Monitoimiset Wlan-tukiasemat

Langaton lähiverkko tarjoaa joustavuutta ja mukavuutta koti- ja toimistotyösken-telyyn. Tekniikka on kehittynyt, tuotteiden hinnat ovat laskeneet nopeasti ja toimivuus on parantunut. Testasimme monitoimiset wlan-tukiasemat, jotka soveltuvat pienen lähiverkon keskipisteeksi ja Internet-yhteyden jakajaksi.

Mukana vertailussa:
Buffalo WLAR-L11G-L
D-Link DI-713p
Draytek Vigor 2200We
SMC 7004AWBR
Zyxel Prestige 316

Kotien ja pienyritysten kiinteät Internet-yhteydet esimerkiksi adsl- tai kaapelimodeemitekniikalla ovat yleensä sellaisia, että palveluntarjoaja antaa käyttöön vain rajoitetun määrän ip-osoitteita. Yhteys on kuitenkin helppo jakaa siten, että Internetiin päin näkyy vain yksi osoite, vaikka lähiverkossa olisikin kymmeniä tietokoneita ja tulostimia.

Kevytreitittimet toimivat tyypillisesti koko verkon keskipisteenä yhteyttä jakamassa. Monitoimiset wlan-tukiasemat tuovat verkkoon lisäksi langattoman ulottuvuuden. Langaton lähiverkko vapauttaa tietokoneen pöydän äärestä ja mahdollistaa työskentelyn melkein missä vain ilman joka huoneeseen vedettyjä verkkokaapeleita.

Vertailuun valittiin laitteet, joissa on 802.11b-standardin mukaisen wlan-tukiaseman lisäksi yksi tai useampi Ethernet-portti, dhcp-palvelin, nat-osoitekäännös yhteyden jakamista varten ja jonkintasoinen ip-pakettien suodatus palomuuriominaisuutena.

Kypsynyt tekniikka

Suomessa myytävät wlan-tuotteet perustuvat IEEE 802.11b -standardiin. Sekä tukiasemat että langattomat verkkokortit ovat kehittyneet viime vuosina huimasti, mikä näkyy erityisesti luotettavuuden ja laitteiden yhteensopivuuden parantumisena.

Laitteet toimivat vapaalla 2,4 gigahertsin taajuudella ja mahdollistavat enintään 11 megabitin siirtonopeuden. Radioaaltoja käyttävien laitteiden ominaisuudet on määritelty wi-fi-sertifikaatissa (wireless fidelity). Sen tavoitteena on ollut parantaa verkkokorttien ja tukiasemien yhteensopivuutta, koska itse 802.11b-standardi ei ole käytännössä osoittautunut riittävän tarkaksi määrittelyksi.

Nykyisten tukiasemien yhteensopivuustilanne onkin melko hyvä, sillä kaikki vertailun laitteet toimivat lähes ongelmitta eri valmistajien korttien kanssa. Tämä helpottaa langattoman lähiverkon pystyttämistä, kun ei olla riippuvaisia tietynmerkkisistä korteista ja tukiasemista.

Usean yhtäaikaisen käyttäjän lähiverkkokäytössä 11 megabitin siirtonopeus saattaa loppua kesken. Nopeampaa ei kuitenkaan ole saatavissa, sillä yli 50 megabitin nopeuksia tarjoavat muut 802.11-standardin tekniikat ovat vielä kehitteillä tai kiellettyjä Euroopassa niiden käyttämien yli 5 gigahertsin taajuuksien vuoksi. Kaistaa ei voi kasvattaa edes tukiasemia lisäämällä, koska kaikki wlanit käyttävät samaa 2,4 gigahertsin taajuutta.

Langaton lähiverkko ei siis välttämättä sovellu yrityksissä kaikkien kaapeleiden korvaajaksi, vaan lisukkeeksi liikkuvuutta ja joustavuutta tarjoamaan. Parhaimmillaan wlan onkin esimerkiksi kevyessä esitys- tai kokouskäytössä, kun Internet-yhteys halutaan helposti käyttöön.

Osoitteet piiloon

Vertailun laitteita ei ole tarkoitettu pelkiksi langattoman verkon tukiasemiksi, sillä ne soveltuvat paljon laajempaan käyttöön koti- ja pienyritysympäristössä. Ne pistetään tavallisesti kiinni suoraan adsl- tai kaapelimodeemipäätteeseen Internet-yhteyden jakajaksi ja kevyeksi palomuuriksi.

