WLAN:allgemeines

Aus Arktur
Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Accesspoints

Sicherheit

Wenn viele private Geräte sich anmelden können oder könnten (z.B. bei einer berufsbegleitenden Berufsschule), dann kann es sehr sinnvoll sein, für die WLAN-Seite einen eigenen Netz-Bereich vorzusehen und die Accesspoints über eine eigene Netzwerkkarte in Arktur einzubinden.

Wenn beispielsweise diese Netzwerkkarte auf 192.168.16.1 mit der Netzmaske 255.255.240.0 und der Broadcast-Adressse 192.168.31.255 eingestellt wird (CIDR-Maske: /20), dann können in diesem Teilnetz etwa 4000 Geräte versorgt werden.

Es ist sinnvoll, den Accesspoints feste IP-Adressen zu geben und den DHCP-Server (z.B. "dnsmasq") so einzustellen, dass die IP-Adressen für den WLAN-Bereich nur eine kurze Lebenszeit haben (z.B. 5 Stunden).

Quotierung

Wenn die Accesspoints in einem eigenen Netz laufen, dann ist die Quotierung recht einfach mit squish einzustellen.

Anmeldung

Fürs WLAN wird gern ein RADIUS-Server empfohlen. RADIUS-Betrieb (Kroemer)

Bei Arktur wird "freeradius" mitgeliefert, aber nicht schlüsselfertig installiert, weil die erforderliche Sicherheit einfacher über Domänenanmeldung (für die Netzwerkumgebung) und Squid-Anmeldung erledigt werden kann. Diese Sicherheits-Mechanismen schützen einerseits vor unbefugtem Zugriff und können (insbesondere im "squid"-Bereich) andererseits einfach für nutzerbezogene weitere Filter benutzt werden.

In etlichen Schulen muss der Systembetreuer damit rechnen, dass weit mehr als 200 private Geräte das schulische WLAN benutzen wollen; da würde die Betreuung der MAC-Adressen der privaten Geräte schnell zu einem Vollzeit-Job.

Die WLAN-APs müssen nur auf "Durchzug" gestellt sein, sodass jeder Anmelder direkt bis zum Server kommt, dort aber im Browser zunächst einmal seine Linux-Kennung eingeben muss für weitere Aktionen.

Inzwischen haben wir die APs doch auf Verschlüsselung umgestellt mit einem schulweit bekannten Schlüssel. Grund: Die Anmeldedaten könnten bei unverschlüsselter Verbindung zwischen Client und AP von einem Dritten mitgeschnitten werden. Bei Verschlüsselung der WLAN-Verbindung wird, selbst wenn einem Dritten der WLAN-Schlüssel bekannt ist, eine für ihn trotzdem nicht einsehbare individuelle Verschlüsselung für jede Verbindung zwischen Client und AP ausgehandelt.

Eimo Enninga, Mailingliste "schul-netz" 9.9.2011

was macht ein RADIUS-Server

(Versuch einer Veranschaulichung) Das Zusammenwirken oder Nebeneinanderherlaufen von Server-Anmeldung per User-Account und Anmeldung am RADIUS-Server ist (so einigermassen) vergleichbar mit der Aufsicht bei einer Firma, die einerseits Firmenausweise an die Firmenmitglieder austeilt und andererseits Firmen-Parkplätze verwaltet. Der RADIUS-Server verwaltet dann die Parkausweise, die an ein bestimmtes Kfz-Kennzeichen gebunden sind.