Notebook-Zugang

Software-Download

• VPN-Software (bis Windows NT)

Installation

• Windows XP
• Windows 2000
• Linux

• Probleme?

Notebook-Zugang im Department Informatik

Um Mitarbeitern und Studierenden die Möglichkeit zu bieten, auch ihre privaten Notebooks/Rechner auf dem Stellinger Campus für Projekte im Rahmen ihres Studiums an das Departments-Datennetz anbinden zu können, wird derzeit ein entsprechendes Zugangsnetz aufgebaut, welches sowohl aus Wireless-Access-Points als auch aus Festnetz-Anschlussplätzen bestehen wird.

Die derzeit aktuell vorhandene Infrastruktur kann von allen Studierenden und Mitarbeitern mit einer gültigen Benutzerkennung des Rechenzentrums genutzt werden. Bitte beachten Sie, dass die von Ihnen im Antrag auf Erteilung einer Benutzungserlaubnis akzeptierten Benutzungsbestimmungen ausdrücklich auch im öffentlichen Zugangsnetz ihre Gültigkeit behalten!

Technische Voraussetzung:

Auf Ihrem Notebook haben Sie entweder eine Ethernet-Karte (z. B. PCMCIA) oder eine WLAN-Karte mit zugehöriger Software schon installiert.

Bei Nutzung einer Funkkarte muss diese 128 Bit RC4-Verschlüsselung unterstützen. Das Funknetz des Departments verwendet diese Verschlüsselung mit expliziten Parametern (das Netz wird bei Scanversuchen der WLAN-Kartentreiber nicht automatisch gefunden), um bei der WLAN-Anmeldung Verwechselungen mit benachbarten Notebooks oder von Arbeitsbereichen lokal betriebenen Access-Points zu vermeiden.

Die notwendigen Parameter für den Wireless-Zugang lauten:

ESSID: "UNIHH_FB18"
WEP-Verschlüsselung: 128 Bit
WEP-Key1: ASCII: "FBIStellingen" / Hex: "4642495374656c6c696e67656e"

Beachten Sie, dass die Angaben case-sensitiv sind!
(Bei einigen Installationsabläufen findet man anstelle der Bezeichnung ESSID auch die Bezeichnung Netzwerkname sowie für WEP-Key den deutschen Begriff Schlüssel.)

An ausgewiesenen (blau markierten) TP-Anschlussdosen des Informatik-Festnetzes (z.B. Raum D202) besteht weiterhin die Möglichkeit, Notebooks direkt über Twisted-Pair-Ethernet Schnittstellen zu nutzen.

Hinweise für die IP-Konfiguration

Sie erhalten die aktuellen IP-Parameter automatisch durch einen DHCP-Server zugewiesen. Es ist daher notwendig, dass Sie Ihren Rechner auf dynamische IP-Adressvergabe via DHCP konfigurieren.

Eine erfolgreiche Einbindung ihres Notebooks erkennen Sie an der Zuweisung einer Adresse aus dem IP-Bereich 134.100.14.0 !

Bemerkungen zu Sicherheitsaspekten im Zugangsnetz

Die Einbindung erfolgt zunächst in einem privaten Netz und wird nach Überprüfung einer gültigen Benutzerkennung über eine Firewall oder einen VPN-Tunnel in das Departments-Netz geschaltet. Es muss ausdrücklich darauf hingewiesen werden, dass der Betrieb im öffentlichen Netz (IP-Bereich 134.100.14.0), insbesondere im Wireless-Bereich, bekanntermaßen hohe Sicherheitsrisiken für die dort genutzten Notebooks birgt. Um sowohl einen Schutz gegen das Abhören der übertragenen Daten als auch gegen gezielte Angriffe aus dem Zugangsnetz auf den eigenen Rechner sicherstellen zu können, sind unbedingt entsprechende Maßnahmen durch den Benutzer selbst vorzunehmen!

Es wird daher dringend empfohlen, eine persönliche Firewall mit möglichst restriktiven Einstellungen auf dem Notebook zu nutzen!

Mögliche Anmeldeverfahren für den Departments-/ Internet-Zugang

Die Informatik bietet zwei Zugangsmöglichkeiten zum Departments-Netz bzw. Internet. Einmal einen Zugang via SSH-Client für die wichtigsten Internet-Dienste, zum zweiten einen VPN-Zugang, welcher zusätzliche, nicht allgemein benötigte Dienste anbietet. Beide Zugänge erfordern eine entsprechende Benutzer-Authentisierung. Notwendige SSH-/VPN-Client-Software können Sie bei Bedarf direkt von https://rzpc1/Software herunterladen.

Gültig sind sowhohl Benutzerkennungen des Departments Informatik (z.B. 1meyerlein) als auch Benutzerkennungen des RRZ (z.B. in5a007). Bei der Nutzung der RRZ-Kennung im Department Informatik muss bei der Anmeldung der Suffix “@uhh” angegeben werden, z.B. in5a007@uhh.

1. SSH-Anmeldung an Firewall:

Über einen entsprechenden SSH-Client (z.B. Putty, SSH-Client) muss eine SSH-Kontrollverbindung zur Firewall publicgw.informatik.uni-hamburg.de (134.100.14.250) unter Angabe ihrer Rechenzentrums-Benutzerkennung aufgebaut werden. Diese SSH-Verbindung dient als Kontrollverbindung und muss während der ganzen Sitzungsdauer aufrecht erhalten bleiben, da nach Beendigung dieser Kontrollverbindung die IP-Adresse sofort wieder in der Firewall gesperrt wird!

