eduroam radionica Miroslav Milinović, Dubravko Penezić, Dario Šafar <[email protected]> Sveučilišni računski centar Sveučilišta u Zagrebu Osijek, Rijeka, Split, Zagreb, 8.-11. travanj 2013. Sadržaj stanje eduroam usluge u Republici Hrvatskoj i svijetu uspostava i održavanje eduroam pristupne točke eduroam nadzorna sonda eduroam installer i sigurnost usluge 2/47 Što je eduroam? (opis i stanje usluge u Hrvatskoj i svijetu) 3/47 Mobilnost korisnika roaming usluga zahtjevi: mogućnost jednoznačne identifikacije korisnika na krajevima mreže pristup gostima skalabilnost administracija i autentikacija korisnika lagana uspostava i korištenje minimalni zahtjevi na korisnika i podešavanje njegovog računala otvorenost sigurnost i zaštita privatnosti 4/47 Što je eduroam? eduroam™: skraćenica od EDUcation ROAMing moto: “Open your laptop and be online” globalna (akademska) roaming usluga siguran i jednostavan pristup mreži za krajnje korisnike neovisan o mjestu i vremenu pristupa konzistentan i uniforman čuva privatnost povijest: koncept i prototip nastali u okviru TERENA TF-Mobility (2002.) produkcijska usluga je uspostavljena u okviru EU FP6 projekta GÉANT2 (2008.), razvoj i održavanje nastavljeni u okviru EU FP7 projekta GÉANT3 5/47 eduroam™ SSID = eduroam korisničke oznake oblika uid@realm ([email protected]) autentikaciju obavlja matična ustanova (IdP; davatelj identiteta), a autorizaciju davatelj usluge (SP, točka pristupa, posjećena ustanova) odabrani tehnički standard: 802.1x + EAP roaming temelji na hijerarhiji RADIUS poslužitelja dostupan na (gotovo) svim platformama/uređajima 6/47 Tehnologija eduroam rabi 802.1X protokol(e) layer-2 port-based standard za (kontrolirani) pristup mreži detektira korisnika na “kraju mreže” port na (aktivnom) pristupnom mrežnom uređaju (NAS) može biti AP ili preklopnik (switch) dok se ne potvrdi identitet korisnika moguć je samo promet EAP paketa, ostalo (npr: HTTP ili DHCP) je blokirano na data link razini sigurnost: enkripcija podataka korištenjem dinamičkih ključeva (802.11i; WPA/TKIP WPA2/AES, ...) dodjela VLAN-a pri autorizaciji (802.1q) 7/47 Tehnologija eduroam (2) autentikacija temeljena na uporabi EAP-a EAP (Extensible Authentication Protocol) omogućuje različite autentikacijske metode EAP/TTLS, EAP/TLS, PEAP, ... RADIUS proxy kao temelj za roaming RADIUS je transportni protokol za autentikacijske podatke user names format: user@realm (npr. [email protected]) hijerarhija RADIUS poslužitelja (rabe se shared secrets) uz realm-based proxying povjerenje u sustav (trust fabric) temelji na hijerarhiji RADIUS poslužitelja Pravilniku o ustroju eduroam usluge (The eduroam policy) 8/47 eduroam™ 9/47 Prenošenje podataka o korisniku RADIUS infrastrukturom poslužitelji konfederacijske razine .AT .HR poslužitelji nacionalne (federacijske) razine inst-1 inst-2 inst-3 inst-4 poslužitelji razine ustanove [email protected] 10/47 EAP tunel Autentikacija korisnika zaštićena tunelom TLS tunnel ` 802.1X klijent RADIUS Server 11/47 EAP – slojevi protokola 12/47 eduroam: globalna usluga www.eduroam.org 13/47 eduroam usluga globalna usluga globalna koordinacija – GeGC 60+ zemalja na 6 kontinenata europska eduroam usluga u okviru GEANT3/GEANT3+ projekta 43 zemlje; Srce koordinator distribuirana organizacija po federalnom modelu uslugu čine: tehnološka infrastruktura RADIUS infrastruktura, aktivni mrežni elementi pravila za sve učesnike (Policy) aktualna verzija 2.0 https://www.eduroam.org/index.php?p=docs servisi za podršku korisnicima informacije o radu sustava i pomoć pri uporabi nadzor, dijagnostika i mjerenje 14/47 Međunarodna eduroam infrastruktura Eduroam confederation infrastructure Top-level RADIUS Server(s) RADIUS RADIUS Home Federation Visited Federation Federation (National) top level RADIUS proxy Server(s) Federation (National) top level RADIUS proxy Server(s) RADIUS RADIUS HI VI RADIUS Server RADIUS Server RADIUS VI SP HI IdP AuthN S User U access network 15/47 Kategorije korisnika globalna koordinacija nacionalni koordinator ovlaštene osobe ustanova (davatelji usluge, matične ustanove) krajnji korisnici 16/47 Podrška korisnicima (međunarodni model) home federation OT visited federation 4b 4a fed.