Der MoPS im WLAN
Der MoPS im WLAN
Der MoPS im WLAN
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong><br />
Erfahrungen be<strong>im</strong> Aufbau eines <strong>WLAN</strong>s<br />
Bommerholz - 1. Juli 2002<br />
Dipl.-Inform. Thomas Böttcher<br />
Rechenzentrum RWTH-Aachen<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
1<br />
Rechen- und<br />
Kommunikationszentrum
Agenda<br />
• <strong>WLAN</strong> Projekt Vorstellung<br />
• Konzept<br />
• Probleme mit der Infrastruktur<br />
• Probleme mit der gekauften Hardware<br />
• Sicherheitskonzept<br />
• Probleme mit dem Gateway<br />
• Probleme der Nutzer<br />
• Was tun, wenn<br />
– Gäste das <strong>WLAN</strong> nutzen möchten?<br />
– Accesspoints hinzukommen?<br />
• Fazit & Ausblick<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
2<br />
Rechen- und<br />
Kommunikationszentrum
<strong>WLAN</strong> Projekt BMBF<br />
• vor ca. 2 Jahren<br />
• RWTH erhielt Projektmittel zur<br />
– Anschaffung und<br />
– Aufbau eines <strong>WLAN</strong>s<br />
• angeschafft wurden:<br />
– 100 Accesspoints<br />
– 250 <strong>WLAN</strong>-Karten<br />
der Firma „No Wires Needed“<br />
• ausgebaut werden sollten:<br />
– öffentliche Räumlichkeiten:<br />
Seminarräume, Hörsäle, Konferenzräume, Bibliotheken,<br />
Tagungsräumlichkeiten, u.ä.<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
3<br />
Rechen- und<br />
Kommunikationszentrum
erstes Konzept & Planung<br />
• Präsentation:<br />
– <strong>MoPS</strong><br />
Mobile Professoren und Studenten<br />
– Design<br />
• Netzplanung (erste Probleme):<br />
– zu Beginn: Keine!<br />
– Irrglauben:<br />
„Definition Funknetz:<br />
• da hängt man was auf und hat dann Netz!<br />
• Kabel? Was für Kabel?“<br />
– Komponenten wurden herausgegeben: Inselbildung<br />
– neue Technik wurde ausprobiert<br />
– Accesspoints provisorisch integriert<br />
• Strom kann von Hausmeistern/Putzfrauen getrennt werden<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
4<br />
Rechen- und<br />
Kommunikationszentrum
überarbeitetes Konzept & Planung<br />
• Projektkoordination einführen<br />
• Ziel: ein Hochschul-<strong>WLAN</strong><br />
– d.h. aus Nutzersicht<br />
• jede <strong>WLAN</strong>-Insel gleich<br />
• Netz-Konfiguration gleich<br />
– dedizierten Backbone einrichten<br />
• grosses Problem:<br />
– die RWTH Aachen ist keine Campus-Uni ...<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
5<br />
Rechen- und<br />
Kommunikationszentrum
RWTH in Aachen<br />
Uni-Gebäude<br />
Innenstadtbereich<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
6<br />
Rechen- und<br />
Kommunikationszentrum
Netzwerk-Probleme<br />
• Anbringen von Accesspoints schwierig/aufwendig<br />
– Denkmalschutz<br />
– Brandschutz<br />
– Architekten<br />
• Gebäude-Netzwerke<br />
– teilweise keine zentrale Technik<br />
– teilweise keine freien Kapazitäten auf Routern/Switchen<br />
– teilweise keine freien Leitungen zwischen den Gebäuden<br />
» heute noch existieren:<br />
– provisorische <strong>WLAN</strong>-Inseln<br />
– Backbone verbindet noch nicht alle Inseln<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
7<br />
Rechen- und<br />
Kommunikationszentrum
Aspekte der Hardware<br />
eingekaufte Hardware der Firma „No Wires Needed“:<br />
+ automatische Verschlüsselung auf der Funkstrecke<br />
» sichere Datenübertragung vorerst gewährleistet<br />
+ kleine, unauffällige Accesspoints<br />
- „No Wires Needed“ ist pleite gegangen<br />
- Accesspoints sind nicht mit externen Antennen erweiterbar<br />
- <strong>WLAN</strong>-Karten haben Produktionsfehler in der Antenne<br />
» Funkstrecke-Reichweite nochmals ungefähr halbiert<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
8<br />
Rechen- und<br />
Kommunikationszentrum
Sicherheitskonzept<br />
• <strong>WLAN</strong> vom Hochschulnetz getrennt (eig. Backbone)<br />
• Funkstrecke verschlüsseln?<br />
• Gateway ermöglicht Übergang<br />
Möglichkeiten der Zugangskontrolle:<br />
• MAC-Adressen filtern<br />
– Netzwerkkarten der Nutzer registrieren<br />
• hoher Verwaltungsaufwand<br />
• keine Arbeitskraft zur Verfügung<br />
• Offenes Netz<br />
– Nutzer müssen authentifiziert werden<br />
• bestehende RADIUS Datenbank nutzen (Dialup-Accounts)<br />
» Virtual Private Network (PPTP)<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
9<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
wlan: : 134.130.244.11<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
wlan: : 134.130.244.11<br />
Firewall<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
wlan: : 134.130.244.11<br />
Firewall<br />
Blocked!<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
PPTP<br />
wlan: : 134.130.244.11<br />
Firewall<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
PPTP<br />
wlan: : 134.130.244.11<br />
Firewall<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
PPTP<br />
wlan: : 134.130.244.11<br />
ppp: : 134.130.240.11<br />
Firewall<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
PPTP<br />
wlan: : 134.130.244.11<br />
ppp: : 134.130.240.11<br />
Firewall<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Gateway-Rechner<br />
<strong>MoPS</strong> <strong>WLAN</strong><br />
DHCP<br />
PPTP<br />
wlan: : 134.130.244.11<br />
ppp: : 134.130.240.11<br />
Firewall<br />
RWTH<br />
Internet<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
10<br />
Rechen- und<br />
Kommunikationszentrum
Probleme mit dem Gateway<br />
Rechner: SUN Netra T1 mit Solaris 8<br />
• DHCP, Firewall: kein Problem<br />
• PPTP: au weia.<br />
- in den Tests auf Linux-PCs lief es wunderbar<br />
- Portierung auf Solaris war nahezu unmöglich<br />
» Versuch: SuSE Linux für SPARC ...<br />
- funktioniert heute noch einwandfrei<br />
- allerdings:<br />
PPTP bietet keine bessere Verschlüsselung als WEP.<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
11<br />
Rechen- und<br />
Kommunikationszentrum
• Authentifizierung:<br />
Probleme der Nutzer<br />
– Klienten-Probleme mit PPTP und<br />
• <strong>WLAN</strong>:<br />
• Windows 2000 (teilweise)<br />
• in privaten Netzen (NAT)<br />
» andere VPN-Lösung (Cisco Concentrator)<br />
– bietet bessere Sicherheit durch IPSec<br />
– Tunneling mittels TCP durch NAT möglich<br />
– ELSA gab „World“-Karten raus<br />
• „World“ = amerikanischer Standard (Kanäle 1-11)<br />
• Deutschland erlaubt: 1-13<br />
» reduzieren der Konfiguration auf Kanäle 1-11<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
12<br />
Rechen- und<br />
Kommunikationszentrum
Was tun: Gäste der Hochschule<br />
• Authentifizierung über VPN zu aufwendig<br />
– benötigte Software oft nicht vorhanden<br />
– Account muss eingerichtet werden (Verwaltungsaufwand)<br />
• eigene Authentifizierungsstufe für Gäste<br />
– keine Authentifzierung<br />
• Netzsicherheit komplett untergraben - kein Zweck<br />
– Web-Authentifzierung<br />
• Kompromiss Sicherheit & Anwendbarkeit<br />
• Surfen ohne Authentifzierung<br />
– Weiterleitung an die Web-Authentifzierung<br />
• Accounts werden für Konferenzen oder Gäste erzeugt<br />
• Account sind nur wenige Tage gültig<br />
• allerdings: Gast ist für Verschlüsselung selber zuständig<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
13<br />
Rechen- und<br />
Kommunikationszentrum
Was tun: AP-Eingliederung ins <strong>WLAN</strong><br />
Neuer Accesspoint <strong>im</strong> Gebäude<br />
– Kanäle anpassen, um Überlagerungen gering zu halten<br />
Aber wie?<br />
• „Netstumbler“<br />
– zeichnet alle empfangenen APs auf (auch fremde)<br />
• Daten ermöglichen Nachbarschaftsberechnung<br />
– gesucht: jeweils Punkt mit gleicher max<strong>im</strong>aler SNR<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
14<br />
