Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK Projekt eduroam
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK2/20 Pracownik i student instytucji biorącej udział w eduroam uzyska dostęp do sieci na terenie dowolnej innej takiej instytucji Zasada pełnej wzajemności Pełna poufność danych Bezpieczeństwo użytkowników –pewna sieć –szyfrowana transmisja Bezpieczeństwo instytucji udostępniających sieć –uwierzytelnieni użytkownicy –odpowiedzialność użytkownika za jego działania Założenia
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK3/20 Uczestnicy - świat
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK4/20 Uczestnicy - Polska
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK5/20 Uczestnicy - Hiszpania
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK6/20 Uczestnicy - Holandia
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK7/20 Uczestnicy - Luksemburg
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK8/20 Uczestnicy - Słowenia
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK9/20 Uczestnicy - Australia
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK10/20 Klasyczne zabezpieczenia sieci bezprzewodowych Blokady MAC –praktycznie żadna ochrona – MAC jest wysyłany otwartym tekstem Statyczny klucz WEP –klucz jest tajny, a musi być znany wszystkim klientom sprzeczność między powszechnością i tajemnicą –klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK11/20 Uwierzytelnianie przez WWW Każdy może uruchomić AP i przypisać mu dowolny SSID W klasycznym podejściu nie ma żadnej metody na zweryfikowanie, że AP działa w legalnej sieci Problemy z potwierdzeniem wiarygodności portalu –jeżeli portal nie posiada powszechnego certyfikatu, to tylko użytkownik, który wcześniej zaimportował certyfikat może go zweryfikować –nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą zamkniętą kłódkę –sprawdzenie, że oficjalny certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne Portal WWW jako metoda dostępu do sieci bezprzewodowej jest nie do przyjęcia w sytuacji kiedy użytkownik korzysta z danych otwierających dostęp również do wielu innych usług
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK12/20 Uwierzytelnianie 802.1x Protokół IEEE – Port Based Network Access Control –protokół zdefiniowany z myślą o implementacji w przełącznikach –obecnie główne zastosowanie, to dostęp do sieci bezprzewodowych Dobre wsparcie w najnowszych systemach operacyjnych –MS Windows XP/2003 –MAC OS 10 –Linux Dobra dostępność kart sieciowych Coraz większa powszechność w sieciach bezprzewodowych –na uniwersytetach amerykańskich istnieją takie sieci wyposażone w ogromne liczby urządzeń – ponad 1000 Plany wdrożenia WPA przez operatorów publicznych –T-Mobile w USA –eBahn UK, USA
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK13/ x - podstawy Elementy –supplicant (oprogramowanie uwierzytelniające działające w imieniu użytkownika) –authenticator (urządzenie realizujące dostęp do sieci na podstawie uwierzytelnienia) –authentication server (serwer uwierzytelniający) Funkcje –uwierzytelnienie użytkownika –udostępnienie sieci –przydział VLAN-u –przekazanie kluczy ochrony transmisji
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK14/ x w działaniu Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP), W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp.
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK15/20 EAP (Extensible Authentication Protocol) EAP określa ramy dla implementowania metod uwierzytelnienia –rodzaje zapytań i odpowiedzi –odwołania do specyficznych metod uwierzytelniania dane EAP są wymieniane między klientem urządzeniem sieciowym i przekazywane przez urządzenie sieciowe do serwera uwierzytelniającego (typowo w ramach protokołu Radius) dane EAP nie są analizowane przez urządzenie dostępowe
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK16/20 Korzyści płynące ze stosowania standardu 802.1x Sieć zna użytkownika Użytkownik zna sieć Klucz szyfrujący jest wymieniany co kilka minut lub z każdym pakietem Użytkownik może być przypisany do różnych grup (np. użytkownik lokalny, gość) Możliwość odcięcia użytkownika, który działa niezgodnie z regulaminem Koordynacja na poziomie krajowym i międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK17/20 serwer uwierzytelniający UMK lub Studenci Goście Pracownicy UMK Suplikant Pracownicy jednostki Internet pomysł zaczerpnięty z surfnet.nl Działanie systemu uwierzytelniającego (użytkownik lokalny)
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK18/20 Studenci Goście Pracownicy UMK Suplikant Pracownicy jednostki Internet serwer pośredniczący serwer uwierzytelniający uni.ac.uk serwer uwierzytelniający UMK pomysł zaczerpnięty z surfnet.nl Działanie systemu uwierzytelniającego (gość)
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK19/20 Organizacja serwerów Radius w eduroam Każda instytucja posiada dostępowy serwer Radius kierujący nieznane zapytania do jednego z dwóch serwerów krajowych Serwery krajowe –dysponują pełną listą instytucji w domenie.[kraj] włączonych do eduroam i kierują do nich otrzymane pakiety Radius –pakiety adresowane do domen nie kończących się na.[kraj] są kierowane do serwerów europejskich Serwery europejskie kierują pakiety do odpowiednich serwerów krajowych Jednym z problemów jest obsługa domen globalnych np..com
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK20/20 Bezpieczeństwo danych użytkownika w eduroam Przesłanie danych uwierzytelniających jest poprzedzone zweryfikowaniem certyfikatu serwera instytucji macierzystej dla użytkownika Jeżeli do uwierzytelniania używane są hasła to ich transmisja jest zaszyfrowana w kanale między urządzeniem użytkownika a serwerem Radius w instytucji macierzystej