AMRES eduroam iskustvo Marko Stojaković AMRES
eduroam infrastruktura Sadržaj Uvod u eduroam eduroam infrastruktura IEEE 802.1x standard RADIUS EAP Supplicant AMRES wireless infrastruktura
Šta je eduroam eduroam® – educational roaming omogućava bezbedan, brz i jednostavan bežični pristup Internetu širom sveta Korisnici su studenti i zaposleni u obrazovnim i naučno istraživačkim institucijama Bilo da pristupaju u svojoj ili posećenoj instituciji, koristi se isto korisničko ime i lozinka dobijeni na matičnoj instituciji
Gde je dostupan
Gde je dostupan
Gde je dostupan
Gde je dostupan
Ko ga koristi?
Zašto eduroam ? u Evropi predstavlja de facto standard za pristup Internetu u obrazovnoj i naučno-istraživačkoj zajednici Nova usluga koju INSTITUCIJA pruža svojim korisnicima Kada studenti i zaposleni u akademskim institucijama dolaze u posetu Vašoj instituciji oni očekuju da imaju pristup Internetu putem eduroam-a Takođe, da bi Vaši studenti i zaposleni imali iste mogućnosti za pristup Internetu kada posećuju druge institucije neophodno je da i vaša institucija učestvuje u eduroam-u
eduroam infrastruktura
eduroam infrastruktura IEEE 802.1x standard RADIUS EAP Supplicant AMRES wireless infrastruktura
IEEE 802.1X Omogućava mrežnim administratorima da dozvole pristup IEEE 802 LAN resursima samo autentifikovanim i autorizovanim korisnicima. Port predstavlja pristupnu tačku koju klijent koristi da bi se povezao na mrežu. Iz tog razloga se IEEE 802.1X standard naziva i “Port based network access control” Objasni šta je autentifikacija i autorizacija. Port se obično nalazi na ivici mreže
IEEE 802.1X IEEE 802.1X entiteti: Supplicant – softver na korisničkom uređaju koji korisniku omogućava da učestvuje u procesu 802.1X autentifikacije. Authenticator – entitet koji zahteva od klijenta da se autentifikuje pre nego što mu dozvoli pristup mrežnim resursima. Authentication Server – entitet koji autentifikuje korisnika.
IEEE 802.1X
RADIUS protokol
RADIUS Remote Authentication Dial-in User Service, rfc 2865 Podržava različite metode autentifikacije korisnika (PAP, CHAP, EAP metode) Koristi UDP kao transportni protokol, port 1812
RADIUS - model RADIUS koristi klijent/server model NAS (Network Access Server) funkcioniše kao klijent RADIUS servera Klijent je odgovoran za prijem autentifikacionih zahteva korisnika i za prosleđivanje istih ka RADIUS serveru Autentifikacioni server autentifikuje korisnika i klijentu prosleđuje informacije vezane za sesiju korisnika Prenos podataka između RADIUS servera i klijenta je zaštićen šifrom koja se nikada ne šalje preko mreže
RADIUS – format poruke
RADIUS – tipovi poruka Polje Code definiše tip RADIUS paketa: 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge Šta koji paket mora da sadrži?
RADIUS Atributi RADIUS atributi sadrže specifične informacije vezane za autentifikaciju i autorizaciju Polje Type definiše tip RADIUS atributa (vrednosti od 192 do 255 su rezervisane)
RADIUS Atributi . . . . . . 22 Framed-Route Tipovi atributa: 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State Tipovi atributa: 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id . . . . . .
RADIUS Atributi User-Name (1) atribut: Sadrži (korisničko) ime korisnika koji želi da se autentifikuje: korisnik@domen_institucije „pera@amres.ac.rs“ User-Password (2) atribut sadrži lozinku korisnika (zaštićenu)
RADIUS Atributi NAS-IP-Address (4) identifikuje IP adresu klijenta Framed-IP-Address (8) identifikuje IP adresu namenjenu korisniku (može se koristiti u Access-Request i Access-Accept paketima) Called-Station-Id (30) se koristi u RADIUS Accounting protokolu i identifikuje MAC adresu NAS uređaja Calling-Station-Id (31) se koristi u RADIUS Accounting protokolu i identifikuje MAC adresu korisničkog uređaja
Primer RADIUS Access-Request poruke Tue Mar 20 00:03:10 2012 Packet-Type = Access-Request User-Name = "anonymous@bg.ac.rs" Calling-Station-Id = "e0-2a-82-5e-1b-a4" Called-Station-Id = "18-ef-63-fa-e6-94:eduroam" NAS-Port = 1 NAS-IP-Address = 192.168.13.13 NAS-Identifier = "cisco-WLC" Airespace-Wlan-Id = 1 Service-Type = Framed-User Framed-MTU = 1300 NAS-Port-Type = Wireless-802.11 Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = “67" EAP-Message = 0x0202001d01616e6f6e796d6f75734062667370632e62672e61632e7273 Message-Authenticator = 0x44d1f9847c2c2064e3e1a3592c214f20 Proxy-State = 0x323038
RADIUS - proxy Šta se dešava kada u našu mrežu dođe korisnik čiji se nalog ne nalazi u lokalnoj bazi podataka? RADIUS server može da proksira autentifikacione zahteve drugim RADIUS serverima na osnovu domena korisnika. pera@domen-y.com
RADIUS - proxy
RADIUS - proxy
Hijerarhijska struktura RADIUS-a (1) Za prosleđivanje autentifikacionih zahteva koristi se 3-nivovska hijerarhija RADIUS servera: Top-Level RADIUS Server (TLR) – konfederacioni serveri, povezuju nacionalne FTLR servere (sadrže listu nacionalnih domena nl, dk, de, pt, fr,rs..), vrše proksiranje zahteva Federation Top-Level RADIUS Server (FTLR) – serveri na nacionalnom nivou, povezuju radius servere institucija, vrše proksiranje zahteva Institutional RADIUS Server – odgovoran za autentifikovanje svojih korisnika i (u slučaju davaoca resursa) prosleđivanje autentifikacionih zahteva gostujućih korisnika ka njihovim matičnim institucijama
Hijerarhijska struktura RADIUS-a (2)
Institucije u okviru eduroam-a U zavisnosti od funkcije koju obavljaju, institucije u okviru eduroam-a mogu biti: Davalac servisa (Service Provider - SP) – organizator nacionalnog eduroam servisa (npr. AMRES u Srbiji) Davalac identiteta (Identity Provider - IdP) – matična institucija, obezbeđuje korisničke kredencijale i vrši autentifikaciju svojih korisnika Davalac resursa (Resource Provider - RP) – obezbeđuje resurse za pristup Internetu (bežične ili žičane) i vrši kontrolu pristupa Jedna institucija može biti IdP, RP ili IdP+RP
RADIUS Accounting Protokol koji omogućava beleženje informacija o korisničkoj sesiji: Korisničko ime (van tunela) IP adresa korisnika IP adresa NAS-a MAC adresa korisnika MAC adresa NAS-a Vreme logovanja Vreme prekida konekcije Broj prenetih okteta/paketa Način prekida konekcije
RADIUS Accounting Nakon uspešne autentifikacije korisnika, NAS (ako podržava RADIUS Accounting) šalje Accounting Start poruku ka RADIUS serveru U toku sesije, NAS periodično šalje Interim Update poruke kojima se ažuriraju parametri sesije (broj prenetih okteta/paketa) Nakon prekida konekcije, NAS šalje Accounting Stop poruku koja oglašava završetak korisničke sesije (definiše se Acct- Terminate-Cause atribut koji identifikuje način prekida konekcije)
RADIUS – tok poruka
Sigurnost korisničkih kredencijala Sigurnost prilikom prenosa korisničkih kredencijala u eduroam-u je obavezna! Korisnički kredencijali se tuneluju (prenose enkriptovani) kroz hijerarhiju RADIUS servera Autentifikacioni protokoli koji to omogućavaju: EAP-TLS, EAP-TTLS i PEAP
Extensible Authentication Protocol - EAP
EAP EAP je osnovni protokol (framework) u okviru autentifikacione infrastrukture. Predstavlja “podlogu” za različite metode autentifikacije. EAP definiše komunikaciju između tri entiteta: Peer (Supplicant) Authenticator Autentication Server
EAP model Konceptualno, EAP se sastoji iz sledećih komponenti: Lower layer – odgovoran je za prenos i prijem EAP okvira između Supplicant-a i Authenticator-a (PPP, 802 LAN, 802.11 Wireless LAN – 802.1x, UDP, TCP) EAP layer – prima i šalje EAP pakete koristeći niži nivo, implementira mehnizme retransmisije i detekcije duplih poruka. EAP Peer and Authenticator layers – na osnovu tipa poruke, EAP layer prosleđuje paket Peer ili Authenticator nivoima. EAP method layers – nivo koji implementira algoritme za različite metode autentifikacije.
EAP model
EAP Pass-Through metod U praksi je najčešći slučaj da Authenticator nema implementiran EAP method layer. Pass-Through metod podrazumeva da Authenticator proverava određena polja a zatim prosleđuje poruku centralizovanom autentifikacionom serveru. Kao transportni protokol Authenticator koristi RADIUS
EAP Pass-Through metod
EAP – tipovi poruka 1 Request – poruka koju Authenticator šalje Supplicant-u; poruka sadrži i polje Type koje definiše šta se traži od Supplicant-a 2 Response – poruka kojom Supplicant odgovara Authenticator-u 3 Success – poruka koju Authenticator šalje Supplicant-u nakon uspešno završene autentifikacije 4 Failure – ako proces autentifikacije nije bio uspešan, Authenticator šalje Failure poruku Supplicant-u.
EAP metode autentifikacije Tipovi EAP Request/Response poruka: MD5-Challenge – predstavlja mehanizam analogan PPP CHAP protokolu One Time Password (OTP) – podrazumeva da je lozinka validna tokom samo jedne transakcije Generic Token Card (GTC) – od korisnika se zahteva da unese lozinku koja se prenosi kao ASCII tekst do Authentication servera Expanded Types – omogućeno je proširenje i dodavanje novih autentifikacionih metoda
EAP-TLS EAP-TLS (Transport Layer Security) za razliku od prethodno navedenih autentifikacionih metoda obezbeđuje: Integritet poruke – garancija da nije došlo do promene poruke prilikom prenosa Poverljivost – čak i ako presretne poruku, napadač ne razume njen sadržaj Uzajamnu autentifikaciju Supplicant-a i Auth. Server-a
EAP-TLS – integritet poruke
EAP-TLS – poverljivost Privatnost poruke se postiže enkripcijom. Postoje dva osnovna tipa algoritama za enkripciju: Simetrični algoritmi – koriste iste ključeve za enkripciju i dekripciju (RC4, DES, 3DES, AES); Asimetrični algoritmi – svaka strana u komunikaciji ima po dva međusobno povezana ključa: Javni ključ – dostupan svima Privatni ključ – tajni ključ poznat samo vlasniku Poruka koja se enkriptuje javnim ključem se može dekriptovati samo privatnim (i obrnuto);
EAP-TLS – poverljivost i auth Enkripcija i autentifikacija korišćenjem asimetričnih algoritama
EAP-TLS – autentifikacija Kada primimo nečiji javni ključ, kako možemo biti sigurni da taj ključ zaista pripada osobi sa kojom želimo da komuniciramo? PKI (Public Key Infrastructure) se sastoji od protokola, standarda i servisa koji omogućavaju formiranje poverenja između strana koje žele da komuniciraju PKI omogućava da autentifikujemo drugu stranu u komunikaciji preko digitalnog sertifikata koji je izdat od strane CA CA (Certification Authority) je telo kome veruju obe strane u komunikaciji
EAP-TTLS/PEAP EAP-TLS je najsigurniji način autentifikacije korisnika, ali u nekim organizacijama ne postoji infrastruktura za izdavanje klijentskih sertifikata EAP-TTLS (Tunneled TLS) je razvijen od stane FUNK Software Protected EAP je razvijen od strane kompanija Cisco, Microsot i RSA Security. Ovi protokoli definišu autentifikaciju u dve faze: 1. klijent autentifikuje server preko digitalnog sertifikata servera; ako je autentifikacija servera uspešna, uspostavlja se TLS tunel 2. nakon uspostave tunela, klijent prosleđuje svoje kredencijale (korisničko ime i lozinku) serveru
EAP-TTLS/PEAP Unutar TTLS/PEAP tunela se šalju kredencijali, i mogući su različiti načini provere identiteta korisnika: PAP (Password Authentication Protocol) CHAP (Challenge Handshake Auth Protocol) MSCHAP (Microsoft CHAP) EAP-GTC (Generic Token Card) MD5-Challenge TTLS može koristiti sve nabrojane metode, dok PEAP unutar tunela može koristiti samo MSCHAP protokol
EAP-TTLS/PEAP clear-text NT-hash MD5 hash Salted MD5 hash SHA1 hash Salted SH1 hash Unix Crypt PAP o CHAP x Digest MS-Chap PEAP EAP-MSCHAPv2 Cisco LEAP EAP-GTC EAP-MD5 EAP-SIM
eduroam autentifikacija
eduroam autentifikacija
eduroam autentifikacija
eduroam autentifikacija
Supplicants
Supplicants Supplicant – softver koji klijentu omogućava 802.1X kompatibilnost Većina operativnih sistema danas dolazi sa predefinisanim supplicant- om i podrškom za nekoliko EAP metoda Funkcije supplicant-a nisu jednake na svim platformama i implementacijama Poređenje supplicant-a: https://rnd.feide.no/doc/feide-eduroam.pdf
Supplicants Microsoft 802.1x supplicant SecureW2 Juniper Networks Odyssey Access Client Cisco Secure Services Client Boingo Wire1x Wpa_supplicant Xsupplicant
Microsoft Supplicant
SecureW2 Podrška za EAP-TTLS sa PAP auth Podržan na Windows platformama U međuvremenu postao komercijalan proizvod (trenutna verzija - 3) - AMRES korisnici upotrebljavaju verziju 1 Moguće ga je prekonfigurisati (ubaciti sertifikat institucije)
Configuration Assistant Tool - CAT Razvijen od strane eduroam zajednice Web servis koji omogućava kreiranje instalera za različite operativne sisteme https://cat-test.eduroam.org/
AMRES wireless infrastruktura
eduroam wireless infrastruktura Najveći broj pristupnih tačaka za eduroam servis koristi wireless (wi-fi) tehnologiju Trenutno, postoje dve arhitekture koje je moguće implementirati u cilju postavljanja WLAN pristupne tačke: Tradicionalna WLAN arhitektura sa autonomnim access pointima Centralizovana Lightweight arhitektura
Tradicionalna WLAN arhitektura Podrazumeva korišćenje autonomnih (standalone) access pointa Svaki access point je potrebno pojedninačno konfigurisati Neskalabilno rešenje za veći broj AP-a
Lightweight WLAN arhitektura Operacije koje podržava autonomni access point je moguće razdvojiti na dva uređaja: Lightweight access point LAP - podržava real-time funkcionalnosti Wireless LAN Controler WLC - preuzima funkcije upravljanja WLAN-om Na ovaj način se omogućava upravljanje i konfiguracija LAP-ova centralno preko WLC-a
Lightweight WLAN arhitektura Komunikacija između LAP-a i WLC-a je definisana protokolom CAPWAP (Control And Provisioning of Wireless Access Points) – rfc 5415 Razlikuju se dve vrste CAPWAP saobraćaja: Data saobraćaj Kontrolni saobraćaj CAPWAP definiše različite arhitekture lightweight rešenja: Local MAC Split MAC Remote MAC
Lightweight WLAN arhitektura
Lightweight WLAN arhitektura Da bi se LAP povezao na WLC potrebna je L3 konektivnost između ova dva uređaja Ovo omogućava postavljanje LAP-ova na udaljene lokacije (u druge LAN mreže) Centralni DHCP pool je moguće postaviti na WLC Sav saobraćaj od klijenata se prvo tuneluje do WLC-a i tu ulazi u LAN
AMRES wi-fi 2010. godine AMRES je dobio donaciju kroz NATO SPS NIG program (Networking Infrastructure Grant) Kupljeno je 5 Cisco 5508 WLC kontrolera i 190 LAP-ova Kontroleri i access point-i su raspoređeni servsnim centrima: Bg, Ns, Ni, Kg
AMRES eduroam infrastruktura RP – Novi Sad FTLR RP – Belgrade RP – Kragujevac RP – Nis