XIRRUS WIFI NETWORK INFO JUNE 2014
© 2013 XIRRUS :: All Rights Reserved
‹#›
AGENDA Wat moet je weten om een goed Wifi netwerk te implementeren Wi-Fi Basisbeginselen • • • • •
RF Propagation De RF Link 802.11a/b/g/n/ac Kanalen / frequentiebanden Wi-Fi Netwerk Omgeving
Beveiliging van een Wi-Fi Netwerk • • •
Encryptie and Authenticatie Gevaar and Preventie Draadloze Architectuur
Site Surveys •
Active and predictive site surveys
Xirrus producten
© 2013 XIRRUS :: All Rights Reserved
‹#›
WIFI FUNDAMENTALS
© 2013 XIRRUS :: All Rights Reserved
‹#›
WIFI BASISBEGINSELEN Transmissie Basisbeginselen Radiogolven • Lichtsnelheid • Radio’s gebruiken een specifieke frequentie • Data wordt gemoduleerd en gedemoduleerd Basis Radio Bord Componenten • Antenne • Versterker (verzenden en ontvangen) • Radio • Baseband (analoog naar digitaal conversie)
© 2013 XIRRUS :: All Rights Reserved
‹#›
WIFI BASISBEGINSELEN Bereik • Afstand tussen twee radio’s die met elkaar communiceren – Access Point naar Station – Station naar Station
Dekking • Totale gebied waar stations een connectie kunnen behouden naar een access point
© 2013 XIRRUS :: All Rights Reserved
‹#›
WIFI OBSTAKELS Stralingsbeperkingen Multi-path Interferentie Attenuatie
© 2013 XIRRUS :: All Rights Reserved
‹#›
STRALING VERSTERKEN - VERBETEREN Bereik verbeteren Meer energie uitzenden Betere antennes – zenden Betere antennes - ontvangen
© 2013 XIRRUS :: All Rights Reserved
‹#›
LINK – BEREIK Basisbegrippen RF energie wordt gemeten in dBm 0dBm = 1 milliwatt energie +10dB = 10 keer meer energie 20dBm = 100milliwatts energie ( ETSI) -3dBm = ½ milliwatt energie Verlies van signaalsterkte Omgekeerd evenredig met het kwadraat van de afstand Signal Sterkte RSSI = Receive Signal Strength Indicator (dBm) Path Loss Signaalverlies tussen twee ontvangers
© 2013 XIRRUS :: All Rights Reserved
‹#›
THE RF LINK – SNR Signal to Noise Ratio (SNR) Duid aan hoeveel bruikbaar signaal er aanwezig is Hogere snelheden hebben hogere SNR nodig
© 2013 XIRRUS :: All Rights Reserved
‹#›
RF – AANBEVELINGEN
•
Antenne versterking is goed: hoe groter de versterking van een antenne des te beter Receiver sensitivity is belangrijk Gebruik van beter chipsets Gebruik van verschillende radio’s indien je hogere capaciteit nodig hebt.
© 2013 XIRRUS :: All Rights Reserved
‹#›
WIFI PROTOCOL CSMA/CA • Luisteren vooraleer je iets kan versturen - Indien het medium bezet is moet je een tijd wachten - Indien het medium vrij is kan je verzenden • Twee manieren om dit te detecteren - Physical Carrier sense - Virtual Carrier sense • Network Allocation Vector
• Waarom zijn de data rates zo belangrijk
?
