WLAN-laitevaatimukset 15.10.2014 Kommenttipyyntö Sähköisen ylioppilaskokeen langattoman lähiverkon laitevaatimukset Tämän dokumentin tarkoitus on luonnostella sähköisissä ylioppilaskirjoituksissa käytettävän koeverkon WLAN-tukiasemien ja niiden taustajärjestelmien teknisiä ominaisuuksia. Ylioppilastutkintolautakunta (YTL) odottaa laitteiden maahantuojien, myyjien ja muiden asiasta kiinnostuneiden kommentteja 27.10. klo 9.00 saakka. Kommentit voi lähettää ylioppilaskokeen sähköistämisprojektin Digabin projektipäällikölle Matti Latulle, [email protected]. YTL toivoo, että kommenteissa otettaisiin kantaa ainakin seuraaviin teemoihin:     Onko määrittelyjen mukaisia laitteita markkinoilla? Onko tämä määrittely yksikäsitteinen, ts. käytetyt termit ovat alalla käytössä olevia ja ymmärrettäviä? Tavoitteena on se, ettei epäselvä määrittely vaikuta häiritsevästi markkinoihin vaan että pelisäännöt ovat kaikille laitemyyjille selkeät ja samat. Onko määrittelyssä teknologioita tai ominaisuuksia, joiden poistaminen vaatimuksista lisäisi laitevalikoimaa tietoturvaa heikentämättä? Onko olemassa teknologioita, jotka nyt määrittelyssä mukana olevien lisäksi lisäisivät langattoman verkon toimintavarmuutta ja tietoturvaa? Mikäli kommenteissa on liikesalaisuuksia, tulee ne selkeästi määritellä. Taustaa Sähköinen ylioppilaskoe otetaan käyttöön kaikissa lukioissa syksystä 2016 alkaen. Kokeen käyttöönotto on vaiheistettu siten, että ensimmäiset sähköiset kokeet järjestetään kolmessa oppiaineessa. Sen jälkeen jokaisella koekerralla sähköisesti suoritettavia kokeita tulee lisää. Viimeinen koe muuttuu sähköiseksi keväällä 2019. Lisätietoja:   Digabi-projektin sivut: https://digabi.fi Siirtymäaikataulu https://digabi.fi/digabi/projektin-aikataulu/ Tekninen toteutus lyhyesti Sähköinen koe toteutetaan siten, että koetilaan rakennetaan vain kokeen suorittamiseen tarkoitettu paikallisverkko. Verkossa on kahdesta noodista koostuva koetilan palvelin. Se tarjoilee varsinaisen koesovelluksen lisäksi verkkoon DHCP-, DNS- ja NTP-palvelut. Koetilan palvelin on yhteydessä YTL:n palvelimeen koulun ulkoyhteyden kautta. Järjestelmässä on varauduttu tämän yhteyden katkeamiseen. Sekä koetilan että kokelaan palvelimelle käynnistetään YTL:n toimittama Live-Linux –ympäristö. Koulut eivät voi muokata ohjelmistoa esim. asentamalla niihin omia ohjelmiaan. Verkon mahdollisesti tarvitsemat konfigurointi- ja hallintaohjelmistot eivät siis voi sijaita palvelimella eikä verkkoon liittyminen voi edellyttää päätelaitteelta verkkokohtaisia ohjelmistoja. 1 Koeverkon tekniikka ja uhkat Koeverkon toteuttamista langattomalla lähiverkolla selvitettiin keväällä 2014. Tuloksena syntyi YTL:n raportti Langattoman lähiverkon käyttö sähköisessä ylioppilastutkinnossa (jäljempänä ”Raportti”), jossa kuvattiin tehdyt kenttätestit ja hahmoteltiin radioteknisiä ja muita tietoliikenteeseen liittyviä riskejä. Oletuksena lukiot toteuttavat koeverkon Ethernetillä. Lukio voi YTL:n luvalla toteuttaa koeverkon myös langattomasti. Lukion on tällöin osoitettava, että sekä kokeen suoritukseen käytettävä tila että langattomassa lähiverkossa käytettävä laitteisto vastaa YTL:n asettamia vaatimuksia. Langattoman verkon vaatimuksissa varaudutaan mm. seuraaviin uhkiin:    verkon kapasiteetti ei riitä, yhteydet katkeilevat tai kaista ei riitä ympäröivä radioliikenne häiritsee koetilan verkon radioliikennettä verkkoon otetaan yhteyttä koetilan ulkopuolelta häirintä- tai tiedonkalastelutarkoituksessa Lisätietoja:  Raportti: https://digabi.fi/tekniikka/verkko/raportti-langaton-lahiverkko-sahkoisessa-yokokeessa/ Ehdotetut laitevaatimukset Tukiasemassa on seuraavat fyysiset ominaisuudet:   Ulkoinen antenni (antennit) signaalin parantamiseksi. Tällä tavoitellaan häiriötöntä toimintaa ja robustiutta ympäröivään samalla taajuudella tapahtuvaan radioliikenteeseen. Tukiaseman on toimittava sekä 2,4 GHz että 5 GHz taajuuksilla. Tällä tavoitellaan reagointia ympäröivään radioliikenteeseen ja laajaa tiedonsiirtokaistaa. Tukiasemaverkossa on oltava seuraavat toiminnallisuudet:    Järjestelmä säätää automaattisesti tukiasemien käyttämiä kanavia ja mahdollisesti myös lähetystehoja. Mikäli tukiaseman käyttämälle taajuudelle ilmestyy toinen signaali, tukiasema siirtyy käyttämään vapaata taajuutta. Tällä tavoitellaan reagointia ympäröivään radioliikenteeseen. Järjestelmä ohjaavat päätelaitteet tasaisesti eri tukiasemille ja niiden kanaville kuormanjakotarkoituksessa. Tällä tavoitellaan häiriötöntä toimintaa ja laajaa tiedonsiirtokaistaa. Tukiasemat liikennöivät kontrollerille ja verkon palvelimelle Ethernet-verkkoa pitkin. Tällä tavoitellaan häiriötöntä toimintaa ja laajaa tiedonsiirtokaistaa. 2 Tukiasemaverkossa on oltava seuraavat asetukset:       WLAN-verkkoliikenteen salaamisessa on käytettävä WPA2-salausta (AES-CCMP). (Raportin liite 3 sivut 7-9) Em. salausavain on asetettavissa kaikkiin verkon tukiasemiin yhdellä toimenpiteellä. Asetukseen käytettävän käyttöliittymän on oltava helppokäyttöinen. Tämän tavoitteena on se, että salausavain voidaan asettaa kokelaiden saavuttua saliin ja ovien sulkeuduttua. Näin sivulliset eivät saa avainta haltuunsa. WiFi Protected Setup (WPS) –toiminnallisuus on kytkettävä pois päältä. (Raportin liite 3 sivut 4-6) Mahdollisuus kytkeä IEEE 802.11b-tuki pois päältä ja karsia tukiasemien mandatory data rates –asetuksien hitaimmat nopeudet. (Raportin liite 3 sivu 3 ja 11-12) Mahdollisuus estää välistävetohyökkäyksiä (man-in-a-middle): client isolation, switchport protected, IP DHCP snooping, IPv6-esto. (Raportin liite 3 sivut 9-12) Mahdollisuus estää tukiasemien konfigurointi WLAN-yhteydellä. YTL on kiinnostunut seuraavien teknologioiden kypsyystasoista (nämä eivät siis ole vaatimuksia):   IEEE 802.11w deauthentication-hyökkäysten torjumiseksi (Raportin liite 3 sivut 11-12) Helppokäyttöiset valvontatyökalut häirinnän havaitsemiseen (Raportin liite 3 sivut 1213) Lisätietoja Lisätiedot: Matti Lattu, [email protected], (0295) 338 231. 3