Differences between revisions 25 and 26
Revision 25 as of 2008-03-20 10:55:27
Size: 7037
Editor: mohacsi
Comment:
Revision 26 as of 2008-04-10 15:29:35
Size: 7083
Editor: localhost
Comment: converted to 1.6 markup
Deletions are marked like this. Additions are marked like this.
Line 2: Line 2:
[[TableOfContents]] <<TableOfContents>>
Line 17: Line 17:
attachment:8021X-Overview.png {{attachment:8021X-Overview.png}}
Line 19: Line 19:
Az alkalmazott megoldást olyan módon választottuk ki, hogy kombatibilis és együttműködő képes legyen a [http://www.eduroam.org Eduroam] [http://www.terena.nl Terena] által indított nemzetközi kezdeményezéssel, valamint tegye lehetővé a [http://www.geant2.net GN2] [http://www.geant2.net/server/show/nav.758 JRA5] munkáiban való részvételt. Az alkalmazott megoldást olyan módon választottuk ki, hogy kombatibilis és együttműködő képes legyen a [[http://www.eduroam.org|Eduroam]] [[http://www.terena.nl|Terena]] által indított nemzetközi kezdeményezéssel, valamint tegye lehetővé a [[http://www.geant2.net|GN2]] [[http://www.geant2.net/server/show/nav.758|JRA5]] munkáiban való részvételt.
Line 24: Line 24:
 * A felhasználók az anya intézmenyüknek megfelelően authentikálnak. Ez megoldás lehetővé teszi, hogy a föderációt müködtető szervezet - jelen esetben az [http://www.niif.hu NIIF] - ne jelenjen meg adatkezelőként, hanem csak a föderációban résztvevő intézmények kezelik az adatokat - akik már eddig is kezelték, mivel náluk rendelkezésre álltak ezek az adatok, mivel az egyetemeken, kutató intézetekeben már eleve nyújtanak központi szolgáltatásokat, amelyekhez szükségesek voltak ezek az euthentikációs adatok (pl. email cím).  * A felhasználók az anya intézmenyüknek megfelelően authentikálnak. Ez megoldás lehetővé teszi, hogy a föderációt müködtető szervezet - jelen esetben az [[http://www.niif.hu|NIIF]] - ne jelenjen meg adatkezelőként, hanem csak a föderációban résztvevő intézmények kezelik az adatokat - akik már eddig is kezelték, mivel náluk rendelkezésre álltak ezek az adatok, mivel az egyetemeken, kutató intézetekeben már eleve nyújtanak központi szolgáltatásokat, amelyekhez szükségesek voltak ezek az euthentikációs adatok (pl. email cím).
Line 26: Line 26:
 * A kialakított [http://www.eduroam.org EduRoam] kompatibilis rendszrben nincsen meghatározva, hogy ki milyen authentikációt használjon feltéve hogy megfelelően erős authentikációt alkalmaz, amely képes megvédeni a kliens és authentikátor közötti kommunikációt megfelelően védett tunnellel.
attachment:Eduroam_proxy_model.jpg		  * A kialakított [[http://www.eduroam.org|EduRoam]] kompatibilis rendszrben nincsen meghatározva, hogy ki milyen authentikációt használjon feltéve hogy megfelelően erős authentikációt alkalmaz, amely képes megvédeni a kliens és authentikátor közötti kommunikációt megfelelően védett tunnellel.
{{attachment:Eduroam_proxy_model.jpg}}
Line 36: Line 36:
Jelenleg a nemzetközi [http://www.eduroam.org EduRoam] hálózatban 2 féle authentikációs mód terjedt el: Jelenleg a nemzetközi [[http://www.eduroam.org|EduRoam]] hálózatban 2 féle authentikációs mód terjedt el:
Line 39: Line 39:
 EAP/TTLS:: Előnye, hogy teljesen szabványos és a belső protokoll lehet PAP, MD5, MSCHAPv2 vagy bármi más, de sajnos Windows klienseken telepíteni kell egy supplicant-et - pl. Intel prowireless vagy szabadon letölthető [http://www.securew2.com securew2] supplicant-et.  EAP/TTLS:: Előnye, hogy teljesen szabványos és a belső protokoll lehet PAP, MD5, MSCHAPv2 vagy bármi más, de sajnos Windows klienseken telepíteni kell egy supplicant-et - pl. Intel prowireless vagy szabadon letölthető [[http://www.securew2.com|securew2]] supplicant-et.
Line 42: Line 42:
 * [:Wireless Eduroam LDAP:Authentikációs adatbázis konfigurációja LDAP adatbázisra]
