eduroam - smorfland.uni.wroc.pl

Wprowadzenie do usługi
eduroam
Usługa eduroam
•
•
•
Stały i nieskrępowany dostęp do sieci jest warunkiem pracy badawczej,
edukacji i organizowania toku studiowania
Ostatnie lata, to eksplozja liczby urządzeń przystosowanych do korzystania
z WiFi
– laptopy
– netbooki
– telefony komórkowe z WiFi i palmtopy
Wyzwania przed instytucjami naukowymi i akademickimi
– zapewnienie dostępu do Internetu
– budowa sieci bezprzewodowych
– organizowanie dostępu do sieci własnym użytkownikom
– organizowanie dostępu do sieci przez gościom
Czy w sieciach jest potrzebne uwierzytelnianie ?
•
•
•
•
•
Uniemożliwienie dostępu do zasobów lokalnej sieci osobom niepowołanych
(ochrona informacji niejawnej, ograniczenia licencyjne, bezpieczeństwo
usług krytycznych dla funkcjonowania orgranizacji),
Brak anonimowości w dostępie istotnie ogranicza nieodpowiedzialne
zachowania ze strony użytkowników (dotyczy zwłaszcza uczelni wyższych i
ich studentów) zmniejszając obciążenie dla osób utrzymujących sieć,
Możliwość rozliczenia użytkowników z ich aktywności w przypadku
naruszenia regulaminów, netykiety czy prawa,
Możliwość przeniesienia odpowiedzialności za naruszenie prawa z instytucji
udostępniającej sieć na konkretną osobę,
Przestrzeganie prawa w zakresie gospodarowania środkami publicznymi
(dotyczy instytucji państwowych – przeważająca większość korzystających z
eduroam),
eduroam założenia
•
•
•
•
•
•
eduroam to infrastruktura łącząca sieci instytucji sektora nauki i szkolnictwa
wyższego pozwalająca na organizowanie bezpiecznego i bezproblemowego
gościnnego dostępu do Internetu
eduroam jest usługą sieci GEANT, a jednocześnie ogólnoświatowym projektem
współpracy
eduroam działa na zasadzie wzajemności – instytucja udostępniająca sieć gościom
nabywa uprawnienia do korzystania z takiego dostępu przez jej pracowników i
studentów na terenie wszystkich instytucji stowarzyszonych w eduroam
eduroam to również promocja nowoczesnych rozwiązań technologicznych –
bezpiecznych sieci bezprzewodowych
– 802.1X
– WPA, WPA2
eduroam to rozpoznawalny na świecie, zastrzeżony znak towarowy
eduroam jest dostępny we wszystkich krajach UE w setkach instytucji
eduroam – zasada działania
•
•
•
•
•
•
•
•
eduroam skupia instytucjonalne sieci bezprzewodowe oparte na standardzie 802.1X
użytkownik korzysta z dostępu gościnnego tak, jak z sieci we własnej instytucji
dane uwierzytelniające są przekazywane poprzez strukturę eduroam do serwera
macierzystego użytkownika
potwierdzenie tożsamości przesłane przez serwer macierzysty pozwala na
udostępnienie sieci
eduroam zapewnia ochronę prywatności użytkownika
każde zalogowanie się do sieci jest odnotowywane przez instytucję macierzystą i na
podstawie jej logów możliwe jest odszukanie użytkownika w przypadku naruszeń
prawa
eduroam działa od wielu lat i do tej pory nie odnotowano żadnego istotnego incydentu
prawnego
eduroam działa w oparciu o regulaminy akceptowane przez partycypujące sieci
krajowe oraz indywidualne instytucje
schemat działania eduroam
lokany serwer
uwierzytelniający
Pracownicy
jednostki
[email protected]
Pracownicy
instytucji
serwer
uwierzytelniający
example.edu
Goście
Studenci
serwer pośredniczący
Internet
Klasyczne zabezpieczenia sieci bezprzewodowych
•
•
•
Blokady MAC
– praktycznie żadna ochrona – MAC jest wysyłany otwartym tekstem
Statyczny klucz WEP/WPA-PSK
– klucz jest tajny, a musi być znany wszystkim klientom
• sprzeczność między powszechnością i tajemnicą
– klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji
Uwierzytelnianie przez WWW
– każdy może uruchomić AP i przypisać mu dowolny SSID
– problemy z potwierdzeniem wiarygodności portalu
• nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu
serwera, jeżeli widzą „zamkniętą kłódkę”
• sprawdzenie, że „oficjalny” certyfikat rzeczywiście odpowiada sieci, z którą
się chcemy łączyć może być trudne
Uwierzytelnianie 802.1x/WPA/WPA2 enterprise
•
•
•
Elementy
– supplicant (oprogramowanie uwierzytelniające działające w imieniu użytkownika)
– authenticator (urządzenie realizujące dostęp do sieci na podstawie uwierzytelnienia)
– authentication server (serwer uwierzytelniający)
Funkcje
– uwierzytelnienie użytkownika
– udostępnienie sieci
– przydział VLAN-u
– przekazanie kluczy ochrony transmisji
WPA enterprise w działaniu
– Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem
urządzenia dostępowego (korzystając z protokołu EAP),
– W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty
zawierające dane uwierzytelniające użytkownika
– Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do
urządzenia dostępowego zgodę lub zakaz udostępnienia sieci
– Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr
VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp.