Vertailun laitteissa on Zyxeliä lukuun ottamatta yhteyden jakoa varten kolme tai neljä verkkoliitäntää, joiden kautta laitteet voi liittää kaapelilla lähiverkkoon tai suoraan tietokoneisiin. Koska Internet-palveluntarjoajat ovat tarkoittaneet kevyet isdn-, adsl- ja kaapelimodeemiyhteydet yleensä vain yhdellä tai muutamalla koneella käytettäväksi, vertailun laitteissa on ip-osoitteiden nat (network address translation) eli osoitemuunnos käytössä.

Osoitemuunnos toimii siten, että palveluntarjoajalle ja Internetiin päin näkyy vain yksi, tässä tapauksessa tukiaseman ja reitittimen yhdistävä laite, ja lähiverkon koneet ovat sen takana piilossa. Nat on yleisesti käytetty tekniikka, ja useimmat verkkosovellukset kuten sähköpostit, www, ftp, ssh sekä multimediaformaatit, kuten Real Media ja Windows Media toimivat sitä keytettäessä suoraan tai pienellä säätämisellä.

Aina natia ei haluta käyttää, sillä se saattaa aiheuttaa ongelmia vanhempien verkkosovellusten kanssa. Monesti Internet-yhteydessä on jo valmiiksi nat käytössä ja usean koneen liittäminen yhteyden päähän sallittua. Siksi on harmillista, että useimmissa vertailun laitteista ei saa nat-ominaisuutta lainkaan pois käytöstä.

Ominaisuuksia moneen tarpeeseen

Nat parantaa tietoturvaa, sillä lähiverkon koneet eivät näy suoraan Internetiin, vaan ne ovat omissa sisäverkon osoitteissaan reitittimen takana. Laitteissa on myös palomuuriominaisuuksia, joilla voidaan kieltää tai sallia tietyistä osoitteista ja porteista tulevaa tcp- tai udp-protokollan liikennettä. Sama pätee myös sisältä ulospäin, eli on mahdollista asettaa sääntöjä käyttäjien liikenteen rajoittamiseksi.

Tyypillinen tapa asettaa säännöt on kieltää kaikki muut kuin erikseen sallitut yhteydet sisäänpäin. Tämä onnistuu vertailun kaikissa laitteissa helposti. Monimutkaisempien sääntöjen tekeminen on työläämpää, koska niitä joutuu lisäämään hallintaliittymän kautta yksitellen.

D-Linkin ja SMC:n monitoimitukiasemissa on kätevä tulostinpalvelin. Tulostin liitetään laitteeseen tavalliseen lpt-porttiin ja työasemiin asennetaan tulostinporttiohjelma. Kummankin laitteen tulostinporttiajuri on itse asiassa sama ja tuntuu varmatoimiselta. Se on saatavana kaikille Windows-versioille, ja vähän virittelemällä onnistuu myös Linux-koneelta tulostaminen. Ominaisuus on tarkoitettu koteihin ja yrityksiin, joissa tavallinen rinnakkaisporttia käyttävä tulostin halutaan jakaa kaikkien lähiverkon koneiden käyttöön. Jos käytössä on aito verkkotulostin, se liitetään tavalliseen tapaan reitittimen verkkoliitäntään.

Helposti käyttöön

Etenkin koti- ja pientoimistokäyttöön tarkoitettujen laitteiden käyttöönoton pitäisi olla mahdollisimman helppoa. Testaamamme viisi monitoimilaitetta ovat tässä suhteessa onnistuneita, sillä verkkotekniikoita ymmärtämätönkin saa ne ohjeita seuraamalla nopeasti käyttökuntoon.

Laitteisiin kytketään virta, ja ne liitetään kaapelilla yleensä adsl- tai kaapelimodeemipäätteeseen. Melkein kaikissa oli dhcp-palvelin oletuksena päällä, joten tietokoneelle täytyy määrittää vain osoitteiden automaattihaku. Asetusten hallinta tapahtuu kaikissa vertailun malleissa selainpohjaisen käyttöliittymän kautta ja yleensä oletuksena ip-osoitteesta 192.168.0.1 tai muusta yksityiskäyttöön tarkoitetusta ip-osoiteavaruuden lohkosta.

