Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Come sarà il wireless di domani: n e dintorni Franco Brasolin - INFN Bologna LNGS, Giugno 2008 Outline:  Standard, N  Cisco AP 1250: test  Wireless Security  Wireless Controller  Conclusioni

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 standard: timeline: Mb/s2.4 GHz Mb/s2.4 GHz a54 Mb/s5 GHz a54 Mb/s5 GHz b11 Mb/s2.4 GHz b11 Mb/s2.4 GHz g54 Mb/s2.4 GHz g54 Mb/s2.4 GHz 3Q/ n300 Mb/s2.4/5 GHz3Q/ n300 Mb/s2.4/5 GHz

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Draft n version 2.0 da giugno 2007 Wi-Fi Alliance ha iniziato i test di interoperabilità dei prodotti che aderiscono a n draft 2.0 L’AP Cisco 1250 è la piattaforma di riferimento per i test. Per avere la certificazione Wi-Fi Alliance draft 2.0 tutti i prodotti devono essere testati con questi AP Wi-Fi Alliance certifica i prodotti che aderiscono a n draft 2.0 Questo garantisce il funzionamento di tra i diversi AP e client già in commercio

Franco Brasolin – INFN Sezione Bologna – Giugno n: come funziona - 1 Prestazioni superiori circa 4-5 volte rispetto a a/g: - Tecnologia MIMO (Multiple Input/Multiple Output) - più affidabilità e prevedibilità ottimizzando gli effetti di multipath propagation Lavora a 2.4 GHz e 5 GHz Backward compatible con a/b/g

Franco Brasolin – INFN Sezione Bologna – Giugno n: come funziona a/g802.11n Physical data rate selection alghoritm 12 steps Da 1 a 54Mb/s 88 steps > granularità con segnale più debole AntennaDiversity: usa quella che aveva il segnale più alto nell’ultima trasmissione. Spatial Multiplexing: dati separati in streams (max 4) trasmesse su antenne separate. Multipath environment Più copie dello stesso segnale RF vengono scartate MIMO. Sfrutta le differenze dei segnali RF per meglio distinguere le diverse streams e ridurre i buchi di copertura

Franco Brasolin – INFN Sezione Bologna – Giugno n: come funziona a/g802.11n CS (Channel Size)20 MHz20/40 MHz ACKUno per frameBlock-ACK GI (Guard Interval)800 ns400/800 ns In condizioni ottimali passa a 400 ns Data Ratesup to 54 Mb/sup to 300 Mb/s x radio int. GI=800ns-CS=20Mhz 130Mb/s GI=800ns-CS=40Mhz 270Mb/s GI=400ns-CS=20Mhz 144,4Mb/s GI=400ns-CS=40Mhz 300Mb/s

Franco Brasolin – INFN Sezione Bologna – Giugno n: come funziona - 4 Banda2.4 MHz5 MHz canali disponibili non sovrapposti b/g: 20 MHz: a: 20 MHz:21 canali disponibili non sovrapposti n: 20 MHz: 3 40 MHz: n: 20 MHz: MHz: 9

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Cisco AP 1250 AP 1250 il primo AP certificato wifi n draft 2AP 1250 è il primo AP certificato wifi n draft 2 Backward compatible con a/b/gBackward compatible con a/b/g Dual Band: 2.4 e/o 5 GHz. Necessarie 3 antenneDual Band: 2.4 e/o 5 GHz. Necessarie 3 antenne x radio interface, ≠ per 2.4 o 5 GHz x radio interface, ≠ per 2.4 o 5 GHz Upgradabile sw & hwUpgradabile sw & hw NB: Cisco non garantisce che sarà sufficiente solo un upgrade sw per passare allo standard finale n: potrebbe essere necessario anche una sostituzione dei moduli radio NB: Cisco non garantisce che sarà sufficiente solo un upgrade sw per passare allo standard finale n: potrebbe essere necessario anche una sostituzione dei moduli radio Alimentazione: alimentatore o Power Injector (solo uno!) one radio: 13W - ok PoE afone radio: 13W - ok PoE af two radio: 17W – no PoE af, ok con at (in sviluppo)two radio: 17W – no PoE af, ok con at (in sviluppo) se l’alimentazione è troppo bassa viene disabilitata l’interfaccia radiose l’alimentazione è troppo bassa viene disabilitata l’interfaccia radio specificare nella configurazione se si usa il power injector (power negotiation or pre-standard compatibility se lo switch non supporta 802.3af)specificare nella configurazione se si usa il power injector (power negotiation or pre-standard compatibility se lo switch non supporta 802.3af) Interfaccia di rete wired GE: con power injector funziona a 100Mb...Interfaccia di rete wired GE: con power injector funziona a 100Mb... IOS: upgradare a versione 12.4(10b)JA (10b)JA ha problemi su menù webIOS: upgradare a versione 12.4(10b)JA (10b)JA ha problemi su menù web Tutti gli attuali Wireless Controller Cisco supportano ap 1250

