ppt

Download Report

Transcript ppt 

Regionale Lehrerfortbildung
Notebooks und WLAN
in der paedML Novell
U. Frei
16.04.2013
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
1
Inhalt der Fortbildung
1. Anforderungen und Wünsche an Schulnetz
2. Netzwerkstrukur
Notwendige Erweiterungen
3. Grundlagen VLAN
4. Grundlagen WLAN
AccessPoints
5. Umsetzung in der paedML Novell
6. Planung
7. Szenarien
Sicherheitsaspekte
Bitte führen Sie an Ihrer Schule die Einrichtung von WLANS, notwendige
Konfigurationen an Server und Firewall unbedingt nach den Anleitungen vom
Support-Netz aus. Die Folien in dieser Präsentation sollen nur einen Überblick
über die prinzipielle Vorgehensweise geben.
Es ist ratsam, bereits im Vorfeld eine Fachfirma einzubinden.
http://www.support-netz.de/fileadmin/tx_dcfiles/Kundenportal/Erweiterungen/Novell/WLAN_paedML_Novell3.pdf
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
2
1. Anforderungen und Wünsche
●
Lehrernotebook im LAN
z.B. im Fachraum mit Internetzugang und Beameranschluss
●
Notebooks statt Desktop-PCs im Computerraum
●
Notebookwagen im Klassenzimmer
●
Schuleigene Notebooks im WLAN
●
Gästenotebooks im LAN
●
Gästenotebooks im WLAN
●
●
Tablets und Smartphones
BYOD
Tabletts im Unterricht
usw.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
3
2. Netzwerkstruktur
●
●
●
●
In der paedML Novell sind für den kabelgebundenen Betrieb zunächst
drei Netzwerke eingerichtet.
Paralleler Betrieb von privaten Endgeräten (auf denen die Schule keine Management
Möglichkeiten hat) in LAN oder WLAN innerhalb dieser Netzwerkinfrastruktur wäre
Sicherheitsrisiko. Zu groß ist die Gefahr, dass durch Gast-Systeme aktive
Schadsoftware ins schulische Netzwerk eingeschleppt wird, oder von den Benutzern
wissentlich oder unwissend durch fehlerhaft konfigurierte Geräte massivste
Störungen im schulischen Netzwerk verursacht werden können.
Zudem ist es auf keinen Fall ratsam, Gästen (Gast-PC) direkten Zugang zu
schulischen Ressourcen zu gewähren. Auf keinen Fall sollen Sie direkten Zugriff auf
das pädagogische Netzwerk (Internal und Internal-WLAN) haben.
Deshalb gibt es in der paedML Novell ein erweitertes Zonenkonzept.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
4
2.1 Netzwerkstruktur paedML Novell
Die Verbindung der Firewall ins Internal-Netz
ist aus Gründen der Übersichtlichkeit nicht eingezeichnet.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
5
3. Grundlage VLAN
Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb
eines Switches oder eines gesamten physischen Netzwerks. Es kann sich
über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt
physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige
Switches die Frames (Datenpakete) eines VLANs nicht in ein anderes VLAN
weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches
angeschlossen sein können.
Quelle: Wikipedia
VLAN-Typen
●
Statische bzw. portbasierte VLANs
Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.
●
Dynamische VLANs
Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines
Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich
alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in
sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs
verzichtet werden.
●
Tagged VLANs nach IEEE 802.1q
Datenpakete tragen eine VLAN-Markierung (Tag - Anhänger) und werden anhand
dieser Markierungen z.B. an bestimmte Switchports weitergeleitet.
Quelle: Wikipedia
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
6
3. Grundlage VLAN
Allgemein gilt:
●
●
●
●
●
●
Jedem VLAN wird eine VLAN-ID (Zahl) zugeordnet.
Switchports werden einem (oder mehrern VLANs bei tagged VLAN)
zugeordnet.
Nur über Ports im gleichen VLAN können Rechner miteinander
kommunizieren.
Es gibt keine direkte Verbindungsmöglichkeit von VLAN zu VLAN.
Falls Verbindungen erforderlich sind, so müssen diese über Router
hergestellt werden.
VLANs verhalten sich also wie physikalisch getrennte Netze.
Wenn vom Gesetzgeber eine physikalische Netztrennung gefordert wird, so
gilt diese beim Einsatz von VLANs (außer dynamisches VLAN) als erfüllt.
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
http://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
7
3.1 statisches bzw. portbasiertes VLAN
●
●
●
Beim portbasierten VLAN kann man
Switchtports genau einem bestimmten VLAN
zuordnen.
Ein Switch kann somit in mehrere logische
Switches unterteilt werden.
Wenn sich VLANs über mehrere Switches ausdehnen sollen, so muss jedes einzelne
VLAN direkt per Leitung mit dem entsprechenden VLAN auf dem anderen Switch
verbunden werden.
Verwaltung VLAN-ID 11
Produktion
VLAN-ID 12
RJ45-Ports
Hier befinden sich die Rechner A-1, A-2, B-1 und B-2 im „grünen Netz“ mit der VLAN-ID 11,
die Rechner A-5, A-6, B-5 und B-6 im „orangen Netz“ mit der VLAN-ID 12.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
8
3.2 tagged VLAN nach IEEE 802.1q
Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port
genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt,
in dem jeweils die VLAN-ID vermerkt ist, zu dessen VLAN das Frame gehört. Wenn
im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die
gegenseitige Verbindung mit einem einzelnen Kabel erfolgen:
●
Trunk
●
●
Auf der Verbindungsleitung sind Datenpakete mit verschiedenen VLAN-IDs im
VLAN-TAG unterwegs. Im Beispiel Datenpakete mit VLAN-ID 11 und VLAN-ID 12.
Der Ziel-Switch erkennt anhand der VLAN-ID im VLAN-Tag die Zugehörigkeit des
Datenpakets zu einem bestimmten VLAN und leitet dieses an das passende VLAN
weiter.
Quelle Thomas Krenn
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
9
3.2 tagged VLAN nach IEEE 802.1q
RJ45-Ports
Zentrale Konzeptionsgruppe (ZKN)
●
Default-VLAN VLAN-ID 1
●
Verwaltung
VLAN-ID 11
●
Produktion
VLAN-ID 12
Notebooks und WLAN - 16.04.2013
10
3.3 Tagging und Untagging
Endgeräte können in der Regel nicht mit Datenpaketen mit VLAN-Tags umgehen,
sondern nur mit sogenannten native Frames. Empfängt ein Switch auf einem seiner
Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags, so muss der Switch
das VLAN-Tag einfügen.Beim Ausliefern eines Pakets muss der Switch dann das
VLAN-Tag wieder entfernen.
●
Zu einem VLAN gehörende Switch-Ports, die so verfahren sollen, werden als
untagged U konfiguriert. Trunk-Ports werden als tagged T konfiguriert.
●
Switch A
+
Ethernetpaket X
Ethernetpaket
Switch fügt Tag an
u
u
u
u
T
Switch entfernt Tag
T
T
T
u
Ethernetpaket
u
u
Switch B
X
u
Ethernetpaket
Ethernetpaket
Ethernetpaket
Endgerät
Ethernetpaket
Ethernetpaket
Liefert Ethernetpaket mit Tag
Astaro
ESXi
AP
●
●
Es ist aber auch möglich, dass Endgeräte Frames mit VLAN-Tag verarbeiten können
und so über eine einzige Netzwerkkarte Daten mit verschiedenen Netzen bzw. VLANs
austauschen können. Sie fügen dazu selbst das VLAN-Tag ein oder entfernen es.
Dies wird z.B. bei der Astaro-Firewall (ASG), ev. auch bei Access-Points und
einem ESXi-Server benutzt.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
11
4. Grundlage WLAN
●
●
●
●
●
●
●
WLAN (engl. Wireless Local Area Network) 802.11
Ein WLAN erweitert ein lokales Netzwerk über Funk zur mobilen Kommunikation.
Der Netzzugriff erfolgt über Ethernet (Layer 2).
Ein Funknetz wird über einen eindeutigen Namen, den SSID (Service Set
Identifier). Alle Teilnehmer, die über diese Funknetz kommunizieren wollen,
müssen dieselbe SSID benutzen.
Das Funknetz kann die SSID über SSID-Broadcast bekanntmachen – das Netz ist
sichtbar. Ist diese Option deaktiviert, dann ist das Netz versteckt. Teilnehmer
müssen die SSID kennen.
Funknetze sind besonders leicht auszuspähen, da es für einen Lauscher genügt, in
die Nähe zu kommen. Deshalb ist eine Verschlüsselung für vertrauliche Daten
unerlässlich. Derzeit aktuelle Verschlüsselung ist WPA2 (AES 128 bit).
Auch im WLAN können Clients per DHCP mit IP-Adresse versorgt werden.
Gilt teilweise als Sicherheitsrisiko.
Bei vielen Accesspoints kann man MAC-Adresslisten hinterlegen und den Zugriff auf
Clients mit diesen MAC-Adressen beschränken.
Für WLANs gibt es verschiedene Standards: 802.11a, 802.11b, 802.11g, 802.11n
In den Standards sind Datenrate, Frequenzbereich, Reichweite usw. festgelegt.
Die Standards sind abwärtskompatibel. Aber Achtung: Ein Gerät mit einem
langsameren Standard bremst möglicherweise das Netz aus.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
12
4.1 Accesspoints (AP)
●
Ein Wireless Access Point, auch Access Point (AP) oder Basisstation
genannt, ist ein elektronisches Gerät, das als Schnittstelle für kabellose
Kommunikationsgeräte fungiert
Einfache Acces-Points
+
Geringe Kosten (ab 30 €)
-
Jeder Access-Point muss separat konfiguriert werden.
-
Nur eine SSID. Für verschiedene aufzuspannende Netze
(Internal-WLAN, Gaeste-WLAN) müssen separate AP eingerichtet werden.
-
Client bucht sich beim Accesspoint ein.
Wenn ein Benutzer vom Funkbereich eines AP zum nächsten wechselt
(roaming), wird er beim letzten ausgebucht und beim nächtens neu
eingebucht. Dies entspricht einem Verbindungsabbruch und kann zu
Netzwerkproblemen führen.
●
●
Abhilfe für den letzten Punkt:
WLAN-Access-Point mit Multi-SSID und VLAN
Kann mehrere Funknetze aufspannen, die jeweils einem der
angeschlossenen VLANs zugeordnet sind.
Interessant ist für APs auch die Option Power over Ethernet (PoE),
die eine Stromversorgung des AP über das Netzwerkkabel erlaubt und
eine separate Leitung für den Stromanschluss erspart.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
13
4.2 Managed Accesspoints
Managed Accesspoints (MAP)
●
Bei Managed Accesspoints erfolgt die Konfiguration zentral. An den einzelnen
Accesspoints muss nichts konfiguriert werden.
Die Accesspoints kommunizieren mit ihrem zentralen System und bekommen von dort
die Konfiguration.
●
MAP sind immer Multi-SSID- und VLAN-fähig
●
Vereinfachter Verwaltungsaufwand
●
●
●
Verbessertes Roaming.
Clients buchen sich nicht bei den einzelnen MAPs ein, sondern beim zentralen System.
Bei Wechsel der Funkzelle werden sie (für den Client transparent)
vom zentralen System an den nächsten MAP weitergegeben.
Wird von vielen namhaften Herstellern angeboten.
Cisco, HP, LANCom usw.
In der paedML gibt es eine interessante Möglichkeit von Sophos/Astaro.
Für die ASG muss Astaro Wireless Security lizensiert werden.
Es werden Astaro- bzw. Sophos-Accesspoints AP10, AP30 oder AP50 verwendet.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
14
5. Umsetzung in der paedML Novell
●
●
●
●
●
●
●
●
In der paedML wird die Zonen- bzw. Netzwerkeinteilung hauptsächlich über die
Firewall (ASG) realisiert.
Netze:
Internal, DMZ, External, Internal-WLAN, Gaeste-LAN, Gaeste-WLAN
Die Firewall (ASG) dient dabei als Router zwischen den
verschiedenen Netzen.
Für jedes Netz können Filterregeln definiert werden.
Für den Netzwerkzugang ist eine Benutzerauthentifizieung
erforderlich.
Diese wird weiter hinten beschrieben.
Bei der Auslieferung der paedML sind die Netze in der
ASG-Konfiguration bereits vorbereitet.
Die Verteilung der Netze über das Gebäude erfolgt vorzugsweise über VLANs.
Einen Vorschlag sehen Sie in den folgenden Folien.
Hinweis: Die WLAN- und VLAN-Infrastruktur einer Schule kann nicht Thema dieser
Fortbildung und auch nicht der Anleitungen vom Support-Netz sein, weil sie zu sehr
von den individuellen Gegebenheiten vor Ort abhängt. Eine solche Struktur
aufzubauen fällt in das Aufgabengebiet einer Fachfirma. Zu empfehlen sind aber in
jedem Fall Accesspoints, die zentral gemanaged werden können (u.a. auch von/für
Sophos UTM/Astaro).
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
15
5.1 Netzstruktur
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
16
5.1 VLAN-Konfiguration
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
17
5.1 VLAN-Konfiguration
Beispielkonfiguration in einem HP Switch Procurve 2424M
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
18
5.2 Schuleigene Notebooks
●
Schuleigene Notebooks gehen über das Internal-WLAN ins Netz.
●
WLAN ist mit SSID und WPA2-Key auf den Notebooks konfiguriert.
●
●
●
●
Auf diesen Notebooks ist der Novell-Client installiert
Anmeldung erfolgt wie im kabelgebundenen Netz über den Novell-Client.
Alle Dienste, die im Internal-LAN zur Verfügung stehen, sind auch im
Internal-WLAN verfügbar (Anwendungen über NAL usw.)
Datenintensive Dienste sollten wegen der geringen zur Verfügung
stehenden Bandbreite vermieden werden. Auf der Firewall (ASG) können
für das Internal-WLAN entsprechende Filter eingerichtet werden.
Für Imaging und die Verteilung großer Anwendungspakete sollten die
Notebooks über Kabel im Internal_LAN betrieben werden.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
19
5.3 Gastgeräte
●
●
●
Aus Gaeste-LAN und Gaeste-WLAN können ausschließlich webbasierte Dienste in
Anspruch genommen werden. Es ist kein Zugriff auf irgendwelche sonstigen
Netzwerkressourcen bzw. in andere Netzwerkzonen möglich.
Für den Zugriff ist eine Authentifizierung gegenüber einem eDirectory-Account
erforderlich. Dieser muss für Gäste eventuell eingerichtet werden. Gaeste-LAN und
Gaeste-WLAN werden mit privaten Geräten auch von schulischen Benutzern benutzt.
Gaeste-WLAN können deshalb eventuell auch mit sichtbare SSID und ohne bzw. mit
schwacher Verschlüsselung betrieben werden. Schlüssel kann im Intranet
bereitgestellt werden.
5.3.1 Authentifizierung am Squid (Proxy) des GServers03
●
Dieses Szenario wird empfohlen, wenn für die Firewall (ASG) keine erweiterten
Funktionen (Web Security) lizensiert wurden.
Anfragen vom Gaeste-LAN und vom Gaeste-WLAN
werden von der Firewall (ASG) über den Squid im
GServer03 geleitet.
Benutzer müssen 10.1.1.31:3128 als Proxy
einstellen.
Benutzer erhalten im Browser ein Anmeldefenster
und müssen sich mit den Credentials ihres NovellNetzwerkaccounts anmelden.
Zentrale Konzeptionsgruppe (ZKN)
GServer03
Astaro
edirectory
LDAP
●
external
DMZ
Squid
Internal
Notebooks und WLAN - 16.04.2013
WLAN LAN
Gaeste
20
5.3 Gastgeräte
5.3.2 Authentifizierung bei lizensierter WEBSecurity
●
Diese Variante wird verwendet, wenn Web Security für ASG linzensiert ist.
●
Internetzugang erfolgt über WEB-Proxy (gehört zu Web Security) in der ASG.
Ein Benutzer muss sich – bevor er mit seinem Browser den Proxy-Dienst der Firewall
nutzen kann – erfolgreich gegenüber dieser authentifizieren.
●
In der ASG kann man manuell Benutzer anlegen.
Wir verwenden aber die Option eDirectory SSO.
Die Anmeldung kann nun mit dem eDirectoryBenutzername und Passwort an der Firewall erfolgen.
Die Benutzerkonten werden auf der Firewall bei
Bedarf automatisch angelegt oder synchronisiert.
Dafür ist auf dem GServer ein spezieller LDAP-User
einzurichten.
●
GServer03
Astaro
external
edirectory
LDAP
●
Security
Internal
+
Datenverkehr über GServer03 entfällt (nur noch LDAP-Anfrage).
+
Möglichkeit zur Einrichtung von Benutzergruppen:
LDAPAuthentifizierung
WLAN LAN
Gaeste
Im eDirectory könnten z.B. Gruppen angelegt werden, denen bestimmte Benutzer als Mitglied
zugewiesen werden. Für die Gruppen werden in der ASG verschiedene Zugriffsregeln definiert.
