Kommentoitavat laitemäärittelyt ja kommentointiohjeet PDF

WLAN-laitevaatimukset
15.10.2014
Kommenttipyyntö
Sähköisen ylioppilaskokeen langattoman lähiverkon laitevaatimukset
Tämän dokumentin tarkoitus on luonnostella sähköisissä ylioppilaskirjoituksissa käytettävän
koeverkon WLAN-tukiasemien ja niiden taustajärjestelmien teknisiä ominaisuuksia.
Ylioppilastutkintolautakunta (YTL) odottaa laitteiden maahantuojien, myyjien ja muiden asiasta
kiinnostuneiden kommentteja 27.10. klo 9.00 saakka. Kommentit voi lähettää ylioppilaskokeen
sähköistämisprojektin Digabin projektipäällikölle Matti Latulle, [email protected].
YTL toivoo, että kommenteissa otettaisiin kantaa ainakin seuraaviin teemoihin:




Onko määrittelyjen mukaisia laitteita markkinoilla?
Onko tämä määrittely yksikäsitteinen, ts. käytetyt termit ovat alalla käytössä olevia ja
ymmärrettäviä? Tavoitteena on se, ettei epäselvä määrittely vaikuta häiritsevästi
markkinoihin vaan että pelisäännöt ovat kaikille laitemyyjille selkeät ja samat.
Onko määrittelyssä teknologioita tai ominaisuuksia, joiden poistaminen vaatimuksista
lisäisi laitevalikoimaa tietoturvaa heikentämättä?
Onko olemassa teknologioita, jotka nyt määrittelyssä mukana olevien lisäksi lisäisivät
langattoman verkon toimintavarmuutta ja tietoturvaa?
Mikäli kommenteissa on liikesalaisuuksia, tulee ne selkeästi määritellä.
Taustaa
Sähköinen ylioppilaskoe otetaan käyttöön kaikissa lukioissa syksystä 2016 alkaen. Kokeen
käyttöönotto on vaiheistettu siten, että ensimmäiset sähköiset kokeet järjestetään kolmessa
oppiaineessa. Sen jälkeen jokaisella koekerralla sähköisesti suoritettavia kokeita tulee lisää.
Viimeinen koe muuttuu sähköiseksi keväällä 2019.
Lisätietoja:


Digabi-projektin sivut: https://digabi.fi
Siirtymäaikataulu https://digabi.fi/digabi/projektin-aikataulu/
Tekninen toteutus lyhyesti
Sähköinen koe toteutetaan siten, että koetilaan rakennetaan vain kokeen suorittamiseen
tarkoitettu paikallisverkko. Verkossa on kahdesta noodista koostuva koetilan palvelin. Se
tarjoilee varsinaisen koesovelluksen lisäksi verkkoon DHCP-, DNS- ja NTP-palvelut. Koetilan
palvelin on yhteydessä YTL:n palvelimeen koulun ulkoyhteyden kautta. Järjestelmässä on
varauduttu tämän yhteyden katkeamiseen.
Sekä koetilan että kokelaan palvelimelle käynnistetään YTL:n toimittama Live-Linux –ympäristö.
Koulut eivät voi muokata ohjelmistoa esim. asentamalla niihin omia ohjelmiaan. Verkon
mahdollisesti tarvitsemat konfigurointi- ja hallintaohjelmistot eivät siis voi sijaita palvelimella
eikä verkkoon liittyminen voi edellyttää päätelaitteelta verkkokohtaisia ohjelmistoja.
1
Koeverkon tekniikka ja uhkat
Koeverkon toteuttamista langattomalla lähiverkolla selvitettiin keväällä 2014. Tuloksena syntyi
YTL:n raportti Langattoman lähiverkon käyttö sähköisessä ylioppilastutkinnossa
(jäljempänä ”Raportti”), jossa kuvattiin tehdyt kenttätestit ja hahmoteltiin radioteknisiä ja muita
tietoliikenteeseen liittyviä riskejä.
Oletuksena lukiot toteuttavat koeverkon Ethernetillä. Lukio voi YTL:n luvalla toteuttaa
koeverkon myös langattomasti. Lukion on tällöin osoitettava, että sekä kokeen suoritukseen
käytettävä tila että langattomassa lähiverkossa käytettävä laitteisto vastaa YTL:n asettamia
vaatimuksia.
Langattoman verkon vaatimuksissa varaudutaan mm. seuraaviin uhkiin:



verkon kapasiteetti ei riitä, yhteydet katkeilevat tai kaista ei riitä
ympäröivä radioliikenne häiritsee koetilan verkon radioliikennettä
verkkoon otetaan yhteyttä koetilan ulkopuolelta häirintä- tai
tiedonkalastelutarkoituksessa
Lisätietoja:

Raportti: https://digabi.fi/tekniikka/verkko/raportti-langaton-lahiverkko-sahkoisessa-yokokeessa/
Ehdotetut laitevaatimukset
Tukiasemassa on seuraavat fyysiset ominaisuudet:


Ulkoinen antenni (antennit) signaalin parantamiseksi. Tällä tavoitellaan häiriötöntä
toimintaa ja robustiutta ympäröivään samalla taajuudella tapahtuvaan radioliikenteeseen.
Tukiaseman on toimittava sekä 2,4 GHz että 5 GHz taajuuksilla. Tällä tavoitellaan
reagointia ympäröivään radioliikenteeseen ja laajaa tiedonsiirtokaistaa.
Tukiasemaverkossa on oltava seuraavat toiminnallisuudet:



Järjestelmä säätää automaattisesti tukiasemien käyttämiä kanavia ja mahdollisesti myös
lähetystehoja. Mikäli tukiaseman käyttämälle taajuudelle ilmestyy toinen signaali,
tukiasema siirtyy käyttämään vapaata taajuutta. Tällä tavoitellaan reagointia ympäröivään
radioliikenteeseen.
Järjestelmä ohjaavat päätelaitteet tasaisesti eri tukiasemille ja niiden kanaville
kuormanjakotarkoituksessa. Tällä tavoitellaan häiriötöntä toimintaa ja laajaa
tiedonsiirtokaistaa.
Tukiasemat liikennöivät kontrollerille ja verkon palvelimelle Ethernet-verkkoa pitkin.
Tällä tavoitellaan häiriötöntä toimintaa ja laajaa tiedonsiirtokaistaa.
2
Tukiasemaverkossa on oltava seuraavat asetukset:






WLAN-verkkoliikenteen salaamisessa on käytettävä WPA2-salausta (AES-CCMP).
(Raportin liite 3 sivut 7-9)
Em. salausavain on asetettavissa kaikkiin verkon tukiasemiin yhdellä toimenpiteellä.
Asetukseen käytettävän käyttöliittymän on oltava helppokäyttöinen. Tämän tavoitteena
on se, että salausavain voidaan asettaa kokelaiden saavuttua saliin ja ovien sulkeuduttua.
Näin sivulliset eivät saa avainta haltuunsa.
WiFi Protected Setup (WPS) –toiminnallisuus on kytkettävä pois päältä. (Raportin liite
3 sivut 4-6)
Mahdollisuus kytkeä IEEE 802.11b-tuki pois päältä ja karsia tukiasemien mandatory data
rates –asetuksien hitaimmat nopeudet. (Raportin liite 3 sivu 3 ja 11-12)
Mahdollisuus estää välistävetohyökkäyksiä (man-in-a-middle): client isolation, switchport
protected, IP DHCP snooping, IPv6-esto. (Raportin liite 3 sivut 9-12)
Mahdollisuus estää tukiasemien konfigurointi WLAN-yhteydellä.
YTL on kiinnostunut seuraavien teknologioiden kypsyystasoista (nämä eivät siis ole vaatimuksia):


IEEE 802.11w deauthentication-hyökkäysten torjumiseksi (Raportin liite 3 sivut 11-12)
Helppokäyttöiset valvontatyökalut häirinnän havaitsemiseen (Raportin liite 3 sivut 1213)
Lisätietoja
Lisätiedot: Matti Lattu, [email protected], (0295) 338 231.
3