Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Formalne aspekty eduroam Tomasz Wolniewicz UCI UMK

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK2/14 Definicja eduroam Celem eduroam jest realizacja romingu w dostępie do Internetu dla użytkowników akademickich sieci komputerowych Dostęp do sieci opiera się o bezpieczne mechanizmy uwierzytelniania użytkowników przez ich instytucje macierzyste

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK3/14 Struktura projektu Podmioty współpracy –instytucja udostępniająca sieć (resource provider) –instytucja uwierzytelniająca (idenity provider) –federacja krajowa –konfederacja (umowa między federacjami krajowymi) Składniki projektu –hierarchiczna sieć zaufania –system połączeń między serwerami podmiotów (obecnie hierarchiczny system serwerów Radius) Dokumenty –polityka europejska –polityki krajowe –regulaminy lokalne

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK4/14 Rozwój eduroam Dwie grupy koordynujące rozwój –TERENA Task Force Mobility – grupa otwarta dla wszystkich –Joint Research Activity 5 – podprojekt projektu GEANT2 – projekt badawczo-rozwojowy mający jako jeden z celów przygotowanie przekształcenia pilotowego projektu eduroam w stabilną usługę Podstawowe obszary prac –polityka europejska –udostępnianie atrybutów opisujących użytkownika –infrastruktura techniczna

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK5/14 Zarządzanie w skali europejskiej Konfederacja europejska będzie działać na bazie umów tworzących organizację TERENA eduroam będzie nadzorowany przez eduroam service group, w której reprezentowane będą wszystkie sieci krajowe biorące udział w projekcie Zarządzanie eduroam będzie realizowane przez eduroam operational team

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK6/14 Założenia polityki europejskiej - zarządzanie

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK7/14 Założenia polityki europejskiej - bezpieczeństwo eduroam wspiera wyłącznie takie metody uwierzytelniania, które gwarantują, że krytyczne dane (na przykład hasło użytkownika) są transportowane bezpiecznym tunelem bezpośrednio między urządzeniem użytkownika końcowego a serwerem jego instytucji macierzystej

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK8/14 Założenia polityki europejskiej - umowy W roli krajowej instytucji koordynującej występuje instytucja odpowiedzialna za krajową sieć akademicką Krajowe instytucje koordynujące podpisują formalne umowy z instytucjami włączającymi się do eduroam Treść umów wynika z krajowej polityki eduroam oraz europejskiej polityki eduroam

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK9/14 Polska polityka eduroam Polityka powinna być dopracowana przez polska grupę roboczą eduroam Polityka powinna bazować na wytycznych załączonych do polityki europejskiej Instytucją koordynującą powinien być operator sieci PIONIER – PCSS Obsługę operacyjną, techniczny nadzór nad projektem, reprezentację w międzynarodowych zespołach eduroam realizować będzie UCI UMK

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK10/14 Założenia polityki krajowej - Instytucja udostępniająca sieć Obowiązki –nieodpłatne udostępnianie sieci –wsparcie dla własnych użytkowników –współpraca z koordynatorem krajowym –utrzymanie strony WWW z informacjami –utrzymywanie logów dokonywanych połączeń Prawa –dostęp do wsparcia w przypadkach nadużyć –dostęp do wsparcia ze strony krajowej instytucji koordynującej

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK11/14 Założenia polityki krajowej - Instytucja uwierzytelniająca Obowiązki –utrzymywanie serwera uwierzytelniającego –uwierzytelnianie użytkowników –wsparcie dla uwierzytelnianych użytkowników –współpraca z koordynatorem krajowym w sprawach nadużyć –utrzymywanie logów operacji uwierzytelniania Prawa –dostęp do wsparcia ze strony krajowej instytucji koordynującej

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK12/14 Założenia polityki krajowej - Aspekty techniczne (1) Instytucja udostępniająca sieć jako minimum MUSI udostępniać łączność bezprzewodową w standardzie b Instytucja udostępniająca sieć MUSI implementować SSID eduroam SSID eduroam POWINNO być rozgłaszane Instytucja udostępniająca sieć MUSI implementować standard indywidualnego, dynamicznego klucza WEP lub WPA/TKIP, to drugie rozwiązanie jest preferowane, Instytucja udostępniająca sieć MOŻE implementować inne systemy uwierzytelnionego dostępu do sieci (np.gniazda Ethernet)

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK13/14 Założenia polityki krajowej - Aspekty techniczne (2) Instytucja udostępniająca sieć MUSI jako minimum gwarantować dostęp do podstawowych portów usług sieciowych (w tym do IPSec VPN) Rekomenduje się, aby na potrzeby dostępu gościnnego nie stosować NAT Instytucja udostępniająca sieć MUSI logować wszystkie zlecenia dotyczące uwierzytelniania i rozliczania oraz transakcje DHCP dotyczące dostępów eduroam Instytucja uwierzytelniająca MUSI logować wszystkie zlecenia uwierzytelniania Wszystkie logi muszą być synchronizowane z wiarygodnym źródłem czasu

Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK14/14 Rekomendacje dla polskich uczestników eduroam Nowe instalacje powinny być budowane w oparciu o WPA/TKIP Instalacja metod uwierzytelniania musi zapewniać weryfikację macierzystego serwera Radius Użytkownicy powinni być świadomi, aby nigdy nie wprowadzać danych uwierzytelniających do portalu dostępowego Niezbędne jest filtrowanie atrybutów ustawiających VLAN zarówno na wejściu jak i na wyjściu –w przygotowaniu poprawki oprogramowania i instrukcje