WLAN och IP-telefoni– hur funkar det? Håkan Lindberg hakan.lindberg@b3it.se

Agenda Två frågor WLAN grunder Säkerhet i WLAN IP-telefoni Standarder, association Fria frekvenser Räckvidd Säkerhet i WLAN IP-telefoni VoWLAN ”Voice over WLAN” Två frågor Kommer VoWLAN störa eventuell befintlig trafik (data)? Kommer VoWLAN att fungera (oavsett befintligt nät med data)? © B3IT Management AB

Trådlösa tekniker är här för att stanna WLAN är EN teknik som används hemma, publikt och på större företag. Stor mängd plattformar (operativsystem och olika typer av utrustning) Intel Centrino: Priset för WLAN-kretsar fortsätter ner Byggs in i mobiler, spelkonsoler, projektorer etc Över 90 % av alla bärbara datorer som säljs idag har WLAN Inte bara WLAN utan även GPRS och 3G kan vara vanebildande! © B3IT Management AB

WLAN grunder

Arbetsgrupper inom IEEE 802 802.11 = WLAN 11a och 11b kom tidigt 54 respektive 11 Mbit/s 11a använder annan frekvens 5 GHz 11f och kommande 11r förbättrad roaming 11r för just QoS och IP-telefoni 11g Mer Mbit i 2,4 GHz-bandet. Fastslogs 2003 11i Förbättrad säkerhet, WPA och TKIP 11n Över100 Mbit/s. Fastslogs 2003 i princip. Fortfarande draft 2008 © B3IT Management AB

Inställningar SSID och nätverkstyp

Reassociation (Roaming)

Flera APs Klienten kan hitta flera stycken med olika styrka (SNR)

Skäl till reasssociation Signalstyrka är det vanligaste skälet Upp till tillverkaren (specas inte i IEEE 802.11) Klient letar genom kanaler efter känt SSID Hur ofta? Ibland ställbart Ser inte om kanalen är upptagen innan den börjar skicka data

”Seamless roaming” Distributionssystemet kan vara ett LAN eller en s.k. WLAN switch

WLAN switchar Enklare AP:s Central administration i en enhet Ofta förbättringar Varje AP väljer kanal t ex ”least congested frequency” Slipper gå över ett LAN för att hantera data vid reassociation Central säkerhetspolicy Och kan ibland vara mycket elaka för att skydda ett campus Kan ibland göra täckningskartor WLAN switch AP AP

Samtal prioriteras via eget SSID och 802.1p/diffserv Nortels lösning IP-växel (Communication Server 1000) Telephony Manager2245 Security Switch Samtal prioriteras via eget SSID och 802.1p/diffserv 2245 har stöd för eget protokoll SVP (Spectralink Voice Priority)

Design Kanalval

Kanalval 2,4 GHz-bandet 25 MHz kanalseparation behövs 3 st får plats på bandet 2,4 – 2.485 Men med accespunkter långt från varandra kan man ofta trycka i 4- 5 kalaner

5 GHz-bandet (används av 11a) Huvudsakligen anpassat för USA Fler överlappande kanaler 4 – 8 stycken Kortare räckvidd (pga högre frekvens) Huvudsakligen inomhus Utomhus om man sänder i rätt band + Frekvensen inte lika hårt nyttjad

PTS författningssamling PTSFS 2007:4 Frekvensband 5,15 – 5,35 GHz 200 mW Inomhus Frekvensband 5,47 – 5,725 GHz Max 1 W Enligt PTS: krav på automatiskt kanalval och effektsänkning i delar av dessa band (högre frekvenser)

Räckvidder 11a kortare 11b, g Ju lägre hastighet desto längre räckvidd Kan alltså trimmas Tar sig genom tunna väggar (gips och trä) men annars ungefär som indirekt och starkt ljus (dvs den kan ta sig runt hörn och trånga passager)

WLAN bygger på en variant av CSMA Carrier Sense / Multiple Access Samma som i Ethernet Om någon annan redan använder kanalen så väntar man till det inte är upptaget Man konkurrerar om utnyttjandet Lyssna först, sänd om ledigt

Säkerhet © B3IT Management AB

WEP Krypteringsteknik i WLAN Wired Equivalent Privacy Inte mer än så… Länknivå krypterar överliggande nivåer: IP, TCP, applikationsdata etc. Från 1999: exportrestriktioner gjorde att man använde 40-bitas nyckel Sedan om tillägg om 104/128 bitar m.m. Självsynkande och lätt att använda WEP säger inget om hur nyckeln ska distribueras Har visat sig ha många säkerhetsbrister © B3IT Management AB

Autentiseringsproblemet Vad är det vi pratar med i andra änden? Vad är det vi autentiserar? Hårdvara Jämför även med WEP där nyckeln lagras i enheten SIM-kort i mobilen Programmet Användaren Lösenord eller digitala certifikat (PKI struktur krävs) © B3IT Management AB

WPA ett alternativ till WEP Wi-Fi protected Access, drivs Wi-Fi Alliance Förbättrad kryptering via TKIP, Temporal Key Integrity Protocol nyckelrotation Integritetsfunktionen bättre via MIC, Message Integrity Code längre nyckel samt autentisering via 802.1x och EAP WEP-2 även kryptot AES © B3IT Management AB

Drivet av IEEE. Har tagit tid därför kom WPA. 802.11i innehåller även AES, ny kryptering i stället för RC4. Ej kompatibel - ny hårdvara eller mikrokod metoder för snabb hand-off och de-autentisering © B3IT Management AB

802.1x Standardiserad och centraliserad plattform Baserad på EAP (Extensible Authentication Protocol) En RFC för LAN Föreslaget av Cisco, Microsoft m.fl. till IEEE Baseras på RADIUS Stöd hos flera tillverkare © B3IT Management AB

802.1x Före autentisering kan den mobila stationen bara skickas data via accesspunkten till RADIUS-servern Efter autentisering öppnar accesspunkten för all slags trafik till och från den autentiserade användaren Autentisering kan ske på flera sätt shared secret (lösenord) certifikat många varianter: LEAP, PEAP, EAP-TLS m.fl. © B3IT Management AB

WEP WPA Autentisering Låg säkerhet men bättre än inget Klart starkare TKIP eller AES? Autentisering MAC-adresser Går ofta att klona på WLAN-klienter Certifikat (man kan diskutera nyttan på 1-användar-enheter) Man använder TKIP (WPA) på ”Rörlig Inomhus” kombinerat med delat lösenord. Kan vara ett problem, WEP har visat sig fungera snabbare (men då har man istället ett säkerhetsproblem)

VoWLAN © B3IT Management AB

VoWLAN är inte helt enkelt Om du har ett WLAN hemma. Testa att köra Skype eller Counterpath X-lite över det. Bägge programmen är gratis Även om du bara har en AP hemma finns risk att det inte låter bra.Varför?

WLAN gjorda för att dölja dåliga radioförhållanden Kan tappa över 20 % av paketen utan att TCP och sessionen ser det. Använder omsändningar på WLAN-nivå och i vissa fall även RTS/CTS /speciellt när man blandar 11b och 11g). Men IP-tel får det svårt. RTS Paket nr 123 ACK nr 123 CTS Paket nr 123 Paket nr 123 ACK nr 123

I alla radiosammanhang är hörn svårt Drastisk ändring av radioförhållanden I WLAN får klienten leta och autentisera sig i förväg Men det kan ändå vara svårt. Den AP man associerar till kanske är hårt belastad? BS

Trivs bäst i öppna landskap …

Bygga fler APs BS BS BS BS BS BS Ger bättre täckning men gör det också komplexare för klienten, mer att välja på.

CODEC i IP-telefoni Olika bandbreddskrav G.711 G.729 m.fl. Moderna CODEC:ar kan hantera tappade paket genom att variera fördröjningen Avancerad interleaving Några kan också byta CODEC-typ efter förbindelsens kvalitet

Utmaningar för VoWLAN Flera av dessa har använts av TDC/Nortel. Även om 2,4 GHz-bandet har fler störningar så har det ofta bättre räckvidd.Testa 11b-läge. Kör inte mixat 11b och 11g. Testa ev. att låsa på enklare (och därför långsammare) modulering. Fler accesspunkter? Bättre täckning men komplexare val för klienten Kan man låsa klienterna så de letar igenom färre kanaler? Trimma hur samplingar paketeras (antal ms). Mindre paket ger att mindre datamängd förloras vid paketförluster. Alternativt ställa in fragmentering Enklare (och sämre säkerhet) under en period? Använda WEP och inte WPA-2?

Mycket är på gång från inom WLAN och VoWLAN 802.11r, Fast Basic Service Set Transition Dessutom gör tillverkarna egna förbättringar

Favorit i repris… WLAN är EN teknik som används hemma, publikt och på större företag. Stor mängd plattformar (operativsystem och olika typer av utrustning) Intel Centrino: Priset för WLAN-kretsar fortsätter ner Byggs in i mobiler, spelkonsoler, projektorer etc Över 90 % av alla bärbara datorer som säljs idag har WLAN Inte bara WLAN utan även GPRS och 3G kan vara vanebildande! © B3IT Management AB