Kuinka turvallinen teidän WLAN-verkkonne on?

Onko teillä yhteinen WLAN-salasana? Koska se on viimeksi vaihdettu? Eikö sen jälkeen ole kukaan lähtenyt?

Ihan aluksi WLAN-verkot olivat salaamattomia. Radioaallot kulkevat aika hyvin seinien läpi, joten salakuuntelu etäältäkin on hyvin yksinkertaista – tarvittiin salausta. Ensimmäinen salauskäytäntö oli Wired Equivalent Privacy eli WEP. WEP oli alunperinkin heikko salaus, mutta silti sen murtaminen tuli yllätyksenä. Piti äkkiä keksiä uusi – tuli WPA eli Wi-Fi Protected Access, joka kulkee myös nimellä TKIP. WPA:ta paranneltiin ja nykyisin on käytössä WPA2. WPA2 on nopea ja tällä hetkellä turvallinen tapa salata verkko.

WPA2:sta on kaksi versiota: Personal ja Enterprise. Personal-suojauksessa verkossa on yksi, yhteinen salasana. Kuka tahansa, joka tuntee salasanan voi liittyä ja kuunnella verkon liikennettä. WPA2 Personal sopii henkilökohtaiseen- ja kotikäyttöön, miksei myös pieneen yritykseen tai toimistoon. Yrityskäytössä on kuitenkin henkilöstön vaihtuvuutta ja salasana pitäisi vaihtaa aina kun joku lähtee yrityksestä. Ei kai kukaan ajattele, että irtisanomisen tai irtisanoutumisen jälkeen olisi tervetullut yrityksen tietoverkkoon? Silti WPA2 Personal on yleisin tapa ratkaista WLAN-verkon tietoturva.

WPA2 Enterprise edellyttää, että käyttäjät on nimetty ja jokaisella on salasana. Windows Active Directory -ympäristössä (AD) näin aina on. Windows Serverin mukana tulee Network Policy Server -rooli (NPS), joka tarjoaa RADIUS-palvelun tukiasemille. Tukiasemat siis tarkistavat käyttäjätunnuksen ja salasanan RADIUS-palvelimelta (eli NPS:ltä) ennen kuin päästävät käyttäjän verkkoon. Estämällä käyttäjä AD:sta estetään pääsy myös WLAN-verkkoon. Tähän ei tarvita mitään ylimääräisiä laitteita tai ohjelmistoja. Käytännössä kaikki tukiasemat tukevat WPA2 Enterprise -suojausta ja NPS-roolin voi asentaa AD:n Domain Controlleriin (DC).

Lue lisää:

Langattomat verkot lisävarusteesta välttämättömyydeksi

Milloin teidän WLAN-verkkonne rakennettiin? Montako käyttäjää siinä silloin oli? Montako on tänään?

Aikoinaan langaton verkko oli tekninen lisävaruste, jippo. Oli hienoa laittaa tukiasema pystyyn sille yhdelle myyntiveikolle, jolla oli firman ainoa kannettava. Tänään kaikille hankitaan kannettavat ja odotetaan ihmisten kuljeskelevan paikasta toiseen tehden töitään siellä ja täällä, mutta aina yhtä tehokkaasti. Silloin joskus riitti, kun sähköpostit kulkivat ja selaimelle latautui sivu kun ehti. Nykyään videoneuvottelut ja opetusvideoiden katselu vaativat aivan eri luokan tiedonsiirtokapasiteettia. Siksi langattomien verkkojen suunnittelu pitää ottaa vakavasti. Osa suunnittelusta on samaa kuin langallisissa verkoissa, osa taas radioyhteyden erityispiirteiden mukaista.

Suunnittelu

Langallisista verkoista tuttua on kapasiteettien laskeminen. Montako käyttäjää? Millaisia sovelluksia? Millaisia vasteaikoja tarvitaan? Paljonko dataa liikkuu? Vähän epävarmuutta näihin kysymyksiin tuottaa käyttäjien liikkuminen. Yhtenä päivänä kaikki ovat läppäreineen samassa tilassa, jossa ei ole kuin yksi tukiasema, eikä kukaan ole tyytyväinen. Joka tapauksessa tukiasemat pitää yhdistää kiinteään verkkoon ja näiden yhteyksien pitää olla riittäviä ja mielellään kahdennettuja. Monessa toimistossa yksi laiterikko voi pimentää koko konttorin eikä silloin kukaan tee töitä.

Tietoturvaakin voidaan hoitaa aika lailla vanhoilla kaavoilla. Luodaan erinimisiä verkkoja (eli muutama SSID) ja liitetään nämä langallisen verkon VLANeihin. Näin saadaan myynti, hallinto ja tuotekehitys erotettua omiin verkkoihinsa. Teknisesti hienompi ratkaisu on käyttää vain yhtä verkkoa, jossa käyttäjät tunnistetaan nimellä ja salasanalla ja sillä perusteella heidän liikenteensä ohjataan asianomaiseen VLANiin. WPA2 Enterprise mahdollistaa käyttäjäkohtaisen tunnistautumisen ja erilaiset asetukset 802.1X:llä.

Vaikein asia hahmottaa on radiotie, koska sitä ei näe. Minne ja kuinka monta tukiasemaa tarvitaan? Millaisia antenneja? Toimiiko verkko kaikkialla vai onko katveita? Riittääkö kapasiteetti?

Laitteet

Aikoinaan tukiasemat olivat kalliita laitteita, joten niitä hankittiin yksi ja laitettiin se keskelle toimistoa. Tämä toimi hyvin kun käyttäjiä oli muutama eikä siirtonopeuksilla tai viiveillä ollut tarkkoja määrittelyjä. Tänä päivänä ei voi laskea vain käyttäjiä, vaan kaikilla käyttäjillä on useita laitteita: kannettava, älypuhelin ja usein vielä tabletti. Etenkin puhelinten akut ovat hyvin rajallisia, joten lähetystehot ovat minimaalisia. Vaikka puhelin näyttää kuinka monta kuuluvuustolppaa, ei yhteys muodostu ellei tukiasema kuule pienitehoista puhelinta. Siksi tukiaseman pitää olla lähellä, eli tukiasemia tarvitaan useita. Tukiasemat voivat häiritä toisiaan, joten jokaisen tukiaseman lähetysteho pitää säätää alas, tyypillisesti samalle tasolle kuin pienitehoisimmassa puhelimessa (10-15mW), eikä jättää laitetta täydelle teholle, mikä on yleensä oletusarvo.

Kun tukiasemia tulee useita, pitää niitä jotenkin hallita. Tavallisia tukiasemia hallitaan yksitellen, tyypillisesti selaimella. Viidenkin tukiaseman pitäminen samoissa asetuksissa ja samalla päivitystasolla on aika työlästä. Kannattaa katsoa, että valituille tukiasemille löytyy hallintatyökalu, jolla niiden asetuksia ja päivityksiä voi hallita yhdellä kertaa.