Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoFloriana Basso Modificato 8 anni fa
1
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Come sarà il wireless di domani: 802.11n e dintorni Franco Brasolin - INFN Bologna LNGS, 10-15 Giugno 2008 Outline: Standard, 802.11N Cisco AP 1250: test Wireless Security Wireless Controller Conclusioni
2
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 standard: timeline: 1997 802.111-2 Mb/s2.4 GHz1997 802.111-2 Mb/s2.4 GHz 1999802.11a54 Mb/s5 GHz1999802.11a54 Mb/s5 GHz 1999802.11b11 Mb/s2.4 GHz1999802.11b11 Mb/s2.4 GHz 2003802.11g54 Mb/s2.4 GHz2003802.11g54 Mb/s2.4 GHz 3Q/08 802.11n300 Mb/s2.4/5 GHz3Q/08 802.11n300 Mb/s2.4/5 GHz
3
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Draft 802.11n version 2.0 da giugno 2007 Wi-Fi Alliance ha iniziato i test di interoperabilità dei prodotti che aderiscono a 802.11n draft 2.0 L’AP Cisco 1250 è la piattaforma di riferimento per i test. Per avere la certificazione Wi-Fi Alliance draft 2.0 tutti i prodotti devono essere testati con questi AP Wi-Fi Alliance certifica i prodotti che aderiscono a 802.11n draft 2.0 Questo garantisce il funzionamento di tra i diversi AP e client già in commercio
4
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 802.11n: come funziona - 1 Prestazioni superiori circa 4-5 volte rispetto a 802.11a/g: - Tecnologia MIMO (Multiple Input/Multiple Output) - più affidabilità e prevedibilità ottimizzando gli effetti di multipath propagation Lavora a 2.4 GHz e 5 GHz Backward compatible con 802.11a/b/g
5
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 802.11n: come funziona - 2 802.11a/g802.11n Physical data rate selection alghoritm 12 steps Da 1 a 54Mb/s 88 steps > granularità con segnale più debole AntennaDiversity: usa quella che aveva il segnale più alto nell’ultima trasmissione. Spatial Multiplexing: dati separati in streams (max 4) trasmesse su antenne separate. Multipath environment Più copie dello stesso segnale RF vengono scartate MIMO. Sfrutta le differenze dei segnali RF per meglio distinguere le diverse streams e ridurre i buchi di copertura
6
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 802.11n: come funziona - 3 802.11a/g802.11n CS (Channel Size)20 MHz20/40 MHz ACKUno per frameBlock-ACK GI (Guard Interval)800 ns400/800 ns In condizioni ottimali passa a 400 ns Data Ratesup to 54 Mb/sup to 300 Mb/s x radio int. GI=800ns-CS=20Mhz 130Mb/s GI=800ns-CS=40Mhz 270Mb/s GI=400ns-CS=20Mhz 144,4Mb/s GI=400ns-CS=40Mhz 300Mb/s
7
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 802.11n: come funziona - 4 Banda2.4 MHz5 MHz canali disponibili non sovrapposti 802.11b/g: 20 MHz: 3 802.11a: 20 MHz:21 canali disponibili non sovrapposti 802.11n: 20 MHz: 3 40 MHz: 1 802.11n: 20 MHz: 21 40 MHz: 9
8
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Cisco AP 1250 AP 1250 il primo AP certificato wifi 802.11n draft 2AP 1250 è il primo AP certificato wifi 802.11n draft 2 Backward compatible con 801.11a/b/gBackward compatible con 801.11a/b/g Dual Band: 2.4 e/o 5 GHz. Necessarie 3 antenneDual Band: 2.4 e/o 5 GHz. Necessarie 3 antenne x radio interface, ≠ per 2.4 o 5 GHz x radio interface, ≠ per 2.4 o 5 GHz Upgradabile sw & hwUpgradabile sw & hw NB: Cisco non garantisce che sarà sufficiente solo un upgrade sw per passare allo standard finale 802.11n: potrebbe essere necessario anche una sostituzione dei moduli radio NB: Cisco non garantisce che sarà sufficiente solo un upgrade sw per passare allo standard finale 802.11n: potrebbe essere necessario anche una sostituzione dei moduli radio Alimentazione: alimentatore o Power Injector (solo uno!) one radio: 13W - ok PoE 802.11afone radio: 13W - ok PoE 802.11af two radio: 17W – no PoE 802.11af, ok con 802.11at (in sviluppo)two radio: 17W – no PoE 802.11af, ok con 802.11at (in sviluppo) se l’alimentazione è troppo bassa viene disabilitata l’interfaccia radiose l’alimentazione è troppo bassa viene disabilitata l’interfaccia radio specificare nella configurazione se si usa il power injector (power negotiation or pre-standard compatibility se lo switch non supporta 802.3af)specificare nella configurazione se si usa il power injector (power negotiation or pre-standard compatibility se lo switch non supporta 802.3af) Interfaccia di rete wired GE: con power injector funziona a 100Mb...Interfaccia di rete wired GE: con power injector funziona a 100Mb... IOS: upgradare a versione 12.4(10b)JA3 - 12.4(10b)JA ha problemi su menù webIOS: upgradare a versione 12.4(10b)JA3 - 12.4(10b)JA ha problemi su menù web Tutti gli attuali Wireless Controller Cisco supportano ap 1250
