XIRRUS WIFI NETWORK INFO JUNE 2014
AGENDA Wat moet je weten om een goed Wifi netwerk te implementeren Wi-Fi Basisbeginselen RF Propagation De RF Link 802.11a/b/g/n/ac Kanalen / frequentiebanden Wi-Fi Netwerk Omgeving Beveiliging van een Wi-Fi Netwerk Encryptie and Authenticatie Gevaar and Preventie Draadloze Architectuur Site Surveys Active and predictive site surveys Xirrus producten
WIFI FUNDAMENTALS
WIFI BASISBEGINSELEN Transmissie Basisbeginselen Radiogolven Lichtsnelheid Radio s gebruiken een specifieke frequentie Data wordt gemoduleerd en gedemoduleerd Basis Radio Bord Componenten Antenne Versterker (verzenden en ontvangen) Radio Baseband (analoog naar digitaal conversie)
WIFI BASISBEGINSELEN Bereik Afstand tussen twee radio s die met elkaar communiceren Access Point naar Station Station naar Station Dekking Totale gebied waar stations een connectie kunnen behouden naar een access point
WIFI OBSTAKELS Stralingsbeperkingen Multi-path Interferentie Attenuatie
STRALING VERSTERKEN - VERBETEREN Bereik verbeteren Meer energie uitzenden Betere antennes zenden Betere antennes - ontvangen
LINK BEREIK Basisbegrippen RF energie wordt gemeten in dbm 0dBm = 1 milliwatt energie +10dB = 10 keer meer energie 20dBm = 100milliwatts energie ( ETSI) -3dBm = ½ milliwatt energie Verlies van signaalsterkte Omgekeerd evenredig met het kwadraat van de afstand Signal Sterkte RSSI = Receive Signal Strength Indicator (dbm) Path Loss Signaalverlies tussen twee ontvangers
THE RF LINK SNR Signal to Noise Ratio (SNR) Duid aan hoeveel bruikbaar signaal er aanwezig is Hogere snelheden hebben hogere SNR nodig
RF AANBEVELINGEN Antenne versterking is goed: hoe groter de versterking van een antenne des te beter Receiver sensitivity is belangrijk Gebruik van beter chipsets Gebruik van verschillende radio s indien je hogere capaciteit nodig hebt.
WIFI PROTOCOL CSMA/CA Luisteren vooraleer je iets kan versturen - Indien het medium bezet is moet je een tijd wachten - Indien het medium vrij is kan je verzenden Twee manieren om dit te detecteren - Physical Carrier sense - Virtual Carrier sense Network Allocation Vector Waarom zijn de data rates zo belangrijk?
IEEE 802.11A/B/G/N - OVERZICHT 802.11b - Ratificatie in 1999-2.4GHz spectrum - Data Rates: 1, 2, 5.5, 11Mbps 802.11a - Ratificatie in 1999-5GHz spectrum - Data Rates: 6, 9, 12, 18, 24, 36, 48, 54Mbps 802.11g - Ratificatie in 2003-2.4GHz spectrum - Data Rates: 1, 2, 5.5, 11, 6, 9, 12, 18, 24, 36, 48, 54Mbps - Backward compatible met 802.11b 802.11n - Ratificatie in 2009-2.4GHz and 5GHz spectrum, - Data Rates: tot 450Mbps today (600Mbps future) - Backward compatible met 802.11a/b/g
802.11AC STANDARD UPDATE Final standard approval door IEEE eind 2013 Wave 1 Products Tot 1.3Gbps, 3 streams, 80MHz channels, 256 QAM Huidige producten zijn hierop gebaseerd Wave 2 Products Up to 3.47Gbps, 4 streams, 160MHz channels, 256 QAM, MU-MIMO Wi-Fi Alliance certification verwacht eind 2014 Producten kort daarna Sommige klanten gaan wachten tot Wave 2 Enkel 5 Ghz
802.11A/B/G/N: KANALEN In Europa zijn er in de 2.4 Ghz 13 kanalen vrijgegeven en in de 5 Ghz zijn dit er 19.
