Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Sicheres WLAN-Gateway für »Notebook-Uni Rostock«

Sicheres WLAN-Gateway für »Notebook-Uni Rostock«

18. Mai 2005, 0:00 Uhr |
Fortsetzung des Artikels von Teil 1

Sicheres WLAN-Gateway für »Notebook-Uni Rostock« (Fortsetzung)

Sicherheit als Praxisanforderung
Die frühzeitige Adaption neuer Technologien bringt indes nicht nur einen Wissensvorsprung, sondern führt gelegentlich auch dazu, an Produkte gebunden zu sein, deren Funktionen und Konzepte noch nicht ausgereift sind.
Mit der Übergabe des WLAN-Projektes, das im Anfangsstadium vom Fachbereich Informatik betreut worden war, an das Rechenzentrum und den Echtbetrieb, zeigte sich schon bald, dass das zugrundeliegende Sicherheits- und Managementkonzept für die produktive Nutzung des Netzes durch einige Tausend User nicht ausreicht. »Das war WLAN von Hand«, beschreibt Gunter Frisch die damalige Situation. Alle MAC-Adressen mussten von Hand erfasst und in den zentralen Router eingetragen werden. Rechner, die nicht eingetragen waren, konnten dann zwar das WLAN nutzen, aber sich beispielsweise nicht in das Uni­netzwerk einloggen, weil das WLAN als eigenes Virtuelles LAN geführt wird. Neben dem Management erwies sich vor allem die Zugangskontrolle als nicht ausreichend.
»Wireless LAN ist gerade auch für Universitäten eine großartige Technologie, aber ohne Sicherheit geht es heute einfach nicht mehr« beschreibt Peter Eschholz, Systemingenieur am Lehrstuhl für Rechnerarchitektur die Situation. »Mit im Access Point vorgehaltenen MAC-Adressen wäre es langfristig nicht mehr gegangen«. Mittlerweile trennt man Sicherheitsbereich und WLAN mit Hilfe einer speziellen Sicherheits-Hardware, einem Wireless Gateway von Bluesocket.
Diese Sicherheits-Boxen sind speziell für die Sicherheit und das Management in WLANs konzipiert und haben Durchsatzraten von 100 Mega­bit bis 1 Gigabit in der Sekunde. Die Gateways wurden speziell für den Einsatz in existierenden WLAN-Infrastrukturen entwickelt. Sie arbeiten mit allen 802.11 a/b/g standardkonformen WLAN-Komponenten zusammen. Zur Erhöhung der Netzwerksicherheit oder zur Vereinfachung des WLAN-Managements werden sie ohne weitere Hardwareänderungen einfach in das vorhandene Netzwerk integriert. Auch eine spezielle Client-Software ist nicht erforderlich. Mit diesem herstellerunabhängigen Ansatz können die Gateways Sicherheits- und Managementschwachstellen auch in vorhandenen Netzwerken nachträglich beseitigen.

