Status der Wireless-LAN Versorgung an der TU Wien

Der Aufbau der Wireless-LAN Infrastruktur in den Gebäuden der TU Wien begann Anfang des Jahres 2003. In einem ersten Schritt wurden vor allem öffentliche Bereiche und Hörsäle für die Versorgung mit Wireless-LAN ausgewählt und nach und nach auch ausgestattet. Es wurden auch die Internet-Räume versorgt, um den Studierenden neben den fixen Arbeitsplätzen und kabelgebundenen Notebook-Anschlüssen, auch über Wireless-LAN flexibles Arbeiten zu ermöglichen. Bei der Nutzung von Notebooks durch Studierende macht sich vor allem der Mangel an passenden Sitzgelegenheiten oder Arbeitsräumen einschränkend bemerkbar. Auch der Zugriff auf Steckdosen, um die Stromversorgung für die meist nur mit sehr beschränkter Akkulaufzeit ausgestatteten Notebooks sicher zu stellen, stellt einen Engpass dar.

Die zunehmende Verbreitung von Notebooks, die bereits standardmäßig mit Wireless-LAN Interfaces ausgestattet sind und daher die Anschaffung einer zusätzlichen Wireless-LAN Karte hinfällig machten, und der voranschreitende Ausbau der Versorgung führte zu einer raschen Zunahme der Nutzung dieses Services. In Abstimmung mit der Universitätsleitung wurde daher als Ziel die Errichtung einer flächendeckenden Versorgung aller Gebäude der TU Wien mit Wireless-LAN definiert. Derzeit wird das Service in Spitzenzeiten von durchschnittlich 100 Benutzern verwendet, wobei der Schwerpunkt bei den Studierenden liegt.

Die Errichtung einer flächendeckenden Versorgung bedingt, um in allen Räumen eine entsprechende Qualität der Funkversorgung sicher zu stellen, eine aufwendige exakte Vermessung der Platzierung der einzelnen Accesspoints. Damit ist aber auch die Errichtung von Datenverkabelung und eventuell Stromanschlüssen verbunden. Dies ist vor allem bei Generalsanierungen von Gebäuden leicht und kosteneffizient machbar und wurde bei der Generalsanierung der Gebäude Argentinierstraße 8 und Gußhausstraße 27-29 entsprechend berücksichtigt. Zusätzlich wurde auch das Gebäude Treitlstraße 3 flächendeckend versorgt. Die flächendeckende Versorgung für das Gebäude Operngasse 11 wird noch vor dem Sommer in Betrieb genommen werden. Schwerpunktmäßig werden weitere Ausbaumaßnahmen im Jahr 2005 das Hauptgebäude in Abstimmung mit Sanierungsmaßnahmen und das Gebäude Favoritenstraße 9-11 betreffen.

Eine aktuelle Aufstellung der versorgten Bereiche finden Sie unter: http://nic.tuwien.ac.at/tunet/wlan/versorgungsbereiche.html

Da es sich bei Wireless-LAN - bedingt durch die Nutzung von Funk für die Datenübertragung - um ein Medium mit sehr speziellen Eigenschaften handelt, ergibt sich die Notwendigkeit für spezielle Richtlinien und Zugriffsmethoden. Das Ziel ist es, einerseits einer vielfältigen Gruppe von Benutzern, Studenten und Mitarbeitern einen möglichst einfachen Zugang zur mobilen Datenkommunikation zu ermöglichen und andererseits definierte Sicherheitsstandards zu gewährleisten. Es mussten daher Lösungen gefunden werden, die möglichst wenig von der Verfügbarkeit von spezieller Hard- oder Software auf den Geräten der Benutzer abhängig sind.

Über die SSID "tunet" ist ein unverschlüsselter allgemeiner Zugang möglich. Dieser Bereich des Wireless-LAN ist über ein Gateway, auf dem auch die Validierung erfolgt, vom TUNET getrennt, siehe http://nic.tuwien.ac.at/tunet/wlan/mobilzugang.html. Da die Datenübertragung über die Funkschnittstelle in diesem Fall unverschlüsselt erfolgt, besteht prinzipiell die Gefahr des einfachen Abhörens der Kommunikation, und es obliegt dem Benutzer, sichere Protokolle wie ssh zu verwenden.

Um auch eine generell sichere Kommunikation zu unterstützen, ist mit den gleichen Zugangsdaten nach Installation eines VPN-Clients und nach Validierung auf dem Gateway der Aufbau eines verschlüsselten Tunnels zu einem Tunnelendpunkt im kabelgebundenen TUNET möglich. Damit erfolgt die Kommunikation über die Funkschnittstelle mit einer sicheren Verschlüsselung, siehe auch http://nic.tuwien.ac.at/tunet/vpn/vpn-mobil.html.

