DU 6014 Labs on Line C4 Webexperiment: WiFi

DU 6014 Labs on Line C4 Webexperiment: WiFi Versie 1.00, juni 2007 1 Inleiding Het webexperiment WiFi gaat over de bestudering van draadloze (wireless) datanetwerken. We gaan ervan uit, dat de studentenige basiskennis heeft opgedaan over deze vorm van datanetwerken. Velen hebben thuis de beschikking over een klein datanetwerk, dat typisch via een breedbandverbinding toegang geeft naar het Internet. Een WiFi-kastje, dat tegenwoordig voor enkele tientjes te koop is, is daarbij een welkome aanvulling, waardoor men met meerdere desktops of portables vanuit iedere plek het Internet op kan. De WIFI-apparatuur, die we in het webexperiment hanteren is complexer en wordt typisch in het bedrijfsleven ingezet. In het experiment wordt een WiFi-omgeving opgezet, die aansluit bij de behoefte in de MKB-omgeving. Meer dan in de thuissituatie spelen hier: beveiliging, functionaliteit, beheersbaar, de aanwezigheid van beheersfaciliteiten. 2 Draadloze access points, modelvorming Draadloze toegangspunten, of wireless access points (WAP s), vertonen meer variatie in de praktijk dan de naam suggereert. De onderwijspraktijk leert, dat het van belang is, aandacht te besteden aan modelvorming rondom WAP s, wil men in de praktijk goed leren omgaan met deze technologie. Daartoe dient de volgende uiteenzetting. De meest eenvoudige situatie die men zich kan voorstellen, is een WAP (=wireless access point), dat zich gedraagt als HUB. We kennen HUB's met een mix van aansluitingen, bijv. UTP en dunne coax. Zo'n HUB gedraagt zich als een medium converter, een vertaler van het medium UTP-kabel naar Coaxkabel en terug. Een HUB is een laag 1-apparaat, d.w.z. dat het alleen weet heeft van signalen, maar geen weet heeft van de protocollen op de datalinklaag, op laag 2. Een WAP kan zich als medium converter gedragen met een vertaling van vaste (UTP-kabel) naar draadloze links. Onderstaande figuur brengt dit in beeld. Figuur 2.1 pagina 1 van 21

WAP s hebben minimaal de intelligentie van een SWITCH (datalinklaag, OSI laag 2). De reden hiervoor is, dat een HUB (laag 1-apparaat) alle verminkte frames, die veelvuldig op de draadloze link voorkomen, zal doorgeven naar het bedrade netwerk zonder enige vorm van controle. Een switch geeft een frame pas na een positief uitgevallen controle (CRC-check) door. Figuur 2.2 In de praktijk werken WAP s meestal niet als medium converter, maar naar de andere poort; de goedkopere WAP's uit de winkel om de hoek werken op die manier. Een complexere en duurdere uitvoering van een WAP heeft meer functionaliteit aan boord. Figuur 2.3 toont een uitvoering, waarbij het WAP zich draadloos identificeert met niet één SSID [naam] maar met meerdere. Het lijkt alsof er hier twee WAP's zijn voor iemand, die een draadloze toegang zoekt. Figuur 2.3 Meerdere SSID's en trunking Het WAP voegt aan de pakketten die via LAN1 binnenkomen een tagging toe (volgens de standaard 802.1Q) waardoor een gebruiker die contact legt met het draadloze netwerk, geadverteerd via SSID1, deel gaat uitmaken van het IP-subnetwerk van VLAN1. Ook krijgt hij daardoor toegang tot de faciliteiten, die via dat IP-subnetwerk worden aangeboden. Men kan zich voorstellen, dat we een IP-subnetwerk met de benodigde faciliteiten creëren voor een doelgroep en een andere doelgroep meer of juist minder voorzieningen aanbieden via het draadloze netwerk. Dit pagina 2 van 21

soort situaties zien we bijv. bij HOTSPOTS, waar gasten andere voorzieningen krijgen dan personeel of beheerders. Gaan we een stap verder in complexiteit dan zien we WAP's met router-functie aan boord. Hierbij komt de host die contact legt met het WAP in een ander IP-subnetwerk dan het bedrade deel van het LAN. De router routeert tussen de IP-subnetwerken. Meestal heeft het WAP nu ook een DHCP-server aan boord, die de gebruiker van het draadloos netwerk voorziet van netwerkconfiguratie gegevens als IP-address, masker, default gateway, DNS server IP-address, enzovoorts. Figuur 2.4 WAP met ingebouwde router-functie Vaak zien we nu, dat de IP-adressen voor het draadloze deel private adressen zijn uit de reeksen 10.0.0.0/8, 172.16.0.0/12 of 192.168.0.0/16. Deze adresreeksen zijn bedoeld voor hergebruik en zullen dus in het publieke internet niet worden gerouteerd. We gaan dan werken met NAT-vertaling, waarbij in de router-functie een taak is toegevoegd, waarbij het private adres via een tabel wordt vertaald naar een publiek adres. Figuur 2.5 WAP met router en PAT-translatie pagina 3 van 21

