Direkt zum Inhalt
 
 
Die Bannergrafik des HRZ
 
  Startseite  
 
Sie sind hier:» Universität » HRZ » Infrastruktur » Hochschulnetz UMRnet » Zugang zum Netz » WLAN-Zugang » Betriebskonzept
  • Print this page
  • Sitemap
  • create PDF file

Betriebskonzept

Der Aufbau einer sicheren WLAN-Infrastruktur bedarf besonderer Vorkehrungen, da Funkverkehr grundsätzlich abgehört werden kann. Das ausgewählte Betriebskonzept soll diese Sicherheit gewährleisten: Nur berechtigte Nutzer sollen Zugang erhalten, der Datenverkehr darf nicht abgehört werden können und insb. dürfen Username/Passwort nicht im Klartext übertragen werden. Die erforderlichen Komponenten sind im folgenden Bild dargestellt und werden anschließend näher erläutert.

802.1x Schema im UMRnet

 

Die Authentisierung für einen Netzzugang gemäß IEEE Standard 802.1X basiert auf einem allgemeinen, dreigeteilten Modell:

  • der sogenannte Supplicant (Supplikant, lat. für Bittsteller), der den Zugang verlangt,
  • der Authenticator, der den Zugang gewährt und
  • der Authentication Server, der die Berechtigung überprüft.

Die Kommunikation zwischen dem Supplikanten, d.h. dem Betriebssystem bzw. der Client-Software, und dem Authentisierungs-Server, einem Radius-Server, basiert auf einem der beiden dem Authentisierungs-Protokolle EAP-TTLS oder PEAP; dabei werden Username und Passwort verschlüsselt übertragen. Hierfür muss der Nutzer einmal das Wurzelzertifikat der DFN-Zertifizierungsinstanz in das Betriebssystem seines Laptops laden. Je nach Medium kommen unterschiedliche Transportprotokolle zum Einsatz (EAPOL: Extensible Authentication Protocol over LAN; EAP over RADIUS: Remote Authentication Dial-In User Service). Da der Radius-Server selbst keine Benutzerinformationen vorhält, wird je nach Anfrage die User-Datenbank des HRZ (LDAP- oder Windows-Server) oder ein anderer Radius-Server, der am DFNRoaming/eduroam teilnimmt, befragt. Nach erfolgreicher Authentisierung gewährt der Access Point den uneingeschränkten Zugang zum UMRnet.

Zur Sicherung der Funkstrecke zwischen Laptop und Access-Point kommt eine Weiterentwicklung der WEP-Verschlüsselung gemäß WPA zum Einsatz. Unterschiedliche Nutzer erhalten auf diese Weise unterschiedliche Schlüssel, die von Zeit zu Zeit neu ausgehandelt werden; statische Schlüssel brauchen nicht konfiguriert zu werden.

Eine Funkzelle, die von einem Access Point gebildet wird, kann mehrere Clients gleichzeitig bedienen; dabei teilen sich die Clients die zur Verfügung stehende Bandbreite (shared medium, ähnlich einem Ethernet-Koaxial-Kabelstrang). Verlässt ein Client eine Funkzelle, kann er von einer eventuell vorhandenen Nachbarfunkzelle unterbrechungsfrei übernommen werden (Roaming).

Zuletzt aktualisiert: 09.06.2010 · Jutta Weisel

 
 
 
Hochschulrechenzentrum

Hochschulrechenzentrum, Hans-Meerwein-Straße, 35032 Marburg
Tel. +49 6421 28-28282, Fax +49 6421 28-26994, E-Mail: helpdesk@hrz.uni-marburg.de

Twitter-Logo

URL dieser Seite: https://www.uni-marburg.de/hrz/infrastruktur/umrnet/zugang/wlan/konzept

Impressum | Datenschutz