Reikalavimai KTU bevielės prieigos diegimui ir priežiūrai
Bevielės prieigos diegimo teisyklės apibrėžia, kokių standartų būtina laikytis diegiant KTU bevielės prieigos zonas
PATVIRTINTA
KTU rektoriaus
2008-06-06 įsakymu Nr. A-357
BEVIELIŲ PRIEIGŲ DIEGIMO IR PRIEŽIŪROS UNIVERSITETE REIKALAVIMAI
I. TIKSLAS
1 Apibrėžti Universitete įrengiamų bevielio tinklo zonų saugaus ir vieningo konfigūravimo standartus.
2 Šių reikalavimų privaloma laikytis diegiant, registruojant ir prižiūrint bevielės prieigos taškus, prijungiančius vartotojų kompiuterius prie Universiteto tinklo.
II. APIBRĖŽIMAI
3 WEP (Wired Equivalent Privacy) – bevielės prieigos saugumo technologija, naudojanti pasenusius technologinius apsaugos metodus duomenų šifravimui ir prieigos kontrolei.
4 WPA (Wi-Fi Protected Access) – bevielės prieigos saugumo technologija, naudojanti sustiprintus saugumo užtikrinimo metodus ir suderinama su senesniais įrenginiais.
5 WPA2 – naujesnė WPA protokolo versija, naudojanti AES šifravimo algoritmą bei kitus patobulinimus.
6 WEB autentifikacija – autentifikacijos būdas, naudojantis HTTPS protokolą, Vartotojai autentifikuojasi, WWW naršyklėje įvesdami prisijungimo duomenis. Siunčiamą autentifikacijos informaciją šifruoja WWW naršyklė, naudojanti HTTPS protokolą.
7 802.1X – IEEE standartas, užtikrinantis tinklo prieigos kontrolę, naudojant autentifikacijos ir autorizacijos mechanizmus.
8 VPN (Virtual Private Network) – organizacijos vidaus tinklas, sukuriantis saugių komunikacijų tunelius per nesaugius tinklus.
9 Bevielės prieigos taškas – įrenginys, kuris, naudodamas radijo signalus, prijungia vartotojų kompiuterius prie Universiteto kompiuterių tinklo
10 SSID – bevielio tinklo identifikacijos kodas
11 BSSID – bevielės prieigos taško MAC adresas
12 Eduroam (Education Roaming) – infrastruktūra, leidžianti akademinių institucijų vartotojams naudotis vieninga bevielio ryšio vartotojų autentifikavimo sistema
III. PRIEIGOS TAŠKŲ REGISTRAVIMAS
13 Visi bevielio tinklo prieigos taškai, prijungti prie Universiteto kompiuterių tinklo, registruojami KTU ITPI Kompiuterių tinklų centre (toliau KTC). Registracijai pateikiama informacija:
13.1 padalinys, kuriam priklauso bevielės prieigos taškas .
13.2 fizinė įrenginio vieta;
13.3 MAC adresas (BSSID);
13.4 tinklo vardas (SSID);
13.5 naudojamas radijo dažnių kanalas;
13.6 atsakingas asmuo ir jo kontaktinė informacija;
IV. VARTOTOJŲ AUTENTIFIKACIJA
14 Prie Universiteto kompiuterių tinklo prijungtu bevieliu tinklu gali naudotis tik Universiteto darbuotojai, studentai, padalinio vadovo leidimą turintys svečiai ir asmenys, kurie naudoja bendrą Europos akademinių tinklų autentifikacijos infrastruktūrą Eduroam.
15 Siunčiama bevielio tinklo autentifikacijos informacija turi būti apsaugota šifravimo technologijomis.
16 Vartotojų autentifikacijai galima naudoti:
16.1 centralizuotą Universiteto vartotojų autentifikavimo sistemą, kurią tvarko KTC. Dėl bevielio tinklo įrenginių suderinamumo ir konfigūracijos parametrų reikia kreiptis į KTC;
16.2 padalinio valdomą vartotojų autentifikavimo sistemą, kuri tenkina 12 punkto reikalavimus.
V. BEVIELIO TINKLO SAUGUMO REIKALAVIMAI
17 Rekomenduojama pagal galimybę naudoti WPA (arba WPA2) technologiją, kaip saugiausią bevielės prieigos būdą, vartotojų autentifikacijai panaudojant centralizuotą vartotojų autentifikavimo sistemą.
18 Naudojant kitus bevielės prieigos apsaugos metodus, rekomenduojama derinti šias technologijas:
18.1 802.1X technologija, naudojant vartotojų duomenų bazę;
18.2 VPN technologija, naudojant vartotojų duomenų bazę;
18.3 WEB (HTTPS) autentifikacija, naudojant vartotojų duomenų bazę;
19 Naudoti vien tik bendrąjį WEP arba WPA šifravimo raktą leidžiama tik tais atvejais, kada nėra galimybės naudoti saugesnius metodus ir tik ribotą laiko tarpą, pavyzdžiui, svečių prisijungimui vykstant konferencijai. Privalomi šie reikalavimai įrenginiams, naudojantiems WEP ir WPA technologijas su bendruoju raktu:
19.1 rakto ilgis ne trumpesnis kaip 128 bitai;
19.2 rakto galiojimo laikas ne ilgesnis kaip 24 valandos;
19.3 jei tinklo raktui sudaryti naudojami ASCII simboliai, raktą turi sudaryti didžiųjų ir mažųjų raidžių, skaičių ir specialių simbolių kombinacija.
20 Bevielį tinklą aptarnaujantys įrenginiai turi registruoti prisijungusius vartotojus sisteminiuose žurnaluose, kurie saugomi ne mažiau kaip 12 mėnesių. Sisteminiuose žurnaluose saugoma tokia informacija:
20.1 vartotojo identifikatorius;
20.2 prisijungimo laikas;
20.3 atsijungimo laikas (jei tai registruoti leidžia įranga);
20.4 vartotojo kompiuterio MAC adresas;
20.5 vartotojui priskirtas IP adresas.
21 KTC turi teisę tikrinti Universiteto bevielės prieigos tinklų atitiktis keliamiems reikalavimams ir esant reikalui atjungti bevielį tinklą nuo Universiteto kompiuterių tinklo, kai jame neužtikrinami šie saugumo reikalavimai, arba dėl jo funkcionavimo kyla saugumo grėsmės, arba jis trukdo kitų tinklų funkcionavimui.