vedlegg pa 7 anbefaling tradløst innendørs 200909

ANBEFALING OM INNENDØRS TRÅDLØSE NETT I SKOLEN


�

INNHOLD

OM UNINETT ABC

SLIK BRUKER DERE DETTE HEFTET

HVORFOR DERE BØR LESE DENNE ANBEFALINGEN

HVORFOR FOKUS PÅ TRÅDLØSE NETTVERK?

FORDELER OG UTFORDRINGER

UNINETT ABCs anbefalingerAnnen veiledning fra UNINETT ABC

Hva heftet gir svar påHvem er heftet skrevet for?

Lett å finne framSlik er heftet bygd opp

Bedre planleggingBedre beslutningsgrunnlag

Bedre økonomi

Fordeler ved trådløse nettUtfordringer ved trådløse nett

Skolen i endringBredbånd: Nye muligheter og krav

8

88

9

999

11

12

121212

1�

1313

14

1415


4

Kartlegg behoveneInnledende site surveyEksempel på trådløst skolenettverkNettverkets infrastrukturSikkerhetskravOppsummering: Planlegging

Generelle anbefalinger for trådløst nettDette bør dere unngå

Basestasjon (Access Point - AP)Klient (Station Adapter – STA)Bro (Wireless Bridge – WB)RepeaterTrådløs hjemmeruter

KLASSIFISERING AV TRÅDLØST UTSTyR

OPPSUMMERING: TEKNOLOGIBAKGRUNN

PLANLEGGING

29

2929292929

�0

3030

�1

313235353738

OM TRÅDLØSE NETT

Hva er et trådløst nettverk?FrekvenserInterferensEffekt Frie frekvenserIEEE-standardeneKompatibilitetAlternative teknologier og standarderEffektiv ytelseInterferens på de frie frekvenseneFremtidig utvikling

16

1616171820222323242427


�

SIKKERHET FOR TRÅDLØSE NETTVERK

ANBEFALTE TILTAK FOR GOD ADMINISTRASjON

TIPS TIL ALTERNATIVE LØSNINGER I SKOLEN

ETABLÉR EN GRUNNLEGGENDE SIKKERHETSPOLITIKK

Slik kan dere optimalisere det trådløse nettet

Alle lærerne har bærbarKlassesett med bærbare

Alle lærere og alle elever har bærbareKostnader

AksesskontrollDataintegritet og konfidensialitet

Tjenestetilgjengelighet og klientvaksineringAnbefalte sikkerhetsløsninger

ENKEL BRUK - STOR RISIKO

Trådløst betyr mindre kontroll

4�

46

46

47

47555860

61

62

6�

63636465

Konfigurasjon av ruter/svitsjKabling av infrastruktur

Innkjøp av utstyrHensyn ved valg av basestasjon

Slik monterer dere basestasjoneneVelg riktig tjenesteleverandør

GjENNOMFØRING �9

393939394343


6

67

66

FORKORTELSER

HVIS DU VIL VITE MER OM IKT I SKOLEByGNINGER


7


8

UNINETT ABC veileder den norske utdanningssektoren om IKT og teknologivalg på vegne av Utdannings- og forskningsdepartementet (UFD). Vi fokuserer på infrastruktur og tilhørende tjenester, og bistår ved teknologiske og organisatoriske IKT-beslutninger. UNINETT ABCs veiledningstjeneste er et gratis og leverandørnøytralt tilbud til alle offentlige og private aktører som jobber med IKT i utdanningen.

UNINETT ABC er en ikke-kommersiell, nasjonal satsning med hovedkontor i Trondheim og et nettverk av veiledere som er knyttet til universitets- og høgskolesektoren.

1.1 UNINETT ABCs anbefalingerDette dokumentet inngår i UNINETT ABCs serie med anbefalinger for norsk utdanningssektor. Anbefalingene tar for seg ulike tekniske tema og problemstillinger knyttet til IKT i utdanningen, og skal bidra til at aktørene i sektoren får kompetanse til å gjøre gode teknologivalg. Målet er å gi bedre lærings- og arbeidsmiljø for elever og ansatte ved skolen.

UNINETT ABCs anbefalinger er dynamiske dokumenter som vil være under løpende utvikling. Anbefalingene blir grundig kvalitetssikret både av oss og av eksterne fagpersoner, slik at leseren kan være trygg på at de faglige vurderingene er av høy kvalitet. Vi har som uttalt målsetning å samle erfaringer fra blant annet pilotprosjekter, og å bruke disse når vi gir råd til norske utdanningsinstitusjoner.

Siste versjon av anbefalinger publisert av UNINETT ABC er tilgjengelig på våre hjemmesider http://www.uninettabc.no

1.2 Annen �eile�ning fra UNINETT ABC Annen �eile�ning fra UNINETT ABC

Faktaark

UNINETT ABC har samlet elementer fra anbefalingene i faktaark. Disse dokumentene gir en kort oversikt over relevante tema og fagområder. Faktaarkene skal underbygge anbefalingene, og samtidig gi leseren en rask oversikt over et tema. Du finner faktaarkene på våre hjemmesider.

Veile�ningstjenesten

Veiledningstjenesten skal bidra til at beslutningstakere og andre aktører i utdanningssektoren gjør mer kvalifiserte teknologivalg, ikke minst ved å øke sektorens kompetanse innen valg av IKT-løsninger. Veiledningstjenesten er bemannet med rådgivere fra universitets- og høgskolesektoren med høy teknisk kompetanse og lokalkunnskap. Du kan kontakte rådgiverne på telefon 815 50 588 eller via e-post [email protected].

Nettsi�er

Du finner mer informasjon om veiledningstjenesten og veiledningsmateriell fra UNINETT ABC på våre hjemmesider http://www.uninettabc.no.

OM UNINETT ABC


9

2.1 H�a heftet gir s�ar påDenne anbefalingen beskriver (både prinsipielt og i noen grad teknisk) hva dere bør ta hensyn til når dere skal etablere eller forbedre interne innendørs trådløse nettverk ved skolen eller institusjonen. Den gir veiledning, råd og svar med utgangspunkt i undervisningsinstitusjonenes spesielle behov og forutsetninger.

Anbefalingen:

Forenkler prosessen ved å ta i bruk eller oppgradere en trådløs infrastrukturGir o�ersikt over ulike aspekter dere må vurdere under arbeidet; som planlegging, gjennomføring, administrasjon og sikkerhet.Kan fungere som en kvalitetssikring og kravspesifikasjon dersom dere ønsker å leie andre til å utføre arbeidet med etablering og driftingGir nyttige lenker til mer informasjon og skjema til hjelp i planleggingsarbeidet

Dokumentet omtaler ikke utendørs punkt-til-punkt/punkt-til-multipunkt radionett. Vil du vite mer om dette, kan du lese anbefalingen ”Utendørs radionett” som er tilgjengelig via våre nettsider.

2.2 H�em er heftet skre�et for?Heftet er først og fremst skrevet for deg som er ansvarlig for den interne infrastrukturen i skolebygninger, enten du sitter i en byggekomité eller brukerutvalg, er planlegger i kommunen, eller fungerer som ekstern rådgiver for kommunen i forbindelse med etablering av telefoni- og datanett i kommunens skolebygninger. Også skoleledere på kommune- og skolenivå kan ha utbytte av dokumentet, spesielt de fem første kapitlene.

Anbefalingen forutsetter at du har grunnleggende forståelse for PC og nettverk. For siste del av dokumentet, bør du helst også ha erfaring fra nettverksadministrasjon.

2.3 Lett �� finne fram �� finne fram finne framFor at du enkelt skal finne fram i teksten, har vi laget symboler i margen:

Når vi gir en konkret anbefaling som er verdt å følge, finner du dette symbolet og tekst markert med grønn bakgrunn.

Vi gir også små advarsler ved å kommentere forhold dere bør unngå eller være spesielt oppmerksomme på. Det har vi markert med dette symbolet og tekst på grå bakgrunn.

Når vi påpeker forhold dere bør undersøke, vurdere eller ta hensyn til i forbindelse med trådløse nett, er det markert med dette symbolet.

Når vi henviser til kilder der du finner mer informasjon, er det markert med dette symbolet.

1.2.

�.

4.

SLIK BRUKER DERE HEFTET


10

I tillegg vil du finne igjen følgende symboler i figurene:

Klient: PC som man ønsker å kople til det trådløse nettet.

Aksess punkt (AP): Trådløs basestasjon

S�itsj: Nettverksenhet som kopler sammen annet nettverkutstyr i et spredenett

Ruter: Nettverksenhet som sender nettverkstrafikk til riktig nettverk

Innloggingstjener/Autentiseringstjener: Dette kan være en LDAP-brukerdatabase, passordfiler eller lignende.

RADIUS tjener: Tjener som selv kan autentisere brukere eller videreformidle autentiseringsforespørsler, til for eksempel en Autentiseringstjener.

Forkortelser

Bakerst i heftet finner du en alfabetisk oversikt over forkortelser som er benyttet i anbefalingen.


11

2.4 Slik er heftet byg� oppAnbefalingen starter med å gi oversikt over grunnleggende teknologi og vurderinger dere bør gjøre i den forbindelse, og ender opp med administrasjon av trådløse nett. Ved hjelp av innholdsfortegnelsen kan du velge de mest relevante delene av heftet, og hoppe over stoff som er kjent eller irrelevant.

Heftet følger denne hovedstrukturen:

Kapittel 1-7 Teknologibakgrunn – En gjennomgang av radio, standarder og ytelser.Kapittel 8-11 Planlegging og gjennomføring – Hensyn, vurderinger og implementering.Kapittel 12-1� Sikkerhet – Hvordan planlegge og bygge en trådløs infrastruktur?Kapittel 14-1� A�ministrasjon – Om å vedlikeholde et trådløst nett.


12

�.1 Be�re planleggingI dag skjer det store endringer i pedagogiske metoder, læringsomgivelser, organisering av skolehverdagen og IKT-bruken blant elever og skoleansatte. Det synliggjør behovet for langsiktig og grundig planlegging av dataløsninger for skolen.

God planlegging sparer dere for både tid og penger. Selv om denne anbefalingen ikke er ment som en fasit, kan den være en god veiledning med hensyn til hvordan trådløse nettverk kan planlegges, bygges og administreres. Den vil også kunne fungere som en referanse.

�.2 Be�re beslutningsgrunnlagDette heftet gir deg konkrete anbefalinger som gjør det enklere å ta overveide beslutninger når dere skal etablere interne trådløse nettverk i skolen. Det vil være nyttig i forbindelse med planlegging av nybygg, rehabilitering av eksisterende bygg, eller spesielt opprustningsarbeid knyttet til innføring eller oppgradering av IKT i skolen.

Anbefalingene er basert på UNINETTs årelange erfaring med å etablere interne trådløse nettverk i universitets- og høgskolebygg.

�.� Be�re økonomiGrundig og langsiktig planlegging gir ikke minst bedre økonomi. Etablerer dere et fleksibelt og utvidbart nettverk, gir det bedre løsninger og lavere kostnader når behovet endrer seg. For det gjør det.

HVORFOR DERE BØR LESE DENNE ANBEFALINGEN


1�

4.1 Skolen i en�ringIKT-bruken i norske skoler er i rask utvikling. Myndighetene har satt seg høye mål for bruk av IKT som pedagogisk verktøy i skolen, og PC-tettheten i skolene øker raskt. Bredbåndstilgang mot Internett og andre digitale informasjonstjenester vil forsterke denne utviklingen i årene som kommer.

Det er vanskelig å forestille seg hvordan PC-bruken, læringsomgivelsene og organiseringen av skolehverdagen vil fortone seg om ti år. Utviklingen går i retning av temabasert samarbeidslæring med vekt på informasjonssøk og -sammenstilling, gruppearbeid, veiledning, individuell tilpasning og fleksitidsordninger. Oppfatningene om hvordan vi best organiserer elevene for å oppnå optimal læring, forandrer seg stadig, og skolehverdagen gjennomgår en kontinuerlig modernisering og utvikling.

En�ringene i IKT-bruken og i organiseringen a� skolen som læringsinstitusjon synliggjør beho�et for langsiktig og grun�ig planlegging a� �ataløsninger for norske skoler.

4.2 Bre�bån�: Nye muligheter og kra�Bredbåndsnett til norske skoler åpner muligheter for blant annet

Rask tilgang mot Internett, og dermed til kommunikasjonstjenester og kunnskapsdatabaser som finnes på nettetMulighet for å sentralisere driften av datatjenester, for eksempel hos en kommersiell tjenesteleverandør eller ved eget driftssenter i kommunenUtveksling av undervisningstjenester over nettet

Når mange brukere skal være på nettet samtidig, kreves det at nettverket har tilstrekkelig kapasitet. Dette er en opplagt fordel ved bredbåndstilknytning. Samtidig setter den omfattende bruken store krav til driftsikkerhet og oppetid.

Forutsetningen for å få gevinst av bredbåndstilknytning er at de interne nettverkene i skolebygningene som tilknyttes bredbåndsnettet, er planlagt og tilrettelagt for rask, sikker og funksjonell kommunikasjon, tilpasset de behovene dere har.

•

•

•

HVORFOR FOKUS PÅ TRÅDLØSE NETTVERK?


14

�.1 For�eler �e� trå�løse nettTrådløse nettverk er populært, og som et supplement til et kablet nettverk blir trådløst ansett som svært nyttig. For skoler og akademiske institusjoner kan et trådløst nettverk åpne for nye muligheter til

Selv å velge sin arbeidsplass etter det som er mest hensiktsmessig i øyeblikket, fremfor å være bundet av et bestemt kontor eller datasal.Mobilitet som kan utnyttes til å effektivisere arbeidet og frigjøre rom- og dataressurser.Gode løsninger dersom geografi, bygningsmasse og tilgjengelighet gjør at det er umulig eller uforholdsmessig dyrt å bruke kabel.

Lokasjonsua�hengig

En blir uavhengig av datasaler eller kontorer for å ha nettverkstilknytning. Dermed kan studenter samles i ad-hoc arbeidsgrupper i kantina, bibliotek, fellesareal eller i auditorium og arbeide i eget tempo til egen tid uten å være avhengig av reservasjon av en datasal.

Konstruksjonsua�hengig

Dersom en på grunn av bygningens konstruksjon eller verneverdighet ikke har anledning til å trekke kabler for et trådbundet nettverk, gir et trådløst nett nye muligheter.

Opp�atert

For noen skoler er et tilgjengelig trådløst nettverk et signal om at en er moderne og følger med på teknologien og studentenes ønsker.

Fremti�srettet

Ennå blir trådløse nettverk primært brukt til datakommunikasjon mellom en bærbar PC og nettverket. Teknologien har imidlertid potensial til å tilby fremtidige tjenester som billig eller gratis telefoni gjennom IP-telefoni, lokasjonsbestemte tjenester som betalingsformidling i kantine/kiosk, og informasjonsdistribusjon (pushteknologi).

Vi anbefaler at trådløst nettverk primært blir benyttet som supplement til, og ikke som erstatning for et kablet nettverk

•

••

FORDELER OG UTFORDRINGER


1�

�.2 Utfor�ringer �e� trå�løse nettEn trådløs infrastruktur er i de aller fleste tilfeller et supplement til et kablet nettverk, og bør ikke ses på som et fullstendig alternativ til kabel.

Ønsker dere likevel å basere infrastrukturen på et trådløst nettverk fremfor et kablet, bør dere ta hensyn til at:

Trådløse komponenter gjør infrastrukturen mer komplisert med hensyn til feilkilderTrådløst gir langt mindre kapasitet enn kablet nettverkTrådløst er en radiomessig begrenset ressurs, og at det dermed kan bli problemer med støyTrådløst er et kringkastet medium som må sikres tilstrekkelig mot avlytting og misbruk, i langt større grad enn et kablet nettverkTrådløst ikke skalerer økt belastning (større brukermasse/endret trafikkprofil) så godt som kablet nettverk

Dere bør i størst mulig grad unngå å basere det interne nettverket på trådløst.

••••

•


16

6.1 H�a er et trå�løst nett�erk?Begrepet trådløst nettverk benyttes om all form for datakommunikasjon som foregår uten kabel, men ved hjelp av radiobølger eller lys. Til dette finnes det forskjellig utstyr som opererer på en mengde ulike frekvenser, og som også kommuniserer på forskjellige måter til ulike formål. Ulike typer trådløsteknologi og -utstyr er ikke nødvendigvis kompatible med hverandre.

For bedre å forstå trådløse nettverk, er det nyttig å være kjent med en del grunnleggende begreper omkring radio og frekvenser.

6.2 Frek�enserRadioteknologi forutsetter utstråling av energi i form av elektromagnetiske bølger, såkalt elektromagnetisk stråling. Strålingen forekommer på et avgrenset sted eller spenn i det elektromagnetiske spektrum. Det aktuelle stedet angis som en frekvens, som tilsvarer det antall svingninger den elektromagnetiske bølgen gjennomgår i løpet av ett sekund. Frekvensen oppgis i måleenheten Hertz (Hz). Frekvensene i det elektromagnetiske spektrumet spenner fra 0 til uendelig. Avstanden mellom to frekvenser kalles et frekvensområde eller en båndbredde.

frek�ens = antall s�ingninger per sekun�

Senterfrek�ens

Utstrålt energi kan aldri begrenses stramt til en gitt frekvens. Så smal kan aldri utstrålingen bli. Når vi oppgir utstråling til en frekvens, betyr det at den er på sitt sterkeste på den aktuelle frekvensen. På hver side av denne senterfrekvensen vil det imidlertid finnes avtakende stråling langs det elektromagnetiske spekteret, helt til strålingen flater helt ut.

Grafen viser sammenhengen mellom frekvens og signalstyrke. Den viser også hvordan et signal brer seg utover til hver side av en senterfrekvens.

OM TRÅDLØSE NETT

Am

plitu

de (

sig

nals

tyrk

e)

Senterfrekvens

Sidelobe

Frekvens


17

Kanaler

Vi deler gjerne opp et større frekvensområde i mindre kanaler. Det er senterfrekvensen, det vil si området der signalet skal være sterkest, som betegner kanalen. Senterfrekvensen befinner seg midt i kanalens totale frekvensområde.

En kanal gis gjerne en stor nok båndbredde til at en transmisjon (sending) kan foregå uforstyrret av en annen transmisjon på en kanal over eller under, men det trenger ikke være slik.

6.� InterferensDersom flere radiosendere opererer på de samme frekvensene samtidig, blir det vanskelig for mottakeren(e) å skille ut de riktige signalene. Den kraftigste senderen vil dessuten overdøve signalene fra de andre.

Situasjonen kan sammenliknes med en samtale. Så lenge bare én prater, er det enkelt å høre budskapet. Begynner flere å prate samtidig, blir det straks vanskeligere å oppfatte et spesifikt budskap. Og når skrythalsen i hjørnet hever stemmen for å legge ut om den nye bilen, er de andres stemmer plutselig knapt hørbare.

Slik uønsket forstyrrelse kalles for støy eller interferens.

Konsesjonsbelagte og konsesjonsfrie frek�enser

Når en får en konsesjon på et frekvensområde, har en rett til å operere alene på disse frekvensene. I teorien skal en da kunne unngå interferens.

På konsesjonsfrie frekvenser er det ingen kontroll med sendere. Såfremt alle holder seg innenfor de begrensninger loven setter, har man ingen rett på å klage på konkurrerende installasjoner. Begrensningene i loven skal blant annet hindre at den enkelte installasjon legger beslag på mer enn et relativt begrenset geografisk område.

Det er det Norske Post- og Teletilsynet (NTP) som forvalter bruken av radio i Norge. Tilsynet regulerer, overvåker og håndhever bruken av radiofrekvensene i tråd med de bestemmelsene som er satt i lover, forskrifter og konsesjonsvilkår.

På det Norske Post- og Teletilsynets hjemmesider, http://www.npt.no/ , kan du lese mer om hva de gjør og hvordan radiofrekvensforvaltningen fungerer.

6.4 Effekt Effekten forteller om styrken på signalet, og dermed om rekkevidden. Jo større effekt, desto større rekkevidde. Post- og Teletilsynet har satt begrensinger med hensyn til hvor stor effekt som er lovlig.


18

EIRP-�er�i

Lovverket begrenser den tillatte effekten til en maksimal EIRP-verdi. EIRP står for Emitted Isotropic Radiated Power, som vil si den utstrålte effekten fra antennen:

ra�iosen�erens positi�e effekt- tap �e� plugger, o�erganger og kabler

+ egeneffekten fra sel�e antennen= EIRP-�er�ien

Det kreves spesiell kompetanse for foreta en korrekt EIRP-kalkulasjon. Det er en av grunnene til at Post- og Teletilsynet krever at bare godkjente montører kan sette opp slikt utstyr utendørs.

I ferdige pakkeløsninger med radio, kabler og antenner, skal forholdet mellom antenne, kabler og sendereffekt være riktig justert fra leverandøren. Slike pakker kan en derfor montere selv.

Måling a� signalstyrke

Styrken på signalet (effekten) tilsvarer signalets amplitude. Den kan oppgis enten lineært (i Watt - W) eller logaritmisk (i Decibel – dB).

Decibel beskriver forholdet mellom to mengder, på samme måte som ved angivelser i prosent. Derfor er det vanlig å legge til en ekstrabenevnelse som angir hvilke typer mengder decibel er brukt til å gjengi. Slik står dBm for decibel med referanse til en milliwatt (1 mW = 0 dBm) og er brukt i forbindelse med radioeffekt. dBi angir decibel med referanse til den utstrålte effekten fra en isotropisk1 antenne. Benevnelsen blir altså benyttet om effekten en gitt antenne vil gi.

1 En isotropisk antenne er en perfekt antenne som har lik utstråling (og mottak) i alle retninger. Den eksisterer ikke i �irkeligheten, En isotropisk antenne er en perfekt antenne som har lik utstråling (og mottak) i alle retninger. Den eksisterer ikke i �irkeligheten, men blir brukt som en referanse.


19

Grafen visualiserer forskjellen mellom logaritmisk og lineær måling av signalstyrke.

0 5 10 15 20 25 30 35 dBm

0

500

1000

1500

2000

2500

3000

3500

4000

mW

100 mW

= 20 dBm

4000 mW

= 36 dBm

1000 mW

= 30 dBm

200 mW

= 23 dBm


20

6.� Frie frek�enserBruken av radiofrekvenser er som nevnt regulert. Det innebærer at en oftest trenger konsesjon for å benytte et bestemt frekvensområde.

Det finnes imidlertid såkalte frie frekvenser som en ikke trenger konsesjon for å benytte, forutsatt at en holder seg innenfor NPTs begrensninger. Dette dokumentet omhandler trådløse nettverk som benytter seg av disse frie radiofrekvensene, 2.4 - 2.4835 GHz og 5.15 - 5.725 GHz.

Begrensninger for bruk av frie frekvenser er bestemt i ”Forskrift om tillatt bruk av frekvenser”, og finnes på http://www.lovdata.no/for/sf/sd/td-20001220-1399-0.html#7


21

Figuren viser hvilke effekter en får bruke ved de ulike tilgjengelige frekvensene. Ikke alle frekvenser er tilgjengelig for bruk utendørs.


22

Optimalisering a� sen�eeffekt

Innenfor 5GHz-områdene stilles det ulike krav til utstrålt effekt, avhengig av hvilken funksjonalitet utstyret støtter. Aktuelt utstyr er :

Dynamic Frequency Select (DFS), som selv forsøker å unngå å forårsake støy. Den kartlegger om frekvensene i den aktuelle kanalen allerede er i bruk, før den selv tar kanalen i bruk.Transmit Power Control (TPC), som justerer effekten slik at den ikke overstiger det nivået som behøves for å oppnå tilfredsstillende kommunikasjon. Det vil si at den ikke sender ut kraftigere signal enn nødvendig.

6.6 IEEE-stan�ar�eneInnenfor 2.4GHz og 5GHz finnes det flere alternative produkter og standarder å velge mellom. Likevel er det IEEE 802.11-standardene som har fått den klart største utbredelsen i trådløs sammenheng. Det finnes imidlertid flere:

IEEE 802.11 fikk sin endelige godkjenning 26. juni 1997. Den beskriver trådløse nettverk som bruker radio ved 2.4GHz med metodene Frequency Hopping Spread Spectrum (FHSS) eller Direct Sequence Spread Spectrum (DSSS). Begge gir hastigheter på 1 eller 2 Mbit/s. Standarden beskriver også et nettverk som benytter det infrarøde spektrum. Produkter med FHSS og DSSS er fremdeles på markedet.IEEE 802.11b ble ferdig 16. september 1999. Det var en utvidelse av DSSS-delen av 802.11, og gav en forbedret hastighet på 5.5 og 11 Mbit/s, og samtidig bakoverkompabilitet med 1 og 2 Mbit/s DSSS 802.11. Dette er i dag den mest utbredte standarden på markedet.IEEE 802.11a beskriver bruken av frekvensene i 5GHz ved bruk av metoden Orthogonal Frequency Division Multiplexing (OFDM). Dette gir hastigheter på opp til 54 Mbit/s. I dag finnes det 802.11a-produkter på markedet, men standarden har ennå ikke klart å få helt innpass utenom i Enterprise-type utstyr men det er på vei over i privat-markedet også. Det er verdt å merke seg at 802.11a mangler DFS og TPC, og dermed bare er tillatt med begrenset effekt innendørs. Utvidelser med IEEE 802.11h (se under) retter på disse manglene.IEEE 802.11g ble godkjent 12. juni 2003. Den beskriver en utvidelse av 802.11b, og tar i bruk OFDM-teknikken fra 802.11a. Dermed gir den en hastighetsforbedring på opp til 54 Mbit/s. Samtidig er det krav til bakoverkompabilitet2 til 802.11b. 802.11g-produktene nådde markedet svært raskt, og er prismessig temmelig lik 802.11b-produktene.IEEE 802.11h ble opprinnelig utviklet for Europa. Målet var å løse problemer med interferens (særlig i forbindelse med satellitter og radar), knyttet til 5GHz frekvensbandet. Standarden definerer bruk av DFS og TPC.IEEE 802.11TGn. Dette er en standard under utvikling for å oppnå hastigheter på minst 100 Mbit/s. Den vil være aktuell kun for 5GHz-frekvensene.

2 Bakoverkompatibilitet betyr at utstyr med ny standard også må virke med utstyr med en tidligere standard. Bakoverkompatibilitet betyr at utstyr med ny standard også må virke med utstyr med en tidligere standard.

•

•

•

•

•

•

•

•


2�

6.7 Kompatibilitet”Wi-Fi Alliance” (http://www.wifialliance.com/) er en interesseorganisasjon for 802.11-produkter, og skal sikre god kompatibilitet mellom ulike 802.11-produkter. Selv om et produkt oppgir at den følger en gitt standard, er det nemlig ikke sikkert at det virker godt sammen med produktene fra en annen leverandør – selv om de følger samme standard.

Wi-Fi Alliance har en serie med strenge kompatibilitetstester som produktene må gå gjennom før de kan skilte med et ”Wi-Fi” godkjenningsmerke. Godkjenningen skal gjøre kunden trygg på at produktet fungerer mot andre Wi-Fi-merkede produkter.

Vær oppmerksom på at disse Wi-Fi-testene ikke dekker all funksjonalitet, men primært operasjonen mellom en basestasjon og en klient. Det gjør at funksjoner som load sharing (automatisk fordeling av klienter mellom basestasjonene) og roaming (automatisk forflytning av klient mellom basestasjoner) ikke nødvendigvis fungerer selv om produktet er Wi-Fi-sertifisert. Wi-Fi-merkingen gir heller ikke noen garanti for produktets kvalitet i form av levetid eller oppetid.

6.8 Alternati�e teknologier og stan�ar�erMarkedet tilbyr et bredt utvalg trådløsteknologi, og det kommer stadig mer. Her er et lite utvalg:

Bluetooth: Kortholds kommunikasjonsstandard mellom små, bærbare enheter. Den kan også brukes som nettverkskort. Bluetooth v1.1 og v1.2 oppnår hastigheter på 723.1 kbit/s, mens Bluetooth v2.0 oppnår 2.1 Mbit/s.IEEE 802.16: Standard for trådløst bredbånd utendørs (MAN), hovedsaklig på lisensierte frekvenser. Interesseorganisasjonen WiMax er etablert for å promotere 802.16-standardene. Du finner mer informasjon om 802.16 på UNINETT ABCs faktaark om WiMax som er gjort tilgjengelig gjennom nettsidene til UNINETT ABC (http://www.uninettabc.no)IEEE 802.20: En foreslått IEEE-spesifikasjon for å øke IP-basert overføringskapasitet for mobile brukere i såkalte trådløse bynett (WMAN Wireless Metropolitan Area Networks). Standarden legger opp til å støtte utstyr og personer som beveger seg med en fart på over 200 km/t .Ultra Wi�e Ban� (UWB): Et ennå ikke ferdigutviklet trådløst alternativ til USB2.0/Firewire (IEEE 1394). Kan potensielt nå ytelser på 1Gbit/s over korte avstander.

I tillegg finnes det flere produktproprietære utvidelser av IEEE 802.11, som skal gi økt ytelse eller flere muligheter.

•

•

•

•


24

6.9 Effekti� ytelseLinjehastighetene som blir oppgitt på nettverksutstyr, tilsvarer hastigheten brukt på det fysiske mediet, og ikke den hastigheten som brukeren opplever, såkalt effektiv ytelse.

For 10/100/1000 Mbit/s Ethernet er denne forskjellen relativt liten. På trådløse nettverk kan den imidlertid være ganske stor. Ved trådløse nettverk må nemlig en stor andel av kapasiteten brukes til å kapsle inn datapakkene for at de skal komme riktig frem til mottaker. Det må blant annet forhandles tidsluker for forsendelsen, og foran hver pakke må det sendes en bitstrøm i lav hastighet som varsler at det kommer en datapakke (preamble). Jo høyere hastighet man operer på, jo mer markant blir effekten av denne initielle bitstrømmen.

I praksis betyr dette at du ved 11Mbit/s maksimalt vil oppleve en ytelse rundt 5.6 Mbit/s, og ved 54 Mbit/s et sted mellom 18 og 22 Mbit/s, litt avhengig av standarden som benyttes (802.11a eller 802.11g).

6.10 Interferens på �e frie frek�ensenePå de frie frekvensene, spesielt på 2.4GHz, finnes det i dag en mengde produkter som har full rett til å benytte seg av frekvensene. De vil imidlertid kunne skape til dels alvorlig interferens for trådløse nettverk.

Eksempler på slike produkter er enkelte trådløse telefoner, mikrobølgeovner, trådløs overføring av lyd- og bilde, noen typer trådløse alarmer og trådløse nettverk som benytter seg av andre radioteknikker (f.eks. Bluetooth, enkelte 802.16, IEEE som bruker FHSS, DSSS og OFDM). Også i radiomiljø der en bare benytter IEEE 802.11b/g, er det viktig å passe på hvilke frekvenser man bruker.

Bån�bre��e og kanaler for 802.11b/g

Det totale tilgjengelige frekvensområdet strekker seg fra 2.4GHz til 2.4835GHz. Dette utgjør en total båndbredde på 83.5MHz. Denne bredden er igjen oppdelt i kanaler, der hver kanal har en egen båndbredde og en senterfrekvens (se kapittel 6.2).

For 802.11b/g finnes det 14 kanaler, men kun de 13 første av disse er tilgjengelig for bruk i Norge. Den 14. kanalen er for Japan. I USA er bare de 11 første kanalene tillatt brukt, men til gjengjeld har de anledning til å sende med litt kraftigere effekt.

På neste side finner du kanalplanen for 802.11b/g med senterfrekvenser :


2�

Kanal

1 2.412 MHz

2 2.417 MHz

3 2.422 MHz

4 2.427 MHz

5 2.432 MHz

6 2.437 MHz

7 2.442 MHz

8 2.447 MHz

9 2.452 MHz

10 2.457 MHz

11 2.462 MHz

12 2.467 MHz

13 2.472 MHz

14 2.484 MHz

Tre samti�ige kanaler

Som du ser, er det 5MHz mellom hver senterfrekvens. Bruk av én kanal vil imidlertid legge beslag på en båndbredde på ca 30MHz (avhengig av kvaliteten på utstyret). For at ikke signalet, inkludert sidelobene, skal gå utover den tilgjengelige båndbredden (som starter på 2.400GHz),.

For å minimere interferens mellom kanalene, anbefaler 802.11b/g en tilgjengelig båndbredde på 30MHz. Det betyr at en ikke kan bruke alle de kanalene som frekvensplanen oppgir, samtidig.


26

Dersom to basestasjoner settes på henholdsvis kanal 1 og kanal 3, vil radiobildet kunne visualiseres slik:

Vi ser at spesielt at hovedlobene er i berøring med hverandre. Det vil gi en interferens som vil merkes på nettverksytelsen.

Vi anbefaler at dere velger mellom kanalene 1, 6 og 11. Dette er optimal kanalinndeling for USA eller ”World Mode” men det er mange kort på det norske- og europeiske markedet som bare har 11 kanaler.

Vær oppmerksom på at kort fra USA eller i ”World Mode” ikke kan benytte kanalene 12 og 13.

Am

plitu

de (

sig

nals

tyrk

e)

KanalFrekvens [GHz]

2,4

27

2,4

37

2,4

42

1 2 3 4 52,4

12

2,4

17

2,4

22

2,4

32

6 7


27

Svært skjeldent vil en basestasjon kunne foreta optimalt frekvensvalg automatisk og gjør den det så er det tilfeldigheter. Derfor bør dere alltid sørge for å gjøre god radioplanlegging med effektstyring, manuelt kanalvalg, fysisk plassering og gjenbruk av kanalene 1, 6 og 11 fremfor å la basestasjonene gjør automatiske valg.

Bån�bre��e og kanaler for 802.11a

For IEEE 802.11a på 5GHz-frekvensene er situasjonen enklere. Hver kanal er ”bred nok” til ikke å forstyrre nabokanalen. Her kan dere derfor bruke alle de tilgjengelige kanalene samtidig.

6.11 Fremti�ig ut�ikling

Kompatibilitet

I dag har IEEE 802.11b-kompatible produkter fått så stor utbredelse og lav pris at andre produkter og standarder har vansker med å få innpass i markedet. Organisasjoner med eksisterende 802.11b installasjoner vil nødig pålegge brukerne sine å kjøpe nytt utstyr ved å bytte ut infrastrukturen, og den enkelte bruker vil gjerne ha muligheten til å knytte seg til ett eller flere allerede tilgjengelige trådløse nettverk.

Den fremtidige utviklingen innen trådløse nettverk vil derfor sannsynligvis være en naturlig videreutvikling av dagens mest populære teknologi – muligens med en parallell utvikling og bruk av en alternativ teknologi der det er hensiktsmessig.

Am

plitu

de (

sig

nals

tyrk

e)

KanalFrekvens [GHz]

1 2 3 4 52,4

12

2,4

17

2,4

22

2,4

27

62,4

37

7 8 9 102,4

32

2,4

42

2,4

47

2,4

52

2,4

57


28

Allerede nå ser vi utviklingstrenden for bedre ytelse og bakoverkompatibilitet i serien 802.11, 802.11b, 802.11g, og dessuten utstyr som kan håndtere både b/g og a.

Frek�ens�alg

Samtidig som teknologien blir bedre og produktene billigere, blir også 2,4 GHz-området stadig fullere av konkurrerende installasjoner. I flere byer, tettsteder, og kanskje også I kontorlokaler, har mange forlengst oppdaget at de radiomessige begrensningene ved støy og interferens kan gjøre de trådløse nettverkene så godt som ubrukelige.

En mulig løsning kan være å bytte frekvens til 5GHz-området, som foreløpig har litt mer å gå på. Forbedringer i standardene, blant andre DFS og TPC (IEEE 802.11h), vil forhåpentlig også gjøre situasjonen mer levelig. Såkalte ”Dual-band”-kort som kan brukes mot både 2.4GHz og 5GHz er allerede vanlige på markedet, og det er slett ikke usannsynlig at vi en gang får kort som også takler blant annet 802.16 og 802.20.

I radiosammenheng er ikke lufta alle. Radiofrekvenser er en begrenset ressurs, og så lenge vi bruker ulisensierte frekvenser hvor alle har adgang, vil vi måtte finne oss i at høye datarater ikke er forenelig med mange brukere. Da oppnår vi enten høy ytelse for noen få brukere, eller lav ytelse for mange.

Bruk pro�ukter me� nyeste stan�ar�

Sats på produkter som støtter de nyeste standardene, dersom dere skal bygge en trådløs infrastruktur med en viss levetid.

Selv om et produkt har ekspansjonsspor for fremtidige utvidelser så kan det være risikablet å satse på. Når tiden en gang er moden for å ta i bruk ekspansjonssporet, er det nemlig tvilsomt om prosessorene og systemene i boksen er i stand til å håndtere den datamengden utvidelsen krever. Det er heller ikke sikkert at utvidelsen lønner seg økonomisk, sammenliknet med å kjøpe et nytt produkt som allerede har den ønskede forbedringen. Det finnes flere eksempler på feilslåtte produkter, der utviklingen rett og slett gått for raskt til at de noen gang kunne bli tilfredsstillende løsninger. Det er på markedet to alternative måter å tenke trådløs infrastruktur på.

Den første ”klassiske” måten er selvstendige basestasjoner som fungerer som en bru mellom det trådløse mediet og kabelen den er tilkoblet. Dette omtales også som ”tunge” basestasjoner. De har relativt mye egen-intelligens og kan konfigureres en og en men også gjerne via et sentralt administrasjonsverktøy. Argumentasjonene for denne løsningen er bl.a. pris, redundans (ingen single-point-of-failure) og fleksibilitet. Ulempene kan være mangel på sentral administrasjon, og sikkerhet i endepunktet.


29

Den andre måten bruker ”lette” basestasjoner som er avhengig av en eller flere sentrale trådløse kontrollere. Alle basestasjonene er avhengig av kontrolleren for konfigurasjon og annen styring. En gjenganger er også at all trafikk mellom klienten og nettverket tunelleres mellom basestasjonen og kontrolleren slik at det er kontrolleren som står som nettverkets knutepunkt. Argumentasjonene for denne løsningen er kontroll med klienter og trafikk, sentral administrasjon og enkel utplassering. Ulempene er kostnad ved anskaffelse, tunellering, single-point-of-failure. Eksempler på produkter er Cisco Airespace, Meru, Aruba og Trapeze.

Det finnes flere typer trådløst utstyr. De mest vanlige er Aksess Punkt (AP), Klient (STA), Bro (WB), Trådløs ruter.

Dette dokumentet er skrevet for trådløst utstyr av typen AP.

7.1 Basestasjon (Access Point - AP)AP er en sentral enhet som oftest er tilkoblet nettverket med kabel, og som klienter knytter seg til.

7.2 Klient (Station A�apter – STA)En klient er brukerutstyr (”nettverkskort”) som knytter seg opp mot en basestasjon for å få nettverksforbindelse. Det finnes ulike former for grensesnitt, for eksempel PCI, PCMCIA, CardBus, USB og Mini-PCI.

7.� Bro (Wireless Bri�ge – WB)En bru er en klient som har en Ethernet-kontakt som PC-er og annet utstyr kan koble seg til. Hensikten er at brukeren skal måtte ha trådløskort for å kunne få Ethernet-tilgang.

7.4 RepeaterDette er ofte en kombinert basestasjon og klient som fungerer som et relepunkt. Dette kan brukes til å utvide rekkevidden av et trådløst nettverk. Basestasjoner med to radioer er godt egnet til dette. Da bruker en én radio (802.11b/g) til klienter og én radio (802.11a) til dataoverføring mellom basestasjoner.

7.� Trå�løs hjemmeruterDette er en enhet som kombinerer funksjonaliteten i en basestasjon og en ruter.

KLASSIFISERING AV TRÅDLØST UTSTyR


�0

8.1. Generelle anbefalinger for trå�løst nett

Sikre at dere har et godt kablet nett. Det er nødvendig for å få fullt utbytte av det trådløse nettet.Velg utstyr som støtter IEEE 802.11g (du kan lese mer om dette i neste kapittel).Når dere velger kanaler, må dere gi plass mellom kanalene for å unngå forstyrrelser (interferens).

8.2 Dette bør �ere unngå

Unngå å kjøpe utstyr som er beregnet på hjemme/liten bedrift markedet (SOHO). Disse er ikke beregnet for større installasjonerUnngå å kjøpe billig utstyr som ikke støtter de nyeste standardeneVær varsom med produkter som satser på proprietære standarder

•••

•

••

OPPSUMMERING: TEKNOLOGIBAKGRUNN


�1

9.1 Kartlegg beho�ene

Sørg for grundig planlegging når dere skal bygge et trådløst nettverk. Det vil spare mye tid, og optimalisere resultatet.

Kapasitet

Når dere skal planlegge et trådløst nettverk, må dere ta to hovedhensyn:

Radiofrekvenser er en begrenset ressursEn basestasjon må alltid dele sin maksimale kapasitet på antallet samtidige brukere. Hvordan den enkelte brukeren benytter basestasjonen, vil derfor påvirke de øvrige brukere.

Begrense�e frek�enser

Det første hovedhensynet betyr at dere må legge nøyaktige planer for :

Hvor basestasjonene skal ståHvilke frekvenser (kanaler) de skal brukeHvilken sendereffekt de skal haOg kanskje hvilke antenner de skal bruke (og hvor de er rettet).

Dette må planlegges ved å gjøre en såkalt site survey – en radioplanlegging av dekningsareal ved bruk av en basestasjon og en laptop med noe programvare (se kapittel 9.2: Innledende Site Survey).

Brukere og ytelse

Det andre hovedhensynet er en mer teoretisk vurdering som går ut på å estimere konsentrasjonen av brukere i de ulike områdene, for så å vurdere om en vil tilby optimal hastighet. Dette må inngå i radioplanleggingen.

Dersom én bruker har dårligere signal og dermed lavere hastighet, vil dette også påvirke de øvrige brukere. De må nemlig vente på tur mens den tregere klienten får overført sine data, før de selv kan sende noe. På denne måten kan en bruker med svært lav hastighet legge vel så mye beslag på basestasjonen som en bruker som overfører masse data ved høy hastighet. Hvordan en brukers hastighet kan påvirke en annens er spesielt tydelig i et nettverk hvor det både er 802.11b og 802.11g klienter. I slike tilfeller må 802.11g benytte seg av en tidkrevende beskyttelsesmekanisme for å hindre 802.11b fra å forårsake støy mens 802.11g sender.