Käyttöönotto onnistuu osalla laitteista myös suoraan wlan-yhteydellä. Kaikissa tämä ei kuitenkaan suju helposti, vaan vaatii tunnisteiden ja asetusten säätämistä.

Jotta Internet-yhteys saadaan käyttöön, on laitteeseen määritettävä palveluntarjoajan antamat asetukset. Tällöin käytetään tavallisesti joko dhcp:tä tai kiinteitä osoitteita.

Kaikki vertailun laitteet tukevat pppoe:ta (point to point protocol over ethernet), sillä se on USA:ssa laajasti käytössä. Sen käyttö helpottaa yhteyden tarkkailua lähinnä laskutusta varten. Suomessa pppoe on harvinainen ratkaisu ja tuskin yleistyykään hankaluutensa takia.

Salaus tarpeen

Perusasetusten jälkeen alkaa hienosäätö. Heti alkuun kannattaa tarkistaa, onko wlan oletuksena päällä. Jos näin on, pitää varmistaa, ettei salaamattomia yhteyksiä sallita. Useissa laitteissa oletusasetuksina on, että langaton verkko on käytössä ja kaikki käyttäjät pääsevät sisälle. Tällöin mikä tahansa kantomatkan sisällä oleva langattomalla verkkokortilla varustettu tietokone pääsee suojaamattomaan verkkoon.

Langattoman verkon löytää todella helposti etenkin Windows XP:ssä, joka tukee valmiiksi wlan-kortteja ja osaa etsiä kantomatkan sisältä tukiasemaa. Jos langatonta lähiverkkoa pidetään täysin avoimena, voi verkkoon päästä vahingossakin vaikka naapurissa sijaitsevasta yrityksestä.

Kun langattomia yhteyksiä varten määritetään salasana 64- tai 128-bittisiä wep-avaimia käyttäen, ei verkkoon pääse ainakaan vahingossa. Asetuksiin voi myös määrittää sallittujen käyttäjien wlan-korttien fyysiset mac-osoitteet, jolloin verkkoon pääsy rajataan tiettyjen laiteosoitteiden käyttäjille. Mac-osoitteen voi kuka tahansa vaihtaa koneessaan, mutta ainakaan kukaan ei joudu verkkoon vahingossa, ja luvaton käyttö vaikeutuu

Reititysasetukset kuntoon

Kaikki vertailun laitteet sisältävät pakettisuodattavan palomuurin. Liikenteen rajoittaminen voidaan kohdistaa sekä saapuvaan että lähtevään liikenteeseen. Pakettisuodatukselle ominaisesti rajoittavina tekijöinä käytetään tcp- ja udp-porttinumeroita sekä yhteyskumppanien ip-osoitteita. Palomuuriominaisuuksien hyödyntäminen vaatii paljon tietämystä sekä tcp/ip-yhteyskäytännöstä että käyttöjärjestelmien verkko-ominaisuuksista. Laitteitten opasteet ovat vaihtelevia; D-Linkissä, SMC:ssä ja Buffalossa on selkeitä esimerkkikonfiguraatioita, kun taas Draytek Vigorin esitystapa on turhan pelkistetty ja vailla ohjeita hallintaliittymästä.

Julkisten palveluiden tarjoaminen Internetiin ei onnistu suoraan verkko-osoitteen kääntävän monitoimitukiaseman takaa. Jos verkossa on lähiverkon koneella esimerkiksi www-palvelin, eivät paketit ohjautuisi reitittimeltä eteenpäin natin takia. Normaalisti tämä on tarkoituskin, jotta sisäverkkoon tunkeutuminen Internetistä vaikeutuu.

Internetiin näkyvän palvelimen saa kuitenkin halutessaan toimimaan vertailun kaikissa laitteissa npat-ominaisuuksilla (network port address translation). Näissä määritetään, että esimerkiksi porttiin 80 tuleva liikenne ohjataan sisäverkon ip-osoitteeseen 192.168.0.33, ja porttiin 22 tuleva liikenne sisäverkon ip-osoitteeseen 192.168.0.34. Näin olisi mahdollista päästä lähiverkossa olevalle ssh- ja www-palvelimille reitittimen kautta. Internet-yhteyden tarjoaja saattaa estää tämän tai laskuttaa erikseen julkisesta ip-osoitteesta sekä palvelimen pitämisestä. Siksi asia on tarkistettava omalta isp:ltä.

Osassa vertailun laitteista, erityisesti Draytek Vigorissa, reititysasetuksia pääsee säätämään vieläkin tarkemmin. Tällöin on kuitenkin käytettävä tarkkaa harkintaa ja varmaa osaamista, jotta liikennettä avaamalla ei vaaranneta koko lähiverkon tietoturvaa. Esimerkiksi dmz- eli demilitarized zone -asetukset toimivat vertailun laitteissa yksinkertaisesti niin, että kyseiseen lähiverkon osoitteeseen ohjataan kaikki liikenne.

Yhteyden laadussa vaihtelua

Wi-fi-sertifikaatista huolimatta tukiasemien ja langattomien verkkokorttien yhteistyö ei ole täysin mutkatonta. Tavallisin ongelmatilanne on, että verkkokortti ja tukiasema näkevät toisensa, mutta signaalin laatu jää heikoksi: yhteys katkeilee, viiveet kasvavat ja nopeudet putoavat.

Wep-salausta viidellä wlan-kortilla käytettäessä siirtonopeudet vaihtelivat mittauksissamme eri tukiasemilla välillä 2,1 ja 4,7 megabittiä sekunnissa. Suorituskykyero johtuu lähinnä salauksen aiheuttamasta lisääntyneestä prosessoritehon tarpeesta, josta tukiasemat selviävät eri tavoin.

Langattomat verkot jäävät kauas teoreettisesta 11 Mbps -siirtonopeudesta. Muutamalle yhtäaikaiselle pientoimiston käyttäjälle saavutetut nopeudet ovat riittäviä, koska rajan asettaa yleensä ensin Internet-yhteyden nopeus. Vertailun tukiasemat tukevat teoriassa useita kymmeniä yhtäaikaisia käyttäjiä, mutta tällöin loppuu kaista helposti kesken. Testaamamme monitoimitukiasemat onkin tarkoitettu lähinnä kevyeen käyttöön. Suurten tietomäärien siirtoon on perinteinen lähiverkko yhä paras vaihtoehto.

Signaalin laatuun vaikuttaa tietysti tilakin. Mitä enemmän ja tiiviimpiä väliseiniä tai muita esteitä tietokoneen ja tukiaseman välissä on, sitä heikommaksi linkki jää. Tuoteryhmän laitteet lupaavat teoriassa sadan metrin kuuluvuutta sisätiloissa, mutta tähän päästään harvoin edes tiloissa, joissa ei ole lainkaan näköesteitä. Näköesteitä on yleensä avokonttoreissakin jonkin verran, joten suurten tilojen kattamiseksi tarvitaan useita tukiasemia. Yhteyden laatua ei voi varmasti tietää etukäteen, vaan tukiasemien sijoittelua on testattava kannettavaa tietokonetta siirtelemällä. Esimerkiksi SMC:n ja Orinocon wlan-korttien mukana tulee kätevä client-ohjelma, jolla signaalin kuuluvuutta voi testata useampiin tukiasemiin.

Vertailun laitteissa ei ole Zyxeliä ja Buffaloa lukuun ottamatta liitäntämahdollisuutta ulkoiselle antennille, sillä ne on tarkoitettu nimenomaan sisätiloissa käytettäväksi. Zyxelissä on takana ulkoreunassa tavallinen pcmcia-wlan-kortti, johon saa tarvittaessa kiinni hyvän ulkoisen antennin.

Puutteistaan huolimatta tukiasemat ovat jo hyvin valmiita tuotteita. Wlanin saa käyttöön nopeasti ja helposti, eikä ylitsepääsemättömiä vaikeuksia juuri tarvitse pelätä. Varman päälle pelaava valitsee tukiaseman ja kortit samalta valmistajalta tai käyttää yleisesti eri tukiasemien kanssa luotettavaksi todettuja kortteja (kuten Lucentin Orinoco- eli nykyisin Agere-tuoteperhe).

Yhteensopivuutta parantaa sekin, että markkinoiden kymmenistä wlan-korteista ja tukiasemista monet ovat harvojen valmistajien tekniikkaa käyttäviä oem-tuotteita.

Tietoturvan puutteet

Langattoman lähiverkon käyttöönoton helppouden varjopuoli on tietomurtojen ja muiden asiattomien vierailujen kasvanut riski. Useimmissa markkinoilla olevissa laitteissa on oletuksena wlan käytössä, ja jo heti wlan-verkkokortin asennuksen jälkeen Windows voi löytää tukiaseman suoraan ja päästää käyttäjän lähiverkkoon tai Internetiin.