In de praktijk wordt veelal een variant van NAT toegepast, die met PAT of NAT-overloading wordt aangeduid. Hierbij wordt van een pakket, bij het passeren van de router, de combinatie private_intern_ip-adres:poortnummer van de cliënt-applicatie vertaald naar het éne beschikbare publieke IP-adres van de poort op het vaste Lan: dynamisch gekozen poortnummer. Door het gebruik van het dynamisch poortnummer is het retourverkeer van LAN naar WiFi-cliënt weer eenduidig terug te vertalen. Rest ons nu nog in te gaan op een variant, die we tegenwoordig aangeboden zien als een breedband (ADSL- of kabel-) modem met draadloos. Dit is in feite een functioneel complex apparaat, dat betaalbaar is geworden door de grote productieaantallen. De meest complete variant biedt: een WAN-aansluiting naar kabelnet of P.S.T.N., een router-functie met PAT-translatie, een ingebouwde LAN-switch en een WiFi-WAP. Hierbij is de WAN-zijde complex. Bij een kabelmodem heeft de WAN-link op laag 1 een RF-deel, dat de data (de)moduleert op een videokanaal. Bij een ADSL-modem wordt de data op laag 1 gemoduleerd in een aantal smalle bandjes boven het voicekanaal. Figuur 2.6 ADSL-modem Figuur 2.7 geeft een beeld van frequentiegebruik op een telefoonlijn waarop gemoduleerde data worden verzonden in parallel met spraak (analoog telefonie). Voor de upstream wordt een aantal modulatoren gebruikt die elk ca. 4 khz bandbreedte consumeren en daarbij een hoeveelheid throughput realiseren. Een aantal van die modulatoren samen benut de band van 26 khz tot 138 khz, en versturen samen max. 400 khz. Voor de downstream wordt een vergelijkbaar procédé gehanteerd. Het telefoniedeel kan gebaseerd zijn op traditionele analoge telefonie, met spraak, in de frequentieband van 300-2400 Hertz. Het kan ook op basis van ISDN-techniek werken, waarbij de analoge spraak in het toestel wordt gedigitaliseerd naar een bitstroom, die daardoor een wat bredere frequentieband gebruikt (120 khz). pagina 4 van 21

pots UPSTREAM 400 KBPS DOWNSTREAM 2 Mbps 3,4 26 138 FREQUENCY [KHZ] 1130 Figuur 2.7 ADSL-kanaalindeling Figuur 2.8 toont een upstream kanaal, hier van 140 khz tot 280 khz, en een downstream kanaal van 280 khz tot 1104 khz. Binnen elk kanaal wordt weer met een modulator/demodulator gewerkt, die een 4 khz bandbreedtegebruik laat zien (4,3125 khz is inclusief wat ruimte voor de kanaalscheiding). 4,3125 khz QAM gemoduleerd ISDN 1 2 3 2 3 3 2 2 4 120 k 140 k Upstream 280 k downstream 1104 k Figuur 2.8 Up- en downlink bevatten een hele serie sub-bandjes pagina 5 van 21

