Versions Compared

Old Version 10

changes.mady.by.user Unknown User (wbackman@csc.fi)

Saved on

compared with

New Version 11

changes.mady.by.user Unknown User (wbackman@csc.fi)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

WLAN-verkon kontrolleri kutsutaan suomeksi myös nimellä WLAN-radiokytkin. Aikaisemmin WLAN-verkon peittoa saavutettiin ainoastaan autonomislla (stand-alone) tukiasemilla mutta nykyään yhä useampi verkko rakennetaan kontrolleripohjaiseksi. Tällöin kontrolleri ohjaa tukiasemien toiminnot, kuten viestinvälitys ja signaalitaso. Kontrollerin avulla saadaan yhdenmukaisempi ja helpommin hahmottavissa oleva verkko. Myös ylläpitotyö helpottuu.

Konfiguroinnin kannalta jokaisen valmistajan ratkaisu on hieman erilainen, mutta perustoimenpiteet ovat samat. Alhaalla olevissa dokumenteissa esitetään eri valmistajien parhaaksi käytännöksi nähdyt konfiguroinnit.

Eri valmistajien kontrollerien konfigurointiohjeet:
   * [[https://info.funet.fi/twiki/pub/BCP/WLANVerkonInfrastruktuuri/Ciscon_WLAN-kontrollerin_konfigurointi.pdf][Ciscon WLAN-kontrollerin konfigurointi]]
   * [[https://info.funet.fi/twiki/pub/BCP/WLANVerkonInfrastruktuuri/HPn_WLAN-kontrollerin_konfigurointi.pdf][HP-kontrollerin konfigurointi]]

Ciscon konfigurointiohjeissa esitetään miten kontrolleri konfiguroidaan niin, että liikenne aina kulkee tukiasemista kontrollerin kautta ja vasta sitten reitittimen kautta Internettiin. Toinen vaihtoehto olisi viedä liikenne suoraan tukiasemasta lähimpään reitittimeen. Tätä voidaan saavuttaa H-REAP-toimintojen (Hybrid Remote Edge Access Point) avulla. H-REAP-toimintojen avulla voidaan varmistaa että WLAN-klientit pystyvät liikennöimään vaikka kontrolleri olisi vähän aikaa alhaalla. Toisaalta, käyttäjäkohtainen tunnistus, joka WLAN-verkon tietoturva Parhaat käytännöt-dokumentissa suositellaan, toimii ainoastaan kontrollerin kautta, vaikka liikenne vietäisiinkin tukiasemasta lähimpään reitittimeen. H-REAP-toimintojen avulla voidaan myös varmistua siitä, että kontrolleri ei koskaan toimi WLAN-klienttien yhteyksien pullonkaulana, mutta toisaalta kontrollerin prosessointiteho ja porttien nopeudet ovat käytännössä aina tarpeeksi suuret, ainakin vielä tänä päivänä. Lisäksi multicast kontrollerin ja tukiasemien välillä verkon kapasiteetin säästämiseksi ei voida toteuttaa jos liikennettä ei viedä kontrollerin kautta. Lisätietoja H-REAP-toimintojen käyttöönottamisesta löytyy Ciscon sivuilta. Lyhyesti liikenteen vieminen suoraan lähimpään reitittimeen vaatii sen, että sekä tukiasemaan että WLAN-verkkoon (SSID:hen), johon käyttäjä liittyy, on määritelty H-REAP-moodiin.

HP:n kontrollerissa on myös mahdollista valita kulkeeko liikenne aina kontrollerin kautta tai viedäänkö se suoraan tukiasemasta lähimpään reitittimeen. Ohjeissa ei ole otettu kantaa tapaan, jolla käyttäjien liikenne hoidetaan kiinteässä LAN-verkossa. HP:n ohjeissa mainitaan kuitenkin, että verkon rakenne yksinkertaistetaan viemällä kaikki liikenne kontrollerin kautta.

...


Monipuolisia RADIUS-palvelimien konfigurointiohjeita löytyy eduroam cookbookista. Yksityiskohtaisia FreeRADIUS-konfigurotintiohjeita löytyy FreeRADIUSKonfigurointi FreeRADIUSen konfigurointi-sivulta.

Organisaatiot, jotka ovat liittyneet verkkovieriluun ennen helmikuuta 2010 tulisi tarkistaa, että he ovat liittäneet RADIUS-palvelinsa molempiin Suomen juuripalvelimiin, fltr.funet.fi:hin ja ftlr2.funet.fi:hin. Jos on käytössä Radiator, suositellaan käytettäväksi Dead Realm Marking-menetelmä. Lisätietoja SuomenJuuriRADIUS -sivultasaat Funetilta.

