Eduroam - swobodny dostęp do Internetu



Podobne dokumenty
Wprowadzenie do usługi eduroam

Projekt eduroam. Tomasz Wolniewicz. UCI UMK w Toruniu

Projekt sieci UMK-EduRoam swobodnego dostępu do Internetu na Uniwersytecie Mikołaja Kopernika w Toruniu

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Bezpieczne Wi-Fi w szkole

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Konfiguracja ustawień sieci w systemie Windows XP z użyciem oprogramowania Odyssey Client

Tomasz Wolniewicz Uniwersytet Mikołaja Kopernika w Toruniu

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Marcin Szeliga Sieć

Serwery autentykacji w sieciach komputerowych

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Raport Wdrożenie usługi eduroam w sieci PIONIER

Opis testu i instalacji na potrzeby usługi eduroam LANCOM WLC-4006

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

Konfiguracja serwera FreeRADIUS

Metody uwierzytelniania klientów WLAN

Polska polityka eduroam

Polska polityka eduroam (wersja 1.1 z dnia )

Europejski projekt eduroam jako szansa na usprawnienie dostępu do Internetu

Bezpieczeństwo w

Polska polityka eduroam

WLAN bezpieczne sieci radiowe 01

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Instrukcja podłączania do sieci bezprzewodowej w budynkach Akademii Sztuk Pięknych im. J. Matejki w Krakowie:

Zasady obsługi incydentów sieciowych w usłudze eduroam

Dr Józef Oleszkiewicz. Kier. Sekcji Usług Sieciowo-Serwerowych Z-ca Kier. Działu Technologii Informacyjnej

Koncepcja uczelnianej sieci bezprzewodowej włączonej w strukturę eduroam

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Podłączanie się do bezprzewodowej sieci eduroam na platformie MS Windows XP w wersji Professional oraz HOME.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Podłączanie się do sieci eduroam w systemie Windows Vista/Windows 7 wersja 2

Opis przedmiotu zamówienia

Dr Michał Tanaś(

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Instrukcja konfiguracji systemów operacyjnych do korzystania z sieci eduroam

Systemy Sieciowe. Katedra Informatyki Stosowanej, PŁ

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Federacja zarządzania tożsamością PIONIER.Id

AM_Student. Instrukcja konfiguracji połączenia do studenckiej sieci bezprzewodowej Akademii Morskiej w Szczecinie

Windows Server Serwer RADIUS

Podłączanie się do sieci eduroam w systemie Windows Vista/Windows 7/ 8 Dla studentów AMG

Bezpieczeństwo bezprzewodowych sieci LAN

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

Internet. dodatkowy switch. Koncentrator WLAN, czyli wbudowany Access Point

Konfiguracja punktu dostępowego Cisco Aironet 350

Instrukcja do konfiguracji sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows XP

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Usuwanie ustawień sieci eduroam

polski Skrócona instrukcja instalacji Niniejsza instrukcja instalacji przeprowadzi użytkownika przez proces instalacji bezprzewodowej karty sieciowej

4. Podstawowa konfiguracja

Bezpieczeństwo systemów komputerowych

Instrukcja konfigurowania sieci WiFi w Akademii Leona Koźmińskiego dla systemu Windows XP

Centrum Informatyki. eduroam. Windows XP

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

DESIGNED FOR ALL-WIRELESS WORLD

Instrukcja logowania do sieci eduroam dla studentów

Zdalne logowanie do serwerów

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Zadanie 1. Dostawa kontrolera sieci bezprzewodowej obsługujący nie mniej niż 500 access-pointów z

Laboratorium Ericsson HIS NAE SR-16

Regulamin sieci teleinformatycznej Politechniki Warszawskiej

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Sieci wirtualne VLAN cz. I

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji

SMB protokół udostępniania plików i drukarek

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

Federacyjne zarządzanie tożsamością. Tomasz Wolniewicz Uczelniane Centrum informatyczne Uniwersytet Mikołaja Kopernika w Toruniu

ZiMSK. Konsola, TELNET, SSH 1

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Regulamin korzystania z sieci punktów publicznego dostępu do Internetu bezprzewodowego typu Hotspot

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012

POLITECHNIKA POZNAŃSKA

NIEUPOWAśNIONYM WSTĘP WZBRONIONY

Przełączanie i Trasowanie w Sieciach Komputerowych

Sieci bezprzewodowe WiFi

Konfiguracja własnego routera LAN/WLAN

CENNIK USŁUG TELEKOMUNIKACYJNYCH

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Realizacja wdrożenia usługi eduroam w sieci PIONIER

Windows Server Ochrona dostępu do sieci z wykorzystaniem 802.1X

Dostęp bezprzewodowy do Uczelnianej Sieci Komputerowej Politechniki Poznańskiej Instrukcja dla studentów Politechniki Poznańskiej

Symantec Endpoint Security dla przedsiębiorstw. Arkadiusz Lewandowski

Instrukcja podłączania komputerów z systemem Microsoft Windows Vista/7 do sieci eduroam

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Sprawozdanie nr 4. Ewa Wojtanowska

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

WLAN 2: tryb infrastruktury

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Transkrypt:

Eduroam - swobodny dostęp do Internetu Mariusz Krawczyk Pion Głównego Informatyka PK Mariusz.Krawczyk@pk.edu.pl Seminarium eduroam PK, 24.05.2006 Tomasz Wolniewicz UCI UMK

Uczestnicy - świat Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 2/23

Uczestnicy - Holandia Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 3/23

Uczestnicy - Luksemburg Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 4/23

Uczestnicy - Hiszpania Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 5/23

Uczestnicy - Słowenia Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 6/23

Uczestnicy - Australia Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 7/23

Uczestnicy Polska 03.2006 Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 8/23

