• Zugangsmöglichkeiten von aussen
• Warum unterschiedliche Zugangsmöglichkeiten von aussen ?
  • Modem- und ISDN-Einwahl
  • Modem- und ISDN-Einwahl an der Universität und der Fakultät
  • VPN-Zugänge
  • VPN-Zugänge an der Universität und der Fakultät
  • Institutseigene Zugänge (in das Datennetz eines Instituts der Fakultät)

Den Fakultätsmitarbeitern stehen insgesamt betrachtet inzwischen folgende Zugangsmöglichkeiten zur Verfügung:

• RZ-Zugänge (in das Universitätsdatennetz):
  • Einwahl per Modem/ISDN auf 0721/38340

     

  • VPN-Zugang über einen Cisco-VPN-Concentrator.
    (VPN = Virtual Private Network)

   

• ATIS-Zugänge (in das Datennetz der Fakultät für Informatik):
  • Einwahl per Modem/ISDN auf 0721/608-1051
    • Auch mit Rückruf-Option

     

  • VPN-Zugang über einen Open-Source-VPN-Server

     

  • Mittelfristig: VPN-Zugang über einen institutsbezogenen VPN-Server

   

• Institutseigene Zugänge (in das Datennetz eines Instituts der Fakultät):
  • SSH-Server
    (SSH = Secure Shell)

Sowohl der VPN-Zugang über das RZ als auch über die ATIS steht für Verbindungen aus dem DUKATH-Datennetz (siehe www.atis.uka.de/netzwerk/dukath/index.html) zur Verfügung.

Als Nutzer wird im folgenden eine Person bezeichnet die eine Zugangsmöglichkeit von aussen in ein Datennetz benutzt, bzw. benutzen möchte, um auf IT-Ressourcen zuzugreifen.

Die Einwahlpunkt des RZ liegen ausserhalb des Fakultätsdatennetzes und damit ausserhalb der Informatik-Firewall. Über die Datennetz-Zugänge des Rechenzentrums reduziert sich der Kreis der Nutzer auf Mitarbeiter und Studenten der Universität. Über die Zugänge der ATIS reduziert sich die Zahl der Nutzer die „freien“ Zugriff auf Fakultätsressourcen haben nochmals auf die Mitarbeiter der Fakultät und Studenten die in Instituten beschäftigt sind.

In beiden Fällen sind die Nutzer über das entsprechende Antragsverfahren bekannt.

Durch die Bereitstellung von Datennetzzugängen durch die ATIS kann der Zugriff von ausserhalb der Fakultät - auch aus dem Universitätsnetz – Mitarbeiter, Studenten anderer Fakultäten - über die Fakultätsfirewall auf die notwendigen Ressourcen (Webserver, FTP-Server, usw.) beschränkt werden. Umgekehrt kann ein Administrator eines Instituts innerhalb der Fakultät Zugriffe aus den jeweils fest definierten IP-Bereichen auf „seine“ Institutsressourcen zulassen und dabei sicher sein, dass es sich um Nutzer aus der Fakultät handelt.

• Modem- und ISDN-Einwahl

  Grundsätzlich ist der im Heimbereich arbeitende Nutzer, oder ein Nutzer der unterwegs ist und sich somit nicht direkt in einem Datennetz befindet das in das Internet integriert ist, zunächst darauf angewiesen sich mit Telefontechnologien wie Modem und ISDN bzw. auch x-DSL (Digital Subscriber Line) in ein solches Datennetz einzubinden.

  Hierbei wird eine „schmalbandige“ Telefon-Verbindung (Modem/ISDN), oder eine „breitbandigere“ DSL-Verbindung zu einem Dienstleister (ISP = Internet Service Provider, z.B. Telekom) aufgebaut, dessen Dienstleistung darin besteht, den Nutzer in sein Datennetz „aufzunehmen“. Dieses Provider-Datennetz ist dann wiederum in das Internet integriert und bietet dem Nutzer somit die Möglichkeit auf Internetressourcen zuzugreifen.

