Tietoturva käyttäjän kannalta langattomaan lähiverkkotekniikkaan perustuvassa kaupunkiverkossa

Langattomien lähiverkkotekniikoiden käyttö on yleistynyt nopeasti viime vuosina. Varsinkin IEEE:n 802.11b-standardi on ollut suosittu. Tätä tekniikkaa on käytetty myös alueellisten access-verkkojen rakentamiseen. Tämä työ on tehty hankkeeseen, jossa tutkitaan langattoman lähiverkkotekniikan käyttöä operaattoririippumattoman kaupunkiverkon toteuttamiseen. Työssä tutkittiin langattoman lähiverkkotekniikan vaikutusta verkon käyttäjän tietoturvaan ja pyrittiin löytämään avoimeen kaupunkiverkkoon sopiva ratkaisu, joka parantaa käyttäjän tietoturvaa. Työssä käsitellään aluksi tietoturvan teoriaa ja langattomuuden vaikutusta tietoturvaan. Hankkeessa käytetty langaton lähiverkkotekniikka IEEE 802.11b ja sen tietoturvaominaisuudet esitellään. Tutustutaan myös lyhyesti muutamiin julkisiin, 802.11b-tekniikkaa käyttäviin verkkoihin, sekä niiden tietoturvaratkaisuihin. Työssä esitellään tuote, jolla pyrittiin parantamaan käyttäjien tietoturvaa hankkeen verkossa. Lisäksi kuvaillaan tuotteen asennus testiverkkoon. Testiverkon käyttöperiaatteiden perusteella päädyttiin tulokseen olla ottamatta testattua tuotetta käyttöön, vaikka tuote sinällään oli teknisesti toimiva.

Yhdysliikennepisteen suunnittelu

Langattomien lähiverkkotekniikoiden yleistyessä langattomien verkkojen ja palveluiden kysyntä on kasvanut nopeasti. Varsinkin vuonna 1997 julkistettu IEEE:n 802.11b-standardi on mahdollistanut langattomien verkkotekniikoiden nopean kehityksen. Tässä työssä esitetään suunnitelma kahden verkon välisen rajapinnan rakenteesta ja to-teutuksesta. Rajapintaa kutsutaan yhdysliikennepisteeksi. Sen pääasiallisena tehtävänä on toimia solmupisteenä kaikelle verkkojen väliselle tietoliikenteelle ja hallinnoida niin sisäverkkoa käyttäjineen kuin ulkoverkon puolelle kytkettyjä operaattoreita. Yhdyslii-kennepisteen tehtävänä on tunnistaa sisäverkon käyttäjät, auktorisoida heidät yhteis-työssä operaattorien kanssa, huolehtia sisäverkon käyttäjien verkko-osoitteista ja toimia verkkoliikenteen välittäjänä. Yhdysliikennepiste kykenee reitittämään käyttäjän oikealle operaattorille ja huolehtii siitä, että käyttäjällä on pääsy palveluihin, joiden käyttämiseen tällä on valtuutus. Työssä määritellään yhdysliikennepisteen rajapinnat sekä siihen liitettäviä operaattoreita että sisäverkkoon tarjottavia peruspalveluita varten. Lisäksi määritellään yhdysliikenne-pisteen sisäiset rajapinnat. Yhdysliikennepiste ei rajoita käytettyä verkkotekniikkaa, mutta tässä työssä keskitytään IEEE 802.11b -standardin mukaisiin WLAN-verkkoihin. Yhden tai useamman operaattorin verkkoja on olemassa sekä langallisessa että langat-tomissa ympäristöissä. Näissä verkoissa jokainen Internet-operaattori huolehtii kuiten-kin vain omista asiakkaistaan. Sisäverkko on suljettu, siihen pääsevät liittymään vain operaattorin omat asiakkaat. Työn tuloksena syntynyt yhdysliikennepiste on ratkaisu, jonka avulla voidaan rakentaa monioperaattorialueverkko, joka on avoin kaikille sen käyttäjille.

Lappeenranta-malli alueellisen julkisen verkon toteutustapana

Työssä perehdytään tapoihin, joilla alueellinen julkinen verkko voidaan toteuttaa. Työn lähtökohtana on näkemys, että tietoyhteiskunnassa pääsy verkkoon on perusedellytys. Tällöin lähes kaikissa kodeissa tulisi olla mahdollisuus kytkeytyä ja olla jatkuvasti kytkeytyneenä tietoverkkoon. Lappeenranta-malli määrittelee tavan toteuttaa alueellisen julkisen verkon peruspalvelut. Mallin erityispiirteenä on mahdollisuus ilmoitusten esittämiseen verkon käyttäjille. Työssä arvioidaan Lappeenranta-mallin sopivuutta alueellisen julkisen verkon toteutustavaksi ja mitataan mallin suorituskykyä. Työn osana toteutetaan Lappeenranta-malliin kuuluva yhdysliikennepiste Lappeenrannan teknillisen yliopiston käyttöön.

802.1X-autentikoinnin käyttöönotto toimistoverkossa

Tämän insinöörityön tarkoituksena on tutkia, mitä 802.1x-autentikoinnin käyttöönotto toimistoverkossa vaatii. Aluksi tutkitaan autentikoinnissa tarvittavat komponentit ja niiden toiminta teorian kannalta. Kun teorian puolesta kaikki on selvää, on aika viedä teoria käytäntöön ja muodostaa olemassa olevien komponenttien avulla toimiva 802.1x-autentikointi. Autentikointiin tarvittavat asetukset esitetään yksityiskohtaisesti, jotta autentikointi olisi mahdollista toteuttaa myös muissa ympäristöissä. Muodostuksen jälkeen tutkitaan autentikoinnista saatavia lokeja ja selvitetään niiden tarkoitus. Jos saavutettu lopputulos on halutun kaltainen, otetaan 802.1x-autentikointi käyttöön koko toimistoverkossa.

PEAP 802.1x-tunnistuksen toteutus RADIUS-palvelimeen

Valimo iDServer -tunnistuspalvelin on ohjelmisto, joka tukee eri käyttäjientunnistusmenetelmiä, kuten tekstiviestillä lähetettävää kertakäyttösalasanaa tai normaaliakäyttäjätunnusta ja salasanaa. Tässä diplomityössä kuvataan, kuinka palvelimeenon lisätty tuki käyttäjien kirjautumiselle langattoman verkon tukiasemien ja virtuaalilähiverkkoa tukevien kytkinten kautta käyttäen normaaleja Windows-käyttöjärjestelmän mukana tulevia asiakasohjelmistoja. Työn ensimmäisessä vaiheessa kuvataan lähtökohdat ja vaatimukset tulevalle järjestelmälle. Työn osana käytännössä tehty kokonaisuus muodostuu useista eri määrityksistä koostuvista osista. Työn toisessa vaiheessa käydään läpi korkealla tasolla sovelluksen vaatimat protokollat. Osana näihin protokolliin kuului erilaisten avainten jatarkisteiden laskenta sekä salausmenetelmien käyttö, jotka myös kuvataan tässä työssä. Viimeisessä kappaleessa analysoidaan työn tuloksia jakäydään läpi toteutukseen ja itse sovelluksen toimintaan liittyvät ongelmat. Suurin osa havaituista ongelmista liittyi tilanteisiin, joihin itse palvelinsovelluksen toteutuksella ei voitu vaikuttaa. Eniten ongelmia aiheuttivat asiakasohjelmiston sekä verkkokorttien ja niiden ajureiden toiminta ongelmatilanteissa. Asiakasohjelmistoa ei selkeästi ole suunniteltu käytettäväksi kuin muuttumattomien salasanojen kanssa, koska käyttäjän näkökulmasta käyttökokemus ei ollut optimaalinen. Ongelmista huolimatta työn tuloksena saatiin asiakkaan vaatimukset täyttävä järjestelmä. Myös tuotekehitysnäkökulmasta projektia voitaneen pitää onnistuneena, koska nyt tehty sovellus luo pohjan uusien tunnistustapojen ja menetelmien toteuttamiselle tuotteen jatkokehitystä ajatellen.

Volvo PV 53-57 ja 801-802 voiteluohjeita

kuv., 18 x 12 cm

802.11-standardiperhe

Langattomien verkkojen kehitys juontaa juurensa 1980-luvulle, jolloin eri valmistajat julkaisivat omia valmistajakohtaisia tuotteitaan. Kuluttajalle tämä tarkoitti sitoutumista yhteen valmistajaan ja yhteensopivuusongelmia eri laitteiden kesken. Ensimmäinen ajatus oli luoda vain uusi fyysinen taso langallisen lähiverkon 802.3-standardiin, mutta pian ymmärrettiin, että tarvitaan kokonaan uusi MAC-taso, sillä tiedonsiirto radioteitse on huomattavan erilaista kuin kaapelia pitkin tehtävä tiedonsiirto. Esimerkiksi langallisen lähiverkon 802.3-standardista tuttua CSMA/CD (Carrier Sense Multiple Access with Collision Detect) siirtotien varausmenetelmää ei voida käyttää, vaan se on korvattu langattomassa lähiverkossa CSMA/CA:lla (Carrier Sense Multiple Access with Collision Avoidance) IEEE:n (Institute of Electrical and Electronics Engineers) 802.11-standardi sai alkunsa 21.3.1991 ja ensimmäinen 802.11-standardi, 802.11-1997, julkaistiin vuonna 1997. 802.11-standardia kehitetään edelleen, ja tällä hetkellä uusin julkaistu laajennos on vuonna 2014 julkaistu 802.11ac. Tässä tutkielmassa perehdytään erilaisiin langattoman lähiverkon tekniikoihin pääpainon ollessa IEEE:n 802.11-standardissa ja sen tietoturvassa.

A Study of Multicast Performance in IEEE 802.11 Wireless Local Area Networks

Langattomat lähiverkot ovat yleistyneet ja monin paikoin niillä pyritään täysin korvaamaan perinteiset kaapeloidut verkot. Samalla verkoissa välitettävät palvelut monipuolistuvat. Etenkin interaktiivisten sisältöjen ja viiveriippuvaisten palvelujen välittämisessä korostuvat verkolle asettavat vaatimukset suorituskyvystä ja palveluntasosta. Radiotaajuuksilla tapahtuva tiedonsiirto on ongelmallista siirtomedian jaetun luonteen vuoksi. Käytettäessä ympärisäteileviä antenneja jokainen kantomatkan päässä oleva asema kuulee lähetyksen, vaikkei se olisi sille suunnattu. Tämä luo turvallisuusongelman, mutta lisäksi heikentää tehokkuutta, koska nykyisellä antenniteknologialla vain yksi asema kerrallaan voi lähettää häiriöttä kantoalueellaan. Täsmälähetykset yhden lähteen ja useiden kohteiden välillä luovat erillisiä siirtolinkkejä. Olisi luontevampaa luoda yksi lähetysvirta, johon useat vastaanottajat voivat kytkeytyä. Kaistan säästön vastapainona on tarve luoda ja ylläpitää näitä yhteyksiä. Käyttäjien liikkuvuuden ja siirtotien vaihtelevien ominaisuuksien vuoksi langattoman verkon rakenne ja rajat ovat epäselviä. Näihin haasteisiin on vastattava sekä protokolla- että sovellustasolla. Tässä tutkielmassa käydään ensin läpi IEEE 802.11 -standardin mukaisen langattoman verkon perusteet ja sen ominaisuuksiin liittyvät tyypilliset ongelmakohdat. Yleis- ja ryhmälähetyksiä tarkastellaan ensin perinteisessä IEEE 802.3 standardin mukaisessa langallisessa lähiverkossa ja selvitetään, miten vastaavat ominaisuudet toteutuvat IEEE 802.11 standardien mukaisissa langattomissa verkoissa. Käyttötapaustutkimuksissa keskitytään rajatussa ympäristössä tapahtuviin ryhmälähetyksiin. Erityisesti tutkitaan langattomien ryhmälähetysten käyttökelpoisuutta sekä langattoman ympäristön asettamia erityisvaatimuksia.

Langattomat Ethernet-teknologiat ja niiden verkkoturva

Tässä opinnäytetyössä tutustutaan IEEE 802.11 -standardien perheeseen. Työssä esitellään WLAN-yhteyksien evoluutio nykypäivään asti ja niiden suojaus. Lisäksi esitellään kaksi muuta langattoman yhteyden standardia, IEEE 802.16 ja IEEE 802.16, jotka on suunniteltu kattamaan kaupunkialueita. Työ on tehty täysin kirjallisuustutkielmana. Lähteinä on käytetty sekä painettua kirjallisuutta että Internet-lähteitä. WLAN-yhteys tuo mukanaan lähes kaapelittoman verkon, mutta samalla se tarjoaa mahdollisuuden hyväksikäyttää yhteyttä. Tukiasemat ovat oletuksena suojaamattomia ja harva kotikäyttäjä ymmärtää edes mitä langattoman verkon suojaaminen tarkoittaa. Yrityksissä WLAN-suojaus tulisi ottaa edellistä vakavammin, yrityksen liikesalaisuuksien vuotaminen WLAN-yhteyden kautta tulisi olla mahdotonta. Pääpaino työssä on suojaustapojen käsittelyssä mahdollisimman laajasti. Lisäksi annetaan ehdotus kuinka suojata langaton lähiverkko niin kotona kuin yrityksessä. Työtä voidaan käyttää apuna suunnitellessa WLAN-verkon suojaamista.

WLAN ja logistiikka-ala

Tästä insinöörityöstä pyrittiin luomaan käytännönläheinen opas logistiikka-alan yritysten WLAN-ratkaisujen suunnittelusta ja toteutuksesta. Insinöörityössä on tiivistetty käytännös-ä parhaiksi todetut metodit ja teoreettinen tieto langattomista verkoista. Työn tarkoituk-sena oli kehittää ja parantaa yrityksen langattomien lähiverkkojen yksikön toimintaa ja luoda kattava opas yksikköön saapuville työntekijöille. Logistiikka-alalla WLAN-tekniikka on mahdollistanut varastoissa langattoman työskentelyn, joka on näkynyt nopeudessa ja kustannustehokkuudessa. Logistiset varastot ovat haasteellinen ympäristö WLAN-verkoille, mutta koko ajan kehittyvän tekniikan ansiosta varastoihin on mahdollista luoda nopea ja luotettava langaton lähiverkko. Insinöörityön teoreettisessa osiossa käsitellään muun muassa WLAN-tekniikan historiaa, standardeja ja yleisesti WLAN-tekniikkaa. Työssä tutustutaan myös WLAN-antenneihin, laitteistoihin ja tietoturvallisuuteen. Käytännön tutkimustyö toteutettiin kahden vuoden aikana WLAN-verkkojen ylläpidon, suunnittelun ja toteutuksen muodossa. Näiden vuosien aikana onnistuttiin kehittämään käytettyjä menetelmiä ja luomaan uusia lähestymistapoja, sekä toteuttamaan useita on-nistuneita WLAN-verkkoja. Työssä esitellään teoreettisen suunnittelun lisäksi kaksi kappa-letta onnistuneesti toteutuneita WLAN-ratkaisuja.

Paikkatiedon kerääminen ja hyödyntäminen WLAN-verkossa

Työn teoriaosuudessa tutustutaan ensin yleisimpiin paikannusmenetelmiin. Käsiteltävänä ovat GPS-satelliittipaikannus sekä radiosoluverkkojen paikannusmenetelmät solupaikannuksesta monimutkaisempiin signaalin ominaisuuksia tutkiviin menetelmiin. Teoriaosuudessa käsitellään myös IEEE 802.11 –standardin PHY- ja MAC-kerrosten toimintaa sekä WLAN-verkon siirtotien ominaisuuksia paikannuksen kannalta. Ennen paikannusjärjestelmän toteuttamista työssä esitellään menetelmiä ja tuloksia muista tutkimuksista samalta tutkimusalueelta. Työssä toteutetaan paikannusjärjestelmä sekä solupaikannusta että signaalitasopaikannusta hyödyntäen. Solupaikannusjärjestelmälle määritellään palvelurajapinta, jonka kautta paikannuspalvelua voidaan hyödyntää muissa palveluissa. Kaksi paikannuspalvelun päälle luotua palvelua esitellään lyhyesti malliesimerkkeinä. Signaalitasopaikannuksen osalta kuvataan kaksi menetelmään kuuluvaa vaihetta ja yksittäisten komponenttien toiminta näissä vaiheissa. Paikannusmenetelmien tarkkuutta tutkitaan mittausten avulla ja testituloksista muodostetaan paikannustarkkuutta kuvaavat tilastot. Solupaikannuksen keskimääräinen virhe on ±50 metriä. Vastaavasti signaalitasopaikannuksen virhe on ±4 metriä ja parannettua algoritmia käyttäen ±3 metriä.

Mobile Protocol Stack Simulator

Nykypäivän maailma tukeutuu verkkoihin. Tietokoneverkot ja langattomat puhelimet ovat jo varsin tavallisia suurelle joukolle ihmisiä. Uusi verkkotyyppi on ilmestynyt edelleen helpottamaan ihmisten verkottunutta elämää. Ad hoc –verkot mahdollistavat joustavan verkonmuodostuksen langattomien päätelaitteiden välille ilman olemassa olevaa infrastruktuuria. Diplomityö esittelee uuden simulaatiotyökalun langattomien ad hoc –verkkojen simulointiin protokollatasolla. Se esittelee myös kyseisten verkkojen taustalla olevat periaatteet ja teoriat. Lähemmin tutkitaan OSI-mallin linkkikerroksen kaistanjakoprotokollia ad hoc –verkoissa sekä vastaavan toteutusta simulaattorissa. Lisäksi esitellään joukko simulaatioajoja esimerkiksi simulaattorin toiminnasta ja mahdollisista käyttökohteista.

Platform Architectures for Policy-Based Network Access Control

Tämä diplomityö käsittelee sääntöpohjaisen verkkoon pääsyn hallinnan (NAC) ratkaisuja arkkitehtonisesta näkökulmasta. Työssä käydään läpi Trusted Computing Groupin, Microsoft Corporationin, Juniper Networksin sekä Cisco Systemsin NAC-ratkaisuja. NAC koostuu joukosta uusia sekä jo olemassa olevia teknologioita, jotka auttavat ennalta määriteltyyn sääntökantaan perustuen hallitsemaan suojattuun verkkoon pyrkivien laitteiden tietoliikenneyhteyksiä. Käyttäjän tunnistamisen lisäksi NAC pystyy rajoittamaan verkkoon pääsyä laitekohtaisten ominaisuuksien perusteella, esimerkiksi virustunnisteisiin ja käyttöjärjestelmäpäivityksiin liittyen ja paikkaamaan tietyin rajoituksin näissä esiintyviä puutteita verkkoon pääsyn sallimiseksi. NAC on verraten uusi käsite, jolta puuttuu tarkka määritelmä. Tästä johtuen nykymarkkinoilla myydään ominaisuuksiltaan puutteellisia tuotteita NAC-nimikkeellä. Standardointi eri valmistajien NAC-komponenttien yhteentoimivuuden takaamiseksi on meneillään, minkä perusteella ratkaisut voidaan jakaa joko avoimia standardeja tai valmistajakohtaisia standardeja noudattaviksi. Esitellyt NAC-ratkaisut noudattavat standardeja joko rajoitetusti tai eivät lainkaan. Mikään läpikäydyistä ratkaisuista ei ole täydellinen NAC, mutta Juniper Networksin ratkaisu nousee niistä potentiaalisimmaksi jatkokehityksen ja -tutkimuksen kohteeksi TietoEnator Processing & Networks Oy:lle. Eräs keskeinen ongelma NAC-konseptissa on työaseman tietoverkolle toimittama mahdollisesti valheellinen tietoturvatarkistuksen tulos, minkä perusteella pääsyä osittain hallitaan. Muun muassa tähän ongelmaan ratkaisuna voisi olla jo nykytietokoneista löytyvä TPM-siru, mikä takaa tiedon oikeellisuuden ja koskemattomuuden.

Macroporous Scaffolds for Bone Engineering. Studies on Cell Culture and Ectopic Bone Formation

Bone engineering is a rapidly developing area of reconstructive medicine where bone inducing factors and/or cells are combined with a scaffold material to regenerate the structure and function of the original tissue. The aim of this study was to compare the suitability of different macroporous scaffold types for bone engineering applications. The two scaffold categories studied were a) the mechanically strong and stable titanium fiber meshes and b) the elastic and biodegradable porous polymers. Furthermore, bioactive modifications were applied to these basic scaffold types, and their effect on the osteogenic responses was evaluated in cell culture and ectopic bone formation studies. The osteogenic phenotype of cultured cell-scaffold constructs was heightened with a sol-gel derived titania coating, but not with a mixed titania-silica coating. The latter coating also resulted in delayed ectopic bone formation in bone marrow stromal cell seeded scaffolds. However, the better bone contact in early implantation times and more even bone tissue distribution at later times indicated enhanced osteoconductivity of both the coated scaffold types. Overall, the most promising bone engineering results were obtained with titania coated fiber meshes. Elastic and biodegradable poly(ε-caprolactone/D,L-lactide) based scaffolds were also developed in this study. The degradation rates of the scaffolds in vitro were governed by the hydrophilicity of the polymer matrix, and the porous architecture was controlled by the amount and type of porogen used. A continuous phase macroporosity was obtained using a novel CaCl2 • 6H2O porogen. Dynamic culture conditions increased cell invasion, but decreased cell numbers and osteogenicity, within the scaffolds. Osteogenic differentiation in static cultures and ectopic bone formation in cell seeded scaffolds were enhanced in composites, with 30 wt-% of bioactive glass filler.