Regionale Lehrerfortbildung

lehrerfortbildung.bw.de

Regionale Lehrerfortbildung

Regionale Lehrerfortbildung

Notebooks und WLAN

in der paedML Novell

U. Frei

16.04.2013

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

1


Inhalt der Fortbildung

1. Anforderungen und Wünsche an Schulnetz

2. Netzwerkstrukur

Notwendige Erweiterungen

3. Grundlagen VLAN

4. Grundlagen WLAN

AccessPoints

5. Umsetzung in der paedML Novell

6. Planung

7. Szenarien

Sicherheitsaspekte

Bitte führen Sie an Ihrer Schule die Einrichtung von WLANS, notwendige

Konfigurationen an Server und Firewall unbedingt nach den Anleitungen vom

Support-Netz aus. Die Folien in dieser Präsentation sollen nur einen Überblick

über die prinzipielle Vorgehensweise geben.

Es ist ratsam, bereits im Vorfeld eine Fachfirma einzubinden.

http://www.support-netz.de/fileadmin/tx_dcfiles/Kundenportal/Erweiterungen/Novell/WLAN_paedML_Novell3.pdf

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

2


1. Anforderungen und Wünsche









usw.

Lehrernotebook im LAN

z.B. im Fachraum mit Internetzugang und Beameranschluss

Notebooks statt Desktop-PCs im Computerraum

Notebookwagen im Klassenzimmer

Schuleigene Notebooks im WLAN

Gästenotebooks im LAN

Gästenotebooks im WLAN

Tablets und Smartphones

BYOD

Tabletts im Unterricht

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

3


2. Netzwerkstruktur


In der paedML Novell sind für den kabelgebundenen Betrieb zunächst

drei Netzwerke eingerichtet.




Paralleler Betrieb von privaten Endgeräten (auf denen die Schule keine Management

Möglichkeiten hat) in LAN oder WLAN innerhalb dieser Netzwerkinfrastruktur wäre

Sicherheitsrisiko. Zu groß ist die Gefahr, dass durch Gast-Systeme aktive

Schadsoftware ins schulische Netzwerk eingeschleppt wird, oder von den Benutzern

wissentlich oder unwissend durch fehlerhaft konfigurierte Geräte massivste

Störungen im schulischen Netzwerk verursacht werden können.

Zudem ist es auf keinen Fall ratsam, Gästen (Gast-PC) direkten Zugang zu

schulischen Ressourcen zu gewähren. Auf keinen Fall sollen Sie direkten Zugriff auf

das pädagogische Netzwerk (Internal und Internal-WLAN) haben.

Deshalb gibt es in der paedML Novell ein erweitertes Zonenkonzept.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

4


2.1 Netzwerkstruktur paedML Novell

Die Verbindung der Firewall ins Internal-Netz

ist aus Gründen der Übersichtlichkeit nicht eingezeichnet.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

5


3. Grundlage VLAN

Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb

eines Switches oder eines gesamten physischen Netzwerks. Es kann sich

über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt

physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige

Switches die Frames (Datenpakete) eines VLANs nicht in ein anderes VLAN

weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches

angeschlossen sein können.

VLAN-Typen



Quelle: Wikipedia

Statische bzw. portbasierte VLANs

Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.

Dynamische VLANs

Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines

Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich

alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in

sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs

verzichtet werden.

● Tagged VLANs nach IEEE 802.1q

Datenpakete tragen eine VLAN-Markierung (Tag - Anhänger) und werden anhand

dieser Markierungen z.B. an bestimmte Switchports weitergeleitet.

Quelle: Wikipedia

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

6


3. Grundlage VLAN

Allgemein gilt:






Jedem VLAN wird eine VLAN-ID (Zahl) zugeordnet.

Switchports werden einem (oder mehrern VLANs bei tagged VLAN)

zugeordnet.

Nur über Ports im gleichen VLAN können Rechner miteinander

kommunizieren.

Es gibt keine direkte Verbindungsmöglichkeit von VLAN zu VLAN.

Falls Verbindungen erforderlich sind, so müssen diese über Router

hergestellt werden.

VLANs verhalten sich also wie physikalisch getrennte Netze.


