Sichere Stromversorgung an den X-WiN Standorten Hans-Martin Adler. I-SHARe Matthias K. Hamm, Mark Yampolskiy, Dr. Andreas Hanemann

Transkript

1

2 Inhalt Vorwort Wissenschaftsnetz Campus International Prof. Dr. Bernhard Neumair Quality of Service im DFN Jochem Pattloch Sichere Stromversorgung an den X-WiN Standorten Hans-Martin Adler Aktueller Ausbau der Faserplattform Petra Eitner DFN Roaming - Ein Dienst wird international Ralf Paffrath RadSec - RADIUS improved Stig Venaas Aktuelles aus dem Wissenschaftsnetz DFN-AAI in der Praxis Ulrich Kähler Bibliotheksdienste in der DFN-AAI Franck Borel, Ato Ruppert Alternative zum Greif(en) Andreas Acre Solberg, Torsten Kersting Kurzmeldungen Föderationen aller Länder - vereinigt Euch! Jürgen Rauschenbach edugain verbindet Föderationen Torsten Kersting Kurzmeldungen European Gid Initiative Design Study Magdalena Wirtl, Dieter Kranzmüller FEDERICA Dr. Peter Kaufmann, Monika Rösler-Laß I-SHARe Matthias K. Hamm, Mark Yampolskiy, Dr. Andreas Hanemann 39 IMPRESSUM Sicherheit Das Geodätische Observatorium Wettzell Wolfgang Schlüter, Reiner Dassing Die neue RA-Oberfläche in der DFN-PKI Gerti Foest, Jan Mönnich Kurzmeldungen Herausgeber Verein zur Förderung eines Deutschen Forschungsnetzes e.v. DFN-Verein Stresemannstr. 78, Berlin Tel Fax Mail dfn-verein@dfn.de WWW ISSN Recht 10 Jahre Forschungsstelle Recht Annette Ruelke Gesetz zu Online-Durchsuchungen ist verfassungswidrig Hannes Obex Redaktion Kai Hoelzner (kh) Gestaltung VISIUS Designagentur Druck D+S GmbH DFN-Verein Mitgliederverzeichnis 56

3 Vorwort Prof. Dr. Bernhard Neumair Geschäftsführer der Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen (GWDG) und Vorstand des DFN-Vereins Der DFN-Verein ist seit seiner Gründung dafür bekannt, neueste Netztechnologien und innovative netznahe Systeme einzusetzen und damit die Leistungen für seine Mitglieder laufend zu erneuern und zu optimieren. Aktuelle Beispiele dafür sind die neue Plattform des Wissenschaftsnetzes X-WiN und Dienstleistungen für Forschung und Lehre wie die DFN PKI und DFN AAI. Um diese Technologien einerseits selbst mit zu gestalten und andererseits frühzeitig die Forschungsergebnisse anderer Wissenschaftler kennenzulernen veranstaltet der DFN-Verein seit vielen Jahren wissenschaftliche Tagungen zu Netztechnologien. Mit dem ZKI e.v. gibt es in diesem Bereich eine langjährige und fruchtbare Zusammenarbeit. Das 1. DFN-Forum Kommunikationstechnologien Verteilte Systeme im Wissenschaftsbereich steht in dieser Tradition. Es wird vom DFN-Verein und der TU Kaiserslautern gemeinsam mit dem ZKI e.v. am 28. und 29. Mai 2008 veranstaltet und soll eine Plattform zur Darstellung und Diskussion neuer Forschungs- und Entwicklungsergebnisse aus dem Bereich TK/IT darstellen. Das Forum dient dem Erfahrungsaustausch zwischen Wissenschaftlern und Praktikern aus Hochschulen, Großforschungseinrichtungen und Industrie. Aus den eingereichten Beiträgen konnte ein hochwertiges und aktuelles Programm zusammengestellt werden, das neben künftigen Netztechnologien unter anderem auf Grid- Technologien, Identity Management und Service Management in Hochschulen eingeht und auch Beiträge aus der Industrie enthält. Ergänzt wird es durch eine Podiumsdiskussion zur Frage der Nachhaltigkeit des D-Grid und durch eingeladene Beiträge zu neuesten Netztechnologien, zur künftigen Architektur des Internet und zu IT-Sicherheitsaspekten. Um den Rahmen der Veranstaltung nicht zu sprengen, konnten leider nur knapp die Hälfte der eingereichten Beiträge angenommen werden. Dies zeigt, dass die Veröffentlichung der Beiträge sowohl im Rahmen der GI-Edition Lecture Notes in Informatics als auch Open Access für die Wissenschaftlerinnen und Wissenschaftler attraktiv ist. Allen Teilnehmern wünsche ich für die Veranstaltung interessante Vorträge und fruchtbare Diskussionen. Ihr Bernhard Neumair DFN Mitteilungen

4 Wissenschaftsnetz Quality of Service im DFN Die Quality of Service (Dienstqualität) nimmt in Diskussionen über den Nutzen von Datendiensten eine wichtige Rolle ein. Auch im DFN haben Überlegungen und Maßnahmen zur Dienstqualität eine hohe Priorität. Der nachfolgende Artikel gibt einen Überblick, nach welchem Vorgehensmodell eine bedarfsgerechte Quality of Service (QoS) im DFN realisiert wird und wie dieses Vorgehensmodell das Design des Wissenschaftsnetzes maßgeblich geformt hat. Einordnung Die Dienstqualität im DFN ist kein Selbstzweck, sondern geleitet von dem Ziel, die Erwartungen der Nutzer an die Dienste zu erfüllen. Diese Erwartungen sind nicht statisch, sondern ändern sich mit der Zeit durch die von den Nutzern eingenommene Perspektive, mit welchem Niveau von Qualität er im Kontext seiner jeweiligen persönlichen Erfahrungen zufrieden ist. Ein Beispiel: War es für einen Nutzer vor 15 Jahren noch ein freudiges Erlebnis, wenn sich über die Wissenschaftsnetze die Unterlagen für eine Konferenz in Taiwan herunter laden ließen, so könnte es bei dem gleichen Nutzer heute bereits für Unmut sorgen, wenn dieser Vorgang mehr als drei Minuten dauern würde. Neben den Nutzern von Datendiensten müssen sich auch die Anbieter von Datendiensten gegenseitig auf die QoS der zugrunde liegenden Netzinfrastrukturen verlassen können. Dies gilt insbesondere, da die zunehmend leistungsfähigeren Netzwerke inzwischen die grundsätzliche Voraussetzung schaffen, dass Dienste als verteilter Systeme über administrative Grenzen hinweg konzipiert und realisiert werden. So ist beispielsweise ein Dienst DFN- Roaming nur deswegen denkbar, weil die beteiligten Serverstrukturen (Radius-Verbund), die WLAN-Accesspunkte und das Wissenschaftsnetz eine angemessene Dienstqualität (z.b. Verfügbarkeit, Latenz, Jitter) aufweisen. QoS aus Sicht eines Nutzers Betrachtet man die QoS aus der Sicht eines Nutzers, so sind typischerweise die folgenden Erwartungen zu erfüllen: Hohe Verfügbarkeit: Der Nutzer erwartet, dass sein Dienst immer funktioniert. Diese Erwartung ist in der Realität nicht zu erfüllen, jedoch kann man ihr sehr nahe kommen. Kurze Wiederherstellungszeit: Ist ein Dienst nicht verfügbar, so erwartet der Nutzer seine Wiederherstellung innerhalb einer von ihm als akzeptabel empfundenen Zeit. Je nach Dienst gibt es eine gewisse Toleranz des Nutzers, die von seinem Charakter, seiner Einsicht und seiner Bewertung der Komplexität des Dienstes geprägt wird. So wird typischerweise ein Ausfall des Telefons für fünf Minuten durchaus anders bewertet als ein Ausfall eines WWW-Servers für fünf Minuten. 4 DFN Mitteilungen

