Versions Compared

Old Version 21

changes.mady.by.user Unknown User (wbackman@csc.fi)

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...


Liitteet sisältävät ainoastaan konfigurointiohjeita eikä varsinaisia suosituksia.

...


Ciscon konfigurointiohjeissa esitetään miten kontrolleri konfiguroidaan niin, että liikenne aina kulkee tukiasemista kontrollerin kautta ja vasta sitten reitittimen kautta Internettiin. Toinen vaihtoehto olisi viedä liikenne suoraan tukiasemasta lähimpään reitittimeen. Tätä voidaan saavuttaa H-REAP-toimintojen (Hybrid Remote Edge Access Point) avulla. H-REAP-toimintojen avulla voidaan varmistaa että WLAN-klientit pystyvät liikennöimään vaikka kontrolleri olisi vähän aikaa alhaalla. Toisaalta, käyttäjäkohtainen tunnistus, joka BCP WLAN-verkon tietoturva  Parhaat käytännöt-dokumentissa suositellaan, toimii ainoastaan kontrollerin kautta, vaikka liikenne vietäisiinkin tukiasemasta lähimpään reitittimeen. H-REAP-toimintojen avulla voidaan myös varmistua siitä, että kontrolleri ei koskaan toimi WLAN-klienttien yhteyksien pullonkaulana, mutta toisaalta kontrollerin prosessointiteho ja porttien nopeudet ovat käytännössä aina tarpeeksi suuret, ainakin vielä tänä päivänä. Lisäksi multicast kontrollerin ja tukiasemien välillä verkon kapasiteetin säästämiseksi ei voida toteuttaa jos liikennettä ei viedä kontrollerin kautta. Lisätietoja H-REAP-toimintojen käyttöönottamisesta löytyy Ciscon sivuilta. Lyhyesti liikenteen vieminen suoraan lähimpään reitittimeen vaatii sen, että sekä tukiasemaan että WLAN-verkkoon (SSID:hen), johon käyttäjä liittyy, on määritelty H-REAP-moodiin.

HP:n kontrollerissa on myös mahdollista valita kulkeeko liikenne aina kontrollerin kautta tai viedäänkö se suoraan tukiasemasta lähimpään reitittimeen. Ohjeissa ei ole otettu kantaa tapaan, jolla käyttäjien liikenne hoidetaan kiinteässä LAN-verkossa. HP:n ohjeissa mainitaan kuitenkin, että verkon rakenne yksinkertaistetaan viemällä kaikki liikenne kontrollerin kautta.

...

WLAN-verkon kontrollerin konfiguroinnin yhteydessä määritellään myös palvelin, joka on liitetty organisaation käyttäjätietokantaan ja joka näin hoitaa käyttäjien autentikoinnin. Palvelimena toimii yleensä RADIUS-palvelin ja eri organisaatioiden RADIUS-palvelimet voidaan liittää yhteiseen juureen, jos halutaan jakaa verkkoa toisten organisaatioiden kanssa. Menetelmä kutsutaan verkkovierailuksi.

Verkkovierailun avulla käyttäjät saavat verkkoyhteyttä nopeasti ja vaivattomasti heidän vieraillessaan eri korkeakouluissa ja yliopistoissa. Verkkovierailu perustuu organisaatioden väliseen vastavuoroisuuteen. Tämä tarkoittaa, että jos organisaatiot A ja B ovat mukana verkkovierailussa, organisaation A käyttäjät voivat käyttää organisaation B julkisen pääsyn verkkoa ja päinvastoin.

Verkkovierailuun on helppo liittyä mutta tietyt federaatiot asettavat tietynlaiset vaatimukset verkkoon, jotka on hyvä huomioida aikaisessa vaiheessa, jopa verkon suunnitteluvaiheessa.

Funet-verkossa tarjolla olevat verkkovierailujärjestelmät eduroam ja Funet-verkkovierailu perustuvat RADIUS-hierarkiaan. Käyttäjätunnus ja salasana lähetetään tunnuksen realmin perusteella kotiorganisaatiolle, joka vertaa näitä tietokantaan tallennettuihin tietoihin. Shibboleth-verkkovierailu on kolmas verkkovierailumenetelmä ja se voidaan ottaa käyttöön Haka-infrastruktuuriin liittyneissä organisaatioissa. Liittyminen eduroamiin tai Funet-verkkovierailuun vaatii organisaatiolta oman RADIUS-palvelimen pystyttämisen ja käyttäjien autentikointia tätä RADIUS-palvelinta hyväksikäyttäen. Verkon tukiasemat täytyy myös tukea RADIUS-autentikointia.

eduroam on Funet-verkkovierailua tietoturvallisempi koska käyttäjien autentikointi on hoidettava 802.1x-standardia soveltaen. Tämä tarkoitta, että verkon tukiasemat täytyy tukea kyseistä standardia. Lisäksi liikenne on salattava käyttäen WPA:ta tai WPA2:ta, katso tarkemmin WLAN-verkon tietoturvasta. Funet-verkkovierailussa web-autentikointi on sallittu ja liikenne voi olla salaamaton. eduroamin ja Funet-verkkovierailun erot on esitetty taulukossa 1.

