WUG Hands-On-Session WLAN, 5.+6.März '04

Veranstaltungsort

www.rauris.net	Rauris, Sbg
www.wug.at/Veranstaltungen/Rauriserhof.htm	Rauriserhof

Vortrag:

manfred.recla@upgrade.at

Manfred Recla, Upgrade

Mitschrift:

t.gessl@kopfwerk.at

Tommi Gessl, Kopfwerk

WLAN-Grundlagen

802.11 a	5GHz	54MBit	in Ö: 30mW, nur Inhouse
802.11b	2,4Ghz	11MBit	max 100mW
802.11g	2,4GHz	54MBit	max 100mW
802.16a			Breitbankfunk, noch in Diskussion

Beispiel: ÖBB

Entlang der Schiene ca. alle 20m ein Accesspoint (AP).
Im Waggon ebenfalls ein AP, der mit den äußeren APs kommuniziert.
Für die Clients (Notebooks der Fahrgäste) ist der Waggon-AP zuständig.

Beispiel: Rauris

Gesamtes Tal ist mit WLAN 'verkabelt'. War günstiger als Kupfer.
An Häuser gibt es 'Kopfstellen' (APs), die auf Kabel innerhalb des Hauses umsetzen.

www.rauris.net

WLAN-Netzwerkmodus

Ad-Hoc	Die Clients stellen Punkt-zu-Punkt-Verbindungen her und kommunizieren untereinander.
Infrastructure Mode	Ein Accesspoint ist notwendig. Die Clients kommunizieren ausschließlich über den AP.

WEP-Verschlüsselung

Verschlüsselung erfolgt per RC4
Konstanter Schlüssel!!!
Initialvector ist immer 24bit (???)

40/64 bit	5 chars
104/128 bit	13 chars
256 bit	26 chars, nicht genormt

Unsicher. Bisherige Cracks benötigten ca. 1-2GB Daten. D.h. Aufwand von mehreren Stunden. Trotzdem möglich.
Neuerdings gibt es einen Crack für 104/128 bit, der im Sekundenbereich arbeitet (Linux, www.sourceforge.com)

BSS	Basic Service Set	AP bedient die 'Funkwolke' und leitet auf Kabel weiter.
ESS	Extended Service Set	Mehrere BSS, die per Kabel untereinander verbunden sind (quasi Backbone)

ESSID

Name der Funkzelle

Terminologie

AP	Client kann sich ins Netz einbuchen
Bridge	Keine Einbuchmöglichkeit für Client. Reiner Übersetzer. Hauptsächlich f. Verbindungen zweier Netze.

Funkkanäle

Nur bei 802.11b???
DSSS

USA	11 Kanäle
Europa	13 Kanäle

Durch die Unterschiede ergeben sich manchmal Probleme in Hotspots.
In einem Raum mit mehreren unabhängigen APs sollten immer 5 Kanäle Abstand sein. D.h. zB 1,6,11 od. 3,8,13. Sonst kommt es zu Störungen.
Verschiedene Hersteller haben Speziallösungen zB. 22Mbit, die mehrere Kanäle gleichzeitig nutzen. Es sind dann keine 3 Hotspots mehr betreibbar.

Roaming

Client kann sich bei ESS von einer Funkzelle zur nächsten bewegen. Der Vorgang erfolgt für User völlig transparent.
Der Client bucht sicht beim Bewegen von einer Funkzelle zur anderen in den jeweiligen stärksten Access Point ein (falls der Client mehrere APs 'sieht').
Dabei kann der Funkkanal durchaus ein anderer sein - muss auch, wenn sich mehrere APs in einer 'CSA' (= Coverage Support Area, also Versorgungsgebiet) überlappen, aber nicht gegenseitig stören sollen.

Voraussetzungen:

APs müssen die gleiche ESSID (zB. 'Hotel') verwenden.

WDS

Modus, wo mehrere APs nicht per Kabel untereinander verbunden sind, sondern ebenfalls per Funk.
D.h. für den AP ist nur mehr Strom, aber sonst keine Verkabelung notwendig.
Am AP lassen sich die MAC-Adressen der Partner angeben. Alle APs müssen den gleichen Kanal verwenden.

