SlideShare ist ein Scribd-Unternehmen logo
WLAN für Deutschland
“ubiquitous WLAN”
ubiRoam
Dr. Dirk Henrici, Januar 2017
Ausgangssituation
Als im August 2014 die Bundesregierung ihre „Digitale Agenda“ verkündete, zeigte
sich eine Reporterin der „New York Times“ fassungslos. „Hier findet man nicht mal ein
öffentliches WLAN, und Sie wollen hier international führend werden?“, fragte die
Amerikanerin, an Wirtschaftsminister Sigmar Gabriel (SPD) gerichtet. (Die Welt, 16.03.2016)
• Freies WLAN hat in Deutschland noch immer Seltenheitswert,
die meisten WLANs sind privat und nur mit Zugangsdaten nutzbar.
• Die Abschaffung der Störerhaftung hat keine komplette
Rechtssicherheit geschaffen, sodass keine grundlegende
Veränderung zu erwarten ist.
• Damit ist und bleibt ein wesentlicher Teil der in Deutschland
vorhandenen Access-Netz-Infrastruktur weitgehend nicht nutzbar.
• Vorhandene freie WLANs sind oft nur nach Anmeldung oder nach
Bestätigen von Nutzungbedingungen auf “Vorschaltseiten” nutzbar,
sodass oft keine bequeme automatische Nutzung möglich ist.
Anforderungen/Ziele
Allgegenwärtig offenes WLAN unter Wahrung der Interessen aller Beteiligten.
Access-Punkt-Betreiber
(Privathaushalt, Firma, Behörde, etc.)
Betreiber WLAN-Client
(Smartphone, Tablet, Notebook,
Smarthome/IoT-Gerät, etc.)
• Möchte möglichst viele Access-Punkte
nutzen können
• Manuelle Konfiguration pro Access-Punkt
sollte nicht erforderlich sein
• IoT-Geräte sollten “plug-and-play” Netzwerk-
zugang erhalten können
• Datenverkehr soll gegenüber Access-Point-Betreibern
verschlüsselt sein, wenn gewünscht
• Möchte keine Haftungsrisiken eingehen
• Hat oft ein Interesse, Zugang anzubieten
(Kundenbindung, Kundenservice)
• Möchte fremde Clients getrennt vom lokalen
Netz halten
• Möchte eigene Clients bevorzugt behandeln
können und Zugang ins lokale Netz anbieten
• Netzwerkzugang sollte möglichst flächendeckend angeboten werden
• Vorhandene Netzwerkinfrastruktur sollte bestmöglich genutzt werden
• Off-loading von Verkehren aus dem Mobilfunknetz sollte möglich sein
Wirtschaftsstandort Deutschland
Lösungsidee/-konzept
„ubiRoam“ macht den Weg für allgegenwärtig nutzbares WLAN frei
Kernproblem heute ist, dass der Access-Punkt-Betreiber als Anschlussinhaber für den Datenverkehr aller
Clients (mit-)verantwortlich ist. Annahme: Es ist keine Änderung der Rechtslage zu erwarten.
Lösungsidee: Es darf keinen Datenverkehr geben, der für den Access-Punkt-Betreiber
ein Risiko darstellt. Involviere dazu einen dritten Akteur.
 Der Internetzugang des Access-Punkt-Betreibers wird nur für aus Haftungssicht unproblematischen Datenverkehr verwendet.
Access-Punkt-
Betreiber
Zugangsdienste-
anbieter
Betreiber
WLAN-Client
Lösungskonzept
• Fremde WLAN-Clients erhalten über den Access-Punkt erstmal keinen
uneingeschränkten Internetzugang. Sie dürfen nur mit Zielen kommunizieren,
für die ein Zugangsdiensteanbieter gegenüber dem Access-Punkt-Betreiber die
Verantwortung trägt.
• Die WLAN-Clients erhalten dazu eine Identität, die beim
Zugangsdiensteanbieter bekannt ist und von diesem überprüft werden kann.