© 2013 XIRRUS :: All Rights Reserved
‹#›
IEEE 802.11A/B/G/N - OVERZICHT • 802.11b - Ratificatie in 1999 - 2.4GHz spectrum - Data Rates: 1, 2, 5.5, 11Mbps
• 802.11a - Ratificatie in 1999 - 5GHz spectrum - Data Rates: 6, 9, 12, 18, 24, 36, 48, 54Mbps
• 802.11g - Ratificatie in 2003 - 2.4GHz spectrum - Data Rates: 1, 2, 5.5, 11, 6, 9, 12, 18, 24, 36, 48, 54Mbps - Backward compatible met 802.11b
• 802.11n - Ratificatie in 2009 - 2.4GHz and 5GHz spectrum, - Data Rates: tot 450Mbps today (600Mbps future) - Backward compatible met 802.11a/b/g
© 2013 XIRRUS :: All Rights Reserved
‹#›
802.11AC STANDARD UPDATE •Final standard approval door IEEE eind 2013 • Wave 1 Products Tot 1.3Gbps, 3 streams, 80MHz channels, 256 QAM Huidige producten zijn hierop gebaseerd
• Wave 2 Products Up to 3.47Gbps, 4 streams, 160MHz channels, 256 QAM, MU-MIMO Wi-Fi Alliance certification verwacht eind 2014 Producten kort daarna
• Sommige klanten gaan wachten tot Wave 2 • Enkel 5 Ghz
© 2013 XIRRUS :: All Rights Reserved
‹#›
802.11A/B/G/N: KANALEN
In Europa zijn er in de 2.4 Ghz 13 kanalen vrijgegeven en in de 5 Ghz zijn dit er 19. © 2013 XIRRUS :: All Rights Reserved
‹#›
802.11A/B/G: CELL PLANNING 802.11b/g Channels Available = 3 Afstand tot een volgende cell met hetzelfde kanaal is kleiner dan de cell grootte. Dit geeft co-channel interferentie tot gevolg – andere cell op hetzelfde kanaal. zwak signaal – interferentie Netwerk capaciteit is veel minder
802.11a Channels Available = 19 Hogere performantie : 8 maal de capaciteit Veel minder interferentie van cellen op hetzelfde kanaal Meer kanalen om interferentie tegen te gaan
© 2013 XIRRUS :: All Rights Reserved
‹#›
802.11A/B/G – INTERFERENTIE 802.11b/g/n maakt gebruik van de 2.4 GHz ISM band Apparatuur die interferentie veroorzaakt • • • • • •
Bluetooth devices Draadloze telefoons Microgolf ovens X10 draadloze camera’s HAM radio operators Alarm systemen
Problemen bij interferentie • •
Slechte ontvangst en data moet opnieuw verzonden worden Minder bandbreedte en reactiviteit van het netwerk verminderd
802.11a/n/ac maakt gebruik van de 5GHz UNII band Relatief weinig interferentie
© 2013 XIRRUS :: All Rights Reserved
‹#›
802.11A/B/G/N/AC – BEST PRACTICES Aanbevelingen Technologies • • • • •
802.11b-only is end-of-life, afzetten ! Koop minimaal 802.11a/b/g/n adapters Transitie naar 5GHz spectrum om : 7X meer capaciteit Veel minder interferentie Kanaal planning veel makkelijker Gebruik verschillende radio’s op verschillende frequenties indien meer capaciteit nodig Limiteer het aantal gebruikers per radio indien je veel bandbreedte nodig hebt.
© 2013 XIRRUS :: All Rights Reserved
‹#› 18
802.11 NETWORKING – CLIENT CONNECTIE Client connectie Draadloze apparatuur maakt een connectie door een authenticatie/associatie procedure. Probe Requests/Responses worden periodiek door de stations verzonden om informatie te verkrijgen van de draadloze omgeving
© 2013 XIRRUS :: All Rights Reserved
‹#›
19
802.11 NETWORKING – SSIDS SSIDs Clients associeren naar een SSID (Service Set Identifier) – een naam voor een virtueel draadloos netwerk – zoals een vlan in een switch. SSIDs werken over : • Meerdere APs • Meerdere kanalen • Meerdere radios
© 2013 XIRRUS :: All Rights Reserved
‹#› 20
802.11 NETWORKING – ROAMING Scannen Wi-Fi client radios gaan continu scannen om draadloze netwerken te detecteren die binnen bereik zijn en houden ook de info daarover bij.
Roaming Wanneer een Wi-Fi client geconnecteerd is met een radio/SSID, dan blijft het ook aan de radio geconnecteerd tenzij het een beter signaal ziet van een andere radio. Wanneer dat signaal beter is dan een bepaalde limiet gaat het zich connecteren naar die radio. Roaming services operate across Layer 2 and layer 3 boundaries
© 2013 XIRRUS :: All Rights Reserved
‹#›
21
802.11 NETWORKING – BEST PRACTICES Recommendations Gebruik verschillende SSIDs om verschillende user groups te verdelen met elk hun eigen security , QoS , access restrictions, etc. Gebruik voor elk SSID een ander vlan Beperk het aantal SSID’s tot een minimum ( 3-4 ) SSID broadcasting afzetten is geen echte oplossing om je netwerk te beveiligen Als je de driver settings van je wireless adapter kan aanpassen doe dit dan voor de roaming parameters.
© 2013 XIRRUS :: All Rights Reserved
‹#›
22
BEVEILIGING VAN EEN WIFI NETWERK
© 2013 XIRRUS :: All Rights Reserved
‹#›
WI-FI SECURITY STANDARDS IEEE 802.11i definieert security voor Wi-Fi, namelijk: Authenticatie Encryptie en sleutels Beter gekend onder de WIFI alliance benamingen: WPA and WPA2 = Wi-Fi Protected Access (2)
© 2013 XIRRUS :: All Rights Reserved
‹#› 24
AUTHENTICATION – INFRASTRUCTURE Typical Infrastructure Authenticatie server kan een interface hebben met Directory Services Centraal gebruik van policies en permissions Authenticator kan die policies toepassen waar de user zich connecteert aan het netwerk. Active Directory LDAP Server Ethernet Switch
Authentication Server
Authenticator
Authenticator
Authenticator
Supplicant © 2013 XIRRUS :: All Rights Reserved
‹#›
25
25
AUTHENTICATION – BEST PRACTICES Aanbevelingen Gebruik WPA2 authenticatie voor alle SSID’s behalve guest. • • •
• •
RADIUS is gratis met Windows Server AP’s kunnen rechtstreeks praten met Active Directory Free RADIUS is ook een optie Gebruik PEAP met MSCHAPv2 – makkelijke administratie want er zijn geen gebruiker certificaten nodig Gebruik authenticatie om verschillende policies te pushen Opletten van single point of failure Schaalbare oplossing Remote locaties !
© 2013 XIRRUS :: All Rights Reserved
‹#›
26
ENCRYPTIE –BASICS Wat is Encryption? Wi-Fi data kan je makkelijk oppikken en bekijken • Username/passwords, email headers, en boodschap info kan gezien worden Encryptie gaat er voor zorgen dat de data niet kan gelezen worden door iemand die er geen toegang naar heeft. Encryptie gaat de data veranderen door gebruik te maken van een sleutel.
Wat is een sleutel Een sleutel is een unieke waarde die enkel gekend is door de zender/ontvanger en die dan gebruikt wordt door het encryptie algoritme om de originele informatie te veranderen Hoe langer de sleutel , hoe moeilijker het hacken • Een 40 sleutel heeft 240 combinaties = 1.1 x 1012 = 1.1 trillion • Een 128 sleutel heeft 2128 combinations = 3.4 x 1038 = 340 undecillion
© 2013 XIRRUS :: All Rights Reserved
‹#›
27
ENCRYPTION – PROTOCOLS • • •
AES/CCMP encryptie is de beste encryptie standaard voor Wifi TKIP encryptie enkel gebruiken indien je nog apparatuur hebt die AES niet ondersteunt. WEP encryption zeker niet gebruiken.
© 2013 XIRRUS :: All Rights Reserved
‹#›
28
ENCRYPTION – BEST PRACTICES Aanbevelingen
• •
• • •
Gebruik WPA2 Enterprise (AES/CCMP encryptie) voor optimale veiligheid Gebruik WPA/WPA2 Personal enkel in SOHO omgevingen Gebruik random, moeilijk-te-raden passphrases van 20+ ASCII characters Update passphrases regelmatig en zeker als een werknemer weggaat of apparatuur gestolen wordt Gebruik nooit WEP Gebruik Open voor gasten of publieke netwerken WPA/2 moet je configureren per client Intern gasten netwerk op een ander vlan zetten Extern gaat dit gebruikers forceren om een ander vlan te gebruiken. Verschillende SSIDs met verschillende VLANs voor verschillende security groepen/gebruikers Gebruik 802.1Q/p VLAN segmentering wanneer een draadloos netwerk gekoppeld wordt met bedraad.
© 2013 XIRRUS :: All Rights Reserved
‹#› 29
WI-FI GEVAREN – TYPES Gevaren komen uit verschillende hoeken: 1. 2. 3. 4. 5. 6.
Niet toegelaten APs – rogues, evil twins Niet toegelaten connections – ad hocs, neighbor APs Niet toegelaten clients – intruders, guests Slect geconfigureerde APs – zonder security, fabrieksinstellingen Eavesdropping Forgery and replay
© 2013 XIRRUS :: All Rights Reserved
‹#› 30
WI-FI GEVAREN – BEST PRACTICES Network Infrastructuur Proactief AP configuraties nakijken bij veranderingen Gebruik van VLAN’s Gebruik firewall filters, ACLs Gebruik routing om bereikbare IP addressen, poorten, etc te beperken.
Draadloze Stations gebruik VPNs voor offsite access Forceer gebruik van personal firewalls, anti-virus software Centrale administratie Wi-Fi settings
Intrusion Detection/Intrusion Prevention Systems (IDS/IPS) Maak gebruik van sensor radios om 24/7 monitoring te doen van de omgeving en die informatie door te sturen naar een centraal IDS/IPS system Blokkeer automatisch al niet-toegelaten draadloze activiteit
© 2013 XIRRUS :: All Rights Reserved
‹#›
31
ARCHITECTURES – TYPES Distributed
Central Controller + Thin APs Packet Processing in de core Control plane in de core Policies en beveiliging in de core Encryptie processing in de core Centraal beheer
• • • • • •
Packet Processing lokaal Control plane lokaal Policies en beveiliging lokaal Encryption processing lokaal Net zoals Ethernet Switching Centraal beheer
Centralized Processing
Distributed Processing
© 2013 XIRRUS :: All Rights Reserved
‹#›
32
ARCHITECTURES – BEST PRACTICES Requirements for Next Generation Wi-Fi
• • •
Centrale controllers -> latency en jitter Centrale controllers -> single point of failure Centrale controllers -> single point of bottleneck Remote sites geven een probleem als de controller centraal staat Recommendations: Gigabit Ethernet connecties Lokale switching Indien controllers -> lokaal of geintegreerd.
© 2013 XIRRUS :: All Rights Reserved
‹#›
33
SITE SURVEYS
© 2013 XIRRUS :: All Rights Reserved
‹#›
Site Surveys – Overzicht What is a site Survey? Typisch Wi-Fi Project: Eisen --> Survey --> Design --> Uitrol --> Testen Site survey is de methode die gebruikt wordt om te bepalen waar en hoeveel AP’s er moeten geinstalleerd worden om te voldoen aan de gestelde eisen. Waarom belangrijk ? Gebouwen zijn niet allemaal op dezelfde manier gebouwd Interieur is verschillend Dekking Performantie Kost Installatie Drie types Site Surveys Predictive Active Planning Active Validering
© 2013 XIRRUS :: All Rights Reserved
‹#›
Site Surveys – Predictive Predictive Site Survey Overzicht Maak gebruik van plannen: JPG , BMP , PNG bestanden Bepaal de attenuatie van de muren en obstakels Muren , deuren , ramen Tussenmuren Liften Trappengangen Maak gebruik van software model om dekking te simuleren Voordelen: Makkelijker om uit te voeren Weinig Wifi kennis nodig Minder tijd nodig Minder werk
© 2013 XIRRUS :: All Rights Reserved
‹#›
Site Surveys – Active Active Site Survey Overzicht On-site Maken gebruik van een AP en een client Rondlopen en metingen Signaalsterkte Dekking Noise Dit laat je toe om de plaats van het AP te bepalen Reele waarden bepalen de plaats van het AP. Active Survey Voordelen: Gemeten dekking Gemeten performantie Mogelijke interferentie Installatie zonder problemen Survey met het product dat geinstalleerd wordt
© 2013 XIRRUS :: All Rights Reserved
‹#›
WI-FI DESIGN PRINCIPLES Network Design = Getting the Math Right Niet enkel dekking maar ook capacitiet Voor 5GHz en 2.4GHz Signaal sterkte : • •
Laptop gebruik: -72 dBm minimum RSSI Smartphone/Tablet/VoWiFi gebruik: -65dBm minimum RSSI
Densiteit per radio : • • •
Hoge performantie = <20 Gemiddelde performantie = <40 Lage performantie = <80
Alle lokaties moeten verschillende radio’s zien 802.11a/b/g/n clients!!!
5GHz! © 2013 XIRRUS :: All Rights Reserved
‹#›
XIRRUS PRODUCTEN
© 2013 XIRRUS :: All Rights Reserved
‹#›
XIRRUS WIRELESS NETWORK OVERVIEW
© 2013 XIRRUS :: All Rights Reserved
‹#›
WIRELESS ACCESS PORTFOLIO
XR-500
XR-600
XR-1000
XR-2000
XR-4000
XR-6000
AP
AP
Modular Array
Modular Array
Modular Array
Modular Array
11n 2x2
11n 2x2/3x3, 11ac 2x2/3x3
11n 2x2 / 3x3, 11ac upgradable
11n 2x2 / 3x3, 11ac upgradable
11n 2x2 / 3x3, 11ac upgradable
11n 2x2 / 3x3, 11ac upgradable
2 Radios
2 Radios
2 Radios
2 or 4 Radios
4 or 8 Radios
8 or 16 Radios
Common Feature Set Integrated Controller Application Control Zero Touch Provisioning On-Premise or Cloud Management
© 2013 XIRRUS :: All Rights Reserved
‹#›
OUTDOOR WIRELESS ACCESS PORTFOLIO
XR-520H
XR-2425H
XR + XE
AP
Array
Array + Enclosure
2 Radios, 2x2 11n
4 Radios, 2x2 11n
4 to 16 Radios, 11n/11ac
External Antennas
External Antennas
Integrated Antennas
IP65, -40 to +55C
IP65, -40 to +55C
IP65, -40 to +65C
Common Advanced Feature Set Integrated Controller Application Control Zero Touch Provisioning On-Premise or Cloud Management
© 2013 XIRRUS :: All Rights Reserved
‹#›
XR PRODUCT SPECIFICATIONS SPECIFICATIONS
XR-500
XR-600
XR-2000
XR-4000
XR-6000
XR-500H
XR-2000H
11a/b/g/n
11a/b/g/n/ac
11a/b/g/n/ac
11a/b/g/n/ac
11a/b/g/n/a c
11a/b/g/n
11a/b/g/n
8”
8”
10”
13”
17”
8”
10”
Integrated
Integrated
Integrated
Integrated
Integrated
Integrated
Integrated
2 (fixed)
2 (fixed)
2 or 4
4 or 8
8 or 16
2 (fixed)
4 (fixed)
0
0
0 or 2
0 or 4
0 or 8
0
0
Available AP Types
300Mbps
300Mbps, 450Mbps, 867Mbps 1.3Gbps
300Mbps, 450Mbps, 867Mbps 1.3Gbps
300Mbps, 450Mbps, 867Mbps 1.3Gbps
300Mbps, 450Mbps, 867Mbps 1.3Gbps
300Mbps
300Mbps
Max Total Wi-Fi Bandwidth
600Mbps
2.6Gbps
5.2Gbps
10.4Gbps
20.8Gbps
600Mbps
1.2Gbps
Yes
Yes
Yes
Yes
Yes
Yes
Yes
4
6
12
24
to 48
4 (external)
8 (external)
300Mbps
1.3Gbps
3.9Gbps
3.9Gbps
3.9Gbps
300Mbps
900Mbps
1
2
1
2
4 + 10GigE
1
1
240
240
960
1920
1792
240
960
Wi-Fi Standards Diameter (inches) Controller Radios Radio Expansion Slots
Dedicated Threat Sensor Max Integrated Antennas Max Wi-Fi Backhaul Link GigE Uplink Ports Max Associated Users
© 2013 XIRRUS :: All Rights Reserved
‹#›
XIRRUS MANAGEMENT SYSTEM (XMS) Schaalbaar en flexibel management en analytics platform voor Xirrus draadloze networken • •
Lokaal of cloud gebaseerd Werkt tesamen met Xirrus Activation Server voor zero-touch provisionering
© 2013 XIRRUS :: All Rights Reserved
‹#›
XMS FEATURES Web-Gebaseerde Interface Wireless Heat Maps Device Localisatie Security Monitoring Reportering
© 2013 XIRRUS :: All Rights Reserved
‹#›