IEEE 802.1x

eduroam-verkkovierailussa autentikointi on hoidettava 802.1x-standardin avulla. IEEE 802.1x -standardi on otettava huomioon konfiguroidessa WLAN-kontrolleria ja RADIUS-palvelinta. Lisäksi standardi on otettava huomioon käyttäjien opastuksen yhteydessä, koska verkkoon liitytään selaimen sijasta suplikantin avulla. IEEE 802.1x käytetään porttikohtaiseen todentamiseen. 802.1x määrittelee kolme osapuolta: suplikantti eli asiakas (käyttäjän päätelaite/ohjelmisto), autentikaattori (verkon liityntäpiste, esim. tukiasema) ja autentikointipalvelin.

802.1x -pohjaisessa todentamisessa käytetään ilmarajapinnassa EAP over LANs (EAPOL)-protokollaa. Tukiaseman ja autentikointipalvelimen välillä EAP-viestit välitetään RADIUS-paketeissa. Varsinainen todentaminen suoritetaan Radius-Access-Request-paketeilla, joissa käyttäjän antamat tiedot välitetään autentikointipalvelimelle sekä autentikointipalvelimen vastauksena lähettämillä Radius-Access-Challenge-paketeilla, jotka käytetään käyttäjän identiteetin tarkistamiseen. Pääsy verkkoon sallitaan Radius-Access-Accept-paketilla, jonka jälkeen tukiasema lähettää suplikantille tarvittavat kryptausavaimet. Tarvittavat kryptausavaimet määräytyy verkon salaustason mukaan, katso [[WLANVerkonTietoturva#Salaus]] WLAN-verkon tietoturva Parhaat käytännöt-dokumenttia. Jos kryptausavaimet halutaan vaihtaa tietyllä aikavälillä, joudutaan usein autentkoimaan käyttäjä uudelleen.

Toisin kuin web-autentikoinnissa, 802.1x:ssä käyttäjälle ei anneta IP-osoitetta ennen autentikointia ja paketteja lähetetään vain pyydettäessä. Pyytämättömiä paketteja autentikoimattomilta käyttäjiltä ei esiinny ilmarajapinnassa.

...

  • kaikki Funet-jäsenet liittäisivät langattomat verkkonsa ainakin Funet-verkkovierailuun ja mahdollisuuksien mukaan myös eduroamiin.
  • Funet-jäsenet panostaisivat verkkovierailun tiedottamiseen ainakin seuraavalla tavalla:
    • Kotisivuilta löytyisi tietoa Funet-verkkovierailun ja/tai eduroamin käyttömahdollisuuksista jäsenen kampuksilla
    • Vierailijoiden saapuessa kampuksille tai oman organisaation henkilökunnan tai opiskelijan matkustamisen yhteydessä huomioitaisiin ensisijaisesti eduroam ja Funet-verkkovierailu. Vasta tämän jälkeen yritettäisiin järjestää langaton verkkoyhteys muulla tavalla.
  • Funet-jäsenet varmistaisivat, että he ovat liittäneet RADIUS-palvelinsa molempiin Suomen juuripalvelimiin, fltr.funet.fi:hin ja ftlr2.funet.fi:hin. Jos on käytössä Radiator, käytetään tässä yhteydessä Dead Realm Marking-menetelmä.
  • Funet-jäsen käyttäessään julkisen CA:n allekirjoittettua varmennetta kiinnittäisi tarkkaa huomiota siihen, että käyttäjien suplikantissa käytetty CA on valittu luotuksi toimittajaksi ja ennen kaikkea siihen, että myös palvelimen nimi on määritelty.

...

802.1x-standardia soveltavissa verkoissa, mm. eduroamissa, käyttäjät liittyvät verkkoon kotiorganisaation määrittelemää EAP-menetelmää käyttäen. Tarvittava suplikantti löytyy useammista käyttöjärjestelmistä sekä ulkoisista verkkokorteista. Linuxista löytyy WPA-suplikantti ja Windowsilla on myös omansa. Nokian uusimmat puhelimet ja iPhone sisältävät myös 802.1x-suplikantin. On myös mahdollista käyttää kolmannen osapuolen suplikanttia, joista mm. [[http://www.securew2. com/][SecureW2]] on suosittu. Suplikanttien konfigurointi voi olla epätriviaali, jonka takia on tuotettu runsaasti opastusmateriaalia. Alhaalla muutama esimerkki:.