Praxis: Konfiguration ZyAIR-B420 bzw. B3000

WPA: WiFi Protected Access

Ist ein Vorgriff auf 802.11i (noch nicht verfügbar), enthält aber bereits dessen wichtigste Eigenschaften.
Vermutlich wird später 802.11i dann als WPA2 bezeichnet werden.
Lösungen von MS nur f. XP bzw. 2003. WPA-Client bei MS downloadbar. In XP-SP2 wird es enthalten sein.
Die HW (d.h. Funk-NIC) muss es unterstützen (inkl. Treiber).

Für WPA ist 802.1x-Authentication Voraussetzung. Nur W2000 + XP besitzen 802.1x-Clients.
Zyxel liefert aber für 95,98,ME,NT,Mac+Linux das Produkt Aegis WLAN Security Client.
Es liegt bei allen ZyXEL WLAN Clients als eigene CD kostenlos bei, funktioniert aber in dieser Bundling Version ausschließlich mit ZyXEL Produkten (die MAC Addresse wird vom Aegis Client abgefragt).

Aegis stammt vom Hersteller MeetingHouse.

http://www.mtghouse.com/products/index.shtml	Details dazu
http://www.mtghouse.com/products/aegisclient/index.shtml	-

Volles WPA

Benötigt einen Radius-Server für Zertifikate (also einigermaßen kompliziert). Vor Allem die MS-Lösung benötigt noch einige andere Serverprodukte, die vom Radius-Server vorausgesetzt werden.

WPA-PSK

Pre-Shared-Key muss auf beide eingetragen werden. Für den Home-Bereich gedacht.

Praxis: WPA mit ZyAIR-B2000/G2000

Praxis: PSK

Eigenschaften von Drahtlose Netzwerkverbindung
Propertypage: Drahtlose Netzwerke
Button: Eigenschaften
Drahtlose Netzwerkeigenschaften

Netzwerkauthentifizierung	WPA-PSK
Datenverschlüsselung	TKIP
Netzwerkschlüssel	your-passphrase-with-13-chars

(bzw. als Hex bei Netgear und Intel)

Praxis: Volles WPA

Die ZyAIR-Access-Points können, statt der Verwendung eines Radius-Servers, auch für bis zu 32 User die keys lokal speichern.
Die ZyWALL-35 und ZyWALL-70 haben WLAN 802.11g-Fähigkeit (54MHz, 32-bit Cardbus Slot) und können für 802.1x bis zu 50 User verwalten, ohne dass man einen eigenen RADIUS Server einsetzen muss.
Alternative zur MS-Radius-Lösung (die ja doch einigermaßen kompliziert zu sein scheint): Radius-Server von Steelbelt

Öffentliche Hotspots

AAA

Authentication
Authorization
Accounting

Praxis: ZyAIR-B4000 mit Bondrucker

Einknopfbedienung, Druckeranschluss.
Am Bon werden Username und Passwort für die zur Verfügung gestellte Zeitspanne (zB halbe od. ganze Stunde) ausgedruckt. Ausdruck konfigurierbar (Bezeichnung, Anzahl d. Kopien, etc.)
Adressersetzung für SMTP.
IP-Einstellung des APs: Als DHCP-Client, Fixe IP, PPPoE, PPPTP (d.h. auch ADSL).
Preis: Knapp unter 800 Euro

Verbindungsherstellung für die User: Einbuchen per WEP-Key (steht ebenfalls am Bon als HEX). Auf der WWW-Seite, die automatisch beim Browserstart geöffnet wird, werden die Zugangsdaten des Bons eingegeben.

Offene Fragen:

Anscheinend ist Zugang nur für die Session erlaubt (Rechnerneustart?)
SMTP-Ersetzung auch für User, die eigenen SMTP-Server mit Authentifizierung verwenden?

Praxis: Nomadix-AP2000W+

Kein NAT-Routing. Nur Bridge, aber mit zusätzlichen Funktionen.
Keine Bondruckermöglichkeit, dafür aber selbsttätiges Freischalten über die Webseite. Abrechnungsmöglichkeit per Kreditkarte.
Ebenfalls rund 800 Euro.

Es soll aber demnächst eine komplett neue Version releast werden, welche identische Features mit den anderen 'großen' Nomadix Boxen der 'HSG' und 'USG' Modellreihe bieten wird.
Alle Nomadix Boxen bieten, im Vergleich zum ZyXEL ZyAIR B-4000, ein zentrales Management und eine XML-Schnittstelle, wo man direkt die Funktionen der Nomadix 'on-the-fly' programmieren kann.
D.h. man kann sich somit sehr einfach selbst einen 'Bondrucker', mit etwas HTML und XML, implementieren, sodass hier die Daten von der Nomadix zu einem Drucker geschickt werden, bzw. umgekehrt von einem PC in die Nomadix (zum Freischalten eventuell bestimmter Anwenderkreise).

Nachtrag

Manfreds WLAN-Linkliste

support.microsoft.com/default.aspx?scid=kb;en-us;815485	815485: Overview of the WPA Wireless Security Update in Windows XP
support.microsoft.com/default.aspx?scid=kb;en-us;826942&Product=winxp	826942: Wireless Update Rollup Package for Windows XP
www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx	MS Windows Server 2003 Wi-Fi
www.microsoft.com/germany/ms/technetdatenbank/showArticle.asp?siteid=600286	MS-TechNet: The Cable Guy
www.wi-fi.org/OpenSection/index.asp	Wi-Fi Alliance
www.wi-lan.com	Wi-LAN Get in touch with the universe
airsnort.shmoo.com	AirSnort Homepage
www.cisco.com/warp/public/cc/pd/witc/ao350ap/prodlit/agder_rg.htm	Cisco - Cisco Aironet Antenna Reference Guide
www.conexant.com/products/entry.jsp?id=27	Conexant - GlobespanVirata - Intersil PRISM
www.davonet.de	DAVONET - WLAN Hotspots Application
www.microsoft.com/downloads/details.aspx?FamilyId=009D8425-CE2B-47A4-ABEC-274845DC9E91&displaylang=en	Windows XP Support Patch for Wi-Fi Protected Access
www.impossiblereflex.com/8021x/eap-tls-HOWTO.htm	FreeRADIUS EAP-TLS HOWTO
www.citi.umich.edu/u/provos/honeyd/	Honeyd - Network Rhapsody for You
hostap.epitest.fi	Host AP driver for Intersil Prism2-2.5-3
www.hubersuhner.com	HUBER+SUHNER
www.kismetwireless.net	Kismet
www.netgate.com	NetGate
www.poynting.co.za	Poynting - Antennas and Electromagnetics
www.senao.com/products/wireless%20Indoor%20Client%20base.htm	SENAO International CO., LTD
www.starchip.de	StarChip Systems: WSG-5000, IP Camera, Video Server, WSG-5000 1-Button Hotspot
us.zyxel.com/zyair/zyairzone/200302.htm	Zyxel: ZyAir Zone
www.mitp.de/vmi/mitp/index.php?pTyp=detail&pWert=0930	verlag moderne industrie Buch AG
wepcrack.sourceforge.net	WEPCrack - An 802.11 key breaker
www.hdcom.com/2.4ghzantennas.html	wlan, antennas
www.zcomax.com/htm/PC-CFcards%20.htm	ZCOMAX

Fachbuch WLAN

Joerg Rech
'Wireless LANs - 802.11a/h, 802.11b, 802.11g, 802.11i, 802.11e'
802.11 WLAN-Technologie und praktische Umsetzung im Detail
ISBN: 3-936931-04-6
1. Auflage 2004
erschienen im Heinz Heise Zeitschriftenverlag
Preis: EUR 45,06 inkl. 3,- Transport/Verpackung
http://www.emedia.de/@16P1LiyAAlYjQ/bin/buch.pl?Sektion=1&SID=&Aktion=T&Art_Nr=8716&Ref_Liste=V26

WUG-Internes

HOS Exchange 2003 am 28.29. Mai

Zukünftige Workshops

Vorerst einige Vorschläge.
Sollen parallel zu HOS angeboten werden.
Ziel: Jedes Monat ein Workshop.

Weitere Ideen und Vortragsbereitschaft sind hoch willkommen!!!

MS Sharepoint Services
MS ISA (Internet Security & Access)
...Auf einer eigenen Maschine. Min. 2 Netzwerkkarten. ServerSW + ISA-SW. Sonst besser nichts. Soll nicht in eine Domäne. Keine User anlegen. Kann beliebig viele Netze.
Netzwerkmonitoring Strategien & Tools