3 Doel van de WiFi-experimenten 3.1 De meerwaarde van het WiFi-experiment Het WIFI-experiment biedt studenten de mogelijkheid om op afstand, thuis of vanaf de eigen werkplek, experimenten te doen op het gebied van draadloze LAN-technologie (WiFi). Het WiFi-experiment is ontwikkeld voor een groep duale studenten die de populaire opleiding Systeembeheer Duaal volgt. De doelgroep vertoont de volgende kenmerken: 1. De duale student heeft bijna altijd een vaste baan in het bedrijfsleven en combineert dit met een hbo-opleiding, waarbij één dag per week les gevolgd wordt aan de hogeschool. 2. De doelgroep woont zeer verspreid over Nederland. 3. De samenstelling van de doelgroep is zeer heterogeen. Sommige studenten hebben inmiddels ruime ervaring op het gebied van systeembeheer, maar missen het officiële HBO-diploma. Anderen staan juist weer aan het begin van hun carrière en vervullen bijvoorbeeld een functie als 1 ste lijns-helpdeskmedewerker. Het eerste en tweede kenmerk onderstrepen n belangrijke mate de toegevoegde waarde van een online WiFi-experiment. De doelgroep kan slechts één dag per week op school zijn en zal daarnaast thuis het nodige aan zelfstudie moeten doen. De mogelijkheden van zelfstudie worden verruimd en verrijkt door de mogelijkheid te bieden om vanuit huis in te loggen op het WiFi-systeem en allerlei experimenten te doen. Het derde kenmerk motiveert de ontwikkeling van WiFi-experimenten op twee niveaus. Niveau 1 voor de beginnende systeembeheerder die weinig of geen ervaring heeft met het beheer van draadloze netwerken en niveau 2 voor de meer ervaren systeembeheerder. In de experimenthandleidingen zijn deze niveaus aangebracht. 3.2 De leerdoelen van het WiFi-experiment WiFi staat voor Wireless Fidelity. De WiFi-Alliance is een samenwerkingsverband van bedrijven en research-instellingen. Belangrijke doelstellingen van deze alliantie zijn het promoten van de toepassing van draadloze LAN-technologie en het certificeren van apparatuur zodat deze voldoet aan de standaards voor draadloze LAN-netwerken. De standaards worden vastgesteld door IEEE. Op dit moment zijn er drie belangrijke standaards: 802.11a, 802.11b en 802.11g. De nieuwe standaard 802.11n laat vooralsnog op zich wachten. Het verschil tussen de standaards betreft snelheid, modulatietechnieken en zendfrequenties. Hier hoeft nu niet verder op ingegaan te worden. WiFi staat dus voor draadloze LAN-technologie. Het ontwerp, de bouw en het beheer van WiFinetwerken vormen een totaal andere problematiek dan bij bekabelde LANS. De leerdoelen voor een WiFi-experiment moeten derhalve betrekking hebben op het draadloze karakter van de techniek. De leerdoelen kunnen ingedeeld worden in drie hoofdgroepen: Leerdoelen t.a.v.: 1. Beveiliging 2. Performance 3. Configuratie/Beheer pagina 6 van 21

De drie groepen worden hierna toegelicht. 3.2.1 Leerdoel t.a.v. beveiliging Een belangrijk verschil tussen draadgebonden en draadloze LANS (WLAN) is de mate van beveiliging. Een WLAN maakt gebruik van radiogolven die in principe door iedereen opgevangen kunnen worden, mits men zich dicht genoeg bij de bron bevindt. Sniffer-software maakt het dan mogelijk om het verkeer over het WLAN te lezen. De ontwerper, bouwer en beheerder van WLANs moet zich dus terdege bewust zijn van het belang van een goede beveiliging. In de afgelopen jaren is een groot aantal beveiligingstechnieken ontwikkeld, elk met zijn eigen voor- en nadelen. We kunnen aldus het volgende leerdoel formuleren. Leerdoel: De student kent de verschillende technieken die gebruikt worden bij het beveiligen van WLANS. Hij kent de toepassingsgebieden en voor- en nadelen van deze technieken en is in staat deze technieken te implementeren in een WLAN-omgeving. Bij de uitwerking van dit leerdoel in de diverse experimenten gaat het met name om de beveiligingstechnieken (zonder toelichting): WEP, TKIP, 802.1X/EAP, WPA, WPA-Radius, WPA-PSK, WPA2/802.11i MAC-adres filtering Uitschakelen SSID Wireless VPN s Omgaan met ongeautoriseerde access points (roque AP s) 3.2.2 Leerdoel t.a.v. performance Draadgebonden LANS voldoen aan standaards t.a.v. maximale kabellengte, kwaliteit van de toegepaste kabels e.d. Een draadgebonden LAN dat gebouwd is volgens deze standaards zal daarom kwalitatief goed presteren en een gegarandeerde performance kunnen leveren. Bij een WLAN is dit totaal anders. Hoewel er standaards zijn voor signaalsterkte e.d, is er een aantal factoren die niet beïnvloed kunnen worden. Het gaat hierbij om het gedrag van de gebruiker van het WLAN, de aanwezigheid van stoorbronnen en obstakels en de maximale snelheid van een WLAN. De gebruiker is mobiel en zal daardoor niet altijd binnen het bereik blijven van een bepaald AP. Door middel van roaming wordt de functie overgenomen door een ander AP. De standaards 802.11b en 802.11g werken in de zogenaamde ISM-band (2,4 GHz). Veel andere apparatuur, o.a. magnetrons, werkt ook in deze frequentieband. De andere apparaten zijn potentiële stoorbronnen. Ook obstakels in een gebouw (bewapening in beton, staalconstructies, e.d) hebben een belangrijke invloed op de performance. Tenslotte het aspect snelheid. Hoewel de 802.11n-standaard snelheden belooft vergelijkbaar met fast ethernet, liggen de huidige standaards daar nog ver beneden. Meest gebruikt is 802.11g met een theoretisch maximale snelheid van 54 Mbit/s. In de praktijk wordt dit echter nooit gehaald. Hieruit komt naar voren dat performance een belangrijk issue is bij het ontwerp, de bouw en het beheer van WLANS. Ten aanzien van performance kan het volgende leerdoel geformuleerd worden: pagina 7 van 21

