LanTeam Consulting AB

LanTeam är ett företag som startades 1990. Vi erbjuder marknadens bästa Access Gateways (AG) för trådlösa/trådbundna nätverk.
Olika gästnätverk har olika krav och ser olika ut. Problemen man som nätägare står inför är först och främst att se till att nätet fungerar för alla gäster. Problemet är att gäster har olika förutsättningar i form av konfiguration, operativsystem, versionsnummer osv. Vissa saknar kunskap och/eller rättigheter att ändra i inställningarna. Därför har LanTeam implementerat något man kallar IP Plug ’n Play. Detta syftar till att se till att användare når Internet oavsett inställningar och dator. Allt för att minimera eller till och med eliminera behovet av support för användaren. Resurser och kunskaper för sådant finns sällan på plats, och är ofta både tidsödande, kostsamt och frustrerande per telefon, både för supportpersonal och kund.
Nästa utmaning är vad som i IT-branschen kalla AAA (Tripple-A); Authentication, Authorization and Accounting. Det vill säga ”Vem är du, och kan du styrka det?”, ”Vad får du göra?” och ”Hur mycket använder du?”. LanTeam ger möjlighet till full kontroll på detta. Vissa gästnätverks ägare vill tjäna pengar på sitt nät. Andra inte, de ser det som ett mervärde till deras övriga verksamhet. 

Hur skall man ta betalt?

Ett nöt att knäcka är hur man ska ta betalt. Där finns fyra grundvarianter av AG:

Värdekort/visitkort (vouchers/skraplotter osv.) som trycks upp och kopplas mot en databas. Fördelen med dessa är att det är lätthanterat på platsen. D.v.s. att det kan säljas som vilken annan vara som helst. Man kan självklart även ge bort access gratis till vissa kunder när andan faller på. Olika kort kan ge olika egenskaper (tid, bandbredd med mera). För detta krävs en databas server (RADIUS).

Dynamiskt skapade konton. Med denna modell skapas kontona vid köp tillfället (kan även skapas i förväg i viss utsträckning). Detta ger möjlighet till dynamisk ändring av t.ex. tiden för abonnemanget. En annan fördel är att detta kan ske från t.ex. receptionens dator via en vanlig webbläsare. Användargränssnittet kan skräddarsys. Kunden får ett kvitto med inloggningsuppgifter osv. som skrivs ut på den lokala skrivaren. Kvittots utseende kan skräddarsys. Även här kan vissa kunder ges gratis access. Nackdelen är just att det krävs ett fåtal manövrar vid en dator vid själva köp tillfället (om inte ett antal konton förberetts). Detta sker med ett så kallat XML-script.

Extern autenticering med eller utan fördefinierade konton. Med denna variant omdirigeras användaren till en extern webbserver som tar han om hela autenticeringen. Detta kan ske mot en befintlig databas, eller så kan nya konton skapas av kunden själv. Här är flexibiliteten stor. Exempelvis kan man ta betalt med kreditkort, via SMS eller liknande. När webbservern konstaterat att användaren är godkänd, genom att befintliga inloggningsuppgifter verifierats eller genom att kvittens på betalning mottagits, informerar den AG:n om att användaren i fråga ska få access samt hur länge och med vilken bandbredd osv. Här är möjligheterna stora, men kräver visst integrationsarbete mot den externa servern beroende på ev. betalmetod. Med Hospitality/PMS-modul, kan även koppling göras mot hotellbokningssystem, för debitering på rums nota.

Kreditkortsmodul. Med denna metod sker hela presentationen av Hotspoten och de olika kontoalternativen från AG:n i sig. Endast själva betalningen sker externt. Alla AG modellerna kan aktiveras för kommunikation med externa betalsystem. Det kräver dock integrationsarbete i form av en mjukvara som anpassas å ena sidan mot AG:n och å andra sidan kreditkortsföretaget/banken. Kontakta oss för mer specifik information kring detta. Kredikorts modulen är en mjukvaru modul som köps separat till AG:n. För denna funktion finns ingen färdig koppling till betalföretag i Sverige.
Det finns även möjlighet att kombinera samtliga ovanstående metoder.

Då ges möjligheten att:

Inloggningsprocessen och olika affärsmodeller

Oavsett om tjänsten kostar pengar eller är gratis för användarna finns ett behov av att kontrollera vem som är ansluten. Helt öppna nätverk kan sätta nätägaren i knipa, då illasinnade kan missbruka nätanslutningen och utföra olagliga saker ute på Internet i nätägarens ”namn” (IP-adress). Därför kan LanTeam bland annat se till att användare (förutom att logga in) måste godkänna användarvillkor, samt att AG:n kan logga all trafik, för spårning vid ett senare tillfälle. Så kallad ”Lawful interception”.

Användare kan antingen logga in med befintliga uppgifter (kontouppgifter som redan är inlagda i användardatabasen eller en extern användardatabas) eller skapa ett nytt konto vid anslutning vilket knyts samman med någon form av betalning om detta idkas.

AG:n kan även göra omdirigering av diverse trafik. Exempelvis SMTP, för utgående mail. Många användare har sin hemmaserver konfigurerad i sitt mail program. Denna sitter ofta skyddad bakom en brandvägg, eller skickar inte mail som kommer från okända IP-adresser (Hotspotens IP t.ex.). Ett annat problem kan vara att Internetleverantören som Hotspoten använder inte tillåter att mail går ut från deras nät utan att passera deras mail server för spam filtrering. (Om spam skickas ut från Internetleverantörens nät kan de hamna på diverse svartlistor, vilket gör att legitim mail trafik från samma nät inte heller tillåts. Mail är idag så pass viktigt att en svartlistning kan var förödande.) Telia är ett exempel på en Internetleverantör som använder detta upplägg. AG:n kan lösa båda dessa scenarion genom att styra om felkonfigurerade klienter eller alla klienters utgående mail trafik till en specifik mail server. Ett annat väsentligt protokoll, som det finns risk att klienter är felkonfigurerade för, är DNS. Även i detta fall kan LanTeam styra om namnuppslagen till en server som svarar.

När användaren ansluter till Hotspoten vill man oftast presentera någon form av välkomst sida som ger möjlighet till inloggning eller försäljning av access. Den kan också innehålla information om vad som gäller i Hotspoten eller dess omgivning. Ett exempel kan vara på ett hotell där kunder som köpt access i receptionen kan logga in. De som inte gjort det kan köpa access direkt, samt att man informerar om hotellets faciliteter och kanske öppettider på restauranger i närheter, eller biotablån på den lokala biografen. Detta kallas för en portal sida.Möjlighet finns också att avgöra var användare befinner sig, vilket kan göra att olika sidor presenteras för olika användare. Detta kan t.ex. användas i ett spritt bredbandsnät utomhus med Hotspots på olika platser med en centraliserad AG. Eller i en galleria där de butiker som finns i närheten vill göra reklam för användare som är i närheten. Genom att avgöra vilken accesspunkt användaren är ansluten till kan olika information presenteras

AG:n kan även göra en omdirigering efter inloggningen till en viss sida.

Vidare kan man som administratör lägga upp ett antal webbsidor med fri access. T.ex. om man har samarbetspartners eller sponsorer som användarna ska kunna besöka även utan att betala. Detta kallas för en ”Walled garden”.

Rättvis bandbredd för alla användare

Ett annat problem som kan uppstå är att användare använder för mycket bandbredd, och lämnar andra utan. I AG:n kan man specificera en maxbandbredd uppströms och nedströms per användare. På det sättet kan man sälja olika bandbredd till olika priser. Det finns även möjlighet att begränsa Hotspoten som helhet bandbreddmässigt. Om den t.ex. delar på internetförbindelsen med övriga företaget vill man troligen inte att gästerna ska kunna ta upp all bandbredd.

Hantering av VPN-klienter




Ytterligare en utmaning som man som Hotspot-ägare står inför är VPN (Virtuella Privata Nätverk). VPN är ofta svårt att adressöversätta. Och om flera användare ansluter samtidigt till en och samma VPN-server blir det i vissa fall näst intill omöjligt av tekniska skäl. Problemet kan t.ex. uppstå om ett företag kommer på konferens, och flera försöker ansluta mot kontoret via VPN för att hämta information. Detta har leverantören tänkt på och skapat något de kallar iNAT, med vilken flera publika IP-adresser kan användas. En för varje ny användare som ansluter till samma VPN-server. Ju fler publika IP-adresser i iNAT-poolen, desto fler samtidiga VPN-användare (mot samma VPN-server) kan hanteras problemfritt.