Uczestnicy Polska obecnie Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 9/23

Założenia Pracownik i student instytucji biorącej udział w eduroam uzyska dostęp do sieci na terenie dowolnej innej takiej instytucji Zasada pełnej wzajemności Pełna poufność danych Bezpieczeństwo użytkowników pewna sieć szyfrowana transmisja Bezpieczeństwo instytucji udostępniających sieć uwierzytelnieni użytkownicy odpowiedzialność użytkownika za jego działania Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 10/23

Klasyczne zabezpieczenia sieci bezprzewodowych Blokady MAC praktycznie żadna ochrona MAC jest wysyłany otwartym tekstem Statyczny klucz WEP klucz jest tajny, a musi być znany wszystkim klientom sprzeczność między powszechnością i tajemnicą klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 11/23

Uwierzytelnianie przez WWW Każdy może uruchomić AP i przypisać mu dowolny SSID W klasycznym podejściu nie ma żadnej metody na zweryfikowanie, że AP działa w legalnej sieci Problemy z potwierdzeniem wiarygodności portalu jeżeli portal nie posiada powszechnego certyfikatu, to tylko użytkownik, który wcześniej zaimportował certyfikat może go zweryfikować nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą zamkniętą kłódkę sprawdzenie, że oficjalny certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne Portal WWW jako metoda dostępu do sieci bezprzewodowej jest nie do przyjęcia w sytuacji kiedy użytkownik korzysta z danych otwierających dostęp również do wielu innych usług Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 12/23

Uwierzytelnianie 802.1x Protokół IEEE Port Based Network Access Control protokół zdefiniowany z myślą o implementacji w przełącznikach obecnie główne zastosowanie, to dostęp do sieci bezprzewodowych Dobre wsparcie w najnowszych systemach operacyjnych MS Windows XP/2003 MAC OS 10 Linux Dobra dostępność kart sieciowych Coraz większa powszechność w sieciach bezprzewodowych na uniwersytetach amerykańskich istnieją takie sieci wyposażone w ogromne liczby urządzeń ponad 1000 Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 13/23

802.1x - podstawy Elementy supplicant (oprogramowanie uwierzytelniające działające w imieniu użytkownika) authenticator (urządzenie realizujące dostęp do sieci na podstawie uwierzytelnienia) authentication server (serwer uwierzytelniający) Funkcje uwierzytelnienie użytkownika udostępnienie sieci przydział VLAN-u przekazanie kluczy ochrony transmisji Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 14/23

802.1x w działaniu Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP), W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp. Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 15/23

Korzyści płynące ze stosowania standardu 802.1x Sieć zna użytkownika Użytkownik zna sieć Klucz szyfrujący jest wymieniany co kilka minut lub z każdym pakietem Użytkownik może być przypisany do różnych grup (np. użytkownik lokalny, gość) Możliwość odcięcia użytkownika, który działa niezgodnie z regulaminem Koordynacja na poziomie krajowym i międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 16/23

Działanie systemu uwierzytelniającego (użytkownik lokalny) Suplikant xxx@xx.pk.edu.pl Internet Pracownicy jednostki serwer uwierzytelniający PK Pracownicy PK Studenci Goście pomysł zaczerpnięty z surfnet.nl Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 17/23

Działanie systemu uwierzytelniającego (gość) Suplikant xxx@uni.ac.uk Pracownicy jednostki serwer uwierzytelniający PK serwer uwierzytelniający uni.ac.uk Pracownicy PK Studenci Goście serwer pośredniczący Internet pomysł zaczerpnięty z surfnet.nl Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 18/23

Organizacja serwerów Radius w eduroam Każda instytucja posiada dostępowy serwer Radius kierujący nieznane zapytania do jednego z dwóch serwerów krajowych Serwery krajowe dysponują pełną listą instytucji w domenie.[kraj] włączonych do eduroam i kierują do nich otrzymane pakiety Radius pakiety adresowane do domen nie kończących się na.[kraj] są kierowane do serwerów europejskich Serwery europejskie kierują pakiety do odpowiednich serwerów krajowych Jednym z problemów jest obsługa domen globalnych np..edu Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 19/23

Bezpieczeństwo danych użytkownika w eduroam Przesłanie danych uwierzytelniających jest poprzedzone zweryfikowaniem certyfikatu serwera instytucji macierzystej dla użytkownika Jeżeli do uwierzytelniania używane są hasła to ich transmisja jest zaszyfrowana w kanale między urządzeniem użytkownika a serwerem Radius w instytucji macierzystej Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 20/23

Poziom krajowy Serwery radius1.eduroam.pl serwer główny na UMK w Toruniu radius2.eduroam.pl polski serwer zapasowy w PCSS w Poznaniu pełni rolę pierwszego serwera proxy dla Poznania serwery pracują na oprogramowaniu FreeRadius Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 21/23

eduroam na PK Access-pointy Cisco ( 9 sztuk) Sieć dostępna w budynkach oznaczonych logo eduroam Szyfrowanie WPA-TKIP Serwer FreeRadius Serwer zapasowy współpracujący z repliką LDAP Uwierzytelnianie EAP-TLS Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 22/23

Korzyści z eduroam Każdy pracownik i student z naszej Uczelni ma dostęp do sieci na wielu europejskich uczelniach Każdy student czy pracownik współpracującej z nami uczelni ma dostęp do naszej sieci Centralnie zarządzana baza użytkowników Powszechny oraz bezpieczny dostęp do sieci dla studentów Seminarium eduroam PK, 24.05.2006 Mariusz Krawczyk GI 23/23

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres