Operaattoreiden v

1
Operaattoreiden välinen WLAN- verkkovierailu

• Wirlab Research Center
• 2002/2003

2
Motiiveja WLAN-verkkovierailuun

• WLAN-tekniikka ei sovellu laajaan
  maantieteelliseen peittoon
• WLAN-infrastruktuurin rakentaminen per
  operaattori on kallista ja järjetöntä
• Uudet autentikointimenetelmät tuovat
  käyttäjätunnukseen ja salasanaan perustuvan
  autentikoinnin WLAN-verkkoihin
• Yksi tunnus/salasanapari access kaikkialla
• Uutta liiketoimintaa operaattorille

3
Lähtökohtia palvelun tuottamiseen

• Sitoutuminen Internet-standardeihin (RADIUS,
  802.1X ...)
• Sitoutumattomuus laitevalmistajakohtaisiin
  tietoturvaratkaisuihin
• Olemassaolevien WLAN-hotspotien käyttö
• Operaattoreiden välinen yhteistyö välttämätöntä

4
RADIUS-palvelimet

• RADIUS (Remote Access Dial In User Service) on
  protokolla, jota käytetään maailmanlaajuisesti
  käyttäjien autentikointiin
• WLAN-verkkovierailu perustuu RADIUS-palvelimiin
  ja niiden kykyyn välittää (proxying) AAA-viestit
  eteenpäin
• RADIUS-laajennuksella voidaan hoitaa
  autentikoinnin ja palveluiden auktorisoinnin
  lisäksi myös session laskutustiedon tallennus
• RADIUS-palvelimissa on kasvavissa määrin tuki
  802.1X protokollalle ja sen EAP-metodeille.
  802.1X on standardi, jota käytetään
  WLAN-käyttäjien suojatussa autentikoinnissa ja
  myös perinteisen langallisen verkon
  porttikohtaisessa autentikoinnissa

5
RADIUS-protokollan toiminta WLAN-verkkovierailussa

• Operaattoreilla on käytössään käyttäjät
  identifioiva domain-osa käyttäjätunnuksissaan
  (esim. operator.fi)
• Domain-osan perusteella RADIUS päättelee ovatko
  autentikointia yrittävät käyttäjät operaattorin
  omia (paikallisia) vai vierailevia
• Mikäli käyttäjät ovat paikallisia, tunnistus
  tehdään paikallisesta käyttäjätietokannasta.
  Mikäli käyttäjä on vieras, välitetään
  autentikointipyyntö eteenpäin Clearing House
  RADIUS-palvelimelle
• Mikäli Clearing House tunnistaa saamansa pyynnön
  kohdedomainin, se välittää viestin edelleen
  käyttäjän kotioperaattorille, josta
  autentikoinnin hyväksyvä tai hylkäävä viesti
  palautuu Clearing Housen kautta takaisin
  vieraillun operaattorin RADIUS-palvelimelle
• Saadusta viestistä riippuen käyttäjä pääsee
  verkkoon tai pääsy evätään

6
RADIUS-protokollan toiminta WLAN-verkkovierailussa
...

• Autentikoinnin yhteydessä välittyy
  RADIUS-palvelimille myös session laskutustieto
• Kerättävän tiedon perusteella käyttäjää voidaan
  joko laskuttaa aikaperustaisesti tai flat-rate
  tilanteissa operaattorit saavat sessiosta
  taseraportit operaattoreiden välistä laskutusta
  varten
• Laskutustiedon keräämistä ja analysointia varten
  ollaan Wirlabilla kehitetty yksinkertaiset
  työkalut

7
Verkon rakenne
CLEARING HOUSE RADIUS
Internet
ISP DB
operator-b.fi RADIUS
operator-a.fi RADIUS
Access Controller
User DB
User DB
Client user_at_operator-b.fi
Client user_at_operator-b.fi
8
Viestinvälitys ja sopimukset

• Operaattorit tekevät eräänlaisen
  yhdysliikennesopimuksen Clearing Housea
  pyörittävän osapuolen kanssa (operator A lt-gt CH
  lt-gt operator B)
• Operaattoreiden domainit ja RADIUS-palvelimien
  osoitteet konfiguroidaan Clearing Houseen ja
  ylläpitoa sekä seurantaa varten luodaan
  operaattorikohtaisia sub-administrator
  käyttäjätunnuksia
• Peruskonfiguroinnin lisäksi voidaan sopia
  tarvittaessa eri tietoturva-aspektien
  käyttöönotosta, esim. IPSec RADIUSten välillä

9
Verkon laitteet

• Käyttäjien autentikointi verkkoon hoidetaan
  RADIUS-palvelimilla
• WLAN-laiterajapinnassa tehdään valinta 802.1X
  tukiasemien ja erillisten Access Controller
  laitteiden (ja normaaleiden tukiasemien)
  välillä
• tukiasemana 802.1X tilanteessa esim. Cisco
  Aironet 1100/1200
• Access Controller tilanteessa tukiaseman merkitys
  pienenee. Lähinnä monipuolinen radio-osa valinnan
  perusteena
• Verkko voidaan rakentaa myös käyttäen molempia
  yllämainittuja elementtejä heterogeenisesti

10
Ylläpitäjän työkalut (CH)
11
Liikenteen seuranta (flat-rate)
12
Ylläpitotyökalujen jatkokehitys

• Operaattorikohtaiset valvontatunnukset omiin
  asiakkaisiin ja domaineihin
• Laskutustiedon jalostusmahdollisuudet
  olemassaoleviin järjestelmiin
• Palvelujen auktorisointi käyttäjille
  hallintatyökalujen avulla
• WLAN päällä/pois
• roaming päällä/pois
• muut palvelut (esim. SIP) päällä/pois
• jne jne

13
Liiketoimintamalleja

• Flat-Rate laskutus
• käyttäjälle edullisin
• operaattorit laittavat kuukausittaisen potin
  Clearing Houselle, joka tilittää rahat
  liikennetaseen perusteella
• Aikaperustainen laskutus
• käyttäjälle epäedullinen (esim. wGate 40
  snt/min.)
• Clearing House laskee raportit ja operaattorit
  hoitavat rahaliikenteen sen perusteella
• ei välttämättä rohkaise palvelun käyttöön

14
Liiketoimintamalleja ...

• Liikenneperustainen
• käyttäjälle epäedullinen
• Clearing House toimii kuten edellä
• sekä aika- että liikenneperustaisessa
  laskutuksessa lähtökohtana on käyttäjän oma
  arviointi tarpeistaan
• WLAN-verkkovierailu veloituksettomana
  lisäarvopalveluna
• operaattorille epäedullinen
• soveltuu sisäänvetopalveluksi
• sopinee erikoistilanteisiin, esim. yrityksille
  rakennettavat dedikoidut hotspotit

15
Aloittaminen

• Palvelun tarjoamiseen liittyviä kustannuksia ja
  toimenpiteitä
• WLAN-infrastruktuurissa käytettävien tuotteiden
  evaluointi / palvelualueiden rakentaminen
• runkoyhteyksien rakentaminen palvelualueille
  (ellei ole valmiina julkisissa hotspoteissa)
• mahdollinen RADIUS-ohjelmistojen päivittäminen
  (välitystuki, domain-perustainen AAA, 802.1X
  metodit)
• Clearing Housen pystyttäminen, konfigurointi,
  sekä muut toimenpiteet (varmennus,
  hallintatyökalujen kehitys)

16
Palvelun pilotointi

• Mukana 2 n operaattoria / domainia
• Käyttöönotto tarvittaessa rajatulle yleisölle
• Muutaman kuukauden todellisen käytön seuraaminen
  ja mahdollisten ongelmien arviointi
• Ylläpidollisten tarpeiden kartoitus ja niihin
  vastaaminen