Leerdoel: De student is zich bewust van het feit dat performance een belangrijk issue is bij WLANS. Hij is op de hoogte van de technieken die de performance positief kunnen beïnvloeden en kan deze technieken toepassen door het configureren van performance-parameters. Bij de uitwerking van dit leerdoel in de diverse experimenten gaat het met name om de technieken/parameters (zonder toelichting): Configureerbare performance-parameters (beacon-interval, diverse timers) Frequentieplanning (kanaalkeuze) Instellingen voor roaming Quality of Service; differentiatie naar service-priorities 3.2.3 Leerdoel t.a.v configuratie/beheer In het WiFi-experiment wordt gebruik gemaakt van 2 access-points van Colubris en een zogenaamde multi-service-controller (MSC) van Colubris. De functionaliteit van deze apparatuur gaat veel verder dan een eenvoudige layer-2 switch. Wat betreft netwerken zijn er mogelijkheden voor NAT/PAT-translatie, DNS, DHCP, VLAN, tunneling, QoS, enzovoorts. Op het gebied van beheer zijn er uitgebreide mogelijkheden voor netwerkmanagement. Op de apparatuur zijn management information bases (MIBs) geïmplementeerd. Dit biedt de mogelijkheden om vanaf afstand objecten te beheren. Dit is een heel belangrijk leerdoel. De mogelijkheden van moderne WiFi-apparatuur zijn zeer uitgebreid. Het is aan de student deze mogelijkheden te leren kennen en toe te passen bij de configuratie en het beheer van WLANS. Leerdoel: De student kent de mogelijkheden voor configuratie en beheer van een modern WLAN en is in staat eenvoudige en meer complexe netwerken te configureren en te beheren met gebruikmaking van de Colubris MSC-5100 multiservice controller en twee Colubris MAP-320 Accesspoints. Bij de uitwerking van dit leerdoel gaat het om de uitvoering van de experimenten op twee niveaus: niveau 1 voor de beginnende systeembeheerder die weinig of geen ervaring heeft met het beheer van draadloze netwerken en niveau 2 voor de meer ervaren systeembeheerder. pagina 8 van 21

4 Beschrijving van de WiFi-experimenten Het uitgangspunt is, dat een student enige basiskennis heeft van een minimaal wireless WIFInetwerk met de complexiteit van het thuisnetwerk, dat toegang geeft naar het Internet via een ISP. We nemen een beschrijving op van deze situatie, maar deze items behoren tot de basiskennis en komen niet voor in het experiment. 4.1 Beschrijving thuisnetwerk Deze thuissituatie is op basis van een CN1250, die rechtstreeks gekoppeld is met de ISP. De ISP levert een enkel IP-adres, dat op basis van NAT_overloading gebruikt wordt voor uitgaand verkeer naar het Internet. Het thuisnetwerk bestaat uit een bedraad LAN en een wireless deel. Deze delen worden op basis van private IP-adressen opgezet [192.168.x.y] Een ingebouwde DHCP-server levert voor bedraad en wireless LAN de benodigde informatie aan de cliënt. De ingebouwde routerfunctie vertaalt de uitgaande IP-adressen. Dit levert ook een belangrijk aandeel aan de beveiliging van het thuisnetwerk. De beveiliging van het thuisnetwerk gebeurt meestal nog op basis van een shared WEP_key. De deskundige hacker uit de buurt, die het thuisnetwerk ziet, kan met LINUX_Based software [ Air_Crack] de sleutel bemachtigen en het Wireless LAN gaan misbruiken. DHCP_req. Dhcp _req. Figuur 4.1 Het thuisnetwerk 4.2 Het draadloos netwerk in een MKB-onderneming In het experiment is een aantal opdrachten opgenomen met oplopende moeilijkheidsgraad. Het ontwerp van een klein bedrijfsnetwerk van fig. 4.2 is de aanzet. pagina 9 van 21