I mange tilfeller vil en IEEE 802.11b basestasjon gi en tilfredsstillende ytelse, men det er helt avhengig av bruken. Som tommelfingerregel kan vi si at en basestasjon med 5-6 samtidige brukere, gir en opplevelse av god hastighet. 20-30 samtidige brukere er derimot å presse grensen til hva som er tilrådelig.

••

••••

PLANLEGGING


�2

Men dette er som sagt avhengig av hvordan nettverket blir brukt. Lett bruk som e-post, instant messenger (IM) og web er såpass lite krevende og tilfeldig belastende at mange kan bruke samme basestasjon uten å merke vesentlig ytelsestap. Tung bruk som video-streaming, filnedlasting og fildeling vil raskt sluke hele kapasiteten.

Dersom dere vet at krevende tjenester vil utgjøre mye av bruken, bør dere vektlegge raskere standarder eller alternativer til trådløst.

Spre�t �ersus konsentrert brukermasse

En spredt brukermasse vil si at få brukere belaster hver enkelt basestasjon. Da kan det være hensiktsmessig å satse på få basestasjoner med maksimal effekt for å sikre god rekkevidde. Slik vil et fornuftig valg av kanaler gi sammenhengende dekning over hele arealet. (Se kapittel 6.10: Interferens på de frie frekvensene)

En konsentrert brukermasse betyr mange brukere på ett sted. Dersom en ønsker å tilby brukerne optimal ytelse, vil det være hensiktsmessig å sørge for at brukerne i størst mulig grad får samme tilkoblingshastighet. Mange brukere medfører gjerne at en ønsker å sette opp mer enn en basestasjon.

9.2 Innle�en�e site sur�eyTidlig i planleggingsfasen bør dere skaffe dere et overblikk over den radiomessige dekningen. En slik ”site survey” går ut på å kartlegge hvilke arealer de ulike basestasjoner vil dekke.For IEEE 802.11b/g-nettverk er en site survey relativt omfattende, da disse nettverkene har overlappende kanaler. IEEE 802.11a har ikke denne interferensproblematikken (se kapittel 6 – Om trådløse nett).


��

Hensikten me� site sur�ey

En innledende site survey skal gi svar på:

Den optimale plasseringen av basestasjonene for å gi best ytelse og/eller kapasitet.Hvor mange basestasjoner som trengs for å gi ønsket ytelse og/eller kapasitetHvilket kanalvalg de forskjellige basestasjonene bør ha for å begrense interferensHvilken sendereffekt radioene bør ha for å begrense interferens

En kan fort oppdage at radiosignalene i et gitt miljø bærer kortere eller lengre enn det man kanskje trodde. I planleggingsfasen vil en enkel site survey sjelden gi fasitsvar, men den kan gi en god pekepinn på ressursbehovet. Med erfaring vil den gi en større nøyaktighet.

Slik utfører �ere en site sur�ey

Til en innledende site survey trenger dere:

Gode plantegninger av det arealet som skal dekkesMinst én basestasjon av den typen og med de antenner som skal brukes til installasjonenEn klient med passende programvare for å se signalstyrken til en eller flere basestasjoner

Kartlegg områ�et

1. Velg basestasjon. For 802.11b/g er det aller best å bruke tre basestasjoner med kanalene 1, 6 og 11. Basestasjonene trenger ikke å ha nettverkstilknytning i denne fasen. Det er viktig at basestasjonen har en lett gjenkjennelig SSID (og kjent MAC), og dessuten at den ikke har skjult SSID (må stå med ”aktiv” SSID).

2. Sett opp basestasjonen(e) der dere tror den vil fungere best, og bruk klienten til å kartlegge hvor den gir dekning med ønsket minimums hastighet. Oftest er det både radiomessige og sikkerhetsmessige fordeler ved å plassere basestasjonene høyt. Avmerk posisjonen på plantegningen. Flytt basestasjonen (eller sett opp en til) på et annet antatt egnet sted, mål og merk av igjen. Glem ikke å tenke i tre dimensjoner, slik at dere også måler i etasjene over og under basestasjonen.

••••

•••


�4

�. Fortsett til hele områ�et er kartlagt. Deretter bruker dere plantegningen med avmerkninger til å legge en plan for endelige utplasseringer med kanalvalg og effektvalg. Det kan godt tenkes at dere må justere planen når nettet blir bygget i praksis.

Program�are

I utgangspunktet kan man bruke en hvilken som helst programvare som er i stand til å oppgi signalstyrken (helst i dB) til basestasjonen den ser. Som programvare kan vi anbefale gratisprogrammet NetStumbler (http://www.netstumbler.com) som finnes til både Windows og Pocket PC. Et alternativ er Kismet (http://www.kismetwireless.net) for Linux.

Utstyr som forenkler jobben

For å forenkle jobben med site surveys finnes det flere kommersielle produkter.

AirMagnet (http://www.airmagnet.com/) Softwarepakken “Surveyor” analyserer signalstyrker og gir en grafisk fremstilling på en plantegning. Det gjør det enklere å se hvordan signalet brer seg, og hvordan dere dermed kan optimalisere plasseringer og kanalvalg. Se hjemmesidene deres for nærmere beskrivelse, skjermbilder og demo for nedlasting.Ekahau (http://www.ekahau.com/) Ekahaus ”Site Survey” er en konkurrent til Surveyor. Også denne er i stand til å kartlegge radiobildet slik at dere bedre kan bygge eller optimalisere den trådløse infrastrukturen. Mer informasjon og demo kan lastes ned fra hjemmesidene deres.Wireless Valley (http://www.wirelessvalley.com/) Denne leverandøren tilbyr produktet ”LANPlanner” for kartlegging og optimalisering. Mer informasjon og demo kan hentes på deres hjemmesider.Cisco (http://www.cisco.com/en/US/products/ps6305/index.html) Cisco kjøpte opp Airespace. Man kan kjøpe en programpakke for både planlegging og kontroll av sitt

•

•

•

•

1. etasje

2. etasje


��

Airespace nettverk. Det produktet heter ”Cisco Wireless Control System” (WCS). I dette verktøyet kan man tegne opp trådløse barrierer med en gitt dempning og så vil programmet kunne beregne hvilken dekning en basestasjon med en gitt effekt vil kunne gi.

9.� Eksempel på trå�løst skolenett�erkPå figuren under ser du et eksempel på et trådløst nettverk på en stor skole. De grønne punktene markerer plasseringen av aksesspunkt. De andre fargene viser de ulike frekvensene (kanalene) som er i bruk.

Illustrasjonen viser tydelig hvor stor betydning vegger og andre fysiske hindringer har for utbredelsen av signalet. Ved denne installasjonen er det tillegg gjort justeringer av sendeeffekten for å oppnå ønsket dekning.

9.4 Nett�erkets infrastrukturIllustrasjonen på neste side viser et forenklet eksempel på et typisk oppsett hos en institusjon med flere nettverk.


�6

Kommunikasjonsprosess

Forbindelsen til Internet går via en ruter, som er ruter for ett eller flere definerte bakenforliggende nettverk. All trafikk til og fra disse bakenforliggende nettverkene pakkes inn i en VLAN-trunk med IEEE 802.1Q, og kommuniseres med organisasjonens svitsj. Svitsjen pakker ut trunken og fordeler de enkelte nettverkene til de ønskede portene.

Illustrasjonen viser en situasjon med tre VLAN for tre forskjellige nettverk. Filterregler i ruteren bestemmer hvordan trafikken får flyte både mellom de interne nettene og Internet.

Eget trå�løst nett

Det er i utgangspunktet ikke anbefalt å sette trådløse basestasjoner på samme nettverk som andre bruksnett, selv om dette kan virke praktisk. Illustrasjonen definerer derfor et eget nettverk for trådløsnett.

Vi anbefaler at dere etablerer et eget nettverk for trådløsnett.

Multicast

En av årsakene til å definere et eget trådløst nettverk, er at det gjerne er multicast til stede i trådbundne nettverk. Multicast brukes for distribusjon av både lyd, bilde og programvare, og i sammenheng med IPv6. Når basestasjonen sender ut multicast, må alle andre klienter vente til prosessen er ferdig, før de kan fortsette sin kommunikasjon.

Siden multicast kan komme til å sende ut en konstant strøm av trafikk, vil alle klienter kunne oppleve tildels kraftig reduksjon av tilgjengelig transmisjonstid og dermed et signifikant tap av ytelse.

Dersom dere ønsker å ha IPv6 på det trådløse nettverket, bør multicast gjøres tilgjengelig for dette, men annen multicast bør dere vurdere nøye.


�7

Sikkerhet og a�ministrasjon

Også av sikkerhetsmessige og administrative årsaker er det smart å etablere et eget trådløst nett. Dette gjelder for øvrig ikke særskilt for trådløse nettverk, men er generell god praksis ved oppbygging av infrastruktur. Det kan for eksempel være lurt å skille ulike grupper av klienter fra hverandre for enklere administrasjon, samt i tilfelle kompromitterte maskiner, angrep fra trojanske hester, maskinsporing og lignende.

Trådløse nettverk er potensielt usikre nettverk. Derfor er det av sikkerhetsmessige grunner alltid klokt å skille det trådløse nettverket fra andre nettverk.

Les mer om sikkerhetsutfordringer og sikringsmetoder i kapitlene 11-13.

VLAN

Illustrasjonen under viser et mer avansert oppsett, der en utnytter VLAN-funksjonen som enkelte basestasjoner har.

Ved å gi basestasjonen en VLAN-trunk fra en av svitsjens porter, kan en tilby flere separate og ulike nettverk fra samme basestasjon. Som i forrige eksempel kan filterregler i ruteren styre aksessen videre til Internett, eller til de øvrige interne ressursene.

9.� Sikkerhetskra�Sikkerheten i trådløse nettverk varierer stort. Noen nettverk er helt åpne og frie – andre har gjensidig autentisering og beste form for kryptering. Det er viktig at dere har oversikt over de ulike sikringsmetodene, slik at dere velger riktig nivå. For dårlig oversikt og oppdatering kan medføre at en bruker utilstrekkelige sikringsmetoder som gir en falsk følelse av sikkerhet.


�8

Det er viktig at dere har en etablert sikkerhetspolicy. Den bør være oppdatert slik at den tar hensyn til det gjeldende trusselbildet, og bør inkludere en vurdering av konsekvenser. Husk også at et sikkert trådløsnett i seg selv ikke gir en tilstrekkelig sikkerhet, men at det bare er en del av den totale sikringsinnsatsen.

Les kapitlene 11-13 for en mer gjennomgående sikkerhetsdiskusjon.

9.6 Oppsummering: Planlegging Så langt i planleggingsprosessen skal dere ha kartlagt:

Kapasitetsbehov og dekning for basestasjoneneNettverksinfrastrukturTeknologivalg for basestasjoneneOrganisasjonens krav til sikkerhet på nettverket (sikkerhetspolicy).

På basis av denne kunnskapen skal dere være i stand til å utforme:

Krav til basestasjoneneUtstyrsliste til basestasjonene (tilbehør)Krav til eventuell utvidelse av eksisterende eller ny svitsjPlan for IP-subnetting og tildeling av VLAN

••••

••••


�9

Etter å ha fulgt anbefalingene fra de forrige kapitlene, skal dere nå ha en klar formening om behov, hva dere skal bruke nettet til, og det sikkerhetsnivået dere behøver.

Dette kapittelet viser hvordan dere kan bygge opp selve trådløsnettet.

Ved oppsett av et mindre nett (3-5 basestasjoner) kan dere sannsynligvis gjøre mye selv. Her er den største utfordringen konfigurering av sikkerhet og nett, ikke radioplanleggingen.

10.1 Konfigurasjon av ruter/svitsjNoen organisasjoner har full kontroll på konfigurasjon av ruter og svitsj selv. Hvis ikke, må dere ta kontakt med tjenesteleverandøren.

10.2 Kabling a� infrastrukturEnkelte organisasjoner håndterer også kabling selv. Dersom dere ikke gjør det, må dere engasjere en leverandør for dette.

Kabeltype

Til basestasjoner bruker en vanligvis kategori 5-kabler eller bedre. Dersom dere skal bruke PoE (Power over Ethernet), må dere sjekke at alle kobberpar er i orden. En kan ikke benytte kabelsplittere der man deler de fire parene i en kategori 5 kabel slik at hver enhet får to par hver. Kabelen må være intakt.

Sikring

Dere bør, så langt det er mulig, legge kablene i sikrede kanaler og på utilgjengelige steder. Da forhindrer dere hærverk, piratbasestasjoner eller at noen ”sniffer” på forbindelsen.

Dersom dere velger andre løsninger enn PoE må dere sørge for å plassere strømuttak i nærheten av basestasjonene.

10.� Innkjøp a� utstyrPlanprosessen bør gi et godt grunnlag for hvilket utstyr dere skal kjøpe inn.

Før dere kjøper inn utstyr : Sjekk hvilke anbudsregler som gjelder, og om dere kan benytte dere av eksisterende innkjøpsavtaler.

10.4 Hensyn �e� �alg a� basestasjonValg av basestasjon bør bygge på en rekke vurderinger og kriterier. Listen under er ikke absolutt. Prioriteringene dere gjør, er avhengig av hvilke krav dere har til infrastrukturen. For eksempel er det ikke nødvendig med støtte for VLAN dersom dere ikke bruker VLAN. Noen av kriteriene avhenger dessuten av at dere har bakenforliggende systemer som støtter funksjonen.

GjENNOMFØRING


40

IEEE 802.11b/g og/eller IEEE 802.11a

802.11b er uten tvil den mest utbredte standarden i dag. Dersom dere ønsker å gi støtte til klienter med denne standarden, bør dere naturlig nok ha en basestasjon som støtter dette.

802.11g er en utvidelse 802.11b, og standarden stiller krav til bakoverkompatibilitet med 802.11b. Siden prisforskjellen er minimal (om noen), har det i de fleste tilfeller liten hensikt å kjøpe en ren 802.11b basestasjon.

Investering i 802.11a må bygge på en vurdering av krav, pris, dekningsgrad og interferensproblematikk. Det finnes basestasjoner som har alle tre standarder.

IEEE 802.1Q – VLAN for tjening av flere nettverk

Én og samme basestasjon kan brukes til å tjene flere ulike nettverk. Det er en god og fornuftig bruk av det tilgjengelige frekvensområdet, fremfor å bruke én basestasjon for hvert enkelt nettverk Med VLAN-støtte i basestasjonen kan dere tilordne en egen SSID og sikkerhetsløsning for hvert nettverk, for eksempel én for studenter, én for ansatte og én for gjester.