5 Adäquate Bedienzeit: Der Nutzers möchte von seinem Dienst so schnell bedient werden, dass sein Handlungsablauf nicht behindert wird. Hoher Durchsatz: Der Nutzer möchte adäquate Bedienzeiten erfahren, auch wenn der Dienst stark nachgefragt ist. Entsteht die Nachfrage durch den Nutzer selbst, so hat er in der Regel eine gewisse Toleranz bezüglich der Bedienzeit. Wird die Nachfrage durch andere Nutzer ausgelöst (was ein einzelner Nutzer in der Regel nicht wahrnimmt), so ist die Toleranz gegen eine erhöhte Bedienzeiten sehr viel geringer. Spannungsfeld aus Erwartungen, technischen Möglichkeiten und Wirtschaftlichkeit Wie können nun diese Erwartungen an die QoS konzeptionell erfasst und in ein Vorgehensmodell für das Design der Netzinfrastrukturen des DFN umgesetzt werden? Abbildung 1: Das Spannungsfeld aus den Erwartungen der Nutzer an die Dienste mit den technischen Möglichkeiten und der Wirtschaftlichkeit. Abbildung 2: Schematische Darstellung der Schichten des X-WiN Zunächst sind zwei wesentliche Einflussfaktoren zu betrachten, die das Design maßgeblich beeinflussen: 1. Technische Möglichkeiten: Die gegenwärtigen und zu erwartenden Leistungsmerkmale der technischen Komponenten für Netzinfrastrukturen (Netzwerkkomponenten) spannen den Rahmen auf, in dem eine Netzinfrastruktur überhaupt eine Dienstqualität erzielen kann. Sie haben sich in den vergangenen fünf bis zehn Jahren in einem Umfang weiter entwickelt, der es erlaubt, beim Design von Netzinfrastrukturen neue Wege zu gehen. 2. Wirtschaftlichkeit: Die gegenwärtigen und zukünftig zu erwartenden Kosten der Netzwerkkomponenten haben sich auch in den vergangenen Jahren stark zum Vorteil der Nutzer entwickelt. Hier wirkt sich indirekt auch das aus der Computertechnik bekannte Moresche Gesetz (Verdoppelung der Leistungsfähigkeit von Chips in 18 Monaten) vorteilhaft für die Netzwerkkomponenten aus. Jochem Pattloch Geschäftsführer DFN-Verein Stresemannstraße 78 D Berlin Diese Einflussfaktoren stehen in einem Spannungsfeld mit den Erwartungen an die QoS der Dienste. Ein Vorgehensmodell für das Design einer Netzinfrastruktur muss dieses Spannungsfeld erfassen und daraus die richtigen Schlüsse ziehen. Vorgehensmodell für eine bedarfsgerechte QoS QoS ist kein zusätzliches Feature, das sich an eine Netzinfrastruktur wie ein Addon anflanschen lässt. QoS ist vielmehr das Resultat einer Vielzahl von aufeinander abgestimmten Maßnahmen, die im grundsätzlichen Design einer Netzinfrastruktur verankert sein müssen. Um zu verstehen, wie QoS entsteht, ist es nützlich sich zu vergegenwärtigen, dass Netzinfrastrukturen, und damit auch die des X-WiN, einer Architektur in Schichten folgt. Das Augenmerk zum Erreichen von QoS muss also auf das Zusammenwirken der verschiedenen Schichten gelenkt werden. Hieraus kann ermittelt werden, welche Anforderungen sich für die verschiedenen Schichten ergeben. Im Grundzug kann davon ausgegangen werden, dass sich die Quality of Service im Schichtenmodells nach oben vererbt. Es ist jedoch immer nützlich zu überlegen, ob in einer Schicht Mechanismen möglich sind, die eine Toleranz gegen Mängel von unterliegenden Schichten erlaubt. DFN Mitteilungen

6 Das Schichtenmodell macht deutlich, dass nur eine Menge von abgestimmten Maßnahmen in den verschiedenen Schichten zu einem Gesamtpaket führt, das QoS zu einer integrierten Eigenschaft werden lässt. Diese Maßnahmen lassen sich als sieben Prinzipien des Designs formulieren. Reduktion Die Reduktion spiegelt die banale, aber oft unterschätzte Erkenntnis wieder, dass eine technische Komponente, die nicht benötigt und benutzt wird, auch nicht zu einem Ausfall der Netzinfrastruktur führen kann. Die Reduktion muss abgewogen werden mit dem benötigten und erwarteten Funktionsumfang, der für die zu erbringenden Dienste gebraucht wird. Als Ergebnis dieser Abwägung wird oft klar, dass der teilweise überbordende Funktionsreichtum von technischen Geräten kein Wert an sich ist. Er kann im Gegenteil sogar die Quelle von unerwünschten Nebeneffekten sein, welche die Eigenschaft haben, unerwartet aufzutreten und damit die QoS des Gesamtsystems empfindlich zu berühren. Homogenität Die Homogenität ist das bewusste Beschränken auf eine möglichst einheitliche Ausstattung mit Netzwerkkomponenten. Die Homogenität ist ein wichtiger Schlüssel, um eine leistungsfähige und qualitätsgesicherte Prozessorganisation zu erreichen. Darüber hinaus führt die Homogenität zu wichtigen Vorteilen wie z.b. bei der Bevorratung mit Ersatzteilen oder beim Betrieb. Funktionsherrschaft Die Funktionsherrschaft erlaubt es, zwischen den Prozessbeteiligten regulierende Mechanismen zu implementieren, die nicht gegeben sind, wenn größere Teilleistungen in nicht nachvollziehbarer Weise von einem Prozessbeteiligten erbracht werden. Sie ist nicht zu verwechseln mit den Besitzverhältnissen. Die Funktionsherrschaft ist ferner die Voraussetzung für das benötigte Verständnis des Zusammenwirkens der verschiedenen Netzwerkkomponenten und Prozessbeteiligten, um Zusammenhänge aufzuspüren, die sich nachteilig auf die QoS auswirken können. Rightsizing Unter Rightsizing wird der Ansatz verstanden, bei vermeintlich knappen Ressourcen bevorzugt zu versuchen, die Knappheit zu beseitigen, anstatt eine Verwaltung der vermeintlichen Knappheit (Priorisierung, Scheduling, Reservierung etc.) zu implementieren. Dieser Ansatz wurde gelegentlich auch irreführend als Overprovisioning bezeichnet. Die Trends bei den technischen Möglichkeiten sowie der Wirtschaftlichkeit von Netzwerkkomponenten begünstigen das Rightsizing. Ein Beispiel aus der Praxis: Beim Aufbau des Videokonferenz-Dienstes im DFN gab es im Vorfeld viele Gespräche mit Kollegen aus anderen Forschungsnetzen. Eine Frage dabei war: Muss man für den Dienst ein Reservierungssystem einrichten, mit dem die Kapazitäten der Konferenz-Server gebucht werden können? Wenn ja, wie sollte man dann handhaben, wenn Buchungen nicht genutzt werden und damit die technisch verfügbare Kapazität der Konferenz-Server gar nicht ausgeschöpft wird? Bräuchte es dann nicht einen weiteren Mechanismus, mit dem ein möglicher Missbrauch durch Vorrats-Buchungen erfasst, bewertet und eingedämmt wird? Nach welchen Kriterien kann man aber entscheiden, wann ein Missbrauch vorliegt? Wie würden die Anwender es bewerten, wenn bei ihnen ein Gefühl der Ungerechtigkeit bei der Zuordnung der knappen Ressource aufkommt? Wie wären daraus resultierende Konflikte zu handhaben? Die Liste dieser Fragen ließe sich beliebig weiter führen. Rückblickend zeigt die Entwicklung von DFNVideoconference, dass die seinerzeit getroffene Entscheidung, statt in die Implementierung eines Reservierungssystems besser in die bedarfsgerechte Anpassung der Kapazitäten der Konferenz-Server zu investieren, in jeder Hinsicht richtig war. Fehlertoleranz Die Fehlertoleranz in den verschiedenen Schichten muss so implementiert werden, dass zu erwartende Mängel in der QoS von unterliegenden Schichten in hinreichendem Umfang abgedeckt werden. Diese Fehlertoleranz kann auch gezielt benutzt werden, um die Wirtschaftlichkeit der Netzinfrastruktur zu verbessern. Ein Beispiel hierfür ist, dass der DFNInternet-Dienst ausschließlich auf Verbindungen ohne eine Protektion in der optischen Schicht aufgebaut ist, da die IP-Plattform bereits exzellente Mechanismen für Fehlertoleranz aufweist. Ein zweites Beispiel ist die Installation einer redundanten Stromversorgung mit zwei Kreisen, einem Normalstromkreis und einem USV-Stromkreis, da die Verfügbarkeit des Normalstromes nicht den Anforderungen an die QoS einer Netzinfrastruktur genügt und auch kaum beeinflussbar ist. Prozessorganisation Als Prozessorganisation in einem Umfeld mit einer Vielzahl an Prozessbeteiligten ist die formalisierte Ausgestaltung von Handlungsabläufen zu verstehen. Ohne eine optimale Prozessorganisation muss ständig mit der Gefahr gerechnet werden, dass durch unangemessene oder falsche Maßnahmen die QoS einer Netzinfrastruktur empfindlich leidet. Monitoring Ein Vorgehensmodell für eine bedarfsgerechte QoS muss auch ein Monitoring der entsprechenden Kennzahlen beinhalten, denn nur so kann bestimmt werden, ob die gesteckten Ansprüche erfüllt werden, oder ob noch Handlungsbedarf besteht. Darüber hinaus ist ein laufendes Monitoring der QoS hilfreich, um schleichende Degeneration der QoS frühzeitig zu erfassen und proaktiv entsprechende Maßnahmen einleiten zu können. Ein Fallbeispiel: Die QoS von DFNinternet Die QoS von DFNInternet ist von hoher Bedeutung für viele darauf aufbauende Dienste, sowohl des DFN (z.b. für DFNVideoConference) als auch seitens der Anwender (z.b. für verteiltes Backup&Restore). QoS im engeren Sinne Die QoS-Parameter für den DFNInternet-Dienst sind im engeren Sinne die Einweglaufzeit der Pakete (Delay), die Schwankung der Einweglaufzeit der Pakete (Jitter) und die Paketverlustrate (Loss). Den höchsten Anspruch an die QoS im engeren Sinne stellen gegenwärtig die Dienste DFNVideoConference und VoIP über DFNFernsprechen. Die Besonderheit 6 DFN Mitteilungen

7 ist, dass bei diesen Diensten das Gespräch zwischen zwei oder mehreren Personen im Mittelpunkt steht. Für einen akzeptablen Verlauf der Gespräche in Echtzeit gelten nach ITU-T G Millisekunden als Obergrenze für die Einweglaufzeit von Mund-zu-Ohr bei einer Paketverlustrate von bis zu 5%. Für den DFNInternet-Dienst wird als wesentlich ehrgeizigeres Ziel angestrebt, dass eine Einweglaufzeit (OWD) der Pakete im Bereich von ca. 1 ms pro 100 km Leitungslänge, eine Schwankung der Paketlaufzeit (OWDV) kleiner als 0,1 ms pro 100 km Leitungslänge und eine Paketverlustrate (Loss) von Null von erreicht werden. Die Anwender von DFNInternet können sich selbst davon überzeugen, dass diese Zielsetzung im Regelfall erreicht wird: dfninternet/qos/. Dazu wird die Dienstqualität von DFNInternet durch das WiN-Labor am Rechenzentrum der Universität Erlangen-Nürnberg ständig überwacht. Natürlich profitieren auch die anderen Dienste des DFN davon, wenn die Quality of Service möglichst hoch ist. Das nachfolgende Beispiel zeigt, wie die gesetzten Vorgaben eingehalten werden. Die IP-Pakete von Garching nach Kiel legen im Fasernetz des X-WiN eine Strecke von km zurück und benötigen dafür in der Regel ca. 12,6 ms. Das selbst gesteckte Ziel von ca. 22,5 ms (1 ms pro 100 km Leitungslänge) wird deutlich unterschritten. Allein die Laufzeit des Lichtes in Glas trägt mit ca. 11,2 ms bei. Die Laufzeit der IP-Pakete ist somit sehr nahe an der dadurch vorgegebenen theoretischen Untergrenze. Dies macht nebenbei deutlich, dass die Verweilzeit der IP-Pakete in den Routern des X-WiN im Gegensatz zu den Routern des G-WiN kaum noch eine Rolle spielen. Substantielle Verbesserungen dieser Laufzeit lassen sich dementsprechend nur noch durch eine verkürzte Wegeführung der IP-Pakete im Fasernetz erreichen, so wie es mit der Inbetriebnahme von zusätzlichen Fasern im Laufe des Jahres 2008 bereits vorgesehen ist. Bedeutsam ist, dass diese QoS ausschließlich durch das beschriebene Vorgehensmodell der Beachtung der sieben Prinzipien des Designs erreicht wird. Dies macht jegliche technische Mechanismen zur Verwaltung von Knappheit (wie z.b. das Implementieren einer Bevorzugung von als besonders wichtig erachteten IP- Paketen) obsolet. In diesem Sinne gilt bei DFNInternet das Schlagwort: Premium-IP Abbildung 3: Die Laufzeit, Laufzeitschwankung und Paketverlustrate einer IP-Verbindung von Garching nach Kiel an einem beispielhaften Tag. für Alle. Nebenbei sorgen die sieben Prinzipien des Designs auch für eine hohe Wirtschaftlichkeit der Infrastruktur, die an der Vielfachen Steigerung der Leistung von DFNInternet seit 2006 abgelesen werden kann. QoS im erweiterten Sinne Entsprechend der eingangs geschilderten Perspektive eines Nutzers müssen im erweiterten Sinne auch die Verfügbarkeit und die mittlere Wiederherstellungszeit als QoS-Parameter betrachtet werden. Eine Betrachtung der Verfügbarkeit und der mittleren Wiederherstellungszeit zeigt, dass es bislang noch zwei Klassen von Anschlüssen an DFNInternet gab, nämlich solche in der Nähe von Kernnetzknoten (mit einer sehr hohen Verfügbarkeit) und solche weiter entfernt (mit geringerer Verfügbarkeit), für die eine Zugangsleitung benötigt wird. Ab dem wird mit der redundanten Anbindung der Kundenrouter aller Anwender an DFNInternet ein neues Kapitel aufgeschlagen. Die Verfügbarkeit des Dienstes wird dann für alle Anwender ein Niveau erreichen, das es erlaubt, auch geschäftskritische Applikationen in verteilten Umgebungen zu realisieren. Fazit und Ausblick QoS ist keine Eigenschaft, die sich wie ein add-on an bestehende Infrastrukturen anflanschen lässt. Die Netzinfrastrukturen des DFN sind vielmehr bereits im Design konsequent auf eine bedarfsgerechte QoS getrimmt. Mit der redundanten Anbindung aller Anwender des Wissenschaftsnetzes wird nun das gegenwärtig wichtigste Puzzlestück dem Gesamtbild hinzugefügt. Für die Anwender entsteht damit die Planungssicherheit, die sie für ihre heutigen und geplanten verteilten Anwendungsszenarien (Backup&Recovery, Abbildung von Prozessen unter Nutzung von DFN-AAI, etc.) benötigen. Die Rückkopplung der Bedarfe der Anwender im DFN-Verein wird auch in Zukunft den Weg weisen, auf dem die QoS der Dienste bedarfsgerecht weiter entwickelt wird. DFN Mitteilungen

8 Wissenschaftsnetz Sichere Stromversorgung an den X-WiN-Standorten Schon beim Aufbau der optischen Plattform für das X-WiN und dem Austausch der Routertechnik für den DFNInternet-Dienst wurden durch redundante Auslegung der wichtigsten Komponenten die Voraussetzungen für eine hohe Fehlertoleranz der DFN-Dienste gelegt. In einem nächsten Schritt soll dies durch eine möglichst ausfallsichere Stromversorgung weiter unterstützt werden. Deshalb wurde eine Analyse der Stromversorgung an den X-WiN-Standorten vorgenommen und Maßnahmen festgelegt, die eine sichere Versorgung des X-WiN-Equipments unterstützt. Ausgangslage Schon bei der Planung des X-WiN wurden wesentliche Aspekte einer zuverlässigen Gestaltung des neuen Netzes berücksichtigt. Das zeigt sich u. a. in der mindestens doppelten Anbindung aller Kernnetzstandorte und der Topologie für den DFNInternet-Dienst. Bei der Neubeschaffung der Routertechnik wurde insbesondere auf eine redundante Ausstattung der wichtigsten Komponenten, wie der Routeprozessoren, der Interfaces und natürlich der Routernetzteile geachtet. Beim Aufbau der X-WiN-Standorte war vorgesehen, dass die vorhandenen redundanten Netzteile einmal an den Normalstromkreis und das andere Netzteil an den durch eine USV (Unterbrechungsfreie Stromversorgung) gesicherten Stromkreis angeschlossen werden. Dort, wo keine ausreichende Kapazität der Standort-USV vorhanden war, hat der DFN-Verein selbst USV-Geräte installiert. Trotzdem hat sich in den letzten Jahren gezeigt, dass diese Maßnahmen für einen ausfallsicheren Betrieb der DFN-Dienste nicht ausreichen. Drei Beispiele sollen die gegenwärtige Situation verdeutlichen. (1) An einem Standort, dessen Stromversorgung wegen der Absicherung durch einen Dieselgenerator als sicher galt, sprang der Generator bei einem Stromausfall in Folge einer Baumassnahme nicht an, weil die inzwischen aufgeschaltete Kapazität der zu versorgenden Geräte zu groß war. Durch die Fehlersuche am Generator kam es zu einem mehrstündigen Ausfall des Kernnetzknotens. (2) An einem anderen Standort war nur die Stromversorgung der USV ausgefallen. Das wurde aber erst bemerkt, nachdem die USV-Batterien entladen waren und damit die Geräte ausgefallen waren, die nur über ein Netzteil, eigentlich sicher, am USV-Strom angeschlossen waren. (3) Ein besonderes Problem stellt die Wartung der USV dar, da dafür in der Regel der USV-Strom abgeschaltet werden muss. Diese Maßnahmen wurden zwar in verkehrsschwachen Zeiten oder an Wochenenden durchgeführt, trotzdem führte das Abschalten des zweiten Stromkreises zu einer kritischen Situation. Um die Stromversorgungssituation an den X-WiN-Standorten besser einschätzen zu können, wurde 2007 im Rahmen einer Umfrage der Status der Stromversorgung an den X-WiN-Standorten abgefragt. Ergebnisse waren u. a., dass sich an einigen Standorten die Voraussetzungen für eine sichere Stromversorgung verändert hatten und dass eine qualifizierte Analyse nur durch einen Fachmann vor Ort durchgeführt werden kann. Deshalb wurde Ende vergangenen Jahres eine Fachfirma damit beauftragt, die Situation durch eine entsprechende Analyse einzuschätzen und entsprechende Maßnahmen vorzuschlagen. Ergebnisse der Stromanalyse Im Rahmen der Analyse wurde untersucht, in wie weit die Standardversorgung der X-WiN-Technik realisiert wurde und wie sie eine sichere Stromversorgung unterstützt. Dabei wurden die Überbrückungszeiten der USV erfasst, ihre Wartungszyklen kontrolliert und sonstige Maßnahmen der Einrichtungen für eine sichere Stromversorgung protokolliert. Grundsätzlich kann eigeschätzt werden, dass an allen Standorten die Voraussetzungen für eine sichere Stromversorgung vorhanden sind. Trotzdem wurden für die Versorgung der X-WiN-Technik folgende Defizite festgestellt. An einigen Standorten wurde das Standardszenario noch nicht umgesetzt, sondern, an sich sicher, nur USV-Strom genutzt. Die vom DFN-Verein installierten USV sind in der Regel nur für Minuten ausgelegt. An einigen Standorten lagen keine oder unvollständige Serviceprotokolle für die USV vor, insbesondere über die Prüfungen der Batterien. Die Dokumentation der Elektroinstallation ist an einigen Standorten ungenügend. Für Elektroanlagen sind in Rechenzentren nicht zugelassene FI-Schutzschalter installiert. Es gibt keine Remote-Überwachung der Stromversorgung der X-WiN-Technik an den Standorten. 8 DFN Mitteilungen