Figuur 4.2 Het Wireless netwerk, als onderdeel van een klein bedrijfsnetwerk In de eenvoudigste vorm is het draadloos deel van het netwerk opgebouwd uit een bridged access point. De meeste functies, die in het thuisnetwerk in het draadloos access point waren ondergebracht, zitten hier in het bedrade LAN. Dit geldt voor zaken als DHCP-server, koppeling naar de ISP, e.d. We gaan hier uit van het gebruik van WPA-versleuteling op de radioweg, aangezien deze standaard meer functionaliteit heeft, o.a. dynamische sleutels, en ook (nog) niet gekraakt is. Een van de zaken, die we hier ook additioneel kunnen aanpakken, is het bekijken van de wireless neighborhood, om na te kunnen gaan welke access points van buiten het bedrijfterrein indringen en mogelijkerwijze een beveiligingsrisico vormen, als een medewerker met een portable daar per ongeluk op inlogt. We willen nog n stap verder gaan in het ontwerp en een draadloos deel van het datanetwerk opzetten voor het geval dat het gebouw te groot is om iedereen bereik te geven, een situatie die typisch is voor het MKB. In dat geval moeten we met meerdere access points gaan werken. Wat hier gaat spelen, is de problematiek van de keuze van de te gebruiken kanalen uit de ISM-band. Via de wireless => neighborhood kan men bekijken welke kanalen al in gebruik zijn en hoe sterk het signaal is. Daarop kan dan de keuze voor een eigen kanaal worden gebaseerd. Ook speelt hier mee, dat de 2 eigen access points waarschijnlijk overlappend bereik krijgen, hetgeen tot interferentie leidt en lagere throughput, als de kanalen overlap vertonen. 1 1 Bij WiFi is in de standaard vastgelegd, dat zelfs nabuurkanalen overlap vertonen, dus de kanalen moeten niet naastgelegen zijn. Gebruikelijk is het gebruik van kanalen 1,7 en 11 om een rooster op te zetten. pagina 10 van 21

LAN Wireless poort BRIDGE LAN Wireless poort BRIDGE PAT PAT LAN LAN Alles is een IP_subnet Met DHCP service vanuit n server [ kan de router zijn] Internet Figuur 4.3: MKB-datanetwerk met draadloze implementatie met 2 access-points Voor het experiment willen we geen roaming 2 aansnijden, omdat dat allereerst in de normale kantooromgeving minder relevant is, maar bovendien en vooral omdat we dat moeilijk op afstand kunnen implementeren. 4.3 Het draadloos netwerk binnen een grote onderneming Grote ondernemingen (zoals een hogeschool) willen steeds vaker op al hun locaties hun medewerkers draadloze toegang tot het bedrijfsnetwerk en het internet geven. Ook zijn er regelmatig voorzieningen ingebouwd om gasten via het bedrijfsnetwerk toegang te verlenen tot het Internet. We willen een aantal aspecten van deze problematiek in een gevorderde opdracht aan de orde stellen. Onderstaande figuur toont een opzet, waarin wat aspecten van een enkel access point zijn weergegeven. We zien het gebruik van meerdere SSID s, die gebruikers in groepen verdelen. Bij elke SSID kan een andere sleutel horen, waardoor groepen toegang krijgen tot een ander deel van het netwerk (VLAN) en daarmee tot andere faciliteiten. We gaan in eerste instantie uit van één VLAN per SSID. 3 2 Roaming: het automatisch overnemen van de link door een ander access point, doordat de bewegende gebruiker, binnen het bereik van een ander access point komt. Bij GSM is dit een gebruikelijke techniek (denk aan de bellende automobilist) 3 Een complexere relatie is mogelijk, waarbij een gebruiker op basis van gegevens in een centrale server (bijv. Radius) ingedeeld wordt in een Virtueel LAN. Dit is te implementeren conform de 802.11X standaard, die ook op de te gebruiken access points beschikbaar is. Voor onze situatie ligt dat buiten de scope. pagina 11 van 21

.1Q trunk Figuur 4.4 Het draadloze netwerk bij een grote onderneming Het is mogelijk nog een paar stappen verder te gaan in de implementatie van het grote bedrijfsnetwerk. We noemen: Het gebruik van een managementstation voor het configureren en monitoren van grote aantallen WIFI-access points. Dat kan met een Colubris 4 Netwerk Management systeem; Het simuleren van een WIFI-omgeving, in de ontwerpfase van een netwerk. Daarvoor is de RFplanner van Colubris geschikt, die toestaat een netwerk te simuleren bij het gebruik van meerdere access points. Dit kan dan worden vergeleken met de werkelijke situatie. Een opzet voor het WiFi-experiment Het bijbehorende WiFi-experiment voor de situatie van de grote onderneming is een toekomstige uitbreiding van het webexperiment WiFi. Een opzet voor de te ontwikkelen uitbreiding, die de hiervoor geschetste actuele situaties kan realiseren, is aangegeven in onderstaand schema (figuur 4.5). Men name d.m.v. het aanpassen van de configuratie in de multi-layer-switch (de combinatie laag-2 switch en router in een behuizing) kan men de diverse situaties nabouwen. Een korte toelichting: De gebruiker kan vanuit thuis, via het Internet en de verleende toegang gedurende een tijdslot, door het access-systeem, een tweetal objectcomputers overnemen en besturen. Het zal mogelijk zijn, de opstelling in een bepaalde begintoestand te brengen die overeenkomt met een van de eerder geschetste actuele systemen. 4 www.colubris.com pagina 12 van 21

Deze beide objectcomputers zijn via het LAN verbonden met een multi-layer-switch, de beheersinterface van de access points, en het netwerkmanagementsysteem. De objectcomputers kunnen ook via een WiFi-link draadloos verbindingen leggen naar andere subnetwerken. Storende externe draadloze netwerken komen geheel vanzelf van buiten de school naar binnen. Figuur 4.5 Een punt van aandacht is nog het volgende. Een gebruiker kan zonder additionele maatregelen de schakeling achterlaten in een situatie, waardoor de volgende gebruiker of de beheerder feitelijk geen toegang meer heeft tot de componenten. Daarvoor zullen we extra faciliteiten moeten ontwikkelen, die erop neerkomen dat de voedingsspanning van de component wordt onderbroken, of dat een druktoets tijdelijk fysiek wordt bekrachtigd. We zullen dit met elektrische middelen op afstand moeten realiseren. pagina 13 van 21

5 De opdrachten Het WiFi-experiment bestaat uit twee opdrachten: de WiFi RF-simulator; het WiFi-experiment voor het MKB. In een latere fase wordt daar nog een derde opdracht aan toegevoegd: het corporate WiFi-netwerk. 5.1 De RF-simulator Deze simulatie stelt je in staat een WIFI-omgeving te simuleren waardoor je kunt zoeken naar een optimale tuning van bijvoorbeeld aantal en plaatsing van de access points. Je kunt de keuze van het RF-kanaal optimaliseren op minimale interferentie, enz. Hiervoor is de RF-planner 4.0 van Colubris beschikbaar met de beschikbare documentatie. De executable is bereikbaar na reserveren (account en wachtwoord vereist) van de CCNP3-opstelling. Bestudeer de beschikbare documentatie van de RF planner (pdf-file op de server onder wifi ). We gaan een simulatie opzetten van de derde verdieping van Oudenoord 370 (gebouw van de Hogeschool Utrecht), waar we een WiFi-opstelling gaan doorrekenen, die we later bij de twee opdrachten praktisch gebruiken. Een plattegrond van de verdieping is beschikbaar in de documentatie set ( oud370-3e_met_terras.jpg ).] De actuele afmetingen van de verdieping zijn: 45 m bij 18 m (van belang bij het gebruik van de jpg-file in de simulator). Het derde access-point (MSC) heeft als doel een PTP-link op te zetten naar een ander gebouw, Oudenoord 700, via een 18 db richtantenne (gericht op N.N.O. (-22,5 0 ),de oriëntatie van het gebouw Oudenoord 370 is pal Noord). De MAP 320 zijn voorzien van generieke rondstraalantennes met gain van 2 db. Opdracht: 1. Bestudeer de documentatie van de RF-planner; pagina 14 van 21

