Operaattoreiden välinen WLAN- verkkovierailu Wirlab Research Center 2002/2003

Motiiveja WLAN-verkkovierailuun  WLAN-tekniikka ei sovellu laajaan maantieteelliseen peittoon  WLAN-infrastruktuurin rakentaminen per operaattori on kallista ja järjetöntä  Uudet autentikointimenetelmät tuovat käyttäjätunnukseen ja salasanaan perustuvan autentikoinnin WLAN-verkkoihin  Yksi tunnus/salasanapari – access kaikkialla  Uutta liiketoimintaa operaattorille

Lähtökohtia palvelun tuottamiseen  Sitoutuminen Internet-standardeihin (RADIUS, 802.1X...)  Sitoutumattomuus laitevalmistajakohtaisiin tietoturvaratkaisuihin  Olemassaolevien WLAN-hotspotien käyttö  Operaattoreiden välinen yhteistyö välttämätöntä

RADIUS-palvelimet  RADIUS (Remote Access Dial In User Service) on protokolla, jota käytetään maailmanlaajuisesti käyttäjien autentikointiin  WLAN-verkkovierailu perustuu RADIUS-palvelimiin ja niiden kykyyn välittää (proxying) AAA-viestit eteenpäin  RADIUS-laajennuksella voidaan hoitaa autentikoinnin ja palveluiden auktorisoinnin lisäksi myös session laskutustiedon tallennus  RADIUS-palvelimissa on kasvavissa määrin tuki 802.1X protokollalle ja sen EAP-metodeille X on standardi, jota käytetään WLAN-käyttäjien suojatussa autentikoinnissa ja myös perinteisen langallisen verkon porttikohtaisessa autentikoinnissa

RADIUS-protokollan toiminta WLAN-verkkovierailussa  Operaattoreilla on käytössään käyttäjät identifioiva domain-osa käyttäjätunnuksissaan (esim. operator.fi)  Domain-osan perusteella RADIUS päättelee ovatko autentikointia yrittävät käyttäjät operaattorin omia (paikallisia) vai vierailevia  Mikäli käyttäjät ovat paikallisia, tunnistus tehdään paikallisesta käyttäjätietokannasta. Mikäli käyttäjä on vieras, välitetään autentikointipyyntö eteenpäin Clearing House RADIUS-palvelimelle  Mikäli Clearing House tunnistaa saamansa pyynnön kohdedomainin, se välittää viestin edelleen käyttäjän kotioperaattorille, josta autentikoinnin hyväksyvä tai hylkäävä viesti palautuu Clearing Housen kautta takaisin vieraillun operaattorin RADIUS-palvelimelle  Saadusta viestistä riippuen käyttäjä pääsee verkkoon tai pääsy evätään

RADIUS-protokollan toiminta WLAN-verkkovierailussa...  Autentikoinnin yhteydessä välittyy RADIUS-palvelimille myös session laskutustieto  Kerättävän tiedon perusteella käyttäjää voidaan joko laskuttaa aikaperustaisesti tai flat-rate tilanteissa operaattorit saavat sessiosta taseraportit operaattoreiden välistä laskutusta varten  Laskutustiedon keräämistä ja analysointia varten ollaan Wirlabilla kehitetty yksinkertaiset työkalut

Verkon rakenne Client: operator-b.fi RADIUS operator-a.fi RADIUS Internet CLEARING HOUSE RADIUS Access Controller User DB ISP DB Client:

Viestinvälitys ja sopimukset  Operaattorit tekevät eräänlaisen yhdysliikennesopimuksen Clearing House:a pyörittävän osapuolen kanssa (operator A CH operator B)  Operaattoreiden domainit ja RADIUS-palvelimien osoitteet konfiguroidaan Clearing House:en ja ylläpitoa sekä seurantaa varten luodaan operaattorikohtaisia sub- administrator käyttäjätunnuksia  Peruskonfiguroinnin lisäksi voidaan sopia tarvittaessa eri tietoturva-aspektien käyttöönotosta, esim. IPSec RADIUS:ten välillä

Verkon laitteet  Käyttäjien autentikointi verkkoon hoidetaan RADIUS- palvelimilla  WLAN-laiterajapinnassa tehdään valinta 802.1X tukiasemien ja erillisten Access Controller –laitteiden (ja ”normaaleiden” tukiasemien) välillä  tukiasemana 802.1X tilanteessa esim. Cisco Aironet 1100/1200  Access Controller tilanteessa tukiaseman merkitys pienenee. Lähinnä monipuolinen radio-osa valinnan perusteena  Verkko voidaan rakentaa myös käyttäen molempia yllämainittuja elementtejä heterogeenisesti

Ylläpitäjän työkalut (CH)

Liikenteen seuranta (flat-rate)

Ylläpitotyökalujen jatkokehitys  Operaattorikohtaiset valvontatunnukset omiin asiakkaisiin ja domaineihin  Laskutustiedon jalostusmahdollisuudet olemassaoleviin järjestelmiin  Palvelujen auktorisointi käyttäjille hallintatyökalujen avulla  WLAN päällä/pois  roaming päällä/pois  muut palvelut (esim. SIP) päällä/pois  jne jne

Liiketoimintamalleja  Flat-Rate laskutus  käyttäjälle edullisin  operaattorit laittavat kuukausittaisen potin Clearing House:lle, joka tilittää rahat liikennetaseen perusteella  Aikaperustainen laskutus  käyttäjälle epäedullinen (esim. wGate 40 snt/min.)  Clearing House laskee raportit ja operaattorit hoitavat rahaliikenteen sen perusteella  ei välttämättä rohkaise palvelun käyttöön

Liiketoimintamalleja...  Liikenneperustainen  käyttäjälle epäedullinen  Clearing House toimii kuten edellä  sekä aika- että liikenneperustaisessa laskutuksessa lähtökohtana on käyttäjän oma arviointi tarpeistaan  WLAN-verkkovierailu veloituksettomana lisäarvopalveluna  operaattorille epäedullinen  soveltuu ”sisäänvetopalveluksi”  sopinee erikoistilanteisiin, esim. yrityksille rakennettavat ”dedikoidut” hotspotit

Aloittaminen  Palvelun tarjoamiseen liittyviä kustannuksia ja toimenpiteitä  WLAN-infrastruktuurissa käytettävien tuotteiden evaluointi / palvelualueiden rakentaminen  runkoyhteyksien rakentaminen palvelualueille (ellei ole valmiina julkisissa hotspoteissa)  mahdollinen RADIUS-ohjelmistojen päivittäminen (välitystuki, domain-perustainen AAA, 802.1X metodit)  Clearing House:n pystyttäminen, konfigurointi, sekä muut toimenpiteet (varmennus, hallintatyökalujen kehitys)

Palvelun pilotointi  Mukana 2 – n operaattoria / domainia  Käyttöönotto tarvittaessa rajatulle yleisölle  Muutaman kuukauden todellisen käytön seuraaminen ja mahdollisten ongelmien arviointi  Ylläpidollisten tarpeiden kartoitus ja niihin vastaaminen