9
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Cisco AP 1250: problemi ai client client non-cisco potrebbero aver bisogno di un firmware updateclient non-cisco potrebbero aver bisogno di un firmware update Alcuni client potrebbero avere problemi se l’AP ha QoS abilitatoAlcuni client potrebbero avere problemi se l’AP ha QoS abilitato Alcuni client con WPA2 e “power save mode” potrebbero doversi autenticare più volteAlcuni client con WPA2 e “power save mode” potrebbero doversi autenticare più volte Se si configura 802.11g per “best throughput”Se si configura 802.11g per “best throughput” i client 802.11b non si associano i client 802.11b non si associano
10
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Cisco AP 1250 – security news AP Authentication può essere usato come Scanner RF per: –riconoscere e localizzare attività non autorizzate –riconoscere Rogue AP –riconoscere attacchi DoS RF (*) –frame protection (cifratura header) (*) (*) serve un sistema WDS (Wireless Domain Service) per queste funzionalità
11
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 client 802.11n: Linksys WPC300N (20 MHz, usata per i test) ~ 55E installare il driver PRIMA di inserire la scheda nel pc Linksys WPC4400 (20/40 MHz, in attesa per nuovi test) ~ 110E No Cisco client Se acquistate altri client, cercate questo simbolo
12
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 alcuni test: In produzione: –inutile fare test in zone “pulite” di segnali RF –per testare correttamente TRIP Esistono test sulle prestazioni più approfonditi (netgroup, google) 2 pc portatili Acer schede 802.11B/G & Linksys WPC300N 3 SSID: INFN-dot1x, INFN-Web, test(open) 1 AP Cisco 1250 & 1 AP Cisco 1200 (alternati nella stessa posizione) PC Intel Xeon E5430 2.66GHz 1xGE (audi) iperf –c –n 40MB
13
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 AP 1250 ssid=test host=audi AP 1250 ssid=INFN-Web host=tripgw AP 1250 ssid=INFN-dot1x host=audi AP 1200 ssid=test host=audi AP 1200 ssid=INFN-Web host=tripgw AP 1200 ssid=INFN-dot1x Host=audi Client1+G 16 17 17.5 Client2+G 18161718 17 Client1+G & Client2+G 8 13 9 10 9898 8787 9999 8 8.5 Client1+N & Client2+G 48 10 47 13 40 12 10 8.2 8.8 6.2 11 9 Client1+B 4.74.54.63.53.63.5 Client1+N & Client2+B 29 4.4 30 4.2 29 4.2 7.6 3 7.3 3.1 6.2 3 Client1+N 6264601218.819 Client2+N 65645812,718.619.3 Client1+N & Client2+N 23 20 23 19 18 9.3 10 10.6 9 10 Prestazioni a confronto: tutti i valori in Mb/s
14
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 test & risultati – 1: TRIP funziona su Cisco AP 1250 con client b/g/n (LinkSys WPC300n) Non ci sono grosse differenze tra le diverse SSID (cifrate e non) Throughput massimo 802.11n (20MHz): nominale 130 Mb/s, effettivo circa 65 Mb/s (1 client) ~ 4 volte 802.11g Portata AP (in produzione): -AP 1250 leggermente migliore dell’AP 1200 -Piano di migrazione verso AP 1250: Cisco raccomanda 1 a 1
15
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 test & risultati – 2: I client e AP 802.11b “disturbano”: portano ad un notevole degrado delle prestazioni, come già evidenziato su AP 802.11g con client b,g 1 - 802.11b (AP o client) spediscono Beacons con nonERP rate settato (11-5,5-2-1 Mbps) 2 - gli AP ERP (g/n) che lo ricevono settano nei loro beacon il bit nonERPpresent e si mettono a funzionare in modalità protetta, degradando le prestazioni per tutti Un client 802.11b che fa roaming tra gli AP ha un effetto domino su tutti gli AP 802.11g/n a cui si associa Non installare AP 802.11b e 802.11g/n con segnali RF sovrapposti! contromisure: - disabilitare broadcast SSID (non sufficiente) - disabilitare 802.11b su tutti gli AP - piano migrazione client b verso g,n
16
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Possibile scenario? Wireless Mesh 802.11n Dual Radio: +voice +video Laptop Client 802.11g/n 2.4 GHz AP radio 2.4 GHz 802.11n Desktop Client 802.11a/n 5 GHz Web,mail,Office AP Dual Radio 2.4 GHz & 5 GHz
17
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Wi-Fi Security tips 1.Quando non serve, spegnere l’interfaccia wireless (batteria, evita attacchi a chi usa Microsoft WZC, vedi prossima slide). 2.Assicurarsi che l’SSID sia quello fornito dal provider (AP authentication) 3.Installare e attivare un firewall sui portatili 4.Disabilitare le opzioni di windows file & printer sharing 5.Evitare di effettuare transazioni online con dati sensibili o critici (codici bancari) 6.Tenere sempre aggiornato il sistema operativo 7.Tenere aggiornato il driver della scheda wireless 8.Evitare di memorizzare username/password sui browser (furti..) 9.Quando disponibile utilizzare VPN 10.Utilizzare solo applicazioni che cifrano il traffico (ssh, https, imaps, LogMeIn) 11.Nelle policy vietare anche l’installazione di bluetooth AP. Lavorano sulle stesse frequenze di 802.11b/g ma non sono identificabili dai sistemi WIDS
18
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Security Tips Disabilitare sui client la possibilità di associarsi su reti “ad hoc”.Disabilitare sui client la possibilità di associarsi su reti “ad hoc”. Malicius “ad hoc” SSID vengono diffuse con nomi verosimiliMalicius “ad hoc” SSID vengono diffuse con nomi verosimili Se possibile non usare WZC (Microsoft Windows Zero Configuration) ma l’applicazione wireless fornita dal costruttore della scheda. WZC semplifica le cose all’utente, ma potrebbe collegarsi a reti “ad hoc” senza intervento dell’utente.Se possibile non usare WZC (Microsoft Windows Zero Configuration) ma l’applicazione wireless fornita dal costruttore della scheda. WZC semplifica le cose all’utente, ma potrebbe collegarsi a reti “ad hoc” senza intervento dell’utente.
19
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 inventario: Situazione HW wireless nelle sedi INFN: AP: Cisco 802.11b/g 21/26 sedi - altri: hp, aruba, 3com, colubris - in aquisto 1250 NO problemi di throughput Wireless Controller: Cisco 8/26 altri: HP, Aruba Sistemi di monitor wireless casalinghi: –GE, LNL, MiB, BO
20
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Monitoring – WCP - 1
21
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Monitoring – WCP - 2 Shell script (crontab ogni 5 min) usa nmap, argus, dhcpcd, httpd rete: 1+2 sub-interface: –eth0 management default VLAN –eth0.100 su VLAN INFN-dot1x –eth0.1050 su VLAN INFN-Web VLAN TRIP propagate su porta switch Usa i log files (scp) di: –Radius server per INFN-dot1x –tino per INFN-Web Tutti AP configurati con snmp, ssh
22
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Monitoring – WCP - 3 gira su: pc SL 5.0 oppure: disponibile appliance VMware SL5.0: http://www.bo.infn.it/calcolo/INFN/VM/VMware/VMware.index#C4 Script automatici al primo boot per configurazione parametri di rete, root passw, hosts.allow documentazione serve un minimo di lavoro per adattare la VM alla propria sede (file di log, VLAN, ssh key ecc)
23
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Monitoring – WCP - to do: migliorare check dhcp server migrare a php possibilità di eseguire comandi su tutti AP per: - Client Deauthentication - blocco mac address statistiche traffico Client gestione archivi log
24
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 TRIP fuori sede Necessità di avere una “scatoletta” che permetta di implementare facilmente fuori sede una struttura Wireless con TRIP deve: –gestire INFN-dot1x –username e passw per ospiti non INFN, portale web –archiviare log (legge Pisanu – AntiTerrorismo) Cisco, Juniper (solo Try & Buy), soekris o VM ? disponibilità per i test: G. Peco (Sez. Bologna) R. Veraldi (CNAF)
25
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 Conclusioni: 802.11n è tempo di migrare ? NON è ancora uno standard! Se non ci sono particolari necessità (copertura nuove zone) meglio aspettare qualche mese Nessuno (o quasi) ha problemi di throughput nell’uso attuale servono strumenti di controllo affidabili paragonabili agli strumenti che oggi usiamo sulla rete cablata (wireless controller o equivalenti,sniffer) può sostituire la cablatura? Per poterlo fare deve essere altrettando “solido”, non solo veloce piano migrazione: valutare applicazioni, throughput, coperture, numero client (in aumento), tipo di client (protezione 802.11b o throughput 802.11n ?) Full Benefit: banda 5 GHz & Client 40 MHz & eliminazione client 802.11b prevedere interfacce GE per i server TRIP (tino e RADIUS)
26
Franco Brasolin – INFN Sezione Bologna – CCR@LNGS - 10-13 Giugno 2008 domande ? suggerimenti ? cut the cord!!
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.