  Zu beachten ist, dass für die Dauer der Verbindung immer Telefongebühren entstehen, ausser es wurde ein spezieller Vertrag mit dem ISP abgeschlossen (z.B. DSL mit flat rate). Ferner erhält man eine IP aus dem Netzbereich des Providers, welche i.d.R. dynamisch zugewiesen wird.

• Modem- und ISDN-Einwahl an der Universität und der Fakultät

  Damit wird die oben dargestellte (schmalbandige) ISP-Funktionalität für Universitäts- bzw. Fakultätsmitarbeiter bereitgestellt und bietet dann die Möglichkeit aus dem Datennetz der Universität auf Ressourcen ausserhalb, aber natürlich auch innerhalb der Universität zuzugreifen.

  Unterschied bzgl. der Einwahl über das Rechenzentrum bzw. die ATIS liegt darin, dass bei der Einwahl über den ATIS-Zugang dem Nutzer eine gleichbleibende feste IP-Adresse aus dem Fakultätsnetz zugewiesen wird, während bei der Einwahl über den RZ-Zugang IP-Adressen aus einem Poolbereich und somit für einen Nutzer wechselnde IP-Adressen vergeben werden.

  Die Zuordnung einer festen IP-Adressen ist u.a. natürlich ein „Massenproblem“. Das RZ stellt für zwölf Fakultäten diese Möglichkeit bereit und müsste dementsprechend wesentlich grössere IP-Bereiche für eine feste Zuordnung von IP-Adressen reservieren.

  Vorteile einer festen IP-Adressenzuordnung:

  • Die Verfolgung von Problemen gestaltet sich einfacher.
  • Die Freigabe von Institutsressourcen für externe Nutzer kann auf die einzelnen personenbezogenen IP-Adressen eingeschränkt werden.

  Zugangsmodalitäten, Anträge, Support des ATIS-Zugangs siehe Zugang in das Datennetz der Fakultät

• VPN-Zugänge

  Hiermit wird die Fragestellung adressiert wie z.B. ein externer Nutzer (z.B. Mitarbeiter der Fakultät), der bereits eine Datennetzverbindung zum Internet über „seinen“ ISP hergestellt hat, diese Verbindung auch für den Zugriff auf Ressourcen der Fakultät nutzen kann, ohne erst die Verbindung zu seinem ISP abzubauen um sich anschliessend über Modem/ISDN in das Datennetz der Universität bzw. der Fakultät wieder einwählen zu müssen.

  Gerade mit der DSL-Technologie ist diese Fragestellung verstärkt in den Vordergrund gerückt, da über die DSL-Anbindung dem Nutzer durch den ISP zum einen eine höhere Bandbreite bereitgestellt wird und Nutzer zum anderen inzwischen auch häufig eine sog. „flat rate“ beim ISP haben, wodurch der Zugang ohne Erhebung von gesonderten Telefongebühren bezogen auf die Dauer der Verbindung, möglich ist. Diese Nutzer sind also über DSL in das Datennetz „ihres“ ISP eingebunden um auf Internetressourcen zuzugreifen und wollen natürlich dann über diese Anbindungen auch den Zugriff in das Datennetz der Fakultät nutzen.

  (Direkte DSL-Einwahl kann aufgrund der dafür benötigten technischen Voraussetzungen im Universitätsbereich nicht bereitgestellt werden, da dann auch die Telefonleitungen bis zum Nutzer technisch betreut und konfiguriert werden müssten!)

  Andererseits entsteht ein immer höherer Anspruch die internen Datennetze (z.B. der Fakultät) gegen das Internet möglichst weitgehend abzuschotten, aber ohne die Nutzung allzu sehr einzuschränken. D.h. sich z.B. durch den Einsatz von Firewallsystemen gegenüber unbekannten Nutzern die über einen ISP Internetzugang haben, abzusichern, um missbräuchliche Nutzung der Ressourcen zu vermeiden. Dies bedeutet, dass Verbindungen von IP-Adressen aus externen Datennetzen nicht „ohne weiteres“ zugelassen werden sollen, bzw. nur auf spezielle (öffentliche) Ressourcen wie z.B. Web- oder FTP-Server.

  Der daraus resultierenden Forderung:

  • Wie unterscheidet man über einen fremden ISP angebundene, externe Nutzer in bekannt und unbekannt, um dennoch Abschottungsverfahren gegenüber den unbekannten Nutzern einsetzen zu können?

     

  trägt die VPN-Technologie Rechnung, indem ein VPN-Server bereitgestellt wird, an dem sich externe Nutzer authentifizieren müssen und anschliessend zwischen dem System des Nutzers und diesem VPN-Server eine durchgängig verschlüsselte Verbindung - ein virtuelles Netzwerkkabel - hergestellt wird. Damit ist der externe Nutzer mit seinem Rechner schliesslich virtuell wie ein lokaler Rechner in das Datennetz integriert.

  Der VPN-Zugang setzt also voraus, dass der externe Nutzer mit seinem Rechner in „irgendein“, ausserhalb des Datennetzes der Fakultät, liegendes Datennetz bereits eingebunden ist, z.B. dem Datennetz seines ISP.

   

  Technologisch werden die VPN-Verbindungen immer als sog. „Tunnelverbindungen“ realisiert, d.h. die Daten die über eine VPN-Verbindung transferiert werden, werden innerhalb eines solchen Tunnels übertragen. Es gibt nun wiederum verschiedene Technologien um solche VPN-Verbindungen herzustellen. Für die VPN-Zugänge der Universität werden Technologien eingesetzt die auf OSI-Schicht 2 und 3 angesiedelt sind – VPN-Verbindung mit IPsec- oder SSH-Tunnel (SSH = Secure SHell). Varianten die auf Applikationsebene angesiedelt sind, SSL-Tunnel, werden hier nicht näher betrachtet. Abhängig von der eingesetzten VPN-Technologie ist ein solcher Tunnel unterschiedlich aufgebaut und erfordert unterschiedliche Software.

  Anmerkung: IPSec ist ein Layer-3-Tunneling-Protokoll, das für IPv4 definiert wurde und fester Bestandteil von IPv6 ist. IPSec ist ein Rahmenwerk verschiedener Normen (RFC 1825-1829, bzw. 2401-2412) das festlegt, mit welchen Ergänzungen das Internet Protokoll die Integrität und die Vertraulichkeit der Daten sowie die Authentizität der Teilnehmer garantieren kann.

• VPN-Zugänge an der Universität und der Fakultät

  Sowohl das Rechenzentrum als auch die ATIS setzen Varianten ein die auf IPsec basieren. VPN-Verbindungen unter Einsatz von SSH-Tunnel sind Möglichkeiten die Institute selbst bereitstellen können, um Mitarbeitern und Studenten Zugang in das Institutsnetz zu ermöglichen. Diese Möglichkeit ist aber weniger komfortabel (siehe unten).

  Unterschiede bzgl. des VPN-Zugangs über die Universität/RZ bzw. die Fakultät:

  • Beim ATIS-Zugang wird dem Nutzer wiederum wie bei der Modem/ISDN-Einwahl eine gleichbleibende feste IP-Adresse zugewiesen, während beim Zugang über das Rechenzentrum IP-Adressen wiederum aus einem Poolbereich und somit für einen Nutzer wechselnde IP-Adressen vergeben werden.

     

    Die Vorteile einer festen IP-Adressenzuordnung wurden oben bei der Modem-/ISDN-Einwahl bereits dargestellt.

  • Das Rechenzentrum setzt einen VPN-Konzentrator der Fa. Cisco ein. Für die Herstellung einer VPN-Verbindung muss hier eine spezielle Cisco-Software verwendet werden, diese wird allerdings zum freien Herunterladen auf Webseiten des Rechenzentrums bereitgestellt (......). Diese Variante erfordert keine Nutzerzertifikate, da die Produkte (Concentrator und Clientsoftware) vom gleichen Hersteller kommen und entsprechend aneinander angepasst sind.

     

  • Die ATIS-Lösung basiert dagegegen auf dem Open Source Produkt OpenS/Wan und wurde so aufgesetzt, dass mit nutzerbezogenen, signierten Zertifikaten gearbeitet wird welche die Nutzer über die CA (Certification Authority), einem Teil der PKI (Public Key Infrastructure; siehe www.pki-page.org/, www.dfn-cert.de/infoserv/dib/dib-9407.html) des Rechenzentrums erhalten können.

     

    Vorteil ist hierbei, dass standardisierte allgemeingültige Verfahren zur Anwendung kommen, was sich u.a darin widerspiegelt, dass auf dem Rechner des Nutzers dieses Zertifikat importiert und dann mit „Bordmittel“, d.h. ohne proprietäre Zusatzsoftware, eine VPN-Verbindung konfiguriert werden kann. Gleichzeitig kann das Zertifikat auch für andere Dienste (z.B. Signierung von E-Mails) genutzt werden.

  • Bei der RZ-Lösung besteht keinerlei Konfigurationsmöglichkeit bzgl. des Datentransfers, bei der ATIS-Lösung kann noch vom Nutzer entschieden werden, ob der gesamte Datentransfer (auch zu anderen Weblokationen) über den Fakultäts-VPN-Server geht, oder nur der Datentransfer mit Ressourcen der Fakultät.

     

  Zugangsmodalitäten, Anträge, Support des ATIS-Zugangs siehe Zugang in das Datennetz der Fakultät

  Mittelfristig ist geplant IPsec-basierte VPN-Server in jedes durch eine Institutsfirewall abgesicherte Institutsdatennetz zu integrieren und damit den sicheren VPN-Zugang sowohl für Mitarbeiter als auch Studenten direkt in das Institutsdatennetz zu ermöglichen und für diese Verbindungen IP-Adressen aus dem Institutsbereich zu vergeben. Damit wird dann erreicht, dass keinerlei Sonderbehandlung von externen Nutzern (bzw. deren IP-Adressen) notwendig ist, um den Zugriff auf Institutsressourcen zu ermöglichen. Es muss z.B. für Freigaben nicht zusätzlich zu dem IP-Bereich des Instituts noch der IP-Bereich des zentralen VPN-Servers berücksichtigt werden.

  Hier sind aber noch einige Fragen bzgl. der Plazierung und Administration der VPN-Server zu klären.

• Institutseigene Zugänge (in das Datennetz eines Instituts der Fakultät)

  In vielen Fällen stellt sich das Problem, externen Nutzern, z.B. Studenten (z.B. Studienarbeitern, Diplomanden) eines Instituts die Möglichkeit zu geben Laufwerkverbindungen auf Fileserver innerhalb des Instituts herzustellen. Die hierfür benötigten Ports auf Datennetzebene sind jedoch an der Firewall der Fakultät gesperrt, da über diese Ports in der Vergangenheit sehr viele missbräuchliche Aktivitäten erfolgten, z.B. massenweiser Versand von sog. „Pop-Up-Meldungen“. Sollen nun Studenten eine solche Laufwerkverbindung auf Fileserver eines Instituts herstellen können, benötigen sie „durch“ die Informatik- und evtl. die Instituts-Firewall eine VPN-Verbindung bis in das Institut.

  Dazu kann im Institut ein SSH-Server aufgesetzt werden an dem sich die Nutzer authentifizieren. Zu diesem SSH-Server wird eine SSH-Tunnelverbindung hergestellt und in der Konfiguration der SSH-Software beim Nutzer eine Tunnelkonfiguration für das Zielsystem erstellt. SSH verwendet einen (!) standardisierten Port (22) der durch die Firewalls standardmässig freigeschaltet ist.

  Die Administration der Nutzerzugänge liegt dann im Institut.