Hogyan tovább eduroam? Mohácsi János NIIF Intézet HBONE Workshop 2013



Hasonló dokumentumok
Eduroam változások - fejlesztések, fejlődések. Mohácsi János NIIF Intézet HBONE Workshop 2015

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Eduroam Az NIIF tervei

Eduroam változások - fejlesztések, fejlődések. Mohácsi János KIFÜ NIIF Program HBONE Workshop 2015

A WiFi hálózatok technikai háttere

MOME WiFi hálózati kapcsolat beállítása február 25.

Az intézményi hálózathoz való hozzáférés szabályozása

DWL-G520 AirPlus Xtreme G 2,4GHz Vezeték nélküli PCI Adapter

Sulinet+ Azonosítási és jogosultságkezelési pilot. Sulinet eduid/eduroam oktatás. Bajnok Kristóf NIIF Intézet


Vezetéknélküli technológia

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Határidős accountok WiFi rendszerekhez

EDUROAM wifi beállítás

DNS és IPv6. Jákó András BME TIO

Fábián Zoltán Hálózatok elmélet

KÖZPONTOSÍTOTT EAP ALAPÚ HITELESÍTÉS VEZTÉK NÉLKÜLI HÁLÓZATOKBAN CENTRALIZED EAP BASED AUTHENTICATION FOR WIRELESS NETWORKS

Hama WLAN USB Stick 54 Mb/s. Használati útmutató

NIIF és a Sulinet + fejlesztések

Felhasználói kézikönyv

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

IT hálózat biztonság. A WiFi hálózatok biztonsága

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Sulinet + projekt. Mohácsi János Hálózati igh. NIIF Intézet október 21. Sulinet + projekt mérföldkő Budapest

Sulinet + " áttekintés

YOUNG PARTNER NAP

EMTP, EGY ÚJ LEVELEZÕ PROTOKOLL ÉS IMPLEMENTÁCIÓJA

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

Version /27/2013 Használati útmutató

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

HBONE tábor 2005 november Mohácsi János

Megjegyzés vezeték nélküli LAN felhasználóknak

"sulinet+" - Végponti kapcsolatok és központi szolgáltatás-fejlesztés a közoktatási hálózatban

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

DWL-G650 AirPlus Xtreme G 2.4GHz Vezeték nélküli Cardbus Adapter

Mosolygó Ferenc. Értékesítési Konzultáns.

Számítógépes Hálózatok 2011

WiFi biztonság A jó, a rossz és a csúf

LINUX LDAP címtár. Mi a címtár?

Tartalom. 8.1 ISP biztonsági megfontolások 8.2 ISP felelősség 8.3 Szolgáltatói szerződés 8.4 Biztonsági mentések és katasztrófahelyzet helyreállítás

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

LW310V2 Sweex Wireless 300N Router

VoIP biztonság. BME - TMIT Médiabiztonság feher.gabor@tmit.bme.hu

Wireless LAN a Műegyetemen. Jákó András jako.andras@eik.bme.hu BME EISzK

IPv6 bevezetésének tapasztalatai a magyar akadémiai hálózatban

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

A T-Online Adatpark és Dataplex hálózati megoldásai

Wifi segédlet Windows 7 operációs rendszer esetén

11. Gyakorlat: Certificate Authority (CA), FTP site-ok

Fábián Zoltán Hálózatok elmélet

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Sulinet + " NIIF és sulinet fejlesztések

ROUTER beállítás otthon

TCS. Megbízható tanúsítványszolgáltatás. Bajnok Kristóf NIIF Intézet. HBONE Workshop november 18. Networks Services People

Cisco Acces Pointok bemutatása

SAMBA. Forrás: Lajber Zoltán: SAMBA alapok dia, SZIE

Szakmai továbbképzési nap akadémiai oktatóknak december 14. HISZK, Hódmezővásárhely / Webex

Vezeték nélküli hálózat

Hogyan vezessünk be Wireless LAN-t?

WebEC kliens számítógép telepítése és szükséges feltételek beállítása, az alábbi ellenőrző lista alapján történik.

