Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

ubiRoam - ubiquitous WLAN

44 Aufrufe

Veröffentlicht am

Allgegenwärtig offenes WLAN unter Wahrung der Interessen aller Beteiligten

Überblick: http://www.henrici.name/projects/ubiroam.html

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

ubiRoam - ubiquitous WLAN

  1. 1. WLAN für Deutschland “ubiquitous WLAN” ubiRoam Dr. Dirk Henrici, Januar 2017
  2. 2. Ausgangssituation Als im August 2014 die Bundesregierung ihre „Digitale Agenda“ verkündete, zeigte sich eine Reporterin der „New York Times“ fassungslos. „Hier findet man nicht mal ein öffentliches WLAN, und Sie wollen hier international führend werden?“, fragte die Amerikanerin, an Wirtschaftsminister Sigmar Gabriel (SPD) gerichtet. (Die Welt, 16.03.2016) • Freies WLAN hat in Deutschland noch immer Seltenheitswert, die meisten WLANs sind privat und nur mit Zugangsdaten nutzbar. • Die Abschaffung der Störerhaftung hat keine komplette Rechtssicherheit geschaffen, sodass keine grundlegende Veränderung zu erwarten ist. • Damit ist und bleibt ein wesentlicher Teil der in Deutschland vorhandenen Access-Netz-Infrastruktur weitgehend nicht nutzbar. • Vorhandene freie WLANs sind oft nur nach Anmeldung oder nach Bestätigen von Nutzungbedingungen auf “Vorschaltseiten” nutzbar, sodass oft keine bequeme automatische Nutzung möglich ist.
  3. 3. Anforderungen/Ziele Allgegenwärtig offenes WLAN unter Wahrung der Interessen aller Beteiligten. Access-Punkt-Betreiber (Privathaushalt, Firma, Behörde, etc.) Betreiber WLAN-Client (Smartphone, Tablet, Notebook, Smarthome/IoT-Gerät, etc.) • Möchte möglichst viele Access-Punkte nutzen können • Manuelle Konfiguration pro Access-Punkt sollte nicht erforderlich sein • IoT-Geräte sollten “plug-and-play” Netzwerk- zugang erhalten können • Datenverkehr soll gegenüber Access-Point-Betreibern verschlüsselt sein, wenn gewünscht • Möchte keine Haftungsrisiken eingehen • Hat oft ein Interesse, Zugang anzubieten (Kundenbindung, Kundenservice) • Möchte fremde Clients getrennt vom lokalen Netz halten • Möchte eigene Clients bevorzugt behandeln können und Zugang ins lokale Netz anbieten • Netzwerkzugang sollte möglichst flächendeckend angeboten werden • Vorhandene Netzwerkinfrastruktur sollte bestmöglich genutzt werden • Off-loading von Verkehren aus dem Mobilfunknetz sollte möglich sein Wirtschaftsstandort Deutschland
  4. 4. Lösungsidee/-konzept „ubiRoam“ macht den Weg für allgegenwärtig nutzbares WLAN frei Kernproblem heute ist, dass der Access-Punkt-Betreiber als Anschlussinhaber für den Datenverkehr aller Clients (mit-)verantwortlich ist. Annahme: Es ist keine Änderung der Rechtslage zu erwarten. Lösungsidee: Es darf keinen Datenverkehr geben, der für den Access-Punkt-Betreiber ein Risiko darstellt. Involviere dazu einen dritten Akteur.  Der Internetzugang des Access-Punkt-Betreibers wird nur für aus Haftungssicht unproblematischen Datenverkehr verwendet. Access-Punkt- Betreiber Zugangsdienste- anbieter Betreiber WLAN-Client Lösungskonzept • Fremde WLAN-Clients erhalten über den Access-Punkt erstmal keinen uneingeschränkten Internetzugang. Sie dürfen nur mit Zielen kommunizieren, für die ein Zugangsdiensteanbieter gegenüber dem Access-Punkt-Betreiber die Verantwortung trägt. • Die WLAN-Clients erhalten dazu eine Identität, die beim Zugangsdiensteanbieter bekannt ist und von diesem überprüft werden kann. • Die erlaubten Ziele werden in der Praxis ein VPN-Gateway des Zugangsdiensteanbieters oder eine (IoT-)Anwendungsplattform sein. Über ein solches VPN-Gateway kann ein WLAN-Client vollen Internetzugang erlangen, wobei die Haftung wie beim DSL-Anschluss zu Hause geregelt ist (Betreiber des WLAN-Clients entspricht Anschlussinhaber beim DSL). • Nutze einfache, bevorzugt standardisierte/praxiserprobte Techniken. ubi
