Presentation is loading. Please wait.

Presentation is loading. Please wait.

AMRES eduroam iskustvo

Published bySiegfried Böhme Modified over 6 years ago

Similar presentations

Presentation on theme: "AMRES eduroam iskustvo"— Presentation transcript:

1 AMRES eduroam iskustvo
Marko Stojaković AMRES

2 eduroam infrastruktura
Sadržaj Uvod u eduroam eduroam infrastruktura IEEE 802.1x standard RADIUS EAP Supplicant AMRES wireless infrastruktura

3 Šta je eduroam eduroam® – educational roaming omogućava bezbedan, brz i jednostavan bežični pristup Internetu širom sveta Korisnici su studenti i zaposleni u obrazovnim i naučno istraživačkim institucijama Bilo da pristupaju u svojoj ili posećenoj instituciji, koristi se isto korisničko ime i lozinka dobijeni na matičnoj instituciji

4 Gde je dostupan

5 Gde je dostupan

6 Gde je dostupan

7 Gde je dostupan

8 Ko ga koristi?

9 Zašto eduroam ? u Evropi predstavlja de facto standard za pristup Internetu u obrazovnoj i naučno-istraživačkoj zajednici Nova usluga koju INSTITUCIJA pruža svojim korisnicima Kada studenti i zaposleni u akademskim institucijama dolaze u posetu Vašoj instituciji oni očekuju da imaju pristup Internetu putem eduroam-a Takođe, da bi Vaši studenti i zaposleni imali iste mogućnosti za pristup Internetu kada posećuju druge institucije neophodno je da i vaša institucija učestvuje u eduroam-u

10 eduroam infrastruktura

11 eduroam infrastruktura
IEEE 802.1x standard RADIUS EAP Supplicant AMRES wireless infrastruktura

12 IEEE 802.1X Omogućava mrežnim administratorima da dozvole pristup IEEE 802 LAN resursima samo autentifikovanim i autorizovanim korisnicima. Port predstavlja pristupnu tačku koju klijent koristi da bi se povezao na mrežu. Iz tog razloga se IEEE 802.1X standard naziva i “Port based network access control” Objasni šta je autentifikacija i autorizacija. Port se obično nalazi na ivici mreže

13 IEEE 802.1X IEEE 802.1X entiteti: Supplicant – softver na korisničkom uređaju koji korisniku omogućava da učestvuje u procesu 802.1X autentifikacije. Authenticator – entitet koji zahteva od klijenta da se autentifikuje pre nego što mu dozvoli pristup mrežnim resursima. Authentication Server – entitet koji autentifikuje korisnika.

14 IEEE 802.1X

15 RADIUS protokol

16 RADIUS Remote Authentication Dial-in User Service, rfc 2865
Podržava različite metode autentifikacije korisnika (PAP, CHAP, EAP metode) Koristi UDP kao transportni protokol, port 1812

17 RADIUS - model RADIUS koristi klijent/server model
NAS (Network Access Server) funkcioniše kao klijent RADIUS servera Klijent je odgovoran za prijem autentifikacionih zahteva korisnika i za prosleđivanje istih ka RADIUS serveru Autentifikacioni server autentifikuje korisnika i klijentu prosleđuje informacije vezane za sesiju korisnika Prenos podataka između RADIUS servera i klijenta je zaštićen šifrom koja se nikada ne šalje preko mreže

18 RADIUS – format poruke

19 RADIUS – tipovi poruka Polje Code definiše tip RADIUS paketa:
1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge Šta koji paket mora da sadrži?

20 RADIUS Atributi RADIUS atributi sadrže specifične informacije vezane za autentifikaciju i autorizaciju Polje Type definiše tip RADIUS atributa (vrednosti od 192 do 255 su rezervisane)

21 RADIUS Atributi . . . . . . 22 Framed-Route Tipovi atributa:
23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State Tipovi atributa: 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id . . . . . .

22 RADIUS Atributi User-Name (1) atribut:
Sadrži (korisničko) ime korisnika koji želi da se autentifikuje: User-Password (2) atribut sadrži lozinku korisnika (zaštićenu)

23 RADIUS Atributi NAS-IP-Address (4) identifikuje IP adresu klijenta
Framed-IP-Address (8) identifikuje IP adresu namenjenu korisniku (može se koristiti u Access-Request i Access-Accept paketima) Called-Station-Id (30) se koristi u RADIUS Accounting protokolu i identifikuje MAC adresu NAS uređaja Calling-Station-Id (31) se koristi u RADIUS Accounting protokolu i identifikuje MAC adresu korisničkog uređaja

24 Primer RADIUS Access-Request poruke
Tue Mar 20 00:03: Packet-Type = Access-Request User-Name = Calling-Station-Id = "e0-2a-82-5e-1b-a4" Called-Station-Id = "18-ef-63-fa-e6-94:eduroam" NAS-Port = 1 NAS-IP-Address = NAS-Identifier = "cisco-WLC" Airespace-Wlan-Id = 1 Service-Type = Framed-User Framed-MTU = 1300 NAS-Port-Type = Wireless Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = “67" EAP-Message = 0x d01616e6f6e796d6f e62672e61632e7273 Message-Authenticator = 0x44d1f9847c2c2064e3e1a3592c214f20 Proxy-State = 0x323038

25 RADIUS - proxy Šta se dešava kada u našu mrežu dođe korisnik čiji se nalog ne nalazi u lokalnoj bazi podataka? RADIUS server može da proksira autentifikacione zahteve drugim RADIUS serverima na osnovu domena korisnika.

26 RADIUS - proxy

27 RADIUS - proxy

28 Hijerarhijska struktura RADIUS-a (1)
Za prosleđivanje autentifikacionih zahteva koristi se nivovska hijerarhija RADIUS servera: Top-Level RADIUS Server (TLR) – konfederacioni serveri, povezuju nacionalne FTLR servere (sadrže listu nacionalnih domena nl, dk, de, pt, fr,rs..), vrše proksiranje zahteva Federation Top-Level RADIUS Server (FTLR) – serveri na nacionalnom nivou, povezuju radius servere institucija, vrše proksiranje zahteva Institutional RADIUS Server – odgovoran za autentifikovanje svojih korisnika i (u slučaju davaoca resursa) prosleđivanje autentifikacionih zahteva gostujućih korisnika ka njihovim matičnim institucijama

29 Hijerarhijska struktura RADIUS-a (2)

30 Institucije u okviru eduroam-a
U zavisnosti od funkcije koju obavljaju, institucije u okviru eduroam-a mogu biti: Davalac servisa (Service Provider - SP) – organizator nacionalnog eduroam servisa (npr. AMRES u Srbiji) Davalac identiteta (Identity Provider - IdP) – matična institucija, obezbeđuje korisničke kredencijale i vrši autentifikaciju svojih korisnika Davalac resursa (Resource Provider - RP) – obezbeđuje resurse za pristup Internetu (bežične ili žičane) i vrši kontrolu pristupa Jedna institucija može biti IdP, RP ili IdP+RP

31 RADIUS Accounting Protokol koji omogućava beleženje informacija o korisničkoj sesiji: Korisničko ime (van tunela) IP adresa korisnika IP adresa NAS-a MAC adresa korisnika MAC adresa NAS-a Vreme logovanja Vreme prekida konekcije Broj prenetih okteta/paketa Način prekida konekcije

32 RADIUS Accounting Nakon uspešne autentifikacije korisnika, NAS (ako podržava RADIUS Accounting) šalje Accounting Start poruku ka RADIUS serveru U toku sesije, NAS periodično šalje Interim Update poruke kojima se ažuriraju parametri sesije (broj prenetih okteta/paketa) Nakon prekida konekcije, NAS šalje Accounting Stop poruku koja oglašava završetak korisničke sesije (definiše se Acct- Terminate-Cause atribut koji identifikuje način prekida konekcije)

33 RADIUS – tok poruka

34 Sigurnost korisničkih kredencijala
Sigurnost prilikom prenosa korisničkih kredencijala u eduroam-u je obavezna! Korisnički kredencijali se tuneluju (prenose enkriptovani) kroz hijerarhiju RADIUS servera Autentifikacioni protokoli koji to omogućavaju: EAP-TLS, EAP-TTLS i PEAP

35 Extensible Authentication Protocol - EAP

36 EAP EAP je osnovni protokol (framework) u okviru autentifikacione infrastrukture. Predstavlja “podlogu” za različite metode autentifikacije. EAP definiše komunikaciju između tri entiteta: Peer (Supplicant) Authenticator Autentication Server

37 EAP model Konceptualno, EAP se sastoji iz sledećih komponenti:
Lower layer – odgovoran je za prenos i prijem EAP okvira između Supplicant-a i Authenticator-a (PPP, 802 LAN, Wireless LAN – 802.1x, UDP, TCP) EAP layer – prima i šalje EAP pakete koristeći niži nivo, implementira mehnizme retransmisije i detekcije duplih poruka. EAP Peer and Authenticator layers – na osnovu tipa poruke, EAP layer prosleđuje paket Peer ili Authenticator nivoima. EAP method layers – nivo koji implementira algoritme za različite metode autentifikacije.

38 EAP model

39 EAP Pass-Through metod
U praksi je najčešći slučaj da Authenticator nema implementiran EAP method layer. Pass-Through metod podrazumeva da Authenticator proverava određena polja a zatim prosleđuje poruku centralizovanom autentifikacionom serveru. Kao transportni protokol Authenticator koristi RADIUS

40 EAP Pass-Through metod

41 EAP – tipovi poruka 1 Request – poruka koju Authenticator šalje Supplicant-u; poruka sadrži i polje Type koje definiše šta se traži od Supplicant-a 2 Response – poruka kojom Supplicant odgovara Authenticator-u 3 Success – poruka koju Authenticator šalje Supplicant-u nakon uspešno završene autentifikacije 4 Failure – ako proces autentifikacije nije bio uspešan, Authenticator šalje Failure poruku Supplicant-u.

42 EAP metode autentifikacije
Tipovi EAP Request/Response poruka: MD5-Challenge – predstavlja mehanizam analogan PPP CHAP protokolu One Time Password (OTP) – podrazumeva da je lozinka validna tokom samo jedne transakcije Generic Token Card (GTC) – od korisnika se zahteva da unese lozinku koja se prenosi kao ASCII tekst do Authentication servera Expanded Types – omogućeno je proširenje i dodavanje novih autentifikacionih metoda

43 EAP-TLS EAP-TLS (Transport Layer Security) za razliku od prethodno navedenih autentifikacionih metoda obezbeđuje: Integritet poruke – garancija da nije došlo do promene poruke prilikom prenosa Poverljivost – čak i ako presretne poruku, napadač ne razume njen sadržaj Uzajamnu autentifikaciju Supplicant-a i Auth. Server-a

44 EAP-TLS – integritet poruke

45 EAP-TLS – poverljivost
Privatnost poruke se postiže enkripcijom. Postoje dva osnovna tipa algoritama za enkripciju: Simetrični algoritmi – koriste iste ključeve za enkripciju i dekripciju (RC4, DES, 3DES, AES); Asimetrični algoritmi – svaka strana u komunikaciji ima po dva međusobno povezana ključa: Javni ključ – dostupan svima Privatni ključ – tajni ključ poznat samo vlasniku Poruka koja se enkriptuje javnim ključem se može dekriptovati samo privatnim (i obrnuto);

46 EAP-TLS – poverljivost i auth
Enkripcija i autentifikacija korišćenjem asimetričnih algoritama

47 EAP-TLS – autentifikacija
Kada primimo nečiji javni ključ, kako možemo biti sigurni da taj ključ zaista pripada osobi sa kojom želimo da komuniciramo? PKI (Public Key Infrastructure) se sastoji od protokola, standarda i servisa koji omogućavaju formiranje poverenja između strana koje žele da komuniciraju PKI omogućava da autentifikujemo drugu stranu u komunikaciji preko digitalnog sertifikata koji je izdat od strane CA CA (Certification Authority) je telo kome veruju obe strane u komunikaciji

48 EAP-TTLS/PEAP EAP-TLS je najsigurniji način autentifikacije korisnika, ali u nekim organizacijama ne postoji infrastruktura za izdavanje klijentskih sertifikata EAP-TTLS (Tunneled TLS) je razvijen od stane FUNK Software Protected EAP je razvijen od strane kompanija Cisco, Microsot i RSA Security. Ovi protokoli definišu autentifikaciju u dve faze: 1. klijent autentifikuje server preko digitalnog sertifikata servera; ako je autentifikacija servera uspešna, uspostavlja se TLS tunel 2. nakon uspostave tunela, klijent prosleđuje svoje kredencijale (korisničko ime i lozinku) serveru

49 EAP-TTLS/PEAP Unutar TTLS/PEAP tunela se šalju kredencijali, i mogući su različiti načini provere identiteta korisnika: PAP (Password Authentication Protocol) CHAP (Challenge Handshake Auth Protocol) MSCHAP (Microsoft CHAP) EAP-GTC (Generic Token Card) MD5-Challenge TTLS može koristiti sve nabrojane metode, dok PEAP unutar tunela može koristiti samo MSCHAP protokol

50 EAP-TTLS/PEAP clear-text NT-hash MD5 hash Salted MD5 hash SHA1 hash
Salted SH1 hash Unix Crypt PAP o CHAP x Digest MS-Chap PEAP EAP-MSCHAPv2 Cisco LEAP EAP-GTC EAP-MD5 EAP-SIM

51 eduroam autentifikacija

52 eduroam autentifikacija

53 eduroam autentifikacija

54 eduroam autentifikacija

55 Supplicants

56 Supplicants Supplicant – softver koji klijentu omogućava 802.1X kompatibilnost Većina operativnih sistema danas dolazi sa predefinisanim supplicant- om i podrškom za nekoliko EAP metoda Funkcije supplicant-a nisu jednake na svim platformama i implementacijama Poređenje supplicant-a:

57 Supplicants Microsoft 802.1x supplicant SecureW2
Juniper Networks Odyssey Access Client Cisco Secure Services Client Boingo Wire1x Wpa_supplicant Xsupplicant

58 Microsoft Supplicant

59 SecureW2 Podrška za EAP-TTLS sa PAP auth
Podržan na Windows platformama U međuvremenu postao komercijalan proizvod (trenutna verzija - 3) - AMRES korisnici upotrebljavaju verziju 1 Moguće ga je prekonfigurisati (ubaciti sertifikat institucije)

60 Configuration Assistant Tool - CAT
Razvijen od strane eduroam zajednice Web servis koji omogućava kreiranje instalera za različite operativne sisteme

61 AMRES wireless infrastruktura

62 eduroam wireless infrastruktura
Najveći broj pristupnih tačaka za eduroam servis koristi wireless (wi-fi) tehnologiju Trenutno, postoje dve arhitekture koje je moguće implementirati u cilju postavljanja WLAN pristupne tačke: Tradicionalna WLAN arhitektura sa autonomnim access pointima Centralizovana Lightweight arhitektura

63 Tradicionalna WLAN arhitektura
Podrazumeva korišćenje autonomnih (standalone) access pointa Svaki access point je potrebno pojedninačno konfigurisati Neskalabilno rešenje za veći broj AP-a

64 Lightweight WLAN arhitektura
Operacije koje podržava autonomni access point je moguće razdvojiti na dva uređaja: Lightweight access point LAP - podržava real-time funkcionalnosti Wireless LAN Controler WLC - preuzima funkcije upravljanja WLAN-om Na ovaj način se omogućava upravljanje i konfiguracija LAP-ova centralno preko WLC-a

65 Lightweight WLAN arhitektura
Komunikacija između LAP-a i WLC-a je definisana protokolom CAPWAP (Control And Provisioning of Wireless Access Points) – rfc 5415 Razlikuju se dve vrste CAPWAP saobraćaja: Data saobraćaj Kontrolni saobraćaj CAPWAP definiše različite arhitekture lightweight rešenja: Local MAC Split MAC Remote MAC

66 Lightweight WLAN arhitektura

67 Lightweight WLAN arhitektura
Da bi se LAP povezao na WLC potrebna je L3 konektivnost između ova dva uređaja Ovo omogućava postavljanje LAP-ova na udaljene lokacije (u druge LAN mreže) Centralni DHCP pool je moguće postaviti na WLC Sav saobraćaj od klijenata se prvo tuneluje do WLC-a i tu ulazi u LAN

68 AMRES wi-fi 2010. godine AMRES je dobio donaciju kroz NATO SPS NIG program (Networking Infrastructure Grant) Kupljeno je 5 Cisco 5508 WLC kontrolera i 190 LAP-ova Kontroleri i access point-i su raspoređeni servsnim centrima: Bg, Ns, Ni, Kg

69 AMRES eduroam infrastruktura
RP – Novi Sad FTLR RP – Belgrade RP – Kragujevac RP – Nis

Download ppt "AMRES eduroam iskustvo"

Similar presentations

Authentication.

Authentication.
Wireless LAN  Setup & Optimizing Wireless Client in Linux  Hacking and Cracking Wireless LAN  Setup Host Based AP ( hostap ) in Linux & freeBSD  Securing.

Wireless LAN  Setup & Optimizing Wireless Client in Linux  Hacking and Cracking Wireless LAN  Setup Host Based AP ( hostap ) in Linux & freeBSD  Securing.
Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 4 Point to Point Protocol (PPP)

Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference Slide: 1 Lesson 4 Point to Point Protocol (PPP)
Connect communicate collaborate RADIUS and WLAN Infrastructure Monitoring Jovana Palibrk, AMRES NA3 T2, Sofia, 19.06.2014.

Connect communicate collaborate RADIUS and WLAN Infrastructure Monitoring Jovana Palibrk, AMRES NA3 T2, Sofia,
無線區域網路安全 Wireless LAN Security. 2 Outline  Wireless LAN – 802.11b  Security Mechanisms in 802.11b  Security Problems in 802.11b  Solutions for 802.11b.

無線區域網路安全 Wireless LAN Security. 2 Outline  Wireless LAN – b  Security Mechanisms in b  Security Problems in b  Solutions for b.
802.1x EAP Authentication Protocols

802.1x EAP Authentication Protocols
Chapter 5 Secure LAN Switching.  MAC Address Flooding Causing CAM Overflow and Subsequent DOS and Traffic Analysis Attacks.

Chapter 5 Secure LAN Switching.  MAC Address Flooding Causing CAM Overflow and Subsequent DOS and Traffic Analysis Attacks.
RADIUS Server PAP & CHAP Protocols. Computer Security  In computer security, AAA protocol commonly stands for authentication, authorization and accounting.

RADIUS Server PAP & CHAP Protocols. Computer Security  In computer security, AAA protocol commonly stands for authentication, authorization and accounting.
Chapter 18 RADIUS. RADIUS  Remote Authentication Dial-In User Service  Protocol used for communication between NAS and AAA server  Supports authentication,

Chapter 18 RADIUS. RADIUS  Remote Authentication Dial-In User Service  Protocol used for communication between NAS and AAA server  Supports authentication,
MCTS Guide to Microsoft Windows Server 2008 Network Infrastructure Configuration Chapter 9 Network Policy and Access Services in Windows Server 2008.

MCTS Guide to Microsoft Windows Server 2008 Network Infrastructure Configuration Chapter 9 Network Policy and Access Services in Windows Server 2008.
VPN Wireless Security at Penn State Rich Cropp Senior Systems Engineer Information Technology Services The Pennsylvania State University © 2003. All rights.

VPN Wireless Security at Penn State Rich Cropp Senior Systems Engineer Information Technology Services The Pennsylvania State University © All rights.
1 © 2005 Cisco Systems, Inc. All rights reserved. 111 © 2004, Cisco Systems, Inc. All rights reserved. CNIT 221 Security 1 ver.2 Module 7 City College.

1 © 2005 Cisco Systems, Inc. All rights reserved. 111 © 2004, Cisco Systems, Inc. All rights reserved. CNIT 221 Security 1 ver.2 Module 7 City College.
Mobile and Wireless Communication Security By Jason Gratto.

Mobile and Wireless Communication Security By Jason Gratto.
WIRELESS LAN SECURITY Using

WIRELESS LAN SECURITY Using
Michal Procházka, Jan Oppolzer CESNET.

Michal Procházka, Jan Oppolzer CESNET.
1 Week 6 – NPS and RADIUS Install and Configure a Network Policy Server Configure RADIUS Clients and Servers NPS Authentication Methods Monitor and Troubleshoot.

1 Week 6 – NPS and RADIUS Install and Configure a Network Policy Server Configure RADIUS Clients and Servers NPS Authentication Methods Monitor and Troubleshoot.
Module 8: Designing Network Access Solutions. Module Overview Securing and Controlling Network Access Designing Remote Access Services Designing RADIUS.

Module 8: Designing Network Access Solutions. Module Overview Securing and Controlling Network Access Designing Remote Access Services Designing RADIUS.
1 © 2005 Cisco Systems, Inc. All rights reserved. 111 © 2004, Cisco Systems, Inc. All rights reserved.

1 © 2005 Cisco Systems, Inc. All rights reserved. 111 © 2004, Cisco Systems, Inc. All rights reserved.
Network access security methods Unit objective Explain the methods of ensuring network access security Explain methods of user authentication.

Network access security methods Unit objective Explain the methods of ensuring network access security Explain methods of user authentication.
Rješenje za izradu obiteljskog stabla

Rješenje za izradu obiteljskog stabla

Similar presentations

Ads by Google