BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz...
1
BMBF-Förderinitiative “Einsatz und Nutzung drahtloser Kommunikation” bmb+f GoeMobile: FunkLAN für die Göttinger Wissenschaft 1) Benutzer startet seinen Rechner. Dadurch baut er eine Verbindung zum nächstgelegenen Accesspoint auf. 2) Durch einen RADIUS-Server wird die MAC-Adresse der Funkkarte geprüft. 3) Ist die MAC-Adresse in der Liste der Geräte auf dem RADIUS-Server eingetragen, die nicht VPN-fähig sind (PDA, VoIP, etc.), so wird diesem Gerät eine Adresse aus einem speziellen DHCP-Adresspool zugeordnet und er gelangt damit ins Internet, ohne zusätzliche Authentifizierung. 4) Ist die MAC-Adresse gültig und nicht in der Liste der non-VPN-fähigen Geräte eingetragen, so bekommt der Client per DHCP eine (private network) IP-Adresse zugeteilt, sowie DNS und Gateway. 5) Zu diesem Zeitpunkt kann der Benutzer lediglich im "internen" Netz agieren. Ein Zugriff auf andere Netzresourcen (Internet) ist in diesem Stadium nicht möglich. 6) Eine VPN Verbindung (PPTP) vom Client zum Gateway wird nach Prüfung von Username/Password geschaltet. In einer speziellen Passwort-Liste auf dem RADIUS-Server, werden die zur Authentifizierung erforderlichen NT-LM Hashcoedes gegengeprüft. Mit CHAP/MS-CHAP als Authentifikationsverfahren wird eine verschlüsselte Passwortübetragung gewährleistet. Der RADIUS- Server wurde dahingehend modifiziert, NT-LM Hashcodes zu prüfen. 7) Ist der Benutzername und Passwort korrekt, so gelangt der Benutzer über einen Tunnel über eines der Gateways ins Internet. Der Benutzer selbst besitzt eine (private) IP-Adresse und ist somit nicht unmittelbar aus dem Internet erreichbar, kann jedoch alle Dienste im Internet nutzen. 8) Durch Einsatz des Round-Robin Verfahrens im Bereich der VPN-Gateways ist eine redundante Umgebung geschaffen. GWDG, G esellschaft für w issenschaftliche D atenverarbeitung G öttingen http://www.gwdg.de Ja Nein Ja MAC-Adresse ist eingetragen ? AccessPoint prüft MAC-Adresse des Clients durch RADIUS-Server Zugriff verweigert Client wird eingeschaltet Einwahl über PPTP zum Gateway Gateway prüft über RADIUS-Server Name/Password Name/Passwort ist O.K ? Zugang zum Internet möglich MAC-Adresse aus Liste der non-VPN Clients ? Ja Nein Nein Benutzer bekommt per DHCP eine Interne IP-Adresse Benutzer bekommt per DHCP eine feste Interne IP-Adresse Für Clients, die nicht VPN fähig sind (PDA,etc.) Zugang ausschließl ich für eingetragen e MAC- Adressen Spezielle Liste v. IP Adressen für non- VPN-fähige Clients RADIUS besitzt Liste mit NT-LM- Hashcodes Zugang durch PPTP Tunnel und NAT über das Gateway Aufbau des Göttinger FunkLAN GoeMobile: Gerätetyp und Hersteller Aufgrund einiger Tests haben wir uns für die Geräte von Lucent (Orinoco) entschieden. Es werden 100 Accesspoints in Göttingen eingesetzt. 70 AP-1000, mit jeweils zwei Antennenanschlüssen 30 AP-500, mit jeweils einem Antennenanschluß Antennen Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Reichweite bis hin zu 4 km Entfernung bei freier Sicht, erreicht. Überdies werden Rundstrahlantennen des Typs, 7 dbi, 10 dbi , abhängig von der Umgebung des Einsatzortes, eingesetzt. Zentrales Management Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage. Test der Funkabdeckungsqualität Ein spezielles Programm (Eigenentwicklung) ermöglicht die Nutzung eines GPS-Empfängers für die Erfassung der Funkabdeckungsqualität. Ortsinformationen des GPS und Verbindungsqualitätsdaten werden mit Zeitstempel in einer Tabelle festgehalten, die im Anschluss durch eine Datenbank ausgewertet werden kann. Dadurch ist eine qualitative, und vor allen Dingen rasche Aussage über die Funkausleuchtung möglich. Router IPSec
-
Upload
bathilda-heilbrunn -
Category
Documents
-
view
105 -
download
0
Transcript of BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz...
BMBF-Förderinitiative
“Einsatz und Nutzung drahtloser Kommunikation”
BMBF-Förderinitiative
“Einsatz und Nutzung drahtloser Kommunikation”
bmb+f
GoeMobile: FunkLAN für die Göttinger Wissenschaft
Scenario einer Anmeldung am Göttinger FunkLAN
1) Benutzer startet seinen Rechner. Dadurch baut er eine Verbindung zum nächstgelegenen Accesspoint auf.
2) Durch einen RADIUS-Server wird die MAC-Adresse der Funkkarte geprüft.3) Ist die MAC-Adresse in der Liste der Geräte auf dem RADIUS-Server eingetragen, die nicht VPN-fähig
sind (PDA, VoIP, etc.), so wird diesem Gerät eine Adresse aus einem speziellen DHCP-Adresspool zugeordnet und er gelangt damit ins Internet, ohne zusätzliche Authentifizierung.
4) Ist die MAC-Adresse gültig und nicht in der Liste der non-VPN-fähigen Geräte eingetragen, so bekommt der Client per DHCP eine (private network) IP-Adresse zugeteilt, sowie DNS und Gateway.
5) Zu diesem Zeitpunkt kann der Benutzer lediglich im "internen" Netz agieren. Ein Zugriff auf andere Netzresourcen (Internet) ist in diesem Stadium nicht möglich.
6) Eine VPN Verbindung (PPTP) vom Client zum Gateway wird nach Prüfung von Username/Password geschaltet. In einer speziellen Passwort-Liste auf dem RADIUS-Server, werden die zur Authentifizierung erforderlichen NT-LM Hashcoedes gegengeprüft. Mit CHAP/MS-CHAP als Authentifikationsverfahren wird eine verschlüsselte Passwortübetragung gewährleistet. Der RADIUS-Server wurde dahingehend modifiziert, NT-LM Hashcodes zu prüfen.
7) Ist der Benutzername und Passwort korrekt, so gelangt der Benutzer über einen Tunnel über eines der Gateways ins Internet. Der Benutzer selbst besitzt eine (private) IP-Adresse und ist somit nicht unmittelbar aus dem Internet erreichbar, kann jedoch alle Dienste im Internet nutzen.
8) Durch Einsatz des Round-Robin Verfahrens im Bereich der VPN-Gateways ist eine redundante Umgebung geschaffen.
GWDG, Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen
http://www.gwdg.de
Ja
Nein
Ja
MAC-Adresseist eingetragen ?
AccessPoint prüft MAC-Adresse des Clients
durch RADIUS-Server
Zugriff verweigert
Client wird eingeschaltet
Einwahl über PPTP zum Gateway
Gateway prüft über RADIUS-Server Name/Password
Name/Passwort ist O.K ?
Zugang zum Internet möglich
MAC-Adresse ausListe der non-VPN Clients ?
Ja
Nein
Nein
Benutzer bekommt per DHCP eine
Interne IP-Adresse
Benutzer bekommt per DHCP eine feste
Interne IP-Adresse
Für Clients, die nicht VPN fähig
sind(PDA,etc.)
Zugang ausschließlich für
eingetragene MAC-Adressen
Spezielle Liste v. IP Adressen für non-VPN-fähige
Clients
RADIUS besitzt Liste mit NT-LM-
Hashcodes
Zugang durch PPTP Tunnel und
NAT über das Gateway
Aufbau des Göttinger FunkLAN GoeMobile:
Gerätetyp und Hersteller
Aufgrund einiger Tests haben wir uns für die Geräte von Lucent (Orinoco) entschieden. Es werden 100 Accesspoints in Göttingen eingesetzt. 70 AP-1000, mit jeweils zwei Antennenanschlüssen30 AP-500, mit jeweils einem Antennenanschluß
Antennen
Durch den Einsatz leistungsfähiger Sektorantennen (12 dbi 120°) wird eine gute Abdeckung am Einsatzort, aber auch in größerer Reichweite bis hin zu 4 km Entfernung bei freier Sicht, erreicht.Überdies werden Rundstrahlantennen des Typs, 7 dbi, 10 dbi , abhängig von der Umgebung des Einsatzortes, eingesetzt.
Zentrales Management
Durch die zentrale Nutzung der Managementsoftware und die Integration in ein bestehendes Netzmanagementsystem (HP-Openview) kann auf etwaige Fehlersituationen schnell reagiert werden. Zusätzlich erlauben eigene Scripts, welche über SNMP direkten Zugriff auf die Accesspoints haben, die schnelle Zustandsabfrage.
Test der Funkabdeckungsqualität
Ein spezielles Programm (Eigenentwicklung) ermöglicht die Nutzung eines GPS-Empfängers für die Erfassung der Funkabdeckungsqualität. Ortsinformationen des GPS und Verbindungsqualitätsdaten werden mit Zeitstempel in einer Tabelle festgehalten, die im Anschluss durch eine Datenbank ausgewertet werden kann. Dadurch ist eine qualitative, und vor allen Dingen rasche Aussage über die Funkausleuchtung möglich.
Router
IPSecGebäude1
Client1
RADIUS2RADIUS1
Internet
Gateway
Client2
VLAN Struktur
Client3
Gebäude2
Gateway
durch GöttingenNT-LM Passwörter
MAC-Authentifizierung
Gebäude3
Router/NAT
1 2
Richtfu
nkstre
cke
PPTP, P2TP als Verschlüsselung über Funk. Später auch IPSEC
Struktur des Göttinger FunkLAN "GoeMobile"
Ablauf einer Anmeldung am Göttinger FunkLAN
Zentrale Standorte