  5. 5. eduroam bietet Internetzugang für Mitarbeiter wissenschaftlicher Einrichtungen an vielen wissenschaftlichen Institutionen weltweit. Die Anmeldung erfolgt automatisch mittels 802.1x unter Nutzung des heimischen persönlichen Accounts. Es wird föderierte RADIUS-Authentifizierung genutzt: „eduRoam“ nutzt ähnliche technische Grundlage Internetzugang nach Anmeldung über föderierte RADIUS-Authentifizierung Problem: Access-Point-Betreiber hat Haftungsproblematik WLAN-Gerät Supplicant Lokaler Access-Point-Betreiber Authenticator Heim-Organisation Home RADIUS Lokaler Server RADIUS Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X 802.11 Keyring WPA2 RADIUS Proxies No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius
  6. 6. Der Zugangsdiensteanbieter erlangt Kontrolle über den Datenverkehr und kann damit die Verantwortung für den Teilnehmer übernehmen (analog zum DSL zu Hause). Lösungskonzept für „ubiRoam“ Internetzugang ohne Haftungsrisiko für den Access-Point-Betreiber WLAN-Gerät phone4711@guteranbieter.de Access-Point-Betreiber ubi:cafecomfort Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:cafecomfort’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer eingeschränkten Internetzugang auf die IP-Adresse 198.51.100.15. Super, für den Datenverkehr des Teilnehmers bin ich nicht verantwortlich.” 6. “Danke! Kommunikation mit IP-Adresse 198.51.100.15 reicht mir vollkommen, um über das VPN-Gateway dort vollen Internetzugriff zu erlangen.” ubi
  7. 7. „ubiRoam“ funktioniert nicht nur unterwegs WLAN-Geräte können heimisches WLAN weiterhin wie gewohnt nutzen WLAN-Gerät phone4711@guteranbieter.de Heim-/Office-WLAN ubi:myhome Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:myhome’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer vollen Zugang ins lokale Netz und ins Internet, weil ich ‘phone4711@guteranbieter.de’ lokal kenne und dies für diese Dienste freigeschaltet ist.” 6. “Danke! Ich kann nun alle Dienste nutzen.” Die WLAN-Geräte müssen nur im heimischen WLAN als freigegeben hinterlegt sein, damit die standardmäßige Zugriffsbeschränkung nicht angewendet wird. ubi
  8. 8. Technische Implementierung von ubiRoam Nutzt föderierte RADIUS-Authentifizierung wie durch eduroam bekannt, löst jedoch Haftungsproblematik auf einfache Weise WLAN-Gerät Supplicant Access-Point-Betreiber Authenticator Zugangsdiensteanbieter Home RADIUS Lokaler/offener Server*1 RADIUS *1) Lokaler RADIUS-Server oder offener/freier Server oder vom ISP des Access-Point-Betreibers betriebener Server Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X new: additional attributes to define allowed destinations 802.11 Keyring WPA2 if user is not known and cleared by access point: (verify validity of data and) apply restrictions for client RADIUS Proxies Die freigegebenen IP-Adressen gehören entweder zu einem VPN-Gateway, das den Zugang zu beliebigen dahinterliegenden Netzen (im Regelfall dem Internet) ermöglicht, oder zu einem Backenddienst (z.B. IoT-Plattform), der für das WLAN-Gerät bereitgestellt werden soll. No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius ubi wie bei eduroam (Internetzugang für Mitarbeiter wissen- schaftlicher Einrich- tungen), soweit nicht in Farbe hervorgehoben