Windows XP:n konfigurointi eduroamia varten:

...


Windows Vistalle ja Windows 7:lle voidaan luoda asentajan (installer) joka laatii WLAN-verkon tietojen pohjalta xml-tiedoston. Tiedoston avulla asetukset viedään suplikantille ja konfigurointi on valmis. Lisätietoja EduroamAsennusohjelma-sivulta.

Useaan suplikanttiin voidaan määritellä sekä ulompi että sisempi identiteetti. Ulommassa identiteetissa (outer identity) käyttäjätunnus voi olla mikä tahansa mutta realm on oltava oikein, esim. anonymous@csc.fi. Sisempi identiteetti (inner identity) on sisältävä sekä oikea käyttäjätunnus että realm, esim. wbackman@csc.fi. Käyttämällä anonyymi ulompi identiteetti voidaan verkkovierailussa välttyä siitä, että henkilöllisyys tallentuu vierailevan organisaation lokeihin. Sisempi identiteetti on tiedossa ainoastaan kotiorganisaatiolla. Linuxin suplikantti, Nokian puhelimien suplikantti sekä ! SecureW2 tukevat eri sisäisen ja ulkoisen identiteetin määrittelemisen, mutta Windowsin sisäänrakennettu suplikantti ei tue tätä.

...

Kuva 1. Verkkovierailun valvonta. Esimerkkinä CSC:n autentikointipalvelimen tulokset.

Funet-jäseniä kehoitetaan valvomaan omia palvelimia vähintään RADIUS-autentikointipyynnöillä mutta mielellään WPA-suplikantin eapol_test-ohjelman avulla. eapol_testin installointiohjeet (EAP)autentikointimenetelmien konfigurointitietoineen löytyvät netistä. CSC/Funet on eapol_test-ohjelman ympärille kehittänyt tarkistusskripti nimellä check_eapauth, jonka Debian/Ubuntu- ja RHEL/CentOS-paketit löytyvät liitteestä. check_eapauth -skriptille on parametreina annettava kaksi tiedostoa, joista toinen on eapol_testin installointiohjeista löytyvä .conf-tiedosto, esimerkiksi peap-mschapv2.conf. Toinen on tiedosto, missä on verkkovierailussa käytettävän palvelimen IP-osoite ja jaettu salaisuus seuraavassa muodossa:

Code Block
languagebash
radius-server <palvelimen IP-osoite>

...


radius-secret <jaettu salaisuus>

Valvontapalvelimen IP-osoite ja jaettu salaisuus on myös luonnollisesti lisättävä verkkovierailussa käytettävän palvelimen klienttinä.

...

Åbo Akademilla on Sparknet-verkossaan käytössä ! FreeRADIUS v1 liitettynä LDAPiin. Vaasassa on käytössä IAS.

Lisäksi Åbo Akademilla on verkkouudistus meneillään ja tämän yhteydessä on mm. eduroamia varten pystytetty ! FreeRADIUSv2-palvelin ja liitetty se LDAP-tietokantaan.

...

Jyväskylän yliopistolla on käytössä ! FreeRADIUS-palvelimia. Tuetut EAP-menetelmät ovat PEAP-MSCHAPv2 ja TTLS-PAP. Salasana, joka käytetään PEAP-MSCHAPv2-autentikoinnin yhteydessä, on vaihdettava kahden viikon välein. ! SecureW2 tuetaan ja esikonfiguroimiseen tarvittava lisenssi on hankittu.

Myös Shibboleth-verkkovierailu on jonkun verran käytössä.

...

Turun yliopistolla on kahdennettu ! FreeRADIUSv2 RHEL6-alustalla. Tuettuna EAP-menetelmänä on PEAP-MSCHAPv2. Eduroamin EAP-autentikoinnit ohjataan Active Directoryyn, Sparknetin ja Funet-verkkovierailun RADIUS-autentikoinnit LDAP:iin. AD-salasana synkronoidaan automaattisesti LDAP:iin ja syyskuusta alkaen myös toiseen suuntaan. EAP-varmenne hankittiin DigiCertiltä Entrustin juurella allekirjoitettuna, joka kelpaa ainakin tuoreille Symbian-puhelimille suoraan.

...

Lisätietoja

Esite eduroamista

  • [[https://info.funet.fi/twiki/pub/BCP/WLANVerkonInfrastruktuuri/eduroam-esite.pdf eduroam-esite.pdf]]

Lisätietoja Funet-verkossa tarjolla olevista verkkovierailujärjestelmistä:

...