Taulukko 1. eduroamin ja Funet-verkkovierailun erot

...


Monipuolisia RADIUS-palvelimien konfigurointiohjeita löytyy eduroam cookbookista. Yksityiskohtaisia FreeRADIUS-konfigurotintiohjeita löytyy FreeRADIUSen FreeRADIUS-konfigurointi-sivulta.

Organisaatiot, jotka ovat liittyneet verkkovieriluun ennen helmikuuta 2010 tulisi tarkistaa, että he ovat liittäneet RADIUS-palvelinsa molempiin Suomen juuripalvelimiin, fltr.funet.fi:hin ja ftlr2.funet.fi:hin. Jos on käytössä Radiator, suositellaan käytettäväksi Dead Realm Marking-menetelmä. Lisätietoja saat Funetilta.

...

eduroam-verkkovierailussa autentikointi on hoidettava 802.1x-standardin avulla. IEEE 802.1x -standardi on otettava huomioon konfiguroidessa WLAN-kontrolleria ja RADIUS-palvelinta. Lisäksi standardi on otettava huomioon käyttäjien opastuksen yhteydessä, koska verkkoon liitytään selaimen sijasta suplikantin avulla. IEEE 802.1x käytetään porttikohtaiseen todentamiseen. 802.1x määrittelee kolme osapuolta: suplikantti eli asiakas (käyttäjän päätelaite/ohjelmisto), autentikaattori (verkon liityntäpiste, esim. tukiasema) ja autentikointipalvelin.

802.1x -pohjaisessa todentamisessa käytetään ilmarajapinnassa EAP over LANs (EAPOL)-protokollaa. Tukiaseman ja autentikointipalvelimen välillä EAP-viestit välitetään RADIUS-paketeissa. Varsinainen todentaminen suoritetaan Radius-Access-Request-paketeilla, joissa käyttäjän antamat tiedot välitetään autentikointipalvelimelle sekä autentikointipalvelimen vastauksena lähettämillä Radius-Access-Challenge-paketeilla, jotka käytetään käyttäjän identiteetin tarkistamiseen. Pääsy verkkoon sallitaan Radius-Access-Accept-paketilla, jonka jälkeen tukiasema lähettää suplikantille tarvittavat kryptausavaimet. Tarvittavat kryptausavaimet määräytyy verkon salaustason mukaan, katso BCP WLAN-verkon tietoturva Parhaat käytännöt-dokumenttia. Jos kryptausavaimet halutaan vaihtaa tietyllä aikavälillä, joudutaan usein autentkoimaan käyttäjä uudelleen.

Toisin kuin web-autentikoinnissa, 802.1x:ssä käyttäjälle ei anneta IP-osoitetta ennen autentikointia ja paketteja lähetetään vain pyydettäessä. Pyytämättömiä paketteja autentikoimattomilta käyttäjiltä ei esiinny ilmarajapinnassa.

...

Web-autentikointia käytettävissä verkoissa, mm. Funet-verkkovierailun piirissä olevissa verkoissa, käyttäjälle aukeaa sisäänkirjautumissivu hänen avatessaan selainta. Autentikointia varten päätelaitteessa tarvitaan ainoastaan selain. Funet-verkkovierailussa olevat organisaatiot voivat konfiguroida sisäänkirjautumissivuaan sisältämään listan kaikista mukana olevasta organisaatioista, jotta käyttäjä heti tietää onko hänellä mahdollisuus päästä verkkoon omilla käyttäjätunnuksillaan. Käyttäjätunnus syötetään muodossa tunnus@kotiorganisaatio.fi
Funetin ylläpitämä lista mukana olevista organisaatioista:


Suplikantit

802.1x-standardia soveltavissa verkoissa, mm. eduroamissa, käyttäjät liittyvät verkkoon kotiorganisaation määrittelemää EAP-menetelmää käyttäen. Tarvittava suplikantti löytyy useammista käyttöjärjestelmistä sekä ulkoisista verkkokorteista. Linuxista löytyy WPA-suplikantti ja Windowsilla on myös omansa. Nokian uusimmat puhelimet ja iPhone sisältävät myös 802.1x-suplikantin. On myös mahdollista käyttää kolmannen osapuolen suplikanttia, joista mm. SecureW2 on suosittu. Suplikanttien konfigurointi voi olla epätriviaali, jonka takia on tuotettu runsaasti opastusmateriaalia. Alhaalla muutama esimerkki.

Windows XP:n konfigurointi eduroamia varten:


Windows XP:n, Intelin ja ! SecureW2:n suplikanttien konfigurointiohjeita eduroamia varten:

...

Windows XP:n, WPA-suplikantin, Nokian E51-sarjan suplikantin sekä Lenovon ! ThinkVantage Access Connections -suplikantin konfigurointiohjeita eduroamia varten esimerkkinä:

...


Windows Vistalle ja Windows 7:lle voidaan luoda asentajan asentaja (installer) joka laatii WLAN-verkon tietojen pohjalta xml-tiedoston. Tiedoston avulla asetukset viedään suplikantille ja konfigurointi on valmis. Lisätietoja EduroamAsennusohjelma-sivulta.

Useaan suplikanttiin voidaan määritellä sekä ulompi että sisempi identiteetti. Ulommassa identiteetissa (outer identity) käyttäjätunnus voi olla mikä tahansa, mutta realm on oltava oikein, esim. anonymous@csc.fi. Sisempi identiteetti (inner identity) on sisältävä sekä oikea käyttäjätunnus että realm, esim. wbackman@csc.fi. Käyttämällä anonyymi ulompi identiteetti Aanonyymiä ulompaa identiteettiä käyttämällä voidaan verkkovierailussa välttyä siitä, että henkilöllisyys tallentuu vierailevan organisaation lokeihin. Sisempi identiteetti on tiedossa ainoastaan kotiorganisaatiolla. Linuxin suplikantti, Nokian puhelimien suplikantti sekä SecureW2 tukevat eri sisäisen ja ulkoisen identiteetin määrittelemisen, mutta Windowsin sisäänrakennettu suplikantti ei tue tätä.

...

Infrastruktuurin valvonta

Huom! Seuraavissa kappaleissa on viittauksia Funetin toteuttamaan info.funet.fi-valvontaan. Valvonta ei ole enää julkisesti nähtävissä, joten linkit valvontanäkymään on poistettu.

Verkkovierailuinfrastruktuuria on syytä valvoa, jotta ongelmatilanteet voidaan havaita ja ratkaista ennen kuin käyttäjät turhautuvat. Nagios soveltuu hyvin tähän tarkoitukseen ja CSC/Funet valvoo Suomen juuripalvelimien, ftlr.funet.fi ja ftlr2.funet.fi sekä oman RADIUS-palvelimensa lähettämällä autentikointipyyntöjä ja tarkistamalla että autentikointi onnistuu. Valvonta tehdään useampaa reittiä pitkin:

...


Kehittyneimpiin valvontamenetelmiin kuuluu valvonnan hoitaminen vastaavalla viestinvälityksellä kuin käyttäjän suplikantti. Toinen vaihtoehto on käyttää tähän tarkoitukseen pelkkiä RADIUS-autentikointipyyntöjä, mutta tässä tapauksessa mm. varmenteen tiedot jää tarkistamatta. Palvelimen toiminnan tarkistaminen suplikantin näkökulmasta voidaan hoitaa WPA-suplikantin eapol_test-ohjelmalla. eapol_test -ohjelma voidaan liittää ainakin Nagiokseen sekä Helsingin Yliopistossa käytettyyn valvontaohjelmistoon Big Sisteriin. Ohjelman avulla voidaan toteuttaa mm. PEAP-MSCHAPv2, TTLS-MSCHAPv2 sekä TTLS-PAP -menetelmien valvonta.

Funet-verkon verkkovierailun reaaliaikaisen tilanteen havaitsemiseksi on kehitetty eapol_test-ohjelmaan perustuva valvonta, jonka tulokset esitetään [[https://info.funet.fi/cgi-bin/funet-services-roaming-availability][info.funet.fi:ssa]]. Valvonnassa ovat organisaation toteutuneista menetelmistä riippuen yksi tai useampi seuraavista menetelmistä: PEAP-MSCHAPv2, TTLS-MSCHAPv2 ja/tai TTLS-PAP. Lisää palvelimia liitetään mielellään palveluun, mutta tätä varten Funet tarvitsee voimassa olevan käyttäjätunnuksen ja salasanan sekä tietoa palvelimen varmenteesta. Kun kaikkien kolmen menetelmän avulla toteutettu autentikointi onnistuu, tulos on kuvan 1 mukainen.

...

Arcadassa on FreeRadius v2 liitettynä OpenLDAP-kantaamme jossa salasanat on salattu md5:lla. Tuettu EAP-menetelmä on TTLS-PAP. Realm-ittomat ja @arcada.fi realmilliset ohjataan suoraan LDAP:iin suffix() jälkeen, muut ftlr:ään. radius.arcada.fi-palvelimen varmenteen on allekirjoittanut AddTrust External CA Root.

Arcada tarjoaa käyttäjilleen valmiita SecureW2-paketteja sekä MacOSX mobileconfig tiedostoja helpottamaan mukaantuloa. Tätä kirjoitettaessa eduroam-tukitiedostot on vielä tekemättä. Arcadassa on rakennettu kokonaan uusi langaton kaikenkattava verkko syksyllä 2011. Vielä on ratkaisematta miten saadaan klientit siirtymään 5 GHz:in puolelle jos SSID on sama "eduroam" myös 2.4 GHz:in puolella.

Lisätietoja

Esite eduroamista

...

Lisätietoja Funet-verkossa tarjolla olevista verkkovierailujärjestelmistä:

...

Teknisiä tietoja ja ohjeita eduroamista:

NIST Special Publication 800-120, "Recommendation for EAP Methods Used in Wireless Network Access Authentication:"

...