Mit dem Ausbau der flächendeckenden Versorgung musste eine Möglichkeit gefunden werden, den Mitarbeitern in den Institutsbereichen einen sicheren Zugang zu den lokalen Ressourcen wie den Servern des Instituts über Wireless-LAN zu ermöglichen. Hierfür wird die SSID "wlanipsec" bereitgestellt. Eine Datenübertragung über diese SSID ist nur nach Installation eines VPN-Clients und Aufbau eines VPN-Tunnels möglich. Damit wird eine sichere Verschlüsselung gewährleistet. Dem Mitarbeiter wird am Tunnelendpunkt im kabelgebundenen TUNET eine fixe personenbezogene IP-Adresse zugeordnet, auf Basis derer von der Seite der Institute der Zugriff auf lokale Ressourcen geregelt werden kann, siehe http://nic.tuwien.ac.at/tunet/vpn/vpn-wlanipsec.html.

Damit soll auch in Institutsbereichen mobiles Arbeiten unterstützt werden.

Beide Services - "tunet" und "wlanipsec" - stehen in allen mit Wireless-LAN versorgten Bereichen gleichberechtigt zur Verfügung.

Das Wireless-LAN wird nach den Standards 802.11b (11 MBit/s) und 802.11g (54 MBit/s) im 2,4 GHz Bereich betrieben. Eine Unterstützung des Standards 802.11a (54 MBit/s) im 5 GHz Bereich ist auch mittelfristig nicht vorgesehen, da wegen der schlechteren Ausbreitungsbedingungen im 5 GHz Bereich eine ca. 5-mal höhere Anzahl von Accesspoints gegenüber den Standards 802.11b und 802.11g im 2,4 GHz Bereich erforderlich wäre, um die gleiche Flächenabdeckung zu erreichen. Bei optimalen Bedingungen ist mit 802.11g mit 54 MBit/s brutto Durchsatz eine Datenübertragungsrate von ca. 20-25 MBit/s auf Applikationsebene, z.B. ftp-Filetransfer, zu erreichen. Auf dem Gateway zum TUNET wird für die SSID "tunet" die Bandbreite aber begrenzt, um übermäßige Nutzung durch einzelne Benutzer zu verhindern. Für die SSID "wlanipsec", Zugang für Mitarbeiter, ist derzeit kein Bandbreitenlimit aktiv.

Eine der speziellen Eigenschaften des Übertragungsmediums im Wireless-LAN ist es, dass die Ausbreitung grundsätzlich nicht kontrollierbar ist. Auch ist die Anzahl der zur Verfügung stehenden Kanäle eng begrenzt. Im 2,4 GHz Bereich stehen zwar grundsätzlich 13 Kanäle zur Verfügung, diese sind aber nicht überlappungsfrei. Für eine gleichzeitige Nutzung ohne gegenseitige Störungen stehen nur 3 Kanäle zur Verfügung. Wegen dieser speziellen Rahmenbedingungen für den Betrieb einer flächendeckenden Wireless-LAN Versorgung kann der Betrieb nur zentral koordiniert erfolgen.

Der Betrieb von Accesspoints durch Institute ist daher grundsätzlich nicht gestattet.

Sollte der Betrieb eines Accesspoints direkt durch ein Institut wegen spezieller im Einzelfall zu begründenden Erfordernisse unbedingt notwendig sein, so ist vor der Inbetriebnahme eine Absprache mit dem ZID, Abteilung Kommunikation, erforderlich. Es ist in diesem Fall auch - wie für alle am TUNET betriebenen Geräte - eine Anmeldung erforderlich, siehe http://nic.tuwien.ac.at/tunet/geraeteanmeldung.html.

Der Betrieb von nicht angemeldeten Accesspoints durch Institute stellt einen Verstoß gegen die Benutzungsrichtlinien http://nic.tuwien.ac.at/tunet/benutzungsregelung.html dar!

Es sind wiederholt Fälle aufgetreten, wo von Instituten Accesspoints betrieben wurden, die ohne jegliche Sicherheitsmaßnahmen einen völlig unkontrollierten Zugriff auf das kabelgebundene Netz ermöglichten. Die Verbreitung von kabelgebundenen Institutsnetzen über Wireless-LAN muss unter allen Umständen vermieden werden, da in solchen Fällen keine nachvollziehbare Kontrolle des Zugriffs auf das Datenübertragungsmedium gegeben ist.

Der Zentrale Informatikdienst ist bemüht, durch einen raschen Ausbau der Wireless-LAN Infrastruktur mobiles Arbeiten für Studenten und Mitarbeiter flexibel zu unterstützen. Sollte es in Ihrem Bereich einen dringenden Bedarf für Versorgung mit Wireless-LAN geben, ersuchen wir um Kontaktaufnahme.

Weitere Informationen: http://www.zid.tuwien.ac.at/kom/tunet/wlan/