Projekt eduroam Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK Seminarium eduroam – UMK, 16-17.03.2006 Założenia • Pracownik i student instytucji biorącej udział w eduroam uzyska dostęp do sieci na terenie dowolnej innej takiej instytucji • Zasada pełnej wzajemności • Pełna poufność danych • Bezpieczeństwo użytkowników – pewna sieć – szyfrowana transmisja • Bezpieczeństwo instytucji udostępniających sieć – uwierzytelnieni użytkownicy – odpowiedzialność użytkownika za jego działania Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 2/20 Uczestnicy - świat Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 3/20 Uczestnicy - Polska Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 4/20 Uczestnicy - Hiszpania Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 5/20 Uczestnicy - Holandia Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 6/20 Uczestnicy - Luksemburg Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 7/20 Uczestnicy - Słowenia Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 8/20 Uczestnicy - Australia Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 9/20 Klasyczne zabezpieczenia sieci bezprzewodowych • Blokady MAC – praktycznie żadna ochrona – MAC jest wysyłany otwartym tekstem • Statyczny klucz WEP – klucz jest tajny, a musi być znany wszystkim klientom • sprzeczność między powszechnością i tajemnicą – klucz może być złamany po podsłuchaniu zaszyfrowanej transmisji Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 10/20 Uwierzytelnianie przez WWW • Każdy może uruchomić AP i przypisać mu dowolny SSID • W klasycznym podejściu nie ma żadnej metody na zweryfikowanie, że AP działa w „legalnej” sieci • Problemy z potwierdzeniem wiarygodności portalu – jeżeli portal nie posiada powszechnego certyfikatu, to tylko użytkownik, który wcześniej zaimportował certyfikat może go zweryfikować – nie można oczekiwać, by użytkownicy weryfikowali poprawność certyfikatu serwera, jeżeli widzą „zamkniętą kłódkę” – sprawdzenie, że „oficjalny” certyfikat rzeczywiście odpowiada sieci, z którą się chcemy łączyć może być trudne • Portal WWW jako metoda dostępu do sieci bezprzewodowej jest nie do przyjęcia w sytuacji kiedy użytkownik korzysta z danych otwierających dostęp również do wielu innych usług Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 11/20 Uwierzytelnianie 802.1x • Protokół IEEE – Port Based Network Access Control – protokół zdefiniowany z myślą o implementacji w przełącznikach – obecnie główne zastosowanie, to dostęp do sieci bezprzewodowych • Dobre wsparcie w najnowszych systemach operacyjnych – MS Windows XP/2003 – MAC OS 10 – Linux • Dobra dostępność kart sieciowych • Coraz większa powszechność w sieciach bezprzewodowych – na uniwersytetach amerykańskich istnieją takie sieci wyposażone w ogromne liczby urządzeń – ponad 1000 • Plany wdrożenia WPA przez operatorów publicznych – T-Mobile w USA – eBahn UK, USA Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 12/20 802.1x - podstawy • Elementy – supplicant (oprogramowanie uwierzytelniające działające w imieniu użytkownika) – authenticator (urządzenie realizujące dostęp do sieci na podstawie uwierzytelnienia) – authentication server (serwer uwierzytelniający) • Funkcje – – – – uwierzytelnienie użytkownika udostępnienie sieci przydział VLAN-u przekazanie kluczy ochrony transmisji Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 13/20 802.1x w działaniu • Klient (supplicant) wymienia dane z serwerem uwierzytelniającym za pośrednictwem urządzenia dostępowego (korzystając z protokołu EAP), • W ramach protokołu radius przesyłane są różnego rodzaju atrybuty, w tym atrybuty zawierające dane uwierzytelniające użytkownika • Po zakończeniu procesu uwierzytelnienia serwer uwierzytelniający przekazuje do urządzenia dostępowego zgodę lub zakaz udostępnienia sieci • Serwer uwierzytelniający może przekazać dodatkowe atrybuty, np. określające nr VLAN-u, przekazujące dane inicjujące szyfrowanie transmisji itp. Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 14/20 EAP (Extensible Authentication Protocol) • EAP określa ramy dla implementowania metod uwierzytelnienia – rodzaje zapytań i odpowiedzi – odwołania do specyficznych metod uwierzytelniania • dane EAP są wymieniane między klientem urządzeniem sieciowym i przekazywane przez urządzenie sieciowe do serwera uwierzytelniającego (typowo w ramach protokołu Radius) • dane EAP nie są analizowane przez urządzenie dostępowe Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 15/20 Korzyści płynące ze stosowania standardu 802.1x • Sieć „zna” użytkownika • Użytkownik „zna” sieć • Klucz szyfrujący jest wymieniany co kilka minut lub z każdym pakietem • Użytkownik może być przypisany do różnych grup (np. użytkownik lokalny, gość) • Możliwość odcięcia użytkownika, który działa niezgodnie z regulaminem • Koordynacja na poziomie krajowym i międzynarodowym pozwala na gościnny dostęp do Internetu w wielu miejscach Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 16/20 Działanie systemu uwierzytelniającego (użytkownik lokalny) Suplikant serwer uwierzytelniający UMK Pracownicy jednostki [email protected] lub [email protected] Internet Pracownicy UMK Seminarium eduroam – UMK, 16-17.03.2006 Goście Studenci pomysł zaczerpnięty z surfnet.nl Tomasz Wolniewicz UCI UMK 17/20 Działanie systemu uwierzytelniającego (gość) Suplikant serwer uwierzytelniający UMK Pracownicy jednostki [email protected] Pracownicy UMK serwer uwierzytelniający uni.ac.uk Goście serwer pośredniczący Studenci Internet Seminarium eduroam – UMK, 16-17.03.2006 pomysł zaczerpnięty z surfnet.nl Tomasz Wolniewicz UCI UMK 18/20 Organizacja serwerów Radius w eduroam • Każda instytucja posiada „dostępowy” serwer Radius kierujący nieznane zapytania do jednego z dwóch serwerów krajowych • Serwery krajowe – dysponują pełną listą instytucji w domenie .[kraj] włączonych do eduroam i kierują do nich otrzymane pakiety Radius – pakiety adresowane do domen nie kończących się na .[kraj] są kierowane do serwerów europejskich • Serwery europejskie kierują pakiety do odpowiednich serwerów krajowych • Jednym z problemów jest obsługa domen globalnych np. .com Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 19/20 Bezpieczeństwo danych użytkownika w eduroam • Przesłanie danych uwierzytelniających jest poprzedzone zweryfikowaniem certyfikatu serwera instytucji macierzystej dla użytkownika • Jeżeli do uwierzytelniania używane są hasła to ich transmisja jest zaszyfrowana w kanale między urządzeniem użytkownika a serwerem Radius w instytucji macierzystej Seminarium eduroam – UMK, 16-17.03.2006 Tomasz Wolniewicz UCI UMK 20/20