Uhkia wlanin tietoturvan kannalta ovat esimerkiksi liikenteen salakuuntelu tai muuttaminen, yhteyden häiritseminen tai katkaiseminen sekä muihin tietojärjestelmiin murtautuminen wlanin kautta. Sisäverkkoon livahtamalla voi myös käyttää yrityksen yhteyksiä vaikkapa roskapostin lähettämiseen. Radioliikenne ei välttämättä pysähdy paksuihinkaan seiniin, joten esimerkiksi naapurin tiloista voi hyvinkin päästä lähiverkkoon.

Koska radioliikenteen kuulumista ulkopuolisille ei voida helposti ja luotettavasti estää, suojataan liikenne wep-salauksella. Siinä salausavaimen pituus on 40 tai 104 bittiä. Usein mukaan lasketaan 24 bitin alustusvektori, jolloin avaimien pituuksiksi lasketaan 64 ja 128 bittiä. Ennen kortin ja tukiaseman valintaa onkin syytä selvittää, mitä wep-asetuksia wlan-kortti ja tukiasemat tukevat.

Millä tahansa asetuksilla wep-salausta käyttääkin, on turvataso kuitenkin heikko. Salaus pohjautuu sinänsä turvalliseen rc4-jonosalaukseen ja yleisesti tiedossa on, että wepin käyttämässä implementaatiossa on puutteita siinä määrin, että avaimien murtaminen on mahdollista. Salausavainten luontifunktio on heikko, joten wep-liikenteen salaamiseen käytetään liian samankaltaisia avaimia. Tämän johdosta yhden avaimen selvittämisen jälkeen muiden selvittäminen ei ole vaikeaa. Avaimien murtamiseen menee aikaa, joten riittävän usein avaimia vaihtamalla voidaan melko turvallisin mielin luottaa siihen, ettei sitä niitä ole ehditty murtaa.

Avaimet on määritettävä sekä wlan-korttien asetuksiin että tukiasemaan. Vertailun laitteet eivät tarjoa mahdollisuutta hoitaa avainten vaihtoa automatisoidusti. Jos wlania käyttäviä koneita on yksi tai muutama, on avaimien vaihtaminen käsin siedettävä vaihtoehto, mutta helposti sekin unohtuu.

Ongelmaa on koetettu ratkaista käyttämällä esimerkiksi eap-protokollaa ja Radius-palvelinta, joiden avulla käyttäjätietojen hallinta voidaan keskittää yhdelle palvelimelle. Vertailun laitteista Draytek Vigorissa on sisäänrakennettuna Radius-palvelin, joten sen avulla on helppo toteuttaa wepiä turvallisempi salaus.

Nykyisin wepin heikko linkkitason tietoturva kierretään tavallisesti sovellustasolla käyttämällä esimerkiksi Ipsec-pohjaista vpn-ratkaisua tai salattua ssh-yhteyttä. Vaikka wep-salaus murrettaisiinkin, tieto liikkuu silti ssh- tai vpn-tunnelissa salattuna. Jompaakumpaa käytetään joka tapauksessa silloin, kun salassa pidettävää tietoa siirretään julkisen Internetin yli.

Lähiverkon tietoturvaa voidaan parantaa niinkin, että wlan-tukiasemaa ei sijoiteta verkon keskipisteeksi, vaan kokonaan esimerkiksi palomuurin ja vpn-palvelimen ulkopuolelle, jolloin niiden kautta varmistetaan pääsy vain asiallisille vieraille. Tämän vertailun kevyitä koti- ja pientoimistoihin tarkoitettuja tukiasemia ei ole kuitenkaan kehitetty tätä silmällä pitäen, vaan niiden on ajateltu toimivan nimenomaan verkon keskipisteenä reitittimenä, verkkoyhteyden jakajana (osoitemuunnos natilla) ja palomuurina.

buffalo wlar-l11g-l

Buffalon monitoiminen tukiasema on helppokäyttöinen ja suorituskykyinen laite. Selainpohjainen hallintaliittymä on yksinkertaisesta ulkoasustaan huolimatta toimiva, ja siinä on käyttöä helpottavat opasteet. Suorituskyvyltään laite oli salausta käyttäessä vertailun toiseksi nopein eikä kärsinyt siirtovirheistä. Tuotteen hinta vastaa hyvin sen ominaisuuksia.