SlideShare ist ein Scribd-Unternehmen logo

ubiRoam - ubiquitous WLAN

D
Dirk Henrici

Allgegenwärtig offenes WLAN unter Wahrung der Interessen aller Beteiligten Überblick: http://www.henrici.name/projects/ubiroam.html

Technologie
1 von 11
Downloaden Sie, um offline zu lesen
WLAN für Deutschland “ubiquitous WLAN” ubiRoam Dr. Dirk Henrici, Januar 2017
Ausgangssituation Als im August 2014 die Bundesregierung ihre „Digitale Agenda“ verkündete, zeigte sich eine Reporterin der „New York Times“ fassungslos. „Hier findet man nicht mal ein öffentliches WLAN, und Sie wollen hier international führend werden?“, fragte die Amerikanerin, an Wirtschaftsminister Sigmar Gabriel (SPD) gerichtet. (Die Welt, 16.03.2016) • Freies WLAN hat in Deutschland noch immer Seltenheitswert, die meisten WLANs sind privat und nur mit Zugangsdaten nutzbar. • Die Abschaffung der Störerhaftung hat keine komplette Rechtssicherheit geschaffen, sodass keine grundlegende Veränderung zu erwarten ist. • Damit ist und bleibt ein wesentlicher Teil der in Deutschland vorhandenen Access-Netz-Infrastruktur weitgehend nicht nutzbar. • Vorhandene freie WLANs sind oft nur nach Anmeldung oder nach Bestätigen von Nutzungbedingungen auf “Vorschaltseiten” nutzbar, sodass oft keine bequeme automatische Nutzung möglich ist.
Anforderungen/Ziele Allgegenwärtig offenes WLAN unter Wahrung der Interessen aller Beteiligten. Access-Punkt-Betreiber (Privathaushalt, Firma, Behörde, etc.) Betreiber WLAN-Client (Smartphone, Tablet, Notebook, Smarthome/IoT-Gerät, etc.) • Möchte möglichst viele Access-Punkte nutzen können • Manuelle Konfiguration pro Access-Punkt sollte nicht erforderlich sein • IoT-Geräte sollten “plug-and-play” Netzwerk- zugang erhalten können • Datenverkehr soll gegenüber Access-Point-Betreibern verschlüsselt sein, wenn gewünscht • Möchte keine Haftungsrisiken eingehen • Hat oft ein Interesse, Zugang anzubieten (Kundenbindung, Kundenservice) • Möchte fremde Clients getrennt vom lokalen Netz halten • Möchte eigene Clients bevorzugt behandeln können und Zugang ins lokale Netz anbieten • Netzwerkzugang sollte möglichst flächendeckend angeboten werden • Vorhandene Netzwerkinfrastruktur sollte bestmöglich genutzt werden • Off-loading von Verkehren aus dem Mobilfunknetz sollte möglich sein Wirtschaftsstandort Deutschland
Lösungsidee/-konzept „ubiRoam“ macht den Weg für allgegenwärtig nutzbares WLAN frei Kernproblem heute ist, dass der Access-Punkt-Betreiber als Anschlussinhaber für den Datenverkehr aller Clients (mit-)verantwortlich ist. Annahme: Es ist keine Änderung der Rechtslage zu erwarten. Lösungsidee: Es darf keinen Datenverkehr geben, der für den Access-Punkt-Betreiber ein Risiko darstellt. Involviere dazu einen dritten Akteur.  Der Internetzugang des Access-Punkt-Betreibers wird nur für aus Haftungssicht unproblematischen Datenverkehr verwendet. Access-Punkt- Betreiber Zugangsdienste- anbieter Betreiber WLAN-Client Lösungskonzept • Fremde WLAN-Clients erhalten über den Access-Punkt erstmal keinen uneingeschränkten Internetzugang. Sie dürfen nur mit Zielen kommunizieren, für die ein Zugangsdiensteanbieter gegenüber dem Access-Punkt-Betreiber die Verantwortung trägt. • Die WLAN-Clients erhalten dazu eine Identität, die beim Zugangsdiensteanbieter bekannt ist und von diesem überprüft werden kann. • Die erlaubten Ziele werden in der Praxis ein VPN-Gateway des Zugangsdiensteanbieters oder eine (IoT-)Anwendungsplattform sein. Über ein solches VPN-Gateway kann ein WLAN-Client vollen Internetzugang erlangen, wobei die Haftung wie beim DSL-Anschluss zu Hause geregelt ist (Betreiber des WLAN-Clients entspricht Anschlussinhaber beim DSL). • Nutze einfache, bevorzugt standardisierte/praxiserprobte Techniken. ubi