Rechen- und<br />
Kommunikationszentrum
Was tun: AP-Eingliederung ins <strong>WLAN</strong><br />
Neuer Accesspoint <strong>im</strong> Gebäude<br />
– Kanäle anpassen, um Überlagerungen gering zu halten<br />
Aber wie?<br />
• „Netstumbler“<br />
– zeichnet alle empfangenen APs auf (auch fremde)<br />
• Daten ermöglichen Nachbarschaftsberechnung<br />
– gesucht: jeweils Punkt mit gleicher max<strong>im</strong>aler SNR<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
14<br />
Rechen- und<br />
Kommunikationszentrum
Was tun: AP-Eingliederung ins <strong>WLAN</strong><br />
Neuer Accesspoint <strong>im</strong> Gebäude<br />
– Kanäle anpassen, um Überlagerungen gering zu halten<br />
Aber wie?<br />
• „Netstumbler“<br />
– zeichnet alle empfangenen APs auf (auch fremde)<br />
• Daten ermöglichen Nachbarschaftsberechnung<br />
– gesucht: jeweils Punkt mit gleicher max<strong>im</strong>aler SNR<br />
30<br />
16 Mittelwert bilden:<br />
(30+16)/2 = 23<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
14<br />
Rechen- und<br />
Kommunikationszentrum
Was tun: AP-Eingliederung ins <strong>WLAN</strong><br />
Neuer Accesspoint <strong>im</strong> Gebäude<br />
– Kanäle anpassen, um Überlagerungen gering zu halten<br />
• „Netstumbler“<br />
Aber wie?<br />
– zeichnet alle empfangenen APs auf (auch fremde)<br />
• Daten ermöglichen Nachbarschaftsberechnung<br />
– gesucht: jeweils Punkt mit gleicher max<strong>im</strong>aler SNR<br />
15 15 Werte sind gleich:<br />
SNR = 15<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
14<br />
Rechen- und<br />
Kommunikationszentrum
Was tun: AP-Eingliederung ins <strong>WLAN</strong><br />
Neuer Accesspoint <strong>im</strong> Gebäude<br />
– Kanäle anpassen, um Überlagerungen gering zu halten<br />
Aber wie?<br />
• „Netstumbler“<br />
– zeichnet alle empfangenen APs auf (auch fremde)<br />
• Daten ermöglichen Nachbarschaftsberechnung<br />
– gesucht: jeweils Punkt mit gleicher max<strong>im</strong>aler SNR<br />
30 30<br />
max<strong>im</strong>ale gleiche SNR:<br />
30<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
14<br />
Rechen- und<br />
Kommunikationszentrum
• entsprechend der<br />
Nachbarschaftsbeziehungen<br />
Kanalwahl<br />
opt<strong>im</strong>ieren<br />
Nachbarschaftsgraph<br />
• neuste APs können<br />
dies automatisch<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
15<br />
Rechen- und<br />
Kommunikationszentrum
Fazit<br />
• Wandlung des <strong>MoPS</strong>-Projekt<br />
– nicht mehr nur <strong>WLAN</strong><br />
– mehr die Anbindung des mobilen Nutzers, sei es<br />
• Gäste via <strong>WLAN</strong> (evtl. auch Festnetz)<br />
• Hochschulangehörige via <strong>WLAN</strong> und VPN<br />
• dito via andere ISP und VPN<br />
• zentrale Technik läßt sich einfach aufstellen:<br />
Gateway, DHCP-Server, Firewall, VPN-Server, Web-Server, Web-<br />
Authentifizierung<br />
• grosses Problem: <strong>WLAN</strong> einpassen in<br />
– alte Gebäude<br />
– bestehende bzw. nicht-vorhandene Netzstrukturen<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
16<br />
Rechen- und<br />
Kommunikationszentrum
Ausblick<br />
• <strong>WLAN</strong> benötigt ständig Wartung/Prüfung<br />
– sehr viele Netzkomponenten (APs)<br />
• URMEL Projekt<br />
„Ubiquitous RWTH for Mobile E-Learning“<br />
Notebook-University gefördert vom BMBF<br />
http://www.urmel.rwth-aachen.de<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
17<br />
Rechen- und<br />
Kommunikationszentrum
Noch Fragen?<br />
Vielen Dank für Ihr Interesse<br />
Für Fragen stehe ich Ihnen gerne zur Verfügung<br />
auch später noch:<br />
Thomas Böttcher<br />
Tel.: 0241 / 80-29205<br />
<br />
http://mops.rwth-aachen.de<br />
<strong>Der</strong> <strong>MoPS</strong> <strong>im</strong> <strong>WLAN</strong> - Thomas Böttcher<br />
18<br />
Rechen- und<br />
Kommunikationszentrum