 * [:Wireless Eduroam FreeRadius:FreeRadius konfiguráció] példa konfigurációkkal LDAP, password, mysql felhasználói adatbázissal
 * [attachment:Wireless_Eduroam_Microsoft.pdf Microsoft Internet Authentication Service konfiguráció]
 * [attachment:Wireless_Eduroam_AD_FreeRadius.pdf Freeradius Active directory integrációs konfiguráció]		  * [[Wireless_Eduroam_LDAP|Authentikációs adatbázis konfigurációja LDAP adatbázisra]]
 * [[Wireless_Eduroam_FreeRadius|FreeRadius konfiguráció]] példa konfigurációkkal LDAP, password, mysql felhasználói adatbázissal
 * [[attachment:Wireless_Eduroam_Microsoft.pdf|Microsoft Internet Authentication Service konfiguráció]]
 * [[attachment:Wireless_Eduroam_AD_FreeRadius.pdf|Freeradius Active directory integrációs konfiguráció]]
Line 47: Line 47:
 * [:Wireless Eduroam Cisco AP:Cisco Access point konfiguráció]
 * [:Wireless Eduroam Linksys AP:Linksys Access point konfiguráció]		  * [[Wireless_Eduroam_Cisco_AP|Cisco Access point konfiguráció]]
 * [[Wireless_Eduroam_Linksys_AP|Linksys Access point konfiguráció]]
Line 50: Line 50:
 * [:Wireless Eduroam FreeBSDwpasupplicant:FreeBSD wpa supplicant konfiguráció]
 * [:Wireless Eduroam Linux Debian wpasupplicant:Linux Debian (sid) wpa supplicant konfiguráció]
 * [:Wireless Eduroam WindowsXP builtin:Windows XP beépített wireless konfiguráció]
 * [:Wireless Eduroam WindowsXP intel:Windows XP Intel supplicant wireless konfiguráció]
 * [:Wireless Eduroam WindowsXP securew2:Windows XP SecureW2 supplicant wireless konfiguráció]		  * [[Wireless_Eduroam_FreeBSDwpasupplicant|FreeBSD wpa supplicant konfiguráció]]
 * [[Wireless_Eduroam_Linux_Debian_wpasupplicant|Linux Debian (sid) wpa supplicant konfiguráció]]
 * [[Wireless_Eduroam_WindowsXP_builtin|Windows XP beépített wireless konfiguráció]]
 * [[Wireless_Eduroam_WindowsXP_intel|Windows XP Intel supplicant wireless konfiguráció]]
 * [[Wireless_Eduroam_WindowsXP_securew2|Windows XP SecureW2 supplicant wireless konfiguráció]]
Line 56: Line 56:
A Wireless infrastruktúrát !EduRoam támogatással üzembehelyeztük 2006 tavaszán. Élesben a rendszer 2006. május 31 és Június 2 között vizsgázott a Budapesten tartott [http://www.eugridpma.org/agenda/fullAgenda.php?ida=a061 7. EUGridPMA] megbeszélésen, ahol a részvevők többsége eduroam segítségével fért hozzá hálózathoz és a távoli erőforrássokhoz. A résztvevők örömmel nyugtázták, hogy a az NIIF !EduRoam infrastruktúrája támogatja az IPv6: A Holland, Cseh és Görög kollégák IPv6-os erőforrásokhoz is hozzáfértek. A Wireless infrastruktúrát !EduRoam támogatással üzembehelyeztük 2006 tavaszán. Élesben a rendszer 2006. május 31 és Június 2 között vizsgázott a Budapesten tartott [[http://www.eugridpma.org/agenda/fullAgenda.php?ida=a061|7. EUGridPMA]] megbeszélésen, ahol a részvevők többsége eduroam segítségével fért hozzá hálózathoz és a távoli erőforrássokhoz. A résztvevők örömmel nyugtázták, hogy a az NIIF !EduRoam infrastruktúrája támogatja az IPv6: A Holland, Cseh és Görög kollégák IPv6-os erőforrásokhoz is hozzáfértek.
Line 60: Line 60:
 * [http://www.kfki.hu/eduroam/index.html IPv6 képes Eduroam infrastruktúra leírása és használata az MTA KFKI-ban]
 * IPv6 képes Eduroam infrastruktúra kiépítése a Szegedi Tudományegyetemen: [http://www.bibl.u-szeged.hu/bibl/services/wifi/wifi_szolg2.html TIK] [:SZTE_IT_wlan: Informatikai tanszékcsoport] [http://www.inf.u-szeged.hu/eroforrasok/EDUROAM_SZTE_INF.doc Informatikai tanszékcsoport]		  * [[http://www.kfki.hu/eduroam/index.html|IPv6 képes Eduroam infrastruktúra leírása és használata az MTA KFKI-ban]]
 * IPv6 képes Eduroam infrastruktúra kiépítése a Szegedi Tudományegyetemen: [[http://www.bibl.u-szeged.hu/bibl/services/wifi/wifi_szolg2.html|TIK]] [[SZTE_IT_wlan| Informatikai tanszékcsoport]] [[http://www.inf.u-szeged.hu/eroforrasok/EDUROAM_SZTE_INF.doc|Informatikai tanszékcsoport]]

