Versions Compared

Old Version 11

changes.mady.by.user Wenche Backman-Kamila

Saved on

compared with

New Version 12

changes.mady.by.user Wenche Backman-Kamila

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

TunnisteFunet-ohjeistusdokumentti
Päiväys6.11.2017
OtsikkoLangattoman vierailijaverkon toteutus kampuksille
Työryhmä
LaatijatFUNET
Vastuutahowenche.backman-kamila@csc.fi
Tyyppiohjeistus

Lataa PDF:

Vierailijaverkon-toteutus-kampuksille

...

-ohjeistus.pdf

PDFview-file
nameVierailijaverkon-toteutus-kampuksille_jasenille.pdf

Vierailijaverkon-toteutus-kampuksille-ohjeistus.pdf

-ohjeistus.pdf
height400

Tiivistelmä

Työtä ja opiskelua tehdään entistä useammin muualla kuin omalla työpisteellä tai tietokoneluokassa, joten langattomien verkkojen merkitys on korostunut.  Yliopistojen, ammattikorkeakoulujen ja tutkimuslaitosten vierailijoille onkin syytä taata toimiva, helppokäyttöinen ja tietoturvallinen ratkaisu verkkoon pääsemiseksi, jotta vierailijoiden työskentely tai opiskelu myös vierailtaessa on helppoa ja sujuvaa.

WLAN-tekniikalla toteutetulle vierailijaverkolle on neljä erilaista toteutustapaa. Niiden hyvät ja huonot puolet sekä kustannusarvio on esitetty taulukossa 1. Täysin avoin WLAN-verkko on kaikkien käytettävissä verkon kuuluvuusalueella. Web-autentikointiin perustuvaan verkkoon tarvitaan etukäteen luotu käyttäjätunnus ja salasana, jotka syötetään webbisivulle verkkoon liittymisen jälkeen. Henkilökohtainen jaettu avain on menetelmä, jossa syötetään liittymisen yhteydessä etukäteen luotu avain, jota käytetään autentikointiin ja kryptaukseen. Käytettäessä 802.1x autentikointia ja WPA2/AES-salausta, käyttäjät tunnistetaan ennen kuin liikennöinti on mahdollista. Liikenne on kryptattua ja kryptausavainta vaihdetaan usein. Liittyminen verkkoon tapahtuu suplikantin avulla.

Taulukko 1. Eri tekniikoilla toteutetut WLAN-vierailijaverkot, niiden hyvät ja huonot puolet sekä kustannusarvio.


IT-hallinnon näkökulmasta täysin avoimeen verkkoon liittyy se riski, että väärinkäytöstapauksissa vain laite voidaan selvittää MAC-osoitteen perusteella – ei käyttäjää. Web-autentikointiin perustuva verkko on IT-hallinnon kannalta hieman suojatumpi koska kuka tahansa ei päästetä verkkoon.  Käyttäjän kannalta riski on kuitenkin suurempi käytettäessä kyseisiä menetelmiä. Käyttäjän tekemisiä avoimessa tai web-autentikointiin perustuvassa verkossa voidaan helposti salakuunnella tai manipuloida, eikä käyttäjä välttämättä tiedä, miten suojautuminen erilaisilta verkkouhilta pitäisi tapahtua. Eli käyttäjän kannalta olisi hyvin tärkeätä tarjota tietoturvallista eduroam-vierailijaverkkoa, joka perustuu 802.1x autentikointiin ja WPA2/AES-salaukseen. Henkilökohtainen jaettu salaisuus tarjoaa myös hyviä mahdollisuuksia vierailijaverkoksi, mutta tällä hetkellä vain muutama laitevalmistaja tukee menetelmää.

Halvin ratkaisu lienee avoin verkko, muut ratkaisut edellyttävät investointeja kuten esim. RADIUS-palvelimen hankinnan. Myös opertointikustannuksia verrattaessa avoin verkko on halvin, muut ratkaisuehdotukset vaativat jonkin verran käyttäjähallintaa ja käyttötukea. View filenameVierailijaverkon-toteutus-kampuksille-ohjeistus.pdfheight400