802.11A/B/G: CELL PLANNING 802.11b/g Channels Available = 3 Afstand tot een volgende cell met hetzelfde kanaal is kleiner dan de cell grootte. Dit geeft co-channel interferentie tot gevolg andere cell op hetzelfde kanaal. zwak signaal interferentie Netwerk capaciteit is veel minder 802.11a Channels Available = 19 Hogere performantie : 8 maal de capaciteit Veel minder interferentie van cellen op hetzelfde kanaal Meer kanalen om interferentie tegen te gaan
802.11A/B/G INTERFERENTIE 802.11b/g/n maakt gebruik van de 2.4 GHz ISM band Apparatuur die interferentie veroorzaakt Bluetooth devices Draadloze telefoons Microgolf ovens X10 draadloze camera s HAM radio operators Alarm systemen Problemen bij interferentie Slechte ontvangst en data moet opnieuw verzonden worden Minder bandbreedte en reactiviteit van het netwerk verminderd 802.11a/n/ac maakt gebruik van de 5GHz UNII band Relatief weinig interferentie
802.11A/B/G/N/AC BEST PRACTICES Aanbevelingen Technologies 802.11b-only is end-of-life, afzetten! Koop minimaal 802.11a/b/g/n adapters Transitie naar 5GHz spectrum om : 7X meer capaciteit Veel minder interferentie Kanaal planning veel makkelijker Gebruik verschillende radio s op verschillende frequenties indien meer capaciteit nodig Limiteer het aantal gebruikers per radio indien je veel bandbreedte nodig hebt. 18
802.11 NETWORKING CLIENT CONNECTIE Client connectie Draadloze apparatuur maakt een connectie door een authenticatie/associatie procedure. Probe Requests/Responses worden periodiek door de stations verzonden om informatie te verkrijgen van de draadloze omgeving 19
802.11 NETWORKING SSIDS SSIDs Clients associeren naar een SSID (Service Set Identifier) een naam voor een virtueel draadloos netwerk zoals een vlan in een switch. SSIDs werken over : Meerdere APs Meerdere kanalen Meerdere radios 20
802.11 NETWORKING ROAMING Scannen Wi-Fi client radios gaan continu scannen om draadloze netwerken te detecteren die binnen bereik zijn en houden ook de info daarover bij. Roaming Wanneer een Wi-Fi client geconnecteerd is met een radio/ssid, dan blijft het ook aan de radio geconnecteerd tenzij het een beter signaal ziet van een andere radio. Wanneer dat signaal beter is dan een bepaalde limiet gaat het zich connecteren naar die radio. Roaming services operate across Layer 2 and layer 3 boundaries 21
802.11 NETWORKING BEST PRACTICES Recommendations Gebruik verschillende SSIDs om verschillende user groups te verdelen met elk hun eigen security, QoS, access restrictions, etc. Gebruik voor elk SSID een ander vlan Beperk het aantal SSID s tot een minimum ( 3-4 ) SSID broadcasting afzetten is geen echte oplossing om je netwerk te beveiligen Als je de driver settings van je wireless adapter kan aanpassen doe dit dan voor de roaming parameters. 22
BEVEILIGING VAN EEN WIFI NETWERK
WI-FI SECURITY STANDARDS IEEE 802.11i definieert security voor Wi-Fi, namelijk: Authenticatie Encryptie en sleutels Beter gekend onder de WIFI alliance benamingen: WPA and WPA2 = Wi-Fi Protected Access (2) 24
AUTHENTICATION INFRASTRUCTURE Typical Infrastructure Authenticatie server kan een interface hebben met Directory Services Centraal gebruik van policies en permissions Authenticator kan die policies toepassen waar de user zich connecteert aan het netwerk. Active Directory LDAP Server Ethernet Switch Authentication Server Authenticator Authenticator Authenticator Supplicant 25 25
AUTHENTICATION BEST PRACTICES Aanbevelingen Gebruik WPA2 authenticatie voor alle SSID s behalve guest. RADIUS is gratis met Windows Server AP s kunnen rechtstreeks praten met Active Directory Free RADIUS is ook een optie Gebruik PEAP met MSCHAPv2 makkelijke administratie want er zijn geen gebruiker certificaten nodig Gebruik authenticatie om verschillende policies te pushen Opletten van single point of failure Schaalbare oplossing Remote locaties! 26
ENCRYPTIE BASICS Wat is Encryption? Wi-Fi data kan je makkelijk oppikken en bekijken Username/passwords, email headers, en boodschap info kan gezien worden Encryptie gaat er voor zorgen dat de data niet kan gelezen worden door iemand die er geen toegang naar heeft. Encryptie gaat de data veranderen door gebruik te maken van een sleutel. Wat is een sleutel Een sleutel is een unieke waarde die enkel gekend is door de zender/ontvanger en die dan gebruikt wordt door het encryptie algoritme om de originele informatie te veranderen Hoe langer de sleutel, hoe moeilijker het hacken Een 40 sleutel heeft 240 combinaties = 1.1 x 1012 = 1.1 trillion Een 128 sleutel heeft 2128 combinations = 3.4 x 1038 = 340 undecillion 27
ENCRYPTION PROTOCOLS AES/CCMP encryptie is de beste encryptie standaard voor Wifi TKIP encryptie enkel gebruiken indien je nog apparatuur hebt die AES niet ondersteunt. WEP encryption zeker niet gebruiken. 28
ENCRYPTION BEST PRACTICES Aanbevelingen Gebruik WPA2 Enterprise (AES/CCMP encryptie) voor optimale veiligheid Gebruik WPA/WPA2 Personal enkel in SOHO omgevingen Gebruik random, moeilijk-te-raden passphrases van 20+ ASCII characters Update passphrases regelmatig en zeker als een werknemer weggaat of apparatuur gestolen wordt Gebruik nooit WEP Gebruik Open voor gasten of publieke netwerken WPA/2 moet je configureren per client Intern gasten netwerk op een ander vlan zetten Extern gaat dit gebruikers forceren om een ander vlan te gebruiken. Verschillende SSIDs met verschillende VLANs voor verschillende security groepen/gebruikers Gebruik 802.1Q/p VLAN segmentering wanneer een draadloos netwerk gekoppeld wordt met bedraad. 29
WI-FI GEVAREN TYPES Gevaren komen uit verschillende hoeken: 1. Niet toegelaten APs rogues, evil twins 2. Niet toegelaten connections ad hocs, neighbor APs 3. Niet toegelaten clients intruders, guests 4. Slect geconfigureerde APs zonder security, fabrieksinstellingen 5. Eavesdropping 6. Forgery and replay 30
WI-FI GEVAREN BEST PRACTICES Network Infrastructuur Proactief AP configuraties nakijken bij veranderingen Gebruik van VLAN s Gebruik firewall filters, ACLs Gebruik routing om bereikbare IP addressen, poorten, etc te beperken. Draadloze Stations gebruik VPNs voor offsite access Forceer gebruik van personal firewalls, anti-virus software Centrale administratie Wi-Fi settings Intrusion Detection/Intrusion Prevention Systems (IDS/IPS) Maak gebruik van sensor radios om 24/7 monitoring te doen van de omgeving en die informatie door te sturen naar een centraal IDS/IPS system Blokkeer automatisch al niet-toegelaten draadloze activiteit 31
ARCHITECTURES TYPES Distributed Central Controller + Thin APs Packet Processing in de core Control plane in de core Policies en beveiliging in de core Encryptie processing in de core Centraal beheer Packet Processing lokaal Control plane lokaal Policies en beveiliging lokaal Encryption processing lokaal Net zoals Ethernet Switching Centraal beheer Centralized Processing Distributed Processing 32
ARCHITECTURES BEST PRACTICES Requirements for Next Generation Wi-Fi Centrale controllers -> latency en jitter Centrale controllers -> single point of failure Centrale controllers -> single point of bottleneck Remote sites geven een probleem als de controller centraal staat Recommendations: Gigabit Ethernet connecties Lokale switching Indien controllers -> lokaal of geintegreerd. 33
SITE SURVEYS
Site Surveys Overzicht What is a site Survey? Typisch Wi-Fi Project: Eisen --> Survey --> Design --> Uitrol --> Testen Site survey is de methode die gebruikt wordt om te bepalen waar en hoeveel AP s er moeten geinstalleerd worden om te voldoen aan de gestelde eisen. Waarom belangrijk? Gebouwen zijn niet allemaal op dezelfde manier gebouwd Interieur is verschillend Dekking Performantie Kost Installatie Drie types Site Surveys Predictive Active Planning Active Validering
Site Surveys Predictive Predictive Site Survey Overzicht Maak gebruik van plannen: JPG, BMP, PNG bestanden Bepaal de attenuatie van de muren en obstakels Muren, deuren, ramen Tussenmuren Liften Trappengangen Maak gebruik van software model om dekking te simuleren Voordelen: Makkelijker om uit te voeren Weinig Wifi kennis nodig Minder tijd nodig Minder werk
Site Surveys Active Active Site Survey Overzicht On-site Maken gebruik van een AP en een client Rondlopen en metingen Signaalsterkte Dekking Noise Dit laat je toe om de plaats van het AP te bepalen Reele waarden bepalen de plaats van het AP. Active Survey Voordelen: Gemeten dekking Gemeten performantie Mogelijke interferentie Installatie zonder problemen Survey met het product dat geinstalleerd wordt
WI-FI DESIGN PRINCIPLES Network Design = Getting the Math Right Niet enkel dekking maar ook capacitiet Voor 5GHz en 2.4GHz Signaal sterkte : Laptop gebruik: -72 dbm minimum RSSI Smartphone/Tablet/VoWiFi gebruik: -65dBm minimum RSSI Densiteit per radio : Hoge performantie = <20 Gemiddelde performantie = <40 Lage performantie = <80 Alle lokaties moeten verschillende radio s zien 802.11a/b/g/n clients!!! 5GHz!
XIRRUS PRODUCTEN
XIRRUS WIRELESS NETWORK OVERVIEW
WIRELESS ACCESS PORTFOLIO XR-500 XR-600 XR-1000 XR-2000 XR-4000 XR-6000 AP AP Modular Array Modular Array Modular Array Modular Array 11n 2x2 11n 2x2/3x3, 11ac 2x2/3x3 11n 2x2 / 3x3, 11ac upgradable 11n 2x2 / 3x3, 11ac upgradable 11n 2x2 / 3x3, 11ac upgradable 11n 2x2 / 3x3, 11ac upgradable 2 Radios 2 Radios 2 Radios 2 or 4 Radios 4 or 8 Radios 8 or 16 Radios Common Feature Set Integrated Controller Application Control Zero Touch Provisioning On-Premise or Cloud Management
OUTDOOR WIRELESS ACCESS PORTFOLIO XR-520H XR-2425H XR + XE AP Array Array + Enclosure 2 Radios, 2x2 11n 4 Radios, 2x2 11n 4 to 16 Radios, 11n/11ac External Antennas External Antennas Integrated Antennas IP65, -40 to +55C IP65, -40 to +55C IP65, -40 to +65C Common Advanced Feature Set Integrated Controller Application Control Zero Touch Provisioning On-Premise or Cloud Management
XR PRODUCT SPECIFICATIONS SPECIFICATIONS XR-500 XR-600 XR-2000 XR-4000 XR-6000 XR-500H XR-2000H Wi-Fi Standards 11a/b/g/n 11a/b/g/n/ac 11a/b/g/n/ac 11a/b/g/n/ac 11a/b/g/n/a c 11a/b/g/n Diameter (inches) 8 8 10 13 17 8 10 11a/b/g/n Controller Integrated Integrated Integrated Integrated Integrated Integrated Integrated Radios 2 (fixed) 2 (fixed) 2 or 4 4 or 8 8 or 16 2 (fixed) 4 (fixed) Radio Expansion Slots 0 0 0 or 2 0 or 4 0 or 8 0 0 Available AP Types Max Total Wi-Fi Bandwidth Dedicated Threat Sensor Max Integrated Antennas 300Mbps 300Mbps, 450Mbps, 867Mbps 1.3Gbps 300Mbps, 450Mbps, 867Mbps 1.3Gbps 300Mbps, 450Mbps, 867Mbps 1.3Gbps 300Mbps, 450Mbps, 867Mbps 1.3Gbps 300Mbps 300Mbps 600Mbps 2.6Gbps 5.2Gbps 10.4Gbps 20.8Gbps 600Mbps 1.2Gbps Yes Yes Yes Yes Yes Yes Yes 4 6 12 24 to 48 4 (external) 8 (external) Max Wi-Fi Backhaul Link 300Mbps 1.3Gbps 3.9Gbps 3.9Gbps 3.9Gbps 300Mbps 900Mbps GigE Uplink Ports 1 2 1 2 4 + 10GigE 1 1 Max Associated Users 240 240 960 1920 1792 240 960
XIRRUS MANAGEMENT SYSTEM (XMS) Schaalbaar en flexibel management en analytics platform voor Xirrus draadloze networken Lokaal of cloud gebaseerd Werkt tesamen met Xirrus Activation Server voor zero-touch provisionering
XMS FEATURES Web-Gebaseerde Interface Wireless Heat Maps Device Localisatie Security Monitoring Reportering