WLAN router telepítési segédlete

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

10. Gyakorlat: Alkalmazások publikálása Remote Desktop Szervízen keresztül

FortiClient VPN-IPSec kliens konfigurációs segédlet

Biztonság a glite-ban

WLAN router telepítési segédlete

hatékony felhasználókezelés felhasználói roaming Bajnok Kristóf/Mohácsi János NIIF Intézet Budapest, június 2.

WIN-TAX programrendszer hálózatban

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

"sulinet+" - végponti kapcsolatok és központi szolgáltatás-fejlesztés a közoktatási hálózatban

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

NIIF eduroam szabályzat

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Hálózati WAN forgalom optimalizálása

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

EDUROAM WI-FI beállítása

WLAN router telepítési segédlete

Hálózatbiztonság Androidon. Tamas Balogh Tech AutSoft

Wifi segédlet Windows 8 operációs rendszer esetén

(NGB_TA024_1) MÉRÉSI JEGYZŐKÖNYV

1. Rendszerkövetelmények

Hálózatbiztonság növelése, automatikusan konfigurálódó access portok. Cseh Vendel, HBONE Workshop, 2011 november, Mátrafüred

World IPv6 day tapasztalatok

Cisco Mobility Express megoldás

Xerox Vezeték nélküli nyomtatási megoldások adapter Felhasználói útmutató

KOCSIS TAMÁS (biztributor): Mitől vállalati a Wi-Fi biztonsága?

Hálózati informatikus Mérnökasszisztens

Elektronikus szolgáltatás igénylés HBONE Workshop Pintér Tamás

WLAN router telepítési segédlete

Sulinet infrastruktúra fejlesztése - Sulinet + projekt

DHCP. Dinamikus IP-cím kiosztás DHCP szerver telepítése Debian-Etch GNU linuxra. Készítette: Csökmei István Péter 2008

Kompromisszum nélküli wireless megoldások

Tájékoztató. Használható segédeszköz: -

Megjegyzés vezeték nélküli LAN felhasználóknak

Hálózat Dynamic Host Configuration Protocol

Metadirectory koncepció kivitelezése

Szövetségi (föderatív) jogosultságkezelés

Számítógép hálózatok gyakorlat

Informatikai alkalmazásfejlesztő alkalmazásfejlesztő Információrendszer-elemző és - Informatikai alkalmazásfejlesztő

Átírás:

Hogyan tovább eduroam? Mohácsi János NIIF Intézet HBONE Workshop 2013

eduroam modell

Eduroam elterjedtség

eduroam problémák- konfiguráció Egyszer jól be kell állítani, utána működik Milyen CA? EAP? szervertanúsítvány? Megoldás: eduroam CAT Egyszerűsített automatikus kliens installáció Intézmény specifikus információk elérhetők (logó, AUP, stb.) Aláírt installer http://cat.eduroam.org Magyarítás hamarosan

eduroam problémák- konfiguráció Egyszer jól be kell állítani, utána működik Milyen CA? EAP? szervertanúsítvány? Megoldás: eduroam CAT Egyszerűsített automatikus kliens installáció Intézmény specifikus információk elérhetők (logó, AUP, stb.) Aláírt installer http://cat.eduroam.org Magyarítás hamarosan

eduroam problémák átlapolódó WIFI

eduroam problémák átlapolódó WIFI /2 1. Szabályzat: Overlapping IP-subnets with same SSID is known to be a problem. If this situation occurs the SSIDs of those institutions involved can be changed to 'eduroam- [inst]' (where [inst] is an easily understandable indication of institutions name). If this solution is applied the SSIDs MUST be broadcasted. -> NIIF eduroam ERSZ változtatás 3.2.6.8. pont + könnyű implementálni + le/fel csatlakozó kliens problémáját megoldja - Transzparens roaming eltűnik, de van eduroam CAT támogatás 2. 802.11u HS 2.0

eduroam problémák RC4 gyengeség RC4 és TKIP sebezhető Hacktivity 2012 konferencia: Cracking WPA/WPA2 Personal + Enterprise for Fun and Profit q WEP broken WPA is an intermediate solution by Wi-Fi Alliance q WPA cracking precalculation based SSID, passphrase for dicts then brute force q Catch-all honey pot for wireless clients, Hole 196 q WPA Enterprise? crackable AES és CCMP használandó ->WPA2-Enterprise eduroam advisory 003 - nem lesz engedélyezett a TKIP! -> NIIF eduroam ERSZ változtatás 3.2.6.5. és 3.2.6.6. pont eduroam CAT nem fogja engedni a TKIP-et!

eduroam problémák esetleges beékelődés megelőzése Nem biztonságos, ha a supplicant-ek/kliensek úgy lettek konfigurálva, hogy minden tanúsítványt elfogadjanak: 1. Szükséges az elfogadott gyökértanusítvány telepítése 2. Szükséges a tanusított szervernév ellenőrzése Ha a fenti KÉT pont nem teljesül a supplicant/kliens mindenféle jött-ment, hamisított szervernek megadja a hozzáférési kódjait. Szabályzat: "6.3.2 Specifications and Operational Requirements: Identity Providers Adherence to the following specifications is REQUIRED [...] The server-side EAP credentials MUST be communicated to the user base, and end-user documentation needs to be precise enough to allow users the unique identification of their EAP server -> NIIF eduroam ERSZ változtatás 3.1.1 pont kiegészítése

Eduroam problémák hol tudom használni? ios eduroam companion 2011 Decembere óta elérhető: https://itunes.apple.com/hu/app/eduroamcompanion/id480611749

eduroam szabályzat hiányosságok 802.11ac/ad/? nincsen benne kell? AP-k GPS koordinátájának kötelező megadása legalább épület szintjén. A probléma esetén a kommunikációs útvonalak definiálása Radius attributum előírások a konföderációs szabályzatnak megfelelően Nyitandó portok/protokollok: IPSec, TCP/ 3128, TCP/8080 eduroam brand kérdések RadSec lehetőségek

Mi az a RadSec? 13 Radius (EAP) protokoll tartalmának becsomagolása TCPben (SCTP-be) TCP transzport? - megbízhatóság UDP jó megoldás volt, amíg 1-2 csomag váltás volt szükséges a felhasználó azonosításhoz EAP-nál több 10 csomag! A Radius szomszéd elérhetősége nem egy becslésen alapulhat A RadSec peer-ek kölcsönössen azonosítják egymást és titkosítják a forgalmat egymás között TLS-el - biztonság Nincsen szükség a gyenge shared secretre és statikus IP összerendelésre A shared secret-től és IP cím összerendelés hiénya lehetőv; teszi a RadSec peer dinamikus felfedezését eduroam skálazható működtető hierarchiával

RadSec kölcsönös azonosítás Az adott realm-hez tartozó authentikációs szerver IP címe (@niif.hu -> radius.ki.iif.hu) megoldás: NAPTR records DNS ben x-eduroam szolgáltatásra Ellenőrzés, hogy a felderített host-ban meg lehet bízni valós eduroam IdP megoldások: PKI jelenleg ez működik - PKI nehéz üzemeltetni egy CA?, több CA?, visszavonás? DANE?: RFC 6698 - DNS-based Authentication of Named Entities problémák az implementációval Kölcsönözös ellenőrzés megoldás: RFC6614 (RADIUS over TLS)

eduroam DANE-el DNSSec zone for eduroam.org eduroam.org Confederation Servers idp.eduroam.org sp.eduroam.org radius.niif.hu.sp.eduroam.org tld1.eduroam.lu.idp.eduroam.org Host In DNS & has cert? Yes, here it is! Federation Server realm: hu Yup, key offered matches that in DNSSec tree,you shall pass, carry on! tld1.eduroam.lu, can I have your key? Yes, here it is! realm: lu id: pam@restena.lu realm: niif.hu realm: bme.hu Host: radius.niif.hu realm: restena.lu realm: uni.lu Slide 15

RadSec implementációk OSC's Radiator Stig Venaas (UNINETT) radsecproxy FreeRADIUS 3.0 LanCOM AP Semmelyik nem implementálja a DANE-t NIIF pilot indítása hamarosan 16

Köszönöm! Kérdések? eduroam@niif.hu

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés