projekt eduroam

Tomasz Wolniewicz UCI UMK

Seminarium eduroam – UMK, 16-17.03.2006

Tomasz WolniewiczUCI UMK

Projekt eduroam

Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK2/20

• Pracownik i student instytucji biorącej udział w eduroam uzyska dostęp do sieci na terenie dowolnej innej takiej instytucji

• Zasada pełnej wzajemności• Pełna poufność danych• Bezpieczeństwo użytkowników

– pewna sieć– szyfrowana transmisja

• Bezpieczeństwo instytucji udostępniających sieć– uwierzytelnieni użytkownicy– odpowiedzialność użytkownika za jego działania

Założenia


Uczestnicy - świat


Uczestnicy - Polska


Uczestnicy - Hiszpania


Uczestnicy - Holandia


Uczestnicy - Luksemburg


Uczestnicy - Słowenia


Uczestnicy - Australia


Klasyczne zabezpieczenia sieci bezprzewodowych

• Blokady MAC– praktycznie żadna ochrona – MAC jest wysyłany

otwartym tekstem

• Statyczny klucz WEP– klucz jest tajny, a musi być znany wszystkim

klientom• sprzeczność między powszechnością i tajemnicą

– klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji


Uwierzytelnianie przez WWW

• Każdy może uruchomić AP i przypisać mu dowolny SSID• W klasycznym podejściu nie ma żadnej metody na

zweryfikowanie, że AP działa w „legalnej” sieci• Problemy z potwierdzeniem wiarygodności portalu

– jeżeli portal nie posiada powszechnego certyfikatu, to tylko użytkownik, który wcześniej zaimportował certyfikat może go zweryfikować

– nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą „zamkniętą kłódkę”

– sprawdzenie, że „oficjalny” certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne

• Portal WWW jako metoda dostępu do sieci bezprzewodowej jest nie do przyjęcia w sytuacji kiedy użytkownik korzysta z danych otwierających dostęp również do wielu innych usług


Uwierzytelnianie 802.1x

• Protokół IEEE – Port Based Network Access Control– protokół zdefiniowany z myślą o implementacji w

przełącznikach– obecnie główne zastosowanie, to dostęp do sieci

bezprzewodowych

• Dobre wsparcie w najnowszych systemach operacyjnych– MS Windows XP/2003– MAC OS 10– Linux

• Dobra dostępność kart sieciowych• Coraz większa powszechność w sieciach

bezprzewodowych – na uniwersytetach amerykańskich istnieją takie sieci

wyposażone w ogromne liczby urządzeń – ponad 1000

• Plany wdrożenia WPA przez operatorów publicznych – T-Mobile w USA– eBahn UK, USA


802.1x - podstawy

• Elementy– supplicant (oprogramowanie uwierzytelniające

działające w imieniu użytkownika)– authenticator (urządzenie realizujące dostęp do sieci

na podstawie uwierzytelnienia)– authentication server (serwer uwierzytelniający)

• Funkcje– uwierzytelnienie użytkownika– udostępnienie sieci– przydział VLAN-u– przekazanie kluczy ochrony transmisji


802.1x w działaniu

• Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP),

• W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika

• Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci

• Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp.


EAP (Extensible Authentication Protocol)

• EAP określa ramy dla implementowania metod uwierzytelnienia– rodzaje zapytań i odpowiedzi– odwołania do specyficznych metod uwierzytelniania

• dane EAP są wymieniane między klientem urządzeniem sieciowym i przekazywane przez urządzenie sieciowe do serwera uwierzytelniającego (typowo w ramach protokołu Radius)

• dane EAP nie są analizowane przez urządzenie dostępowe


Korzyści płynące ze stosowania standardu 802.1x

• Sieć „zna” użytkownika• Użytkownik „zna” sieć• Klucz szyfrujący jest wymieniany co kilka

minut lub z każdym pakietem• Użytkownik może być przypisany do różnych

grup (np. użytkownik lokalny, gość)• Możliwość odcięcia użytkownika, który działa

niezgodnie z regulaminem• Koordynacja na poziomie krajowym i

międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach


serwer uwierzytelniający

UMK

[email protected]

lub

[email protected]

Studenci

GościePracownicyUMK

Suplikant

Pracownicyjednostki

Internet

pomysł zaczerpnięty z surfnet.nl

Działanie systemu uwierzytelniającego (użytkownik lokalny)


[email protected]

Studenci

GościePracownicyUMK

Suplikant

Pracownicyjednostki

Internet

serwer pośredniczący


uni.ac.uk


UMK

pomysł zaczerpnięty z surfnet.nl

Działanie systemu uwierzytelniającego (gość)


Organizacja serwerów Radius w eduroam

• Każda instytucja posiada „dostępowy” serwer Radius kierujący nieznane zapytania do jednego z dwóch serwerów krajowych

• Serwery krajowe– dysponują pełną listą instytucji w domenie .[kraj]

włączonych do eduroam i kierują do nich otrzymane pakiety Radius

– pakiety adresowane do domen nie kończących się na .[kraj] są kierowane do serwerów europejskich

• Serwery europejskie kierują pakiety do odpowiednich serwerów krajowych

• Jednym z problemów jest obsługa domen globalnych np. .com


Bezpieczeństwo danych użytkownika w eduroam

• Przesłanie danych uwierzytelniających jest poprzedzone zweryfikowaniem certyfikatu serwera instytucji macierzystej dla użytkownika

• Jeżeli do uwierzytelniania używane są hasła to ich transmisja jest zaszyfrowana w kanale między urządzeniem użytkownika a serwerem Radius w instytucji macierzystej

projekt eduroam

Documents