1 / 20

Utrecht, 29 maart 2006

eduroam voorwaarts!. nieuwe technische ontwikkelingen m.b.t. eduroam. Paul Dekkers. Utrecht, 29 maart 2006. Inhoud. Eindgebruikers Instellingen EAP Koppelvlak eduroam Eduroam infrastructuur RADIUS Groei en beperkingen

chiku
Download Presentation

Utrecht, 29 maart 2006

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. eduroam voorwaarts! nieuwe technische ontwikkelingen m.b.t. eduroam Paul Dekkers Utrecht, 29 maart 2006

  2. Inhoud • Eindgebruikers • Instellingen • EAP • Koppelvlak eduroam • Eduroam infrastructuur • RADIUS • Groei en beperkingen • Mogelijkheden en verbeteringen • Conclusie

  3. Eindgebruikers • Vernieuwingen van wireless & beveiliging: • WPA (TKIP) • WPA2 (AES) • 802.11i Werken op basis van 802.1x en EAP: toekomstvast! 802.1x + WEP is een backward compatible keus die goed genoeg is voor de komende tijd. In time: 802.1x net zo gebruikelijk als DHCP…

  4. Instellingen Supplicant Authenticator (AP or switch) RADIUS server institution User DB Guest VLAN LAN

  5. Instellingen • Meer keus in apparatuur en software • Meer keus in EAP • Een EAP-type sluit het gebruik van een andere niet uit • Altijd EAP-type van de thuisinstelling • Koppelen en analyseren eenvoudiger en eenvoudiger…

  6. Instellingen … hebben een koppelvlak met de eduroam infrastructuur Secured tunnel Supplicant Authenticator (AP or switch) RADIUS server institution A RADIUS server institution B User DB User DB Guest user@institution-B.nl Internet guest VLAN regular VLAN Central RADIUS Proxy server

  7. eduroam infrastructuur

  8. eduroam infrastructuur flexibiliteit van RADIUS werkt!

  9. eduroam infrastructuur groeit!

  10. Huidige infrastructuur RADIUS • RADIUS pakket op elke hop “zichtbaar” voor EAP is dat niet erg… • Verkeer tussen hops is zwak beveiligd voor EAP is dat niet erg… • Statische routering (mbv. @realm) configuratiewerk bij instelling & research netwerk • Schaalbaar, maar: meer aansluitingen = • meer configuratie • meer belasting op de top-level servers meer…

  11. Huidige infrastructuur UDP RADIUS transport “dead server”-detectie niet goed mogelijk indien slecht geconfigureerd…

  12. Iets beters… • Uitschakelen overbodige hierarchie • Snelheid • Veiligheid (minder data op minder plaatsen) • Betrouwbaarder(minder “points of failure”) • Betere beveiliging op de transport-laag (tcp/ssl?) • Flexibele configuratie (lookup-service?)

  13. Mogelijkheden • DiameterOpvolger van RADIUS(De definities zijn er al heel lang…) • RadSecOnderdeel van Radiator • DNSROAM & RadSecExperimenteel onderdeel van Radiator

  14. RadSec en DNSROAM • RADIUS pakket in TCP of SCTP betrouwbaarder, dead peer detectie • Beveiliging met TLS/PKI (optioneel) geeft mogelijkheden voor beperken deelname: • door specifieke CA gesigned certificaat • validatie op attribuut in certificaat (nog niet) • DNSROAM gebruikt DNS als lookup-service • dynamische routering op basis van realm • mogelijk voor een deel van de hierarchie

  15. RadSec (afbeelding door Telematica Instituut uit Radiate / Test description and evaluation)

  16. RadSec Vervangen van RADIUS-koppelingen met RadSec

  17. RadSec en DNSROAM

  18. RadSec Vervangen van statische koppelingen door dynamische

  19. RadSec en DNSROAM Compleet dynamisch Legacy koppelingen blijven mogelijk (via een proxy)

  20. Conclusie • Vernieuwingen op wireless gebied geen grote impact voor de eduroam-gebruiker. 802.1x en EAP zijn toekomstvast (WPA, WPA2, 802.11i). • Infrastructuur op een instelling degelijk, EAP is flexibel. • Verschillende mogelijkheden voor verbetering infrastructuur. • RadSec als vervanging voor RADIUS heeft direct potentie. • Verbeteringen infrastructuur niet ingrijpend.

More Related