Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013.

Ähnliche Präsentationen


Präsentation zum Thema: "Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013."—  Präsentation transkript:

1 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei

2 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Inhalt der Fortbildung 1.Anforderungen und Wünsche an Schulnetz 2.Netzwerkstrukur Notwendige Erweiterungen 3.Grundlagen VLAN 4.Grundlagen WLAN AccessPoints 5.Umsetzung in der paedML Novell 6.Planung 7.Szenarien Sicherheitsaspekte Bitte führen Sie an Ihrer Schule die Einrichtung von WLANS, notwendige Konfigurationen an Server und Firewall unbedingt nach den Anleitungen vom Support-Netz aus. Die Folien in dieser Präsentation sollen nur einen Überblick über die prinzipielle Vorgehensweise geben. Es ist ratsam, bereits im Vorfeld eine Fachfirma einzubinden. Kundenportal/Erweiterungen/Novell/WLAN_paedML_Novell3.pdf

3 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Anforderungen und Wünsche Lehrernotebook im LAN z.B. im Fachraum mit Internetzugang und Beameranschluss Notebooks statt Desktop-PCs im Computerraum Notebookwagen im Klassenzimmer Schuleigene Notebooks im WLAN Gästenotebooks im LAN Gästenotebooks im WLAN Tablets und Smartphones BYOD Tabletts im Unterricht usw.

4 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Netzwerkstruktur Paralleler Betrieb von privaten Endgeräten (auf denen die Schule keine Management Möglichkeiten hat) in LAN oder WLAN innerhalb dieser Netzwerkinfrastruktur wäre Sicherheitsrisiko. Zu groß ist die Gefahr, dass durch Gast-Systeme aktive Schadsoftware ins schulische Netzwerk eingeschleppt wird, oder von den Benutzern wissentlich oder unwissend durch fehlerhaft konfigurierte Geräte massivste Störungen im schulischen Netzwerk verursacht werden können. Zudem ist es auf keinen Fall ratsam, Gästen (Gast-PC) direkten Zugang zu schulischen Ressourcen zu gewähren. Auf keinen Fall sollen Sie direkten Zugriff auf das pädagogische Netzwerk (Internal und Internal-WLAN) haben. Deshalb gibt es in der paedML Novell ein erweitertes Zonenkonzept. In der paedML Novell sind für den kabelgebundenen Betrieb zunächst drei Netzwerke eingerichtet.

5 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Netzwerkstruktur paedML Novell Die Verbindung der Firewall ins Internal-Netz ist aus Gründen der Übersichtlichkeit nicht eingezeichnet.

6 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Grundlage VLAN VLAN-Typen Statische bzw. portbasierte VLANs Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet. Dynamische VLANs Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs verzichtet werden. Tagged VLANs nach IEEE 802.1q Datenpakete tragen eine VLAN-Markierung (Tag - Anhänger) und werden anhand dieser Markierungen z.B. an bestimmte Switchports weitergeleitet. Quelle: Wikipedia Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches die Frames (Datenpakete) eines VLANs nicht in ein anderes VLAN weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches angeschlossen sein können. Quelle: Wikipedia

7 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Grundlage VLAN Allgemein gilt: Jedem VLAN wird eine VLAN-ID (Zahl) zugeordnet. Switchports werden einem (oder mehrern VLANs bei tagged VLAN) zugeordnet. Nur über Ports im gleichen VLAN können Rechner miteinander kommunizieren. Es gibt keine direkte Verbindungsmöglichkeit von VLAN zu VLAN. Falls Verbindungen erforderlich sind, so müssen diese über Router hergestellt werden. VLANs verhalten sich also wie physikalisch getrennte Netze. Wenn vom Gesetzgeber eine physikalische Netztrennung gefordert wird, so gilt diese beim Einsatz von VLANs (außer dynamisches VLAN) als erfüllt.

8 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN statisches bzw. portbasiertes VLAN Beim portbasierten VLAN kann man Switchtports genau einem bestimmten VLAN zuordnen. Ein Switch kann somit in mehrere logische Switches unterteilt werden. Wenn sich VLANs über mehrere Switches ausdehnen sollen, so muss jedes einzelne VLAN direkt per Leitung mit dem entsprechenden VLAN auf dem anderen Switch verbunden werden. Hier befinden sich die Rechner A-1, A-2, B-1 und B-2 im grünen Netz mit der VLAN-ID 11, die Rechner A-5, A-6, B-5 und B-6 im orangen Netz mit der VLAN-ID 12. Verwaltung VLAN-ID 11 Produktion VLAN-ID 12 RJ45-Ports

9 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN tagged VLAN nach IEEE 802.1q Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, in dem jeweils die VLAN-ID vermerkt ist, zu dessen VLAN das Frame gehört. Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen: Auf der Verbindungsleitung sind Datenpakete mit verschiedenen VLAN-IDs im VLAN-TAG unterwegs. Im Beispiel Datenpakete mit VLAN-ID 11 und VLAN-ID 12. Der Ziel-Switch erkennt anhand der VLAN-ID im VLAN-Tag die Zugehörigkeit des Datenpakets zu einem bestimmten VLAN und leitet dieses an das passende VLAN weiter. Quelle Thomas Krenn Trunk

10 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN tagged VLAN nach IEEE 802.1q Default-VLANVLAN-ID 1 VerwaltungVLAN-ID 11 ProduktionVLAN-ID 12 RJ45-Ports

11 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Ethernetpaket 3.3 Tagging und Untagging Endgeräte können in der Regel nicht mit Datenpaketen mit VLAN-Tags umgehen, sondern nur mit sogenannten native Frames. Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags, so muss der Switch das VLAN-Tag einfügen.Beim Ausliefern eines Pakets muss der Switch dann das VLAN-Tag wieder entfernen. Zu einem VLAN gehörende Switch-Ports, die so verfahren sollen, werden als untagged U konfiguriert. Trunk-Ports werden als tagged T konfiguriert. Ethernetpaket Switch fügt Tag an Ethernetpaket + Switch entfernt Tag X X Endgerät Liefert Ethernet- paket mit Tag Astaro ESXi AP Es ist aber auch möglich, dass Endgeräte Frames mit VLAN-Tag verarbeiten können und so über eine einzige Netzwerkkarte Daten mit verschiedenen Netzen bzw. VLANs austauschen können. Sie fügen dazu selbst das VLAN-Tag ein oder entfernen es. Dies wird z.B. bei der Astaro-Firewall (ASG), ev. auch bei Access-Points und einem ESXi-Server benutzt. Switch A Switch B u u u uuu u u TT T T

12 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Grundlage WLAN WLAN (engl. Wireless Local Area Network) Ein WLAN erweitert ein lokales Netzwerk über Funk zur mobilen Kommunikation. Der Netzzugriff erfolgt über Ethernet (Layer 2). Ein Funknetz wird über einen eindeutigen Namen, den SSID (Service Set Identifier). Alle Teilnehmer, die über diese Funknetz kommunizieren wollen, müssen dieselbe SSID benutzen. Das Funknetz kann die SSID über SSID-Broadcast bekanntmachen – das Netz ist sichtbar. Ist diese Option deaktiviert, dann ist das Netz versteckt. Teilnehmer müssen die SSID kennen. Funknetze sind besonders leicht auszuspähen, da es für einen Lauscher genügt, in die Nähe zu kommen. Deshalb ist eine Verschlüsselung für vertrauliche Daten unerlässlich. Derzeit aktuelle Verschlüsselung ist WPA2 (AES 128 bit). Auch im WLAN können Clients per DHCP mit IP-Adresse versorgt werden. Gilt teilweise als Sicherheitsrisiko. Bei vielen Accesspoints kann man MAC-Adresslisten hinterlegen und den Zugriff auf Clients mit diesen MAC-Adressen beschränken. Für WLANs gibt es verschiedene Standards: a, b, g, n In den Standards sind Datenrate, Frequenzbereich, Reichweite usw. festgelegt. Die Standards sind abwärtskompatibel. Aber Achtung: Ein Gerät mit einem langsameren Standard bremst möglicherweise das Netz aus.

13 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Accesspoints (AP) Ein Wireless Access Point, auch Access Point (AP) oder Basisstation genannt, ist ein elektronisches Gerät, das als Schnittstelle für kabellose Kommunikationsgeräte fungiert Abhilfe für den letzten Punkt: WLAN-Access-Point mit Multi-SSID und VLAN Kann mehrere Funknetze aufspannen, die jeweils einem der angeschlossenen VLANs zugeordnet sind. Interessant ist für APs auch die Option Power over Ethernet (PoE), die eine Stromversorgung des AP über das Netzwerkkabel erlaubt und eine separate Leitung für den Stromanschluss erspart. Einfache Acces-Points + Geringe Kosten (ab 30 ) -Jeder Access-Point muss separat konfiguriert werden. -Nur eine SSID. Für verschiedene aufzuspannende Netze (Internal-WLAN, Gaeste-WLAN) müssen separate AP eingerichtet werden. -Client bucht sich beim Accesspoint ein. Wenn ein Benutzer vom Funkbereich eines AP zum nächsten wechselt (roaming), wird er beim letzten ausgebucht und beim nächtens neu eingebucht. Dies entspricht einem Verbindungsabbruch und kann zu Netzwerkproblemen führen.

14 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Managed Accesspoints Managed Accesspoints (MAP) Bei Managed Accesspoints erfolgt die Konfiguration zentral. An den einzelnen Accesspoints muss nichts konfiguriert werden. Die Accesspoints kommunizieren mit ihrem zentralen System und bekommen von dort die Konfiguration. MAP sind immer Multi-SSID- und VLAN-fähig Vereinfachter Verwaltungsaufwand Verbessertes Roaming. Clients buchen sich nicht bei den einzelnen MAPs ein, sondern beim zentralen System. Bei Wechsel der Funkzelle werden sie (für den Client transparent) vom zentralen System an den nächsten MAP weitergegeben. Wird von vielen namhaften Herstellern angeboten. Cisco, HP, LANCom usw. In der paedML gibt es eine interessante Möglichkeit von Sophos/Astaro. Für die ASG muss Astaro Wireless Security lizensiert werden. Es werden Astaro- bzw. Sophos-Accesspoints AP10, AP30 oder AP50 verwendet.

15 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Umsetzung in der paedML Novell Die Firewall (ASG) dient dabei als Router zwischen den verschiedenen Netzen. Für jedes Netz können Filterregeln definiert werden. Für den Netzwerkzugang ist eine Benutzerauthentifizieung erforderlich. Diese wird weiter hinten beschrieben. Bei der Auslieferung der paedML sind die Netze in der ASG-Konfiguration bereits vorbereitet. Die Verteilung der Netze über das Gebäude erfolgt vorzugsweise über VLANs. Einen Vorschlag sehen Sie in den folgenden Folien. Hinweis: Die WLAN- und VLAN-Infrastruktur einer Schule kann nicht Thema dieser Fortbildung und auch nicht der Anleitungen vom Support-Netz sein, weil sie zu sehr von den individuellen Gegebenheiten vor Ort abhängt. Eine solche Struktur aufzubauen fällt in das Aufgabengebiet einer Fachfirma. Zu empfehlen sind aber in jedem Fall Accesspoints, die zentral gemanaged werden können (u.a. auch von/für Sophos UTM/Astaro). In der paedML wird die Zonen- bzw. Netzwerkeinteilung hauptsächlich über die Firewall (ASG) realisiert. Netze:Internal, DMZ, External,Internal-WLAN, Gaeste-LAN, Gaeste-WLAN

16 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Netzstruktur

17 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN VLAN-Konfiguration

18 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN VLAN-Konfiguration Beispielkonfiguration in einem HP Switch Procurve 2424M

19 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Schuleigene Notebooks Schuleigene Notebooks gehen über das Internal-WLAN ins Netz. WLAN ist mit SSID und WPA2-Key auf den Notebooks konfiguriert. Auf diesen Notebooks ist der Novell-Client installiert Anmeldung erfolgt wie im kabelgebundenen Netz über den Novell-Client. Alle Dienste, die im Internal-LAN zur Verfügung stehen, sind auch im Internal-WLAN verfügbar (Anwendungen über NAL usw.) Datenintensive Dienste sollten wegen der geringen zur Verfügung stehenden Bandbreite vermieden werden. Auf der Firewall (ASG) können für das Internal-WLAN entsprechende Filter eingerichtet werden. Für Imaging und die Verteilung großer Anwendungspakete sollten die Notebooks über Kabel im Internal_LAN betrieben werden.

20 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Gastgeräte Authentifizierung am Squid (Proxy) des GServers03 Dieses Szenario wird empfohlen, wenn für die Firewall (ASG) keine erweiterten Funktionen (Web Security) lizensiert wurden. GServer03 Astaro LDAP edirectory Squid DMZ Internal external WLAN LAN Gaeste Anfragen vom Gaeste-LAN und vom Gaeste-WLAN werden von der Firewall (ASG) über den Squid im GServer03 geleitet. Benutzer müssen :3128 als Proxy einstellen. Benutzer erhalten im Browser ein Anmeldefenster und müssen sich mit den Credentials ihres Novell- Netzwerkaccounts anmelden. Aus Gaeste-LAN und Gaeste-WLAN können ausschließlich webbasierte Dienste in Anspruch genommen werden. Es ist kein Zugriff auf irgendwelche sonstigen Netzwerkressourcen bzw. in andere Netzwerkzonen möglich. Für den Zugriff ist eine Authentifizierung gegenüber einem eDirectory-Account erforderlich. Dieser muss für Gäste eventuell eingerichtet werden. Gaeste-LAN und Gaeste-WLAN werden mit privaten Geräten auch von schulischen Benutzern benutzt. Gaeste-WLAN können deshalb eventuell auch mit sichtbare SSID und ohne bzw. mit schwacher Verschlüsselung betrieben werden. Schlüssel kann im Intranet bereitgestellt werden.

21 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Gastgeräte Authentifizierung bei lizensierter WEBSecurity Diese Variante wird verwendet, wenn Web Security für ASG linzensiert ist. Internetzugang erfolgt über WEB-Proxy (gehört zu Web Security) in der ASG. Ein Benutzer muss sich – bevor er mit seinem Browser den Proxy-Dienst der Firewall nutzen kann – erfolgreich gegenüber dieser authentifizieren. GServer03 Astaro LDAP edirectory Internal external WLAN LAN Gaeste Security LDAP- Authentifizierung In der ASG kann man manuell Benutzer anlegen. Wir verwenden aber die Option eDirectory SSO. Die Anmeldung kann nun mit dem eDirectory- Benutzername und Passwort an der Firewall erfolgen. Die Benutzerkonten werden auf der Firewall bei Bedarf automatisch angelegt oder synchronisiert. Dafür ist auf dem GServer ein spezieller LDAP-User einzurichten. +Datenverkehr über GServer03 entfällt (nur noch LDAP-Anfrage). +Möglichkeit zur Einrichtung von Benutzergruppen: Im eDirectory könnten z.B. Gruppen angelegt werden, denen bestimmte Benutzer als Mitglied zugewiesen werden. Für die Gruppen werden in der ASG verschiedene Zugriffsregeln definiert. +Beispiel: Gruppe WLAN-Zugang. Nur Mitglieder dieser Gruppe erhalten über WLAN Internetzugang. +Web Security bietet weitere Sicherheitsfeatures, wie z.B. Contentfiltering u.v.a.m

22 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Planung und Ausführung Planung Für die WLAN-Einrichtung in einer Schule ist eine gründliche Planung erforderlich. (Denken Sie dabei auch an etwaige Widerstände wegen Funkbelastung) Wer soll WLAN nutzen können? Mit welchen Geräten? Wo? WLAN-Planung Wahl der Accesspoints Ausleuchtung, Zahl der erforderlichen Accesspoints WLAN-Standard, Sichtbarkeit, Verschlüsselung VLAN-Planung Wie können Accesspoints ans Netzwerk angeschlossen werden ? Switche mit VLAN nach IEE 802.1q vorhanden? Ev. Beschaffung planen. Switchkonfiguration planen Firewall-Konfiguration planen Mit Websecurity? Ohne Websecurity? Ausführung Übersichtliche Verkabelung (farbige Patchkabel) Dokumentation Sicherung der Switchkonfigurationen

23 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Szenarien 1.Wir wollen das komplette Programm mit Internal-WLAN, Gaeste-LAN und Gaeste-WLAN Siehe Anleitung vom Support-Netz, in dieser LFB vorgestellt 2.Einzelne Lehrer wollen ihr privates Notebook über Kabel am Lehrerplatz verwenden (Internet Beamer). MAC-Adresse des Notebooks ermitteln Am GServer02 in der dhcpd.conf dieser MAC-Adresse eine feste IP-Adresse zuweisen. IP-Adresse in intranetausnahmen.acl eintragen. Bei Browser im Notebook :3128 als Proxy eintragen. Sicherheit: Gering. Gefahr durch fehlkonfigurierte private Geräte für Internal-Netz. 3.Wir haben einen Notebookwagen und wollen die Notebooks im Klassenzimmer über WLAN anbinden. In den Klassenzimmern gibt es Netzwerkdosen für das interne Netz. Weitere WLAN-Ambitionen haben wir nicht. Einen mobilen Access-Point mitführen und im Klassenzimmer ans interne Netz anschließen. Access-Point und Notebooks mit SSID (nicht sichtbar) und für WPA2 einrichten. WPA2 Schlüssel im Notebook fest eintragen. Sicherheit: Weitgehend ok, da Geräte von Schule zentral verwaltet werden. Für datenintensive Vorgänge wie Imaging und Verteilung großer Softwarepakete Notebooks am Kabel im Internal-Netz anschließen.

24 Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN Szenarien 4.An allen Lehrerplätzen sollen Lehrer, Gäste ihr privates Notebook über Kabel anschließen können. (Internet, Beamer). Gäste-LAN einrichten. Gäste-LAN über VLAN zu den Raum-Switches führen. Netzwerkanschluss für Gäste-LAN installieren. Farblich und durch Beschriftung kennzeichnen. Für Gäste muss jeweils ein Novell-Account für die Authentisierung angelegt werden. Schulische Benutzer melden sich im Browser mit ihrem eDirectory-Benutzernamen und Passwort an. 5.Wir wollen in der Schule private Tablets und Smartphon zulassen. Stichwort BYOD. Wie private Notebooks im Gäste-WLAN. Anmeldung im Browser mit der Netzwerkidentität (Novell Account) des Benutzers. Aber keine Möglichkeit zur Steuerung des Unterrichts. 6.Tabletts im Unterricht. Zugriff auf eigene Dateien, Tauschverzeichnisse, Drucker usw. In Arbeit. Windows 8 –Tablets (nicht Windows 8 RT) 7.Schulleiter möchte auf das Verwaltungsnetz mit seinem Notebook per WLAN zugreifen. Ansonsten wünsche ich happy Networking CC by-nc-sa tomroberts101.com CC by Dang Nguyen CC by-nc-sa tomroberts101.com


Herunterladen ppt "Zentrale Konzeptionsgruppe (ZKN) Notebooks und WLAN - 16.04.2013 1 Regionale Lehrerfortbildung Notebooks und WLAN in der paedML Novell U. Frei 16.04.2013."

Ähnliche Präsentationen


Google-Anzeigen