docDelavnica eduroam - Delavnice LDAP, Eduroam in ArnesAAI
download 
Report Transcription
Delavnica eduroam - Delavnice LDAP, Eduroam in ArnesAAI
Delavnica AAI Arnes 2013 22. januar 2014, Ljubljana, Tehnološki park Delavnica eduroam Rok Papež Arnes [email protected] Na meniju: • predstavitev tehnologij brezžičnih omrežij • posebnosti »goste« postavitve brezžičnega omrežja • načini postavljanje brezžičnih omrežij • postavitev avtentikacijskega strežnika RADIUS • priklop v omrežje Eduroam * http://aai.arnes.si - uradna Arnes dokumentacija za sisteme AAI BYOD - Prinesi svojo napravo Avtorske pravice CC: John Baer, Flikr BYOD – Bring Your Own Device Prinesi svojo napravo • Računalništvo v oblakih (oblačno računalništvo) • BYOD v podjetjih – Dostop do omrežja podjetja – Delo od doma – Varnost in dostopnost podatkov, mešanje podatkov – Prevzem upravljanja naprave? – Izguba naprave • BYOD v šolstvu in raziskovalni skupnosti – Pri raziskavah se bolj sodeluje (manj geografskih ovir) – Elektronski učbeniki (porabniki) – Aktivna uporaba naprav in aktivno sodelovanje? – Ali otroci “surfajo” ali sodelujejo med poukom?* Naprava z žico ... Avtorske pravice CC: Ned Steiner, Flickr ... ali brez? Avtorske pravice CC: Moyan Brenn, Flickr Eduroam.si statistika gostovanj Eduroam TLD Sessions 750000 # of distinct roaming sessions 700000 650000 600000 550000 500000 TLD Sessions 450000 400000 350000 300000 250000 200000 150000 100000 50000 0 200410 200504 200510 200604 200610 200704 200710 200804 200810 Month 200904 200910 201004 201010 201104 201110 201204 201210 201304 Omrežja • Žično omrežje – strežniki, namizni računalniki, naprave, občasno tudi prenosniki – hitrost, zanesljivost, ergonomika! – vsak “svojo žico” • Brezžično – Udobno – Mobilne naprave – BYOD – Zanesljivost, hitrost in varnost so nizki – Skupni medij! – Kolaps omrežja – Še več žic – za dostopovne točke Brezžična omrežja 802.11 • ALOHANet – 1971 • Eternet – 1973/1974/1980 • 802.11 – 2Mb/s (Infrardeče 1Mb/s, 900MHz + 2.4 GHz) - 1997 • 802.11b – 11Mb/s (2.4 GHz) – 1999 • 802.11a – 54Mb/s (5 GHz) – 1999 • 802.11g – 54Mb/s (2.4 GHz) – 2003 • 802.11n – do 600Mb/s (2.4 GHz + 5 GHz, MIMO, širina kanala 20 ali 40 MHz) – 2009 • 802.11ac – do 6.77 Gb/s (5 GHz, širina do 160MHz) – 2014/2015 • WiGig 802.11ad – do 7Gb/s (2.4 GHz, 5 GHz, 60 GHz) – Brezžični priklop zaslona in TVja: HDMI in DisplayPort – 60GHz se težko širi skozi gradbene materiale :-)) – V razvijanju Zahteve do omrežja • Samoumevno (elektrika, tekoča voda, ogrevanje...) • Internet mora delovati – Plače – Izobraževalna orodja – Storitve v oblakih (Arnes, FlipIT ...) – Hitrost in zanesljivost! • Omrežje deluje – BYOD • Omrežje ne deluje – BYOPW* • Veliko uporabnikov, veliko zahtev • Podhranjenost z viri: RollsRoyce za 9.000,00€ :-) *BYOPW angl. Bring Your Own PaperWeight Postavitev brezžičnega omrežja • Ali želimo čim večjo pokritost ali čim gostejše omrežje? • Ogled prostorov (angl. Site Survey) – Pametni telefon ali prenosnik s slabim sprejemnikom – Dostopovna točka + dolgi podaljšek – Fizično preverjamo postavitve in domet signala – Zabeležimo rezultate na načrtu stavbe • Oprema ustreza standardom? http://aai.arnes.si/eduroam/priklop.html#tehnicna_dolocila Najamemo podjetje in vedno preverimo rezultate • WPA2-PSK (Šifriranje in prijava s skupnim geslom) • Eduroam (Šifrirano omrežje in prijava z lastnim uporabniškim imenom in geslom) Avtorske pravice CC: Liebeskind, Wikipedia inSSIDer Frekvenčni analizator - WiSpy Duty Cycle - zasedenost frekvenčnega pasu Strokovni ogled področja (angl. site survey) Tloris Tloris 2. Strokovni ogled - Arnes 5 GHz frekvenčni pas • Manjši domet – preveri ali je pokritost dovolj dobra pri uporabi dvojnih AP! • Manj motenj – Mikrovalovne – telefoni DECT – analogne brezžične video kamere • 19 neodvisnih kanalov (4-je na 2.4GHz) • DFS* - Samodejno nastavljanje frekvence in moči • Goste postavitve! • Težave s slabimi odjemalci (band select) • Večina cenenih naprav podpira samo 2.4GHz *DFS angl. Dynamic Frequency Selection Hibridna postavitev • Po stavbi postavljamo za največjo pokritost • V računalniško podprtih učilnicah postavljamo gosto postavitev – Kjer poteka učni proces z uporabo mobilnih naprav • http://aai.arnes.si/eduroam/hybrid.html Postavitev za največjo pokritost • 2.4GHz Kanali 1,5,9,13 • Največja moč – vsaj -67dBm RSSI – vsaj 25dBm SNR • Izklopimo 802.11b, pustimo 802.11g • AP postavljamo v pisarne/učilnice/knjižnice/avle, ne na hodnike • Prioriteta – Dober signal kjer je potreben – Slab signal (ali brez) na hodnikih in prostorih kjer se uporabniki ne zadržujejo. • Predvidoma ni VoIPa na wirelessu Čim gostejša postavitev • Redundančni AP • Band steering – preveriti delovanje!!! • Omogoči se le 802.11n (izklopi se 802.11a/b/g) • 20MHz pas na 2.4GHz, 5GHz lahko dvojni • Filtriranje multicast DNS / Bonjour – DST 224.0.0.251/255.255.255.255 – DST ff02::fb/128 Varnost brezžičnih omrežij • Varnostno so bolj občutljiva kot ožičena omrežja • Fizična varnost • Gostujoči uporabniki • Varnost sistemov pred mobilnimi napravami • Mehanizmi za varovanje omrežij: http://aai.arnes.si • Beleženje uporabe in kaznovanje storilcev Napadi eternet L2 • IPv4 – eternet – DHCP snooping – ARP inspection – IP Source Guard • IPv6 – eternet – Blokiranje IPv6 – RA Guard – NDP inspection • Dnevniški zapisi z usmerjevalnika • Aktivni nadzor omrežja – NDPmon, 6mon, arpwatch • Varnostni mehanizmi vgrajeni v sisteme WLC Naslovni prostor • IPv4 naslovnega prostora zmanjkuje • NAT44 – Omejena funkcionalnost za uporabnike – Dodatno obremenjevanje omrežne opreme in povezav – Težja pomoč uporabnikom in razhroščevanje napak • NAT44 + IPv6 • Samo IPv6 + NAT64 – Pilot teče – Večinoma deluje – Težave imajo aplikacije, ki delujejo neposredno z naslovi IPv4 (skype) • Samo IPv6 Arhitekture brezžičnih omrežij • Avtonomne dostopovne točke – Upravljamo vsako posebej – Nastavljanje frekvenc – Tipično cenejše • Lahke dostopovne točke – Centralni krmilnik (WLC*) nadzira vse dostopovne točke – Posebna naprava v omrežju (Cisco, Lancom, AeroHive, Rukus ...) – Spletna storitev (AeroHive, Meraki ...) – Cena: Letna plačila, vzdrževanje – Upravljanje brezžičnih omrežij je vroča tema – “Standard” CAPWAP* – Javni razpis za dodatno opremo so čista farsa zaradi 100% priklenitve uporabnika *CAPWAP angl. Control And Provisioning of Wireless Access Points *WLC angl. Wireless Lan Controller Kaj je Eduroam? • Organizacija (šola, inštitut ...) vzpostavi svoje brezžično omrežje • Se poveže v hierarhijo strežnikov RADIUS • Združljivi tehnični standard • Recipročnost Network login - 802.1x EAP over RADIUS EAPOL Supplicant Authenticator (AP or Switch) RADIUS Authentication server LDAP Query LDAP [email protected] Internet VLAN Staf signalling data VLAN Guests VLAN Students 802.1x and EAP protocol stacks • Access Network: • Unauthenticated: Ethernet:EAPOL • Authenticated: Ethernet:IP • Access Point / Switch to RADIUS • Management traffic • IP:UDP:RADIUS:EAP:<EAP type> • Authenticator == „EAP proxy“ Vrste EAP • Eduroam: EAP-Karkoli-s-ključi :) • EAP-TTLS (+ PAP, MSCHAPv2), EAPTLS, PEAP • EAP-FAST, EAP-SIM, EAP-AKA • Slabe vrste EAP: • EAP-MD5, LEAP ... • Podpora za nove tablice in telefone • (Prva) vzpostavitev! • Pomoč uporabnikom!!! Sklad protokolov 802.1x in EAP Združljivost protokolov z gesli http://deployingradius.com/documents/protocols/compatibility.html Enostavna uporabnost • Eduroam: • • • • • • SSID Encryption (WEP, WPA, WPA2) Odjemalec 802.1x Vrsta EAP Prijavni podatki (geslo ali certifikat) Certifikat CA ali strežnika • Vse naprave / različni OS • Samonastavitev: SecureW2 • ftp://ftp.arnes.si/software/eduroam Nastavitve Windows 8 FreeRADIUS • Najhitrejši • Najcenejši • Najzmogljivejši • Najprilagodljivejši • Najzakomplicirani :) • Najboljši Nastavitev FreeRADIUS FreeRADIUS namestitev • yum install freeradius\* • http://www.pingo.org/eduroam/centos6/ x86_64/ • cp -a /etc/raddb /etc/raddb.orig • vse datoteke so znotraj /etc/raddb • vim • DEBUG!!!! FreeRADIUS navodila • http://aai.arnes.si/eduroam/freeradius.html • Opis nastavitev • Smiselno dodamo v nastavitve • Nekatere nastavitve so za dodatne funkcionalnosti • pGina, časovno omejena raba • Preverjamo delovanje v razhroščevalnem načinu FreeRADIUS zagon in razhroščevanje • chkconfig radiusd on • systemctl enable radiusd.service • disable • service radiusd start • systemctl start radiusd.service • restart, stop • radiusd -Xxx • radiusd -Xxx 2>&1 | tee ~/radius.log Primer konfiguracije: eap.conf eap { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no max_sessions = 4096 fragment_size = 1024 tls { #openssl dhparam -check -text -5 512 -out /etc/pki/radius/dh dh_file = /etc/pki/radius/dh private_key_file = /etc/pki/radius/os-prva.si_key.pem certificate_file = /etc/pki/radius/os-prva.si_cert.pem CA_file = /etc/pki/radius/cacert.pem random_file = /dev/urandom cipher_list = "DEFAULT" ecdh_curve = "prime256v1" cache { enable = yes lifetime = 24 # hours max_entries = 2048 } [...] ttls { default_eap_type = mschapv2 copy_request_to_tunnel = yes use_tunneled_reply = yes virtual_server = "inner-tunnel" } peap { default_eap_type = mschapv2 copy_request_to_tunnel = yes use_tunneled_reply = yes virtual_server = "inner-tunnel" proxy_tunneled_request_as_eap = no soh = no # soh_virtual_server = "soh-server" } mschapv2 { #send_error = yes send_error = no } [...] } # end eap Gostovanje RADIUS • preizkusna storitev!!! • UDP izgubni protokol • podpora ni zagotovljena • [email protected] • Gostovanje IDP + LDAP • Pridružitev ArnesAAI + Eduroam.si + pogodba o gostovanju • Oddelek AAI ali svetovanje • RADIUS, DHCP, Syslog, SNMP Lotite se dela! ● CC vienze ziction /flickr Navodila • System-config-firewall ali vim /etc/sysconfig/iptables • RADIUS – udp/1812 in udp/1813 • service iptables restart • iptables-save + preveri /etc/sysconfig/iptables • TLD = 194.249.0.237 • Secret = secretstuff • Realm = student??.lab.arnes.si • /opt/bin/eapol_test -a 127.0.0.1 -s <radius secret> -c /opt/etc/<file>.cfg • Navodila: http://aai-lab.arnes.si • Generiranje samopodpisanega strežniškega certifikata • Vzpostavitev strežnika FreeRADIUS • NE vzpostavljajte MySQL • RPM paketi: • yum install http://../freeradius-2.2.0-0.arnes.el6.x86_64.rpm • yum install http://../freeradius-ldap-2.2.0-0.arnes.el6.x86_64.rpm • yum install http://../freeradius-utils-2.2.0-0.arnes.el6.x86_64.rpm • yum install http://../freeradius-mysql-2.2.0-0.arnes.el6.x86_64.rpm Kontakti • Eduroam • • • • mailto:[email protected] http://aai.arnes.si http://www.eduroam.si http://www.arnes.si/pomocuporabnikom/eduroam.html • Libroam • IZUM • Tehnična podpora • Priklop • [email protected]
