1 / 20

Projekt eduroam

Projekt eduroam. Tomasz Wolniewicz UCI UMK. Założenia. Pracownik i student instytucji biorącej udział w eduroam uzyska dostęp do sieci na terenie dowolnej innej takiej instytucji Zasada pełnej wzajemności Pełna poufność danych Bezpieczeństwo użytkowników pewna sieć szyfrowana transmisja

kendra
Download Presentation

Projekt eduroam

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Projekt eduroam Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK

  2. Założenia • Pracownik i student instytucji biorącej udział w eduroam uzyska dostęp do sieci na terenie dowolnej innej takiej instytucji • Zasada pełnej wzajemności • Pełna poufność danych • Bezpieczeństwo użytkowników • pewna sieć • szyfrowana transmisja • Bezpieczeństwo instytucji udostępniających sieć • uwierzytelnieni użytkownicy • odpowiedzialność użytkownika za jego działania

  3. Uczestnicy - świat

  4. Uczestnicy - Polska

  5. Uczestnicy - Hiszpania

  6. Uczestnicy - Holandia

  7. Uczestnicy - Luksemburg

  8. Uczestnicy - Słowenia

  9. Uczestnicy - Australia

  10. Klasyczne zabezpieczenia sieci bezprzewodowych • Blokady MAC • praktycznie żadna ochrona – MAC jest wysyłany otwartym tekstem • Statyczny klucz WEP • klucz jest tajny, a musi być znany wszystkim klientom • sprzeczność między powszechnością i tajemnicą • klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji

  11. Uwierzytelnianie przez WWW • Każdy może uruchomić AP i przypisać mu dowolny SSID • W klasycznym podejściu nie ma żadnej metody na zweryfikowanie, że AP działa w „legalnej” sieci • Problemy z potwierdzeniem wiarygodności portalu • jeżeli portal nie posiada powszechnego certyfikatu, to tylko użytkownik, który wcześniej zaimportował certyfikat może go zweryfikować • nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą „zamkniętą kłódkę” • sprawdzenie, że „oficjalny” certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne • Portal WWW jako metoda dostępu do sieci bezprzewodowej jest nie do przyjęcia w sytuacji kiedy użytkownik korzysta z danych otwierających dostęp również do wielu innych usług

  12. Uwierzytelnianie 802.1x • Protokół IEEE – Port Based Network Access Control • protokół zdefiniowany z myślą o implementacji w przełącznikach • obecnie główne zastosowanie, to dostęp do sieci bezprzewodowych • Dobre wsparcie w najnowszych systemach operacyjnych • MS Windows XP/2003 • MAC OS 10 • Linux • Dobra dostępność kart sieciowych • Coraz większa powszechność w sieciach bezprzewodowych • na uniwersytetach amerykańskich istnieją takie sieci wyposażone w ogromne liczby urządzeń – ponad 1000 • Plany wdrożenia WPA przez operatorów publicznych • T-Mobile w USA • eBahn UK, USA

  13. 802.1x - podstawy • Elementy • supplicant (oprogramowanie uwierzytelniające działające w imieniu użytkownika) • authenticator (urządzenie realizujące dostęp do sieci na podstawie uwierzytelnienia) • authentication server (serwer uwierzytelniający) • Funkcje • uwierzytelnienie użytkownika • udostępnienie sieci • przydział VLAN-u • przekazanie kluczy ochrony transmisji

  14. 802.1x w działaniu • Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP), • W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika • Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci • Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp.

  15. EAP (Extensible Authentication Protocol) • EAP określa ramy dla implementowania metod uwierzytelnienia • rodzaje zapytań i odpowiedzi • odwołania do specyficznych metod uwierzytelniania • dane EAP są wymieniane między klientem urządzeniem sieciowym i przekazywane przez urządzenie sieciowe do serwera uwierzytelniającego (typowo w ramach protokołu Radius) • dane EAP nie są analizowane przez urządzenie dostępowe

  16. Korzyści płynące ze stosowania standardu 802.1x • Sieć „zna” użytkownika • Użytkownik „zna” sieć • Klucz szyfrujący jest wymieniany co kilka minut lub z każdym pakietem • Użytkownik może być przypisany do różnych grup (np. użytkownik lokalny, gość) • Możliwość odcięcia użytkownika, który działa niezgodnie z regulaminem • Koordynacja na poziomie krajowym i międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach

  17. Internet Działanie systemu uwierzytelniającego (użytkownik lokalny) Suplikant serwer uwierzytelniający UMK Pracownicy jednostki xxx@xx.uni.torun.pl lub xxx@xx.umk.pl Pracownicy UMK Goście Studenci pomysł zaczerpnięty z surfnet.nl

  18. Internet Działanie systemu uwierzytelniającego (gość) Suplikant serwer uwierzytelniający uni.ac.uk serwer uwierzytelniający UMK Pracownicy jednostki xxx@uni.ac.uk Pracownicy UMK Goście serwer pośredniczący Studenci pomysł zaczerpnięty z surfnet.nl

  19. Organizacja serwerów Radius w eduroam • Każda instytucja posiada „dostępowy” serwer Radius kierujący nieznane zapytania do jednego z dwóch serwerów krajowych • Serwery krajowe • dysponują pełną listą instytucji w domenie .[kraj] włączonych do eduroam i kierują do nich otrzymane pakiety Radius • pakiety adresowane do domen nie kończących się na .[kraj] są kierowane do serwerów europejskich • Serwery europejskie kierują pakiety do odpowiednich serwerów krajowych • Jednym z problemów jest obsługa domen globalnych np. .com

  20. Bezpieczeństwo danych użytkownika w eduroam • Przesłanie danych uwierzytelniających jest poprzedzone zweryfikowaniem certyfikatu serwera instytucji macierzystej dla użytkownika • Jeżeli do uwierzytelniania używane są hasła to ich transmisja jest zaszyfrowana w kanale między urządzeniem użytkownika a serwerem Radius w instytucji macierzystej

More Related