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Cisco AP 1250: problemi ai client client non-cisco potrebbero aver bisogno di un firmware updateclient non-cisco potrebbero aver bisogno di un firmware update Alcuni client potrebbero avere problemi se l’AP ha QoS abilitatoAlcuni client potrebbero avere problemi se l’AP ha QoS abilitato Alcuni client con WPA2 e “power save mode” potrebbero doversi autenticare più volteAlcuni client con WPA2 e “power save mode” potrebbero doversi autenticare più volte Se si configura g per “best throughput”Se si configura g per “best throughput” i client b non si associano i client b non si associano

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Cisco AP 1250 – security news AP Authentication può essere usato come Scanner RF per: –riconoscere e localizzare attività non autorizzate –riconoscere Rogue AP –riconoscere attacchi DoS RF (*) –frame protection (cifratura header) (*) (*) serve un sistema WDS (Wireless Domain Service) per queste funzionalità

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 client n: Linksys WPC300N (20 MHz, usata per i test) ~ 55E  installare il driver PRIMA di inserire la scheda nel pc Linksys WPC4400 (20/40 MHz, in attesa per nuovi test) ~ 110E No Cisco client Se acquistate altri client, cercate questo simbolo 

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 alcuni test: In produzione: –inutile fare test in zone “pulite” di segnali RF –per testare correttamente TRIP Esistono test sulle prestazioni più approfonditi (netgroup, google) 2 pc portatili Acer schede B/G & Linksys WPC300N 3 SSID: INFN-dot1x, INFN-Web, test(open) 1 AP Cisco 1250 & 1 AP Cisco 1200 (alternati nella stessa posizione) PC Intel Xeon E GHz 1xGE (audi) iperf –c –n 40MB

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 AP 1250 ssid=test host=audi AP 1250 ssid=INFN-Web host=tripgw AP 1250 ssid=INFN-dot1x host=audi AP 1200 ssid=test host=audi AP 1200 ssid=INFN-Web host=tripgw AP 1200 ssid=INFN-dot1x Host=audi Client1+G Client2+G Client1+G & Client2+G Client1+N & Client2+G Client1+B Client1+N & Client2+B Client1+N Client2+N , Client1+N & Client2+N Prestazioni a confronto: tutti i valori in Mb/s

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 test & risultati – 1: TRIP funziona su Cisco AP 1250 con client b/g/n (LinkSys WPC300n) Non ci sono grosse differenze tra le diverse SSID (cifrate e non) Throughput massimo n (20MHz): nominale 130 Mb/s, effettivo circa 65 Mb/s (1 client) ~ 4 volte g Portata AP (in produzione): -AP 1250 leggermente migliore dell’AP Piano di migrazione verso AP 1250: Cisco raccomanda 1 a 1

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 test & risultati – 2: I client e AP b “disturbano”: portano ad un notevole degrado delle prestazioni, come già evidenziato su AP g con client b,g b (AP o client) spediscono Beacons con nonERP rate settato (11-5,5-2-1 Mbps) 2 - gli AP ERP (g/n) che lo ricevono settano nei loro beacon il bit nonERPpresent e si mettono a funzionare in modalità protetta, degradando le prestazioni per tutti Un client b che fa roaming tra gli AP ha un effetto domino su tutti gli AP g/n a cui si associa Non installare AP b e g/n con segnali RF sovrapposti! contromisure: - disabilitare broadcast SSID (non sufficiente) - disabilitare b su tutti gli AP - piano migrazione client b verso g,n

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Possibile scenario? Wireless Mesh n Dual Radio: +voice +video Laptop Client g/n 2.4 GHz AP radio 2.4 GHz n Desktop Client a/n 5 GHz Web,mail,Office AP Dual Radio 2.4 GHz & 5 GHz

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Wi-Fi Security tips 1.Quando non serve, spegnere l’interfaccia wireless (batteria, evita attacchi a chi usa Microsoft WZC, vedi prossima slide). 2.Assicurarsi che l’SSID sia quello fornito dal provider (AP authentication) 3.Installare e attivare un firewall sui portatili 4.Disabilitare le opzioni di windows file & printer sharing 5.Evitare di effettuare transazioni online con dati sensibili o critici (codici bancari) 6.Tenere sempre aggiornato il sistema operativo 7.Tenere aggiornato il driver della scheda wireless 8.Evitare di memorizzare username/password sui browser (furti..) 9.Quando disponibile utilizzare VPN 10.Utilizzare solo applicazioni che cifrano il traffico (ssh, https, imaps, LogMeIn) 11.Nelle policy vietare anche l’installazione di bluetooth AP. Lavorano sulle stesse frequenze di b/g ma non sono identificabili dai sistemi WIDS

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Security Tips Disabilitare sui client la possibilità di associarsi su reti “ad hoc”.Disabilitare sui client la possibilità di associarsi su reti “ad hoc”. Malicius “ad hoc” SSID vengono diffuse con nomi verosimiliMalicius “ad hoc” SSID vengono diffuse con nomi verosimili Se possibile non usare WZC (Microsoft Windows Zero Configuration) ma l’applicazione wireless fornita dal costruttore della scheda. WZC semplifica le cose all’utente, ma potrebbe collegarsi a reti “ad hoc” senza intervento dell’utente.Se possibile non usare WZC (Microsoft Windows Zero Configuration) ma l’applicazione wireless fornita dal costruttore della scheda. WZC semplifica le cose all’utente, ma potrebbe collegarsi a reti “ad hoc” senza intervento dell’utente.

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 inventario: Situazione HW wireless nelle sedi INFN: AP: Cisco b/g 21/26 sedi - altri: hp, aruba, 3com, colubris - in aquisto 1250 NO problemi di throughput Wireless Controller: Cisco 8/26 altri: HP, Aruba Sistemi di monitor wireless casalinghi: –GE, LNL, MiB, BO

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Monitoring – WCP - 1

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Monitoring – WCP - 2 Shell script (crontab ogni 5 min) usa nmap, argus, dhcpcd, httpd rete: 1+2 sub-interface: –eth0 management default VLAN –eth0.100 su VLAN INFN-dot1x –eth su VLAN INFN-Web VLAN TRIP propagate su porta switch Usa i log files (scp) di: –Radius server per INFN-dot1x –tino per INFN-Web Tutti AP configurati con snmp, ssh

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Monitoring – WCP - 3 gira su: pc SL 5.0 oppure: disponibile appliance VMware SL5.0: Script automatici al primo boot per configurazione parametri di rete, root passw, hosts.allow documentazione serve un minimo di lavoro per adattare la VM alla propria sede (file di log, VLAN, ssh key ecc)

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Monitoring – WCP - to do: migliorare check dhcp server migrare a php possibilità di eseguire comandi su tutti AP per: - Client Deauthentication - blocco mac address statistiche traffico Client gestione archivi log

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 TRIP fuori sede Necessità di avere una “scatoletta” che permetta di implementare facilmente fuori sede una struttura Wireless con TRIP deve: –gestire INFN-dot1x –username e passw per ospiti non INFN, portale web –archiviare log (legge Pisanu – AntiTerrorismo) Cisco, Juniper (solo Try & Buy), soekris o VM ? disponibilità per i test: G. Peco (Sez. Bologna) R. Veraldi (CNAF)

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 Conclusioni: n è tempo di migrare ? NON è ancora uno standard! Se non ci sono particolari necessità (copertura nuove zone) meglio aspettare qualche mese Nessuno (o quasi) ha problemi di throughput nell’uso attuale servono strumenti di controllo affidabili paragonabili agli strumenti che oggi usiamo sulla rete cablata (wireless controller o equivalenti,sniffer) può sostituire la cablatura? Per poterlo fare deve essere altrettando “solido”, non solo veloce piano migrazione: valutare applicazioni, throughput, coperture, numero client (in aumento), tipo di client (protezione b o throughput n ?) Full Benefit: banda 5 GHz & Client 40 MHz & eliminazione client b prevedere interfacce GE per i server TRIP (tino e RADIUS)

Franco Brasolin – INFN Sezione Bologna – Giugno 2008 domande ? suggerimenti ? cut the cord!!