• Modem-/ISDN-Einwahl
• Zugang aus einem externen Datennetz
  • Zugang aus DUKATH
• VPN-Authentifizierung
• Nutzungsszenario: Verbindung mit Serverlaufwerken herstellen

Ein Fakultätsmitarbeiter hat einen Dial-In-Account und kann sich damit per Modem/ISDN in das Datennetz der Fakultät einklinken um von hier aus auf Internetressourcen zuzugreifen. Er erhält eine IP-Adresse 141.3.7.x auf dieser Verbindung. Er hat damit auch den Schutz der Informatik-Firewall. Kostentechnisch ist diese Möglichkeit abhängig von woher sich ein Nutzer einwählt und die Dauer der Verbindung (Telefon: Orts-, -Ferngespräch).

Hat der „externe“ Nutzer über einen fremden ISP bereits einen Internezugriff, kann er eine Verbindung zum VPN-Server der ATIS (oder des RZ) aufbauen.

• Verbindung zum VPN-System des RZ bedeutet, er erhält eine IP-Adresse aus dem Bereich 129.13.x.y und hat damit Zugriff auf Universitätsressourcen, aber er kann keine speziellen Verbindungen (z.B. Laufwerkmapping) auf Ressourcen in der Fakultät herstellen.

• Verbindung zum VPN-System der ATIS bedeutet, er erhält eine feste IP-Adresse aus dem Bereich 141.3.6.y und hat damit Zugriff auf Universitätsressourcen und er kann speziellen Verbindungen (z.B. Laufwerkmapping) auf Ressourcen in der Fakultät herstellen. Für den Fall, dass eine Institutsfirewall vorhanden ist muss diese die Verbindungen aus diesem IP-Bereich zulassen (Anfrage an firewall ∂does-not-exist.atis uka de).

  • Bei der Verbindung über den VPN-Server der ATIS hat der Nutzer noch an seinem Rechner die Möglichkeit zu entscheiden, ob sein gesamter Internetverkehr über diese Verbindung geht, oder nur der auf die Fakultätsressourcen bezogene Datentransfer (Konfiguration der DFÜ-Verbindung). Die erstgenannte Möglichkeit hat den Vorteil, dass der Nutzer (bzw. sein Rechner) immer durch die Informatik-Firewall gegenüber Attacken geschützt ist.

Hat ein Nutzer mit seinem Rechner eine Verbindung zu einem Funkzugangspunkt der DUKATH-Datennetzinfrastruktur hergestellt, erhält er zunächst eine sog. private IP-Adresse (siehe www.isi.edu/in-notes/rfc1918.txt) mit der er aber noch keine Verbindung in das Internet aufbauen kann. Diese private IP-Adresse dient nur dazu, mit weiteren DUKATH-internen Systemen zu kommunizieren.

Hat der Nutzer einen DUKATH-Account (= RZ-VPN-Account) den man beim Microbit des RZ erhält (siehe www.microbit.uni-karlsruhe.de/ Links „Dokumentation“, „Accountverwaltung“), bestehen zwei Möglichkeiten:

• Startet er einfach seinen Webbrowser, wird er automatisch auf eine Webseite des RZ weitergeleitet, von der sowohl VPN-Software heruntergeladen werden kann, aber hier kann sich der Nutzer auch direkt authentifizieren und erhält damit „einfachen“ Webzugang (http/s). Dieser kann u.a. genutzt werden um webbasierte Mailsysteme zu nutzen (Webmail). Die Nutzung anderer Ressourcen mit anderen Protokollen (ftp, usw.) ist dagegen nicht möglich.

• Die Nutzung anderer Ressourcen mit anderen Protokollen erfordert die Installation einer VPN-Software und/oder die Konfiguration des Klientensystems, um ein bereitgestelltes VPN-Gateway als „Vermittlungssystem“ zu nutzen.

  • Beim RZ handelt es sich bei dem eingesetzten VPN-Gateway um einen sog. Cisco-Concentrator von der Fa. Cisco. Die zugehörige VPN-Software (Cisco-Client) kann von der oben angesprochenen RZ-Webseite heruntergeladen werden.

