Eduroam Az NIIF tervei

Eduroam Az NIIF tervei Fehér Ede

HBONE Workshop Mátraháza, 2005. november 9-11. 2005. november 9.

1

Tartalomjegyzék

• • • • • • •

Mi az Eduroam? Tagok, felhasználók Működési modell Bizalmi szövetségek Felhasznált technológiák Továbbfejlesztési irányok NIIF pilot és csatlakozás

2005. november 9.

2

Mi az Eduroam? Az Eduroam (Education Roaming):

– szolgáltatás a mobilitás és virtuális kutatói környezet megvalósításához; – AutN infrastruktúra- meglévő eszközökre, megoldásokra épül – vezetéknélküli hálózati hozzáférés; – bizalmi szövetségen alapuló autentikációs keretrendszer, amely a kutató hálózathoz hasonlóan hierarchikusan épül fel; – fejlesztési aktivitás a GEANT2-ben (JRA5) – Terena trademark:

2005. november 9.

3

Tagok, felhasználók • Kutatói hálózati kezdeményezés (TF-Mobility), tagok kutatói hálózati intézmények. ~20 ország, ~400 intézmény • Felhasználói a csatlakozó intézmények dolgozói, hallgatói • Dinamikus bővülés • Hierarchikus felépítés: – TERENA – Nemzeti kutatói szervezet – Tagintézmények

• Cél a globális lefedettség

2005. november 9.

4

Működési modell

Supplicant Authenticator (AP/switch)

RADIUS server

RADIUS server User DB

ELTE

[email protected]

User DB

NIIF

Dolgozói VLAN

jelzés adat

2005. november 9.

BME

Hallgatói VLAN

üzleti VLAN

Központi RADIUS Proxy server

Működési modell kulcselemei •

802.1x

•

RADIUS hierarchia

• •

Bizalmi szövetség az intézmények között (megállapodások) Megfelelő azonosítók (SSID, uid) 5

•

(VLAN kezelés)

Felhasznált technológiák • • • • •

802.1x EAP (RFC 2284) – link layer RADIUS (proxy funkciók) WPA-TKIP/MIC, WPA2-/EAS-CCMP EAPMD5 Server None Authentication

LEAP

Semi-Public Network / Enterprise Edge

r W) Ove O P P A EA IUS s (E ) D s e l L RA ire APO W r E Ove r LAN ( P A e E ov Authenticator EAP (e.g. Access Point or Bridge) Supplicant

EAP-TLS

No

EAP-TTLS

R A D I U S

Authenticat ionServer

PEAP

Password Public Key Public Key Public Key Hash (Certificate) (Certificate) (Certificate)

Supplicant Password Password Public Key Authentication Hash Hash (Certificate

Dynamic Key Delivery 2005. november 9.

Enterprise Network

Yes

or Smart Card)

CHAP, PAP, MSCHAP(v2), EAP

Any EAP, like EAPMS-CHAPv2 or Public Key

Yes

Yes

Yes 6

Bizalmi szövetség • Eduroam egy bizalmi szövetség a hálózati hozzáféréshez érdekében  megállapodásokat és szabályokat igényel • Kölcsönös hozzáférés az intézményi hálózatokhoz: – rugalmasság – könnyű kezelhetőség – biztonság – nyomon követhetőség • Eduroam federation szintjei: – Eduroam Secretariat – NREN – intézmény 2005. november 9.

Csatlakozáshoz szükséges: •

Minimum biztonsági követelmények teljesítése

•

SLA követelmények teljesítése

•

eduroam policy authority elfogadása

•

Lehetséges szankciók elfogadása

7

Főbb követelmények 1. 2.

Megállapodás az NREN és az Eduroam szövetség között Az NREN és a csatlakozó intézmények között aláírt megállapodás! Főbb kitételek mindkét megállapodásban: • Fogadó intézmény AUP-jének betartása • Authentikációs szerver működtetése • Biztonságos authentikáció (titkosított csatorna) • Információ biztosítása a szolgáltatásról • Tájékoztatás a biztonsági szintről • Oktatást és szupportot az anyaintézmény nyújtja • Authentikációs folyamat és hálózatelérés loggolása • Biztonsági események jelentése 2005. november 9.

8

Egyéb bizalmi szövetségen alapuló AAI megoldások • shibboleth.internet2.edu, www.a-select.org, www.igtf.org www.projectliberty.org, stb. • Főbb kategorizálási attribútumok: – Mit fed le az AAA-ból: AuthN - AuthZ – Milyen erőforráshoz történő hozzáférést kezel: Hálózathoz - webes alkalmazásokhoz – alkalmazáshoz

• Két leginkább terjedő, bizalmi szövetségen alapúló megoldás összehasonlítása Eduroam AuthN Hálózati hozzáférés (wireless) 802.1x, Radius

Shibbolet AuthZ Alkalmazás hozzáférés SAML

• Mindkét megoldást magába foglaló rendszerek megjelenése várható 9 2005. november 9.

Továbbfejlesztési irányok • Az infrastruktúra menedzselése és monitorozása • XML séma és adatbázis az eduroam hotspot-okról • Azonosítók egységesítése (pl. SSID, ciphers): - eduroam – eduroam-wep - dinamikus WEP kulcs – eduroam-wpa - WPA+TKIP, – eduroam-wpa2 - WPA2 (WPA+AES).

• Kis intézményeknek: eduroam-in-a-box • eduroam kliens: – szabad forráskódú – több platformon elérhető – könnyen kezelhető 2005. november 9.

10

Továbbfejlesztési irányok • az autentikációs folyamat függetlenítése bizalmi • AA forgalom átmegy kapcsolatoktól valamennyi közbülső “eduroam trust anchor”

.nl delegated trust

uva.nl

…

P2P kommunikáció

• •

végponton Statikus útvonal Menedzselési korlátok

.hu delegated trust

niif.hu

• Lehetséges megoldások: (Diameter, DNSsec, Radsec/DNSroam) 2005. november 9.

11

NIIF pilot és csatlakozás • Cél: az NIIF és a hazai intézmények csatlakozása az Eduroam-hoz • A csatlakozáshoz szükséges fejlesztések és adminisztratív feladok végrehajtása • Pilot rendszer kiépítése az elkövetkező 3 hónapban pár intézmény bevonásával (BME, ELTE, NIIFI, SzTAKI), a minimális követelmények teljesítése. • Weboldal elindítása - műszaki segédletek, policy dokumentumok, hot-spot információk 2005. november 9.

12