Tampereen teknillisen yliopiston julkinen pääsyverkko



Samankaltaiset tiedostot
LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Foscam kameran asennus ilman kytkintä/reititintä

Langaton verkko sairaalakäyt. ytössä; ; suunnittelu,

Yleinen ohjeistus Linux tehtävään

Langattoman kotiverkon mahdollisuudet

Langaton Tampere yrityskäyttäjän asetukset

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

WLAN-PALVELU LUOTETTAVASTI KÄYTTÖÖNNE

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Verkkoasetusten ohjeet

Liikkuvien käyttäjien palveleminen: pääsyalueet ja langattomuus

Langaton Tampere yhteisötukiaseman liittäminen

TW- EAV510 v2: WDS- TOIMINTO KAHDEN TW- EAV510 V2 LAITTEEN VÄLILLÄ

Teknisiä käsitteitä, lyhenteitä ja määritelmiä

JOVISION IP-KAMERA Käyttöohje

TELIA YRITYSINTERNET. Langaton asennusohje Huawei AR161

Kotikarjalan IPTV:n asetukset ja ohjeet

AirPrint-opas. Versio 0 FIN

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Kysymykset, vastaukset ja tarjouspyynnön tarkennukset

Henkilökohtaista käyttäjäystävällistä tietoturvaa! NTG Solo Secure

Tekninen Tuki. Access Point asennusohje

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X

TW- EAV510 JA TW- LTE REITITIN: WDS- VERKKO

Langattoman verkon ohje (kannettavat tietokoneet ym. päätelaitteet) ohje opiskelijoille, henkilökunnalle

Yleinen ohjeistus Linux-tehtävään

ERICSSON HM410DP ASENNUSOHJE

VALOKUITULIITTYMÄN PÄÄTELAITE KÄYTTÖOHJE CTS FWR5-3105

Liittymän vikadiagnosointi

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

CISCO AIRONET 1242AG -TUKIASEMA

Etäkäyttö onnistuu kun kamera on kytketty yleisimpiin adsl- tai 3G verkkoihin. Kts. Tarkemmin taulukosta jäljempänä.

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Mac OS X

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

1 YLEISKUVAUS Verkkoturvapalvelu Verkkoturvapalvelun edut Palvelun perusominaisuudet... 2

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

DI-624+ AirPlus G+ 2.4GHz langaton

Langaton Tampere kotikäyttäjän liittyminen

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Palvelin. Internet. Jäspi Älyvaraaja - yhdistämisen pikaohje

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

KEMI-TORNIONLAAKSON KOULUTUSKUNTAYHTYMÄ LAPPIA LANGATON VIERAILIJAVERKKO 2(7) VERKKOYHTEYDEN MÄÄRITTELY WINDOWS XP:LLE (WINDOWS XP SP3)

Vaatimusmäärittely Ohjelma-ajanvälitys komponentti

VMU-C EM. Asennus ja käyttö

Epson EMP-765 langaton käyttö

Ohjeita tietokoneverkon käyttöön Latokartano-säätiön ja Metsäylioppilaiden asuntosäätiön asuntoloissa

Kytkentäopas. Tuetut käyttöjärjestelmät. Tulostimen asentaminen. Kytkentäopas

AirPrint-opas. Tämä käyttöopas koskee seuraavia malleja:

AirPrint-opas. Versio 0 FIN

Draft. Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name. Total

Mark Summary. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

Tutkimus web-palveluista (1996)

Kytkentäohje KYTKENTÄOHJE. Kuitupääte Alcatel-Lucent I-040G-R. WLAN-reititin TP-Link Archer C7.

eduroamin käyttöohje Windows

Nebula pilvi 9.0 saatavuusalueiden välinen verkkoliikenne

P-870HN-51b pikaopas. Oletusasetukset LAN-portti: LAN1~LAN4 IP-osoite: Salasana: 1234

WL54AP2. Langattoman verkon laajennusohje WDS

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows Vista

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

Toshiba EasyGuard käytännössä: Portégé M300

Salausmenetelmät (ei käsitellä tällä kurssilla)

Asennusopas. Huomautus. Observit RSS

Pikaopas. WiFi-kantaman laajennin N300 Malli EX2700

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows Vista

VERKON ASETUKSET SEKÄ WINDOWSIN PÄIVITTÄMINEN

ASENNUS GOLDen GATE, TBLZ-1/

Raporttiarkiston (RATKI) käyttöohjeet Ohjeet

AirPrint-opas. Tämä opas on tarkoitettu mustesuihkumalleille. Versio B FIN

TeleWell TW-EA515 (b)

Langattomien verkkojen tietosuojapalvelut

WLAN-laitteen asennusopas

1. päivä ip Windows 2003 Server ja vista (toteutus)

1 YLEISKUVAUS Kaapelikaistaliittymä Palvelun rajoitukset PALVELUKOMPONENTIT Päätelaite Nopeus...

SISÄPEITTOANTENNIVERKKO

mikä sen merkitys on liikkuvalle ammattilaiselle?

IPC3 1.3 Mega-Pixel / Moniprofiili IP -kamera

Pikaopas. WiFi-kantamanlaajennin AC750. Malli EX3800

CTS-kotipäätelaitteen asennusohje v

TW- EAV510 v2: WDS- TOIMINTO TW- EAV510 V2 LAITTEEN ja TW- LTE REITITTIMEN VÄLILLÄ. Oletus konfiguroinnissa on, että laitteet ovat tehdasasetuksilla

Netplaza. paremman palvelun puolesta! Asiakaspalvelu palvelee. Sinä keskityt omaan työhösi. Jos jokin ei suju niin kuin oletit

Mark Summary Form. Tulospalvelu. Competitor No Competitor Name Member

TOIMINNALLINEN MÄÄRITTELY MS

HP:n WLAN-kontrollerin konfigurointi

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

OSA 1 LUKON ASENNUS JA KYTKENTÄ. Lukon asennusosat

D-Link DSL-504T ADSL Reitittimen Asennusohje ver. 1.0

Hand Held Products Net Base telakan sisäisten IP osoitteiden muuttaminen. Käyttöohje

KÄYTTÖ- JA ASENNUSOHJEET

Elisa Oyj Tiedote 1 (5) Julkinen. WLAN ongelmat Zyxel modeemeissa. 1 Yleistä

QUICK INSTALLATION GUIDE

DNA LAAJAKAISTA TUOTEKUVAUS

TIETOTURVALLISUUDESTA

Taloyhtiön laajakaistan käyttöohje, Tekniikka: ADSL/ADSL2/ADSL2+ Käyttöjärjestelmä: Windows XP

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Transkriptio:

Tampereen teknillisen yliopiston julkinen pääsyverkko Arkkitehtuurikuvaus v0.4 Karri Huhtanen <karrih@cs.tut.fi>

Karri Huhtanen julkinen pääsyverkko 2 (16) VERSIOHISTORIA Versio Päivämäärä Muuttaja Muutokset 0.1 18.11.2002 Karri Huhtanen (kh) Dokumentoitu Tietoliikennetekniikan laitoksen pääsyalueen rakennus 0.2 15.12.2002 Karri Huhtanen (kh) Tavoitteet ja suunnittelun periaatteet Toiminta Verkkoarkkitehtuuri 0.3 16.12.2002 Karri Huhtanen (kh) Johdanto, ensimmäinen versio kommentoitavaksi 0.4 10.1.2003 Karri Huhtanen (kh) TTKK -> TTY

Karri Huhtanen julkinen pääsyverkko 3 (16) SISÄLLYSLUETTELO 1 Johdanto... 4 1.1 Tarkoitus ja kattavuus... 4 1.2 Määritelmät, termit ja lyhenteet... 4 1.3 Viitteet... 4 1.4 Yleiskatsaus dokumenttiin... 4 2 Tavoitteet ja suunnittelun periaatteet... 5 2.1 Riittävä turvallisuus... 5 2.2 Joustavuus, päivitettävyys, skaalattavuus... 5 2.3 Yhteensopivuus, avoimuus, standardit... 5 2.4 Käytettävyys... 5 3 Toiminta... 6 3.1 Neljä tapaa päästä verkkoon... 6 3.2 Tapa 1: Opiskelijapääsy... 6 3.3 Tapa 2: Henkilökuntapääsy... 6 3.4 Tapa 3: Vierailijapääsy... 7 3.5 Tapa 4: Verkkovierailijapääsy... 7 4 Verkkoarkkitehtuuri... 8 4.1 Sisäiset ja julkiset verkot, pääsynvalvojat... 8 4.2 Julkiset ja yhdistetyt pääsyalueet... 9 4.3 WLAN-tukiasemat, seinäliittymät ja kytkimet... 10 4.4 WLAN-radioverkko... 11 5 Käytännön esimerkki: TTY / Tietoliikennetekniikan laitos... 12 5.1 Antennien käytäväasennus... 12 5.2 Tukiaseman käytäväasennus... 13 5.3 Käyttöjännite ja verkkoyhteys samassa johdossa... 14 5.4 Asennusresurssit ja kulunut aika... 14 5.5 Tukiasemien sijainnit ja saavutettu kattavuus... 15 5.6 Kanavajako... 16 5.7 Käytetyt työkalut... 16

Karri Huhtanen julkinen pääsyverkko 4 (16) 1 JOHDANTO 1.1 TARKOITUS JA KATTAVUUS Tämän dokumentin tarkoituksena on antaa yleiskuva Tampereen teknillisen yliopiston julkisen pääsyverkon arkkitehtuurista ja toiminnasta sekä tavoitteista ja periaatteista sen suunnittelun taustalla. Dokumentilla on tarkoitus kattaa yleiset julkisen pääsyverkon ominaisuudet ja ratkaisut sekä syyt niihin antaen dokumentin lukijalle pohjatiedot, joiden perusteella lukija voi lähteä suunnittelemaan ja toteuttamaan arkkitehtuurin kanssa yhteensopivaa julkista pääsyverkkoa tai pääsyaluetta. 1.2 MÄÄRITELMÄT, TERMIT JA LYHENTEET ARP Address Resolution Protocol CAT5 CATegory 5, kaapelityyppi DHCP Dynamic Host Configuration Protocol ICMP Internet Control Message Protocol IEEE Institute of Electrical and Electronics Engineers IP Internet Protocol IPSEC Internet Protocol SECurity PoE Power on Ethernet SSL Secure Socket Layer TTY Tampereen Teknillinen Yliopisto VLAN Virtual Local Area Network VPN Virtual Private Network WLAN Wireless Local Area Network, käytetty usein IEEE 802.11b/a/g/h standardien mukaisista verkoista puhuttaessa 1.3 VIITTEET [Tammin02] 2.4GHz WLAN Radio Interface Jani Tamminen, Radionet Oy http://www.radionet.fi/res/276/tut_wlan_seminar.pdf 19.11.2002 1.4 YLEISKATSAUS DOKUMENTTIIN Dokumentti alkaa ensiksi julkisen pääsyalueiden arkkistehtuurin tavoitteiden ja suunnittelun periaatteiden esittelyllä (Luku 2), jota seuraa toiminnallinen kuvaus neljän eri käyttäjätyypin perspektiivistä (Luku 3). Dokumentti jatkuu toiminnan mahdollistavan arkkitehtuurin tarkemmalla kuvauksella (Luku 4) ja päättyy käytännön esimerkkiin (Luku 5), jossa kuvataan tietoliikennetekniikan laitoksen pääsyalueen rakentamisprojekti.

Karri Huhtanen julkinen pääsyverkko 5 (16) 2 TAVOITTEET JA SUUNNITTELUN PERIAATTEET 2.1 RIITTÄVÄ TURVALLISUUS Työntekijöille vahvasti suojattu/salattu pääsy osaston/laitoksen sisäverkkoon Perusautentikaatio opiskelijoille verkkoon pääsyä varten Vierailijoille isännän hallitsema pääsy verkkoon ja Internetiin Vierailijoille ja verkkovierailijoille mahdollisuus käyttää VPN-ratkaisua kotiverkkoon suuntautuvan liikenteen suojaamiseen Mahdollisuus rajata pääsyä verkkoon ja suojata Internetiä pääsyalueilta päin tulevilta hyökkäyksiltä Mahdollisuus suojata pääsyaluetta Internetiltä Autentikoimaton pääsy verkkoon ei onnistu tai on tarpeeksi vaikeaa / mahdotonta, että sitä lähdettäisiin yrittämään 2.2 JOUSTAVUUS, PÄIVITETTÄVYYS, SKAALATTAVUUS Arkkitehtuurin pitää mahdollistaa uusien palveluiden ja verkkoelementtien lisääminen joustavasti Arkkitehtuurin pitää mahdollistaa uusien teknologioiden ja olemassa olevien järjestelmien päivitys joustavasti Arkkitehtuurin ei pidä rajoittaa verkon skaalautuvuutta ja kasvua. 2.3 YHTEENSOPIVUUS, AVOIMUUS, STANDARDIT Arkkitehtuurin täytyy tukea sekä kaupallisia että ei-kaupallisia verkkoelementtejä standardoitujen rajapintojen kautta. Avoimien standardien ja rajapintojen käyttö on suositeltavaa. Suljettuja, valmistajakohtaisia ratkaisuja pitää välttää. 2.4 KÄYTETTÄVYYS Käyttäjän päätteeltä ei pidä vaatia erityisiä ohjelmistoja, rautaratkaisuja tai käyttöjärjestelmää perusverkkopääsyn saamiseksi.

Karri Huhtanen julkinen pääsyverkko 6 (16) 3 TOIMINTA 3.1 NELJÄ TAPAA PÄÄSTÄ VERKKOON Määriteltäessä TTY:n julkisen pääsyverkon arkkitehtuuria on löydetty neljä käyttäjätyyppiä, jolla jokaisella on omat tarpeensa verkon tietoturvan ja palveluiden suhteen: Opiskelija Henkilökunnan jäsen Vierailija Verkkovierailija Arkkitehtuurin suunnittelussa on sen jälkeen käytetty näitä käyttäjätyyppejä pohjana pääsynvalvontajärjestelmän toiminnallisuutta ja ominaisuuksia määriteltäessä ja kehitetty neljä tapaa autentikoitua ja saada pääsy haluttuun verkkoon. 3.2 TAPA 1: OPISKELIJAPÄÄSY Opiskelija tulee pääsyalueelle. Päätelaite saa julkisen IP-osoitteen DHCP:n avulla. Opiskelija käynnistää WWW selaimen ja yrittää hakea jotain TTY:n ulkopuolista WWWsivua, pääsynvalvoja ohjaa pyynnön SSL-suojatulle autentikaatiosivulle. Opiskelija syöttää autentikaatiotietonsa (käyttäjätunnuksen muotoa käyttäjätunnus@domain ja salasanansa). Pääsynvalvoja varmentaa autentikaation verkkovierailupalvelimesta tai muusta määritellystä autentikaatiopalvelimesta. Opiskelija saa mahdollisesti rajoitetun pääsyn ulos julkiselta pääsyalueelta muuhun verkkoon. Kun opiskelijan pääte ei vastaa pääsynvalvojan konfiguraatiossa määriteltyyn määrään ICMP- tai ARP-kyselyitä katsotaan opiskelijan pääte poistuneeksi alueelta ja uutta autentikaatiota vaaditaan uuden pääsyn saamiseksi. 3.3 TAPA 2: HENKILÖKUNTAPÄÄSY Henkilökunnan jäsen tulee pääsyalueelle. Päätelaite saa julkisen IP-osoitteen DHCP:n avulla. Henkilökunnan jäsen muodostaa päätteeltään VPN-yhteyden tunnettuun ja pääsynvalvojaan määriteltyyn VPN-päätepisteeseen ja autentikoituu jollain VPN-ratkaisun tarjoamalla keinolla. Henkilökunnan jäsen saa nyt suojatun, täyden pääsyn omaan sisäverkkoonsa ja mahdollisesti myös virtuaalisen IP-osoitteen luotetusta verkosta mikäli VPN-ohjelmisto tukee niitä. Valittu VPN-ratkaisu voidaan konfiguroida tulkitsemaan milloin käyttäjä on poistunut pääsyalueelta tai käyttäjä voi itse lopettaa pääsynsä sulkemalla VPN-yhteyden.

Karri Huhtanen julkinen pääsyverkko 7 (16) 3.4 TAPA 3: VIERAILIJAPÄÄSY Vierailija tulee pääsyalueelle. Vierailijan pääte saa julkisen IP-osoitteen DHCP:n avulla. Vierailija käynnistää WWW-selaimen ja yrittää hakea TTY:n ulkopuolista WWW-sivua. Autentikaatiosivulla on linkki ja ohjeistus vierailijapääsyn saamiseksi. Vierailija syöttää vierastietonsa (esim. nimi, organisaatio, isännän nimi ja sähköpostiosoite) ja saa vastaukseksi satunnaisesti luodun vierailijatunnuksen ja salasanan. Saatuaan järjestelmältä ilmoituksen sähköpostiinsa tai muuta kautta vierailijan isäntä tai joku muu hyväksymisvaltuudet omistava hyväksyy vierailijan rekisteröinnin ja määrittelee tämän tunnuksen voimassaoloajan. Vierailijan tunnus aktivoituu. Vierailija saa pääsyn verkkoon aikaisemmin saamallaan tunnuksella ja salasanalla. Loppu meneekin sitten kuten opiskelijapääsyn tapauksessa sillä poikkeuksella, että pääsy käyttäjätunnus-salasana-parilla hylätään niiden voimassaoloajan päätyttyä. 3.5 TAPA 4: VERKKOVIERAILIJAPÄÄSY Verkkovierailija tulee pääsyalueelle. Vierailijan pääte saa julkisen IP-osoitteen DHCP:n avulla. Verkkovierailija käynnistää WWW-selaimen ja yrittää hakea TTY:n ulkopuolista WWWsivua. Pääsynvalvoja kaappaa WWW-pyynnön ja ohjaa selaimen autentikaatiosivulle. Verkkovierailija syöttää autentikaatiotietonsa (käyttäjätunnus@domain, salasana). Pääsynvalvoja varmentaa autentikaation verkkovierailupalvelimelta. Verkkovierailupalvelin varmentaa autentikaation tuntemaansa domainia vastaavalta autentikaatiopalvelimelta tai ohjaa pyynnön hierarkiassa ylimpänä olevalle juuriverkkovierailupalvelimelle, joka ohjaa autentikaatiopyynnön edelleen oikealle autentikaatiopalvelimelle. Vastaus autentikaatiopyyntöön palaa samaa ketjua pitkin taakse päin. Autentikaation varmennuttua verkkovierailija saa pääsyn verkkoon. Verkkovierailija voi nyt käyttää verkkoa kuten opiskelijat tai halutessaan käynnistää vaikka VPN-yhteyden kotiverkkoonsa. Jos verkkovierailijan päätelaite ei vastaa määriteltyyn määrään ICMP- tai ARP-kyselyitä, katsotaan se poistuneeksi pääsyalueelta ja uutta autentikaatiota vaaditaan.

Karri Huhtanen julkinen pääsyverkko 8 (16) 4 VERKKOARKKITEHTUURI 4.1 SISÄISET JA JULKISET VERKOT, PÄÄSYNVALVOJAT Päätalon sisäverkko Päätalon julkinen verkko pääsynvalvoja Tietotalon sisäverkot Internet TTY runkoverkko - Julkiset verkot (JV) on erotettu muista verkoista reunareitittimissä - Pääsyä julkisista verkoista eteenpäin esim. Internettiin hallitaan pääsynvalvojilla. - osastojen sisäverkkoja voidaan suojata pääsynvalvontalistoilla ja porttisuodattimilla reunareittimissä - VLANeja käytetään erottamaan pääsynvalvojat ja julkiset verkot omiin verkkosegmentteihinsä - Julkista verkkoa on pidettävä yhtä vihamielisenä kuin Internettiä Tietotalon julkinen verkko Kuvan verkkoarkkitehtuurissa on eriytetty sisäverkot ja julkiset verkot toisistaan. Sisäverkoilla tarkoitetaan esimerkiksi laitosten sisäiseen käyttöön varattuja IP-verkkoja, joita voidaan ajatella vastaaviksi kuin yritysten intranet-osaa. Sisäverkot ovat verkkoja, joita täytyy suojella ulkopuolisten pääsyä vastaan. Julkiset verkot ovat verkkoja, joihin voidaan antaa vapaa pääsy opiskelijoille, henkilökunnalle ja vieraille ilman, että laitosten ja osastojen sisäverkkojen tai TTY:n runkoverkon tietoturvallisuus merkittävästi vaarantuu. Julkista verkkoa on pidettävä tietoturvamielessä yhtä vihamielisenä kuin Internettinä ja tämä on otettava huomioon esimerkiksi suunniteltaessa, säädettäessä ja sijoitettaessa palomuureja korkeakoulun verkkoon. Julkisen verkon on tälläisessä tapauksessa jäätävä oletuksena palomuurien suojaamien verkkojen ulkopuolelle. Julkisten verkkojen ja pääsynvalvojien eristämisessä muista verkoista käytetään hyväkseen VLANeja. Pääsynvalvojat hallintaosoitteineen eristetään omaan VLANiinsa, joka liittyy reunareitittimiin. Pääsynvalvoja-VLANissa pääsyvalvojat mainostavat OSPF:llä valvomiaan verkkoja ja kuuntelevat reunareititinten mainostamia verkkoja. Jos mahdollista laitteiden ominaisuuksien puolesta, WLAN-tukiasemissa käytetään myös erillisiä VLANeja laitteen hallintaan ja liikenteen siirtoon. Liikenteen siirtoon tarkoitetusta VLANista ei tällöin saa olla muuta pääsyä verkkoon kuin pääsynvalvojan läpi. VLANeja ymmärtämättömät tukiasemat sijoitetaan pääsynvalvojan hallitseman julkisen verkon puolelle ja verkonhallinta sallitaan pääsynvalvojan läpi vain tietyistä tarkoitukseen käytetyistä verkoista. Pääsynvalvoja ja tukiasemat konfiguroidaan näiden vaatimusten mukaan. Täyttä pääsyä julkisista verkoista eteenpäin TTY:n runkoverkkoon tai Internetiin hallitaan pääsynvalvojilla. Pääsynvalvojat ovat laitteita, joiden tehtävänä on avata päätelaitteille liikennöinti

Karri Huhtanen julkinen pääsyverkko 9 (16) eteenpäin vasta käyttäjien autentikoiduttua verkolle ja estää näin autentikoitumattoman käyttäjien pääsy julkisilta pääsyalueilta pitemmälle. Käyttäjien pääsyä eteenpäin voidaan rajoittaa jo pääsynvalvojissa palomuuri-/liikennesäännöin, mutta on suositeltavaa, että sisäverkkoja ja Internettiä suojaavat rajoitukset tehdään myös, jollei kokonaan, TTY:n reunareitittimissä ja mahdollisissa organisaatio- ja osastokohtaisissa palomuureissa. 4.2 JULKISET JA YHDISTETYT PÄÄSYALUEET Internet TTY runkoverkko osaston x sisäverkko osaston y sisäverkko VPNyhdyskäytävä IPSEC/VPN suojattu pääsy osaston sisäverkkoon yhdistetty henkilökunta- ja julkinen pääsyalue Pääsynvalvojat julkinen pääsyalue esim. luentosali julkinen pääsyalue esim. ryhmätyöhuone Salaamaton suodatettu pääsy Internetiin Julkinen pääsyalue kuvassa tarkoittaa pääsyaluetta, jolta voi olettaa olevan enimmäkseen satunnaisia yhteyksiä, kuten satunnaisia opiskelija-, vierailija- ja luennoija-yhteyksiä. Tälläisiä julkisia pääsyalueita ovat esimerkiksi luentosali- ja ryhmätyöhuonerykelmät. Julkiset pääsyalueet ovat tietohallinnon tarjoama palvelu korkeakoulun henkilökunnalle, opiskelijoille ja vierailijoille ja niin ollen tietohallinnon hallinnassa. Yhdistetty pääsyalue sen sijaan on esimerkiksi laitoksen ja tietohallinnon yhteistyössä hallinnoima alue, jonka ideana on tarjota sama esimerkiksi laitoksen kattava radioverkko käytettäväksi sekä henkilökunnalle, opiskelijoille että vieraille. Näin voidaan tarjota yksi yhtenäinen radiotie ilman päällekkäisiä radioverkkoja. On huomattava, että molempien pääsyalueiden radiotie on salaamaton ja salaus suoritetaan ylemmillä kerroksilla riippuen käyttäjän tarpeista. Salaamattomien autentikaatioinformaatiota kuljettavien protokollien käyttö on henkilökunnalta ja opiskelijoilta kielletty, jollei käytössä ole VPN-ratkaisua, vierailijoiden kohdalla salaamattomien protokollien käyttö on omalla vastuulla. Julkinen tai yhdistetty pääsyalue koostuu useista mieluiten samassa IP-verkossa sijaitsevista tukiasemista ja seinäliittymistä. On suositeltavaa, että jokaista pääsyaluetta hallitsee oma pääsynvalvojansa. Näin pystytään pitämään pääsyalueet tarpeeksi pieninä ja lisäksi yhden aliverkon ollessa kyseessä käyttämään varmempaa keinoa, ARP-tarkistusta, huomaamaan käyttäjän

Karri Huhtanen julkinen pääsyverkko 10 (16) päätelaitteen poistuminen pääsyalueelta. Pääsyalueiden pitäminen pieninä vaikeuttaa käyttäjien yhteyksien kaappaamiseen tai seuraamiseen perustuvia hyökkäyksiä ja parantaa näin alueiden tietoturvaa. 4.3 WLAN-TUKIASEMAT, SEINÄLIITTYMÄT JA KYTKIMET reunareititin pääsynvalvoja julkinen trunk trunk pääsynvalvoja t julkinen hallinta vanhat tukiasemat VLAN-kykyiset tukiasemat Aikaisemmin mainittiin jo VLANien käyttö julkisten verkkojen erottamiseen pääsyvalvotuista verkoista sekä hallintaverkkojen käyttö. Ylläolevassa kuvassa tämä on esitetty käytännössä. Kuvassa on luotu VLAN julkiselle alueelle, johon kuuluu tukiasemien julkisen puolen lisäksi pääsynvalvojan julkisen puolen verkkoliitäntä. Tämä julkinen alue on alue, jolle käyttäjillä on pääsy automaattisesti joko radiotien tai julkisten seinäliittymien kautta. Pääsyä eteenpäin kontrolloi sitten pääsynvalvoja, joka käytännössä päästää autentikoituneen päätelaitteen liikenteen lävitseen pääsynvalvojille varatun VLANin kautta. Kuvassa on myös esitetty uudempien VLAN-kykyisten tukiasemien (mm. Cisco AP-1200, Lucent/Agere AP-2000, ja Avaya AP-3) kanssa käytetty mahdollisuus eristää tukiaseman hallintaliikenne turvallisuuden parantamiseksi oman VLANiinsa. Käytännössä tämä tapahtuu määrittelemällä tukiasemaan liitetty kytkinportti trunkiksi ja ohjaamalla siihen oikeat VLANit. Tukiasemassa toki täytyy olla päällä VLAN-tuki ja määriteltynä käytetyt VLANit. Julkisten seinäliittymien liittäminen julkisen VLANin alle ei juurikaan poikkea vanhojen tukiasemien liittämisestä. Kyseiset kytkinten portit vain konfiguroidaan kuulumaan määriteltyyn julkiseen VLANiin ja näin seinäliittymä tai tukiasema on liitetty pääsynvalvojan hallinnan alle.

Karri Huhtanen julkinen pääsyverkko 11 (16) 4.4 WLAN-RADIOVERKKO WLAN-verkon suunnittelua varten on ohjelmia, mutta ne on suunnattu toiminnallisuuksiensa ja hintansa puolesta isoille operaattoreille ja tarkoitettu enimmäkseen alueellisten verkkojen suunnitteluun toimistotilojen sijaan. Tälläiset suunnitteluohjelmat tai palvelu eivät ole hankintahintansa puolesta kannattavia. Sen sijaan yksinkertaista ja toimivaa suunnittelua voi harrastaa parilla tukiasemalla, WLAN-kortilla varustetulla kannettavalla, parilla ilmaisella ohjelmistolla ja muistamalla pari olennaista asiaa WLAN-verkoista. WLAN toimii 2.4GHz:n eli mikroaaltoalueella. Mikroaallot eivät pidä raskaista seinärakenteista ja metallisista rakenteista yleensäkään. Selektiivilasillakin saattaa olla signaalia heikentävä vaikutus. Pahimpia esteitä ovat esteet, joihin mikroaallot absorboituvat, sillä silloin niillä ei ole mahdollista kiertää esteitä heijastumalla eli niin sanotun monitie-etenemisen avulla. Toinen tärkeä asia mikroaaltojen ominaisuuksien huomioimisen lisäksi on vierekkäisillä kanavilla toimivien ja muiden laitteiden aiheuttamat häiriöt. Vierekkäisille kanaville asetetut WLANtukiasemat häiritsevät toisiaan ja tätä on syytä välttää valitsemalla vierekkäisten tukiasemien kanavat vähintään jättämällä yhden kanavan väliin, mieluiten tietysti mahdollisimman monta. Vapaita kanavia voi etsiskellä vaikka Tietoliikennetekniikan laitoksen esimerkkiasennusten yhteydessä mainitulla Network Stumbler ohjelmistolla. Lisäksi ainakin Ciscon ja Lucent/Agere/Avaya/Proximin tukiasemissa on ominaisuus, jolla voi laittaa ne automaattisesti hakeutumaan häiriöttömille kanaville. 2.4GHz:n taajuusalue on lisenssoimaton radiotaajuus, joka tarkoittaa käytännössä sitä, että alueella saa liikennöidä millainen laite tahansa, kunhan se ei ylitä taajuusalueelle määriteltyjä tehoarvoja tai häiritse muita taajuusalueita. 2.4GHz:n taajuusalueella voi siis olla vaikka kuinka paljon erilaisia laitteita, kuten langattomia mikrofoneja, puhelimia jne,. jotka saattavat häiritä muita taajuudella olevia laitteita. Ainoa tapa välttää näiden aiheuttamia häiriöitä on kiinnittää huomiota siihen, mitä langattomia laitteita käytetään ja millä taajuusalueella sekä pyrkiä sijoittamaan tukiasemat pois mahdollisten häiriölähteiden välittömästä läheisyydestä. Tietoliikennetekniikan laitoksella esimerkiksi havaittiin erään WLANin pätkimisestä valittavan käyttäjän ongelmaksi hänen käyttämänsä langaton mikrofoni/videokamera-yhdistelmä. Lisää WLANiin liittyvästä radiosuunnittelusta ja WLAN-radioverkkojen suunnittelusta tietää haluavien kannattaa tutustua Jani Tammisen esitykseen [Tammin02] aiheesta.

Karri Huhtanen julkinen pääsyverkko 12 (16) 5 KÄYTÄNNÖN ESIMERKKI: TTY / TIETOLIIKENNETEKNIIKAN LAITOS 5.1 ANTENNIEN KÄYTÄVÄASENNUS TTY:n asennuksissa käytettiin antennina Lucentin ympärisäteilevää pöytäantennia, jossa on käyttöohjeen mukaan 2,5 dbi vahvistus. Pöytäantennista irroitettiin pöytäjalka ja antenni kiilattiin jalastaan kuvan mukaisesti katon ritilöiden väliin. Antennin jalassa on myös mahdollisuus käyttää ruuvikiinnitystä, jos se tuntuu sopivammalta asennustilanteeseen. Kuten kuvasta ehkä näkyykin, antenni on sijoitettu noin keskelle tietoliikennetekniikan laitoksen puoleista osaa toisen kerroksen C-käytävästä kellon rinnalle. Sijoittamalla ympärisäteilevä antenni keskelle haluttua kattavuusaluetta luonnollisesti saadaan aikaan paras palvelutaso kattavuusalueella. Kattavuusalueen reunoja voi sitten tukea sijoittamalla seuraavat tukiasemat niin, että niiden kattavuusalueet menevät reunoilta osittain päällekkäin. Kellon rinnalle sijoittamisessa olennaista on huomata, että tässä tapauksessa on tietoisesti yritetty välttää metallisen kellon rungon aiheuttamaa mahdollista estettä mikroaalloille.

Karri Huhtanen julkinen pääsyverkko 13 (16) 5.2 TUKIASEMAN KÄYTÄVÄASENNUS Ensimmäisessä kuvassa vihreällä ympyrällä merkittyä merkkilappua käytetään tietoliikennetekniikan laitoksella tukiaseman nimen ja sijainnin merkitsemiseen. Nimikäytännöksi valitsimme laitoksen lyhenteen (Institute of Communications Engineering => ICE), laitteen tyypin (wlanap) ja sijainnin (2c, 2. kerros, C-käytävä), jolloin esimerkkitukiasemame nimeksi tuli siis icewlanap-2c. Kuten kuvasta kaksi näkyy (oranssi ympyrä) tukiasemat on sijoitettu TTY:llä Tietotalon käytävillä olevan laskettavan katon väliseen tilaan. Näin ollen merkkilaput kertovat sijainnillaan myös, minkä paneelin takaa tukiasemaan pääsee parhaiten käsiksi. Tukiasemat itse on merkitty samalla nimitarralla (vihreä soikio) ja TTY:n laiterekisteritarralla (oranssi soikio). Tukiaseman kiinnitysteline on kiinnitetty ruuveilla seinään, mutta tukiasemayksikkö, virranjakaja, WLAN-kortti ja antenni on Lucentin malliin perustuvissa tukiasemissa helppo irroittaa toisistaan. Tämän vuoksi onkin tärkeää, että tukiasema sijoitetaan niin, että se on suojassa ainakin satunnaisilta varkailta ja ilkivallan tekijöiltä.

Karri Huhtanen julkinen pääsyverkko 14 (16) 5.3 KÄYTTÖJÄNNITE JA VERKKOYHTEYS SAMASSA JOHDOSSA Välikattotilaan oli jokseenkin hankala saada pistorasioita nopeasti, joten päätimme käyttää tukiasemavalmistajan tarjoamaa mahdollisuutta niin kutsutun Power on Ethernet tekniikan (PoE) käyttöön. Tekniikka perustuu siihen, että tukiasemalle menevään CAT5-kaapeliin yhdistetään injektorilla (laite kuvassa oikealla) sekä data että käyttöjännite (n. 48VDC). Tukiaseman päässä sitten data ja käyttöjännite (5VDC) erotetaan toisistaan jakajalla, johon tulee luonnollisesti CAT5- kaapeli ja josta lähtee ulos Ethernet ja mainittu käyttöjännite. Maksimipituus tälläiselle yhdistetylle kaapelille on käyttöohjeen mukaan 100m. Tekniikka on toiminut luotettavasti, mutta jo suunnitteluvaiheessa tuli todettua valmistajien välinen yhteensopimattomuus yhdistetyn kaapelin johtojen valinnassa. Käytössämme olleessa Avayan laitteisto oli suoraan yhteensopiva Lucentin ja Ageren kanssa johtuen siitä, että kaikki tulevat samalta valmistajalta, mutta esimerkiksi Nokia ja Cisco ajavat käyttöjännitettä molemmat CAT5- kaapelin eri johdoissa. Tämä hankaloittaa heterogeenisen tukiasemaverkon rakentamista käyttäen PoE:a hyväksi käyttäen, sillä jokainen laite saattaa vaatia erikoiskaapelin/-säätöjen tekoa. Yhden laitevalmistajan ollessa kyseessä PoE:n sen sijaan voidaan katsoa toimivan hyvin. 5.4 ASENNUSRESURSSIT JA KULUNUT AIKA TTY:n Tietoliikennetekniikan alueen kattamiseen kului 5 tukiasemaa, joita jokaista varten vedettiin PoE CAT5-kaapelointi välikattotilaan. Työ tehtiin 2-3 laitoksen työntekijän voimin ja tehokasta aikaa kului yhteensä n. 16 tuntia. Työtä tehtiin rinnakkain niin, että jonkun kiinnittäessä tukiasemien kiinnitystelineitä paikalleen toiset tekivät tarvittavia CAT5-kaapeleita ja säätivät tukiasemien asetuksia. Eniten aikaa tuntui menevän omien CAT5-kaapeleiden tekemiseen lainatuilla pihdeillä sekä kyseisten kaapeleiden vetoon välikattotilaan. Huomattavaa on, että CAT5- kaapeleilla todellakin tarkoitetaan tavallisia CAT5-kaapeleita l. PoE ei vaatinut varsinaisesti omien kaapeleiden tekoa.

Karri Huhtanen julkinen pääsyverkko 15 (16) 5.5 TUKIASEMIEN SIJAINNIT JA SAAVUTETTU KATTAVUUS 5 tukiasemaa varustettuna Lucentin pöytäantennilla (2,5 dbi vahvistus) 2 kerrosta 1. kerros (oranssi pisteviivoitus) 2. kerros (sininen katkoviiva) kuvassa toimivat kattavuusalueet toimiva = sekä SSH että WWW toimivat hyvin todelliset kattavuusalueet paljon laajemmat ja epäsymmetriset päätelaite tavoittaa kaikkialla kattavuusalueella 2-3 tukiasemaa tukiasemien tiheys tukee siirtymistä 802.11g ja 802.11a/h verkkoihin toimiva kattavuusalue uusissa standardeissa pienempi, mutta tukiasemia jo tarpeeksi tiheästi Tukiasemat sijoitettiin noin keskelle siipiä ja siipiä yhdistävää käytävää. Sijaintia muutettiin hieman kerrosten välillä ottaen huomioon varsinaiset työskentely- ja julkiset alueet. Tukiasemien kattavuuden riittäminen äärialueilla testattiin käyttökokeilla äärialueilla. Lisäksi kokeiltiin muutamissa paikoissa kuinka pitkälle tukiasemat vielä kuuluivat jotenkin, mutta jolloin esimerkiksi SSH:n käyttö muuttui epämiellyttäväksi. Näiden kokeilujen tulokset johtivat väitteeseen huomattavasti laajemmasta kattavuusalueesta kuitenkin toiminnallisuudesta ja vasteajoista tinkien. Tärkeä asia kattavuuden suunnittelussa oli ottaa huomioon uusien nopeampien ja jopa eri taajuudella toimivien WLAN-standardien pienempi kattavuusalue. Sekä 2.4GHz:n alueella toimiva nopeampi 802.11g standardi että erityisesti 5GHz:n alueella toimiva 802.11a standardi vaativat tiheämmin sijoitettua tukiasemia. Suunniteltaessa tietoliikennetekniikan laitoksen tukiasemien määrää ja sijoitusta pyrittiin paikat valikoimaan niin, että näihin tekniikoihin siirtyminen on mahdollista. Tällä hetkellä päätelaite tavoittaa normaalisti 2-3 tukiasemaa ja ainakin yhden vahvasti. Siipien välisellä piha-alueella päätelaite saattaa tavoittaa jopa kaikki viisi. Tällä tiheydellä yritetään välttää kattavuusreiät myös tulevaisuudessa.

Karri Huhtanen julkinen pääsyverkko 16 (16) 5.6 KANAVAJAKO Tukiasemat jakautuvat kerroksittain kanaviltaan mahdollisimman kauas toisistaan. Network Stumbler ohjelmiston näyttökuva on napattu, kun TTKK:n käyttämien Avayan tukiasemien kanavat oli säädetty käsin. Tällöin vain kuvassa näkyvä Ciscon (SSID: TUT) tukiasema osasi etsiä ruuhkattomimman kanavan automaattisesti. Nykyään sama onnistuu myös Avayan tukiasemilla ja Tietoliikennetekniikan laitoksen tukiasemat onkin konfiguroitu etsimään ruuhkaton kanava automaattisesti. Kuvasta voidaan kuitenkin huomata kuinka ohjelmisto-, tietoliikenne- ja tietokonetekniikan laitoksien WLANit jakautuvat kaikki eri kanaville lähes optimaalisesti. Päällekkäisyyksiä näkyy vain paikoissa, joissa WLAN kulkee pitkiä matkoja, kuten käytävät (toinen päällekkäisyys kuvan kanavavalikossa). 5.7 KÄYTETYT TYÖKALUT Alustavassa kanavasuunnittelua tukevassa kartoituksessa käytettiin kannettavaa tietokonetta varustettuna Avayan verkkokortilla ja vapaasti verkosta saatavalla ohjelmistolla Network Stumblerilla ( http://www.networkstumbler.com/ ). Tämän jälkeen tukiasemat vain konfiguroitiin ja kattavuusalue käytiin läpi Network Stumbleria käyttämällä sekä testaamalla äärialueilla verkon käytettävyys normaaliwebbisurffailulla ja SSH:n käytöllä.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute