Versions Compared

Old Version 15

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

compared with

New Version 16

changes.mady.by.user Unknown User (tsalmi@csc.fi)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

WLAN-verkon kontrolleri kutsutaan suomeksi myös nimellä WLAN-radiokytkin. Aikaisemmin WLAN-verkon peittoa saavutettiin ainoastaan autonomislla (stand-alone) tukiasemilla mutta nykyään yhä useampi verkko rakennetaan kontrolleripohjaiseksi. Tällöin kontrolleri ohjaa tukiasemien toiminnot, kuten viestinvälitys ja signaalitaso. Kontrollerin avulla saadaan yhdenmukaisempi ja helpommin hahmottavissa oleva verkko. Myös ylläpitotyö helpottuu.

Konfiguroinnin kannalta jokaisen valmistajan ratkaisu on hieman erilainen, mutta perustoimenpiteet ovat samat. Alhaalla olevissa dokumenteissa esitetään eri valmistajien parhaaksi käytännöksi nähdyt konfiguroinnit.

Eri valmistajien kontrollerien konfigurointiohjeet:
   * Ciscon WLAN-kontrollerin konfigurointi
   * HP-kontrollerin konfigurointi

Ciscon konfigurointiohjeissa esitetään miten kontrolleri konfiguroidaan niin, että liikenne aina kulkee tukiasemista kontrollerin kautta ja vasta sitten reitittimen kautta Internettiin. Toinen vaihtoehto olisi viedä liikenne suoraan tukiasemasta lähimpään reitittimeen. Tätä voidaan saavuttaa H-REAP-toimintojen (Hybrid Remote Edge Access Point) avulla. H-REAP-toimintojen avulla voidaan varmistaa että WLAN-klientit pystyvät liikennöimään vaikka kontrolleri olisi vähän aikaa alhaalla. Toisaalta, käyttäjäkohtainen tunnistus, joka MobileFunet BCP WLAN-verkon tietoturva Parhaat käytännöt-dokumentissa suositellaan, toimii ainoastaan kontrollerin kautta, vaikka liikenne vietäisiinkin tukiasemasta lähimpään reitittimeen. H-REAP-toimintojen avulla voidaan myös varmistua siitä, että kontrolleri ei koskaan toimi WLAN-klienttien yhteyksien pullonkaulana, mutta toisaalta kontrollerin prosessointiteho ja porttien nopeudet ovat käytännössä aina tarpeeksi suuret, ainakin vielä tänä päivänä. Lisäksi multicast kontrollerin ja tukiasemien välillä verkon kapasiteetin säästämiseksi ei voida toteuttaa jos liikennettä ei viedä kontrollerin kautta. Lisätietoja H-REAP-toimintojen käyttöönottamisesta löytyy Ciscon sivuilta. Lyhyesti liikenteen vieminen suoraan lähimpään reitittimeen vaatii sen, että sekä tukiasemaan että WLAN-verkkoon (SSID:hen), johon käyttäjä liittyy, on määritelty H-REAP-moodiin.

HP:n kontrollerissa on myös mahdollista valita kulkeeko liikenne aina kontrollerin kautta tai viedäänkö se suoraan tukiasemasta lähimpään reitittimeen. Ohjeissa ei ole otettu kantaa tapaan, jolla käyttäjien liikenne hoidetaan kiinteässä LAN-verkossa. HP:n ohjeissa mainitaan kuitenkin, että verkon rakenne yksinkertaistetaan viemällä kaikki liikenne kontrollerin kautta.

...

WLAN-verkon kontrollerin konfiguroinnin yhteydessä määritellään myös palvelin, joka on liitetty organisaation käyttäjätietokantaan ja joka näin hoitaa käyttäjien autentikoinnin. Palvelimena toimii yleensä RADIUS-palvelin ja eri organisaatioiden RADIUS-palvelimet voidaan liittää yhteiseen juureen, jos halutaan jakaa verkkoa toisten organisaatioiden kanssa. Menetelmä kutsutaan verkkovierailuksi.

Verkkovierailun avulla käyttäjät saavat verkkoyhteyttä nopeasti ja vaivattomasti heidän vieraillessaan eri korkeakouluissa ja yliopistoissa. Verkkovierailu perustuu organisaatioden väliseen vastavuoroisuuteen. Tämä tarkoittaa, että jos organisaatiot A ja B ovat mukana verkkovierailussa, organisaation A käyttäjät voivat käyttää organisaation B julkisen pääsyn verkkoa ja päinvastoin.

Verkkovierailuun on helppo liittyä mutta tietyt federaatiot asettavat tietynlaiset vaatimukset verkkoon, jotka on hyvä huomioida aikaisessa vaiheessa, jopa verkon suunnitteluvaiheessa.

Funet-verkossa tarjolla olevat verkkovierailujärjestelmät eduroam ja Funet-verkkovierailu perustuvat RADIUS-hierarkiaan. Käyttäjätunnus ja salasana lähetetään tunnuksen realmin perusteella kotiorganisaatiolle, joka vertaa näitä tietokantaan tallennettuihin tietoihin. Shibboleth-verkkovierailu on kolmas verkkovierailumenetelmä ja se voidaan ottaa käyttöön Haka-infrastruktuuriin liittyneissä organisaatioissa. Liittyminen eduroamiin tai Funet-verkkovierailuun vaatii organisaatiolta oman RADIUS-palvelimen pystyttämisen ja käyttäjien autentikointia tätä RADIUS-palvelinta hyväksikäyttäen. Verkon tukiasemat täytyy myös tukea RADIUS-autentikointia.

eduroam on Funet-verkkovierailua tietoturvallisempi koska käyttäjien autentikointi on hoidettava 802.1x-standardia soveltaen. Tämä tarkoitta, että verkon tukiasemat täytyy tukea kyseistä standardia. Lisäksi liikenne on salattava käyttäen WPA:ta tai WPA2:ta, katso tarkemmin WLAN-verkon tietoturvasta. Funet-verkkovierailussa web-autentikointi on sallittu ja liikenne voi olla salaamaton. eduroamin ja Funet-verkkovierailun erot on esitetty taulukossa 1.

Taulukko 1. eduroamin ja Funet-verkkovierailun erot

...

eduroam-verkkovierailussa autentikointi on hoidettava 802.1x-standardin avulla. IEEE 802.1x -standardi on otettava huomioon konfiguroidessa WLAN-kontrolleria ja RADIUS-palvelinta. Lisäksi standardi on otettava huomioon käyttäjien opastuksen yhteydessä, koska verkkoon liitytään selaimen sijasta suplikantin avulla. IEEE 802.1x käytetään porttikohtaiseen todentamiseen. 802.1x määrittelee kolme osapuolta: suplikantti eli asiakas (käyttäjän päätelaite/ohjelmisto), autentikaattori (verkon liityntäpiste, esim. tukiasema) ja autentikointipalvelin.

802.1x -pohjaisessa todentamisessa käytetään ilmarajapinnassa EAP over LANs (EAPOL)-protokollaa. Tukiaseman ja autentikointipalvelimen välillä EAP-viestit välitetään RADIUS-paketeissa. Varsinainen todentaminen suoritetaan Radius-Access-Request-paketeilla, joissa käyttäjän antamat tiedot välitetään autentikointipalvelimelle sekä autentikointipalvelimen vastauksena lähettämillä Radius-Access-Challenge-paketeilla, jotka käytetään käyttäjän identiteetin tarkistamiseen. Pääsy verkkoon sallitaan Radius-Access-Accept-paketilla, jonka jälkeen tukiasema lähettää suplikantille tarvittavat kryptausavaimet. Tarvittavat kryptausavaimet määräytyy verkon salaustason mukaan, katso MobileFunet BCP WLAN-verkon tietoturva Parhaat käytännöt-dokumenttia. Jos kryptausavaimet halutaan vaihtaa tietyllä aikavälillä, joudutaan usein autentkoimaan käyttäjä uudelleen.

Toisin kuin web-autentikoinnissa, 802.1x:ssä käyttäjälle ei anneta IP-osoitetta ennen autentikointia ja paketteja lähetetään vain pyydettäessä. Pyytämättömiä paketteja autentikoimattomilta käyttäjiltä ei esiinny ilmarajapinnassa.

...


Kehittyneimpiin valvontamenetelmiin kuuluu valvonnan hoitaminen vastaavalla viestinvälityksellä kuin käyttäjän suplikantti. Toinen vaihtoehto on käyttää tähän tarkoitukseen pelkkiä RADIUS-autentikointipyyntöjä, mutta tässä tapauksessa mm. varmenteen tiedot jää tarkistamatta. Palvelimen toiminnan tarkistaminen suplikantin näkökulmasta voidaan hoitaa WPA-suplikantin eapol_test -ohjelmalla. eapol_test -ohjelma voidaan liittää ainakin Nagiokseen sekä Helsingin Yliopistossa käytettyyn valvontaohjelmistoon Big Sisteriin. Ohjelman avulla voidaan toteuttaa mm. PEAP-MSCHAPv2, TTLS-MSCHAPv2 sekä TTLS-PAP -menetelmien valvonta.

Funet-verkon verkkovierailun reaaliaikaisen tilanteen havaitsemiseksi on kehitetty eapol_test -ohjelmaan perustuva valvonta, jonka tulokset esitetään [[https://info.funet.fi/cgi-bin/funet-services-roaming-availability][info.funet.fi:ssa]]. Valvonnassa ovat organisaation toteutuneista menetelmistä riippuen yksi tai useampi seuraavista menetelmistä: PEAP-MSCHAPv2, TTLS-MSCHAPv2 ja/tai TTLS-PAP. Lisää palvelimia liitetään mielellään palveluun, mutta tätä varten Funet tarvitsee voimassa olevan käyttäjätunnuksen ja salasanan sekä tietoa palvelimen varmenteesta. Kun kaikkien kolmen menetelmän avulla toteutettu autentikointi onnistuu, tulos on kuvan 1 mukainen.

Image RemovedImage Added

Kuva 1. Verkkovierailun valvonta. Esimerkkinä CSC:n autentikointipalvelimen tulokset.

Funet-jäseniä kehoitetaan valvomaan omia palvelimia vähintään RADIUS-autentikointipyynnöillä mutta mielellään WPA-suplikantin eapol_test-ohjelman avulla. eapol_testin installointiohjeet (EAP)autentikointimenetelmien konfigurointitietoineen löytyvät netistä. CSC/Funet on eapol_test-ohjelman ympärille kehittänyt tarkistusskripti nimellä check_eapauth, jonka Debian/Ubuntu- ja RHEL/CentOS-paketit löytyvät liitteestä. check_eapauth -skriptille on parametreina annettava kaksi tiedostoa, joista toinen on eapol_testin installointiohjeista löytyvä .conf-tiedosto, esimerkiksi peap-mschapv2.conf. Toinen on tiedosto, missä on verkkovierailussa käytettävän palvelimen IP-osoite ja jaettu salaisuus seuraavassa muodossa:

...