År 2003 härjade många virus på Internet, såsom Slammer, MS Blaster och Sobig. Dessa spreds snabbt då infekterade datorer aktivt sökte av nätverk både i sin närhet och ute på Internet, efter nya offer. Detta skapade problem på flera sätt. Ett sådan är i enheter med adressöversättning som håller koll på sessioner. Dessa översvämmades, vilket minskade eller eliminerade servicen. Ett annat problem var bandbredden som användes. Ett tredje var naturligtvis själva spridningen av virusen. Leverantören besvarade detta genom att introducera en funktion som man kallar Session Rate Limiting. Med denna kan man effektivt begränsa spridning av liknande virus och, om man som administratör vill, även svartlista eventuella infekterade datorer så att dessa inte drar ner Hotspoten eller sprider sina virus. 

Produkter

Alla AG, utom den minsta, har stöd för redundans, och kan installeras parvis. AG finns idag i fyra utföranden. Alla har istort sett samma funktionalitet med ett fåtal skillnader. Främst är det kapaciteten som skiljer. 

Modell AG-2100: Access gateway för den lilla Hotspoten. 50 användare, uppgraderbar till 100. Upp till 10Mbps prestanda (beroende på konfiguration och trafiktyp). Inbyggd 802.11b/g accesspunkt. Möjlighet till ytterligare accesspunkter, eller kabelbaserat nätverk via ethernet port. Ingen möjlighet till PMS-system (koppling mot hotellbokningssystem) eller redundans. 

Modell AG-3000: Access gateway för den medelstora Hotspoten. 100 användare, uppgraderbar till 200. Rackmonterbar. Ingen inbyggd accesspunkt. Prestanda upp till 75Mbps. 


Modell AG-5000: Access gateway för den stora eller centraliseradeHotspoten. 250 användare, uppgraderbar till 2000.
Rackmonterbar. Prestanda upp till 97Mbps. 

Modell AG-5000 Metro: Access gateway för den stora eller centraliserade Hotspoten. 4000 användare och alla mjukvarumoduler inkluderade. Rackmonterbar. Prestanda upp till 97Mbps.

Notera att prestandasiffrorna ovan är max prestanda angivna av Nomadix, och att dimensionering av Hotspoten bör lämna god marginal för bästa prestanda. En hårdvara motsvarande AG-5000 har t.ex. använts vid CeBIT-mässan och hanterat 70Mbps. Normalt bör man inte räkna med mer än ~50Mbps kontinuerlig trafik.

Generellt kan enklare lösningar skapas relativt snabbt. Häftigare lösningar med mer intelligens kräver ofta lite mer arbete från systemintegratören. Då hjälper det om man är van vid uppsättning och ”programmering” av webbservrar med mera.

LanTeam Consulting AB kan som värde adderande återförsäljare erbjuda både utbildning, support och konsulttjänster i samband med driftsättning av era lösningar. Kontakta LanTeam för mer information.


Alternativ för management av accesspunkter

När man installerar en AG sätter man i de allra flesta fall en eller flera accesspunkter på Subscriber-sidan för anslutning till klienterna. Samtidigt vill man kunna konfigurera och övervaka dessa.
Det finns ett flertal alternativ för nättopologier för olika scenarion, med olika för- och nackdelar.
Här följer 4 typiska varianter. Ytterligare ett alternativ är att använda IPSec. 


NAT

Denna modell passar om man bara har 1 publik IP-adress att tillgå, och kanske inte har kontroll över nätet och tillhörande routing i nätet utanför AG:n. Det är också det enda konfigurationsalternativet när man har en dynamiskt tilldelad IP-adress från sin ISP. (Bortsett från om man använder IPSec-metoden)

Alla ethernet/IP-enheter som vill skicka trafik genom AG:n måste finnas med i klienttabellen. Detta gör att man måste lägga upp varje enhet (AP, switch med management osv.) som en permanent subscriber. För att inte enheten (AP:n, switchen osv.) ska behöva logga in via webgränssnittet, måste man knappa in dess MAC-adress och göra den till Type: Device.
IP-adress och Användarnamn är irrelevant funktionsmässigt, men kan vara bra i ordningssyfte. IP-adressen detekterar AG:n när första IP-paketet från den aktuella MAC-adressen kommer. Notera att t.ex.AP 700/4000 sköter managementtrafik med sin ethernet-MAC-adress, inte MAC-adressen för radiointerfacen. Det är alltså ethernet-MAC-adressen som ska skrivas in i AG:n. Så här långt kan enheten i fråga generera trafik ut genom AG:n utan problem. T.ex. SNMP-traps eller syslog meddelanden. Men för att kunna nå den från utsidan måste vi konfigurera port mapping. Detta görs under system och ”static port mapping add”



 IPSec för säker management mot AG

För säker webmanagement av AG krävs att man använder IPSec för tunnling och kryptering/autenticering.

Nedanstående guide ger några instruktioner för hur man går till väga och vad man ska tänka på.

Den är dock inte heltäckande på områden såsom t.ex. hur IPSec fungerar. Viss IPSec-kunskap förutsätts.

IPSec-implementation ger möjlighet till tunnling och kryptering av både trafik till AG:n och till nätet bakom.


Nedanstående guide utgår från ett exempel där AG:n har en Network IP som är 1.1.1.1 och där brandväggen (IPSec-ändpunkten) i andra änden sitter på 2.2.2.2. Intern bakom AG:n finns 172.16.0.0/24-nätet. Och bakom brandväggen sitter 192.168.1.0-nätet.

Steg nummer ett är att aktivera IPSec. Detta kräver en omstart för att få effekt.
Sedan ska en ”Tunnel Peer” konfigureras. Detta är alltså IKE, fas 1.



Vi fyller då i IP-adressen för andra änden samt autenticerings metod. Här kan man välja antingen pre-shared key eller certifikat.
Om man använder certifikat måste detta samt den privata nyckeln laddas upp till filkatalogen i AG:n via FTP eller SFTP.

Sedan fyller man i säkerhetsparametrarna för IKE fast 1. Även om möjlighet till flexibilitet finns genom att kryssa i flera alternativ rekommenderas att man bara använder ett åt gången.



Efter detta ska vi sätta upp själva tunneln, eller tunnlarna. D.v.s. IKE fas 2.
Det gör vi under IPSec Security Policies.

Först måste vi knyta policyn till en Tunnel Peer.
Sedan specificerar man vilken trafik som ska gå i tunneln.
Man kan specificera detta på IP-protokollsnivå, och även på portnivå när TCP eller UDP används.


I detta exempel ska vi först göra en tunnel mellan AG:ns nätverks-IP och brandväggens interna
nätverk. Att, som nedan, välja ”Use current Network Interface IP Address” är det samma som att
skriva 1.1.1.1 med en 32-bitars nätmask (255.255.255.255).

Sedan väljer man vad som ska ske med denna trafik. Ska den nekas, accepteras utanför tunneln
(O-krypterad, oautenticerad) eller krypteras och/eller autenticeras enligt ESP eller AH

I detta exempel väljer ESP med DES-kryptering och SHA-autenticering.

PFS använder vi inte.
Även tunnelns giltighetstid ska matchas mot brandväggens inställningar.



Sedan gör vi en likadan tunnel mellan brandväggens interna nätverk och nätet bakom AG:n, där vi då specificerar 172.16.0.0/16.

Till sist ska vi göra en undantagsregel för trafik som inte behöver komma tunnlad, nämligen själva tunnelgenereringen. (För att undvika ett Moment 22).

Detta specar vi som nedan, med en Bypass-regel mellan de två publika IP-adresserna. Men vi hårdspecar det till UDP med source- och destinationsport 500, vilket är vad IKE använder.

Information/Disclaimer:
Innehållet i detta dokument lämnas enbart i informationssyfte och skall inte tolkas som råd eller rekommendationer
LanTeam Consulting AB ansvarar inte i något fall för eventuella felaktigheter i dokumentet eller dess fullständighet. Vid motstridigheter mellan innehållet i detta dokument och leverantörens manualer och datablad, skall leverantörens manualer och datablad äga företräde. I övrigt äger LanTeam Consulting AB´s allmänna leverans och försäljningsvillkor tillämpning.