9 In Auswertung der Analyseprotokolle wurde ein Modell für die Versorgung der Standorte erarbeitet, das in Abbildung 1 dargestellt ist. Grundlage des Modells ist, dass für die X-WiN-Technik eine Laufzeit von ca. 2 Stunden gesichert werden soll. Dieser Wert wurde gewählt, weil insbesondere Wartungsarbeiten an den Elektroanlagen der Einrichtungen in der Regel nicht länger als 1 Stunde dauern. Für längere Wartungen werden möglichst Ersatzschaltungen bereitgestellt. Des weiteren wurde eingeschätzt, dass innerhalb dieser Zeit Maßnahmen ergriffen werden können, die eine Notversorgung mit Strom sichern. So sollte wie im ersten Beispiel beschrieben, innerhalb dieser Zeit ein Neuanfahren eines Dieselgenerators möglich sein. Von besonderer Bedeutung wird zukünftig die Remote-Überwachung der Stromversorgung durch den DFN-Verein an den Standorten rund um die Uhr sein. Zum einen wird diese Überwachung direkt an den Routernetzteilen erfolgen. Die eingesetzten Router können den Ausfall der Stromversorgung eines Netzteils melden. Zum anderen gestatten die USV eine remote Überwachung ihres Zustandes. Damit kann die im Beispiel 2 aufgeführte Situation, dass die USV in den Batteriebetrieb übergeht, sofort erkannt werden, und es können entsprechende Maßnahmen eingeleitet werden. Die Überwachung der Stromversorgung an den Standorten wird mit in das Aufgabenspektrum des X-WiN- Überwachers aufgenommen und die zu ergreifenden Maßnahmen im X-WiN-Betriebshandbuch standortspezifisch festgelegt. Der in der Skizze gezeigte Externe Bypass Schalter dient zur Sicherung des zweiten Stromkreises während der Wartungsarbeiten an der USV. Mit Hilfe dieses Schalters wird der zweite Stromanschluss direkt auf die redundanten Netzteile geschaltet und so die im Beispiel 3 aufgeführte Situation vermieden. In den kommenden Monaten werden nach und nach die Standorte so ausgerüstet, dass die oben genannten Anforderungen, insbesondere die zweistündige Verfügbarkeit von USV-Strom, gesichert Hans-Martin Adler DFN-Verein adler@dfn.de ist. Von den gegenwärtig 50 in Betrieb befindlichen Standorten sind 22 davon betroffen. An vier neuen Standorten, die im Rahmen der Fasererweiterung in 2008 in Betrieb genommen werden, werden natürlich die aufgeführten Anforderungen umgesetzt. Abbildung 1: Stromversorgungsmodell an den X-WiN-Standorten DFN Mitteilungen

10 Wissenschaftsnetz Aktueller Ausbau der Faserplattform Ein Faserkreuz im Herzen des X-WiN Z u den bislang ca km Glasfaser-Verbindungen im X-WiN-Kernnetz werden im Sommer 2008 weitere Faser-Kilometer hinzukommen. Die neuen Verbindungen werden auf der Nord-Süd-Strecke die gemanagten Wellenlängen ablösen, die von Hannover über Göttingen, Kassel, Marburg und Gießen bis nach Frankfurt am Main reichen. Durch eine Ost-West-Verbindung von Jena über Kassel, Paderborn nach Bielefeld wird ein Faserkreuz im Herzen des X-WiN entstehen. Zusätzliche neue Faser- Abschnitte werden auch im Rahmen eines Kooperationsvertrags mit der Universität Bochum geschaltet. Die X-WiN-Standorte Paderborn, Bochum, Dortmund und Wuppertal avancieren somit in der kommenden Ausbaustufe zu Kernnetzknoten. Rückblick Bild 1: Erste Ausbaustufe der Faserstruktur Mit der Liberalisierung des TK-Marktes Ende des vergangenen Jahrhunderts wurde die Anmietung von Glasfasernetzen möglich. Die sich für einen Netzbetreiber durch eine Glasfaserstruktur ergebenden Kostenvorteile und die hohe Flexibilität wollte der DFN-Verein auch für seine Mitglieder erschließen. So fanden erste Überlegungen zur Veränderung der Topologie des Wissenschaftsnetzes G-WiN bereits im Sommer 2003 statt. Das neue Backbone-Netz des X-WiN sollte auf einer Glasfasertechnologie, gepaart mit der parallelen Nutzung unterschiedlicher Lichtfrequenzen auf den Glasfasersträngen (Veredelung) sowie einigen gemanagten Wellenlängen, basieren. Als Vorbereitung zum Aufbau des neuen Netzes wurde 2004 eine europaweite Ausschreibung über die vier Lose Glasfasern, Veredelung von Glasfasern, Wellenlängen sowie Netzüberwachung gestartet. Erstes Konzept der Faserstruktur Der erste Entwurf einer Faserstruktur für den X-WiN-Backbone sah vor, Faserverbindungen in einer Ringstruktur über Deutschland verteilt aufzubauen. Nach Bewertung der zahlreichen Angebote als Reaktion auf die Ausschreibung zum Los Glasfaser war zu erkennen, dass tatsächlich die gewünschte Ringstruktur realisiert werden kann. In dieser Phase wurde der Entwurf anschaulich unter dem Arbeitstitel Schneemann geführt. Der Schneemann verband zunächst ca. 40 Kernnetzstandorte mit Glasfasern von einer Gesamtlänge von ca km. Da zu diesem Zeitpunkt nicht für alle gewünschten Kernnetzstandorte Glasfasern zur Verfügung standen, war vorgesehen, einige Strecken über angemietete Wellenlängen miteinander zu verbinden. Eine der wesentlichen Aufgaben des ersten Entwurfes des X-WiN war, die Leistung des bis dahin betriebenen G- WiN auf das X-WiN abzubilden, um einen ungestörten und somit für die Anwender unbemerkten Wechsel zwischen den Netzgenerationen zu ermöglichen. Nachdem dieser Wechsel von den gemanagten Wellenlängen des G-WiN auf die in Eigenregie betriebenen Glasfasern des X-WiN zum Jahresanfang 2006 vollbracht war, konnte damit begonnen werden, das Netz der auf den Fasern geschalteten Wellenlängen so zu konfigurieren, dass die Potenziale der physischen Struktur optimal ausgenutzt wurden. Ausbau der Faserplattform Betrachtet man die erste Phase der Faserstruktur und die auf ihnen konfigurierten Wellenlängen, erkennt man, dass es hier noch weiteren Optimierungsbedarf Bild 3: IPPM-Messung 10 DFN Mitteilungen

11 gibt. Der innere Ring des X-WiN, das so genannte Core-Netz wird aus vollvermaschten Verbindungen zwischen den Standorten Hannover, Potsdam, Erlangen und Frankfurt am Main mit einer Kapazität von jeweils zwei mal 10 Gbit/s gebildet (siehe Abb. 1 und 2). Dieser innere Ring gehört zu den am stärksten benutzten Strecken des X-WiN und weist die höchsten Delay-Werte auf. Beim Blick auf die Faserstruktur ist leicht zu erkennen, warum die Delay-Zeiten innerhalb des Ringes sehr unterschiedlich sind. Obwohl die Entfernungen von Hannover nach Frankfurt am Main und nach Potsdam ähnlich sind, sind die Laufzeiten von Hannover nach Frankfurt fast dreimal so lang wie die zwischen Hannover und Potsdam. Die Erklärung ist recht einfach: auch im X-WiN gelten die physikalischen Gesetze, die die Laufzeiten des Lichtes durch die Glasfasern bestimmen. Sämtliche Wellenlängen zwischen Hannover und Frankfurt am Main mussten bisher im weiten Bogen von Hannover über das Ruhrgebiet weiter nach Jülich und Aachen und von dort erst wieder zurück nach Frankfurt am Main laufen. Um hier Abhilfe zu schaffen, startete der DFN-Verein Ende 2007 eine weitere Ausschreibung für Glasfaser-Verbindungen, die die Nord-Süd sowie Ost-West- Verbindung mit Glasfasern ausrüsten soll. Inzwischen sind die Zuschläge für diese Verbindungen erteilt worden, und Mitte des Jahres werden die Glasfasern von den Lieferanten übergeben. Das X-WiN spannt sich dann mit ca Faser-km über 53 Kernnetzstandorte. Der flächendeckende Einsatz von Glasfasern im Kernnetz bietet dem DFN-Verein und seinen Mitglieder auf lange Sicht nicht nur Kostenvorteile und eine hohe Planungssicherheit. Auch die technischen Möglichkeiten des Gesamtnetzes profitieren von den zusätzlich eingezogenen Faserspangen. So können Wellenlängen, wie im Fall des Core-Netzes flexibler geschaltet werden und durch die Wahl kürzerer Faserwege beim Festlegen der Wellenlängenstrecken die Laufzeiten der optischen Trägersignale zwischen den Standorten deutlich gesenkt werden. Eine weitere große Bedeutung spielt das Faserkreuz für die Ausfallssicherheit des X-WiN. Die für die Veredelung eingesetzte WDM-Technik gestattet die Realisierung optischer Ersatzschaltungen (optische Protection). Dazu kann für jede Wellenlängen zusätzlich zum working-pfad ein protection-pfad definiert werden. Für die Dauer von Störungen, in Form von Beschädigungen oder Wartungsarbeiten an den Übertragungswegen, die sich in der Praxis niemals vermeiden lassen, wird automatisch auf den Ersatzweg geschaltet. Diese Ersatzwege sind in der Regel länger und führen über zum Teil stark ausgelastete Strecken im Kernnetz, die die zusätzliche Datenlast aufnehmen müssen. Dadurch können sich die Delay-Zeiten auf vielen Verbindungen erhöhen. Eine Situa- Petra Eitner DFN-Verein eitner@dfn.de tion, die beim -Empfang nicht weiter stört, aber bei zeitkritischen Anwendungen wie der IP-Telefonie oder beim Videokonferenzdienst vom Nutzer als störend empfunden wird. Auch hier schaffen die zusätzlichen Faserspangen merklich Abhilfe, da über sie die Redundanz der Verbindungen optimaler gestaltet werden kann. So wie mit der derzeitigen Erweiterung der Faserplattform geschehen, kann der DFN-Verein auch zukünftig je nach den aktuellen Erfordernissen das X-WiN schnell und flexibel umgestalten und den Ansprüchen an ein zeitgemäßes Wissenschaftsnetz jederzeit gerecht werden. X-WiN Mit dem seit 2006 betriebenen X-WiN verfügen die Hochschulen und Forschungseinrichtungen in Deutschland erstmals über ein eigenes Glasfaser- Netz für ihre Datenkommunikation. Die Glasfasertechnologie ermöglicht höchste Übertragungsgeschwindigkeiten und nahezu unbegrenzte Übertragungskapazitäten. Durch die Ausrüstung der Glasfasern mit Bandbreiten kann das Netz nicht nur für den normalen Internet-Dienst, sondern auch für verbindungsorienteierte Dienste wie Hochleistungs-VPNs flexibel gestaltet werden. Anschlusskapazitäten von bis zu 10 Gigabit pro Sekunde und frei skalierbare Kernnetzkapazitäten, die bei Bedarf bis in den Terabit-Bereich erweitert werden können, machen das X-WiN zu einem der leistungsfähigsten Netze weltweit. Bild 2: Derzeitige Ausbaustufe der Faserstruktur DFN Mitteilungen

12 Wissenschaftsnetz DFN Roaming Ein Dienst wird international D FNRoaming ist der nationale Internet WLAN Roaming Dienst des DFN-Vereins. Reisende Wissenschaftler oder Studierende können diesen Dienst nutzen, um unkompliziert einen X-WiN-Zugang in fremden Einrichtungen zu bekommen. Der Dienst steht den Einrichtungen seit Anfang 2004 zur Verfügung. Seitdem haben sich ca. 60 Einrichtungen mit ca Access Points für die Teilnahme am Dienst entschieden. DFNRoaming ist ein besonderer Dienst des DFN-Vereins, da im Prinzip jede Einrichtung aus Forschung und Lehre an diesem Dienst teilnehmen kann, auch wenn sie nicht am X-WiN teilnimmt. Ebenso ist es nicht erforderlich, Mitglied im DFN-Verein zu sein. Hinter DFNRoaming steht ein Geben und Nehmen. Einrichtungen, die am DFN- Roaming teilnehmen möchten, gewähren den Nutzern anderer am DFNRoaming teilnehmenden Einrichtungen in ihrer Eigenschaft als Gastgeber einen Netzzugang. Bereits Ende 2004 wurde der nationale Roaming-Dienst DFNRoaming in den europäischen Dienst eduroam integriert. Drei Methoden der Authentifizierung DFN-Roaming unterstützt mehrere Authentifizierungs- bzw. Zugangsverfahren, um eine maximale Kompatibilität des Dienstes mit den Roaming-Diensten anderer Netze zu gewährleisten. Die wichtigste Authentifizierungsmethode ist wegen ihrer Kompatibilität zum europaweiten eduroam-verbund der Weg über 802.1X. Einrichtungen, die planen, am DFNRoaming teilzunehmen, wird empfohlen, gleich mit dem sicheren und international verbreiteten Verfahren 802.1X einzusteigen. Um bestehende Authentifizierungs- Lösungen in den Einrichtungen zu unterstützen, bietet DFNRoaming zusätzlich die Möglichkeit, sich über ein natives VPN oder über Web-Redirect-Services zu authentifizieren. Roaming mit 802.1X Dieses Verfahren gilt in der Regel als sicher, da eine Ende-zu-Ende Authentifizierung/Verschlüsselung der Nutzerdaten zwischen Klient/Supplikant und Heimat-Radius-Server realisiert werden kann. Eine sogenannte Radius-Hierarchie verknüpft die Radius-Server aller teilnehmenden Einrichtungen miteinander (siehe Abb. 1). Die Verkehrsdaten der Nutzer können durch ein Verfahren (WPA2) abgesichert werden, welches nach heutigem Stand der Technik praktisch nicht angreifbar ist, zumindest sind keine Verfah- 12 DFN Mitteilungen

13 Abb. 1: DFN-Top-Level Radius Hierarchie Ralf Paffrath DFN-Verein ren bekannt, aus der sich eine Bedrohung der Nutzerdaten herleiten ließe. Klassisches Argument für den Einsatz von 802.1X ist die mittlerweile international große Verbreitung und Unterstützung des Verfahrens. Nachteil dieses Verfahrens ist die technisch schwierige Realisierung auf gängigen Klienten-Plattformen. Hier kommt es immer wieder zu Kompatibilitäts-Problemen zwischen Klient/Supplikant und den Access-Points verschiedener Hersteller, die leider die Standards nicht einhalten. Um eine Ende-zu-Ende Authentifizierung sicherzustellen, ist es erforderlich, dass die Nutzer nur dem Radius-Server-Zertifikat der Heimateinrichtung vertrauen. Die SSID für diese Methode lautet eduroam. Das Verschlüsselungsverfahren auf dieser SSID ist entweder WPA oder WPA2. Man findet u. a. auch die SSID 802.1X, welche historisch begründet ist. Hinter dieser SSID verbirgt sich in der Regel das Verschlüsselungsverfahren dynamisches WEP, welches wegen seiner Angreifbarkeit umstritten ist. Natives VPN Hier bekommt der VPN-Server der teilnehmenden Einrichtung eine IP-Adresse aus einem Pool von Class-C-Adressen, in dem sich nur VPN-Server befinden. In der gastgebenden Einrichtung muss ein Level-3-Zugriff auf den Class-C-Bereich der VPN-Server realisiert werden. Die Nutzer authentifizieren sich dann direkt gegen die Nutzerdatenbank des ihnen bereits bekannten VPN-Servers in der Heimateinrichtung. Vorteil dieser Lösung ist u. a., die Nutzer sind nur mit einer IP-Adresse ihrer Heimateinrichtung im Netz sichtbar. Die klassischen Argumente gegen diese Lösung sind u. a. zum einen die mögliche Kontamination des Heimatnetzes durch Viren aus den gastgebenden Einrichtungen und zum anderen die technisch schwierige Realisierung im Rahmen einer Internationalisierung des Dienstes. Denn man gerät bei einer begrenzten Anzahl zur Verfügung stehender IP-Adressen leicht in Skalierungsprobleme. Die Methode des Nativen VPN ist im DFNRoaming in der Regel an der WLAN-Netzkennung (SSID) VPN/WEB zu erkennen. Web-Redirect Dieses Verfahren zeichnet sich durch seine technisch einfache Realisierung aus. Die Nutzer benötigen in der Regel einen gängigen Web-Browser und eine einfache WLAN-Adapter-Karte ohne Verschlüs- Abb. 2: DFNRoaming Standortkarte selung. Die Authentifizierung wird in der Regel über Web-Server Zertifikate abgesichert. Hingegen ist nach erfolgreicher Authentifizierung keinerlei Verschlüsselung der Verkehrsdaten vorhanden. Diese muss explizit durch die Nutzer sicher gestellt werden. Die Möglichkeit eines sogenannten Session Hijacking ist groß. Die Nutzerdaten werden während der Authentifizierung über die Radius-Hierarchie mehrmals verschlüsselt und wieder entschlüsselt, welches eine zusätzliche Bedrohung bedeutet. Das Native VPN- und das Web-Redirect-Verfahren werden mit der SSID VPN/WEB im DFNRoaming angeboten. DFN Mitteilungen

14 DFN Roaming Interaktive Standort-Karte für die Nutzer Für den reisenden DFNRoaming Nutzer ist es nicht immer leicht, die passenden Parameter für den Zugang zum X- WiN zu finden. Das liegt u. a. daran, dass die teilnehmenden Einrichtungen nicht immer die Vorgaben zum DFNRoaming (SSID, Verschlüsselung) einhalten können. Daher sind sogenannte Standort-Karten erstellt worden, aus denen der reisende DFNRoaming Nutzer vor Antritt seiner Reise die jeweiligen Parameter erfragen kann. Der Link dfnroaming/roamingstandorte/ gibt Aufschluss über die Parametrisierung des nationalen Roaming Dienstes in den einzelnen Einrichtungen (siehe Abb. 2): Die Standort-Karte ist leicht zu bedienen, man fährt in der Regel mit dem Mauszeiger auf das mögliche Ziel (grüne Punkte in der Karte) und klickt auf die linke Maustaste. Nun kann der Roaming Nutzer sehen, welche Authentifizierungs-Methoden vor Ort unterstützt werden und bekommt ggf. weiterführende Informationen, z.b. zur WLAN- Abdeckung in der jeweiligen Einrichtung. Wie bereits erwähnt, werden im internationalen Roaming Dienst eduroam die Methoden Natives VPN und Web- Redirect nicht mehr unterstützt, so dass eine weitere Standort-Karte für die internationalen Gäste erstellt worden ist. Der Roaming Nutzer findet in dieser Karte nur die Orte, an denen die Methode 802.1X zur Authentifizierung unterstützt wird. Der Link zur eduroam Standort-Karte lautet: Unter http: // findet man die internationalen Karten der Standorte. Server) handelt und sicher gestellt werden soll, dass nur autorisierte Personen auf das Tool zugreifen, ist das Diagnose-Tool durch Zertifikate abgesichert. Administratoren, die das Tool nutzen möchten, benötigen für den Zugriff ein Nutzer-Zertifikat der DFN-PKI (global). DFNRoaming/eduroam Der Kreis schließt sich Europa wächst nicht nur politisch zusammen - auch die nationalen Forschungsnetze in Europa rücken näher aneinander. Eine ganze Reihe wichtiger europäischer Projekte sind in den letzten Jahren angestoßen worden, zu denen auch der Aufbau des eduroam -Dienstes gehört. Mit eduroam ist ein einzigartiger internationaler Roaming-Dienst in Europa geschaffen worden, der sich zunehmend an Beliebtheit erfreut. Mit insgesamt ca. 29 teilnehmenden Forschungsnetzen hat der DFN- Roaming Nutzer in vielen europäischen Städten die Möglichkeit, einen gesicherten Netzzugang zu bekommen. Auch in eduroam werden Nutzer und Administratoren für die Dienstnutzung und Diensterbringung unterstützt. So gibt es für die Nutzer eine interaktive Karte der teilnehmenden nationalen Forschungsnetze (s. http: // die mit den Webseiten der nationalen Roaming- Dienste verlinkt sind. Ein Monitoring-Dienst überwacht alle Top Level Radius-Server, so dass eine hohe Verfügbarkeit der Infrastruktur ermöglich wird. Ein sogenanntes CookBook (http: // &s=docs) in englischer Sprache unterstützt die Administratoren beim Aufbau und der Konfiguration ihrer DFNRoaming/eduroam Umgebung. Weiterentwicklungen im europäischen Projekt eduroam, wie z. B. der radsecproxy, erproben auf der Basis von Zertifikaten die Möglichkeit, wie man die Infrastruktur robuster und sicherer machen könnte. Schon längst hat eduroam die Grenzen von Europa überschritten. So ist die Idee des Internet Roaming in Asien und Australien aufgegriffen worden. Einrichtungen in Australien bieten bereits an verschiedenen Standorten im Lande einen eduroam Zugang für den reisenden Wissenschaftler oder den Studierenden an. DFNRoaming/eduroam ist somit eine in sich geschlossene Sache, die auf bestehenden Standards basiert. Daher sollte in der Regel jede Einrichtung aus Forschung/ Lehre, die u. a. international aktiv ist, diesen Dienst ihren Nutzern anbieten. Mit der tatkräftigen Unterstützung des DFN-Vereins steht der Einführung von DFNRoaming/ eduroam in den Einrichtungen nichts entgegen. Abb. 3: Karte der am eduroam-dienst teilnehmenden Forschungsnetze DFNRoaming Interaktives Diagnose Tool für den Administrator Eine der brennenden Fragen der Administratoren bei der Installation von DFNRoaming ist: Wie testet man nun, ob die eigenen Nutzer an anderen Orten einen X-WiN Zugang über den Dienst DFNRoaming bekommen? Zu diesem Zweck ist ein Diagnose-Tool für Administratoren im DFNRoaming entwickelt worden. Es bietet den Administratoren die Möglichkeit, schnell und unkompliziert zu testen, ob sich die eigenen Nutzer von einem anderen Ort über die Verfahren 802.1X (EAP/TTLS) oder das Web-Redirect authentifizieren können. Der Zugriff auf das Tool wird über eine Web-Seite mit verschiedenen Eingabemasken für die Testdaten realisiert. Da es sich beim Test in der Regel um die Übertragung sicherheitsempfindlicher Daten (Nutzerdaten, IP-Adresse der Radius- 14 DFN Mitteilungen

15 Wissenschaftsnetz RadSec - RADIUS improved Higher reliability and more security in RADIUS-based communications One of the main elements for providing roaming in eduroam, is the use of RADIUS. This is achieved by using a hierarchy of RADIUS servers, where the hierarchy is used to route RADIUS messages from a RADIUS client (e.g., an access point) of a network you are visiting to your home RADIUS server. Responses from the home RADIUS server go back through the same hierarchy in reverse direction. There will typically be several RADIUS messages going back and forth through the hierarchy whenever a user/host authenticates. RADIUS was initially designed for smaller closed networks where there were limited needs for encryption and reliability. However, when passing larger amounts of data across the open Internet, and also over longer distances, there is a need for stronger security and reliablity. RadSec is one way of doing this. RadSec is basically RADIUS using TLS instead of UDP. TLS (you may think of it as a version of SSL) offers improved security, and since TLS uses TCP you also get reliability, including congestion control. RadSec benefits There are several benefits with RadSec. The most important ones are improved security and reliability, but there are also other ones Security RadSec makes use of TLS. TLS allows for strong encryption and a PKI with certificates similar to what is used for say web with SSL. One difference though, is that RadSec uses both client and server certificates. This, so that both RADIUS peers can authenticate one another. Hence compared to standard RADIUS one can get both strong authentication of the peers, and also strong encryption of the RADIUS messages. Note however, that TLS is used by individual peerings, so in a hierarchy RadSec will provide security only on a hopby-hop basis Reliability By the use of TLS (which is on top of TCP) one gets improved reliablity. TCP has sophisticated mechanisms coping with congestion control etc. to ensure delivery of packets, while RADIUS over UDP has only a very simple retransmission DFN Mitteilungen

16 mechanism. With RADIUS over UDP one may also often encounter fragmentation issues, or one needs to try to ensure that RADIUS messages are small enough not to be fragmented. By delivering RADIUS messages over TCP one can have messages larger than the MTU of the network path between two RADIUS peers without having any fragmented IP packets. By using RadSec together with RADIUS Status-Server messages (a kind of keep alive messages that many RADIUS implementations support) one can also easily know for sure whether a RADIUS peer is alive, which means one can have much improved failover between servers and improved availability Certificate based client authentication Ordinary RADIUS uses IP addresses to identify RADIUS peers. This means that a RADIUS server needs to be configured with IP addresses of all the clients. This means that a server administrator needs to update the configuration whenever a client changes its IP address. Another issue in this context is when using RADIUS through a NAT. By using certificates for authenticating clients, one can uniquely identify a client solely by its certificate. Hence once can freely move a client (say an access point) to different networks without any configuration changes. One benefit of this, is for example an eduroam travel kit for providing eduroam service at meetings Certificate based server authentication Authenticating servers by the use of certificates opens up some interesting possibilities. Traditionally with RADIUS, the trust is based on the peerings between any pairs of RADIUS peers to be trusted, and if trust is transitive, then one can have trust between all the RADIUS nodes in a hierarchy like eduroam. By using certificates from a CA with the desired policy and matching of attributes in certificates, a RADIUS client can verify if a RADIUS server is entitled to handle authentication of users in a certain domain (realm). Using server certificates like this, it is not necessary to have a RADIUS hierarchy, because RADIUS clients like access points can directly contact the RADIUS server of a user. One way of doing this could be to locate the home RADIUS server of a user through DNS SRV records, and then have the client check the server certificate to ensure that it is talking to the right server. 3. Practical use of RadSec RadSec is currently being tested in parts of eduroam. Note that one can easily use RadSec in some parts of the hierarchy and traditional RADIUS in others. For each RADIUS peering one can freely choose whether to use RADIUS or RadSec. The most well-known implementation of RadSec is Radiator from OSC. OSC has supported RadSec for several years. Another more recent implementation is radsecproxy ( radsecproxy) which is a RADIUS proxy that also supports RadSec. This can be used as a node in a RADIUS hierarchy (not as client or server but in the middle to forward RADIUS messages up and down the hierarchy), or installed on the same machine as a RADIUS client or server. This is to make sure that all traffic across the network is secured. Unfortunately Radiator does not make use of Status-server messages and TCP state for failover, while this is supported by radsecproxy. Several national research networks and universities in Europe are currently performing tests with RadSec or have it in limited production or pilot use. Also DFN are preparing a pilot. A few branches of the eduroam hierarchy are now being moved to RadSec, and it is expected that more will follow. Later on there will be tests of dynamic server lookups to see whether it indeed could be possible to bypass the hierarchy when a client and a server both support RadSec. RadSec is also being considered for standardisation in the IETF. A draft specification exists, and the IETF is right Stig Venaas Senior Scientist, UNINETT Abels gate 5, 4th floor N-7465 Trondheim Norway Stig.Venaas@uninett.no now discussing whether this is some thing the IETF radext (RADIUS extensions) working group should do. Hopefully an RFC specifying RadSec will result in several vendor implementations. 16 DFN Mitteilungen

17 Wissenschaftsnetz Aktuelles aus dem Wissenschaftsnetz DFN-Geschäftsstelle: Umzug an den Alexanderplatz Der Berliner Geschäfststelle des DFN- Vereins steht im Sommer ein Umzug bevor. Vom bisherigen Standort am Anhalter Bahnhof geht es an den Alexanderplatz. Im Juli soll bereits mit dem Umzug begonnen werden. Ab Anfang August findet man den Hauptsitz des DFN-Vereins verkehrsgünstig gelegen unterm Berliner Fernsehturm im Berolina-Haus. Die neue Adresse lautet: Alexanderplatz 1, Berlin. Sämtliche Telefonnummern und Mailadressen bleiben bestehen. Das X-WiN in Zahlen Nachdem die Universität Witten-Herdecke wieder ans Wissenschaftsnetz zurückgekommen ist und ein weiteres FhG- Institut in Würzburg angeschlossen wurde, haben im März 439 Anwender und 272 Mitnutzer den DFNInternet-Dienst genutzt. 27 Anwender nutzten das Port-Dienstangebot, in derzeit 36 Clustern sind 95 Anwender aktiv. Das im Monat März auf der IP-Plattform des X-WiN transportierte Volumen lag bei bei knapp viereinhalb TeraByte, davon wurden an den Anwenderanschlüssen TByte gemessen. Der daraus folgende jährliche Steigerungsfaktor lag im März bei 1,3. Immer mehr Einrichtungen nutzen VPN-Verbindungen für den Datenaustausch und wickeln ihren Traffic nicht mehr aussschließlich über DFNInternet ab. Neben den Verbindungen für den DFNInternet- Dienst wurden im X-WiN zuletzt insgesamt 18 VPN-Verbindungen auf Anforderung einzelner Anwender realisiert. Neun dieser VPN-Verbindungen hatten eine Kapazität von 10 Gb/s, acht weitere nutzen 1 Gb/s, eine weitere VPN-Verbindung wurde mit 2,5 Gb/s realisiert. Kaufhof Berolina-Haus S- und U-Bahnhof Alexanderplatz Fernsehturm Google DFN Mitteilungen

18 Günstiger Telefonieren im X-WiN Seit Anfang April 2008 gelten für DFN- Fernsprechen neue Entgelte. Die Entgelte für DFNFernsprechen sinken abhängig vom Umsatz der Teilnehmer um ca. 30 Prozent. Günstiger werden auch die neuen Entgelt für Gespräche vom Festnetz in die Mobilfunknetze D1, D2, E-Plus und O2. Pro Minute fallen künftig pauschale 9,99 Cent an. Noch günstiger wird es bei VoIP-zu- VoIP-Telefonaten. Wer im X-WiN per IP telefoniert, tut dies kostenlos. Gespräche von VoIP-Nutzern zu normalen Anschlüssen werden deutschlandweit zum Ortstarif berechnet. (kh) dfnfernsprechen/ Steinbuch Centre for Computing (SCC) gegründet Am 22. Februar 2008 haben die Universität und das Forschungszentrum Karlsruhe im Rahmen des Karlsruher Instituts für Technologie (KIT) den Vertrag zur Gründung des Steinbuch Centre for Computing (SCC) unterzeichnet. Diese gemeinsame wissenschaftliche Einrichtung geht aus dem Zusammenschluss des Rechenzentrums der Universität (URZ) und des Instituts für Wissenschaftliches Rechnen (IWR) des Forschungszentrums hervor und bildet nun das neue Information Technology Centre am KIT. Der Name Steinbuch Centre for Computing erinnert an den Karlsruher Informatiker Karl Steinbuch, der den Begriff Informatik 1954 in die deutsche Sprache einführte. Ziel dieses beispielhaften Zusammenschlusses sind die Erweiterung und Steigerung des Leistungsangebots im IT-Service-Bereich für Forschung, Lehre und Entwicklung unter einem Dach. Die zum SCC zusammengeschlossenen Einrichtungen gehören seit Jahrzehnten zu den leistungsfähigsten Rechenzentren in Deutsch- land und arbeiteten schon seit 1996 im Virtuellen Rechenzentrum Karlsruhe zusammen. Diese Kooperation ermöglicht den Wissenschaftlern beider Seiten eine gegenseitige, transparente Nutzung der vorhandenen Ressourcen. Neben den numerischen Verfahren zur computergestützten Simulation und Lösung ingenieurwissenschaftlicher Fragestellungen widmet sich das SCC auch dem Thema Grid Computing, das die Nutzung weiträumig verteilter Computerressourcen und damit die Lösung ganz neuer Problemklassen ermöglicht. Bereits heute arbeiten am Steinbuch Centre for Computing 200 Mitarbeiter in einer neuen Abteilungsstruktur aufs engste zusammen. Damit betreibt das KIT eines der größten wissenschaftlichen Rechenzentren in Europa, an dem gleichermaßen High Performance Computing und Grid Computing auf anerkanntem Spitzenniveau betrieben wird. (kh) Highspeed-Verbindung in die Kaukasus-Staaten Die Kaukasus-Staaten breitbandig mit den europäischen Wissenschaftsnetzen zu verbinden ist das Ziel des Anfang März 2008 gestarteten Black Sea Interconnection -Projekt (BSI). BSI wird die Forschungsnetze von Georgien (GRENA), Aserbaidschan (AzRENA) und Armenien (NAS RA) mit dem europäischen High- Speed-Backbone verlinken. Gefördert wird das Projekt mit 1,4 Mio. Euro, die im 7. Rahmenprogramm für Forschung und Entwicklung von der EU bereit gestellt werden. Koordiniert wird die Vernetzung der Kaukasus-Länder durch das türkische Forschungsnetz. Bislang sind die kaukasischen Staaten im Rahmen des OCASSION- bzw. SILK- Projekt miteinander und mit dem europäischen Forschungsbackbone verlinkt. Seit 1999 wurden im Rahmen des SILK-Projektes Satelliten-Links in den Kaukasus und in die Länder jenseits des Kaspischen Meeres aufgebaut und unterhalten. Der zentrale Zugang zum Europäischen Forschungsnetz erfolgte über eine Bodenstation des Hamburger DESYs - von dort wurden die Datenströme über das DFN weiter ins GÉANT2 geleitet. Diese Satelliten-Links sollen künftig durch Faser-Verbindungen ersetzt werden. (kh) DFN-AAI: E-Learner bald bundesweit kompatibel Anfang März trafen sich auf Einladung des DFN-Vereins in Berlin Betreiber und Entwickler von E-Learning-Systemen aus Deutschland. Die Teilnehmer des Treffens einigten sich auf grundlegende Spezifikationen für den Austausch von Attributen zwischen E-Learning-Systemen und deren Nutzern innerhalb der DFN-AAI-Föderation. Eine neu eingerichtete Arbeitsgruppe wird die verbindlichen Details der Spezifikation ausarbeiten. Damit wird eine wichtige technische Voraussetzung geschaffen, um innerhalb der DFN-AAI hochschulübergreifend unterschiedliche E-Learning-Systeme nutzen zu können. (kh) 18 DFN Mitteilungen

19 Wissenschaftsnetz DFN-AAI in der Praxis Frequently asked questions Seit der Aufnahme des Regelbetriebes im Herbst 2007 hat sich die DFN-AAI in einigen Bereichen von einem Testsystem für einige wenige Fachleute zu einer alltagstauglichen Produktionsinfrastruktur entwickelt: In Baden-Württemberg oder in Kürze bei der Max-Planck-Gesellschaft wird die Informationsbeschaffung bei wissenschaftlichen Zeitschriftenverlagen in erheblichem Maß über die DFN-Föderation abgewickelt. Inzwischen sind eine große Zahl der wesentlichen Verlage der DFN-Föderation beigetreten. Auch die Zahl der wissenschaftlichen Einrichtungen, die ihre Identity Management-Systeme in die DFN-AAI integrieren, wächst stetig an. In diesem Artikel geben wir einen Überblick über die häufigsten Fragen, die dem DFN-Verein im Zusammenhang mit der DFN-AAI in den vergangenen Monaten gestellt wurden. Vorteile der DFN- Föderation Der Aufbau einer einheitlichen Infra- struktur für Authentifizierung und Autorisierung durch den Dienst DFN-AAI stellt einen wesentlichen Fortschritt gegenüber den bisherigen Einzellösungen zwischen Anbietern und Anwendern dar. Der für eine vertrauenswürdige Kommunikation erforderliche Aufwand beim Aufbau der Infrastruktur zahlt sich im Vergleich zu den bisherigen Verfahren gleich mehrfach aus: Eine erhöhte Benutzerfreundlichkeit, indem die bisher erforderliche Authentifizierung des Nutzers bei mehreren Anbietern durch eine einheitliche Authentifizierung bei der eigenen Einrichtung abgelöst wird. Indem das Erfordernis der Übermittlung von Zugangsdaten zu mehreren Anbietern entfällt, stellt die Authentifizierung über die eigene Einrichtung zudem einen wesentlichen Fortschritt im Hinblick auf den Datenschutz der Nutzer dar. Den Anbietern kommt eine für die Übermittlung ihrer Inhalte vertrauenswürdige Infrastruktur entgegen, bei der die Authentifizierung durch die Einrichtungen anhand des IDM eine größere Gewähr für die lizenzgerechte Nutzung der Inhalte bietet als die bislang eingesetzten Verfahren. Sicherheitsaspekte Die Sicherheit in der DFN-AAI ist eine entscheidende Voraussetzung für ihre Nutzung, vor allem hinsichtlich Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit. So muss gewährleistet sein, dass die in der DFN-AAI übermittelten Daten nicht durch unbefugte Dritte ausgespäht werden. Bei Verwendung digitaler Zertifikate werden DFN-PKI-Daten bei der Übermittlung automatisch verschlüsselt, womit unbefugtes Entschlüsseln praktisch nicht möglich ist. Basis hierfür ist die starke Policy der DFN- PKI (z.b. persönliche Identifizierung). Damit die in der DFN-AAI übermittelten Daten nicht unbemerkt verändert werden, werden die Daten bei der Übermittlung automatisch mit Prüfsummen versehen. Dadurch kann eine unbefugte Veränderung von Daten sofort automatisch erkannt werden. Entscheidend für die Sicherheit der DFN-AAI ist auch die Täuschungssicherheit. Es muss sichergestellt sein, dass die beteiligten Instanzen wie Personen und Server DFN Mitteilungen

20 tatsächlich diejenigen sind, die sie vorgeben zu sein. Auch dies lässt sich mit der DFN-PKI realisieren: Das digitale Zertifikat dient hierbei als elektronischer Ausweis. Alle beteiligten Server müssen ein digitales Zertifikat haben und sind dadurch eindeutig und nachvollziehbar ausweisen. Ebenso können Personen - je nach Sicherheitsbedarf - ein digitales Zertifikat verwenden. Voe allem muss gewährleistet sein, dass die DFN-AAI jederzeit zur Verfügung steht. Aus diesem Grund liegt der DFN-AAI ein Redundanzkonzept für alle technischen Komponenten der DFN-PKI und der DFN- AAI zu Grunde. Alle betrieblichen Prozesse sind auf hohe Verfügbarkeit ausgelegt, die technischen Komponenten werden ausfallsicher redundant betrieben, sämtliche relevante Daten werden mehrfach gesichert gespeichert. Wichtig ist zu erwähnen, dass die DFN- PKI für die Nutzer der DFN-AAI als unentgeltliches Hilfsmittel uneingeschränkt zur Verfügung steht. Rechtliche Fragen Die DFN-AAI lässt sich aus vielen verschiedenen rechtlich Blickwinkeln betrachten, wovon an dieser Stelle folgende drei Aspekte betrachtet werden, die Sicht des Datenschutzes des Personalrates des Signaturgesetzes Datenschutz Innerhalb einer AAI-Föderation erfolgt die Authentifizierung eines Nutzers durch die Hochschule und nicht durch einen Informationsanbieter. Dies hat den Vorteil gegenüber herkömmlichen Verfahren, dass - falls gewünscht - eine vollständige Anonymität gegenüber dem Anbieter hergestellt werden kann. Eine Übertragung personenbezogener Daten wie z.b. von User-Id oder Passwörtern findet also nicht statt. Damit ist der Schutz persönlicher Daten der Nutzer sichergestellt. Voraussetzung für die Teilnahme an der DFN-Föderation ist das Vorhandensein eines Identity Management Systems (IdM) an der Heimateinrichtung. Bei der Einrichtung eines solchen IdMs sind selbstverständlich datenschutzrechtliche Fragen mit ihren landesrechtlichen Besonderheiten zu beachten. Insbesondere sollte der Grundsatz der Zweckbindung Beachtung finden; Authentifizierung über Hochschulgrenzen hinaus kann unter Umständen eine zweckändernde Nutzung gewisser Daten darstellen, wofür die Einwilligung der Betroffenen eingeholt werden muss. Dies kann z.b. durch die elektronische Einwilligung auf der Login-Seite erfolgen. Personalrat Authentifizierung mit Hilfe der Verfahren der DFN-AAI bietet für die Heimateinrichtung die technische Möglichkeit festzustellen, welcher Nutzer auf welchen Anbieter zugegriffen hat (nicht auf welche Inhalte). Agieren Mitarbeiter von wissenschaftlichen Einrichtungen als Nutzer innerhalb der DFN-AAI, ist somit die Möglichkeit der technischen Leistungs- und Verhaltenskontrolle gegeben. Hierzu ist laut Personalvertretungsgesetzgebung, z.b. 72 Abs. 3 Nr. 2 LPersVG NRW, ein Einverständnis der Personalräte erforderlich, auch dann, wenn von der Möglichkeit der Leistungsund Verhaltenskontrolle kein Gebrauch gemacht wird. Deshalb sollte bei Teilnahme an der DFN-Föderation der Personalrat beteiligt werden. Signaturgesetz Innerhalb der DFN-PKI werden die Verfahren der fortgeschrittenen Signatur angewendet. Sie erfüllen nicht die Erfordernisse der Schriftform i.s.v. 126a BGB und 3a VwVfG. Dies ist aber bei Einsatz von Server- und Einzelzertifikaten auch nicht notwendig, da die DFN-PKI mit ihrer starken Policy und der persönlichen Identifizierung genügend Sicherheit bietet, um als Basis für die Herstellung eines Vertrauensverhältnisses von den Teilnehmern der DFN-Föderation anerkannt zu werden. Anwendungen Die häufigste Nutzung erfährt die DFN-AAI durch den Bibliotheks- und Verlagsbereich, wie in dem Artikel: Bibliotheksdienste in der Deutschen Föderation DFN-AAI von Franck Borel und Ato Ruppert in diesem Heft beschrieben wird. E- Learning Der DFN-Verein organisiert primär die Trust-Beziehungen zwischen den beteiligten Einrichtungen. Aufgabe des DFN ist auch, Attributsempfehlungen festzulegen. Dies muss applikationsspezifisch geschehen, da die Relevanz vieler Attribute auf bestimmte Anwendungen beschränkt ist. In einigen Ländern der Bundesrepublik sind E-Learning-Systeme im Einsatz, die landesweit von verschiedenen Hochschulen genutzt werden. Für diese An- Ulrich Kähler DFN-Verein kaehler@dfn.de wendungen hat der DFN-Verein in Zusammenarbeit mit Betreibern und Nutzern von E-Learning-Systemen eine Empfehlung für den Austausch von Attributen zwischen E-Learning-Systemen erarbeitet. Die Empfehlung orientiert sich stark an den Schemata inetorgperson und eduperson, wobei auch eigene Objekte definiert wurden, wenneine Abbildung auf Standard- Objektklassen nicht möglich war. Die Festgelegung umfasst sowohl Basisattribute, wie z.b. Studiengang und Geburtsdatum, als auch weiterführende Daten z.b. für Accounting-Zwecke oder zur Verbesserung des Nutzerkomforts. Hiermit wurde eine notwendige Voraussetzung geschaffen, um eine breitere und nutzerfreundlichere Nutzung von E- Learning-Systemen in Deutschland zu ermöglichen. Ausblick Für das Jahr 2008 hat sich der DFN- Verein eine Reihe von Aufgaben vorgenommen, um den Dienst DFN-AAI weiter voran zu treiben: Der Ausbau der DFN-Föderation soll durch Hinzunahme weiterer Teilnehmer und Ressourcenanbieter vorangetrieben werden. Die Betriebsinfrastruktur von DFN-AAI soll durch weitere Redundanzmaßnahmen höchstmögliche Verfügbarkeit erlangen. Die neue Software-Version Shibboleth 2.0 soll sobald wie möglich in Betrieb genommen werden. 20 DFN Mitteilungen