  • Hat der Nutzer einen ATIS-VPN-Account kann er alternativ den VPN-Server der Fakultät nutzen, der keine firmenspezifische VPN-Software erfordert, sondern durch die Konfiguration des Klientensystems unter Verwendung eines persönlichen Zertifikats genutzt werden kann. Dieses Zertifikat kann von der Uni-CA (Certification Authority) (LINK !) angefordert werden.

  • Die jeweiligen VPN-Server ordnen dann dem Nutzer, bzw. seinem Rechner eine öffentlich gültige IP-Adresse zu und ermöglichen so einen „vollwertigen“ Internetzugang.

Hat der Nutzer einen ATIS-VPN-Account wird der signierte öffentliche Schlüssel des Nutzers auf dem VPN-Server der Fakultät abgelegt (im Rahmen der Accounterstellung). Dieser wird bei einem Verbindungsaufbau mit dem vom Rechner des Nutzers vorgelegten Zertifikat abgeglichen. Daraufhin wird die IPsec-Verbindung aufgebaut und anschliessend kann sich der Nutzer mit seinen Anmeldedaten Username/Password authentifizieren (diese „weitere“ Authentifizierung ist derzeit technisch bedingt noch notwendig).

Die Anmeldung am VPN-Server erfordert wie bei der Modem-/ISDN-Einwahl „Username“ und „Password“. Um hier eine Vereinfachung zu erzielen, wurde ein LDAP-Server aufgesetzt, der sowohl die Authentifizierung der Dial-In-, als auch der VPN-Zugänge übernimmt. Damit ist es möglich die gleichen Zugangsdaten für den Dial-In- und den VPN-Zugang zu verwenden (lediglich für Callback (s.Modem-/ISDN-Einwahl) ist derzeit ein separater Benutzername erforderlich).

Ein typisches Nutzungsszenario ist der Fall, dass von ausserhalb auf Daten, die auf einem Serversystem innerhalb der Fakultät abgelegt sind, zugegriffen werden soll. Dazu wurden schon frühzeitig entsprechende Protokolle wie z.B. NFS (Unix) entwickelt.

Die entsprechenden Protokolle NFS (Unix) bzw. Port 135,136,137,139 (Windows) sind aber aufgrund der ansonsten massiven Sicherheitsrisiken auf der zentralen sowie den institutsbezogenen Firewall-Systemen abgeschaltet. Daher müssen gewisse Bedingungen erfüllt sein, um sich von extern ein Laufwerk eines Servers zu „mappen“, um auf die dort abgelegten Daten zuzugreifen.

• Der externe Nutzer hat einen Account für das ATIS-VPN- bzw. das Dial-In-System und das Institut ist innerhalb des Fakultätsdatennetzes nicht durch eine Instituts-Firewall abgeschottet. Dann reicht es aus eine VPN-Verbindung zu dem ATIS-VPN-System (z.B. über DSL), oder zum Dial-In-System (Modem, ISDN) herzustellen und anschliessend kann man dann wie gewohnt das sog. Laufwerkmapping herstellen.

• Ist das Institut bereits durch eine Instituts-Firewall gegenüber dem Backbone der Fakultät abgeschottet, muss entweder auf der Institutsfirewall der IP-Bereich des VPN-Servers freigeschaltet werden, womit die potentielle Angriffsfläche grösser wird, dann kann das Laufwerkmapping wie oben beschrieben erfolgen, wenn der Administrator auf den Institutssystemen Freigaben entsprechend für diesen IP-Bereich zulässt, oder es wird im Institut ein selbstverwaltetes SSH-System (SSH=Secure Shell) aufgesetzt. Dann kann sich ein externer Nutzer an diesem System authentisieren und kann damit eine Tunnelverbindung in das Institut herstellen. Über diese Tunnelverbindung kann dann eine Verbindung zu einem Serverlaufwerk hergestellt werden. Dies erfordert jedoch die Installation und Konfiguration eines SSH-Klienten auf dem Rechner des Nutzers. (Der Einsatz von SSH über ein selbstverwaltetes SSH-System ist generell für externe Nutzer ohne VPN-Account möglich.)

  SSH-Konfiguration um ein Windows-Laufwerkmapping über einen SSH-Tunnel durchzuführen siehe z.B. http://www.ece.osu.edu/computing/ssh_win.html Punkt "Tunneling SMB and Windows Shares through SSH".