Wireless Gateways als Lösung
Die Grundfunktionen der Wireless Gateways umfassen die Authentisierung von Nutzern, die rollenbasierte Zugangskontrolle zu Ressourcen, eine starke Verschlüsselung (IPsec), ein komfortables und wirksames ­Management der WLAN-Infrastruktur sowie das Management von Bandbreiten und Servicequalitäten. In der Praxis hat sich die Administration der WLANs und seiner Nutzer deutlich entspannt. Vor der Gateway-Instal­lation wurden öfter die Zugangs­beschränkungen durch findige Studenten umgangen beziehungsweise nervte die Notwendigkeit der manuellen Pflege der MAC-Adressen. Dies ist durch die automatische und konsequente Authentisierung aller Nutzer sowie die Anbindung an die RADIUS-Nutzerdatenbank ausgeräumt. Jeder neue Student bekommt heute ein Konto zugewiesen, das ihn oder sie zur Nutzung der öffentlichen Einrichtungen, etwa des PC-Pools, berechtigt. Dieses Konto gilt auch für die Nutzung des WLAN. Sobald der Anwender eine Website öffnet, die sich außerhalb des WLAN befindet, muss er sich gegenüber dem Gateway authentisieren. Der Datenzugang kann dann wahlweise über ein VPN oder aber unverschlüsselt ablaufen.
Die Benutzerverwaltung an der Universität Rostock erfolgt noch ausschließlich über einen NT Domain Server mit RADIUS Datenbank. Wegen der steigenden Nutzerzahlen wird allerdings eine professionelle Nutzerverwaltung auf der Basis eines Verzeichnisdienstes nicht mehr lange auf sich warten lassen. Derzeit  werden die Authentisierungsdaten über das Remote Authentification Dial-In User Service (RADIUS)-Protokoll transportiert. Authentisiert wird sowohl über 802.1x als auch über das Web mittels einer eigens für die Uni Rostock erstellten LogIn-Page, die ausschließlich für die WLAN-Nutzer zur Verfügung steht. Nach der Authentisierung weist das Wireless Gateway dem User eine Rolle zu und generiert automatisch dessen IP-Adresse. Die Zuweisung der IP-Adressen erfolgt dabei dynamisch.
Obwohl die Bandbreite im Universitätsnetzwerk nicht ausgesprochen knapp bemessen ist, hat man sich entschieden, Bandbreite pro User bis zur DSL-Geschwindigkeit bereitzustellen und nicht wie anfangs mit bis zu 10 Megabit in der Sekunde. Die Nutzung ist dennoch frei von Kapazitätsproblemen. Auch wenn an der Universität rund 14000 Studenten immatrikuliert sind, liegt die durchschnittliche Zahl der parallel angemeldeten Benutzer zwischen 130 und 150, wobei natürlich Spitzenwerte zu Ballungszeiten deutlich darüber liegen.
In Rostock kommen derzeit ein Wireless Gateway Bluesocket WG 2000 sowie ein WG 2100 zum Einsatz. Der unverschlüsselte Datendurchsatz eines WG 2100 beträgt bis zu 400 Mega­bit in der Sekunde. Verschlüsselt werden bis zu 150 Megabit in der Sekunde erreicht. Damit ist eine ausreichende Kapazität sichergestellt. Der Entscheidung für den Einsatz zweier Systeme lagen Sicherheitsüberlegungen zugrunde. Beide Systeme werden redundant betrieben, so dass im Falle des Ausfalls eines Gerätes dessen Funktion unmittelbar vom zweiten übernommen wird.

Praxistest bestanden
Derzeit steht in Rostock die Umstellung der Software auf die neue Version 4.0 an, die das EAP-FAST Protokoll für 802.1x sowie WPA unterstützt. Zusammen mit anderen EAP Methoden wie LEAP, PEAP, TTLS, TLS und MD5 stellen die Wireless Gateways das umfangreichste Spektrum an Authentisierungs- und Sicherheits-Methoden bereit.
Neue, spannende Projekte sind an der Uni Rostock bereits in Arbeit. »Mobile Systeme für Mobile Systeme« ist ein solches Projekt, bei dem die Eignung von Funk-LANs im Zug, auf der Autobahn oder im Flugzeug untersucht wird. Hier gibt es bereits Kooperationen mit Auftraggebern aus der Wirtschaft. Ein anderes Projekt mutet dagegen eher idyllisch an: Hier kommen Fesselballons zum Einsatz, um die Funk-LAN-Abdeckung verschiedener Stadtteile aus der Luft zu erkunden. Auf jeden Fall wird man aus Rostock im Hinblick auf den Einsatz von Funk-LANs noch einiges erwarten können.    Christian Zimmermann ist freier Journalist in München

  1. Sicheres WLAN-Gateway für »Notebook-Uni Rostock«
  2. Sicheres WLAN-Gateway für »Notebook-Uni Rostock« (Fortsetzung)
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Vertiv GmbH

Vertiv GmbH
WatchGuard Technologies

WatchGuard Technologies
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
NFON AG

NFON AG
Securepoint GmbH

Securepoint GmbH
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.