eduroam bietet Internetzugang für Mitarbeiter wissenschaftlicher Einrichtungen an vielen wissenschaftlichen Institutionen weltweit. Die Anmeldung erfolgt automatisch mittels 802.1x unter Nutzung des heimischen persönlichen Accounts. Es wird föderierte RADIUS-Authentifizierung genutzt: „eduRoam“ nutzt ähnliche technische Grundlage Internetzugang nach Anmeldung über föderierte RADIUS-Authentifizierung Problem: Access-Point-Betreiber hat Haftungsproblematik WLAN-Gerät Supplicant Lokaler Access-Point-Betreiber Authenticator Heim-Organisation Home RADIUS Lokaler Server RADIUS Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X 802.11 Keyring WPA2 RADIUS Proxies No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius
Der Zugangsdiensteanbieter erlangt Kontrolle über den Datenverkehr und kann damit die Verantwortung für den Teilnehmer übernehmen (analog zum DSL zu Hause). Lösungskonzept für „ubiRoam“ Internetzugang ohne Haftungsrisiko für den Access-Point-Betreiber WLAN-Gerät phone4711@guteranbieter.de Access-Point-Betreiber ubi:cafecomfort Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:cafecomfort’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer eingeschränkten Internetzugang auf die IP-Adresse 198.51.100.15. Super, für den Datenverkehr des Teilnehmers bin ich nicht verantwortlich.” 6. “Danke! Kommunikation mit IP-Adresse 198.51.100.15 reicht mir vollkommen, um über das VPN-Gateway dort vollen Internetzugriff zu erlangen.” ubi
„ubiRoam“ funktioniert nicht nur unterwegs WLAN-Geräte können heimisches WLAN weiterhin wie gewohnt nutzen WLAN-Gerät phone4711@guteranbieter.de Heim-/Office-WLAN ubi:myhome Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:myhome’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer vollen Zugang ins lokale Netz und ins Internet, weil ich ‘phone4711@guteranbieter.de’ lokal kenne und dies für diese Dienste freigeschaltet ist.” 6. “Danke! Ich kann nun alle Dienste nutzen.” Die WLAN-Geräte müssen nur im heimischen WLAN als freigegeben hinterlegt sein, damit die standardmäßige Zugriffsbeschränkung nicht angewendet wird. ubi
Technische Implementierung von ubiRoam Nutzt föderierte RADIUS-Authentifizierung wie durch eduroam bekannt, löst jedoch Haftungsproblematik auf einfache Weise WLAN-Gerät Supplicant Access-Point-Betreiber Authenticator Zugangsdiensteanbieter Home RADIUS Lokaler/offener Server*1 RADIUS *1) Lokaler RADIUS-Server oder offener/freier Server oder vom ISP des Access-Point-Betreibers betriebener Server Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X new: additional attributes to define allowed destinations 802.11 Keyring WPA2 if user is not known and cleared by access point: (verify validity of data and) apply restrictions for client RADIUS Proxies Die freigegebenen IP-Adressen gehören entweder zu einem VPN-Gateway, das den Zugang zu beliebigen dahinterliegenden Netzen (im Regelfall dem Internet) ermöglicht, oder zu einem Backenddienst (z.B. IoT-Plattform), der für das WLAN-Gerät bereitgestellt werden soll. No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius ubi wie bei eduroam (Internetzugang für Mitarbeiter wissen- schaftlicher Einrich- tungen), soweit nicht in Farbe hervorgehoben
Vorteile „ubiRoam“ ist eine Win-Win-Lösung für alle Beteiligten • Access-Punkt-Betreiber können WLAN zur allgemeinen Nutzung anbieten, ohne Haftungsrisiken einzugehen oder Zugang zum lokalen Netz zu ermöglichen. • Höhere Sicherheit: Die Sicherheit von WLANs hängt nicht mehr an Netzwerkschlüsseln, die in der Praxis bei einer großen Zahl von Geräten nur mit entsprechend hohem Aufwand änderbar sind. • Traffic-Priorisierung nach bekannten und fremden Geräten ist möglich. • Betreiber von WLAN-Geräten können damit davon ausgehen, eine deutlich größere Zahl von WLANs als heute nutzen zu können. Gut für Deutschland als Wirtschaftsstandort. • WLAN-Geräte, im speziellen IoT-Geräte, benötigen keine spezifische Konfiguration pro Access-Punkt mehr, was die Einrichtung für deren Besitzer massiv erleichtert. • Die Verkehre in fremden WLANs sind durch die Nutzung eines VPN-Gateways wirksam geschützt (Integrität und Vertraulichkeit). • Abhängig von den Anforderungen können WLAN-Geräte nicht nur Internetzugang sondern auch sicheren Zugang in andere Netze (z.B. Firmenintranet) erlangen. • Problemlos herstellerunabhängig nutzbar: Der verbreitete 802.1X-Standard wird verwendet. • Mobilfunknetzbetreiber können davon ausgehen, mehr Verkehre über WLAN (“VoWiFi”) abwickeln zu können, was die Mobilfunknetze entlastet. ubi
• Wirtschaftsstandort Deutschland Die Öffnung von vorhandenen WLANs auf einheitliche Weise würde den Wirtschaftsstandort aufgrund besserer und bequemer nutzbarer Connectivity deutlich voranbringen. • Betreiber von WLAN-Geräten Großes Interesse, möglichst viele WLANs bequem und sicher zur Verfügung zu haben und verwenden zu können. Einbindung von WLAN-Geräten (insbesondere SmartHome / IoT) vereinfacht sich wesentlich. • Betreiber von Access-Punkten Aufgrund des Wegfalls von Haftungsrisiken für Access-Point-Betreiber können viel mehr Unternehmen (Bäcker, Cafés, Einzelhandel, etc.) ihren Kunden WLAN bedenkenlos anbieten. Deutliche Anreize zur Nutzung von ubiRoam vorhanden: Aus Solidarität bzw. auf Gegenseitigkeit werden viele Privatleute ihr WLAN öffnen, aufgrund von Kundenerwartungen viele Unternehmen. • Hardwarehersteller von Access-Punkten Keine Anreize aus sich allein heraus, Unterstützung für ubiRoam zu implementieren. Implementierung wird erfolgen, wenn Netzbetreiber dies fordern oder Kunden das Feature nachfragen oder zumindest ein Standard existiert, mit dessen Unterstützung man werben kann. • Netzbetreiber DSL-Anbieter: Risiko, dass weniger DSL-Anschlüsse benötigt werden, da WLAN von Nachbarn etc. mitgenutzt werden kann. Traffic pro DSL-Anschluss wird ansteigen, was bei Pauschalbepreisung nachteilig für die DSL-Anbieter ist. Kann durch steigende Preise pro Anschluss kompensiert werden. Mobilfunknetzbetreiber: Traffic-Off-loading ins WLAN ermöglicht bessere Netzabdeckung und besseres Kundenerlebnis bei gleichem oder weniger Netzausbau. Kunde wird an allgegenwärtige Datennutzung gewöhnt. Dadurch mehr Einnahmen für mobile Data. Im Gegenzug weniger Einnahmen für mobile Data, wo WLAN verfügbar. Neue Möglichkeiten, IoT-Geräte ins Netz einzubinden. Für alle: Neuer Markt, als Heimanbieter für VPN-Terminierung etc. zu fungieren.  Chancen für wandlungsfähige Unternehmen, Risiken für konservative Unternehmen Interessengruppen/Marktfolgen ubiRoam bewirkt Veränderung – zum Guten ubi nur Vorteile nur Vorteile fast nur Vorteile neutral Chancen und Risiken
Zusammenfassung „ubiRoam“ bietet WLAN für Deutschland • Ziel der „ubiRoam“-Initiative ist es, von abgeschotteten privaten WLANs wegzukommen und die vorhandene WLAN-Infrastruktur bestmöglich nutzbar zu machen. • Haftungsfragen, Sicherheit, Benutzerfreundlichkeit und die Interessen der einzelnen Stakeholder werden dabei bestmöglich berücksichtigt. • Die technische Implementierung nutzt ein verbreitetes, praxiserprobtes Verfahren, das nur geschickt erweitert wird. Nächste Schritte: • Konzept validieren • Mitstreiter finden ubi ubiRoam

Empfohlen

eDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der SkipisteeDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der SkipisteUnwired Networks GmbH
 
3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des Remotezugriffs3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des RemotezugriffsAkamai Technologies
 
WLAN
WLANWLAN
WLANWestermo Network Technologies
 
Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...
Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...
Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...Christian Heise
 
Technische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenTechnische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenPhilippe A. R. Schaeffer
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Kuno Skach (Control Center Apps)
Kuno Skach (Control Center Apps)Kuno Skach (Control Center Apps)
Kuno Skach (Control Center Apps)Praxistage
 
UC-Serie Wildix funkschau - Cloud-Lösungen
UC-Serie Wildix funkschau - Cloud-Lösungen UC-Serie Wildix funkschau - Cloud-Lösungen
UC-Serie Wildix funkschau - Cloud-Lösungen Wildix
 

Empfohlen

eDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der SkipisteeDay Wlan & Security auf der Skipiste
eDay Wlan & Security auf der SkipisteUnwired Networks GmbH
 
3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des Remotezugriffs3 Gründe für eine neue Art des Remotezugriffs
3 Gründe für eine neue Art des RemotezugriffsAkamai Technologies
 
WLAN
WLANWLAN
WLANWestermo Network Technologies
 
Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...
Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...
Was ist Freifunk? Freie Kommunikation in digitalen Datennetzen: öffentlich zu...Christian Heise
 
Technische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenTechnische Machbarkeit von Sperrverfügungen
Technische Machbarkeit von SperrverfügungenPhilippe A. R. Schaeffer
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...SBA Research
 
Kuno Skach (Control Center Apps)
Kuno Skach (Control Center Apps)Kuno Skach (Control Center Apps)
Kuno Skach (Control Center Apps)Praxistage
 
UC-Serie Wildix funkschau - Cloud-Lösungen
UC-Serie Wildix funkschau - Cloud-Lösungen UC-Serie Wildix funkschau - Cloud-Lösungen
UC-Serie Wildix funkschau - Cloud-Lösungen Wildix
 
HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020HMA VPN
 
Lauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK SystemenLauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK SystemenAuerswald
 
Lauschen und kapern
Lauschen und kapernLauschen und kapern
Lauschen und kapernAuerswald
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewallpillardata
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der KryptographieHans Mittendorfer
 
VNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band TechnologienVNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band TechnologienReinhard Nowak
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?Thomas Stiren
 
Webinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & playWebinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & playTrebing & Himstedt Prozeßautomation GmbH & Co. KG
 
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.woelkeits
 
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit dm-development
 
CIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-ManagerCIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-ManagerVogel Business Media GmbH und Co. KG
 
Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)Jochen Voelker
 
PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG
 
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim RiemannIoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim RiemannTim Riemann
 
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data SenseCSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data SenseGordon Breuer
 
30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um NetzneutralitätThomas Lohninger
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische InfrastrukturWestermo Network Technologies
 

Weitere ähnliche Inhalte

Ähnlich wie ubiRoam - ubiquitous WLAN

HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020HMA VPN
 
Lauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK SystemenLauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK SystemenAuerswald
 
Lauschen und kapern
Lauschen und kapernLauschen und kapern
Lauschen und kapernAuerswald
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewallpillardata
 
VNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band TechnologienVNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band TechnologienReinhard Nowak
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)Swiss eEconomy Forum
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?Thomas Stiren
 
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.woelkeits
 
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit dm-development
 
Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)Jochen Voelker
 
PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG
 
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim RiemannIoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim RiemannTim Riemann
 
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data SenseCSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data SenseGordon Breuer
 
30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um NetzneutralitätThomas Lohninger
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Boris Adryan
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische InfrastrukturWestermo Network Technologies
 

Ähnlich wie ubiRoam - ubiquitous WLAN (20)

HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020
 
Lauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK SystemenLauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK Systemen
 
Lauschen und kapern
Lauschen und kapernLauschen und kapern
Lauschen und kapern
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewall
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der Kryptographie
 
VNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band TechnologienVNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band Technologien
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
 
Webinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & playWebinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & play
 
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
 
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
 
CIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-ManagerCIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-Manager
 
Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)
 
PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)
 
