Veilig draadloos leren en administreren

Wifi-netwerk internationale hogeschool Nhtv ondersteunt zesduizend gebruikers

Bij Nhtv internationale hogeschool te Breda hebben sinds deze zomer zesduizend studenten en medewerkers toegang tot een grootschalig en ultramodern lokaal draadloos netwerk. Een uitgekiende beveiligingsimplementatie geeft alleen geauthoriseerde gebruikers toegang tot het netwerk waarbij men tevens bepaalde netwerkrechten krijgt toegewezen. Het beheer vindt volledig gecentraliseerd plaats.

De aanleiding voor de aanleg van dit draadloze netwerk was de vraag vanuit de opleidingen om meer flexibiliteit in onderwijs en werkomgeving te creëren. De opzet daarbij was, om onafhankelijk van notebook en Windows-versie gebruik te kunnen maken van diverse faciliteiten. Het basisidee daarbij is om op een veilige manier via het draadloze netwerk gebruik te kunnen maken van internet en de diverse onderwijs- en groepssystemen.

Homogene infrastructuur

De hogeschool kent vijf locaties die onderling via glasvezels met elkaar verbonden zijn. Door de hoge bandbreedte van de glasvezelkoppelingen kan het totale bekabelde netwerk beschouwd worden als één lokaal netwerk. De diverse gebouwen op de locaties bestaan uit meerdere etages met een volledige draadloze dekking. Op elke etage heeft iedereen dezelfde netwerkmogelijkheden. Het totale draadloze en bekabelde netwerk vormt één homogene infrastructuur.
Eén van de unieke kenmerken daarbij is, dat virtuele netwerken (vlan's) volledig transparant beschikbaar zijn door de gehele infrastructuur. De gebruikers zijn onderverdeeld in groepen en worden automatisch bij het aanloggen in hun eigen vlan geplaatst. Afhankelijk daarvan kan men bepaalde systemen en randapparatuur benaderen. Vanuit elk vlan is tevens internet bereikbaar.
Om het beheer en de ondersteuning voor een dergelijke omgeving in de hand te houden is een speciale voorziening aangebracht. Gebruikers die zich voor het eerst aanmelden worden naar een apart vlan geleid. Zij hebben hier de mogelijkheid om hun notebook te voorzien van de nodige software and patches. Zodra hun werkstation voldoet aan de gestelde eisen kunnen zij toegang krijgen tot hun specifieke gebruikers-vlan.

Ieee 802.1x en radius

Om toegang te krijgen tot het netwerk wordt gebruik gemaakt van de Ieee 802.1x standaard. Deze techniek zorgt ervoor, dat elke gebruiker eerst een aanlogscherm te zien krijgt. Via een unieke gebruikersnaam en wachtwoord combinatie kan men zich aanmelden. Het netwerk verifieert via een redundante radius-server of de gebruiker in de centrale database voorkomt. Deze database is een Novell Directory Server waarin alle ruim zesduizend gebruikers met hun bijbehorende wachtwoord, netwerk- en applicatierechten zijn opgenomen. Afhankelijk van de netwerkrechten geeft de radius-server vervolgens aan de netwerkapparatuur door in welk vlan deze gebruiker geplaatst moet worden. Tevens wordt bepaald aan welke beveiligingseisen de verbinding dient te voldoen. De gebruiker heeft daarna een volledig beveiligde netwerkverbinding ter beschikking.
Om onafhankelijk te zijn van de gebruikte Windows-versie en om de beveiliging te optimaliseren is op elke notebook een professionele Ieee 802.1x client geïnstalleerd. Deze client wordt door de gebruiker zelf opgehaald tijdens de eerste verbinding met het aparte VLAN. Het betreft hier de krachtige Odyssey client van Funk Software. Van dezelfde fabrikant worden de 'steel-belted-radius-servers gebruikt. Deze kenmerken zich door hun ondersteuning van netwerkapparatuur van diverse leveranciers. De koppeling met de Novell Directory Server verloopt via het ldap-protocol.

Beveiliging

De toegepaste draadloze netwerkapparatuur ondersteunt de meest recente wifi-(draadloze lokale netwerk fabrikanten alliantie) beveiligingsstandaarden, waaronder Ieee 802.11i. Om de draadloze verbinding optimaal te beveiligen wordt gebruik gemaakt van een krachtige versleutelingsmethode. Naast het gebruik van centraal uitgegeven digitale certificaten wordt de sleutel per sessie en per tijdseenheid dynamisch veranderd. Het is tot op heden onmogelijk gebleken om deze versleutelingsmethode te kraken. Deze wordt dan ook voor grootzakelijke toepassingen wereldwijd aanbevolen en toegepast. Hierdoor wordt tevens de noodzaak van aparte vpn-technieken overbodig, hetgeen in de praktijk vaak stuitte op de nodige problemen omdat randapparatuur en applicaties hiermee niet altijd overweg kunnen.
Bij het ontwerpen en implementeren van het draadloze netwerk is gebruik gemaakt van een unieke 'planning applicatie'. Deze applicatie bepaalt aan de hand van digitale gebouwtekeningen, constructiegegevens, gewenste bandbreedte en radio-dekkingseisen waar de zend/ontvangers (access points) geplaatst moeten worden. Hierbij wordt tevens rekening gehouden met boven- en onderliggende etages. Naast de plaatsbepaling worden ook de kanaalindeling per frequentieband, het zendvermogen en de totale configuratie vastgesteld. Na eventuele kleine aanpassingen kan daarna via één druk op de knop de totale configuratie in het netwerk worden geactiveerd. Wijzigingen en uitbreidingen zijn daarna op eenvoudige wijze voor te bereiden en uit te voeren.
De zend/ontvangers zelf behoeven geen enkele configuratie vooraf, alles wordt geregeld via centraal opgestelde 'mobility exchanges'. Deze eenheden bevatten de totale configuratie voor een grote groep automatisch toegewezen zend/ontvangers, waarbij zij tevens de back-up vertegenwoordigen voor de overige zend/ontvangers. Dat het systeem is ontwikkeld voor grote omgevingen blijkt ook uit de vele redundantie opties, waarbij het zelfs mogelijk is om elke zend/ontvanger fysiek te verbinden met twee verschillende werkgroepswitches. Men heeft de zend/ontvangers het uiterlijk gegeven van fraaie rookmelders, waardoor zij niet langer opvallen aan plafonds.

Twee actieve netwerken

Het draadloze netwerk bij Nhtv bestaat eigenlijk uit twee verschillende netwerken. De meeste notebooks zullen de Ieee 802.11b standaard ondersteunen, waarmee binnen de 2,4 GHz frequentieband gecommuniceerd kan worden met een snelheid van 11 Mbps.
Notebooks die de Ieee 802.11g standaard ondersteunen, kunnen binnen dezelfde frequentieband communiceren met een snelheid van 54 Mbps. Wordt de notebook uitgerust met een Ieee 802.11a standaard adapter, dan kan men binnen de 5 GHz band gebruik maken van een tweede 54 Mbps netwerk.
Hierdoor biedt hetzelfde netwerk naast extra bandbreedte ook een uitwijk in geval een frequentieband tijdelijk verstoord mocht raken. De paar honderd geïnstalleerde dual frequentieband zend/ontvangers garanderen een volledige dekking voor alle frequentiebanden en snelheden.
Om een netwerk van deze omvang goed werkend en beheersbaar te houden is het absoluut noodzakelijk, dat het systeem is ontwikkeld vanuit een concept gebaseerd op toepassing in vooral grote omgevingen. De draadloze netwerken van de gerenommeerde netwerkapparatuur fabrikanten voldoen hier geen van allen aan. Een testopstelling met een gering aantal zend/ontvangers werkt wel, maar deze systemen zijn niet schaalbaar waardoor de beheersbaarheid ernstig in gevaar komt. Ook recente aankondigingen over nieuwe producten blijven sterk achter in functionaliteit. Een dergelijk netwerk is daarom alleen bewezen betrouwbaar en succesvol op te bouwen met componenten van specialistische fabrikanten.

Extra's

Het netwerk bij Nhtv is gebaseerd op het systeem van Trapeze Networks. Dit systeem biedt naast de genoemde functionaliteit nog tal van extra mogelijkheden, waaronder plaatsbepaling, het automatisch tot op de meter nauwkeurig detecteren en deactiveren van onveilige apparatuur, geoptimaliseerde ondersteuning van ip-telefonie, hotspot en portaal functies, et cetera.
Ferry de Jong, hoofd ict van de internationale hogeschool Breda, is tevreden met het bereikte resultaat. "Het is uniek in Nederland dat meer dan zesduizend studenten en medewerkers op alle onderwijslocaties via hun laptop optimaal beveiligd toegang hebben tot het draadloze netwerk." De implementatie werd gerealiseerd door Vosko Networking , dat ervaring heeft opgedaan met de aanleg vanTrapeze Networks infrastructuren in ziekenhuizen, overheidsinstellingen, scholengemeenschappen en bedrijven.< BR>
 
Wim Coenen, Directeur ontwikkelingen Vosko Networking