IEEE 802.1X og TKIP/AES – Aksesskontroll og �atakryptering

IEEE 802.1X for portbasert aksesskontroll er en god sikkerhetsløsning for trådløse nettverk. Klient og RADIUS skal autentisere seg mot hverandre. For å kunne formidle denne informasjonen frem og tilbake, må

basestasjonen ha støtte for 802.1X.

I tillegg bør basestasjonen støtte en tilstrekkelig grad av datakryptering. Det betyr i praksis TKIP eller AES. En basestasjon med støtte for WPA, støtter 802.1X med TKIP. Dersom den også har støtte for WPA2, støtter den også 802.1X med AES.

Valg a� fast kanal for 802.11b/g

Automatisk kanalvalg blir sjeldent optimalt.

Basestasjonen bør støtte valg av fast kanal. (Man bør stille inn basestasjonen med fast kanal, tilpasset

kanaler på nabostasjoner).


41

Valg a� ønsket sen�ereffekt for 802.11b/g

Få basestasjoner kan justere sendereffekten. Det kan gi problemer i områder med høy konsentrasjon av basestasjoner, eller i tilfeller der en ønsker å skifte ut de eksisterende antennene.

Basestasjonen bør støtte valg av sendereffekt.

Roaming

Roaming gir klientene mulighet til sømløs hopping fra basestasjon til basestasjon. Forutsetningen er at basestasjonene opererer på samme IP-nettverk og bruker samme nettverksidentifikasjon.

I de fleste tilfeller kan ikke produkter fra ulike produsenter roame på tvers. IAPP-protokollen for dette ble standardisert i IEEE 802.11f, men er ikke implementert likt i alle produkter.

Loa� Sharing

Normalt vil en klient knytte seg til den tilgjengelige basestasjonen med sterkest signal og minst belastning. Valget er i stor grad opp til klienten men enkelte klienter har programvareimplementasjoner som ikke vurderer optimalt. Det kan da bli en skjevhet i belastning ved enkelte basestasjoner.

Med load sharing vil basestasjonene fordele klientene mellom seg etter antall og den enkelte klients kapasitetsbruk.

Som ved roaming er også load sharing en funksjon som sjeldent fungerer på tvers av produkter fra ulike produsenter.

Power o�er Ethernet (PoE)

Standarden IEEE 802.3af gjelder for PoE, men ikke alle produkter følger den ennå.

PoE er svært nyttig ved utplassering av basestasjoner. Da trenger en nemlig ikke stikkontakter i nærheten. Strømforsyningen til basestasjonene kan skje gjennom en såkalt ”injektor” per basestasjon, eller en PoE-svitsj.

Se også egen anbefaling for valg av svitsjer.


42

A�ministrasjonsgrensesnitt: SSH, SNMP, HTTP/HTTPS

Ikke alle produkter har et godt og anvendelig administrasjonsgrensesnitt. Grensesnittet kan kanskje være greit så lenge det er få enheter, men med mange enheter kan det fort bli et administrativt mareritt. Innhenting av data, endring av konfigurasjon og oppdatering av firmware bør foregå sikkert, effektivt og enkelt for en hel gruppe enheter.

Det er en fordel om konfigurasjon kan gjøres gjennom et grensesnitt som kan oppdatere flere/alle baser på en gang (administrasjonsverktøy).

Quality of Ser�ice (QoS) og 802.11e

I noen tilfeller ønsker en å prioritere noen former for trafikk, fremfor andre. Det kan for eksempel være hensiktsmessig å prioritere tidskritiske applikasjoner som VoIP, eller nedprioritere ressurskrevende trafikk som FTP. QoS er viktig for å kunne gjøre denne prioriteringen.

For at QoS for trådløst nettverk skal kunne kartlegge hvordan kommunikasjonen på det trådløse mediet fungerer, må standarden IEEE 802.11e være implementert i basestasjonen.

Ratebegrensning

I noen tilfeller er det smart å kunne sette en manuell begrensning på den dataraten som brukerne har tilgjengelig. Hvilken datarate en klient kan oppnå er avhengig av støtte i klientkortet og kvaliteten på signalet. Denne funksjonen kan dermed også utnyttes til å filtrere bort brukere som har for dårlig signalkvalitet eller for gammelt utstyr. Da kan dere unngå at for eksempel ”trege klienter” påvirker ytelsen til klienter med god signal og høy datarate.

Denne funksjonen må ikke forvekslet med ratebegrensning i form av trafikkstruping (traffic shaping).

Mulighet for ekstern antenne

Mulighet for ekstern antenne er ikke nødvendigvis et krav. Likevel bør dere vurdere om det kan være nødvendig. En ekstern antenne kan være nyttig om dere for eksempel ønsker å rette signalet mot bestemte områder, eller å nå lengre og dekke et større areal med én basestasjon.

Ser�icea�tale

Defekt utstyr kan være en kilde til frustrasjoner, og det kan bli både tidkrevende og kostbart. Sørg derfor for at utstyret du velger er av god kvalitet med gode referanser.

En god serviceavtale, eller eventuelt oppetidsgaranti, bidrar til å redusere frustrasjoner, tidsforbruk og kostnader om utstyret skulle gå i stykker. Ha gjerne noen ekstra enheter i reserve (antallet avhengig av størrelsen på nettverket) for å kunne foreta rask utskiftning.


4�

Ikke alt utstyr klarer seg like godt i store omgivelser (enterprise) som i små (soho/hjemmebruk). Sørg derfor for at utstyret er tilpasset det behovet og de omgivelsene dere har.

Oppsummering: Anbefalinger �e� �alg a� basestasjon

Velg en basestasjon med standard 802.11g og eventuelt 802.11a.Velg VLAN-støtte i basestasjonen dersom én og samme basestasjon skal kunne brukes til å tjene flere ulike nettverk.Sørg for gode løsninger for aksesskontroll og datakryptering.Velg roaming dersom det er viktig med sømløs hopping fra basestasjon til basestasjon.Velg PoE dersom dere ikke har, eller vil unngå stikkontakter i nærheten.Velg et godt og anvendelig administrasjonsgrensesnitt.Velg QoS dersom dere ønsker å prioritere noen former for trafikk, fremfor andre.Velg ratebegrensning dersom det er viktig å maksimere ytelsen for den enkelte klienten. Velg ekstern antenne dersom det er viktig å kunne rette signalet mot bestemte områder, eller å nå lengre og dekke et større areal med én basestasjon.Velg utstyret av god kvalitet med gode referanser.Inngå gode serviceavtaler.

10.� Slik monterer �ere basestasjonene

H�or?

Basestasjonene bør plasseres høyt og helst ute av syne. Dere kan også vurdere å låse fast basestasjonene. En lett tilgjengelig basestasjon kan bli utsatt for tyveri eller sniffing, eller bli byttet ut med en piratbasestasjon. Unngå å plassere basestasjonene i umiddelbar nærhet (ca. 50cm) eller i skjul av metallflater (luftekanaler, whiteboard, osv).

H�or�an?

Før dere setter opp basestasjonene, bør de konfigureres for administrasjon via nettverket. Etter at dere har montert et passende antall basestasjoner, kan dere stille inn kanalvalget etter planen, og foreta en site survey (dette kan også gjøres fortløpende).

Dette er viktig for å sikre at dere har klart å oppnå den ønskede graden av dekning og kapasitet. Dere bør også sikre et minimum av interferens. Er interferensen for stor, bør dere justere noen av variablene (se kapittel 6.10: Interferens på de frie frekvensene).

10.6 Velg riktig tjenestele�eran�ørLeverandører kan tilby alle tjenester, som konfigurasjon av ruter/svitsj, opplegg av nettverkskabling og strøm, konfigurasjon og montering av basestasjoner.

••

•••••••

••


44

Vær oppmerksom på at ikke alle leverandører er like dyktige og erfarne på større installasjoner.

Sjekk at firmaet har den nødvendige kompetansen og erfaringen på det aktuelle området. Be om flere referanser, og forhør dere med erfaringene til disse referansene.


4�

Før dere begynner arbeidet med å etablere et trådløst nett, må organisasjonen ha etablert en sikkerhetspolitikk på bakgrunn av blant annet kontraktsmessige forpliktelser, trusselbildet og konsekvensanalyse. Bare ved å se sikkerheten for det trådløse nettet i en større sammenheng, har dere mulighet for å oppnå en tilstrekkelig helhet for sikkerhetsarbeidet.

ETABLER EN GRUNNLEGGENDE SIKKERHETSPOLITIKK


46

Trådløse nettverk har fått mye negativ oppmerksomhet omkring sikkerhet. Det er bra, ettersom sikkerhet for trådløse nett alltid bør være gjenstand for skarpt fokus. Trådløse nettverk er basert på avansert teknologi, men er likevel relativt enkle å ta i bruk. Det fører til at folk flest ikke tenker over den sikkerhetsmessig store risikoen som er forbundet med bruken av det. Det er lett å betrakte trådløst bare som en forlengelse av nettverkskabelen. Da tenker en neppe over alle de veiene som dataene kan ta, til og fra PC-en.3

12.1 Trå�løst betyr min�re kontrollFra serveren som klienten kommuniserer med, går dataene oftest gjennom både administrative nettverk, stamnett og svitsjer før de går ut til brukeren. Fordi vi helst velger å stole på integriteten til nettverkstilbyderen og infrastrukturen, anser vi faren for at uvedkommende lytter på trafikken, som relativt liten.

Et trådløst nett innebærer imidlertid at vi mister kontrollen med hvem som kan lytte til kommunikasjonen. Rett og slett fordi vi ikke har kontroll med hvem som kan fange opp radiosignalene. Vi mister også kontrollen over tilkoblingssted, fordi vi ikke kan vite om den basestasjonen vi kobler oss til, er den ekte eller en falsk basestasjon.

3 Med hensyn til hvem som skal ha adgang til det trådløse nettet, er det to synspunkt: Noen mener at adgangen skal begrenses så Med hensyn til hvem som skal ha adgang til det trådløse nettet, er det to synspunkt: Noen mener at adgangen skal begrenses så mye som mulig, jfr. flere avisartikler som anbefaler å stenge igjen nettet for andre. Det andre synet er å gjøre det trådløse nettet tilgjengelig for så mange som mulig, men å beskytte de entiteter som finnes på nettet. Uansett praksis må en tenke igjennom hvilken sikkerhet en ønsker for nettet.

ENKEL BRUK – STOR RISIKO


47

En bør sette seg fire mål for sikkerheten for trådløse nettverk:

Aksesskontroll/Autentisering: Sikkerhet for at bare autoriserte brukere får adgang til å bruke det trådløse nettverket.Dataintegritet: Sikkerhet for at nettverkstrafikken ikke blir utsatt for endringer underveis.Konfidensialitet: Sikkerhet for at ingen kan avlytte nettverkstrafikken.Tjenestetilgjengelighet: Sikkerhet mot tjenestenekt-angrep (DoS).

I tillegg kan vi legge til et femte fokus som ikke er spesifikt for trådløst, men som ikke er desto mindre aktuelt: Klienter kan være infisert med virus eller trojanere som kan spre seg til andre klienter når en kobler den infiserte klienten på nettverket.

1�.1 AksesskontrollEn kommer ofte over løsninger som ber om autentisering fra brukeren før han eller hun får lov til å kommunisere videre. Siden en med trådløse nettverk ikke kan garantere at en er koblet opp til den riktige basestasjonen, vil det være en relativt smal sak for noen å sette opp en falsk autentiseringstjeneste. Dermed kan brukeren lures til å oppgi sin identitet og nødvendige passord. Dette kalles ”phishing”, og har dessverre blitt stadig mer utbredt.

Vær på vakt mot ensidig autentisering. Det er en vanlig feil som kan være potensielt svært farlig.

En god aksesskontroll foretar en gjensidig autentisering. Det vil si at begge parter i autentiseringen sjekker hverandre, slik at serveren beviser sin identitet før klienten/ brukeren avslører sine hemmeligheter.

Skjult SSID

SSID (Simple Secure Identity) er den identiteten eller navnet man oppgir til basestasjonen. Dersom en skjuler SSIDen til basestasjonen (passiv modus), må hver enkelt klient kjenne til SSIDen for å kunne koble seg til. Dette blir en form for aksesskontroll.

SSID var imidlertid ikke tenkt som en sikkerhetsmekanisme. Å skjule den hos basestasjonen hjelper lite når hver eneste klient sender den i klartekst. Ved å bruke en sniffer eller verktøy som Kismet, er det er smal sak å finne skjulte SSIDer.

En del klienter kan dessuten ha problemer med å koble seg til basestasjoner som har en skjult SSID.

Skjult SSID ikke gir noen ekstra sikkerhet i nettet, og vi advarer mot å bruke den som autentiseringsløsning.

1.

2.�.4.

SIKKERHET FOR TRÅDLØSE NETTVERK


48

MAC aksesskontroll

Ved MAC aksesskontroll må en vedlikeholde en liste over MAC-adressene til de klientene som får lov til å bruke trådløsnettet. De klientene som ikke står på denne listen, får ikke koplet (assosiert) seg til basestasjonen.

Heller ikke MAC-adresser er ment å skulle brukes som en sikkerhetsmekanisme, fordi:

Det er forholdsvis enkelt å finne ut hvilke MAC-adresser som er gyldige å bruke, ved å sniffe litt på trådløsnettet.MAC-adresser identifiserer ikke brukeren, men bare maskinen som brukeren benytter (jfr bruk av sertifikater).Det er relativt tungt å administrere listen over MAC-adresser, slik at den er oppdatert enhver tid.MAC adresser kan lett endres hos en klient.

MAC aksesskontroll gir ikke en god sikkerhet.

Webportal for autentisering

Med webportal for autentisering menes den type webportal man møter når man kobler seg på et trådløst nettverk og må gå via en webbrowser for å få tilgang til nettverket. For å få brukt det trådløse nettverket må man logge seg på den webportalen man blir sendt til med brukernavn og passord. Dette er en vanlig løsning, for eksempel på flyplasser, men egner seg ikke for skoler.

Den største fordelen ved webportaler for autentisering er at de er svært enkle å forstå og ta i bruk uten at en trenger en spesiell klient eller konfigurasjonsoppsett. Det eneste brukeren trenger å kjenne til, er hvordan han eller hun kobler seg til trådløsnettet, og at han/hun skal bruke en webbrowser.