-level admin. 4 3 fed.-level admin. 5 local institution admin. local institution admin. 1,2 6 user 17/47 Gdje se može koristiti eduroam? http://monitor.eduroam.org/user_map/ podaci za 47 zemalja 8175 pristupnih točaka (travanj 2013.) 18/47 de ce m ja be nu r fe a 2 br ry 00 u 8 m ary 2 00 ar 2 9 ch 0 ap 20 09 m ril 2 0 9 a 0 ju y 2 09 ne 0 0 9 se au july 2 00 pt gu 20 9 em s 0 o b t2 9 no cto er 00 9 b 2 de vem er 0 09 ce be 20 m r 09 ja be 20 fe nu r 2 09 br ar 00 u y 9 m ary 201 ar 2 0 c 0 ap h 2 10 0 m ril 2 1 0 ay 0 1 ju 20 0 n 10 j se au uly 20 1 pt gu 20 0 em st 1 o b 2 0 no cto er 01 0 2 de vember 0 1 ce b 20 0 m e 1 ja be r 20 0 nu r 1 fe a 20 0 br ry 1 u 0 m ary 2 01 ar 2 1 ch 0 ap 2 11 0 m ril 2 1 1 ay 0 1 ju 2 1 ne 0 1 1 a se u july 2 01 pt gu 20 1 em st 1 oc be 20 1 no to r 1 1 2 de vember 0 1 ce b 20 1 e ja mb r 2 11 nu e r 0 fe ar 20 11 br y 1 u 2 1 m ary 012 ar 2 * c 0 ap h 2 12 0 m ril 2 1 2 ay 0 ju 20 12 ne 1 2 se au july 2 10 pt gu 20 2 em s 1 t oc be 20 2 no to r 2 1 2 de vember 0 12 ce b 20 m e 1 ja be r 20 2 nu r 1 ar 20 2 y 12 20 13 Koliko se eduroam koristi? (međunarodni promet) 6500000 6000000 4500000 4000000 3500000 AuthNcount CSI 800000 5500000 AuthnCount 6.286.460 CSI 837.891 (listopad 2012.) 3000000 2500000 1000000 500000 0 750000 700000 5000000 650000 600000 550000 500000 450000 400000 350000 2000000 300000 250000 1500000 200000 150000 100000 50000 0 19/47 eduroam.hr http://www.eduroam.hr elektronički identitet u sustavu AAI@EduHr ≡ mogućnost uporabe eduroam usluge usluga dostupna (travanj 2013.) u 20 mjesta/gradova na 96 lokacija i u žičanoj inačici (StuDOM) Srce (AAI@EduHr) je uključeno u aktivnosti vezane uz eduroam od samog začetka (2003. godine) 20/47 eduroam.hr – međunarodni promet http://monitor.eduroam.org/f-ticks/ (europski) alat za praćenje prometa utemeljen na syslogu unapređenja i interna primjena u AAI@EduHr / eduroam.hr tijekom 2013. godine 21/47 Kako početi koristiti eduroam? potrebno je: posjedovati elektronički identitet u sustavu AAI@EduHr iskonfigurirati uređaj (računalo, pametni telefon, ...) na odgovarajući način usluga je za krajnjeg korisnika besplatna bez obzira na točku pristupa (bilo gdje u Hrvatskoj, Europi i svijetu) mogući izazov: konfiguriranje uređaja 22/47 eduroam installer http://installer.eduroam.hr/ omogućuje krajnjim korisnicima jednostavno i pouzdano konfiguriranje (većine) uređaja posebno prilagođen svakoj od matičnih ustanova podatke za aktivaciju treba putem weba dostaviti administrator/sistemac matične ustanove: kratki naziv logo URL adresu web-sjedišta ime RADIUS servera (CN polje u certifikatu) (Root) certfikat poslužitelja (u DER formatu) provjerite popis: http://www.eduroam.hr/installer_status.php CAT - globalni alat: https://cat.eduroam.org 23/47 Uspostava i održavanje eduroam pristupne točke (eduroam za davatelje usluge) 24/47 Pretpostavke pri uspostavi eduroam pristupne točke funkcionalna bežična mreža pristupni uređaji podržavaju 802.1x korisnici posjeduju odgovarajuće korisničke podatke za autentikaciju dostupan je RADIUS server za potrebe autentikacije i pohrane logova 25/47 RADIUS poslužitelj konfiguracija ovisi o tipu pristupne točke: davatelj pristupa matična ustanova i davatelj pristupa istodobno potrebna je ispravna proxy-eduroam.conf datoteka zatražite e-mailom na [email protected] programskim paketima podržan je FreeRADIUS, no mogu se koristiti i druge inačice RADIUS programske podrške 26/47 RADIUS konfiguracija – davatelji pristupa svi zahtjevi se prosljeđuju (proxying) svaki davatelj pristupa ima svoju oznaku bilježe se logovi (RADIUS accounting) pristupni uređaji imaju svoj zapis u clients.conf datoteci 27/47 RADIUS konfiguracija – matična ustanova i davatelj pristupa istodobno “lokalni” identiteti se autenticiraju lokalno, a ostali zahtjevi se prosljeđuju (standardna AAI@EduHr konfiguracija) svaki davatelj pristupa ima svoju oznaku bilježe se logovi (RADIUS accounting) i podaci o autentikaciji pristupni uređaji imaju svoj zapis u clients.conf datoteci 28/47 Pristupni uređaji različite vrste, različite opcije pri konfiguriranju osnovni elementi konfiguracije: SSID – eduroam (javno vidljiv) kripto-zaštita bežične mreže – WPA2 (uobičajno se krije pod nazivom WPA2 enterprise) kripto-zaštita bežične komunikacije – AES IP adresa lokalnog RADIUS poslužitelja 'secret' iz clients.conf datoteke za pristupni uređaj ako uređaj podržava podesiti vanjsko logiranje moguće je imati više od jednog SSID-a na istom uređaju 29/47 Primjer konfiguracije Linksys WRT54GS FreeRADIUS 30/47 WLAN (eduroam) nadzorna sonda (kako nadzirati rad eduroam usluge) 31/47 Nadzor eduroam usluge Nije dovoljno znati da poslužitelji rade! nadzirati se može/treba: poslužitelje/aktivne elemente u sustavu infrastrukturu (put i interakciju između poslužitelja) AA proces (korisničko iskustvo) krajnji cilj je potpuni funkcionalni test 32/47 Nadzor eduroam usluge http://monitor.eduroam.org nadziru se poslužitelji u Europi 3 scenarija: nadzor poslužitelja nadzor infrastukture provjera na zahtjev (testing on demand) nedostaje: “last mile” – provjera stanja WLAN-a na koji su korisnik spaja 33/47 Koncept nadzornog sustava Monitoring Client RADIUS Proxy Server IdP RADIUS Server (loopback server) 34/47 Nadzor rada poslužitelja ETLRs nadzorna sonda baza podataka FTLRs 35/47 Nadzor rada infrastrukture ETLRs(s) TLRS(s) nadzorna sonda baza podataka FTLRs(s) FTLRs(s) 36/47 Nadzor WLAN-a zadatak je napraviti sondu koja će provjeravati stanje WLAN-a / eduroam pristupne točke sonda: nadzire dostupne SSID-eve nadzire jačinu/kvalitetu signala nadzire korištene metode autentikacije i kriptiranja testira spajanje na eduroam (autentikacija + provedba akcije) prikuplja podatke koje šalje središnjoj točki radi pohrane i analize ... 37/47 Pilot projekt u tijeku odabrana platforma Raspberry Pi HW Raspbian Linux Python 2.7. trenutni rezultati skeniranje bežičnih signala / SSID-eva rezultati se šalju (korištenjem syslog-a) u bazu podataka za nadzor primjeri mogućih ispisa prikupljenih podataka: http://www.eduroam.hr/sensornet/index.php http://www.eduroam.hr/sensornet/index1.php http://www.eduroam.hr/sensornet/index2.php 38/47 eduroam.hr sonda Tražimo dobrovoljce koji bi dozvolili instalaciju sonde u svojoj (WLAN) mreži! 39/47 O sigurnosti eduroam usluge (Zašto je važno koristiti installer?) 40/47 eduroam™ 41/47 EAP tunel Autentikacija korisnika zaštićena tunelom TLS tunnel ` 802.1X klijent RADIUS Server 42/47 Autentikacija uz korištenje certifikata (putem nadležnog poslužitelja) sa certifikatom nadležnog RADIUS-a obrada zahtjeva zahtjev za autentikacijom zahtjev za autentikacijom dozvola pristupa provjerava autentičnost RADIUS poslužitelja dozvola pristupa AP – dio standardne eduroam infrastrukture MitM AP dozvoljen pristup uz ispravne vjerodajnice nadležni RADIUS poslužitelj modificirani RADIUS poslužitelj 43/47 Autentikacija uz korištenje certifikata (putem MitM poslužitelja) sa certifikatom nadležnog RADIUS-a AP – dio standardne eduroam infrastrukture Nadležni RADIUS poslužitelj provjerava autentičnost RADIUS poslužitelja zahtjev za autentikacijom nemoguća obrada zahtjeva odbijen pristup MitM AP modificirani RADIUS poslužitelj 44/47 Autentikacija bez korištenje certifikata (putem MitM poslužitelja) AP – dio standardne eduroam infrastrukture bez certifikata nadležnog RADIUS-a zahtjev za autentikacijom zahtjev za autentikacijom dozvola pristupa pristupa mreži, dajući vjerodajnice nepoznatom poslužitelju dozvola pristupa MitM AP Nadležni RADIUS poslužitelj obrađuje zahtjev raspolaže vjerodajnicama modificirani RADIUS poslužitelj 45/47 Zašto je važno korisititi installer? installer omogućuje ispravno konfiguriranje klijenata uz postavljanje provjere certifikata svakako tražite od svojih korisnika da obavezno koriste installer i ne mijenjaju postavku koja se odnosi na provjeru certifikata matične ustanove u suprotnom se korisnik izlaže MitM napadu ... ... live demo 46/47 http://www.eduroam.hr/ [email protected] 47/47
© Copyright 2024 Paperzz