• Die erlaubten Ziele werden in der Praxis ein VPN-Gateway des
Zugangsdiensteanbieters oder eine (IoT-)Anwendungsplattform sein. Über ein
solches VPN-Gateway kann ein WLAN-Client vollen Internetzugang erlangen,
wobei die Haftung wie beim DSL-Anschluss zu Hause geregelt ist (Betreiber
des WLAN-Clients entspricht Anschlussinhaber beim DSL).
• Nutze einfache, bevorzugt standardisierte/praxiserprobte Techniken.
ubi
eduroam bietet Internetzugang für Mitarbeiter wissenschaftlicher Einrichtungen an vielen
wissenschaftlichen Institutionen weltweit.
Die Anmeldung erfolgt automatisch mittels 802.1x unter Nutzung des heimischen persönlichen Accounts.
Es wird föderierte RADIUS-Authentifizierung genutzt:
„eduRoam“ nutzt ähnliche technische Grundlage
Internetzugang nach Anmeldung über föderierte RADIUS-Authentifizierung
Problem: Access-Point-Betreiber hat Haftungsproblematik
WLAN-Gerät
Supplicant
Lokaler Access-Point-Betreiber
Authenticator
Heim-Organisation
Home RADIUS
Lokaler Server
RADIUS
Beginn 802.1X
802.11 Association WPA2
EAPOL Start
EAP Request Identity
EAP Response Outer Identity
EAP Request Credentials
Based on SSID,
supplicant can
choose whether to
provide complete
identity or user
“anonymous”
Beginn TLS Tunnel
RADIUS Access Request
RADIUS Access Challenge
EAP Response Credentials RADIUS Access Request
Ende TLS Tunnel
RADIUS Access ResponseEAP Success/Failure
Ende 802.1X
802.11 Keyring WPA2
RADIUS
Proxies
No change needed,
Almost all devices
support 802.1X
Small extensions
needed in current
implementations
Known and proven technology:
RADIUS with realm/proxy configuration
e.g. Freeradius
Der Zugangsdiensteanbieter erlangt Kontrolle über den Datenverkehr und kann damit die Verantwortung für
den Teilnehmer übernehmen (analog zum DSL zu Hause).
Lösungskonzept für „ubiRoam“
Internetzugang ohne Haftungsrisiko für den Access-Point-Betreiber
WLAN-Gerät
phone4711@guteranbieter.de
Access-Point-Betreiber
ubi:cafecomfort
Zugangsdiensteanbieter
guteranbieter.de
1. “Ich biete ubiRoam an.”
2. “Ich möchte ubiRoam über den
Access-Point ‘ubi:cafecomfort’ nutzen.
Ich bin ‘phone4711@guteranbieter.de’.”
3. “Liebe ubi-Infrastruktur, ein Teilnehmer
von ‘guteranbieter.de’ erbittet Zugang.”
4. “Ich kenne den Teilnehmer und übernehme
die Verantwortung für jeglichen Daten-
verkehr zu „vpngateway.guteranbieter.de“
(IP-Adresse 198.51.100.15).”
5. “Ich erlaube dem Teilnehmer eingeschränkten
Internetzugang auf die IP-Adresse 198.51.100.15.
Super, für den Datenverkehr
des Teilnehmers bin ich nicht verantwortlich.”
6. “Danke! Kommunikation mit IP-Adresse
198.51.100.15 reicht mir vollkommen,
um über das VPN-Gateway dort vollen
Internetzugriff zu erlangen.”
ubi
„ubiRoam“ funktioniert nicht nur unterwegs
WLAN-Geräte können heimisches WLAN weiterhin wie gewohnt nutzen
WLAN-Gerät
phone4711@guteranbieter.de
Heim-/Office-WLAN
ubi:myhome
Zugangsdiensteanbieter
guteranbieter.de
1. “Ich biete ubiRoam an.”
2. “Ich möchte ubiRoam über den
Access-Point ‘ubi:myhome’ nutzen.
Ich bin ‘phone4711@guteranbieter.de’.”
