WLAN
Funknetz-Ausbau an der Uni Wien

von Daniel Schirmer (Ausgabe 06/3, Oktober 2006)

 

Kasten: Ausbaurichtlinien für WLAN-Beamer

In den letzten Jahren hat der wireless Internetzugang, die drahtlose Einwahl mit dem Computer in das Netz, zunehmend an Bedeutung gewonnen. Sowohl in Firmen als auch im privaten wie im Bildungsbereich wurden diese Internetzugänge massiv ausgebaut, d.h. auf Funkverbindungen umgerüstet, und immer größere Bereiche wurden mit WLAN (Wireless Local Area Network) abgedeckt bzw. traditionelle (verkabelte) Verbindungen ersetzt. Zu den wichtigsten Gründen hierfür zählen:

  • Mobilität der BenutzerInnen: Der standortunabhängige Internetzugang wird immer wichtiger. Die Möglichkeit zur Einwahl in das Internet soll überall verfügbar und einfach zu verwenden sein.

  • Abdeckung unzugänglicher Bereiche: Mit WLAN können nun auch jene Bereiche abgedeckt werden, die mit einer Verkabelung nur schwer erreichbar sind (Freiflächen, spezielle Räume wie z.B. Altbau, denkmalgeschützte Gebäude etc.).

  • Geringerer Zeit- und Kostenaufwand: Die Planung, Verkabelung und Montage eines Accesspoints1) nimmt deutlich weniger Arbeitszeit und Installationskosten in Anspruch als die vollständige Verkabelung eines Raumes, insbesondere wenn es sich dabei um einen Raum mit stark wechselnder Nutzung wie z.B. ein Besprechungszimmer handelt.

Dennoch werden fixe Arbeitsplätze auch weiterhin mit Kabel versorgt werden, da WLAN trotz aller Vorteile nicht die Stabilität und Geschwindigkeit einer verkabelten Verbindung bieten kann. An der Uni Wien wurden in den letzten Jahren sowohl die flächenmäßige Abdeckung des WLAN-Zuganges erweitert als auch viele Verbesserungen im Bereich der Funktionalität geschaffen. So wurden in den letzten drei Jahren

  • die verfügbaren Accesspoints mehr als verzehnfacht (deren Anzahl ist von 20 Stück im Jahr 2003 auf derzeit über 250 Stück gewachsen),

  • immer mehr Universitätsgebäude mit flächendeckender WLAN-Versorgung ausgestattet statt nur mit einzelnen Hotspots (z.B. in einem Hörsaal) versehen und

  • verschiedene Netze (Datentankstelle, Datentankstelle802.1X, eduroam und eduroamWeb)2) nebeneinander aufgebaut, die gemeinsam mehr bzw. unterschiedliche Funktionalitäten und Sicherheit für verschiedene Benutzergruppen bieten.

Neuerungen beim WLAN-Service

Im Folgenden wird auf die Umbauten beim WLAN-Service (ehemals Wireless PNS, Wireless Public Network Services) in den letzten Monaten an der Universität Wien und die damit entstandenen Veränderungen für BenutzerInnen näher eingegangen. An folgenden Standorten wurden erst kürzlich WLAN-Accesspoints errichtet: Vollversorgung:

  • Zentrum für Translationswissenschaften (1190 Wien, Gymnasiumstraße 50)
  • Zentrum für Sportwissenschaften, USZ II (1150 Wien, Auf der Schmelz 6a / Possingergasse)
  • In Zusammenarbeit mit der Leitung der Universitätsbibliotheken wurde darüber hinaus auch der Großteil der Bibliotheksstandorte voll mit WLAN-Accesspoints versorgt.

Teilversorgung (Hörsäle):

  • Universitätshauptgebäude (1010 Wien, Dr.-Karl-Lueger-Ring 1)
  • Zentrum für Sportwissenschaften, USZ I (1150 Wien, Auf der Schmelz 6)
  • Neues Institutsgebäude / NIG (1010 Wien, Universitätsstraße 7)

Ein neues Funknetz

Zusätzlich zum 802.1X-Netz (eduroam)3) ist seit einigen Wochen auch das eduroamWeb-Netz verfügbar. Dieses bietet - wie eduroam - Internetzugang für MitarbeiterInnen und Studierende jener Universitäten, die am internationalen eduroam-Projekt teilnehmen. Allerdings ist eduroamWeb unverschlüsselt und die Authentifizierung erfolgt über eine Webseite anstatt über 802.1X4). Dieses Netz kann daher auch mit älteren Betriebssystemen (z.B. Windows 95/98) bzw. bei Problemen mit 802.1X verwendet werden.

Benutzerfreundlicher Zugang

Aufgrund der großen Anzahl an Accesspoints wird seit etwa drei Monaten ein WLAN Management System eingesetzt, das Neuerrichtungen, Konfigurationsänderungen und Fehleranalysen deutlich vereinfacht und damit eine bessere Verfügbarkeit und Stabilität der Funknetze garantieren soll. Für die BenutzerInnen sind im Zuge dessen folgende positive Änderungen entstanden:

  • Die neue Login-Webseite (Datentankstelle, eduroamWeb) hat sich nicht nur im Design verbessert, sondern ermöglicht auch eine kontinuierliche WLAN-Nutzung über einen beliebigen Zeitraum hinweg, anstatt der bisherigen fixen Nutzungsintervalle von 1, 2 oder 8 Stunden (nach dieser Zeit wurden die BenutzerInnen automatisch ausgeloggt).

  • Weiters hat sich die Roaming-Funktionalität5) verbessert. Standort- und Accesspoint-Wechsel bei laufender Verbindung ist jetzt an der gesamten Universität möglich, solange die Funkwolke nicht vollständig verlassen wird.

Stichwort Wireless Security

Parallel zu dem Ausbau bzw. zu der stärkeren Verwendung der WLAN-Netze wird auch das Thema Wireless Security immer wichtiger. Wie auch verkabelte Netze sind Funknetze permanent Hacker-Attacken ausgesetzt und müssen gegen unrechtmäßigen Zugriff und Missbrauch geschützt werden. Hier ein kurzer Auszug von WLAN-spezifischen Attacken:

  • Deauthentication Flooding: Der Angreifer sendet gefälschte Deauthentifizierungs-Pakete6) entweder an den Accesspoint oder an den Klienten und beendet damit die Verbindung zwischen diesen beiden. Bei regelmäßiger Wiederholung dieses Angriffs hat der Klient keine Möglichkeit, eine funktionierende Verbindung zustande zu bringen.

  • Association Flooding: Der Angreifer schickt Assoziierungs-Pakete7) an den Accesspoint, um dessen Klienten-Tabellen8) zu füllen. Wenn die Attacke erfolgreich ist, hat der Accesspoint viele "sinnlose" Klienten in seiner Tabelle und kann keine weiteren (wenn auch legitimen) Verbindungen akzeptieren.

  • AP Impersonation / Honeypot AP / MITM9): Der Angreifer betreibt einen Accesspoint mit derselben MAC-Adresse10) und identischem WLAN-Netz wie der legitime Accesspoint. Klienten, die zwischen diesen beiden nicht unterscheiden können, verbinden sich eventuell mit dem falschen Accesspoint. Der Angreifer kann somit falsche Login-Seiten vortäuschen und/oder im schlimmsten Fall Benutzeraccounts und -daten mitlesen.

Hier sind nicht nur Internet-Banking oder ähnlich sensible Anwendungen gefährdet - auch Mailverkehr, Online-Einkäufe oder einfach das Surfverhalten eines Benutzers könnten für einen Angreifer interessant sein.

Wenn auch solche Attacken nicht einfach durchzuführen bzw. nicht mit fertigen Tools oder Programmen ohne spezielles Wissen möglich sind, sollte sich trotzdem jeder Benutzer, der sich in ein Funknetz einwählt, dieses Risikos bewusst sein. Die Universität Wien bietet mit der Datentankstelle802.1X und eduroam zwei verschlüsselte, relativ sichere Netze an. Sofern möglich, sollten diese gegenüber der Datentankstelle oder eduroamWeb bevorzugt verwendet werden. Anleitungen zum Konfigurieren der Datentankstelle802.1X für Windows XP und Mac OS X finden Sie unter www.univie.ac.at/zid/anleitungen-wlan/.

Alle BenutzerInnen, die bei der Durchführung einer Attacke identifiziert werden, sowie BenutzerInnen mit virenverseuchten Computern bzw. Notebooks werden vom ZID für den Zugang zum WLAN gesperrt. Falls Ihr Account im WLAN-Netz der Universität Wien nicht mehr funktionieren sollte, wenden Sie sich bitte an den Helpdesk des ZID, um Funktionsstörungen bzw. Sperren zu beheben:

NIG (1010 Wien, Universitätsstraße 7), Stg. II, 1. Stock
eMail: helpdesk.zid@univie.ac.at
Telefon: +43-1-4277-14060

Ausbaurichtlinien für WLAN-Beamer und andere WLAN-basierte Geräte, z.B. Bluetooth

WLAN-Beamer11) verwenden dieselben Funkfrequenzen wie WLAN-Accesspoints (802.11b/g-Standard12)). Da es laut Standard nur drei nicht überlappende Funkfrequenzen gibt und oft bereits zwei oder drei Accesspoints in einem Bereich funken, kann der zusätzliche Einsatz von WLAN-Beamern zu störenden Interferenzen führen. Sowohl die Funknetze der Universität Wien als auch die Übertragung zum Beamer können dadurch an Geschwindigkeit verlieren bzw. die Verbindung sogar abbrechen. Aus diesem Grund bittet der ZID alle Institute, die über die Anschaffung von WLAN-Beamern nachdenken, um Kontaktaufnahme mit dem ZID unter netzwerk.zid@univie.ac.at, um Probleme dieser Art schon vor der Errichtung zu besprechen und sofern möglich zu vermeiden.

 

1) Accesspoint = Zugangspunkt, der die Verbindung (Brücke) zwischen WLAN (Wireless Local Area Network: Funknetzwerk) und LAN (Local Area Network: verkabeltes Netzwerk) herstellt

2) siehe Artikel Datentankstelle802.1X - Ein verschlüsseltes Funknetz für die Uni Wien in Comment 06/1 sowie Artikel Education Roaming - Freier WLAN-Zugang für Uni-Angehörige im eduroam-Verbund in Comment 06/1

3) siehe Artikel Education Roaming - Freier WLAN-Zugang für Uni-Angehörige im eduroam-Verbund in Comment 06/1

4) 802.1X = auf dem RADIUS-Protokoll basierender IEEE-Standard für Benutzerauthentifizierung und -accounting, der hauptsächlich im WLAN-Bereich eingesetzt wird

5) Roaming = Wechsel des Verbindungsanbieters (Betreiber, Funkstation, Accesspoint, ...) bei laufender Verbindung

6) Deauthentification = Beendigung der Authentifizierung

7) Assoziierung = erstmaliges Herstellen der Verbindung mit einem Accesspoint

8) Klienten-Tabelle = lokale Tabelle mit allen momentan verbundenen Geräten

9) MITM (Man In The Middle) = ein Angriff, bei dem versucht wird, Teil einer Verbindung zu werden, um Daten zu lesen, zu löschen oder zu verändern

10) MAC-Adresse (Media Access Control) = Hardware-Adresse jeder einzelnen Netzwerkkarte bzw. jedes einzelnen WLAN-USB-Adapters, die zur eindeutigen Identifikation des Geräts im Netzwerk dient

11) Ein WLAN-Beamer ermöglicht die drahtlose Datenübertragung und Wiedergabe von Computerinhalten zum Projektor über ein Funknetzwerk.

12) 802.11b/g = IEEE-Standard für Funknetze im 2,4 GHz-Bereich, inkl. z.B. möglicher Frequenzkanäle