1 / 21

Utrecht, 29 maart 2006

eduroam voorwaarts!. nieuwe technische ontwikkelingen m.b.t. eduroam. Paul Dekkers Klaas Wierenga. Utrecht, 29 maart 2006. Inhoud. Eindgebruikers (de voorkant) Instellingen EAP Koppelvlak eduroam eduroam infrastructuur (de achterkant) RADIUS

holly-moore
Download Presentation

Utrecht, 29 maart 2006

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. eduroam voorwaarts! nieuwe technische ontwikkelingen m.b.t. eduroam Paul Dekkers Klaas Wierenga Utrecht, 29 maart 2006

  2. Inhoud • Eindgebruikers (de voorkant) • Instellingen • EAP • Koppelvlak eduroam • eduroam infrastructuur (de achterkant) • RADIUS • Groei en beperkingen • Mogelijkheden en verbeteringen • Conclusie

  3. Eindgebruikers • Vernieuwingen van wireless & beveiliging: • WPA (TKIP) • WPA2 (AES)/802.11i Werken op basis van 802.1x en EAP: toekomstvast! Voor nu is 802.1x+WEP goed genoeg, maar dat gaat veranderen. Nu nog geen algemene beschikbaarheid supplicants, later net zo gebruikelijk als DHCP…

  4. Instellingen Supplicant Authenticator (AP or switch) RADIUS server institution User DB Guest VLAN LAN

  5. Instellingen • Meer keus in apparatuur en software • Meer keus in EAP-types • Eén EAP-type sluit het gebruik van een ander niet uit • gastgebruiker gebruikt EAP-type van de thuisinstelling • Koppelen en analyseren van gebruik en misbruik wordt steeds beter.

  6. Instellingen … hebben een koppelvlak met de eduroam infrastructuur Secured tunnel Supplicant Authenticator (AP or switch) RADIUS server institution A RADIUS server institution B User DB User DB Guest user@institution-B.nl Internet guest VLAN regular VLAN Central RADIUS Proxy server

  7. eduroam infrastructuur

  8. eduroam infrastructuur flexibiliteit van RADIUS werkt!

  9. eduroam infrastructuur groeit!

  10. Huidige infrastructuur RADIUS • RADIUS pakket op elke hop “zichtbaar” voor het juiste EAP-type is dat niet erg… • Verkeer tussen hops is zwak beveiligd(shared secret), bij het juiste EAP-type is dat niet erg… • Statische routering (mbv. @realm) configuratiewerk bij instelling & research netwerk • Schaalbaar, maar: meer aansluitingen = • meer configuratie • meer belasting op de top-level servers • Meer uitzonderingen meer…

  11. Huidige infrastructuur UDP RADIUS transport “dead server”-detectie niet goed mogelijk indien slecht geconfigureerd…

  12. Iets beters… • Uitschakelen overbodige hierarchie • Snelheid • Veiligheid (minder data op minder plaatsen) • Betrouwbaarder(minder “points of failure”) • Betere beveiliging op de transport-laag (tcp/ssl?) • Flexibele configuratie (lookup-service?)

  13. Mogelijkheden • DiameterOpvolger van RADIUS(Any time now… al minstens 5 jaar) • RadSec • (Nu nog) onderdeel van Radiator • DNSROAM & RadSecExperimenteel onderdeel van Radiator

  14. RadSec en DNSROAM • RADIUS pakket in TCP of SCTP betrouwbaarder, dead peer detectie • Beveiliging met TLS/PKI (optioneel) geeft mogelijkheden voor beperken deelname: • door specifieke CA gesigned certificaat • validatie op attribuut in certificaat (nog niet) • DNSROAM gebruikt DNS als lookup-service • dynamische routering op basis van realm • mogelijk voor een deel van de hierarchie

  15. RadSec (afbeelding van Telematica Instituut uit Radiate / Test description and evaluation)

  16. RadSec Vervangen van RADIUS-koppelingen door RadSec

  17. RadSec en DNSROAM

  18. RadSec (Deels) vervangen van statische koppelingen door dynamische Voor algemene invoering DNSROAM is het nog te vroeg.

  19. Transitiefase

  20. Conclusie • Vernieuwingen op wireless gebied geen grote impact voor de eduroam-gebruiker. 802.1x en EAP zijn toekomstvast (WPA, WPA2/802.11i). • Infrastructuur op een instelling degelijk, EAP is flexibel. • Verschillende mogelijkheden voor verbetering infrastructuur. • RadSec als vervanging voor RADIUS heeft direct potentie, voor DNSROAM is de tijd nog niet rijp. • Verbeteringen infrastructuur kunnen plaatselijk doorgevoerd worden. • Dus nomaals…..

  21. Doe mee met…..

More Related