Universitäten verdrahtlosen Carsten Bormann, cabo@tzi.de Niels Pollem, np@tzi.de... and a cast of dozens...
Mobiler Campus Bremen: Der Weg zur Notebook-Universität IT-Unterstützung von Lehrenden und Lernenden Universität als nicht-territorialer Arbeitsraum Lehrende: Büro, Hörsaal, Besprechungsraum Studierende: Hörsaal, Arbeitsraum, CIP-Pool IT-Lösung: Notebooks, WLAN, Software, Qualifikation Studierende kaufen/leasen Notebook usw. selbst 6
Eckpunkte Notebook-Universität 1. Bereitstellung eines Funknetzes (WLAN) 2. Sicherstellung einer Software-Grundausstattung 3. auch fachspezifische Software der Fachbereiche 4. Qualifizierung der Hochschullehrer(innen) 5. Bereitstellung digitaler Texte/Lehrbücher 6. Festlegung von Standardkonfigurationen bei Notebooks (Basis, Professional, High End): 7. Entwicklung eines Finanzierungsmodells 8. Notebooks in allen Prüfungssituationen zugelassen 9. Integration der IT als wesentlicher Teil der Ausbildung 10. Aufbau von Service Points 7
Weitere Beteiligte Zentrum für Netze (ZfN) Zentrum für Angewandte IT (ZAIT) Zentrum für Multimedia in der Lehre (ZMML) Fachbereiche FB1 (IKOM) FB12 (Lehrerausbildung) 8
Ansatz: Drahtloser Netzzugang Netz ist Voraussetzung für sinnvollen Einsatz von Multimedia-Technologien u.a. in der Lehre ZfN: Campus-Netz, Ethernet-Anschlüsse Ausstattung aller Räume mit hinreichend Dosen? Maximalausbau nötig verschwenderisch teuer zudem: viel zu unflexibel 9
Ansatz: Drahtloser Netzzugang Netz ist Voraussetzung für sinnvollen Einsatz von Multimedia-Technologien u.a. in der Lehre ZfN: Campus-Netz, Ethernet-Anschlüsse Ausstattung aller Räume mit hinreichend Dosen? Maximalausbau nötig verschwenderisch teuer zudem: viel zu unflexibel Mobile Geräte Drahtlos Ethernet Fest aufgebaut kein Glas 9
Die Technologie: Wireless LAN Wireless Local Area Network ( WLAN ) drahtloses Äquivalent von Ethernet Lizenz-frei: ISM-Band (2.4 GHz) Basisstationen (APs): an Ethernet anschließen Notebook-Karten (PCMCIA, ggf. PCI): Treiber für Windows, Linux, MacOS APs 700 1500 Mark, Karten 250 Mark 10
Drahtlose LANs: von b über g zu g/h unter Auslassung von a 1999: 802.11b: Weltweiter Standard (2.4 GHz) 802.11a: 5 GHz, 54 Mbit/s, in EU illegal 2002: 802.11g: Hohe Geschwindigkeiten für 802.11b 802.11h: 802.11a in Europa legalisieren (DFS, TPC) Dual-Mode/Dual-Band 802.11g/h Anfang 2003 11
WLANs im TZI WLAN-Technik im Einsatz seit 1998 Nutzung in Projekten TZI/DMN TZI Informatik FB3 Konvergenz auf IEEE 802.11b (WiFi) seit 1999 11 Mbit/s, Reichweite bis 300 m/30 m www.dmn.tzi.de/wlan/ 12
WLAN-Projekt 1. Phase: Förderung durch das bmb+f Förderungsziel: WLAN-Einsatz in der Lehre Projektgruppe aus TZI, IKOM, ZMML, ZfN, ZAIT,... >400 APs, Cisco Ziel: Gute Flächendeckung (Arbeitsmittel!) Ziel: Zukunftsorientierte Infrastruktur 13
WLAN-Projekt: Ausrollen Basis: Campus-Festnetz (oops: ATM, Glas) Fernspeisung leider noch keine Option Cisco 342 (und ein paar 350er mit Antennen) Roll-Kolonnen aus Mitarbeiter+Studenten Problem: Elektrik lösbar Problem: Diebstahl Box-Lösungen 14
WLAN Stand 2001-10-01 Gepunktet: Phase 2 15
WLAN-Projekt: Support Technik allein reicht nicht Qualifizierung der Techniker Qualifizierung der Anwender Lehrende und Studierende Support-Strukturen Vor Ort: First-line ZfN/ZAIT: Second-line Notebook-Universität: Anbieter einbinden! 16
WLAN: Einsatz zuhause Basisstationen für Heimnetz: Z.B. Apple Airport (ca. DM 700) Enthält Modem Ethernet Für weitere PCs für T-DSL (PPPoE) NAT/DHCP (mehrere PCs) 17
Wie sicher ist ein WLAN? 1) für die Menschen Safety 2) für die Daten Security Nur eine sichere Lösung ist eine nachhaltige Lösung! 18
Safety WLANs durch RegTP allgemein zugelassen (bis 100 mw) EN60950, EN50361, DIN VDE 0848, BImSchG,... 2.4 GHz: nicht-ionisierende elektromagnetische Wellen Parameter: Leistungsflußdichte (1 W/m 2 Grenzwert) Grenzwerte weit unterschritten, große Reserven Cisco: 30 mw Gesamtsumme pro Kanal (AP + Laptops) 19
Safety und der Personalrat WLAN-Ausrollen kann als Bedrohung aufgefaßt werden UMTS-Diskussion in 2000 wenig hilfreich Personalrat rechtzeitig mit Details versorgen Bremen: z.z. Probebetrieb vereinbart Immissionsmessungen (EMVU-Gutachten) Betriebsvereinbarung Personalrat/Kanzler Datenschutz 20
Ziel: Security (1) Abhörsicherheit Zugangsregelung (nur für Mitglieder der Uni) Interim: WEP Gemeinsamer geheimer 40-bit-Schlüssel Auf Cisco-Karten gebrannt (write-only) Abhörsicher nur nach außen Leider auch kryptographisch unbrauchbar 21
Security (2) WLAN-Inseln auflösen Roaming WLAN offen (bis auf SSID rechtliche Gründe) Nahtlose Benutzung überall (inkl. Verwaltung) Authentisierung per Nutzer/Passwort Dezentrale Administration, VPN-Gateways kryptographische Sicherheit Nutzer identifiziert: Verantwortlichkeiten klar 22
WLAN: Standard-Architektur Alle APs in einem L2-Netz (VLAN, Bridges) RFC1918-Netz (10.x.y.z o.ä.), kein Routing VPN-Gateways in die zu erreichenden Netze Campus-Netz, AG-Netze (hinter Firewalls) Infrastruktur im WLAN-VLAN: DHCP, DNS, freie Dienste (internes WWW) an diversen Hochschulen im Einsatz 23
VPN-Gateways G-WiN WLAN-VLAN Campus-Netz DHCP, DNS, free Web Intranet X 24
VPN-Techniken VPN = *) Sichere Übertragung über unsichere Netze Transport Layer: (SSL), SSH Tunneling von SMTP, IMAP/POP, HTTP-Proxy Internet Layer: PPTP/L2TP, IPsec Alle IP-basierten Dienste realisierbar (Oops: Multicast) *) hier 25
WLAN: VPN-Lösung mit PPTP Lösung vorerst: Point-to-Point Tunneling Protocol (PPTP) MPPE (Microsoft Point-to-Point Encryption) MS-CHAPv2 (Challenge-Handshake Auth. Protocol) zunehmend angreifbar, aber breit verfügbar: Es läuft. Clients für Windows (built-in), Linux, MacOS 8.6, 9.x, [X] erklärtes Ziel: IP Security (IPSec) IETF-standardisiert, transparent in Layer 3 integriert parallel zu PPTP durch eigenes Gateway anbieten 26
VPN-Lösung: dezentraler Aufbau Teilung anhand signifikanter Nutzerbasen (FB1, FB3, ZfN) jeweils Dienste-Rechner für DNS, DHCP, Web DNS und DHCP sind jeweils ausfallsicher angelegt Nutzer bauen Tunnel über zugeordnetes Gateway auf je ein oder mehrere Tunnel-Endpunkt-Rechner Lastverteilung je Bereich über Round-Robin-DNS entstehende Last auf dem Backbone unbedeutend November 2001: 1x Dienste, 2x Gateway in jedem Bereich 27
VPN-Lösung: Anmeldeverfahren Voraussetzung: bestehender Account in einem Bereich Paßwort-Problem: MS-CHAPv2 vs. crypt unter Unix Paßwörter müssen im Klartext gespeichert werden Lösung: Webserver mit SSL auf den Dienste-Rechnern Zugriff auf den Webserver via SSL ( https://... ) separates WLAN-Paßwort wird dort abgelegt nachfolgend geht es nie unverschlüsselt über das Netz Problem entfällt u.a. durch entsprechende Key-Infrastruktur 28
WLAN: VPN-Gateway-Rechner grundsätzlich Linux als Betriebssystem für Infrastruktur kostengünstig, wohlverstanden, Integration einfach RedHat 7.1 mit Kernel 2.4.10 zzgl. MPPE-Patches pptpd (PoPToP 1.0.1) PPPd (2.4.1, MPPE zzgl. Patches für MacOS) Installation einfach, Dokumentation hinreichend MacOS allerdings etwas trickreich (u.a. Patch für PPPd) Athlon 1400 MHz, 512 MB, 2x Ethernet 100 Mbit/s 29
WLAN: Einsatz im Fachbereich 3 Infrastruktur läuft stabil, deutlich unter Lastgrenze 250 eingetragene Nutzer, meist um 40 parallel Nutzung auch durch externe Mitarbeiter möglich starker Multiplikatoren-Effekt: Karten-Verkäufe u.ä. 500 registrierte Nutzer auf Campus insgesamt Zugangsnetz auch auf freie Wanddosen legen Ausweitung Zugangsnetz auf Technologie-Park 30
WLAN: aktuelle Entwicklungen zeitnah bis 54 Mbit/s über 802.11g/h entsprechende Ausstattung an Schwerpunkten Location-based Services (LBS) deutlich sichtbar ideale Infrastruktur: flächendeckendes WLAN Multimedia-Kommunikation über drahtlose Netze TZI: Arbeiten zu fehlertoleranter Übertragung IP-Telefonie: nahtloses Roaming zu Mobilfunk 31
Neu: Roaming Initiative HB (Uni/HS/BHv/...), GÖ, KA, HRO Warum nicht mit Bremer Zugangsberechtigung auch in Karlsruhe arbeiten? Möglich: RADIUS-Ansatz Aber was soll der Roamer im Gastgebernetz? VPN-Software wird ohnehin benötigt! 32
Roaming: ab ins Heimatnetz Roamer will sich wie zu Hause fühlen (vgl. VHE!) Heterogeneität der VPN-Protokolle, AAA- Verfahren, Softwarelösungen,... Dienste sind konfiguriert für Heimatnetz Nutzung der Dienste im Gastgebernetz erfordert besonderen Zugang (kein free printing...) 33
Roaming: Der Wbone-Ansatz Authentisierung/Autorisierung in Heimat-VPN-GW Zu tun: Interconnection der WLAN-VLANs Adreßkoordination; Routing (Tunneling, OSPF) MAC- Authentisierung koordinieren Mittelfristig: Durch SSID-Lösung ersetzen 34
VPN-Gateways WLAN-VLAN Campus-Netz G-WiN G-WiN Intranet X DHCP, DNS, free Web VPN-Gateways WLAN-VLAN Campus-Netz G-WiN Intranet X DHCP, DNS, free Web 35
VPN-Gateways Wbone WLAN-VLAN Campus-Netz G-WiN G-WiN Intranet X DHCP, DNS, free Web VPN-Gateways WLAN-VLAN Campus-Netz G-WiN Intranet X DHCP, DNS, free Web 35
VPN-Gateways Wbone WLAN-VLAN Campus-Netz G-WiN G-WiN Intranet X DHCP, DNS, free Web VPN-Gateways WLAN-VLAN Campus-Netz G-WiN Intranet X DHCP, DNS, free Web 35
Wbone: wirklich RFC1918? Pro: Abschottung perfekt Wohlverstanden Schneeballeffekt Alternative: WiN- Tabellen :-( Mit OSPF einfach zu administrieren Contra: Noch eine Routing- Struktur Adressmanagement erforderlich DNS-Einträge für private Adressen 36
DFN-WRX: WLAN Roaming Exchange Interconnection der Zugangsnetze: Wbone Tunnel-Management, Routing-Koordination DFN-weite Unterstützung im WRX: Autorisierung des Netzzugangs, wo erforderlich Integration der Konfigurationstabellen Unterstützende Informationen für Nutzer SSID-Tabellen, integrierte Abdeckungskarten,... 37
Wbone-Roaming in der Praxis Vor der Reise: MAC-Adresse anmelden (einmalig) SSID der Zielinstitutionen besorgen Am Zielort: SSID konfigurieren, DHCP DNS VPN Läuft! 38
WRX: Vision (2003) WRX als Standarddienst im DFN-Kernnetz Wbone wird (separater!) Teil des G-Win Robuste Verwaltungsinfrastrukturen Relevante Unternehmen, Provider einbeziehen Park-WLANs, Hotspots, Wide-Area-Mobilität (GPRS/UMTS) Europa: TERENA? (DFN als Kristallisationskeim) 39
http://www.dmn.tzi.de/wlan/ wlan@tzi.de Das Campus-WLAN der Universität Bremen Carsten Bormann <cabo@tzi.org> Niels Pollem <np@tzi.org>