3. “Liebe ubi-Infrastruktur, ein Teilnehmer
von ‘guteranbieter.de’ erbittet Zugang.”
4. “Ich kenne den Teilnehmer und übernehme
die Verantwortung für jeglichen Daten-
verkehr zu „vpngateway.guteranbieter.de“
(IP-Adresse 198.51.100.15).”
5. “Ich erlaube dem Teilnehmer vollen Zugang
ins lokale Netz und ins Internet, weil ich
‘phone4711@guteranbieter.de’ lokal kenne
und dies für diese Dienste freigeschaltet ist.”
6. “Danke! Ich kann nun
alle Dienste nutzen.”
Die WLAN-Geräte müssen nur im heimischen WLAN als freigegeben hinterlegt sein, damit die standardmäßige
Zugriffsbeschränkung nicht angewendet wird.
ubi
Technische Implementierung von ubiRoam
Nutzt föderierte RADIUS-Authentifizierung wie durch eduroam bekannt,
löst jedoch Haftungsproblematik auf einfache Weise
WLAN-Gerät
Supplicant
Access-Point-Betreiber
Authenticator
Zugangsdiensteanbieter
Home RADIUS
Lokaler/offener Server*1
RADIUS
*1) Lokaler RADIUS-Server oder offener/freier Server oder vom ISP des Access-Point-Betreibers betriebener Server
Beginn 802.1X
802.11 Association WPA2
EAPOL Start
EAP Request Identity
EAP Response Outer Identity
EAP Request Credentials
Based on SSID,
supplicant can
choose whether to
provide complete
identity or user
“anonymous”
Beginn TLS Tunnel
RADIUS Access Request
RADIUS Access Challenge
EAP Response Credentials RADIUS Access Request
Ende TLS Tunnel
RADIUS Access ResponseEAP Success/Failure
Ende 802.1X
new: additional attributes to define allowed destinations
802.11 Keyring WPA2
if user is not known and
cleared by access point:
(verify validity of data and)
apply restrictions for client
RADIUS
Proxies
Die freigegebenen IP-Adressen gehören entweder zu einem VPN-Gateway, das den Zugang zu beliebigen dahinterliegenden
Netzen (im Regelfall dem Internet) ermöglicht, oder zu einem Backenddienst (z.B. IoT-Plattform), der für das WLAN-Gerät
bereitgestellt werden soll.
No change needed,
Almost all devices
support 802.1X
Small extensions
needed in current
implementations
Known and proven technology:
RADIUS with realm/proxy configuration
e.g. Freeradius
ubi
wie bei eduroam
(Internetzugang für
Mitarbeiter wissen-
schaftlicher Einrich-
tungen),
soweit nicht in Farbe
hervorgehoben
Vorteile
„ubiRoam“ ist eine Win-Win-Lösung für alle Beteiligten
• Access-Punkt-Betreiber können WLAN zur allgemeinen Nutzung anbieten, ohne Haftungsrisiken
einzugehen oder Zugang zum lokalen Netz zu ermöglichen.
• Höhere Sicherheit: Die Sicherheit von WLANs hängt nicht mehr an Netzwerkschlüsseln, die in der Praxis bei
einer großen Zahl von Geräten nur mit entsprechend hohem Aufwand änderbar sind.
• Traffic-Priorisierung nach bekannten und fremden Geräten ist möglich.
• Betreiber von WLAN-Geräten können damit davon ausgehen, eine deutlich größere Zahl von WLANs als
heute nutzen zu können. Gut für Deutschland als Wirtschaftsstandort.
• WLAN-Geräte, im speziellen IoT-Geräte, benötigen keine spezifische Konfiguration pro Access-Punkt mehr,
was die Einrichtung für deren Besitzer massiv erleichtert.
• Die Verkehre in fremden WLANs sind durch die Nutzung eines VPN-Gateways wirksam geschützt (Integrität
und Vertraulichkeit).
• Abhängig von den Anforderungen können WLAN-Geräte nicht nur Internetzugang sondern auch sicheren
Zugang in andere Netze (z.B. Firmenintranet) erlangen.
• Problemlos herstellerunabhängig nutzbar: Der verbreitete 802.1X-Standard wird verwendet.
• Mobilfunknetzbetreiber können davon ausgehen, mehr Verkehre über WLAN (“VoWiFi”) abwickeln zu
können, was die Mobilfunknetze entlastet.
ubi
• Wirtschaftsstandort Deutschland
Die Öffnung von vorhandenen WLANs auf einheitliche Weise würde den Wirtschaftsstandort aufgrund besserer und
bequemer nutzbarer Connectivity deutlich voranbringen.
• Betreiber von WLAN-Geräten
Großes Interesse, möglichst viele WLANs bequem und sicher zur Verfügung zu haben und verwenden zu können.
Einbindung von WLAN-Geräten (insbesondere SmartHome / IoT) vereinfacht sich wesentlich.
• Betreiber von Access-Punkten
Aufgrund des Wegfalls von Haftungsrisiken für Access-Point-Betreiber können viel mehr Unternehmen (Bäcker, Cafés,
Einzelhandel, etc.) ihren Kunden WLAN bedenkenlos anbieten.
Deutliche Anreize zur Nutzung von ubiRoam vorhanden: Aus Solidarität bzw. auf Gegenseitigkeit werden viele Privatleute ihr
WLAN öffnen, aufgrund von Kundenerwartungen viele Unternehmen.
• Hardwarehersteller von Access-Punkten
Keine Anreize aus sich allein heraus, Unterstützung für ubiRoam zu implementieren.
Implementierung wird erfolgen, wenn Netzbetreiber dies fordern oder Kunden das Feature nachfragen oder zumindest ein
Standard existiert, mit dessen Unterstützung man werben kann.
• Netzbetreiber
DSL-Anbieter: Risiko, dass weniger DSL-Anschlüsse benötigt werden, da WLAN von Nachbarn etc. mitgenutzt werden kann.
Traffic pro DSL-Anschluss wird ansteigen, was bei Pauschalbepreisung nachteilig für die DSL-Anbieter ist. Kann durch
steigende Preise pro Anschluss kompensiert werden.
Mobilfunknetzbetreiber: Traffic-Off-loading ins WLAN ermöglicht bessere Netzabdeckung und besseres Kundenerlebnis bei
gleichem oder weniger Netzausbau. Kunde wird an allgegenwärtige Datennutzung gewöhnt. Dadurch mehr Einnahmen für
mobile Data. Im Gegenzug weniger Einnahmen für mobile Data, wo WLAN verfügbar. Neue Möglichkeiten, IoT-Geräte ins
Netz einzubinden.
Für alle: Neuer Markt, als Heimanbieter für VPN-Terminierung etc. zu fungieren.
 Chancen für wandlungsfähige Unternehmen, Risiken für konservative Unternehmen
Interessengruppen/Marktfolgen
ubiRoam bewirkt Veränderung – zum Guten
ubi
nur Vorteile
nur Vorteile
fast nur Vorteile
neutral
Chancen und Risiken
Zusammenfassung
„ubiRoam“ bietet WLAN für Deutschland
• Ziel der „ubiRoam“-Initiative ist es, von abgeschotteten privaten WLANs
wegzukommen und die vorhandene WLAN-Infrastruktur bestmöglich nutzbar zu
machen.
• Haftungsfragen, Sicherheit, Benutzerfreundlichkeit und die Interessen der
einzelnen Stakeholder werden dabei bestmöglich berücksichtigt.
• Die technische Implementierung nutzt ein verbreitetes, praxiserprobtes Verfahren,
das nur geschickt erweitert wird.
Nächste Schritte:
• Konzept validieren
• Mitstreiter finden
ubi
ubiRoam

Weitere ähnliche Inhalte

Ähnlich wie ubiRoam - ubiquitous WLAN

HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN
 
Lauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK SystemenLauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK Systemen
Auerswald
 
Lauschen und kapern
Lauschen und kapernLauschen und kapern
Lauschen und kapern
Auerswald
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewall
pillardata
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der Kryptographie
Hans Mittendorfer
 
VNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band TechnologienVNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band Technologien
Reinhard Nowak
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
Swiss eEconomy Forum
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
Thomas Stiren
 
Webinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & playWebinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & play
Trebing & Himstedt Prozeßautomation GmbH & Co. KG
 
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
woelkeits
 
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
dm-development
 
CIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-ManagerCIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-Manager
Vogel Business Media GmbH und Co. KG
 
Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)
Jochen Voelker
 
PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)
PCS AG
 
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim RiemannIoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
Tim Riemann
 
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data SenseCSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
Gordon Breuer
 
30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität
Thomas Lohninger
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
Agenda Europe 2035
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Boris Adryan
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
Westermo Network Technologies
 

Ähnlich wie ubiRoam - ubiquitous WLAN (20)

HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020HMA VPN | Hinweise fuer Tester | August 2020
HMA VPN | Hinweise fuer Tester | August 2020
 
Lauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK SystemenLauschen und kapern - Sicherheit von ITK Systemen
Lauschen und kapern - Sicherheit von ITK Systemen
 
Lauschen und kapern
Lauschen und kapernLauschen und kapern
Lauschen und kapern
 
Palo Alto Networks - Just another Firewall
Palo Alto Networks - Just another FirewallPalo Alto Networks - Just another Firewall
Palo Alto Networks - Just another Firewall
 
Grenzen der Kryptographie
Grenzen der KryptographieGrenzen der Kryptographie
Grenzen der Kryptographie
 
VNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band TechnologienVNL 2018 LineMetrics - Narrow-Band Technologien
VNL 2018 LineMetrics - Narrow-Band Technologien
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
 
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
dataroomX: Wie finde ich den richtigen Datenraum-Anbieter?
 
Webinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & playWebinar - Vom Sensor in die Cloud – von individuell bis plug & play
Webinar - Vom Sensor in die Cloud – von individuell bis plug & play
 
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
Kabellos. Schnell und Sicher, professionelle WLAN Planung für Ihr Netzwerk.
 
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
Angriffe auf Smartphones im Mobilfunknetz, Präsentation der Diplomarbeit
 
CIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-ManagerCIO Briefing - Technologie-Update für IT-Manager
CIO Briefing - Technologie-Update für IT-Manager
 
Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)Vodafone NB-IoT Whitepaper (Deutsch)
Vodafone NB-IoT Whitepaper (Deutsch)
 
PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)
 
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim RiemannIoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
IoT Hessen - Einführung in das The Things Network und LoRaWAN - Tim Riemann
 
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data SenseCSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
CSI: WP - Dem Windows Phone auf der Spur, GDR2-Internetspecial: Data Sense
 
30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität30c3 Der Kampf um Netzneutralität
30c3 Der Kampf um Netzneutralität
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
Plattformen für das Internet der Dinge, solutions.hamburg, 05.09.16
 
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
450MHz LTE als der neue Standard für Mobilfunk und kritische Infrastruktur
 

ubiRoam - ubiquitous WLAN

  • 1. WLAN für Deutschland “ubiquitous WLAN” ubiRoam Dr. Dirk Henrici, Januar 2017
  • 2. Ausgangssituation Als im August 2014 die Bundesregierung ihre „Digitale Agenda“ verkündete, zeigte sich eine Reporterin der „New York Times“ fassungslos. „Hier findet man nicht mal ein öffentliches WLAN, und Sie wollen hier international führend werden?“, fragte die Amerikanerin, an Wirtschaftsminister Sigmar Gabriel (SPD) gerichtet. (Die Welt, 16.03.2016) • Freies WLAN hat in Deutschland noch immer Seltenheitswert, die meisten WLANs sind privat und nur mit Zugangsdaten nutzbar. • Die Abschaffung der Störerhaftung hat keine komplette Rechtssicherheit geschaffen, sodass keine grundlegende Veränderung zu erwarten ist. • Damit ist und bleibt ein wesentlicher Teil der in Deutschland vorhandenen Access-Netz-Infrastruktur weitgehend nicht nutzbar. • Vorhandene freie WLANs sind oft nur nach Anmeldung oder nach Bestätigen von Nutzungbedingungen auf “Vorschaltseiten” nutzbar, sodass oft keine bequeme automatische Nutzung möglich ist.
  • 3. Anforderungen/Ziele Allgegenwärtig offenes WLAN unter Wahrung der Interessen aller Beteiligten. Access-Punkt-Betreiber (Privathaushalt, Firma, Behörde, etc.) Betreiber WLAN-Client (Smartphone, Tablet, Notebook, Smarthome/IoT-Gerät, etc.) • Möchte möglichst viele Access-Punkte nutzen können • Manuelle Konfiguration pro Access-Punkt sollte nicht erforderlich sein • IoT-Geräte sollten “plug-and-play” Netzwerk- zugang erhalten können • Datenverkehr soll gegenüber Access-Point-Betreibern verschlüsselt sein, wenn gewünscht • Möchte keine Haftungsrisiken eingehen • Hat oft ein Interesse, Zugang anzubieten (Kundenbindung, Kundenservice) • Möchte fremde Clients getrennt vom lokalen Netz halten • Möchte eigene Clients bevorzugt behandeln können und Zugang ins lokale Netz anbieten • Netzwerkzugang sollte möglichst flächendeckend angeboten werden • Vorhandene Netzwerkinfrastruktur sollte bestmöglich genutzt werden • Off-loading von Verkehren aus dem Mobilfunknetz sollte möglich sein Wirtschaftsstandort Deutschland
  • 4. Lösungsidee/-konzept „ubiRoam“ macht den Weg für allgegenwärtig nutzbares WLAN frei Kernproblem heute ist, dass der Access-Punkt-Betreiber als Anschlussinhaber für den Datenverkehr aller Clients (mit-)verantwortlich ist. Annahme: Es ist keine Änderung der Rechtslage zu erwarten. Lösungsidee: Es darf keinen Datenverkehr geben, der für den Access-Punkt-Betreiber ein Risiko darstellt. Involviere dazu einen dritten Akteur.  Der Internetzugang des Access-Punkt-Betreibers wird nur für aus Haftungssicht unproblematischen Datenverkehr verwendet. Access-Punkt- Betreiber Zugangsdienste- anbieter Betreiber WLAN-Client Lösungskonzept • Fremde WLAN-Clients erhalten über den Access-Punkt erstmal keinen uneingeschränkten Internetzugang. Sie dürfen nur mit Zielen kommunizieren, für die ein Zugangsdiensteanbieter gegenüber dem Access-Punkt-Betreiber die Verantwortung trägt. • Die WLAN-Clients erhalten dazu eine Identität, die beim Zugangsdiensteanbieter bekannt ist und von diesem überprüft werden kann. • Die erlaubten Ziele werden in der Praxis ein VPN-Gateway des Zugangsdiensteanbieters oder eine (IoT-)Anwendungsplattform sein. Über ein solches VPN-Gateway kann ein WLAN-Client vollen Internetzugang erlangen, wobei die Haftung wie beim DSL-Anschluss zu Hause geregelt ist (Betreiber des WLAN-Clients entspricht Anschlussinhaber beim DSL). • Nutze einfache, bevorzugt standardisierte/praxiserprobte Techniken. ubi
  • 5. eduroam bietet Internetzugang für Mitarbeiter wissenschaftlicher Einrichtungen an vielen wissenschaftlichen Institutionen weltweit. Die Anmeldung erfolgt automatisch mittels 802.1x unter Nutzung des heimischen persönlichen Accounts. Es wird föderierte RADIUS-Authentifizierung genutzt: „eduRoam“ nutzt ähnliche technische Grundlage Internetzugang nach Anmeldung über föderierte RADIUS-Authentifizierung Problem: Access-Point-Betreiber hat Haftungsproblematik WLAN-Gerät Supplicant Lokaler Access-Point-Betreiber Authenticator Heim-Organisation Home RADIUS Lokaler Server RADIUS Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X 802.11 Keyring WPA2 RADIUS Proxies No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius
  • 6. Der Zugangsdiensteanbieter erlangt Kontrolle über den Datenverkehr und kann damit die Verantwortung für den Teilnehmer übernehmen (analog zum DSL zu Hause). Lösungskonzept für „ubiRoam“ Internetzugang ohne Haftungsrisiko für den Access-Point-Betreiber WLAN-Gerät phone4711@guteranbieter.de Access-Point-Betreiber ubi:cafecomfort Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:cafecomfort’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer eingeschränkten Internetzugang auf die IP-Adresse 198.51.100.15. Super, für den Datenverkehr des Teilnehmers bin ich nicht verantwortlich.” 6. “Danke! Kommunikation mit IP-Adresse 198.51.100.15 reicht mir vollkommen, um über das VPN-Gateway dort vollen Internetzugriff zu erlangen.” ubi
  • 7. „ubiRoam“ funktioniert nicht nur unterwegs WLAN-Geräte können heimisches WLAN weiterhin wie gewohnt nutzen WLAN-Gerät phone4711@guteranbieter.de Heim-/Office-WLAN ubi:myhome Zugangsdiensteanbieter guteranbieter.de 1. “Ich biete ubiRoam an.” 2. “Ich möchte ubiRoam über den Access-Point ‘ubi:myhome’ nutzen. Ich bin ‘phone4711@guteranbieter.de’.” 3. “Liebe ubi-Infrastruktur, ein Teilnehmer von ‘guteranbieter.de’ erbittet Zugang.” 4. “Ich kenne den Teilnehmer und übernehme die Verantwortung für jeglichen Daten- verkehr zu „vpngateway.guteranbieter.de“ (IP-Adresse 198.51.100.15).” 5. “Ich erlaube dem Teilnehmer vollen Zugang ins lokale Netz und ins Internet, weil ich ‘phone4711@guteranbieter.de’ lokal kenne und dies für diese Dienste freigeschaltet ist.” 6. “Danke! Ich kann nun alle Dienste nutzen.” Die WLAN-Geräte müssen nur im heimischen WLAN als freigegeben hinterlegt sein, damit die standardmäßige Zugriffsbeschränkung nicht angewendet wird. ubi
  • 8. Technische Implementierung von ubiRoam Nutzt föderierte RADIUS-Authentifizierung wie durch eduroam bekannt, löst jedoch Haftungsproblematik auf einfache Weise WLAN-Gerät Supplicant Access-Point-Betreiber Authenticator Zugangsdiensteanbieter Home RADIUS Lokaler/offener Server*1 RADIUS *1) Lokaler RADIUS-Server oder offener/freier Server oder vom ISP des Access-Point-Betreibers betriebener Server Beginn 802.1X 802.11 Association WPA2 EAPOL Start EAP Request Identity EAP Response Outer Identity EAP Request Credentials Based on SSID, supplicant can choose whether to provide complete identity or user “anonymous” Beginn TLS Tunnel RADIUS Access Request RADIUS Access Challenge EAP Response Credentials RADIUS Access Request Ende TLS Tunnel RADIUS Access ResponseEAP Success/Failure Ende 802.1X new: additional attributes to define allowed destinations 802.11 Keyring WPA2 if user is not known and cleared by access point: (verify validity of data and) apply restrictions for client RADIUS Proxies Die freigegebenen IP-Adressen gehören entweder zu einem VPN-Gateway, das den Zugang zu beliebigen dahinterliegenden Netzen (im Regelfall dem Internet) ermöglicht, oder zu einem Backenddienst (z.B. IoT-Plattform), der für das WLAN-Gerät bereitgestellt werden soll. No change needed, Almost all devices support 802.1X Small extensions needed in current implementations Known and proven technology: RADIUS with realm/proxy configuration e.g. Freeradius ubi wie bei eduroam (Internetzugang für Mitarbeiter wissen- schaftlicher Einrich- tungen), soweit nicht in Farbe hervorgehoben
  • 9. Vorteile „ubiRoam“ ist eine Win-Win-Lösung für alle Beteiligten • Access-Punkt-Betreiber können WLAN zur allgemeinen Nutzung anbieten, ohne Haftungsrisiken einzugehen oder Zugang zum lokalen Netz zu ermöglichen. • Höhere Sicherheit: Die Sicherheit von WLANs hängt nicht mehr an Netzwerkschlüsseln, die in der Praxis bei einer großen Zahl von Geräten nur mit entsprechend hohem Aufwand änderbar sind. • Traffic-Priorisierung nach bekannten und fremden Geräten ist möglich. • Betreiber von WLAN-Geräten können damit davon ausgehen, eine deutlich größere Zahl von WLANs als heute nutzen zu können. Gut für Deutschland als Wirtschaftsstandort. • WLAN-Geräte, im speziellen IoT-Geräte, benötigen keine spezifische Konfiguration pro Access-Punkt mehr, was die Einrichtung für deren Besitzer massiv erleichtert. • Die Verkehre in fremden WLANs sind durch die Nutzung eines VPN-Gateways wirksam geschützt (Integrität und Vertraulichkeit). • Abhängig von den Anforderungen können WLAN-Geräte nicht nur Internetzugang sondern auch sicheren Zugang in andere Netze (z.B. Firmenintranet) erlangen. • Problemlos herstellerunabhängig nutzbar: Der verbreitete 802.1X-Standard wird verwendet. • Mobilfunknetzbetreiber können davon ausgehen, mehr Verkehre über WLAN (“VoWiFi”) abwickeln zu können, was die Mobilfunknetze entlastet. ubi
  • 10. • Wirtschaftsstandort Deutschland Die Öffnung von vorhandenen WLANs auf einheitliche Weise würde den Wirtschaftsstandort aufgrund besserer und bequemer nutzbarer Connectivity deutlich voranbringen. • Betreiber von WLAN-Geräten Großes Interesse, möglichst viele WLANs bequem und sicher zur Verfügung zu haben und verwenden zu können. Einbindung von WLAN-Geräten (insbesondere SmartHome / IoT) vereinfacht sich wesentlich. • Betreiber von Access-Punkten Aufgrund des Wegfalls von Haftungsrisiken für Access-Point-Betreiber können viel mehr Unternehmen (Bäcker, Cafés, Einzelhandel, etc.) ihren Kunden WLAN bedenkenlos anbieten. Deutliche Anreize zur Nutzung von ubiRoam vorhanden: Aus Solidarität bzw. auf Gegenseitigkeit werden viele Privatleute ihr WLAN öffnen, aufgrund von Kundenerwartungen viele Unternehmen. • Hardwarehersteller von Access-Punkten Keine Anreize aus sich allein heraus, Unterstützung für ubiRoam zu implementieren. Implementierung wird erfolgen, wenn Netzbetreiber dies fordern oder Kunden das Feature nachfragen oder zumindest ein Standard existiert, mit dessen Unterstützung man werben kann. • Netzbetreiber DSL-Anbieter: Risiko, dass weniger DSL-Anschlüsse benötigt werden, da WLAN von Nachbarn etc. mitgenutzt werden kann. Traffic pro DSL-Anschluss wird ansteigen, was bei Pauschalbepreisung nachteilig für die DSL-Anbieter ist. Kann durch steigende Preise pro Anschluss kompensiert werden. Mobilfunknetzbetreiber: Traffic-Off-loading ins WLAN ermöglicht bessere Netzabdeckung und besseres Kundenerlebnis bei gleichem oder weniger Netzausbau. Kunde wird an allgegenwärtige Datennutzung gewöhnt. Dadurch mehr Einnahmen für mobile Data. Im Gegenzug weniger Einnahmen für mobile Data, wo WLAN verfügbar. Neue Möglichkeiten, IoT-Geräte ins Netz einzubinden. Für alle: Neuer Markt, als Heimanbieter für VPN-Terminierung etc. zu fungieren.  Chancen für wandlungsfähige Unternehmen, Risiken für konservative Unternehmen Interessengruppen/Marktfolgen ubiRoam bewirkt Veränderung – zum Guten ubi nur Vorteile nur Vorteile fast nur Vorteile neutral Chancen und Risiken
  • 11. Zusammenfassung „ubiRoam“ bietet WLAN für Deutschland • Ziel der „ubiRoam“-Initiative ist es, von abgeschotteten privaten WLANs wegzukommen und die vorhandene WLAN-Infrastruktur bestmöglich nutzbar zu machen. • Haftungsfragen, Sicherheit, Benutzerfreundlichkeit und die Interessen der einzelnen Stakeholder werden dabei bestmöglich berücksichtigt. • Die technische Implementierung nutzt ein verbreitetes, praxiserprobtes Verfahren, das nur geschickt erweitert wird. Nächste Schritte: • Konzept validieren • Mitstreiter finden ubi ubiRoam