Installation von Funknetzen (WLAN)

Die Nachfrage nach Wireless Lan wird immer grösser. Bei Neu- und Umbauten sollten flächendeckend Sender installiert werden. Die Kosten für eine punktuelle Nachrüstung sind etwa dreimal höher.

Möchte ein Institut ein Wireless LAN (WLAN) einrichten, gibt es grundsätzlich drei Varianten:

  1. UZH-WLAN
    Finanzierung/Aufbau/Betrieb durch ID, zentrales System, öffentliche Zone (Regelfall).
  2. Instituts-WLAN
    Finanzierung durch Institut, Aufbau/Betrieb durch ID, zentrales System, nicht-öffentliche Zone (Ausnahme).
  3. Institutseigenes WLAN
    Finanzierung/Aufbau/Betrieb durch Institut, institutsspezifisches System, nicht-öffentliche Zone (Sonderfall).

Die drei Varianten sind hier genauer beschrieben:

  1. UZH-WLAN
    Die Zentrale Informatik erschliesst mit dem Wireless LAN (WLAN) die öffentlichen Bereiche der UZH. Unter öffentliche Bereiche fallen z.B. Seminarräume, Bibliotheken, Mensen und häufig frequentierte, allgemein zugängliche Zonen. Entsprechende Anträge von Instituten können über das Formular WLAN-Ausbau eingegeben werden. Die Zentrale Informatik nimmt solche Anträge gerne entgegen und versucht, sie im Rahmen des dafür freigegebenen Budgets zu realisieren. Dem Antrag auf eine WLAN-Versorgung öffentlicher Bereiche eines Instituts sind aktuelle Grundrisspläne beizulegen und die Gebiete zu bezeichnen, die im Funkbereich liegen sollen.
  2. Instituts-WLAN
    Büros und Institutsräumlichkeiten, die nicht öffentlich zugänglich sind, können von der Zentralen Informatik nur bei Übernahme der Kosten durch die Institute erschlossen werden. Die Erschliessung auch von nicht öffentlichen Bereichen durch die Zentrale Informatik hat den Vorteil, dass sich die Institute nicht mit der Administration der Accesspoints belasten und aktuelle Anforderungen an die Datensicherheit so gut als möglich implementiert sind. Die Kosten für die Hardware wie Funksender und Erweiterung der UKV-Anschlüsse sowie die Kosten des externen Beraters übernimmt das Institut und stellt in der Regel einen Antrag für Beschaffungen über CHF 10'000 an Bedarfsmanagement Infrastruktur. Als Richtgrösse muss mit totalen Kosten von ca. CHF 2'500.- pro Accesspoint gerechnet werden. Die so beschaffte Hardware geht in die Obhut der Zentralen Informatik über, wird ins zentrale WLAN-System integriert und nach dessen Standards betrieben. Das zentrale WLAN-Angebot besteht aus einem validierten Zugang zum restlichen Netz der Universität und zum Internet. Aktuell existieren folgende Möglichkeiten:
    • SSID "public" mit Nutzung des Remote Access VPN-Diensts der UZH über UZH-Konto
    • SSID "uzh" mit direkter WPA-Anmeldung am verschlüsselten WLAN-Netz über UZH-Konto
    • SSID "eduroam" mit direkter Anmeldung am verschlüsselten WLAN-Netz über Konto einer anderen Hochschule
    Es sind also in jedem Fall ein UZH-Konto oder ein Eduroam-fähiges anderes Konto notwendig. Die Verbindung zum Institutsnetz ist nur indirekt möglich.
  3. Institutseigenes WLAN
    Sollte ein Institut sich entscheiden, ein institutsinternes WLAN-Netz selbst aufzubauen, also nicht die WLAN-Technologie der Zentralen Informatik einzusetzen, müssen dringend folgende Punkte beachtet werden:
    1. Verschlüsselung und Authentisierung Der Verkehr zwischen Client und Accesspoint darf nur verschlüsselt übertragen werden. Dazu wird heute das Protokoll WPA oder WPA2 eingesetzt. Damit kann die Verbindung auch authentisiert werden - entweder mittels eines einzelnen Passworts oder einer persönlicher Benutzernamen/Passwort-Kombination (firmenweites WPA, erfordert in der Regel einen Authentisierungs-Server). Wenn ein einzelnes Passwort benutzt wird, muss dieses in regelmässigen Abständen geändert werden, z.B. alle 2 Monate. Das Passwort darf nicht auf einer Website publiziert werden, sondern muss den Benutzern persönlich bekannt gegeben werden. Unverschlüsselte Übertragung und WEP-Key sind unsicher und dürfen nicht mehr neu eingesetzt werden. Auch die Informatikdienste arbeiten darauf hin, dass das zentrale WLAN zunehmend über eine verschlüsselte WPA-Verbindung genutzt wird (SSIDs "uzh" und "eduroam"). Werden unverschlüsselte Verbindungen noch genutzt, weil die vorhandene Hardware WPA/WPA2 nicht unterstützt, so ist für die Verbindungen zwingend ein Remote Access VPN-Client zu benutzen. Bei Neuinstallationen muss ein Gerät beschafft werden, welches WPA/WPA2 unterstützt.
    2. Anschluss ans Institutsnetz Der Accesspoint darf nicht an ein allfällig vorhandenes NWAP-Netz (Vlan 900) angeschlossen werden, damit man dessen "Gate"-Funktion nutzen kann. Einerseits wollen die Informatikdienste die Menge der IP-Adressen der NWAP-Netze zugunsten des zentralen WLANs verringern. Die IP-Adressen der NWAP-Netze können auch jederzeit ändern (sie werden ausschliesslich per DHCP vergeben). Die Existenz und Verfügbarkeit der "Gate"-Funktion ist in späterer Zukunft unsicher - wegen des Trends zur Verlagerung zu netzbasierter Authentisierung mittels WPA/WPA2. Andererseits widerspricht die alleinige Nutzung der "Gate"-Funktion den Vorgaben unter Punkt 1. Der Anschluss muss also ans Institutsnetz erfolgen.
    3. Frequenzen und Störungen Befinden sich im Gebäude bereits WLAN-Accesspoints der Zentralen Informatik, so ist auf deren Frequenzbelegung Rücksicht zu nehmen. Vor einer Beschaffung eigener Accesspoints muss über das Formular WLAN-Ausbau die Zentrale Informatik kontaktiert werden. Die Zentrale Informatik behält sich vor, den Betrieb des zentralen WLAN-Systems störende Accesspoints abzuschalten. Dies gilt auch dann, wenn Accesspoints für das zentrale WLAN-System später im Gebäude installiert werden und sich bereits in Betrieb befindliche andere Accesspoints als Störquelle erweisen sollten.
    4. Vorgehen Das Institut koordiniert sein Vorhaben zuerst mit dem WLAN-Verantwortlichen der Zentralen Informatik auf technischer Ebene (vgl c.). Finanzierung, Aufbau und Betrieb der gewählten Lösung sind alleinige Sache des Instituts. Die Zentrale Informatik kann ein solches System weder supporten noch später ins zentrale WLAN-System überführen. Auf Wunsch des Instituts vermittelt die Zentrale Informatik über das Formular WLAN-Ausbau für die Projektierung und Realisation des Instituts-WLANs einen externen Berater mit Erfahrung im Bau des WLANs an der UZH. Beim Anschluss von ein bis zwei einzelnen Accesspoints an existierende UKV-Anschlüsse ist dies jedoch nicht notwendig.