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim RiemannIoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
 
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data SenseCSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
 
30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
 

ubiRoam - ubiquitous WLAN

  • 1. WLAN für Deutschland “ubiquitous WLAN” ubiRoam Dr. Dirk Henrici, Januar 2017
  • 2. Ausgangssituation Als im August 2014 die Bundesregierung ihre „Digitale Agenda“ verkündete, zeigte sich eine Reporterin der „New York Times“ fassungslos. „Hier findet man nicht mal ein öffentliches WLAN, und Sie wollen hier international führend werden?“, fragte die Amerikanerin, an Wirtschaftsminister Sigmar Gabriel (SPD) gerichtet. (Die Welt, 16.03.2016) • Freies WLAN hat in Deutschland noch immer Seltenheitswert, die meisten WLANs sind privat und nur mit Zugangsdaten nutzbar. • Die Abschaffung der Störerhaftung hat keine komplette Rechtssicherheit geschaffen, sodass keine grundlegende Veränderung zu erwarten ist. • Damit ist und bleibt ein wesentlicher Teil der in Deutschland vorhandenen Access-Netz-Infrastruktur weitgehend nicht nutzbar. • Vorhandene freie WLANs sind oft nur nach Anmeldung oder nach Bestätigen von Nutzungbedingungen auf “Vorschaltseiten” nutzbar, sodass oft keine bequeme automatische Nutzung möglich ist.
  • 3. Anforderungen/Ziele Allgegenwärtig offenes WLAN unter Wahrung der Interessen aller Beteiligten. Access-Punkt-Betreiber (Privathaushalt, Firma, Behörde, etc.) Betreiber WLAN-Client (Smartphone, Tablet, Notebook, Smarthome/IoT-Gerät, etc.) • Möchte möglichst viele Access-Punkte nutzen können • Manuelle Konfiguration pro Access-Punkt sollte nicht erforderlich sein • IoT-Geräte sollten “plug-and-play” Netzwerk- zugang erhalten können • Datenverkehr soll gegenüber Access-Point-Betreibern verschlüsselt sein, wenn gewünscht • Möchte keine Haftungsrisiken eingehen • Hat oft ein Interesse, Zugang anzubieten (Kundenbindung, Kundenservice) • Möchte fremde Clients getrennt vom lokalen Netz halten • Möchte eigene Clients bevorzugt behandeln können und Zugang ins lokale Netz anbieten • Netzwerkzugang sollte möglichst flächendeckend angeboten werden • Vorhandene Netzwerkinfrastruktur sollte bestmöglich genutzt werden • Off-loading von Verkehren aus dem Mobilfunknetz sollte möglich sein Wirtschaftsstandort Deutschland
  • 4. Lösungsidee/-konzept „ubiRoam“ macht den Weg für allgegenwärtig nutzbares WLAN frei Kernproblem heute ist, dass der Access-Punkt-Betreiber als Anschlussinhaber für den Datenverkehr aller Clients (mit-)verantwortlich ist. Annahme: Es ist keine Änderung der Rechtslage zu erwarten. Lösungsidee: Es darf keinen Datenverkehr geben, der für den Access-Punkt-Betreiber ein Risiko darstellt. Involviere dazu einen dritten Akteur.  Der Internetzugang des Access-Punkt-Betreibers wird nur für aus Haftungssicht unproblematischen Datenverkehr verwendet. Access-Punkt- Betreiber Zugangsdienste- anbieter Betreiber WLAN-Client Lösungskonzept • Fremde WLAN-Clients erhalten über den Access-Punkt erstmal keinen uneingeschränkten Internetzugang. Sie dürfen nur mit Zielen kommunizieren, für die ein Zugangsdiensteanbieter gegenüber dem Access-Punkt-Betreiber die Verantwortung trägt. • Die WLAN-Clients erhalten dazu eine Identität, die beim Zugangsdiensteanbieter bekannt ist und von diesem überprüft werden kann. • Die erlaubten Ziele werden in der Praxis ein VPN-Gateway des Zugangsdiensteanbieters oder eine (IoT-)Anwendungsplattform sein. Über ein solches VPN-Gateway kann ein WLAN-Client vollen Internetzugang erlangen, wobei die Haftung wie beim DSL-Anschluss zu Hause geregelt ist (Betreiber des WLAN-Clients entspricht Anschlussinhaber beim DSL). • Nutze einfache, bevorzugt standardisierte/praxiserprobte Techniken. ubi
  • 5. eduroam bietet Internetzugang für Mitarbeiter wissenschaftlicher Einrichtungen an vielen wissenschaftlichen Institutionen weltweit. Die Anmeldung erfolgt automatisch mittels 802.1x unter Nutzung des heimischen persönlichen Accounts. Es wird föderierte RADIUS-Authentifizierung genutzt: „eduRoam“ nutzt ähnliche technische Grundlage Internetzugang nach Anmeldung über föderierte RADIUS-Authentifizierung Problem: Access-Point-Betreiber hat Haftungsproblematik WLAN-Gerät Supplicant Lokaler Access-Point-Betreiber Authenticator Heim-Organisation Home RADIUS Lokaler Server RADIUS Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X 802.11 Keyring WPA2 RADIUS Proxies No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius
  • 6. Der Zugangsdiensteanbieter erlangt Kontrolle über den Datenverkehr und kann damit die Verantwortung für den Teilnehmer übernehmen (analog zum DSL zu Hause). Lösungskonzept für „ubiRoam“ Internetzugang ohne Haftungsrisiko für den Access-Point-Betreiber WLAN-Gerät phone4711@guteranbieter.de Access-Point-Betreiber ubi:cafecomfort Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:cafecomfort’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer eingeschränkten Internetzugang auf die IP-Adresse 198.51.100.15. Super, für den Datenverkehr des Teilnehmers bin ich nicht verantwortlich.” 6. “Danke! Kommunikation mit IP-Adresse 198.51.100.15 reicht mir vollkommen, um über das VPN-Gateway dort vollen Internetzugriff zu erlangen.” ubi
  • 7. „ubiRoam“ funktioniert nicht nur unterwegs WLAN-Geräte können heimisches WLAN weiterhin wie gewohnt nutzen WLAN-Gerät phone4711@guteranbieter.de Heim-/Office-WLAN ubi:myhome Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:myhome’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer vollen Zugang ins lokale Netz und ins Internet, weil ich ‘phone4711@guteranbieter.de’ lokal kenne und dies für diese Dienste freigeschaltet ist.” 6. “Danke! Ich kann nun alle Dienste nutzen.” Die WLAN-Geräte müssen nur im heimischen WLAN als freigegeben hinterlegt sein, damit die standardmäßige Zugriffsbeschränkung nicht angewendet wird. ubi
  • 8. Technische Implementierung von ubiRoam Nutzt föderierte RADIUS-Authentifizierung wie durch eduroam bekannt, löst jedoch Haftungsproblematik auf einfache Weise WLAN-Gerät Supplicant Access-Point-Betreiber Authenticator Zugangsdiensteanbieter Home RADIUS Lokaler/offener Server*1 RADIUS *1) Lokaler RADIUS-Server oder offener/freier Server oder vom ISP des Access-Point-Betreibers betriebener Server Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X new: additional attributes to define allowed destinations 802.11 Keyring WPA2 if user is not known and cleared by access point: (verify validity of data and) apply restrictions for client RADIUS Proxies Die freigegebenen IP-Adressen gehören entweder zu einem VPN-Gateway, das den Zugang zu beliebigen dahinterliegenden Netzen (im Regelfall dem Internet) ermöglicht, oder zu einem Backenddienst (z.B. IoT-Plattform), der für das WLAN-Gerät bereitgestellt werden soll. No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius ubi wie bei eduroam (Internetzugang für Mitarbeiter wissen- schaftlicher Einrich- tungen), soweit nicht in Farbe hervorgehoben
  • 9. Vorteile „ubiRoam“ ist eine Win-Win-Lösung für alle Beteiligten • Access-Punkt-Betreiber können WLAN zur allgemeinen Nutzung anbieten, ohne Haftungsrisiken einzugehen oder Zugang zum lokalen Netz zu ermöglichen. • Höhere Sicherheit: Die Sicherheit von WLANs hängt nicht mehr an Netzwerkschlüsseln, die in der Praxis bei einer großen Zahl von Geräten nur mit entsprechend hohem Aufwand änderbar sind. • Traffic-Priorisierung nach bekannten und fremden Geräten ist möglich. • Betreiber von WLAN-Geräten können damit davon ausgehen, eine deutlich größere Zahl von WLANs als heute nutzen zu können. Gut für Deutschland als Wirtschaftsstandort. • WLAN-Geräte, im speziellen IoT-Geräte, benötigen keine spezifische Konfiguration pro Access-Punkt mehr, was die Einrichtung für deren Besitzer massiv erleichtert. • Die Verkehre in fremden WLANs sind durch die Nutzung eines VPN-Gateways wirksam geschützt (Integrität und Vertraulichkeit). • Abhängig von den Anforderungen können WLAN-Geräte nicht nur Internetzugang sondern auch sicheren Zugang in andere Netze (z.B. Firmenintranet) erlangen. • Problemlos herstellerunabhängig nutzbar: Der verbreitete 802.1X-Standard wird verwendet. • Mobilfunknetzbetreiber können davon ausgehen, mehr Verkehre über WLAN (“VoWiFi”) abwickeln zu können, was die Mobilfunknetze entlastet. ubi
  • 10. • Wirtschaftsstandort Deutschland Die Öffnung von vorhandenen WLANs auf einheitliche Weise würde den Wirtschaftsstandort aufgrund besserer und bequemer nutzbarer Connectivity deutlich voranbringen. • Betreiber von WLAN-Geräten Großes Interesse, möglichst viele WLANs bequem und sicher zur Verfügung zu haben und verwenden zu können. Einbindung von WLAN-Geräten (insbesondere SmartHome / IoT) vereinfacht sich wesentlich. • Betreiber von Access-Punkten Aufgrund des Wegfalls von Haftungsrisiken für Access-Point-Betreiber können viel mehr Unternehmen (Bäcker, Cafés, Einzelhandel, etc.) ihren Kunden WLAN bedenkenlos anbieten. Deutliche Anreize zur Nutzung von ubiRoam vorhanden: Aus Solidarität bzw. auf Gegenseitigkeit werden viele Privatleute ihr WLAN öffnen, aufgrund von Kundenerwartungen viele Unternehmen. • Hardwarehersteller von Access-Punkten Keine Anreize aus sich allein heraus, Unterstützung für ubiRoam zu implementieren. Implementierung wird erfolgen, wenn Netzbetreiber dies fordern oder Kunden das Feature nachfragen oder zumindest ein Standard existiert, mit dessen Unterstützung man werben kann. • Netzbetreiber DSL-Anbieter: Risiko, dass weniger DSL-Anschlüsse benötigt werden, da WLAN von Nachbarn etc. mitgenutzt werden kann. Traffic pro DSL-Anschluss wird ansteigen, was bei Pauschalbepreisung nachteilig für die DSL-Anbieter ist. Kann durch steigende Preise pro Anschluss kompensiert werden. Mobilfunknetzbetreiber: Traffic-Off-loading ins WLAN ermöglicht bessere Netzabdeckung und besseres Kundenerlebnis bei gleichem oder weniger Netzausbau. Kunde wird an allgegenwärtige Datennutzung gewöhnt. Dadurch mehr Einnahmen für mobile Data. Im Gegenzug weniger Einnahmen für mobile Data, wo WLAN verfügbar. Neue Möglichkeiten, IoT-Geräte ins Netz einzubinden. Für alle: Neuer Markt, als Heimanbieter für VPN-Terminierung etc. zu fungieren.  Chancen für wandlungsfähige Unternehmen, Risiken für konservative Unternehmen Interessengruppen/Marktfolgen ubiRoam bewirkt Veränderung – zum Guten ubi nur Vorteile nur Vorteile fast nur Vorteile neutral Chancen und Risiken
  • 11. Zusammenfassung „ubiRoam“ bietet WLAN für Deutschland • Ziel der „ubiRoam“-Initiative ist es, von abgeschotteten privaten WLANs wegzukommen und die vorhandene WLAN-Infrastruktur bestmöglich nutzbar zu machen. • Haftungsfragen, Sicherheit, Benutzerfreundlichkeit und die Interessen der einzelnen Stakeholder werden dabei bestmöglich berücksichtigt. • Die technische Implementierung nutzt ein verbreitetes, praxiserprobtes Verfahren, das nur geschickt erweitert wird. Nächste Schritte: • Konzept validieren • Mitstreiter finden ubi ubiRoam