+
Beispiel:
Gruppe WLAN-Zugang. Nur Mitglieder dieser Gruppe erhalten über WLAN Internetzugang.
+
Web Security bietet weitere Sicherheitsfeatures, wie z.B. Contentfiltering u.v.a.m
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
21
6. Planung und Ausführung
Planung
●
●
●
●
●
Für die WLAN-Einrichtung in einer Schule ist eine gründliche Planung erforderlich.
(Denken Sie dabei auch an etwaige Widerstände wegen Funkbelastung)
Wer soll WLAN nutzen können? Mit welchen Geräten? Wo?
WLAN-Planung
Wahl der Accesspoints
Ausleuchtung, Zahl der erforderlichen Accesspoints
WLAN-Standard, Sichtbarkeit, Verschlüsselung
VLAN-Planung
Wie können Accesspoints ans Netzwerk angeschlossen werden ?
Switche mit VLAN nach IEE 802.1q vorhanden? Ev. Beschaffung planen.
Switchkonfiguration planen
Firewall-Konfiguration planen
Mit Websecurity?
Ohne Websecurity?
Ausführung
●
Übersichtliche Verkabelung (farbige Patchkabel)
●
Dokumentation
●
Sicherung der Switchkonfigurationen
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
22
7. Szenarien
1. Wir wollen das komplette Programm mit Internal-WLAN, Gaeste-LAN und Gaeste-WLAN
Siehe Anleitung vom Support-Netz, in dieser LFB vorgestellt
2. Einzelne Lehrer wollen ihr privates Notebook über Kabel am Lehrerplatz verwenden
(Internet Beamer).
MAC-Adresse des Notebooks ermitteln
Am GServer02 in der dhcpd.conf dieser MAC-Adresse eine feste IP-Adresse
zuweisen.
IP-Adresse in intranetausnahmen.acl eintragen.
Bei Browser im Notebook 10.1.1.31:3128 als Proxy eintragen.
Sicherheit: Gering. Gefahr durch fehlkonfigurierte private Geräte für Internal-Netz.
3. Wir haben einen Notebookwagen und wollen die Notebooks im Klassenzimmer über WLAN
anbinden. In den Klassenzimmern gibt es Netzwerkdosen für das interne Netz.
Weitere WLAN-Ambitionen haben wir nicht.
Einen mobilen Access-Point mitführen und im Klassenzimmer ans interne Netz
anschließen.
Access-Point und Notebooks mit SSID (nicht sichtbar) und für WPA2 einrichten.
WPA2 Schlüssel im Notebook fest eintragen.
Sicherheit: Weitgehend ok, da Geräte von Schule zentral verwaltet werden.
Für datenintensive Vorgänge wie Imaging und Verteilung großer Softwarepakete
Notebooks am Kabel im Internal-Netz anschließen.
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
23
7. Szenarien
4. An allen Lehrerplätzen sollen Lehrer, Gäste ihr privates Notebook über Kabel anschließen können.
(Internet, Beamer).
Gäste-LAN einrichten.
Gäste-LAN über VLAN zu den Raum-Switches führen.
Netzwerkanschluss für Gäste-LAN installieren. Farblich und durch Beschriftung
kennzeichnen.
Für Gäste muss jeweils ein Novell-Account für die Authentisierung angelegt werden.
Schulische Benutzer melden sich im Browser mit ihrem eDirectory-Benutzernamen und
Passwort an.
5. Wir wollen in der Schule private Tablets und Smartphon zulassen. Stichwort BYOD.
Wie private Notebooks im Gäste-WLAN.
Anmeldung im Browser mit der Netzwerkidentität (Novell Account) des Benutzers.
Aber keine Möglichkeit zur Steuerung des Unterrichts.
6. Tabletts im Unterricht. Zugriff auf eigene Dateien, Tauschverzeichnisse, Drucker usw.
In Arbeit. Windows 8 –Tablets (nicht Windows 8 RT)
7. Schulleiter möchte auf das Verwaltungsnetz mit seinem Notebook per WLAN zugreifen.
CC by Dang Nguyen
Ansonsten wünsche ich happy Networking
CC by-nc-sa
tomroberts101.com
Zentrale Konzeptionsgruppe (ZKN)
Notebooks und WLAN - 16.04.2013
24