Wprowadzenie do usługi eduroam

Transkrypt

1 Wprowadzenie do usługi eduroam

2 Usługa eduroam Stały i nieskrępowany dostęp do sieci jest warunkiem pracy badawczej, edukacji i organizowania toku studiowania Ostatnie lata, to eksplozja liczby urządzeń przystosowanych do korzystania z WiFi laptopy netbooki telefony komórkowe z WiFi i palmtopy Wyzwania przed instytucjami naukowymi i akademickimi zapewnienie dostępu do Internetu budowa sieci bezprzewodowych organizowanie dostępu do sieci własnym użytkownikom organizowanie dostępu do sieci przez gościom

3 Czy w sieciach jest potrzebne uwierzytelnianie? Uniemożliwienie dostępu do zasobów lokalnej sieci osobom niepowołanych (ochrona informacji niejawnej, ograniczenia licencyjne, bezpieczeństwo usług krytycznych dla funkcjonowania orgranizacji), Brak anonimowości w dostępie istotnie ogranicza nieodpowiedzialne zachowania ze strony użytkowników (dotyczy zwłaszcza uczelni wyższych i ich studentów) zmniejszając obciążenie dla osób utrzymujących sieć, Możliwość rozliczenia użytkowników z ich aktywności w przypadku naruszenia regulaminów, netykiety czy prawa, Możliwość przeniesienia odpowiedzialności za naruszenie prawa z instytucji udostępniającej sieć na konkretną osobę, Przestrzeganie prawa w zakresie gospodarowania środkami publicznymi (dotyczy instytucji państwowych przeważająca większość korzystających z eduroam),

4 eduroam założenia eduroam to infrastruktura łącząca sieci instytucji sektora nauki i szkolnictwa wyższego pozwalająca na organizowanie bezpiecznego i bezproblemowego gościnnego dostępu do Internetu eduroam jest usługą sieci GEANT, a jednocześnie ogólnoświatowym projektem współpracy eduroam działa na zasadzie wzajemności instytucja udostępniająca sieć gościom nabywa uprawnienia do korzystania z takiego dostępu przez jej pracowników i studentów na terenie wszystkich instytucji stowarzyszonych w eduroam eduroam to również promocja nowoczesnych rozwiązań technologicznych bezpiecznych sieci bezprzewodowych 802.1X WPA, WPA2 eduroam to rozpoznawalny na świecie, zastrzeżony znak towarowy eduroam jest dostępny we wszystkich krajach UE w setkach instytucji

5 eduroam zasada działania eduroam skupia instytucjonalne sieci bezprzewodowe oparte na standardzie 802.1X użytkownik korzysta z dostępu gościnnego tak, jak z sieci we własnej instytucji dane uwierzytelniające są przekazywane poprzez strukturę eduroam do serwera macierzystego użytkownika potwierdzenie tożsamości przesłane przez serwer macierzysty pozwala na udostępnienie sieci eduroam zapewnia ochronę prywatności użytkownika każde zalogowanie się do sieci jest odnotowywane przez instytucję macierzystą i na podstawie jej logów możliwe jest odszukanie użytkownika w przypadku naruszeń prawa eduroam działa od wielu lat i do tej pory nie odnotowano żadnego istotnego incydentu prawnego eduroam działa w oparciu o regulaminy akceptowane przez partycypujące sieci krajowe oraz indywidualne instytucje

6 schemat działania eduroam lokany serwer uwierzytelniający serwer uwierzytelniający example.edu Pracownicy jednostki Pracownicy instytucji Studenci Goście serwer pośredniczący Internet

7 Klasyczne zabezpieczenia sieci bezprzewodowych Blokady MAC praktycznie żadna ochrona MAC jest wysyłany otwartym tekstem Statyczny klucz WEP/WPA-PSK klucz jest tajny, a musi być znany wszystkim klientom sprzeczność między powszechnością i tajemnicą klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji Uwierzytelnianie przez WWW każdy może uruchomić AP i przypisać mu dowolny SSID problemy z potwierdzeniem wiarygodności portalu nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą zamkniętą kłódkę sprawdzenie, że oficjalny certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne

8 Uwierzytelnianie 802.1x/WPA/WPA2 enterprise Elementy supplicant (oprogramowanie uwierzytelniające działające w imieniu użytkownika) authenticator (urządzenie realizujące dostęp do sieci na podstawie uwierzytelnienia) authentication server (serwer uwierzytelniający) Funkcje uwierzytelnienie użytkownika udostępnienie sieci przydział VLAN-u przekazanie kluczy ochrony transmisji WPA enterprise w działaniu Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP), W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp.

9 Korzyści płynące ze stosowania WPA enterprise Sieć zna użytkownika użytkownik uwierzytelnia się w sieci Użytkownik zna sieć w czasie uwierzytelnienia serwer przesyła swój certyfikat Klucz szyfrujący jest bezpieczny i dostarczany automatycznie Użytkownik może być przypisany do różnych grup (np. użytkownik lokalny, gość) Możliwość odcięcia użytkownika, który działa niezgodnie z regulaminem Koordynacja na poziomie krajowym i międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach

10 Struktura eduroam Serwer główny Serwer krajowy PL Serwer Krajowy NL Serwer krajowy... Serwer region.wask Serwer region. TORMAN Universiteit Utrecht PWR AMED

11 eduroam na świecie eduroam jest dostępne we Wszystkich krajach UE w pozostałej części świata usługa dostępna jest również w : Kanadzie, Japonii, Australii, Hong-Kongu, Turcji, Izraelu, Nowej Zelandii i na Tajwanie

12 eduroam w Polsce W formie pilotowej eduroam działa w Polsce od roku 2004 i obecnie jest dostępny w 54 polskich instytucjach (551 lokalizacji) Operatorem eduroam jest Poznańskie Centrum Superkomputerowo-Sieciowe Koordynatorem eduroam jest Uczelniane Centrum Informatyczne UMK Krajowe serwery eduroam działają na UMK i w PCSS We wszystkich sieciach miejskich konsorcjum PIONIER uruchomiono regionalne serwery eduroam Serwer regionalny na w regionie Dolnego Śląska działa na PWR (WCSS) Informacje, dokumenty, lista partycypujących instytucji, mapa zasięgu:

13 eduroam w Polsce

14 Portal regulaminy kontakty dla użytkownika końcowego mapa eduroam w Polsce lista instytucji i lokalizacji testowane urządzenia klienckie (laptopy, karty, telefony) baza jest w trakcie rozbudowy i zostanie wzbogacona o instrukcje dla administratorów wyniki testów urządzeń bezprzewodowych (access-pointy, kontrolery) dokumentacja polskie opracowania linki do standardów dostęp do portalu administratorów dostęp do systemu testującego serwery RADIUS

15 Portal administratorów dostęp do zarejestrowanych administratorów instytucji lista mailowa wiki zarządzanie bazą lokalizacji zarządzanie bazą testowanych urządzeń (w przygotowaniu)

16 eduroam na Dolnym Śląsku Instytucje w których dostepny jest eduroam na Dolnym Śląsku: Politechnika Wrocławska, Akademia Medyczna, Uniwersytet Ekonomiczny, Dolnośląska Wyższa Szkoła Przedsiębiorczości i Techniki w Polkowicach 1 punkt dostepowy, Uniwersytet Wrocławski Wyższa Szkoła Oficerska Wojsk Lądowych Pierwszy w Polsce serwer regionalny uruchomiony w kwietniu 2006 roku we Wrocławskim Centrum Sieciowo Superkomputerowym dla domeny wroc.pl,

17 Przyszłość eduroam Rozwój eduroam jest prowadzony w remach prac europejskiego projektu GN3 oraz międzynarodowej grupy roboczej TERENA Task-Force Mobility and Network Middleware Prace obejmują zagadnienia, które zaczną odgrywać kluczową rolę wraz z rozwojem eduroam wprowadzenie bezpiecznego transportu i pewnego dla protokołu RADIUS (RadSec) zlikwiduje problemy transportowe protokołu UDP rezygnacja z hierarchicznej struktury serwerów eduroam pozwoli na likwidację słabych punktów i przyspieszenie procesu uwierzytelnienia wprowadzenie pseudo-identyfikatorów użytkowników umożliwi szybką reakcję na problemy generowane przez dostęp gościnny Rosnąca popularność eduroam poza Europą wymusza prace nad sformalizowaniem zasad współpracy ogólnoświatowej

18

19