2. Completeer de plattegrond met muren, wanden, kasten e.d., kortom alles wat het RF-gedrag van de ruimte beïnvloedt; 3. Zet een testsituatie op voor Oudenoord 370 verdieping 3 met de access-points zoals beschreven, zet het linker MAP320-access-point in kanaal 1 op maximaal vermogen en het rechter MAP320 op kanaal 12 eveneens met maximaal vermogen. De MSC staat in kanaal 7. 4. Bepaal voor de gehele derde verdieping de te verwachten signaalsterkten, de te verwachten troughputs en een plattegrond, waaruit blijkt op welke plek welk access-point de optimale toegang geeft. Ga uit van de aangegeven situatie. 5. Ga na waar je de access points zou plaatsen, als je zoekt naar een optimalere plaatsing op de verdieping 6. Rapporteer over je bevindingen. Gebruik Captures en rapportages, die de RF-planner aanlevert. 5.2 Het WiFi-experiment voor het MKB We hebben het in dit experiment over wireless omgevingen, nog wat nader gespecificeerd: over op de 802.11B/G-standaard gebaseerde netwerken, die gezien kunnen worden als draadloze extensies van het bedrade datanetwerk. Veel studenten hebben thuis de beschikking over een klein datanetwerk dat via een breedbandverbinding toegang geeft naar het Internet. Met een WiFikastje kun je vervolgens met meerdere desktops of portables vanuit iedere plek het Internet op. Zo n eenvoudige, goedkope WIFI-set gedraagt zich als een SWITCH, met een mediumconversie van bedraad 10(0)base_T naar 803.11B/G. (zie hiervoor Modelvorming WAP V2 uit de documentatieset). De WiFi-apparatuur, die we bij deze opdracht hanteren is complexer. We gaan een WiFi-omgeving opzetten, die aansluit bij de behoeften in de MKB-omgeving. Meer dan in de thuissituatie speelt hier: beveiliging, functionaliteit, beheersbaar, de aanwezigheid van beheersfaciliteiten (SNMP). We gaan ervan uit, dat je bekend bent met het toegangsysteem tot de webexperimenten: je kunt het WiFi-experiment reserveren voor een tijdslot, de verbinding effectueren en de objectcomputer NETLAB-16.FNT.HU.NL overnemen met een RDP-sessie. Door het starten van de script-file MINICOM_MKB wordt de 2900_switch (zie figuur 5.1) geconfigureerd conform de tekening. Je bent daarna in staat de CN1250_WAP via een http-sessie te configureren, volgens een aantal nader te noemen eisen. Als je dit hebt gedaan, ga je testen of het werkt zoals je verwacht door te kijken of je via de wireless Interface op de objectcomputer het testobject (ADSL-router: http://192.168.1.224) kunt bereiken. Doelstellingen van de opdracht Het waarnemen van andere WAP s van het eigen bedrijf en/of Rogue access points van buiten; Instellen van het eigen RF-kanaal; Instellen van de toegang op basis van WPA-versleuteling; Het WAP instellen, zodat het een ROUTER-functie vervult; Netwerk-adres-translatie door het WAP instellen; pagina 15 van 21

Het WAP zo instellen, dat de host op het WiFi-netwerk via DHCP de benodigde netwerkinformatie ontvangt; Het testen/ monitoren van het resultaat. Het onderstaande netwerkontwerp laat zien, hoe het geheel in grote lijnen in elkaar zit. Eerst ga je het WAP configureren via het bedrade LAN. Dan breng je de eth0-interface van de objectcomputer down en ga je via de WLAN0 testen of het wireless LAN de service biedt, die je geacht wordt te hebben geconfigureerd. Figuur 5.1 Opzet MKB-WiFi-omgeving Begin met het opzetten van een beveiligde HTTPS-verbinding naar het access-point met IP-adres 192.168.4.233. Log in met account/wachtwoord: admin/fischer. Je krijgt nu de webpagina te zien, waarmee je het access point kunt beheren. Kies hierin nu (zie figuur 2) voor Wireless => Neighborhood. Figuur 5.2 Dit professionele access-point werkt ook als een sensor, die laat zien welke andere access points in de buurt een RF-signaal uitzenden. Maak een lijstje van welke informatie beschikbaar pagina 16 van 21

is over elk access point. De waargenomen access points zijn onder te verdelen in eigen access points en access points van anderen. Maak die verdeling. Als iemand met een portable in de buurt van ons eigen access point, een ander dan het eigen access point zou uitkiezen op basis van signaalsterkte, welk ander access point komt dan in aanmerking? (Veel portables zijn ingesteld op bij voorkeur inloggen bij de sterkste!) Verdeel de waargenomen access points in categorieën op basis van gebruikte beveiligingstechniek: geen beveiliging, WEP-beveiliging en WPA-beveiliging. We gaan nu via de wireless interface van de object computer bekijken welke access points deze kan waarnemen en welke informatie daar beschikbaar is. Onderstaande figuur toont een mogelijke instelling van het draadloze deel van een access point. Kijk in jouw situatie naar de actuele instellingen en ga na welke van die instellingen waarneembaar zijn via je WLAN0-interface op de objectcomputer. Figuur 5.3 Oefening: verander de SSID-naam, het RF-kanaal en de security-instellingen van het access point, druk op SAVE en ga na of je die gewijzigde instellingen ook via je WiFi-interface op de objectcomputer kunt waarnemen. Inzicht in de kanaalkeuze. Om maximale throughput te verkrijgen moet dat kanaal worden gekozen, waarbij de minste interferentie optreedt. Wat speelt is dat de kanalen overlappend zijn en dat geen enkel kanaal in absolute zin vrij is. Het gaat om het minimaliseren van de interferentie door het kiezen van het kanaal de de minste interferentie van access points in dat kanaal en hun sterkte (S/N is bekend), maar ook van de access points in de nabuurkanalen. Je gaat nu het optimale RF-kanaal bepalen, waarbij je zelf de strategie dient vast te stellen. Dus de vraag is: welke RF-kanaal zal, gegeven de actuele situatie, de beste resultaten opleveren? pagina 17 van 21