Webportalen står som en ruter mellom det nettet som skal sikres, og omverden, og stopper all trafikk unntatt HTTP og DHCP. DHCP-trafikk tillates bare i den grad klienten kan motta en IP-adresse å kommunisere med.

•

•

••

Webportal


49

Ingen kryptering

All HTTP-trafikk blir dirigert til webportalen, som presenterer en innloggingsside for brukeren. Innloggingen er som regel beskyttet med HTTPS og SSL-kryptering. Trådløsnettet er ofte helt åpent og uten noen form for kryptering eller annen beskyttelse. Etter at innloggingen er gjennomført, foregår derfor all videre datakommunikasjon uten kryptering. Webportaler har ingen mulighet til å kryptere datakommunikasjonen.

Etter at brukeren har logget seg på, åpner webportalen for alle de formene for trafikk som administratoren har spesifisert og tillatt.

Usikker autentisering

I utgangspunktet tilbyr de fleste webportaler en gjensidig autentisering. Det skjer ved at brukeren presenteres for et sertifikat (via SSL) som klienten kan verifisere.

Dessverre er det i praksis alt for enkelt for brukeren å omgå et sertifikat som ikke er gyldig. Det kan skyldes at brukeren ikke er oppmerksom nok, ikke forstår rutinen, eller rett og slett trykker feil. Da vil brukeren kunne bli ledet til en vanlig, åpen side, i stedet for til SSL-sikret side. Mangelen på sikre verifiseringsrutiner gjør det ganske enkelt for uvedkommende å utføre et phishing-angrep.

Siden all trafikk går ukryptert, er det også relativt enkelt for uvedkommende å få tilgang til innholdet i nettverkstrafikken. Dermed kan de også avdekke hvilke klienter som er autentisert.

Falske MAC-a�resser

Det er klientens MAC-adresse som utgjør den unike identifikasjonen av den enkelte klienten. MAC-adressen er nøkkelen som bestemmer om trafikken blir filtrert av webportalen, eller ikke.

Dersom noen greier å forfalske sin egen MAC-adresse og gjøre den lik den ekte klienten, har en oppnådd den samme adgangen. Forfalskingen kan foretas idet den ekte klienten går ut fra trådløsnettet uten å følge utloggingsrutinen (dessverre en vanlig praksis). Den kan også skje ved å sette den ekte klienten ute av spill med et trådløst DoS-angrep, som går ut på å sende kontinuerlige ”disassociation”-meldinger til klienten. Disse metodene kalles ”session hi-jacking”.

Noen webportaler sjekker jevnlig om brukeren fremdeles er tilkoblet og med gyldig pålogging, f.eks. gjennom vedlikehold av en cookie. Dette er for å hindre MAC-tyveri og kontoovertakelse. Ideen er for så vidt god, men siden det kan gå flere minutter mellom hver oppfriskning av cookie, kan det være lenge nok til å gjøre stor skade.

Ved å bruke metoden ”man-in-the-middle” kan en hacker stille seg mellom basestasjonen og klienten. Overfor klienten fremstår hackeren som basestasjonen. Overfor basestasjonen fremstår hackeren som klienten. Slik går all trafikk mellom basestasjonen og klienten via hackeren, som dermed utnytter den åpningen i webportalen som brukeren har laget. Hackeren kan fortsette å henge på denne åpningen så lenge brukeren er aktiv. Siden all trafikk nå går via hackeren, kan han dirigere enkelte deler av trafikken til hackerens egne tjenester for phishing-angrep.


�0

Oppsummering: Webportaler for autentisering

Webportaler er svært brukervennlige.Webportaler bruker HTTPS med SSL for pålogging.Klientens pålogging er ikke avhengig av at det blir presentert gyldig sertifikat.Webportalen bruker klientens MAC-adresse som identifisering ved åpning av filter i portalen. I tillegg sjekkes identiteten gjennom cookies for vedlikehold av åpningen.Web-portaler kan ikke gi kryptering av datatrafikken.

Webportaler for autentisering og IP-soner

Webportaler er mye brukt i såkalte IP-soner, som man finner ved flere hoteller, bensinstasjoner og flyplasser. Til det bruket tjener de tilbyderen godt, fordi det garanterer at brukerne betaler før de får adgang til nettverket. Hvem som faktisk bruker den kontoen som er åpnet, er av mindre interesse for tilbyderen – så lenge den er betalt. Sikring av datatrafikken blir dermed opp til brukeren selv gjennom egne sikringsmetoder. Siden IP-sonene ikke er tilknyttet andre sensitive interne nettverk, utgjør ikke bruken en særlig stor trussel.

Webportaler for autentisering egner seg ikke for skoler

En skole må ha helt andre prioriteringer. Den økonomiske godtgjørelsen for bruken er av liten betydning. Desto viktigere er det å sørge for at en kan stole på autentiseringen, og at autentiseringsinformasjonen ikke kommer på avveie. Dessuten er kryptering et viktig tema.

Siden brukernavn og passord ofte går igjen i flere av skolens systemer, kan phishing være en potensiell trussel. Dessuten kan adgang til det trådløse nettverket samtidig gi adgang til andre bakenforliggende interne nettverk.

Webportaler for autentisering er ikke en god løsning for skoler.

WEP-kryptering

Også WEP-kryptering kan betraktes som en form for aksesskontroll. Her må en kjenne til nøkkelen for å kunne knytte seg til nettverket. Nøkkelen assosierer brukeren til basestasjonen og krypterer all datakommunikasjon.

Ved aksesskontroll-delen av WEP er nøkkelen den samme for alle klientene. Det vil si at nøkkelen er en delt hemmelighet, kjent for alle brukerne. For en skole kan det bety et ganske stort antall personer. Dermed er det også risiko for at uvedkommende kan få greie på den.

Det finnes dessuten verktøy, f.eks. AirSnort eller AirCrack, som på basis av grunnlagsdata kan regne seg frem til nøkkelen. Eksempelvis kan man med AirCrack klare å finne frem til en 40-bits nøkkel på ca. 4 minutter, en 104-bits nøkkel på ca. 12 minutter. Tidene er noe optimistiske men ikke uvanlig.

••••

•


�1

WEP kryptering gir bare begrenset beskyttelse, og er ikke tilstrekkelig om dere virkelig vil hindre uvedkommende adgang til nettet.

VPN

En omvendt VPN-konsentrator kan fungere som en fin beskyttelse for brukerne på et trådløst nettverk. Tradisjonell bruk av VPN betyr at en ekstern bruker oppretter en tunnel mellom sin klient og VPN-konsentratoren. Klienten vil dermed fremstå som en del av nettverket, mens all kommunikasjon går gjennom tunnelen.

På et trådløst nettverk defineres alle de trådløse klientene som eksterne. Før en får aksess ut av trådløsnettet, må en autentisere seg ved VPN-konsentratoren, f.eks. ved å benytte RFC1918-adresser (private, ikke-rutede adresser) på trådløsnettet. Etter vellykket autentisering blir det opprettet en tunnel fra VPN-konsentratoren (omvendt av vanlig bruk) og tildelt en adresse fra et rutet nettverk.

De trådløse basestasjonene settes åpne og uten sperrer av noe slag.

De autentiseringsmekanismene som er i bruk hos de fleste VPN-løsningene, er av en type som vurderes som sikker.

Bruk av VPN kan imidlertid medføre problemer dersom noen ønsker å benytte seg av en annen VPN-tjeneste på toppen av den trådløse VPN-tilkoblingen. Spesielt gjestebrukere kan oppleve dette problemet.

I tillegg kreves det at klientene er riktig konfigurert, slik at de ikke er sårbare for hackerangrep på den lokale adressen, eller blir utsatt for ”piggy-back”-angrep gjennom den lokale adressen. I det siste tilfellet bruker noen klientens lokale adresse til å få adgang til VPN-tunnelen.

VPN


�2

VPN kan også kryptere tunnelen mellom klient og konsentrator. Les mer om det i kapittel 13.2: Dataintegritet og konfidensialitet.

VPN kan være en grei løsning for å sikre trådløsnettet.

VPN kan være vanskelig å sette opp, og har noen begrensinger. VPN kan ha manglende støtte hos enkelte klientplattformer.

IEEE 802.1X

IEEE 802.1X er en standard for portbasert aksesskontroll. Siden dette er en forholdsvis ny og viktig standard, forklarer vi denne mer detaljert enn de andre.

Aktører

IEEE 802.1X fungerer på Lag 2 i nettverket. Det betyr at aksesskontrollen gjennomføres før klienten får noen IP-adresse. Ved 802.1X-autentisering foregår kommunikasjonen mellom tre parter. Supplicant er klienten. Authenticator er basestasjonen og Authenticator Server er en RADIUS-server. Tyngden av autentiseringen skjer mellom RADIUS-serveren og klienten, mens basestasjonen bare videreformidler og handler på instruks fra RADIUS-serveren. Det gjør at det ikke kreves så mye prosesseringskraft i basestasjonen.

••

IEEE 802.1X


��

Autentiseringsprosessen

Klienten starter autentiseringsprosessen, eller får den initiert, når basestasjonen oppdager at klienten har koblet seg til. Deretter benyttes EAP til å sende en valgt autentiseringsmetode over til RADIUS-serveren.

EAP støtter en mengde metoder, men trådløse nettverk trenger en metode som støtter gjensidig autentisering. TLS, TTLS og PEAP er slike metoder.

TLS forutsetter at alle brukere har et sertifikat (en full PKI-løsning). TTLS og PEAP benytter brukernavn og passord. Ved alle metodene sender først RADIUS-serveren sin offentlige nøkkel over til klienten. Klienten sjekker så dette mot den offentlige nøkkelen til sin Certificate Authority (CA). Dersom nøkkelen blir avvist, avsluttes autentiseringen. Dersom den blir akseptert, bruker TTLS og PEAP nøkkelen til å opprette en kryptert TLS-tunnel, der brukernavn og passord kan sendes tilbake til RADIUS. Metoden som benyttes for å sende brukernavnet og passordet, er som regel MSCHAPv2.

Kryptert tunnell ved bruk av TLS

MS-CHAPv2Authentication

Server


�4

Ved bruk av sertifikater for brukeren (TLS), sendes brukerens offentlige nøkkel til RADIUS-serveren, som sjekker identiteten på samme måte som klienten har gjort. Dersom alt er i orden, gis basestasjonen beskjed om at trådløs forbindelse kan åpnes for klienten.

TLS

TLS er en IETF-standardisert autentiseringsmetode basert på samme protokoll som sikker webtrafikk via SSL (HTTPS). Her benyttes det sertifikater (PKI) for å autentisere brukere. TLS krever altså et system som gir brukerne et personlig sertifikat, som brukerne og serveren blir autentisert via. Dette regnes som en trygg, men ofte vanskelig løsning, fordi organisasjoner og bedrifter ofte ikke har implementert sertifikater som autentiseringsmetode.

Implementering av et slikt brukersertifikatsystem kan være dyrt og tungvint hvis det ikke har andre funksjoner enn trådløs sikkerhet.

TLS gir imidlertid også mulighet for tildeling av krypteringsnøkler etter autentiseringsfasen, og gir derfor en sikkerhet utover det å autentisere brukerne.

TTLS (Tunnele� TLS) og PEAP (Protecte� EAP)

TTLS er utviklet av FUNK, som også utvikler en RADIUS-server (Steel Belt) og en klient/supplicant (Oddysey). PEAP er utviklet av Cisco, Microsoft, RSA m.fl.

Disse autentiseringsmetodene er i prinsippet like. Begge bygger på TLS-metoden beskrevet ovenfor, men med forbedret sikkerhet og fleksibilitet. Autentiseringen foregår ved at det først bygges en kryptert TLS-tunnel hvor kun serveren autentiserer seg. Inne i denne krypterte TLS-tunnelen åpnes det så for en sekundær autentiseringsfase, hvor brukerne godkjennes. Det innebærer at brukerautentiseringen er beskyttet av den krypterte TLS-tunnelen, og at en derfor kan tillate seg å bruke en del eldre og svakere, men velkjente autentiseringsmetoder. De vanligste indre autentiseringsteknikkene er MSCHAPv.2, MD5, PAP, CHAP, GTC eller TLS.

PEAP brukes stort sett med MSCHAPv2, mens TTLS har større variasjon. Hvilken autentiseringsmekanisme som blir valgt, er mer et spørsmål om hvilken type organisasjonen støtter, enn hva som er best. Passorddatabasene er ikke alltid tilgjengelige eller mulig å omgjøre til det formatet som kreves. PEAP og TTLS gir begge muligheter for å utveksle krypteringsnøkler etter autentiseringsfasen, og sikrer derfor trafikken til brukerne.

Bruk a� RADIUS-ser�er

Det å bruke en RADIUS-server åpner for mange andre muligheter. De fleste RADIUS-serverne har muligheten til å koble til en rekke forskjellige brukerdatabaser. Det kan være tekstfiler, SQL-baser eller LDAP-baser. Flere RADIUS-servere kan også settes sammen til et hierarki. Hierarkiet kan åpne for at brukere som tilhører andre RADIUS-servere, kan logge seg på og få adgang til trådløsnettet via egen RADIUS-server. Siden RADIUS-serverne fungerer som proxy for hverandre, kan gjestebrukeren benytte de samme


��

metodene og innstillingene han eller hun er vant med fra sin egen organisasjon.

Et eksempel på et slikt hierarkisystem er ”eduroam” nettverket. (http://www.eduroam.no/).

De aller fleste basestasjoner har i dag støtte for IEEE 802.1X-autentisering (se kapittel 13.1.6). Også klientene får stadig bedre støtte. Det finnes klienter for Linux, Mac OS X og Windows.

RADIUS-servernes mulighet for utveksling av krypteringsnøkler gjør at man kan kombinere 802.1X med WEP-, TKIP- eller AES-kryptering, hvor nøkler rulleres så ofte at en hacker ikke rekker å knekke dem før de er byttet ut.

13.2 Dataintegritet og konfidensialitetNår autentiseringen er godkjent, må det etableres en god kryptering, slik at ikke andre kan modifisere eller avlytte trafikken. En god kryptering er avhengig av at ingen andre enn de to partene i transaksjonen kjenner til krypteringsnøkkelen.

Det er viktig at krypteringsnøkkelen byttes så ofte at ingen er i stand til å gjette eller analysere seg frem til den ut fra tidligere sendte data.4

Dataintegritet kan være vel så viktig. Det er viktig at datapakker ikke endres underveis, ved overlegg eller ved tilfeldighet. Det er vanlig å sikre dette ved å bruke en form for Message Integrity Check (MIC). Metoden bygger på at en algoritme beregner en nøkkelverdi for innholdet. Også denne nøkkelverdien utgjør en del av det krypterte innholdet. Mottakeren sjekker med en tilsvarende algoritme for å se om nøkkelverdien stemmer.

Egen eller felles kryptering?

I teorien kan det være opp til brukeren selv å kryptere sin trafikk dersom han mener det er nødvendig. En rekke tjenester har krypterte alternativer, eller en kan opprette krypterte tunneler ved hjelp av SSH, VPN e.l. Dette kan imidlertid være en risikabel løsning. Ikke alle brukere er oppmerksomme, kyndige eller etterrettelige nok til at de bruker kryptering der det er behov for det. Derfor er det ofte best å ivareta krypteringen på vegne av brukeren.

WEP

Wired Equivalent Privacy er en kryptering som virker mellom klienten og basestasjonen. WEP baseres på et system med en nøkkel som er kjent for alle som skal bruke det trådløse nettverket. Nøkkelen kan være på enten 40 eller 104 bit. I tillegg kommer det en initialiseringsvektor (IV) på 24 bit. Derfor omtales ofte nøkkelen som 64 eller 128 bit. Alle som er en del av nettverket, kan dermed lytte til trafikken til de andre brukere like lett som om det var i klartekst. Krypteringsalgoritmen som brukes i WEP, er RC4. Nøkkelen brukes sammen med en InitialiseringsVektor (IV) for å lage en bitstrøm, som så kjøres med XOR

4 Alternativt må den være stor nok til at det tar lang tid til å knekke den, men ulempen med en stor nøkkel er det går med mye Alternativt må den være stor nok til at det tar lang tid til å knekke den, men ulempen med en stor nøkkel er det går med mye ressurser under krypteringen.


�6

mot dataene. Resultatet er en kryptert datapakke. Mottakeren genererer den samme bitstrømmen med nøkkelen, IVen (som sendes med i klartekst mot RC4) og kjører XOR mot den krypterte datapakken for å få ut den opprinnelige datapakken.

MIC er ivaretatt ved hjelp av en Cyclic Redundancy Code (CRC) som kjøres på datainnholdet. Det er mulig å endre innholdet uten å endre verdien på CRC.

Det er flere og godt dokumenterte svakheter ved denne løsningen, og der det er svakheter, kommer det også raskt verktøy som utnytter svakhetene. Verktøy som AirSnort er i stand til å finne frem til WEP-nøkkelen som er i bruk, ved å samle på nok pakker som inneholder såkalte svake IV. Hvor lang tid det tar, avhenger av trafikkmengden på nettet og fordelingen av flaks og uflaks, men vanligvis tar det minimum en uke. Med flere bit i nøkkelen tar bare litt lengre tid.

WEP går for å være en usikker løsning. Dels på grunn av svakhetene med krypteringsrutinen, og dels fordi en må dele krypteringsnøkkelen med alle involverte slik at alle som har nøkkelen, kan sniffe trafikken.

VPN

IPSec er blant de mest brukte krypteringsteknikkene i forbindelse med VPN-tunneler.

En fordel med VPN-løsningen er at krypteringen termineres først i VPN-konsentratoren. Krypteringen slutter med andre ord ikke i basestasjonen.

En ulempe med krypteringen til VPN er at hver eneste klient terminerer sin kryptering i VPN-konsentratoren, og at denne da må kunne skaleres til å støtte krypteringskanaler mot samtlige trådløse klienter. Dette er tungt arbeid som krever solid hardware i konsentratoren.

IEEE 802.1X

Bruken av IEEE 802.1X gjør det mulig å distribuere nøkler til klientene på en sikker måte. Ulike krypteringsteknikker kan utnytte dette til å gi en kryptering hvor nøkkelen blir byttet i god tid før noen rekker å analysere seg frem til den.

Krypteringen skjer mellom basestasjonen og klienten, slik at kommunikasjon etter basestasjonen foregår i klartekst.


�7

WEP brukt i 802.1X

Dersom brukeren får nøkkelen tildelt gjennom 802.1X, kjenner han i utgangspunktet ikke selv til nøkkelen, men det gjør selvsagt klienten. Nøkkelen blir byttet regelmessig uten at brukeren er involvert i prosessen, og det er så kort tid mellom hvert bytte at han ikke får nok materiale til å kunne analysere seg frem til nøkkelen.

Metoden er betraktelig bedre enn å bruke WEP på tradisjonelt vis (se 13.2.1), og er ansett som ganske sikker.

En fordel med metoden er at den ofte fungerer på klienter som ikke støtter bedre kryptering.

TKIP

Temporal Key Integrity Protocol er en avart av WEP, men uten svakhetene omtalt ovenfor. Den bruker RC4 og gjør XOR som WEP, men krever en 128 bits nøkkel. Dette gjør den i stand til å bruke rutinene i eksisterende WEP-utstyr, slik at krypteringen kan gjøres i hardware. Imidlertid må programvaren modifiseres til å støtte TKIP-metoden å kryptere på.

Krypteringsnøkkelen deles ut gjennom 802.1X-systemet, men TKIP-metoden gjør at hver bruker får en unik kryptering av hver eneste datapakke. Dermed er man sikret at ingen andre vil kunne ha samme nøkkel og med det kunne lese datapakken.

TKIP er ikke å anse som fullstendig sikker, men som så sikker at det holder for de aller fleste formål.

Bakgrunn for TKIP

I arbeidet med IEEE 802.11i-standarden ble det jobbet med å finne løsninger for sikker bruk av trådløse nettverk. Det var underveis i dette arbeidet at kom de frem til TKIP. Wi-Fi Alliance adopterte arbeidet, og etablerte begrepet Wi-Fi Protected Access (WPA). WPA er i praksis bruken av IEEE 802.1X i kombinasjon med TKIP kryptering. Dersom man har WPA-kapabelt utstyr, har utstyret altså denne krypteringsmuligheten.WPA benytter også en betydelig forbedret MIC, som har fått navnet ”Michael”.

AES

Advanced Encryption Standard er også kjent som Rijndael. Den ble utviklet av to belgiere og publisert for første gang i 1998. Den har gjennomgått en fem år lang standardiseringsprosess, er nå på full fart inn i markedet, og er ventet å ta over for den kjente Data Encryption Standard (DES). AES er relativt rask å kjøre


�8

både i software og i hardware, og bruker nøkler på 128, 192 eller 256 bits størrelse.

AES blir sett på som noe av det sikreste vi kan få av kryptering i dag.

I IEEE 802.11i-standarden er bruken av AES-kryptering i kombinasjon med IEEE 802.1X-autentisering, definert. Dette reflekteres også av Wi-Fi Alliance, som krever støtte for de obligatoriske delene av IEEE 802.11i for å sertifisere et produkt til WPA2.

Stadig flere basestasjoner og klienter får støtte for AES-kryptering. For å kunne utføre krypteringen uten at det går ut over dataraten til kommunikasjonen, kreves det imidlertid en god prosessor eller hardware. Dette gjør seg særlig gjeldende på trådløse nettverk med høy datarate.

1�.� Tjenestetilgjengelighet og klient�aksinering

Sikring a� tjenestetilgang

Tjenestetilgjengelighet dreier seg om å holde tjenesten og infrastrukturen operativ og tilgjengelig for brukerne.

En hacker, virus eller trojanske hester kan gjøre hærverk ved å angripe noen av komponentene i infrastrukturen slik at tjenesten blir utilgjengelig for brukerne (Denial of Service – DoS). Ved visse former for DoS-angrep kan man ikke gjøre stort annet enn å konstatere at de er der, og prøve å spore kilden i håp om å slippe liknende tilfeller i fremtiden. Det er likevel mulig å gjøre noen tiltak for å minimere risikoen – blant annet å gjøre infrastrukturen så robust som mulig ved ikke gjøre tilgjengelig mer enn strengt tatt nødvendig.

Anbefalte tiltak for å unngå DoS-angrep

Unngå å la de trådløse klientene kommunisere med hverandre, dersom det ikke er nødvendig, (Public Secure Packet Forwarding).Legg basestasjonens administrasjonsadresse til et eget administrasjonsnett med sterkt begrenset adgang.Filtrer uønskede porter som er kjent for å skape problemer, f.eks. NetBIOS.Filtrer adgangen til servere og andre nett. Gi kun den adgangen som er nødvendig for å yte tjenestene.Gi alt utstyr andre passord enn det leverandøren bruker som standard, og bytt regelmessig. Bruk andre navn enn ”public” og ”private” som community strings på SNMP-kapable enheter.Benytt kryptert kommunikasjon (HTTPS, SSH osv.) i forbindelse med konfigurasjon av enheter.Sjekk servere regelmessig mot root-kit, virus o.l., og kjør programmer som kan detektere konfigurasjonsendringer.

•

•

•••

••


�9

Vit hvor alt utstyr er, og sjekk jevnlig om det er tilgjengelig (f.eks. med ping). Gjør undersøkelser dersom dere opplever uvanlige og midlertidige utfall.Søk jevnlig etter uautoriserte basestasjoner.Logg kommunikasjon mot enheter som brukere normalt ikke skal ha tilgang til. Flagg hendelser som er utenom det normale, f.eks. gjentatte påloggingsforsøk mot en enhet/server.

Klient�aksinering

Klientvaksinering går ut på å sikre at klientene som kobler seg til nettverket, har på plass de siste sikkerhetspatchene til systemet sitt, og at de ikke har virus eller trojanere som kan infisere andre maskiner i nettverket.

Bærbart gir min�re kontroll

Med bærbare datamaskiner har en mistet kontrollen med tilstanden til maskinens programvare. Maskinene flyttes mellom ulike nettverk, og er gjenstand for ulike former for angrep som utnytter de mange svakhetene som finnes i operativsystem og programvare. Når maskinen så dukker opp på skolens nettverk, tar den med seg infeksjonen, og utsetter de andre maskinene på lokalnettene for de samme angrepene. PC-er på en lab har en viss kontroll over, og på disse kan en kan kjøre jevnlige oppdateringer og sikkerhetsjekker. For de bærbare kan skaden skje allerede idet maskinen får en IP-adresse på lokalnettet.

Policy-basert innlogging

På denne bakgrunnen er det ønskelig å lage retningslinjer for krav til maskiner som skal få tilgang til nettet, og rutiner for å sjekke at maskinen er i henhold til de retningslinjene som er satt. Dette har vært et hovedtema de siste årene, og kommer til å være en av de største utfordringene for de mobilitetsvennlige nettene i årene fremover.

Siden vi ikke har kontroll over maskinen, må vi innføre kontroll idet maskinen og brukeren prøver å logge seg på. Dette er kalt policy-basert innlogging. Det finnes flere nyanser av policy-basert innlogging, blant annet gir Windows mulighet for dette i deres domeneinnlogging.

•

••


60

13.4 Anbefalte sikkerhetsløsningerVi har gruppert anbefalingene for sikkerhetsløsninger i to klasser, avhengig av de behovene dere har :

Dersom dere ønsker at brukerne av trådløsnettet skal ha tilgang til samme tjenester og data som brukerne av det trådbundne nettet har, krever dette en høy grad av sikkerhet. Dersom brukerne av trådløsnettet kun skal ha tilgang til Internett, kan dere tillate dere en lavere grad av sikkerhet.

Høy sikkerhet, full tilgang

IEEE 802.1X i kombinasjon med TLS, TTLS og/eller PEAP og med minimum TKIP-kryptering gir optimal sikkerhet ved autentisering og kryptering av kommunikasjonen. I praksis betyr dette et WPA-kompatibelt nettverk. For de basestasjonene som støtter det, anbefaler vi at dere også tilbyr AES-kryptering til de klientene som støtter dette.

IEEE 802.1X/TKIP-løsningen er noe av det beste og mest dynamiske som finnes i dag. Siden løsningen allerede er støttet i svært mange produkter, trenger dere ingen ekstra fordyrende komponenter.

I tillegg til basestasjonene og klientene trenger dere en RADIUS-server, som svært mange allerede har. Hvis ikke, kan dere bruke en helt gratis Open Source-server som f.eks. FreeRADIUS, som enkelt kan kjøres på en eldre maskin. RADIUS gir dere også mulighet til å benytte en eksisterende brukerdatabase for brukernavn og passord.

La� sikkerhet, kun Internett-tilgang

Dersom det trådløse nettet bare skal brukes til Internett, er det først og fremst hvem dere vil gi tilgang, som avgjør hvilken sikkerhet dere må sette opp. Dersom hvem som helst skal kunne få Internett-tilgang (slik mange kommuner tilbyr i kommunehus og biblioteker), trenger dere ingen sikkerhet på det trådløse nettet (men dere bør selvfølgelig skille ut trafikken til Internett på et eget VLAN).

Dersom dere ønsker å begrense antall brukere, gjør dere dette enklest ved å benytte en skjult SSID, eller bruke WEP


61

Når det trådløse nettverket er på plass og operativt, skal nettet administreres. God administrasjon er viktig både for at alt skal fungere, og for å ivareta sikkerheten.

Kjenn �itt eget nett�erk

For å kunne vite når noe er galt, må dere også vite hvordan nettverket fungerer når det er i orden. Da må dere kjenne til:

Den fysiske lokasjonen av alle basestasjoner og kabelføringerIP-adresser og MAC-adreser til alle basestasjonerNødvendige community strings, passord o.l.Kjørende versjon av firmwareSSIDer, sikkerhetskoder og VLANHvilke radiokanaler som er i bruk og i det øvrige radiomiljøet (konkurrenter)

Akti� o�er�åkning/monitoring

Dere bør jevnlig sjekke:at basestasjonene er virksomme og er den enheten den skal væreat konfigurasjonen i basestasjonen ikke er manipulertpirat/nye/konkurrerende basestasjoner i radiomiljøetbruksmønster og belastning hos hver basestasjon

Bruk gjerne SNMP til å loggføre bridgetabellene til basestasjonene. Da vet dere hvilke klienter som har vært hvor til hvilken tid (ifølge MAC adresse). SNMP kan i noen produkter brukes til å sende Traps når klienter assosierer, disassosierer, roamer osv. Dette gir en mer presis loggføring med hensyn til bridgetabeller.

Go� brukera�ministrasjon

God og effektiv administrasjon av brukerne er viktig for å spare arbeidsmengde, og for å bedre sikkerheten.Bruker dere 802.1X som autentisering, kan dere knytte aksessen til trådløsnettet sammen med brukerens eksisterende identitet i andre systemer, som f.eks. en eksisterende RADIUS. LDAP-oppslag. Her kan dere ha brukernavn/passord eller sertifikater. FEIDE er et slikt system en kan hente brukerdataene fra.

••••••

••••

ANBEFALTE TILTAK FOR GOD ADMINISTRASjON


62

14.1 Slik kan �ere optimalisere �et trå�løse nettetDenne anbefalingen gir ingen detaljert beskrivelse av hvordan dere kan optimalisere nettet. Her er likevel noen tips dere kan vurdere:

Gjør først og fremst en grundig planlegging med hensyn til valg av kanaler, se kapittel 9.Når basestasjonene er satt i drift, kan det bli nødvendig å gjøre justeringer på basestasjonens sendestyrke/-effekt. Vurder om dere vil være tjent med å stenge for bruk av lave hastigheter, siden dette tar uforholdsmessig mye ressurser fra basestasjonen, se kapittel 10.4. I praksis vil dette bety å utestenge brukere som har gammelt utstyr.Vurder om dere bør gjøre justeringer (utsetting av flere baser) på bakgrunn av bruksmønster og belastning.

••

•


6�

Det er mange skoler som ønsker å ta i bruk trådløse interne nett. Her beskriver vi de mest vanlige løsningene i skolesammenheng, og gir forslag til løsninger.

Vi har valgt å beskrive følgende løsninger:

Alle lærerne har bærbarKlassesett med bærbareAlle lærere og alle elever har bærbar

1�.1 Alle lærerne har bærbar

For klasseromsun�er�isning:

Når læreren er i klasserommet med sin bærbare, bør han/hun kunne koble PC-en til et fast tilkoblingspunkt. Dersom dere skal legge opp til trådløst nettverk til én person i hvert klasserom, kan dere risikere å måtte sette opp en trådløs basestasjon i hvert klasserom. Det er en jobb dere vil få relativt lite igjen for.

Dersom læreren skal bevege seg rundt omkring i klasserommet med PC-en, vil det være lite hensiktsmessig å ha en kabel plugget inn i den. Slik aktivitet krever trådløst nett. Dette kan løses på to måter – enten ved å ha en fast basestasjon som er montert fast i veggen, eller ved å ha en bærbar basestasjon som læreren kan koble til et fast tilkoblingspunkt i veggen ved behov. En bærbar basestasjon kan deles mellom lærerne, ved at de kun benytter og kobler den opp ved behov.

Når mange lærere er samlet:

På lærerrom og arbeidsrom vil vanligvis flere lærere være samlet og bruke sine bærbare PC-er samtidig. Her vil det være gunstig å ha trådløst nett som kan brukes til ”vanlig bruk” av Internett (vanlig bruk vil si bruk av e-post og surfing, men ikke aktiviteter som krever høy båndbredde).

I tillegg bør dere ha tilstrekkelig med faste punkter. I praksis betyr dette ett punkt ved hver arbeidsplass. Lærerne er avhengig av å være tilkoblet et fast punkt dersom han/hun driver med forberedelser til undervisning som innebærer videostrømmer og andre kapasitetskrevende dataoverføringer. I tillegg er fast punkt aktuelt ved programvareoppdateringer som krever overføring av større datamengder.

1�.2 Klassesett me� bærbareI dette tilfellet er det viktig å definere hva som menes med et klassesett, altså hvor mange bærbare PC-er som inngår i klassesettet. Dersom et klassesett inneholder 20 PC-er, vil det gå greit med én basestasjon til normal bruk. Med 30 PC-er vil dere nærme dere grensen for hva en basestasjon kan håndtere, selv ved normal bruk.

Dersom elevene skal overføre videostrømmer av god kvalitet, der hver PC mottar store datamengder, er ikke et vanlig trådløst nett med én basestasjon tilstrekkelig.

1.2.3.

TIPS TIL ALTERNATIVE LØSNINGER I SKOLEN


64

Til klassesett med bærbare PC-er er det mest hensiktsmessig med trådløst nett, siden det fort blir mye rot med mange kabler. Skal dere oppnå høy overføringskapasitet til mange bærbare PC-er over det trådløse nettet, må det løses ved å sette opp flere basestasjoner. Mange basestasjoner i samme rom, betyr imidlertid at dere må være spesielt oppmerksomme på mulige forstyrrelser mellom basestasjoner, og overlapp av kanaler (se kapittel 6.10).

En mulig løsning kan være å sette opp én basestasjon i hvert hjørne av klasserommet (til sammen 3-4 stk). IAPP sørger for at dere får en jevn fordeling av PC-er på den enkelte basestasjonen. Dermed vil hver PC få tildelt større kapasitet, samtidig som dere unngår problemer selv om basestasjonene til en viss grad overlapper hverandre.

1�.� Alle lærere og alle ele�er har bærbare

Vur�er beho�et

Dersom alle på skolen skal bruke bærbare PC-er, må dere vurdere hvordan nettet skal brukes før dere avgjør hvordan nettet legges opp. Det er store begrensninger på kapasiteten på det trådløse nettet. Det innebærer at det er avgjørende om nettet skal brukes til høykapasitetskrevende aktivitet (som videostreaming), eller mindre kapasitetskrevende aktivitet (som e-post og nettsurfing). I undervisningssituasjonen og ved bruk av Internett i forbindelse med skoleoppgaver, vil sannsynligvis


6�

overføring av video vil være en vesentlig aktivitet. Derfor må dere skalere nettverket med tanke på slik bruk.Dersom dere skal overføre en videostrøm over en trådløs forbindelse, vil dere kunne koble til høyst 5-6 PC-er til en basestasjon.5 Er dere 30 elever i samme klasserom, betyr det at kun 20 % av elevene kan være koblet til det trådløse nettverket, mens 80 % må være koblet til nettet med en fast forbindelse. Løsningen vi presenterte over, med basestasjoner i hvert hjørne av klasserommet, kan by på problemer i og med at kravet om høy kapasitet tilsier mange basestasjoner. Dermed kan dere få problemer med overlappende kanaler.

Andelen av trådløse og faste forbindelser avhenger av to faktorer:

Hva slags bruk legger dere opp til?Hvor mange basestasjoner kan presses inn på samme område (klasserom) uten at det oppstår konflikter?

I de skoleområdene hvor det ikke er behov for å bruke PC-ene til kapasitetskrevende oppgaver (som i kantine og vrimleareal) vil det være nok å legge opp til kun trådløs dekning.

I undervisningsarealene må dere definere hva slags bruk dere forventer, og planlegge nettet etter dette.

1�.4 Kostna�erTrådløst utstyr blir stadig billigere. Siden prisene raskt blir utdatert, inneholder denne anbefalingen ingen priser. På UNINETT ABC sine hjemmesider finner du et eget vedlegg med noen priseksempler.

� Dette baserer seg på en bitstrøm på ca 2 Mbit/s pr PC og bruk a� 802.11a/g. Dette baserer seg på en bitstrøm på ca 2 Mbit/s pr PC og bruk a� 802.11a/g.

••


66

Du finner mer informasjon om driftsmodeller og IT-infrastruktur i skolebygninger i følgende rapporter :

Kostnadseffektive IKT-løsninger for skolene. Rapport fra en nasjonal prosjektgruppe, 2002.KASI - Kvalitetssikring Av Skolers Internettilknytning. KUF, 1996.Intern infrastruktur i skolebygninger. UNINETT, ABC 2004Eksempelhefte om Lesja skule, UNINETT ABC, 2006

••••

HVIS DU VIL VITE MER OM IKT I SKOLEByGNINGER


67

A��ance� Encryption Stan�ar� (AES), en metode for kryptering.

Aksess Punkt (AP), en basestasjon som tilbyr tilgang til et trådløsnett.

Bluetooth. Kortholds kommunikasjonsstandard mellom små, bærbare enheter. Den kan også brukes som nettverkskort. Bluetooth v1.1 og v1.2 oppnår hastigheter på 723.1 kbit/s, mens Bluetooth v2.0 oppnår 2.1 Mbit/s.

�BDecibel (�B), en måleenhet, og i denne sammenheng , relativ styrke påradiosignalet.

�Bi er en forkortelse for decibel med referanse til den utstrålte effekten til sammenlikning med en isotropisk antenne.

�Bm står for decibel med referanse til en milliwatt (1 mW = 0 dBm), og blir brukt i forbindelse med effekt i radio.

Dynamic Frequency Select (DFS) innebærer at utstyret selv prøver ikke å forårsake støy ved å kartlegge hvilke frekvenser i den aktuelle kanalen allerede er i bruk, før den selv tar dem i bruk.

Direct Sequence Sprea� Spectrum (DSSS), en overførings (transmission) teknologi som sprer de data som sendes, i henhold til et fastsatt fordelingsforhold. Dette gir bedre feiltoleranse og en kapasitet på 1 eller 2 Mbit/s. Se også FSSS.

Extensible Authentication Protocol (EAP), er utvidelse av PPP og er en generell protokoll for autentisering som støtter flere ulike metoder for autentisering. Den er definert i RFC 2284.

Emitte� Isotropic Ra�iate� Power (EIRP), er den utstrålte effekten fra antennen.

Frequency Hopping Sprea� Spectrum (FSSS), en overførings (transmission) teknologi der man ”hopper” mellom ulike frekvenser, men på en forutsigbar måte. Dette gir god toleranse mot støy og en kapasitet på 1 eller 2 Mbit/s. Se også DSSS.

Institute of Electical an� Electronics Engineers, Inc (IEEE), er en organisasjon med opphav fra USA, men med medlemmer fra 150 land. Det er en non-profit organisasjon som driver med standardiseringsarbeid (http://www.ieee.org/).

Hyper Text Transfer Protocol Secure (HTTPS), er en protokoll for krypetering av HTTP (web) trafikk, som benytter SSL.

Internet Engineering Task Force (IETF), organisasjon som driver med standardisering.

FORKORTELSER


68

IAPP 802.11-stan�ar�en spesifiserer opprinnelig ikke mobilitet eller roaming fra et aksesspunkt (AP) til et annet. 802.11f spesifiserer en protokoll mellom APer. Den håndterer registrering av APer innen et nettverk, og utveksling av informasjon når en bruker flytter seg innen dekningsområdet, men knytter seg til basestasjoner fra ulike leverandører.

Light Directory Access Protocol (LDAP) er et sett av protokoller som brukes til å hente informasjon fra katalogtjenere (databaser).

Light Weight Access Point Protocol (LWAPP), som gir mulighet for bl.a. sentral administrasjon og kontroll av basestasjoner.

MAC-i�, den unike identiteten til nettverkskortet. Alle nettverkskort som støtter en av 802standardene, har denne fysiske adressen. Den er på formen 00-05-3C-06-E6-9E. Det er IEEE som deler ut disse adressene til produsenter av nettverksutstyr.

Message Integrity Check (MIC) er en metode som brukes for å sikre dataintegritet (at data ikke er blitt forandret under overføring mellom to punkt).

Orthogonal Frequency Di�ision Multiplexing (OFDM), er en moduleringsteknikk for å sende store datamengder over en radiobølge. Den fungerer ved å splitte radiosignalet opp i flere små delsignal, som så blir sendt samtidig på flere frekvenser til mottakeren. Dette reduserer støyen (crosstalk).

Protecte� EAP (PEAP), støtter gjensidig autentisering. Den gjør bruk av brukernavn og passord. Autentisering skjer ved bruk av sertifikater på serversiden ved å opprette en SSL/TLS mellom klient (PC) og autentiseringstjener. Tunnelen beskytter den videre autentiseringsutvekslingen.

Public Key Infrastructure (PKI), er en infrastruktur for bruk av sertifikater. Her kan du finne mer informasjon: http://www.handel.no/pkiforum/modules/module_109/publisher_view_product.asp?iEntityId=961http://odin.dep.no/mod/norsk/tema/ITpolitikk/p30007088/050001-990115/dok-bn.html

Power o�er Ethernet (PoE), er en metode for å sende strøm over Ethernet til basestasjoner.

Point-to-Point Protocol (PPP), som er en protokoll for å kople en datamaskin til et nett.

RADIUS, En protokoll/tjeneste som bl.a. kan tilby eller formidle autentisering.

Simple Network Management Protocol (SNMP), for overvåkning og styring av nettverkskomponenter.

Ser�ice Set IDentity (SSID), er den identitet/navn man gir ens trådløse nettverk.

Secure Socket Layer (SSL), er en protokoll for kryptering av datatrafikk.


69

Temporal Key Integrity Protocol (TKIP), er en forbedring av WEP.

TLSTunnele� Layer Security (TLS), protokoll som støtter gjensidig autentisering. TLS forutsetter at alle brukere har et sertifikat (en full PKI-løsning)

Transmit Power Control (TPC), justerer effekten slik at den ikke overstiger det man trenger for ha en tilfredsstillende kommunikasjon, dvs. at den ikke sender ut kraftigere signal enn nødvendig.

Tunnele� TLS (TTLS), er en metode som støtter gjensidig autentisering, og krever kun sertifikat på serversiden. Den gjør bruk av brukernavn og passord i tillegg til sertifikat.

Virtual Pri�ate Network (VPN), er en metode for å skape sitt eget sikre nettverk for datakommunikasjon over et eksisterende nettverk som man ikke regner som sikkert.

Wireless Encryption Protocol (WEP), er en protokoll for kryptering av trådløs datatrafikk.

Wi-Fi Protecte� Access (WPA), er en Wi-Fi sertifisert metode for autentisering og kryptering. (Se 802.11i).


70

UNINETT ABC ASNO-746� Tron�heim

Telefon: 7� �� 79 00Faks: 7� �� 79 01Besøksa�resse: Abels gate � Teknobyen Tron�heimE-post: [email protected]

www.uninettabc.no

Design: Tor Gjer�e og Grete DunaFigurer: Tor Gjer�eLayout og foto: Kjell Are Refs�ikTrykk: ?Opplag: �00

06/2006

vedlegg pa 7 anbefaling tradløst innendørs 200909

Documents