Überall Internet
Public Network Services

von Ulrich Kiermayr (Ausgabe 02/2, Oktober 2002)

 

Kasten: WDMZ: Geschützte Zone für Funknetze

 

Bei der Errichtung neuer Netzwerke an der Uni Wien wurde seitens des ZID immer schon darauf geachtet, auch Hörsäle und andere öffentliche Bereiche mit Netzwerkanschlüssen auszustatten. Bisher war es allerdings in der Regel für Benutzer technisch schwierig und administrativ aufwendig, diese auch tatsächlich zu verwenden. Zudem kam es mehrmals vor, daß Netzwerkanschlüsse in öffentlichen Bereichen für Hackversuche und ähnliches mißbraucht wurden und die Identität des Verursachers im nachhinein nicht mehr feststellbar war. Aus diesen Gründen hat der ZID ein neues Konzept für die Verwaltung solcher Anschlüsse entwickelt, das einerseits eine möglichst einfache Benutzung und andererseits einen möglichst sicheren Betrieb gewährleisten soll.

Im Rahmen der neuen Public Network Services des ZID können nun alle Universitätsmitarbeiter und Studierenden auch außerhalb der Diensträume bzw. PC-Räume mit ihrem Notebook schnell und einfach auf das Internet zugreifen:

  • Das Hörsaal-Netz ist bereits in vielen Hörsälen der Uni Wien verfügbar und kann von allen Mailbox-Benutzern im Rahmen von Vorlesungen, aber auch bei Veranstaltungen und Präsentationen verwendet werden.
  • Die Datentankstellen bieten Unet- und Mailbox-Benutzern einen Internetzugang in öffentlichen Bereichen wie z.B. Bibliothek oder Mensa.

Diese Services sollen es Universitätsangehörigen ermöglichen, die Netzwerkdienste der Uni Wien zum Zweck der Forschung und Lehre mit mobilen - auch privaten - Rechnern zu nutzen. Sie sind jedoch nicht als kostenloser Breitband-Internetzugang gedacht, über den man bequem MP3-Dateien oder Filme herunterladen kann. Eine mißbräuchliche Verwendung führt zur Sperre der UserID!

 

Die Benutzer der Public Network Services sind durch eine Firewall gegen Angriffe aus dem Internet weitgehend geschützt. Allerdings besteht die Gefahr, daß bereits auf einem Notebook befindliche Viren oder Trojaner die Netzwerk-Anbindung dazu verwenden, sich im Uni-Datennetz zu verbreiten. Daher sollte jeder Benutzer darauf achten, seinen Rechner von solchem "Ungeziefer" freizuhalten.

So funktioniert's:

Die für die Public Network Services freigeschalteten Netzwerkanschlüsse sind durch einen farbigen Punkt und durch einen Aufkleber mit den wichtigsten Informationen gekennzeichnet (eine Liste aller derzeit verfügbaren Anschlüsse und ihrer jeweiligen Markierung finden Sie unter http://data.univie.ac.at/pns/services.html). Es handelt sich dabei um TwistedPair-Anschlüsse, die - abhängig von der Bandbreite des Gebäudenetzes - eine Datenübertragungsrate von 10 Mbit/s bzw. 100 Mbit/s ermöglichen. Ein entsprechendes Netzwerkkabel ist in der Regel vom Benutzer mitzubringen. Nachdem der Rechner an das Netzwerk angeschlossen und gestartet wurde, wird ihm automatisch über DHCP eine IP-Adresse zugewiesen (siehe http://data.univie.ac.at/pns/help.html). Nun muß man sich nur noch unter http://data.univie.ac.at/pns mit UserID und Paßwort authentifizieren und kann anschließend maximal 5 Stunden lang die Netzwerkservices der Uni Wien sowie alle anderen Internet-Dienste nutzen.

Temporäre UserIDs

Mailbox-Benutzer können unter https://data.univie.ac.at/mailbox/subuser.html temporäre Zugangsberechtigungen für Gäste vergeben, die ebenfalls die Public Network Services verwenden möchten. Damit soll verhindert werden, daß Mailbox-UserIDs weitergegeben werden müssen. Die UserID und das Paßwort für den Gast werden automatisch generiert und sind maximal eine Woche lang gültig. (Vorsicht: Im Falle eines Mißbrauchs haftet der Mailbox-Benutzer, der die temporäre UserID angelegt hat!)

Logout

Ein an die Public Network Services angeschlossener Rechner wird automatisch aus dem Netzwerk abgemeldet, sobald die Verbindung unterbrochen oder der Zeitrahmen von fünf Stunden überschritten wird. Um Mißbrauch zuverlässig zu verhindern, kann man sich aber auch unter http://data.univie.ac.at/pns manuell abmelden.

Public Network Services für Institute

Die meisten größeren Hörsäle der Uni Wien sind bereits an das Hörsaal-Netz angeschlossen. Institute, die Anschlüsse in ihrem Bereich für die Public Network Services freischalten lassen möchten, sollten unter der Mailadresse NETZWERK.ZID@UNIVIE.AC.AT mit dem ZID Kontakt aufnehmen: Sofern keine technischen Hinderungsgründe bestehen, kann eine solche Umstellung rasch realisiert werden.

WDMZ: Geschützte Zone für Funknetze

Auch an der Uni Wien werden in letzter Zeit immer häufiger sogenannte WLANs (Wireless Local Area Networks) für die Datenübertragung eingesetzt. Diese Funknetzwerke sind zwar oft praktisch, stellen aber leider ein erhebliches Sicherheitsrisiko dar. Daher sollte man WLANs unbedingt getrennt vom "normalen" Instituts-Datennetz betreiben, um im Falle einer Attacke den Schaden möglichst gering zu halten.

Im Rahmen der Public Network Services hat der ZID nun sogenannte WDMZs (Wireless Demilitarized Zones) eingerichtet. Eine WDMZ ist ein separater Netzwerkbereich, der es ermöglicht, die an der Universität existierenden Funknetze zusammenzufassen und durch eine einheitliche Zugangskontrolle abzusichern. Für Institute, die WLANs verwenden, bietet diese Konstruktion zwei Vorteile:

  • Durch den Einsatz der Authentifizierungs-Infrastruktur des ZID (mittels Mailbox- oder Unet-UserID) entfallen Aufbau und Wartung eines eigenen Systems zur Benutzerverwaltung.
  • Da aus der WMDZ kein direkter Zugriff auf Rechner des Instituts möglich ist, wird verhindert, daß Sicherheitsprobleme im WLAN das Instituts-Netzwerk in Mitleidenschaft ziehen.

Allerdings bietet eine WDMZ keinen Schutz gegen ein direktes Abhören des Datenverkehrs im Funknetz. Es ist daher empfehlenswert, die im WLAN übermittelten Daten mittels WEP (Wired Equivalent Privacy) zu verschlüsseln sowie sichere Übertragungsprotokolle (SSH, HTTPS, ...) zu verwenden.

Instituten, die ihr Funknetz in eine WDMZ "umsiedeln" möchten, ist der ZID gerne behilflich, ein entsprechendes Konzept zu erstellen. Bitte kontaktieren Sie uns dazu unter der eMail-Adresse NETZWERK.ZID@UNIVIE.AC.AT.