Een access point met een SSID en zonder toegangsbeveiliging kan worden opgezet vanuit de visie dat toegang tot een datanetwerk via een RF-hotspot een gratis basisrecht is. Het nadeel van deze aanpak is, dat al je netwerkverkeer onversleuteld is en door anderen onderschept kan worden. Daarom pakken we het op de volgende wijze aan; je gaat nu de toegang opzetten op basis van WPA-versleuteling. De boodschap is: WEP is onveilig, een eenvoudige Pre-shared WPA is te doen, met de aantekening, dat alleen bij een kleiner bedrijf de beheerder in staat is om in de access points zelf, met een aantal access points en een aantal gebruikers, het key-management vorm te geven. Je moet weer in staat zijn om direct op je wireless aansluiting op de objectcomputer te zien, dat het access point nu met een WPA-beveiliging werkt. Figuur 5.4 Access-point met een SSID en een indicatie m.b.t. beveiliging. Opdracht: stel een nieuwe WPA-PSK in (save!!) en test of je nu contact kunt maken met het WiFinetwerk. Figuur 5.5 pagina 18 van 21

We gaan nu het WAP zo instellen, dat de host op het WiFi-netwerk via DHCP de benodigde netwerkinformatie ontvangt. Het wireless netwerk waarin we de objectcomputer inhangen, heeft 192.168.2.0/24 range. Zoek zelf in de menu s naar de juiste instelling, figuur 5.5 is een leidraad. Test de werking via de wireless interface van de objectcomputer. Het gebruikte access point heeft 3 interfaces. Het WiFi-interface, het hier niet gebruikte LANinterface en de ethernet-poort, die als INTERNET-interface wordt aangeduid. We zorgen dat het WAP is ingesteld, zodat het een ROUTER-functie krijgt (dat is op de CN1250 de default instelling, waarbij wireless poort naar internet-poort gerouteerd is, alleen van wireless naar/van LAN-poort kan gebridged worden). De onderstaande figuur is niet exact de situatie, die met de jouwe overeenkomt, maar het zit er wel dichtbij. Maar ook deze toont, dat het WiFi-netwerk en het INTERNET-subnet verschillende IP-subnetwerken zijn, waartussen dus gerouteerd moet worden. Ga na hoe in het experiment, de situatie ligt. Figuur 5.6 Het WAP zo instellen, waardoor het verkeer van het WiFi-subnetwerk, dat via de router naar het bedrade netwerk gaat een Source-Netwerk-adrestranslatie ondergaat (NAT-overloading, soms met PAT aangeduid). Figuur 5.7 (volgende pagina) toont waar in de menu s je ervoor moet zorgen, dat NAT plaatsvindt. Als nu alles goed is ingesteld, moet het mogelijk zijn om een http-sessie op te zetten naar 192.168.1.224 vanuit de objectcomputer, via de draadloze weg. De test kan als volgt verlopen. Je kunt op de switch poort fa0/9 down brengen. Dat doe je door in een terminal sessie te typen minicom switch. Er wordt dan via een terminal emulator via de seriële poort van de objectcomputer een sessie opgezet naar de console van de switch. Je kunt op de normale wijze even Fa0/9 down brengen. De enige route naar de server 192.168.1.244 verloopt nu via de gateway 192.168.2.1 (zie figuur 5.5). Je dient wel nog in de objectcomputer een statische route aan te brengen, die zegt dat netwerk 192.168.1.0/24 bereikbaar wordt via 192.168.2.1 gateway. Als je dit namelijk nalaat, zal verkeer vanuit de objectcomputer naar netwerk 192.168.1.0 foutief gestuurd worden naar de default gateway va de objectcomputer (145.89.184.250). pagina 19 van 21

Figuur 5.7 Een laatste test, die aantoont, hoe de NAT-translatie verloopt, kun je zichtbaar maken door verkeer te monitoren op respectievelijk de wireless poort en de Internetpoort als je bijvoorbeeld een ping doet naar adres 192.168.1.244 vanuit de objectcomputer. Zie figuur 5.8. Figuur 5.8 Experimenteer met deze IP-trace, die niet moet worden verward met traceroute: het is het bewaren van de frames van het verkeer dat de wireless poort of naar keuze de Internet-poort passeert. Je kunt nadat je de trace hebt gestopt de frames bekijken en bewaren in een text file of interessanter een PCAP-formaat, dat door Ethereal (of de opvolger Wireshark) kan worden gelezen (zie figuur 5.9). pagina 20 van 21