Korzyści płynące ze stosowania WPA enterprise
•
•
•
•
•
•
Sieć „zna” użytkownika
– użytkownik uwierzytelnia się w sieci
Użytkownik „zna” sieć
– w czasie uwierzytelnienia serwer przesyła swój certyfikat
Klucz szyfrujący jest bezpieczny i dostarczany automatycznie
Użytkownik może być przypisany do różnych grup (np. użytkownik lokalny, gość)
Możliwość odcięcia użytkownika, który działa niezgodnie z regulaminem
Koordynacja na poziomie krajowym i międzynarodowym pozwala na gościnny dostęp
do Internetu w wielu miejscach
Struktura eduroam
Serwer
główny
Serwer
krajowy PL
Serwer
Krajowy NL
Serwer
region.WASK
Serwer
region.
TORMAN
PWR
AMED
Universiteit
Utrecht
Serwer
krajowy ...
eduroam na świecie
•
eduroam jest dostępne we Wszystkich krajach UE
•
w pozostałej części świata usługa dostępna jest również w : Kanadzie,
Japonii, Australii, Hong-Kongu, Turcji, Izraelu, Nowej Zelandii i na Tajwanie
eduroam w Polsce
•
•
•
•
•
•
•
W formie pilotowej eduroam działa w Polsce od roku 2004 i obecnie jest dostępny w
54 polskich instytucjach (551 lokalizacji)
Operatorem eduroam jest Poznańskie Centrum Superkomputerowo-Sieciowe
Koordynatorem eduroam jest Uczelniane Centrum Informatyczne UMK
Krajowe serwery eduroam działają na UMK i w PCSS
We wszystkich sieciach miejskich konsorcjum PIONIER uruchomiono regionalne
serwery eduroam
Serwer regionalny na w regionie Dolnego Śląska działa na PWR (WCSS)
Informacje, dokumenty, lista partycypujących instytucji, mapa zasięgu:
– http://www.eduroam.pl
eduroam w Polsce
Portal www.eduroam.pl
•
•
•
•
regulaminy
kontakty
dla użytkownika końcowego
– mapa eduroam w Polsce
– lista instytucji i lokalizacji
– testowane urządzenia klienckie (laptopy, karty, telefony)
• baza jest w trakcie rozbudowy i zostanie wzbogacona o instrukcje
dla administratorów
– wyniki testów urządzeń bezprzewodowych (access-pointy, kontrolery)
– dokumentacja
• polskie opracowania
• linki do standardów
– dostęp do portalu administratorów
– dostęp do systemu testującego serwery RADIUS
Portal administratorów
•
•
•
•
•
dostęp do zarejestrowanych administratorów instytucji
lista mailowa
wiki
zarządzanie bazą lokalizacji
zarządzanie bazą testowanych urządzeń (w przygotowaniu)
eduroam na Dolnym Śląsku
•
•
Instytucje w których dostepny jest eduroam na Dolnym Śląsku:
• Politechnika Wrocławska,
• Akademia Medyczna,
• Uniwersytet Ekonomiczny,
• Dolnośląska Wyższa Szkoła Przedsiębiorczości i Techniki w Polkowicach – 1
punkt dostepowy,
• Uniwersytet Wrocławski
• Wyższa Szkoła Oficerska Wojsk Lądowych
Pierwszy w Polsce serwer regionalny – uruchomiony w kwietniu 2006 roku we
Wrocławskim Centrum Sieciowo – Superkomputerowym dla domeny wroc.pl,
Przyszłość eduroam
•
•
•
Rozwój eduroam jest prowadzony w remach prac europejskiego projektu GN3 oraz
międzynarodowej grupy roboczej TERENA Task-Force Mobility and Network
Middleware
Prace obejmują zagadnienia, które zaczną odgrywać kluczową rolę wraz z rozwojem
eduroam
– wprowadzenie bezpiecznego transportu i pewnego dla protokołu RADIUS
(RadSec) zlikwiduje problemy transportowe protokołu UDP
– rezygnacja z hierarchicznej struktury serwerów eduroam pozwoli na likwidację
słabych punktów i przyspieszenie procesu uwierzytelnienia
– wprowadzenie pseudo-identyfikatorów użytkowników umożliwi szybką reakcję na
problemy generowane przez dostęp gościnny
Rosnąca popularność eduroam poza Europą wymusza prace nad sformalizowaniem
zasad współpracy ogólnoświatowej