Differences between revisions 1 and 32 (spanning 31 versions)
Revision 1 as of 2006-08-23 09:41:57
Size: 820
Editor: mohacsi
Comment:
Revision 32 as of 2011-08-12 09:22:41
Size: 7599
Editor: mohacsi
Comment:
Deletions are marked like this. Additions are marked like this.
Line 1: Line 1:
[[TableOfContents]] #acl All:read
<<
TableOfContents>>
Line 3: Line 5:
== Bevezetés ==
A vezeték nélküli hálózat egy egyre népszerűbb szélessávú hálózati hozzáférési technológia, melynek tipikus sebessége 2 és 54 Mbit/s (half-duplex) között változhat és hatótávolsága 30 és 100-200 méter között változik. Alapvetően 3 tipikus szabvány terjedt el:
Line 4: Line 8:
A vezeték nélküli hálózat egy egyre népszerűbb szélessáyvú hálózati hozzáférési technológia, melynek tipikus sebessége 2Mbit/s és 54 Mbit/s (half-duplex) között változhat. Alapvetően 3 tipikus szabvány terjedt el:
Line 8: Line 11:
  . Bővebb informcáió: WikiPedia:IEEE_802.11
Mivel a vezetéknélküli hálózatoknál az adatcsomagok megfelelően módulált rádióhullámok formájában haladnak, amelyeket könnyen hozzáférhető eszközök birtokában bárki képes venni, dekódolni, sőt visszajátszani vagy hasonló csomagokat küldeni. Ezért nehéz probléma a hozzáférés szabályozása és a titkosság elérése. Az IEEE erre több különböző biztonsági erősségű választ adott: WikiPedia:Wired_Equivalent_Privacy (WEP), WikiPedia:Wi-Fi_Protected_Access (WPA) illetve WikiPedia:IEEE_802.11i 802.11i avagy WPA2.
Line 9: Line 14:
Bővebb informcáió: [WikiPedia:IEEE_802.11] == Az alkalmazott Wireless LAN megoldás ==
Az tesztelt és implementált megoldás a WPA és 802.11i ún. Enterprise módján alapul, amely lehetővé teszi a felhasználók egyedi azonosítását (és wireless hálózathoz való hozzáférésének engedélyezését) és lehetővé teszi azt is, hogy az azonosítás meglehetősen diverzifikált módon történjen. A WPA és 802.11i Enterprise módja a WikiPedia:802.1x technológián alapul, amely IP és egyéb felső szintű protokolltól függetlenül teszi lehetővé az azonosítást, így jó választás lehet arra, hogy IPv6-on is lehetséges legyen hozzáférés és autentikáció:

{{attachment:8021X-Overview.png}}

Az alkalmazott megoldást olyan módon választottuk ki, hogy kombatibilis legyen a [[http://www.eduroam.org|Eduroam]] [[http://www.terena.nl|Terena]] által indított nemzetközi kezdeményezéssel, valamint tegye lehetővé a [[http://www.geant2.net|GN2]] [[http://www.geant2.net/server/show/nav.758|JRA5]] munkáiban való részvételt.

== A kialakított rendszer leírása ==
A kialakított rendszer egy föderációs elven alapul:

 * A felhasználók az anya intézményüknek megfelelően autentikálnak. Ez megoldás lehetővé teszi, hogy a föderációt működtető szervezet – jelen esetben az [[http://www.niif.hu|NIIF]] – ne jelenjen meg adatkezelőként, hanem csak a föderációban résztvevő intézmények kezelik az adatokat – akik már eddig is kezelték, mivel náluk rendelkezésre álltak ezek az adatok, mivel az egyetemeken, kutató intézetekben már eleve nyújtanak központi szolgáltatásokat, amelyekhez szükségesek voltak ezek az autentikációs adatok (pl. email cím).
 * A felhasználók az anyaintézményüknél autentikának olyan módon, hogy a kialakított radius proxy hierearchia az autentikációs kéréseket haza proxyzza.
 * A kialakított [[http://www.eduroam.org|EduRoam]] kompatibilis rendszerben nincsen meghatározva, hogy ki milyen autentikációt használjon feltéve hogy az megfelelően erős, és amely képes megvédeni a kliens és autentikáló közötti kommunikációt kellően titkosított tunnellel.
{{attachment:Eduroam_proxy_model.jpg}}

A támogatott autentikációs protokollok a következőek lehetnek:

 * PEAP (MSCHAPv2)
 * EAP/TTLS (akármilyen belső protokollal) - tipikusan PAP, vagy MD5 jelszó hash
 * EAP/TLS
A rendszer mind a hármat lehetővé teszi.