  9. 9. Vorteile „ubiRoam“ ist eine Win-Win-Lösung für alle Beteiligten • Access-Punkt-Betreiber können WLAN zur allgemeinen Nutzung anbieten, ohne Haftungsrisiken einzugehen oder Zugang zum lokalen Netz zu ermöglichen. • Höhere Sicherheit: Die Sicherheit von WLANs hängt nicht mehr an Netzwerkschlüsseln, die in der Praxis bei einer großen Zahl von Geräten nur mit entsprechend hohem Aufwand änderbar sind. • Traffic-Priorisierung nach bekannten und fremden Geräten ist möglich. • Betreiber von WLAN-Geräten können damit davon ausgehen, eine deutlich größere Zahl von WLANs als heute nutzen zu können. Gut für Deutschland als Wirtschaftsstandort. • WLAN-Geräte, im speziellen IoT-Geräte, benötigen keine spezifische Konfiguration pro Access-Punkt mehr, was die Einrichtung für deren Besitzer massiv erleichtert. • Die Verkehre in fremden WLANs sind durch die Nutzung eines VPN-Gateways wirksam geschützt (Integrität und Vertraulichkeit). • Abhängig von den Anforderungen können WLAN-Geräte nicht nur Internetzugang sondern auch sicheren Zugang in andere Netze (z.B. Firmenintranet) erlangen. • Problemlos herstellerunabhängig nutzbar: Der verbreitete 802.1X-Standard wird verwendet. • Mobilfunknetzbetreiber können davon ausgehen, mehr Verkehre über WLAN (“VoWiFi”) abwickeln zu können, was die Mobilfunknetze entlastet. ubi
  10. 10. • Wirtschaftsstandort Deutschland Die Öffnung von vorhandenen WLANs auf einheitliche Weise würde den Wirtschaftsstandort aufgrund besserer und bequemer nutzbarer Connectivity deutlich voranbringen. • Betreiber von WLAN-Geräten Großes Interesse, möglichst viele WLANs bequem und sicher zur Verfügung zu haben und verwenden zu können. Einbindung von WLAN-Geräten (insbesondere SmartHome / IoT) vereinfacht sich wesentlich. • Betreiber von Access-Punkten Aufgrund des Wegfalls von Haftungsrisiken für Access-Point-Betreiber können viel mehr Unternehmen (Bäcker, Cafés, Einzelhandel, etc.) ihren Kunden WLAN bedenkenlos anbieten. Deutliche Anreize zur Nutzung von ubiRoam vorhanden: Aus Solidarität bzw. auf Gegenseitigkeit werden viele Privatleute ihr WLAN öffnen, aufgrund von Kundenerwartungen viele Unternehmen. • Hardwarehersteller von Access-Punkten Keine Anreize aus sich allein heraus, Unterstützung für ubiRoam zu implementieren. Implementierung wird erfolgen, wenn Netzbetreiber dies fordern oder Kunden das Feature nachfragen oder zumindest ein Standard existiert, mit dessen Unterstützung man werben kann. • Netzbetreiber DSL-Anbieter: Risiko, dass weniger DSL-Anschlüsse benötigt werden, da WLAN von Nachbarn etc. mitgenutzt werden kann. Traffic pro DSL-Anschluss wird ansteigen, was bei Pauschalbepreisung nachteilig für die DSL-Anbieter ist. Kann durch steigende Preise pro Anschluss kompensiert werden. Mobilfunknetzbetreiber: Traffic-Off-loading ins WLAN ermöglicht bessere Netzabdeckung und besseres Kundenerlebnis bei gleichem oder weniger Netzausbau. Kunde wird an allgegenwärtige Datennutzung gewöhnt. Dadurch mehr Einnahmen für mobile Data. Im Gegenzug weniger Einnahmen für mobile Data, wo WLAN verfügbar. Neue Möglichkeiten, IoT-Geräte ins Netz einzubinden. Für alle: Neuer Markt, als Heimanbieter für VPN-Terminierung etc. zu fungieren.  Chancen für wandlungsfähige Unternehmen, Risiken für konservative Unternehmen Interessengruppen/Marktfolgen ubiRoam bewirkt Veränderung – zum Guten ubi nur Vorteile nur Vorteile fast nur Vorteile neutral Chancen und Risiken
  11. 11. Zusammenfassung „ubiRoam“ bietet WLAN für Deutschland • Ziel der „ubiRoam“-Initiative ist es, von abgeschotteten privaten WLANs wegzukommen und die vorhandene WLAN-Infrastruktur bestmöglich nutzbar zu machen. • Haftungsfragen, Sicherheit, Benutzerfreundlichkeit und die Interessen der einzelnen Stakeholder werden dabei bestmöglich berücksichtigt. • Die technische Implementierung nutzt ein verbreitetes, praxiserprobtes Verfahren, das nur geschickt erweitert wird. Nächste Schritte: • Konzept validieren • Mitstreiter finden ubi ubiRoam

×