Wenn vom Gesetzgeber eine physikalische Netztrennung gefordert wird, so

gilt diese beim Einsatz von VLANs (außer dynamisches VLAN) als erfüllt.

http://de.wikipedia.org/wiki/Virtual_Local_Area_Network

http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

7


3.1 statisches bzw. portbasiertes VLAN



Beim portbasierten VLAN kann man

Switchtports genau einem bestimmten VLAN

zuordnen.

Ein Switch kann somit in mehrere logische

Switches unterteilt werden.


Wenn sich VLANs über mehrere Switches ausdehnen sollen, so muss jedes einzelne

VLAN direkt per Leitung mit dem entsprechenden VLAN auf dem anderen Switch

verbunden werden.

Verwaltung VLAN-ID 11

Produktion

VLAN-ID 12

RJ45-Ports

Hier befinden sich die Rechner A-1, A-2, B-1 und B-2 im „grünen Netz“ mit der VLAN-ID 11,

die Rechner A-5, A-6, B-5 und B-6 im „orangen Netz“ mit der VLAN-ID 12.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

8


3.2 tagged VLAN nach IEEE 802.1q


Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port

genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt,

in dem jeweils die VLAN-ID vermerkt ist, zu dessen VLAN das Frame gehört. Wenn

im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die

gegenseitige Verbindung mit einem einzelnen Kabel erfolgen:

Trunk



Auf der Verbindungsleitung sind Datenpakete mit verschiedenen VLAN-IDs im

VLAN-TAG unterwegs. Im Beispiel Datenpakete mit VLAN-ID 11 und VLAN-ID 12.

Der Ziel-Switch erkennt anhand der VLAN-ID im VLAN-Tag die Zugehörigkeit des

Datenpakets zu einem bestimmten VLAN und leitet dieses an das passende VLAN

weiter.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

Quelle Thomas Krenn

9


3.2 tagged VLAN nach IEEE 802.1q

RJ45-Ports

● Default-VLAN VLAN-ID 1

● Verwaltung VLAN-ID 11

● Produktion VLAN-ID 12

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

10


3.3 Tagging und Untagging



Endgeräte können in der Regel nicht mit Datenpaketen mit VLAN-Tags umgehen,

sondern nur mit sogenannten native Frames. Empfängt ein Switch auf einem seiner

Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags, so muss der Switch

das VLAN-Tag einfügen.Beim Ausliefern eines Pakets muss der Switch dann das

VLAN-Tag wieder entfernen.

Zu einem VLAN gehörende Switch-Ports, die so verfahren sollen, werden als

untagged U konfiguriert. Trunk-Ports werden als tagged T konfiguriert.

Switch A

Switch fügt Tag an

Ethernetpaket

Ethernetpaket

+

X

Switch entfernt Tag

Ethernetpaket

X

Switch B

u u u u u u u u

T T T T

Ethernetpaket

Ethernetpaket

Ethernetpaket

Endgerät

Ethernetpaket

Ethernetpaket

Liefert Ethernetpaket

mit Tag

Astaro

ESXi

AP



Es ist aber auch möglich, dass Endgeräte Frames mit VLAN-Tag verarbeiten können

und so über eine einzige Netzwerkkarte Daten mit verschiedenen Netzen bzw. VLANs

austauschen können. Sie fügen dazu selbst das VLAN-Tag ein oder entfernen es.

Dies wird z.B. bei der Astaro-Firewall (ASG), ev. auch bei Access-Points und

einem ESXi-Server benutzt.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

11


4. Grundlage WLAN

● WLAN (engl. Wireless Local Area Network) 802.11

Ein WLAN erweitert ein lokales Netzwerk über Funk zur mobilen Kommunikation.

Der Netzzugriff erfolgt über Ethernet (Layer 2).






Ein Funknetz wird über einen eindeutigen Namen, den SSID (Service Set

Identifier). Alle Teilnehmer, die über diese Funknetz kommunizieren wollen,

müssen dieselbe SSID benutzen.

Das Funknetz kann die SSID über SSID-Broadcast bekanntmachen – das Netz ist

sichtbar. Ist diese Option deaktiviert, dann ist das Netz versteckt. Teilnehmer

müssen die SSID kennen.

Funknetze sind besonders leicht auszuspähen, da es für einen Lauscher genügt, in

die Nähe zu kommen. Deshalb ist eine Verschlüsselung für vertrauliche Daten

unerlässlich. Derzeit aktuelle Verschlüsselung ist WPA2 (AES 128 bit).

Auch im WLAN können Clients per DHCP mit IP-Adresse versorgt werden.

Gilt teilweise als Sicherheitsrisiko.

Bei vielen Accesspoints kann man MAC-Adresslisten hinterlegen und den Zugriff auf

Clients mit diesen MAC-Adressen beschränken.

● Für WLANs gibt es verschiedene Standards: 802.11a, 802.11b, 802.11g, 802.11n

In den Standards sind Datenrate, Frequenzbereich, Reichweite usw. festgelegt.

Die Standards sind abwärtskompatibel. Aber Achtung: Ein Gerät mit einem

langsameren Standard bremst möglicherweise das Netz aus.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

12


4.1 Accesspoints (AP)


Ein Wireless Access Point, auch Access Point (AP) oder Basisstation

genannt, ist ein elektronisches Gerät, das als Schnittstelle für kabellose

Kommunikationsgeräte fungiert

Einfache Acces-Points

+ Geringe Kosten (ab 30 €)

- Jeder Access-Point muss separat konfiguriert werden.

- Nur eine SSID. Für verschiedene aufzuspannende Netze

(Internal-WLAN, Gaeste-WLAN) müssen separate AP eingerichtet werden.

- Client bucht sich beim Accesspoint ein.

Wenn ein Benutzer vom Funkbereich eines AP zum nächsten wechselt

(roaming), wird er beim letzten ausgebucht und beim nächtens neu

eingebucht. Dies entspricht einem Verbindungsabbruch und kann zu

Netzwerkproblemen führen.



Abhilfe für den letzten Punkt:

WLAN-Access-Point mit Multi-SSID und VLAN

Kann mehrere Funknetze aufspannen, die jeweils einem der

angeschlossenen VLANs zugeordnet sind.

Interessant ist für APs auch die Option Power over Ethernet (PoE),

die eine Stromversorgung des AP über das Netzwerkkabel erlaubt und

eine separate Leitung für den Stromanschluss erspart.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

13


4.2 Managed Accesspoints

Managed Accesspoints (MAP)





Bei Managed Accesspoints erfolgt die Konfiguration zentral. An den einzelnen

Accesspoints muss nichts konfiguriert werden.

Die Accesspoints kommunizieren mit ihrem zentralen System und bekommen von dort

die Konfiguration.

MAP sind immer Multi-SSID- und VLAN-fähig

Vereinfachter Verwaltungsaufwand

Verbessertes Roaming.

Clients buchen sich nicht bei den einzelnen MAPs ein, sondern beim zentralen System.

Bei Wechsel der Funkzelle werden sie (für den Client transparent)

vom zentralen System an den nächsten MAP weitergegeben.



Wird von vielen namhaften Herstellern angeboten.

Cisco, HP, LANCom usw.

In der paedML gibt es eine interessante Möglichkeit von Sophos/Astaro.

Für die ASG muss Astaro Wireless Security lizensiert werden.

Es werden Astaro- bzw. Sophos-Accesspoints AP10, AP30 oder AP50 verwendet.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

14


5. Umsetzung in der paedML Novell


In der paedML wird die Zonen- bzw. Netzwerkeinteilung hauptsächlich über die

Firewall (ASG) realisiert.

● Netze: Internal, DMZ, External, Internal-WLAN, Gaeste-LAN, Gaeste-WLAN





Die Firewall (ASG) dient dabei als Router zwischen den

verschiedenen Netzen.

Für jedes Netz können Filterregeln definiert werden.

Für den Netzwerkzugang ist eine Benutzerauthentifizieung

erforderlich.

Diese wird weiter hinten beschrieben.

Bei der Auslieferung der paedML sind die Netze in der

ASG-Konfiguration bereits vorbereitet.



Die Verteilung der Netze über das Gebäude erfolgt vorzugsweise über VLANs.

Einen Vorschlag sehen Sie in den folgenden Folien.

