Jani Anttila LANGATON LÄHIVERKKO SATELLIITTIPOHJAISELLA INTERNET-YHTEYDELLÄ CASE FINN-IRISH BATTALION, CAMP IDA, LIBANON Opinnäytetyö KESKI-POHJANMAAN AMMATTIKORKEAKOULU Mediatekniikan koulutusohjelma 2008
TIIVISTELMÄ OPINNÄYTETYÖSTÄ Yksikkö Aika Tekniikan toimipiste, Ylivieska 8.4. 2008 Koulutusohjelma Mediatekniikan koulutusohjelma Työn nimi Langaton lähiverkko satelliittipohjaisella Internet-yhteydellä Case Finn-Irish Battalion, Camp Ida, Libanon Työn ohjaaja Information Systems Officer, Lt Janne Sormunen Tekijä Jani Anttila Sivumäärä 45 Työn valvoja Mediatekniikan yliopettaja, Veikko Brax Suomalais-Irlantilaisen rauhanturvajoukon leiriin Etelä-Libanonissa tuli rakentaa langaton lähiverkko satelliittipohjaisella Internet-yhteydellä vapaa-ajan käyttöön. Verkon tehtäväksi määriteltiin mahdollistaa yhteydenpito kotimaahan, sekä tarjota lähiverkon palveluita käyttäjille. Suunnittelun ja vaatimusten määrittelyn jälkeen rakennettiin verkkoinfrastruktuuri. Tämän jälkeen asennettiin verkon palvelimet ja tarvittavat ohjelmistot. Ongelmalliseksi muodostui dynaamisesti jaettu Internet-yhteys. Vaatimaton yhteysnopeus pakotti rajaamaan yhtäaikaisten käyttäjien määrää, rajoittamaan WWW-selailua ottamalla käyttöön aktiivinen sisällönsuodatus, sallimalla vain tietyt palvelut verkon yli ja ottamalla käyttöön välityspalvelin. Langaton lähiverkko toteutettiin suunnitelmien mukaan ja halutut palvelut kyettiin tarjoamaan verkon käyttäjille. Verkon tietoturva saatiin vaatimuksissa määritellylle tasolle, vaikka ongelmia aiheuttikin verkossa käytettävät tukiasemat. Satelliittipohjaisen Internet-yhteyden viive ja toiminta eivät aiheuttaneet ongelmia läheskään siinä määrin mitä vaatimaton yhteysnopeus suhteessa käyttäjämäärän räjähdysmäiseen kasvuun. Tiukkojen rajoituksien ja välityspalvelimen avulla verkosta saatiin kohtuullisen toimiva. Tämänkaltaista vapaa-ajan verkkoa rakennettiin ensimmäistä kertaa Suomalaisen rauhanturvaamisen historiassa. Sen soveltuvuutta ja toimivuutta haluttiin kokeilla kenttäolosuhteissa, sekä sitä millä tavoin se otettaisiin vastaan. Verkko toteutettiin kuluttajaluokan tuotteilla, joten siihen nähden käytetyt komponentit toimivat suhteellisen luotettavasti. Satelliittiyhteys todettiin hitaaksi, mutta toimivaksi ratkaisuksi. Käyttäjämäärä ylitti odotukset siinä määrin, että kysynnän ylittäessä tarjonnan jouduttiin rajoittamaan verkon käyttöä monin tavoin. Kokonaisuutena arvioiden tämä kokeilu onnistui ja sai positiivista palautetta. Tulokset antanevat hyvät lähtökohdat tulevien operaatioiden vapaaajan viestijärjestelyiden suunnitteluun. Asiasanat langattomat lähiverkot, satelliittiyhteys, intranet
ABSTRACT CENTRAL OSTROBOTHNIA UNIVERSITY OF APPLIED SCIENCES Degree programme Mediatechnology Date 8.4. 2008 Author Jani Anttila Name of thesis Wireless local area network with satellite based Internet connection Case Finn-Irish Battalion, Camp Ida, Libanon Instructor Information Systems Officer, Lt Janne Sormunen Supervisor Principal Lecturer of Media Technology, Veikko Brax Pages 45 The aim of this thesis was to build wireless local area network with satellite based Internet connection into Finnish-Irish peacekeepers camp in Southern Lebanon for free-time use. Task of the network was to provide connections to homeland and offer Intranet services. Network infrastructure was built after design process and defining requirements. Servers and necessary software were installed after this. Dynamically shared Internet connection was causing some problems because of its limited bandwidth. Amount of simultaneous users was forced to reduce and limitations to Internet use had to be done by using active web content filtering. Only necessary services were allowed through firewall and proxy was found as useful addition to the network. Wireless local area network was actualised as planned and desired services were provided to users. Required level of network security was obtained, even though devices providing network infrastructure were causing difficulties. Operation and delay of the satellite based Internet connection was not causing problems as much as the limited connection speed compared to rapidly increased amount of users. Decent level of the network usability was obtained by use of strict restrictions, proxy and cache. Free-time network like this was built for the first time in Finnish peacekeeping history. Mission was to test its compatibility and functionality in field conditions. Important was also to get feedback from users about it. The network was built using consumer class equipment. Based on that fact these network components worked quite fine. Bandwidth of the satellite connection was considered too limited for this use but in its entirety the satellite connection was well functioning solution. Several limitations had to be placed, as the amount of users grew so high. Mission was successful as a whole and positive feedback was received. These results will most likely give good starting point for designing free-time network possibilities of peacekeeping missions in future. Keywords wireless local area networks, satellite connection, intranet
ESIPUHE Tämä opinnäytetyö on tehty Suomalais-Irlantilaisen rauhanturvajoukon leirissä Ida Etelä-Libanonissa. Ensiksi haluankin kiittää Suomalais-Irlantilaista pataljoonaa tästä ainutlaatuisesta mahdollisuudesta opinnäytetyön tekemiseen. Erityisesti S6-yksikön henkilöstöstä haluan kiittää kapteeni Matti Asplundia ja luutnantti Ari Vanhataloa, sekä erityisesti opinnäytetyön ohjaajaani luutnantti Janne Sormusta. Hänen kanssaan vierähti monet illat verkon ongelmia ratkaistaessa ja ilman häntä tämä työ olisi jäänyt toteutumatta. Lisäksi haluan kiittää esikunta- ja huoltokomppanian viestihenkilöstöä, etenkin kersantti Petro Kannistoa, ylikersantti Jani Koivistoa, sekä kersantti Julius Pitkästä. Heidän tukensa ja apunsa oli korvaamaton tämän työn edistymiselle. Haluan kiittää myös opinnäytetyön valvojaani Veikko Braxia työn ohjauksesta oikeaan suuntaan.
SISÄLLYSLUETTELO TIIVISTELMÄ OPINNÄYTETYÖSTÄ ABSTRACT ESIPUHE 1 JOHDANTO 1 2 VERKON PALVELUIDEN VAATIMUKSET 2 2.1 Internet-palvelut...2 2.2 VoIP...3 2.3 Intranet-palvelut...4 3 VERKON RAKENTEEN VAATIMUKSET 6 3.1 Satelliittiyhteys...6 3.2 Wlan...6 3.3 Palvelimet...8 4 VERKON DOKUMENTOINTI 9 4.1 Osoitteistus...9 4.2 Rakenne...9 4.3 Radiotie ja kanavat...10 5 RAUHANTURVAJOUKON VAPAA-AJAN LÄHIVERKKO 11 5.1 Osoitteistus...11 5.1.1 Satelliittiyhteys...11 5.1.2 Palvelimet...11 5.1.3 Linkit...12 5.1.4 Yhteyspisteet...12 5.1.5 Internet-kahvila...13 5.1.6 Asiakkaat...13 5.1.7 Ylläpito...14 5.2 Rakenne ja toiminta...14 5.2.1 Satelliittiyhteys...14 5.2.2 Palvelimet...15 SkyNet-Server...16 SkyNet-Gameserver...19 5.2.3 Linkit ja yhteyspisteet...19 5.2.4 Internet-kahvila...21 5.2.5 Antennit...22
5.3 Tekniset tiedot...22 5.3.1 Satelliittiyhteys...22 5.3.2 Palvelimet...23 5.3.3 Linkit ja yhteyspisteet...24 5.3.4 Antennit...24 6 PALVELUKUVAUS 27 6.1 Internet-palvelut...27 6.2 VoIP...28 6.3 Intranet-palvelut...28 7 TIETOTURVA 30 7.1 Käyttäjäturvallisuus...30 7.2 Tietoliikenneturvallisuus...31 7.3 Palvelunestohyökkäysten torjunta...36 8 TULOSTEN TARKASTELU 38 9 YHTEENVETO 41 LÄHTEET 43 Painetut julkaisut...43 Sähköiset julkaisut...43
1 1 JOHDANTO Tämä opinnäytetyö liittyy Libanonin rauhanturvaoperaation (UNIFIL II) vuoden 2006 lokakuussa alkaneeseen projektiin, jonka tarkoituksena oli rakentaa Suomalais-Irlantilaisen pataljoonan leiriin vapaa-ajan yhteydenpitomahdollisuudet. Opinnäytetyössä suunniteltiin ja rakennettiin Etelä-Libanoniin, lähellä Ebel-el Sakin kylää sijaitsevaan leiriin langaton lähiverkko satelliittipohjaisella Internet-yhteydellä vapaa-ajan käyttöön, sekä yhteydenpitoon kotimaahan. Suomesta laivan mukana tuli riittävä määrä D-Linkin verkkotuotteita, joilla rakennettiin verkkoinfrastruktuuri. Suunnittelu, tarvittavat laitehankinnat ja toteutus tehtiin paikanpäällä, kun lopulta nähtiin millainen leiri alueelle rakentui. Rakennettu verkko oli ainoastaan vapaaajan käyttöä varten, eikä liittynyt joukkojen operatiiviseen toimintaan alueella. Opinnäytetyöhön kuului myös järjestelmän kokeilu ja tiedon kerääminen, jonka avulla sitä voitaisiin tulevaisuudessa hyödyntää myös suurempia vaatimuksia asettavien palveluiden yhteydessä. Toisessa luvussa käsitellään palveluiden vaatimuksia sekä Internetin että lähiverkon osalta. Kolmas luku keskittyy verkon rakenteen vaatimuksiin satelliittiyhteyden, langattoman verkon ja palvelimien osalta. Verkon dokumentoinnin vaatimukset käsitellään luvussa neljä. Luvussa viisi esitellään rakennettu verkko. Rakennetun verkon palveluita esitellään luvussa kuusi. Tietoturvaa käsitellään luvussa seitsemän käyttäjäturvallisuuden, tietoliikenneturvallisuuden, sekä mahdollisten palvelunestohyökkäysten osalta. Luvussa kahdeksan tarkastellaan verkon toimivuutta ja luotettavuutta. Yhteenveto tehdään luvussa yhdeksän.