Während einer aktiven Kontroll-Sitzung können dann folgende Dienste genutzt werden:

• http/https-Zugang,
• SSH-Zugang,
• SCP/SFTP-Anwendungen,
• POP3s / IMAPs
• SMTP über mailhost
• FTP-Anwendungen mit Zielen außerhalb des Universitätsnetzes
• Druckerdienst auf ausgewählten Druckern (zur Zeit: d105_hp, d116_hp)
• Unix/Linux: d105_hp@publicgw und d116_hp@publicgw
• Windows: Arbeitsgruppe Public, Printserver publicgw (\\publicgw\d105_hp bzw. \\publicgw\d116_hp)

2. VPN-Verbindung zum zentralen VPN-Server der Informatik:

Es kann auch ein VPN-Tunnel mit IPSec- (nur für Microsoft-Welt) bzw. PPTP-Verschlüsselung (MS-Windows, Linux, MacOS) mit einem entsprechendem VPN-Client zum Departments-VPN-Server fbivpn.informatik.uni-hamburg.de (134.100.5.65) aufgebaut werden (siehe die detaillierten Beschreibungen für Windows XP, Windows 2000 und Linux).

Während einer aktiven VPN-Verbindung ist das Notebook dann virtuell in das Departments-Datennetz eingebunden (es wird eine Adresse aus dem Bereich 134.100.4.0 zugewiesen). Gegenüber der SSH-Lösung können dann folgende zusätzliche Dienste genutzt werden:

• Zugriff auf Datei-Server des Rechenzentrums und der Arbeitsbereiche,
• Zugriff auf Print-Server des Rechenzentrums (linuxprint) und damit auf alle dort verfügbaren Drucker,
• Zugriff auf Applikations-Server, welche spezielle Ports bzw. Protokolle nutzen (z.B. MAPI)

Ausführliche Erläuterung der Anmeldeverfahren

Der Aufbau des Informatik-Zugangsnetzes erfolgt in enger Zusammenarbeit mit dem Regionalen Rechenzentrum der Universität (RRZ). Dort wird derzeit ein universitätsweites Konzept mit dem Ziel erarbeitet, allen Studierenden der Universität Hamburg die Möglichkeit zur Nutzung ihrer privaten Notebooks zu bieten und dies möglichst an allen Standorten der Universität. Neben der breiten Unterstützung von Clients (Mac-OS, Microsoft, Linux) müssen insbesondere auch der administrative Aufwand durch dezentrale Benutzer-Verwaltungen in den Departments und der Gesichtspunkt der Finanzierbarkeit (z.B. keine spezielle Hardware-VPN-Lösung möglich) in diesem Konzept berücksichtigt werden.

Daher wird für ein universitätsweites Basiskonzept in einer ersten Ausbaustufe eine auf Open-Source-Produkten basierende Lösung realisiert.

Einbindung über SSH-Client-Anmeldung

Für die Benutzer-Authentisierung wird dabei auf SSH-Clients auf den Notebooks und eine zentrale Kombination aus SSH-Server und dynamischer Firewall als zentraler Zugangspunkt gesetzt. Dieser Ansatz ergibt sich schon aus der Tatsache, dass derzeit nur für SSH kostenfreie Implementierungen für praktisch alle Betriebssystem-Plattformen verfügbar sind.

Der Ablauf des SSH-Ansatzes soll hier zum besseren Verständnis kurz erläutert werden:

• Nach Verbindungsaufbau mit einem Access-Point bzw. Anschluss an eine der öffentlichen Festnetz-TP-Dosen wird das Notebook über einen DHCP-Server automatisch mit einer entsprechenden IP-Adresse sowie Informationen über Gateway und DNS-Server versorgt. Da hierbei noch keine Authentisierung erfolgt, befindet sich der Anschluss dann allerdings zunächst nur in einem privaten, abgeschotteten Netz.

• Für den Zugang zum Internet ist anschließend noch folgender Ablauf notwendig:

1. Wenn nicht bereits vorhanden, muss eine entsprechende SSH-Software installiert werden (z.B. https://rzpc1/Software).

   Es öffnet sich dabei ein Fenster, das etwa so aussieht (unter Windows) und Ihre Benutzerkennung und Passwort in der Domäne "INFORMATIK" abfragt:

   

   Falls Ihr Rechner eine Netzwerk-Anmeldung ohne Domäne-Abfrage anzeigen sollte, ist dem Benutzernamen die Domäne "INFORMATIK" voranzustellen:

   

2. Mittels einer SSH-Anmeldung an der Firewall des Zugangsnetzes wird die IP-Adresse des Rechners in der Firewall für den Internet-Zugang freigeschaltet.

Zusätzliche Dienste über L2TP/IPSec- oder PPTP-VPN-Verbindung

Aus bekannten Sicherheitsgründen können insbesondere die Microsoft-Datei/Druckdienste nicht allgemein über die Firewall freigegeben werden. Da für diese Dienste/Protokolle keine auf Applikationsebene (mit SSL) verschlüsselte Ersatzlösungen gibt, andererseits aber ein entsprechender Nutzungsbedarf gesehen wird, stellt das Informatik-Rechenzentrum bis zur Implementierung einer universitätsweiten Lösung vorübergehend einen Zugang zu einem VPN-Server fbivpn.informatik.uni-hamburg.de (134.100.5.65) bereit.

Technisch handelt es sich um eine Microsoft VPN-Lösung, welche mit dem unter Windows ( ab Windows 2000 ) im Betriebssystem enthaltenen VPN-Client genutzt werden kann.

---

WLAN Stand April 2007: Haus D, Haus F, Haus C, Haus R, Haus B (Bib., Hörsaal)