabot azonosítja Adat (Data) – legfeljebb 2312 byte hosszú Ellenőrző összeg (Checksum)

Hozzáférési hálózatok keretek Menedzsmentkeret  Hasonló az adatkeretekhez  Hiányzik egy bázisállomás-cím Csak cellán belül használhatók Vezérlőkeretek  Csak egy vagy két címet tartalmaznak  Nincs bennük sem Adat, sem Sorszám mező  Legfontosabb információ az Altipus mezőben Általában RTS, CTS vagy ACK

Hozzáférési hálózatok Infrastruktúra mód Cellás rendszer  Basic Service Set (BSS) – cella  Access Point (AP) Minden cellát egy AP vezérel A csomópontokat periódikusan lekérdezve (polling) a csomagküldést vezérli  Elosztó hálózat – Distribution System (DS) Az AP-kat egymáshoz kapcsoló vezetékes (Ethernet) vagy vezeték nélküli hálózat Több cella alkot egy kiterjesztett szolgáltatási hálózatot  Extended Service Set – ESS

Hozzáférési hálózatok b csatornák b a 2.4 GHz-es ISM sávban  Max. 14 csatorna Országonként változó szabályozás  Magyarországon és Európában általában az 1-13 csatornák  Spanyolországban csak a csatornák  Franciaországban csak a csatornák  Az USA-ban 1-11 csatornák  Japánban mind a 14 csatorna

Hozzáférési hálózatok b csatornák Frekvenciasávok szétosztása kétféleképpen lehetséges:  Egy AP-hoz hozzárendeljük az összes lehetséges frekvenciasávot Frekvenciaugratást alkalmazunk a zajok kiküszöbölésére Szükség van egy nagyteljesítményű körsugárzós antennára, az egész tér lefedésére  Drága megoldás  Kis cellákat alakítunk ki Minden szomszédos cella más-más frekvencián kommunikál A cellákban használt frekvenciák nem fedik egymást

Hozzáférési hálózatok b csatornák A csatornák az adóvevők által használt központi frekvenciát jelentik  Pl. 2,412 GHz az 1. csatorna, 2,417 GHz a 2. csatorna Csak 5 MHz eltérés a központi frekvenciák között  A b jel kb. 30 MHz-es spektrumot fed le A jel kb. 15 MHz-et foglal el a központi frekvencia mindkét oldalán Átfedés jön létre több szomszédos csatorna frekvenciasávja között  Cellás megoldásban a szomszédos cellák frekvenciatávolságának legalább 5 csatornának kell lennie Használhatjuk pl. az (1, 6, 11) kombinációt  Átfedés így is lehetséges, hisz egy erősebb adó jele szélesebb spektrumot is lefedhet

Hozzáférési hálózatok Csatlakozás egy új cellához Egy állomás csatlakozhat egy létező BSS-hez...  Bekapcsolás után  Alvó módból való kilépéskor  A BSS területére lépéskor Passive Scanning  Az állomás egy Beacon Frame-et vár az AP-tól  Az AP periódikusan küldi azt, szinkronizációs információt hordoz Active Scanning  Az állomás megpróbál egy AP-t találni magának  Probe Request Frame-eket küld  Probe Response választ vár az AP-któl Ha több AP válaszol, kiválasztja a „legjobbat”  Legjobb jel/zaj viszony SNR – Signal to Noise Ratio

Hozzáférési hálózatok Active Scanning

Hozzáférési hálózatok Csatlakozás egy új cellához Hitelesítés (Authentication)  Ha egy állomás megtalál egy AP és a hozzáa tartozó BSS- hez akar csatlakozni, elindul egy hitelesítési eljárás  Mindkét fél bizonyítja, hogy ismer egy adott jelszót Csatlakozási eljárás (Association Process)  Ha átesett a hitelesítésen, elkezdi a csatlakozást az AP-hoz  Az új AP egy azonosítót (ID) rendel az állomáshoz  IAPP-t használva az új AP értesíti a régi AP-t a váltásról A Distribution System-en keresztül

Hozzáférési hálózatok WLAN Handover

Hozzáférési hálózatok Ad-hoc mód Minden csomópont közvetlenül tud kommunikálni a hatósugarán belüli többi csomóponttal Távolabbi csomópontok közötti kommunikáció ad- hoc útválasztás segítségével  AODV, DSR, DSDV, stb. Minden állomás egyben router is  Többugrásos ad-hoc hálózatok  Nincs szükség AP-kra Nagyon gyorsan fel lehet építeni egy ideiglenes hálózatot  Egy rendezvény vagy konferencia résztvevői között

Hozzáférési hálózatok A technológiai kockázatai Bilógiai kockázatok  A WLAN új technológia Legfejlettebb helyeken is csak ’98 után terjedt el A távközlésben használt spektrumot ilyen alacsony adási teljesítmény mellett nem tesztelték  A 2.4 GHz-es tartomány biológiailag veszélyes Nagy teljesítményen koagulálja az emberben is lévő fehérjéket Így működik a mikrohullámú sütő, de nagyságrendekkel nagyobb teljesítménnyel  A teljesítményt szabályozzák Az USA-ban 1000 mW max sugárzási teljesítmény Európában 100 mW

Hozzáférési hálózatok Egymást zavaró technológiák A Bluetooth és a b ugyanazt a 2.4 GHz-es ISM sávot használja  Az FHSS-t használó rendszerek (pl. Bluetooth) ki tudják szűrni a zavart frekvenciasávokat Úgy állítják be a frekvenciaugratást hogy ne legyen gond  A DSSS-t használó megoldások (pl b) érzékenyebbek Minél hosszabb a csomag, annál nagyobb a valószínűsége, hogy egy FHSS eszköz „beugrik” a frekvenciatartományba Az RTS/CTS sem zárja ki a zavarást  Egy lefoglalt adósávba is „beugorhat” egy Bluetooth eszköz Interferencia mérési eredmények  Ha egy Bluetooth eszköz 10 cm-nél közelebb van egy b eszközhöz, annak teljesen megszakad a kiépített kapcsolata  Ha 1 méteren belül, akkor 50%-os csomagvesztés  Fordítva is igaz, habár a Bluetooth jobban reagál a zavarásra Mikrohullámú sütők, orvosi műszerek, stb.

Hozzáférési hálózatok Biztonsági kérdések Vezetéknélküli környezetben sokkal nehezebb a biztonságot garantálni  Nem kell „betörni” a vonalra Bárki hallhatja a kommunikációt ha elég „közel” van  A mobilitás egy plusz támadási felületet kínál A mobilitás és a biztonság paradoxonja:  A biztonságos hálózatok nem mobilisak Egy vezeték nélküli hálózat lehet biztonságos  Ki lehet osztani kulcsokat melyekkel vezeték nélküli eszközök egy adott AP-hoz csatlakozhatnak A mobilitást nehéz kezelni  Ha egy másik AP körzetébe érnek, az ottani kulcsokat már nem ismerik  A mobil hálózatok nem biztonságosak Vezetékes hálózatoknal a kliensek egy csatlakozási ponthoz rendelhetők  A csatlakozási ponthoz lehet hozzáférési jogokat rendelni Egy vezeték nélküli, mobil hálózaton a felhasználó váltogatja a csatlakozási pontjait  Mindenhol ugyanazt a szolgáltatást kell neki biztosítani  A felhasználót magát kell azonosítani, hozzá kell rendelni ahozzáférési jogokat  Az AP-k is veszélyforrások lehetnek Bárki számára elérhető helyre telepítik őket  Íroasztal, mennyezet, stb. A lehető legkevesebb feladatot kell az AP-kra hagyni  A „vékony” AP (Thin AP) architektúra a megfelelő

Hozzáférési hálózatok AAA Authentication, Authorization, Accounting  Hitelesítés, engedélyezés, nyílvántartás Authentication  Azonos vezetékes és vezeték nélküli elérési módnál  Nincs szükség újbóli bejelentkezésre A két médium közötti váltásnál Az AP-k közötti barangolásnál  A felhasználók azonosításához szükséges adatokat az azonosító szerveren tárolják Fizikailag jól védhető módon elhelyezve Authorization  Lehetőség a barangolás (roaming) korlátozására  Csökkenti az illetéktelen hozzáférés lehetőségét  A hozzáférési jogok a felhasználóhoz rendelve Ugyanazok a szolgáltatások vezetékes és vezeték nélküli elérésen Accounting  A hálózat üzemeltetője figyelemmel kísérheti ki milyne szolgáltatást vesz igénybe Adatforgalom, időintervallum, stb.  Központilag nyílvántartott adatok Kicsi a visszaélés veszélye

Hozzáférési hálózatok SSID Service Set Identifier  Hozzárendelve egy AP-hez vagy egy AP csoporthoz  Aki be akar csatlakozni egy AP-hez ismernie kell az SSID-t Mint egy jelszó Nem biztonságos ha az AP SSID üzenetszóró módba van állítva  Mindenki megkapja az SSID-t az AP-tól Másodpercenként többször is, kódolatlanul Manuális beállítás, körülményes frissítés  Előbb-utóbb mindenki megismeri őket Leginkább az egy légtérben levő hálózatok logikai elkülönítésére szolgál  Önmagában az elkülönítés semmilyen védelmet nem nyújt  Bárki bármilyen SSID-jű hálózathoz hozzáférhet

Hozzáférési hálózatok MAC címszűrés A kliens gépeket az egyedi MAC címük azonosítja  Egy AP-nak megadható egy MAC címlista  Csak a listán levő eszközök csatlakozhatnak az AP-hoz Csak kisebb hálózatok esetén használható  Minden egyes MAC címet manuálisan kell beállítani az AP-ban  A listát folyamatosan frissíteni kell  Nagy adminisztrációs többletmunka

Hozzáférési hálózatok RADIUS Remote Authentication Dial-in User Service  Behívó felhasználó távoli azonosítása C. Rigney, W. Willats, and P. Calhoun, "RADIUS Extensions", RFC 2869, June J. Hill, "An Analysis of the RADIUS Authentication Protocol”, November 2001  A behívásos kapcsolattal rendelkező felhasználók azonosítására fejlesztették ki Virtuális magánhálózatokban és vezeték nélküli helyi hálózatokban is elkezdték használni Hitelesítés  A felhasználó elküldi az erőforrást kezelő kiszolgálóhoz a hitelesítési adatokat  A kiszolgáló hozzáférési kérelmet (Access Request, AReq) küld a RADIUS szervernek  A RADIUS szerver megkeresi a felhasználó adatait nyilvántartásában Ellenőrzi a jelszót és a hozzáférési kérelemben szereplő többi adatot Ha megfelelnek a tárolt feltételeknek, a RADIUS szerver hozzáférés engedélyezve (Access Accept, AA) üzenetettel válaszol Ha az adatok nem megfelelők, hozzáférés megtagadva (Access Reject, ARej) üzenet  A kiszolgáló nem engedélyezi az erőforrás használatát, a kapcsolatot megszakítja Engedélyezés  Ha a hozzáférés engedélyezve, a RADIUS szerver meghatározza a hozzáférés paramétereit, mértékét Pl. „csak a céges hálózat érhető el” Nyilvántartás  Engedélyezés után egy nyílvántartás indul (Accounting Start) bejegyzést a RADIUS szervernél  A kapcsolat megszakításakor nyílvántartás vége (Accounting Stop) bejegyzés

Hozzáférési hálózatok Diameter A RADIUS-t nem vezeték nélküli hálózatokra fejlesztették ki  Hiányoznak a meghibásodás kezelési algoritmusok a túl nagy várakozási idők kiküszöbölésére  A kommunikációs hibákból adódó lassú vagy hibás működés nincs kezelve  Hiányzik a biztonságos kommunikáció lehetősége  A RADIUS UDP csomagokat használ Nem garantalható célbaérésük Nincs definiálva semmilyen újraküldési eljárás Diameter  Nem rövidítés  TCP-t használ a kommunikációra  Szolgáltatás egyeztetés Capability Navigation Heterogén környezetben a kliens és a szerver lekérdezheti egymástól a támogatott funkciókat, a szükséges paramétereket  Hiba értesítés