2 2 VERKON PALVELUIDEN VAATIMUKSET 2.1 Internet-palvelut World Wide Web (WWW) on yksi Internetin tarjoamista palvelumuodoista, jonka käyttöön tarvitaan WWW-selain. Verkon osalta vaatimuksena on, että Hypertext Transfer Protocol (HTTP), joka käyttää porttia 80 liikennöintiin, sekä Hypertext Transfer Protocol over Secure Socket Layer (HTTPS), joka käyttää porttia 443, käyttö on sallittu verkon palomuurin säännöissä. (IANA 2007) Pikaviestimet eivät vaadi suurta yhteysnopeutta toimiakseen, jolloin niiden suhteen vaatimukset ulottuvat tarvittavien sääntöjen tekemiseen palomuuriin. Suosituin pikaviestin lienee MSN Messenger, joka käyttää yhteyksiin omaa Microsoft Notification Protocol (MSNP)-protokollaa. MSNP käyttää porttia 1863, jonka on oltava avoinna. MSN Messenger toimii myös portin 443 kautta, joka on HTTPS-portti. MSN Messenger tukee myös välityspalvelimen käyttöä, jolloin sen liikenne kykenee kulkemaan myös portin 80 kautta. (Microsoft Support 2007) Microsoftin pikaviestimen lisäksi suosittuja ovat Yahoo! Messenger, AOL Instant Messenger ja ICQ. Yahoo! Messenger käyttää porttia 5050, mutta osaa toimia myös portin 80 kautta. Mikäli kumpikaan edellä mainituista porteista ei päästä liikennettä läpi, käy ohjelma läpi muut mahdolliset portit. Kyseinen pikaviestin ei siis edellytä erillisiä sääntöjä palomuuriin, vaan osaa käyttää HTTP-liikenteen porttia välityspalvelimen asetuksien määrittelyn jälkeen. AOL Instant Messenger ja ICQ käyttävät oletuksena porttia 5190, mutta kyseiset pikaviestimet osaavat käyttää myös muita portteja, kuten esimerkiksi HTTP- ja HTTPS-portteja. (Yahoo! Messenger 2007;IMFirewall Inc. 2007) Sähköpostipalveluiden käytön kannalta sallitaan Simple Mail Transfer Protocol (SMTP), joka käyttää porttia 25 ja Post Office Protocol version 3 (POP3), joka käyttää porttia 110. Secure Shell (SSH)-järjestelmä vaatii portin 22 aukiolon ja File
3 Transfer Protocol (FTP) portin 21. Myös näiden käyttö sallitaan verkossa. (IANA 2007) 2.2 VoIP Voice over Internet Protocol (VoIP) mahdollistaa puhelut käyttämällä Internetyhteyttä. On olemassa VoIP-palveluita, jotka mahdollistavat yhteydet samaa palvelua käyttävien välillä, sekä palveluita joista voidaan soittaa mihin tahansa puhelinnumeroon. Yleisesti vaatimuksena on nopea Internet-yhteys, jotta puhelun laatu olisi hyvä. (Federal Communications Commission 2007) Yleiset VoIP-puheluissa käytetyt protokollat SIP ja H.323 eivät sovellu käytössä olevaan verkkoon laitteisto- ja yhteysnopeusvaatimusten takia. Skype-ohjelma tarjoaa pikaviestin ominaisuudet, sekä VoIP-puhelumahdollisuudet myös hitaammille yhteyksille. Skype käyttää yhteyksiin omaa suljettua protokollaa ja yhteyksien reitittäminen tapahtuu Peer-to-peer (P2P)-verkon avulla. (Skype Limited 2007) Skype käyttää yhteyksiin Transmission Control Protocol (TCP)-portteja 1024:stä ylöspäin tai vaihtoehtoisesti portteja 80 ja 443. Ensimmäistä vaihtoehtoa suositellaan, mutta sen toteuttaminen verkon palomuurin sääntöihin lisäisi verkon haavoittuvuutta, joten on päädytty jälkimmäiseen vaihtoehtoon. Skype tukee välityspalvelimen käyttöä, joka on verkossa vaatimuksena portin 80 liikenteelle. Skypellä soitettaessa vaatii puhelu kaistaa 3-16 kilotavua / sekunti. Kaistankäyttöön vaikuttaa muun muassa verkon muu käyttöaste ja soittajan laitteiston suorituskyky. Mikäli käynnissä ei ole puheluita, kuluttaa Skype kaistaa 0-0,5 kilotavua / sekunti. Skype toimii siis melko vaatimattomallakin yhteysnopeudella, joskin puheluiden laatu heikkenee pakkauksen ja satelliittiyhteydelle tyypillisen viiveen vuoksi. (Skype Limited 2007)
4 2.3 Intranet-palvelut Lähiverkkoon haluttiin Intranet-sivusto, johon sisällytetään keskustelufoorumi ja kuvagalleria, jonne käyttäjät voivat lisätä kuvia. Tämän lisäksi haluttiin toteuttaa verkkopelipalvelin. Kustannuksiltaan järkevä tapa toteuttaa WWW-palvelin on käyttää alustana Ubuntu Linuxia, jolle on asennettavissa tarvittavat ohjelmat joko palvelinversion asennuksen yhteydessä tai jälkikäteen verkon kautta. Ubuntu soveltuu erinomaisesti palvelinkäyttöön. Sillä on toteutettavissa kaikki tarvittavat palvelut ja saatavilla on lähes rajaton määrä erilaisia palvelinkäyttöön tarkoitettuja sovelluksia. Linuxille on olemassa huomattavasti vähemmän haittaohjelmia ja viruksia kuin esimerkiksi Windows-pohjaisille järjestelmille, joten palvelinkäytössä se on muita käyttöjärjestelmiä turvallisempi valinta. (Canonical Ltd. 2007) Suosittu ohjelma on Apache, joka on HTTP-palvelinohjelma. Apache tarjoaa käyttöön WWW-palvelimen, joka kykenee jakamaan tiedostoja HTTP-protokollan yli. (The Apache Software Foundation 2007) Apache ei kuitenkaan riitä toteuttamaan dynaamisia sivuja. Palvelimelle tarvitaan Hypertext Preprocessor (PHP)-tuki. PHP on WWW-palvelimella käytettävä ohjelmointikieli, joka palvelinympäristössä sisältää myös laajan luokkakirjaston. Komentosarjakielen tarkoituksena on mahdollistaa dynaamisten sivustojen luonti nopeasti. (The PHP Group 2007) PHP-tuen lisäksi tarvitaan käyttöön tietokanta ja sen hallintajärjestelmä. Koska kyseessä on Linux-palvelin, on perusteltua valita ohjelmaksi MySQL, jolla kyetään hallitsemaan Structured Query Language (SQL)-tietokantaa. MySQL on suosittu vapaan lähdekoodin tietokannanhallintaohjelma, koska se on nopea, luotettava ja suhteellisen helppokäyttöinen. (MySQL AB. 2007) Tämän kaltaista ohjelmakokoelmaa, jossa MySQL toimii palvelun tietokantana, sivustojen toiminta määritellään PHP-kielen avulla ja lopputulos julkaistaan Apache-palvelimella, kutsutaan Linux-Apache-MySQL-PHP (LAMP)-alustaksi. (Canonical Ltd. 2007)
5 Pelipalvelinta toteutettaessa alustaksi valittiin Windows XP, koska sille on saatavissa valmiit ohjelmistot, jotka usein tulevat pelin mukana. Palvelun toteuttaminen vaatii palvelimelta tarvittavan ohjelmiston ja valittavan pelin käyttämien porttien sallimisen lähiverkossa. Myös Linuxilla on mahdollista toteuttaa pelipalvelin, mutta pelivalikoima on rajoitettua ja kohdistuu lähinnä maksullisiin peleihin. Tällöin jokaisen pelaajan olisi hankittava lisenssi omalle koneelleen, jotta voisi osallistua toimintaan. Pelipalvelimen muut tulevaisuuden käyttötarkoitukset tukevat myös Windows-alustaa, joten Linux on suljettu vaihtoehtojen ulkopuolelle.
6 3 VERKON RAKENTEEN VAATIMUKSET 3.1 Satelliittiyhteys Maantieteellisen sijainnin ja tarvittavan yhteysnopeuden vuoksi satelliittilautasen halkaisijaksi valittiin 120 senttimetriä ja sille teholtaan 3 watin lähetin/vastaanotinyksikkö. Palveluntarjoaja Telenor toimitti tarvittavan laitteiston yhteyden muodostamiseksi. Opinnäytetyössä tehtäväksi jää laitteiston tarkastus, asennus ja yhteyden testaus. (Telenor Satellite Services 2006) Satelliittiyhteyttä rakennettaessa on tärkeää tehdä fyysinen toteutus mahdollisimman hyvin. Sijoituspaikka on valittava niin, että satelliittilautasen ja satelliitin(johon lautanen on suunnattu), edessä ei ole fyysisiä esteitä, jotka voisivat heijastaa tai vaimentaa signaalia. Lautasen kiinnityksen on oltava tukeva, jotta se ei tuulen vaikutuksesta pääse liikkumaan. Kaapelit ja liittimet lautasen mikropäästä sisätiloihin satelliittivirittimelle saakka tulee suojata kestämään vaihtelevia sääolosuhteita ja ajan aiheuttamaa kulutusta. Satelliittiviritin tulee sijoittaa sisätiloihin lukittuun tilaan siten, että sen toimintaa ilmaisevista led-valoista on nopeasti kyettävä toteamaan yhteyden tila. 3.2 Wlan Langattoman verkon on oltava sekä hyvin suojattu että fyysisen toteutuksen suhteen kestää kovia sääolosuhteita. Esimerkiksi kaapeleiden liitokset on asennusvaiheessa suojattava kumieristein, jotta kosteus ei vaurioita liittimiä. Kuviossa 1 liitokset on suojattu ja kaapelit ovat valmiita kaapelikouruun siirtämistä varten.
7 KUVIO 1. Asennusvaiheessa olevia antennikaapeleita N-liittimillä Verkon suojauksen on oltava sillä tasolla, että siihen ei voida ulkoapäin murtautua. Tämä rajasi vaihtoehdoista pois kaikki Wi-Fi Protected Access (WPA)-tekniikkaa heikommat salaukset, kuten Wired Equivalent Privacy (WEP)-salauksen sen heikon tietoturvan vuoksi. WPA-tekniikka on tehokas ja turvallinen langattoman verkon suojausmenetelmä. Se perustuu Institute of Electrical and Electronics Engineers (IEEE) 802.11i-standardin luonnokseen, joka on lisätty IEEE 802.11- standardiin. WPA2 on WPA-tekniikan seuraaja, joka tarjoaa käyttöön tehokkaamman salauksen kuin WPA-tekniikassa käytetty 128-bittinen Temporal Key Integrity Protocol (TKIP)-salaus. WPA2 käyttää Advanced Encryption Standard (AES)- salausmenetelmää, joka on toistaiseksi murtamaton. Se on myös alaspäin yhteensopiva WPA-tekniikan kanssa. Rakennettavan verkon laitteiden oli tuettava jotakin edellä mainituista tekniikoista, koska muutoin se ei olisi täyttänyt turvallisuuden suhteen määritettyjä vaatimuksia. (Wi-Fi Alliance 2007) Langaton verkko on 802.11g-standardin verkko, jonka teoreettinen nopeus on 54 megabittiä sekunnissa. G-standardi sisältää tuen myös vanhemmalle B- standardille, jonka nimellinen nopeus on 11 megabittiä sekunnissa. B-standardia ei kuitenkaan tueta, koska se aiheuttaisi noin 20% nopeuden pudotuksen puhtaaseen G-verkkoon verrattuna. Nopeuden lasku johtuu sekaverkoissa käytettävästä pidemmästä alkumerkistä kehyksissä, sekä pidemmästä odotusajasta. Puhdas G-
8 standardin verkko vaatii verkon käyttäjän laitteistolta modernin langattoman verkkosovittimen. Päätelaitteen langattoman verkkosovittimen on oltava yhteensopiva G-standardin kanssa, sekä tuettava WPA- ja WPA2-tekniikoita. (Puska 2005, 110-111) 3.3 Palvelimet Palvelinten on oltava riittävän suorituskykyisiä ja komponenttien osalta luotettavia, jotta kyetään toteuttamaan vakaa ja toimiva verkkoympäristö. Suorituskyvyn osalta käytettävien prosessoreiden on hyvä olla kaksiytimisiä ja keskusmuistia on oltava vähintään 2 gigatavua. Alkuvaiheessa levytilan vaatimukset eivät ole suuret, mutta tulevaisuuden tarpeet kannattaa huomioida, jolloin levytilaa varataan vähintään 500 gigatavua palvelinta kohden. Palvelimien osalta on huomioitava myös mahdolliset komponenttiviat ja levyrikot, jolloin kriittisiä komponentteja on oltava saatavilla korjauksia varten. Ylläpidon saatavissa tulee myös olla varapalvelin, joka voidaan tarvittaessa ottaa käyttöön nopeasti. Varapalvelimen ei tarvitse vastata suorituskyvyltään verkon alkuperäisiä palvelimia, vaan lähinnä estää suuremman luokan komponenttivikojen ilmaantuessa tarpeettoman pitkä verkon toiminnan katkeaminen. Koska palvelimet ovat verkon toiminnan kannalta oleellisia, on niille taattava suojaus virtakatkosten ja virtapiikkien varalle. Tätä varten palvelimet on suojattava Uninterruptible Power Supply (UPS)-laitteilla, jotka kykenevät virtakatkoksen sattuessa takaamaan palvelimille virransaannin muutamaksi minuutiksi. Tämä aika riittää siihen, että ylläpito voi ajaa palvelimet turvallisesti alas, jos virtakatkoksen oletetaan kestävän pidempään. Palvelimet täytyy myös sijoittaa lukittuun tilaan, jotta asiattomat henkilöt eivät niihin pääse käsiksi. Sijoituspaikassa tulee huomioida myös riittävä ilmanvaihto, jäähdytys ja paloturvallisuus.
9 4 VERKON DOKUMENTOINTI 4.1 Osoitteistus S6-yksikkö vastaa leirin viesti- ja tietoliikenneyhteyksistä. Osoitteistuksen tulee vastata sen määrittelemiä periaatteita, olla selkeä ja hyvin dokumentoitu. Verkkoa ylläpitävät useat eri henkilöt, joten heillä täytyy olla tarkka tieto siitä, kuinka osoitteet on määritelty, jotta vikatilanteissa ongelman paikallistaminen olisi mutkatonta ja vika kyettäisiin korjaamaan mahdollisimman nopeasti. Dokumentoinnin täytyy myös olla niin perinpohjainen, että tarvittaessa seuraaja kykenee omaksumaan verkon topologian itsenäisesti sen avulla. 4.2 Rakenne Ylläpidon täytyy tietää missä verkossa käytettävät langattomat tukiasemat, kytkimet ja antennit sijaitsevat. Tästä syystä niiden fyysinen sijainti täytyy dokumentoida huolella, jotta S6-yksikön vastuulla oleva laitteisto voidaan esimerkiksi määräaikaistarkastuksien sattuessa laskea ja todeta laitteiden kunto päällisin puolin. Yhteyspisteissä ja linkeissä käytettäviin D-Linkin langattomiin tukiasemiin tulee selkeästi merkitä käytössä oleva ohjelmistoversio, missä käytössä laite on, sekä laitteelle määritelty IP-osoite. Nämä tiedot tulee olla luettavissa laitteen päältä, kuten kuvio 2 havainnollistaa.
10 KUVIO 2. Tarvittavin tiedoin merkitty tukiasema 4.3 Radiotie ja kanavat Käytettäville taajuuksille ei ole tiedossa minkäänlaisia rajoituksia Libanonissa, mutta silti pitäydytään Suomessa käyttöön hyväksytyissä kanavissa. Linkkien ja yhteyspisteiden käyttämät kanavat tulee dokumentoida selkeästi, jottei niitä vahingossakaan asetettaisi samoille tai vierekkäisille kanaville, jolloin ne voisivat häiritä toistensa lähetystä. Radiotien suojauksen tiedot tulee dokumentoida ja säilyttää siten, etteivät sivulliset pääse niihin käsiksi.
11 5 RAUHANTURVAJOUKON VAPAA-AJAN LÄHIVERKKO 5.1 Osoitteistus Satelliittiyhteyden ja nimipalvelun osalta käytettiin julkisia kiinteitä C-luokan IPosoitteita. Sen sijaan vapaa-ajan verkossa sekä palvelimien että työasemien IPosoitteet olivat yksityisiä Network Address Translation (NAT)-osoitteita. NATpalvelu käytti yhtä julkista IP-osoitetta. NAT-osoitteet jaettiin DHCP-nimipalvelulla verkon asiakkaiden päätelaitteille. 5.1.1 Satelliittiyhteys Neran digitaalinen satelliittiviritin SatLink 1000 sisältää verkkokortin, jonka osoitteeksi on määritelty 172.17.63.1. Tämä on viimeinen paikallinen osoite, jonka kautta tieto kulkee satelliittilinkin välityksellä sekä palveluntarjoajan verkkoon että takaisin lähiverkon palvelimen suuntaan. Palveluntarjoaja Telenor tarjoaa nimipalvelun osoitteet 193.219.193.190 ja 193.219.193.191 käytettäväksi satelliittiyhteyden kautta. 5.1.2 Palvelimet Lähiverkon palvelinkäyttöön on varattu osoitteet väliltä 192.168.101.1 192.168.101.5, sekä osoite 192.168.101.229. Verkon palvelimen eth0-verkkokortti käyttää osoitetta 192.168.101.1 ja yhdyskäytävän osoitteeksi on määritelty Neran satelliittivirittimen verkkokortin osoite. Tähän verkkokorttiin kytkeytyy koko lähiverkko. Osoite 172.17.63.3 on palvelimen eth3-verkkokortin osoite ja kortin yhdyskäytävä on 172.17.63.1. Neran SatLink 1000 on kytketty tähän verkkokorttiin. Palvelimen osoitteesta 192.168.101.1 löytyy Intranet-sivusto käyttämällä selaimessa porttia 8000. Osoite 192.168.101.229 on määritelty verkon pelipalvelimen verkkokortille, joka vastaa portissa 1716.
12 5.1.3 Linkit Langattoman verkon Wireless Distribution System (WDS)-linkeille on varattu osoitteet väliltä 192.168.101.6 192.168.101.30. Näistä osoitteista käytössä on osoitteet väliltä 192.168.101.6 192.168.101.23, eli 18 kappaletta, jolloin mahdollisiin tulevaisuuden tarpeisiin on varattuna 7 osoitetta. Kuviossa 3 on määritelty WDSlinkeille suuntaa-antavat sijoituspaikat, sekä määritelty niille osoitteet. Verkko: 192.168.101.0/24.9.16.17.18.19.20.21.8.23.10.11.12.6.7.13.22.15.14 WDS-linkki KUVIO 3. WDS-linkit 5.1.4 Yhteyspisteet Yhteyspisteille, eli laitteille joiden kautta asiakkaat liittyvät verkkoon on varattu osoitteet välille 192.168.101.31 192.168.101.70. Näistä osoitteista käytössä on osoitteet välillä 192.168.101.31 192.168.101.47, sekä osoitteet välillä 192.168.101.69 192.168.101.70. Käytössä olevien osoitteiden lukumäärä on näin ollen 19 kappaletta, joten vapaana osoitteita on 23 kappaletta. Tämä määrä takaa sen, että mikäli laajennustarvetta tulee, niin osoitteistuksen puolesta laajen-
13 tamiselle ei ole esteitä. Alla olevasta kuviosta 4 nähdään yhteyspisteiden osoitteet, sekä mihin WDS-linkkiin kukin yhteyspiste liittyy. Verkko: 192.168.101.0/24.47.9.34.38.16.46.39.40.17.18.41.19.42.20.43.21.33.8.69.23.10.70.35.11.12.36.31.6.44.32.7.45.22.13.14.37.15 WDS-linkki Yhteyspiste Yhteyspiste (sisätila) KUVIO 4. Yhteyspisteet 5.1.5 Internet-kahvila Asiakkaiden käytössä oleva Internet-kahvila varaa kahdeksan koneen myötä saman määrän IP-osoitteita, koska näille koneille on seurannan ja käytön kannalta järkevää käyttää kiinteitä osoitteita. Kahvilan koneet varaavat osoitteet väliltä 192.168.101.240 192.168.101.247. 5.1.6 Asiakkaat Verkkoon omilla päätelaitteillaan liittyvät asiakkaat saavat osoitteen väliltä 192.168.101.101 192.168.101.199. Varattujen osoitteiden määrä vaihtelee sen hetkisen käyttäjämäärän suuruudesta riippuen. Osoitteita voi siis olla käytössä 0
14 99 kappaletta samaan aikaan. Suurempaa määrää osoitteita ei ole järkevää jakaa, koska verkon yhteysnopeus ulospäin ei sitä kestä. 5.1.7 Ylläpito Verkon ylläpidon käyttöön on varattu osoitteet väliltä 192.168.101.250 192.168.101.254, sekä osoitteet väliltä 192.168.101.71 192.168.101.100. Kiinteitä osoitteita ylläpito voi jakaa käyttäjille, jotka tarvitsevat vähemmän rajoitetun yhteyden, eikä heitä jostain syystä voida päästää virkaverkon asiakkaiksi. Näitä ovat esimerkiksi Suomesta vierailulla olevat lehdistön edustajat, koska heidän työnsä puolesta täytyy lähettää materiaalia verkon yli Suomeen. Käytettäessä kiinteää IPosoitetta, täytyy verkkokortille määritellä osoitteen lisäksi verkkomaski. Maski on 24-bittinen. Verkon yhdyskäytäväksi määritellään osoite 192.168.101.1. Nimipalvelimiksi määritellään Telenorin tarjoamat 193.219.193.190 ja 193.219.193.191. Näitä asetuksia ei tavallisen käyttäjän tarvitse määritellä, koska DHCP-palvelin jakaa tiedot automaattisesti yhdistettäessä verkkoon. 5.2 Rakenne ja toiminta Langaton lähiverkko on toteutettu D-linkin kuluttajamarkkinoille suunnatuilla tuotteilla. D-linkin laitteita käytetään siirtotienä. Niiden avulla ei suodateta liikennettä, jaeta osoitteita tai pääsylistojen avulla rajoiteta yhteyspisteisiin liittymistä, vaikka nämä ominaisuudet olisivat laitteilla toteutettavissa. Palvelimia on kaksi kappaletta, joilla toteutetaan verkon palvelut ja yhdistetään lähiverkko Telenorin tarjoamaan satelliittipohjaiseen Internet-yhteyteen. 5.2.1 Satelliittiyhteys Norjalainen tietoliikenne- ja internetyhteyksien toimittaja Telenor tarjoaa Digital Video Broadcasting Return Channel via Satellite (DVB-RCS) palvelun, joka mahdollistaa kaksisuuntaisen laajakaistaisen yhteyden. Käytössä on usean tilaajan kesken dynaamisesti jaettu 2 Mbps / 512 Kbps nopeudella toimiva yhteys, joka
15 kulkee satelliitin kautta Telenorin runkoverkkoon tarjoten muuttuvakaistaisen Internet-yhteyden, kuten kuvio 5 havainnollistaa. Satelliittilautanen on suunnattu Intelsat 10-02-satelliittiin, jonka vastaanottimessa numero 2 toimii Internet-palvelu Lähi-idän asiakkaille. Yhteys muodostetaan digitaalisen satelliittimodeemin avulla, joka on malliltaan Nera SatLink 1000. Neraan on kytketty koaksiaalikaapelit lähetystä ja vastaanottoa varten. Lähtevän ja tulevan liikenteen kaapelit on liitetty Nera satlink 4033/4035-mikropäähän, joka on kiinni halkaisijaltaan 120 senttimetrin satelliittilautasessa. (Telenor Satellite Services 2006) IntelSat 10-02 512 kbit/s Palveluntarjoaja Nera SatLink (Toistinasema) 2048 kbit/s Asiakas SatLink 1000 (Reititin- modeemi) Internet LAN LAN KUVIO 5. Satelliittipohjainen Internetyhteys 5.2.2 Palvelimet Welfare-verkossa on käytössä kaksi palvelinta. Verkon toiminnan kannalta tärkein on SkyNet-Server. Skynet-Gameserver on toinen verkon palvelimista, jonka kautta hoidetaan verkon ylläpitoa, seurantaa, varmuuskopiointia ja ajetaan Intranetin pelipalvelinta.
16 SkyNet-Server Palvelimen, joka näkyy alla olevassa kuviossa 6, käyttöjärjestelmäksi on valittu Ubuntu Linux-jakelu. KUVIO 6. SkyNet-Server Osoitteiden jakaminen asiakkaille toteutetaan DHCP-palvelimella, jolle on määritelty tarkoin mitä osoitteita jaetaan ja millä määrityksillä. DHCP tarjoaa asiakkaan päätelaitteelle IP-osoitteen lisäksi käytössä olevan 24-bittisen verkkomaskin, yhdyskäytävän osoitteen ja nimipalvelinten osoitteet. Lisäksi se määrittää IPosoitteen laina-ajan. Osoitteen laina-ajaksi on määritelty kaksi tuntia, jonka jälkeen osoite vanhenee ja asiakkaan langaton verkkokortti joutuu uusimaan osoitteen jatkaakseen istuntoa. Osoitteen uusimiselle on määritelty neljän sekunnin viive. Osoitetta ei uusita samalle päätelaitteelle ennen odotusajan päättymistä. Jaossa olevien osoitteiden määrä on pienempi kuin rekisteröityjen käyttäjien määrä, jolloin on mahdollista, että jaettavia osoitteita ei ole tarjolla kaikille verkkoon haluaville. Tällöin odotusaika tarjoaa etusijan verkkoon pääsyä odottaville laitteille, jotka eivät ole saman vuorokauden aikana liittyneet yhteyspisteeseen ja vastaanottaneet määrityksiä.
17 Verkon välityspalvelin on määritelty palvelimen osoitteeseen 192.168.101.1 ja toimii portissa 3128. Ilman välityspalvelimen määritystä ei asiakas pääse koneellaan sisäverkosta ulospäin niillä ohjelmilla, jotka käyttävät porttia 80 liikennöintiin. Tähän voidaan lukea esimerkiksi WWW-selaimet, sekä pikaviestimet, kuten MSN Messenger ja Yahoo! Messenger. Välityspalvelin on toteutettu Squid web proxy cache 2.6-ohjelmalla, jonka yhteydessä toimii Dansguardian 2.9.8.5-ohjelma, joka huolehtii haettavan sisällön suodattamisesta. Dansguardian on reaaliaikainen WWW-liikenteen suodatusohjelma, joka tutkii ladattavien sivustojen ja tiedostojen sisältöä verraten niitä määriteltyihin sääntöihin. Sääntöjen perusteella se joko hylkää tai sallii ne. Lähiverkosta tulevat pyynnöt, jotka osoittavat porttiin 80, ohjataan Dansguardianille. Dansguardian tutkii pyynnön ja mikäli se hyväksytään, ohjautuu pyyntö Squidiin porttiin 3128. Squidista pyyntö ohjautuu verkkokortille, joka on kytketty Neran satelliittivirittimeen, josta on yhteys Internetiin. Vastauksen tullessa välityspalvelin tarkistaa sivun ja tämän jälkeen sivu ohjataan Dansguardianiin, joka tarkistaa sen sisällön ja hylkää sen mikäli sisältö on sääntöjen vastainen. Samankaltaisen pyynnön tullessa uudelleen ei se jatka matkaansa Dansguardianista, koska ohjelma muistaa edellisen pyynnön ja tällöin hylkää sen. Mikäli sivu ei riko Dansguardianiin määriteltyjä sääntöjä, saa se kulkea vapaasti Squidin tarkistaessa löytyykö sen välimuistista kyseistä sivua. Jos haettu sisältö löytyy Squidin välimuistista, latautuu se asiakkaan koneelle nopeammin, eikä lataus kuormita Internet-yhteyttä. (Barron 2007;Creative Commons 2007) Tarkoituksena on nopeuttaa käyttäjien WWW-selailua mahdollisimman paljon, joten Squid on määritelty tallentamaan muistiinsa myös sivustot, joilla on määritelty selaimelle olemaan tallentamatta sisältöä välimuistiin. Pakettien ohjaus ohjelmien välillä ja määriteltyihin portteihin hoidetaan IP-tauluilla. Mikäli asiakas ei ole määrittänyt välityspalvelimen asetuksia ohjelmalle, joka lähettää pyynnön porttiin 80, ohjautuu paketti Dansguardianin kautta vääristyneenä Squidiin, joka hylkää pyynnön. Mikäli asiakas yrittää päästä esimerkiksi WWW-selaimellaan jollekin sivustolle, palauttaa Squid virheestä kertovan sivun selaimelle, joka ilmoittaa syyn pyynnön hylkäykseen. Dansguardianin asetustiedostoihin voidaan tarkasti määritellä esimerkiksi erikseen sallitut sivustot ja lähiverkon IP-osoitteet, joita rajoitukset ja kiellot eivät koske. Dansguardianin ja Squidin yhdistelmä toimii hyvin, kun pyrkimyksenä on rajoittaa tietyntyyppistä liikennettä ja nopeuttaa sivustojen latausaikaa.