Jelenleg a nemzetközi [[http://www.eduroam.org|EduRoam]] hálózatban kétféle autentikációs mód terjedt el:

 PEAP:: Előnye, hogy nem igényli újabb supplicant telepítését. Hátránya, hogy nem teljesen szabványos (inkompatbilitási problémák a PEAPv0 és PEAPv1 változat között). Néhány implementáció nem vizsgálja a Radius szerver tanusítványának érvényeségét, ami könnyen közbeékelődő támadáshoz (Man in the Middle) vezethet.
 EAP/TTLS:: Előnye, hogy teljesen szabványos és a belső protokoll lehet PAP, MD5, MSCHAPv2 vagy bármi más, de sajnos Windows klienseken telepíteni kell egy supplicant-et – pl. Intel prowireless vagy szabadon letölthető [[http://www.securew2.com|securew2]] supplicant-et.
== Konfigurációs leírások ==
=== Radius konfiguráció ===
 * [[Wireless_Eduroam_LDAP|Autentikációs adatbázis konfigurációja LDAP adatbázisra]]
 * [[Wireless_Eduroam_FreeRadius|FreeRadius konfiguráció]] példa konfigurációkkal LDAP, password, mysql felhasználói adatbázissal
 * [[attachment:Wireless_Eduroam_Microsoft.pdf|Microsoft Internet Authentication Service konfiguráció]]
 * [[attachment:Wireless_Eduroam_AD_FreeRadius.pdf|Freeradius Active directory integrációs konfiguráció]]
=== Access point konfiguráció ===
 * [[Wireless_Eduroam_Cisco_AP|Cisco Access point konfiguráció]]
 * [[Wireless_Eduroam_Linksys_AP|Linksys Access point konfiguráció]]
=== Felhasználói konfiguráció ===

'''''Figyelem!''''' ''ezek a dokumentációk csak kiindulási pontok lehetnek, minden eduroam résztvevő intézmény saját beállításokat igényelhet, különösen a !WiFi beállítások (WPA/WPA2), tanúsítványok, szerver nevek és az autentikációs megoldások (PEAP/EAP-TTLS) tekintetében.''

 * [[Wireless_Eduroam_FreeBSDwpasupplicant|FreeBSD wpa supplicant konfiguráció]]
 * [[Wireless_Eduroam_Linux_Debian_wpasupplicant|Linux Debian (sid) wpa supplicant konfiguráció]]
 * [[Wireless_Eduroam_WindowsXP_builtin|Windows XP beépített wireless konfiguráció]]
 * [[Wireless_Eduroam_WindowsXP_intel|Windows XP Intel supplicant wireless konfiguráció]]
 * [[Wireless_Eduroam_WindowsXP_securew2|Windows XP SecureW2 supplicant wireless konfiguráció]]
 * [[Wireless_Eduroam_MacOSX|MacOS X Leopard (10.5) supplicant wireless konfiguráció]]
 * [[Wireless_Eduroam_MacOSX10.7|MacOS X Lion (10.7) supplicant wireless konfiguráció]]

== IPv6 tesztek ==
A Wireless infrastruktúrát !EduRoam támogatással üzembehelyeztük 2006 tavaszán. Élesben a rendszer 2006. május 31. és június 2. között vizsgázott a Budapesten tartott [[http://www.eugridpma.org/agenda/fullAgenda.php?ida=a061|7. EUGridPMA]] megbeszélésen, ahol a részvevők többsége eduroam segítségével fért hozzá hálózathoz és a távoli erőforrásokhoz. A résztvevők örömmel nyugtázták, hogy a az NIIF !EduRoam infrastruktúrája támogatja az IPv6-ot. A holland, cseh és görög kollégák IPv6-os erőforrásokhoz is hozzáfértek.

== Pilot Infrastruktúra kiépítése a partnereknél ==
 * IPv6 képes eduroam infrastruktúra kiépítése a Műegyetemen
 * [[http://www.kfki.hu/eduroam/index.html|IPv6 képes eduroam infrastruktúra leírása és használata az MTA KFKI-ban]]
 * IPv6 képes eduroam infrastruktúra kiépítése a Szegedi Tudományegyetemen: [[http://www.bibl.u-szeged.hu/bibl/services/wifi/wifi_szolg2.html|TIK]] [[SZTE_IT_wlan| Informatikai tanszékcsoport]] [[http://www.inf.u-szeged.hu/eroforrasok/EDUROAM_SZTE_INF.doc|Informatikai tanszékcsoport]]

== Végleges szolgáltatói infrastruktúra ==
 * [[http://www.eduroam.hu | Eduroam szolgáltatás ]]

IPv6 Wireless LAN technológia

Bevezetés

A vezeték nélküli hálózat egy egyre népszerűbb szélessávú hálózati hozzáférési technológia, melynek tipikus sebessége 2 és 54 Mbit/s (half-duplex) között változhat és hatótávolsága 30 és 100-200 méter között változik. Alapvetően 3 tipikus szabvány terjedt el:

  • 802.11b direct-sequence spread spectrum (DSSS) rádiós technológia - maximálisan 11 Mbit/s sebességgel a 2.4 Ghz-es szabadfelhasználású sávban
  • 802.11g direct-sequence spread spectrum (DSSS) rádiós technológia - maximálisan 54 Mbit/s sebességgel a 2.4 Ghz-es szabadfelhasználású sávban
  • 802.11a orthogonal frequency-division multiplexing (OFDM) rádiós technológia - maximálisan 54 Mbit/s sebességgel a 5 Ghz-es szabadfelhasználású sávban

Mivel a vezetéknélküli hálózatoknál az adatcsomagok megfelelően módulált rádióhullámok formájában haladnak, amelyeket könnyen hozzáférhető eszközök birtokában bárki képes venni, dekódolni, sőt visszajátszani vagy hasonló csomagokat küldeni. Ezért nehéz probléma a hozzáférés szabályozása és a titkosság elérése. Az IEEE erre több különböző biztonsági erősségű választ adott: Wired_Equivalent_Privacy (WEP), Wi-Fi_Protected_Access (WPA) illetve IEEE_802.11i 802.11i avagy WPA2.

Az alkalmazott Wireless LAN megoldás

Az tesztelt és implementált megoldás a WPA és 802.11i ún. Enterprise módján alapul, amely lehetővé teszi a felhasználók egyedi azonosítását (és wireless hálózathoz való hozzáférésének engedélyezését) és lehetővé teszi azt is, hogy az azonosítás meglehetősen diverzifikált módon történjen. A WPA és 802.11i Enterprise módja a 802.1x technológián alapul, amely IP és egyéb felső szintű protokolltól függetlenül teszi lehetővé az azonosítást, így jó választás lehet arra, hogy IPv6-on is lehetséges legyen hozzáférés és autentikáció:

8021X-Overview.png

Az alkalmazott megoldást olyan módon választottuk ki, hogy kombatibilis legyen a Eduroam Terena által indított nemzetközi kezdeményezéssel, valamint tegye lehetővé a GN2 JRA5 munkáiban való részvételt.

A kialakított rendszer leírása

A kialakított rendszer egy föderációs elven alapul:

  • A felhasználók az anya intézményüknek megfelelően autentikálnak. Ez megoldás lehetővé teszi, hogy a föderációt működtető szervezet – jelen esetben az NIIF – ne jelenjen meg adatkezelőként, hanem csak a föderációban résztvevő intézmények kezelik az adatokat – akik már eddig is kezelték, mivel náluk rendelkezésre álltak ezek az adatok, mivel az egyetemeken, kutató intézetekben már eleve nyújtanak központi szolgáltatásokat, amelyekhez szükségesek voltak ezek az autentikációs adatok (pl. email cím).

  • A felhasználók az anyaintézményüknél autentikának olyan módon, hogy a kialakított radius proxy hierearchia az autentikációs kéréseket haza proxyzza.
  • A kialakított EduRoam kompatibilis rendszerben nincsen meghatározva, hogy ki milyen autentikációt használjon feltéve hogy az megfelelően erős, és amely képes megvédeni a kliens és autentikáló közötti kommunikációt kellően titkosított tunnellel.

Eduroam_proxy_model.jpg

A támogatott autentikációs protokollok a következőek lehetnek:

  • PEAP (MSCHAPv2)
  • EAP/TTLS (akármilyen belső protokollal) - tipikusan PAP, vagy MD5 jelszó hash
  • EAP/TLS

A rendszer mind a hármat lehetővé teszi.

Jelenleg a nemzetközi EduRoam hálózatban kétféle autentikációs mód terjedt el:

PEAP
Előnye, hogy nem igényli újabb supplicant telepítését. Hátránya, hogy nem teljesen szabványos (inkompatbilitási problémák a PEAPv0 és PEAPv1 változat között). Néhány implementáció nem vizsgálja a Radius szerver tanusítványának érvényeségét, ami könnyen közbeékelődő támadáshoz (Man in the Middle) vezethet.
EAP/TTLS

Előnye, hogy teljesen szabványos és a belső protokoll lehet PAP, MD5, MSCHAPv2 vagy bármi más, de sajnos Windows klienseken telepíteni kell egy supplicant-et – pl. Intel prowireless vagy szabadon letölthető securew2 supplicant-et.

Konfigurációs leírások

Radius konfiguráció

Access point konfiguráció

Felhasználói konfiguráció

Figyelem! ezek a dokumentációk csak kiindulási pontok lehetnek, minden eduroam résztvevő intézmény saját beállításokat igényelhet, különösen a WiFi beállítások (WPA/WPA2), tanúsítványok, szerver nevek és az autentikációs megoldások (PEAP/EAP-TTLS) tekintetében.

IPv6 tesztek

A Wireless infrastruktúrát EduRoam támogatással üzembehelyeztük 2006 tavaszán. Élesben a rendszer 2006. május 31. és június 2. között vizsgázott a Budapesten tartott 7. EUGridPMA megbeszélésen, ahol a részvevők többsége eduroam segítségével fért hozzá hálózathoz és a távoli erőforrásokhoz. A résztvevők örömmel nyugtázták, hogy a az NIIF EduRoam infrastruktúrája támogatja az IPv6-ot. A holland, cseh és görög kollégák IPv6-os erőforrásokhoz is hozzáfértek.

Pilot Infrastruktúra kiépítése a partnereknél

Végleges szolgáltatói infrastruktúra

Campus6: IPv6_Wireless_LAN_technológia (last edited 2011-08-12 09:22:41 by mohacsi)