eduroam - smorfland.uni.wroc.pl
Transkrypt
eduroam - smorfland.uni.wroc.pl
Wprowadzenie do usługi eduroam Usługa eduroam • • • Stały i nieskrępowany dostęp do sieci jest warunkiem pracy badawczej, edukacji i organizowania toku studiowania Ostatnie lata, to eksplozja liczby urządzeń przystosowanych do korzystania z WiFi – laptopy – netbooki – telefony komórkowe z WiFi i palmtopy Wyzwania przed instytucjami naukowymi i akademickimi – zapewnienie dostępu do Internetu – budowa sieci bezprzewodowych – organizowanie dostępu do sieci własnym użytkownikom – organizowanie dostępu do sieci przez gościom Czy w sieciach jest potrzebne uwierzytelnianie ? • • • • • Uniemożliwienie dostępu do zasobów lokalnej sieci osobom niepowołanych (ochrona informacji niejawnej, ograniczenia licencyjne, bezpieczeństwo usług krytycznych dla funkcjonowania orgranizacji), Brak anonimowości w dostępie istotnie ogranicza nieodpowiedzialne zachowania ze strony użytkowników (dotyczy zwłaszcza uczelni wyższych i ich studentów) zmniejszając obciążenie dla osób utrzymujących sieć, Możliwość rozliczenia użytkowników z ich aktywności w przypadku naruszenia regulaminów, netykiety czy prawa, Możliwość przeniesienia odpowiedzialności za naruszenie prawa z instytucji udostępniającej sieć na konkretną osobę, Przestrzeganie prawa w zakresie gospodarowania środkami publicznymi (dotyczy instytucji państwowych – przeważająca większość korzystających z eduroam), eduroam założenia • • • • • • eduroam to infrastruktura łącząca sieci instytucji sektora nauki i szkolnictwa wyższego pozwalająca na organizowanie bezpiecznego i bezproblemowego gościnnego dostępu do Internetu eduroam jest usługą sieci GEANT, a jednocześnie ogólnoświatowym projektem współpracy eduroam działa na zasadzie wzajemności – instytucja udostępniająca sieć gościom nabywa uprawnienia do korzystania z takiego dostępu przez jej pracowników i studentów na terenie wszystkich instytucji stowarzyszonych w eduroam eduroam to również promocja nowoczesnych rozwiązań technologicznych – bezpiecznych sieci bezprzewodowych – 802.1X – WPA, WPA2 eduroam to rozpoznawalny na świecie, zastrzeżony znak towarowy eduroam jest dostępny we wszystkich krajach UE w setkach instytucji eduroam – zasada działania • • • • • • • • eduroam skupia instytucjonalne sieci bezprzewodowe oparte na standardzie 802.1X użytkownik korzysta z dostępu gościnnego tak, jak z sieci we własnej instytucji dane uwierzytelniające są przekazywane poprzez strukturę eduroam do serwera macierzystego użytkownika potwierdzenie tożsamości przesłane przez serwer macierzysty pozwala na udostępnienie sieci eduroam zapewnia ochronę prywatności użytkownika każde zalogowanie się do sieci jest odnotowywane przez instytucję macierzystą i na podstawie jej logów możliwe jest odszukanie użytkownika w przypadku naruszeń prawa eduroam działa od wielu lat i do tej pory nie odnotowano żadnego istotnego incydentu prawnego eduroam działa w oparciu o regulaminy akceptowane przez partycypujące sieci krajowe oraz indywidualne instytucje schemat działania eduroam lokany serwer uwierzytelniający Pracownicy jednostki [email protected] Pracownicy instytucji serwer uwierzytelniający example.edu Goście Studenci serwer pośredniczący Internet Klasyczne zabezpieczenia sieci bezprzewodowych • • • Blokady MAC – praktycznie żadna ochrona – MAC jest wysyłany otwartym tekstem Statyczny klucz WEP/WPA-PSK – klucz jest tajny, a musi być znany wszystkim klientom • sprzeczność między powszechnością i tajemnicą – klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji Uwierzytelnianie przez WWW – każdy może uruchomić AP i przypisać mu dowolny SSID – problemy z potwierdzeniem wiarygodności portalu • nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą „zamkniętą kłódkę” • sprawdzenie, że „oficjalny” certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne Uwierzytelnianie 802.1x/WPA/WPA2 enterprise • • • Elementy – supplicant (oprogramowanie uwierzytelniające działające w imieniu użytkownika) – authenticator (urządzenie realizujące dostęp do sieci na podstawie uwierzytelnienia) – authentication server (serwer uwierzytelniający) Funkcje – uwierzytelnienie użytkownika – udostępnienie sieci – przydział VLAN-u – przekazanie kluczy ochrony transmisji WPA enterprise w działaniu – Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP), – W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika – Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci – Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp. Korzyści płynące ze stosowania WPA enterprise • • • • • • Sieć „zna” użytkownika – użytkownik uwierzytelnia się w sieci Użytkownik „zna” sieć – w czasie uwierzytelnienia serwer przesyła swój certyfikat Klucz szyfrujący jest bezpieczny i dostarczany automatycznie Użytkownik może być przypisany do różnych grup (np. użytkownik lokalny, gość) Możliwość odcięcia użytkownika, który działa niezgodnie z regulaminem Koordynacja na poziomie krajowym i międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach Struktura eduroam Serwer główny Serwer krajowy PL Serwer Krajowy NL Serwer region.WASK Serwer region. TORMAN PWR AMED Universiteit Utrecht Serwer krajowy ... eduroam na świecie • eduroam jest dostępne we Wszystkich krajach UE • w pozostałej części świata usługa dostępna jest również w : Kanadzie, Japonii, Australii, Hong-Kongu, Turcji, Izraelu, Nowej Zelandii i na Tajwanie eduroam w Polsce • • • • • • • W formie pilotowej eduroam działa w Polsce od roku 2004 i obecnie jest dostępny w 54 polskich instytucjach (551 lokalizacji) Operatorem eduroam jest Poznańskie Centrum Superkomputerowo-Sieciowe Koordynatorem eduroam jest Uczelniane Centrum Informatyczne UMK Krajowe serwery eduroam działają na UMK i w PCSS We wszystkich sieciach miejskich konsorcjum PIONIER uruchomiono regionalne serwery eduroam Serwer regionalny na w regionie Dolnego Śląska działa na PWR (WCSS) Informacje, dokumenty, lista partycypujących instytucji, mapa zasięgu: – http://www.eduroam.pl eduroam w Polsce Portal www.eduroam.pl • • • • regulaminy kontakty dla użytkownika końcowego – mapa eduroam w Polsce – lista instytucji i lokalizacji – testowane urządzenia klienckie (laptopy, karty, telefony) • baza jest w trakcie rozbudowy i zostanie wzbogacona o instrukcje dla administratorów – wyniki testów urządzeń bezprzewodowych (access-pointy, kontrolery) – dokumentacja • polskie opracowania • linki do standardów – dostęp do portalu administratorów – dostęp do systemu testującego serwery RADIUS Portal administratorów • • • • • dostęp do zarejestrowanych administratorów instytucji lista mailowa wiki zarządzanie bazą lokalizacji zarządzanie bazą testowanych urządzeń (w przygotowaniu) eduroam na Dolnym Śląsku • • Instytucje w których dostepny jest eduroam na Dolnym Śląsku: • Politechnika Wrocławska, • Akademia Medyczna, • Uniwersytet Ekonomiczny, • Dolnośląska Wyższa Szkoła Przedsiębiorczości i Techniki w Polkowicach – 1 punkt dostepowy, • Uniwersytet Wrocławski • Wyższa Szkoła Oficerska Wojsk Lądowych Pierwszy w Polsce serwer regionalny – uruchomiony w kwietniu 2006 roku we Wrocławskim Centrum Sieciowo – Superkomputerowym dla domeny wroc.pl, Przyszłość eduroam • • • Rozwój eduroam jest prowadzony w remach prac europejskiego projektu GN3 oraz międzynarodowej grupy roboczej TERENA Task-Force Mobility and Network Middleware Prace obejmują zagadnienia, które zaczną odgrywać kluczową rolę wraz z rozwojem eduroam – wprowadzenie bezpiecznego transportu i pewnego dla protokołu RADIUS (RadSec) zlikwiduje problemy transportowe protokołu UDP – rezygnacja z hierarchicznej struktury serwerów eduroam pozwoli na likwidację słabych punktów i przyspieszenie procesu uwierzytelnienia – wprowadzenie pseudo-identyfikatorów użytkowników umożliwi szybką reakcję na problemy generowane przez dostęp gościnny Rosnąca popularność eduroam poza Europą wymusza prace nad sformalizowaniem zasad współpracy ogólnoświatowej