Contents

  1. IPv6 Wireless LAN technológia
    1. Bevezetés
    2. Az alkalmazott Wireless LAN megoldás
    3. A kialakított rendszer leírása
    4. Konfigurációs leírások
      1. Radius konfiguráció
      2. Access point konfiguráció
      3. Felhasználói konfiguráció
    5. IPv6 tesztek
    6. Infrastrukúra kiépítése a partnereknél

IPv6 Wireless LAN technológia

Bevezetés

A vezeték nélküli hálózat egy egyre népszerűbb szélessávú hálózati hozzáférési technológia, melynek tipikus sebessége 2Mbit/s és 54 Mbit/s (half-duplex) között változhat és hatótávolsága 30 és 100-200 méter között változik. Alapvetően 3 tipikus szabvány terjedt el:

  • 802.11b direct-sequence spread spectrum (DSSS) rádiós technológia - maximálisan 11 Mbit/s sebességgel a 2.4 Ghz-es szabadfelhasználású sávban
  • 802.11g direct-sequence spread spectrum (DSSS) rádiós technológia - maximálisan 54 Mbit/s sebességgel a 2.4 Ghz-es szabadfelhasználású sávban
  • 802.11a orthogonal frequency-division multiplexing (OFDM) rádiós technológia - maximálisan 54 Mbit/s sebességgel a 5 Ghz-es szabadfelhasználású sávban

Mivel a vezetéknélküli hálózatoknál az adatcsomagok megfelelően módulált rádió hullámok formájában haladnak, amelyeket könnyen hozzáférhető eszközök birtokában bárki képes venni, dekódolni, sőt újra küldeni, vagy hasonló csomagokat külden. Ezért nehéz probléma a hozzáférés szabályozása és a titkosság problémája. Erre a problémára válaszként IEEE-nél több különböző biztonsági erősségű választ adott: Wired_Equivalent_Privacy (WEP), Wi-Fi_Protected_Access (WPA) illetve IEEE_802.11i 802.11i avagy WPA2.

Az alkalmazott Wireless LAN megoldás

Az tesztelt és implementált megoldás a WPA és 802.11i ún. Enterprise módján alapul, amely lehetővé teszi a felhasználók egyedi azonosítását (és wireles hálózathoz való hozzáférésének engedélyezését) és lehetővé teszi azt is, hogy az azonosítás meglehetősen diverzifikált módon történjen. A WPA és 802.11i Enterprise módja a 802.1x technolóán alapul, amely IP és egyébb felső szintű protokolltól függetlenül teszi lehetővé az azonosítást, így potenciálan jó választás lehet arr, hogy IPv6-on is lehetséges legyen hozzáférés és authentikáció:

8021X-Overview.png

Az alkalmazott megoldást olyan módon választottuk ki, hogy kombatibilis és együttműködő képes legyen a Eduroam Terena által indított nemzetközi kezdeményezéssel, valamint tegye lehetővé a GN2 JRA5 munkáiban való részvételt.

A kialakított rendszer leírása

A kialakított rendszer egy föderációs elven alapul:

  • A felhasználók az anya intézmenyüknek megfelelően authentikálnak. Ez megoldás lehetővé teszi, hogy a föderációt müködtető szervezet - jelen esetben az NIIF - ne jelenjen meg adatkezelőként, hanem csak a föderációban résztvevő intézmények kezelik az adatokat - akik már eddig is kezelték, mivel náluk rendelkezésre álltak ezek az adatok, mivel az egyetemeken, kutató intézetekeben már eleve nyújtanak központi szolgáltatásokat, amelyekhez szükségesek voltak ezek az euthentikációs adatok (pl. email cím).

  • A felhasználók az anya mintézmenyüknél authentikának olyan módon, hogy a kialakított radius proxy hirearchia az authentikációs kéréseket haza proxyzza.

  • A kialakított EduRoam kompatibilis rendszrben nincsen meghatározva, hogy ki milyen authentikációt használjon feltéve hogy megfelelően erős authentikációt alkalmaz, amely képes megvédeni a kliens és authentikátor közötti kommunikációt megfelelően védett tunnellel.

Eduroam_proxy_model.jpg

A támogatott authentikációs protokollok következőek lehetnek:

  • PEAP (MSCHAPv2)
  • EAP/TTLS (akármilyen belső protokollal) - tipikusan PAP, vagy MD5 jelszó hash
  • EAP/TLS

A rendszer mind a hármat lehetővé teszi.

Jelenleg a nemzetközi EduRoam hálózatban 2 féle authentikációs mód terjedt el:

PEAP
Előnye, hogy nem igényli újabb supplicant telepítését. Hátránya, hogy nem teljesen szabványos (inkompatbilitási problémák a PEAPv0 és PEAPv1 változat között). Néhány implementáció nem vizsgálja a Radius szerver tanusítványának érvényeségét, ami könnyek közbeékelődő támadáshoz (Man in the Middle) vezethet.
EAP/TTLS

Előnye, hogy teljesen szabványos és a belső protokoll lehet PAP, MD5, MSCHAPv2 vagy bármi más, de sajnos Windows klienseken telepíteni kell egy supplicant-et - pl. Intel prowireless vagy szabadon letölthető securew2 supplicant-et.

Konfigurációs leírások

Radius konfiguráció

Access point konfiguráció

Felhasználói konfiguráció

IPv6 tesztek

A Wireless infrastruktúrát EduRoam támogatással üzembehelyeztük 2006 tavaszán. Élesben a rendszer 2006. május 31 és Június 2 között vizsgázott a Budapesten tartott 7. EUGridPMA megbeszélésen, ahol a részvevők többsége eduroam segítségével fért hozzá hálózathoz és a távoli erőforrássokhoz. A résztvevők örömmel nyugtázták, hogy a az NIIF EduRoam infrastruktúrája támogatja az IPv6: A Holland, Cseh és Görög kollégák IPv6-os erőforrásokhoz is hozzáfértek.

Infrastrukúra kiépítése a partnereknél

Campus6: IPv6_Wireless_LAN_technológia (last edited 2011-08-12 09:22:41 by mohacsi)