Hinweis: Die WLAN- und VLAN-Infrastruktur einer Schule kann nicht Thema dieser

Fortbildung und auch nicht der Anleitungen vom Support-Netz sein, weil sie zu sehr

von den individuellen Gegebenheiten vor Ort abhängt. Eine solche Struktur

aufzubauen fällt in das Aufgabengebiet einer Fachfirma. Zu empfehlen sind aber in

jedem Fall Accesspoints, die zentral gemanaged werden können (u.a. auch von/für

Sophos UTM/Astaro).

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

15


5.1 Netzstruktur

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

16


5.1 VLAN-Konfiguration

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

17


5.1 VLAN-Konfiguration

Beispielkonfiguration in einem HP Switch Procurve 2424M

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

18


5.2 Schuleigene Notebooks







Schuleigene Notebooks gehen über das Internal-WLAN ins Netz.

WLAN ist mit SSID und WPA2-Key auf den Notebooks konfiguriert.

Auf diesen Notebooks ist der Novell-Client installiert

Anmeldung erfolgt wie im kabelgebundenen Netz über den Novell-Client.

Alle Dienste, die im Internal-LAN zur Verfügung stehen, sind auch im

Internal-WLAN verfügbar (Anwendungen über NAL usw.)

Datenintensive Dienste sollten wegen der geringen zur Verfügung

stehenden Bandbreite vermieden werden. Auf der Firewall (ASG) können

für das Internal-WLAN entsprechende Filter eingerichtet werden.

Für Imaging und die Verteilung großer Anwendungspakete sollten die

Notebooks über Kabel im Internal_LAN betrieben werden.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

19


LDAP

5.3 Gastgeräte




Aus Gaeste-LAN und Gaeste-WLAN können ausschließlich webbasierte Dienste in

Anspruch genommen werden. Es ist kein Zugriff auf irgendwelche sonstigen

Netzwerkressourcen bzw. in andere Netzwerkzonen möglich.

Für den Zugriff ist eine Authentifizierung gegenüber einem eDirectory-Account

erforderlich. Dieser muss für Gäste eventuell eingerichtet werden. Gaeste-LAN und

Gaeste-WLAN werden mit privaten Geräten auch von schulischen Benutzern benutzt.

Gaeste-WLAN können deshalb eventuell auch mit sichtbare SSID und ohne bzw. mit

schwacher Verschlüsselung betrieben werden. Schlüssel kann im Intranet

bereitgestellt werden.

5.3.1 Authentifizierung am Squid (Proxy) des GServers03


Dieses Szenario wird empfohlen, wenn für die Firewall (ASG) keine erweiterten

Funktionen (Web Security) lizensiert wurden.


Anfragen vom Gaeste-LAN und vom Gaeste-WLAN

werden von der Firewall (ASG) über den Squid im

GServer03 geleitet.

Benutzer müssen 10.1.1.31:3128 als Proxy

einstellen.

Benutzer erhalten im Browser ein Anmeldefenster

und müssen sich mit den Credentials ihres Novell-

Netzwerkaccounts anmelden.

GServer03

edirectory

Squid

Internal

DMZ

Astaro

WLAN LAN

Gaeste

external

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

20


LDAP

5.3 Gastgeräte

5.3.2 Authentifizierung bei lizensierter WEBSecurity




Diese Variante wird verwendet, wenn Web Security für ASG linzensiert ist.

Internetzugang erfolgt über WEB-Proxy (gehört zu Web Security) in der ASG.

Ein Benutzer muss sich – bevor er mit seinem Browser den Proxy-Dienst der Firewall

nutzen kann – erfolgreich gegenüber dieser authentifizieren.



In der ASG kann man manuell Benutzer anlegen.

Wir verwenden aber die Option eDirectory SSO.

Die Anmeldung kann nun mit dem eDirectory-

Benutzername und Passwort an der Firewall erfolgen.

Die Benutzerkonten werden auf der Firewall bei

Bedarf automatisch angelegt oder synchronisiert.

Dafür ist auf dem GServer ein spezieller LDAP-User

einzurichten.

GServer03

edirectory

Internal

+ Datenverkehr über GServer03 entfällt (nur noch LDAP-Anfrage).

LDAP-

Authentifizierung

Astaro

Security

WLAN LAN

Gaeste

+ Möglichkeit zur Einrichtung von Benutzergruppen:

Im eDirectory könnten z.B. Gruppen angelegt werden, denen bestimmte Benutzer als Mitglied

zugewiesen werden. Für die Gruppen werden in der ASG verschiedene Zugriffsregeln definiert.

+ Beispiel:

Gruppe WLAN-Zugang. Nur Mitglieder dieser Gruppe erhalten über WLAN Internetzugang.

+ Web Security bietet weitere Sicherheitsfeatures, wie z.B. Contentfiltering u.v.a.m

external

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

21


6. Planung und Ausführung

Planung






Für die WLAN-Einrichtung in einer Schule ist eine gründliche Planung erforderlich.

(Denken Sie dabei auch an etwaige Widerstände wegen Funkbelastung)

Wer soll WLAN nutzen können? Mit welchen Geräten? Wo?

WLAN-Planung

Wahl der Accesspoints

Ausleuchtung, Zahl der erforderlichen Accesspoints

WLAN-Standard, Sichtbarkeit, Verschlüsselung

VLAN-Planung

Wie können Accesspoints ans Netzwerk angeschlossen werden ?

Switche mit VLAN nach IEE 802.1q vorhanden? Ev. Beschaffung planen.

Switchkonfiguration planen

Firewall-Konfiguration planen

Mit Websecurity?

Ohne Websecurity?

Ausführung




Übersichtliche Verkabelung (farbige Patchkabel)

Dokumentation

Sicherung der Switchkonfigurationen

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

22


7. Szenarien

1. Wir wollen das komplette Programm mit Internal-WLAN, Gaeste-LAN und Gaeste-WLAN

Siehe Anleitung vom Support-Netz, in dieser LFB vorgestellt

2. Einzelne Lehrer wollen ihr privates Notebook über Kabel am Lehrerplatz verwenden

(Internet Beamer).

MAC-Adresse des Notebooks ermitteln

Am GServer02 in der dhcpd.conf dieser MAC-Adresse eine feste IP-Adresse

zuweisen.

IP-Adresse in intranetausnahmen.acl eintragen.

Bei Browser im Notebook 10.1.1.31:3128 als Proxy eintragen.

Sicherheit: Gering. Gefahr durch fehlkonfigurierte private Geräte für Internal-Netz.

3. Wir haben einen Notebookwagen und wollen die Notebooks im Klassenzimmer über WLAN

anbinden. In den Klassenzimmern gibt es Netzwerkdosen für das interne Netz.

Weitere WLAN-Ambitionen haben wir nicht.

Einen mobilen Access-Point mitführen und im Klassenzimmer ans interne Netz

anschließen.

Access-Point und Notebooks mit SSID (nicht sichtbar) und für WPA2 einrichten.

WPA2 Schlüssel im Notebook fest eintragen.

Sicherheit: Weitgehend ok, da Geräte von Schule zentral verwaltet werden.

Für datenintensive Vorgänge wie Imaging und Verteilung großer Softwarepakete

Notebooks am Kabel im Internal-Netz anschließen.

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

23


7. Szenarien

4. An allen Lehrerplätzen sollen Lehrer, Gäste ihr privates Notebook über Kabel anschließen können.

(Internet, Beamer).

Gäste-LAN einrichten.

Gäste-LAN über VLAN zu den Raum-Switches führen.

Netzwerkanschluss für Gäste-LAN installieren. Farblich und durch Beschriftung

kennzeichnen.

Für Gäste muss jeweils ein Novell-Account für die Authentisierung angelegt werden.

Schulische Benutzer melden sich im Browser mit ihrem eDirectory-Benutzernamen und

Passwort an.

5. Wir wollen in der Schule private Tablets und Smartphon zulassen. Stichwort BYOD.

Wie private Notebooks im Gäste-WLAN.

Anmeldung im Browser mit der Netzwerkidentität (Novell Account) des Benutzers.

Aber keine Möglichkeit zur Steuerung des Unterrichts.

6. Tabletts im Unterricht. Zugriff auf eigene Dateien, Tauschverzeichnisse, Drucker usw.

In Arbeit. Windows 8 –Tablets (nicht Windows 8 RT)

7. Schulleiter möchte auf das Verwaltungsnetz mit seinem Notebook per WLAN zugreifen.

CC by Dang Nguyen

Ansonsten wünsche ich happy Networking

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013

CC by-nc-sa

tomroberts101.com

24

Weitere Magazine dieses Users
Ähnliche Magazine